DE19740547B4 - Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität - Google Patents
Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität Download PDFInfo
- Publication number
- DE19740547B4 DE19740547B4 DE19740547A DE19740547A DE19740547B4 DE 19740547 B4 DE19740547 B4 DE 19740547B4 DE 19740547 A DE19740547 A DE 19740547A DE 19740547 A DE19740547 A DE 19740547A DE 19740547 B4 DE19740547 B4 DE 19740547B4
- Authority
- DE
- Germany
- Prior art keywords
- entity
- communication
- firewall
- requesting entity
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/326—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/327—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the session layer [OSI layer 5]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/328—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the presentation layer [OSI layer 6]
Abstract
Vorrichtung
zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden
Entität und
einer bedienenden Entität,
mit:
– Mitteln zum Annehmen einer Verbindungsanforderung der anfordernden Entität, welche eine Verbindung zu der bedienenden Entität anfordert,
– Mitteln zum Aufbauen einer auf einer Vielzahl von unterschiedlichen Schichten arbeitenden Sitzungs-Verbindung mit der anfordernden Entität,
– Mitteln zum Überprüfen der Kommunikation von der anfordernden Entität hinsichtlich der Übereinstimmung mit einem selektierten Kommunikationsprotokoll auf den oberen der Vielzahl von unterschiedlichen Schichten,
– Mitteln zum Aufbauen einer Sitzungs-Verbindung mit der bedienenden Entität, falls durch die Mittel zum Überprüfen der Kommunikation Übereinstimmung mit dem selektierten Kommunikationsprotokoll festgestellt wurde, und
– Mitteln zum Vermitteln der Kommunikation zwischen der anfordernden Entität und der bedienenden Entität auf der Transportschicht, wenn beide Verbindungen aufgebaut sind,
wobei die Vorrichtung so ausgebildet ist, dass sie für die beiden Entitäten transparent erscheint.
– Mitteln zum Annehmen einer Verbindungsanforderung der anfordernden Entität, welche eine Verbindung zu der bedienenden Entität anfordert,
– Mitteln zum Aufbauen einer auf einer Vielzahl von unterschiedlichen Schichten arbeitenden Sitzungs-Verbindung mit der anfordernden Entität,
– Mitteln zum Überprüfen der Kommunikation von der anfordernden Entität hinsichtlich der Übereinstimmung mit einem selektierten Kommunikationsprotokoll auf den oberen der Vielzahl von unterschiedlichen Schichten,
– Mitteln zum Aufbauen einer Sitzungs-Verbindung mit der bedienenden Entität, falls durch die Mittel zum Überprüfen der Kommunikation Übereinstimmung mit dem selektierten Kommunikationsprotokoll festgestellt wurde, und
– Mitteln zum Vermitteln der Kommunikation zwischen der anfordernden Entität und der bedienenden Entität auf der Transportschicht, wenn beide Verbindungen aufgebaut sind,
wobei die Vorrichtung so ausgebildet ist, dass sie für die beiden Entitäten transparent erscheint.
Description
- Die Erfindung betrifft eine Vorrichtung und ein Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität.
- Die
EP 0 203 424 A2 offenbart ein Verfahren und eine Schaltungsanordnung zum Überprüfen der Berechtigung des Zugangs zu einem Signalverarbeitungssystem. In diesem Stand der Technik wird die Verwendung eines bestimmten Schlüsselwortes für jede periphere Einrichtung offenbart, um den Zugang zu autorisieren. - Netzwerke verbinden mehrere Computer untereinander and erlauben ihnen, Daten über Kommunikationsleitungen auszutauschen. Verschiedene Standards, die festlegen, wie ein solcher Datenaustausch stattfindet, wurden entwickelt and implementiert, um sicherzustellen, dass Computer and Computerprogramme, welche die gleichen Protokolle verwenden, erfolgreich Daten austauschen können. Eines der mit der Fähigkeit zum Austauschen von Daten einhergehenden Probleme ist, sicherzustellen, dass eine Anforderungs-Entität, wie ein Benutzer in einem Netzwerk, autorisiert ist, auf Daten in einer Server-Entität, wie einem anderen Computer, zuzugreifen.
- Firewalls sind Vorrichtungen wie Programme oder separate Computer-Systeme, welche eingesetzt werden, um die Sicherheitsprobleme anzusprechen, die einhergehen mit dem Verbinden eines einerseits privaten Netzwerkes wie einem lokalen Netz (Local-Area-Network), welches Computer in einem Büro verbindet, mit einem "Internet", wobei die Datenübertragungen offen sind zum Abhören und das Potential für "feindliche" Außenseiter vorhanden ist, Netzwerkdienste zu unterbrechen oder zu manipulieren oder Systeme anzugreifen, die in dem privaten Netzwerk vorhanden sind.
- Es gibt eine Anzahl unterschiedlicher Klassen von Firewalls, die jeweils ausgebildet sind, um unterschiedlichen Arten von Sicherheitsbedürfnissen zu entsprechen. Trotz der unterschiedlichen Ansätze führen alle Firewalls eine Funktion aus, die als "Übermitteln" bekannt ist, wobei Protokoll-Daten-Einheiten (PDUs) durch den Firewall von einer Sende-Entität empfangen werden und zu einer Empfangs-Entität weitergeleitet werden, möglicherweise mit einigen Modifikationen an der ursprünglichen PDU. Da Firewalls ausgebildet sind, um eine Sicherheitspolitik durchzusetzen, müssen einige Informationen oder ein Kontext aus den PDUs extrahiert und einem Regelsatz unterworfen werden. Basierend auf dem Ergebnis der Regelprüfung führt der Firewall einen Vorgang aus; die PDU wird entweder übermittelt, modifiziert und übermittelt oder in verschiedener Weise zurückgewiesen. Der genaue Vorgang wird durch den Designer des Firewalls gewählt, um das Verhalten des Systems so zu beeinflussen, daß die Sicherheitspolitik erfüllt wird. Der Vorgang ist natürlich den Beschränkungen des Protokolls unterworfen, welches der Firewall unterstützt.
- Eine von Anwendungs-Entitäten zum Datenaustausch verwendete Gruppe von Protokollen wird als Open Systems Interconnect (OSI) bezeichnet. OSI-Anwendungen sind aufgebaut auf der Basis eines 7-Schichten-Modells. Oben beginnend wird die Schicht 7 als die Anwendungsschicht bezeichnet, Schicht 6 ist die Präsentationsschicht, 5 die Sitzung, 4 ist der Transport, 3 ist das Netzwerk, 2 ist die Datenverbindung und 1 ist physikalisch. Beginnend am Boden und aufwärts gehend handhabt die physikalische Schicht die Übertragung der Bits über ein Kommunikationsmedium wie eine Telefonleitung. Die Datenverbindungsschicht sammelt die Bits in einer Gruppe von Bits, die als Rahmen bezeichnet wird. Die Netzwerkschicht routet die Rahmen zwischen Knoten in dem Netzwerk, nennt aber die Rahmen Datenpakete. Diese drei unteren Schichten werden durch Kommunikationsgeräte einschließlich Schaltern in dem Netzwerk implementiert. Die Transportschicht behandelt diese Pakete wie Mitteilungen und ist die untere Schicht in einem Computer. Sie befindet sich zwischen der inneren Routing- oder Sitzungs-Schicht in dem Computer und dem Netzwerk. Die Sitzungs-Schicht liefert die Verbindung, welche die unterschiedlichen Datenströme verbindet, wie die Audio- und Videoteile einer Telekonferenz-Anwendung. Die nächsthöhere Schicht ist die Präsentations schicht, welche sich mit dem Format der ausgetauschten Daten befaßt. Schließlich ist die Anwendungsschicht die oberste Schicht und kann, mit Begriffen des Internet, als das File Transfer Protocol (FTP), einen der zum Datenaustausch im Dateiformat im Internet verwendeten Mechanismen, vorgesehen sein.
- Jede Schicht N stellt Dienste für die Schicht oberhalb (Schicht N + 1) bereit und benötigt Dienste der Schicht unterhalb (N – 1). Firewalls arbeiten typisch als ein Protokoll-Peer in einer bestimmten Schicht (z.B. der Transportschicht, N = 4) und übertragen die Protokollinformationen und Daten (PDUs) in der Schicht oder leiten sie weiter. Ein in der Internet-Protokollgruppe arbeitendes Schicht-4-Relais arbeitet in der Transaction Control Protocol (TCP) Protokollschicht und leitet TCP-Segmente (Anwendungsdaten) zwischen kommunizierenden Anwendungs-Entitäten weiter und wird als Protokoll-Peer in der TCP-Schicht betrachtet.
- Für Anwendungen, die ausgebildet sind, um in der Internet-Gruppe zu laufen, ist die Schicht 7 die Anwendungsschicht, wenn sie auf das OSI-Modell übertragen werden, wobei die Schichten 5 und 6 durch das TCP implizit bereitgestellt werden. Somit können Internet-Firewalls anwendungsspezifische Sicherheitsprüfungen ausführen durch einfaches Überwachen der durch die Transportschicht transportierten PDUs. Wenn eine Sicherheitsverletzung erfaßt wird, kann eine bedeutsame, anwendungsspezifische Protokollantwort aus der Kontextinformation erzeugt werden, die während der Sitzung aufgezeichnet wurde. Internet-Firewalls reagieren auf Sicherheitsverletzungen durch Erzeugen einer Reaktion in der Schicht N oder N + 1, wobei N die Schicht ist, in welcher der Firewall als ein Peer (Relais) wirkt. Ein als Schicht-4-Relais wirkender FTP-Firewall kann einen Verbindungsversuch von einem unerwünschten Clienten zurückweisen durch Ausführen eines TCP-Schließen (Schicht-4-Vorgang) oder kann einen Versuch zum Ablegen oder Speichern einer Datei durch eine FTP-Fehlerantwort (Schicht-7-Vorgang) zurückweisen. Es ist anzumerken, daß die Vorgänge der Schichten 5 und 6 implizit durch das TCP bereitgestellt werden.
- Da Internet-Anwendungsprotokolle dazu neigen, textbasiert zu sein, können die Datenerfassungs- und Antwort-Mechanismen von relativ einfachen Parsern und Kodierern aufgebaut werden und benötigen keine große Mengen von zu unterstützender Zustandsinformation. Internet-Firewalls können den Anwendungs-Kontext identifizieren durch Prüfen der Ziel-TCP-Anschlußnummer, an die sich die Client-Internet-Anwendung anzuschließen versucht. Ein Internet-Firewall muß nicht jede Anwendungsschicht-PDU prüfen, um die Art des angeforderten Dienstes zu bestimmen. Ein Internet-Firewall kann z.B. zwischen einer Anforderung des Simple Mail-Transfer-Protocol (SMTP) Dienstes für E-mail von demjenigen des FTP-basierten lediglich anhand der Anschlußnummer unterscheiden. Somit kann ein Internet-Firewall einfach durch Annehmen von Anforderungen, die an den SMTP-Anschluß gerichtet sind, aber Zurückweisen von Anforderungen an den FTP-Anschluß konfiguriert sein, um SMTP zuzulassen, aber FTP zu verweigern.
- Für OSI-Anwendungen ist der Aufbau komplexer. Es wird erwartet, daß OSI-Anwendungen strikt dem 7-Schichten-Modell (keine impliziten Schichten) entsprechen und von den OSI-Sitzungs- und Präsentations-Schichten Gebrauch machen. Jede dieser Schichten führt zusätzliche Zustände in die Sitzung ein und sie wirken als Protokoll-Entitäten mit eigenen Rechten. Ein Fehler in einer höheren Schicht muß über und zu in niedrigeren Schichten vorgesehenen Diensten transportiert werden.
- Während einer Verbindungs-Aufbauphase versuchen die Transportschicht, die Sitzungsschicht und die Präsentationsschicht eine Zuordnung zu ihrem entsprechenden Protokoll-Peer zu bilden und Sitzungs-Parameter auszuhandeln. Die Anwendungsschicht wird tatsächlich aus mehreren Application Service Elements (ASEs) gebildet, von denen jedes Unterstützung für einen anderen Satz zugehöriger Dienste und Protokolle bereitstellt, und sie können zum Bilden von "Unter-Schichten" der Anwendungsschicht angeordnet sein. Gemeinsame ASEs beinhalten das Association Control Service Element (ACSE) und das Remote Operations Service Element (ROSE) und die Kernelemente werden in den meisten OSI-Anwendungen gefunden. ACSE wird verwendet, um Zuordnungen (Verbindungen) aufzubauen und abzubauen und ROSE wird verwendet, um Anforderungen in einer einheitlichen Weise zu transportieren. Das Identifizieren von Benutzer-Ausweisen und Authentifizierungs-Informationen werden mit dem gewählten Protokoll (X.500, X.400 oder FTAM, um einige zu nennen) ausgetauscht, wie der Unterscheidungsname und ein Password oder eine kryptographische Signatur des Benutzers. Der Vorgang des Ausbildens einer OSI-Anwendungsschicht-Zuordnung ist bekannt als Binding.
- Aus dem Aufsatz „Network Firewalls" von Steven M. Bellovin und William R. Cheswick auf den Seiten 50 bis 57 des „IEEE Communication Magazine" von September 1994 ist es bekannt, dass Firewalls gleichzeitig auf verschiedenen OSI-Schichten arbeiten können.
- Sobald eine Anwendung an ihren Protokoll-Peer gebunden ist, wird die Anwendung als „in einer Sitzung (in session)" bezeichnet und die Ausführung tritt in einen Bereitschaftszustand ein, wobei die Anwendungsschicht-PDUs ausgetauscht und verarbeitet werden, bis einer der Anwendungs-Peers das Schließen der Sitzung auslöst. Eine ordentliche Freigabe der Zuordnung wird als Unbindung bezeichnet.
- Sämtliche OSI-Anwendungs-PDUs werden binär übertragen, Anwendungen und Präsentationsschichten werden typisch in einem ASN.1 genannten Format binär kodiert; die Sitzung und die Transportschichten fragmentieren die Information.
- OSI-Anwendungen werden ausgebildet, um in einer Umgebung zu arbeiten, in welcher die OSI-Transportschicht verwendet wird. Ein Verfahren wurde entwickelt, um OSI-Transportdienste zu dem Internet-Stack umzuleiten. Dieses Verfahren ist beschrieben in Internet Request for Comment-RFC-1006, welche auf vielen Servern im Internet in einer Datei mit dem Namen RFC-1006.TXT gespeichert ist. Bei dem RFC-1006-Verfahren wird die OSI-Transportklasse 0 (TPO) selektiert und TP0-PDUs (T-PDU) werden mit einem kurzen Vier-Oktett-Header eingefaßt, der als ein T-Paket (TPKT) bezeichnet wird. Die RFC schlägt vor, daß Server, welche dieses Verfahren implementieren, an dem TCP-Anschluß 102 antworten, welcher für OSI über TCP reserviert wurde, der tatsächlich gewählte Anschluß bleibt jedoch dem Ermessen eines Administrators oder Implementierers vorbehalten.
- Ein IP-transparentes Relais fragt beide Leitungen nach bestimmten, zu sendenden IP-Datenrahmen ab. Die IP-transparente Bridge enthält eine Liste von Netzwerkadressen, die jeder Leitung zugeordnet sind, so daß, wenn einer dieser Rahmen empfangen wird, eine Liste überprüft wird und die IP-Bridge ihn "ergreift" und ihn in dem anderen Netzwerk ablegt. Das Problem bei dieser einfachen IP-transparenten Bridge-Lösung ist, daß sie nur Informationen filtern kann, welche auf den IP-Adressen basieren, die in den Daten enthalten sind. Eine IP-Adressen-Vortäuschung ist sehr leicht, daher ist diese Lösung alleine nicht sicher genug für die Bedürfnisse der Absicherung einer OSI-Anwendung.
- Die transparente Relais-Funktionalität muß wieder höher hinaufbewegt werden, zu diesem Zeitpunkt zu der OSI-Transport-Schicht. Die Transportschicht über IP ist TCP. Eine TCP-transparente Relais-Lösung wartet auf Daten an bestimmten TCP-Anschlüssen. Die TCP-Bridge filtert, basierend auf einem bestimmten TCP-Anschluß, welcher allgemein einer einzelnen Anwendung zugeordnet ist. Das Problem ist jedoch, daß die OSI-Anwendungen nicht darauf ausgerichtet sind, mit jedem bestimmten TCP-Anschluß zu arbeiten. Daher muß die Lösung weiterhin die Daten prüfen, die hindurchlaufen, um sicherzustellen, daß sie mit dem Inhalt übereinstimmen, der von einer Anwendung erwartet wird, die durch ihn kommuniziert. Um die Daten zu verifizieren, muß die TCP-Bridge aber selbst auf die Verbindungsanforderung antworten. Sobald die Antwort empfangen ist, beginnt der Absender, Anwendungsdaten zu der TCP-Bridge zu senden. Die TCP-Bridge prüft dann die Daten und entscheidet, ob sie mit der Form übereinstimmen, die für diese Anwendung erwartet wird. Ist dies der Fall, baut die TCP-Bridge eine unabhängige Sitzung mit dem "realen" Zielgerät auf und leitet die Daten des Senders zu ihm weiter. Das Hinzufügen dieser zusätzlichen Verarbeitung zum Akzeptieren einer Verbindungsanforderung und weiteres Prüfen der Daten beinhaltet die Funktionalität über eine einfache transparente Bridge hinaus. Allgemein ist diese vollständige Kombination von Funktionalität das, was als eine "Proxy"-Lösung bezeichnet wird.
- Internet-Firewalls nähern sich der Frage, wie eine sichere Unterstützung für OSI-Protokolle bereitzustellen ist, unter Verwendung von zwei hauptsächlichen Lösungsansätzen, Anwendungs-Gateways oder Proxies.
- Anwendungs-Gateways sind eine besondere Form von Firewall, wobei der Firewall PDUs in der Anwendungsschicht annimmt und verarbeitet und in dem Netzwerk als ein Protokoll-Peer für den Client und den Server erscheint. Für OSI-Protokolle werden durch den Anwendungs-Gateway alle sieben Schichten verarbeitet und getrennte Anwendungsschicht-Zuordnungen werden zwischen dem Firewall und dem Client und zwischen dem Firewall und dem Server aufrechterhalten. Somit wird der Firewall als "sichtbar" für den Client und den Server bezeichnet, da er eine direkt angesprochene Anwendungs-Entität ist; die Client-Anwendung muß somit darauf achten, wie der Firewall angesprochen wird, um den Server zu erreichen.
- Anwendungs-Gateways sind in der Lage, den vollständigen Kontext der verarbeiteten Information durch ihren Betrieb in der höchsten Schicht aufzunehmen, was ihnen einen deutlichen Vorteil vor traditionellen N-Schicht-Proxies (nachfolgend erläutert) beim Versuch, eine Protokoll-spezifische Sicherheitspolitik durchzusetzen, gibt.
- Für die Internet-Anwendungen bieten Anwendungs-Gateways die höchste Sicherheit und aufgrund der Einfachheit der Protokolle ist es möglich, sie zu implementieren. OSI-Protokolle sind jedoch sehr komplex und betreffen einige Schichten oberhalb der TCP-Schicht. Da der Gateway ein Protokoll-Peer ist, muß er weiterhin auch alle notwendigen Protokollelemente unterstützen, die erforderlich sind, damit er ein tatsächlicher Server für die Anwendung ist.
- Aufgrund der Komplexität der erforderlichen Serviceelemente und der oberen Schichten des OSI-Stacks neigen Anwendungsschicht-Gateways für OSI-Dienste dazu, Implementationen der Anwendungs-Server selbst manchmal mit begrenzter Funktionalität zu sein. Ein Anwendungs-Gateway für ein von der International Telecommunication Union veröffentlichtes, mit X.500 bezeichnetes Kommunikationsprotokoll, nimmt gewöhnlich die Form eines X.500 Directory System Agent (DSA) an, welcher die Server-Komponente von X.500 ist. Der DSA wird modifiziert, um die Sicherheitspolitik-Entscheidungen bei der Unterstützung der Firewall-Funktionalität zu unterstützen.
- Während diese Anordnung das Potential für eine sehr gute Sicherheit bietet, ist die Leistungsfähigkeit ein Problem, da der Firewall die Funktionalität des Servers implementieren oder simulieren muß, welche oft komplexe Berechnungen betrifft, Datenmanipulationen und eine beträchtlichen Menge gespeicherter Statusinformationen. Der Firewall kann große Datenmengen zwischenspeichern müssen, bevor er in der Lage ist, die Daten zu der anderen unabhängigen Anwendungszuordnung zu übermitteln. Die Komplexität dieser Lösung macht es ebenfalls sehr schwierig, die Korrektheit der Implementation zu prüfen und die resultierende Implementation nach Sicherheitslücken und Schwachpunkten zu analysieren.
- Der zweite wesentliche Ansatz betrifft filternde N-Schicht-Relais (Proxies). Ein N-Schicht-Relais wirkt als eine Bridge, welche in einem Netzwerk gesendete PDUs aufnimmt und sie in ein anderes Netzwerk zurücksendet. Diese Vorrichtungen werden als "transparent" bezeichnet, da keine End-Stations-Anwendungs-Entität das Relais wahrnimmt.
- Um als Proxy bezeichnet zu werden, muß ein N-Schicht-Relais eine Firewall-Funktion bei der Unterstützung einer Sicherheitspolitik ausführen. Proxies arbeiten stets unterhalb der Anwendungsschicht und Filter-PDUs, die auf in dieser Schicht sichtbaren Attributen basieren.
- Wenn ein Proxy in einer als eine MAC-Schicht bezeichneten Daten-Verbindungsschicht arbeiten soll, erfaßt er Ethernet-Rahmen und prüft die Adressen in dem MAC-Header und filtert den Nutzteil (IP-Datagramme) zum Bestimmen der Internet-Protokoll-(IP)-Adressen. Das Filtern einer höheren Schicht ist unausführbar, da Daten zwischengespeichert und neu zusammengesetzt werden müssen, um ausreichend Kontext zu erhalten und die Semantik von TCP ist derart, daß nur eine begrenzte Anzahl von Rahmen zwischengespeichert und geprüft werden kann, bevor sie gesendet werden müssen, um weitere zu empfangen. Wenn nur ein teilweiser Sicherheits-Kontext bestimmt wurde, wenn der Puffer-Schwellwert erreicht wurde, müssen die Daten entweder verworfen oder ohne vollständige Validierung gesendet werden, in jedem Fall eine unannehmbare Alternative für eine OSI-Anwendung.
- IP-Schicht-Proxies haben im wesentlichen die gleichen Kennzeichen wie der MAC-Proxy hinsichtlich der Politik und den Beschränkungen. IP-Proxies fassen IP-Datagramme zusammen und können das IP, den Header und gewöhnlich ebenso das TCP filtern. Das IP-Proxy-Firewall-Verhalten ist bei den meisten modernen, kommerziellen Routern verfügbar.
- TCP-Proxies können IP-Adressen, TCP-Anschlußnummern und andere in der TCP-Schicht sichtbare Attribute filtern und TCP-Segmente von einem Netzwerk zu dem anderen weiterleiten. TCP-Proxies können mit einer protokollspezifischen Filterung versehen werden und erscheinen "in-situ", mit in Echtzeit geprüften und weitergeleiteten Anwendungsdaten mit nur einer begrenzten Zwischenspeicherung, gegenüber dem Anwendungs-Gateway, welcher einen vollständigen Anwendungs-Kontext sammelt, bevor er die Daten weiterleitet. Die meisten Firewalls verwenden den Begriff Proxy, um ein TCP-Schicht-Relais zu bezeichnen. Ein TCP-Proxy unterstützt separate TCP-Verbindungen zwischen dem Client und dem Firewall und zwischen dem Firewall und dem Server. Um die Transparenz-Anforderungen zu erfüllen, muß ein TCP-Proxy in der Lage sein, einen Verbindungsversuch von dem Client anstelle des Servers anzunehmen.
- Eine Aufgabe der vorliegenden Erfindung besteht insbesondere darin, eine bessere Leistungsfähigkeit und eine leichtere Konfiguration zu ermöglichen.
- Gemäß einem ersten Aspekt der vorliegenden Erfindung wird vorgeschlagen eine Vorrichtung zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität, mit:
- – Mitteln zum Annehmen einer Verbindungsanforderung der anfordernden Entität, welche eine Verbindung zu der bedienenden Entität anfordert,
- – Mitteln zum Aufbauen einer auf einer Vielzahl von unterschiedlichen Schichten arbeitenden Sitzungs-Verbindung mit der anfordernden Entität,
- – Mitteln zum Überprüfen der Kommunikation von der anfordernden Entität hinsichtlich der Übereinstimmung mit einem selektierten Kommunikationsprotokoll auf den oberen der Vielzahl von unterschiedlichen Schichten,
- – Mitteln zum Aufbauen einer Sitzungs-Verbindung mit der bedienenden Entität, falls durch die Mittel zum Überprüfen der Kommunikation Übereinstimmung mit dem selektierten Kommunikationsprotokoll festgestellt wurde, und
- – Mitteln zum Vermitteln der Kommunikation zwischen der anfordernden Entität und der bedienenden Entität auf der Transportschicht, wenn beide Verbindungen aufgebaut sind,
- Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird vorgeschlagen ein Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität unter Verwendung eines zwischengeschalteten Firewall, mit den Schritten:
- – Annehmen einer Verbindungsanforderung der anfordernden Entität, welche eine Verbindung zu der bedienenden Entität anfordert, durch den Firewall,
- – Aufbauen einer auf einer Vielzahl von unterschiedlichen Schichten arbeitenden Sitzungs-Verbindung zwischen dem Firewall und der anfordernden Entität,
- – Überprüfen der Kommunikation von der anfordernden Entität hinsichtlich der Übereinstimmung mit einem selektierten Kommunikationsprotokoll auf den oberen der Vielzahl von unterschiedlichen Schichten durch den Firewall,
- – falls im voranstehenden Schritt Übereinstimmung mit dem selektierten Kommunikationsprotokoll festgestellt wurde, Aufbauen einer Sitzungs-Verbindung zwischen dem Firewall und der bedienenden Entität und
- – wenn beide Verbindungen aufgebaut sind, Vermitteln der Kommunikation zwischen der anfordernden Entität und der bedienenden Entität durch den Firewall auf der Transportschicht,
- Bevorzugte Ausführungsbeispiele der Erfindung sind in den abhängigen Ansprüchen angegeben.
- Somit wird ein Informationsaustausch zwischen zwei Anwendungs-Entitäten sicher überwacht und gesteuert durch einen Sicherheits-Proxy, welcher in einem Mehrschichten-Kommunikationssystem vorhanden ist. Der Proxy ermittelt Versuche von einem Anforderer, eine Kommunikationssitzung mit einem Server unter Verwendung der unteren Schichten und entsprechend den festgelegten Authentifizierungs-Verfahren aufzubauen. Der Proxy nimmt Anforderer-Verbindungsanforderungen an und baut eine unabhängige Verbindung zu dem Server auf und leitet Kommunikationen in variablen höheren Schichten weiter. Entsprechend einer festgelegten Sicherheitspolitik empfängt in einer Ausführungsform der Proxy transparent Transportpakete und leitet sie weiter. Zusätzlich erfasst der Proxy Sitzungs-Fehlerzustände wie abgefallene Verbindungen und reagiert darauf. Protokolldateneinheiten werden zur Übereinstimmung mit einer Protokoll-Sitzung ermittelt und optional weiterhin dekodiert, um eine zusätzliche anwendungsspezifische Filterung hinzuzufügen.
- In einer Ausführungsform implementiert ein N-Schichten-Kommunikationssystem die 7 Schichten des Open System Interconnect-(OSI)-Protokolls. Der Proxy umfaßt ein Computerprogramm mit einem Verbindungsmanager-Teil und einem Sicherheitsmanager-Teil. Der Proxy wirkt mit Netzwerk-Software zusammen, um einen Kommunikations-Stack zu beeinflussen, um Verbindungsanforderungen an jede Adresse bei bestimmten Anschlüssen zu überwachen. Die Adresse des Anforderers und die Server-Adresse werden anhand einer Zugriffs-Kontrolliste geprüft. Wenn eine der Adressen ungültig ist, schließt der Proxy die Verbindung. Wenn beide gültig sind, wird eine neue Verbindung eingerichtet, so daß der Anforderer und der Server transparent an den Proxy angeschlossen sind. Der Anforderer, der jetzt erwartet, mit dem Server verbunden zu sein, fährt mit der Kommunikation fort und versucht, Verbindungen auf einer höheren Ebene durch Senden einer OSI-Transportanforderung aufzubauen. Der Proxy vermittelt eher den Aufbau der Transportverbindung statt einer aktiven Teilnahme. Die OSI-Transportebenen-Anforderung enthält keine sicherheitsrelevanten Informationen, welche der Proxy abfragen muß und reicht diese Anforderung und die entsprechende Transportantwort daher durch. Der OSI-Proxy faßt jedoch die zwischen dem Client und dem Server während dieser Stufe vereinbarten Verbindungs-Parameter zusammen und zeichnet sie auf.
- Als nächstes tritt der Proxy in die Sitzungs-Aufbauphase ein durch Vermitteln des Aufbaus der Sitzungs-, Präsentations- und Anwendungs-Verbindungen. Der Proxy interpretiert aktiv die Anforderungen für jeden der Dienste der oberen Schichten, wie sie gleichzeitig transportiert und bestätigt werden. Password, unterschiedlicher Name und digitale Signaturen sind sämtlich verfügbar, um die vorhandene Sicherheit zu verbessern.
- Um die Antwort auszuführen, beinhaltet der Proxy Merkmale von Anwendungs-Gateways und Proxies. Um das gewünschte Protokollverhalten zu bewirken, stellt der Proxy seine Verarbeitung derart ein, die Rolle eines Protokoll-Peers in der Schicht, welche für die Antwort geeignet ist, und die Rolle entweder des Auslösers oder des Antwortenden, abhängig davon, auf welcher Seite der Firewall-Vorgang angestoßen wurde, anzunehmen. Der Proxy arbeitet tatsächlich in der Schicht N, wobei N variabel ist, wie durch die Sicherheitspolitik vorgeschrieben, und entsprechend dem erforderlichen Protokollverhalten. Zusätzlich ist die Sicherheitspolitik in dem Sicherheitsmanager im wesentlichen unabhängig von dem Verbindungsmanagementteil des Proxy implementiert.
- Die vorliegende Erfindung bietet eine bessere Leistungsfähigkeit als Anwendungs-Gateways, da eine geringere Verarbeitung erforderlich ist, um Pakete zwischen hohen Ebenen der Protokolle zu übertragen. Sie ist leichter zu konfigurieren und zu verwalten als Anwendungs-Gateways, da es nicht erforderlich ist, das verwendete Kommunikationsprotokoll vollständig zu implementieren. Zusätzlich bietet sie eine höhere Sicherheitsebene als bekannte Proxies und Relais. Ein weiterer Vorteil liegt in der Transparenz des Proxy. Da weder der Anforderer noch der Server den Proxy sieht, sind keine Anforderungen zu modifizieren, um mit dem Proxy zu arbeiten. Ein weiterer Vorteil umfaßt die Fähigkeit, mehrere Anwendungsebenenprotokolle wie X.500-Sitzungen und X.400-Sitzungen mit geringen Änderungen in der Verarbeitung zu verarbeiten oder durchzureichen.
- Es zeigen:
-
1 ein Blockschaltbild eines die vorliegende Erfindung implementierenden Computersystems; -
2 ein kombiniertes Blockschaltbild und logisches Sitzungs-Aufbau-Flußdiagramm einer Ausführungsform der vorliegenden Erfindung; -
3a ein logisches Blockdiagramm der Wechselwirkung zwischen Komponenten der Ausführungsform in2 ; -
3b ein Blockdiagramm, welches Daten und einen Steuerungsfluß zwischen Komponenten der Ausführungsform in2 darstellt; und -
4 ein kombiniertes Blockschaltbild und ein Flußdiagramm eines logischen Sitzungs-Aufbaus einer alternativen Ausführungsform der vorliegenden Erfindung. - In der folgenden detaillierten Beschreibung der bevorzugten Ausführungsformen wird auf die beigefügten Zeichnungen Bezug genommen, welche einen Teil davon bilden, und in welchen bestimmte Ausführungsformen beispielhaft dargestellt sind, in welchen die Erfindung ausführbar ist. Es versteht sich, daß andere Ausführungsformen verwendet werden können und strukturelle Änderungen vorgenommen werden können, ohne vom Umfang der vorliegenden Erfindung abzuweichen.
- Es gab eine Explosion im Wachstum von Computernetzwerken, als Organisationen die Vorteile der Vernetzung ihrer Personalcomputer und Arbeitsplätze erkannten. Zusätzlich fallen diese Netzwerke böswilligen Außenseitern zum Opfer, die in das Netzwerk eindringen, sensitive Informationen lesen und manchmal zerstören. Das solchen Angriffen Ausgesetztsein hat zugenommen, seit Unternehmen an äußere Systeme wie das Internet angeschlossen sind.
- Um sich selbst vor Angriffen durch böswillige Außenseiter zu schützen, gehen Organisationen zu Mechanismen zum Erhöhen der Netzwerksicherheit über. Ein solcher Mechanismus wird beschrieben von Dan Thomsen in "Type Enforcement: the new security model", Proceedings: Multimedia: Full-Service Impact on Business, Education, and the Home, SPIE Ausgabe 2617, Seite 143, August 1996. Thomsen lehrt, daß Modifikationen an dem Kernel eines Betriebssystems vorgenommen werden können, um einen Typ-Durchsetzungs-Schutz hinzuzufügen.
- Die Typ-Durchsetzung fügt eine zusätzliche Schutzebene in den Vorgang des Dateizugriffs ein. Der Grundgedanke der Typ-Durchsetzung ist, jedem Programm nur die Erlaubnisse zu geben, die das Programm benötigt, um seine Aufgabe zu erfüllen. Dieses Konzept wird als "kleinste Privilegien" bezeichnet. Typ-Durchsetzung arbeitet durch Gruppieren von Vorgängen in Klassen, basierend auf dem kleinsten Privileg. Jede Gruppierung wird als ein Bereich bezeichnet. Sämtliche Dateien in dem System sind ebenfalls in Klassen zusammengefaßt, welche als Typen bezeichnet werden, und eine Tabelle (die Bereichs-Definitionstabelle oder DDT) wird geschaffen, welche festlegt, wie ein Vorgang jede Art von Datei ansprechen kann.
- Ein Typ-Durchsetzungs-Ansatz für die Sicherheit ist durchaus hilfreich für das BSD 4.4 UNIX-Betriebssystem, da es bei der ungesicherten Version des Systems, sobald ein Vorgang Privilegien erhält, diese Privilegien nutzen kann, um auf andere Netzwerk-Dateien zuzugreifen. Dies kann zu einem gefährlichen Bruch der Netzwerksicherheit führen.
- Zusätzlich lehrt Thomsen, daß die Typ-Durchsetzung verwendbar ist, um abgesicherte Pipelines zwischen Programmen einzurichten. Die Typ-Durchsetzung erzeugt solch eine abgesicherte Pipeline durch Steuern des Zugriffs zwischen Programmen. D.h., jedes Programm hat nur die Erlaubnis, aus der dem Programm vorausgehenden Stufe zu lesen und in der dem Programm folgenden Stufe zu schreiben. Keine Stufe der Pipeline kann umgangen werden. Thomsen merkt an, daß um abgesicherte Pipelines aufgebaute Anwendungen leichter zu analysieren und ihr sicherer Betrieb zu bestätigen ist.
- Schließlich gibt Thomsen eine Firewall-Anwendung der Typ-Durchsetzung an. Thomsen lehrt, daß ein sicherer Computer verwendet werden kann, um ein privates Netzwerk mit mehreren Arbeitsplätzen an ein öffentliches Netzwerk anzuschließen. Ein auf dem sicheren Computer ablaufendes Protokollpaket wie TCP/IP implementiert ein Kommunikationsprotokoll, das zum Kommunizieren zwischen jedem Arbeitsplatz und dem sicheren Computer verwendet wird. Thomsen lehrt, daß ein doppelter Protokoll-Stack genutzt werden kann, um die Bewegung von Informationen durch den Firewall zu begrenzen. Auf dem sicheren Computer ablaufender Programmcode wird zur Kommunikation durch das private Netzwerk zu dem Arbeitsplatz-Protokollpaket verwendet. Solch ein System wird gegenwärtig unter dem Namen Sidewinder von der Anmelderin verkauft.
- In einer Ausführungsform ist der sichere Computer eine Intel-Pentium-basierte Maschine, die mit einer stabilen Form von BSD386 Unix läuft. Ein System, basierend auf einem 90MHz Pentium-Mikroprozessor mit 32 Megabyte Speicher, 2 Gigabyte Festplatten-Platz, einem DAT-Band zur Sicherung und CD-ROM zum Laden von Software wurde als adäquat festgestellt. Ebenso wird auf dem sicheren Computer ablaufender Programmcode durch eine Schnittstelle zu einem öffentlichen Netzwerk zur Kommunikation mit einem öffentlichen Netzwerk wie dem Internet verwendet. In einer Internet-Ausführungsform ist der zum Kommunizieren mit dem Internet verwendete Programmcode Teil eines Satzes von Internet-Protokollen, welche mit Computern im Internet durch eine Internet-Verbindung kommunizieren. In einer Ausführungsform können beim Kommunizieren mit unterschiedlichen Entitäten im Internet unterschiedliche Protokolle verwendet werden. In einer Ausführungsform wird ein in den Internet-Protokollen arbeitendes äußeres Mantel-Paket (Top Wrapper Package) verwendet, um auf dem externen, öffentlichen Netzwerk aufzusitzen, so daß Informationen über externe Probleme aufgezeichnet werden können.
- Die vorliegende Erfindung ist eine Erweiterung des Sidewinder-Produktes. Wie in
1 allgemein bei110 gezeigt, umfaßt ein Computersystem einen Prozessor112 , der an einen wahlfreien Zugriffsspeicher RAM114 gekoppelt ist. Während nur ein einzelner Bus116 gezeigt ist, welcher den RAM114 und den Prozessor112 mit einem Kommunikationsanschluß118 und einem Disk-Laufwerk oder einem anderen Speichermedium120 verbindet, ist für den Durchschnittsfachmann erkennbar, daß er mehrere unterschiedliche Busse in einer Standard-Personalcomputerarchitektur repräsentiert. Der Kommunikationsanschluß repräsentiert verschiedene Kommunikationsoptionen in Computersystemen, wie Ethernet-Karten, Modems und andere Kommunikations-Geräte. - In
2 ist eine Computerprogrammerweiterung für das Sidewinder-Produkt allgemein mit210 bezeichnet. Das Computerprogramm ist allgemein auf dem Disk-Laufwerk120 gespeichert und läuft ab oder wird ausgeführt durch den Prozessor112 aus dem RAM114 . Es ist anzumerken, daß das Disk-Laufwerk120 hier verwendet wird, um unterschiedliche Speichermedien darzustellen, durch welche das Computerprogramm210 gespeichert und verteilt werden kann. Es stellt ebenfalls ein Kommunikationsmedium dar, auf welchem das Programm vorübergehend gespeichert werden kann, während es zu dem Computersystem110 übertragen wird. Das Computerprogramm210 umfaßt weiterhin einen Proxy212 , welcher verwendet wird, um Kommunikationen zu verarbeiten, welche mit unterschiedlichen Arten von OSI-Anwendungsprotokollen, wie dem gezeigten X.500-Protokoll, übereinstimmen. Weiterhin sind in2 ein Client214 und ein Server216 gezeigt, für welche Verbindungen und Datenübertragungen weiter unten beschrieben werden. - Das Sidewinder-Sicherheitssystem weist besondere TCP/IP-Netzwerk-Modifikationen auf, welche es erlauben, eine TCP-Verbindungsanforderung anzunehmen, auch wenn die Daten nicht an das System adressiert sind. Das Sidewinder kann die Daten verifizieren und eine weitere, unabhängige Sitzung mit dem realen Zielgerät unter Verwendung der innerhalb der Originalanforderung des Senders festgelegten Zieladresse aufbauen. Dies ist das zum Implementieren der transparenten Funktionalität für die meisten Sidewinder-Anwendungen genutzte Verfahren.
- Die Verwendung eines solchen TCP-Proxy ist ausreichend, um zwei End-Stationen zu erlauben, unter Verwendung von OSI-Anwendungen über TCP/IP zu kommunizieren. Es ist jedoch nicht sehr sicher. OSI-basierte Anwendungen arbeiten unter Verwendung von vier 14) weiteren Schichten von OSI-Protokollen, wie in
3a erkennbar ist: Transport-, Sitzungs-, Präsentations- und Anwendungs-Diensten; und dann schließlich der Anwendungsdaten (wie FTAM, X.400, X.500, etc.). Wie in dieser Darstellung des Computerprogramms erkennbar ist, arbeitet der Proxy in den oberen Schichten von OSI, während das Relais Transportdaten in der Transportschicht überträgt. - In
3b sind Darstellungen von Modulen und Komponenten des Proxy gezeigt. Ein Client überträgt Transportdaten oder PDUs zu einem TCP-Stack in dem Programm. Der Stack leitet die Daten zu dem Relais weiter, welches sie wiederum zu einem Verbindungs-Manager weiterleitet. Der Verbindungsmanager arbeitet mit einer Sicherheitsüberwachung, welche die Daten auf Übereinstimmung mit vorbestimmten Bedingungen, die oben und weiter unten beschrieben sind, überwacht. Sie liefert dann Steuerungsinformationen zu dem Verbindungs-Manager, welcher wiederum das Relais steuert und es anweist, ob es Verbindungen durch einen weiten Stack zu einem Server aufbauen soll. - Aufgrund der allgemein öffentlich angenommenen TPO-OSI-Transportdienste über TCP/IP kann ein TSAP verwendet werden. TSAP ist der Begriff, der benutzt wird, um die Zuordnung zwischen einem Sitzungs-Anbieter und einem bestimmten Transport-Endpunkt (vergleichbar mit dem Konzept der Anschlüsse bei TCP) zu beschreiben. Dies ist ebenfalls zutreffend für die OSI-Sitzungs-(SSAPs genannt) und die OSI-Präsentations-(PSAPs genannt)-Dienste. Wie bei TCP sind TSAP-, SSAP- und PSAP-Definitionen für besondere Anwendungen nicht direkt einer bestimmten Anwendung zugewiesen. Diese bleiben übrig für die einzelnen Anwendungs-Administratoren.
- Ebenso wie bei TCP verwenden OSI-TPO-Sitzungs- und Präsentations-Protokolle sämtlich ein formales Verbindungs/Unterbrechungs-Protokoll. Jedoch nur in dem Fall von OSI-TPO müssen die Verbindungen aufgebaut sein, bevor Daten gesendet werden können. OSI-Sitzungs- und OSI-Präsentations-Schichten erlauben den Benutzern, Daten in die aktuelle Verbindungsanforderung einzuschließen. Dies beseitigt die Notwendigkeit zum Senden einer Verbindungsanforderung, Warten auf Antwort ... Senden einer Verbindungsanforderung, Warten auf Antwort ... in diesen zwei Schichten.
- Eine einfache Lösung scheint das Aufbauen eines Proxy, welcher verifiziert, daß die TCP-Daten OSI-Transport- und/oder OSI-Sitzungs-Protokolldaten enthalten. Hierin liegt jedoch das Sicherheitsproblem. Dies läßt die Tür offen für eine End-Station, um durch den Proxy unter Verwendung jeder Art von OSI-Anwendungsprotokoll (d.h., FTAM, X.400, X.500, etc.) zu kommunizieren. Um dieses auszugleichen muß der Proxy den Präsentations-Kontext innerhalb der Präsentations-Verbindungsanforderung prüfen. Der Präsentations-Kontext identifiziert die erwartungsgemäß zu nutzenden OSI-Anwendungs-Entitäten während dieser Sitzung. Der Proxy kann dann ausreichend sicher sein, daß diese Sitzung mit der erwarteten Anwendung kommuniziert.
- Wenn der Proxy jedoch die Präsentations-Kontexte verifizieren soll, dann müssen mehr Daten geprüft werden und ein Informationsaustausch muß zwischen dem Anforderer und dem Proxy stattfinden. Genauso, wie es bei TCP stattfindet, muß der Proxy auf die OSI-Transport-Verbindungsanforderung antworten, auch wenn sie nicht an ihn adressiert ist. Dies soll das anfragende Gerät veranlassen, den Sitzungs- und Präsentations-Verbindungsanforderungsrahmen zu senden, welcher eine Identifizierung der Anwendung beinhaltet. Der Proxy kann jetzt die Präsentations-Kontexte verifizieren und eine Sitzung mit dem Zielgerät initiieren.
- Um die Proxy-Verarbeitung zu vervollständigen und sicherzustellen, daß nur bestimmte OSI-Anwendungsdaten zu den Sitzungen weitergeleitet werden, prüft die Proxy-Software schließlich kontinuierlich die OSI-Anwendungsebenen-Protokolle innerhalb der Datenrahmen. Z.B. verifiziert in einer Ausführungsform ein X.500-Proxy, daß während der Sitzung ausgetauschte Daten mit einem bestimmten X.500-Protokoll übereinstimmen. Der Proxy erfüllt jetzt die oben beschriebenen Anforderungen. Der Proxy antwortet auf Client- und Server-Anforderungen an andere Systeme, evaluiert die Anforderung und baut separate Verbindungen mit dem Zielsystem auf. Dies alles geschieht transparent für die End-Stationen, auf welchen Anwendungs-Entitäten ablaufen, da sich in den Geräten nichts ändert. Alle Adressen (IP, OSI TSAP, OSI SSAP etc.) und Software bleiben gleich.
- Diese Lösung ist ebenfalls sehr vielseitig, da der Proxy modifiziert ist, um die meisten OSI-Anwendungsebenenprotokolle "durchzureichen". Er verarbeitet z.B. X.400-Sitzungen (wie ein P7-Client zur Mitteilungs-Speicherung) in gleicher Weise mit geringfügigen Änderungen in der Verarbeitung. Zusätzlich erlaubt er die Unterstützung von X.500 DISP-Sitzungen durch das System. Dies ist mit der vollständigen DSA-Anwendungs-Gateway-Lösung nicht möglich.
- Der X.500-Proxy erlaubt allen X.500-definierten Protokollen, einschließlich dem Directory Service Protocol (DSP), Directory Access Protocol (DAP), Directory Information System Protocol (DISP) und dem Directory Operational Binding Management Protocol (DOP), bei den X.500-Geräten den Sidewinder zu durchlaufen. Der X.500-Proxy stellt eine oder mehrere der folgenden Funktionen bereit, welche in den in
3b gezeigten Komponenten verteilt sind: - – Ermitteln aller hereinkommenden Anforderungen für neue X.500-Sitzungen, um die Übereinstimmung mit konfigurierten Authentifizierungs-Verfahren sicherzustellen.
- – Authentifizieren der Signatur und X.500-Zertifikate, die in dem strengen Authentifizierungs-BIND-Vorgang zum Sitzungsaufbau zwischen Geräten vorgesehen sind.
- – Ermitteln und Filtern von Protokoll-Dateneinheiten (PDUs) zur Übereinstimmung mit OSI-Protokollen.
- – Erfassen von Sitzungs-Fehlerbedingungen wie abgefallenen Verbindungen.
- – Bereitstellen von Filterfunktionen für die X.500-Vorgangs-Attribut- und Wertebasierten Sitzungs-PDUs.
- Sobald eine Verbindung zwischen zwei Geräten in unterschiedlichen Netzwerken aufgebaut ist, leitet der Proxy alle X.500-PDUs (Anforderungen und ihre Antworten) transparent zu den zwei Geräten weiter. Daten-Elemente werden zum Prüfen der Übereinstimmung mit der initiierten Protokoll-Sitzung dekodiert, es wird jedoch keine weitere Ermittlung während der Sitzung ausgeführt. Eine zusätzliche Filterung kann bei Bedarf ausgeführt werden.
- Bei der Verwendung dieses Proxy-Aufbaus müssen weder der Client noch der Server irgendwelche Konfigurationsinformationen oder Software ändern, um den Firewall zu implementieren. Das ist der Grund, warum diese Lösung als "transparent" bezeichnet wird. In einer alternativen Ausführungsform maskieren (verstecken) der Anforderer, der Server oder beide Systeme ihre Adressen voreinander durch Ansprechen des Sidewinder als Server.
- Es gibt zwei Hauptkomponenten der vorliegenden Erfindung. Die Proxy-Kommunikationskomponente, welche die Verbindungen zwischen den zwei Geräten in jedem Netzwerk handhabt, und die Filterkomponente. Es gibt drei beschriebene Proxy-Kommunikationskomponenten-Ausführungsformen:
- – 1: OSI-Transportschicht-Proxy mit "transparenter Bridge"
- – 2: OSI-Transportschicht-Proxy mit "transparenter Bridge" mit vorbestimmten Transportschicht-Antworten (positive und negative)
- – 3: OSI-Sitzungsschicht-Proxy mit "transparenter Bridge" (dies bedeutet vollständige Transportschicht-Dienste)
- Der Proxy mit transparenter Bridge arbeitet direkt über den TCP/IP-Protokoll-Stack, wie in
2 gezeigt. Die Proxy-Software hat eine Schnittstelle mit TCP/IP unter Verwendung der Sockel-Bibliothek und weist den TCP/IP-Stack an, auf TCP-Verbindungsanforderungen an jede IP-Adresse an bestimmten Anschlüssen (wie 102, 17003, etc.) zu warten. Kommunikationsschritte zwischen dem Client214 , dem Proxy212 und dem Server216 sind zwischen jedem Block gezeigt und in einem Kreis nahe einer Beschreibung jedes Schrittes entsprechend der Reihenfolge, in welcher sie durch das Programm210 gesteuert werden, numeriert. - Die Sidewinder-TCP/IP-Software antwortet auf die Verbindungsanforderung und leitet die rufende Information zu dem Proxy weiter. Der Proxy verwendet diese Information zum Prüfen der Anforderer-IP-Adresse (Quelle) und der Server-IP-Adresse (Ziel) anhand einer Zugriffs-Steuerungsliste (ACL). Wenn eine Adresse ungültig ist, schließt der Proxy die Verbindung. Wenn beide Adressen gültig sind, versucht der Proxy, eine neue Verbindung mit dem Server in dem Ziel-Netzwerk aufzubauen. Der Anforderer bemerkt nichts von dieser unabhängig stattfindenden Verbindung. Soweit er betroffen ist, hat er bereits die Kommunikation mit dem Ziel-Server begonnen. Der Anforderer sollte in dem Vorgang sein, eine OSI-Transport(T_CONNECT)-Anforderung zu senden. Der Proxy verifiziert diese Anforderung, um sicherzustellen, daß es ein T_CONNECT ist, und leitet sie einfach zu dem Server weiter. Der Server sendet dann eine T_CONNECT-Antwort, welche verifiziert und direkt zurück zu dem Anforderer weitergeleitet wird. Als nächstes soll der Anforderer einen Rahmen mit der Sitzungs-Verbindungsanforderung, der Präsentations-Verbindungsanforderung (welche die Anwendungs-Kontexte beinhaltet) und der X.500-Protokoll-BIND-Anforderung senden.
- Diese X.500-BIND-Anforderung enthält die Authentifizierungsinformation, die der X.500-Server benötigt, um zu identifizieren, daß dieser Benutzer auf die Datenbank dieses Directory-Servers zugreifen darf. Die X.500-BIND kann drei (3) unterschiedliche Formen der Authentifizierung enthalten: keine, einfach und streng. Keine bedeutet, daß der Benutzer keinerlei Authentifizierung liefert. Einfach bedeutet, daß der Benutzer sich selbst identifiziert hat und ein Klartext-Passwort für den Server liefert, um sich selbst zu verifizieren. Streng bedeutet, daß eine Form eines verschlüsselten Passwortes, der X.500-Servername oder Authentifizierungsinformationen und meistens eine Form einer digitalen Signatur vorhanden sind. Der Proxy übergibt diese BIND-PDU zu der Filterkomponente zum Verifizieren. Die Proxy-Filterkomponente handhabt alle drei BIND-Möglichkeiten. Das Filter unterstützt eine Konfigurationsdatei, welche enthält, welche Art von Authentifizierung zugelassen ist, wer zugelassen ist und welche mögliche Zurückweisung bei einem Fehler zurückgegeben wird. Die Filterkomponente verarbeitet dann das BIND und gibt den Status zu der Kommunikationskomponente zurück. Basierend auf dem Status kann der Proxy das BIND zu dem X.500-Server weiterleiten oder kann beide Sitzungen abbrechen und die Verbindungen schließen. Der beim Fehler zurückzugebende Status ist konfigurierbar.
- Da der Proxy OSI-Transport-, Sitzungs-, Präsentations-, ACSE- oder ROSE-Schichten nicht implementiert, muß er manuell geeignete Antworten bilden, um eine vorhandene Verbindung zurückzuweisen oder auch möglicherweise abzubrechen. Wenn der Proxy zum Beispiel eine aufgebaute TCP-Verbindung und eine TPO-Verbindung aufweist und dann eine Präsentations-P_CONNECT-Anforderung mit einer ACSE A-ASSOCIATE-Anforderung für einen X.400-Präsentations-Kontext empfängt, muß der Proxy eine Zurückweisung für diese Anforderung erzeugen und die Verbindungen schließen. Der Proxy kann grob sein und einfach die IP-Verbindung schließen, aber dies ist nicht wirklich geeignet. Der Anforderer kann ein Netzwerkproblem annehmen und die Verbindung erneut versuchen. Die geeignet Antwort ist, eine ACSE A-ASSOCIATE-Antwort "zurückgewiesen (dauerhaft)" (rejected (permanently)) aufzubauen. Jetzt werden, da der Proxy eine Antwort erzeugen muß (nicht nur eine von der anderen Seite durchreichen muß), alle geeigneten OSI-Ebenen-Antworten in dieser PDU zusammengefaßt. Dies beinhaltet die Präsentations-P_CONNECT-Antwort mit "Benutzer-Zurückweisungs-Status, den Sitzungs-Ebenen-S-CONNECT-Bestätigungs(Zurückweisungs)-Status" Zurückweisung durch SS-Provider und die Transport-T-DATA-Bestätigung. Dann werden die RFC1006-Antworten erzeugt und schließlich zum Übertragen zum TCP abgegeben. Geeignete Time-Out-Werte werden in dem Fall, daß die Verbindungen verlorengehen, eingestellt, um aufzuräumen. All dies wird ausgeführt, nur um die "korrekte" Antwort zu erzeugen.
- Die zweite Ausführungsform modifiziert die Wirkungsweise der ersten Ausführungsform des Proxy durch Bereitstellen der Möglichkeit für das Sidewinder-System, direkt auf die TCP/IP-Sitzungs- und OSI-Transportverbindungs-Anforderungen des Anforderers zu antworten, um X.500-Kommunikationen zu empfangen, wie in
4 gezeigt. Der Server liefert als nächstes die T-CONNECT-Anforderung zurück, bei welcher der Proxy die BIND (T_DATA und alles), wie von dem Anforderer empfangen, sendet. Der Server soll dann die Anforderung verarbeiten und eine geeignete Antwort zurück zu dem Sidewinder-System liefern. An diesem Punkt muß das Sidewinder-System die Antwort prüfen, um zu bestimmen, ob der Server die BIND-Anforderung annimmt oder zurückweist, und die Antwort für den Client entsprechend handhaben. - Da diese Ausführungsform nicht einen vollständigen Transportschicht-Dienst implementiert, werden einfache generische Antworten auf der Basis dessen, was der Standard-Transportschicht-Dienst bereitstellt, verwendet. Zum Beispiel implementieren gegenwärtige ISODE-Konsortium-Produkte Max-TSDU-Größen von 2041 Bytes. Die fraglichen Parameter sind bei der Systeminstallation mit voreingestellten Werten konfigurierbar und im Sidewinder-Administrationsmodus modifizierbar. Das Problem ist jedoch, daß, sobald der Sidewinder-Proxy eine Größe mit dem Anforderer vereinbart hat, die Transport-Parameter NICHT in der Sidewinder-Zu-Server-Transportverbindung neu vereinbart werden dürfen. Wenn der Server einen der Transport-Parameter herabsetzt, muß diese Verbindung abgebrochen und TCP-Verbindung geschlossen werden, da eine kompatible Verbindung nicht aufgebaut werden kann.
- Die dritte Ausführungsform führt eine "modifizierte" vollständige Transportschicht-Dienstkomponente zum Betrieb zwischen der TCP/IP-Netzwerkschicht und der Proxy-Software ein. Diese Phase erfordert Änderungen bei den Proxy-Komponenten der vorherigen Phase. Die OSI-Transportdienst-Schicht wird portiert und der Proxy zur Verwendung der zum Kommunizieren mit dem OSI-Transportschicht-Dienst verfügbaren API (gegenüber der Sockel-API für TCP/IP) modifiziert.
Claims (15)
- Vorrichtung zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität, mit: – Mitteln zum Annehmen einer Verbindungsanforderung der anfordernden Entität, welche eine Verbindung zu der bedienenden Entität anfordert, – Mitteln zum Aufbauen einer auf einer Vielzahl von unterschiedlichen Schichten arbeitenden Sitzungs-Verbindung mit der anfordernden Entität, – Mitteln zum Überprüfen der Kommunikation von der anfordernden Entität hinsichtlich der Übereinstimmung mit einem selektierten Kommunikationsprotokoll auf den oberen der Vielzahl von unterschiedlichen Schichten, – Mitteln zum Aufbauen einer Sitzungs-Verbindung mit der bedienenden Entität, falls durch die Mittel zum Überprüfen der Kommunikation Übereinstimmung mit dem selektierten Kommunikationsprotokoll festgestellt wurde, und – Mitteln zum Vermitteln der Kommunikation zwischen der anfordernden Entität und der bedienenden Entität auf der Transportschicht, wenn beide Verbindungen aufgebaut sind, wobei die Vorrichtung so ausgebildet ist, dass sie für die beiden Entitäten transparent erscheint.
- Vorrichtung nach Anspruch 1, bei welcher die Mittel zum Überprüfen der Kommunikation so ausgebildet sind, dass sie Protokoll- und Sicherheitsverletzungen auf einer ersten Schicht identifizieren und auf der Vielzahl von unterschiedlichen Schichten antworten.
- Vorrichtung nach Anspruch 2, bei welcher die Mittel zum Annehmen einer Verbindungsanforderung so ausgebildet sind, dass sie eine anfordernde Entität durch Erzeugen einer Antwort auf der Präsentationsschicht, der Sitzungsschicht und der Transportschicht, welche Schichten die Vielzahl von unterschiedlichen Schichten aufweist, zurückweist.
- Vorrichtung nach Anspruch 2 oder 3, bei welcher eine Open-Systems-Interconnect(OSI)-Kommunikation implementiert ist.
- Vorrichtung nach Anspruch 4, bei welcher die Mittel zum Überprüfen der Kommunikation so ausgebildet sind, dass sie Protokollinformationen und Daten (PDUs) in den OSI-Transport-, Sitzungs-, Präsentations- und Anwendungsschichten überwachen, und die Mittel zum Vermitteln der Kommunikation so ausgebildet sind, dass sie derartige Protokollinformationen und Daten zu der bedienenden Entität weiterleiten.
- Vorrichtung nach mindestens einem der vorangegangenen Ansprüche, mit Mitteln zum Überwachen der Verbindungszeit und zum Erfassen von Sitzungsfehlerzuständen.
- Vorrichtung nach mindestens einem der vorangegangenen Ansprüche, welche als ein RFC-1006-Proxy für Open-Systems-Interconnect(OSI)-Anwendungen vorgesehen ist, die Association-Control-Service-Elemente (ACSE) und Remote-Operations-Service-Elemente (ROSE) verwendet.
- Vorrichtung nach mindestens einem der vorangegangenen Ansprüche, bei welcher die Mittel zum Überprüfen der Kommunikation so ausgebildet sind, dass sie von der anfordernden Entität kommunizierte Daten in Übereinstimmung mit unterstützen Protokoll-Standards und Beibehaltung einer festgelegten Sicherheitspolitik überwachen und selektiv modifizieren, wobei die Mittel zum Aufbauen einer Sitzungs-Verbindung unter der Steuerung der Mittel zum Überprüfen der Kommunikation arbeiten.
- Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität unter Verwendung eines zwischengeschalteten Firewall, mit den Schritten: – Annehmen einer Verbindungsanforderung der anfordernden Entität, welche eine Verbindung zu der bedienenden Entität anfordert, durch den Firewall, – Aufbauen einer auf einer Vielzahl von unterschiedlichen Schichten arbeitenden Sitzungs-Verbindung zwischen dem Firewall und der anfordernden Entität, – Überprüfen der Kommunikation von der anfordernden Entität hinsichtlich der Übereinstimmung mit einem selektierten Kommunikationsprotokoll auf den oberen der Vielzahl von unterschiedlichen Schichten durch den Firewall, – falls im voranstehenden Schritt Übereinstimmung mit dem selektierten Kommunikationsprotokoll festgestellt wurde, Aufbauen einer Sitzungs-Verbindung zwischen dem Firewall und der bedienenden Entität und – wenn beide Verbindungen aufgebaut sind, Vermitteln der Kommunikation zwischen der anfordernden Entität und der bedienenden Entität durch den Firewall auf der Transportschicht, wobei in sämtlichen Verfahrensschritten der Firewall für die beiden Entitäten transparent erscheint.
- Verfahren nach Anspruch 9, mit den weiteren Schritten: – Prüfen einer Adresse der anfordernden Entität anhand einer Liste autorisierter Adressen durch den Firewall und – Modifizieren der Antwort an die anfordernde Entität in Abhängigkeit von dem Ergebnis der Prüfung durch den Firewall.
- Verfahren nach Anspruch 10, bei welchem der Prüfungsschritt, der Modifizierungsschritt und der Schritt zur Annahme einer Verbindungsanforderung auf einer der oberen der Vielzahl von unterschiedlichen Schichten ausgeführt werden.
- Verfahren nach mindestens einem der Ansprüche 9 bis 11, bei welchem der Schritt, die Kommunikation von der anfordernden Entität zu überprüfen, eine Überprüfung hinsichtlich der Übereinstimmung mit einem Open-Systems-Interconnect(OSI)-Kommunikationsprotokoll umfasst.
- Verfahren nach Anspruch 12, bei welchem der Schritt, die Kommunikation von der anfordernden Entität zu überprüfen, eine Überprüfung auf einer OSI-Transportschicht umfasst.
- Verfahren nach mindestens einem der Ansprüche 9 bis 13, ferner mit den Schritten, die Verbindungszeit zu überwachen und auf Sitzungsfehlerbedingungen zu antworten.
- Speichermedium mit einem darauf gespeicherten Computerprogramm zur Durchführung eines Verfahrens nach mindestens einem der Ansprüche 9 bis 14.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US08/713,424 US6003084A (en) | 1996-09-13 | 1996-09-13 | Secure network proxy for connecting entities |
US08/713,424 | 1996-09-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE19740547A1 DE19740547A1 (de) | 1998-04-16 |
DE19740547B4 true DE19740547B4 (de) | 2006-03-30 |
Family
ID=24866090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19740547A Expired - Fee Related DE19740547B4 (de) | 1996-09-13 | 1997-09-15 | Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität |
Country Status (3)
Country | Link |
---|---|
US (1) | US6003084A (de) |
DE (1) | DE19740547B4 (de) |
GB (1) | GB2318031B (de) |
Families Citing this family (203)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10361802B1 (en) | 1999-02-01 | 2019-07-23 | Blanding Hovenweep, Llc | Adaptive pattern recognition based control system and method |
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
US6272538B1 (en) * | 1996-07-30 | 2001-08-07 | Micron Technology, Inc. | Method and system for establishing a security perimeter in computer networks |
US6993582B2 (en) * | 1996-07-30 | 2006-01-31 | Micron Technology Inc. | Mixed enclave operation in a computer network |
US6230193B1 (en) * | 1996-10-31 | 2001-05-08 | 3Com Corporation | Method and apparatus supporting network communications |
JP3841233B2 (ja) * | 1996-12-18 | 2006-11-01 | ソニー株式会社 | 情報処理装置および情報処理方法 |
US7020700B1 (en) * | 1997-02-28 | 2006-03-28 | International Business Machines Corporation | Client side socks server for an internet client |
US6104716A (en) * | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
US6157944A (en) * | 1997-05-14 | 2000-12-05 | Citrix Systems, Inc. | System and method for replicating a client/server data exchange to additional client notes connecting to the server |
CN1259249A (zh) * | 1997-06-02 | 2000-07-05 | 摩托罗拉公司 | 能力可访问网络中的装置之间的连接授权方法 |
US6070243A (en) * | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
JP2000501542A (ja) * | 1997-07-01 | 2000-02-08 | プログレス ソフトウェア コーポレイション | ネットワーク・アプリケーション用のテスト及びデバッグツール |
US6233600B1 (en) * | 1997-07-15 | 2001-05-15 | Eroom Technology, Inc. | Method and system for providing a networked collaborative work environment |
US6006268A (en) * | 1997-07-31 | 1999-12-21 | Cisco Technology, Inc. | Method and apparatus for reducing overhead on a proxied connection |
US6473406B1 (en) * | 1997-07-31 | 2002-10-29 | Cisco Technology, Inc. | Method and apparatus for transparently proxying a connection |
US7136359B1 (en) * | 1997-07-31 | 2006-11-14 | Cisco Technology, Inc. | Method and apparatus for transparently proxying a connection |
US6345315B1 (en) * | 1997-08-13 | 2002-02-05 | Sudhindra N. Mishra | Method for platform and protocol independent communication between client-server pairs |
US20020091784A1 (en) * | 1997-09-10 | 2002-07-11 | Baker Richard A. | Web interface to a device and an electrical network control system |
US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
JPH1196099A (ja) * | 1997-09-19 | 1999-04-09 | Hitachi Ltd | サービス提供システム |
JPH11163947A (ja) * | 1997-09-22 | 1999-06-18 | Toshiba Corp | ゲートウェイ装置、無線端末装置、ルータ装置および通信ネットワークのゲートウェイ制御方法 |
NL1007252C1 (nl) * | 1997-10-10 | 1999-04-13 | Ralph Rogier De La Bretoniere | Werkwijze en inrichting voor het beveiligen van datacommunicatie. |
US6567853B2 (en) * | 1997-12-08 | 2003-05-20 | International Business Machines Corporation | Scalable I/O system for the efficient transfer of storage device data by a non-server reconnection |
US6119171A (en) | 1998-01-29 | 2000-09-12 | Ip Dynamics, Inc. | Domain name routing |
US6976080B1 (en) * | 1998-03-27 | 2005-12-13 | Hewlett-Packard Development Company, L.P. | Multiple-protocol communication subsystem controller |
US6434619B1 (en) * | 1998-04-29 | 2002-08-13 | Alcatel Canada Inc. | Internet-enabled service management system and method |
US6298445B1 (en) * | 1998-04-30 | 2001-10-02 | Netect, Ltd. | Computer security |
US6212560B1 (en) * | 1998-05-08 | 2001-04-03 | Compaq Computer Corporation | Dynamic proxy server |
US6557037B1 (en) * | 1998-05-29 | 2003-04-29 | Sun Microsystems | System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses |
ATE345528T1 (de) | 1998-06-19 | 2006-12-15 | Sun Microsystems Inc | Dimensionierbare proxy-server mit einschub- filtern |
US6412015B1 (en) | 1998-06-24 | 2002-06-25 | New Moon Systems, Inc. | System and method for virtualizing and controlling input and output of computer programs |
JP3042504B2 (ja) * | 1998-07-03 | 2000-05-15 | 富士通株式会社 | 通信制御プログラムを格納した記録媒体、通信制御方法、通信制御装置 |
DE19831190C1 (de) * | 1998-07-11 | 1999-10-28 | Tracto Technik | Vorrichtung und Verfahren zum Längsunterteilen erdverlegter Rohre |
US6633914B1 (en) * | 1998-08-05 | 2003-10-14 | International Business Machines Corporation | Systems, methods and computer program products for handling client requests for server application processing using a thread pool |
US6484258B1 (en) * | 1998-08-12 | 2002-11-19 | Kyber Pass Corporation | Access control using attributes contained within public key certificates |
US6438597B1 (en) * | 1998-08-17 | 2002-08-20 | Hewlett-Packard Company | Method and system for managing accesses to a data service system that supports persistent connections |
US6421732B1 (en) | 1998-08-27 | 2002-07-16 | Ip Dynamics, Inc. | Ipnet gateway |
US6317837B1 (en) | 1998-09-01 | 2001-11-13 | Applianceware, Llc | Internal network node with dedicated firewall |
US6839759B2 (en) | 1998-10-30 | 2005-01-04 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information |
ES2760905T3 (es) | 1998-10-30 | 2020-05-18 | Virnetx Inc | Un protocolo de red agile para comunicaciones seguras con disponibilidad asegurada de sistema |
US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
US20020010768A1 (en) * | 1998-12-17 | 2002-01-24 | Joshua K. Marks | An entity model that enables privilege tracking across multiple treminals |
US7430757B1 (en) * | 1999-01-08 | 2008-09-30 | International Business Machines Corporation | Oblivious proxying using a secure coprocessor |
CA2364468A1 (en) * | 1999-03-06 | 2000-09-14 | Coppercom, Inc. | System and method for administrating call and call feature set-up in a telecommunications network |
US7904951B1 (en) * | 1999-03-16 | 2011-03-08 | Novell, Inc. | Techniques for securely accelerating external domains locally |
US8060926B1 (en) | 1999-03-16 | 2011-11-15 | Novell, Inc. | Techniques for securely managing and accelerating data delivery |
US6654806B2 (en) * | 1999-04-09 | 2003-11-25 | Sun Microsystems, Inc. | Method and apparatus for adaptably providing data to a network environment |
US20030229809A1 (en) * | 1999-04-15 | 2003-12-11 | Asaf Wexler | Transparent proxy server |
US6804778B1 (en) * | 1999-04-15 | 2004-10-12 | Gilian Technologies, Ltd. | Data quality assurance |
US6665704B1 (en) | 1999-06-18 | 2003-12-16 | Sun Microsystems, Inc. | Bounding delays and reducing threading overheads in caching |
US6516358B1 (en) | 1999-09-09 | 2003-02-04 | Hewlett-Packard Company | Appliance communications manager |
US7140025B1 (en) * | 1999-11-16 | 2006-11-21 | Mci, Llc | Method and apparatus for providing a real-time message routing communications manager |
US7954144B1 (en) * | 2000-01-18 | 2011-05-31 | Novell, Inc. | Brokering state information and identity among user agents, origin servers, and proxies |
JP3596400B2 (ja) * | 2000-01-21 | 2004-12-02 | 日本電気株式会社 | Dnsサーバフィルタ |
FR2804564B1 (fr) * | 2000-01-27 | 2002-03-22 | Bull Sa | Relais de securite multiapplicatif |
MXPA02007310A (es) * | 2000-01-28 | 2003-10-14 | Williams Comm Llc | Sistema y metodo para reescribir una solicitud/respuesta de recursos de medios entre un servidor de origen y un cliente. |
JP2003521779A (ja) * | 2000-02-04 | 2003-07-15 | バイオネトリックス システムズ コーポレイション | 通信プロトコルによってイネーブルされるクライアントによる情報へのアクセスを登録および認証するためのシステム、方法およびコンピュータプログラム製品 |
US7082467B2 (en) * | 2000-02-10 | 2006-07-25 | Hughes Network Systems | Method and device for selective transport level spoofing based on information in transport level packet |
US6973497B1 (en) * | 2000-02-10 | 2005-12-06 | Hughes Electronics Corporation | Selective spoofer and method of performing selective spoofing |
US7441263B1 (en) | 2000-03-23 | 2008-10-21 | Citibank, N.A. | System, method and computer program product for providing unified authentication services for online applications |
US9514459B1 (en) * | 2000-03-24 | 2016-12-06 | Emc Corporation | Identity broker tools and techniques for use with forward proxy computers |
US20010047387A1 (en) * | 2000-03-27 | 2001-11-29 | Exoplex, Inc. | Systems and methods for providing distributed cross-enterprise portals |
US7096495B1 (en) * | 2000-03-31 | 2006-08-22 | Intel Corporation | Network session management |
US7814208B2 (en) | 2000-04-11 | 2010-10-12 | Science Applications International Corporation | System and method for projecting content beyond firewalls |
US20010042202A1 (en) * | 2000-04-14 | 2001-11-15 | Horvath Charles J. | Dynamically extendible firewall |
US7673329B2 (en) * | 2000-05-26 | 2010-03-02 | Symantec Corporation | Method and apparatus for encrypted communications to a secure server |
US7509490B1 (en) * | 2000-05-26 | 2009-03-24 | Symantec Corporation | Method and apparatus for encrypted communications to a secure server |
KR100358387B1 (ko) * | 2000-06-27 | 2002-10-25 | 엘지전자 주식회사 | 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법 |
US20020038373A1 (en) * | 2000-07-21 | 2002-03-28 | John Border | Method and system for improving network performance enhancing proxy architecture with gateway redundancy |
US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
US7133404B1 (en) | 2000-08-11 | 2006-11-07 | Ip Dynamics, Inc. | Communication using two addresses for an entity |
US7587499B1 (en) * | 2000-09-14 | 2009-09-08 | Joshua Haghpassand | Web-based security and filtering system with proxy chaining |
US20020046350A1 (en) * | 2000-09-14 | 2002-04-18 | Lordemann David A. | Method and system for establishing an audit trail to protect objects distributed over a network |
US8972590B2 (en) | 2000-09-14 | 2015-03-03 | Kirsten Aldrich | Highly accurate security and filtering software |
DE10046616A1 (de) * | 2000-09-20 | 2002-04-04 | Coconet Computer Comm Networks | Transaktionsorientiertes Verfahren zur sicheren und verbindlichen Kommunikation von bankfachlichen Daten über das Internet |
GB2367725A (en) * | 2000-10-04 | 2002-04-10 | Cce Ltd | Client/server authentication |
GB2376763B (en) * | 2001-06-19 | 2004-12-15 | Hewlett Packard Co | Demonstrating integrity of a compartment of a compartmented operating system |
US20020073136A1 (en) * | 2000-12-07 | 2002-06-13 | Tomoaki Itoh | Data reproduction method, data receiving terminal and data receiving method |
US20020078164A1 (en) * | 2000-12-13 | 2002-06-20 | Marnetics Ltd. | System and method for data transfer acceleration in a TCP network environment |
US20020083475A1 (en) * | 2000-12-27 | 2002-06-27 | Earl Hennenhoefer | Intelligent device system and method for distribution of digital signals on a wideband signal distribution system |
US7016897B2 (en) * | 2000-12-29 | 2006-03-21 | International Business Machines Corporation | Authentication referral search for LDAP |
US7024479B2 (en) * | 2001-01-22 | 2006-04-04 | Intel Corporation | Filtering calls in system area networks |
WO2002057917A2 (en) * | 2001-01-22 | 2002-07-25 | Sun Microsystems, Inc. | Peer-to-peer network computing platform |
US20020099851A1 (en) * | 2001-01-22 | 2002-07-25 | Shah Hemal V. | Decoupling TCP/IP processing in system area networks |
US7039721B1 (en) | 2001-01-26 | 2006-05-02 | Mcafee, Inc. | System and method for protecting internet protocol addresses |
EP1368726A4 (de) * | 2001-02-06 | 2005-04-06 | En Garde Systems | Vorrichtung und verfahren zur bereitstellung einer sicheren netzwerkkommunikation |
DE10107883B4 (de) * | 2001-02-19 | 2006-02-09 | Deutsche Post Ag | Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem |
US20020138596A1 (en) * | 2001-03-09 | 2002-09-26 | Matthew Darwin | Method to proxy IP services |
AU2002248638A1 (en) * | 2001-03-16 | 2002-10-03 | Orchid Systems, Inc. | System for and method of synchronizing a standard-protocol database with a legacy data |
JP2002281061A (ja) * | 2001-03-19 | 2002-09-27 | Sony Corp | ネットワークシステム、接続装置、接続方法、ネットワーク、プログラムおよび記録媒体 |
US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
US7475143B2 (en) * | 2001-04-05 | 2009-01-06 | International Business Machines Corporation | Server display confirmation record response in a connection oriented client/server protocol |
US6931552B2 (en) * | 2001-05-02 | 2005-08-16 | James B. Pritchard | Apparatus and method for protecting a computer system against computer viruses and unauthorized access |
US7730528B2 (en) * | 2001-06-01 | 2010-06-01 | Symantec Corporation | Intelligent secure data manipulation apparatus and method |
US20020188868A1 (en) * | 2001-06-12 | 2002-12-12 | Budka Kenneth C. | Method for protecting use of resources in a network |
US7216173B2 (en) * | 2001-06-12 | 2007-05-08 | Varian Medical Systems Technologies, Inc. | Virtual private network software system |
US7360245B1 (en) * | 2001-07-18 | 2008-04-15 | Novell, Inc. | Method and system for filtering spoofed packets in a network |
US7107344B2 (en) * | 2001-08-16 | 2006-09-12 | International Business Machines Corporation | Connection allocation technology |
US20030035408A1 (en) * | 2001-08-17 | 2003-02-20 | Hebert James E. | Redundant communication adapter system for connecting a client to an FDDI network |
JP2003067527A (ja) * | 2001-08-29 | 2003-03-07 | Nec Corp | コンテンツアクセス管理装置及びそれに用いるコンテンツアクセス管理方法並びにそのプログラム |
US20030046583A1 (en) * | 2001-08-30 | 2003-03-06 | Honeywell International Inc. | Automated configuration of security software suites |
US20030051172A1 (en) * | 2001-09-13 | 2003-03-13 | Lordemann David A. | Method and system for protecting digital objects distributed over a network |
US20030070094A1 (en) * | 2001-10-06 | 2003-04-10 | Gomes John Isaac Chandan | Data transfer across firewalls |
US7822970B2 (en) * | 2001-10-24 | 2010-10-26 | Microsoft Corporation | Method and apparatus for regulating access to a computer via a computer network |
US7363286B2 (en) * | 2001-10-29 | 2008-04-22 | International Business Machines Corporation | File system path alias |
US20030097479A1 (en) * | 2001-11-16 | 2003-05-22 | Zellers Mark H. | Result notification through firewalls |
US8417827B2 (en) * | 2001-12-12 | 2013-04-09 | Nokia Corporation | Synchronous media playback and messaging system |
US6961783B1 (en) * | 2001-12-21 | 2005-11-01 | Networks Associates Technology, Inc. | DNS server access control system and method |
US6845452B1 (en) * | 2002-03-12 | 2005-01-18 | Reactivity, Inc. | Providing security for external access to a protected computer network |
US20030191845A1 (en) * | 2002-04-03 | 2003-10-09 | Hinds John Sherman | Method, apparatus and system for establishing communications between communications devices |
DE10217952A1 (de) * | 2002-04-22 | 2003-11-13 | Nutzwerk Informationsgmbh | Vorrichtung und Verfahren zum Schutz von Datenendgeräten und Datenservern zwischen öffentlichen und privaten Datennetzen |
US7937471B2 (en) * | 2002-06-03 | 2011-05-03 | Inpro Network Facility, Llc | Creating a public identity for an entity on a network |
AU2003245574A1 (en) * | 2002-06-21 | 2004-01-06 | Probix, Inc. | Method and system for protecting digital objects distributed over a network using an electronic mail interface |
US7608058B2 (en) * | 2002-07-23 | 2009-10-27 | Micrus Corporation | Stretch resistant therapeutic device |
AU2003246497A1 (en) * | 2002-07-25 | 2004-02-16 | James D. Yee | System and method for providing computer services |
US8234358B2 (en) | 2002-08-30 | 2012-07-31 | Inpro Network Facility, Llc | Communicating with an entity inside a private network using an existing connection to initiate communication |
US7139828B2 (en) * | 2002-08-30 | 2006-11-21 | Ip Dynamics, Inc. | Accessing an entity inside a private network |
DE60324567D1 (de) * | 2002-09-20 | 2008-12-18 | Matsushita Electric Ind Co Ltd | Tes netzwerkelement zur verbindung von datenkommunikationsnetzen |
US7793342B1 (en) * | 2002-10-15 | 2010-09-07 | Novell, Inc. | Single sign-on with basic authentication for a transparent proxy |
US7213040B1 (en) * | 2002-10-29 | 2007-05-01 | Novell, Inc. | Apparatus for policy based storage of file data and meta-data changes over time |
US7653645B1 (en) | 2002-10-29 | 2010-01-26 | Novell, Inc. | Multi-epoch method for saving and exporting file system events |
US7313618B2 (en) * | 2002-10-31 | 2007-12-25 | Sap Aktiengesellschaft | Network architecture using firewalls |
US6938179B2 (en) * | 2002-11-01 | 2005-08-30 | Nokia Corporation | Socket extensions for redundancy |
US20040098616A1 (en) * | 2002-11-14 | 2004-05-20 | Jenner Bruce Stephen | Communications firewall |
US20040117488A1 (en) * | 2002-12-12 | 2004-06-17 | Mcnamee Kevin | Dynamic callback packet filtering gateway |
CN1195381C (zh) * | 2002-12-27 | 2005-03-30 | 北京鼎视通软件技术有限公司 | 一种多画面输出方法及系统 |
MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
US7219131B2 (en) * | 2003-01-16 | 2007-05-15 | Ironport Systems, Inc. | Electronic message delivery using an alternate source approach |
US9818136B1 (en) | 2003-02-05 | 2017-11-14 | Steven M. Hoffberg | System and method for determining contingent relevance |
DE10305413B4 (de) * | 2003-02-06 | 2006-04-20 | Innominate Security Technologies Ag | Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium |
US7958187B2 (en) * | 2003-02-19 | 2011-06-07 | Google Inc. | Systems and methods for managing directory harvest attacks via electronic messages |
US7949785B2 (en) | 2003-03-31 | 2011-05-24 | Inpro Network Facility, Llc | Secure virtual community network system |
US7441036B2 (en) * | 2003-04-01 | 2008-10-21 | International Business Machines Corporation | Method and system for a debugging utility based on a TCP tunnel |
US7660985B2 (en) * | 2003-04-30 | 2010-02-09 | At&T Corp. | Program security through stack segregation |
US7409707B2 (en) * | 2003-06-06 | 2008-08-05 | Microsoft Corporation | Method for managing network filter based policies |
US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US7509673B2 (en) * | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
US9100431B2 (en) | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
US9118710B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | System, method, and computer program product for reporting an occurrence in different manners |
US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118709B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118711B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9350752B2 (en) | 2003-07-01 | 2016-05-24 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US7385937B2 (en) * | 2003-07-23 | 2008-06-10 | International Business Machines Corporation | Method and system for determining a path between two points of an IP network over which datagrams are transmitted |
US8065720B1 (en) | 2004-01-06 | 2011-11-22 | Novell, Inc. | Techniques for managing secure communications |
US8359398B1 (en) * | 2004-01-20 | 2013-01-22 | Oracle America, Inc. | Efficient proxying of messages |
CA2554915C (en) | 2004-02-17 | 2013-05-28 | Ironport Systems, Inc. | Collecting, aggregating, and managing information relating to electronic messages |
GB2412038B (en) * | 2004-03-10 | 2006-04-19 | Toshiba Res Europ Ltd | Packet format |
US7856493B1 (en) * | 2004-03-17 | 2010-12-21 | Cisco Technology, Inc. | Method and apparatus providing device-initiated network management |
US7523237B2 (en) * | 2004-04-01 | 2009-04-21 | Delphi Tecnhologies, Inc. | Method and protocol for diagnostics or arbitrarily complex networks of devices |
US7519719B2 (en) * | 2004-04-15 | 2009-04-14 | Agilent Technologies, Inc. | Automatic creation of protocol dependent control path for instrument application |
US7756930B2 (en) | 2004-05-28 | 2010-07-13 | Ironport Systems, Inc. | Techniques for determining the reputation of a message sender |
KR100597405B1 (ko) * | 2004-05-28 | 2006-07-06 | 삼성전자주식회사 | 소켓 어플리케이션 프로그램을 이용한 데이터 중계 시스템및 데이터 중계 방법 |
US7917588B2 (en) * | 2004-05-29 | 2011-03-29 | Ironport Systems, Inc. | Managing delivery of electronic messages using bounce profiles |
US8166310B2 (en) | 2004-05-29 | 2012-04-24 | Ironport Systems, Inc. | Method and apparatus for providing temporary access to a network device |
US7873695B2 (en) | 2004-05-29 | 2011-01-18 | Ironport Systems, Inc. | Managing connections and messages at a server by associating different actions for both different senders and different recipients |
US7849142B2 (en) | 2004-05-29 | 2010-12-07 | Ironport Systems, Inc. | Managing connections, messages, and directory harvest attacks at a server |
US7870200B2 (en) | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
US7748038B2 (en) | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
US7681229B1 (en) * | 2004-06-22 | 2010-03-16 | Novell, Inc. | Proxy authentication |
KR100601690B1 (ko) * | 2004-07-06 | 2006-07-14 | 삼성전자주식회사 | 무선 랜 기반의 무선 프린팅 시스템 및 방법 |
JP2006079213A (ja) * | 2004-09-07 | 2006-03-23 | Ntt Docomo Inc | 中継装置、認証サーバ及び認証方法 |
GB2418110B (en) * | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
EP1657876A1 (de) * | 2004-11-12 | 2006-05-17 | Sony Deutschland GmbH | Verfahren und Vorrichtung zum Senden von Daten eines ersten Standards und Empfangen von Daten eines zweiten Standards auf einem vorbestimmten Sicherheitsgrad in einem Schichten-Netzwerk |
US7577749B1 (en) | 2004-12-03 | 2009-08-18 | Ux Ltd. | Emulation of persistent HTTP connections between network devices |
US20060259950A1 (en) | 2005-02-18 | 2006-11-16 | Ulf Mattsson | Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior |
US7710995B2 (en) | 2005-03-08 | 2010-05-04 | Leaf Networks, Llc | Method and system for out-of-band signaling for TCP connection setup |
US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
US8443094B2 (en) * | 2005-05-12 | 2013-05-14 | Oracle America, Inc. | Computer system comprising a communication device |
IES20050376A2 (en) | 2005-06-03 | 2006-08-09 | Asavie R & D Ltd | Secure network communication system and method |
US7627681B2 (en) * | 2005-07-20 | 2009-12-01 | Microsoft Corporation | Relaying messages through a firewall |
US8874477B2 (en) | 2005-10-04 | 2014-10-28 | Steven Mark Hoffberg | Multifactorial optimization system and method |
US8255996B2 (en) * | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
US8104077B1 (en) * | 2006-01-03 | 2012-01-24 | Symantec Corporation | System and method for adaptive end-point compliance |
US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
EP1912402B1 (de) * | 2006-10-10 | 2019-08-28 | Mitsubishi Electric R&D Centre Europe B.V. | Schutz von datenübertragungsnetzwerksystemen gegen attacken gegen übergrosse buffer |
US8214635B2 (en) | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
US9319225B2 (en) | 2007-01-16 | 2016-04-19 | Microsoft Technology Licensing, Llc | Remote device waking using a multicast packet |
US8295188B2 (en) * | 2007-03-30 | 2012-10-23 | Extreme Networks, Inc. | VoIP security |
JP4985246B2 (ja) * | 2007-09-04 | 2012-07-25 | 富士通株式会社 | データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム |
US9112901B2 (en) * | 2007-11-20 | 2015-08-18 | Radware, Ltd. | Method and system for providing connection resiliency |
US8065714B2 (en) * | 2008-09-12 | 2011-11-22 | Hytrust, Inc. | Methods and systems for securely managing virtualization platform |
US8413111B2 (en) * | 2008-10-02 | 2013-04-02 | Actiance, Inc. | Techniques for dynamic updating and loading of custom application detectors |
US20100131582A1 (en) * | 2008-11-21 | 2010-05-27 | Microsoft Corporation | Unified Proxy Location Selection Mechanism |
US8763107B1 (en) * | 2009-08-03 | 2014-06-24 | Omnimetrix, Llc | Cross-connected, server-based, IP-connected, point-to-point connectivity |
US9485218B2 (en) * | 2010-03-23 | 2016-11-01 | Adventium Enterprises, Llc | Device for preventing, detecting and responding to security threats |
WO2012092586A2 (en) * | 2010-12-30 | 2012-07-05 | Peerapp Ltd. | Methods and systems for transmission of data over computer networks |
DE102011000876A1 (de) * | 2011-02-22 | 2012-08-23 | Dimensio Informatics Gmbh | Netzwerktrennung |
CN102209079A (zh) * | 2011-06-22 | 2011-10-05 | 北京大学深圳研究生院 | 一种基于tcp协议的自适应网络控制传输方法和系统 |
EP2817761A2 (de) | 2012-02-24 | 2014-12-31 | Missing Link Electronics Inc. | In mehreren domänen angewendete partitionierungssysteme |
US9305161B1 (en) * | 2013-06-24 | 2016-04-05 | Emc Corporation | Password hardening system using password shares distributed across multiple servers |
KR101932956B1 (ko) | 2013-12-19 | 2018-12-27 | 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 | 중앙 관리형 온라인 서비스에서 p2p 코드 교환 촉진 |
US20170230419A1 (en) | 2016-02-08 | 2017-08-10 | Hytrust, Inc. | Harmonized governance system for heterogeneous agile information technology environments |
WO2020003238A1 (en) | 2018-06-29 | 2020-01-02 | Cryptometry Canada Inc. | Communications bridge |
US11457080B1 (en) * | 2018-11-23 | 2022-09-27 | Amazon Technologies, Inc. | Service mesh management |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0203424A2 (de) * | 1985-05-28 | 1986-12-03 | Siemens Aktiengesellschaft | Verfahren und Schaltungsanordnung zum Überprüfen der Berechtigung des Zugangs zu einem Signalverarbeitungssystem |
US5550984A (en) * | 1994-12-07 | 1996-08-27 | Matsushita Electric Corporation Of America | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information |
Family Cites Families (53)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2258112A5 (de) * | 1973-11-30 | 1975-08-08 | Honeywell Bull Soc Ind | |
US3956615A (en) * | 1974-06-25 | 1976-05-11 | Ibm Corporation | Transaction execution system with secure data storage and communications |
US4104721A (en) * | 1976-12-30 | 1978-08-01 | International Business Machines Corporation | Hierarchical security mechanism for dynamically assigning security levels to object programs |
US4442484A (en) * | 1980-10-14 | 1984-04-10 | Intel Corporation | Microprocessor memory management and protection mechanism |
US4648031A (en) * | 1982-06-21 | 1987-03-03 | International Business Machines Corporation | Method and apparatus for restarting a computing system |
US4870571A (en) * | 1983-05-04 | 1989-09-26 | The Johns Hopkins University | Intercomputer communications based on message broadcasting with receiver selection |
US4584639A (en) * | 1983-12-23 | 1986-04-22 | Key Logic, Inc. | Computer security system |
US4621321A (en) * | 1984-02-16 | 1986-11-04 | Honeywell Inc. | Secure data processing system architecture |
US4713753A (en) * | 1985-02-21 | 1987-12-15 | Honeywell Inc. | Secure data processing system architecture with format control |
US4885789A (en) * | 1988-02-01 | 1989-12-05 | International Business Machines Corporation | Remote trusted path mechanism for telnet |
US5093914A (en) * | 1989-12-15 | 1992-03-03 | At&T Bell Laboratories | Method of controlling the execution of object-oriented programs |
US5204961A (en) * | 1990-06-25 | 1993-04-20 | Digital Equipment Corporation | Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols |
GB9015799D0 (en) * | 1990-07-18 | 1991-06-12 | Plessey Telecomm | A data communication system |
US5124984A (en) * | 1990-08-07 | 1992-06-23 | Concord Communications, Inc. | Access controller for local area network |
US5153918A (en) * | 1990-11-19 | 1992-10-06 | Vorec Corporation | Security system for data communications |
US5263147A (en) * | 1991-03-01 | 1993-11-16 | Hughes Training, Inc. | System for providing high security for personal computers and workstations |
US5272754A (en) * | 1991-03-28 | 1993-12-21 | Secure Computing Corporation | Secure computer interface |
US5228083A (en) * | 1991-06-28 | 1993-07-13 | Digital Equipment Corporation | Cryptographic processing in a communication network, using a single cryptographic engine |
US5355474A (en) * | 1991-09-27 | 1994-10-11 | Thuraisngham Bhavani M | System for multilevel secure database management using a knowledge base with release-based and other security constraints for query, response and update modification |
US5177788A (en) * | 1991-10-15 | 1993-01-05 | Ungermann-Bass, Inc. | Network message security method and apparatus |
FR2686755A1 (fr) * | 1992-01-28 | 1993-07-30 | Electricite De France | Procede de chiffrement de messages transmis entre reseaux interconnectes, appareil de chiffrement et dispositif de communication de donnees chiffrees mettant en óoeuvre un tel procede. |
US5333266A (en) * | 1992-03-27 | 1994-07-26 | International Business Machines Corporation | Method and apparatus for message handling in computer systems |
US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
US5311593A (en) * | 1992-05-13 | 1994-05-10 | Chipcom Corporation | Security system for a network concentrator |
GB9212655D0 (en) * | 1992-06-15 | 1992-07-29 | Digital Equipment Int | Communications system |
WO1993026109A1 (en) * | 1992-06-17 | 1993-12-23 | The Trustees Of The University Of Pennsylvania | Apparatus for providing cryptographic support in a network |
US5608720A (en) * | 1993-03-09 | 1997-03-04 | Hubbell Incorporated | Control system and operations system interface for a network element in an access system |
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5511122A (en) * | 1994-06-03 | 1996-04-23 | The United States Of America As Represented By The Secretary Of The Navy | Intermediate network authentication |
US5530758A (en) * | 1994-06-03 | 1996-06-25 | Motorola, Inc. | Operational methods for a secure node in a computer network |
US5416842A (en) * | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
US5615340A (en) * | 1994-07-21 | 1997-03-25 | Allied Telesyn Int'l Corp. | Network interfacing apparatus and method using repeater and cascade interface with scrambling |
US5485460A (en) * | 1994-08-19 | 1996-01-16 | Microsoft Corporation | System and method for running multiple incompatible network protocol stacks |
US5604490A (en) * | 1994-09-09 | 1997-02-18 | International Business Machines Corporation | Method and system for providing a user access to multiple secured subsystems |
US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
US5864683A (en) * | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
FR2727269B1 (fr) * | 1994-11-21 | 1997-01-17 | Allegre Francois | Systeme de controle d'acces a des machines informatiques connectees en reseau prive |
US5619648A (en) * | 1994-11-30 | 1997-04-08 | Lucent Technologies Inc. | Message filtering techniques |
US5566170A (en) * | 1994-12-29 | 1996-10-15 | Storage Technology Corporation | Method and apparatus for accelerated packet forwarding |
US5696486A (en) * | 1995-03-29 | 1997-12-09 | Cabletron Systems, Inc. | Method and apparatus for policy-based alarm notification in a distributed network management environment |
US5699513A (en) * | 1995-03-31 | 1997-12-16 | Motorola, Inc. | Method for secure network access via message intercept |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5636371A (en) * | 1995-06-07 | 1997-06-03 | Bull Hn Information Systems Inc. | Virtual network mechanism to access well known port application programs running on a single host system |
US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
US5826029A (en) * | 1995-10-31 | 1998-10-20 | International Business Machines Corporation | Secured gateway interface |
US5671279A (en) * | 1995-11-13 | 1997-09-23 | Netscape Communications Corporation | Electronic commerce using a secure courier system |
AU2242697A (en) * | 1996-01-16 | 1997-08-11 | Raptor Systems, Inc. | Data encryption/decryption for network communication |
US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5918018A (en) * | 1996-02-09 | 1999-06-29 | Secure Computing Corporation | System and method for achieving network separation |
US5684951A (en) * | 1996-03-20 | 1997-11-04 | Synopsys, Inc. | Method and system for user authorization over a multi-user computer system |
US5673322A (en) * | 1996-03-22 | 1997-09-30 | Bell Communications Research, Inc. | System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks |
-
1996
- 1996-09-13 US US08/713,424 patent/US6003084A/en not_active Expired - Lifetime
-
1997
- 1997-09-12 GB GB9719525A patent/GB2318031B/en not_active Expired - Fee Related
- 1997-09-15 DE DE19740547A patent/DE19740547B4/de not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0203424A2 (de) * | 1985-05-28 | 1986-12-03 | Siemens Aktiengesellschaft | Verfahren und Schaltungsanordnung zum Überprüfen der Berechtigung des Zugangs zu einem Signalverarbeitungssystem |
US5550984A (en) * | 1994-12-07 | 1996-08-27 | Matsushita Electric Corporation Of America | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information |
Non-Patent Citations (3)
Title |
---|
BELLOVIN, S.M. und CHESWICK, W.R.: Network Firewalls. In: IEEE Communications Magazine, Sept. 1994, S. 50-57 * |
Internet Request for Comment-RFC 1006 Network Working Group, Northern Research and Technology Center, Mai 1987 * |
SHARP, R.L., et al.: Network Security in a Heterogeneous Environment. In: AT&T Technical Journal, Sep./Oct. 1994, S. 52-60 * |
Also Published As
Publication number | Publication date |
---|---|
GB2318031B (en) | 2001-03-28 |
US6003084A (en) | 1999-12-14 |
GB2318031A (en) | 1998-04-08 |
DE19740547A1 (de) | 1998-04-16 |
GB9719525D0 (en) | 1997-11-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19740547B4 (de) | Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität | |
DE602004008055T2 (de) | Intelligente integrierte netzwerksicherheitseinrichtung | |
DE60131990T2 (de) | Vorrichtung und verfahren zur selektiven verschlüsselung von über ein netzwerk zu übertragenden multimediadaten | |
DE69731965T2 (de) | Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall | |
DE60121755T2 (de) | Ipsec-verarbeitung | |
DE602004010703T2 (de) | Eine persistente und zuverlässige sitzung, die neztwerkkomponenten unter verwendung eines verkapselungsprotokolls sicher durchläuft | |
DE69825801T2 (de) | Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz | |
DE60102934T2 (de) | Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte | |
DE60212289T2 (de) | Verwaltung privater virtueller Netze (VPN) | |
DE60133241T2 (de) | Mehranwendung-sicherheitsrelais | |
DE60122033T2 (de) | Schutz von Computernetzen gegen böswillige Inhalte | |
EP3542511B1 (de) | Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit | |
DE602004011864T2 (de) | Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router | |
DE69918026T2 (de) | Gesicherte "keep alive" Nachricht über das Internet | |
DE60302003T2 (de) | Handhabung von zusammenhängenden Verbindungen in einer Firewall | |
WO2003107599A1 (de) | Content- und security proxy in einem mobilkommunikationssystem | |
DE112004000125T5 (de) | Gesichertes Client-Server-Datenübertragungssystem | |
DE60031004T2 (de) | Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz | |
EP1776821B1 (de) | System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern | |
WO2016008889A1 (de) | Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt | |
WO2005025179A1 (de) | Verfahren zum übermitteln von elektronischen daten über zwei unterschiedliche netzwerk zur erhöhung der internetsicherheit | |
EP2773081A1 (de) | Kommunikationsgerät für ein industrielles Kommunikationsnetz und ein Verfahren zur Bereitstellung von Daten, insbesondere Dateien, in einem industriellen Kommunikationsnetz mittels File Transfer Protocol | |
EP2436166B1 (de) | Service interface | |
EP1350375B1 (de) | Vorrichtung zur fälschungssicheren identifizierung, verifizierung und autorisierung von netzwerkanwendungen | |
EP1496665B1 (de) | Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8125 | Change of the main classification |
Ipc: H04L 12/22 |
|
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Representative=s name: EISENFUEHR SPEISER PATENTANWAELTE RECHTSANWAEL, DE |
|
R081 | Change of applicant/patentee |
Owner name: MCAFEE, INC., SANTA CLARA, US Free format text: FORMER OWNER: SECURE COMPUTING CORP., ROSEVILLE, MINN., US Effective date: 20140925 |
|
R082 | Change of representative |
Representative=s name: EISENFUEHR SPEISER PATENTANWAELTE RECHTSANWAEL, DE Effective date: 20140925 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |