CN1290088A - 为通信网安全而使用无效码元安全干扰的方法和设备 - Google Patents
为通信网安全而使用无效码元安全干扰的方法和设备 Download PDFInfo
- Publication number
- CN1290088A CN1290088A CN 99121076 CN99121076A CN1290088A CN 1290088 A CN1290088 A CN 1290088A CN 99121076 CN99121076 CN 99121076 CN 99121076 A CN99121076 A CN 99121076A CN 1290088 A CN1290088 A CN 1290088A
- Authority
- CN
- China
- Prior art keywords
- address
- destination
- transmitter
- source
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 86
- 238000000034 method Methods 0.000 title claims description 24
- 230000015654 memory Effects 0.000 claims description 43
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000007726 management method Methods 0.000 description 19
- 230000008859 change Effects 0.000 description 9
- 230000008878 coupling Effects 0.000 description 9
- 238000010168 coupling process Methods 0.000 description 9
- 238000005859 coupling reaction Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 231100000219 mutagenic Toxicity 0.000 description 2
- 230000003505 mutagenic effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000003245 working effect Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
揭示了一种在局域网通信网络装置(诸如多端口重发器)中使用的用于防止窃听的安全装置,其做法是在发送给所有与通信网络装置连接的不希望的收发两用机的数据通信分组中,用无效码元来重写数据。由于与数据无关地规定无效码元,因此不把保密的和用户敏感的信息传送给不希望的收发两用机。无效码元明确地告诉不希望的收发两用机,在数据分组中的数据无效。
Description
本发明一般涉及一种安全管理装置,本发明尤其涉及使用无效码元以干扰与通信网中不希望的网络装置进行数据通信的防窃听的方法和设备。
数据通信技术的新进步在通过使用提供可靠的高速数据信道的网络在计算机系统之间进行资源共享方面大有进展。通过对通信规定共同的标准,允许网络具有通用性,从而可以跨越用户应用交换不依赖于卖主(vendor)设备的信息。随着网络日益普及,对网络性能的要求也在提高。建立更加复杂的协议来满足这个要求,并且使用办公室建筑物内现有的双绞线,从而实质上所有的计算机的有读写能力的用户以最小的花费访问资源。
多端口重发器(repeater)是一种通常使用的通信网络装置,以对终端用户(诸如个人计算机、工作站等等)提供网络访问。这个装置具有多个“端口”。在许多情形中,每个端口连至使用10BASE-T“绞合线对”(Twisted Pair)或由IEEE 802.3标准规定的100BASE-X连接的一个终端节点。这些端口用作在通信网络装置和终端用户电台之间的物理接口。每个端口按照IEEE 802.3重发器规范工作。当从任何单个端口接收到一个数据通信分组(packet)时,按照该标准,该数据分组重发至所有其他的端口。当在任何时刻接收到一个以上的分组时,多端口重发器进行在所述标准中规定的冲突算法(collision algorithm)。
以太网桥接器(bridge)是一种具有两个或多个物理端口的装置,它能够根据分组的目的地地址把在任何端口接收到的分组递送至任何其他的单个端口。不递送至端口的分组视为被滤除的分组。
媒体访问控制(Media Access Control,MAC)功能把数字信息(它一般以分组的形式存储在存储器中)转换为能够在以太网连接上被传送的实际的以太网帧,或者从网络连接接收的作为分组存储在存储器中的帧。
包括网络安全性的关键问题之一是窃听问题。由于在重发器的一个端口上接收到的分组要重发至重发器的所有端口,因此发生窃听。于是,如果没有某种安全机制,则连至除了与数据分组中的目的地地址相关联的一个端口之外的端口的网络装置也将接收该分组。以太网桥接器没有这个问题,因为通过使用包含在分组中的源和目的地信息,它们具有把分组递送至所希望的端口(即连至终端用户电台的端口,该电台具有与分组中的目的地地址相匹配的源地址),而不把分组重发至位于其他端口上的装置的能力。
为了在使用多端口重发器的局域网(LAN)或广域网(WAN)上防窃听,而没有与使用桥接器相关联的花费和信号延迟,需要有改进的安全机制。在使用“多端口重发器”的典型的网络工作中,多端口重发器的每个端口持久地专用于单个用户的。对于网络而言,用与用户的终端节点装置(诸如个人计算机、工作站等等)相关联的以太网地址来唯一地识别此用户。用户每次在网络上送出分组时,终端节点就自动发送它的以太网地址,该地址在由IEEE 802.3标准规定的作为分组的一部分的“源地址字段”中。分组还包括“目的地地址字段”,用以识别打算接收该分组的源。
网络安全性方案遇到的一种情形是网络装置截获不打算给它们的敏感的或机密的数据。对待这个问题的一种方法是中止至不希望的网络装置的数据传输。然而,这个方案的主要缺点是当那些网络装置打算发送时由于不了解已经有网络业务存在而发生不受欢迎的冲突的可能性。这个方案也违背了IEEE802.3重发器标准。
在分别授予Carter等人和Nicols等人的第5,161,192号和第4,901,348号美国专利中揭示了防窃听的一种方法。采用这种方法,通过用无关的或随机的码型代替发送至不希望的网络装置的数据,可以防止窃听。这些安全系统取决于这样的事实,即,按照IEEE 802.3标准或LAN协议,用无关的码型所作的替换将导致不是合法数据帧的数据帧。说的更具体些,IEEE 802.3标准规定了媒体访问控制(MAC)帧结构,它包括检查被发送数据的有效性的方法。使用预定的算法对于数据分组内容(不包括起始帧定界符(SFD)和帧校验序列(FCS)字段)计算循环冗余校验(CRC)值。为输出数据分组,传输装置把算得的CRC值插入FCS字段。接收装置根据数据分组计算CRC值,并且将该值与在已发送的分组的FCS字段中的值作比较。如果这两个值不相等,则误差结果指出数据分组是无效的。虽然用这个方法识别不合法的数据帧的百分比很高,但仍有这样的可能性,即,无关的码型将与被替代的数据足够相像以致不产生误差。在这种情形下,不希望的网络装置不具备指出它不是所希望的目的地以及数据是无效数据的指示。这将导致不需要的和不希望的负面结果。不正确地使用无关的或随机的码型作为合法的数据将引导用户或网络装置根据那些结果采取不合适的和可能是破坏性的行动。
如上面所指出的那样,需要改进安全机制,以在使用多端口重发器的LAN或WAN网络上防窃听,其中,用这样的方法对送至不希望的网络装置的数据分组进行干扰,从而明确地向接收网络装置指出,包含在数据分组中的数据是无效的。
为了克服上述现有技术中的局限性,并且克服在阅读和理解了本说明书之后将变得更加显然的其他的局限性,本发明揭示了一种安全干扰装置,它使用HALT(暂停)码元在具有诸如重发器的通信网络装置的通信网络中防窃听。安全干扰装置防止把敏感的或保密的数据传送至通信网络上的不希望的网络装置。此外,如由电气与电子工程师协会股份有限公司(IEEE,Inc.)出版的IEEE802.3u标准规定,并通过参照而引用于此的那样,HALT码元指出,在数据分组(或协议数据单元(protocol data unit,PDU))中的数据是无效的。于是,不希望的终端用户电台将不会把HALT码元误认为有效数据。
安全管理装置对于连接至通信网络的网络装置存储网络装置源地址。在接收到一个分组之后,安全管理装置把包含在分组中的目的地地址与已存储的源地址作比较。源地址与目的地地址不匹配的那些网络装置以变更的形式(即,分组中的数据被HALT码元替代)接收被递送的分组。而源地址与目的地地址匹配的那些网络装置以不变更的形式接收被递送的分组。
在分组中出现HALT码元确保了不希望的网络装置知道数据是无效的。对于数据的有效性或无效性不会含糊不清。此外,由于HALT码元代表了与包含在分组中的数据无关的值,因此不把关于原始数据的信息发送至通信网络上的不希望的网络装置。
表征本发明的新颖性的这些优点和其他各个优点将在所附的并且构成本文件的一部分的权利要求书中详细指出。然而,为了更好地了解本发明、它的优点、以及由它的使用得到的目的,必须参看附图(它们构成本文件的又一部分)以及相随的描述材料,在这些材料中,描述了按照本发明的一种设备的具体例子。
图1A是说明本发明的操作的系统图;
图1B是说明本发明的改变形式的数据分组和不改变形式的数据分组的数据结构的图解;
图2是本发明的安全管理装置的功能方框图;
图3是示出本发明的重发器管理装置的系统方框图;
图4是按照本发明的重发器/重发器管理装置的方框图;
图5A是说明按照本发明的完成防范窃听所需步骤的序列的方框图,其中,源地址寄存器用“跟踪的”源地址更新;
图5B是说明按照本发明的完成防范窃听所需步骤的序列的方框图,其中,源地址寄存器由带有不锁定模式的控制器的目的地地址寄存器更新。
在下面的较佳实施例的描述中,参照构成本文件的一部分的附图,并且通过说明一个可以实现本发明的实施例示出。应该了解,可以利用其他的实施例以及可以作出变更,而不偏离本发明的范围。
本发明提供了一种用于通信网络中的通信网络装置的安全干扰装置,它使用无效码元来防止窃听。通信网络装置包括一个接收单元和一个发送单元,接收单元用于通过连至通信网络的至少一个端口接收协议数据单元(PDU)或者分组,发送单元有效地耦合至接收单元,用于通过连至通信网络的至少一个端口发送出协议数据。此外,通信网络装置也可以完成一种或多种通信网络功能,包括:切换、路由选择、桥接、以及重发。在下面的讨论中,参照图1-5描述接收单元和发送单元的具体细节。
图1A是说明本发明的操作的系统图。通信网络装置10有效地耦合至一个或多个发送或接收单元(收发两用机)22、24、26和28。包含在数据通信分组20或PDU中的消息或数据44从收发两用机22发送至通信网络装置10。这些消息44中的一些是收发两用机特定的,即,不打算把它们递送给在通信网络装置10上的所有的收发两用机。为了说明的目的,图1A示出这样一种情形,其中,来自收发两用机22的消息44打算递送给收发两用机24,而不打算递送给收发两用机26和28。按照本发明,通信网络装置10(它包括重发器管理装置60、管理地址跟踪单元50、安全管理装置40和安全干扰装置30)允许原始分组20不变地(不改变的PDU)递送至希望的收发两用机24。然而,在发送至不希望的装置26和28之前,通信网络装置10把原始的不改变的PDU20的消息44用HALT码元48来替代,由此产生改变的PDU 32。下面参照图1B进一步描述这一操作。
图1B是示出PDU的改变形式32和不改变形式20的数据结构的图。按照IEEE 802.3标准,如图所示,PDU包括报头字段34、起始帧界定符(SFD)字段36、目的地地址字段38、源地址字段40、长度字段42、数据字段44(如有需要,包括填充字符)、以及帧校验序列字段(FCS)字段46。在通信网络装置10从收发两用机22接收到PDU 20之后,通信网络装置10把目的地地址38与从所有先前被跟踪的源的源地址字段得出的已知的源作比较。已知的源包含在源地址寄存器54中,并且在这里参照图2作进一步的描述。根据收发两用机24、26和28的源地址是否与PDU20的目的地地址匹配,从通信网络装置10递送不改变的PDU至收发两用机24、26和28。源地址不与PDU的目的地地址匹配的那些收发两用机26和28接收改变的PDU,其中,代替数据44,将HALT码元48插入数据字段。也能把HALT码元48插入PDU20的其他部分而不偏离本发明的范围。例如,可以把HALT码元48置于源地址字段40或者长度字段42。
在本发明的一个实施例中,允许所有希望的收发两用机24接收不改变的PDU20(其数据44完全不受扰动),而不希望的收发两用机26和28接收改变的PDU32(其数据44用HALT码元48代替)。HALT码元48向收发两用机26和28明确地指出,改变的PDU32包含着无效数据。
能够使用上述的教导来优化接收单元24、26和28;发送单元22;和/或通信网络装置10,以应付许多不同类型的协议数据单元20,包括分组、帧和单元(cell),只要有关的协议规定HALT信号或别的类似的信号。接收单元24、26和28;发送单元22;和通信网络装置10也可以被优化,以在基于IEEE802通信网络(诸如基于绞合线对的通信网络)中工作。
本发明的一个实施例提供了一种安全操作模式(Secure Operations Mode),它允许在逐个端口的基础上,有选择地启动窃听防范。把输入PDU20的目的地地址38与相应于选出的被启动端口的被跟踪的源地址作比较。任何具有与目的地地址38不匹配的源地址的选出的被启动的端口接收HALT码元48,而不是包含在PDU20内的原始数据44。不被这种功能启动的端口继续接收具有不改变的格式的PDU20,而不管目的地地址与已知的源地址是否匹配。
图2是按照本发明的安全管理装置40的功能方框图。安全管理装置40可以在管理和地址跟踪单元50中用硬件和/或软件的组合来实现。安全管理装置40确定把哪个PDU以不改变的格式20发送至收发两用机24,并且确定接收改变的PDU32的那些收发两用机26和28。
安全管理装置40包括与源地址寄存器54有效耦合的控制器56以及目的地地址寄存器52。目的地地址寄存器52为由通信网络装置10接收到的PDU20保持目的地地址38,而源地址寄存器54保持至少一个源地址。在源地址寄存器54中的每个源地址相应于一个已知的网络装置,即,连至网络装置10的任何一个收发两用机。
安全管理装置10包括有效地耦合至控制器56的安全干扰装置30。安全干扰装置30干扰至收发两用机26和28的数据通信20,收发两用机26和28在源地址寄存器54中的源地址与在数据通信20中的目的地地址不匹配。通过把HALT码元48写至数据通信20的数据字段44、长度字段42、或源地址字段40干扰数据通信,产生改变的PDU32,安全干扰装置30干扰数据通信20。如IEEE 802.3u标准所规定的,HALT码元48清楚地向接收收发两用机26和28指出,改变的PDU32无效。
在一个实施例中,控制器56包括以自由运行(free-run)或不锁定模式工作的机制。在不锁定模式中,在将源地址寄存器54中的源地址与在目的地地址寄存器52中的目的地地址38作比较之前,把来自目的地地址寄存器52的目的地地址38置入源地址寄存器54。于是,进行比较将总是导致匹配,从而连至通信网络装置10的所有的收发两用机将接收不改变的PDU 20。
在另一个实施例中,控制器56还包括以锁定模式工作的机制。在锁定模式中,不更新包含在源地址寄存器54中的已知的源来包括存储在目的地地址寄存器52中的目的地地址38。安全管理装置40用前面对于图2进行描述的方式工作。
表Ⅰ说明根据锁定模式以及存储在目的地地址寄存器52中的输入的PDU的目的地地址38是否与存储在源地址寄存器54中的源地址匹配,由控制器56采取的动作。
表Ⅰ
加锁模式 是否匹配 动作
不锁定 匹配 无(所有的接收单元接收不改变的
PDU20。)
不匹配 更新源地址寄存器54,并且所有
的接收单元接收不改变的PDU20。锁定 匹配 匹配的接收单元接收不改变的PDU。
不匹配 所有不匹配的接收单元接收改变的PDU
32。
从表Ⅰ可见,当源地址寄存器54“不锁定”时,当遇到一个先前未知的源地址时,控制器56更新在源地址寄存器54中的源地址。然而,当源地址寄存器“锁定”时,控制器提供有价值的安全机制,该机制防止被不希望的网络装置窃听或截获保密的信息,其方法是干扰向未识别的网络装置发送数据分组。
在一个实施例中,把PDU 20从端口12递送到在数据传递分路58上的端口14、16和18,该数据传递分路避开了控制器56,从而PDU20在通信网络装置10中的传递通过硬件和软件的组合来处理,而不是由控制器56来处理。数据传递分路58有效地耦合至在通信网络装置10上的接收端口12和发送端口14、16和18,这样,数据分组20的传递绕过了控制器56。
这种安排允许控制器56的工作集中在控制操作上,这样加快了PDU20的处理。然而,当在目的地地址寄存器52和在源地址寄存器54中存储的相应于端口16和18的源地址之间的比较导致不匹配时,控制器56防止通过端口12接收的PDU20以不改变的格式通过端口16和18被发送。另一方面,当比较导致目的地地址寄存器54与源地址寄存器54之间的匹配时,在通过端口12接收进PDU20之后,控制器56允许要被发送的PDU20未受扰动地通过端口14输出。
图3是一张系统方框图,示出重发器管理控制系统或重发器管理装置(RMD)60以及它的相关联的接口。RMD60包括管理和地址跟踪单元50,它通过硬件和/或软件的组合实现安全管理装置40。用在管理和地址跟踪单元50中确定的安全监视来控制至管理和地址跟踪单元50的信息传递。本地插脚(pin)78提供从管理和地址跟踪单元至其他的RMD的通信信道。RMD60使用与重发器相连的串行接口66,以按规定路线发送有关端口状态和控制64的信息。然后可将此信息再传送至管理和地址跟踪单元50。管理和地址跟踪单元50以及媒体存取控制器(MAC)70、直接存储器存取(DMA)74和先进先出存储器(FIFO)72探听重发器间总线84。对于每个端口提供管理信息库(ManagementInformation Base,MIB)和重发器监视(Repeater monitor,RMON)计数器76,以跟踪重发器端口状态。端口状态和控制64、DMA74以及MIB和RMON计数器76都具有至CPU(中央处理器)接口62的入口。在CPU接口62和DMA64之间提供主信道80和远程访问信道82。
图4描绘了重发器管理装置(RMD)60的一个实施例。重发器间总线84按规定路线与远地的重发器94往返传送信息。把安全和串行信号86按规定路线送至与RMD60相连的重发器88。重发器88提供AUI端口90和绞合线对端口92。CPU总线96把RMD90连至CPU98。使用本地插脚78以与其他的RMD102往返传送信息。
图5A是描绘按照本发明为防范窃听而进行的总流程的流程图。在方框100和110处,当控制器56为初始化或编程模式时,通过读取被发送的PDU20的源地址而更新源地址寄存器54。在方框100处,控制器56读取被发送的PDU20的源地址字段40的源地址。在方框110处,控制器56将源地址存储在源地址寄存器54中。在方框120处,控制器56读取从耦合至通信网络的通信端口12接收的PDU20的目的地地址字段38的目的地地址。在方框130处,控制器56将目的地地址38存储在目的地地址寄存器52中。在方框140处,控制器56将在目的地地址寄存器52中的目的地地址38与存储在源地址寄存器54中的源地址作比较。方框140的比较的输出决定了下一个步骤。在方框150处,存储在源地址寄存器54中的源地址与存储在目的地地址寄存器52中的目的地地址38匹配的那些收发两用机24接收不改变形式的分组20。在方框160处,存储在源地址寄存器54中的源地址与存储在目的地地址寄存器52中的目的地地址38不匹配的那些收发两用机26和28接收改变形式的PDU20,其中,用HALT码元48来替代数据44。
在图5B中描述了另一种防范窃听的方法,其中,当控制器56在不锁定模式或自由运行模式中时,由目的地地址寄存器52来更新源地址寄存器54。在方框120处,控制器56读取被发送的PDU20的目的地地址38。在方框130处,控制器将目的地地址38存储在目的地地址寄存器52中。当控制器56在不锁定模式时,在方框170处,控制器56用存储在目的地寄存器52中的目的地地址38来更新源地址寄存器54。然后,在方框140处,控制器56将在目的地地址寄存器52中的目的地地址38与在源地址寄存器54中的源地址作比较。比较必将导致匹配,因为在比较之前已用目的地地址寄存器52更新了源地址寄存器54。于是,在方框150处,控制器56将发送不改变的形式的PDU20。
然而,当控制器在锁定模式时,在作比较之前不用目的地地址寄存器52来更新源地址寄存器54。这导致跳过方框170,从而在把目的地地址38存储在目的地地址寄存器52中(方框130)之后进行的步骤是在方框140处,将在目的地地址寄存器52中的目的地地址38与在源地址寄存器54中的源地址作比较。方框140的比较的输出决定了下一个步骤。在方框150处,存储在源地址寄存器54中的源地址与存储在目的地地址寄存器52中的目的地地址38匹配的那些收发两用机24接收不改变形式的分组20。在方框160处,存储在源地址寄存器54中的源地址与存储在目的地地址寄存器52中的目的地地址38不匹配的那些收发两用机26和28接收改变形式的PDU32,其中,用HALT码元48来替代数据44。
这样结束了对本发明的较佳实施例的描述。下面的一些段落描述达到相同目的的一些其他的方法。
在本说明书中列举的应用只是为了说明的目的,而不打算做到无遗漏或严格限制本发明为所揭示的形式。例如,本发明可应用于任何具有存储器的I/O装置适配器而并不限于网络适配器。
本发明可用于具有不同的装置和部件结构的系统。例如,安全管理功能是参照100Mbit/s的以太网重发器描述的。然而,那些熟悉本领域技术的人可以理解,这些安全管理功能能够容易地用其他可进行切换、路由选择和/或桥接的通信网络装置来实现,只要实现这些功能的系统使用规定halt码元或任何其他码元的协议,该码元明确地通知接收者,具有所示分组的数据无效。这些其他的通信网络任务与这里描述的重发任务可以连在一起也可以不连在一起。
本发明可应用不同的方法来产生和存储存储在源地址寄存器中的源地址。当安全管理控制器处于不锁定模式时,除了用目的地地址寄存器信息来更新源地址寄存器之外,也可以通过输入来自与网络通信装置有效耦合的收发两用机的源地址信息(即输入“预期的”或“已知的”源地址)来更新源地址寄存器。另一种做法是,当安全管理控制器处于初始化或编程模式时,可以通过读取来自数据通信分组的源地址信息(即输入“跟踪的”源地址)来更新源地址寄存器。
本发明也能够用不同类型的存储器来实现,这些存储器包括但不限于随机存取存储器(RAM)、直接存取存储器、顺序存取存储器、相联存储器、以及只读存储器(ROM)。也可以用多种形式来规定存储器,其中包括但不限于寄存器、超高速缓冲存储器、队列、虚拟存储器、以及缓冲器。
本发明中地址的使用适合于个别的地址以及组地址,诸如多信道广播组地址(multicast-group addresses)和广播地址(broadcast addresses)。还可以理解,本发明可以用各种媒体访问控制帧结构,这些结构具有目的地地址字段、源地址字段、数据字段、以及halt或类似的码元。
为了描述的目的,给出了本发明的较佳实施例的上述描述。不打算做到无遗漏或严格限制本发明为所揭示的形式。由于上面的教导,可以作出许多修改和变化。打算不是由详细的描述而是由这里所附的权利要求书来限定本发明的范围。
Claims (17)
1.一种安全管理装置,用于在多个收发两用机之间提供安全的数据通信,所述收发两用机之间提供安全的数据通信,所述收发两用机耦合至局域网中的通信网络装置上的端口,所述数据通信包括一个或多个数据分组,所述数据分组具有源地址、目的地地址和数据字段,所述安全管理装置有效地耦合至所述通信网络装置,其特征在于,所述安全管理装置包括:
(a)源地址存储器,用于对耦合至所述通信网络装置的每个所述收发两用机存储源地址;
(b)安全管理控制器,它耦合至所述源地址存储器,用于把所述目的地地址与存储在所述源地址存储器中的所述源地址作比较;以及
(c)安全干扰装置,它耦合至所述安全管理控制器,用于干扰与这样一些所述收发两用机的数据通信,这些收发两用机具有的所述源地址与在所述数据分组中的所述目的地地址不匹配,其中,所述安全干扰装置把无效码元存储入所述数据通信的所述数据字段,而所述无效码元明确地向所述接收收发两用机指出,所述数据通信无效。
2.如权利要求1所述的安全管理装置,其特征在于,所述安全管理装置还包括数据传递分路,它耦合至在所述通信网络装置上的接收和发送端口,用于在所述收发两用机和所述通信网络装置之间迅速传递所述数据分组,其中,所述数据分组的传递绕过了所述安全管理控制器。
3.如权利要求2所述的安全管理装置,其特征在于,所述安全管理装置还包括耦合至所述安全管理控制器的目的地地址存储器,用于存储所述目的地地址,其中所述安全管理控制器将存储在所述目的地地址存储器中的所述目的地地址与存储在所述源地址存储器中的所述源地址作比较。
4.如权利要求1所述的安全管理装置,其特征在于,无效码元是如由IEEE802.3u标准规定的HALT码元。
5.如权利要求1所述的安全管理装置,其特征在于,所述安全管理控制器为了防范窃听而有选择地启动每个端口。
6.如权利要求1所述的安全管理装置,其特征在于,所述通信网是基于IEEE 802的通信网。
7.如权利要求1所述的安全管理装置,其特征在于,所述通信网是基于绞合线对的通信网。
8.如权利要求3所述的安全管理装置,其特征在于,所述安全管理控制器包括用于更新所述源地址存储器的装置,其方法是在将所述目的地址址存储器中的所述目的地地与在所述源地址存储器中的所述源地址作比较之前,把所述目的地地址存储器中的所述目的地地址插入所述源地址存储器,其中,所述比较导致匹配,从而把所述数据分组重发至连至所述通信网络装置的所有的所述收发两用机。
9.一种用于在局域网中的多个收发两用机之间提供数据通信的通信网络装置,所述数据通信包括至少一个数据分组,所述数据分组具有源地址、目的地地址和数据字段,其特征在于,所述通信网络装置包括:
(a)安全管理装置,它耦合至所述通信网络装置,用于提供窃听防范,所述安全管理装置包括:
(ⅰ)源地址存储器,用于对连接至所述通信网络装置的每个所述收发两用机存储源地址;
(ⅱ)安全管理控制器,它耦合至所述源地址存储器,用于将所述数据分组中的所述目的地地址与存储在所述源地址存储器中的所述源地址作比较;
(ⅲ)安全干扰装置,它耦合至所述安全管理控制器,用于干扰至这样一些收发两用机的数据通信,存储在所述源地址存储器中的这些收发两用机的所述源地址与在所述数据分组中的所述目的地地址不匹配,其中,所述安全干扰装置将无效码元存储入所述数据分组的所述数据字段,而所述无效码元明确地向接收收发两用机指出所述数据分组无效;
(b)发送和接收端口,它们耦合至所述通信网络装置,用于接至所述收发两用机以发送和接收所述数据通信;以及
(c)数据传递分路,它耦合至所述接收和发送端口,用于在所述收发两用机和所述通信网络装置之间加快所述数据分组的传递,其中,在所述网络通信装置内的数据传递绕过了所述安全管理控制器。
10.如权利要求9所述的安全管理装置,其特征在于,所述安全管理装置还包括耦合至所述安全管理控制器的目的地地址存储器,用于存储所述目的地地址,其中,所述安全管理控制器将存储在所述目的地地址存储器中的所述目的地地址与存储在所述源地址存储中的所述源地址作比较。
11.如权利要求10所述的通信网络装置,其特征在于,所述安全管理控制器包括用于更新所述源地址存储器的装置,其做法是,在将所述目的地地址存储器中的所述目的地地址与在所述源地址存储器中的所述源地址作比较前,把在所述目的地地址存储器中的所述目的地地址插入所述源地址存储器中,使所述比较导致匹配,从而重发所述数据分组至连至所述通信网络装置的所有的所述收发两用机。
12.如权利要求9所述的通信网络装置,其特征在于,如IEEE 802.3u标准所规定的,无效码元是HALT码元。
13.如权利要求9所述的通信网络装置,其特征在于,为了防范窃听,所述安全管理控制器有选择地启动每个所述端口。
14.一种在通信网上防止窃听的方法,所述通信网包括多个耦合至通信网络装置的收发两用机,其特征在于,所述方法包括:
(a)读取从所述收发两用机发送来的数据分组,所述数据分组具有在源地址字段中的源地址、在目的地字段中的目的地地址和在数据字段中的数据;
(b)把所述目的地地址与所述源地址存储器作比较,该源地址存储器具有所述源地址,所述源地址存储器有效地耦合至所述通信网络装置;以及
(c)在发送到这样一些收发两用机的所述数据分组的所述数据字段中插入无效码元,这些所述收发两用机在所述源地址存储器中具有的所述源地址与在所述数据分组中的所述目的地地址不匹配。
15.如权利要求14所述的防止窃听的方法,其特征在于,所述方法还包括把所述源地址输入所述源地址存储器的步骤。
16.如权利要求15所述的防止窃听的方法,其特征在于,将所述源地址输入所述源地址存储器的步骤包括:当所述安全管理控制器处于初始化或编程模式时,读取所述数据分组中的所述源地址字段的所述源地址,并且将所述源地址存储在所述源地址存储器中。
17.如权利要求15所述的防止窃听的方法,其特征在于,将所述源地址输入所述源地址存储器的步骤包括:当所述安全管理控制器处于不锁定模式时,读取所述数据分组的所述目的地地址,并将所述目的地地址作为所述源地址存储在所述源地址存储器中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 99121076 CN1290088A (zh) | 1999-09-27 | 1999-09-27 | 为通信网安全而使用无效码元安全干扰的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 99121076 CN1290088A (zh) | 1999-09-27 | 1999-09-27 | 为通信网安全而使用无效码元安全干扰的方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1290088A true CN1290088A (zh) | 2001-04-04 |
Family
ID=5281788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 99121076 Pending CN1290088A (zh) | 1999-09-27 | 1999-09-27 | 为通信网安全而使用无效码元安全干扰的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1290088A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100375069C (zh) * | 2002-04-16 | 2008-03-12 | 松下电器产业株式会社 | 无效化方法、无效化系统、安全装置、通信终端、管理装置、通信方法以及管理方法 |
| CN100583812C (zh) * | 2003-10-20 | 2010-01-20 | 英特尔公司 | 使用最具体的过滤器匹配和传输层共享进行两级分组分类的方法和装置 |
| CN1625879B (zh) * | 2002-02-05 | 2010-06-16 | 思科技术公司 | 基于分组的通信的地址跳跃 |
| CN105847156A (zh) * | 2015-02-02 | 2016-08-10 | 意法半导体国际有限公司 | 在nfc装置中默认数据分组路由传输 |
-
1999
- 1999-09-27 CN CN 99121076 patent/CN1290088A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1625879B (zh) * | 2002-02-05 | 2010-06-16 | 思科技术公司 | 基于分组的通信的地址跳跃 |
| CN100375069C (zh) * | 2002-04-16 | 2008-03-12 | 松下电器产业株式会社 | 无效化方法、无效化系统、安全装置、通信终端、管理装置、通信方法以及管理方法 |
| CN100583812C (zh) * | 2003-10-20 | 2010-01-20 | 英特尔公司 | 使用最具体的过滤器匹配和传输层共享进行两级分组分类的方法和装置 |
| CN105847156A (zh) * | 2015-02-02 | 2016-08-10 | 意法半导体国际有限公司 | 在nfc装置中默认数据分组路由传输 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0464563B1 (en) | Encryption with selective disclosure of protocol identifiers | |
| EP0464562B1 (en) | Method and apparatus for decryption of an information packet having a format subject to modification | |
| EP0464564B1 (en) | Generic encryption technique for communication networks | |
| US5099517A (en) | Frame status encoding for communication networks | |
| Cerf et al. | Proposal for an international end to end protocol | |
| US7143282B2 (en) | Communication control scheme using proxy device and security protocol in combination | |
| CN1311660C (zh) | 服务器设备,通信系统和给网络分配安全性策略的方法 | |
| US6272640B1 (en) | Method and apparatus employing an invalid symbol security jam for communications network security | |
| CN101682476B (zh) | 无线网络通信系统 | |
| US20040081394A1 (en) | Providing control information to a management processor of a communications switch | |
| CN1408088A (zh) | 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关 | |
| CN111447235A (zh) | 网络装置以及网络系统 | |
| CN1252912A (zh) | 数据传送方法 | |
| EP0860958B1 (en) | Virtual network architecture | |
| US7523306B2 (en) | Simplified CCMP mode for a wireless local area network | |
| KR19990030284A (ko) | 통신 방법 및 통신 장치 | |
| CN1290088A (zh) | 为通信网安全而使用无效码元安全干扰的方法和设备 | |
| US20050114749A1 (en) | Using error checking bits to communicate an address or other bits | |
| GB2323258A (en) | Multicast filtering | |
| EP1024640B1 (en) | Method of encoding status information | |
| CN101305530A (zh) | 用于经卫星链路发送和接收群发消息的设备及方法 | |
| CN113924752B (zh) | 数据传输方法及自动化网络 | |
| US20050135244A1 (en) | Wireless network load generator address mask manipulation | |
| KR20060028482A (ko) | 보안 간접 어드레싱 | |
| CN114124350A (zh) | 一种网络异构环境下提升性能的共识算法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1066904 Country of ref document: HK |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1036176 Country of ref document: HK |