CN1148926C - 使代理主机参与保密通信的方法和系统以及密码系统 - Google Patents
使代理主机参与保密通信的方法和系统以及密码系统 Download PDFInfo
- Publication number
- CN1148926C CN1148926C CNB008095892A CN00809589A CN1148926C CN 1148926 C CN1148926 C CN 1148926C CN B008095892 A CNB008095892 A CN B008095892A CN 00809589 A CN00809589 A CN 00809589A CN 1148926 C CN1148926 C CN 1148926C
- Authority
- CN
- China
- Prior art keywords
- proxy
- client computer
- secret
- speech channel
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Abstract
使代理主机参与客户机与第一服务器之间的保密通信的方法。该方法开始时在客户机与代理主机之间建立第一保密话路。在确认该第一保密话路之后,该方法接着在该客户机和代理主机之间建立第二保密话路。在第二保密话路中,客户机要求代理主机作为通向第一服务器的通道。在此之后,客户机与第一服务器协商第一话路主要秘密。使用第一保密话路,由客户机把该第一话路主要秘密提供代理主机,使得代理主机参与该客户机与第一服务器之间的保密通信。在接收第一话路主要秘密之后,代理主机产生密码信息,使它为客户机提供给定的服务(例如,代码转换),并且不需要该服务器的参与。如果在给定客户机向第一服务器发出请求过程中要求来自第二服务器的数据,则该代理主机向客户机发出一个请求,以利用相同的协议把该请求通过该代理主机返回到第二服务器。
Description
技术领域
本发明一般涉及网络保密协议,特别涉及把客户机与一个或多个源服务器之间的保密话路(secure session)的保密性扩展到中介(例如,代码转换代理主机)的方法和系统以及一种密码系统。
背景技术
网络保密协议,例如网景的加密套接字层协议(SSL)以及互联网工程任务组(IETF)传输层保密协议(TLS)提供通信设备之间的保密性和数据完整性。这些协议例如是保证互联网上的电子商务交易的保密所通用的协议。
最近,计算机产业对通常被认为不同于传统计算机的其它设备添加了计算机处理和通信能力。这种设备相当广泛,并且例如包括个人数字处理(PDA)、商务管理器(business organizer)(例如,IBM的WorkPad、以及3Com的PalmPilot)、小型电话(smartphone)、移动电话、其它手持设备等等。为了方便,这些设备作为一类产品有时被称为“分布式计算(pervasive computing)”客户机,因为它们是设计为无论其位置在何处都可以与计算机网络中的服务器相连接的设备并且用于计算。
但是,分布式计算客户机一般不支持HTML基于视窗的客户机的全套功能。结果,一般需要代码转换服务来把要显示在该分布式客户机上的信息从一种源标志语言(例如,HTML)转换为另一种(例如,HDML或者手持设备标识语言)。但是,在保密网络连接上提供代码转换服务存在者问题。特别是,在保密和代码转换服务之间存在本质的冲突,因为例如SSL和TLS这样的传统保密协议正好是设计来用于防止第三者干预客户机与服务器之间的通信的。
在其它应用中,限制第三者干预保密话路也存在问题。例如,如果客户为例如SSL和TLS这样的传统保密协议正好是设计来用于防止第三者干预客户机与服务器之间的通信的。
更加具体来说,当一个分布式计算客户机与一个或多个源服务器在保密链路上进行通信时,本发明能够使得代理主机提供代码转换服务。
本发明还能够使代理主机为客户机执行缓存或其它管理服务,该客户机利用网络保密协议与一个或多个服务器进行通信。
本发明能够使代理主机为客户机执行加密/解密,该客户机使用网络服务器协议与一个或多个源服务器进行通信。
在一个优选实施例中,代理主机参与客户机与第一服务器之间的保密通信。该方法开始时首先在客户机与代理主机之间建立第一保密话路。在确认该第一保密话路之后,该方法接着在该客户机和代理主机之间建立第二保密话路。在第二保密话路中,客户机要求代理主机作为通向第一服务器的通道。在此之后,客户机与第一服务器协商第一话路主要秘密。使用第一保密话路,由客户机把该第一话路主要秘密提供代理主机,使得代理主机参与该客户机与第一服务器之间的保密通信。在接收第一话路主要秘密之后,代理主机产生密码信息,使它为客户机提供给定的服务(例如,代码转换、监控、加密/解密、缓存等等),并且不需要该服务器的参与。在这种通信过程中,在客户机与代理主机之间保持第一保密话路。
根据本发明的一个特征,如果代理主机要求来自第二服务器的数据,以处理给定客户机的请求,则重复上述协议。特别地,该代理主机向客户机发出请求,以再次通过该代理主机建立与第二服务器之间的另外一条连接。如上文所述,该协议使得该客户机与第二服务器之间建立第二话路主要秘密,按照上述方式把该秘密与该代理主机共享。然后,该代理主机继续通过利用该第二秘密进行它的服务操作(例如代码转换),以从第二服务器获得保密数据。
因此,一旦在客户机与给定的源服务器之间建立基本的隧道协议(tunneling protocol),则按照客户机的要求重复该协议,以使得代理主机能够从多达“n”个其它源服务器获得保密数据,同时把给定客户机的请求传送到给定的源服务器。
本发明提供一种使代理主机参与到客户机和第一源服务器之间的保密通信中的方法,其中包括如下步骤:在客户机与代理主机之间建立第一保密话路;在确认第一保密话路之后,在客户机与代理主机之间建立第二保密话路,该第二保密话路要求该代理主机作为通向第一源服务器的管道;使该客户机与第一源服务器协商话路主要秘密;使该客户机利用第一保密话路把该话路主要秘密传送到该代理主机,使得该代理主机参与到该保密通信中;响应对第一源服务器的客户机请求,建立该客户机与代理主机之间的第三保密话路,该第三保密话路要求该代理主机作为通向第二源服务器的管道;得该客户机与第二源服务器协商新的话路主要秘密;以及使得该客户机利用第一保密话路来把新的话路主要秘密传送到该代理主机。
本发明还提供一种使代理主机参与到客户机和服务器之间的保密通信中的方法,该方法用于与1至“n”的一组服务器进行通信的客户机中,其中包括如下步骤:对于1至“n”的一组服务器中的每一个:(1)使得该客户机请求到该代理主机的第一保密连接;(2)在认证来自该代理主机的证书的有效性之后,使客户机请求到代理主机的第二保密连接,该第二保密连接要求该代理主机作为通向该服务器的管道;(3)使该客户机与服务器通过该管道协商各个话路主要秘密;(4)在完成协商之后,使该客户机利用第一保密连接把该各个话路主要秘密传送到该代理主机;以及(b)使得该代理主机使用各个话路主要秘密来产生给定的密码信息,该信息对于参与该保密通信是有用的。
本发明还提供一种使代理主机参与保密通信的方法,该方法用于客户机中并且包括如下步骤:把来自客户机的请求发送到代理主机,以建立第一保密话路;把来自该客户机的请求发送到该代理主机,以建立在该客户机和该代理主机之间的第二保密话路,该第二保密话路要求该代理主机作为通向源服务器的管道;利用第一保密话路把来自客户机的话路主要秘密发送到该代理主机,使该代理主机参与该保密通信;响应在该客户机接收的来自该代理主机的请求,把来自该客户机的请求发送到该代理主机,以建立该客户机与该代理主机之间的第三保密话路,该第三保密话路要求该代理主机作为通向另一个源服务器的管道;以及把新的话路主要秘密从该客户机发送到代理主机。
本发明还提供一种使代理主机参与到保密通信中的方法,该方法用于代理主机中并且包括如下步骤:在代理主机接收来自客户机的请求,以在该客户机和代理主机之间建立第一保密话路;在该代理主机接收来自该客户机的请求,以在该客户机和代理主机之间建立第二保密话路,该第二保密话路要求该代理主机作为通向源服务器的管道;在该代理主机接收从该客户机利用第一保密话路发送的话路主要秘密;在把来自该代理主机的给定请求发送到该客户机之后,在该代理主机接收来自该客户机的请求,以建立该客户机与该代理主机之间的第二保密话路,该第二保密话路要求该代理主机作为通向另一个源服务器的管道;以及在该代理主机接收从该客户机发送的新的话路主要秘密。
本发明还提供一种使代理主机参与到客户机和第一源服务器之间的保密通信中的方法,该方法用于代理主机中并且包括如下步骤:在该代理主机接收来自客户机的请求,以建立该客户机与该代理主机之间的第一保密话路;通过该代理主机,执行该客户机与第一源服务器之间的保密握手程序,以产生第一话路密钥;使该客户机把第一话路密钥发送到该代理主机,使得该代理主机可以在该话路过程中参与到客户机与第一源服务器之间的通信中;以及随着该通话的继续,执行该客户机与第二源服务器之间的保密握手程序,以产生第二话路密钥;以及使该客户机把第一话路密钥发送到该代理主机,从而该代理主机可以从第二源服务器获得数据,用于对该客户机向第一源服务器提出的请求来提供服务。
本发明还提供一种密码系统,其中包括:客户机;一组服务器;代理主机;用于使该客户机与每个服务器在一条保密连接上进行通信的网络协议服务;一种计算机程序,(i)用于控制该客户机请求到该代理主机的第一保密连接;(ii)在认证来自该代理主机的证书的有效性之后,控制该客户机请求到代理主机的第二保密连接,该第二保密连接要求该代理主机作为通向一个给定服务器的管道;(iii)控制该客户机与该给定服务器通过该管道进行协商,以获得一个话路主要秘密;以及(iv)在完成协商之后,控制该客户机利用第一保密连接把该话路主要秘密传送到该代理主机;以及一种计算机程序,(i)用于控制该客户机利用该话路主要秘密来产生给定密码信息;(ii)用于控制该代理主机请求该客户机有选择地建立与另一个代理主机之间的独立保密连接;以及(iii)用于在该代理主机参与到该客户机与给定服务器之间的通信的过程中,把该代理主机切换为有效工作状态。
本发明还提供一种在用于密码系统的计算机可读介质中的计算机程序产品,该密码系统包括客户机、一组服务器以及代理主机,其中包括:第一例程,(i)用于控制该客户机请求到该代理主机的第一保密连接;(ii)在认证来自该代理主机的证书的有效性之后,控制该客户机请求到代理主机的第二保密连接,该第二保密连接要求该代理主机作为通向一个给定服务器的管道;(iii)控制该客户机与该给定服务器通过该管道进行协商,以获得一个话路主要秘密;以及(iv)在完成协商之后,控制该客户机利用第一保密连接把该话路主要秘密传送到该代理主机;以及第二例程,(i)用于控制该客户机利用该话路主要秘密来产生给定密码信息;(ii)用于控制该代理主机请求该客户机有选择地建立与另一个代理主机之间的独立保密连接;以及(iii)用于在该代理主机参与到该客户机与给定服务器之间的通信的过程中,把该代理主机切换为有效工作状态。
本发明还提供一种计算机程序产品,其具有在用于客户机中的可用介质上的计算机可读程序代码,用于使代理主机参与保密通信中,其中包括:用于把来自客户机的请求发送到代理主机,以建立第一保密话路的方法;用于把来自该客户机的请求发送到该代理主机,以建立在该客户机和该代理主机之间的第二保密话路的方法,该第二保密话路要求该代理主机作为通向源服务器的管道;用于利用第一保密话路把来自客户机的话路主要秘密发送到该代理主机,使该代理主机参与该保密通信的方法;在用于在控制客户机的保密通信过程中响应在该客户机接收的来自该代理主机的请求,以获得新的话路主要秘密的方法;以及用于把新的话路主要秘密从该客户机发送到代理主机的方法。
本发明还提供一种计算机程序产品,其具有在用于代理主机中的可用介质上的计算机可读程序代码,用于使代理主机参与保密通信中,其中包括:用于在代理主机接收来自客户机的请求,以在该客户机和代理主机之间建立第一保密话路的方法;在该代理主机接收来自该客户机的请求,以在该客户机和代理主机之间建立第二保密话路的方法,该第二保密话路要求该代理主机作为通向源服务器的管道;在该代理主机接收从该客户机利用第一保密话路发送的话路主要秘密的方法;在保密通信过程中响应给定事件,用于把给定给定请求从改代理主机发送到该客户机的方法;以及在该代理主机接收从该客户机发送的新的话路主要秘密的方法。
附图简述
现在将参照附图通过举例描述本发明,其中:
图1为使用网络保密协议的已有客户机-服务器网络环境的示意图;
图2为一种客户机-服务器网络环境的简化示意图,其中第三方中介或代理主机参与到保密话路中;
图3为基本隧道方法的详细流程图;
图4为本发明的简化方框图,其中在客户机最初把保密信息委派给代理主机之后,该代理主机要求该客户机通过开隧道经过该代理主机到达“n”个其它源服务器,以建立一个或多个其它保密连接;以及
图5为一种采用本发明的分布式计算客户机-服务器构架的方框图。
具体实施方式
图1示出一种现有技术的常规客户机-服务器网络构架。在该图中,客户机10通过网络14与服务器12进行通信,该网络可能是互联网、内部网、广域网、局域网等等。客户机10和服务器12使用一种网络保密协议进行通信,例如网景的加密套接字层协议(SSL)以及IETF传输层保密协议(TLS)。一般来说,客户机是发起建立到服务器的TLS或SSL的连接的任何应用实体。服务器是接受连接以通过发送返回响应而对请求提供服务的任何应用实体或程序。任何给定的程序可以称为客户机和服务器。服务器和客户机之间的主要操作差别在于该服务器通常被认证,而客户机仅仅是可选地进行认证。具有给定资源或者创造给定资源的服务器在本文中有时被称为源服务器。
客户机和服务器参与一个保密话路中。SSL或TLS话路是由握手协议创建的在客户机与服务器之间的连接。话路定义一组密码保密参数,该参数可以在多个连接之间共享。它们被用于避免在每次连接对新的保密参数进行协商。在SSL或TLS中,话路标识符是一个由服务器所产生的数值,其识别定的话路。为了建立一个SSL或TLS话路,客户机和服务器执行握手操作,该操作是建立该实体之间的事务处理的参数的初始协商。一旦创建一个话路,则在一条连接上进行客户机与服务器之间的通信,该连接是提供适当类型的服务的(在OSI分层模型定义中的)传输层。对于SSL和TLS,这种连接是对等关系的。该连接是暂时性的,并且每个连接与一个话路相关联。一般来说,在该连接上的通信是利用公钥加密技术而保证保密的,该技术是一种采用双密钥密码的加密技术。用公钥加密的信息仅仅可以用相关的私钥来解密。相反,用私钥签署的消息可以用公钥来验证。
一旦建立该话路,则该客户机具有由源服务器所发出的用于向源服务器认证该客户机的证书。该客户机还要求源服务器提供一个证书,使得它可以认证该源服务器有效。认证是一个实体确定另一个实体的身份的能力。一般来说,作为X.509协议的一部分(a/k/a ISO认证构架),证书由一个收信人的证书授权机构来颁发,并且使当事人的身份(或者一些其它属性)与其公钥紧密结合。
上述功能是本领域所公知的。该功能例如在符合IETF TLS 1.0版和SSL 2.0/3.0版的协议中实现。这些协议非常类似,它们包括两个层:记录协议和握手协议。如下文所述,本发明利用扩展这些类型的保密协议的方法的优点,来把话路的保密性延伸到第三方中介或代理主机。最好,本发明与客户机和代理主机之间的握手协议一同应用,如下文所述该协议是在保密话路之上的层面。该延伸不改变在记录协议层的保密连接的基本特性。尽管该技术在TLS和SSL的上下文中描述,但是这不是对本发明的限制。
现在参照图2,该基本方法使得利用SSL或TLS作为保密协议来与一个或多个源服务器12’a-n进行通信的客户机10’允许一个代理主机15参与该话路,而不改变该话路的保密特性。如上文所述,本方法独立于由客户机10’和给定源服务器12’所使用来进行相互认证的加密强度或步骤本发明具有与TLS/SSL相同的优点在于,它扩展该协议,但仍然允许较高层协议处于其上方。这种高层协议例如包括应用协议(例如,HTTP,TELNET,FTP和SMTP),该协议通常是紧接着在传输层(例如TCP/IP)之上的层面。
图3为示出在本发明中有用的一种保密代理协议的操作。根据该协议,客户机10’在每次需要建立于给定源服务器的连接时设置两个(2)完全不同的话路。第一个保密话路设置在客户机10’与代理主机15之间,并且该话路被用作为在客户机与代理主机之间传送秘密信息的管道或通道。第一保密话路由该流程图的前两列所表示。另外,客户机10还设置与代理主机之间的第二保密话路,由该流程图的后三列所表示,但是,在该话路中,代理主机15被用于隧道通向该源服务器12’。隧道是一种中介程序,其作为两个连接之间的盲中介。一旦激活,隧道不被认为是给定通信的一方(例如,HTTP请求或响应),尽管该隧道可能已经由该通信所启动。
在所示实施例中,假设该客户机希望访问一个源服务器(有时称为第一服务器),以检索给定内容,但是希望使用该代理主机来正确地显示这些内容。对该请求的服务可能还需要从一个或多个源服务器检索给定的对象。如上文所述,根据SSL/TLS协议,该客户机具有由一个源服务器所颁布用于向该源服务器认证该客户机的证书,并且该客户机还要求源服务器提供一个证书,从而它可以认证该源服务器为有效。如下文所述,在客户机向代理主机写入一个话路主要秘密之前,该客户机还要求代理主机提供由该客户机所认证的证书。
该例程以步骤20为开始,该客户机请求建立与代理主机之间的保密话路。这是上文所述的第一保密话路。如流程图中所示,该客户机必须要求来自该代理主机的证书,因为它要代表其保密属性。这是主要话路,通过该话路客户机将把任何源服务器的协商秘密与一个内部话路标识符一同发送到该代理主机。一般来说,该标识符与SSL/TLS话路标识符不同。它将在下文的步骤中更加具体描述。
在步骤22,客户机认证由该代理主机接收的证收的有效性,结果,这满足它具有与该代理主机之间的保密话路的条件。然后,该例程进行到步骤24,该客户机开启到该代理主机的第二连接。这是上述的第二保密话路。如上文所述,该客户机要求隧道通向给定的源服务器(例如,对一个请求使用HTTP连接方法)。作为通过代理主机的隧道请求的一部分,该客户机把一个报头添加到该HTTP请求,通知该代理主机要产生一个内部话路标识符。该报头意味着该客户机要在将来把主要秘密转发到该代理主机。
在步骤26,该代理主机产生一个唯一的内部话路标识符,并且把该信息返回到客户机。内部话路标识符的数值被附加到该保密HTTP答复上。这是该客户机要在把话路主要秘密转发到代理主机时将使用的数值。在步骤28,该代理主机建立与源服务器之间的连接,并且允许数据在客户机与源服务器之间流动。在这一点,该代理主机作为一个隧道。如下文所述,直到该客户机转发该话路主要秘密时为止,该代理主机才变为一个“有效代理主机”。在步骤30,该客户机与源服务器执行握手操作,以协商一个话路主要秘密。
然后,继续到步骤32。在这一点,客户机把内部话路标识符与话路主要秘密一同发送到代理主机。如图所示,该信息是在主要话路上发送的。在步骤34,该代理主机接收内部话路标识符和该话路主要秘密。它使用该信息来产生必要的密码信息,用于对源服务器的答复进行解密,以修改所提供的内容,和/或在把数据发送到客户机之前进行加密。然后,该代理主机切换到“有效代理主机”,用于与源服务器的当前连接。
在步骤36,该客户机发送用于获得在源服务器上的资源的保密HTTP请求。可选地,在步骤38,该代理主机可以对该请求解密,并且按照需要改变该请求,然后对新的请求加密并把其发送到其服务器。在步骤40,该源服务器满足该请求,并且把答复数据发送回该代理主机。请注意,该源服务器甚至没有意识到代理主机活动的参与。在步骤42,该代理主机接收该内容,对该数据进行解密和修改,以满足客户机的代码转换需要。可选地,在步骤44,代理主机可以建立与源服务器的另一条连接(如果源服务器支持话路恢复的话)用于获得其它数据和/或改进性能。如果建立多个连接,使用密码链接(CBC)来调节该密码。如果,该代理主机没有建立另外的连接作为该话路的一部分,则它必须通过发送关于主要话路与话路标识符的通知而把该密码标准改变的情况通知给客户机。该处理在步骤46中示出,并且需要允许该客户机在将来的时间恢复与源服务器之间的话路。
根据本发明,在处理到初始源服务器的给定客户机请求过程中,该代理主机可能要求到其它源服务器的其它保密话路。因此,例如,如果该代理主机要求到其它源服务器的其它保密话路,例如用于对该当前请求进行代码转换,它把一个通知发送到该客户机,要求该客户机建立与每个其它所要求的源服务器之间的新话路。这一般在步骤48中示出。最后,该代理主机对最终的代码转换后的内容进行加密,并且把它发送到客户机。这是步骤50。
图4更加详细地示出该代理主机如何启动到其它源服务器的一个或多个其它保密话路。在该例子中,客户机10”按照上文所述的方式,与代码转换代码代理主机15”以及第一源服务器12”协作。如图中所示。话路1表示该客户机与该代理主机之间建立的初始话路,并且话路2表示该客户机与第一源服务器之间建立的保密话路。在图中所示的步骤(1)-(12)对应于在图3的流程图中所述的步骤。如果在所示的代码转换操作过程中,该代理主机15”确定它要求来自第二源服务器17”的保密数据,则该代理主机要求客户机10”建立与服务器17”之间的第二链接,特别地,通过再次隧道经过该代理主机而建立。这使得该客户机建立与第二服务器17”之间的一个主要秘密。该主要秘密有时被称为第二主要秘密,以使它区别于该客户机隧道经过代理主机到达第一源服务器而产生的第一话路主要秘密。特别地,在图4中的步骤(13)示出向客户机10”发出请求的代理主机15”。然后,按照上文所述的方式对第二源服务器17”重复步骤(3)-(7)。
该代理主机15”具有按照需要使主要秘密保持隔离的能力,以便于一方面能够保证与客户机之间的保密通信,另一方面保证与各个源服务器之间的保密通信。因此,在原始客户机请求的情况下,该客户机和代理主机使用于每个源服务器话路的主要秘密保持隔离。这使得代理主机为客户访问并使用多个源服务器的数据。如果需要的话,该客户机可以把该话路主要秘密在相同的保密话路(例如,如图1中所示的话路1)上,或者通过使用不同的保密话路传送到该代理主机。
如上文所示,给定的源服务器和代理主机都共享一个重要话路秘密。特别地,一旦客户机与给定的源服务器对一个重要话路秘密达成协议,该秘密被通过以前在客户机与代理主机之间产生的一个保密话路提供到该代理主机。换句话说,该客户机在建立(客户机与代理主机之间的)主要(即,第一)话路之后,它释放该主要话路密钥(到该代理主机)。但是,源服务器不需要得知(并且一般也不会知道)该代理主机正在做一些工作或者参与到该保密连接中。
如上文所述,支持该保密代理所需的改变是很小的,并且仅仅影响该客户机和代理主机,而不会对需要处理给定客户机请求的给定源服务器造成影响。并且,该方法不需要该客户机泄露与其私钥相关的信息,或者泄露向该源服务器认证该客户机所用的方法。另外,由于该客户机能够建立到一个源服务器的其它连接,因此它可以改变密码标准或结束该话路,因此限制了该代理主机为该客户机建立到源服务器的其它连接的能力。
总结所需的改变,该客户机需要能够对与一个或多个源服务器分别协商的一个或多个话路主要秘密进行保密,并且把它们安全地传送到代理主机。该代理主机需要能够从客户机的主要秘密产生必须的加密信息,使其开始参与到该客户机的话路中。上述方法不需要对在话路秘密协商中所用的握手协议作任何改变。对整个网络业务量的额外负担为最小,因为在客户机与代理主机之间仅仅有一个额外的话路,而该客户机要求来自该代理主机的服务。不需要对源服务器作出改变。
客户机与代理主机之间的主要话路可以被认为是异步的,因为对每个到来的记录都有一个话路标识符。从客户机到代理主机的写入可能独立于代理主机对客户机的写入,因为在此不需要确认。当然,在此假设下层的传输层采用了可靠的传输方法。代理主机要求客户机建立新的连接(到其它源服务器),最好使用零*话路标识符,因为当客户机要求隧道通信时,可以由该代理主机随后指定一个标识符。为了提高性能,该代理主机不必把密码标准改变的情况通知给客户机,基于这种理解,该客户机将被强制执行完全认证握手操作,因为它将不与给定的源服务器相同步。这意味着在初始话路建立过程中对源服务器具有较大的有效负荷,但是如果代理主机建立新的连接或者向给定的源服务器或者一些其它源服务器发送其它请求,则减少了无意义的通信。
现在有许多关于代理主机的应用。下面是几个代表性的例子。
代理主机的一种这样应用是减小对客户机执行加密/解密所要求的计算能力。例如,如果客户机处于防火墙背后,使用该代理主机,则该客户机可以仅仅一次执行认证步骤,然后无加密地在它与代理主机之间实际发送和接收数据,因此把加密有效负荷转移到代理主机。另外,在该代理主机可以与源服务器交换任何实际数据记录之前,它通过允许(或者要求)该客户机传递该话路秘密,而提供对防火墙配置审查的能力。在这种情况下,该代理主机不要求客户机传送任何关于它本身或源服务器的秘密/特权信息。在另一个例子中,该代理主机通过允许缓存代理主机参与该话路中而不改变客户机与源服务器之间的话路的保密特性,来提高客户机的性能。另外,该代理主机可以用于为该客户机预取内容(通过在以后重新启动话路),而不需要该代理主机明确知道该客户机的私钥。在这种情况下,该代理主机例如可以在非繁忙时间过程中定期地更新该用户的预定内容。这些例子仅仅是说明性的而不是对本发明的范围的限制。
因此,如上文所述,本发明的另一个应用是使得第三方能够参与涉及分布式计算客户机设备的保密话路中。代表性的设备包括分布式客户机,即,基于x86-,PowerPc或者RISC(精简指令集计算机)的客户机,其包括一种实时的操作系统,例如,WindRiver VXWorksTM、QSSLQNXNeutrinoTM或者Microsoft Windows CE,并且其可以包括网络浏览器。该应用没有在下文中更加详细描述。
现在参见图5,一种代表性的分布式计算设备包括客户机堆栈140,其中包括多个部件,例如,客户机应用程序构架143、虚拟机144、语音引擎146以及工业上应用的实时操作系统(RTOS)148。该客户机应用程序构架142一般包括浏览器150、用户界面152、分布式计算客户应用程序类库154、标准Java类库156以及通信堆栈158。分布式计算客户机通过连接服务162连接到服务器平台160。
在其下层,该连接服务62包括提供压缩和加密功能的网关164。该网
(修改)关采用网络保密协议,该协议已经被根据本发明的方法而扩展。连接服务162的上层是代理主机166,其提供一种或多种不同的功能,例如:代码转换、过滤、优先排列以及链接到设备管理。
该服务器平台160,即给定的源服务器,可以是几种不同的类型。该平台160可以是网络/应用程序服务器170(同步请求响应型服务器)或者数据同步服务器172(异步队列通信型服务器)。在此说明每种服务器的基本功能。另外,该平台160可以是一种增值服务器174,其提供附加的服务,例如LDAP目录/档案管理、警告和通知、网络管理、设备使用寿命周期管理、用户和设备登记或者编制帐单。
保密代理协议提供多种比现有技术更优越的性能。如上文所述,协议扩展不改变在记录协议的保密连接的基本特性。另外,对代理主机的连接是秘密,并且对称的密码技术(例如,DES、RC4等等)可以用于数据加密。用于该对称加密的密钥最好是对每次连接唯一产生的,并且基于通过另一种协议所协商的秘密(例如TLS或者SSL握手协议)。另外,到代理主机的连接是可靠的。消息传输一般包括使用键控的MAC的消息完整性检查。最好,保密散列函数(例如,SHA、MD5等等)被用于MAC计算。
握手协议提供具有几个基本特征的保密性。对等身份可以使用不对称密码技术(例如,RSA、DSS等等)来认证,即使用公钥进行认证。该认证是可选的,但是一般需要至少一个对等机。另外,共享秘密的协商是保密的。协商的秘密不被窃听,并且对任何认证的连接,该秘密甚至不能被置身于该连接中的攻击者所获得。另外,与代理主机的协商是可靠的。没有攻击者能够改变协商的通信而不被通信方所检测。
如上文所述,保密协议使得代理主机参与到客户机与一组源服务器之间的保密话路中,而不改变该话路的属性。该方法还独立于加密强度或者所用的认证技术。
本发明可以在处理器中用可执行软件实现,例如,作为驻留在计算机的随机存取存储器的代码模块中的一组指令(程序代码)。直到由计算机所要求,该组指令才可以存储在另一个计算机存储器中,例如存储在硬盘驱动器中,或者存储在可移动存储器中,或者通过互联网或其它计算机网络下载。
另外,尽管所述的各种方法在由软件选择激活或重新配置的普通计算机中实现,但是本领域内的专业人员,可以认识到这种方法可以在硬件、固件或者在被构造用于执行所需方法步骤的更加专用的装置中执行。
Claims (24)
1.一种使代理主机(15)参与到客户机(10’)和第一源服务器(12a’)之间的保密通信中的方法,其中包括如下步骤:
(a)在客户机与代理主机之间建立(20、22)第一保密话路;
(b)在确认第一保密话路之后,在客户机与代理主机之间建立(24、26)第二保密话路,该第二保密话路要求该代理主机作为通向第一源服务器的管道;
(c)使该客户机与第一源服务器协商(30)话路主要秘密;
(d)使该客户机利用第一保密话路把该话路主要秘密传送(32)到该代理主机,使得该代理主机参与到该保密通信中;
(e)响应对第一源服务器的客户机请求,建立该客户机与代理主机之间的第三保密话路,该第三保密话路要求该代理主机作为通向第二源服务器的管道;
(f)使得该客户机与第二源服务器协商新的话路主要秘密;以及
(g)使得该客户机利用在步骤(a)中产生的第一保密话路来把新的话路主要秘密传送到该代理主机。
2.根据权利要求1所述的方法,其特征在于,进一步包括如下步骤:使得该代理主机(15)使用该话路主要秘密和新的话路主要秘密来产生给定的密码信息。
3.根据权利要求2所述的方法,其特征在于,进一步包括如下步骤:使得代理主机(15)在步骤(d)中接收到该话路主要秘密之后进入有效工作状态。
4.根据权利要求3所述的方法,其特征在于,该代理主机(15)在该有效工作状态中为该客户机(10’)执行给定的服务。
5.根据权利要求4所述的方法,其特征在于,该给定服务是代码转换。
6.根据权利要求1所述的方法,其特征在于,第一和第二保密话路符合网络保密协议。
7.根据权利要求1所述的方法,其特征在于,该服务器(12a’)是一种网络服务器,并且该客户机(10’)是一种分布式计算客户机。
8.一种使代理主机(15)参与到客户机(10’)和服务器(12a’)之间的保密通信中的方法,该方法用于与1至“n”的一组服务器进行通信的客户机中,其中包括如下步骤:
(a)对于1至“n”的一组服务器中的每一个:
(1)使得该客户机请求(20、22)到该代理主机的第一保密连接;
(2)在认证来自该代理主机的证书的有效性之后,使客户机请求(24、26)到代理主机的第二保密连接,该第二保密连接要求该代理主机作为通向该服务器的管道;
(3)使该客户机与服务器通过该管道协商(30)各个话路主要秘密;
(4)在完成协商之后,使该客户机利用第一保密连接把该各个话路主要秘密传送(32)到该代理主机;以及
(b)使得该代理主机使用各个话路主要秘密来产生给定的密码信息,该信息对于参与该保密通信是有用的。
9.根据权利要求8所述的方法,其特征在于,进一步包括如下步骤:使得代理主机(15)为该客户机执行给定的服务,该给定的服务是从一组服务中选择的,其中包括代码转换、缓存、加密、解密、监控、过滤和预取。
10.一种使代理主机(15)参与保密通信的方法,该方法用于客户机中并且包括如下步骤:
(a)把来自客户机的请求发送到(20)代理主机,以建立第一保密话路;
(b)把来自该客户机的请求发送到(24)该代理主机,以建立在该客户机和该代理主机之间的第二保密话路,该第二保密话路要求该代理主机作为通向源服务器的管道;
(c)利用第一保密话路把来自客户机的话路主要秘密发送到(32)该代理主机,使该代理主机参与该保密通信;
(d)响应在该客户机接收的来自该代理主机的请求,把来自该客户机的请求发送到该代理主机,以建立该客户机与该代理主机之间的第三保密话路,该第三保密话路要求该代理主机作为通向另一个源服务器的管道;以及
(e)把新的话路主要秘密从该客户机发送到代理主机。
11.根据权利要求10所述的方法,其特征在于,该新的话路主要秘密在第一保密话路上发送。
12.一种使代理主机(15)参与到保密通信中的方法,该方法用于代理主机中并且包括如下步骤:
(a)在代理主机接收(20)来自客户机的请求,以在该客户机和代理主机之间建立第一保密话路;
(b)在该代理主机接收(24)来自该客户机的请求,以在该客户机和代理主机之间建立第二保密话路,该第二保密话路要求该代理主机作为通向源服务器的管道;
(c)在该代理主机接收(32)从该客户机利用第一保密话路发送的话路主要秘密;
(d)在把来自该代理主机的给定请求发送到该客户机之后,在该代理主机接收来自该客户机的请求,以建立该客户机与该代理主机之间的第二保密话路,该第二保密话路要求该代理主机作为通向另一个源服务器的管道;以及
(e)在该代理主机接收从该客户机发送的新的话路主要秘密。
13.根据权利要求12所述的方法,其特征在于,进一步包括如下步骤:使该代理主机(15)利用该话路主要秘密和新的话路主要秘密来产生给定的密码信息。
14.一种使代理主机(15)参与到客户机(10’)和第一源服务器(12a’)之间的保密通信中的方法,该方法用于代理主机中并且包括如下步骤:
在该代理主机接收(20)来自客户机的请求,以建立该客户机与该代理主机之间的第一保密话路;
通过该代理主机,执行(20、22、24、26、30)该客户机与第一源服务器之间的保密握手程序,以产生第一话路密钥;
使该客户机把第一话路密钥发送到该代理主机,使得该代理主机可以在该话路过程中参与到客户机与第一源服务器之间的通信中;以及
随着该通话的继续,执行该客户机与第二源服务器之间的保密握手程序,以产生第二话路密钥;以及
使该客户机把第二话路密钥发送到该代理主机,从而该代理主机可以从第二源服务器获得数据,用于对该客户机向第一源服务器提出的请求来提供服务。
15.根据权利要求14所述的方法,其特征在于,每个话路密钥被从客户机(10’)通过不同的保密连接发送到代理主机(15)。
16.根据权利要求14所述的方法,其特征在于,每个话路密钥被从客户机(10’)通过相同的保密连接发送到该代理主机(15)。
17.一种密码系统,其中包括:
客户机(10’);
一组服务器(12a’、12b’);
代理主机(15);
用于使该客户机与每个服务器在一条保密连接上进行通信的网络协议服务;
用于控制该客户机请求到该代理主机的第一保密连接的装置;
用于在认证来自该代理主机的证书的有效性之后,控制该客户机请求到代理主机的第二保密连接的装置,该第二保密连接要求该代理主机作为通向一个给定服务器的管道;
用于控制该客户机与该给定服务器通过该管道进行协商,以获得一个话路主要秘密的装置;
在完成协商之后,控制该客户机利用第一保密连接把该话路主要秘密传送到该代理主机的装置;
用于控制该客户机利用该话路主要秘密来产生给定密码信息的装置;
用于控制该代理主机请求该客户机有选择地建立与另一个代理主机之间的独立保密连接的装置;以及
用于在该代理主机参与到该客户机与给定服务器之间的通信的过程中,把该代理主机切换为有效工作状态的装置。
18.根据权利要求17所述的系统,其特征在于,该代理主机(15)包括用于为该客户机(10’)提供代码转换服务的装置。
19.根据权利要求18所述的系统,其特征在于,该代理主机包括用于为该客户机(10’)提供加密/解密服务的装置。
20.根据权利要求17所述的系统,其特征在于,该代理主机包括用于为该客户机(10’)提供缓存服务的装置。
21.根据权利要求17所述的系统,其特征在于,该代理主机包括用于为该客户机(10’)提供监控服务的装置。
22.一种用于使代理主机(15)参与保密通信中的装置,其中包括:
用于把来自客户机的请求发送到代理主机,以建立第一保密话路的装置;
用于把来自该客户机的请求发送到该代理主机,以建立在该客户机和该代理主机之间的第二保密话路的装置,该第二保密话路要求该代理主机作为通向源服务器的管道;
用于利用第一保密话路把来自客户机的话路主要秘密发送到该代理主机,使该代理主机参与该保密通信的装置;
在用于在控制客户机的保密通信过程中响应在该客户机接收的来自该代理主机的请求,以获得新的话路主要秘密的装置;以及
用于把新的话路主要秘密从该客户机发送到代理主机的装置。
23.一种用于使代理主机参与保密通信中的装置,其中包括:
用于在代理主机接收来自客户机的请求,以在该客户机和代理主机之间建立第一保密话路的装置;
在该代理主机接收来自该客户机的请求,以在该客户机和代理主机之间建立第二保密话路的装置,该第二保密话路要求该代理主机作为通向源服务器的管道;
在该代理主机接收从该客户机利用第一保密话路发送的话路主要秘密的装置;
在保密通信过程中响应给定事件,用于把给定请求从该代理主机发送到该客户机的装置;以及
在该代理主机接收从该客户机发送的新的话路主要秘密的装置。
24.根据权利要求23所述的装置,其特征在于,进一步包括用于利用话路主要秘密和新的话路秘密来产生给定的密码信息的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/343,454 US6584567B1 (en) | 1999-06-30 | 1999-06-30 | Dynamic connection to multiple origin servers in a transcoding proxy |
| US09/343,454 | 1999-06-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1358386A CN1358386A (zh) | 2002-07-10 |
| CN1148926C true CN1148926C (zh) | 2004-05-05 |
Family
ID=23346192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB008095892A Expired - Lifetime CN1148926C (zh) | 1999-06-30 | 2000-06-28 | 使代理主机参与保密通信的方法和系统以及密码系统 |
Country Status (16)
| Country | Link |
|---|---|
| US (1) | US6584567B1 (zh) |
| EP (1) | EP1197052B1 (zh) |
| JP (2) | JP4405124B2 (zh) |
| KR (1) | KR100431567B1 (zh) |
| CN (1) | CN1148926C (zh) |
| AT (1) | ATE321405T1 (zh) |
| AU (1) | AU5554100A (zh) |
| CA (1) | CA2377257C (zh) |
| CZ (1) | CZ20014650A3 (zh) |
| DE (1) | DE60026838T2 (zh) |
| HK (1) | HK1045419B (zh) |
| HU (1) | HUP0201706A2 (zh) |
| IL (2) | IL147118A0 (zh) |
| PL (1) | PL352195A1 (zh) |
| TW (1) | TW480862B (zh) |
| WO (1) | WO2001003398A2 (zh) |
Families Citing this family (151)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8060926B1 (en) * | 1999-03-16 | 2011-11-15 | Novell, Inc. | Techniques for securely managing and accelerating data delivery |
| US7904951B1 (en) | 1999-03-16 | 2011-03-08 | Novell, Inc. | Techniques for securely accelerating external domains locally |
| US7249377B1 (en) * | 1999-03-31 | 2007-07-24 | International Business Machines Corporation | Method for client delegation of security to a proxy |
| US6584567B1 (en) | 1999-06-30 | 2003-06-24 | International Business Machines Corporation | Dynamic connection to multiple origin servers in a transcoding proxy |
| FR2804564B1 (fr) * | 2000-01-27 | 2002-03-22 | Bull Sa | Relais de securite multiapplicatif |
| US6785705B1 (en) * | 2000-02-08 | 2004-08-31 | Lucent Technologies Inc. | Method and apparatus for proxy chaining |
| US7930285B2 (en) | 2000-03-22 | 2011-04-19 | Comscore, Inc. | Systems for and methods of user demographic reporting usable for identifying users and collecting usage data |
| US7493655B2 (en) * | 2000-03-22 | 2009-02-17 | Comscore Networks, Inc. | Systems for and methods of placing user identification in the header of data packets usable in user demographic reporting and collecting usage data |
| WO2001076136A1 (fr) * | 2000-03-30 | 2001-10-11 | Sanyo Electric Co., Ltd. | Stockage de donnees de contenu |
| DE10025626A1 (de) * | 2000-05-24 | 2001-11-29 | Deutsche Telekom Ag | Verschlüsseln von abzuspeichernden Daten in einem IV-System |
| DE10037500A1 (de) * | 2000-08-01 | 2002-02-28 | Deutsche Telekom Ag | Verfahren zur Schlüsselvereinbarung für eine kryptographisch gesicherte Punkt-zu-Multipunktverbindung |
| US7137143B2 (en) * | 2000-08-07 | 2006-11-14 | Ingrian Systems Inc. | Method and system for caching secure web content |
| US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
| US7003481B2 (en) * | 2000-08-25 | 2006-02-21 | Flatrock Ii, Inc. | Method and apparatus for providing network dependent application services |
| US7178169B1 (en) * | 2000-09-01 | 2007-02-13 | Zoran Corporation | Method and apparatus for securing transfer of and access to digital content |
| US6965947B1 (en) * | 2000-10-06 | 2005-11-15 | International Business Machines Corporation | Method and apparatus for automated transcoder selection |
| TW532040B (en) * | 2000-10-20 | 2003-05-11 | Koninkl Philips Electronics Nv | Method and system for transferring a communication session |
| US7574486B1 (en) * | 2000-11-06 | 2009-08-11 | Telecommunication Systems, Inc. | Web page content translator |
| US7150045B2 (en) * | 2000-12-14 | 2006-12-12 | Widevine Technologies, Inc. | Method and apparatus for protection of electronic media |
| US7757278B2 (en) * | 2001-01-04 | 2010-07-13 | Safenet, Inc. | Method and apparatus for transparent encryption |
| FR2819967B1 (fr) * | 2001-01-24 | 2003-03-14 | Bull Sa | Procede et systeme de communication d'un certificat entre un module de securisation et un serveur |
| US8812666B2 (en) | 2001-01-29 | 2014-08-19 | Da Capital Fund Limited Liability Company | Remote proxy server agent |
| US6871279B2 (en) * | 2001-03-20 | 2005-03-22 | Networks Associates Technology, Inc. | Method and apparatus for securely and dynamically managing user roles in a distributed system |
| US6996841B2 (en) * | 2001-04-19 | 2006-02-07 | Microsoft Corporation | Negotiating secure connections through a proxy server |
| US20020169984A1 (en) * | 2001-05-09 | 2002-11-14 | Kumar Gopikrishna T. | Session management for wireless E-commerce |
| US7117267B2 (en) * | 2001-06-28 | 2006-10-03 | Sun Microsystems, Inc. | System and method for providing tunnel connections between entities in a messaging system |
| US7908472B2 (en) * | 2001-07-06 | 2011-03-15 | Juniper Networks, Inc. | Secure sockets layer cut through architecture |
| US7228412B2 (en) * | 2001-07-06 | 2007-06-05 | Juniper Networks, Inc. | Bufferless secure sockets layer architecture |
| US7853781B2 (en) * | 2001-07-06 | 2010-12-14 | Juniper Networks, Inc. | Load balancing secure sockets layer accelerator |
| US7149892B2 (en) * | 2001-07-06 | 2006-12-12 | Juniper Networks, Inc. | Secure sockets layer proxy architecture |
| ATE375686T1 (de) * | 2001-07-12 | 2007-10-15 | Research In Motion Ltd | System und verfahren zum datenzugriff für ein mobiles telekommunikationsendgerät |
| US7240203B2 (en) * | 2001-07-24 | 2007-07-03 | Cavium Networks, Inc. | Method and apparatus for establishing secure sessions |
| GB2378009B (en) * | 2001-07-27 | 2005-08-31 | Hewlett Packard Co | Method of establishing a secure data connection |
| US7363376B2 (en) * | 2001-07-31 | 2008-04-22 | Arraycomm Llc | Method and apparatus for generating an identifier to facilitate delivery of enhanced data services in a mobile computing environment |
| GB2378360A (en) * | 2001-07-31 | 2003-02-05 | Hewlett Packard Co | Using SSL protocol to establish a secure connection between a client and a host, via a number of secure relays, the number being unknown to the client |
| US6892224B2 (en) * | 2001-08-31 | 2005-05-10 | Intel Corporation | Network interface device capable of independent provision of web content |
| US7111162B1 (en) * | 2001-09-10 | 2006-09-19 | Cisco Technology, Inc. | Load balancing approach for scaling secure sockets layer performance |
| US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
| US7093121B2 (en) * | 2002-01-10 | 2006-08-15 | Mcafee, Inc. | Transferring data via a secure network connection |
| US7376967B1 (en) | 2002-01-14 | 2008-05-20 | F5 Networks, Inc. | Method and system for performing asynchronous cryptographic operations |
| US7305567B1 (en) | 2002-03-01 | 2007-12-04 | Cavium Networks, In. | Decoupled architecture for data ciphering operations |
| US6978316B2 (en) * | 2002-03-27 | 2005-12-20 | International Business Machines Corporation | Messaging system and method with transcoder filtering of baseline message representations |
| US7290280B2 (en) * | 2002-04-08 | 2007-10-30 | Sun Microsystems, Inc. | Method and apparatus to facilitate virtual transport layer security on a virtual network |
| WO2004019182A2 (en) * | 2002-08-24 | 2004-03-04 | Ingrian Networks, Inc. | Selective feature activation |
| US7430755B1 (en) | 2002-09-03 | 2008-09-30 | Fs Networks, Inc. | Method and system for providing persistence in a secure network access |
| US20040093419A1 (en) * | 2002-10-23 | 2004-05-13 | Weihl William E. | Method and system for secure content delivery |
| WO2004070616A1 (ja) * | 2003-02-03 | 2004-08-19 | Mvp, Inc. | 同期プログラム |
| US7506368B1 (en) | 2003-02-13 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for network communications via a transparent security proxy |
| US7634805B2 (en) * | 2003-03-05 | 2009-12-15 | Microsoft Corporation | Use of network address translation for implementation of stateful routing |
| US8473620B2 (en) * | 2003-04-14 | 2013-06-25 | Riverbed Technology, Inc. | Interception of a cloud-based communication connection |
| US7506370B2 (en) * | 2003-05-02 | 2009-03-17 | Alcatel-Lucent Usa Inc. | Mobile security architecture |
| US8437345B2 (en) * | 2003-07-09 | 2013-05-07 | Hitachi, Ltd. | Terminal and communication system |
| US20060149962A1 (en) * | 2003-07-11 | 2006-07-06 | Ingrian Networks, Inc. | Network attached encryption |
| US7395424B2 (en) * | 2003-07-17 | 2008-07-01 | International Business Machines Corporation | Method and system for stepping up to certificate-based authentication without breaking an existing SSL session |
| JP4712326B2 (ja) * | 2003-07-25 | 2011-06-29 | 株式会社リコー | 通信装置、通信システム、通信方法及びプログラム |
| JP5348148B2 (ja) * | 2003-07-25 | 2013-11-20 | 株式会社リコー | 通信装置、通信システム、通信方法及びプログラム |
| EP1693983B1 (en) * | 2003-07-25 | 2007-08-29 | Ricoh Company, Ltd. | Authentication system and method using individualized and non-individualized certificates |
| JP4611676B2 (ja) * | 2003-07-25 | 2011-01-12 | 株式会社リコー | 通信装置、通信システム、通信方法及びプログラム |
| JP4611680B2 (ja) * | 2003-07-25 | 2011-01-12 | 株式会社リコー | 通信装置、通信システム、通信方法及びプログラム |
| JP4712325B2 (ja) | 2003-09-12 | 2011-06-29 | 株式会社リコー | 通信装置、通信システム、通信方法及びプログラム |
| JP5418507B2 (ja) * | 2003-09-12 | 2014-02-19 | 株式会社リコー | 通信装置、通信システム、通信方法及びプログラム |
| US8015399B2 (en) | 2003-09-30 | 2011-09-06 | Ricoh Company, Ltd. | Communication apparatus, communication system, certificate transmission method and program |
| US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
| US20050086533A1 (en) * | 2003-10-20 | 2005-04-21 | Hsieh Vincent W. | Method and apparatus for providing secure communication |
| US7584500B2 (en) | 2003-11-19 | 2009-09-01 | Hughes Network Systems, Llc | Pre-fetching secure content using proxy architecture |
| US7890751B1 (en) * | 2003-12-03 | 2011-02-15 | Comtech Ef Data Corp | Method and system for increasing data access in a secure socket layer network environment |
| JP2005167870A (ja) * | 2003-12-05 | 2005-06-23 | Sony Corp | データ処理方法およびデータ処理装置 |
| US20050160161A1 (en) * | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
| US20050160160A1 (en) * | 2003-12-29 | 2005-07-21 | Nokia, Inc. | Method and system for unified session control of multiple management servers on network appliances |
| US7535905B2 (en) * | 2004-03-31 | 2009-05-19 | Microsoft Corporation | Signing and validating session initiation protocol routing headers |
| JP4346094B2 (ja) * | 2004-04-05 | 2009-10-14 | 日本電信電話株式会社 | パケット暗号処理代理装置 |
| US8261070B2 (en) * | 2004-04-23 | 2012-09-04 | The Boeing Company | Authentication of untrusted gateway without disclosure of private information |
| US7437754B2 (en) | 2004-04-30 | 2008-10-14 | Oracle International Corporation | Web object access authorization protocol based on an HTTP validation model |
| US7519835B2 (en) * | 2004-05-20 | 2009-04-14 | Safenet, Inc. | Encrypted table indexes and searching encrypted tables |
| US20060049234A1 (en) * | 2004-05-21 | 2006-03-09 | Flak Richard A | Friction stirring and its application to drill bits, oil field and mining tools, and components in other industrial applications |
| US8024476B2 (en) * | 2004-05-21 | 2011-09-20 | Microsoft Corporation | Efficient message routing when using server pools |
| US8090837B2 (en) | 2004-05-27 | 2012-01-03 | Hewlett-Packard Development Company, L.P. | Communication in multiprocessor using proxy sockets |
| US8024483B1 (en) | 2004-10-01 | 2011-09-20 | F5 Networks, Inc. | Selective compression for network connections |
| EP1816811B1 (en) | 2004-11-29 | 2013-05-22 | International Business Machines Corporation | Relay device, relay method, and program |
| JP4520840B2 (ja) * | 2004-12-02 | 2010-08-11 | 株式会社日立製作所 | 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体 |
| US7565526B1 (en) * | 2005-02-03 | 2009-07-21 | Sun Microsystems, Inc. | Three component secure tunnel |
| US9621666B2 (en) | 2005-05-26 | 2017-04-11 | Citrix Systems, Inc. | Systems and methods for enhanced delta compression |
| US9407608B2 (en) | 2005-05-26 | 2016-08-02 | Citrix Systems, Inc. | Systems and methods for enhanced client side policy |
| US8943304B2 (en) | 2006-08-03 | 2015-01-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
| US9692725B2 (en) | 2005-05-26 | 2017-06-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
| FI120072B (fi) * | 2005-07-19 | 2009-06-15 | Ssh Comm Security Corp | Pakettidatan lähettäminen verkon yli tietoturvaprotokollaa käyttäen |
| US8418233B1 (en) | 2005-07-29 | 2013-04-09 | F5 Networks, Inc. | Rule based extensible authentication |
| US8478986B2 (en) * | 2005-08-10 | 2013-07-02 | Riverbed Technology, Inc. | Reducing latency of split-terminated secure communication protocol sessions |
| US8438628B2 (en) * | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
| US8613071B2 (en) * | 2005-08-10 | 2013-12-17 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
| US8533308B1 (en) | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
| US8621078B1 (en) | 2005-08-15 | 2013-12-31 | F5 Networks, Inc. | Certificate selection for virtual host servers |
| WO2007038245A2 (en) | 2005-09-23 | 2007-04-05 | Widevine Technologies, Inc. | Method for evolving detectors to detect malign behavior in an artificial immune system |
| US8065733B2 (en) * | 2005-09-23 | 2011-11-22 | Google, Inc. | Method for evolving detectors to detect malign behavior in an artificial immune system |
| US20070079140A1 (en) * | 2005-09-26 | 2007-04-05 | Brian Metzger | Data migration |
| US20070079386A1 (en) * | 2005-09-26 | 2007-04-05 | Brian Metzger | Transparent encryption using secure encryption device |
| US7873065B1 (en) | 2006-02-01 | 2011-01-18 | F5 Networks, Inc. | Selectively enabling network packet concatenation based on metrics |
| US8565088B1 (en) | 2006-02-01 | 2013-10-22 | F5 Networks, Inc. | Selectively enabling packet concatenation based on a transaction boundary |
| US8386768B2 (en) * | 2006-02-08 | 2013-02-26 | Safenet, Inc. | High performance data encryption server and method for transparently encrypting/decrypting data |
| US7958091B2 (en) | 2006-02-16 | 2011-06-07 | Ingrian Networks, Inc. | Method for fast bulk loading data into a database while bypassing exit routines |
| US8572219B1 (en) | 2006-03-02 | 2013-10-29 | F5 Networks, Inc. | Selective tunneling based on a client configuration and request |
| US8375421B1 (en) | 2006-03-02 | 2013-02-12 | F5 Networks, Inc. | Enabling a virtual meeting room through a firewall on a network |
| US8171538B2 (en) * | 2006-03-17 | 2012-05-01 | Microsoft Corporation | Authentication and authorization of extranet clients to a secure intranet business application in a perimeter network topology |
| US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| KR101326403B1 (ko) * | 2006-04-28 | 2013-11-20 | 삼성전자주식회사 | 위임 오퍼레이션 수행을 위한 시스템 및 방법 |
| US8561155B2 (en) * | 2006-08-03 | 2013-10-15 | Citrix Systems, Inc. | Systems and methods for using a client agent to manage HTTP authentication cookies |
| US8392977B2 (en) * | 2006-08-03 | 2013-03-05 | Citrix Systems, Inc. | Systems and methods for using a client agent to manage HTTP authentication cookies |
| US8379865B2 (en) * | 2006-10-27 | 2013-02-19 | Safenet, Inc. | Multikey support for multiple office system |
| US9055107B2 (en) * | 2006-12-01 | 2015-06-09 | Microsoft Technology Licensing, Llc | Authentication delegation based on re-verification of cryptographic evidence |
| US9106606B1 (en) | 2007-02-05 | 2015-08-11 | F5 Networks, Inc. | Method, intermediate device and computer program code for maintaining persistency |
| US8843913B2 (en) | 2007-06-05 | 2014-09-23 | Intel Corporation | Dynamic linking and loading of post-processing kernels |
| US8171135B2 (en) | 2007-07-12 | 2012-05-01 | Viasat, Inc. | Accumulator for prefetch abort |
| US8549099B2 (en) * | 2007-07-12 | 2013-10-01 | Viasat, Inc. | Methods and systems for javascript parsing |
| US7782794B2 (en) * | 2007-07-12 | 2010-08-24 | Viasat, Inc. | Methods and systems for bandwidth measurement techniques |
| US20090016222A1 (en) * | 2007-07-12 | 2009-01-15 | Viasat, Inc. | Methods and systems for implementing time-slice flow control |
| US8966053B2 (en) * | 2007-07-12 | 2015-02-24 | Viasat, Inc. | Methods and systems for performing a prefetch abort operation for network acceleration |
| US8667151B2 (en) | 2007-08-09 | 2014-03-04 | Alcatel Lucent | Bootstrapping method for setting up a security association |
| US8782772B2 (en) * | 2007-09-28 | 2014-07-15 | Microsoft Corporation | Multi-session secure tunnel |
| WO2009045963A1 (en) * | 2007-10-01 | 2009-04-09 | Viasat, Inc. | Methods and systems for secure data transmission between a client and a server via a proxy |
| US9654328B2 (en) | 2007-10-15 | 2017-05-16 | Viasat, Inc. | Methods and systems for implementing a cache model in a prefetching system |
| US20090132715A1 (en) * | 2007-11-19 | 2009-05-21 | Utstarcom, Inc. | System and method for conducting secure ip transaction sessions with persistence |
| US20090132804A1 (en) * | 2007-11-21 | 2009-05-21 | Prabir Paul | Secured live software migration |
| US8090877B2 (en) | 2008-01-26 | 2012-01-03 | Citrix Systems, Inc. | Systems and methods for fine grain policy driven cookie proxying |
| US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
| EP2308212A4 (en) * | 2008-07-14 | 2016-06-22 | Riverbed Technology Inc | METHODS AND SYSTEMS FOR SECURE COMMUNICATIONS USING LOCAL CERTIFICATION AUTHORITY |
| US9130846B1 (en) | 2008-08-27 | 2015-09-08 | F5 Networks, Inc. | Exposed control components for customizable load balancing and persistence |
| US20100180005A1 (en) * | 2009-01-12 | 2010-07-15 | Viasat, Inc. | Cache cycling |
| US8707043B2 (en) * | 2009-03-03 | 2014-04-22 | Riverbed Technology, Inc. | Split termination of secure communication sessions with mutual certificate-based authentication |
| US9015487B2 (en) * | 2009-03-31 | 2015-04-21 | Qualcomm Incorporated | Apparatus and method for virtual pairing using an existing wireless connection key |
| US8331568B2 (en) * | 2009-05-28 | 2012-12-11 | Microsoft Corporation | Efficient distribution of computation in key agreement |
| KR101027725B1 (ko) * | 2009-12-29 | 2011-04-12 | 주식회사 피앤피시큐어 | 가용성 보장을 위한 프록시 기반의 보안시스템 |
| US8700892B2 (en) | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| US9270663B2 (en) | 2010-04-30 | 2016-02-23 | T-Central, Inc. | System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added |
| US9356916B2 (en) | 2010-04-30 | 2016-05-31 | T-Central, Inc. | System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content |
| US20120284506A1 (en) * | 2010-04-30 | 2012-11-08 | T-Central, Inc. | Methods and apparatus for preventing crimeware attacks |
| JP5545141B2 (ja) * | 2010-09-09 | 2014-07-09 | 富士ゼロックス株式会社 | データ中継システム、中継装置、およびプログラム |
| CA2813758C (en) | 2010-10-08 | 2023-01-03 | Brian Lee Moffat | Private data sharing system |
| CN103392320B (zh) | 2010-12-29 | 2016-08-31 | 思杰系统有限公司 | 对加密项目进行多层标记以提供额外的安全和有效的加密项目确定的系统和方法 |
| CN102857341A (zh) * | 2011-06-28 | 2013-01-02 | 联芯科技有限公司 | 加密电话通信方法 |
| US8788819B2 (en) * | 2012-04-27 | 2014-07-22 | Yahoo! Inc. | System and method for a cloud-based electronic communication vault |
| US9203832B2 (en) * | 2013-03-12 | 2015-12-01 | Cable Television Laboratories, Inc. | DTCP certificate authentication over TLS protocol |
| US9137218B2 (en) * | 2013-05-03 | 2015-09-15 | Akamai Technologies, Inc. | Splicing into an active TLS session without a certificate or private key |
| US11038922B2 (en) | 2013-12-06 | 2021-06-15 | Fastly, Inc. | Secure traffic optimization in an edge network |
| KR101491694B1 (ko) * | 2013-12-30 | 2015-02-11 | 주식회사 시큐아이 | 보안 프락시 및 그것의 애플리케이션 프로토콜 처리 방법 |
| US10425446B2 (en) | 2014-09-29 | 2019-09-24 | Akamai Technologies, Inc. | HTTPS request enrichment |
| US10439908B2 (en) | 2014-12-23 | 2019-10-08 | Talari Networks Incorporated | Methods and apparatus for providing adaptive private network centralized management system time correlated playback of network traffic |
| US10015208B2 (en) | 2015-06-09 | 2018-07-03 | Cisco Technology, Inc. | Single proxies in secure communication using service function chaining |
| EP3398313B1 (en) * | 2015-12-31 | 2019-07-17 | Koninklijke Philips N.V. | Wireless communication system with multiple security levels |
| CN106503585B (zh) * | 2016-11-09 | 2019-01-29 | 济南浪潮高新科技投资发展有限公司 | 一种erp敏感数据安全隔离的方法 |
| US11314532B2 (en) * | 2018-10-11 | 2022-04-26 | Citrix Systems, Inc. | Systems and methods for traffic optimization via system on chip of intermediary device |
| CN110324397B (zh) * | 2019-03-21 | 2021-09-21 | 国网山东省电力公司 | 基于动态连接的智能变电站站控层应用服务接口访问方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3263878B2 (ja) * | 1993-10-06 | 2002-03-11 | 日本電信電話株式会社 | 暗号通信システム |
| US5550906A (en) * | 1994-08-05 | 1996-08-27 | Lucent Technologies Inc. | Telecommunications feature server |
| US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
| US5706434A (en) | 1995-07-06 | 1998-01-06 | Electric Classifieds, Inc. | Integrated request-response system and method generating responses to request objects formatted according to various communication protocols |
| JPH09139735A (ja) * | 1995-11-15 | 1997-05-27 | Hitachi Software Eng Co Ltd | 暗号化データ通信システム |
| US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
| US5918013A (en) * | 1996-06-03 | 1999-06-29 | Webtv Networks, Inc. | Method of transcoding documents in a network environment using a proxy server |
| US6421733B1 (en) | 1997-03-25 | 2002-07-16 | Intel Corporation | System for dynamically transcoding data transmitted between computers |
| JPH1168730A (ja) * | 1997-08-15 | 1999-03-09 | Nec Commun Syst Ltd | 暗号ゲートウェイ装置 |
| JP3877388B2 (ja) * | 1997-09-16 | 2007-02-07 | 三菱電機株式会社 | 情報提供システム |
| US6263437B1 (en) * | 1998-02-19 | 2001-07-17 | Openware Systems Inc | Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks |
| US6317831B1 (en) * | 1998-09-21 | 2001-11-13 | Openwave Systems Inc. | Method and apparatus for establishing a secure connection over a one-way data path |
| JP2000155717A (ja) * | 1998-11-19 | 2000-06-06 | Kenwood Corp | データベース協同利用システム |
| US6584567B1 (en) | 1999-06-30 | 2003-06-24 | International Business Machines Corporation | Dynamic connection to multiple origin servers in a transcoding proxy |
-
1999
- 1999-06-30 US US09/343,454 patent/US6584567B1/en not_active Expired - Lifetime
-
2000
- 2000-05-29 TW TW089110325A patent/TW480862B/zh not_active IP Right Cessation
- 2000-06-28 JP JP2001508136A patent/JP4405124B2/ja not_active Expired - Fee Related
- 2000-06-28 WO PCT/GB2000/002469 patent/WO2001003398A2/en active IP Right Grant
- 2000-06-28 CN CNB008095892A patent/CN1148926C/zh not_active Expired - Lifetime
- 2000-06-28 DE DE60026838T patent/DE60026838T2/de not_active Expired - Lifetime
- 2000-06-28 AT AT00940630T patent/ATE321405T1/de not_active IP Right Cessation
- 2000-06-28 PL PL00352195A patent/PL352195A1/xx unknown
- 2000-06-28 HU HU0201706A patent/HUP0201706A2/hu unknown
- 2000-06-28 AU AU55541/00A patent/AU5554100A/en not_active Abandoned
- 2000-06-28 CA CA002377257A patent/CA2377257C/en not_active Expired - Lifetime
- 2000-06-28 IL IL14711800A patent/IL147118A0/xx active IP Right Grant
- 2000-06-28 EP EP00940630A patent/EP1197052B1/en not_active Expired - Lifetime
- 2000-06-28 CZ CZ20014650A patent/CZ20014650A3/cs unknown
- 2000-06-28 KR KR10-2001-7016433A patent/KR100431567B1/ko not_active IP Right Cessation
-
2001
- 2001-12-16 IL IL147118A patent/IL147118A/en not_active IP Right Cessation
-
2002
- 2002-09-14 HK HK02106767.6A patent/HK1045419B/zh not_active IP Right Cessation
-
2009
- 2009-05-08 JP JP2009113926A patent/JP4959750B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003503963A (ja) | 2003-01-28 |
| PL352195A1 (en) | 2003-08-11 |
| HK1045419A1 (en) | 2002-11-22 |
| IL147118A (en) | 2007-06-03 |
| IL147118A0 (en) | 2002-08-14 |
| CZ20014650A3 (cs) | 2002-05-15 |
| CA2377257A1 (en) | 2001-01-11 |
| KR100431567B1 (ko) | 2004-05-17 |
| JP4959750B2 (ja) | 2012-06-27 |
| JP2009239919A (ja) | 2009-10-15 |
| EP1197052A2 (en) | 2002-04-17 |
| WO2001003398A2 (en) | 2001-01-11 |
| KR20020015056A (ko) | 2002-02-27 |
| DE60026838D1 (de) | 2006-05-11 |
| CA2377257C (en) | 2008-05-13 |
| CN1358386A (zh) | 2002-07-10 |
| WO2001003398A3 (en) | 2001-06-07 |
| DE60026838T2 (de) | 2006-09-07 |
| TW480862B (en) | 2002-03-21 |
| HUP0201706A2 (en) | 2002-09-28 |
| US6584567B1 (en) | 2003-06-24 |
| JP4405124B2 (ja) | 2010-01-27 |
| ATE321405T1 (de) | 2006-04-15 |
| HK1045419B (zh) | 2004-10-21 |
| EP1197052B1 (en) | 2006-03-22 |
| AU5554100A (en) | 2001-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1148926C (zh) | 使代理主机参与保密通信的方法和系统以及密码系统 | |
| US9819666B2 (en) | Pass-thru for client authentication | |
| US6993651B2 (en) | Security protocol | |
| US7249377B1 (en) | Method for client delegation of security to a proxy | |
| US6952768B2 (en) | Security protocol | |
| US7036010B2 (en) | Method and apparatus for a secure communications session with a remote system via an access-controlling intermediate system | |
| US20020019932A1 (en) | Cryptographically secure network | |
| EP1635502A1 (en) | Session control server and communication system | |
| CN1234662A (zh) | 密码点火处理方法及其装置 | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| WO2003061246A1 (en) | Mechanism for supporting wired and wireless methods for client and server side authentication | |
| JP4130809B2 (ja) | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム | |
| US20100031337A1 (en) | Methods and systems for distributed security processing | |
| US20090327730A1 (en) | Apparatus and method for encrypted communication processing | |
| WO2009018510A1 (en) | Systems and methods for implementing a mutating internet protocol security | |
| US20070266251A1 (en) | Circuit Arrangement And Method For Securing Communication Within Communication Networks | |
| CN114186213B (zh) | 基于联邦学习的数据传输方法及装置、设备和介质 | |
| Ventura | Diameter: Next generations AAA protocol | |
| Gehrmann et al. | Securing ad hoc services, a Jini view | |
| Wang | Security issues to tele-medicine system design | |
| Andersson et al. | Evaluation of Key Management Protocols and Their Implementations | |
| Stallings | Protocol Basics: Secure Shell Protocol. The Internet Protocol Journal, Volume 12, No. 4 | |
| WO2002033928A2 (en) | Cryptographically secure network | |
| LIN et al. | SECURE INTERNET ACCESSIBLE MATHEMATICAL COMPUTATION FRAMEWORK |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20040505 |
|
| CX01 | Expiry of patent term |