CN102301660B - Tcp通信方法 - Google Patents
Tcp通信方法 Download PDFInfo
- Publication number
- CN102301660B CN102301660B CN201080005683.XA CN201080005683A CN102301660B CN 102301660 B CN102301660 B CN 102301660B CN 201080005683 A CN201080005683 A CN 201080005683A CN 102301660 B CN102301660 B CN 102301660B
- Authority
- CN
- China
- Prior art keywords
- tcp
- terminal
- relay
- communication
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/169—Special adaptations of TCP, UDP or IP for interworking of IP based networks with other networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种TCP通信方案,它保证在直到终端附近的通信路径的安全通信,并且消除来自黑客等的直接攻击。将终端(A)和终端(B)连接到中继装置(X)和中继装置(Y),其中,终端(A)和终端(B)是定位在TCP通信连接的两个端部处的端点终端。中继装置(X、Y)各自连接到网络(NET)。中继装置(X和Y)被设置成在终端(A和B)之间,该终端(A和B)已经执行常规TCP通信,并且中继装置(X和Y)中的任一个都没有IP地址。中继装置(X和Y)接管在终端(A)与终端(B)之间的TCP连接,将连接划分成三个TCP连接,及建立TCP通信。
Description
技术领域
本发明涉及一种用于在TCP网络之间中继的TCP通信方案,对于该TCP通信方案添加特定功能,如加密通信功能。
背景技术
VPN(虚拟专用网络)路由器是一种插入在端点通信终端之间的装置,用于将特定功能添加到在端点通信终端之间的通信上。VPN路由器是设置在两个网络之间的装置,用于在两个网络之间添加加密通信功能。
有两种类型的VPN路由器。一种是用于使用由载波提供的VPN网络的连接的IP-VPN类型。另一种是用于通过互联网的连接的互联网VPN类型,其中,由用户本人插入VPN装置。一般地,前者用作LAN间连接的VPN,用于将LAN彼此连接,如图9所示;并且后者用作远程访问VPN,用于将终端PC连接到LAN上,如图10所示。
在图9中,1和2代表本地LAN,并且3和4代表VPN路由器。在VPN路由器3、4之间的部分是VPN部分(见专利文献1、2)。
在图10中,5代表VPN终端PC,6代表VPN路由器,及7代表本地LAN。在VPN终端PC 5与VPN路由器6之间的部分是互联网VPN部分(见专利文献3、4)。
现有技术文献
专利文献
专利文献1:JP 2008-118577A
专利文献2:JP 2008-227923A
专利文献3:JP 2008-219531A
专利文献4:JP 2008-301024A
发明内容
本发明要解决的问题
关于以上描述的VPN存在下面的问题。
(a)在VPN部分外的通信允许自由侵入,因此是不安全的。这在VPN部分延伸到靠近终端的布置的情况下,导致高成本。
(b)必须将全局IP地址分配给VPN装置本身,尽管只有少量的全局IP地址是可用的。
(c)装置设置是复杂的,并且要求高水平知识。
鉴于以上,本发明的目的是提供一种TCP通信方案,借助于该TCP通信方案,通过靠近终端的通信路径安全通信是可能的,并且装置在网络上是不可见的,因为没有分配IP地址,从而防止来自黑客的直接攻击。
用于解决问题的手段
为了实现上述目的,根据权利要求1的本发明的特征在于,设置第一和第二终端,并且第一和第二终端通过网络由TCP彼此连接;在第一终端与网络之间的传输线路中设置第一中继装置;在网络与第二终端之间的传输线路中设置第二中继装置;通过网络彼此连接第一和第二中继装置;第一和第二中继装置在第一终端与第一中继装置之间、在第一中继装置与第二中继装置之间、及在第二中继装置与第二终端之间建立三个分段的TCP连接;第一和第二中继装置通过TCP连接执行TCP通信;及第一和第二中继装置将特定功能添加到TCP通信上。
根据权利要求2的本发明的特征在于,在权利要求1中,第一和第二中继装置捕获TCP连接SYN分组,并且以第一和第二终端的名义建立TCP连接而无需具有IP地址。
根据权利要求3的本发明的特征在于,在权利要求1或2中,特定功能包括:实施用于加密和解密的手段的加密通信功能;实施用于中断越权TCP通信的过程的抗病毒功能;实施用于依据负荷状态分配传输的过程的负荷分配功能;实施用于拥塞控制和带宽控制的过程的带宽控制功能;及实施用于特殊线路中继的过程的网关功能。
根据权利要求4的本发明的特征在于,设置第一和第二终端,并且第一和第二终端通过网络由TCP彼此连接;在第一终端与网络之间的传输线路中设置第一中继装置;在网络与第二终端之间的传输线路中设置第二中继装置;通过网络彼此连接第一和第二中继装置;第一和第二中继装置在第一终端与第一中继装置之间、在第一中继装置与第二中继装置之间、及在第二中继装置与第二终端之间执行三个分段的TCP连接过程;及在连接过程完成之前的连接过程期间,当通过彼此交换信息核准第一和第二中继装置时,第一和第二中继装置仅建立在第一和第二中继装置之间的TCP连接。
根据权利要求5的本发明的特征在于,在权利要求4中,第一和第二中继装置通过交换用于模型标识的信息而实施核准。
根据权利要求6的本发明的特征在于,在权利要求4中,通过事先交换密钥信息来实施用于加密通信的事先密钥交换的功能。
本发明的效果
本发明带来如下优点:允许通过靠近终端的通信路径安全通信;并且由于没有分配IP地址使装置在网络上不可见,从而防止来自黑客的直接攻击。此外,本发明带来如下优点:使得没有必要改变网络的配置和设置以及在终端中安装专用软件,并且由于与应用的独立性而没有必要改变终端中的应用。此外,本发明带来如下优点:允许与其它通信协议共存而不影响现有通信,并且允许自由挑选和扩展待被添加的功能。
此外,本发明带来如下优点:使得没有必要改变网络的配置和设置,并且使用现有的标准协议栈,及由此降低实施成本;由于在标准TCP连接过程内完成,防止通信频带被不必要地消耗;及防止与越权终端TCP连接,并由此防止计算机资源被恶意攻击消耗。此外,本发明带来如下优点:使得在第一和第二中继装置缺省与TCP选项兼容的情况下,或者甚至在它们与TCP选项不兼容的情况下,实现目的成为可能;及使得不必要使用另外的TCP端口号。
附图说明
图1是示出了根据实施例1的TCP通信方案的网络配置图;
图2示出了以太网(注册商标)的帧格式;
图3A和3B是表示分段的TCP连接的图;
图4是示出了根据应用例1的加密通信装置的方框配置图;
图5是示出了根据应用例2的抗病毒装置的方框配置图;
图6是示出了根据应用例3的负荷分配装置的方框配置图;
图7是示出了根据应用例4的带宽控制装置的方框配置图;
图8是示出了根据应用例5的网关装置的方框配置图;
图9是示出了LAN间连接VPN的图;
图10是示出了远程访问VPN的图;
图11是示出了在标准使用模式中类型06和07的TCP选项字段的图;
图12是示出了在存在中继装置Y的情况下用于确认的序列的图;
图13是示出了在不存在中继装置Y并且终端B与类型6兼容的情况下用于确认的序列的图;
图14是示出了在不存在中继装置Y并且终端B与类型6不兼容的情况下用于确认的序列的图;
图15是示出了在标准使用模式中类型19的TCP选项字段的图;
图16是示出了在存在中继装置Y的情况下用于确认的序列的图;
图17是示出了在不存在中继装置Y并且终端B与类型19不兼容的情况下用于确认的序列的图;及
图18是示出了根据应用例6的操作过程的图。
具体实施方式
下面参照附图详细地描述了本发明的实施例。
实施例1
图1是示出了根据实施例1的TCP通信方案的网络配置图。在图1中,终端A、B是被布置在TCP通信的相对端部上的端点终端。终端A、B分别通过传输线路11、14被连接到中继装置X、Y上。中继装置X、Y分别通过传输线路12、13被连接到网络NET上。
设置中继装置X、Y,并且将中继装置X、Y插入在终端A、B之间的部分中,在该终端A、B之间,以前已经进行了通信。中继装置X、Y没有被分配IP地址。为了易于解释,终端A、B下文分别被称作TCP连接的主动侧和被动侧。
中继装置X、Y截断在终端A、B之间的TCP连接,并且将其划分成三个TCP连接,及建立TCP通信。
下面描述了主动侧和被动侧中继装置X、Y的操作。
(1)主动侧中继装置X的操作
(a)中继装置X在混杂模式中等待。
混杂模式是LAN卡的操作模式之一。与中继装置X仅接收其目标地址指示中继装置X的分组的正常模式相反,中继装置X在混杂模式中接收具有任何目标地址的分组。
(b)中继装置X捕获SYN(同步)分组,该SYN分组是为了开始TCP连接从终端A发送的分组。
(c)中继装置X从SYN分组的信息得到发送器IP地址(从IP报头得到)、发送器端口号(从TCP报头得到)、目标IP地址(从IP报头得到)、及目标IP端口(从TCP报头得到)。
(d)中继装置X在起终端A作用的同时,开始与得到的目标地址的TCP连接。
(e)在这时,SYN分组添加有指示中继装置X的标识符。下面参照图2中示出的以太网(注册商标)的帧格式描述该标识符。使用在TCP报头中包含的TCP选项字段(下文被称作TCP选项)。
主动侧使用类型代码06的TCP选项,并且被动侧使用类型代码07的TCP选项。跟随类型代码“06”或“07”的数字“06”指示TCP选项的数据长度。随后的数字“04..0400100”或“C0..C00100”指示原始定义的标识码(标识符)。标识码的值可被定义成指示不同的含义,使得标识码可以用于各种用途。
(f)当来自被动侧中继装置Y的应答分组(SYN+ACK(确认))添加有类似的标识符时,中继装置X识别出在相对侧上存在对等中继装置,并且继续该过程。例如,该过程包括将ACK分组送回到被动侧中继装置Y。
(g)在完成与中继装置Y的TCP连接的时候,完成与终端A的TCP连接。通过此连接,中继装置X执行将(SYN+ACK)分组送回到终端A的操作、和等待来自终端A的ACK分组的操作。
在图3A中表明下面解释,该图3A是示出了分段的TCP连接的图。
(2)被动侧中继装置Y的操作
(a)中继装置Y在混杂模式中等待。
(b)中继装置Y捕获从中继装置X发送的SYN分组。
(c)中继装置Y从SYN分组的信息得到发送器IP地址、发送器端口号、目标IP地址、及目标IP端口号。
(d)中继装置Y在起终端A作用的同时,开始与终端B的TCP连接。
(e)当从终端B接收到(SYN+ACK)的应答分组时,中继装置Y将“标识符”添加到在(SYN+ACK)中的TCP选项上,并且在起终端B作用的同时,将(SYN+ACK)的应答分组发送到中继装置X。
(f)在完成与中继装置X的TCP连接的时候,完成与终端B的TCP连接。
由图3A表明以上解释。
(3)建立分段的TCP连接
当完成操作(1)、(2)时,将在终端A和终端B之间的原始单一TCP连接划分成在终端A与中继装置X之间、在中继装置X与中继装置Y之间、及在中继装置Y与终端B之间的三个TCP连接。
相应地,在TCP上的净荷数据通过在终端之间的三个TCP连接被中继和传输,在这里,中继装置的存在是不可识别的,即中继装置对于终端是不可见的。
关于在中继装置之间的TCP连接,依据在中继装置之间的协定,可以任意处理净荷数据。这可用于将分段的TCP通信添加有特定功能。
以上解释没有提到数据传输。数据简单地在终端A与终端B之间传输。数据按某种方式在中继装置X与中继装置Y之间被处理,并且被传输。
图3A示出了存在中继装置X、Y的情形。另一方面,图3B示出了只存在中继装置X或只存在中继装置Y的情形。图3B是示出了对于只存在中继装置X的情形的划分的图,并且应用于应用例2、应用例3、及应用例5。
在这种情况下,中继装置X确认来自终端B的应答分组(SYN+ACK)没有在类型代码07的TCP选项中添加标识符,并且此后将ACK分组送回到终端B,及将(SYN+ACK)分组发送到终端A。
实施例2
实施例2采用类型代码06、07的TCP选项。类型代码06是“Echo(被选项8废除)RFC1072”。类型代码07是“Echo Reply(被选项8废除)RFC1072”。
图11是示出了在类型代码06和07的TCP选项的标准使用模式中的序列的图。通过定义,类型代码06和07的TCP选项用于测量在TCP拥塞控制中的应答时段。例如,当在图2中示出的发送器装置(中继装置X)将其中在类型代码06中设置任意数值的分组发送到相对目标装置(中继装置Y)时,那么已经接收到分组的目标装置将其中在类型代码07中设置任意数值的分组送回到发送器装置。发送器装置测量其中设置同一数值的分组到达时的时间,并且将它用在拥塞控制中。
事先信息交换通过相互发送设有特定含义的任意数值(分组)、通过使用以上描述的TCP选项的功能而实施。下面描述了这样一种情形,其中:在相对侧上存在具有与中继装置X相当功能的中继装置Y,并且由以上描述的方法来实施确认(核准)。
(1)其中存在类似中继装置Y的情形
在中继装置X的相对侧上存在类似中继装置Y的情况下,中继装置X通过如下过程确认中继装置Y的存在。
下面描述了在图12中示出的确认序列。
(a)中继装置X将包含特定标识符A(例如,0x4040404040等)的类型代码06添加到用于TCP三路握手的SYN分组的TCP选项上,并且发送它。
(b)当已经接收到标识符A时,中继装置Y确认在相对侧上存在类似中继装置X,并且中继装置Y将包含特定标识符B(例如,0xC0C0C0C0C0等)的类型代码07添加到SYN+ACK分组的TCP选项上,并且发送它。
(c)当已经接收到标识符B时,中继装置X确认在相对侧上存在类似中继装置Y,并且返回ACK以完成三路握手,并由此建立连接。
(2)其中存在与类型代码06和07的TCP选项相兼容的装置的情形
在中继装置X的相对侧上不存在类似中继装置Y、而是只存在仅与类型代码06和07的TCP选项相兼容的装置的情况下,中继装置X通过如下过程确认不存在类似中继装置Y。
下面描述了在图13中示出的确认序列。
(a)中继装置X将包含特定标识符A(例如,0x4040404040等)的类型代码06添加到用于TCP三路握手的SYN分组的TCP选项上,并且发送它。
(b)当已经接收到标识符A时,中继装置Y根据标准规则,将包含接收到的标识符A的类型代码07添加到SYN+ACK分组的TCP选项上,并且将它送回。
(c)当已经接收到标识符A时,中继装置X确认在相对侧上不存在类似中继装置Y,并且通过返回ACK通过三路握手建立连接,或者通过返回RST(复位)通过终止三路握手而取消断开连接。
(3)其中存在与类型代码06和07的TCP选项不兼容的装置的情形
在中继装置X的相对侧上不存在类似中继装置Y、而是存在与类型代码06和07的TCP选项不兼容的装置的情况下,中继装置X通过如下过程确认不存在类似中继装置Y。
下面描述了在图14中示出的确认序列。
(a)中继装置X将包含特定标识符A(例如,0x4040404040等)的类型代码06添加到用于TCP三路握手的SYN分组的TCP选项上,并且发送它。
(b)中继装置Y返回没有添加TCP选项的SYN+ACK分组。
(c)当已经接收到标识符A时,中继装置X确认在相对侧上不存在类似中继装置Y,并且通过返回ACK通过三路握手建立连接,或者通过返回RST(复位)通过终止三路握手而取消断开连接。
实施例3
实施例3采用了类型19的TCP选项。类型19是“MD5Signature Option RF2385”。
图15是示出了在类型19的TCP选项的标准使用模式中的序列的图。按照定义,类型19是打算用于BGP(Broader Gateway Protocol(边界网关协议))的选项,该选项用于基于TCP部分的MD5散列值的签名。在BGP会话上流动的每个TCP部分添加有这个选项,用于保护BGP会话。
实施例3通过相互发送设有特定含义的任意数值、通过使用在图15中示出的TCP选项的功能,来实施事先信息交换。然而,该方案不能用在BGP会话上,因为该方案与在BGP会话上的标准使用相冲突。相应地,该方案限于除BGP会话之外的会话。下面描述了这样一种情形,其中:中继装置X通过以上方法确认或核准在相对侧上存在具有类似功能的中继装置Y。
(1)其中存在类似中继装置Y的情形
图16是示出对于在相对侧上存在类似中继装置Y的情形的确认序列的图。在图16中,中继装置X通过如下过程确认中继装置Y的存在。如果目标TCP端口号是BGP(179),则不执行确认。
(a)中继装置X将包含特定标识符A(例如,0x4040404040等)的类型代码19添加到用于TCP三路握手的SYN分组的TCP选项上,并且发送它。
(b)当已经接收到标识符A时,中继装置Y确认在相对侧上存在类似中继装置X,并且中继装置Y将包含特定标识符B(例如,0xC0C0C0C0C0等)的类型代码19添加到SYN+ACK分组的TCP选项上,并且发送它。
(c)当已经接收到标识符B时,中继装置X确认在相对侧上存在类似中继装置Y,并且返回ACK以完成三路握手,并由此建立连接。
(2)其中存在与类型代码19的TCP选项不兼容的装置的情形
在中继装置X的相对侧上不存在类似中继装置Y的情况下,中继装置X通过如下过程确认不存在类似中继装置Y。如果目标TCP端口号是BGP(179),则不执行确认。
下面描述了在图17中示出的确认序列。
(a)中继装置X将包含特定标识符A(例如,0x4040404040等)的类型代码19添加到用于TCP三路握手的SYN分组的TCP选项上,并且发送它。
(b)中继装置Y返回没有添加TCP选项的SYN+ACK分组。
(c)根据中继装置X未能接收到类型代码19的TCP选项的状态,中继装置X确认在相对侧上不存在类似中继装置Y,并且通过返回ACK通过三路握手建立连接,或者通过返回RST(复位)通过终止三路握手而取消断开连接。
在以上描述的实施例3中,不使用特殊分组。这用于消除改变防火墙路径穿过设置的必要性、等等,并且使得能够通过定义多个标识符来实施扩展功能。
工业实用性
实施例1形式的本发明适用于下面描述的应用例。
<应用例1>图4示出了根据这个应用例的加密通信装置。加密通信装置包括终端A-装置X-装置Y-终端B。装置X包括内部TCP连接处理部分X1、加密处理部分X2、外部TCP连接处理部分X3、X4、及解密处理部分X5。装置Y包括内部TCP连接处理部分Y1、加密处理部分Y2、外部TCP连接处理部分Y3、Y4、及解密处理部分Y5。
在如以上描述的那样配置的应用例1中,从终端A到终端B的数据传输通过如下实施:在装置X的内部TCP连接处理部分X1处处理来自终端A的数据,并且然后在加密处理部分X2处加密数据,及通过外部TCP连接处理部分X3将数据输入到装置Y的外部TCP连接处理部分Y4,并且然后在解密处理部分Y5处解密数据,及通过内部TCP连接处理部分Y1将数据发送到终端B。
另一方面,从终端B到终端A的数据传输通过如下逆向实施:在装置Y的内部TCP连接处理部分Y1处处理数据,并且在加密处理部分Y2处加密数据,及通过外部TCP连接处理部分Y3将数据输入到装置X的外部TCP连接处理部分X4,并且然后在解密处理部分X5处解密数据,及通过内部TCP连接处理部分X1将数据发送到终端A。
通过使得加密通信装置能够如以上描述的那样起作用,能够在从终端A到终端B或从终端B到终端A的通信线路中实现加密通信。例如,能够通过事先交换密钥信息,实现用于加密通信的事先密钥交换的功能。
<应用例2>图5示出了根据这个应用例2的抗病毒装置。抗病毒装置包括终端A-装置X-终端B、C、D。装置X包括外部TCP连接处理部分41、病毒检查处理部分42、及内部TCP连接处理部分43。如此配置的装置X在TCP通信的中继的过程期间在病毒检查处理部分42处执行病毒检查,并且中断在检查中失败的TCP通信。例如,这防止从终端A到终端B、C、D的越权存取或从终端B、C、D到终端A的越权存取。
<应用例3>图6示出了根据这个应用例的负荷分配装置。负荷分配装置包括终端A、B、C、路由器R、装置X、及多个服务器1-N。装置X包括外部TCP连接处理部分51、负荷分配处理部分52、及内部TCP连接处理部分53。在如此配置的负荷分配装置中,在服务器1-N的前侧上的装置X能够通过依据负荷状态将传输分配给适当服务器1-N来实现负荷分配。
例如,终端A、B、C连接到公用IP地址上。在这时,装置X依据服务器1-N的负荷状态选择服务器1-N中的一个,并且中继TCP连接。相应地,终端A-C好像由TCP连接到公用IP地址上一样。另一方面,服务器1-N好像由它们的相应不同IP地址连接到外部终端的IP地址上一样。
<应用例4>图7示出了根据这个应用例的带宽控制装置。带宽控制装置包括终端A-装置X-装置Y-终端B。装置X包括内部TCP连接处理部分61x、拥塞控制和带宽控制处理部分62x、及专用协议处理部分63x。装置Y包括内部TCP连接处理部分61y、拥塞控制和带宽控制处理部分62y、及专用协议处理部分63y。
在如此配置的终端A-装置X-装置Y-终端B的布置中,借助于在装置X与装置Y之间的专用协议进行精确的拥塞控制和带宽控制,由此使得能够实现适用于借助通用TCP不能处理的线路的带宽控制。
<应用例5>图8表示根据这个应用例的网关装置。网关装置包括终端A-装置X-终端B。装置X包括外部TCP连接处理部分71、网关处理部分72、及内部TCP连接处理部分73。
在如此配置的装置中,终端B基于特殊协议或特殊数据操作。终端A要求网关装置作为用于基于标准协议或标准数据进行通信的转换装置。相应地,装置X被直接设置在终端B的前侧上,以便允许协议或数据的转换处理。一般地,网关装置设有IP地址,并且在终端A与装置X之间和在装置X与终端B之间进行通信。与之相比,在这个应用例中装置X好像不存在。
<应用例6>应用例6被配置成使得能够将实施例1和应用例1-5的所有功能并入到终端中的TCP协议栈软件中,并由此通过软件实施功能,而不使用外部硬件装置。
在通过TCP协议栈执行等待连接的通常情况下,事先创建套接口,并且指定用于连接的端口号(赋值),并且执行等待连接(接受)。
然而,在实施例1中的中继装置X的情况下,不能预先知道发送器IP地址、目标IP地址、发送器端口号、及目标端口号。相应地,在混杂模式中捕获为了连接首先被发送的SYNTCP分组,并且得到连接目标信息,并且准备用于接受连接的套接口,并且事先执行赋值和接受的过程,及使TCP协议栈处理分组。通过这些操作,能够在起相对终端B作用的同时,完成TCP连接。
下面参照图18描述了用于以上描述的情形的操作过程。
(a)首先,在混杂模式中捕获SYN分组。(网络驱动器)
(b)从捕获的SYN分组中得到目标IP地址和目标端口号。(网络驱动器)
(c)将得到的目标信息通知应用。(网络驱动器)
(d)使用通知的信息,执行套接口创建、赋值、及接受的过程。(应用)
(e)将SYN分组传给TCP协议栈。(网络驱动器)
(f)由标准过程建立TCP连接,以完成套接口的连接(TCP协议栈)
附图标记的描述
A、B...终端
X、Y...中继装置
NET...网络
11-14...传输线路
Claims (2)
1.一种TCP通信方法,其特征在于,包括:
设置第一终端和第二终端,所述第一终端和第二终端通过网络由TCP彼此连接;
为第一终端和第二终端中的每一个提供TCP协议软件,该TCP协议软件设有捕获在连接开始处发送的TCP SYN分组、并得到连接目标信息、及基于连接目标信息在起相对终端作用的同时建立TCP连接的功能;及
通过TCP连接将特定功能添加到TCP通信上;
其中,建立TCP连接包括:
(a)由网络驱动器在混杂模式中捕获SYN分组;
(b)由所述网络驱动器从捕获的SYN分组中得到发送器IP地址、发送器端口号、目标IP地址和目标端口号;
(c)由所述网络驱动器将得到的信息通知应用;
(d)由所述应用使用通知的信息,执行套接口创建、赋值、及接受的过程;
(e)由所述网络驱动器将所述SYN分组传给TCP协议栈;
(f)由所述TCP协议栈通过标准过程建立所述TCP连接,以完成套接口的连接。
2.根据权利要求1所述的TCP通信方法,其特征在于,特定功能包括:
实施用于加密和解密的手段的加密通信功能;
实施用于中断越权TCP通信的过程的抗病毒功能;
实施用于依据负荷状态分配传输的过程的负荷分配功能;
实施用于拥塞控制和带宽控制的过程的带宽控制功能;及
实施用于特殊线路中继的过程的网关功能。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009016342 | 2009-01-28 | ||
| JP2009-016342 | 2009-01-28 | ||
| JP2009260553A JP2010200300A (ja) | 2009-01-28 | 2009-11-16 | Tcp通信方式 |
| JP2009-260553 | 2009-11-16 | ||
| PCT/JP2010/050955 WO2010087326A1 (ja) | 2009-01-28 | 2010-01-26 | Tcp通信方式 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102301660A CN102301660A (zh) | 2011-12-28 |
| CN102301660B true CN102301660B (zh) | 2017-04-12 |
Family
ID=42395587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080005683.XA Expired - Fee Related CN102301660B (zh) | 2009-01-28 | 2010-01-26 | Tcp通信方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8578149B2 (zh) |
| EP (1) | EP2387182A4 (zh) |
| JP (1) | JP2010200300A (zh) |
| CN (1) | CN102301660B (zh) |
| WO (1) | WO2010087326A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200622A (zh) * | 2012-01-09 | 2013-07-10 | 株式会社Ntt都科摩 | 一种通信处理方法、装置及网关设备 |
| JP5696669B2 (ja) * | 2012-01-12 | 2015-04-08 | 株式会社デンソー | ゲートウェイ装置、及び、車両通信システム |
| US8948185B2 (en) | 2012-02-28 | 2015-02-03 | Hitachi, Ltd. | Relay node, control method of relay node and network system |
| KR101971623B1 (ko) | 2012-05-10 | 2019-04-23 | 삼성전자주식회사 | 컨텐츠 및 사용자 인터랙션 전송방법 |
| JP5771656B2 (ja) * | 2013-09-05 | 2015-09-02 | アラクサラネットワークス株式会社 | 中継装置 |
| WO2015106453A1 (zh) * | 2014-01-20 | 2015-07-23 | 华为技术有限公司 | 处理业务的方法和网络设备 |
| JP6220709B2 (ja) * | 2014-03-18 | 2017-10-25 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、通信制御方法、及びプログラム |
| CN106797308A (zh) * | 2015-06-23 | 2017-05-31 | 华为技术有限公司 | 一种数据传输方法、设备及系统 |
| JP6563345B2 (ja) * | 2016-01-25 | 2019-08-21 | 京セラ株式会社 | 無線中継装置および無線中継方法 |
| US10397006B2 (en) * | 2017-02-13 | 2019-08-27 | Amazon Technologies, Inc. | Network security with surrogate digital certificates |
| WO2018229931A1 (ja) * | 2017-06-15 | 2018-12-20 | 三菱電機株式会社 | ゲートウェイ装置及びネットワークシステム |
| CN111988346B (zh) * | 2019-05-21 | 2021-10-22 | 新华三信息安全技术有限公司 | 数据泄露防护设备及报文处理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101112041A (zh) * | 2005-02-28 | 2008-01-23 | 日本电气株式会社 | 通信系统、通信装置、通信方法以及程序 |
| JP2008072552A (ja) * | 2006-09-15 | 2008-03-27 | Nec Corp | 中継装置、中継方法及び中継プログラム |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1130828A (zh) * | 1995-11-11 | 1996-09-11 | 广州市金资信息技术有限公司 | 虚拟中继方法 |
| JP3730480B2 (ja) * | 2000-05-23 | 2006-01-05 | 株式会社東芝 | ゲートウェイ装置 |
| AU2002322109A1 (en) * | 2001-06-13 | 2002-12-23 | Intruvert Networks, Inc. | Method and apparatus for distributed network security |
| JP2005020647A (ja) * | 2003-06-30 | 2005-01-20 | Canon Inc | 通信端末、通信端末の制御方法、通信端末の制御プログラム |
| US20050182937A1 (en) * | 2004-02-12 | 2005-08-18 | Harmeet Singh Bedi | Method and system for sending secure messages over an unsecured network |
| JP2006087010A (ja) * | 2004-09-17 | 2006-03-30 | National Institute Of Advanced Industrial & Technology | 通信路制御装置およびそれを用いたネットワークシステム |
| JP2006191205A (ja) * | 2004-12-28 | 2006-07-20 | Matsushita Electric Works Ltd | 通信装置及び通信方法、通信システム |
| JP2006196996A (ja) * | 2005-01-11 | 2006-07-27 | Matsushita Electric Works Ltd | 通信システム及び通信方法 |
| FI119303B (fi) * | 2005-06-07 | 2008-09-30 | Teliasonera Ab | Liitettävyys tilatietoisten palomuurien välillä |
| JP4696204B2 (ja) | 2005-07-05 | 2011-06-08 | 株式会社Into | 通信方法 |
| JP4430597B2 (ja) * | 2005-08-26 | 2010-03-10 | 日本電信電話株式会社 | ネットワークシステム、送信側振分装置、パケット通信方法、および、パケット通信プログラム |
| JP4222397B2 (ja) * | 2006-09-12 | 2009-02-12 | 村田機械株式会社 | 中継サーバ |
| JP4394674B2 (ja) | 2006-11-08 | 2010-01-06 | Necインフロンティア株式会社 | 通信ネットワークにおける冗長化の方法およびその方法に適するルータ |
| US8214635B2 (en) * | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| US7639625B2 (en) * | 2007-03-02 | 2009-12-29 | Cisco Technology, Inc. | Tracing connection paths through transparent proxies |
| JP4753314B2 (ja) | 2007-03-06 | 2011-08-24 | Kddi株式会社 | 仮想閉域網を1つのレイヤ3スイッチとして設定管理するシステム及びプログラム |
| JP2008227923A (ja) | 2007-03-13 | 2008-09-25 | Yamaha Corp | 通信システム |
| JP4816572B2 (ja) | 2007-05-30 | 2011-11-16 | 富士ゼロックス株式会社 | 仮想ネットワーク接続システム及び装置 |
-
2009
- 2009-11-16 JP JP2009260553A patent/JP2010200300A/ja active Pending
-
2010
- 2010-01-26 WO PCT/JP2010/050955 patent/WO2010087326A1/ja active Application Filing
- 2010-01-26 CN CN201080005683.XA patent/CN102301660B/zh not_active Expired - Fee Related
- 2010-01-26 EP EP10735794.9A patent/EP2387182A4/en not_active Withdrawn
- 2010-01-26 US US13/146,532 patent/US8578149B2/en not_active Expired - Fee Related
-
2013
- 2013-10-01 US US14/043,240 patent/US9769289B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101112041A (zh) * | 2005-02-28 | 2008-01-23 | 日本电气株式会社 | 通信系统、通信装置、通信方法以及程序 |
| JP2008072552A (ja) * | 2006-09-15 | 2008-03-27 | Nec Corp | 中継装置、中継方法及び中継プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US8578149B2 (en) | 2013-11-05 |
| EP2387182A1 (en) | 2011-11-16 |
| US9769289B2 (en) | 2017-09-19 |
| JP2010200300A (ja) | 2010-09-09 |
| WO2010087326A1 (ja) | 2010-08-05 |
| EP2387182A4 (en) | 2016-05-25 |
| US20110289312A1 (en) | 2011-11-24 |
| CN102301660A (zh) | 2011-12-28 |
| US20140029626A1 (en) | 2014-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102301660B (zh) | Tcp通信方法 | |
| JP4634687B2 (ja) | ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ | |
| CN104272684B (zh) | Fabric交换机中的动态服务插入 | |
| CN101040496B (zh) | Vpn网关设备和主机系统 | |
| JP5378494B2 (ja) | リレーサーバを利用したデータ伝送システム及び方法 | |
| CN109842585A (zh) | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 | |
| CN110601906B (zh) | 一种基于区块链的数据传输方法及装置 | |
| CN103152343B (zh) | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 | |
| CN102077194A (zh) | 本地主机和管理控制器之间基于网络控制器的传输通信机制 | |
| CN107852359A (zh) | 安全系统、通信控制方法 | |
| CN106230870B (zh) | 私有协议文件传输系统与方法 | |
| CN103414725A (zh) | 用于检测和过滤数据报文的方法和设备 | |
| CN100459568C (zh) | 在应用层实现vpn协议的系统及其方法 | |
| TW201308942A (zh) | 中繼伺服器及中繼通訊系統 | |
| Carlson et al. | PPP transparent interconnection of lots of links (TRILL) protocol control protocol | |
| JP5655848B2 (ja) | Tcp通信方式 | |
| CN108604994A (zh) | 虚拟分散联网系统和方法 | |
| CN108989342A (zh) | 一种数据传输的方法及装置 | |
| US20170346932A1 (en) | In-band path-to-path signals using tcp retransmission | |
| US8737413B2 (en) | Relay server and relay communication system | |
| WO2019165235A1 (en) | Secure encrypted network tunnels using osi layer 2 protocol | |
| CN100592265C (zh) | 路由分组通信量来确保通信安全的方法、系统和计算机系统 | |
| JP2006191205A (ja) | 通信装置及び通信方法、通信システム | |
| CN108292343B (zh) | 薄弱环节的避免 | |
| KR101469244B1 (ko) | 수신된 데이터에서의 불필요한 패킷 제거 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170412 Termination date: 20220126 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |