专利名称:用于安全数据传送的ip跳跃的制作方法
技术领域:
本发明涉及通信领域,并且特别涉及经由网际协议(IP)的数据通信。
背景技术:
传统上,因特网以及其它网络内的通信采用网际协议(IP)来实施。为了从服务器A向客户机B传送文件,客户机B使用与服务器A相关的IP地址向服务器A发送请求,并为服务器A提供返回IP地址以便在应答该请求时使用。典型地,该返回IP地址涉及客户机B上被配置成接收输入数据的端口。
存在着许多方案来不正当地从服务器获取资料。例如,一个冒名顶替者可以截获预定发送至特定服务器的请求,并以不同的IP地址替换请求中的返回地址。在不同的IP地址上接收到与所述请求相对应的数据后,冒名顶替者将此数据重新发送到原始的返回地址,这样请求方就不知道数据已被不正当接收。在另一方案中,冒名顶替者模仿用于准许授权用户对数据集访问的通信,并继而提交请求以便将数据下载至冒名顶替者的系统。
通过阻止截获者对被截获的数据的信息内容进行解密,加密技术可用于保护可能被截获的数据。但是,随着加密技术的进步,在密码破译、密钥确定方面的技术亦得以改进。伴随着增强的计算能力可利用,以及破译口令的协作式分布努力的普遍化,任何传输的安全性都不能被保证。
大多数的加密处理是耗时和耗资源的任务,并且可能对于常规的数据传输是不实用的。即,并非所有的数据都被认为是足以敏感到保证加密。然而,同时,一些数据位于“机密的”与“公开的”二者之间,并且一定程度的安全性将是优选的,尽管非以加密此数据为代价。
发明内容
本发明的一个目的是提供一种改善IP数据传送安全性的安全方法与设备。本发明的进一步的目的是提供不要求对数据进行数据加密的用于安全IP数据传送的一种安全方法与设备。本发明的进一步的目的是提供一种改善加密的IP数据分组传送的安全性的安全方法与设备。
这些目的以及其它目的通过提供一种系统与协议来实现,其中在数据集的传送期间,用于请求该数据集内数据的IP地址被改变。此改变的地址可包括一个服务器上不同端口的IP地址,或可表示不同服务器的IP地址。IP地址的改变模式对于客户机和服务器来说是已知的,并且最好对其它方是保密的。在不知道IP地址改变模式的情形下,窃听者难以截获此数据集。为了进一步增强该方案的安全性,服务器被配置为在改变的IP地址上期待后续请求。如果后续的请求未在一个门限时间周期内到达,服务器被配置为终止请求方对该数据集的进一步访问。
参照附图并且利用示例进一步具体解释本发明,其中图1示出依照本发明的用于客户机系统的一个示例流程图;图2示出依照本发明的客户机-服务器系统的一个示例方块图;图3示出依照本发明的用于服务器系统的一个示例流程图。
在所有附图中,相同标号表示相同或相应的特征或功能。
具体实施例方式
为了便于参考,在下文中,根据本发明,术语“服务器系统”用于标识被配置成实现至客户机的数据通信的一个或多个服务器。每个服务器具有与此服务器上的一个或多个端口中的每一个端口相关的唯一IP地址,所述端口用于接收IP消息。
图1示出依照本发明用于访问数据集的客户机系统的一个示例流程图。在110,客户机选择一个IP地址以便从与该IP地址相关的服务器系统中传送数据传输的请求。在120,客户机向此IP地址发送请求,并且在130接收为响应该请求而从服务器系统传送的数据。为了接收诸如对应于Web页(web网页)的数据、或对应于音频/可视记录的数据之类的完整数据集,通过步骤120-130的循环典型地以连续的方式发送多个请求,直到接收整个数据集。如果在从服务器系统到客户机的信息传送期间出现问题,则在150客户机异常终止处理,并且典型地将该问题通知客户机的用户。这些步骤120-150在本领域中是公知的。
依照本发明,客户机进程循环返回经过IP地址选择框110,以便根据给出的地址转换算法来选择相同或不同的IP地址。该地址转换算法可包括多种用来改变IP地址的方案中的任何一种,最好采用难以推断的、缺乏针对这种算法的“密钥(key)”的模式。
在一简单实施例中,数据集可以分布在各种服务器之间,并且算法的密钥知道哪个IP地址用于分布数据集的每个分段(segment)或子集。对于要求以特定方式访问的数据,诸如具有均相对于在先或后续I帧的P和B帧的视频流,在各种服务器之间的帧分布能用于防止对资料内容的未经授权的浏览,而不要求数据集的加密。
在可选择的实施例中,数据集物理上未分布于各种服务器之间,但对该数据集的访问却分布于这些服务器之间。即,一个公用服务器可被配置成仅接受来自其它服务器的选择集的请求。这些其它服务器是从客户机接收请求的服务器。当这些其它服务器中的每一个服务器接收到一个请求时,它将此请求传送给公用服务器,对公用服务器的请求的返回地址为客户机的返回地址。如果一个不正当客户机未按正确顺序访问其它服务器,从公用服务器发送到该客户机的数据一般将是不可理解的。
鉴于本公开内容,上述方案的变型对于本领域普通技术人员来说是显而易见的。例如,数据集可以以“置乱的”形式存储在公用服务器上,其中在没有密钥的情况下从公用服务器直接下载数据集将不允许针对该数据集内数据的置乱顺序的有意义的解码或再现(render)。在该实施例中,接收客户机请求的各个服务器包含在客户机的相继排序的对数据集的分组的请求与置乱的数据集中分组的相应实际位置之间的映射。以这种方式,公用服务器接收对来自数据集的无序位置的分组的请求,并以这种“无序的”序列将此数据传送至客户机。然而,如果客户机以正确的顺序访问各个服务器,这种“无序的”序列对应于置乱的数据集的解置乱,并且客户机以相应于原始的、未置乱的数据集的正确序列接收分组。该实施例尤其适于动态地改变访问序列,其中IP地址的顺序对于每次通信会话能够动态地进行改变,仅需要改变每个服务器上的映射。在多客户机系统中,服务器将被配置为包含对应于每个当前客户机的映射。
图2示出依照本发明的一个示例客户机-服务器系统200。客户机-服务器系统200包括传送请求给服务器系统220的客户机210。如上所述,服务器系统220与多个IP地址230相关,并可包括多个服务器,每个服务器具有一个或多个IP地址。服务器系统220包含将数据集250的每个子集与IP地址230之一相关联的映射240。映射240可以是逻辑映射或物理映射。即,此映射可以是将数据集250的每个子集与一个IP地址230相关联的序列表,或者此映射可以对应于与IP地址230相对应的服务器上的数据集250的子集的物理布局。在任一情况中,对数据集250的正确检索要求来自客户机210的请求的适当排序。在本发明的一个优选实施例中,服务器系统被配置为向客户机传送初始化信息以便于适当序列的确定,如下文进一步讨论的。
如图2的示例所示,IP地址1与数据集250的子集B相关,并且IP地址2与数据集250的子集A相关。如果要从子集A中并随后从子集B中检索数据,则必须向IP地址2以及随后向IP地址1提交对这些子集的请求。IP地址的任何其它序列将不能提供随后为子集B的子集A。注意数据的多个子集可能与一个特定的IP地址相关。例如,子集C也可以与IP地址1相关,而子集D与IP地址2相关。在该示例中,子集A-B-C-D的顺序检索分别要求对IP地址2-1-1-2的请求序列。
在一个更安全的实施例中,服务器系统参与实施安全性过程,并且在请求序列未以正确顺序发生时终止通信。图3示出依照本发明这一方面的用于服务器系统的示例流程图。在此实施例中,在310,服务器系统利用相应于图1中框110的算法的一个算法来跟踪IP地址请求的选择。在320,服务器系统连续监视对选择IP地址的请求的输入。如果接收一个请求,在330,处理它,并发送请求的数据。如果在320未接收请求,则在340服务器系统确定是否已发生超时。如果未过超时周期,服务器系统继续循环,在320检测请求,或在340检测超时。如果已过超时周期,在350,服务器系统异常终止对来自当前数据集的数据的后续传输。在本发明这一方面的一个优选实施例中,服务器系统在310向对应于选择的IP地址的特定服务器传送启动(enabling)消息,并在此后向该服务器传送一禁止(disable)消息。当服务器系统在350异常终止时,在选择地址上的服务器将忽略来自客户机的对其它IP地址的后续请求,这是因为服务器系统将不启动该服务器。用于在服务器系统异常终止处理之后为了响应请求而终止数据的后续传输的其它方案对于本领域普通技术人员是显而易见的。注意在多客户机系统中,基于与每个数据集的传输相关的特定返回地址,在响应请求时执行传输的启动与禁止。
用于选择IP地址序列的算法可以是任何算法,即,用于以正确顺序从数据集中检索数据,允许客户机系统提供与服务器系统定义的IP地址序列相对应的正确IP地址序列的算法。在其中数据分布于各种服务器之间的示例实施例中,例如,此算法必须向客户机提供用于组成数据集的每个子集的适当IP地址。优选地,向客户机提供来自特定服务器系统的数据集的可能IP地址的有序列表,且该算法给对应于IP地址序列的该列表提供索引序列。为了进一步增强系统的安全性,从每个索引的IP地址访问的数据量也改变,且该算法被配置为对此序列中的每次访问标识一(索引,数量)对。在上例中,为了检索子集A-B-C-D而对IP地址2-1-1-2访问,序列可编码为(2,1)-(1,2)-(2,1),表示对于一个子集访问第二IP地址,对于两个子集访问第一IP地址,以及对于一个子集再次访问第二IP地址。
在一个简单实施例中,可以明确地向客户机传送此序列,优选采用安全方式,诸如加密的(索引,数量)对集的方式。这种加密可包括例如使用公用密钥系统中与客户机相关的公用密钥对此序列进行加密,其中对序列解密需要知道相应的专用密钥。注意能够期望此序列对集的加密与实际数据的加密相比消耗显著较少的时间和资源,并因此可将更为有力的加密处理应用于这种加密,以增强安全性。
在另一简单的实施例中,公知的算法,诸如一种特定的伪随机数生成器可用于服务器系统与客户机上。如本领域所公知的,如果给出相同的“种子(seed)”值,一个伪随机数将生成相同的随机数序列。在该实施例中,服务器系统利用基于特定种子值的序列来相关/映射数据集内的每个子集到特定的IP地址。在执行此相关之后,服务器系统只需优选以安全的方式向客户机传送种子值。而且,因为与数据集的编码或实际序列的编码相比,能够期望种子值的编码消耗显著较少的时间和资源,更强的加密技术可用于传送此种子值。
可替换地,在已建立的安全检测程序期间,在服务器系统与客户机之间传送的秘密值可用于在服务器系统上生成伪随机序列。如果该秘密值对客户机系统是已知的或由客户机系统生成,则服务器系统就没有必要向客户机传送该值。同样地,已有的密钥交换算法,诸如Diffie-Hillman交换,能用于在客户机和服务器系统上建立公用密钥,并且此公用密钥或此功用密钥的子集或散列能用作客户机和服务器系统上的伪随机数生成器的种子值。
还可替换地,常规的安全设备,诸如生成由用户用来通过安全防火墙建立通信的时间依赖的伪随机“共享秘密”的“SecureNetKey”(SNK)设备,可用作种子值的基础。由于该秘密在用户和防火墙那一边的服务器之间共享,所以它可以直接或间接地在用户的(客户机)系统和服务器系统上启动随机序列。
还可替换地,密钥值的通信可以经由可替换的通信装置。如银行领域中所公知的,例如,银行经常通过邮件向用户发送密钥值,如PIN值。如果接收者给银行打电话并提供验证该接收者是此PIN的预定接收者的手段,则激活该密钥值。同样地,此密钥值可以经由寻呼机系统、传真系统等进行传送。通过利用不同于用于传送数据的通信装置的通信装置来传送密钥值,当这种通信发生时,截获者访问这两个通信装置的风险非常低,从而增加了该方案的固有可靠性。
还可替换地,对在先请求的响应可包括由客户机用来确定后续IP地址的信息。如果例如以一种安全方式传送此数据,此数据的一部分可包括指向下一IP地址的索引,或可以明确包括下一IP地址。在该实施例中,此数据本身可用于确定IP寻址序列。例如,服务器系统可使用基于数据集的子集中未加密的第一数据项的散列值来确定下一子集的IP地址列表的索引。如果同一散列值处理对于客户机是已知的,并且此客户机能解密此数据集中接收到的子集,那么此客户机能确定用于以适当顺序请求数据集的子集的适当的IP地址序列。鉴于本公开内容,为了确定正确的IP寻址序列而传送密钥的这些和其它技术对于本领域普通技术人员来说是显而易见的。
以上仅说明了本发明的原理。因而,将意识到,虽然此文中未明确描述或示出,但是本领域技术人员将能够做出不同的实施本发明原理的设备,并因而仍在本发明的精神和范围之内。例如,服务器系统可被配置为实现附加的安全性处理。在一可替换实施例中,服务器系统进一步被配置成检测“模仿”系统,所述“模仿”系统除了具有用于返回数据的不同IP地址之外被配置为利用复制请求来跟随来自客户机的每个请求。因为大多数IP通信系统允许请求方在发送的数据未被正确接收的情况中重复此请求,所以这样的模仿系统是有效的。在一优选实施例中,如果此系统接收到重发的N个连续请求,则此服务器系统根据合法用户不得不重复每个N个传输的可能性来终止传输。鉴于本公开内容,这些及其它系统配置与最佳化特性对于本领域技术人员来说是显而易见的,并被包含在以下权利要求书的范围之内。
权利要求
1.提供对数据集(250)的访问的一种方法,包括以下步骤将组成所述数据集(250)的每个数据子集与多个IP地址(230)之中的一个选择IP地址相关联(240),组成所述数据集(250)的至少两个子集具有所述多个IP地址(230)之中不同的选择IP地址;和在与每个子集相关的选择IP地址上利用对该子集的请求提供(320)对所述数据集(250)的每个子集的访问。
2.如权利要求1所述的方法,进一步包括以下步骤传送有助于用于每个子集的选择IP地址的确定的信息至客户机系统(210)。
3.如权利要求2所述的方法,其中通过一种安全通信将所述信息传送至所述客户机系统(210)。
4.如权利要求2所述的方法,其中通过第一通信信道提供对每个子集的访问;以及通过不同于第一通信信道的第二通信信道传送所述信息至所述客户机系统(210)。
5.如权利要求2所述的方法,其中根据利用种子值初始化的伪随机处理,将每个子集与选择IP地址相关联;以及传送至所述客户机系统(210)的信息包括所述种子值。
6.如权利要求2所述的方法,其中利用公用密钥系统来加密传送至所述客户机系统(210)的信息。
7.如权利要求2所述的方法,其中在所述数据集(250)的在先子集内将所述信息传送至所述客户机系统(210),所述在先子集为响应在先请求而被传送至所述客户机系统(210)。
8.如权利要求1所述的方法,其中通过请求提供对每个子集的访问取决于在先请求的持续时间(340)。
9.如权利要求1所述的方法,其中通过请求提供对每个子集的访问取决于所述数据集(250)的在先子集的重复请求的发生频率。
10.一种访问数据集(250)的方法,包括以下步骤选择(110)与所述数据集(250)的第一子集相关的第一IP地址;在第一IP地址上请求(120)第一子集;选择(110)与所述数据集(250)的第二子集相关的第二IP地址,第二IP地址不同于第一IP地址;以及在第二IP地址上请求(120)第二子集。
11.如权利要求10所述的方法,进一步包括以下步骤从服务器系统(220)接收(130)信息;以及其中根据来自所述服务器系统(220)的信息,选择(110)所述第一和第二IP地址中的至少一个地址。
12.如权利要求11所述的方法,其中来自所述服务器系统(220)的信息有助于所述第一和第二IP地址的生成。
13.如权利要求12所述的方法,其中来自所述服务器系统(220)的信息包括用于伪随机处理的加密的种子。
14.一种服务器系统(220),包括多个IP地址(230);和包括多个子集的数据集(250),所述多个子集中的每个子集与所述多个IP地址(230)中的一个IP地址相关;以及所述多个子集中的至少两个子集具有所述多个IP地址(230)之中不同的相关IP地址;其中在每个子集的相关IP地址上为响应对该子集的请求而提供对每个子集的访问。
15.如权利要求14所述的服务器系统(220),其中所述服务器系统(220)进一步被配置为向客户机系统(210)传送信息,以有助于按特定顺序访问所述数据集(250)的子集。
16.如权利要求15所述的服务器系统(220),其中通过一种安全通信将所述信息传送至所述客户机系统(210)。
17.如权利要求15所述的服务器系统(220),其中通过第一通信信道提供对每个子集的访问;以及所述服务器系统(220)通过不同于第一通信信道的第二通信信道传送所述信息。
18.如权利要求15所述的服务器系统(220),其中所述服务器系统(220)被配置为根据利用一种子值初始化的伪随机处理,将每个子集与其相关的IP地址相关联;以及将所述种子值传送至所述客户机系统(210)。
19.如权利要求15所述的服务器系统(220),其中所述服务器系统(220)被配置为以加密形式将所述信息传送至所述客户机系统(210)。
20.如权利要求14所述的服务器系统(220),其中所述服务器系统(220)进一步被配置为根据在先请求的持续时间利用所述请求提供对每个子集的访问。
21.如权利要求14所述的服务器系统(220),其中所述服务器系统(220)进一步被配置为根据对所述数据集(250)的在先子集的重复请求的发生频率利用所述请求提供对每个子集的访问。
全文摘要
在数据集传送期间,改变用于请求该数据集内数据的IP地址。此改变的地址可以包括服务器上不同端口的IP地址,或可以表示不同服务器的IP地址。IP地址的改变模式对客户机和服务器来说都是公知的,并且最好对其它方来说是保密的。在不知道IP地址改变模式的情况下,窃听者难以截获数据集。为了进一步增强该方案的安全性,服务器系统被配置为在改变的IP地址上期待后续请求。如果后续请求未在一个门限时间周期内到达,此服务器系统被配置为终止请求方对该数据集的进一步访问。
文档编号H04L29/12GK1723671SQ02819943
公开日2006年1月18日 申请日期2002年9月20日 优先权日2001年10月9日
发明者K·特罗瓦托 申请人:皇家飞利浦电子股份有限公司