CN101444064A - 用于网页服务器集群的寻址和路由机制 - Google Patents
用于网页服务器集群的寻址和路由机制 Download PDFInfo
- Publication number
- CN101444064A CN101444064A CN200780017012.3A CN200780017012A CN101444064A CN 101444064 A CN101444064 A CN 101444064A CN 200780017012 A CN200780017012 A CN 200780017012A CN 101444064 A CN101444064 A CN 101444064A
- Authority
- CN
- China
- Prior art keywords
- reverse proxy
- host
- main frame
- identity protocol
- host identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000007246 mechanism Effects 0.000 title description 6
- 239000000463 material Substances 0.000 claims abstract description 45
- 238000000034 method Methods 0.000 claims abstract description 39
- 230000008569 process Effects 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 239000003999 initiator Substances 0.000 description 7
- 230000011664 signaling Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000009476 short term action Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
在第一和第二主机标识协议使能主机之间建立主机标识协议会话的方法,其中至少所述第二主机位于反向代理之后。该方法包括给反向代理提供第二主机Diffie-Hellman公钥材料,从反向代理向第一主机发送所述Diffie-Hellman公钥材料作为主机标识协议基础交换过程的一部分,该材料被绑定到反向代理的主机标识以用于主机标识协议会话,并且在第一主机处,利用反向代理的主机标识作为用于主机标识协议会话的相应主机标识,在第二主机处,利用反向代理的主机标识作为用于主机标识协议会话的发起主机标识。
Description
技术领域
本发明涉及用于网页服务器集群的寻址和路由机制,特别是,但并非必要地涉及允许位于网页反向代理后的网页服务器集群可以由根据主机标识协议来使用单个主机标识的客户端连接的寻址和路由机制。
背景技术
在最初设计因特网时,主机的位置是固定的,并且用户之间存在隐含信任,尽管缺乏实际安全性或主机标识协议,而且这种情况甚至在更广泛地了解和使用该技术后继续存在。极少需要考虑用于处理主机移动性的技术,因为计算机体积较大并且不能移动。
随着二十世纪九十年代初期电信和计算机工业的变革,更小的通信设备和计算机成为更广泛可获得的,以及万维网的发明和伴随它出现的所有服务最终使因特网吸引了大众。网络和移动电信的不断增加的使用结合产生了对于因特网中的安全移动性管理的需要。
有关各方的增加数量以及某些业务需要的现金交易也产生对于附加应用级安全性的需要。目前,最广泛使用的加密协议,例如SSL/TLS,运行在网络层之上,例如TCP。
考虑到上述移动性管理和安全性问题,引入了移动IP标准(C.Perkins,“IPMobility Support for IPv4”,RFC 3220,IETF,2002)以及移动IPv6标准(D.Johnson,C.Perkins,J.Arkko,“Mobility Support in IPv6”,RFC 3775,IETF 2004)。这些规范共同计划为下一代因特网提供移动性支持。安全性工作正以IPsec及相关活动,如各种密钥交换协议的形式发展,其目的是提供IP层的安全性。但是经验表明,很难采用当前标准来达到安全性和移动性相结合。
IP地址描述网络中的节点的拓扑位置。使用IP地址以把分组从源节点路由到目的地。同时,还使用IP地址以标识节点,在一个实体中提供两种不同的功能。这类似于某个人在被询问其身份时以其家庭地址作答的情况。而在考虑移动性时,情况变得更为复杂:由于IP地址在这个方案中用作主机标识符,因此它们不得改变;但是,由于IP地址还描述拓扑位置,因此当主机在网络中改变其位置时,它们一定需要改变。显然不可能同时实现稳定性和动态改变。
在移动IP的情况中,解决方案是采用提供节点的“归属地址”的固定归属位置。归属地址标识节点以及在其处于归属地时提供其稳定位置。当前位置信息以转交地址的形式可获得,它在节点远离归属地时用于路由的目的。
对该问题的另一个解决方案是把标识和定位功能相互分离,这是主机标识协议(HIP)建议(R.Moskowitz,P.Nikander,P.Jokela,T.Henderson,“Host IdentityProtocol”,Internet Draft,work in progress,draft-ietf-hip-base-05.txt,IETF,2006)中采用的方法。HIP通过引入新的名称空间,主机标识(HI)来分离IP地址的定位和标识功能。在HIP中,主机标识基本上是公有-私有密钥对的公有密钥。公钥标识保存了私钥唯一副本的一方。拥有密钥对的私钥的主机可直接证明它“拥有”用于在网络中标识它的公钥。分离还提供以安全方式处理移动性和多归属的手段。除了在位置和标识之间的分离之外,HIP还提供用于HIP使能节点之间安全关联(SA)的协商。
每个主机可产生仅供短时间使用的短期密钥。它们在不需要稍后采用相同标识来标识节点时是有用的。例如,从书店购买书籍可能是长期关系,而一次性联系服务器以收集用户简档则可认为是短期动作。在后一种情况中,可创建短期标识以避免长期标识的更广泛散布。作为公钥的HIP主机标识(HI)可能相当长,因而不是在所有情况中都实用。在HIP中,采用从HI中通过对其进行散列处理所产生的128位长的主机标识标志(HIT)来表示HI。因此,HIT标识HI。由于HIT为128位长,因此它可直接用于IPv6应用,因为它与IPv6地址的长度完全相同。
主机标识的另一种形式是本地范围标识符(LSI),其用32位表示主机标识。LSI的目的在于便于在现有协议和API中使用主机标识。例如,由于LSI的长度与IPv4地址相同,它可以直接用于IPv4应用。虽然本说明书的其余大部分将基于使用更长的HIT,但是应当明了相同或相近的考虑可应用于替代的LSI形式。
附图中的图1说明了HIP中的各个层,包括标准传输层4,网络层8和链路层10,其中进程2与它下面的传输层4进行通信。对于HIP,新的主机标识层6设置在传输层4与网络层8之间。每个HI与其关联的HIT在本地映射到节点的IP地址。当分组离开主机时,正确的路由被选择(无论通过什么方式),以及相应的IP地址被设置于分组中,作为源和目的地址。从上层到达的每个分组包含对等体的HIT作为目的地址。HIT与位置信息之间的映射可位于HI层6。因此,目的地址被转换为所映射的IP地址,以及源HIT被转换为源IP地址。
对等HIT与IP地址之间的映射可由HIP客户端通过若干方式来获得,其中的一种方式是从DNS服务器中获得。典型地,DNS服务器将接收来自客户端的请求用于解析因特网域名,例如www.serviceprovider.com。保存在DNS服务器中的本地信息可以通过对等节点在任何时间进行更新。
HIP定义包含四个消息的基本消息交换,即四方握手,这用来创建多个HIP使能主机之间的安全关联(SA)。在消息交换期间,Diffie-Hellman过程用来创建会话密钥以及建立多个节点之间的一对IPsec封装安全净荷(ESP)安全关联(SA)。附图中的图2说明了四方握手的操作。协商方称作开始连接的“发起方”和“应答方”。发起方通过发送包含参与协商的节点的HIT的I1分组来开始协商。如果应答方的HIT不是发起方已知的,则目标HIT也可能是零状态的。
当应答方得到I1分组时,它发送回包含要由发起方解决的问题的R1分组。协议经过设计使得发起方必须在问题解决中进行大部分计算。这提供了对于DoS攻击的某种保护。R1还发起Diffie-Hellman过程,其中包含应答方的公钥和Diffie-hellman参数。
一旦接收到R1分组,发起方解决问题,并且在I2分组中向应答方发送响应信息块以及IPsec SPI值及其加密公钥。应答方检验是否已经解决问题,对发起方进行鉴别,并创建IPsec ESP SA。最后的R2消息包含应答方的SPI值。
主机之间的SA被绑定到由HIT所表示的主机标识。但是网络中传递的分组不包含实际HI信息,但是到达的分组被标识并采用IPsec首标中的安全性参数索引(SPI)值映射到正确的SA。当输出分组从上层到达HI层时,由IPsecSADB验证目的地HIT。如果找到与目的HIT匹配的SA,利用与SA关联的会话密钥加密分组。附图中的图3示出了网络中的逻辑和实际分组结构。
移动主机可以在一个接入网内部,在不同接入技术之间,或者甚至在不同IP地址域之间,例如IPv4与IPv6网络之间改变位置。在HIP中,应用无需关注IP地址版本的变化。HI层对上层完全隐藏该变化。对等节点无疑必需能够处理改变IP版本的位置更新,以及分组必须是采用某个兼容地址来路由。如果节点没有Ipv4以及IPv6连通性,则可采用执行地址版本转换并代表节点提供连通性的代理节点。
发明内容
附图1说明了包括多个网页服务器的网页“场”。服务器位于网页反向代理后的专用网络中。反向代理是单个联系点,用于其之后的所有服务器。它转发连接到不同网页服务器。服务器选择可以基于,例如负载平衡或者其它策略。在当前因特网结构中,网站的因特网域名映射到网页反向代理的IP地址。例如,www.serviceprovider.com被映射到反向代理的IP地址,其可以重定向连接到其之后的另一个IP地址。
图1中的情况是HIP的问题,因为HIP是端到端协议。在HIP中,在不同的端点主机,连接绑定到不同的HIT,因此,在图1的情况下,客户端应当与网页服务器建立端到端连接,每个具有其自己的HI,并与反向代理无关。但是,属于相同集群的所有服务器应当具有相同的集群标识以允许集群在单个地址可连接,由此便于反向代理的负载平衡。
一种方法可以是映射多个IP地址到DNS服务器的单个HI。但是,这将难于管理,如只要单个网页服务器增加到集群中或从集群中移除,管理员必须更新映射到DNS的FQDN-HIT。另一种方法可以是在所有的参与的计算机中,使用单个HI同时存储相同私钥。但这不是一个可扩展的方法,作为私钥应当仅存储在单个位置以最小化暴露密钥的风险的安全性角度而言也是不利的。
根据本发明的第一方面,提供了一种在第一和第二主机标识协议使能主机之间建立主机标识协议会话的方法,其中至少所述第二主机位于反向代理之后,该方法包括:
给反向代理提供第二主机的Diffie-Hellman公钥材料;
从反向代理向第一主机发送所述Diffie-Hellman公钥材料,作为主机标识协议基础交换过程的部分,该材料被绑定到反向代理的主机标识,用于主机标识协议会话;以及
以及在第一主机,使用反向代理的主机标识作为用于主机标识协议会话的相应主机标识,并且在第二主机,使用反向代理的主机标识作为发起主机标识用于主机标识协议会话。
对于本领域技术人员而言,反向代理是一种通过作为来自外部请求的最终IP地址来作为其它主机的http服务器场或集群的网关的代理。从外部客户端的角度而言,反向代理是http服务器。
本发明具体应用于第二主机是网页服务器的情况,其是网页服务器集群或场中的一个网页服务器。
在本发明的具体实施例中,对应于所述Diffie-Hellman公钥材料的Diffie-Hellman私钥材料仅由第二主机保留而不提供给反向代理。数据分组的加密/解密和/或鉴别不在反向代理中执行。
在本发明的另一实施例中,由第二主机提供给反向代理的会话密钥材料允许反向代理执行数据分组的加密/解密和/或鉴别。优选地,所述会话密钥材料在主机标识协议基础交换过程中的R2消息中提供给反向代理。如果在第一和第二主机之间执行密钥更新,则会话密钥材料在UPDATE消息中提供给反向代理。
本发明的实施例导致生成D-H材料的服务器(第二主机)从标记相应的包含D-H TLV的R1消息的反向代理中分离出来。服务器将其连接与反向代理的HI绑定。该服务器不需要知道反向代理的私钥。结果是与代理之后服务器的通信对于第一主机而言是透明的。单个反向代理可以标识多个属于相同集群的服务器。可以使用单个主机标识(HI)来标识集群中的所有服务器。管理员可以从集群中增加和移除服务器而不需要担心HI管理或DNS的更新。从主机的角度而言,第一主机仅接收来自与具体如网站绑定的DNS的HI。该主机不需要关心多个HI。这可以将例如负载平衡工作留给负责重定向其后不同服务器之间业务的反向代理。
根据本发明的第二方面,其提供了用于在第一和第二主机标识协议使能主机之间建立主机标识协议会话的反向代理,其中所述第二主机位于反向代理之后,该代理包括:
用于接收第二主机公钥材料和用于存储所述材料的装置;
用于从反向代理向第一主机发送所述公钥材料作为主机标识协议基础交换过程的一部分的装置,该材料被绑定到反向代理的主机标识用于主机标识协议会话;以及
用于随后转发从第一主机接收的分组到第二主机的装置。
根据本发明的第三方面,其提供了配置在反向代理之后使用的主机标识协议主机,该主机包括:
发送主机公钥材料到反向代理的装置;
用于在主机标识协议基础交换过程与对等主机通信的装置,该装置使用反向代理的主机标识作为用于主机标识协议会话的发起主机标识。
附图说明:
图1图形化说明了主机标识协议中的各个层;
图2说明了HIP协议中的四方握手的操作;
图3示出了HIP中的逻辑和实际分组结构;
图4示例性地说明了网页场或集群;
图5示例性地说明了图4网页场中的反向代理网页服务器之间的公钥材料的共享;
图6是大概说明与修改的主机标识协议基础交换过程关联的信令术语的信令流程图;以及
图7是是大概说明根据本发明可替换的实施例的更新密钥过程关联的信令术语的信令流程图。
具体实施方式
如下是在图4说明的用于使用网页场上下文中HIP的过程的概述。
在启动阶段,当在专用网络的服务器场中建立新的网页服务器时,该新服务器生成其自己的公钥和私钥。因此,它得到自己的主机标识。它还需要Diffie-Hellman密钥材料,其将在之后的HIP基础交换过程中用于生成与对等节点共享的密钥。该新服务器生成私有部分(D-H-private)和公有部分(D-H-public)。该网页服务器注册到服务器场信任的反向代理,并向该反向代理发送D-H-public值。该反向代理生成包含服务器的D-H-public值的R1分组,并用自己的HI私钥来标记它。反向代理因此维护多个R1分组,(至少)一个用于服务器场中的任一个服务器节点。该情形在图5中说明。
当专用网络之外的客户端解决网页场(如www.serivceprovider.com)的FQDN名时,其认为网站是一个服务器。DNS返回IP地址和反向代理的HI到客户端。客户端根据反向代理的HI生成HIT,之后生成包含该HIT的I1分组,并将其发送给反向代理。反向代理根据某个策略(如负载平衡),在专用网络中选择合适的网页服务器,并将具有对应于所选服务器的预设R1分组的I1分组答复给发送方。客户端使用反向代理的HI验证R1分组的标记。然后在R1分组中解决该问题,生成包含解决方法的I2分组,并将其发送给反向代理。反向代理确认解决方法并转发I2消息给其之后的正确的服务器。该服务器确认I2分组,生成密钥材料,并建立与客户端使用的IPsec SA对。
需要指出的是网页服务器不需要知道反向代理的HIP私钥。但是该服务器可以绑定本地连接和IPsec SA到反向代理的HIT。也就是说,该服务器不能标记到客户端的HIP消息,因为其不知道代理的HI私钥,但是其可以使用反向代理的HIT用于连接绑定。该反向代理利用其自己的私钥标记R1和R2消息。这种方式下,客户端不知道其实际与服务器通信。
该服务器使用包括该服务器的ESP SPI值的R2消息来进行响应。该服务器使用其自己的HI私钥来标记R2分组。当反向代理接收R2分组时,其验证服务器的标记。网页反向代理用其自己的标记来替换R2中的服务器标记。由反向代理标记的R2分组被发送到客户端。该结果是该客户端认为其与反向代理通信,但是端到端密钥材料是共享的,并且IPsec业务在客户端和服务器之间流动。
用于该机制的具体信令流在图6中描述,其中客户端具有标识“HI-client”,反向代理具有标识“HI-reverse-proxy”以及服务器具有标识“HI-server”。信令步骤如下所述:
1.网页服务器生成D-H密钥对。该密钥对由公有和私有材料构成。该私有材料仅存储在服务器中,该公有材料在注册阶段被发送给代理(参见步骤3)。
2.集群的管理局指定用于服务器的主反向代理。该服务器先前已获取了反向代理的HI(公钥)。
3.该服务器将其D-H公有材料(HIP中,这在称为D-H TLV的DIFFIE_HELLMAN参数中被发送)注册到反向代理。该服务器使用HIP注册交换[draft-koponen-hip-registratin-01]来将D-H TLV注册到反向代理。D-H TLV值必须由服务器在注册消息中标记。该反向代理生成和保存包含服务器的D-HTLV的R1消息。存储的R1消息由反向代理的HI私钥来标记。反向代理生成(至少)一个R1分组用于在其之后的每个服务器。必须验证其生成的每个R1分组在问题中具有不同的随机I-值。该I-值之后用于识别来到的I2分组。
4.网页客户端决定联系网站(如www.serviceprovider.com),并通过联系DNS来解决HIT和IP地址。其获得HI和IP地址用于反向代理。客户端生成并发送I1消息到反向代理。该I1包含反向代理的HIT并指向反向代理的IP地址。
5.当反向代理接收I1消息时,其作出决定以使其之后的其中一个web服务器可以服务于该客户端。该决定基于本地策略作出,如根据不同服务器的当前负载。该反向代理之后选择为所选服务器预生成的R1消息,其包含服务器的D-H公有值。反向代理使用该R1消息答复客户端,从而提供所选web服务器的D-H公有材料给客户端。
6.客户端在R1消息中解决该问题,生成包含其D-H公有材料的I2分组,并将其发送给反向代理。该反向代理检查该问题中的I-值(其还识别反向代理已选择的服务器),检验I2消息中的问题,并转发该I2消息到正确的服务器。
7.服务器接收I2消息。该I2消息包含客户端和反向代理的HIT。
8.服务器使用客户端的D-H公有材料校验该消息,并使用其自己的D-H密钥材料(步骤1)和客户端的D-H TLV生成HIP和IPsec密钥材料。服务器将SA对绑定到反向代理和客户端的的HI。服务器随后使用反向代理的HIT用于计算分组校验和。[客户端没有设置成知道服务器自己的HIT]。
9.服务器发送包含服务器SPI值的R2消息给反向代理。其使用自己的HI-服务器私钥来标记R2分组。
10.反向代理校验R2分组中的标记,从分组中剥离服务器的标记,并利用HI反向代理私钥添加其自己的标记。
11.反向代理发送该重新标记的R2分组到客户端。
12.结果是客户端和服务器分享相同的密钥材料,并且该材料仅由它们所知(而反向代理不知)。然而与服务器的通信对于客户端而言是透明的,并且客户端相信其与代理通信。客户端发送IPsec ESP分组到之后转发这些分组到服务器的反向代理。
上述方法维护客户端和web服务器之间的端到端的安全性。但是,假设反向代理和web服务器之间的链路是安全的,并且在专用网络中共享私钥不是个问题,可替换的方法是web服务器授权IPsec加密和/或鉴别密钥给反向代理。当反向代理具有加密密钥时,其可以处理数据鉴别和加密/解密,将数据遗留在反向代理和未受保护的web服务器之间的链路上。当反向代理具有鉴别密钥时,其可以验证到来的分组,由此保护web服务器免受Dos攻击。该方法可以被修改以便仅有鉴别在反向代理中执行而没有加密/解密。这仍将提供给web服务器有利的“网守”服务。
更详细地考虑可替换方法,当web服务器需要授权IPsec密钥给反向代理时,其添加密钥到R2消息的参数中(如上修改步骤10)。R2消息请求新的参数用于该目的:KEY_ENCR包含加密密钥和KEY_AUTH包含鉴别密钥。当反向代理接收其中任一参数时,其保存密钥并从R2分组中删除它们。R2分组被重新标记并被发送给客户端。基于该密钥信息,反向代理可以执行所请求的密码操作。反向代理可以生成密钥来取代从网页服务器接收密钥吗?
客户端和web服务器可以使用UPDATE消息执行重新加密钥。这种情况下,来自服务器的UPDATE消息必须包含KEY_ENCR和/或KEY_AUTH参数,如果相应的操作已经被授权给反向代理的话。反向代理保存密钥信息,删除这些参数,并在发送分组给客户端之前重新对其标记。因为UPDATE过程是三方握手,任一方可以启动它,包含KEY参数的消息依据于谁启动重新加密钥。如果客户端启动它,第二UPDATE消息(由服务器发送的唯一一个)包含这些参数,并且如果服务器已经启动了它,第三UPDATE消息包含它们。图7说明了当客户端启动重新加密钥的过程。
本领域的技术人员应当明了可以对上述实施例进行多种修改而不脱离权利要求的范围。例如,所述的方法可以用于提供一般的客户端之间的寻址和路由机制。同样地,网页服务器可以是位于反向代理之后的任意HIP使能客户端。但是,这种实现方式要求客户端(位于反向代理之后)和反向代理之间额外的鉴别和授权过程。
Claims (8)
1、一种在第一主机标识协议使能主机和第二主机标识协议使能主机之间建立主机标识协议会话的方法,其中至少所述第二主机位于反向代理之后,该方法包括:
给反向代理提供第二主机的Diffie-Hellman公钥材料;
从反向代理向第一主机发送所述Diffie-Hellman公钥材料作为主机标识协议基础交换过程的一部分,该材料被绑定到反向代理的主机标识以用于主机标识协议会话;以及
在第一主机处,使用反向代理的主机标识作为用于主机标识协议会话的相应主机标识,并且在第二主机处,使用反向代理的主机标识作为用于主机标识协议会话的发起主机标识。
2、根据权利要求1的方法,其中所述第二主机是web服务器,其是web服务器集群或场中的一个web服务器。
3、根据权利要求1或2的方法,其中相应于所述Diffie-Hellman公钥材料的Diffie-Hellman私钥材料仅被第二主机保留而不提供给反向代理。
4、根据权利要求1或2的方法,其中会话密钥材料由第二主机提供给反向代理,以允许反向代理执行数据分组的加密/解密和/或鉴别。
5、根据权利要求4的方法,其中所述会话密钥材料在主机标识协议基础交换过程的R2消息中被提供给反向代理。
6、根据权利要求4或5的方法,其中通过提供UPDATE消息中的会话密钥材料给反向代理,在第一和第二主机之间执行重新加密钥。
7、一种用于在第一主机标识协议使能主机和第二主机标识协议使能主机之间建立主机标识协议会话的反向代理,其中所述第二主机位于反向代理之后,该代理包括:
用于接收第二主机的公钥材料和用于存储所述材料的装置;
用于从反向代理向第一主机发送所述公钥材料作为主机标识协议基础交换过程的一部分的装置,该材料被绑定到反向代理的主机标识以用于主机标识协议会话;以及
用于转发随后从第一主机接收的分组到第二主机的装置。
8、一种配置成在反向代理之后使用的主机标识协议主机,该主机包括:
用于发送主机的公钥材料到反向代理的装置;
用于在主机标识协议基础交换过程与对等主机通信的装置,该装置使用反向代理的主机标识作为用于主机标识协议会话的发起主机标识。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB0609256A GB2442044B8 (en) | 2006-05-11 | 2006-05-11 | Addressing and routing mechanism for web server clusters. |
GB0609256.3 | 2006-05-11 | ||
PCT/EP2007/054221 WO2007131873A1 (en) | 2006-05-11 | 2007-04-30 | Addressing and routing mechanism for web server clusters |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101444064A true CN101444064A (zh) | 2009-05-27 |
CN101444064B CN101444064B (zh) | 2013-11-20 |
Family
ID=36637232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800170123A Expired - Fee Related CN101444064B (zh) | 2006-05-11 | 2007-04-30 | 用于web服务器集群的寻址和路由机制 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8041939B2 (zh) |
EP (1) | EP2016733B1 (zh) |
CN (1) | CN101444064B (zh) |
GB (1) | GB2442044B8 (zh) |
RU (1) | RU2426263C2 (zh) |
WO (1) | WO2007131873A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102065111B (zh) * | 2009-11-13 | 2015-02-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种反向代理方法和反向代理服务器 |
CN107634883A (zh) * | 2016-07-19 | 2018-01-26 | 群晖科技股份有限公司 | 用来存取一网页服务器的方法与装置 |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070208946A1 (en) * | 2004-07-06 | 2007-09-06 | Oracle International Corporation | High performance secure caching in the mid-tier |
US20080306815A1 (en) * | 2007-06-06 | 2008-12-11 | Nebuad, Inc. | Method and system for inserting targeted data in available spaces of a webpage |
US20100303072A1 (en) * | 2007-11-28 | 2010-12-02 | Petri Jokela | Multicast Source Mobility |
US8910270B2 (en) | 2009-01-20 | 2014-12-09 | Microsoft Corporation | Remote access to private network resources from outside the network |
JP5147995B2 (ja) * | 2009-02-05 | 2013-02-20 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成 |
US8190879B2 (en) * | 2009-12-17 | 2012-05-29 | Cisco Technology, Inc. | Graceful conversion of a security to a non-security transparent proxy |
US8799485B2 (en) | 2009-12-18 | 2014-08-05 | Sling Media, Inc. | Methods and apparatus for establishing network connections using an inter-mediating device |
US8626879B2 (en) * | 2009-12-22 | 2014-01-07 | Sling Media, Inc. | Systems and methods for establishing network connections using local mediation services |
CN102223353A (zh) * | 2010-04-14 | 2011-10-19 | 华为技术有限公司 | 主机标识协议安全通道复用方法及装置 |
US8752208B2 (en) * | 2011-05-13 | 2014-06-10 | Imperva Inc. | Detecting web browser based attacks using browser digest compute tests launched from a remote source |
US9565558B2 (en) * | 2011-10-21 | 2017-02-07 | At&T Intellectual Property I, L.P. | Securing communications of a wireless access point and a mobile device |
FR2988942B1 (fr) * | 2012-03-27 | 2015-08-28 | Commissariat Energie Atomique | Methode et systeme d'etablissement d'une cle de session |
US8613089B1 (en) | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
US9100369B1 (en) * | 2012-08-27 | 2015-08-04 | Kaazing Corporation | Secure reverse connectivity to private network servers |
US10369461B2 (en) * | 2014-01-24 | 2019-08-06 | Nvidia Corporation | Cloud gaming system and method of initiating a gaming session |
CN105553648B (zh) | 2014-10-30 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 量子密钥分发、隐私放大及数据传输方法、装置及系统 |
US10051000B2 (en) * | 2015-07-28 | 2018-08-14 | Citrix Systems, Inc. | Efficient use of IPsec tunnels in multi-path environment |
CN106470101B (zh) | 2015-08-18 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
CN106487743B (zh) * | 2015-08-25 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 用于支持多用户集群身份验证的方法和设备 |
US10686886B2 (en) * | 2016-10-19 | 2020-06-16 | Mirosoft Technology Licensing, LLC | Establishing secure sessions for stateful cloud services |
US11863528B1 (en) * | 2018-06-07 | 2024-01-02 | Amazon Technologies, Inc. | Glue layer that abstracts dynamic endpoints to static endpoints |
US11954525B1 (en) * | 2022-09-21 | 2024-04-09 | Zhejiang Lab | Method and apparatus of executing collaborative job for spark faced to multiple K8s clusters |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE602004007301T2 (de) * | 2004-02-13 | 2008-02-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten |
CN1939000B (zh) * | 2004-04-15 | 2011-01-12 | 艾利森电话股份有限公司 | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 |
-
2006
- 2006-05-11 GB GB0609256A patent/GB2442044B8/en not_active Expired - Fee Related
-
2007
- 2007-04-30 CN CN2007800170123A patent/CN101444064B/zh not_active Expired - Fee Related
- 2007-04-30 EP EP07728675.5A patent/EP2016733B1/en not_active Not-in-force
- 2007-04-30 US US12/300,059 patent/US8041939B2/en not_active Expired - Fee Related
- 2007-04-30 WO PCT/EP2007/054221 patent/WO2007131873A1/en active Application Filing
- 2007-04-30 RU RU2008148841/09A patent/RU2426263C2/ru active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102065111B (zh) * | 2009-11-13 | 2015-02-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种反向代理方法和反向代理服务器 |
CN107634883A (zh) * | 2016-07-19 | 2018-01-26 | 群晖科技股份有限公司 | 用来存取一网页服务器的方法与装置 |
Also Published As
Publication number | Publication date |
---|---|
EP2016733B1 (en) | 2014-01-22 |
US8041939B2 (en) | 2011-10-18 |
CN101444064B (zh) | 2013-11-20 |
GB2442044B8 (en) | 2011-02-23 |
GB2442044B (en) | 2010-12-08 |
GB2442044A (en) | 2008-03-26 |
EP2016733A1 (en) | 2009-01-21 |
WO2007131873A1 (en) | 2007-11-22 |
RU2426263C2 (ru) | 2011-08-10 |
GB0609256D0 (en) | 2006-06-21 |
GB2442044A8 (en) | 2011-02-23 |
US20090265541A1 (en) | 2009-10-22 |
RU2008148841A (ru) | 2010-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101444064B (zh) | 用于web服务器集群的寻址和路由机制 | |
CN1938999B (zh) | 寻址方法及建立遗留与主机标识协议节点之间的主机标识协议连接的方法和设备 | |
CN1939000B (zh) | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 | |
EP1849279B1 (en) | Host identity protocol method and apparatus | |
US7849195B2 (en) | Host identity protocol method and apparatus | |
GB2424154A (en) | Streamlined network logon using Host Identity Protocol (HIP) with broadcast puzzle challenges and home server certificates | |
Manner et al. | Seamless service interworking of ad-hoc networks and the Internet | |
Wilterdink | Host Identity Protocol: A state of the art research | |
Qiu et al. | HIP based real-name access mechanism in next generation internet | |
Kostiainen | Host Identity Payload for Mobility and Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131120 Termination date: 20210430 |
|
CF01 | Termination of patent right due to non-payment of annual fee |