專利名稱:安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種加/解密模塊更新系統(tǒng)及方法,特別是一種可運(yùn)用于安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)及方法�。
背景技術(shù):
目前市面上最熱門的安全網(wǎng)關(guān)器是一種稱為虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)器(VirtualPrivate Network Gateway,VPN Gateway)����,其中所謂的虛擬私有網(wǎng)絡(luò)是供使用者可在全球任何一遠(yuǎn)程地點進(jìn)入公眾網(wǎng)絡(luò)環(huán)境如網(wǎng)際網(wǎng)絡(luò)(Internet)或異步傳輸(ATM)網(wǎng)絡(luò),但就使用環(huán)境上如同是進(jìn)入公司內(nèi)部的局域網(wǎng)絡(luò)如Intranet或Extranet一樣�����,故能同時兼顧公眾網(wǎng)絡(luò)的便利性及內(nèi)部網(wǎng)絡(luò)的安全性�����。正因為如此����,利用此類虛擬私有網(wǎng)絡(luò)��,經(jīng)授權(quán)的遠(yuǎn)程使用者可通過連接網(wǎng)際網(wǎng)絡(luò)與其它使用者��、公司�、分支機(jī)構(gòu)����、經(jīng)銷商、客戶群建立專屬的連接信道���,以傳遞彼此之間重要的信息�。如本發(fā)明圖1��,即顯示一種常見的虛擬私有網(wǎng)絡(luò)結(jié)構(gòu)����,其中數(shù)個分散于遠(yuǎn)程的使用端計算機(jī)系統(tǒng)10����,30及40(可位于一局域網(wǎng)絡(luò)中)利用各自配置的虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)器104,304��,404經(jīng)過一網(wǎng)際網(wǎng)絡(luò)50建立起VPN信道602,以彼此傳送重要的數(shù)據(jù)����。當(dāng)其中任一遠(yuǎn)程的使用端計算機(jī)系統(tǒng)10,30及40欲自外部進(jìn)入公司內(nèi)部計算機(jī)系統(tǒng)如一服務(wù)器計算機(jī)系統(tǒng)20時���,同樣可利用各自所屬的虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)器104�,304�����,404建立VPN信道以進(jìn)行遠(yuǎn)程數(shù)據(jù)存取(Remote Data Access)�。
上述虛擬私有網(wǎng)絡(luò)(VPN)的原理是利用一種信道技術(shù)(Tunneling),其采用常見的IPSEC���、PPTP�����、L2TP等三種通訊協(xié)議其中之一����,在公眾網(wǎng)絡(luò)如網(wǎng)際網(wǎng)絡(luò)中構(gòu)筑出一條如同使用在內(nèi)部網(wǎng)絡(luò)環(huán)境中的安全信道�,并以包裝形式(Encapsulation)保護(hù)使用端傳送的私密數(shù)據(jù)的數(shù)據(jù)封包(Packet)�,防止在傳送數(shù)據(jù)予接收端的過程中遭外人如駭客入侵竊取����,同時該私密數(shù)據(jù)的傳送還可配合其它機(jī)制如安全認(rèn)證、身分辨識(ID Authentication)或加/解密機(jī)制(Decryption/Encryption)等�,故使該VPN網(wǎng)關(guān)器的功能更趨于多樣化、安全性高及完整����。
上述虛擬私有網(wǎng)絡(luò)的加/解密機(jī)制大多以下兩種編碼型式一種為對稱式的密鑰編碼(Secret key cryptography);以及另一種非對稱式的公鑰編碼(Publickey cryptography)��。例如在前述IPSEC通訊協(xié)議中���,即使用一種網(wǎng)絡(luò)金鑰交換(Internet key exchange����,IKE)協(xié)議�����,其包括在網(wǎng)絡(luò)金鑰交換型態(tài)1及2(IKEPhases 1&2)過程中�����,產(chǎn)生一公鑰保護(hù)一密鑰傳給該接收端�,以使該接收端使用該密鑰解開隨后傳來的加密數(shù)據(jù)。該網(wǎng)絡(luò)金鑰交換(IKE)協(xié)議的用途在于建立�、認(rèn)證及交換一安全參數(shù)索引(Security Association,SA)���,以辨識數(shù)據(jù)雙方的身份���、溝通要共享的加/解密算法、以及彼此產(chǎn)生�、交換、和建立金鑰�。關(guān)于建立虛擬私有網(wǎng)絡(luò)(VPN)的金鑰長度、加/解密演算形態(tài)���、及加/解密執(zhí)行函數(shù)等描述結(jié)構(gòu)皆記錄在每一臺VPN網(wǎng)關(guān)器的一加/解密模塊中�。
雖然目前大部份VPN網(wǎng)關(guān)器制造廠商多有提供各自設(shè)計并符合行業(yè)標(biāo)準(zhǔn)的加/解密模塊���,如符合前述IPSEC通訊協(xié)議的加/解密模塊��。然而����,為考慮到整體系統(tǒng)的安全性、穩(wěn)定性��、執(zhí)行效率����、以及互通性問題,此類加/解密模塊的更新機(jī)制往往與整個VPN網(wǎng)關(guān)器的核心碼固件(kernel firmware)的更新機(jī)制結(jié)合在一起����,也就是當(dāng)只有加/解密模塊需要改版或更新時,仍然必須先將整個核心碼固件一起更新����。目前已知的更新方式如本發(fā)明圖3所示,首先進(jìn)行步驟S200����,即一使用端計算機(jī)系統(tǒng)(如圖1所示編碼10)經(jīng)過其網(wǎng)絡(luò)瀏覽器(Browser)、網(wǎng)際網(wǎng)絡(luò)聯(lián)機(jī)至VPN網(wǎng)關(guān)器廠商的服務(wù)器端計算機(jī)系統(tǒng)的網(wǎng)站(如圖1所示編碼20)�����;步驟S210�����,開始下載整個新的核心碼固件至該使用端計算機(jī)系統(tǒng)的儲存裝置(如圖1所示編碼102)中����;然后步驟220及S230,再通過VPN網(wǎng)關(guān)器104′本身的使用者接口(GUI)114′(見圖2)上傳該新的核心碼固件至網(wǎng)關(guān)器104′中����;步驟S240,利用VPN網(wǎng)關(guān)器104′的工作函數(shù)庫124′中的核心更新模塊126′(見圖2)以新的核心碼固件開始更新其核心作業(yè)程序134′��;接著步驟S250�����,在核心更新模塊126′更新核心碼固件的過程中����,包括在工作函數(shù)庫124′中更新其加/解密模塊128′(見圖2);之后如步驟S260�����,重新激活(Rebooting)VPN網(wǎng)關(guān)器104′��,即可達(dá)到步驟S270所示,完成新的加/解密模塊的更新工作�。
所以,上述公知技術(shù)具有下列數(shù)個缺點(1)雖然每個加/解密碼模塊只是占整個VPN網(wǎng)關(guān)器中極小部分的程序代碼之一�����,但對VPN網(wǎng)關(guān)器而言����,該加/解密碼模塊所提供的安全性功能極為重要,不能缺少���;可是每一VPN網(wǎng)關(guān)器廠商所提供的加/解密碼模塊又未必能涵蓋或滿足所有使用者的需求����。就目前公知的做法���,一臺VPN網(wǎng)關(guān)器出廠時的原始組態(tài)設(shè)定即是將加/解密模塊永久固定放置于VPN網(wǎng)關(guān)器的工作函數(shù)庫(Current Library)中�,因此使用者如果要使用到不同的加/解密模塊��,勢必每次要將整個機(jī)器的核心碼固件一起下載更新��,且如此一來廠商為了根據(jù)使用上的各種可能性需求���,就必須準(zhǔn)備包含各種不同組合版本的加/解密模塊的核心碼固件���,如此不但下載費(fèi)時�、沒有效率且欠缺彈性�����,也容易發(fā)生錯誤����;對廠商維護(hù)產(chǎn)品的版本而言���,成本也過高�����。
(2)公知技術(shù)欠缺目前所需要的一種功能���,即VPN產(chǎn)品的使用者可依其需要自行開發(fā)及裝設(shè)屬于他們自己的加/解密模塊,而非一定要使用行業(yè)的標(biāo)準(zhǔn)模塊或廠商提供的標(biāo)準(zhǔn)模塊�。所以,如果該VPN網(wǎng)關(guān)器產(chǎn)品可以提供方法�����,讓使用者自行更新或新增加/解密模塊,如此彈性的設(shè)計可以說是大大地增加了潛在的客戶群�,且也可大幅提升VPN網(wǎng)關(guān)器對加/解密碼模塊的擴(kuò)充性。
發(fā)明內(nèi)容
為解決上述公知技術(shù)的缺點��,本發(fā)明的一主要目的在于提供一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)及方法����,通過一模塊動態(tài)更新單元,可讓該網(wǎng)關(guān)器的使用者每次僅需單純地更新該網(wǎng)關(guān)器的延伸函數(shù)庫(Extended library)中的加/解密碼模塊�,而無需再連同整個核心碼固件一起更新,由此能節(jié)省裝設(shè)時間�、提升操作效率,并降低維護(hù)成本��。
其次����,本發(fā)明的另一目的在于提供一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)及方法,通過一自定模塊單元及一模塊動態(tài)更新單元���,方便讓該網(wǎng)關(guān)器的使用者自定所需的加/解密碼模塊��,并將新增的自定加/解密模塊置于一延伸函數(shù)庫(Extended library)中�����,方便供日后修改更新����,由此提升安全網(wǎng)關(guān)器的加/解密碼模塊的可擴(kuò)充性,使網(wǎng)絡(luò)傳輸更安全����。
本發(fā)明的再一目的在于提供一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)及方法����,通過一網(wǎng)絡(luò)接口(Web GUI),方便該安全網(wǎng)關(guān)器的使用者在窗口(Window)上輕易選擇所需要的加/解密碼模塊�����,以將新增或更新的密碼模塊置于延伸函數(shù)庫(Extended library)中���,故能兼顧操作的方便性及系統(tǒng)運(yùn)行的效率��。
為達(dá)到上述發(fā)明目的���,依據(jù)本發(fā)明的一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)�����,裝設(shè)于該安全網(wǎng)關(guān)器中�����,且該安全網(wǎng)關(guān)器如一符合IPSEC通訊協(xié)議的虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)器��,其具有一工作函數(shù)庫���、一核心作業(yè)程序(Kernel),以及一工作排程單元��,并連接于至少一使用端計算機(jī)系統(tǒng)與一網(wǎng)絡(luò)系統(tǒng)之間�����。
上述加/解密模塊動態(tài)更新系統(tǒng)包括一網(wǎng)絡(luò)接口���、一模塊動態(tài)更新單元�����、一自定模塊單元���、一延伸函數(shù)庫��、一延伸函數(shù)庫接口及一組態(tài)設(shè)定單元��。其中該網(wǎng)絡(luò)接口�����,可在該使用端計算機(jī)系統(tǒng)產(chǎn)生至少一具有加/解密模塊動態(tài)更新機(jī)制的窗口畫面��,以供使用者經(jīng)此接口依需要選擇性上傳一新版的加/解密模塊至該安全網(wǎng)關(guān)器中�����。該模塊動態(tài)更新單元,設(shè)于該工作函數(shù)庫中�,其依據(jù)上傳至該安全網(wǎng)關(guān)器的新版加/解密模塊的形態(tài),動態(tài)更新一延伸函數(shù)庫中相對應(yīng)的現(xiàn)有加/解密模塊或新增此上傳的加/解密模塊至該延伸函數(shù)庫中存放���。該延伸函數(shù)庫��,用于收容前述加/解密模塊��。該延伸函數(shù)庫接口����,輔助前述該延伸函數(shù)庫分別與該工作函數(shù)庫、核心作業(yè)程序作數(shù)據(jù)溝通��。以及該組態(tài)設(shè)定單元����,為一種系統(tǒng)文件,用于設(shè)定符合IPSEC通訊協(xié)議的執(zhí)行流程��,故當(dāng)一加/解密模塊進(jìn)行更新或新增后�,其現(xiàn)有的網(wǎng)絡(luò)金鑰交換(IKE)的金鑰交換流程也會接著更新。
此外���,依據(jù)本發(fā)明的一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)�����,適用于該安全網(wǎng)關(guān)器中��,且該安全網(wǎng)關(guān)器連接于至少一使用端計算機(jī)系統(tǒng)與一網(wǎng)絡(luò)系統(tǒng)之間�,上述加/解密模塊動態(tài)更新方法至少包括自該使用端計算機(jī)系統(tǒng)的網(wǎng)絡(luò)瀏覽器經(jīng)此網(wǎng)絡(luò)系統(tǒng)聯(lián)機(jī)至網(wǎng)關(guān)器廠商的網(wǎng)站���,以下載一新版的加/解密模塊的程序代碼至該使用端計算機(jī)系統(tǒng)中����;激活該安全網(wǎng)關(guān)器的一網(wǎng)絡(luò)接口,以在該使用端計算機(jī)系統(tǒng)上產(chǎn)生至少一具有加/解密模塊動態(tài)更新機(jī)制的窗口畫面�����;自該網(wǎng)絡(luò)接口提供的窗口畫面中���,選擇要上傳的新版加/解密模塊如增加一自定的加/解密模塊���;將所選的新版加/解密模塊上傳至該安全網(wǎng)關(guān)器中;使安全網(wǎng)關(guān)器的一模塊動態(tài)更新單元依據(jù)該上傳的加/解密模塊的類型�����,動態(tài)更新一延伸函數(shù)庫中相對應(yīng)的現(xiàn)有加/解密模塊或新增此上傳的加/解密模塊至該延伸函數(shù)庫中存放�;更新安全網(wǎng)關(guān)器的網(wǎng)絡(luò)金鑰交換(IKE)協(xié)議的金鑰交換流程��;以及使該安全網(wǎng)關(guān)器重新開機(jī)以執(zhí)行更新過后的金鑰交換流程�。
一種安全網(wǎng)關(guān)器的網(wǎng)絡(luò)金鑰交換(IKE)協(xié)議的金鑰交換流程,包括(a)初始化該安全網(wǎng)關(guān)器的現(xiàn)有IPSEC協(xié)議的安全參數(shù)索引(SA)��;(b)進(jìn)行網(wǎng)絡(luò)金鑰交換形態(tài)1(IKE Phase 1);(c)當(dāng)未在該安全網(wǎng)關(guān)器的工作函數(shù)庫中發(fā)現(xiàn)一適當(dāng)?shù)募?解密模塊時����,進(jìn)一步自該安全網(wǎng)關(guān)器的一延伸函數(shù)庫中取用至少一適當(dāng)?shù)募?解密模塊;(d)進(jìn)行網(wǎng)絡(luò)金鑰交換形態(tài)2(IKE Phase 2)�;(e)重復(fù)前述步驟(c)的相同動作;(f)完成網(wǎng)絡(luò)金鑰交換型態(tài)1及2的金鑰交換流程�����;以及(g)通知該安全網(wǎng)關(guān)器的網(wǎng)絡(luò)核心(kernel)進(jìn)行更新現(xiàn)有IPSEC協(xié)議的安全參數(shù)索引(SA)�����。
為使本發(fā)明的上述目的����、特征和優(yōu)點能更明顯易懂,特舉實施例����,并配合附圖,詳細(xì)說明如下��。
圖1為顯示依據(jù)本發(fā)明較佳實施例的一種安全網(wǎng)關(guān)器運(yùn)用于網(wǎng)絡(luò)系統(tǒng)上的結(jié)構(gòu)示意圖����;圖2為顯示一具有加/解密模塊的公知安全網(wǎng)關(guān)器結(jié)構(gòu)示意圖����;圖3為顯示依據(jù)上述圖2的公知安全網(wǎng)關(guān)器的加/解密模塊的更新流程圖����;圖4為顯示依據(jù)本發(fā)明較佳實施例的安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)的結(jié)構(gòu)示意圖;圖5為顯示依據(jù)本發(fā)明實施例的安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新方法的流程圖�;以及圖6為顯示依據(jù)本發(fā)明實施例的安全網(wǎng)關(guān)器的網(wǎng)絡(luò)金鑰交換(IKE)協(xié)議的金鑰交換流程的流程圖。
其中�����,附圖標(biāo)記說明如下10���,30�,40使用端計算機(jī)系統(tǒng)20服務(wù)器端計算機(jī)系統(tǒng)50網(wǎng)絡(luò)系統(tǒng)102儲存系統(tǒng)104���,304����,404�����,104′安全網(wǎng)關(guān)器110加/解密模塊動態(tài)更新系統(tǒng)114���,114′網(wǎng)絡(luò)接口124工作函數(shù)庫
126模塊動態(tài)更新單元 128自定模塊單元134�����,124′延伸函數(shù)庫144延伸函數(shù)庫接口154組態(tài)設(shè)定單元 164��,134′核心作業(yè)程序134延伸函數(shù)庫 144延伸函數(shù)庫接口174���,144′工作排程 602虛擬私有網(wǎng)絡(luò)信道126′核心更新模塊 128′加/解密模塊S200,S210�,S220,S230���,S240�,S250���,S260��,S270��,S300�����,S302�,S304,S306��,S308��,S310��,S312�����,S314�,S316,S317��,S318����,S320,S400��,S410,S420���,S422,S430��,S440��,S450���,S455��,S460���,S462,S470�����,S480為操作步驟具體實施方式
首先請見圖4���,為依據(jù)本發(fā)明的較佳實施例的一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)110�,其裝設(shè)于一網(wǎng)絡(luò)安全網(wǎng)關(guān)器104中�����,且該安全網(wǎng)關(guān)器104如圖1所示,為一連接網(wǎng)際網(wǎng)絡(luò)50的虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)器(VPN Gateway)���,其符合IPSEC通訊協(xié)議�����,以供一使用端計算機(jī)系統(tǒng)10建立一虛擬私有網(wǎng)絡(luò)信道來安全傳遞私密數(shù)據(jù)予其它使用端計算機(jī)系統(tǒng)30及40�����。此外��,該安全網(wǎng)關(guān)器104至少具有一工作函數(shù)庫(Current Library)124����,其內(nèi)可設(shè)置有一固定(default)的加/解密模塊A���、一核心作業(yè)程序(Kernel)164為該安全網(wǎng)關(guān)器104的操作系統(tǒng)�,以及一工作排程單元(Daemon)174��,用于依序安排整個網(wǎng)關(guān)器需要處理的工作如儲存數(shù)據(jù)、發(fā)送數(shù)據(jù)���、更新加/解密模塊等���。
上述加/解密模塊動態(tài)更新系統(tǒng)110至少包括一網(wǎng)絡(luò)接口114、一模塊動態(tài)更新單元126����、一自定模塊單元128���、一延伸函數(shù)庫134��、一延伸函數(shù)庫接口144及一組態(tài)設(shè)定單元154�。其中該網(wǎng)絡(luò)接口114��,在該使用端計算機(jī)系統(tǒng)10上產(chǎn)生至少一具有多個加/解密模塊動態(tài)更新機(jī)制的窗口畫面�����,以方便使用者輕易操作或設(shè)定該安全網(wǎng)關(guān)器104����,如其中一機(jī)制,提供更新該安全網(wǎng)關(guān)器104中現(xiàn)有的加/解密模塊,或如另一機(jī)制����,提供使用者可以額外新增一組自定的加/解密模塊至該安全網(wǎng)關(guān)器104中存放。當(dāng)然���,使用者在激活該網(wǎng)絡(luò)接口114以進(jìn)行安全網(wǎng)關(guān)器104的加/解密模塊更新前�,一樣必須先經(jīng)網(wǎng)際網(wǎng)絡(luò)聯(lián)機(jī)至該安全網(wǎng)關(guān)器廠商的網(wǎng)站(如圖1所示編碼20)���,但僅需下載一新的加/解密模塊的程序代碼至該使用端計算機(jī)系統(tǒng)中即可�,故不同于公知技術(shù)需要每次下載全部核心碼固件�����。
該模塊動態(tài)更新單元126裝設(shè)于該安全網(wǎng)關(guān)器104的工作函數(shù)庫(CurrentLibrary)124中��,并依據(jù)使用者自前述網(wǎng)絡(luò)接口114上傳的一加/解密模塊類型��,動態(tài)更新或新增此加/解密模塊至該延伸函數(shù)庫134中存放����。所以,該延伸函數(shù)庫134中可以同時放置數(shù)組加/解密模塊���,如一組更新版的加/解密模塊B及另一組自定的加/解密模塊C�。
該自定模塊單元128裝設(shè)于該安全網(wǎng)關(guān)器104的工作函數(shù)庫(CurrentLibrary)124中,并與前述該網(wǎng)絡(luò)接口114的具自定加/解密模塊機(jī)制相連接�,由此產(chǎn)生該自定模塊單元128的所屬窗口畫面(未顯示),以方便使用者依據(jù)此畫面指示�,依序填入欲自定的加/解密模塊的描述結(jié)構(gòu)于該窗口的空白字段內(nèi)。這些描述結(jié)構(gòu)包括算法形態(tài)��、算法識別碼��、數(shù)據(jù)加密區(qū)塊大小�����、金鑰長度大小��、加/解密執(zhí)行函數(shù)�。其中該加/解密執(zhí)行函數(shù)的參數(shù)進(jìn)一步包括數(shù)據(jù)區(qū)塊地址����、數(shù)據(jù)區(qū)塊大小、金鑰內(nèi)容���、金鑰長度�����、初始向量�、加解密標(biāo)記等。
當(dāng)該自定模塊單元128完成自定的加/解密模塊C時�,必須同樣通過前述網(wǎng)絡(luò)接口114上傳自定的加/解密模塊C,以供該模塊動態(tài)更新單元126新增此自定的加/解密模塊C至該延伸函數(shù)庫134中存放���。其中該延伸函數(shù)庫接口144��,用于輔助前述該延伸函數(shù)庫分別與該安全網(wǎng)關(guān)器104的工作函數(shù)庫124����、核心作業(yè)程序164作數(shù)據(jù)溝通��。
該組態(tài)設(shè)定單元154����,如一種系統(tǒng)文件,用于設(shè)定符合IPSEC通訊協(xié)議的執(zhí)行流程���,故當(dāng)一加/解密模塊進(jìn)行更新或新增后�����,其現(xiàn)有的網(wǎng)絡(luò)金鑰交換(Internet key exchange�,IKE)協(xié)議的金鑰交換程序也會接著更新成如下步驟(1)在每一網(wǎng)絡(luò)金鑰交換形態(tài)1或2(IKE Phase 1 or 2)中皆先判斷該工作函數(shù)庫124是否具有固定(Default)的加/解密模塊;(2)如無���,則再進(jìn)一步判斷該延伸函數(shù)庫134中是否具有任何新增或更新的加/解密模塊�����,直到選擇出一組加/解密模塊的金鑰進(jìn)行交換��;以及(3)當(dāng)該網(wǎng)絡(luò)金鑰交換形態(tài)(IKE)完成所有的金鑰交換流程之后�,接著通知網(wǎng)絡(luò)核心(kernel)164進(jìn)行現(xiàn)有IPSEC協(xié)議的安全參數(shù)索引(SA)更新��。
此外�����,請見圖5為依據(jù)本發(fā)明的較佳實施例的一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新方法���,其步驟包括首先進(jìn)行步驟S300,自一使用端計算機(jī)系統(tǒng)(如圖1所示編碼10)的網(wǎng)絡(luò)瀏覽器(Browser)經(jīng)過網(wǎng)際網(wǎng)絡(luò)聯(lián)機(jī)至安全網(wǎng)關(guān)器廠商所屬服務(wù)器端計算機(jī)系統(tǒng)的網(wǎng)站(如圖1所示編碼20)���;步驟S302����,開始下載新版的加/解密模塊至該使用端計算機(jī)系統(tǒng)的儲存裝置(如圖1所示編碼102)中;步驟S304��,激活安全網(wǎng)關(guān)器104的網(wǎng)絡(luò)接口(GUI)114����;步驟S306,自該網(wǎng)絡(luò)接口(GUI)114所提供的窗口畫面中選擇要上傳的加/解密模塊�����。若選擇自定加/解密模塊C����,則進(jìn)行步驟S308,即激活一自定模塊單元128的窗口畫面�,以供使用者開始依該畫面指示輸入此自定加/解密模塊的描述結(jié)構(gòu),包括如算法形態(tài)�����、算法識別碼��、數(shù)據(jù)加密區(qū)塊大小�、金鑰長度大小����、加/解密執(zhí)行函數(shù)�,其中該加/解密執(zhí)行函數(shù)的參數(shù)進(jìn)一步包括數(shù)據(jù)區(qū)塊地址、數(shù)據(jù)區(qū)塊大小�����、金鑰內(nèi)容����、金鑰長度、初始向量�����、加解密標(biāo)記等�。待確認(rèn)其輸入的自定加/解密模塊C的參數(shù)無誤后,進(jìn)行步驟S310�����,即上傳此新增的加/解密模塊C至安全網(wǎng)關(guān)器104中�����;反之����,若選擇前述步驟S304的更新版加/解密模塊B,則在步驟S310中會直接上傳此更新版的加/解密模塊B至安全網(wǎng)關(guān)器104中�;步驟S312,使安全網(wǎng)關(guān)器104的模塊動態(tài)更新單元126判斷該上傳的加/解密模塊為更新的加/解密模塊或為新增的自定加/解密模塊����。若判斷結(jié)果為更新的加/解密模塊,則進(jìn)行步驟S316��,對延伸函數(shù)庫134中相對應(yīng)的先前版加/解密模塊進(jìn)行更新�;反之,若判斷結(jié)果為自定的加/解密模塊����,則進(jìn)行步驟S314,即將此自定的加/解密模塊放置于該延伸函數(shù)庫134中����;接著步驟S317,更新安全網(wǎng)關(guān)器104的組態(tài)設(shè)定單元154中有關(guān)網(wǎng)絡(luò)金鑰交換(IKE)協(xié)議的金鑰交換流程(待后詳述)����;接著步驟S318���,重新激活(Rebooting)此安全網(wǎng)關(guān)器104,使該安全網(wǎng)關(guān)器104執(zhí)行更新過后的金鑰交換流程��;以及最后即步驟S320所示��,即完成加/解密模塊的更新工作�。
請進(jìn)一步見圖6,依據(jù)圖5步驟S318的一經(jīng)更新過后的網(wǎng)絡(luò)金鑰交換(IKE)協(xié)議的金鑰交換流程方法���,其運(yùn)用于一接收端及一發(fā)出端(如圖1所示的使用端計算機(jī)系統(tǒng)10及30)之間有關(guān)私密數(shù)據(jù)傳送的先期溝通����,其步驟包括步驟S400���,安全網(wǎng)關(guān)器104的現(xiàn)有IPSEC安全參數(shù)索引(IPSEC SA)進(jìn)行初始化��;
步驟S410�����,進(jìn)行網(wǎng)絡(luò)金鑰交換形態(tài)1(IKE Phase 1)���;步驟S420,判斷該工作函數(shù)庫124中是否存在一適當(dāng)加/解密模塊�,如一固定(Default)的加/解密模塊。如果是��,則進(jìn)行步驟S430�����,即選用該固定的加/解密模塊的金鑰及運(yùn)算邏輯來與對方如接收端溝通�;反之,若在工作函數(shù)庫124未發(fā)現(xiàn)任何一組可被接受的加/解密模塊時��,則進(jìn)行步驟S422���,即進(jìn)一步判斷該延伸函數(shù)庫134中是否存在一組適當(dāng)加/解密模塊�,如一新增或更新的加/解密模塊����。如果是,則進(jìn)行步驟S430�,即選用該新增或更新的加/解密模塊來與對方如接收端溝通;接著步驟S440�,進(jìn)行網(wǎng)絡(luò)金鑰交換形態(tài)2(IKE Phase 2);步驟S450、S455及S460分別重復(fù)前述步驟S420���、S422至S430的相同操作��。倘若在步驟S422或S455中未發(fā)現(xiàn)任何適當(dāng)?shù)募?解密模塊����,則進(jìn)行至步驟S462�,即系統(tǒng)產(chǎn)生一錯誤信息;最后步驟S470����,完成該網(wǎng)絡(luò)金鑰交換型態(tài)1及2的所有的金鑰交換流程;以及接著步驟S480����,通知該安全網(wǎng)關(guān)器104的網(wǎng)絡(luò)核心(kernel)164以更新現(xiàn)有IPSEC協(xié)議的安全參數(shù)索引(SA)。
基于前述��,可知依據(jù)本發(fā)明的安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)及方法����,通過一模塊動態(tài)更新單元,使該網(wǎng)關(guān)器的使用者每次僅需單純地更新或新增該網(wǎng)關(guān)器的延伸函數(shù)庫的加/解密碼模塊�,而無需再同如公知技術(shù)將整個核心碼固件一起更新��,故能節(jié)省裝設(shè)時間���、提升操作效率,并降低廠商維護(hù)產(chǎn)品的成本��。此外���,依據(jù)本發(fā)明的自定模塊單元及接口(GUI),可方便讓使用者自定所需的加/解密碼模塊����,由此可提升安全網(wǎng)關(guān)器的加/解密碼模塊的可擴(kuò)充性。
雖然本發(fā)明已以較佳實施例揭示如上�����,然其并非用以限定本發(fā)明����,任何熟悉此項技術(shù)人員,在不脫離本發(fā)明的精神和范圍內(nèi)�,所做些許更動與潤飾,均應(yīng)屬于本發(fā)明專利權(quán)利要求書所要求保護(hù)的范圍內(nèi)����。
權(quán)利要求
1.一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)����,且該安全網(wǎng)關(guān)器連接于一使用端計算機(jī)系統(tǒng)與一網(wǎng)絡(luò)系統(tǒng)之間�,其中加/解密模塊動態(tài)更新系統(tǒng)包括一網(wǎng)絡(luò)接口,在該使用端計算機(jī)系統(tǒng)產(chǎn)生至少一具有加/解密模塊動態(tài)更新機(jī)制的窗口畫面���,以供使用者經(jīng)此接口僅能上傳一新版的加/解密模塊至該安全網(wǎng)關(guān)器中���;一模塊動態(tài)更新單元,依據(jù)上傳該安全網(wǎng)關(guān)器的新版加/解密模塊����,動態(tài)更新一延伸函數(shù)庫中相對應(yīng)的現(xiàn)有加/解密模塊或新增此上傳的加/解密模塊至該延伸函數(shù)庫中存放;以及該延伸函數(shù)庫����,用于收容加/解密模塊。
2.如權(quán)利要求1所述的加/解密模塊動態(tài)更新系統(tǒng)����,其中該安全網(wǎng)關(guān)器為一符合IPSEC通訊協(xié)議的虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)器。
3.如權(quán)利要求1所述的加/解密模塊動態(tài)更新系統(tǒng)�,其中該安全網(wǎng)關(guān)器至少具有一工作函數(shù)庫�����、一核心作業(yè)程序���,以及一工作排程單元,其中模塊動態(tài)更新單元即位于該工作函數(shù)庫中��。
4.如權(quán)利要求1所述的加/解密模塊動態(tài)更新系統(tǒng)�,其中該網(wǎng)絡(luò)接口的窗口畫面的加/解密模塊動態(tài)更新機(jī)制還包括一機(jī)制����,可提供更新該安全網(wǎng)關(guān)器中現(xiàn)有的加/解密模塊。
5.如權(quán)利要求4所述的加/解密模塊動態(tài)更新系統(tǒng)���,其中該網(wǎng)絡(luò)接口的窗口畫面的加/解密模塊動態(tài)更新機(jī)制還包括另一機(jī)制����,可提供新增一組自定的加/解密模塊至該安全網(wǎng)關(guān)器中存放�。
6.如權(quán)利要求5所述的加/解密模塊動態(tài)更新系統(tǒng),進(jìn)一步包括一自定模塊單元�����,與網(wǎng)絡(luò)接口的自定加/解密模塊機(jī)制相連接,由此產(chǎn)生一所屬窗口畫面���,供使用者依此畫面指示填入欲自定的加/解密模塊的描述結(jié)構(gòu)�。
7.如權(quán)利要求6所述的加/解密模塊動態(tài)更新系統(tǒng)����,其中自定加/解密模塊的描述結(jié)構(gòu)至少包括算法形態(tài)、算法識別碼�����、數(shù)據(jù)加密區(qū)塊大小����、金鑰長度大小及加/解密執(zhí)行函數(shù),其中該加/解密執(zhí)行函數(shù)的參數(shù)進(jìn)一步包括數(shù)據(jù)區(qū)塊地址���、數(shù)據(jù)區(qū)塊大小��、金鑰內(nèi)容����、金鑰長度���、初始向量����、加解密標(biāo)記等。
8.如權(quán)利要求1所述的加/解密模塊動態(tài)更新系統(tǒng)���,其中該模塊動態(tài)更新單元���,依據(jù)此新版加/解密模塊的類型,選擇動態(tài)更新一延伸函數(shù)庫中相對應(yīng)的現(xiàn)有加/解密模塊或新增此上傳的加/解密模塊至該延伸函數(shù)庫中存放�����。
9.如權(quán)利要求2所述的加/解密模塊動態(tài)更新系統(tǒng)�����,進(jìn)一步具有一延伸函數(shù)庫接口��,輔助該延伸函數(shù)庫分別與該工作函數(shù)庫���、核心作業(yè)程序作數(shù)據(jù)溝通。
10.如權(quán)利要求1所述的加/解密模塊動態(tài)更新系統(tǒng)����,進(jìn)一步具有一組態(tài)設(shè)定單元����,為一種系統(tǒng)文件����,用于設(shè)定符合IPSEC通訊協(xié)議的執(zhí)行流程,故當(dāng)一加/解密模塊進(jìn)行更新或新增后���,其現(xiàn)有的網(wǎng)絡(luò)金鑰交換的金鑰交換程序也會接著更新����。
11.一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新方法�,且該安全網(wǎng)關(guān)器連接于一使用端計算機(jī)系統(tǒng)與一網(wǎng)絡(luò)系統(tǒng)之間,其中加/解密模塊動態(tài)更新方法包括自該使用端計算機(jī)系統(tǒng)經(jīng)此網(wǎng)絡(luò)系統(tǒng)下載一新版的加/解密模塊至該使用端計算機(jī)系統(tǒng)中�����;激活該安全網(wǎng)關(guān)器的一網(wǎng)絡(luò)接口����,以在該使用端計算機(jī)系統(tǒng)上產(chǎn)生至少一具有加/解密模塊動態(tài)更新機(jī)制的窗口畫面;自該網(wǎng)絡(luò)接口提供的窗口畫面中,選擇要上傳的新版加/解密模塊���;將所選的新版加/解密模塊上傳至該安全網(wǎng)關(guān)器中����;使安全網(wǎng)關(guān)器的一模塊動態(tài)更新單元依據(jù)該上傳的加/解密模塊的類型��,動態(tài)更新一延伸函數(shù)庫中相對應(yīng)的現(xiàn)有加/解密模塊或新增此上傳的加/解密模塊至該延伸函數(shù)庫中存放���;以及更新安全網(wǎng)關(guān)器的網(wǎng)絡(luò)金鑰交換協(xié)議的金鑰交換流程���;
12.如權(quán)利要求11所述的加/解密模塊動態(tài)更新方法,其中該網(wǎng)絡(luò)接口的窗口畫面的加/解密模塊動態(tài)更新機(jī)制還包括一機(jī)制��,可提供使用者更新該安全網(wǎng)關(guān)器中現(xiàn)有的加/解密模塊�����。
13.如權(quán)利要求12所述的加/解密模塊動態(tài)更新方法���,其中該網(wǎng)絡(luò)接口的窗口畫面的加/解密模塊動態(tài)更新機(jī)制還包括另一機(jī)制,可提供使用者新增一組自定的加/解密模塊至該安全網(wǎng)關(guān)器中存放����。
14.如權(quán)利要求13所述的加/解密模塊動態(tài)更新方法���,進(jìn)一步包括當(dāng)自定的加/解密模塊機(jī)制被激活時,會產(chǎn)生一窗口畫面供使用者依此畫面指示填入欲自定的加/解密模塊的描述結(jié)構(gòu)�。
15.如權(quán)利要求14所述的加/解密模塊動態(tài)更新方法,其中自定加/解密模塊的描述結(jié)構(gòu)至少包括算法形態(tài)�、算法識別碼、數(shù)據(jù)加密區(qū)塊大小�、金鑰長度大小及加/解密執(zhí)行函數(shù),其中該加/解密執(zhí)行函數(shù)的參數(shù)進(jìn)一步包括數(shù)據(jù)區(qū)塊地址��、數(shù)據(jù)區(qū)塊大小�����、金鑰內(nèi)容��、金鑰長度��、初始向量���、加解密標(biāo)記等���。
16.如權(quán)利要求11所述的加/解密模塊動態(tài)更新方法,進(jìn)一步包括使該安全網(wǎng)關(guān)器執(zhí)行更新過后的金鑰交換流程。
17.一種安全網(wǎng)關(guān)器的網(wǎng)絡(luò)金鑰交換協(xié)議的金鑰交換流程����,包括(a)初始化該安全網(wǎng)關(guān)器的現(xiàn)有IPSEC協(xié)議的安全參數(shù)索引;(b)進(jìn)行網(wǎng)絡(luò)金鑰交換形態(tài)1��;(c)當(dāng)未在該安全網(wǎng)關(guān)器的工作函數(shù)庫中發(fā)現(xiàn)一適當(dāng)?shù)募?解密模塊時����,進(jìn)一步自該安全網(wǎng)關(guān)器的一延伸函數(shù)庫中取用至少一適當(dāng)?shù)募?解密模塊;(d)進(jìn)行網(wǎng)絡(luò)金鑰交換形態(tài)2��;(e)重復(fù)步驟(c)的相同動作����;(f)完成網(wǎng)絡(luò)金鑰交換形態(tài)1及2的金鑰交換流程;以及(g)通知該安全網(wǎng)關(guān)器的網(wǎng)絡(luò)核心進(jìn)行更新現(xiàn)有IPSEC協(xié)議的安全參數(shù)索引��。
全文摘要
一種安全網(wǎng)關(guān)器的加/解密模塊動態(tài)更新系統(tǒng)及方法�����,適用于該安全網(wǎng)關(guān)器中�,且該安全網(wǎng)關(guān)器如一符合IPSEC通訊協(xié)議的虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)器����,并連接于至少一使用端計算機(jī)系統(tǒng)與一網(wǎng)絡(luò)系統(tǒng)之間�。前述加/解密模塊動態(tài)更新系統(tǒng)至少包括一網(wǎng)絡(luò)接口����、一模塊動態(tài)更新單元、一自定模塊單元及一延伸函數(shù)庫�。通過該網(wǎng)絡(luò)接口及模塊動態(tài)更新單元,可讓使用者輕易地單獨更新或新增該網(wǎng)關(guān)器的延伸函數(shù)庫內(nèi)的加/解密碼模塊�,而無需再連同整個核心碼固件一起更新,故能節(jié)省裝設(shè)時間����、提升操作效率,并降低維護(hù)成本��,且能提升安全網(wǎng)關(guān)器的加/解密碼模塊的可擴(kuò)充性����,使網(wǎng)絡(luò)傳輸更安全。
文檔編號H04L12/66GK1642069SQ20041000197
公開日2005年7月20日 申請日期2004年1月16日 優(yōu)先權(quán)日2004年1月16日
發(fā)明者曾宏偉, 呂致中 申請人:威達(dá)電股份有限公司