CN1536847A - 鉴权分组有效负荷的方法 - Google Patents
鉴权分组有效负荷的方法 Download PDFInfo
- Publication number
- CN1536847A CN1536847A CNA2004100313002A CN200410031300A CN1536847A CN 1536847 A CN1536847 A CN 1536847A CN A2004100313002 A CNA2004100313002 A CN A2004100313002A CN 200410031300 A CN200410031300 A CN 200410031300A CN 1536847 A CN1536847 A CN 1536847A
- Authority
- CN
- China
- Prior art keywords
- title
- grouping
- authentication code
- authentication
- pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 30
- 230000005540 biological transmission Effects 0.000 claims description 72
- 230000008569 process Effects 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000013519 translation Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 229910003460 diamond Inorganic materials 0.000 description 4
- 239000010432 diamond Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000005538 encapsulation Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 102100031184 C-Maf-inducing protein Human genes 0.000 description 1
- 101000993081 Homo sapiens C-Maf-inducing protein Proteins 0.000 description 1
- 208000020875 Idiopathic pulmonary arterial hypertension Diseases 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 240000005373 Panax quinquefolius Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 229940102240 option 2 Drugs 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/1607—Details of the supervisory signal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种用于鉴权分组的体系结构,其包括:可用于接收分组的输入端322,所述分组包括传输、会话和显示标题部分中的至少一个;传输代理312,其可用于基于所述分组的至少一部分内容计算第一消息鉴权码,并将所述第一消息鉴权码与所述传输、会话和显示标题部分中的至少一个内的第二消息鉴权码相比较,以鉴权所述分组。
Description
技术领域
本发明涉及鉴权,尤其涉及分组有效负荷的鉴权。
背景技术
近年来,对于有效网络安全性的需要逐步变得重要,这归因于网络黑客、病毒以及其它类型网络攻击的频繁发生和更为复杂。电子商务已引进了一种新型网络攻击,称为业务否定或DoS攻击。在DoS攻击中,当使用标准传输控制协议或TCP在两个应用之间提供数据的顺序传输时,恶意第三方可以将错误分组注入或“合并”到所述分组流内。为了逃避驾驭TCP(例如安全套接层或SSL,或是传输层安全或TLS)的安全协议的检测,所述错误分组被适当构造,从而使其包括正确的地址对和序列号(从而使得所述分组显示为是有效的),但包括虚假数据。当正确分组稍后到达时,所述分组被作为重新传送的复本而删除。因为所述虚假数据无法成功鉴权,所述安全协议通过发送错误消息到所述发动节点来终止所述会话。所述安全协议无法选择性地请求所丢弃(正确)数据的重新传输。因此,所述DoS攻击必须通过长密码协商会话来重新建立所述TLS连接,这需要大量的处理资源。DoS攻击不仅无必要地消耗处理资源,还使得电子商务每年损失百万美金收入。
一种用于挫败DoS攻击的方法是以传输模式使用IP安全或IPSec协议以鉴权每个IP分组。IPSec不仅可以加密实际用户数据或有效负荷,还可以加密一些用于泄露技术会话攻击简表内的客户地址的协议栈信息项。IPSec作为开放***互连或OSI体系结构的第三层(“IP”上的互联网协议)和第四层(TCP或UDP)之间的“垫片”,并包括一套协议,所述协议共同规定鉴权标题(AH)、封装的安全有效负荷(ESP)以及互联网密钥交换(IKE)。IPSec提供了经由AH的地址鉴权、经由ESP的数据加密、使用IKE的发送者和接收者节点之间的自动密钥交换。
图2A示出了具有鉴权标题204的IPv4分组200。所述鉴权标题204包括下一标题字段208(其具有一个字节的长度,并识别符合所述AH的较高级协议)、有效负荷长度字段212(其具有一个字节的长度,并规定所述鉴权数据字段216的长度)、预留字段220(其具有为将来使用预留的两个字节)、安全参数索引或SPI字段224(其具有四个字节的长度,并识别用于所述分组的安全协议)、序列号字段228(其具有四个字节的长度,并作为一个计数器,所述计数器识别其已接收的负载相同目的地和SPI数据的IPAH分组的数量)、鉴权数据字段216(其具有可变的长度,并包括完整性检查值或ICV(其是使用DES、MD5或安全散列算法(SHA-1)生成的分组的数字签名))。
图2B示出了具有封装的安全有效负荷或ESP标题254的IPv4分组250。所述封装的安全有效负荷标题包括上述的SPI和序列号字段224和228、TCP或用户数据报协议(UDP)标题230、有效负荷数据字段258(其包括用户的原始数据的加密后版本)、填充字段262(其提供加密算法的任何必需的填充需要,或是提供字节界限校准)、填充长度字段266(其规定用于所述填充字段的填充字节的数量)、下一标题字段270(其通过识别包括在所述有效负荷数据字段内的数据的类型来参考所述有效负荷数据)、鉴权数据274(其为应用于整个ESP标题的数字签名)。
但是,IPSec无法通过防火墙,尤其是执行网络-地址翻译或网络-地址-端口翻译的代理服务器防火墙。以下将参照图1来讨论该问题。参照图1,防火墙(或代理服务器)100位与网络104和各种有防火墙保护的网络节点108a-n之间。每个节点108a-n都具有对应IP地址和端口号。当节点108a-N将分组发送出所述网络时,所述防火墙可能仅改变所述IP地址,或改变所述IP地址和端口号两者。所述新IP地址通常是代理服务器的IP地址。因为IPSec在第三层和第四层内操作,且IPSec并不具有用于端口技术规范的设备,因而所述代理服务器尝试改变端口失败,且所述分组并不被传送。所述ESP标题254通常允许改变IP地址,但不允许改变端口号。另一方面,所述AH 204通常不允许改变IP地址或是端口号。
发明内容
上述需要以及其它需要由本发明的各个实施例与配置来满足。本发明指向一种方法,其用于在所述应用层之下的层内鉴权分组,例如在OSI传输以及TCP/IP主机到主机传输层内。
在本发明的一个实施例中,提供了一种用于鉴权分组的方法,所述方法包括步骤:
(a)接收分组,所述分组包括标题和有效负荷,而所述标题包括传输标题部分;
(b)基于所述分组的至少一部分内容计算第一消息鉴权码;以及
(c)比较所述第一消息鉴权码与所述传输标题部分内的第二消息鉴权码来鉴权所述分组。
所述传输标题部分可由任何适当的软件模型来定义,例如所述OSI传输层以及TCP/IP主机到主机传输层。
所述消息鉴权码可使用任何适当的算法来计算,例如(安全)散列算法。所述第一和第二鉴权码通常被截短为预定数量比特。
所述第一和第二消息鉴权码可基于所述标题的全部或所选择部分和/或所述有效负荷的全部或所选择部分。通常至少基于所述传输标题部分来确定所述第一和第二消息鉴权码。
在一种配置中,所述第一和第二鉴权码是基于伪标题计算的,在所述伪标题中,源端口和/或目的地端口字段被设置为与所述标题中对应源端口或目的地端口字段不同的值。另一种方式是,所述源和/或目的地字段具有独立于所述标题中对应源和目的地字段的值。例如,所述源和/或目的地字段被设置为零。并不被所述防火墙处理的所述分组内的字段在所述伪标题内通常不会被设置为不同的值或忽略。
在可能与上述实施例一起使用的另一实施例中,本发明指向一种用于所接收分组的鉴权方法,所述方法包括步骤:
(a)在第一模式中,当所述标题并不包括有效鉴权选项时,丢弃所述分组,所述鉴权选项包括所述第二消息鉴权码;以及
(b)在第二不同模式中,当所述标题包括鉴权选项时丢弃所述分组。上述实施例中的计算和比较步骤仅发生在所述第一模式中。所述操作模式通常是由较高层确定的,例如由所述应用层或会话层,或是由传输层自身。
在可与上述实施例中的任何一个一起使用的又一个实施例中,本发明指向一种用于将被传送的分组的鉴权方法,所述方法包括步骤:
(a)组合包括标题和有效负荷的分组,所述标题包括传输标题部分,其中
(b)在第一模式中,所述传输标题部分包括有效鉴权选项字段;以及
(c)在第二不同模式中,所述传输标题部分内并不包括有效鉴权选项字段;以及
(d)随后传送所述分组。
所述各个实施例相对于现有技术都具有大量优点。例如,所述标题的传输部分内包括鉴权选项可有效阻止未授权地操作传送中的数据,并提供对于由第三方注入未经鉴权数据所引起的会话破坏的更高抵抗力,例如在DoS攻击的情况下。在生成分组时,计算消息鉴权码并将其***所述标题。在接收所述分组时,验证所附的消息鉴权码。当所述验证失败时,所述分组显然已被修改(或被虚假地注入所述分组流),因此不再确认即丢弃所述分组。鉴权或未确认分组将由所述发送者重新传送。所述消息鉴权码可以一种方式来定义,从而使得所述分组流过地址和/或端口翻译防火墙,而无需将所述分组内的机密公开给所述防火墙。根据这样一种定义,由代理服务器型防火墙操作或改变的所述源端口和/或目的地端口字段以及其它任何字段的值被设置为与所述标题中的值不同,例如被设置为零,或被在所述消息鉴权码所基于的伪标题内完全忽略。用于计算所述消息鉴权码的所述共享机密或密钥由所述传输层之上的协议层提供。因此,提供允许以未鉴权模式使用所述传输层,以协商所述共享机密。在完成所述协商时,传输层鉴权可被激活,以使所有后续分组化的信息得到鉴权。这样,本发明最大地使用了现有协议,例如TLS和TCP,而无需备选解决方案或是生成新协议。
本文所公开的发明内容将使得上述优点以及其它优点变得清晰。
上述实施例和配置并不是完全的,亦非穷举的。应当理解的是,本发明的其它实施例也可以单独或组合使用一个或多个上述或以下详述的特征。
附图说明
图1是常规代理服务器型防火墙的方框图;
图2A是常规分组与鉴权标题的方框图;
图2B是常规分组与封装安全协议标题的方框图;
图3是根据本发明实施例的代理服务器型防火墙的方框图;
图4是根据传输控制协议的常规传输层标题的方框图;
图5是根据本发明的鉴权TCP选项字段的方框图;
图6是用于计算消息鉴权码的伪标题的方框图;
图7是描述密码代理的操作的流程图;以及
图8A和B是描述跟踪代理的操作的流程图。
具体实施方式
图3描述了一种根据本发明的第一实施例的体系结构。所述体系结构至少包括第一和第二端点或节点300a、b,以及位于所述节点300a、b之间的防火墙304和网络308。
所述第一和第二节点300a、b可以是任何计算部件,例如个人计算机或PC、服务器、膝上电脑、个人数字助理或PDA、IP电话、VoIP媒介网关、H.323门卫等。每个节点都包括传输代理312、密码代理316以及输入端或接口322。
所述传输代理312(a)提供数据的无错传送,(b)从相邻的较高层接受数据,例如从所述OSI的会话层或第5层或是从TCP/IP的应用层,如果需要将所述数据分割到较小分组内,将所述分组传送至相邻的较低层,例如所述OSI的网络层或第3层或是TCP/IP的互连网络层,并确认所述分组完全并正确地到达其目的地,以及(c)鉴权所述分组的所选择内容。
所述密码代理316包括协议,例如安全套接层或SSL(用于安全性)和/或传输层安全或TLS(用于安全性)(通常统称为“SSL/TLS”)、公共管理协议或CMIP(用于网络管理),文件传送、接入以及管理(用于远程文件处理),X.400(用于电子邮件),和/或定义具体的面向用户的应用业务和进程的SASL。所述密码代理316可以在OSI面向业务层(例如层5、6和/或7)的任何应用内或TCP/IP的应用层内操作。
套接320代表所述鉴权和传输代理之间的接口。
应当理解的是,所述OSI分层过程在源机器的应用层或第7层内开始,在所述的层内,消息由应用程序生成。所述消息通过该层向下移动,直至其到达第1层。第1层是实际物理通信媒介。所述分组化的数据然后被通过所述媒介传送至所述接收主机,在所述接收主机内,所述信息向上移动通过所述的层,即从第1层到第7层。当消息在所述源机器内通过所述的层向下移动时,所述消息被以与特定的层相关的标题封装,例如IP标题232,AH 204,TCP或UDP标题236,或ESPH 254(图2A和2B)。当所述消息在所述主机内通过所述的层向上移动时,标题由每个对应的层去除。所述TCP/IP层以非常相似的方式操作。
防火墙304可以是任何类型的防火墙。例如,所述防火墙可以是帧过滤防火墙、分组过滤防火墙、电路网关防火墙、状态防火墙或是应用网关或代理服务器防火墙。
网络308可以是数字或模拟的任意分布式处理网络,例如互联网。
以下将参照图4-6来描述由所述传输代理312用于鉴权的所述TCP标题。图4描述了所述TCP标题400的现有技术格式。所述TCP标题400包括的字段为:源端口404、目的地端口408、分组序列号412(上述的)、字节确认号416(其指示在发送确认之前接收和接受的最后字节号)、数据偏移420(其指示数据在所述分组内的开始位置)、标志字段422、预留424、窗口428(其指示可以接收和缓存的字节数)、校验和432、紧急指针436(其指示所述分组内出现紧急数据)、选项440(其包括与所述协议相关的各个选项)以及填充444(以足够的零比特填充所述选项字段以确保所述标题具有所需长度的可变长度字段)。根据本发明,通过在所述选项字段440内包括鉴权选项来实现TCP分组数据单元(“PDU”)或分组的鉴权。应当理解的是,所述选项字段内的选项可以具有两种形式中的一种,即后跟选项长度的字节的单个字节值选项类型,或是后跟选项数据的(选项长度-2)字节的字节选项类型。在一种配置中,所述的鉴权选项具有第二种形式。
图5描述了第二种形式的鉴权选项。所述的鉴权选项500包括以下字段,即选项指示符504、长度508以及消息鉴权码512。所述选项指示符字段504是指配的选项数字比特或/所述分组鉴权选项的值,所述长度字段508是所述消息鉴权码或MAC的长度,而所述消息鉴权码512字段包括所述消息鉴权码自身。所述MAC可以任何技术计算,包括键控散列消息鉴权码,例如HMAC-MD5和HMAC-SHA1算法,它们被截断为N个比特,分别表示为HMAC-MD5-N和HMAC-SHA1-N。其它支持的消息鉴权码包括任何键控的、密码安全MAC,例如那些基于密码反馈加密的MAC。这些代码同样优选的是被截断为N个比特。散列消息鉴权码的截短阻止了攻击者解密所述散列密钥信息。用于生成所述代码的所述密钥是从所述密码代理处接收的。
以下将参照图6来讨论所述MAC的计算。所述MAC的计算可在全部或部分所述TCP标题和有效负荷上执行,而所选择字段被设置为零(或被设置为零比特)。在图6中,所述MAC是在代表所述整个TCP标题、有效负荷以及所述分组的主体的伪标题600上执行,而所述伪标题内的源端口字段604、目的地端口字段608、校验和字段612都被设置为零(或零比特)。因此,可由某些类型防火墙处理的所述源端口和目的地端口以及涵盖其的所述校验和被从所述MAC计算中排除。这允许在所述TCP标题通过地址或地址与端口翻译防火墙时,以常规方式操作所述TCP标题,而不会影响鉴权。
并不由所述防火墙操作的所述分组内的字段被设置为不同的值,所述字段例如是紧急指针标志(其指示所述紧急指针字段是有效的)、PSH标志(其指示数据应当被推至使用层)、结束标志、确认标志、“syn”标志(其指示同步序列号应当被发送)、RST标志(重新设置连接)、序列号、确认号、数据偏移、窗口、选项、填充。一般而言,所述确认字段与ack字段应当被鉴权(连同其它标志)覆盖。
应当理解的是,依据应用可将所述伪标题600内的源端口字段604、目的地端口字段608和校验和字段612中的一个或多个设置为非零值。在计算所述MAC时,所述源端口字段604和目的地端口字段608都应当由防火墙304每一侧的每个节点保持不变,以避免确定MAC时的矛盾。每个所述字段内的值通常都是不同的,且不依赖于所述防火墙60与第一和第二节点300a、b的地址。例如,从所述第一节点传送到第二节点的分组应当具有所述伪标题600内的被设置为常量的源端口字段,而从所述第二节点传送到第一节点的分组应当具有所述伪标题600内的被设置为常量的目的地端口字段,以避免防火墙304的端口翻译的复杂性。
所述鉴权选项500(图5)包括在伪标题的选项字段内。尽管并不要求所述选项-数据字段不会由所述防火墙改变,所述选项-数据字段具有适当的长度,通常被设置为零(或是零比特)。使用实际标题计算标准TCP校验和。
所述密码代理316通过提供(多个)算法的选择以及所述算法的(多个)密码资料,在TCP连接的一个或两个方向上激活鉴权。一旦由传送密码代理316激活,所有所传送的分组都必须包括有效鉴权选项500,而当传送密码代理并未激活时,未生成的TCP标题可能包括鉴权选项500。如果鉴权由接收密码代理316激活,则所有所接收的分组必须包括有效鉴权选项500,如上所述,其中包括的MAC必须匹配于所接收分组,或所述分组由传输代理312判断为无效。当鉴权由所述接收密码代理316激活时,任何未通过鉴权或并不包括有效鉴权选项500的分组与带有无效校验和的分组由传输代理312以相同的方式处理。鉴权错误可能由所述传输代理312记录或计数,所述传输代理312使所述密码代理316或使用层在请求时可得到所述日志/计数。在所述密码代理316协调所述激活的假定下,所述传输代理312尚未报告给所述密码代理316的任何所接收数据被丢弃(所接收的序列号相应地并不增加), 因此所述数据一定已被攻击者在传送中注入或破坏。当鉴权并不由所述接收密码代理316激活时,所有具有鉴权选项500的分组都被丢弃。这是因为所述传送密码代理316显然期望具有鉴权后的分组,而所述接收密码代理316可能尚未为此提供必需的鉴权参数。
以下将参照图7和8描述所述传输代理312和密码代理316的操作。
图7描述每个节点内的密码代理所执行的操作。在图7的步骤700中,第一节点300a与第二节点300b的密码代理316使用常规技术经由安全信道协商协议参数。协商通常涉及每方交换密钥,在一些情况下还涉及数字证书。根据交换后的密钥来计算共享主密钥。当所述第一与第二节点所交换的完成消息内的散列一致时,完成协商。通常借助数字签名在密码代理层上验证所述交换。
在完成协商时,在所述第一与第二节点之间交换多个消息。在步骤704中,所述第一与第二节点将开始密码或改变密码指令发送到所述第二节点,反之亦然。当所述第一或第二节点内的密码代理316发送所述开始密码指令时,所述代理316在步骤708中指令对应传输代理312启动传送鉴权,并将必需的信息(通常为共享机密,例如消息鉴权码算法的传送密钥与识别)提供给所述代理312,以在将被传送到另一节点的分组上执行鉴权操作。当所述第一或第二节点内的密码代理316在步骤712中从另一节点接收所述开始密码指令时,所述代理316在步骤716中指令对应传输代理312启动接收鉴权,并将必需的信息(通常为共享机密,例如消息鉴权码算法的接收密钥(其可能不同于所述传送密钥)与识别)提供给所述代理312,以在所接收分组上执行鉴权操作。在所述第一或第二节点执行步骤708之后,在步骤702中为对应传输代理312提供将被鉴权的数据,用于传输到另一节点。在执行步骤720或716之后,所述密码代理316在步骤724中等待从另一节点接收数据。
图8A和B描述每个节点内的传输代理所执行的操作。
参照图8A,在步骤800中,所述传输代理312接收所述传送鉴权指令与鉴权信息。作为响应,所述传输代理312进入传送鉴权模式(或第一模式),其中鉴权选项500包括在每个被传送到所述第二节点的分组的选项字段440内。在步骤808中,所述传输代理312通过生成鉴权选项500来鉴权所述数据,所述鉴权数据包括在所述分组标题的选项字段440内。如上所述,在建立所述选项500时,所述传输代理312基于图6的伪标题与共享机密,计算所述消息鉴权码,将其截断为N比特。在步骤812中,所述传输代理312将所述分组格式化,并将所述分组发送到另一节点的传输代理。在执行步骤312之后,发送传输代理312在步骤816中等待来自密码代理316的更多数据。
参照图8B,在步骤802中,所述传输代理312接收所述接收鉴权指令与鉴权信息。作为响应,所述传输代理312进入接收鉴权模式,其中鉴权选项500必须包括在所述第二节点所接收的每个分组的选项字段440内。应当理解的是,所有的所接收分组都可进入此模式,或是只有从所述第二节点接收的分组方可进入此模式。在步骤824中,所述传输代理从另一节点的发送传输代理接收分组。在判定菱形框828中,所述接收传输代理312确定所接收的分组是否包括鉴权选项。在所述分组包括鉴权选项时,所述传输代理312在步骤832中通过基于分组伪标题和其它内容以及共享机密计算截短为N比特的消息鉴权码,并将所计算的消息鉴权码与鉴权选项的字段512内的消息鉴权码相比较,从而鉴权所述分组。在判定菱形框828中,所述传输代理312确定分组鉴权是否成功。当所述消息鉴权码不同时,分组鉴权失败,所述代理312继续步骤840(如下所述)。当所述消息鉴权码相同时,分组鉴权成功,所述代理312继续步骤844。在步骤844中,所述分组内包括的数据被转发到接收节点的对应密码代理316。当在判定菱形框828中所述分组并不包括鉴权选项500时,或当在判定菱形框836中鉴权失败时,所述传输代理312在步骤840中丢弃所述分组,在步骤848中记录和计数鉴权错误,在步骤852中并不增加序列号。在丢弃所述分组时,由于所述发送节点从未接收到成功接收所丢弃分组的确认,所以其将会重新发送所述分组,从而显著恶化并降低DoS攻击者的能力。所述代理312然后继续步骤856,并等待下一个将接收的分组。
因为由代理服务器处理的所述源和目的地地址字段和校验和字段在所述消息鉴权码所基于的所述伪标题600内被设置为零(或零比特),所以防火墙地址和/或端口翻译在所述密码代理316内并不会与诸如SSL和TLS的安全协议的操作相干扰。
应当理解的是,响应于由所述密码代理316接收的停止密码指令(例如下一改变密码指令或结束指令),所述传输代理312被重新设置为所述第一或无鉴权模式。停止鉴权指令然后由所述接收密码代理发送至所述对应密码代理。
因为所有以传送鉴权模式传送,并以接收鉴权模式接收的分组必须包括鉴权选项,所以以这些模式传送/接收的确认分组必须在其标题内包括鉴权选项。这阻止了DoS攻击者通过将错误确认发送至所述发送节点来阻塞会话或引起会话终止。
可以使用本发明的多种改变和修改。可以提供本发明的一些特征而不提供其它特征。
例如在一个备选实施例中,所述传输代理312可以上述协议之外的协议实施。例如,用于所述传输代理的其它协议包括TCP、UDP、互联网控制消息协议或ICMP或是会话控制传输协议或SCTP的其它版本。数据传输和确认内主要基于SCTP。STP的一种改变是定义两个新的有效负荷类型,并限制主要内容。一种有效负荷类型用于鉴权分组流,另一有效负荷类型用于确认所述分组流。
同样在其它实施例中,所述密码代理可使用多个适当安全协议的任何一种,例如IPsec等。
在另一备选实施例中,鉴权选项的实施方式不仅在传输层标题内,而且可作为栈内的Bump,或OSI第3层和第4层之间的BITS实施方式。
在有一备选实施例中,所述鉴权选项在对应于OSI传输层的TCP/IP层内。例如,所述鉴权选项可在TCP/IP主机到主机传输层内。
在又一备选实施例中,可能是由或可能不是由OSI第3、4、5、6、和/或7层定义的伪标题仅代表所述标题和/或有效负荷的一部分,并可能包括一个或多个与图6所示的字段不同的字段。
在另一备选实施例中,所述传输代理和/或密码代理或是其部分被体现为逻辑电路以及或替代软件,所述逻辑电路例如是专用集成电路。
在各种实施例中,本发明包括本文充分描述和叙述的元件、方法、过程、***和/或装置,包括各种实施例、子组合及其子集。本领域技术人员在理解本公开之后应当理解如何使用本发明。在各种实施例中,在忽略并未在本文或其各实施例中说明和/或描述的项目的情况下,包括在忽略现有设备或过程所使用的所述项目的情况下,本发明提供了例如用于提高性能、便于实现和/或降低实施成本的设备与过程。
本发明的以上讨论是出于示例与描述目的而提供的。以上并非用于将本发明限制为本文公开的一个或多个形式。例如在以上的详细描述中,本发明的各种特征可在一个或多个实施例中结合在一起,以将此公开连成整体。所公开的方法不应当被解释为权利要求的本发明需要比在每个权利要求内明确陈述的特征更多的特征。而是如权利要求书所反映,发明方面决不在于单个上述实施例的所有特征。因此,将权利要求书引入具体实施方式,其中每个权利要求都可独立作为本发明的优选实施例。
此外,尽管本发明的描述已包括一个或多个实施例以及特定改变与修改,但本领域技术人员在理解本发明之后,可了解其它改变与修改同样在本发明的范围内。旨在得到达到所允许程度的包括备选实施例的权利,包括所要求权利的备选、可交换和/或等同的结构、功能、范围或步骤,不论其是否在本文得到描述,而非旨在公开共享任何专利内容。
Claims (21)
1.一种用于鉴权分组的体系结构,包括:
接收分组,所述分组包括标题和有效负荷;
至少部分地基于从一些所述分组标题中得到的伪标题来计算第一消息鉴权码;其中所述伪标题中的源与目的地端口字段中的至少一个具有与所述分组标题中的对应源与目的地端口字段不同的值;以及
比较所述第一消息鉴权码与所述标题中的第二消息鉴权码,以鉴权所述分组。
2.根据权利要求1的方法,其中所述标题包括传输标题部分,且所述第二鉴权码在所述传输标题部分中。
3.根据权利要求1的方法,其中所述第二鉴权码是基于伪标题计算的,在所述伪标题中,源与目的地端口字段中的至少一个被设置为具有与所述标题中的对应源或目的地端口字段不同的值。
4.根据权利要求3的方法,其中在所述伪标题中,源与目的地字段中的至少一个具有独立于所述标题中的对应源和目的地字段的值。
5.根据权利要求4的方法,其中所述源与目的地字段中的至少一个被设置为零,且其中所述传输标题部分由OSI传输层与TCP/IP主机到主机传输层中的一个定义。
6.根据权利要求1的方法,其中所述第一与第二鉴权码是散列消息鉴权码;
其中所述第一与第二鉴权码被截断为具有预定数量的比特;
其中使用所述传输标题部分来确定所述第一与第二消息鉴权码;
其中在所述比较步骤中,当所述第一与第二消息鉴权码不同时,所述分组被认为是无效的,且还包括:
将指示分组无效的实例的计数器递增。
7.根据权利要求1的方法,在所述接收步骤之后还包括:
在第一种模式中,当所述标题并不包括有效鉴权选项时,丢弃所述分组,所述鉴权选项包括所述第二消息鉴权码;以及
在第二种不同的模式中,当所述标题包括鉴权选项时,丢弃所述分组,其中所述计算与比较步骤仅发生在所述第一种模式中。
8.根据权利要求7的方法,其中所述第二模式是有效的,其还包括:
从较高层接收中止所述第二模式并启动所述第一模式的指令;以及
响应于所述指令,中止所述第二模式并启动所述第一模式;以及
其中所述指令由应用层生成,其为传送鉴权指令与接收鉴权指令的其中一个。
9.根据权利要求7的方法,在所述第一模式中还包括:
基于一些所述分组的内容来计算第一消息鉴权码;以及
比较所述第一消息鉴权码与所述传输标题部分中的第二消息鉴权码,以鉴权所述分组,其中所述第二鉴权码在所述传输标题部分内。
10.根据权利要求1的方法,还包括:
汇编所述分组,所述分组标题包括传输标题部分;且其中
在第一种模式中,在所述传输标题部分中包括有效鉴权选项字段;以及
在第二种不同的模式中,并不在所述传输标题部分内包括有效鉴权选项字段;以及
随后传送所述分组。
11.一种分组,其包括:
传输层标题部分,所述传输层标题部分包括:
源端口字段;
目的地端口字段;
序列号字段;以及
选项字段,其中所述选项字段包括鉴权选项,所述鉴权选项包括消息鉴权码;以及
有效负荷。
12.根据权利要求11的分组,其中所述消息鉴权码是基于伪标题计算的,在所述伪标题中,源与目的地端口字段中的至少一个被设置为具有与所述分组标题中的对应源或目的地端口字段不同的值。
13.一种用于鉴权分组的体系结构,其包括:
用于接收分组的输入装置,所述分组包括标题和有效负荷;
计算装置,其用于至少部分地基于从一些所述分组标题中得到的伪标题来计算第一消息鉴权码;其中所述伪标题中的源与目的地端口字段中的至少一个具有与所述分组标题中的对应源与目的地端口字段不同的值;以及
比较装置,其用于比较所述第一消息鉴权码与所述标题中的第二消息鉴权码,以鉴权所述分组。
14.根据权利要求13的***,其中所述标题包括传输标题部分;
其中所述第二鉴权码在所述传输标题部分内;以及
其中所述第二鉴权码是基于伪标题计算的,在所述伪标题中,源与目的地端口字段中的至少一个被设置为具有与所述标题中的对应源或目的地端口字段不同的值。
15.根据权利要求14的体系结构,其中在所述伪标题中,源与目的地字段中的至少一个具有独立于所述标题中的对应源和目的地字段的值。
16.根据权利要求15的体系结构,其中所述源与目的地字段中的至少一个被设置为零,且其中所述传输标题部分由OSI传输层与TCP/IP主机到主机传输层中的一个定义。
17.根据权利要求13的体系结构,其中所述第一与第二鉴权码是散列消息鉴权码;
其中所述第一与第二鉴权码被截断为具有预定数量的比特;
其中使用所述传输标题部分来确定所述第一与第二消息鉴权码;以及
其中当所述第一与第二消息鉴权码不同时,所述分组被认为是无效的,且还包括:
用于将指示分组无效的实例的计数器递增的计数装置。
18.根据权利要求13的体系结构,还包括分组丢弃装置,其在第一种模式中,当所述标题并不包括有效鉴权选项时,丢弃所述分组,所述鉴权选项包括所述第二消息鉴权码,而在第二种不同的模式中,当所述标题包括鉴权选项时,丢弃所述分组;以及
其中所述计算与比较装置仅在所述第一模式中操作,且所述丢弃操作在接收到所述分组之后发生。
19.根据权利要求18的体系结构,其中所述第二模式是有效的;
其中所述丢弃装置从较高层接收中止所述第二模式并启动所述第一模式的指令,且响应于所述指令,中止所述第二模式并启动所述第一模式;以及
其中所述指令由应用层生成,其为传送鉴权指令与接收鉴权指令的其中一个。
20.根据权利要求18的体系结构,其中所述丢弃装置在所述第一模式中基于一些所述分组的内容计算第一消息鉴权码,并比较所述第一消息鉴权码与所述传输标题部分中的第二消息鉴权码,以鉴权所述分组,其中所述第二鉴权码在所述传输标题部分内。
21.根据权利要求13的体系结构,还包括:
用于汇编所述分组的装置,所述分组标题包括传输标题部分;
用于在第一种模式中使所述传输标题部分内包括有效鉴权选项字段,并在第二种不同的模式中使所述传输标题部分内不包括有效鉴权选项字段的装置;以及
用于随后传送所述分组的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/401,919 US8245032B2 (en) | 2003-03-27 | 2003-03-27 | Method to authenticate packet payloads |
| US10/401,919 | 2003-03-27 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1536847A true CN1536847A (zh) | 2004-10-13 |
| CN1536847B CN1536847B (zh) | 2010-06-23 |
Family
ID=32825032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100313002A Expired - Fee Related CN1536847B (zh) | 2003-03-27 | 2004-03-26 | 鉴权分组有效负荷的方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8245032B2 (zh) |
| EP (1) | EP1463265B1 (zh) |
| JP (1) | JP4504713B2 (zh) |
| KR (1) | KR20040084996A (zh) |
| CN (1) | CN1536847B (zh) |
| CA (1) | CA2454990C (zh) |
| MX (1) | MXPA04000800A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065096A (zh) * | 2010-12-31 | 2011-05-18 | 惠州Tcl移动通信有限公司 | 播放器、移动通讯设备、鉴权服务器、鉴权***及方法 |
Families Citing this family (73)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7940716B2 (en) | 2005-07-01 | 2011-05-10 | Terahop Networks, Inc. | Maintaining information facilitating deterministic network routing |
| JP2003204326A (ja) * | 2002-01-09 | 2003-07-18 | Nec Corp | 通信システムと暗号処理機能付きlan制御装置、及び通信制御プログラム |
| CN1816998B (zh) * | 2003-07-03 | 2010-06-02 | 皇家飞利浦电子股份有限公司 | 安全间接寻址 |
| US7401215B2 (en) * | 2003-09-29 | 2008-07-15 | Sun Microsystems, Inc. | Method and apparatus for facilitating cryptographic layering enforcement |
| US8060743B2 (en) * | 2003-11-14 | 2011-11-15 | Certicom Corp. | Cryptographic method and apparatus |
| EP1840782B1 (en) * | 2004-04-02 | 2017-11-22 | Panasonic Intellectual Property Management Co., Ltd. | Unauthorized contents detection system |
| JP4749680B2 (ja) * | 2004-05-10 | 2011-08-17 | 株式会社ソニー・コンピュータエンタテインメント | データ構造、データ処理装置、データ処理方法、認証装置、認証方法、コンピュータプログラム、及び記録媒体 |
| US7142107B2 (en) | 2004-05-27 | 2006-11-28 | Lawrence Kates | Wireless sensor unit |
| US8812613B2 (en) | 2004-06-03 | 2014-08-19 | Maxsp Corporation | Virtual application manager |
| US7908339B2 (en) | 2004-06-03 | 2011-03-15 | Maxsp Corporation | Transaction based virtual file system optimized for high-latency network connections |
| US9357031B2 (en) | 2004-06-03 | 2016-05-31 | Microsoft Technology Licensing, Llc | Applications as a service |
| WO2006004556A1 (en) * | 2004-07-02 | 2006-01-12 | Agency For Science, Technology And Research | Traffic redirection attack protection method and system |
| WO2006073284A1 (en) * | 2005-01-07 | 2006-07-13 | Samsung Electronics Co., Ltd. | Apparatus and method for transmitting/receiving multiuser packet in a mobile communication system |
| US8234238B2 (en) | 2005-03-04 | 2012-07-31 | Maxsp Corporation | Computer hardware and software diagnostic and report system |
| US8589323B2 (en) | 2005-03-04 | 2013-11-19 | Maxsp Corporation | Computer hardware and software diagnostic and report system incorporating an expert system and agents |
| US8078867B2 (en) | 2005-08-12 | 2011-12-13 | Research In Motion Limited | System and method for authenticating streamed data |
| DE102005040889A1 (de) * | 2005-08-29 | 2007-03-15 | Siemens Ag | Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem |
| US7765402B2 (en) * | 2005-11-08 | 2010-07-27 | Research In Motion Limited | System and methods for the wireless delivery of a message |
| WO2007063420A2 (en) * | 2005-12-01 | 2007-06-07 | Nokia Corporation | Authentication in communications networks |
| US20070136587A1 (en) * | 2005-12-08 | 2007-06-14 | Freescale Semiconductor, Inc. | Method for device authentication |
| JP2007312357A (ja) * | 2006-04-18 | 2007-11-29 | Canon Inc | データ処理装置及びその制御方法、データ処理システム、プログラム、記憶媒体 |
| US8898319B2 (en) | 2006-05-24 | 2014-11-25 | Maxsp Corporation | Applications and services as a bundle |
| US8811396B2 (en) | 2006-05-24 | 2014-08-19 | Maxsp Corporation | System for and method of securing a network utilizing credentials |
| US8583809B2 (en) * | 2006-09-07 | 2013-11-12 | Blackberry Limited | Destroying a secure session maintained by a server on behalf of a connection owner |
| US7840514B2 (en) * | 2006-09-22 | 2010-11-23 | Maxsp Corporation | Secure virtual private network utilizing a diagnostics policy and diagnostics engine to establish a secure network connection |
| US9317506B2 (en) | 2006-09-22 | 2016-04-19 | Microsoft Technology Licensing, Llc | Accelerated data transfer using common prior data segments |
| FR2907622A1 (fr) | 2006-10-19 | 2008-04-25 | St Microelectronics Sa | Procede de transmission de donnees utilisant un code d'accuse de reception comportant des bits d'authentification caches |
| US8099115B2 (en) | 2006-12-14 | 2012-01-17 | Sybase, Inc. | TCP over SMS |
| US7844686B1 (en) | 2006-12-21 | 2010-11-30 | Maxsp Corporation | Warm standby appliance |
| US8423821B1 (en) | 2006-12-21 | 2013-04-16 | Maxsp Corporation | Virtual recovery server |
| JP4802123B2 (ja) * | 2007-03-07 | 2011-10-26 | 富士通株式会社 | 情報送信装置、情報送信方法、情報送信プログラムおよび該プログラムを記録した記録媒体 |
| KR100946115B1 (ko) * | 2007-09-17 | 2010-03-10 | 재단법인서울대학교산학협력재단 | 무선 네트워크에서의 대역폭 효율성 향상 및 프라이버시강화를 위한 메시지 인증 방법 |
| KR101378647B1 (ko) * | 2007-09-28 | 2014-04-01 | 삼성전자주식회사 | Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치 |
| US8307239B1 (en) | 2007-10-26 | 2012-11-06 | Maxsp Corporation | Disaster recovery appliance |
| US8175418B1 (en) | 2007-10-26 | 2012-05-08 | Maxsp Corporation | Method of and system for enhanced data storage |
| US8645515B2 (en) | 2007-10-26 | 2014-02-04 | Maxsp Corporation | Environment manager |
| US20090199002A1 (en) * | 2008-02-05 | 2009-08-06 | Icontrol, Inc. | Methods and Systems for Shortened Hash Authentication and Implicit Session Key Agreement |
| US8713666B2 (en) * | 2008-03-27 | 2014-04-29 | Check Point Software Technologies, Ltd. | Methods and devices for enforcing network access control utilizing secure packet tagging |
| WO2009151877A2 (en) | 2008-05-16 | 2009-12-17 | Terahop Networks, Inc. | Systems and apparatus for securing a container |
| US8301876B2 (en) * | 2008-05-16 | 2012-10-30 | Emc Corporation | Techniques for secure network communication |
| US8375453B2 (en) | 2008-05-21 | 2013-02-12 | At&T Intellectual Property I, Lp | Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network |
| JP2010057123A (ja) * | 2008-08-29 | 2010-03-11 | Panasonic Corp | 暗号処理装置、暗号処理方法及びプログラム |
| US20110145572A1 (en) * | 2009-12-15 | 2011-06-16 | Christensen Kenneth J | Apparatus and method for protecting packet-switched networks from unauthorized traffic |
| US8424106B2 (en) | 2010-05-13 | 2013-04-16 | International Business Machines Corporation | Securing a communication protocol against attacks |
| US8719926B2 (en) * | 2011-02-11 | 2014-05-06 | Verizon Patent And Licensing Inc. | Denial of service detection and prevention using dialog level filtering |
| US8843737B2 (en) * | 2011-07-24 | 2014-09-23 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced approach for transmission control protocol authentication option (TCP-AO) with key management protocols (KMPS) |
| US8832830B2 (en) * | 2011-11-28 | 2014-09-09 | International Business Machines Corporation | Securing network communications from blind attacks with checksum comparisons |
| US9176838B2 (en) * | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
| US9154468B2 (en) * | 2013-01-09 | 2015-10-06 | Netronome Systems, Inc. | Efficient forwarding of encrypted TCP retransmissions |
| US9525671B1 (en) * | 2013-01-17 | 2016-12-20 | Amazon Technologies, Inc. | Secure address resolution protocol |
| US9338172B2 (en) * | 2013-03-13 | 2016-05-10 | Futurewei Technologies, Inc. | Enhanced IPsec anti-replay/anti-DDOS performance |
| US10270719B2 (en) * | 2013-09-10 | 2019-04-23 | Illinois Tool Works Inc. | Methods for handling data packets in a digital network of a welding system |
| EP3103237B1 (en) | 2014-02-06 | 2020-02-19 | Council of Scientific and Industrial Research | Method and device for detecting a malicious sctp receiver terminal |
| US9509665B2 (en) * | 2014-08-11 | 2016-11-29 | Alcatel Lucent | Protecting against malicious modification in cryptographic operations |
| US10230531B2 (en) | 2014-10-23 | 2019-03-12 | Hewlett Packard Enterprise Development Lp | Admissions control of a device |
| WO2016068941A1 (en) * | 2014-10-30 | 2016-05-06 | Hewlett Packard Enterprise Development Lp | Secure transactions in a memory fabric |
| US10715332B2 (en) * | 2014-10-30 | 2020-07-14 | Hewlett Packard Enterprise Development Lp | Encryption for transactions in a memory fabric |
| JP6507863B2 (ja) * | 2015-06-03 | 2019-05-08 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
| WO2017031677A1 (zh) * | 2015-08-25 | 2017-03-02 | 华为技术有限公司 | 一种数据包传输方法、装置、节点设备以及*** |
| US10819418B2 (en) | 2016-04-29 | 2020-10-27 | Honeywell International Inc. | Systems and methods for secure communications over broadband datalinks |
| US10554632B2 (en) * | 2017-05-15 | 2020-02-04 | Medtronic, Inc. | Multimodal cryptographic data communications in a remote patient monitoring environment |
| US11036438B2 (en) | 2017-05-31 | 2021-06-15 | Fmad Engineering Kabushiki Gaisha | Efficient storage architecture for high speed packet capture |
| US10423358B1 (en) * | 2017-05-31 | 2019-09-24 | FMAD Engineering GK | High-speed data packet capture and storage with playback capabilities |
| US10990326B2 (en) | 2017-05-31 | 2021-04-27 | Fmad Engineering Kabushiki Gaisha | High-speed replay of captured data packets |
| US11392317B2 (en) | 2017-05-31 | 2022-07-19 | Fmad Engineering Kabushiki Gaisha | High speed data packet flow processing |
| JP6903529B2 (ja) * | 2017-09-11 | 2021-07-14 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
| KR102366525B1 (ko) * | 2017-09-29 | 2022-02-23 | 한화테크윈 주식회사 | 외부장치 인증 방법 및 장치 |
| US10715511B2 (en) | 2018-05-03 | 2020-07-14 | Honeywell International Inc. | Systems and methods for a secure subscription based vehicle data service |
| US10819689B2 (en) | 2018-05-03 | 2020-10-27 | Honeywell International Inc. | Systems and methods for encrypted vehicle data service exchanges |
| CN109587163B (zh) * | 2018-12-27 | 2022-08-16 | 网宿科技股份有限公司 | 一种dr模式下的防护方法和装置 |
| US11444955B2 (en) * | 2020-06-30 | 2022-09-13 | Cisco Technology, Inc. | Verification of in-situ network telemetry data in a packet-switched network |
| KR102477886B1 (ko) * | 2020-10-28 | 2022-12-15 | 주식회사 유앤아이씨 | 보안 코드 테이블과 인증 식별 코드를 이용한 재전송 방지 시스템 |
| US11861046B2 (en) * | 2021-04-29 | 2024-01-02 | Infineon Technologies Ag | System for an improved safety and security check |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5870474A (en) * | 1995-12-04 | 1999-02-09 | Scientific-Atlanta, Inc. | Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers |
| JP3688830B2 (ja) * | 1995-11-30 | 2005-08-31 | 株式会社東芝 | パケット転送方法及びパケット処理装置 |
| FI105753B (fi) | 1997-12-31 | 2000-09-29 | Ssh Comm Security Oy | Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa |
| FI105739B (fi) * | 1998-06-10 | 2000-09-29 | Ssh Comm Security Oy | Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten |
| US6519636B2 (en) | 1998-10-28 | 2003-02-11 | International Business Machines Corporation | Efficient classification, manipulation, and control of network transmissions by associating network flows with rule based functions |
| US6279140B1 (en) * | 1999-01-07 | 2001-08-21 | International Business Machines Corporation | Method and apparatus for checksum verification with receive packet processing |
| US6957346B1 (en) | 1999-06-15 | 2005-10-18 | Ssh Communications Security Ltd. | Method and arrangement for providing security through network address translations using tunneling and compensations |
| WO2001033771A1 (fr) * | 1999-11-01 | 2001-05-10 | Sony Corporation | Systeme et procede de transmission d'information, emetteur et recepteur, dispositif et procede de traitement de donnees ainsi que support enregistre |
| GB2357226B (en) * | 1999-12-08 | 2003-07-16 | Hewlett Packard Co | Security protocol |
| US20020035681A1 (en) * | 2000-07-31 | 2002-03-21 | Guillermo Maturana | Strategy for handling long SSL messages |
| JP2002175010A (ja) * | 2000-09-29 | 2002-06-21 | Shinu Ko | ホームページ改竄防止システム |
| US20030021417A1 (en) * | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| AU2002322109A1 (en) * | 2001-06-13 | 2002-12-23 | Intruvert Networks, Inc. | Method and apparatus for distributed network security |
| US6920556B2 (en) * | 2001-07-20 | 2005-07-19 | International Business Machines Corporation | Methods, systems and computer program products for multi-packet message authentication for secured SSL-based communication sessions |
-
2003
- 2003-03-27 US US10/401,919 patent/US8245032B2/en active Active
-
2004
- 2004-01-12 CA CA002454990A patent/CA2454990C/en not_active Expired - Fee Related
- 2004-01-26 MX MXPA04000800A patent/MXPA04000800A/es active IP Right Grant
- 2004-03-26 EP EP04251768A patent/EP1463265B1/en not_active Expired - Fee Related
- 2004-03-26 JP JP2004091213A patent/JP4504713B2/ja not_active Expired - Fee Related
- 2004-03-26 KR KR1020040020612A patent/KR20040084996A/ko not_active Application Discontinuation
- 2004-03-26 CN CN2004100313002A patent/CN1536847B/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065096A (zh) * | 2010-12-31 | 2011-05-18 | 惠州Tcl移动通信有限公司 | 播放器、移动通讯设备、鉴权服务器、鉴权***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1463265A2 (en) | 2004-09-29 |
| JP4504713B2 (ja) | 2010-07-14 |
| CA2454990C (en) | 2009-12-22 |
| CA2454990A1 (en) | 2004-09-27 |
| US8245032B2 (en) | 2012-08-14 |
| CN1536847B (zh) | 2010-06-23 |
| EP1463265A3 (en) | 2004-10-20 |
| JP2004295891A (ja) | 2004-10-21 |
| US20040193876A1 (en) | 2004-09-30 |
| KR20040084996A (ko) | 2004-10-07 |
| MXPA04000800A (es) | 2005-05-03 |
| EP1463265B1 (en) | 2013-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1536847B (zh) | 鉴权分组有效负荷的方法 | |
| CN101764799B (zh) | 利用服务器能力配置文件建立连接 | |
| Kaufman et al. | Internet key exchange protocol version 2 (IKEv2) | |
| Maughan et al. | Internet security association and key management protocol (ISAKMP) | |
| JP4271451B2 (ja) | インターネット鍵交換データパケットをフラグメント化および再組み立てするための方法および装置 | |
| US6976177B2 (en) | Virtual private networks | |
| CN1209712C (zh) | 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关 | |
| US7823194B2 (en) | System and methods for identification and tracking of user and/or source initiating communication in a computer network | |
| US8418242B2 (en) | Method, system, and device for negotiating SA on IPv6 network | |
| WO2010048865A1 (zh) | 一种防止网络攻击的方法及装置 | |
| US20110119534A1 (en) | Method and apparatus for processing packets | |
| JPH10178450A (ja) | フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ | |
| CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| WO2004002108A1 (en) | Method, system and devices for transferring accounting information | |
| Kaufman et al. | Rfc 7296: Internet key exchange protocol version 2 (ikev2) | |
| CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
| WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
| Maughan et al. | RFC2408: Internet Security Association and Key Management Protocol (ISAKMP) | |
| CN1314221C (zh) | 一种安全代理方法 | |
| US8423767B2 (en) | Security association verification and recovery | |
| US8259914B2 (en) | System and method for a secure log-on to a communications system comprising network connection and connection handling computers | |
| CN107277035B (zh) | 一种在tcp连接阶段传递客户端信息的方法 | |
| Eronen et al. | Internet key exchange protocol version 2 (IKEv2) | |
| CN116389169B (zh) | 一种避免国密IPSecVPN网关数据包乱序、分片的方法 | |
| Touch et al. | RFC 5925: The TCP Authentication Option |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: AVAYA TECH LLC Free format text: FORMER OWNER: AVAYA TECHNOLOGY LLC Effective date: 20101216 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: AVAYA TECHNOLOGY LLC Free format text: FORMER NAME: AVAYA TECHNOLOGIES INC. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: New jersey, USA Patentee after: Avaya Inc. Address before: New jersey, USA Patentee before: Avaya Technology Corp. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20101216 Address after: New jersey, USA Patentee after: Avaya Inc. Address before: New jersey, USA Patentee before: Avaya Inc. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100623 Termination date: 20180326 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |