維持安全網絡連接的技術制造技術

公開了一種維持安全網絡連接的技術。在一個具體示范性實施例中，該技術可作為維持安全網絡連接的方法來實現。該方法可包括檢測與第一網絡部件相關聯的地址的改變。該方法又包括在第一網絡部件中更新至少一個第一安全配置。該方法還包括將至少一條安全消息從第一網絡部件發送到第二網絡部件，其中所述至少一條安全消息包括與地址的改變相關聯的信息。并且該方法可包括至少部分基于所述至少一條安全消息而在第二網絡部件中更新至少一個第二安全配置。

【技術實現步驟摘要】

本專利技術通常涉及電信，更具體來說，涉及維持安全網絡連接的技木。
技術介紹
IP安全(IPSec)是包括由互聯網工程任務組(IETF)開發的一組用來支持IP層分組的安全交換的協議的互聯網協議(IP)的安全體系結構。IPSec通過使系統能選擇必需的安全協議、確定用于服務的算法以及放入任何必需的密鑰以提供被請求的服務來提供安全服務。IPsec使用兩個協議來提供業務安全鑒權頭(AH)和封裝安全凈荷(ESP)。為使IPsec工作，進行發送和接收的設備通常共享通過互聯網安全關聯及密鑰管理協議(ISAKMP)處理的公鑰。安全關聯(SA)是完整規定必需的服務及機制以在安全協議位置處保護業務的一組安全協議特定的參數。這些參數通常包括算法標識符、模式、密鑰等。SA常由其關聯的安全協議(例如，“ ISAKMP SA ”、“ ESP SA ”)來引用。在兩個網絡部件之間的安全連接的初始化時，它們必須首先協商ISAKMP SA以保護其進一步的協商。該ISAKMP SA然后被用于協商協議SA。在協議SA的協商和建立期間，產生了用于各SA的安全參數指數(SPI)。協商的SA通常存儲在安全關聯數據庫(SAD)中，并且SPI與目的IP地址及安全協議一起使用以唯一識別SA。通常通過啟用IPsec的部件來維持的另ー數據庫是指定關于所有IP分組的處置的策略的安全策略數據庫(SPD)。各啟用IPsec的接ロ通常分別維持入站和出站數據庫(SB)和SAD)。在變得越來越普及的無線局域網(WLAN)中，移動用戶使用不同的IP地址在不同子網中漫游或從一地理區域漫游到另一區域并非不常見。在移動客戶端經歷IP地址改變的同時，支持維持安全連接而不丟失數據的能力已變成日益所希望的。然而，當前IPs ec體系結構不支持這樣的不中斷原連接并重新建立新連接的IP地址改變。其結果是，漫游客戶端將遭遇不可避免的網絡服務的中斷，這不僅對客戶端不方便，而且也由于來自重復的安全協商的開銷成本使網絡難以負擔。連接丟失問題的一個解決方案是在IPsec實現中采用移動IP。使用該解決方案，移動客戶端在其歸屬網絡中被分派較永久的移動IP地址。當客戶端漫游進入外網時，他獲得來自外部代理的轉交IP地址并通過該外部代理與世界的其余部分進行通信。如圖I所示，當該移動客戶端從網絡I漫游到網絡2時，他不得不維持兩條到安全服務器的隧道以便不丟失連接。帶有兩條隧道的移動IP的效率非常低并且對于資源受限的移動單元來說尤其成問題。此外，要花費相當多的開發努力來實現移動IP。鑒于前述問題，必需提供ー種克服上述不足和缺點的移動性解決方案。
技術實現思路
根據本專利技術，提供了維持安全網絡連接的技術。在一具體的示范性實施例中，該技術可實現為維持安全網絡連接的方法。該方法可包括檢測與第一網絡部件相關聯的地址的改變。該方法還可包括在第一網絡部件中更新至少ー個第一安全配置。該方法還可包括將至少一條安全消息從第一網絡部件發送到第二網絡部件，其中所述至少一條安全消息包括與地址的改變相關聯的信息。并且該方法可包括至少部分基于所述至少一條安全消息而在第二網絡部件中更新至少ー個第二安全配置。根據本專利技術的該具體示范性實施例的其他方面，對安全關聯的查找可不依賴于任何目的地址。根據本專利技術的該具體示范性實施例的另ー些方面，第一網絡部件可以是移動客戶端并且第二網絡部件可以是安全網關。根據本專利技術的該具體示范性實施例的又ー些方面，第一網絡部件和第二網絡部件·可以是虛擬專用網(VPN)的一部分。根據本專利技術的該具體示范性實施例的其他方面，在第一網絡部件和第二網絡部件間的通信可基于互聯網協議的安全體系結構(IPsec)。在第一網絡部件和第二網絡部件間的通信中的至少一部分可基于互聯網安全關聯和密鑰管理協議(ISAKMP)。第二網絡部件可基于在至少一條安全消息中的至少ー個cookie字段來識別至少ー個安全關聯。在另一具體示范性實施例中，該技術可通過用于發送指令的計算機程序的至少ー個載波中體現的至少ー個信號來實現，所述至少ー個信號配置成可由至少ー個處理器讀取以命令上述至少ー個處理器來執行用以完成上述方法的計算機進程。在又一具體示范性實施例中，該技術可通過用于存儲指令的計算機程序的至少ー個處理器可讀載波來實現，所述處理器可讀載波配置成可由至少ー個處理器讀取以命令上述至少一個處理器來執行用以完成上述方法的計算機進程。在又一具體示范性實施例中，該技術可作為用于維持安全網絡連接的方法來實現。該方法可包括在第二網絡部件和第三網絡部件之間復制與第一網絡部件和第二網絡部件之間的安全網絡連接相關聯的信息，其中與安全網絡連接相關聯的安全關聯的查找不依賴于任何目的地址。該方法還包括用與第一網絡部件連接的安全網絡中的第三網絡部件來取代第二網絡部件。該方法還包括將至少一條安全消息從第三網絡部件發送到第一網絡部件。在另一具體示范性實施例中，該技術可作為用于維持安全網絡連接的方法來實現。該方法可包括配置多個安全網關以便安全關聯的查找不依賴于任何目的地址。該方法還可包括在多個安全網關中共享至少ー個安全關聯。在又一具體示范性實施例中，該技術可通過用于維持安全網絡連接的系統來實現。該系統可包括檢測與第一網絡部件相關聯的地址改變的裝置、在第一網絡部件中更新至少ー個第一安全配置的裝置、將至少一條包括與地址改變相關聯的信息的安全消息從第一網絡部件發送到第二網絡部件的裝置、以及基于所述至少一條安全消息來在第二網絡部件中更新至少ー個第二安全配置的裝置。現在將示出在參考附圖中的示范性實施例更詳細地說明本專利技術。盡管下文參考示范性實施例說明本專利技術，但是應當理解本專利技術并不限于此。那些閱讀了本文教授內容的本領域的技術人員會認識到本文所公開和要求的本專利技術的另外實現、修改和實施例以及其它領域的使用，關于它們，本專利技術具有明顯的實用性。附圖說明為了便于更完整地理解本專利技術，現在參考附圖，其中相似的部件用相似的標記表示。這些附圖不應解釋為限制本專利技術，而僅作為范例。圖I是在現有技術中采用的移動IP解決方案的示意性說明。圖2是說明根據本專利技術的實施例用于維持安全網絡連接的示范性方法的流程圖。圖3是根據本專利技術的實施例的示范性IPsec分組的說明。 圖4是根據本專利技術的實施例說明用于維持安全網絡連接的示范性系統的框圖。圖5是根據本專利技術的實施例說明高可用性的示范性實現的框圖。圖6是根據本專利技術的實施例說明群安全模式的示范性實現的框圖。具體實施例方式為了說明的目的，下面將特別參考隧道模式中的IPsec來說明根據本專利技術用于維持安全網絡連接的技木。然而，應理解該技術可適用于任何安全網絡協議而不需考慮操作的模式。下文使用的“安全網關”指任何實現IPsec協議的中間或終端系統，如路由器、防火墻或服務器。“移動客戶端”指使用IPsec協議與安全網關通信的遠程用戶或單元。ー個或多個安全網關和移動客戶端可建立安全網絡系統。參考圖2，示出了根據本專利技術的實施例說明維持安全網絡連接的示范性方法。在步驟200中，使安全關聯(SA)查找獨立于系統范圍之目的IP地址。在隧道模式中的IPsec的上下文中，IPsec處理的分組通常具有如圖3所示的格式。該分組包括外IP頭、IPsec頭、內IP頭和其他數據。包含最初的源和目的地址的內IP頭以及其他數據(例如凈本文檔來自技高網...

【技術保護點】
一種維持在第一網絡部件和第二網絡部件之間的安全連接的方法，所述安全連接由在第一網絡部件和第二網絡部件之間建立的安全關聯來獲得，所述方法包括：在第一網絡部件處檢測與第一網絡部件相關聯的地址從第一地址到第二地址的改變；將至少一條安全消息從所述第一網絡部件發送到所述第二網絡部件，所述至少一條安全消息具有所述第二地址作為源地址，其根據所建立的安全關聯來獲得并指示與所述第一網絡部件相關聯的地址的改變；在所述第二網絡部件處鑒權所述至少一條安全消息；以及響應于鑒權所述至少一條安全消息，至少部分地基于所述至少一條安全消息在所述第二網絡部件處更新安全配置。

【技術特征摘要】
2004.03.03 US 10/791,4141.一種維持在第一網絡部件和第二網絡部件之間的安全連接的方法，所述安全連接由在第一網絡部件和第二網絡部件之間建立的安全關聯來獲得，所述方法包括 在第一網絡部件處檢測與第一網絡部件相關聯的地址從第一地址到第二地址的改變； 將至少一條安全消息從所述第一網絡部件發送到所述第二網絡部件，所述至少一條安全消息具有所述第二地址作為源地址，其根據所建立的安全關聯來獲得并指示與所述第一網絡部件相關聯的地址的改變； 在所述第二網絡部件處鑒權所述至少一條安全消息；以及 響應于鑒權所述至少一條安全消息，至少部分地基于所述至少一條安全消息在所述第ニ網絡部件處更新安全配置。2.如權利要求I所述的方法，其中所建立的安全關聯是互聯網安全關聯密鑰管理協議(ISAKMP)安全關聯(SA)。3.如權利要求2所述的方法，其中所述至少一條安全消息是使用與ISAKMPSA相關聯的密鑰來保護的完整性。4.如權利要求3所述的方法，其中，通過利用與ISAKMPSA相關聯的密鑰驗證所述至少一條安全消息的完整性，所述第二網絡部件鑒權所述至少一條安全消息。5.如權利要求2所述的方法，其中所述至少一條安全消息包括至少指示與所述第一網絡部件相關聯的地址的改變的ISAKMP通知消息。6.如權利要求2所述的方法，其中 所述第二網絡部件利用所述至少一條安全消息的ISAKMP頭中的至少ー個cookie字段來確定ISAKMP SA ;以及 所述第二網絡部件利用所確定的ISAKMP SA來處理所述至少一條安全消息。7.如權利要求6所述的方法，其中 所述第二網路部件處理所述至少一條安全消息來確定與所述第一網絡部件相關聯的第二地址；以及 所述第二網路部件更新所述第二網絡部件中的安全配置，從而將ISAKMP SA和與所述第一網絡部件相關聯的第二地址相關聯。8.如權利要求2所述的方法，其中 所述第二網絡部件利用至少ー個安全參數指數(SPI)來確定ISAKMP SA。9.如權利要求I所述的方法，還包括基干與所述第一網絡部件相關聯的地址的改變在所述第一網絡部件處更新至少ー個安全配置。10.如權利要求6所述的方法，其中，不依賴于所述至少一條安全消息中的任何目的地址，所述第二網絡部件確定ISAKMP SA。11.如權利要求I所述的方法，其中所述第一網絡部件是移動客戶端而所述第二網絡部件是安全網關。12.如權利要求I所述的方法，其中所述第一網絡部件和所述第二網絡部件是虛擬專用網絡(VPN)部件。13.如權利要求I所述的方法，其中在所述第一網絡部件和所述第二網絡部件之間的通信基于互聯網協議安全體系結構(IPsec)。14.如權利要求I所述的方法，還包括協商在所述第一網絡部件和所述第二網絡部件之間的安全關聯。15.如權利要求14所述的方法，還包括基于所述協商在所述第一網絡部件和所述第ニ網絡部件之間建立所述安全關聯。16.一種維持在第一網絡部件和第二網絡部件之間的安全連接的方法，...

【專利技術屬性】
技術研發人員：J香，S什爾古爾卡，V森科夫，C達斯，
申請(專利權)人：北方電訊網絡有限公司，
類型：發明
國別省市：