專利名稱:一種通信架構(gòu)、分組交換機(jī)��、網(wǎng)絡(luò)節(jié)點(diǎn)和數(shù)據(jù)包傳送方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信架構(gòu)�,更具體地說(shuō),涉及數(shù)據(jù)包交換通信網(wǎng)絡(luò)中的路由和交換節(jié)點(diǎn)操作����。
背景技術(shù):
用于傳送安全的語(yǔ)音、視頻�、數(shù)據(jù)包的互聯(lián)網(wǎng)已得到廣泛的應(yīng)用,在互聯(lián)網(wǎng)通信過(guò)程中可使用多種類型的加密方法來(lái)確保信息的安全�����。互聯(lián)網(wǎng)架構(gòu)通常包括網(wǎng)絡(luò)節(jié)點(diǎn)如路由器��、交換機(jī)��、分組交換機(jī)�、接入點(diǎn)和互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)(ISPN)、互聯(lián)網(wǎng)通信路徑和終端設(shè)備��。終端設(shè)備包括例如個(gè)人或筆記本計(jì)算機(jī)��、服務(wù)器�、機(jī)頂盒����、手持?jǐn)?shù)據(jù)/通信設(shè)備和其他客戶端設(shè)備。位于遠(yuǎn)端所有的上述終端設(shè)備使用加密方法來(lái)交換保密的音頻����、視頻和數(shù)據(jù)包。
現(xiàn)有終端設(shè)備經(jīng)常需要承擔(dān)限制破壞性的�、未經(jīng)授權(quán)的、不想要的和不適當(dāng)?shù)膬?nèi)容顯示或執(zhí)行的責(zé)任�����。然而,通常情況下�����,上述各種終端設(shè)備是不具備這種功能的���。例如�,即便啟動(dòng)了惡意軟件防護(hù)軟件�����,終端設(shè)備也時(shí)常受到感染�����。即便安裝了攔截軟件�����,色情內(nèi)容仍然會(huì)顯示給兒童����。用于攔截這種內(nèi)容的其他類型過(guò)濾器也無(wú)法攔截不想要的內(nèi)容。盡管網(wǎng)絡(luò)節(jié)點(diǎn)可對(duì)互聯(lián)網(wǎng)架構(gòu)中的破壞性�����、未經(jīng)授權(quán)、不想要和不適當(dāng)內(nèi)容進(jìn)行分析和處理�����,但對(duì)使用加密算法加密過(guò)的數(shù)據(jù)包���,網(wǎng)絡(luò)節(jié)點(diǎn)也無(wú)法分析和處理�����。
比較本發(fā)明后續(xù)將要結(jié)合附圖介紹的系統(tǒng)����,現(xiàn)有技術(shù)的其它局限性和弊端對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)是顯而易見的�。
發(fā)明內(nèi)容
本發(fā)明提供了一種設(shè)備及其操作方法��,下面的
具體實(shí)施方式
和權(quán)利要求中對(duì)其進(jìn)行了詳細(xì)的描述����。
根據(jù)本發(fā)明的一個(gè)方面,提供一種互聯(lián)網(wǎng)架構(gòu)����,其中的網(wǎng)絡(luò)節(jié)點(diǎn)和終端設(shè)備包含加密�����、解密管和加密/解密管理器��,這樣一來(lái)����,在收到指示后�����,便可對(duì)加密過(guò)的數(shù)據(jù)包進(jìn)行分析��,并應(yīng)用適當(dāng)?shù)姆?wù)模塊��。這種網(wǎng)絡(luò)節(jié)點(diǎn)可以是接入點(diǎn)�、路由器或交換機(jī)。
根據(jù)本發(fā)明的一個(gè)方面���,提供一種互聯(lián)網(wǎng)架構(gòu)中的網(wǎng)絡(luò)節(jié)點(diǎn)����,從源終端設(shè)備接收發(fā)往目的端終端設(shè)備的加密文件中的多個(gè)數(shù)據(jù)包。該網(wǎng)絡(luò)節(jié)點(diǎn)包括解密管電路��、加密管電路����、通信連接到加密管電路和解密管電路的處理電路、通信連接到處理電路的存儲(chǔ)器�����,該存儲(chǔ)器包括加密/解密管理器�、代理流管理器(proxy flow manager)和緩存。代理流管理器存儲(chǔ)加密文件中的每個(gè)數(shù)據(jù)包��,直到收到最后一個(gè)數(shù)據(jù)包��。加密/解密管理器使用加密管電路解密該加密文件����,生成解密文件���。處理電路應(yīng)用服務(wù)功能來(lái)處理解密文件����,生成處理后文件。最后�,加密/解密管理器使用加密管電路對(duì)處理后的文件進(jìn)行加密,生成第二加密文件�����。
根據(jù)本發(fā)明�����,提供一種參與到互聯(lián)網(wǎng)架構(gòu)通信路徑中的分組交換機(jī)(packet switching exchange)�����,該通信路徑可支持從源終端設(shè)備向目的終端設(shè)備傳送加密數(shù)據(jù)包��。該分組交換機(jī)包括多個(gè)交換機(jī)和網(wǎng)絡(luò)接口�����、解密管電路����、加密管電路、通信連接到加密管電路和解密管電路的處理電路和設(shè)置在存儲(chǔ)器中的加密/解密管理器。加密/解密管理器使用解密管電路解密加密的數(shù)據(jù)包�,生成解密數(shù)據(jù)包。隨后�����,處理電路處理解密的數(shù)據(jù)包���,有選擇的將其從通信路徑中提取出來(lái)�����,應(yīng)用服務(wù)功能����,生成處理后的數(shù)據(jù)包�����。最后��,加密/解密管理器使用加密管電路加密處理后的數(shù)據(jù)包�����,生成第二加密數(shù)據(jù)包�����。
根據(jù)本發(fā)明的一個(gè)方面���,提供一種互聯(lián)網(wǎng)架構(gòu)中參與通信路徑的分組交換機(jī)�,其中所述通信路徑支持從源終端設(shè)備到目的終端設(shè)備的第一加密數(shù)據(jù)包的傳送�����,所述分組交換機(jī)包括包含解密管和加密管的處理電路����;通信連接到所述處理電路的多個(gè)網(wǎng)絡(luò)接口;第一組多個(gè)網(wǎng)絡(luò)接口�����,在從所述源終端設(shè)備收到所述第一加密數(shù)據(jù)包后�,將其發(fā)往所述處理電路;
所述處理電路使用所述解密管解密所述第一加密數(shù)據(jù)包�����,生成第一解密數(shù)據(jù)包;所述處理電路將所述第一解密數(shù)據(jù)包與至少一個(gè)觸發(fā)器模板進(jìn)行比較��;所述處理電路使用所述加密管加密所述第一解密數(shù)據(jù)包����,生成第二加密數(shù)據(jù)包;所述處理電路通過(guò)第二組多個(gè)網(wǎng)絡(luò)接口將所述第二加密數(shù)據(jù)包發(fā)往所述目的終端����。
本發(fā)明所述的分組交換機(jī)包括路由器。
本發(fā)明所述的分組交換機(jī)包括接入點(diǎn)����。
在本發(fā)明所述的分組交換機(jī)中,所述解密管使用第一密鑰�。
在本發(fā)明所述的分組交換機(jī)中,所述加密管使用第二密鑰�。
在本發(fā)明所述的分組交換機(jī)中,所述第一密鑰是與所述解密管相關(guān)聯(lián)的私有密鑰�����。
在本發(fā)明所述的分組交換機(jī)中����,所述第二密鑰是與所述目的終端設(shè)備相關(guān)聯(lián)的公共密鑰�。
在本發(fā)明所述的分組交換機(jī)中����,所述第二加密數(shù)據(jù)包包含有已處理標(biāo)簽�。
根據(jù)本發(fā)明的一個(gè)方面,提供一種通信架構(gòu)����,包括中間網(wǎng)絡(luò)節(jié)點(diǎn);通信連接到所述中間網(wǎng)絡(luò)節(jié)點(diǎn)的目的端設(shè)備�;通信連接到所述中間網(wǎng)絡(luò)節(jié)點(diǎn)的源端設(shè)備,所述源端設(shè)備使用第一公共密鑰生成包含第一加密載荷的第一數(shù)據(jù)包�,且所述第一數(shù)據(jù)包包含有所述目的端設(shè)備的網(wǎng)絡(luò)地址;所述中間網(wǎng)絡(luò)節(jié)點(diǎn)接收所述第一數(shù)據(jù)包�����,使用第一私有密鑰從所述第一加密載荷生成第一解密載荷�����;所述中間網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)所述第一解密載荷執(zhí)行處理功能�;所述中間網(wǎng)絡(luò)節(jié)點(diǎn)使用第二公共密鑰生成包含有第二加密載荷的第二數(shù)據(jù)包;
所述目的端設(shè)備接收所述第二數(shù)據(jù)包��,使用第二私有密鑰從所述第二加密載荷生成第二解密載荷。
在本發(fā)明所述的通信架構(gòu)中����,所述目的端設(shè)備將所述第一公共密鑰發(fā)送給所述源端設(shè)備。
在本發(fā)明所述的通信架構(gòu)中�����,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)將所述第一公共密鑰發(fā)送給所述源端設(shè)備�����。
在本發(fā)明所述的通信架構(gòu)中���,所述源端設(shè)備將所述第一數(shù)據(jù)包發(fā)往所述中間網(wǎng)絡(luò)節(jié)點(diǎn)��。
根據(jù)本發(fā)明的一個(gè)方面�,提供一種互聯(lián)網(wǎng)架構(gòu)中的網(wǎng)絡(luò)節(jié)點(diǎn)���,接收從源終端設(shè)備發(fā)往目的終端設(shè)備的代表第一加密文件的至少一部分的第一組多個(gè)數(shù)據(jù)包���,所述網(wǎng)絡(luò)節(jié)點(diǎn)包括接收所述多個(gè)數(shù)據(jù)包的接口電路;存儲(chǔ)器����;通信連接到所述接口電路的處理電路�,用于將通過(guò)所述接口電路收到的所述第一組多個(gè)數(shù)據(jù)包發(fā)往所述存儲(chǔ)器��;所述處理電路從所述第一組多個(gè)數(shù)據(jù)包重建所述第一加密文件的所述至少一部分�,并解密所述第一加密文件的所述至少一部分,生成解密序列����;所述處理電路應(yīng)用服務(wù)功能來(lái)處理所述解密序列���;所述處理電路加密所述解密序列����,生成加密序列��;所述處理電路從所述加密序列構(gòu)建第二組多個(gè)數(shù)據(jù)包��,并將所述第二組多個(gè)數(shù)據(jù)包發(fā)往所述目的終端設(shè)備�����。
本發(fā)明所述的網(wǎng)絡(luò)節(jié)點(diǎn)包括路由器�。
本發(fā)明所述的網(wǎng)絡(luò)節(jié)點(diǎn)包括接入點(diǎn)����。
在本發(fā)明所述的網(wǎng)絡(luò)節(jié)點(diǎn)中���,所述處理電路使用私有密鑰進(jìn)行所述解密�,使用公共密鑰進(jìn)行所述加密�。
根據(jù)本發(fā)明的一個(gè)方面,提供一種由分組交換通信路徑上的分組交換機(jī)執(zhí)行的方法���,所述方法包括從源終端設(shè)備接收帶有第一加密載荷的第一數(shù)據(jù)包���;使用私有密鑰對(duì)所述第一加密載荷執(zhí)行解密處理,生成第一解密載荷���;分析所述第一解密載荷�����;使用公共密鑰對(duì)所述第一解密載荷執(zhí)行加密處理�,生成第二加密載荷�����;使用第二加密載荷構(gòu)建第二數(shù)據(jù)包;將所述第二數(shù)據(jù)包發(fā)往目的終端設(shè)備��。
在本發(fā)明所述的方法中���,所述公共密鑰與所述目的終端設(shè)備相關(guān)聯(lián)�。
在本發(fā)明所述的方法中���,所述第一加密載荷由所述源終端設(shè)備使用另一公共密鑰生成���,所述另一公共密鑰與所述分組交換機(jī)相關(guān)聯(lián)����。
借助下文中的具體實(shí)施方式
并參考相應(yīng)附圖,本發(fā)明的特點(diǎn)和優(yōu)勢(shì)將變得更加清晰���。
圖1A是本發(fā)明通信架構(gòu)的結(jié)構(gòu)示意圖�,其中的中間網(wǎng)絡(luò)節(jié)點(diǎn)接收源終端設(shè)備和目的終端設(shè)備之間交換的數(shù)據(jù)包����。
圖1B是本發(fā)明通信架構(gòu)的結(jié)構(gòu)示意圖,其中的中間網(wǎng)絡(luò)節(jié)點(diǎn)接收源終端設(shè)備和目的終端設(shè)備之間交換的數(shù)據(jù)包�,并參與加密過(guò)程�,以支持對(duì)加密數(shù)據(jù)包載荷的內(nèi)容進(jìn)行分析�����;圖2是依據(jù)本發(fā)明圖1A中實(shí)施例構(gòu)建的網(wǎng)絡(luò)節(jié)點(diǎn)(交換機(jī)/路由器/ISPN/AP)的結(jié)構(gòu)示意圖����;圖3是依據(jù)本發(fā)明圖1A中實(shí)施例構(gòu)建的分組交換機(jī)的結(jié)構(gòu)示意圖;圖4是依據(jù)本發(fā)明圖1A中實(shí)施例構(gòu)建的終端設(shè)備(服務(wù)器和/或客戶端)的結(jié)構(gòu)示意圖�;圖5是依據(jù)本發(fā)明圖1A中實(shí)施例構(gòu)建的接入點(diǎn)的結(jié)構(gòu)示意圖;圖6A是本發(fā)明一實(shí)施例的結(jié)構(gòu)示意圖����,其中將加密文件分段打包后經(jīng)互聯(lián)網(wǎng)骨干網(wǎng)發(fā)送,而網(wǎng)絡(luò)節(jié)點(diǎn)支持對(duì)加密文件進(jìn)行數(shù)據(jù)包分析�;圖6B是依據(jù)本發(fā)明圖6A中實(shí)施例構(gòu)建的源/目的終端設(shè)備(服務(wù)器和/或客戶端)的結(jié)構(gòu)示意圖;圖7是本發(fā)明另一實(shí)施例的結(jié)構(gòu)示意圖��,其中在網(wǎng)絡(luò)節(jié)點(diǎn)中內(nèi)置有代理服務(wù)器���,用于支持對(duì)加密文件進(jìn)行數(shù)據(jù)包分析�����;圖8是依據(jù)本發(fā)明圖6A和圖7中實(shí)施例構(gòu)建的網(wǎng)絡(luò)節(jié)點(diǎn)(交換機(jī)/路由器/ISPN/AP)的結(jié)構(gòu)示意圖��;圖9是圖1B�、2、3�����、4和5中網(wǎng)絡(luò)節(jié)點(diǎn)的功能的一般流程的流程圖���;圖10是圖1B�����、2��、3、4和5中網(wǎng)絡(luò)節(jié)點(diǎn)的功能的詳細(xì)流程的流程圖�����;圖11是圖8中網(wǎng)絡(luò)節(jié)點(diǎn)的功能的一般流程的流程圖����。
具體實(shí)施例方式
圖1A和圖1B是本發(fā)明通信架構(gòu)的結(jié)構(gòu)示意圖,其中所示的中間網(wǎng)絡(luò)節(jié)點(diǎn)接收源終端設(shè)備和目的終端設(shè)備之間交換的數(shù)據(jù)包,并參與加密過(guò)程�,以支持對(duì)加密數(shù)據(jù)包載荷的數(shù)據(jù)包內(nèi)容分析。具體來(lái)說(shuō)���,在圖1A中展示的通信架構(gòu)181中���,網(wǎng)絡(luò)191中的中間節(jié)點(diǎn)197將從源終端設(shè)備即服務(wù)器195收到的加密數(shù)據(jù)包路由給目的終端設(shè)備即個(gè)人計(jì)算機(jī)193。除進(jìn)行路由外���,中間節(jié)點(diǎn)197解密上述數(shù)據(jù)包�����,執(zhí)行載荷內(nèi)容分析�,并根據(jù)分析結(jié)果和相關(guān)的邏輯激活本地或遠(yuǎn)端服務(wù)�。正如在許多附圖中展示的那樣,本文還介紹了可執(zhí)行這些功能的本發(fā)明的許多實(shí)施例����。
例如,在圖1B所示的實(shí)施例中���,源終端設(shè)備141通過(guò)中間網(wǎng)絡(luò)節(jié)點(diǎn)107向目的終端設(shè)備161發(fā)送加密文件或加密數(shù)據(jù)包�����。源終端設(shè)備141和目的終端設(shè)備161可以是服務(wù)器��、個(gè)人計(jì)算機(jī)����、筆記本計(jì)算機(jī)、手持計(jì)算機(jī)��、電話機(jī)����,或出于安全性目的而收發(fā)加密數(shù)據(jù)包或文件的任意其他用戶設(shè)備。此外��,圖中將網(wǎng)絡(luò)節(jié)點(diǎn)107描述為互聯(lián)網(wǎng)骨干網(wǎng)中參與服務(wù)模塊分析和加密文件或數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程的節(jié)點(diǎn)中的一個(gè)��。網(wǎng)絡(luò)節(jié)點(diǎn)107可以是分組交換機(jī)(PSE)���、路由器/交換機(jī)、接入點(diǎn)(AP)或互聯(lián)網(wǎng)服務(wù)提供商設(shè)備�����。
中間網(wǎng)絡(luò)節(jié)點(diǎn)107包括處理電路109、通信連接到處理電路109的加密管111和解密管113�����。加密管111和解密管113可以使用硬件來(lái)實(shí)現(xiàn)�����,以便加快對(duì)收到的數(shù)據(jù)包的加密和解密����。此外,網(wǎng)絡(luò)節(jié)點(diǎn)107還包括本地存儲(chǔ)器123和多個(gè)網(wǎng)絡(luò)接口125����。本地存儲(chǔ)器123還包括加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器115,用于對(duì)收到的數(shù)據(jù)包進(jìn)行加密和解密�。路由規(guī)則121用于協(xié)助將數(shù)據(jù)包發(fā)往目的終端設(shè)備。此外�����,如果需要��,加密和解密管理器115還可生成公共密鑰和私有密鑰對(duì)�,如公共密鑰1 117和私有密鑰1 119�。
源終端設(shè)備141包括處理電路143�����、使用硬件實(shí)現(xiàn)的加密管145和解密管147����。或者����,加密管和解密管還可使用軟件(未示出)來(lái)實(shí)現(xiàn)。位于源終端設(shè)備中的本地存儲(chǔ)器157還包括加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器149�。加密和解密管理器149在加密過(guò)程中生成公共密鑰和私有密鑰對(duì),如公共密鑰2 151和私有密鑰2 153�。此外,源終端設(shè)備還具有網(wǎng)絡(luò)接口155�,用于與外部設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)和目的終端設(shè)備161通信�。
同理,目的終端設(shè)備161包括處理電路163��、通信連接到該處理電路的使用硬件來(lái)實(shí)現(xiàn)的加密管165和解密管167����。或者���,加密管和解密管還可使用軟件(未示出)來(lái)實(shí)現(xiàn)���。目的終端設(shè)備還包括本地存儲(chǔ)器177,其進(jìn)一步包括加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器169��。加密和解密管理器169在解密過(guò)程中生成公共密鑰和私有密鑰對(duì)�����,如公共密鑰3 171和私有密鑰3 173����,并在請(qǐng)求下載加密數(shù)據(jù)包或文件時(shí),將公共密鑰3 171發(fā)往目的終端設(shè)備���。
雖然如此�,但公共和私有密鑰對(duì)的生成過(guò)程以及公共密鑰的交換過(guò)程還可同時(shí)在兩端(也就是在源終端設(shè)備和目的終端設(shè)備之間)進(jìn)行��,在下文中���,我們將看到由目的終端設(shè)備生成密鑰對(duì)���,并發(fā)送公共密鑰�。下文將分別結(jié)合圖2�����、3����、4和5來(lái)詳細(xì)描述本發(fā)明的路由器、分組交換機(jī)(PSE)�、服務(wù)器/客戶端、接入點(diǎn)�。
例如,個(gè)人計(jì)算機(jī)193(即目的終端設(shè)備161)可請(qǐng)求以安全方式從服務(wù)器195(即源終端設(shè)備141)下載文件�。由于互聯(lián)網(wǎng)或企業(yè)內(nèi)部網(wǎng)通信都是不安全的,因此��,此次下載可使用加密套接字層(SSL)協(xié)議或公共密鑰加密技術(shù)來(lái)進(jìn)行�。公共密鑰加密技術(shù)使用兩個(gè)密鑰,公共密鑰是用來(lái)對(duì)將要下載的文件進(jìn)行加密的���,私有密鑰是用來(lái)對(duì)已下載文件進(jìn)行解密的��。公共密鑰既可從源終端設(shè)備141也可從目的終端設(shè)備161獲得�,但私有密鑰只有目的終端設(shè)備161才知道。SSL協(xié)議使用公共密鑰加密技術(shù)生成對(duì)稱密鑰����,然后使用該對(duì)稱密鑰來(lái)加密和解密���。雖然本文僅僅列舉了文件下載過(guò)程中用到的公共密鑰加密方式���,但本發(fā)明介紹的技術(shù)方案還可使用任意其他加密方法。
將要下載的文件中的這些加密數(shù)據(jù)包將經(jīng)由互聯(lián)網(wǎng)骨干網(wǎng)191進(jìn)行傳送��,其中將經(jīng)過(guò)中間網(wǎng)絡(luò)節(jié)點(diǎn)107���。在中間網(wǎng)絡(luò)節(jié)點(diǎn)107收到第一加密數(shù)據(jù)包后����,加密/解密管理器115識(shí)別出該數(shù)據(jù)包是經(jīng)過(guò)加密的���,若不對(duì)其進(jìn)行解密��,將無(wú)法進(jìn)行數(shù)據(jù)包分析�。因此,加密/解密管理器115向目的終端設(shè)備161請(qǐng)求私有密鑰3 171��。私有密鑰3 171將通過(guò)另一公共密鑰加密會(huì)話以安全方式接收�����,或者通過(guò)任意其他安全方式來(lái)接收��。也就是說(shuō)�����,通過(guò)使用公共密鑰加密技術(shù)���,加密/解密管理器115發(fā)送其數(shù)字證書和公共密鑰���,并與目的終端設(shè)備161建立一不同會(huì)話。因此��,加密/解密管理器115以安全方式接收私有密鑰�����,解密第一加密數(shù)據(jù)包�����。加密/解密管理器115使用解密管113來(lái)快速解密第一加密數(shù)據(jù)包。一旦解密完成����,加密/解密管理器將丟棄該私有密鑰?����;蛘?����,除了在將每個(gè)數(shù)據(jù)包解密完成之后將該私有密鑰丟棄之外���,加密/解密管理器115還可以安全的方式保存該私有密鑰,直到源終端設(shè)備和目的終端設(shè)備之間會(huì)話過(guò)程中的所有加密數(shù)據(jù)包都已解密完成后��,再丟棄該私有密鑰���。
一旦解密完成��,便將對(duì)數(shù)據(jù)包進(jìn)行分析�����,并應(yīng)用服務(wù)模塊���。在分析數(shù)據(jù)包的過(guò)程中����,服務(wù)模塊管理器(SMM�,未示出)將第一加密數(shù)據(jù)包的內(nèi)容與觸發(fā)器模板進(jìn)行比較,若出現(xiàn)完全匹配或者部分匹配���,則執(zhí)行與匹配結(jié)果相關(guān)聯(lián)的觸發(fā)器邏輯���。觸發(fā)器模板可包括包頭模板、載荷模板和補(bǔ)充模板��。隨后���,服務(wù)模塊管理器將應(yīng)用觸發(fā)器邏輯中指示的一個(gè)或多個(gè)服務(wù)模塊處理�����。為給定數(shù)據(jù)包所選擇的具體服務(wù)模塊處理與觸發(fā)器邏輯和模板中的指示有關(guān)���。若數(shù)據(jù)包中包含專門的請(qǐng)求��,還可在包含服務(wù)模塊管理器和服務(wù)模塊的任意設(shè)備上���,由服務(wù)模塊管理器對(duì)該數(shù)據(jù)包應(yīng)用服務(wù)模塊(SM)處理。若觸發(fā)器邏輯中指示的服務(wù)模塊在設(shè)備中不可用����,則可中止數(shù)據(jù)包的路由,并將第一加密數(shù)據(jù)包的副本發(fā)往包含所需的服務(wù)模塊的另一設(shè)備/節(jié)點(diǎn)�����,轉(zhuǎn)而使用外部的服務(wù)模塊���。因此,在分析和應(yīng)用服務(wù)模塊的整個(gè)過(guò)程中����,載荷內(nèi)容的安全性能夠得到保證。
加密/解密管理器115隨后使用加密管111來(lái)加密處理過(guò)的第一解密數(shù)據(jù)包����。為實(shí)現(xiàn)此操作�����,加密/解密管理器115與目的終端設(shè)備161建立另一安全會(huì)話來(lái)接收新的公共密鑰��。目的終端設(shè)備161為此次會(huì)話生成一個(gè)新的密鑰對(duì)��,然后將公共密鑰發(fā)往中間網(wǎng)絡(luò)節(jié)點(diǎn)107�?��;蛘?�,加密/解密管理器115可向源終端設(shè)備141請(qǐng)求對(duì)第一加密數(shù)據(jù)包進(jìn)行加密時(shí)所使用的公共密鑰����。在這種情況下��,加密/解密管理器115重新創(chuàng)建第一加密數(shù)據(jù)包��。一旦加密完成�,該數(shù)據(jù)包將轉(zhuǎn)發(fā)給交換機(jī)(未示出),以便將該數(shù)據(jù)包路由給目的終端設(shè)備161����。加密/解密管理器115還可在重新加密過(guò)的數(shù)據(jù)包中添加標(biāo)簽���,以使數(shù)據(jù)包在發(fā)往目的終端設(shè)備161的過(guò)程中不用經(jīng)歷延遲。通過(guò)添加標(biāo)簽��,參與該數(shù)據(jù)包傳輸?shù)钠渌?jié)點(diǎn)便可識(shí)別出該數(shù)據(jù)包已經(jīng)被處理過(guò)�����。
在另一實(shí)施例中�����,源終端設(shè)備141還可在將文件分割為多個(gè)數(shù)據(jù)包之前對(duì)將要下載的整個(gè)文件進(jìn)行加密�����。在這種情況下���,中間網(wǎng)絡(luò)節(jié)點(diǎn)107將無(wú)法對(duì)數(shù)據(jù)包進(jìn)行分析以及應(yīng)用服務(wù)模塊。根據(jù)本發(fā)明�,中間網(wǎng)絡(luò)節(jié)點(diǎn)107收集并緩存收到的經(jīng)加密文件數(shù)據(jù)包,直到最后一個(gè)數(shù)據(jù)包也已經(jīng)收到��,然后對(duì)整個(gè)文件進(jìn)行分析并應(yīng)用服務(wù)模塊��,然后重新加密、打包�,然后發(fā)往目的終端設(shè)備161。相關(guān)的實(shí)施例將結(jié)合圖6�����、7和8進(jìn)行描述�����。
同樣�����,盡管在圖1A和1B中所展示的本發(fā)明實(shí)施例中�����,分別將源終端設(shè)備和目的終端設(shè)備表示為服務(wù)器和個(gè)人計(jì)算機(jī)���,但這些終端設(shè)備并非僅限于服務(wù)器和個(gè)人計(jì)算機(jī)�����,還可以是其他類型的設(shè)備�����,包括但不限于兩臺(tái)服務(wù)器或兩臺(tái)客戶端設(shè)備�����。同理�����,終端設(shè)備之間數(shù)據(jù)流的方向還可與圖中所示方向相反�����,或者同時(shí)在兩個(gè)方向上進(jìn)行�。其他方案也是可行的。
圖2是依據(jù)本發(fā)明圖1A中實(shí)施例構(gòu)建的網(wǎng)絡(luò)節(jié)點(diǎn)(交換機(jī)/路由器/ISPN/AP)的結(jié)構(gòu)示意圖����。網(wǎng)絡(luò)節(jié)點(diǎn)電路207可以是能夠路由數(shù)據(jù)包的任意互聯(lián)網(wǎng)節(jié)點(diǎn)電路,而且該電路還可部分的或全部安裝在任意網(wǎng)絡(luò)設(shè)備如交換機(jī)��、路由器��、ISPN或接入點(diǎn)中����。網(wǎng)絡(luò)節(jié)點(diǎn)電路207通常包括處理電路209、本地存儲(chǔ)器211���、管理器接口217和網(wǎng)絡(luò)接口223����。這些組件通過(guò)系統(tǒng)總線�����、專用通信路徑或其他直接或間接通信路徑中的一個(gè)或多個(gè)彼此相連�。在不同實(shí)施例中,處理電路209可以是微處理器�����、數(shù)字信號(hào)處理器�����、狀態(tài)機(jī)�、專用集成電路、現(xiàn)場(chǎng)可編程門陣列或其他處理電路。處理電路209通信連接到加密管241和解密管243�。加密管241和解密管243可以使用硬件實(shí)現(xiàn),以加快加密和解密處理過(guò)程�。
本地存儲(chǔ)器211可以是隨機(jī)訪問存儲(chǔ)器、只讀存儲(chǔ)器��、閃存���、磁盤驅(qū)動(dòng)器��、光驅(qū)動(dòng)器���、或可用于存儲(chǔ)計(jì)算機(jī)指令和數(shù)據(jù)的其他類型存儲(chǔ)器。本地存儲(chǔ)器211包括加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器245和公共和私有密鑰對(duì)注冊(cè)表�����,例如公共密鑰1 247和私有密鑰1 249����。本地存儲(chǔ)器211還包括有路由規(guī)則257,用于管理數(shù)據(jù)包流的路由�����。
此外,網(wǎng)絡(luò)接口223還包括有線和無(wú)線數(shù)據(jù)包交換接口227����、有線和無(wú)線電路交換接口229�����,網(wǎng)絡(luò)接口223還可包含內(nèi)置或獨(dú)立的接口處理電路225�。網(wǎng)絡(luò)接口223使得網(wǎng)絡(luò)設(shè)備可與其他網(wǎng)絡(luò)設(shè)備通信,以及使得處理電路209可以收發(fā)加密數(shù)據(jù)包����、獲取密鑰來(lái)解密數(shù)據(jù)包,以便對(duì)其進(jìn)行分析�。此外,當(dāng)本地存儲(chǔ)器中的服務(wù)模塊不可用時(shí)�,網(wǎng)絡(luò)接口223還使得可以使用外部的這種服務(wù)模塊(SM)來(lái)進(jìn)行分析和處理,管理器接口217可包括顯示器和鍵盤接口�����。這些管理器接口使得網(wǎng)絡(luò)交換機(jī)的用戶可對(duì)本發(fā)明的特性����,如加密/解密管理器245的特征進(jìn)行控制����。
與圖中展示的內(nèi)容相比��,在其他實(shí)施例中����,本發(fā)明的網(wǎng)絡(luò)節(jié)點(diǎn)207還可包含更少或更多的組件,以及更少或更多的功能����。換句話說(shuō),圖中所示的網(wǎng)絡(luò)設(shè)備僅僅給出了本發(fā)明可能功能和結(jié)構(gòu)的一個(gè)實(shí)施例��。下文將結(jié)合圖3和5��,根據(jù)PSE和AP來(lái)描述本發(fā)明網(wǎng)絡(luò)節(jié)點(diǎn)的其他可能實(shí)施例�。
網(wǎng)絡(luò)設(shè)備207通過(guò)網(wǎng)絡(luò)285通信連接到外部網(wǎng)絡(luò)設(shè)備如設(shè)備271。外部網(wǎng)絡(luò)設(shè)備271也可包含有本發(fā)明介紹的組件����,如外部處理電路273、外部存儲(chǔ)器(未專門示出)��,而外部存儲(chǔ)器又包含外部加密/解密管理器279和公共和私有密鑰對(duì)注冊(cè)表例如公共密鑰4281和私有密鑰4283��。此外,外部處理電路273還可包括有本發(fā)明的硬件部件��,如加密管275和解密管277����。
圖3是依據(jù)本發(fā)明圖1A中實(shí)施例構(gòu)建的分組交換機(jī)的結(jié)構(gòu)示意圖����。分組交換機(jī)(PSE)電路307可以指圖1A中展示的互聯(lián)網(wǎng)骨干網(wǎng)191中的任意網(wǎng)絡(luò)節(jié)點(diǎn)。分組交換機(jī)電路307通常包括包含有通用主處理卡355的路由器375�����、交換機(jī)309和多個(gè)線路卡315和381���。此外��,分組交換機(jī)307還包含外部設(shè)備371����,如存儲(chǔ)單元或用戶接口(未示出)��。在不同情況下�����,線路卡315和381可以不同。
第一線路卡315包括網(wǎng)絡(luò)接口325���,用于連接有線和無(wú)線網(wǎng)絡(luò)如10Mbit�、1000Mbit以太網(wǎng)���、3Gbit DWDM(密集波分復(fù)用)光纖網(wǎng)絡(luò)�。第一線路卡315還包括有交換機(jī)接口345���,用于將其自身連接到互聯(lián)交換機(jī)309�。此外���,第一線路卡315還包括有輔助處理電路335���,用于在互聯(lián)交換機(jī)309路由數(shù)據(jù)包之前對(duì)這些數(shù)據(jù)包進(jìn)行預(yù)處理。輔助處理電路335包括轉(zhuǎn)發(fā)引擎337和路由緩存���。
通用主處理卡355進(jìn)一步包括核心主處理電路357����,其通信連接到加密管341和解密管343。加密管341和解密管343可以使用硬件來(lái)實(shí)現(xiàn)�����,以加快加密和解密處理過(guò)程�。通用主處理卡355還包含加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器347、公共和私有密鑰對(duì)注冊(cè)表���,例如公共密鑰1 353和私有密鑰1 351�。
當(dāng)想要通過(guò)網(wǎng)絡(luò)接口路由的數(shù)據(jù)包到達(dá)分組交換機(jī)后���,輔助處理電路335判斷該數(shù)據(jù)包是否進(jìn)行過(guò)加密。若是�����,且若需要對(duì)該數(shù)據(jù)包進(jìn)行分析��,則將加密的數(shù)據(jù)包發(fā)往通用主處理卡335�。隨后,加密/解密管理器347獲取私有密鑰來(lái)解密該數(shù)據(jù)包����,然后將該數(shù)據(jù)包發(fā)往對(duì)應(yīng)的通用主處理卡355中的組件進(jìn)行進(jìn)一步的分析和處理���。在分析和服務(wù)模塊應(yīng)用完成后,若指示需要進(jìn)一步路由�,則獲取公共密鑰將數(shù)據(jù)包再次加密、添加標(biāo)簽��,然后向目的終端設(shè)備路由��。
圖4是依據(jù)本發(fā)明圖1A中實(shí)施例構(gòu)建的終端設(shè)備(服務(wù)器和/或客戶端)的結(jié)構(gòu)示意圖�。服務(wù)器/客戶端電路407可以是發(fā)起和/或最終接收加密數(shù)據(jù)包的任意設(shè)備電路,且該電路可以部分的或全部集成在圖1A和圖1B中描述的終端設(shè)備中�����。服務(wù)器/客戶端電路407通常包括處理電路409����、本地存儲(chǔ)器411、用戶接口417和網(wǎng)絡(luò)接口423�����。這些組件通過(guò)系統(tǒng)總線��、專用通信路徑或其他直接或間接通信路徑中的一個(gè)或多個(gè)彼此相連。在不同實(shí)施例中����,處理電路409可以是微處理器、數(shù)字信號(hào)處理器���、狀態(tài)機(jī)��、專用集成電路�����、現(xiàn)場(chǎng)可編程門陣列或其他處理電路�。使用硬件實(shí)現(xiàn)的加密管441和解密管443通信連接到處理電路409���,當(dāng)用在服務(wù)器和客戶端如個(gè)人計(jì)算機(jī)中時(shí),這些組件也可以通過(guò)軟件來(lái)實(shí)現(xiàn)�����。
本地存儲(chǔ)器411可以是隨機(jī)訪問存儲(chǔ)器���、只讀存儲(chǔ)器�����、閃存�、磁盤驅(qū)動(dòng)器、光驅(qū)動(dòng)器����、或可用于存儲(chǔ)計(jì)算機(jī)指令和數(shù)據(jù)的其他類型存儲(chǔ)器。本地存儲(chǔ)器411包含有上文描述過(guò)的加密/解密管理器445����,在本實(shí)施例其僅以簡(jiǎn)化形式出現(xiàn)。此外���,本地存儲(chǔ)器411中還包括有密鑰注冊(cè)表����,或者在需要進(jìn)行加密處理時(shí)生成密鑰��,如公共密鑰1447和私有密鑰1449�����。
此外��,網(wǎng)絡(luò)接口423還包含有線和無(wú)線數(shù)據(jù)包交換接口427、有線和無(wú)線電路交換接口429����,網(wǎng)絡(luò)接口423還可包含有內(nèi)置或獨(dú)立的接口處理電路425。網(wǎng)絡(luò)接口423使得終端設(shè)備可以與其他終端設(shè)備通信���。用戶接口417可包括顯示器和鍵盤接口�����。
與圖中展示的內(nèi)容相比�����,在其他實(shí)施例中����,本發(fā)明的網(wǎng)絡(luò)設(shè)備407還可包含更少或更多的組件�����,以及更少或更多的功能��,而且可以適用于數(shù)據(jù)包交換功能����,而不是語(yǔ)音包交換。換句話說(shuō)��,圖中所示的終端設(shè)備僅僅給出了本發(fā)明可能功能和結(jié)構(gòu)的一個(gè)實(shí)施例�。
終端設(shè)備407通過(guò)網(wǎng)絡(luò)455通信連接到外部網(wǎng)絡(luò)設(shè)備,如設(shè)備471�。外部網(wǎng)絡(luò)設(shè)備471也可包含本發(fā)明介紹的組件,例如加密管475���、解密管477���、加密/解密管理器479和密鑰注冊(cè)表。密鑰注冊(cè)表可包括有公共和私有密鑰��,例如公共密鑰4 481和私有密鑰4 483�����。
在需要保障安全性的情況下�,服務(wù)器或客戶端設(shè)備之間的通信通常是通過(guò)收發(fā)加密數(shù)據(jù)包的方式來(lái)進(jìn)行的。這些數(shù)據(jù)包將使用位于終端設(shè)備上的密鑰進(jìn)行解密�。當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)如遠(yuǎn)端設(shè)備471請(qǐng)求公共或私有密鑰以便進(jìn)行數(shù)據(jù)包分析時(shí),加密/解密管理器445通過(guò)確認(rèn)設(shè)備471所發(fā)送的數(shù)字整數(shù)來(lái)驗(yàn)證遠(yuǎn)端設(shè)備471的身份�。在身份確認(rèn)之后�,加密/解密管理器445便使用安全會(huì)話來(lái)發(fā)送所請(qǐng)求的密鑰����。
圖5是依據(jù)本發(fā)明圖1A中實(shí)施例構(gòu)建的接入點(diǎn)575的結(jié)構(gòu)示意圖505。接入點(diǎn)電路575可以指圖1中描述的互聯(lián)網(wǎng)骨干網(wǎng)191中的任意節(jié)點(diǎn)�。AP電路575通常包括多個(gè)通信路徑電路515、581�、核心主處理電路555和交換機(jī)509。在一些實(shí)施例中�,通信路徑電路515-581可以不同。第一通信路徑電路515包括可用于連接有線和無(wú)線網(wǎng)絡(luò)的有線和/或無(wú)線網(wǎng)絡(luò)接口525����,可用于連接互聯(lián)交換機(jī)509的交換機(jī)接口545,以及輔助處理電路535��。在互聯(lián)交換機(jī)509路由數(shù)據(jù)包之前����,輔助處理電路535對(duì)數(shù)據(jù)包進(jìn)行預(yù)處理。
核心主處理電路555通信連接到加密管541和解密管543��,加密管541和解密管543可以使用硬件實(shí)現(xiàn)���,以便能夠快速加密和解密數(shù)據(jù)包�。此外�����,接入點(diǎn)電路575包括有加密/解密管理器545和密鑰注冊(cè)表如公共密鑰1547和私有密鑰1549�����。接入點(diǎn)電路575的工作方式類似于圖3中描述的分組交換機(jī)307��,只是包含了簡(jiǎn)化的組件����。
圖6A是本發(fā)明一實(shí)施例的結(jié)構(gòu)示意圖605,其中將加密文件分割打包后經(jīng)互聯(lián)網(wǎng)骨干網(wǎng)發(fā)送�,而網(wǎng)絡(luò)節(jié)點(diǎn)支持對(duì)加密文件進(jìn)行數(shù)據(jù)包分析?���;ヂ?lián)網(wǎng)骨干網(wǎng)619可包含多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)如節(jié)點(diǎn)625到636,所有這些節(jié)點(diǎn)彼此之間通信連接���。此外�,源終端設(shè)備(服務(wù)器)617和目的終端設(shè)備(個(gè)人計(jì)算機(jī))607之間通過(guò)接入點(diǎn)(AP)615���、互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)(ISPN)613和網(wǎng)絡(luò)節(jié)點(diǎn)627�、626和625、互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)(ISPN)609和接入點(diǎn)611(也就是圖中由虛線表示的路徑641)進(jìn)行通信���。
源終端設(shè)備617可在將將要下載的文件分割為數(shù)據(jù)包之前對(duì)整個(gè)文件進(jìn)行加密�。在這種情況下��,網(wǎng)絡(luò)節(jié)點(diǎn)627�、626或625將無(wú)法對(duì)數(shù)據(jù)包進(jìn)行分析,以及對(duì)其應(yīng)用服務(wù)模塊����。根據(jù)本發(fā)明,網(wǎng)絡(luò)節(jié)點(diǎn)627��、626或625其中的一個(gè)節(jié)點(diǎn)(可能是路徑641上的第一節(jié)點(diǎn)627)將收集并緩存收到的經(jīng)過(guò)加密并分割為數(shù)據(jù)包的文件��,直到收到最后一個(gè)數(shù)據(jù)包���。隨后�����,網(wǎng)絡(luò)節(jié)點(diǎn)627對(duì)整個(gè)文件進(jìn)行分析�����,并對(duì)其應(yīng)用服務(wù)模塊���,然后重新加密、分割打包���,然后發(fā)往目的終端設(shè)備607����。如圖所示���,發(fā)起自源終端設(shè)備617的�、經(jīng)過(guò)加密的將要下載的文件的所有數(shù)據(jù)包經(jīng)路徑641進(jìn)行傳送����,由源終端設(shè)備控制這條通信路徑。
圖6B是依據(jù)本發(fā)明圖6A中實(shí)施例構(gòu)建的源/目的終端設(shè)備661(服務(wù)器和/或客戶端)的結(jié)構(gòu)示意圖651���。在圖6A中所描述的本發(fā)明實(shí)施例中��,由源終端設(shè)備617或目的終端設(shè)備607對(duì)傳輸路徑進(jìn)行控制���,使得加密文件的所有數(shù)據(jù)包經(jīng)同一通信路徑傳輸��。源/目的終端設(shè)備電路661通常包括處理電路653�����、本地存儲(chǔ)器677��、用戶接口(未示出)和網(wǎng)絡(luò)接口675����。這些組件通過(guò)系統(tǒng)總線�、專用通信路徑或其他直接或間接通信路徑中的一個(gè)或多個(gè)彼此相連。在不同實(shí)施例中���,處理電路653可以是微處理器���、數(shù)字信號(hào)處理器、狀態(tài)機(jī)�、專用集成電路、現(xiàn)場(chǎng)可編程門陣列或其他處理電路�。使用硬件實(shí)現(xiàn)的加密管441和解密管443通信連接到處理電路653,當(dāng)用在服務(wù)器和客戶端如個(gè)人計(jì)算機(jī)中時(shí),這些組件也可以通過(guò)軟件來(lái)實(shí)現(xiàn)��。網(wǎng)絡(luò)接口675可包含有線和無(wú)線數(shù)據(jù)包交換接口���、有線和無(wú)線電路交換接口���,該網(wǎng)絡(luò)接口也可包含內(nèi)置或獨(dú)立的接口處理電路�����。網(wǎng)絡(luò)接口675使得終端設(shè)備可以與其他終端設(shè)備通信��。
本地存儲(chǔ)器677可以是隨機(jī)訪問存儲(chǔ)器���、只讀存儲(chǔ)器��、閃存�����、磁盤驅(qū)動(dòng)器�、光驅(qū)動(dòng)器����、或可用于存儲(chǔ)計(jì)算機(jī)指令和數(shù)據(jù)的其他類型存儲(chǔ)器��。本地存儲(chǔ)器677包括上文描述過(guò)的加密/解密管理器669�����,在本實(shí)施例其僅以簡(jiǎn)化形式出現(xiàn)���。此外,本地存儲(chǔ)器677中還包括密鑰注冊(cè)表����,或者在需要進(jìn)行加密處理時(shí)生成密鑰,如公共密鑰3671和私有密鑰3673���。此外�,該存儲(chǔ)器中還包括路徑分析模塊655和路徑控制模塊657���,用于協(xié)助對(duì)圖6A中的通信路徑進(jìn)行控制�����。
圖7是本發(fā)明另一實(shí)施例的結(jié)構(gòu)示意圖705��,其中在網(wǎng)絡(luò)節(jié)點(diǎn)中內(nèi)置有代理服務(wù)器���,用于支持對(duì)加密文件進(jìn)行數(shù)據(jù)包分析���。互聯(lián)網(wǎng)骨干網(wǎng)719可包含多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)如節(jié)點(diǎn)725-736��,所有這些節(jié)點(diǎn)彼此之間通信連接���。此外�����,源終端設(shè)備(服務(wù)器)707和目的終端設(shè)備(個(gè)人計(jì)算機(jī))717可通過(guò)接入點(diǎn)(AP)711、互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)(ISPN)709和網(wǎng)絡(luò)節(jié)點(diǎn)725�����、726和727����、以及互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)(ISPN)713和接入點(diǎn)715進(jìn)行通信?����;蛘撸诒緦?shí)施例中�,源終端設(shè)備707和目的終端設(shè)備717可使用互聯(lián)網(wǎng)骨干網(wǎng)719中的任意其他節(jié)點(diǎn)進(jìn)行通信。
圖7所示的實(shí)施例是圖6A所描述實(shí)施例的替代方案�����,在本實(shí)施例中��,目的終端設(shè)備717要求在網(wǎng)絡(luò)節(jié)點(diǎn)即節(jié)點(diǎn)727中內(nèi)置代理服務(wù)器741��,以便從源終端設(shè)備707下載加密文件�。代理服務(wù)器741向源終端設(shè)備707發(fā)出請(qǐng)求,收集加密文件的所有數(shù)據(jù)包��,隨后進(jìn)行解密�、分析及處理該文件。當(dāng)所有這些處理過(guò)程完成后�����,節(jié)點(diǎn)727將數(shù)據(jù)包路由給目的終端設(shè)備717�����。
圖8是依據(jù)本發(fā)明圖6A和圖7中實(shí)施例構(gòu)建的網(wǎng)絡(luò)節(jié)點(diǎn)(交換機(jī)/路由器/ISPN/AP)的結(jié)構(gòu)示意圖805。網(wǎng)絡(luò)節(jié)點(diǎn)(交換機(jī)/路由器/ISPN/AP)電路807還包含圖2中所描述電路以外的其他電路���,使得其可以處理經(jīng)過(guò)其傳送的加密文件���。網(wǎng)絡(luò)節(jié)點(diǎn)電路807可以是路由數(shù)據(jù)包的任意互聯(lián)網(wǎng)節(jié)點(diǎn)電路,并且可以部分的或者全部集成在任意網(wǎng)絡(luò)設(shè)備如交換機(jī)�、路由器、ISPN或接入點(diǎn)中���。網(wǎng)絡(luò)節(jié)點(diǎn)電路807通常包括處理電路809����、本地存儲(chǔ)器811��、管理器接口817和網(wǎng)絡(luò)接口883��。這些組件通過(guò)系統(tǒng)總線��、專用通信路徑或其他直接或間接通信路徑中的一個(gè)或多個(gè)彼此相連���。在不同實(shí)施例中,處理電路809可以是微處理器�、數(shù)字信號(hào)處理器���、狀態(tài)機(jī)、專用集成電路���、現(xiàn)場(chǎng)可編程門陣列或其他處理電路�����。處理電路809通信連接到加密管841和解密管843����。加密管841和解密管843可以使用硬件來(lái)實(shí)現(xiàn)���,以加快加密和解密的速度���。
此外,網(wǎng)絡(luò)接口883包含有線和無(wú)線數(shù)據(jù)包交換接口887�����、有線和無(wú)線電路交換接口889�����,網(wǎng)絡(luò)接口883還包括內(nèi)置或獨(dú)立的接口處理電路885。網(wǎng)絡(luò)接口883使得網(wǎng)絡(luò)設(shè)備可與其他網(wǎng)絡(luò)設(shè)備通信�����,并使得處理電路809可收發(fā)加密數(shù)據(jù)包�����,以及獲取密鑰以對(duì)數(shù)據(jù)包進(jìn)行解密��,以便對(duì)數(shù)據(jù)包進(jìn)行分析��。此外�,當(dāng)本地存儲(chǔ)器中的服務(wù)模塊不可用時(shí),網(wǎng)絡(luò)接口883還使得可使用外部服務(wù)模塊來(lái)對(duì)數(shù)據(jù)包進(jìn)行分析和處理�。
本地存儲(chǔ)器811可以是隨機(jī)訪問存儲(chǔ)器、只讀存儲(chǔ)器����、閃存、磁盤驅(qū)動(dòng)器�、光驅(qū)動(dòng)器���、或可用于存儲(chǔ)計(jì)算機(jī)指令和數(shù)據(jù)的其他類型存儲(chǔ)器��。本地存儲(chǔ)器811包括加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器845和公共和私有密鑰對(duì)注冊(cè)表如公共密鑰1 847和私有密鑰1 849�����。本地存儲(chǔ)器211還包括有路由規(guī)則857�,用于管理數(shù)據(jù)包流的路由。存儲(chǔ)器中還包含有代理流管理器851和緩存853�����,用于處理到達(dá)節(jié)點(diǎn)的經(jīng)加密打包傳送的文件�����。在不同實(shí)施例中��,代理流管理器851還可用作代理服務(wù)器��,用于代表目的終端設(shè)備請(qǐng)求加密文件����。
管理器接口817可包含顯示器和鍵盤接口。這些管理器接口使得網(wǎng)絡(luò)交換機(jī)的用戶可對(duì)本發(fā)明的特行�,如加密/解密管理器845的特征進(jìn)行控制。
圖9是圖1B��、2、3���、4和5中網(wǎng)絡(luò)節(jié)點(diǎn)的功能的一般流程的流程圖905��。網(wǎng)絡(luò)節(jié)點(diǎn)的功能開始于步驟907��。在下一步驟909��,網(wǎng)絡(luò)節(jié)點(diǎn)從源終端設(shè)備接收加密數(shù)據(jù)包��。在下一步驟911�,網(wǎng)絡(luò)節(jié)點(diǎn)使用對(duì)應(yīng)的私有密鑰來(lái)解密這些數(shù)據(jù)包����。為實(shí)現(xiàn)此目的,網(wǎng)絡(luò)節(jié)點(diǎn)與目的終端設(shè)備建立另一安全會(huì)話�����,以此來(lái)獲取私有密鑰����。一旦解密完成,若有指示時(shí),由網(wǎng)絡(luò)節(jié)點(diǎn)執(zhí)行載荷分析���,并應(yīng)用服務(wù)模塊。
隨后��,在下一步驟921�����,網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)數(shù)據(jù)包再次加密�����。這一過(guò)程可采用兩種方式來(lái)完成�。第一種方式是與目的終端設(shè)備建立一個(gè)新的安全會(huì)話,然后再次加密數(shù)據(jù)包����。第二種方式是從源終端設(shè)備獲取公共密鑰,然后使用該公共密鑰來(lái)加密數(shù)據(jù)包��。此后���,本方法結(jié)束于結(jié)束步驟923���。
圖10是圖1B�����、2���、3、4和5中網(wǎng)絡(luò)節(jié)點(diǎn)的功能的詳細(xì)流程的流程圖1005��。本方法開始于開始步驟1007���。隨后���,在下一步驟1009,網(wǎng)絡(luò)節(jié)點(diǎn)從源終端設(shè)備接收加密數(shù)據(jù)包�。該源終端設(shè)備可以是服務(wù)器,其正嘗試以加密的方式向客戶端發(fā)送下載文件����。在下一步驟1011,網(wǎng)絡(luò)節(jié)點(diǎn)向客戶端(或目的終端設(shè)備)請(qǐng)求對(duì)應(yīng)的私有密鑰��。
為進(jìn)行路徑分析并應(yīng)用服務(wù)模塊�����,網(wǎng)絡(luò)節(jié)點(diǎn)需要解密該數(shù)據(jù)包,并執(zhí)行載荷分析�����。通常�,為能以安全方式通信����,源終端設(shè)備和目的終端設(shè)備在彼此之間建立一個(gè)加密通信會(huì)話。這一過(guò)程開始于目的終端設(shè)備生成密鑰對(duì)��,即公共密鑰和私有密鑰���,然后將公共密鑰發(fā)往源終端設(shè)備以便進(jìn)行加密����。只有對(duì)應(yīng)的私有密鑰才能解密加密的數(shù)據(jù)包��。網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)建立另一加密會(huì)話�,來(lái)以一種安全方式獲得該私有密鑰。
隨后����,在下一判斷步驟1013�,網(wǎng)絡(luò)節(jié)點(diǎn)檢查是否已收到該私有密鑰�����。若否�,則本過(guò)程結(jié)束于結(jié)束步驟1023,且若數(shù)據(jù)包中明確指示���,則將數(shù)據(jù)包直接路由給目的終端設(shè)備而不對(duì)其進(jìn)行載荷分析���,或者將數(shù)據(jù)包丟棄。若已收到私有密鑰���,則在下一步驟1015��,使用收到的私有密鑰來(lái)解密加密過(guò)的數(shù)據(jù)包��。若在數(shù)據(jù)包中明確指示�����,則隨后將執(zhí)行數(shù)據(jù)包載荷分析����,及應(yīng)用服務(wù)模塊。一旦解密完成�,則出于安全性方面的考慮,私有密鑰將被丟棄�,或者在網(wǎng)絡(luò)節(jié)點(diǎn)中保存一段預(yù)定的時(shí)間,以便能夠快速解密下載文件中在當(dāng)前加密數(shù)據(jù)包后面到達(dá)的加密數(shù)據(jù)包����。
隨后�,在下一步驟1017,網(wǎng)絡(luò)節(jié)點(diǎn)向目的終端設(shè)備請(qǐng)求新的公共密鑰�����?��;蛘?,還可向源或目的終端設(shè)備請(qǐng)求前次加密過(guò)程中用過(guò)的公共密鑰���。隨后����,在下一判斷步驟1019,網(wǎng)絡(luò)節(jié)點(diǎn)檢查是否已從目的終端設(shè)備收到新的公共密鑰�。若否,則處理過(guò)程結(jié)束于結(jié)束步驟1023�,出于安全性方面的考慮,解密的數(shù)據(jù)包將被丟棄���。若是���,則將在下一步驟1021使用收到的公共密鑰來(lái)加密解密過(guò)的數(shù)據(jù)包。一旦加密完成��,將在數(shù)據(jù)包中添加標(biāo)簽�,以告訴隨后的網(wǎng)絡(luò)節(jié)點(diǎn),該數(shù)據(jù)包已經(jīng)由服務(wù)模塊處理過(guò)���,然后向目的終端設(shè)備路由該數(shù)據(jù)包�。本方法結(jié)束于下一步驟1023�����。
圖11是圖8中網(wǎng)絡(luò)節(jié)點(diǎn)的功能的一般流程的流程圖1105���。本方法開始于步驟1107�����。然后在下一步驟1109�,網(wǎng)絡(luò)節(jié)點(diǎn)從源終端設(shè)備收到加密文件的數(shù)據(jù)包,每次接收一個(gè)���。在下一步驟1111��,網(wǎng)絡(luò)節(jié)點(diǎn)將所有數(shù)據(jù)包存儲(chǔ)在緩存中�����,直到最后一個(gè)數(shù)據(jù)包到達(dá)。
在下一步驟1113��,網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送私有密鑰請(qǐng)求�����,從目的終端設(shè)備接收對(duì)應(yīng)的私有密鑰���。隨后��,在下一步驟1115���,網(wǎng)絡(luò)節(jié)點(diǎn)將緩存中的所有數(shù)據(jù)包重新組合為文件��,解密整個(gè)文件��,并對(duì)該文件進(jìn)行分析�。在下一步驟1117�,網(wǎng)絡(luò)節(jié)點(diǎn)使用新的公共密鑰再次加密該文件,并分割打包為數(shù)據(jù)包��,發(fā)往目的終端設(shè)備�。本方法結(jié)束于下一步驟1119。
本發(fā)明通過(guò)借助方法步驟展示了本發(fā)明的特定功能及其關(guān)系���。所述方法步驟的范圍和順序是為了便于描述任意定義的����。只要能夠執(zhí)行特定的功能和順序�����,也可應(yīng)用其它界限和順序��。任何所述或選的界限或順序因此落入本發(fā)明的范圍和精神實(shí)質(zhì)�����。
本發(fā)明還借助功能模塊對(duì)某些重要的功能進(jìn)行了描述。所述功能模塊的界限和各種功能模塊的關(guān)系是為了便于描述任意定義的���。只要能夠執(zhí)行特定的功能��,也可應(yīng)用其它的界限或關(guān)系��。所述其它的界限或關(guān)系也因此落入本發(fā)明的范圍和精神實(shí)質(zhì)�����。
本領(lǐng)域普通技術(shù)人員還可知�����,本申請(qǐng)中的功能模塊和其它展示性模塊和組件可實(shí)現(xiàn)為離散組件、專用集成電路����、執(zhí)行恰當(dāng)軟件的處理器和前述的任意組合。
此外���,盡管以上是通過(guò)一些實(shí)施例對(duì)本發(fā)明進(jìn)行的描述����,本領(lǐng)域技術(shù)人員知悉,本發(fā)明不局限于這些實(shí)施例����,在不脫離本發(fā)明的精神和范圍的情況下,可以對(duì)這些特征和實(shí)施例進(jìn)行各種改變或等效替換�����。本發(fā)明的保護(hù)范圍僅由本申請(qǐng)的權(quán)利要求書來(lái)限定��。
權(quán)利要求
1.一種互聯(lián)網(wǎng)架構(gòu)中參與通信路徑的分組交換機(jī)�����,其中所述通信路徑支持從源終端設(shè)備到目的終端設(shè)備的第一加密數(shù)據(jù)包的傳送�����,其特征在于�,所述分組交換機(jī)包括包含解密管和加密管的處理電路;通信連接到所述處理電路的多個(gè)網(wǎng)絡(luò)接口�;第一組多個(gè)網(wǎng)絡(luò)接口,在從所述源終端設(shè)備收到所述第一加密數(shù)據(jù)包后,將其發(fā)往所述處理電路����;所述處理電路使用所述解密管解密所述第一加密數(shù)據(jù)包,生成第一解密數(shù)據(jù)包���;所述處理電路將所述第一解密數(shù)據(jù)包與至少一個(gè)觸發(fā)器模板進(jìn)行比較�;所述處理電路使用所述加密管加密所述第一解密數(shù)據(jù)包����,生成第二加密數(shù)據(jù)包;所述處理電路通過(guò)第二組多個(gè)網(wǎng)絡(luò)接口將所述第二加密數(shù)據(jù)包發(fā)往所述目的終端����。
2.根據(jù)權(quán)利要求1所述的分組交換機(jī),其特征在于�����,所述分組交換機(jī)包括路由器����。
3.根據(jù)權(quán)利要求1所述的分組交換機(jī)����,其特征在于����,所述分組交換機(jī)包括接入點(diǎn)�����。
4.根據(jù)權(quán)利要求1所述的分組交換機(jī)�,其特征在于,所述解密管使用第一密鑰�。
5.根據(jù)權(quán)利要求4所述的分組交換機(jī),其特征在于�,所述加密管使用第二密鑰。
6.一種通信架構(gòu)�����,其特征在于����,包括中間網(wǎng)絡(luò)節(jié)點(diǎn);通信連接到所述中間網(wǎng)絡(luò)節(jié)點(diǎn)的目的端設(shè)備��;通信連接到所述中間網(wǎng)絡(luò)節(jié)點(diǎn)的源端設(shè)備����,所述源端設(shè)備使用第一公共密鑰生成包含第一加密載荷的第一數(shù)據(jù)包��,且所述第一數(shù)據(jù)包包含有所述目的端設(shè)備的網(wǎng)絡(luò)地址����;所述中間網(wǎng)絡(luò)節(jié)點(diǎn)接收所述第一數(shù)據(jù)包��,使用第一私有密鑰從所述第一加密載荷生成第一解密載荷��;所述中間網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)所述第一解密載荷執(zhí)行處理功能�����;所述中間網(wǎng)絡(luò)節(jié)點(diǎn)使用第二公共密鑰生成包含有第二加密載荷的第二數(shù)據(jù)包�;所述目的端設(shè)備接收所述第二數(shù)據(jù)包,使用第二私有密鑰從所述第二加密載荷生成第二解密載荷�����。
7.根據(jù)權(quán)利要求6所述的通信架構(gòu)中�,其特征在于,所述目的端設(shè)備將所述第一公共密鑰發(fā)送給所述源端設(shè)備�。
8.根據(jù)權(quán)利要求6所述的通信架構(gòu)中,其特征在于��,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)將所述第一公共密鑰發(fā)送給所述源端設(shè)備。
9.一種互聯(lián)網(wǎng)架構(gòu)中的網(wǎng)絡(luò)節(jié)點(diǎn)�,接收從源終端設(shè)備發(fā)往目的終端設(shè)備的代表第一加密文件的至少一部分的第一組多個(gè)數(shù)據(jù)包�,其特征在于,所述網(wǎng)絡(luò)節(jié)點(diǎn)包括接收所述多個(gè)數(shù)據(jù)包的接口電路�;存儲(chǔ)器;通信連接到所述接口電路的處理電路�,用于將通過(guò)所述接口電路收到的所述第一組多個(gè)數(shù)據(jù)包發(fā)往所述存儲(chǔ)器;所述處理電路從所述第一組多個(gè)數(shù)據(jù)包重建所述第一加密文件的所述至少一部分�,并解密所述第一加密文件的所述至少一部分,生成解密序列���;所述處理電路應(yīng)用服務(wù)功能來(lái)處理所述解密序列�����;所述處理電路加密所述解密序列����,生成加密序列����;所述處理電路從所述加密序列構(gòu)建第二組多個(gè)數(shù)據(jù)包,并將所述第二組多個(gè)數(shù)據(jù)包發(fā)往所述目的終端設(shè)備���。
10.一種由分組交換通信路徑上的分組交換機(jī)執(zhí)行的方法�,其特征在于,所述方法包括從源終端設(shè)備接收帶有第一加密載荷的第一數(shù)據(jù)包����;使用私有密鑰對(duì)所述第一加密載荷執(zhí)行解密處理,生成第一解密載荷�;分析所述第一解密載荷;使用公共密鑰對(duì)所述第一解密載荷執(zhí)行加密處理��,生成第二加密載荷��;使用第二加密載荷構(gòu)建第二數(shù)據(jù)包��;將所述第二數(shù)據(jù)包發(fā)往目的終端設(shè)備��。
全文摘要
本發(fā)明涉及一種互聯(lián)網(wǎng)架構(gòu)��,包括網(wǎng)絡(luò)節(jié)點(diǎn)(接入點(diǎn)/路由器/交換機(jī))和終端設(shè)備����,通過(guò)加密管、解密管和加密/解密管理器在需要時(shí)分析加密數(shù)據(jù)包并應(yīng)用服務(wù)模塊���。網(wǎng)絡(luò)節(jié)點(diǎn)包括處理電路�、加密管電路、解密管電路��、存儲(chǔ)器�、加密/解密管理器,或者還可包括有代理流管理器和緩存��。加密/解密管理器使用解密管解密每個(gè)加密數(shù)據(jù)包����,生成解密數(shù)據(jù)包����。處理電路應(yīng)用服務(wù)功能處理解密數(shù)據(jù)包,生成處理后的數(shù)據(jù)包��。加密/解密管理器使用加密管電路加密處理后的數(shù)據(jù)包��,生成再次加密數(shù)據(jù)包�����。處理后且再次加密的數(shù)據(jù)包將發(fā)往目的終端設(shè)備����。代理流管理器存儲(chǔ)加密文件的每個(gè)數(shù)據(jù)包����,直到最后一個(gè)數(shù)據(jù)包到達(dá)����,然后加密文件將進(jìn)行分析操作,并應(yīng)用服務(wù)模塊����。
文檔編號(hào)H04L9/28GK101068207SQ200710102980
公開日2007年11月7日 申請(qǐng)日期2007年4月26日 優(yōu)先權(quán)日2006年5月5日
發(fā)明者詹姆士·D·貝內(nèi)特 申請(qǐng)人:美國(guó)博通公司