专利名称:基于分组的通信的地址跳跃的制作方法
技术领域:
本发明一般地涉及分组通信网络,更具体而言,本发明涉及基于分组的通信的地址跳跃(address hopping)。
背景技术:
为了克服传统电话网络的诸多局限,顾客们越来越多地用基于分组的解决方案取而代之。然而,在带来许多优点的同时,分组网络与其它电话网络相比对第三方干扰的防御可能较弱。为了在基于分组的呼叫期间提供安全性,人们提出并实现了加密技术。然而,对通信的加密会需要相对大量的处理能力。
发明内容
根据本发明,提供了用于进行地址跳跃以保障基于分组的通信的安全的技术。根据特定实施例,系统通过在通信会话期间修改分组的源和目的地地址,为基于分组的通信提供安全性。
根据一个实施例,一种用于保障分组流安全的方法接收分组流,所有分组都具有最初目的地地址和最初源地址。对于所述流中的每个分组,所述方法将最初目的地地址改变成多个修改后的目的地地址中所选择的一个地址,其中所选择的修改后的目的地地址中的每一个都可由远程设备解析成最初目的地地址。更具体而言,所述方法可以对所述流中的每个分组,将最初源地址改变成多个修改后的源地址中所选择的一个地址,其中所选择的修改后的源地址中的每一个都可由所述远程设备解析成最初源地址。
本发明的实施例提供了多种技术优点。这些技术为基于分组的通信提供了高效实用的安全性,并可在对现有系统影响极小的情况下实现。在基于分组的通信期间,相关分组的源和目的地地址的变换将会大大限制第三方对通信进行拦截和解释(interpret)的能力。而且,地址跳跃方案提供了用于迷惑窃听者的安全性而无需加密。这使得能够保障基于分组的通信的安全,同时其处理开销比基于加密的安全性方案所一般需要的处理开销少得多。
另一个优点在于,能够实现基于地址跳跃的安全性而不会影响现有系统。为了提供地址跳跃,可将翻译模块插入到现有元件之间。这些模块对分组进行处理、发送和接收,修改外出分组的地址以提供安全性,并将进入分组的地址解析成其最初的源和/或目的地地址。这使得通过可能不安全的网络的分组具有“安全的”地址,而通信会话的端点无需知道地址的改变。
根据以下附图、描述和所附权利要求,本发明的其它技术优点对本领域技术人员来说将会很清楚。而且,尽管已经列举了若干具体优点,但各个实施例可能包括所列举的优点中的全部或一些,或者不包括所述优点。
为了更彻底地理解本发明及其优点,现在结合附图来参照以下的详细描述,在附图中图1示出了根据本发明的特定实施例,包括提供了地址跳跃的翻译模块的通信系统;图2是一个方框图,示出了来自所述系统的示例性翻译模块的组件;图3是一个流程图,示出了用于执行地址跳跃以保障分组通信会话的安全的方法;并且图4是一个流程图,示出了由翻译模块处理的用于接收和解析(resolve)分组地址的方法。
具体实施例方式
图1示出了一个一般地用10表示的通信系统,该系统包括支持基于分组的通信的元件,并且包括多个翻译模块(TM)12,所述翻译模块提供地址跳跃,以保障基于分组的通信的安全。在所示出的实施例中,系统10既包括传统电话元件,又包括基于分组的通信设备。所述传统电话元件包括电话14和公共交换电话网(PSTN)16,其中PSTN 16包括交换局(CO,central office)18和信号传输点(STP)20。支持基于分组的通信的组件包括呼叫代理(CA)22、媒体网关(MG)24、分组使能的电话设备26、互联网协议(IP)网络28和IP内联网30。一般而言,系统10的元件支持对用于传送信息的链路的建立,所述信息例如是语音和/或数据。对于全部或部分地发生在基于分组的元件之间的通信,翻译模块12可以使用地址跳跃来掩盖分组的源和/或目的地地址,以提供安全性。
电话14表示可连接到PSTN 16的电路交换用户接口设备。例如,电话14可包括家用或商用设备,例如专用分支交换(PBX)设备。PSTN 16表示电路交换网络中向用户提供电话服务的部分。在所示出的实施例中,PSTN 16的每个区段(section)都包括交换局18和信号传输点20。交换局18为用户提供对电话链路的管理和供应。因此,电话14连接到交换局18以接收电话服务。信号传输点20支持使用适当的信令来建立和管理通信链路。例如,信号传输点20可以生成和/或中继去往和来自其它元件的7号信令系统(SS7)消息,以建立并控制通信。所示出的实施例包括两个PSTN 16区段。这两个区段表示电话网络中地理上相距遥远的部分,例如位于两个不同城市的电话设备。
为了支持基于分组的通信,系统10包括多种组件,包括呼叫代理22、网关24、设备26、网络28和内联网30。呼叫代理22表示对设备间基于分组的通信会话进行管理的硬件和/或控制逻辑。例如,呼叫代理22可处理信令以建立、控制和解除设备26间基于分组的语音通信会话。在所示出的实施例中,呼叫代理22还支持在基于分组的通信设备及电路交换通信设备之间建立链路。例如,响应于接收自信号传输点20的SS7消息,呼叫代理22可指示在网关24之间建立基于分组的链路。
网关24表示将诸如PSTN 16之类的电路交换网络与诸如网络28之类的基于分组的网络相连接的设备,包括控制逻辑。在所示出的实施例中,网关24耦合到交换局18,以用于在这些链路上进行基于时分复用(TDM)的通信。网关24还耦合到网络28,以在这些链路上提供基于分组的通信。因此,网关24可用于在电路交换和分组交换的设备之间建立链路,并对这些设备之间的通信进行解释。例如,网关24可将基于TDM的通信转换成分组,或者进行相反的转换。
网络28和内联网30可用于在系统10的各个元件之间传输分组。因此,网络28和内联网30都表示用于传输分组的任意合适的设备集合和设置,例如路由器、网关和交换机。这些分组表示使用包括在分组之内的目的地地址来传递的任意合适的信息段。根据特定实施例,内联网30包括“安全”设备,该安全设备对于第三方干扰而言是比较安全的;而网络28表示“非安全”设备,例如因特网的部分,其可能受到第三方干扰。
为了向基于分组的通信提供安全性,系统10包括任意数量的翻译模块12。每个翻译模块12都表示支持地址跳跃以便掩盖所传送的分组的源和/或目的地地址的任意合适的硬件和/或控制逻辑。因此,进行发送的翻译模块12可能改变分组的源和目的地地址,而进行接收的翻译模块12将分组的修改后的源和目的地地址解析成所述分组最初的源和目的地地址。翻译模块12可以对单个分组或相关分组流执行地址跳跃例程,而分组的有效载荷与该处理无关。因此,例如,翻译模块12可对信令分组、语音分组和/或数据分组执行地址跳跃。
例如,考虑在标签为A的电话14(电话A)和标签为B的电话14(电话B)之间的语音电话呼叫。当接收到从电话A所拨打的(去往电话B的)数字时,交换局18通过信号传输点20,将诸如初始地址消息(IAM)之类适当的连接请求消息传送到呼叫代理22。呼叫代理22分析并验证所述消息,如果所述消息有效,则将建立消息和确认发送到适当的元件。例如,呼叫代理22可将一个初始地址消息传送到与电话B相关联的信号传输点20,将一个创建连接消息(CRCx)发送到与电话A相关联的网关24(网关A),将一个相应的CRCx消息传送到与电话B相关联的网关24(网关B),将一个对摘机(off hook)通知的请求(RQNT:HU)传送到网关B,并将一个地址完成消息(ACM)发送到最初的信号传输点20,证实这次建立尝试(该ACM消息导致电话A接收到铃声)。当电话B进入摘机状态时,网关B通知呼叫代理22。作为响应,呼叫代理22将一个修改连接命令(MDCx)传送到网关A和网关B,以在这些网关24之间建立链路。这就在网关A和网关B之间建立了一条基于分组的链路,用于在电话A和电话B之间传送语音信息。
在本例中,系统10的元件通过网络28既交换信令分组,又交换信息分组。翻译模块12可以使用地址跳跃,来保障这些分组中的一些或全部的安全。为了执行地址跳跃,进行发送的翻译模块12将分组的源和/或目的地地址修改成可被远程翻译模块12解析成该分组最初的源或目的地地址的值。例如,考虑从呼叫代理22传送到网关A的信令消息。对此消息进行编码的分组一般将会具有用于呼叫代理22的源地址和用于网关A的目的地地址。当从呼叫代理22接收到此分组时,翻译模块C修改该分组的源和/或目的地地址,并将该分组转发到翻译模块A。翻译模块A接收修改后的分组,并基于修改后的源和目的地地址来解析出最初的源和目的地地址。因此,翻译模块A修改源和目的地地址,以将呼叫代理22表示为源,并将网关A表示为目的地。
同样,对于网关A和网关B之间的分组,翻译模块A和翻译模块B可以执行类似的对分组地址的修改和解析。这些修改掩盖了分组的发起和/或目的地地址,而源设备和目的地设备并不知道这个中间过程。然而,通过在任意数量的可用源和/或目的地地址当中进行跳跃,翻译模块12可以阻止针对特定地址的窃听者。例如,考虑由网关A接收并转换成分组以用于传送到网关B的语音信息流。这些分组中的每一个都会具有一个最初源地址,例如与电话A相关联的IP地址和端口;还会具有一个目的地地址,例如与电话B相关联的IP地址和端口。为了对此分组流提供地址跳跃,翻译模块12可在任意数量的源和/或目的地地址之间变换。例如,对于连续的每个分组,翻译模块A都可以选择与前一分组所用不同的源和/或目的地地址。
为了在地址跳跃期间选择适当的源和/或目的地地址,翻译模块12可以使用任意合适的技术。根据特定实施例,每个翻译模块12都具有任意数量的所分配的IP地址。例如,每个翻译模块12都可具有一个所分配的IP地址范围。每个所分配的IP地址可由数千个可用端口中的一个端口来进一步区分。例如,根据特定的IP协议,单个IP地址可容纳约64,000个可使用的端口。因此,可用于翻译模块12的潜在的IP地址和端口的组合是很多的,即使只给予了少量的所分配的IP地址。
为了从潜在的地址当中进行选择,翻译模块12可使用地址跳跃模式、预分配地址,和/或其它合适的地址翻译技术。例如,翻译模块A可根据翻译模块A和翻译模块B都已知的模式,来修改一个分组流中的每个连续分组。因此,翻译模块B可将接收到的分组的地址解析成其最初地址。同样,翻译模块B可将任意数量的可用地址映射到单一目的地地址。这样,寻址到所映射的地址中任一地址的所接收的分组被解析成所述单一目的地地址。然而,尽管公开的是用于在可用地址当中进行选择的特定技术,但系统10也可使用任意合适的模式、公式、分配和/或其它技术,以用于在可用的地址之间变换。
取决于所使用的特定技术,翻译模块12可协商翻译参数。例如,当检测到在网关A和网关B之间建立链路的请求时,翻译模块A可与翻译模块B协商翻译参数。为了防止对这些参数的干扰和/或拦截,翻译模块12可将协商期间所发送的消息加密。所协商的参数使得每个参与的翻译模块12可以在多个地址之间跳跃,并将修改后的地址解析成最初的源和/或目的地地址。例如,翻译模块A和翻译模块B可协商出一个公式或模式,该公式或模式规定是否变换源和/或目的地地址,控制变换这些地址的频率,并使得可确定每个后续修改地址。而且,翻译模块12还可协商出用于对源和目的地地址进行跳跃的不同的翻译参数。例如,翻译模块A可使用第一种技术来改变网关A的源地址,而使用第二种技术来改变网关B的目的地地址。
因此,如前例所述,翻译模块12使用地址跳跃技术来增强基于分组的通信的安全性,与诸如加密之类的其它安全性技术相比,所述地址跳跃技术消耗较少量的处理能力。然而,尽管所示出的实施例和前面的描述针对的是包括单独的提供地址跳跃的翻译模块12在内的元件设置,但系统10也可将一个或多个翻译模块12的特征和功能中的一些或全部合并到任意合适的元件中。例如,呼叫代理22、网关24、设备26和/或其它适当的元件可以使用任何适当的硬件和/或软件的组合,来提供翻译模块12的特征和功能中的一些或全部。而且,尽管所示出的实施例和所提供的例子针对的是在两个电路交换通信设备之间提供链路的基于IP的语音通信,但本发明一般地适用于任意合适的基于分组的通信系统。
图2是一个方框图,示出了翻译模块12的示例性功能组件。在所示出的实施例中,翻译模块12包括控制器50、外部接口52、内部接口54和存储器56。一般而言,翻译模块12使用外部接口52和内部接口54来接收和传送分组,并可对这些分组的源和/或目的地地址进行翻译,以支持地址跳跃。
外部接口52和内部接口54表示为接收和发送分组提供物理或虚拟端口的任意合适的硬件和/或逻辑。根据特定实施例,外部接口52链接到可能是非安全的网络,例如网络28,以允许对分组的发送和接收,所述分组包括被改变了源和/或目的地地址以掩盖其最初的源和/或目的地地址的分组。内部接口54耦合到安全的设备和/或网络,例如网关24,并可用于对具有未经修改的源和/或目的地地址的分组进行发送和接收。
控制器50表示可用于修改分组内的源和/或目的地地址以支持地址跳跃的任意合适的处理器、控制器和/或逻辑。为了支持控制器50的操作,翻译模块12包括存储器56,存储器56维护着进入翻译58、外出翻译60和翻译模块数据62。进入翻译58包括翻译模块12在基于使用外部接口52而接收到的分组的源和目的地地址,识别和解析最初的源和/或目的地地址时所使用的信息。例如,对于预期含有分组的每个流,进入翻译58可包括经协商的参数、状态信息以及用于识别和解析地址的其它合适的数据。
同样,外出翻译60包括翻译模块12在对使用内部接口54而接收到的分组的最初的源和/或目的地地址进行修改时所使用的信息。根据特定实施例,外出翻译60维护着经协商的参数、状态信息和用于任意数量的通信链路的其它合适的数据。
翻译模块数据62包括在翻译模块12的操作期间所使用的信息。例如,数据62可包括翻译模块12的操作参数,例如私有加密密钥、所分配的地址和翻译方案。而且,数据62可包括对其它翻译模块12进行描述的信息,例如公开加密密钥、所分配的地址、翻译方案和其它适当的信息。
在操作中,控制器50对使用外部接口52和内部接口54而接收到的分组进行监视。对于使用外部接口52而接收到的每个分组,控制器50确定该分组是否具有经修改的源和/或目的地地址。例如,控制器50可将源和/或目的地地址与进入翻译58中所维护的状态信息相比较。根据特定实施例,所述状态信息为每个预期的流维护着该流中要接收的下一分组的预期源和/或目的地地址。而且,为了适应于分组丢失,所述状态信息可维护每个流内多个分组的预期源和/或目的地地址。因此,单个分组的丢失不会扰乱地址跳跃处理。如果接收到的分组与进入翻译58之一相匹配,则控制器50执行适当的处理,以解析出最初的源和/或目的地地址,并将所述分组修改成其最初的形式。
除了监视使用外部接口52而接收到的分组的源和目的地地址以外,控制器50还可监视这些分组的内容。例如,对于使用外部接口52而接收到的每个分组,控制器50可检查该分组的内容,以确定该分组是否表示一个新的通信流。例如,控制器50可检测连接建立消息,并作为响应而与其它翻译模块12协商地址跳跃方案。因此,使用外部接口52,控制器50还可与其它翻译模块12协商地址跳跃方案。例如,考虑一个从呼叫代理22传送到网关A,请求网关A与网关B建立通信链路的分组。翻译模块A可检测此连接请求,并作为响应而与翻译模块B协商翻译参数。这使得翻译模块A和翻译模块B可以先于网关A和网关B之间的通信而建立地址跳跃方案。
在操作期间,控制器50还监视使用内部接口54而接收到的分组。与其对于外部接口52的操作类似,控制器50可监视每个接收到的分组,以识别要被翻译的分组,并识别表示出与另一翻译模块12建立地址跳跃方案的潜在需求的分组。当识别出要被翻译的分组时,翻译模块12为该分组确定合适的修改后的源和/或目的地地址,并更新该分组以反映所述修改后的源和/或目的地地址。例如,翻译模块12可访问外出翻译60以确定状态信息和翻译算法,从而确定适当的修改后的源和/或目的地地址。此外,控制器50可监视使用内部接口54而接收到的分组,以确定何时为新的通信链路建立地址跳跃。例如,当接收到去往当前未建立地址跳跃的目的地地址的分组时,翻译模块12可将该目的地地址与翻译模块数据62相比较,以识别地址跳跃对这些和其它相关分组来说是否适当。如果是,则翻译模块12可与远程翻译模块12协商翻译参数和其它合适的信息。
尽管所示出的实施例和前面的描述针对的是包括特定元件的翻译模块12的实施例,但系统10也可包括这样的翻译模块12,其具有为基于分组的通信提供地址跳跃的任意合适的元件组合和设置。因此,由所示出的特定元件执行的功能可被适当地分开或组合,并且这些元件中的一些或全部元件的功能可由编码在介质中的逻辑来实现。而且,如前所述,翻译模块12的功能中的一些或全部可以分布到系统10的其它元件当中。
图3是一个流程图,示出了翻译模块12在对使用内部接口54而接收到的分组进行监视,并修改分组的源和目的地地址时的操作。翻译模块12在步骤100监视接收到的分组,并在步骤102确定是否已接收到外出分组。例如,翻译模块12可监视使用内部接口54而从诸如网关24之类的其它设备接收到的分组。
当检测到适当的分组时,翻译模块12在步骤104确定该外出分组的目的地地址是否标识了一个远程翻译模块12。例如,翻译模块12可将该目的地地址与外出翻译60内的信息和/或翻译模块数据62相比较。如果所述目的地地址并未标识远程翻译模块12,则翻译模块12在步骤116使用外部接口52来传送所述外出分组。然而,如果所述目的地地址标识了远程翻译模块12,则翻译模块12确定是否已经为与所述分组相关联的流建立了翻译算法,此确定是在步骤106做出的。例如,翻译模块12可访问外出翻译60,以确定是否已经为所述通信流而与所述远程翻译模块12协商了翻译算法,所述通信流是通过所接收的分组的源和目的地地址而识别出的。
如果还未建立翻译算法,则翻译模块12在步骤108与所述远程翻译模块12协商翻译算法,并在步骤110更新外出翻译60内所维护的翻译数据,以反映为所述分组流而协商的信息。
在确定了用于修改分组地址的适当参数之后,翻译模块12在步骤112为所述流确定下一个修改后的源和目的地地址。例如,基于状态信息和为所述流而建立的当前翻译算法,翻译模块12可计算所述分组的修改后的源和目的地地址。翻译模块12在步骤114改变所述外出分组的地址,并在步骤116传送所述外出分组。
这样,前面的流程图示出了一种比较简单的技术,用于让翻译模块12为一个或多个基于分组的通信流提供地址跳跃。然而,前面的流程图和伴随的描述仅说明了一种示例性操作方法,而系统10可包括使用任意合适的技术来提供地址跳跃的翻译模块12和/或其它合适的组件。因此,此流程图中的许多步骤可以同时进行和/或以与所示出的不同的顺序进行。此外,翻译模块12可使用具有更多步骤、更少步骤和/或不同步骤的方法,只要这些方法仍是适当的。
图4是一个流程图,示出了翻译模块12用于为通信流建立地址跳跃方案以及为所述流处理接收到的分组的操作。翻译模块12在步骤130与远程翻译模块12协商翻译算法。例如,通过一个或多个所交换的分组,例如请求和确认,两个翻译模块12可协商用于在与所述分组流相关联的分组的地址跳跃期间使用的各种参数。基于这些协商,翻译模块12在步骤132更新翻译数据,以反映为所述流而协商的信息。例如,翻译模块12可在进入翻译58内生成一个包括翻译参数、状态信息和与所述分组流相关联的其它合适数据在内的条目。
使用此信息,翻译模块12在步骤134确定期望用于所述流的下一个修改后的源和目的地地址。此信息使得翻译模块12可以基于分组修改后的源和/或目的地地址,来识别与所述流相关联的分组。而且,如前所述,翻译模块12可以为所述流内所期望的若干即将到来的分组确定修改后的源和目的地地址。这就允许翻译模块12基于分组修改后的源和/或目的地地址来识别所述流内的分组,而不管所述分组是乱序到达或存在一些分组丢失。
翻译模块12在步骤136监视接收到的分组,并在步骤138确定是否已接收到进入分组。如果是,则翻译模块12在步骤140确定所述进入分组的目的地地址是否与所述分组流的下一个修改后的目的地地址相匹配。如果是,则翻译模块12在步骤142将所述进入分组的地址改变为最初的源和目的地地址,并在步骤144传送所述进入分组。这样,前面的描述就提供了翻译模块12的一种示例性操作方法,用于为通信流中的分组解析出最初的源和目的地地址。
然而,与图3所示的流程图一样,前面的流程图和伴随的描述仅说明了一种示例性操作方法,而系统10可包括使用任意合适的技术来处理分组以支持地址跳跃的翻译模块12。因此,此流程图中的许多步骤可以同时进行和/或以与所示出的不同的顺序进行。例如,尽管前面的流程图示出了翻译模块12对于单一分组流的操作,但翻译模块12也可同时监视并处理多个通信流的分组。因此,尽管提供了说明性的操作方法,但系统10可包括使用具有更多步骤、更少步骤和/或不同步骤的方法的翻译模块12,只要这些方法仍是适当的。
虽然已经在若干实施例中对本发明进行了描述,但本领域技术人员可想到多种变化和修改,本发明应包含落入当前所附权利要求的范围之内的这种变化和修改。
权利要求
1.一种用于保障基于分组的通信的安全的方法,包括接收包括多个分组的流,所有所述分组都具有最初目的地地址和最初源地址;以及对于所述分组中的每一个,将所述最初目的地地址改变成分配给一个远程设备的多个修改后的目的地地址中所选择的一个地址,其中所选择的修改后的目的地地址中的每一个都可由所述远程设备解析成所述最初目的地地址。
2.如权利要求1所述的方法,其中,除了所述分组中的第一个以外,所述分组中的每一个与所述分组中的前一个相比,都被改变成所述修改后的目的地地址中一个不同的地址。
3.如权利要求1所述的方法,其中所述流中不多于10个连续分组被改变成所述修改后的目的地地址中的同一地址。
4.如权利要求1所述的方法,还包括,对于所述分组中的每一个,将所述最初源地址改变成多个修改后的源地址中所选择的一个地址,其中所选择的修改后的源地址中的每一个都可由所述远程设备解析成所述最初源地址。
5.如权利要求1所述的方法,还包括从所述远程设备的可用目的地地址范围中,随机选择所述分组的修改后的目的地地址。
6.如权利要求1所述的方法,还包括基于跳跃模式,从所述远程设备的可用目的地地址范围中选择所述分组的修改后的目的地地址。
7.如权利要求1所述的方法,其中所述最初目的地地址包括互联网协议地址和端口,并且所述分组的修改后的目的地地址包括修改后的互联网协议地址和修改后的端口。
8.如权利要求1所述的方法,其中所述流包括基于互联网协议的语音通信会话。
9.如权利要求1所述的方法,还包括检测所述流的开始;基于所述最初目的地地址,识别所述远程设备;以及与所述远程设备协商所述流的翻译参数,所述翻译参数包括一个算法,该算法规定如何从所述修改后的目的地地址当中进行选择。
10.一种用于保障基于分组的通信的安全的方法,包括与一个远程设备协商用于一个通信流的翻译参数,所述翻译参数包括最初目的地地址、多个可用目的地地址、以及算法;根据所述算法,从所述可用目的地地址当中确定一个修改后的目的地地址;接收具有所述修改后的目的地地址的分组;以及将所述分组改变成具有所述最初目的地地址。
11.如权利要求10所述的方法,其中所述翻译参数还包括最初源地址和多个可用源地址;并且所述方法还包括根据所述算法,从所述可用源地址当中确定一个修改后的源地址。
12.如权利要求11所述的方法,所述分组还具有所述修改后的源地址,所述方法还包括将所述分组改变为具有所述最初源地址。
13.如权利要求10所述的方法,其中所述算法包括一个跳跃模式,该跳跃模式规定如何从所述可用目的地地址当中进行选择。
14.一种翻译模块,包括第一接口,其可用于接收包括多个分组的流,所有所述分组都具有最初目的地地址和最初源地址;控制器,其可用于对所述分组中的每一个,将所述最初目的地地址改变成分配给一个远程设备的多个修改后的目的地地址中所选择的一个地址,其中所选择的修改后的目的地地址中的每一个都可由所述远程设备解析成所述最初目的地地址;以及第二接口,其可用于发送所述改变后的分组,以便由所述远程设备接收。
15.如权利要求14所述的翻译模块,其中,除了所述分组中的第一个以外,所述分组中的每一个与所述分组中的前一个相比,都被改变成所述修改后的目的地地址中一个不同的地址。
16.如权利要求14所述的翻译模块,其中所述控制器还可用于对所述分组中的每一个,将所述最初源地址改变成多个修改后的源地址中所选择的一个地址,其中所选择的修改后的源地址中的每一个都可由所述远程设备解析成所述最初源地址。
17.如权利要求14所述的翻译模块,其中所述控制器还可用于基于跳跃模式,从所述远程设备的可用目的地地址范围中选择所述分组的修改后的目的地地址。
18.如权利要求14所述的翻译模块,其中所述最初目的地地址包括互联网协议地址和端口,并且所述分组的修改后的目的地地址包括修改后的互联网协议地址和修改后的端口。
19.如权利要求14所述的翻译模块,其中所述控制器还可用于检测所述流的开始;基于所述最初目的地地址,识别所述远程设备;以及与所述远程设备协商所述流的翻译参数,所述翻译参数包括一个算法,该算法规定如何从所述修改后的目的地地址当中进行选择。
20.一种用于保障基于分组的通信的安全的逻辑,所述逻辑被编码在介质中,并且当被执行时可用于接收包括多个分组的流,所有所述分组都具有最初目的地地址和最初源地址;以及对于所述分组中的每一个,将所述最初目的地地址改变成分配给一个远程设备的多个修改后的目的地地址中所选择的一个地址,其中所选择的修改后的目的地地址中的每一个都可由所述远程设备解析成所述最初目的地地址。
21.如权利要求20所述的逻辑,其中,除了所述分组中的第一个以外,所述分组中的每一个与所述分组中的前一个相比,都被改变成所述修改后的目的地地址中一个不同的地址。
22.如权利要求20所述的逻辑,还可用于对所述分组中的每一个,将所述最初源地址改变成多个修改后的源地址中所选择的一个地址,其中所选择的修改后的源地址中的每一个都可由所述远程设备解析成所述最初源地址。
23.如权利要求20所述的逻辑,还可用于基于跳跃模式,从所述远程设备的可用目的地地址范围中选择所述分组的修改后的目的地地址。
24.如权利要求20所述的逻辑,其中所述最初目的地地址包括互联网协议地址和端口,并且所述分组的修改后的目的地地址包括修改后的互联网协议地址和修改后的端口。
25.如权利要求20所述的逻辑,还可用于检测所述流的开始;基于所述最初目的地地址,识别所述远程设备;以及与所述远程设备协商所述流的翻译参数,所述翻译参数包括一个算法,该算法规定如何从所述修改后的目的地地址当中进行选择。
26.一种翻译模块,包括用于接收包括多个分组的流的装置,所有所述分组都具有最初目的地地址和最初源地址;以及用于对所述分组中的每一个,将所述最初目的地地址改变成分配给一个远程设备的多个修改后的目的地地址中所选择的一个地址的装置,其中所选择的修改后的目的地地址中的每一个都可由所述远程设备解析成所述最初目的地地址。
27.一种用于保障基于分组的通信的安全的方法,包括检测一个通信流的开始,所述通信流包括多个分组,所有所述分组都具有最初目的地地址和最初源地址;基于所述最初目的地地址,识别一个远程设备;与所述远程设备协商所述通信流的翻译参数,所述翻译参数包括一个算法,该算法规定如何从多个修改后的目的地地址当中进行选择;接收所述分组;以及对于所述分组中的每一个,根据所述算法来选择所述修改后的目的地地址中的一个地址,并将所述最初目的地地址改变成所选择的修改后的目的地地址,其中所选择的修改后的目的地地址中的每一个都可由所述远程设备解析成所述最初目的地地址,并且其中,除了所述分组中的第一个以外,所述分组中的每一个与所述分组中的前一个相比,都被改变成所述修改后的目的地地址中一个不同的地址。
全文摘要
本发明所提供的通信系统包括翻译模块,所述翻译模块提供地址跳跃以保障基于分组的通信的安全。进行发送的翻译模块修改所传送的分组的源和/或目的地地址,而进行接收的翻译模块将每个修改后的源和/或目的地地址解析成所述分组的最初的源和目的地地址。
文档编号H04M7/00GK1625879SQ03802921
公开日2005年6月8日 申请日期2003年2月4日 优先权日2002年2月5日
发明者戴维·W·麦克丹尼尔 申请人:思科技术公司