DE19741246A1 - Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken - Google Patents
Vorrichtung und Verfahren zur Erhöhung der Sicherheit in NetzwerkenInfo
- Publication number
- DE19741246A1 DE19741246A1 DE19741246A DE19741246A DE19741246A1 DE 19741246 A1 DE19741246 A1 DE 19741246A1 DE 19741246 A DE19741246 A DE 19741246A DE 19741246 A DE19741246 A DE 19741246A DE 19741246 A1 DE19741246 A1 DE 19741246A1
- Authority
- DE
- Germany
- Prior art keywords
- message
- level
- network
- protocol
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Description
Die vorliegende Erfindung betrifft im allgemeinen Netzwerkkommunikationen und
im besonderen ein System und ein Verfahren zur sicheren Übermittlung von Infor
mationen zwischen Firewalls über ein ungeschütztes Netzwerk.
Firewalls spielen eine wachsende Rolle beim Aufbau von Netzwerken. Firewalls
bieten nämlich Schutz für wertvolle Recourcen in privaten Netzwerken und erlau
ben gleichzeitig die Kommunikation mit Systemen und den Zugriff auf diese, die
sich in einem ungeschützten Netzwerk wie beispielsweise das Internet befinden.
Zusätzlich blockieren Firewalls Angriffe auf private Netzwerke, die vom unge
schützten Netzwerk kommen, indem eine einzige Verbindung mit begrenzten
Diensten geschaffen wird. Eine gut aufgebaute Firewall begrenzt die Sicherheits
probleme einer Internet-Verbindung auf ein einziges Firewallcomputersystem. Auf
diese Weise können die Netzwerksicherheitsbemühungen auf die Bildung des von
der Firewall erzwungenen Sicherheitsverhaltens konzentriert werden. Beispiele
eines Firewall-Systems, die als Gateways auf einer Anwendungsebene vorgesehen
sind, sind in den US-Patentanmeldungen 08/322078 und 08/599232 offenbart.
Gateways auf Anwendungsebene verwenden Proxies, die auf der Anwendungs
ebene arbeiten, um den Verkehr durch die Firewalls zu verarbeiten und zu steuern.
Dabei wird nicht nur der Verkehr der Botschaften, sondern auch deren Inhalt
überprüft. Zusätzlich sind Authentifizierungs- und Identifikationsdienste sowie
Zugriffssteuerungen und -prüfungen vorgesehen.
Auf ungeschützten Netzwerken wie dem Internet zu übermittelnde Daten sind
empfindlich gegen elektronisches Abhören und sonstigen Mißbrauch. Obwohl eine
Firewall Daten innerhalb eines privaten Netzwerkes vor Angriffen aus ungeschütz
ten Netzwerken schützen kann, sind gleichwohl diese Daten bei der Übermittlung
vom privaten Netzwerk zu einer externen Maschine gegen Abhören und sonstigen
Mißbrauch verwundbar. Im Hinblick auf diese Gefahr entwickelte die In
ternet-Engineering-Task-Force IETF einen Standard zum Schutz von zwischen Firewalls
über ein ungeschütztes Netzwerk übermittelten Daten. Der Internetprotokollsicher
heitsstandard IPSEC (Internet Protocol Security) verlangt die Verschlüsselung der
Daten vor Verlassen der ersten Firewall und die anschließende Entschlüsselung bei
Empfang durch die zweite Firewall. Die entschlüsselten Daten werden anschließend
an ihr Ziel, gewöhnlich einen an die zweite Firewall angeschlossener Arbeitsplatz
eines Benutzers weitergeleitet. Deshalb wird die IPSEC-Verschlüsselung manchmal
auch als Firewall-Firewall-Verschlüsselung FFE (firewall-to-firewall encryption) und
die Verbindung zwischen einem an die erste Firewall angeschlossenen Arbeitsplatz
und einem an die zweite Firewall angeschlossenen Client oder Server als virtuelles
privates Netzwerk VPN bezeichnet.
Die zwei Hauptkomponenten des IPSEC-Standard umfassen die Datenverschlüsse
lung und die Authentifizierung (Echtheitsprüfung) der Sender. Durch die Datenver
schlüsselung erhöht sich der Aufwand zum Auslesen der übermittelten Daten beim
unerlaubten Abhören. Die Senderauthentifizierung gewährleistet, daß das Zielsy
stem verifizieren kann, ob die verschlüsselten Daten tatsächlich von demjenigen
Arbeitsplatz übermittelt wurden, von dem sie auch tatsächlich abgesendet worden
sind. Der IPSEC-Standard definiert eingeschlossene Nutzdaten ESP (encapsulated
payload) als Mechanismus zur Übermittlung von verschlüsselten Daten. Dieser
Standard identifiziert einen Authentifizierungsdatenkopf oder -header AH als
Mechanismus zur Schaffung der Identität des sendenden Arbeitsplatzes.
Durch korrekte Benutzung der Verschlüsselung können die Probleme des unerlaub
ten Abhörens und sonstigen Mißbrauches vermieden werden. Eine geschützte
Verbindung wird nämlich von dem an die eine Firewall angeschlossenen internen
Netzwerk zu einem an eine andere Firewall angeschlossenen internen Netzwerk
aufgebaut. Zusätzlich kann der IPSEC-Standard zur Schaffung einer geschützten
Verbindung zu einem externen Computersystem, wie beispielsweise einem trag
baren Personal Computer verwendet werden.
Die IPSEC-Verschlüsselung und -Entschlüsselung arbeiten in der Internetprotokoll
ebene des Netzwerkprotokoll-Stack. D. h. sämtliche Kommunikation zwischen zwei
Internetprotokolladressen istgeschützt, da sämtliche Kommunikation zwischen den
Firewalls durch die Internetprotokollebene laufen muß. Eine solche Maßnahme ist
gegenüber Verschlüsselung und Entschlüsselung auf höheren Ebenen im Netzwerk
protokoll-Stack vorzuziehen, da im Falle einer Verschlüsselung auf Ebenen höher
als die Internetprotokollebene mehr Arbeit erforderlich ist, um zu gewährleisten,
daß sämtliche unterstützte Kommunikation korrekt geschützt ist. Da die
IPSEC-Verschlüsselung unterhalb der Übermittlungsebene gehandhabt wird, können von
jeder Anwendung gesendete Daten verschlüsselt werden. Deshalb wird der
IPSEC-Standard zu einem transparenten Zusatz zu Protokollen wie TCP und UDP.
Da jedoch die IPSEC-Entschlüsselung auf der Internetprotokollebene stattfindet, ist
es jedoch schwierig, den IPSEC-Standard an einem Gateway auf Anwendungs
ebene anzuwenden, während gleichzeitig noch eine Kontrolle am Proxy über
Authentifizierung, Inhalt der Botschaften sowie Zugriffssteuerung und -prüfung
aufrechterhalten bleibt. Obwohl die IPSEC-Specifikation in RFC 1825 die Ver
wendung eines obligatorischen Zugriffssteuerungsmechanismus in einem auf
mehreren Ebenen sicheren Netzwerk MLS vorschlägt, um eine der Botschaft zu
geordnete Sicherheitsebene mit der Sicherheitsebene des empfangenden Prozesses
zu vergleichen, ist eine solche Maßnahme nur von begrenztem Nutzen in der
Umgebung eines Gateway auf Anwendungsebene. Tatsächlich ist bei den Im
plementierungen auf den Gateways auf Anwendungsebene heutzutage einfach
darauf vertraut worden, daß die Botschaften als Gewähr dafür, daß sie legitimiert
sind, nach dem IPSEC-Standard verschlüsselt werden, und die Botschaften werden
deshalb einfach dekodiert und zu ihrem Ziel weitergeleitet. Dies schafft gleichwohl
eine potentielle Lücke in der Firewall aufgrund der Annahme, daß die verschlüsselte
Kommunikation Zugriff zu allen Diensten besitzt.
Es besteht daher Bedarf an einem Verfahren zur Handhabung von IPSEC-Botschaf
ten innerhalb eines Gateway auf Anwendungsebene, bei welchem die zuvor
beschriebenen Nachteile vermieden werden und welches eine Kontrolle über den
Zugriff durch eine IPSEC-Verbindung auf individuelle Dienste innerhalb des internen
Netzwerkes erlaubt.
Diese Aufgabe wird mit der Erfindung gemäß den Merkmalen der unabhängigen
Ansprüche gelöst.
Weiterbildung und Erfindung sind in den abhängigen Ansprüchen gekennzeichnet.
Nachfolgend werden bevorzugte Ausführungsbeispiele der Erfindung anhand der
beiliegenden Zeichnungen näher erläutert.
Es zeigen:
Fig. 1 im funktionalen Blockschaltbild ein Firewall-Firewall-Verschlüsselungs
system gemäß der vorliegenden Erfindung;
Fig. 2 im Blockschaltbild eine Zugriffsteuerungsprüfung von verschlüsselten
und entschlüsselten Botschaften in einem Netzwerkprotokoll-Stack
gemäß der vorliegenden Erfindung;
Fig. 3 im Blockschaltbild ein Firewall-Firewall-Verschlüsselungsschema, im
plementiert auf einem Gateway auf Anwendungsebene;
Fig. 4 im Blockschaltbild eine bevorzugte Ausführung eines vom Netzwerk
getrennten Protokoll-Stack mit implementiertem IPSEC-Standard gemäß
der vorliegenden Erfindung; und
Fig. 5 im funktionalen Blockschaltbild ein Firewall-Arbeitsplatz-Verschlüsse
lungssystem gemäß der vorliegenden Erfindung.
Ein System 10, das für eine Firewall-Firewall-Verschlüsselung FFE verwendet wird,
ist in Fig. 1 gezeigt. Gemäß Fig. 1 weist das System 10 eine Workstation bzw.
einen Arbeitsplatz 12 auf, der über eine Firewall 14 mit einem ungeschützten Netz
werk 16 wie dem Internet kommuniziert. Das System 10 weist ebenfalls einen
Arbeitsplatz 20 auf, der über eine Firewall 18 mit dem ungeschützten Netzwerk 16
kommuniziert. Bei einer Ausführung handelt es sich bei der Firewall 18 um ein
Gateway auf Anwendungsebene.
Wir bereits zuvor angemerkt worden ist, arbeiten die IPSEC-Verschlüsselung und
-Entschlüsselung innerhalb der Internetprotokoll (IP)-Schicht bzw. -Ebene des
Netzwerkprotokoll-Stack. D. h. sämtliche Kommunikation zwischen zwei Internet
protokollebenen wird geschützt, da sämtliche Kommunikation zwischen den
Firewalls durch die Internetprotokollebene laufen muß. IPSEC nimmt das Standard-
Internet-Paket und wandelt es in ein Trägerpaket um. Das Trägerpaket ist dazu
vorgesehen, die Inhalte des ursprünglichen Paketes zu verbergen (Verschlüsselung)
und einen Mechanismus zu schaffen, bei dem die Empfänger-Firewall die Quelle
des Pakete verifizieren kann (Authentifizierung). Bei einer bevorzugten Ausführung
der vorliegenden Erfindung enthält jedes IPSEC-Trägerpaket einen Authentifizie
rungsdatenkopf bzw. -header zur Authentifizierung des sendenden Gerätes und
eingeschlossene Nutzdaten (encapsulated payload), die verschlüsselte Daten
enthalten. Die Authentifizierungsdatenkopf- und Nutzdaten-Merkmale des IPSEC
können jedoch unabhängig voneinander benutzt werden. Wie in RFC 1825 gefor
dert, ist DES-CBC zur Wendung beim Verschlüsseln der eingeschlossenen Nutz
daten vorgesehen, während der Authentifizierungsdatenkopf verschlüsseltes MD5
verwendet. Um IPSEC zu benutzen, muß eine Sicherheitszuordnung SA (security
association) für jede Internetprotokoll-Zieladresse geschaffen werden. Bei einer
bevorzugten Ausführung enthält jede Sicherheitszuordnung die folgende Informa
tion:
- - Sicherheitsparameterindex SPI (Security Parameters Index) - der Index, der zum Finden einer Sicherheitszuordnung bei Empfang eines IPSEC-Datagrams benutzt wird.
- - Internetprotokoll-Zieladresse - die Adresse, die zum Finden der Sicherheits zuordnung und der Benutzung eines Triggers der IPSEC-Verarbeitung bei der Ausgabe benutzt wird.
- - Der Peer-SPI - der SPI-Wert auf einem IPSEC-Datagram bei Ausgabe.
- - Die Peer-Internetprotokoll-Adresse - die Internetprotokoll-Zieladresse, um in dem Paketdatenkopf abgelegt zu werden, falls der IPSEC-Tunnel-Modus benutzt wird.
- - Der zu verwendende Algorithmus für die Verschlüsselungssicherheitsnutz daten ESP.
- - Der ESP-Schlüssel zur Entschlüsselung von eingegebenen Datagrams.
- - Der ESP-Schlüssel zur Verschlüsselung von ausgegebenen Datagrams.
- - Der zu verwendende Algorithmus für die Authentifizierung AH.
- - Der AH-Schlüssel zur Validation bzw. Gültigmachung von eingegebenen Paketen.
- - Der AH-Schlüssel zur Erzeugung von Authentifizierungsdaten für ausgegebe ne Datagrams.
Nur die Kombination eines gegebenen Sicherheitsparameterindex und einer Inter
netprotokoll-Zieladresse identifiziert eine besondere "Sicherheitszuordnung". Bei
einer bevorzugten Ausführung verwendet die sendende Firewall die Sendebenutze
ridentifikation (sending userid) und Zieladresse, um eine geeignete Sicherheits
zuordnung (und somit SPI-Wert) auszuwählen. Die empfangende Firewall verwendet
die Kombination von SPI-Wert und Quellenadresse, um eine geeignete Sicherheits
zuordnung zu erhalten.
Eine Sicherheitszuordnung funktioniert normalerweise in einer Richtung. Eine au
thentifizierte Kommunikation zwischen zwei Firewalls verwendet normalerweise
zwei Sicherheitsparameterindizes (einen in jeder Richtung). Nur die Kombination
eines besonderen Sicherheitsparameterindex und einer besonderen Zieladresse
identifiziert die Sicherheitszuordnung.
Weitere Informationen über die Besonderheiten einer IPSEC-FFE-Implementierung
kann man aus den Standards erhalten, die von der IPSEC-Arbeitsgruppe erarbeitet
wurden und in "Security Architecture for IP" (RFC 1825) und in RFC 1826-1829
dokumentiert sind.
Wenn ein Datagram vom ungeschützten Netzwerk 16 empfangen wird oder an ein
Ziel über das ungeschützte Netzwerk 16 abzusenden ist, muß die Firewall die
Algorithmen, Schlüssel etc. bestimmen können, welche zur korrekten Verarbeitung
des Datagrams benutzt werden müssen. Bei einer bevorzugten Ausführung erhält
man diese Information durch eine Durchsicht der Sicherheitszuordnungen. Bei einer
bevorzugten Ausführung durchläuft die Lookup-Routine mehrere Parameter bzw.
Abfragen (arguments): Die IP-Quellenadresse bei Empfang des Datagrams aus dem
Netzwerk 16 oder die IP-Zieladresse bei Übermittlung des Datagrams über das
Netzwerk 16, den SPI und ein Flag, das zur Anzeige verwendet wird, ob die
Routine zum Empfangen oder Absenden eines Datagrams durchgeführt wird.
Bei Empfang eines IPSEC-Datagrams durch die Firewall 18 aus einem ungeschütz
ten Netzwerk 16, werden der SPI und die Internetprotokoll-Quellenadresse durch
Einsichtnahmen in das Datagram ermittelt. Bei einer bevorzugten Ausführung wird
eine in der Firewall 18 gespeicherte Sicherheitszuordnungsdatenbank SADB (Secu
rity Association Database) für den Eintrag mit einem übereinstimmenden SPI ge
sucht. Bei dieser Ausführung können Sicherheitszuordnungen auf der Grundlage
einer Netzwerkadresse sowie einer weiter aufgelösten (more granular) Host-Adres
se gebildet werden. Dies erlaubt dem Netzwerkadministrator, eine Sicherheits
zuordnung zwischen zwei Firewalls mit nur zwei Zeilen in einer Konfigurationsdatei
auf jeder Maschine zu erzeugen. Für solche Ausführungen wird der Eintrag in der
Sicherheitszuordnungsdatenbank, die den übereinstimmenden SPI und die längste
Adressenübereinstimmung umfaßt, als SA-Eintrag gewählt. Bei einer anderen
Ausführung besitzt jede SA einen Präfixlängenwert, der der Adresse zugeordnet ist.
Eine Adressenübereinstimmung bei einer SA-Eingabe bedeutet, daß die Adresse für
die Anzahl von Bits, spezifiziert durch den Präfixlängenwert, miteinander überein
stimmen.
Es gibt zwei Ausnahmen bei diesem Suchprozeß. Wenn eine SA-Eingabe als
dynamisch markiert wird, besteht die erste Ausnahme darin, daß sie impliziert, daß
der Benutzer dieser SA eine feste Internetprotokolladresse nicht haben darf. In
diesem Fall wird die Übereinstimmung durch den SPI-Wert vollständig ermittelt.
Somit ist es notwendig, daß die SPI-Werte für derartige SA-Eingaben einzigartig in
der SADB sind. Die zweite Ausnahme gilt für SA-Eingaben, die als Tunnel-Modus-
Eingaben markiert sind. In diesem Fall ist es normal, daß das sendende Gerät seine
Quellenadresse verbirgt, so daß alles, was auf der öffentlichen Leitung erkennbar
ist, die Zieladresse ist. In diesem Fall, ähnlich wie in dem Fall, bei welchem die
SA-Eingaben für dynamische IP-Adressen vorgesehen sind, wird die Suche ausschließ
lich auf der Grundlage des SPI vorgenommen.
Bei Ermittlung eines Datagram über das ungeschützte Netzwerk 16 wird die SADB
nur unter Verwendung der Zieladresse als Eingabe gesucht. In diesem Fall wird die
Eingabe mit der Übereinstimmung in der längsten Adresse ausgewählt und in die
Anrufroutine zurückgeführt.
In der bevorzugten Ausführung, falls eine Firewall 18 Datagrams empfängt, die
entweder als"IP_PROTO_IPSEC_ESP"-oder"IP_PROTO_IPSEC_AH"-Protokolldata
gram identifiziert werden, muß es eine entsprechende SA in der SADB geben, oder
ansonsten läßt die Firewall 18 das Paket fallen und wird eine Prüfmitteilung er
zeugt. Ein solcher Vorgang könnte als möglicher Angriff gewertet werden oder nur
einfach der Grund für den Eintrag eines falschen Schlüssels in der Sicherheits
zuordnungsdatenbank sein.
In einem System wie dem System 10 dient die als Gateway auf Anwendungsebene
vorgesehene Firewall 18 als Puffer zwischen dem ungeschützten Netzwerk 16 und
Arbeitsplätzen wie beispielsweise den Arbeitsplatz 20. Die vom ungeschützten
Netzwerk 16 kommenden Mitteilungen werden durchgesehen, und es wird er
mittelt, ob die Durchführung einer Authentifizierung und eines Identifikations
protokolls garantiert ist. Im Gegensatz zu früheren Systemen, führt also das
System 10 dieselbe Ermittlung an IPSEC-verschlüsselten Mitteilungen durch.
Erforderlichenfalls können dieselbe Authentifizierung und Identifizierung an vom
Arbeitsplatz 20 zum ungeschützten Netzwerk 16 zu übermittelnden Botschaften
durchgeführt werden. Fig. 2 zeigt einen Weg der Authentifizierung von verschlüs
selten sowie entschlüsselten Botschaften in einem System wie das System 10.
Im System von Fig. 2 enthält ein Netzwerkprotokoll-Stack 40 eine physikalische
Ebene 42, eine Internetprotokollebene 44, eine Übermittlungsebene 46 und eine
Anwendungsebene 48. Ein solcher Protokoll-Stack befindet sich beispielsweise in
der als Gateway auf Anwendungsebene vorgesehenen Firewall 18 von Fig. 1. Eine
in der Anwendungsebene 48 durchgeführte Anwendung kann mit einer Anwen
dung kommunizieren, die auf einem anderen System ausgeführt wird, indem eine
Mitteilung ausgearbeitet und durch eine der bestehenden Übermittlungsdienste, die
auf der Übermittlungsebene 46 ausgeführt werden, übermittelt wird. Die Übermitt
lungsebene 46 wiederum verwendet ein Verfahren, das in der Internetprotokoll
ebene 44 ausgeführt wird, um die Übermittlung fortzusetzen. Die physikalische
Schicht bzw. Ebene 42 stellt die Software bereit, die benötigt wird, um Daten über
die Kommunikationshardware (z. B. eine Netzwerkinterface-Karte oder ein Modem)
zu übermitteln. Wie zuvor angemerkt worden ist, arbeitet der IPSEC-Standard in der
Internetprotokollebene 44. Die Verschlüsselung und Authentifizierung ist für den
Host erkennbar, solange der Netzwerkadministrator die Sicherheitszuordnungs
datenbank korrekt konfiguriert hat und ein Schlüsselmanagementmechanismus an
Ort und Stelle an der Firewall vorgesehen ist.
In der als Gateway auf der Anwendungsebene vorgesehenen Firewall 18 ver
arbeitet ein in der Anwendungsebene 48 arbeitender Proxy 50 in der Anwendungs
ebene 48 von internen und externen Netzwerken übermittelte Botschaften. Sämtli
cher Netzwerk-Netzwerk-Verkehr muß durch einen der Proxies in der Anwendungs
ebene laufen, bevor die Übermittlung über Netzwerke erlaubt wird. Eine vom
externen Netzwerk 16 ankommende Botschaft wird auf der Internetprotokollebene
44 geprüft, und eine SADB wird angefragt, um zu bestimmen, ob die Quellen
adresse und der SPI einer SA zugeordnet sind. Bei der in Fig. 2 gezeigten Aus
führung wird eine SADB-Master-Kopie 52 in einem Dauerspeicher auf der Anwen
dungsebene 48 gehalten, während eine Kopie 54 der SADB in einem flüchtigen
Speicher innerhalb des Kernels gehalten wird. Falls die Botschaft vermutlich zu
verschlüsseln ist, wird die Botschaft auf der Grundlage des der besonderen SA
zugeordneten Algorithmus und Schlüssels entschlüsselt, und die Botschaft wird
durch die Übermittlungsebene 46 an den Proxy 50 übermittelt. Der Proxy 50 prüft
die Quellen- und Zieladressen und die Art des gewünschten Dienstes und ent
scheidet, ob eine Authentifizierung des Senders gewährleistet ist. Falls ja, beginnt
der Proxy 50 mit einem Authentifizierungsprotokoll. Das Protokoll kann so einfach
sein wie die Anfrage eines Benutzernamens und Kennwortes oder kann einen
Authentifizierungsabfrage- und Antwortprozeß enthalten. Der Proxy 50 achtet
ebenfalls darauf, ob die ankommende Botschaft verschlüsselt war oder nicht, und
kann diese entsprechend zerlegen im Hinblick darauf, ob eine bestimmte Art der
Authentifizierung benötigt wird. Beispielsweise kann im Telnet eine Benutzername/
Kennwort/Authentifizierung für eine FFE-Verbindung ausreichend sein, während die
Sicherheitspolizei darauf bestehen kann, daß ein strengeres Abfrage/Antwort-Pro
tokoll für unverschlüsselte Verbindungen benötigt wird. In diesem Fall ist der
Proxy 50 ein Telnet-Proxy und stützt sein Authentifizierungsprotokoll darauf, ob die
Verbindung verschlüsselt war oder nicht.
Da der IPSEC in der IP-Ebene 44 arbeitet, gibt es keinen Bedarf an Host-Firewalls
zur Aktualisierung der Anwendungen. Benutzer, die bereits einen IPSEC-Standard
auf ihrem eigenen Host verfügbar haben, müssen gleichwohl anfordern, daß der
Firewall-Administrator SAs in der SADB für ihren Verkehr erzeugt.
Bei der in Fig. 2 gezeigten Ausführung wird eine Arbeitskopie 54 der Sicherheits
zuordnungsdatenbank, bestehend aus sämtlichen aktuellen aktiven SAs, in einem
Speicher für den fertigen Zugriff durch die Internetprotokollebene gespeichert
gehalten, welche arbeitet, wenn Datagrams empfangen und übermittelt werden.
Zusätzlich wird eine Arbeits-Master-Kopie 52 der SADB in einer Datei in einem
nicht-flüchtigen Speicher gehalten. Während des Startens bzw. Hochfahrens des
Systems und des Initialisierungsvorganges wird der Inhalt sämtlicher erforderlicher
SAs in der Master-SADB 52 der im Kernel-Speicher gespeicherten Arbeitskopie 54
hinzugefügt.
In der bevorzugten Ausführung hält die Firewall 18 verschiedene Sicherheitsstufen
an internen und externen Netzwerk-Interfaces. Für eine Firewall ist es wünschens
wert, unterschiedliche Sicherheitsstufen in den internen und externen Interfaces zu
haben. In der bevorzugten Ausführung unterhält die Firewall 18 drei unterschiedli
che Stufen, die von 0 bis 2 numeriert sind. Diese Stufen schaffen einen einfachen
Mechanismus, der die Freigabe für nach innen sowie nach außen gerichtete Pakete
steuert.
- - Stufe 0 - keine Freigabe für irgendeinen nach innen oder außen gerichteten Verkehr, sofern es nicht eine Sicherheitszuweisung zwischen der Quelle und dem Ziel gibt.
- - Stufe 1 - Erlaubnis für sowohl nach innen als auch nach außen gerichteten Nicht-IPSEC-Verkehr, jedoch verstärkt angestrebte Benutzung des IPSEC-Standard, falls eine SA für die Adresse existiert. (Zur Unterstützung dieser Firewall 18 muß nach einer SA für jedes nach innen gerichtete Datagram gesucht werden).
- - Stufe 2 - Freigabe für NULL-Sicherheitszuordnungen. NULL-Zuordnungen sind wie normale Sicherheitszuordnungen, allerdings mit der Ausnahme, daß keine Verschlüsselungs- oder Authentifizierungsumwandlungen an nach innen oder nach außen gerichteten Paketen durchgeführt wird, welche dieser NULL-Zuordnung entsprechen. Auf Stufe 2 empfängt die Maschine ungeschützten Verkehr, sendet jedoch nicht, sofern nicht Stufe 1 aktiviert ist.
Die Fehlerschutzstufe, die bei der Initialisierung der Sicherheitszuordnungsdaten
bank SADB zum Zeitpunkt des Bootens etabliert wird, beträgt 1 für den nach innen
gerichteten Verkehr und 2 für den nach außen gerichteten Verkehr.
Es ist wünschenswert für Dämonen oder Proxies auf Benutzerebene in der Firewall
18 zu wissen, ob eine Verbindung (oder ein ankommendes UDP-Datagram im Fall
eines UDP-Proxy) verschlüsselt wird oder nicht. Diese Information kann beispiels
weise dafür genutzt werden, um Zugriff auf Dienste innerhalb des internen Netz
werkes 19 zu steuern oder das Authentifizierungsverfahren zu ermitteln, das zur
Authentifizierung des Senders benutzt wird. Ein solches Verfahren zur Steuerung
des Zugriffes auf Dienste innerhalb eines internen Netzwerkes ist in der US-Patent
anmeldung No. 08/715 668 beschrieben. Außerdem lehrt dieses Dokument ein
Verfahren zur Selektierung eines Authentifizierungsverfahrens in Abhängigkeit
davon, ob eine Botschaft verschlüsselt wurde oder nicht. Im Fall der Stufe 0 würde
es sicher sein anzunehmen, daß sämtlicher ankommender Verkehr verschlüsselt
oder authentifiziert wird. Im Fall der Stufen 1 bis 2 muß ermittelt werden, ob eine
Sicherheitszuordnung für einen gegebenen Peer vorliegt oder nicht, ansonsten kann
eine Anwendung vermuten, daß ein nach innen gerichteter Verkehr authentifiziert
worden wäre, wenn dies tatsächlich noch nicht der Fall ist. (Aus diesem Grunde ist
es wichtig, nach einer SA bei der Eingabe von jedem Nicht-IPSEC-Datagram zu
suchen.)
Bei der bevorzugten Ausführung zeigt ein Flag, das die Botschaft bei Ihrer Über
mittlung von der Internetprotokollebene 44 zum Proxy 50 begleitet, an, ob die
ankommende Botschaft verschlüsselt wurde oder nicht. Bei einer anderen Aus
führung greift der Proxy 50 auf die Sicherheitszuordnungsdatenbank 54 (- die
Tabelle im Kernel kann über einen SADB-Routing-Sockel (socket) PF-SADB abge
fragt werden -) zu, um zu ermitteln, ob eine Sicherheitszuordnung für einen gege
benen Peer existiert oder nicht. Der SADB-Sockel ist sehr ähnlich wie ein Routing-
Sockel, wie man sie im BSD-4.4-Kernel (Protokollfamilie PF-Route) findet, mit der
Ausnahme, daß PF-SADB-Sockel benutzt werden, um die Sicherheitszuordnungs
datenbank SADB anstelle der Routing-Tabelle beizubehalten. Da die für die Ver
schlüsselung, die Entschlüsselung und die verschlüsselte Authentifizierung benutz
ten privaten Schlüssel in dieser Tabelle gespeichert sind, muß ein Zugriff strikt
verboten und nur den Administratoren und Schlüssel-Managment-Dämonen erlaubt
sein. Vorsicht ist geboten, wenn den Dämonen auf der Benutzerstufe Zugriff auf
"/dev/mem" oder "/dev/kmem" auch erlaubt wird, da die Schlüssel im Kernel-Spei
cher gespeichert sind und kreativen Hackern zugänglich gemacht werden könnten.
Bei einer bevorzugten Ausführung wird ein Befehlszeilenwerkzeug (command-line
tool) mit der Bezeichnung "sadb" dazu benutzt, die Erzeugung und Wartung einer
"in-kernel"-Version 54 der SADB zu unterstützen. Das Hauptinterface zwischen
diesem Tool und der SADB ist der PF-SADB-Sockel. Der Kern ermöglicht eine
Sockel-Verarbeitung zum Empfang von Client-Anfragen, um Einträge in die "in
kernel"-SADB 54 hinzuzufügen, zu aktualisieren oder zu verändern. Wie bereits
zuvor erwähnt wurde, beträgt die Fehlerschutzstufe, die bei der Initialisierung der
Sicherheitszuordnungsdatenbank (SADB) zum Zeitpunkt des Bootens 1 etabliert
wird, für den nach innen gerichteten Verkehr und 2 für den nach außen gerichteten
Verkehr. Dies kann durch Verwendung des "sadb"-Befehls geändert werden.
Den existierenden "sadb"-Befehl erhält man aus der NIST-Implementierung der
IPSEC. Wie zuvor erwähnt wurde, ist dieses Tool sehr ähnlich der "route" darin,
daß es ein spezieller Sockel (socket) benutzt wird, um Datenstrukturen in und aus
dem Kernel zu leiten. Es gibt drei Befehle, die vom "sadb"-Befehl erkannt werden:
"get, "set", "delete". Das nachfolgende einfache Shell-Skript unterstützt das
Hinzufügen und die Beseitigung eines einzigen SA-Eintrages in die SADB 54. Es
zeigt eine Ausführung einer Parameter-Reihenfolge zum Hinzufügen einer SA zur
SADB.
Den aktuellen Status der "in-kernel"-SADB 54 kann man mit dem "sadb"-Befehl
erhalten. Die "get"-Option erlaubt ein Umspeichern der gesamten SADB oder eines
einzelnen Eintrages. In der bevorzugten Ausführung benutzt das komplette Um
speicherverfahren "dev/kmem", um die Information zu finden. Die Information
kann wie folgt präsentiert werden:
Wenn ein neuer Eintrag der "in-kernel"-SADB 54 hinzugefügt wird, prüft der
Hinzufügungsprozeß zunächst, daß kein existierender Eintrag mit den Werten im
neuen Eintrag übereinstimmt. Falls keine Übereinstimmung festgestellt wird, wird
der Eintrag am Ende der existierenden SADB-Liste hinzugefügt.
Um die Verwendung und Verwaltung einer FFE zu illustrieren, wird im folgenden
ein Beispiel anhand von Fig. 3 beschrieben, in der eine FFE 70 verwendet wird.
Die Firewalls 14 und 18 bilden jeweils ein Gateway auf Anwendungsebene. Die
Arbeitsplätze H1 und H2 wollen nun beide mit H1 kommunizieren. Dies ist für den
Administrator der Firewalls 14 und 18 leicht zu erreichen. Der Administrator stellt
eine Zeile etwa wie folgt her (von der SA sind nur der Internetprotokoll-Adressen-Teil
und die SPI-Teile gezeigt, da diese die besonders kritischen Werte für die
Konfiguration bilden, und es wird ebenfalls angenommen, daß der Tunnel-Modus
verwendet wird):
Hiermit wird der gesamte Verkehr verschlüsselt unter Verwendung eines Schlüs
sels, und zwar unabhängig davon, wer mit wem kommuniziert. Beispielsweise
werden der Verkehr von H2 zu H1 sowie der Verkehr von H3 zu H1 mit Hilfe eines
Schlüssels verschlüsselt. Obwohl dieser Aufbau klein und einfach ist, kann er nicht
ausreichend sein.
Was passiert nämlich, falls H2 H3 nicht vertrauen kann? In diesem Fall kann der
Administrator Sicherheitszuordnungen auf der Host-Ebene erstellen, und man kann
sich auf das SPI-Feld der SA verlassen, da die empfangende Firewall vom Data
gram-Datenkopf nicht mitteilen kann, welcher Host hinter der sendenden Firewall
das Paket gesendet hat. Da der SPI in den IPSEC-Datagrams gespeichert ist, kann
durchgesehen werden, um die Werte zu erhalten. Nachfolgend finden sich die
Proben-Konfigurations-Dateien wieder für beide Firewalls, wobei jedoch diesmal
jede Host-Kombination mit einem unterschiedlichen Schlüssel kommuniziert. Ferner
schließt H2 H3 von einer Kommunikation mit H1 aus und H3 H2 in derselben
Weise aus.
Fig. 4 zeigt im Blockschaltbild im Detail eine bevorzugte Ausführung der vom
IPSEC aktivierten, als Gateway in der Anwendungsebene vorgesehenen Firewall
18. Diese Firewall 18 führt eine Zugangssteuerungsprüfung sowohl der verschlüs
selten als auch der unverschlüsselten Botschaften in einer sichereren Umgebung
aufgrund ihrer vom Netzwerk getrennten Architektur durch. Die Netzwerktrennung
teilt das System in eine Gruppe von unabhängigen Bereichen oder Burbs, wobei ein
Domain und ein Protokoll-Stack jedem Bereich zugeordnet ist. Jeder Protokoll-Stack
40× enthält seinen eigenen unabhängigen Satz von Datenstrukturen mit Routing-
und Protokollinformationen. Ein gegebener Sockel wird an einen einzelnen Proto
kollstack zum Zeitpunkt der Erstellung gebunden, und keine Daten können zwi
schen den Protokollstacks 40 passieren, ohne durch einen Proxy zu laufen. Ein
Proxy 50 arbeitet deshalb als Durchleitung für Transfers zwischen den Domains.
Aus diesem Grunde wird ein boshafter Angriff, der die Kontrolle von einem der
Bereiche zum Ziel hat, daran gehindert, in anderen Bereichen ablaufende Prozesse
zu stören. Die Netzwerktrennung und ihre Anwendung in einem Gateway auf
Anwendungsebene ist in der US-Patentanmeldung 08/599,232 beschrieben.
In dem in Fig. 4 gezeigten System folgt die nach innen und außen gerichtete
Datagram-Verarbeitung einer Sicherheitszuordnung den durch das Netzwerktren
nungsmodell definierten Konventionen. Somit bleiben sämtliche empfangene oder
zu einem gegebenen Bereich gesendeten Datagrams in diesem Bereich, wenn sie
einmal entschlüsselt sind. In dieser bevorzugten Ausführung ist der SADB-Sockel
als Typ "sadb" definiert. Jeder Proxy 50, der einen Zugriff auf den SADB-Sockel
78 anfordert, um seine Abfrage auszuführen, ob die empfangene Botschaft ver
schlüsselt wurde, muß eine Freigabe bzw. Genehmigung für den "sadb"-Typ
erzeugen lassen.
Im folgenden sind spezielle Anforderungen aufgeführt, die an ein System wie das
in Fig. 4 gezeigte System gestellt werden müssen. Viele Anforderungen wurden
bereits zuvor erörtert.
- 1. Die Firewall-Anwendungen können das IPSEC-Untersystem abfragen, um zu ermitteln, ob der Verkehr mit einer gegebenen Adresse garantiert zu ent schlüsseln ist.
- 2. Der Empfang eines unverschlüsselten Datagram von einer Adresse mit einer Sicherheitszuordnung führt dazu, daß das Datagram fallen gelassen und eine Prüfmitteilung erzeugt wird.
- 3. Bei Empfang von verschlüsselten Protokoll-Datagrams werden Durchsuchun gen der SADB unter Verwendung des SPI als primären Schlüssel durchge führt. Die Quellenadresse bildet einen sekundären Schlüssel. Die durch die Suche zurückgekehrte SA ist dann die SA, die mit dem SPI exakt überein stimmt und die längste Übereinstimmung mit der Adresse bildet.
- 4. Eine Durchsuchung der SADB für einen SPI, der einen Eintrag findet, der als SA für ein dynamisches Internetprotokoll markiert ist, berücksichtigt nicht die Adresse im Suchprozeß.
- 5. Eine Adresse der SADB für einen SPI, der einen Eintrag findet, welcher als SA für eine Tunnel-Modus-Verbindung markiert ist, berücksichtigt die Adresse, falls es sich dabei um (0.0.0.0.), d. h. INADDR, handelt.
- 6. Bei Empfang eines Nicht-IPSEC-Datagrams sucht die SADB für einen Eintrag, der mit den src-Adressen übereinstimmt. Falls eine SA gefunden ist, wird das Datagram fallengelassen und eine Prüfmitteilung gesendet.
- 7. Durchsuchungen in der SADB bei der Ausgabe werden unter Verwendung der DST-Adresse als Schlüssel durchgeführt. Falls mehr als ein einziger SA-Eintrag in der SADB diese Adresse besitzen, kehrt diese eine Adresse mit der maximalen Adressen-Übereinstimmung zurück.
- 8. Die SADB muß so strukturiert sein, daß die Durchsuchungen schnell erfolgen, und zwar unabhängig davon, ob die Suche durch den SPI oder durch eine Adresse durchgeführt wird.
- 9. Die SADB muß eine Unterstützung für Verbindungen zu einem Ort (site) mit einem festen SPI, jedoch einer sich ändernden Internetprotokolladresse schaffen. Die SA-Einträge für solche Verbindungen werden als dynamische Adressenorte oder dynamische Einträge bezeichnet.
- 10. Wenn ein dynamischer Eintrag durch eine SPI-Suche gefunden wird, wird die aktuelle Datagram-SRC-Adresse, die gewährleisten muß, daß die Rück kehr-Datagrams in geeigneter Weise verschlüsselt werden, in der SA nur aufge zeichnet, nachdem die AH-Prüfung erfolgreich gelaufen ist. (Falls nämlich die Adresse vor Durchlaufen von AH aufgezeichnet wird, kann ein Angriff eine freie Übermittlung von Rückkehrpaketen einer nach außen gehenden Ver bindung verursachen.)
- 11. Ein Fehler in einer AH-Prüfung an einem dynamischen Eintrag führt zu einer Prüfmitteilung.
- 12. Bei einer Ausführung, bei welcher die Firewall fordert, daß sämtliche Ver bindungen sowohl AH als auch ESP benutzen, sollte bei Empfang in der Reihenfolge AH vor ESP stehen.
- 13. Die Prozeßstruktur sowohl bei Eingabe als auch bei Ausgabe sollte versu chen, die Anzahl der von der SADB angeforderten Durchsuchungen zu mini mieren.
Wie Fig. 4 zeigt weist in der dargestellten bevorzugten Ausführung die Firewall 18
ein Verschlüsselungsmaschineninterface 80 auf, das zur Verschlüsselung von
IPSEC-Nutzdaten verwendet wird. Dieses Interface 80 kann an eine Soft
ware-Verschlüsselungsmaschine 82 oder eine Hardware-Verschlüsselungsmaschine 84
angeschlossen sein. Die Geräte 82 und 84 führen eine aktuelle Verschlüsselungs
funktion unter Verwendung von z. B. DES-CBC durch. Zusätzlich kann die Softwa
re-Verschlüsselungsmaschine 82 den für AH verwendeten verschlüsselten
MD5-Algorithmus aufweisen.
In einer bevorzugten Ausführung handelt es sich bei dem Verschlüsselungsmaschi
neninterface 80 um ein übereinstimmendes Interface zwischen den Software- und
Hardware-Verschlüsselungsmaschinen. Wie Fig. 4 erkennen läßt, unterstützt das
Interface 80 in der dargestellten Ausführung die Verwendung der Hardware-Ver
schlüsselungsmaschine 84 für die IPSEC-ESP-Verarbeitung. Das Interface 80 muß
vorzugsweise so aufgebaut sein, daß es so arbeitet, daß die Verwendung einer
Hardware-Verschlüsselungsmaschine es erfordert, daß die Verarbeitung in nicht
zusammenhängenden Schritten nach unten durchgeführt wird, welche in unter
schiedlichen Interrupt-Kontexten arbeiten, wenn die Maschine 84 die verschiede
nen Verarbeitungsschritte beendet.
Die geforderte Information wird in einer Anforderungsstruktur gespeichert, die an
das verarbeitete IP-Datagram gebunden ist. Die Anforderung ist von der Art
"crypto_request_t". Diese Struktur ist ganz groß und enthält definitiv nicht einen
minimalen Operationsschrittsatz.
Zusätzlich zur Bildung der Anforderungsdatenstruktur ist dieses software-imple
mentierende Interface 80 mit zwei Funktionen versehen, die die Entscheidung
isolieren, welche Verschlüsselungsmaschine zu benutzen ist. Die "crypt_des_en
crypt"-Funktion ist zur Benutzung durch die IP-Ausgabeverarbeitung vorgesehen,
um ein Datagram zu verschlüsseln. Die "crypt_des_decrypt"-Funktion ist zur
Verwendung durch die Internetprotokoll-Eingabeverarbeitung vorgesehen, um ein
Datagram zu entschlüsseln. Falls die Hardware-Verschlüsselungsmaschine 84
vorhanden ist und andere Hardwarebenutzungskriterien erfüllt sind, wird die
Anforderung in einer Hardwareverarbeitungswarteschlange eingereiht und ein
Rückkehr-Code zurückgeführt, der anzeigt, daß die Verschlüsselungsverarbeitung
stattfindet. Falls die Softwaremaschine 82 benutzt wird, zeigt der Rückkehr-Code
an, daß die Verschlüsselungsverarbeitung vollständig bzw. beendet ist. Im ersteren
Fall wird die Fortsetzung der Internetprotokoll-Verarbeitung verzögert, bis die
Hardware-Verschlüsselung durchgeführt worden ist. Ansonsten wird sie beendet,
und zwar wie sofort in demselben Verarbeitungsstrom.
Es gibt zwei Verschlüsselungsmaschinen 82, die in der IPSEC-Software vorgesehen
sind. Die eine erzeugt den MD5-Algorithmus, der durch die IPSEC-AH-Verarbeitung
verwendet wird, und die andere erzeugt den DES-Algorithmus, der durch die
IPSEC-ESP-Verarbeitung verwendet wird. Diese Software kann man aus der
IPSEC-Implementierung der US-Regierung erhalten.
In einer bevorzugten Ausführung ist die Hardware-Verschlüsselungsmaschine 84
durch eine "Cylink-SafeNode"-Prozessor-Platine vorgesehen. Das Interface zu
dieser Hardware-Karte wird durch den "Cylink"-Gerätetreiber geschaffen. Ein
bedeutender Aspekt der "Cylink"-Karte, die eine große Rolle im Aufbau des
"IPSEC-Cylink"-Treibers spielt, besteht darin, daß die Karte sehr ähnlich wie ein Subrouti
nen-Interface auf niedriger Ebene funktioniert und eine Softwareunterstützung zur
Initiierung jedes Verarbeitungsschrittes erfordert. Zur Verschlüsselung und Ent
schlüsselung eines individuellen Datagrams sind somit mindestens zwei Schritte
vorgesehen, nämlich ein Schritt, um den DES-Initialisierungsvektor zu setzen, und
den weiteren Schritt, um die Verschlüsselung vorzunehmen. Da die Internetproto
koll-Verarbeitung nicht sich selbst anhalten und, während es die Hardware voll
endet, warten und anschließend durch den Hardwareinterrupthantierer wieder neu
festgesetzt werden kann, wird in einer bevorzugten Ausführung eine Maschine mit
endlichen Operationsschritten verwendet, um die Reihenfolge der Hardwarever
arbeitungselemente zusammenzufügen. In dieser bevorzugten Ausführung betrach
tet der Interrupthantierer den aktuellen Status (state), führt eine definierte Nach-
Status-Funktion aus, geht auf den Status über und führt dann die Startfunktion
dieses Status aus.
Eine Funktion, nämlich "cyl_enqueue_request", wird benutzt, um entweder einen
Verschlüsselungs- oder einen Entschlüsselungsvorgang einzuleiten. Diese Funktion
ist so ausgelegt, daß sie vom Verschlüsselungsmaschineninterface 80 aufgerufen
wird. Sämtliche Informationen, die zur Einleitung der Verarbeitung erforderlich sind,
sowie die Funktion, die durchzuführen ist, nachdem die Verschlüsselungsoperation
abgeschlossen ist, sind in der Anforderungsstruktur vorgesehen. Diese Funktion
reiht die Anforderung in die Hardwareanforderungswarteschlange ein und, falls
notwendig, startet die Hardwareverarbeitung.
Ein System 30, das für eine Firewall-Arbeitsplatz-Verschlüsselung verwendet
werden kann, ist in Fig. 5 gezeigt. Dieses System 30 weist einen Arbeitsplatz 12
auf, der über eine Firewall 14 mit einem ungeschützten Netzwerk wie beispiels
weise dem Internet kommuniziert. Das System 30 weist ebenfalls einen Arbeits
platz 32 auf, der direkt mit der Firewall 14 über das ungeschützte Netzwerk 16
kommuniziert. Bei der Firewall 14 handelt es sich um einen Gateway auf Anwen
dungsebene, der eine IPSEC-Handhabung in der zuvor beschriebenen Weise ent
hält. (Es sei angemerkt, daß die IPSEC-Sicherheit nicht zur Authentifizierung der
persönlichen Identität des Senders für einen Firewall-Firewall-Transfer verwendet
werden kann. Wenn der IPSEC gleichwohl auf einer Einzelplatzmaschine wie bei
spielsweise einem tragbaren Personalcomputer verwendet wird, sollte die
IPSEC-Nutzung mit einer persönlichen Identifizierungskennzahl (personal identification
number PIN) geschützt werden. In diesen Fällen kann der IPSEC verwendet wer
den, um mit einer Benutzeridentifizierung an die Firewall zu helfen.)
Gemäß den IPSEC-RFC kann man entweder den Tunnel- oder den Transport-Modus
bei dieser Ausführung in Abhängigkeit von den Sicherheitsbedürfnissen benutzen.
In bestimmten Situationen müssen die Kommunikationen im Tunnel-Modus gesen
det werden, um nicht-registrierte Adressen zu verbergen.
Claims (11)
1. Verfahren zur Regulierung des Flusses von Botschaften durch eine Firewall
mit einem Netzwerkprotokoll-Stack, der eine Internetprotokollebene aufweist, mit
den Schritten,
auf der Internetprotokollebene zu ermitteln, ob eine Botschaft verschlüsselt ist, für den Fall, daß die Botschaft nicht verschlüsselt ist, die unverschlüsselte Bot schaft den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungs ebene zu leiten und,
für den Fall, daß die Botschaft verschlüsselt ist, die Botschaft zu entschlüsseln und die entschlüsselte Botschaft den Netzwerkprotokoll-Stack hinauf zum Proxy auf der Anwendungsebene zu leiten, wobei der Schritt, die Botschaft zu entschlüsseln, den Schritt aufweist, ein Verfahren zur Entschlüsselung der Botschaft auf der Internet protokollebene auszuführen.
auf der Internetprotokollebene zu ermitteln, ob eine Botschaft verschlüsselt ist, für den Fall, daß die Botschaft nicht verschlüsselt ist, die unverschlüsselte Bot schaft den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungs ebene zu leiten und,
für den Fall, daß die Botschaft verschlüsselt ist, die Botschaft zu entschlüsseln und die entschlüsselte Botschaft den Netzwerkprotokoll-Stack hinauf zum Proxy auf der Anwendungsebene zu leiten, wobei der Schritt, die Botschaft zu entschlüsseln, den Schritt aufweist, ein Verfahren zur Entschlüsselung der Botschaft auf der Internet protokollebene auszuführen.
2. Verfahren zur Authentifizierung des Senders einer Botschaft innerhalb eines
Computersystems mit einem Netzwerkprotokoll-Stack, der eine Internetprotokoll
ebene aufweist, mit den Schritten,
auf der Internetprotokollebene zu ermitteln, ob die Botschaft verschlüsselt ist, für den Fall, daß die Botschaft verschlüsselt ist, die Botschaft zu entschlüsseln, wobei der Schritt der Entschlüsselung der Botschaft den Schritt aufweist, ein Verfahren zur Entschlüsselung der Botschaft auf der Internetprotokollebene auszu führen,
die verschlüsselte Botschaft den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungsebene zu leiten,
ein für die Botschaft geeignetes Authentifizierungsprotokoll zu ermitteln und das Authentifizierungsprotokoll zur Authentifizierung des Senders der Botschaft auszuführen.
auf der Internetprotokollebene zu ermitteln, ob die Botschaft verschlüsselt ist, für den Fall, daß die Botschaft verschlüsselt ist, die Botschaft zu entschlüsseln, wobei der Schritt der Entschlüsselung der Botschaft den Schritt aufweist, ein Verfahren zur Entschlüsselung der Botschaft auf der Internetprotokollebene auszu führen,
die verschlüsselte Botschaft den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungsebene zu leiten,
ein für die Botschaft geeignetes Authentifizierungsprotokoll zu ermitteln und das Authentifizierungsprotokoll zur Authentifizierung des Senders der Botschaft auszuführen.
3. Verfahren nach Anspruch 2, bei welchem der Schritt der Ermittlung eines für
die Botschaft geeigneten Authentifizierungsprotokolls die Schritte aufweist,
eine der Botschaft zugeordnete Quelleninternetprotokolladresse zu ermitteln und
das der Quelleninternetprotokolladresse zugeordnete Authentifizierungsprotokoll zu
ermitteln.
4. Verfahren nach Anspruch 2, bei welchem die Botschaft einen Sicherheits
parameterindex aufweist und der Schritt der Ermittlung eines für die Botschaft
geeigneten Authentifizierungsprotokolls die Schritte aufweist,
das einer dynamischen Internetprotokolladresse zugeordnete Authentifizierungs protokoll zu ermitteln, wobei der Schritt der Ermittlung des Authentifizierungs protokolls den Schritt aufweist, eine auf dem Sicherheitsparameterindex basierende Sicherheitszuordnung durchzusehen,
eine der dynamischen Quelleninternetprotokolladresse zugeordnete aktuelle Adres se zu ermitteln und
die aktuelle Adresse an den Sicherheitsparameterindex zu binden.
das einer dynamischen Internetprotokolladresse zugeordnete Authentifizierungs protokoll zu ermitteln, wobei der Schritt der Ermittlung des Authentifizierungs protokolls den Schritt aufweist, eine auf dem Sicherheitsparameterindex basierende Sicherheitszuordnung durchzusehen,
eine der dynamischen Quelleninternetprotokolladresse zugeordnete aktuelle Adres se zu ermitteln und
die aktuelle Adresse an den Sicherheitsparameterindex zu binden.
5. Firewall mit
einem ersten Kommunikationsinterface,
einem zweiten Kommunikationsinterface,
einem an die ersten und zweiten Kommunikationsinterfaces angeschlossenen Netzwerkprotokoll-Stack, der eine Internetprotokollebene und eine Übermittlungs ebene aufweist,
einer auf der Internetprotokollebene arbeitenden Entschlüsselungseinrichtung, die an dem ersten und/oder zweiten Kommunikationsinterface empfangene verschlüs selte Botschaften entschlüsselt und die entschlüsselten Botschaften ausgibt, und einem an die Übermittlungsebene des Netzwerkprotokoll-Stack angeschlossenen Proxy, der entschlüsselte Botschaften von der Entschlüsselungseinrichtung emp fängt und auf der Grundlage des Inhaltes der entschlüsselten Botschaften ein Authentifizierungsprotokoll ausführt.
einem ersten Kommunikationsinterface,
einem zweiten Kommunikationsinterface,
einem an die ersten und zweiten Kommunikationsinterfaces angeschlossenen Netzwerkprotokoll-Stack, der eine Internetprotokollebene und eine Übermittlungs ebene aufweist,
einer auf der Internetprotokollebene arbeitenden Entschlüsselungseinrichtung, die an dem ersten und/oder zweiten Kommunikationsinterface empfangene verschlüs selte Botschaften entschlüsselt und die entschlüsselten Botschaften ausgibt, und einem an die Übermittlungsebene des Netzwerkprotokoll-Stack angeschlossenen Proxy, der entschlüsselte Botschaften von der Entschlüsselungseinrichtung emp fängt und auf der Grundlage des Inhaltes der entschlüsselten Botschaften ein Authentifizierungsprotokoll ausführt.
6. Firewall mit
einem ersten Kommunikationsinterface,
einem zweiten Kommunikationsinterface,
einem an das erste Kommunikationsinterface angeschlossene erste Netzwerk protokoll-Stack, der eine Internetprotokollebene und eine Übermittlungsebene aufweist,
einem an das zweite Kommunikationsinterface angeschlossene zweite Netzwerk protokoll-Stack, der eine Internetprotokollebene und eine Übermittlungsebene aufweist,
einer auf der Internetprotokollebene des ersten Netzwerkprotokoll-Stack arbeiten den Entschlüsselungseinrichtung, die durch das erste Kommunikationsinterface empfangene verschlüsselte Botschaften erhält und entschlüsselte Botschaften aus gibt, und einem an die Übermittlungsebenen der ersten und zweiten Netzwerk protokoll-Stacks angeschlossenen Proxy, der entschlüsselte Botschaften von der Entschlüsselungseinrichtung empfängt und auf der Grundlage des Inhaltes der entschlüsselten Botschaft ein Authentifizierungsprotokoll ausführt.
einem ersten Kommunikationsinterface,
einem zweiten Kommunikationsinterface,
einem an das erste Kommunikationsinterface angeschlossene erste Netzwerk protokoll-Stack, der eine Internetprotokollebene und eine Übermittlungsebene aufweist,
einem an das zweite Kommunikationsinterface angeschlossene zweite Netzwerk protokoll-Stack, der eine Internetprotokollebene und eine Übermittlungsebene aufweist,
einer auf der Internetprotokollebene des ersten Netzwerkprotokoll-Stack arbeiten den Entschlüsselungseinrichtung, die durch das erste Kommunikationsinterface empfangene verschlüsselte Botschaften erhält und entschlüsselte Botschaften aus gibt, und einem an die Übermittlungsebenen der ersten und zweiten Netzwerk protokoll-Stacks angeschlossenen Proxy, der entschlüsselte Botschaften von der Entschlüsselungseinrichtung empfängt und auf der Grundlage des Inhaltes der entschlüsselten Botschaft ein Authentifizierungsprotokoll ausführt.
7. Firewall nach Anspruch 6, ferner mit
einem dritten Kommunikationsinterface und
einem an das dritte Kommunikationsinterface und dem Proxy angeschlossenen dritten Netzwerkprotokoll-Stack, der eine Internetprotokollebene und eine Übermitt lungsebene aufweist, wobei die zweiten und dritten Netzwerkprotokoll-Stacks auf erste und zweite Bereiche entsprechend beschränkt sind.
einem dritten Kommunikationsinterface und
einem an das dritte Kommunikationsinterface und dem Proxy angeschlossenen dritten Netzwerkprotokoll-Stack, der eine Internetprotokollebene und eine Übermitt lungsebene aufweist, wobei die zweiten und dritten Netzwerkprotokoll-Stacks auf erste und zweite Bereiche entsprechend beschränkt sind.
8. Verfahren zur Etablierung eines virtuellen privaten Netzwerkes zwischen
einem ersten und zweiten Netzwerk, von denen jedes Netzwerk eine als Gateway
auf einer Anwendungsebene vorgesehene Firewall aufweist, die einen auf der
Anwendungsebene arbeitenden Proxy zur Verarbeitung des Verkehrs durch die
Firewall benutzt und ein Netzwerkprotokoll-Stack enthält, der eine Internetproto
kollebene aufweist, mit den Schritten,
eine Verbindungsanforderung vom ersten Netzwerk zum zweiten Netzwerk zu übermitteln,
auf der Internetprotokollebene des Netzwerkprotokoll-Stack der Firewall des zweiten Netzwerkes zu ermitteln, ob die Verbindungsanforderung verschlüsselt ist, für den Fall, daß die Verbindungsanforderung verschlüsselt ist, die Anforderung zu entschlüsseln, wobei der Schritt der Entschlüsselung der Anforderung den Schritt enthält, auf der Internetprotokollebene der Firewall des zweiten Netzwerkes eine Verarbeitung zur Entschlüsselung der Botschaft auszuführen,
die Verbindungsanforderung den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungsebene zu leiten,
ein für die Verbindungsanforderung geeignetes Authentifizierungsprotokoll zu ermitteln,
das Authentifizierungsprotokoll zur Authentifizierung der Verbindungsanforderung auszuführen und
für den Fall, daß die Verbindungsanforderung echt ist, eine aktive Verbindung zwischen den ersten und zweiten Netzwerken zu etablieren.
eine Verbindungsanforderung vom ersten Netzwerk zum zweiten Netzwerk zu übermitteln,
auf der Internetprotokollebene des Netzwerkprotokoll-Stack der Firewall des zweiten Netzwerkes zu ermitteln, ob die Verbindungsanforderung verschlüsselt ist, für den Fall, daß die Verbindungsanforderung verschlüsselt ist, die Anforderung zu entschlüsseln, wobei der Schritt der Entschlüsselung der Anforderung den Schritt enthält, auf der Internetprotokollebene der Firewall des zweiten Netzwerkes eine Verarbeitung zur Entschlüsselung der Botschaft auszuführen,
die Verbindungsanforderung den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungsebene zu leiten,
ein für die Verbindungsanforderung geeignetes Authentifizierungsprotokoll zu ermitteln,
das Authentifizierungsprotokoll zur Authentifizierung der Verbindungsanforderung auszuführen und
für den Fall, daß die Verbindungsanforderung echt ist, eine aktive Verbindung zwischen den ersten und zweiten Netzwerken zu etablieren.
9. Verfahren nach Anspruch 8, bei welchem der Schritt der Ausführung des
Authentifizierungsprotokolls den Schritt aufweist, einen Programmcode innerhalb
der Firewall des zweiten Netzwerkes auszuführen, um ein auf einem Server in
nerhalb des zweiten Netzwerkes ablaufendes Abfrage/Antwort-Protokoll nach
zuahmen.
10. Verfahren nach Anspruch 8, bei welchem der Schritt der Ausführung eines
Authentifizierungsprotokolls den Schritt aufweist, einen Programmcode auszufüh
ren, um das Authentifizierungsprotokoll in Übereinstimmung mit der Sitzung
auszuführen.
11. Verfahren nach mindestens einem der Ansprüche 8 bis 10, bei welchem der
Schritt der Ermittlung eines Authentifizierungsprotokolls den Schritt enthält, zu
ermitteln, ob die eingetroffene Verbindungsanforderung verschlüsselt ist, und das
Authentifizierungsprotokoll auf der Grundlage, ob die Verbindungsanforderung
verschlüsselt war oder nicht, auszuwählen.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US08/715,343 US5983350A (en) | 1996-09-18 | 1996-09-18 | Secure firewall supporting different levels of authentication based on address or encryption status |
Publications (2)
Publication Number | Publication Date |
---|---|
DE19741246A1 true DE19741246A1 (de) | 1998-03-19 |
DE19741246C2 DE19741246C2 (de) | 2001-06-13 |
Family
ID=24873650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19741246A Expired - Fee Related DE19741246C2 (de) | 1996-09-18 | 1997-09-18 | Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken |
Country Status (2)
Country | Link |
---|---|
US (1) | US5983350A (de) |
DE (1) | DE19741246C2 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10008519C1 (de) * | 2000-02-21 | 2001-07-12 | Dica Technologies Ag | Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet |
DE10107883A1 (de) * | 2001-02-19 | 2002-08-29 | Post Ebusiness Gmbh Deutsche | Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem |
DE10108408A1 (de) * | 2001-02-21 | 2002-08-29 | Gloocorp Ag | Kommunikationssystem zum Austausch von verschlüsselter Information in nachrichtengestütztem oder Echtzeitkommunikationsmodus |
Families Citing this family (248)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10361802B1 (en) | 1999-02-01 | 2019-07-23 | Blanding Hovenweep, Llc | Adaptive pattern recognition based control system and method |
US6515968B1 (en) | 1995-03-17 | 2003-02-04 | Worldcom, Inc. | Integrated interface for real time web based viewing of telecommunications network call traffic |
RU2191423C2 (ru) * | 1995-06-30 | 2002-10-20 | Сони Корпорейшн | Способ и устройство записи данных, носитель данных и способ и устройство воспроизведения данных |
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US8117298B1 (en) | 1996-02-26 | 2012-02-14 | Graphon Corporation | Multi-homed web server |
US6272538B1 (en) * | 1996-07-30 | 2001-08-07 | Micron Technology, Inc. | Method and system for establishing a security perimeter in computer networks |
US6993582B2 (en) * | 1996-07-30 | 2006-01-31 | Micron Technology Inc. | Mixed enclave operation in a computer network |
US6145004A (en) * | 1996-12-02 | 2000-11-07 | Walsh; Stephen Kelly | Intranet network system |
US7821926B2 (en) * | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
US6408336B1 (en) | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
US8914410B2 (en) | 1999-02-16 | 2014-12-16 | Sonicwall, Inc. | Query interface to policy server |
US7290288B2 (en) | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
JP2000501542A (ja) * | 1997-07-01 | 2000-02-08 | プログレス ソフトウェア コーポレイション | ネットワーク・アプリケーション用のテスト及びデバッグツール |
US7127741B2 (en) * | 1998-11-03 | 2006-10-24 | Tumbleweed Communications Corp. | Method and system for e-mail message transmission |
ATE347200T1 (de) * | 1997-07-24 | 2006-12-15 | Tumbleweed Comm Corp | Firewall für elektronische post mit verschlüsselung/entschlüsselung mittels gespeicherter schlüssel |
US6591291B1 (en) * | 1997-08-28 | 2003-07-08 | Lucent Technologies Inc. | System and method for providing anonymous remailing and filtering of electronic mail |
US6473407B1 (en) | 1997-09-05 | 2002-10-29 | Worldcom, Inc. | Integrated proxy interface for web based alarm management tools |
US6763376B1 (en) | 1997-09-26 | 2004-07-13 | Mci Communications Corporation | Integrated customer interface system for communications network management |
US6574661B1 (en) | 1997-09-26 | 2003-06-03 | Mci Communications Corporation | Integrated proxy interface for web based telecommunication toll-free network management using a network manager for downloading a call routing tree to client |
US6714979B1 (en) | 1997-09-26 | 2004-03-30 | Worldcom, Inc. | Data warehousing infrastructure for web based reporting tool |
US6745229B1 (en) | 1997-09-26 | 2004-06-01 | Worldcom, Inc. | Web based integrated customer interface for invoice reporting |
US6446128B1 (en) * | 1997-12-01 | 2002-09-03 | Netselector, Inc. | Site access via intervening control layer |
US7032242B1 (en) * | 1998-03-05 | 2006-04-18 | 3Com Corporation | Method and system for distributed network address translation with network security features |
US6182226B1 (en) | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
JP4273535B2 (ja) * | 1998-05-12 | 2009-06-03 | ソニー株式会社 | データ伝送制御方法、データ伝送システム、データ受信装置及びデータ送信装置 |
US6765901B1 (en) * | 1998-06-11 | 2004-07-20 | Nvidia Corporation | TCP/IP/PPP modem |
US6308274B1 (en) | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Least privilege via restricted tokens |
US6279111B1 (en) | 1998-06-12 | 2001-08-21 | Microsoft Corporation | Security model using restricted tokens |
US6308273B1 (en) * | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
US6505300B2 (en) * | 1998-06-12 | 2003-01-07 | Microsoft Corporation | Method and system for secure running of untrusted content |
US6088796A (en) * | 1998-08-06 | 2000-07-11 | Cianfrocca; Francis | Secure middleware and server control system for querying through a network firewall |
FR2782435B1 (fr) * | 1998-08-13 | 2000-09-15 | Bull Cp8 | Procede de communication entre une station d'utilisateur et un reseau, notamment de type internet, et architecture de mise en oeuvre |
US6438612B1 (en) * | 1998-09-11 | 2002-08-20 | Ssh Communications Security, Ltd. | Method and arrangement for secure tunneling of data between virtual routers |
US7778260B2 (en) * | 1998-10-09 | 2010-08-17 | Netmotion Wireless, Inc. | Method and apparatus for providing mobile and other intermittent connectivity in a computing environment |
US7673323B1 (en) | 1998-10-28 | 2010-03-02 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
US6460141B1 (en) | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
US6158010A (en) | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
US7418504B2 (en) * | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
WO2000034867A1 (en) | 1998-12-09 | 2000-06-15 | Network Ice Corporation | A method and apparatus for providing network and computer system security |
US6829708B1 (en) * | 1999-03-27 | 2004-12-07 | Microsoft Corporation | Specifying security for an element by assigning a scaled value representative of the relative security thereof |
AU4706700A (en) * | 1999-05-06 | 2000-11-21 | General Dynamics Information Systems, Inc. | Transient network architecture |
US7213262B1 (en) | 1999-05-10 | 2007-05-01 | Sun Microsystems, Inc. | Method and system for proving membership in a nested group using chains of credentials |
US7275113B1 (en) * | 1999-05-27 | 2007-09-25 | 3 Com Corporation | Dynamic network address configuration system and method |
US6745332B1 (en) * | 1999-06-29 | 2004-06-01 | Oracle International Corporation | Method and apparatus for enabling database privileges |
US20030014627A1 (en) * | 1999-07-08 | 2003-01-16 | Broadcom Corporation | Distributed processing in a cryptography acceleration chip |
US7996670B1 (en) | 1999-07-08 | 2011-08-09 | Broadcom Corporation | Classification engine in a cryptography acceleration chip |
US7346929B1 (en) | 1999-07-29 | 2008-03-18 | International Business Machines Corporation | Method and apparatus for auditing network security |
US6347376B1 (en) * | 1999-08-12 | 2002-02-12 | International Business Machines Corp. | Security rule database searching in a network security environment |
US6505192B1 (en) * | 1999-08-12 | 2003-01-07 | International Business Machines Corporation | Security rule processing for connectionless protocols |
US6853988B1 (en) * | 1999-09-20 | 2005-02-08 | Security First Corporation | Cryptographic server with provisions for interoperability between cryptographic systems |
US6912586B1 (en) * | 1999-11-12 | 2005-06-28 | International Business Machines Corporation | Apparatus for journaling during software deployment and method therefor |
ATE396577T1 (de) | 1999-12-02 | 2008-06-15 | Western Digital Tech Inc | System zum fernaufnehmen von fernsehprogrammen |
US7917628B2 (en) * | 1999-12-02 | 2011-03-29 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
US7587467B2 (en) * | 1999-12-02 | 2009-09-08 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
US7120692B2 (en) * | 1999-12-02 | 2006-10-10 | Senvid, Inc. | Access and control system for network-enabled devices |
US8688797B2 (en) * | 1999-12-02 | 2014-04-01 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
US7934251B2 (en) * | 1999-12-02 | 2011-04-26 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
US8793374B2 (en) * | 1999-12-02 | 2014-07-29 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
US9191443B2 (en) | 1999-12-02 | 2015-11-17 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
US8006243B2 (en) | 1999-12-07 | 2011-08-23 | International Business Machines Corporation | Method and apparatus for remote installation of network drivers and software |
US7506358B1 (en) * | 1999-12-09 | 2009-03-17 | Cisco Technology, Inc. | Method and apparatus supporting network communications through a firewall |
AU2000269232A1 (en) * | 2000-01-14 | 2001-07-24 | Microsoft Corporation | Specifying security for an element by assigning a scaled value representative ofthe relative security thereof |
US7353209B1 (en) * | 2000-01-14 | 2008-04-01 | Microsoft Corporation | Releasing decrypted digital content to an authenticated path |
US7113994B1 (en) * | 2000-01-24 | 2006-09-26 | Microsoft Corporation | System and method of proxy authentication in a secured network |
FR2804564B1 (fr) * | 2000-01-27 | 2002-03-22 | Bull Sa | Relais de securite multiapplicatif |
US6662228B1 (en) * | 2000-02-01 | 2003-12-09 | Sun Microsystems, Inc. | Internet server authentication client |
ATE311063T1 (de) * | 2000-02-08 | 2005-12-15 | Swisscom Mobile Ag | Vereinter einloggungsprozess |
US7058973B1 (en) * | 2000-03-03 | 2006-06-06 | Symantec Corporation | Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses |
GB2366631B (en) * | 2000-03-04 | 2004-10-20 | Ericsson Telefon Ab L M | Communication node, communication network and method of recovering from a temporary failure of a node |
US6631417B1 (en) | 2000-03-29 | 2003-10-07 | Iona Technologies Plc | Methods and apparatus for securing access to a computer |
AU2001257400A1 (en) | 2000-04-28 | 2001-11-12 | Internet Security Systems, Inc. | System and method for managing security events on a network |
US7574740B1 (en) | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
WO2001091428A2 (en) | 2000-05-23 | 2001-11-29 | Actineon Inc. | Programmable communicator |
US7493486B1 (en) * | 2000-06-09 | 2009-02-17 | Verizon Laboratories, Inc. | Method and apparatus for supporting cryptographic-related activities in a public key infrastructure |
US7162649B1 (en) | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
US7441270B1 (en) | 2000-07-06 | 2008-10-21 | Intel Corporation | Connectivity in the presence of barriers |
US6353385B1 (en) * | 2000-08-25 | 2002-03-05 | Hyperon Incorporated | Method and system for interfacing an intrusion detection system to a central alarm system |
US6981278B1 (en) * | 2000-09-05 | 2005-12-27 | Sterling Commerce, Inc. | System and method for secure dual channel communication through a firewall |
US7178166B1 (en) | 2000-09-19 | 2007-02-13 | Internet Security Systems, Inc. | Vulnerability assessment and authentication of a computer by a local scanner |
US9027121B2 (en) | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
US7146305B2 (en) | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
US6963980B1 (en) * | 2000-11-16 | 2005-11-08 | Protegrity Corporation | Combined hardware and software based encryption of databases |
US6986061B1 (en) | 2000-11-20 | 2006-01-10 | International Business Machines Corporation | Integrated system for network layer security and fine-grained identity-based access control |
US7003118B1 (en) | 2000-11-27 | 2006-02-21 | 3Com Corporation | High performance IPSEC hardware accelerator for packet classification |
US7315859B2 (en) * | 2000-12-15 | 2008-01-01 | Oracle International Corp. | Method and apparatus for management of encrypted data through role separation |
FI111595B (fi) * | 2000-12-20 | 2003-08-15 | Nokia Corp | Järjestely multimediasanomanvälityksen toteuttamiseksi |
US7130466B2 (en) | 2000-12-21 | 2006-10-31 | Cobion Ag | System and method for compiling images from a database and comparing the compiled images with known images |
US6931529B2 (en) | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
US7631349B2 (en) * | 2001-01-11 | 2009-12-08 | Digi International Inc. | Method and apparatus for firewall traversal |
US20020095599A1 (en) * | 2001-01-12 | 2002-07-18 | Hyungkeun Hong | VoIP call control proxy |
US20020099668A1 (en) * | 2001-01-22 | 2002-07-25 | Sun Microsystems, Inc. | Efficient revocation of registration authorities |
US7325030B2 (en) * | 2001-01-25 | 2008-01-29 | Yahoo, Inc. | High performance client-server communication system |
US20020116644A1 (en) * | 2001-01-30 | 2002-08-22 | Galea Secured Networks Inc. | Adapter card for wirespeed security treatment of communications traffic |
AU2002243763A1 (en) | 2001-01-31 | 2002-08-12 | Internet Security Systems, Inc. | Method and system for configuring and scheduling security audits of a computer network |
EP1368726A4 (de) * | 2001-02-06 | 2005-04-06 | En Garde Systems | Vorrichtung und verfahren zur bereitstellung einer sicheren netzwerkkommunikation |
US20030208570A1 (en) * | 2001-02-16 | 2003-11-06 | Eugene Lapidous | Method and apparatus for multi-modal document retrieval in the computer network |
US7440962B1 (en) | 2001-02-28 | 2008-10-21 | Oracle International Corporation | Method and system for management of access information |
US7284267B1 (en) | 2001-03-08 | 2007-10-16 | Mcafee, Inc. | Automatically configuring a computer firewall based on network connection |
US20020133709A1 (en) | 2001-03-14 | 2002-09-19 | Hoffman Terry George | Optical data transfer system - ODTS; Optically based anti-virus protection system - OBAPS |
US6732279B2 (en) * | 2001-03-14 | 2004-05-04 | Terry George Hoffman | Anti-virus protection system and method |
US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
FI110464B (fi) * | 2001-04-26 | 2003-01-31 | Nokia Corp | IP-tietoturva ja liikkuvat verkkoyhteydet |
KR100415554B1 (ko) * | 2001-05-21 | 2004-01-24 | 한국전자통신연구원 | 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 |
US6938155B2 (en) * | 2001-05-24 | 2005-08-30 | International Business Machines Corporation | System and method for multiple virtual private network authentication schemes |
US7003662B2 (en) * | 2001-05-24 | 2006-02-21 | International Business Machines Corporation | System and method for dynamically determining CRL locations and access methods |
US20020178240A1 (en) * | 2001-05-24 | 2002-11-28 | International Business Machines Corporation | System and method for selectively confirming digital certificates in a virtual private network |
US7516485B1 (en) * | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
US7237264B1 (en) | 2001-06-04 | 2007-06-26 | Internet Security Systems, Inc. | System and method for preventing network misuse |
US20020188871A1 (en) * | 2001-06-12 | 2002-12-12 | Corrent Corporation | System and method for managing security packet processing |
US7657419B2 (en) | 2001-06-19 | 2010-02-02 | International Business Machines Corporation | Analytical virtual machine |
US7546629B2 (en) * | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
US7590684B2 (en) * | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
US7496748B2 (en) * | 2001-07-23 | 2009-02-24 | Itt Manufacturing Enterprises | Method for establishing a security association between two or more computers communicating via an interconnected computer network |
US7613699B2 (en) | 2001-08-03 | 2009-11-03 | Itt Manufacturing Enterprises, Inc. | Apparatus and method for resolving security association database update coherency in high-speed systems having multiple security channels |
US20030046583A1 (en) * | 2001-08-30 | 2003-03-06 | Honeywell International Inc. | Automated configuration of security software suites |
US7370352B2 (en) * | 2001-09-06 | 2008-05-06 | Intel Corporation | Techniques for storing and retrieving security information corresponding to cryptographic operations to support cryptographic processing for multiple network traffic streams |
WO2003030490A2 (en) * | 2001-09-27 | 2003-04-10 | Nokia Corporation | Method and network node for providing security in a radio access network |
US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
KR100994666B1 (ko) * | 2001-11-20 | 2010-11-16 | 웨스턴 디지털 테크놀로지스, 인코포레이티드 | 네트워크 기반 디바이스를 위한 액세스 및 제어 시스템 |
US7350226B2 (en) * | 2001-12-13 | 2008-03-25 | Bea Systems, Inc. | System and method for analyzing security policies in a distributed computer network |
US7171493B2 (en) * | 2001-12-19 | 2007-01-30 | The Charles Stark Draper Laboratory | Camouflage of network traffic to resist attack |
KR100449809B1 (ko) * | 2001-12-27 | 2004-09-22 | 한국전자통신연구원 | 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법 |
US7506058B2 (en) * | 2001-12-28 | 2009-03-17 | International Business Machines Corporation | Method for transmitting information across firewalls |
WO2003058451A1 (en) | 2002-01-04 | 2003-07-17 | Internet Security Systems, Inc. | System and method for the managed security control of processes on a computer system |
US20030219022A1 (en) * | 2002-01-28 | 2003-11-27 | Hughes Electronics | Method and system for utilizing virtual private network (VPN) connections in a performance enhanced network |
US8976798B2 (en) | 2002-01-28 | 2015-03-10 | Hughes Network Systems, Llc | Method and system for communicating over a segmented virtual private network (VPN) |
US7103671B2 (en) * | 2002-03-14 | 2006-09-05 | Yahoo! Inc. | Proxy client-server communication system |
US20030191843A1 (en) * | 2002-04-04 | 2003-10-09 | Joel Balissat | Secure network connection for devices on a private network |
US7188365B2 (en) * | 2002-04-04 | 2007-03-06 | At&T Corp. | Method and system for securely scanning network traffic |
US7203957B2 (en) | 2002-04-04 | 2007-04-10 | At&T Corp. | Multipoint server for providing secure, scaleable connections between a plurality of network devices |
US7546458B1 (en) * | 2002-05-04 | 2009-06-09 | Atheros Communications, Inc. | Method for organizing virtual networks while optimizing security |
US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
US7296154B2 (en) * | 2002-06-24 | 2007-11-13 | Microsoft Corporation | Secure media path methods, systems, and architectures |
KR100455802B1 (ko) * | 2002-07-03 | 2004-11-06 | 주식회사 아이콘랩 | 휴대용 단말장치에 시변 코드를 표시하는 방법 및 장치,및 이를 이용한 결제 및 인증 방법 및 장치 |
US20040203595A1 (en) * | 2002-08-12 | 2004-10-14 | Singhal Tara Chand | Method and apparatus for user authentication using a cellular telephone and a transient pass code |
JP2004104280A (ja) * | 2002-09-06 | 2004-04-02 | Yamatake Corp | 暗号化ネットワーク監視用インタフェース装置 |
US6850943B2 (en) * | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
US20040083360A1 (en) * | 2002-10-28 | 2004-04-29 | Rod Walsh | System and method for partially-encrypted data transmission and reception |
KR100480999B1 (ko) * | 2002-10-29 | 2005-04-07 | 한국전자통신연구원 | 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰채널 제공 장치 및 방법 |
US7574738B2 (en) | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
US7191341B2 (en) | 2002-12-18 | 2007-03-13 | Broadcom Corporation | Methods and apparatus for ordering data in a cryptography accelerator |
US7568110B2 (en) * | 2002-12-18 | 2009-07-28 | Broadcom Corporation | Cryptography accelerator interface decoupling from cryptography processing cores |
US20040123123A1 (en) * | 2002-12-18 | 2004-06-24 | Buer Mark L. | Methods and apparatus for accessing security association information in a cryptography accelerator |
US20040123139A1 (en) * | 2002-12-18 | 2004-06-24 | At&T Corp. | System having filtering/monitoring of secure connections |
US7434043B2 (en) | 2002-12-18 | 2008-10-07 | Broadcom Corporation | Cryptography accelerator data routing unit |
US20040123120A1 (en) * | 2002-12-18 | 2004-06-24 | Broadcom Corporation | Cryptography accelerator input interface data handling |
US7219131B2 (en) * | 2003-01-16 | 2007-05-15 | Ironport Systems, Inc. | Electronic message delivery using an alternate source approach |
US7913303B1 (en) | 2003-01-21 | 2011-03-22 | International Business Machines Corporation | Method and system for dynamically protecting a computer system from attack |
US8463940B2 (en) * | 2003-01-31 | 2013-06-11 | Hewlett-Packard Development Company, L.P. | Method of indicating a path in a computer network |
US9818136B1 (en) | 2003-02-05 | 2017-11-14 | Steven M. Hoffberg | System and method for determining contingent relevance |
JP4120415B2 (ja) * | 2003-02-10 | 2008-07-16 | 株式会社日立製作所 | トラフィック制御計算装置 |
US7370212B2 (en) | 2003-02-25 | 2008-05-06 | Microsoft Corporation | Issuing a publisher use license off-line in a digital rights management (DRM) system |
US7562384B1 (en) * | 2003-03-07 | 2009-07-14 | Cisco Technology, Inc. | Method and apparatus for providing a secure name resolution service for network devices |
US8136155B2 (en) * | 2003-04-01 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology for interprocess communication control |
US20040196841A1 (en) * | 2003-04-04 | 2004-10-07 | Tudor Alexander L. | Assisted port monitoring with distributed filtering |
US7660985B2 (en) * | 2003-04-30 | 2010-02-09 | At&T Corp. | Program security through stack segregation |
US20040268124A1 (en) * | 2003-06-27 | 2004-12-30 | Nokia Corporation, Espoo, Finland | Systems and methods for creating and maintaining a centralized key store |
US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
US9100431B2 (en) | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
US9118711B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118710B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | System, method, and computer program product for reporting an occurrence in different manners |
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US9118709B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9350752B2 (en) | 2003-07-01 | 2016-05-24 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US7788726B2 (en) * | 2003-07-02 | 2010-08-31 | Check Point Software Technologies, Inc. | System and methodology providing information lockbox |
US7149897B2 (en) * | 2003-07-25 | 2006-12-12 | The United States Of America As Represented By The Secretary Of The Navy | Systems and methods for providing increased computer security |
SE0302189L (sv) * | 2003-08-11 | 2004-05-11 | Dan Duroj | Handhållen nätverksanslutning skapad med åtminstone två lagringsmedium i fickformat med programvara för kommunikation |
CN1846399B (zh) * | 2003-09-04 | 2011-05-25 | 松下电器产业株式会社 | 数字内容保护的系统和方法 |
US7644432B2 (en) | 2003-10-10 | 2010-01-05 | Bea Systems, Inc. | Policy inheritance through nested groups |
US7594224B2 (en) | 2003-10-10 | 2009-09-22 | Bea Systems, Inc. | Distributed enterprise security system |
US7657938B2 (en) | 2003-10-28 | 2010-02-02 | International Business Machines Corporation | Method and system for protecting computer networks by altering unwanted network data traffic |
EP1751745B1 (de) * | 2003-11-14 | 2019-07-10 | Western Digital Technologies, Inc. | Verwaltete peer-to-peer-anwendungen, systeme und verfahren für verteilten datenzugriff und verteilte datenspeicherung |
US20070297349A1 (en) * | 2003-11-28 | 2007-12-27 | Ofir Arkin | Method and System for Collecting Information Relating to a Communication Network |
US8250150B2 (en) * | 2004-01-26 | 2012-08-21 | Forte Internet Software, Inc. | Methods and apparatus for identifying and facilitating a social interaction structure over a data packet network |
US8054947B2 (en) * | 2004-02-02 | 2011-11-08 | Eicon Networks Corporation | Apparatus and method for multiplexing communication signals |
US20050177713A1 (en) * | 2004-02-05 | 2005-08-11 | Peter Sim | Multi-protocol network encryption system |
CA2554915C (en) | 2004-02-17 | 2013-05-28 | Ironport Systems, Inc. | Collecting, aggregating, and managing information relating to electronic messages |
US20060242406A1 (en) | 2005-04-22 | 2006-10-26 | Microsoft Corporation | Protected computing environment |
US7756930B2 (en) | 2004-05-28 | 2010-07-13 | Ironport Systems, Inc. | Techniques for determining the reputation of a message sender |
US7849142B2 (en) | 2004-05-29 | 2010-12-07 | Ironport Systems, Inc. | Managing connections, messages, and directory harvest attacks at a server |
US7870200B2 (en) | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
US7873695B2 (en) | 2004-05-29 | 2011-01-18 | Ironport Systems, Inc. | Managing connections and messages at a server by associating different actions for both different senders and different recipients |
US8166310B2 (en) | 2004-05-29 | 2012-04-24 | Ironport Systems, Inc. | Method and apparatus for providing temporary access to a network device |
US7917588B2 (en) * | 2004-05-29 | 2011-03-29 | Ironport Systems, Inc. | Managing delivery of electronic messages using bounce profiles |
US7748038B2 (en) | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
US8379864B2 (en) * | 2004-07-09 | 2013-02-19 | Nokia Corporation | Software plug-in framework to modify decryption methods in terminals |
US20060034321A1 (en) * | 2004-07-09 | 2006-02-16 | Nokia Corporation | Method for receiving a time slice burst of data |
US20060018470A1 (en) * | 2004-07-09 | 2006-01-26 | Nokia Corporation | Managing traffic keys during a multi-media session |
US7594259B1 (en) * | 2004-09-15 | 2009-09-22 | Nortel Networks Limited | Method and system for enabling firewall traversal |
US7624263B1 (en) * | 2004-09-21 | 2009-11-24 | Advanced Micro Devices, Inc. | Security association table lookup architecture and method of operation |
US20060136717A1 (en) | 2004-12-20 | 2006-06-22 | Mark Buer | System and method for authentication via a proximate device |
US8295484B2 (en) | 2004-12-21 | 2012-10-23 | Broadcom Corporation | System and method for securing data from a remote input device |
US8296441B2 (en) * | 2005-01-14 | 2012-10-23 | Citrix Systems, Inc. | Methods and systems for joining a real-time session of presentation layer protocol data |
US8935316B2 (en) * | 2005-01-14 | 2015-01-13 | Citrix Systems, Inc. | Methods and systems for in-session playback on a local machine of remotely-stored and real time presentation layer protocol data |
EP1696648A1 (de) * | 2005-02-28 | 2006-08-30 | Eicon Networks Corporation | System welches eine sprachverarbeitende Karte und einen hauptrechnerbasierten Protokollstapel umfasst |
CN100414929C (zh) * | 2005-03-15 | 2008-08-27 | 华为技术有限公司 | 一种移动互联网协议网络中的报文传送方法 |
US8725646B2 (en) | 2005-04-15 | 2014-05-13 | Microsoft Corporation | Output protection levels |
US9363481B2 (en) | 2005-04-22 | 2016-06-07 | Microsoft Technology Licensing, Llc | Protected media pipeline |
US20060253908A1 (en) | 2005-05-03 | 2006-11-09 | Tzu-Jian Yang | Stateful stack inspection anti-virus and anti-intrusion firewall system |
US20060265758A1 (en) | 2005-05-20 | 2006-11-23 | Microsoft Corporation | Extensible media rights |
WO2006128273A1 (en) | 2005-06-01 | 2006-12-07 | Research In Motion Limited | System and method for determining a security encoding to be applied to outgoing messages |
US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
US8272058B2 (en) | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US8898452B2 (en) * | 2005-09-08 | 2014-11-25 | Netapp, Inc. | Protocol translation |
US8874477B2 (en) | 2005-10-04 | 2014-10-28 | Steven Mark Hoffberg | Multifactorial optimization system and method |
US7966654B2 (en) | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
US20070127484A1 (en) * | 2005-12-02 | 2007-06-07 | Dialogic Corporation | Data transfer operations and buffer memories |
US8316429B2 (en) * | 2006-01-31 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and systems for obtaining URL filtering information |
US7886343B2 (en) * | 2006-04-07 | 2011-02-08 | Dell Products L.P. | Authentication service for facilitating access to services |
US7836495B2 (en) * | 2006-07-28 | 2010-11-16 | Microsoft Corporation | Remote configuration of software component using proxy |
US7877603B2 (en) * | 2006-09-07 | 2011-01-25 | International Business Machines Corporation | Configuring a storage drive to communicate with encryption and key managers |
FR2912841B1 (fr) * | 2007-02-15 | 2009-05-22 | Soitec Silicon On Insulator | Procede de polissage d'heterostructures |
US20080244758A1 (en) * | 2007-03-30 | 2008-10-02 | Ravi Sahita | Systems and methods for secure association of hardward devices |
US8108856B2 (en) * | 2007-03-30 | 2012-01-31 | Intel Corporation | Method and apparatus for adaptive integrity measurement of computer software |
US8464251B2 (en) * | 2007-03-31 | 2013-06-11 | Intel Corporation | Method and apparatus for managing page tables from a non-privileged software domain |
US20080244725A1 (en) * | 2007-03-31 | 2008-10-02 | Prashant Dewan | Method and apparatus for managing packet buffers |
JP2008310270A (ja) * | 2007-06-18 | 2008-12-25 | Panasonic Corp | 暗号装置及び暗号操作方法 |
US8984620B2 (en) * | 2007-07-06 | 2015-03-17 | Cyberoam Technologies Pvt. Ltd. | Identity and policy-based network security and management system and method |
US8413227B2 (en) * | 2007-09-28 | 2013-04-02 | Honeywell International Inc. | Apparatus and method supporting wireless access to multiple security layers in an industrial control and automation system or other system |
US8839386B2 (en) * | 2007-12-03 | 2014-09-16 | At&T Intellectual Property I, L.P. | Method and apparatus for providing authentication |
US8249066B2 (en) * | 2008-02-19 | 2012-08-21 | Dialogic Corporation | Apparatus and method for allocating media resources |
US20100011375A1 (en) * | 2008-07-14 | 2010-01-14 | Safenet, Inc. | Zero-install IP security |
US8489685B2 (en) | 2009-07-17 | 2013-07-16 | Aryaka Networks, Inc. | Application acceleration as a service system and method |
US8271784B2 (en) | 2009-10-15 | 2012-09-18 | International Business Machines Corporation | Communication between key manager and storage subsystem kernel via management console |
WO2011057658A1 (en) * | 2009-11-10 | 2011-05-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Security association management |
US8583788B2 (en) * | 2011-04-20 | 2013-11-12 | Novell, Inc. | Techniques for auditing and controlling network services |
US8978093B1 (en) | 2012-05-03 | 2015-03-10 | Google Inc. | Policy based trust of proxies |
US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
US8893255B1 (en) | 2013-10-23 | 2014-11-18 | Iboss, Inc. | Device authentication using device-specific proxy addresses |
US9906952B2 (en) * | 2014-03-28 | 2018-02-27 | Vivint, Inc. | Anti-takeover systems and methods for network attached peripherals |
US9578004B2 (en) * | 2014-09-12 | 2017-02-21 | Ca, Inc. | Authentication of API-based endpoints |
GB2531317A (en) * | 2014-10-16 | 2016-04-20 | Airbus Group Ltd | Security system |
US9565168B1 (en) * | 2015-05-05 | 2017-02-07 | Sprint Communications Company L.P. | System and method of a trusted computing operation mode |
US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
US9749294B1 (en) | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
US11637907B2 (en) * | 2016-11-16 | 2023-04-25 | Verizon Patent And Licensing Inc. | Systems and methods for tracking device IDs for virtualized applications |
US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
Family Cites Families (61)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2258112A5 (de) * | 1973-11-30 | 1975-08-08 | Honeywell Bull Soc Ind | |
US3956615A (en) * | 1974-06-25 | 1976-05-11 | Ibm Corporation | Transaction execution system with secure data storage and communications |
US4104721A (en) * | 1976-12-30 | 1978-08-01 | International Business Machines Corporation | Hierarchical security mechanism for dynamically assigning security levels to object programs |
US4442484A (en) * | 1980-10-14 | 1984-04-10 | Intel Corporation | Microprocessor memory management and protection mechanism |
US4648031A (en) * | 1982-06-21 | 1987-03-03 | International Business Machines Corporation | Method and apparatus for restarting a computing system |
US4870571A (en) * | 1983-05-04 | 1989-09-26 | The Johns Hopkins University | Intercomputer communications based on message broadcasting with receiver selection |
US4584639A (en) * | 1983-12-23 | 1986-04-22 | Key Logic, Inc. | Computer security system |
US4621321A (en) * | 1984-02-16 | 1986-11-04 | Honeywell Inc. | Secure data processing system architecture |
US4713753A (en) * | 1985-02-21 | 1987-12-15 | Honeywell Inc. | Secure data processing system architecture with format control |
US4885789A (en) * | 1988-02-01 | 1989-12-05 | International Business Machines Corporation | Remote trusted path mechanism for telnet |
US5093914A (en) * | 1989-12-15 | 1992-03-03 | At&T Bell Laboratories | Method of controlling the execution of object-oriented programs |
US5204961A (en) * | 1990-06-25 | 1993-04-20 | Digital Equipment Corporation | Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols |
GB9015799D0 (en) * | 1990-07-18 | 1991-06-12 | Plessey Telecomm | A data communication system |
US5124984A (en) * | 1990-08-07 | 1992-06-23 | Concord Communications, Inc. | Access controller for local area network |
US5153918A (en) * | 1990-11-19 | 1992-10-06 | Vorec Corporation | Security system for data communications |
US5263147A (en) * | 1991-03-01 | 1993-11-16 | Hughes Training, Inc. | System for providing high security for personal computers and workstations |
US5272754A (en) * | 1991-03-28 | 1993-12-21 | Secure Computing Corporation | Secure computer interface |
US5228083A (en) * | 1991-06-28 | 1993-07-13 | Digital Equipment Corporation | Cryptographic processing in a communication network, using a single cryptographic engine |
US5355474A (en) * | 1991-09-27 | 1994-10-11 | Thuraisngham Bhavani M | System for multilevel secure database management using a knowledge base with release-based and other security constraints for query, response and update modification |
US5177788A (en) * | 1991-10-15 | 1993-01-05 | Ungermann-Bass, Inc. | Network message security method and apparatus |
FR2686755A1 (fr) * | 1992-01-28 | 1993-07-30 | Electricite De France | Procede de chiffrement de messages transmis entre reseaux interconnectes, appareil de chiffrement et dispositif de communication de donnees chiffrees mettant en óoeuvre un tel procede. |
US5333266A (en) * | 1992-03-27 | 1994-07-26 | International Business Machines Corporation | Method and apparatus for message handling in computer systems |
US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
US5311593A (en) * | 1992-05-13 | 1994-05-10 | Chipcom Corporation | Security system for a network concentrator |
GB9212655D0 (en) * | 1992-06-15 | 1992-07-29 | Digital Equipment Int | Communications system |
WO1993026109A1 (en) * | 1992-06-17 | 1993-12-23 | The Trustees Of The University Of Pennsylvania | Apparatus for providing cryptographic support in a network |
US5586260A (en) * | 1993-02-12 | 1996-12-17 | Digital Equipment Corporation | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms |
US5444782A (en) * | 1993-03-09 | 1995-08-22 | Uunet Technologies, Inc. | Computer network encryption/decryption device |
US5325362A (en) * | 1993-09-29 | 1994-06-28 | Sun Microsystems, Inc. | Scalable and efficient intra-domain tunneling mobile-IP scheme |
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5511122A (en) * | 1994-06-03 | 1996-04-23 | The United States Of America As Represented By The Secretary Of The Navy | Intermediate network authentication |
US5530758A (en) * | 1994-06-03 | 1996-06-25 | Motorola, Inc. | Operational methods for a secure node in a computer network |
US5416842A (en) * | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
US5615340A (en) * | 1994-07-21 | 1997-03-25 | Allied Telesyn Int'l Corp. | Network interfacing apparatus and method using repeater and cascade interface with scrambling |
US5485460A (en) * | 1994-08-19 | 1996-01-16 | Microsoft Corporation | System and method for running multiple incompatible network protocol stacks |
US5604490A (en) * | 1994-09-09 | 1997-02-18 | International Business Machines Corporation | Method and system for providing a user access to multiple secured subsystems |
US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
US5864683A (en) * | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
FR2727269B1 (fr) * | 1994-11-21 | 1997-01-17 | Allegre Francois | Systeme de controle d'acces a des machines informatiques connectees en reseau prive |
US5619648A (en) * | 1994-11-30 | 1997-04-08 | Lucent Technologies Inc. | Message filtering techniques |
US5550984A (en) * | 1994-12-07 | 1996-08-27 | Matsushita Electric Corporation Of America | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information |
US5566170A (en) * | 1994-12-29 | 1996-10-15 | Storage Technology Corporation | Method and apparatus for accelerated packet forwarding |
US5696486A (en) * | 1995-03-29 | 1997-12-09 | Cabletron Systems, Inc. | Method and apparatus for policy-based alarm notification in a distributed network management environment |
US5699513A (en) * | 1995-03-31 | 1997-12-16 | Motorola, Inc. | Method for secure network access via message intercept |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5636371A (en) * | 1995-06-07 | 1997-06-03 | Bull Hn Information Systems Inc. | Virtual network mechanism to access well known port application programs running on a single host system |
US5706507A (en) * | 1995-07-05 | 1998-01-06 | International Business Machines Corporation | System and method for controlling access to data located on a content server |
US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
US5689566A (en) * | 1995-10-24 | 1997-11-18 | Nguyen; Minhtam C. | Network with secure communications sessions |
US5826029A (en) * | 1995-10-31 | 1998-10-20 | International Business Machines Corporation | Secured gateway interface |
US5671279A (en) * | 1995-11-13 | 1997-09-23 | Netscape Communications Corporation | Electronic commerce using a secure courier system |
US5602918A (en) * | 1995-12-22 | 1997-02-11 | Virtual Open Network Environment Corp. | Application level security system and method |
AU2242697A (en) * | 1996-01-16 | 1997-08-11 | Raptor Systems, Inc. | Data encryption/decryption for network communication |
AU1748797A (en) * | 1996-01-16 | 1997-08-11 | Raptor Systems, Inc. | Key management for network communication |
AU1829897A (en) * | 1996-01-16 | 1997-08-11 | Raptor Systems, Inc. | Transferring encrypted packets over a public network |
US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5918018A (en) * | 1996-02-09 | 1999-06-29 | Secure Computing Corporation | System and method for achieving network separation |
US5684951A (en) * | 1996-03-20 | 1997-11-04 | Synopsys, Inc. | Method and system for user authorization over a multi-user computer system |
US5673322A (en) * | 1996-03-22 | 1997-09-30 | Bell Communications Research, Inc. | System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks |
-
1996
- 1996-09-18 US US08/715,343 patent/US5983350A/en not_active Expired - Lifetime
-
1997
- 1997-09-18 DE DE19741246A patent/DE19741246C2/de not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10008519C1 (de) * | 2000-02-21 | 2001-07-12 | Dica Technologies Ag | Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet |
DE10107883A1 (de) * | 2001-02-19 | 2002-08-29 | Post Ebusiness Gmbh Deutsche | Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem |
DE10107883B4 (de) * | 2001-02-19 | 2006-02-09 | Deutsche Post Ag | Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem |
DE10108408A1 (de) * | 2001-02-21 | 2002-08-29 | Gloocorp Ag | Kommunikationssystem zum Austausch von verschlüsselter Information in nachrichtengestütztem oder Echtzeitkommunikationsmodus |
Also Published As
Publication number | Publication date |
---|---|
DE19741246C2 (de) | 2001-06-13 |
US5983350A (en) | 1999-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19741246C2 (de) | Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken | |
US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
US7260840B2 (en) | Multi-layer based method for implementing network firewalls | |
US5550984A (en) | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information | |
US7509673B2 (en) | Multi-layered firewall architecture | |
US8490153B2 (en) | Automatically generating rules for connection security | |
US6981143B2 (en) | System and method for providing connection orientation based access authentication | |
US7409707B2 (en) | Method for managing network filter based policies | |
US6076168A (en) | Simplified method of configuring internet protocol security tunnels | |
DE69831974T2 (de) | Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen | |
DE60121483T2 (de) | Sicherheitkommunikationsverfahren, System und Vorrichtung welche erlauben den Sicherheitstyp zu wechseln | |
US7496748B2 (en) | Method for establishing a security association between two or more computers communicating via an interconnected computer network | |
US20080267177A1 (en) | Method and system for virtualization of packet encryption offload and onload | |
DE19741239C2 (de) | Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren | |
US7613699B2 (en) | Apparatus and method for resolving security association database update coherency in high-speed systems having multiple security channels | |
JP2003525557A (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
CH709936A2 (de) | System und Verfahren für das kryptographische Suite-Management. | |
DE60311898T2 (de) | Verfahren, um ein Paket von einem ersten IPSeC Klienten zu einem zweiten IPSec Klienten über einen L2TP Tunnel zu übertragen | |
WO2020229537A1 (de) | Verfahren zum selektiven ausführen eines containers und netzwerkanordnung | |
DE102022100111A1 (de) | Netzwerkschnittstelle mit Datenschutz | |
EP3318033B1 (de) | Anti-cracking verfahren mit hilfe eines vermittlungscomputer | |
WO2021197822A1 (de) | Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug | |
Iyer | B. Tech. Seminar UNIX and Internet Security | |
DE19622629A1 (de) | Verfahren zur kryptographischen Sicherung einer Übertragung mindestens eines Datenpakets von einer ersten Computereinheit zu einer zweiten Computereinheit unter Verwendung des Remote Procedure Call Verfahrens |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OR8 | Request for search as to paragraph 43 lit. 1 sentence 1 patent law | ||
8105 | Search report available | ||
8110 | Request for examination paragraph 44 | ||
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Representative=s name: EISENFUEHR SPEISER PATENTANWAELTE RECHTSANWAEL, DE |
|
R081 | Change of applicant/patentee |
Owner name: MCAFEE, INC., SANTA CLARA, US Free format text: FORMER OWNER: SECURE COMPUTING CORP., ROSEVILLE, MINN., US Effective date: 20140925 |
|
R082 | Change of representative |
Representative=s name: EISENFUEHR SPEISER PATENTANWAELTE RECHTSANWAEL, DE Effective date: 20140925 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |