DE19741246A1 - Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken - Google Patents

Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken

Info

Publication number
DE19741246A1
DE19741246A1 DE19741246A DE19741246A DE19741246A1 DE 19741246 A1 DE19741246 A1 DE 19741246A1 DE 19741246 A DE19741246 A DE 19741246A DE 19741246 A DE19741246 A DE 19741246A DE 19741246 A1 DE19741246 A1 DE 19741246A1
Authority
DE
Germany
Prior art keywords
message
level
network
protocol
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19741246A
Other languages
English (en)
Other versions
DE19741246C2 (de
Inventor
Spence Minear
Edward B Stockwell
Jongh Troy De
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
McAfee LLC
Original Assignee
Secure Computing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secure Computing LLC filed Critical Secure Computing LLC
Publication of DE19741246A1 publication Critical patent/DE19741246A1/de
Application granted granted Critical
Publication of DE19741246C2 publication Critical patent/DE19741246C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Description

Die vorliegende Erfindung betrifft im allgemeinen Netzwerkkommunikationen und im besonderen ein System und ein Verfahren zur sicheren Übermittlung von Infor­ mationen zwischen Firewalls über ein ungeschütztes Netzwerk.
Firewalls spielen eine wachsende Rolle beim Aufbau von Netzwerken. Firewalls bieten nämlich Schutz für wertvolle Recourcen in privaten Netzwerken und erlau­ ben gleichzeitig die Kommunikation mit Systemen und den Zugriff auf diese, die sich in einem ungeschützten Netzwerk wie beispielsweise das Internet befinden. Zusätzlich blockieren Firewalls Angriffe auf private Netzwerke, die vom unge­ schützten Netzwerk kommen, indem eine einzige Verbindung mit begrenzten Diensten geschaffen wird. Eine gut aufgebaute Firewall begrenzt die Sicherheits­ probleme einer Internet-Verbindung auf ein einziges Firewallcomputersystem. Auf diese Weise können die Netzwerksicherheitsbemühungen auf die Bildung des von der Firewall erzwungenen Sicherheitsverhaltens konzentriert werden. Beispiele eines Firewall-Systems, die als Gateways auf einer Anwendungsebene vorgesehen sind, sind in den US-Patentanmeldungen 08/322078 und 08/599232 offenbart. Gateways auf Anwendungsebene verwenden Proxies, die auf der Anwendungs­ ebene arbeiten, um den Verkehr durch die Firewalls zu verarbeiten und zu steuern.
Dabei wird nicht nur der Verkehr der Botschaften, sondern auch deren Inhalt überprüft. Zusätzlich sind Authentifizierungs- und Identifikationsdienste sowie Zugriffssteuerungen und -prüfungen vorgesehen.
Auf ungeschützten Netzwerken wie dem Internet zu übermittelnde Daten sind empfindlich gegen elektronisches Abhören und sonstigen Mißbrauch. Obwohl eine Firewall Daten innerhalb eines privaten Netzwerkes vor Angriffen aus ungeschütz­ ten Netzwerken schützen kann, sind gleichwohl diese Daten bei der Übermittlung vom privaten Netzwerk zu einer externen Maschine gegen Abhören und sonstigen Mißbrauch verwundbar. Im Hinblick auf diese Gefahr entwickelte die In­ ternet-Engineering-Task-Force IETF einen Standard zum Schutz von zwischen Firewalls über ein ungeschütztes Netzwerk übermittelten Daten. Der Internetprotokollsicher­ heitsstandard IPSEC (Internet Protocol Security) verlangt die Verschlüsselung der Daten vor Verlassen der ersten Firewall und die anschließende Entschlüsselung bei Empfang durch die zweite Firewall. Die entschlüsselten Daten werden anschließend an ihr Ziel, gewöhnlich einen an die zweite Firewall angeschlossener Arbeitsplatz eines Benutzers weitergeleitet. Deshalb wird die IPSEC-Verschlüsselung manchmal auch als Firewall-Firewall-Verschlüsselung FFE (firewall-to-firewall encryption) und die Verbindung zwischen einem an die erste Firewall angeschlossenen Arbeitsplatz und einem an die zweite Firewall angeschlossenen Client oder Server als virtuelles privates Netzwerk VPN bezeichnet.
Die zwei Hauptkomponenten des IPSEC-Standard umfassen die Datenverschlüsse­ lung und die Authentifizierung (Echtheitsprüfung) der Sender. Durch die Datenver­ schlüsselung erhöht sich der Aufwand zum Auslesen der übermittelten Daten beim unerlaubten Abhören. Die Senderauthentifizierung gewährleistet, daß das Zielsy­ stem verifizieren kann, ob die verschlüsselten Daten tatsächlich von demjenigen Arbeitsplatz übermittelt wurden, von dem sie auch tatsächlich abgesendet worden sind. Der IPSEC-Standard definiert eingeschlossene Nutzdaten ESP (encapsulated payload) als Mechanismus zur Übermittlung von verschlüsselten Daten. Dieser Standard identifiziert einen Authentifizierungsdatenkopf oder -header AH als Mechanismus zur Schaffung der Identität des sendenden Arbeitsplatzes.
Durch korrekte Benutzung der Verschlüsselung können die Probleme des unerlaub­ ten Abhörens und sonstigen Mißbrauches vermieden werden. Eine geschützte Verbindung wird nämlich von dem an die eine Firewall angeschlossenen internen Netzwerk zu einem an eine andere Firewall angeschlossenen internen Netzwerk aufgebaut. Zusätzlich kann der IPSEC-Standard zur Schaffung einer geschützten Verbindung zu einem externen Computersystem, wie beispielsweise einem trag­ baren Personal Computer verwendet werden.
Die IPSEC-Verschlüsselung und -Entschlüsselung arbeiten in der Internetprotokoll­ ebene des Netzwerkprotokoll-Stack. D. h. sämtliche Kommunikation zwischen zwei Internetprotokolladressen istgeschützt, da sämtliche Kommunikation zwischen den Firewalls durch die Internetprotokollebene laufen muß. Eine solche Maßnahme ist gegenüber Verschlüsselung und Entschlüsselung auf höheren Ebenen im Netzwerk­ protokoll-Stack vorzuziehen, da im Falle einer Verschlüsselung auf Ebenen höher als die Internetprotokollebene mehr Arbeit erforderlich ist, um zu gewährleisten, daß sämtliche unterstützte Kommunikation korrekt geschützt ist. Da die IPSEC-Verschlüsselung unterhalb der Übermittlungsebene gehandhabt wird, können von jeder Anwendung gesendete Daten verschlüsselt werden. Deshalb wird der IPSEC-Standard zu einem transparenten Zusatz zu Protokollen wie TCP und UDP.
Da jedoch die IPSEC-Entschlüsselung auf der Internetprotokollebene stattfindet, ist es jedoch schwierig, den IPSEC-Standard an einem Gateway auf Anwendungs­ ebene anzuwenden, während gleichzeitig noch eine Kontrolle am Proxy über Authentifizierung, Inhalt der Botschaften sowie Zugriffssteuerung und -prüfung aufrechterhalten bleibt. Obwohl die IPSEC-Specifikation in RFC 1825 die Ver­ wendung eines obligatorischen Zugriffssteuerungsmechanismus in einem auf mehreren Ebenen sicheren Netzwerk MLS vorschlägt, um eine der Botschaft zu­ geordnete Sicherheitsebene mit der Sicherheitsebene des empfangenden Prozesses zu vergleichen, ist eine solche Maßnahme nur von begrenztem Nutzen in der Umgebung eines Gateway auf Anwendungsebene. Tatsächlich ist bei den Im­ plementierungen auf den Gateways auf Anwendungsebene heutzutage einfach darauf vertraut worden, daß die Botschaften als Gewähr dafür, daß sie legitimiert sind, nach dem IPSEC-Standard verschlüsselt werden, und die Botschaften werden deshalb einfach dekodiert und zu ihrem Ziel weitergeleitet. Dies schafft gleichwohl eine potentielle Lücke in der Firewall aufgrund der Annahme, daß die verschlüsselte Kommunikation Zugriff zu allen Diensten besitzt.
Es besteht daher Bedarf an einem Verfahren zur Handhabung von IPSEC-Botschaf­ ten innerhalb eines Gateway auf Anwendungsebene, bei welchem die zuvor beschriebenen Nachteile vermieden werden und welches eine Kontrolle über den Zugriff durch eine IPSEC-Verbindung auf individuelle Dienste innerhalb des internen Netzwerkes erlaubt.
Diese Aufgabe wird mit der Erfindung gemäß den Merkmalen der unabhängigen Ansprüche gelöst.
Weiterbildung und Erfindung sind in den abhängigen Ansprüchen gekennzeichnet.
Nachfolgend werden bevorzugte Ausführungsbeispiele der Erfindung anhand der beiliegenden Zeichnungen näher erläutert.
Es zeigen:
Fig. 1 im funktionalen Blockschaltbild ein Firewall-Firewall-Verschlüsselungs­ system gemäß der vorliegenden Erfindung;
Fig. 2 im Blockschaltbild eine Zugriffsteuerungsprüfung von verschlüsselten und entschlüsselten Botschaften in einem Netzwerkprotokoll-Stack gemäß der vorliegenden Erfindung;
Fig. 3 im Blockschaltbild ein Firewall-Firewall-Verschlüsselungsschema, im­ plementiert auf einem Gateway auf Anwendungsebene;
Fig. 4 im Blockschaltbild eine bevorzugte Ausführung eines vom Netzwerk getrennten Protokoll-Stack mit implementiertem IPSEC-Standard gemäß der vorliegenden Erfindung; und
Fig. 5 im funktionalen Blockschaltbild ein Firewall-Arbeitsplatz-Verschlüsse­ lungssystem gemäß der vorliegenden Erfindung.
Ein System 10, das für eine Firewall-Firewall-Verschlüsselung FFE verwendet wird, ist in Fig. 1 gezeigt. Gemäß Fig. 1 weist das System 10 eine Workstation bzw. einen Arbeitsplatz 12 auf, der über eine Firewall 14 mit einem ungeschützten Netz­ werk 16 wie dem Internet kommuniziert. Das System 10 weist ebenfalls einen Arbeitsplatz 20 auf, der über eine Firewall 18 mit dem ungeschützten Netzwerk 16 kommuniziert. Bei einer Ausführung handelt es sich bei der Firewall 18 um ein Gateway auf Anwendungsebene.
Wir bereits zuvor angemerkt worden ist, arbeiten die IPSEC-Verschlüsselung und -Entschlüsselung innerhalb der Internetprotokoll (IP)-Schicht bzw. -Ebene des Netzwerkprotokoll-Stack. D. h. sämtliche Kommunikation zwischen zwei Internet­ protokollebenen wird geschützt, da sämtliche Kommunikation zwischen den Firewalls durch die Internetprotokollebene laufen muß. IPSEC nimmt das Standard- Internet-Paket und wandelt es in ein Trägerpaket um. Das Trägerpaket ist dazu vorgesehen, die Inhalte des ursprünglichen Paketes zu verbergen (Verschlüsselung) und einen Mechanismus zu schaffen, bei dem die Empfänger-Firewall die Quelle des Pakete verifizieren kann (Authentifizierung). Bei einer bevorzugten Ausführung der vorliegenden Erfindung enthält jedes IPSEC-Trägerpaket einen Authentifizie­ rungsdatenkopf bzw. -header zur Authentifizierung des sendenden Gerätes und eingeschlossene Nutzdaten (encapsulated payload), die verschlüsselte Daten enthalten. Die Authentifizierungsdatenkopf- und Nutzdaten-Merkmale des IPSEC können jedoch unabhängig voneinander benutzt werden. Wie in RFC 1825 gefor­ dert, ist DES-CBC zur Wendung beim Verschlüsseln der eingeschlossenen Nutz­ daten vorgesehen, während der Authentifizierungsdatenkopf verschlüsseltes MD5 verwendet. Um IPSEC zu benutzen, muß eine Sicherheitszuordnung SA (security association) für jede Internetprotokoll-Zieladresse geschaffen werden. Bei einer bevorzugten Ausführung enthält jede Sicherheitszuordnung die folgende Informa­ tion:
  • - Sicherheitsparameterindex SPI (Security Parameters Index) - der Index, der zum Finden einer Sicherheitszuordnung bei Empfang eines IPSEC-Datagrams benutzt wird.
  • - Internetprotokoll-Zieladresse - die Adresse, die zum Finden der Sicherheits­ zuordnung und der Benutzung eines Triggers der IPSEC-Verarbeitung bei der Ausgabe benutzt wird.
  • - Der Peer-SPI - der SPI-Wert auf einem IPSEC-Datagram bei Ausgabe.
  • - Die Peer-Internetprotokoll-Adresse - die Internetprotokoll-Zieladresse, um in dem Paketdatenkopf abgelegt zu werden, falls der IPSEC-Tunnel-Modus benutzt wird.
  • - Der zu verwendende Algorithmus für die Verschlüsselungssicherheitsnutz­ daten ESP.
  • - Der ESP-Schlüssel zur Entschlüsselung von eingegebenen Datagrams.
  • - Der ESP-Schlüssel zur Verschlüsselung von ausgegebenen Datagrams.
  • - Der zu verwendende Algorithmus für die Authentifizierung AH.
  • - Der AH-Schlüssel zur Validation bzw. Gültigmachung von eingegebenen Paketen.
  • - Der AH-Schlüssel zur Erzeugung von Authentifizierungsdaten für ausgegebe­ ne Datagrams.
Nur die Kombination eines gegebenen Sicherheitsparameterindex und einer Inter­ netprotokoll-Zieladresse identifiziert eine besondere "Sicherheitszuordnung". Bei einer bevorzugten Ausführung verwendet die sendende Firewall die Sendebenutze­ ridentifikation (sending userid) und Zieladresse, um eine geeignete Sicherheits­ zuordnung (und somit SPI-Wert) auszuwählen. Die empfangende Firewall verwendet die Kombination von SPI-Wert und Quellenadresse, um eine geeignete Sicherheits­ zuordnung zu erhalten.
Eine Sicherheitszuordnung funktioniert normalerweise in einer Richtung. Eine au­ thentifizierte Kommunikation zwischen zwei Firewalls verwendet normalerweise zwei Sicherheitsparameterindizes (einen in jeder Richtung). Nur die Kombination eines besonderen Sicherheitsparameterindex und einer besonderen Zieladresse identifiziert die Sicherheitszuordnung.
Weitere Informationen über die Besonderheiten einer IPSEC-FFE-Implementierung kann man aus den Standards erhalten, die von der IPSEC-Arbeitsgruppe erarbeitet wurden und in "Security Architecture for IP" (RFC 1825) und in RFC 1826-1829 dokumentiert sind.
Wenn ein Datagram vom ungeschützten Netzwerk 16 empfangen wird oder an ein Ziel über das ungeschützte Netzwerk 16 abzusenden ist, muß die Firewall die Algorithmen, Schlüssel etc. bestimmen können, welche zur korrekten Verarbeitung des Datagrams benutzt werden müssen. Bei einer bevorzugten Ausführung erhält man diese Information durch eine Durchsicht der Sicherheitszuordnungen. Bei einer bevorzugten Ausführung durchläuft die Lookup-Routine mehrere Parameter bzw. Abfragen (arguments): Die IP-Quellenadresse bei Empfang des Datagrams aus dem Netzwerk 16 oder die IP-Zieladresse bei Übermittlung des Datagrams über das Netzwerk 16, den SPI und ein Flag, das zur Anzeige verwendet wird, ob die Routine zum Empfangen oder Absenden eines Datagrams durchgeführt wird.
Bei Empfang eines IPSEC-Datagrams durch die Firewall 18 aus einem ungeschütz­ ten Netzwerk 16, werden der SPI und die Internetprotokoll-Quellenadresse durch Einsichtnahmen in das Datagram ermittelt. Bei einer bevorzugten Ausführung wird eine in der Firewall 18 gespeicherte Sicherheitszuordnungsdatenbank SADB (Secu­ rity Association Database) für den Eintrag mit einem übereinstimmenden SPI ge­ sucht. Bei dieser Ausführung können Sicherheitszuordnungen auf der Grundlage einer Netzwerkadresse sowie einer weiter aufgelösten (more granular) Host-Adres­ se gebildet werden. Dies erlaubt dem Netzwerkadministrator, eine Sicherheits­ zuordnung zwischen zwei Firewalls mit nur zwei Zeilen in einer Konfigurationsdatei auf jeder Maschine zu erzeugen. Für solche Ausführungen wird der Eintrag in der Sicherheitszuordnungsdatenbank, die den übereinstimmenden SPI und die längste Adressenübereinstimmung umfaßt, als SA-Eintrag gewählt. Bei einer anderen Ausführung besitzt jede SA einen Präfixlängenwert, der der Adresse zugeordnet ist. Eine Adressenübereinstimmung bei einer SA-Eingabe bedeutet, daß die Adresse für die Anzahl von Bits, spezifiziert durch den Präfixlängenwert, miteinander überein­ stimmen.
Es gibt zwei Ausnahmen bei diesem Suchprozeß. Wenn eine SA-Eingabe als dynamisch markiert wird, besteht die erste Ausnahme darin, daß sie impliziert, daß der Benutzer dieser SA eine feste Internetprotokolladresse nicht haben darf. In diesem Fall wird die Übereinstimmung durch den SPI-Wert vollständig ermittelt. Somit ist es notwendig, daß die SPI-Werte für derartige SA-Eingaben einzigartig in der SADB sind. Die zweite Ausnahme gilt für SA-Eingaben, die als Tunnel-Modus- Eingaben markiert sind. In diesem Fall ist es normal, daß das sendende Gerät seine Quellenadresse verbirgt, so daß alles, was auf der öffentlichen Leitung erkennbar ist, die Zieladresse ist. In diesem Fall, ähnlich wie in dem Fall, bei welchem die SA-Eingaben für dynamische IP-Adressen vorgesehen sind, wird die Suche ausschließ­ lich auf der Grundlage des SPI vorgenommen.
Bei Ermittlung eines Datagram über das ungeschützte Netzwerk 16 wird die SADB nur unter Verwendung der Zieladresse als Eingabe gesucht. In diesem Fall wird die Eingabe mit der Übereinstimmung in der längsten Adresse ausgewählt und in die Anrufroutine zurückgeführt.
In der bevorzugten Ausführung, falls eine Firewall 18 Datagrams empfängt, die entweder als"IP_PROTO_IPSEC_ESP"-oder"IP_PROTO_IPSEC_AH"-Protokolldata­ gram identifiziert werden, muß es eine entsprechende SA in der SADB geben, oder ansonsten läßt die Firewall 18 das Paket fallen und wird eine Prüfmitteilung er­ zeugt. Ein solcher Vorgang könnte als möglicher Angriff gewertet werden oder nur einfach der Grund für den Eintrag eines falschen Schlüssels in der Sicherheits­ zuordnungsdatenbank sein.
In einem System wie dem System 10 dient die als Gateway auf Anwendungsebene vorgesehene Firewall 18 als Puffer zwischen dem ungeschützten Netzwerk 16 und Arbeitsplätzen wie beispielsweise den Arbeitsplatz 20. Die vom ungeschützten Netzwerk 16 kommenden Mitteilungen werden durchgesehen, und es wird er­ mittelt, ob die Durchführung einer Authentifizierung und eines Identifikations­ protokolls garantiert ist. Im Gegensatz zu früheren Systemen, führt also das System 10 dieselbe Ermittlung an IPSEC-verschlüsselten Mitteilungen durch. Erforderlichenfalls können dieselbe Authentifizierung und Identifizierung an vom Arbeitsplatz 20 zum ungeschützten Netzwerk 16 zu übermittelnden Botschaften durchgeführt werden. Fig. 2 zeigt einen Weg der Authentifizierung von verschlüs­ selten sowie entschlüsselten Botschaften in einem System wie das System 10.
Im System von Fig. 2 enthält ein Netzwerkprotokoll-Stack 40 eine physikalische Ebene 42, eine Internetprotokollebene 44, eine Übermittlungsebene 46 und eine Anwendungsebene 48. Ein solcher Protokoll-Stack befindet sich beispielsweise in der als Gateway auf Anwendungsebene vorgesehenen Firewall 18 von Fig. 1. Eine in der Anwendungsebene 48 durchgeführte Anwendung kann mit einer Anwen­ dung kommunizieren, die auf einem anderen System ausgeführt wird, indem eine Mitteilung ausgearbeitet und durch eine der bestehenden Übermittlungsdienste, die auf der Übermittlungsebene 46 ausgeführt werden, übermittelt wird. Die Übermitt­ lungsebene 46 wiederum verwendet ein Verfahren, das in der Internetprotokoll­ ebene 44 ausgeführt wird, um die Übermittlung fortzusetzen. Die physikalische Schicht bzw. Ebene 42 stellt die Software bereit, die benötigt wird, um Daten über die Kommunikationshardware (z. B. eine Netzwerkinterface-Karte oder ein Modem) zu übermitteln. Wie zuvor angemerkt worden ist, arbeitet der IPSEC-Standard in der Internetprotokollebene 44. Die Verschlüsselung und Authentifizierung ist für den Host erkennbar, solange der Netzwerkadministrator die Sicherheitszuordnungs­ datenbank korrekt konfiguriert hat und ein Schlüsselmanagementmechanismus an Ort und Stelle an der Firewall vorgesehen ist.
In der als Gateway auf der Anwendungsebene vorgesehenen Firewall 18 ver­ arbeitet ein in der Anwendungsebene 48 arbeitender Proxy 50 in der Anwendungs­ ebene 48 von internen und externen Netzwerken übermittelte Botschaften. Sämtli­ cher Netzwerk-Netzwerk-Verkehr muß durch einen der Proxies in der Anwendungs­ ebene laufen, bevor die Übermittlung über Netzwerke erlaubt wird. Eine vom externen Netzwerk 16 ankommende Botschaft wird auf der Internetprotokollebene 44 geprüft, und eine SADB wird angefragt, um zu bestimmen, ob die Quellen­ adresse und der SPI einer SA zugeordnet sind. Bei der in Fig. 2 gezeigten Aus­ führung wird eine SADB-Master-Kopie 52 in einem Dauerspeicher auf der Anwen­ dungsebene 48 gehalten, während eine Kopie 54 der SADB in einem flüchtigen Speicher innerhalb des Kernels gehalten wird. Falls die Botschaft vermutlich zu verschlüsseln ist, wird die Botschaft auf der Grundlage des der besonderen SA zugeordneten Algorithmus und Schlüssels entschlüsselt, und die Botschaft wird durch die Übermittlungsebene 46 an den Proxy 50 übermittelt. Der Proxy 50 prüft die Quellen- und Zieladressen und die Art des gewünschten Dienstes und ent­ scheidet, ob eine Authentifizierung des Senders gewährleistet ist. Falls ja, beginnt der Proxy 50 mit einem Authentifizierungsprotokoll. Das Protokoll kann so einfach sein wie die Anfrage eines Benutzernamens und Kennwortes oder kann einen Authentifizierungsabfrage- und Antwortprozeß enthalten. Der Proxy 50 achtet ebenfalls darauf, ob die ankommende Botschaft verschlüsselt war oder nicht, und kann diese entsprechend zerlegen im Hinblick darauf, ob eine bestimmte Art der Authentifizierung benötigt wird. Beispielsweise kann im Telnet eine Benutzername/ Kennwort/Authentifizierung für eine FFE-Verbindung ausreichend sein, während die Sicherheitspolizei darauf bestehen kann, daß ein strengeres Abfrage/Antwort-Pro­ tokoll für unverschlüsselte Verbindungen benötigt wird. In diesem Fall ist der Proxy 50 ein Telnet-Proxy und stützt sein Authentifizierungsprotokoll darauf, ob die Verbindung verschlüsselt war oder nicht.
Da der IPSEC in der IP-Ebene 44 arbeitet, gibt es keinen Bedarf an Host-Firewalls zur Aktualisierung der Anwendungen. Benutzer, die bereits einen IPSEC-Standard auf ihrem eigenen Host verfügbar haben, müssen gleichwohl anfordern, daß der Firewall-Administrator SAs in der SADB für ihren Verkehr erzeugt.
Bei der in Fig. 2 gezeigten Ausführung wird eine Arbeitskopie 54 der Sicherheits­ zuordnungsdatenbank, bestehend aus sämtlichen aktuellen aktiven SAs, in einem Speicher für den fertigen Zugriff durch die Internetprotokollebene gespeichert gehalten, welche arbeitet, wenn Datagrams empfangen und übermittelt werden. Zusätzlich wird eine Arbeits-Master-Kopie 52 der SADB in einer Datei in einem nicht-flüchtigen Speicher gehalten. Während des Startens bzw. Hochfahrens des Systems und des Initialisierungsvorganges wird der Inhalt sämtlicher erforderlicher SAs in der Master-SADB 52 der im Kernel-Speicher gespeicherten Arbeitskopie 54 hinzugefügt.
In der bevorzugten Ausführung hält die Firewall 18 verschiedene Sicherheitsstufen an internen und externen Netzwerk-Interfaces. Für eine Firewall ist es wünschens­ wert, unterschiedliche Sicherheitsstufen in den internen und externen Interfaces zu haben. In der bevorzugten Ausführung unterhält die Firewall 18 drei unterschiedli­ che Stufen, die von 0 bis 2 numeriert sind. Diese Stufen schaffen einen einfachen Mechanismus, der die Freigabe für nach innen sowie nach außen gerichtete Pakete steuert.
  • - Stufe 0 - keine Freigabe für irgendeinen nach innen oder außen gerichteten Verkehr, sofern es nicht eine Sicherheitszuweisung zwischen der Quelle und dem Ziel gibt.
  • - Stufe 1 - Erlaubnis für sowohl nach innen als auch nach außen gerichteten Nicht-IPSEC-Verkehr, jedoch verstärkt angestrebte Benutzung des IPSEC-Standard, falls eine SA für die Adresse existiert. (Zur Unterstützung dieser Firewall 18 muß nach einer SA für jedes nach innen gerichtete Datagram gesucht werden).
  • - Stufe 2 - Freigabe für NULL-Sicherheitszuordnungen. NULL-Zuordnungen sind wie normale Sicherheitszuordnungen, allerdings mit der Ausnahme, daß keine Verschlüsselungs- oder Authentifizierungsumwandlungen an nach innen oder nach außen gerichteten Paketen durchgeführt wird, welche dieser NULL-Zuordnung entsprechen. Auf Stufe 2 empfängt die Maschine ungeschützten Verkehr, sendet jedoch nicht, sofern nicht Stufe 1 aktiviert ist.
Die Fehlerschutzstufe, die bei der Initialisierung der Sicherheitszuordnungsdaten­ bank SADB zum Zeitpunkt des Bootens etabliert wird, beträgt 1 für den nach innen gerichteten Verkehr und 2 für den nach außen gerichteten Verkehr.
Es ist wünschenswert für Dämonen oder Proxies auf Benutzerebene in der Firewall 18 zu wissen, ob eine Verbindung (oder ein ankommendes UDP-Datagram im Fall eines UDP-Proxy) verschlüsselt wird oder nicht. Diese Information kann beispiels­ weise dafür genutzt werden, um Zugriff auf Dienste innerhalb des internen Netz­ werkes 19 zu steuern oder das Authentifizierungsverfahren zu ermitteln, das zur Authentifizierung des Senders benutzt wird. Ein solches Verfahren zur Steuerung des Zugriffes auf Dienste innerhalb eines internen Netzwerkes ist in der US-Patent­ anmeldung No. 08/715 668 beschrieben. Außerdem lehrt dieses Dokument ein Verfahren zur Selektierung eines Authentifizierungsverfahrens in Abhängigkeit davon, ob eine Botschaft verschlüsselt wurde oder nicht. Im Fall der Stufe 0 würde es sicher sein anzunehmen, daß sämtlicher ankommender Verkehr verschlüsselt oder authentifiziert wird. Im Fall der Stufen 1 bis 2 muß ermittelt werden, ob eine Sicherheitszuordnung für einen gegebenen Peer vorliegt oder nicht, ansonsten kann eine Anwendung vermuten, daß ein nach innen gerichteter Verkehr authentifiziert worden wäre, wenn dies tatsächlich noch nicht der Fall ist. (Aus diesem Grunde ist es wichtig, nach einer SA bei der Eingabe von jedem Nicht-IPSEC-Datagram zu suchen.)
Bei der bevorzugten Ausführung zeigt ein Flag, das die Botschaft bei Ihrer Über­ mittlung von der Internetprotokollebene 44 zum Proxy 50 begleitet, an, ob die ankommende Botschaft verschlüsselt wurde oder nicht. Bei einer anderen Aus­ führung greift der Proxy 50 auf die Sicherheitszuordnungsdatenbank 54 (- die Tabelle im Kernel kann über einen SADB-Routing-Sockel (socket) PF-SADB abge­ fragt werden -) zu, um zu ermitteln, ob eine Sicherheitszuordnung für einen gege­ benen Peer existiert oder nicht. Der SADB-Sockel ist sehr ähnlich wie ein Routing- Sockel, wie man sie im BSD-4.4-Kernel (Protokollfamilie PF-Route) findet, mit der Ausnahme, daß PF-SADB-Sockel benutzt werden, um die Sicherheitszuordnungs­ datenbank SADB anstelle der Routing-Tabelle beizubehalten. Da die für die Ver­ schlüsselung, die Entschlüsselung und die verschlüsselte Authentifizierung benutz­ ten privaten Schlüssel in dieser Tabelle gespeichert sind, muß ein Zugriff strikt verboten und nur den Administratoren und Schlüssel-Managment-Dämonen erlaubt sein. Vorsicht ist geboten, wenn den Dämonen auf der Benutzerstufe Zugriff auf "/dev/mem" oder "/dev/kmem" auch erlaubt wird, da die Schlüssel im Kernel-Spei­ cher gespeichert sind und kreativen Hackern zugänglich gemacht werden könnten.
Bei einer bevorzugten Ausführung wird ein Befehlszeilenwerkzeug (command-line tool) mit der Bezeichnung "sadb" dazu benutzt, die Erzeugung und Wartung einer "in-kernel"-Version 54 der SADB zu unterstützen. Das Hauptinterface zwischen diesem Tool und der SADB ist der PF-SADB-Sockel. Der Kern ermöglicht eine Sockel-Verarbeitung zum Empfang von Client-Anfragen, um Einträge in die "in­ kernel"-SADB 54 hinzuzufügen, zu aktualisieren oder zu verändern. Wie bereits zuvor erwähnt wurde, beträgt die Fehlerschutzstufe, die bei der Initialisierung der Sicherheitszuordnungsdatenbank (SADB) zum Zeitpunkt des Bootens 1 etabliert wird, für den nach innen gerichteten Verkehr und 2 für den nach außen gerichteten Verkehr. Dies kann durch Verwendung des "sadb"-Befehls geändert werden.
Den existierenden "sadb"-Befehl erhält man aus der NIST-Implementierung der IPSEC. Wie zuvor erwähnt wurde, ist dieses Tool sehr ähnlich der "route" darin, daß es ein spezieller Sockel (socket) benutzt wird, um Datenstrukturen in und aus dem Kernel zu leiten. Es gibt drei Befehle, die vom "sadb"-Befehl erkannt werden: "get, "set", "delete". Das nachfolgende einfache Shell-Skript unterstützt das Hinzufügen und die Beseitigung eines einzigen SA-Eintrages in die SADB 54. Es zeigt eine Ausführung einer Parameter-Reihenfolge zum Hinzufügen einer SA zur SADB.
Den aktuellen Status der "in-kernel"-SADB 54 kann man mit dem "sadb"-Befehl erhalten. Die "get"-Option erlaubt ein Umspeichern der gesamten SADB oder eines einzelnen Eintrages. In der bevorzugten Ausführung benutzt das komplette Um­ speicherverfahren "dev/kmem", um die Information zu finden. Die Information kann wie folgt präsentiert werden:
Wenn ein neuer Eintrag der "in-kernel"-SADB 54 hinzugefügt wird, prüft der Hinzufügungsprozeß zunächst, daß kein existierender Eintrag mit den Werten im neuen Eintrag übereinstimmt. Falls keine Übereinstimmung festgestellt wird, wird der Eintrag am Ende der existierenden SADB-Liste hinzugefügt.
Um die Verwendung und Verwaltung einer FFE zu illustrieren, wird im folgenden ein Beispiel anhand von Fig. 3 beschrieben, in der eine FFE 70 verwendet wird. Die Firewalls 14 und 18 bilden jeweils ein Gateway auf Anwendungsebene. Die Arbeitsplätze H1 und H2 wollen nun beide mit H1 kommunizieren. Dies ist für den Administrator der Firewalls 14 und 18 leicht zu erreichen. Der Administrator stellt eine Zeile etwa wie folgt her (von der SA sind nur der Internetprotokoll-Adressen-Teil und die SPI-Teile gezeigt, da diese die besonders kritischen Werte für die Konfiguration bilden, und es wird ebenfalls angenommen, daß der Tunnel-Modus verwendet wird):
Hiermit wird der gesamte Verkehr verschlüsselt unter Verwendung eines Schlüs­ sels, und zwar unabhängig davon, wer mit wem kommuniziert. Beispielsweise werden der Verkehr von H2 zu H1 sowie der Verkehr von H3 zu H1 mit Hilfe eines Schlüssels verschlüsselt. Obwohl dieser Aufbau klein und einfach ist, kann er nicht ausreichend sein.
Was passiert nämlich, falls H2 H3 nicht vertrauen kann? In diesem Fall kann der Administrator Sicherheitszuordnungen auf der Host-Ebene erstellen, und man kann sich auf das SPI-Feld der SA verlassen, da die empfangende Firewall vom Data­ gram-Datenkopf nicht mitteilen kann, welcher Host hinter der sendenden Firewall das Paket gesendet hat. Da der SPI in den IPSEC-Datagrams gespeichert ist, kann durchgesehen werden, um die Werte zu erhalten. Nachfolgend finden sich die Proben-Konfigurations-Dateien wieder für beide Firewalls, wobei jedoch diesmal jede Host-Kombination mit einem unterschiedlichen Schlüssel kommuniziert. Ferner schließt H2 H3 von einer Kommunikation mit H1 aus und H3 H2 in derselben Weise aus.
Fig. 4 zeigt im Blockschaltbild im Detail eine bevorzugte Ausführung der vom IPSEC aktivierten, als Gateway in der Anwendungsebene vorgesehenen Firewall 18. Diese Firewall 18 führt eine Zugangssteuerungsprüfung sowohl der verschlüs­ selten als auch der unverschlüsselten Botschaften in einer sichereren Umgebung aufgrund ihrer vom Netzwerk getrennten Architektur durch. Die Netzwerktrennung teilt das System in eine Gruppe von unabhängigen Bereichen oder Burbs, wobei ein Domain und ein Protokoll-Stack jedem Bereich zugeordnet ist. Jeder Protokoll-Stack 40× enthält seinen eigenen unabhängigen Satz von Datenstrukturen mit Routing- und Protokollinformationen. Ein gegebener Sockel wird an einen einzelnen Proto­ kollstack zum Zeitpunkt der Erstellung gebunden, und keine Daten können zwi­ schen den Protokollstacks 40 passieren, ohne durch einen Proxy zu laufen. Ein Proxy 50 arbeitet deshalb als Durchleitung für Transfers zwischen den Domains. Aus diesem Grunde wird ein boshafter Angriff, der die Kontrolle von einem der Bereiche zum Ziel hat, daran gehindert, in anderen Bereichen ablaufende Prozesse zu stören. Die Netzwerktrennung und ihre Anwendung in einem Gateway auf Anwendungsebene ist in der US-Patentanmeldung 08/599,232 beschrieben.
In dem in Fig. 4 gezeigten System folgt die nach innen und außen gerichtete Datagram-Verarbeitung einer Sicherheitszuordnung den durch das Netzwerktren­ nungsmodell definierten Konventionen. Somit bleiben sämtliche empfangene oder zu einem gegebenen Bereich gesendeten Datagrams in diesem Bereich, wenn sie einmal entschlüsselt sind. In dieser bevorzugten Ausführung ist der SADB-Sockel als Typ "sadb" definiert. Jeder Proxy 50, der einen Zugriff auf den SADB-Sockel 78 anfordert, um seine Abfrage auszuführen, ob die empfangene Botschaft ver­ schlüsselt wurde, muß eine Freigabe bzw. Genehmigung für den "sadb"-Typ erzeugen lassen.
Im folgenden sind spezielle Anforderungen aufgeführt, die an ein System wie das in Fig. 4 gezeigte System gestellt werden müssen. Viele Anforderungen wurden bereits zuvor erörtert.
  • 1. Die Firewall-Anwendungen können das IPSEC-Untersystem abfragen, um zu ermitteln, ob der Verkehr mit einer gegebenen Adresse garantiert zu ent­ schlüsseln ist.
  • 2. Der Empfang eines unverschlüsselten Datagram von einer Adresse mit einer Sicherheitszuordnung führt dazu, daß das Datagram fallen gelassen und eine Prüfmitteilung erzeugt wird.
  • 3. Bei Empfang von verschlüsselten Protokoll-Datagrams werden Durchsuchun­ gen der SADB unter Verwendung des SPI als primären Schlüssel durchge­ führt. Die Quellenadresse bildet einen sekundären Schlüssel. Die durch die Suche zurückgekehrte SA ist dann die SA, die mit dem SPI exakt überein­ stimmt und die längste Übereinstimmung mit der Adresse bildet.
  • 4. Eine Durchsuchung der SADB für einen SPI, der einen Eintrag findet, der als SA für ein dynamisches Internetprotokoll markiert ist, berücksichtigt nicht die Adresse im Suchprozeß.
  • 5. Eine Adresse der SADB für einen SPI, der einen Eintrag findet, welcher als SA für eine Tunnel-Modus-Verbindung markiert ist, berücksichtigt die Adresse, falls es sich dabei um (0.0.0.0.), d. h. INADDR, handelt.
  • 6. Bei Empfang eines Nicht-IPSEC-Datagrams sucht die SADB für einen Eintrag, der mit den src-Adressen übereinstimmt. Falls eine SA gefunden ist, wird das Datagram fallengelassen und eine Prüfmitteilung gesendet.
  • 7. Durchsuchungen in der SADB bei der Ausgabe werden unter Verwendung der DST-Adresse als Schlüssel durchgeführt. Falls mehr als ein einziger SA-Eintrag in der SADB diese Adresse besitzen, kehrt diese eine Adresse mit der maximalen Adressen-Übereinstimmung zurück.
  • 8. Die SADB muß so strukturiert sein, daß die Durchsuchungen schnell erfolgen, und zwar unabhängig davon, ob die Suche durch den SPI oder durch eine Adresse durchgeführt wird.
  • 9. Die SADB muß eine Unterstützung für Verbindungen zu einem Ort (site) mit einem festen SPI, jedoch einer sich ändernden Internetprotokolladresse schaffen. Die SA-Einträge für solche Verbindungen werden als dynamische Adressenorte oder dynamische Einträge bezeichnet.
  • 10. Wenn ein dynamischer Eintrag durch eine SPI-Suche gefunden wird, wird die aktuelle Datagram-SRC-Adresse, die gewährleisten muß, daß die Rück­ kehr-Datagrams in geeigneter Weise verschlüsselt werden, in der SA nur aufge­ zeichnet, nachdem die AH-Prüfung erfolgreich gelaufen ist. (Falls nämlich die Adresse vor Durchlaufen von AH aufgezeichnet wird, kann ein Angriff eine freie Übermittlung von Rückkehrpaketen einer nach außen gehenden Ver­ bindung verursachen.)
  • 11. Ein Fehler in einer AH-Prüfung an einem dynamischen Eintrag führt zu einer Prüfmitteilung.
  • 12. Bei einer Ausführung, bei welcher die Firewall fordert, daß sämtliche Ver­ bindungen sowohl AH als auch ESP benutzen, sollte bei Empfang in der Reihenfolge AH vor ESP stehen.
  • 13. Die Prozeßstruktur sowohl bei Eingabe als auch bei Ausgabe sollte versu­ chen, die Anzahl der von der SADB angeforderten Durchsuchungen zu mini­ mieren.
Wie Fig. 4 zeigt weist in der dargestellten bevorzugten Ausführung die Firewall 18 ein Verschlüsselungsmaschineninterface 80 auf, das zur Verschlüsselung von IPSEC-Nutzdaten verwendet wird. Dieses Interface 80 kann an eine Soft­ ware-Verschlüsselungsmaschine 82 oder eine Hardware-Verschlüsselungsmaschine 84 angeschlossen sein. Die Geräte 82 und 84 führen eine aktuelle Verschlüsselungs­ funktion unter Verwendung von z. B. DES-CBC durch. Zusätzlich kann die Softwa­ re-Verschlüsselungsmaschine 82 den für AH verwendeten verschlüsselten MD5-Algorithmus aufweisen.
In einer bevorzugten Ausführung handelt es sich bei dem Verschlüsselungsmaschi­ neninterface 80 um ein übereinstimmendes Interface zwischen den Software- und Hardware-Verschlüsselungsmaschinen. Wie Fig. 4 erkennen läßt, unterstützt das Interface 80 in der dargestellten Ausführung die Verwendung der Hardware-Ver­ schlüsselungsmaschine 84 für die IPSEC-ESP-Verarbeitung. Das Interface 80 muß vorzugsweise so aufgebaut sein, daß es so arbeitet, daß die Verwendung einer Hardware-Verschlüsselungsmaschine es erfordert, daß die Verarbeitung in nicht zusammenhängenden Schritten nach unten durchgeführt wird, welche in unter­ schiedlichen Interrupt-Kontexten arbeiten, wenn die Maschine 84 die verschiede­ nen Verarbeitungsschritte beendet.
Die geforderte Information wird in einer Anforderungsstruktur gespeichert, die an das verarbeitete IP-Datagram gebunden ist. Die Anforderung ist von der Art "crypto_request_t". Diese Struktur ist ganz groß und enthält definitiv nicht einen minimalen Operationsschrittsatz.
Zusätzlich zur Bildung der Anforderungsdatenstruktur ist dieses software-imple­ mentierende Interface 80 mit zwei Funktionen versehen, die die Entscheidung isolieren, welche Verschlüsselungsmaschine zu benutzen ist. Die "crypt_des_en­ crypt"-Funktion ist zur Benutzung durch die IP-Ausgabeverarbeitung vorgesehen, um ein Datagram zu verschlüsseln. Die "crypt_des_decrypt"-Funktion ist zur Verwendung durch die Internetprotokoll-Eingabeverarbeitung vorgesehen, um ein Datagram zu entschlüsseln. Falls die Hardware-Verschlüsselungsmaschine 84 vorhanden ist und andere Hardwarebenutzungskriterien erfüllt sind, wird die Anforderung in einer Hardwareverarbeitungswarteschlange eingereiht und ein Rückkehr-Code zurückgeführt, der anzeigt, daß die Verschlüsselungsverarbeitung stattfindet. Falls die Softwaremaschine 82 benutzt wird, zeigt der Rückkehr-Code an, daß die Verschlüsselungsverarbeitung vollständig bzw. beendet ist. Im ersteren Fall wird die Fortsetzung der Internetprotokoll-Verarbeitung verzögert, bis die Hardware-Verschlüsselung durchgeführt worden ist. Ansonsten wird sie beendet, und zwar wie sofort in demselben Verarbeitungsstrom.
Es gibt zwei Verschlüsselungsmaschinen 82, die in der IPSEC-Software vorgesehen sind. Die eine erzeugt den MD5-Algorithmus, der durch die IPSEC-AH-Verarbeitung verwendet wird, und die andere erzeugt den DES-Algorithmus, der durch die IPSEC-ESP-Verarbeitung verwendet wird. Diese Software kann man aus der IPSEC-Implementierung der US-Regierung erhalten.
In einer bevorzugten Ausführung ist die Hardware-Verschlüsselungsmaschine 84 durch eine "Cylink-SafeNode"-Prozessor-Platine vorgesehen. Das Interface zu dieser Hardware-Karte wird durch den "Cylink"-Gerätetreiber geschaffen. Ein bedeutender Aspekt der "Cylink"-Karte, die eine große Rolle im Aufbau des "IPSEC-Cylink"-Treibers spielt, besteht darin, daß die Karte sehr ähnlich wie ein Subrouti­ nen-Interface auf niedriger Ebene funktioniert und eine Softwareunterstützung zur Initiierung jedes Verarbeitungsschrittes erfordert. Zur Verschlüsselung und Ent­ schlüsselung eines individuellen Datagrams sind somit mindestens zwei Schritte vorgesehen, nämlich ein Schritt, um den DES-Initialisierungsvektor zu setzen, und den weiteren Schritt, um die Verschlüsselung vorzunehmen. Da die Internetproto­ koll-Verarbeitung nicht sich selbst anhalten und, während es die Hardware voll­ endet, warten und anschließend durch den Hardwareinterrupthantierer wieder neu festgesetzt werden kann, wird in einer bevorzugten Ausführung eine Maschine mit endlichen Operationsschritten verwendet, um die Reihenfolge der Hardwarever­ arbeitungselemente zusammenzufügen. In dieser bevorzugten Ausführung betrach­ tet der Interrupthantierer den aktuellen Status (state), führt eine definierte Nach- Status-Funktion aus, geht auf den Status über und führt dann die Startfunktion dieses Status aus.
Eine Funktion, nämlich "cyl_enqueue_request", wird benutzt, um entweder einen Verschlüsselungs- oder einen Entschlüsselungsvorgang einzuleiten. Diese Funktion ist so ausgelegt, daß sie vom Verschlüsselungsmaschineninterface 80 aufgerufen wird. Sämtliche Informationen, die zur Einleitung der Verarbeitung erforderlich sind, sowie die Funktion, die durchzuführen ist, nachdem die Verschlüsselungsoperation abgeschlossen ist, sind in der Anforderungsstruktur vorgesehen. Diese Funktion reiht die Anforderung in die Hardwareanforderungswarteschlange ein und, falls notwendig, startet die Hardwareverarbeitung.
Ein System 30, das für eine Firewall-Arbeitsplatz-Verschlüsselung verwendet werden kann, ist in Fig. 5 gezeigt. Dieses System 30 weist einen Arbeitsplatz 12 auf, der über eine Firewall 14 mit einem ungeschützten Netzwerk wie beispiels­ weise dem Internet kommuniziert. Das System 30 weist ebenfalls einen Arbeits­ platz 32 auf, der direkt mit der Firewall 14 über das ungeschützte Netzwerk 16 kommuniziert. Bei der Firewall 14 handelt es sich um einen Gateway auf Anwen­ dungsebene, der eine IPSEC-Handhabung in der zuvor beschriebenen Weise ent­ hält. (Es sei angemerkt, daß die IPSEC-Sicherheit nicht zur Authentifizierung der persönlichen Identität des Senders für einen Firewall-Firewall-Transfer verwendet werden kann. Wenn der IPSEC gleichwohl auf einer Einzelplatzmaschine wie bei­ spielsweise einem tragbaren Personalcomputer verwendet wird, sollte die IPSEC-Nutzung mit einer persönlichen Identifizierungskennzahl (personal identification number PIN) geschützt werden. In diesen Fällen kann der IPSEC verwendet wer­ den, um mit einer Benutzeridentifizierung an die Firewall zu helfen.)
Gemäß den IPSEC-RFC kann man entweder den Tunnel- oder den Transport-Modus bei dieser Ausführung in Abhängigkeit von den Sicherheitsbedürfnissen benutzen. In bestimmten Situationen müssen die Kommunikationen im Tunnel-Modus gesen­ det werden, um nicht-registrierte Adressen zu verbergen.

Claims (11)

1. Verfahren zur Regulierung des Flusses von Botschaften durch eine Firewall mit einem Netzwerkprotokoll-Stack, der eine Internetprotokollebene aufweist, mit den Schritten,
auf der Internetprotokollebene zu ermitteln, ob eine Botschaft verschlüsselt ist, für den Fall, daß die Botschaft nicht verschlüsselt ist, die unverschlüsselte Bot­ schaft den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungs­ ebene zu leiten und,
für den Fall, daß die Botschaft verschlüsselt ist, die Botschaft zu entschlüsseln und die entschlüsselte Botschaft den Netzwerkprotokoll-Stack hinauf zum Proxy auf der Anwendungsebene zu leiten, wobei der Schritt, die Botschaft zu entschlüsseln, den Schritt aufweist, ein Verfahren zur Entschlüsselung der Botschaft auf der Internet­ protokollebene auszuführen.
2. Verfahren zur Authentifizierung des Senders einer Botschaft innerhalb eines Computersystems mit einem Netzwerkprotokoll-Stack, der eine Internetprotokoll­ ebene aufweist, mit den Schritten,
auf der Internetprotokollebene zu ermitteln, ob die Botschaft verschlüsselt ist, für den Fall, daß die Botschaft verschlüsselt ist, die Botschaft zu entschlüsseln, wobei der Schritt der Entschlüsselung der Botschaft den Schritt aufweist, ein Verfahren zur Entschlüsselung der Botschaft auf der Internetprotokollebene auszu­ führen,
die verschlüsselte Botschaft den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungsebene zu leiten,
ein für die Botschaft geeignetes Authentifizierungsprotokoll zu ermitteln und das Authentifizierungsprotokoll zur Authentifizierung des Senders der Botschaft auszuführen.
3. Verfahren nach Anspruch 2, bei welchem der Schritt der Ermittlung eines für die Botschaft geeigneten Authentifizierungsprotokolls die Schritte aufweist, eine der Botschaft zugeordnete Quelleninternetprotokolladresse zu ermitteln und das der Quelleninternetprotokolladresse zugeordnete Authentifizierungsprotokoll zu ermitteln.
4. Verfahren nach Anspruch 2, bei welchem die Botschaft einen Sicherheits­ parameterindex aufweist und der Schritt der Ermittlung eines für die Botschaft geeigneten Authentifizierungsprotokolls die Schritte aufweist,
das einer dynamischen Internetprotokolladresse zugeordnete Authentifizierungs­ protokoll zu ermitteln, wobei der Schritt der Ermittlung des Authentifizierungs­ protokolls den Schritt aufweist, eine auf dem Sicherheitsparameterindex basierende Sicherheitszuordnung durchzusehen,
eine der dynamischen Quelleninternetprotokolladresse zugeordnete aktuelle Adres­ se zu ermitteln und
die aktuelle Adresse an den Sicherheitsparameterindex zu binden.
5. Firewall mit
einem ersten Kommunikationsinterface,
einem zweiten Kommunikationsinterface,
einem an die ersten und zweiten Kommunikationsinterfaces angeschlossenen Netzwerkprotokoll-Stack, der eine Internetprotokollebene und eine Übermittlungs­ ebene aufweist,
einer auf der Internetprotokollebene arbeitenden Entschlüsselungseinrichtung, die an dem ersten und/oder zweiten Kommunikationsinterface empfangene verschlüs­ selte Botschaften entschlüsselt und die entschlüsselten Botschaften ausgibt, und einem an die Übermittlungsebene des Netzwerkprotokoll-Stack angeschlossenen Proxy, der entschlüsselte Botschaften von der Entschlüsselungseinrichtung emp­ fängt und auf der Grundlage des Inhaltes der entschlüsselten Botschaften ein Authentifizierungsprotokoll ausführt.
6. Firewall mit
einem ersten Kommunikationsinterface,
einem zweiten Kommunikationsinterface,
einem an das erste Kommunikationsinterface angeschlossene erste Netzwerk­ protokoll-Stack, der eine Internetprotokollebene und eine Übermittlungsebene aufweist,
einem an das zweite Kommunikationsinterface angeschlossene zweite Netzwerk­ protokoll-Stack, der eine Internetprotokollebene und eine Übermittlungsebene aufweist,
einer auf der Internetprotokollebene des ersten Netzwerkprotokoll-Stack arbeiten­ den Entschlüsselungseinrichtung, die durch das erste Kommunikationsinterface empfangene verschlüsselte Botschaften erhält und entschlüsselte Botschaften aus­ gibt, und einem an die Übermittlungsebenen der ersten und zweiten Netzwerk­ protokoll-Stacks angeschlossenen Proxy, der entschlüsselte Botschaften von der Entschlüsselungseinrichtung empfängt und auf der Grundlage des Inhaltes der entschlüsselten Botschaft ein Authentifizierungsprotokoll ausführt.
7. Firewall nach Anspruch 6, ferner mit
einem dritten Kommunikationsinterface und
einem an das dritte Kommunikationsinterface und dem Proxy angeschlossenen dritten Netzwerkprotokoll-Stack, der eine Internetprotokollebene und eine Übermitt­ lungsebene aufweist, wobei die zweiten und dritten Netzwerkprotokoll-Stacks auf erste und zweite Bereiche entsprechend beschränkt sind.
8. Verfahren zur Etablierung eines virtuellen privaten Netzwerkes zwischen einem ersten und zweiten Netzwerk, von denen jedes Netzwerk eine als Gateway auf einer Anwendungsebene vorgesehene Firewall aufweist, die einen auf der Anwendungsebene arbeitenden Proxy zur Verarbeitung des Verkehrs durch die Firewall benutzt und ein Netzwerkprotokoll-Stack enthält, der eine Internetproto­ kollebene aufweist, mit den Schritten,
eine Verbindungsanforderung vom ersten Netzwerk zum zweiten Netzwerk zu übermitteln,
auf der Internetprotokollebene des Netzwerkprotokoll-Stack der Firewall des zweiten Netzwerkes zu ermitteln, ob die Verbindungsanforderung verschlüsselt ist, für den Fall, daß die Verbindungsanforderung verschlüsselt ist, die Anforderung zu entschlüsseln, wobei der Schritt der Entschlüsselung der Anforderung den Schritt enthält, auf der Internetprotokollebene der Firewall des zweiten Netzwerkes eine Verarbeitung zur Entschlüsselung der Botschaft auszuführen,
die Verbindungsanforderung den Netzwerkprotokoll-Stack hinauf zu einem Proxy auf einer Anwendungsebene zu leiten,
ein für die Verbindungsanforderung geeignetes Authentifizierungsprotokoll zu ermitteln,
das Authentifizierungsprotokoll zur Authentifizierung der Verbindungsanforderung auszuführen und
für den Fall, daß die Verbindungsanforderung echt ist, eine aktive Verbindung zwischen den ersten und zweiten Netzwerken zu etablieren.
9. Verfahren nach Anspruch 8, bei welchem der Schritt der Ausführung des Authentifizierungsprotokolls den Schritt aufweist, einen Programmcode innerhalb der Firewall des zweiten Netzwerkes auszuführen, um ein auf einem Server in­ nerhalb des zweiten Netzwerkes ablaufendes Abfrage/Antwort-Protokoll nach­ zuahmen.
10. Verfahren nach Anspruch 8, bei welchem der Schritt der Ausführung eines Authentifizierungsprotokolls den Schritt aufweist, einen Programmcode auszufüh­ ren, um das Authentifizierungsprotokoll in Übereinstimmung mit der Sitzung auszuführen.
11. Verfahren nach mindestens einem der Ansprüche 8 bis 10, bei welchem der Schritt der Ermittlung eines Authentifizierungsprotokolls den Schritt enthält, zu ermitteln, ob die eingetroffene Verbindungsanforderung verschlüsselt ist, und das Authentifizierungsprotokoll auf der Grundlage, ob die Verbindungsanforderung verschlüsselt war oder nicht, auszuwählen.
DE19741246A 1996-09-18 1997-09-18 Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken Expired - Fee Related DE19741246C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US08/715,343 US5983350A (en) 1996-09-18 1996-09-18 Secure firewall supporting different levels of authentication based on address or encryption status

Publications (2)

Publication Number Publication Date
DE19741246A1 true DE19741246A1 (de) 1998-03-19
DE19741246C2 DE19741246C2 (de) 2001-06-13

Family

ID=24873650

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19741246A Expired - Fee Related DE19741246C2 (de) 1996-09-18 1997-09-18 Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken

Country Status (2)

Country Link
US (1) US5983350A (de)
DE (1) DE19741246C2 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008519C1 (de) * 2000-02-21 2001-07-12 Dica Technologies Ag Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
DE10107883A1 (de) * 2001-02-19 2002-08-29 Post Ebusiness Gmbh Deutsche Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
DE10108408A1 (de) * 2001-02-21 2002-08-29 Gloocorp Ag Kommunikationssystem zum Austausch von verschlüsselter Information in nachrichtengestütztem oder Echtzeitkommunikationsmodus

Families Citing this family (248)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361802B1 (en) 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
US6515968B1 (en) 1995-03-17 2003-02-04 Worldcom, Inc. Integrated interface for real time web based viewing of telecommunications network call traffic
RU2191423C2 (ru) * 1995-06-30 2002-10-20 Сони Корпорейшн Способ и устройство записи данных, носитель данных и способ и устройство воспроизведения данных
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US8117298B1 (en) 1996-02-26 2012-02-14 Graphon Corporation Multi-homed web server
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US6993582B2 (en) * 1996-07-30 2006-01-31 Micron Technology Inc. Mixed enclave operation in a computer network
US6145004A (en) * 1996-12-02 2000-11-07 Walsh; Stephen Kelly Intranet network system
US7821926B2 (en) * 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US6408336B1 (en) 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US8914410B2 (en) 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
JP2000501542A (ja) * 1997-07-01 2000-02-08 プログレス ソフトウェア コーポレイション ネットワーク・アプリケーション用のテスト及びデバッグツール
US7127741B2 (en) * 1998-11-03 2006-10-24 Tumbleweed Communications Corp. Method and system for e-mail message transmission
ATE347200T1 (de) * 1997-07-24 2006-12-15 Tumbleweed Comm Corp Firewall für elektronische post mit verschlüsselung/entschlüsselung mittels gespeicherter schlüssel
US6591291B1 (en) * 1997-08-28 2003-07-08 Lucent Technologies Inc. System and method for providing anonymous remailing and filtering of electronic mail
US6473407B1 (en) 1997-09-05 2002-10-29 Worldcom, Inc. Integrated proxy interface for web based alarm management tools
US6763376B1 (en) 1997-09-26 2004-07-13 Mci Communications Corporation Integrated customer interface system for communications network management
US6574661B1 (en) 1997-09-26 2003-06-03 Mci Communications Corporation Integrated proxy interface for web based telecommunication toll-free network management using a network manager for downloading a call routing tree to client
US6714979B1 (en) 1997-09-26 2004-03-30 Worldcom, Inc. Data warehousing infrastructure for web based reporting tool
US6745229B1 (en) 1997-09-26 2004-06-01 Worldcom, Inc. Web based integrated customer interface for invoice reporting
US6446128B1 (en) * 1997-12-01 2002-09-03 Netselector, Inc. Site access via intervening control layer
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
JP4273535B2 (ja) * 1998-05-12 2009-06-03 ソニー株式会社 データ伝送制御方法、データ伝送システム、データ受信装置及びデータ送信装置
US6765901B1 (en) * 1998-06-11 2004-07-20 Nvidia Corporation TCP/IP/PPP modem
US6308274B1 (en) 1998-06-12 2001-10-23 Microsoft Corporation Least privilege via restricted tokens
US6279111B1 (en) 1998-06-12 2001-08-21 Microsoft Corporation Security model using restricted tokens
US6308273B1 (en) * 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
US6505300B2 (en) * 1998-06-12 2003-01-07 Microsoft Corporation Method and system for secure running of untrusted content
US6088796A (en) * 1998-08-06 2000-07-11 Cianfrocca; Francis Secure middleware and server control system for querying through a network firewall
FR2782435B1 (fr) * 1998-08-13 2000-09-15 Bull Cp8 Procede de communication entre une station d'utilisateur et un reseau, notamment de type internet, et architecture de mise en oeuvre
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US7778260B2 (en) * 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7673323B1 (en) 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US6460141B1 (en) 1998-10-28 2002-10-01 Rsa Security Inc. Security and access management system for web-enabled and non-web-enabled applications and content on a computer network
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US7418504B2 (en) * 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
WO2000034867A1 (en) 1998-12-09 2000-06-15 Network Ice Corporation A method and apparatus for providing network and computer system security
US6829708B1 (en) * 1999-03-27 2004-12-07 Microsoft Corporation Specifying security for an element by assigning a scaled value representative of the relative security thereof
AU4706700A (en) * 1999-05-06 2000-11-21 General Dynamics Information Systems, Inc. Transient network architecture
US7213262B1 (en) 1999-05-10 2007-05-01 Sun Microsystems, Inc. Method and system for proving membership in a nested group using chains of credentials
US7275113B1 (en) * 1999-05-27 2007-09-25 3 Com Corporation Dynamic network address configuration system and method
US6745332B1 (en) * 1999-06-29 2004-06-01 Oracle International Corporation Method and apparatus for enabling database privileges
US20030014627A1 (en) * 1999-07-08 2003-01-16 Broadcom Corporation Distributed processing in a cryptography acceleration chip
US7996670B1 (en) 1999-07-08 2011-08-09 Broadcom Corporation Classification engine in a cryptography acceleration chip
US7346929B1 (en) 1999-07-29 2008-03-18 International Business Machines Corporation Method and apparatus for auditing network security
US6347376B1 (en) * 1999-08-12 2002-02-12 International Business Machines Corp. Security rule database searching in a network security environment
US6505192B1 (en) * 1999-08-12 2003-01-07 International Business Machines Corporation Security rule processing for connectionless protocols
US6853988B1 (en) * 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
US6912586B1 (en) * 1999-11-12 2005-06-28 International Business Machines Corporation Apparatus for journaling during software deployment and method therefor
ATE396577T1 (de) 1999-12-02 2008-06-15 Western Digital Tech Inc System zum fernaufnehmen von fernsehprogrammen
US7917628B2 (en) * 1999-12-02 2011-03-29 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US7587467B2 (en) * 1999-12-02 2009-09-08 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US7120692B2 (en) * 1999-12-02 2006-10-10 Senvid, Inc. Access and control system for network-enabled devices
US8688797B2 (en) * 1999-12-02 2014-04-01 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US7934251B2 (en) * 1999-12-02 2011-04-26 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US8793374B2 (en) * 1999-12-02 2014-07-29 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US9191443B2 (en) 1999-12-02 2015-11-17 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US8006243B2 (en) 1999-12-07 2011-08-23 International Business Machines Corporation Method and apparatus for remote installation of network drivers and software
US7506358B1 (en) * 1999-12-09 2009-03-17 Cisco Technology, Inc. Method and apparatus supporting network communications through a firewall
AU2000269232A1 (en) * 2000-01-14 2001-07-24 Microsoft Corporation Specifying security for an element by assigning a scaled value representative ofthe relative security thereof
US7353209B1 (en) * 2000-01-14 2008-04-01 Microsoft Corporation Releasing decrypted digital content to an authenticated path
US7113994B1 (en) * 2000-01-24 2006-09-26 Microsoft Corporation System and method of proxy authentication in a secured network
FR2804564B1 (fr) * 2000-01-27 2002-03-22 Bull Sa Relais de securite multiapplicatif
US6662228B1 (en) * 2000-02-01 2003-12-09 Sun Microsystems, Inc. Internet server authentication client
ATE311063T1 (de) * 2000-02-08 2005-12-15 Swisscom Mobile Ag Vereinter einloggungsprozess
US7058973B1 (en) * 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses
GB2366631B (en) * 2000-03-04 2004-10-20 Ericsson Telefon Ab L M Communication node, communication network and method of recovering from a temporary failure of a node
US6631417B1 (en) 2000-03-29 2003-10-07 Iona Technologies Plc Methods and apparatus for securing access to a computer
AU2001257400A1 (en) 2000-04-28 2001-11-12 Internet Security Systems, Inc. System and method for managing security events on a network
US7574740B1 (en) 2000-04-28 2009-08-11 International Business Machines Corporation Method and system for intrusion detection in a computer network
WO2001091428A2 (en) 2000-05-23 2001-11-29 Actineon Inc. Programmable communicator
US7493486B1 (en) * 2000-06-09 2009-02-17 Verizon Laboratories, Inc. Method and apparatus for supporting cryptographic-related activities in a public key infrastructure
US7162649B1 (en) 2000-06-30 2007-01-09 Internet Security Systems, Inc. Method and apparatus for network assessment and authentication
US7441270B1 (en) 2000-07-06 2008-10-21 Intel Corporation Connectivity in the presence of barriers
US6353385B1 (en) * 2000-08-25 2002-03-05 Hyperon Incorporated Method and system for interfacing an intrusion detection system to a central alarm system
US6981278B1 (en) * 2000-09-05 2005-12-27 Sterling Commerce, Inc. System and method for secure dual channel communication through a firewall
US7178166B1 (en) 2000-09-19 2007-02-13 Internet Security Systems, Inc. Vulnerability assessment and authentication of a computer by a local scanner
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US7146305B2 (en) 2000-10-24 2006-12-05 Vcis, Inc. Analytical virtual machine
US6963980B1 (en) * 2000-11-16 2005-11-08 Protegrity Corporation Combined hardware and software based encryption of databases
US6986061B1 (en) 2000-11-20 2006-01-10 International Business Machines Corporation Integrated system for network layer security and fine-grained identity-based access control
US7003118B1 (en) 2000-11-27 2006-02-21 3Com Corporation High performance IPSEC hardware accelerator for packet classification
US7315859B2 (en) * 2000-12-15 2008-01-01 Oracle International Corp. Method and apparatus for management of encrypted data through role separation
FI111595B (fi) * 2000-12-20 2003-08-15 Nokia Corp Järjestely multimediasanomanvälityksen toteuttamiseksi
US7130466B2 (en) 2000-12-21 2006-10-31 Cobion Ag System and method for compiling images from a database and comparing the compiled images with known images
US6931529B2 (en) 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US7631349B2 (en) * 2001-01-11 2009-12-08 Digi International Inc. Method and apparatus for firewall traversal
US20020095599A1 (en) * 2001-01-12 2002-07-18 Hyungkeun Hong VoIP call control proxy
US20020099668A1 (en) * 2001-01-22 2002-07-25 Sun Microsystems, Inc. Efficient revocation of registration authorities
US7325030B2 (en) * 2001-01-25 2008-01-29 Yahoo, Inc. High performance client-server communication system
US20020116644A1 (en) * 2001-01-30 2002-08-22 Galea Secured Networks Inc. Adapter card for wirespeed security treatment of communications traffic
AU2002243763A1 (en) 2001-01-31 2002-08-12 Internet Security Systems, Inc. Method and system for configuring and scheduling security audits of a computer network
EP1368726A4 (de) * 2001-02-06 2005-04-06 En Garde Systems Vorrichtung und verfahren zur bereitstellung einer sicheren netzwerkkommunikation
US20030208570A1 (en) * 2001-02-16 2003-11-06 Eugene Lapidous Method and apparatus for multi-modal document retrieval in the computer network
US7440962B1 (en) 2001-02-28 2008-10-21 Oracle International Corporation Method and system for management of access information
US7284267B1 (en) 2001-03-08 2007-10-16 Mcafee, Inc. Automatically configuring a computer firewall based on network connection
US20020133709A1 (en) 2001-03-14 2002-09-19 Hoffman Terry George Optical data transfer system - ODTS; Optically based anti-virus protection system - OBAPS
US6732279B2 (en) * 2001-03-14 2004-05-04 Terry George Hoffman Anti-virus protection system and method
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
FI110464B (fi) * 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
KR100415554B1 (ko) * 2001-05-21 2004-01-24 한국전자통신연구원 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
US7003662B2 (en) * 2001-05-24 2006-02-21 International Business Machines Corporation System and method for dynamically determining CRL locations and access methods
US20020178240A1 (en) * 2001-05-24 2002-11-28 International Business Machines Corporation System and method for selectively confirming digital certificates in a virtual private network
US7516485B1 (en) * 2001-05-29 2009-04-07 Nortel Networks Limited Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic
US7237264B1 (en) 2001-06-04 2007-06-26 Internet Security Systems, Inc. System and method for preventing network misuse
US20020188871A1 (en) * 2001-06-12 2002-12-12 Corrent Corporation System and method for managing security packet processing
US7657419B2 (en) 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7496748B2 (en) * 2001-07-23 2009-02-24 Itt Manufacturing Enterprises Method for establishing a security association between two or more computers communicating via an interconnected computer network
US7613699B2 (en) 2001-08-03 2009-11-03 Itt Manufacturing Enterprises, Inc. Apparatus and method for resolving security association database update coherency in high-speed systems having multiple security channels
US20030046583A1 (en) * 2001-08-30 2003-03-06 Honeywell International Inc. Automated configuration of security software suites
US7370352B2 (en) * 2001-09-06 2008-05-06 Intel Corporation Techniques for storing and retrieving security information corresponding to cryptographic operations to support cryptographic processing for multiple network traffic streams
WO2003030490A2 (en) * 2001-09-27 2003-04-10 Nokia Corporation Method and network node for providing security in a radio access network
US7370353B2 (en) * 2001-11-05 2008-05-06 Cisco Technology, Inc. System and method for managing dynamic network sessions
KR100994666B1 (ko) * 2001-11-20 2010-11-16 웨스턴 디지털 테크놀로지스, 인코포레이티드 네트워크 기반 디바이스를 위한 액세스 및 제어 시스템
US7350226B2 (en) * 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
US7171493B2 (en) * 2001-12-19 2007-01-30 The Charles Stark Draper Laboratory Camouflage of network traffic to resist attack
KR100449809B1 (ko) * 2001-12-27 2004-09-22 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
US7506058B2 (en) * 2001-12-28 2009-03-17 International Business Machines Corporation Method for transmitting information across firewalls
WO2003058451A1 (en) 2002-01-04 2003-07-17 Internet Security Systems, Inc. System and method for the managed security control of processes on a computer system
US20030219022A1 (en) * 2002-01-28 2003-11-27 Hughes Electronics Method and system for utilizing virtual private network (VPN) connections in a performance enhanced network
US8976798B2 (en) 2002-01-28 2015-03-10 Hughes Network Systems, Llc Method and system for communicating over a segmented virtual private network (VPN)
US7103671B2 (en) * 2002-03-14 2006-09-05 Yahoo! Inc. Proxy client-server communication system
US20030191843A1 (en) * 2002-04-04 2003-10-09 Joel Balissat Secure network connection for devices on a private network
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US7203957B2 (en) 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US7546458B1 (en) * 2002-05-04 2009-06-09 Atheros Communications, Inc. Method for organizing virtual networks while optimizing security
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US7296154B2 (en) * 2002-06-24 2007-11-13 Microsoft Corporation Secure media path methods, systems, and architectures
KR100455802B1 (ko) * 2002-07-03 2004-11-06 주식회사 아이콘랩 휴대용 단말장치에 시변 코드를 표시하는 방법 및 장치,및 이를 이용한 결제 및 인증 방법 및 장치
US20040203595A1 (en) * 2002-08-12 2004-10-14 Singhal Tara Chand Method and apparatus for user authentication using a cellular telephone and a transient pass code
JP2004104280A (ja) * 2002-09-06 2004-04-02 Yamatake Corp 暗号化ネットワーク監視用インタフェース装置
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
US20040083360A1 (en) * 2002-10-28 2004-04-29 Rod Walsh System and method for partially-encrypted data transmission and reception
KR100480999B1 (ko) * 2002-10-29 2005-04-07 한국전자통신연구원 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰채널 제공 장치 및 방법
US7574738B2 (en) 2002-11-06 2009-08-11 At&T Intellectual Property Ii, L.P. Virtual private network crossovers based on certificates
US7191341B2 (en) 2002-12-18 2007-03-13 Broadcom Corporation Methods and apparatus for ordering data in a cryptography accelerator
US7568110B2 (en) * 2002-12-18 2009-07-28 Broadcom Corporation Cryptography accelerator interface decoupling from cryptography processing cores
US20040123123A1 (en) * 2002-12-18 2004-06-24 Buer Mark L. Methods and apparatus for accessing security association information in a cryptography accelerator
US20040123139A1 (en) * 2002-12-18 2004-06-24 At&T Corp. System having filtering/monitoring of secure connections
US7434043B2 (en) 2002-12-18 2008-10-07 Broadcom Corporation Cryptography accelerator data routing unit
US20040123120A1 (en) * 2002-12-18 2004-06-24 Broadcom Corporation Cryptography accelerator input interface data handling
US7219131B2 (en) * 2003-01-16 2007-05-15 Ironport Systems, Inc. Electronic message delivery using an alternate source approach
US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
US8463940B2 (en) * 2003-01-31 2013-06-11 Hewlett-Packard Development Company, L.P. Method of indicating a path in a computer network
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
JP4120415B2 (ja) * 2003-02-10 2008-07-16 株式会社日立製作所 トラフィック制御計算装置
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
US7562384B1 (en) * 2003-03-07 2009-07-14 Cisco Technology, Inc. Method and apparatus for providing a secure name resolution service for network devices
US8136155B2 (en) * 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US20040196841A1 (en) * 2003-04-04 2004-10-07 Tudor Alexander L. Assisted port monitoring with distributed filtering
US7660985B2 (en) * 2003-04-30 2010-02-09 At&T Corp. Program security through stack segregation
US20040268124A1 (en) * 2003-06-27 2004-12-30 Nokia Corporation, Espoo, Finland Systems and methods for creating and maintaining a centralized key store
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US9118711B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118710B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc System, method, and computer program product for reporting an occurrence in different manners
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9350752B2 (en) 2003-07-01 2016-05-24 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
US7149897B2 (en) * 2003-07-25 2006-12-12 The United States Of America As Represented By The Secretary Of The Navy Systems and methods for providing increased computer security
SE0302189L (sv) * 2003-08-11 2004-05-11 Dan Duroj Handhållen nätverksanslutning skapad med åtminstone två lagringsmedium i fickformat med programvara för kommunikation
CN1846399B (zh) * 2003-09-04 2011-05-25 松下电器产业株式会社 数字内容保护的系统和方法
US7644432B2 (en) 2003-10-10 2010-01-05 Bea Systems, Inc. Policy inheritance through nested groups
US7594224B2 (en) 2003-10-10 2009-09-22 Bea Systems, Inc. Distributed enterprise security system
US7657938B2 (en) 2003-10-28 2010-02-02 International Business Machines Corporation Method and system for protecting computer networks by altering unwanted network data traffic
EP1751745B1 (de) * 2003-11-14 2019-07-10 Western Digital Technologies, Inc. Verwaltete peer-to-peer-anwendungen, systeme und verfahren für verteilten datenzugriff und verteilte datenspeicherung
US20070297349A1 (en) * 2003-11-28 2007-12-27 Ofir Arkin Method and System for Collecting Information Relating to a Communication Network
US8250150B2 (en) * 2004-01-26 2012-08-21 Forte Internet Software, Inc. Methods and apparatus for identifying and facilitating a social interaction structure over a data packet network
US8054947B2 (en) * 2004-02-02 2011-11-08 Eicon Networks Corporation Apparatus and method for multiplexing communication signals
US20050177713A1 (en) * 2004-02-05 2005-08-11 Peter Sim Multi-protocol network encryption system
CA2554915C (en) 2004-02-17 2013-05-28 Ironport Systems, Inc. Collecting, aggregating, and managing information relating to electronic messages
US20060242406A1 (en) 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US7756930B2 (en) 2004-05-28 2010-07-13 Ironport Systems, Inc. Techniques for determining the reputation of a message sender
US7849142B2 (en) 2004-05-29 2010-12-07 Ironport Systems, Inc. Managing connections, messages, and directory harvest attacks at a server
US7870200B2 (en) 2004-05-29 2011-01-11 Ironport Systems, Inc. Monitoring the flow of messages received at a server
US7873695B2 (en) 2004-05-29 2011-01-18 Ironport Systems, Inc. Managing connections and messages at a server by associating different actions for both different senders and different recipients
US8166310B2 (en) 2004-05-29 2012-04-24 Ironport Systems, Inc. Method and apparatus for providing temporary access to a network device
US7917588B2 (en) * 2004-05-29 2011-03-29 Ironport Systems, Inc. Managing delivery of electronic messages using bounce profiles
US7748038B2 (en) 2004-06-16 2010-06-29 Ironport Systems, Inc. Method and apparatus for managing computer virus outbreaks
US8379864B2 (en) * 2004-07-09 2013-02-19 Nokia Corporation Software plug-in framework to modify decryption methods in terminals
US20060034321A1 (en) * 2004-07-09 2006-02-16 Nokia Corporation Method for receiving a time slice burst of data
US20060018470A1 (en) * 2004-07-09 2006-01-26 Nokia Corporation Managing traffic keys during a multi-media session
US7594259B1 (en) * 2004-09-15 2009-09-22 Nortel Networks Limited Method and system for enabling firewall traversal
US7624263B1 (en) * 2004-09-21 2009-11-24 Advanced Micro Devices, Inc. Security association table lookup architecture and method of operation
US20060136717A1 (en) 2004-12-20 2006-06-22 Mark Buer System and method for authentication via a proximate device
US8295484B2 (en) 2004-12-21 2012-10-23 Broadcom Corporation System and method for securing data from a remote input device
US8296441B2 (en) * 2005-01-14 2012-10-23 Citrix Systems, Inc. Methods and systems for joining a real-time session of presentation layer protocol data
US8935316B2 (en) * 2005-01-14 2015-01-13 Citrix Systems, Inc. Methods and systems for in-session playback on a local machine of remotely-stored and real time presentation layer protocol data
EP1696648A1 (de) * 2005-02-28 2006-08-30 Eicon Networks Corporation System welches eine sprachverarbeitende Karte und einen hauptrechnerbasierten Protokollstapel umfasst
CN100414929C (zh) * 2005-03-15 2008-08-27 华为技术有限公司 一种移动互联网协议网络中的报文传送方法
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US20060253908A1 (en) 2005-05-03 2006-11-09 Tzu-Jian Yang Stateful stack inspection anti-virus and anti-intrusion firewall system
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
WO2006128273A1 (en) 2005-06-01 2006-12-07 Research In Motion Limited System and method for determining a security encoding to be applied to outgoing messages
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8898452B2 (en) * 2005-09-08 2014-11-25 Netapp, Inc. Protocol translation
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US7966654B2 (en) 2005-11-22 2011-06-21 Fortinet, Inc. Computerized system and method for policy-based content filtering
US20070127484A1 (en) * 2005-12-02 2007-06-07 Dialogic Corporation Data transfer operations and buffer memories
US8316429B2 (en) * 2006-01-31 2012-11-20 Blue Coat Systems, Inc. Methods and systems for obtaining URL filtering information
US7886343B2 (en) * 2006-04-07 2011-02-08 Dell Products L.P. Authentication service for facilitating access to services
US7836495B2 (en) * 2006-07-28 2010-11-16 Microsoft Corporation Remote configuration of software component using proxy
US7877603B2 (en) * 2006-09-07 2011-01-25 International Business Machines Corporation Configuring a storage drive to communicate with encryption and key managers
FR2912841B1 (fr) * 2007-02-15 2009-05-22 Soitec Silicon On Insulator Procede de polissage d'heterostructures
US20080244758A1 (en) * 2007-03-30 2008-10-02 Ravi Sahita Systems and methods for secure association of hardward devices
US8108856B2 (en) * 2007-03-30 2012-01-31 Intel Corporation Method and apparatus for adaptive integrity measurement of computer software
US8464251B2 (en) * 2007-03-31 2013-06-11 Intel Corporation Method and apparatus for managing page tables from a non-privileged software domain
US20080244725A1 (en) * 2007-03-31 2008-10-02 Prashant Dewan Method and apparatus for managing packet buffers
JP2008310270A (ja) * 2007-06-18 2008-12-25 Panasonic Corp 暗号装置及び暗号操作方法
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US8413227B2 (en) * 2007-09-28 2013-04-02 Honeywell International Inc. Apparatus and method supporting wireless access to multiple security layers in an industrial control and automation system or other system
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
US8249066B2 (en) * 2008-02-19 2012-08-21 Dialogic Corporation Apparatus and method for allocating media resources
US20100011375A1 (en) * 2008-07-14 2010-01-14 Safenet, Inc. Zero-install IP security
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US8271784B2 (en) 2009-10-15 2012-09-18 International Business Machines Corporation Communication between key manager and storage subsystem kernel via management console
WO2011057658A1 (en) * 2009-11-10 2011-05-19 Telefonaktiebolaget Lm Ericsson (Publ) Security association management
US8583788B2 (en) * 2011-04-20 2013-11-12 Novell, Inc. Techniques for auditing and controlling network services
US8978093B1 (en) 2012-05-03 2015-03-10 Google Inc. Policy based trust of proxies
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US8893255B1 (en) 2013-10-23 2014-11-18 Iboss, Inc. Device authentication using device-specific proxy addresses
US9906952B2 (en) * 2014-03-28 2018-02-27 Vivint, Inc. Anti-takeover systems and methods for network attached peripherals
US9578004B2 (en) * 2014-09-12 2017-02-21 Ca, Inc. Authentication of API-based endpoints
GB2531317A (en) * 2014-10-16 2016-04-20 Airbus Group Ltd Security system
US9565168B1 (en) * 2015-05-05 2017-02-07 Sprint Communications Company L.P. System and method of a trusted computing operation mode
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
US11637907B2 (en) * 2016-11-16 2023-04-25 Verizon Patent And Licensing Inc. Systems and methods for tracking device IDs for virtualized applications
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip

Family Cites Families (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2258112A5 (de) * 1973-11-30 1975-08-08 Honeywell Bull Soc Ind
US3956615A (en) * 1974-06-25 1976-05-11 Ibm Corporation Transaction execution system with secure data storage and communications
US4104721A (en) * 1976-12-30 1978-08-01 International Business Machines Corporation Hierarchical security mechanism for dynamically assigning security levels to object programs
US4442484A (en) * 1980-10-14 1984-04-10 Intel Corporation Microprocessor memory management and protection mechanism
US4648031A (en) * 1982-06-21 1987-03-03 International Business Machines Corporation Method and apparatus for restarting a computing system
US4870571A (en) * 1983-05-04 1989-09-26 The Johns Hopkins University Intercomputer communications based on message broadcasting with receiver selection
US4584639A (en) * 1983-12-23 1986-04-22 Key Logic, Inc. Computer security system
US4621321A (en) * 1984-02-16 1986-11-04 Honeywell Inc. Secure data processing system architecture
US4713753A (en) * 1985-02-21 1987-12-15 Honeywell Inc. Secure data processing system architecture with format control
US4885789A (en) * 1988-02-01 1989-12-05 International Business Machines Corporation Remote trusted path mechanism for telnet
US5093914A (en) * 1989-12-15 1992-03-03 At&T Bell Laboratories Method of controlling the execution of object-oriented programs
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
GB9015799D0 (en) * 1990-07-18 1991-06-12 Plessey Telecomm A data communication system
US5124984A (en) * 1990-08-07 1992-06-23 Concord Communications, Inc. Access controller for local area network
US5153918A (en) * 1990-11-19 1992-10-06 Vorec Corporation Security system for data communications
US5263147A (en) * 1991-03-01 1993-11-16 Hughes Training, Inc. System for providing high security for personal computers and workstations
US5272754A (en) * 1991-03-28 1993-12-21 Secure Computing Corporation Secure computer interface
US5228083A (en) * 1991-06-28 1993-07-13 Digital Equipment Corporation Cryptographic processing in a communication network, using a single cryptographic engine
US5355474A (en) * 1991-09-27 1994-10-11 Thuraisngham Bhavani M System for multilevel secure database management using a knowledge base with release-based and other security constraints for query, response and update modification
US5177788A (en) * 1991-10-15 1993-01-05 Ungermann-Bass, Inc. Network message security method and apparatus
FR2686755A1 (fr) * 1992-01-28 1993-07-30 Electricite De France Procede de chiffrement de messages transmis entre reseaux interconnectes, appareil de chiffrement et dispositif de communication de donnees chiffrees mettant en óoeuvre un tel procede.
US5333266A (en) * 1992-03-27 1994-07-26 International Business Machines Corporation Method and apparatus for message handling in computer systems
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US5311593A (en) * 1992-05-13 1994-05-10 Chipcom Corporation Security system for a network concentrator
GB9212655D0 (en) * 1992-06-15 1992-07-29 Digital Equipment Int Communications system
WO1993026109A1 (en) * 1992-06-17 1993-12-23 The Trustees Of The University Of Pennsylvania Apparatus for providing cryptographic support in a network
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5444782A (en) * 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US5325362A (en) * 1993-09-29 1994-06-28 Sun Microsystems, Inc. Scalable and efficient intra-domain tunneling mobile-IP scheme
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
US5530758A (en) * 1994-06-03 1996-06-25 Motorola, Inc. Operational methods for a secure node in a computer network
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
US5615340A (en) * 1994-07-21 1997-03-25 Allied Telesyn Int'l Corp. Network interfacing apparatus and method using repeater and cascade interface with scrambling
US5485460A (en) * 1994-08-19 1996-01-16 Microsoft Corporation System and method for running multiple incompatible network protocol stacks
US5604490A (en) * 1994-09-09 1997-02-18 International Business Machines Corporation Method and system for providing a user access to multiple secured subsystems
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
FR2727269B1 (fr) * 1994-11-21 1997-01-17 Allegre Francois Systeme de controle d'acces a des machines informatiques connectees en reseau prive
US5619648A (en) * 1994-11-30 1997-04-08 Lucent Technologies Inc. Message filtering techniques
US5550984A (en) * 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5566170A (en) * 1994-12-29 1996-10-15 Storage Technology Corporation Method and apparatus for accelerated packet forwarding
US5696486A (en) * 1995-03-29 1997-12-09 Cabletron Systems, Inc. Method and apparatus for policy-based alarm notification in a distributed network management environment
US5699513A (en) * 1995-03-31 1997-12-16 Motorola, Inc. Method for secure network access via message intercept
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5636371A (en) * 1995-06-07 1997-06-03 Bull Hn Information Systems Inc. Virtual network mechanism to access well known port application programs running on a single host system
US5706507A (en) * 1995-07-05 1998-01-06 International Business Machines Corporation System and method for controlling access to data located on a content server
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5689566A (en) * 1995-10-24 1997-11-18 Nguyen; Minhtam C. Network with secure communications sessions
US5826029A (en) * 1995-10-31 1998-10-20 International Business Machines Corporation Secured gateway interface
US5671279A (en) * 1995-11-13 1997-09-23 Netscape Communications Corporation Electronic commerce using a secure courier system
US5602918A (en) * 1995-12-22 1997-02-11 Virtual Open Network Environment Corp. Application level security system and method
AU2242697A (en) * 1996-01-16 1997-08-11 Raptor Systems, Inc. Data encryption/decryption for network communication
AU1748797A (en) * 1996-01-16 1997-08-11 Raptor Systems, Inc. Key management for network communication
AU1829897A (en) * 1996-01-16 1997-08-11 Raptor Systems, Inc. Transferring encrypted packets over a public network
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5918018A (en) * 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US5684951A (en) * 1996-03-20 1997-11-04 Synopsys, Inc. Method and system for user authorization over a multi-user computer system
US5673322A (en) * 1996-03-22 1997-09-30 Bell Communications Research, Inc. System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008519C1 (de) * 2000-02-21 2001-07-12 Dica Technologies Ag Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
DE10107883A1 (de) * 2001-02-19 2002-08-29 Post Ebusiness Gmbh Deutsche Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
DE10107883B4 (de) * 2001-02-19 2006-02-09 Deutsche Post Ag Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
DE10108408A1 (de) * 2001-02-21 2002-08-29 Gloocorp Ag Kommunikationssystem zum Austausch von verschlüsselter Information in nachrichtengestütztem oder Echtzeitkommunikationsmodus

Also Published As

Publication number Publication date
DE19741246C2 (de) 2001-06-13
US5983350A (en) 1999-11-09

Similar Documents

Publication Publication Date Title
DE19741246C2 (de) Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken
US8006297B2 (en) Method and system for combined security protocol and packet filter offload and onload
US7260840B2 (en) Multi-layer based method for implementing network firewalls
US5550984A (en) Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US7509673B2 (en) Multi-layered firewall architecture
US8490153B2 (en) Automatically generating rules for connection security
US6981143B2 (en) System and method for providing connection orientation based access authentication
US7409707B2 (en) Method for managing network filter based policies
US6076168A (en) Simplified method of configuring internet protocol security tunnels
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
DE60121483T2 (de) Sicherheitkommunikationsverfahren, System und Vorrichtung welche erlauben den Sicherheitstyp zu wechseln
US7496748B2 (en) Method for establishing a security association between two or more computers communicating via an interconnected computer network
US20080267177A1 (en) Method and system for virtualization of packet encryption offload and onload
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
US7613699B2 (en) Apparatus and method for resolving security association database update coherency in high-speed systems having multiple security channels
JP2003525557A (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
CH709936A2 (de) System und Verfahren für das kryptographische Suite-Management.
DE60311898T2 (de) Verfahren, um ein Paket von einem ersten IPSeC Klienten zu einem zweiten IPSec Klienten über einen L2TP Tunnel zu übertragen
WO2020229537A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
DE102022100111A1 (de) Netzwerkschnittstelle mit Datenschutz
EP3318033B1 (de) Anti-cracking verfahren mit hilfe eines vermittlungscomputer
WO2021197822A1 (de) Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
Iyer B. Tech. Seminar UNIX and Internet Security
DE19622629A1 (de) Verfahren zur kryptographischen Sicherung einer Übertragung mindestens eines Datenpakets von einer ersten Computereinheit zu einer zweiten Computereinheit unter Verwendung des Remote Procedure Call Verfahrens

Legal Events

Date Code Title Description
OR8 Request for search as to paragraph 43 lit. 1 sentence 1 patent law
8105 Search report available
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
R082 Change of representative

Representative=s name: EISENFUEHR SPEISER PATENTANWAELTE RECHTSANWAEL, DE

R081 Change of applicant/patentee

Owner name: MCAFEE, INC., SANTA CLARA, US

Free format text: FORMER OWNER: SECURE COMPUTING CORP., ROSEVILLE, MINN., US

Effective date: 20140925

R082 Change of representative

Representative=s name: EISENFUEHR SPEISER PATENTANWAELTE RECHTSANWAEL, DE

Effective date: 20140925

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee