根據send機制來保證用於處理數據分組的通信設備的安全的製作方法

2024-01-30 07:29:15

專利名稱：：根據send機制來保證用於處理數據分組的通信設備的安全的製作方法
技術領域：
：本發明涉及在通信設備中管理網際協議第6版(IPv6)數據分組，更特別地涉及一種用於保證通信設備安全的獲得安全的(security-procuring)方法。
背景技術：
：這些數據分組中的一些數據分組遵從由網際網路工程任務組(IETF)的請求註解(RFC)2461所定義的網絡發現協議(NDP)。該協議定義了「自配置」以及「網絡發現」(「ND」)分組，這使得IPv6通信網絡的設備可以確定其地址並使得可以知道在每條鏈路上連接的各個設備。例如當「相鄰」的設備變得不可訪問時，該協議還使得每項設備能夠得到關於所述鏈路上出現的變化的通知。該項設備可以是路由器(或節點)、主機(即終端)、網關，或具有用於傳輸和接收IPv6數據分組的裝置的任意其他設備。另外，通過該協議，通信網絡的運營商不再需要手動地配置其網絡的每項設備，原因是所述網絡通過交換根據NDP的自配置分組來進行自配置。但是，必須保證該數據分組的安全，特別是使得未經授權的主機不能連接到該通信網絡。使用NDP，主機可以通過使授予對網絡的訪問權限的接入設備相信該主機具有針對該網絡的MAC接口來強佔另一主機的身份。這種需要在無線通信網絡中是至關重要的，在無線通信網絡中，主機是移動的並且因此並不物理地和靜態地連接到接入設備。因此，提供具有安全機制的NDP是很重要的。題為「IPv6NeighborDiscovery(ND)TrustModelsandThreats」(IPv6鄰居發現(ND)信任模型與威脅)並且日期為2004年5月的RFC3756提出了關於使NDP安全的問題以及需求。該RFC強調現有技術是基於「IPsec」(網際協議安全)安全協議的，但該協議需要手動地確定加密密鑰。因為該手動步驟與NDP的自動特性相矛盾，所以必須有某種其它方法。該方法由題為「SecureNeighborDiscovery(SEND)」(安全鄰居發現(SEND))並且日期為2005年3月的IETFRFC3917所提出。從技術的觀點來看，SEND機制包括向NDP的每個消息添加包含安全信息的欄位，並且更準確地說是向這些消息的結尾添加包含安全信息的欄位。這些欄位部分地由該RFC確定為以下欄位「RSA(裡德-索羅蒙算法)籤名選項」、「CGA(周密碼生成的地址)選項」、「時戳選項」以及「隨機數(Nonce)選項」。但是，RFC3971的規範將後續添加新的「選項」欄位的可能性保持為開放，以便進一步豐富NDP機制以及SEND機制。目前，僅僅剛開始確定SEND機制的第一種實現方式。這些實現方式中的某一些實現方式基於Unix類型的作業系統。例如，該系統可以是例如Linux或BSD作業系統。依慣例，專用於通信設備的作業系統的內核包括一個或多個協議棧，這些協議棧以對應用來說透明的方式管理數據分組傳輸。因此，這些IPv6協議棧實現了管理NDP機制和SEND機制所必須的軟體機制。但是，此種方法存在嚴重缺陷。SEND機制可以升級，特別是通過添加新的「選項」欄位而升級。因此，每次升級需要對作業系統的內核加以修改。遺憾的是，修改操作內核(或作業系統內核)是一種複雜並且因此昂貴的操作。
發明內容因此，本發明的目的是通過提出一種以對作業系統來說透明的方式來實現SEND機制的通信設備而減少這些缺陷。本發明的解決方案作用於網絡與作業系統之間，並且因此是可升級的，並且最重要的是更為便宜。因此，本發明首先提供了一種用於保證通信設備的安全的獲得安全的方法，所述通信設備包括作業系統內核以及一組軟體應用，所述內核包括至少一個網際協議第6版(IPv6)協議棧，該協議棧使得可以將來自輸入埠的進入數據分組傳輸到應用並且將來自應用(其可以是不同的應用或相同的應用)的發出數據分組傳輸到輸出埠，所述協議棧包括一組接口，這些接口被組織為使得連接到它們的外部模塊能夠在與所述接口相關聯的已確定的點處訪問由這些協議棧所傳輸的所述數據分組。該方法的特徵在於輸入模塊和輸出模塊分別連接到所述內核的輸入接口和輸出接口，並且該方法的特徵在於所述模塊以對所述內核來說透明的方式根據安全鄰居發現(SEND)機制來選擇、分析並且在必要的情況下修改網絡發現協議(NDP)的數據分組。本發明還提供了通信設備，包括作業系統內核以及一組軟體應用，所述內核包括至少一個IPv6協議棧，該協議棧使得可以將來自輸入埠的進入數據分組傳輸到應用並且將來自應用(其可以是不同的應用或相同的應用)的發出數據分組傳輸到輸出埠，所述協議棧包括一組接口，這些接口被組織為使得連接到它們的外部模塊能夠在與所述接口相關聯的已確定的點處訪問由這些協議棧所傳輸的所述數據分組。該項通信設備的特徵在於輸入模塊和輸出模塊分別連接到輸入接口和輸出接口，並且該項通信設備適合於以對所述內核來說透明的方式根據SEND機制來選擇、分析並且在必要的情況下修改NDP的數據分組。在本發明的一個實施例中，作業系統是Linux系統，並且所述已確定的點是根據「NetFilter」(網絡過濾器)基礎設施來限定的。另外，在一個實施例中，外部模塊分析並修改NDP的所述數據分組的該「CGA」選項和「RSA籤名」選項，該修改可以包括添加所述選項。通過這種方式，SEND機制的升級可以通過改變輸入模塊和/或輸出模塊而進行。操作內核保持不變。因此，開發以及測試的成本顯著減少。作業系統內核的行為不受輸入模塊和/或輸出模塊的操作的影響。對於所述內核，所述操作是透明的。另外，變為可以對該機制進行升級，或可以僅僅直接在該項通信設備上以新的、高性能的或「經調試的」模塊替代上述模塊，而不必停止系統、進行修改、重新編譯內核以及重啟系統。根據以下參考附圖的描述，本發明及其優點將更清楚地顯現，其中圖1以圖解方式示出了本發明的通信設備；圖2示出了基於Linux作業系統的本發明的特定實施例；並且圖3示出了實現SEND機制的NDP分組。具體實施例方式如上文所述，通信設備可以包括作業系統內核或「操作內核」以及通過所述內核來操作的應用。該內核的作用是使得應用能夠獨立於硬體(通信設備製造商、模型等)和網絡基礎設施(網絡協議版本、協議類型等)而操作，並且該內核的作用是通過提供可由應用使用的一組「函數」而使得應用的開發更為方便。通過清楚地定義的接口，應用可訪問所述函數。因此，在圖1中，所示出的該通信設備包括內核K以及專用於應用AS的空間(「用戶空間」或「用戶平臺」(userland))。該操作內核K包括一個或多個協議棧PS，以及其他函數(未示出)。在本發明的上下文中，所述協議棧優選地遵從IPv6(網際協議第6版)協議。該協議棧PS首先連接到輸入埠PIN並且其次連接到輸出埠POUT。每一個數據分組都具有一個報頭，該報頭遵從IPv6協議並且其至少規定了目的地地址和源地址。進入數據分組是以該通信設備的IPv6地址作為目的地地址的數據分組。所述進入分組經由輸入埠PIN輸入並且由協議棧PS傳輸到應用A。應用A(同一應用或另一應用)同樣能夠傳輸數據分組。所述數據分組隨即包括該通信設備的IPv6地址作為源地址，並且該分組由該協議棧傳輸到輸出埠POUT。該協議棧PS還包括一組接口HPRE、HIN、HOUT、HPOST。將這些接口提供為使得外部模塊MIN、MOUT能夠連接到該協議棧以便使得能夠在與所述接口相關聯的已確定的點或「攔截點」(hook)處訪問由該協議棧所傳輸的數據分組。圖1僅示出了4個接口或「攔截點」HPRE、HIN、HOUT、HPOST，但該協議棧PS可以具有其他的接口或「攔截點」。所述接口依賴於操作內核K的類型。在使用Linux內核的實施例中，該「NetFilter」基礎設施對應於數據分組傳輸中的5個已確定的點而定義了5個接口。網站「www.netfilter.org」對「NetFilter」基礎設施進行了描述，並且所述5個點在圖2中示出。但是，本發明並不限於該實施例，因為本發明可以應用於同樣提供了與接口相關聯的已確定的點或「攔截點」的其它作業系統(BSD等)，使得外部模塊可以訪問這些數據分組。在基於Linux系統的該實施例的上下文中，每個到達輸入埠的數據分組首先要經受預處理或「PreP」。該預處理特別地包括檢查該數據分組是否確實完整，包含於該分組中的檢驗和是否確實對應於接收到的數據，等等。在該預處理之後，找到了第一個已確定的點「PRE」。數據分組隨即經過「路由」第二處理步驟，該步驟包括確定這些數據分組的目的地是否為該通信設備或者這些數據分組是否應該經由輸出埠被轉發。出於這種目的，該「路由」處理將包含於每個數據分組中的目的地地址與該通信設備的IPv6地址相比較。如果這些地址匹配，則該數據分組到達已確定為「IN」(進入)的點並隨即被傳輸到目的地應用。如果這些地址不匹配，則該分組到達已確定為「FWD」(轉發)的點，「FWD」表明了該數據分組應該被轉發到另一通信設備。可以隨即在該數據分組到達最後一個已確定的點或已確定為「POST」(後期)的點之前使其經受其它的處理或「後期處理」(PostP)，表明該分組已準備好經由輸出埠被傳輸。來自該通信設備的數據分組經由第一個已確定為「OUT」(發出)的點到達。這些分組經受「路由」處理以便確定其應該被傳輸到何處(或到哪個埠)，並且在這些分組到達已確定為「POST」的點之前，這些分組會經受任意其他的「PostP」處理。換言之，已確定的點對應於由協議棧PS對數據分組所進行的處理的「狀態」，即，對應於沿數據分組的路徑的標記。已確定的點PRE、IN、FWD、OUT以及POST與接口相關聯，即，具有用於使得在協議棧外部的應用(或模塊)能夠訪問這些數據分組的接入裝置。這些接口在NetFilter基礎設施特有的詞庫中稱為「攔截點」。下文中將連接到協議棧接口的應用稱為「模塊」，以便將其與其它應用相區別，其它應用諸如可以是數據分組流的終止點的那些應用(諸如圖1中的應用A)。外部模塊可以通過列表機制連接到協議棧的接口。每個接口對應於多個列表，每個列表具有確定的函數。特別地，根據所使用內核的類型(用於Linux的「損壞」與「過濾」列表，用於BSD的「轉向」，等等)，可以有多種實現方式。外部模塊可以登記到接口列表。當數據分組到達已確定的點中的一個點時，調用「NetFilter」基礎設施。所述基礎設施具有使得該登記到其列表中的外部模塊能夠訪問數據分組所必需的裝置。但是，申請人已經注意到，在NDP的上下文中，目的地地址屬於「多播」或「點到多點」類型，這些地址對同一鏈路上定製到該群組的多個通信設備中的所有通信設備(「所有節點」或「所有路由器」)進行尋址。因此，作為訂戶的每個通信設備是所有NDP分組的一個接收方。因此，通過「ip6tables」指令，可以基於通過「NetFilter」基礎設施或不通過「NetFilter」基礎設施的數據分組的類型來進行第一次選擇。在此，僅NDP的數據分組被發送給「NetFilter」基礎設施，其它數據分組繼續沿其常規路徑而行。另外，為了優化機制並且為了節約資源，僅關注已確定為「IN」和「OUT」的點以及它們的關聯接口是有利的。返回到圖1，兩個外部模塊MIN和MOUT由此連接到相應的多個接口或「攔截點」HIN和HOUT。為了使用這些接口，該外部模塊使用由庫「libipq」所提供的函數。對應於這些函數的代碼在圖1中用陰影部分表示。如上所述，這些函數使得當數據分組被提交到協議棧PS的接口HIN、HOUT時該模塊可以訪問這些數據分組。在本領域普通技術人員可獲得的各種文檔中對庫「libipq」的細節進行了說明，這些文檔包括作業系統的「手冊」(manpages)。在此不再探究所有的細節，「ipq_read」函數使得每個外部模塊能夠等待數據分組到達接口處。「ipq_get_packet」函數隨即使得可以讀取該數據分組，即，可以將其複製到為該外部模塊保留的存儲區域中。該外部模塊可以隨即讀取包含在該數據分組中的多項信息中的每一項信息。所述外部模塊可以隨即從其它數據分組中選擇NDP數據分組，並且所述外部模塊可以根據SEND機制來分析並在必要的情況下修改所選擇的數據分組。下文中將對這種選擇和分析進行更為詳細的描述，但在描述的這一階段，重要的是知道在必要的情況下是否可以修改數據分組已被複製到其中的存儲區域以便反映該處理。一旦已經完成這種操作，外部模塊就可以使用「ipq_set_verdict」函數。具有變量「ACCEPT」(接受)或「MODIFIED」(已修改)的這一函數使得可以分別在原封不動的狀態下或在已修改的狀態下通過所討論的接口HIN、HOUT將數據分組放回到協議棧PS中。該數據分組是在先前將該數據分組複製到其中的存儲區域的一個副本。通過這種方式，外部模塊可以以對所述協議棧來說透明的方式修改(「MODIFIED」變量)由協議棧PS所傳輸的數據分組。可以根據RFC2461所定義的NDP(鄰居發現協議)規範來選擇NDP分組。圖3以圖解方式示出了一種數據分組的格式。其包括如上所述的「IP報頭」。然後，其還具有第二個「報頭」ND，由NDP特有的欄位構成。該協議定義了5類數據分組「鄰居請求」、「鄰居通告」、「路由器請求」、「路由器通告」，以及「重定向」。可以通過分析所述「ND」報頭來選擇遵從該NDP的分組。如RFC2461的第4節所描述的，該ND報頭以定義數據分組類型的「類型」欄位開始，如下表所給出的遵從NDP的分組還具有由SEND機制所使用的用於插入選項的內容區域。SEND機制特別地對2個選項進行了規定RSA選項(或更準確地說是「RSA籤名」)，以及CGA選項。還提供了兩種其它的選項(在圖中未示出)「時戳」選項以及「隨機數」選項。CGA選項使得可以傳輸與用密碼生成的地址(CGA)技術有關的信息。在日期為2005年3月的RFC3972中描述了該技術，並且該技術包括使用基於至少網絡節點的公鑰的不可逆Hash函數來生成該網絡節點的該IPv6地址。「RSA」選項使得可以基於NDP數據分組的公鑰來附加籤名。這些選項並非彼此獨立。舉例而言，如果存在「CGA」選項和「RSA籤名」選項，則基於該「CGA」選項而確定的公鑰必須是在「RSA籤名」函數的「KeyHash」(密鑰散列)欄位中傳輸的公鑰。如果不是這種情況，則該分組必須被刪除。因此，當該項通信設備傳輸NDP分組或當該項通信設備接收NDP分組時，該項通信設備必須應用大量處理規則。於是，外部模塊MIN和MOUT的作用是分別應用用於第二種情況和第一種情況的所述處理規則。外部模塊MIN和MOUT可以以對操作內核來說完全透明的方式執行這種作用。因此，這首先包括分析NDP分組(主要是針對MIN)以便使這些分組遵從SEND機制，並且其次包括修改NDP數據分組(主要是針對MOUT)以便使這些分組遵從SEND機制。如果新版本的SEND機制處理代碼可用，則可以將所述代碼併入所述外部模塊中而不修改內核本身。相似地，如果SEND機制被升級並且定義了新的選項，則同樣可以將與這種升級有關的代碼併入該外部模塊中而不修改操作內核。在作業系統的內核不具有類似於「NetFilter」基礎設施(即，具有與已確定的點相關聯的接口的基礎設施)的基礎設施的情況下，仍可以在「降級的」模式下實現本發明。在數據分組進入協議棧之前以及當該數據分組從協議棧中離開時，可以查看這些數據分組。因此，軟體模塊MIN、MOUT可以連接到所述協議棧的輸入和輸出，以便在必要的情況下根據該SEND機制修改對應於NDP的分組。權利要求1.一種用於保證通信設備(E)安全的獲得安全的方法，所述通信設備包括作業系統內核(K)以及一組軟體應用(A)，所述內核包括至少一個IPv6協議棧(PS)，所述協議棧使得將來自輸入埠(PIN)的進入數據分組傳輸到應用(A)並且將來自應用(A)的發出數據分組傳輸到輸出埠(POUT)，所述協議棧包括一組接口(HPRE、HIN、HOUT、HPOST)，所述接口被組織為使得連接到它們的外部模塊能夠在與所述接口相關聯的已確定的點處訪問由所述至少一個協議棧所傳輸的所述數據分組，所述方法的特徵在於輸入模塊(MIN)和輸出模塊(MOUT)分別連接到所述內核(K)的輸入接口(HIN)和輸出接口(HOUT)，並且所述方法的特徵在於所述模塊以對所述內核來說透明的方式根據安全鄰居發現(SEND)機制來選擇、分析並且在必要的情況下修改網絡發現協議(NDP)的數據分組。2.根據權利要求1所述的獲得安全的方法，其中所述作業系統是Linux系統，並且所述已確定的點是根據「NetFilter」基礎設施來限定的。3.根據權利要求1或2所述的獲得安全的方法，其中所述外部模塊分析並修改該NDP的所述數據分組的「CGA」選項和「RSA籤名」選項。4.根據權利要求1所述的獲得安全的方法，其中所述已確定的點位於所述協議棧(PS)的輸入處和輸出處。5.一種通信設備(E)，包括作業系統內核(K)以及一組軟體應用(A)，所述內核包括至少一個IPv6協議棧(PS)，所述協議棧使得可以將來自輸入埠(PIN)的進入數據分組傳輸到應用(A)並且將來自應用(A)的發出數據分組傳輸到輸出埠(POUT)，所述協議棧包括一組接口(HPRE、HIN、HOUT、HPOST)，所述接口被組織為使得連接到它們的外部模塊能夠在與所述接口相關聯的已確定的點處訪問由所述至少一個協議棧所傳輸的所述數據分組，所述通信設備的特徵在於輸入模塊(MIN)和輸出模塊(MOUT)分別連接到輸入接口(HIN)和輸出接口(HOUT)，並且所述通信設備適合於以對所述內核來說透明的方式根據SEND機制來選擇、分析並且在必要的情況下修改NDP的數據分組。6.根據權利要求5所述的通信設備，其中所述作業系統是Linux系統，並且所述已確定的點是根據「NetFilter」基礎設施來限定的。7.根據權利要求5或6所述的通信設備，其中所述外部模塊分析並修改該NDP的所述數據分組的「CGA」選項和「RSA籤名」選項。8.根據權利要求5所述的通信設備，其中所述已確定的點位於所述協議棧(PS)的輸入處和輸出處。全文摘要一種用於保證通信設備(E)安全的獲得安全的方法，所述通信設備包括作業系統內核以及一組軟體應用，所述內核包括至少一個IPv6協議棧，該協議棧使得可以將來自輸入埠的進入數據分組傳輸到應用並且將來自應用的發出數據分組傳輸到輸出埠(P文檔編號H04L29/06GK1921489SQ20061012653公開日2007年2月28日申請日期2006年8月25日優先權日2005年8月25日發明者洛朗·克勒維,蒂埃裡·勒格拉申請人:阿爾卡特公司