TWI520549B - 使用位址交換之網路拓樸隱藏 - Google Patents
使用位址交換之網路拓樸隱藏 Download PDFInfo
- Publication number
- TWI520549B TWI520549B TW099137970A TW99137970A TWI520549B TW I520549 B TWI520549 B TW I520549B TW 099137970 A TW099137970 A TW 099137970A TW 99137970 A TW99137970 A TW 99137970A TW I520549 B TWI520549 B TW I520549B
- Authority
- TW
- Taiwan
- Prior art keywords
- address
- packet
- network
- internal network
- destination
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/604—Address structures or formats
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本發明之實施例大體上係關於網路計算領域;且更特定而言,係關於使用網路位址交換隱藏網路拓撲的技術。
網際網路協定(IP)位址編碼網路附接點之拓撲位置且因此可將關於網路拓撲之資訊顯露給網路外部之同級者。顯露拓撲資訊構成安全隱患,因為資訊可在計畫對網路進行攻擊時有用。攻擊者可使用此資訊以識別攻擊目標。例如,可經由伺服器鏈路上之主機更簡單地執行對伺服器之拒絕服務攻擊,且通常可基於將主機位址與被懷疑之伺服器位址相比較識別此一主機。因此,取決於一網路之安全要求,網路拓撲之隱藏可視為非常重要。
顯露網路拓撲資訊之問題非常困難,因為在IP位址中之此資訊的編碼係網際網路路由之關鍵組成部分。防禦網路安全之傳統方法(諸如防火牆、加密機制)並不解決問題,因為其等並不改變IP位址。隱藏網路拓撲的僅有之方法係位址轉譯,亦稱作網路位址轉譯(NAT)。位址轉譯器將一網路內內部使用之位址與網路可由網際網路上之同級者外部到達的位址分離。該等位址轉譯器將內部位址集多工化為一或一些外部位址。因為僅內部位址(而無外部位址)編碼關於網路之拓撲資訊,所以對網際網路上之同級者隱藏拓撲資訊。
從今起,作為網路拓撲隱藏之方法的位址轉譯僅可用於IP版本4(IPv4)。雖然已為IP版本6(IPv6)提議位址轉譯器,但該等位址轉譯器並不支援網路拓撲隱藏,因為其等複製內部位址與外部位址之間的拓撲上重要之資訊。
當在外部位址處接收之解多工封包返回至相對應內部位址時,IPv4位址轉譯器自接收之封包檢查埠數量。從埠數量至內部位址之映射係有狀態,因為必須為每一封包流儲存埠數量與內部位址之間的映射。IPv4位址轉譯器之有狀態位址解多工具有缺點。首先,位址轉譯器之後的主機不能與網際網路上之同級者聯繫,因為主機可到達之同級者的外部位址不是唯一。此外,由於位址轉譯器維持之狀態,所以經由位址轉譯器啟動之封包流必須繼續橫越此位址轉譯器。若失敗,則重路由至不同路徑是不可能的。此外,位址轉譯器不能處理不具有可改變埠數量之封包流。此包含不具有埠數量之封包流以及埠數量為封包之一加密或鑑認部分的部分之封包流。
由於此等缺點,位址轉譯器被廣泛地視為「有害」且在必需之情況下應被避免。不幸的是,未存在網路拓撲隱藏之替代解決方案。
提供一種介接一內部網路與一外部網路的用於轉譯內部網路之一用戶端的一網際網路協定(IP)位址且使用經轉譯之IP位址將與該用戶端相關聯之封包路由至外部網路之一遠端節點或從外部網路之一遠端節點路由封包而無需將該用戶端之IP位址的一內部網路部分曝露給遠端節點的一網路元件中的機制。根據本發明之一態樣,經由內部網路從該用戶端接收前往外部網路之一遠端節點的一第一封包。該第一封包包含分為識別內部網路中之該用戶端的一位置之一內部網路部分及分為識別可由外部網路存取之內部網路的一位置之一外部網路部分的一源IP位址。對第一封包之源IP位址的內部網路部分執行一混淆操作以隱藏內部網路中之用戶端的位置且用經混淆之內部網路部分重寫第一封包之源IP位址的內部網路部分的同時維持源IP位址之當前外部網路部分。其後,具有源IP位址的經重寫之內部網路部分的第一封包經由外部網路傳輸至遠端節點,其中對遠端節點隱藏內部網路中之用戶端位置的同時容許遠端節點經由源IP位址之外部網路部分到達內部網路。
根據本發明之另一態樣,經由外部網路從一遠端節點接收前往一用戶端的一第一封包,其中該第一封包包含具有已被混淆之一內部網路部分的一目的IP位址。對第一封包之目的IP位址的內部網路部分執行一解混淆操作以顯露內部網路中之用戶端位置。用經解混淆之目的IP位址替換第一封包之目的IP位址。其後,第一封包經由內部網路傳輸至用戶端,其中可由遠端節點到達用戶端而無需顯露內部網路中之用戶端位置。
根據本發明之一進一步態樣,回應於經由外部網路從一第一遠端節點接收前往內部網路之一第一用戶端的一第一封包,基於該第一封包識別一第一交換方法。根據該第一交換方法對第一封包之一目的IP位址執行一第一交換,此產生具有一第一經交換之目的IP位址的一第二封包。根據第一經交換之目的IP位址經由內部網路將第二封包傳輸至第一用戶端。回應於經由外部網路從一第二遠端節點接收前往內部網路之一第二用戶端的一第三封包,基於該第三封包識別一第二交換方法。根據第二交換方法對第三封包之一目的IP位址執行一第二交換,此產生具有一第二經交換之目的IP位址的一第四封包。根據第二經交換之目的IP位址經由內部網路將該第四封包傳輸至第二用戶端,其中第一及第二經交換之IP位址容許第一及第二遠端節點分別到達第一及第二用戶端而無需顯露內部網路之第一及第二用戶端位置。
將由附圖及隨後的詳細描述明白本發明之其他特徵。
藉由實例及附圖之圖式中之非限制性圖解說明本發明之實施例,其中相似參考指示類似元件。
在以下描述中,提出眾多特定細節。但是,應理解,可不在此等特定細節下實踐本發明之實施例。在其他實例中,熟知電路、結構及技術並未繪示於細節中以不使本說明之理解模糊不清。
在說明書中對「一個實施例」、「一實施例」、「一實例實施例」等之參考指示所描述之實施例可包含一特定特徵、結構或特性,但是每一實施例並無必要包含特定特徵、結構或特性。而且,此等片語並不必要指稱相同實施例。進一步而言,當連同一實施例描述一特定特徵、結構或特性時,主張的是其在熟悉此項技術者之瞭解內以連同無論是否明確描述之其他實施例實行此特徵、結構或特性。
在以下描述及請求項中,術語「耦合」及「連接」及其等衍生詞可被使用。應理解,此等術語並非意欲為彼此之同義詞。可使用「耦合」以指示彼此直接或間接實體或電接觸,彼此合作或互動的兩個或兩個以上元件。可使用「連接」以指示彼此耦合之兩個或兩個以上元件之間的通信建立。
根據本發明之一些實施例,為網路拓撲隱藏提供一種防止現有解決方案之缺點的解決方案。其經由與現有解決方案形成對比,既不要求每一封包流之狀態,也不存取正被轉譯之封包中之可改變埠數量的位址轉譯達成此。在一實施例中,一網路之位址空間分為片段:1)用於內部使用之一第一片段;及2)用於外部使用之一第二片段。定義將內部位址集中之每一元素映射至外部位址集中之一元素的一可逆函數。所定義之函數在數學上稱作混淆。在一實施例中,一交換利用為混淆之一實例。即,利用從一整數集{1...n}至自身之一可逆函數,其中n係內部及外部位址集的常見大小。一位址交換之後係校驗和調整以補償位址交換已引起之校驗和的改變。可計算交換及校驗和調整以及各自反運算而無需每一封包流狀態。遍及申請案描述之技術可應用於IPv4及IPv6網路組態。
圖1係圖解說明根據本發明之一實施例的一網路組態的一方塊圖。參考圖1,網路組態100包含經由一內部網路104通信地耦合至一閘道器件102之一主機(舉例來說,用戶端)101,其中閘道器件102介接內部網路104與一外部網路105以容許主機101與外部網路105之另一主機103通信。網路104可為一區域網路(LAN)且可為一或多個網路(舉例來說,有線或無線網路)之一組合。網路105可為一廣域網路(WAN)(諸如網際網路)且可為一或多個網路(舉例來說,有線或無線網路)之一組合。
主機101及主機103可為任何種計算節點,諸如一桌上型電腦或膝上型電腦、一個人數位助理(PDA)、一行動電話器件、一伺服器或此等器件之一組合。應注意,為了說明之目的,在圖1中僅繪示內部網路104之一節點及外部網路105之一節點;但是,更多節點可耦合至網路104-105之任一者。
閘道器件102可為各種不同閘道器件或邊緣路由器。例如,閘道器件102可為由瑞典斯德哥爾摩的Ericsson購得之SmartEdgeTM。閘道器件102係經調適以路由內部網路104之一主機(舉例來說,主機101)與外部網路105之一主機(舉例來說,主機103)之間的網路訊務。應注意,(例如)為了冗餘或負載平衡目的,可存在介接內部網路104與外部網路105之多重閘道器件。
在一實施例中,閘道器件102除了其他組件(諸如一路由邏輯)之外包含經調適以使用儲存於閘道器件102之機器可讀媒體(舉例來說,記憶體或磁碟)中之一混淆方法108分別對傳入封包及傳出封包之IP位址執行混淆操作的一傳入位址混淆單元106及一傳出位址混淆單元107。位址混淆單元106-107可實施為可包含軟體、硬體或二者之一組合的邏輯。
根據一實施例,回應於從內部網路104之主機101接收前往外部網路105之主機103的一封包,傳出位址混淆單元107係經調適以在經由外部網路將封包傳輸至主機103之前使用混淆方法108使表示主機101之一源IP位址的至少一部分(舉例來說,2001:FA01:1234::ABCD...)混淆及使用經混淆之源IP位址(舉例來說,2001:FA01:1234::daedfec...)作為一新源IP位址(舉例來說,用經混淆之源IP位址替換封包之原始源IP位址)。結果,主機103不能基於封包的經混淆之源IP位址判定內部網路104之網路拓撲。
類似地,根據另一實施例,回應於經由外部網路105從主機103接收前往內部網路104之主機101的一封包,傳入位址混淆單元106係經調適以在經由內部網路104將封包傳輸至主機101之前使用混淆方法108使表示主機101之一目的IP位址的至少一部分(舉例來說,2001:FA01:1234::daedfec...)解混淆及使用經解混淆之目的IP位址(舉例來說,2001:FA01:1234::ABCD...)作為一新目的IP位址(舉例來說,用經解混淆之目的IP位址替換封包之目的源IP位址)。此處,經解混淆之目的IP位址係與主機101相關聯之原始IP位址。結果,主機103在不顯露內部網路104之網路拓撲下不能到達主機101。應注意,傳入位址混淆單元106及傳出位址混淆單元107可實施為一單個處理邏輯。
根據一實施例,混淆方法108包含一或多個交換方法。一IP位址分為兩個片段:1)容許外部網路之主機到達內部網路的外部網路部分;及2)容許外部網路之主機到達內部網路的一特定主機或片段的一內部網路部分。根據一實施例,在不修改IP位址之外部網路部分下對IP位址之內部網路部分執行一或多個位址交換。遍及此申請案,一交換利用為一混淆方法之一實例。但是,其並不受如此限制;在本文中亦可應用其他方法。
圖2係圖解說明根據一實施例之一位址交換操作的一處理流程的一方塊圖。參考圖2,IP位址201包含至少兩個片段:1)前置碼部分205(舉例來說,外部網路部分)及2)本體206(舉例來說,內部網路部分)。位址交換單元203(舉例來說,圖1之位址混淆單元106及/或107的一部分)係經調適以使用一交換方法204(舉例來說,圖1之混淆方法108的一部分)對IP位址201之本體206執行交換操作,此在不修改前置碼205下產生具有一經交換之本體207的IP位址202。在一實施例中,交換操作包含位元調換、位元翻轉之至少一者或位元調換及位元翻轉操作二者的一組合。應注意,藉由位址交換單元203動態地執行此一交換而不必維持原始IP位址與經轉譯之IP位址之間的映射資訊及不必將此資訊儲存於一儲存器件(舉例來說,記憶體或磁碟)中。
如上文所提及,遍及此申請案描述之網路拓撲隱藏技術可實施於網路邊界(舉例來說,閘道器件或邊緣路由器102)上之節點中,該等網路邊界對進入及離開網路之每一封包執行兩個操作:1)藉由對本端位址應用一交換而將本端位址(舉例來說,內部網路部分)重寫入封包中。進入網路之封包本端位址係封包之目的位址,而離開網路之封包本端位址係封包之源位址;2)調整封包之校驗和。
在一實施例中,交換影響用於在受保護之網路內(舉例來說,內部網路部分)路由的位址中之位元,但不影響用於朝著網路(舉例來說,外部網路部分)路由之位址位元。更明確言之,出自一位址的三個分量:1)路由前置碼;2)子網路識別符;及3)介面識別符,重寫僅影響後兩個部分(舉例來說,子網路識別符及介面識別符)。子網路識別符定位主機網路內之主機鏈路且介面識別符定位此鏈路上之主機。藉由交換主機位址中的此等分量,主機網路(舉例來說,內部網路)內之主機位置可不再由經交換之位址導出。另一方面,路由前置碼定位網際網路(舉例來說,外部網路)內之一網路(舉例來說,內部網路)。因此,使得路由前置碼未改變允許封包自網際網路中之任意源到達網路,即使一些位址位元已交換。
交換應保密。交換曝露給攻擊者可使攻擊者藉由將經交換之位址回復回相對應原始位址而由經交換之位址導出網路拓撲資訊。例如,在部署情形中,交換僅為一組織實體之某些人(諸如網路管理者)所知。
因為對橫越網路邊界之每一封包應用交換,所以重要的是有效地執行交換。在一實施例中,此可藉由將一交換表示為位元調換操作及/或位元翻轉操作之一序列來達成。例如,位元調換操作調換(i,j)互換位址位元i及j,且位元翻轉操作翻轉(i)使位址位元i反轉。可有效地執行位元調換及位元翻轉操作之序列。雖然可經由此一序列表示之交換集僅為所有交換之子集,但此子集較大且因此足夠用於位址轉譯之目的。可用使位元調換及位元翻轉操作之序列產生自動化的工具增加實施例之實施方案以輔助網路管理者建立交換而供在其等網路中使用。
因為位址位元之交換意謂著封包校驗和的改變,所以每一交換可伴隨校驗和之調整以防止非意欲之封包丟棄。此藉由在交換操作之後重計算校驗和且用相對應於封包中的經交換之位址的新值將校驗和重寫入封包中來達成。
遍及此申請案描述之技術對網際網路(舉例來說,外部網路)上之同級者隱藏一網路(舉例來說,內部網路)的拓撲。此阻止惡意同級者基於網路拓撲之瞭解準備對網路之攻擊。此可使網際網路上之同級者聯繫位址正被重寫或混淆的一主機。若失敗,則此可實現封包流之重路由,即使封包流之新路徑橫越與原始路徑上之網路邊界鏈路不同的一網路邊界鏈路。例如,當一閘道器件發生故障時,另一閘道器件可在不具有網路位址映射之靜態組態下「拾起」該閘道器件之工作。即,因為一閘道器件並不維持一靜態映射表,所以只要其利用相同混淆方法(舉例來說,交換方法),其可產生與其他閘道器件相同之IP位址。此外,此並不要求正被重寫之封包中的埠數量,且因此使不具有埠數量或不具有可改變埠數量之封包流適當地操作。
此等優點係由於本文所描述之技術為無狀態,而習知解決方案要求每一封包流之狀態。此外,本文描述之技術的無狀態性減少實施方案複雜性及成本。因為不需要或需要較少之狀態管理操作(包含建立、查找及垃圾處理等),實施方案複雜性減少。由於缺少儲存每一封包流狀態之記憶體,實施方案成本減少。
圖3係圖解說明用於根據本發明之一實施例使一傳出封包之IP位址混淆的一方法的一流程圖。應注意,方法300可藉由可包含軟體、硬體或二者之一組合的處理邏輯執行。例如,方法300可藉由圖1之閘道器件102的傳出混淆單元107執行。參考圖3,在方塊301處,自內部網路之一本端用戶端或主機在一閘道器件處接收前往外部網路之遠端節點的一封包。在方塊302處,閘道器件對封包之第一源IP位址的至少一部分(舉例來說,IP位址之內部網路部分)執行混淆操作(舉例來說,交換),此產生一第二源IP位址(舉例來說,經交換之源IP位址)。在方塊303處,閘道器件用封包中之第二源IP位址替換第一源IP位址。此外,若需要,重計算或調整封包之校驗和。在方塊304處,閘道器件經由外部網路將具有第二源IP位址之封包傳輸至遠端節點,使得第一源IP位址之至少一部分(舉例來說,內部網路部分)並不曝露給遠端節點。結果,遠端不能基於自閘道接收之封包的源IP位址判定內部網路之拓撲。
圖4係圖解說明用於根據本發明之一實施例使一傳出封包之IP位址混淆的一方法的一流程圖。應注意,方法400可藉由可包含軟體、硬體或二者之一組合的處理邏輯執行。例如,方法400可藉由圖1之閘道器件102的傳入混淆單元106執行。參考圖4,在方塊401處,閘道器件經由一外部網路自遠端節點接收一封包,其中該封包前往一內部網路之一本端節點。作為回應,在方塊402處,閘道器件對封包之第一目的IP位址的至少一部分執行解混淆操作(舉例來說,反轉之交換),此產生一第二目的IP位址。在方塊403處,閘道器件用第二目的IP位址替換封包之第一目的IP位址。此外,若需要,重計算或調整封包之校驗和。在方塊404處,閘道器件經由本端網路將具有第二目的IP位址之封包傳輸至本端節點,使得第二目的IP位址之至少一部分並不曝露給遠端節點。結果,遠端節點可到達內部網路之本端節點而無需顯露內部網路之拓撲。
如上文所描述,IP位址編碼網路附接點之拓撲位置且因此可將關於網路拓撲之資訊顯露給網路外部之同級者。顯露拓撲資訊構成安全隱患,因為資訊可在計畫對網路進行攻擊時有用。例如,可經由伺服器鏈路上之主機更簡單地執行對伺服器之拒絕服務攻擊,且通常可基於將主機位址與被懷疑之伺服器位址相比較識別此一主機。因此,取決於一網路之安全要求,網路拓撲之隱藏可視為非常重要。
提供上文描述之技術以按比現有解決方案更廣泛適用、更少中斷性及更便於實施之一方式隱藏網路拓撲。該技術將網路之位址空間分成片段─用於內部使用之一片段及用於外部使用之一片段─且定義將內部位址集中之每一元素映射至外部位址集中之一元素的一可逆函數、一交換。因此,網路拓撲資訊僅承載於內部位址中,而不承載於對潛在惡意同級者可見之外部位址中。
由此一技術提供之安全依賴於交換方法之保密,而此類似於電腦上使用者帳戶之密碼應如何保密以保護使用者帳戶免受非法登錄。交換方法之洩漏可使攻擊者獲得網路拓撲之瞭解,因為對主機給出外部位址將容許攻擊者導出網路內部之主機的內部位址。若洩漏交換方法,則為了限制潛在損害,網路管理者可希望偶爾改變交換方法,正如同偶爾改變電腦上使用者帳戶之密碼。但是,改變交換具有其可中斷現有或有效通信對話之缺點,因為交換方法之改變亦改變主機之外部位址。
根據一些實施例,本文提供一種在不使有效通信對話中斷下改變一交換方法的機制。其可將用舊交換方法建立之封包流與用新交換方法建立之封包流區分開,使得可用建立封包流之交換方法一致地處理兩種類型之封包流。
如圖1中所示,在內部網路側,所有主機正使用內部IP位址,且常駐於站點(舉例來說,內部網路104)之邊界上的交換節點(舉例來說,閘道102)為外出封包之內部IP位址作出位址交換操作,此使用一交換函數f()修改內部IP位址之介面ID及子網路ID部分以產生外部IP位址。使用此方法,可對常駐於外部網路側上之潛在攻擊者隱蔽內部網路的主機自身介面ID及子網路結構二者。對於入內封包,作出逆轉操作以重建原始子網路及介面ID部分。接著封包可路由至內部網路中之主機。交換以及其等逆轉係無狀態操作。
從安全觀點考慮,在長時間段內維持相同交換函數方法不利。其可使攻擊者獲得對交換的瞭解,且因此獲得對網路內部結構的瞭解。此可發生之一方式係經由對收集之交換位址集的統計分析。另一方式係經由洩漏使用中之交換方法的描述。為了解決問題,需要時常改變使用之交換函數的方法。
改變交換之缺點在於其需要內部主機之外部位址的改變。此意謂著兩個主機之間的現有通信對話不能倖存。為了防止此問題,需要寬限期,在該寬限期期間可與新交換一起使用舊交換。此要求交換節點記住哪些封包流必須使用舊交換方法,且哪些封包流必須使用新交換方法。
根據一實施例,在一交換節點(舉例來說,閘道器件)中維持臨時流狀態。使用流狀態以識別相對於新交換方法,使用舊交換方法的此等封包流。此可使交換節點將使用舊交換方法之封包流與使用新交換方法之封包流區別開。假設在寬限期之後,不存在使用舊交換方法的通信對話或存在使用舊交換方法的可忽略不計之通信對話,使得可安全地捨棄流狀態及專門使用新交換方法。
圖5係圖解說明用於根據一實施例在不使現有通信對話中斷下改變一混淆方法的一方法的交易圖。參考圖5,交換節點(舉例來說,閘道器件502)之操作,其中原始交換F1()改變為交換F2()。在初始階段,使用交換F1()以為自主機501之外出封包交換內部位址之子網路及介面ID部分。對於自主機503之入內封包,使用一逆轉函數F1'以重建原始內部子網路及介面ID部分:internal_iface_ID=F1'(internal_iface_ID)。在此階段,交換節點並不維持任何流狀態。
在某些時候,作出交換待改變為F2()之一決策。在考慮對所有封包使用新交換之前,存在寬限時期,在該寬限時期期間交換節點自現有通信對話收集可用於識別該等通信對話之特定流資訊。此資訊可為與本端埠數量或本端IPsec SPI值組合之本端位址。該資訊可儲存為在隨後寬限期期間使用之流狀態,例如儲存為圖6中所示之查找表。此可使交換節點將使用舊交換方法之舊通信對話與使用新交換方法之新通信對話區別開。在此階段,交換節點不再無狀態。
當寬限期開始且考慮使用新交換F2()時,自外出及入內封包提取特定流資訊且(例如)使用如圖6中所示之映射表將特定流資訊與在寬限期之前收集之流狀態相匹配。若封包被發現為維持流狀態的通信對話部分,則使用舊交換F1()及F1'()處理封包。類似地,若封包被發現為不維持流狀態的通信對話部分,則使用新交換F2()及F2'()處理封包。
在已結束寬限期之後,捨棄流狀態以及舊交換F1()。若仍存在使用舊交換F1()及F1'()之通信對話,則其等將被丟棄,因為外部可見IP位址改變。但是,使寬限期足夠長將最小化此問題。但是,不必一直維持流狀態。如圖5中所圖解說明,僅需在交換正被改變時維持流狀態。交換之週期性替換可用於限制可具有交換之意外洩漏的損害。
圖7係圖解說明用於根據一實施例對傳出封包之源IP位址執行混淆操作的一方法的一流程圖。應注意,方法700可藉由可包含軟體、硬體或二者之一組合的處理邏輯執行。例如,方法700可藉由圖1之傳出位址混淆單元107執行。在此實例中,交換利用為一混淆方法之一實例。參考圖7,在方塊701處,藉由擷取通信對話之某些狀態資訊且將其儲存於介接內部網路與外部網路之一閘道器件內而將交換方法同內部網路之本端節點與外部網路之遠端節點之間的通信對話相關聯。
例如,自封包提取某些狀態資訊(諸如通信對話之一封包的源及目的IP位址、源及目的埠)且將該狀態資訊與用於使本端節點之一IP位址的至少部分混淆的一交換方法相關聯。以上狀態資訊可儲存於閘道器件內之資料結構或資料庫(諸如如圖6中所示之一表)中或儲存於可由閘道器件存取之一儲存器件中。通常而言,當需要改變交換方法以保存關於哪個對話係與哪個交換方法相關聯之資訊時,此狀態資訊被擷取且與交換方法相關聯。僅在其中利用新交換方法以用於新對話,而利用舊交換方法之現有對話仍有效之寬限期期間需要此狀態資訊及相關聯交換。在現有對話結束之後,捨棄映射資訊,之後對所有封包利用新交換。
在方塊702處,當從內部網路之本端節點接收前往外部網路之遠端節點的封包時,在方塊703處,處理邏輯基於從封包提取之某些資訊(諸如,例如源/目的IP位址及源/目的埠等)識別與封包流相關聯之交換方法。處理邏輯可藉由將擷取資訊與儲存於表中之資訊相匹配而執行表(諸如如圖6中所示之一者)中的查找操作。在方塊704處,使用經識別之交換方法對封包之第一源IP位址的至少一部分執行交換操作,此產生一第二源IP位址。在方塊705處,用第二源IP位址替換封包之第一源IP位址,其中視情況調整封包之相對應校驗和且在方塊706處,具有第二源IP位址之封包經由外部網路傳輸至遠端節點,使得與本端節點相關聯之第一源IP位址的至少一部分並不曝露給遠端節點。
圖8係圖解說明用於根據一實施例對傳入封包之源IP位址執行混淆操作的一方法的一流程圖。應注意,方法800可藉由可包含軟體、硬體或二者之一組合的處理邏輯執行。例如,方法800可藉由圖1之傳入位址混淆單元106執行。在此實例中,交換利用為一混淆方法之一實例。參考圖8,藉由擷取通信對話之某些狀態資訊(舉例來說,源及目的IP位址與源及目的埠)且將其儲存於介接內部網路與外部網路之一閘道器件內而將交換方法同內部網路之本端節點與外部網路之遠端節點之間的通信對話相關聯。相關聯資訊可儲存於資料結構或資料庫(諸如如圖6中所示之一者)中。
在方塊802處,從外部網路之遠端節點接收前往內部網路之本端節點的封包。在方塊803處,基於從封包提取之狀態資訊識別與封包相關聯之交換方法。例如,提取之狀態資訊與儲存於資料結構或資料庫中之狀態資訊相匹配(諸如如圖6中所示之一者)。在方塊804處,使用經識別之交換方法對封包之第一目的IP位址的至少一部分執行交換操作,此產生一第二目的IP位址。在方塊805處,用封包中之第二目的IP位址替換第一目的IP位址,其中視情況調整封包之相對應校驗和且在方塊806處,具有第二目的IP位址之封包經由內部網路傳輸至本端節點。結果,遠端節點可到達本端節點而不必顯露表示內部網路拓撲的與本端節點相關聯的IP位址之至少一部分。
圖9係圖解說明根據本發明之一實施例之一網路元件的一方塊圖。網路元件900可實施為如圖1中所示之網路節點的任一者。例如,網路元件900可實施為圖1之閘道器件102的部分。參考圖9,網路元件900包含(但不限於)經由一網狀結構905(其可為一網狀結構網路、一互連、一匯流排或其等之一組合)通信地耦合至一或多個線路卡902-903(亦指稱為介面卡或使用者平面)的一控制卡901(亦指稱為控制平面)。一線路卡亦指稱為資料平面(有時指稱為轉送平面或媒體平面)。線路卡902-903之每一者係分別與一或多個介面(亦指稱為埠)(諸如介面906-907)相關聯。每一線路卡包含根據由控制卡901(其可由一管理者經由一介面911(舉例來說,命令線介面或CLI)組態)組態之一組態(舉例來說,路由表)經由相對應於介面路由及/或轉送封包的路由功能方塊或邏輯(舉例來說,方塊909-910)。
根據一實施例,控制卡901包含(但不限於)一傳入混淆單元930、一傳出混淆單元931及一資料庫908。傳出混淆單元931係經調適以對經由內部或本端網路從一本端節點接收之封包的一源IP位址之至少一部分(舉例來說,內部網路部分)執行一混淆操作,諸如一交換操作。根據可儲存於資料庫908中之一混淆方法執行混淆操作。傳出混淆單元931係經調適以使用經混淆之源IP位址經由外部網路將封包傳輸至遠端節點而無需顯露與本端節點相關聯之整個IP位址。
傳入混淆單元930係經調適以對從外部網路(諸如網際網路)之遠端節點接收之封包的目的IP位址之至少一部分(舉例來說,內部網路部分)執行解混淆操作,諸如交換操作(舉例來說,逆轉交換)。根據可儲存於資料庫908中之混淆方法執行解混淆操作。傳入混淆單元930係經調適以使用經混淆之目的IP位址經由內部網路將封包傳輸至本端節點。結果,可由遠端節點到達本端節點而不必顯露與本端節點相關聯之IP位址的內部網路部分。應注意,混淆單元930-931可實施於線路卡902-903中且分別由路由器909-910(作為混淆單元之部分)使用。
此外,當需要改變混淆方法時,在寬限期期間,一映射表(諸如如圖6中所示之一者)可維持於資料庫908中以識別哪個封包流係與哪個混淆方法相關聯。當在網路元件900內處理一封包時,識別一適當混淆方法且利用該混淆方法來使封包之IP位址(舉例來說,源或目的IP位址)混淆。可在寬限期結束之後捨棄映射表,或者此一映射表可儲存於非揮發性記憶體(諸如一磁碟)中以再啟動或重新啟動網路元件900。此外,映射表可下「推」至線路卡902-903且分別由路由器909-910(作為混淆單元之部分)使用。
往回參考圖9,在網路元件900係一路由器(或正實施路由功能性)之案例中,控制平面901通常判定資料(舉例來說,封包)將如何被路由(舉例來說,資料的下一躍點及該資料的外傳埠)及資料平面(舉例來說,線路卡902-903)如何負責轉送該資料。例如,控制平面901通常包含與其他網路元件通信以互換路由及基於一或多個路由量度選擇此等路由的一或多個路由協定(舉例來說,邊界閘道協定(BGP)、(若干)內部閘道協定(IGP)(舉例來說,開放最短路徑優先(OSPF)、路由資訊協定(RIP)、中間系統對中間系統(IS-IS)等)、標籤分配協定(LDP)、資源保留協定(RSVP)等)。
路由及鄰接資訊儲存於控制平面(舉例來說,資料庫908)上之一或多個路由結構(舉例來說,路由資訊庫(RIB)、標籤資訊庫(LIB)、一或多個鄰接結構等)中。控制平面901基於(若干)路由結構用資訊(舉例來說,鄰接及路由資訊)程式化資料平面(舉例來說,線路卡902-903)。例如,控制平面901程式化鄰接資訊且將資訊路由至資料平面上之一或多個轉送結構(舉例來說,轉送資訊庫(FIB)、標籤轉送資訊庫(LFIB)及一或多個鄰接結構)。當轉送訊務時,資料平面使用此等轉送及鄰接結構。
路由協定之每一者基於某些路由量度(對於不同路由協定,量度可不同)將路由項目下載至主路由資訊庫(RIB)。路由協定之每一者可將路由量度(包含並不下載至主RIB之路由項目)儲存於本端RIB(舉例來說,一OSPF本端RIB)中。管理主RIB之一RIB模組從藉由路由協定下載(基於量度集)之路由選擇路由且將該等所選路由(有時指稱為有效路由項目)下載至資料平面。RIB模組亦可引起路由在路由協定之間重新分配。對於層2轉送,網路元件900可儲存用於基於此資料中之層2資訊轉送資料的一或多個網橋表。
為了僅說明之目的,在圖9中僅繪示一控制卡及兩個線路卡。通常而言,網路元件包含一組一或多個線路卡、一組一或多個控制卡及視情況而定一組一或多個服務卡(有時指稱為資源卡)。此等卡經由一或多個機構耦合在一起(舉例來說,一第一全網狀結構耦合線路卡且一第二全網狀結構耦合所有卡)。該組線路卡組成資料平面,而該組控制卡提供控制平面且經由線路卡與外部網路元件互換封包。該組服務卡可提供專用處理(舉例來說,層4至層7服務(舉例來說,防火牆、IPsec、IDS、P2P)、VoIP對話邊界控制器、行動無線閘道(GGSN、演進式封包系統(EPS)閘道)等)。藉由實例,可使用服務卡以終止IPsec隧道及執行伴隨鑑認及加密演算法。如本文所使用,一網路元件(舉例來說,路由器、交換機、橋接器等)係將網路上之其他設備(舉例來說,其他網路元件、終端站等)通信地互連的一件網路設備(包含硬體及軟體)。一些網路元件係為多重網路連接功能(舉例來說,路由、橋接、交換、層2集合、對話邊界控制、服務品質及/或用戶管理)提供支援及/或為多重應用服務(舉例來說,資料、語音及視訊)提供支援的「多重服務網路元件」。
用戶終端站(舉例來說,伺服器、工作站、膝上型電腦、掌上電腦、行動電話、智慧型電話、多媒體電話、網際網路語音協定(VOIP)電話、可攜式媒體播放器、全球定位系統(GPS)單元、遊戲系統、視訊轉換器等)存取經由網際網路提供之內容/服務及/或在重疊於網際網路上之虛擬私人網路(VPN)上提供之內容/服務。內容及/或服務通常由屬於一服務或內容供應商之一或多個終端站(舉例來說,伺服器終端站)或參與對等式服務之終端站提供,且可包含公共網頁(免費內容、店面、搜尋服務等)、私人網頁(舉例來說,提供電子郵件服務之使用者名字/密碼存取網頁)、VPN上之公司網路等。通常而言,用戶終端站係耦合(舉例來說,經由耦合至存取網路(有線或無線)之客戶端設備))至邊緣網路元件,該等邊緣網路元件耦合(舉例來說,經由一或多個核心網路元件)至其他邊緣網路元件,該等其他邊緣網路元件耦合至其他終端站(舉例來說,伺服器終端站)。
應注意,僅為說明之目的描述網路元件900。可取決於一特定應用實施更多或更少組件。例如,雖然繪示一單個控制卡,但可(例如)為冗餘之目的實施多重控制卡。類似地,多重線路卡亦可實施於入內及外出介面的每一者上。亦應注意,亦可以硬體、軟體或二者之一組合實施如圖9中所示之一些或所有組件。
根據關於一電腦記憶體內之資料位元之操作的演算法及符號表示呈現先前詳細描述之一些部分。此等演算法描述及表示為由熟悉資料處理技術者使用以將其等工作之實質傳遞給其他熟悉此項技術者的方式。一演算法於此處且通常被認作導致所期望結果之操作的自相一致序列。操作為要求實體量之實體操縱的操作。通常而言,雖然並無必要,但此等量採用能夠被儲存、傳送、組合、比較及以其他方式操縱之電或磁信號的形式。已證明有時方便的是(主要因為慣用法)將此等信號指稱為位元、值、元素、符號、字元、項、數字或類似詞。
但是應牢記,此等及類似術語之所有者將與適當實體量相關聯且僅為應用於此等量之方便標籤。除非以其他方式明確規定,否則由以上討論明白,應瞭解,遍及說明書,利用諸如在以下請求項中提出之術語的討論係指操縱表示為電腦系統之暫存器及/或記憶體內之實體(諸如電子)量的資料且將該資料轉變為類似地表示為電腦系統記憶或暫存器或其他此資訊儲存、傳輸或顯示器件的一電腦系統或類似電子計算器件的動作及/或程序。
本發明之實施例亦係關於用於執行本文操作的一裝置。此裝置可尤其經建構用於所需目的,或其可包括由儲存於電腦中之一電腦程式選擇性啟動或重組態的一通用電腦。此一電腦程式可儲存於電腦可讀媒體中。一電腦可讀媒體包含用於以由一機器(舉例來說,一電腦)可讀之形式儲存資訊的任何機構。例如,一機器可讀(舉例來說,電腦可讀)媒體包含一機器(舉例來說,電腦)可讀儲存媒體(舉例來說,唯讀記憶體(「ROM」)、隨機存取記憶體(「RAM」)、磁碟儲存媒體、光儲存媒體、快閃記憶體器件等)等。
本文呈現之演算法及顯示並非固有地關於任何特定電腦或其他裝置。多種通用系統可搭載根據本文教示之程式使用,或證明方便的是建構更多專用裝置以執行所需之方法操作。將由以上描述看出各種此等系統之所需結構。此外,並不參考任何特定程式化語言描述本發明之實施例。將瞭解,可使用各種程式化語言以實施本文描述的本發明之實施例的教示。
在前述說明書中,已參考本發明之特定例示性實施例描述本發明之實施例。顯而易見的是可在不脫離如以下請求項中所提出之本發明的較寬泛精神及範疇下對本發明進行多種修改。因此,將在說明性意義上,而非限制性意義上看待說明書及圖式。
100...網路組態
101...主機
102...閘道器件
103...主機
104...內部網路
105...外部網路
106...傳入位址混淆單元
107...傳出位址混淆單元
108...混淆方法
201...IP位址
203...位址交換單元
204...混淆方法
205...前置碼部分
206...本體
207...經交換之本體
501...主機
502...閘道器件
503...主機
900...網路元件
901...控制卡
902、903...線路卡
905...網狀結構
906、907...介面
908...資料庫
909、910...路由器
911...介面
930...傳入混淆單元
931...傳出混淆單元
圖1係圖解說明根據本發明之一實施例的一網路組態的一方塊圖。
圖2係圖解說明根據一實施例之一位址交換操作的一處理流程的一方塊圖。
圖3係圖解說明用於根據本發明之一實施例使一傳出封包之IP位址混淆的一方法的一流程圖。
圖4係圖解說明用於根據本發明之一實施例使一傳出封包之IP位址混淆的一方法的一流程圖。
圖5係圖解說明用於根據一實施例在不使現有通信對話中斷下改變一混淆方法的一方法的交易圖。
圖6係圖解說明用於根據本發明之一實施例儲存資料流與交換方法之間之映射資訊的一資料結構的一方塊圖。
圖7係圖解說明用於根據一實施例對傳出封包之源IP位址執行混淆操作的一方法的一流程圖。
圖8係圖解說明用於根據一實施例對傳入封包之源IP位址執行混淆操作的一方法的一流程圖。
圖9係圖解說明根據本發明之一實施例之一網路元件的一方塊圖。
100...網路組態
101...主機
102...閘道器件
103...主機
104...內部網路
105...外部網路
106...傳入位址混淆單元
107...傳出位址混淆單元
108...混淆方法
Claims (20)
- 一種在介接一內部網路與一外部網路的一網路元件中的方法,其用於轉譯該內部網路之一用戶端的一網際網路協定(IP)位址,且使用該經轉譯之IP位址將與該用戶端相關聯之封包路由至該外部網路之一遠端節點或從該外部網路之一遠端節點路由封包,而無需將該用戶端之該IP位址的一內部網路部分曝露給該遠端節點,該方法包括以下步驟:經由該內部網路從該用戶端接收前往該外部網路之一遠端節點的一第一封包,其中該第一封包包含分為識別該內部網路中之該用戶端的一位置之一內部網路部分及分為識別可由該外部網路存取之該內部網路的一位置之一外部網路部分的一源IP位址;使該第一封包之該源IP位址的該內部網路部分混淆以隱藏該內部網路中之該用戶端的該位置;用該經混淆之內部網路部分重寫該第一封包之該源IP位址的該內部網路部分的同時維持該源IP位址之該當前外部網路部分;及經由該外部網路將具有該源IP位址的該經重寫之內部網路部分的該第一封包傳輸至該遠端節點,藉此對該遠端節點隱藏該內部網路中之該用戶端的該位置的同時容許該遠端節點經由該源IP位址之該外部網路部分到達該內部網路。
- 如請求項1之方法,其中該混淆步驟包括交換該源IP位址 之一子網路識別符與一介面識別符。
- 如請求項1之方法,其中該混淆步驟包括對該源IP位址之該內部網路部分的複數個位元執行一位元翻轉操作及位元調換操作之至少一者。
- 如請求項1之方法,其中動態地執行該混淆步驟而無需維持該網路元件內的該源IP位址之該原始內部網路部分及該源IP位址之該經混淆的內部網路部分的映射資訊。
- 如請求項1之方法,其進一步包括以下步驟:經由該外部網路從該遠端節點接收前往該用戶端之一第二封包,其中該第二封包包含與該經重寫之IP位址相匹配之一目的IP位址;使該第二封包之該目的IP位址解混淆以顯露該內部網路中之該用戶端的該位置;用該經解混淆之目的IP位址替換該第二封包之該目的IP位址,其中該經解混淆之目的IP位址與該第一封包之該原始源IP位址相同;及經由該內部網路將該第二封包傳輸至該用戶端,藉此可由該遠端節點到達該用戶端而無需顯露該內部網路中之該用戶端的該位置。
- 一種介接一內部網路與一外部網路的網路元件,其用於轉譯該內部網路之一用戶端的一網際網路協定(IP)位址,且使用該經轉譯之IP位址將與該用戶端相關聯之封包路由至該外部網路之一遠端節點或從該外部網路之一遠端節點路由封包,而無需將該用戶端之該IP位址的一 內部網路部分曝露給該遠端節點的,該網路元件包括:一第一接收器,其經調適以經由該內部網路從該用戶端接收前往該外部網路之一遠端節點的一第一封包,其中該第一封包包含分為識別該內部網路中之該用戶端的一位置之一內部網路部分及分為識別可由該外部網路存取之該內部網路的一位置之一外部網路部分的一源IP位址;一第一位址轉譯單元,其經調適以使該第一封包之該源IP位址的該內部網路部分混淆以隱藏該內部網路中之該用戶端的該位置,其中該第一位址轉譯單元係經調適以用該經混淆之內部網路部分重寫該第一封包之該源IP位址的該內部網路部分的同時維持該源IP位址之該當前外部網路部分;及一第一傳輸器,其經調適以經由該外部網路將具有該源IP位址的該經重寫之內部網路部分的該第一封包傳輸至該遠端節點,藉此對該遠端節點隱藏該內部網路中之該用戶端的該位置的同時容許該遠端節點經由該源IP位址之該外部網路部分到達該內部網路。
- 如請求項6之網路元件,其中該第一位址轉譯單元係經調適以交換該源IP位址之一子網路識別符與一介面識別符。
- 如請求項6之網路元件,其中該第一位址轉譯單元係經調適以對該源IP位址之該內部網路部分的複數個位元執行一位元翻轉操作及位元調換操作之至少一者。
- 如請求項6之網路元件,其中動態地執行該混淆而無需維持該網路元件內的該源IP位址之該原始內部網路部分及該源IP位址之該經混淆的內部網路部分的映射資訊。
- 如請求項6之網路元件,其進一步包括:一第二接收器,其經調適以經由該外部網路從該遠端節點接收前往該用戶端的一第二封包,其中該第二封包包含與該經重寫之IP位址相匹配的一目的IP位址;一第二位址轉譯單元,其經調適以使該第二封包之該目的IP位址解混淆以顯露該內部網路中之該用戶端的該位置,其中該第二位址轉譯單元係經調適以用該經解混淆之目的IP位址替換該第二封包之該目的IP位址,其中該經解混淆之目的IP位址與該第一封包之該原始源IP位址相同;及一第二傳輸器,其經調適以經由該內部網路將該第二封包傳輸至該用戶端,藉此可由該遠端節點到達該用戶端而無需顯露該內部網路中之該用戶端的該位置。
- 一種在介接一內部網路與一外部網路的一網路元件中的方法,其用於轉譯該內部網路之一用戶端的一網際網路協定(IP)位址,且使用該經轉譯之IP位址將與該用戶端相關聯之封包路由至該外部網路之一遠端節點或從該外部網路之一遠端節點路由封包,而無需將該用戶端之該IP位址的一內部網路部分曝露給該遠端節點,該方法包括以下步驟:經由該外部網路從該遠端節點接收前往該用戶端的一 第一封包,該第一封包包含具有已被混淆之一內部網路部分的一目的IP位址;使該第一封包之該目的IP位址的該內部網路部分解混淆以顯露該內部網路中之該用戶端的一位置;用該經解混淆之目的IP位址替換該第一封包之該目的IP位址;及經由該內部網路將該第一封包傳輸至該用戶端,藉此可由該遠端節點到達該用戶端而無需顯露該內部網路中之該用戶端的該位置。
- 如請求項11之方法,其中該解混淆步驟包括交換該目的IP位址之一子網路識別符與一介面識別符。
- 如請求項11之方法,其中該解混淆步驟包括對該目的IP位址之該內部網路部分的複數個位元執行一位元翻轉操作及位元調換操作之至少一者。
- 如請求項11之方法,其中動態地執行該解混淆步驟而無需維持該網路元件內的該目的IP位址之該原始內部網路部分及該目的IP位址之該經混淆的內部網路部分的映射資訊。
- 如請求項11之方法,其進一步包括以下步驟:經由該內部網路從該用戶端接收前往該外部網路之一遠端節點的一第二封包,其中該第二封包包含分為識別該內部網路中之該用戶端的一位置之一內部網路部分及分為識別可由該外部網路存取之該內部網路的一位置之一外部網路部分的一源IP位址; 使該第二封包之該源IP位址的該內部網路部分混淆以隱藏該內部網路中之該用戶端的該位置;用該經混淆之內部網路部分重寫該第二封包之該源IP位址的該內部網路部分的同時維持該源IP位址之該當前外部網路部分;及經由該外部網路將具有該源IP位址的該重寫之內部網路部分的該第二封包傳輸至該遠端節點,藉此對該遠端節點隱藏該內部網路中之該用戶端的該位置的同時容許該遠端節點經由該源IP位址之該外部網路部分到達該內部網路。
- 如請求項15之方法,其中該第二封包之該源IP位址的該經混淆之內部網路部分與該第一封包之該目的IP位址之該內部網路部分相匹配。
- 一種在介接一內部網路與一外部網路的一網路元件中的方法,其用於轉譯該內部網路之一用戶端的一網際網路協定(IP)位址,且使用該經轉譯之IP位址將與該用戶端相關聯之封包路由至該外部網路之一遠端節點或從該外部網路之一遠端節點路由封包,而無需將該用戶端之該IP位址的至少一部分曝露給該遠端節點,該方法包括以下步驟:回應於經由該外部網路從一第一遠端節點接收前往該內部網路之一第一用戶端的一第一封包,基於該第一封包識別一第一交換方法;根據該第一交換方法對該第一封包之一目的IP位址執 行一第一交換,此產生具有一第一經交換之目的IP位址的一第二封包;根據該第一經交換之目的IP位址經由該內部網路將該第二封包傳輸至該第一用戶端;回應於經由該外部網路從一第二遠端節點接收前往該內部網路之一第二用戶端的一第三封包,基於該第三封包識別一第二交換方法;根據該第二交換方法對該第三封包之一目的IP位址執行一第二交換,此產生具有一第二經交換之目的IP位址的一第四封包;及根據該第二經交換之目的IP位址經由該內部網路將該第四封包傳輸至該第二用戶端,藉此該等第一及第二經交換之IP位址容許該等第一及第二遠端節點分別到達該等第一及第二用戶端而無需顯露該內部網路之該等第一及第二用戶端位置。
- 如請求項17之方法,其中對該第一封包之該目的IP位址的一子網路識別符及一介面識別符執行該第一交換而無需交換該第一封包之該目的IP位址的一前置碼,且其中對該第三封包之該目的IP位址的一子網路識別符及一介面識別符執行該第二交換而無需交換該第三封包之該目的IP位址的一前置碼。
- 如請求項18之方法,其中該第一交換及該第二交換包括對該相對應目的IP位址之複數個位元的一位元翻轉操作及位元調換操作之至少一者。
- 如請求項17之方法,其中該第一封包之該目的IP位址包含識別該內部網路中之該第一用戶端的一位置的一內部網路部分及識別可由該外部網路存取之該內部網路之一位置的一外部網路部分,其中對該內部網路部分執行該第一交換而無需修改該目的IP位址之該外部網路部分。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/613,080 US8934487B2 (en) | 2009-11-05 | 2009-11-05 | Network topology concealment using address permutation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201201554A TW201201554A (en) | 2012-01-01 |
| TWI520549B true TWI520549B (zh) | 2016-02-01 |
Family
ID=43629427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099137970A TWI520549B (zh) | 2009-11-05 | 2010-11-04 | 使用位址交換之網路拓樸隱藏 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8934487B2 (zh) |
| EP (1) | EP2497253A1 (zh) |
| TW (1) | TWI520549B (zh) |
| WO (1) | WO2011055262A1 (zh) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8082179B2 (en) * | 2007-11-01 | 2011-12-20 | Microsoft Corporation | Monitoring television content interaction to improve online advertisement selection |
| EP2290547B1 (en) * | 2009-08-26 | 2012-12-19 | Nxp B.V. | Method of obfuscating a code |
| US8675662B2 (en) * | 2009-12-15 | 2014-03-18 | Verizon Patent And Licensing Inc. | IPv6 VLAN tag packet transport optimization |
| US8996728B2 (en) * | 2010-10-01 | 2015-03-31 | Telcordia Technologies, Inc. | Obfuscating network traffic from previously collected network traffic |
| US8862537B1 (en) | 2011-06-30 | 2014-10-14 | Sumo Logic | Selective structure preserving obfuscation |
| JP5817299B2 (ja) * | 2011-08-01 | 2015-11-18 | 富士通株式会社 | アドレス変換装置、通信システム及びアドレス変換方法 |
| TWI483115B (zh) * | 2012-04-12 | 2015-05-01 | Acer Inc | 菊化鏈串接裝置的資料路由系統及方法 |
| CN102710806B (zh) * | 2012-05-18 | 2015-08-12 | 中兴通讯股份有限公司 | 一种自动选择IPv6地址传输方式的方法、设备和系统 |
| US9215075B1 (en) * | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
| US8898784B1 (en) | 2013-05-29 | 2014-11-25 | The United States of America, as represented by the Director, National Security Agency | Device for and method of computer intrusion anticipation, detection, and remediation |
| US10123063B1 (en) * | 2013-09-23 | 2018-11-06 | Comscore, Inc. | Protecting user privacy during collection of demographics census data |
| US9503324B2 (en) * | 2013-11-05 | 2016-11-22 | Harris Corporation | Systems and methods for enterprise mission management of a computer network |
| US9338183B2 (en) * | 2013-11-18 | 2016-05-10 | Harris Corporation | Session hopping |
| US9264496B2 (en) | 2013-11-18 | 2016-02-16 | Harris Corporation | Session hopping |
| US10122708B2 (en) * | 2013-11-21 | 2018-11-06 | Harris Corporation | Systems and methods for deployment of mission plans using access control technologies |
| US9241004B1 (en) * | 2014-03-11 | 2016-01-19 | Trend Micro Incorporated | Alteration of web documents for protection against web-injection attacks |
| CN105101177A (zh) * | 2014-05-20 | 2015-11-25 | 中国移动通信集团广东有限公司 | 一种防火墙的调度方法、系统以及ggsn |
| US11474767B1 (en) * | 2014-05-28 | 2022-10-18 | Amazon Technologies, Inc. | Print from web services platform to local printer |
| US10469514B2 (en) * | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
| US10212176B2 (en) | 2014-06-23 | 2019-02-19 | Hewlett Packard Enterprise Development Lp | Entity group behavior profiling |
| US9729438B2 (en) * | 2014-06-25 | 2017-08-08 | International Business Machines Corporation | Cloud-based anonymous routing |
| US10424034B1 (en) | 2014-09-08 | 2019-09-24 | Google Llc | Systems and methods for protecting user identity within online content providing environments |
| EP3016346A1 (en) * | 2014-10-29 | 2016-05-04 | Thomson Licensing | Data access method, devices and computer programs |
| US9641434B1 (en) * | 2014-12-17 | 2017-05-02 | Amazon Technologies, Inc. | Private network address obfuscation and verification |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US10237157B1 (en) | 2015-06-10 | 2019-03-19 | Amazon Technologies, Inc. | Managing host failures in a traffic forwarding system |
| US9838302B1 (en) | 2015-06-10 | 2017-12-05 | Amazon Technologies, Inc. | Managing loss of network connectivity in traffic forwarding systems |
| US10637825B2 (en) * | 2015-12-22 | 2020-04-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Router and method for connecting an IPv4 network and an IPv6 network |
| WO2018004600A1 (en) | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
| US11876786B2 (en) * | 2016-12-08 | 2024-01-16 | Comcast Cable Communications, Llc | Protocol obfuscation in moving target defense |
| US9882868B1 (en) * | 2017-01-26 | 2018-01-30 | Red Hat, Inc. | Domain name system network traffic management |
| TWI679863B (zh) * | 2017-09-07 | 2019-12-11 | 國立高雄大學 | 具識別掩飾之數位資料傳輸系統、其裝置及其方法 |
| TWI650988B (zh) * | 2017-04-26 | 2019-02-11 | 國立高雄大學 | 數位資料傳輸系統、其裝置及其方法 |
| US10666624B2 (en) * | 2017-08-23 | 2020-05-26 | Qualcomm Incorporated | Systems and methods for optimized network layer message processing |
| US11616758B2 (en) * | 2018-04-04 | 2023-03-28 | Sophos Limited | Network device for securing endpoints in a heterogeneous enterprise network |
| US10999244B2 (en) * | 2018-09-21 | 2021-05-04 | Microsoft Technology Licensing, Llc | Mapping a service into a virtual network using source network address translation |
| US11362954B2 (en) * | 2019-03-27 | 2022-06-14 | Nokia Solutions And Networks Oy | Tunneling inter-domain stateless internet protocol multicast packets |
| CN113497788A (zh) * | 2020-03-20 | 2021-10-12 | 华为技术有限公司 | 数据处理方法及装置 |
| US20210344726A1 (en) * | 2020-05-01 | 2021-11-04 | Amazon Technologies, Inc. | Threat sensor deployment and management |
| US11489853B2 (en) | 2020-05-01 | 2022-11-01 | Amazon Technologies, Inc. | Distributed threat sensor data aggregation and data export |
| US11838375B2 (en) * | 2020-11-12 | 2023-12-05 | Harman International Industries, Incorporated | Universal software communication bus |
| CN114827089B (zh) * | 2022-03-17 | 2023-05-26 | 杭州锘崴信息科技有限公司 | 一种混淆dpi检测的隐私保护方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7757272B1 (en) * | 2000-06-14 | 2010-07-13 | Verizon Corporate Services Group, Inc. | Method and apparatus for dynamic mapping |
| US6826684B1 (en) * | 2000-08-28 | 2004-11-30 | Verizon Corporate Services Group Inc. | Sliding scale adaptive self-synchronized dynamic address translation |
-
2009
- 2009-11-05 US US12/613,080 patent/US8934487B2/en active Active
-
2010
- 2010-10-22 EP EP10775908A patent/EP2497253A1/en not_active Withdrawn
- 2010-10-22 WO PCT/IB2010/054807 patent/WO2011055262A1/en active Application Filing
- 2010-11-04 TW TW099137970A patent/TWI520549B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| TW201201554A (en) | 2012-01-01 |
| EP2497253A1 (en) | 2012-09-12 |
| US8934487B2 (en) | 2015-01-13 |
| US20110103394A1 (en) | 2011-05-05 |
| WO2011055262A1 (en) | 2011-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI520549B (zh) | 使用位址交換之網路拓樸隱藏 | |
| US11799831B2 (en) | Intelligent service layer for separating application from physical networks and extending service layer intelligence over IP across the internet, cloud, and edge networks | |
| Stiemerling et al. | NAT/firewall NSIS signaling layer protocol (NSLP) | |
| US10454818B2 (en) | CCN name chaining | |
| JP5357873B2 (ja) | 一連の境界ゲートウェイを介したインターネット・プロトコル・マルチメディア・ベアラ経路を最適化するための方法および機器 | |
| US20150304427A1 (en) | Efficient internet protocol security and network address translation | |
| Frankel et al. | Guidelines for the secure deployment of IPv6 | |
| Popoviciu | Deploying ipv6 networks | |
| Shiranzaei et al. | IPv6 security issues—A systematic review | |
| Carthern et al. | Advanced Routing | |
| US20090106449A1 (en) | Method and apparatus for providing dynamic route advertisement | |
| CN112787940A (zh) | 一种多级vpn加密传输方法、系统、设备及存储介质 | |
| WO2023098972A1 (en) | Devices and methods for isp-assisted ip address privacy protection | |
| Çalışkan | IPv6 transition and security threat report | |
| JP5152835B2 (ja) | 多重アクセス装置 | |
| Wadhwa et al. | Security holes in contrast to the new features emerging in the next generation protocol | |
| Saucez et al. | Locator/id separation protocol (lisp) impact | |
| Kantola | Future Internet and 5G Using Customer Edge Switching and Ubiquitous Trust Processing+ what is it and what are the benefits | |
| Alhoaimel | Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data | |
| Frankel et al. | SP 800-119. Guidelines for the Secure Deployment of IPv6 | |
| Malgosa et al. | Solving IP exhaustion with maskless inter-domain routing (MIDR) scheme | |
| Tavakoli Momtaz et al. | IPv4 to IPv6 Transition and Security | |
| Fogel | IP version 6 in larger city networks and at Internet service providers | |
| Cabellos et al. | Internet Engineering Task Force (IETF) D. Saucez Request for Comments: 7834 INRIA Category: Informational L. Iannone | |
| Virgeniya et al. | Attacks on Ipv4 and Ipv6 Protocols and it’s Performance Parameters |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |