BRPI0608276B1 - método e sistema para mapear um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web da rede de computador seguro - Google Patents

método e sistema para mapear um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web da rede de computador seguro Download PDF

Info

Publication number
BRPI0608276B1
BRPI0608276B1 BRPI0608276A BRPI0608276A BRPI0608276B1 BR PI0608276 B1 BRPI0608276 B1 BR PI0608276B1 BR PI0608276 A BRPI0608276 A BR PI0608276A BR PI0608276 A BRPI0608276 A BR PI0608276A BR PI0608276 B1 BRPI0608276 B1 BR PI0608276B1
Authority
BR
Brazil
Prior art keywords
network
web server
module
port number
plug
Prior art date
Application number
BRPI0608276A
Other languages
English (en)
Inventor
Nicholas Perez Jesse
Fredric Klein Paul
Original Assignee
Ibm
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=36273444&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=BRPI0608276(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Ibm filed Critical Ibm
Publication of BRPI0608276A2 publication Critical patent/BRPI0608276A2/pt
Publication of BRPI0608276B1 publication Critical patent/BRPI0608276B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Peptides Or Proteins (AREA)

Abstract

mapeamento de pacote de rede de https criptografado para um nome de url específico e outros dados sem descriptografação fora de um servidor da web seguro. um sistema e um método baseado em computador de mapeamento de pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web seguro da rede de computador. o método cria um módulo plug-ín em um servidor da web seguro e salva pelo menos um endereço de rede e o número de porta de um pacote de solicitação de rede criptografado capturado. o módulo plug-in obtém uma cópia descriptografada do pacote da solicitação de rede a partir do módulo seguro de descriptografação do servidor da web e retorna a mesma com o endereço de rede e o número de porta.

Description

MÉTODO E SISTEMA PARA MAPEAR UM PACOTE DE SOLICITAÇÃO DE REDE CRIPTOGRAFADO PARA SUA CÓPIA DESCRIPTOGRAFADA EM UM SERVIDOR DA WEB DA REDE DE COMPUTADOR SEGURO
Campo da Invenção [0001] Esta invenção relaciona-se, de modo geral, ao campo de redes de computadores, e especialmente a um método e a um sistema para mapeamento altamente eficiente de pacotes de rede de HTTPS criptografados para um nome de URL específico e a outros dados criptografados sem executar a descriptografia fora de um servidor da web seguro. Antecedentes da Invenção [0002] A Internet é uma rede vasta de computadores heterogêneos e de sub-redes que se comunicam em conjunto para permitir a troca de informação global. O World Wide Web (WWW) é um dos serviços de informação mais populares na Internet que usa o software navegador da web para decifrar as ligações de hipertexto para os documentos e arquivos situados em computadores remotos ou em servidores de conteúdo para alcançar a informação multimídia na forma de texto, áudio, vídeo, gráfico, animação, figuras estáticas, etc. Tornou-se cada vez mais necessário que os usuários acessem remotamente redes públicas e privadas e um problema surge sobre como permitir um acesso seguro aos recursos disponíveis em servidores seguros e as redes através de uma rede pública geralmente insegura, tal como a Internet.
[0003] Muitos utilitários de software e hardware e aplicativos, tais como monitores de desempenho da rede, têm como sua tecnologia principal um método de medição que depende dos dados da rede como sua entrada. Como cada vez
Petição 870180144332, de 25/10/2018, pág. 9/26
2/13 mais comércio eletrônico aparece na Internet, o uso de transportes de rede seguros aumenta. A criptografia pelos navegadores da web é a única fonte mais usada de envio de dados seguros através da Internet por meio do protocolo de transferência de hipertexto seguro (HTTPS). Para o protocolo de HTTPS, um navegador da web usa tecnologia de chave pública/privada que criptografa os dados da rede tão fortemente que somente um servidor da web seguro correspondente pode descriptografar a mesma. É virtualmente impossível para um hardware ou monitor de software, que tem acesso a estes fluxos de rede criptografados, para compreender qualquer coisa sobre seus formatos, deixando de lado qualquer coisa sobre seus conteúdos. Por causa desta limitação das ferramentas de monitoração em um ambiente de HTTPS, o valor dos dados para os monitores de hardware e software desta rede podem somente ser realizados para ambientes usando o HTTP, que é a versão não segura de HTTPS. Além disso, se a descriptografia for feita fora do servidor da web seguro, isso requer um software especial de descriptografia regulado pelo governo que o torna menos atrativo ao marketing e à distribuição. É também menos atrativo aos clientes porque requer acesso aos certificados de segurança do servidor da web, que os clientes não permitiriam. É, consequentemente, importante usar uma outra técnica que seja mais tolerável às regulamentações do governo, ao mercado e aos clientes.
[0004] Consequentemente, existe uma necessidade de um método e de um sistema simples, otimizado e genérico que use servidores seguros da rede para descriptografar uma
Petição 870180144332, de 25/10/2018, pág. 10/26
3/13 porção dos dados da rede para permitir que monitores de rede de hardware e de software obtenham a informação que necessitam para operar de modo que possam retornar os mesmos dados como se em operação no ambiente de http não seguro, sem usar um software especial de descriptografia fora de um servidor seguro da rede.
Descrição da Invenção [0005] Os objetivos, características, e vantagens precedentes e outros, da presente invenção tornar-se-ão aparentes a partir da seguinte descrição detalhada das concretizações preferidas, que fazem referência a diversas figuras.
[0006] Uma concretização preferida da presente invenção é um método para mapear um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web de rede de computador seguro. O método cria um módulo plug-in em um servidor da web seguro e salva pelo menos um endereço de rede e o número da porta de um pacote de solicitação de rede criptografado capturado. O módulo plug-in obtém uma cópia descriptografada do pacote da solicitação de rede do módulo de descriptografia do servidor da web seguro e retorna a mesma com o endereço de rede e o número da porta.
[0007] Uma outra concretização preferida da presente invenção é um sistema que executa as concretizações acima mencionadas do método da presente invenção.
[0008] Contudo, uma outra concretização preferida da presente invenção inclui uma mídia utilizável por computador que concretiza tangivelmente um programa de instruções
Petição 870180144332, de 25/10/2018, pág. 11/26
4/13 executáveis pelo computador para executar as etapas de método das concretizações acima mencionadas do método da presente invenção.
Breve Descrição dos Desenhos [0009] Fazendo referência agora aos desenhos, em que números de referência semelhantes representam partes correspondentes durante toda a descrição:
A figura 1 ilustra um ambiente de rede de hardware e de software que permite mapeamento eficiente, de acordo com as concretizações preferidas da presente Invenção.
A figura 2 ilustra um fluxograma de nível superior do mapeamento, de acordo com as concretizações preferidas da presente invenção.
Descrição Detalhada das Concretizações Preferidas [0010] Na seguinte descrição de concretizações preferidas, referência é feita aos desenhos anexos, em que formam parte da mesma, e em quais são mostrados, por meio de ilustração, as concretizações específicas em que a invenção pode ser praticada. Deve ser compreendida que outras concretizações podem ser utilizadas e alterações estruturais e funcionais podem ser feitas sem se afastar do escopo da presente invenção.
[0011] O objetivo principal da presente invenção é permitir que utilitários de rede dei hardware e software e aplicativos operarem em um ambiente seguro e tenham acesso aos mesmos dados como se em operação no ambiente de protocolo de transferência de hipertexto (HTTP) não seguro, e tenham a descriptografia dos dados da rede feita por um servidor da
Petição 870180144332, de 25/10/2018, pág. 12/26
5/13 web seguro, como parte da operação normal do servidor da web.
[0012] A presente invenção divulga um sistema, um método e uma mídia utilizável por computador que concretiza um programa de instruções executáveis por um computador para executar o método de mapeamento de um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor seguro da rede de computadores. O módulo de monitoração da presente invenção obtém uma cópia descriptografada do pacote da solicitação de rede a partir do módulo de descriptografia do servidor da web seguro.
[0013] A solicitação de rede criptografada é preferivelmente uma solicitação de linguagem de marcação de hiperbexto (HTML) criptografada e seus dados criptografados, tal como o nome do localizador de recurso universal (URL), são necessários para alcançar um website. Para obter a informação criptografada fora de um pacote de solicitação de rede de HTTPS sem ter que executar uma tecnologia especial de descriptografia, a presente invenção emprega a habilidade de um servidor da web para ter um pacote da rede de HTTPS descriptografado entregue como parte do plug-in do servidor da web. Assim, a presente invenção não requer que a descriptografia ocorra fora de um servidor da web seguro. Além disso, não requer um software especial de descriptografia, mas utiliza os dados obtidos de um software de descriptografia convencional do servidor da web seguro durante sua operação normal. Desta maneira, a descriptografia é feita por um software convencional do
Petição 870180144332, de 25/10/2018, pág. 13/26
6/13 servidor da web já aprovado pelo governo, já aceito no mundo do marketing e distribuição e já em uso pelos clientes.
[0014] O aspecto principal da presente invenção mapeia uma solicitação de HTML completamente criptografada, como visto por um software de monitoramento de hardware ou software, para a solicitação de HTML completamente descriptografada, como visto por um servidor da web seguro. Isso pode ser realizado devido ao fato que todos os servidores da web seguros comercialmente usados fornecem uma técnica publicada para obter uma cópia do pacote de solicitação de HTML criptografado e para entregar, após a descriptografia, uma cópia do pacote de solicitação descriptografado para um monitor da presente invenção que normaliza os dados de modo que eles pareçam os dados obtidos de um ambiente de HTTP não seguro. O tipo da técnica publicada requerida para obter uma cópia descriptografada do pacote de solicitação de HTML depende do tipo do servidor da web seguro do vendedor que é usado pelo cliente.
[0015] A figura 1 ilustra um ambiente de rede de hardware e de software que permite o mapeamento eficiente, de acordo com as concretizações preferidas da presente invenção. O sistema usa o algoritmo para o mapeamento mostrado no fluxograma da figura 2. Em um diagrama de bloco da figura 1, um cliente em um local de cliente 100 interage com um local de servidor 200 que é preferivelmente seguro, através de uma rede 300. A rede 300 é geralmente a Internet usando o protocolo de controle de transmissão/ Protocolo de Internet (Transmíssíon Control Protocol/ Internet Protocol - TCP/IP) que é o protocolo de comutação de pacote através
Petição 870180144332, de 25/10/2018, pág. 14/26
7/13 da Internet. O local de cliente 100 pode ser um computador desktop ou laptop, assistente digital pessoal (PDA), computador de bordo do veículo, telefone celular etc., que envia sua solicitação, tal como uma solicitação para um website, sob o protocolo de transferência de hipertexto (HTTP) ou sob o protocolo de transferência de hipertexto seguro (HTTPS) a um provedor de serviço da Internet (ISP), não mostrado. O ISP estabelece uma ligação com a Internet que passa então a solicitação para um servidor de conteúdo, não mostrado, que envia o pedido a um provedor de conteúdo, não mostrado, tipicamente endereçado pelo nome do localizador de recurso uniforme (URL).
[0016] A resposta do servidor de conteúdo é rateada de volta ao local de cliente 100 e é tipicamente condescendente com a linguagem de marcação de hipertexto (HTML), que é a linguagem padrão para criar documentos na WWW. O HTML define a estrutura e o layout de um documento da web que usa uma variedade dos comandos de tags introduzidos no documento para especificar como uma porção ou o documento inteiro devem ser formatados. Uma solicitação pode ser emitida para um servidor seguro, que é um servidor de conteúdo que suporta alguns dos principais protocolos de segurança que criptografam e descriptografam mensagens para as proteger contra falsificações de terceiros. Um protocolo típico é um protocolo de camada de soquetes seguro (SSL) que usa a criptografia com uma chave pública e privada e uma senha; outros métodos usam certificados digitais criptografados. O soquete de um SSL é tipicamente um objeto de software.
Petição 870180144332, de 25/10/2018, pág. 15/26
8/13 [0017] A unicidade da presente invenção encontra-se em mapear uma solicitação de HTML criptografado aleatória, capturada pelo hardware ou software de monitoração da rede, para o nome do URL e de outros dados criptografados que fornecem valor para o software de monitoração. Cada solicitação de HTTPS tem um cabeçalho pequeno, não criptografado que flui na rede como parte da solicitação e é ajustado apenas na frente da solicitação. Isto é necessário para dispositivos de rede, tais como roteadores e switches, para rotear uma solicitação para um endereço de rede de destino. Os dispositivos de rede não podem ler dados criptografados assim este cabeçalho deve permanecer descriptografado. Este cabeçalho é usado para vantagem desta invenção. Quando uma solicitação de HTML criptografada aleatória é capturada pelo software de monitoração da rede, seus endereços e portas de rede de origem e de destino são salvos em uma estrutura de dados em memória para um acesso posterior à solicitação criptografada.
[0018] O algoritmo para um procedimento de mapeamento exemplificativo é ilustrado por um fluxograma na figura 2. Nos aspectos preferidos da presente invenção, um usuário do local de cliente 100 usa o protocolo de HTTPS para criptografar seus pacotes da rede. Isto faz com que estes sejam ilegíveis às tecnologias que monitoram aos pacotes que atravessam a rede 300, tal como sniffers de pacote de rede, e somente um servidor da web com um protocolo de HTTPS correspondente pode criptografar os pacotes recebidos da rede. O usuário interage com o local de servidor 200 através de um navegador da web 110, situado no local de
Petição 870180144332, de 25/10/2018, pág. 16/26
9/13 cliente 100, que criptografa os pacotes da rede e posiciona uma solicitação de HTTPS na rede 300. A solicitação atravessa a rede 300 e chega ao servidor 200, onde um software de monitoração nomeado monitor 210 da presente invenção está em operação. O monitor 210 corresponde com um sniffer de pacote da rede 220 que está sempre em funcionamento. Assim, o monitor 210 vê o conteúdo criptografado do pacote da rede, mas não pode fazer muito sentido a partir dele. Entretanto, mesmo os pacotes criptografados da rede têm uma porção em um cabeçalho que não é criptografado, como o endereço de rede e o número de porta, que precisa permanecer descriptografado porque é usado pelos roteadores de hardware que não têm a capacidade de descriptografia. Consequentemente, o monitor 210 pode ler com sucesso o endereço de rede e o número da porta de pacotes de rede criptografados, mas nada mais. Entretanto, existe uma necessidade de os usuários lerem alguns dados que são embarcados no pacote de rede criptografado, tal como o nome do URL. Consequentemente, na etapa 400 da figura 1, o monitor 210 cria e registra um módulo plug-in 230 com um servidor da web 205 no momento em que o servidor da web 205 é iniciado.
[0019] A fim de executar o mapeamento entre o nome do URL e outros dados criptografados, e o número de endereço de rede do cliente e de porta, no monitor 210 de etapa 410 conserva o endereço de rede e o número de porta do pacote de solicitação de rede criptografado, originado no local de cliente 100 e recebido do sniffer de pacote de rede 220. O monitor 210 toma então uma cópia do pacote de rede criptografado e posiciona aquele pacote criptografado em uma
Petição 870180144332, de 25/10/2018, pág. 17/26
10/13 estrutura de dados 240 em uma memória 250. A estrutura de dados pode ser uma árvore relacionada ao URL da raiz específica ou a uma tabela ou fila indexada pelo endereço de rede e pelo número de porta do local do cliente.
[0020] No servidor da web 205, o pacote da rede é descriptografado pelo software de descriptografia do servidor da web convencional 225, situado dentro do servidor da web 205, como parte do processamento normal do servidor da web. O módulo plug-in 230 é tipicamente referido como um filtro da web, para servidores da web Microsoft IIS, e um NSAPI, para servidores da web do Apache e Netscape. Na etapa 420, o módulo plug-in 230 obtém as cópias dos pacotes de rede de HTTPS a partir da solicitação de HTML descriptografada.
[0021] Uma vez que o módulo plug-in 230 obtém a cópia descriptografada dos pacotes de rede de HTTPS do software de descriptografia do servidor da web convencional 225, os dados importantes, tais como o nome do URL, a referência do URL e o conteúdo específico do pedido podem ser extraídos desta cópia da solicitação. Entretanto, desde que somente uma cópia da solicitação de HTML foi obtida pelo filtro da web ou NSAPI, a informação específica da rede não está disponível e essa informação é o que é necessário para fazer uma correspondência de relação para o pedido criptografado original. Consequentemente, algumas interfaces do programa de aplicação (APIs) têm que ser invocadas no servidor da web seguro para obter o endereço de rede e os números das portas associadas com esta cópia da solicitação. Estas APIs são diferentes para cada vendedor de servidor da web seguro.
Petição 870180144332, de 25/10/2018, pág. 18/26
11/13
Assim, o módulo de plug-in 230 faz chamadas de API para o servidor da web 205 para obter o endereço de rede e o número de porta associado com o pacote da rede.
[0022] O módulo plug-in 230 abre então um soquete de comunicação da rede 260 entre o módulo plug-in 230 e o monitor 210 e, através de um pipe, passa o pacote descriptografado da rede de HTTPS, o endereço de rede e o número de porta para o monitor 210, na etapa 430. O monitor 210 executa então uma fusão e normalização. Baseado no endereço de rede e no número da porta, o monitor 210 primeiro executa a busca das estruturas de dados 240 em memória e tenta encontrar uma entrada que corresponde ao pacote da rede de HTTPS descriptografado passado, com base em seu endereço de rede e número de porta.
[0023] Se tal entrada for encontrada, o conteúdo criptografado armazenado do pacote da rede é substituído pelo conteúdo descriptografado recebido do módulo plug-in 230. Se uma correspondência não puder ser encontrada, o monitor 210 descarta os dados recebidos do módulo plug-in 230 e continua. Se uma entrada correspondente existir, uma solicitação de HTTPS de rede criptografada capturada, que normalmente não pode ser relacionada a um nome de URL, está agora pareado com um nome do URL e outros dados previamente criptografados, que dão os dados de volta aos monitores de rede que foram escondidos pelo protocolo de HTTPS. Assim, o monitor 210 tem, na estrutura de dados 240 em memória, toda a informação que normalmente teria se o protocolo de HTTP fosse não seguro, tal como um nome do URL de um recurso alvo
Petição 870180144332, de 25/10/2018, pág. 19/26
12/13 que pode ser uma imagem, um arquivo de programa, uma página de HTML, Java applet, etc.
[0024] Consequentemente, neste momento o monitor 210 pode extrair o nome do URL e outros dados do pacote de rede descriptografado armazenado e pode empregá-lo para várias soluções de gerenciamento de dados nas transações da rede, para serviços bancários e os outros serviços de software, aplicações e programas de tratamento de dados, incluindo a exploração de dados, reconhecimento de padrão, análise de dados, transcodificação de HTML para protocolo de aplicação sem fio (WAP - Wireless applícatlon protocol}, conversão de dados, desempenho de monitoramento de aplicativos de servidor de HTTP da Internet e transferência de dados através de uma rede de comunicações entre um cliente e um local do usuário.
[0025] A presente invenção pode ser realizada em hardware, firmware ou software, ou qualquer combinação de hardware, firmware e software, ou em qualquer outro processo capaz de fornecer a funcionalidade divulgada. A implementação do método e do sistema da presente invenção pode ser realizada em uma forma centralizada em um sistema computadorizado de servidor, ou em uma forma distribuída onde os diferentes elementos estão espalhados através de diversos sistemas computadorizados interconectados. Qualquer tipo do sistema computadorizado ou do aparelho adaptado para realizar os métodos descritos aqui é adequado para executar as funções descritas aqui. A figura 1 ilustra um sistema computadorizado de uso geral com um grupo de programas de computador que, ao ser carregado e ao executar, controlam o
Petição 870180144332, de 25/10/2018, pág. 20/26
13/13 sistema computadorizado de tal maneira que realizam os aspectos do método da presente invenção. Os programas de computador podem ser embarcados em uma mídia utilizável por computador que compreendam todas as características que permitem a execução dos métodos descritos aqui e que podem realizar estes métodos quando carregados em um sistema computadorizado. No ambiente exemplificativo da figura 1, um sistema computadorizado do local de servidor 200 é compreendido por um ou mais processadores, não mostrados, que podem ser conectados a um ou mais dispositivos de armazenamento eletrônico, não mostrados, tais como unidades de disco.
[0026] A descrição antecedente das concretizações preferidas da invenção foi apresentada para os propósitos de ilustração e de descrição. Não se pretende ser exaustiva ou limitar a invenção à forma precisa divulgada. Muitas modificações e variações são possíveis à luz aos ensinamentos acima. Pretende-se que o escopo da invenção esteja limitado não por esta descrição detalhada, mas, ao invés disso, pelas reivindicações anexas.

Claims (14)

  1. REIVINDICAÇÕES
    1. Método para mapear um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web seguro da rede de computador caracterizado pelo fato de que compreende:
    (a) criar (400) um módulo plug-in em um servidor da web seguro;
    (b) salvar (410) pelo menos um endereço de rede e o número de porta a partir de um pacote de solicitação de rede criptografado capturado;
    (c) obter (420) uma cópia descriptografada do pacote de solicitação de rede a partir do módulo de descriptografia dentro do servidor da web seguro pelo módulo plug-in; e (d) obter (430) do módulo plug-in o pacote de rede descriptografado, o endereço de rede e o número de porta e mapeá-los no servidor web seguro para o pelo menos um endereço de rede e número de porta salvo.
  2. 2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa (d) ainda compreende a etapa de salvar o endereço de rede e o número de porta e o pacote de rede descriptografado em uma estrutura de dados (240) indexada pelo endereço de rede e pelo número de porta.
  3. 3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a rede é a Internet, a criptografia é executada de acordo com o protocolo de transferência de hipertexto seguro (HTTPS) e a solicitação de rede criptografada é condescendente com a linguagem de marcação de hipertexto (HTML).
    Petição 870180144332, de 25/10/2018, pág. 22/26
    2/4
  4. 4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que os dados criptografados compreendem um nome de localizador de recurso universal (URL), um conteúdo específico de aplicação ou um link de hipertexto para um recurso remoto alvo que é escolhido do grupo que compreende texto, áudio, vídeo, gráfico, animação, imagem estática, arquivo de programa, página de HTML e Java applet.
  5. 5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a descriptografia é executada pelo software de descriptografia do servidor da web convencional como parte do processamento normal do servidor da web, o módulo plug-in é escolhido do grupo que compreende o filtro da web e o NSAPI, e o endereço de rede e o número de porta do pacote de solicitação de rede criptografado capturado, são transferidos não criptografados.
  6. 6. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa (c) compreende ainda a etapa em que o módulo plug-in invoca interfaces de programa de aplicação (APIs) no servidor da web seguro para obter o endereço de rede e o número de porta da solicitação criptografada original associada com o pacote de solicitação de rede descriptografado.
  7. 7. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa (c) compreende ainda a etapa em que o módulo plug-in cria um soquete da rede e transfere o pacote da rede de HTTPS descriptografado, o endereço de rede e o número de porta através de um pipe.
    Petição 870180144332, de 25/10/2018, pág. 23/26
    3/4
  8. 8. Sistema para mapear um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web seguro da rede de computador caracterizado pelo fato de que compreende meios para:
    (a) criar (400) um módulo plug-in em um servidor da web seguro;
    (b) salvar (410) pelo menos um endereço de rede e o número de porta a partir de um pacote de solicitação de rede criptografado capturado;
    (c) obter (420) uma cópia descriptografada do pacote de solicitação de rede a partir do módulo de descriptografia do servidor da web seguro pelo módulo plug-in; e (d) obter (430) do módulo plug-in o pacote de rede descriptografado, o endereço de rede e o número de porta e mapeá-los no servidor da web seguro pelo módulo de plug-in.
  9. 9. Sistema, de acordo com a reivindicação 8, caracterizado pelo fato de que os meios para a etapa (d) ainda compreendem meios para salvar o endereço de rede e o número de porta e o pacote de rede descriptografado em uma estrutura de dados (240) indexada pelo endereço de rede e pelo número de porta.
  10. 10. Sistema, de acordo com a reivindicação 8, caracterizado pelo fato de que a rede é a Internet, a criptografia é executada de acordo com o protocolo de transferência de hipertexto seguro (HTTPS) e a solicitação de rede criptografada é condescendente com a linguagem de marcação de hipertexto (HTML).
  11. 11. Sistema, de acordo com a reivindicação 8, caracterizado pelo fato de que os dados criptografados
    Petição 870180144332, de 25/10/2018, pág. 24/26
    4/4 compreendem um nome de localizador de recurso universal (URL), um conteúdo específico de aplicação ou uma ligação de hipertexto a um recurso remoto alvo que é escolhido do grupo que compreende texto, áudio, vídeo, gráfico, animação, imagem estática, arquivo de programa, página de HTML e Java applet.
  12. 12. Sistema, de acordo com a reivindicação 8, caracterizado pelo fato de que a descriptografia é executada pelo software da descriptografia do servidor da web convencional como parte do processamento normal do servidor da web, o módulo plug-in é escolhido do grupo que compreende o filtro da web e o NSAPI, e o endereço de rede e o número de porta do pacote de solicitação de rede criptografado capturado, são transferidos não criptografados.
  13. 13. Sistema, de acordo com a reivindicação 8, caracterizado pelo fato de que os meios para a etapa (c) compreendem ainda meios em que o módulo plug-in invoca interfaces de programa de aplicação (APIs) no servidor da web seguro para obter o endereço de rede e o número de porta da solicitação criptografada original associada com o pacote de solicitação da rede descriptografado.
  14. 14. Sistema, de acordo com a reivindicação 8, caracterizado pelo fato de que os meios para a etapa (d) compreendem ainda meios em que o módulo plug-in cria um soquete de rede e transfere o pacote da rede de HTTPS descriptografado, o endereço de rede e o número de porta através de um pipe.
BRPI0608276A 2005-02-28 2006-02-20 método e sistema para mapear um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web da rede de computador seguro BRPI0608276B1 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/067,990 US7657737B2 (en) 2005-02-28 2005-02-28 Method for mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server
PCT/EP2006/060107 WO2006089879A1 (en) 2005-02-28 2006-02-20 Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server

Publications (2)

Publication Number Publication Date
BRPI0608276A2 BRPI0608276A2 (pt) 2009-12-15
BRPI0608276B1 true BRPI0608276B1 (pt) 2019-02-05

Family

ID=36273444

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0608276A BRPI0608276B1 (pt) 2005-02-28 2006-02-20 método e sistema para mapear um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web da rede de computador seguro

Country Status (10)

Country Link
US (1) US7657737B2 (pt)
EP (1) EP1854243B1 (pt)
JP (1) JP4596554B2 (pt)
CN (1) CN100544289C (pt)
AT (1) ATE441264T1 (pt)
BR (1) BRPI0608276B1 (pt)
CA (1) CA2598227C (pt)
DE (1) DE602006008749D1 (pt)
TW (1) TWI362871B (pt)
WO (1) WO2006089879A1 (pt)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7865511B2 (en) 2004-06-25 2011-01-04 Apple Inc. News feed browser
US8612844B1 (en) * 2005-09-09 2013-12-17 Apple Inc. Sniffing hypertext content to determine type
US7882091B2 (en) * 2008-01-09 2011-02-01 Stephen Schneider Record tagging, storage and filtering system and method
US20100132007A1 (en) * 2008-11-25 2010-05-27 Cisco Technology, Inc. Accelerating channel change time with external picture property markings
US8850013B2 (en) * 2010-05-10 2014-09-30 Jaron Waldman Server load balancing using geodata
KR20120132013A (ko) * 2011-05-27 2012-12-05 주식회사 팬택 휴대용 단말, 휴대용 단말의 하드웨어 모듈간에 전송되는 데이터의 보안 방법
CN102811426A (zh) * 2011-05-30 2012-12-05 网秦无限(北京)科技有限公司 移动设备的消息的加密发送和接收的方法和系统
TWI581124B (zh) * 2012-01-13 2017-05-01 精品科技股份有限公司 網際網路之資料封包防護系統與方法
US9176838B2 (en) * 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US9043593B2 (en) * 2013-03-11 2015-05-26 International Business Machines Corporation Session attribute propagation through secure database server tiers
GB2516050A (en) * 2013-07-09 2015-01-14 Ibm A Network Security System
CN103701819B (zh) * 2013-12-30 2017-04-05 北京网康科技有限公司 超文本传输协议解密的处理方法及装置
CN105812345B (zh) * 2014-12-31 2019-08-23 广州市动景计算机科技有限公司 一种实现网页到客户端通信的方法及装置
US9774572B2 (en) * 2015-05-11 2017-09-26 Salesforce.Com, Inc. Obfuscation of references to network resources
JP6700894B2 (ja) * 2016-03-25 2020-05-27 キヤノン株式会社 画像処理装置、制御方法、プログラム
CN109165511B (zh) * 2018-08-08 2022-07-15 深圳前海微众银行股份有限公司 Web安全漏洞处理方法、系统及计算机可读存储介质
US11575653B2 (en) 2020-05-04 2023-02-07 Juniper Networks, Inc. Efficient encryption and decryption of duplicate packets communicated via a virtual private network
EP4611313A3 (en) 2020-05-04 2025-09-10 Juniper Networks, Inc. Efficient encryption and decryption of duplicate packets communicated via a virtual private network
EP4009602B1 (en) * 2020-12-07 2022-11-09 Siemens Healthcare GmbH Providing a first digital certificate and a dns response

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3263878B2 (ja) * 1993-10-06 2002-03-11 日本電信電話株式会社 暗号通信システム
WO1998011702A1 (en) 1996-09-10 1998-03-19 Accrue Software, Inc. Apparatus and methods for capturing, analyzing and viewing live network information
GB2319705B (en) * 1996-11-21 2001-01-24 Motorola Ltd Arrangement for encryption/decryption of data and data carrier incorporating same
US6065046A (en) * 1997-07-29 2000-05-16 Catharon Productions, Inc. Computerized system and associated method of optimally controlled storage and transfer of computer programs on a computer network
US6092196A (en) 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6148336A (en) * 1998-03-13 2000-11-14 Deterministic Networks, Inc. Ordering of multiple plugin applications using extensible layered service provider with network traffic filtering
US6363477B1 (en) 1998-08-28 2002-03-26 3Com Corporation Method for analyzing network application flows in an encrypted environment
US6510464B1 (en) 1999-12-14 2003-01-21 Verizon Corporate Services Group Inc. Secure gateway having routing feature
US6324648B1 (en) 1999-12-14 2001-11-27 Gte Service Corporation Secure gateway having user identification and password authentication
US7325127B2 (en) 2000-04-25 2008-01-29 Secure Data In Motion, Inc. Security server system
US7673329B2 (en) * 2000-05-26 2010-03-02 Symantec Corporation Method and apparatus for encrypted communications to a secure server
US20020035559A1 (en) * 2000-06-26 2002-03-21 Crowe William L. System and method for a decision engine and architecture for providing high-performance data querying operations
US20020035681A1 (en) * 2000-07-31 2002-03-21 Guillermo Maturana Strategy for handling long SSL messages
US8364798B2 (en) * 2001-01-23 2013-01-29 Verizon Business Global Llc Method and system for providing software integration for a telecommunications services on-line procurement system
US9219708B2 (en) 2001-03-22 2015-12-22 DialwareInc. Method and system for remotely authenticating identification devices
US7409714B2 (en) 2001-06-13 2008-08-05 Mcafee, Inc. Virtual intrusion detection system and method of using same
US7149892B2 (en) * 2001-07-06 2006-12-12 Juniper Networks, Inc. Secure sockets layer proxy architecture
GB0119488D0 (en) * 2001-08-10 2001-10-03 Cellectivity Ltd E-commerce method for mobile telephones
US20030065941A1 (en) 2001-09-05 2003-04-03 Ballard Clinton L. Message handling with format translation and key management
US6970918B2 (en) 2001-09-24 2005-11-29 International Business Machines Corporation System and method for transcoding support of web content over secure connections
US7010608B2 (en) 2001-09-28 2006-03-07 Intel Corporation System and method for remotely accessing a home server while preserving end-to-end security
US7181141B1 (en) * 2001-11-02 2007-02-20 Ciena Corporation Method and system for collecting network topology in an optical communications network
US7093121B2 (en) 2002-01-10 2006-08-15 Mcafee, Inc. Transferring data via a secure network connection
JP2003209570A (ja) 2002-01-11 2003-07-25 Fujitsu Ltd 中継方法そのクライアント、サーバ、中継装置
US20030163608A1 (en) 2002-02-21 2003-08-28 Ashutosh Tiwary Instrumentation and workload recording for a system for performance testing of N-tiered computer systems using recording and playback of workloads
US7260623B2 (en) * 2002-06-27 2007-08-21 Sun Microsystems, Inc. Remote services system communication module
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7386723B2 (en) 2002-11-22 2008-06-10 Intel Corporation Method, apparatus and system for compressing IPSec-protected IP packets
US7412539B2 (en) 2002-12-18 2008-08-12 Sonicwall, Inc. Method and apparatus for resource locator identifier rewrite
US7627669B2 (en) * 2003-05-21 2009-12-01 Ixia Automated capturing and characterization of network traffic using feedback

Also Published As

Publication number Publication date
CN100544289C (zh) 2009-09-23
BRPI0608276A2 (pt) 2009-12-15
JP2008532398A (ja) 2008-08-14
US7657737B2 (en) 2010-02-02
CA2598227C (en) 2014-10-07
EP1854243A1 (en) 2007-11-14
DE602006008749D1 (de) 2009-10-08
WO2006089879A1 (en) 2006-08-31
CA2598227A1 (en) 2006-08-31
JP4596554B2 (ja) 2010-12-08
CN101107812A (zh) 2008-01-16
ATE441264T1 (de) 2009-09-15
US20060195687A1 (en) 2006-08-31
EP1854243B1 (en) 2009-08-26
TWI362871B (en) 2012-04-21
TW200640217A (en) 2006-11-16

Similar Documents

Publication Publication Date Title
US6874084B1 (en) Method and apparatus for establishing a secure communication connection between a java application and secure server
US6351810B2 (en) Self-contained and secured access to remote servers
BRPI0608276B1 (pt) método e sistema para mapear um pacote de solicitação de rede criptografado para sua cópia descriptografada em um servidor da web da rede de computador seguro
US7441116B2 (en) Secure resource distribution through encrypted pointers
US9172682B2 (en) Local authentication in proxy SSL tunnels using a client-side proxy agent
JP3995338B2 (ja) ネットワーク接続制御方法及びシステム
US6738909B1 (en) Method and apparatus for automatic configuration for internet protocol security tunnels in a distributed data processing system
US20120185563A1 (en) Network system, virtual private connection forming method, static nat forming device, reverse proxy server and virtual connection control device
US20060143700A1 (en) Security System Providing Methodology for Cooperative Enforcement of Security Policies During SSL Sessions
US20240146728A1 (en) Access control method, access control system, and related device
US20030217258A1 (en) Apparatus and method of using ephemeral asymmetric keys to exchange security data between hardware security modules
BR0000702B1 (pt) Sistema e método para transmissão segura de um arquivo contendo um programa de computador
US8201238B1 (en) Remote directory browsing through a secure gateway of a virtual private network
Zhipeng et al. VPN: a boon or trap?: a comparative study of MPLs, IPSec, and SSL virtual private networks
US20070101124A1 (en) Secure provisioning of digital content
US7363486B2 (en) Method and system for authentication through a communications pipe
JP4775980B2 (ja) ウェブ・サービスにおける秘密データ通信
Cui Comparison of IoT application layer protocols
US7421576B1 (en) Interception and modification of network authentication packets with the purpose of allowing alternative authentication modes
US7424739B2 (en) On-machine communication verification
CN113645193B (zh) 网络安全防护方法、业务管理系统及计算机可读存储介质
CN101326529A (zh) 不当通信程序的限制系统及其程序
CN107209751B (zh) 业务处理方法及装置
JP2006229747A (ja) データ提供サーバ、データ提供プログラム、データ提供方法
Al-Hakeem et al. Development of fast reliable secure file transfer protocol (FRS-FTP)

Legal Events

Date Code Title Description
B06T Formal requirements before examination [chapter 6.20 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04L 12/26 , H04L 29/06

Ipc: H04L 29/08 (1990.01)

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 05/02/2019, OBSERVADAS AS CONDICOES LEGAIS. (CO) 10 (DEZ) ANOS CONTADOS A PARTIR DE 05/02/2019, OBSERVADAS AS CONDICOES LEGAIS