專利名稱:使用多個(gè)警示器以穿過網(wǎng)關(guān)設(shè)備的設(shè)備和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及組網(wǎng)和通信技術(shù)。特別的是�����,本發(fā)明涉及使用能夠被防火墻或者其它網(wǎng)關(guān)設(shè)備讀取的消息中的編碼或者數(shù)字“警示器(baton)”來鑒別該消息的技術(shù)。
背景技術(shù):
防火墻是這樣的網(wǎng)絡(luò)技術(shù)���,其負(fù)責(zé)監(jiān)管和實(shí)施關(guān)于傳送到被防火墻保護(hù)或防火墻“內(nèi)部”的實(shí)體的數(shù)據(jù)以及從該實(shí)體傳送的數(shù)據(jù)的被稱為“策略”的規(guī)則����。舉例來說���,局域網(wǎng)(LAN)可以被防火墻保護(hù)���,以過濾傳送到LAN域之外的客戶端的數(shù)據(jù)或者來自該客戶端的數(shù)據(jù)��。進(jìn)入LAN域的數(shù)據(jù)通常表示為從“外部”�,通常是因特網(wǎng),穿過防火墻到達(dá)LAN實(shí)體存在的“內(nèi)部”�。
目前防火墻技術(shù)有公認(rèn)的問題。合法的數(shù)據(jù)經(jīng)常不能穿過防火墻�,這歸因于由防火墻實(shí)施的一個(gè)或多個(gè)特定策略。舉例來說�,當(dāng)兩個(gè)網(wǎng)絡(luò)設(shè)備處于通信對話中時(shí)產(chǎn)生了問題。場景之一�����,設(shè)備A正與設(shè)備B交換消息形式的數(shù)據(jù)。設(shè)備A處于防火墻內(nèi)部���,而設(shè)備B處于防火墻外部�。防火墻將設(shè)備A識別為發(fā)送合法消息的設(shè)備�,并且在它的策略下允許設(shè)備A向設(shè)備B發(fā)送消息。但是����,防火墻并不認(rèn)為設(shè)備B有權(quán)從外部通過防火墻向設(shè)備A發(fā)送消息。
在限制性防火墻中�,防火墻可能只允許設(shè)備A向外對設(shè)備B發(fā)送消息,而只有設(shè)備A首先向設(shè)備B發(fā)送消息���,和/或只有設(shè)備B已經(jīng)在防火墻的策略中被預(yù)先配置從而具有與設(shè)備A或者防火墻內(nèi)的其它實(shí)體進(jìn)行通信的權(quán)限時(shí)���,才允許來自設(shè)備B的消息。設(shè)備B不能發(fā)起與設(shè)備A的通過防火墻的通信���,這是因?yàn)樵摲阑饓Σ⑽磁渲脼槠谕蛘咴试S從設(shè)備B到設(shè)備A的消息傳遞�����。
當(dāng)設(shè)備B沒有設(shè)備A所請求的信息��,并且設(shè)備B必須要使用其它的設(shè)備以獲取設(shè)備A所需要的信息時(shí)就會產(chǎn)生另一個(gè)問題�����。當(dāng)前的解決方案是非常繁瑣的��,并且需要后續(xù)的設(shè)備來回跟蹤(retrace)它們與設(shè)備B的通信路徑���,以便向設(shè)備B提供應(yīng)答��,設(shè)備B然后將應(yīng)答發(fā)送到設(shè)備A����。通常�����,這些后續(xù)設(shè)備并不信任設(shè)備B來向設(shè)備A傳送應(yīng)答��。舉例來說��,如果設(shè)備A向設(shè)備B請求敏感的公司人事信息�,設(shè)備B可能必須聯(lián)絡(luò)人事服務(wù)器P來檢索該信息�����。但是,設(shè)備B可能不被授權(quán)來接收來自服務(wù)器P的人事信息����。在這種情況下,人事服務(wù)器P可能只能把信息直接發(fā)送給作為請求者的設(shè)備A��。假定設(shè)備A和設(shè)備B之間是初始會話��,防火墻的策略可能不允許不是初始通信方的第三設(shè)備向設(shè)備A發(fā)送信息���。對于防火墻來說��,從服務(wù)器P向設(shè)備A的嘗試通信可能是未經(jīng)請求的�����,并且可能不被防火墻所允許���。以上的這個(gè)場景一般稱作“委托”問題,該場景中一個(gè)設(shè)備試圖將請求委托給第三方設(shè)備�����。
在更多復(fù)雜的委托中,來自設(shè)備A的請求可以被路由通過幾個(gè)第三方�。該場景可以用圖表方式如下表示A->‖B->C->...->R如果設(shè)備R試圖直接向設(shè)備A發(fā)送應(yīng)答,那么限制性的防火墻可能阻止該應(yīng)答�����,這是因?yàn)樗鼪]有從設(shè)備A向設(shè)備R發(fā)送消息的記錄�。該問題在設(shè)備R是唯一可信的信息源,或者因?yàn)榘踩蛘弑C軉栴}而不允許中間設(shè)備獲職信息時(shí)的場景中顯得更具有重要意義��。
一個(gè)已知的解決方案是從設(shè)備R向設(shè)備B發(fā)送一個(gè)消息����,以便設(shè)備B可以向設(shè)備A發(fā)送消息,即設(shè)備R具有請求的消息���。設(shè)備A可以因此聯(lián)絡(luò)設(shè)備R����,請求設(shè)備R提供該信息���。但是,防火墻可能不被配置為接收來自設(shè)備R的信息���,并且在每次發(fā)現(xiàn)有新的第三方設(shè)備包含所請求的信息時(shí)都重新配置防火墻是相當(dāng)繁瑣的����。
另一個(gè)已知的解決方案包含使用互聯(lián)網(wǎng)協(xié)議安全(IPSec)來重新配置因特網(wǎng)協(xié)議(IP)地址。IPSec是一組由互聯(lián)網(wǎng)工程任務(wù)組(IETF)開發(fā)的協(xié)議�,以此來支持IP層上分組的安全交換。IPSec已經(jīng)被廣泛地開發(fā)�,用來實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)(VPNs)。IPSec支持兩種加密模式傳輸和隧道��。傳輸模式只對每一個(gè)分組的數(shù)據(jù)部分(有效負(fù)荷)進(jìn)行加密���,但是對首標(biāo)不做變動(dòng)����。更為安全的隧道模式既對首標(biāo)也對有效負(fù)荷進(jìn)行加密��。在接收側(cè)�,IPSec兼容的設(shè)備對每個(gè)分組進(jìn)行解密。
為了IPSec工作����,發(fā)送和接收的設(shè)備必須共享一個(gè)公共密鑰。這是通過一個(gè)被稱為互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議/Oakley(ISAKMP/Oakley)的協(xié)議來完成的,其允許接收方獲取公共密鑰����,并且使用數(shù)字證書來時(shí)發(fā)送方進(jìn)行驗(yàn)證。
該IPSec解決方案遭遇了類似于與使用限制性防火墻有關(guān)的問題��。IPSec解決方案需要進(jìn)行廣泛性的配置以促進(jìn)在所有參與通信的設(shè)備之間的通信�����,只是IPSec需要對除了防火墻本身之外的每一個(gè)設(shè)備進(jìn)行配置�。
另一個(gè)已知的解決方案是使用主機(jī)識別協(xié)議(HIP)。HIP在兩個(gè)主機(jī)之間提供了設(shè)備或者主機(jī)標(biāo)識的快速交換�。這種交換也建立了一對IPSec安全聯(lián)盟(SA),以與IPSec一起使用���。HIP協(xié)議被設(shè)計(jì)為抵抗拒絕服務(wù)(DoS)和中間人(MitM)攻擊����,并為上層協(xié)議��,例如TCP和UDP�����,提供DoS和MitM保護(hù)����。但是,正如純正的IPSec協(xié)議一樣��,HIP同樣在其能夠被使用之前需要對通信所涉及的每個(gè)設(shè)備進(jìn)行廣泛的配置�����。
另一個(gè)已知的解決方案使用密碼生成地址(cryptographically generatedaddressCGAs)���。CGAs是IP地址���,其中接口標(biāo)識符是通過計(jì)算密碼單向散列函數(shù)而由一個(gè)公共密鑰和附屬參數(shù)生成的。公共密鑰和地址之間的捆綁可以通過重新計(jì)算散列值和通過對散列和接口標(biāo)識符進(jìn)行比較得到驗(yàn)證��。從一個(gè)IP地址發(fā)出的消息可以通過附加公共密鑰和附屬參數(shù)并且通過使用相應(yīng)的私鑰對消息進(jìn)行簽名而被保護(hù)���。CGA無需證書機(jī)構(gòu)或者其它安全設(shè)施即可運(yùn)行��。
但是���,正如使用IPSec和HIP協(xié)議的情況一樣�����,CGA協(xié)議同樣也需要在其能夠被使用之前對通信所涉及的每一個(gè)設(shè)備進(jìn)行廣泛的配置��。由于該需要�����,這些解決方案或者類似于他們的解決方案中沒有一種能夠解決一個(gè)問題����,即允許之前并不為防火墻內(nèi)部的設(shè)備A所知的第三方設(shè)備R直接向設(shè)備A提供最初從設(shè)備B請求的信息����。
發(fā)明內(nèi)容
簡而言之,以及概括地����,本發(fā)明的優(yōu)選和典型實(shí)施例通過在處于防火墻內(nèi)部的設(shè)備A向設(shè)備B請求信息時(shí)從防火墻或者網(wǎng)關(guān)(以下稱為防火墻)向處于防火墻外部的設(shè)備B提供一個(gè)數(shù)字“警示器”而解決了上述以及其它問題。設(shè)備B可以把該數(shù)字警示器傳遞給請求的后續(xù)接收方����,使得它們可以在那些后續(xù)接收方需要通過防火墻向設(shè)備A發(fā)送消息或信息時(shí)使用它。
該數(shù)字警示器是數(shù)字指示器�����,它為向外穿出防火墻的消息上給予一個(gè)值得信任的標(biāo)識。防火墻創(chuàng)建數(shù)字警示器作為一個(gè)指示器或者是一個(gè)持續(xù)進(jìn)行的會話��,使得在由防火墻為設(shè)備A接收的分組或者消息中檢測到有效數(shù)字警示器時(shí)���,防火墻允許該分組穿過防火墻,即使防火墻沒有識別出用于識別設(shè)備B(請求的直接接收方)或者設(shè)備R(請求的第三方接收方)的分組的源IP地址����。
根據(jù)優(yōu)選和典型實(shí)施例的另一方面,代替防火墻創(chuàng)建該數(shù)字警示器�,而在應(yīng)用層就可以創(chuàng)建該數(shù)字警示器,例如���,可以通過瀏覽器程序創(chuàng)建����。從這個(gè)意義上說�,任何硬件和/或軟件系統(tǒng)都可以在防火墻保護(hù)的系統(tǒng)或網(wǎng)絡(luò)內(nèi)部被實(shí)現(xiàn),以為在防火墻外傳播的分組分配數(shù)字警示器�����。
在另一個(gè)優(yōu)選的和典型的實(shí)施例中,提供有一種方法���,用于當(dāng)處于防火墻內(nèi)部的設(shè)備A向處于防火墻外部的設(shè)備B請求信息時(shí)從防火墻向該設(shè)備B提供數(shù)字警示器���。一開始,設(shè)備A可以與防火墻或者網(wǎng)關(guān)(以下稱為防火墻G)建立信任�����,因此防火墻G授權(quán)設(shè)備A從防火墻G內(nèi)部和外部發(fā)送和接收消息���。而且����,設(shè)備A和設(shè)備B可以在彼此之間建立信任�����。設(shè)備A也可以在設(shè)備B和防火墻G之間授權(quán)信任�����。設(shè)備A�,或防火墻本身�����,可以請求一個(gè)數(shù)字警示器來促進(jìn)設(shè)備A和設(shè)備B之間的信任通信��。設(shè)備A于是可以使用該數(shù)字警示器把防火墻G顯示(reveal)給設(shè)備B���。設(shè)備A和設(shè)備B于是可以使用數(shù)字警示器通過防火墻G自由通信。
在另一個(gè)優(yōu)選和典型的實(shí)施例中��,提供有一種方法��,用于當(dāng)處于防火墻內(nèi)部的設(shè)備A向處于防火墻外部的設(shè)備B請求信息時(shí)�,從防火墻向防火墻外部的該設(shè)備B提供數(shù)字警示器�,但其中設(shè)備B發(fā)起信任請求。設(shè)備B可以首先聯(lián)絡(luò)設(shè)備A���。防火墻G截接發(fā)起該聯(lián)絡(luò)的數(shù)據(jù)消息��。防火墻G然后可以與設(shè)備A建立信任(即通過驗(yàn)證設(shè)備A被允許通過防火墻進(jìn)行通信)��。防火墻G然后可以通知設(shè)備A有一個(gè)來自設(shè)備B的嘗試連接���。設(shè)備A可以通過驗(yàn)證設(shè)備B是一個(gè)可信任的源而建立起與設(shè)備B之間的信任(這種驗(yàn)證可以包括檢驗(yàn)設(shè)備B是否遵守防火墻G的策略)�。設(shè)備A向提供數(shù)字警示器的防火墻G或者其它安全設(shè)備請求數(shù)字警示器���。設(shè)備A然后可以使用該數(shù)字警示器將防火墻G顯示給設(shè)備B(即設(shè)備A在對設(shè)備B的請求的響應(yīng)消息中把數(shù)字警示器通知給設(shè)備B)����。設(shè)備A和設(shè)備B因此就可以使用該數(shù)字警示器通過防火墻G自由地通信�。
在另一個(gè)優(yōu)選的典型的實(shí)施例中,為了允許處于防火墻內(nèi)部的設(shè)備A建立與防火墻之間的信任�����,設(shè)備A通過按照防火墻的策略使用防火墻預(yù)先鑒權(quán)設(shè)備A來建立與防火墻之間的信任���?���?蛇x的�����,設(shè)備A使用防火墻鑒權(quán)它自己�����,作為與設(shè)備B建立聯(lián)絡(luò)的一部分。防火墻或者其它安全設(shè)備因此可以建立數(shù)字警示器用于設(shè)備A和B之間的通信�。
在另一個(gè)優(yōu)選的典型的實(shí)施例中,一個(gè)系統(tǒng)提供了一個(gè)數(shù)字警示器���,當(dāng)處于防火墻內(nèi)部的設(shè)備A向處于防火墻外部的設(shè)備B請求信息時(shí)從防火墻向防火墻外部的該設(shè)備B提供該警示器�����,其中設(shè)備B將此數(shù)字警示器傳送給第三方設(shè)備R�,使得設(shè)備R可以使用該數(shù)字警示器直接向設(shè)備A發(fā)送消息���。設(shè)備A和B可以使用上述任一方法建立與防火墻的會話和信任。防火墻在來自設(shè)備A的消息中提供了在返回的消息中應(yīng)該包含的數(shù)字警示器��。該數(shù)字警示器驗(yàn)證了消息是會話的一部分并且合法�,可以傳輸?shù)皆O(shè)備A。這時(shí)�,設(shè)備A和B可以如上所述進(jìn)行自由通信。
但是�����,如果設(shè)備B請求第三方設(shè)備R向設(shè)備A提供信息,那么設(shè)備B向第三方設(shè)備R提供數(shù)字警示器���。這可能通過一系列其它的第三方設(shè)備而出現(xiàn)�����,其中設(shè)備B向設(shè)備C請求信息���,設(shè)備C又向設(shè)備D請求信息,如此反復(fù)�����,直到設(shè)備R是所請求的信息的最后提供者���。數(shù)字警示器被傳遞到每一個(gè)第三方設(shè)備���,使得提供信息的鏈條上的最后一個(gè)設(shè)備使用該警示器直接向設(shè)備A提供信息。
當(dāng)防火墻從該鏈條上的最后一個(gè)第三方設(shè)備R檢測到提供信息的消息時(shí)����,如果該消息是指向設(shè)備A,則防火墻查詢數(shù)字警示器�����,并且如果該數(shù)字警示器是合法的,那么防火墻將該消息傳遞給設(shè)備A���。
圖1是根據(jù)用于從用于消息過濾的防火墻或網(wǎng)關(guān)提供數(shù)字警示器的系統(tǒng)和方法的典型實(shí)施例的防火墻或網(wǎng)關(guān)系統(tǒng)的方塊圖���;圖2是示出了在用于從防火墻或數(shù)字警示器安全系統(tǒng)提供數(shù)字警示器的優(yōu)選和典型實(shí)施例的一個(gè)方面中實(shí)施的方法步驟的流程圖;圖3是示出了通過數(shù)字警示器安全系統(tǒng)實(shí)施以檢查到來的分組的方法的數(shù)據(jù)流程圖�����;圖4是示出了根據(jù)優(yōu)選實(shí)施例的另一方面而實(shí)施的另一種方法的數(shù)據(jù)流程圖�����,該實(shí)施例用于提供來自防火墻或者數(shù)字警示器安全系統(tǒng)的數(shù)字警示器��;和圖5是示出了根據(jù)優(yōu)選實(shí)施例的另一個(gè)方面而實(shí)施的另一種方法的數(shù)據(jù)流程圖���,該實(shí)施例用于提供來自防火墻或者數(shù)字警示器安全系統(tǒng)的數(shù)字警示器。
具體實(shí)施例方式
按照本發(fā)明所構(gòu)建的一個(gè)優(yōu)選和典型的實(shí)施例是一個(gè)用于當(dāng)處于防火墻內(nèi)的設(shè)備A向處于防火墻外的設(shè)備B請求信息時(shí)�,從防火墻或其它網(wǎng)關(guān)(以下稱為防火墻)或者其它網(wǎng)絡(luò)設(shè)備向該設(shè)備B提供數(shù)字“警示器”的系統(tǒng)和方法。該數(shù)字警示器可以傳遞給其它的電子設(shè)備�����,以用于提供能被防火墻或者網(wǎng)關(guān)設(shè)備驗(yàn)證的消息。設(shè)備B可以將該數(shù)字警示器傳遞給后續(xù)的電子設(shè)備��,后續(xù)的電子設(shè)備可以使用該數(shù)字警示器對請求作出響應(yīng)以將消息或信息發(fā)送通過防火墻到設(shè)備A����。
參照圖1,在一個(gè)優(yōu)選和典型的實(shí)施例中����,該系統(tǒng)包括了一個(gè)防火墻或者網(wǎng)關(guān)系統(tǒng)100(以下稱為防火墻),該防火墻系統(tǒng)負(fù)責(zé)保護(hù)一個(gè)或者多個(gè)電子設(shè)備���,例如服務(wù)器40a�����、40b�,計(jì)算機(jī)30a����、30b或者類似設(shè)備,以防止例如因特網(wǎng)10的網(wǎng)絡(luò)上的惡意攻擊���。這些一個(gè)或者多個(gè)受到保護(hù)的電子設(shè)備30a����、30b、40a�����、40b可以通過被防火墻100保護(hù)的局域網(wǎng)(LAN)20連接到該防火墻����。惡意攻擊可以來自連接到因特網(wǎng)10上的一個(gè)或者多個(gè)電子設(shè)備,其可以包括計(jì)算機(jī)14a����、14b,服務(wù)器70a��、70b或者是類似設(shè)備�����。但是連接到因特網(wǎng)10上的任何數(shù)量的電子設(shè)備14a�、14b���、70a��、70b可以具有合法原因從而與通過有線或者無線方式連接到受保護(hù)的LAN或者無線LAN20上的電子設(shè)備30a����、30b、40a����、40b進(jìn)行通信。
防火墻100包含����,或者連接(有線方式或者無線方式)到,數(shù)字警示器安全子系統(tǒng)120��,其中該子系統(tǒng)包括一個(gè)基于硬件的系統(tǒng)����,或者是一個(gè)在防火墻100的處理器上執(zhí)行的基于軟件的系統(tǒng)。舉例來說�,基于軟件的系統(tǒng)可以包括一組存儲在一個(gè)或者多個(gè)計(jì)算機(jī)可讀介質(zhì)上的軟件程序,該軟件程序可以在包括防火墻100的一個(gè)或者多個(gè)計(jì)算機(jī)上執(zhí)行�����,以便支持警示器安全子系統(tǒng)120的操作。每一個(gè)軟件程序可以包含一組可執(zhí)行代碼���,以執(zhí)行由該數(shù)字警示器安全子系統(tǒng)120實(shí)現(xiàn)的方法的至少一個(gè)步驟或者部分���,如上所述。
該數(shù)字警示器安全子系統(tǒng)120包括存儲空間122���,優(yōu)選地在防火墻100本身的直接存取��、隨機(jī)存取�����、存儲器中或獨(dú)立的存儲器芯片中�。存儲空間122存儲的數(shù)據(jù)庫包含了關(guān)于電子設(shè)備30a����、30b、40a�����、40b與連接到因特網(wǎng)的電子設(shè)備14a、14b�、70a、70b的開放網(wǎng)絡(luò)或者因特網(wǎng)10會話的記錄���。每一個(gè)記錄至少包括具有開放會話的電子設(shè)備30a、30b����、40a、40b的IP(版本4或者版本6)地址���,以及用于該開放會話的數(shù)字警示器�����。優(yōu)選的��,包含IP地址和數(shù)字警示器的這兩個(gè)字段可以被索引�����,以被數(shù)字警示器安全子系統(tǒng)120快速查看數(shù)據(jù)庫��。
根據(jù)一個(gè)實(shí)施例�,每一個(gè)數(shù)字警示器是數(shù)字指示器�,它為傳送出防火墻100的消息給予信任的標(biāo)識�����。該數(shù)字警示器安全子系統(tǒng)120創(chuàng)建數(shù)字警示器作為正在進(jìn)行的會話的指示器�,其中對于該會話的記錄被存儲在存儲空間122中�����,使得當(dāng)在由防火墻100接收的分組或者消息中檢測到用于一個(gè)電子設(shè)備(例如30a)的有效數(shù)字警示器時(shí)��,防火墻100允許該分組穿過防火墻100����,即使防火墻100沒有識別出用于識別連接到網(wǎng)絡(luò)或因特網(wǎng)10的電子設(shè)備(例如14a)的分組的源IP地址。
因此����,防火墻100以及在防火墻100內(nèi)部局域網(wǎng)20上的信任的設(shè)備30a創(chuàng)建了一個(gè)動(dòng)態(tài)的標(biāo)識,這就是數(shù)字警示器�����。
根據(jù)一個(gè)實(shí)施例���,并不是防火墻100創(chuàng)建數(shù)字警示器�����,而是在電子設(shè)備30a的應(yīng)用層創(chuàng)建數(shù)字警示器���,例如,通過瀏覽器程序創(chuàng)建��。從這個(gè)意義上說�,數(shù)字警示器安全子系統(tǒng)120可以采取在防火墻所保護(hù)的系統(tǒng)或者局域網(wǎng)20內(nèi)部的任何硬件和/或軟件系統(tǒng)的形式,以將數(shù)字警示器分配給傳送出防火墻100的分組�。
數(shù)字警示器也可以在每個(gè)消息/分組的基礎(chǔ)上創(chuàng)建,也可以在每個(gè)會話的基礎(chǔ)上創(chuàng)建��。然后�,網(wǎng)關(guān)將會跟蹤所有的未處理的(outstanding)警示器作為該會話的一部分。
參考圖2�����,一個(gè)數(shù)據(jù)流程圖示出了在本發(fā)明的一個(gè)方面實(shí)施的步驟�,其包括用于從防火墻100或者數(shù)字警示器安全子系統(tǒng)120向防火墻100外部的設(shè)備(例如14a)提供數(shù)字警示器的方法。在步驟200中�����,位于防火墻100內(nèi)部的設(shè)備(例如30a)可以向設(shè)備14a請求信息。在步驟202中��,在一些實(shí)施例中�,設(shè)備30a可能需要與防火墻100建立信任,以便防火墻100可以授權(quán)設(shè)備30a向防火墻100內(nèi)和外發(fā)送消息和從防火墻100內(nèi)和外接收消息���。更進(jìn)一步地���,設(shè)備30a和設(shè)備14a可以彼此建立信任,例如���,使用數(shù)字簽名算法(DSA)或者是Rivest-Shamir-Adleman(RSA)加密技術(shù)來識別設(shè)備���,步驟204。設(shè)備30a同樣授權(quán)以同樣的方式在設(shè)備14a和防火墻100之間建立信任����,步驟206所示。
下一步�,設(shè)備30a或者是數(shù)字警示器安全系統(tǒng)120本身,可以請求通過數(shù)字警示器安全子系統(tǒng)120來創(chuàng)建數(shù)字警示器�����,以進(jìn)一步促進(jìn)設(shè)備30a和14a之間的信任的通信,步驟208所示�。設(shè)備30a然后可以使用數(shù)字警示器將防火墻100顯示給設(shè)備14a,其中設(shè)備14a將該數(shù)字警示器識別為在通過防火墻100向設(shè)備30a傳輸數(shù)據(jù)時(shí)必須使用的數(shù)字警示器�����,步驟210���。設(shè)備30a和14a因此可以使用該數(shù)字警示器通過防火墻100自由的通信,步驟212�����。
參考圖3.���,一個(gè)流程圖示出了通過數(shù)字警示器安全子系統(tǒng)120實(shí)施以檢查到來的分組的方法���。從防火墻100外部接收到的每一個(gè)分組,步驟300��,被檢驗(yàn)是否存在具有匹配的數(shù)字警示器號碼的��、用于分組中所描述的目的IP地址的有效的開放會話,步驟302�����。步驟304中����,如果存在這樣的開放會話,那么該分組被轉(zhuǎn)發(fā)通過防火墻到局域網(wǎng)20�����,以分配給接收方設(shè)備30a�,步驟306。否則����,嘗試在防火墻100和從中接收分組的電子設(shè)備14a之間建立信任,步驟308���。
參考圖4�����,一個(gè)數(shù)據(jù)流程圖示出了根據(jù)優(yōu)選實(shí)施例的另一個(gè)方面而實(shí)施的一種方法���,用于當(dāng)設(shè)備30b處于防火墻100內(nèi)部�,而位于防火墻100外部的設(shè)備14b發(fā)起信任請求時(shí)�,從防火墻100向防火墻100外部的設(shè)備14b提供一個(gè)數(shù)字警示器。在步驟400中�,設(shè)備14b可以首先嘗試聯(lián)系設(shè)備30a。步驟402中���,防火墻100截接用于初始聯(lián)絡(luò)的數(shù)據(jù)消息���。步驟404中,防火墻100因此可以與目標(biāo)設(shè)備30b建立信任(即通過驗(yàn)證設(shè)備30b被允許按照防火墻的策略而通過防火墻100進(jìn)行通信)��。步驟406中����,防火墻100接著可以通知設(shè)備30b有一個(gè)來自設(shè)備14b的嘗試聯(lián)絡(luò)�����。
步驟408中�,設(shè)備30b可以通過驗(yàn)證設(shè)備14b是一個(gè)信任的源而與設(shè)備14b建立信任(例如通過使用DSA或者RSA加密)。步驟410中�,目標(biāo)設(shè)備30b將因此從防火墻100請求數(shù)字警示器���,或者如果其不位于在防火墻100中則向數(shù)字警示器安全子系統(tǒng)120的位置請求數(shù)字警示器。步驟412���,設(shè)備30b接著可以通過使用該數(shù)字警示器向設(shè)備14b顯示防火墻100(即設(shè)備30b把要用于通過防火墻通信的數(shù)字警示器通知給設(shè)備14b)��。設(shè)備30b和設(shè)備14b因此可以使用該數(shù)字警示器通過防火墻100自由地通信���。
根據(jù)優(yōu)選實(shí)施例的另一方面,對于要建立與防火墻100的信任的防火墻100內(nèi)部的設(shè)備30a�、30b、40a�����、40b���,設(shè)備30a���、30b、40a���、40b通過根據(jù)防火墻的策略使用防火墻100預(yù)先鑒權(quán)設(shè)備30a�����、30b�、40a、40b的方式來建立與防火墻100的信任��?��?蛇x的�����,使用防火墻100來鑒權(quán)設(shè)備30a�、30b���、40a�����、40b以作為與防火墻100外部的設(shè)備14a、14b�����、70a、70b的一個(gè)或多個(gè)建立聯(lián)絡(luò)的一部分����。防火墻100或者數(shù)字警示器安全子系統(tǒng)120因此可以建立數(shù)字警示器以用于防火墻100的內(nèi)部和外部設(shè)備之間的通信。
參考圖5����,一個(gè)數(shù)據(jù)流程圖示出了根據(jù)優(yōu)選實(shí)施例的另一個(gè)方面而實(shí)施的一種方法,用于在處于防火墻100內(nèi)部的設(shè)備30a向處于防火墻100外部的設(shè)備14a請求信息時(shí)�����,提供了從防火墻100到設(shè)備14a的數(shù)字警示器�,其中設(shè)備14a向第三方設(shè)備70a傳送該數(shù)字警示器,使得設(shè)備70a可以使用該數(shù)字警示器直接向設(shè)備30a發(fā)送消息�。步驟500中,設(shè)備14a和設(shè)備30a可以使用上述方法中的任一個(gè)與防火墻100以及彼此之間建立會話和信任���。步驟502中�����,防火墻100向來自設(shè)備30a的消息添加數(shù)字警示器�����,該數(shù)字警示器標(biāo)識返回的消息中含有作為會話的一部分的并且是合法的數(shù)字警示器�,并且可以被傳送到設(shè)備30a。從這個(gè)意義上說���,設(shè)備30a和14a可以如上所述自由通信�。
但是���,如果設(shè)備14a請求第三方設(shè)備70a向設(shè)備30a提供信息����,那么在步驟504中����,設(shè)備14a向第三方設(shè)備70a提供數(shù)字警示器。這種情況可能出現(xiàn)在通過一系列其它的第三方����,其中設(shè)備14a向設(shè)備14b請求信息,而設(shè)備14b向設(shè)備70b請求信息����,如此反復(fù)����,直到設(shè)備70a是被請求的信息的最后提供者���。因此,該數(shù)字警示器被傳遞到每個(gè)第三方設(shè)備��,使得在提供信息的傳遞鏈條中的最后的設(shè)備70a使用該數(shù)字警示器來直接向設(shè)備30a提供信息����。
步驟506,當(dāng)防火墻100從鏈條中最后的第三方設(shè)備70a接收到提供信息的消息時(shí)���。步驟508�����,如果該消息指向設(shè)備30a�,那么數(shù)字警示器安全子系統(tǒng)120查看存儲設(shè)備122的數(shù)據(jù)庫中的數(shù)字警示器���,并且如果該數(shù)字警示器是合法的�����,那么防火墻將此消息傳遞給設(shè)備30a�,步驟510所示。
如上所述���,數(shù)字警示器可以包括字母數(shù)字代碼���。根據(jù)優(yōu)選實(shí)施例的另一個(gè)方面,該數(shù)字警示器是數(shù)字序列���,它對于由防火墻保護(hù)的設(shè)備(如30a)和防火墻外的設(shè)備(如14a)所建立的會話是唯一的����。該數(shù)字序列可以通過很多方式生成����,這依賴于特定的實(shí)現(xiàn)方式。舉例來說�����,根據(jù)一個(gè)實(shí)施例��,數(shù)字警示器安全子系統(tǒng)120可以創(chuàng)建一個(gè)當(dāng)前的數(shù)字警示器����,其被分配到防火墻100識別出的每一個(gè)分組����??梢詾槊恳粋€(gè)分組產(chǎn)生一個(gè)新的當(dāng)前的數(shù)字警示器����。
在另一個(gè)實(shí)施例中,該數(shù)字序列可被生成作為指示會話的隨機(jī)數(shù)字�����。該隨機(jī)數(shù)字足夠大以至于重新生成相同數(shù)字的概率可以忽略不計(jì)���。在上述存儲區(qū)域122的數(shù)據(jù)庫中�,生命時(shí)間被分配給每個(gè)會話記錄��,用來指示在由防火墻100終止會話前該會話的最大長度�,或者在非活動(dòng)會話被終止前的時(shí)間長度。
在另一個(gè)實(shí)施例中����,該數(shù)字序列隨著每一個(gè)新的會話而單調(diào)遞增�����。防火墻100維持當(dāng)前合法警示器號碼的列表���,如上結(jié)合存儲區(qū)域122所描述的。一旦達(dá)到最大數(shù)值�����,這些數(shù)字可以重復(fù)或重疊����。這些數(shù)字可以由TCP/IP協(xié)議中使用的浮動(dòng)窗來控制。該窗隨著時(shí)間滑動(dòng)���,并且只有該窗內(nèi)的數(shù)字被認(rèn)為是有效的�����。
最后�����,在另一個(gè)實(shí)施例中����,出于安全原因,數(shù)字警示器可以使用例如RSA算法進(jìn)行加密�����。只有防火墻能夠?qū)用艿木酒鬟M(jìn)行解密���,因此處于防火墻100外部的電子設(shè)備14a、14b��、70a�����、70b不知道該數(shù)字警示器的真實(shí)值�。加密的警示器僅在需要向處于防火墻100內(nèi)部的適當(dāng)電子設(shè)備30a、30b�、40a、40b提供信息時(shí)才會從一個(gè)電子設(shè)備傳到下一個(gè)設(shè)備�����。當(dāng)防火墻100接收到包含數(shù)字警示器的消息時(shí)�,就對其進(jìn)行解密以恢復(fù)該值��,并且使用存儲區(qū)域122的數(shù)據(jù)庫對該消息進(jìn)行鑒權(quán)����??蛇x的,可以使用DSA算法�����,其中當(dāng)接收到消息時(shí)���,只把數(shù)字警示器的散列值存儲到存儲區(qū)域122中用于鑒權(quán)����。
從前面的敘述中可以明顯看出���,雖然已經(jīng)示出和描述了優(yōu)選的和典型的實(shí)施例�����,但是在不背離本發(fā)明的精神和范圍的情況下仍然可以作出各種修改����。因此,本發(fā)明不意圖被限制為該優(yōu)選的和典型的實(shí)施例的詳細(xì)描述�����。
權(quán)利要求
1.一種用于鑒權(quán)消息的系統(tǒng)��,包括防火墻����;數(shù)字代碼生成器,用于生成數(shù)字代碼�����,并且將所述數(shù)字代碼包含在發(fā)送給由防火墻保護(hù)的設(shè)備的接收消息中�����;和所述防火墻內(nèi)的安全子系統(tǒng)��,基于所述數(shù)字代碼是否在所述消息中以及是否被鑒權(quán)而過濾所接收的消息�����。
2.根據(jù)權(quán)利要求1的系統(tǒng)��,其中所述數(shù)字代碼生成器被包含在所述防火墻內(nèi)的安全子系統(tǒng)中�����。
3.根據(jù)權(quán)利要求1的系統(tǒng)����,其中所述數(shù)字代碼生成器與所述防火墻是相分離的。
4.根據(jù)權(quán)利要求1的系統(tǒng)����,其中所述數(shù)字代碼是字母數(shù)字指示器,用于向包含所述數(shù)字代碼的消息授予信任的標(biāo)識�����。
5.根據(jù)權(quán)利要求1的系統(tǒng)�,其中所述數(shù)字代碼被用于在由所述防火墻保護(hù)的電子設(shè)備A和處于所述防火墻保護(hù)之外的電子設(shè)備B之間的整個(gè)通信會話期間。
6.根據(jù)權(quán)利要求5的系統(tǒng)�,其中所述設(shè)備A發(fā)起與所述設(shè)備B的通信。
7.根據(jù)權(quán)利要求5的系統(tǒng)����,其中所述設(shè)備B發(fā)起與所述設(shè)備A的通信。
8.根據(jù)權(quán)利要求5的系統(tǒng),其中所述數(shù)字代碼是在所述設(shè)備A與所述設(shè)備B之間的通信發(fā)起之后生成的����。
9.根據(jù)權(quán)利要求5的系統(tǒng),其中所述設(shè)備B向第三方電子設(shè)備R提供所述數(shù)字代碼���,以允許所述設(shè)備R使用所述數(shù)字代碼發(fā)送一個(gè)或多個(gè)消息通過所述安全子系統(tǒng)����,從而直接與所述設(shè)備A通信����。
10.一種用于鑒權(quán)消息的方法,包括生成數(shù)字代碼��;將所述數(shù)字代碼包含在發(fā)送給由防火墻保護(hù)的設(shè)備的接收消息中�����;鑒權(quán)所述接收消息中的數(shù)字代碼�����;基于所接收消息中的數(shù)字代碼是否被鑒權(quán)而過濾所述接收的消息�����。
11.根據(jù)權(quán)利要求10的方法�����,其中所述生成步驟由包含在所述防火墻內(nèi)的安全子系統(tǒng)的數(shù)字代碼生成器執(zhí)行��。
12.根據(jù)權(quán)利要求10的方法�,其中所述生成步驟由與所述防火墻相分離的數(shù)字代碼生成器執(zhí)行。
13.根據(jù)權(quán)利要求10的方法�����,其中所述數(shù)字代碼是字母數(shù)字指示器�,用于向包含所述數(shù)字代碼的消息授予信任的標(biāo)識。
14.根據(jù)權(quán)利要求10的方法���,包括在由所述防火墻保護(hù)的電子設(shè)備A和處于所述防火墻保護(hù)之外的電子設(shè)備B之間的整個(gè)通信會話期間使用所述數(shù)字代碼�����。
15.根據(jù)權(quán)利要求14的方法����,其中所述設(shè)備A發(fā)起與所述設(shè)備B的通信。
16.根據(jù)權(quán)利要求14的方法�����,其中所述設(shè)備B發(fā)起與所述設(shè)備A的通信�����。
17.根據(jù)權(quán)利要求14的方法����,其中所述數(shù)字代碼是在所述設(shè)備A與所述設(shè)備B之間的通信發(fā)起之后生成的。
18.根據(jù)權(quán)利要求14的方法�,其中所述設(shè)備B向第三方電子設(shè)備R提供所述數(shù)字代碼,以允許所述設(shè)備R使用所述數(shù)字代碼發(fā)送一個(gè)或多個(gè)消息通過所述防火墻�,從而直接與所述設(shè)備A通信。
19.一種用于鑒權(quán)消息的防火墻��,包括數(shù)字代碼生成器�,用于生成數(shù)字代碼,并且將所述數(shù)字代碼包含在發(fā)送給由所述防火墻保護(hù)的設(shè)備的接收消息中�����;以及安全子系統(tǒng)�,基于所述消息中的數(shù)字代碼是否被鑒權(quán)而過濾所述接收消息。
20.根據(jù)權(quán)利要求19的防火墻�����,其中所述數(shù)字代碼是字母數(shù)字指示器�����,用于向包含所述數(shù)字代碼的消息授予信任的標(biāo)識�。
21.根據(jù)權(quán)利要求1的防火墻,其中所述數(shù)字代碼被用于在由所述防火墻保護(hù)的電子設(shè)備A和處于所述防火墻保護(hù)之外的電子設(shè)備B之間的整個(gè)通信會話期間����。
22.根據(jù)權(quán)利要求21的防火墻,其中所述設(shè)備A發(fā)起與所述設(shè)備B的通信���。
23.根據(jù)權(quán)利要求21的防火墻���,其中所述設(shè)備B發(fā)起與所述設(shè)備A的通信。
24.根據(jù)權(quán)利要求21的防火墻�����,其中所述數(shù)字代碼是在所述設(shè)備A與所述設(shè)備B之間的通信發(fā)起之后生成的��。
25.根據(jù)權(quán)利要求21的防火墻,其中所述設(shè)備B向第三方電子設(shè)備R提供所述數(shù)字代碼���,以允許所述設(shè)備R使用所述數(shù)字代碼發(fā)送一個(gè)或多個(gè)消息通過所述安全子系統(tǒng)���,從而直接與所述設(shè)備A通信。
26.一種網(wǎng)絡(luò)設(shè)備�,包括數(shù)字代碼生成器,用于產(chǎn)生數(shù)字代碼���,并且將所述數(shù)字代碼包含在發(fā)送給由安全子系統(tǒng)保護(hù)的設(shè)備的接收消息中���;以及安全子系統(tǒng),基于所述消息中的數(shù)字代碼是否被鑒權(quán)而對所接收的消息進(jìn)行過濾��。
27.一種由安全子系統(tǒng)保護(hù)的網(wǎng)絡(luò)設(shè)備���,包括網(wǎng)絡(luò)連接�,用于連接到具有數(shù)字代碼生成器的安全子系統(tǒng)�����,所述數(shù)字代碼生成器產(chǎn)生數(shù)字代碼并且將所述數(shù)字代碼包含在發(fā)送到所述設(shè)備的接收消息中��;以及其中所述安全子系統(tǒng)基于所述消息中的數(shù)字代碼是否被鑒權(quán)而對所述接收消息進(jìn)行過濾�。
28.一組存儲在一個(gè)或者多個(gè)計(jì)算機(jī)可讀介質(zhì)上的軟件程序,所述軟件程序可以在一個(gè)或者多個(gè)計(jì)算機(jī)上執(zhí)行以支持用于鑒權(quán)消息的方法���,所述軟件程序組包括生成數(shù)字代碼的軟件程序���;用于將所述數(shù)字代碼包含在發(fā)送給由防火墻保護(hù)的設(shè)備的接收消息中的軟件程序;用于鑒權(quán)所述接收消息中的數(shù)字代碼的軟件程序����;和基于所接收的消息中的數(shù)字代碼是否被鑒權(quán)而過濾所接收的消息的軟件程序。
29.一種其上存儲有程序代碼的計(jì)算機(jī)可讀介質(zhì)����,所述程序代碼當(dāng)在計(jì)算機(jī)上執(zhí)行時(shí),使得所述計(jì)算機(jī)執(zhí)行用于鑒權(quán)消息的方法��,所述方法包括生成數(shù)字代碼�����;將所述數(shù)字代碼包含在發(fā)送給由防火墻保護(hù)的設(shè)備的接收消息中��;鑒權(quán)所接收消息中的數(shù)字代碼���;基于所述接收消息中的數(shù)字代碼是否被鑒權(quán)而過濾所接收的消息���。
30.根據(jù)權(quán)利要求29的計(jì)算機(jī)可讀介質(zhì)����,其中所述程序代碼使用防火墻內(nèi)的安全子系統(tǒng)所包含的數(shù)字代碼生成器來執(zhí)行所述生成步驟�����。
31.根據(jù)權(quán)利要求29的計(jì)算機(jī)可讀介質(zhì)����,其中所述程序代碼使用與防火墻相分離的數(shù)字代碼生成器來執(zhí)行所述生成步驟。
32.根據(jù)權(quán)利要求29的計(jì)算機(jī)可讀介質(zhì)����,其中所述數(shù)字代碼是字母數(shù)字指示器,用于向包含所述數(shù)字代碼的消息授予信任的標(biāo)識�。
33.根據(jù)權(quán)利要求29的計(jì)算機(jī)可讀介質(zhì),其中所述程序代碼進(jìn)一步執(zhí)行在由所述防火墻保護(hù)的電子設(shè)備A和處于所述防火墻保護(hù)之外的電子設(shè)備B之間的整個(gè)通信會話期間使用所述數(shù)字代碼的步驟����。
34.根據(jù)權(quán)利要求33的計(jì)算機(jī)可讀介質(zhì),其中所述設(shè)備A發(fā)起與所述設(shè)備B的通信����。
35.根據(jù)權(quán)利要求33的計(jì)算機(jī)可讀介質(zhì)���,其中所述設(shè)備B發(fā)起與所述設(shè)備A的通信���。
36.根據(jù)權(quán)利要求33的計(jì)算機(jī)可讀介質(zhì)�,其中所述數(shù)字代碼是在所述設(shè)備A與所述設(shè)備B之間的通信發(fā)起之后生成的��。
37.根據(jù)權(quán)利要求33的計(jì)算機(jī)可讀介質(zhì)����,其中所述設(shè)備B向第三方電子設(shè)備R提供所述數(shù)字代碼,以允許所述設(shè)備R使用所述數(shù)字代碼發(fā)送一個(gè)或多個(gè)消息通過安全子系統(tǒng)從而直接與所述設(shè)備A進(jìn)行通信�。
全文摘要
當(dāng)處于防火墻內(nèi)部的設(shè)備A向處于防火墻外部的設(shè)備B請求信息時(shí),從防火墻或者其它的網(wǎng)關(guān)��,或者其它網(wǎng)絡(luò)設(shè)備向該設(shè)備B提供一個(gè)數(shù)字“警示器”����。該設(shè)備B可以將該數(shù)字警示器傳遞給后續(xù)的電子設(shè)備,該后續(xù)的電子設(shè)備可以使用該數(shù)字警示器通過防火墻向設(shè)備A發(fā)送消息或者信息來響應(yīng)于該請求�。防火墻基于包含在消息中的警示器的鑒權(quán)對消息進(jìn)行過濾和鑒權(quán)。
文檔編號H04L12/58GK1809061SQ20051011916
公開日2006年7月26日 申請日期2005年12月2日 優(yōu)先權(quán)日2004年12月3日
發(fā)明者邁克爾·G.·威廉斯, 喬·格拉夫, 查爾斯·帕金斯 申請人:諾基亞公司