少なくとも一部ノード間で実行される暗号化通信を少なくとも一部試験することを可能とするノード間のセキュアな通信チャネルを少なくとも一部確立する方法
一実施形態は、少なくとも部分的に、第1ドメインのクライアントと第2ドメインのサーバとの間の少なくとも部分的にセキュアな通信を確立する回路を含んでもよい。チャネルは、第1及び第2ドメインにおける第1ドメインセッション及び第2ドメインセッションを含んでもよい。回路は、少なくとも部分的に、第1ドメインセッション及び第2ドメインセッションをそれぞれ暗号化してもよい第1ドメインセッションキー及び第2ドメインセッションキーを生成してもよい。第1ドメインセッションキーは、第1ドメインに割り当てられる第1ドメインキー及び第1ドメインセッションに関連付けられる第1データセットに基づいて生成されてもよい。第2ドメインセッションキーは、第2ドメインに割り当てられる第2ドメインキー及び第2ドメインセッションに関連付けられる第2データセットに基づいて生成されてもよい。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、少なくとも一部ノード間で実行される暗号化通信を少なくとも一部試験することを可能とするノード間のセキュアな通信チャネルを少なくとも一部確立する方法に関する。
【背景技術】
【0002】
従来の構成において、企業のネットワークが、第2ネットワークノードに接続される第1ネットワークノードを含む場合を考える。第2ネットワークノードは、企業ネットワークを、第3ネットワークノードを含む外部ネットワークに接続してもよい。第2ネットワークノードは、企業ネットワークから外部ネットワークへと渡されるパケット及び外部ネットワークから企業ネットワークへと渡されるパケットの試験及び/又は解析を伴う、企業ネットワークのためのセキュリティ機能を提供してもよい。
【0003】
従来のネットワーク配置では、第1ネットワークノード及び第3ネットワークノードは、互いに暗号化された通信を交換してもよい。第1ネットワークノードと第3ネットワークノードとの間では交換されるが第2ネットワークへは開示されない暗号化キーに基づいて、この通信が実行されてもよい。これにより、第2ネットワークノードが、第1ネットワークノードと第3ネットワークノードとの間で暗号化された通信の内容を試験及び/又は分析することを不可能にしている。しかしながら、この構成は、企業のセキュリティを危険に晒す可能性があり、企業ネットワークに悪影響を与える可能性がある(例えば、企業ネットワークにウイルスの侵入を許す等)。
【0004】
更に、相対的に多数のセキュアな接続が、第2ネットワークノードを横断している場合がある。この従来の配置では、意味のある試験及び/又はその他の分析を実行するために、第2ネットワークノードは、多数の接続のそれぞれを、それぞれの暗号キー及び/又はその他の情報と関連付ける。処理可能な接続の数が大幅に限られ、このような関連付け処理のスピードが制限される従来の配置では、接続の拡張性の問題が生じる。
【0005】
また、従来の配置では、これらセキュアな接続の数及び特徴は、時間軸上で一定ではなく、相対的に短期間で大きく変化する場合が多い。接続が大幅に変化することを考慮して、意味のある試験及び/又はその他の分析を実行するためには、接続同期処理の大きなオーバーヘッドを第2ネットワークノードに課すことになる。
【0006】
また、従来の配置では、第1ノードと第3ノードとの間のセキュアな接続はそれぞれ、第2ノードと第3ノードとの間の対応する接続と関係している場合がある。第2ネットワークノードと第3ネットワークノードとの間のセキュアな接続それぞれについて、第2ネットワークは、それぞれのセキュアな接続を確立するのに使用されてもよい第3ネットワークとの暗号化キーをそれぞれ交渉してもよい。従来の配置では相対的に多数の接続が存在することから、暗号化キーの交渉及びそれに関連して多数のハンドシェイクが望ましくないほど多数発生し、第2ノードと第3ノードとの間で多数のキーについての交渉が行われることになる。また、この従来の配置では、多量のキーを記憶及び処理しなくてはならない。
【0007】
実施形態の特徴及び利点が、以下の詳細な説明及び図面を参照することにより明らかとなるであろう。図面間において、同様な構成要素には同様な参照番号が付与されている。
【図面の簡単な説明】
【0008】
【図1】システムの実施形態を示した図である。
【図2】一実施形態における特徴を示した図である。
【図3】一実施形態における特徴を示した図である。
【図4】一実施形態における特徴を示した図である。
【図5】一実施形態におけるオペレーションを示した図である。
【発明を実施するための形態】
【0009】
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
【0010】
図1には、システムの実施形態100が示されている。システム100は、別のドメイン70と通信可能に接続されてもよい企業ドメイン51を含んでもよい。ドメイン70は、少なくとも一部、企業ドメイン51の外側であってもよく、少なくとも一部インターネットドメインを含む及び/又は利用してもよい。企業ネットワーク51は、1以上のゲートウェイ及び/又はネットワークアプライアンスノード120に通信可能に接続されてもよい1以上のクライアントネットワークノード10を含んでもよい。1以上のノード120は、ドメイン70に含まれていてもよい1以上のサーバノード30及び/又はドメイン70に通信可能に接続されていてもよい。
【0011】
本実施形態において、"ノード"という言葉は、例えば、終端局、家電、マスストレージ、中間局、ネットワークインターフェース、クライアント、サーバ、スマートフォン、その他の通信デバイス及び/又はその部分のような、ネットワークに通信可能に接続されるエンティティを指す。本実施形態において、"クライアント"及び/又は"クライントノード"という言葉は、必ずしもこれが必要というわけではないが終端局を含むノードという意味に交換可能に使用される場合がある。本実施形態において、終端局は、スマートフォン又はその他の通信デバイスであってもよい。また、本実施形態において、"中間ノード"、"ゲートウェイ"、"ゲートウェイノード"、"ネットワークアプライアンス"、及び/又は、"ネットワークアプライアンスノード"という言葉は、複数のその他のノードに通信可能に接続されてもよいノードを意味するように交換可能に使用される場合があり、例えば、ファイヤーウォール、スイッチング、フォワーディング、ゲートウェイ、侵入検出、負荷バランシング、及び/又は、ルーティングサービス及び/又は機能のような1以上のサービス及び/又は機能を提供、促進及び/又は実装してもよい(必ずしも、提供することが必要であるわけではないが)。本実施形態において、"サーバ"及び/又は"サーバノード"という言葉は、例えば、データ格納、読み出し及び/又は処理機能のような1以上のサービス及び/又は機能を1以上のクライアントに提供、促進及び/又は実装するノードを意味する言葉として交換可能に使用される場合がある。本実施形態において、"ネットワーク"は、互いに通信可能に接続される2つ以上のノードであってもよい、又は、この2つ以上のノードを含んでもよい。また、本実施形態において、一方のノードが、例えば、1以上の有線及び/又は無線通信リンクを介して、1以上のコマンド及び/又はデータを他方のノードから送信及び受信可能である場合、一のノードは他のノードに"通信可能に接続"されてもよい。本実施形態において、"無線通信リンク"は、少なくとも2つのノードが少なくとも部分的に無線通信接続されることを可能にする様式及び/又は部分を意味してもよい。本実施形態において、"有線通信リンク"とは、少なくとも2つのノードが少なくとも部分的に非無線手段を介して少なくとも部分的に通信接続されることを可能にする様式及び/又は部分を意味してもよい。また、本実施形態で使用されている、データという言葉は、1以上のコマンドである又は1以上のコマンドを含んでもよく、1以上のコマンドはデーアであってもよい又はデータを含んでもよい。
【0012】
1以上のノード120は、回路基板(CB)14を含んでもよい。CB14は、1以上のホストプロセッサ、及び/又は、チップセット集積回路12及びコンピュータ読み出し/書き込み可能メモリ21を備えるシステムマザーボードであってもよい、又は、そのようなシステムマザーボードを含んでもよい。CB14は、CB14の構成要素(例えば、1以上の集積回路12及び/又はメモリ21)及びCC22の構成要素(例えば、C22に含まれる演算可能回路118)が、互いに通信可能に接続されるような態様で、回路カード(CC)22がCB14と電気的及び機械的に結合することを可能とする1以上のコネクタ(図示せず)を備えてもよい。
【0013】
これに替えて又は加えて、本実施形態の範囲において、1以上の集積回路12及び/又はメモリ21に含まれる回路の一部又は全てが、回路118に含まれていてもよく、及び/又は、回路118の一部又は/全てが、1以上の集積回路12及び/又はメモリ21に含まれていてもよい。
【0014】
また、本実施形態において"回路"は、例えば、アナログ回路、デジタル回路、有線接続された回路、ブログラム可能回路、状態機械回路、及び/又は、プログラマブル回路によって実行されてもよいプログラム命令を含むメモリを単体で、又は、これらの組み合わせを含んでもよい。本実施形態では、"集積回路"とは、例えば、半導体集積回路チップのような、半導体デバイス及び/又はマイクロ電子デバイスを意味してもよい。更に、本実施形態では、"ホストプロセッサ"、"プロセッサ"、"プロセッサコア"、"コア"及び/又は"コントローラ"という言葉は、少なくとも部分的に1以上の算術及び/又は論理演算を実行する能力を有する回路を意味するべく交換可能に使用される場合がある。また、本実施形態では、"チップセット"とは、少なくとも部分的に、1以上のプロセッサ、メモリ及び/又はその他の回路に通信可能に接続できる回路を含んでもよい。
【0015】
ノード10、120及び/又は30はそれぞれ、図示しないユーザインターフェースを備えてもよく、ユーザインターフェースは、例えば、キーボードポインティングデバイス及び人間がコマンドを入力可能な表示システムを備え、各ノード及び/又はシステム100のオペレーションを監視する。演算可能回路118は、1以上のクライアント10及び/又は1以上のサーバ30と通信可能に接続されていてもよい。
【0016】
回路118は、1以上の集積回路15を含んでもよい。1以上の集積回路15は、1以上のプロセッサコア124及び/又は暗号化回路126を含んでもよい。この実施形態において、回路118、1以上の集積回路15、1以上のコア124及び/又は回路126は、少なくとも部分的に、本明細書に記載される回路118によって実行される暗号化及び/又は関連オペレーションを実行可能であってもよい。
【0017】
1以上の機械可読プログラム命令は、コンピュータ可読/書き込み可能メモリ21に格納されてもよい。1以上のノード120のオペレーションにおいて、これら命令は、1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126によって実行及び/又はアクセスされてもよい。1以上の命令が実行されると、1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126は、本明細書に記載されるように1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126によって実行されるオペレーションを実行する。メモリ21は、半導体ファームウェアメモリ、プログラマブルメモリ、不揮発性メモリ、リードオンリーメモリ、電気的プログラマブルメモリ、ランダムアクセスメモリ、フラッシュメモリ、磁気ディスクメモリ、光ディスクメモリ、及び/又は、その他の又は後に開発されるコンピュータ可読及び/又は書き込み可能メモリのうちの1以上の種類のメモリを含んでもよい。
【0018】
本実施形態において、"ドメイン"は、1以上のノード及び(図示しない)ドメインオーソリティを含む。本実施形態において、"ドメインオーソリティ"は、一部又は全部が、認証、特定及び/又はセキュリティを伴う及び/又は関係する1以上の機能、特徴、プロトコル及び/又はオペレーションを少なくとも部分的に、提供、実装及び/又は促進可能な1以上のエンティティを含んでもよい。例えば、ドメイン51及び/又は70はそれぞれ、1以上のノード10、120及び/又は30に通信可能に接続されてもよい1以上の対応するドメインオーソリティ(図示せず)を含んでもよい。これに替えて又は加えて、システム100における1以上のドメインオーソリティの機能及び/又はオペレーションの全て又は一部は、少なくとも部分的に、1以上のノード120及び/又は30によって実行されてもよい。
【0019】
回路118は、データ及びコマンドを1以上の通信プロトコルに従って、1以上のクライアント10と及び/又は1以上のサーバ30と交換してもよい。例えば、本実施形態では、これら1以上のプロトコルは、例えば、イーサーネットプロトコル、伝送制御プロトコル/インターネットプロトコル(TCP/IP)プロトコル、セキュリティアーキテクチャforIP(IPsec)及び/又はトランスポートレイヤセキュリティ(TLS)プロトコルに準拠してもよい。
【0020】
システム100で利用可能なイーサーネットプロトコルは、2000年10月20日発行の電気電子技術者協会(IEEE)規格、802.3、2000年エディションに記載されたプロトコルに準拠してもよい。システム100で利用可能なTCP/IPプロトコルは、1981年発行のインターネット・エンジニアリング・タスクフォース(IETF)のリクエストフォーコメンツ(RFC)791及び793に記載されているプロトコルに準拠してもよい。システム100で利用可能なIPsecプロトコルは、2005年12月に発行されたIETF RFC4301に記載されているプロトコルに準拠してもよい。システム100で利用可能なTLSプロトコルは、2006年4月に発行されたIETF RFC4346"トランスポートレイヤセキュリティ(TLS)プロトコルバージョン1.1"に記載されたプロトコルに準拠してもよい。無論、上記のプロトコル及び/又はその他のプロトコルの後に開発されるバージョンを含む、数多くの異なる、更なる及び/又はその他のプロトコル(例えば、セキュリティに関する及び/又は実装プロトコル)を、本実施形態の範囲内で、データ及び/又はコマンドの交換に使用してもよい。
【0021】
図5に示すように、システム100は、少なくとも部分的に、オペレーション500を実行してもよい。例えば、システム100のオペレーションでは、回路118は、データ及び/又はコマンドを、1以上のクライアント10及び/又は1以上のサーバ30とやりとりしてもよく、少なくとも部分的に、1以上のクライアント10及び/又は1以上のサーバ30との間の1以上のセキュアな通信チャネル54を、回路118及び/又は1以上の図示しない非中間ノードを介して確立してもよい(オペレーション502参照)。本実施形態において、1以上のチャネル54は、ドメイン51における1以上のセッション90及びドメイン70における1以上のセッション92を含んでもよい。1以上のセッション90は、少なくとも部分的に、1以上のクライアント10及び1以上のノード120(すなわち、1以上のノード120における回路118)を通信可能に接続してもよい、又は、これらの間に存在してもよいドメイン51における、1以上のセキュアなセッションである、又は、1以上のセキュアなセッションを含む。1以上のセッション92は、少なくとも部分的に、回路118及び1以上のサーバ30を通信可能に接続してもよい、又は、これらの間に存在するドメイン70における、1以上のセキュアなセッションである、又は、1以上のセキュアなセッションを含む。以下に説明するように、1以上のセッション90及び1以上のセッション92は、まとめて、1以上のチャネル54を提供するように動作する。
【0022】
本実施形態において、"セッション"及び"チャネル"という言葉は交換可能に使用される場合があり、少なくとも2つのエンティティの間でコマンド及び/又はデータを交換することを含む。また、本実施形態において、"セキュアなセッション"とは、少なくとも部分的に、データ及び/又はコマンドの少なくとも一部が暗号化されているセッションを含んでもよい。本実施形態において、"暗号化"及び/又は"暗号化する"とは、少なくとも部分的に、プレーンテキストから暗号文を生成すること及び/又はその生成を簡易にすることを含む1以上のオペレーションを含んでもよい。また、本実施形態において、"復号化(暗号解読)"及び/又は"復号化する"とは、少なくとも部分的に、暗号文からプレーンテキストを生成すること及び/又はその生成を簡易にすることを含む1以上のオペレーションを含んでもよい。また、本実施形態において、"プレーンテキスト"は、少なくとも部分的に暗号化されたデータ、及び/又は、暗号化及び/又は復号化がすでに行われた及び/又は暗号化及び/又は復号化の最中であるデータを含んでもよい。本実施形態において、"キー(鍵)"は、暗号化及び復号化で使用されてもよい1以上の符号及び/又は値を含んでもよい。
【0023】
例えば、本実施形態において、1以上のクライアント10は、1以上のクライアント10と1以上のサーバ30との間の1以上のセキュアなチャネル54の確立を開始することを意図した1以上のパケットを、回路118に送信してもよい。これら1以上のパケットに応答して、少なくとも部分的に、回路118は、1以上のクライアント10とデータ及び/又はコマンドをやりとりしてもよく、それにより1以上のセッション90が確立されてもよい。本実施形態では、これと同時に、回路118は、1以上のサーバ30とデータ及び/又はコマンドをやりとりしてもよく、それにより1以上のセッション92が確立されてもよい。
【0024】
回路118と1以上のクライアント10との間のデータ及び/又はコマンドのやりとりの一部として、回路118は、セキュアな態様で(例えば、TLS制御チャネルハンドシェイク、TCP及び/又はIPオプションを伴うアウトバウンド技術、及び/又は、IPsecインターネット鍵交換の一部として)、1以上のクライアントノード10に、1以上のセッションキー(SK)80を送信してもよい。1以上のキー80を1以上のクライアント10に送信する前に、1以上のノード120は、少なくとも部分的に1以上の暗号化オペレーションに基づいて(例えば、1以上の一方向ハッシング関数を含む)、少なくとも部分的に入力オペランドとして1以上のドメインキー(DK)76及び1以上のデータセット(DS)78を伴う1以上のキー80を少なくとも部分的に生成してもよい。このように、少なくとも部分的に、1以上のノード120とドメイン51内の1以上のクライアント10との間の交渉の結果として、少なくとも部分的に、1以上のキー80が生成されてもよい。
【0025】
1以上のキー76が、ドメイン51内の図示しない1以上のドメインオーソリティによってドメイン51に割り当てられてもよい。これら1以上のドメインオーソリティは、少なくとも部分的に、1以上のキー76を生成して、これらを1以上のノード120に分配してもよい。しかしながら、1以上のドメインオーソリティ及び1以上のノード120は、1以上のクライアントノード10及びその他のエンティティ(例えば、ドメイン51内外のエンティティ)に対して、1以上のキー76を秘密にしてもよい。1以上のデータセット78は、少なくとも部分的に、回路118によって、1以上のクライアント10から1以上のノード120へと送信された1以上のパケット204(図2参照)から抽出されてもよい(又は、取得されてもよい)。1以上のデータセット78は、少なくとも部分的に、1以上のセッション90と関連付けられていてもよい。例えば、1以上のデータセット78は、少なくとも部分的に、1以上のセッション90を特定できる1以上の値202を含んでもよい。この1以上の値202は、少なくとも部分的に、1以上のクライアント10及び/又は1以上のノード120を特定する固有のIDを1以上連結したものであってもよい、又は、このようなものを含んでもよい。(少なくとも部分的に)これに替えて又はこれに加えて、1以上の値202は、少なくとも部分的に、1以上のサーバ30のそれぞれのIDを1以上含んでもよい。これら固有のIDは、例えば、1以上のそれぞれのアドレス、IPsecセキュリティパラメータインデックス、及び/又は、その他の値(例えば、セッションコンテキスト情報)であってもよい、又は、これらを含んでもよい。
【0026】
本実施形態において、ドメイン51の1以上の図示しないドメインオーソリティは、(1)1以上のキー76がドメイン51と一意的に関連付けられる、及び、(2)1以上のキー76が1以上のキー80から基本的に取得できない(例えば、現実的な暗号化の観点で)ような態様で、1以上のキー76を生成してもよい。一実施形態において、1以上のキー76は、暗号化法的に高度にランダムな1以上の番号であってもよい、又は、そのような番号を含んでもよい。
【0027】
1以上のキー80を使用して、クライアント10の各々は、少なくとも部分的に、1以上のセッション90を介して1以上のノード120に送信されるトラフィックのそれぞれを暗号化してもよく、また、少なくとも部分的に、1以上のセッション90を介して1以上のノード120から受信されるトラフィックをそれぞれ復号化してもよい。本実施形態において、1以上のノード120へのトラフィックは、1以上の値202及び/又はデータセット78がプレーンテキストとして送信される1以上のパケット(例えば、1以上のパケット204)を含んでもよい。1以上の値202及び/又は1以上のデータセット78は、上記のような態様で1以上のキー76と共に、1以上のキー80を生成する1以上の暗号化オペレーションにおいて使用される場合に、1以上のキー80の各々が、1以上のゲートウェイ120と1以上のクライアント10との間の独立したそれぞれのセキュアなセッションを提供するのに使用可能な独立したセッションキーとなるように又はそのようなセッションキーを含むように、1以上の値202及び/又は1以上のデータセット78が選択されてもよい。
【0028】
回路118及び/又は1以上のサーバ30との間でやりとりされるデータ及び/又はコマンドの一部として、回路118は、セキュアな態様で(例えば、TLS制御チャネルハンドシェイク、TCP及び/又はIPオプションを伴うアウトバウンド技術、及び/又は、IPsecインターネット鍵交換の一部として)、1以上のサーバ30に、1以上のセッションキー82を送信してもよい。1以上のキー82を1以上のサーバ30に送信する前に、1以上のノード120は、少なくとも部分的に、1以上の暗号化オペレーションに基づいて(例えば、1以上の一方向ハッシング関数を含む)、少なくとも部分的に入力オペランドとして1以上のドメインキー72及び1以上のデータセット74を伴う1以上のキー82を少なくとも部分的に生成してもよい。このように、少なくとも部分的に、ドメイン51内の1以上のノード120とドメイン70内の1以上のサーバ30との間の交渉の結果として、少なくとも部分的に、1以上のキー82が生成されてもよい。
【0029】
1以上のキー72が、ドメイン70内の図示しない1以上のドメインオーソリティによってドメイン70に割り当てられてもよい。これら1以上のドメインオーソリティは、少なくとも部分的に、1以上のキー72を生成して、これらを1以上のノード120に分配してもよい。しかしながら、1以上のドメインオーソリティ及び1以上のノード120は、1以上のサーバ30及びその他のエンティティ(例えば、ドメイン70内外のエンティティ)に対して、1以上のキー72を秘密にしてもよい。1以上のデータセット74は、少なくとも部分的に、回路118によって、1以上のサーバ30から1以上のノード120へと送信された1以上のパケット208(図2参照)から抽出されてもよい(又は、取得されてもよい)。1以上のデータセット74は、少なくとも部分的に、1以上のセッション92と関連付けられていてもよい。例えば、1以上のデータセット74は、少なくとも部分的に、1以上のセッション92を特定できる1以上の値206を含んでもよい。この1以上の値206は、少なくとも部分的に、1以上のサーバ30及び/又は1以上のノード120を特定する固有のIDを1以上連結したものであってもよい、又は、このようなものを含んでもよい。(少なくとも部分的に)これに替えて又はこれに加えて、1以上の値206は、少なくとも部分的に、1以上のクライアント10のそれぞれのIDを1以上含んでもよい。これら固有のIDは、例えば、1以上のそれぞれのアドレス、IPsecセキュリティパラメータインデックス、及び/又は、その他の値(例えば、セッションコンテキスト情報)であってもよい、又は、これらを含んでもよい。
【0030】
このように、本実施形態では、例えば、オペレーションのドメインに応じて、1以上の値206及び/又は1以上のデータセット74は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78とそれぞれ同一であってもよい。これに替えて、本実施形態の範囲内において、例えば、オペレーションのドメインに応じて、1以上の値206及び/又は1以上のデータセット74は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78とそれぞれ異なっていてもよい。
【0031】
本実施形態において、ドメイン70の1以上の図示しないドメインオーソリティは、(1)1以上のキー72がドメイン70と一意的に関連付けられる、及び、(2)1以上のキー72が1以上のキー82から基本的に取得できない(例えば、現実的な暗号化の観点で)ような態様で、1以上のキー72を生成してもよい。一実施形態において、1以上のキー72は、暗号化法的に高度にランダムな1以上の番号であってもよい、又は、そのような番号を含んでもよい。
【0032】
1以上のキー82を使用して、サーバ30の各々は、少なくとも部分的に、1以上のセッション92を介して1以上のノード120に送信されるトラフィックのそれぞれを暗号化してもよく、また、少なくとも部分的に、1以上のセッション92を介して1以上のノード120から受信されるトラフィックをそれぞれ復号化してもよい。本実施形態において、1以上のノード120へのトラフィックは、1以上の値206及び/又はデータセット74がプレーンテキストとして送信される1以上のパケット(例えば、1以上のパケット208)を含んでもよい。1以上の値206及び/又は1以上のデータセット74は、上記のような態様で1以上のキー72と共に、1以上のキー82を生成する1以上の暗号化オペレーションにおいて使用される場合に、1以上のキー82の各々が、1以上のゲートウェイ120と1以上のサーバ30との間の独立したそれぞれのセキュアなセッションを提供するのに使用可能な独立したセッションキーとなるように又はそのようなセッションキーを含むように、1以上の値206及び/又は1以上のデータセット74が選択されてもよい。本実施形態において、1以上のドメインキー76は、少なくとも部分的に、1以上のドメインキー72とは異なっていてもよい。
【0033】
図2に示すように、本実施形態では、ドメイン51において、1以上のクライアント10は、複数のクライアント220A…220Nを含んでもよく、1以上のセッション90は、クライアント220A…220Nと1以上のゲートウェイノード120との間の複数のセッション230A…230Nを含んでもよい。セッション230A…230Nはそれぞれ、クライアント220A…220Nと1以上のノード120とを通信可能に接続してもよい。上記したように、これらセキュアなセッション230A…230Nは、少なくとも部分的に、1以上のセッションキー80のうちの対応する1つに基づいて生成されてもよい。
【0034】
図3に示すように、1以上のセッション92は、1以上のゲートウェイ120を1以上のサーバ30に通信可能に接続可能である1つのセキュアなセッション302を含んでもよい。この配置では、セッション302は、少なくとも部分的に、セッション230A…230Nをカプセル化してもよい(図2参照)。本実施形態において、カプセル化は、少なくとも部分的に、第1エンティティを少なくとも部分的に第2エンティティに組み込むこと、及び/又は、第1エンティティの情報の少なくとも一部を少なくとも部分的に第2エンティティに組み込むことを含んでもよく、例えば、1以上のパケットを1以上のフレームにカプセル化することを含む。
【0035】
例えば、ネットワークトラフィック304は、セッション230A…230Nを介して、クライアント220A…220Nから、1以上のゲートウェイ120における回路118へと送信されてもよい。セッション230A…230Nを介して回路118に送信される場合に、トラフィック304は、少なくとも部分的に1以上のセッションキー80に基づいて、少なくとも部分的に、暗号化されてもよい。しかしながら、トラフィック304において、1以上のデータセット78及び/又は1以上の値202が、プレーンテキストとして送信されてもよい。
【0036】
回路118は、少なくとも部分的に、トラフィック304から、1以上のデータセット78及び/又は1以上の値202を抽出してもよい。抽出された1以上のデータセット78及び/又は1以上の値202及び1以上のドメインキー76に少なくとも部分的に基づいて、回路118は、セッション230A…230Nのそれぞれについて、それぞれの1以上のセッションキー80を動的に(例えば、パケット毎に)再構築して、少なくとも部分的に、トラフィック304を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー80に基づいて、トラフィック304を復号化してもよい。回路118は、少なくとも部分的に、復号化したトラフィック304を試験してもよい。試験としては、例えば、パターンマッチング、署名、チェックサム、妥当性の確認、及び/又は、トラフィック304において、許可されていない及び/又は望ましくないデータ及び/又は命令が存在することを検出する及び/又はそれに適切に対処するためのその他の分析技術が含まれてもよい。
【0037】
回路118は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されていないトラフィック304を暗号化して、暗号化したトラフィックを1つのセッション302を介して1以上のサーバ30に送信してもよい。その前に、回路118は、少なくとも部分的に、1以上の値206及び/又は1以上のデータセット74及び1以上のドメインキー72に基づいて、動的に1以上のセッションキー82を(上記の1以上のキー80で説明したのと同様な態様で)再構築してもよい。
【0038】
1以上のサーバ30は、セッション302を介して、1以上のゲートウェイ120における回路118にトラフィック306を送信してもよい。1つのセッション302を介して回路118に送信される場合に、トラフィック306は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されてもよい。しかしながら、トラフィック306では、1以上のデータセット74及び/又は1以上の値206が、プレーンテキストとして送信されてもよい。回路118は、1以上のデータセット74及び/又は1以上の値206をトラフィック306から抽出してもよい。抽出された1以上のデータセット74及び/又は1以上の値206及び1以上のドメインキー72に少なくとも部分的に基づいて、回路118は、1以上のセッションキー82を動的に再構築して、少なくとも部分的に、トラフィック306を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー82に基づいて、トラフィック306を復号化してもよい。回路118は、少なくとも部分的に、復号化したトラフィック306を試験してもよい。試験としては、例えば、パターンマッチング、パターンマッチング、署名、チェックサム、妥当性の確認、及び/又は、トラフィック306において、許可されていない及び/又は望ましくないデータ及び/又は命令が存在することを検出する及び/又はそれに適切に対処するためのその他の分析技術が含まれてもよい。
【0039】
回路118は、少なくとも部分的に1以上のセッションキー80に基づいて、少なくとも部分的に、暗号化されていないトラフィック306を暗号化して、暗号化したトラフィックをセッション230A…230Nを介してクライアント220A…220Nに送信してもよい。その前に、回路118は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78及び1以上のドメインキー76に基づいて、動的に1以上のセッションキー80を再構築してもよい。
【0040】
これに替えて、1以上のセッション92は、ドメイン70内の複数のセキュアなセッション402A…402N(図4参照)を含んでもよく、これらは、1以上のゲートウェイ120と1以上のサーバ30とを通信可能に接続してもよい。セキュアなセッション402A…402Nはそれぞれ、セキュアなセッション230A…230Nに対応していてもよい。本実施形態において、1以上のデータセット78は、セッション230A…230Nのそれぞれと関連付けられたデータセット404A…404Nをそれぞれ含んでもよい。例えば、セッション230A…230Nを暗号化するのに基本となる1以上のセッションキー80のそれぞれは、少なくとも部分的に、データセット404A…404N及び1以上のドメインキー76に基づいて生成されてもよい。回路118は、少なくとも部分的に、セッション230A…230Nを介してクライアント220Aから回路へと送信されたトラフィック304からそれぞれ、データセット404A…404Nを抽出してもよい(図5のオペレーション504を参照)。抽出されたデータセット404A…404N及び1以上のドメインキー76に少なくとも部分的に基づいて、回路118は、セッション230A…230Nのそれぞれについて、それぞれの1以上のセッションキー80を動的に(例えば、パケット毎に)再構築して、少なくとも部分的に、それぞれセッション230A…230Nを介して送信されたトラフィック304を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー80に基づいて、トラフィック304を復号化してもよい(図5のオペレーション506参照)。回路118は、少なくとも部分的に、復号化したトラフィックを上記のような態様で試験してもよい。
【0041】
回路118は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されていないトラフィック304を暗号化して、暗号化したトラフィック406をセッション402A…402Nを介して1以上のサーバ30に送信してもよい(図5のオペレーション508参照)。その前に、回路118は、少なくとも部分的に、1以上の値206及び/又は1以上のデータセット74及び1以上のドメインキー72に基づいて、動的に1以上のセッションキー82を(上記で説明したのと同様な態様で)再構築してもよい。
【0042】
これに替えて、1以上のドメインキー76は、1以上のキー72と、少なくとも部分的に、同一であってもよい。更に、これに替えて又はこれに加えて、1以上のゲートウェイ120は、1以上のキー76及び/又は1以上のキー72を、1以上のセキュアなハンドシェイク及び/又はネゴシエーションオペレーションを介して、1以上のサーバ30に提供してもよい。これにより、1以上のサーバ30が1以上のセッションキー82を動的に再構築することが可能になる、及び/又は、回路118に関して上記した態様で、復号化及び/又は暗号化オペレーションを実行することが可能となる。
【0043】
本実施形態では、1以上のセッション90に含まれる個々のセッションの数に関係なく、回路118は、1以上のサーバ30と1つのキー(鍵)の交渉のトランザクションを実行してもよく(例えば、1つのセッションキー82及び/又は1つのドメインキー72の交換及び/又は交渉を行う)、1以上のサーバ30は、(例えば、1つのセッションキー82及び/又は1つのドメインキー72に少なくとも部分的に基づいて)1以上のセッション92の全てを確立することを許可してもよい。その結果、本実施形態では、1つのハンドシェイクオペレーションのみが、このようなトランザクションに含まれる。本実施形態では、上記のような構成により、キー交渉の数、交渉を行うキーの数、及び、1以上のセッション92を確立するのに必要な回路118と1以上のサーバ30との間のハンドシェイクの数を大幅に低減させることができる。更に、上記のような構成により、本実施形態で使用されるキーの格納量を大幅に低減させることができる。
【0044】
本実施形態において、キー80及び/又はキー82の生成は、(1)2007年3月30日出願の米国特許出願第11/731,562号、及び、2008年10月28日公開の米国特許出願公開第2008/0244268号公報、発明者Durham等、(2)2009年3月2日出願の米国特許出願第12/396,125号に開示された原理に少なくとも部分的に基づいて実行されてもよい。無論、その他の、更なる及び/又は代替の技術を少なくとも部分的に使用して、1以上のキー80及び/又は1以上のキー82を生成してもよい。
【0045】
一実施形態は、少なくとも部分的に、第1ドメインのクライアントと第2ドメインのサーバとの間の少なくとも部分的にセキュアな通信を確立する回路を含んでもよい。チャネルは、第1及び第2ドメインにおける第1ドメインセッション及び第2ドメインセッションを含んでもよい。回路は、少なくとも部分的に、第1ドメインセッション及び第2ドメインセッションをそれぞれ暗号化してもよい第1ドメインセッションキー及び第2ドメインセッションキーを生成してもよい。第1ドメインセッションキーは、第1ドメインに割り当てられる第1ドメインキー及び第1ドメインセッションに関連付けられる第1データセットに基づいて生成されてもよい。第2ドメインセッションキーは、第2ドメインに割り当てられる第2ドメインキー及び第2ドメインセッションに関連付けられる第2データセットに基づいて生成されてもよい。
【0046】
本実施形態において、回路118は、少なくとも部分的に、1以上のパケット204及び/又は208から抽出される1以上のデータセット78及び/又は74に少なくとも部分的に基づいて、1以上のセッションキー80及び/又は82を動的に生成可能であってもよい。このような構成により、回路118が(1)このようなセッションキーに少なくとも部分的に基づいて生成されるセッションとセッションキー自体との間のメモリにおける関連付けを維持する必要がなくなる、(2)トランスポート層及び暗号化状態情報の大部分を常に格納する必要がなくなる及び対応するセッションをバッファする必要がなくなる、という利点を有する。また、このような構成により、本実施形態における、接続拡張性及び処理速度を大幅に改善させることができる。
【0047】
また、少なくとも部分的に、上記のような態様で1以上のキー80及び/又は82を動的に生成することができることにより、回路118は、回路118から及び/又は回路118へと送信されるトラフィックを動的に復号化及び/又は暗号化することができる。このような構成により、回路118及び/又は1以上のノード120は、1以上のクライアント10と1以上のサーバ30(例えば、1以上のセキュアなチャネル54を介して)との間の暗号化通信のコンテンツの試験及び/又は分析を実行することが可能となる。その結果、企業ドメイン51及び/又はシステム100のセキュリティを犠牲にすることなく、(例えば、ドメイン51及び/又はシステム100からのウイルスの侵入を防ぐ、又は、ウイルスを取り除くことにより)企業ドメイン51及び/又はシステム100の性能を改善させることができる。
【0048】
このように、本実施形態の特徴により、セキュリティ、通信及び/又は暗号化処理によって消費される処理帯域の量を低減させることができると同時に、このような処理を実行する際の速度を改善させることができる。また、本実施形態の特徴により、特別なトランスポート層及び/又は暗号化オフロード及び/又は加速ハードウェアにより、このような処理をより容易に実装可能とする。
【技術分野】
【0001】
本開示は、少なくとも一部ノード間で実行される暗号化通信を少なくとも一部試験することを可能とするノード間のセキュアな通信チャネルを少なくとも一部確立する方法に関する。
【背景技術】
【0002】
従来の構成において、企業のネットワークが、第2ネットワークノードに接続される第1ネットワークノードを含む場合を考える。第2ネットワークノードは、企業ネットワークを、第3ネットワークノードを含む外部ネットワークに接続してもよい。第2ネットワークノードは、企業ネットワークから外部ネットワークへと渡されるパケット及び外部ネットワークから企業ネットワークへと渡されるパケットの試験及び/又は解析を伴う、企業ネットワークのためのセキュリティ機能を提供してもよい。
【0003】
従来のネットワーク配置では、第1ネットワークノード及び第3ネットワークノードは、互いに暗号化された通信を交換してもよい。第1ネットワークノードと第3ネットワークノードとの間では交換されるが第2ネットワークへは開示されない暗号化キーに基づいて、この通信が実行されてもよい。これにより、第2ネットワークノードが、第1ネットワークノードと第3ネットワークノードとの間で暗号化された通信の内容を試験及び/又は分析することを不可能にしている。しかしながら、この構成は、企業のセキュリティを危険に晒す可能性があり、企業ネットワークに悪影響を与える可能性がある(例えば、企業ネットワークにウイルスの侵入を許す等)。
【0004】
更に、相対的に多数のセキュアな接続が、第2ネットワークノードを横断している場合がある。この従来の配置では、意味のある試験及び/又はその他の分析を実行するために、第2ネットワークノードは、多数の接続のそれぞれを、それぞれの暗号キー及び/又はその他の情報と関連付ける。処理可能な接続の数が大幅に限られ、このような関連付け処理のスピードが制限される従来の配置では、接続の拡張性の問題が生じる。
【0005】
また、従来の配置では、これらセキュアな接続の数及び特徴は、時間軸上で一定ではなく、相対的に短期間で大きく変化する場合が多い。接続が大幅に変化することを考慮して、意味のある試験及び/又はその他の分析を実行するためには、接続同期処理の大きなオーバーヘッドを第2ネットワークノードに課すことになる。
【0006】
また、従来の配置では、第1ノードと第3ノードとの間のセキュアな接続はそれぞれ、第2ノードと第3ノードとの間の対応する接続と関係している場合がある。第2ネットワークノードと第3ネットワークノードとの間のセキュアな接続それぞれについて、第2ネットワークは、それぞれのセキュアな接続を確立するのに使用されてもよい第3ネットワークとの暗号化キーをそれぞれ交渉してもよい。従来の配置では相対的に多数の接続が存在することから、暗号化キーの交渉及びそれに関連して多数のハンドシェイクが望ましくないほど多数発生し、第2ノードと第3ノードとの間で多数のキーについての交渉が行われることになる。また、この従来の配置では、多量のキーを記憶及び処理しなくてはならない。
【0007】
実施形態の特徴及び利点が、以下の詳細な説明及び図面を参照することにより明らかとなるであろう。図面間において、同様な構成要素には同様な参照番号が付与されている。
【図面の簡単な説明】
【0008】
【図1】システムの実施形態を示した図である。
【図2】一実施形態における特徴を示した図である。
【図3】一実施形態における特徴を示した図である。
【図4】一実施形態における特徴を示した図である。
【図5】一実施形態におけるオペレーションを示した図である。
【発明を実施するための形態】
【0009】
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
【0010】
図1には、システムの実施形態100が示されている。システム100は、別のドメイン70と通信可能に接続されてもよい企業ドメイン51を含んでもよい。ドメイン70は、少なくとも一部、企業ドメイン51の外側であってもよく、少なくとも一部インターネットドメインを含む及び/又は利用してもよい。企業ネットワーク51は、1以上のゲートウェイ及び/又はネットワークアプライアンスノード120に通信可能に接続されてもよい1以上のクライアントネットワークノード10を含んでもよい。1以上のノード120は、ドメイン70に含まれていてもよい1以上のサーバノード30及び/又はドメイン70に通信可能に接続されていてもよい。
【0011】
本実施形態において、"ノード"という言葉は、例えば、終端局、家電、マスストレージ、中間局、ネットワークインターフェース、クライアント、サーバ、スマートフォン、その他の通信デバイス及び/又はその部分のような、ネットワークに通信可能に接続されるエンティティを指す。本実施形態において、"クライアント"及び/又は"クライントノード"という言葉は、必ずしもこれが必要というわけではないが終端局を含むノードという意味に交換可能に使用される場合がある。本実施形態において、終端局は、スマートフォン又はその他の通信デバイスであってもよい。また、本実施形態において、"中間ノード"、"ゲートウェイ"、"ゲートウェイノード"、"ネットワークアプライアンス"、及び/又は、"ネットワークアプライアンスノード"という言葉は、複数のその他のノードに通信可能に接続されてもよいノードを意味するように交換可能に使用される場合があり、例えば、ファイヤーウォール、スイッチング、フォワーディング、ゲートウェイ、侵入検出、負荷バランシング、及び/又は、ルーティングサービス及び/又は機能のような1以上のサービス及び/又は機能を提供、促進及び/又は実装してもよい(必ずしも、提供することが必要であるわけではないが)。本実施形態において、"サーバ"及び/又は"サーバノード"という言葉は、例えば、データ格納、読み出し及び/又は処理機能のような1以上のサービス及び/又は機能を1以上のクライアントに提供、促進及び/又は実装するノードを意味する言葉として交換可能に使用される場合がある。本実施形態において、"ネットワーク"は、互いに通信可能に接続される2つ以上のノードであってもよい、又は、この2つ以上のノードを含んでもよい。また、本実施形態において、一方のノードが、例えば、1以上の有線及び/又は無線通信リンクを介して、1以上のコマンド及び/又はデータを他方のノードから送信及び受信可能である場合、一のノードは他のノードに"通信可能に接続"されてもよい。本実施形態において、"無線通信リンク"は、少なくとも2つのノードが少なくとも部分的に無線通信接続されることを可能にする様式及び/又は部分を意味してもよい。本実施形態において、"有線通信リンク"とは、少なくとも2つのノードが少なくとも部分的に非無線手段を介して少なくとも部分的に通信接続されることを可能にする様式及び/又は部分を意味してもよい。また、本実施形態で使用されている、データという言葉は、1以上のコマンドである又は1以上のコマンドを含んでもよく、1以上のコマンドはデーアであってもよい又はデータを含んでもよい。
【0012】
1以上のノード120は、回路基板(CB)14を含んでもよい。CB14は、1以上のホストプロセッサ、及び/又は、チップセット集積回路12及びコンピュータ読み出し/書き込み可能メモリ21を備えるシステムマザーボードであってもよい、又は、そのようなシステムマザーボードを含んでもよい。CB14は、CB14の構成要素(例えば、1以上の集積回路12及び/又はメモリ21)及びCC22の構成要素(例えば、C22に含まれる演算可能回路118)が、互いに通信可能に接続されるような態様で、回路カード(CC)22がCB14と電気的及び機械的に結合することを可能とする1以上のコネクタ(図示せず)を備えてもよい。
【0013】
これに替えて又は加えて、本実施形態の範囲において、1以上の集積回路12及び/又はメモリ21に含まれる回路の一部又は全てが、回路118に含まれていてもよく、及び/又は、回路118の一部又は/全てが、1以上の集積回路12及び/又はメモリ21に含まれていてもよい。
【0014】
また、本実施形態において"回路"は、例えば、アナログ回路、デジタル回路、有線接続された回路、ブログラム可能回路、状態機械回路、及び/又は、プログラマブル回路によって実行されてもよいプログラム命令を含むメモリを単体で、又は、これらの組み合わせを含んでもよい。本実施形態では、"集積回路"とは、例えば、半導体集積回路チップのような、半導体デバイス及び/又はマイクロ電子デバイスを意味してもよい。更に、本実施形態では、"ホストプロセッサ"、"プロセッサ"、"プロセッサコア"、"コア"及び/又は"コントローラ"という言葉は、少なくとも部分的に1以上の算術及び/又は論理演算を実行する能力を有する回路を意味するべく交換可能に使用される場合がある。また、本実施形態では、"チップセット"とは、少なくとも部分的に、1以上のプロセッサ、メモリ及び/又はその他の回路に通信可能に接続できる回路を含んでもよい。
【0015】
ノード10、120及び/又は30はそれぞれ、図示しないユーザインターフェースを備えてもよく、ユーザインターフェースは、例えば、キーボードポインティングデバイス及び人間がコマンドを入力可能な表示システムを備え、各ノード及び/又はシステム100のオペレーションを監視する。演算可能回路118は、1以上のクライアント10及び/又は1以上のサーバ30と通信可能に接続されていてもよい。
【0016】
回路118は、1以上の集積回路15を含んでもよい。1以上の集積回路15は、1以上のプロセッサコア124及び/又は暗号化回路126を含んでもよい。この実施形態において、回路118、1以上の集積回路15、1以上のコア124及び/又は回路126は、少なくとも部分的に、本明細書に記載される回路118によって実行される暗号化及び/又は関連オペレーションを実行可能であってもよい。
【0017】
1以上の機械可読プログラム命令は、コンピュータ可読/書き込み可能メモリ21に格納されてもよい。1以上のノード120のオペレーションにおいて、これら命令は、1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126によって実行及び/又はアクセスされてもよい。1以上の命令が実行されると、1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126は、本明細書に記載されるように1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126によって実行されるオペレーションを実行する。メモリ21は、半導体ファームウェアメモリ、プログラマブルメモリ、不揮発性メモリ、リードオンリーメモリ、電気的プログラマブルメモリ、ランダムアクセスメモリ、フラッシュメモリ、磁気ディスクメモリ、光ディスクメモリ、及び/又は、その他の又は後に開発されるコンピュータ可読及び/又は書き込み可能メモリのうちの1以上の種類のメモリを含んでもよい。
【0018】
本実施形態において、"ドメイン"は、1以上のノード及び(図示しない)ドメインオーソリティを含む。本実施形態において、"ドメインオーソリティ"は、一部又は全部が、認証、特定及び/又はセキュリティを伴う及び/又は関係する1以上の機能、特徴、プロトコル及び/又はオペレーションを少なくとも部分的に、提供、実装及び/又は促進可能な1以上のエンティティを含んでもよい。例えば、ドメイン51及び/又は70はそれぞれ、1以上のノード10、120及び/又は30に通信可能に接続されてもよい1以上の対応するドメインオーソリティ(図示せず)を含んでもよい。これに替えて又は加えて、システム100における1以上のドメインオーソリティの機能及び/又はオペレーションの全て又は一部は、少なくとも部分的に、1以上のノード120及び/又は30によって実行されてもよい。
【0019】
回路118は、データ及びコマンドを1以上の通信プロトコルに従って、1以上のクライアント10と及び/又は1以上のサーバ30と交換してもよい。例えば、本実施形態では、これら1以上のプロトコルは、例えば、イーサーネットプロトコル、伝送制御プロトコル/インターネットプロトコル(TCP/IP)プロトコル、セキュリティアーキテクチャforIP(IPsec)及び/又はトランスポートレイヤセキュリティ(TLS)プロトコルに準拠してもよい。
【0020】
システム100で利用可能なイーサーネットプロトコルは、2000年10月20日発行の電気電子技術者協会(IEEE)規格、802.3、2000年エディションに記載されたプロトコルに準拠してもよい。システム100で利用可能なTCP/IPプロトコルは、1981年発行のインターネット・エンジニアリング・タスクフォース(IETF)のリクエストフォーコメンツ(RFC)791及び793に記載されているプロトコルに準拠してもよい。システム100で利用可能なIPsecプロトコルは、2005年12月に発行されたIETF RFC4301に記載されているプロトコルに準拠してもよい。システム100で利用可能なTLSプロトコルは、2006年4月に発行されたIETF RFC4346"トランスポートレイヤセキュリティ(TLS)プロトコルバージョン1.1"に記載されたプロトコルに準拠してもよい。無論、上記のプロトコル及び/又はその他のプロトコルの後に開発されるバージョンを含む、数多くの異なる、更なる及び/又はその他のプロトコル(例えば、セキュリティに関する及び/又は実装プロトコル)を、本実施形態の範囲内で、データ及び/又はコマンドの交換に使用してもよい。
【0021】
図5に示すように、システム100は、少なくとも部分的に、オペレーション500を実行してもよい。例えば、システム100のオペレーションでは、回路118は、データ及び/又はコマンドを、1以上のクライアント10及び/又は1以上のサーバ30とやりとりしてもよく、少なくとも部分的に、1以上のクライアント10及び/又は1以上のサーバ30との間の1以上のセキュアな通信チャネル54を、回路118及び/又は1以上の図示しない非中間ノードを介して確立してもよい(オペレーション502参照)。本実施形態において、1以上のチャネル54は、ドメイン51における1以上のセッション90及びドメイン70における1以上のセッション92を含んでもよい。1以上のセッション90は、少なくとも部分的に、1以上のクライアント10及び1以上のノード120(すなわち、1以上のノード120における回路118)を通信可能に接続してもよい、又は、これらの間に存在してもよいドメイン51における、1以上のセキュアなセッションである、又は、1以上のセキュアなセッションを含む。1以上のセッション92は、少なくとも部分的に、回路118及び1以上のサーバ30を通信可能に接続してもよい、又は、これらの間に存在するドメイン70における、1以上のセキュアなセッションである、又は、1以上のセキュアなセッションを含む。以下に説明するように、1以上のセッション90及び1以上のセッション92は、まとめて、1以上のチャネル54を提供するように動作する。
【0022】
本実施形態において、"セッション"及び"チャネル"という言葉は交換可能に使用される場合があり、少なくとも2つのエンティティの間でコマンド及び/又はデータを交換することを含む。また、本実施形態において、"セキュアなセッション"とは、少なくとも部分的に、データ及び/又はコマンドの少なくとも一部が暗号化されているセッションを含んでもよい。本実施形態において、"暗号化"及び/又は"暗号化する"とは、少なくとも部分的に、プレーンテキストから暗号文を生成すること及び/又はその生成を簡易にすることを含む1以上のオペレーションを含んでもよい。また、本実施形態において、"復号化(暗号解読)"及び/又は"復号化する"とは、少なくとも部分的に、暗号文からプレーンテキストを生成すること及び/又はその生成を簡易にすることを含む1以上のオペレーションを含んでもよい。また、本実施形態において、"プレーンテキスト"は、少なくとも部分的に暗号化されたデータ、及び/又は、暗号化及び/又は復号化がすでに行われた及び/又は暗号化及び/又は復号化の最中であるデータを含んでもよい。本実施形態において、"キー(鍵)"は、暗号化及び復号化で使用されてもよい1以上の符号及び/又は値を含んでもよい。
【0023】
例えば、本実施形態において、1以上のクライアント10は、1以上のクライアント10と1以上のサーバ30との間の1以上のセキュアなチャネル54の確立を開始することを意図した1以上のパケットを、回路118に送信してもよい。これら1以上のパケットに応答して、少なくとも部分的に、回路118は、1以上のクライアント10とデータ及び/又はコマンドをやりとりしてもよく、それにより1以上のセッション90が確立されてもよい。本実施形態では、これと同時に、回路118は、1以上のサーバ30とデータ及び/又はコマンドをやりとりしてもよく、それにより1以上のセッション92が確立されてもよい。
【0024】
回路118と1以上のクライアント10との間のデータ及び/又はコマンドのやりとりの一部として、回路118は、セキュアな態様で(例えば、TLS制御チャネルハンドシェイク、TCP及び/又はIPオプションを伴うアウトバウンド技術、及び/又は、IPsecインターネット鍵交換の一部として)、1以上のクライアントノード10に、1以上のセッションキー(SK)80を送信してもよい。1以上のキー80を1以上のクライアント10に送信する前に、1以上のノード120は、少なくとも部分的に1以上の暗号化オペレーションに基づいて(例えば、1以上の一方向ハッシング関数を含む)、少なくとも部分的に入力オペランドとして1以上のドメインキー(DK)76及び1以上のデータセット(DS)78を伴う1以上のキー80を少なくとも部分的に生成してもよい。このように、少なくとも部分的に、1以上のノード120とドメイン51内の1以上のクライアント10との間の交渉の結果として、少なくとも部分的に、1以上のキー80が生成されてもよい。
【0025】
1以上のキー76が、ドメイン51内の図示しない1以上のドメインオーソリティによってドメイン51に割り当てられてもよい。これら1以上のドメインオーソリティは、少なくとも部分的に、1以上のキー76を生成して、これらを1以上のノード120に分配してもよい。しかしながら、1以上のドメインオーソリティ及び1以上のノード120は、1以上のクライアントノード10及びその他のエンティティ(例えば、ドメイン51内外のエンティティ)に対して、1以上のキー76を秘密にしてもよい。1以上のデータセット78は、少なくとも部分的に、回路118によって、1以上のクライアント10から1以上のノード120へと送信された1以上のパケット204(図2参照)から抽出されてもよい(又は、取得されてもよい)。1以上のデータセット78は、少なくとも部分的に、1以上のセッション90と関連付けられていてもよい。例えば、1以上のデータセット78は、少なくとも部分的に、1以上のセッション90を特定できる1以上の値202を含んでもよい。この1以上の値202は、少なくとも部分的に、1以上のクライアント10及び/又は1以上のノード120を特定する固有のIDを1以上連結したものであってもよい、又は、このようなものを含んでもよい。(少なくとも部分的に)これに替えて又はこれに加えて、1以上の値202は、少なくとも部分的に、1以上のサーバ30のそれぞれのIDを1以上含んでもよい。これら固有のIDは、例えば、1以上のそれぞれのアドレス、IPsecセキュリティパラメータインデックス、及び/又は、その他の値(例えば、セッションコンテキスト情報)であってもよい、又は、これらを含んでもよい。
【0026】
本実施形態において、ドメイン51の1以上の図示しないドメインオーソリティは、(1)1以上のキー76がドメイン51と一意的に関連付けられる、及び、(2)1以上のキー76が1以上のキー80から基本的に取得できない(例えば、現実的な暗号化の観点で)ような態様で、1以上のキー76を生成してもよい。一実施形態において、1以上のキー76は、暗号化法的に高度にランダムな1以上の番号であってもよい、又は、そのような番号を含んでもよい。
【0027】
1以上のキー80を使用して、クライアント10の各々は、少なくとも部分的に、1以上のセッション90を介して1以上のノード120に送信されるトラフィックのそれぞれを暗号化してもよく、また、少なくとも部分的に、1以上のセッション90を介して1以上のノード120から受信されるトラフィックをそれぞれ復号化してもよい。本実施形態において、1以上のノード120へのトラフィックは、1以上の値202及び/又はデータセット78がプレーンテキストとして送信される1以上のパケット(例えば、1以上のパケット204)を含んでもよい。1以上の値202及び/又は1以上のデータセット78は、上記のような態様で1以上のキー76と共に、1以上のキー80を生成する1以上の暗号化オペレーションにおいて使用される場合に、1以上のキー80の各々が、1以上のゲートウェイ120と1以上のクライアント10との間の独立したそれぞれのセキュアなセッションを提供するのに使用可能な独立したセッションキーとなるように又はそのようなセッションキーを含むように、1以上の値202及び/又は1以上のデータセット78が選択されてもよい。
【0028】
回路118及び/又は1以上のサーバ30との間でやりとりされるデータ及び/又はコマンドの一部として、回路118は、セキュアな態様で(例えば、TLS制御チャネルハンドシェイク、TCP及び/又はIPオプションを伴うアウトバウンド技術、及び/又は、IPsecインターネット鍵交換の一部として)、1以上のサーバ30に、1以上のセッションキー82を送信してもよい。1以上のキー82を1以上のサーバ30に送信する前に、1以上のノード120は、少なくとも部分的に、1以上の暗号化オペレーションに基づいて(例えば、1以上の一方向ハッシング関数を含む)、少なくとも部分的に入力オペランドとして1以上のドメインキー72及び1以上のデータセット74を伴う1以上のキー82を少なくとも部分的に生成してもよい。このように、少なくとも部分的に、ドメイン51内の1以上のノード120とドメイン70内の1以上のサーバ30との間の交渉の結果として、少なくとも部分的に、1以上のキー82が生成されてもよい。
【0029】
1以上のキー72が、ドメイン70内の図示しない1以上のドメインオーソリティによってドメイン70に割り当てられてもよい。これら1以上のドメインオーソリティは、少なくとも部分的に、1以上のキー72を生成して、これらを1以上のノード120に分配してもよい。しかしながら、1以上のドメインオーソリティ及び1以上のノード120は、1以上のサーバ30及びその他のエンティティ(例えば、ドメイン70内外のエンティティ)に対して、1以上のキー72を秘密にしてもよい。1以上のデータセット74は、少なくとも部分的に、回路118によって、1以上のサーバ30から1以上のノード120へと送信された1以上のパケット208(図2参照)から抽出されてもよい(又は、取得されてもよい)。1以上のデータセット74は、少なくとも部分的に、1以上のセッション92と関連付けられていてもよい。例えば、1以上のデータセット74は、少なくとも部分的に、1以上のセッション92を特定できる1以上の値206を含んでもよい。この1以上の値206は、少なくとも部分的に、1以上のサーバ30及び/又は1以上のノード120を特定する固有のIDを1以上連結したものであってもよい、又は、このようなものを含んでもよい。(少なくとも部分的に)これに替えて又はこれに加えて、1以上の値206は、少なくとも部分的に、1以上のクライアント10のそれぞれのIDを1以上含んでもよい。これら固有のIDは、例えば、1以上のそれぞれのアドレス、IPsecセキュリティパラメータインデックス、及び/又は、その他の値(例えば、セッションコンテキスト情報)であってもよい、又は、これらを含んでもよい。
【0030】
このように、本実施形態では、例えば、オペレーションのドメインに応じて、1以上の値206及び/又は1以上のデータセット74は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78とそれぞれ同一であってもよい。これに替えて、本実施形態の範囲内において、例えば、オペレーションのドメインに応じて、1以上の値206及び/又は1以上のデータセット74は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78とそれぞれ異なっていてもよい。
【0031】
本実施形態において、ドメイン70の1以上の図示しないドメインオーソリティは、(1)1以上のキー72がドメイン70と一意的に関連付けられる、及び、(2)1以上のキー72が1以上のキー82から基本的に取得できない(例えば、現実的な暗号化の観点で)ような態様で、1以上のキー72を生成してもよい。一実施形態において、1以上のキー72は、暗号化法的に高度にランダムな1以上の番号であってもよい、又は、そのような番号を含んでもよい。
【0032】
1以上のキー82を使用して、サーバ30の各々は、少なくとも部分的に、1以上のセッション92を介して1以上のノード120に送信されるトラフィックのそれぞれを暗号化してもよく、また、少なくとも部分的に、1以上のセッション92を介して1以上のノード120から受信されるトラフィックをそれぞれ復号化してもよい。本実施形態において、1以上のノード120へのトラフィックは、1以上の値206及び/又はデータセット74がプレーンテキストとして送信される1以上のパケット(例えば、1以上のパケット208)を含んでもよい。1以上の値206及び/又は1以上のデータセット74は、上記のような態様で1以上のキー72と共に、1以上のキー82を生成する1以上の暗号化オペレーションにおいて使用される場合に、1以上のキー82の各々が、1以上のゲートウェイ120と1以上のサーバ30との間の独立したそれぞれのセキュアなセッションを提供するのに使用可能な独立したセッションキーとなるように又はそのようなセッションキーを含むように、1以上の値206及び/又は1以上のデータセット74が選択されてもよい。本実施形態において、1以上のドメインキー76は、少なくとも部分的に、1以上のドメインキー72とは異なっていてもよい。
【0033】
図2に示すように、本実施形態では、ドメイン51において、1以上のクライアント10は、複数のクライアント220A…220Nを含んでもよく、1以上のセッション90は、クライアント220A…220Nと1以上のゲートウェイノード120との間の複数のセッション230A…230Nを含んでもよい。セッション230A…230Nはそれぞれ、クライアント220A…220Nと1以上のノード120とを通信可能に接続してもよい。上記したように、これらセキュアなセッション230A…230Nは、少なくとも部分的に、1以上のセッションキー80のうちの対応する1つに基づいて生成されてもよい。
【0034】
図3に示すように、1以上のセッション92は、1以上のゲートウェイ120を1以上のサーバ30に通信可能に接続可能である1つのセキュアなセッション302を含んでもよい。この配置では、セッション302は、少なくとも部分的に、セッション230A…230Nをカプセル化してもよい(図2参照)。本実施形態において、カプセル化は、少なくとも部分的に、第1エンティティを少なくとも部分的に第2エンティティに組み込むこと、及び/又は、第1エンティティの情報の少なくとも一部を少なくとも部分的に第2エンティティに組み込むことを含んでもよく、例えば、1以上のパケットを1以上のフレームにカプセル化することを含む。
【0035】
例えば、ネットワークトラフィック304は、セッション230A…230Nを介して、クライアント220A…220Nから、1以上のゲートウェイ120における回路118へと送信されてもよい。セッション230A…230Nを介して回路118に送信される場合に、トラフィック304は、少なくとも部分的に1以上のセッションキー80に基づいて、少なくとも部分的に、暗号化されてもよい。しかしながら、トラフィック304において、1以上のデータセット78及び/又は1以上の値202が、プレーンテキストとして送信されてもよい。
【0036】
回路118は、少なくとも部分的に、トラフィック304から、1以上のデータセット78及び/又は1以上の値202を抽出してもよい。抽出された1以上のデータセット78及び/又は1以上の値202及び1以上のドメインキー76に少なくとも部分的に基づいて、回路118は、セッション230A…230Nのそれぞれについて、それぞれの1以上のセッションキー80を動的に(例えば、パケット毎に)再構築して、少なくとも部分的に、トラフィック304を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー80に基づいて、トラフィック304を復号化してもよい。回路118は、少なくとも部分的に、復号化したトラフィック304を試験してもよい。試験としては、例えば、パターンマッチング、署名、チェックサム、妥当性の確認、及び/又は、トラフィック304において、許可されていない及び/又は望ましくないデータ及び/又は命令が存在することを検出する及び/又はそれに適切に対処するためのその他の分析技術が含まれてもよい。
【0037】
回路118は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されていないトラフィック304を暗号化して、暗号化したトラフィックを1つのセッション302を介して1以上のサーバ30に送信してもよい。その前に、回路118は、少なくとも部分的に、1以上の値206及び/又は1以上のデータセット74及び1以上のドメインキー72に基づいて、動的に1以上のセッションキー82を(上記の1以上のキー80で説明したのと同様な態様で)再構築してもよい。
【0038】
1以上のサーバ30は、セッション302を介して、1以上のゲートウェイ120における回路118にトラフィック306を送信してもよい。1つのセッション302を介して回路118に送信される場合に、トラフィック306は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されてもよい。しかしながら、トラフィック306では、1以上のデータセット74及び/又は1以上の値206が、プレーンテキストとして送信されてもよい。回路118は、1以上のデータセット74及び/又は1以上の値206をトラフィック306から抽出してもよい。抽出された1以上のデータセット74及び/又は1以上の値206及び1以上のドメインキー72に少なくとも部分的に基づいて、回路118は、1以上のセッションキー82を動的に再構築して、少なくとも部分的に、トラフィック306を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー82に基づいて、トラフィック306を復号化してもよい。回路118は、少なくとも部分的に、復号化したトラフィック306を試験してもよい。試験としては、例えば、パターンマッチング、パターンマッチング、署名、チェックサム、妥当性の確認、及び/又は、トラフィック306において、許可されていない及び/又は望ましくないデータ及び/又は命令が存在することを検出する及び/又はそれに適切に対処するためのその他の分析技術が含まれてもよい。
【0039】
回路118は、少なくとも部分的に1以上のセッションキー80に基づいて、少なくとも部分的に、暗号化されていないトラフィック306を暗号化して、暗号化したトラフィックをセッション230A…230Nを介してクライアント220A…220Nに送信してもよい。その前に、回路118は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78及び1以上のドメインキー76に基づいて、動的に1以上のセッションキー80を再構築してもよい。
【0040】
これに替えて、1以上のセッション92は、ドメイン70内の複数のセキュアなセッション402A…402N(図4参照)を含んでもよく、これらは、1以上のゲートウェイ120と1以上のサーバ30とを通信可能に接続してもよい。セキュアなセッション402A…402Nはそれぞれ、セキュアなセッション230A…230Nに対応していてもよい。本実施形態において、1以上のデータセット78は、セッション230A…230Nのそれぞれと関連付けられたデータセット404A…404Nをそれぞれ含んでもよい。例えば、セッション230A…230Nを暗号化するのに基本となる1以上のセッションキー80のそれぞれは、少なくとも部分的に、データセット404A…404N及び1以上のドメインキー76に基づいて生成されてもよい。回路118は、少なくとも部分的に、セッション230A…230Nを介してクライアント220Aから回路へと送信されたトラフィック304からそれぞれ、データセット404A…404Nを抽出してもよい(図5のオペレーション504を参照)。抽出されたデータセット404A…404N及び1以上のドメインキー76に少なくとも部分的に基づいて、回路118は、セッション230A…230Nのそれぞれについて、それぞれの1以上のセッションキー80を動的に(例えば、パケット毎に)再構築して、少なくとも部分的に、それぞれセッション230A…230Nを介して送信されたトラフィック304を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー80に基づいて、トラフィック304を復号化してもよい(図5のオペレーション506参照)。回路118は、少なくとも部分的に、復号化したトラフィックを上記のような態様で試験してもよい。
【0041】
回路118は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されていないトラフィック304を暗号化して、暗号化したトラフィック406をセッション402A…402Nを介して1以上のサーバ30に送信してもよい(図5のオペレーション508参照)。その前に、回路118は、少なくとも部分的に、1以上の値206及び/又は1以上のデータセット74及び1以上のドメインキー72に基づいて、動的に1以上のセッションキー82を(上記で説明したのと同様な態様で)再構築してもよい。
【0042】
これに替えて、1以上のドメインキー76は、1以上のキー72と、少なくとも部分的に、同一であってもよい。更に、これに替えて又はこれに加えて、1以上のゲートウェイ120は、1以上のキー76及び/又は1以上のキー72を、1以上のセキュアなハンドシェイク及び/又はネゴシエーションオペレーションを介して、1以上のサーバ30に提供してもよい。これにより、1以上のサーバ30が1以上のセッションキー82を動的に再構築することが可能になる、及び/又は、回路118に関して上記した態様で、復号化及び/又は暗号化オペレーションを実行することが可能となる。
【0043】
本実施形態では、1以上のセッション90に含まれる個々のセッションの数に関係なく、回路118は、1以上のサーバ30と1つのキー(鍵)の交渉のトランザクションを実行してもよく(例えば、1つのセッションキー82及び/又は1つのドメインキー72の交換及び/又は交渉を行う)、1以上のサーバ30は、(例えば、1つのセッションキー82及び/又は1つのドメインキー72に少なくとも部分的に基づいて)1以上のセッション92の全てを確立することを許可してもよい。その結果、本実施形態では、1つのハンドシェイクオペレーションのみが、このようなトランザクションに含まれる。本実施形態では、上記のような構成により、キー交渉の数、交渉を行うキーの数、及び、1以上のセッション92を確立するのに必要な回路118と1以上のサーバ30との間のハンドシェイクの数を大幅に低減させることができる。更に、上記のような構成により、本実施形態で使用されるキーの格納量を大幅に低減させることができる。
【0044】
本実施形態において、キー80及び/又はキー82の生成は、(1)2007年3月30日出願の米国特許出願第11/731,562号、及び、2008年10月28日公開の米国特許出願公開第2008/0244268号公報、発明者Durham等、(2)2009年3月2日出願の米国特許出願第12/396,125号に開示された原理に少なくとも部分的に基づいて実行されてもよい。無論、その他の、更なる及び/又は代替の技術を少なくとも部分的に使用して、1以上のキー80及び/又は1以上のキー82を生成してもよい。
【0045】
一実施形態は、少なくとも部分的に、第1ドメインのクライアントと第2ドメインのサーバとの間の少なくとも部分的にセキュアな通信を確立する回路を含んでもよい。チャネルは、第1及び第2ドメインにおける第1ドメインセッション及び第2ドメインセッションを含んでもよい。回路は、少なくとも部分的に、第1ドメインセッション及び第2ドメインセッションをそれぞれ暗号化してもよい第1ドメインセッションキー及び第2ドメインセッションキーを生成してもよい。第1ドメインセッションキーは、第1ドメインに割り当てられる第1ドメインキー及び第1ドメインセッションに関連付けられる第1データセットに基づいて生成されてもよい。第2ドメインセッションキーは、第2ドメインに割り当てられる第2ドメインキー及び第2ドメインセッションに関連付けられる第2データセットに基づいて生成されてもよい。
【0046】
本実施形態において、回路118は、少なくとも部分的に、1以上のパケット204及び/又は208から抽出される1以上のデータセット78及び/又は74に少なくとも部分的に基づいて、1以上のセッションキー80及び/又は82を動的に生成可能であってもよい。このような構成により、回路118が(1)このようなセッションキーに少なくとも部分的に基づいて生成されるセッションとセッションキー自体との間のメモリにおける関連付けを維持する必要がなくなる、(2)トランスポート層及び暗号化状態情報の大部分を常に格納する必要がなくなる及び対応するセッションをバッファする必要がなくなる、という利点を有する。また、このような構成により、本実施形態における、接続拡張性及び処理速度を大幅に改善させることができる。
【0047】
また、少なくとも部分的に、上記のような態様で1以上のキー80及び/又は82を動的に生成することができることにより、回路118は、回路118から及び/又は回路118へと送信されるトラフィックを動的に復号化及び/又は暗号化することができる。このような構成により、回路118及び/又は1以上のノード120は、1以上のクライアント10と1以上のサーバ30(例えば、1以上のセキュアなチャネル54を介して)との間の暗号化通信のコンテンツの試験及び/又は分析を実行することが可能となる。その結果、企業ドメイン51及び/又はシステム100のセキュリティを犠牲にすることなく、(例えば、ドメイン51及び/又はシステム100からのウイルスの侵入を防ぐ、又は、ウイルスを取り除くことにより)企業ドメイン51及び/又はシステム100の性能を改善させることができる。
【0048】
このように、本実施形態の特徴により、セキュリティ、通信及び/又は暗号化処理によって消費される処理帯域の量を低減させることができると同時に、このような処理を実行する際の速度を改善させることができる。また、本実施形態の特徴により、特別なトランスポート層及び/又は暗号化オフロード及び/又は加速ハードウェアにより、このような処理をより容易に実装可能とする。
【特許請求の範囲】
【請求項1】
第1ドメインの少なくとも1つのクライアントと第2ドメインの少なくとも1つのサーバとの間の少なくとも1つのセキュアな通信チャネルを少なくとも部分的に確立させる回路を備える装置であって、
前記少なくとも1つのチャネルは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
前記回路は、少なくとも1つの第1ドメインセッションキー及び少なくとも1つの第2ドメインセッションキーを少なくとも部分的に生成し、
前記少なくとも1つの第1ドメインセッションキー及び前記少なくとも1つの第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
前記第1ドメインに割り当てられた第1ドメインキー、及び、前記少なくとも1つの第1ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第1データセットに少なくとも部分的に基づいて、前記少なくとも1つの第1ドメインセッションキーが生成され、
前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記少なくとも1つの第2ドメインセッションキーが生成される装置。
【請求項2】
前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
前記少なくとも1つの第1データセットは、前記少なくとも1つの第1ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項1に記載の装置。
【請求項3】
前記少なくとも1つのクライアントは、前記第1ドメインの複数のクライアントを含み、
前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
前記少なくとも1つの第2ドメインセッションは、少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
前記第1ドメインは、企業ドメインを含み、
前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項1に記載の装置。
【請求項4】
前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項3に記載の装置。
【請求項5】
前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
前記少なくとも1つの第1データセットは、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットをそれぞれ少なくとも部分的に抽出し、
前記回路は、前記データセットにそれぞれ少なくとも部分的に基づいて前記第1トラフィックを少なくとも部分的に復号化し、
前記回路は、前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを少なくとも部分的に暗号化する請求項3に記載の装置。
【請求項6】
前記回路は、
回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項1に記載の装置。
【請求項7】
少なくとも部分的に回路によって実行される方法であって、
前記回路によって、第1ドメインの少なくとも1つのクライアントと第2ドメインの少なくとも1つのサーバとの間の少なくとも1つのセキュアな通信チャネルを少なくとも部分的に確立する段階を備え、
前記少なくとも1つのチャネルは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
前記回路は、少なくとも1つの第1ドメインセッションキー及び少なくとも1つの第2ドメインセッションキーを少なくとも部分的に生成し、
前記少なくとも1つの第1ドメインセッションキー及び前記少なくとも1つの第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
前記第1ドメインに割り当てられた第1ドメインキー、及び、前記少なくとも1つの第1ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第1データセットに少なくとも部分的に基づいて、前記少なくとも1つの第1ドメインセッションキーが生成され、
前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記少なくとも1つの第2ドメインセッションキーが生成される方法。
【請求項8】
前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
前記少なくとも1つの第1データセットは、前記少なくとも1つの第1ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項7に記載の方法。
【請求項9】
前記少なくとも1つのクライアントは、前記第1ドメインの複数のクライアントを含み、
前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
前記少なくとも1つの第2ドメインセッションは、前記少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
前記第1ドメインは、企業ドメインを含み、
前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項7に記載の方法。
【請求項10】
前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項9に記載の方法。
【請求項11】
前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
前記少なくとも1つの第1データセットは、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
前記方法は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットを、前記回路によりそれぞれ少なくとも部分的に抽出する段階と、
前記データセットにそれぞれ少なくとも部分的に基づいて前記回路により前記第1トラフィックを少なくとも部分的に復号化する段階と、
前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを前記回路により少なくとも部分的に暗号化する段階とを備える請求項9に記載の方法。
【請求項12】
前記回路は、
回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項7に記載の方法。
【請求項13】
1以上の命令を格納するコンピュータ可読メモリであって、前記1以上の命令が機械によって実行されると、
第1ドメインの少なくとも1つのクライアントと第2ドメインの少なくとも1つのサーバとの間の少なくとも1つのセキュアな通信チャネルが少なくとも部分的に回路によって確立され、
前記少なくとも1つのチャネルは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
前記回路は、少なくとも1つの第1ドメインセッションキー及び少なくとも1つの第2ドメインセッションキーを少なくとも部分的に生成し、
前記少なくとも1つの第1ドメインセッションキー及び前記少なくとも1つの第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
前記第1ドメインに割り当てられた第1ドメインキー、及び、前記少なくとも1つの第1ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第1データセットに少なくとも部分的に基づいて、前記少なくとも1つの第1ドメインセッションキーが生成され、
前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記少なくとも1つの第2ドメインセッションキーが生成されるコンピュータ可読メモリ。
【請求項14】
前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
前記少なくとも1つの第1データセットは、前記少なくとも1つの第1ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項13に記載のコンピュータ可読メモリ。
【請求項15】
前記少なくとも1つのクライアントは、前記第1ドメインの複数のクライアントを含み、
前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
前記少なくとも1つの第2ドメインセッションは、前記少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
前記第1ドメインは、企業ドメインを含み、
前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項13に記載のメモリ。
【請求項16】
前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項15に記載のメモリ。
【請求項17】
前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
前記少なくとも1つの第1データセットは、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットをそれぞれ少なくとも部分的に抽出し、
前記回路は、前記データセットにそれぞれ少なくとも部分的に基づいて前記第1トラフィックを少なくとも部分的に復号化し、
前記回路は、前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを少なくとも部分的に暗号化する請求項15に記載のメモリ。
【請求項18】
前記回路は、
回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項13に記載のメモリ。
【請求項19】
前記少なくとも1つの第1ドメインセッションは、複数のセッションを含み、
前記回路は、前記少なくとも1つの第2ドメインセッションを確立するのに使用される1つのキーを交渉するべく、前記少なくとも1つのサーバと前記1つのキーの交渉トランザクションを実行し、
前記トランザクションは、前記回路と前記少なくとも1つのサーバとの間の1つのハンドシェイクを含む請求項1に記載の装置。
【請求項1】
第1ドメインの少なくとも1つのクライアントと第2ドメインの少なくとも1つのサーバとの間の少なくとも1つのセキュアな通信チャネルを少なくとも部分的に確立させる回路を備える装置であって、
前記少なくとも1つのチャネルは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
前記回路は、少なくとも1つの第1ドメインセッションキー及び少なくとも1つの第2ドメインセッションキーを少なくとも部分的に生成し、
前記少なくとも1つの第1ドメインセッションキー及び前記少なくとも1つの第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
前記第1ドメインに割り当てられた第1ドメインキー、及び、前記少なくとも1つの第1ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第1データセットに少なくとも部分的に基づいて、前記少なくとも1つの第1ドメインセッションキーが生成され、
前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記少なくとも1つの第2ドメインセッションキーが生成される装置。
【請求項2】
前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
前記少なくとも1つの第1データセットは、前記少なくとも1つの第1ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項1に記載の装置。
【請求項3】
前記少なくとも1つのクライアントは、前記第1ドメインの複数のクライアントを含み、
前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
前記少なくとも1つの第2ドメインセッションは、少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
前記第1ドメインは、企業ドメインを含み、
前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項1に記載の装置。
【請求項4】
前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項3に記載の装置。
【請求項5】
前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
前記少なくとも1つの第1データセットは、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットをそれぞれ少なくとも部分的に抽出し、
前記回路は、前記データセットにそれぞれ少なくとも部分的に基づいて前記第1トラフィックを少なくとも部分的に復号化し、
前記回路は、前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを少なくとも部分的に暗号化する請求項3に記載の装置。
【請求項6】
前記回路は、
回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項1に記載の装置。
【請求項7】
少なくとも部分的に回路によって実行される方法であって、
前記回路によって、第1ドメインの少なくとも1つのクライアントと第2ドメインの少なくとも1つのサーバとの間の少なくとも1つのセキュアな通信チャネルを少なくとも部分的に確立する段階を備え、
前記少なくとも1つのチャネルは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
前記回路は、少なくとも1つの第1ドメインセッションキー及び少なくとも1つの第2ドメインセッションキーを少なくとも部分的に生成し、
前記少なくとも1つの第1ドメインセッションキー及び前記少なくとも1つの第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
前記第1ドメインに割り当てられた第1ドメインキー、及び、前記少なくとも1つの第1ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第1データセットに少なくとも部分的に基づいて、前記少なくとも1つの第1ドメインセッションキーが生成され、
前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記少なくとも1つの第2ドメインセッションキーが生成される方法。
【請求項8】
前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
前記少なくとも1つの第1データセットは、前記少なくとも1つの第1ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項7に記載の方法。
【請求項9】
前記少なくとも1つのクライアントは、前記第1ドメインの複数のクライアントを含み、
前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
前記少なくとも1つの第2ドメインセッションは、前記少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
前記第1ドメインは、企業ドメインを含み、
前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項7に記載の方法。
【請求項10】
前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項9に記載の方法。
【請求項11】
前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
前記少なくとも1つの第1データセットは、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
前記方法は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットを、前記回路によりそれぞれ少なくとも部分的に抽出する段階と、
前記データセットにそれぞれ少なくとも部分的に基づいて前記回路により前記第1トラフィックを少なくとも部分的に復号化する段階と、
前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを前記回路により少なくとも部分的に暗号化する段階とを備える請求項9に記載の方法。
【請求項12】
前記回路は、
回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項7に記載の方法。
【請求項13】
1以上の命令を格納するコンピュータ可読メモリであって、前記1以上の命令が機械によって実行されると、
第1ドメインの少なくとも1つのクライアントと第2ドメインの少なくとも1つのサーバとの間の少なくとも1つのセキュアな通信チャネルが少なくとも部分的に回路によって確立され、
前記少なくとも1つのチャネルは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
前記回路は、少なくとも1つの第1ドメインセッションキー及び少なくとも1つの第2ドメインセッションキーを少なくとも部分的に生成し、
前記少なくとも1つの第1ドメインセッションキー及び前記少なくとも1つの第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
前記第1ドメインに割り当てられた第1ドメインキー、及び、前記少なくとも1つの第1ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第1データセットに少なくとも部分的に基づいて、前記少なくとも1つの第1ドメインセッションキーが生成され、
前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記少なくとも1つの第2ドメインセッションキーが生成されるコンピュータ可読メモリ。
【請求項14】
前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
前記少なくとも1つの第1データセットは、前記少なくとも1つの第1ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項13に記載のコンピュータ可読メモリ。
【請求項15】
前記少なくとも1つのクライアントは、前記第1ドメインの複数のクライアントを含み、
前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
前記少なくとも1つの第2ドメインセッションは、前記少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
前記第1ドメインは、企業ドメインを含み、
前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項13に記載のメモリ。
【請求項16】
前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項15に記載のメモリ。
【請求項17】
前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
前記少なくとも1つの第1データセットは、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
前記回路は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットをそれぞれ少なくとも部分的に抽出し、
前記回路は、前記データセットにそれぞれ少なくとも部分的に基づいて前記第1トラフィックを少なくとも部分的に復号化し、
前記回路は、前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを少なくとも部分的に暗号化する請求項15に記載のメモリ。
【請求項18】
前記回路は、
回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項13に記載のメモリ。
【請求項19】
前記少なくとも1つの第1ドメインセッションは、複数のセッションを含み、
前記回路は、前記少なくとも1つの第2ドメインセッションを確立するのに使用される1つのキーを交渉するべく、前記少なくとも1つのサーバと前記1つのキーの交渉トランザクションを実行し、
前記トランザクションは、前記回路と前記少なくとも1つのサーバとの間の1つのハンドシェイクを含む請求項1に記載の装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2013−518522(P2013−518522A)
【公表日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願番号】特願2012−551197(P2012−551197)
【出願日】平成23年1月19日(2011.1.19)
【国際出願番号】PCT/US2011/021627
【国際公開番号】WO2011/094096
【国際公開日】平成23年8月4日(2011.8.4)
【出願人】(591003943)インテル・コーポレーション (1,101)
【Fターム(参考)】
【公表日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願日】平成23年1月19日(2011.1.19)
【国際出願番号】PCT/US2011/021627
【国際公開番号】WO2011/094096
【国際公開日】平成23年8月4日(2011.8.4)
【出願人】(591003943)インテル・コーポレーション (1,101)
【Fターム(参考)】
[ Back to top ]