| 发明名称 | 通过路由器或交换机实现可信网络连接的方法和装置 | ||
| 摘要 | 本发明公开了通过路由器或交换机实现可信网络连接的方法和装置,防止DOS攻击的非法接入,防止重发攻击、防止木马等恶意软件的侵扰以及可保证路由的私密性。其技术方案为:本发明通过在路由器上对现有IP报头进行扩展,对原地址和目的地址进行验证,从而提供地址真实性证明和地址生存期证明,防止DOS攻击的非法接入;提供本次连接新鲜性证明,在路由器上防止重发攻击;提供路由操作环境的可信性,在路由器上防止木马等恶意软件的侵扰;在路由器上增加脱加密功能,保证了路由的私密性,用于有保密或安全需要的单位、机构或部门。 | ||
| 申请公布号 | CN101808142A | 申请公布日期 | 2010.08.18 |
| 申请号 | CN201010120869.1 | 申请日期 | 2010.03.10 |
| 申请人 | 上海十进制网络信息技术有限公司;北京易恒信认证科技有限公司 | 发明人 | 谢建平;南湘浩;林肇;程晓卫;陈六广 |
| 分类号 | H04L29/12(2006.01)I;H04L29/06(2006.01)I;H04L12/56(2006.01)I;H04L9/30(2006.01)I | 主分类号 | H04L29/12(2006.01)I |
| 代理机构 | 上海专利商标事务所有限公司 31100 | 代理人 | 陈亮 |
| 主权项 | 一种通过路由器或交换机实现可信网络连接的方法,实现路由器或交换机的网络设备之间和网络终端之间的可信网络连接,在路由器或交换机的网络设备之间以报头中的源IP地址或目的IP地址、源硬件地址或目的硬件地址、指定或随机定义的数字和字符的全部或部分进行平行或叠加作为标识互相签名认证,在联网计算机之间以报头中的源IP地址或目的IP地址、源硬件地址或目的硬件地址、指定或随机定义的数字和字符的全部或部分进行平行或叠加作为标识互相签名认证,该方法包括:源计算机和目的计算机、路由器或交换机都对数字和字符定义的路由器或交换机硬件地址、IP地址、指定或随机定义的数字和字符、计算机的硬件地址、IP地址、指定或随机定义的数字和字符的全部或部分提供准确的时间证明,并验证其时间证明是否被修改过,并结合硬件地址、IP地址、指定或随机产生的数字和字符数据的全部或部份进行数字签名并生成时间证明、生存期证明签名和硬件地址、IP地址、指定或随机产生的数字和字符的全部或部分数据进行平行或叠加混合签名,将其连同数据一起交给下一跳路由器或交换机;路由器或交换机对联网计算机的时间证明、生存期证明签名和硬件地址、IP地址、指定或随机产生的数字和字符的数据签名进行检查,如果验证通过则接收并转发数据,否则丢弃或数据湮灭;路由器或交换机对硬件地址、IP地址、指定或随机定义的数字和字符、联网计算机的源硬件地址、IP地址、指定或随机定义的数字和字符的全部或部分准确的时间、生存期证明和加密或非加密的校验和、CPK校验认证数据、CA认证的校验认证数据进行数字签名,生成时间证明、有效期的证明签名和校验和、CPK签名、CA认证进行平行或叠加混合签名,并连同转发数据一起交给下一跳路由器;路由器或交换机验证上一跳路由器或交换机的相关签名,其中签名验证是逐级展开的,每一层都对上层进行签名验证,同时路由器或交换机需要对本层相应对象进行签名,也通过不同IP版本的协议隧道路由或不同IP版本的协议转换软件或计算机将签名验证送至目的路由器或交换机,来保证自己的真实性,如果验证通过,则将转发数据交给下一跳路由器或交换机直至目的路由器或交换机;在转发数据到达目的路由器或交换机后,将进行签名验证工作,目的路由器或交换机将经过验证通过的进行平行或叠加混合签名的数据解密成符合设计的接收数据后,转发数据包至目的计算机。 | ||
| 地址 | 200050 上海市武夷路461弄1号楼403室 | ||