DE69533953T2 - System für signaturlose Übertragung und Empfang von Datenpaketen zwischen Computernetzwerken - Google Patents

System für signaturlose Übertragung und Empfang von Datenpaketen zwischen Computernetzwerken Download PDF

Info

Publication number
DE69533953T2
DE69533953T2 DE69533953T DE69533953T DE69533953T2 DE 69533953 T2 DE69533953 T2 DE 69533953T2 DE 69533953 T DE69533953 T DE 69533953T DE 69533953 T DE69533953 T DE 69533953T DE 69533953 T2 DE69533953 T2 DE 69533953T2
Authority
DE
Germany
Prior art keywords
bridge
encrypted
data packet
header
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69533953T
Other languages
English (en)
Other versions
DE69533953D1 (de
Inventor
Geoffrey Fremont Mulligan
Martin Patterson
Glenn Sunnyvale Scott
Ashar Fremont Aziz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Application granted granted Critical
Publication of DE69533953D1 publication Critical patent/DE69533953D1/de
Publication of DE69533953T2 publication Critical patent/DE69533953T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Description

  • Die vorliegende Erfindung betrifft den Bereich der sicheren Übertragung von Datenpaketen und insbesondere ein neues Verfahren und System zum automatischen Verschlüsseln und Entschlüsseln von Datenpaketen zwischen Sites auf dem Internet oder anderen Netzwerken von Computernetzen.
  • Es wird für Unternehmen in zunehmendem Maße nützlich, vertrauliche Informationen über Netzwerke wie das Internet von einer Site zur anderen zu übertragen, und gleichzeitig wird es immer dringlicher, dass solche Informationen vor unbefugten Augen geschützt werden, während sie über das Verbindungsnetz laufen. Derzeit werden ungesicherte Daten an zahlreichen Sites während des Übertragens zu einem Zielort repliziert, und Handelsgeheimnisse oder andere vertrauliche Informationen werden, wenn sie ungesichert sind, somit der Öffentlichkeit zugänglich gemacht.
  • Es ist einem Benutzer am sendenden Host möglich, die zu sendenden Daten zu verschlüsseln und den Benutzer, der die Daten empfangen soll, über den verwendeten Verschlüsselungsmechanismus und den zum Entschlüsseln notwendigen Key zu informieren. Dies erfordert jedoch Kommunikationen und einen koordinierten Aufwand seitens des sendenden und des empfangenden Benutzers, und Benutzer werden häufig nicht den nötigen Aufwand betreiben und daher bleiben die Pakete unverschlüsselt.
  • Aber selbst wenn die Pakete verschlüsselt sind, dann kann selbst die Tatsache, dass sie von Benutzer A zu Benutzer B übertragen werden, vertraulich sein, und es wird ein System benötigt, um auch diese Information geheim zu halten.
  • 1 illustriert ein Netzwerk von Computernetzen, das die Netze N1, N2 und N3 beinhaltet, die über ein öffentliches Netz 10 (wie z.B. das Internet) miteinander verbunden sind. Wenn das Netz N1 auf gewöhnliche Weise aufgebaut ist, beinhaltet es einige bis viele Computer (Hosts), wie z.B. Host A, und zusätzliche Hosts 20 und 30. Ebenso beinhaltet Netz N2 Host B sowie zusätzliche Hosts 40 und 50, während Netz N3 die Hosts 6090 beinhaltet. Es kann auf jedem Netz viele Hosts und viele weitere individuelle Netzwerke als hier gezeigt geben. Zu Beispielen für solche Netzwerke wird verwiesen auf J. Postel, User Datagram Protocol, RFC 768, 28. August 1980; http://wrvw.rfc-editor.org/rfc/rfc768.txt; Information Sciences Institute, Internet Protocol: DARPA Internet Program Protocol Specification, RFC 791, September 1981; http://www.rfc-editor.org/rfc/rfc791.txt; und T. Socolofsky, A TCP/IP Tutorial, RFC 1180, Januar 1991 http://www.rfc-editor.org/rfc/rfcl180.txt.
  • Wenn ein Benutzer am Host A eine Datei, eine Email oder dergleichen zu Host B senden möchte, dann wird die Datei in Pakete unterteilt, die jeweils typischerweise eine Struktur wie das in 7 gezeigte Paket 400 hat, einschließlich Daten 410 und Header 420. Zum Senden über das Internet ist der Header 420 ein Internet Protocol (IP) Header, der die Adresse des empfangenden (Ziel-)Hosts B enthält. Herkömmlicherweise wird jedes Datenpaket über das Verbindungsnetz 10 zu dem empfangenden Netz N2 und schließlich zum empfangenden Host B geleitet.
  • Wie oben angedeutet, lassen sich selbst dann, wenn der Benutzer am Host A die Datei oder die Datenpakete vor dem Senden verschlüsselt und Benutzer B mit dem notwendigen Key zum Entschlüsseln ausgestattet ist, die Identitäten des sendenden und des empfangenden Hosts leicht anhand der Internet Protocol (IP) Adressen in den Headern der Pakete erkennen. Derzeitige Verbindungsnetze bieten keine Architektur oder Methode, um diese Information vertraulich zu halten. Grundsätzlicher, es gibt nicht einmal ein System zum automatischen Verschlüsseln und Entschlüsseln von Datenpaketen, die von einem Host zum anderen gesendet werden.
  • Es ist bereits bekannt, Pakete von Daten über ein Verbindungsnetz von einem ersten Hostcomputer auf einem ersten Computernetzwerk zu einem zweiten Hostcomputer auf einem zweiten Computernetzwerk zu senden und zu empfangen, wobei das erste und das zweite Computernetz jeweils einen ersten und einen zweiten Brückencomputer beinhalten, wobei der genannte erste und zweite Hostcomputer sowie der genannte erste und zweite Brückencomputer jeweils einen Prozessor und einen Speicher zum Speichern von Anweisungen zur Ausführung durch den Prozessor aufweisen, wobei der genannte erste und zweite Brückencomputer ferner jeweils Speicher zum Speichern von wenigstens einem vorbestimmten Verschlüsselungs-/Entschlüsselungsmechanismus und Informationen speichert, die eine vorbestimmte Mehrzahl von Hostcomputern als Hosts identifizieren, die Sicherheit für zwischen ihnen übertragene Pakete benötigen, wobei das Verfahren mittels der in den genannten jeweiligen Speichern gespeicherten Anweisungen ausgeführt wird. In diesem Zusammenhang wird auf einen Artikel von Forne J. et al. mit dem Titel ‚HARDWARE IMPLEMENTATION OF A SECURE BRIDGE IN ETHERNET ENVIRONMENTS' PROCEEDINGS OF THE GLOBAL TELECOMMUNICATIONS CONFERENCE (GLOBECOM), HOUSTON, 29. November–2. Dezember 1993, Bd. 1, 29. November 1993, Seiten 177–181, XP000428050 INSTITUTE OF ELECTRICAL AND ELECTRONICS ENGINEERS, verwiesen.
  • In den in der letzteren Literaturquelle offenbarten Systemen umfasst jeder Brückencomputer („sichere Brücke") ein kryptografisches Drei-Layer-Protokoll, das in drei Funktionsblöcke unterteilt ist, jeweils als Kommunikationsblock, kryptografischer Block und administrativer Block bezeichnet. Der Kommunikationsblock ist die Schnittstelle zwischen dem Netz und den anderen Blöcken. Der kryptografische Block verschlüsselt/entschlüsselt Frames auf dem Netz mit vertraulichen Informationen mit Hilfe eines Algorithmus. Er erkennt auch Fehler und Attacken und informiert den administrativen Block. Der administrative Block steuert die sichere Brücke und kommuniziert mit einer Überwachungs- und Verwaltungszentrale.
  • Gemäß einem ersten Aspekt der vorliegenden Erfindung wird ein Verfahren zum Verschlüsseln von Datenpaketen bereitgestellt, die über ein Verbindungsnetz von einem Ursprungshostcomputer auf einem ersten Computernetz mit einer Brücke zu einem Zielhostcomputer gesendet wurden, der potentiell Teil eines zweiten Computernetzes ist, wobei das Verfahren die folgenden Schritte umfasst:
    Empfangen eines Datenpakets von dem Ursprungshostcomputer in dem ersten Computernetz an der Brücke für die Übertragung zum Zielhostcomputer, wobei das Datenpaket einen Originalheaderabschnitt und einen Originaldatenabschnitt beinhaltet, wobei der Originalheaderabschnitt eine den Ursprungshostcomputer identifizierende Ursprungskennung und eine den Zielhostcomputer identifizierende Zielkennung beinhaltet;
    Ermitteln in der Brücke, wenigstens teilweise auf der Basis der Bezugnahme auf die Ursprungs- und/oder die Zielkennung, ob das Datenpaket verschlüsselt werden soll; und
    Verschlüsseln des Datenpakets zum Erzeugen eines verschlüsselten Datenpakets;
    wobei das Verfahren dadurch gekennzeichnet ist, dass:
    die Verschlüsselung des Datenpakets die Verschlüsselung sowohl des Originaldatenabschnitts als auch des Originalheaderabschnitts beinhaltet;
    es den Schritt des Erzeugens eines Encapsulation-Headers und Anhängens des Encapsulation-Headers an das verschlüsselte Datenpaket beinhaltet, um ein modifiziertes Datenpaket zu erzeugen, wobei der Encapsulation-Header eine Verbindungsnetzrundsendeadresse beinhaltet, die mit dem ersten und/oder dem zweiten Netzwerk assoziiert ist, so dass das modifizierte Datenpaket den Encapsulation-Header und einen verschlüsselten Abschnitt hat, der verschlüsselte Versionen des Originalheaderabschnitts und des Originaldatenabschnitts beinhaltet.
  • Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein Verfahren zum Entschlüsseln von Datenpaketen bereitgestellt, umfassend die folgenden Schritte:
    Empfangen eines verschlüsselten Datenpakets von einem Ursprung für ein Ziel;
    Ermitteln, ob das Datenpaket verschlüsselt ist; und
    Entschlüsseln des Datenpakets zum Erzeugen eines entschlüsselten Datenpakets,
    dadurch gekennzeichnet, dass:
    dem verschlüsselten Datenpaket ein Encapsulation-Header gegeben wird, der eine Ursprungskennung und eine Zielkennung speichert, von denen wenigstens eine eine Rundsendeadresse ist;
    der Schritt des Ermittelns, ob das Datenpaket verschlüsselt ist, nach Bezugnahme auf die Ursprungs- und/oder Zielkennung erfolgt;
    das verschlüsselte Datenpaket einen verschlüsselten Headerabschnitt und einen verschlüsselten Datenabschnitt beinhaltet; und
    der entschlüsselte Headerabschnitt nach dem Entschlüsseln als Header für das entschlüsselte Datenpaket verwendet wird.
  • Gemäß einem dritten Aspekt der vorliegenden Erfindung wird eine Brücke für die Verwendung in einem Computernetz bereitgestellt, wobei die Brücke die Aufgabe hat, von dem Netzwerk gesendete und empfangene Pakete zu leiten und automatisch durch die Brücke passierende selektierte Pakete zu verschlüsseln, wobei die Pakete einen Headerabschnitt und einen Datenabschnitt haben, wobei die Brücke Folgendes umfasst:
    einen Verschlüsselungsmechanismus zum Verschlüsseln selektierter Pakete;
    Mittel zum Ermitteln auf der Basis von wenigstens teilweise einem Ursprung und/oder einem Ziel, der/das im Headerabschnitt des gewählten Pakets identifiziert wurde, ob ein durch eine Brücke passierendes selektiertes Paket verschlüsselt werden soll;
    dadurch gekennzeichnet, dass:
    der Verschlüsselungsmechanismus die Aufgabe hat, ein gesamtes Paket einschließlich Headerabschnitt und Datenabschnitt zu verschlüsseln; und
    Mittel zum Anhängen eines Encapsulation-Headers an die verschlüsselten Pakete, wobei der Encapsulation-Header eine Rundsendeadresse für eine Ursprungskennung und/oder eine Zielkennung für das Paket hat, wobei sich die in dem Encapsulation-Header verwendete Rundsendeadresse von der Korrespondenzursprungs- oder -zielkennung in dem selektierten Paket unterscheidet.
  • Gemäß einem vierten Aspekt der vorliegenden Erfindung wird eine Brücke zur Verwendung in einem Computernetz bereitgestellt, wobei die Brücke die Aufgabe hat, von dem Netzwerk gesendete und empfangene Pakete zu leiten und automatisch durch die Brücke passierende selektierte Pakete zu entschlüsseln, dadurch gekennzeichnet, dass die Brücke die Aufgabe hat, Datenpakete mit einem Encapsulation-Headerabschnitt und einem verschlüsselten Abschnitt zu entschlüsseln, der einen verschlüsselten Header und einen verschlüsselten Datenabschnitt beinhaltet,
    Mittel zum Ermitteln, ob ein durch die Brücke passierendes selektiertes Paket entschlüsselt werden soll, auf der Basis von wenigstens einer Ursprungs- und/oder einer Zielkennung in dem Encapsulation-Headerabschnitt des selektierten Pakets, die eine Rundsendeadresse ist;
    einen Entschlüsselungsmechanismus zum Entschlüsseln von Paketen, die entschlüsselt werden müssen, wobei der Entschlüsselungsmechanismus den Encapsulation-Header eliminiert und so ein entschlüsseltes Paket bildet, das einen Headerabschnitt und einen Datenabschnitt hat; und
    Mittel zum Weiterleiten von entschlüsselten Paketen zur Zieladresse, die in dem entschlüsselten Paket identifiziert ist.
  • Aufgrund der vorliegenden Erfindung werden alle Meldungen, die als verschlüsselungsbedürftig vorbestimmt sind, z.B. alle Meldungen von einem bestimmten Host A zu einem anderen Host B, automatisch verschlüsselt, ohne jegliche separate Aktion seitens des Benutzers. Auf diese Weise kann niemand auf dem öffentlichen Verbindungsnetz den Inhalt der Pakete feststellen. Wenn der Encapsulation-Header die Ursprungs- und Zieladressen des Netzwerk-IP verwendet, mit verschlüsselten Ursprungs- und Zielhostadressen, dann werden auch die Hostidentitäten verborgen, und ein intervenierender Beobachter kann nur die Identitäten der Netzwerke erfassen.
  • Der Encapsulation-Header kann ein Feld mit einer Kennung der Ursprungstunnelungsbrücke beinhalten. Dies ist besonders dann nützlich, wenn mehr als eine Tunnelungsbrücke für ein bestimmtes Netz verwendet werden soll (wobei jede Tunnelungsbrücke verschiedene Verschlüsselungsanforderungen und Informationen hat), und in diesem Fall entschlüsselt die empfangende Tunnelungsbrücke die Datenpakete gemäß den lokal gespeicherten Informationen unter Anzeige des Verschlüsselungstyps und des Entschlüsselungskey für alle von der Ursprungstunnelungsbrücke kommenden Pakete.
  • Nachfolgend werden, jedoch nur beispielhaft, spezifische Ausgestaltungen der vorliegenden Erfindung mit Bezug auf die Begleitzeichnungen beschrieben. Dabei zeigt:
  • 1 ein Diagramm eines Netzwerks von Computernetzen, in Verbindung mit denen das System der vorliegenden Erfindung verwendet werden kann;
  • 2 ein Blockdiagramm eines Hostcomputers A auf einem Computernetz N1 gemäß 1;
  • 3 ein Diagramm eines Netzwerks von Computernetzen mit Tunnelungsbrücken gemäß der vorliegenden Erfindung;
  • 4 ein Blockdiagramm von mehreren Tunnelungsbrücken der vorliegenden Erfindung in einem Netzwerk von Computernetzen N1–N3 gemäß 3;
  • 5 ein Diagramm einer anderen Konfiguration von Netzwerken mit Tunnelungsbrücken gemäß der vorliegenden Erfindung;
  • 6 ein Fließschema, das das Verfahren des signaturlosen Tunnelns der vorliegenden Erfindung illustriert;
  • 7 eine konventionelle Datenstruktur für ein Datenpaket;
  • 811 modifizierte Datenstrukturen für die Verwendung in verschiedenen Ausgestaltungen des erfindungsgemäßen Systems;
  • 12 ein Blockdiagramm eines Netzwerks von Computernetzen mit zwei Tunnelungsbrücken der Erfindung auf einem einzigen Computernetz.
  • Das System der vorliegenden Erfindung ist so ausgelegt, dass es in existierenden Computernetzen implementiert wird, und es verwendet in der bevorzugten Ausgestaltung den Zusatz einer Tunnelungsbrücke an Übergängen zwischen lokalen Computernetzen und öffentlichen oder größervolumigen Netzen wie z.B. dem Internet. Die Mechanismen zum Ausführen des erfindungsgemäßen Verfahrens werden von Computern implementiert, die als diese Tunnelungsbrücken fungieren und Programmanweisungen aufweisen, die in Speichern der Tunnelungsbrücken gespeichert sind, sowie geeignete (standardmäßige) Netzwerkverbindungen und Kommunikationsprotokolle.
  • 3 zeigt ein Netzwerk 100 aus Netzen N1, N2 und N3 gemäß der Erfindung, wobei jedes Netzwerk eine Tunnelungsbrücke – jeweils TB1, TB2 und TB3 – aufweist, die alle Datenpakete von und zu den jeweiligen Netzwerken abfängt. Die Netze N1–N3 können in anderen Hinsichten mit den Netzen N1–N3 in konventionellen Designs identisch sein. In der nachfolgenden Beschreibung sind Verweise auf die Netze N1–N3 oder Hosts A und B als in Bezug auf die in 3 gezeigte Konfiguration anzusehen, wenn nichts Anderes angegeben ist.
  • In diesem System gibt es mehrere Betriebsarten, nachfolgend nummeriert und erörtert als Betriebsarten 1, 2, 2A, 3 und 3A. Betriebsart 1 verwendet die Konfiguration von 1, während die anderen Betriebsarten alle die Konfiguration von 3 benutzen. Die Merkmale der Tunnelungsbrücken TB1 und TB2 (einschließlich ihrer Programmanweisungen, der getroffenen Maßnahmen usw.) in den Betriebsarten 2–3A sind, in Betriebsart 1, jeweils Merkmale von Host A bzw. B.
  • Jede der Tunnelungsbrücken TB1–TB3 wird vorzugsweise in einem separaten, herkömmlichen Computer mit einem Prozessor und einem Speicher wie in 4 gezeigt implementiert. Der Speicher kann eine Kombination aus Arbeitsspeicher (RAM), Festwertspeicher (ROM) und anderen Speichermedien wie z.B. Plattenlaufwerken, CD-ROMs usw. sein. Die Programmanweisungen für jede der Brücken TB1–TB3 sind in ihren jeweiligen Speichern gespeichert und werden von ihren jeweiligen Mikroprozessoren ausgeführt. Das Verfahren der vorliegenden Erfindung wird mit einer Kombination von Schritten durchgeführt, die nach Bedarf von jedem der Prozessoren des sendenden Hosts A, der Tunnelungsbrücken TB1 und TB2 und des empfangenen Hosts B durchgeführt werden.
  • Die Verschlüsselung von Daten ist ein wichtiger Schritt im gesamten Verfahren der Erfindung, aber der im jeweiligen Fall zu verwendende Verschlüsselungsmechanismus ist nicht wesentlich. Es wird daher bevorzugt, einen flexiblen, leistungsstarken Verschlüsselungsansatz wie z.B. die Diffie-Hellman-Methode zu verwenden (siehe W. Diffie und M. Hellman, „New Directions in Cryptography", IEEE Transactions of Information Theory, November 1976). (Die Benutzung von Verschlüsselung in Verbindung mit IP-Datenübertragungen ist relativ ausführlich in der mitanhängigen Patentanmeldung der Anmelderin „Method and Apparatus for Key-Management Scheme for Use with Internet Protocols at Site Firewalls" von A. Aziz, Ser. Nr. 08/258,344, eingereicht am 10. Juni 1994, beschrieben, die hierin durch Bezugnahme eingeschlossen ist). Es ist aber jedes Verschlüsselungsschema geeignet, das die Verschlüsselung durch eine erste Maschine, die die Datenpakete sendet, und die Entschlüsselung durch eine Empfangsmaschine zulasst.
  • 6 illustriert eine Ausgestaltung des erfindungsgemäßen Verfahrens und beginnt mit dem Erzeugen von Datenpaketen am sendenden Host A. Der Benutzer am Host A gibt herkömmliche Befehle zum Senden einer Datei oder dergleichen von Host A zu Host B ein, und der Hostcomputer A führt die Standardvorgänge zum Aufteilen der Dateien in Datenpakete wie in 7 gezeigt aus, die jeweils sowohl die Daten 410 als auch einen Header 400 enthalten. Bei Übertragungen über das Internet handelt es sich hier um den IP-Header. Die derzeitige Erörterung richtet sich zwar größtenteils auf IP-spezifische Implementationen, aber es ist zu verstehen, dass jedes beliebige Netzprotokoll in Verbindung mit der vorliegenden Erfindung verwendet werden kann.
  • In Box 200 gibt der Benutzer an Host A (siehe 3 und 6) den herkömmlichen Befehl zum Senden der Datei, Email oder dergleichen zu einem Empfänger ein, und Host A erzeugt die Datenpakete zum Senden über das Internet auf normale Weise. Jedes Datenpaket hat zunächst eine Struktur wie die des in 7 gezeigten Datenpakets 400, einschließlich einem Datenfeld 410 und einem Header-Feld 420. Der Header 420 beinhaltet die Zieladresse, in diesem Beispiel die IP-Adresse des Host B.
  • Die Datenpakete werden vom Host A in Box 210 gesendet, wieder auf herkömmliche Weise. In Box 220 wird jedoch jedes Paket von der Tunnelungsbrücke TB1 (siehe 3 und 4) abgefangen, wenn eine der Betriebsarten 2, 2A, 3 oder 3A verwendet wird (siehe nachfolgende Diskussion). Wenn Betriebsart 1 (nachfolgend beschrieben) verwendet wird, dann fallen die Schritte 220 und 280 weg, da diese Betriebsart keine Tunnelungsbrücken verwendet; stattdessen werden alle von den Tunnelungsbrücken in den Betriebsarten 2–3A getroffenen Maßnahmen von den Ursprungs- und Zielhosts selbst in Betriebsart 1 durchgeführt. Somit ist in der nachfolgenden Erörterung, wo immer TB1 oder TB2 erwähnt wird, zu verstehen, dass im Fall von Betriebsart 1 dasselbe Merkmal jeweils in Host A oder Host B vorhanden ist.
  • Im Speicher von TB1 (oder Host A, für Betriebsart 1) ist eine Lookup-Tabelle (nicht separat dargestellt) der Adressen von Hosts, beide auf dem Ortsnetz N1 und auf Fernnetzen wie z.B. N2 und N3, und eine Anzeige für jedes Netz gespeichert, ob Datenpakete von oder zu diesem Host zu verschlüsseln sind. In diesem Fall zeigt beispielsweise die Host-Tabelle von TB1 an, dass alle von Host A zu Host B gesendeten Meldungen zu verschlüsseln sind. Somit schlägt die Brücke TB1 (oder Host A) Host A und B in ihren Tabellen nach und ermittelt, dass die zu sendenden Datenpakete zuerst verschlüsselt werden müssen, wie in den Boxen 230 und 240 von 6 angedeutet ist.
  • Alternativ könnte die Tabelle die Netzwerk Kennungen (z.B. Rundsendeadressen) der Netze N1 und N2 speichern und anzeigen, dass alles, was von Netz N1 zu Netz N2 gesendet wird, zu verschlüsseln ist. In diesem Fall braucht die Tabelle nicht jeden Host in jedem Netz aufzuführen, so dass die Tabelle kleiner und leichter zu führen ist.
  • Wenn jeder Host aufgeführt ist, dann lässt sich jedoch eine größere Flexibilität erzielen, da es sein kann, dass Meldungen zu oder von bestimmten Hosts nicht verschlüsselt (zu) werden brauchen oder dürfen. In einer alternativen Ausgestaltung führt die Lookup-Tabelle die Netze N1 und N2 als Netze auf, zu und von denen Pakete zu verschlüsseln sind, und beinhaltet auch einen Host-Teil der Tabelle mit Angaben über Ausnahmen zu der normalen Verschlüsselungsregel für diese Netze. Wenn also Netze N1 und N2 in der Lookup-Tabelle aufgeführt sind, dann sollten von N1 zu N2 laufende Pakete normalerweise verschlüsselt werden. Wenn es jedoch eine „Ausnahmen"-Untertabelle gibt, die anzeigt, dass keine Pakete von Host A zu verschlüsselt sind, dann wird die normale Regel außer Kraft gesetzt. Diese Ausnahmen können sich jedoch in zwei Richtungen auswirken: wo die normale Regel darin besteht, dass die Pakete für ein bestimmtes Netzwerkpaar verschlüsselt werden sollen/nicht verschlüsselt werden sollen, und die Ausnahme darin besteht, dass dieser bestimmte Host (Ursprung oder Empfänger) oder dieses Hostpaar das Paket nicht trotzdem zu verschlüsseln ist. In dieser Ausgestaltung wird die geringe Größe und Wartungsfreundlichkeit der Netzwerk Tabellen im Großen und Ganzen beibehalten und die Hosts-Tabelle ist flexibel.
  • Wenn die von Host A zu Host B (oder Netz N1 zu Netz N2) zu sendenden Daten nicht zu verschlüsseln sind, dann geht das Verfahren direkt zu Schritt 270, und das fragliche Paket wird unverschlüsselt über das Internet (oder ein anderes intervenierendes Netz) zum Ziel gesendet.
  • In diesem Beispiel werden die Pakete in Box 250 verschlüsselt. Dies wird von der Tunnelungsbrücke TB1 durchgeführt, je nachdem, welches vorbestimmte Verschlüsselungsschema gewählt wurde, wobei die Hauptanforderung darin besteht zu gewährleisten, dass TB2 mit demselben Verschlüsselungsschema ausgestattet wird, so dass sie die Datenpakete entschlüsseln kann. TB2 muss ebenfalls im Voraus mit dem/den entsprechenden Key(s) zur Entschlüsselung ausgestattet werden.
  • Der Encapsulation-Header
  • In Box 260 wird ein Encapsulation-Header an das verschlüsselte Datenpaket angehängt. Dieser Header kann eine von mehreren alternativen Formen haben, je nach den Anforderungen des Benutzers. Mehrere Betriebsarten der Paketmodifikation können mit derselben Grunddatenstruktur aufgenommen werden (aber mit Unterschieden in den Informationen, die in den Encapsulation-Header angehängt werden), z.B. wie folgt:
    Betriebsart Angehängte Information
    1 Verschlüsselungskey-Managementinformation (selbst unverschlüsselt) Neuer IP-Header mit ursprünglich erzeugten IP-Adressen von Ursprungs- und Zielhosts (unverschlüsselt)
    2 Verschlüsselungskey-Managementinformation (in verschlüsselter Form) Tunnelungsbrückenkennung für Sender (unverschlüsselt) Neuer IP-Header mit Broadcast-Adressen von Ursprungs- und Zielnetzen (unverschlüsselt)
    2A (Wie Betriebsart 2, aber ohne Tunnelungsbrückenkennung)
    3 Verschlüsselungskey-Managementinformation (verschlüsselt) Bei Bedarf: Tunnelungsbrückenkennung für Sender (unverschlüsselt) Neuer IP-Header mit ursprünglich erzeugten IP-Adressen von Ursprungs- und Zielhosts (unverschlüsselt)
    3A (Wie Betriebsart 3, aber ohne Tunnelungsbrückenkennung)
  • Datenstrukturen für Betriebsarten 1, 2 und 3 sind jeweils in den 8, 9 und 10 dargestellt, wo gleiche Bezugsziffern gleiche Merkmale bezeichnen, wie nachfolgend beschrieben wird. Die Datenstruktur für Betriebsart 2A ist in 11 illustriert, und Betriebsart 3A kann die Datenstruktur von 8 verwenden.
  • Die Datenstruktur 402 für Betriebsart 1 ist in 8 dargestellt. Die ursprünglichen Daten 410 und der ursprüngliche Header 420 werden jetzt verschlüsselt, wie mit (410) und (420) angedeutet ist. Verschlüsselungskey-Managementinformation 440 wird als Teil des neuen Encapsulation-Headers 430 zusammen mit einem neuen IP-Header 450 einschließlich der Adressen der Ursprungs- und Zielhosts (in verschlüsselter Form) angehängt. Die Information 430 beinhaltet eine Anzeige, welches Verschlüsselungsschema verwendet wurde.
  • Keymanagementinformationen können eine Reihe verschiedener Daten beinhalten, je nach den verwendeten Keymanagement- und Verschlüsselungsschemata. So wäre es beispielsweise angemessen, Simple Key-Management for Internet Protocols (SKIP) der Anmelderin zu verwenden.
  • In den 711 sind die Felder mit Bezugsziffern in Klammern verschlüsselt, und die anderen Felder sind unverschlüsselt. So sind beispielsweise in 8 das ursprüngliche Datenfeld 410 und das Adressfeld 420 verschlüsselt, während der neue Encapsulation-Header 430, einschließlich der Keymanagementinformation 440 und des IP-Headers 450, nicht verschlüsselt ist.
  • In dieser Ausgestaltung werden die Tunnelungsbrücken TB1 und TB2 möglicherweise überhaupt nicht verwendet, und stattdessen könnten die Hosts A und B alle Anweisungen, Tabellen usw. beinhalten, die zum Verschlüsseln, Entschlüsseln notwendig sind, und ermitteln, welche Pakete zu verschlüsseln sind und mit welchem Verschlüsselungsschema. Betriebsart 1 ermöglicht es einem intervenierenden Beobachter, die Ursprungs- und Zielhosts zu identifizieren, und bietet daher nicht das höchste Sicherheitsniveau. Es bietet jedoch effiziente und automatische Verschlüsselung und Entschlüsselung für Datenpakete zwischen Hosts A und B, ohne Notwendigkeit für zusätzliche Computer, die als TB1 und TB2 dienen.
  • Alternativ könnte Feld 440 in Betriebsart 1 die IP-Rundsendeadressen der Ursprungs- und Ziel-Netzwerke (anstatt von dem der Hosts selbst) beinhalten, und könnte zusätzlich einen Code in der Verschlüsselungskey-Managementinformation beinhalten, der angibt, welches Verschlüsselungsschema verwendet wurde. Diese Information könnte dann von einem abfangenden Computer (wie z.B. einer Tunnelungsbrücke) auf dem Zielnetz verwendet werden, der das Datenpaket entschlüsselt und es zum Zielhost weitersendet.
  • In Betriebsart 2 wird eine Datenstruktur 404 verwendet, die einen neuen Encapsulation-Header 432 beinhaltet. Sie beinhaltet eine Key-Verschlüsselungs-Managementinformation 440, die an das ursprüngliche Datenpaket 400 angehängt wird, und beide werden verschlüsselt, so dass sich die verschlüsselten Felder (410), (420) und (440) wie in 9 gezeigt ergeben. Ein neuer IP-Header 470 mit den Rundsendeadressen der Ursprungs- und Ziel-Netzwerke (nicht die Adressen der Hosts wie in Feld 450 von 8) ist angehängt. Darüber hinaus wird ein Tunnelungsbrücken-Kennungsfeld 460 als Teil des Encapsulation-Headers 432 angehängt. In dieser Ausgestaltung werden hier alle Felder 410, 420 und 440 verschlüsselt, die Felder 460 und 470 aber nicht.
  • Die Tunnelungsbrückenkennung identifiziert die Ursprungs-Tunnelungsbrücke, d.h. die Tunnelungsbrücke an dem Netz, das den Host enthält, von dem das Paket gesendet wurde. Die Empfängertunnelungsbrücke enthält eine Tunnelungsbrücken-Lookup-Tabelle, die für jede bekannte Tunnelungsbrücke evtl. benötigte Informationen zur Entschlüsselung anzeigt, insbesondere Verschlüsselungsverfahren und Key.
  • Eine geeignete Tunnelungsbrückenkennung könnte ein Drei-Byte-Feld sein, so dass sich 224 oder mehr als 16 Millionen einmalige Tunnelungsbrückenkennungen ergeben. Auf diese Weise kann einer willkürlich großen Zahl von individuellen Tunnelungsbrücken eine eindeutige Kennung gegeben werden, einfach dadurch, dass das Feld möglichst groß gemacht wird, und in der Tat kann das Feld von einer vom Benutzer gewählten willkürlichen variablen Größe sein. Falls gewünscht, kann ein Vier-Byte-Feld verwendet werden, das mehr als 4 Milliarden Tunnelungsbrücken aufnimmt, was die derzeitigen Erfordernisse bei weitem überschreitet.
  • Bei Verwendung von Betriebsart 2 kann ein beliebiger Beobachter entlang der Schaltung, die von einem bestimmten Datenpaket eingenommen wird, nur die Tunnelungsbrückenkennung und die IP-Rundsendeadressen für die Ursprungs- und Zielnetze erkennen.
  • Die IP-Rundsendeadresse für das Zielnetz sieht gewöhnlich etwa wie folgt aus: „129.144.0.0", was ein bestimmtes Netz repräsentiert (in diesem Fall „Eng.Sun.COM"), aber keinen spezifischen Host. Somit kann an Zwischenpunkten auf der Route des Pakets erkannt werden, dass eine Nachricht beispielsweise von „washington.edu" zu „Eng.Sun.COM" geht, und die Identifikationsnummer der empfangenden Tunnelungsbrücke kann ermittelt werden, aber das ist auch schon alles; die Ursprungs- und Zielhosts, die Keymanagementinformation sowie der Inhalt des Datenpakets sind alle verborgen.
  • Betriebsart 2A benutzt die in 11 gezeigte Datenstruktur, bei der die IP-Rundsendeadressen für die Ursprungs- und Empfangsnetze N1 und N2 im Encapsulation-Header-Feld 470 enthalten sind, aber es wird keine Tunnelungsbrückenkennung verwendet. Diese Ausgestaltung ist besonders für Netze geeignet, bei denen es nur eine Tunnelungsbrücke für das gesamte Netz oder sogar für mehrere Netze gibt, wie in 5 illustriert ist.
  • In 5 wird ein vom Host C zu Host D gesendetes Paket zunächst von Netz N4 zu Netz N5 gesendet und wird dann von der Tunnelungsbrücke TB4 abgefangen, die alle Meldungen abfängt, die in diese beiden Netze eintreten oder diese verlassen. TB4 verschlüsselt das Paket oder auch nicht, je nach Angabe in der Lookup-Tabelle ihrer Hosts. Das Paket durchquert das öffentliche Netz und wird zu Netz N7 geleitet und wird zunächst von der Tunnelungsbrücke TB5 abgefangen (die alle in die Netze N6–N8 eintretenden oder diese verlassenden Meldungen abfängt), und an diesem Punkt bei Bedarf entschlüsselt.
  • In dieser Ausgestaltung oder einer beliebigen Ausgestaltung, in der ein Paket von einem Host auf einem Netzwerk gesendet wird, wobei eine einzelne Tunnelungsbrücke für das gesamte Ursprungsnetz oder für mehrere Netze verwendet wird, die das Ursprungsnetz beinhalten, ist eine Tunnelungsbrückenkennung kein notwendiges Feld im Encapsulation-Header. Da in diesem Fall nur eine bestimmte Tunnelungsbrücke Pakete von einem bestimmten Host hätte abfangen können (z.B. TB4 für Host C in 5), ist die Identität der Ursprungstunnelungsbrücke eindeutig, und die Zieltunnelungsbrücke TB5 enthält eine Tabelle von Hosts und/oder Netzwerken, mit TB4 querkorreliert. Wenn ermittelt wurde, dass die Tunnelungsbrücke TB4 die Ursprungstunnelungsbrücke war, dann fährt TB5 mit der richtigen Entschlüsselung fort.
  • Dieser Ansatz hat mehrere Vorteile, nämlich, dass er die Notwendigkeit eliminiert, Tunnelungsbrücken zu „benennen" oder zu nummerieren, und reduziert die Größen der Datenpakete durch Eliminieren eines Feldes. Ein Tunnelungsbrücken-Kennungsfeld bietet jedoch Flexibilität. So sind beispielsweise in 12 die Subnetze N11 und N12 Teile eines größeren Netzes N10, und jedes Subnetz N11 und N12 hat seine eigene zugewiesene Tunnelungsbrücke (jeweils TB7 bzw. TB8). Somit können die Subnetze N11 und N12 automatisch verschiedenen Verschlüsselungstypen unterzogen werden, und diese Verschlüsselung kann nach Bedarf für ein Subnetz geändert werden, während es für das andere unverändert bleibt.
  • Ein von Host F zu Host E in 12 gehendes Paket beinhaltet eine Ursprungstunnelungsbrückenkennung (TB7), so dass es, wenn es TB6 auf Netz N9 erreicht, korrekt als von TB7 und nicht von TB8 verschlüsselt identifiziert wird. Auf diese Weise braucht die Tunnelungsbrücke TB6 nur eine Tabelle mit Informationen in Bezug auf die Tunnelungsbrücken zu führen, und braucht keine Verschlüsselungs-/Entschlüsselungseinzelheiten für die Host- oder Netzebene zu führen. (Man beachte, dass TB6 weiter Informationen darüber führt, ob Meldungen verschlüsselt werden sollen, die zwischen Host A und Host B oder Netz N1 und Netz N2 gesendet werden, je nachdem, wie oben erörtert.)
  • Die Tunnelungsbrückenkennung kann für eine Reihe verschiedener anderer Zwecke in Bezug auf die Ursprungstunnelungsbrücke verwendet werden, wie z.B. für Statistiken, die die Zahl der von dieser Tunnelungsbrücke empfangenen Pakete, deren Sendedatum und -uhrzeit, Paketgröße usw. aufzeichnen.
  • Eine Alternative zur Verwendung von Host- oder Netztabellen in den Speichern der Ursprungs- und Zieltunnelungsbrücken (oder Ursprungs- und Zielhosts, je nachdem) wäre eine beliebige Information, die ein oder mehrere vorbestimmte Kriterien identifiziert, mit denen der Ursprungshost oder die Ursprungstunnelungsbrücke ermittelt, ob ein bestimmtes Datenpaket zu verschlüsseln ist. Solche Kriterien brauchen nicht nur Ursprungs- und Zielinformationen zu sein, sondern könnten auch Paketinhalt, Sendezeit, Gegenstandsheaderinformation, Benutzer-ID, Anwesenheit eines Schlüsselworts (wie z.B. „Verschlüsseln") im Text des Pakets oder andere Kriterien beinhalten.
  • Betriebsart 3 verwendet eine Datenstruktur 406 wie in 10 gezeigt, die mit der Datenstruktur 402 identisch ist, mit Ausnahme des Zusatzes von Feld 460, das die Tunnelungsbrückenkennung enthält, die dieselbe ist wie die oben in Bezug auf Betriebsart 2 erörterte Tunnelungsbrückenkennung.
  • In dieser Ausgestaltung, wie in Betriebsart 1, beinhaltet Feld 450 die ursprünglichen Host-IP-Adressen für die Ursprungs- und Ziel-Hosts (nicht die Adressen der Netzwerke wie in Betriebsart 2), und somit kann ein Beobachter eines Pakets in Betriebsart 3 sowohl den ursprünglichen Sender des Datenpakets als auch den beabsichtigten Empfänger ermitteln. Beide Betriebsarten enthalten genügend Informationen zum Leiten von Paketen durch ein Internet zur Tunnelungsbrücke eines Empfängernetzes zur Entschlüsselung und schließlich zur Lieferung zum Empfangshost.
  • Betriebsart 3A kann die in 8 gezeigte Datenstruktur in Zusammenhang mit einer Netzkonfiguration wie der in den 3 oder 12 gezeigten verwenden. Die Mechanismen und relativen Vorteile sind mit den oben für Betriebsart 2A beschriebenen identisch, während die Struktur die Ursprungs- und Zielhostadressen offenbart.
  • Welcher Encapsulation-Header in Box 260 auch hinzukommt (siehe 6), das Paket wird in Box 270 zum Zielnetz gesendet. In Box 280 fängt die Tunnelungsbrücke (hier TB2 wie in 3 gezeigt) des Zielnetzes das Paket ab, was mit einer Anweisungsroutine geschieht, mit der alle Pakete abgefangen und auf Encapsulation-Header-Informationen untersucht werden, die Verschlüsselung anzeigen.
  • Somit wird in Box 290 der Encapsulation-Header des Pakets gelesen und in Box 300 wird ermittelt, ob das Paket verschlüsselt war. Wenn eine Tunnelungsbrückenkennung einen Teil des eingekapselten Pakets bildet, dann werden das Verschlüsselungsverfahren und der Entschlüsselungskey anhand der lokalen Tabellen der Zieltunnelungsbrücke (oder der Zielhosts, im Fall von Betriebsart 1) ermittelt.
  • Wenn am Paket keine Verschlüsselung durchgeführt wurde, dann wird es ohne weitere Maßnahme zum richtigen Host weitergesendet, wie in Box 340 angedeutet ist. Ansonsten wird das Verschlüsselungsverfahren ermittelt (Box 320) und das Paket wird entsprechend entschlüsselt (Box 330) und dann weitergesendet (Box 340).

Claims (20)

  1. Verfahren zum Verschlüsseln von Datenpaketen, die über ein Verbindungsnetz von einem Ursprungshostcomputer (A) auf einem ersten Computernetz (N1) mit einer Brücke (TB1) zu einem Zielhostcomputer (B) gesendet wurden, der potentiell Teil eines zweiten Computernetzes (N2) ist, wobei das Verfahren die folgenden Schritte umfasst: Empfangen eines Datenpakets (400) von dem Ursprungshostcomputer (A) in dem ersten Computernetz (N1) an der Brücke für die Übertragung zum Zielhostcomputer (B), wobei das Datenpaket (400) einen Originalheaderabschnitt (420) und einen Originaldatenabschnitt (410) beinhaltet, wobei der Originalheaderabschnitt (420) eine den Ursprungshostcomputer (A) identifizierende Ursprungskennung und eine den Zielhostcomputer identifizierende Zielkennung beinhaltet; Ermitteln in der Brücke (TB1), wenigstens teilweise auf der Basis der Bezugnahme auf die Ursprungs- und/oder die Zielkennung, ob das Datenpaket (400) verschlüsselt werden soll; und Verschlüsseln des Datenpakets (400) zum Erzeugen eines verschlüsselten Datenpakets; wobei das Verfahren dadurch gekennzeichnet ist, dass: die Verschlüsselung des Datenpakets die Verschlüsselung sowohl des Originaldatenabschnitts (410) als auch das Originalheaderabschnitts (420) beinhaltet; es den Schritt des Erzeugens eines Encapsulation-Headers (430, 432, 434) und Anhängens des Encapsulation-Headers an das verschlüsselte Datenpaket beinhaltet, um ein modifiziertes Datenpaket (402, 404, 406) zu erzeugen, wobei der Encapsulation-Header eine Verbindungsnetzrundsendeadresse beinhaltet, die mit dem ersten und/oder dem zweiten Netzwerk (N1, N2) assoziiert ist, so dass das modifizierte Datenpaket (402, 404, 406) den Encapsulation-Header (430, 432, 434) und einen verschlüsselten Abschnitt hat, der verschlüsselte Versionen des Originalheaderabschnitts und des Originaldatenabschnitts beinhaltet.
  2. Verfahren nach Anspruch 1, wobei der Encapsulation-Header die Verbindungsnetzrundsendeadresse des ersten Computernetzes (N1) als Ursprungskennung für den Ursprungshostcomputer (A) beinhaltet.
  3. Verfahren nach Anspruch 1 oder 2, wobei der Encapsulation-Header (430, 432, 434) die Verbindungsnetzrundsendeadresse des zweiten Computernetzes (N2) als Zielkennung für den Zielhostcomputer (B) beinhaltet.
  4. Verfahren nach einem der vorherigen Ansprüche, wobei die Ursprungskennung im Originalheaderabschnitt (420) die Adresse des Ursprungshostcomputers (A) ist.
  5. Verfahren nach einem der vorherigen Ansprüche, wobei die Zielkennung im Originalheaderabschnitt (420) die Adresse des Zielhostcomputers (B) ist.
  6. Verfahren nach einem der vorherigen Ansprüche, ferner umfassend: Empfangen des modifizierten Datenpakets (402, 404, 406) an einer zweiten Brücke (TB2); Ermitteln in der zweiten Brücke (TB2), nach Bezugnahme auf die Ursprungs- und/oder Zielkennung im Encapsulation-Header (432, 434, 436), ob das Datenpaket verschlüsselt ist; und Entschlüsseln des Datenpakets in der zweiten Brücke (TB2), um ein entschlüsseltes Datenpaket zu erzeugen, wobei der entschlüsselte Originalheaderabschnitt nach dem Entschlüsseln als Header für das entschlüsselte Datenpaket verwendet wird; und Weiterleiten des entschlüsselten Pakets zum Zielhostcomputer (B).
  7. Verfahren nach einem der vorherigen Ansprüche, wobei der Encapsulation-Header (432, 434, 436) ferner Key-Management-Informationen (440) beinhaltet, die den Verschlüsselungsmechanismus identifizieren, der zum Verschlüsseln des Datenpakets verwendet wurde.
  8. Verfahren nach einem der vorherigen Ansprüche, wobei die Ermittlung, dass das Datenpaket (400) verschlüsselt werden soll, wenigstens teilweise auf einer Bezugnahme auf eine Datenstruktur basiert, die Ursprünge und/oder Ziele identifiziert, für die Sicherheit erforderlich ist.
  9. Verfahren zum Entschlüsseln von Datenpaketen, umfassend die folgenden Schritte: Empfangen eines verschlüsselten Datenpakets (400) von einem Ursprung (A) für ein Ziel (B); Ermitteln, ob das Datenpaket (400) verschlüsselt ist; und Entschlüsseln des Datenpakets (400) zum Erzeugen eines entschlüsselten Datenpakets, dadurch gekennzeichnet, dass: dem verschlüsselten Datenpaket ein Encapsulation-Header (430, 432, 434) gegeben wird, der eine Ursprungskennung und eine Zielkennung speichert, von denen wenigstens eine eine Rundsendeadresse ist; der Schritt des Ermittelns, ob das Datenpaket verschlüsselt ist, nach Bezugnahme auf die Ursprungs- und/oder Zielkennung erfolgt; das verschlüsselte Datenpaket einen verschlüsselten Headerabschnitt (420) und einen verschlüsselten Datenabschnitt (410) beinhaltet; und der entschlüsselte Headerabschnitt (420) nach dem Entschlüsseln als Header für das entschlüsselte Datenpaket (400) verwendet wird.
  10. Verfahren nach Anspruch 9, wobei die Empfangs-, Ermittlungs- und Verschlüsselungsschritte alle von einer Brücke (TB2) ausgeführt werden, die mit einem Netzwerk (N2) assoziiert ist, das das Ziel (B) beinhaltet, wobei das Verfahren ferner das Weiterleiten des entschlüsselten Datenpakets (400) zum Ziel umfasst.
  11. Verfahren nach Anspruch 9 oder Anspruch 10, wobei der Encapsulation-Header (430, 432, 434) ferner Key-Management-Informationen beinhaltet, die den Verschlüsselungsmechanismus identifizieren, der zum Verschlüsseln des Datenpakets verwendet wurde.
  12. Brücke (TB1) für die Verwendung in einem Computernetz (N1), wobei die Brücke die Aufgabe hat, von dem Netzwerk (N1) gesendete und empfangene Pakete (400) zu leiten und automatisch durch die Brücke (TB1) passierende selektierte Pakete (400) zu verschlüsseln, wobei die Pakete (400) einen Headerabschnitt (420) und einen Datenabschnitt (410) haben, wobei die Brücke Folgendes umfasst: einen Verschlüsselungsmechanismus zum Verschlüsseln selektierter Pakete (400); Mittel zum Ermitteln auf der Basis von wenigstens teilweise einem Ursprung und/oder einem Ziel, der/das im Headerabschnitt (420) des gewählten Pakets (400) identifiziert wurde, ob ein durch eine Brücke passierendes selektiertes Paket (400) verschlüsselt werden soll; dadurch gekennzeichnet, dass: der Verschlüsselungsmechanismus die Aufgabe hat, ein gesamtes Paket (400) einschließlich Headerabschnitt (420) und Datenabschnitt (410) zu verschlüsseln; und Mittel zum Anhängen eines Encapsulation-Headers (430, 432, 434) an die verschlüsselten Pakete, wobei der Encapsulation-Header (430, 432, 434) eine Rundsendeadresse für eine Ursprungskennung und/oder eine Zielkennung für das Paket (400) hat, wobei sich die in dem Encapsulation-Header verwendete Rundsendeadresse von der Korrespondenzursprungs- oder -zielkennung in dem selektierten Paket (400) unterscheidet.
  13. Brücke nach Anspruch 12, ferner umfassend Sicherheitsinformationen, die im Speicher in der Brücke (TB1) gespeichert sind und spezifische Ursprünge und/oder Ziele identifizieren, für die Sicherheit erforderlich ist, wobei die Sicherheitsinformationen zum Ermitteln verwendet werden, ob ein selektiertes Paket (400) verschlüsselt werden soll.
  14. Brücke nach Anspruch 12 oder 13, die ferner Folgendes umfasst: Mittel zum Ermitteln, nach Bezugnahme auf die Ursprungs- und/oder Zielkennung in dem Encapsulation-Header (430, 432, 434), ob ein empfangenes Datenpaket (400) verschlüsselt ist; einen Entschlüsselungsmechanismus zum Entschlüsseln eines empfangenen Paketes; und Mittel zum Weiterleiten eines entschlüsselten Paketes zu einem Rechenknoten (B) auf der Basis einer entschlüsselten Zieladresse.
  15. Brücke nach einem der Ansprüche 12 bis 14, ferner umfassend Mittel zum Einsetzen von Key-Management-Informationen in den Encapsulation-Header, die das zum Verschlüsseln des Pakets (400) verwendete Verschlüsselungsverfahren identifizieren.
  16. Brücke nach einem der Ansprüche 12 bis 15, die ferner eine Tabelle beinhaltet, die Ursprungs- und Zieladressen identifiziert, die verschlüsselt werden müssen.
  17. Erstes Netzwerk (N1) mit einer Mehrzahl von Rechenknoten und einer Brücke (TB1) nach einem der Ansprüche 12 bis 16.
  18. System, umfassend ein erstes Netzwerk nach Anspruch 17 und ein zweites Netzwerk (N2) mit einer zweiten Brücke (TB2) und einer zweiten Mehrzahl von Rechenknoten, wobei die zweite Brücke (TB2) Folgendes umfasst: Mittel zum Ermitteln nach Bezugnahme auf die Ursprungs- und/oder Zielkennung in dem Encapsulation-Header, ob ein empfangenes Datenpaket (430, 432, 434, 400) verschlüsselt ist; einen Entschlüsselungsmechanismus zum Entschlüsseln des empfangenen Pakets; und Mittel zum Weiterleiten des entschlüsselten Pakets (400) zu einem Rechenknoten in dem zweiten Netzwerk (N2) auf der Basis einer entschlüsselten Zieladresse.
  19. Brücke (TB2) für die Verwendung in einem Computernetz, wobei die Brücke (TB2) die Aufgabe hat, von dem Netzwerk gesendete und empfangene Pakete (400) zu leiten und automatisch durch die Brücke passierende selektierte Pakete zu entschlüsseln, dadurch gekennzeichnet, dass die Brücke die Aufgabe hat, Datenpakete (400) mit einem Encapsulation-Headerabschnitt (430, 432, 434) und einem verschlüsselten Abschnitt zu entschlüsseln, der einen verschlüsselten Header (420) und einen verschlüsselten Datenabschnitt (410) beinhaltet; und dadurch, dass die Brücke ferner Folgendes umfasst: Mittel zum Ermitteln, ob ein durch die Brücke passierendes selektiertes Paket (400) entschlüsselt werden soll, auf der Basis von wenigstens einer Ursprungs- und/oder einer Zielkennung in dem Encapsulation-Headerabschnitt (430, 432, 434) des selektierten Pakets, die eine Rundsendeadresse ist; einen Entschlüsselungsmechanismus zum Entschlüsseln von Paketen (400), die entschlüsselt werden müssen, wobei der Entschlüsselungsmechanismus den Encapsulation-Header (430, 432, 434) eliminiert und so ein entschlüsseltes Paket bildet, das einen Headerabschnitt (420) und einen Datenabschnitt (410) hat; und Mittel zum Weiterleiten von entschlüsselten Paketen (400) zur Zieladresse, die in dem entschlüsselten Paket identifiziert ist.
  20. Brücke nach Anspruch 19, wobei der Entschlüsselungsmechanismus Pakete mit einer Mehrzahl von verschiedenen Verschlüsselungsalgorithmen entschlüsseln kann, wobei die Brücke ferner Mittel zum Erfassen von Key-Informationen in dem Encapsulation-Header (430, 432, 434) umfasst, um den zum Entschlüsseln des Pakets zu verwendenden Entschlüsselungsalgorithmus zu identifizieren.
DE69533953T 1994-09-15 1995-09-14 System für signaturlose Übertragung und Empfang von Datenpaketen zwischen Computernetzwerken Expired - Fee Related DE69533953T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/306,337 US5548646A (en) 1994-09-15 1994-09-15 System for signatureless transmission and reception of data packets between computer networks
US306337 1994-09-15

Publications (2)

Publication Number Publication Date
DE69533953D1 DE69533953D1 (de) 2005-03-03
DE69533953T2 true DE69533953T2 (de) 2006-04-06

Family

ID=23184846

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69533953T Expired - Fee Related DE69533953T2 (de) 1994-09-15 1995-09-14 System für signaturlose Übertragung und Empfang von Datenpaketen zwischen Computernetzwerken

Country Status (5)

Country Link
US (2) US5548646A (de)
EP (1) EP0702477B1 (de)
JP (1) JPH0927804A (de)
KR (1) KR100388606B1 (de)
DE (1) DE69533953T2 (de)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11388072B2 (en) * 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11431744B2 (en) 2018-02-09 2022-08-30 Extrahop Networks, Inc. Detection of denial of service attacks
US11438247B2 (en) 2019-08-05 2022-09-06 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11463299B2 (en) 2018-02-07 2022-10-04 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US11463465B2 (en) 2019-09-04 2022-10-04 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11496378B2 (en) 2018-08-09 2022-11-08 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US11546153B2 (en) 2017-03-22 2023-01-03 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US11665207B2 (en) 2017-10-25 2023-05-30 Extrahop Networks, Inc. Inline secret sharing
US11706233B2 (en) 2019-05-28 2023-07-18 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
US11916771B2 (en) 2021-09-23 2024-02-27 Extrahop Networks, Inc. Combining passive network analysis and active probing

Families Citing this family (392)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5862260A (en) 1993-11-18 1999-01-19 Digimarc Corporation Methods for surveying dissemination of proprietary empirical data
US5841886A (en) 1993-11-18 1998-11-24 Digimarc Corporation Security system for photographic identification
US5832119C1 (en) 1993-11-18 2002-03-05 Digimarc Corp Methods for controlling systems using control signals embedded in empirical data
US6611607B1 (en) 1993-11-18 2003-08-26 Digimarc Corporation Integrating digital watermarks in multimedia content
US6122403A (en) 1995-07-27 2000-09-19 Digimarc Corporation Computer system linked by using information in data objects
US6408082B1 (en) 1996-04-25 2002-06-18 Digimarc Corporation Watermark detection using a fourier mellin transform
US5822436A (en) 1996-04-25 1998-10-13 Digimarc Corporation Photographic products and methods employing embedded information
US5768426A (en) 1993-11-18 1998-06-16 Digimarc Corporation Graphics processing system employing embedded code signals
US6614914B1 (en) 1995-05-08 2003-09-02 Digimarc Corporation Watermark embedder and reader
US7171016B1 (en) 1993-11-18 2007-01-30 Digimarc Corporation Method for monitoring internet dissemination of image, video and/or audio files
US6424725B1 (en) 1996-05-16 2002-07-23 Digimarc Corporation Determining transformations of media signals with embedded code signals
US6516079B1 (en) 2000-02-14 2003-02-04 Digimarc Corporation Digital watermark screening and detecting strategies
US6983051B1 (en) 1993-11-18 2006-01-03 Digimarc Corporation Methods for audio watermarking and decoding
US6580819B1 (en) 1993-11-18 2003-06-17 Digimarc Corporation Methods of producing security documents having digitally encoded data and documents employing same
US5748763A (en) 1993-11-18 1998-05-05 Digimarc Corporation Image steganography system featuring perceptually adaptive and globally scalable signal embedding
US6522770B1 (en) 1999-05-19 2003-02-18 Digimarc Corporation Management of documents and other objects using optical devices
US5588060A (en) * 1994-06-10 1996-12-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols
EP0693836A1 (de) * 1994-06-10 1996-01-24 Sun Microsystems, Inc. Verfahren und Einrichtung für ein Schlüsselmanagementschema für Internet-Protokolle
US5864683A (en) 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
US6560349B1 (en) 1994-10-21 2003-05-06 Digimarc Corporation Audio monitoring using steganographic information
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
JP4008049B2 (ja) * 1995-03-20 2007-11-14 富士通株式会社 アドレス送信装置、アドレス送信方法およびアドレス送信システム
US6721440B2 (en) 1995-05-08 2004-04-13 Digimarc Corporation Low visibility watermarks using an out-of-phase color
US6760463B2 (en) 1995-05-08 2004-07-06 Digimarc Corporation Watermarking methods and media
US6744906B2 (en) 1995-05-08 2004-06-01 Digimarc Corporation Methods and systems using multiple watermarks
US6041166A (en) * 1995-07-14 2000-03-21 3Com Corp. Virtual network architecture for connectionless LAN backbone
US6577746B1 (en) 1999-12-28 2003-06-10 Digimarc Corporation Watermark-based object linking and embedding
US6788800B1 (en) 2000-07-25 2004-09-07 Digimarc Corporation Authenticating objects using embedded data
US6829368B2 (en) 2000-01-26 2004-12-07 Digimarc Corporation Establishing and interacting with on-line media collections using identifiers in media signals
JP3590143B2 (ja) * 1995-07-28 2004-11-17 株式会社東芝 電子メール転送装置
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
JPH0991358A (ja) * 1995-09-28 1997-04-04 Fujitsu Ltd 情報提供装置および方法
US5768391A (en) * 1995-12-22 1998-06-16 Mci Corporation System and method for ensuring user privacy in network communications
US5784566A (en) * 1996-01-11 1998-07-21 Oracle Corporation System and method for negotiating security services and algorithms for communication across a computer network
WO1997026734A1 (en) * 1996-01-16 1997-07-24 Raptor Systems, Inc. Transferring encrypted packets over a public network
WO1997026735A1 (en) * 1996-01-16 1997-07-24 Raptor Systems, Inc. Key management for network communication
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US5918018A (en) 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US7100069B1 (en) * 1996-02-16 2006-08-29 G&H Nevada-Tek Method and apparatus for controlling a computer over a wide area network
US6173332B1 (en) 1996-03-06 2001-01-09 Paul L. Hickman Method and apparatus for computing over a wide area network
US7130888B1 (en) * 1996-02-16 2006-10-31 G&H Nevada-Tek Method and apparatus for controlling a computer over a TCP/IP protocol network
US9094384B2 (en) * 1996-02-16 2015-07-28 Reference Ltd., Limited Liability Company TCP/IP protocol network with satellite nodes
US6003007A (en) * 1996-03-28 1999-12-14 Dirienzo; Andrew L. Attachment integrated claims system and operating method therefor
US9619841B2 (en) 1996-03-28 2017-04-11 Integrated Claims Systems, Llc Systems to assist in the creation, transmission, and processing of health insurance claims
US6381341B1 (en) 1996-05-16 2002-04-30 Digimarc Corporation Watermark encoding method exploiting biases inherent in original signal
US5826023A (en) * 1996-06-03 1998-10-20 International Business Machines Corporation Communications tunneling
US5748736A (en) * 1996-06-14 1998-05-05 Mittra; Suvo System and method for secure group communications via multicast or broadcast
US5822434A (en) * 1996-06-19 1998-10-13 Sun Microsystems, Inc. Scheme to allow two computers on a network to upgrade from a non-secured to a secured session
JP3446482B2 (ja) * 1996-06-28 2003-09-16 三菱電機株式会社 暗号化装置
US6754212B1 (en) * 1996-07-12 2004-06-22 Hitachi, Ltd. Repeater and network system utililzing the same
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US6072942A (en) * 1996-09-18 2000-06-06 Secure Computing Corporation System and method of electronic mail filtering using interconnected nodes
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US6229809B1 (en) 1996-10-11 2001-05-08 Novell, Inc. Method and system for combining computer network protocols
US5944823A (en) * 1996-10-21 1999-08-31 International Business Machines Corporations Outside access to computer resources through a firewall
JP4497099B2 (ja) * 1996-11-27 2010-07-07 ソニー株式会社 情報伝送装置
US5915087A (en) * 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
US5864666A (en) * 1996-12-23 1999-01-26 International Business Machines Corporation Web-based administration of IP tunneling on internet firewalls
IL130774A0 (en) 1997-01-03 2001-01-28 Fortress Technologies Inc Improved network security device
US6055575A (en) * 1997-01-28 2000-04-25 Ascend Communications, Inc. Virtual private network system and method
US5812764A (en) * 1997-01-30 1998-09-22 International Business Machines Password management system over a communications network
US6169805B1 (en) 1997-02-28 2001-01-02 International Business Machines Corporation System and method of operation for providing user's security on-demand over insecure networks
EP0968596B1 (de) 1997-03-12 2007-07-18 Nomadix, Inc. Nomadischer übersetzen oder wegesucher
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
WO1999000958A1 (en) * 1997-06-26 1999-01-07 British Telecommunications Plc Data communications
US6816966B1 (en) * 1997-06-30 2004-11-09 Sun Microsystems, Inc. Techniques for securing data flow in internet multicasting
US6671810B1 (en) 1997-09-18 2003-12-30 Intel Corporation Method and system for establishing secure communication over computer networks
US6347338B1 (en) 1997-11-26 2002-02-12 International Business Machines Corporation Precomputed and distributed security system for a communication network
US6345299B2 (en) * 1997-11-26 2002-02-05 International Business Machines Corporation Distributed security system for a communication network
US6098133A (en) * 1997-11-28 2000-08-01 Motorola, Inc. Secure bus arbiter interconnect arrangement
JP3892558B2 (ja) * 1997-12-16 2007-03-14 富士通株式会社 エージェント装置及びプログラム記録媒体
FI108827B (fi) * 1998-01-08 2002-03-28 Nokia Corp Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa
US7054463B2 (en) 1998-01-20 2006-05-30 Digimarc Corporation Data encoding using frail watermarks
US6321336B1 (en) 1998-03-13 2001-11-20 Secure Computing Corporation System and method for redirecting network traffic to provide secure communication
US6188691B1 (en) 1998-03-16 2001-02-13 3Com Corporation Multicast domain virtual local area network
US6453419B1 (en) 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6092108A (en) * 1998-03-19 2000-07-18 Diplacido; Bruno Dynamic threshold packet filtering of application processor frames
US7188358B1 (en) * 1998-03-26 2007-03-06 Nippon Telegraph And Telephone Corporation Email access control scheme for communication network using identification concealment mechanism
US6373986B1 (en) 1998-04-08 2002-04-16 Ncr Corporation Compression of data transmission by use of prime exponents
US6230186B1 (en) * 1998-04-28 2001-05-08 Rhoda Yaker Private electronic message system
JP4273535B2 (ja) * 1998-05-12 2009-06-03 ソニー株式会社 データ伝送制御方法、データ伝送システム、データ受信装置及びデータ送信装置
US6201792B1 (en) 1998-05-14 2001-03-13 3Com Corporation Backpressure responsive multicast queue
US6269076B1 (en) 1998-05-28 2001-07-31 3Com Corporation Method of resolving split virtual LANs utilizing a network management system
US6223149B1 (en) 1998-05-28 2001-04-24 3Com Corporation Non-distributed LAN emulation server redundancy method
US6289017B1 (en) 1998-05-29 2001-09-11 3Com Corporation Method of providing redundancy and load sharing among multiple LECs in an asynchronous mode network
DE19831190C1 (de) * 1998-07-11 1999-10-28 Tracto Technik Vorrichtung und Verfahren zum Längsunterteilen erdverlegter Rohre
US6567914B1 (en) * 1998-07-22 2003-05-20 Entrust Technologies Limited Apparatus and method for reducing transmission bandwidth and storage requirements in a cryptographic security system
US9361243B2 (en) 1998-07-31 2016-06-07 Kom Networks Inc. Method and system for providing restricted access to a storage medium
US8234477B2 (en) 1998-07-31 2012-07-31 Kom Networks, Inc. Method and system for providing restricted access to a storage medium
US6771597B2 (en) 1998-07-31 2004-08-03 International Business Machines Corporation Method and apparatus for transmitting messages
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7010604B1 (en) * 1998-10-30 2006-03-07 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US6839759B2 (en) 1998-10-30 2005-01-04 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US6480891B1 (en) 1999-01-04 2002-11-12 3Com Corporation Embedded code memory size reduction in asynchronous mode transfer devices
JP4838422B2 (ja) * 1999-01-28 2011-12-14 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 伝送システム
US6606706B1 (en) * 1999-02-08 2003-08-12 Nortel Networks Limited Hierarchical multicast traffic security system in an internetwork
US6532237B1 (en) 1999-02-16 2003-03-11 3Com Corporation Apparatus for and method of testing a hierarchical PNNI based ATM network
US6678270B1 (en) * 1999-03-12 2004-01-13 Sandstorm Enterprises, Inc. Packet interception system including arrangement facilitating authentication of intercepted packets
US7349391B2 (en) * 1999-03-19 2008-03-25 F5 Networks, Inc. Tunneling between a bus and a network
US7505455B1 (en) 1999-03-19 2009-03-17 F5 Networks, Inc. Optimizations for tunneling between a bus and a network
WO2000065456A1 (fr) * 1999-04-26 2000-11-02 Outserv Co., Ltd. Systeme de courrier electronique, systeme de transmission/reception de courrier electronique, et support d'enregistrement
AU4706700A (en) * 1999-05-06 2000-11-21 General Dynamics Information Systems, Inc. Transient network architecture
US7778259B1 (en) 1999-05-14 2010-08-17 Dunti Llc Network packet transmission mechanism
US6754214B1 (en) * 1999-07-19 2004-06-22 Dunti, Llc Communication network having packetized security codes and a system for detecting security breach locations within the network
US6470022B1 (en) * 1999-05-19 2002-10-22 3Com Corporation Method of distributing network resources fairly between users in an asynchronous transfer mode network
US6487171B1 (en) 1999-05-19 2002-11-26 3Com Corporation Crossbar switching matrix with broadcast buffering
US6580693B1 (en) 1999-05-24 2003-06-17 3Com Corporation Methods and apparatus for detecting leaks in ATM networks
US6539019B1 (en) 1999-05-24 2003-03-25 3Com Corporation Methods and apparatus for automatically connecting a dynamic host configuration protocol (DHCP) client network device to a virtual local area network (VLAN)
US6574232B1 (en) 1999-05-26 2003-06-03 3Com Corporation Crossbar switch utilizing broadcast buffer and associated broadcast buffer management unit
US6614792B1 (en) 1999-05-27 2003-09-02 3Com Corporation Proxy MPC for providing MPOA services to legacy lane clients in an asynchronous transfer mode network
US6957346B1 (en) 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US20040181668A1 (en) * 1999-06-30 2004-09-16 Blew Edwin O. Methods for conducting server-side encryption/decryption-on-demand
AU6082199A (en) * 1999-09-13 2001-04-30 Nokia Corporation Intelligent data network router
US8190708B1 (en) 1999-10-22 2012-05-29 Nomadix, Inc. Gateway device having an XML interface and associated method
JP3259724B2 (ja) * 1999-11-26 2002-02-25 三菱電機株式会社 暗号装置、暗号化器および復号器
WO2001043369A2 (en) * 1999-12-10 2001-06-14 Sun Microsystems, Inc. Private network using a public-network infrastructure
US7765581B1 (en) 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network
US6870842B1 (en) * 1999-12-10 2005-03-22 Sun Microsystems, Inc. Using multicasting to provide ethernet-like communication behavior to selected peers on a network
US6977929B1 (en) 1999-12-10 2005-12-20 Sun Microsystems, Inc. Method and system for facilitating relocation of devices on a network
US6970941B1 (en) * 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US6938169B1 (en) 1999-12-10 2005-08-30 Sun Microsystems, Inc. Channel-specific file system views in a private network using a public-network infrastructure
US7336790B1 (en) 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
US6798782B1 (en) 1999-12-10 2004-09-28 Sun Microsystems, Inc. Truly anonymous communications using supernets, with the provision of topology hiding
GB9929880D0 (en) * 1999-12-18 2000-02-09 Roke Manor Research Nested TCP/IP protocol enhancement
US6598088B1 (en) * 1999-12-30 2003-07-22 Nortel Networks Corporation Port switch
US7925693B2 (en) * 2000-01-24 2011-04-12 Microsoft Corporation NAT access control with IPSec
US6625297B1 (en) 2000-02-10 2003-09-23 Digimarc Corporation Self-orienting watermarks
US20020023209A1 (en) * 2000-02-14 2002-02-21 Lateca Computer Inc. N.V.United Encryption and decryption of digital messages in packet transmitting networks
US6732209B1 (en) * 2000-03-28 2004-05-04 Juniper Networks, Inc. Data rate division among a plurality of input queues
JP4457474B2 (ja) * 2000-04-04 2010-04-28 ソニー株式会社 情報記録装置、情報再生装置、情報記録方法、情報再生方法、および情報記録媒体、並びにプログラム提供媒体
US7814208B2 (en) * 2000-04-11 2010-10-12 Science Applications International Corporation System and method for projecting content beyond firewalls
US8996705B2 (en) 2000-04-17 2015-03-31 Circadence Corporation Optimization of enhanced network links
US8195823B2 (en) 2000-04-17 2012-06-05 Circadence Corporation Dynamic network link acceleration
US8024481B2 (en) * 2000-04-17 2011-09-20 Circadence Corporation System and method for reducing traffic and congestion on distributed interactive simulation networks
US8510468B2 (en) 2000-04-17 2013-08-13 Ciradence Corporation Route aware network link acceleration
US20110128972A1 (en) 2000-04-17 2011-06-02 Randy Thornton Peer to peer dynamic network link acceleration
US8065399B2 (en) 2000-04-17 2011-11-22 Circadence Corporation Automated network infrastructure test and diagnostic system and method therefor
US7127518B2 (en) 2000-04-17 2006-10-24 Circadence Corporation System and method for implementing application functionality within a network infrastructure
US8898340B2 (en) 2000-04-17 2014-11-25 Circadence Corporation Dynamic network link acceleration for network including wireless communication devices
US6804377B2 (en) 2000-04-19 2004-10-12 Digimarc Corporation Detecting information hidden out-of-phase in color channels
GB2362548B (en) * 2000-05-15 2004-03-24 Vodafone Ltd A method and apparatus for asynchronous information transactions
KR100601634B1 (ko) * 2000-06-07 2006-07-14 삼성전자주식회사 고속 복제 방지 방법
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
GB2369213B (en) 2000-07-04 2005-02-23 Honda Motor Co Ltd Electronic file management system
US7111163B1 (en) 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
JP2002044135A (ja) * 2000-07-25 2002-02-08 Mitsubishi Electric Corp 暗号装置及び暗号通信システム
US6731649B1 (en) 2000-07-26 2004-05-04 Rad Data Communication Ltd. TDM over IP (IP circuit emulation service)
AU2001281015A1 (en) * 2000-08-03 2002-02-18 Itech Group, Inc. Method and system for program guide delivery
US6834342B2 (en) 2000-08-16 2004-12-21 Eecad, Inc. Method and system for secure communication over unstable public connections
US8037530B1 (en) 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
US7870599B2 (en) 2000-09-05 2011-01-11 Netlabs.Com, Inc. Multichannel device utilizing a centralized out-of-band authentication system (COBAS)
KR100741870B1 (ko) * 2000-09-27 2007-07-23 소니 가부시끼 가이샤 홈 네트워크 시스템
KR100382372B1 (ko) * 2000-11-01 2003-05-01 주식회사 익산노즐 산업용 가연기의 합성섬유사 교락장치
US6629103B1 (en) * 2000-11-02 2003-09-30 Oridus, Inc. Method for securely providing a text file for execution
EP1244267B1 (de) * 2000-12-21 2007-02-14 Yasumasa Uyama Verfahren und Vorrichtung zur automatischen Chiffrierung/Dechiffrierung in einem sicheren Kommunikationssystem
US20020083344A1 (en) * 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
JP2003204323A (ja) 2000-12-21 2003-07-18 Yasumasa Uyama 秘密通信方法
US6959346B2 (en) * 2000-12-22 2005-10-25 Mosaid Technologies, Inc. Method and system for packet encryption
US7739497B1 (en) * 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
US9100457B2 (en) 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system
US8077679B2 (en) 2001-03-28 2011-12-13 Qualcomm Incorporated Method and apparatus for providing protocol options in a wireless communication system
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US20020161998A1 (en) * 2001-04-27 2002-10-31 International Business Machines Corporation Method and system for providing hardware cryptography functionality to a data processing system lacking cryptography hardware
US7023996B2 (en) * 2001-05-04 2006-04-04 The Boeing Company Encryption for asymmetric data links
US20020164027A1 (en) * 2001-05-04 2002-11-07 Stephenson Gary V. Compression for asymmetric data links
JP2003051853A (ja) * 2001-08-07 2003-02-21 Matsushita Electric Ind Co Ltd 通信方法及び通信装置
US7983419B2 (en) * 2001-08-09 2011-07-19 Trimble Navigation Limited Wireless device to network server encryption
US7697523B2 (en) 2001-10-03 2010-04-13 Qualcomm Incorporated Method and apparatus for data packet transport in a wireless communication system using an internet protocol
US7352868B2 (en) 2001-10-09 2008-04-01 Philip Hawkes Method and apparatus for security in a data processing system
US7649829B2 (en) 2001-10-12 2010-01-19 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
SE523290C2 (sv) * 2001-10-19 2004-04-06 Smarttrust Systems Oy Metod och anordning i ett kommunikationsnätverk
AU2002357000A1 (en) * 2001-11-23 2003-06-10 Cyberscan Technology, Inc. Method and systems for large scale controlled and secure data downloading
US7444506B1 (en) * 2001-12-28 2008-10-28 Ragula Systems Selective encryption with parallel networks
US6658091B1 (en) 2002-02-01 2003-12-02 @Security Broadband Corp. LIfestyle multimedia security system
US7673136B2 (en) * 2002-02-26 2010-03-02 Stewart Ian A Method for secure multicast repeating on the public Internet
DE60302148T2 (de) * 2002-04-26 2006-05-04 Research In Motion Ltd., Waterloo System und verfahren zur auswahl der nachrichteneinstellungen
EP1503536A1 (de) * 2002-05-09 2005-02-02 Niigata Seimitsu Co., Ltd. Verschlüsselungseinrichtung, verschlüsselungsverfahren und verschlüsselungssystem
CN100341305C (zh) * 2002-11-26 2007-10-03 华为技术有限公司 基于802.1x协议的组播控制方法
US7599655B2 (en) 2003-01-02 2009-10-06 Qualcomm Incorporated Method and apparatus for broadcast services in a communication system
US7543140B2 (en) * 2003-02-26 2009-06-02 Microsoft Corporation Revocation of a certificate and exclusion of other principals in a digital rights management (DRM) system based on a revocation list from a delegated revocation authority
US20050084139A1 (en) * 2003-05-13 2005-04-21 Biocom, Llc Identity verification system with interoperable and interchangeable input devices
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US8718279B2 (en) 2003-07-08 2014-05-06 Qualcomm Incorporated Apparatus and method for a secure broadcast system
US7769994B2 (en) * 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
US8724803B2 (en) 2003-09-02 2014-05-13 Qualcomm Incorporated Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system
TW200529623A (en) * 2004-01-14 2005-09-01 Nec Corp Communication encryption method, communication encryption system, terminal device, DNS server and program
US7711796B2 (en) 2006-06-12 2010-05-04 Icontrol Networks, Inc. Gateway registry methods and systems
US9609003B1 (en) 2007-06-12 2017-03-28 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US20090077623A1 (en) 2005-03-16 2009-03-19 Marc Baum Security Network Integrating Security System and Network Devices
US10375253B2 (en) 2008-08-25 2019-08-06 Icontrol Networks, Inc. Security system with networked touchscreen and gateway
US20170118037A1 (en) 2008-08-11 2017-04-27 Icontrol Networks, Inc. Integrated cloud system for premises automation
US11201755B2 (en) 2004-03-16 2021-12-14 Icontrol Networks, Inc. Premises system management using status signal
US8988221B2 (en) 2005-03-16 2015-03-24 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US10156959B2 (en) 2005-03-16 2018-12-18 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11343380B2 (en) 2004-03-16 2022-05-24 Icontrol Networks, Inc. Premises system automation
US20160065414A1 (en) 2013-06-27 2016-03-03 Ken Sundermeyer Control system user interface
US11677577B2 (en) 2004-03-16 2023-06-13 Icontrol Networks, Inc. Premises system management using status signal
US11113950B2 (en) 2005-03-16 2021-09-07 Icontrol Networks, Inc. Gateway integrated with premises security system
US9191228B2 (en) 2005-03-16 2015-11-17 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11316958B2 (en) 2008-08-11 2022-04-26 Icontrol Networks, Inc. Virtual device systems and methods
US11368429B2 (en) 2004-03-16 2022-06-21 Icontrol Networks, Inc. Premises management configuration and control
US11916870B2 (en) 2004-03-16 2024-02-27 Icontrol Networks, Inc. Gateway registry methods and systems
US10127802B2 (en) 2010-09-28 2018-11-13 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US8635350B2 (en) 2006-06-12 2014-01-21 Icontrol Networks, Inc. IP device discovery systems and methods
US11489812B2 (en) 2004-03-16 2022-11-01 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US11582065B2 (en) 2007-06-12 2023-02-14 Icontrol Networks, Inc. Systems and methods for device communication
US20120066608A1 (en) 2005-03-16 2012-03-15 Ken Sundermeyer Control system user interface
US11159484B2 (en) 2004-03-16 2021-10-26 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US11277465B2 (en) 2004-03-16 2022-03-15 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US10313303B2 (en) 2007-06-12 2019-06-04 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US9531593B2 (en) 2007-06-12 2016-12-27 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US8963713B2 (en) 2005-03-16 2015-02-24 Icontrol Networks, Inc. Integrated security network with security alarm signaling system
US9729342B2 (en) 2010-12-20 2017-08-08 Icontrol Networks, Inc. Defining and implementing sensor triggered response rules
US10522026B2 (en) 2008-08-11 2019-12-31 Icontrol Networks, Inc. Automation system user interface with three-dimensional display
US10721087B2 (en) 2005-03-16 2020-07-21 Icontrol Networks, Inc. Method for networked touchscreen with integrated interfaces
US10444964B2 (en) 2007-06-12 2019-10-15 Icontrol Networks, Inc. Control system user interface
US11811845B2 (en) 2004-03-16 2023-11-07 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US10142392B2 (en) * 2007-01-24 2018-11-27 Icontrol Networks, Inc. Methods and systems for improved system performance
AU2005223267B2 (en) 2004-03-16 2010-12-09 Icontrol Networks, Inc. Premises management system
US10200504B2 (en) 2007-06-12 2019-02-05 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US9141276B2 (en) 2005-03-16 2015-09-22 Icontrol Networks, Inc. Integrated interface for mobile device
US10237237B2 (en) 2007-06-12 2019-03-19 Icontrol Networks, Inc. Communication protocols in integrated systems
US10339791B2 (en) 2007-06-12 2019-07-02 Icontrol Networks, Inc. Security network integrated with premise security system
US11244545B2 (en) 2004-03-16 2022-02-08 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US10382452B1 (en) 2007-06-12 2019-08-13 Icontrol Networks, Inc. Communication protocols in integrated systems
US8458453B1 (en) 2004-06-11 2013-06-04 Dunti Llc Method and apparatus for securing communication over public network
US7546454B2 (en) * 2004-06-30 2009-06-09 At&T Intellectual Property I, L.P. Automated digital certificate discovery and management
US20060034497A1 (en) * 2004-08-15 2006-02-16 Michael Manansala Protometric authentication system
US7730298B2 (en) * 2004-11-22 2010-06-01 Hubspan Inc. Method and apparatus for translating information between computers having different security management
KR100645517B1 (ko) * 2004-12-16 2006-11-15 삼성전자주식회사 가입자 등급에 따른 브이오아이피 호 처리 방법 및 그시스템
JP4759382B2 (ja) * 2004-12-21 2011-08-31 株式会社リコー 通信機器、通信方法、通信プログラム、及び記録媒体
US7552464B2 (en) * 2005-01-29 2009-06-23 Cisco Technology, Inc. Techniques for presenting network identities at a human interface
US11700142B2 (en) 2005-03-16 2023-07-11 Icontrol Networks, Inc. Security network integrating security system and network devices
US10999254B2 (en) 2005-03-16 2021-05-04 Icontrol Networks, Inc. System for data routing in networks
US11615697B2 (en) 2005-03-16 2023-03-28 Icontrol Networks, Inc. Premise management systems and methods
US11496568B2 (en) 2005-03-16 2022-11-08 Icontrol Networks, Inc. Security system with networked touchscreen
US20110128378A1 (en) 2005-03-16 2011-06-02 Reza Raji Modular Electronic Display Platform
US20170180198A1 (en) 2008-08-11 2017-06-22 Marc Baum Forming a security network including integrated security system components
US9306809B2 (en) 2007-06-12 2016-04-05 Icontrol Networks, Inc. Security system with networked touchscreen
US20120324566A1 (en) 2005-03-16 2012-12-20 Marc Baum Takeover Processes In Security Network Integrated With Premise Security System
US8069470B1 (en) * 2005-04-13 2011-11-29 Oracle America, Inc. Identity and authentication in a wireless network
US20060236124A1 (en) * 2005-04-19 2006-10-19 International Business Machines Corporation Method and apparatus for determining whether to encrypt outbound traffic
WO2006116396A2 (en) * 2005-04-26 2006-11-02 Anders Joseph C Voice over internet protocol system and method for processing of telephonic voice over a data network
ATE374400T1 (de) 2005-06-21 2007-10-15 Research In Motion Ltd Automatisierte auswahl und aufnahme einer nachrichtensignatur
US8204039B2 (en) * 2005-11-30 2012-06-19 Symbol Technologies, Inc. System and method for data communication in a wireless network
US20070180237A1 (en) * 2005-12-22 2007-08-02 Cisco Technology, Inc. Apparatus and methods for interaction between message groups and encryption methods
US7894607B1 (en) * 2006-03-10 2011-02-22 Storage Technology Corporation System, method and media drive for selectively encrypting a data packet
US8127145B2 (en) * 2006-03-23 2012-02-28 Harris Corporation Computer architecture for an electronic device providing a secure file system
US8060744B2 (en) * 2006-03-23 2011-11-15 Harris Corporation Computer architecture for an electronic device providing single-level secure access to multi-level secure file system
US8041947B2 (en) * 2006-03-23 2011-10-18 Harris Corporation Computer architecture for an electronic device providing SLS access to MLS file system with trusted loading and protection of program execution memory
US7979714B2 (en) * 2006-06-02 2011-07-12 Harris Corporation Authentication and access control device
US10079839B1 (en) 2007-06-12 2018-09-18 Icontrol Networks, Inc. Activation of gateway device
WO2008001344A2 (en) * 2006-06-27 2008-01-03 Waterfall Solutions Ltd One way secure link
WO2008007432A1 (en) * 2006-07-13 2008-01-17 T T T Kabushikikaisha Relay device
IL177756A (en) * 2006-08-29 2014-11-30 Lior Frenkel Encryption-based protection against attacks
IL180020A (en) * 2006-12-12 2013-03-24 Waterfall Security Solutions Ltd Encryption -and decryption-enabled interfaces
IL180748A (en) * 2007-01-16 2013-03-24 Waterfall Security Solutions Ltd Secure archive
US11706279B2 (en) 2007-01-24 2023-07-18 Icontrol Networks, Inc. Methods and systems for data communication
US7633385B2 (en) 2007-02-28 2009-12-15 Ucontrol, Inc. Method and system for communicating with and controlling an alarm system from a remote server
US8451986B2 (en) 2007-04-23 2013-05-28 Icontrol Networks, Inc. Method and system for automatically providing alternate network access for telecommunications
US10051078B2 (en) 2007-06-12 2018-08-14 Icontrol Networks, Inc. WiFi-to-serial encapsulation in systems
US11316753B2 (en) 2007-06-12 2022-04-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US10616075B2 (en) 2007-06-12 2020-04-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US10666523B2 (en) 2007-06-12 2020-05-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US10389736B2 (en) 2007-06-12 2019-08-20 Icontrol Networks, Inc. Communication protocols in integrated systems
US11646907B2 (en) 2007-06-12 2023-05-09 Icontrol Networks, Inc. Communication protocols in integrated systems
US10498830B2 (en) 2007-06-12 2019-12-03 Icontrol Networks, Inc. Wi-Fi-to-serial encapsulation in systems
US11601810B2 (en) 2007-06-12 2023-03-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US11212192B2 (en) 2007-06-12 2021-12-28 Icontrol Networks, Inc. Communication protocols in integrated systems
US11237714B2 (en) 2007-06-12 2022-02-01 Control Networks, Inc. Control system user interface
US10423309B2 (en) 2007-06-12 2019-09-24 Icontrol Networks, Inc. Device integration framework
US11218878B2 (en) 2007-06-12 2022-01-04 Icontrol Networks, Inc. Communication protocols in integrated systems
US11423756B2 (en) 2007-06-12 2022-08-23 Icontrol Networks, Inc. Communication protocols in integrated systems
US11089122B2 (en) 2007-06-12 2021-08-10 Icontrol Networks, Inc. Controlling data routing among networks
US10523689B2 (en) 2007-06-12 2019-12-31 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11831462B2 (en) 2007-08-24 2023-11-28 Icontrol Networks, Inc. Controlling data routing in premises management systems
US8223205B2 (en) 2007-10-24 2012-07-17 Waterfall Solutions Ltd. Secure implementation of network-based sensors
GB0800838D0 (en) * 2008-01-17 2008-02-27 Eads Defence And Security Syst Secure communication system
US11916928B2 (en) 2008-01-24 2024-02-27 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US8683572B1 (en) 2008-01-24 2014-03-25 Dunti Llc Method and apparatus for providing continuous user verification in a packet-based network
US20090228700A1 (en) * 2009-03-05 2009-09-10 Raytheon Company Internet Gatekeeper Protocol
US9456054B2 (en) 2008-05-16 2016-09-27 Palo Alto Research Center Incorporated Controlling the spread of interests and content in a content centric network
US20170185278A1 (en) 2008-08-11 2017-06-29 Icontrol Networks, Inc. Automation system user interface
US11729255B2 (en) 2008-08-11 2023-08-15 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11758026B2 (en) 2008-08-11 2023-09-12 Icontrol Networks, Inc. Virtual device systems and methods
US11792036B2 (en) 2008-08-11 2023-10-17 Icontrol Networks, Inc. Mobile premises automation platform
US11258625B2 (en) 2008-08-11 2022-02-22 Icontrol Networks, Inc. Mobile premises automation platform
US10530839B2 (en) 2008-08-11 2020-01-07 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US20100146120A1 (en) * 2008-12-09 2010-06-10 Microsoft Corporation Caller-specific visibility masks for networking objects
JP5408608B2 (ja) * 2009-03-02 2014-02-05 公立大学法人大阪市立大学 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム
US8638211B2 (en) 2009-04-30 2014-01-28 Icontrol Networks, Inc. Configurable controller and interface for home SMA, phone and multimedia
US8923293B2 (en) 2009-10-21 2014-12-30 Palo Alto Research Center Incorporated Adaptive multi-interface use for content networking
US9912654B2 (en) * 2009-11-12 2018-03-06 Microsoft Technology Licensing, Llc IP security certificate exchange based on certificate attributes
US8836467B1 (en) 2010-09-28 2014-09-16 Icontrol Networks, Inc. Method, system and apparatus for automated reporting of account and sensor zone information to a central station
US11750414B2 (en) 2010-12-16 2023-09-05 Icontrol Networks, Inc. Bidirectional security sensor communication for a premises security system
US9147337B2 (en) 2010-12-17 2015-09-29 Icontrol Networks, Inc. Method and system for logging security event data
US10135677B1 (en) * 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US10880162B1 (en) 2012-07-06 2020-12-29 Cradlepoint, Inc. Linking logical broadcast domains
US9992062B1 (en) 2012-07-06 2018-06-05 Cradlepoint, Inc. Implicit traffic engineering
US10110417B1 (en) 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
US9118495B1 (en) 2012-07-06 2015-08-25 Pertino, Inc. Communication between broadcast domains
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US10601653B2 (en) 2012-07-06 2020-03-24 Cradlepoint, Inc. Implicit traffic engineering
US9635037B2 (en) 2012-09-06 2017-04-25 Waterfall Security Solutions Ltd. Remote control of secure installations
US9271188B2 (en) 2012-12-18 2016-02-23 At&T Intellectual Property I, L.P. Dynamic in-band service control mechanism in mobile network
US10104060B2 (en) * 2013-01-30 2018-10-16 Hewlett Packard Enterprise Development Lp Authenticating applications to a network service
US9326144B2 (en) 2013-02-21 2016-04-26 Fortinet, Inc. Restricting broadcast and multicast traffic in a wireless network to a VLAN
US9419975B2 (en) 2013-04-22 2016-08-16 Waterfall Security Solutions Ltd. Bi-directional communication over a one-way link
KR101491730B1 (ko) * 2013-12-09 2015-02-09 에스케이 텔레콤주식회사 M2m 암호화 서비스 제공 방법 및 그를 위한 장치
US10098051B2 (en) 2014-01-22 2018-10-09 Cisco Technology, Inc. Gateways and routing in software-defined manets
US9954678B2 (en) 2014-02-06 2018-04-24 Cisco Technology, Inc. Content-based transport security
US11146637B2 (en) 2014-03-03 2021-10-12 Icontrol Networks, Inc. Media content management
US11405463B2 (en) 2014-03-03 2022-08-02 Icontrol Networks, Inc. Media content management
US9836540B2 (en) 2014-03-04 2017-12-05 Cisco Technology, Inc. System and method for direct storage access in a content-centric network
US9626413B2 (en) 2014-03-10 2017-04-18 Cisco Systems, Inc. System and method for ranking content popularity in a content-centric network
US9716622B2 (en) 2014-04-01 2017-07-25 Cisco Technology, Inc. System and method for dynamic name configuration in content-centric networks
US9473576B2 (en) 2014-04-07 2016-10-18 Palo Alto Research Center Incorporated Service discovery using collection synchronization with exact names
US9992281B2 (en) 2014-05-01 2018-06-05 Cisco Technology, Inc. Accountable content stores for information centric networks
US9609014B2 (en) 2014-05-22 2017-03-28 Cisco Systems, Inc. Method and apparatus for preventing insertion of malicious content at a named data network router
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US9699198B2 (en) 2014-07-07 2017-07-04 Cisco Technology, Inc. System and method for parallel secure content bootstrapping in content-centric networks
US9621354B2 (en) 2014-07-17 2017-04-11 Cisco Systems, Inc. Reconstructable content objects
US9729616B2 (en) 2014-07-18 2017-08-08 Cisco Technology, Inc. Reputation-based strategy for forwarding and responding to interests over a content centric network
US9590887B2 (en) 2014-07-18 2017-03-07 Cisco Systems, Inc. Method and system for keeping interest alive in a content centric network
US9882964B2 (en) 2014-08-08 2018-01-30 Cisco Technology, Inc. Explicit strategy feedback in name-based forwarding
US9503365B2 (en) * 2014-08-11 2016-11-22 Palo Alto Research Center Incorporated Reputation-based instruction processing over an information centric network
US9729662B2 (en) 2014-08-11 2017-08-08 Cisco Technology, Inc. Probabilistic lazy-forwarding technique without validation in a content centric network
US9800637B2 (en) 2014-08-19 2017-10-24 Cisco Technology, Inc. System and method for all-in-one content stream in content-centric networks
IL235175A (en) 2014-10-19 2017-08-31 Frenkel Lior Secure desktop remote control
US10069933B2 (en) 2014-10-23 2018-09-04 Cisco Technology, Inc. System and method for creating virtual interfaces based on network characteristics
US9590948B2 (en) 2014-12-15 2017-03-07 Cisco Systems, Inc. CCN routing using hardware-assisted hash tables
US10237189B2 (en) 2014-12-16 2019-03-19 Cisco Technology, Inc. System and method for distance-based interest forwarding
US10003520B2 (en) 2014-12-22 2018-06-19 Cisco Technology, Inc. System and method for efficient name-based content routing using link-state information in information-centric networks
US9660825B2 (en) 2014-12-24 2017-05-23 Cisco Technology, Inc. System and method for multi-source multicasting in content-centric networks
US9946743B2 (en) 2015-01-12 2018-04-17 Cisco Technology, Inc. Order encoded manifests in a content centric network
US9916457B2 (en) 2015-01-12 2018-03-13 Cisco Technology, Inc. Decoupled name security binding for CCN objects
US9832291B2 (en) 2015-01-12 2017-11-28 Cisco Technology, Inc. Auto-configurable transport stack
US9954795B2 (en) 2015-01-12 2018-04-24 Cisco Technology, Inc. Resource allocation using CCN manifests
US10333840B2 (en) 2015-02-06 2019-06-25 Cisco Technology, Inc. System and method for on-demand content exchange with adaptive naming in information-centric networks
US10075401B2 (en) 2015-03-18 2018-09-11 Cisco Technology, Inc. Pending interest table behavior
US10075402B2 (en) 2015-06-24 2018-09-11 Cisco Technology, Inc. Flexible command and control in content centric networks
US10701038B2 (en) 2015-07-27 2020-06-30 Cisco Technology, Inc. Content negotiation in a content centric network
US9986034B2 (en) 2015-08-03 2018-05-29 Cisco Technology, Inc. Transferring state in content centric network stacks
US9832123B2 (en) 2015-09-11 2017-11-28 Cisco Technology, Inc. Network named fragments in a content centric network
US10355999B2 (en) 2015-09-23 2019-07-16 Cisco Technology, Inc. Flow control with network named fragments
US9977809B2 (en) 2015-09-24 2018-05-22 Cisco Technology, Inc. Information and data framework in a content centric network
US10313227B2 (en) 2015-09-24 2019-06-04 Cisco Technology, Inc. System and method for eliminating undetected interest looping in information-centric networks
US10454820B2 (en) 2015-09-29 2019-10-22 Cisco Technology, Inc. System and method for stateless information-centric networking
US10263965B2 (en) 2015-10-16 2019-04-16 Cisco Technology, Inc. Encrypted CCNx
US9912776B2 (en) 2015-12-02 2018-03-06 Cisco Technology, Inc. Explicit content deletion commands in a content centric network
US10097346B2 (en) 2015-12-09 2018-10-09 Cisco Technology, Inc. Key catalogs in a content centric network
US10257271B2 (en) 2016-01-11 2019-04-09 Cisco Technology, Inc. Chandra-Toueg consensus in a content centric network
US10305864B2 (en) 2016-01-25 2019-05-28 Cisco Technology, Inc. Method and system for interest encryption in a content centric network
IL250010B (en) 2016-02-14 2020-04-30 Waterfall Security Solutions Ltd Secure connection with protected facilities
US10043016B2 (en) 2016-02-29 2018-08-07 Cisco Technology, Inc. Method and system for name encryption agreement in a content centric network
US10051071B2 (en) 2016-03-04 2018-08-14 Cisco Technology, Inc. Method and system for collecting historical network information in a content centric network
US10003507B2 (en) 2016-03-04 2018-06-19 Cisco Technology, Inc. Transport session state protocol
US10742596B2 (en) 2016-03-04 2020-08-11 Cisco Technology, Inc. Method and system for reducing a collision probability of hash-based names using a publisher identifier
US10264099B2 (en) 2016-03-07 2019-04-16 Cisco Technology, Inc. Method and system for content closures in a content centric network
US10067948B2 (en) 2016-03-18 2018-09-04 Cisco Technology, Inc. Data deduping in content centric networking manifests
US10091330B2 (en) 2016-03-23 2018-10-02 Cisco Technology, Inc. Interest scheduling by an information and data framework in a content centric network
US10320760B2 (en) * 2016-04-01 2019-06-11 Cisco Technology, Inc. Method and system for mutating and caching content in a content centric network
US9930146B2 (en) 2016-04-04 2018-03-27 Cisco Technology, Inc. System and method for compressing content centric networking messages
US10425503B2 (en) 2016-04-07 2019-09-24 Cisco Technology, Inc. Shared pending interest table in a content centric network
US10063414B2 (en) 2016-05-13 2018-08-28 Cisco Technology, Inc. Updating a transport stack in a content centric network
US10084764B2 (en) 2016-05-13 2018-09-25 Cisco Technology, Inc. System for a secure encryption proxy in a content centric network
US10103989B2 (en) 2016-06-13 2018-10-16 Cisco Technology, Inc. Content object return messages in a content centric network
US10305865B2 (en) 2016-06-21 2019-05-28 Cisco Technology, Inc. Permutation-based content encryption with manifests in a content centric network
US10148572B2 (en) 2016-06-27 2018-12-04 Cisco Technology, Inc. Method and system for interest groups in a content centric network
US10009266B2 (en) 2016-07-05 2018-06-26 Cisco Technology, Inc. Method and system for reference counted pending interest tables in a content centric network
US9992097B2 (en) 2016-07-11 2018-06-05 Cisco Technology, Inc. System and method for piggybacking routing information in interests in a content centric network
US10122624B2 (en) 2016-07-25 2018-11-06 Cisco Technology, Inc. System and method for ephemeral entries in a forwarding information base in a content centric network
US10069729B2 (en) 2016-08-08 2018-09-04 Cisco Technology, Inc. System and method for throttling traffic based on a forwarding information base in a content centric network
US10956412B2 (en) 2016-08-09 2021-03-23 Cisco Technology, Inc. Method and system for conjunctive normal form attribute matching in a content centric network
US10033642B2 (en) 2016-09-19 2018-07-24 Cisco Technology, Inc. System and method for making optimal routing decisions based on device-specific parameters in a content centric network
US10212248B2 (en) 2016-10-03 2019-02-19 Cisco Technology, Inc. Cache management on high availability routers in a content centric network
US10447805B2 (en) 2016-10-10 2019-10-15 Cisco Technology, Inc. Distributed consensus in a content centric network
US10135948B2 (en) 2016-10-31 2018-11-20 Cisco Technology, Inc. System and method for process migration in a content centric network
US10243851B2 (en) 2016-11-21 2019-03-26 Cisco Technology, Inc. System and method for forwarder connection information in a content centric network
CN111628972A (zh) * 2020-04-30 2020-09-04 京东数字科技控股有限公司 一种数据加解密装置、方法、系统及存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63311830A (ja) * 1987-06-15 1988-12-20 Nec Corp ロ−カルエリア・ネットワ−クのブリッジ装置
GB8927623D0 (en) * 1989-12-06 1990-02-07 Bicc Plc Repeaters for secure local area networks
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
GB9015799D0 (en) * 1990-07-18 1991-06-12 Plessey Telecomm A data communication system
JP3111468B2 (ja) * 1990-10-17 2000-11-20 富士通株式会社 通信秘匿方式
JPH0669962A (ja) * 1992-08-17 1994-03-11 Fuji Xerox Co Ltd ネットワーク接続装置およびネットワーク通信方式
US5442708A (en) * 1993-03-09 1995-08-15 Uunet Technologies, Inc. Computer network encryption/decryption device
US5444782A (en) * 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11546153B2 (en) 2017-03-22 2023-01-03 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US11665207B2 (en) 2017-10-25 2023-05-30 Extrahop Networks, Inc. Inline secret sharing
US11463299B2 (en) 2018-02-07 2022-10-04 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US11431744B2 (en) 2018-02-09 2022-08-30 Extrahop Networks, Inc. Detection of denial of service attacks
US11496378B2 (en) 2018-08-09 2022-11-08 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US11706233B2 (en) 2019-05-28 2023-07-18 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11438247B2 (en) 2019-08-05 2022-09-06 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) * 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11652714B2 (en) 2019-08-05 2023-05-16 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11463465B2 (en) 2019-09-04 2022-10-04 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11558413B2 (en) 2020-09-23 2023-01-17 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11916771B2 (en) 2021-09-23 2024-02-27 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Also Published As

Publication number Publication date
JPH0927804A (ja) 1997-01-28
EP0702477A3 (de) 1999-07-28
USRE39360E1 (en) 2006-10-17
EP0702477A2 (de) 1996-03-20
DE69533953D1 (de) 2005-03-03
KR960012819A (ko) 1996-04-20
US5548646A (en) 1996-08-20
EP0702477B1 (de) 2005-01-26
KR100388606B1 (ko) 2003-11-05

Similar Documents

Publication Publication Date Title
DE69533953T2 (de) System für signaturlose Übertragung und Empfang von Datenpaketen zwischen Computernetzwerken
DE60026451T2 (de) Informationsverteilungsvorrichtung, Informationsempfangsgerät und Informationsverteilungsverfahren
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE60317296T2 (de) Sicherheitsprozessorspiegelung
DE112010003149B4 (de) Gemeinschaftliche Verschlüsselung und Entschlüsselung durch Agenten
DE602005000943T2 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Inhalten mit Urheberschutz
DE60027046T2 (de) Synchronisierung von sitzungsschlüsseln
DE60311800T2 (de) Verfahren und vorrichtung zur verbesserung der netzwerkleitweglenkung
EP3518492B1 (de) Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
DE112013000649B4 (de) Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE102015003235A1 (de) Verfahren und System zum Bereitstellen von Kommunikationskanälen, welche verschiedene sichere Kommunikationsprotokolle verwenden
DE19721949C2 (de) Chiffriervorrichtung
EP2062400B1 (de) Verfahren und system zur adressierung und zum routing bei verschlüsselten kommunikationsbeziehungen
DE102009032465B4 (de) Sicherheit in Netzwerken
DE69636513T2 (de) System zur sicherung des flusses und zur selektiven veränderung von paketen in einem rechnernetz
DE602004010577T2 (de) System und Verfahren zur individuellen Video-Verschlüsselung
EP3149913B1 (de) System und verfahren für eine sichere und anonyme kommunikation in einem netzwerk
DE102006003167B3 (de) Sichere Echtzeit-Kommunikation
EP3520351B1 (de) Vorrichtung und verfahren zur durchgängigen und medienübergreifenden übertragung von kommunikationsprotokollen ohne protokollumsetzung
DE102006036165B3 (de) Verfahren zur Etablierung eines geheimen Schlüssels zwischen zwei Knoten in einem Kommunikationsnetzwerk
EP2830277B1 (de) Verfahren und system zur manipulationssicheren übertragung von datenpaketen
EP4014424B1 (de) Verfahren zum verarbeiten von telegrammen in einem automatisierungsnetzwerk, automatisierungsnetzwerk, masterteilnehmer und slaveteilnehmer
WO2002035763A2 (de) Modul zur sicheren übertragung von daten
DE202020005698U1 (de) Netzwerkeinrichtung zum Korrelieren von durch eine Proxy-Einrichtung fließenden Netzwerk-Datenströmen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee