亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

為通信網(wǎng)安全而使用無(wú)效碼元安全干擾的方法和設(shè)備的制作方法

文檔序號(hào):7583282閱讀:207來(lái)源:國(guó)知局
專利名稱:為通信網(wǎng)安全而使用無(wú)效碼元安全干擾的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明一般涉及一種安全管理裝置,本發(fā)明尤其涉及使用無(wú)效碼元以干擾與通信網(wǎng)中不希望的網(wǎng)絡(luò)裝置進(jìn)行數(shù)據(jù)通信的防竊聽(tīng)的方法和設(shè)備。
數(shù)據(jù)通信技術(shù)的新進(jìn)步在通過(guò)使用提供可靠的高速數(shù)據(jù)信道的網(wǎng)絡(luò)在計(jì)算機(jī)系統(tǒng)之間進(jìn)行資源共享方面大有進(jìn)展。通過(guò)對(duì)通信規(guī)定共同的標(biāo)準(zhǔn),允許網(wǎng)絡(luò)具有通用性,從而可以跨越用戶應(yīng)用交換不依賴于賣主(vendor)設(shè)備的信息。隨著網(wǎng)絡(luò)日益普及,對(duì)網(wǎng)絡(luò)性能的要求也在提高。建立更加復(fù)雜的協(xié)議來(lái)滿足這個(gè)要求,并且使用辦公室建筑物內(nèi)現(xiàn)有的雙絞線,從而實(shí)質(zhì)上所有的計(jì)算機(jī)的有讀寫能力的用戶以最小的花費(fèi)訪問(wèn)資源。
多端口重發(fā)器(repeater)是一種通常使用的通信網(wǎng)絡(luò)裝置,以對(duì)終端用戶(諸如個(gè)人計(jì)算機(jī)、工作站等等)提供網(wǎng)絡(luò)訪問(wèn)。這個(gè)裝置具有多個(gè)“端口”。在許多情形中,每個(gè)端口連至使用10BASE-T“絞合線對(duì)”(Twisted Pair)或由IEEE 802.3標(biāo)準(zhǔn)規(guī)定的100BASE-X連接的一個(gè)終端節(jié)點(diǎn)。這些端口用作在通信網(wǎng)絡(luò)裝置和終端用戶電臺(tái)之間的物理接口。每個(gè)端口按照IEEE 802.3重發(fā)器規(guī)范工作。當(dāng)從任何單個(gè)端口接收到一個(gè)數(shù)據(jù)通信分組(packet)時(shí),按照該標(biāo)準(zhǔn),該數(shù)據(jù)分組重發(fā)至所有其他的端口。當(dāng)在任何時(shí)刻接收到一個(gè)以上的分組時(shí),多端口重發(fā)器進(jìn)行在所述標(biāo)準(zhǔn)中規(guī)定的沖突算法(collision algorithm)。
以太網(wǎng)橋接器(bridge)是一種具有兩個(gè)或多個(gè)物理端口的裝置,它能夠根據(jù)分組的目的地地址把在任何端口接收到的分組遞送至任何其他的單個(gè)端口。不遞送至端口的分組視為被濾除的分組。
媒體訪問(wèn)控制(Media Access Control,MAC)功能把數(shù)字信息(它一般以分組的形式存儲(chǔ)在存儲(chǔ)器中)轉(zhuǎn)換為能夠在以太網(wǎng)連接上被傳送的實(shí)際的以太網(wǎng)幀,或者從網(wǎng)絡(luò)連接接收的作為分組存儲(chǔ)在存儲(chǔ)器中的幀。
包括網(wǎng)絡(luò)安全性的關(guān)鍵問(wèn)題之一是竊聽(tīng)問(wèn)題。由于在重發(fā)器的一個(gè)端口上接收到的分組要重發(fā)至重發(fā)器的所有端口,因此發(fā)生竊聽(tīng)。于是,如果沒(méi)有某種安全機(jī)制,則連至除了與數(shù)據(jù)分組中的目的地地址相關(guān)聯(lián)的一個(gè)端口之外的端口的網(wǎng)絡(luò)裝置也將接收該分組。以太網(wǎng)橋接器沒(méi)有這個(gè)問(wèn)題,因?yàn)橥ㄟ^(guò)使用包含在分組中的源和目的地信息,它們具有把分組遞送至所希望的端口(即連至終端用戶電臺(tái)的端口,該電臺(tái)具有與分組中的目的地地址相匹配的源地址),而不把分組重發(fā)至位于其他端口上的裝置的能力。
為了在使用多端口重發(fā)器的局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)上防竊聽(tīng),而沒(méi)有與使用橋接器相關(guān)聯(lián)的花費(fèi)和信號(hào)延遲,需要有改進(jìn)的安全機(jī)制。在使用“多端口重發(fā)器”的典型的網(wǎng)絡(luò)工作中,多端口重發(fā)器的每個(gè)端口持久地專用于單個(gè)用戶的。對(duì)于網(wǎng)絡(luò)而言,用與用戶的終端節(jié)點(diǎn)裝置(諸如個(gè)人計(jì)算機(jī)、工作站等等)相關(guān)聯(lián)的以太網(wǎng)地址來(lái)唯一地識(shí)別此用戶。用戶每次在網(wǎng)絡(luò)上送出分組時(shí),終端節(jié)點(diǎn)就自動(dòng)發(fā)送它的以太網(wǎng)地址,該地址在由IEEE 802.3標(biāo)準(zhǔn)規(guī)定的作為分組的一部分的“源地址字段”中。分組還包括“目的地地址字段”,用以識(shí)別打算接收該分組的源。
網(wǎng)絡(luò)安全性方案遇到的一種情形是網(wǎng)絡(luò)裝置截獲不打算給它們的敏感的或機(jī)密的數(shù)據(jù)。對(duì)待這個(gè)問(wèn)題的一種方法是中止至不希望的網(wǎng)絡(luò)裝置的數(shù)據(jù)傳輸。然而,這個(gè)方案的主要缺點(diǎn)是當(dāng)那些網(wǎng)絡(luò)裝置打算發(fā)送時(shí)由于不了解已經(jīng)有網(wǎng)絡(luò)業(yè)務(wù)存在而發(fā)生不受歡迎的沖突的可能性。這個(gè)方案也違背了IEEE802.3重發(fā)器標(biāo)準(zhǔn)。
在分別授予Carter等人和Nicols等人的第5,161,192號(hào)和第4,901,348號(hào)美國(guó)專利中揭示了防竊聽(tīng)的一種方法。采用這種方法,通過(guò)用無(wú)關(guān)的或隨機(jī)的碼型代替發(fā)送至不希望的網(wǎng)絡(luò)裝置的數(shù)據(jù),可以防止竊聽(tīng)。這些安全系統(tǒng)取決于這樣的事實(shí),即,按照IEEE 802.3標(biāo)準(zhǔn)或LAN協(xié)議,用無(wú)關(guān)的碼型所作的替換將導(dǎo)致不是合法數(shù)據(jù)幀的數(shù)據(jù)幀。說(shuō)的更具體些,IEEE 802.3標(biāo)準(zhǔn)規(guī)定了媒體訪問(wèn)控制(MAC)幀結(jié)構(gòu),它包括檢查被發(fā)送數(shù)據(jù)的有效性的方法。使用預(yù)定的算法對(duì)于數(shù)據(jù)分組內(nèi)容(不包括起始幀定界符(SFD)和幀校驗(yàn)序列(FCS)字段)計(jì)算循環(huán)冗余校驗(yàn)(CRC)值。為輸出數(shù)據(jù)分組,傳輸裝置把算得的CRC值插入FCS字段。接收裝置根據(jù)數(shù)據(jù)分組計(jì)算CRC值,并且將該值與在已發(fā)送的分組的FCS字段中的值作比較。如果這兩個(gè)值不相等,則誤差結(jié)果指出數(shù)據(jù)分組是無(wú)效的。雖然用這個(gè)方法識(shí)別不合法的數(shù)據(jù)幀的百分比很高,但仍有這樣的可能性,即,無(wú)關(guān)的碼型將與被替代的數(shù)據(jù)足夠相像以致不產(chǎn)生誤差。在這種情形下,不希望的網(wǎng)絡(luò)裝置不具備指出它不是所希望的目的地以及數(shù)據(jù)是無(wú)效數(shù)據(jù)的指示。這將導(dǎo)致不需要的和不希望的負(fù)面結(jié)果。不正確地使用無(wú)關(guān)的或隨機(jī)的碼型作為合法的數(shù)據(jù)將引導(dǎo)用戶或網(wǎng)絡(luò)裝置根據(jù)那些結(jié)果采取不合適的和可能是破壞性的行動(dòng)。
如上面所指出的那樣,需要改進(jìn)安全機(jī)制,以在使用多端口重發(fā)器的LAN或WAN網(wǎng)絡(luò)上防竊聽(tīng),其中,用這樣的方法對(duì)送至不希望的網(wǎng)絡(luò)裝置的數(shù)據(jù)分組進(jìn)行干擾,從而明確地向接收網(wǎng)絡(luò)裝置指出,包含在數(shù)據(jù)分組中的數(shù)據(jù)是無(wú)效的。
為了克服上述現(xiàn)有技術(shù)中的局限性,并且克服在閱讀和理解了本說(shuō)明書(shū)之后將變得更加顯然的其他的局限性,本發(fā)明揭示了一種安全干擾裝置,它使用HALT(暫停)碼元在具有諸如重發(fā)器的通信網(wǎng)絡(luò)裝置的通信網(wǎng)絡(luò)中防竊聽(tīng)。安全干擾裝置防止把敏感的或保密的數(shù)據(jù)傳送至通信網(wǎng)絡(luò)上的不希望的網(wǎng)絡(luò)裝置。此外,如由電氣與電子工程師協(xié)會(huì)股份有限公司(IEEE,Inc.)出版的IEEE802.3u標(biāo)準(zhǔn)規(guī)定,并通過(guò)參照而引用于此的那樣,HALT碼元指出,在數(shù)據(jù)分組(或協(xié)議數(shù)據(jù)單元(protocol data unit,PDU))中的數(shù)據(jù)是無(wú)效的。于是,不希望的終端用戶電臺(tái)將不會(huì)把HALT碼元誤認(rèn)為有效數(shù)據(jù)。
安全管理裝置對(duì)于連接至通信網(wǎng)絡(luò)的網(wǎng)絡(luò)裝置存儲(chǔ)網(wǎng)絡(luò)裝置源地址。在接收到一個(gè)分組之后,安全管理裝置把包含在分組中的目的地地址與已存儲(chǔ)的源地址作比較。源地址與目的地地址不匹配的那些網(wǎng)絡(luò)裝置以變更的形式(即,分組中的數(shù)據(jù)被HALT碼元替代)接收被遞送的分組。而源地址與目的地地址匹配的那些網(wǎng)絡(luò)裝置以不變更的形式接收被遞送的分組。
在分組中出現(xiàn)HALT碼元確保了不希望的網(wǎng)絡(luò)裝置知道數(shù)據(jù)是無(wú)效的。對(duì)于數(shù)據(jù)的有效性或無(wú)效性不會(huì)含糊不清。此外,由于HALT碼元代表了與包含在分組中的數(shù)據(jù)無(wú)關(guān)的值,因此不把關(guān)于原始數(shù)據(jù)的信息發(fā)送至通信網(wǎng)絡(luò)上的不希望的網(wǎng)絡(luò)裝置。
表征本發(fā)明的新穎性的這些優(yōu)點(diǎn)和其他各個(gè)優(yōu)點(diǎn)將在所附的并且構(gòu)成本文件的一部分的權(quán)利要求書(shū)中詳細(xì)指出。然而,為了更好地了解本發(fā)明、它的優(yōu)點(diǎn)、以及由它的使用得到的目的,必須參看附圖(它們構(gòu)成本文件的又一部分)以及相隨的描述材料,在這些材料中,描述了按照本發(fā)明的一種設(shè)備的具體例子。


圖1A是說(shuō)明本發(fā)明的操作的系統(tǒng)圖;圖1B是說(shuō)明本發(fā)明的改變形式的數(shù)據(jù)分組和不改變形式的數(shù)據(jù)分組的數(shù)據(jù)結(jié)構(gòu)的圖解;圖2是本發(fā)明的安全管理裝置的功能方框圖;圖3是示出本發(fā)明的重發(fā)器管理裝置的系統(tǒng)方框圖;圖4是按照本發(fā)明的重發(fā)器/重發(fā)器管理裝置的方框圖;圖5A是說(shuō)明按照本發(fā)明的完成防范竊聽(tīng)所需步驟的序列的方框圖,其中,源地址寄存器用“跟蹤的”源地址更新;圖5B是說(shuō)明按照本發(fā)明的完成防范竊聽(tīng)所需步驟的序列的方框圖,其中,源地址寄存器由帶有不鎖定模式的控制器的目的地地址寄存器更新。
在下面的較佳實(shí)施例的描述中,參照構(gòu)成本文件的一部分的附圖,并且通過(guò)說(shuō)明一個(gè)可以實(shí)現(xiàn)本發(fā)明的實(shí)施例示出。應(yīng)該了解,可以利用其他的實(shí)施例以及可以作出變更,而不偏離本發(fā)明的范圍。
本發(fā)明提供了一種用于通信網(wǎng)絡(luò)中的通信網(wǎng)絡(luò)裝置的安全干擾裝置,它使用無(wú)效碼元來(lái)防止竊聽(tīng)。通信網(wǎng)絡(luò)裝置包括一個(gè)接收單元和一個(gè)發(fā)送單元,接收單元用于通過(guò)連至通信網(wǎng)絡(luò)的至少一個(gè)端口接收協(xié)議數(shù)據(jù)單元(PDU)或者分組,發(fā)送單元有效地耦合至接收單元,用于通過(guò)連至通信網(wǎng)絡(luò)的至少一個(gè)端口發(fā)送出協(xié)議數(shù)據(jù)。此外,通信網(wǎng)絡(luò)裝置也可以完成一種或多種通信網(wǎng)絡(luò)功能,包括切換、路由選擇、橋接、以及重發(fā)。在下面的討論中,參照?qǐng)D1-5描述接收單元和發(fā)送單元的具體細(xì)節(jié)。
圖1A是說(shuō)明本發(fā)明的操作的系統(tǒng)圖。通信網(wǎng)絡(luò)裝置10有效地耦合至一個(gè)或多個(gè)發(fā)送或接收單元(收發(fā)兩用機(jī))22、24、26和28。包含在數(shù)據(jù)通信分組20或PDU中的消息或數(shù)據(jù)44從收發(fā)兩用機(jī)22發(fā)送至通信網(wǎng)絡(luò)裝置10。這些消息44中的一些是收發(fā)兩用機(jī)特定的,即,不打算把它們遞送給在通信網(wǎng)絡(luò)裝置10上的所有的收發(fā)兩用機(jī)。為了說(shuō)明的目的,圖1A示出這樣一種情形,其中,來(lái)自收發(fā)兩用機(jī)22的消息44打算遞送給收發(fā)兩用機(jī)24,而不打算遞送給收發(fā)兩用機(jī)26和28。按照本發(fā)明,通信網(wǎng)絡(luò)裝置10(它包括重發(fā)器管理裝置60、管理地址跟蹤單元50、安全管理裝置40和安全干擾裝置30)允許原始分組20不變地(不改變的PDU)遞送至希望的收發(fā)兩用機(jī)24。然而,在發(fā)送至不希望的裝置26和28之前,通信網(wǎng)絡(luò)裝置10把原始的不改變的PDU20的消息44用HALT碼元48來(lái)替代,由此產(chǎn)生改變的PDU 32。下面參照?qǐng)D1B進(jìn)一步描述這一操作。
圖1B是示出PDU的改變形式32和不改變形式20的數(shù)據(jù)結(jié)構(gòu)的圖。按照IEEE 802.3標(biāo)準(zhǔn),如圖所示,PDU包括報(bào)頭字段34、起始幀界定符(SFD)字段36、目的地地址字段38、源地址字段40、長(zhǎng)度字段42、數(shù)據(jù)字段44(如有需要,包括填充字符)、以及幀校驗(yàn)序列字段(FCS)字段46。在通信網(wǎng)絡(luò)裝置10從收發(fā)兩用機(jī)22接收到PDU 20之后,通信網(wǎng)絡(luò)裝置10把目的地地址38與從所有先前被跟蹤的源的源地址字段得出的已知的源作比較。已知的源包含在源地址寄存器54中,并且在這里參照?qǐng)D2作進(jìn)一步的描述。根據(jù)收發(fā)兩用機(jī)24、26和28的源地址是否與PDU20的目的地地址匹配,從通信網(wǎng)絡(luò)裝置10遞送不改變的PDU至收發(fā)兩用機(jī)24、26和28。源地址不與PDU的目的地地址匹配的那些收發(fā)兩用機(jī)26和28接收改變的PDU,其中,代替數(shù)據(jù)44,將HALT碼元48插入數(shù)據(jù)字段。也能把HALT碼元48插入PDU20的其他部分而不偏離本發(fā)明的范圍。例如,可以把HALT碼元48置于源地址字段40或者長(zhǎng)度字段42。
在本發(fā)明的一個(gè)實(shí)施例中,允許所有希望的收發(fā)兩用機(jī)24接收不改變的PDU20(其數(shù)據(jù)44完全不受擾動(dòng)),而不希望的收發(fā)兩用機(jī)26和28接收改變的PDU32(其數(shù)據(jù)44用HALT碼元48代替)。HALT碼元48向收發(fā)兩用機(jī)26和28明確地指出,改變的PDU32包含著無(wú)效數(shù)據(jù)。
能夠使用上述的教導(dǎo)來(lái)優(yōu)化接收單元24、26和28;發(fā)送單元22;和/或通信網(wǎng)絡(luò)裝置10,以應(yīng)付許多不同類型的協(xié)議數(shù)據(jù)單元20,包括分組、幀和單元(cell),只要有關(guān)的協(xié)議規(guī)定HALT信號(hào)或別的類似的信號(hào)。接收單元24、26和28;發(fā)送單元22;和通信網(wǎng)絡(luò)裝置10也可以被優(yōu)化,以在基于IEEE802通信網(wǎng)絡(luò)(諸如基于絞合線對(duì)的通信網(wǎng)絡(luò))中工作。
本發(fā)明的一個(gè)實(shí)施例提供了一種安全操作模式(Secure Operations Mode),它允許在逐個(gè)端口的基礎(chǔ)上,有選擇地啟動(dòng)竊聽(tīng)防范。把輸入PDU20的目的地地址38與相應(yīng)于選出的被啟動(dòng)端口的被跟蹤的源地址作比較。任何具有與目的地地址38不匹配的源地址的選出的被啟動(dòng)的端口接收HALT碼元48,而不是包含在PDU20內(nèi)的原始數(shù)據(jù)44。不被這種功能啟動(dòng)的端口繼續(xù)接收具有不改變的格式的PDU20,而不管目的地地址與已知的源地址是否匹配。
圖2是按照本發(fā)明的安全管理裝置40的功能方框圖。安全管理裝置40可以在管理和地址跟蹤單元50中用硬件和/或軟件的組合來(lái)實(shí)現(xiàn)。安全管理裝置40確定把哪個(gè)PDU以不改變的格式20發(fā)送至收發(fā)兩用機(jī)24,并且確定接收改變的PDU32的那些收發(fā)兩用機(jī)26和28。
安全管理裝置40包括與源地址寄存器54有效耦合的控制器56以及目的地地址寄存器52。目的地地址寄存器52為由通信網(wǎng)絡(luò)裝置10接收到的PDU20保持目的地地址38,而源地址寄存器54保持至少一個(gè)源地址。在源地址寄存器54中的每個(gè)源地址相應(yīng)于一個(gè)已知的網(wǎng)絡(luò)裝置,即,連至網(wǎng)絡(luò)裝置10的任何一個(gè)收發(fā)兩用機(jī)。
安全管理裝置10包括有效地耦合至控制器56的安全干擾裝置30。安全干擾裝置30干擾至收發(fā)兩用機(jī)26和28的數(shù)據(jù)通信20,收發(fā)兩用機(jī)26和28在源地址寄存器54中的源地址與在數(shù)據(jù)通信20中的目的地地址不匹配。通過(guò)把HALT碼元48寫至數(shù)據(jù)通信20的數(shù)據(jù)字段44、長(zhǎng)度字段42、或源地址字段40干擾數(shù)據(jù)通信,產(chǎn)生改變的PDU32,安全干擾裝置30干擾數(shù)據(jù)通信20。如IEEE 802.3u標(biāo)準(zhǔn)所規(guī)定的,HALT碼元48清楚地向接收收發(fā)兩用機(jī)26和28指出,改變的PDU32無(wú)效。
在一個(gè)實(shí)施例中,控制器56包括以自由運(yùn)行(free-run)或不鎖定模式工作的機(jī)制。在不鎖定模式中,在將源地址寄存器54中的源地址與在目的地地址寄存器52中的目的地地址38作比較之前,把來(lái)自目的地地址寄存器52的目的地地址38置入源地址寄存器54。于是,進(jìn)行比較將總是導(dǎo)致匹配,從而連至通信網(wǎng)絡(luò)裝置10的所有的收發(fā)兩用機(jī)將接收不改變的PDU 20。
在另一個(gè)實(shí)施例中,控制器56還包括以鎖定模式工作的機(jī)制。在鎖定模式中,不更新包含在源地址寄存器54中的已知的源來(lái)包括存儲(chǔ)在目的地地址寄存器52中的目的地地址38。安全管理裝置40用前面對(duì)于圖2進(jìn)行描述的方式工作。
表Ⅰ說(shuō)明根據(jù)鎖定模式以及存儲(chǔ)在目的地地址寄存器52中的輸入的PDU的目的地地址38是否與存儲(chǔ)在源地址寄存器54中的源地址匹配,由控制器56采取的動(dòng)作。
表Ⅰ加鎖模式是否匹配 動(dòng)作不鎖定匹配 無(wú)(所有的接收單元接收不改變的
PDU20。)不匹配更新源地址寄存器54,并且所有的接收單元接收不改變的PDU20。鎖定 匹配 匹配的接收單元接收不改變的PDU。
不匹配所有不匹配的接收單元接收改變的PDU32。
從表Ⅰ可見(jiàn),當(dāng)源地址寄存器54“不鎖定”時(shí),當(dāng)遇到一個(gè)先前未知的源地址時(shí),控制器56更新在源地址寄存器54中的源地址。然而,當(dāng)源地址寄存器“鎖定”時(shí),控制器提供有價(jià)值的安全機(jī)制,該機(jī)制防止被不希望的網(wǎng)絡(luò)裝置竊聽(tīng)或截獲保密的信息,其方法是干擾向未識(shí)別的網(wǎng)絡(luò)裝置發(fā)送數(shù)據(jù)分組。
在一個(gè)實(shí)施例中,把PDU 20從端口12遞送到在數(shù)據(jù)傳遞分路58上的端口14、16和18,該數(shù)據(jù)傳遞分路避開(kāi)了控制器56,從而PDU20在通信網(wǎng)絡(luò)裝置10中的傳遞通過(guò)硬件和軟件的組合來(lái)處理,而不是由控制器56來(lái)處理。數(shù)據(jù)傳遞分路58有效地耦合至在通信網(wǎng)絡(luò)裝置10上的接收端口12和發(fā)送端口14、16和18,這樣,數(shù)據(jù)分組20的傳遞繞過(guò)了控制器56。
這種安排允許控制器56的工作集中在控制操作上,這樣加快了PDU20的處理。然而,當(dāng)在目的地地址寄存器52和在源地址寄存器54中存儲(chǔ)的相應(yīng)于端口16和18的源地址之間的比較導(dǎo)致不匹配時(shí),控制器56防止通過(guò)端口12接收的PDU20以不改變的格式通過(guò)端口16和18被發(fā)送。另一方面,當(dāng)比較導(dǎo)致目的地地址寄存器54與源地址寄存器54之間的匹配時(shí),在通過(guò)端口12接收進(jìn)PDU20之后,控制器56允許要被發(fā)送的PDU20未受擾動(dòng)地通過(guò)端口14輸出。
圖3是一張系統(tǒng)方框圖,示出重發(fā)器管理控制系統(tǒng)或重發(fā)器管理裝置(RMD)60以及它的相關(guān)聯(lián)的接口。RMD60包括管理和地址跟蹤單元50,它通過(guò)硬件和/或軟件的組合實(shí)現(xiàn)安全管理裝置40。用在管理和地址跟蹤單元50中確定的安全監(jiān)視來(lái)控制至管理和地址跟蹤單元50的信息傳遞。本地插腳(pin)78提供從管理和地址跟蹤單元至其他的RMD的通信信道。RMD60使用與重發(fā)器相連的串行接口66,以按規(guī)定路線發(fā)送有關(guān)端口狀態(tài)和控制64的信息。然后可將此信息再傳送至管理和地址跟蹤單元50。管理和地址跟蹤單元50以及媒體存取控制器(MAC)70、直接存儲(chǔ)器存取(DMA)74和先進(jìn)先出存儲(chǔ)器(FIFO)72探聽(tīng)重發(fā)器間總線84。對(duì)于每個(gè)端口提供管理信息庫(kù)(ManagementInformation Base,MIB)和重發(fā)器監(jiān)視(Repeater monitor,RMON)計(jì)數(shù)器76,以跟蹤重發(fā)器端口狀態(tài)。端口狀態(tài)和控制64、DMA74以及MIB和RMON計(jì)數(shù)器76都具有至CPU(中央處理器)接口62的入口。在CPU接口62和DMA64之間提供主信道80和遠(yuǎn)程訪問(wèn)信道82。
圖4描繪了重發(fā)器管理裝置(RMD)60的一個(gè)實(shí)施例。重發(fā)器間總線84按規(guī)定路線與遠(yuǎn)地的重發(fā)器94往返傳送信息。把安全和串行信號(hào)86按規(guī)定路線送至與RMD60相連的重發(fā)器88。重發(fā)器88提供AUI端口90和絞合線對(duì)端口92。CPU總線96把RMD90連至CPU98。使用本地插腳78以與其他的RMD102往返傳送信息。
圖5A是描繪按照本發(fā)明為防范竊聽(tīng)而進(jìn)行的總流程的流程圖。在方框100和110處,當(dāng)控制器56為初始化或編程模式時(shí),通過(guò)讀取被發(fā)送的PDU20的源地址而更新源地址寄存器54。在方框100處,控制器56讀取被發(fā)送的PDU20的源地址字段40的源地址。在方框110處,控制器56將源地址存儲(chǔ)在源地址寄存器54中。在方框120處,控制器56讀取從耦合至通信網(wǎng)絡(luò)的通信端口12接收的PDU20的目的地地址字段38的目的地地址。在方框130處,控制器56將目的地地址38存儲(chǔ)在目的地地址寄存器52中。在方框140處,控制器56將在目的地地址寄存器52中的目的地地址38與存儲(chǔ)在源地址寄存器54中的源地址作比較。方框140的比較的輸出決定了下一個(gè)步驟。在方框150處,存儲(chǔ)在源地址寄存器54中的源地址與存儲(chǔ)在目的地地址寄存器52中的目的地地址38匹配的那些收發(fā)兩用機(jī)24接收不改變形式的分組20。在方框160處,存儲(chǔ)在源地址寄存器54中的源地址與存儲(chǔ)在目的地地址寄存器52中的目的地地址38不匹配的那些收發(fā)兩用機(jī)26和28接收改變形式的PDU20,其中,用HALT碼元48來(lái)替代數(shù)據(jù)44。
在圖5B中描述了另一種防范竊聽(tīng)的方法,其中,當(dāng)控制器56在不鎖定模式或自由運(yùn)行模式中時(shí),由目的地地址寄存器52來(lái)更新源地址寄存器54。在方框120處,控制器56讀取被發(fā)送的PDU20的目的地地址38。在方框130處,控制器將目的地地址38存儲(chǔ)在目的地地址寄存器52中。當(dāng)控制器56在不鎖定模式時(shí),在方框170處,控制器56用存儲(chǔ)在目的地寄存器52中的目的地地址38來(lái)更新源地址寄存器54。然后,在方框140處,控制器56將在目的地地址寄存器52中的目的地地址38與在源地址寄存器54中的源地址作比較。比較必將導(dǎo)致匹配,因?yàn)樵诒容^之前已用目的地地址寄存器52更新了源地址寄存器54。于是,在方框150處,控制器56將發(fā)送不改變的形式的PDU20。
然而,當(dāng)控制器在鎖定模式時(shí),在作比較之前不用目的地地址寄存器52來(lái)更新源地址寄存器54。這導(dǎo)致跳過(guò)方框170,從而在把目的地地址38存儲(chǔ)在目的地地址寄存器52中(方框130)之后進(jìn)行的步驟是在方框140處,將在目的地地址寄存器52中的目的地地址38與在源地址寄存器54中的源地址作比較。方框140的比較的輸出決定了下一個(gè)步驟。在方框150處,存儲(chǔ)在源地址寄存器54中的源地址與存儲(chǔ)在目的地地址寄存器52中的目的地地址38匹配的那些收發(fā)兩用機(jī)24接收不改變形式的分組20。在方框160處,存儲(chǔ)在源地址寄存器54中的源地址與存儲(chǔ)在目的地地址寄存器52中的目的地地址38不匹配的那些收發(fā)兩用機(jī)26和28接收改變形式的PDU32,其中,用HALT碼元48來(lái)替代數(shù)據(jù)44。
這樣結(jié)束了對(duì)本發(fā)明的較佳實(shí)施例的描述。下面的一些段落描述達(dá)到相同目的的一些其他的方法。
在本說(shuō)明書(shū)中列舉的應(yīng)用只是為了說(shuō)明的目的,而不打算做到無(wú)遺漏或嚴(yán)格限制本發(fā)明為所揭示的形式。例如,本發(fā)明可應(yīng)用于任何具有存儲(chǔ)器的I/O裝置適配器而并不限于網(wǎng)絡(luò)適配器。
本發(fā)明可用于具有不同的裝置和部件結(jié)構(gòu)的系統(tǒng)。例如,安全管理功能是參照100Mbit/s的以太網(wǎng)重發(fā)器描述的。然而,那些熟悉本領(lǐng)域技術(shù)的人可以理解,這些安全管理功能能夠容易地用其他可進(jìn)行切換、路由選擇和/或橋接的通信網(wǎng)絡(luò)裝置來(lái)實(shí)現(xiàn),只要實(shí)現(xiàn)這些功能的系統(tǒng)使用規(guī)定halt碼元或任何其他碼元的協(xié)議,該碼元明確地通知接收者,具有所示分組的數(shù)據(jù)無(wú)效。這些其他的通信網(wǎng)絡(luò)任務(wù)與這里描述的重發(fā)任務(wù)可以連在一起也可以不連在一起。
本發(fā)明可應(yīng)用不同的方法來(lái)產(chǎn)生和存儲(chǔ)存儲(chǔ)在源地址寄存器中的源地址。當(dāng)安全管理控制器處于不鎖定模式時(shí),除了用目的地地址寄存器信息來(lái)更新源地址寄存器之外,也可以通過(guò)輸入來(lái)自與網(wǎng)絡(luò)通信裝置有效耦合的收發(fā)兩用機(jī)的源地址信息(即輸入“預(yù)期的”或“已知的”源地址)來(lái)更新源地址寄存器。另一種做法是,當(dāng)安全管理控制器處于初始化或編程模式時(shí),可以通過(guò)讀取來(lái)自數(shù)據(jù)通信分組的源地址信息(即輸入“跟蹤的”源地址)來(lái)更新源地址寄存器。
本發(fā)明也能夠用不同類型的存儲(chǔ)器來(lái)實(shí)現(xiàn),這些存儲(chǔ)器包括但不限于隨機(jī)存取存儲(chǔ)器(RAM)、直接存取存儲(chǔ)器、順序存取存儲(chǔ)器、相聯(lián)存儲(chǔ)器、以及只讀存儲(chǔ)器(ROM)。也可以用多種形式來(lái)規(guī)定存儲(chǔ)器,其中包括但不限于寄存器、超高速緩沖存儲(chǔ)器、隊(duì)列、虛擬存儲(chǔ)器、以及緩沖器。
本發(fā)明中地址的使用適合于個(gè)別的地址以及組地址,諸如多信道廣播組地址(multicast-group addresses)和廣播地址(broadcast addresses)。還可以理解,本發(fā)明可以用各種媒體訪問(wèn)控制幀結(jié)構(gòu),這些結(jié)構(gòu)具有目的地地址字段、源地址字段、數(shù)據(jù)字段、以及halt或類似的碼元。
為了描述的目的,給出了本發(fā)明的較佳實(shí)施例的上述描述。不打算做到無(wú)遺漏或嚴(yán)格限制本發(fā)明為所揭示的形式。由于上面的教導(dǎo),可以作出許多修改和變化。打算不是由詳細(xì)的描述而是由這里所附的權(quán)利要求書(shū)來(lái)限定本發(fā)明的范圍。
權(quán)利要求
1.一種安全管理裝置,用于在多個(gè)收發(fā)兩用機(jī)之間提供安全的數(shù)據(jù)通信,所述收發(fā)兩用機(jī)之間提供安全的數(shù)據(jù)通信,所述收發(fā)兩用機(jī)耦合至局域網(wǎng)中的通信網(wǎng)絡(luò)裝置上的端口,所述數(shù)據(jù)通信包括一個(gè)或多個(gè)數(shù)據(jù)分組,所述數(shù)據(jù)分組具有源地址、目的地地址和數(shù)據(jù)字段,所述安全管理裝置有效地耦合至所述通信網(wǎng)絡(luò)裝置,其特征在于,所述安全管理裝置包括(a)源地址存儲(chǔ)器,用于對(duì)耦合至所述通信網(wǎng)絡(luò)裝置的每個(gè)所述收發(fā)兩用機(jī)存儲(chǔ)源地址;(b)安全管理控制器,它耦合至所述源地址存儲(chǔ)器,用于把所述目的地地址與存儲(chǔ)在所述源地址存儲(chǔ)器中的所述源地址作比較;以及(c)安全干擾裝置,它耦合至所述安全管理控制器,用于干擾與這樣一些所述收發(fā)兩用機(jī)的數(shù)據(jù)通信,這些收發(fā)兩用機(jī)具有的所述源地址與在所述數(shù)據(jù)分組中的所述目的地地址不匹配,其中,所述安全干擾裝置把無(wú)效碼元存儲(chǔ)入所述數(shù)據(jù)通信的所述數(shù)據(jù)字段,而所述無(wú)效碼元明確地向所述接收收發(fā)兩用機(jī)指出,所述數(shù)據(jù)通信無(wú)效。
2.如權(quán)利要求1所述的安全管理裝置,其特征在于,所述安全管理裝置還包括數(shù)據(jù)傳遞分路,它耦合至在所述通信網(wǎng)絡(luò)裝置上的接收和發(fā)送端口,用于在所述收發(fā)兩用機(jī)和所述通信網(wǎng)絡(luò)裝置之間迅速傳遞所述數(shù)據(jù)分組,其中,所述數(shù)據(jù)分組的傳遞繞過(guò)了所述安全管理控制器。
3.如權(quán)利要求2所述的安全管理裝置,其特征在于,所述安全管理裝置還包括耦合至所述安全管理控制器的目的地地址存儲(chǔ)器,用于存儲(chǔ)所述目的地地址,其中所述安全管理控制器將存儲(chǔ)在所述目的地地址存儲(chǔ)器中的所述目的地地址與存儲(chǔ)在所述源地址存儲(chǔ)器中的所述源地址作比較。
4.如權(quán)利要求1所述的安全管理裝置,其特征在于,無(wú)效碼元是如由IEEE802.3u標(biāo)準(zhǔn)規(guī)定的HALT碼元。
5.如權(quán)利要求1所述的安全管理裝置,其特征在于,所述安全管理控制器為了防范竊聽(tīng)而有選擇地啟動(dòng)每個(gè)端口。
6.如權(quán)利要求1所述的安全管理裝置,其特征在于,所述通信網(wǎng)是基于IEEE 802的通信網(wǎng)。
7.如權(quán)利要求1所述的安全管理裝置,其特征在于,所述通信網(wǎng)是基于絞合線對(duì)的通信網(wǎng)。
8.如權(quán)利要求3所述的安全管理裝置,其特征在于,所述安全管理控制器包括用于更新所述源地址存儲(chǔ)器的裝置,其方法是在將所述目的地址址存儲(chǔ)器中的所述目的地地與在所述源地址存儲(chǔ)器中的所述源地址作比較之前,把所述目的地地址存儲(chǔ)器中的所述目的地地址插入所述源地址存儲(chǔ)器,其中,所述比較導(dǎo)致匹配,從而把所述數(shù)據(jù)分組重發(fā)至連至所述通信網(wǎng)絡(luò)裝置的所有的所述收發(fā)兩用機(jī)。
9.一種用于在局域網(wǎng)中的多個(gè)收發(fā)兩用機(jī)之間提供數(shù)據(jù)通信的通信網(wǎng)絡(luò)裝置,所述數(shù)據(jù)通信包括至少一個(gè)數(shù)據(jù)分組,所述數(shù)據(jù)分組具有源地址、目的地地址和數(shù)據(jù)字段,其特征在于,所述通信網(wǎng)絡(luò)裝置包括(a)安全管理裝置,它耦合至所述通信網(wǎng)絡(luò)裝置,用于提供竊聽(tīng)防范,所述安全管理裝置包括(ⅰ)源地址存儲(chǔ)器,用于對(duì)連接至所述通信網(wǎng)絡(luò)裝置的每個(gè)所述收發(fā)兩用機(jī)存儲(chǔ)源地址;(ⅱ)安全管理控制器,它耦合至所述源地址存儲(chǔ)器,用于將所述數(shù)據(jù)分組中的所述目的地地址與存儲(chǔ)在所述源地址存儲(chǔ)器中的所述源地址作比較;(ⅲ)安全干擾裝置,它耦合至所述安全管理控制器,用于干擾至這樣一些收發(fā)兩用機(jī)的數(shù)據(jù)通信,存儲(chǔ)在所述源地址存儲(chǔ)器中的這些收發(fā)兩用機(jī)的所述源地址與在所述數(shù)據(jù)分組中的所述目的地地址不匹配,其中,所述安全干擾裝置將無(wú)效碼元存儲(chǔ)入所述數(shù)據(jù)分組的所述數(shù)據(jù)字段,而所述無(wú)效碼元明確地向接收收發(fā)兩用機(jī)指出所述數(shù)據(jù)分組無(wú)效;(b)發(fā)送和接收端口,它們耦合至所述通信網(wǎng)絡(luò)裝置,用于接至所述收發(fā)兩用機(jī)以發(fā)送和接收所述數(shù)據(jù)通信;以及(c)數(shù)據(jù)傳遞分路,它耦合至所述接收和發(fā)送端口,用于在所述收發(fā)兩用機(jī)和所述通信網(wǎng)絡(luò)裝置之間加快所述數(shù)據(jù)分組的傳遞,其中,在所述網(wǎng)絡(luò)通信裝置內(nèi)的數(shù)據(jù)傳遞繞過(guò)了所述安全管理控制器。
10.如權(quán)利要求9所述的安全管理裝置,其特征在于,所述安全管理裝置還包括耦合至所述安全管理控制器的目的地地址存儲(chǔ)器,用于存儲(chǔ)所述目的地地址,其中,所述安全管理控制器將存儲(chǔ)在所述目的地地址存儲(chǔ)器中的所述目的地地址與存儲(chǔ)在所述源地址存儲(chǔ)中的所述源地址作比較。
11.如權(quán)利要求10所述的通信網(wǎng)絡(luò)裝置,其特征在于,所述安全管理控制器包括用于更新所述源地址存儲(chǔ)器的裝置,其做法是,在將所述目的地地址存儲(chǔ)器中的所述目的地地址與在所述源地址存儲(chǔ)器中的所述源地址作比較前,把在所述目的地地址存儲(chǔ)器中的所述目的地地址插入所述源地址存儲(chǔ)器中,使所述比較導(dǎo)致匹配,從而重發(fā)所述數(shù)據(jù)分組至連至所述通信網(wǎng)絡(luò)裝置的所有的所述收發(fā)兩用機(jī)。
12.如權(quán)利要求9所述的通信網(wǎng)絡(luò)裝置,其特征在于,如IEEE 802.3u標(biāo)準(zhǔn)所規(guī)定的,無(wú)效碼元是HALT碼元。
13.如權(quán)利要求9所述的通信網(wǎng)絡(luò)裝置,其特征在于,為了防范竊聽(tīng),所述安全管理控制器有選擇地啟動(dòng)每個(gè)所述端口。
14.一種在通信網(wǎng)上防止竊聽(tīng)的方法,所述通信網(wǎng)包括多個(gè)耦合至通信網(wǎng)絡(luò)裝置的收發(fā)兩用機(jī),其特征在于,所述方法包括(a)讀取從所述收發(fā)兩用機(jī)發(fā)送來(lái)的數(shù)據(jù)分組,所述數(shù)據(jù)分組具有在源地址字段中的源地址、在目的地字段中的目的地地址和在數(shù)據(jù)字段中的數(shù)據(jù);(b)把所述目的地地址與所述源地址存儲(chǔ)器作比較,該源地址存儲(chǔ)器具有所述源地址,所述源地址存儲(chǔ)器有效地耦合至所述通信網(wǎng)絡(luò)裝置;以及(c)在發(fā)送到這樣一些收發(fā)兩用機(jī)的所述數(shù)據(jù)分組的所述數(shù)據(jù)字段中插入無(wú)效碼元,這些所述收發(fā)兩用機(jī)在所述源地址存儲(chǔ)器中具有的所述源地址與在所述數(shù)據(jù)分組中的所述目的地地址不匹配。
15.如權(quán)利要求14所述的防止竊聽(tīng)的方法,其特征在于,所述方法還包括把所述源地址輸入所述源地址存儲(chǔ)器的步驟。
16.如權(quán)利要求15所述的防止竊聽(tīng)的方法,其特征在于,將所述源地址輸入所述源地址存儲(chǔ)器的步驟包括當(dāng)所述安全管理控制器處于初始化或編程模式時(shí),讀取所述數(shù)據(jù)分組中的所述源地址字段的所述源地址,并且將所述源地址存儲(chǔ)在所述源地址存儲(chǔ)器中。
17.如權(quán)利要求15所述的防止竊聽(tīng)的方法,其特征在于,將所述源地址輸入所述源地址存儲(chǔ)器的步驟包括當(dāng)所述安全管理控制器處于不鎖定模式時(shí),讀取所述數(shù)據(jù)分組的所述目的地地址,并將所述目的地地址作為所述源地址存儲(chǔ)在所述源地址存儲(chǔ)器中。
全文摘要
揭示了一種在局域網(wǎng)通信網(wǎng)絡(luò)裝置(諸如多端口重發(fā)器)中使用的用于防止竊聽(tīng)的安全裝置,其做法是在發(fā)送給所有與通信網(wǎng)絡(luò)裝置連接的不希望的收發(fā)兩用機(jī)的數(shù)據(jù)通信分組中,用無(wú)效碼元來(lái)重寫數(shù)據(jù)。由于與數(shù)據(jù)無(wú)關(guān)地規(guī)定無(wú)效碼元,因此不把保密的和用戶敏感的信息傳送給不希望的收發(fā)兩用機(jī)。無(wú)效碼元明確地告訴不希望的收發(fā)兩用機(jī),在數(shù)據(jù)分組中的數(shù)據(jù)無(wú)效。
文檔編號(hào)H04L12/22GK1290088SQ9912107
公開(kāi)日2001年4月4日 申請(qǐng)日期1999年9月27日 優(yōu)先權(quán)日1999年9月27日
發(fā)明者邁克爾·A·索科爾 申請(qǐng)人:一級(jí)通訊股份有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1