用于使網(wǎng)關(guān)地址循環(huán)的系統(tǒng)和方法
【專利摘要】為了提高經(jīng)由網(wǎng)關(guān)提供對其訪問的網(wǎng)絡(luò)的安全性,提供了客戶端裝置�、網(wǎng)關(guān)以及相應(yīng)的方法。網(wǎng)關(guān)的地址可以循環(huán)���,例如改變�,使得應(yīng)該不能夠訪問網(wǎng)絡(luò)的黑客或其它個體或裝置將在使網(wǎng)關(guān)的地址安全并且訪問網(wǎng)絡(luò)時體驗更大的困難����,至少長達(dá)任何延長的時間段。然而��,關(guān)于網(wǎng)關(guān)的地址的循環(huán)通過確?���?蛻舳搜b置和網(wǎng)關(guān)兩者同步,即便當(dāng)網(wǎng)關(guān)的地址循環(huán)時����,客戶端裝置仍然可以適當(dāng)?shù)貙W(wǎng)關(guān)進(jìn)行尋址并且因此訪問網(wǎng)絡(luò)。不同的操作系統(tǒng)還可以與網(wǎng)關(guān)的不同的地址中的一些相關(guān)聯(lián)以便提高網(wǎng)絡(luò)的安全性���。
【專利說明】用于使網(wǎng)關(guān)地址循環(huán)的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]根據(jù)示例實施方式����,提供了用于定義網(wǎng)關(guān)的地址并且更特別地用于使網(wǎng)關(guān)的地址循環(huán)、從而增強(qiáng)經(jīng)由網(wǎng)關(guān)可訪問的網(wǎng)絡(luò)的安全性的系統(tǒng)和方法�����。
【背景技術(shù)】
[0002]可以由網(wǎng)關(guān)提供對諸如專用網(wǎng)絡(luò)(例如��,內(nèi)聯(lián)網(wǎng)或其它內(nèi)部網(wǎng)絡(luò))的網(wǎng)絡(luò)的訪問����。在適當(dāng)情況下�����,網(wǎng)關(guān)位于在防火墻外�����,該防火墻用構(gòu)造成從各種裝置接收針對網(wǎng)絡(luò)的消息并且將那些消息轉(zhuǎn)發(fā)到該網(wǎng)絡(luò)的網(wǎng)關(guān)來保護(hù)網(wǎng)絡(luò)�����。網(wǎng)關(guān)一般地具有靜態(tài)地址,諸如靜態(tài)網(wǎng)際協(xié)議(IP)地址���。為了訪問網(wǎng)關(guān)�����,以及進(jìn)而訪問網(wǎng)絡(luò)�,諸如計算機(jī)���、移動電話�、個人數(shù)字助理(PDA)等的裝置可以向域名服務(wù)器(DNS)查詢網(wǎng)關(guān)的地址���。DNS可以給裝置提供網(wǎng)關(guān)的地址�����,并且裝置其后可以經(jīng)由由DNS所提供的地址(諸如IP地址)與網(wǎng)關(guān)進(jìn)行通信����,以及進(jìn)而與網(wǎng)絡(luò)進(jìn)行通信�����。
[0003]因為網(wǎng)關(guān)的地址是靜態(tài)的,所以應(yīng)該不能夠訪問網(wǎng)絡(luò)的黑客或其它個體或裝置可以確定網(wǎng)關(guān)的地址��。一旦已確定網(wǎng)關(guān)的地址��,應(yīng)該不能夠訪問網(wǎng)絡(luò)的黑客或其它個體或裝置就可以經(jīng)由適當(dāng)?shù)貙ぶ返皆摼W(wǎng)關(guān)的消息與網(wǎng)絡(luò)進(jìn)行通信�����。正因如此����,應(yīng)該不能夠訪問網(wǎng)絡(luò)的黑客或其它個體或裝置可以訪問網(wǎng)絡(luò)���,并且可以例如訪問存儲在網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)或其它信息����,從而危及網(wǎng)絡(luò)的安全性�。
【發(fā)明內(nèi)容】
[0004]為了提高經(jīng)由網(wǎng)關(guān)提供對其訪問的網(wǎng)絡(luò)的安全性,根據(jù)本公開內(nèi)容的示例實施方式��,提供了客戶端裝置��、網(wǎng)關(guān)以及相應(yīng)的方法��。在這點(diǎn)上,網(wǎng)關(guān)的地址可以循環(huán)�,例如改變,使得應(yīng)該不能夠訪問網(wǎng)絡(luò)的黑客或其它個體或裝置將在確定網(wǎng)關(guān)的地址并且訪問網(wǎng)絡(luò)時體驗更大的困難�����,至少長達(dá)任何延長的時間段���。通過確?�?蛻舳搜b置和網(wǎng)關(guān)兩者針對網(wǎng)關(guān)的地址的循環(huán)是同步的�,即便當(dāng)網(wǎng)關(guān)的地址循環(huán)時,客戶端裝置仍然可以適當(dāng)?shù)貙W(wǎng)關(guān)進(jìn)行尋址并且因此訪問網(wǎng)絡(luò)。通過使不同的操作系統(tǒng)與網(wǎng)關(guān)的不同的地址相關(guān)聯(lián)����,可以依照本公開內(nèi)容的一些實施方式進(jìn)一步提高網(wǎng)絡(luò)的安全性�。
[0005]依照一個實施方式提供了包括處理器的客戶端裝置����,該處理器被構(gòu)造成查詢多個映射裝置以請求網(wǎng)關(guān)的地址。這種實施方式的處理器還被構(gòu)造成從映射裝置中的一個接收網(wǎng)關(guān)的地址����,并且構(gòu)造成利用從映射裝置中的相應(yīng)一個接收到的地址使與網(wǎng)關(guān)的通信建立�。這種實施方式的處理器還被構(gòu)造成接收網(wǎng)關(guān)的地址已改變?yōu)椴煌牡刂返闹甘静⑶移浜罄迷摬煌牡刂肥古c網(wǎng)關(guān)的通信建立�。在這點(diǎn)上,一個實施方式的處理器可以被進(jìn)一步構(gòu)造成重復(fù)地接收網(wǎng)關(guān)的地址已改變?yōu)椴煌牡刂返闹甘静⑶移浜罄迷摬煌牡刂肥古c網(wǎng)關(guān)的通信建立��。通過許可網(wǎng)關(guān)的地址改變���,作為有關(guān)網(wǎng)關(guān)的地址的循環(huán)在網(wǎng)關(guān)與客戶端裝置之間的同步的結(jié)果���,可以增強(qiáng)由網(wǎng)關(guān)提供給網(wǎng)絡(luò)的安全性,同時仍然允許客戶端裝置經(jīng)由網(wǎng)關(guān)與網(wǎng)絡(luò)進(jìn)行通信��。
[0006]一個實施方式的處理器可以被進(jìn)一步構(gòu)造成響應(yīng)于指示一個或更多個其它映射裝置不具有用于網(wǎng)關(guān)的有效地址的查詢從一個或更多個其它映射裝置接收響應(yīng)���。處理器可以被進(jìn)一步構(gòu)造成通過在第二協(xié)議(諸如網(wǎng)際協(xié)議版本4(IPv4))的分組內(nèi)隧道化第一協(xié)議(諸如網(wǎng)際協(xié)議版本6 (IPv6))的凈負(fù)荷來與網(wǎng)關(guān)進(jìn)行通信。凈負(fù)荷可以包括客戶端裝置的媒體訪問控制(MAC)地址以便許可通過網(wǎng)關(guān)驗證客戶端裝置��。
[0007]在另一實施方式中�,提供了包括查詢多個映射裝置以請求網(wǎng)關(guān)的地址的方法。該方法還可以從映射裝置中的一個接收網(wǎng)關(guān)的地址�����,并且可以利用處理器利用從映射裝置中的相應(yīng)一個接收到的地址與網(wǎng)關(guān)建立通信。這種實施方式的方法還可以接收網(wǎng)關(guān)的地址已改變?yōu)椴煌牡刂返闹甘静⑶抑罄迷摬煌牡刂肥古c網(wǎng)關(guān)建立通信��。在一個實施方式中����,該方法可以重復(fù)地執(zhí)行以下步驟:接收網(wǎng)關(guān)的地址已改變?yōu)椴煌牡刂返闹甘静⑶抑罂梢岳迷摬煌牡刂肥古c網(wǎng)關(guān)的通信建立。
[0008]一個實施方式的方法還可以響應(yīng)于指示一個或更多個其它映射裝置不具有用于網(wǎng)關(guān)的有效地址的查詢從一個或更多個其它映射裝置接收響應(yīng)���。一個實施方式的方法可以通過在第二協(xié)議(諸如網(wǎng)際協(xié)議版本4(IPv4))的分組內(nèi)隧道化第一協(xié)議(諸如網(wǎng)際協(xié)議版本6(IPv6))的凈負(fù)荷來與網(wǎng)關(guān)進(jìn)行通信��。一個實施方式的凈負(fù)荷可以包括客戶端裝置的媒體訪問控制(MAC)地址以許可通過網(wǎng)關(guān)驗證客戶端裝置����。
[0009]在另一個實施方式中��,提供了包括處理器的網(wǎng)關(guān)�����,該處理器被構(gòu)造成定義網(wǎng)關(guān)的地址��、利用由網(wǎng)關(guān)所定義的地址從客戶端裝置接收消息�����、以及之后利用由網(wǎng)關(guān)所定義的地址與客戶端裝置建立通信。這種實施方式的處理器還被構(gòu)造成通過改變?yōu)椴煌牡刂穪硎咕W(wǎng)關(guān)的地址循環(huán)�����,從而使客戶端裝置被通知網(wǎng)關(guān)的地址已改變?yōu)椴煌牡刂凡⑶抑罄迷摬煌牡刂放c客戶端裝置進(jìn)行通信���。在一個實施方式中����,網(wǎng)關(guān)的處理器可以被進(jìn)一步構(gòu)造成重復(fù)地使網(wǎng)關(guān)的地址循環(huán)�����。
[0010]網(wǎng)關(guān)的處理器可以被進(jìn)一步構(gòu)造成通過在第二協(xié)議(諸如網(wǎng)際協(xié)議版本4(IPv4))的分組內(nèi)隧道化第一協(xié)議(諸如網(wǎng)際協(xié)議版本6(IPv6))的凈負(fù)荷來與客戶端裝置進(jìn)行通信����。一個實施方式的網(wǎng)關(guān)的處理器還可以被構(gòu)造成基于包括在從客戶端裝置接收到的通信內(nèi)的客戶端裝置的媒體訪問控制(MAC)地址來驗證客戶端裝置。一個實施方式的網(wǎng)關(guān)的處理器還可以被構(gòu)造成通過使多個映射裝置被通知網(wǎng)關(guān)的地址已改變?yōu)椴煌牡刂穪硎箍蛻舳搜b置被通知網(wǎng)關(guān)的地址已改變���,使得映射裝置中的一個或更多個然后可以向客戶端裝置通知網(wǎng)關(guān)的地址的改變。在一個實施方式中����,網(wǎng)關(guān)的地址和網(wǎng)關(guān)的不同的地址可以與不同的操作系統(tǒng)相關(guān)聯(lián)。在該實施方式中,網(wǎng)關(guān)的處理器可以被進(jìn)一步構(gòu)造成依照不同的操作系統(tǒng)進(jìn)行操作��,同時網(wǎng)關(guān)具有與當(dāng)網(wǎng)關(guān)具有該地址時不同的地址��。通過改變操作系統(tǒng)����,即使以對于客戶端裝置而言透明的方式,也可以進(jìn)一步提高網(wǎng)絡(luò)的安全性�。
【專利附圖】
【附圖說明】
[0011]已經(jīng)如此用一般術(shù)語描述了本公開內(nèi)容的特定示例實施方式,現(xiàn)將對附圖進(jìn)行參照��,附圖未必按比例繪制�����,并且其中:
[0012]圖1是依照示例實施方式的包括客戶端裝置��、多個映射裝置以及用于控制對網(wǎng)絡(luò)的訪問的網(wǎng)關(guān)的系統(tǒng)的框圖��;
[0013]圖2是依照本公開內(nèi)容的示例實施方式可以由客戶端裝置和/或網(wǎng)關(guān)具體化并且可以被具體地構(gòu)造的裝置的框圖�;
[0014]圖3是圖1的系統(tǒng)的更詳細(xì)的框圖;
[0015]圖4是依照一個實施方式由客戶端裝置所執(zhí)行的操作的流程圖���;以及
[0016]圖5是依照一個實施方式由網(wǎng)關(guān)所執(zhí)行的操作的流程圖�����。
【具體實施方式】
[0017]現(xiàn)將參照附圖在下文中對本公開內(nèi)容進(jìn)行更全面的描述�,在附圖中示出了一些而并非所有實施方式。實際上�,本公開內(nèi)容可以以許多不同的形式具體化,并且不應(yīng)該被解釋為限于本文中所闡述的實施方式���;相反地����,提供這些實施方式以便本公開內(nèi)容將滿足適用的法律要求��。同樣的附圖標(biāo)記自始至終指代同樣的部件�。
[0018]現(xiàn)參照圖1,提供了用于控制通過客戶端裝置10對網(wǎng)絡(luò)12的訪問的系統(tǒng)����。客戶端裝置10可以是被構(gòu)造成與網(wǎng)絡(luò)進(jìn)行通信的各式各樣的裝置中的任一個��,諸如計算機(jī)��、平板電腦����、移動電話、PDA等���。附加地�����,將與客戶端裝置10進(jìn)行通信的網(wǎng)絡(luò)12可以是各種網(wǎng)絡(luò)中的任一個���,但是一般而言,是公眾一般地不可訪問的專用網(wǎng)絡(luò)����,諸如內(nèi)聯(lián)網(wǎng)、因特網(wǎng)網(wǎng)絡(luò)等�����。如圖1中所示�,對網(wǎng)絡(luò)12的訪問可以由網(wǎng)關(guān)14來控制。在這點(diǎn)上�,網(wǎng)關(guān)14可以位于在以其它方式保護(hù)網(wǎng)絡(luò)12以便與各種裝置進(jìn)行通信的防火墻外,所述各種裝置包括客戶端裝置10�,其努力與網(wǎng)絡(luò)12進(jìn)行通信�??蛻舳搜b置10和網(wǎng)關(guān)14可以以各種方式通信,諸如經(jīng)由無線連接���、有線連接或其某種組合�。
[0019]為了與網(wǎng)關(guān)14并且進(jìn)而與網(wǎng)絡(luò)12進(jìn)行通信���,客戶端裝置10確定網(wǎng)關(guān)的地址并且其后將消息發(fā)送到網(wǎng)關(guān)�,所述消息中的至少一些意在供網(wǎng)絡(luò)接收����。網(wǎng)關(guān)14的地址不由DNS提供。替代地��,系統(tǒng)還可以包括多個映射裝置16��,其即便當(dāng)網(wǎng)絡(luò)的地址循環(huán)(例如�����,改變)時也確定網(wǎng)關(guān)14的地址����。如此����,客戶端裝置10可以與映射裝置16進(jìn)行通信以便確定網(wǎng)關(guān)14的地址(諸如IP地址)����,以便將消息適當(dāng)?shù)貙?dǎo)向網(wǎng)關(guān)并且進(jìn)而導(dǎo)向網(wǎng)絡(luò)12�。客戶端裝置10和多個網(wǎng)關(guān)16可以以各種方式通信����,包括經(jīng)由無線連接、有線連接或其某種組合����。盡管在圖1中未描繪,但是網(wǎng)關(guān)14和映射裝置16還可以像圖3中所示出的那樣并且像在下面在一些實施方式中所描述的那樣通信���,以便促進(jìn)網(wǎng)關(guān)的地址的循環(huán)的同步�����。
[0020]如在下面所描述的那樣�����,客戶端裝置10可以通過查詢多個映射裝置16來確定網(wǎng)關(guān)14的地址����,并且其后可以利用該地址與網(wǎng)關(guān)以及進(jìn)而與網(wǎng)絡(luò)12進(jìn)行通信。在網(wǎng)關(guān)12的地址已改變的實例中�,可以向客戶端裝置10通知網(wǎng)關(guān)的地址的改變,使得可以利用網(wǎng)關(guān)的已更新地址進(jìn)行客戶端裝置與網(wǎng)關(guān)之間以及進(jìn)而與網(wǎng)絡(luò)12的后續(xù)通信�����。使網(wǎng)關(guān)14的地址循環(huán)同時經(jīng)由該網(wǎng)關(guān)來維持客戶端裝置10與網(wǎng)絡(luò)12之間的通信的這種過程可以繼續(xù)�,從而降低應(yīng)該不能夠訪問網(wǎng)絡(luò)的黑客或其它個體或裝置將能夠確定網(wǎng)關(guān)的地址企圖與網(wǎng)絡(luò)進(jìn)行通信的可能性,至少長達(dá)任何可觀的時間長度����,因為網(wǎng)關(guān)的地址將重復(fù)地循環(huán)(例如,改變)����。
[0021]客戶端裝置10和網(wǎng)關(guān)14兩者都可以被具體化為或者以其它方式包括如由圖2的框圖一般地表示的裝置20。在這點(diǎn)上�����,裝置20可以被構(gòu)造成隨著網(wǎng)關(guān)的地址循環(huán)而維持客戶端裝置10與網(wǎng)關(guān)14之間的地址同步,從而將增強(qiáng)的安全性提供給與該網(wǎng)關(guān)相關(guān)聯(lián)的網(wǎng)絡(luò)12�。將參照圖2的裝置在下文中對示例實施方式進(jìn)行描述。該裝置可以例如被客戶端裝置10和/或網(wǎng)關(guān)14采用�。然而,應(yīng)該注意的是�����,在下面所描述的組件���、裝置或元件可以不是強(qiáng)制的,并且因此可以在特定實施方式中省略一些�。附加地,一些實施方式可以包括除本文中所示出和所描述的那些以外的另外的或不同的組件�����、裝置或元件�����。
[0022]如圖2中所示���,裝置20可以包括處理電路或者以其它方式與處理電路通信��,該處理電路可構(gòu)造成依照本文中所描述的示例實施方式執(zhí)行動作����。處理電路可以被構(gòu)造成根據(jù)示例實施方式執(zhí)行數(shù)據(jù)處理、應(yīng)用執(zhí)行和/或其它處理與管理服務(wù)����。在示例實施方式中,處理電路可以包括處理器22和存儲器24��,所述處理器22和存儲器24可以與通信接口 26通信并且在一些情況下與用戶接口 28通信或者以其它方式控制通信接口 26并且在一些情況下控制用戶接口 28���。如此�,處理電路可以被具體化為被構(gòu)造(例如���,用硬件���、軟件或硬件和軟件的組合)成執(zhí)行本文中所描述的操作的電路芯片(例如,集成電路芯片)�����。
[0023]用戶接口 28 (如果被實現(xiàn))可以與處理電路通信以接收在用戶接口處輸入的用戶的指示和/或以將可聽的��、視覺的、機(jī)械的或其它輸出提供給用戶���。如此�,用戶接口 28在客戶端裝置10的背景下可以包括例如鍵盤����、鼠標(biāo)、操縱桿��、顯示器����、觸摸屏��、麥克風(fēng)���、揚(yáng)聲器和/或其它輸入/輸出機(jī)制�����。在裝置20由網(wǎng)關(guān)14具體化的示例實施方式中����,可以完全地實現(xiàn)、限制���、遠(yuǎn)程定位或者消除用戶接口 28���。實際上,雖然裝置20在客戶端裝置10的背景下可以包括用戶接口 28�,但是該裝置在網(wǎng)關(guān)14的背景下可以不包括用戶接口,或者該用戶接口可以被布置在另一裝置處��,例如在計算機(jī)終端處�,所述另一裝置可以經(jīng)由通信接口 26與處理電路通信。
[0024]通信接口 26可以包括用于使得能夠與其它裝置和/或網(wǎng)絡(luò)進(jìn)行通信的一個或多個接口機(jī)制�。在一些情況下,通信接口 26可以是任何裝置�����,諸如被構(gòu)造成接收和/或發(fā)送數(shù)據(jù)的用硬件或硬件和軟件的組合加以具體化的裝置或電路���。在這點(diǎn)上�,通信接口 26可以包括例如用于使得能夠與無線通信網(wǎng)絡(luò)和/或通信調(diào)制解調(diào)器進(jìn)行通信的天線(或多個天線)和支持硬件和/或軟件或用于經(jīng)由電纜�、數(shù)字訂戶線路(DSL)、USB��、以太網(wǎng)或其它方法來支持通信的其它硬件/軟件。
[0025]在示例實施方式中����,存儲器24可以包括一個或多個非暫時性存儲器裝置,諸如例如可以是固定的或可拆卸的易失性和/或非易性存儲器�����。存儲器24可以被構(gòu)造成存儲信息����、數(shù)據(jù)、應(yīng)用���、指令等以用于使得裝置20能夠依照本公開內(nèi)容的實施方式來執(zhí)行各種功能。例如�,存儲器24能夠被構(gòu)造成存儲由處理器22執(zhí)行的指令。在一些情況下�����,存儲器24可以經(jīng)由用于在裝置20的部件之間傳遞信息的總線與處理器22通信��。
[0026]處理器22可以以許多不同的方式加以具體化����。例如���,處理器22可以被具體化為各種處理裝置,諸如微處理器或其它處理元件���、協(xié)作處理器���、控制器或各種其它計算或處理裝置中的一個或多個,所述其它計算或處理裝置包括集成電路����,諸如例如ASIC(專用集成電路)、FPGA(現(xiàn)場可編程門陣列)等�����。在示例實施方式中����,處理器22可以被構(gòu)造成執(zhí)行存儲在存儲器24中的或處理器以其它方式可訪問的指令。如此��,無論由硬件還是由硬件和軟件的組合構(gòu)造�,處理器22可以表示實體�,例如�,物理上用能夠在被相應(yīng)地構(gòu)造時根據(jù)本公開內(nèi)容的實施方式執(zhí)行操作的電路加以具體化。因此��,例如�,當(dāng)處理器22被具體化為ASIC、FPGA等時����,處理器可以是用于執(zhí)行本文中所描述的操作的具體地構(gòu)造的硬件。另選地���,作為另一示例�����,當(dāng)處理器22被具體化為軟件指令的執(zhí)行方時���,指令可以將處理器具體地構(gòu)造成執(zhí)行本文中所描述的操作����。
[0027]現(xiàn)參照圖3,更詳細(xì)地示出了依照示例實施方式的系統(tǒng)��。網(wǎng)關(guān)14(諸如該網(wǎng)關(guān)的處理器22)可以定義其地址。在所例示的實施方式中��,網(wǎng)關(guān)14可以定義多個不同的地址���,其中的一個是有效地址并且其中的剩余部分的是無效地址�����。網(wǎng)關(guān)14可以定義各種類型的地址����,但是在一個實施方式中�����,定義IP地址����。盡管可以以各種方式實現(xiàn)地址的生成,但是網(wǎng)關(guān)14以及更特別地該網(wǎng)關(guān)的一個實施方式的處理器22可以包括多個虛擬機(jī)(VM)��,其中的每一個都被構(gòu)造成為網(wǎng)關(guān)生成相應(yīng)的地址����,其中地址中的一個是有效的并且地址中的剩余部分者是無效的���。雖然在圖3中例示了具有八個虛擬機(jī)(標(biāo)明為VM1、VM2�、…VM8)的網(wǎng)關(guān)14,但是這種實施方式的網(wǎng)關(guān)可以具有任何數(shù)目的虛擬機(jī)�,并且因此,可以生成任何數(shù)目的地址����,其中的僅一個是有效的。
[0028]如同樣在圖3中所示����,多個映射裝置16還可以為網(wǎng)關(guān)14生成多個侯選地址。盡管在圖3的實施方式中例示了四個映射裝置16(標(biāo)明為映射器1���、映射器2�����、映射器3以及映射器4)�����,但是系統(tǒng)可以包括任何數(shù)目的映射裝置�����。每個映射裝置16可以進(jìn)而包括用于為網(wǎng)關(guān)14生成至少一個侯選地址的處理器��。在所例示的實施方式中��,每個映射裝置16為網(wǎng)關(guān)14生成四個侯選地址����。然而�,每個映射裝置16可以為網(wǎng)關(guān)14生成任何數(shù)目的候選地址,并且實際上��,映射裝置中的一些可以為網(wǎng)關(guān)生成與其它映射裝置不同數(shù)目的候選地址�。所例示的實施方式的映射裝置16生成例如可以由被時段分開的四個字段構(gòu)成的IP地址。在所例示的實施方式中��,每個映射裝置16生成多個侯選地址��,其中��,前兩個字段是相同���,使得每個映射裝置按照由侯選地址的所述前兩個字段所定義的網(wǎng)絡(luò)被引用���。通過示例的方式���,所例示的實施方式的映射器I生成每個都以12.1開始的四個侯選地址,使得映射器I按照
12.1網(wǎng)絡(luò)被引用���。作為另一示例����,映射器2生成每個都以130.76開始的四個侯選地址�,使得映射器2同樣按照130.76網(wǎng)絡(luò)被引用。
[0029]多個映射裝置16能夠被構(gòu)造成以各種方式生成侯選地址����。然而,在一個實施方式中�,多個映射裝置16每個都包括處理器,該處理器進(jìn)而包括一個或多個虛擬機(jī)�,其中的每一個都被構(gòu)造成生成相應(yīng)的侯選地址。在所例示的實施方式中�,例如,每個映射裝置16包括四個虛擬機(jī)(標(biāo)明為VMl��、VM2、VM3以及VM4)�����,其中的每一個都被構(gòu)造成為網(wǎng)關(guān)14生成相應(yīng)的侯選地址����。
[0030]如同網(wǎng)關(guān)14�����,多個映射裝置16為網(wǎng)關(guān)生成多個侯選地址�,其中的一個是有效的并且其中的剩余部分是無效的。在這點(diǎn)上����,由網(wǎng)關(guān)14所生成的有效地址和由映射裝置16中的相應(yīng)一個所生成的有效地址是相同的,諸如由網(wǎng)關(guān)的VM3和映射器2的VM3所生成的130.76.70.43�����。附加地�����,網(wǎng)關(guān)14 (諸如該網(wǎng)關(guān)的處理器22)和多個映射裝置16被構(gòu)造成被同步以便在每一時間為網(wǎng)關(guān)生成相同的有效地址,同時還生成多個無效地址�����。實際上�,網(wǎng)關(guān)14和多個映射裝置16可以被構(gòu)造成依照預(yù)定算法來生成有效地址和多個無效地址,從而確保網(wǎng)關(guān)和多個映射裝置同時為網(wǎng)關(guān)生成相同的有效地址����。
[0031]現(xiàn)參照圖4,例示了客戶端裝置10為了確定網(wǎng)關(guān)14的地址以及進(jìn)而經(jīng)由該網(wǎng)關(guān)與網(wǎng)絡(luò)12進(jìn)行通信的操作��。最初�����,客戶端裝置10 (諸如由客戶端裝置所具體化的處理器22)要么直接地要么通過處理器經(jīng)由通信接口 26的指導(dǎo)���,可以查詢多個映射裝置16以請求網(wǎng)關(guān)14的地址��。見框30��??蛻舳搜b置10 (諸如處理器22)要么直接地要么從通信接口 26可以從映射裝置16中的一個接收網(wǎng)關(guān)14的地址�。見框32���。在一個實施方式中����,客戶端裝置10可以從映射裝置16中的每一個接收響應(yīng)����,其中該響應(yīng)指示相應(yīng)的映射器是否具有用于網(wǎng)關(guān)14的有效地址。因為映射裝置16中的僅一個將具有用于網(wǎng)關(guān)14的有效地址����,所以映射裝置中的一個將指示它具有有效地址,然而其它映射裝置將指示它們不具有用于網(wǎng)關(guān)的有效地址���。除指示地址的有效性之外��,具有有效的地址的映射裝置16可以將該有效地址提供給客戶端裝置10����。
[0032]為了提供對于在客戶端裝置10與多個映射裝置16之間交換的消息的安全性��,消息可以是安全的。在一個示例中,在客戶端裝置10與多個映射裝置16之間交換的消息可以包括在第二協(xié)議(諸如IPv4)的分組內(nèi)隧道化的第一協(xié)議(諸如IPv6)的凈負(fù)荷��。為了許可客戶端裝置10的驗證�����,由客戶端裝置提供給多個映射裝置16的消息的凈負(fù)荷可以包括客戶端裝置的地址��,諸如客戶端裝置的MAC地址��。在接收到時,多個映射裝置16可以訪問凈負(fù)荷�,并且然后可以基于客戶端裝置10的地址(諸如MAC地址)諸如通過將來自凈負(fù)荷的地址與被許可訪問多個映射裝置的客戶端裝置的預(yù)定義地址相比較來驗證消息����。作為響應(yīng)�,多個映射裝置16可以將再次包括凈負(fù)荷的消息發(fā)送到客戶端裝置10,所述凈負(fù)荷包括關(guān)于由相應(yīng)的映射裝置所生成的侯選地址是有效的還是無效的指示,并且如果有效����,則進(jìn)一步包括侯選地址它本身�����。由映射裝置16所提供的消息的凈負(fù)荷還可以包括例如映射裝置的地址(諸如MAC地址)以許可通過客戶端裝置10的驗證。在一個實施方式中���,可以依照在第二協(xié)議(諸如IPv4)內(nèi)隧道化的第一協(xié)議(諸如IPv6)來構(gòu)造消息的凈負(fù)荷。如此��,客戶端裝置10能夠訪問該凈負(fù)荷,以便確定相應(yīng)的映射裝置16是否具有用于網(wǎng)關(guān)14的有效地址或無效地址�,并且,在有效地址情況下�����,還可以接收該地址它本身��?��?蛻舳搜b置10還可以基于包括在凈負(fù)荷內(nèi)的相應(yīng)的映射裝置的地址(諸如MAC地址)與客戶端裝置想要與其進(jìn)行通信的映射裝置的預(yù)定義地址相比來驗證映射裝置��。
[0033]如在圖4的框34中所示��,客戶端裝置10 (諸如該客戶端裝置的處理器22)要么直接地要么通過通信接口 26的指導(dǎo)通過處理器,可以利用從相應(yīng)的映射裝置16接收到的并且指定為有效的地址來使與網(wǎng)關(guān)14的通信建立��。因為相應(yīng)的映射裝置16已給客戶端裝置10提供了網(wǎng)關(guān)14的有效地址�����,所以網(wǎng)關(guān)可以從客戶端裝置接收通信并且視情況而定將通信轉(zhuǎn)發(fā)到網(wǎng)絡(luò)12�����,以及可以類似地將來自網(wǎng)絡(luò)的任何響應(yīng)或應(yīng)答提供給客戶端裝置��。如上所述�����,利用客戶端裝置10與多個映射裝置16之間的通信���,在客戶端裝置與網(wǎng)關(guān)14之間的通信諸如通過在第二協(xié)議(諸如IPv4)的分組內(nèi)隧道化第一協(xié)議(諸如IPv6)的凈負(fù)荷而可以是安全的��。為了許可驗證���,凈負(fù)荷可以包括消息的源(諸如客戶端裝置10或網(wǎng)關(guān)14)的地址�����,諸如MAC地址�����。消息的接收者(諸如客戶端裝置10或網(wǎng)關(guān)14中的另一個)可以訪問凈負(fù)荷�����,并且可以基于包括在凈負(fù)荷內(nèi)的地址與通信在其內(nèi)將被支持的預(yù)定義地址的比較來驗證消息�。
[0034]為了提高與網(wǎng)關(guān)14相關(guān)聯(lián)的網(wǎng)絡(luò)12的安全性��,可以重復(fù)地循環(huán)或者改變網(wǎng)關(guān)的地址�。在這點(diǎn)上,可以在周期性基礎(chǔ)上或者以其它方式使網(wǎng)關(guān)的地址循環(huán)���。在一個實施方式中�,網(wǎng)關(guān)14 (諸如由該網(wǎng)關(guān)所具體化的處理器22)被構(gòu)造成基于預(yù)定算法來使地址循環(huán)��,所述預(yù)定算法在每一時刻為網(wǎng)關(guān)定義有效地址����。如上所述����,網(wǎng)關(guān)14(諸如由該網(wǎng)關(guān)所具體化的處理器22)以及在一個實施方式��,由處理器所實例化的多個虛擬機(jī)可以被構(gòu)造成在網(wǎng)關(guān)的地址的循環(huán)時生成多個侯選地址�����,其中的一個是有效的并且其中的剩余部分是無效的����。為了許可通過客戶端設(shè)備10經(jīng)由網(wǎng)關(guān)14與網(wǎng)絡(luò)12的持續(xù)通信,還可以向客戶端裝置通知網(wǎng)關(guān)的地址的改變����。
[0035]在一個實施方式中,網(wǎng)關(guān)14 (諸如由網(wǎng)關(guān)所具體化的處理器22)要么直接地要么通過通信接口 26的指導(dǎo)通過處理器���,可以使消息被提供給多個映射裝置16從而指示網(wǎng)關(guān)的地址已改變����。在一個實施方式中�����,網(wǎng)關(guān)14的新的地址可以經(jīng)由被從網(wǎng)關(guān)導(dǎo)向多個映射裝置16的消息來提供。然而�,在另一實施方式中�,網(wǎng)關(guān)14可以簡單地通知多個映射裝置16該網(wǎng)關(guān)的地址已改變��,并且多個映射裝置(諸如由相應(yīng)的映射裝置所具體化的多個虛擬機(jī))可以被構(gòu)造成為網(wǎng)關(guān)生成多個侯選地址����,其中的一個是用于網(wǎng)關(guān)的新的有效地址并且其中的剩余部分是無效的。在該實施方式中����,多個映射裝置16可以依照通過網(wǎng)關(guān)14所實現(xiàn)的相同的預(yù)定算法進(jìn)行操作���,使得有效地址通過網(wǎng)關(guān)和映射裝置中的相應(yīng)一個的生成隨著網(wǎng)關(guān)的地址循環(huán)而仍然保持同步的。更進(jìn)一步地�,網(wǎng)關(guān)14和映射裝置16兩者都可以被構(gòu)造成依照預(yù)定時間安排和預(yù)定算法來使網(wǎng)關(guān)的地址循環(huán)。如圖1中所示����,該實施方式的網(wǎng)關(guān)14不需要與映射裝置16建立通信鏈路,并且替代地��,網(wǎng)關(guān)和映射裝置可以獨(dú)立地操作�����,同時依照預(yù)定時間安排和預(yù)定算法兩者�����,針對網(wǎng)關(guān)的地址的循環(huán)而保持同步��。
[0036]多個映射裝置16可以進(jìn)而與客戶端裝置10進(jìn)行通信以便通知該客戶端裝置網(wǎng)關(guān)14的地址已改變�����。在一個實施方式中,多個映射裝置16可以將有效地址提供給客戶端裝置
10�。在另一實施方式中,客戶端裝置10可以向多個映射裝置16查詢網(wǎng)關(guān)14的新的地址��,并且可以從映射裝置中的每一個接收響應(yīng)�,所述映射裝置中的一個為網(wǎng)關(guān)提供新的有效地址,并且其中的其它映射裝置通知客戶端裝置它們的侯選地址是無效的�。在任一實施方式中,由客戶端裝置10所具體化的裝置20 (諸如處理器22�、通信接口 26等)可以被構(gòu)造成接收網(wǎng)關(guān)14的地址已改變?yōu)椴煌牡刂返闹甘?��。見?6���。其后,客戶端裝置10可以利用用于網(wǎng)關(guān)的新的有效地址與網(wǎng)關(guān)14進(jìn)行通信�,并且進(jìn)而與網(wǎng)絡(luò)12進(jìn)行通信。在這點(diǎn)上�����,由客戶端裝置10所具體化的裝置20(諸如處理器22�、通信接口 26等)可以利用不同的地址來使與網(wǎng)關(guān)14的通信建立。見框38。
[0037]如上所述���,諸如通過在第二協(xié)議(諸如IPv4)的分組內(nèi)隧道化第一協(xié)議(諸如IPv6)的凈負(fù)荷�,在網(wǎng)關(guān)14與多個映射裝置16之間和在多個映射裝置與客戶端裝置10之間交換的消息可以是安全的�。進(jìn)一步地,消息的源的地址(諸如MAC地址)可以被包括在凈負(fù)荷內(nèi)以許可消息的接收方來對源進(jìn)行驗證�。
[0038]如下的過程可以被重復(fù)任何次數(shù):使網(wǎng)關(guān)14的地址循環(huán),同時多個映射裝置16和網(wǎng)關(guān)相對于網(wǎng)關(guān)的當(dāng)前有效地址保持同步�,并且客戶端裝置10被通知網(wǎng)關(guān)的當(dāng)前有效地址。如此�����,應(yīng)該不能夠訪問網(wǎng)絡(luò)12的黑客或其它個體或裝置將在確定網(wǎng)關(guān)14的地址時有困難�,并且即便在地址將被如此確定的情況下,地址將改變以便有效地限制針對網(wǎng)絡(luò)的能夠被不法地贏得的任何訪問����。
[0039]參照圖5,例示了通過由網(wǎng)關(guān)14具體化的裝置20所執(zhí)行的操作��。在這點(diǎn)上�,由網(wǎng)關(guān)14所具體化的裝置20 (諸如處理器22)最初定義網(wǎng)關(guān)的地址,諸如IP地址����。見圖5的框40��。例如���,網(wǎng)關(guān)14可以像上面結(jié)合圖3所描述的那樣定義多個侯選地址,其中侯選地址中的一個是有效的并且侯選地址中的剩余部分是無效的�����。一旦客戶端裝置10已以上面結(jié)合圖4所描述的方式確定了網(wǎng)關(guān)14的當(dāng)前地址����,該網(wǎng)關(guān)就可以利用當(dāng)前已由網(wǎng)關(guān)所定義的地址從客戶端裝置接收消息。在這點(diǎn)上��,由客戶端裝置14所具體化的裝置20 (諸如處理器22��、通信接口 26等)可以被構(gòu)造成利用已定義的地址從客戶端裝置10接收消息��。見框42��。由網(wǎng)關(guān)14所具體化的裝置20 (諸如處理器22�、通信接口 26等)然后可以利用已針對諸如客戶端裝置和網(wǎng)絡(luò)12可以通信的網(wǎng)關(guān)所定義的地址來與客戶端裝置10建立通信���。見框44�。
[0040]為了為網(wǎng)絡(luò)12提供增強(qiáng)的安全性,網(wǎng)關(guān)14的地址可以隨著時間的推移而重復(fù)地循環(huán)或者改變����。如在圖5的操作46中所示,由網(wǎng)關(guān)14所具體化的裝置20 (諸如處理器22)可以通過改變?yōu)椴煌牡刂肥沟刂费h(huán)�。由網(wǎng)關(guān)14所具體化的裝置20 (諸如處理器22、通信接口 26等)然后可以使客戶端裝置10被通知網(wǎng)關(guān)的地址已改變?yōu)椴煌牡刂?��。見?8����。在這點(diǎn)上��,至于網(wǎng)關(guān)的地址的改變�����,網(wǎng)關(guān)14可以通知多個映射裝置16���,使得客戶端裝置10可以進(jìn)而以上面所描述的方式被通知網(wǎng)關(guān)的地址的改變�。其后����,由網(wǎng)關(guān)14所具體化的裝置20(諸如處理器22��、通信接口 26等)然后可以利用該不同的地址(即��,用于網(wǎng)關(guān)的新的有效地址)與客戶端裝置10進(jìn)行通信�����,使得即使網(wǎng)關(guān)的地址已改變�����,在客戶端裝置與網(wǎng)絡(luò)12之間的通信也可以繼續(xù)��。地址可以重復(fù)地改變并且可以向客戶端裝置10重復(fù)地通知用于網(wǎng)關(guān)14的有效地址的改變��。然而,重復(fù)地改變網(wǎng)關(guān)14的地址將提高由不應(yīng)訪問網(wǎng)絡(luò)12企圖非法地與該網(wǎng)絡(luò)進(jìn)行通信的黑客或其它個體或裝置所體驗的困難���。
[0041]為了進(jìn)一步使網(wǎng)絡(luò)12安全�,網(wǎng)絡(luò)可以被構(gòu)造成依照諸如Windows、Linux等的多個不同的操作系統(tǒng)中的每一個進(jìn)行操作�。如此,網(wǎng)關(guān)14的地址中的每一個都可以與相應(yīng)的操作系統(tǒng)相關(guān)聯(lián)���。雖然網(wǎng)關(guān)14的許多地址可以與相同的操作系統(tǒng)相關(guān)聯(lián)�����,但是這種實施方式的網(wǎng)關(guān)的地址中的一個或更多個可以與不同的操作系統(tǒng)相關(guān)聯(lián)�。因此,在網(wǎng)關(guān)14的有效地址從與第一操作系統(tǒng)相關(guān)聯(lián)的地址改變?yōu)榕c第二不同的操作系統(tǒng)相關(guān)聯(lián)的地址的實例中���,網(wǎng)絡(luò)12可以被構(gòu)造成與用于網(wǎng)關(guān)的有效地址的改變同步地將它操作的操作系統(tǒng)從第一操作系統(tǒng)改變?yōu)榈诙煌牟僮飨到y(tǒng)��。雖然操作系統(tǒng)的這種改變對于客戶端裝置10來說可能是透明的����,但是��,通過網(wǎng)絡(luò)依照其而操作的操作系統(tǒng)的改變���,正試圖以不允許的方式訪問網(wǎng)絡(luò)12的黑客或其它個體或裝置不僅具有試圖隨著地址改變而重復(fù)地確定網(wǎng)關(guān)12的地址的挑戰(zhàn)����,而且還將發(fā)現(xiàn)它訪問和利用網(wǎng)絡(luò)的努力白費(fèi)了��。
[0042]因此�,本公開內(nèi)容的示例實施方式的系統(tǒng)和方法提供通過客戶端裝置10經(jīng)由網(wǎng)關(guān)14可訪問的網(wǎng)絡(luò)12的提高的安全性����。在這點(diǎn)上����,示例實施方式的系統(tǒng)和方法通過重復(fù)地改變網(wǎng)關(guān)14的地址來為網(wǎng)絡(luò)12提供提高的安全性。另外地��,提高的安全性可以在一個實施方式中通過還改變網(wǎng)絡(luò)12經(jīng)由其操作的操作系統(tǒng)(諸如與網(wǎng)關(guān)14的地址的改變同步地)來提供�����。
[0043]受益于在前面的描述和所關(guān)聯(lián)的圖中呈現(xiàn)的教導(dǎo)���,這些實施例所示的領(lǐng)域的技術(shù)人員將想到本文中所闡述的本公開內(nèi)容的許多修改和其它實施方式�。因此���,應(yīng)當(dāng)理解的是����,本公開內(nèi)容不限于所公開的特定實施方式�,并且修改和其它實施方式旨在被包括在隨附權(quán)利要求的范圍內(nèi)�。盡管在本文中采用了特定術(shù)語��,但是它們僅在一般和描述性意義上使用�����,并且不是為了限制的目的����。
【權(quán)利要求】
1.一種包括處理器的客戶端裝置�����,所述處理器被構(gòu)造為執(zhí)行以下步驟: 查詢多個映射裝置以請求網(wǎng)關(guān)的地址�����; 從所述多個映射裝置中的一個映射裝置接收所述網(wǎng)關(guān)的所述地址����; 利用從所述多個映射裝置中的相應(yīng)一個映射裝置接收到的所述地址建立與所述網(wǎng)關(guān)的通信; 接收所述網(wǎng)關(guān)的所述地址已改變?yōu)椴煌牡刂返闹甘?�;以? 之后利用所述不同的地址建立與所述網(wǎng)關(guān)的通信�。
2.根據(jù)權(quán)利要求1所述的客戶端裝置,其中�����,所述處理器被進(jìn)一步構(gòu)造為:響應(yīng)于指示一個或更多個其它映射裝置不具有用于所述網(wǎng)關(guān)的有效地址的查詢,從所述一個或更多個其它映射裝置接收響應(yīng)����。
3.根據(jù)權(quán)利要求1所述的客戶端裝置,其中�����,所述處理器被進(jìn)一步構(gòu)造為重復(fù)地執(zhí)行以下步驟:接收所述網(wǎng)關(guān)的所述地址已改變?yōu)椴煌牡刂返闹甘?��,并且之后利用所述不同的地址建立與所述網(wǎng)關(guān)的通信���。
4.根據(jù)權(quán)利要求1所述的客戶端裝置,其中�,所述處理器被進(jìn)一步構(gòu)造為:通過在第二協(xié)議的分組內(nèi)隧道化第一協(xié)議的凈負(fù)荷來與所述網(wǎng)關(guān)進(jìn)行通信。
5.根據(jù)權(quán)利要求4所述的客戶端裝置�,其中,所述凈負(fù)荷包括所述客戶端裝置的媒體訪問控制(MAC)地址����。
6.根據(jù)權(quán)利要求4所述的客戶端裝置,其中,所述第一協(xié)議是網(wǎng)際協(xié)議版本6(IPV6)并且所述第二協(xié)議是網(wǎng)際協(xié)議版本4 (IPV4)���。
7.一種方法,該方法包括以下步驟: 查詢多個映射裝置以請求網(wǎng)關(guān)的地址���; 從所述多個映射裝置中的一個映射裝置接收所述網(wǎng)關(guān)的所述地址�����; 利用從所述多個映射裝置中的相應(yīng)一個映射裝置接收到的所述地址���,利用處理器建立與所述網(wǎng)關(guān)的通信; 接收所述網(wǎng)關(guān)的所述地址已改變?yōu)椴煌牡刂返闹甘?���;以? 之后利用所述不同的地址與所述網(wǎng)關(guān)進(jìn)行通信。
8.根據(jù)權(quán)利要求7所述的方法�,所述方法進(jìn)一步包括:響應(yīng)于指示一個或更多個其它映射裝置不具有用于所述網(wǎng)關(guān)的有效地址的查詢,從所述一個或更多個其它映射裝置接收響應(yīng)����。
9.根據(jù)權(quán)利要求7所述的方法,所述方法進(jìn)一步包括重復(fù)地執(zhí)行以下步驟:接收所述網(wǎng)關(guān)的所述地址已改變?yōu)椴煌牡刂返闹甘?���,并且之后利用所述不同的地址建立與所述網(wǎng)關(guān)的通信����。
10.根據(jù)權(quán)利要求7所述的方法�,所述方法進(jìn)一步包括:通過在第二協(xié)議的分組內(nèi)隧道化第一協(xié)議的凈負(fù)荷來與所述網(wǎng)關(guān)進(jìn)行通信。
11.根據(jù)權(quán)利要求10所述的方法�,其中,所述凈負(fù)荷包括客戶端裝置的媒體訪問控制(MAC)地址�����。
12.根據(jù)權(quán)利要求10所述的方法��,其中�,所述第一協(xié)議是網(wǎng)際協(xié)議版本6(IPV6)并且所述第二協(xié)議是網(wǎng)際協(xié)議版本4(IPV4)。
13.—種包括處理器的網(wǎng)關(guān)�����,所述處理器被構(gòu)造為執(zhí)行以下步驟: 定義所述網(wǎng)關(guān)的地址�����; 利用由所述網(wǎng)關(guān)所定義的所述地址從客戶端裝置接收消息��; 利用由所述網(wǎng)關(guān)所定義的所述地址與所述客戶端裝置建立通信;以及 通過以下步驟使所述網(wǎng)關(guān)的所述地址循環(huán): 改變?yōu)椴煌牡刂罚? 使所述客戶端裝置被通知所述網(wǎng)關(guān)的所述地址已改變?yōu)樗霾煌牡刂?����;以? 之后利用所述不同的地址與所述客戶端裝置進(jìn)行通信�。
14.根據(jù)權(quán)利要求13所述的網(wǎng)關(guān),其中�����,所述處理器被進(jìn)一步構(gòu)造為重復(fù)地循環(huán)所述網(wǎng)關(guān)的所述地址����。
15.根據(jù)權(quán)利要求13所述的網(wǎng)關(guān)�����,其中��,所述處理器被構(gòu)造為:通過使多個映射裝置被通知所述網(wǎng)關(guān)的所述地址已改變?yōu)樗霾煌牡刂范顾隹蛻舳搜b置被通知�。
【文檔編號】H04L29/12GK104247365SQ201380009753
【公開日】2014年12月24日 申請日期:2013年1月8日 優(yōu)先權(quán)日:2012年2月17日
【發(fā)明者】W·W·希格登, J·D·考迪爾 申請人:波音公司