专利名称:用于在路由期间加密的系统和方法
技术领域:
本发明一般涉及网络路由和加密,并且更具体地涉及路由期间的加密。
背景技术:
如今像因特网这样的计算机网络是众所周知的。这样的网络包括通信介质、防火墙、路由器、网络交换机和集线器。网络常常互连客户计算机和服务器。在通过因特网通信的情况下,通常在源计算机和目的计算机之间存在很多路由器和很多可能的路由路径。当消息到达路由器时,路由器对通往目的地的路径中的下一路由器或“跳(hop)”进行判定。存在很多已知的算法用于进行该判定,例如OSPF、RIP、IGRP、EIGRP、ISIS或BGP。通常,路由判定试图经由最少的跳数将消息分组路由至目的地。
然而,路由器还可能考虑其它因素。例如,如果消息是敏感的,例如含有机密数据,并且没有被加密,则在传输到非保密网络上之前可能需要对它进行加密。将未加密的消息转发到在其中对消息进行加密的虚拟专用网是已知的。然后,将消息转发到路由器以便基于OSPF、RIP、IGRP、EIGRP、ISIS或BGP来进行已知的、最少跳的路由判定。虽然路由器可以检测到消息是否已加密,但是确定该消息是否含有敏感数据却较为困难。因此,如果路由器接收到未加密的消息,则它可以自动地将消息转发到虚拟专用网用于加密,而不需要考虑该消息是否含有敏感数据。在消息不含敏感数据的那些情况下,这加重了虚拟专用网及其加密设备的负担,并且还减慢了对消息的传播。
美国专利6,732,273公开了一种消息的发送器,其生成消息特征码并且在远离消息分组的主体的情况下,将该消息特征码附于每个消息分组。当路由器接收到消息分组时,其读取消息特征码。如果该码指示消息需要保密通信(通常如果有效载荷中的数据是敏感的并且未加密),那么路由器以安全的方式(例如通过加密或其它的安全途径)来传播消息分组。然而,如果该码指示消息并不敏感(通常如果有效载荷中的数据并不敏感,或者是敏感的但却未加密),那么路由器沿最短路径传播消息分组,通常通过非保密因特网。虽然该技术是有效的,但它却要求消息的发送器生成消息特征码。
本发明的目的是使得诸如路由器的网络设备能够在不需要上述类型的消息特征码的情况下,确定消息是否含有未加密的敏感数据。
发明内容
本发明在于用于路由的计算机系统、方法和程序。接收未加密的消息分组。作为响应,读取所述消息分组中的有效载荷以确定所述有效载荷是否含有敏感信息。如果所述有效载荷含有敏感信息,则对所述消息分组进行加密并且随后将其路由至非保密通信路径。如果所述有效载荷不含敏感信息,则将所述消息分组路由至非保密通信路径而不需要对所述消息分组进行加密。
依照本发明的特征,在虚拟专用网中对所述消息分组进行加密。
依照本发明的另一特征,读取所述有效载荷以便通过为所述消息分组的格式确定标准,并且基于所述标准,确定所述消息分组内数据的位置以及在所述位置的所述数据的类型,来确定所述有效载荷是否含有敏感信息。
图1是分布式计算机系统的框图,其包括体现本发明的网络网关设备和路由管理服务器;图2是图1的网关设备内以硬件和/或软件实现的、基于有效载荷的路由功能的流程图;以及图3是图1的路由管理服务器内的路由管理程序的流程图。
具体实施例方式
现在将参照附图详细描述本发明。图1说明了通常标记为10的分布式计算机系统,其中体现了本发明。系统10包括客户计算机20、连接到非保密网络34的网关设备22、具有加密设备37的虚拟专用网(“VPN”)35,以及连接到诸如因特网的非保密网络34的网络路由器36。客户计算机20可以是工作站或服务器(例如,Web服务器、产品服务器等)并且包括已知的CPU 21、操作系统22、RAM 23、ROM 24和存储器25。网关设备22可以是已知的网络交换机、路由器或防火墙。网关设备22包括已知的最短路径路由功能,例如OSPF、RIP、IGRP、EIGRP、ISIS或BGP。网关设备22还包括已知的CPU 41、操作系统42、RAM 43和ROM44。依照本发明,网关设备22还包括以硬件和/或软件实现的、基于有效载荷的路由功能29,其在大多数情况下确定它所接收到的消息分组是否需要保密通信,例如通过加密。同样依照本发明,系统10包括具有路由管理程序59的路由管理服务器50,在下面那些情况下,路由管理服务器50确定消息分组是否需要保密通信(例如通过加密),其中,那些情况是指网关设备22不能够进行该判定或者被配置以请求来自服务器50的确定。服务器50还包括已知的CPI 51、操作系统52、RAM 53、ROM 54和存储器55。
网关设备22中的功能29包括已知的硬件和/或软件加密检测功能31,以便确定消息是否已加密。通过对消息检查加密的签名特征,例如消息是否含有作为加密特征的ISAKMP、IPSEC或ESP标题,功能31确定消息是否已加密。如果消息已加密(不管它是否包括敏感信息),那么可以使用非保密通信,例如,经由无加密的因特网。
在未加密信息的情况下,网关设备22的功能29查看有效载荷内部以确定信息的性质,即它是敏感的还是不敏感的。基于用于通信中的数据的位置和类型的标准,功能29知道在哪里寻找有效载荷中的数据并且,在大多数情况下,其知道数据是敏感的还是不敏感的。出于此目的,功能29保存数据的敏感类型的列表以及代表它们的签名的正文串。如果消息未加密并且含有敏感信息,那么应当使用保密通信,例如通过加密。在这样的情况下,网关设备22将消息分组转发到虚拟专用网35,在那里由加密设备37对其进行加密。接下来,加密设备37将已加密的消息分组转发到路由器36,路由器36基于已知的最短路径路由算法(例如OSPF、RIP、IGRP、EIGRP、ISIS或BGP)来确定下一跳。然后,路由器36将消息分组转发到因特网中的下一跳。如果消息并未加密但却不含敏感信息,那么可以使用非保密通信,例如经由无加密的因特网。在这样的情况下,基于已知的路由算法,例如OSPF、RIP、IGRP、EIGRP、ISIS或BGP,网关设备22中已知的路由器功能47确定下一跳,并且继而将消息分组转发到因特网中的下一跳。网关设备22还包括已知的CPU 41、操作系统42、RAM 43和ROM 44。如以上所指出的,在一些情况下,网关设备22不能够确定未加密的消息是否含有敏感数据或以别的方式要求保密通信。例如,在一些情况下,网关设备22在表35中可能不具有数据的正文串或签名的记录。在其它情况下,网关设备可以被配置(通过配置文件33)以便总是请求来自路由管理服务器50的、对未加密的数据是否敏感的确定。
在典型的情景中,客户计算机20将消息发送至网关设备22。消息包括具有源IP地址、目的IP地址(例如,目的设备79的)、源端口号和目的端口号的标题。消息还包括分离于标题的、含有数据的有效载荷。客户计算机20内的TCP/IP适配卡27根据OSI模型对消息进行分组化。网关设备22接收消息分组,并且如以上所解释的,路由功能29确定将消息分组转发到哪里。
图2根据本发明,较为详细地说明了网关设备22中路由功能29的处理。在收到各消息分组时(步骤100),网关设备22确定分组是否已加密(判定101)。网关设备22通过对分组扫描加密算法的签名特性来确定分组是否已加密。如果分组已加密(判定101,“是”分支),那么网关设备22使用已知的路由硬件和/或软件功能/算法47(例如OSPF、RIP、IGRP、EIGRP、ISIS或BGP)来确定在因特网中的路径上通往目的IP地址的下一路由器/跳,并且然后将消息分组转发到此下一路由器/跳(步骤102)。如果分组未加密(判定101,“否”分支),那么网关设备22确定其是否被配置以确定数据是否敏感(判定103)。如果是的话(判定103,“是”分支),那么网关设备22确定决定消息分组的格式的标准,即分组的不同分段或字段的语义和位置(步骤104)。网关设备22通过读取IP标题来确定分组的标准。接下来,基于对消息分组可应用的标准,网关设备22确定有效载荷中数据的位置(步骤106)。例如,IP标准指定用于将分组分类为IP分组的数据位于分组的最初15个字节内。IPX标准指定用于将分组分类为IPX分组的数据位于分组的最初20个字节内。接下来,网关设备22尝试确定数据是否敏感(假设网关设备被配置以尝试该确定)(步骤108)。基于有效载荷内数据的签名与表35中的条目的匹配,网关设备22尝试确定数据是否敏感。例如,基于FTP标准,控制分组可以携带指示数据(例如口令信息)敏感的口令信息,SMB注册类型分组指示数据含有敏感的注册证书,并且FTP目录控制指示数据含有并不敏感的文件控制信息。如果网关设备能够将数据的签名与表35中的条目匹配(判定109,“是”分支),那么网关设备基于数据的性质以及表35中相应的策略/规则进行响应。通常,如果数据不敏感(判定110,“否”分支),那么网关设备22使用如步骤102中的已知路由功能/算法47(例如OSPF、RIP、IGRP、EIGRP、ISIS或BGP)来确定在因特网中的路径上通往目的IP地址的下一路由器/跳,并且然后将消息分组在不加密的情况下转发到此下一路由器/跳(步骤112)。通常,如果数据敏感(判定110,“是”分支),那么网关设备22从其配置文件33确定含有加密设备的网络的IP地址(步骤114)。在所说明的例子中,配置文件33将VPN 35指示为含有加密设备37。这样,网关设备22将消息分组转发到VPN 35(步骤120),在那里加密设备37对消息分组进行加密(步骤130)。接下来,加密设备37将已加密的消息分组转发到具有已知的硬件和/或软件路由功能49的路由器36(步骤134)。路由器36中的功能49通过OSPF、RIP、IGRP、EIGRP、ISIS或BGP来确定在因特网34中已加密的消息分组的下一跳。接下来,路由器36将已加密的消息分组转发到下一跳/路由器,并且消息分组经由其它网络设备以已知的方式前进到目的IP地址(步骤138)。
在一些情况下,网关设备22不被配置来尝试确定未加密的数据是否敏感(判定103,“否”分支),或者其在表35中没有用于未加密数据的条目(判定109,“否”分支)。在任何一种情况下,网关设备22都请求来自路由管理服务器50的、对未加密的数据是否是敏感的确定,并且因此要求加密。为了开始该过程,网关设备22实现到路由管理服务器50的TCP/IP连接,并且提供验证证书(例如用户ID和口令)(步骤140)。接下来,如以下参照图3所描述的,网关设备22向服务器50发送消息分组的有效载荷中数据的签名或定义串(defined string),从而使得服务器50能够确定数据是否敏感(步骤144)。
图3较为详细地说明了路由管理服务器50中的路由管理程序59的功能和用途。在步骤200中,响应于来自网关设备22的验证请求,服务器50确定网关设备22是否可靠并且已授权访问服务器50(判定202)。如果不是(判定202,“否”分支),则服务器50将错误通知返回给网关设备22(步骤204)(并且不参与路由判定)。如果网关设备22是可靠的并且已授权(判定202,“是”分支),那么服务器50请求并且网关设备22向服务器50发送消息分组的有效载荷中数据的签名或定义串(步骤206)。作为响应,服务器50从局部表58确定是否存在用于数据的该签名或定义串的条目,以及用于该签名或定义串的预定策略或规则(判定210)。表58在一列中列出数据的各种签名和定义串,并且在下一列的相同的行中列出相应的策略/规则。每个策略或规则均指示数据是否敏感,并且如果是的话,是否加密该数据。视情况,表58列出了VPN 35的IP地址或者加密可以在其中发生的其它网络的IP地址。另外,网关设备22具有VPN 35的IP地址的记录或者加密可以在其中发生的其它网络的IP地址的记录。(视情况,策略/规则还可以要求指定的服务质量,例如带宽)。如果不存在用于消息分组的签名或定义串的策略/规则(判定210,“否”分支),那么服务器50通知网关设备22使用标准路由算法,例如OSPF、RIP、IGRP、EIGRP、ISIS或BGP(步骤212)。然而,如果存在用于来自当前消息分组的数据的签名或定义串的策略/规则(判定210,“是”分支),那么服务器50通知网关设备22关于用于消息分组的策略/规则,例如,以便将消息分组转发到VPN 35用于加密(步骤220)。网关设备22遵守来自服务器50的通知中的策略/规则(图2的步骤150)。
图2中所说明的网关设备22的功能可以以硬件和/或软件实现。就该功能可以以软件实现这点来说,可以将其从计算机可读介质125(例如磁带或磁盘、光介质、DVD、半导体介质、存储棒等)加载到网关设备22中,或者经由TCP/IP适配卡127从因特网对其进行下载。
图3中所说明的服务器50的功能可以以硬件和/或软件实现。就该功能可以以软件实现这点来说,可以将其从计算机可读介质135(例如磁带或磁盘、光介质、DVD、半导体介质、存储棒等)加载到服务器50中,或者经由TCP/IP适配卡137从因特网对其进行下载。
基于前述,已经公开了一种用于在路由期间加密的系统、方法和程序产品。然而,在不背离本发明的范围的情况下,可以进行许多修改和置换。例如,可以基于加密状态应用服务质量(“QoS”)信息或其它优先的路由处理。因此,已经借助于说明公开了而非限制了本发明,并且应当参照下面的权利要求来确定本发明的范围。
权利要求
1.一种用于路由的方法,所述方法包括以下步骤接收未加密的消息分组,并且作为响应,读取所述消息分组中的有效载荷以确定所述有效载荷是否含有敏感信息,以及如果是的话,则对所述消息分组进行加密,并且随后将所述消息分组路由至非保密通信路径,如果不是的话,则将所述消息分组路由至非保密通信路径而不需要对所述消息分组进行加密。
2.根据权利要求1所述的方法,其进一步包括以下步骤接收另一已加密的消息分组,并且作为响应,将所述另一消息分组路由至非保密通信路径而不需要对所述另一消息分组进一步加密。
3.根据权利要求1所述的方法,其中将所述消息分组路由至非保密通信路径的步骤包括进行OSPF路由的步骤。
4.根据权利要求1所述的方法,其中对所述消息分组进行加密的步骤在虚拟专用网中进行,并且如果所述有效载荷含有敏感信息,则所述方法进一步包括步骤将所述消息分组转发到所述虚拟专用网用于加密。
5.根据权利要求1所述的方法,其中读取所述消息分组中的所述有效载荷以确定所述有效载荷是否含有敏感信息的步骤包括以下步骤为所述消息分组的格式确定标准;基于所述标准,确定所述消息分组内数据的位置;以及确定在所述位置的所述数据的类型。
6.根据权利要求1所述的方法,其中所述有效载荷含有敏感信息,并且作为响应,对所述消息分组进行加密,并且随后将所述消息分组路由至非保密通信路径。
7.根据权利要求1所述的方法,其中所述有效载荷不含敏感信息,并且作为响应,将所述消息分组路由至非保密通信路径而不需要对所述消息分组进行加密。
8.根据权利要求1所述的方法,其进一步包括步骤在读取所述消息分组中的有效载荷以确定所述有效载荷是否含有敏感信息的步骤之前,确定所述消息分组是否被加密。
9.一种用于路由的系统,所述系统包括接收装置,所述接收装置用于接收未加密的消息分组,并且作为响应,读取所述消息分组中的有效载荷以确定所述有效载荷是否含有敏感信息;加密装置,响应于所述有效载荷含有敏感信息,所述加密装置用于对所述消息分组进行加密,并且随后将所述消息分组路由至非保密通信路径;以及路由装置,响应于所述有效载荷不含敏感信息,所述路由装置用于将所述消息分组路由至非保密通信路径而不需要对所述消息分组进行加密。
10.根据权利要求9所述的系统,其进一步包括用于接收另一已加密的消息分组的装置,并且作为响应,其将所述另一消息分组路由至非保密通信路径而不需要对所述另一消息分组进一步加密。
11.根据权利要求9所述的系统,其中所述用于将所述消息分组路由至非保密通信路径的装置包括用于进行OSPF路由的装置。
12.根据权利要求9所述的系统,其中所述用于加密所述消息分组的装置存在于虚拟专用网,并且所述系统进一步包括转发装置,响应于所述有效载荷含有敏感信息,所述转发装置用于将所述消息分组转发到所述虚拟专用网用于加密。
13.根据权利要求9所述的系统,其中所述用于读取所述消息分组中的所述有效载荷以确定所述有效载荷是否含有敏感信息的装置包括用于为所述消息分组的格式确定标准的装置;用于基于所述标准,确定所述消息分组内数据的位置的装置;以及用于确定在所述位置的所述数据的类型的装置。
14.根据权利要求9所述的系统,其中所述有效载荷含有敏感信息,并且所述系统进一步包括响应于所述有效载荷含有敏感信息,用于对所述消息分组进行加密,并且随后将所述消息分组路由至非保密通信路径的装置。
15.根据权利要求9所述的系统,其中所述有效载荷不含敏感信息,并且所述系统进一步包括响应于所述有效载荷不含敏感信息,用于将所述消息分组路由至非保密通信路径而不需要对所述消息分组进行加密的装置。
16.根据权利要求9所述的系统,其进一步包括在用于读取所述消息分组中的有效载荷以确定所述有效载荷是否含有敏感信息的装置之前,用于确定所述消息分组是否被加密的装置。
17.一种用于路由的计算机程序产品,所述计算机程序产品包括执行权利要求1至8中所述方法的代码。
全文摘要
用于路由的计算机系统、方法和程序。接收未加密的消息分组。作为响应,读取所述消息分组中的有效载荷以确定所述有效载荷是否含有敏感信息。如果所述有效载荷含有敏感信息,则对所述消息分组进行加密,并且随后将其路由至非保密通信路径。如果所述有效载荷不含敏感信息,则将所述消息分组路由至非保密通信路径而不需要对所述消息分组进行加密。可以读取所述有效载荷,以便通过为所述消息分组的格式确定标准,并且基于所述标准,确定所述消息分组内数据的位置以及在所述位置的所述数据的类型,来确定所述有效载荷是否含有敏感信息。
文档编号H04L12/46GK101079813SQ20071010553
公开日2007年11月28日 申请日期2007年5月25日 优先权日2006年5月26日
发明者J·D·弗莱斯特, R·S·柯蒂斯 申请人:国际商业机器公司