专利名称:服务器设备,通信系统和给网络分配安全性策略的方法
技术领域:
本发明涉及一种服务器设备、通信系统和分配参与网络例如因特网或内联网的主计算机的安全性设置信息的方法。
背景技术:
人们想到通过引入作为下一代技术的IPv6(第6版因特网协议)将因特网通信模式转变成端对端通信。假设通信设备彼此直接通信,则保证在每个通信信道中的安全性变得越来越必要。现有IPsec(IP安全性协议)作为用来实现在通信信道中的安全性保证的技术。IPsec是用来在OSI参考模型中在网络层中提供验证和加密的安全性协议并且在因特网工程任务组(IETF)中标准化。具有IPsec功能的通信设备可以对目的地通信设备进行验证,并且确保通信数据的安全性和保密。
在采用IPsec进行通信时,必须在安全性级例如应该采用哪种验证算法或加密算法或者应该采用哪种加密密钥上使通信源与通信目的地匹配。这种匹配在IPsec中通过SA(安全性协会)来实现。
具有IPsec功能的通信设备保持了一信息组,该信息组限定了用来辨别应用了安全性的目的地通信设备的因特网地址信息、用来表示是否应该应用IPsec的信息以及用来表示应该适用哪种安全性协议的信息。还有,它具有访问限制功能。在IPsec中,该信息组由安全性策略(SP)来实现(称为IETF IPsec Policy Information Base,2003年1月)。
安全性策略的概念不限于上面的情况。作为确定在端对端通信中的安全性的一个手段,可以采用以下方法。其中一个手段是仅仅通过特定的数据包例如防火墙。这可以通过阻断在通信设备所属的网络和外网之间的连通来实现网络的安全性。或者,隐藏布置在网络上的网关或路由器的地址使得能够确保自身网络和外网之间的通信。在该情况中,向外部传输变得不可能,从而导致可以降低数据泄露等危险。
一般来说,为了将IPsec的安全性策略设定给通信设备的安全性策略数据库,连接网络或其用户的通信设备的管理者必须手动地给数据库设定安全性策略。或者,如果分配方法为预定的安全性方法,则必须分别参照根据安全性方法单独安装的安全性策略服务器。即使后面的方法可以采用,也没有寻找是否存在安全性策略服务器。即使找到了,也可能每个网络参考目的地(例如,IP地址)不统一。
可以常常与不同网络连接的笔记本个人计算机或PDA(个人数字助理)只要它在网络链路之间运行期间开始新的连接就必须进行安全性策略设置。后面的方法以及前面的方法存在的问题在于,每个网络改变参考目的地的工作对于用户而言是复杂的。
本发明的一个目的在于提供一种不用帮助就能够获取在连接目的地网络链路中进行通信所需要的安全性策略信息并且降低安全性策略分配的操作负担的通信系统,一种在通信系统分配安全性策略的方法以及一种服务器设备。
发明内容
本发明的一个方面提供一种与网络连接并且通过该网络与主计算机连接的服务器设备,它包括一服务器存储器,用来存储表示在网络中进行通信所需要的多个不同安全性策略的数据;一服务器接收器,用来接收用于请求传送安全性策略的数据的请求消息;以及一服务器发送器,用于响应于请求消息发送包括安全性策略的数据的通知消息。
本发明的另一个方面提供一种与网络连接的服务器设备,它包括一服务器存储器,用来存储表示在网络中进行通信所需要的多个安全性策略的安全性策略数据;以及一服务器发送器,用于定期地或在存储在服务器存储器中的内容改变时将包括安全性策略数据的通知消息发送给多点传送地址。
本发明的另一个方法提供一种给网络分配安全性策略的方法,包括将存储有表示在网络中进行通信所需要的多个不同安全性策略的数据的安全性策略服务器与网络连接;请求将安全性策略数据发送给安全性策略服务器;并且响应于请求将包括来自安全性策略服务器的安全性策略的数据的通知消息发送给多点传送地址。
本发明的另一个方面包括一种给网络分配安全性策略的方法,该方法包括连接存储有表示在网络中进行通信所需要的多个安全性策略的安全性策略数据的安全性策略服务器;并且定期地或在存储在服务器存储器中的内容改变时将包括安全性策略数据的通知消息发送给多点传送地址。
图1为一示意图,显示出整个网络,其中具有与本发明一实施方案相关的通信系统的网络链路和另一个网络链路相互连接;图2为一方框图,显示出与本发明该实施方案相关的通信系统的示意性结构;图3为一示意图,显示出包括与该实施方案相关的通信系统的安全性策略服务器的功能单元及其状态转变;图4为一示意图,显示出包括与该实施方案相关的通信系统的主计算机的功能单元及其状态转变;图5为用来说明该实施方案的通信系统的操作示例,并且显示出对安全性策略通知消息进行多点传送的状态;图6为用于说明该实施方案的通信系统的操作示例的示意图,并且显示出对安全性策略请求消息进行多点传送的状态;并且图7为用于说明该实施方案的通信系统的操作示例的示意图,并且显示出响应于安全性策略请求消息对安全性策略通知消息进行多点传送的状态。
具体实施例方式
现在将结合这些附图对本发明的实施方案进行说明。
图1为一示意图,显示出整个网络,其中具有与本发明一实施方案相关的通信系统的网络链路和另一个网络链路相互连接。在图1中,与本发明该实施方案相关的通信系统构建在例如一网络链路L1上。通过路由器R1与该网络链路L1连接的网络链路L0和通过路由器R2与该网络链路L0连接的网络链路L2两者都通过路由器R1与网络链路L1连接,并且在网络或网络链路方面相互不同。
图2为一方框图,显示出与本发明该实施方案相关的通信系统的示意性结构。如该图2所示,路由器R1、安全性策略服务器SPS1和主计算机(节点)H1与网络链路L1连接。安全性策略服务器SPS1包括用来存储代表在网络L1中进行通信所需要的多个不同安全性策略的安全性策略信息的存储器(安全性策略数据库)11、用来接收用于请求传送安全性策略数据的请求消息的接收器模块12以及用来响应于请求消息发送包括安全性策略数据的通知消息的发送器模块13。
主计算机H1包括用来将请求消息发送给服务器SPS1的服务器多点传送地址的发送器模块14、用于接收来自服务器SPS1的通知消息的接收器模块15以及用于存储包含在由主接收器接收到的通知消息中的安全性策略数据的存储器16。
路由器R1、安全性策略服务器SPS1和主计算机H1每个都包含了包括带有网络功能的计算机的通信设备构成。任意数量的通信设备可以与该网络链路L1连接。路由器R1可以为安全性网关。路由器(或安全性网关)R1和安全性策略服务器SPS1可以包括在物理上相同的设备。网络链路L1由配备由例如Ethernet(商标名)物理层和TCP/IP上层的网络构成。
在当前实施方案中,假设在网络链路L1中通过遵循因特网工程任务组(IETF)标准化的IPsec(IP安全性协议)来进行分组通信。IPsec为用来以OSI参考模型在网络层中进行验证和加密的安全性协议。在与该网络链路L1连接的通信设备之间交换的分组在传送时被加密。通过收信方的通信设备将该加密数据包解码。然后,也对用于发送该加密数据包的通信设备进行验证过程。如所述一样,设有IPsec功能的通信设备实现了对通信设备的验证,并且可以确保通信数据的安全性和保密。
在网络链路L1中,限定了用于将链路L1设定在本地范围的两个多点传送地址。这两个多点传送地址只在链路L1范围内有效。重要的是这两个多点传送地址是已知的。
第一多点传送地址为在网络链路L1的本地范围中的所有节点都参与的“所有节点多点传送地址”。当安全性策略服务器SPS1将安全性策略信息的消息通知给与该网络链路L1连接的主计算机H1时,所有节点多点传送地址为指定给目的地的多点传送地址。参与多点传送的那个节点指的是该节点能够接收发往多点传送的IP数据包。
第二多点传送地址为在网络链路L1的本地范围中的所有安全性策略服务器都参与的“所有安全性策略服务器多点传送地址”。当主计算机H1将消息通知给与网络链路L1连接的安全性策略服务器SPS1时,所有安全性策略服务器多点传送地址为指定给其目的地的多点传送地址。
如上所述,所有安全性策略服务器多点传送地址是已知的。这种情况是基本的。当然,主计算机H1必须知道所有安全性策略服务器多点传送地址。但是,主计算机H1可以不知道在安全性策略信息通信中参与所有安全性策略服务器多点传送地址的安全性策略服务器SPS1的IP地址。
将安全性策略请求消息和安全性策略通知消息限定为用于使与本发明该实施方案相关的安全性策略的设定自动化的消息。这些消息的种类可以通过ICMPv6(因特网控制消息协议第6版)的类型来实现。
(安全性策略服务器通知消息)
安全性策略服务器通知消息为用来将来自安全性策略服务器SPS1的在网络链路L1中的安全性策略信息通报的消息。通常,以恒定间隔将消息发送给处于链路本地范围的所有节点多点传送地址。但是,如果后面所述的安全性策略服务器请求消息之前由主计算机H1发送,则存在这样一种情况,即安全性策略服务器通知消息不是通过多点传送而是通过单点传送来传送的。
采用Ipsec将由安全性策略服务器通知消息通知的安全性策略信息设定给每个通信设备的安全性策略数据库。
如上所述,当采用Ipsec进行通信时,必须在通信源和通信目的地之间在涉及采用哪种验证算法或加密算法或采用那种加密密钥的安全性级别上进行匹配。这种匹配是通过在IPsec中的SA(安全性协会)来实现的。
设有IPsec功能的通信设备保存有限定了用于区分施加了安全性的目的地通信设备的因特网地址信息、施加了IPsec的信息以及表示应该施加哪种安全性协议的信息的信息组。通信设备还具有存取规范功能。在IPsec中,信息组由安全性策略(SP)实现。与这种安全性策略信息对应的数据在安全性策略服务器通知消息的数据区中描述。
(安全性策略服务器请求消息)安全性策略服务器请求消息为用于请求将安全性策略服务器通知消息发送给网络链路L1的安全性策略服务器SPS1的消息。
图3为一示意图,显示出构成与当前实施方案相关的通信系统的安全性策略服务器的功能单元及其状态转变。在图2中所示的安全性策略服务器具有定期地或在必须重新通知例如改变所要存储的安全性策略时将安全性策略服务器通知消息发送给所有节点多点传送地址。安全性策略服务器SPS1还具有接收从任一个主计算机发送给所有安全性策略服务器多点传送地址的安全性策略服务器请求消息并且响应于该请求消息发送安全性策略服务器通知消息的功能。
这些功能单元可以通过在安全性策略服务器SPS1上执行的计算机程序来实现。当该程序执行时,首先安全性策略服务器SPS1改变至如图3所示的稳态sst0。在该情况中,当经过恒定时间时,定时器事件发生,并且服务器SPS1改变至发送安全性策略服务器通知消息的状态sst3。如果服务器SPS1在状态sst3中发送安全性策略服务器通知消息,则它再次改变至稳态sst0。如果服务器SPS1在稳态sst0中接收到安全性策略请求消息,则它改变至用于使该消息进行接收过程的状态sst1。然后,服务器SPS1改变至用于响应于请求消息发送安全性策略服务器通知消息的状态sst3。
在当前实施方案中,安全性策略服务器SPS1假定用来确定在网络链路L1内的安全性策略。换句话说,网络管理员或系统管理员设定在策略服务器SPS1中的安全性策略。该设定的安全性策略在网络链路L1中有效,并且通过根据安全性策略服务器通知消息向在链路L1中的所有节点(通信设备)进行多点传送来发送。
不是安全性策略服务器SPS1而是其它安全性策略服务器(未示出)都可以与链路L1连接以确定安全性策略。
图4为一示意图,显示出安装在构成当前实施方案的通信系统的主计算机上的功能单元及其状态转变。在图2中所示的主计算机H1具有将安全性策略服务器请求消息发送给所有安全性策略服务器多点传送地址的功能以及用于接收发送给所有节点多点传送地址或主计算机H1的IP地址的安全性策略服务器通知消息并且通过分析其内容来设定安全性策略的功能。
用于发送安全性策略服务器请求消息的功能在下面的情况不是总是必要的。例如,即使安全性策略服务器SPS1没有从主计算机H1接收安全性策略请求消息,它也可以定期地或在必要的定时多点传送安全性策略服务器通知消息。如所述一样,即使在没有从主计算机H1中发送出请求消息的情况下也能够获得所要求的效果。
这些功能单元可以通过可以在主计算机H1上执行的计算机程序来实现。当执行该程序时,安全性策略服务器SPS1改变至如图4所示的初始状态hst0。在该初始状态hst0中,安全性策略服务器SPS1自动地或根据来自操作人员的指定改变至状态hst1,并且发送用于请求将安全性策略服务器通知消息发送给任一个安全性策略服务器的安全性策略服务器请求消息。如果安全性策略服务器SPS1发送请求消息,则它返回至初始状态hst0。
如果安全性策略服务器SPS1在初始状态hst0中接收安全性策略服务器通知消息,则它改变至状态hst2以便使该消息进行接收过程。然后,它改变至状态hst3。在该状态hst3中,安全性策略服务器SPS1指的是在主计算机H1中的安全性策略数据库(未示出),并且确定了在状态hst2中进行接收过程的安全性策略通知消息中所述的安全性策略数据是否没有设定给安全性策略数据库。如果在该状态hst3中的确定结果为YES,则安全性策略服务器SPS1改变至状态hst4以将安全性策略数据写入在安全性策略数据库中。
如果在状态hst3中的确定结果为Yes,则为这样一种情况,即安全性策略数据根本没有存储在安全性策略数据库中并且当前接收到的安全性策略数据比存储在安全性策略数据库中的数据更新。如果在状态hst3中的确定结果为No,即不必要对安全性策略数据库进行更新,则安全性策略服务器SPS1改变至状态hst5的稳态。另外,安全性策略服务器SPS1在将安全性策略设定在状态hst4中之后也改变至状态hst5的稳态。
下面将结合图5-7对与当前实施方案相关的通信系统的操作实施例进行说明。
在第一操作实施例中,当主计算机H1与网络链路L1连接时,主计算机H1等待从安全性策略服务器SPS1定期地或在再次需要通知时发送给所有节点多点传送地址的安全性策略通知消息。然后,安全性策略服务器SPS1如图5中所示一样将安全性策略通知消息M1发送给所有节点多点传送地址(dst:[ff02∷1])。该主计算机H1接收该通知消息M1。
在第二操作实施例中,当主计算机H1与网络链路L1连接时,如图6所示它将安全性策略请求消息M2立即发送给所有安全性策略服务器多点传送地址。该请求消息促进将安全性策略通知消息发送给参与所有安全性策略服务器多点传送地址的安全性策略服务器而不用指定IP地址。
安全性策略服务器SPS1如图7所示一样响应于安全性策略请求消息M2发送安全性策略通知消息M3。安全性策略通知消息M3在内容上与在第一操作实施例中的安全性策略通知消息M1相同。
因为主计算机H1的IP地址可以由安全性策略请求消息M2规定,所以安全性策略服务器SPS1可以通过指定主计算机H1的IP地址来在单点传送中发送安全性策略通知消息M3。当然,安全性策略服务器SPS1可以与安全性策略通知消息M1一样在多点传送中将安全性策略通知消息M3发送给所有节点多点传送地址(dst:[ff02∷1])。
在第一操作实施例中,如果主计算机在与网络连接时在一段时间内不能接收安全性策略通知消息,则主发送器可以自主计算机与网络连接时起一段给定时间(几分钟)之后发送出请求消息。
在第一和第二操作实施例的任一个中,主计算机H1在接收到安全性策略通知消息之后根据参照图4所述的操作实施例设定IPsec的安全性策略。在即使经过给定时间也不能接收到安全性策略通知消息的情况中,主计算机H1不能自动地进行IPsec的安全性策略的设定。因此,主计算机H1根据由主计算机H1的用户或其管理员提前建立的安全性策略设定安全性策略。
在相同网络链路L1上存在多个安全性策略服务器并且主计算机H1从每个安全性策略服务器接收不同的安全性策略通知消息的情况中,安全性策略通知消息可能包括不正当的通知。为此,主计算机H1不是遵循自动设定而是符合由主计算机H1的用户或其管理员提前建立的安全性策略。但是,如果任一个安全性策略通知消息由公共密钥签名,并且数据完整性和安全性由验证结果标识出,则主计算机H1根据安全性策略通知消息的内容自动地设定安全性策略。
根据上述实施方案,即使安全性策略服务器SPS1的IP地址不清楚,主计算机H1也能够自动地设定IPsec的安全性策略。因此,可以减少在链路目的地的网络改变时所需要的用于安全性策略设定的复杂工作。
可以将单独或与在IPsec中所采用的信息一同通过网关、路由器或防火墙所需要的信息包含在由该实施方案分配的安全性策略通知消息中。
在具体实施例中,网关等的目的地、其端口数、其登录ID/密码、用于加密的密钥可以包含在网关等之间的通信数据中。
根据上面的结构,可以无需用户和管理员很容易地分配用于通过网络进行通信所需要的各种信息。
其它优点和变化对于本领域普通技术人员而言是显而易见的。因此,本发明在其广义方面不限于在这里所述和所示的具体细节和代表性实施方案。因此,可以在不脱离由所附权利要求及其等同方案所限定的总体发明构思的精神或范围的情况下作出各种改变。
权利要求
1.一种可以与网络连接的服务器设备,它包括一服务器存储器,用来存储表示在网络中进行通信所需要的多个不同安全性策略的数据;一服务器接收器,用来接收用于请求传送安全性策略的数据的请求消息;以及一服务器发送器,用于响应于请求消息发送包括安全性策略的数据的通知消息。
2.一种通信系统,它包括至少一个主计算机,它可以与网络连接并且通过该网络与包括其地址对于主计算机而言不清楚的根据权利要求1所述的服务器的至少一个服务器连接,所述主计算机包括用于将请求消息发送给服务器的服务器多点传送地址的主发送器、用来接收来自服务器的通知消息的主接收器以及用来存储包含在由主接收器接收的通知消息中的安全性策略的数据的主存储器,该主计算机根据存储在主存储器中的安全性策略的数据来进行通信。
3.如权利要求2所述的通信系统,其中所述服务器发送器包括用于响应于请求消息将通知消息发送给由可以通过主计算机接收的主多点传送地址规定的主计算机地址或包含在由服务器接收器接收到的请求消息分组中的传送源地址的装置。
4.如权利要求2所述的通信系统,其中主发送器在主计算机与网络连接时发送请求消息。
5.如权利要求2所述的通信系统,其中服务器发送器通过用公共密钥将通知消息加密并且签名来将通知消息发送给主多点传送地址,并且主接收器接收加密的通知消息并且将它解码,然后根据公共密钥对它进行验证。
6.一种可以与网络连接的服务器设备,它包括一服务器存储器,用来存储表示在网络中进行通信所需要的多个安全性策略的安全性策略数据;以及一服务器发送器,用于定期地或在存储在服务器存储器中的内容改变时将包括安全性策略数据的通知消息发送给多点传送地址。
7.一种通信系统,它包括至少一个主计算机,它可以与网络连接并且通过该网络与包括如权利要求6所述的服务器的至少一个服务器连接,所述主计算机包括用来接收发送给多点传送地址的通知消息的主接收器、用来存储包含在通知消息中的安全性策略的数据的主存储器,该主计算机根据存储在主存储器中的安全性策略的数据来进行通信。
8.如权利要求7所述的通信系统,其中所述服务器发送器通过用公共密钥将通知消息加密并且签名来将通知消息发送给多点传送地址,并且主接收器接收加密的通知消息并且将它解码,然后根据公共密钥对它进行验证。
9.如权利要求7所述的通信系统,其中所述主计算机包括用来将用于请求将安全性策略的数据发送给服务器的服务器多点传送地址的请求消息的主发送器,并且该服务器包括一服务器接收器,用来接收请求消息以响应于该请求消息从服务器发送器发送出通知。
10.如权利要求9所述的通信系统,其中所述主发送器自主计算机与网络连接时起一段给定时间之后发送请求消息。
11.如权利要求10所述的通信系统,其中所述服务器发送器通过用公共密钥将通知消息加密并且签名来将通知消息发送给主多点传送地址,并且主接收器接收加密的通知消息并且将它解码,然后根据公共密钥对它进行验证。
12.一种将安全性策略分配给网络的方法,包括将存储有表示在网络中进行通信所需要的多个不同安全性策略的数据的安全性策略服务器与网络连接;请求将安全性策略的数据发送给安全性策略服务器;并且响应于请求将包括来自安全性策略服务器的安全性策略的数据的通知消息发送给多点传送地址。
13.如权利要求12所述的方法,其中请求包括通过至少一个主计算机请求安全性策略的数据,该主计算机可以与该网络连接并且通过该网络与包括其地址对于主计算机而言不清楚的服务器的至少一个服务器连接,并且发送包括向主计算机发送通知消息。
14.如权利要求13所述的方法,其中发送包括响应于请求消息将通知消息发送给由可以通过主计算机接收到的主多点传送地址规定的主计算机地址或包含在请求消息分组中的发送源地址。
15.如权利要求13所述的方法,其中主发送器在主计算机与网络连接时发送请求消息。
16.如权利要求13所述的方法,其中发送包括通过用公共密钥将通知消息加密和签名来将通知消息发送给主多点传送地址。
17.一种给网络分配安全性策略的方法,该方法包括连接存储有表示在网络中进行通信所需要的多个安全性策略的安全性策略数据的安全性策略服务器;并且定期地或在存储在服务器存储器中的内容改变时将包括安全性策略数据的通知消息发送给多点传送地址。
18.如权利要求17所述的方法,其中发送包括将通知消息发送给可以与网络连接并且可以通过该网络与包括该服务器的至少一个服务器连接的至少一个主计算机的多点传送地址。
19.如权利要求18所述的方法,其中传送包括通过用公共密钥将通知消息加密并且签名来将通知消息发送给多点传送地址。
20.如权利要求18所述的方法,该方法包括自主计算机与网络连接时起一段给定时间之后发送用于请求将安全性策略的数据发送给服务器的服务器多点传送地址的请求消息。
全文摘要
一种服务器,它包括用来存储表示在网络中进行通信所必须的多个不同安全性策略的数据的服务器存储器、用来接收用于请求从主计算机发送安全性策略数据的请求消息的服务器接收器以及用来响应于请求消息发送包括安全性策略数据的通知消息的服务器发送器。
文档编号G06F15/00GK1585334SQ20041005761
公开日2005年2月23日 申请日期2004年8月20日 优先权日2003年8月21日
发明者神田充, 玉田雄三 申请人:株式会社东芝