[发明专利]用于在动态计算机网络中传达数据的路由器

说明书

技术领域

发明性布置涉及计算机网络安全性，且更特定来说涉及用于在计算机网络的两个或两个以上逻辑子区之间通信的系统，其中所述网络可动态地操纵以抵御恶意攻击。

背景技术

当前网络基础结构的主要弱点是其静态本性。资产接收永久或不常改变的识别，此允许对手几乎不限时间地探测网络、映射及利用漏洞。另外，可捕获在这些固定实体之间行进的数据及给所述数据赋予属性。网络安全性的当前方法围绕固定资产应用例如防火墙及入侵检测系统等技术，且使用加密来保护途中的数据。然而，此传统方法根本上存在缺陷，因为其给攻击者提供固定目标。在今天的全球连接的通信基础结构中，静态网络为易受攻击的网络。

国防先进研究计划局(DARPA)信息保证(IA)项目已执行动态网络防御领域中的初始研究。在信息保证项目下开发用以出于使观察网络的任何潜在对手混淆的目的而动态地重新指派馈送到预先指定的网络飞地(enclave)中的因特网协议(IP)地址空间的技术。此技术称作动态网络地址变换(DYNAT)。在标题为“用以阻挠对手智能的动态方法(Dynamic Approaches to Thwart Adversary Intelligence)”(2001)的DARPA的公开论文中提出DYNAT技术的概述。

发明内容

本发明的实施例涉及一种供在动态计算机网络中使用的路由器。所述路由器包含连接到经配置以接收数据通信的至少一个输入端口的输入电路。所述路由器还包含连接到经配置以发射数据通信的输出端口的输出电路及用于存储至少一个表的存储器。提供至少一个处理单元且其经配置以用于执行路由方法。所述路由方法包含：接收包含与源计算装置及目的地计算装置相关联的两个或两个以上身份参数的数据通信。所述身份参数的集合指定假信息。所述处理单元将所述数据通信路由到所述多个输出端口中的一者。根据对应于所述身份参数中指定假信息的至少一者的至少一个真信息，用于所述数据通信的路线是用于所述数据通信的正确路由。所述真信息与所述假信息相比不同。

本发明还涉及一种用于在使用路由器连接的逻辑网络之间传达数据的方法。所述方法可通过在路由器的输入端口中的一者处接收数据通信开始。确定若干个可行路线。从所述经确定可行路线伪随机地选择一路线。所述方法以基于所述选定路线将所述数据通信路由通过所述路由器的输出端口继续。

附图说明

将参考以下绘图描述实施例，其中遍及所述图，相似编号表示相似物项，且其中：

图1是对于理解本发明有用的计算机网络的实例。

图2是在本发明中可用于执行身份参数的某些操控的模块的实例。

图3是对于理解可用以帮助表征图1中的网络的工具有用的图式。

图4是可用以选择图1中的模块的动态设定的图形用户接口的对话框的实例。

图5是可用以选择与图1中的每一模块相关联的作用状态及绕过状态的序列的图形用户接口的对话框的实例。

图6是对于理解可将任务计划传达到图1中的网络中的多个模块的方式有用的图式。

图7是可用以选择任务计划且将所述任务计划传达到如图6中所展示的模块的图形用户接口的对话框的实例。

图8是对于理解图1中的模块的操作有用的流程图。

图9是对于理解网络控制软件应用程序(NCSA)关于创建及加载任务计划的操作有用的流程图。

图10是可用以实施图1中的模块的计算机架构的框图。

图11是可用以实施图1中所展示的网络管理计算机(NAC)的计算机架构的框图。

图12是对于理解本发明有用的计算机网络的实例。

图13是对于理解图1中的路由器的操作有用的流程图。

图14是对于理解图1中的路由器的操作有用的流程图。

图15是对于理解图1中的路由器的操作有用的流程图。

图16是根据本发明的可用以实施用于路由数据包的方法的路由器的实例。

图17是对于理解可修改的一些类型的身份参数有用的表。

具体实施方式