专利名称:一种通信架构、分组交换机、网络节点和数据包传送方法
技术领域:
本发明涉及通信架构,更具体地说,涉及数据包交换通信网络中的路由和交换节点操作。
背景技术:
用于传送安全的语音、视频、数据包的互联网已得到广泛的应用,在互联网通信过程中可使用多种类型的加密方法来确保信息的安全。互联网架构通常包括网络节点如路由器、交换机、分组交换机、接入点和互联网服务提供商网络(ISPN)、互联网通信路径和终端设备。终端设备包括例如个人或笔记本计算机、服务器、机顶盒、手持数据/通信设备和其他客户端设备。位于远端所有的上述终端设备使用加密方法来交换保密的音频、视频和数据包。
现有终端设备经常需要承担限制破坏性的、未经授权的、不想要的和不适当的内容显示或执行的责任。然而,通常情况下,上述各种终端设备是不具备这种功能的。例如,即便启动了恶意软件防护软件,终端设备也时常受到感染。即便安装了拦截软件,色情内容仍然会显示给儿童。用于拦截这种内容的其他类型过滤器也无法拦截不想要的内容。尽管网络节点可对互联网架构中的破坏性、未经授权、不想要和不适当内容进行分析和处理,但对使用加密算法加密过的数据包,网络节点也无法分析和处理。
比较本发明后续将要结合附图介绍的系统,现有技术的其它局限性和弊端对于本领域的普通技术人员来说是显而易见的。
发明内容
本发明提供了一种设备及其操作方法,下面的
具体实施方式
和权利要求中对其进行了详细的描述。
根据本发明的一个方面,提供一种互联网架构,其中的网络节点和终端设备包含加密、解密管和加密/解密管理器,这样一来,在收到指示后,便可对加密过的数据包进行分析,并应用适当的服务模块。这种网络节点可以是接入点、路由器或交换机。
根据本发明的一个方面,提供一种互联网架构中的网络节点,从源终端设备接收发往目的端终端设备的加密文件中的多个数据包。该网络节点包括解密管电路、加密管电路、通信连接到加密管电路和解密管电路的处理电路、通信连接到处理电路的存储器,该存储器包括加密/解密管理器、代理流管理器(proxy flow manager)和缓存。代理流管理器存储加密文件中的每个数据包,直到收到最后一个数据包。加密/解密管理器使用加密管电路解密该加密文件,生成解密文件。处理电路应用服务功能来处理解密文件,生成处理后文件。最后,加密/解密管理器使用加密管电路对处理后的文件进行加密,生成第二加密文件。
根据本发明,提供一种参与到互联网架构通信路径中的分组交换机(packet switching exchange),该通信路径可支持从源终端设备向目的终端设备传送加密数据包。该分组交换机包括多个交换机和网络接口、解密管电路、加密管电路、通信连接到加密管电路和解密管电路的处理电路和设置在存储器中的加密/解密管理器。加密/解密管理器使用解密管电路解密加密的数据包,生成解密数据包。随后,处理电路处理解密的数据包,有选择的将其从通信路径中提取出来,应用服务功能,生成处理后的数据包。最后,加密/解密管理器使用加密管电路加密处理后的数据包,生成第二加密数据包。
根据本发明的一个方面,提供一种互联网架构中参与通信路径的分组交换机,其中所述通信路径支持从源终端设备到目的终端设备的第一加密数据包的传送,所述分组交换机包括包含解密管和加密管的处理电路;通信连接到所述处理电路的多个网络接口;第一组多个网络接口,在从所述源终端设备收到所述第一加密数据包后,将其发往所述处理电路;
所述处理电路使用所述解密管解密所述第一加密数据包,生成第一解密数据包;所述处理电路将所述第一解密数据包与至少一个触发器模板进行比较;所述处理电路使用所述加密管加密所述第一解密数据包,生成第二加密数据包;所述处理电路通过第二组多个网络接口将所述第二加密数据包发往所述目的终端。
本发明所述的分组交换机包括路由器。
本发明所述的分组交换机包括接入点。
在本发明所述的分组交换机中,所述解密管使用第一密钥。
在本发明所述的分组交换机中,所述加密管使用第二密钥。
在本发明所述的分组交换机中,所述第一密钥是与所述解密管相关联的私有密钥。
在本发明所述的分组交换机中,所述第二密钥是与所述目的终端设备相关联的公共密钥。
在本发明所述的分组交换机中,所述第二加密数据包包含有已处理标签。
根据本发明的一个方面,提供一种通信架构,包括中间网络节点;通信连接到所述中间网络节点的目的端设备;通信连接到所述中间网络节点的源端设备,所述源端设备使用第一公共密钥生成包含第一加密载荷的第一数据包,且所述第一数据包包含有所述目的端设备的网络地址;所述中间网络节点接收所述第一数据包,使用第一私有密钥从所述第一加密载荷生成第一解密载荷;所述中间网络节点对所述第一解密载荷执行处理功能;所述中间网络节点使用第二公共密钥生成包含有第二加密载荷的第二数据包;
所述目的端设备接收所述第二数据包,使用第二私有密钥从所述第二加密载荷生成第二解密载荷。
在本发明所述的通信架构中,所述目的端设备将所述第一公共密钥发送给所述源端设备。
在本发明所述的通信架构中,所述中间网络节点将所述第一公共密钥发送给所述源端设备。
在本发明所述的通信架构中,所述源端设备将所述第一数据包发往所述中间网络节点。
根据本发明的一个方面,提供一种互联网架构中的网络节点,接收从源终端设备发往目的终端设备的代表第一加密文件的至少一部分的第一组多个数据包,所述网络节点包括接收所述多个数据包的接口电路;存储器;通信连接到所述接口电路的处理电路,用于将通过所述接口电路收到的所述第一组多个数据包发往所述存储器;所述处理电路从所述第一组多个数据包重建所述第一加密文件的所述至少一部分,并解密所述第一加密文件的所述至少一部分,生成解密序列;所述处理电路应用服务功能来处理所述解密序列;所述处理电路加密所述解密序列,生成加密序列;所述处理电路从所述加密序列构建第二组多个数据包,并将所述第二组多个数据包发往所述目的终端设备。
本发明所述的网络节点包括路由器。
本发明所述的网络节点包括接入点。
在本发明所述的网络节点中,所述处理电路使用私有密钥进行所述解密,使用公共密钥进行所述加密。
根据本发明的一个方面,提供一种由分组交换通信路径上的分组交换机执行的方法,所述方法包括从源终端设备接收带有第一加密载荷的第一数据包;使用私有密钥对所述第一加密载荷执行解密处理,生成第一解密载荷;分析所述第一解密载荷;使用公共密钥对所述第一解密载荷执行加密处理,生成第二加密载荷;使用第二加密载荷构建第二数据包;将所述第二数据包发往目的终端设备。
在本发明所述的方法中,所述公共密钥与所述目的终端设备相关联。
在本发明所述的方法中,所述第一加密载荷由所述源终端设备使用另一公共密钥生成,所述另一公共密钥与所述分组交换机相关联。
借助下文中的具体实施方式
并参考相应附图,本发明的特点和优势将变得更加清晰。
图1A是本发明通信架构的结构示意图,其中的中间网络节点接收源终端设备和目的终端设备之间交换的数据包。
图1B是本发明通信架构的结构示意图,其中的中间网络节点接收源终端设备和目的终端设备之间交换的数据包,并参与加密过程,以支持对加密数据包载荷的内容进行分析;图2是依据本发明图1A中实施例构建的网络节点(交换机/路由器/ISPN/AP)的结构示意图;图3是依据本发明图1A中实施例构建的分组交换机的结构示意图;图4是依据本发明图1A中实施例构建的终端设备(服务器和/或客户端)的结构示意图;图5是依据本发明图1A中实施例构建的接入点的结构示意图;图6A是本发明一实施例的结构示意图,其中将加密文件分段打包后经互联网骨干网发送,而网络节点支持对加密文件进行数据包分析;图6B是依据本发明图6A中实施例构建的源/目的终端设备(服务器和/或客户端)的结构示意图;图7是本发明另一实施例的结构示意图,其中在网络节点中内置有代理服务器,用于支持对加密文件进行数据包分析;图8是依据本发明图6A和图7中实施例构建的网络节点(交换机/路由器/ISPN/AP)的结构示意图;图9是图1B、2、3、4和5中网络节点的功能的一般流程的流程图;图10是图1B、2、3、4和5中网络节点的功能的详细流程的流程图;图11是图8中网络节点的功能的一般流程的流程图。
具体实施例方式
图1A和图1B是本发明通信架构的结构示意图,其中所示的中间网络节点接收源终端设备和目的终端设备之间交换的数据包,并参与加密过程,以支持对加密数据包载荷的数据包内容分析。具体来说,在图1A中展示的通信架构181中,网络191中的中间节点197将从源终端设备即服务器195收到的加密数据包路由给目的终端设备即个人计算机193。除进行路由外,中间节点197解密上述数据包,执行载荷内容分析,并根据分析结果和相关的逻辑激活本地或远端服务。正如在许多附图中展示的那样,本文还介绍了可执行这些功能的本发明的许多实施例。
例如,在图1B所示的实施例中,源终端设备141通过中间网络节点107向目的终端设备161发送加密文件或加密数据包。源终端设备141和目的终端设备161可以是服务器、个人计算机、笔记本计算机、手持计算机、电话机,或出于安全性目的而收发加密数据包或文件的任意其他用户设备。此外,图中将网络节点107描述为互联网骨干网中参与服务模块分析和加密文件或数据包转发过程的节点中的一个。网络节点107可以是分组交换机(PSE)、路由器/交换机、接入点(AP)或互联网服务提供商设备。
中间网络节点107包括处理电路109、通信连接到处理电路109的加密管111和解密管113。加密管111和解密管113可以使用硬件来实现,以便加快对收到的数据包的加密和解密。此外,网络节点107还包括本地存储器123和多个网络接口125。本地存储器123还包括加密/解密和/或编码/解码(ENC/DEC/ENCR/DECR)管理器115,用于对收到的数据包进行加密和解密。路由规则121用于协助将数据包发往目的终端设备。此外,如果需要,加密和解密管理器115还可生成公共密钥和私有密钥对,如公共密钥1 117和私有密钥1 119。
源终端设备141包括处理电路143、使用硬件实现的加密管145和解密管147。或者,加密管和解密管还可使用软件(未示出)来实现。位于源终端设备中的本地存储器157还包括加密/解密和/或编码/解码(ENC/DEC/ENCR/DECR)管理器149。加密和解密管理器149在加密过程中生成公共密钥和私有密钥对,如公共密钥2 151和私有密钥2 153。此外,源终端设备还具有网络接口155,用于与外部设备、网络节点和目的终端设备161通信。
同理,目的终端设备161包括处理电路163、通信连接到该处理电路的使用硬件来实现的加密管165和解密管167。或者,加密管和解密管还可使用软件(未示出)来实现。目的终端设备还包括本地存储器177,其进一步包括加密/解密和/或编码/解码(ENC/DEC/ENCR/DECR)管理器169。加密和解密管理器169在解密过程中生成公共密钥和私有密钥对,如公共密钥3 171和私有密钥3 173,并在请求下载加密数据包或文件时,将公共密钥3 171发往目的终端设备。
虽然如此,但公共和私有密钥对的生成过程以及公共密钥的交换过程还可同时在两端(也就是在源终端设备和目的终端设备之间)进行,在下文中,我们将看到由目的终端设备生成密钥对,并发送公共密钥。下文将分别结合图2、3、4和5来详细描述本发明的路由器、分组交换机(PSE)、服务器/客户端、接入点。
例如,个人计算机193(即目的终端设备161)可请求以安全方式从服务器195(即源终端设备141)下载文件。由于互联网或企业内部网通信都是不安全的,因此,此次下载可使用加密套接字层(SSL)协议或公共密钥加密技术来进行。公共密钥加密技术使用两个密钥,公共密钥是用来对将要下载的文件进行加密的,私有密钥是用来对已下载文件进行解密的。公共密钥既可从源终端设备141也可从目的终端设备161获得,但私有密钥只有目的终端设备161才知道。SSL协议使用公共密钥加密技术生成对称密钥,然后使用该对称密钥来加密和解密。虽然本文仅仅列举了文件下载过程中用到的公共密钥加密方式,但本发明介绍的技术方案还可使用任意其他加密方法。
将要下载的文件中的这些加密数据包将经由互联网骨干网191进行传送,其中将经过中间网络节点107。在中间网络节点107收到第一加密数据包后,加密/解密管理器115识别出该数据包是经过加密的,若不对其进行解密,将无法进行数据包分析。因此,加密/解密管理器115向目的终端设备161请求私有密钥3 171。私有密钥3 171将通过另一公共密钥加密会话以安全方式接收,或者通过任意其他安全方式来接收。也就是说,通过使用公共密钥加密技术,加密/解密管理器115发送其数字证书和公共密钥,并与目的终端设备161建立一不同会话。因此,加密/解密管理器115以安全方式接收私有密钥,解密第一加密数据包。加密/解密管理器115使用解密管113来快速解密第一加密数据包。一旦解密完成,加密/解密管理器将丢弃该私有密钥。或者,除了在将每个数据包解密完成之后将该私有密钥丢弃之外,加密/解密管理器115还可以安全的方式保存该私有密钥,直到源终端设备和目的终端设备之间会话过程中的所有加密数据包都已解密完成后,再丢弃该私有密钥。
一旦解密完成,便将对数据包进行分析,并应用服务模块。在分析数据包的过程中,服务模块管理器(SMM,未示出)将第一加密数据包的内容与触发器模板进行比较,若出现完全匹配或者部分匹配,则执行与匹配结果相关联的触发器逻辑。触发器模板可包括包头模板、载荷模板和补充模板。随后,服务模块管理器将应用触发器逻辑中指示的一个或多个服务模块处理。为给定数据包所选择的具体服务模块处理与触发器逻辑和模板中的指示有关。若数据包中包含专门的请求,还可在包含服务模块管理器和服务模块的任意设备上,由服务模块管理器对该数据包应用服务模块(SM)处理。若触发器逻辑中指示的服务模块在设备中不可用,则可中止数据包的路由,并将第一加密数据包的副本发往包含所需的服务模块的另一设备/节点,转而使用外部的服务模块。因此,在分析和应用服务模块的整个过程中,载荷内容的安全性能够得到保证。
加密/解密管理器115随后使用加密管111来加密处理过的第一解密数据包。为实现此操作,加密/解密管理器115与目的终端设备161建立另一安全会话来接收新的公共密钥。目的终端设备161为此次会话生成一个新的密钥对,然后将公共密钥发往中间网络节点107。或者,加密/解密管理器115可向源终端设备141请求对第一加密数据包进行加密时所使用的公共密钥。在这种情况下,加密/解密管理器115重新创建第一加密数据包。一旦加密完成,该数据包将转发给交换机(未示出),以便将该数据包路由给目的终端设备161。加密/解密管理器115还可在重新加密过的数据包中添加标签,以使数据包在发往目的终端设备161的过程中不用经历延迟。通过添加标签,参与该数据包传输的其他节点便可识别出该数据包已经被处理过。
在另一实施例中,源终端设备141还可在将文件分割为多个数据包之前对将要下载的整个文件进行加密。在这种情况下,中间网络节点107将无法对数据包进行分析以及应用服务模块。根据本发明,中间网络节点107收集并缓存收到的经加密文件数据包,直到最后一个数据包也已经收到,然后对整个文件进行分析并应用服务模块,然后重新加密、打包,然后发往目的终端设备161。相关的实施例将结合图6、7和8进行描述。
同样,尽管在图1A和1B中所展示的本发明实施例中,分别将源终端设备和目的终端设备表示为服务器和个人计算机,但这些终端设备并非仅限于服务器和个人计算机,还可以是其他类型的设备,包括但不限于两台服务器或两台客户端设备。同理,终端设备之间数据流的方向还可与图中所示方向相反,或者同时在两个方向上进行。其他方案也是可行的。
图2是依据本发明图1A中实施例构建的网络节点(交换机/路由器/ISPN/AP)的结构示意图。网络节点电路207可以是能够路由数据包的任意互联网节点电路,而且该电路还可部分的或全部安装在任意网络设备如交换机、路由器、ISPN或接入点中。网络节点电路207通常包括处理电路209、本地存储器211、管理器接口217和网络接口223。这些组件通过系统总线、专用通信路径或其他直接或间接通信路径中的一个或多个彼此相连。在不同实施例中,处理电路209可以是微处理器、数字信号处理器、状态机、专用集成电路、现场可编程门阵列或其他处理电路。处理电路209通信连接到加密管241和解密管243。加密管241和解密管243可以使用硬件实现,以加快加密和解密处理过程。
本地存储器211可以是随机访问存储器、只读存储器、闪存、磁盘驱动器、光驱动器、或可用于存储计算机指令和数据的其他类型存储器。本地存储器211包括加密/解密和/或编码/解码(ENC/DEC/ENCR/DECR)管理器245和公共和私有密钥对注册表,例如公共密钥1 247和私有密钥1 249。本地存储器211还包括有路由规则257,用于管理数据包流的路由。
此外,网络接口223还包括有线和无线数据包交换接口227、有线和无线电路交换接口229,网络接口223还可包含内置或独立的接口处理电路225。网络接口223使得网络设备可与其他网络设备通信,以及使得处理电路209可以收发加密数据包、获取密钥来解密数据包,以便对其进行分析。此外,当本地存储器中的服务模块不可用时,网络接口223还使得可以使用外部的这种服务模块(SM)来进行分析和处理,管理器接口217可包括显示器和键盘接口。这些管理器接口使得网络交换机的用户可对本发明的特性,如加密/解密管理器245的特征进行控制。
与图中展示的内容相比,在其他实施例中,本发明的网络节点207还可包含更少或更多的组件,以及更少或更多的功能。换句话说,图中所示的网络设备仅仅给出了本发明可能功能和结构的一个实施例。下文将结合图3和5,根据PSE和AP来描述本发明网络节点的其他可能实施例。
网络设备207通过网络285通信连接到外部网络设备如设备271。外部网络设备271也可包含有本发明介绍的组件,如外部处理电路273、外部存储器(未专门示出),而外部存储器又包含外部加密/解密管理器279和公共和私有密钥对注册表例如公共密钥4281和私有密钥4283。此外,外部处理电路273还可包括有本发明的硬件部件,如加密管275和解密管277。
图3是依据本发明图1A中实施例构建的分组交换机的结构示意图。分组交换机(PSE)电路307可以指图1A中展示的互联网骨干网191中的任意网络节点。分组交换机电路307通常包括包含有通用主处理卡355的路由器375、交换机309和多个线路卡315和381。此外,分组交换机307还包含外部设备371,如存储单元或用户接口(未示出)。在不同情况下,线路卡315和381可以不同。
第一线路卡315包括网络接口325,用于连接有线和无线网络如10Mbit、1000Mbit以太网、3Gbit DWDM(密集波分复用)光纤网络。第一线路卡315还包括有交换机接口345,用于将其自身连接到互联交换机309。此外,第一线路卡315还包括有辅助处理电路335,用于在互联交换机309路由数据包之前对这些数据包进行预处理。辅助处理电路335包括转发引擎337和路由缓存。
通用主处理卡355进一步包括核心主处理电路357,其通信连接到加密管341和解密管343。加密管341和解密管343可以使用硬件来实现,以加快加密和解密处理过程。通用主处理卡355还包含加密/解密和/或编码/解码(ENC/DEC/ENCR/DECR)管理器347、公共和私有密钥对注册表,例如公共密钥1 353和私有密钥1 351。
当想要通过网络接口路由的数据包到达分组交换机后,辅助处理电路335判断该数据包是否进行过加密。若是,且若需要对该数据包进行分析,则将加密的数据包发往通用主处理卡335。随后,加密/解密管理器347获取私有密钥来解密该数据包,然后将该数据包发往对应的通用主处理卡355中的组件进行进一步的分析和处理。在分析和服务模块应用完成后,若指示需要进一步路由,则获取公共密钥将数据包再次加密、添加标签,然后向目的终端设备路由。
图4是依据本发明图1A中实施例构建的终端设备(服务器和/或客户端)的结构示意图。服务器/客户端电路407可以是发起和/或最终接收加密数据包的任意设备电路,且该电路可以部分的或全部集成在图1A和图1B中描述的终端设备中。服务器/客户端电路407通常包括处理电路409、本地存储器411、用户接口417和网络接口423。这些组件通过系统总线、专用通信路径或其他直接或间接通信路径中的一个或多个彼此相连。在不同实施例中,处理电路409可以是微处理器、数字信号处理器、状态机、专用集成电路、现场可编程门阵列或其他处理电路。使用硬件实现的加密管441和解密管443通信连接到处理电路409,当用在服务器和客户端如个人计算机中时,这些组件也可以通过软件来实现。
本地存储器411可以是随机访问存储器、只读存储器、闪存、磁盘驱动器、光驱动器、或可用于存储计算机指令和数据的其他类型存储器。本地存储器411包含有上文描述过的加密/解密管理器445,在本实施例其仅以简化形式出现。此外,本地存储器411中还包括有密钥注册表,或者在需要进行加密处理时生成密钥,如公共密钥1447和私有密钥1449。
此外,网络接口423还包含有线和无线数据包交换接口427、有线和无线电路交换接口429,网络接口423还可包含有内置或独立的接口处理电路425。网络接口423使得终端设备可以与其他终端设备通信。用户接口417可包括显示器和键盘接口。
与图中展示的内容相比,在其他实施例中,本发明的网络设备407还可包含更少或更多的组件,以及更少或更多的功能,而且可以适用于数据包交换功能,而不是语音包交换。换句话说,图中所示的终端设备仅仅给出了本发明可能功能和结构的一个实施例。
终端设备407通过网络455通信连接到外部网络设备,如设备471。外部网络设备471也可包含本发明介绍的组件,例如加密管475、解密管477、加密/解密管理器479和密钥注册表。密钥注册表可包括有公共和私有密钥,例如公共密钥4 481和私有密钥4 483。
在需要保障安全性的情况下,服务器或客户端设备之间的通信通常是通过收发加密数据包的方式来进行的。这些数据包将使用位于终端设备上的密钥进行解密。当网络节点如远端设备471请求公共或私有密钥以便进行数据包分析时,加密/解密管理器445通过确认设备471所发送的数字整数来验证远端设备471的身份。在身份确认之后,加密/解密管理器445便使用安全会话来发送所请求的密钥。
图5是依据本发明图1A中实施例构建的接入点575的结构示意图505。接入点电路575可以指图1中描述的互联网骨干网191中的任意节点。AP电路575通常包括多个通信路径电路515、581、核心主处理电路555和交换机509。在一些实施例中,通信路径电路515-581可以不同。第一通信路径电路515包括可用于连接有线和无线网络的有线和/或无线网络接口525,可用于连接互联交换机509的交换机接口545,以及辅助处理电路535。在互联交换机509路由数据包之前,辅助处理电路535对数据包进行预处理。
核心主处理电路555通信连接到加密管541和解密管543,加密管541和解密管543可以使用硬件实现,以便能够快速加密和解密数据包。此外,接入点电路575包括有加密/解密管理器545和密钥注册表如公共密钥1547和私有密钥1549。接入点电路575的工作方式类似于图3中描述的分组交换机307,只是包含了简化的组件。
图6A是本发明一实施例的结构示意图605,其中将加密文件分割打包后经互联网骨干网发送,而网络节点支持对加密文件进行数据包分析。互联网骨干网619可包含多个网络节点如节点625到636,所有这些节点彼此之间通信连接。此外,源终端设备(服务器)617和目的终端设备(个人计算机)607之间通过接入点(AP)615、互联网服务提供商网络(ISPN)613和网络节点627、626和625、互联网服务提供商网络(ISPN)609和接入点611(也就是图中由虚线表示的路径641)进行通信。
源终端设备617可在将将要下载的文件分割为数据包之前对整个文件进行加密。在这种情况下,网络节点627、626或625将无法对数据包进行分析,以及对其应用服务模块。根据本发明,网络节点627、626或625其中的一个节点(可能是路径641上的第一节点627)将收集并缓存收到的经过加密并分割为数据包的文件,直到收到最后一个数据包。随后,网络节点627对整个文件进行分析,并对其应用服务模块,然后重新加密、分割打包,然后发往目的终端设备607。如图所示,发起自源终端设备617的、经过加密的将要下载的文件的所有数据包经路径641进行传送,由源终端设备控制这条通信路径。
图6B是依据本发明图6A中实施例构建的源/目的终端设备661(服务器和/或客户端)的结构示意图651。在图6A中所描述的本发明实施例中,由源终端设备617或目的终端设备607对传输路径进行控制,使得加密文件的所有数据包经同一通信路径传输。源/目的终端设备电路661通常包括处理电路653、本地存储器677、用户接口(未示出)和网络接口675。这些组件通过系统总线、专用通信路径或其他直接或间接通信路径中的一个或多个彼此相连。在不同实施例中,处理电路653可以是微处理器、数字信号处理器、状态机、专用集成电路、现场可编程门阵列或其他处理电路。使用硬件实现的加密管441和解密管443通信连接到处理电路653,当用在服务器和客户端如个人计算机中时,这些组件也可以通过软件来实现。网络接口675可包含有线和无线数据包交换接口、有线和无线电路交换接口,该网络接口也可包含内置或独立的接口处理电路。网络接口675使得终端设备可以与其他终端设备通信。
本地存储器677可以是随机访问存储器、只读存储器、闪存、磁盘驱动器、光驱动器、或可用于存储计算机指令和数据的其他类型存储器。本地存储器677包括上文描述过的加密/解密管理器669,在本实施例其仅以简化形式出现。此外,本地存储器677中还包括密钥注册表,或者在需要进行加密处理时生成密钥,如公共密钥3671和私有密钥3673。此外,该存储器中还包括路径分析模块655和路径控制模块657,用于协助对图6A中的通信路径进行控制。
图7是本发明另一实施例的结构示意图705,其中在网络节点中内置有代理服务器,用于支持对加密文件进行数据包分析。互联网骨干网719可包含多个网络节点如节点725-736,所有这些节点彼此之间通信连接。此外,源终端设备(服务器)707和目的终端设备(个人计算机)717可通过接入点(AP)711、互联网服务提供商网络(ISPN)709和网络节点725、726和727、以及互联网服务提供商网络(ISPN)713和接入点715进行通信。或者,在本实施例中,源终端设备707和目的终端设备717可使用互联网骨干网719中的任意其他节点进行通信。
图7所示的实施例是图6A所描述实施例的替代方案,在本实施例中,目的终端设备717要求在网络节点即节点727中内置代理服务器741,以便从源终端设备707下载加密文件。代理服务器741向源终端设备707发出请求,收集加密文件的所有数据包,随后进行解密、分析及处理该文件。当所有这些处理过程完成后,节点727将数据包路由给目的终端设备717。
图8是依据本发明图6A和图7中实施例构建的网络节点(交换机/路由器/ISPN/AP)的结构示意图805。网络节点(交换机/路由器/ISPN/AP)电路807还包含图2中所描述电路以外的其他电路,使得其可以处理经过其传送的加密文件。网络节点电路807可以是路由数据包的任意互联网节点电路,并且可以部分的或者全部集成在任意网络设备如交换机、路由器、ISPN或接入点中。网络节点电路807通常包括处理电路809、本地存储器811、管理器接口817和网络接口883。这些组件通过系统总线、专用通信路径或其他直接或间接通信路径中的一个或多个彼此相连。在不同实施例中,处理电路809可以是微处理器、数字信号处理器、状态机、专用集成电路、现场可编程门阵列或其他处理电路。处理电路809通信连接到加密管841和解密管843。加密管841和解密管843可以使用硬件来实现,以加快加密和解密的速度。
此外,网络接口883包含有线和无线数据包交换接口887、有线和无线电路交换接口889,网络接口883还包括内置或独立的接口处理电路885。网络接口883使得网络设备可与其他网络设备通信,并使得处理电路809可收发加密数据包,以及获取密钥以对数据包进行解密,以便对数据包进行分析。此外,当本地存储器中的服务模块不可用时,网络接口883还使得可使用外部服务模块来对数据包进行分析和处理。
本地存储器811可以是随机访问存储器、只读存储器、闪存、磁盘驱动器、光驱动器、或可用于存储计算机指令和数据的其他类型存储器。本地存储器811包括加密/解密和/或编码/解码(ENC/DEC/ENCR/DECR)管理器845和公共和私有密钥对注册表如公共密钥1 847和私有密钥1 849。本地存储器211还包括有路由规则857,用于管理数据包流的路由。存储器中还包含有代理流管理器851和缓存853,用于处理到达节点的经加密打包传送的文件。在不同实施例中,代理流管理器851还可用作代理服务器,用于代表目的终端设备请求加密文件。
管理器接口817可包含显示器和键盘接口。这些管理器接口使得网络交换机的用户可对本发明的特行,如加密/解密管理器845的特征进行控制。
图9是图1B、2、3、4和5中网络节点的功能的一般流程的流程图905。网络节点的功能开始于步骤907。在下一步骤909,网络节点从源终端设备接收加密数据包。在下一步骤911,网络节点使用对应的私有密钥来解密这些数据包。为实现此目的,网络节点与目的终端设备建立另一安全会话,以此来获取私有密钥。一旦解密完成,若有指示时,由网络节点执行载荷分析,并应用服务模块。
随后,在下一步骤921,网络节点对数据包再次加密。这一过程可采用两种方式来完成。第一种方式是与目的终端设备建立一个新的安全会话,然后再次加密数据包。第二种方式是从源终端设备获取公共密钥,然后使用该公共密钥来加密数据包。此后,本方法结束于结束步骤923。
图10是图1B、2、3、4和5中网络节点的功能的详细流程的流程图1005。本方法开始于开始步骤1007。随后,在下一步骤1009,网络节点从源终端设备接收加密数据包。该源终端设备可以是服务器,其正尝试以加密的方式向客户端发送下载文件。在下一步骤1011,网络节点向客户端(或目的终端设备)请求对应的私有密钥。
为进行路径分析并应用服务模块,网络节点需要解密该数据包,并执行载荷分析。通常,为能以安全方式通信,源终端设备和目的终端设备在彼此之间建立一个加密通信会话。这一过程开始于目的终端设备生成密钥对,即公共密钥和私有密钥,然后将公共密钥发往源终端设备以便进行加密。只有对应的私有密钥才能解密加密的数据包。网络节点通过建立另一加密会话,来以一种安全方式获得该私有密钥。
随后,在下一判断步骤1013,网络节点检查是否已收到该私有密钥。若否,则本过程结束于结束步骤1023,且若数据包中明确指示,则将数据包直接路由给目的终端设备而不对其进行载荷分析,或者将数据包丢弃。若已收到私有密钥,则在下一步骤1015,使用收到的私有密钥来解密加密过的数据包。若在数据包中明确指示,则随后将执行数据包载荷分析,及应用服务模块。一旦解密完成,则出于安全性方面的考虑,私有密钥将被丢弃,或者在网络节点中保存一段预定的时间,以便能够快速解密下载文件中在当前加密数据包后面到达的加密数据包。
随后,在下一步骤1017,网络节点向目的终端设备请求新的公共密钥。或者,还可向源或目的终端设备请求前次加密过程中用过的公共密钥。随后,在下一判断步骤1019,网络节点检查是否已从目的终端设备收到新的公共密钥。若否,则处理过程结束于结束步骤1023,出于安全性方面的考虑,解密的数据包将被丢弃。若是,则将在下一步骤1021使用收到的公共密钥来加密解密过的数据包。一旦加密完成,将在数据包中添加标签,以告诉随后的网络节点,该数据包已经由服务模块处理过,然后向目的终端设备路由该数据包。本方法结束于下一步骤1023。
图11是图8中网络节点的功能的一般流程的流程图1105。本方法开始于步骤1107。然后在下一步骤1109,网络节点从源终端设备收到加密文件的数据包,每次接收一个。在下一步骤1111,网络节点将所有数据包存储在缓存中,直到最后一个数据包到达。
在下一步骤1113,网络节点发送私有密钥请求,从目的终端设备接收对应的私有密钥。随后,在下一步骤1115,网络节点将缓存中的所有数据包重新组合为文件,解密整个文件,并对该文件进行分析。在下一步骤1117,网络节点使用新的公共密钥再次加密该文件,并分割打包为数据包,发往目的终端设备。本方法结束于下一步骤1119。
本发明通过借助方法步骤展示了本发明的特定功能及其关系。所述方法步骤的范围和顺序是为了便于描述任意定义的。只要能够执行特定的功能和顺序,也可应用其它界限和顺序。任何所述或选的界限或顺序因此落入本发明的范围和精神实质。
本发明还借助功能模块对某些重要的功能进行了描述。所述功能模块的界限和各种功能模块的关系是为了便于描述任意定义的。只要能够执行特定的功能,也可应用其它的界限或关系。所述其它的界限或关系也因此落入本发明的范围和精神实质。
本领域普通技术人员还可知,本申请中的功能模块和其它展示性模块和组件可实现为离散组件、专用集成电路、执行恰当软件的处理器和前述的任意组合。
此外,尽管以上是通过一些实施例对本发明进行的描述,本领域技术人员知悉,本发明不局限于这些实施例,在不脱离本发明的精神和范围的情况下,可以对这些特征和实施例进行各种改变或等效替换。本发明的保护范围仅由本申请的权利要求书来限定。
权利要求
1.一种互联网架构中参与通信路径的分组交换机,其中所述通信路径支持从源终端设备到目的终端设备的第一加密数据包的传送,其特征在于,所述分组交换机包括包含解密管和加密管的处理电路;通信连接到所述处理电路的多个网络接口;第一组多个网络接口,在从所述源终端设备收到所述第一加密数据包后,将其发往所述处理电路;所述处理电路使用所述解密管解密所述第一加密数据包,生成第一解密数据包;所述处理电路将所述第一解密数据包与至少一个触发器模板进行比较;所述处理电路使用所述加密管加密所述第一解密数据包,生成第二加密数据包;所述处理电路通过第二组多个网络接口将所述第二加密数据包发往所述目的终端。
2.根据权利要求1所述的分组交换机,其特征在于,所述分组交换机包括路由器。
3.根据权利要求1所述的分组交换机,其特征在于,所述分组交换机包括接入点。
4.根据权利要求1所述的分组交换机,其特征在于,所述解密管使用第一密钥。
5.根据权利要求4所述的分组交换机,其特征在于,所述加密管使用第二密钥。
6.一种通信架构,其特征在于,包括中间网络节点;通信连接到所述中间网络节点的目的端设备;通信连接到所述中间网络节点的源端设备,所述源端设备使用第一公共密钥生成包含第一加密载荷的第一数据包,且所述第一数据包包含有所述目的端设备的网络地址;所述中间网络节点接收所述第一数据包,使用第一私有密钥从所述第一加密载荷生成第一解密载荷;所述中间网络节点对所述第一解密载荷执行处理功能;所述中间网络节点使用第二公共密钥生成包含有第二加密载荷的第二数据包;所述目的端设备接收所述第二数据包,使用第二私有密钥从所述第二加密载荷生成第二解密载荷。
7.根据权利要求6所述的通信架构中,其特征在于,所述目的端设备将所述第一公共密钥发送给所述源端设备。
8.根据权利要求6所述的通信架构中,其特征在于,所述中间网络节点将所述第一公共密钥发送给所述源端设备。
9.一种互联网架构中的网络节点,接收从源终端设备发往目的终端设备的代表第一加密文件的至少一部分的第一组多个数据包,其特征在于,所述网络节点包括接收所述多个数据包的接口电路;存储器;通信连接到所述接口电路的处理电路,用于将通过所述接口电路收到的所述第一组多个数据包发往所述存储器;所述处理电路从所述第一组多个数据包重建所述第一加密文件的所述至少一部分,并解密所述第一加密文件的所述至少一部分,生成解密序列;所述处理电路应用服务功能来处理所述解密序列;所述处理电路加密所述解密序列,生成加密序列;所述处理电路从所述加密序列构建第二组多个数据包,并将所述第二组多个数据包发往所述目的终端设备。
10.一种由分组交换通信路径上的分组交换机执行的方法,其特征在于,所述方法包括从源终端设备接收带有第一加密载荷的第一数据包;使用私有密钥对所述第一加密载荷执行解密处理,生成第一解密载荷;分析所述第一解密载荷;使用公共密钥对所述第一解密载荷执行加密处理,生成第二加密载荷;使用第二加密载荷构建第二数据包;将所述第二数据包发往目的终端设备。
全文摘要
本发明涉及一种互联网架构,包括网络节点(接入点/路由器/交换机)和终端设备,通过加密管、解密管和加密/解密管理器在需要时分析加密数据包并应用服务模块。网络节点包括处理电路、加密管电路、解密管电路、存储器、加密/解密管理器,或者还可包括有代理流管理器和缓存。加密/解密管理器使用解密管解密每个加密数据包,生成解密数据包。处理电路应用服务功能处理解密数据包,生成处理后的数据包。加密/解密管理器使用加密管电路加密处理后的数据包,生成再次加密数据包。处理后且再次加密的数据包将发往目的终端设备。代理流管理器存储加密文件的每个数据包,直到最后一个数据包到达,然后加密文件将进行分析操作,并应用服务模块。
文档编号H04L9/28GK101068207SQ200710102980
公开日2007年11月7日 申请日期2007年4月26日 优先权日2006年5月5日
发明者詹姆士·D·贝内特 申请人:美国博通公司