CN100586124C - 根据send机制来保证用于处理数据分组的通信设备的安全 - Google Patents

根据send机制来保证用于处理数据分组的通信设备的安全 Download PDF

Info

Publication number
CN100586124C
CN100586124C CN200610126535A CN200610126535A CN100586124C CN 100586124 C CN100586124 C CN 100586124C CN 200610126535 A CN200610126535 A CN 200610126535A CN 200610126535 A CN200610126535 A CN 200610126535A CN 100586124 C CN100586124 C CN 100586124C
Authority
CN
China
Prior art keywords
protocol stack
interface
module
packet
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200610126535A
Other languages
English (en)
Other versions
CN1921489A (zh
Inventor
洛朗·克勒维
蒂埃里·勒格拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel CIT SA
Alcatel Lucent NV
Original Assignee
Alcatel NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel NV filed Critical Alcatel NV
Publication of CN1921489A publication Critical patent/CN1921489A/zh
Application granted granted Critical
Publication of CN100586124C publication Critical patent/CN100586124C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

一种用于保证通信设备(E)安全的获得安全的方法,所述通信设备包括:操作***内核以及一组软件应用,所述内核包括至少一个IPv6协议栈,该协议栈使得可以将来自输入端口的进入数据分组传输到应用并且将来自应用的发出数据分组传输到输出端口(POUT),所述协议栈包括一组接口(HPRE、HIN、HOUT、HPOST),这些接口被组织为使得连接到它们的外部模块能够在与所述接口相关联的已确定的点处访问由所述至少一个协议栈所传输的所述数据分组。外部模块包括输入模块(MIN)和输出模块(MOUT),它们分别连接到所述内核的输入接口(HIN)和输出接口(HOUT),并且输入模块和输出模块根据安全邻居发现(SEND)机制来选择、分析并且在必要的情况下修改邻居发现协议(NDP)的数据分组。

Description

根据SEND机制来保证用于处理数据分组的通信设备的安全
技术领域
本发明涉及在通信设备中管理网际协议第6版(IPv6)数据分组,更特别地涉及一种用于保证通信设备安全的获得安全的(security-procuring)方法。
背景技术
这些数据分组中的一些数据分组遵从由因特网工程任务组(IETF)的请求注解(RFC)2461所定义的邻居发现协议(NDP)。
该协议定义了“自配置”以及“网络发现”(“ND”)分组,这使得IPv6通信网络的设备可以确定其地址并使得可以知道在每条链路上连接的各个设备。例如当“相邻”的设备变得不可访问时,该协议还使得每项设备能够得到关于所述链路上出现的变化的通知。该项设备可以是路由器(或节点)、主机(即终端)、网关,或具有用于传输和接收IPv6数据分组的装置的任意其他设备。
另外,通过该协议,通信网络的运营商不再需要手动地配置其网络的每项设备,原因是所述网络通过交换根据NDP的自配置分组来进行自配置。
但是,必须保证该数据分组的安全,特别是使得未经授权的主机不能连接到该通信网络。使用NDP,主机可以通过使授予对网络的访问权限的接入设备相信该主机具有针对该网络的MAC接口来强占另一主机的身份。
这种需要在无线通信网络中是至关重要的,在无线通信网络中,主机是移动的并且因此并不物理地和静态地连接到接入设备。
因此,提供具有安全机制的NDP是很重要的。题为“IPv6 NeighborDiscovery(ND)Trust Models and Threats”(IPv6邻居发现(ND)信任模型与威胁)并且日期为2004年5月的RFC 3756提出了关于使NDP安全的问题以及需求。该RFC强调现有技术是基于“IPsec”(网际协议安全)安全协议的,但该协议需要手动地确定加密密钥。因为该手动步骤与NDP的自动特性相矛盾,所以必须有某种其它方法。
该方法由题为“Secure Neighbor Discovery(SEND)”(安全邻居发现(SEND))并且日期为2005年3月的IETF RFC 3917所提出。从技术的观点来看,SEND机制包括向NDP的每个消息添加包含安全信息的字段,并且更准确地说是向这些消息的结尾添加包含安全信息的字段。这些字段部分地由该RFC确定为以下字段:“RSA(里德-索罗蒙算法)签名选项”、“CGA(用密码生成的地址)选项”、“时戳选项”以及“随机数(Nonce)选项”。但是,RFC 3971的规范将后续添加新的“选项”字段的可能性保持为开放,以便进一步丰富NDP机制以及SEND机制。
目前,仅仅刚开始确定SEND机制的第一种实现方式。这些实现方式中的某一些实现方式基于Unix类型的操作***。例如,该***可以是例如Linux或BSD操作***。依惯例,专用于通信设备的操作***的内核包括一个或多个协议栈,这些协议栈以对应用来说透明的方式管理数据分组传输。因此,这些IPv6协议栈实现了管理NDP机制和SEND机制所必须的软件机制。
但是,此种方法存在严重缺陷。SEND机制可以升级,特别是通过添加新的“选项”字段而升级。因此,每次升级需要对操作***的内核加以修改。遗憾的是,修改操作内核(或操作***内核)是一种复杂并且因此昂贵的操作。
发明内容
因此,本发明的目的是通过提出一种以对操作***来说透明的方式来实现SEND机制的通信设备而减少这些缺陷。本发明的解决方案作用于网络与操作***之间,并且因此是可升级的,并且最重要的是更为便宜。
因此,本发明首先提供了一种用于保证通信设备的安全的获得安全的方法,所述通信设备包括操作***内核以及一组软件应用,所述内核包括至少一个网际协议第6版(IPv6)协议栈,该协议栈使得可以将来自输入端口的进入数据分组传输到应用并且将来自应用(其可以是不同的应用或相同的应用)的发出数据分组传输到输出端口,所述协议栈包括一组接口,这些接口被组织为使得连接到它们的外部模块能够在与所述接口相关联的已确定的点处访问由这些协议栈所传输的所述数据分组。该方法的特征在于所述外部模块包括输入模块和输出模块,所述输入模块和所述输出模块分别连接到所述内核的输入接口和输出接口,并且该方法的特征在于所述输入模块和输出模块以对所述内核来说透明的方式根据安全邻居发现(SEND)机制来选择、分析并且在必要的情况下修改邻居发现协议(NDP)的数据分组。
本发明还提供了通信设备,包括:操作***内核以及一组软件应用,所述内核包括至少一个IPv6协议栈,该协议栈使得可以将来自输入端口的进入数据分组传输到应用并且将来自应用(其可以是不同的应用或相同的应用)的发出数据分组传输到输出端口,所述协议栈包括一组接口,这些接口被组织为使得连接到它们的外部模块能够在与所述接口相关联的已确定的点处访问由这些协议栈所传输的所述数据分组。该项通信设备的特征在于输入模块和输出模块分别连接到输入接口和输出接口,并且该项通信设备适合于以对所述内核来说透明的方式根据SEND机制来选择、分析并且在必要的情况下修改NDP的数据分组。
在本发明的一个实施例中,操作***是Linux***,并且所述已确定的点是根据“NetFilter”(网络过滤器)基础设施来限定的。
另外,在一个实施例中,外部模块分析并修改NDP的所述数据分组的该“CGA”选项和“RSA签名”选项,该修改可以包括添加所述选项。
通过这种方式,SEND机制的升级可以通过改变输入模块和/或输出模块而进行。操作内核保持不变。因此,开发以及测试的成本显著减少。
操作***内核的行为不受输入模块和/或输出模块的操作的影响。对于所述内核,所述操作是透明的。
另外,变为可以对该机制进行升级,或可以仅仅直接在该项通信设备上以新的、高性能的或“经调试的”模块替代上述模块,而不必停止***、进行修改、重新编译内核以及重启***。
附图说明
根据以下参考附图的描述,本发明及其优点将更清楚地显现,其中:
图1以图解方式示出了本发明的通信设备;
图2示出了基于Linux操作***的本发明的特定实施例;并且
图3示出了实现SEND机制的NDP分组。
具体实施方式
如上文所述,通信设备可以包括操作***内核或“操作内核”以及通过所述内核来操作的应用。该内核的作用是使得应用能够独立于硬件(通信设备制造商、模型等)和网络基础设施(网络协议版本、协议类型等)而操作,并且该内核的作用是通过提供可由应用使用的一组“函数”而使得应用的开发更为方便。通过清楚地定义的接口,应用可访问所述函数。
因此,在图1中,所示出的该通信设备包括内核K以及专用于应用AS的空间(“用户空间”或“用户平台”(user land))。
该操作内核K包括一个或多个协议栈PS,以及其他函数(未示出)。在本发明的上下文中,所述协议栈优选地遵从IPv6(网际协议第6版)协议。该协议栈PS首先连接到输入端口PIN并且其次连接到输出端口POUT
每一个数据分组都具有一个报头,该报头遵从IPv6协议并且其至少规定了目的地地址和源地址。
进入数据分组是以该通信设备的IPv6地址作为目的地地址的数据分组。所述进入分组经由输入端口PIN输入并且由协议栈PS传输到应用A。
应用A(同一应用或另一应用)同样能够传输数据分组。所述数据分组随即包括该通信设备的IPv6地址作为源地址,并且该分组由该协议栈传输到输出端口POUT
该协议栈PS还包括一组接口HPRE、HIN、HOUT、HPOST。将这些接口提供为使得外部模块MIN、MOUT能够连接到该协议栈以便使得能够在与所述接口相关联的已确定的点或“拦截点”(hook)处访问由该协议栈所传输的数据分组。
图1仅示出了4个接口或“拦截点”HPRE、HIN、HOUT、HPOST,但该协议栈PS可以具有其他的接口或“拦截点”。所述接口依赖于操作内核K的类型。
在使用Linux内核的实施例中,该“NetFilter”基础设施对应于数据分组传输中的5个已确定的点而定义了5个接口。网站“www.netnlter.org”对“NetFilter”基础设施进行了描述,并且所述5个点在图2中示出。
但是,本发明并不限于该实施例,因为本发明可以应用于同样提供了与接口相关联的已确定的点或“拦截点”的其它操作***(BSD等),使得外部模块可以访问这些数据分组。
在基于Linux***的该实施例的上下文中,每个到达输入端口的数据分组首先要经受预处理或“PreP”。该预处理特别地包括检查该数据分组是否确实完整,包含于该分组中的检验和是否确实对应于接收到的数据,等等。在该预处理之后,找到了第一个已确定的点“PRE”。
数据分组随即经过“路由”第二处理步骤,该步骤包括确定这些数据分组的目的地是否为该通信设备或者这些数据分组是否应该经由输出端口被转发。出于这种目的,该“路由”处理将包含于每个数据分组中的目的地地址与该通信设备的IPv6地址相比较。如果这些地址匹配,则该数据分组到达已确定为“IN”(进入)的点并随即被传输到目的地应用。
如果这些地址不匹配,则该分组到达已确定为“FWD”(转发)的点,“FWD”表明了该数据分组应该被转发到另一通信设备。
可以随即在该数据分组到达最后一个已确定的点或已确定为“POST”(后期)的点之前使其经受其它的处理或“后期处理”(PostP),表明该分组已准备好经由输出端口被传输。
来自该通信设备的数据分组经由第一个已确定为“OUT”(发出)的点到达。这些分组经受“路由”处理以便确定其应该被传输到何处(或到哪个端口),并且在这些分组到达已确定为“POST”的点之前,这些分组会经受任意其他的“PostP”处理。
换言之,已确定的点对应于由协议栈PS对数据分组所进行的处理的“状态”,即,对应于沿数据分组的路径的标记。
已确定的点PRE、IN、FWD、OUT以及POST与接口相关联,即,具有用于使得在协议栈外部的应用(或模块)能够访问这些数据分组的接入装置。这些接口在NetFilter基础设施特有的词库中称为“拦截点”。
下文中将连接到协议栈接口的应用称为“模块”,以便将其与其它应用相区别,其它应用诸如可以是数据分组流的终止点的那些应用(诸如图1中的应用A)。
外部模块可以通过列表机制连接到协议栈的接口。每个接口对应于多个列表,每个列表具有确定的函数。特别地,根据所使用内核的类型(用于Linux的“损坏”与“过滤”列表,用于BSD的“转向”,等等),可以有多种实现方式。
外部模块可以登记到接口列表。当数据分组到达已确定的点中的一个点时,调用“NetFilter”基础设施。所述基础设施具有使得该登记到其列表中的外部模块能够访问数据分组所必需的装置。
但是,申请人已经注意到,在NDP的上下文中,目的地地址属于“多播”或“点到多点”类型,这些地址对同一链路上定制到该群组的多个通信设备中的所有通信设备(“所有节点”或“所有路由器”)进行寻址。因此,作为订户的每个通信设备是所有NDP分组的一个接收方。因此,通过“ip6tables”指令,可以基于通过“NetFilter”基础设施或不通过“NetFilter”基础设施的数据分组的类型来进行第一次选择。在此,仅NDP的数据分组被发送给“NetFilter”基础设施,其它数据分组继续沿其常规路径而行。
另外,为了优化机制并且为了节约资源,仅关注已确定为“IN”和“OUT”的点以及它们的关联接口是有利的。
返回到图1,两个外部模块MIN和MOUT由此连接到相应的多个接口或“拦截点”HIN和HOUT。为了使用这些接口,该外部模块使用由库“libipq”所提供的函数。对应于这些函数的代码在图1中用阴影部分表示。
如上所述,这些函数使得当数据分组被提交到协议栈PS的接口HIN、HOUT时该模块可以访问这些数据分组。
在本领域普通技术人员可获得的各种文档中对库“libipq”的细节进行了说明,这些文档包括操作***的“手册”(manpages)。
在此不再探究所有的细节,“ipq_read()”函数使得每个外部模块能够等待数据分组到达接口处。“ipq_get_packet()”函数随即使得可以读取该数据分组,即,可以将其复制到为该外部模块保留的存储区域中。该外部模块可以随即读取包含在该数据分组中的多项信息中的每一项信息。
所述外部模块可以随即从其它数据分组中选择NDP数据分组,并且所述外部模块可以根据SEND机制来分析并在必要的情况下修改所选择的数据分组。
下文中将对这种选择和分析进行更为详细的描述,但在描述的这一阶段,重要的是知道在必要的情况下是否可以修改数据分组已被复制到其中的存储区域以便反映该处理。
一旦已经完成这种操作,外部模块就可以使用“ipq_set_verdict()”函数。具有变量“ACCEPT”(接受)或“MODIFIED”(已修改)的这一函数使得可以分别在原封不动的状态下或在已修改的状态下通过所讨论的接口HIN、HOUT将数据分组放回到协议栈PS中。该数据分组是在先前将该数据分组复制到其中的存储区域的一个副本。
通过这种方式,外部模块可以以对所述协议栈来说透明的方式修改(“MODIFIED”变量)由协议栈PS所传输的数据分组。
可以根据RFC 2461所定义的NDP(邻居发现协议)规范来选择NDP分组。
图3以图解方式示出了一种数据分组的格式。其包括如上所述的“IP报头”。然后,其还具有第二个“报头”ND,由NDP特有的字段构成。该协议定义了5类数据分组:“邻居请求”、“邻居通告”、“路由器请求”、“路由器通告”,以及“重定向”。
可以通过分析所述“ND”报头来选择遵从该NDP的分组。如RFC 2461的第4节所描述的,该ND报头以定义数据分组类型的“类型”字段开始,如下表所给出的:
  分组类型   “类型”字段的值
  “邻居请求”   135
  “邻居通告”   136
  “路由器请求”   133
  “路由器通告”   134
  “重定向”   137
遵从NDP的分组还具有由SEND机制所使用的用于***选项的内容区域。SEND机制特别地对2个选项进行了规定:RSA选项(或更准确地说是“RSA签名”),以及CGA选项。还提供了两种其它的选项(在图中未示出):“时戳”选项以及“随机数”选项。
CGA选项使得可以传输与用密码生成的地址(CGA)技术有关的信息。在日期为2005年3月的RFC 3972中描述了该技术,并且该技术包括使用基于至少网络节点的公钥的不可逆Hash函数来生成该网络节点的该IPv6地址。
“RSA”选项使得可以基于NDP数据分组的公钥来附加签名。
这些选项并非彼此独立。举例而言,如果存在“CGA”选项和“RSA签名”选项,则基于该“CGA”选项而确定的公钥必须是在“RSA签名”函数的“Key Hash”(密钥散列)字段中传输的公钥。如果不是这种情况,则该分组必须被删除。
因此,当该项通信设备传输NDP分组或当该项通信设备接收NDP分组时,该项通信设备必须应用大量处理规则。
于是,外部模块MIN和MOUT的作用是分别应用用于第二种情况和第一种情况的所述处理规则。外部模块MIN和MOUT可以以对操作内核来说完全透明的方式执行这种作用。因此,这首先包括分析NDP分组(主要是针对MIN)以便使这些分组遵从SEND机制,并且其次包括修改NDP数据分组(主要是针对MOUT)以便使这些分组遵从SEND机制。
如果新版本的SEND机制处理代码可用,则可以将所述代码并入所述外部模块中而不修改内核本身。相似地,如果SEND机制被升级并且定义了新的选项,则同样可以将与这种升级有关的代码并入该外部模块中而不修改操作内核。
在操作***的内核不具有类似于“NetFilter”基础设施(即,具有与已确定的点相关联的接口的基础设施)的基础设施的情况下,仍可以在“降级的”模式下实现本发明。在数据分组进入协议栈之前以及当该数据分组从协议栈中离开时,可以查看这些数据分组。因此,软件模块MIN、MOUT可以连接到所述协议栈的输入和输出,以便在必要的情况下根据该SEND机制修改对应于NDP的分组。

Claims (8)

1.一种用于保证通信设备(E)安全的获得安全的方法,所述通信设备包括:操作***内核(K)以及一组软件应用(A),所述内核包括至少一个IPv6协议栈(PS),所述协议栈使得将来自输入端口(PIN)的进入数据分组传输到应用(A)并且将来自应用(A)的发出数据分组传输到输出端口(POUT),所述协议栈包括一组接口(HPRE、HIN、HOUT、HPOST),所述接口被组织为使得连接到它们的外部模块能够在与所述接口相关联的已确定的点处访问由所述至少一个协议栈所传输的所述数据分组,所述方法的特征在于所述外部模块包括输入模块(MIN)和输出模块(MOUT),所述输入模块和所述输出模块分别连接到所述内核(K)的输入接口(HIN)和输出接口(HOUT),并且所述方法的特征在于所述输入模块和所述输出模块以对所述内核来说透明的方式根据安全邻居发现(SEND)机制来选择、分析并且在必要的情况下修改邻居发现协议(NDP)的数据分组。
2.根据权利要求1所述的获得安全的方法,其中所述操作***是Linux***,并且所述已确定的点是根据“NetFilter”基础设施来限定的。
3.根据权利要求1或2所述的获得安全的方法,其中所述外部模块分析并修改该邻居发现协议的所述数据分组的“CGA”选项和“RSA签名”选项。
4.根据权利要求1所述的获得安全的方法,其中所述已确定的点位于所述协议栈(PS)的输入处和输出处。
5.一种通信设备(E),包括:操作***内核(K)以及一组软件应用(A),所述内核包括至少一个IPv6协议栈(PS),所述协议栈使得可以将来自输入端口(PIN)的进入数据分组传输到应用(A)并且将来自应用(A)的发出数据分组传输到输出端口(POUT),所述协议栈包括一组接口(HPRE、HIN、HOUT、HPOST),所述接口被组织为使得连接到它们的外部模块能够在与所述接口相关联的已确定的点处访问由所述至少一个协议栈所传输的所述数据分组,所述通信设备的特征在于输入模块(MIN)和输出模块(MOUT)分别连接到输入接口(HIN)和输出接口(HOUT),并且所述通信设备适合于以对所述内核来说透明的方式根据安全邻居发现机制来选择、分析并且在必要的情况下修改邻居发现协议的数据分组。
6.根据权利要求5所述的通信设备,其中所述操作***是Linux***,并且所述已确定的点是根据“NetFilter”基础设施来限定的。
7.根据权利要求5或6所述的通信设备,其中所述外部模块分析并修改该邻居发现协议的所述数据分组的“CGA”选项和“RSA签名”选项。
8.根据权利要求5所述的通信设备,其中所述已确定的点位于所述协议栈(PS)的输入处和输出处。
CN200610126535A 2005-08-25 2006-08-25 根据send机制来保证用于处理数据分组的通信设备的安全 Expired - Fee Related CN100586124C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP05300694.6 2005-08-25
EP05300694A EP1758338B1 (fr) 2005-08-25 2005-08-25 Procédé et équipement de communication sécurisé pour le traitement des paquets de données selon le mécanisme SEND

Publications (2)

Publication Number Publication Date
CN1921489A CN1921489A (zh) 2007-02-28
CN100586124C true CN100586124C (zh) 2010-01-27

Family

ID=35686555

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200610126535A Expired - Fee Related CN100586124C (zh) 2005-08-25 2006-08-25 根据send机制来保证用于处理数据分组的通信设备的安全

Country Status (5)

Country Link
US (1) US7747849B2 (zh)
EP (1) EP1758338B1 (zh)
CN (1) CN100586124C (zh)
AT (1) ATE392769T1 (zh)
DE (1) DE602005006127T2 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090129597A1 (en) * 2007-11-21 2009-05-21 Zimmer Vincent J Remote provisioning utilizing device identifier
CN101640631B (zh) * 2008-07-28 2011-11-16 成都市华为赛门铁克科技有限公司 一种数据包处理的方法和装置
US8050196B2 (en) 2009-07-09 2011-11-01 Itt Manufacturing Enterprises, Inc. Method and apparatus for controlling packet transmissions within wireless networks to enhance network formation
US8953798B2 (en) * 2010-10-29 2015-02-10 Telefonaktiebolaget L M Ericsson (Publ) Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol
US8826436B2 (en) 2010-12-08 2014-09-02 At&T Intellectual Property I, L.P. Systems, methods and apparatus to apply permissions to applications
US10367785B2 (en) * 2013-10-01 2019-07-30 Perfecta Federal Llc Software defined traffic modification system

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7299490B2 (en) * 2001-06-29 2007-11-20 Hewlett-Packard Development Company, L.P. Portable wireless device and software for printing by reference
US20050011365A1 (en) * 2001-12-11 2005-01-20 Catherine Lamy System for transmitting additional information via a network
US20040240669A1 (en) * 2002-02-19 2004-12-02 James Kempf Securing neighbor discovery using address based keys
US7343619B2 (en) * 2002-03-16 2008-03-11 Trustedflow Systems, Inc. Trusted flow and operation control method
US7450499B2 (en) * 2003-02-21 2008-11-11 Samsung Electronics Co., Ltd. Method and apparatus for interconnecting IPv4 and IPv6 networks
US7409544B2 (en) * 2003-03-27 2008-08-05 Microsoft Corporation Methods and systems for authenticating messages
US8261062B2 (en) * 2003-03-27 2012-09-04 Microsoft Corporation Non-cryptographic addressing
US7467214B2 (en) * 2003-06-20 2008-12-16 Motorola, Inc. Invoking protocol translation in a multicast network
JP4210168B2 (ja) * 2003-07-09 2009-01-14 株式会社エヌ・ティ・ティ・ドコモ 移動端末、制御装置、ホームエージェント及びパケット通信方法
US7860978B2 (en) * 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router
CN1691668B (zh) * 2004-04-30 2010-04-28 华为技术有限公司 一种提供IPv6服务的***和方法
KR100651715B1 (ko) * 2004-10-07 2006-12-01 한국전자통신연구원 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조
US20060285519A1 (en) * 2005-06-15 2006-12-21 Vidya Narayanan Method and apparatus to facilitate handover key derivation

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
IPv6 Neighbor Discovery (ND) Trust Models and Threats. Nikander, et al.RFC 3756. 2004
IPv6 Neighbor Discovery (ND) Trust Models and Threats. Nikander, et al.RFC 3756. 2004 *
IPv6网络入侵检测中旁路阻止攻击的方法研究. 李长庆等.全国网络与信息安全技术研讨会‘ 2004. 2004
IPv6网络入侵检测中旁路阻止攻击的方法研究. 李长庆等.全国网络与信息安全技术研讨会‘ 2004. 2004 *
Neighbor Discovery for IP Version 6 (IPv6). Narten, et. al.RFC 2461. 1998
Neighbor Discovery for IP Version 6 (IPv6).Narten,et.al.RFC 2461. 1998 *
SEcure Neighbor Discovery (SEND). Arkko, et al.RFC 3971. 2005
SEcure Neighbor Discovery (SEND).Arkko,et al.RFC 3971. 2005 *

Also Published As

Publication number Publication date
CN1921489A (zh) 2007-02-28
US7747849B2 (en) 2010-06-29
DE602005006127D1 (de) 2008-05-29
ATE392769T1 (de) 2008-05-15
DE602005006127T2 (de) 2009-07-02
EP1758338B1 (fr) 2008-04-16
US20070083765A1 (en) 2007-04-12
EP1758338A1 (fr) 2007-02-28

Similar Documents

Publication Publication Date Title
CN102907049B (zh) 基于虚拟站接口发现和配置协议响应来指定优先级
US8856884B2 (en) Method, apparatus, signals, and medium for managing transfer of data in a data network
US7533409B2 (en) Methods and systems for firewalling virtual private networks
US7369563B2 (en) Method and apparatus for sharing a single internet protocol address without a network address translation in an internet access gateway for a local network
CN110311929B (zh) 一种访问控制方法、装置及电子设备和存储介质
CN100586124C (zh) 根据send机制来保证用于处理数据分组的通信设备的安全
US20030231632A1 (en) Method and system for packet-level routing
CN105991444B (zh) 业务处理的方法和装置
CN108429739B (zh) 一种识别蜜罐的方法、***及终端设备
CN110290044B (zh) 一种vpn网络和主干网络的分流方法、装置及存储介质
CN103475746A (zh) 一种终端服务方法及装置
CN110958334A (zh) 报文处理方法及装置
Etxezarreta et al. Low delay network attributes randomization to proactively mitigate reconnaissance attacks in industrial control systems
US7688821B2 (en) Method and apparatus for distributing data packets by using multi-network address translation
CN116719868A (zh) 网络资产的识别方法、装置及设备
CN113014664B (zh) 网关适配方法、装置、电子设备和存储介质
CN115225292B (zh) 一种内网访问方法、装置、设备及计算机可读存储介质
JP2003283546A (ja) 無線モバイルルータ
CN110611678B (zh) 一种识别报文的方法及接入网设备
CN114157632A (zh) 网络隔离方法、装置、设备和存储介质
CN112788116A (zh) 一种报文转发的方法及装置
CN107547687B (zh) 一种报文传输方法和装置
CN110545256A (zh) 数据传输方法、***、电子设备、中转服务器及存储介质
CN115277190B (zh) 一种链路层透明加密***在网络上实现邻居发现的方法
JP2004072160A (ja) スイッチング方法及び装置並びにコンピュータプログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100127

Termination date: 20180825

CF01 Termination of patent right due to non-payment of annual fee