发明名称 | 安全网络包围区的发现 | ||
摘要 | 一种用于其中设备被组织成安全包围区的计算机系统的分级密钥产生和分发机制。该机制使得网络访问能够适应于每个设备所需的近似最小特权。在层级的最低级别,密钥用于形成设备之间的安全关联。根据层级的较高级别处的密钥以及密钥导出信息产生层级的每个级别处的密钥。密钥导出信息可容易地从设备的标识符或者消息内确定,支持加密功能的硬件卸载。因为可以基于参与安全关联的主机所位于的包围区来产生密钥,所以系统包括一种机制,通该机制设备可以发现它们所位于的包围区。 | ||
申请公布号 | CN102804677B | 申请公布日期 | 2015.05.20 |
申请号 | CN201080025719.0 | 申请日期 | 2010.06.07 |
申请人 | 微软公司 | 发明人 | D. R. 西蒙;B. D. 斯万德;P. 梅内泽斯;G. E. 蒙特内格罗 |
分类号 | H04L9/08(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L9/08(2006.01)I |
代理机构 | 中国专利代理(香港)有限公司 72001 | 代理人 | 孙之刚;刘鹏 |
主权项 | 一种操作计算机系统以提供安全通信的方法,所述计算机系统包含通过网络互连并被组织到包围区的多个主机设备,所述方法包含:在第一主机设备(340)处,在第一主机设备与第二主机设备之间交换期间经由网络接收控制分组,该交换用于在第一主机设备与第二主机设备之间建立安全关联;在第一主机设备中,分析控制分组,所述分析包含:由第一主机设备标识控制分组中一个或多个标记(330, 332, 334)的链,每个标记指示包围区;基于一个或多个标记的链,由第一主机设备确定第一主机设备所位于的第一包围区(110A, 110B, 110C)的第一身份;基于一个或多个标记的链,由第一主机设备确定第二主机设备所位于的第二包围区(110A, 110B, 110C)的第二身份;以及在建立第一主机设备与第二主机设备之间的安全关联期间,由第一主机设备利用所确定的第一和第二身份。 | ||
地址 | 美国华盛顿州 |