[go: up one dir, main page]

JP2018133799A - リンクディスカバリ情報をセキュアに交換する方法 - Google Patents

リンクディスカバリ情報をセキュアに交換する方法 Download PDF

Info

Publication number
JP2018133799A
JP2018133799A JP2018003797A JP2018003797A JP2018133799A JP 2018133799 A JP2018133799 A JP 2018133799A JP 2018003797 A JP2018003797 A JP 2018003797A JP 2018003797 A JP2018003797 A JP 2018003797A JP 2018133799 A JP2018133799 A JP 2018133799A
Authority
JP
Japan
Prior art keywords
node
key
processing
processing nodes
processing node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018003797A
Other languages
English (en)
Other versions
JP6560372B2 (ja
Inventor
政勲 李
Cheng-Hsun Li
政勲 李
青志 施
Ching-Chih Shih
青志 施
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Quanta Computer Inc
Original Assignee
Quanta Computer Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Quanta Computer Inc filed Critical Quanta Computer Inc
Publication of JP2018133799A publication Critical patent/JP2018133799A/ja
Application granted granted Critical
Publication of JP6560372B2 publication Critical patent/JP6560372B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】リンクディスカバリ情報をセキュアに交換する方法を提供する。【解決手段】本発明は、ネットワークトポロジ内のノードを調整して隣接情報を交換する、ネットワークシステムを提供する。ネットワークシステムは、複数の処理ノードを備え、各処理は、セキュアな接続を介してキーを受信するように構成された処理ノードマネージャを備え、キーは、アドバタイズされたディスカバリパケットを複数の処理ノードの各々に転送する命令を含む。ネットワークポート情報を他の複数の処理ノードの各々にアドバタイズする、アドバタイズされたディスカバリパケットを送信する工程と、アドバタイズされたディスカバリパケットを他の複数の処理ノードの各々から受信して検査する工程であって、アドバタイズされたディスカバリパケットは認証コードを有する、工程と、を含む。アドバタイズされたディスカバリパケットを検査する工程は、認証コードと受信したキーとが一致することを確認する工程を含む。【選択図】図2

Description

本発明は、概してデータセキュリティの分野に関し、より具体的には、データセキュリティをネットワーク要素に提供する(特に、調整された(co-ordinate)ノードをネットワークトポロジに提供して、隣接情報を交換するとともに、なりすましパケットがネットワークトポロジの生成を妨げるのを抑制する)ことに関する。
配備されたネットワークトポロジ(例えば、データセンタ)では、各ノードは、近隣のノードの情報を検出したい場合がある。一般に、より多くの情報が交換されると、交換された情報に基づいてより多くのアプリケーションを開発することができる。このような目的のために設計された従来のプロトコルとしては、例えば、LLDP(Link Layer Discovery Protocol)及びCDP(Cisco Discovery Protocol)等が知られている。LLDPは、周知の近隣探索プロトコルであって、イーサネット(登録商標)ネットワークデバイスが、例えばデバイス構成や識別情報等のトポロジ情報を近隣デバイスにアドバタイズできるようにする。例えば、イーサネット(登録商標)ブレードスイッチは、ポートの存在、主要な機能及び現在の状態を、同じLAN内の他のLLDPステーションにアドバタイズすることができる。定期的又は状態に関連する変更がある毎に、ポート上でLLDP送信が発生する。また、スイッチは、隣接するLLDP対応ネットワークデバイスからアドバタイズされたLLDP情報を受信する。この情報は、送信中に、LLDPパケットに設けられた複数のタイプ−長さ−値(TLV)を介して交換される。LLDPと同様に、CiscoWorkシステムは、CDPを用いて、ネットワークデバイスを自動的に検出する。CDPは、オペレータが特定のネットワークデバイスに直接接続された他のネットワークデバイスに関する情報を見るために使用可能なメディア非依存のデバイスディスカバリプロトコルである。
一例として提供されるが、これらのプロトコルは、サポートされたネットワークノードのグループにマルチキャストされる。多くのアプリケーションは、自身のアプリケーションを開発するために、これらのディスカバリプロトコルに依存している。これらの種類のパケットをマルチキャストするときに問題が発生する。近隣ノードを認証する際のセキュリティの欠如によって、如何なる者でも、同じ種類のパケットコンテンツ及びフォーマットを送信してレシーバを妨害することによって、受信ノードを欺くことができるので、開発されたアプリケーションが正常に機能しなくなる。これには、例えば、顧客のオペレーティングシステムがハッキングされた場合、又は、悪意のあるユーザが故意にネットワークインフラを偽装したい場合等が含まれる。よって、ネットワークノードは、どのパケットが有効であって、どのパケットが無効であるかを確認し識別する必要がある。
本発明は、データセキュリティをネットワーク要素に提供するデバイス、ネットワークシステム及び方法を提供することを目的とする。
各種実施形態によるネットワークシステムは、複数の処理ノードを含むことができる。いくつかの例示的な実施形態では、ネットワークシステムは、権限ノードを含むことができる。各処理ノードは、処理ノードマネージャを含むことができる。さらに、複数の処理ノードのうち1つの処理ノードを、制御ノードとして指定することができる。いくつかの実施形態では、複数の処理ノード内の処理ノードは、セキュアな接続を介してキーを受信するように選択される。キーは、アドバタイズされたディスカバリパケットを各処理ノードに転送するための命令を含む。本発明のいくつかの実施形態では、選択された処理ノードは、制御ノードからキーを受信する。別の実施形態では、選択された処理ノードは、権限ノードからキーを受信することができる。いくつかの実施形態では、選択された処理ノードは、アドバタイズされたディスカバリパケットのネットワークポート情報を各処理ノードに送信するように構成されている。これに応じて、選択された処理ノードは、アドバタイズされたディスカバリパケットを複数のノードから受信するように構成されてもよい。いくつかの実施形態では、アドバタイズされたディスカバリパケットは認証コードを含んでもよい。選択された処理ノードは、受信したアドバタイズされたディスカバリパケットを検査して、受信した認証コードが受信したキーと一致することを検証するように構成されてもよい。
いくつかの実施形態では、選択された処理ノードは、受信したアドバタイズされたディスカバリパケットを検査して、受信した認証コードと受信したキーとが一致するか否かを、同じキーを受信したことを検証することによって検証するように構成されてもよい。別の実施形態では、受信した認証コードと受信したキーとが一致することを検証するために、メッセージ認証コード(MAC)技術が実装されてもよい。あるいは、本発明のいくつかの実施形態では、受信した認証コードと受信したキーとが一致するか否かを検証するために、メッセージ及びMACを暗号化するための追加の暗号/復号キーを使用してもよい。いくつかの例示的な実施形態では、暗号化及び復号化は、例えば、RSA、Tripple DES、AES等の従来の方法を用いることができる。
いくつかの実施形態では、アドバタイズされたディスカバリパケットは、処理ノードに保存されるキー及びアプリケーション固有情報を含む。いくつかの実施形態では、制御ノードは、複数の処理ノードから少なくとも1つの処理ノードを選択するように構成されてもよい。いくつかの実施形態では、制御ノードは、キーを生成して、選択された処理ノードに配信するように構成されており、キーは、選択された処理ノードに対して、アドバタイズされたディスカバリパケットを非選択処理ノードの各々に転送させるための命令を含む。あるいは、権限ノードは、複数の処理ノードから少なくとも1つの処理ノードを選択するように構成されてもよい。さらに、いくつかの実施形態では、権限ノードは、キーを生成して、選択された処理ノードに配信するように構成されており、キーは、選択された処理ノードに対して、アドバタイズされたディスカバリパケットを非選択処理ノードの各々に転送させるための命令を含む。いくつかの実施形態では、制御ノードは、権限ノードによって複数の処理ノードから選択される。ここで、制御ノードは、権限ノードによって割り当てられ、全てのノードがこの制御ノード(pod-manager)によって調整される。いくつかの実施形態では、制御ノードは局所性(locality)によって決定される。
本発明によれば、調整されたノードをネットワークトポロジに提供して、隣接情報を交換することができるとともに、なりすましパケットがネットワークトポロジの生成を妨げるのを抑制することができる。
本発明の実施形態による、分散型ネットワークシステムのブロック図である。 図1の分散型ネットワークシステム100のコンポーネントの詳細なブロック図である。 本発明の実施形態による、処理ノード110を例示する分散型ネットワークシステム300のブロック図である。 本発明の一実施態様による、データセキュリティをネットワーク要素に提供する処理ノードの処理を例示するフローチャートである。 本発明の一実施態様による、データセキュリティをネットワーク要素に提供する権限ノードの処理を例示するフローチャートである。 本発明の各種実施形態を実装する例示的なコンピュータシステムのブロック図である。 受信した認証コードと受信したキーとが一致していることを検証するためにメッセージ認証コード技術が実装されている代替の実施態様を示す図である。
本発明は、添付画面を参照して説明され、同様又は同等の要素を示すために図面全体に亘って同様の符号が用いられる。図面は、実際の縮尺で描かれておらず、本発明を単に例示するために提供されている。本発明のいくつかの態様は、説明のための例示的な応用として以下に記載されている。本発明の完全な理解を提供するために、多くの具体的な詳細、関係及び方法が示されていることを理解されたい。しかし、当業者であれば、本発明は、1つ以上の具体的な詳細がなくても、他の方法でも実現可能であることを容易に認識するであろう。他の例において、本発明を不明瞭にすることを避けるために、周知の構造又は動作は詳細に示されていない。本発明は、いくつかの動作が異なる順序で、及び/又は、別の動作や事象と同時に発生し得るので、動作や事象の示された順序によって限定されない。さらに、本発明による方法論を実施するために、示された全ての動作や事象が必要とされるわけではない。
本発明の好ましい実施形態は、ネットワークノードが、どのパケットが有効であって、どのパケットが無効であるかを検証し識別する必要があるという問題を解決するために、調整されたノードをネットワークトポロジに提供して、隣接情報を交換するとともに、なりすましパケットがネットワークトポロジの生成を妨げるのを抑制する。
図1は、分散型ネットワークシステム100のブロック図である。システム100は、例えば、インターネットのような広域ネットワーク(WAN)におけるオーバーレイネットワークとして実施することができる。分散型ネットワークシステム100は、データセキュリティをネットワーク要素に提供するコンテンツ処理ノード110を含む。具体的には、コンテンツ処理ノードは、ネットワークトポロジに設けられ、隣接情報を交換するとともに、例えばマルウェア、スパイウェア及び外部システムから送信又は要求された他の望ましくないコンテンツ等のなりすましパケットがネットワークトポロジの生成を妨げるのを抑制する。例示的な外部システムは、企業200、コンピュータデバイス220及びモバイルデバイス230、又は、他のネットワーク及びコンピューティングシステムを含むことができる。
各処理ノード110は、複数のコンピュータ及び通信デバイス(例えば、サーバコンピュータ、ゲートウェイ、スイッチ等)によって実装することができる。いくつかの実施形態では、処理ノード110は、アクセス層150として機能することができる。アクセス層150は、例えば、分散型ネットワークシステム100にアクセスする外部システムを提供することができる。いくつかの実装では、各処理ノード110は、インターネットゲートウェイ及び複数のサーバコンピュータを含むことができる。
モバイルデバイス230は、例えばアクセスポイント又はセルラーゲートウェイ232等の任意の利用可能な無線アクセスデバイスを介して、近くの処理ノード110と通信するように構成されてもよい。単一のコンピュータデバイス220(例えば、顧客のパーソナルコンピュータ等)は、そのブラウザ及び電子メールプログラムを有していてもよく、コンピュータデバイス220のプロキシとして機能する最も近い処理ノード110にアクセスするように構成されている。あるいは、インターネットプロバイダは、処理ノード110を介して、処理された顧客トラフィックの全てを有してもよい。
いくつかの実施形態において、処理ノード110は、1つ以上の権限ノード120と通信することができる。権限ノード120は、各処理ノード110のポリシーデータを記憶することができ、ポリシーデータを各処理ノード110に配信することができる。ポリシーデータは、例えば、保護されるシステムのセキュリティポリシー(例えば、企業200のセキュリティポリシー)を定義する。例示的なポリシーデータは、ユーザ、ウェブサイト、及び/又は、許可されていないコンテンツ、制限されたドメインに対するアクセス権を定義することができる。さらに、ポリシーデータは、近隣の処理ノード110を検証及び認証するために、各処理ノード110に配信されたショートタイムの認証キーを含む。権限ノード120は、ポリシーデータを処理ノード110に配信することができる。いくつかの実施形態において、各処理ノード110は、制御ノードとして機能することができる。つまり、各処理ノードは、ポリシーデータを処理ノード110に転送するための制御ノードとして指定されるように、外部デバイス又は権限ノード120のユーザによって選択することができる。いくつかの実施形態において、制御ノードは局所性によって決定される。
いくつかの実施形態において、各権限ノード120は、複数のコンピュータ及び通信デバイス(例えば、サーバコンピュータ、ゲートウェイ、スイッチ等)によって実装することができる。いくつかの実施形態において、権限ノード120は、アプリケーション層160として機能することができる。アプリケーション層160は、例えば、処理ノード110のポリシーデータを管理及び提供することができる。また、例えば、セキュリティポリシーを提供及び定義する等(例えば、ショートタイムキーを生成して処理ノードに配信する等)の他のアプリケーション層機能をアプリケーション層に設けることができる。別の実施形態において、アクセス層150は、例えば、処理ノード110のポリシーデータを管理し提供することができる。また、例えば、セキュリティポリシーを提供及び定義する等(例えば、ショートタイムキーを生成して処理ノードに配信する等)の他のアプリケーション層機能をアクセス層150に設けることができる。
図2は、図1の分散型ネットワークシステム100のコンポーネントの詳細なブロック図である。分散型ネットワークシステムは、例えばインターネット101等の広域ネットワークにおけるオーバーレイネットワークを介して接続されたコンポーネント処理ノード110と、処理ノード110nと、権限ノード120と、コンピュータデバイス220と、モバイルデバイス230と、を含む。1つの代表的な権限ノード120のみが示されているが、分散型ネットワークシステム100内に多くのコンポーネントノード110,120が存在してもよい。さらに、別の実施形態において、制御ノードとして動作する処理ノード110は、権限ノード120のタスクを実行するように提示され得る。
処理ノード110は、処理ノードマネージャ118と、ポリシーデータデータベース113と、検出プロセスフィルタ112と、ネットワークポート情報データベース114と、を含むことができる。いくつかの実施形態において、処理ノードマネージャ118は、ポリシーデータデータベース113、検出プロセスフィルタ112及びネットワークポート情報データベース114に従って各コンテンツアイテムを管理することができ、これにより、処理ノード110とデータ通信する複数の処理ノード110nのセキュリティポリシーが実装される。いくつかの実施形態において、処理ノードマネージャ118は、ポリシーデータを権限ノード120に送信することができる。制御ノードは、処理ノード110と同一に構成可能であることを理解されたい。
権限ノード120は、権限ノードマネージャ128と、各処理ノード110のマスタセキュリティポリシーデータベース123と、を含むことができる。権限ノードマネージャ128を用いてマスタセキュリティポリシーデータベース123を管理することができ、例えば、異なるセキュリティポリシーを定義する処理ノード110nの各々からの入力を受信し、セキュリティポリシーを各処理ノード110に配信することができる。その後、処理ノード110は、セキュリティポリシーのローカルコピーを記憶する。
いくつかの実施形態において、権限ノードマネージャ128は、複数の処理ノード110から少なくとも1つの処理ノード110を選択することができる。さらに、権限ノードマネージャ128は、セキュリティポリシーを生成して、選択された処理ノード110に配信するように構成することができる。いくつかの実施形態において、セキュリティポリシーは、選択された処理ノード110に対して、アドバタイズされたディスカバリパケットを残りの処理ノード110の各々に転送するように指示する命令を含み得るショートタイムキーを有してもよい。これについては、図3を参照して詳細に説明する。
処理ノードマネージャ118は、権限ノード120の権限ノードマネージャ128からショートタイムキーを受信するように構成されている。処理ノード110によって処理されるデータの量は相当あるため、検出処理フィルタ112を用いて、要求しているネットワークデバイスが有効であるか無効であるかを判別するための要求を処理することができる。ショートタイムキーが認証され、要求しているネットワークデバイスが有効であると検出処理フィルタ112が判別した場合、ショートタイムキーは、処理ノード110に対して、アドバタイズされたディスカバリパケットを残りの処理ノードの各々に転送するように指示する命令を含むことができる。
いくつかの実施形態において、処理ノードマネージャ118は、ネットワークポート情報データベースに記憶されている全てのネットワークポート情報及びアプリケーション固有情報を残りの処理ノード110nにアドバタイズするように構成されている。いくつかの実施形態において、選択された処理ノードのネットワークポート情報のアドバタイズは、他の処理ノード110nに送信されるディスカバリパケットに配置され得る。特に、いくつかの実施形態において、ディスカバリパケットは、権限ノード120の権限ノードマネージャ128から受信したショートタイムキーと、処理ノード110で維持されるアプリケーション固有情報と、を含むことができる。
選択された処理ノード110の処理ノードマネージャ118は、他の処理ノード110nからアドバタイズされたパケットを受信して検査することができる。いくつかの実施形態において、残りの処理ノード110nからアドバタイズされたパケットは、認証コードを含むことができる。検出処理フィルタ112が、認証コードと、権限ノードからのショートタイムキーとが一致すると判別した場合、処理ノード110は、残りの処理ノード110nに接続することができる。
図3は、本発明のいくつかの実施形態による、処理ノード110nを例示する分散型ネットワークシステム300のブロック図である。分散型ネットワークシステム300は、権限ノード310と、処理ノード320と、処理ノード330と、処理ノード340と、処理ノード350と、を含むことができる。権限ノード310は、どの処理ノードが情報を交換するかを選択する。選択された処理ノードに基づいて、権限ノード310は、HAUTHで示される可変長パスコードを生成することができる。可変長パスコードHAUTHに基づいて、権限ノード310は、セキュアな接続を介して情報の交換を開始することができる。可変長パスコードHAUTHは、セキュアなパスコードと、受信者処理ノードに対して、近隣のノードの情報のアドバタイズ及び学習を開始するように信号を送るためのフラグと、を含む。
処理ノード320と、処理ノード330と、処理ノード340と、処理ノード350とは、互いにアドバタイズを開始してパケットを検出する。ディスカバリパケットは、ディスカバリパケットを送信する処理ノードのネットワークポート情報と、権限ノード310から受信した可変長パスコードHAUTHと、を含む。例えば、権限ノード310が処理ノード320を選択する場合、権限ノードは、処理ノードに対して、権原ノード310から受信した当該処理ノードのネットワークポート情報と可変長パスコードHAUTHとを、処理ノード330、処理ノード340及び処理ノード350にアドバタイズするように指示する。ポート情報の交換には、例えば、処理ノードのポートのMACアドレスを含めることができる。
可変長パスコードHAUTHの受信者は、処理ノードが、要求している処理ノードからの要求を認証するのを可能にする。例えば、処理ノード350は、処理ノード320からの要求を検証することができる。選択された各処理ノードは、他の処理ノードからアドバタイズされたパケットの受信を開始することができる。
いくつかの実施形態において、処理ノード350は、使用されたディスカバリプロトコルに準拠する各パケットを検査する。例えば、受信を行う処理ノードは、アドバタイズされたパケットが可変長パスコードHAUTHを有し、当該可変長パスコードが、権限ノード310から受信した可変長パスコードHAUTHと一致していないと判別した場合、当該パケットが無効なパケットであるとみなす。この判別に基づいて、処理ノードはパケットを破棄する。このようにして、調整されたノードをネットワークトポロジに提供して、隣接情報を交換するとともに、なりすましパケットがネットワークトポロジの生成を妨げるのを抑制する。
図7は、認証コードと受信したキーとが一致することを検証するためにメッセージ認証コード(MAC)技術を実装した代替の実施態様を示す図である。図7において、認証コード702の送信側701は、MACアルゴリズム703を用いて認証コード702を実行し、MACデータタグ704を生成する。その後、認証コード702及びMACタグ704は、受信側750に送られる。受信側750は、同じキーを用いて同じMACアルゴリズム703を介して送信されたデータの認証コード702部分を実行し、第2のMACデータタグ754を生成する。その後、受信側は、送信において受信した第1のMACデータタグ704と、生成された第2のMACデータタグ754とを比較する。それらが同一である場合、受信側は、認証コードが送信中に変更又は改竄されていないこと(データの整合性)をセキュアに想定することができる。
あるいは、本発明のいくつかの実施形態において、メッセージ及びMACを暗号化するための追加の暗号/復号キーを用いて、認証コードと受信したキーとが一致するか否かを検証することができる。例えば、受信側が再生攻撃を検出できるようにするいくつかの実施形態において、認証コード自体は、この同じメッセージが一度だけ送信されることを保証するデータ(例えば、タイムスタンプ、シーケンス番号、又は、ワンタイムMACの使用)を含むことができる。いくつかの例示的な実施形態において、暗号化及び復号化は、例えば、RSA、Tripple DES、AES等の従来の方法を用いることができる。
図4は、例示的な分散型ネットワークシステム100を用いた方法400を実行するためのフローチャートである。上述したように、処理ノード110は、1つ以上の権限ノード120と通信することができる。権限ノード120は、各処理ノード110のポリシーデータを記憶することができ、ポリシーデータを各処理ノード110に配信することができる。例えば、ポリシーデータは、保護されたシステムのセキュリティポリシー(例えば、企業200のセキュリティポリシー)を定義することができる。最初に、工程410において、処理ノード110は、処理ノードマネージャ118にて、権限ノード120からショートタイムキーを受信するように構成されており、ショートタイムキーは、アドバタイズされたディスカバリパケットを複数の処理ノードの各々に転送するための命令を含む。検出処理フィルタ112は、要求しているネットワークデバイスが有効か無効かを判別するための要求を処理するのに用いることができる。検出処理フィルタ112が、ショートタイムキーが認証され、要求しているネットワークデバイスが有効であると判別した場合、ショートタイムキーは、処理ノード110に対して、アドバタイズされたディスカバリパケットを残りの処理ノードの各々に転送するように指示する命令を含むことができる。
工程420において、ネットワークポート情報データベース114に記憶された全てのネットワークポート情報及びアプリケーション固有情報を残りの処理ノード110nにアドバタイズする、アドバタイズされたディスカバリパケットは、他の複数の処理ノード110nの各々に送信される。いくつかの実施形態において、選択された処理ノードのネットワークポート情報のアドバタイズは、他の処理ノード110nに送信されるディスカバリパケットに配置することができる。特に、いくつかの実施形態において、ディスカバリパケットは、権限ノード120の権限ノードマネージャ128から受信したショートタイムキーと、処理ノード110で維持されるアプリケーション固有情報と、を含むことができる。
工程430において、選択された処理ノード110の処理ノードマネージャ118は、他の処理ノード110nからアドバタイズされたパケットを受信して検査することができる。いくつかの実施形態において、残りの処理ノード110nからアドバタイズされたパケットは、認証コードを含むことができる。検出処理フィルタ112が、認証コードと、権限ノード120からのショートタイムキーとが一致すると判別した場合、処理ノード110は、残りの処理ノード110nに接続することができる。
図5は、他の例示的なローカルエリアシステム200を用いて方法500を実行するためのフローチャートである。最初に、工程510において、権限ノードマネージャ128は、複数の処理ノード110nから少なくとも1つの処理ノード110を選択する。あるいは、工程510において、制御ノードとして機能する処理ノード110は、複数の処理ノード110nから少なくとも1つの処理ノード110を選択する。
工程520において、権限ノードマネージャ128は、セキュリティポリシーを生成して、選択された処理ノード110に配信するように構成されている。いくつかの実施形態において、セキュリティポリシーは、選択された処理ノード110に対して、アドバタイズされたディスカバリパケットを残りの処理ノード110の各々に転送するように指示する命令を有するショートタイムキーを含むことができる。
図6は、例示的なコンピュータシステム900のブロック図である。コンピュータシステム900は、プロセッサ940と、ネットワークインタフェース950と、管理コントローラ980と、メモリ920と、ストレージ930と、基本入出力システム(BIOS)910と、ノースブリッジ960と、サウスブリッジ970と、を含むことができる。
コンピュータシステム900は、例えば、サーバ(例えば、データセンサ内の多くのラックサーバのうちの1つ)又はパーソナルコンピュータとすることができる。プロセッサ(例えば、中央処理装置(CPU))940は、メモリ920に記憶されたプログラィング命令を取り出して実行することの可能なマザーボード上のチップであってもよい。プロセッサ940は、単一の処理コアを有する単一のCPUであってもよいし、複数の処理コアを有する単一のCPUであってもよいし、複数のCPUであってもよい。1つ以上のバス(図示省略)は、各種コンピュータコンポーネント(例えば、プロセッサ940、メモリ920、ストレージ930及びネットワークインタフェース950)間で命令及びアプリケーションデータを送信することができる。
メモリ920は、データ又はプログラムを一時的又は永続的に記憶する任意の物理的デバイス(例えば、様々な形態のランダムアクセスメモリ(RAM)等)を含むことができる。ストレージ930は、不揮発性データストレージ用の任意の物理的デバイス(例えば、HDD又はフラッシュドライブ)を含むことができる。ストレージ930は、メモリ920よりも容量が大きく、且つ、単位当たりの容量がより経済的であるが、転送速度が遅くてもよい。
BIOS910は、基本入出力システム(BIOS)、又は、その後継品若しくは等価物(例えば、エクステンシブルファームウェアインタフェース(EFI)若しくはユニファイドエクステンシブルファームウェアインタフェース(UEFI)等)を含むことができる。BIOS910は、BIOSソフトウェアプログラムを記憶するコンピュータシステム900のマザーボード上に位置するBIOSチップを含むことができる。BIOS910は、コンピュータシステムが最初に電源投入されたときに実行されるファームウェアを、BIOS910に指定された構成のセットとともに記憶することができる。BIOSファームウェア及びBIOS構成は、不揮発性メモリ(例えば、NVRAM)920又はROM(例えば、フラッシュメモリ)に記憶することができる。フラッシュメモリは、電気的に消去及び再プログラムすることができる不揮発性コンピュータストレージ媒体である。
コンピュータシステム900が起動される毎に、BIOS910は、シーケンスプログラムとしてロードされ、実行され得る。BIOS910は、構成のセットに基づいて、コンピュータシステムに存在するハードウェアを識別、初期化及びテストすることができる。BIOS910は、コンピュータシステム900上で、セルフテスト(例えば、パワーオンセルフテスト(POST))を実行することができる。このセルフテストは、各種ハードウェアコンポーネント(例えば、ハードディスクドライブ、光学読み取り装置、冷却装置、メモリモジュール、拡張カード等)の機能をテストすることができる。BIOSは、オペレーティングシステムを記憶するためにメモリ520内の領域をアドレス指定して割り当てることができる。その後、BIOS910は、コンピュータシステムの制御をOSに与えることができる。
コンピュータシステム900のBIOS910は、BIOS910がコンピュータシステム900内の各種ハードウェアコンポーネントをどのように制御するかを定義するBIOS構成を含むことができる。BIOS構成は、コンピュータシステム900内の各種ハードウェアコンポーネントの起動順序を決定することができる。BIOS910は、各種異なるパラメータを設定することを可能にするインタフェース(例えば、BIOSセットアップユーティリティ)を提供することができ、これは、BIOSデフォルト設定のパラメータと異なっていてもよい。例えば、ユーザ(例えば、管理者)はBIOS910を用いて、クロック及びバス速度を指定し、コンピュータシステムに接続される周辺機器を指定し、監視状態(例えば、ファン速度及びCPU温度限界)を指定し、コンピュータシステムの全体的なパフォーマンス及び電力使用量に影響する多種の他のパラメータを指定することができる。
管理コントローラ980は、コンピュータシステムのマザーボードに組み込まれた専用のマイクロコントローラであってもよい。例えば、管理コントローラ980は、ベースボード管理コントローラ(BMC)であってもよい。管理コントローラ980は、システム管理ソフトウェアとプラットフォームハードウェアとの間のインタフェースを管理することができる。コンピュータシステムに組み込まれた異なるタイプのセンサは、例えば、温度、冷却ファン速度、電力状態、オペレーティングシステムの状態等のパラメータを、管理コントローラ980に報告することができる。管理コントローラ980は、センサを監視することができ、任意のパラメータが予め設定した範囲にない場合、ネットワークインタフェース950を介して、システムの潜在的な障害を示す警告を管理者に送信する機能を有することができる。管理者は、管理コントローラ980と遠隔通信して、補正動作(例えば、システムのリセット又は電源を切って機能を回復させる等)を行うことができる。
ノースブリッジ960は、プロセッサ940に直接接続され、又は、プロセッサ940に統合され得るマザーボード上のチップであってもよい。場合によっては、ノースブリッジ960及びサウスブリッジ970を単一のダイに組み合わせることができる。ノースブリッジ960及びサウスブリッジ970は、プロセッサ940とマザーボードの他の部分との間の通信を管理する。ノースブリッジ960は、サウスブリッジ970よりも高いパフォーマンスを必要とするタスクを管理することができる。ノースブリッジ960は、プロセッサ940、メモリ920及びビデオコントローラ(図示しない)間の通信を管理することができる。場合によっては、ノースブリッジ960は、ビデオコントローラを含むことができる。
サウスブリッジ970は、ノースブリッジ960に接続されたマザーボード上のチップであってもよいが、ノースブリッジ960とは異なり、プロセッサ940に直接接続されていない。サウスブリッジ970は、コンピュータシステム900の入出力機能(例えば、オーディオ機能、BIOS、ユニバーサルシリアルバス(USB)、シリアルATA(SATA)、ペリフェラルコンポーネントインターコネクト(PCI)バス、PCI拡張(PCI−X)バス、PCIエクスプレスバス、業界標準アーキテクチャ(ISA)バス、シリアルペリフェラルインタフェース(SPI)バス、拡張SPI(eSPI)バス、システム管理バス(SMBus)等)を管理することができる。サウスブリッジ970は、管理コントローラ、ダイレクトメモリアクセス(DMA)コントローラ、プログラマブル割り込みコントローラ(PICS)及びリアルタイムクロックに接続することができ、又は、管理コントローラ970、DMAコントローラ、PICS及びリアルタイムクロックを含むことができる。
本明細書の開示に関連して説明した様々な例示的な論理ブロック、モジュール及び回路は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、他のプログラム可能な論理デバイス、離散ゲート、トランジスタロジック、離散ハードウェアコンポーネント、又は、本明細書に記載の機能を実行するように設計されたこれらの任意の組み合わせを用いて実装又は実行することができる。汎用プロセッサは、マイクロプロセッサであってもよいが、代わりに、任意の従来のプロセッサ、コントローラ、マイクロコントローラ又は状態機械であってもよい。プロセッサは、コンピュータデバイスの組み合わせ(例えば、DSPとマイクロプロセッサとの組み合わせ、複数のマイクロプロセッサ、1つ以上のマイクロプロセッサとDSPコア、又は、他の任意の構成)として実装することができる。
本発明の明細書で開示された方法又はアルゴリズムの動作は、ハードウェア、プロセッサによって実行されるソフトウェアモジュール、又は、これらの2つの組み合わせで直接的に具体化することができる。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD−ROM、又は、当該技術分野で知られている他の形式のストレージ媒体に存在することができる。例示的なストレージ媒体は、プロセッサが、ストレージ媒体から情報を読み取り、ストレージ媒体に情報を書き込むことができるように、プロセッサに接続される。あるいは、ストレージ媒体は、プロセッサに一体化することができる。プロセッサ及びストレージ媒体は、ASIC内に存在することができる。ASICは、ユーザ端末内に存在することができる。あるいは、プロセッサ及びストレージ媒体は、ユーザ端末内の個別のコンポーネントとして存在することができる。
一つ以上の例示的な設計において、説明された機能は、ハードウェア、ソフトウェア、ファームウェア又はこれらの任意の組み合わせで実施することができる。ソフトウェアで実施される場合、機能は、1つ以上の命令又はコードとして、非一時的な(non-transitory)コンピュータ可読媒体に記憶され、又は、伝送され得る。非一時的なコンピュータ可読媒体は、コンピュータストレージ媒体と、コンピュータプログラムを或る場所から別の場所に転送するのを容易にする任意の媒体を含む通信媒体と、の両方を含む。ストレージ媒体は、汎用又は専用のコンピュータによってアクセス可能な任意の利用可能な媒体とすることができる。例として、これに限定されないが、このようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD−ROM、他の光ディスクストレージ、磁気ディスクストレージ、他の磁気ストレージデバイス、又は、命令又はデータ構造の形で所望のプログラムコード手段を担持又は記憶するのに用いられる他の任意の媒体であって、汎用若しくは専用のコンピュータ、若しくは、汎用若しくは専用のプロセッサによってアクセスすることができる他の任意の媒体を含むことができる。ここで用いられるディスク(disk)及びディスク(disc)は、コンパクトディスク(CD)、レーザーディスク(登録商標)、光ディスク、デジタル多用途ディスク(DVD)、フロッピー(登録商標)ディスク、及び、ブルーレイ(登録商標)ディスクを含み、ディスク(disk)は、通常、データを磁気的に複製し、ディスク(disc)は、レーザを用いてデータを光学的に複製する。また、上述した組み合わせは、非一時的なコンピュータ可読媒体の範囲に含まれるべきである。
本発明の各種実施形態について上述したが、これらは単なる例示に過ぎず、限定的ではないことを理解されたい。本発明の趣旨又は範囲から逸脱することなく、本明細書の開示に従って、開示された実施形態に対する多数の変更を行うことができる。よって、本発明の幅及び範囲は、上述の実施形態によって限定されるべきではない。むしろ、本発明の範囲は、添付の特許請求の範囲及びその均等物によって定義されるべきである。
本発明は、1つ以上の実施形態に関して図示及び説明されているが、当業者であれば、本明細書及び添付の図面の解釈及び理解に基づいて同等の変更及び修正を行うことができるであろう。また、本発明の特定の特徴は、いくつかの実行のうち1つのみに関して開示されているかもしれないが、このような特徴は、所定又は特定の用途に望ましく且つ有利であるように、他の実施形態の1つ以上の他の特徴と組み合わせることができる。
この明細書で使用される用語は、特定の実施形態を説明することを意図しており、本発明を限定することを意図するものではない。特に明確に示さない限り、本発明で使用される単数形(例えば、「一」、「1つの」等)は複数形を含む。更に、「含む」、「有する」又はこれらの変形は、詳細な説明及び/又は特許請求の範囲において使用される限り、かかる用語は用語「含む(comprising)」と同様の態様で包含する。
特に定義されない限り、本明細書で用いられる全ての用語(技術用語及び科学用語を含む)は、本発明が属する技術分野の当業者によって一般的に理解されるのと同じ意味を有する。用語(例えば、一般的に使用される辞書に定義された用語)は、関連技術の文脈における意味と一致する意味を有すると解釈されるべきであり、理想化又は過度に正式な意味で解釈されないことが更に理解されよう。
100…分散型ネットワークシステム
101…インターネット
110…処理ノード
112…検出処理フィルタ
113…ポリシーデータデータベース
114…ネットワークポート情報データベース
118…処理ノードマネージャ
120…権限ノード
150…アクセス層
160…アプリケーション層
200…企業
220…コンピュータデバイス
230…モバイルデバイス
300…ブロック図
310…権限ノード
320…処理ノード
330…処理ノード
340…処理ノード
350…処理ノード
400…フローチャート
410…工程
420…工程
430…工程
500…フローチャート
510…工程
520…工程
701…送信側
702…認証コード
703…MACアルゴリズム
704…MACデータタグ
750…受信側
754…MACデータタグ
900…コンピュータシステム
910…基本入出力システム(BIOS)
920…メモリ
930…ストレージ
940…プロセッサ
950…ネットワークインタフェース
960…ノースブリッジ
970…サウスブリッジ
980…管理コントローラ

Claims (10)

  1. ネットワークシステムであって、
    複数の処理ノードを備え、前記処理ノードの各々は処理ノードマネージャを備え、前記処理ノードマネージャは、
    セキュアな接続を介してキーを受信する工程であって、前記キーは、アドバタイズされたディスカバリパケットを前記複数の処理ノードの各々に転送する命令を含む工程と、
    ネットワークポート情報を他の複数の処理ノードの各々にアドバタイズする、アドバタイズされたディスカバリパケットを送信する工程と、
    アドバタイズされたディスカバリパケットを前記他の複数の処理ノードの各々から受信して検査する工程であって、前記アドバタイズされたディスカバリパケットは認証コードを有する、工程と、を含む動作を実行し、
    前記アドバタイズされたディスカバリパケットを検査する工程は、前記認証コードと前記受信したキーとが一致することを確認する工程を含む、
    ことを特徴とするネットワークシステム。
  2. 前記アドバタイズされたディスカバリパケットは、前記キーと、前記処理ノードで維持されるアプリケーション固有情報と、を有することを特徴とする請求項1に記載のネットワークシステム。
  3. 前記キーは、権限コードから受信されることを特徴とする請求項1に記載のネットワークシステム。
  4. 前記キーは、前記複数の処理ノード内の制御ノードから受信されることを特徴とする請求項1に記載のネットワークシステム。
  5. 前記制御ノードは、
    前記複数の処理ノードのうち少なくとも1つの処理ノードを選択することと、
    キーを生成して、前記複数の処理ノードのうち少なくとも1つの選択された処理に配信することであって、前記キーは、前記少なくとも1つの選択された処理ノードに対して、アドバタイズされたディスカバリパケットを前記複数の処理ノードの各々に転送させる命令を含む、ことと、を行うように構成されている、
    ことを特徴とする請求項4に記載のネットワークシステム。
  6. データセキュリティをネットワーク要素に提供するためにコンピュータが実行する方法であって、
    セキュアな接続を介してキーを受信する工程であって、前記キーは、アドバタイズされたディスカバリパケットを複数の処理ノードの各々に転送する命令を含む工程と、
    ネットワークポート情報を他の複数の処理ノードの各々にアドバタイズする、アドバタイズされたディスカバリパケットを送信する工程と、
    アドバタイズされたディスカバリパケットを前記他の複数の処理ノードの各々から受信して検査する工程であって、前記アドバタイズされたディスカバリパケットは認証コードを有する、工程と、を含み、
    前記アドバタイズされたディスカバリパケットを検査する工程は、前記認証コードと前記受信したキーとが一致することを確認する工程を含む、
    ことを特徴とするコンピュータが実行する方法。
  7. 前記アドバタイズされたディスカバリパケットは、前記キーと、前記処理ノードで維持されるアプリケーション固有情報と、を有することを特徴とする請求項6に記載のコンピュータが実行する方法。
  8. 前記キーは、権限コードから受信されることを特徴とする請求項6に記載のコンピュータが実行する方法。
  9. 前記キーは、前記複数の処理ノード内の制御ノードから受信されることを特徴とする請求項6に記載のコンピュータが実行する方法。
  10. 前記制御ノードは、
    前記複数の処理ノードのうち少なくとも1つの処理ノードを選択することと、
    キーを生成して、前記複数の処理ノードのうち少なくとも1つの選択された処理ノードに配信することであって、前記キーは、前記少なくとも1つの選択された処理ノードに対して、アドバタイズされたディスカバリパケットを前記複数の処理ノードの各々に転送させる命令を含む、ことと、を行うように構成されている、
    ことを特徴とする請求項9に記載のコンピュータが実行する方法。
JP2018003797A 2017-02-14 2018-01-12 リンクディスカバリ情報をセキュアに交換する方法 Active JP6560372B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201762458766P 2017-02-14 2017-02-14
US62/458,766 2017-02-14
US15/656,590 US20180234407A1 (en) 2017-02-14 2017-07-21 Method for securely exchanging link discovery information
US15/656,590 2017-07-21

Publications (2)

Publication Number Publication Date
JP2018133799A true JP2018133799A (ja) 2018-08-23
JP6560372B2 JP6560372B2 (ja) 2019-08-14

Family

ID=60915225

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018003797A Active JP6560372B2 (ja) 2017-02-14 2018-01-12 リンクディスカバリ情報をセキュアに交換する方法

Country Status (5)

Country Link
US (1) US20180234407A1 (ja)
EP (1) EP3361696B1 (ja)
JP (1) JP6560372B2 (ja)
CN (1) CN108429727B (ja)
TW (1) TWI656763B (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113014611B (zh) * 2019-12-19 2024-05-14 华为技术有限公司 一种负载均衡方法及相关设备
CN113766038B (zh) * 2020-06-02 2023-11-07 佛山市顺德区顺达电脑厂有限公司 地址配置访问方法及服务器系统
US12481795B2 (en) * 2023-03-16 2025-11-25 Oracle International Corporation Techniques for validating cloud regions built at a prefab factory
US12483530B2 (en) 2023-06-28 2025-11-25 Oracle International Corporation Techniques for rotating network addresses in prefab regions

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120300939A1 (en) * 2009-10-21 2012-11-29 China Iwncomm Co., Ltd. Key management and node authentication method for sensor network
WO2013115177A1 (ja) * 2012-01-30 2013-08-08 日本電気株式会社 ネットワークシステム、及びトポロジー管理方法
WO2016165792A1 (en) * 2015-04-13 2016-10-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for end device discovering another end device

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444679B2 (en) * 2001-10-31 2008-10-28 Hewlett-Packard Development Company, L.P. Network, method and computer readable medium for distributing security updates to select nodes on a network
US20040225725A1 (en) * 2003-02-19 2004-11-11 Nec Corporation Network system, learning bridge node, learning method and its program
WO2007035655A2 (en) * 2005-09-16 2007-03-29 The Trustees Of Columbia University In The City Of New York Using overlay networks to counter denial-of-service attacks
WO2007108660A1 (en) * 2006-03-22 2007-09-27 Lg Electronics Inc. Asymmetric cryptography for wireless systems
US8699704B2 (en) * 2010-01-13 2014-04-15 Entropic Communications, Inc. Secure node admission in a communication network
CN101820619B (zh) * 2010-01-15 2012-10-24 北京工业大学 无线传感器网络中高效节能的链路安全方法
US8707083B2 (en) * 2010-12-03 2014-04-22 Lsi Corporation Virtualized cluster communication system
US9143431B2 (en) * 2010-12-29 2015-09-22 Cisco Technology, Inc. Hiding a service node in a network from a network routing topology
US20130259230A1 (en) * 2012-03-29 2013-10-03 Broadcom Corporation Bluetooth Low Energy Privacy
US8995667B2 (en) * 2013-02-21 2015-03-31 Telefonaktiebolaget L M Ericsson (Publ) Mechanism for co-ordinated authentication key transition for IS-IS protocol
US9712334B2 (en) * 2013-05-21 2017-07-18 Brocade Communications Systems, Inc. Efficient multicast topology construction in a routed network
CN103560998A (zh) * 2013-10-09 2014-02-05 中国科学院信息工程研究所 一种无线传感器网络抵抗DoS攻击的方法及系统
US9231871B2 (en) * 2013-11-25 2016-01-05 Versa Networks, Inc. Flow distribution table for packet flow load balancing
CN104507051B (zh) * 2014-12-16 2017-12-26 大连理工大学 Vaent中面向消息广播的mac层改进方法
CN104507065B (zh) * 2015-01-14 2018-09-25 南京理工大学 异构无线网络中不可否认性计费方法
US9930049B2 (en) * 2015-01-16 2018-03-27 Cisco Technology, Inc. Method and apparatus for verifying source addresses in a communication network
US10080185B2 (en) * 2015-04-10 2018-09-18 Qualcomm Incorporated Method and apparatus for securing structured proximity service codes for restricted discovery
CN105933092B (zh) * 2016-06-14 2020-04-07 Tcl移动通信科技(宁波)有限公司 一种基于电路交换的数据传输方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120300939A1 (en) * 2009-10-21 2012-11-29 China Iwncomm Co., Ltd. Key management and node authentication method for sensor network
WO2013115177A1 (ja) * 2012-01-30 2013-08-08 日本電気株式会社 ネットワークシステム、及びトポロジー管理方法
WO2016165792A1 (en) * 2015-04-13 2016-10-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for end device discovering another end device

Also Published As

Publication number Publication date
CN108429727B (zh) 2020-12-04
TWI656763B (zh) 2019-04-11
US20180234407A1 (en) 2018-08-16
EP3361696B1 (en) 2020-02-05
JP6560372B2 (ja) 2019-08-14
TW201830920A (zh) 2018-08-16
EP3361696A1 (en) 2018-08-15
CN108429727A (zh) 2018-08-21

Similar Documents

Publication Publication Date Title
TWI524204B (zh) 用於可管理性與安全路由及端點存取的方法、裝置與系統
JP4579969B2 (ja) ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品
US10242176B1 (en) Controlled access communication between a baseboard management controller and PCI endpoints
CN102667802A (zh) 硬件的配备、升级和/或更改
JP6560372B2 (ja) リンクディスカバリ情報をセキュアに交換する方法
KR102749334B1 (ko) 네트워크 노드에 연결된 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN103119889B (zh) 使用硬件超级密钥验证和保护正版软件安装的装置、系统、方法和控制器
US20250023857A1 (en) System for controlling network access on basis of controller, and method therefor
EP4233274B1 (en) Distributed secure communication system
US20250141880A1 (en) Managing data processing systems based on location using out-of-band communications
US20250030692A1 (en) Controller-based system for controlling network access, and method therefor
CN110113747B (zh) 一种用于连接隐藏无线接入点的方法与设备
US20070130624A1 (en) Method and system for a pre-os quarantine enforcement
US20250139271A1 (en) Managing sanitization of data processing systems using out-of-band methods
US20250141925A1 (en) Location-based policy enforcement for data processing systems using out-of-band methods
US10944719B2 (en) Restrict communications to device based on internet access
KR102578800B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN117749785A (zh) 一种数据传输方法和相关设备
CN115766095A (zh) 工业设备身份认证方法、装置、计算机设备及存储介质
US20250245306A1 (en) Component validation in secure environments
US20250335611A1 (en) Systems and methods for wiping data from data processing systems
US20240232314A1 (en) Authenticator to authorize persistent operations
US20250337563A1 (en) Systems and methods for managing storage devices for data processing systems using out-of-band methods
US20250337749A1 (en) Systems and methods for managing operations of data processing systems based on geolocation tracking
KR101203774B1 (ko) 에이전트 프로그램의 에이알피를 이용한 통신 방법, 네트워크 엑세스 컨트롤 방법 및 네트워크 시스템

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190709

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190718

R150 Certificate of patent or registration of utility model

Ref document number: 6560372

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250