一种TCP通信方案,它保证在直到终端附近的通信路径的安全通信,并且消除来自黑客等的直接攻击。将终端(A)和终端(B)连接到中继装置(X)和中继装置(Y),其中,终端(A)和终端(B)是定位在TCP通信连接的两个端部处的端点终端。中继装置(X、Y)各自连接到网络(NET)。中继装置(X和Y)被设置成在终端(A和B)之间,该终端(A和B)已经执行常规TCP通信,并且中继装置(X和Y)中的任一个都没有IP地址。中继装置(X和Y)接管在终端(A)与终端(B)之间的TCP连接,将连接划分成三个TCP连接,及建立TCP通信。
【技术实现步骤摘要】
【国外来华专利技术】TCP通信方法
本专利技术涉及一种用于在TCP网络之间中继的TCP通信方案,对于该TCP通信方案添加特定功能,如加密通信功能。
技术介绍
VPN(虚拟专用网络)路由器是一种插入在端点通信终端之间的装置,用于将特定功能添加到在端点通信终端之间的通信上。VPN路由器是设置在两个网络之间的装置,用于在两个网络之间添加加密通信功能。有两种类型的VPN路由器。一种是用于使用由载波提供的VPN网络的连接的IP-VPN类型。另一种是用于通过互联网的连接的互联网VPN类型,其中,由用户本人插入VPN装置。一般地,前者用作LAN间连接的VPN,用于将LAN彼此连接,如图9所示;并且后者用作远程访问VPN,用于将终端PC连接到LAN上,如图10所示。在图9中,1和2代表本地LAN,并且3和4代表VPN路由器。在VPN路由器3、4之间的部分是VPN部分(见专利文献1、2)。在图10中,5代表VPN终端PC,6代表VPN路由器,及7代表本地LAN。在VPN终端PC5与VPN路由器6之间的部分是互联网VPN部分(见专利文献3、4)。现有技术文献专利文献专利文献1:JP2008-118577A专利文献2:JP2008-227923A专利文献3:JP2008-219531A专利文献4:JP2008-301024A
技术实现思路
本专利技术要解决的问题关于以上描述的VPN存在下面的问题。(a)在VPN部分外的通信允许自由侵入,因此是不安全的。这在VPN部分延伸到靠近终端的布置的情况下,导致高成本。(b)必须将全局IP地址分配给VPN装置本身,尽管只有少量的全局IP地址是可用的。(c)装置设置是复杂的,并且要求高水平知识。鉴于以上,本专利技术的目的是提供一种TCP通信方案,借助于该TCP通信方案,通过靠近终端的通信路径安全通信是可能的,并且装置在网络上是不可见的,因为没有分配IP地址,从而防止来自黑客的直接攻击。用于解决问题的手段为了实现上述目的,根据权利要求1的本专利技术的特征在于,设置第一和第二终端,并且第一和第二终端通过网络由TCP彼此连接;在第一终端与网络之间的传输线路中设置第一中继装置;在网络与第二终端之间的传输线路中设置第二中继装置;通过网络彼此连接第一和第二中继装置;第一和第二中继装置在第一终端与第一中继装置之间、在第一中继装置与第二中继装置之间、及在第二中继装置与第二终端之间建立三个分段的TCP连接;第一和第二中继装置通过TCP连接执行TCP通信;及第一和第二中继装置将特定功能添加到TCP通信上。根据权利要求2的本专利技术的特征在于,在权利要求1中,第一和第二中继装置捕获TCP连接SYN分组,并且以第一和第二终端的名义建立TCP连接而无需具有IP地址。根据权利要求3的本专利技术的特征在于,在权利要求1或2中,特定功能包括:实施用于加密和解密的手段的加密通信功能;实施用于中断越权TCP通信的过程的抗病毒功能;实施用于依据负荷状态分配传输的过程的负荷分配功能;实施用于拥塞控制和带宽控制的过程的带宽控制功能;及实施用于特殊线路中继的过程的网关功能。根据权利要求4的本专利技术的特征在于,设置第一和第二终端,并且第一和第二终端通过网络由TCP彼此连接;在第一终端与网络之间的传输线路中设置第一中继装置;在网络与第二终端之间的传输线路中设置第二中继装置;通过网络彼此连接第一和第二中继装置;第一和第二中继装置在第一终端与第一中继装置之间、在第一中继装置与第二中继装置之间、及在第二中继装置与第二终端之间执行三个分段的TCP连接过程;及在连接过程完成之前的连接过程期间,当通过彼此交换信息核准第一和第二中继装置时,第一和第二中继装置仅建立在第一和第二中继装置之间的TCP连接。根据权利要求5的本专利技术的特征在于,在权利要求4中,第一和第二中继装置通过交换用于模型标识的信息而实施核准。根据权利要求6的本专利技术的特征在于,在权利要求4中,通过事先交换密钥信息来实施用于加密通信的事先密钥交换的功能。本专利技术的效果本专利技术带来如下优点:允许通过靠近终端的通信路径安全通信;并且由于没有分配IP地址使装置在网络上不可见,从而防止来自黑客的直接攻击。此外,本专利技术带来如下优点:使得没有必要改变网络的配置和设置以及在终端中安装专用软件,并且由于与应用的独立性而没有必要改变终端中的应用。此外,本专利技术带来如下优点:允许与其它通信协议共存而不影响现有通信,并且允许自由挑选和扩展待被添加的功能。此外,本专利技术带来如下优点:使得没有必要改变网络的配置和设置,并且使用现有的标准协议栈,及由此降低实施成本;由于在标准TCP连接过程内完成,防止通信频带被不必要地消耗;及防止与越权终端TCP连接,并由此防止计算机资源被恶意攻击消耗。此外,本专利技术带来如下优点:使得在第一和第二中继装置缺省与TCP选项兼容的情况下,或者甚至在它们与TCP选项不兼容的情况下,实现目的成为可能;及使得不必要使用另外的TCP端口号。附图说明图1是示出了根据实施例1的TCP通信方案的网络配置图;图2示出了以太网(注册商标)的帧格式;图3A和3B是表示分段的TCP连接的图;图4是示出了根据应用例1的加密通信装置的方框配置图;图5是示出了根据应用例2的抗病毒装置的方框配置图;图6是示出了根据应用例3的负荷分配装置的方框配置图;图7是示出了根据应用例4的带宽控制装置的方框配置图;图8是示出了根据应用例5的网关装置的方框配置图;图9是示出了LAN间连接VPN的图;图10是示出了远程访问VPN的图;图11是示出了在标准使用模式中类型06和07的TCP选项字段的图;图12是示出了在存在中继装置Y的情况下用于确认的序列的图;图13是示出了在不存在中继装置Y并且终端B与类型6兼容的情况下用于确认的序列的图;图14是示出了在不存在中继装置Y并且终端B与类型6不兼容的情况下用于确认的序列的图;图15是示出了在标准使用模式中类型19的TCP选项字段的图;图16是示出了在存在中继装置Y的情况下用于确认的序列的图;图17是示出了在不存在中继装置Y并且终端B与类型19不兼容的情况下用于确认的序列的图;及图18是示出了根据应用例6的操作过程的图。具体实施方式下面参照附图详细地描述了本专利技术的实施例。实施例1图1是示出了根据实施例1的TCP通信方案的网络配置图。在图1中,终端A、B是被布置在TCP通信的相对端部上的端点终端。终端A、B分别通过传输线路11、14被连接到中继装置X、Y上。中继装置X、Y分别通过传输线路12、13被连接到网络NET上。设置中继装置X、Y,并且将中继装置X、Y插入在终端A、B之间的部分中,在该终端A、B之间,以前已经进行了通信。中继装置X、Y没有被分配IP地址。为了易于解释,终端A、B下文分别被称作TCP连接的主动侧和被动侧。中继装置X、Y截断在终端A、B之间的TCP连接,并且将其划分成三个TCP连接,及建立TCP通信。下面描述了主动侧和被动侧中继装置X、Y的操作。(1)主动侧中继装置X的操作(a)中继装置X在混杂模式中等待。混杂模式是LAN卡的操作模式之一。与中继装置X仅接收其目标地址指示中继装置X的分组的正常模式相反,中继装置X在混杂模式中接收具有任何目标地址的分组。(b)中继装置X捕获SYN(同步)分组,该SYN分组是为了开始TCP连接本文档来自技高网...
【技术保护点】
1.一种TCP通信方案,其特征在于,设置第一和第二终端,并且第一和第二终端通过网络由TCP彼此连接;在第一终端与网络之间的传输线路中设置第一中继装置;在网络与第二终端之间的传输线路中设置第二中继装置;通过网络彼此连接第一和第二中继装置;第一和第二中继装置在第一终端与第一中继装置之间、在第一中继装置与第二中继装置之间、及在第二中继装置与第二终端之间建立三个分段的TCP连接;第一和第二中继装置通过TCP连接执行TCP通信;及第一和第二中继装置将特定功能添加到TCP通信上。
【技术特征摘要】
【国外来华专利技术】JP2009-0163422009年1月28日1.一种TCP通信方法,其特征在于,包括:设置第一终端和第二终端,所述第一终端和第二终端通过网络由TCP彼此连接;为第一终端和第二终端中的每一个提供TCP协议软件,该TCP协议软件设有捕获在连接开始处发送的TCPSYN分组、并得到连接目标信息、及基于连接目标信息在起相对终端作用的同时建立TCP连接的功能;及通过TCP连接将特定功能添加到TCP通信上;其中,建立TCP连接包括:(a)由网络驱动器在混杂模式中捕获SYN分组;(b)由所述网络驱动器从捕获的SYN分组中得到发送器IP地址...
【专利技术属性】
技术研发人员:立石靖,
申请(专利权)人:株式会社明电舍,
类型:发明
国别省市:JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。