安全网络通信的制作方法
【专利说明】安全网络通信
交叉引用相关申请
[0001]本申请要求美国临时申请61/780,106(提交于2013年3月13日),以及61/804,509(提交于2013年3月22日)的优先权,它们的内容通过引用包含于此。
技术领域
[0002]本发明涉及在互联网上和虚拟专用网中的设备及计算机之间的安全连接及通信。技术背景
[0003]各种各样的方法已经提出并实施以在互联网上及虚拟专用网中为设备与计算机通信提供安全性和匿名性。常规通信解决方案,包括安全虚拟专用网,连接远端设备或计算机至目标设备或计算机,此时数据安全性通常是通过采用某些形式的数据加密来解决的。这些虚拟专用网中的设备和计算机可以通过以下方式安全的通信:交换公共和私有的加密密钥或通过各自指定路线发送(a)受保护的数据包及(b)它们的加密密钥,从起始点-通过涵盖多个设备或计算机的不同网络路径-至目的点。这种安全性主要适用于企业的虚拟专用网,它需要广泛的通信策略,因此绑定设备及计算机至专用网被认为是比较好的策略。
[0004]这些典型的虚拟专用网解决方案包含许多潜在的安全问题,有必要来进行(a)为来自于设备及计算机的专门应用(applicat1ns)及其协议通过国外互联网安全地控制通信,(b)确保这些应用及其协议只能在目标国外网络内通信,及(c)确保加密密钥不能被追踪或追溯以及数据不可被解读。
[0005]例如,Larson(美国专利号:8051181)讲授了一种在虚拟专用网的计算机之间建立安全通信线路的技术,其中一个或更多的根据伪随机序列变形的数据值被插入每个数据包,以提供到达终点的多条路径。尽管Larson提供了常规的虚拟专用网的安全性增强方案,但依然有在安装在设备上的应用之间进行安全和有效的互联网通信的需要。
【发明内容】
[0006]根据本发明的一个方面,一种用于通过网络进行通信的系统包括配置为截获出站数据包的客户端设备,所述出站数据包包括目的网络地址(a destinat1n networkaddress)。所述客户端设备进一步配置为使用加密密钥来加密所述出站数据包以生成加密数据包,根据由路由服务器的唯一识别符(a unique identifier)定义的模式逻辑分散(scatter)所述加密密钥到所述加密数据包中,以及发送包含分散的加密密钥的所述加密数据包至所述路由服务器。该系统进一步包括路由服务器,其配置为接收包含分散的加密密钥的所述加密数据包,使用由唯一识别符定义的模式逻辑从所述加密数据包中提取所述加密密钥,使用所述加密密钥解密所述加密数据包以获取包括目的网络地址的所述出站数据包,并发送所述出站数据包至所述目的网络地址。
[0007]根据本发明的另一个方面,一种客户端设备包括配置为截获出站数据包的网络接口控制器,每个出站数据包包括目的网络地址。所述客户端设备进一步包括本地代理服务器,其配置为接收所述截获的出站数据包,控制加密引擎从所述出站数据包生成新数据包,并发送所述新数据包到至少一个路由服务器。所述客户端设备进一步包括加密引擎,其配置为使用加密密钥加密所述截获的出站数据包以生成加密数据包,并根据由所述至少一个路由服务器的至少一个唯一识别符定义的模式逻辑将所述加密密钥分散至所述加密数据包中以获得新数据包。
[0008]根据本发明的另一个方面,一种路由服务器包括配置为经由网络接收来自至少一个客户端设备的加密数据包的网络接口控制器,配置为控制加密引擎来解密所述接收的加密数据包并经由网络发送数据包到至少一个目的地址的协议无关代理服务器(a protocolagnostic proxy server),并且所述加密引擎配置为使用由所述路由服务器的唯一识别符定义的模式逻辑从所述接收的加密数据包中提取分散的加密密钥,并使用所述加密密钥解密所述加密数据包来获得所述数据包以发送至所述至少一个目的地址。
[0009]根据本发明的另一个方面,一种由连接至网络的客户端设备执行的方法包括截获出站数据包,所述出站数据包包括目的网络地址。所述方法进一步包括使用加密密钥加密包括所述目的网络地址的所述出站数据包以获得加密数据包,根据由路由服务器的唯一识别符定义的模式逻辑分散所述加密密钥至所述加密数据包中以获得新数据包,并发送所述新数据包至所述路由服务器。
[0010]根据本发明的另一个方面,一种由运行在网络中的路由服务器执行的方法包括经由所述网络接收来自客户端设备的加密数据包,使用由所述路由服务器的唯一识别符定义的模式逻辑从所述接收的加密数据包中提取加密密钥,使用所述加密密钥解密所述接收的加密数据包以获得所述客户端设备的出站数据包,所述出站数据包包括目的网络地址,以及发送所述出站数据包至所述目的网络地址。
[0011]根据本发明的另一个方面,一种加密数据包的方法包括从至少用户熵中随机生成加密密钥,在出站数据包的数据内容上执行密码杂凑,使用所述加密密钥加密所述出站数据包以获得加密数据包,在所述加密数据包上执行密码杂凑,以及压缩所述加密数据包。
[0012]所述方法可以进一步包括根据由路由服务器的唯一识别符定义的模式逻辑来分散所述加密密钥至所述加密数据包中以获得新数据包。
[0013]对于多个出站数据包中的每个出站数据包,所述方法可以是独立执行的,并且可以使用不同的加密密钥、不同的密码杂凑以及不同的唯一识别符。
【附图说明】
[0014]本发明实施例将参照附图仅以示例的形式进行描述,其中:
[0015]图1为软件组件框图;
[0016]图2为硬件组件框图;
[0017]图3为连接至服务器计算机的流程图;
[0018]图4为截获出站网络数据包(the outbound network packets)及将它们转发至本地代理服务器以进一步处理的流程图;
[0019]图5为生成随机加密密钥并加密网络数据包的流程图;
[0020]图6为使用第一唯一节点识别符作为分散逻辑的模式在加密内容中分散加密密钥的流程图;
[0021]图7为发送数据包至服务器计算机并采用解压并转发数据包的所述协议无关代理服务器处理数据包,以重构加密密钥的流程图;
[0022]图8为通过使用所述唯一节点识别符作为重建逻辑的模式,重建加密内容及加密密钥的流程图;
[0023]图9为发送所述解密的网络数据包至其目标终点以及转发其应答至加密引擎以进一步处理的流程图;
[0024]图10为通过使用预定义的加密密钥在其返回路径上加密网络数据包的流程图;
[0025]图11为使用第二唯一节点识别符作为分散逻辑的模式来分散所述加密密钥至所述加密的内容中的流程图;
[0026]图12为发送加密的网络数据包返回至客户终端,并转发至解压数据包及转发数据包的本地代理服务器以重构加密密钥的流程图;
[0027]图13为通过使用所述唯一节点识别符作为重建逻辑模式以重建加密内容及加密密钥的流程图。所述数据包被解密,并且其内容作为应答经由所述本地代理服务器返回至所述原始网络请求端;
[0028]图14为通过改变全局变量切换服务器的位置的流程图。
【具体实施方式】
[0029]本发明涉及因特网及虚拟专用网中的设备与计算机之间的安全连接及通信。更具体地,本发明关系到与安装于设备及计算机上的应用(applicat1ns)安全地进行连接及通信以形成虚拟云网络。更具体地,本发明包括在任何虚拟云网络的国家内为安全地远程通信而面向应用的协议的过滤及路由。
[0030]本发明可提供安装于设备上的应用之间的安全网络通信,而不需要(a)绑定设备或计算机至大体相同的网络,(b)不断地交换加密密钥,以及(C)通过不同的路径并通过多重服务器执行复杂数据包路由(complex packet routing)以实现安全通信。
[0031]本发明也能够提供增强的灵活性以安全并有效地将在许多专用的、安全的及匿名的互联网通信的国外网络上连接的不同设备或计算机上的特定协议与特定应用相连接。
[0032]本发明能够提供一种在国外网络中穿越互联网而安全及有效地连接设备及计算机的方式,通过在连接的设备上利用新的安全性及网络路由技术,以形成安全虚拟云网络。
[0033]本发明能够提供一种用于设备和计算机通过因特网进行通信的安全机制,其使用了(a)本地软件防火墙,其拦截(intercept)设备及计算机上的全部出站流量,(b)对于数据包的多元化(mult1-layer)安全保护,包括加密和压缩,而不暴露加密密钥,(c)多元化(mult1-layer)安全代理服务器,以及(d)专用(specialized)的通信路由服务器。在一个建立在所有连接的设备及计算机上的同一标准的软件解决方案中这些处理的结合使用,允许(allows for)安全虚拟云网络的创立。一旦设备及计算机经过身份验证至虚拟云网络,安装在已连接的设备和计算机上的全部应用就可以安全连接,与安装在远端设备及计算机中的其他应用在不同的网络中进行共享及通信。
[0034]利用本发明的几个方面,基于云的应用,包括浏览和下载应用软件、安全的文件共享应用软件、安全的电子邮件应用软件以及安全的文本、声音及视频应用软件,可以从已认证至虚拟云网络的任何设备或计算机安全地访问;所连接的设备包括计算机、手写板、智能手机及智能电视。本发明的几个方面能够提供给用户从连接于因特网上任何位置的设备或计算机安全并匿名地访问他们的应用以及相关数据的机会。
[0035]现在更加详细地介绍本发明,在图1和图2中分别示出了多个软件及硬件组件,其可用于实施本发明的实施例:
200-处理器
202-输入设备
220-处理器
222-存储器
300-加密引擎
310-生成随机加密密钥
320-加密数据
330-解密数据
340-生成密码杂