專利名稱:保護(hù)對(duì)經(jīng)由實(shí)現(xiàn)本方法的設(shè)備可訪問的數(shù)據(jù)或服務(wù)的訪問的方法和相應(yīng)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體涉及數(shù)字?jǐn)?shù)據(jù)通信,并更具體地涉及一種保護(hù)經(jīng)由網(wǎng)絡(luò)中連接的設(shè)備對(duì)數(shù)據(jù)和服務(wù)的訪問的方法和裝置。
背景技術(shù):
本地網(wǎng)絡(luò)一般都是圍繞稱為網(wǎng)關(guān)的中央設(shè)備組織的。網(wǎng)關(guān)則是本地網(wǎng)絡(luò)或LAN(局域網(wǎng))與外部網(wǎng)絡(luò)或WAN (廣域網(wǎng))中的設(shè)備之間的用于通信的必經(jīng)通道?,F(xiàn)有技術(shù)表明,網(wǎng)關(guān),特別是在家庭網(wǎng)絡(luò)環(huán)境中,發(fā)揮了越發(fā)重要的作用。借助于家庭網(wǎng)絡(luò)中的廣泛部署的網(wǎng)關(guān)和多個(gè)連接網(wǎng)絡(luò)的設(shè)備,網(wǎng)關(guān)正變?yōu)榱詈诳透信d趣的目標(biāo)。家庭網(wǎng)絡(luò)通常包括一個(gè)或多個(gè)經(jīng)由USB(通用串行總線)、以太網(wǎng)或WiFi連接互連到網(wǎng)關(guān)的下列設(shè)備個(gè)人計(jì)算機(jī)(PC)、無線話機(jī)、IPTV (網(wǎng)絡(luò)電視)機(jī)頂盒(IPTV STB)、DLNA (數(shù)字生活網(wǎng)絡(luò)聯(lián)盟)電視機(jī)和大容 量存儲(chǔ)設(shè)備。為了保護(hù)家庭網(wǎng)絡(luò)設(shè)備免受攻擊,網(wǎng)關(guān)的安全措施通常降低到在PC上存在單獨(dú)的殺毒和/或防火墻功能。家庭網(wǎng)絡(luò)的安全進(jìn)一步受益于網(wǎng)關(guān)中的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)特性,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)特性是一種允許將網(wǎng)絡(luò)地址分配到家庭網(wǎng)絡(luò)中的設(shè)備的特性,這些地址是不為家庭網(wǎng)絡(luò)之外所知的。NAT特性的使用導(dǎo)致對(duì)外部網(wǎng)絡(luò)上的設(shè)備隱藏本地網(wǎng)絡(luò)中的設(shè)備的獨(dú)立地址。因此,這意味著對(duì)網(wǎng)關(guān)自身和尚未裝備殺毒和/或防火墻軟件的其他相連的設(shè)備僅提供有限保護(hù)。另外,出于家庭網(wǎng)絡(luò)管理目的而訪問網(wǎng)關(guān)是在該網(wǎng)關(guān)中經(jīng)由運(yùn)行在網(wǎng)絡(luò)瀏覽器應(yīng)用上的基于網(wǎng)絡(luò)的應(yīng)用完成的,并且熟知的是,網(wǎng)絡(luò)服務(wù)器對(duì)于安全性缺陷是易受攻擊的。然后,網(wǎng)絡(luò)瀏覽器中的易受攻擊性可以讓黑客訪問連接到家庭網(wǎng)絡(luò)中的不安全的設(shè)備,并且甚至可以讓黑客訪問家庭網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的設(shè)備之間的全部通信,因?yàn)榧彝ゾW(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的全部通信(反之亦然)都通過網(wǎng)關(guān)。希望配置它們的網(wǎng)關(guān)(例如,改變或輸入無線訪問(例如,WPA (Wi-Fi保護(hù)訪問))的安全密匙,或配置NAT端口映射,或配置在連接到網(wǎng)關(guān)的設(shè)備之間共享的本地文件)的用戶通常必須登錄網(wǎng)關(guān)的網(wǎng)絡(luò)應(yīng)用。這樣的網(wǎng)絡(luò)應(yīng)用經(jīng)由例如HTTPS協(xié)議(位于應(yīng)用層的因特網(wǎng)協(xié)議集的一種協(xié)議)的HTTP是可訪問的(因特網(wǎng)協(xié)議包括鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層;鏈路層協(xié)議的示例是ARP、DSL ;網(wǎng)絡(luò)層協(xié)議的示例是IP、IGMP ;傳輸層協(xié)議的示例是TCP、UDP ;應(yīng)用層協(xié)議的示例是所提及的HTTP/HTTP,但也包括DHCP、RTP、SOAP、SSH)。一旦成功驗(yàn)證,它們將被指定由會(huì)話識(shí)別符或會(huì)話ID識(shí)別的會(huì)話。然后,使用會(huì)話識(shí)別符的全部請(qǐng)求將被認(rèn)為“安全”并且由網(wǎng)關(guān)上的網(wǎng)絡(luò)服務(wù)器處理,從而訪問權(quán)限于與用戶關(guān)聯(lián)的權(quán)利。因此惡意黑客將例如通過監(jiān)視網(wǎng)關(guān)和連接到該網(wǎng)關(guān)的設(shè)備之間的通信,或通過訪問網(wǎng)絡(luò)瀏覽器所存儲(chǔ)的信息并提取任何存儲(chǔ)的會(huì)話ID,試圖獲得這樣的會(huì)話ID,并隨后使用所獲得的會(huì)話ID以訪問設(shè)備、數(shù)據(jù)和/或服務(wù)。此技術(shù)就是熟知的會(huì)話竊取(session-stealing)。使用各種機(jī)制以防止會(huì)話竊取。例如,隨機(jī)生成會(huì)話ID以使得它們不可預(yù)測(cè);網(wǎng)絡(luò)瀏覽器拒絕訪問cookies,其中根據(jù)在獲得該會(huì)話ID之外的另一網(wǎng)站的環(huán)境中運(yùn)行的代碼存儲(chǔ)該會(huì)話ID,在空閑超時(shí)之后刪除會(huì)話ID。不過,總是存在有效會(huì)話ID被竊取的可能性。在此情況下,具有限制會(huì)話ID的有用性的額外保護(hù)機(jī)制是有用的。熟知的保護(hù)機(jī)制是將會(huì)話鎖定到初始請(qǐng)求的來源的IP地址。實(shí)際上,例如對(duì)于經(jīng)由代理服務(wù)器農(nóng)場(chǎng)、裝載平衡器或NAT訪問網(wǎng)絡(luò)服務(wù)器的用戶,這會(huì)造成會(huì)話丟失。對(duì)于這樣的用戶,他們的IP地址可以合法地在多個(gè)請(qǐng)求之間更改。因此,存在以更好的方式保護(hù)網(wǎng)絡(luò)設(shè)備免受目的在于獲得網(wǎng)關(guān)控制或連接到網(wǎng)關(guān)的一個(gè)或多個(gè)設(shè)備的控制的惡意攻擊的需求,該方式?jīng)]有現(xiàn)有技術(shù)的缺點(diǎn)。
發(fā)明內(nèi)容
本發(fā)明目的在于緩解現(xiàn)有技術(shù)的某些不便。
更準(zhǔn)確地,本發(fā)明允許保護(hù)對(duì)數(shù)據(jù)或一個(gè)或多個(gè)服務(wù)(以下為“數(shù)據(jù)/服務(wù)”或“數(shù)據(jù)/多個(gè)服務(wù)”)的訪問,所述數(shù)據(jù)或一個(gè)或多個(gè)服務(wù)經(jīng)由實(shí)現(xiàn)一方法的設(shè)備(諸如網(wǎng)關(guān)設(shè)備)對(duì)于設(shè)備和應(yīng)用是可訪問的。為了保護(hù)對(duì)數(shù)據(jù)或一個(gè)或多個(gè)服務(wù)的訪問,本發(fā)明提出保護(hù)對(duì)數(shù)據(jù)和服務(wù)的訪問的方法,所述數(shù)據(jù)和服務(wù)經(jīng)由實(shí)現(xiàn)該方法的網(wǎng)絡(luò)設(shè)備來訪問,該方法包括下列步驟接收訪問數(shù)據(jù)或至少一個(gè)服務(wù)的請(qǐng)求,所述請(qǐng)求包括識(shí)別所述請(qǐng)求的源的源識(shí)別符;確定所述請(qǐng)求是初始請(qǐng)求還是后續(xù)請(qǐng)求,所述確定包括,當(dāng)所述請(qǐng)求是后續(xù)請(qǐng)求時(shí),檢驗(yàn)會(huì)話識(shí)別符的請(qǐng)求的存在,所述會(huì)話識(shí)別符識(shí)別用于訪問數(shù)據(jù)或服務(wù)的會(huì)話;如果所述請(qǐng)求是初始請(qǐng)求,則確定所述源識(shí)別符的源識(shí)別符組,并且如果可以確定所述源識(shí)別符組,則生成用以后續(xù)訪問來自具有處于所確定的源識(shí)別符組中的源識(shí)別符的源的數(shù)據(jù)或至少一個(gè)服務(wù)的會(huì)話識(shí)別符,處理所述初始請(qǐng)求,并且將所生成的會(huì)話識(shí)別符發(fā)送到所述初始請(qǐng)求的源;如果所述請(qǐng)求是后續(xù)請(qǐng)求,則確定所述源識(shí)別符的源識(shí)別符組,并且如果可以確定所述源識(shí)別符組,則比較包括在所述后續(xù)請(qǐng)求中的所述會(huì)話識(shí)別符與用以訪問來自具有處于所確定的源識(shí)別符組中的源識(shí)別符的源的數(shù)據(jù)或至少一個(gè)服務(wù)的所述會(huì)話識(shí)別符,并且如果所述源識(shí)別符對(duì)應(yīng),則處理所述后續(xù)請(qǐng)求。根據(jù)本發(fā)明的變式實(shí)施例,識(shí)別所述請(qǐng)求的源的所述信息識(shí)別發(fā)送所述請(qǐng)求的源。根據(jù)本發(fā)明的變式實(shí)施例,識(shí)別所述請(qǐng)求的源的所述信息識(shí)別接收所述請(qǐng)求的源。根據(jù)本發(fā)明的變式實(shí)施例,識(shí)別所述請(qǐng)求的源的所述信息指定多個(gè)物理連接器。根據(jù)本發(fā)明的變式實(shí)施例,,識(shí)別所述請(qǐng)求的源的所述信息指定多個(gè)網(wǎng)絡(luò)接口。根據(jù)本發(fā)明的變式實(shí)施例,識(shí)別所述請(qǐng)求的源的所述信息指定網(wǎng)絡(luò)接口地址。根據(jù)本發(fā)明的變式實(shí)施例,識(shí)別所述請(qǐng)求的源的所述信息指定軟件應(yīng)用的識(shí)別符。根據(jù)本發(fā)明的變式實(shí)施例,所述方法作用于因特網(wǎng)協(xié)議集的應(yīng)用層。根據(jù)本發(fā)明的變式實(shí)施例,所述方法在網(wǎng)絡(luò)應(yīng)用中實(shí)現(xiàn)。本發(fā)明也包括一種用于保護(hù)對(duì)數(shù)據(jù)和服務(wù)的訪問的網(wǎng)絡(luò)設(shè)備,所述數(shù)據(jù)和服務(wù)經(jīng)由該設(shè)備訪問,所述設(shè)備包括用于接收訪問數(shù)據(jù)或至少一個(gè)服務(wù)的請(qǐng)求的網(wǎng)絡(luò)接口,所述請(qǐng)求包括識(shí)別所述請(qǐng)求的源的源識(shí)別符、和識(shí)別用于訪問數(shù)據(jù)或服務(wù)的會(huì)話的可選會(huì)話識(shí)別符;用于確定所述請(qǐng)求是初始請(qǐng)求還是后續(xù)請(qǐng)求的部件,所述確定包括,當(dāng)所述請(qǐng)求是后續(xù)請(qǐng)求時(shí),檢驗(yàn)會(huì)話識(shí)別符的請(qǐng)求的存在,所述會(huì)話識(shí)別符識(shí)別用于訪問數(shù)據(jù)或服務(wù)的會(huì)話;如果所述請(qǐng)求是初始請(qǐng)求,則確定所述源識(shí)別符的源識(shí)別符組,并且如果可以確定所述源識(shí)別符組,則生成用以訪問來自具有處于所確定的源識(shí)別符組中的源識(shí)別符的源的數(shù)據(jù)或至少一個(gè)服務(wù)的會(huì)話識(shí)別符,處理所述初始請(qǐng)求,并且所述網(wǎng)絡(luò)接口將所生成的會(huì)話識(shí)別符發(fā)送到所述初始請(qǐng)求的源;如果所述請(qǐng)求是后續(xù)請(qǐng)求,則確定所述源識(shí)別符的源識(shí)別符組,并且如果可以確定所述源識(shí)別符組,則比較所述會(huì)話識(shí)別符與用以訪問來自具有處于所確定的源識(shí)別符組中的源識(shí)別符的源的數(shù)據(jù)或至少一個(gè)服務(wù)的所述會(huì)話識(shí)別符,并且如果所述源識(shí)別符對(duì)應(yīng),則處理所述后續(xù)請(qǐng)求。
本發(fā)明的更多優(yōu)點(diǎn)將通過本發(fā)明的特定、非限制性實(shí)施例的描述來呈現(xiàn)。將參考下列附圖描述實(shí)施例圖I示出了借助于網(wǎng)絡(luò)互連的設(shè)備圖示的本發(fā)明的特定實(shí)施例。圖2示出了根據(jù)本發(fā)明特定實(shí)施例的圖I的網(wǎng)關(guān)131。圖3示出了根據(jù)本發(fā)明特定實(shí)施例的、圖示接收數(shù)據(jù)/服務(wù)請(qǐng)求時(shí)的事件的序列的序列圖。圖4示出了實(shí)現(xiàn)本發(fā)明方法的特定實(shí)施例的例如通過圖I的網(wǎng)關(guān)實(shí)現(xiàn)的算法。
具體實(shí)施例方式圖I示出了互連不同網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備中的本發(fā)明的特定實(shí)施例。用戶前提(premise) 130包括網(wǎng)關(guān)131和將該網(wǎng)關(guān)131與多媒體存儲(chǔ)設(shè)備141互連的局域網(wǎng)136、DLNA電視機(jī)139、IPTV機(jī)頂盒143、便攜式PC142和電話機(jī)133。設(shè)備133、139、141和143分別經(jīng)由有線連接135、140、137和146連接到局域網(wǎng)136,而便攜式PC 142通過132和138經(jīng)由無線連接而連接到網(wǎng)關(guān)。網(wǎng)關(guān)131經(jīng)由連接121進(jìn)一步連接到外部網(wǎng)絡(luò)120。外部網(wǎng)絡(luò)120連接到兩個(gè)局域網(wǎng)106和116。三個(gè)設(shè)備100、101和102連接到局域網(wǎng)106,而兩個(gè)設(shè)備110和111連接到局域網(wǎng)116。全部這些設(shè)備100-102、110-111、131、133、139、141-143都可能是請(qǐng)求訪問數(shù)據(jù)或服務(wù)的源。圖2示出了根據(jù)本發(fā)明的特定實(shí)施例的圖I的網(wǎng)關(guān)131。該網(wǎng)關(guān)131包括下列元件-中央處理單元200或CPU;-DSL (數(shù)字用戶路)接口 206 ;-四種以太網(wǎng)型的網(wǎng)絡(luò)接口201-202和204-205 ;-無線LAN型的第五網(wǎng)絡(luò)接口203 ;-存儲(chǔ)器205,包括源識(shí)別符組/源ID倉庫2050、會(huì)話ID/源識(shí)別符組倉庫2051和多用途存儲(chǔ)器區(qū)2052 ;和-可選定時(shí)單元207。CPU 200、網(wǎng)絡(luò)接口 201-205、存儲(chǔ)器205、DSL接口 206和定時(shí)單元207通過數(shù)字?jǐn)?shù)據(jù)通信總線210互連。設(shè)備131具有下列輸入/輸出輸入/輸出137連接到網(wǎng)絡(luò)接口201,輸入/輸出140連接到網(wǎng)絡(luò)接口 202,天線132連接到網(wǎng)絡(luò)接口 203,輸入/輸出135連接到網(wǎng)絡(luò)接口 204,輸入/輸出150連接到網(wǎng)絡(luò)接口 205,輸入/輸出121連接到DSL接Π 206。在存儲(chǔ)器205內(nèi),存儲(chǔ)器區(qū)2050用以存儲(chǔ)并取回源識(shí)別符組-源ID關(guān)系,存儲(chǔ)器區(qū)2051用以存儲(chǔ)和取回會(huì)話ID-源識(shí)別符組關(guān)系。此信息以諸如之后描述的表格I和2的表格形式存儲(chǔ)。根據(jù)變式實(shí)施例,此信息存儲(chǔ)在數(shù)據(jù)庫中??蛇x定時(shí)單元207用以對(duì)會(huì)話ID增加超時(shí)延遲并且能夠以各種方式用來進(jìn)一步增加會(huì)話ID的安全性。例如,如果所生成的會(huì)話ID —定時(shí)間未使用,例如在一定量的時(shí)間內(nèi)沒有數(shù)據(jù)/服務(wù)的請(qǐng)求,則自動(dòng)撤銷會(huì)話ID。使用所撤銷的會(huì)話ID的任何新請(qǐng)求隨后被拒絕。例如,在一定超時(shí)延遲之后會(huì)話ID自動(dòng)撤銷,無論是否使用會(huì)話ID。中央處理單元200能夠處理實(shí)現(xiàn)本發(fā)明的步驟的算法。該算法存儲(chǔ)在多用途存儲(chǔ)器區(qū)2052中。多用途存儲(chǔ)器區(qū)2052進(jìn)一步用于存儲(chǔ)執(zhí)行該算法所需的變量。 處理單元200能夠確定并在存儲(chǔ)器205中存儲(chǔ)要用于一個(gè)或多個(gè)請(qǐng)求的初始識(shí)別符(會(huì)話識(shí)別符)。該處理單元200進(jìn)一步能夠處理訪問數(shù)據(jù)或訪問服務(wù)的請(qǐng)求。該處理單元200進(jìn)一步能夠根據(jù)存儲(chǔ)在存儲(chǔ)器205中的信息確定會(huì)話識(shí)別符的源識(shí)別符組。如果之前的確定表明存在會(huì)話識(shí)別符的至少一個(gè)源識(shí)別符組以及如果確定如同在請(qǐng)求中提供的源識(shí)別符包括在會(huì)話識(shí)別符的至少一個(gè)源識(shí)別符組中,則該處理單元200進(jìn)一步能夠處理訪問數(shù)據(jù)或服務(wù)的請(qǐng)求??梢愿鶕?jù)諸如基于隨機(jī)數(shù)生成的已知方法來生成會(huì)話ID。圖3示出了根據(jù)本發(fā)明特定實(shí)施例的、圖示接收數(shù)據(jù)/服務(wù)請(qǐng)求時(shí)的事件的序列的序列圖。該示了本發(fā)明的一些方面,并特別示出了根據(jù)本發(fā)明特定實(shí)施例的、在簡單場(chǎng)景下局域網(wǎng)中的設(shè)備、實(shí)現(xiàn)本發(fā)明的網(wǎng)關(guān)和外部網(wǎng)絡(luò)中的設(shè)備之間的交換的協(xié)議。借助四條垂直時(shí)間線來圖示序列圖,該垂直時(shí)間線代表到PC 142、網(wǎng)關(guān)131和位于LAN2116中的設(shè)備111的不同網(wǎng)絡(luò)接口的兩種連接。序列圖開始于PC 142從網(wǎng)絡(luò)接口 “NI3”經(jīng)由連接132/138發(fā)送數(shù)據(jù)/服務(wù)“a”的請(qǐng)求300到網(wǎng)關(guān)131?!癗I3”代表允許識(shí)別請(qǐng)求300源自的源的信息。根據(jù)本發(fā)明的特定實(shí)施例,此源ID是發(fā)出請(qǐng)求的源的網(wǎng)絡(luò)接口(即,在網(wǎng)關(guān)131的接口 3的情況下)的IP地址,并且源ID因此識(shí)別接收請(qǐng)求的源。根據(jù)本發(fā)明的變式實(shí)施例,源ID是PC 142的網(wǎng)絡(luò)接口 138的IP地址,并且該源ID因此識(shí)別傳輸請(qǐng)求的源。根據(jù)本發(fā)明的變式實(shí)施例,源ID指定從中發(fā)送請(qǐng)求或者從中接收請(qǐng)求的網(wǎng)絡(luò)接口板上的特定物理連接器。根據(jù)再一變式,源ID是前述的任意組合,例如,從中發(fā)送請(qǐng)求的源的網(wǎng)絡(luò)接口的IP地址與其上接收請(qǐng)求的網(wǎng)絡(luò)接口的IP地址的組合。通過請(qǐng)求與用于發(fā)送該請(qǐng)求的網(wǎng)絡(luò)鏈接之間的緊密耦接,此變式具有對(duì)訪問數(shù)據(jù)/服務(wù)增加進(jìn)一步的安全性的優(yōu)點(diǎn),這在需要限制性訪問的情況下是有用的。這些單獨(dú)的變式具有允許較寬松耦接的優(yōu)點(diǎn),該較寬松耦接在允許更大機(jī)動(dòng)性的情形下可能是必需的。根據(jù)本發(fā)明的變式實(shí)施例,在此應(yīng)用運(yùn)行于設(shè)備PC 142 (請(qǐng)求的來源)上的情況下,此源ID是應(yīng)用識(shí)別符。作為示例,該應(yīng)用是VPN (虛擬專用網(wǎng))應(yīng)用,經(jīng)由隧道技術(shù)(tunneling)提供對(duì)公司網(wǎng)絡(luò)的安全訪問。在接收請(qǐng)求300時(shí),網(wǎng)關(guān)131生成會(huì)話識(shí)別符“z”,用箭頭301圖示。這樣的會(huì)話ID僅在接收一系列后續(xù)請(qǐng)求的數(shù)據(jù)/服務(wù)的初始請(qǐng)求時(shí)生成。根據(jù)本發(fā)明的特定實(shí)施例,基于在網(wǎng)關(guān)131的存儲(chǔ)器中存儲(chǔ)的信息中檢查是否已經(jīng)對(duì)源ID生成會(huì)話ID來完成是否接收到初始或后續(xù)請(qǐng)求的確定。如果沒有出現(xiàn)源ID的會(huì)話ID,則請(qǐng)求是初始請(qǐng)求,否則該請(qǐng)求就是后續(xù)請(qǐng)求。根據(jù)本發(fā)明的變式實(shí)施例,確定是否接收到初始或后續(xù)請(qǐng)求是基于該請(qǐng)求中會(huì)話ID的存在;如果該請(qǐng)求不包括會(huì)話ID,則它是初始請(qǐng)求,否則它是后續(xù)請(qǐng)求。此變式具有實(shí)現(xiàn)簡單的優(yōu)點(diǎn),但是比較于上述特定實(shí)施例,具有更易于生成會(huì)話ID的缺點(diǎn),而黑客可以利用此缺點(diǎn)獲得關(guān)于所生成ID的類型的信息,并確定有效會(huì)話ID像什么。通過所描述的特定實(shí)施例,黑客更難以獲得新會(huì)話ID,因?yàn)樗谝淮螐南嗤?ID)請(qǐng)求數(shù)據(jù)或服務(wù)時(shí)僅可以獲得新會(huì)話ID。在圖示的示例中,箭頭301表明,接收到的請(qǐng)求是初始請(qǐng)求,在接收請(qǐng)求時(shí)生成會(huì)話ID。根據(jù)本發(fā)明的特定實(shí)施例,此會(huì)話ID隨后被存儲(chǔ)并被通信到請(qǐng)求者,用箭頭302圖示。根據(jù)本發(fā)明的變式實(shí)施例,該會(huì)話ID包括在對(duì)請(qǐng)求300的響應(yīng)305中而不是直接通信到請(qǐng)求者,該請(qǐng)求300包括關(guān)于所請(qǐng)求的數(shù)據(jù)/服務(wù)的信息。請(qǐng)求者(此處是PC 142)存儲(chǔ)會(huì)話ID并將其用于后續(xù)請(qǐng)求直到撤銷會(huì)話ID。網(wǎng)關(guān)131基于在存儲(chǔ)器區(qū)2050中存儲(chǔ)的信息,對(duì)源ID確定一個(gè)或多個(gè)源識(shí)別符組。根據(jù)本發(fā)明的特定實(shí)施例,通過例如網(wǎng)絡(luò)管理員的用戶手動(dòng)輸入存儲(chǔ)器區(qū)2050中的 源識(shí)別符組/源ID信息。根據(jù)本發(fā)明的變式實(shí)施例,例如基于網(wǎng)關(guān)131知曉的網(wǎng)絡(luò)拓?fù)湫畔?,或基于關(guān)于網(wǎng)關(guān)131知曉的應(yīng)用的信息,自動(dòng)生成存儲(chǔ)器區(qū)2050中的源識(shí)別符組/源ID信息。根據(jù)本發(fā)明的再一變式實(shí)施例,部分地自動(dòng)生成、部分地由用戶手動(dòng)輸入存儲(chǔ)器區(qū)2050中的源識(shí)別符組/源ID信息。后一種變式特別令人有興趣,允許緩減用戶手動(dòng)輸入大量數(shù)據(jù)的任務(wù),同時(shí)允許他修改或適配自動(dòng)生成的信息。在生成新會(huì)話ID時(shí),網(wǎng)關(guān)131將會(huì)話ID (這里z)關(guān)聯(lián)到對(duì)源ID (這里“NI3”)有效的源識(shí)別符組(例如LAN3)并存儲(chǔ)此信息(即,所生成的會(huì)話ID及其對(duì)源識(shí)別符組的關(guān)聯(lián))到存儲(chǔ)器區(qū)2051。在給定時(shí)刻,圖3中圖示的情形表明惡意黑客對(duì)局域網(wǎng)136的入侵303,準(zhǔn)許該黑客訪問由網(wǎng)關(guān)131生成的會(huì)話ID。接著,PC 142在不同于用于初始請(qǐng)求300 (“NI3”)的網(wǎng)絡(luò)接口(“NI5”)上發(fā)布數(shù)據(jù)/服務(wù)(b)的后續(xù)請(qǐng)求306。該后續(xù)請(qǐng)求306包括關(guān)于所請(qǐng)求的數(shù)據(jù)/服務(wù)(b)的信息、作為該請(qǐng)求(“NI5”)來源的源識(shí)別的信息和為了后續(xù)請(qǐng)求從網(wǎng)關(guān)131接收的會(huì)話ID (這里z)。在接收后續(xù)請(qǐng)求306時(shí),網(wǎng)關(guān)131借助于在存儲(chǔ)器區(qū)2050(源ID組/源ID,參見表格I)中存儲(chǔ)的信息來確定(307)源ID所屬的源識(shí)別符組(LAN3)。根據(jù)本發(fā)明的特定實(shí)施例,如果沒有找到源ID (310)的源識(shí)別符組,則網(wǎng)關(guān)131發(fā)送警告消息(311)到發(fā)布該請(qǐng)求的源。根據(jù)變式實(shí)施例,網(wǎng)關(guān)131將該請(qǐng)求者的源ID放到黑名單上,每當(dāng)接收到數(shù)據(jù)/服務(wù)的請(qǐng)求時(shí),檢查該黑名單。如果源ID在黑名單上,則可以拒絕該請(qǐng)求而不用進(jìn)一步處理。根據(jù)再一變式實(shí)施例,會(huì)話ID被認(rèn)為受到破壞并被撤銷,在此情況必須請(qǐng)求新會(huì)話ID。這些實(shí)施例的不同組合是可能的并增加了會(huì)話安全性。但是,如果找到源識(shí)別符組(307),則網(wǎng)關(guān)131借助于在存儲(chǔ)器區(qū)2051(會(huì)話ID/源ID組,參見表格2)中存儲(chǔ)的信息來確定請(qǐng)求306提供的會(huì)話ID (z)對(duì)所找到的源識(shí)別符組(LAN3)之一是否有效。如果沒找到有效的源識(shí)別符組,則可以根據(jù)本發(fā)明不同的變式實(shí)施例應(yīng)用上述同樣的功能,即,警告消息、黑名單或兩者。根據(jù)圖示的示例,驗(yàn)證是OK并且數(shù)據(jù)/服務(wù)(b)被呈現(xiàn)給請(qǐng)求設(shè)備142,這用箭頭308圖示。但是,當(dāng)黑客嘗試通過發(fā)送包括竊取的會(huì)話ID (z)的數(shù)據(jù)/服務(wù)(c)的請(qǐng)求309來使用竊取的會(huì)話ID (z)時(shí),確定會(huì)話識(shí)別符(z)的源識(shí)別符組的步驟(緊跟確定源ID (η)是否在確定的源識(shí)別符組(LAN3)中)將表明(310)該源ID(η)不在會(huì)話ID (ζ)的任何源識(shí)別符組中,因此該請(qǐng)求被拒絕,并且因此避免了會(huì)話ID的誤用。根據(jù)特殊實(shí)施例,至少加密存儲(chǔ)器區(qū)2050和2051中的信息,從而避免黑客獲得關(guān)于會(huì)話ID如何關(guān)聯(lián)到源識(shí)別符組以及針對(duì)這些源識(shí)別符組存在什么有效IP地址的信息,黑客可以使用該信息通過地址欺騙來獲取對(duì)數(shù)據(jù)/服務(wù)的訪問。該示了來自本地網(wǎng)絡(luò)外部的入侵。當(dāng)然,入侵也可以來自該網(wǎng)絡(luò)內(nèi)部,例如,黑客可以經(jīng)由對(duì)網(wǎng)關(guān)131的無線或有線連接來獲得對(duì)本地網(wǎng)絡(luò)的訪問。經(jīng)由網(wǎng)關(guān)來訪問對(duì)其請(qǐng)求訪問的數(shù)據(jù)/服務(wù)。這意味著網(wǎng)關(guān)可以直接提供數(shù)據(jù)/服務(wù),或者意味著網(wǎng)關(guān)僅是中間設(shè)備,數(shù)據(jù)/服務(wù)是通過經(jīng)由網(wǎng)關(guān)連接的另一源提供的。 根據(jù)本發(fā)明,如在所討論的圖中所圖示的,可允許的后續(xù)訪問不需要來源于和發(fā)出初始請(qǐng)求的源相同的源。關(guān)于這點(diǎn),本發(fā)明允許極大的靈活性,因而例如允許在請(qǐng)求之間改變?cè)碔D,只要該請(qǐng)求的源ID屬于為所使用的會(huì)話ID而定義的(多個(gè))源識(shí)別符組之一。網(wǎng)關(guān)存儲(chǔ)源識(shí)別符組與源ID之間以及會(huì)話ID與源識(shí)別符組之間的關(guān)聯(lián)。根據(jù)所存儲(chǔ)的信息,如果確定對(duì)于請(qǐng)求中包括的會(huì)話ID存在一個(gè)或多個(gè)源識(shí)別符組,則檢驗(yàn)源ID是否屬于會(huì)話ID被分配的源ID的識(shí)別符組。如果是,則準(zhǔn)許對(duì)所請(qǐng)求的數(shù)據(jù)/服務(wù)的訪問;如果不是,則拒絕對(duì)所請(qǐng)求的數(shù)據(jù)/服務(wù)的訪問。對(duì)于網(wǎng)關(guān),這是使用額外安全性措施的機(jī)會(huì),就像將源ID置于黑名單、撤銷會(huì)話ID、警告網(wǎng)絡(luò)管理員一樣。根據(jù)特定實(shí)施例,這樣機(jī)制的實(shí)現(xiàn)使用網(wǎng)關(guān)設(shè)備中存儲(chǔ)的表格。下面給出這樣的實(shí)現(xiàn)的示例。
權(quán)利要求
1.一種保護(hù)對(duì)數(shù)據(jù)和服務(wù)的訪問的方法,所述數(shù)據(jù)和服務(wù)經(jīng)由實(shí)現(xiàn)所述方法的網(wǎng)絡(luò)設(shè)備來訪問,其特征在于,所述方法包括下列步驟 -接收訪問數(shù)據(jù)或至少一個(gè)服務(wù)的請(qǐng)求(300、306、401),所述請(qǐng)求(300、306、401)包括識(shí)別所述請(qǐng)求的源的源識(shí)別符; -確定(402)所述請(qǐng)求(300、306、401)是初始請(qǐng)求(300)還是后續(xù)請(qǐng)求(306),所述確定包括當(dāng)所述請(qǐng)求是后續(xù)請(qǐng)求時(shí),檢驗(yàn)會(huì)話識(shí)別符的請(qǐng)求的存在,所述會(huì)話識(shí)別符識(shí)別用于訪問數(shù)據(jù)或服務(wù)的會(huì)話; -如果所述請(qǐng)求是初始請(qǐng)求(300),則確定(404)所述源識(shí)別符的源識(shí)別符組,并且如果可以確定所述源識(shí)別符組,則生成(403)用以后續(xù)訪問來自具有處于所確定的源識(shí)別符組中的源識(shí)別符的源的數(shù)據(jù)或至少一個(gè)服務(wù)的會(huì)話識(shí)別符,處理(305、406)所述初始請(qǐng)求,并且將所生成的會(huì)話識(shí)別符發(fā)送(302)到所述初始請(qǐng)求的源; -如果所述請(qǐng)求是后續(xù)請(qǐng)求(306),則確定(307、409)所述源識(shí)別符的源識(shí)別符組,并且如果可以確定所述源識(shí)別符組,則比較包括在所述后續(xù)請(qǐng)求中的所述會(huì)話識(shí)別符與用以訪問來自具有處于所確定的源識(shí)別符組中的源識(shí)別符的源的數(shù)據(jù)或至少一個(gè)服務(wù)的所述會(huì)話識(shí)別符,并且如果所述源識(shí)別符對(duì)應(yīng),則處理(308、406)所述后續(xù)請(qǐng)求。
2.根據(jù)權(quán)利要求I的方法,其特征在于,識(shí)別所述請(qǐng)求(300、401)的源的所述信息識(shí)別發(fā)送所述請(qǐng)求(300、401)的源。
3.根據(jù)權(quán)利要求I或2的方法,其特征在于,識(shí)別所述請(qǐng)求(300、401)的源的所述信息識(shí)別接收所述請(qǐng)求(300、401)的源。
4.根據(jù)權(quán)利要求2到3的任一項(xiàng)的方法,其特征在于,識(shí)別所述請(qǐng)求的源的所述信息指定多個(gè)物理連接器。
5.根據(jù)權(quán)利要求2到4的任一項(xiàng)的方法,其特征在于,識(shí)別所述請(qǐng)求的源的所述信息指定多個(gè)網(wǎng)絡(luò)接口。
6.根據(jù)權(quán)利要求2到5的任一項(xiàng)的方法,其特征在于,識(shí)別所述請(qǐng)求的源的所述信息指定網(wǎng)絡(luò)接口地址。
7.根據(jù)權(quán)利要求2到6的任一項(xiàng)的方法,其特征在于,識(shí)別所述請(qǐng)求的源的所述信息指定軟件應(yīng)用的識(shí)別符。
8.根據(jù)權(quán)利要求I到7的任一項(xiàng)的方法,其特征在于,所述方法作用于因特網(wǎng)協(xié)議集的應(yīng)用層。
9.根據(jù)權(quán)利要求8的方法,其特征在于,所述方法在網(wǎng)絡(luò)應(yīng)用中實(shí)現(xiàn)。
10.一種用于保護(hù)對(duì)數(shù)據(jù)和服務(wù)的訪問的網(wǎng)絡(luò)設(shè)備,所述數(shù)據(jù)和服務(wù)經(jīng)由該設(shè)備訪問,其特征在于,所述設(shè)備包括下列部件 -用于接收訪問數(shù)據(jù)或至少一個(gè)服務(wù)的請(qǐng)求(300、401)的網(wǎng)絡(luò)接口(201-206),所述請(qǐng)求(300、401)包括識(shí)別所述請(qǐng)求的源的源識(shí)別符、和識(shí)別用于訪問數(shù)據(jù)或服務(wù)的會(huì)話的可選會(huì)話識(shí)別符; -用于確定(200、205)所述請(qǐng)求(300>306,401)是初始請(qǐng)求(300)還是后續(xù)請(qǐng)求(306)的部件,所述確定包括當(dāng)所述請(qǐng)求是后續(xù)請(qǐng)求時(shí),檢驗(yàn)會(huì)話識(shí)別符的請(qǐng)求的存在,所述會(huì)話識(shí)別符識(shí)別用于訪問數(shù)據(jù)或服務(wù)的會(huì)話; -如果所述請(qǐng)求是初始請(qǐng)求(300),則確定(200、205)所述源識(shí)別符的源識(shí)別符組,并且如果可以確定所述源識(shí)別符組,則生成(403)用以訪問來自具有處于所確定的源識(shí)別符組中的源識(shí)別符的源的數(shù)據(jù)或至少一個(gè)服務(wù)的會(huì)話識(shí)別符,處理(305、406)所述初始請(qǐng)求,并且所述網(wǎng)絡(luò)接口(201-206)將所生成的會(huì)話識(shí)別符發(fā)送(302)到所述初始請(qǐng)求的源;-如果所述請(qǐng)求是后續(xù)請(qǐng)求(306),則確定(200、205)所述源識(shí)別符的源識(shí)別符組,并 且如果可以確定所述源識(shí)別符組,則比較所述會(huì)話識(shí)別符與用以訪問來自具有處于所確定的源識(shí)別符組中的源識(shí)別符的源的數(shù)據(jù)或至少一個(gè)服務(wù)的所述會(huì)話識(shí)別符,并且如果所述源識(shí)別符對(duì)應(yīng),則處理(308、406)所述后續(xù)請(qǐng)求。
全文摘要
本發(fā)明允許保護(hù)對(duì)數(shù)據(jù)或服務(wù)的訪問,該數(shù)據(jù)或服務(wù)經(jīng)由實(shí)現(xiàn)一方法的設(shè)備對(duì)該設(shè)備和應(yīng)用可用。為了保護(hù)對(duì)經(jīng)由網(wǎng)絡(luò)設(shè)備訪問的數(shù)據(jù)或一個(gè)或多個(gè)服務(wù)的訪問,本發(fā)明提出一種避免對(duì)數(shù)據(jù)或一個(gè)或多個(gè)服務(wù)的未授權(quán)訪問的方法和實(shí)現(xiàn)該方法的設(shè)備。
文檔編號(hào)H04L29/06GK102823219SQ201180015324
公開日2012年12月12日 申請(qǐng)日期2011年3月21日 優(yōu)先權(quán)日2010年3月22日
發(fā)明者D.費(fèi)伊湯斯 申請(qǐng)人:湯姆森特許公司