公开(公告)号：US20060212928A1

公开(公告)日：2006-09-21

申请号：US11083855

申请日：2005-03-17

申请人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Arthur Zavalkovsky

发明人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Arthur Zavalkovsky

IPC分类号： H04L9/32

CPC分类号： H04L63/0428 ,  H04L9/0841 ,  H04L9/321 ,  H04L9/3273 ,  H04L63/08 ,  H04L63/12 ,  H04L63/20

摘要： A method and an apparatus are disclosed for securing authentication, authorization and accounting (AAA) protocol messages. An encryption key, a device identifier value, and verification data are received and stored at a network device. The verification data comprises in part a copy the encryption key and the device identifier value, and has been encrypted using a private key of a server. A shared secret is generated by applying a computational function to the encryption key and the device identifier value. Based on the shared secret, a first message integrity check value for a message is generated. The message, the first integrity check value, and the verification data are sent to the server. The server decrypts the verification data using the private key, extracts the encryption key and the device identifier value, and generates the same shared secret by applying the same computational function to the extracted encryption key and device identifier value. Based on this generated shared secret, a second message integrity check value is generated and compared to the received first message integrity check value.

摘要翻译： 公开了一种用于保护认证，授权和计费（AAA）协议消息的方法和装置。 加密密钥，设备标识符值和验证数据被接收并存储在网络设备中。 验证数据部分地部分地复制加密密钥和设备标识符值，并且已经使用服务器的专用密钥加密。 通过将计算功能应用于加密密钥和设备标识符值来生成共享秘密。 基于共享密钥，生成消息的第一消息完整性检查值。 消息，第一个完整性检查值和验证数据被发送到服务器。 服务器使用私钥解密验证数据，提取加密密钥和设备标识符值，并通过对提取的加密密钥和设备标识符值应用相同的计算功能来生成相同的共享密钥。 基于此生成的共享密钥，生成第二消息完整性检查值并将其与接收的第一消息完整性校验值进行比较。

公开(公告)号：US07992193B2

公开(公告)日：2011-08-02

申请号：US11083855

申请日：2005-03-17

申请人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Arthur Zavalkovsky

发明人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Arthur Zavalkovsky

IPC分类号： G06F7/04 ,  H04L9/32 ,  H04L9/00

CPC分类号： H04L63/0428 ,  H04L9/0841 ,  H04L9/321 ,  H04L9/3273 ,  H04L63/08 ,  H04L63/12 ,  H04L63/20

摘要： A method and an apparatus are disclosed for securing authentication, authorization and accounting (AAA) protocol messages. An encryption key, a device identifier value, and verification data are received and stored at a network device. The verification data comprises in part a copy the encryption key and the device identifier value, and has been encrypted using a private key of a server. A shared secret is generated by applying a computational function to the encryption key and the device identifier value. Based on the shared secret, a first message integrity check value for a message is generated. The message, the first integrity check value, and the verification data are sent to the server. The server decrypts the verification data using the private key, extracts the encryption key and the device identifier value, and generates the same shared secret by applying the same computational function to the extracted encryption key and device identifier value. Based on this generated shared secret, a second message integrity check value is generated and compared to the received first message integrity check value.

摘要翻译： 公开了一种用于保护认证，授权和计费（AAA）协议消息的方法和装置。 加密密钥，设备标识符值和验证数据被接收并存储在网络设备中。 验证数据部分地部分地复制加密密钥和设备标识符值，并且已经使用服务器的专用密钥加密。 通过将计算功能应用于加密密钥和设备标识符值来生成共享秘密。 基于共享密钥，生成消息的第一消息完整性检查值。 消息，第一个完整性检查值和验证数据被发送到服务器。 服务器使用私钥解密验证数据，提取加密密钥和设备标识符值，并通过对提取的加密密钥和设备标识符值应用相同的计算功能来生成相同的共享密钥。 基于此生成的共享密钥，生成第二消息完整性检查值并将其与接收的第一消息完整性校验值进行比较。

公开(公告)号：US20060200670A1

公开(公告)日：2006-09-07

申请号：US11069857

申请日：2005-03-01

申请人： Irene Kuffel ,  Wilson Kok ,  Michael Fine ,  Fabio Maino ,  Jed Lau

发明人： Irene Kuffel ,  Wilson Kok ,  Michael Fine ,  Fabio Maino ,  Jed Lau

IPC分类号： H04L9/00

CPC分类号： H04L9/321 ,  H04L9/3247 ,  H04L9/3263 ,  H04L9/3271 ,  H04L63/08 ,  H04L2209/76

摘要： Various systems and method are disclosed for disseminating security server contact information in a network. For example, one method (e.g., performed by a security server) involves determining that a network device is a secure network device, in response to participating in a security exchange with the network device; and then sending a server list to the network device. The server list includes the network address of at least one security server. Another method (e.g., performed by a network device) involves initiating an authentication exchange; receiving a server list, which includes the network address of a security server, as part of the authentication exchange; and communicating with the security server by sending a packet to the network address included in the server list.

摘要翻译： 公开了用于在网络中传播安全服务器联系信息的各种系统和方法。 例如，响应于参与与网络设备的安全交换，一种方法（例如由安全服务器执行）涉及确定网络设备是安全网络设备; 然后将服务器列表发送到网络设备。 服务器列表包括至少一个安全服务器的网络地址。 另一种方法（例如，由网络设备执行）涉及启动认证交换; 作为认证交换的一部分，接收包括安全服务器的网络地址的服务器列表; 并通过向包括在服务器列表中的网络地址发送分组来与安全服务器通信。

公开(公告)号：US20060259759A1

公开(公告)日：2006-11-16

申请号：US11130654

申请日：2005-05-16

申请人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Wilson Kok

发明人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Wilson Kok

IPC分类号： H04L9/00

CPC分类号： H04L63/162 ,  H04L63/08 ,  H04L63/0892

摘要： A method of securely extending a protected network through secure relay of AAA information, when an isolated device lacks Layer 3 connectivity to an AAA infrastructure of the protected network, comprises receiving a first authentication message, from an isolated first network device, wherein the first authentication message is encapsulated in a first Layer 2 message, wherein the first authentication message seeks to authenticate a second network device using an authentication server, and wherein the second network device and the authentication server are within a protected network; extracting the first authentication message from the first Layer 2 message; forming a packet that includes the first authentication message; sending the packet with the extracted authentication message over a Layer 3 link to the authentication server, without modifying the extracted authentication message. Thus a network node within a protected network can relay AAA requests and responses between an isolated AAA client, encapsulated in Layer 2 messages, and an AAA server, in Layer 3 messages.

摘要翻译： 一种当隔离设备缺少到受保护网络的AAA基础设施的第3层连接时，通过AAA信息的安全中继来安全地扩展受保护网络的方法包括从隔离的第一网络设备接收第一认证消息，其中第一认证 消息被封装在第一层2消息中，其中所述第一认证消息试图使用认证服务器认证第二网络设备，并且其中所述第二网络设备和所述认证服务器在受保护网络内; 从所述第一层2消息中提取所述第一认证消息; 形成包括所述第一认证消息的分组; 通过三层链路将提取的认证消息发送给认证服务器，而不修改提取的认证消息。 因此，受保护网络中的网络节点可以在层3消息中中继AAA请求和响应之间隔离的AAA客户端，封装在二层消息中，AAA服务器之间。