CN1809061A - 使用多个警示器以穿过网关设备的设备和方法 - Google Patents
使用多个警示器以穿过网关设备的设备和方法 Download PDFInfo
- Publication number
- CN1809061A CN1809061A CNA2005101191613A CN200510119161A CN1809061A CN 1809061 A CN1809061 A CN 1809061A CN A2005101191613 A CNA2005101191613 A CN A2005101191613A CN 200510119161 A CN200510119161 A CN 200510119161A CN 1809061 A CN1809061 A CN 1809061A
- Authority
- CN
- China
- Prior art keywords
- digital code
- equipment
- message
- compartment wall
- fire compartment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 29
- 238000004891 communication Methods 0.000 claims description 21
- 230000000977 initiatory effect Effects 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000003860 storage Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
当处于防火墙内部的设备A向处于防火墙外部的设备B请求信息时,从防火墙或者其它的网关,或者其它网络设备向该设备B提供一个数字“警示器”。该设备B可以将该数字警示器传递给后续的电子设备,该后续的电子设备可以使用该数字警示器通过防火墙向设备A发送消息或者信息来响应于该请求。防火墙基于包含在消息中的警示器的鉴权对消息进行过滤和鉴权。
Description
技术领域
本发明涉及组网和通信技术。特别的是,本发明涉及使用能够被防火墙或者其它网关设备读取的消息中的编码或者数字“警示器(baton)”来鉴别该消息的技术。
背景技术
防火墙是这样的网络技术,其负责监管和实施关于传送到被防火墙保护或防火墙“内部”的实体的数据以及从该实体传送的数据的被称为“策略”的规则。举例来说,局域网(LAN)可以被防火墙保护,以过滤传送到LAN域之外的客户端的数据或者来自该客户端的数据。进入LAN域的数据通常表示为从“外部”,通常是因特网,穿过防火墙到达LAN实体存在的“内部”。
目前防火墙技术有公认的问题。合法的数据经常不能穿过防火墙,这归因于由防火墙实施的一个或多个特定策略。举例来说,当两个网络设备处于通信对话中时产生了问题。场景之一,设备A正与设备B交换消息形式的数据。设备A处于防火墙内部,而设备B处于防火墙外部。防火墙将设备A识别为发送合法消息的设备,并且在它的策略下允许设备A向设备B发送消息。但是,防火墙并不认为设备B有权从外部通过防火墙向设备A发送消息。
在限制性防火墙中,防火墙可能只允许设备A向外对设备B发送消息,而只有设备A首先向设备B发送消息,和/或只有设备B已经在防火墙的策略中被预先配置从而具有与设备A或者防火墙内的其它实体进行通信的权限时,才允许来自设备B的消息。设备B不能发起与设备A的通过防火墙的通信,这是因为该防火墙并未配置为期望或者允许从设备B到设备A的消息传递。
当设备B没有设备A所请求的信息,并且设备B必须要使用其它的设备以获取设备A所需要的信息时就会产生另一个问题。当前的解决方案是非常繁琐的,并且需要后续的设备来回跟踪(retrace)它们与设备B的通信路径,以便向设备B提供应答,设备B然后将应答发送到设备A。通常,这些后续设备并不信任设备B来向设备A传送应答。举例来说,如果设备A向设备B请求敏感的公司人事信息,设备B可能必须联络人事服务器P来检索该信息。但是,设备B可能不被授权来接收来自服务器P的人事信息。在这种情况下,人事服务器P可能只能把信息直接发送给作为请求者的设备A。假定设备A和设备B之间是初始会话,防火墙的策略可能不允许不是初始通信方的第三设备向设备A发送信息。对于防火墙来说,从服务器P向设备A的尝试通信可能是未经请求的,并且可能不被防火墙所允许。以上的这个场景一般称作“委托”问题,该场景中一个设备试图将请求委托给第三方设备。
在更多复杂的委托中,来自设备A的请求可以被路由通过几个第三方。该场景可以用图表方式如下表示:
A->‖B->C->...->R
如果设备R试图直接向设备A发送应答,那么限制性的防火墙可能阻止该应答,这是因为它没有从设备A向设备R发送消息的记录。该问题在设备R是唯一可信的信息源,或者因为安全或者保密问题而不允许中间设备获职信息时的场景中显得更具有重要意义。
一个已知的解决方案是从设备R向设备B发送一个消息,以便设备B可以向设备A发送消息,即设备R具有请求的消息。设备A可以因此联络设备R,请求设备R提供该信息。但是,防火墙可能不被配置为接收来自设备R的信息,并且在每次发现有新的第三方设备包含所请求的信息时都重新配置防火墙是相当繁琐的。
另一个已知的解决方案包含使用互联网协议安全(IPSec)来重新配置因特网协议(IP)地址。IPSec是一组由互联网工程任务组(IETF)开发的协议,以此来支持IP层上分组的安全交换。IPSec已经被广泛地开发,用来实现虚拟专用网络(VPNs)。IPSec支持两种加密模式:传输和隧道。传输模式只对每一个分组的数据部分(有效负荷)进行加密,但是对首标不做变动。更为安全的隧道模式既对首标也对有效负荷进行加密。在接收侧,IPSec兼容的设备对每个分组进行解密。
为了IPSec工作,发送和接收的设备必须共享一个公共密钥。这是通过一个被称为互联网安全联盟和密钥管理协议/Oakley(ISAKMP/Oakley)的协议来完成的,其允许接收方获取公共密钥,并且使用数字证书来时发送方进行验证。
该IPSec解决方案遭遇了类似于与使用限制性防火墙有关的问题。IPSec解决方案需要进行广泛性的配置以促进在所有参与通信的设备之间的通信,只是IPSec需要对除了防火墙本身之外的每一个设备进行配置。
另一个已知的解决方案是使用主机识别协议(HIP)。HIP在两个主机之间提供了设备或者主机标识的快速交换。这种交换也建立了一对IPSec安全联盟(SA),以与IPSec一起使用。HIP协议被设计为抵抗拒绝服务(DoS)和中间人(MitM)攻击,并为上层协议,例如TCP和UDP,提供DoS和MitM保护。但是,正如纯正的IPSec协议一样,HIP同样在其能够被使用之前需要对通信所涉及的每个设备进行广泛的配置。
另一个已知的解决方案使用密码生成地址(cryptographically generatedaddress:CGAs)。CGAs是IP地址,其中接口标识符是通过计算密码单向散列函数而由一个公共密钥和附属参数生成的。公共密钥和地址之间的捆绑可以通过重新计算散列值和通过对散列和接口标识符进行比较得到验证。从一个IP地址发出的消息可以通过附加公共密钥和附属参数并且通过使用相应的私钥对消息进行签名而被保护。CGA无需证书机构或者其它安全设施即可运行。
但是,正如使用IPSec和HIP协议的情况一样,CGA协议同样也需要在其能够被使用之前对通信所涉及的每一个设备进行广泛的配置。由于该需要,这些解决方案或者类似于他们的解决方案中没有一种能够解决一个问题,即允许之前并不为防火墙内部的设备A所知的第三方设备R直接向设备A提供最初从设备B请求的信息。
发明内容
简而言之,以及概括地,本发明的优选和典型实施例通过在处于防火墙内部的设备A向设备B请求信息时从防火墙或者网关(以下称为防火墙)向处于防火墙外部的设备B提供一个数字“警示器”而解决了上述以及其它问题。设备B可以把该数字警示器传递给请求的后续接收方,使得它们可以在那些后续接收方需要通过防火墙向设备A发送消息或信息时使用它。
该数字警示器是数字指示器,它为向外穿出防火墙的消息上给予一个值得信任的标识。防火墙创建数字警示器作为一个指示器或者是一个持续进行的会话,使得在由防火墙为设备A接收的分组或者消息中检测到有效数字警示器时,防火墙允许该分组穿过防火墙,即使防火墙没有识别出用于识别设备B(请求的直接接收方)或者设备R(请求的第三方接收方)的分组的源IP地址。
根据优选和典型实施例的另一方面,代替防火墙创建该数字警示器,而在应用层就可以创建该数字警示器,例如,可以通过浏览器程序创建。从这个意义上说,任何硬件和/或软件系统都可以在防火墙保护的系统或网络内部被实现,以为在防火墙外传播的分组分配数字警示器。
在另一个优选的和典型的实施例中,提供有一种方法,用于当处于防火墙内部的设备A向处于防火墙外部的设备B请求信息时从防火墙向该设备B提供数字警示器。一开始,设备A可以与防火墙或者网关(以下称为防火墙G)建立信任,因此防火墙G授权设备A从防火墙G内部和外部发送和接收消息。而且,设备A和设备B可以在彼此之间建立信任。设备A也可以在设备B和防火墙G之间授权信任。设备A,或防火墙本身,可以请求一个数字警示器来促进设备A和设备B之间的信任通信。设备A于是可以使用该数字警示器把防火墙G显示(reveal)给设备B。设备A和设备B于是可以使用数字警示器通过防火墙G自由通信。
在另一个优选和典型的实施例中,提供有一种方法,用于当处于防火墙内部的设备A向处于防火墙外部的设备B请求信息时,从防火墙向防火墙外部的该设备B提供数字警示器,但其中设备B发起信任请求。设备B可以首先联络设备A。防火墙G截接发起该联络的数据消息。防火墙G然后可以与设备A建立信任(即通过验证设备A被允许通过防火墙进行通信)。防火墙G然后可以通知设备A有一个来自设备B的尝试连接。设备A可以通过验证设备B是一个可信任的源而建立起与设备B之间的信任(这种验证可以包括检验设备B是否遵守防火墙G的策略)。设备A向提供数字警示器的防火墙G或者其它安全设备请求数字警示器。设备A然后可以使用该数字警示器将防火墙G显示给设备B(即设备A在对设备B的请求的响应消息中把数字警示器通知给设备B)。设备A和设备B因此就可以使用该数字警示器通过防火墙G自由地通信。
在另一个优选的典型的实施例中,为了允许处于防火墙内部的设备A建立与防火墙之间的信任,设备A通过按照防火墙的策略使用防火墙预先鉴权设备A来建立与防火墙之间的信任。可选的,设备A使用防火墙鉴权它自己,作为与设备B建立联络的一部分。防火墙或者其它安全设备因此可以建立数字警示器用于设备A和B之间的通信。
在另一个优选的典型的实施例中,一个系统提供了一个数字警示器,当处于防火墙内部的设备A向处于防火墙外部的设备B请求信息时从防火墙向防火墙外部的该设备B提供该警示器,其中设备B将此数字警示器传送给第三方设备R,使得设备R可以使用该数字警示器直接向设备A发送消息。设备A和B可以使用上述任一方法建立与防火墙的会话和信任。防火墙在来自设备A的消息中提供了在返回的消息中应该包含的数字警示器。该数字警示器验证了消息是会话的一部分并且合法,可以传输到设备A。这时,设备A和B可以如上所述进行自由通信。
但是,如果设备B请求第三方设备R向设备A提供信息,那么设备B向第三方设备R提供数字警示器。这可能通过一系列其它的第三方设备而出现,其中设备B向设备C请求信息,设备C又向设备D请求信息,如此反复,直到设备R是所请求的信息的最后提供者。数字警示器被传递到每一个第三方设备,使得提供信息的链条上的最后一个设备使用该警示器直接向设备A提供信息。
当防火墙从该链条上的最后一个第三方设备R检测到提供信息的消息时,如果该消息是指向设备A,则防火墙查询数字警示器,并且如果该数字警示器是合法的,那么防火墙将该消息传递给设备A。
附图说明
图1是根据用于从用于消息过滤的防火墙或网关提供数字警示器的系统和方法的典型实施例的防火墙或网关系统的方块图;
图2是示出了在用于从防火墙或数字警示器安全系统提供数字警示器的优选和典型实施例的一个方面中实施的方法步骤的流程图;
图3是示出了通过数字警示器安全系统实施以检查到来的分组的方法的数据流程图;
图4是示出了根据优选实施例的另一方面而实施的另一种方法的数据流程图,该实施例用于提供来自防火墙或者数字警示器安全系统的数字警示器;和
图5是示出了根据优选实施例的另一个方面而实施的另一种方法的数据流程图,该实施例用于提供来自防火墙或者数字警示器安全系统的数字警示器。
具体实施方式
按照本发明所构建的一个优选和典型的实施例是一个用于当处于防火墙内的设备A向处于防火墙外的设备B请求信息时,从防火墙或其它网关(以下称为防火墙)或者其它网络设备向该设备B提供数字“警示器”的系统和方法。该数字警示器可以传递给其它的电子设备,以用于提供能被防火墙或者网关设备验证的消息。设备B可以将该数字警示器传递给后续的电子设备,后续的电子设备可以使用该数字警示器对请求作出响应以将消息或信息发送通过防火墙到设备A。
参照图1,在一个优选和典型的实施例中,该系统包括了一个防火墙或者网关系统100(以下称为防火墙),该防火墙系统负责保护一个或者多个电子设备,例如服务器40a、40b,计算机30a、30b或者类似设备,以防止例如因特网10的网络上的恶意攻击。这些一个或者多个受到保护的电子设备30a、30b、40a、40b可以通过被防火墙100保护的局域网(LAN)20连接到该防火墙。恶意攻击可以来自连接到因特网10上的一个或者多个电子设备,其可以包括计算机14a、14b,服务器70a、70b或者是类似设备。但是连接到因特网10上的任何数量的电子设备14a、14b、70a、70b可以具有合法原因从而与通过有线或者无线方式连接到受保护的LAN或者无线LAN20上的电子设备30a、30b、40a、40b进行通信。
防火墙100包含,或者连接(有线方式或者无线方式)到,数字警示器安全子系统120,其中该子系统包括一个基于硬件的系统,或者是一个在防火墙100的处理器上执行的基于软件的系统。举例来说,基于软件的系统可以包括一组存储在一个或者多个计算机可读介质上的软件程序,该软件程序可以在包括防火墙100的一个或者多个计算机上执行,以便支持警示器安全子系统120的操作。每一个软件程序可以包含一组可执行代码,以执行由该数字警示器安全子系统120实现的方法的至少一个步骤或者部分,如上所述。
该数字警示器安全子系统120包括存储空间122,优选地在防火墙100本身的直接存取、随机存取、存储器中或独立的存储器芯片中。存储空间122存储的数据库包含了关于电子设备30a、30b、40a、40b与连接到因特网的电子设备14a、14b、70a、70b的开放网络或者因特网10会话的记录。每一个记录至少包括具有开放会话的电子设备30a、30b、40a、40b的IP(版本4或者版本6)地址,以及用于该开放会话的数字警示器。优选的,包含IP地址和数字警示器的这两个字段可以被索引,以被数字警示器安全子系统120快速查看数据库。
根据一个实施例,每一个数字警示器是数字指示器,它为传送出防火墙100的消息给予信任的标识。该数字警示器安全子系统120创建数字警示器作为正在进行的会话的指示器,其中对于该会话的记录被存储在存储空间122中,使得当在由防火墙100接收的分组或者消息中检测到用于一个电子设备(例如30a)的有效数字警示器时,防火墙100允许该分组穿过防火墙100,即使防火墙100没有识别出用于识别连接到网络或因特网10的电子设备(例如14a)的分组的源IP地址。
因此,防火墙100以及在防火墙100内部局域网20上的信任的设备30a创建了一个动态的标识,这就是数字警示器。
根据一个实施例,并不是防火墙100创建数字警示器,而是在电子设备30a的应用层创建数字警示器,例如,通过浏览器程序创建。从这个意义上说,数字警示器安全子系统120可以采取在防火墙所保护的系统或者局域网20内部的任何硬件和/或软件系统的形式,以将数字警示器分配给传送出防火墙100的分组。
数字警示器也可以在每个消息/分组的基础上创建,也可以在每个会话的基础上创建。然后,网关将会跟踪所有的未处理的(outstanding)警示器作为该会话的一部分。
参考图2,一个数据流程图示出了在本发明的一个方面实施的步骤,其包括用于从防火墙100或者数字警示器安全子系统120向防火墙100外部的设备(例如14a)提供数字警示器的方法。在步骤200中,位于防火墙100内部的设备(例如30a)可以向设备14a请求信息。在步骤202中,在一些实施例中,设备30a可能需要与防火墙100建立信任,以便防火墙100可以授权设备30a向防火墙100内和外发送消息和从防火墙100内和外接收消息。更进一步地,设备30a和设备14a可以彼此建立信任,例如,使用数字签名算法(DSA)或者是Rivest-Shamir-Adleman(RSA)加密技术来识别设备,步骤204。设备30a同样授权以同样的方式在设备14a和防火墙100之间建立信任,步骤206所示。
下一步,设备30a或者是数字警示器安全系统120本身,可以请求通过数字警示器安全子系统120来创建数字警示器,以进一步促进设备30a和14a之间的信任的通信,步骤208所示。设备30a然后可以使用数字警示器将防火墙100显示给设备14a,其中设备14a将该数字警示器识别为在通过防火墙100向设备30a传输数据时必须使用的数字警示器,步骤210。设备30a和14a因此可以使用该数字警示器通过防火墙100自由的通信,步骤212。
参考图3.,一个流程图示出了通过数字警示器安全子系统120实施以检查到来的分组的方法。从防火墙100外部接收到的每一个分组,步骤300,被检验是否存在具有匹配的数字警示器号码的、用于分组中所描述的目的IP地址的有效的开放会话,步骤302。步骤304中,如果存在这样的开放会话,那么该分组被转发通过防火墙到局域网20,以分配给接收方设备30a,步骤306。否则,尝试在防火墙100和从中接收分组的电子设备14a之间建立信任,步骤308。
参考图4,一个数据流程图示出了根据优选实施例的另一个方面而实施的一种方法,用于当设备30b处于防火墙100内部,而位于防火墙100外部的设备14b发起信任请求时,从防火墙100向防火墙100外部的设备14b提供一个数字警示器。在步骤400中,设备14b可以首先尝试联系设备30a。步骤402中,防火墙100截接用于初始联络的数据消息。步骤404中,防火墙100因此可以与目标设备30b建立信任(即通过验证设备30b被允许按照防火墙的策略而通过防火墙100进行通信)。步骤406中,防火墙100接着可以通知设备30b有一个来自设备14b的尝试联络。
步骤408中,设备30b可以通过验证设备14b是一个信任的源而与设备14b建立信任(例如通过使用DSA或者RSA加密)。步骤410中,目标设备30b将因此从防火墙100请求数字警示器,或者如果其不位于在防火墙100中则向数字警示器安全子系统120的位置请求数字警示器。步骤412,设备30b接着可以通过使用该数字警示器向设备14b显示防火墙100(即设备30b把要用于通过防火墙通信的数字警示器通知给设备14b)。设备30b和设备14b因此可以使用该数字警示器通过防火墙100自由地通信。
根据优选实施例的另一方面,对于要建立与防火墙100的信任的防火墙100内部的设备30a、30b、40a、40b,设备30a、30b、40a、40b通过根据防火墙的策略使用防火墙100预先鉴权设备30a、30b、40a、40b的方式来建立与防火墙100的信任。可选的,使用防火墙100来鉴权设备30a、30b、40a、40b以作为与防火墙100外部的设备14a、14b、70a、70b的一个或多个建立联络的一部分。防火墙100或者数字警示器安全子系统120因此可以建立数字警示器以用于防火墙100的内部和外部设备之间的通信。
参考图5,一个数据流程图示出了根据优选实施例的另一个方面而实施的一种方法,用于在处于防火墙100内部的设备30a向处于防火墙100外部的设备14a请求信息时,提供了从防火墙100到设备14a的数字警示器,其中设备14a向第三方设备70a传送该数字警示器,使得设备70a可以使用该数字警示器直接向设备30a发送消息。步骤500中,设备14a和设备30a可以使用上述方法中的任一个与防火墙100以及彼此之间建立会话和信任。步骤502中,防火墙100向来自设备30a的消息添加数字警示器,该数字警示器标识返回的消息中含有作为会话的一部分的并且是合法的数字警示器,并且可以被传送到设备30a。从这个意义上说,设备30a和14a可以如上所述自由通信。
但是,如果设备14a请求第三方设备70a向设备30a提供信息,那么在步骤504中,设备14a向第三方设备70a提供数字警示器。这种情况可能出现在通过一系列其它的第三方,其中设备14a向设备14b请求信息,而设备14b向设备70b请求信息,如此反复,直到设备70a是被请求的信息的最后提供者。因此,该数字警示器被传递到每个第三方设备,使得在提供信息的传递链条中的最后的设备70a使用该数字警示器来直接向设备30a提供信息。
步骤506,当防火墙100从链条中最后的第三方设备70a接收到提供信息的消息时。步骤508,如果该消息指向设备30a,那么数字警示器安全子系统120查看存储设备122的数据库中的数字警示器,并且如果该数字警示器是合法的,那么防火墙将此消息传递给设备30a,步骤510所示。
如上所述,数字警示器可以包括字母数字代码。根据优选实施例的另一个方面,该数字警示器是数字序列,它对于由防火墙保护的设备(如30a)和防火墙外的设备(如14a)所建立的会话是唯一的。该数字序列可以通过很多方式生成,这依赖于特定的实现方式。举例来说,根据一个实施例,数字警示器安全子系统120可以创建一个当前的数字警示器,其被分配到防火墙100识别出的每一个分组。可以为每一个分组产生一个新的当前的数字警示器。
在另一个实施例中,该数字序列可被生成作为指示会话的随机数字。该随机数字足够大以至于重新生成相同数字的概率可以忽略不计。在上述存储区域122的数据库中,生命时间被分配给每个会话记录,用来指示在由防火墙100终止会话前该会话的最大长度,或者在非活动会话被终止前的时间长度。
在另一个实施例中,该数字序列随着每一个新的会话而单调递增。防火墙100维持当前合法警示器号码的列表,如上结合存储区域122所描述的。一旦达到最大数值,这些数字可以重复或重叠。这些数字可以由TCP/IP协议中使用的浮动窗来控制。该窗随着时间滑动,并且只有该窗内的数字被认为是有效的。
最后,在另一个实施例中,出于安全原因,数字警示器可以使用例如RSA算法进行加密。只有防火墙能够对加密的警示器进行解密,因此处于防火墙100外部的电子设备14a、14b、70a、70b不知道该数字警示器的真实值。加密的警示器仅在需要向处于防火墙100内部的适当电子设备30a、30b、40a、40b提供信息时才会从一个电子设备传到下一个设备。当防火墙100接收到包含数字警示器的消息时,就对其进行解密以恢复该值,并且使用存储区域122的数据库对该消息进行鉴权。可选的,可以使用DSA算法,其中当接收到消息时,只把数字警示器的散列值存储到存储区域122中用于鉴权。
从前面的叙述中可以明显看出,虽然已经示出和描述了优选的和典型的实施例,但是在不背离本发明的精神和范围的情况下仍然可以作出各种修改。因此,本发明不意图被限制为该优选的和典型的实施例的详细描述。
Claims (37)
1、一种用于鉴权消息的系统,包括:
防火墙;
数字代码生成器,用于生成数字代码,并且将所述数字代码包含在发送给由防火墙保护的设备的接收消息中;和
所述防火墙内的安全子系统,基于所述数字代码是否在所述消息中以及是否被鉴权而过滤所接收的消息。
2、根据权利要求1的系统,其中所述数字代码生成器被包含在所述防火墙内的安全子系统中。
3、根据权利要求1的系统,其中所述数字代码生成器与所述防火墙是相分离的。
4、根据权利要求1的系统,其中所述数字代码是字母数字指示器,用于向包含所述数字代码的消息授予信任的标识。
5、根据权利要求1的系统,其中所述数字代码被用于在由所述防火墙保护的电子设备A和处于所述防火墙保护之外的电子设备B之间的整个通信会话期间。
6、根据权利要求5的系统,其中所述设备A发起与所述设备B的通信。
7、根据权利要求5的系统,其中所述设备B发起与所述设备A的通信。
8、根据权利要求5的系统,其中所述数字代码是在所述设备A与所述设备B之间的通信发起之后生成的。
9、根据权利要求5的系统,其中所述设备B向第三方电子设备R提供所述数字代码,以允许所述设备R使用所述数字代码发送一个或多个消息通过所述安全子系统,从而直接与所述设备A通信。
10、一种用于鉴权消息的方法,包括:
生成数字代码;
将所述数字代码包含在发送给由防火墙保护的设备的接收消息中;
鉴权所述接收消息中的数字代码;
基于所接收消息中的数字代码是否被鉴权而过滤所述接收的消息。
11、根据权利要求10的方法,其中所述生成步骤由包含在所述防火墙内的安全子系统的数字代码生成器执行。
12、根据权利要求10的方法,其中所述生成步骤由与所述防火墙相分离的数字代码生成器执行。
13、根据权利要求10的方法,其中所述数字代码是字母数字指示器,用于向包含所述数字代码的消息授予信任的标识。
14、根据权利要求10的方法,包括在由所述防火墙保护的电子设备A和处于所述防火墙保护之外的电子设备B之间的整个通信会话期间使用所述数字代码。
15、根据权利要求14的方法,其中所述设备A发起与所述设备B的通信。
16、根据权利要求14的方法,其中所述设备B发起与所述设备A的通信。
17、根据权利要求14的方法,其中所述数字代码是在所述设备A与所述设备B之间的通信发起之后生成的。
18、根据权利要求14的方法,其中所述设备B向第三方电子设备R提供所述数字代码,以允许所述设备R使用所述数字代码发送一个或多个消息通过所述防火墙,从而直接与所述设备A通信。
19、一种用于鉴权消息的防火墙,包括
数字代码生成器,用于生成数字代码,并且将所述数字代码包含在发送给由所述防火墙保护的设备的接收消息中;以及
安全子系统,基于所述消息中的数字代码是否被鉴权而过滤所述接收消息。
20、根据权利要求19的防火墙,其中所述数字代码是字母数字指示器,用于向包含所述数字代码的消息授予信任的标识。
21、根据权利要求1的防火墙,其中所述数字代码被用于在由所述防火墙保护的电子设备A和处于所述防火墙保护之外的电子设备B之间的整个通信会话期间。
22、根据权利要求21的防火墙,其中所述设备A发起与所述设备B的通信。
23、根据权利要求21的防火墙,其中所述设备B发起与所述设备A的通信。
24、根据权利要求21的防火墙,其中所述数字代码是在所述设备A与所述设备B之间的通信发起之后生成的。
25、根据权利要求21的防火墙,其中所述设备B向第三方电子设备R提供所述数字代码,以允许所述设备R使用所述数字代码发送一个或多个消息通过所述安全子系统,从而直接与所述设备A通信。
26、一种网络设备,包括:
数字代码生成器,用于产生数字代码,并且将所述数字代码包含在发送给由安全子系统保护的设备的接收消息中;以及
安全子系统,基于所述消息中的数字代码是否被鉴权而对所接收的消息进行过滤。
27、一种由安全子系统保护的网络设备,包括:
网络连接,用于连接到具有数字代码生成器的安全子系统,所述数字代码生成器产生数字代码并且将所述数字代码包含在发送到所述设备的接收消息中;以及
其中所述安全子系统基于所述消息中的数字代码是否被鉴权而对所述接收消息进行过滤。
28、一组存储在一个或者多个计算机可读介质上的软件程序,所述软件程序可以在一个或者多个计算机上执行以支持用于鉴权消息的方法,所述软件程序组包括:
生成数字代码的软件程序;
用于将所述数字代码包含在发送给由防火墙保护的设备的接收消息中的软件程序;
用于鉴权所述接收消息中的数字代码的软件程序;和
基于所接收的消息中的数字代码是否被鉴权而过滤所接收的消息的软件程序。
29、一种其上存储有程序代码的计算机可读介质,所述程序代码当在计算机上执行时,使得所述计算机执行用于鉴权消息的方法,所述方法包括:
生成数字代码;
将所述数字代码包含在发送给由防火墙保护的设备的接收消息中;
鉴权所接收消息中的数字代码;
基于所述接收消息中的数字代码是否被鉴权而过滤所接收的消息。
30、根据权利要求29的计算机可读介质,其中所述程序代码使用防火墙内的安全子系统所包含的数字代码生成器来执行所述生成步骤。
31、根据权利要求29的计算机可读介质,其中所述程序代码使用与防火墙相分离的数字代码生成器来执行所述生成步骤。
32、根据权利要求29的计算机可读介质,其中所述数字代码是字母数字指示器,用于向包含所述数字代码的消息授予信任的标识。
33、根据权利要求29的计算机可读介质,其中所述程序代码进一步执行在由所述防火墙保护的电子设备A和处于所述防火墙保护之外的电子设备B之间的整个通信会话期间使用所述数字代码的步骤。
34、根据权利要求33的计算机可读介质,其中所述设备A发起与所述设备B的通信。
35、根据权利要求33的计算机可读介质,其中所述设备B发起与所述设备A的通信。
36、根据权利要求33的计算机可读介质,其中所述数字代码是在所述设备A与所述设备B之间的通信发起之后生成的。
37、根据权利要求33的计算机可读介质,其中所述设备B向第三方电子设备R提供所述数字代码,以允许所述设备R使用所述数字代码发送一个或多个消息通过安全子系统从而直接与所述设备A进行通信。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/003,687 | 2004-12-03 | ||
| US11/003,687 US7694334B2 (en) | 2004-12-03 | 2004-12-03 | Apparatus and method for traversing gateway device using a plurality of batons |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1809061A true CN1809061A (zh) | 2006-07-26 |
| CN100589485C CN100589485C (zh) | 2010-02-10 |
Family
ID=36575912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510119161A Expired - Fee Related CN100589485C (zh) | 2004-12-03 | 2005-12-02 | 使用多个警示器以穿过网关设备的设备和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7694334B2 (zh) |
| EP (1) | EP1836559B1 (zh) |
| JP (2) | JP2006216014A (zh) |
| CN (1) | CN100589485C (zh) |
| WO (1) | WO2006083369A2 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080178278A1 (en) * | 2007-01-22 | 2008-07-24 | Doron Grinstein | Providing A Generic Gateway For Accessing Protected Resources |
| US8635454B2 (en) * | 2009-07-27 | 2014-01-21 | Vonage Network Llc | Authentication systems and methods using a packet telephony device |
| US8953798B2 (en) * | 2010-10-29 | 2015-02-10 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol |
| US9124552B2 (en) * | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3688830B2 (ja) * | 1995-11-30 | 2005-08-31 | 株式会社東芝 | パケット転送方法及びパケット処理装置 |
| US6202081B1 (en) * | 1998-07-21 | 2001-03-13 | 3Com Corporation | Method and protocol for synchronized transfer-window based firewall traversal |
| US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
| US6324648B1 (en) * | 1999-12-14 | 2001-11-27 | Gte Service Corporation | Secure gateway having user identification and password authentication |
| US7240202B1 (en) * | 2000-03-16 | 2007-07-03 | Novell, Inc. | Security context sharing |
| JP2002163235A (ja) * | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法 |
| JP2002271309A (ja) | 2001-03-07 | 2002-09-20 | Sharp Corp | 鍵情報管理方法及び機器管理装置 |
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| SE524234C2 (sv) * | 2001-11-20 | 2004-07-13 | Columbitech Ab | Datanätbaserat system samt en metod för kommunikation där ett antal en första kategori tillhöriga enheter ska kunna kommunicera med ett antal en andra kategori tillhöriga enheter via ett datakommunikationsnät |
| US7571314B2 (en) * | 2001-12-13 | 2009-08-04 | Intel Corporation | Method of assembling authorization certificate chains |
| US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US6971017B2 (en) * | 2002-04-16 | 2005-11-29 | Xerox Corporation | Ad hoc secure access to documents and services |
| US7836493B2 (en) * | 2003-04-24 | 2010-11-16 | Attachmate Corporation | Proxy server security token authorization |
| US7487537B2 (en) * | 2003-10-14 | 2009-02-03 | International Business Machines Corporation | Method and apparatus for pervasive authentication domains |
-
2004
- 2004-12-03 US US11/003,687 patent/US7694334B2/en not_active Expired - Fee Related
-
2005
- 2005-11-22 WO PCT/US2005/042701 patent/WO2006083369A2/en active Application Filing
- 2005-11-22 EP EP05857019.3A patent/EP1836559B1/en not_active Not-in-force
- 2005-12-02 CN CN200510119161A patent/CN100589485C/zh not_active Expired - Fee Related
- 2005-12-05 JP JP2005351142A patent/JP2006216014A/ja not_active Withdrawn
-
2010
- 2010-09-27 JP JP2010216052A patent/JP2011054182A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| CN100589485C (zh) | 2010-02-10 |
| JP2006216014A (ja) | 2006-08-17 |
| EP1836559A4 (en) | 2010-08-11 |
| EP1836559B1 (en) | 2017-11-15 |
| US7694334B2 (en) | 2010-04-06 |
| US20060123475A1 (en) | 2006-06-08 |
| WO2006083369A3 (en) | 2006-12-21 |
| WO2006083369A2 (en) | 2006-08-10 |
| EP1836559A2 (en) | 2007-09-26 |
| JP2011054182A (ja) | 2011-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
| CN103975552B (zh) | 经由经认证的路由器的数据交换 | |
| EP1779589B1 (en) | Arrangement for tracking ip address usage based on authenticated link identifier | |
| US8806572B2 (en) | Authentication via monitoring | |
| US7472414B2 (en) | Method of processing data traffic at a firewall | |
| EP1547337B1 (en) | Watermarking at the packet level | |
| US7320143B2 (en) | Method of gaining secure access to intranet resources | |
| US8862871B2 (en) | Network with protocol, privacy preserving source attribution and admission control and method | |
| US20080187137A1 (en) | Method and Apparatus for Ensuring Privacy in Communications Between Parties | |
| Parthasarathy | Protocol for carrying authentication and network access (PANA) threat analysis and security requirements | |
| WO2011110096A1 (zh) | 通过路由器或交换机实现可信网络连接的方法和装置 | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| CN1314221C (zh) | 一种安全代理方法 | |
| US20100242112A1 (en) | System and method for protecting network resources from denial of service attacks | |
| CN115118489A (zh) | 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 | |
| CN100589485C (zh) | 使用多个警示器以穿过网关设备的设备和方法 | |
| JP2018074395A (ja) | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 | |
| US8095961B1 (en) | Systems and methods for quarantining a node from other nodes in a network | |
| WO2022017582A1 (en) | Method and system for securing data communication in a computing environment | |
| Smyslov et al. | The NULL authentication Method in the internet key exchange protocol version 2 (IKEv2) | |
| KR100706757B1 (ko) | 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법 | |
| KR102326977B1 (ko) | 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이 | |
| Wallis et al. | Secure Zero Configuration of IoT Devices-A Survey | |
| CN114726513A (zh) | 数据传输方法、设备、介质及产品 | |
| CN118075021A (zh) | 一种加密通信建立方法及系统和加密通信方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160125 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100210 Termination date: 20181202 |