1.一种用于数据通信网络的安全方法,是可在操作系统的较低层甚至“硬件”或“固件”中执行的机制或框架,并可在两个“主机”之间提供保密性和安全的相互身份认证服务,上述服务以透明方式进行,且应用程序不需要任何修改即可正确、安全地运行;其特征在于,在建立连接时使用显式密钥交换,并使用具有信息协议的分布式数据库,使“主机”可交换其他“主机”的相关信息,上述操作也可选择性地使用非易失性存储器,以便记住与之通信的“主机”,并重新建立安全的信道,每个“主机”都有公用和专用密钥对,当“主机”从非易失性存储器打开或加载时即可生成该密钥对。当主机尝试与网络上的另一个主机通信时,首先进行密钥交换,以便主机了解其对等体的公钥。一旦两个主机都知道其对等体的公钥,就会执行称为“diffiehellman密钥交换算法”的过程,以建立使用“aes”或类似加密的临时会话密钥。这两个“主机”之间的任何后续连接都使用此过程建立的对称密钥。“主机”可以随时请求恢复此过程,以更改会话密钥。当会话结束时,“主机”将丢弃对称密钥,但可以保留其公用和专用密钥对以进行身份认证并重建将来的会话。
2.根据权利要求1所述的用于数据通信网络的安全方法,其特征在于,可在系统的较低层中实施,如操作系统网络堆栈的模块,网络接口驱动程序的部件,甚至可在“硬件”中实施,如“可编程逻辑”,“fpga”或“asic”,在某些操作中,即使重新启动系统(格式化,更新)也可以保留该组件;另外,非易失性存储器的使用是可选的,即是非必需的,因为“主机”在每次遇到另一个未知主机时都可以重新协商公钥,但可以使用非易失性存储器快速重新建立和重新认证之前的会话。