专利名称:维持安全网络连接的技术的制作方法
技术领域:
本发明通常涉及电信,更具体来说,涉及維持安全网络连接的技木。
背景技术:
IP安全(IPSec)是包括由互联网工程任务组(IETF)开发的一组用来支持IP层分组的安全交換的协议的互联网协议(IP)的安全体系结构。IPSec通过使系统能选择必需的安全协议、确定用于服务的算法以及放入任何必需的密钥以提供被请求的服务来提供安全服务。IPsec使用两个协议来提供业务安全鉴权头(AH)和封装安全净荷(ESP)。为使IPsec工作,进行发送和接收的设备通常共享通过互联网安全关联及密钥管理协议(ISAKMP)处理的公钥。安全关联(SA)是完整规定必需的服务及机制以在安全协议位置处保护业务的一组安全协议特定的參数。这些參数通常包括算法标识符、模式、密钥等。SA常由其关联的安全协议(例如,“ ISAKMP SA ”、“ ESP SA ”)来引用。在两个网络部件之间的安全连接的初始化时,它们必须首先协商ISAKMP SA以保护其进一步的协商。该ISAKMP SA然后被用于协商协议SA。在协议SA的协商和建立期间,产生了用于各SA的安全參数指数(SPI)。协商的SA通常存储在安全关联数据库(SAD)中,并且SPI与目的IP地址及安全协议一起使用以唯一识别SA。通常通过启用IPsec的部件来維持的另ー数据库是指定关于所有IP分组的处置的策略的安全策略数据库(SPD)。各启用IPsec的接ロ通常分别维持入站和出站数据库(SB)和SAD)。在变得越来越普及的无线局域网(WLAN)中,移动用户使用不同的IP地址在不同子网中漫游或从一地理区域漫游到另一区域并非不常见。在移动客户端经历IP地址改变的同时,支持維持安全连接而不丢失数据的能力已变成日益所希望的。然而,当前IPs ec体系结构不支持这样的不中断原连接并重新建立新连接的IP地址改变。其结果是,漫游客户端将遭遇不可避免的网络服务的中断,这不仅对客户端不方便,而且也由于来自重复的安全协商的开销成本使网络难以负担。连接丢失问题的一个解决方案是在IPsec实现中采用移动IP。使用该解决方案,移动客户端在其归属网络中被分派较永久的移动IP地址。当客户端漫游进入外网时,他获得来自外部代理的转交IP地址并通过该外部代理与世界的其余部分进行通信。如图I所示,当该移动客户端从网络I漫游到网络2时,他不得不維持两条到安全服务器的隧道以便不丢失连接。带有两条隧道的移动IP的效率非常低并且对于资源受限的移动单元来说尤其成问题。此外,要花费相当多的开发努力来实现移动IP。鉴于前述问题,必需提供ー种克服上述不足和缺点的移动性解决方案。
发明内容
根据本发明,提供了維持安全网络连接的技术。在一具体的示范性实施例中,该技术可实现为维持安全网络连接的方法。该方法可包括检测与第一网络部件相关联的地址的改变。该方法还可包括在第一网络部件中更新至少ー个第一安全配置。该方法还可包括将至少一条安全消息从第一网络部件发送到第二网络部件,其中所述至少一条安全消息包括与地址的改变相关联的信息。并且该方法可包括至少部分基于所述至少一条安全消息而在第二网络部件中更新至少ー个第二安全配置。根据本发明的该具体示范性实施例的其他方面,对安全关联的查找可不依赖于任何目的地址。根据本发明的该具体示范性实施例的另ー些方面,第一网络部件可以是移动客户端并且第二网络部件可以是安全网关。根据本发明的该具体示范性实施例的又ー些方面,第一网络部件和第二网络部件·可以是虚拟专用网(VPN)的一部分。根据本发明的该具体示范性实施例的其他方面,在第一网络部件和第二网络部件间的通信可基于互联网协议的安全体系结构(IPsec)。在第一网络部件和第二网络部件间的通信中的至少一部分可基于互联网安全关联和密钥管理协议(ISAKMP)。第二网络部件可基于在至少一条安全消息中的至少ー个cookie字段来识别至少ー个安全关联。在另一具体示范性实施例中,该技术可通过用于发送指令的计算机程序的至少ー个载波中体现的至少ー个信号来实现,所述至少ー个信号配置成可由至少ー个处理器读取以命令上述至少ー个处理器来执行用以完成上述方法的计算机进程。在又一具体示范性实施例中,该技术可通过用于存储指令的计算机程序的至少ー个处理器可读载波来实现,所述处理器可读载波配置成可由至少ー个处理器读取以命令上述至少一个处理器来执行用以完成上述方法的计算机进程。在又一具体示范性实施例中,该技术可作为用于维持安全网络连接的方法来实现。该方法可包括在第二网络部件和第三网络部件之间复制与第一网络部件和第二网络部件之间的安全网络连接相关联的信息,其中与安全网络连接相关联的安全关联的查找不依赖于任何目的地址。该方法还包括用与第一网络部件连接的安全网络中的第三网络部件来取代第二网络部件。该方法还包括将至少一条安全消息从第三网络部件发送到第一网络部件。在另一具体示范性实施例中,该技术可作为用于维持安全网络连接的方法来实现。该方法可包括配置多个安全网关以便安全关联的查找不依赖于任何目的地址。该方法还可包括在多个安全网关中共享至少ー个安全关联。在又一具体示范性实施例中,该技术可通过用于維持安全网络连接的系统来实现。该系统可包括检测与第一网络部件相关联的地址改变的装置、在第一网络部件中更新至少ー个第一安全配置的装置、将至少一条包括与地址改变相关联的信息的安全消息从第一网络部件发送到第二网络部件的装置、以及基于所述至少一条安全消息来在第二网络部件中更新至少ー个第二安全配置的装置。现在将示出在參考附图中的示范性实施例更详细地说明本发明。尽管下文參考示范性实施例说明本发明,但是应当理解本发明并不限于此。那些阅读了本文教授内容的本领域的技术人员会认识到本文所公开和要求的本发明的另外实现、修改和实施例以及其它领域的使用,关于它们,本发明具有明显的实用性。
为了便于更完整地理解本发明,现在參考附图,其中相似的部件用相似的标记表示。这些附图不应解释为限制本发明,而仅作为范例。图I是在现有技术中采用的移动IP解决方案的示意性说明。图2是说明根据本发明的实施例用于维持安全网络连接的示范性方法的流程图。图3是根据本发明的实施例的示范性IPsec分组的说明。
图4是根据本发明的实施例说明用于维持安全网络连接的示范性系统的框图。图5是根据本发明的实施例说明高可用性的示范性实现的框图。图6是根据本发明的实施例说明群安全模式的示范性实现的框图。
具体实施例方式为了说明的目的,下面将特别參考隧道模式中的IPsec来说明根据本发明用于维持安全网络连接的技木。然而,应理解该技术可适用于任何安全网络协议而不需考虑操作的模式。下文使用的“安全网关”指任何实现IPsec协议的中间或终端系统,如路由器、防火墙或服务器。“移动客户端”指使用IPsec协议与安全网关通信的远程用户或单元。ー个或多个安全网关和移动客户端可建立安全网络系统。參考图2,示出了根据本发明的实施例说明维持安全网络连接的示范性方法。在步骤200中,使安全关联(SA)查找独立于系统范围之目的IP地址。在隧道模式中的IPsec的上下文中,IPsec处理的分组通常具有如图3所示的格式。该分组包括外IP头、IPsec头、内IP头和其他数据。包含最初的源和目的地址的内IP头以及其他数据(例如净荷)用加密来保护。与加密和鉴权相关联的信息被包含在IPsec头内。并且外IP头包括隧道端点的源和目的地址。对于入站处理,安全网关将在外IP头内使用目的IP地址,并与在IPsec头中指示的安全參数指数(SPI)和协议类型一起,以便在本地SA数据库(SAD)中查找适当的SA。然后该适当的SA或SA束被用于鉴权并解密分组。当使得SA查找独立于目的IP地址时,SPI可被用来在协议中唯一地识别SA。该系统范围的变化可提供许多优点。例如,因为入站处理不再依赖于目的IP地址,所以外IP地址的改变不会影响安全网关找出正确SA的位置的能力。而且,由于对目的IP地址的依赖的去除,同一 SA可在群中的多条IPsec隧道和多个节点之间共享。作为结果发生的高可用性和群安全模式将在下文更详细地说明。在步骤202中,移动客户端可检测他自己的IP地址改变。由于移动客户端移入不同网络或地理区域,其IP地址可变为不同值。地址的改变也可从网络适配器的转换而产生,例如从WLAN到LAN卡或反之。因为移动客户端检测该变化,它可保持新地址与旧地址的记录。在步骤204中,移动客户端可用新的IP地址更新他自己的ISAKMP SA和IPsec SA。下一歩,在步骤206中,移动客户端可使用当前的ISAKMP SA来将NOTIFY消息发送到其中该客户端与其一直维持安全连接的安全网关。NOTIFY消息可包括至少该客户端的旧IP地址和新IP地址。NOTIFY消息还可包括序号以便确保复制分组的可靠的传递和检测。NOTIFY消息的内容通过ISAKMP SA加密被安全地保护。ISAKMP NOTIFY消息可与其他ISAKMP消息有相同的重试和超吋。在步骤208中,一旦安全网关接收到NOTIFY消息,它就可基于在ISAKMP头的cookie字段找出适当的ISAKMP SA的位置。该cookie字段唯一识别与NOTIFY消息相关联的SA。适当的SA然后可被应用来处理安全NOTIFY消息以便提取旧的和新的IP地址。在步骤210中,安全网关然后可基于移动客户端的旧的和新的IP地址更新其SAD。根据本发明的实施例,更需要基于来自移动客户端的安全NOTIFY消息,而不是基于具有新的IP地址的入站数据来更新安全网关的SAD。因为外IP头没有通过如消息鉴权散列码(HMAC)的完整性检查来保护,所以使用外IP头更新出站SAD或ISAKMP SA可使安全网关暴露在拒绝服务(DoS)攻击中。而且,安全网关可能需要在任何入站数据接收前将数据转发给客户端。
在步骤212中,在用移动客户端的新IP地址更新安全网关后,IPsec连接可被维持。IP业务可继续在它们之间的两个方向间流动而不被破坏。一旦移动客户端接收目的地为新IP地址的数据分组,它将知道新IP地址的更新已成功。现在參考图4,示出了根据本发明的实施例说明用于维持安全网络连接的示范性系统的框图。系统400可以是实现IPsec协议的任何网络部件(例如远程单元、路由器或服务器)。系统400通常包括处理器模块402、存储模块404以及收发信机模块406。处理器模块402可以是中央处理器単元(CPU)、微控制器、数字信号处理(DSP)単元或具有分组处理和硬件控制功能的计算机。存储模块404可以是可被处理器访问的存储设备,如半导体存储器、非易失性存储器、硬盘、⑶-ROM等。存储模块404可保持包括SAD、SPD以及IP地址等的数据记录。收发信机模块406能发送和接收数据分组。在操作中,处理器模块402可根据上述示范性方法遵循包括ISAKMP的IPsec协议。系统400描绘了移动客户端或安全网关的典型部件。对于移动客户端,处理器模块402可检测其IP地址的改变,将旧的和新的地址存储在存储模块404中,用新的地址更新本地SAD,并将ISAKMP NOTIFY消息经由收发信机模块406发送到安全网关。对于安全网关,处理器模块402可经由收发信机模块406接收ISAKMP NOTIFY消息,基于NOTIFY消息中的cookie对,在存储模块404中查找ISAKMPSA,用ISAKMP SA解密该消息并基于旧的和新的IP地址更新本地SAD。如上所述,对目的IP地址的依赖性的去除使得实现高可用性和群安全模式成为可能。这两个实现将结合图5和6说明。图5是根据本发明的实施例说明高可用性的示范性实现的框图。在图5中,示出了经由IPsec隧道52维持与安全服务器502的安全连接的移动客户端500。当在移动客户端500和安全服务器502之间建立IPsec连接时,IPsec SA和ISAKMP SA的拷贝可经由安全路径56被发送到安全服务器504。在客户端500和服务器502间的连接的寿命期间,在它们的安全配置中的任何改变都可安全地被复制到服务器504。同时,服务器504可不断地监视服务器502的运行。当服务器502发生故障时,服务器504可将指示该连接将被服务器504接管的ISAKMP NOTIFY消息发送给客户端500。因为服务器504保持更新所有关于在客户端500和服务器502间的安全信息,所以客户端500能将NOTIFY消息解密并且开始将业务转发到服务器504而无需重建IPsec连接。并且因为没有对目的IP地址的SA依赖性,所以服务器504应能经由IPsec隧道54按与服务器502完全相同的方式与客户端500通信。其结果是,客户端500可使得由于服务器502的故障的影响最小。图6是说明根据本发明的实施例的群安全模式的示范性实施例的框图。当前IPsec是点对点的模型。在对目的IP地址的SA依赖性下,在任何两个节点间的各连接不得不单独地配置。对于N个节点的系统(N为整数),必需配置总数为NX (N-I)/2个连接。随着节点数目的増加,不得不単独地配置的连接的数目可非常快増加。例如,如图6所示,对于具有四个分支机构的组织,在四个安全服务器(A到D)中必需配置总共六个连接。对于具有8个节点的系统,要配置28个连接。然而,对目的IP地址的依 赖性的去除,可在群中的多个节点中共享同一 SA。在群节点中发送的任何业务可使用同一 SA来保护。这就使得大量的分支机构的配置变得简单得多。根据上述示范性方法的功能性可无需对现有网络硬件进行物理修改就能实现。而根据本发明的移动性解决方案可通过软件和/或固件升级来实现。在这点上应注意,上述根据本发明維持安全网络连接的技术通常在某种程度上涉及对输入数据的处理和输出数据的产生。该输入数据的处理和输出数据的产生可用硬件或软件实现。例如,特定的电子部件可被采用在计算机和/或通信网等或用于实现与上述根据本发明的移动性解决方案相关联的功能的相关线路中。或者,根据存储的指令运行的一个或多个处理器可实现与上述根据本发明維持安全网络连接相关联的功能。如果是这种情况,则它是在本发明的范围内使得这样的指令可被存储在一个或多个处理器可读的载体(例如磁盘)中,或经由ー个或多个信号发送到一个或多个处理器。本发明不限于本文所述的特定实施例的范围。实际上,对于本领域的技术人员,从前述说明书和附图中,除本文所述的那些实施例之外的本发明的其他各种实施例和修改是显而易见的。因此,这样的其他实施例和修改g在落于所附权利要求的范围内。而且,尽管本文说明的本发明是按具体目的在具体的上下文中的具体的实现中,然而本领域的技术人员会认识到其有用性是不被限于此,并且本发明可以任何目的在任何数量的环境中有利地被实现。因此,所附的权利要求应根据本文公开的本发明的完整外延和精神来解释。
权利要求
1.一种维持在第一网络部件和第二网络部件之间的安全连接的方法,所述安全连接由在第一网络部件和第二网络部件之间建立的安全关联来获得,所述方法包括 在第一网络部件处检测与第一网络部件相关联的地址从第一地址到第二地址的改变; 将至少一条安全消息从所述第一网络部件发送到所述第二网络部件,所述至少一条安全消息具有所述第二地址作为源地址,其根据所建立的安全关联来获得并指示与所述第一网络部件相关联的地址的改变; 在所述第二网络部件处鉴权所述至少一条安全消息;以及 响应于鉴权所述至少一条安全消息,至少部分地基于所述至少一条安全消息在所述第ニ网络部件处更新安全配置。
2.如权利要求I所述的方法,其中所建立的安全关联是互联网安全关联密钥管理协议(ISAKMP)安全关联(SA)。
3.如权利要求2所述的方法,其中所述至少一条安全消息是使用与ISAKMPSA相关联的密钥来保护的完整性。
4.如权利要求3所述的方法,其中,通过利用与ISAKMPSA相关联的密钥验证所述至少一条安全消息的完整性,所述第二网络部件鉴权所述至少一条安全消息。
5.如权利要求2所述的方法,其中所述至少一条安全消息包括至少指示与所述第一网络部件相关联的地址的改变的ISAKMP通知消息。
6.如权利要求2所述的方法,其中 所述第二网络部件利用所述至少一条安全消息的ISAKMP头中的至少ー个cookie字段来确定ISAKMP SA ;以及 所述第二网络部件利用所确定的ISAKMP SA来处理所述至少一条安全消息。
7.如权利要求6所述的方法,其中 所述第二网路部件处理所述至少一条安全消息来确定与所述第一网络部件相关联的第二地址;以及 所述第二网路部件更新所述第二网络部件中的安全配置,从而将ISAKMP SA和与所述第一网络部件相关联的第二地址相关联。
8.如权利要求2所述的方法,其中 所述第二网络部件利用至少ー个安全參数指数(SPI)来确定ISAKMP SA。
9.如权利要求I所述的方法,还包括基干与所述第一网络部件相关联的地址的改变在所述第一网络部件处更新至少ー个安全配置。
10.如权利要求6所述的方法,其中,不依赖于所述至少一条安全消息中的任何目的地址,所述第二网络部件确定ISAKMP SA。
11.如权利要求I所述的方法,其中所述第一网络部件是移动客户端而所述第二网络部件是安全网关。
12.如权利要求I所述的方法,其中所述第一网络部件和所述第二网络部件是虚拟专用网络(VPN)部件。
13.如权利要求I所述的方法,其中在所述第一网络部件和所述第二网络部件之间的通信基于互联网协议安全体系结构(IPsec)。
14.如权利要求I所述的方法,还包括协商在所述第一网络部件和所述第二网络部件之间的安全关联。
15.如权利要求14所述的方法,还包括基于所述协商在所述第一网络部件和所述第ニ网络部件之间建立所述安全关联。
16.一种维持在第一网络部件和第二网络部件之间的安全连接的方法,所述安全连接由在第一网络部件和第二网络部件之间建立的安全关联来获得,所述方法包括 在第一网络部件处检测与第一网络部件相关联的地址从第一地址到第二地址的改变;以及 将至少一条安全消息从所述第一网络部件发送到所述第二网络部件,所述至少一条安全消息具有所述第二地址作为源地址,其根据所建立的安全关联来获得并指示与所述第一网络部件相关联的所述地址的改变。
17.如权利要求16所述的方法,其中所建立的安全关联是互联网安全关联密钥管理协议(ISAKMP)安全关联(SA)。
18.如权利要求17所述的方法,其中所述至少一条安全消息是使用与ISAKMPSA相关联的密钥来保护的完整性。
19.如权利要求17所述的方法,其中所述至少一条安全消息包括至少指示与所述第一网络部件相关联的所述第二地址的ISAKMP通知消息。
20.如权利要求16所述的方法,还包括基干与所述第一网络部件相关联的地址的改变在所述第一网络部件处更新至少ー个安全配置。
21.一种维持在第一网络部件和第二网络部件之间的安全连接的方法,所述安全连接由在第一网络部件和第二网络部件之间建立的安全关联来获得,所述方法包括 在第二网络部件处接收来自第一网络部件的至少一条安全消息,所述至少一条安全消息具有所述第二地址作为源地址,其根据所建立的安全关联来获得,并指示与所述第一网络部件相关联的地址的改变; 在所述第二网络部件处鉴权所述至少一条安全消息;以及 响应于鉴权所述至少一条安全消息,至少部分地基于所述至少一条安全消息在所述第ニ网络部件处更新安全配置。
22.如权利要求21所述的方法,其中所建立的安全关联是互联网安全关联密钥管理协议(ISAKMP)安全关联(SA)。
23.如权利要求22所述的方法,其中所述至少一条安全消息是使用与ISAKMPSA相关联的密钥来保护的完整性。
24.如权利要求22所述的方法,其中,通过利用与ISAKMPSA相关联的密钥验证所述至少一条安全消息的完整性,所述第二网络部件鉴权所述至少一条安全消息。
25.如权利要求22所述的方法,其中所述至少一条安全消息包括指示与所述第一网络部件相关联的所述地址的改变的ISAKMP通知消息。
26.如权利要求22所述的方法,其中 所述第二网络部件利用所述至少一条安全消息的ISAKMP头中的至少ー个cookie字段来确定ISAKMP SA ;以及 所述第二网络部件利用所确定的ISAKMP SA来处理所述至少一条安全消息。
27.如权利要求26所述的方法,其中 所述第二网路部件处理所述至少一条安全消息来确定与所述第一网络部件相关联的所述地址的改变;以及 所述第二网路部件更新所述第二网络部件中的所述安全配置,从而将ISAKMP SA和与所述第一网络部件相关联的所述地址的改变相关联。
28.如权利要求26所述的方法,其中,不依赖于所述至少一条安全消息中的任何目的地址,所述第二网络部件确定ISAKMP SA。
29.如权利要求22所述的方法,其中所述第二网络部件利用至少ー个安全參数指数(SPI)来确定 ISAKMP SA。
全文摘要
公开了一种维持安全网络连接的技术。在一个具体示范性实施例中,该技术可作为维持安全网络连接的方法来实现。该方法可包括检测与第一网络部件相关联的地址的改变。该方法又包括在第一网络部件中更新至少一个第一安全配置。该方法还包括将至少一条安全消息从第一网络部件发送到第二网络部件,其中所述至少一条安全消息包括与地址的改变相关联的信息。并且该方法可包括至少部分基于所述至少一条安全消息而在第二网络部件中更新至少一个第二安全配置。
文档编号H04L9/00GK102843368SQ201210302149
公开日2012年12月26日 申请日期2005年3月3日 优先权日2004年3月3日
发明者J.香, S.什尔古尔卡, V.森科夫, C.达斯 申请人:北方电讯网络有限公司