[go: up one dir, main page]

DE10297362T5 - Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen - Google Patents

Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen Download PDF

Info

Publication number
DE10297362T5
DE10297362T5 DE10297362T DE10297362T DE10297362T5 DE 10297362 T5 DE10297362 T5 DE 10297362T5 DE 10297362 T DE10297362 T DE 10297362T DE 10297362 T DE10297362 T DE 10297362T DE 10297362 T5 DE10297362 T5 DE 10297362T5
Authority
DE
Germany
Prior art keywords
security
format
data
conversion
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10297362T
Other languages
English (en)
Inventor
Kotheshwerrao San Diego Adusumilli
John San Diego Abjanic
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE10297362T5 publication Critical patent/DE10297362T5/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • H04L69/085Protocols for interworking; Protocol conversion specially adapted for interworking of IP-based networks with other networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

System, das folgendes umfaßt:
eine an ein öffentliches Netz angekoppelte Netzschnittstelle zum Empfangen einer ersten Klientenbegrüßungsnachricht und von WTLS (Wireless Transport Layer Security)-verschlüsselten Daten an einem ersten Anschluß und zum Empfangen einer zweiten Klientenbegrüßungsnachricht und SSL (Secure Sockets Layer)verschlüsselten Daten an einem zweiten Anschluß;
ein an die Netzschnittstelle angekoppeltes Wählsystem zum Auswählen einer ersten Sicherheitsformatumwandlung, wenn die erste Klientenbegrüßungsnachricht am ersten Anschluß empfangen wird, und zum Auswählen einer zweiten Sicherheitsformatumwandlung, wenn die zweite Klientenbegrüßungsnachricht am zweiten Anschluß empfangen wird;
ein an das Wählsystem angekoppeltes Umwandlungssystem zum Durchführen der ersten Sicherheitsformatumwandlung an den WTLS-verschlüsselten Daten, wenn die erste Sicherheitsformatumwandlung ausgewählt ist, und zum Durchführen der zweiten Sicherheitsformatumwandlung an den SSL-verschlüsselten Daten, wenn die zweite Sicherheitsformatumwandlung ausgewählt ist; und
eine an das Umwandlungssystem und an einen Server angekoppelte Netzschnittstelle zum Empfangen von sicherheitsformatgewandelten Daten aus dem Umwandlungssystem und zum Bereitstellen der umgewandelten Daten für den Server.

Description

  • Urheberrechts-Erklärung
  • Im Vorliegenden ist Material enthalten, das durch Urheberrecht geschützt ist. Der Inhaber des Urheberrechts erhebt keinen Einwand gegen die Wiedergabe durch eine beliebige Person der Patentschrift oder der Patentoffenbarung so wie sie in den Akten des United States Patent and Trademark Office erscheint, behält sich aber ansonsten jegliche Rechte auf das Urheberrecht vor. Die folgende Erklärung gilt für die unten und in den beiliegenden Zeichnungen beschriebene Software und Daten: Copyright© 2001, Intel Corporation, All Rights Reserved.
  • STAND DER TECHNIK
  • Erfindungsgebiet
  • Die Erfindung betrifft allgemein die Erweiterung der Fähigkeiten der Netzwerksicherheit bzw. der Netzsicherheit. Insbesondere betrifft die Erfindung ein System und ein Verfahren zum Auswählen und Durchführen unterschiedlicher Sicherheitsformatumwandlungen in einer Datenzentrale auf Grundlage von von einem Netz empfangenen Sicherheitsformatinformationen.
  • Stand der Technik
  • Mobiltelefone werden häufig zum Austauschen von schutzbedürftigen persönlichen und finanziellen Informationen über ungesicherte öffentliche Netze benutzt. Ein Beispiel ist das Zugreifen auf Informationen aus einem Finanzkonto über das Internet. Sicherheitslösungen, bei denen Daten am Mobiltelefon verschlüsselt und die verschlüsselten Daten über die öffentlichen Netze übertragen werden, sind entworfen worden, um die Wahrscheinlichkeit der Entdeckung der schutzbedürftigen Daten durch einen unbeabsichtigten Empfänger zu verringern. Das Ziel ist, Ende-zu-Ende-Sicherheit zwischen dem Mobiltelefonbenutzer und einem Empfänger bereitzustellen. Dieses Ziel ist jedoch durch eine WAP-Lücke (Wireless Application Protocol) eingeschränkt, bei der Umwandlung von einem Sicherheitsstandard zu einem anderen innerhalb eines unverläßlichen WAP-Zwischengateway durchgeführt wird, der das drahtlose Zugangsnetz mit einem anderen öffentlichen Fernmeldenetz verbindet und die schutzbedürftigen Daten, selbst wenn nur kurzzeitig, unverschlüsselt und angreifbar läßt.
  • 1 zeigt ein System 100, das einem Mobiltelefon 110 ermöglicht, vorbehaltlich der Begrenzungen einer WAP-Lücke 150 sichere Daten mit einem Server 170 auszutauschen. Das Mobiltelefon 110 sendet eine WTLS-verschlüsselte Anforderung (Wireless Transport Layer Security) unter Verwendung entweder des WDP-Protokolls (Wireless Datagram Protocol) oder UDP-Protokolls (User Datagram Protocol) als Transportprotokoll zu einem Funknetz 120. Die Anforderung kann eine Zugangskennung und ein Paßwort zum Zugreifen auf ein Finanzkonto enthalten. Das Funknetz 120 empfängt die Anforderung und sendet die Anforderung zu einem WAP-Gateway 130.
  • Der WAP-Gateway 130 empfängt die Anforderung und enthält einen Umwandler 140, um eine erste Umwandlung 142 von entweder WDP oder UDP zu TCT (Transmission Control Protocol) und von WTLS zu SSL (Secure Sockets Layer) durchzuführen. Während der Umwandlung zwischen WTLS und SSL durchlaufen die sicheren Daten einen ungesicherten und anfälligen Zustand, in dem sie angreifbar sind. Typischerweise gehört der WAP-Gateway einem dritten Mobilfunkbetreiber und wird von ihm betrieben. Die schutzbedürftigen Daten unverschlüsselt in den Händen eines unbekannten und unverläßlichen Dritten zu lassen, ist nicht ratsam. Nach den Umwandlungen sendet der WAP-Gateway 130 die umgewandelte Anforderung zum Internet 160.
  • Vom Internet 160 wird die umgewandelte Anforderung empfangen und zum Server 170 gesendet. Vom Server 170 wird die Anforderung im TCP- und SSL-Format empfangen, vom SSL-Format in ein klares Datenformat umgewandelt und können Anwendungs-Skripts, wie beispielsweise CGI-Skripts 180 zum Zugreifen auf den Inhalt 190 und Erstellen einer SSLverschlüsselten Antwort mit dem Inhalt 190 gefahren werden. Der Server 170 übermittelt die Antwort zum Internet 160 mit Hilfe TCP. Vom Internet 160 wird die Antwort empfangen und zum WAP-Gateway 130 gesendet. Der WAP-Gateway 130 führt eine zweite Umwandlung 144 von TCP zu WDP und von SSL zu WTLS durch. Der WAP-Gateway 130 sendet die umgewandelte Antwort zum Funknetz 120, das die Antwort im WTLS-verschlüsselten Format zum Mobiltelefon 110 sendet.
  • In 2 ist die Anfälligkeit von Daten in einem WAP-Trateway 200 mit einer WAP-Lücke 250 weiter dargestellt. Vom WAP-Gateway 200 werden WTLS-verschlüsselte Daten empfangen, die begrifflich durch einen WTLS-Sicherheitsumschlag 210 dargestellt sind. Vom WAP-Gateway 200 werden die WTLS-Daten entschlüsselt, was begrifflich durch den offenen WTLS-Sicherheitsumschlag 220 dargestellt ist. Nach Entschlüsselung sind die Daten mindestens kurzzeitig im Speicher des WAP-Gateway 200 resident, als ungesicherte Daten, die deutlich sichtbar sind 230. Diese Anfälligkeit ist als WAP-Lücke 250 bekannt. Vom WAP-Gateway 200 werden dann die Daten im SSL-Format verschlüsselt, was durch Einfügung der Daten 230 in den offenen SSL-Sicherheitsumschlag 240 und nachfolgendes Verschließen des Umschlags 260 dargestellt ist. Die SSL-verschlüsselten Daten, die begrifflich durch den SSL-Sicherheitsumschlag 260 dargestellt sind, werden für das Internet bereitgestellt. Wie durch die zweiseitig gerichteten Pfeile angedeutet, kann die WAP-Lücke 250 auch angetroffen werden, wenn Umwandlung in der umgekehrten Richtung von SSL zu WTLS stattfindet. Dementsprechend befinden sich infolge der WAP-Lücke 250 die Daten in einem angreifbaren, ungesicherten Zustand, der der unverläßlichen Kontrolle des WAP-Gateways 200 unterliegt und einem Hackerangriff unterworfen sein kann.
  • 3 zeigt ein System 300 des Standes der Technik zur Vermeidung der WAP-Lücke. Ein Mobiltelefon 310 tauscht WTLS-Daten mit einem WAP-Gateway 320 aus. Vom WAP-Gateway 320 werden die WTLS-gesicherten Daten zu einem verläßlichen WTLS/SSL-Umwandlungssystem 330 gesendet. Das Umwandlungssystem 330 ist am selben physikalischen Ort wie der WAP-Gateway 320 resident und wird teilweise durch jemanden gesteuert, der den Server 340 steuert. Vom WTLS/SSL-Umwandlungssystem 330 wird zwischen WTLS und SSL umgewandelt, indem die Daten durch einen ungesicherten, klaren Datenzustand geführt werden. Demnach bietet diese Lösung keine Ende-zu-Ende-Lösung, bei der sich die Daten stets im verschlüsselten Format befinden. Und obwohl die Umwandlung im WTLS/SSL-Umwandlungssystem 330 möglicherweise verhältnismäßig verläßlicher als die Umwandlung im WAP-Gateway 320 ist, ist das Umwandlungssystem 320 am physikalischen Ort des WAP-Gateways 320 resident, und die Person des Servers 320 hat nicht vollständig verläßliche Kontrolle über das Umwandlungssystem 330. Ein zusätzlicher Nachteil ist die erhöhte Latenzzeit, die durch das Senden von WTLS-Daten zum WTLS/SSL-Umwandlungssystem 330 und Warten auf SSL-Antwortdaten vom System 330 eingeführt wird. Der WAP-Gateway empfängt die umgewandelten Daten im SSL-verschlüsselten Format und stellt die SSL-verschlüsselten Daten für den Server 340 bereit, der CGI-Skripts zum Zugreifen auf Daten und Formatieren einer Antwort fährt. Die Notwendigkeit, eine Umwandlung von WTLS zu SSL und dann von SSL in klare Daten durchzuführen ist ein weiterer Nachteil des Systems 300.
  • KURZE BESCHREIBUNG DER VERSCHIEDENEN ANSICHTEN DER ZEICHNUNGEN
  • Die als für die Erfindung kennzeichnend angesehenen neuartigen Merkmale sind in den beiliegenden Ansprüchen aufgeführt. Die vorliegende Erfindung wird beispielhafterweise und nicht begrenzend in den Figuren der beiliegenden Zeichnungen dargestellt, in denen gleiche Bezugsziffern gleichartige Elemente bezeichnen. Die Erfindung selbst sowie eine bevorzugte Verwendungsweise wird am besten durch Bezugnahme auf die nachfolgende ausführliche Beschreibung einer beispielhaften Ausführungsform verständlich, wenn diese in Verbindung mit den beiliegenden Zeichnungen gelesen wird:
  • 1 zeigt ein WAP-Lücke, die an einem WAP-Gateway auftritt, wenn ein Mobiltelefon versucht, sichere Daten mit einem Server auszutauschen.
  • 2 zeigt Datenanfälligkeit in einem WAP-Gateway aufgrund der WAP-Lücke.
  • 3 zeigt WTLS/SSL-Umwandlung außerhalb des WAP-Gateways.
  • 4 zeigt ein Sicherheitssystem in einem Datenzentrum gemäß einer Ausführungsform.
  • 5 zeigt einen WAP-Stapel gemäß einer Ausführungsform.
  • 6 zeigt eine Systemarchitektur gemäß einer Ausführungsform.
  • 7 zeigt ein Verfahren zum Betreiben eines Sicherheitssystems gemäß einer Ausführungsform.
  • 8 zeigt eine WTLS-Sicherheitsprotokollarchitektur gemäß einer Ausführungsform.
  • 9 zeigt einen WTLS-Quittungsaustausch gemäß einer Ausführungsform.
  • 10 zeigt eine Klientenbegrüßungsnachricht gemäß einer Ausführungsform.
  • 11 zeigt ein Sicherheitssystem gemäß einer Ausführungsform.
  • 12 zeigt die Architektur eines Datenzentrums gemäß einer Ausführungsform.
  • 13 zeigt ein Sicherheitssystem gemäß einer Ausführungsform.
  • AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
  • In der nachfolgenden Beschreibung sind zwecks Erläuterung zahlreiche bestimmte Einzelheiten aufgeführt, um ein gründliches Verständnis der vorliegenden Erfindung zu bieten. Dem Fachmann wird jedoch offenbar sein, daß die vorliegende Erfindung ohne einige dieser besonderen Einzelheiten ausgeübt werden kann. In anderen Fällen sind wohlbekannte Strukturen und Vorrichtungen in Blockdiagrammform dargestellt.
  • 4 zeigt ein vereinfachtes Blockdiagramm eines gesicherten Kommunikationssystems 400. Wie hier besprochen, kann ein System, wie beispielsweise ein System zum Auswählen einer Sicherheitsformatumwandlung eine Vorrichtung mit Hardware, Software oder irgendeiner Kombination von Hardware und Software zur Verarbeitung von Daten sein. Das System 400 enthält eine Netzzugriffsvorrichtung 410, die über ein öffentliches Netz 420 kommunizierend an ein Datenzentrum 450 angekoppelt ist, um eine Anzeige eines Sicherheitsformats 430 und sichere Daten 440 für das Datenzentrum 450 bereitzustellen. Das Datenzentrum 450 umfaßt ein Sicherheitssystem 460 mit einem Wählsystem 470 zum Auswählen einer Sicherheitsumwandlung auf Grundlage der Anzeige 430 und einem Umwandlungssystem 480 zur Durchführung der ausgewählten Sicherheitsumwandlung an den sicheren Daten 440.
  • Die Netzzugriffsvorrichtung 410 kann eine beliebige elektronische Vorrichtung zum Anschließen und Übertragen von Daten über das Netz 420 sein. Beispielsweise kann die Zugriffsvorrichtung 410 eine drahtgebundene Vorrichtung (z.B. einen Personal Computer, einen Arbeitsplatz oder eine Telefaxmaschine) oder eine drahtlose Vorrichtung (z.B. einen Laptop-Rechner, einen PDA-Rechner, ein Mobiltelefon, ein Funkrufgerät, ein intelligentes Handy oder einen Communicator) umfassen. Typischerweise benutzen drahtgebundene Vorrichtungen andere Sicherheitsformate oder -protokolle als drahtlose Vorrichtungen, um den größeren Speicher, Prozessor und die Bandbreitenressourcen der drahtlosen Vorrichtung auszunutzen.
  • Das öffentliche Netz 420 kann ein beliebiges Netz mit mindestens einem nicht privaten Teil sein, der von anderen Instanzen als der Netzzugriffsvorrichtung 410 und dem Datenzentrum 450 geteilt wird. Das öffentliche Netz 420 kann im Vergleich zu einem Privatnetz (z.B. einem Intranet), das intern im Datenzentrum 450 benutzt werden kann, verhältnismäßig unverläßlich, ungesichert und anfälliger fir einen Sicherheitsverstoß während der Übertragung (z.B. einen Hackerangriff) sein. Gemäß einer Ausführungsform enthält das öffentliche Netz 420 ein Funknetz, einen WAP-Gateway, und das Internet und bietet Ende-zu-Ende-Sicherheit zwischen einer drahtlosen Zugriffsvorrichtung 410 und dem Datenzentrum 450.
  • Das Datenzentrum 450 kann ein beliebiges oder mehrere Computersysteme sein, die an das öffentliche Netz 420 angeschlossen sind, um sichere Daten über das öffentliche Netz 420 zu empfangen oder bereitzustellen. Zum Beispiel kann das Datenzentrum 450 eine Mehrzahl von privat vernetzten Computersystemen enthalten, die solche Funktionen, wie beispielsweise eine Firewall, einen Server und eine Datenquelle bereitstellen.
  • Von der Netzzugriffsvorrichtung 410 wird die Anzeige eines Sicherheitsprotokolls 430 über das Netz 420 zum Datenzentrum 450 übertragen. Es werden verschiedene Ausführungsformen der Anzeige 430 in Betracht gezogen. Gemäß einer ersten Ausführungsform enthält die Anzeige 430 Informationen zum Anfordern und Definieren einer Verbindung zwischen der Netzzugriffsvorrichtung 410 und dem Datenzentrum 450.
  • Gemäß einer zweiten Ausführungsform enthält die Anzeige 430 eine Anzeige eines Anschlusses, beispielsweise eine einem bestimmten Sicherheitsformat zugeordneten Nachricht, die an einem Anschluß empfangen wird, der zum Empfangen dieses bestimmten Sicherheitsformats konfiguriert ist. Der Begriff „Anschluß" wird zur Bezugnahme auf eine logische Verknüpfung oder Schnittstelle zwischen vom Netz 420 empfangenen Daten und einer Komponente des Datenzentrums 450, wie beispielsweise einer Anwendung, einem Modul oder einem höheren Protokoll benutzt. Der Anschluß kann eine entsprechende Anschlußnummer aufweisen, die der Komponente zugewiesen ist, und die zum Verbinden oder Leiten von vom Netz 420 empfangenen Daten mit der Komponente oder dem Dienst benutzt werden kann. Gemäß einer Ausführungsform kann der Anschluß einen wohlbekannten Anschluß mit einer wohlbekannten Anschlußnummer umfassen. Beispielsweise kann der Anschluß der wohlbekannte, für HTTP-Daten benutzte Anschluß 80 sein, oder der Anschluß kann der wohlbekannte, für SSL-Daten benutzte Anschluß 443 sein. Eine vom Netz 420 empfangene Nachricht kann eine Anschlußkennung enthalten, die die Komponente identifiziert. Gemäß einer Ausführungsform kann ein Anschluß durch ein vom Betriebssystem geleitetes Softwareverfahren implementiert sein, das vom Netz 420 empfangene Daten an einer physikalischen Schnittstelle, wie beispielsweise einer, mit dem Netz mit einer Gigabit-Ethernet- oder RJ45-Verbindung verknüpften Netzschnittstellenkarte (NIC – Network Interface Card), nach der Anschlußkennung abhört, die den Anschluß und die Komponente identifiziert. Die Anschlußkennung und eine IP-Adresse bilden zusammen eine Prozeßadresse (Socket), die einen Endpunkt einer Verbindung angibt. An eine Ende-zu-Ende-Kommunikation zwischen der Vorrichtung 410 und dem Datenzentrum 450 kann durch ein Vier-Tupel mit einer Anschluß- und IP-Adresse der Vorrichtung 410 und einer Anschluß- und IP-Adresse des Datenzentrums 450 angegeben werden.
  • Nach einer dritten Ausführungsform enthält die Anzeige 430 eine Anzeige eines Sicherheitsformats, das von der Netzzugriffsvorrichtung 410 unterstützt, bevorzugt oder sowohl unterstützt als auch bevorzugt wird. Beispielsweise kann die Anzeige 430 ein durch die Zugriffsvorrichtung 410 unterstütztes oder bevorzugtes Sicherheitsmerkmal umfassen, das in einer Vordatenphase-Sicherheitsaushandlungsnachricht, wie beispielsweise einer Klientenbegrüßungsnachricht angesagt wird, die während eines Sicherheits-Quittungsaustauschs gesendet wird. Der Begriff „Sicherheitsmerkmal" wird zur allgemeinen Bezugnahme auf Merkmale, Parameter oder Optionen benutzt, die ein Sicherheitsformat beschreiben oder definieren, und enthält, ist aber nicht begrenzt auf Sicherheitsmerkmale, die aus der Gruppe mit Versionsinformation, Optionsinformation (z.B. Zertifizierung oder keine Zertifizierung), Verschlüsselungsalgorithmusinformation, Sicherheitsparameterinformation, kryptographische Parameterinformation, verläßliche Zertifikatinformation und sonstige Sicherheitsmerkmalsinformationen umfaßt.
  • Gemäß einer vierten Ausführungsform enthält die Anzeige 430 sowohl eine Anzeige eines dem Sicherheitsformat zugeordneten Anschlusses als auch eine Anzeige eines Sicherheitsmerkmals, das von der Vorrichtung 410 unterstützt wird. Beispielsweise enthält die beispielhafte Anzeige 430B ein Sicherheitsmerkmal 431, das für einen Anschluß 490 (der den wohlbekannten Anschluß 443 enthalten kann) des Datenzentrums 450 bereitgestellt wird.
  • Gemäß einer fünften Ausführungsform enthält die Anzeige 430 eine Sitzungskennung entsprechend einem vorherigen Sicherheitsformat oder einer vorherigen Umwandlung. Gemäß einer sechsten Ausführungsform enthält die Anzeige 430 eine Profilkennung (z.B. eine Benutzerkennung und Paßwort), die Zugriff eines Sicherheitsformats oder einer Sicherheitsumwandlung aus einem Profil im Datenzentrum 450 erlaubt. Gemäß einer siebten Ausführungsform enthält die Anzeige 430 eine fest zugeordnete, unzweideutige Anzeige eines Sicherheitsformats, beispielsweise SSL Version 3.0. Gemäß einer achten Ausführungsform enthält die Anzeige 430 eine fest zugeordnete, unzweideutige Anzeige einer Sicherheitsumwandlung, beispielsweise Logik oder ein Modul zum Umwandeln von SSL Version 3.0 in klare Daten. Es werden viele andere Ausführungsformen der Anzeige 430 in Betracht gezogen und eine Person mit normalen Fachkenntnissen und dem Nutzen der vorliegenden Offenbarung wird erkennen, daß die Anzeige 430 allgemein ausgelegt werden sollte.
  • Wie oben besprochen, werden verschiedene Anzeigen 430 in Betracht gezogen und das Wählsystem 470 kann dementsprechend verschiedene Auswahlen treffen. Gemäß einer ersten Ausführungsform beruht die Auswahl auf vom Netz 420 empfangenen Informationen. Gemäß einer zweiten Ausführungsform beruht die Auswahl auf Verbindungsinformationen, die der Herstellung einer Verbindung zwischen der Netzzugriffsvorrichtung 410 und dem Datenzentrum 450 zugeordnet sind. Gemäß einer dritten Ausführungsform beruht die Auswahl auf Anschlußinformationen. Beispielsweise kann das Wählsystem 470 eine erste Umwandlung auswählen, wenn Verbindungsinformationen an einem ersten vorbestimmten, konfigurierten Anschluß empfangen werden, und eine zweite Umwandlung auswählen, wenn Verbindungsinformationen an einem zweiten Anschluß empfangen werden. Gemäß einer vierten Ausführungsform beruht die Auswahl auf Sicherheitsmerkmalsinformationen, die Sicherheitsformatmerkmale anzeigen, die von der Vorrichtung 410 unterstützt, bevorzugt oder sowohl unterstützt als auch bevorzugt werden. Beispielsweise könnte das Wählsystem 470 eine Umwandlung auf Grundlage eines in einer Klientenbegrüßungsnachricht angekündigten unterstützten und bevorzugten Sicherheitsformats auswählen.
  • Gemäß einer fünften Ausführungsform könnte die Wahl auf Anschlußinformationen und Sicherheitsmerkmalsinformationen beruhen. Beispielsweise könnte das Wählsystem 470 eine Umwandlung von einem Sicherheitsformat auf Grundlage eines Anschlusses auswählen, an dem eine Klientenbegrüßungsnachricht empfangen wird, und auf Grundlage von Sicherheits merkmalen, von denen in der Klientenbegrüßungsnachricht angedeutet wird, daß sie von der Klientenvorrichtung 410 unterstützt und bevorzugt werden.
  • Gemäß einer sechsten Ausführungsform kann die Wahl auf einer Sitzungskennung entsprechend einem vorherigen Sicherheitsformat oder einer vorherigen Umwandlung beruhen. Gemäß einer siebten Ausführungsform kann die Wahl auf einer Profilkennung (z.B. einer Benutzerkennung und einem Paßwort) beruhen, das dem Wählsystem 470 ermöglicht, aus einem Profil auf ein Sicherheitsformat oder einer Sicherheitsformatumwandlung zuzugreifen. Gemäß einer achten Ausführungsform kann die Wahl auf einem angegebenen Sicherheitsformat oder einer angegebenen Sicherheitsformatumwandlung (z.B. „SSL V3.0 in klare Daten") beruhen. Es werden viele andere Wahlmöglichkeiten und Wählsysteme 470 in Betracht gezogen und eine Person mit gewöhnlichen Fachkenntnissen und dem Nutzen der vorliegenden Offenbarung wird erkennen, daß die Wahl und das Wählsystem 470 allgemein zu deuten sind.
  • Die Umwandlung findet vom empfangenen Sicherheitsformat in ein anderes Format statt. Das andere Format kann ein klares unverschlüsseltes Datenformat sein. Das kann vorteilhaft sein, wenn das Datenzentrum 450 intern sicher genug ist und ein hinreichend geringes Risiko eines unbeabsichtigten oder unberechtigten Zugriffs auf die Daten bietet. Vorteilhafterweise kann dadurch eine nachfolgende Entschlüsselung im Datenzentrum 450 vermieden werden. Gemäß einer alternativen Ausführungsform kann das andere Format ein anderes Sicherheitsformat sein. Das heißt, daß das Sicherheitssystem 460 eine Umwandlung von einem Sicherheitsformat zu einem anderen Sicherheitsformat wählen und implementieren könnte. Beispielsweise könnte die Umwandlung in IPSec (IP security – IP-Sicherheit) stattfinden, das für Sicherheit in einem Intranet des Datenzentrums 450 wünschenswert sein könnte.
  • Die Netzzugriffsvorrichtung 410 überträgt sichere Daten 440 zum Datenzentrum 450 über das Netz 420. Das Datenzentrum 450 empfängt die sicheren Daten 440 vom Netz 420. Das Umwandlungssystem 480 führt die ausgewählte Sicherheitsumwandlung an den sicheren Daten 440 durch. Ohne Begrenzung können die sicheren Daten 440 Transaktions- und/oder Finanzdaten sein, und das Datenzentrum 450 kann wie für die bestimmte Implementierung gewünscht die Daten benutzen und/oder darauf reagieren.
  • Gemäß einer Ausführungsform ist die Netzzugriffsvorrichtung 410 eine drahtlose Netzzugriffsvorrichtung, die einen in 5 gezeigten WAP-Stapel 500 zum Kommunizieren mit dem Datenzentrum 450 benutzt. Der WAP-Stapel 500 ist eine sichere Spezifikation, die der drahtlosen Vorrichtung den sicheren Zugriff auf Informationen über das Netz 420 ermöglicht. Der WAP-Stapel 500 enthält eine Anwendungsschicht 510, eine Sitzungsschicht 520, eine Transaktionsschicht 530, eine Sicherheitsschicht 540, eine Transportschicht 550 und eine Vermittlungsschicht 560. Der WAP-Stapel 500 ist einer Person mit gewöhnlichen Fachkenntnissen wohlbekannt und ist ausführlicher in Versionen 1.2 und 2.0 der WAP-Spezifikation beschrieben, die auf http://www.wapforum.org erhältlich ist.
  • Die Sicherheitsschicht 540 enthält das WTLS-Protokoll und kann Geheimhaltung, Datenintegrität und Klienten-/Serverauthentifizierung für WAP-fähige, drahtlose Vorrichtungen bereitstellen.Das WTLS-Protokoll ist oberhalb der Transportschicht 550 tätig und stellt für die oberen WAP-Schichten 510-530 eine sichere Transportdienstschnittstelle bereit, die die Transportschnittstelle unterhalb bewahrt und auch Verfahren zur Verwaltung von sicheren Verbindungen bietet. WTLS ist mit nicht drahtlosen Protokollen, wie beispielsweise SSL (Secure Sockets Layer) verwandt, besitzt aber verhältnismäßig geringere Verarbeitungsleistung und Speicherraumerfordernisse auf der Vorrichtungsseite, geringere Bandbreite und Datagramm-Verbindungen.
  • Die Transportschicht 550 kann verschiedene auf Datagramm basierende Transportschichtprotokolle, wie UDP/IP und WDP, umfassen. UDP arbeitet mit IP-Trägerdiensten, während WDP mit Nicht-IP-Trägerdiensten arbeitet. Beispielsweise kann WDP mit SMS (Short Message Service) und ähnlichen drahtlosen Trägerdiensten benutzt werden, während UDP mit CSD (Circuit Switched Data) und ähnlichen Trägerdiensten benutzt werden kann.
  • 6 zeigt ein vereinfachtes Blockdiagramm der Systemarchitektur 600 einer Ausführungsform der Erfindung. Die Systemarchitektur 600 enthält eine drahtlose Zugriffsvorrichtung 605 und eine drahtgebundene Zugriffsvorrichtung 620 zum Übertragen von heterogen verschlüsselten Nachrichten über ein öffentliches Netz 625 zu einem Datenzentrum 640 mit einem Sicherheitssystem 645 zum Auswählen und Implementieren von unterschiedlicher Sicherheitsumwandlungsverarbeitung für die empfangenen heterogenen, verschlüsselten Nachrichten.
  • Die drahtlose Zugriffsvorrichtung 605, ein WAP-Mikrobrowser-fähiges Mobiltelefon in einer Ausführungsform, ist an das öffentliche Netz 625, das Internet in einer Ausführungsform, über ein drahtloses Netz 610 und den WAP-Gateway 615 angekoppelt. Die drahtlose Zu griffsvorrichtung 605 erzeugt und überträgt eine WTLS-Klientenbegrüßungsnachricht mit Sicherheitsmerkmalsinformationen entsprechend Sicherheitsfähigkeiten und Bevorzugungen der Vorrichtung 605 zum drahtlosen Netz 610 unter Verwendung entweder eines UDP- oder eines WDP-Transportprotokolls. Vom drahtlosen Netz 610 wird die Nachricht empfangen und zum WAP-Gateway übermittelt. Vom WAP-Gateway wird das Transportprotokollmedium von entweder UDP oder WDP zu TCP umgewandelt und die Nachricht dann unter Verwendung von TCP zum öffentlichen Netz 625 weitergeleitet.
  • Eine drahtgebundene Zugriffsvorrichtung 620, ein browserfähiger Personal Computer in einer Ausführungsform, erzeugt und überträgt eine Nachricht mit Sicherheitsmerkmalsinformationen zum öffentlichen Netz 625. Die Nachricht kann eine SSL-Klientenbegrüßungsnachricht umfassen, die zur Einleitung von Aushandlung eines Sicherheitsformats in einem SSL-Quittungsaustausch benutzt wird.
  • Das öffentliche Netz 625 ist funktionsmäßig mit der drahtlosen Zugriffsvorrichtung 605, der drahtgebundenen Zugriffsvorrichtung 620 und dem Datenzentrum 640 verbunden, um die Nachrichten von den Vorrichtungen 605, 620 zu empfangen und für das Datenzentrum 640 bereitzustellen. Gemäß einer Ausführungsform enthält das Netz 625 das Internet und kann TCP oder UDP als Protokolle für das Transportmedium benutzen. Vom Netz 625 werden die Nachrichten als Anzeigen 630 und 635 zum Datenzentrum 640 übertragen oder kommuniziert.
  • Das Datenzentrum 640 ist an das öffentliche Netz 625 angekoppelt, um die den Vorrichtungen 605 und 620 zugeordneten Nachrichten zu empfangen. Das Datenzentrum 640 enthält ein Sicherheitssystem 645, das gemäß einer Ausführungsform funktionsmäßig zwischen dem öffentlichen Netz 625 und einem Server 690 angeordnet ist, so daß das Sicherheitssystem 645 Sicherheitsumwandlungsauswahl und -ausführung für den Server 690 durchführen kann.
  • Gemäß einer Ausführungsform enthält das Sicherheitssystem 645 eine Netzschnittstelle 650 zum Empfangen von Anzeigen und sicheren Daten, ein Wählsystem 660 zum Auswählen einer Umwandlung auf Grundlage der Anzeigen, ein Umwandlungssystem 670 zum Empfangen der ausgewählten Umwandlung und Implementieren der ausgewählten Umwandlung an über die Netzschnittstelle 650 empfangenen sicheren Daten, und eine zweite Netzschnittstelle 680 zum Empfangen von umgewandelten Daten und Bereitstellen der umgewandelten Daten für andere Komponenten des Datenzentrums 640, wie beispielsweise einen Server 690 in einer Ausführungsform.
  • Die Netzschnittstelle 650 kann eine oder mehrere NIC enthalten, um die Nachrichten und sicheren Daten für das Datenzentrum 640 zu empfangen. Gemäß einer Ausführungsform enthält die Netzschnittstelle 650 mindestens einen Anschluß 654 zum Empfangen von Informationen von der drahtlosen Zugriffsvorrichtung 605 und mindestens einen Anschluß 652 zum Empfangen von Informationen von der drahtgebundenen Zugriffsvorrichtung 620. Beispielsweise kann die Netzschnittstelle 650 einen ersten und zweiten Anschluß 654 enthalten, um gesicherte bzw. ungesicherte Daten von der drahtlosen Zugriffsvorrichtung 605 zu empfangen, und einen zweiten und dritten Anschluß 652, um gesicherte bzw. ungesicherte Daten von der drahtgebundenen Zugriffsvorrichtung 620 zu empfangen.
  • Das Wählsystem 660 ist an die Netzschnittstelle 650 angekoppelt, um Sicherheitsumwandlungsauswahlinformationen von der Netzschnittstelle 650 zu empfangen und auf Grundlage der Informationen eine Sicherheitsumwandlung auszuwählen. Die Sicherheitsumwandlung kann eine Umwandlung von einer der Information zu einem anderen Format (z.B. einem anderen gesicherten Format oder einem klaren Datenformat) zugeordneten Sicherheit sein. Gemäß einer ersten Ausführungsform wählt das Wählsystem 660 eine Sicherheitsumwandlung auf Grundlage einer empfangenen Anzeige eines Anschlusses aus. Beispielsweise kann das Wählsystem 660 eine Anzeige eines vorbestimmten Anschlusses empfangen, von dem bekannt ist, daß er für SSL-verschlüsselte Daten benutzt wird, und mindestens eine Sicherheitsumwandlung von SSL-verschlüsseltem Format zu einem anderen Format auswählen. Gemäß einer zweiten Ausführungsform wählt das Wählsystem 660 mindestens eine Sicherheitsumwandlung auf Grundlage von empfangenen Sicherheitsmerkmalsinformationen aus. Beispielsweise kann das Wählsystem 660 Sicherheitsmerkmalsinformationen empfangen, die ein Sicherheitsmerkmal oder einen Satz Sicherheitsmerkmale anzeigen, die von der drahtgebundenen Zugriffsvorrichtung 620 unterstützt werden, und eine Umwandlung von dieser Sicherheit zu einem anderen Format auswählen. Gemäß einer dritten Ausführungsform wählt das Wählsystem 660 eine Umwandlung auf Grundlage von sowohl Anschlußinformationen, als auch Sicherheitsmerkmalsinformationen aus. Beispielsweise kann das Wählsystem 660 entweder ein WTLS-Umwandlungssystem 672 mit mindestens einer bestimmten Umwandlung von einem WTLS-Format zu einem anderen Format oder ein SSL-Umwandlungssystem 674 mit mindestens einer bestimmten Umwandlung von einem SSL-Format zu einem anderen Format auf Grundlage der Anschlußinformationen auswählen und kann auf Grundlage der Sicherheitsmerkmalsinformationen entweder die bestimmte WTLS- oder SSL-Umwandlung auswählen.
  • Vom Wählsystem 660 kann die ausgewählte Sicherheitsumwandlung für andere Komponenten des Systems 600 bereitgestellt werden. Gemäß einer Ausführungsform wird vom Wählsystem 660 eine Sitzungskennung für eine Sitzung zwischen einer Vorrichtung 605 oder 620 und dem Datenzentrum 640 der ausgewählten Sicherheitsumwandlung zugeordnet. Dadurch können in der Folge empfangene Daten im gesicherten Format der ausgewählten Sicherheitsumwandlung zugeordnet werden. Bei einer Ausführungsform kann das Wählsystem 660 das Umwandlungssystem 670 durch Aktivieren eines Sicherheitsumwandlungswählsignals über die ausgewählte Umwandlung informieren. Beispielsweise kann das Wählsystem 660 einen Verfahrensruf an das Umwandlungssystem 670 tätigen, wobei die ausgewählte Umwandlung vom WTLS-Umwandlungssystem 672 oder dem SSL-Umwandlungssystem 674 übermittelt wird.
  • Nachdem ein Sicherheitsformat zwischen den Vorrichtungen 605, 620 und dem Sicherheitssystem 645 ausgehandelt worden ist, können die Vorrichtungen 605, 620 sichere Daten zum Sicherheitssystem 645 übertragen. Insbesondere kann die drahtlose Vorrichtung 605 Daten in einer vorbestimmten Version von WTLS übertragen. Die sicheren Daten können vom Funknetz 610 empfangen und für den WAP-Gateway 615 bereitgestellt werden. Typischerweise wird vom WAP-Gateway 615 eine Umwandlung von entweder UDP oder WDP zu TCP durchgefihrt, und die TCP-formatierten Daten für das öffentliche Netz 625 bereitgestellt.
  • Gemäß einer Ausführungsform ist der WAP-Gateway 615 so konfiguriert, daß er die empfangenen WTLS-gesicherten Daten ohne Sicherheitsformatumwandlung durchlaufen läßt. Vorteilhafterweise kann durch diesen Ansatz Ende-zu-Ende-Sicherheit zwischen der drahtlosen Zugriffsvorrichtung 605 und dem Datenzentrum 640 bereitgestellt werden und die WAP-Lücke beseitigt werden, die besteht, wenn WTLS-Daten über einen angreifbaren Zustand klarer Daten, der für einen Hacker-Angriff offensteht, in SSL-Daten umgewandelt werden. Es werden verschiedene Konfigurationen in Betracht gezogen, einschließlich einer, bei der der WAP-Gateway 615 so konfiguriert ist, daß alle drahtlosen Verbindungen zum Datenzentrum 640 ohne Sicherheitsformatumwandlung durchlaufen. Mit diesem Ansatz wird auch im Vergleich mit den in den 1-3 gezeigten Ansätzen des Standes der Technik eine verrin gerte Latenzzeit bereitgestellt, da unnötige Sicherheitsformatumwandlungsverarbeitung und -übertragung zu und vom System 330 vermieden werden kann.
  • Die drahtgebundene Zugriffsvorrichtung 620 kann Daten in einer vorbestimmten Version von SSL übertragen, die mit dem Sicherheitssystem 645 ausgehandelt worden ist. Die Daten können unter Verwendung von TCP im SSL-Format über das Internet 625 übertragen werden.
  • Das Umwandlungssystem 670 ist an das Wählsystem 660 angekoppelt, um die ausgewählte Sicherheitsumwandlung zu empfangen, und ist an die Netzschnittstelle 650 angekoppelt, um die sicheren Daten von der drahtlosen Vorrichtung 605 und der drahtgebundenen Vorrichtung 620 zu empfangen. Vom Umwandlungssystem 670 wird die ausgewählte Umwandlung an den empfangenen sicheren Daten implementiert. Das Umwandlungssystem 670 kann Logik einschließlich von Software, Hardware oder irgendeiner Kombination von Software und Hardware enthalten, um die empfangenen sicheren Daten (z.B. WTLS- oder SSLverschlüsselten Daten) in ein klares, unverschlüsseltes Datenformat zu entschlüsseln und gegebenenfalls wieder in ein alternatives Sicherheitsprotokollformat zu verschlüsseln. Gemäß einer Ausführungsform kann die Logik herkömmliche Umwandlungslogik umfassen, die einer Person mit gewöhnlichen Fachkenntnissen und dem Nutzen der vorliegenden Offenbarung wohlbekannt ist.
  • Wie angegeben kann das Sicherheitssystem 645 verschiedene Umwandlungsmodulen enthalten, um Umwandlung von einem empfangenen Sicherheitsformat zu einem anderen Format durchzuführen. Gemäß einer Ausführungsform enthält das Umwandlungssystem 670 ein WTLS-Umwandlungssystem 672 und ein SSL-Umwandlungssystem 674 zum Umwandeln von WTLS- bzw. SSL-sicheren Daten in ein anderes Sicherheitsformat. Das WTLS-Umwandlungssystem 672 kann eine Mehrzahl von Umwandlungsmodulen, beispielsweise ein erstes Umwandlungsmodul von einer ersten Version von WTLS mit einem ersten Sicherheitsmerkmal in klare Daten, ein zweites Umwandlungsmodul von einer zweiten Version von WTLS mit einem zweiten Sicherheitsmerkmal in klare Daten und ein drittes Umwandlungsmodul von der ersten Version von WTLS in ein anderes gesichertes Format, wie beispielsweise SSL, IPPSec oder andere umfassen. Auf ähnliche Weise kann das Umwandlungssystem 674 eine Mehrzahl von Umwandlungsmodulen aufweisen.
  • Das Umwandlungssystem 670 stellt umgewandelte Daten für eine Netzschnittstelle 680 bereit, die an den Server 690 angekoppelt ist. Die Netzschnittstelle 680 kann eine NIC enthalten. Typischerweise stellt die Netzschnittstelle 680 klare Daten für den Server 690 über einen Anschluß für klare Daten, wie beispielsweise den Anschluß 80, bereit, obwohl andere Ausführungsformen in Betracht gezogen werden.
  • Die umgewandelten Daten werden vom Server 690 empfangen. Wenn die umgewandelten Daten in einem gesicherten Format auftreten, kann der Server 690 Entschlüsselung durchführen. Ohne Begrenzung kann der Server 690 jede für die bestimmte Implementierung gewünschte Verarbeitung durchführen. Typischerweise enthält die Verarbeitung die Bereitstellung von reagierenden Daten für die Vorrichtungen 605, 620 über das Sicherheitssystem 645. Gemäß einer Ausführungsform stellt der Server 690 klare Daten für das Sicherheitssystem 645 bereit.
  • Das Sicherheitssystem 645 kann die reagierenden Daten empfangen und an den Daten Sicherheitsverarbeitung durchführen. Gemäß einer Ausführungsform werden vom Sicherheitssystem 645 die reagierenden Daten durch im wesentlichen eine Umkehr der anfänglichen Umwandlung verarbeitet. Beispielsweise kann das Sicherheitssystem 645 für die reagierenden Daten zur drahtlosen Vorrichtung 605 klare Daten vom Server 690 in ein WTLS-Format umwandeln und die sicheren Daten für die drahtlose Vorrichtung 605 bereitstellen. Auf ähnliche Weise kann das Sicherheitssystem 645 für reagierende Daten zur drahtgebundenen Vorrichtung 620 klare Daten vom Server 690 in SSL-Format umwandeln und die sicheren Daten für die drahtgebundene Vorrichtung 620 bereitstellen.
  • Das System 600 kann mehrere Vorteile bieten. Ein erster Vorteil kann eine Fähigkeit zum Übertragen von Sicherheitsverarbeitungsfunktionen vom Server 690 zum Sicherheitssystem 645 sein. Sicherheitsverarbeitung kann ziemlich prozessor- und speicherintensiv sein und kann ohne diese Entlastung einen bedeutsamen Anteil der Ressourcen des Servers 690 verbrauchen. Durch Entlastung wird dem Server 690 auch ermöglicht, mehr Verbindungen zu verarbeiten. Beispielsweise kann bei einem Sicherheitssystem 645, das Sicherheitsumwandlung durchführt, der Server 690 in der Lage sein, annähernd 5-10 mal so viel Verbindungen wie ohne zu bearbeiten. Ein zweiter Vorteil ist die Ende-zu-Ende-Sicherheit zwischen den Zugriffsvorrichtungen 605, 620 und dem Server 690. Ein dritter Vorteil ist eine einzige Sicherheitsumwandlung zwischen den Zugriffsvorrichtungen 605, 620 und dem Server 690.
  • Dadurch wird ein schnellerer Datenaustausch aufgrund eines geringeren Rechenaufwands und einer geringeren Latenzzeit ermöglicht. Ein vierter Vorteil besteht darin, daß das Sicherheitssystem 645 eine Einplatz-Sicherheitslösung für sowohl drahtlose als auch drahtgebundene Sicherheitsprotokolle bereitstellen kann. Ein fünfter Vorteil ist, daß es oft leichter sein könnte, das Sicherheitssystem 645 mit den aktuellsten Sicherheitsstandards und Umwandlungen zu aktualisieren, anstatt den Server 690 zu aktualisieren.
  • Das Sicherheitssystem 645 ist in vereinfachtem Format dargestellt worden, um die Erfindung nicht unverständlich zu machen. Eine Person mit gewöhnlichen Fachkenntnissen und dem Nutzen der vorliegenden Erfindung wird jedoch erkennen, daß in dem Sicherheitssystem 645 andere Komponenten 685 enthalten sein können. Häufig werden die anderen Komponenten 685 ein Betriebssystem oder eine Betriebsplattform enthalten. Auch können die anderen Komponenten 685 Komponenten enthalten, die für die bestimmte Implementierung wünschenswert sind, wie beispielsweise Komponenten zur Durchführung von XML-Transformation, XML-Parsing, inhaltsbasierender Wegeleitung und sonstigen Funktionen klarer Daten. Die anderen Komponenten 685 können eine in einem herkömmlichen festzugeordneten Sicherheitsbeschleuniger benutzte Komponente, wie beispielsweise Intel(R) NetStructure TM 7110 e-Commerce Accelerator, einen 7115 e-Commerce Accelerator, einen 7140 Traffic Director, einen 7175 Traffic Director, einen 7180 e-Commerce Director, einen 7280 XML-Director oder einen 7210 XML-Accelerator enthalten, die alle von der Intel Corporation in Santa Clara, California erhältlich sind.
  • 7 zeigt in Blockdiagrammform ein Verfahren 700 zum Betreiben eines Sicherheitssystems, wie beispielsweise das Sicherheitssystem 460 oder 645 gemäß einer Ausführungsform. Das Verfahren 700 kann in Logik implementiert sein, die Software, Hardware oder eine Kombination von Software und Hardware umfassen kann.
  • Das Verfahren 700 beginnt im Block 701 und schreitet dann zum Block 705 fort, wo das Sicherheitssystem konfiguriert wird. Gemäß einer Ausführungsform kann dazu das Lesen einer Konfigurationsdatei mit Systemkonfigurationsinformationen gehören. Beispielsweise kann ohne Begrenzung das Sicherheitssystem auf Konfigurationsinformationen, wie in der nachfolgenden Tabelle enthaltene, zugreifen: TABELLE 1
    Figure 00170001
  • In der obigen Tabelle liefert die Map-ID eine willkürliche Kennung für eine Verbindung, der Verbindungstyp einen Typ der Verbindung, entweder gesichert oder ungesichert, die Schlüssel-ID liefert Schlüsselkennungen zur Verwendung für die gesicherte Verbindung, Server-IP liefert eine Internet Protocol-Adresse zum Kommunizieren mit Servern im Datenzentrum, der Netzanschluß liefert vorbestimmte bekannte Anschlußnummern zum Empfangen von gesicherten oder ungesicherten Daten aus einem öffentlichen Netz, der Server-Anschluß liefert einen wohlbekannten vorbestimmten Anschluß zum Übermitteln von klaren Daten zu den Servern im Datenzentrum, die Schlüsselfolgen enthalten eine Anzeige der für die gesicherten und ungesicherten Verbindungen benutzten Sicherheitsstärke, und Umleiten bietet eine Wahlmöglichkeit zum Umleiten einer Zugriffsvorrichtung zu Sicherheitsaufwertungsressourcen, sollte die Vorrichtung nicht die benutzten Sicherheitsmerkmale unterstützen.
  • Man betrachte ohne Begrenzung die folgende beispielhafte Ausführung des Umleitungsmerkmals. Vom Sicherheitssystem wird bestimmt, ob der Klient dem in der Konfiguration angegebenen Sicherheitsniveau entspricht. Wenn der Klient nicht dem angegebenen Sicherheitsniveau entspricht, kann das Sicherheitssystem bestimmen, ob eine Umleitungsseite als URL (Uniform Resource Locator) gesendet werden sollte, um dem Klienten eine Gelegenheit zum Aufwerten auf das angegebene Sicherheitsniveau zu bieten. Wenn die Umleitungsseite rticht gesendet werden soll, kann statt dessen eine Vorgabe-Fehlernachricht gesendet werden.
  • Als Alternative kann, anstatt getrennte Server zu benutzen, derselbe Server zum Bedienen von sowohl HTML- und WML-Inhalt (Wireless Markup Language) an unterschiedlichen Netzanschlüssen benutzt werden, so daß die IP-Netzanschlußkombination des Servers einmalig ist. Beispielsweise kann das Sicherheitssystem solche Konfigurationsinformationen, wie die in der nachfolgenden Tabelle enthaltenen, benutzen: TABELLE 2
    Figure 00190001
    Das Verfahren 700 schreitet vom Block 705 zum Block 710 fort, wo Verfahren die konfigurierten Anschlüsse auf Aktivität oder Nachrichten abhören. Gemäß einer Ausführungsform hören die Verfahren auf einmaligen Prozeßadressen ab, die aus einer einmaligen Kombination einer IP-Adresse und einem Anschluß bestehen. Gemäß einer Ausführungsform erzeugt das Sicherheitssystem getrennte Verfahren oder Prozeßstränge zum Abhören der in der Konfigurationsdatei identifizierten Anschlüsse. Beispielsweise kann ein Verfahren den Anschluß 9208 auf WTLS bezogene Nachrichten abhören, ein Verfahren kann den Anschluß 443 auf SSLbezogene Nachrichten abhören, und ein Verfahren kann den Anschluß 80 auf ungesicherte Daten abhören.
  • Das Verfahren 700 kann vom Block 710 zum Block 715 fortschreiten, wenn am Anschluß 9208 Sicherheitsmerkmalsinformationen empfangen werden. Gemäß einer Ausführungsform können die Sicherheitsmerkmalsinformationen eine Klientenbegrüßungsnachricht von einer drahtlosen Zugriffsvorrichtung enthalten. Beispielsweise können die Sicherheitsmerkmalsinformationen eine Klientenbegrüßungsnachricht für eine bestehende oder zukünftige Version von WTLS enthalten.
  • Das Verfahren 700 schreitet vom Block 715 zum Block 720 fort, wo ein WTLS-Sicherheitsformat ausgehandelt wird. Die Aushandlung kann auf Sicherheitsmerkmalsinformationen beruhen, die Sicherheitsmerkmale anzeigen, die von der drahtlosen Vorrichtung bevorzugt werden oder benutzt werden können. Die Aushandlung kann einen Hin-und-Her-Austausch von Sicherheitsmerkmalsfähigkeiten und/oder -bevorzugungen zwischen der Zu griffsvorrichtung und dem Datenzentrum einschließen, um ein gegenseitig unterstütztes Sicherheitsformat zu vereinbaren. Gemäß einer Ausführungsform schließt die Aushandlung des Blocks 720 ein WTLS-Quittungsaustauschprotokoll ein. Unterschiedliche Ausführungsformen des ausgehandelten Sicherheitsformats werden in Betracht gezogen. Gemäß einer ersten Ausführungsform umfaßt das Sicherheitsformat eine bestehende oder zukünftige Version von WTLS. Gemäß einer zweiten Ausführungsform umfaßt das Sicherheitsformat ein ausgehandeltes Sicherheitsmerkmal, wie beispielsweise einen kryptographischen Parameter, einen kryptographischen Algorithmus (z.B. DES (Data Encryption Standard)) oder beide.
  • Das Verfahren 700 schreitet vom Block 720 zum Block 725 fort, wo eine Umwandlung vom ausgehandelten Sicherheitsformat zu einem unverschlüsselten, klaren Datenformat ausgewählt wird. Umwandlung zum klaren Datenformat kann in Architekturen vorteilhaft sein, wo das Sicherheitssystem durch eine zureichend verläßliche Verbindung oder ein zureichend verläßliches Netz an ein Datenziel (z.B. Datenzentrumserver) angekoppelt ist, da der Server dann klare Daten empfangen kann und keine Entschlüsselung durchführen muß.
  • Nach einer ersten Ausführungsform beruht die Auswahl der Umwandlung auf dem Empfang von Informationen am Anschluß 9208. Beispielsweise kann die Umwandlung auf Grundlage von dem Block 715 zugeordneten Informationen ausgewählt werden. Nach einer zweiten Ausführungsform beruht die Umwandlung auf einer Sicherheitsaushandlung. Beispielsweise kann die Umwandlung auf Grundlage von dem Block 720 zugeordneten Informationen ausgewählt werden. Die ausgewählte Sicherheitsumwandlung kann anderen Komponenten, wie beispielsweise einem Umwandlungssystem oder einem Umwandlungsmodul kommuniziert werden.
  • Das Verfahren 700 schreitet vom Block 725 zum Block 730 fort, wo sichere verschlüsselte Daten empfangen werden. Die sicheren Daten können über den Anschluß 9208 empfangen werden und können in dem ausgehandelten Sicherheitsformat des Blocks 720 vorliegen. Das Verfahren 700 schreitet vom Block 730 zum Block 735 fort, wo die empfangenen, verschlüsselten Daten in klare Daten umgewandelt werden. Dies kann unter Verwendung herkömmlicher oder wohlbekannter Verfahren geschehen. Die Blöcke 730 und 735 können unter Verwendung einer schubweisen oder kontinuierlichen Verarbeitung implementiert werden.
  • Das Verfahren 700 kann vom Block 710 zum Block 740 fortschreiten, wenn am Anschluß 443 Sicherheitsmerkmalsinformationen empfangen werden. Beispielsweise können die Sicherheitsmerkmalsinformationen einer Verbindung https://www.intel.com zugeordnet sein, die dem Datenzentrum anzeigen, daß die Klientenvorrichtung versuchen wird, sich an den Anschluß 443 anzuschließen. Gemäß einer Ausführungsform können die Sicherheitsmerkmalsinformationen eine Klientenbegrüßungsnachricht von einer drahtgebundenen Zugriffsvorrichtung enthalten. Beispielsweise können die Sicherheitsmerkmalsinformationen eine Klientenbegrüßungsnachricht für eine bestehende oder zukünftige Version von SSL enthalten.
  • Das Verfahren 700 schreitet vom Block 740 zum Block 745 fort, wo ein SSL-Sicherheitsformat ausgehandelt wird. Die Aushandlung kann analog zu der für den Block 720 beschriebenen durchgeführt werden, um ein Sicherheitsformat zu bestimmen, das auf SSL beruhen kann und das einen kryptographischen SSL-Parameter und SSL-Algorithmus enthalten kann.
  • Das Verfahren 700 schreitet vom Block 745 zum Block 750 fort, wo eine Umwandlung von dem ausgehandelten Sicherheitsformat zu einem unverschlüsselten, klaren Datenformat ausgewählt wird. Gemäß einer ersten Ausführungsform wird die Umwandlung auf Grundlage des Empfangs von Informationen am Anschluß 443 ausgewählt. Beispielsweise kann die Umwandlung auf Grundlage von dem Block 740 zugeordneten Informationen ausgewählt werden. Gemäß einer zweiten Ausführungsform beruht die Umwandlung auf einer Sicherheitsaushandlung. Beispielsweise kann die Umwandlung auf Grundlage von dem Block 745 zugeordneten Informationen ausgewählt werden.
  • Das Verfahren 700 schreitet vom Block 750 zum Block 755 fort, wo Daten im ausgehandelten Sicherheitsformat am Anschluß 443 empfangen werden. Das Verfahren 700 schreitet vom Block 755 zum Block 760 fort, wo die empfangenen Daten von dem sicheren Format in ein klares Datenformat umgewandelt werden.
  • Das Verfahren 700 kann vom Block 710 zum Block 765 fortschreiten, wenn am Anschluß 80 klare unverschlüsselte Daten empfangen werden.
  • Das Verfahren 700 kann vom Block 735, 760 oder 765 zum Block 770 fortschreiten, wo klare Daten für ein gewünschtes Ziel bereitgestellt werden. Gemäß einer Ausführungsform werden die Daten für einen Server oder ein anderes Computersystem des Datenzentrums bereitgestellt. Der Server kann durch eine Netzadresse in Konfigurationsinformationen identifiziert werden. Gemäß einer Ausführungsform werden die Daten über den wohlbekannten Anschluß 80 für den Server bereitgestellt. Das Verfahren 700 kann am Block 775 abgeschlossen werden.
  • Es werden alternative Ausführungsformen des Verfahrens 700 in Betracht gezogen. Gemäß einer ersten alternativen Ausführungsform werden unterschiedliche Anschlüsse konfiguriert und benutzt. Typischerweise werden die Anschlüsse zum Empfangen von Sicherheitsmerkmalsinformationen und Daten Bezeichnungen durch die IANA (Internet Assigned Numbers Authority) oder eine ähnliche Autorität entsprechen. Gemäß einer Ausführungsform kann der WTLS-Anschluß ein aus der Gruppe von Anschlüssen mit Nummern zwischen 9208 und 9282 ausgewählter Anschluß sein. Gemäß einer zweiten alternativen Ausführungsform kann eine Sicherheitsumwandlung von dem ausgehandelten Format der Blöcke 720 oder 745 zu einem anderen Sicherheitsformat als einem klaren Datenformat ausgewählt werden. Dies kann dann vorteilhaft sein, wenn das Datenziel über eine unzureichend sichere Strecke an das Sicherheitssystem angekoppelt ist. Anstatt beispielsweise klare Daten am Block 770 bereitzustellen, können die sicheren Daten im WTLS-Format in sichere Daten im SSL-Format umgewandelt und für das Datenziel bereitgestellt werden. Eine solche Umwandlung kann dann vorteilhaft sein, wenn das Datenziel nicht in der Lage ist, das vor der Umwandlung vorliegende Sicherheitsformat zu entschlüsseln.
  • 8 zeigt die WTLS-Sicherheitsarchitektur 800 gemäß einer Ausführungsform. Die Architektur 800 enthält ein Satzprotokoll 850, um zu übertragende, ungesicherte Daten aus oberen Datenschichten anzunehmen, sich um Datenintegrität und Authentifizierung zu kümmern und Komprimierungs- und Verschlüsselungsalgorithmen auf die Daten anzuwenden. Auch enthält die Architektur 800 vier Protokollklienten einschließlich eines Quittungsaustauschprotokolls 810, wie unten besprochen, ein Warnungsprotokoll 820, um das Abschließen von sicheren Verbindungen zu ermöglichen, ein Anwendungsprotokoll 830 zum Anbinden an obere Stapelschichten und ein Schlüsselspezifikationsänderungsprotokoll 840, um einen koordinierten Wechsel zwischen Lese-, Schreib- und Wartezuständen zu ermöglichen.
  • Das Quittungsaustauschprotokoll 810 stellt eine Ausführungsform einer Sicherheitsaushandlung zwischen einer drahtlosen Zugriffsvorrichtung und einem Datenzentrum dar. Das Quittungsaustauschprotokoll 810 erlaubt der Vorrichtung und dem Datenzentrum, Sicherheitsverfahren und -parameter, wie beispielsweise ein Sicherheitsprotokoll, Protokollversion, kryptographischen Algorithmus, Authentifizierung, Verfahren des öffentlichen Schlüssels und sonstige Sicherheitsmerkmale auszuhandeln oder zu vereinbaren.
  • 9 zeigt ein Block-Flußdiagramm eines WTLS-Quittungsaustauschs 900 gemäß einer Ausführungsform. Der Quittungsaustausch 900 kann zur Aushandlung eines Sicherheitsformats zwischen einem Klienten einer drahtlosen Zugriffsvorrichtung 910 und einem Datenzentrumserver 970 benutzt werden. Gemäß einer Ausführungsform umfaßt der Quittungsaustausch 900 Sicherheitsmerkmalsinformationen.
  • Der Quittungsaustausch 900 beginnt, indem der Klient 910 im Block 920 eine Klientenbegrüßungsnachricht für ein Datenzentrum 970 bereitstellt. Die Klientenbegrüßung teilt typischerweise unterstützte Sicherheitsmerkmale mit (z.B. Protokolle, Versionen, Optionen, Verschlüsselungsalgorithmen und verläßliche Zertifikate). Gemäß einer Ausführungsform zeigt die Klientenbegrüßung mindestens teilweise ein Sicherheitsformat an. Nach der Klientenbegrüßung empfängt der Klient 910 der Zugriffsvorrichtung Nachrichten, bis der Datenzentrumsserver 970 eine Server-Begrüßungsbestätiguungsnachricht sendet.
  • Der Quittungsaustausch 900 schreitet vom Block 920 zum Block 930 fort, wo der Datenzentrumsserver 970 den Quittungsaustausch 900 fortführt. Der Datenzentrumsserver 970 kann eine Server-Begrüßungsnachricht bereitstellen, die Verfahren und Parametern des Sicherheitsformats zustimmt oder sie neu aushandelt. Der Server 970 kann auch eine Server-Zertifikatnachricht senden, wenn Authentifizierung zu benutzen ist, eine Serverschlüsselaustauschnachricht zur Bereitstellung eines öffentlichen Schlüssels, der zum Ausführen oder Austauschen eines Premaster-Geheimwertes benutzt werden kann, eine Zertifikatanforderungsnachricht, um vom Klienten ein Zertifikat und Authentifizierung zu erfragen, und eine Server-Begrüßungsbestätigungsnachricht, um anzuzeigen, daß die Begrüßungsnachrichtenphase des Quittungsaustauschs 900 abgeschlossen ist. Dann wartet der Server 970 auf eine Antwort vom Klienten 910.
  • Der Quittungsaustausch 900 schreitet vom Block 930 zum Block 940 fort, wo der Klient 910 der Zugriffsvorrichtung mit dem Quittungsaustausch 900 fortfährt. Der Klient 910 kann auf Anforderung eine Klientenzertifikatnachricht zu seiner Authentifizierung (oder einer Warnung kein Zertifikat) senden, eine Klienten-Schlüsselaustauschnachricht auf Grundlage des zwischen der Klientenbegrüßung und der Serverbegrüßung ausgewählten Algorithmus des öffentlichen Schlüssels und mit einem Premaster-Geheimwert, der mit dem öffentlichen Schlüssel des Datenzentrumservers verschlüsselt ist, eine digital signierte Zertifikatüberprüfungsnachricht zur ausdrücklichen Bestätigung des Zertifikats, wenn der Klient 910 ein Zertifikat mit Signierungsfähigkeit gesendet hat, eine Schlüsselspezifikationsänderungsnachricht, um anzuzeigen, die Benutzung der ausgehandelten Sicherheitsparameter zu beginnen, und eine Endenachricht mit Bestätigung der vorherigen Daten einschließlich berechneter Sicherheitsinformationen unter den neuen Algorithmen, Schlüsseln und Geheimwerten.
  • Der Quittungsaustausch 900 schreitet vom Block 940 zum Block 950 fort, wo der Datenzentrumserver 970 den Quittungsaustausch 900 weiterführt. Der Datenzentrumserver 970 kann mit einer Schlüsselspezifikationsnachricht antworten, um die Sitzung zu bestätigen und den Klienten 910 zu informieren, die ausgehandelten Sitzungsparameter zu benutzen, und einer Endenachricht, die Bestätigung der ausgetauschten und berechneten Informationen enthält.
  • Der Quittungsaustausch 900 schreitet vom Block 950 zum Block 960 fort, wo der Klient 910 und Server 970 sichere Daten unter Verwendung der hergestellten und ausgehandelten sicheren Verbindung austauschen können. Auch kann der Quittungsaustausch 900 die Bewahrung von Informationen über die sichere Verbindung, wie beispielsweise eine Sitzungskennung enthalten, so daß ein zukünftiger sicherer Datenaustausch auf vordem ausgehandelten Sicherheitsverfahren und -parametern beruhen kann.
  • 10 zeigt eine Klientenbegrüßungsnachricht 1000 gemäß einer Ausführungsform. Die Klientenbegrüßungsnachricht 1000 kann für SSL-, WTLS- oder für ein anderes Sicherheitsformat vorliegen. Gemäß einer Ausführungsform umfaßt die an einem Anschluß empfangene Klientenbegrüßungsnachricht 1000 eine Anzeige eines Sicherheitsformats. Die Klientenbegrüßungsnachricht 1000 enthält Sicherheitsmerkmalsinformationen, wie beispielsweise Klientensicherheitsfähigkeitsinformationen 1010, Zufallsstrukturinformationen 1020, Sitzungs kennungsinformationen 1030, Informationen über unterstützte kryptographische Optionen 1040 und Komprimierungsverfahreninformationen 1050.
  • Die Klientensicherheitsfähigkeitsinformationen 1010 können eine Protokollversion enthalten. Die Protokollversion kann eine Version sein, die der Klient benutzen kann, zu benutzen wünscht oder beides. Beispielsweise können die Informationen 1010 SSL-Version 3.0 oder eine andere Protokollversion anzeigen. Gemäß einer Ausführungsform kann ein Sicherheitssystem in einem Datenzentrum die Klientenversionsinformationen zur Aushandlung eines Sicherheitsformats und Auswahl einer entsprechenden Sicherheitsumwandlung benutzen.
  • Die Zufallsstrukturinformationen 1020 (random structure information) können eine vom Klienten erzeugte zufallsmäßige Struktur enthalten. Die Zufallsstruktur kann eine Mehrzahl von Bit auf Grundlage der aktuellen Zeit und des aktuellen Datums entsprechend einem internen Takt des Klienten und einer Mehrzahl von Zufallsbyte, die durch einen Sicherheits-Zufallszahlengenerator erzeugt werden, enthalten.
  • Die Sitzungskennungsinformationen 1030 (session identification information) können eine Sitzungskennung mit veränderlicher Länge enthalten, die, wenn sie nicht leer ist, eine vorherige Sitzung zwischen dem Klienten und dem Server einschließlich vorheriger Sicherheitsverfahren und -parameter identifiziert, die der Klient wieder für die gegenwärtige Sitzung zu benutzen wünscht. Die Sitzungskennung kann von einer früheren Verbindung, der gegenwärtigen Verbindung oder einer anderen gegenwärtig aktiven Verbindung kommen. Der Server kann den eigentlichen Inhalt der Sitzungskennung definieren. Die Sitzungskennungsinformationen 1030 können leer sein, wenn keine vorherige Sitzung verfügbar ist oder wenn der Klient Sicherheitsverfahren und -parameter neu auszuhandeln wünscht. Gemäß einer Ausführungsform umfaßt eine Sitzungskennung eine Anzeige einer Sicherheitsumwandlung. Beispielsweise kann eine Sitzungskennung einer vorher ausgewählten Sicherheitsumwandlung entsprechen und Empfang der Sitzungskennung ermöglicht einem Wählsystem, wieder die Sicherheitsumwandlung zu wählen.
  • Die unterstützten kryptographischen Informationen 1040 können eine Anzeige von kryptographischen Optionen und Kombinationen enthalten, die vom Klienten unterstützt werden und entsprechend der Bevorzugung des Klienten angeordnet sind. Dazu können auch ähnliche Informationen aus vorherigen Sitzungen gehören, die wiederzuverwenden sind.
  • Die Komprimierungsverfahrensinformationen 1050 können eine Liste von Komprimierungsalgorithmen oder -verfahren enthalten, die vom Klienten unterstützt werden, und eine Anzeige der Klientenbevorzugung für jedes Verfahren. Wenn die Sitzungskennungsinformationen 1030 eine wiederzuverwendende Sitzung anzeigen, können die Komprimierungsverfahrensinformationen 1050 ein für die vorherige Sitzung benutztes Komprimierungsverfahren enthalten. Gemäß einer Ausführungsform zeigen die Informationen 1050 Unterstützung für CompressionMethod.null an.
  • 11 zeigt ein Wählsystem 1100 einer Ausführungsform. Das Wählsystem 1100 empfängt eine Anzeige 1110. Die Anzeige 1110 ist eine Anzeige, die dazu genügt, dem Wählsystem 1100 die Auswahl einer Sicherheitsformatumwandlung zu ermöglichen. Die gezeigte Anzeige 1110 enthält eine Anzeige eines Sicherheitsformats und weist Anschlußinformationen 1112 und Sicherheitsmerkmalsinformationen 1114 auf.
  • Die Anschlußinformationen 1112, die eine Anzeige eines Anschlusses enthalten können, an dem Daten (z.B. Klientenbegrüßungsnachrichten, Sicherheitsmerkmalsinformationen usw.) empfangen wurden, werden für die Protokollwähllogik 1120 des Wählsystems 1100 bereitgestellt. Mit der Protokollwähllogik 1120 kann auf Grundlage der Anschlußinformationen 1112 zwischen verschiedenen Sicherheitsprotokollen gewählt werden. Gemäß der dargestellten Ausführungsform kann mit der Protokollwähllogik 1120 auf Grundlage der Anschlußinformationen 1112 zwischen einem drahtlosen Protokoll, einem drahtgebundenen Protokoll und einem klaren, ungesicherten Protokoll gewählt werden. Ohne Begrenzung ziehe man die folgende begriffliche Protokollwähllogik 1120 in Betracht: wenn die Anschlußinformationen 1112 Anschluß 9208 anzeigen, dann ein drahtloses Protokoll wählen; ansonsten, wenn die Anschlußinformationen 1112 Anschluß 443 anzeigen, dann ein drahtgebundenes Protokoll wählen; ansonsten, wenn die Anschlußinformationen 1112 Anschluß 80 anzeigen, dann ein klares, ungesichertes Protokoll wählen. Durch die Protokollwähllogik 1120 wird eine Protokollwahl 1130 aktiviert, die entweder das drahtlose Protokoll (Auswahl drahtlos), das drahtgebundene Protokoll (Auswahl drahtgebunden) oder das klare, ungesicherte Protokoll (SS) anzeigt.
  • Auch umfaßt das Wählsystem 1100 die an die Protokollwähllogik 1120 angekoppelte Sicherheitsmerkmalwähllogik 1140 zur Aufnahme der Protokollwahl 1130. Mit der Logik 1140 können auf Grundlage der Protokollwahl 1130 und auf Grundlage der Sicherheitsmerkmalsinformationen 1114 verschiedene Sicherheitsformatumwandlungen ausgewählt werden. Die Wahl S5 kann die Logik 1140 umgehen, da eine Sicherheitsformatumwandlung gewöhnlich nicht an klaren Daten durchgeführt wird. Gemäß der dargestellten Ausführungsform kann mit der Logik 1140 eine von vier verschiedenen Umwandlungen ausgewählt werden (d.h. entsprechend den Wahlen S1, S2, S3 oder S4), obwohl dies keine Begrenzung anderer Ausführungsformen darstellt.
  • Die Logik 1140 umfaßt einen Drahtlos-Logikteil 1150 und einen Draht-Logikteil 1160, die beide die Sicherheitsmerkmalsinformationen 1114 empfangen können. Mit dem Logikteil 1150 kann eine Umwandlung ausgewählt werden, wenn die Protokollwahl 1130 eine Auswahl drahtlos anzeigt. Ohne Begrenzung ziehe man den folgenden begrifflichen Logikteil 1150 in Betracht: wenn die Sicherheitsmerkmalsinformationen 1114 ein gesetztes F1 von mindestens einem Sicherheitsmerkmal anzeigen, dann eine erste Sicherheitsformatumwandlung auswählen; ansonsten, wenn die Sicherheitsmerkmalsinformationen 1114 ein gesetztes F2 von mindestens einem Sicherheitsmerkmal anzeigen, dann eine zweite Sicherheitsformatumwandlung auswählen; ansonsten eine Umleitungs-URL senden, wenn dahingehend konfiguriert.
  • Mit dem Logikteil 1160 kann eine Umwandlung ausgewählt werden, wenn die Protokollwahl 1130 eine Draht-Wahl anzeigt. Ohne Begrenzung ziehe man den folgenden begrifflichen Logikteil 1160 in Betracht: wenn die Sicherheitsmerkmalsinformationen 1114 ein gesetztes F3 von mindestens einem Sicherheitsmerkmal anzeigen, dann eine dritte Sicherheitsformatumwandlung auswählen; ansonsten, wenn die Sicherheitsmerkmalsinformationen 1114 ein gesetztes F4 von mindestens einem Sicherheitsmerkmal anzeigen, dann eine vierte Sicherheitsformatumwandlung auswählen; ansonsten eine Umleitungs-URL senden, wenn dahingehend konfiguriert.
  • Die Logik 1140 aktiviert eine Sicherheitsformatumwandlungswahl 1170, die eine an gesicherten Daten durchzuführende Sicherheitsformatumwandlung anzeigt, die den Anschlußinformationen 1112 und 1114 entspricht. Die Auswahl 1170 kann S1 oder S2 für eine drahtlose Vorrichtung und S3 oder S4 für eine drahtgebundene Vorrichtung einschließen. Die Auswahl 1170 kann einem Umwandlungssystem oder -modul übermittelt werden.
  • 12 zeigt ein Datenzentrum 1200 gemäß einer Ausführungsform. Das Datenzentrum 1200 kann an ein öffentliches Netz, wie beispielsweise das Internet angekoppelt sein, um Anzeigen und gesicherte Daten aus dem öffentlichen Netz zu empfangen. Das Datenzentrum 1200 enthält ein Sicherheitssystem 1220, das funktionsmäßig zwischen einem Switch/Router 1210 und einem Switch/Router 1230 angeordnet und in genügender Nähe eines oder mehrerer Server 1240–1260 des Datenzentrums 1200 angeordnet ist. Das Sicherheitssystem 1220 empfängt möglicherweise heterogen verschlüsselte Daten vom Switch/Router 1210 und liefert zweckentsprechend sicherheitsformatgewandelte Daten zum Switch/Router 1230. Vom Switch/Router 1230 werden die umgewandelten Daten, die im klaren Datenformat vorliegen können, für einen oder mehrere Server 1240–1260 bereitgestellt. Gemäß einer ersten Ausfihrungsforrri umfaßt der eine oder die mehreren Server 1240–1260 einen Server 1240 mit WML-Inhalt, der durch eine Adresse 10.1.1.30 erreicht werden kann, um Funkdaten zu empfangen und bereitzustellen, und einen Server 1250 mit HTTP-Inhalt, der durch eine Adresse 10.1.1.31 erreicht werden kann, um drahtgebundene Daten zu empfangen und bereitzustellen. Gemäß einer zweiten Ausführungsform kann ein über eine Adresse 10.1.1.32 erreichbarer Apache-Server 1260 sowohl Funk- als auch Draht-Daten empfangen und bereitstellen.
  • 13 zeigt ein Sicherheitssystem 1300 gemäß einer Ausführungsform. Das Sicherheitssystem 1300 enthält eine Frontplattenschnittstelle 1310. Die Frontplattenschnittstelle kann gewünschte Informationen (z.B. 13111318), Datenverbindungen (z.B. 13191322) und Bedienungselemente (z.B. 1323–-1324) bereitstellen, die für die bestimmte Implementierung gewünscht werden. Insbesondere können die Datenverbindungen eine Verbindung 1319 mit einer Konsole mit einer Anzeigevorrichtung (z.B. einem Monitor), einer Dateneingabevorrichtung (z.B. Tastatur), einer Cursorsteuerungsvorrichtung (z.B. Maus) und anderen Komponenten enthalten, um dem Benutzer zu ermöglichen, das System 1300 zu konfigurieren und zu überwachen. Die Datenverbindungen können auch eine Netzverbindung 1321 mit einem öffentlichen Netz oder einer öffentlichen Netzschnittstelle und einer Serververbindung 1322 mit einem Ziel von sicherheitsformatuumgewandelten Daten enthalten. Diese Verbindungen können Gigabit-Ethernet- oder RJ45-Verbindungen umfassen.
  • Auch enthält das Sicherheitssystem 1300 einen Bus oder ein sonstiges, an die Frontplattenschnittstelle 1310 angekoppeltes Kommunikationsmittel 1350 zum Kommunizieren von Informationen, ein Verarbeitungsmittel, wie beispielsweise einen an den Bus 1350 angekoppelten Prozessor 1360, zum Verarbeiten von Daten, einen an den Bus 1350 angekoppelten Ar beitsspeicher 1370 (z.B. RAM-Speicher) zum Speichern von Daten und vom Prozessor 1360 auszuführenden Anweisungen, einen an den Bus 1350 angekoppelten Nurlesespeicher 1380 zum Speichern statischer Informationen und Anweisungen für den Prozessor 1360 (z.B. ein BIOS), und Sicherheitshardware 1390.
  • Im Arbeitsspeicher 1370 können Wählanweisungen 1372 und Umwandlungsanweisungen 1374 gespeichert sein. Die Anweisungen 1372, 1374 können als Anwendungen, Modulen, Datenstrukturen oder sonstige Logik enthalten sein.
  • Gemäß einer Ausführungsform kann Sicherheitsformatumwandlungsauswahl oder Sicherheitsformatumwandlung teilweise in Hardware durchgeführt werden. Beispielsweise kann die Hardware 1390 Schaltungen umfassen, um modulare Potenzierung, Pseudozufallsnummernerzeugung, Pseudozufallsschlüsselerzeugung, DES/3DES-Verschlüsselung und – entschlüsselung und sonstige gewünschte Sicherheitsoperationen durchzuführen. Gemäß einer Ausführungsform umfaßt die Hardware 1390 eine Kryptokarte, FPGA (Field-Programmable Gate Array) oder ASIC (Application Specific Integrated Circuit) zur Durchführung dieser Sicherheitsoperationen.
  • Alternativen Ausführungsformen
  • Die Erfindung ist nicht auf die bestimmten, oben besprochenen Ausführungsformen begrenzt, und eine Person mit gewöhnlichen Fachkenntnissen und dem Nutzen der vorliegenden Offenbarung wird erkennen, daß viele andere Ausführungsformen in Betracht gezogen werden.
  • Unterschiedliche Sicherheitsformate
  • Gemäß einer ersten alternativen Ausführungsform kann die Erfindung mit anderen Sicherheitsformaten als den oben beschriebenen benutzt werden. Das Sicherheitsformat kann ein Format sein, das von der IETF (Internet Engineering Task Force) genehmigt ist, ein auf TLS (Transport Layer Security) basierendes Format sein, ein Format, das eine zukünftige Erweiterung von TLS, SSL oder WTLS darstellt oder ein Format, wie beispielsweise S-HTTP (Secure HTTP), IPSec (IP security), Private Communications Technology (private Kommunikationstechnologie) oder ein sonstiges sein.
  • Verteiltes Sicherheitssystem
  • Gemäß einer zweiten alternativen Ausführungsform kann das hier besprochene Sicherheitssystem über mehrere Computersysteme verteilt sein. Beispielsweise kann ein erstes Computersystem oder eine erste Computervorrichtung ein Wählsystem aufweisen, ein zweites System oder eine zweite Vorrichtung kann ein WTLS-Umwandlungssystem aufweisen und ein drittes System oder eine dritte Vorrichtung kann ein SSL-Umwandlungssystem aufweisen.
  • Server mit Sicherheitssystem
  • Gemäß einer dritten alternativen Ausführungsform kann ein Server ein Sicherheitssystem, ein Wählsystem oder ein Umwandlungssystem enthalten.
  • Web-Switch
  • Gemäß einer vierten alternativen Ausführungsform kann in einem Web-Switch mit mehr Netzverbindungsfähigkeiten für erhöhte Verbindungsskalierbarkeit ein Sicherheitssystem, ein Wählsystem oder ein Umwandlungssystem enthalten sein.
  • Pushbetrieb
  • Gemäß einer fünften alternativen Ausführungsform kann ein Sicherheitssystem, ein Wählsystem oder ein Umwandlungssystem im Pushbetrieb benutzt werden. Beispielsweise kann ein Server in einem Datenzentrum klare Daten für ein Sicherheitssystem bereitstellen, das ein Sicherheitsformatumwandlungswählsystem enthält, um Umwandlung in das SSL-Format für eine drahtgebundene Vorrichtung und Umwandlung in das WTLS-Format für eine drahtlose Vorrichtung auszuwählen.
  • Zum Abschluß bietet die vorliegende Erfindung einen Ansatz zum Auswählen einer Sicherheitsformatumwandlung auf Grundlage von aus einem Netz empfangenen Sicherheitsformatinformationen.
  • In der obigen Beschreibung ist die Erfindung unter Bezugnahme auf bestimmte Ausführungsformen derselben beschrieben worden. Es ist jedoch eindeutig, daß verschiedene Modifizierungen und Änderungen daran durchgeführt werden können, ohne von dem weiteren Sinn und Umfang der Erfindung abzuweichen. Die Beschreibung und Zeichnungen müssen daher als beispielhaft und nicht als beschränkend angesehen werden.
  • Zusammenfassung
  • Es wird ein Wählsystem und -verfahren zum Empfangen einer Anzeige eines Sicherheitsformats aus einem Netz und zum Auswählen einer von einer Mehrzahl von Sicherheitsformatumwandlungen auf Grundlage der empfangenen Anzeige beschrieben. Die Anzeige kann eine Anzeige eines von einer drahtlosen Zugriffsvorrichtung benutzten drahtlosen Sicherheitsformats, wie beispielsweise WTLS oder eines von einer drahtgebundenen Zugriffsvorrichtung benutzten drahtgebundenen Sicherheitsformats, wie beispielsweise SSL, sein und die auf Grundlage der Anzeige ausgewählte Sicherheitsformatumwandlung kann zu einem anderen gesicherten Format oder einem klaren Datenformat stattfinden. Die Anzeige kann eine Anzeige eines Anschlusses und eine Anzeige eines von der Zugriffsvorrichtung unterstützten Sicherheitsmerkmals enthalten.

Claims (17)

  1. System, das folgendes umfaßt: eine an ein öffentliches Netz angekoppelte Netzschnittstelle zum Empfangen einer ersten Klientenbegrüßungsnachricht und von WTLS (Wireless Transport Layer Security)-verschlüsselten Daten an einem ersten Anschluß und zum Empfangen einer zweiten Klientenbegrüßungsnachricht und SSL (Secure Sockets Layer)verschlüsselten Daten an einem zweiten Anschluß; ein an die Netzschnittstelle angekoppeltes Wählsystem zum Auswählen einer ersten Sicherheitsformatumwandlung, wenn die erste Klientenbegrüßungsnachricht am ersten Anschluß empfangen wird, und zum Auswählen einer zweiten Sicherheitsformatumwandlung, wenn die zweite Klientenbegrüßungsnachricht am zweiten Anschluß empfangen wird; ein an das Wählsystem angekoppeltes Umwandlungssystem zum Durchführen der ersten Sicherheitsformatumwandlung an den WTLS-verschlüsselten Daten, wenn die erste Sicherheitsformatumwandlung ausgewählt ist, und zum Durchführen der zweiten Sicherheitsformatumwandlung an den SSL-verschlüsselten Daten, wenn die zweite Sicherheitsformatumwandlung ausgewählt ist; und eine an das Umwandlungssystem und an einen Server angekoppelte Netzschnittstelle zum Empfangen von sicherheitsformatgewandelten Daten aus dem Umwandlungssystem und zum Bereitstellen der umgewandelten Daten für den Server.
  2. System nach Anspruch 1, wobei das Wählsystem ein Wählsystem zum Auswählen der ersten Sicherheitsformatumwandlung auf Grundlage eines in der ersten Klientenbegrüßungsnachricht angezeigten, unterstützten Sicherheitsmerkmals ist.
  3. System nach Anspruch 1, wobei das öffentliche Netz das Internet umfaßt; wobei das Wählsystem in einer einzigen Netzvorrichtung enthalten ist; und wobei die sicherheitsformatgewandelten Daten klare Daten umfassen.
  4. Wählsystem zum Empfangen einer Anzeige eines Sicherheitsformats aus einem Netz und zum Auswählen von einem von einer Mehrzahl von Sicherheitsformatumwandlungen auf Grundlage der empfangenen Anzeige.
  5. System nach Anspruch 4, wobei das Wählsystem zwischen dem Internet und einem Datenzentrumserver angeordnet ist.
  6. System nach Anspruch 4, wobei das Wählsystem funktionsmäßig zwischen einem ersten Switch und einem zweiten Switch in einem Datenzentrum angeordnet ist.
  7. System nach Anspruch 4, wobei das Wählsystem auf einem Datenzentrumserver implementiert ist.
  8. System nach Anspruch 4, wobei die Mehrzahl von Sicherheitsformatumwandlungen eine erste Sicherheitsformatumwandlung von einem WTLS-Format in ein anderes Format und eine zweite Sicherheitsformatumwandlung von einem SSL-Sicherheitsformat in ein anderes Format umfaßt; und wobei das Wählsystem ein Wählsystem zum Auswählen der ersten Sicherheitsformatumwandlung nach Empfangen von das WTLS-Format anzeigenden Informationen aus dem Netz und zum Auswählen der zweiten Sicherheitsformatumwandlung nach Empfangen von das SSL-Sicherheitsformat anzeigenden Informationen aus dem Netz.
  9. System nach Anspruch 4, wobei die Anzeige des Sicherheitsformats eine Anzeige eines Anschlusses umfaßt; und wobei das Wählsystem eine Sicherheitsformatumwandlung auf Grundlage der Anzeige des Anschlusses auswählt.
  10. System nach Anspruch 8, wobei die Anzeige des Sicherheitsformats eine Klientenbegrüßungsnachricht mit Informationen über ein von einer Klientenzugriffsvorrichtung unterstütztes Sicherheitsformat umfaßt; wobei das Wählsystem die eine Sicherheitsformatumwandlung auf Grundlage der Informationen über das Sicherheitsmerkmal auswählt.
  11. Verfahren mit folgenden Schritten: Abhören einer Mehrzahl von konfigurierten Anschlüssen nach einer Sicherheitsaushandlungsnachricht; Empfangen der Sicherheitsaushandlungsnachricht an einem ersten konfigurierten Anschluß der Mehrzahl; Auswählen einer vorbestimmten Sicherheitsformatumwandlung auf Grundlage des ersten konfigurierten Anschlusses und der Sicherheitsaushandlungsnachricht.
  12. Verfahren nach Anspruch 11, wobei das Abhören ein Abhören des ersten Anschlusses nach einer Sicherheitsaushandlungsnachricht entsprechend einer drahtlosen Zugriffsvorrichtung und ein Abhören eines zweiten konfigurierten Anschlusses nach einer Sicherheitsaushandlungsnachricht entsprechend einer drahtgebundenen Zugriffsvorrichtung umfaßt; das Empfangen ein Empfangen der Sicherheitsaushandlungsnachricht entsprechend der drahtlosen Zugriffsvorrichtung am ersten Anschluß umfaßt; und wobei das Auswählen ein Auswählen einer Umwandlung von einem für die drahtlose Vorrichtung geeigneten Sicherheitsformat in ein klares Datenformat umfaßt.
  13. Verfahren nach Anspruch 11, wobei das Abhören ein Abhören eines ersten konfigurierten Anschlusses nach einer WTLS-Klientenbegrüßungsnachricht und ein Abhören eines zweiten konfigurierten Anschlusses nach einer SSL-Klientenbegrüßungsnachricht umfaßt; wobei das Empfangen ein Empfangen der WTLS-Klientenbegrüßungsnachricht am ersten Anschluß umfaßt; und wobei das Auswählen ein Auswählen einer Umwandlung vom WTLS-Format in klares Datenformat auf Grundlage des ersten Anschlusses und auf Grundlage von Verschlüsselungsalgorithmusinformationen der WTLS-Klientenbegrüßungsnachricht umfaßt.
  14. Verfahren nach Anspruch 11, wobei das Abhören ein Abhören des Anschlusses 443 und Abhören eines Anschlusses mit einer Nummer umfaßt, die aus der Gruppe ausgewählt wird, die aus den Nummern 9208 bis 9282 besteht.
  15. Maschinenlesbares Medium mit darauf gespeicherten Daten, die Folgen von Anweisungen darstellen, die bei ihrer Ausführung bewirken, daß eine Maschine: einen ersten Anschluß nach einer ersten Klientenbegrüßungsnachricht von einer drahtlosen Vorrichtung abhört und einen zweiten Anschluß nach einer zweiten Klientenbegrüßungsnachricht von einer drahtgebundenen Vorrichtung abhört; die erste Klientenbegrüßungsnachricht am ersten Anschluß empfängt und die zweite Klientenbegrüßungsnachricht am zweiten Anschluß empfängt; und eine erste an von der drahtlosen Vorrichtung empfangenen, verschlüsselten Daten durchzuführende Sicherheitsformatumwandlung auswählt und eine zweite an von der drahtgebundenen Vorrichtung empfangenen, verschlüsselten Daten durchzuführende Sicherheitsformatumwandlung auswählt.
  16. Maschinenlesbares Medium nach Anspruch 15, wobei die Anweisungen zum Auswählen weiterhin Anweisungen umfassen, die bewirken, daß die Maschine eine erste Sicherheitsformatumwandlung aus einem in der ersten Klientenbegrüßungsnachricht angezeigten drahtlosen Sicherheitsformat auswählen.
  17. Maschinenlesbares Medium nach Anspruch 15, wobei die Anweisungen zum Auswählen weiterhin Anweisungen umfassen, die bewirken, daß die Maschine eine erste Sicherheitsformatumwandlung von einem WTLS-verschlüsselten Datenformat in ein klares Datenformat auswählt und eine zweite Sicherheitsformatumwandlung von einem SSL-verschlüsselten Datenformat in ein klares Datenformat auswählt.
DE10297362T 2001-10-23 2002-10-23 Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen Withdrawn DE10297362T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/000,154 2001-10-23
US10/000,154 US8020201B2 (en) 2001-10-23 2001-10-23 Selecting a security format conversion for wired and wireless devices
PCT/US2002/033997 WO2003036913A2 (en) 2001-10-23 2002-10-23 Selecting a security format conversion for wired and wireless devices

Publications (1)

Publication Number Publication Date
DE10297362T5 true DE10297362T5 (de) 2004-09-09

Family

ID=21690167

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10297362T Withdrawn DE10297362T5 (de) 2001-10-23 2002-10-23 Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen

Country Status (7)

Country Link
US (2) US8020201B2 (de)
CN (1) CN100508517C (de)
DE (1) DE10297362T5 (de)
GB (1) GB2395877B (de)
HK (1) HK1062752A1 (de)
TW (1) TWI251418B (de)
WO (1) WO2003036913A2 (de)

Families Citing this family (113)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003058453A (ja) * 2001-08-10 2003-02-28 Yamaha Corp ネットワークサービスシステム、コンテンツ提供サービス装置、および、中継サービス装置
US8020201B2 (en) 2001-10-23 2011-09-13 Intel Corporation Selecting a security format conversion for wired and wireless devices
US8601566B2 (en) * 2001-10-23 2013-12-03 Intel Corporation Mechanism supporting wired and wireless methods for client and server side authentication
US20030163692A1 (en) * 2002-01-31 2003-08-28 Brocade Communications Systems, Inc. Network security and applications to the fabric
US7386717B2 (en) * 2002-03-07 2008-06-10 Intel Corporation Method and system for accelerating the conversion process between encryption schemes
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7412539B2 (en) 2002-12-18 2008-08-12 Sonicwall, Inc. Method and apparatus for resource locator identifier rewrite
US7774831B2 (en) * 2002-12-24 2010-08-10 International Business Machines Corporation Methods and apparatus for processing markup language messages in a network
US8473620B2 (en) 2003-04-14 2013-06-25 Riverbed Technology, Inc. Interception of a cloud-based communication connection
US7353381B2 (en) 2003-06-03 2008-04-01 Microsoft Corporation Supplicant and authenticator intercommunication mechanism independent of underlying data link and physical layer protocols
WO2005008997A1 (en) * 2003-07-03 2005-01-27 Sinett Corporation Hardware acceleration for unified ipsec and l2tp with ipsec processing in a device that integrates wired and wireless lan, l2 and l3 switching functionality
WO2005008982A1 (en) * 2003-07-03 2005-01-27 Sinett Corporation Method of stacking multiple devices to create the equivalent of a single device with a larger port count
US8261070B2 (en) * 2004-04-23 2012-09-04 The Boeing Company Authentication of untrusted gateway without disclosure of private information
US8130957B2 (en) * 2004-04-30 2012-03-06 Research In Motion Limited System and method for securing data
JP2005341348A (ja) * 2004-05-28 2005-12-08 Fujitsu Ltd 無線通信システム及び秘匿制御方法
US8250214B2 (en) * 2004-12-20 2012-08-21 Vmware, Inc. System, method and computer program product for communicating with a private network
US7743245B2 (en) * 2005-03-10 2010-06-22 Intel Corporation Security protocols on incompatible transports
US20060230278A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods,systems, and computer program products for determining a trust indication associated with access to a communication network
EP1884061A1 (de) * 2005-05-16 2008-02-06 Telefonaktiebolaget LM Ericsson (publ) Mittel und verfahren zum chiffrieren und übertragen von daten in integrierten netzwerken
US20060265737A1 (en) * 2005-05-23 2006-11-23 Morris Robert P Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location
US8613071B2 (en) * 2005-08-10 2013-12-17 Riverbed Technology, Inc. Split termination for secure communication protocols
US8478986B2 (en) 2005-08-10 2013-07-02 Riverbed Technology, Inc. Reducing latency of split-terminated secure communication protocol sessions
US8438628B2 (en) 2005-08-10 2013-05-07 Riverbed Technology, Inc. Method and apparatus for split-terminating a secure network connection, with client authentication
US20070101409A1 (en) * 2005-11-01 2007-05-03 Microsoft Corporation Exchange of device parameters during an authentication session
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
US8555371B1 (en) 2009-07-17 2013-10-08 Directpacket Research, Inc. Systems and methods for management of nodes across disparate networks
US8605730B2 (en) * 2006-04-13 2013-12-10 Directpacket Research, Inc. System and method for multimedia communication across disparate networks
US7773588B2 (en) * 2006-04-13 2010-08-10 Directpacket Research, Inc. System and method for cross protocol communication
US7710978B2 (en) * 2006-04-13 2010-05-04 Directpacket Research, Inc. System and method for traversing a firewall with multimedia communication
US8560828B2 (en) * 2006-04-13 2013-10-15 Directpacket Research, Inc. System and method for a communication system
US7917947B2 (en) * 2006-05-26 2011-03-29 O2Micro International Limited Secured communication channel between IT administrators using network management software as the basis to manage networks
WO2008011253A2 (en) 2006-07-17 2008-01-24 Bigfoot Networks, Inc. Host posing network device and method thereof
US8352743B2 (en) * 2007-02-07 2013-01-08 Nippon Telegraph And Telephone Corporation Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium
US8266630B2 (en) * 2007-09-03 2012-09-11 International Business Machines Corporation High-performance XML processing in a common event infrastructure
JP5096588B2 (ja) * 2007-10-17 2012-12-12 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュリティ設定を決定するための方法及び構成
US20090216678A1 (en) * 2008-02-25 2009-08-27 Research In Motion Limited System and method for facilitating secure communication of messages associated with a project
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8250207B2 (en) * 2009-01-28 2012-08-21 Headwater Partners I, Llc Network based ambient services
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
WO2010008539A1 (en) * 2008-07-14 2010-01-21 Riverbed Technology, Inc. Methods and systems for secure communications using a local certification authority
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US9609510B2 (en) 2009-01-28 2017-03-28 Headwater Research Llc Automated credential porting for mobile devices
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US11985155B2 (en) 2009-01-28 2024-05-14 Headwater Research Llc Communications device with secure data path processing agents
US12166596B2 (en) 2009-01-28 2024-12-10 Disney Enterprises, Inc. Device-assisted services for protecting network capacity
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9571559B2 (en) 2009-01-28 2017-02-14 Headwater Partners I Llc Enhanced curfew and protection associated with a device group
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US8707043B2 (en) 2009-03-03 2014-04-22 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
JP5460085B2 (ja) * 2009-03-13 2014-04-02 キヤノン株式会社 情報処理装置、通信システム、それらの制御方法、及びプログラム
US9253218B2 (en) * 2009-04-23 2016-02-02 International Business Machines Corporation Interface for connecting a network element to a session initiation protocol application server
US20100318784A1 (en) * 2009-06-10 2010-12-16 Cisco Technology, Inc. Client identification for transportation layer security sessions
US20110145563A1 (en) * 2009-12-14 2011-06-16 Michael Thomas Kain Secured file-based application programming interface
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
CN102571701B (zh) * 2010-12-16 2015-12-16 中国移动通信集团安徽有限公司 安全认证站点的访问方法、装置及系统
CN102571717A (zh) * 2010-12-17 2012-07-11 中国移动通信集团福建有限公司 基于原语的m2m终端通信方法和系统
US20130124852A1 (en) * 2011-11-11 2013-05-16 Michael T. Kain File-based application programming interface providing ssh-secured communication
EP2737677B1 (de) * 2011-07-25 2017-04-26 Philips Lighting Holding B.V. Verfahren, vorrichtungen und systeme zur herstellung sicherer end-to-end-verbindungen und zur sicheren übermittlung von datenpaketen
US9348927B2 (en) 2012-05-07 2016-05-24 Smart Security Systems Llc Systems and methods for detecting, identifying and categorizing intermediate nodes
US10778659B2 (en) 2012-05-24 2020-09-15 Smart Security Systems Llc System and method for protecting communications
US9325676B2 (en) 2012-05-24 2016-04-26 Ip Ghoster, Inc. Systems and methods for protecting communications between nodes
US20130331027A1 (en) * 2012-06-08 2013-12-12 Research In Motion Limited Communications system providing remote access via mobile wireless communications device and related methods
US8990914B2 (en) * 2012-09-28 2015-03-24 Intel Corporation Device, method, and system for augmented reality security
US9215075B1 (en) * 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
EP3100405A4 (de) 2014-01-29 2017-08-30 Smart Security Systems LLC Systeme und verfahren zum schutz von kommunikation
US10171532B2 (en) * 2014-09-30 2019-01-01 Citrix Systems, Inc. Methods and systems for detection and classification of multimedia content in secured transactions
US10033703B1 (en) 2015-06-16 2018-07-24 Amazon Technologies, Inc. Pluggable cipher suite negotiation
US9973481B1 (en) 2015-06-16 2018-05-15 Amazon Technologies, Inc. Envelope-based encryption method
US10957170B2 (en) * 2016-01-07 2021-03-23 Genetec Inc. Network sanitization for dedicated communication function and edge enforcement
WO2018176187A1 (zh) * 2017-03-27 2018-10-04 华为技术有限公司 数据传输方法、用户设备和控制面节点
US11194930B2 (en) 2018-04-27 2021-12-07 Datatrendz, Llc Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network
ES2816012T3 (es) 2018-07-11 2021-03-31 Siemens Ag Procedimiento, dispositivos y sistema para el intercambio de datos entre un sistema distribuido de base de datos y aparatos
US11683301B2 (en) * 2020-07-27 2023-06-20 Red Hat, Inc. Automatically obtaining a signed digital certificate from a trusted certificate authority
US12009946B2 (en) * 2020-09-16 2024-06-11 Datakrew Pte. Ltd. Gateway and bridge devices for secure internet of things
CN116668557B (zh) * 2023-08-02 2023-11-14 苏州浪潮智能科技有限公司 一种数据传输方法、系统、电子设备及可读存储介质

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5699431A (en) 1995-11-13 1997-12-16 Northern Telecom Limited Method for efficient management of certificate revocation lists and update information
US6216231B1 (en) 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US6035402A (en) 1996-12-20 2000-03-07 Gte Cybertrust Solutions Incorporated Virtual certificate authority
US5982898A (en) 1997-03-07 1999-11-09 At&T Corp. Certification process
US6473406B1 (en) 1997-07-31 2002-10-29 Cisco Technology, Inc. Method and apparatus for transparently proxying a connection
US6125349A (en) 1997-10-01 2000-09-26 At&T Corp. Method and apparatus using digital credentials and other electronic certificates for electronic transactions
US6243010B1 (en) 1998-01-08 2001-06-05 Pittway Corp. Adaptive console for augmenting wireless capability in security systems
US6230269B1 (en) 1998-03-04 2001-05-08 Microsoft Corporation Distributed authentication system and method
US6092202A (en) 1998-05-22 2000-07-18 N*Able Technologies, Inc. Method and system for secure transactions in a computer system
US6931526B1 (en) 1998-06-04 2005-08-16 International Business Machines Corporation Vault controller supervisor and method of operation for managing multiple independent vault processes and browser sessions for users in an electronic business system
US6684332B1 (en) 1998-06-10 2004-01-27 International Business Machines Corporation Method and system for the exchange of digitally signed objects over an insecure network
US6311068B1 (en) * 1998-10-19 2001-10-30 At&T Corp. Method and apparatus for a high-capacity cellular network by improved sectorization and interleaved channel assignment
US6539237B1 (en) 1998-11-09 2003-03-25 Cisco Technology, Inc. Method and apparatus for integrated wireless communications in private and public network environments
US6367009B1 (en) 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
PL342519A1 (en) 1998-12-28 2001-06-18 Ntt Docomo Inc Method of monitoring communication, communication method, terminal equipment, relay apparatus and communication system
US7237261B1 (en) 1999-09-07 2007-06-26 Swisscom Ag Method, system and gateway allowing secured end-to-end access to WAP services
DE50010813D1 (de) 1999-09-07 2005-09-01 Swisscom Ag Bern Verfahren und Gateway, die einen End-zu-End gesicherten Zugriff auf WAP-Dienste erlauben
US6289460B1 (en) 1999-09-13 2001-09-11 Astus Corporation Document management system
US6571221B1 (en) 1999-11-03 2003-05-27 Wayport, Inc. Network communication service with an improved subscriber model using digital certificates
WO2001061963A1 (en) 2000-02-17 2001-08-23 Mitsubishi Denki Kabushiki Kaisha Method and apparatus for protocol conversion
US7055171B1 (en) * 2000-05-31 2006-05-30 Hewlett-Packard Development Company, L.P. Highly secure computer system architecture for a heterogeneous client environment
FI112150B (fi) 2000-07-24 2003-10-31 Stonesoft Oyj Tietoliikenteen ohjausmenetelmä
TW513883B (en) 2000-08-03 2002-12-11 Telepaq Technology Inc A secure transaction mechanism system and method integrating wireless communication and wired communication
AU2001296644A1 (en) 2000-10-16 2002-04-29 Wireless Online, Inc. Method and system for calibrating antenna towers to reduce cell interference
US20020146129A1 (en) 2000-11-09 2002-10-10 Kaplan Ari D. Method and system for secure wireless database management
US7127742B2 (en) 2001-01-24 2006-10-24 Microsoft Corporation Establishing a secure connection with a private corporate network over a public network
US20020133598A1 (en) * 2001-03-16 2002-09-19 Strahm Frederick William Network communication
US20020178365A1 (en) 2001-05-24 2002-11-28 Shingo Yamaguchi Method and system for controlling access to network resources based on connection security
WO2003000893A2 (en) 2001-06-26 2003-01-03 Decode Genetics Ehf. Nucleic acids encoding g protein-coupled receptors
US20030046532A1 (en) * 2001-08-31 2003-03-06 Matthew Gast System and method for accelerating cryptographically secured transactions
US7840494B2 (en) 2001-09-12 2010-11-23 Verizon Business Global Llc Systems and methods for monetary transactions between wired and wireless devices
US8601566B2 (en) 2001-10-23 2013-12-03 Intel Corporation Mechanism supporting wired and wireless methods for client and server side authentication
US8020201B2 (en) 2001-10-23 2011-09-13 Intel Corporation Selecting a security format conversion for wired and wireless devices

Also Published As

Publication number Publication date
HK1062752A1 (en) 2004-11-19
US8522337B2 (en) 2013-08-27
GB2395877A (en) 2004-06-02
US20110296167A1 (en) 2011-12-01
GB0407051D0 (en) 2004-04-28
GB2395877B (en) 2005-06-22
TWI251418B (en) 2006-03-11
CN1575579A (zh) 2005-02-02
WO2003036913A2 (en) 2003-05-01
WO2003036913A3 (en) 2003-11-27
US20030081783A1 (en) 2003-05-01
US8020201B2 (en) 2011-09-13
CN100508517C (zh) 2009-07-01

Similar Documents

Publication Publication Date Title
DE10297362T5 (de) Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen
DE69924573T2 (de) Verfahren und Anordnung zur Herstellung sicherer Verbindungen über Einwegskanäle
DE60026838T2 (de) Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy
DE69826609T2 (de) Verfahren und Vorrichtung zum Aufbau einer authentifizierten und sicheren Kommunikationssession über ein drahtloses Datennetzwerk
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE60209475T2 (de) Datensicherungs-kommunikationsvorrichtung und -verfahren
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
DE602004010703T2 (de) Eine persistente und zuverlässige sitzung, die neztwerkkomponenten unter verwendung eines verkapselungsprotokolls sicher durchläuft
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE60220665T3 (de) Verfahren und system für den aufbau einer verbindung zwischen einem personal security device und einem fernrechnersystem
EP1658700B1 (de) Persönliche abgesetzte firewall
DE10392208T5 (de) Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung
DE69925732T2 (de) Mobiltelefon mit eingebauter Sicherheitsfirmware
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
EP2494759B1 (de) Verfahren und vorrichtung zum sicheren übertragen von daten
DE60114220T2 (de) System und verfahren zur implementierung des verbesserten transportschicht-sicherheitsprotokolls
EP1289227B1 (de) Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
US20070165579A1 (en) Method and device for accessing a mobile server terminal of a first communication network by means of a client terminal of another communication network
CN103503408A (zh) 用于提供访问凭证的系统和方法
DE60203277T2 (de) Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem
DE102021125835A1 (de) Rechnernetzwerk mit einem ip-subnetz und einem nicht-ipsubnetz und backend-gerät, gateway, frontend-gerät dafür und verfahren zu dessen betrieb
DE60130899T2 (de) Wap-sitzung tunneling
DE60219076T2 (de) Herunterladung eines applets in einem kommunikationssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law

Ref document number: 10297362

Country of ref document: DE

Date of ref document: 20040909

Kind code of ref document: P

R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee