專利名稱:維持安全網(wǎng)絡(luò)連接的技術(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及電信����,更具體來說,涉及維持安全網(wǎng)絡(luò)連接的技木��。
背景技術(shù):
IP安全(IPSec)是包括由互聯(lián)網(wǎng)工程任務(wù)組(IETF)開發(fā)的一組用來支持IP層分組的安全交換的協(xié)議的互聯(lián)網(wǎng)協(xié)議(IP)的安全體系結(jié)構(gòu)�����。IPSec通過使系統(tǒng)能選擇必需的安全協(xié)議���、確定用于服務(wù)的算法以及放入任何必需的密鑰以提供被請(qǐng)求的服務(wù)來提供安全服務(wù)�����。IPsec使用兩個(gè)協(xié)議來提供業(yè)務(wù)安全鑒權(quán)頭(AH)和封裝安全凈荷(ESP)�。為使IPsec工作,進(jìn)行發(fā)送和接收的設(shè)備通常共享通過互聯(lián)網(wǎng)安全關(guān)聯(lián)及密鑰管理協(xié)議(ISAKMP)處理的公鑰�����。安全關(guān)聯(lián)(SA)是完整規(guī)定必需的服務(wù)及機(jī)制以在安全協(xié)議位置處保護(hù)業(yè)務(wù)的一組安全協(xié)議特定的參數(shù)�����。這些參數(shù)通常包括算法標(biāo)識(shí)符�、模式、密鑰等�����。SA常由其關(guān)聯(lián)的安全協(xié)議(例如�����,“ ISAKMP SA ”��、“ ESP SA ”)來引用。在兩個(gè)網(wǎng)絡(luò)部件之間的安全連接的初始化時(shí)����,它們必須首先協(xié)商ISAKMP SA以保護(hù)其進(jìn)一步的協(xié)商。該ISAKMP SA然后被用于協(xié)商協(xié)議SA�。在協(xié)議SA的協(xié)商和建立期間��,產(chǎn)生了用于各SA的安全參數(shù)指數(shù)(SPI)��。協(xié)商的SA通常存儲(chǔ)在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD)中���,并且SPI與目的IP地址及安全協(xié)議一起使用以唯一識(shí)別SA��。通常通過啟用IPsec的部件來維持的另ー數(shù)據(jù)庫(kù)是指定關(guān)于所有IP分組的處置的策略的安全策略數(shù)據(jù)庫(kù)(SPD)����。各啟用IPsec的接ロ通常分別維持入站和出站數(shù)據(jù)庫(kù)(SB)和SAD)����。在變得越來越普及的無線局域網(wǎng)(WLAN)中,移動(dòng)用戶使用不同的IP地址在不同子網(wǎng)中漫游或從一地理區(qū)域漫游到另一區(qū)域并非不常見�。在移動(dòng)客戶端經(jīng)歷IP地址改變的同時(shí),支持維持安全連接而不丟失數(shù)據(jù)的能力已變成日益所希望的��。然而,當(dāng)前IPs ec體系結(jié)構(gòu)不支持這樣的不中斷原連接并重新建立新連接的IP地址改變����。其結(jié)果是,漫游客戶端將遭遇不可避免的網(wǎng)絡(luò)服務(wù)的中斷���,這不僅對(duì)客戶端不方便�,而且也由于來自重復(fù)的安全協(xié)商的開銷成本使網(wǎng)絡(luò)難以負(fù)擔(dān)���。連接丟失問題的一個(gè)解決方案是在IPsec實(shí)現(xiàn)中采用移動(dòng)IP���。使用該解決方案,移動(dòng)客戶端在其歸屬網(wǎng)絡(luò)中被分派較永久的移動(dòng)IP地址���。當(dāng)客戶端漫游進(jìn)入外網(wǎng)時(shí)���,他獲得來自外部代理的轉(zhuǎn)交IP地址并通過該外部代理與世界的其余部分進(jìn)行通信。如圖I所示�,當(dāng)該移動(dòng)客戶端從網(wǎng)絡(luò)I漫游到網(wǎng)絡(luò)2時(shí),他不得不維持兩條到安全服務(wù)器的隧道以便不丟失連接�����。帶有兩條隧道的移動(dòng)IP的效率非常低并且對(duì)于資源受限的移動(dòng)單元來說尤其成問題。此外�����,要花費(fèi)相當(dāng)多的開發(fā)努力來實(shí)現(xiàn)移動(dòng)IP���。鑒于前述問題���,必需提供ー種克服上述不足和缺點(diǎn)的移動(dòng)性解決方案�����。
發(fā)明內(nèi)容
根據(jù)本發(fā)明���,提供了維持安全網(wǎng)絡(luò)連接的技術(shù)��。在一具體的示范性實(shí)施例中�����,該技術(shù)可實(shí)現(xiàn)為維持安全網(wǎng)絡(luò)連接的方法��。該方法可包括檢測(cè)與第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址的改變�����。該方法還可包括在第一網(wǎng)絡(luò)部件中更新至少ー個(gè)第一安全配置�����。該方法還可包括將至少一條安全消息從第一網(wǎng)絡(luò)部件發(fā)送到第二網(wǎng)絡(luò)部件�����,其中所述至少一條安全消息包括與地址的改變相關(guān)聯(lián)的信息�����。并且該方法可包括至少部分基于所述至少一條安全消息而在第二網(wǎng)絡(luò)部件中更新至少ー個(gè)第二安全配置����。根據(jù)本發(fā)明的該具體示范性實(shí)施例的其他方面,對(duì)安全關(guān)聯(lián)的查找可不依賴于任何目的地址���。根據(jù)本發(fā)明的該具體示范性實(shí)施例的另ー些方面��,第一網(wǎng)絡(luò)部件可以是移動(dòng)客戶端并且第二網(wǎng)絡(luò)部件可以是安全網(wǎng)關(guān)��。根據(jù)本發(fā)明的該具體示范性實(shí)施例的又ー些方面�����,第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件·可以是虛擬專用網(wǎng)(VPN)的一部分�����。根據(jù)本發(fā)明的該具體示范性實(shí)施例的其他方面����,在第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件間的通信可基于互聯(lián)網(wǎng)協(xié)議的安全體系結(jié)構(gòu)(IPsec)。在第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件間的通信中的至少一部分可基于互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)�����。第二網(wǎng)絡(luò)部件可基于在至少一條安全消息中的至少ー個(gè)cookie字段來識(shí)別至少ー個(gè)安全關(guān)聯(lián)���。在另一具體示范性實(shí)施例中,該技術(shù)可通過用于發(fā)送指令的計(jì)算機(jī)程序的至少ー個(gè)載波中體現(xiàn)的至少ー個(gè)信號(hào)來實(shí)現(xiàn)�����,所述至少ー個(gè)信號(hào)配置成可由至少ー個(gè)處理器讀取以命令上述至少ー個(gè)處理器來執(zhí)行用以完成上述方法的計(jì)算機(jī)進(jìn)程���。在又一具體示范性實(shí)施例中��,該技術(shù)可通過用于存儲(chǔ)指令的計(jì)算機(jī)程序的至少ー個(gè)處理器可讀載波來實(shí)現(xiàn)����,所述處理器可讀載波配置成可由至少ー個(gè)處理器讀取以命令上述至少一個(gè)處理器來執(zhí)行用以完成上述方法的計(jì)算機(jī)進(jìn)程。在又一具體示范性實(shí)施例中��,該技術(shù)可作為用于維持安全網(wǎng)絡(luò)連接的方法來實(shí)現(xiàn)�����。該方法可包括在第二網(wǎng)絡(luò)部件和第三網(wǎng)絡(luò)部件之間復(fù)制與第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件之間的安全網(wǎng)絡(luò)連接相關(guān)聯(lián)的信息�,其中與安全網(wǎng)絡(luò)連接相關(guān)聯(lián)的安全關(guān)聯(lián)的查找不依賴于任何目的地址。該方法還包括用與第一網(wǎng)絡(luò)部件連接的安全網(wǎng)絡(luò)中的第三網(wǎng)絡(luò)部件來取代第二網(wǎng)絡(luò)部件����。該方法還包括將至少一條安全消息從第三網(wǎng)絡(luò)部件發(fā)送到第一網(wǎng)絡(luò)部件。在另一具體示范性實(shí)施例中��,該技術(shù)可作為用于維持安全網(wǎng)絡(luò)連接的方法來實(shí)現(xiàn)��。該方法可包括配置多個(gè)安全網(wǎng)關(guān)以便安全關(guān)聯(lián)的查找不依賴于任何目的地址����。該方法還可包括在多個(gè)安全網(wǎng)關(guān)中共享至少ー個(gè)安全關(guān)聯(lián)����。在又一具體示范性實(shí)施例中�,該技術(shù)可通過用于維持安全網(wǎng)絡(luò)連接的系統(tǒng)來實(shí)現(xiàn)。該系統(tǒng)可包括檢測(cè)與第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址改變的裝置�����、在第一網(wǎng)絡(luò)部件中更新至少ー個(gè)第一安全配置的裝置�����、將至少一條包括與地址改變相關(guān)聯(lián)的信息的安全消息從第一網(wǎng)絡(luò)部件發(fā)送到第二網(wǎng)絡(luò)部件的裝置���、以及基于所述至少一條安全消息來在第二網(wǎng)絡(luò)部件中更新至少ー個(gè)第二安全配置的裝置?���,F(xiàn)在將示出在參考附圖中的示范性實(shí)施例更詳細(xì)地說明本發(fā)明�����。盡管下文參考示范性實(shí)施例說明本發(fā)明���,但是應(yīng)當(dāng)理解本發(fā)明并不限于此。那些閱讀了本文教授內(nèi)容的本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識(shí)到本文所公開和要求的本發(fā)明的另外實(shí)現(xiàn)、修改和實(shí)施例以及其它領(lǐng)域的使用��,關(guān)于它們�����,本發(fā)明具有明顯的實(shí)用性�。
為了便于更完整地理解本發(fā)明,現(xiàn)在參考附圖����,其中相似的部件用相似的標(biāo)記表示。這些附圖不應(yīng)解釋為限制本發(fā)明�����,而僅作為范例����。圖I是在現(xiàn)有技術(shù)中采用的移動(dòng)IP解決方案的示意性說明。圖2是說明根據(jù)本發(fā)明的實(shí)施例用于維持安全網(wǎng)絡(luò)連接的示范性方法的流程圖����。圖3是根據(jù)本發(fā)明的實(shí)施例的示范性IPsec分組的說明。
圖4是根據(jù)本發(fā)明的實(shí)施例說明用于維持安全網(wǎng)絡(luò)連接的示范性系統(tǒng)的框圖���。圖5是根據(jù)本發(fā)明的實(shí)施例說明高可用性的示范性實(shí)現(xiàn)的框圖����。圖6是根據(jù)本發(fā)明的實(shí)施例說明群安全模式的示范性實(shí)現(xiàn)的框圖。
具體實(shí)施例方式為了說明的目的�,下面將特別參考隧道模式中的IPsec來說明根據(jù)本發(fā)明用于維持安全網(wǎng)絡(luò)連接的技木。然而�����,應(yīng)理解該技術(shù)可適用于任何安全網(wǎng)絡(luò)協(xié)議而不需考慮操作的模式����。下文使用的“安全網(wǎng)關(guān)”指任何實(shí)現(xiàn)IPsec協(xié)議的中間或終端系統(tǒng),如路由器���、防火墻或服務(wù)器�?�!耙苿?dòng)客戶端”指使用IPsec協(xié)議與安全網(wǎng)關(guān)通信的遠(yuǎn)程用戶或單元�����。ー個(gè)或多個(gè)安全網(wǎng)關(guān)和移動(dòng)客戶端可建立安全網(wǎng)絡(luò)系統(tǒng)�。參考圖2,示出了根據(jù)本發(fā)明的實(shí)施例說明維持安全網(wǎng)絡(luò)連接的示范性方法�。在步驟200中,使安全關(guān)聯(lián)(SA)查找獨(dú)立于系統(tǒng)范圍之目的IP地址��。在隧道模式中的IPsec的上下文中�,IPsec處理的分組通常具有如圖3所示的格式。該分組包括外IP頭�、IPsec頭、內(nèi)IP頭和其他數(shù)據(jù)�。包含最初的源和目的地址的內(nèi)IP頭以及其他數(shù)據(jù)(例如凈荷)用加密來保護(hù)。與加密和鑒權(quán)相關(guān)聯(lián)的信息被包含在IPsec頭內(nèi)���。并且外IP頭包括隧道端點(diǎn)的源和目的地址�。對(duì)于入站處理�����,安全網(wǎng)關(guān)將在外IP頭內(nèi)使用目的IP地址��,并與在IPsec頭中指示的安全參數(shù)指數(shù)(SPI)和協(xié)議類型一起�����,以便在本地SA數(shù)據(jù)庫(kù)(SAD)中查找適當(dāng)?shù)腟A����。然后該適當(dāng)?shù)腟A或SA束被用于鑒權(quán)并解密分組�。當(dāng)使得SA查找獨(dú)立于目的IP地址時(shí)���,SPI可被用來在協(xié)議中唯一地識(shí)別SA��。該系統(tǒng)范圍的變化可提供許多優(yōu)點(diǎn)�����。例如�,因?yàn)槿胝咎幚聿辉僖蕾囉谀康腎P地址�,所以外IP地址的改變不會(huì)影響安全網(wǎng)關(guān)找出正確SA的位置的能力。而且����,由于對(duì)目的IP地址的依賴的去除,同一 SA可在群中的多條IPsec隧道和多個(gè)節(jié)點(diǎn)之間共享��。作為結(jié)果發(fā)生的高可用性和群安全模式將在下文更詳細(xì)地說明����。在步驟202中,移動(dòng)客戶端可檢測(cè)他自己的IP地址改變。由于移動(dòng)客戶端移入不同網(wǎng)絡(luò)或地理區(qū)域�,其IP地址可變?yōu)椴煌怠5刂返母淖円部蓮木W(wǎng)絡(luò)適配器的轉(zhuǎn)換而產(chǎn)生���,例如從WLAN到LAN卡或反之。因?yàn)橐苿?dòng)客戶端檢測(cè)該變化�����,它可保持新地址與舊地址的記錄�。在步驟204中,移動(dòng)客戶端可用新的IP地址更新他自己的ISAKMP SA和IPsec SA��。下一歩��,在步驟206中�����,移動(dòng)客戶端可使用當(dāng)前的ISAKMP SA來將NOTIFY消息發(fā)送到其中該客戶端與其一直維持安全連接的安全網(wǎng)關(guān)���。NOTIFY消息可包括至少該客戶端的舊IP地址和新IP地址��。NOTIFY消息還可包括序號(hào)以便確保復(fù)制分組的可靠的傳遞和檢測(cè)���。NOTIFY消息的內(nèi)容通過ISAKMP SA加密被安全地保護(hù)��。ISAKMP NOTIFY消息可與其他ISAKMP消息有相同的重試和超吋�。在步驟208中���,一旦安全網(wǎng)關(guān)接收到NOTIFY消息�����,它就可基于在ISAKMP頭的cookie字段找出適當(dāng)?shù)腎SAKMP SA的位置���。該cookie字段唯一識(shí)別與NOTIFY消息相關(guān)聯(lián)的SA。適當(dāng)?shù)腟A然后可被應(yīng)用來處理安全NOTIFY消息以便提取舊的和新的IP地址�。在步驟210中,安全網(wǎng)關(guān)然后可基于移動(dòng)客戶端的舊的和新的IP地址更新其SAD����。根據(jù)本發(fā)明的實(shí)施例,更需要基于來自移動(dòng)客戶端的安全NOTIFY消息�,而不是基于具有新的IP地址的入站數(shù)據(jù)來更新安全網(wǎng)關(guān)的SAD。因?yàn)橥釯P頭沒有通過如消息鑒權(quán)散列碼(HMAC)的完整性檢查來保護(hù)���,所以使用外IP頭更新出站SAD或ISAKMP SA可使安全網(wǎng)關(guān)暴露在拒絕服務(wù)(DoS)攻擊中���。而且�����,安全網(wǎng)關(guān)可能需要在任何入站數(shù)據(jù)接收前將數(shù)據(jù)轉(zhuǎn)發(fā)給客戶端��。
在步驟212中,在用移動(dòng)客戶端的新IP地址更新安全網(wǎng)關(guān)后�����,IPsec連接可被維持�����。IP業(yè)務(wù)可繼續(xù)在它們之間的兩個(gè)方向間流動(dòng)而不被破壞����。一旦移動(dòng)客戶端接收目的地為新IP地址的數(shù)據(jù)分組,它將知道新IP地址的更新已成功?���,F(xiàn)在參考圖4,示出了根據(jù)本發(fā)明的實(shí)施例說明用于維持安全網(wǎng)絡(luò)連接的示范性系統(tǒng)的框圖���。系統(tǒng)400可以是實(shí)現(xiàn)IPsec協(xié)議的任何網(wǎng)絡(luò)部件(例如遠(yuǎn)程單元�����、路由器或服務(wù)器)����。系統(tǒng)400通常包括處理器模塊402、存儲(chǔ)模塊404以及收發(fā)信機(jī)模塊406���。處理器模塊402可以是中央處理器単元(CPU)�����、微控制器�、數(shù)字信號(hào)處理(DSP)単元或具有分組處理和硬件控制功能的計(jì)算機(jī)�。存儲(chǔ)模塊404可以是可被處理器訪問的存儲(chǔ)設(shè)備,如半導(dǎo)體存儲(chǔ)器���、非易失性存儲(chǔ)器����、硬盤����、⑶-ROM等�。存儲(chǔ)模塊404可保持包括SAD���、SPD以及IP地址等的數(shù)據(jù)記錄����。收發(fā)信機(jī)模塊406能發(fā)送和接收數(shù)據(jù)分組�����。在操作中�����,處理器模塊402可根據(jù)上述示范性方法遵循包括ISAKMP的IPsec協(xié)議����。系統(tǒng)400描繪了移動(dòng)客戶端或安全網(wǎng)關(guān)的典型部件�。對(duì)于移動(dòng)客戶端,處理器模塊402可檢測(cè)其IP地址的改變���,將舊的和新的地址存儲(chǔ)在存儲(chǔ)模塊404中�����,用新的地址更新本地SAD����,并將ISAKMP NOTIFY消息經(jīng)由收發(fā)信機(jī)模塊406發(fā)送到安全網(wǎng)關(guān)。對(duì)于安全網(wǎng)關(guān)����,處理器模塊402可經(jīng)由收發(fā)信機(jī)模塊406接收ISAKMP NOTIFY消息,基于NOTIFY消息中的cookie對(duì)����,在存儲(chǔ)模塊404中查找ISAKMPSA,用ISAKMP SA解密該消息并基于舊的和新的IP地址更新本地SAD��。如上所述�,對(duì)目的IP地址的依賴性的去除使得實(shí)現(xiàn)高可用性和群安全模式成為可能。這兩個(gè)實(shí)現(xiàn)將結(jié)合圖5和6說明�����。圖5是根據(jù)本發(fā)明的實(shí)施例說明高可用性的示范性實(shí)現(xiàn)的框圖����。在圖5中�,示出了經(jīng)由IPsec隧道52維持與安全服務(wù)器502的安全連接的移動(dòng)客戶端500�。當(dāng)在移動(dòng)客戶端500和安全服務(wù)器502之間建立IPsec連接時(shí),IPsec SA和ISAKMP SA的拷貝可經(jīng)由安全路徑56被發(fā)送到安全服務(wù)器504��。在客戶端500和服務(wù)器502間的連接的壽命期間�����,在它們的安全配置中的任何改變都可安全地被復(fù)制到服務(wù)器504�。同時(shí),服務(wù)器504可不斷地監(jiān)視服務(wù)器502的運(yùn)行�。當(dāng)服務(wù)器502發(fā)生故障時(shí),服務(wù)器504可將指示該連接將被服務(wù)器504接管的ISAKMP NOTIFY消息發(fā)送給客戶端500�����。因?yàn)榉?wù)器504保持更新所有關(guān)于在客戶端500和服務(wù)器502間的安全信息�,所以客戶端500能將NOTIFY消息解密并且開始將業(yè)務(wù)轉(zhuǎn)發(fā)到服務(wù)器504而無需重建IPsec連接�。并且因?yàn)闆]有對(duì)目的IP地址的SA依賴性,所以服務(wù)器504應(yīng)能經(jīng)由IPsec隧道54按與服務(wù)器502完全相同的方式與客戶端500通信�。其結(jié)果是,客戶端500可使得由于服務(wù)器502的故障的影響最小���。圖6是說明根據(jù)本發(fā)明的實(shí)施例的群安全模式的示范性實(shí)施例的框圖�。當(dāng)前IPsec是點(diǎn)對(duì)點(diǎn)的模型。在對(duì)目的IP地址的SA依賴性下�����,在任何兩個(gè)節(jié)點(diǎn)間的各連接不得不單獨(dú)地配置�。對(duì)于N個(gè)節(jié)點(diǎn)的系統(tǒng)(N為整數(shù)),必需配置總數(shù)為NX (N-I)/2個(gè)連接�����。隨著節(jié)點(diǎn)數(shù)目的増加����,不得不単獨(dú)地配置的連接的數(shù)目可非常快増加��。例如��,如圖6所示����,對(duì)于具有四個(gè)分支機(jī)構(gòu)的組織,在四個(gè)安全服務(wù)器(A到D)中必需配置總共六個(gè)連接��。對(duì)于具有8個(gè)節(jié)點(diǎn)的系統(tǒng)�����,要配置28個(gè)連接。然而���,對(duì)目的IP地址的依 賴性的去除���,可在群中的多個(gè)節(jié)點(diǎn)中共享同一 SA。在群節(jié)點(diǎn)中發(fā)送的任何業(yè)務(wù)可使用同一 SA來保護(hù)����。這就使得大量的分支機(jī)構(gòu)的配置變得簡(jiǎn)單得多。根據(jù)上述示范性方法的功能性可無需對(duì)現(xiàn)有網(wǎng)絡(luò)硬件進(jìn)行物理修改就能實(shí)現(xiàn)�����。而根據(jù)本發(fā)明的移動(dòng)性解決方案可通過軟件和/或固件升級(jí)來實(shí)現(xiàn)���。在這點(diǎn)上應(yīng)注意���,上述根據(jù)本發(fā)明維持安全網(wǎng)絡(luò)連接的技術(shù)通常在某種程度上涉及對(duì)輸入數(shù)據(jù)的處理和輸出數(shù)據(jù)的產(chǎn)生��。該輸入數(shù)據(jù)的處理和輸出數(shù)據(jù)的產(chǎn)生可用硬件或軟件實(shí)現(xiàn)��。例如,特定的電子部件可被采用在計(jì)算機(jī)和/或通信網(wǎng)等或用于實(shí)現(xiàn)與上述根據(jù)本發(fā)明的移動(dòng)性解決方案相關(guān)聯(lián)的功能的相關(guān)線路中����。或者�����,根據(jù)存儲(chǔ)的指令運(yùn)行的一個(gè)或多個(gè)處理器可實(shí)現(xiàn)與上述根據(jù)本發(fā)明維持安全網(wǎng)絡(luò)連接相關(guān)聯(lián)的功能�。如果是這種情況,則它是在本發(fā)明的范圍內(nèi)使得這樣的指令可被存儲(chǔ)在一個(gè)或多個(gè)處理器可讀的載體(例如磁盤)中��,或經(jīng)由ー個(gè)或多個(gè)信號(hào)發(fā)送到一個(gè)或多個(gè)處理器�����。本發(fā)明不限于本文所述的特定實(shí)施例的范圍����。實(shí)際上,對(duì)于本領(lǐng)域的技術(shù)人員�,從前述說明書和附圖中,除本文所述的那些實(shí)施例之外的本發(fā)明的其他各種實(shí)施例和修改是顯而易見的����。因此���,這樣的其他實(shí)施例和修改g在落于所附權(quán)利要求的范圍內(nèi)。而且���,盡管本文說明的本發(fā)明是按具體目的在具體的上下文中的具體的實(shí)現(xiàn)中��,然而本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識(shí)到其有用性是不被限于此����,并且本發(fā)明可以任何目的在任何數(shù)量的環(huán)境中有利地被實(shí)現(xiàn)����。因此,所附的權(quán)利要求應(yīng)根據(jù)本文公開的本發(fā)明的完整外延和精神來解釋��。
權(quán)利要求
1.一種維持在第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件之間的安全連接的方法���,所述安全連接由在第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件之間建立的安全關(guān)聯(lián)來獲得��,所述方法包括 在第一網(wǎng)絡(luò)部件處檢測(cè)與第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址從第一地址到第二地址的改變�; 將至少一條安全消息從所述第一網(wǎng)絡(luò)部件發(fā)送到所述第二網(wǎng)絡(luò)部件��,所述至少一條安全消息具有所述第二地址作為源地址�����,其根據(jù)所建立的安全關(guān)聯(lián)來獲得并指示與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址的改變�����; 在所述第二網(wǎng)絡(luò)部件處鑒權(quán)所述至少一條安全消息����;以及 響應(yīng)于鑒權(quán)所述至少一條安全消息,至少部分地基于所述至少一條安全消息在所述第ニ網(wǎng)絡(luò)部件處更新安全配置��。
2.如權(quán)利要求I所述的方法���,其中所建立的安全關(guān)聯(lián)是互聯(lián)網(wǎng)安全關(guān)聯(lián)密鑰管理協(xié)議(ISAKMP)安全關(guān)聯(lián)(SA)��。
3.如權(quán)利要求2所述的方法��,其中所述至少一條安全消息是使用與ISAKMPSA相關(guān)聯(lián)的密鑰來保護(hù)的完整性�。
4.如權(quán)利要求3所述的方法�,其中,通過利用與ISAKMPSA相關(guān)聯(lián)的密鑰驗(yàn)證所述至少一條安全消息的完整性����,所述第二網(wǎng)絡(luò)部件鑒權(quán)所述至少一條安全消息���。
5.如權(quán)利要求2所述的方法,其中所述至少一條安全消息包括至少指示與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址的改變的ISAKMP通知消息����。
6.如權(quán)利要求2所述的方法,其中 所述第二網(wǎng)絡(luò)部件利用所述至少一條安全消息的ISAKMP頭中的至少ー個(gè)cookie字段來確定ISAKMP SA ;以及 所述第二網(wǎng)絡(luò)部件利用所確定的ISAKMP SA來處理所述至少一條安全消息�����。
7.如權(quán)利要求6所述的方法��,其中 所述第二網(wǎng)路部件處理所述至少一條安全消息來確定與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的第二地址����;以及 所述第二網(wǎng)路部件更新所述第二網(wǎng)絡(luò)部件中的安全配置,從而將ISAKMP SA和與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的第二地址相關(guān)聯(lián)�。
8.如權(quán)利要求2所述的方法,其中 所述第二網(wǎng)絡(luò)部件利用至少ー個(gè)安全參數(shù)指數(shù)(SPI)來確定ISAKMP SA��。
9.如權(quán)利要求I所述的方法����,還包括基干與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址的改變?cè)谒龅谝痪W(wǎng)絡(luò)部件處更新至少ー個(gè)安全配置����。
10.如權(quán)利要求6所述的方法�����,其中���,不依賴于所述至少一條安全消息中的任何目的地址,所述第二網(wǎng)絡(luò)部件確定ISAKMP SA�����。
11.如權(quán)利要求I所述的方法�,其中所述第一網(wǎng)絡(luò)部件是移動(dòng)客戶端而所述第二網(wǎng)絡(luò)部件是安全網(wǎng)關(guān)。
12.如權(quán)利要求I所述的方法����,其中所述第一網(wǎng)絡(luò)部件和所述第二網(wǎng)絡(luò)部件是虛擬專用網(wǎng)絡(luò)(VPN)部件。
13.如權(quán)利要求I所述的方法�,其中在所述第一網(wǎng)絡(luò)部件和所述第二網(wǎng)絡(luò)部件之間的通信基于互聯(lián)網(wǎng)協(xié)議安全體系結(jié)構(gòu)(IPsec)。
14.如權(quán)利要求I所述的方法�,還包括協(xié)商在所述第一網(wǎng)絡(luò)部件和所述第二網(wǎng)絡(luò)部件之間的安全關(guān)聯(lián)。
15.如權(quán)利要求14所述的方法�����,還包括基于所述協(xié)商在所述第一網(wǎng)絡(luò)部件和所述第ニ網(wǎng)絡(luò)部件之間建立所述安全關(guān)聯(lián)。
16.一種維持在第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件之間的安全連接的方法�,所述安全連接由在第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件之間建立的安全關(guān)聯(lián)來獲得,所述方法包括 在第一網(wǎng)絡(luò)部件處檢測(cè)與第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址從第一地址到第二地址的改變����;以及 將至少一條安全消息從所述第一網(wǎng)絡(luò)部件發(fā)送到所述第二網(wǎng)絡(luò)部件,所述至少一條安全消息具有所述第二地址作為源地址���,其根據(jù)所建立的安全關(guān)聯(lián)來獲得并指示與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的所述地址的改變�����。
17.如權(quán)利要求16所述的方法���,其中所建立的安全關(guān)聯(lián)是互聯(lián)網(wǎng)安全關(guān)聯(lián)密鑰管理協(xié)議(ISAKMP)安全關(guān)聯(lián)(SA)。
18.如權(quán)利要求17所述的方法��,其中所述至少一條安全消息是使用與ISAKMPSA相關(guān)聯(lián)的密鑰來保護(hù)的完整性���。
19.如權(quán)利要求17所述的方法���,其中所述至少一條安全消息包括至少指示與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的所述第二地址的ISAKMP通知消息���。
20.如權(quán)利要求16所述的方法,還包括基干與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址的改變?cè)谒龅谝痪W(wǎng)絡(luò)部件處更新至少ー個(gè)安全配置�����。
21.一種維持在第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件之間的安全連接的方法��,所述安全連接由在第一網(wǎng)絡(luò)部件和第二網(wǎng)絡(luò)部件之間建立的安全關(guān)聯(lián)來獲得��,所述方法包括 在第二網(wǎng)絡(luò)部件處接收來自第一網(wǎng)絡(luò)部件的至少一條安全消息���,所述至少一條安全消息具有所述第二地址作為源地址,其根據(jù)所建立的安全關(guān)聯(lián)來獲得��,并指示與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址的改變��; 在所述第二網(wǎng)絡(luò)部件處鑒權(quán)所述至少一條安全消息�;以及 響應(yīng)于鑒權(quán)所述至少一條安全消息,至少部分地基于所述至少一條安全消息在所述第ニ網(wǎng)絡(luò)部件處更新安全配置�。
22.如權(quán)利要求21所述的方法,其中所建立的安全關(guān)聯(lián)是互聯(lián)網(wǎng)安全關(guān)聯(lián)密鑰管理協(xié)議(ISAKMP)安全關(guān)聯(lián)(SA)��。
23.如權(quán)利要求22所述的方法�,其中所述至少一條安全消息是使用與ISAKMPSA相關(guān)聯(lián)的密鑰來保護(hù)的完整性�。
24.如權(quán)利要求22所述的方法�����,其中����,通過利用與ISAKMPSA相關(guān)聯(lián)的密鑰驗(yàn)證所述至少一條安全消息的完整性,所述第二網(wǎng)絡(luò)部件鑒權(quán)所述至少一條安全消息���。
25.如權(quán)利要求22所述的方法�����,其中所述至少一條安全消息包括指示與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的所述地址的改變的ISAKMP通知消息���。
26.如權(quán)利要求22所述的方法,其中 所述第二網(wǎng)絡(luò)部件利用所述至少一條安全消息的ISAKMP頭中的至少ー個(gè)cookie字段來確定ISAKMP SA ;以及 所述第二網(wǎng)絡(luò)部件利用所確定的ISAKMP SA來處理所述至少一條安全消息�����。
27.如權(quán)利要求26所述的方法�����,其中 所述第二網(wǎng)路部件處理所述至少一條安全消息來確定與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的所述地址的改變;以及 所述第二網(wǎng)路部件更新所述第二網(wǎng)絡(luò)部件中的所述安全配置�,從而將ISAKMP SA和與所述第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的所述地址的改變相關(guān)聯(lián)。
28.如權(quán)利要求26所述的方法��,其中��,不依賴于所述至少一條安全消息中的任何目的地址�,所述第二網(wǎng)絡(luò)部件確定ISAKMP SA。
29.如權(quán)利要求22所述的方法�����,其中所述第二網(wǎng)絡(luò)部件利用至少ー個(gè)安全參數(shù)指數(shù)(SPI)來確定 ISAKMP SA����。
全文摘要
公開了一種維持安全網(wǎng)絡(luò)連接的技術(shù)�。在一個(gè)具體示范性實(shí)施例中,該技術(shù)可作為維持安全網(wǎng)絡(luò)連接的方法來實(shí)現(xiàn)�。該方法可包括檢測(cè)與第一網(wǎng)絡(luò)部件相關(guān)聯(lián)的地址的改變。該方法又包括在第一網(wǎng)絡(luò)部件中更新至少一個(gè)第一安全配置�。該方法還包括將至少一條安全消息從第一網(wǎng)絡(luò)部件發(fā)送到第二網(wǎng)絡(luò)部件,其中所述至少一條安全消息包括與地址的改變相關(guān)聯(lián)的信息����。并且該方法可包括至少部分基于所述至少一條安全消息而在第二網(wǎng)絡(luò)部件中更新至少一個(gè)第二安全配置��。
文檔編號(hào)H04L9/00GK102843368SQ201210302149
公開日2012年12月26日 申請(qǐng)日期2005年3月3日 優(yōu)先權(quán)日2004年3月3日
發(fā)明者J.香, S.什爾古爾卡, V.森科夫, C.達(dá)斯 申請(qǐng)人:北方電訊網(wǎng)絡(luò)有限公司