思科修正TCP缺陷,希望申请专利并成为标准

1/6/2008来源:Cisco网络人气:2564

思科修正TCP缺陷,希望申请专利并成为标准   


     
    思科公司已经申请了一项技术的专利,该技术能够修正应用最广泛的通讯协议中一个最近被发现的缺陷。

上个月,思科公司内部的一名专利律师罗伯特公开承认已经在美国申请了修正TCP 
中缺陷的技术的专利。该协议中的缺陷是由安全专家保罗发现的,他的这一发现导致了世界性的安全恐慌。

思科公司还承认,它计划对其专利申请中描述的一些技术“标准化”,它已经与4月19日向IETF递交了标准提案。

该缺陷可能触发所谓的复位攻击,中断二台不同设备间已经建立起来的TCP连接。攻击的工作原理是,第三方设备或黑客发送一个与源端口和进行TCP连接的二设备之一的ip地址相匹配的数据包,当黑客向二个设备之一发送复位数据包时,二个设备间的连接就会中断。

思科公司的解决方案要求接受数据包的设备通过向发送数据包的设备回发一个数据包,确认复位数据包是来自可靠的设备。思科公司解决方案的好处是,使用IETF提案的设备更能够确保它们收到的复位数据包是正当的。另一个好处是它不要求同时对互联网上的所有设备进行升级。

保罗对思科公司解决该问题的努力表示称赞,但他说思科公司的修正措施可能会引发其它问题。其一,思科公司的解决方案会增加拒绝服务攻击的危险。由于思科公司的解决方案要求接受方每次收到复位数据包时都发送确认数据包,欺骗性攻击可能使网络上布满大量的数据包。

另一个问题是,当有效的复位数据包发送后,由于某种原因接收设备不能够确认它,这也会出现故障。因为没有收到复位数据包的确认数据包,TCP连接就不会中断。例如,这会导致路由器向已经不复存在的伪连接发送数据包,这将导致数据包丢失,因为另一端不存在接收它们的路由器。

保罗说,在这二种情况下,危险性都比较低,因为只有在特定的情况下才会出现,但思科公司和标准组织必须考虑这些问题。他表示,标准版TCP中已经存在更好的解决方案,它要求设备在断开连接前对复位确认数据包进行验证,但许多厂商都没有在产品中实现该标准的这一部分。他还建议厂商在升级产品时遵守已经存在的标准,而不是思科公司的解决方案。

除了申请专利外,思科公司还希望其方案成为标准。思科公司并非第一家申请成为标准的技术专利的第一家厂商,朗讯、3Com、北电、西门子等公司也申请了成为IETF标准的技术的专利。

思科公司的发言人布鲁斯称,假如他们被授予专利或这一方案成为IETF的标准,他们也不会对使用该技术收取专利费。他说,尽管有许多公司这样干,但思科公司不会这样干。