專利名稱:中間設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及中間設(shè)備,所述中間設(shè)備適于例如在通過向位于傳輸層
中的TCP或UDP協(xié)議添加加密功能來執(zhí)行計(jì)算機(jī)化信息的通信時(shí)使用。更具體地,本發(fā)明涉及通信中的安全系統(tǒng),并且更特別地涉及用于防止因特網(wǎng)上的數(shù)據(jù)"泄漏"和"篡改"以及其它"偽裝,,、"接近"或"攻擊"的設(shè)備。
背景技術(shù):
本申請(qǐng)的發(fā)明人先前提出了一種新穎的加密系統(tǒng)TCP2 ( WO2005/015827 Al:此后將其稱為專利文件1),其中為了強(qiáng)化在不改變上層應(yīng)用的程序的情況下防止數(shù)據(jù)泄漏、篡改、偽裝、接近和攻擊的功能,在傳輸側(cè)和接收側(cè)執(zhí)行加密和解密邏輯協(xié)定,并且此后將其應(yīng)用至與傳輸層中現(xiàn)有的TCP或UDP相對(duì)應(yīng)的協(xié)議的有效負(fù)載。
近年來,采用因特網(wǎng)的通信在社會(huì)上快速發(fā)展壯大,原因在于擁有至少一個(gè)Windows個(gè)人計(jì)算機(jī)的任何人都能夠通過將計(jì)算機(jī)連接到網(wǎng)絡(luò)上來訪問網(wǎng)絡(luò)上的計(jì)算機(jī)。另一方面,伴隨著因特網(wǎng)通信的發(fā)展壯大以下社會(huì)問題已愈發(fā)嚴(yán)重黑客(hacker)或駭客(cracker)入侵他人的計(jì)算機(jī)系統(tǒng)來秘密查看軟件和數(shù)據(jù)并對(duì)其實(shí)施篡改或破壞。
至于非正當(dāng)干擾的特定情況,首先,因大量通過網(wǎng)絡(luò)傳送的信息引起的系統(tǒng)干擾會(huì)干擾計(jì)算機(jī)系統(tǒng)操作,以致不能使用中央系統(tǒng)。當(dāng)主機(jī)由于此干擾而過載時(shí),系統(tǒng)可能崩潰。
此外,還存在"未被授權(quán)的訪問和偽裝,,的非正當(dāng)干擾,這是通過獲取主機(jī)中的密碼以竊取機(jī)密信息、實(shí)施對(duì)信息的篡改和破壞等來進(jìn)行的。存在這種干擾的惡劣情況是計(jì)算機(jī)所擁有的信息在未經(jīng)允許的情況下被重寫以便欺騙用戶。此外,還存在由間諜軟件所引起的非正當(dāng)活動(dòng),其中特定的個(gè)人計(jì)算機(jī)祐:秘密侵入,并且諸如郵件地址和密碼之類的個(gè)人機(jī)密數(shù)據(jù)被利用。此外,存在以下可能性所謂的竊聽頻繁發(fā)生,以不正當(dāng)?shù)赝低档夭榭催B接至上述網(wǎng)絡(luò)的計(jì)算機(jī)中的數(shù)據(jù)庫(kù)內(nèi)容。
此外,可能會(huì)出現(xiàn)故意竊取站點(diǎn)中或服務(wù)器管理源中的個(gè)人信息的
3行為,并且還可能出現(xiàn)諸如由潛伏在公司內(nèi)的間諜發(fā)起的網(wǎng)絡(luò)恐怖活動(dòng)
(cyber terrorism)等等之類的危機(jī)。
此外,非正當(dāng)?shù)母蓴_(例如植入"病毒,,)近來不斷增加,所述"病毒"是一種引起他人計(jì)算機(jī)故障的程序。家中用于郵件等的個(gè)人計(jì)算機(jī)感染了此種植入的病毒,并且當(dāng)其連接到公司內(nèi)的計(jì)算機(jī)時(shí),公司內(nèi)的所有計(jì)算機(jī)都會(huì)感染此種病毒,和/或病毒會(huì)破壞計(jì)算機(jī)中的文件,而且更進(jìn)一步可能會(huì)使整個(gè)網(wǎng)絡(luò)崩潰。
因此,在采用傳統(tǒng)TCP/IP (傳輸控制協(xié)議/網(wǎng)際協(xié)議)或UDP (用戶數(shù)據(jù)報(bào)協(xié)議)的因特網(wǎng)上的通信中,被稱為IPsec (IPsec:用于網(wǎng)際協(xié)議的安全架構(gòu))的加密通信或SSL (安全套接字層)被用作防止數(shù)據(jù)的
"泄漏"、"篡改"等的功能。
通常,在加密通信中存在公共密鑰(也被稱為秘密密鑰)密碼系統(tǒng)和公開密鑰密碼系統(tǒng),其中公開密鑰密碼系統(tǒng)在很多情況下用于IPsec。公共密鑰密碼系統(tǒng)的特征是加密和解密都比公開密鑰密碼系統(tǒng)的加密和解密要快。用在IPsec中的公共密鑰密碼系統(tǒng)是一種以相同密鑰執(zhí)行加密和解密的系統(tǒng),并且允許在傳送側(cè)和接收側(cè)之一上準(zhǔn)備密鑰,其中
可能需要多加關(guān)注,以使得在交換密鑰時(shí)不會(huì)泄漏內(nèi)容,原因在于公共密鑰被在接收側(cè)和傳送側(cè)上使用。
用在公共密鑰密碼系統(tǒng)中的算法由DES(數(shù)據(jù)加密標(biāo)準(zhǔn)美國(guó)IBM公司開發(fā)的公共密鑰(秘密密鑰)加密算法)來代表。IPsec也將DES用于加密算法之一。IPsec被IETF (因特網(wǎng)工程任務(wù)組)推廣為標(biāo)準(zhǔn),并且其特征不僅在于僅對(duì)特定應(yīng)用進(jìn)行加密,還在于在IP層對(duì)每個(gè)傳送自主機(jī)的通信進(jìn)行加密。
以這種方式,對(duì)于用戶而言,在不需知曉應(yīng)用的情況下獲得安全通信變得可能。此外,IPsec使得在不改變其自身結(jié)構(gòu)的情況下改變所使用的加密算法以使得也可在未來使用IPsec成為可能。被稱為SPI(Security Pointer Index安全指針?biāo)饕?的32位碼用于IPsec中所使用的公共加密密鑰,并且IKE (因特網(wǎng)密鑰交換)用于密鑰交換協(xié)議。此外,IPsec配備了協(xié)議AH (Authentication Header認(rèn)證首部)以用于完整性iU正。
此外,SSL是具有安全功能的HTTP協(xié)議,其由美國(guó)Netscape公司(目前已被AOL兼并)開發(fā),并且客戶機(jī)和服務(wù)器可以使用其來在網(wǎng)絡(luò)上相互認(rèn)證,以使得諸如信用卡信息等等之類的高度機(jī)密信息可被加密,并且此后被傳送和接收。因而,可以防止數(shù)據(jù)竊聽、重傳攻擊(通過在網(wǎng)絡(luò)上反復(fù)多次地發(fā)送被竊聽的數(shù)椐來進(jìn)行攻擊)、偽裝(通過假裝成另一人來進(jìn)行通信)以及篡改數(shù)據(jù)等等。
圖6A示出了在使用傳統(tǒng)IPsec來執(zhí)行加密通信的情況下的協(xié)議棧的實(shí)例,而圖6B示出了在使用傳統(tǒng)SSL來執(zhí)行加密通信的情況下的協(xié)議棧的實(shí)例。
OSI參考模型包括底層(笫一層),其為物理層;笫二層,其為數(shù)據(jù)鏈路層;第三層,其為網(wǎng)絡(luò)層;第四層,其為傳輸層;笫五層,其為會(huì)話層;第六層,其為表示層;和頂層(第七層),其為應(yīng)用層。該OSI參考模型中的七層是通過將通信功能分為七級(jí)來闡釋的,并且為每層設(shè)置了標(biāo)準(zhǔn)功能模塊。在圖6A中,示出了從底層到第五層的會(huì)話層的各層。協(xié)議棧是軟件組,其包括為實(shí)現(xiàn)網(wǎng)絡(luò)各層中的功能而選擇和堆疊的協(xié)i義。
首先,針對(duì)OSI參考模型描述了概要,其中作為第一層的物理層是定義信號(hào)線的物理電屬性、代碼的調(diào)制方法等等的層。盡管如此,該層很少被單獨(dú)定義和安裝,而是通常與作為笫二層的數(shù)據(jù)鏈路層一起被定義為例如以太網(wǎng)標(biāo)準(zhǔn)等等。
作為笫二層的數(shù)據(jù)鏈路層是定義數(shù)據(jù)的分組、物理節(jié)點(diǎn)地址、分組的傳送和接收方法等等的層。該層定義了用于在兩個(gè)節(jié)點(diǎn)之間通過物理通信介質(zhì)傳送和接收分組的協(xié)議,其中某些種類的地址被添加至每個(gè)節(jié)點(diǎn),并且根據(jù)該地址來指定分組的接收者,由此在通信介質(zhì)上傳送分組。
諸如銅線、無(wú)線、光纖等等之類的各種類型的通信介質(zhì)被使用。此外,對(duì)于連接沖莫式(拓樸),不僅存在一對(duì)一的對(duì)繞(opposing connection),還存在;f艮多類型,例如總線連接、星形連接、環(huán)形連接和其它連接類型。當(dāng)在通信介質(zhì)上傳送的分組到達(dá)接收側(cè)的節(jié)點(diǎn)時(shí),其被節(jié)點(diǎn)接收并且進(jìn)一步被傳送至上面的協(xié)議層。
配置于物理層和數(shù)據(jù)鏈路層之上的NIC (網(wǎng)絡(luò)接口卡)驅(qū)動(dòng)器是用于將個(gè)人計(jì)算機(jī)、打印機(jī)等等連接至局域網(wǎng)(LAN)的附加板。在僅指網(wǎng)卡的情況下,其在4艮多情況下連接至以太網(wǎng)。
借助于該NIC驅(qū)動(dòng)器,希望傳送數(shù)據(jù)的節(jié)點(diǎn)(設(shè)備),監(jiān)視線纜的可用性并在線纜可用時(shí)開始數(shù)據(jù)傳輸。那時(shí),如果多個(gè)節(jié)點(diǎn)同時(shí)開始傳并被破壞,以至于節(jié)點(diǎn)停止傳輸并會(huì)在隨機(jī) 時(shí)間段后再次開始傳輸。結(jié)果,多個(gè)節(jié)點(diǎn)共用單條線纜以便互相通信是 可能的。
作為第三層的網(wǎng)絡(luò)層是定義任意兩個(gè)節(jié)點(diǎn)之間的通信方法的層。網(wǎng)
絡(luò)層對(duì)應(yīng)于TCP/IP中的IP層。數(shù)據(jù)鏈路層在相同網(wǎng)絡(luò)介質(zhì)上的節(jié)點(diǎn)之 間執(zhí)行通信是可能的,并且網(wǎng)絡(luò)層的功能是在網(wǎng)絡(luò)上現(xiàn)有的任意兩個(gè)節(jié) 點(diǎn)之間執(zhí)行路由的同時(shí)使用數(shù)據(jù)鏈路層的功能來進(jìn)行通信。
此處,路由的意思是通過在TCP/IP網(wǎng)絡(luò)中向預(yù)期的主機(jī)傳送分組 時(shí)選擇最優(yōu)路徑來進(jìn)行分組傳輸。例如,僅對(duì)相同段上的節(jié)點(diǎn)而言在以 太網(wǎng)中相互通信是可能的,但是通信是在兩個(gè)以太網(wǎng)段之間在網(wǎng)絡(luò)層中 通過對(duì)分組進(jìn)行路由來實(shí)現(xiàn)的。
此外,無(wú)論物理網(wǎng)絡(luò)介質(zhì)如何,分組都能被路由至撥號(hào)PPP (點(diǎn)對(duì) 點(diǎn)協(xié)議)線路,后者通過電話線路、使用光纖的專用線路等將計(jì)算機(jī)連 接至網(wǎng)絡(luò)(以太網(wǎng))。為此目的,與物理介質(zhì)無(wú)關(guān)的地址(在TCP/IP 情況下是IP地址)通常被分配給相應(yīng)的節(jié)點(diǎn),并且基于此來執(zhí)行路由。
IPsec對(duì)網(wǎng)絡(luò)層中的每個(gè)通信進(jìn)行加密,換句話說,對(duì)在IP層傳送 自主機(jī)的每個(gè)通信進(jìn)行加密,以使得用戶能夠在無(wú)需注意應(yīng)用的情況下 執(zhí)行安全通信。
作為第四層的傳輸層是提供用于在兩個(gè)過程之間執(zhí)行通信的功能 的層,所述兩個(gè)過程執(zhí)行于相應(yīng)的節(jié)點(diǎn)上,并且其為協(xié)議層。協(xié)議層對(duì) 應(yīng)于TCP/IP中的TCP。網(wǎng)絡(luò)層提供在兩個(gè)節(jié)點(diǎn)之間執(zhí)行通信的功能, 而TCP功能是提供虛擬通信路徑,在該通信路徑中沒有在兩個(gè)過程(應(yīng) 用)之間使用網(wǎng)絡(luò)層功能的錯(cuò)誤。
更具體地,在網(wǎng)絡(luò)層中傳送數(shù)據(jù)是可能的,但是不能保證數(shù)據(jù)將會(huì) 肯定到達(dá)接收側(cè)。此外,也不能保證數(shù)據(jù)正確地以所傳送的次序達(dá)到。 因此,TCP提供了沒有錯(cuò)誤的通信路徑以便應(yīng)用很容易地使用數(shù)據(jù)。如 杲有必要的話,TCP再次傳送數(shù)據(jù)、恢復(fù)數(shù)據(jù)等等。
除了 TCP, UDP也被配置在傳輸層中,并且UDP與TCP之間的差 異是UDP是操作于高速率的協(xié)議但是數(shù)據(jù)不^皮保護(hù),而TCP是操作 于低于UDP的速率但是數(shù)據(jù)被保護(hù)。TCP用于主要傳送數(shù)據(jù)的場(chǎng)合(諸 如在計(jì)算機(jī)之間進(jìn)行通信的場(chǎng)合),而UDP頻繁用于傳送聲音和視頻 的場(chǎng)合(諸如IP電話的場(chǎng)合)。該通信系統(tǒng)是本申請(qǐng)的發(fā)明人在專利文件1中首次提出的。
作為第五層的會(huì)話層是定義會(huì)話(從通信開始到結(jié)束)過程的層, 其中利用所述會(huì)話程序通過在應(yīng)用之間建立連接來準(zhǔn)備通信狀態(tài)。配置
在該層中的套接字(socket)意指網(wǎng)絡(luò)地址,所述網(wǎng)絡(luò)地址是對(duì)應(yīng)于網(wǎng) 絡(luò)中的計(jì)算機(jī)的地址和作為IP地址的子地址的端口號(hào)的組合。
在連接計(jì)算機(jī)的情況下,套接字(IP地址和端口號(hào)對(duì))被指定。如 圖6B中所示,根據(jù)傳統(tǒng)表示加密通信技術(shù)的SSL,在該會(huì)話層中執(zhí)行 力口密通信。
作為第六層的表示層是用于對(duì)在會(huì)話(從通信開始到結(jié)束)中所傳 送和接收的數(shù)據(jù)的表達(dá)方法、編碼和加密等等進(jìn)行定義的層。TCP/IP協(xié) 議可不具有對(duì)應(yīng)于該層的部分,并且流數(shù)據(jù)處理通常由應(yīng)用本身來處 理。
此外,作為第七層的應(yīng)用層是用于定義應(yīng)用之間的數(shù)據(jù)傳輸和接收 的層,并且TCP/IP協(xié)議可不具有對(duì)應(yīng)于該層的部分。所述應(yīng)用層定義 例如電子郵件格式、文件的內(nèi)部結(jié)構(gòu)或者在應(yīng)用之間傳送和接收數(shù)據(jù)的 情況下所必要的通用數(shù)據(jù)結(jié)構(gòu)等等的類似物。
圖6A示出了包括IPsec的標(biāo)準(zhǔn)協(xié)議棧,其中首先,在物理層(第一 層)和數(shù)據(jù)鏈路層(第二層)中提供了 NIC (網(wǎng)絡(luò)接口卡)驅(qū)動(dòng)器。該 驅(qū)動(dòng)器是用于將計(jì)算機(jī)等等的硬件連接至網(wǎng)絡(luò)的接口卡驅(qū)動(dòng)器,并且是 用于數(shù)據(jù)傳輸和接收控制的軟件。例如,用于連接至以太網(wǎng)的LAN板 或LAN卡與之對(duì)應(yīng)。
在作為第三層的網(wǎng)絡(luò)層中,存在IP仿真器(emulator),所述IP 仿真器的一部分延伸至傳輸層(第四層)。延伸至傳輸層的該部分未被
實(shí)施為傳輸層的功能。該部分僅向會(huì)話層提供網(wǎng)絡(luò)層的功能。IP仿真器 使用 一種用于通過IPsec或IP執(zhí)行加密通信的協(xié)議,所述協(xié)議是不通過 根據(jù)其預(yù)期使用而在它們之間進(jìn)行切換來執(zhí)行加密通信的協(xié)議。
此外,ARP (地址解析協(xié)議)配置于作為第三層的網(wǎng)絡(luò)層中。ARP 是用于從IP地址中荻得MAC (介質(zhì)訪問控制)地址(其為以太網(wǎng)中的 物理地址)的協(xié)議。MAC是被稱為介質(zhì)訪問控制的傳輸控制技術(shù),其 用在LAN等等中并且被用作用于定義作為數(shù)據(jù)傳送和接收單元的幀的 傳送和接收方法、幀格式、錯(cuò)誤校正等等的技術(shù)。
此外,網(wǎng)絡(luò)層配備了 ICMP (因特網(wǎng)控制消息協(xié)議),其是用于傳輸IP的控制信息和錯(cuò)誤信息的協(xié)議;網(wǎng)絡(luò)層還配備了 IGMP (因特網(wǎng)組 管理協(xié)議),其用于控制主機(jī)組,所述主機(jī)組將相同的數(shù)椐高效地分發(fā) 至多個(gè)主機(jī)并接收該分發(fā)。于是,TCP和UDP被配置于傳輸層中,傳 輸層是網(wǎng)絡(luò)層的上層,并且,套接字接口被配置于會(huì)話層中,會(huì)話層是 傳輸層的上層。
圖6B示出了包括用于加密處理協(xié)議的SSL在內(nèi)的標(biāo)準(zhǔn)協(xié)議的實(shí)例, 其中網(wǎng)絡(luò)層可以不包括IPsec,但是套接字(會(huì)話層)包括SSL。其它協(xié) 議與圖6A中所示的那些協(xié)議相同。
在傳統(tǒng)表示加密通信技術(shù)中,IPsec用于加密、傳送和接收IP分組, 因此,無(wú)需讓利用TCP、 UDP等等的上層協(xié)議的應(yīng)用軟件知曉使用了 IPsec的事實(shí)。
另一方面,使用RSA ( Rivest、 Shamir、 Adleman:開發(fā)了公開密鑰 密碼系統(tǒng)的三個(gè)人的首字母)公開密鑰密碼技術(shù)的數(shù)字證書被用在對(duì)彼 此進(jìn)行認(rèn)證的層上的SSL中,并且諸如DES等等之類的公共密鑰密碼 技術(shù)被用于數(shù)據(jù)加密。SSL處于作為第五層的會(huì)話層中并且依賴于特定 的應(yīng)用。
已實(shí)現(xiàn)IPsec具有在第三層(網(wǎng)絡(luò)層)中防止數(shù)據(jù)"泄漏"和"篡 改,,的功能,參考OSI(見R. Atkinson 1995年8月的"Security Architecture for the Internet Protocol" , RFC1825 ),第三層低于第四層(傳輸層)。 另一方面,SSL是作為第五層的會(huì)話層中的加密技術(shù),并且用于通過對(duì) 目前因特網(wǎng)上廣泛應(yīng)用的WWW(萬(wàn)維網(wǎng))、FTP (文件傳輸協(xié)議)等 等的數(shù)椐進(jìn)行加密來安全傳送和接收關(guān)于隱私、公司秘密信息等等的信 息。
圖7中所示的表1比較并描述了 IPsec和SSL的功能。如此表中所 示,IPsec和SSL在相互比較中,各具優(yōu)劣勢(shì)。
例如,在SSL用于客戶機(jī)-客戶機(jī)通信的情況下,其命令系統(tǒng)和通 信內(nèi)容將會(huì)變?yōu)橹鲝?換句話說,客戶機(jī)/服務(wù)器)之間的關(guān)系,以至于 客戶機(jī)-客戶機(jī)通信需通過服務(wù)器來執(zhí)行。更為具體地,在使用SSL加
密數(shù)據(jù)之后將秘密數(shù)據(jù)從終端A傳送至終端B的情況下,服務(wù)器需介入 其中。另一方面,在IPsec中沒有這種限制,以使得能直接執(zhí)行通信。
此外,在PPP (點(diǎn)對(duì)點(diǎn)協(xié)議)移動(dòng)環(huán)境或ADSL (非對(duì)稱數(shù)字訂戶 線)環(huán)境中,IPsec在使用IKE(因特網(wǎng)密鑰交換)協(xié)議的通信中對(duì)與之相連接的發(fā)送者/接收者進(jìn)行認(rèn)證,IKE用于在開始加密數(shù)據(jù)通信之前確 定加密系統(tǒng)、密鑰交換和雙向認(rèn)證。
因而,在PPP移動(dòng)環(huán)境(遠(yuǎn)程客戶機(jī))或ADSL環(huán)境的情況下,IP 地址可能不固定,以至于最多用于IPsec網(wǎng)關(guān)之間的IKE的主要才莫式, 換句話說,使用關(guān)于通信的發(fā)送者/接收者的IP地址信息以進(jìn)行認(rèn)證的 模式可不被使用。
當(dāng)使用積極(aggressive)模式(在該模式下,例如,用戶信息被用 于ID信息)時(shí),IP地址可能無(wú)需用于ID信息,以使得使用用戶密碼作 為已知公共密鑰來指定發(fā)送者/接收者。盡管如此,在積極模式下,通信 的發(fā)送者/接收者的ID是在與傳送密鑰交換信息的相同消息中傳送的, 以至于ID作為明文傳送而不經(jīng)加密。
此外,能夠通過利用XAUTH (IKE內(nèi)的擴(kuò)展認(rèn)證)來解決認(rèn)證方 面的問題,但是不在來自于遠(yuǎn)程客戶機(jī)的訪問中確定IP地址,以至于需 要在防火墻設(shè)置中準(zhǔn)許所有的IKE和IPsec,這使得安全問題仍然存在。 即使在這種環(huán)境下,SSL仍能夠被用于通信。
此外,在IPsec中存在可能不對(duì)NAT (網(wǎng)絡(luò)地址轉(zhuǎn)換)和IP偽裝做 出響應(yīng)的問題。為了對(duì)其做出響應(yīng),還可能需要例如在UDP的有效負(fù) 載中實(shí)現(xiàn)IPsec的其它功能。
NAT是一種用于商業(yè)組織等等的技術(shù),其中多個(gè)計(jì)算機(jī)通過共享一 個(gè)全局IP地址而連接至因特網(wǎng),并且對(duì)4又用于該組織的IP地址(本地 地址)和因特網(wǎng)上的地址(全局地址)進(jìn)行雙向轉(zhuǎn)換。IPsec可不對(duì)NAT 做出響應(yīng)的原因是IP首部處于AH (認(rèn)證首部)的認(rèn)證范圍中,并且 從本地地址到全局地址的雙向轉(zhuǎn)換可以不被執(zhí)行,以防止不同子網(wǎng)中的 本地地址相互通信。
此外,IP偽裝是在LAN中具有私有地址的多個(gè)客戶機(jī)可利用其來 訪問因特網(wǎng)的機(jī)制,并且該機(jī)制從安全角度來說是為人所期望的,原因 是當(dāng)使用該機(jī)制時(shí),從外部(因特網(wǎng))看來,僅能夠看到操作IP偽裝的 終端。IPsec可不對(duì)IP偽裝做出響應(yīng)的原因是IPsec的ESP (封裝安全 有效負(fù)載加密有效栽荷)首部直接跟在IP首部之后。
利用IP偽裝實(shí)現(xiàn)的典型路由器確定了 TCPAJDP端口號(hào)直接跟在 IP首部之后。因而',如果通過了利用IP偽裝實(shí)現(xiàn)的路由器,則端口號(hào) 發(fā)生變化,以至于IPsec確定了數(shù)據(jù)已經(jīng)被改變并且可能未獲得對(duì)主機(jī)的認(rèn)證??梢酝ㄟ^采用支持NAT-T (NAT穿越(Traversal))的產(chǎn)品以 將數(shù)據(jù)置于UDP有效負(fù)栽上來避免這一問題。
盡管如此,如果NAT-T的草擬版本相互之間有所不同,則即使支 持NAT-T的產(chǎn)品也可不被連接。對(duì)于SSL而言,即使在這種情況下進(jìn) 行通信也是可能的。
另 一方面,SSL對(duì)于由網(wǎng)絡(luò)上被稱作黑客或駭客的非正當(dāng)入侵者對(duì) TCP/IP發(fā)起的各種攻擊(所謂DoS攻擊(拒絕服務(wù)攻擊以使服務(wù)停 止))無(wú)能為力。當(dāng)發(fā)生對(duì)TCP/IP協(xié)議棧的DoS攻擊(例如TCP切斷 攻擊)時(shí),TCP會(huì)話被切斷,從而使得SSL服務(wù)停止。
因?yàn)镮Psec是實(shí)施在第三層(IP層)中的,所以IP層具有安全功能, 以使得能夠防止對(duì)TCP/IP (第四層、第三層)的DoS攻擊。盡管如此, SSL是實(shí)施在TCP/IP (笫四層、第三層)之上的層(第五層)中的加密 協(xié)議,以至于SSL不可能防止對(duì)TCP/IP的DoS攻擊。
此外,在惡劣通信環(huán)境下的通信中,SSL相較于IPsec更為有效, 在所述惡劣通信環(huán)境下,物理噪聲增加并且通信錯(cuò)誤頻繁發(fā)生。更為具 體地,在檢測(cè)到錯(cuò)誤的情況下,IPsec允許上層的TCP對(duì)數(shù)據(jù)進(jìn)行重傳。 TCP將重傳數(shù)據(jù)傳送至IPsec,但是IPsec不能辨識(shí)數(shù)據(jù)被重傳,以至于 加密被再次執(zhí)行。SSL借助TCP執(zhí)行錯(cuò)誤恢復(fù)過程,以使得不會(huì)對(duì)相同 數(shù)據(jù)再次進(jìn)行加密。
此外,就IPsec而言,不允許不同LAN之間的通信。更為具體地, LAN中子網(wǎng)地址的分發(fā)由LAN中的DHCP (動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù) 器來管理,并且在LAN中不會(huì)分配相同的子網(wǎng)地址,但是在不同LAN 之間的通信的情況下可能分配相同地址,原因是各LAN中存在的DHCP 服務(wù)器獨(dú)立地分配子網(wǎng)地址。
在以此種方式分配了相同地址的情況下,就IPsec而言,不允許進(jìn) 行通信。盡管如此,如果有差別地建立了 IPsec-DHCP服務(wù)器并進(jìn)行管 理以使得不在不同的LAN中分配相同的地址,則能夠進(jìn)行通信。如上 所述,SLL位于OSI參考模型的第五層(會(huì)話層)中,這樣能夠在更低 層的TCP中執(zhí)行錯(cuò)誤恢復(fù)過程,并且能夠?qū)崿F(xiàn)如上所述的惡劣環(huán)境下的 通信。
此外,對(duì)于不同網(wǎng)絡(luò)環(huán)境下的通信,IPsec必須管理所有用于通過 的節(jié)點(diǎn)和改變?cè)O(shè)置,以使得IPsec能夠通過,因此其難以管理,但是即使在這樣的環(huán)境下,SSL仍可能實(shí)現(xiàn)通信,無(wú)論將要通過的節(jié)點(diǎn)環(huán)境如 何。
此外,不可能加密UDP以進(jìn)行通信,原因是SSL可能不支持UDP 通信。不可能加密所有TCP端口以進(jìn)行通信,原因是SSL可能只支持 特定端口 。另一方面,對(duì)于IPsec而言加密UDP和TCP以進(jìn)行通信是 可能的。
此外,SSL具有對(duì)于應(yīng)用而言不兼容的問題。當(dāng)執(zhí)行通信時(shí),應(yīng)用 使用套接字(第五層)作為程序接口。因此,在應(yīng)用使用SSL(第五層) 的情況下,需將該套接字接口變?yōu)镾SL接口。因此,SSL對(duì)于應(yīng)用而言, 不具有兼容性。
另一方面,IPsec位于套接字(第五層)之下,所以套接字(第五 層)能夠直接用作應(yīng)用的程序接口,因此IPsec與應(yīng)用兼容。此外,IPsec 根據(jù)IP地址單元來執(zhí)行控制,而SSL根據(jù)源單元(URL單元、文件夾 單元)來執(zhí)行控制。
此外,IPsec存在最大段長(zhǎng)度過小的問題。更為具體地,因?yàn)镮Psec 使用ESP首部和ESP尾部,所以有效負(fù)載變小,這樣產(chǎn)生片段(經(jīng)分 割的分組)并且吞吐量降低。此外,因?yàn)榫蚑CP分組而言不允許片段, 所以在端到端中獲得IPsec通過其中的環(huán)境、并且設(shè)置不會(huì)產(chǎn)生片段的 最大段長(zhǎng)度是必要的。另一方面,SSL沒有必要準(zhǔn)備用于通過的環(huán)境, 這樣沒有必要設(shè)置最大段長(zhǎng)度。
如上所示,描述了表l (圖7)中IPsec和SSL的功能,其中IPsec 和SSL彼此各有優(yōu)缺點(diǎn)。另一方面,本申請(qǐng)的發(fā)明人先前提出了 TCP2, 其包括IPsec和SSL的所有優(yōu)點(diǎn),并且是具有許多其它優(yōu)點(diǎn)的新穎加密 通信協(xié)議(見專利文件1)。
更為具體地,根據(jù)專利文件1中所描述的發(fā)明,在每個(gè)應(yīng)用程序中, 沒有必要實(shí)施"加密功能,,來防止對(duì)計(jì)算機(jī)終端的不正當(dāng)入侵,因此也 沒有必要重新創(chuàng)建應(yīng)用程序本身,此外藉由傳統(tǒng)的明文,與可能不支持 前述加密功能的發(fā)送者/接收者進(jìn)行通信也是可能的,并且另外即使在不 能采用IPsec的環(huán)境(或用戶不想采用IPsec的情況)中仍享受到加密和 認(rèn)證的益處是可能的。
圖8示出了用在加密通信系統(tǒng)的實(shí)施例中的協(xié)議棧,本申請(qǐng)的發(fā)明 人先前在專利文件1中提出過此加密通信系統(tǒng)。如圖8所示,該專利文件1中所描述的發(fā)明中所使用的協(xié)議棧包括 NIC (網(wǎng)絡(luò)接口卡)驅(qū)動(dòng)器11,其被配置為與OSI七層的物理層(第一 層)和數(shù)據(jù)鏈路層(第二層)相對(duì)應(yīng)的層。如前所述,該驅(qū)動(dòng)器是用于 將諸如計(jì)算機(jī)之類的硬件連接至網(wǎng)絡(luò)的接口卡驅(qū)動(dòng)器,并且其內(nèi)容是數(shù) 據(jù)傳輸和接收控制軟件。例如,用于將硬件連接至以太網(wǎng)的LAN板或 LAN卡與之對(duì)應(yīng)。
部分延伸至傳輸層(第四層)的IP仿真器(仿真器)13處于作為 笫三層的網(wǎng)絡(luò)層中。延伸的部分不被實(shí)施具有傳輸功能。該部分僅向會(huì) 話層提供網(wǎng)絡(luò)層的功能。IP仿真器13使用"CP上的IPsec" 13b或"CP 上的IP"13a通過根據(jù)預(yù)期使用而在它們之間進(jìn)行切換來執(zhí)行操作,"CP 上的IPsec" 13b是執(zhí)行加密通信的協(xié)議。此處,詞語(yǔ)"CP上的"指示 -皮壞防護(hù)者(cracking-protector, CP)監(jiān)岸見對(duì)將^皮丟棄、切斷或限制的對(duì) 象的"接近"和"攻擊"以使其不通過,或者能夠通過對(duì)其進(jìn)行設(shè)置來 執(zhí)行這種監(jiān)視。
此外,網(wǎng)絡(luò)層配置了 "CP上的ARP (破壞防護(hù)者上的地址解析協(xié) 議)"。"CP上的ARP"是用于從包括對(duì)抗駭客的保護(hù)性措施在內(nèi)的 IP地址中獲得MAC (介質(zhì)訪問控制)地址(其為以太網(wǎng)的物理地址) 的協(xié)議。MAC是一種LAN等中所采用的浮支稱為介質(zhì)訪問控制的傳輸控 制協(xié)議,并且被用作用于定義作為傳送和接收數(shù)據(jù)單元的幀的傳送和接 收方法、幀格式、錯(cuò)誤校正等等的技術(shù)。
此處,IP仿真器13是用于允許根據(jù)本發(fā)明的各種安全功能與傳統(tǒng) IP外圍棧匹配的軟件或固件。更為具體地,IP仿真器13是用于允許各 種安全功能與ICMP (因特網(wǎng)控制信息協(xié)議)14a (其為用于傳輸IP錯(cuò) 誤消息或控制消息)的協(xié)議、IGMP (因特網(wǎng)組管理協(xié)議)Mb (其為用 于控制主機(jī)組更高效地將相同數(shù)據(jù)分發(fā)給多個(gè)主機(jī)或接收此類數(shù)據(jù)的 協(xié)議)、TCP 15和UDP 16以及套接字接口 17相匹配的軟件、固件或 硬件(電子電路、電子元件)。IP仿真器13可以執(zhí)行IPsec的加密和解 密,并且可以在加密和解密前后執(zhí)行處理(例如添加必要的認(rèn)證信息和 認(rèn)證)。
TCP仿真器15和UDP仿真器16被配置于傳輸層(第四層)中, 傳輸層是位于IP仿真器13之上的層。TCP仿真器15 ^L配置成使用"CP 上的TCPsec" 15b或"CP上的TCP" 15a通過根據(jù)預(yù)期使用而在它們之間進(jìn)行切換來執(zhí)行操作,"CP上的TCPsec" 15b是用于執(zhí)行加密通信 的協(xié)議,"CP上的TCP" 15a是普通通信協(xié)議。與之類似,UDP仿真 器16被配置成使用"CP上的UDPsec" 16b和"CP上的UDP" 16a通 過根據(jù)預(yù)期使用而在它們之間進(jìn)行切換來執(zhí)行操作,"CP上的UDPsec" 16b是用于執(zhí)行加密通信的協(xié)議,"CP上的UDP" 16a是普通通信協(xié)議。 專利文件1最為特別的特征是TCPsec 15b和UDPsec 16b的加密 通信協(xié)議安裝在傳輸層(第四層)中。稍后將描述TCPsec 15b和UDPsec 16b。
執(zhí)行與TCP、 UDP等協(xié)議之間的數(shù)椐交換的套接字接口 17被提供 在會(huì)話層(第五層)中,會(huì)話層是傳輸層(第四層)之上的層。如上所 述,套接字意指通過組合對(duì)應(yīng)于網(wǎng)絡(luò)中的計(jì)算機(jī)地址的IP地址和作為 IP地址的子地址的端口號(hào)而獲得的網(wǎng)絡(luò)地址。事實(shí)上,套接字接口 17 是以單一軟件程序模塊(執(zhí)行程序等)或單一硬件模塊(電子電路、電 子元件等)來配置的,所述單一軟件程序模塊對(duì)一系列首部一起執(zhí)行添 加或刪除。
套接字接口 17提供來自于更上層應(yīng)用的統(tǒng)一訪問系統(tǒng),并且是保 存相似類別、類型的變量或傳統(tǒng)變量的接口。
TCP仿真器15在傳輸層中執(zhí)行將分組分發(fā)至TCPsec 15b和普通協(xié) 議TCP 15a中之一的操作,TCPsec 15b具有防止數(shù)據(jù)泄漏和篡改的功能 (即加密、完整性認(rèn)證、認(rèn)證等等的功能),TCP 15a不具有此類加密、 完整性認(rèn)證、認(rèn)證等等的功能。此外,TCPsec 15b和TCP 15a這二者都 包括破壞防護(hù)者(CP),以使得在選擇任一種協(xié)議的情況下,實(shí)施防止
駭客進(jìn)行的"接近"或"攻擊"的防御功能是可能的。TCP仿真器15 還作為與位于上層中的套接字之間的接口。
此外,如上所迷,UDP可不具有錯(cuò)誤補(bǔ)償功能,而TCP具有錯(cuò)誤 補(bǔ)償功能,但是UDP相應(yīng)地具有高傳輸速度和廣播功能的特征。與TCP 仿真器15類似,UDP仿真器16執(zhí)行將分組分發(fā)至UDPsec 16b和普通 協(xié)議UDP 16a中之一的操作,UDPsec 16b具有防止數(shù)據(jù)泄漏和墓改的 功能(即加密、完整性認(rèn)證、認(rèn)證等等的功能),UDP16a不具有此類 加密、完整性認(rèn)證、認(rèn)證等等的功能。
如圖8中所示,根據(jù)本發(fā)明執(zhí)行加密處理的協(xié)議棧包括套接字17、 TCP仿真器15、 UDP仿真器16、 "CP上的TCPsec" 15b、 "CP上的UDPsec" 16b、 "CP上的TCP" 15a、 "CP上的UDP" 16a、 "CP上的 ICMP" 14a、 "CP上的IGMP" 14b、 IP仿真器13、 "CP上的IP" 13a 以及"CP上的ARP" 12,并且此后,協(xié)議棧被通稱為TCP2。
TCP中不必包括"CP上的IPsec" 13b,但是也可能在TCP2中包含 "CP上的TCPsec" 13b。
除了用于上述加密處理的協(xié)議棧,專利文件1中所公開的TCP2還 包括TCP、 UDP、 IP、 IPsec、 ICMP、 IGMP和ARP的標(biāo)準(zhǔn)協(xié)議棧。CP (破壞防護(hù))被實(shí)施于這些標(biāo)準(zhǔn)協(xié)議中,并且能夠防止各個(gè)棧協(xié)議受到 基于通信的攻擊和基于應(yīng)用和程序的攻擊(特洛伊木馬、程序篡改或有 資格用戶的未授權(quán)使用)。
此外,TCP仿真器15被實(shí)施于TCP2中,并且TCP仿真器15對(duì)于 會(huì)話層中的套接字17和網(wǎng)絡(luò)層中的IP仿真器13而言是兼容的,以使得 TCP仿真器15從外部可被認(rèn)為是標(biāo)準(zhǔn)TCP。實(shí)際上,TCP和TCPsec 被切換以被執(zhí)行為TCP2功能。TCPsec是本發(fā)明的傳輸層中的加密和認(rèn) 證功能。
此外,與之類似,UDP仿真器16被實(shí)施于TCP2中,并且UDP仿 真器16與會(huì)話層中的套接字17和網(wǎng)絡(luò)層中的IP仿真器13的標(biāo)準(zhǔn)UDP 相兼容,以使得UDP仿真器16從外部可被認(rèn)為是標(biāo)準(zhǔn)UDP。實(shí)際上, UDP和UDPsec凈皮切換以孚皮才丸行為TCP2功能。UDPsec是專利文件1中 所描迷的傳輸層中的加密和認(rèn)證功能。
接下來,將描述具有防止"數(shù)據(jù)泄漏"功能(該功能在TCP2中是 特別重要的功能)的TCPsec 15b和UDPsec 16b。
公知的秘密密鑰(公共密鑰)加密算法被用作用于TCPsec 15b和 UDPsec 16b的加密和解密方法(算法和邏輯)。例如,使用了 IBM公 司于上世紀(jì)60年代開發(fā)的密鑰加密算法DES (數(shù)據(jù)加密標(biāo)準(zhǔn))或其改 進(jìn)版本3DES。
此外,瑞士技術(shù)學(xué)會(huì)的James L. Massey先生和Xuejia Lai先生所發(fā) 表的IDEA (國(guó)際數(shù)據(jù)加密算法)也被用于其它加密算法。該加密算法 具有128比特的密碼密鑰長(zhǎng)度,原因是通過將數(shù)據(jù)分為64比特的塊來 對(duì)數(shù)據(jù)進(jìn)行加密。其被設(shè)計(jì)成針對(duì)線性解密方法或差分解密方法具有足 夠強(qiáng)度,其可高效地對(duì)秘密密鑰密碼進(jìn)行解密。
除了諸如專利文件1中所公開的發(fā)明中所使用的、用作TCPsec 15b和UDPsec 16b的密碼系統(tǒng)的FEAL (快速數(shù)據(jù)加密算法)、MISTY或 AES (高級(jí)加密標(biāo)準(zhǔn))的密碼系統(tǒng)之外,還可以使用獨(dú)立創(chuàng)建的秘密加 密和解密算法。此處,F(xiàn)EAL是由日本電信電話株式會(huì)社(當(dāng)時(shí)的老名 稱)開發(fā)的密碼系統(tǒng),并且是一種針對(duì)加密和解密使用相同密鑰的秘密 密鑰密碼系統(tǒng)。FEAL的優(yōu)勢(shì)是以可與DES相比擬的速度來實(shí)現(xiàn)加密 和解密。
接下來,專利文件1中所公開的發(fā)明中所類似使用的MISTY是由 三菱電機(jī)林式會(huì)社開發(fā)的秘密密鑰密碼系統(tǒng),并且通過把數(shù)據(jù)分為類似 于IDEA的64比特的塊來對(duì)數(shù)據(jù)進(jìn)行加密。密鑰長(zhǎng)度是128比特。與 DES等類似,對(duì)加密和解密采用相同的程序。該系統(tǒng)也被設(shè)計(jì)成針對(duì)線 性解密方法或差分解密方法具有足夠強(qiáng)度,其可高效地對(duì)秘密密鑰密碼 進(jìn)行解密。
接下來,AES是美國(guó)商務(wù)部的國(guó)家標(biāo)準(zhǔn)與技術(shù)學(xué)會(huì)所選擇的美國(guó)政 府下一代標(biāo)準(zhǔn)加密系統(tǒng),并且已經(jīng)被發(fā)展為取代當(dāng)前的標(biāo)準(zhǔn)密碼系統(tǒng) DES的下一代密碼標(biāo)準(zhǔn)。由比利時(shí)密碼開發(fā)者Joan Daemen先生和 Vincent Rijmen先生開發(fā)的一種名為Rijndael的系統(tǒng)在2000年10月被 從收集自全世界的密碼系統(tǒng)中選出來。
以這種方式,能夠采用各種已知的秘密密鑰加密算法作為應(yīng)用于專 利文件1中所公開的發(fā)明的TCPsec 15b和UDPsec 16b的密碼系統(tǒng),此 外,采用用戶獨(dú)立開發(fā)的秘密密鑰(公共密鑰)密碼系統(tǒng)是可能的。
此外,采用公共密鑰或諸如MD5 (消息摘要5) 、 SHA1 (安全哈 希算法l ( Secure Hash Algorithm 1))之類的預(yù)共享秘密的認(rèn)證算法, 被用作一種用于防止所謂的"偽裝"和"數(shù)據(jù)篡改"等等的"認(rèn)證"和 "完整性認(rèn)證,,方法。此外,也可以采用一種利用單向功能的原始算法 來替代此類公知的認(rèn)證算法。
MD5是用于認(rèn)證和數(shù)字簽名的哈希函數(shù)(單向概要函數(shù)),其中通 過根據(jù)原始文本生成固定長(zhǎng)度的哈希值以及通過在通信路徑的兩端比 較這些值,能夠檢測(cè)到在通信期間原始文本是否被墓改。哈希值是準(zhǔn)隨 機(jī)數(shù)的值,不能利用此值來復(fù)制原始文本。此外,難以創(chuàng)建生成相同哈 希值的另一消息。
SHA1也是用于認(rèn)證、數(shù)字簽名等等的哈希函數(shù),其中通過從最大 長(zhǎng)度為264或更小比特的原始文本中生成160比特的哈希值并通過在通信路徑的兩端比較這些值,能夠檢測(cè)到在通信期間對(duì)原始文本的篡改。
該認(rèn)證算法也^f皮用在代表傳統(tǒng)互聯(lián)網(wǎng)加密通信的IPsec中。
應(yīng)當(dāng)注意到,如此設(shè)計(jì)那些認(rèn)證算法以使得能夠根據(jù)類似于IPsec 等等的DH (Diffie-Hellman)公共密鑰分布方法、IKE (因特網(wǎng)密鑰交 換)協(xié)議來執(zhí)行安全密鑰交換,并且協(xié)議驅(qū)動(dòng)程序(TCPsec 15b、 UDPsec 16b等)確定時(shí)間表,以使得加密/完整性認(rèn)證算法(邏輯)本身和密鑰 組/域因此將被周期性地改變。
如上所述,在專利文件1中所公開的發(fā)明中,使用了本申請(qǐng)的發(fā)明 人所提出的TCP2,并且能夠在不改變上層應(yīng)用的程序的情況下強(qiáng)化防 止數(shù)據(jù)泄漏、篡改、偽裝、接近和攻擊的功能。因此,實(shí)現(xiàn)了一種新穎 的加密系統(tǒng),在該系統(tǒng)中,加密和解密邏輯-故安排于傳送側(cè)和接收側(cè)上,
、盡i如此r在上述專利文件i中S描述的發(fā)明中:本中請(qǐng)的發(fā)、明人
所提出的TCP2是以軟件或硬件的形式實(shí)施于個(gè)人計(jì)算機(jī)上的。盡管如 此,為了在個(gè)人計(jì)算機(jī)上安裝此類軟件或硬件,工作是必要的,并且通 過安裝此類軟件或硬件,個(gè)人計(jì)算機(jī)自身上的負(fù)載將會(huì)增加。
更為具體地,為了在個(gè)人計(jì)算機(jī)上安裝此類軟件或硬件,如上所述, 對(duì)其安裝的工作是必要的,并且個(gè)人計(jì)算機(jī)自身的負(fù)擔(dān)將會(huì)增加。另一 方面,使用上述TCP2的加密系統(tǒng)是用于防止因特網(wǎng)上的數(shù)據(jù)"泄露" 和"篡改"以及"偽裝"、"接近"和"攻擊"的協(xié)議,并且^皮用在個(gè) 人計(jì)算機(jī)與其外部之間的通信中。
鑒于這樣的問題而提出本發(fā)明,并且本發(fā)明的目標(biāo)是在不造成諸 如向個(gè)人計(jì)算機(jī)安裝軟件或硬件的負(fù)擔(dān)的情況下使用簡(jiǎn)化方式來實(shí)現(xiàn) 個(gè)人計(jì)算機(jī)與其外部之間的通信方面的本申請(qǐng)的發(fā)明人先前所提出的 TCP2功能。
發(fā)明內(nèi)容
為解決上述問題并實(shí)現(xiàn)本發(fā)明的目標(biāo),權(quán)利要求l中所描述的是一 種在通過向位于傳輸層中的TCP或UDP協(xié)議添加加密功能來執(zhí)行計(jì)算 機(jī)化信息的通信時(shí)使用的中間設(shè)備,并且該中間設(shè)備包括協(xié)定裝置, 其用于與相對(duì)設(shè)備協(xié)定對(duì)應(yīng)的加密和解密邏輯;協(xié)議加密裝置,其用于 根據(jù)由協(xié)定裝置所協(xié)定的加密邏輯對(duì)構(gòu)成所傳送和接收的信息單元的分組內(nèi)的至少協(xié)議的有效負(fù)栽進(jìn)行加密并傳送;和協(xié)議解密裝置,其用 于根據(jù)由協(xié)定裝置所協(xié)定的解密邏輯對(duì)所接收的經(jīng)加密的TCP或UDP 協(xié)議的有效負(fù)載進(jìn)行解密,其特征在于通信是根據(jù)使用傳輸層中的TCP 或UDP協(xié)議的加密和解密邏輯來執(zhí)行的。
此外,根據(jù)權(quán)利要求2所述的中間設(shè)備的特征在于加密和解密邏 輯被存儲(chǔ)在存儲(chǔ)器中或安裝在電路上,所述加密和解密邏輯能夠是用于 協(xié)定加密和解密邏輯的協(xié)定裝置的協(xié)定候選者;并且中間設(shè)備進(jìn)一步包 括用于周期性地改變加密和解密邏輯的邏輯改變裝置,所述加密和解密 邏輯能夠是協(xié)定候選者并被存儲(chǔ)或安裝。
在根據(jù)權(quán)利要求3所述的中間設(shè)備中,允許協(xié)定裝置對(duì)加密和解密 邏輯進(jìn)行協(xié)定,以使得在不進(jìn)行加密的情況下處理明文。
圖1是示出了本發(fā)明所應(yīng)用于的中間設(shè)備的實(shí)施例的配置的框圖。 圖2是概念圖,其中TCP2被實(shí)現(xiàn)為連接至通信線路的安全網(wǎng)關(guān),
該安全網(wǎng)關(guān)執(zhí)行加密通信和認(rèn)證。
圖3是示出了根據(jù)本發(fā)明的中間設(shè)備所應(yīng)用于的特定通信網(wǎng)絡(luò)的實(shí)
例的圖。
圖4是解釋相關(guān)的技術(shù)以進(jìn)行對(duì)比的表。
圖5是解釋相關(guān)的技術(shù)以進(jìn)行對(duì)比的說明圖。
圖6是示出了過去使用IPsec和SSL的標(biāo)準(zhǔn)通信協(xié)議棧的圖。
圖7是解釋相關(guān)的技術(shù)的表。
圖8是示出了由本申請(qǐng)的發(fā)明人先前提出的TCP2協(xié)議棧的圖。 實(shí)施本發(fā)明的最佳方式
此后,將參考附圖來解釋本發(fā)明,并且圖l是示出了本發(fā)明的中間 設(shè)備所應(yīng)用于的實(shí)施例的配置的框圖。
在圖1中,中間設(shè)備100是具有等同于個(gè)人計(jì)算機(jī)的功能的設(shè)備。 中間設(shè)備100包括分別連接至網(wǎng)絡(luò)200、 300的NIC (網(wǎng)絡(luò)接口卡)驅(qū) 動(dòng)器la、 lb。此外,中間設(shè)備100包括網(wǎng)絡(luò)層和傳輸層,網(wǎng)絡(luò)層和傳輸 層包括為包括NIC驅(qū)動(dòng)器la、 lb的物理層和數(shù)據(jù)鏈路層定義通信方法 的"TCP/IP" 2,所述通信方法用于為存在于網(wǎng)絡(luò)200、 300上的任意兩個(gè)節(jié)點(diǎn)之間實(shí)施路由時(shí)的通信。
可以在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間提供本申請(qǐng)的發(fā)明人先前所提出
的"TCP2"3的功能。更為具體地,能夠以軟件或硬件的形式提供"TCP2" 3的功能,并且還可能以外部功能4(EXP.)的形式提供用于控制"TCP2" 3功能、周期性地改變加密和解密邏輯以及協(xié)定,以使得在必要時(shí)在不 進(jìn)行加密的情況下處理明文的裝置。
因而,在本實(shí)施例中,本申請(qǐng)的發(fā)明人先前所提出的TCP2功能實(shí) 施在中間設(shè)備中,以使得在個(gè)人計(jì)算機(jī)與其外部之間通信中,防止因特 網(wǎng)上數(shù)椐"泄漏"和"篡改"以及其它"偽裝"、"接近"或"攻擊" 而不帶來任何諸如在個(gè)人計(jì)算機(jī)上安裝軟件或硬件的負(fù)擔(dān)是可能的。
更為具體地,例如,如圖2中的概念圖所示的,本發(fā)明的中間設(shè)備 100被實(shí)現(xiàn)為安全網(wǎng)關(guān),執(zhí)行加密通信和認(rèn)證的安全網(wǎng)關(guān)將TCP2連接 至通信線路。
在圖2中,包括TCP2的中間設(shè)備101 、102與通信的物理接口無(wú)關(guān), 以使得其可以被連接至各種接口。本文中,包括以太網(wǎng)、FDDI、 PPP、 無(wú)線LAN和IEEE 1394在內(nèi)的各種通信接口被表示為接口 A(網(wǎng)絡(luò)300) 和接口 B (網(wǎng)絡(luò)201、 202)。
現(xiàn)有通信數(shù)據(jù)被從接口 A輸入到中間設(shè)備101 ,由TCP2加密并被 作為密碼數(shù)據(jù)輸出至接口 B。此外,經(jīng)加密的通信數(shù)據(jù)被從接口 B輸入 至中間設(shè)備102,由TCP2解密并作為現(xiàn)有通信數(shù)據(jù)輸出至接口 A。中 間設(shè)備101 、 102中的每一個(gè)都具有在發(fā)起通信時(shí)相互認(rèn)證TCP2的功能, 并且在認(rèn)證不成功的情況下被迫終止通信。
在這樣的通信系統(tǒng)中,分別在現(xiàn)有通信設(shè)備401和中間設(shè)備101之 間、以及在現(xiàn)有通信設(shè)備402和中間設(shè)備102之間傳送和接收現(xiàn)有通信 數(shù)據(jù),但是在中間設(shè)備101和102之間傳送和接收經(jīng)加密的通信數(shù)據(jù), 以使得能夠防止中間設(shè)備101和102之間的數(shù)據(jù)"泄漏"和"篡改,,以 及其它"偽裝"、"接近"或"攻擊"。
此外,圖3示出了通信網(wǎng)絡(luò)的一個(gè)特定實(shí)例。如圖3所示,多個(gè)個(gè) 人計(jì)算才幾411、 412和413通過網(wǎng)絡(luò)(諸如以太網(wǎng)等)201連接至主計(jì)算 機(jī)A,從而形成LAN (區(qū)域網(wǎng))環(huán)境。因而,在此情況下,用于實(shí)現(xiàn)與 外部網(wǎng)絡(luò)300的連接的中間設(shè)備101是路由器。
另一方面,單個(gè)個(gè)人計(jì)算機(jī)402被提供作為主計(jì)算機(jī)B。因而,在此情況下,用于實(shí)現(xiàn)與外部網(wǎng)絡(luò)300的連接的中間設(shè)備102是網(wǎng)關(guān),并 且通過網(wǎng)絡(luò)202 (例如以太網(wǎng))連接至個(gè)人計(jì)算機(jī)420。此外,在此情 況下,外部網(wǎng)絡(luò)300也通過以太網(wǎng)連接。
在這樣的通信網(wǎng)絡(luò)中,現(xiàn)有通信數(shù)據(jù)是經(jīng)由網(wǎng)絡(luò)201、 202的區(qū)域 來傳送和接收的,并且經(jīng)加密的通信數(shù)據(jù)是經(jīng)由外部網(wǎng)絡(luò)300的一部分 來傳送和接收的。在外部網(wǎng)絡(luò)300的該部分中,防止數(shù)據(jù)"泄漏"和"篡 改"以及其它"偽裝"、"接近,,或"攻擊"是可能的。
以此方式,根據(jù)本發(fā)明的中間設(shè)備包括協(xié)定裝置,其用在通過對(duì) 位于傳輸層中的協(xié)議進(jìn)行加密來執(zhí)行計(jì)算機(jī)化信息的通信時(shí),與相對(duì)設(shè) 備協(xié)定對(duì)應(yīng)的加密和解密邏輯;協(xié)議加密裝置,其用于根椐由協(xié)定裝置 所協(xié)定的加密邏輯對(duì)作為所傳送和接收的信息單元的分組中的至少協(xié) 議的有效負(fù)載進(jìn)行加密并傳送;以及協(xié)議解密裝置,其用于根據(jù)由協(xié)定 裝置所協(xié)定的解密邏輯對(duì)所接收的經(jīng)加密的協(xié)議的有效負(fù)載進(jìn)行解密; 并根據(jù)使用傳輸層中的協(xié)議的加密和解密邏輯來執(zhí)行通信,以使得能夠 在個(gè)人計(jì)算機(jī)與其外部之間通信中防止因特網(wǎng)上的數(shù)據(jù)"泄漏"和"篡 改"以及其它"偽裝"、"接近,,或"攻擊,,而不帶來任何諸如在個(gè)人 計(jì)算機(jī)上安裝軟件或硬件的負(fù)擔(dān)。
最后,根據(jù)圖4中的表2和圖5,對(duì)照過去的IPsec或SSL來解釋 本發(fā)明的TCP2的特征。圖4中的表2是通過將TCP2功能添加至上述 圖7中的表1中的IPsec和SSL功能比較表而示出的表。
如表2中所示,通過采用TCP2,完全解決了 IPsec和SSL所具有的 各種問題(已在背景技術(shù)中予以描述)。例如,TCP2完全支持客戶機(jī) 之間的通信、防止對(duì)TCP/IP協(xié)議的DoS攻擊、保護(hù)所有UDP端口或 TCP端口上的通信、對(duì)其中套接字程序已經(jīng)被改變的應(yīng)用沒有限制等 等,而這些是SSL難以支持的。
此外,TCP2完全支持錯(cuò)誤頻繁發(fā)生的惡劣環(huán)境下的通信、不同LAN 之間的通信、通過多個(gè)栽波的連接、PPP移動(dòng)環(huán)境和ADSL環(huán)境下的通 信,這些都是IPsec難以支持的。此外,對(duì)于在移動(dòng)環(huán)境或ADSL環(huán)境 下使用VoIP (基于網(wǎng)際協(xié)議的語(yǔ)音)的因特網(wǎng),如表1和表2中所示, IPsec和SSL都存在問題,但是本發(fā)明的TCP2支持任意環(huán)境下因特網(wǎng)上 的通信。
此外,盡管IPsec和SS1難以支持在不同LAN之間使用VoIP的互聯(lián)網(wǎng)電話,但是本發(fā)明的TCP2完全支持。
圖5是用于解釋TCP2的特征的圖,并且該圖通過比較示出了情況 (b) 、 (c) 、 (d),情況(b)、 (c) 、 (d)分別是當(dāng)傳統(tǒng)SSL、 IPsec和本發(fā)明的TCP2 (TCPsec/UDPsec)應(yīng)用于協(xié)議棧(a)而不采取 保護(hù)時(shí)的情況。
圖5中的情況(b)中示出的SSL,如前所述,與上層應(yīng)用不兼容, 原因在于其被提供于會(huì)話層(第五層)的套接字中。因此,SSL本身具 有上述問題。此外,圖5中的情況(c)中示出的IPsec位于網(wǎng)絡(luò)層(第 三層),并且在IP層中不兼容,由此在形成上述網(wǎng)絡(luò)時(shí)受到若干限制。
另一方面,圖5中的情況(d)中示出的TCP2 (TCPsec/UDPsec ) 是在傳輸層(第四層)中引入的加密技術(shù),因此在從應(yīng)用角度觀察時(shí)可 以直接采用套接字,并且進(jìn)一步在從網(wǎng)絡(luò)觀察時(shí)還可以直接采用IP,這 樣在形成網(wǎng)絡(luò)時(shí),不存在限制。
如上所述,本發(fā)明的中間設(shè)備使用由本申請(qǐng)的發(fā)明人先前提出的 TCP2,并且相較于現(xiàn)有加密過程系統(tǒng)時(shí),在數(shù)據(jù)泄漏、篡改、偽裝、接 近和攻擊方面具有極高的安全功能。
應(yīng)當(dāng)意識(shí)到,本發(fā)明不限于上述實(shí)施例,并且權(quán)利要求中所描述的 本發(fā)明將包括各種其它實(shí)施例而不脫離本發(fā)明的范圍。
附圖標(biāo)記描述
la、 lb、 11 NIC驅(qū)動(dòng)器
2 TCP/IP
3 TCP2
4 外部電路
12 CP上的ARP
13 IP仿真器 13a CP上的IP 13b CP上的IPsec 14a ICMP
14b IGMP 15 TCP16 UDP
17 套接字接口
100、 101、 102中間設(shè)備
200、 201、 202、 300 網(wǎng)絡(luò)
401、 402現(xiàn)有通信設(shè)備
411、 412、 413、 420個(gè)人計(jì)算機(jī)
權(quán)利要求
1.一種在通過向位于傳輸層中的TCP或UDP協(xié)議添加加密功能來執(zhí)行計(jì)算機(jī)化信息的通信時(shí)使用的中間設(shè)備,所述中間設(shè)備包括協(xié)定裝置,其用于與相對(duì)設(shè)備協(xié)定對(duì)應(yīng)的加密和解密邏輯;協(xié)議加密裝置,其用于根據(jù)由協(xié)定裝置所協(xié)定的加密邏輯對(duì)作為所傳送和接收的信息單元的分組中的至少協(xié)議的有效負(fù)載進(jìn)行加密并傳送;和協(xié)議解密裝置,其用于根據(jù)由協(xié)定裝置所協(xié)定的解密邏輯對(duì)所接收的經(jīng)加密的TCP或UDP協(xié)議的有效負(fù)載進(jìn)行解密,其中通信是根據(jù)使用傳輸層的TCP或UDP協(xié)議的加密和解密邏輯來執(zhí)行的。
2. 根據(jù)權(quán)利要求1所述的中間設(shè)備,其中加密和解密邏輯被存儲(chǔ)在存儲(chǔ)器中或?qū)嵤┯陔娐飞?,所述加密和?密邏輯能夠是根據(jù)用于協(xié)定加密和解密邏輯的協(xié)定裝置的協(xié)定候選者; 并且進(jìn)一步包括邏輯改變裝置,其用于周期性地改變所存儲(chǔ)或?qū)嵤┑哪?夠是協(xié)定候選者的加密和解密邏輯。
3. 根據(jù)權(quán)利要求1或2所述的中間設(shè)備,其中允許用于協(xié)定加密 和解密邏輯的協(xié)定裝置在不進(jìn)行與加密和解密邏輯有關(guān)的加密的情況 下處理明文。
全文摘要
在個(gè)人計(jì)算機(jī)與其外部之間的通信中,防止因特網(wǎng)上數(shù)據(jù)的“泄漏”和“篡改”以及“偽裝”、“接近”或“攻擊”,而不帶來諸如在個(gè)人計(jì)算機(jī)上安裝軟件或硬件之類的任何負(fù)擔(dān)。為實(shí)現(xiàn)此目標(biāo),根據(jù)本發(fā)明,一種中間設(shè)備100包括分別連接至網(wǎng)絡(luò)200、300的NIC(網(wǎng)絡(luò)接口卡)驅(qū)動(dòng)器1a、1b,以及網(wǎng)絡(luò)層和傳輸層,所述網(wǎng)絡(luò)層和傳輸層包括定義了一種通信方法的“TCP/IP”2,所述通信方法用于在執(zhí)行任意兩個(gè)節(jié)點(diǎn)之間的路由時(shí)進(jìn)行通信并被提供給包括NIC驅(qū)動(dòng)器1a、1b的物理層和數(shù)據(jù)鏈路層。在數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層之間,提供了由本申請(qǐng)的發(fā)明人先前提出的“TCP2”3的功能。
文檔編號(hào)H04L12/66GK101529805SQ20068005582
公開日2009年9月9日 申請(qǐng)日期2006年7月13日 優(yōu)先權(quán)日2006年7月13日
發(fā)明者小川惠子, 尾崎博嗣 申請(qǐng)人:小川惠子