国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于網(wǎng)頁服務(wù)器集群的尋址和路由機(jī)制的制作方法

      文檔序號:7676825閱讀:199來源:國知局
      專利名稱:用于網(wǎng)頁服務(wù)器集群的尋址和路由機(jī)制的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及用于網(wǎng)頁服務(wù)器集群的尋址和路由機(jī)制,特別是,但并非必要 地涉及允許位于網(wǎng)頁反向代理后的網(wǎng)頁服務(wù)器集群可以由根據(jù)主機(jī)標(biāo)識協(xié)議來 ^ffi單個主機(jī)標(biāo)識的客戶端連接的尋址和路由機(jī)制。
      背景技術(shù)
      在最初設(shè)計因特網(wǎng)時,主機(jī)的位置是固定的,并且用戶之間存在隱含信任, 盡管缺乏實際安全性或主機(jī)標(biāo)識協(xié)議,而且這種情況甚至在更廣泛地了解和使 用該技術(shù)后繼續(xù)存在。極少需要考慮用于處理主機(jī)移動性的技術(shù),因為計算機(jī) ^f只較大并且不能移動。
      隨著二十世紀(jì)九十年代初期電信和計算機(jī)工業(yè)的變革,更小的通信設(shè)備和
      計算機(jī)成為更廣泛可獲得的,以及萬維網(wǎng)的發(fā)明和伴隨它出現(xiàn)的所有服務(wù)最終 使因特網(wǎng)吸弓I 了大眾。網(wǎng)絡(luò)和移動電信的不斷增加的使用結(jié)合產(chǎn)生了對于因特 網(wǎng)中的安全移動性管理的需要。
      有關(guān)各方的增加數(shù)量以及某些業(yè)務(wù)需要的現(xiàn)金交易也產(chǎn)生對于附加應(yīng)用級
      安全性的需要。目前,最廣泛4頓的加密協(xié)議,例如SSI7TLS,運(yùn)行在網(wǎng)絡(luò)層 之上,例如TCP。
      考慮到上述移動性管理和安全性問題,引入了移動IP標(biāo)準(zhǔn)(CPerkins, "IP Mobility Support for IPv4", RFC 3220,正TF, 2002)以及移動IPv6標(biāo)準(zhǔn)(D.Johnson ,C.Perkins,丄Arkko, 'Mobility Support in IPv6", RFC 3775,正TF 2004 )。這些規(guī)范 共同計劃為下一代因特網(wǎng)提供移動性支持。安全性工作正以IPsec及相關(guān)活動, 如各種密鑰交換協(xié)議的形式發(fā)展,其目的是提供IP層的安全性。但是經(jīng)驗表明, 船隹采用當(dāng)前標(biāo)準(zhǔn)艦到安全性和移動性相結(jié)合。
      IP地址描述網(wǎng)絡(luò)中的節(jié)點的拓?fù)湮恢?。使用IP地址以把分組從源節(jié)點路由 到目的地。同時,還使用IP地址以標(biāo)識節(jié)點,在一個實體中提供兩種不同的功 能。這類似于某個人在被詢問其身份時以其家庭地址作答的情況。而在考慮移
      動性時,情況變得更為復(fù)雜由于IP地址在這個方案中用作主機(jī)標(biāo)識符,因此它們不得改變;但是,由于IP地址還描述拓?fù)湮恢茫虼水?dāng)主機(jī)在網(wǎng)絡(luò)中改變 其位置時,它們一定需要改變。顯然不可能同時實現(xiàn)穩(wěn)定性和動態(tài)改變。
      在移動IP的情況中,解決方案是采用提供節(jié)點的"歸屬地址"的固定歸屬 位置。歸屬地址標(biāo)識節(jié)點以及在其處于歸屬地時提供其穩(wěn)定位置。當(dāng)前位置信 息以轉(zhuǎn)交地址的形式可獲得,它在節(jié)點遠(yuǎn)離歸屬地時用于路由的目的。
      對該問題的另一個解決方案是把標(biāo)識和定位功能相互分離,這是主機(jī)標(biāo)識 協(xié)議(HIP)建議(RMoskowitz^ PNikander, PJ0kel4 T.Henderson, "Host Identity Protocol", Internet Drafts woik in progress, draft-ietf-hip-base-05.txt, IETF, 2006)中采
      用的方法。fflpffiii引入新的名稱空間,主機(jī)標(biāo)識on)來分寓ip地址的定位 和標(biāo)識功能。在hip中,主機(jī)標(biāo)識基本上是公有-私有密鑰對的公有密鑰。公鑰 標(biāo)識保存了私鑰唯一副本的一方。擁有密鑰對的私鑰的主機(jī)可直接證明它"擁 有"用于在網(wǎng)絡(luò)中標(biāo)識它的公鑰。分離還提供以安全方式處理移動性禾哆歸屬
      的手段。除了在位置和標(biāo)識之間的分離之外,HIP還提供用于HIP使能節(jié)點之 間安全關(guān)聯(lián)(SA)的協(xié)商。
      每個主機(jī)可產(chǎn)生僅供短時間使用的短期密鑰。它們在不需要稍后采用相同 標(biāo)識來標(biāo)識節(jié)點時是有用的。例如,從書店購買書籍可能是長期關(guān)系,而一次 性聯(lián)系服務(wù)器以收集用戶簡檔則可認(rèn)為是短期動作。在后一種情況中,可創(chuàng)建 短期標(biāo)識以避免長期標(biāo)識的更廣泛散布。作為公鑰的HIP主機(jī)標(biāo)識(HI)可能 相當(dāng)長,因而不是在所有情況中都實用。在HIP中,采用從ffl中il31^其進(jìn)行 船i」艦所產(chǎn)生的128位長的主機(jī)標(biāo)識標(biāo)志(HIT)棘示HI。因此,HIT標(biāo) 識HI。由于HIT為128位長,因此它可直接用于IPv6應(yīng)用,因為它與IPv6地 址的長度完全相同。
      主機(jī)標(biāo)識的另一種形式是本地范圍標(biāo)識符(LSI),其用32位表示主機(jī)標(biāo)識。 LSI的目的在于便于在現(xiàn)有協(xié)議和API中使用主機(jī)標(biāo)識。例如,由于LSI的長 度與IPv4地址相同,它可以直接用于IPv4應(yīng)用。雖然本說明書的其余大部分將 基于使用更長的HTT,但是應(yīng)當(dāng)明了相同或相近的考慮可應(yīng)用于替代的LSI形 式。
      附圖中的圖1說明了 HIP中的各個層,包括標(biāo)準(zhǔn)傳輸層4,網(wǎng)絡(luò)層8和鏈 路層10,其中進(jìn)程2與它下面的傳輸層4進(jìn),m信。對于HIP,新的主機(jī)標(biāo)識 層6設(shè)置在傳輸層4與網(wǎng)絡(luò)層8之間。* HI與其關(guān)聯(lián)的HIT在本地鵬到節(jié)點的IP地址。當(dāng)分組離開主機(jī)時,正確的路由被選擇(無論M什么方式), 以及相應(yīng)的IP地址被設(shè)置于分組中,作為源和目的地址。從上層到達(dá)的每個分
      組包含對等體的HIT作為目的地址。HIT與位置信息之間的,可位于HI層6。 因此,目的地址被轉(zhuǎn)換為所映射的IP地址,以及源HIT被轉(zhuǎn)換為源IP地址。
      對等HIT與IP地址之間的映射可由HIP客戶端M31若干方式來獲得,其中 的一種方式是從DNS月艮務(wù)器中獲得。典型地,DNS服務(wù)劉雜收來自客戶端 的請求用于解析因特網(wǎng)域名,例如www.serviceprovider.com。保存在DNS服務(wù) 器中的本地信息可以通M"等節(jié)點在任何時間進(jìn)行更新。
      HIP定義包含四個消息的基本消息交換,即四方握手,這用來創(chuàng)建多個HIP 使能主機(jī)之間的安全關(guān)聯(lián)(SA)。在消息交換期間,Diffie-Hdlman過程用來創(chuàng) 建會i舌密鑰以及建立多個節(jié)點之間的一對IPsec封裝安全凈荷(ESP)安全關(guān)聯(lián) (SA)。附圖中的圖2說明了四方握手的操作。協(xié)商方稱作開始連接的",方" 和"應(yīng)答方"。,方fflil發(fā)送包含參與協(xié)商的節(jié)點的HIT的II分組來開始協(xié) 商。如果應(yīng)答方的HIT不是魏方已知的,貝很標(biāo)HIT也可能是零狀態(tài)的。
      當(dāng)應(yīng)答方得到Il分組時,它發(fā)送回包含要由魏方解決的問題的R1分組。 協(xié)議經(jīng)過設(shè)計使得發(fā)起方必須在問題解決中進(jìn)行大部分計算。這提供了對于 DoS攻擊的某種保護(hù)。Rl還,Diffie-Hellman過程,其中包含應(yīng)答方的公鑰 和Di伍e-hellman參數(shù)。
      一旦接收到R1併且,發(fā)起方解決問題,并且在I2分組中向應(yīng)答方發(fā)送響 應(yīng)信息塊以及IPsecSPI艦其加密公鑰。應(yīng)答方檢驗是否已經(jīng)解決問題,對發(fā) 起方進(jìn)行鑒別,并創(chuàng)建IPsecESPSA。最后的R2消息包含應(yīng)答方的SPI值。
      主機(jī)之間的SA被綁定到由HIT所表示的主機(jī)標(biāo)識。但是網(wǎng)絡(luò)中傳遞的分 組不包含實際HI信息,但是到達(dá)的分組被標(biāo)識并采用IPsec首標(biāo)中的安全性參 數(shù)索引(SPI)值艦到正確的SA。當(dāng)輸出分組i^U:層到達(dá)HI層時,由IPsec SADB驗證目的地HIT。如果找到與目的HIT匹配的SA,禾傭與SA關(guān)聯(lián)的會 話密鑰加密分組。附圖中的圖3示出了網(wǎng)絡(luò)中的邏輯和實際分組結(jié)構(gòu)。
      移動主機(jī)可以在一個接入網(wǎng)內(nèi)部,在不同接入技術(shù)之間,或者甚至在不同 IP地址域之間,例如IPv4與IPv6網(wǎng)絡(luò)之間改變位置。在HIP中,應(yīng)用無需關(guān) 注IP地址版本的變化。ffl層對上層完全隱藏該變化。對等節(jié)點無疑必需冑,處 理改變IP版本的位置更新,以及分組必須是采用某個兼容地址來路由。如果節(jié)點沒有Ipv4以及IPv6想I性,則可采用執(zhí)fi^也iihM本轉(zhuǎn)換荊戈表節(jié)點提供M 性的代理節(jié)點。

      發(fā)明內(nèi)容
      附圖1說明了包括多個網(wǎng)頁服務(wù)器的網(wǎng)頁"場"。月艮務(wù),于網(wǎng)頁反向代理 后的專用網(wǎng)絡(luò)中。反向代理是單個聯(lián)系點,用于其之后的所有服務(wù)器。它轉(zhuǎn)發(fā) 連接至U不同網(wǎng)頁服務(wù)器。月艮務(wù)器選擇可以基于,例如負(fù)載平衡或者其它策略。 在當(dāng)前因特網(wǎng)結(jié)構(gòu)中,網(wǎng)站的因特網(wǎng)域名映射到網(wǎng)頁反向代理的IP地址。例如, www.serviceprovider.com被映射到反向代理的IP地址,其可以重定向連接到其之
      后的另一個IP地址。
      圖l中的情況是HIP的問題,因為HIP是端到端協(xié)議。在HIP中,在不同 的端點主機(jī),連接綁定到不同的HIT,因此,在圖1的情況下,客戶端應(yīng)當(dāng)與 網(wǎng)頁服務(wù)器粒端至U端連接,齡具有其自己的HI,并與反向代理無關(guān)。但是, 屬于相同集群的所有服務(wù)器應(yīng)當(dāng)具有相同的集群標(biāo)識以允許集群在單個地址可 連接,由此便于反向代理的負(fù)載平衡。
      一種方法可以是鵬多個IP地址到DNS服務(wù)器的單個HI。但是,這將難 于管理,如只要單個網(wǎng)頁服務(wù)器增加到集群中或從集群中移除,管理員必須更 新鵬寸到DNS的FQDN-HTT。另一種方法可以是在所有的參與的計算機(jī)中,使 用單個HI同時存儲相同私鑰。但這不是一個可擴(kuò)展的方法,作為私鑰應(yīng)當(dāng)僅存 儲在單個位置以最小化暴露密鑰的風(fēng)險的安全性角度而言也是不利的。
      根據(jù)本發(fā)明的第一方面,提供了一種在第一和第二主機(jī)標(biāo)識協(xié)議使能主機(jī) 之間粒主機(jī)標(biāo)識協(xié)議^i舌的方法,其中至少所述第二主機(jī)位于反向代理之后, 該方法包括
      給反向代理提供第二主機(jī)的Diffie-Hellman公鑰材料;
      從反向代理向第一主機(jī)發(fā)送所述Diffie-Hellman公鑰材料,作為主機(jī)標(biāo)識協(xié) 議基礎(chǔ)交換過程的部分,該材料被綁定到反向代理的主機(jī)標(biāo)識,用于主機(jī)標(biāo)識 協(xié)議會話;以及
      以及在第一主機(jī),使用反向代理的主機(jī)標(biāo)識作為用于主機(jī)標(biāo)識助、議會話的 相應(yīng)主機(jī)標(biāo)識,并且在第二主機(jī),使用反向代理的主機(jī)標(biāo)識作為發(fā)起主機(jī)標(biāo)識 用于主機(jī)標(biāo)識助、議^i舌。
      對于本領(lǐng)域技術(shù)人員而言,反向代理是一種通過作為來自外部請求的最終IP地址來作為其它主機(jī)的http服務(wù)器場或集群的網(wǎng)關(guān)的代理。從外部客戶端的 角度而言,反向代理是http服務(wù)器。
      本發(fā)明具體應(yīng)用于第二主機(jī)是網(wǎng)頁服務(wù)器的情況,其是網(wǎng)頁服務(wù)器集群或 場中的一個網(wǎng)頁服務(wù)器。
      在本發(fā)明的具體實施例中,對應(yīng)于所述D逝e-Hellman公鑰材料的 Diffie-Hellman私鑰材料僅由第二主機(jī)保留而不提供給反向代理。數(shù)據(jù)分組的加 密/解密和/或鑒別不在反向代理中執(zhí)行。
      在本發(fā)明的另一實施例中,由第二主機(jī)提供給反向代理的會話密鑰材料允 許反向代理執(zhí)行數(shù)據(jù)分組的加密/解密和/或鑒別。優(yōu)選地,所述會話密鑰材料在 主機(jī)標(biāo)識協(xié)議基礎(chǔ)効奐過程中的R2消息中提供給反向代理。如果在第一和第二 主機(jī)之間執(zhí)行密鑰更新,貝IJ會話密鑰材料在UPDATE消息中提供給反向代理。
      本發(fā)明的實施例導(dǎo)致生成D-H材料的服務(wù)器(第二主機(jī))從標(biāo)記相應(yīng)的包 含D-H TLV的R1消息的反向代理中分離出來。服務(wù)器將其連接與反向代理的 HI綁定。該服務(wù)器不需要知道反向代理的私鑰。結(jié)果是與代理之后服務(wù)器的通 信對于第一主機(jī)而言是透明的。單個反向代理可以標(biāo)識多個屬于相同集群的服 務(wù)器??梢允褂脝蝹€主機(jī)標(biāo)識(HI)來標(biāo)識集群中的所有服務(wù)器。管理員可以 從集群中增加和移除服務(wù)器而不需要擔(dān)心HI管理或DNS的更新。力Ai機(jī)的角 度而言,第一主機(jī)僅接收來自與具體如網(wǎng)站綁定的DNS的HI。該主機(jī)不需要 關(guān)心多個HI。這可以將例如負(fù)載平衡工作留給負(fù)責(zé)重定向其后不剛艮務(wù)器之間 業(yè)務(wù)的反向代理。
      根據(jù)本發(fā)明的第二方面,其提供了用于在第一和第二主機(jī)標(biāo)識協(xié)議使能主
      機(jī)之間建立主機(jī)標(biāo)識助、議會話的反向代理,其中所述第二主機(jī)位于反向代理之
      后,該代理包括
      用于接收第二主機(jī)公鑰材料和用于存儲所述材料的裝置; 用于從反向代理向第一主機(jī)發(fā)送所述公鑰材料作為主機(jī)標(biāo)識協(xié)議基礎(chǔ)交換
      過程的一部分的裝置,該材料被綁定到反向代理的主機(jī)標(biāo)識用于主機(jī)標(biāo)識協(xié)議
      會話;以及
      用于隨后轉(zhuǎn)發(fā)從第一主機(jī)接收的分組到第二主機(jī)的裝置。 根據(jù)本發(fā)明的第三方面,其提供了配置在反向代理之后使用的主機(jī)標(biāo)識協(xié) 議主機(jī),該主機(jī)包括發(fā)勝機(jī)公鑰材料至U反向代理的裝置;
      用于在主機(jī)標(biāo)識協(xié)議基礎(chǔ)交換過程與對等主機(jī)通信的裝置,該,使用反 向代理的主機(jī)標(biāo)識作為用于主機(jī)標(biāo)識協(xié)議會話的發(fā)起主機(jī)標(biāo)識。


      圖1圖形化說明了主機(jī)標(biāo)識協(xié)議中的各個層; 圖2說明了 HIP協(xié)議中的四方握手的操作; 圖3示出了 HIP中的邏輯和實際分組結(jié)構(gòu); 圖4示例性地說明了網(wǎng)頁場或集群;
      圖5示例性地說明了圖4網(wǎng)頁場中的反向代理網(wǎng)頁服務(wù)器之間的公鑰材料 的共享;
      圖6是大概說明與修改的主機(jī)標(biāo)識協(xié)議基礎(chǔ)交換過程關(guān)聯(lián)的信令術(shù)語的信
      令流程圖;以及
      圖7是是大概說明根據(jù)本發(fā)明可替換的實施例的更新密鑰過程關(guān)聯(lián)的信令
      術(shù)語的信令流程圖。
      具體實施例方式
      如下是在圖4說明的用于使用網(wǎng)頁場上下文中HIP的過程的推M。 在啟動階段,當(dāng)在專用網(wǎng)絡(luò)的服務(wù)器場中建立新的網(wǎng)頁服務(wù)器時,該新服 務(wù)器生成其自己的公鑰和私鑰。因此,它得到自己的主機(jī)標(biāo)識。它還需要 Diffie-Hellman密鑰材料,期每在之后的HIP基礎(chǔ)交換過程中用于生成與對等節(jié) 點共享的密鑰。該新服務(wù)器生成私有部分(D-H-private)和公有部分 (D"H-public)。該網(wǎng)頁服務(wù)器注冊至鵬務(wù)器場信任的反向代理,并向該反向代 理發(fā)送D-H-public值。該反向代理生成包含服務(wù)器的D-H-public值的Rl分組, 并用自己的HI私鑰來標(biāo)記它。反向代理因此維護(hù)多個R1分組,(至少) 一個用 于服務(wù)器場中的任一個服務(wù)器節(jié)點。該f青形在圖5中說明。
      當(dāng)專用網(wǎng)絡(luò)之外的客戶端解決網(wǎng)頁場(如www.serivceprovider.com)的 FQDN名時,其認(rèn)為網(wǎng)站是一個月艮務(wù)器。DNS返回IP地址和反向代理的HI到 客戶端??蛻舳烁鶕?jù)反向代理的HI生成HIT,之后生成包含該HIT的Il分組, 并將其發(fā)送給反向代理。反向代理根據(jù)某個策略(如負(fù)載平衡),在專用網(wǎng)絡(luò)中 選擇合適的網(wǎng)頁服務(wù)器,并將具有對應(yīng)于所劍艮務(wù)器的預(yù)設(shè)Rl分組的II分組 答復(fù)給發(fā)送方??蛻舳耸褂梅聪虼淼腍I驗證Rl分組的標(biāo)記。然后在Rl分組中解決該問題,生成包含解決方法的12分組,并將其發(fā)送給反向代理。反向
      代理確認(rèn)解決方法并轉(zhuǎn)發(fā)12消息給其之后的正確的服務(wù)器。i刻艮務(wù)器確認(rèn)12分 組,生成密鑰材料,并粒與客戶端4頓的IPsecSA對。
      需要指出的是網(wǎng)頁服務(wù)器不需要知道反向代理的HIP私鑰。但是該服務(wù)器 可以綁定本地連接和IPsec SA到反向代理的HTT。也就是說,該服務(wù)器不能標(biāo) 記到客戶端的HIP消息,因為其不知道代理的HI私鑰,但是其可以使用反向代 理的HIT用于連接綁定。該反向代理禾擁其自己的私鑰標(biāo)記Rl和R2消息。這 種方式下,客戶端不知道其實際與服務(wù)器通信。
      該服務(wù)器i頓包括該服務(wù)器的ESP SPI值的R2消息鄉(xiāng)行響應(yīng)。該服務(wù)器 4頓其自己的HI私鑰來標(biāo)記R2分組。當(dāng)反向代理接收R2分組時,l驗證服 務(wù)器的標(biāo)記。網(wǎng)頁反向代理用其自己的標(biāo)記來替換R2中的服務(wù)器標(biāo)記。由反向 代理標(biāo)記的R2分組被發(fā)送到客戶端。該結(jié)果是該客戶端認(rèn)為其與反向代理通 信,但是端到端密鑰材料是共享的,并且IPsec業(yè)務(wù)在客戶端和服務(wù)器之間流動。
      用于該機(jī)制的具體信令流在圖6中描述,其中客戶端具有標(biāo)識"HI-client", 反向代理具有標(biāo)識"ffl-reverse-proxy"以及服務(wù)器具有標(biāo)識"HI-server"。信令 步驟如下所述
      1. 網(wǎng)頁服務(wù)器生成D-H密鑰對。該密鑰對由公有和私有材料構(gòu)成。該私有 材料僅存儲在服務(wù)器中,該公有材料在注冊階段被發(fā)送給代理(參見步驟3)。
      2. 集群的管理局指定用于服務(wù)器的主反向代理。劍艮務(wù)器先前已獲取了反 向代理的HI (公鑰)。
      3. 該服務(wù)器將其D-H公有材料(HIP中,這在稱為D-H TLV的 DIFFIE—HELLMAN參數(shù)中被發(fā)送)注冊到反向代理。i刻艮務(wù)器使用HIP注冊 交換[draft-koponen-hip-registratin-01]來將D-H TLV注冊到反向代理。D-H TLV it^、須由服務(wù)驗注冊消息中標(biāo)記。該反向代理生成和保存包含服務(wù)器的D-H TLV的R1消息。存儲的R1消息由反向代理的HI私鑰來標(biāo)記。反向代理生成
      (至少) 一個Rl分組用于在其之后的每個服務(wù)器。必須驗證其生成的每個Rl 分組在問題中具有不同的隨機(jī)I-值。該I-值之后用于識別來至啲12分組。
      4. 網(wǎng)頁客戶端決定聯(lián)系網(wǎng)站(如www.serviceprovider.com),并通過聯(lián)系 DNS來解決HIT和IP地址。其獲得HI和IP地址用于反向代理??蛻舳松刹?發(fā)送II消息到反向代理。該II包含反向代理的HIT并指向反向代理的IP地址。5. 當(dāng)反向代理接收Il消息時,其作出決定以使其之后的其中一個web月艮務(wù) 器可以服務(wù)于該客戶端。該決定基于本地策略作出,如根據(jù)不同服務(wù)器的當(dāng)前 負(fù)載。該反向代理之后選擇為所選服務(wù)器預(yù)生成的Rl消息,其包含服務(wù)器的 D-H公有值。反向代理^f柳該Rl消息答復(fù)客戶端,從而提供所選web月艮務(wù)器 的D-H公有材料給客戶端。
      6. 客戶端在R1消息中解決該問題,生成包含其D-H公有材料的I2分組, 并將其發(fā)送給反向代理。該反向代理檢查該問題中的I-值(其還識別反向代理 已選擇的服務(wù)器),檢驗I2消息中的問題,并轉(zhuǎn)發(fā)該I2消息到正確的服務(wù)器。
      7. 月艮務(wù)皿收I2消息。該I2消息包含客戶端和反向代理的HTT。
      8. 月艮務(wù)器4柳客戶端的D-H公有材料校驗該消息,并{頓其自己的D-H密 鑰材料(步驟l)和客戶端的D-H TLV生成HIP和IPsec密鑰材料。月艮務(wù)器將 SA對綁定到反向代理和客戶端的的HI。月艮務(wù)器隨后使用反向代理的HIT用于 計算分組校驗和。[客戶端沒有設(shè)置成知道服務(wù)器自己的fflT]。
      9. 月艮務(wù)器發(fā)送包含服務(wù)器SPI值的R2消息給反向代理。其{頓自己的111-服務(wù)器私鑰來標(biāo)記R2分組。
      10. 反向代理校驗R2分組中的標(biāo)記,從分組中剝離服務(wù)器的標(biāo)記,并利用 HI反向代理私鑰添加其自己的標(biāo)記。
      11. 反向代理發(fā)送該重新標(biāo)記的R2分組到客戶端。
      12. 結(jié)果是客戶端和服務(wù)器分享相同的密鑰材料,并且該材料僅由它們所 知(而反向代理不知)。然而與服務(wù)器的通信對于客戶端而言是透明的,并且客 戶端相信其與代理通信。客戶端發(fā)送IPsecESP分組到之后轉(zhuǎn)發(fā)這些分組到服務(wù) 器的反向代理。
      i^方法維護(hù)客戶端和web月艮務(wù)器之間的端至臓的安全性。但是,假設(shè)反 向代理和web服務(wù)器之間的鏈路是安全的,并且在專用網(wǎng)絡(luò)中共享私鑰不是個 問題,可替換的方法是web月艮務(wù)器授權(quán)IPsec加密和/或鑒別密鑰給反向代理。 當(dāng)反向代理具有加密密鑰時,其可以處理數(shù)據(jù)鑒別和加密/解密,將數(shù)據(jù)遺留在 反向代理和未受保護(hù)的web服務(wù)器之間的鏈路上。當(dāng)反向代理具有鑒別密鑰時, 其可以驗證到來的分組,由此保護(hù)web月艮務(wù)器免受Dos攻擊。該方法可以被修 改以便僅有鑒別在反向代理中執(zhí)行而沒有加密/解密。這偶 供給web服務(wù)器 有利的"網(wǎng)守"月艮務(wù)。更詳細(xì)地考慮可替換方法,當(dāng)web服務(wù)器需要授權(quán)IPsec密鑰給反向代理時, 其添加密鑰到R2消息的參數(shù)中(如上修改步驟10)。 R2消息請求新的參OT 于該目的KEY—ENCR包含加密密鑰和KEY一AUTH包含鑒別密鑰。當(dāng)反向代 理接收其中任一參數(shù)時,其保存密鑰并從R2分組中刪除它們。R2分組被重新 標(biāo)記并被發(fā)送給客戶端?;谠撁荑€信息,反向代理可以執(zhí)行所請求的密碼操 作。反向代理可以生成密鑰來取代從網(wǎng)頁服務(wù),收密鑰嗎?
      客戶端和web月艮務(wù)器可以4OT UPDATE消息執(zhí)行重新加密鑰。這種情況下, 來自服務(wù)器的UPDATE消息必須包含KEY—ENCR禾口/或KEY_AUTH參數(shù),如 果相應(yīng)的操作已經(jīng)被授權(quán)給反向代理的話。反向代理保存密鑰信息,刪除這些 參數(shù),并在發(fā)送分組給客戶端之前重新對其標(biāo)記。因為UPDATE過程是三方握 手,任一方可以啟動它,包含KEY參數(shù)的消息依據(jù)于誰啟動重新加密鑰。如果 客戶端啟動它,第二UPDATE消息(由服務(wù)器發(fā)送的唯一一個)包含這些參數(shù), 并且如果服務(wù)器己經(jīng)啟動了它,第三UPDATE消息包含它們。圖7說明了當(dāng)客 戶端啟動重新加密鑰的過程。
      本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)明了可以對上述實施例進(jìn)行多種修改而不脫離權(quán)利 要求的范圍。例如,所述的方法可以用于提供一般的客戶端之間的尋址和路由 機(jī)制。同樣地,網(wǎng)頁服務(wù)器可以是位于反向代理之后的任意HIP使能客戶端。 但是,這種實現(xiàn)方式要求客戶端(位于反向代理之后)和反向代理之間額外的 鑒別和授禾鄉(xiāng)呈。
      權(quán)利要求
      1、一種在第一主機(jī)標(biāo)識協(xié)議使能主機(jī)和第二主機(jī)標(biāo)識協(xié)議使能主機(jī)之間建立主機(jī)標(biāo)識協(xié)議會話的方法,其中至少所述第二主機(jī)位于反向代理之后,該方法包括給反向代理提供第二主機(jī)的Diffie-Hellman公鑰材料;從反向代理向第一主機(jī)發(fā)送所述Diffie-Hellman公鑰材料作為主機(jī)標(biāo)識協(xié)議基礎(chǔ)交換過程的一部分,該材料被綁定到反向代理的主機(jī)標(biāo)識以用于主機(jī)標(biāo)識協(xié)議會話;以及在第一主機(jī)處,使用反向代理的主機(jī)標(biāo)識作為用于主機(jī)標(biāo)識協(xié)議會話的相應(yīng)主機(jī)標(biāo)識,并且在第二主機(jī)處,使用反向代理的主機(jī)標(biāo)識作為用于主機(jī)標(biāo)識協(xié)議會話的發(fā)起主機(jī)標(biāo)識。
      2、 根據(jù)權(quán)利要求1的方法,其中所述第二主機(jī)是web服務(wù)器,其是web 服務(wù)體群或場中的一 個web服務(wù)器。
      3、 根據(jù)權(quán)利要求1或2的方法,其中相應(yīng)于所述Diffie-Hellman公鑰材料 的D通e-Hellman私鑰材料僅被第二主機(jī)保留而不提供給反向代理。
      4、 根據(jù)權(quán)利要求1或2的方法,其中會i舌密鑰材料由第二主機(jī)提供給反向 代理,以允許反向代理執(zhí)行數(shù)據(jù)分組的加密/解密和/或鑒別。
      5、 根據(jù)權(quán)利要求4的方法,其中所述會i舌密鑰材料在主機(jī)標(biāo)識幼、議基礎(chǔ)交 換過程的R2消息中被提供給反向代理。
      6、 根據(jù)權(quán)利要求4或5的方法,其中通過提供UPDATE消息中的會話密 鑰材料給反向代理,在第一和第二主機(jī)之間執(zhí)行重新加密鑰。
      7、 一種用于在第一主機(jī)標(biāo)識協(xié)議使能主機(jī)和第二主機(jī)標(biāo)識協(xié)議使能主機(jī)之 間建立主機(jī)標(biāo)識協(xié)議會i舌的反向代理,其中所述第二主機(jī)位于反向代理之后, 該代理包括用于接收第二主機(jī)的公鑰材料和用于存儲所述材料的裝置; 用于從反向代理向第一主機(jī)發(fā)送所述公鑰材料作為主機(jī)標(biāo)識協(xié)議基礎(chǔ)交換過程的一部分的裝置,該材料被綁定到反向代理的主機(jī)標(biāo)識以用于主機(jī)標(biāo)識協(xié)議會i舌;以及用于轉(zhuǎn)發(fā)隨后從第一主機(jī)接收的分組到第二主機(jī)的裝置。
      8、 一種配置鵬反向代理之后i頓的主機(jī)標(biāo)識協(xié)議主機(jī),該主機(jī)包括 用于發(fā)送主機(jī)的公鑰材料到反向代理的裝置;用于在主機(jī)標(biāo)識協(xié)議基礎(chǔ)交換過程與對等主機(jī)通信的裝置,該,使用反 向代理的主機(jī)標(biāo)識作為用于主機(jī)標(biāo)識協(xié)議會話的發(fā)起主機(jī)標(biāo)識。
      全文摘要
      在第一和第二主機(jī)標(biāo)識協(xié)議使能主機(jī)之間建立主機(jī)標(biāo)識協(xié)議會話的方法,其中至少所述第二主機(jī)位于反向代理之后。該方法包括給反向代理提供第二主機(jī)Diffie-Hellman公鑰材料,從反向代理向第一主機(jī)發(fā)送所述Diffie-Hellman公鑰材料作為主機(jī)標(biāo)識協(xié)議基礎(chǔ)交換過程的一部分,該材料被綁定到反向代理的主機(jī)標(biāo)識以用于主機(jī)標(biāo)識協(xié)議會話,并且在第一主機(jī)處,利用反向代理的主機(jī)標(biāo)識作為用于主機(jī)標(biāo)識協(xié)議會話的相應(yīng)主機(jī)標(biāo)識,在第二主機(jī)處,利用反向代理的主機(jī)標(biāo)識作為用于主機(jī)標(biāo)識協(xié)議會話的發(fā)起主機(jī)標(biāo)識。
      文檔編號H04L29/06GK101444064SQ200780017012
      公開日2009年5月27日 申請日期2007年4月30日 優(yōu)先權(quán)日2006年5月11日
      發(fā)明者J·伊利塔洛, J·梅倫, P·約克拉, R·武奧皮安佩雷 申請人:艾利森電話股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1