CN104247365A - 用于使网关地址循环的系统和方法 - Google Patents
用于使网关地址循环的系统和方法 Download PDFInfo
- Publication number
- CN104247365A CN104247365A CN201380009753.2A CN201380009753A CN104247365A CN 104247365 A CN104247365 A CN 104247365A CN 201380009753 A CN201380009753 A CN 201380009753A CN 104247365 A CN104247365 A CN 104247365A
- Authority
- CN
- China
- Prior art keywords
- gateway
- address
- client terminal
- terminal device
- mapping device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
为了提高经由网关提供对其访问的网络的安全性,提供了客户端装置、网关以及相应的方法。网关的地址可以循环,例如改变,使得应该不能够访问网络的黑客或其它个体或装置将在使网关的地址安全并且访问网络时体验更大的困难,至少长达任何延长的时间段。然而,关于网关的地址的循环通过确保客户端装置和网关两者同步,即便当网关的地址循环时,客户端装置仍然可以适当地对网关进行寻址并且因此访问网络。不同的操作系统还可以与网关的不同的地址中的一些相关联以便提高网络的安全性。
Description
技术领域
根据示例实施方式,提供了用于定义网关的地址并且更特别地用于使网关的地址循环、从而增强经由网关可访问的网络的安全性的系统和方法。
背景技术
可以由网关提供对诸如专用网络(例如,内联网或其它内部网络)的网络的访问。在适当情况下,网关位于在防火墙外,该防火墙用构造成从各种装置接收针对网络的消息并且将那些消息转发到该网络的网关来保护网络。网关一般地具有静态地址,诸如静态网际协议(IP)地址。为了访问网关,以及进而访问网络,诸如计算机、移动电话、个人数字助理(PDA)等的装置可以向域名服务器(DNS)查询网关的地址。DNS可以给装置提供网关的地址,并且装置其后可以经由由DNS所提供的地址(诸如IP地址)与网关进行通信,以及进而与网络进行通信。
因为网关的地址是静态的,所以应该不能够访问网络的黑客或其它个体或装置可以确定网关的地址。一旦已确定网关的地址,应该不能够访问网络的黑客或其它个体或装置就可以经由适当地寻址到该网关的消息与网络进行通信。正因如此,应该不能够访问网络的黑客或其它个体或装置可以访问网络,并且可以例如访问存储在网络内的数据或其它信息,从而危及网络的安全性。
发明内容
为了提高经由网关提供对其访问的网络的安全性,根据本公开内容的示例实施方式,提供了客户端装置、网关以及相应的方法。在这点上,网关的地址可以循环,例如改变,使得应该不能够访问网络的黑客或其它个体或装置将在确定网关的地址并且访问网络时体验更大的困难,至少长达任何延长的时间段。通过确保客户端装置和网关两者针对网关的地址的循环是同步的,即便当网关的地址循环时,客户端装置仍然可以适当地对网关进行寻址并且因此访问网络。通过使不同的操作系统与网关的不同的地址相关联,可以依照本公开内容的一些实施方式进一步提高网络的安全性。
依照一个实施方式提供了包括处理器的客户端装置,该处理器被构造成查询多个映射装置以请求网关的地址。这种实施方式的处理器还被构造成从映射装置中的一个接收网关的地址,并且构造成利用从映射装置中的相应一个接收到的地址使与网关的通信建立。这种实施方式的处理器还被构造成接收网关的地址已改变为不同的地址的指示并且其后利用该不同的地址使与网关的通信建立。在这点上,一个实施方式的处理器可以被进一步构造成重复地接收网关的地址已改变为不同的地址的指示并且其后利用该不同的地址使与网关的通信建立。通过许可网关的地址改变,作为有关网关的地址的循环在网关与客户端装置之间的同步的结果,可以增强由网关提供给网络的安全性,同时仍然允许客户端装置经由网关与网络进行通信。
一个实施方式的处理器可以被进一步构造成响应于指示一个或更多个其它映射装置不具有用于网关的有效地址的查询从一个或更多个其它映射装置接收响应。处理器可以被进一步构造成通过在第二协议(诸如网际协议版本4(IPv4))的分组内隧道化第一协议(诸如网际协议版本6(IPv6))的净负荷来与网关进行通信。净负荷可以包括客户端装置的媒体访问控制(MAC)地址以便许可通过网关验证客户端装置。
在另一实施方式中,提供了包括查询多个映射装置以请求网关的地址的方法。该方法还可以从映射装置中的一个接收网关的地址,并且可以利用处理器利用从映射装置中的相应一个接收到的地址与网关建立通信。这种实施方式的方法还可以接收网关的地址已改变为不同的地址的指示并且之后利用该不同的地址使与网关建立通信。在一个实施方式中,该方法可以重复地执行以下步骤:接收网关的地址已改变为不同的地址的指示并且之后可以利用该不同的地址使与网关的通信建立。
一个实施方式的方法还可以响应于指示一个或更多个其它映射装置不具有用于网关的有效地址的查询从一个或更多个其它映射装置接收响应。一个实施方式的方法可以通过在第二协议(诸如网际协议版本4(IPv4))的分组内隧道化第一协议(诸如网际协议版本6(IPv6))的净负荷来与网关进行通信。一个实施方式的净负荷可以包括客户端装置的媒体访问控制(MAC)地址以许可通过网关验证客户端装置。
在另一个实施方式中,提供了包括处理器的网关,该处理器被构造成定义网关的地址、利用由网关所定义的地址从客户端装置接收消息、以及之后利用由网关所定义的地址与客户端装置建立通信。这种实施方式的处理器还被构造成通过改变为不同的地址来使网关的地址循环,从而使客户端装置被通知网关的地址已改变为不同的地址并且之后利用该不同的地址与客户端装置进行通信。在一个实施方式中,网关的处理器可以被进一步构造成重复地使网关的地址循环。
网关的处理器可以被进一步构造成通过在第二协议(诸如网际协议版本4(IPv4))的分组内隧道化第一协议(诸如网际协议版本6(IPv6))的净负荷来与客户端装置进行通信。一个实施方式的网关的处理器还可以被构造成基于包括在从客户端装置接收到的通信内的客户端装置的媒体访问控制(MAC)地址来验证客户端装置。一个实施方式的网关的处理器还可以被构造成通过使多个映射装置被通知网关的地址已改变为不同的地址来使客户端装置被通知网关的地址已改变,使得映射装置中的一个或更多个然后可以向客户端装置通知网关的地址的改变。在一个实施方式中,网关的地址和网关的不同的地址可以与不同的操作系统相关联。在该实施方式中,网关的处理器可以被进一步构造成依照不同的操作系统进行操作,同时网关具有与当网关具有该地址时不同的地址。通过改变操作系统,即使以对于客户端装置而言透明的方式,也可以进一步提高网络的安全性。
附图说明
已经如此用一般术语描述了本公开内容的特定示例实施方式,现将对附图进行参照,附图未必按比例绘制,并且其中:
图1是依照示例实施方式的包括客户端装置、多个映射装置以及用于控制对网络的访问的网关的系统的框图;
图2是依照本公开内容的示例实施方式可以由客户端装置和/或网关具体化并且可以被具体地构造的装置的框图;
图3是图1的系统的更详细的框图;
图4是依照一个实施方式由客户端装置所执行的操作的流程图;以及
图5是依照一个实施方式由网关所执行的操作的流程图。
具体实施方式
现将参照附图在下文中对本公开内容进行更全面的描述,在附图中示出了一些而并非所有实施方式。实际上,本公开内容可以以许多不同的形式具体化,并且不应该被解释为限于本文中所阐述的实施方式;相反地,提供这些实施方式以便本公开内容将满足适用的法律要求。同样的附图标记自始至终指代同样的部件。
现参照图1,提供了用于控制通过客户端装置10对网络12的访问的系统。客户端装置10可以是被构造成与网络进行通信的各式各样的装置中的任一个,诸如计算机、平板电脑、移动电话、PDA等。附加地,将与客户端装置10进行通信的网络12可以是各种网络中的任一个,但是一般而言,是公众一般地不可访问的专用网络,诸如内联网、因特网网络等。如图1中所示,对网络12的访问可以由网关14来控制。在这点上,网关14可以位于在以其它方式保护网络12以便与各种装置进行通信的防火墙外,所述各种装置包括客户端装置10,其努力与网络12进行通信。客户端装置10和网关14可以以各种方式通信,诸如经由无线连接、有线连接或其某种组合。
为了与网关14并且进而与网络12进行通信,客户端装置10确定网关的地址并且其后将消息发送到网关,所述消息中的至少一些意在供网络接收。网关14的地址不由DNS提供。替代地,系统还可以包括多个映射装置16,其即便当网络的地址循环(例如,改变)时也确定网关14的地址。如此,客户端装置10可以与映射装置16进行通信以便确定网关14的地址(诸如IP地址),以便将消息适当地导向网关并且进而导向网络12。客户端装置10和多个网关16可以以各种方式通信,包括经由无线连接、有线连接或其某种组合。尽管在图1中未描绘,但是网关14和映射装置16还可以像图3中所示出的那样并且像在下面在一些实施方式中所描述的那样通信,以便促进网关的地址的循环的同步。
如在下面所描述的那样,客户端装置10可以通过查询多个映射装置16来确定网关14的地址,并且其后可以利用该地址与网关以及进而与网络12进行通信。在网关12的地址已改变的实例中,可以向客户端装置10通知网关的地址的改变,使得可以利用网关的已更新地址进行客户端装置与网关之间以及进而与网络12的后续通信。使网关14的地址循环同时经由该网关来维持客户端装置10与网络12之间的通信的这种过程可以继续,从而降低应该不能够访问网络的黑客或其它个体或装置将能够确定网关的地址企图与网络进行通信的可能性,至少长达任何可观的时间长度,因为网关的地址将重复地循环(例如,改变)。
客户端装置10和网关14两者都可以被具体化为或者以其它方式包括如由图2的框图一般地表示的装置20。在这点上,装置20可以被构造成随着网关的地址循环而维持客户端装置10与网关14之间的地址同步,从而将增强的安全性提供给与该网关相关联的网络12。将参照图2的装置在下文中对示例实施方式进行描述。该装置可以例如被客户端装置10和/或网关14采用。然而,应该注意的是,在下面所描述的组件、装置或元件可以不是强制的,并且因此可以在特定实施方式中省略一些。附加地,一些实施方式可以包括除本文中所示出和所描述的那些以外的另外的或不同的组件、装置或元件。
如图2中所示,装置20可以包括处理电路或者以其它方式与处理电路通信,该处理电路可构造成依照本文中所描述的示例实施方式执行动作。处理电路可以被构造成根据示例实施方式执行数据处理、应用执行和/或其它处理与管理服务。在示例实施方式中,处理电路可以包括处理器22和存储器24,所述处理器22和存储器24可以与通信接口26通信并且在一些情况下与用户接口28通信或者以其它方式控制通信接口26并且在一些情况下控制用户接口28。如此,处理电路可以被具体化为被构造(例如,用硬件、软件或硬件和软件的组合)成执行本文中所描述的操作的电路芯片(例如,集成电路芯片)。
用户接口28(如果被实现)可以与处理电路通信以接收在用户接口处输入的用户的指示和/或以将可听的、视觉的、机械的或其它输出提供给用户。如此,用户接口28在客户端装置10的背景下可以包括例如键盘、鼠标、操纵杆、显示器、触摸屏、麦克风、扬声器和/或其它输入/输出机制。在装置20由网关14具体化的示例实施方式中,可以完全地实现、限制、远程定位或者消除用户接口28。实际上,虽然装置20在客户端装置10的背景下可以包括用户接口28,但是该装置在网关14的背景下可以不包括用户接口,或者该用户接口可以被布置在另一装置处,例如在计算机终端处,所述另一装置可以经由通信接口26与处理电路通信。
通信接口26可以包括用于使得能够与其它装置和/或网络进行通信的一个或多个接口机制。在一些情况下,通信接口26可以是任何装置,诸如被构造成接收和/或发送数据的用硬件或硬件和软件的组合加以具体化的装置或电路。在这点上,通信接口26可以包括例如用于使得能够与无线通信网络和/或通信调制解调器进行通信的天线(或多个天线)和支持硬件和/或软件或用于经由电缆、数字订户线路(DSL)、USB、以太网或其它方法来支持通信的其它硬件/软件。
在示例实施方式中,存储器24可以包括一个或多个非暂时性存储器装置,诸如例如可以是固定的或可拆卸的易失性和/或非易性存储器。存储器24可以被构造成存储信息、数据、应用、指令等以用于使得装置20能够依照本公开内容的实施方式来执行各种功能。例如,存储器24能够被构造成存储由处理器22执行的指令。在一些情况下,存储器24可以经由用于在装置20的部件之间传递信息的总线与处理器22通信。
处理器22可以以许多不同的方式加以具体化。例如,处理器22可以被具体化为各种处理装置,诸如微处理器或其它处理元件、协作处理器、控制器或各种其它计算或处理装置中的一个或多个,所述其它计算或处理装置包括集成电路,诸如例如ASIC(专用集成电路)、FPGA(现场可编程门阵列)等。在示例实施方式中,处理器22可以被构造成执行存储在存储器24中的或处理器以其它方式可访问的指令。如此,无论由硬件还是由硬件和软件的组合构造,处理器22可以表示实体,例如,物理上用能够在被相应地构造时根据本公开内容的实施方式执行操作的电路加以具体化。因此,例如,当处理器22被具体化为ASIC、FPGA等时,处理器可以是用于执行本文中所描述的操作的具体地构造的硬件。另选地,作为另一示例,当处理器22被具体化为软件指令的执行方时,指令可以将处理器具体地构造成执行本文中所描述的操作。
现参照图3,更详细地示出了依照示例实施方式的系统。网关14(诸如该网关的处理器22)可以定义其地址。在所例示的实施方式中,网关14可以定义多个不同的地址,其中的一个是有效地址并且其中的剩余部分的是无效地址。网关14可以定义各种类型的地址,但是在一个实施方式中,定义IP地址。尽管可以以各种方式实现地址的生成,但是网关14以及更特别地该网关的一个实施方式的处理器22可以包括多个虚拟机(VM),其中的每一个都被构造成为网关生成相应的地址,其中地址中的一个是有效的并且地址中的剩余部分者是无效的。虽然在图3中例示了具有八个虚拟机(标明为VM1、VM2、…VM8)的网关14,但是这种实施方式的网关可以具有任何数目的虚拟机,并且因此,可以生成任何数目的地址,其中的仅一个是有效的。
如同样在图3中所示,多个映射装置16还可以为网关14生成多个侯选地址。尽管在图3的实施方式中例示了四个映射装置16(标明为映射器1、映射器2、映射器3以及映射器4),但是系统可以包括任何数目的映射装置。每个映射装置16可以进而包括用于为网关14生成至少一个侯选地址的处理器。在所例示的实施方式中,每个映射装置16为网关14生成四个侯选地址。然而,每个映射装置16可以为网关14生成任何数目的候选地址,并且实际上,映射装置中的一些可以为网关生成与其它映射装置不同数目的候选地址。所例示的实施方式的映射装置16生成例如可以由被时段分开的四个字段构成的IP地址。在所例示的实施方式中,每个映射装置16生成多个侯选地址,其中,前两个字段是相同,使得每个映射装置按照由侯选地址的所述前两个字段所定义的网络被引用。通过示例的方式,所例示的实施方式的映射器1生成每个都以12.1开始的四个侯选地址,使得映射器1按照12.1网络被引用。作为另一示例,映射器2生成每个都以130.76开始的四个侯选地址,使得映射器2同样按照130.76网络被引用。
多个映射装置16能够被构造成以各种方式生成侯选地址。然而,在一个实施方式中,多个映射装置16每个都包括处理器,该处理器进而包括一个或多个虚拟机,其中的每一个都被构造成生成相应的侯选地址。在所例示的实施方式中,例如,每个映射装置16包括四个虚拟机(标明为VM1、VM2、VM3以及VM4),其中的每一个都被构造成为网关14生成相应的侯选地址。
如同网关14,多个映射装置16为网关生成多个侯选地址,其中的一个是有效的并且其中的剩余部分是无效的。在这点上,由网关14所生成的有效地址和由映射装置16中的相应一个所生成的有效地址是相同的,诸如由网关的VM3和映射器2的VM3所生成的130.76.70.43。附加地,网关14(诸如该网关的处理器22)和多个映射装置16被构造成被同步以便在每一时间为网关生成相同的有效地址,同时还生成多个无效地址。实际上,网关14和多个映射装置16可以被构造成依照预定算法来生成有效地址和多个无效地址,从而确保网关和多个映射装置同时为网关生成相同的有效地址。
现参照图4,例示了客户端装置10为了确定网关14的地址以及进而经由该网关与网络12进行通信的操作。最初,客户端装置10(诸如由客户端装置所具体化的处理器22)要么直接地要么通过处理器经由通信接口26的指导,可以查询多个映射装置16以请求网关14的地址。见框30。客户端装置10(诸如处理器22)要么直接地要么从通信接口26可以从映射装置16中的一个接收网关14的地址。见框32。在一个实施方式中,客户端装置10可以从映射装置16中的每一个接收响应,其中该响应指示相应的映射器是否具有用于网关14的有效地址。因为映射装置16中的仅一个将具有用于网关14的有效地址,所以映射装置中的一个将指示它具有有效地址,然而其它映射装置将指示它们不具有用于网关的有效地址。除指示地址的有效性之外,具有有效的地址的映射装置16可以将该有效地址提供给客户端装置10。
为了提供对于在客户端装置10与多个映射装置16之间交换的消息的安全性,消息可以是安全的。在一个示例中,在客户端装置10与多个映射装置16之间交换的消息可以包括在第二协议(诸如IPv4)的分组内隧道化的第一协议(诸如IPv6)的净负荷。为了许可客户端装置10的验证,由客户端装置提供给多个映射装置16的消息的净负荷可以包括客户端装置的地址,诸如客户端装置的MAC地址。在接收到时,多个映射装置16可以访问净负荷,并且然后可以基于客户端装置10的地址(诸如MAC地址)诸如通过将来自净负荷的地址与被许可访问多个映射装置的客户端装置的预定义地址相比较来验证消息。作为响应,多个映射装置16可以将再次包括净负荷的消息发送到客户端装置10,所述净负荷包括关于由相应的映射装置所生成的侯选地址是有效的还是无效的指示,并且如果有效,则进一步包括侯选地址它本身。由映射装置16所提供的消息的净负荷还可以包括例如映射装置的地址(诸如MAC地址)以许可通过客户端装置10的验证。在一个实施方式中,可以依照在第二协议(诸如IPv4)内隧道化的第一协议(诸如IPv6)来构造消息的净负荷。如此,客户端装置10能够访问该净负荷,以便确定相应的映射装置16是否具有用于网关14的有效地址或无效地址,并且,在有效地址情况下,还可以接收该地址它本身。客户端装置10还可以基于包括在净负荷内的相应的映射装置的地址(诸如MAC地址)与客户端装置想要与其进行通信的映射装置的预定义地址相比来验证映射装置。
如在图4的框34中所示,客户端装置10(诸如该客户端装置的处理器22)要么直接地要么通过通信接口26的指导通过处理器,可以利用从相应的映射装置16接收到的并且指定为有效的地址来使与网关14的通信建立。因为相应的映射装置16已给客户端装置10提供了网关14的有效地址,所以网关可以从客户端装置接收通信并且视情况而定将通信转发到网络12,以及可以类似地将来自网络的任何响应或应答提供给客户端装置。如上所述,利用客户端装置10与多个映射装置16之间的通信,在客户端装置与网关14之间的通信诸如通过在第二协议(诸如IPv4)的分组内隧道化第一协议(诸如IPv6)的净负荷而可以是安全的。为了许可验证,净负荷可以包括消息的源(诸如客户端装置10或网关14)的地址,诸如MAC地址。消息的接收者(诸如客户端装置10或网关14中的另一个)可以访问净负荷,并且可以基于包括在净负荷内的地址与通信在其内将被支持的预定义地址的比较来验证消息。
为了提高与网关14相关联的网络12的安全性,可以重复地循环或者改变网关的地址。在这点上,可以在周期性基础上或者以其它方式使网关的地址循环。在一个实施方式中,网关14(诸如由该网关所具体化的处理器22)被构造成基于预定算法来使地址循环,所述预定算法在每一时刻为网关定义有效地址。如上所述,网关14(诸如由该网关所具体化的处理器22)以及在一个实施方式,由处理器所实例化的多个虚拟机可以被构造成在网关的地址的循环时生成多个侯选地址,其中的一个是有效的并且其中的剩余部分是无效的。为了许可通过客户端设备10经由网关14与网络12的持续通信,还可以向客户端装置通知网关的地址的改变。
在一个实施方式中,网关14(诸如由网关所具体化的处理器22)要么直接地要么通过通信接口26的指导通过处理器,可以使消息被提供给多个映射装置16从而指示网关的地址已改变。在一个实施方式中,网关14的新的地址可以经由被从网关导向多个映射装置16的消息来提供。然而,在另一实施方式中,网关14可以简单地通知多个映射装置16该网关的地址已改变,并且多个映射装置(诸如由相应的映射装置所具体化的多个虚拟机)可以被构造成为网关生成多个侯选地址,其中的一个是用于网关的新的有效地址并且其中的剩余部分是无效的。在该实施方式中,多个映射装置16可以依照通过网关14所实现的相同的预定算法进行操作,使得有效地址通过网关和映射装置中的相应一个的生成随着网关的地址循环而仍然保持同步的。更进一步地,网关14和映射装置16两者都可以被构造成依照预定时间安排和预定算法来使网关的地址循环。如图1中所示,该实施方式的网关14不需要与映射装置16建立通信链路,并且替代地,网关和映射装置可以独立地操作,同时依照预定时间安排和预定算法两者,针对网关的地址的循环而保持同步。
多个映射装置16可以进而与客户端装置10进行通信以便通知该客户端装置网关14的地址已改变。在一个实施方式中,多个映射装置16可以将有效地址提供给客户端装置10。在另一实施方式中,客户端装置10可以向多个映射装置16查询网关14的新的地址,并且可以从映射装置中的每一个接收响应,所述映射装置中的一个为网关提供新的有效地址,并且其中的其它映射装置通知客户端装置它们的侯选地址是无效的。在任一实施方式中,由客户端装置10所具体化的装置20(诸如处理器22、通信接口26等)可以被构造成接收网关14的地址已改变为不同的地址的指示。见框36。其后,客户端装置10可以利用用于网关的新的有效地址与网关14进行通信,并且进而与网络12进行通信。在这点上,由客户端装置10所具体化的装置20(诸如处理器22、通信接口26等)可以利用不同的地址来使与网关14的通信建立。见框38。
如上所述,诸如通过在第二协议(诸如IPv4)的分组内隧道化第一协议(诸如IPv6)的净负荷,在网关14与多个映射装置16之间和在多个映射装置与客户端装置10之间交换的消息可以是安全的。进一步地,消息的源的地址(诸如MAC地址)可以被包括在净负荷内以许可消息的接收方来对源进行验证。
如下的过程可以被重复任何次数:使网关14的地址循环,同时多个映射装置16和网关相对于网关的当前有效地址保持同步,并且客户端装置10被通知网关的当前有效地址。如此,应该不能够访问网络12的黑客或其它个体或装置将在确定网关14的地址时有困难,并且即便在地址将被如此确定的情况下,地址将改变以便有效地限制针对网络的能够被不法地赢得的任何访问。
参照图5,例示了通过由网关14具体化的装置20所执行的操作。在这点上,由网关14所具体化的装置20(诸如处理器22)最初定义网关的地址,诸如IP地址。见图5的框40。例如,网关14可以像上面结合图3所描述的那样定义多个侯选地址,其中侯选地址中的一个是有效的并且侯选地址中的剩余部分是无效的。一旦客户端装置10已以上面结合图4所描述的方式确定了网关14的当前地址,该网关就可以利用当前已由网关所定义的地址从客户端装置接收消息。在这点上,由客户端装置14所具体化的装置20(诸如处理器22、通信接口26等)可以被构造成利用已定义的地址从客户端装置10接收消息。见框42。由网关14所具体化的装置20(诸如处理器22、通信接口26等)然后可以利用已针对诸如客户端装置和网络12可以通信的网关所定义的地址来与客户端装置10建立通信。见框44。
为了为网络12提供增强的安全性,网关14的地址可以随着时间的推移而重复地循环或者改变。如在图5的操作46中所示,由网关14所具体化的装置20(诸如处理器22)可以通过改变为不同的地址使地址循环。由网关14所具体化的装置20(诸如处理器22、通信接口26等)然后可以使客户端装置10被通知网关的地址已改变为不同的地址。见框48。在这点上,至于网关的地址的改变,网关14可以通知多个映射装置16,使得客户端装置10可以进而以上面所描述的方式被通知网关的地址的改变。其后,由网关14所具体化的装置20(诸如处理器22、通信接口26等)然后可以利用该不同的地址(即,用于网关的新的有效地址)与客户端装置10进行通信,使得即使网关的地址已改变,在客户端装置与网络12之间的通信也可以继续。地址可以重复地改变并且可以向客户端装置10重复地通知用于网关14的有效地址的改变。然而,重复地改变网关14的地址将提高由不应访问网络12企图非法地与该网络进行通信的黑客或其它个体或装置所体验的困难。
为了进一步使网络12安全,网络可以被构造成依照诸如Windows、Linux等的多个不同的操作系统中的每一个进行操作。如此,网关14的地址中的每一个都可以与相应的操作系统相关联。虽然网关14的许多地址可以与相同的操作系统相关联,但是这种实施方式的网关的地址中的一个或更多个可以与不同的操作系统相关联。因此,在网关14的有效地址从与第一操作系统相关联的地址改变为与第二不同的操作系统相关联的地址的实例中,网络12可以被构造成与用于网关的有效地址的改变同步地将它操作的操作系统从第一操作系统改变为第二不同的操作系统。虽然操作系统的这种改变对于客户端装置10来说可能是透明的,但是,通过网络依照其而操作的操作系统的改变,正试图以不允许的方式访问网络12的黑客或其它个体或装置不仅具有试图随着地址改变而重复地确定网关12的地址的挑战,而且还将发现它访问和利用网络的努力白费了。
因此,本公开内容的示例实施方式的系统和方法提供通过客户端装置10经由网关14可访问的网络12的提高的安全性。在这点上,示例实施方式的系统和方法通过重复地改变网关14的地址来为网络12提供提高的安全性。另外地,提高的安全性可以在一个实施方式中通过还改变网络12经由其操作的操作系统(诸如与网关14的地址的改变同步地)来提供。
受益于在前面的描述和所关联的图中呈现的教导,这些实施例所示的领域的技术人员将想到本文中所阐述的本公开内容的许多修改和其它实施方式。因此,应当理解的是,本公开内容不限于所公开的特定实施方式,并且修改和其它实施方式旨在被包括在随附权利要求的范围内。尽管在本文中采用了特定术语,但是它们仅在一般和描述性意义上使用,并且不是为了限制的目的。
Claims (15)
1.一种包括处理器的客户端装置,所述处理器被构造为执行以下步骤:
查询多个映射装置以请求网关的地址;
从所述多个映射装置中的一个映射装置接收所述网关的所述地址;
利用从所述多个映射装置中的相应一个映射装置接收到的所述地址建立与所述网关的通信;
接收所述网关的所述地址已改变为不同的地址的指示;以及
之后利用所述不同的地址建立与所述网关的通信。
2.根据权利要求1所述的客户端装置,其中,所述处理器被进一步构造为:响应于指示一个或更多个其它映射装置不具有用于所述网关的有效地址的查询,从所述一个或更多个其它映射装置接收响应。
3.根据权利要求1所述的客户端装置,其中,所述处理器被进一步构造为重复地执行以下步骤:接收所述网关的所述地址已改变为不同的地址的指示,并且之后利用所述不同的地址建立与所述网关的通信。
4.根据权利要求1所述的客户端装置,其中,所述处理器被进一步构造为:通过在第二协议的分组内隧道化第一协议的净负荷来与所述网关进行通信。
5.根据权利要求4所述的客户端装置,其中,所述净负荷包括所述客户端装置的媒体访问控制(MAC)地址。
6.根据权利要求4所述的客户端装置,其中,所述第一协议是网际协议版本6(IPV6)并且所述第二协议是网际协议版本4(IPV4)。
7.一种方法,该方法包括以下步骤:
查询多个映射装置以请求网关的地址;
从所述多个映射装置中的一个映射装置接收所述网关的所述地址;
利用从所述多个映射装置中的相应一个映射装置接收到的所述地址,利用处理器建立与所述网关的通信;
接收所述网关的所述地址已改变为不同的地址的指示;以及
之后利用所述不同的地址与所述网关进行通信。
8.根据权利要求7所述的方法,所述方法进一步包括:响应于指示一个或更多个其它映射装置不具有用于所述网关的有效地址的查询,从所述一个或更多个其它映射装置接收响应。
9.根据权利要求7所述的方法,所述方法进一步包括重复地执行以下步骤:接收所述网关的所述地址已改变为不同的地址的指示,并且之后利用所述不同的地址建立与所述网关的通信。
10.根据权利要求7所述的方法,所述方法进一步包括:通过在第二协议的分组内隧道化第一协议的净负荷来与所述网关进行通信。
11.根据权利要求10所述的方法,其中,所述净负荷包括客户端装置的媒体访问控制(MAC)地址。
12.根据权利要求10所述的方法,其中,所述第一协议是网际协议版本6(IPV6)并且所述第二协议是网际协议版本4(IPV4)。
13.一种包括处理器的网关,所述处理器被构造为执行以下步骤:
定义所述网关的地址;
利用由所述网关所定义的所述地址从客户端装置接收消息;
利用由所述网关所定义的所述地址与所述客户端装置建立通信;以及
通过以下步骤使所述网关的所述地址循环:
改变为不同的地址;
使所述客户端装置被通知所述网关的所述地址已改变为所述不同的地址;以及
之后利用所述不同的地址与所述客户端装置进行通信。
14.根据权利要求13所述的网关,其中,所述处理器被进一步构造为重复地循环所述网关的所述地址。
15.根据权利要求13所述的网关,其中,所述处理器被构造为:通过使多个映射装置被通知所述网关的所述地址已改变为所述不同的地址而使所述客户端装置被通知。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/399,432 | 2012-02-17 | ||
| US13/399,432 US8812689B2 (en) | 2012-02-17 | 2012-02-17 | System and method for rotating a gateway address |
| PCT/US2013/020694 WO2013122694A1 (en) | 2012-02-17 | 2013-01-08 | System and method for rotating a gateway address |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104247365A true CN104247365A (zh) | 2014-12-24 |
| CN104247365B CN104247365B (zh) | 2017-05-24 |
Family
ID=47563647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380009753.2A Active CN104247365B (zh) | 2012-02-17 | 2013-01-08 | 用于使网关地址循环的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8812689B2 (zh) |
| EP (1) | EP2815552B1 (zh) |
| JP (1) | JP6174051B2 (zh) |
| CN (1) | CN104247365B (zh) |
| WO (1) | WO2013122694A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10171501B2 (en) | 2013-09-20 | 2019-01-01 | Open Text Sa Ulc | System and method for remote wipe |
| CN105306315B (zh) * | 2015-09-21 | 2019-01-29 | 烽火通信科技股份有限公司 | 基于smb协议手机远程访问家庭网关设备的系统及方法 |
| US11593075B2 (en) * | 2015-11-03 | 2023-02-28 | Open Text Sa Ulc | Streamlined fast and efficient application building and customization systems and methods |
| US11388037B2 (en) | 2016-02-25 | 2022-07-12 | Open Text Sa Ulc | Systems and methods for providing managed services |
| JP2018067248A (ja) * | 2016-10-21 | 2018-04-26 | 富士通株式会社 | 制御プログラム、制御方法、及び情報処理装置 |
| CN114710375B (zh) * | 2020-12-16 | 2024-03-12 | 深圳Tcl新技术有限公司 | 一种配网方法、智能网关及计算机可读存储介质 |
| US11855961B2 (en) * | 2021-05-25 | 2023-12-26 | Cisco Technology, Inc. | Seamless device address rotation |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003032603A2 (en) * | 2001-10-09 | 2003-04-17 | Koninklijke Philips Electronics N.V. | Ip hopping for secure data transfer |
| US20100175131A1 (en) * | 2007-05-29 | 2010-07-08 | Invicta Networks, Inc | Method and system for network protection against cyber attacks |
| US20110277032A1 (en) * | 2010-05-07 | 2011-11-10 | Raytheon Company | Time-Key Hopping |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6839759B2 (en) * | 1998-10-30 | 2005-01-04 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information |
| DE69941338D1 (de) * | 1998-10-30 | 2009-10-08 | Virnetx Inc | Netzwerkprotokol zur sicheren kommunikation mit gesicherter systemverfügbarkeit |
| DE60018094T2 (de) * | 1999-05-17 | 2005-12-29 | Invicta Networks, Inc. | Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung |
| US7114005B2 (en) * | 2002-02-05 | 2006-09-26 | Cisco Technology, Inc. | Address hopping of packet-based communications |
| US20040088385A1 (en) * | 2002-11-01 | 2004-05-06 | Hexago Inc. | Method and apparatus for connecting IPV4 devices through an IPV6 network using a tunnel setup protocol |
| US7926104B1 (en) * | 2003-04-16 | 2011-04-12 | Verizon Corporate Services Group Inc. | Methods and systems for network attack detection and prevention through redirection |
| JP2004363755A (ja) * | 2003-06-03 | 2004-12-24 | Pioneer Electronic Corp | 通信装置及びパケット中継装置等 |
| JP2005328373A (ja) * | 2004-05-14 | 2005-11-24 | Nippon Signal Co Ltd:The | ネットワークセキュリティシステム |
| US7917961B2 (en) * | 2004-05-25 | 2011-03-29 | Reflexion Networks, Inc. | System and method for controlling access to an electronic message recipient |
| US7774843B1 (en) * | 2005-11-16 | 2010-08-10 | Mcafee, Inc. | System, method and computer program product for preventing the execution of unwanted code |
| KR100738535B1 (ko) * | 2005-12-12 | 2007-07-11 | 삼성전자주식회사 | Dstm 통신망에서의 인증 시스템 및 그 방법 |
| JP4704251B2 (ja) * | 2006-03-13 | 2011-06-15 | 株式会社リコー | ネットワーク機器 |
| JP2008109199A (ja) * | 2006-10-23 | 2008-05-08 | Fujitsu Ltd | 通信制御方法 |
| JP2008305070A (ja) * | 2007-06-06 | 2008-12-18 | Hitachi Communication Technologies Ltd | 情報処理装置および情報処理装置システム |
| US8284775B2 (en) * | 2007-06-29 | 2012-10-09 | Stmicroelectronics, Inc. | Six-address scheme for multiple hop forwarding in wireless mesh networks |
| US20100333188A1 (en) * | 2009-06-29 | 2010-12-30 | Politowicz Timothy J | Method for protecting networks against hostile attack |
| US8363693B2 (en) * | 2010-04-16 | 2013-01-29 | Hitachi, Ltd. | Adaptive frequency hopping in time-slotted based wireless network |
| US8495738B2 (en) * | 2011-10-21 | 2013-07-23 | Lockheed Martin Corporation | Stealth network node |
| US8769626B2 (en) * | 2011-11-29 | 2014-07-01 | Cisco Technology, Inc. | Web authentication support for proxy mobile IP |
-
2012
- 2012-02-17 US US13/399,432 patent/US8812689B2/en active Active
-
2013
- 2013-01-08 CN CN201380009753.2A patent/CN104247365B/zh active Active
- 2013-01-08 EP EP13700606.0A patent/EP2815552B1/en active Active
- 2013-01-08 WO PCT/US2013/020694 patent/WO2013122694A1/en active Application Filing
- 2013-01-08 JP JP2014557633A patent/JP6174051B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003032603A2 (en) * | 2001-10-09 | 2003-04-17 | Koninklijke Philips Electronics N.V. | Ip hopping for secure data transfer |
| US20100175131A1 (en) * | 2007-05-29 | 2010-07-08 | Invicta Networks, Inc | Method and system for network protection against cyber attacks |
| US20110277032A1 (en) * | 2010-05-07 | 2011-11-10 | Raytheon Company | Time-Key Hopping |
Non-Patent Citations (3)
| Title |
|---|
| CHUNLEI ZHAO ETAL: "《technique and application of end-hopping in network defense》", 《2010 FIRST ACIS INTERNATIONAL SYMPOSIUM ON CRYPTOGRAPHY》 * |
| LEYI SHI ETAL: "《DOS evading mechanism upon service hopping》", 《2007 IFIP INTERNATIONAL CONFERENCE ON NETWORK AND PARALLEL COMPUTING-WORKSHOPS》 * |
| MANOLIS SIFALAKIS ETAL: "《network address hopping a mechanism to enhance data protection for packet communiation》", 《IEEE 2005》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104247365B (zh) | 2017-05-24 |
| EP2815552A1 (en) | 2014-12-24 |
| JP6174051B2 (ja) | 2017-08-02 |
| US20130219071A1 (en) | 2013-08-22 |
| US8812689B2 (en) | 2014-08-19 |
| JP2015510736A (ja) | 2015-04-09 |
| EP2815552B1 (en) | 2019-04-10 |
| WO2013122694A1 (en) | 2013-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104247365A (zh) | 用于使网关地址循环的系统和方法 | |
| KR102050648B1 (ko) | 로컬 네트워크에서의 디바이스 페어링 | |
| US11729169B2 (en) | Identity defined secure connect | |
| JP5740445B2 (ja) | 遠隔サービスへのローカル安全なネットワークアクセスを提供する方法 | |
| KR101343273B1 (ko) | 핸드헬드 서비스 기능의 묶음을 유지하면서 데이터 테더링 서비스를 제공할 수 있는 핸드헬드 장치 | |
| CN101507235B (zh) | 用于提供无线网状网的方法和设备 | |
| US8429403B2 (en) | Systems and methods for provisioning network devices | |
| CN105659520A (zh) | 用于保护私有数据的安全代理 | |
| US9515985B2 (en) | Platform for private internet protocol (IP) cloud services | |
| CN106850324A (zh) | 虚拟网络接口对象 | |
| JP2022058641A (ja) | クラウドベースのセキュリティサービスのための大規模なローカル化 | |
| JP2017507379A (ja) | クラウド接続された装置の管理及び提供 | |
| US10298467B2 (en) | Methods and systems for configuring communication networks | |
| CN107409119A (zh) | 通过网络特性来确定信誉 | |
| WO2016082756A1 (en) | Application access authority control | |
| JP2022518136A (ja) | 作業空間におけるポリシベースの通知保護サービス | |
| BR112014024551B1 (pt) | Método e aparelho para controle de acesso a um servidor de aliança de rede ao vivo digital e meio de armazenamento legível por computador nãotransitório | |
| CN105554005A (zh) | 企业网络安全管理方法、装置、系统和安全网关 | |
| CN103607403A (zh) | 一种nat网络环境下使用安全域的方法、装置和系统 | |
| US20170034143A1 (en) | Enterprise authentication server | |
| AU2019445348A1 (en) | Access right management | |
| US20220103526A1 (en) | Policy integration for cloud-based explicit proxy | |
| CN104363288A (zh) | 一种文档管理系统和方法 | |
| CN113271302A (zh) | 身份认证方法、装置和电子设备 | |
| US8850072B1 (en) | Secure communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |