专利名称:为安全连接而管理地址翻译的方法和装置的制作方法
背景技术:
随着更多的敏感信息正在通信网络,尤其是因特网上传输,网络安全正变得越来越重要。因而,已发展出多种安全技术用于在传送期间保护数据。然而,某些网络技术可能需要访问被保护的数据才能起作用。例如,地址翻译使得网络可以将多个地址翻译成单一地址,或者相反,这对于局域网(LAN)尤其有用。然而,地址翻译可能难以利用被保护的数据来执行。因此,非常需要在保留这两方面技术的优点的同时,对被保护的数据执行地址翻译。
在本说明书所附的权利要求中,明确指出并明确要求保护了被看作为本发明实施例的主题。然而,通过参照以下详细描述,并结合附图来阅读,才能最好地理解本发明实施例的结构和操作方法,以及其目的、特征和优点,在附图中图1是适于实施本发明一个实施例的系统的框图。
图2是根据本发明一个实施例的节点的框图。
图3是根据本发明一个实施例的程序分区的框图。
图4是根据本发明一个实施例的安全连接地址管理器(SCAM)所执行的处理逻辑的第一流程框图。
图5是根据本发明一个实施例的SCAM的处理逻辑的第二流程框图。
图6是根据本发明一个实施例的SCAM的处理逻辑的第三流程框图。
具体实施例方式
在以下详细描述中,阐述了许多具体细节,以便提供对本发明实施例的透彻理解。然而,本领域技术人员将会理解到,没有这些具体细节也可以实施本发明。在其它情况下,没有详细描述公知的方法、过程、元件和电路,以免模糊了前述的本发明的实施例。
本发明的实施例可以提高诸如分组交换网络之类的通信网络的性能。本发明的一个实施例通过改进安全关联(SA)的管理,来提高分组交换网络的性能,其中SA在此也被称为“安全连接”。SA可以定义两个或更多实体之间的关系,其描述了这些实体如何利用安全服务来安全地通信。此关系由一组信息来表示,该组信息可被认为是所述实体之间的合同。所述信息应该由所有这些实体达成一致,并在这些实体之间共享。有时将所述信息本身就称为SA,但这一般只是所存在的关系在物理上的实例化。由所述信息所表示的这种关系的存在提供了在安全信息上达成的一致,以允许实体安全地交互工作。
更具体而言,本发明的一个实施例为安全连接而管理地址翻译。在此上下文中,地址翻译指的可以是将大量地址翻译成更少的或单一的地址,或者相反。本发明的一个实施例可通过使用一组启发式操作来确定对分组进行路由的信息,从而为安全连接而管理地址翻译。因而,这可提高网络的整体容量和性能。因此,用户可以从网络应用和服务更快的响应时间当中受益。
分组交换一直是用于语音和数据通信的有效技术。在此上下文中,分组交换指的可以是通过网络以较短分组的形式传送信息。在此上下文中,分组指的是有限长度的一组信息,其长度一般用比特或字节来表示。分组长度的一个例子可能是1000字节。网络一般包括由通信介质互连的多个网络节点。这些网络节点能够使用一种或多种协议,通过所述通信介质将信息传送到其它网络节点。在此上下文中,网络节点可以包括任何能够传送信息的设备,例如计算机、服务器、交换机、路由器、桥接器、网关等等。通信介质可以是任何能够运送信息信号的介质,例如双铰线、同轴电缆、光纤、射频等等。协议可以包括一组指令,信息信号通过该组指令而在通信介质上传送。例如,所述协议可以是分组交换协议,例如由1981年9月通过的Internet Engineering Task Force(IETF)standard 7,Request ForComment(RFC)793所定义的传输控制协议(TCP)(“TCP规范”),以及1981年9月通过的IETF standard 5,RFC 791所定义的因特网协议(IP)(“IP规范”),这两种规范(在此合称为“TCP/IP规范”)都可以从“www.ietf.org”得到。
分组交换网络可以包括多个网络节点,例如源节点、目的地节点和中间节点。源节点可包括发起用于传递到目的地节点的一组信息的节点。信息可包括能够表示为信号的任何数据,所述信号例如是电信号、光信号、声信号等等。在此上下文中,信息的例子可包括来自语音会话、视频会议、流视频、电子邮件(“email”)消息、语音邮件消息、图形、图像、视频、文本等等的数据。目的地节点可包括接收信息的节点。中间节点可包括将信息从源节点传送到目的地节点的节点。为了帮助在源节点、(多个)中间节点和目的地节点之间路由信息,可以给每个节点分配一个网络地址,例如IP地址。
在操作中,源节点可以以分组的形式,通过一个或多个中间节点将信息发送到目的地节点。源节点将一组信息拆分成一系列分组。每个分组可以包括所述信息的一部分再加上一些控制信息。所述控制信息可以帮助网络中的中间节点将每个分组路由到目的地节点。源节点通过网络发送分组,其中中间节点接收分组,暂时存储它们,并将它们传送到下一中间节点。这一过程持续发生,直到目的地节点最终接收到整个系列的分组,并使用这些分组再现来自源节点的信息为止。
分组一般作为“明文”(clear text)而被发送。这意味着任何设备都可以访问分组内的信息,包括头部(header)信息和分组数据。在某些环境下,可能希望使用安全技术来防止未经授权的用户或设备访问分组信息。可以使用多种安全技术,例如根据IETF RFC 2401、2406、2407、2408、2409等所定义的IP安全(“IPSec”)协议,来保护分组。安全协议一般包括加密和解密算法,以便在传输期间保护数据分组。这例如在两个设备之间使用与其它网络节点共享的物理连接来创建虚拟专用网(VPN)当中是有用的。
在本发明的一个实施例中,例如可以根据1998年11月公布的IETF所提出的RFC 2408中题为“Internet Security Association and KeyManagement Protocol”(因特网安全关联和密钥管理协议)的标准(“ISAKMP规范”),来创建安全连接。ISAKMP规范描述了这样一种协议,其所利用的安全概念对于在因特网环境中建立安全连接和密码密钥是有用的。例如,ISAKMP规范可以提供协议交换,以在协商中的实体之间建立安全连接,此后由这些协商中的实体基于某种协议来建立安全连接。这种协议的一个例子是1998年11月公布的IETF建议标准RFC 2406中所阐述的IP封装安全协议(ESP)(“ESP规范”)。ISAKMP规范还可以定义以下过程认证通信中的对等方(peer)、创建并管理安全连接、密钥生成技术和威胁减缓(例如服务拒绝和重放攻击)。为了在因特网环境中建立和维护安全通信,可能需要所有这些功能。
然而,安全连接和加密分组可能对被配置来执行网络地址翻译(NAT)的网络节点造成问题。NAT使得诸如LAN之类的网络能够使用用于内部流量的一组IP地址(“内部地址”)和用于外部流量的第二组地址(“外部地址”)。例如,NAT设备可能作为LAN和另一网络之间的网关而工作,其中所述LAN上的每个网络节点(“内部节点”)具有不同的内部地址。只要来自所述LAN的网络节点向该LAN之外的网络节点(“外部节点”)发送分组,该分组就要通过NAT设备。NAT设备将内部节点的内部地址翻译成由所有内部节点共享的外部地址。类似地,只要外部节点向内部节点发送分组,NAT设备就要将共享的外部地址翻译成适当的内部节点的内部地址。这可以带来若干优点,例如增加了客户或组织的IP地址数,并且降低了与其它公司和组织所使用的IP地址发生冲突的概率。然而,NAT设备一般需要来自分组头部的信息才能正确执行NAT。此信息例如可以包括IP地址和用户数据报协议(UDP)或TCP端口号。NAT设备可能无法从加密分组中获取这种信息。
对这个问题的传统解决方案是不令人满意的,其原因有多种。例如,一种解决方案是在执行NAT之前将加密分组封装成UDP或TCP分组。然而,这是许多传统网络节点无法被配置来执行的专有方法。另一种解决方案是将NAT设备包括为安全连接的一部分。这可能会造成对安全的破坏,因为NAT设备的用户可以访问到通过安全连接而发送的信息。
在下文中将会更详细描述的本发明的实施例可以用减少或消除了这些及其它问题的方式,来管理安全连接上的地址翻译。在本发明的一个实施例中,安全连接地址管理器(SCAM)可以管理内部节点和外部节点之间的安全连接列表。此列表可以被称为“流列表”(flow list)。在此上下文中的“流”所指的例如可以是与安全连接相关联或包括安全连接的分组流。SCAM可以通过对指定了流的开始的特定加密分组进行监视,来创建流列表。在本发明的一个实施例中,SCAM对具有序号一(1)的ESP分组进行监视。一般地,具有此序号的ESP指示了分组流的开始。然后,SCAM将该ESP分组的标识符和接收到该ESP分组的时间的时间戳(timestamp)一起记录为流列表的一部分。所述标识符的一个例子是安全参数索引(SPI),其被用于帮助识别ESP分组。只要SCAM接收到这样的ESP分组,该分组来自其外部地址对于LAN中的内部节点之一来说是目的地地址的外部节点,SCAM就可尝试将该外部节点ESP分组的标识符与存储在流列表中的ESP分组的标识符相匹配。例如,SCAM可以从流列表中选择具有最旧的时间戳的ESP分组标识符。在本发明的另一实施例中,SCAM可以确定哪个ISAKMP流最活跃,并相应地将所述分组发送给适当的内部地址。下面将对本发明的实施例进行更详细的描述。
值得注意的是,在本说明书中提到“一个实施例”或“实施例”的意思是,在此上下文中,结合所述实施例而描述的特定的特征、结构或特性可能包括在本发明的至少一个实施例当中。在本说明书中各处出现的语句“在一个实施例中”不一定都指同一实施例。
现在详细参照附图,在所有附图中相同的部件由相同的标号来指定,图1中示出了适于实施本发明一个实施例的系统。图1是系统100的框图,系统100包括连接到网络104的网络节点102。网络节点106可以连接到网络104,同时经由LAN 108连接到网络节点110和112。尽管图1示出了有限数量的网络节点,但可以意识到,任何数量的网络节点都可以用在系统100中,而仍落在本发明的范围之内。此外,在此上下文中的术语“连接”和“互连”及其变形指的是物理连接和/或逻辑连接。
在本发明的一个实施例中,网络节点102可以是源节点,其能够配置与诸如网络节点110和/或112之类的目的地节点的安全连接。网络节点102可以是上述外部节点的例子。网络节点106可以是诸如路由器之类的网络节点,其被配置来为网络节点110和112执行NAT。在本发明的一个实施例中,LAN 108包括网络节点106、110和112,它们被配置为根据例如一种或多种以太网协议来互相通信。网络节点110和112可以是上述内部节点的例子。在本发明的一个实施例中,网络104可以包括被配置为根据一种或多种因特网协议,例如根据TCP/IP规范来传送信息的网络。
在本发明的一个实施例中,网络节点102可被配置来建立与另一网络节点,例如网络节点110或112的安全连接。网络节点110和112也被配置来与诸如网络节点102之类的另一网络节点建立安全通信。在本发明的一个实施例中,网络节点102、110和112可以根据ISAKMP规范和ESP规范来创建安全连接,尽管本发明的实施例并不限于此上下文。
图2是根据本发明一个实施例的节点的框图。图2示出的节点200可代表图1所示的任何网络节点,包括被配置来执行NAT的网络节点106。网络节点106可以根据例如利用此处所阐述的原理而修改后的以下信息规范来执行NAT,所述信息规范是2001年1月公布的RFC 2022中题为“Traditional IP Network Address Translator”的规范(“NAT规范”)。
节点200可以包括计算机平台。在本发明的这个实施例中,节点200包括处理器202、输入/输出(I/O)适配器204、操作员接口206和存储器210。存储器210可以存储计算机程序指令和数据。处理器202可以执行存储在存储器210中的指令,并处理存储在存储器210中的数据。I/O适配器204可以与其它设备通信,并通过连接224将数据传输到中间节点200中以及从中间节点200传出。操作员接口206可以提供用户和OS(操作系统)216之间的接口。操作员接口206可以在用户与OS 216之间传送命令,并向用户提供状态信息。所有这些元件由总线208互连,这使得数据可以在所述元件之间互相传送。I/O适配器204可以代表一个或多个I/O适配器,或能够连接到诸如网络200之类的局域或广域网络的网络接口。因此,连接224可以代表到网络的连接,或到其它装置的直接连接。可以意识到,节点200可以具有任意数量的I/O适配器和连接,例如I/O适配器204和连接224,而仍落在本发明的范围之内。
处理器202可以是能够提供实现本发明实施例所需的速度和功能的任何类型的处理器。例如处理器202可以是来自Intel公司、Motorola、Compaq、AMD公司和Sun Microsystems所生产的处理器族中的处理器。
存储器210可以包括能够存储适于由处理器执行的指令的任意介质。这种介质的一些例子包括但不限于只读存储器(ROM)、随机访问存储器(RAM)、可编程ROM、可擦除可编程ROM、电可擦除可编程ROM、动态RAM、磁盘(例如软盘和硬盘驱动器)、光盘(例如CD-ROM)和能够存储数字信息的任何其它设备或信号。在一个实施例中,指令可以以压缩和/或加密格式存储在所述介质上。在此使用了语句“适于由处理器执行”,意在包含以压缩和/或加密格式存储的指令,以及可以在由处理器执行之前由安装程序编译或安装的指令。而且,节点200可以通过其它I/O控制器而包含机器可读存储设备的各种组合,所述设备可由处理器202访问,并能够存储计算机程序指令和数据的组合。
在本发明的一个实施例中,存储器210包括操作系统216、程序分区212和数据分区214。程序分区212可以存储用于实现在此所描述的各个节点的功能的程序指令,并允许所述程序指令被处理器202执行,所述各个节点例如是网络节点102、106、110和112。数据分区214可以存储要在程序指令执行期间使用的数据。
I/O适配器204可以是网络接口,该网络接口可以包括任何适于使用所需的一组通信协议、服务和操作过程来控制网络设备间通信信号的技术。在本发明的一个实施例中,I/O适配器204根据TCP/IP规范来操作,尽管本发明的实施例并不限于此上下文。
I/O适配器204还包括用于将I/O适配器204与合适的通信介质相连接的连接器。本领域技术人员将会理解到,I/O适配器204可以通过任何适合的通信介质来接收信息信号,所述介质例如是双铰线、同轴电缆、光纤、射频等等。
图3是根据本发明一个实施例的程序分区的框图。图3所示出程序分区可以代表程序分区212,该程序分区具有安全连接地址管理器(SCAM)300。在此实施例中,SCAM 300可以包括用于为通过诸如网络节点106之类的NAT设备进行安全连接而管理地址翻译的程序指令。更具体而言,SCAM 300可以利用三组程序指令,在此将这三组程序指令分别称为流模块302、翻译模块304和通信模块306。当然,本发明的范围并不限于这些特定的指令组。
参照图4-图6和所附的例子,对系统100和200以及模块300、302、304和306的操作做进一步描述。尽管在此所提供的图4-图6可能包括特定的处理逻辑,但可以意识到,这些处理逻辑仅提供了如何实现在此所描述的一般功能的例子。而且,给定处理逻辑内的每个操作不一定非要按所提供的顺序执行,除非另外指明。
图4是根据本发明一个实施例的SCAM所执行的处理逻辑的第一流程框图。处理逻辑400示出了一种用于为安全连接而管理地址翻译的方法。在方框402,接收到一个具有标识符和外部地址的加密分组,该外部地址代表了多个内部地址。在方框404,选择所述内部地址之一。在方框406,将所述加密分组传送到所选择的内部地址。
图5是根据本发明一个实施例的SCAM的处理逻辑的第二流程框图。处理逻辑500示出了一种用于为安全连接而管理地址翻译的方法,更具体而言,是从流列表中选择内部地址的方法。在方框502,可以对具有相关联的时间的标识符列表进行搜索。在方框504,可以选择具有最早时间的标识符。在方框506,可以获取与所选择的标识符相关联的内部地址。
在本发明的一个实施例中,可以如下所述搜索列表。首先创建流列表。然后可以搜索所创建的列表。该列表可以通过从与上述内部地址中的一个地址相关联的设备接收具有预定序号和标识符的加密分组来创建。可以对接收到所述分组的时间进行判断。可以将所述时间和所述内部地址与所述标识符相关联,并存储在存储器中。
在本发明的一个实施例中,例如可以根据ISAKMP规范来将所述分组加密。加密后的分组例如可以是ESP加密分组。所述标识符例如可以是SPI。
在本发明的一个实施例中,可能无法为加密分组找到内部地址,或者加密分组可能被送到了错误的内部地址。在此情况下,NAT设备可以接收到这样的消息,即,加密分组被传送到了错误的内部地址,并且NAT设备确定在多个内部地址所代表的每个设备处终止的每个隧道(tunnel)的活跃级别。然后,可将所述加密分组传送到具有最高活跃级别的隧道的内部地址。
图6是根据本发明一个实施例的SCAM执行的处理逻辑的第三流程框图。处理逻辑600示出了一种用于为安全连接而管理地址翻译的方法。在方框602,可以创建标识符列表。该列表中的每个标识符可以代表一条在具有内部地址的设备处终止的隧道。在方框604,将每个内部地址翻译成外部地址。在方框606,可以接收具有外部地址的加密分组。在方框608,可以使用所述标识符列表来选择内部地址之一。在方框610,可以将加密分组传送到所选择的内部地址。
使用以下例子,对系统100和200以及模块300、302、304和306的操作做进一步描述。假定引导诸如网络节点110之类的网络节点来创建与网络节点102的安全连接。网络节点112例如可以根据ISAKMP规范来为安全连接而进行协商。例如,ISAKMP规范可以提供用于在协商中的实体之间建立安全连接的协议交换,此后由这些协商中的实体基于某种协议来建立安全连接。这种协议的一个例子是ESP规范中所阐述的协议。首先,初始协议交换允许就一组基本安全属性达成一致。这个基本组提供了对随后的ISAKMP交换的保护。它还指明了将会作为ISAKMP协议一部分而执行的认证方法和密钥交换。在就这组基本安全属性达成了一致,认证了初始身份,并且生成了所需密钥之后,所建立的SA就可以被调用了ISAKMP的实体用于随后的通信。
作为用于建立安全连接的协商处理的一部分,网络节点110可以开始经由网络节点106向网络节点102发送分组。在本发明的一个实施例中,网络节点106是一个路由器,其被配置为根据例如NAT规范而执行NAT。还可以用诸如SCAM 300之类的SCAM来配置网络节点106。网络节点106可以通知用于ISAKMP的UDP流的源/目的地地址和源/目的地端口。网络节点106可以将网络节点110的内部地址翻译成网络节点106对从LAN 108发起的所有分组使用的单一外部地址。
类似地,假定网络节点112也使用ISAKMP,经由网络节点106而开始了用于安全连接到网络节点102的协商处理。网络节点106所执行的处理可以与为网络节点110的安全连接而执行的通知和翻译处理相同。如果网络节点112的UDP源端口与网络节点110的UDP源端口相同,则它被翻译为一个未使用的值。
假定网络节点110发送其首个加密ESP分组。流模块302可以用该ESP分组来创建流列表。例如可以通过检查安全连接的协商来创建所述流列表。在此例子中,可以根据ISAKMP规范来创建安全连接。根据ISAKMP规范,所有安全连接都是使用一个特定的端口号,即端口500来创建的。流模块302可被配置为对所有具有输出目的地端口500或输入源端口500的流进行监视,并为所有具有特定序号(例如序号1)的ESP分组获取SPI。此分组一般标识了流的开始。SCAM 300的流模块302可以接收此ESP分组并获取其SPI。然后,流模块302可以将所获取的SPI和时间戳与网络节点110的内部地址一起存储在其流表中。然后,可将所述ESP分组转发给网络节点102,这例如是由通信节点306来进行的。
假定网络节点112发送其首个ESP分组。然后,流模块302可以使用此分组的SPI和时间戳,以及网络节点112的内部地址,在流表中创建一个新条目。
网络节点102可以将其首个ESP分组发送到网络节点106。网络节点102这样做是因为它从网络节点110和112发送给它的ESP分组中接收到的目的地地址是标识了网络节点106的单一外部地址。现在,网络节点106必须确定来自网络节点102的ESP分组是给网络节点110的还是给网络节点112的。SCAM 300的翻译模块304可以通过在流列表中搜索具有序号1的最旧的未匹配ESP分组来完成此操作。因为最旧的ESP是来自网络节点110的,所以翻译模块304获取网络节点110的内部地址,并将此信息传送给通信模块306。通信模块306可以使用所获取的内部地址,将来自网络节点102的所述ESP分组转发给网络节点110。此后,网络节点106可将具有与第一个ESP分组相同的SPI的分组转发给同一内部地址。
网络节点102可以将第二ESP分组发送到网络节点106。同样,网络节点106现在必须确定来自网络节点102的该分组是给网络节点110的还是给网络节点112的。翻译模块304访问其流表,以搜索流列表中具有序号1的最旧的未匹配ESP分组。这是来自网络节点112的ESP分组。翻译模块304获取网络节点112的内部地址,并将此信息传递给通信模块306。通信模块306可以使用所获取的内部地址,将来自网络节点102的分组转发给网络节点112。此后,网络节点106可将具有与第二个ESP分组相同的SPI的分组转发给同一内部地址。
虽然在此已经描述了本发明的某些特征,但是,本领域技术人员现在将会想到多种修改、替换、变化和等同物。因此,应该理解到,所附权利要求意在覆盖落在本发明实施例的真正精神之内的这些修改和变化。
权利要求
1.一种管理安全连接的方法,包括接收加密分组,该加密分组具有标识符和代表多个内部地址的一个外部地址;选择所述内部地址之一;并且将所述加密分组传送到所述所选择的内部地址。
2.如权利要求1所述的方法,其中所述选择包括对具有相关联的时间的标识符列表进行搜索;选择具有最早时间的标识符;并且获取与所述所选择的标识符相关联的所述内部地址。
3.如权利要求2所述的方法,其中所述搜索包括创建所述列表;并且搜索所述所创建的列表。
4.如权利要求3所述的方法,其中所述创建包括从与所述内部地址之一相关联的设备接收具有预定序号和一个标识符的加密分组;确定接收到所述加密分组的时间;将所述时间和所述内部地址关联到所述标识符;并且将所述标识符与所述相关联的时间和相关联的内部地址一起存储起来。
5.如权利要求1所述的方法,其中,所述分组是根据因特网安全关联和密钥管理协议而加密的。
6.如权利要求1所述的方法,其中,所述加密分组是因特网协议封装安全有效载荷加密的分组。
7.如权利要求1所述的方法,其中,所述标识符是安全参数索引。
8.如权利要求1所述的方法,其中,所述标识符代表两个设备之间的隧道,并且所述方法还包括接收所述加密分组被传送到错误内部地址的消息;确定在所述多个内部地址所代表的每个设备处终止的每条隧道的活跃级别;并且将所述加密分组传送到具有最高活跃级别的隧道的内部地址。
9.一种管理安全连接的方法,包括创建标识符列表,每个标识符代表一条隧道,该隧道在具有一个内部地址的设备处终止;将所述多个内部地址中的每一个翻译成外部地址;接收具有所述外部地址的加密分组;使用所述标识符列表来选择所述多个内部地址之一;并且将所述加密分组传送到所述所选择的内部地址。
10.如权利要求9所述的方法,其中,所述隧道是根据因特网安全关联和密钥管理协议而创建的。
11.如权利要求9所述的方法,其中,所述加密分组是因特网协议封装安全有效载荷加密的分组。
12.如权利要求9所述的方法,其中,所述标识符是安全参数索引。
13.如权利要求9所述的方法,其中所述选择包括对具有相关联的时间的所述标识符列表进行搜索;选择具有最早时间的标识符;并且获取与所述所选择的标识符相关联的所述内部地址。
14.如权利要求9所述的方法,其中所述创建包括从与所述多个内部地址之一相关联的设备接收具有标识符的加密分组;确定接收到所述加密分组的时间;将所述时间和所述内部地址关联到所述标识符;并且将所述标识符与所述相关联的时间和内部目的地地址一起存储起来。
15.一种安全连接管理器,包括流模块,用于创建标识符列表,每个标识符代表一个安全流,该安全流在具有内部地址的设备处终止;以及翻译模块,用于为加密分组选择内部地址,所述加密分组具有外部地址和流标识符。
16.如权利要求15所述的安全连接管理器,还包括通信模块,用于将所述加密分组传送到所述所选择的内部地址。
17.一种管理安全连接的系统,包括第一网络节点,用于将加密分组发送到外部地址;第二网络节点,用于接收所述加密分组,并将所述外部地址翻译成内部地址;以及第三网络节点,该第三网络节点具有接收所述加密分组的所述内部地址。
18.如权利要求17所述的系统,其中,所述第二网络节点是被配置来执行网络地址翻译的路由器。
19.如权利要求17所述的系统,其中,所述第一和第三网络节点被配置为使用根据因特网安全关联和密钥管理协议而创建的隧道来进行通信。
20.如权利要求17所述的系统,其中,所述加密分组是因特网协议封装安全有效载荷加密的分组。
21.如权利要求17所述的系统,其中,所述第二网络节点使用流标识符列表来执行所述翻译,每个流标识符代表一个安全参数索引,并且每个流标识符都具有相关联的内部地址和接收时间。
22.一种制品,包括存储介质;所述存储介质包括所存储的指令,所述指令在被处理器执行时,导致通过进行以下操作来管理安全连接接收加密分组,所述加密分组具有标识符和代表多个内部地址的一个外部地址;选择所述内部地址之一;以及将所述加密分组传送到所述所选择的内部地址。
23.如权利要求22所述的制品,其中,所述所存储的指令在被处理器执行时,还导致通过进行以下操作来选择所述内部地址之一对具有相关联的时间的标识符列表进行搜索;选择具有最早时间的标识符;以及获取与所述所选择的标识符相关联的所述内部地址。
24.如权利要求23所述的制品,其中,所述所存储的指令在被处理器执行时,还导致通过进行以下操作来搜索所述列表创建所述列表,并搜索所述所创建的列表。
25.如权利要求24所述的制品,其中,所述所存储的指令在被处理器执行时,还导致通过进行以下操作来创建所述列表从与所述内部地址之一相关联的设备接收具有预定序号和一个标识符的加密分组;确定接收到所述加密分组的时间;将所述时间和所述内部地址关联到所述标识符;以及将所述标识符与所述相关联的时间和相关联的内部地址一起存储起来。
26.一种制品,包括存储介质;所述存储介质包括所存储的指令,所述指令在被处理器执行时,导致通过进行以下操作来管理安全连接创建标识符列表,每个标识符代表一条隧道,该隧道在具有一个内部地址的设备处终止;将所述多个内部地址中的每一个翻译成外部地址;接收具有所述外部地址的加密分组;使用所述标识符列表来选择所述多个内部地址之一;以及将所述加密分组传送到所述所选择的内部地址。
27.如权利要求26所述的制品,其中,所述所存储的指令在被处理器执行时,还导致通过进行以下操作来选择所述多个内部地址之一对具有相关联的时间的所述标识符列表进行搜索;选择具有最早时间的标识符;以及获取与所述所选择的标识符相关联的所述内部地址。
28.如权利要求26所述的制品,其中,所述所存储的指令在被处理器执行时,还导致通过进行以下操作来创建所述标识符列表从与所述多个内部地址之一相关联的设备接收具有标识符的加密分组;确定接收到所述加密分组的时间;将所述时间和所述内部地址关联到所述标识符;以及将所述标识符与所述相关联的时间和内部目的地地址一起存储起来。
全文摘要
本发明描述了一种方法和装置的实施例,用于使用地址翻译来管理安全连接。
文档编号H04L29/06GK1586064SQ02822232
公开日2005年2月23日 申请日期2002年10月31日 优先权日2001年11月7日
发明者凯尔·埃格旺 申请人:英特尔公司