CN1578215A - 安全协议的自动协商系统和方法 - Google Patents
安全协议的自动协商系统和方法 Download PDFInfo
- Publication number
- CN1578215A CN1578215A CNA2004100632794A CN200410063279A CN1578215A CN 1578215 A CN1578215 A CN 1578215A CN A2004100632794 A CNA2004100632794 A CN A2004100632794A CN 200410063279 A CN200410063279 A CN 200410063279A CN 1578215 A CN1578215 A CN 1578215A
- Authority
- CN
- China
- Prior art keywords
- node
- territory
- internal node
- protocol
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Abstract
允许位于支持安全性的域之外的计算机或其它节点与服务器或在该域内的其它节点协商支持的安全协议的协议协商平台。现用目录TM (AD)、Kerberos和其它网络技术允许在域中的代理或节点利用默认协议和秘钥、证书或其它认证技术相互安全地通信。然而,过去的外部代理没有透明的方法进入该域,需要手工选择用于跨域边界的协议。根据本发明,外部代理和内部代理中的任一个都可启动建立跨域边界的安全对话的尝试,将包括一组支持的协议的请求传送到接收机器。接着,协商引擎可对在在对话两端中任一端的代理、节点上或机器上的可用协议进行比较,并在发现时,选择一兼容的协议。该内部和外部代理也可以用秘钥、证书或其它机构进行相互认证。
Description
(1)技术领域
本发明涉及联网计算机领域,特别涉及支持安全性的域和一个或多个外部节点之间的安全协议的自动协商。
(2)背景技术
网络技术的发展使网络管理员和其它人能对他们的网络和其它配置保持更大,更完善的安全控制。例如:微软视窗TMNT,2000和相关产品允许管理员用现用目录TM(AD)结构布署支持安全性的网络域。公知的Kerberos网络标准同样允许网络中的节点用秘钥/认证平台互相进行认证。有了这些操作技术,网络管理员能,例如:在安全的基础上,向个人工作站和其它客户机推行规则、应用程序、插入码、驱动器和其它来自网络服务器的资源,用于统一安装。在支持安全性的域中的所有机器也许能明显地识别和认证那些和其它类型的数据的传送。
然而,当节点在支持安全性的域外时,将规则、应用程序或其它资源的传递到工作站和从工作站传送规则、应用程序或其它资源的能力变得更加困难。例如:一公司可能有一组在局域网(LAN)上的计算机,但它们也与不在现用目录TM或其它支持安全性的域的一部分的远程位置上的计算机相互作用。跨安全域边界的通信变得更加复杂,部分是因为在域内部的机器和域外部的机器之间建立连接需要在相互支持的安全协议上达成一致。
因此,在对话发生之前,强制系统管理员和其它人尝试通过识别一个可在内部和外部机器之间兼容的协议,来作出将外部代理或节点输入到支持安全性的域的安排。例如:外部节点可配置成通过传输层(TLS)安全协议、基于Kerberos的协议、加密套接字协议层(SSL)或其它协议与在支持安全性的域中的管理服务器通信。该机器可依次在它的默认协议中指示一协议故障,请求切换该协议,或对外部节点和代理作出其它反应。因此,可能需要安全、传输和其它协议的手工设置或调整,它一种费时又易出错的过程。还存在其它问题。
(3)发明内容
本发明解决在一方面涉及安全协议的自动协商的系统和方法的领域的这些和其它问题,其中,可以在不需要管理员的干预的自动的基础上,建立与外部代理或节点的安全通信并认证身份。根据本发明的一个方面,网络管理器或其它在支持安全性的域中的代理或节点可启动建立与外部代理或节点的安全连接的尝试。该请求可包括指示一组可供管理器使用的安全协议的数据字段。所述外部代理可接收该请求并将可用于外部代理或管理器的协议与由外部代理支持的一组协议相比较。如果发现可用协议之间的匹配,就可以在选定的协议的基础上继续通信。在实施例中,每个外部代理和内部代理都通过一个秘钥、证书或其它认证机构相互认证。
(4)附图说明
图1示出可操作本发明的实施例的网络构造。
图2示出根据本发明的实施例,在内部节点和外部节点之间进行的协议过程。
图3示出根据本发明的实施例的协议表间的对比。
图4示出根据本发明的实施例示出全部协议协商过程。
(5)具体实施方式
图1示出其中根据本发明的实施例的协议协商平台和方法可运行的构造。如图所示, 在示出的实施中,一组客户机、服务器、代理或其它节点或机器可以在支持安全性的域102操作。可以在实施例中的支持安全性的域是或包括,例如:微软视窗TMNT现用目录TM(AD),Kerberos或其它以证书为基础或以秘钥为基础的域,或其它关闭的或安全分布式的目录或其它环境。在支持安全性的域中说明性地示出的是一内部管理器104,在实施例中可以是或包括一服务器或其它节点和一组内部代理106(由A1,A2…AN示出,N为任何值)。
在实施例中,该组内部代理可由附加服务器,工作站或其它客户机,或其它在支持安全性的域102中操作的内部代理或节点组成,或包括它们,并与内部管理器104通信。在实施例中,内容管理器104可以确定时间或执行网络定理功能,例如:将网络规则或其它数据传送或“推行”到所述内部代理组106,例如:存储的操作方针(例如:冗余阵列磁盘机方针,故障结束标准、存储器限制)、带宽实用程序或其它规则或数据。在传送这些或其它类型的数据时,内部管理器104或内部代理组106可利用支持安全性的域的安全资源来保证网络的安整性或规则及其它数据的分布。
如图所示,在实施例中,支持安全性的域102可提供认证服务,例如:使用诸如证书108的证书,它在实施例中可以是或包括根据X.509或其它标准或格式配置的证书。在实施例中,秘钥或其它机构同样可被使用。如图所示,证书108可以与内部管理器的认证数据结合或提供内部管理器的认证数据。为了验证,内部代理组106组中的任何一个都可以通过将证书108传送到证书管理机构110来认证规则、指令或其它从内部管理器104接收的数据。证书管理机构自己也可位于支持安全性的域102中,或按照示出的位于支持安全性的域102的外面。
在实施例中,证书管理机构110可以是或包括一服务器,或配置成读取并解码证书108的其它节点或其它认证机构,并将结果返回给内部代理组106或其它节点。内部代理组106中的每个节点也可与证书,秘钥或其它与支持安全性的域102兼容的认证数据相结合。内部代理组106中的节点也可以利用证书或其它机构相互通信及相互认证。
在图1所示的实施中,外部代理114也可以配置成通过通信网络112与内部管理器104通信。该外部代理114也可以是或包括服务器、工作站或其它节点或资源。为了认证,该外部代理114也可以与识别外部代理114的证书116相结合。通过通信网络112,外部代理114可与内部管理器104或实施例中的其它节点通信。通信网络112可以是,包括或连接到诸如:因特网、企业内部网、局域网(LAN)、广域网(WAN)、城域网(MAN)、存储区网络(SAN)、帧中继连接、高级智能网络(AIN)连接、同步光网(SONET)连接,数字T1,T3,E1或E3线路,数字数据服务(DDS)连接、ATM(异步传输模式)连接、FDDI(光纤分布式的数据界面)、CDDI(铜分布式的数据界面)或其它有线的、无线的或光连接。在实施例中外部代理114可以是或包含工作站、服务器、支持无线网络的装置、或其它节点、为联网的通信配置的代理或平台。
不同于跨域通信的已有实施,根据本发明的实施例,外部代理可启动与内部管理器104的联系,在相互兼容协议的基础上,以自动且透明的形式,用手工选择一兼容协议来建立安全连接。如图2所示,在外部代理114上执行的外部应用程序130可通过外部协商引擎126启动与内部管理器104的联系。外部应用程序130可以是或包括系统实用程序、生产力或其它应用程序,例如:数据备份调度程序、防火墙、防病毒或其它应用程序。例如:外部应用程序130可能需要用户简档、更新或其它数据来执行各种任务,并因此启动与内部管理器104的这种通信。
外部协商引擎126可以处理并管理外部应用程序130请求的通信,以与支持安全性的域102中的内部管理器104建立可相互兼容的通信链路。如示出的,在实施例中,作为公知的简单且防护的GSS-API协商(SPNEGO)协议的实施,外部协商引擎126可以启动并管理协商模块118。也可以用其它协议。在实施例中,可以通过外部代理114的操作系统,例如:通过应用编程界面(API)或其它机构来访问、启动或生成协商模块118。
外部协商引擎126也可包括或生成外部传输指定器120,指示以消息为基础的或可能被外部代理114用于执行协议协商过程的其它信道。例如:在实施例中,外部传输指定器120可将安全支持供应者界面(SSPI)协议指定为微软NET构造的一部分,允许外部应用程序130或其它软件或模块来存取,例如:动态链接库或支持标准密码的或其它编码方案的其它资源。可以在外部传输指定器120中使用或指定其它协议。因此,如图2所示,该外部协商引擎126可传送表示那个或其它数据的数据报,至与内部管理器104相关联的内部协商引擎128。
内部协商引擎128也可包括或连接到协商模块122和内部传输指定器124。接着,内部协商引擎128可与在内部管理器104上执行或由内部管理器存取的内部应用程序132通信。例如:内部应用程序132可以是或包括系统管理、生产力或其它应用程序。当接到与内部管理器104建立通信的请求时,内部协商引擎128可以通过内部传输指定器124与外部代理114建立以消息为基础的或其它的信道,例如:确认信道用SSPI协议的信道通信。
外部协商引擎126和外部协商引擎128可以用外部代理114和内部管理器104之间建立的初始信道启动协议协商和减少。在实施例中,外部代理114可以将图3所示的外部协议表134传送给内部管理器104。外部协议表134可指定外部代理114可配置使用哪些协议。在外部协议表134被内部管理器104接收到时,可以将它与内部协议表136相比较,指示出一组可供内部管理器104使用的安全协议。外部协议表134和内部协议表134的任何一个可包括指示,例如:传输层安全(TLS)、加密套接字协议层(SSL)、Kerberos、安全IP(IPSec)或其它可用的协议或标准的字段。如图3所示,与内部管理器104相关联的协商引擎128可识别出外部代理114和内部管理器104相互支持的一个或多个协议。
协商引擎128在实施例中也可将内部协议表136传送到与外部代理114相关联的协商引擎126,用于类似的协议比较。因此,协商引擎126和协商引擎128可协商相互可用的协议的选择,以建立跨支持安全性的域的安全通信。例如:如果只有一单个的普通协议既能供外部代理使用,也可供内部管理器104使用,114和内部管理器104可能会同意使用一个使用那个协议(例如:TLS或其它协议)的对话。如果协商引擎126和协商引擎128同意没有发现共同的协议,终止建立跨域通信的尝试。相反地,如协商引擎126和协商引擎128识别出多个共有的协议,可以按照网络标准(例如:传送速度、秘钥的位深度或其它安全机构,或其它因素)的选择协议。
有了相互兼容的协议,可以在外部代理114和内容管理器104之间建立安全对话。在实施例中,为了增加安全,外部代理114和内容管理器104中的每一个可同样地执行认证步骤来验证相对节点的身份、特权等级或其它安全细节。如图1所示,这可以用证书或其它安全机构执行。外部代理114可通过将证书108传送到证书管理机构110来认证内部管理器104。反过来,内部管理器104可通过将证书116传送到证书管理机构110来认证外部代理114。还可使用其它安全机构。
在外部代理114和内部管理器104之间交换的数据类型和内容在实施例中取决于两个节点间的相互认证。例如:可以为仅指示存取特权的给定等级的内部或外部节点保留对网络管理规则或参数的存取。可以使用其它认证规则或标准。在建立了操作的安全协议且任何认证过程都结束之后,外部代理114和内部管理器104可以交换数据、应用程序、规则或其它信息。当传输完成后,协商引擎126和协商引擎128可释放或终止该通信链路。
图4示出根据本发明的实施例的全部网络协议处理。在步骤402中,处理可开始。在步骤404中,在外部代理114、内部管理器104或其它客户机、代理或节点的任何一个中生成建立跨支持安全性的网络102的安全连接的请求。在步骤406中,可以将该建立安全连接的请求传送到接收节点(不论它是内部管理器104、外部代理114或其它客户机、代理或节点),该请求合并了与传送节点兼容的第一协议组。在步骤408中,可由接收节点接收该请求。在步骤410中,该接收节点(不论它是内部管理器104、外部代理114或其它客户机、代理或节点),都可比较第一协议组和接收节点的第二协议组,以确定是否可以在可用的协议中发现匹配。
如在第一协议组和第二协议组之间发现了匹配,则处理进入步骤412,步骤412确定是否发现了一个以上的匹配的协议。如果发现了一个以上的匹配的协议组,处理进入步骤414,在步骤414中,可以按协议标准(例如:传送速度、秘钥的位深度或其它安全机构,或其它因素)选用匹配的协议中的一个。随后处理可进入步骤416,在步骤416中,可以根据选定的协议启动外部代理114和内部管理器104之间的安全连接或对话。同样地,如果在步骤412中仅发现一个匹配的协议,处理进入到步骤416,在步骤416中可以启动一安全连接或对话。例如:在实施例中,可以在TCP/IP或其它通信或其它协议下打开指定的端口。
在步骤418中,可用信号交换和其它根据运用的匹配协议进行的步骤在外部代理114和内部管理器104之间启动协议专用交换。在步骤420中,外部代理114和内部管理器104中的任一个或它们两个都可通过适当地将相应的证书116(外部代理114的)或证书108(内部管理器的)传送到证书管理机构108来认证相应的其它结点。在实施例中,证书116或证书108或其它安全数据可以是或包括与X.509标准,或其它标准或格式相符的证书对象。当合适的认证完成时,处理进入到步骤422,在步骤422中,可以在外部代理114和内部管理器104之间进行安全连接或对话。例如:为了系统管理或其它目的,可以在两个节点之间传送网络或其它规则。
在完成安全对话时,处理可进入到步骤424,在步骤424,可终止或释放外部代理114和内部管理器104之间的安全连接。在步骤426中,处理可终止,重复,返回到前面的处理点或采取其它动作。同样地,如果在步骤410的确定中没有识别出匹配的协议,处理可进入到步骤426,以终止,重复,返回到前面的处理点或采取其它动作。
以上对本发明的描述是示例的,对本技术领域的技术人员来说,可对配置和实施进行修改。例如:尽管本发明是按照单个外部代理114描述的,但在实施例中,可以将多个外部代理或节点配置成与在支持安全性的域102中的内部管理器104或其它客户机或节点自动协商一个匹配的协议。同样地,尽管认证机构通常被描述成由使用X.509或其它标准的单个认证实体110支持,但在实施例中,也可使用多个认证实体或其它认证或认证平台。可以在实施例中分布其它硬件、软件或其它描述成唯一的资源,并同样在实施例中,可结合描述成分布式的资源。
另外,尽管在几次启动安全协议时描述了在支持安全性的域102之外的一个或其它节点或代理,将理解任何根据本发明配置的节点和代理,在域的外部或内部,能启动协议处理。同样地,内部和外部代理中的任一个或它们俩都能启动相对代理或节点的认证。因此,本发明的范围仅由以下权利要求书限定。
Claims (62)
1.一种自动协商安全协议的方法,其特征在于,包括:
接收在支持安全性的域内的内部节点和在支持安全性的域外的外部节点之间建立安全连接的安全授权请求;将与内部节点相关联的第一协议组同与外部节点相关联的第二协议组相比较;并在第一协议组和第二协议组之间发现匹配协议时,在外部节点和内部节点之间建立安全连接。
2.如权利要求1所述的方法,其特征在于,所述外部节点包括计算机和支持网络的无线装置中的至少一个。
3.如权利要求1所述的方法,其特征在于,所述内部节点包括客户机计算机和服务器中的至少一个。
4.如权利要求1所述的方法,其特征在于,所述支持安全性的域包括一分布式目录域。
5.如权利要求1所述的方法,其特征在于,所述支持安全性的域包括一基于证书的域。
6.如权利要求5所述的方法,其特征在于,所述基于证书的域包括一支持Kerberos的域。
7.如权利要求6所述的方法,其特征在于,所述匹配的协议包括一X.509证书。
8.如权利要求1所述的方法,其特征在于,所述安全授权请求是由外部节点生成的。
9.如权利要求8所述的方法,其特征在于,所述接收安全授权请求的步骤是由内部节点执行的。
10.如权利要求1所述的方法,其特征在于,所述安全授权请求是由内部节点生成的。
11.如权利要求10所述的方法,其特征在于,所述接收安全授权请求的步骤是由外部节点执行的。
12.如权利要求1所述的方法,其特征在于,还包括当外部节点和内部节点之间的对话完成时终止安全连接的步骤。
13.如权利要求1所述的方法,其特征在于,还包括当在第一协议组和第二协议组之间没有发现匹配时终止连接处理的步骤。
14.如权利要求1所述的方法,其特征在于,还包括当发现多个匹配的协议时选择一个用于建立安全连接的协议的步骤。
15.如权利要求1所述的方法,其特征在于,还包括认证内部节点和外部节点中至少一个的步骤。
16.如权利要求15所述的方法,其特征在于,所述认证的步骤还包括将证书传送到证书管理机构的步骤。
17.一种自动协商安全协议的系统,其特征在于,包括:
到内部节点的第一界面,该内部节点位于支持安全性的域内部,该内部节点具有一相关联的第一协议组;到外部节点的第二界面,该外部节点位于支持安全性的域外部,该外部节点具有一相关联的第二协议组;以及协商引擎,该协商引擎接收安全授权请求,以在内部节点和外部节点之间建立安全连接,将与内部节点相关联的第一协议组与与外部节点相关联的第二协议组相比较,并在第一协议组和第二协议组之间发现匹配协议时,在外部节点和内部节点之间建立安全连接。
18.如权利要求17所述的系统,其特征在于,所述外部节点包括计算机和支持网络的无线装置中的至少一个。
19.如权利要求17所述的系统,其特征在于,所述内内部节点包括客户机计算机和服务器中的至少一个。
20.如权利要求17所述的系统,其特征在于,所述支持安全性的域包括一分布式目录域。
21.如权利要求17所述的系统,其特征在于,所述支持安全性的域包括一基于证书的域。
22.如权利要求21所述的系统,其特征在于,所述基于证书的域包括一支持Kerberos的域。
23.如权利要求22所述的系统,其特征在于,所述匹配的协议包括一X.509证书。
24.如权利要求17所述的系统,其特征在于,所述安全授权请求是由外部节点生成的。
25.如权利要求24所述的系统,其特征在于,所述安全授权请求是由内部节点接收的。
26.如权利要求17所述的系统,其特征在于,所述安全授权请求是由内部节点生成的。
27.如权利要求26所述的系统,其特征在于,所述接收安全授权请求是由外部节点接收的。
28.如权利要求17所述的系统,其特征在于,当外部节点和内部节点之间的对话完成时,所述协商引擎终止安全连接。
29.如权利要求17所述的系统,其特征在于,当在第一协议组和第二协议组之间没有发现匹配时,所述协商引擎终止连接处理。
30.如权利要求17所述的系统,其特征在于,当发现多个匹配的协议时,所述协商引擎选择一个用于建立安全连接的协议。
31.如权利要求17所述的系统,其特征在于,其中内部节点和外部节点中至少一个认证另一个。
32.如权利要求31所述的系统,其特征在于,所述认证包括将证书传送到证书管理机构。
33.一种自动协商安全协议的系统,其特征在于,包括:
用于连接到内部节点的第一界面装置,该内部节点位于支持安全性的域内部,该内部节点具有一相关联的第一协议组;用于连接到外部节点的第二界面装置,该外部节点位于支持安全性的域外部,该外部节点具有一相关联的第二协议组;协商装置,该协商装置接收安全授权请求,以在内部节点和外部节点之间建立安全连接,将与内部节点相关联的第一协议组与与外部节点相关联的第二协议组相比较,并在第一协议组和第二协议组之间发现匹配协议时,在外部节点和内部节点之间建立安全连接。
34.如权利要求33所述的系统,其特征在于,所述外部节点包括计算机和支持网络的无线装置中的至少一个。
35.如权利要求33所述的系统,其特征在于,所述内部节点包括客户机计算机和服务器中的至少一个。
36.如权利要求33所述的系统,其特征在于,所述支持安全性的域包括一分布式目录域。
37.如权利要求36所述的系统,其特征在于,所述支持安全性的域包括一基于证书的域。
38.如权利要求37所述的系统,其特征在于,所述基于证书的域包括一支持Kerberos的域。
39.如权利要求38所述的系统,其特征在于,所述匹配的协议包括一X.509证书。
40.如权利要求33所述的系统,其特征在于,所述安全授权请求是由外部节点生成的。
41.如权利要求40所述的系统,其特征在于,所述接收安全授权请求是由内部节点接收的。
42.如权利要求33所述的系统,其特征在于,所述安全授权请求是由内部节点生成的。
43.如权利要求42所述的系统,其特征在于,所述接收安全授权请求是由外部节点接收的。
44.如权利要求33所述的系统,其特征在于,当外部节点和内部节点之间的对话完成时,所述协商引擎终止安全连接。
45.如权利要求33所述的系统,其特征在于,当在第一协议组和第二协议组之间没有发现匹配时,所述协商引擎终止连接处理。
46.如权利要求33所述的系统,其特征在于,当发现多个匹配的协议时,所述协商引擎选择一个用于建立安全连接的协议。
47.如权利要求33所述的系统,其特征在于,其中内部节点和外部节点中至少一个认证另一个。
48.如权利要求47所述的系统,其特征在于,所述认证包括将证书传送到证书管理机构。
49.一种计算机可读媒体,该计算机可读媒体可读出执行自动协商安全协议的方法,该方法包括:
接收安全授权请求,在支持安全性的域内部的内部节点和在支持安全性的域外部的外部节点之间建立安全连接,将与内部节点相关联的第一协议组与与外部节点相关联的第二协议组相比较;并在第一协议组和第二协议组之间发现匹配协议时,在外部节点和内部节点之间建立安全连接。
50.如权利要求49所述的计算机可读媒体,其特征在于,所述外部节点包括计算机和支持网络的无线装置中的至少一个。
51.如权利要求49所述的计算机可读媒体,其特征在于,所述内部节点包括客户机计算机和服务器中的至少一个。
52.如权利要求49所述的计算机可读媒体,其特征在于,所述支持安全性的域包括一分布式的目录域。
53.如权利要求49所述的计算机可读媒体,其特征在于,所述支持安全性的域包括一基于证书的域。
54.如权利要求53所述的计算机可读媒体,其特征在于,所述基于证书的域包括一支持Kerberos的域。
55.如权利要求54所述的计算机可读媒体,其特征在于,所述匹配的协议包括一X.509证书。
56.如权利要求49所述的计算机可读媒体,其特征在于,所述生成安全授权请求的步骤是由外部节点执行的。
57.如权利要求56所述的计算机可读媒体,其特征在于,所述接收安全授权请求的步骤是由内部节点执行的。
58.如权利要求49所述的计算机可读媒体,其特征在于,所述生成安全授权请求的步骤是由内部节点执行的。
59.如权利要求58所述的计算机可读媒体,其特征在于,所述接收安全授权请求的步骤是由外部节点执行的。
60.如权利要求49所述的计算机可读媒体,其特征在于,所述方法还包括当外部节点和内部节点之间的对话结束时终止安全连接的步骤。
61.如权利要求43所述的计算机可读媒体,其特征在于,所述方法还包括当没有在外部节点和内部节点之间发现匹配时,终止连接的步骤。
62.如权利要求43所述的计算机可读媒体,其特征在于,所述方法还包括当发现多个匹配的协议时,选择用于建立安全连接的协议的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/608,334 | 2003-06-30 | ||
| US10/608,334 US7526640B2 (en) | 2003-06-30 | 2003-06-30 | System and method for automatic negotiation of a security protocol |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1578215A true CN1578215A (zh) | 2005-02-09 |
| CN1578215B CN1578215B (zh) | 2010-05-12 |
Family
ID=33490832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100632794A Expired - Fee Related CN1578215B (zh) | 2003-06-30 | 2004-06-30 | 安全协议的自动协商系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7526640B2 (zh) |
| EP (1) | EP1501256B1 (zh) |
| JP (1) | JP4819328B2 (zh) |
| KR (1) | KR101086576B1 (zh) |
| CN (1) | CN1578215B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101444062B (zh) * | 2006-03-28 | 2012-03-21 | 诺基亚公司 | 用于在会话发起协议中携带受信任网络所提供的接入网络信息的系统和方法 |
| CN101375545B (zh) * | 2006-08-17 | 2012-06-13 | 西门子企业通讯有限责任两合公司 | 用于提供无线网状网的方法和设备 |
| US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
| CN101543004B (zh) * | 2006-11-20 | 2012-07-25 | 英国电讯有限公司 | 安全网络体系结构 |
| CN103826225A (zh) * | 2014-02-19 | 2014-05-28 | 西安电子科技大学 | 一种无线网络中身份认证协议选择方法 |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8244875B2 (en) * | 2002-12-13 | 2012-08-14 | ANXeBusiness Corporation | Secure network computing |
| US8332464B2 (en) * | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
| CN1833403B (zh) * | 2003-08-08 | 2011-05-25 | 小川惠子 | 通信系统、通信装置、通信方法 |
| CN100389584C (zh) * | 2004-12-31 | 2008-05-21 | 北京邮电大学 | 一种用于应用服务器的安全能力的协商方法 |
| US8316129B2 (en) | 2005-05-25 | 2012-11-20 | Microsoft Corporation | Data communication coordination with sequence numbers |
| CN1980125B (zh) * | 2005-12-07 | 2010-08-11 | 华为技术有限公司 | 一种身份认证方法 |
| KR101009330B1 (ko) | 2006-01-24 | 2011-01-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 |
| JP2007207067A (ja) * | 2006-02-03 | 2007-08-16 | Nippon Telegr & Teleph Corp <Ntt> | サーバクライアントシステムおよび該システムにおけるアクセス制御方法、ならびにそのためのプログラム |
| US20110087792A2 (en) * | 2006-02-07 | 2011-04-14 | Dot Hill Systems Corporation | Data replication method and apparatus |
| US7783850B2 (en) * | 2006-03-28 | 2010-08-24 | Dot Hill Systems Corporation | Method and apparatus for master volume access during volume copy |
| US20070255958A1 (en) * | 2006-05-01 | 2007-11-01 | Microsoft Corporation | Claim transformations for trust relationships |
| US8369212B2 (en) * | 2006-08-29 | 2013-02-05 | Hewlett-Packard Development Company, L.P. | Network path validation based on user-specified criteria |
| US20080095178A1 (en) * | 2006-10-12 | 2008-04-24 | Raydon Corporation | Metaprotocol for Network Communications |
| US8751467B2 (en) * | 2007-01-18 | 2014-06-10 | Dot Hill Systems Corporation | Method and apparatus for quickly accessing backing store metadata |
| US7831565B2 (en) * | 2007-01-18 | 2010-11-09 | Dot Hill Systems Corporation | Deletion of rollback snapshot partition |
| US7827405B2 (en) * | 2007-01-19 | 2010-11-02 | Microsoft Corporation | Mechanism for utilizing kerberos features by an NTLM compliant entity |
| US7716183B2 (en) * | 2007-04-11 | 2010-05-11 | Dot Hill Systems Corporation | Snapshot preserved data cloning |
| US7975115B2 (en) * | 2007-04-11 | 2011-07-05 | Dot Hill Systems Corporation | Method and apparatus for separating snapshot preserved and write data |
| EP1990969A1 (en) * | 2007-05-09 | 2008-11-12 | Nokia Siemens Networks Oy | Method for data communication and device as well as communication system comprising such device |
| US8001345B2 (en) * | 2007-05-10 | 2011-08-16 | Dot Hill Systems Corporation | Automatic triggering of backing store re-initialization |
| US7783603B2 (en) * | 2007-05-10 | 2010-08-24 | Dot Hill Systems Corporation | Backing store re-initialization method and apparatus |
| US8204858B2 (en) | 2007-06-25 | 2012-06-19 | Dot Hill Systems Corporation | Snapshot reset method and apparatus |
| GB0813298D0 (en) * | 2008-07-19 | 2008-08-27 | Univ St Andrews | Multipad encryption |
| US10015286B1 (en) * | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
| US8631277B2 (en) | 2010-12-10 | 2014-01-14 | Microsoft Corporation | Providing transparent failover in a file system |
| US8739244B1 (en) * | 2011-06-07 | 2014-05-27 | Riverbed Technology, Inc. | Configuring and authenticating WAN optimization devices for accessing content delivery networks |
| US9331955B2 (en) | 2011-06-29 | 2016-05-03 | Microsoft Technology Licensing, Llc | Transporting operations of arbitrary size over remote direct memory access |
| US8856582B2 (en) | 2011-06-30 | 2014-10-07 | Microsoft Corporation | Transparent failover |
| DE102011079399A1 (de) * | 2011-07-19 | 2013-01-24 | Bayerische Motoren Werke Aktiengesellschaft | Steuervorrichtung für ein Kraftfahrzeug, Programmiervorrichtung und Programmiersystem |
| US20130067095A1 (en) | 2011-09-09 | 2013-03-14 | Microsoft Corporation | Smb2 scaleout |
| US8788579B2 (en) | 2011-09-09 | 2014-07-22 | Microsoft Corporation | Clustered client failover |
| US8782395B1 (en) | 2011-09-29 | 2014-07-15 | Riverbed Technology, Inc. | Monitoring usage of WAN optimization devices integrated with content delivery networks |
| US9538561B2 (en) | 2013-05-22 | 2017-01-03 | Intel IP Corporation | Systems and methods for enabling service interoperability functionality for WiFi Direct devices connected to a network via a wireless access point |
| US9961125B2 (en) | 2013-07-31 | 2018-05-01 | Microsoft Technology Licensing, Llc | Messaging API over HTTP protocol to establish context for data exchange |
| US9396338B2 (en) | 2013-10-15 | 2016-07-19 | Intuit Inc. | Method and system for providing a secure secrets proxy |
| US9467477B2 (en) | 2013-11-06 | 2016-10-11 | Intuit Inc. | Method and system for automatically managing secrets in multiple data security jurisdiction zones |
| US9444818B2 (en) | 2013-11-01 | 2016-09-13 | Intuit Inc. | Method and system for automatically managing secure communications in multiple communications jurisdiction zones |
| US9894069B2 (en) | 2013-11-01 | 2018-02-13 | Intuit Inc. | Method and system for automatically managing secret application and maintenance |
| US10440066B2 (en) * | 2013-11-15 | 2019-10-08 | Microsoft Technology Licensing, Llc | Switching of connection protocol |
| US9292705B2 (en) * | 2014-02-21 | 2016-03-22 | Lens Ventures, Llc | Management of drone operations and security in a pervasive computing environment |
| KR20160046114A (ko) * | 2014-10-20 | 2016-04-28 | 삼성전자주식회사 | 데이터 통신 방법 및 이를 구현하는 전자 장치 |
| CN106161224B (zh) | 2015-04-02 | 2019-09-17 | 阿里巴巴集团控股有限公司 | 数据交换方法、装置及设备 |
| US10936711B2 (en) | 2017-04-18 | 2021-03-02 | Intuit Inc. | Systems and mechanism to control the lifetime of an access token dynamically based on access token use |
| EP3442193B1 (de) * | 2017-08-09 | 2020-05-06 | Siemens Mobility GmbH | Verfahren zum aufbau eines sicheren kommunikationskanals zwischen einer ersten und einer zweiten netzwerkeinrichtung |
| US10587611B2 (en) * | 2017-08-29 | 2020-03-10 | Microsoft Technology Licensing, Llc. | Detection of the network logon protocol used in pass-through authentication |
| US10635829B1 (en) | 2017-11-28 | 2020-04-28 | Intuit Inc. | Method and system for granting permissions to parties within an organization |
| CN112672363B (zh) * | 2019-10-15 | 2023-04-18 | 华为技术有限公司 | 随流信息遥测能力的确认方法和设备 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5008879B1 (en) * | 1988-11-14 | 2000-05-30 | Datapoint Corp | Lan with interoperative multiple operational capabilities |
| US5010572A (en) * | 1990-04-27 | 1991-04-23 | Hughes Aircraft Company | Distributed information system having automatic invocation of key management negotiations protocol and method |
| US5204961A (en) * | 1990-06-25 | 1993-04-20 | Digital Equipment Corporation | Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols |
| US5828893A (en) * | 1992-12-24 | 1998-10-27 | Motorola, Inc. | System and method of communicating between trusted and untrusted computer systems |
| US5471461A (en) * | 1993-04-28 | 1995-11-28 | Allen-Bradley Company, Inc. | Digital communication network with a moderator station election process |
| US5530758A (en) * | 1994-06-03 | 1996-06-25 | Motorola, Inc. | Operational methods for a secure node in a computer network |
| US5530703A (en) * | 1994-09-23 | 1996-06-25 | 3Com Corporation | Remote communication server with automatic filtering |
| US5913024A (en) * | 1996-02-09 | 1999-06-15 | Secure Computing Corporation | Secure server utilizing separate protocol stacks |
| US6216231B1 (en) * | 1996-04-30 | 2001-04-10 | At & T Corp. | Specifying security protocols and policy constraints in distributed systems |
| US6205148B1 (en) * | 1996-11-26 | 2001-03-20 | Fujitsu Limited | Apparatus and a method for selecting an access router's protocol of a plurality of the protocols for transferring a packet in a communication system |
| US6125122A (en) * | 1997-01-21 | 2000-09-26 | At&T Wireless Svcs. Inc. | Dynamic protocol negotiation system |
| US6055575A (en) | 1997-01-28 | 2000-04-25 | Ascend Communications, Inc. | Virtual private network system and method |
| US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
| JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
| US6871284B2 (en) * | 2000-01-07 | 2005-03-22 | Securify, Inc. | Credential/condition assertion verification optimization |
| DE10028715B4 (de) * | 2000-06-08 | 2005-08-11 | Siemens Ag | Verfahren zur Kommunikation zwischen Kommunikationsnetzen |
| US20020078371A1 (en) * | 2000-08-17 | 2002-06-20 | Sun Microsystems, Inc. | User Access system using proxies for accessing a network |
| US6996841B2 (en) * | 2001-04-19 | 2006-02-07 | Microsoft Corporation | Negotiating secure connections through a proxy server |
| US6934702B2 (en) * | 2001-05-04 | 2005-08-23 | Sun Microsystems, Inc. | Method and system of routing messages in a distributed search network |
| CN1268088C (zh) * | 2001-11-29 | 2006-08-02 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
| US6845452B1 (en) * | 2002-03-12 | 2005-01-18 | Reactivity, Inc. | Providing security for external access to a protected computer network |
| CN1173529C (zh) * | 2002-06-05 | 2004-10-27 | 华为技术有限公司 | 基于边界网关协议报文的控制报文安全保护方法 |
-
2003
- 2003-06-30 US US10/608,334 patent/US7526640B2/en not_active Expired - Fee Related
-
2004
- 2004-06-04 EP EP04102520.6A patent/EP1501256B1/en not_active Not-in-force
- 2004-06-24 JP JP2004187041A patent/JP4819328B2/ja not_active Expired - Fee Related
- 2004-06-29 KR KR1020040049661A patent/KR101086576B1/ko active IP Right Grant
- 2004-06-30 CN CN2004100632794A patent/CN1578215B/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
| CN101263468B (zh) * | 2005-09-12 | 2013-03-13 | 微软公司 | 创建与远程资源的安全交互连接 |
| US9038162B2 (en) | 2005-09-12 | 2015-05-19 | Microsoft Technology Licensing, Llc | Creating secure interactive connections with remote resources |
| CN101444062B (zh) * | 2006-03-28 | 2012-03-21 | 诺基亚公司 | 用于在会话发起协议中携带受信任网络所提供的接入网络信息的系统和方法 |
| CN101375545B (zh) * | 2006-08-17 | 2012-06-13 | 西门子企业通讯有限责任两合公司 | 用于提供无线网状网的方法和设备 |
| CN101543004B (zh) * | 2006-11-20 | 2012-07-25 | 英国电讯有限公司 | 安全网络体系结构 |
| CN103826225A (zh) * | 2014-02-19 | 2014-05-28 | 西安电子科技大学 | 一种无线网络中身份认证协议选择方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1501256A3 (en) | 2007-02-21 |
| EP1501256B1 (en) | 2013-07-24 |
| JP2005025739A (ja) | 2005-01-27 |
| JP4819328B2 (ja) | 2011-11-24 |
| CN1578215B (zh) | 2010-05-12 |
| US7526640B2 (en) | 2009-04-28 |
| US20040268118A1 (en) | 2004-12-30 |
| KR20050002628A (ko) | 2005-01-07 |
| EP1501256A2 (en) | 2005-01-26 |
| KR101086576B1 (ko) | 2011-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1578215B (zh) | 安全协议的自动协商系统和方法 | |
| JP6656157B2 (ja) | ネットワーク接続自動化 | |
| US10135827B2 (en) | Secure access to remote resources over a network | |
| WO2018095416A1 (zh) | 信息处理方法、装置及系统 | |
| JP4632315B2 (ja) | グリッド・アクセス及びネットワーク・アクセスを提供するシングル・サインオン操作のための方法及びシステム | |
| RU2297037C2 (ru) | Управление защищенной линией связи в динамических сетях | |
| US9438574B2 (en) | Client/server authentication over Fibre channel | |
| EP1147637A1 (en) | Seamless integration of application programs with security key infrastructure | |
| JPH09160876A (ja) | Lanサーバ環境における相互確認の方法及び装置 | |
| CN101488857B (zh) | 认证服务虚拟化 | |
| CN101076796A (zh) | 为漫游用户建立虚拟专用网络 | |
| CN102984045A (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| WO2010006248A2 (en) | Service oriented architecture device | |
| CN1479483A (zh) | 一种实现网络设备间安全可靠互连的方法 | |
| JP2865928B2 (ja) | リモートメンテナンス装置 | |
| US20030200322A1 (en) | Autonomic system for selective administation isolation of a secure remote management of systems in a computer network | |
| CN111628960A (zh) | 用于网络管理的系统和方法 | |
| US11569997B1 (en) | Security mechanisms for data plane extensions of provider network services | |
| Sobh et al. | Performance improvements on the network security protocols | |
| JP4882860B2 (ja) | アクセス制御システム | |
| KR100555745B1 (ko) | 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법 | |
| IL308275A (en) | A communication method for IoT nodes or IoT devices on a local network | |
| Graupner et al. | Globus Grid and Firewalls: Issues and Solutions Globus Grid and Firewalls: Issues and Solutions in a Utility Data Center Environment1 | |
| WO2002033928A2 (en) | Cryptographically secure network | |
| CN1713562A (zh) | 一种安全插槽层虚拟私有网络结构及其连接方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150506 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150506 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20210630 |