CN100353711C - 通信系统、通信装置、操作控制方法 - Google Patents
通信系统、通信装置、操作控制方法 Download PDFInfo
- Publication number
- CN100353711C CN100353711C CNB2005100735831A CN200510073583A CN100353711C CN 100353711 C CN100353711 C CN 100353711C CN B2005100735831 A CNB2005100735831 A CN B2005100735831A CN 200510073583 A CN200510073583 A CN 200510073583A CN 100353711 C CN100353711 C CN 100353711C
- Authority
- CN
- China
- Prior art keywords
- node
- security association
- communication
- ipsec
- section point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种预先包括了记录有以下信息的IPsec SA条目的服务器,所述信息使得可以确定要被发送和接收的数据是否通过路由器之间的IPsec SA。服务器监控IPsec SA上的流量,并且当在一段预定的时间内没有流量存在时删除所述IPsec SA。
Description
技术领域
本发明涉及通信系统、通信装置及其操作控制方法和程序,更具体地说,涉及通过在位于通信网络中的第一通信节点和第二通信节点之间建立SA(安全关联,security association)作为逻辑连接而在第一通信节点和第二通信节点之间执行通信的通信系统。
背景技术
IPsec(用于因特网协议的安全体系结构)被用作确保IP(因特网协议)上的安全性的协议。为了使用IPsec执行通信,必须在进行通信的两个节点之间构建被称作SA(安全关联)的逻辑连接,以使得这两个节点可以共享诸如密钥、算法之类的信息。
对IPsec SA设置了有效期(生存期),并且当SA的有效期接近过期时,就创建新SA并替换旧SA,而不管建立了IPsec SA的节点之间是否有流量发生。即,即使在两个节点之间的IPsec SA上没有流量流动,IPsecSA也继续存在。SA的数目越多,IPsec终端节点所消耗的存储器就越多,搜寻SA所必需的时间就越长,从而降低了资源使用效率和处理效率。
相反,RFC 3706,“Traffic-Based Method of Detecting Dead InternetKey Exchange(IKE)Peers”第5.4章和5.5章(2004年2月)公开了一种技术:当在一段规定的时间内在IPsec终端节点之间的IPsec SA上没有流量时,确定在这些终端节点之间是否存在节点,并且当不能确定节点存在时,就删除所述SA,并且创建新SA。
虽然由IPsec终端节点管理SA,但是在上述传统技术中,终端节点必须额外地确定是否要删除SA,这增加了终端节点的负荷。
此外,在传统技术中,即使在一段规定的时间内没有流量发生,但是当确认节点存在时,也要维持在其中没有流量发生的SA,从而降低了IPsec终端节点中的资源使用效率和处理效率。
本发明的目的是提供一种能够减少建立有SA(安全关联)的通信节点的负荷的通信系统、通信装置及其操作控制方法和程序。
发明内容
根据本发明,一种通信节点装置被设置在包括第一和第二通信节点在内的通信网络中,该装置在所述第一和第二通信节点之间通过作为逻辑连接而建立的SA(安全关联)来执行通信,在所述装置中,可以通过基于在建立有SA的通信节点上的流量数量来确定是否要删除所述SA,从而减少这些通信节点的负荷。
本发明第一方面提供了一种系统,该系统通过在位于通信网络中的第一节点和第二节点之间建立SA(安全关联)作为逻辑连接而在第一节点和第二节点之间执行通信。该系统包括通过被设置在通信网络上的SA而与对方节点之间执行通信的第三节点,其中第三节点根据SA上的流量数量来确定是否要删除所述SA。
当在一段预定的时间内在SA上不存在任何流量时,第三节点可以向第一节点和第二节点中的至少一个节点发送请求删除该SA的消息。
第三节点可以预先存储包括要通过SA传输的数据的目的地地址和发送源地址在内的信息,并且根据该信息来确定第三节点发送/接收的数据是否通过所述SA。
本发明的第二方面提供了一种位于包括第一节点和第二节点在内的通信网络中的通信节点装置,用于在第一节点和第二节点之间通过作为逻辑连接而建立的SA(安全关联)来执行通信。该装置根据SA上的流量数量来确定是否要删除该SA。
本发明的第三方面提供了一种位于包括第一节点和第二节点在内的通信网络中的通信节点装置的操作控制方法,用于在第一节点和第二节点之间通过作为逻辑连接而建立的SA(安全关联)来执行通信。该方法包括以下步骤:由所述装置根据SA上的流量数量来确定是否要删除该SA。
本发明的第四方面提供了一种使计算机执行操作控制方法的程序。
此外,本发明的第五方面提供了一种与第一节点之间通过建立SA(安全关联)作为逻辑连接而执行通信的通信节点装置。当从不同于第一节点的第二节点接收信号时,该装置删除所述SA。第二节点根据所述SA上的流量数量而生成信号。注意,在本方面中,节点/装置的命名不同于在其他方面中的命名。第五方面的通信节点装置和第一节点对应于第一方面中的第一节点和第二节点。第五方面的第二节点对应于第一方面中的第三节点。
附图说明
图1示出了根据本发明实施方式的在IP网络中的远程访问系统的构成;
图2示出了当在图1所示的系统中执行IPsec通信时IP分组构成的转换示例;
图3示出了由图1的服务器所保存的IPsec SA条目的示例;
图4是示出了当IP分组发生时服务器的操作的流程图;以及
图5是示出了当定时器启动时图1的服务器的操作的流程图。
具体实施方式
下面将参考附图描述本发明的实施方式。
IP(因特网协议)网络中的远程访问系统包括服务器和远程主机,并且在其中可能存在路由器。图1示出了根据本发明实施方式的在IP网络中的远程访问系统的构成。本发明实施方式中的IP网络4包括远程主机1、服务器2、以及路由器(#1)31和路由器(#2)32。
服务器2在IP之上向远程主机1提供服务和数据。路由器31和32从所接收的IP分组的头部信息中读取目的地IP地址,并且根据由其保存的路由表(未示出)向目的地IP地址转发IP分组。
IPsec(用于因特网协议的安全体系结构)被用于在其中可能存在攻击和电子窃听的节点之间的网络中(路由器31和路由器32之间的网络6),并且通过加密和认证功能,提供网络层一级上的安全。为了在节点之间进行IP通信,必须在这些节点之间建立称作IPsec SA(安全关联)的逻辑连接。由于IPsec SA具有方向性,所以要想在节点之间实现双向IP通信,上行SA和下行SA都是必需的。在本实施方式中,如图1所示,IPsec SA 5被建立在路由器31和路由器32之间,路由器31和32是每个都分别作为终端来使用IPsec的IPsec终端节点。服务器2通过路由器31和路由器32之间的IPsec SA 5与远程主机1通信,并且根据SA 5上的流量数量来确定是否要删除SA 5。
图2示出了当在图1所示的系统中执行IPsec通信时IP分组构成的转换示例,其中与图1中的组件相同的组件用相同的标号来表示。在图2中,分组构成中的“a→d”表示添加具有用“a”示出的发送源地址和目的地地址“d”的IP头部。
在从远程主机1到服务器2的通信中,远程主机1发送添加有头部的IP分组71,该头部将服务器2的IP地址“d”指定为目的地地址,将远程主机1自身的IP地址“a”指定为发送源地址。由于远程主机1知道指定地址为“d”的分组必须首先被传输到IP地址“b”,所以远程主机1向具有IP地址“b”的路由器31发送IP分组71。
由于作为IPsec终端节点的路由器31知道指定地址为“a→d”的分组必须通过IPsec SA 5,所以路由器31用指定地址为路由器32(路由器32是另一个IPsec终端节点)的IP地址“c”的头部来封装IP分组71,结果,路由器31发送分组72。相反,由于已接收到指定地址为“b→c”的分组72的路由器32知道分组72已经通过了IPsec SA 5,所以路由器32对添加有“b→c”头部的分组72进行解封装,结果,路由器32向地址“d”发送分组73。
在从服务器2到远程主机1的通信中,首先,服务器2发送添加有以下头部的IP分组74,所述头部将远程主机1的IP地址“a”指定为目的地地址,将服务器2自身的IP地址“d”指定为发送源地址。由于服务器2知道指定地址为“a”的分组必须首先被传输到IP地址“c”,所以该服务器向具有IP地址“c”的路由器32发送IP分组74。
由于作为IPsec终端节点的路由器32知道指定地址为“d→a”的分组必须通过IPsec SA 5,所以该路由器用指定地址为路由器31(路由器31是另一个IPsec终端节点)的IP地址“b”的头部来封装IP分组74,结果,路由器32发送分组75。相反,由于已接收到指定地址为“c→b”的分组75的路由器31知道分组75已经通过了IPsec SA 5,所以路由器31对添加有“c→b”头部的分组75进行解封装,结果,路由器31向地址“a”发送分组76。如上所述,通过执行如上所述的封装和解封装,可以通过IPsecSA 5执行通信。
服务器2根据SA 5上的流量的数量来确定是否要删除SA 5。如图3所示,服务器2预先包括了记录有信息的IPsec SA条目,用以确定从服务器2发送的分组和由服务器2接收的分组是否通过IPsec SA 5。
在图3中,IPsec SA标识符001表示在从路由器32到路由器31的方向上的IPsec SA 5(下文中称作下行SA),而IPsec SA标识符002表示在从路由器31到路由器32的方向上的IPsec SA 5(下文中称作上行SA)。
例如,当生成添加有头部“d→a”的传输分组时,服务器2可以根据IPsec SA条目确定分组要通过IPsec SA标识符001所表示的下行SA,从而可以识别出在下行SA上将有流量发生。此外,例如,当服务器2接收到添加有头部“a→d”的传输分组时,服务器2可以根据IPsec SA条目确定到达该服务器的分组通过了IPsec SA标识符002所表示的上行SA,从而可以识别出在上行SA上发生了流量。
此外,服务器2具有与条目中的IPsec SA标识符所表示的IPsec SA中的每一个相对应的未示出的定时器,并且在条目中具有各个定时器的标识符,以启动与在其中发生流量的SA相对应的定时器。此外,IPsec SA条目除了IPsec SA标识符外,还具有用于终止对应的IPsec SA的节点的IP地址,还有目的地IP地址、发送源地址和定时器标识符。
接下来,将参考附图描述根据本发明实施方式的服务器2的操作。图4是示出了当IP分组发生时服务器2的操作的流程图,图5是示出了当定时器被启动时服务器2的操作的流程图。
如图4所示,服务器2接收或发送IP分组,当其发现有IP流量发生时(步骤1),服务器2基于IP分组的目的地和发送源的IP地址来搜索IPsec SA条目,以确定该IP分组是否通过IPsec SA 5(上行SA或下行SA,步骤2)。当服务器2确定所述IP分组通过上行SA或下行SA时(步骤S3,是),该服务器将复位并启动对应于所述SA的定时器(步骤S4)。
如图5所示,当定时器被启动时(步骤S5),开始测量时间,并且直到到达规定的时间才再次将定时器复位(步骤S6,是),消息被发送到IP分组的终端节点,请求删除所述IPsec SA(步骤S6)。一旦接收到该消息,终端节点就删除所述IPsec SA。
例如,当在步骤S1中发生的IP分组的目的地地址和发送源地址分别是“a”和“d”时,根据IPsec SA条目确定出该IP分组要通过IPsec SA标识符001所表示的下行SA被传输到远程主机1(步骤S3,是),并且服务器2在将IPsec SA标识符001的定时器复位之后,启动该定时器。当由IPsec SA标识符001的定时器所测量的时间达到规定的时间,而在服务器2中没有发生具有目的地地址“a”和发送源地址“d”的IP分组时(步骤S6,是),服务器2向作为下行SA的终端节点的路由器31和路由器32发送消息,请求删除所述SA(步骤S6)。
注意,服务器可以向作为终端节点的路由器31和路由器32之一发送请求删除的消息,而不是向这两个路由器都发送删除消息。在这种情形中,已接收到删除请求消息的终端节点可以删除SA,并且将此告知另一个终端节点。
毋庸累述,根据图4和图5所示的各个流程图的处理操作可以通过使充当CPU的计算机(控制器)读取并执行预先存储在ROM等中的程序来实现。
如上所述,在本发明的实施方式中,服务器2通过使用IPsec SA条目来监控该IPsec SA上的流量,以根据该IPsec SA上的流量数量来确定是否要删除该IPsec SA。由于可以删除不顾没有流量存在而依然建立的IPsecSA,而不需要作为终端节点的路由器31和路由器32来确定是否要删除SA,所以可以减少终端节点的负荷。
此外,由于在一段规定的时间内没有流量发生的SA将被删除,而不管IPsec终端节点存在与否,所以可以减少由IPsec终端节点建立的IPsecSA的数目。利用上述安排,可以减少在IPsec终端节点中维持IPsec SA所必需的资源,也可以减少搜索IPsec SA所必需的时间。
在本发明的实施方式中,服务器2通过监控IPsec SA上的流量来发送请求删除IPsec SA的消息,从而减少在IPsec终端节点中的SA的数目。但是,当除了服务器外其他节点也具有IPsec SA条目,以致于那些节点也可以识别IPsec SA的流量时,就可以实现这种控制。此外,IPsec SA被用作本发明实施方式中的主题,但是主题并不受限于此,在具有创建或管理SA的功能的其他协议(因特网安全关联&密钥管理协议)中使用的SA也可以用作主题。此外,也可以从其他节点通知服务器2的IPsec SA条目。
本申请要求在先日本专利申请JP2004-163928的优先权,该申请的公开通过参考结合于此。
Claims (10)
1.一种用于通过在位于通信网络中的第一节点和第二节点之间建立安全关联作为逻辑连接而在所述第一节点和所述第二节点之间执行通信的系统,所述系统包括:
通过设置在所述通信网络上的所述安全关联而与对方节点之间执行通信的第三节点,
其中所述第三节点根据所述安全关联上的数据流量数量来确定是否要删除所述安全关联。
2.如权利要求1所述的系统,其中,当在一段预定的时间内在所述安全关联上不存在任何流量时,所述第三节点向所述第一节点和所述第二节点中的至少一个节点发送请求删除所述安全关联的消息。
3.如权利要求1所述的系统,其中,所述第三节点预先存储了包括要通过所述安全关联来传输的数据的目的地地址和发送源地址在内的信息,并且根据所述信息来确定所述第三节点发送/接收的数据是否通过所述安全关联。
4.一种位于通信网络中的通信节点装置,所述通信网络包括第一节点和第二节点,并且所述通信节点装置用于在所述第一节点和所述第二节点之间通过建立为逻辑连接的安全关联来执行通信,其中所述装置根据所述安全关联上的数据流量数量来确定是否要删除所述安全关联。
5.如权利要求4所述的通信节点装置,
当在一段预定的时间内在所述安全关联上不存在任何流量时,向所述第一节点和所述第二节点中的至少一个节点发送请求删除所述安全关联的消息。
6.如权利要求4所述的通信节点装置,其中,所述装置预先存储了包括要通过所述安全关联来发送和接收的数据的目的地地址和发送源地址在内的信息,并且根据所述信息来确定所述装置发送/接收的数据是否通过所述安全关联。
7.一种位于通信网络中的通信节点装置的操作控制方法,其中所述通信网络包括第一节点和第二节点,所述方法用于在所述第一节点和所述第二节点之间通过建立为逻辑连接的安全关联来执行通信,所述方法包括以下步骤:
由所述装置根据所述安全关联上的数据流量数量来确定是否要删除所述安全关联。
8.如权利要求7所述的操作控制方法,其中,当在一段预定的时间内在所述安全关联上不存在任何流量时,在所述步骤中,从所述装置向所述第一节点和所述第二节点中的至少一个节点发送请求删除所述安全关联的消息。
9.如权利要求7所述的操作控制方法,其中,所述通信节点装置预先存储了包括要通过所述安全关联来传输的数据的目的地地址和发送源地址在内的信息,并且根据所述信息来确定所述装置发送/接收的数据是否通过所述安全关联。
10.一种与第一节点之间通过建立安全关联作为逻辑连接而执行通信的通信节点装置,其中:
当从不同于所述第一节点的第二节点接收信号时,所述装置删除所述安全关联;并且
所述第二节点根据所述安全关联上的流量数量生成所述信号。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP163928/2004 | 2004-06-02 | ||
| JP2004163928A JP4013920B2 (ja) | 2004-06-02 | 2004-06-02 | 通信システム、通信装置及びその動作制御方法並びにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1705282A CN1705282A (zh) | 2005-12-07 |
| CN100353711C true CN100353711C (zh) | 2007-12-05 |
Family
ID=34836630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100735831A Expired - Fee Related CN100353711C (zh) | 2004-06-02 | 2005-06-02 | 通信系统、通信装置、操作控制方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20050273606A1 (zh) |
| JP (1) | JP4013920B2 (zh) |
| CN (1) | CN100353711C (zh) |
| GB (1) | GB2414907B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8521412B2 (en) | 2010-03-26 | 2013-08-27 | Honda Motor Co., Ltd. | Method of determining absolute position for a motor vehicle |
| CN103188351B (zh) * | 2011-12-27 | 2016-04-13 | 中国电信股份有限公司 | IPv6环境下IPSec VPN通信业务处理方法与系统 |
| JP2016063234A (ja) * | 2014-09-12 | 2016-04-25 | 富士通株式会社 | 通信装置の通信制御方法,通信装置,通信制御システム |
| JP2017098666A (ja) * | 2015-11-19 | 2017-06-01 | 富士通株式会社 | 通信装置,及び暗号化通信の異常検出方法 |
| US11770389B2 (en) * | 2020-07-16 | 2023-09-26 | Vmware, Inc. | Dynamic rekeying of IPSec security associations |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1229313A (zh) * | 1997-07-11 | 1999-09-22 | Ag通信系统公司 | 提供安全传输的广域网系统 |
| CN1481651A (zh) * | 1999-11-23 | 2004-03-10 | ��˹��ŵ�� | 移动终端切换过程中的安全性关联的传送 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4201466B2 (ja) * | 2000-07-26 | 2008-12-24 | 富士通株式会社 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
| US7099957B2 (en) * | 2001-08-23 | 2006-08-29 | The Directtv Group, Inc. | Domain name system resolution |
-
2004
- 2004-06-02 JP JP2004163928A patent/JP4013920B2/ja not_active Expired - Fee Related
-
2005
- 2005-06-01 US US11/141,317 patent/US20050273606A1/en not_active Abandoned
- 2005-06-02 GB GB0511272A patent/GB2414907B/en not_active Expired - Fee Related
- 2005-06-02 CN CNB2005100735831A patent/CN100353711C/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1229313A (zh) * | 1997-07-11 | 1999-09-22 | Ag通信系统公司 | 提供安全传输的广域网系统 |
| CN1481651A (zh) * | 1999-11-23 | 2004-03-10 | ��˹��ŵ�� | 移动终端切换过程中的安全性关联的传送 |
Non-Patent Citations (2)
| Title |
|---|
| Securing Block Storage Protocols over IP. Aboba B,et al.IPS Working Group INTERNET.DRAFT. 2001 * |
| Securing Block Storage Protocols over IP. Aboba B,et al.Network Working Group Request for Comments:3723 Category: Standards Track. 2004 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4013920B2 (ja) | 2007-11-28 |
| GB0511272D0 (en) | 2005-07-13 |
| GB2414907A (en) | 2005-12-07 |
| CN1705282A (zh) | 2005-12-07 |
| US20050273606A1 (en) | 2005-12-08 |
| GB2414907B (en) | 2007-06-06 |
| JP2005347978A (ja) | 2005-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10122574B2 (en) | Methods and apparatus for a common control protocol for wired and wireless nodes | |
| CN107836104B (zh) | 与机器设备进行互联网络通信的方法和系统 | |
| CA2530343C (en) | System for the internet connections, and server for routing connections to a client machine | |
| KR101378647B1 (ko) | Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치 | |
| FI125972B (fi) | Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi | |
| EP2850776A1 (en) | Tls abbreviated session identifier protocol | |
| CN100353711C (zh) | 通信系统、通信装置、操作控制方法 | |
| WO2014116152A1 (en) | Communication apparatus, control method thereof, computer program thereof, relaying apparatus, control method thereof, computer program thereof | |
| US11606334B2 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| JP4253569B2 (ja) | 接続制御システム、接続制御装置、及び接続管理装置 | |
| JP2006185194A (ja) | サーバ装置、通信制御方法及びプログラム | |
| US20090077642A1 (en) | Cooperation method and system between send mechanism and ipsec protocol in ipv6 environment | |
| US7623666B2 (en) | Automatic setting of security in communication network system | |
| US7054321B1 (en) | Tunneling ethernet | |
| CN111917621B (zh) | 通信设备的网管服务器与网元的通信方法及系统 | |
| Xiaorong et al. | Security analysis for IPv6 neighbor discovery protocol | |
| EP2124397A1 (en) | A method for transfering the ip transmission session and the equipment whereto | |
| WO2022166932A1 (zh) | 一种通信鉴权方法、设备及存储介质 | |
| CN114650197A (zh) | 通信方法、装置及用户面网元和存储介质 | |
| CA2550323A1 (en) | Method and system for improved management of a communication network by extending the simple network management protocol | |
| Cisco | MPLS Label Distribution Protocol (LDP) MIB | |
| CN113746807A (zh) | 一种区块链节点支持国密算法通信检测方法 | |
| US20060171379A1 (en) | Movement management system, movement management server, and movement management method used for them, and program thereof | |
| CN111917650A (zh) | 确定通用路由封装gre隧道标识的方法、设备和系统 | |
| CN115225313B (zh) | 一种高可靠的云网络虚拟专用网络通信方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C19 | Lapse of patent right due to non-payment of the annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |