专利名称:通信系统、包括虚拟网络交换机的通信终端和包括生物体识别单元的便携式电子设备的制作方法
技术领域:
本发明涉及一种由具有网络通信功能的通信终端和能与所述通信终端通信的便携式电子设备组成的通信系统。具体地说,它涉及一种能按照在便携式电子设备中预置的通信安全等级,使用通信终端访问各种类型的网络的通信系统。
背景技术:
通常,当把一个通信设备连接到诸如因特网等的公共网络时所需的软件及其设置信息等都被事先装载到所述通信设备中,或者被暂时安装在所述通信设备中,并且所述软件在所述通信设备中运行。当需要保证通信过程中的安全时,用于保证安全的软件也被事先装载或者暂时安装到所述通信设备中。
用于保证通信过程中的安全的这种手段包括虚拟专用网络(VPN)技术,它通过使用专门加密的数据与另一方进行通信,通过使用某些共享电路作为虚拟专用电路来保证安全;防火墙技术,在通信过程中,它可以避免与不需要的其它方进行信息交换;非法病毒去除技术,它检查是否有恶意的病毒软件被隐藏在所交换的数据中,并且去除它,等等。
当在因特网上进行通信时,为了防止数据被未知的陌生人偷窥或者窜改,在VPN技术中广泛使用IP-VPN技术。当使用IP-VPN技术时,网络工程师把事先指定的VPN客户机软件安装在要通信的客户终端的通信终端中,并作出必要的设置,由此实现与指定的VPN网关设备的连接。当客户终端和一个远程位置进行通信时,它经由VPN网关设备进行加密通信,从而有可能通过因特网与远程位置安全地进行通信。
同样,采用防火墙技术,可以使用通常事先安装在通信终端的操作系统(OS)中的软件,进行简单的设置。但是当在公司等机构中使用时,通常是购买防火墙软件并将其装入每一个通信终端中,或者被设置在网络的入口处并用于保护网络本身。这两种情况通常都需要由专家事先进行设置,因此,这典型地是一种以指定终端或指定网络为目标的保护方法。
此外,非法病毒去除技术通常是这样一种情况,使得像上述防火墙技术那样,事先将病毒去除软件放置在通信终端中,并且周期性地进行清除操作,或者病毒去除软件被放置在网络上的一个专用服务器设备中,当经由所述设备进行通信时,在服务器处消除病毒。
传统的技术通常假定当通信开始时,所需的所有软件都已经被装载到网络设备中。尽管如此,存在大量的连接到网络的方法,在今天的社会中,上述网络典型地就是因特网,并且,个人可以根据自己的意愿自由地使用网络,而不必经过由网络管理员事先控制的网络设备。当前的现状是,由网络管理员在有限的区域中进行的网络管理和信息管理在实际上是没有意义的,并且存在向尝试访问一个网络的个人本身提供一种网络管理方法的迫切需求。当今,正在提供因特网咖啡厅和公众无线业务;难以知道运营和管理这些电路和终端的这些公司已经采取的安全保护措施达到何种程度,并且,人们希望,当某人正在使用通信终端时,这个人必须提供他自己的保护措施。
同时,从通信终端本身的处理能力的观点来看,将出现下列种类的困难。这就是说,通信终端中的软件和硬件所需的处理能力正在年复一年地平稳地增长,并且通信终端的处理能力也随着平稳增长。尽管如此,即使通信终端的处理能力也在增长,当单个通信终端执行所有种类的任务时,这限制了通信终端执行应该为一个用户执行的应用的能力,并且,有时还有一些涉及必须执行的通信的任务。
随着网络变得更快,被发送的信息量已经增加,并且存在由此产生的问题出现得更频繁的趋势。同样,从用户的观点来看,在某些任务中,由于这样的延迟所产生的问题成为需要购买新的通信终端的理由,所以效率是很差的。同样,在用户使用多个通信终端进行通信的情况下,通信环境的状态变得依赖于个别终端的能力,这样,网络的质量不可避免地是不稳定的。
当使用具体的安全技术,例如VPN技术进行通信时,例如,人们必须假定VPN客户机软件已经安装在客户终端中,同时假定已经作出必要的通信设置。这些通信设置通常是十分错综复杂的网络技术,除非有人知道目标VPN网关所需的全部设置信息,否则,将是难以设置的。
其结果是,使用VPN通信的终端仅限于一家公司已经事先设置并且分配给一名雇员的信息终端,除非雇员到处携带这个信息终端,实际上不可能使用VPN连接与公司资源进行通信。对此,唯一的解决方案就是让雇员使用公共电路进行低速的拨号连接,或者使用由第三方因特网服务提供商和无线电话承载商等提供的不受公司管理员的安全管理的影响的业务,来进行有限的邮件访问。然而,这样的方法对网络管理员来说是基本上是有风险的,也是不期望的。
同样,如果在VPN客户机软件中设置的各种类型的通信设置信息通过简单的安全检查,它可以容易地被所述通信终端拥有者以外的第三方访问。因此,一个恶意的第三方就能相对容易地从疏忽的客户终端拥有者那里截获所述设置信息,设置另外的终端并与VPN网关连接,由此就能访问所述公司的保密数据。
而且,当以传统的技术使用防火墙或病毒去除软件时,对它们可能在其上被使用的网络和通信终端来说,都存在一些限制。当前现状是,不存在安全地使用无所不在的因特网而不限制实际上正在进行通信的通信终端本身的手段。
发明内容
着眼于上述各点,本发明的目的是,提供一种能使用通信终端在所期望的安全等级进行通信的通信系统,而不必假定所有必需的软件都已经被事先装载到具有通信功能的通信终端中,同时提供用于通信系统的通信终端和便携式电子设备。
为了达到上述目的,本创新性的通信系统的特征在于包括包括网络连接部件的通信终端,以及能够与所述通信终端通信的便携式电子设备;上述通信终端包括一个虚拟网络交换机,它能强行改变发往和来自经由上述网络连接部件连接的网络的数据的目的地;上述便携式电子设备包括一个安全保证部件,用于保证使用上述通信终端通往和来自网络的通信安全;以及上述通信终端经由上述虚拟网络交换机和上述便携式电子设备的上述安全保证部件,向和从上述网络发送数据。
上述安全保证部件可包括VPN部件、病毒去除部件和防火墙部件。
同样,上述虚拟网络交换机可以是并入作为标准网际协议的TCP/IP的OSI 7层模型的网络层中的虚拟IP交换机。这个虚拟IP交换机的特征在于,它根据预置的参数,把从上述网络接收的分组送往一个更高的传输层,或者送往上述便携式电子设备,并且根据预置的参数,把来自便携式电子设备的分组返回到更高的传输层,或者返回到为传输源的上述网络。
其次,除了上述构成以外,本创新性的通信系统的特征在于,由上述便携式电子设备的上述安全保证部件经由上述虚拟网络交换机来执行上述通信终端的存储介质和应用的安全检查。
同样,上述便携式电子设备最好包括诸如指纹传感器等的生物体识别设备、事先存储和保存生物体信息的生物体信息存储单元,以及通过比较由生物体识别设备读取的生物体信息和存储在生物体信息存储单元中的生物体信息,允许经由上述通信终端访问上述网络的验证部件。
同时,本创新性的通信系统的特征在于,包括包括网络连接部件的通信终端,以及能与所述通信终端通信的便携式电子设备;上述通信终端包括一个安全保证部件,用于保证与网络的通信;以及上述便携式电子设备最好是包括通信设置信息存储单元,它存储和保存经由上述安全保证部件与上述网络通信所需的通信设置信息;诸如指纹传感器等的生物体识别设备;事先存储和保存生物体信息的生物体信息存储单元;以及验证部件,用于比较由所述生物体识别设备读取的生物体信息和存储在所述生物体信息存储单元中的生物体信息。
以这种方式构成的创新性的通信系统不受装载在具有网络通信功能的通信终端中的软件类型的限制;所述通信终端被提供装载在便携式电子设备本身中的软件的功能,还可以补充诸如安全功能等的各种类型的功能。因此,即使直接连接到网络的通信终端不具有诸如VPN、防火墙、病毒检查等的功能,也可以通过使用装载在便携式电子设备中的安全保证部件,进行高度安全的通信。
同样,便携式电子设备本身不具有内在的物理网络连接部件,但是当它被连接到一个直接连网的单独通信终端时,由于通信终端的虚拟网络交换机,便携式电子设备虚拟地出现在网络和通信终端之间。因此,所述通信终端和所述网络可以利用装载到便携式电子设备中的安全保证部件进行通信。
此外,当便携式电子设备包括一个生物体识别设备时,使用生物体识别设备来验证使用人使得可以通过由所述设备与之连接的内在物理连接(诸如个人计算机,无线电话等),通过连接到网络的通信终端与因特网上的一个指定的网络建立连接。
图1是示出使用本发明的通信系统的一个实例的结构的方框图。
图2是示出使用本发明的通信系统的另一个实例的结构的方框图。
图3是示出使用本发明的通信系统的又一个实例的结构的方框图。
图4是说明在图1至图3的通信系统的通信终端中提供的虚拟网络交换机的一个实例的图。
图5是说明在图1至图3的通信系统的通信终端中提供的虚拟网络交换机的一个实例的图。
图6是示出根据本发明的另一种安排的通信系统的一个实例的结构的方框图。
图7是示出图6的通信系统的一种变化结构的方框图。
图8是示出图6的通信系统的另一种变化结构的方框图。
具体实施例方式
下面将参照附图,对使用本发明的通信系统的各实施例进行说明。
图1是示出使用本发明的通信系统的一个实例的结构的方框图。这个实例的通信系统1具有一个配备了网络连接部件21的诸如个人计算机、移动电话等的通信终端2,以及一个能与通信终端2进行通信的便携式电子设备3(以下称为“令牌”)。它可以经由诸如因特网的通信网络4连接到一个指定的网络5。
通信终端2具有一个虚拟网络交换机22,它能强行改变发往和来自经由网络连接部件21与之连接的网络5的数据的目的地。使用虚拟网络交换机22,从网络5发往通信终端2的数据被传送到便携式电子设备3,并且经过便携式电子设备3,再次被返回到通信终端2的虚拟网络交换机22,然后由通信终端2的应用23进行处理,等等。从通信终端2发往网络5的数据也从虚拟网络交换机22至便携式电子设备3,再次经过虚拟网络交换机22,并且被送往目的地网络5。因此,便携式电子设备3物理上被连接到通信终端2,但是由于虚拟网络交换机22,它仿佛被插入到网络5和通信终端2之间而发挥作用。
便携式电子设备3有一个安全保证部件,用于保证使用通信终端2与网络5的通信安全。在这个实例中,它具有虚拟专用网络(VPN)客户机功能31和存储VPN设置信息的存储单元32。
因此,在这个实例的通信系统1中,在便携式电子设备3被连接到通信终端2并且它们可以互相进行通信之后,当使用通信终端2的通信连接部件21开始与网络5(VPN服务器)进行通信时,虚拟网络交换机22发挥作用。其结果是,在网络5与通信终端3之间,形成了使用便携式电子设备3的VPN的通信。
这里,最好是,便携式电子设备3具有一个诸如指纹传感器等的生物体识别设备33、一个事先存储和保存生物体信息的生物体信息存储单元34以及一个通过比较由生物体识别设备33读取的生物体信息和存储在生物体信息存储单元34中的生物体信息来进行验证的验证单元35。
图2是示出使用本发明的通信系统的另一个实例的结构的方框图。图中所示的通信系统1A被这样构成,使得通信终端2A的介质(硬盘、移动磁盘、外部存储器等)的管理以及程序执行管理都使用虚拟网络交换机22的功能,从便携式电子设备3A侧处理。
通信终端2A的虚拟网络交换机22具有访问通信终端2A的存储介质(硬盘、移动磁盘等)的功能。向便携式电子设备3A提供病毒检查功能31A以及病毒模式信息存储单元32A,作为安全保证部件。
在便携式电子设备3A连接到通信终端2A并且使用人被验证之后,病毒检查功能31A向通信终端2A的虚拟网络交换机22发出一个命令分组,以便访问存储介质24和应用23。这样,可以从便携式电子设备3A侧进行通信终端2A的各种介质的安全检查。
图3是示出使用本发明的通信系统的又一个实例的结构的方框图。图中的通信系统1B被这样构成,使得在便携式电子设备3B中,提供了防火墙功能31B和用于其防火墙设置信息的存储单元32B,作为安全保证部件。在该通信系统1B中,由于虚拟网络交换机22的作用,便携式电子设备3B也虚拟地出现在通信网络4和通信终端2B之间,并且检测和报告从外部的非法进入,从而使安全通信成为可能。
这里,在通信终端2(2A,2B)中提供的虚拟网络交换机22可以是并入标准网际协议TCP/IP的OSI7层模型的网络层中的虚拟IP交换机。
图4是说明OSI7层模型的图。虚拟IP交换机68被安装在7层模型6的网络层63中。虚拟IP交换机62把分组目的地切换到更高的传输层63,或者切换到作为另一个网络设备的便携式电子设备3(3A,3B)。对其余各层(61,62,64~67)不必作出改变。
虚拟IP交换机68具有不同于通常的第三层交换机的机制;当向便携式电子设备3(3A,3B)传送一个分组时,需要保存原始的分组信息而不丢失,因此,原始的分组需要被封装为一个分组用于传送。封装的分组在目的地设备3(3A,3B)处被恢复为原始分组,在所述设备中由应用进行处理,并且所述分组被再次送往虚拟IP交换机68。
另外,图5是说明当7层模型被应用于Windows网络模型时的情形。在该图中,中间层中的“vsw.sys”是虚拟网络交换机。这个软件决定是否将分组传送到便携式电子设备3(3A,3B)和通信终端2(2A,2B)中的一个较高层协议。中间层是通常用于Windows网络体系结构中的一层;使用这一层的分组过滤软件可在市场上购得。
下面,图6是示出根据本发明的一个通信系统的结构的方框图。通信系统1C具有一个通信终端2C和一个便携式电子设备(令牌)3C。通信终端2C具有一个网络通信部件21A和一个VPN客户机功能26。同时,便携式电子设备3C具有一个存储单元32C,其中存储使用VPN客户机功能26进行通信所需的VPN设置信息。同样,便携式电子设备3C具有一个诸如指纹传感器等的生物体识别设备33、一个事先存储和保存生物体信息的生物体信息存储单元34以及一个通过比较由生物体识别设备33读取的生物体信息和存储在生物体信息存储单元34中的生物体信息来进行验证的验证单元35。
具有这种构成的通信系统1C把处理安全性的程序放在通信终端2C侧,并把运行上述程序所需的信息保存在令牌3C侧,它们一起工作,并且根据生物体识别设备33的识别结果来进行处理。
图7是示出具有使用本发明的病毒检查功能的通信系统的结构的方框图。在该通信系统1D中,病毒检查功能(软件)27被放置在通信终端2D侧,并且为执行上述软件所需的病毒设置信息被保存在便携式电子设备3D的存储单元32D中。当由生物体识别设备33来进行验证时,二者一起工作并且执行病毒检查,从而使安全通信成为可能。
下面,图8是示出具有使用本发明的防火墙功能的通信系统的结构的方框图。在该通信系统1E中,个人防火墙功能28被放置在通信终端2E侧,并且便携式电子设备3E具有存储防火墙设置信息的存储单元32E。在这种情况下,当使用人被生物体识别设备33验证时,二者一起工作,从而使安全通信成为可能。
工业可应用性如上所述,本创新性的通信系统和其中所使用的通信终端及便携式电子设备提供下列各种效果。
(1)通过到处携带根据本发明的具有生物体识别设备的便携式电子设备,用户能够在任何地方使用具有网络通信功能的任何通信终端与因特网上的所需资源安全地进行通信,同时执行VPN连接或安全检查。因此,可以使用最好的可用通信部件进行通信,同时在必要的位置上保存他本身的安全策略,而不限于由电路提供商所设置的安全性。
(2)在通信终端中不需要保存威胁安全的信息,与安全有关的VPN连接、个人防火墙设置、病毒检查设置和其它通信设置信息均被加密并保存在便携式电子设备中,因此,极大减小了设置信息泄露给外部第三方的风险。
(3)由安全检查所引起的通信终端的负载得以减轻,并且人们可以期待其它处理性能的改进。
(4)跟上面的(2)联系起来,在常规使用中,重要的是用户本身不需要涉及操作VPN客户机软件等。同样,可以使访问设置信息成为使用只有网络管理员才能使用的加密手段的受限任务,由此,大大地降低了一些人粗心地改变客户机软件的设置信息的风险。其结果是,人们可以期望得到减轻网络管理员的工作以及公司的管理成本的结果。
(5)个人可以携带本创新性的便携式电子设备作为标识(ID),并且可以保存与所述ID配合工作的VPN软件、个人防火墙、病毒检查软件和与连接有关的通信设置信息。通过这样做,当一名雇员/用户被调动到不同的岗位,或者当替换诸如正在使用的个人计算机的通信设备时,出租该设备的公司都不需要执行诸如将VPN客户机软件安装到一个新使用的通信设备中或者为VPN连接作出设置的任务。需要做的所有事情就是保证与相关令牌的通信接口,因此,网络管理员的工作得以大大地减轻(6)结合上述ID,通过把本创新性方案和诸如安全软件等的软件相链接,就有可能使用生物体识别设备来验证一个人,在验证之后,通过向网络服务器发送该ID来检查许可信息,在完成许可检查等之后,为安装在令牌中的软件提供更新功能。这可以可靠地对于携带该设备的个人,而不是对于所述终端来完成。
(7)如果通信终端的规格是这样的,即,它不能提供正在使用的应用或通信软件功能,则取代购买新的通信终端,有可能仅将所需的通信处理能力切换到另一个分布式处理设备,并且到处携带这种分布式处理设备;因此,人们可以总是具有一个稳定的通信环境而不到处携带所述终端本身。
权利要求
1.一种通信系统,包括包括网络连接部件的通信终端,以及能够与所述通信终端通信的便携式电子设备;所述通信终端包括一个虚拟网络交换机,它能强行改变发往和来自经由所述网络连接部件连接的网络的数据的目的地;所述便携式电子设备包括一个安全保证部件,用于保证使用所述通信终端发往和来自所述网络的通信安全;以及所述通信终端经由所述虚拟网络交换机和所述便携式电子设备的所述安全保证部件,向和从所述网络发送数据。
2.根据权利要求1所述的通信系统,其中,所述安全保证部件包括VPH部件、病毒去除部件和防火墙部件中的至少一个。
3.根据权利要求1或权利要求2所述的通信系统,其中,所述虚拟网络交换机是并入到作为标准网际协议的TCP/IP的OSI 7层模型的网络层中的虚拟IP交换机,以及所述虚拟IP交换机根据预置的参数,将从所述网络接收的分组送往更高的传输层,或者送往所述便携式电子设备,并且根据预置的参数,将来自便携式电子设备的分组返回到更高的传输层,或者返回到为传输源的所述网络。
4.根据权利要求1、权利要求2或权利要求3所述的通信系统,其中,经由所述虚拟网络交换机,由所述便携式电子设备的所述安全保证部件执行所述通信终端的存储介质和应用的安全检查。
5.根据权利要求1至4中任何一项所述的通信系统,其中,所述便携式电子设备包括诸如指纹传感器等的生物体识别设备、事先存储和保存生物体信息的生物体信息存储单元、以及通过比较由生物体识别设备读取的生物体信息和存储在生物体信息存储单元中的生物体信息,允许经由所述通信终端访问所述网络的验证部件。
6.所述通信终端包括如权利要求1至5中任何一项所述的所述虚拟网络交换机。
7.所述便携式电子设备如权利要求1至5中任何一项所述。
8.一种通信系统,包括包括网络连接部件的通信终端,以及能够与所述通信终端通信的便携式电子设备;所述通信终端包括安全保证部件,用于保证通往和来自一个网络的通信安全;以及所述便携式电子设备包括通信设置信息存储单元,它存储和保存经由所述安全保证部件与所述网络进行通信所需的通信设置信息;诸如指纹传感器等的生物体识别设备;事先存储和保存生物体信息的生物体信息存储单元;以及验证部件,用于比较所述生物体识别设备所读取的生物体信息和存储在所述生物体信息存储单元中的生物体信息。
9.根据权利要求8所述的通信系统,其中,所述安全保证部件包括VPN部件、病毒去除部件和防火墙部件中的至少一个。
10.所述便携式电子设备如权利要求8或权利要求9所述。
全文摘要
一种通信系统(1)的通信终端(2)包括虚拟网络交换机(22),它可以强行改变在通信终端(2)和网络(5)之间发送/接收的数据的目的地,其中,通过便携式电子设备(3)在网络(5)和通信终端(2)之间发送/接收数据。可以通过向通信终端(2)提供安装在便携式电子设备(3)本身上的软件的功能,来补充包括安全功能的各种功能。即使直接与网络连接的通信终端未被提供诸如VPN、防火墙或病毒检查的功能,也可以利用安装在便携式电子设备上的这些安全保证部件来保证高度安全的通信。
文档编号H04L12/22GK1751479SQ0283014
公开日2006年3月22日 申请日期2002年12月11日 优先权日2002年12月11日
发明者大岛俊一, 斋藤晃, 奈良原智明, 中里升吾, 吉川治宏, 荻猛 申请人:Para3公司