CN101529805A - 中间设备 - Google Patents
中间设备 Download PDFInfo
- Publication number
- CN101529805A CN101529805A CN200680055822A CN200680055822A CN101529805A CN 101529805 A CN101529805 A CN 101529805A CN 200680055822 A CN200680055822 A CN 200680055822A CN 200680055822 A CN200680055822 A CN 200680055822A CN 101529805 A CN101529805 A CN 101529805A
- Authority
- CN
- China
- Prior art keywords
- agreement
- layer
- encryption
- communication
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/326—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/03—Protocol definition or specification
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
在个人计算机与其外部之间的通信中,防止因特网上数据的“泄漏”和“篡改”以及“伪装”、“接近”或“攻击”,而不带来诸如在个人计算机上安装软件或硬件之类的任何负担。为实现此目标,根据本发明,一种中间设备100包括:分别连接至网络200、300的NIC(网络接口卡)驱动器1a、1b,以及网络层和传输层,所述网络层和传输层包括定义了一种通信方法的“TCP/IP”2,所述通信方法用于在执行任意两个节点之间的路由时进行通信并被提供给包括NIC驱动器1a、1b的物理层和数据链路层。在数据链路层与网络层之间,提供了由本申请的发明人先前提出的“TCP2”3的功能。
Description
技术领域
本发明涉及中间设备,所述中间设备适于例如在通过向位于传输层中的TCP或UDP协议添加加密功能来执行计算机化信息的通信时使用。更具体地,本发明涉及通信中的安全系统,并且更特别地涉及用于防止因特网上的数据“泄漏”和“篡改”以及其它“伪装”、“接近”或“攻击”的设备。
背景技术
本申请的发明人先前提出了一种新颖的加密系统TCP2(WO2005/015827 A1:此后将其称为专利文件1),其中为了强化在不改变上层应用的程序的情况下防止数据泄漏、篡改、伪装、接近和攻击的功能,在传输侧和接收侧执行加密和解密逻辑协定,并且此后将其应用至与传输层中现有的TCP或UDP相对应的协议的有效负载。
近年来,采用因特网的通信在社会上快速发展壮大,原因在于拥有至少一个Windows个人计算机的任何人都能够通过将计算机连接到网络上来访问网络上的计算机。另一方面,伴随着因特网通信的发展壮大,以下社会问题已愈发严重:黑客(hacker)或骇客(cracker)入侵他人的计算机系统来秘密查看软件和数据并对其实施篡改或破坏。
至于非正当干扰的特定情况,首先,因大量通过网络传送的信息引起的系统干扰会干扰计算机系统操作,以致不能使用中央系统。当主机由于此干扰而过载时,系统可能崩溃。
此外,还存在“未被授权的访问和伪装”的非正当干扰,这是通过获取主机中的密码以窃取机密信息、实施对信息的篡改和破坏等来进行的。存在这种干扰的恶劣情况是:计算机所拥有的信息在未经允许的情况下被重写以便欺骗用户。此外,还存在由间谍软件所引起的非正当活动,其中特定的个人计算机被秘密侵入,并且诸如邮件地址和密码之类的个人机密数据被利用。此外,存在以下可能性:所谓的窃听频繁发生,以不正当地偷偷地查看连接至上述网络的计算机中的数据库内容。
此外,可能会出现故意窃取站点中或服务器管理源中的个人信息的行为,并且还可能出现诸如由潜伏在公司内的间谍发起的网络恐怖活动(cyber terrorism)等等之类的危机。
此外,非正当的干扰(例如植入“病毒”)近来不断增加,所述“病毒”是一种引起他人计算机故障的程序。家中用于邮件等的个人计算机感染了此种植入的病毒,并且当其连接到公司内的计算机时,公司内的所有计算机都会感染此种病毒,和/或病毒会破坏计算机中的文件,而且更进一步可能会使整个网络崩溃。
因此,在采用传统TCP/IP(传输控制协议/网际协议)或UDP(用户数据报协议)的因特网上的通信中,被称为IPsec(IPsec:用于网际协议的安全架构)的加密通信或SSL(安全套接字层)被用作防止数据的“泄漏”、“篡改”等的功能。
通常,在加密通信中存在公共密钥(也被称为秘密密钥)密码系统和公开密钥密码系统,其中公开密钥密码系统在很多情况下用于IPsec。公共密钥密码系统的特征是:加密和解密都比公开密钥密码系统的加密和解密要快。用在IPsec中的公共密钥密码系统是一种以相同密钥执行加密和解密的系统,并且允许在传送侧和接收侧之一上准备密钥,其中可能需要多加关注,以使得在交换密钥时不会泄漏内容,原因在于公共密钥被在接收侧和传送侧上使用。
用在公共密钥密码系统中的算法由DES(数据加密标准:美国IBM公司开发的公共密钥(秘密密钥)加密算法)来代表。IPsec也将DES用于加密算法之一。IPsec被IETF(因特网工程任务组)推广为标准,并且其特征不仅在于仅对特定应用进行加密,还在于在IP层对每个传送自主机的通信进行加密。
以这种方式,对于用户而言,在不需知晓应用的情况下获得安全通信变得可能。此外,IPsec使得在不改变其自身结构的情况下改变所使用的加密算法以使得也可在未来使用IPsec成为可能。被称为SPI(Security Pointer Index安全指针索引)的32位码用于IPsec中所使用的公共加密密钥,并且IKE(因特网密钥交换)用于密钥交换协议。此外,IPsec配备了协议AH(Authentication Header认证首部)以用于完整性认证。
此外,SSL是具有安全功能的HTTP协议,其由美国Netscape公司(目前已被AOL兼并)开发,并且客户机和服务器可以使用其来在网络上相互认证,以使得诸如信用卡信息等等之类的高度机密信息可被加密,并且此后被传送和接收。因而,可以防止数据窃听、重传攻击(通过在网络上反复多次地发送被窃听的数据来进行攻击)、伪装(通过假装成另一人来进行通信)以及篡改数据等等。
图6A示出了在使用传统IPsec来执行加密通信的情况下的协议栈的实例,而图6B示出了在使用传统SSL来执行加密通信的情况下的协议栈的实例。
OSI参考模型包括:底层(第一层),其为物理层;第二层,其为数据链路层;第三层,其为网络层;第四层,其为传输层;第五层,其为会话层;第六层,其为表示层;和顶层(第七层),其为应用层。该OSI参考模型中的七层是通过将通信功能分为七级来阐释的,并且为每层设置了标准功能模块。在图6A中,示出了从底层到第五层的会话层的各层。协议栈是软件组,其包括为实现网络各层中的功能而选择和堆叠的协议。
首先,针对OSI参考模型描述了概要,其中作为第一层的物理层是定义信号线的物理电属性、代码的调制方法等等的层。尽管如此,该层很少被单独定义和安装,而是通常与作为第二层的数据链路层一起被定义为例如以太网标准等等。
作为第二层的数据链路层是定义数据的分组、物理节点地址、分组的传送和接收方法等等的层。该层定义了用于在两个节点之间通过物理通信介质传送和接收分组的协议,其中某些种类的地址被添加至每个节点,并且根据该地址来指定分组的接收者,由此在通信介质上传送分组。
诸如铜线、无线、光纤等等之类的各种类型的通信介质被使用。此外,对于连接模式(拓扑),不仅存在一对一的对绕(opposing connection),还存在很多类型,例如总线连接、星形连接、环形连接和其它连接类型。当在通信介质上传送的分组到达接收侧的节点时,其被节点接收并且进一步被传送至上面的协议层。
配置于物理层和数据链路层之上的NIC(网络接口卡)驱动器是用于将个人计算机、打印机等等连接至局域网(LAN)的附加板。在仅指网卡的情况下,其在很多情况下连接至以太网。
借助于该NIC驱动器,希望传送数据的节点(设备),监视线缆的可用性并在线缆可用时开始数据传输。那时,如果多个节点同时开始传输,则数据会在线缆中冲突并被破坏,以至于节点停止传输并会在随机时间段后再次开始传输。结果,多个节点共用单条线缆以便互相通信是可能的。
作为第三层的网络层是定义任意两个节点之间的通信方法的层。网络层对应于TCP/IP中的IP层。数据链路层在相同网络介质上的节点之间执行通信是可能的,并且网络层的功能是在网络上现有的任意两个节点之间执行路由的同时使用数据链路层的功能来进行通信。
此处,路由的意思是通过在TCP/IP网络中向预期的主机传送分组时选择最优路径来进行分组传输。例如,仅对相同段上的节点而言在以太网中相互通信是可能的,但是通信是在两个以太网段之间在网络层中通过对分组进行路由来实现的。
此外,无论物理网络介质如何,分组都能被路由至拨号PPP(点对点协议)线路,后者通过电话线路、使用光纤的专用线路等将计算机连接至网络(以太网)。为此目的,与物理介质无关的地址(在TCP/IP情况下是IP地址)通常被分配给相应的节点,并且基于此来执行路由。
IPsec对网络层中的每个通信进行加密,换句话说,对在IP层传送自主机的每个通信进行加密,以使得用户能够在无需注意应用的情况下执行安全通信。
作为第四层的传输层是提供用于在两个过程之间执行通信的功能的层,所述两个过程执行于相应的节点上,并且其为协议层。协议层对应于TCP/IP中的TCP。网络层提供在两个节点之间执行通信的功能,而TCP功能是提供虚拟通信路径,在该通信路径中没有在两个过程(应用)之间使用网络层功能的错误。
更具体地,在网络层中传送数据是可能的,但是不能保证数据将会肯定到达接收侧。此外,也不能保证数据正确地以所传送的次序达到。因此,TCP提供了没有错误的通信路径以便应用很容易地使用数据。如果有必要的话,TCP再次传送数据、恢复数据等等。
除了TCP,UDP也被配置在传输层中,并且UDP与TCP之间的差异是:UDP是操作于高速率的协议但是数据不被保护,而TCP是操作于低于UDP的速率但是数据被保护。TCP用于主要传送数据的场合(诸如在计算机之间进行通信的场合),而UDP频繁用于传送声音和视频的场合(诸如IP电话的场合)。该通信系统是本申请的发明人在专利文件1中首次提出的。
作为第五层的会话层是定义会话(从通信开始到结束)过程的层,其中利用所述会话程序通过在应用之间建立连接来准备通信状态。配置在该层中的套接字(socket)意指网络地址,所述网络地址是对应于网络中的计算机的地址和作为IP地址的子地址的端口号的组合。
在连接计算机的情况下,套接字(IP地址和端口号对)被指定。如图6B中所示,根据传统表示加密通信技术的SSL,在该会话层中执行加密通信。
作为第六层的表示层是用于对在会话(从通信开始到结束)中所传送和接收的数据的表达方法、编码和加密等等进行定义的层。TCP/IP协议可不具有对应于该层的部分,并且流数据处理通常由应用本身来处理。
此外,作为第七层的应用层是用于定义应用之间的数据传输和接收的层,并且TCP/IP协议可不具有对应于该层的部分。所述应用层定义例如电子邮件格式、文件的内部结构或者在应用之间传送和接收数据的情况下所必要的通用数据结构等等的类似物。
图6A示出了包括IPsec的标准协议栈,其中首先,在物理层(第一层)和数据链路层(第二层)中提供了NIC(网络接口卡)驱动器。该驱动器是用于将计算机等等的硬件连接至网络的接口卡驱动器,并且是用于数据传输和接收控制的软件。例如,用于连接至以太网的LAN板或LAN卡与之对应。
在作为第三层的网络层中,存在IP仿真器(emulator),所述IP仿真器的一部分延伸至传输层(第四层)。延伸至传输层的该部分未被实施为传输层的功能。该部分仅向会话层提供网络层的功能。IP仿真器使用一种用于通过IPsec或IP执行加密通信的协议,所述协议是不通过根据其预期使用而在它们之间进行切换来执行加密通信的协议。
此外,ARP(地址解析协议)配置于作为第三层的网络层中。ARP是用于从IP地址中获得MAC(介质访问控制)地址(其为以太网中的物理地址)的协议。MAC是被称为介质访问控制的传输控制技术,其用在LAN等等中并且被用作用于定义作为数据传送和接收单元的帧的传送和接收方法、帧格式、错误校正等等的技术。
此外,网络层配备了ICMP(因特网控制消息协议),其是用于传输IP的控制信息和错误信息的协议;网络层还配备了IGMP(因特网组管理协议),其用于控制主机组,所述主机组将相同的数据高效地分发至多个主机并接收该分发。于是,TCP和UDP被配置于传输层中,传输层是网络层的上层,并且,套接字接口被配置于会话层中,会话层是传输层的上层。
图6B示出了包括用于加密处理协议的SSL在内的标准协议的实例,其中网络层可以不包括IPsec,但是套接字(会话层)包括SSL。其它协议与图6A中所示的那些协议相同。
在传统表示加密通信技术中,IPsec用于加密、传送和接收IP分组,因此,无需让利用TCP、UDP等等的上层协议的应用软件知晓使用了IPsec的事实。
另一方面,使用RSA(Rivest、Shamir、Adleman:开发了公开密钥密码系统的三个人的首字母)公开密钥密码技术的数字证书被用在对彼此进行认证的层上的SSL中,并且诸如DES等等之类的公共密钥密码技术被用于数据加密。SSL处于作为第五层的会话层中并且依赖于特定的应用。
已实现IPsec具有在第三层(网络层)中防止数据“泄漏”和“篡改”的功能,参考OSI(见R.Atkinson 1995年8月的“Security Architecturefor the Internet Protocol”,RFC1825),第三层低于第四层(传输层)。另一方面,SSL是作为第五层的会话层中的加密技术,并且用于通过对目前因特网上广泛应用的WWW(万维网)、FTP(文件传输协议)等等的数据进行加密来安全传送和接收关于隐私、公司秘密信息等等的信息。
图7中所示的表1比较并描述了IPsec和SSL的功能。如此表中所示,IPsec和SSL在相互比较中,各具优劣势。
例如,在SSL用于客户机-客户机通信的情况下,其命令系统和通信内容将会变为主从(换句话说,客户机/服务器)之间的关系,以至于客户机-客户机通信需通过服务器来执行。更为具体地,在使用SSL加密数据之后将秘密数据从终端A传送至终端B的情况下,服务器需介入其中。另一方面,在IPsec中没有这种限制,以使得能直接执行通信。
此外,在PPP(点对点协议)移动环境或ADSL(非对称数字订户线)环境中,IPsec在使用IKE(因特网密钥交换)协议的通信中对与之相连接的发送者/接收者进行认证,IKE用于在开始加密数据通信之前确定加密系统、密钥交换和双向认证。
因而,在PPP移动环境(远程客户机)或ADSL环境的情况下,IP地址可能不固定,以至于最多用于IPsec网关之间的IKE的主要模式,换句话说,使用关于通信的发送者/接收者的IP地址信息以进行认证的模式可不被使用。
当使用积极(aggressive)模式(在该模式下,例如,用户信息被用于ID信息)时,IP地址可能无需用于ID信息,以使得使用用户密码作为已知公共密钥来指定发送者/接收者。尽管如此,在积极模式下,通信的发送者/接收者的ID是在与传送密钥交换信息的相同消息中传送的,以至于ID作为明文传送而不经加密。
此外,能够通过利用XAUTH(IKE内的扩展认证)来解决认证方面的问题,但是不在来自于远程客户机的访问中确定IP地址,以至于需要在防火墙设置中准许所有的IKE和IPsec,这使得安全问题仍然存在。即使在这种环境下,SSL仍能够被用于通信。
此外,在IPsec中存在可能不对NAT(网络地址转换)和IP伪装做出响应的问题。为了对其做出响应,还可能需要例如在UDP的有效负载中实现IPsec的其它功能。
NAT是一种用于商业组织等等的技术,其中多个计算机通过共享一个全局IP地址而连接至因特网,并且对仅用于该组织的IP地址(本地地址)和因特网上的地址(全局地址)进行双向转换。IPsec可不对NAT做出响应的原因是:IP首部处于AH(认证首部)的认证范围中,并且从本地地址到全局地址的双向转换可以不被执行,以防止不同子网中的本地地址相互通信。
此外,IP伪装是在LAN中具有私有地址的多个客户机可利用其来访问因特网的机制,并且该机制从安全角度来说是为人所期望的,原因是当使用该机制时,从外部(因特网)看来,仅能够看到操作IP伪装的终端。IPsec可不对IP伪装做出响应的原因是:IPsec的ESP(封装安全有效负载:加密有效载荷)首部直接跟在IP首部之后。
利用IP伪装实现的典型路由器确定了:TCP/UDP端口号直接跟在IP首部之后。因而,如果通过了利用IP伪装实现的路由器,则端口号发生变化,以至于IPsec确定了数据已经被改变并且可能未获得对主机的认证。可以通过采用支持NAT-T(NAT穿越(Traversal))的产品以将数据置于UDP有效负载上来避免这一问题。
尽管如此,如果NAT-T的草拟版本相互之间有所不同,则即使支持NAT-T的产品也可不被连接。对于SSL而言,即使在这种情况下进行通信也是可能的。
另一方面,SSL对于由网络上被称作黑客或骇客的非正当入侵者对TCP/IP发起的各种攻击(所谓DoS攻击(拒绝服务:攻击以使服务停止))无能为力。当发生对TCP/IP协议栈的DoS攻击(例如TCP切断攻击)时,TCP会话被切断,从而使得SSL服务停止。
因为IPsec是实施在第三层(IP层)中的,所以IP层具有安全功能,以使得能够防止对TCP/IP(第四层、第三层)的DoS攻击。尽管如此,SSL是实施在TCP/IP(第四层、第三层)之上的层(第五层)中的加密协议,以至于SSL不可能防止对TCP/IP的DoS攻击。
此外,在恶劣通信环境下的通信中,SSL相较于IPsec更为有效,在所述恶劣通信环境下,物理噪声增加并且通信错误频繁发生。更为具体地,在检测到错误的情况下,IPsec允许上层的TCP对数据进行重传。TCP将重传数据传送至IPsec,但是IPsec不能辨识数据被重传,以至于加密被再次执行。SSL借助TCP执行错误恢复过程,以使得不会对相同数据再次进行加密。
此外,就IPsec而言,不允许不同LAN之间的通信。更为具体地,LAN中子网地址的分发由LAN中的DHCP(动态主机配置协议)服务器来管理,并且在LAN中不会分配相同的子网地址,但是在不同LAN之间的通信的情况下可能分配相同地址,原因是各LAN中存在的DHCP服务器独立地分配子网地址。
在以此种方式分配了相同地址的情况下,就IPsec而言,不允许进行通信。尽管如此,如果有差别地建立了IPsec-DHCP服务器并进行管理以使得不在不同的LAN中分配相同的地址,则能够进行通信。如上所述,SLL位于OSI参考模型的第五层(会话层)中,这样能够在更低层的TCP中执行错误恢复过程,并且能够实现如上所述的恶劣环境下的通信。
此外,对于不同网络环境下的通信,IPsec必须管理所有用于通过的节点和改变设置,以使得IPsec能够通过,因此其难以管理,但是即使在这样的环境下,SSL仍可能实现通信,无论将要通过的节点环境如何。
此外,不可能加密UDP以进行通信,原因是SSL可能不支持UDP通信。不可能加密所有TCP端口以进行通信,原因是SSL可能只支持特定端口。另一方面,对于IPsec而言加密UDP和TCP以进行通信是可能的。
此外,SSL具有对于应用而言不兼容的问题。当执行通信时,应用使用套接字(第五层)作为程序接口。因此,在应用使用SSL(第五层)的情况下,需将该套接字接口变为SSL接口。因此,SSL对于应用而言,不具有兼容性。
另一方面,IPsec位于套接字(第五层)之下,所以套接字(第五层)能够直接用作应用的程序接口,因此IPsec与应用兼容。此外,IPsec根据IP地址单元来执行控制,而SSL根据源单元(URL单元、文件夹单元)来执行控制。
此外,IPsec存在最大段长度过小的问题。更为具体地,因为IPsec使用ESP首部和ESP尾部,所以有效负载变小,这样产生片段(经分割的分组)并且吞吐量降低。此外,因为就TCP分组而言不允许片段,所以在端到端中获得IPsec通过其中的环境、并且设置不会产生片段的最大段长度是必要的。另一方面,SSL没有必要准备用于通过的环境,这样没有必要设置最大段长度。
如上所示,描述了表1(图7)中IPsec和SSL的功能,其中IPsec和SSL彼此各有优缺点。另一方面,本申请的发明人先前提出了TCP2,其包括IPsec和SSL的所有优点,并且是具有许多其它优点的新颖加密通信协议(见专利文件1)。
更为具体地,根据专利文件1中所描述的发明,在每个应用程序中,没有必要实施“加密功能”来防止对计算机终端的不正当入侵,因此也没有必要重新创建应用程序本身,此外藉由传统的明文,与可能不支持前述加密功能的发送者/接收者进行通信也是可能的,并且另外即使在不能采用IPsec的环境(或用户不想采用IPsec的情况)中仍享受到加密和认证的益处是可能的。
图8示出了用在加密通信系统的实施例中的协议栈,本申请的发明人先前在专利文件1中提出过此加密通信系统。
如图8所示,该专利文件1中所描述的发明中所使用的协议栈包括:NIC(网络接口卡)驱动器11,其被配置为与OSI七层的物理层(第一层)和数据链路层(第二层)相对应的层。如前所述,该驱动器是用于将诸如计算机之类的硬件连接至网络的接口卡驱动器,并且其内容是数据传输和接收控制软件。例如,用于将硬件连接至以太网的LAN板或LAN卡与之对应。
部分延伸至传输层(第四层)的IP仿真器(仿真器)13处于作为第三层的网络层中。延伸的部分不被实施具有传输功能。该部分仅向会话层提供网络层的功能。IP仿真器13使用“CP上的IPsec”13b或“CP上的IP”13a通过根据预期使用而在它们之间进行切换来执行操作,“CP上的IPsec”13b是执行加密通信的协议。此处,词语“CP上的”指示破坏防护者(cracking-protector,CP)监视对将被丢弃、切断或限制的对象的“接近”和“攻击”以使其不通过,或者能够通过对其进行设置来执行这种监视。
此外,网络层配置了“CP上的ARP(破坏防护者上的地址解析协议)”。“CP上的ARP”是用于从包括对抗骇客的保护性措施在内的IP地址中获得MAC(介质访问控制)地址(其为以太网的物理地址)的协议。MAC是一种LAN等中所采用的被称为介质访问控制的传输控制协议,并且被用作用于定义作为传送和接收数据单元的帧的传送和接收方法、帧格式、错误校正等等的技术。
此处,IP仿真器13是用于允许根据本发明的各种安全功能与传统IP外围栈匹配的软件或固件。更为具体地,IP仿真器13是用于允许各种安全功能与ICMP(因特网控制信息协议)14a(其为用于传输IP错误消息或控制消息)的协议、IGMP(因特网组管理协议)14b(其为用于控制主机组更高效地将相同数据分发给多个主机或接收此类数据的协议)、TCP 15和UDP 16以及套接字接口17相匹配的软件、固件或硬件(电子电路、电子元件)。IP仿真器13可以执行IPsec的加密和解密,并且可以在加密和解密前后执行处理(例如添加必要的认证信息和认证)。
TCP仿真器15和UDP仿真器16被配置于传输层(第四层)中,传输层是位于IP仿真器13之上的层。TCP仿真器15被配置成使用“CP上的TCPsec”15b或“CP上的TCP”15a通过根据预期使用而在它们之间进行切换来执行操作,“CP上的TCPsec”15b是用于执行加密通信的协议,“CP上的TCP”15a是普通通信协议。与之类似,UDP仿真器16被配置成使用“CP上的UDPsec”16b和“CP上的UDP”16a通过根据预期使用而在它们之间进行切换来执行操作,“CP上的UDPsec”16b是用于执行加密通信的协议,“CP上的UDP”16a是普通通信协议。
专利文件1最为特别的特征是:TCPsec 15b和UDPsec 16b的加密通信协议安装在传输层(第四层)中。稍后将描述TCPsec 15b和UDPsec16b。
执行与TCP、UDP等协议之间的数据交换的套接字接口17被提供在会话层(第五层)中,会话层是传输层(第四层)之上的层。如上所述,套接字意指通过组合对应于网络中的计算机地址的IP地址和作为IP地址的子地址的端口号而获得的网络地址。事实上,套接字接口17是以单一软件程序模块(执行程序等)或单一硬件模块(电子电路、电子元件等)来配置的,所述单一软件程序模块对一系列首部一起执行添加或删除。
套接字接口17提供来自于更上层应用的统一访问系统,并且是保存相似类别、类型的变量或传统变量的接口。
TCP仿真器15在传输层中执行将分组分发至TCPsec 15b和普通协议TCP 15a中之一的操作,TCPsec 15b具有防止数据泄漏和篡改的功能(即加密、完整性认证、认证等等的功能),TCP 15a不具有此类加密、完整性认证、认证等等的功能。此外,TCPsec 15b和TCP 15a这二者都包括破坏防护者(CP),以使得在选择任一种协议的情况下,实施防止骇客进行的“接近”或“攻击”的防御功能是可能的。TCP仿真器15还作为与位于上层中的套接字之间的接口。
此外,如上所述,UDP可不具有错误补偿功能,而TCP具有错误补偿功能,但是UDP相应地具有高传输速度和广播功能的特征。与TCP仿真器15类似,UDP仿真器16执行将分组分发至UDPsec 16b和普通协议UDP 16a中之一的操作,UDPsec 16b具有防止数据泄漏和篡改的功能(即加密、完整性认证、认证等等的功能),UDP 16a不具有此类加密、完整性认证、认证等等的功能。
如图8中所示,根据本发明执行加密处理的协议栈包括套接字17、TCP仿真器15、UDP仿真器16、“CP上的TCPsec”15b、“CP上的UDPsec”16b、“CP上的TCP”15a、“CP上的UDP”16a、“CP上的ICMP”14a、“CP上的IGMP”14b、IP仿真器13、“CP上的IP”13a以及“CP上的ARP”12,并且此后,协议栈被通称为TCP2。
TCP中不必包括“CP上的IPsec”13b,但是也可能在TCP2中包含“CP上的TCPsec”13b。
除了用于上述加密处理的协议栈,专利文件1中所公开的TCP2还包括TCP、UDP、IP、IPsec、ICMP、IGMP和ARP的标准协议栈。CP(破坏防护)被实施于这些标准协议中,并且能够防止各个栈协议受到基于通信的攻击和基于应用和程序的攻击(特洛伊木马、程序篡改或有资格用户的未授权使用)。
此外,TCP仿真器15被实施于TCP2中,并且TCP仿真器15对于会话层中的套接字17和网络层中的IP仿真器13而言是兼容的,以使得TCP仿真器15从外部可被认为是标准TCP。实际上,TCP和TCPsec被切换以被执行为TCP2功能。TCPsec是本发明的传输层中的加密和认证功能。
此外,与之类似,UDP仿真器16被实施于TCP2中,并且UDP仿真器16与会话层中的套接字17和网络层中的IP仿真器13的标准UDP相兼容,以使得UDP仿真器16从外部可被认为是标准UDP。实际上,UDP和UDPsec被切换以被执行为TCP2功能。UDPsec是专利文件1中所描述的传输层中的加密和认证功能。
接下来,将描述具有防止“数据泄漏”功能(该功能在TCP2中是特别重要的功能)的TCPsec 15b和UDPsec 16b。
公知的秘密密钥(公共密钥)加密算法被用作用于TCPsec 15b和UDPsec 16b的加密和解密方法(算法和逻辑)。例如,使用了IBM公司于上世纪60年代开发的密钥加密算法DES(数据加密标准)或其改进版本3DES。
此外,瑞士技术学会的James L.Massey先生和Xuejia Lai先生所发表的IDEA(国际数据加密算法)也被用于其它加密算法。该加密算法具有128比特的密码密钥长度,原因是通过将数据分为64比特的块来对数据进行加密。其被设计成针对线性解密方法或差分解密方法具有足够强度,其可高效地对秘密密钥密码进行解密。
除了诸如专利文件1中所公开的发明中所使用的、用作TCPsec 15b和UDPsec 16b的密码系统的FEAL(快速数据加密算法)、MISTY或AES(高级加密标准)的密码系统之外,还可以使用独立创建的秘密加密和解密算法。此处,FEAL是由日本电信电话株式会社(当时的老名称)开发的密码系统,并且是一种针对加密和解密使用相同密钥的秘密密钥密码系统。FEAL的优势是:以可与DES相比拟的速度来实现加密和解密。
接下来,专利文件1中所公开的发明中所类似使用的MISTY是由三菱电机株式会社开发的秘密密钥密码系统,并且通过把数据分为类似于IDEA的64比特的块来对数据进行加密。密钥长度是128比特。与DES等类似,对加密和解密采用相同的程序。该系统也被设计成针对线性解密方法或差分解密方法具有足够强度,其可高效地对秘密密钥密码进行解密。
接下来,AES是美国商务部的国家标准与技术学会所选择的美国政府下一代标准加密系统,并且已经被发展为取代当前的标准密码系统DES的下一代密码标准。由比利时密码开发者Joan Daemen先生和Vincent Rijmen先生开发的一种名为Rijndael的系统在2000年10月被从收集自全世界的密码系统中选出来。
以这种方式,能够采用各种已知的秘密密钥加密算法作为应用于专利文件1中所公开的发明的TCPsec 15b和UDPsec 16b的密码系统,此外,采用用户独立开发的秘密密钥(公共密钥)密码系统是可能的。
此外,采用公共密钥或诸如MD5(消息摘要5)、SHA1(安全哈希算法1(Secure Hash Algorithm 1))之类的预共享秘密的认证算法,被用作一种用于防止所谓的“伪装”和“数据篡改”等等的“认证”和“完整性认证”方法。此外,也可以采用一种利用单向功能的原始算法来替代此类公知的认证算法。
MD5是用于认证和数字签名的哈希函数(单向概要函数),其中通过根据原始文本生成固定长度的哈希值以及通过在通信路径的两端比较这些值,能够检测到在通信期间原始文本是否被篡改。哈希值是准随机数的值,不能利用此值来复制原始文本。此外,难以创建生成相同哈希值的另一消息。
SHA1也是用于认证、数字签名等等的哈希函数,其中通过从最大长度为264或更小比特的原始文本中生成160比特的哈希值并通过在通信路径的两端比较这些值,能够检测到在通信期间对原始文本的篡改。该认证算法也被用在代表传统互联网加密通信的IPsec中。
应当注意到,如此设计那些认证算法以使得能够根据类似于IPsec等等的DH(Diffie-Hellman)公共密钥分布方法、IKE(因特网密钥交换)协议来执行安全密钥交换,并且协议驱动程序(TCPsec 15b、UDPsec16b等)确定时间表,以使得加密/完整性认证算法(逻辑)本身和密钥组/域因此将被周期性地改变。
如上所述,在专利文件1中所公开的发明中,使用了本申请的发明人所提出的TCP2,并且能够在不改变上层应用的程序的情况下强化防止数据泄漏、篡改、伪装、接近和攻击的功能。因此,实现了一种新颖的加密系统,在该系统中,加密和解密逻辑被安排于传送侧和接收侧上,以便被应用至与传输层中现有的TCP或UDP相对应的协议的有效负载。
尽管如此,在上述专利文件1中所描述的发明中,本申请的发明人所提出的TCP2是以软件或硬件的形式实施于个人计算机上的。尽管如此,为了在个人计算机上安装此类软件或硬件,工作是必要的,并且通过安装此类软件或硬件,个人计算机自身上的负载将会增加。
更为具体地,为了在个人计算机上安装此类软件或硬件,如上所述,对其安装的工作是必要的,并且个人计算机自身的负担将会增加。另一方面,使用上述TCP2的加密系统是用于防止因特网上的数据“泄露”和“篡改”以及“伪装”、“接近”和“攻击”的协议,并且被用在个人计算机与其外部之间的通信中。
鉴于这样的问题而提出本发明,并且本发明的目标是:在不造成诸如向个人计算机安装软件或硬件的负担的情况下使用简化方式来实现个人计算机与其外部之间的通信方面的本申请的发明人先前所提出的TCP2功能。
发明内容
为解决上述问题并实现本发明的目标,权利要求1中所描述的是一种在通过向位于传输层中的TCP或UDP协议添加加密功能来执行计算机化信息的通信时使用的中间设备,并且该中间设备包括:协定装置,其用于与相对设备协定对应的加密和解密逻辑;协议加密装置,其用于根据由协定装置所协定的加密逻辑对构成所传送和接收的信息单元的分组内的至少协议的有效负载进行加密并传送;和协议解密装置,其用于根据由协定装置所协定的解密逻辑对所接收的经加密的TCP或UDP协议的有效负载进行解密,其特征在于通信是根据使用传输层中的TCP或UDP协议的加密和解密逻辑来执行的。
此外,根据权利要求2所述的中间设备的特征在于:加密和解密逻辑被存储在存储器中或安装在电路上,所述加密和解密逻辑能够是用于协定加密和解密逻辑的协定装置的协定候选者;并且中间设备进一步包括用于周期性地改变加密和解密逻辑的逻辑改变装置,所述加密和解密逻辑能够是协定候选者并被存储或安装。
在根据权利要求3所述的中间设备中,允许协定装置对加密和解密逻辑进行协定,以使得在不进行加密的情况下处理明文。
附图说明
图1是示出了本发明所应用于的中间设备的实施例的配置的框图。
图2是概念图,其中TCP2被实现为连接至通信线路的安全网关,该安全网关执行加密通信和认证。
图3是示出了根据本发明的中间设备所应用于的特定通信网络的实例的图。
图4是解释相关的技术以进行对比的表。
图5是解释相关的技术以进行对比的说明图。
图6是示出了过去使用IPsec和SSL的标准通信协议栈的图。
图7是解释相关的技术的表。
图8是示出了由本申请的发明人先前提出的TCP2协议栈的图。
实施本发明的最佳方式
此后,将参考附图来解释本发明,并且图1是示出了本发明的中间设备所应用于的实施例的配置的框图。
在图1中,中间设备100是具有等同于个人计算机的功能的设备。中间设备100包括分别连接至网络200、300的NIC(网络接口卡)驱动器1a、1b。此外,中间设备100包括网络层和传输层,网络层和传输层包括为包括NIC驱动器1a、1b的物理层和数据链路层定义通信方法的“TCP/IP”2,所述通信方法用于为存在于网络200、300上的任意两个节点之间实施路由时的通信。
可以在数据链路层和网络层之间提供本申请的发明人先前所提出的“TCP2”3的功能。更为具体地,能够以软件或硬件的形式提供“TCP2”3的功能,并且还可能以外部功能4(EXP.)的形式提供用于控制“TCP2”3功能、周期性地改变加密和解密逻辑以及协定,以使得在必要时在不进行加密的情况下处理明文的装置。
因而,在本实施例中,本申请的发明人先前所提出的TCP2功能实施在中间设备中,以使得在个人计算机与其外部之间通信中,防止因特网上数据“泄漏”和“篡改”以及其它“伪装”、“接近”或“攻击”而不带来任何诸如在个人计算机上安装软件或硬件的负担是可能的。
更为具体地,例如,如图2中的概念图所示的,本发明的中间设备100被实现为安全网关,执行加密通信和认证的安全网关将TCP2连接至通信线路。
在图2中,包括TCP2的中间设备101、102与通信的物理接口无关,以使得其可以被连接至各种接口。本文中,包括以太网、FDDI、PPP、无线LAN和IEEE 1394在内的各种通信接口被表示为接口A(网络300)和接口B(网络201、202)。
现有通信数据被从接口A输入到中间设备101,由TCP2加密并被作为密码数据输出至接口B。此外,经加密的通信数据被从接口B输入至中间设备102,由TCP2解密并作为现有通信数据输出至接口A。中间设备101、102中的每一个都具有在发起通信时相互认证TCP2的功能,并且在认证不成功的情况下被迫终止通信。
在这样的通信系统中,分别在现有通信设备401和中间设备101之间、以及在现有通信设备402和中间设备102之间传送和接收现有通信数据,但是在中间设备101和102之间传送和接收经加密的通信数据,以使得能够防止中间设备101和102之间的数据“泄漏”和“篡改”以及其它“伪装”、“接近”或“攻击”。
此外,图3示出了通信网络的一个特定实例。如图3所示,多个个人计算机411、412和413通过网络(诸如以太网等)201连接至主计算机A,从而形成LAN(区域网)环境。因而,在此情况下,用于实现与外部网络300的连接的中间设备101是路由器。
另一方面,单个个人计算机402被提供作为主计算机B。因而,在此情况下,用于实现与外部网络300的连接的中间设备102是网关,并且通过网络202(例如以太网)连接至个人计算机420。此外,在此情况下,外部网络300也通过以太网连接。
在这样的通信网络中,现有通信数据是经由网络201、202的区域来传送和接收的,并且经加密的通信数据是经由外部网络300的一部分来传送和接收的。在外部网络300的该部分中,防止数据“泄漏”和“篡改”以及其它“伪装”、“接近”或“攻击”是可能的。
以此方式,根据本发明的中间设备包括:协定装置,其用在通过对位于传输层中的协议进行加密来执行计算机化信息的通信时,与相对设备协定对应的加密和解密逻辑;协议加密装置,其用于根据由协定装置所协定的加密逻辑对作为所传送和接收的信息单元的分组中的至少协议的有效负载进行加密并传送;以及协议解密装置,其用于根据由协定装置所协定的解密逻辑对所接收的经加密的协议的有效负载进行解密;并根据使用传输层中的协议的加密和解密逻辑来执行通信,以使得能够在个人计算机与其外部之间通信中防止因特网上的数据“泄漏”和“篡改”以及其它“伪装”、“接近”或“攻击”而不带来任何诸如在个人计算机上安装软件或硬件的负担。
最后,根据图4中的表2和图5,对照过去的IPsec或SSL来解释本发明的TCP2的特征。图4中的表2是通过将TCP2功能添加至上述图7中的表1中的IPsec和SSL功能比较表而示出的表。
如表2中所示,通过采用TCP2,完全解决了IPsec和SSL所具有的各种问题(已在背景技术中予以描述)。例如,TCP2完全支持客户机之间的通信、防止对TCP/IP协议的DoS攻击、保护所有UDP端口或TCP端口上的通信、对其中套接字程序已经被改变的应用没有限制等等,而这些是SSL难以支持的。
此外,TCP2完全支持错误频繁发生的恶劣环境下的通信、不同LAN之间的通信、通过多个载波的连接、PPP移动环境和ADSL环境下的通信,这些都是IPsec难以支持的。此外,对于在移动环境或ADSL环境下使用VoIP(基于网际协议的语音)的因特网,如表1和表2中所示,IPsec和SSL都存在问题,但是本发明的TCP2支持任意环境下因特网上的通信。
此外,尽管IPsec和SSl难以支持在不同LAN之间使用VoIP的互联网电话,但是本发明的TCP2完全支持。
图5是用于解释TCP2的特征的图,并且该图通过比较示出了情况(b)、(c)、(d),情况(b)、(c)、(d)分别是当传统SSL、IPsec和本发明的TCP2(TCPsec/UDPsec)应用于协议栈(a)而不采取保护时的情况。
图5中的情况(b)中示出的SSL,如前所述,与上层应用不兼容,原因在于其被提供于会话层(第五层)的套接字中。因此,SSL本身具有上述问题。此外,图5中的情况(c)中示出的IPsec位于网络层(第三层),并且在IP层中不兼容,由此在形成上述网络时受到若干限制。
另一方面,图5中的情况(d)中示出的TCP2(TCPsec/UDPsec)是在传输层(第四层)中引入的加密技术,因此在从应用角度观察时可以直接采用套接字,并且进一步在从网络观察时还可以直接采用IP,这样在形成网络时,不存在限制。
如上所述,本发明的中间设备使用由本申请的发明人先前提出的TCP2,并且相较于现有加密过程系统时,在数据泄漏、篡改、伪装、接近和攻击方面具有极高的安全功能。
应当意识到,本发明不限于上述实施例,并且权利要求中所描述的本发明将包括各种其它实施例而不脱离本发明的范围。
附图标记描述
1a、1b、11 NIC驱动器
2 TCP/IP
3 TCP2
4 外部电路
12 CP上的ARP
13 IP仿真器
13a CP上的IP
13b CP上的IPsec
14a ICMP
14b IGMP
15 TCP
16 UDP
17 套接字接口
100、101、102中间设备
200、201、202、300 网络
401、402现有通信设备
411、412、413、420个人计算机
Claims (3)
1.一种在通过向位于传输层中的TCP或UDP协议添加加密功能来执行计算机化信息的通信时使用的中间设备,所述中间设备包括:
协定装置,其用于与相对设备协定对应的加密和解密逻辑;
协议加密装置,其用于根据由协定装置所协定的加密逻辑对作为所传送和接收的信息单元的分组中的至少协议的有效负载进行加密并传送;和
协议解密装置,其用于根据由协定装置所协定的解密逻辑对所接收的经加密的TCP或UDP协议的有效负载进行解密,
其中通信是根据使用传输层的TCP或UDP协议的加密和解密逻辑来执行的。
2.根据权利要求1所述的中间设备,其中
加密和解密逻辑被存储在存储器中或实施于电路上,所述加密和解密逻辑能够是根据用于协定加密和解密逻辑的协定装置的协定候选者;并且进一步包括逻辑改变装置,其用于周期性地改变所存储或实施的能够是协定候选者的加密和解密逻辑。
3.根据权利要求1或2所述的中间设备,其中允许用于协定加密和解密逻辑的协定装置在不进行与加密和解密逻辑有关的加密的情况下处理明文。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2006/313953 WO2008007432A1 (en) | 2006-07-13 | 2006-07-13 | Relay device |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101529805A true CN101529805A (zh) | 2009-09-09 |
Family
ID=38923003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200680055822A Pending CN101529805A (zh) | 2006-07-13 | 2006-07-13 | 中间设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20100077203A1 (zh) |
EP (1) | EP2043296A4 (zh) |
CN (1) | CN101529805A (zh) |
WO (1) | WO2008007432A1 (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10454890B2 (en) * | 2005-01-31 | 2019-10-22 | Unisys Corporation | Negotiation of security protocols and protocol attributes in secure communications environment |
US20110009466A1 (en) * | 2007-08-29 | 2011-01-13 | President And Fellows Of Harvard College | Methods of increasing gene expression through rna protection |
JP4954022B2 (ja) | 2007-11-05 | 2012-06-13 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、および情報処理装置の制御プログラム |
JP5750352B2 (ja) * | 2011-10-04 | 2015-07-22 | 株式会社Into | ネットワークゲートウェイ装置 |
CN103327469A (zh) * | 2012-03-19 | 2013-09-25 | 联想(北京)有限公司 | 一种数据共享方法、系统及移动终端 |
US9246935B2 (en) | 2013-10-14 | 2016-01-26 | Intuit Inc. | Method and system for dynamic and comprehensive vulnerability management |
US9313281B1 (en) | 2013-11-13 | 2016-04-12 | Intuit Inc. | Method and system for creating and dynamically deploying resource specific discovery agents for determining the state of a cloud computing environment |
US9501345B1 (en) | 2013-12-23 | 2016-11-22 | Intuit Inc. | Method and system for creating enriched log data |
US9323926B2 (en) | 2013-12-30 | 2016-04-26 | Intuit Inc. | Method and system for intrusion and extrusion detection |
US9325726B2 (en) | 2014-02-03 | 2016-04-26 | Intuit Inc. | Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment |
US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
US9866581B2 (en) | 2014-06-30 | 2018-01-09 | Intuit Inc. | Method and system for secure delivery of information to computing environments |
US9276945B2 (en) | 2014-04-07 | 2016-03-01 | Intuit Inc. | Method and system for providing security aware applications |
US9245117B2 (en) | 2014-03-31 | 2016-01-26 | Intuit Inc. | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems |
US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
US9374389B2 (en) | 2014-04-25 | 2016-06-21 | Intuit Inc. | Method and system for ensuring an application conforms with security and regulatory controls prior to deployment |
US9319415B2 (en) | 2014-04-30 | 2016-04-19 | Intuit Inc. | Method and system for providing reference architecture pattern-based permissions management |
US9900322B2 (en) | 2014-04-30 | 2018-02-20 | Intuit Inc. | Method and system for providing permissions management |
US9330263B2 (en) | 2014-05-27 | 2016-05-03 | Intuit Inc. | Method and apparatus for automating the building of threat models for the public cloud |
US9473481B2 (en) | 2014-07-31 | 2016-10-18 | Intuit Inc. | Method and system for providing a virtual asset perimeter |
US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
WO2022010735A1 (en) * | 2020-07-06 | 2022-01-13 | Megachips Corporation | Information processing apparatus, method, and encryption processing apparatus |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
ATE496452T1 (de) * | 1999-02-19 | 2011-02-15 | Nokia Siemens Networks Oy | Netzwerk-anordnung für kommunikation |
JP2001298449A (ja) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | セキュリティ通信方法、通信システム及びその装置 |
US6732101B1 (en) * | 2000-06-15 | 2004-05-04 | Zix Corporation | Secure message forwarding system detecting user's preferences including security preferences |
US20020042875A1 (en) * | 2000-10-11 | 2002-04-11 | Jayant Shukla | Method and apparatus for end-to-end secure data communication |
JP2002132913A (ja) * | 2000-10-25 | 2002-05-10 | Nec Corp | 文書入出力システム及びそれに用いる設定情報登録方法 |
WO2003096612A1 (fr) * | 2002-05-09 | 2003-11-20 | Niigata Seimitsu Co., Ltd. | Dispositif, procede et systeme de cryptage |
US7447901B1 (en) * | 2002-06-25 | 2008-11-04 | Cisco Technology, Inc. | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network |
US7549023B2 (en) * | 2003-04-21 | 2009-06-16 | Intel Corporation | Method and apparatus to update a cache for security records |
JP2004328298A (ja) * | 2003-04-24 | 2004-11-18 | Nec Corp | 通信システム、通信装置及びその動作制御方法 |
CN1833403B (zh) | 2003-08-08 | 2011-05-25 | 小川惠子 | 通信系统、通信装置、通信方法 |
JP4035523B2 (ja) * | 2004-07-15 | 2008-01-23 | キヤノン株式会社 | 通信方法、ルータ、ルータの処理方法、及びプログラム |
-
2006
- 2006-07-13 CN CN200680055822A patent/CN101529805A/zh active Pending
- 2006-07-13 EP EP06768167A patent/EP2043296A4/en not_active Withdrawn
- 2006-07-13 WO PCT/JP2006/313953 patent/WO2008007432A1/ja active Application Filing
- 2006-07-13 US US12/373,370 patent/US20100077203A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
EP2043296A4 (en) | 2011-04-20 |
EP2043296A1 (en) | 2009-04-01 |
US20100077203A1 (en) | 2010-03-25 |
WO2008007432A1 (en) | 2008-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101529805A (zh) | 中间设备 | |
US7043633B1 (en) | Method and apparatus for providing adaptive self-synchronized dynamic address translation | |
CN1833403B (zh) | 通信系统、通信装置、通信方法 | |
CA2211301C (en) | Network security device | |
Kumar | Review on network security and cryptography | |
US6826684B1 (en) | Sliding scale adaptive self-synchronized dynamic address translation | |
CN101682656B (zh) | 用于保护数据分组的路由选择的方法和设备 | |
US8037530B1 (en) | Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor | |
Gupta et al. | Authentication/confidentiality for OSPFv3 | |
TWI274487B (en) | Password device and method, password system | |
US20090228708A1 (en) | System and Method of Encrypting Network Address for Anonymity and Preventing Data Exfiltration | |
US20040044908A1 (en) | System and method for transmitting and receiving secure data in a virtual private group | |
EP1748615A1 (en) | Method and system for providing public key encryption security in insecure networks | |
CN101103593B (zh) | 鉴别多播消息的方法 | |
US7039190B1 (en) | Wireless LAN WEP initialization vector partitioning scheme | |
TW200307422A (en) | Encrypted central unified management system | |
Meier et al. | itap: In-network traffic analysis prevention using software-defined networks | |
Islam et al. | A Link Layer Security Protocol for Suburban Ad-Hoc Networks | |
JP4757088B2 (ja) | 中継装置 | |
Heigl et al. | Embedded plug-in devices to secure industrial network communications | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
JP4783665B2 (ja) | メールサーバ装置 | |
Islam et al. | Link layer security for sahn protocols | |
JP2006295401A (ja) | 中継装置 | |
JP2007019633A (ja) | 中継コネクタ装置及び半導体回路装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090909 |