專(zhuān)利名稱(chēng)::根據(jù)send機(jī)制來(lái)保證用于處理數(shù)據(jù)分組的通信設(shè)備的安全的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及在通信設(shè)備中管理網(wǎng)際協(xié)議第6版(IPv6)數(shù)據(jù)分組�����,更特別地涉及一種用于保證通信設(shè)備安全的獲得安全的(security-procuring)方法�����。
背景技術(shù):
:這些數(shù)據(jù)分組中的一些數(shù)據(jù)分組遵從由因特網(wǎng)工程任務(wù)組(IETF)的請(qǐng)求注解(RFC)2461所定義的網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)議(NDP)���。該協(xié)議定義了“自配置”以及“網(wǎng)絡(luò)發(fā)現(xiàn)”(“ND”)分組,這使得IPv6通信網(wǎng)絡(luò)的設(shè)備可以確定其地址并使得可以知道在每條鏈路上連接的各個(gè)設(shè)備�。例如當(dāng)“相鄰”的設(shè)備變得不可訪問(wèn)時(shí),該協(xié)議還使得每項(xiàng)設(shè)備能夠得到關(guān)于所述鏈路上出現(xiàn)的變化的通知�����。該項(xiàng)設(shè)備可以是路由器(或節(jié)點(diǎn))����、主機(jī)(即終端)、網(wǎng)關(guān)���,或具有用于傳輸和接收IPv6數(shù)據(jù)分組的裝置的任意其他設(shè)備�。另外,通過(guò)該協(xié)議�����,通信網(wǎng)絡(luò)的運(yùn)營(yíng)商不再需要手動(dòng)地配置其網(wǎng)絡(luò)的每項(xiàng)設(shè)備��,原因是所述網(wǎng)絡(luò)通過(guò)交換根據(jù)NDP的自配置分組來(lái)進(jìn)行自配置�����。但是���,必須保證該數(shù)據(jù)分組的安全����,特別是使得未經(jīng)授權(quán)的主機(jī)不能連接到該通信網(wǎng)絡(luò)�����。使用NDP�,主機(jī)可以通過(guò)使授予對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限的接入設(shè)備相信該主機(jī)具有針對(duì)該網(wǎng)絡(luò)的MAC接口來(lái)強(qiáng)占另一主機(jī)的身份。這種需要在無(wú)線通信網(wǎng)絡(luò)中是至關(guān)重要的����,在無(wú)線通信網(wǎng)絡(luò)中�����,主機(jī)是移動(dòng)的并且因此并不物理地和靜態(tài)地連接到接入設(shè)備���。因此�,提供具有安全機(jī)制的NDP是很重要的。題為“IPv6NeighborDiscovery(ND)TrustModelsandThreats”(IPv6鄰居發(fā)現(xiàn)(ND)信任模型與威脅)并且日期為2004年5月的RFC3756提出了關(guān)于使NDP安全的問(wèn)題以及需求��。該RFC強(qiáng)調(diào)現(xiàn)有技術(shù)是基于“IPsec”(網(wǎng)際協(xié)議安全)安全協(xié)議的�����,但該協(xié)議需要手動(dòng)地確定加密密鑰����。因?yàn)樵撌謩?dòng)步驟與NDP的自動(dòng)特性相矛盾,所以必須有某種其它方法����。該方法由題為“SecureNeighborDiscovery(SEND)”(安全鄰居發(fā)現(xiàn)(SEND))并且日期為2005年3月的IETFRFC3917所提出。從技術(shù)的觀點(diǎn)來(lái)看�����,SEND機(jī)制包括向NDP的每個(gè)消息添加包含安全信息的字段,并且更準(zhǔn)確地說(shuō)是向這些消息的結(jié)尾添加包含安全信息的字段�。這些字段部分地由該RFC確定為以下字段“RSA(里德-索羅蒙算法)簽名選項(xiàng)”、“CGA(周密碼生成的地址)選項(xiàng)”�����、“時(shí)戳選項(xiàng)”以及“隨機(jī)數(shù)(Nonce)選項(xiàng)”���。但是����,RFC3971的規(guī)范將后續(xù)添加新的“選項(xiàng)”字段的可能性保持為開(kāi)放���,以便進(jìn)一步豐富NDP機(jī)制以及SEND機(jī)制�。目前�,僅僅剛開(kāi)始確定SEND機(jī)制的第一種實(shí)現(xiàn)方式。這些實(shí)現(xiàn)方式中的某一些實(shí)現(xiàn)方式基于Unix類(lèi)型的操作系統(tǒng)�。例如,該系統(tǒng)可以是例如Linux或BSD操作系統(tǒng)�����。依慣例����,專(zhuān)用于通信設(shè)備的操作系統(tǒng)的內(nèi)核包括一個(gè)或多個(gè)協(xié)議棧�����,這些協(xié)議棧以對(duì)應(yīng)用來(lái)說(shuō)透明的方式管理數(shù)據(jù)分組傳輸����。因此����,這些IPv6協(xié)議棧實(shí)現(xiàn)了管理NDP機(jī)制和SEND機(jī)制所必須的軟件機(jī)制�。但是,此種方法存在嚴(yán)重缺陷����。SEND機(jī)制可以升級(jí),特別是通過(guò)添加新的“選項(xiàng)”字段而升級(jí)�����。因此����,每次升級(jí)需要對(duì)操作系統(tǒng)的內(nèi)核加以修改���。遺憾的是,修改操作內(nèi)核(或操作系統(tǒng)內(nèi)核)是一種復(fù)雜并且因此昂貴的操作���。
發(fā)明內(nèi)容因此����,本發(fā)明的目的是通過(guò)提出一種以對(duì)操作系統(tǒng)來(lái)說(shuō)透明的方式來(lái)實(shí)現(xiàn)SEND機(jī)制的通信設(shè)備而減少這些缺陷���。本發(fā)明的解決方案作用于網(wǎng)絡(luò)與操作系統(tǒng)之間�,并且因此是可升級(jí)的��,并且最重要的是更為便宜����。因此,本發(fā)明首先提供了一種用于保證通信設(shè)備的安全的獲得安全的方法��,所述通信設(shè)備包括操作系統(tǒng)內(nèi)核以及一組軟件應(yīng)用�����,所述內(nèi)核包括至少一個(gè)網(wǎng)際協(xié)議第6版(IPv6)協(xié)議棧,該協(xié)議棧使得可以將來(lái)自輸入端口的進(jìn)入數(shù)據(jù)分組傳輸?shù)綉?yīng)用并且將來(lái)自應(yīng)用(其可以是不同的應(yīng)用或相同的應(yīng)用)的發(fā)出數(shù)據(jù)分組傳輸?shù)捷敵龆丝?��,所述協(xié)議棧包括一組接口��,這些接口被組織為使得連接到它們的外部模塊能夠在與所述接口相關(guān)聯(lián)的已確定的點(diǎn)處訪問(wèn)由這些協(xié)議棧所傳輸?shù)乃鰯?shù)據(jù)分組�。該方法的特征在于輸入模塊和輸出模塊分別連接到所述內(nèi)核的輸入接口和輸出接口��,并且該方法的特征在于所述模塊以對(duì)所述內(nèi)核來(lái)說(shuō)透明的方式根據(jù)安全鄰居發(fā)現(xiàn)(SEND)機(jī)制來(lái)選擇����、分析并且在必要的情況下修改網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)議(NDP)的數(shù)據(jù)分組。本發(fā)明還提供了通信設(shè)備�,包括操作系統(tǒng)內(nèi)核以及一組軟件應(yīng)用,所述內(nèi)核包括至少一個(gè)IPv6協(xié)議棧�����,該協(xié)議棧使得可以將來(lái)自輸入端口的進(jìn)入數(shù)據(jù)分組傳輸?shù)綉?yīng)用并且將來(lái)自應(yīng)用(其可以是不同的應(yīng)用或相同的應(yīng)用)的發(fā)出數(shù)據(jù)分組傳輸?shù)捷敵龆丝?��,所述協(xié)議棧包括一組接口,這些接口被組織為使得連接到它們的外部模塊能夠在與所述接口相關(guān)聯(lián)的已確定的點(diǎn)處訪問(wèn)由這些協(xié)議棧所傳輸?shù)乃鰯?shù)據(jù)分組����。該項(xiàng)通信設(shè)備的特征在于輸入模塊和輸出模塊分別連接到輸入接口和輸出接口,并且該項(xiàng)通信設(shè)備適合于以對(duì)所述內(nèi)核來(lái)說(shuō)透明的方式根據(jù)SEND機(jī)制來(lái)選擇、分析并且在必要的情況下修改NDP的數(shù)據(jù)分組��。在本發(fā)明的一個(gè)實(shí)施例中��,操作系統(tǒng)是Linux系統(tǒng)�,并且所述已確定的點(diǎn)是根據(jù)“NetFilter”(網(wǎng)絡(luò)過(guò)濾器)基礎(chǔ)設(shè)施來(lái)限定的。另外���,在一個(gè)實(shí)施例中����,外部模塊分析并修改NDP的所述數(shù)據(jù)分組的該“CGA”選項(xiàng)和“RSA簽名”選項(xiàng)����,該修改可以包括添加所述選項(xiàng)。通過(guò)這種方式�����,SEND機(jī)制的升級(jí)可以通過(guò)改變輸入模塊和/或輸出模塊而進(jìn)行�����。操作內(nèi)核保持不變�����。因此,開(kāi)發(fā)以及測(cè)試的成本顯著減少��。操作系統(tǒng)內(nèi)核的行為不受輸入模塊和/或輸出模塊的操作的影響���。對(duì)于所述內(nèi)核�����,所述操作是透明的�����。另外���,變?yōu)榭梢詫?duì)該機(jī)制進(jìn)行升級(jí),或可以?xún)H僅直接在該項(xiàng)通信設(shè)備上以新的�、高性能的或“經(jīng)調(diào)試的”模塊替代上述模塊,而不必停止系統(tǒng)��、進(jìn)行修改����、重新編譯內(nèi)核以及重啟系統(tǒng)。根據(jù)以下參考附圖的描述�����,本發(fā)明及其優(yōu)點(diǎn)將更清楚地顯現(xiàn)�,其中圖1以圖解方式示出了本發(fā)明的通信設(shè)備;圖2示出了基于Linux操作系統(tǒng)的本發(fā)明的特定實(shí)施例���;并且圖3示出了實(shí)現(xiàn)SEND機(jī)制的NDP分組����。具體實(shí)施例方式如上文所述����,通信設(shè)備可以包括操作系統(tǒng)內(nèi)核或“操作內(nèi)核”以及通過(guò)所述內(nèi)核來(lái)操作的應(yīng)用。該內(nèi)核的作用是使得應(yīng)用能夠獨(dú)立于硬件(通信設(shè)備制造商�����、模型等)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施(網(wǎng)絡(luò)協(xié)議版本�、協(xié)議類(lèi)型等)而操作,并且該內(nèi)核的作用是通過(guò)提供可由應(yīng)用使用的一組“函數(shù)”而使得應(yīng)用的開(kāi)發(fā)更為方便��。通過(guò)清楚地定義的接口����,應(yīng)用可訪問(wèn)所述函數(shù)�����。因此��,在圖1中�����,所示出的該通信設(shè)備包括內(nèi)核K以及專(zhuān)用于應(yīng)用AS的空間(“用戶(hù)空間”或“用戶(hù)平臺(tái)”(userland))�。該操作內(nèi)核K包括一個(gè)或多個(gè)協(xié)議棧PS����,以及其他函數(shù)(未示出)。在本發(fā)明的上下文中�����,所述協(xié)議棧優(yōu)選地遵從IPv6(網(wǎng)際協(xié)議第6版)協(xié)議���。該協(xié)議棧PS首先連接到輸入端口PIN并且其次連接到輸出端口POUT�。每一個(gè)數(shù)據(jù)分組都具有一個(gè)報(bào)頭��,該報(bào)頭遵從IPv6協(xié)議并且其至少規(guī)定了目的地地址和源地址�����。進(jìn)入數(shù)據(jù)分組是以該通信設(shè)備的IPv6地址作為目的地地址的數(shù)據(jù)分組����。所述進(jìn)入分組經(jīng)由輸入端口PIN輸入并且由協(xié)議棧PS傳輸?shù)綉?yīng)用A。應(yīng)用A(同一應(yīng)用或另一應(yīng)用)同樣能夠傳輸數(shù)據(jù)分組�。所述數(shù)據(jù)分組隨即包括該通信設(shè)備的IPv6地址作為源地址,并且該分組由該協(xié)議棧傳輸?shù)捷敵龆丝赑OUT����。該協(xié)議棧PS還包括一組接口HPRE、HIN�、HOUT、HPOST�。將這些接口提供為使得外部模塊MIN、MOUT能夠連接到該協(xié)議棧以便使得能夠在與所述接口相關(guān)聯(lián)的已確定的點(diǎn)或“攔截點(diǎn)”(hook)處訪問(wèn)由該協(xié)議棧所傳輸?shù)臄?shù)據(jù)分組�。圖1僅示出了4個(gè)接口或“攔截點(diǎn)”HPRE、HIN��、HOUT��、HPOST�����,但該協(xié)議棧PS可以具有其他的接口或“攔截點(diǎn)”。所述接口依賴(lài)于操作內(nèi)核K的類(lèi)型�����。在使用Linux內(nèi)核的實(shí)施例中�����,該“NetFilter”基礎(chǔ)設(shè)施對(duì)應(yīng)于數(shù)據(jù)分組傳輸中的5個(gè)已確定的點(diǎn)而定義了5個(gè)接口�����。網(wǎng)站“www.netfilter.org”對(duì)“NetFilter”基礎(chǔ)設(shè)施進(jìn)行了描述�����,并且所述5個(gè)點(diǎn)在圖2中示出����。但是,本發(fā)明并不限于該實(shí)施例��,因?yàn)楸景l(fā)明可以應(yīng)用于同樣提供了與接口相關(guān)聯(lián)的已確定的點(diǎn)或“攔截點(diǎn)”的其它操作系統(tǒng)(BSD等),使得外部模塊可以訪問(wèn)這些數(shù)據(jù)分組����。在基于Linux系統(tǒng)的該實(shí)施例的上下文中,每個(gè)到達(dá)輸入端口的數(shù)據(jù)分組首先要經(jīng)受預(yù)處理或“PreP”���。該預(yù)處理特別地包括檢查該數(shù)據(jù)分組是否確實(shí)完整,包含于該分組中的檢驗(yàn)和是否確實(shí)對(duì)應(yīng)于接收到的數(shù)據(jù)����,等等。在該預(yù)處理之后�,找到了第一個(gè)已確定的點(diǎn)“PRE”。數(shù)據(jù)分組隨即經(jīng)過(guò)“路由”第二處理步驟�����,該步驟包括確定這些數(shù)據(jù)分組的目的地是否為該通信設(shè)備或者這些數(shù)據(jù)分組是否應(yīng)該經(jīng)由輸出端口被轉(zhuǎn)發(fā)�。出于這種目的,該“路由”處理將包含于每個(gè)數(shù)據(jù)分組中的目的地地址與該通信設(shè)備的IPv6地址相比較�。如果這些地址匹配,則該數(shù)據(jù)分組到達(dá)已確定為“IN”(進(jìn)入)的點(diǎn)并隨即被傳輸?shù)侥康牡貞?yīng)用�。如果這些地址不匹配,則該分組到達(dá)已確定為“FWD”(轉(zhuǎn)發(fā))的點(diǎn)����,“FWD”表明了該數(shù)據(jù)分組應(yīng)該被轉(zhuǎn)發(fā)到另一通信設(shè)備�����?��?梢噪S即在該數(shù)據(jù)分組到達(dá)最后一個(gè)已確定的點(diǎn)或已確定為“POST”(后期)的點(diǎn)之前使其經(jīng)受其它的處理或“后期處理”(PostP),表明該分組已準(zhǔn)備好經(jīng)由輸出端口被傳輸�����。來(lái)自該通信設(shè)備的數(shù)據(jù)分組經(jīng)由第一個(gè)已確定為“OUT”(發(fā)出)的點(diǎn)到達(dá)�。這些分組經(jīng)受“路由”處理以便確定其應(yīng)該被傳輸?shù)胶翁?或到哪個(gè)端口),并且在這些分組到達(dá)已確定為“POST”的點(diǎn)之前�,這些分組會(huì)經(jīng)受任意其他的“PostP”處理。換言之��,已確定的點(diǎn)對(duì)應(yīng)于由協(xié)議棧PS對(duì)數(shù)據(jù)分組所進(jìn)行的處理的“狀態(tài)”����,即,對(duì)應(yīng)于沿?cái)?shù)據(jù)分組的路徑的標(biāo)記���。已確定的點(diǎn)PRE�����、IN�����、FWD�、OUT以及POST與接口相關(guān)聯(lián),即�����,具有用于使得在協(xié)議棧外部的應(yīng)用(或模塊)能夠訪問(wèn)這些數(shù)據(jù)分組的接入裝置�����。這些接口在NetFilter基礎(chǔ)設(shè)施特有的詞庫(kù)中稱(chēng)為“攔截點(diǎn)”����。下文中將連接到協(xié)議棧接口的應(yīng)用稱(chēng)為“模塊”�,以便將其與其它應(yīng)用相區(qū)別,其它應(yīng)用諸如可以是數(shù)據(jù)分組流的終止點(diǎn)的那些應(yīng)用(諸如圖1中的應(yīng)用A)��。外部模塊可以通過(guò)列表機(jī)制連接到協(xié)議棧的接口����。每個(gè)接口對(duì)應(yīng)于多個(gè)列表����,每個(gè)列表具有確定的函數(shù)���。特別地���,根據(jù)所使用內(nèi)核的類(lèi)型(用于Linux的“損壞”與“過(guò)濾”列表,用于BSD的“轉(zhuǎn)向”���,等等)��,可以有多種實(shí)現(xiàn)方式�����。外部模塊可以登記到接口列表��。當(dāng)數(shù)據(jù)分組到達(dá)已確定的點(diǎn)中的一個(gè)點(diǎn)時(shí)����,調(diào)用“NetFilter”基礎(chǔ)設(shè)施�����。所述基礎(chǔ)設(shè)施具有使得該登記到其列表中的外部模塊能夠訪問(wèn)數(shù)據(jù)分組所必需的裝置。但是�����,申請(qǐng)人已經(jīng)注意到�,在NDP的上下文中,目的地地址屬于“多播”或“點(diǎn)到多點(diǎn)”類(lèi)型����,這些地址對(duì)同一鏈路上定制到該群組的多個(gè)通信設(shè)備中的所有通信設(shè)備(“所有節(jié)點(diǎn)”或“所有路由器”)進(jìn)行尋址。因此�,作為訂戶(hù)的每個(gè)通信設(shè)備是所有NDP分組的一個(gè)接收方�����。因此���,通過(guò)“ip6tables”指令�����,可以基于通過(guò)“NetFilter”基礎(chǔ)設(shè)施或不通過(guò)“NetFilter”基礎(chǔ)設(shè)施的數(shù)據(jù)分組的類(lèi)型來(lái)進(jìn)行第一次選擇��。在此�����,僅NDP的數(shù)據(jù)分組被發(fā)送給“NetFilter”基礎(chǔ)設(shè)施����,其它數(shù)據(jù)分組繼續(xù)沿其常規(guī)路徑而行。另外����,為了優(yōu)化機(jī)制并且為了節(jié)約資源,僅關(guān)注已確定為“IN”和“OUT”的點(diǎn)以及它們的關(guān)聯(lián)接口是有利的���。返回到圖1�,兩個(gè)外部模塊MIN和MOUT由此連接到相應(yīng)的多個(gè)接口或“攔截點(diǎn)”HIN和HOUT��。為了使用這些接口�����,該外部模塊使用由庫(kù)“l(fā)ibipq”所提供的函數(shù)��。對(duì)應(yīng)于這些函數(shù)的代碼在圖1中用陰影部分表示��。如上所述,這些函數(shù)使得當(dāng)數(shù)據(jù)分組被提交到協(xié)議棧PS的接口HIN��、HOUT時(shí)該模塊可以訪問(wèn)這些數(shù)據(jù)分組�。在本領(lǐng)域普通技術(shù)人員可獲得的各種文檔中對(duì)庫(kù)“l(fā)ibipq”的細(xì)節(jié)進(jìn)行了說(shuō)明,這些文檔包括操作系統(tǒng)的“手冊(cè)”(manpages)����。在此不再探究所有的細(xì)節(jié),“ipq_read()”函數(shù)使得每個(gè)外部模塊能夠等待數(shù)據(jù)分組到達(dá)接口處���?����!癷pq_get_packet()”函數(shù)隨即使得可以讀取該數(shù)據(jù)分組��,即,可以將其復(fù)制到為該外部模塊保留的存儲(chǔ)區(qū)域中���。該外部模塊可以隨即讀取包含在該數(shù)據(jù)分組中的多項(xiàng)信息中的每一項(xiàng)信息�����。所述外部模塊可以隨即從其它數(shù)據(jù)分組中選擇NDP數(shù)據(jù)分組��,并且所述外部模塊可以根據(jù)SEND機(jī)制來(lái)分析并在必要的情況下修改所選擇的數(shù)據(jù)分組��。下文中將對(duì)這種選擇和分析進(jìn)行更為詳細(xì)的描述�����,但在描述的這一階段�,重要的是知道在必要的情況下是否可以修改數(shù)據(jù)分組已被復(fù)制到其中的存儲(chǔ)區(qū)域以便反映該處理。一旦已經(jīng)完成這種操作�����,外部模塊就可以使用“ipq_set_verdict()”函數(shù)���。具有變量“ACCEPT”(接受)或“MODIFIED”(已修改)的這一函數(shù)使得可以分別在原封不動(dòng)的狀態(tài)下或在已修改的狀態(tài)下通過(guò)所討論的接口HIN�、HOUT將數(shù)據(jù)分組放回到協(xié)議棧PS中���。該數(shù)據(jù)分組是在先前將該數(shù)據(jù)分組復(fù)制到其中的存儲(chǔ)區(qū)域的一個(gè)副本���。通過(guò)這種方式,外部模塊可以以對(duì)所述協(xié)議棧來(lái)說(shuō)透明的方式修改(“MODIFIED”變量)由協(xié)議棧PS所傳輸?shù)臄?shù)據(jù)分組�。可以根據(jù)RFC2461所定義的NDP(鄰居發(fā)現(xiàn)協(xié)議)規(guī)范來(lái)選擇NDP分組����。圖3以圖解方式示出了一種數(shù)據(jù)分組的格式�����。其包括如上所述的“IP報(bào)頭”��。然后�����,其還具有第二個(gè)“報(bào)頭”ND����,由NDP特有的字段構(gòu)成���。該協(xié)議定義了5類(lèi)數(shù)據(jù)分組“鄰居請(qǐng)求”�����、“鄰居通告”、“路由器請(qǐng)求”���、“路由器通告”�����,以及“重定向”�����?����?梢酝ㄟ^(guò)分析所述“ND”報(bào)頭來(lái)選擇遵從該NDP的分組����。如RFC2461的第4節(jié)所描述的,該ND報(bào)頭以定義數(shù)據(jù)分組類(lèi)型的“類(lèi)型”字段開(kāi)始�,如下表所給出的遵從NDP的分組還具有由SEND機(jī)制所使用的用于插入選項(xiàng)的內(nèi)容區(qū)域。SEND機(jī)制特別地對(duì)2個(gè)選項(xiàng)進(jìn)行了規(guī)定RSA選項(xiàng)(或更準(zhǔn)確地說(shuō)是“RSA簽名”)�����,以及CGA選項(xiàng)���。還提供了兩種其它的選項(xiàng)(在圖中未示出)“時(shí)戳”選項(xiàng)以及“隨機(jī)數(shù)”選項(xiàng)��。CGA選項(xiàng)使得可以傳輸與用密碼生成的地址(CGA)技術(shù)有關(guān)的信息��。在日期為2005年3月的RFC3972中描述了該技術(shù)����,并且該技術(shù)包括使用基于至少網(wǎng)絡(luò)節(jié)點(diǎn)的公鑰的不可逆Hash函數(shù)來(lái)生成該網(wǎng)絡(luò)節(jié)點(diǎn)的該IPv6地址?!癛SA”選項(xiàng)使得可以基于NDP數(shù)據(jù)分組的公鑰來(lái)附加簽名。這些選項(xiàng)并非彼此獨(dú)立��。舉例而言�����,如果存在“CGA”選項(xiàng)和“RSA簽名”選項(xiàng)���,則基于該“CGA”選項(xiàng)而確定的公鑰必須是在“RSA簽名”函數(shù)的“KeyHash”(密鑰散列)字段中傳輸?shù)墓€��。如果不是這種情況�����,則該分組必須被刪除��。因此��,當(dāng)該項(xiàng)通信設(shè)備傳輸NDP分組或當(dāng)該項(xiàng)通信設(shè)備接收NDP分組時(shí)��,該項(xiàng)通信設(shè)備必須應(yīng)用大量處理規(guī)則�。于是���,外部模塊MIN和MOUT的作用是分別應(yīng)用用于第二種情況和第一種情況的所述處理規(guī)則���。外部模塊MIN和MOUT可以以對(duì)操作內(nèi)核來(lái)說(shuō)完全透明的方式執(zhí)行這種作用。因此�,這首先包括分析NDP分組(主要是針對(duì)MIN)以便使這些分組遵從SEND機(jī)制,并且其次包括修改NDP數(shù)據(jù)分組(主要是針對(duì)MOUT)以便使這些分組遵從SEND機(jī)制���。如果新版本的SEND機(jī)制處理代碼可用����,則可以將所述代碼并入所述外部模塊中而不修改內(nèi)核本身���。相似地�,如果SEND機(jī)制被升級(jí)并且定義了新的選項(xiàng)���,則同樣可以將與這種升級(jí)有關(guān)的代碼并入該外部模塊中而不修改操作內(nèi)核����。在操作系統(tǒng)的內(nèi)核不具有類(lèi)似于“NetFilter”基礎(chǔ)設(shè)施(即,具有與已確定的點(diǎn)相關(guān)聯(lián)的接口的基礎(chǔ)設(shè)施)的基礎(chǔ)設(shè)施的情況下�,仍可以在“降級(jí)的”模式下實(shí)現(xiàn)本發(fā)明。在數(shù)據(jù)分組進(jìn)入?yún)f(xié)議棧之前以及當(dāng)該數(shù)據(jù)分組從協(xié)議棧中離開(kāi)時(shí)�����,可以查看這些數(shù)據(jù)分組����。因此,軟件模塊MIN����、MOUT可以連接到所述協(xié)議棧的輸入和輸出,以便在必要的情況下根據(jù)該SEND機(jī)制修改對(duì)應(yīng)于NDP的分組��。權(quán)利要求1.一種用于保證通信設(shè)備(E)安全的獲得安全的方法����,所述通信設(shè)備包括操作系統(tǒng)內(nèi)核(K)以及一組軟件應(yīng)用(A),所述內(nèi)核包括至少一個(gè)IPv6協(xié)議棧(PS)��,所述協(xié)議棧使得將來(lái)自輸入端口(PIN)的進(jìn)入數(shù)據(jù)分組傳輸?shù)綉?yīng)用(A)并且將來(lái)自應(yīng)用(A)的發(fā)出數(shù)據(jù)分組傳輸?shù)捷敵龆丝?POUT)�,所述協(xié)議棧包括一組接口(HPRE�、HIN�����、HOUT���、HPOST),所述接口被組織為使得連接到它們的外部模塊能夠在與所述接口相關(guān)聯(lián)的已確定的點(diǎn)處訪問(wèn)由所述至少一個(gè)協(xié)議棧所傳輸?shù)乃鰯?shù)據(jù)分組����,所述方法的特征在于輸入模塊(MIN)和輸出模塊(MOUT)分別連接到所述內(nèi)核(K)的輸入接口(HIN)和輸出接口(HOUT),并且所述方法的特征在于所述模塊以對(duì)所述內(nèi)核來(lái)說(shuō)透明的方式根據(jù)安全鄰居發(fā)現(xiàn)(SEND)機(jī)制來(lái)選擇��、分析并且在必要的情況下修改網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)議(NDP)的數(shù)據(jù)分組��。2.根據(jù)權(quán)利要求1所述的獲得安全的方法���,其中所述操作系統(tǒng)是Linux系統(tǒng)����,并且所述已確定的點(diǎn)是根據(jù)“NetFilter”基礎(chǔ)設(shè)施來(lái)限定的����。3.根據(jù)權(quán)利要求1或2所述的獲得安全的方法�,其中所述外部模塊分析并修改該NDP的所述數(shù)據(jù)分組的“CGA”選項(xiàng)和“RSA簽名”選項(xiàng)���。4.根據(jù)權(quán)利要求1所述的獲得安全的方法��,其中所述已確定的點(diǎn)位于所述協(xié)議棧(PS)的輸入處和輸出處�。5.一種通信設(shè)備(E)�����,包括操作系統(tǒng)內(nèi)核(K)以及一組軟件應(yīng)用(A)�����,所述內(nèi)核包括至少一個(gè)IPv6協(xié)議棧(PS)����,所述協(xié)議棧使得可以將來(lái)自輸入端口(PIN)的進(jìn)入數(shù)據(jù)分組傳輸?shù)綉?yīng)用(A)并且將來(lái)自應(yīng)用(A)的發(fā)出數(shù)據(jù)分組傳輸?shù)捷敵龆丝?POUT)�,所述協(xié)議棧包括一組接口(HPRE、HIN、HOUT、HPOST)�����,所述接口被組織為使得連接到它們的外部模塊能夠在與所述接口相關(guān)聯(lián)的已確定的點(diǎn)處訪問(wèn)由所述至少一個(gè)協(xié)議棧所傳輸?shù)乃鰯?shù)據(jù)分組��,所述通信設(shè)備的特征在于輸入模塊(MIN)和輸出模塊(MOUT)分別連接到輸入接口(HIN)和輸出接口(HOUT)��,并且所述通信設(shè)備適合于以對(duì)所述內(nèi)核來(lái)說(shuō)透明的方式根據(jù)SEND機(jī)制來(lái)選擇�����、分析并且在必要的情況下修改NDP的數(shù)據(jù)分組�����。6.根據(jù)權(quán)利要求5所述的通信設(shè)備,其中所述操作系統(tǒng)是Linux系統(tǒng)�����,并且所述已確定的點(diǎn)是根據(jù)“NetFilter”基礎(chǔ)設(shè)施來(lái)限定的����。7.根據(jù)權(quán)利要求5或6所述的通信設(shè)備����,其中所述外部模塊分析并修改該NDP的所述數(shù)據(jù)分組的“CGA”選項(xiàng)和“RSA簽名”選項(xiàng)。8.根據(jù)權(quán)利要求5所述的通信設(shè)備��,其中所述已確定的點(diǎn)位于所述協(xié)議棧(PS)的輸入處和輸出處��。全文摘要一種用于保證通信設(shè)備(E)安全的獲得安全的方法,所述通信設(shè)備包括操作系統(tǒng)內(nèi)核以及一組軟件應(yīng)用,所述內(nèi)核包括至少一個(gè)IPv6協(xié)議棧����,該協(xié)議棧使得可以將來(lái)自輸入端口的進(jìn)入數(shù)據(jù)分組傳輸?shù)綉?yīng)用并且將來(lái)自應(yīng)用的發(fā)出數(shù)據(jù)分組傳輸?shù)捷敵龆丝?P文檔編號(hào)H04L29/06GK1921489SQ20061012653公開(kāi)日2007年2月28日申請(qǐng)日期2006年8月25日優(yōu)先權(quán)日2005年8月25日發(fā)明者洛朗·克勒維,蒂埃里·勒格拉申請(qǐng)人:阿爾卡特公司