[发明专利]用于数据通信网络的安全方法

权利要求书

1.一种用于数据通信网络的安全方法，是可在操作系统的较低层甚至“硬件”或“固件”中执行的机制或框架，并可在两个“主机”之间提供保密性和安全的相互身份认证服务，上述服务以透明方式进行，且应用程序不需要任何修改即可正确、安全地运行；其特征在于，在建立连接时使用显式密钥交换，并使用具有信息协议的分布式数据库，使“主机”可交换其他“主机”的相关信息，上述操作也可选择性地使用非易失性存储器，以便记住与之通信的“主机”，并重新建立安全的信道，每个“主机”都有公用和专用密钥对，当“主机”从非易失性存储器打开或加载时即可生成该密钥对。当主机尝试与网络上的另一个主机通信时，首先进行密钥交换，以便主机了解其对等体的公钥。一旦两个主机都知道其对等体的公钥，就会执行称为“Diffie Hellman密钥交换算法”的过程，以建立使用“AES”或类似加密的临时会话密钥。这两个“主机”之间的任何后续连接都使用此过程建立的对称密钥。“主机”可以随时请求恢复此过程，以更改会话密钥。当会话结束时，“主机”将丢弃对称密钥，但可以保留其公用和专用密钥对以进行身份认证并重建将来的会话。

2.根据权利要求1所述的用于数据通信网络的安全方法，其特征在于，可在系统的较低层中实施，如操作系统网络堆栈的模块，网络接口驱动程序的部件，甚至可在“硬件”中实施，如“可编程逻辑”，“FPGA”或“ASIC”，在某些操作中，即使重新启动系统(格式化，更新)也可以保留该组件；另外，非易失性存储器的使用是可选的，即是非必需的，因为“主机”在每次遇到另一个未知主机时都可以重新协商公钥，但可以使用非易失性存储器快速重新建立和重新认证之前的会话。