CN102474499A - 用于选择IPsec策略的方法 - Google Patents
用于选择IPsec策略的方法 Download PDFInfo
- Publication number
- CN102474499A CN102474499A CN2009801605070A CN200980160507A CN102474499A CN 102474499 A CN102474499 A CN 102474499A CN 2009801605070 A CN2009801605070 A CN 2009801605070A CN 200980160507 A CN200980160507 A CN 200980160507A CN 102474499 A CN102474499 A CN 102474499A
- Authority
- CN
- China
- Prior art keywords
- security
- security strategy
- groups
- strategy
- priority valve
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于查询包括已经被指配了优先权值的多组安全策略的Ipsec安全策略数据库的方法和设备。当网络节点接收到IP分组时,它确定优先权值,并在安全策略数据库中寻找具有那个优先权值的安全策略。如果没找到安全策略,则它寻找具有更低优先权值的安全策略。重复这个过程直到找到安全策略,在此情况下,它被返回并被应用于IP分组,或者确定不存在适当的安全策略。
Description
技术领域
本发明涉及通信网络中的安全策略数据库,并且具体地说,涉及查询和填充安全策略数据库。
背景技术
在RFC4301:“Security Architecture for the Internet Protocol”中描述了因特网协议的安全架构(IPsec)。RFC4301描述了基于由安全策略数据库(SPD)定义的要求的IP业务保护的框架。在节点处存储并维护SPD,并且由用户或系统管理员或由在由以上用户或系统管理员建立的约束内操作的应用建立和维护SPD。
包含在SPD中的安全策略(SP)是告诉接收IP分组的节点如何处理那个分组的规则。SP可定义使用IPsec应该处理什么种类的分组,应该如何应用IPsec等等。
当节点发送或接收IP分组时,必须咨询SPD是否在启用IPsec的接口上发送业务,而不管是IPsec还是非IPsec。实现IPsec框架的电信设备需要偶尔存储大量策略,由此SPD尺寸可能很大。用于每个IP分组的策略匹配操作必须尽可能快地执行,以便维护节点的网络容量。
RFC 4301不定义SPD的结构或它应该如何与其它功能相接口。然而,RFC 4301确实规定SPD必须存储SP作为项目的有序列表。在USAGIIPv6 IPsec Development for Linux中描述了在FreeBSD7.0或Linux2.6.x核中实现的现有SBD结构的示例。Mitsuru Kanda,Kazunori Miyazawa,Hiro shi Esakihttp://hiroshi1.hongo.wide.ad.jp/hiroshi/papers/SAINT2004_kanda-ipsec.pdf。这个文档描述了策略排序和存储方案,其中在不能找到相关SP的情况下,策略查找算法成本随存储的SP数量的增大而线性增大。当在SPD中供应新SP时,依次供应它;换句话说,SPD中的策略排序由它们进入的顺序确定。SP查找时间因此取决于何时在SPD中供应SP。为了改进SP查找时间,可采用高速缓存确保可高速缓存应用于一个分组的策略,并随后从高速缓存中检索该策略,并将该策略应用于需要同一策略的随后分组。
发明内容
发明人已经认识到,存储在安全策略数据库(SPD)中的安全策略(SP)的查找速度可能很慢,并且已经设计了比已知方法提供更快SP查找的查询和填充SPD的方法。
根据本发明的第一方面,提供一种查询包括已经被指配了优先权值的多组SP的IPsec SPD的方法。执行如下步骤:
a)网络节点接收IP分组;
b)确定最高SP优先权值;
c)查询IPSec安全协议数据库以得到具有确定的SP优先权值的SP集合;
d)进行关于来自所述SP集合的SP动作是否应该应用于所述IP分组的确定;
e)在SP动作应该应用于所述IP分组的情况下,将所述SP返回并应用于所述IP分组。然而,如果没有来自SP集合的SP动作应该应用于所述IP分组,则确定更低SP优先权值,并重复步骤步骤c)到e)。而且,如果没有具有更低优先权组的SP集合,则进行关于未能找到SP应用于IP分组的确定。
作为一个选项,使用来自IP分组头部的信息确定SP是否应该应用于所述IP分组。作为另外的选项,所述方法还包括:使用来自所述IP分组头部的信息计算散列值,将所述IP分组的计算的散列值和与SP链接列表相关联的散列值相比较。在所述散列值匹配的情况下,确定包含在SP链接列表中的SP动作是否应该应用于所述IP分组,并且在散列值不匹配的情况下,确定没有来自SP链接列表的SP动作应该应用于所述IP分组。作为另外的选项,所述方法使用选自源前缀、源端口、目标前缀、目标端口和上层协议中任一个的信息。
根据本发明的第二方面,提供一种用于填充IPsec SP数据库的方法。网络节点接收要插入到SP数据库中的SP,并计算优先权值以指配给策略。定位存储在数据库中的与计算的值具有相同优先权值的策略组,并将SP存储在SPD中的那个策略组中。
在可选实施例中,在具有相同优先权值的组在SP数据库中不可得到的情况下,则在SPD中创建具有所述优先权值的新组。
作为一个选项,所述方法还包括:使用包含在SP选择符字段中的信息计算SP的散列值,并将所述散列值与SPD中的SP相关联。作为另外的选项,所述信息选自源前缀、源端口、目标前缀、目标端口和上层协议中的任一个。
根据本发明的第三方面,提供了一种用于通信网络中的节点。所述节点被提供有存储设置成策略组的多个SP的IPsec SPD,每个策略组都被指配了优先权值。还提供查询功能用于通过以优先权值的降序搜索SP组直到找到匹配或确定没有SP应该应用于IP分组,来查询所述SPD以找到IP分组的匹配。
作为一个选项,所述节点还包括用于接收IP分组的接收器、用于将匹配的SP的动作应用于IP分组的IPsec功能和用于向另外的网络节点发送IP分组的发射器。
作为另外选项,所述查询功能设置成使用包含在所述IP分组头部中的信息计算散列值,并且所述查询功能还设置成将计算的散列值和与SP组相关联的散列值相比较以确定SP是否应该应用于所述IP分组。
根据本发明的第四方面,提供一种用于填充存储设置成策略组的多个SP的IPsec SPD的节点。所述节点被提供有用于接收要插入到SPD中的SP的接收器和设置成计算优先权值以指配给SP并将SP与具有该优先权值的策略组一起存储在SPD中的处理器。
在具有相同优先权值的组在SP数据库中并非已经可得到的情况下,处理器可选地设置成在SPD中创建新组。
处理器还可选地设置成使用包含SP选择符字段的信息计算SP的散列值,并将所述散列值与SPD中的SP相关联。
根据本发明的第四方面,提供一种计算机程序,包括计算机可读代码,所述计算机可读代码当运行在可编程网络节点上时,使可编程网络执行上文在本发明第一或第二方面中所描述的方法。
根据本发明的第五方面,提供一种记录介质,存储上文在本发明第四方面中描述的计算机可读代码。
根据本发明的第六方面,提供一种载体介质,携带上文在本发明第四方面中描述的计算机可读代码。
根据本发明的第六方面,提供一种网络节点,其上安装有上文在本发明第四方面中描述的程序。
附图说明
现在将仅通过示例并参照附图来描述本发明的一些优选实施例,附图中:
图1用框图示意性例证了根据本发明实施例的安全策略数据库和结构;
图2是示出根据本发明实施例在安全策略数据库中供应新安全策略时的插入操作的流程图;
图3用框图示意性例证了根据本发明实施例的示例优先权功能位映射;
图4是示出根据本发明实施例在安全策略数据库中的查找操作的流程图;
图5是示出根据本发明实施例在安全策略数据库中的匹配查找操作的流程图;
图6用框图示意性例证了用于执行策略查找操作的节点;以及
图7用框图示意性例证了用于填充安全策略数据库的节点。
具体实施方式
参考图1,例证了安全策略数据库(SPD)1。在数据库1中供应了多个安全策略(图1中表示为SP)。不像现有技术SPD,SP一起被分组成具有相同优先权值的SP组(2,4,6)中。当在数据库中供应SP时,优先权值是指配给每个SP的值。
从图1中可看到,多个SP可都符合同一优先权值,并且因此都一起分组在单个策略组(2,4,6)中。RFC 4301要求的有序列表中的策略组按所包含策略的优先权值排序。
当在网络节点处(例如在IMS网络中的呼叫会话控制功能处)接收到IP分组时,节点必须检查看看如果有的话什么SP应用于IP分组。它通过查询SPD来进行该操作。又检查SP组是否有匹配IP分组的SP。首先检查具有最高优先权的组,并且如果没找到匹配SP,则检查具有其次最高优先权的组,以此类推,直到返回应用于IP分组的SP,或者返回通知节点没有SP匹配该分组的消息。在没有SP匹配该分组的情况下,IPsec不会应用于该分组。
存储在SPD中的每个SP包括选择符和多个动作之一,并且可表示为:SP:(SELECTOR,ACTION[,ACTION....])
选择符用于确定SP是否应该应用于IP分组。如果IP分组匹配SP的选择符,则需要执行由那个给定SP定义的动作。选择符定义如下:
SELECTOR:(SOURCE_ADDRESS,SOURCE_PREFIX,DESTINATION_ADDRESS,DESTINATION_PREFIX,SOURCE_PORT,DESTINATION_PORT,UPPER_LAYER_PROTOCOL)
源地址和目标地址各为32位(在IPv4的情况下)或128位(在IPv6的情况下)数字,并且可表示为:
SOURCE_ADDRESS:<32位整数>|<128位整数>
DESTINATION_ADDRESS:<32位整数>|<128位整数>
源前缀数字和目标前缀数字分别表示选择符源地址或目标地址中的有价值位数量。在源地址或目标地址中,有价值位总是从最高有效位到最低有效位计数。源前缀和目标前缀表示如下:
SOURCE_PREFIX:<0-32>|<0-128>
DESTINATION_PREFIX:<0-32>|<0-128>
上层协议是存储在IPv4数据报的协议字段或IPv6数据报的下一头部字段中的数字。在选择符描述的情况下,上层协议可设置成ANY值,如下:
UPPER_LAYER_PROTOCOL:<8位整数>|ANY
源端口和目标端口是上层协议所用的端口号。在选择符描述的情况下,源和目标端口可设置成ANY值,如下:
SOURCE_PORT:<16位整数>|ANY
DESTINATION_PORT:<16位整数>|ANY
在IP分组匹配SP选择符的情况下,执行指配给给定SP的动作。动作可从丢弃匹配分组变动到需要IPsec处理。仅作为示例提供本文描述的动作。
当在SPD中供应新SP时,执行插入操作。插入操作不频繁;并且因此,在执行时间方面不需要优化。插入操作被描述为:
insert(SPD,SP)
图2例证了插入SP的步骤,其中如下编号对应于图2的编号。
S1.例如在IMS网络中的CFCS处接收新SP。
S2.优先权函数计算要插入的SP的优先权值:
p=priority(SP.SELECTOR)
优先权值例如可以是到给定选择符的整数:
priority(SELECTOR)->integer
SP的优先权值在SPD内不一定是唯一的,因为许多SP能符合同一优先权值。
当策略被插入到SPD 1中时,基于选择符字段计算优先权值,并将它插入到对应于给定优先权值的策略组中。策略组由策略的选择符字段标记,选择符字段用于计算策略组的优先权。因此,每个策略组标记为:SOURCE_PREFIX(源前缀),DESTINATION_PREFIX(目标前缀)值,SOURCE_PORT(源端口)通配符,DESTINATION_PORT(目标端口)通配符和UPPER_LAYER_PROTOCOL(上层协议)通配符字段。
优先权函数的示范实现是优先权函数将SOURCE_PREFIX、DESTINATION_PREFIX、SOURCE_PORT、DESTINATION_PORT和UPPER_LAYER_PROTOCOL值映射到位图。图3示出了一个可能映射,其中SOURCE_PREFIX 8和DESTINATION_PREFIX 10值存储在0-6和8-15位中。第7位被设置成0,除非SOURCE_PORT 9是ANY。第16位被设置成0,除非DESTINATION_PORT 11是ANY。第17位也被设置成0,除非UPPER_LAYER_PROTOCOL 12是ANY。当然,网络运营商可根据SP的要求设置其它位图。
S3.在策略组链中对具有相同优先权值的策略组执行查找。为了加速查找过程,可使用更有帮助的散列表,如下所述。
S4.如果找到具有相同优先权值的策略组,则操作在步骤S6继续,如果没找到,则操作在步骤S5继续。
S5.因为找到了具有优先权值p的策略组,所以创建创建新策略组。
S6.使用策略组散列函数计算散列值。由SP的选择符字段的所选位构成散列函数的输入。所选位是:
a.未屏蔽掉的源地址字段和目标地址字段中规定的位
b.SOURCE_PORT,除非它被设置成ANY
c.DESTINATION_PORT,除非它被设置成ANY
d.UPPER_LAYER_PROTOCOL,除非它被设置成ANY
在由计算的散列值指配的链接列表的头部处插入SP。
注意,这个示例描述了链接列表结构,但可以是任何动态排序的结构。
在某一情形(例如数据库维护)下,需要查找操作来确保数据库含有最新且相关的信息。查找操作用于从SPD 1中检索具有特定选择符的SP,并可被描述为:
lookup(SPD,SELECTOR)->SP|NO_SP_FOUND
图4示出了查找操作的步骤,其中如下编号对应于该图的编号。
S7.在查找操作开始时,计算要查找的选择符的优先权值:
p=priority(SELECTOR)
S8.查询具有相同优先权值的策略组。为了加速查找过程,可使用更有帮助的散列表。
S9.如果找到该策略组,则操作在步骤S11继续,并且如果没找到具有该优先权值的策略组,则操作在步骤S10继续。
S10.未找到该策略组,并且这个结果被返回到请求策略查找的节点。
S11.找到具有与选择符相同优先权值的策略组,并且因此,在策略组中执行对SP的查找。以与上文在步骤S6中描述的相同的方式,使用策略组散列函数计算散列值。使用具有规定选择符字段的SP的计算的散列值,执行链接列表的查找。
S12.如果找到SP,则操作在步骤S14继续,否则操作在步骤S13继续。
S13.未找到该SP,并且这个结果被返回到请求策略查找的节点。
S14.SP被返回到请求策略查找的节点。
对于数据维护,可能期望从SPD 1中移除过期或不正确的SP。在这种情况下,执行删除操作,删除操作被描述为:
delete(SPD,SELECTOR)
可通过在查找操作之后的从含有规定SP的链接列表的单元移除操作执行删除操作。因为删除操作执行得不频繁,因此在执行时间方面不需要优化它。
最常见的操作是匹配查找操作。当要发送IP分组时,节点必须确定SP是否应该应用于该分组,并且如果是,则确定哪个SP应该应用于该分组。匹配查找操作返回其选择符匹配给定IP分组的具有最高优先权值的SP。在多于一个SP匹配该IP分组的情况下,则仅返回具有最高优先权值的SP。因为匹配查找是频繁操作,因此它必须被高度优化。
匹配查找操作被描述为:
matchlookup(SPD,IP)->SP|NO_SP_FOUND
其中:
matched(IP,SP.selector)==true
并且SPD中没有SPi,其中:
matched(IP,SPi.selector)AND priority(SPi.SELECTOR)>priority(SP)
图5中例证了匹配查找操作,其中如下编号对应于图5的编号。
S15.节点(诸如CSCF)接收IP分组,并且必须关于将安全策略应用于该分组进行判定。
S16.查询SDB 1。搜索的第一策略组是具有最高优先权值的组。
S17.获取由策略组的选择符标记确定的IP分组头部的有价值位。使用散列函数计算散列值。由IP头部字段的有价值位构成散列函数的输入。有价值位是:
a.mask(IP.SOURCE_ADDRESS,PGROUP.SOURCE_MASK)未屏蔽掉的源地址字段中规定的位
b.mask(IP.DESTINATION_ADDRESS,PGROUP.DESTINATION_MASK)未屏蔽掉的目标地址字段中规定的位
c.IP.SOURCE_PORT,除非PGROUP.SOURCE_PORT被设置成ANY
d.IP.DESTINATION_PORT,除非PGROUP.DESTINATION_PORT被设置成ANY
e.IP.UPPER_LAYER_PROTOCOL,除非PGROUP.UPPER_LAYER_PROTOCOL被设置成ANY
使用“匹配的”函数,将计算的散列值与对于具有该优先权值的策略组中的SP的链接列表存储的散列值相比较。匹配的是检查IP数据报是否匹配给定选择符的布尔运算。对于每个输入和输出IP分组调用这个运算以确定如果有的话哪个策略应用于该IP分组。
matched(IP,SELECTOR)->真|假
这个运算可用如下伪代码描述:
(mask(IP.SOURCE_ADDRESS,SELECTOR.SOURCE_PREFIX)==SELECTOR.SOURCE_ADDRESS)
AND
(mask(IP.DESTINATION_ADDRESS,SELECTOR.DESTINATION_PREFIX)==SELECTOR.DESTINATION_ADDRESS)
AND
(IP.SOURCE_PORT==SELECTOR.SOURCE_PORT‖SELECTOR.SOURCE_PORT==ANY)
AND
(IP.DESTINATION_PORT==SELECTOR.DESTINATION_PORT‖SELECTOR.DESTINATION_PORT==ANY)
AND
(IP.UPPER_LAYER_PROTOCOL==SELECTOR.UPPER_LAYER_PROTOCOL‖SELECTOR.UPPER_LAYER_PROTOCOL==ANY)
S18.如果计算的散列值匹配SDB1中存储的SP散列值,则该操作在步骤S22继续,否则操作在步骤S19继续。
S19.因为在先前策略组中没找到匹配SP,因此进行确定以确定是否存在具有更低优先权值的另外策略组。如果存在,则操作在步骤S21继续,并且如果不存在,则操作在步骤S20继续。
S20.通过操作中的这一点,已经查询了所有策略组,并且还未找到应用于该IP分组的SP,因此返回没找到SP的结果。然后不使用任何SP来处理IP分组。
S21.选择具有其次最低优先权值的策略组,并且操作从步骤S17重复。
S22.进行确定以在SP的链接列表中找到匹配该IP分组的SP。如果能找到SP,则过程在步骤S23继续,否则过程返回步骤S19。
S23.已经找到具有最高优先权的组中的SP,并且返回这个SP。然后将该SP应用于该IP分组。
在上述操作的算法成本方面,插入操作、查找操作和删除操作各需要2次散列表查找。将策略存储在SPD中。匹配查找操作要求进行尝试以将IP分组与存储在具有最高优先权的策略组中的SP相匹配,并且这个过程继续,直到找到第一个匹配的SP为止。如果存在P个策略组,则在最坏情况情形下,必须执行P次散列查找。要明白,策略组的最大数量与SPD中存储的SP数量无关。它仅取决于用于优先权计算的选择符字段长度。由此,匹配查找成本是具有SPD中存储的策略数量的O(1)。
现在转到图6,例证了节点13,诸如CSCF,用于执行策略查找操作。提供接收器14,用于接收IP分组。提供(通常实现为处理器的)查询功能15,用于查询SPD 1并从SPD中获得返回的匹配SP。注意,在这个示例中,SPD定位在节点处,但在许多实现中,SPD将定位成远离节点。提供IPsec功能16,用于将返回的匹配SP的动作应用于IP分组。还提供发射器17,用于向另外的网络节点发送IP分组。图6中例证的SPD 1被结构化了,并以与图1中例证的SPD相同的方式操作。
现在转到图7,例证了用于填充SPD 1安全策略数据库的节点18。向节点18提供用于接收要插入到SPD 1中的SP的接收器19和设置成计算指配给SP的优先权值并将SP与具有该优先权值的策略组一起存储在SPD 1中的处理器20。
本发明介绍了基于选择符的策略排序。RFC4301未规定排序方法,但的确要求对SPD 1进行排序。良好选择的优先权功能便于协调多个SPD用户,因为这个解决方案不太倾向于使不想要的策略占优势。另一个优点是有效的匹配查找操作,其是在SPD中最常见的操作。返回策略是基于指配的优先权值而不是基于何时在SBD 1中供应它们。
将认识到,出自上述实施例的变型仍可落入本发明范围内。例如,作为示例参考IMS网络中的CSCF描述本发明,但将认识到,它同样可应用于使用IPsec安全策略的任何类型网络。
在本说明书中已经使用了如下缩写:
IP因特网协议
SP安全策略
SPD安全策略数据库
TCP传输控制协议
UDP用户数据报协议
Claims (18)
1.一种查询包括多组安全策略的IPsec安全策略数据库的方法,每组安全策略具有优先权值,所述方法包括:
a)在网络节点处,接收IP分组;
b)确定最高安全策略优先权值;
c)查询所述IPSec安全协议数据库以得到具有所述安全策略优先权值的安全策略集合;
d)确定来自所述安全策略集合的安全策略动作是否应该应用于所述IP分组;
e)在安全策略动作应该应用于所述IP分组的情况下,将所述安全策略动作应用于所述IP分组,并在没有来自所述安全策略集合的安全策略动作应该应用于所述IP分组的情况下,确定更低安全策略优先权值,并重复步骤c)到e),并在没有更低安全策略优先权值的情况下,确定未能找到安全策略。
2.如权利要求1所述的方法,还包括:使用来自所述IP分组头部的信息确定安全策略是否应该应用于所述IP分组。
3.如权利要求1或2所述的方法,还包括:
使用来自所述IP分组头部的信息计算散列值;
将所述IP分组的计算的散列值和与安全策略链接列表相关联的散列值相比较;
在所述散列值匹配的情况下,确定包含在所述安全策略链接列表中的安全策略动作是否应该应用于所述IP分组,并且在所述散列值不匹配的情况下,确定没有来自所述安全策略链接的安全策略动作应该应用于所述IP分组。
4.如权利要求2或3所述的方法,包括:使用选自源前缀、源端口、目标前缀、目标端口和上层协议中任一个的信息。
5.一种填充IPsec安全策略数据库的方法,所述方法包括:
在网络节点处,接收要插入到所述安全策略数据库中的安全策略;
计算优先权值以指配给所述策略;
定位所述数据库中存储的具有相同优先权值的策略组;
将具有所述优先权值的所述安全策略与所述策略组一起存储在所述安全策略数据库中。
6.如权利要求5所述的方法,还包括:在具有相同优先权值的组在所述安全策略数据库中不可得到的情况下,在所述安全策略数据库中创建具有那个优先权值的新组。
7.如权利要求5或6所述的方法,还包括:使用包含在安全策略选择符字段中的信息计算所述安全策略的散列值,并将所述散列值与所述安全策略数据库中的所述安全策略相关联。
8.如权利要求7所述的方法,其中所述信息选自源前缀、源端口、目标前缀、目标端口和上层协议中的任一个。
9.一种用于通信网络中的节点,所述节点包括:
IPsec安全策略数据库,存储设置成策略组的多个安全策略,每个策略组具有优先权值;
查询功能,用于通过以优先权值的降序搜索安全策略组直到找到匹配,来查询所述安全策略数据库以找到IP分组的匹配。
10.如权利要求9所述的节点,包括:
接收器,用于接收IP分组;
IPsec功能,用于将匹配安全策略的动作应用于所述IP分组;以及
发射器,用于向另外的网络节点发送所述IP分组。
11.如权利要求9或10所述的节点,其中所述查询功能设置成使用包含在所述IP分组头部中的信息计算散列值,并且所述查询功能还设置成将计算的散列值和与安全策略组链接列表相关联的散列值相比较以确定安全策略是否应该应用于所述IP分组。
12.一种用于填充存储设置成策略组的多个安全策略的IPSec安全策略数据库的节点,所述节点包括:
接收器,用于接收要插入到所述安全策略数据库中的安全策略;
处理器,设置成计算优先权值以指配给所述安全策略,并将所述安全策略与具有所述优先权值的策略组一起存储在所述安全策略数据库中。
13.如权利要求12所述的节点,其中所述处理器还设置成在具有相同优先权值的组在所述安全策略数据库中不可得到的情况下,在所述安全策略数据库中创建具有那个优先权值的新组。
14.如权利要求12或13所述的节点,其中所述处理器还设置成使用包含在安全策略选择符字段中的信息计算所述安全策略的散列值,并将所述散列值与所述安全策略数据库中的所述安全策略相关联。
15.一种计算机程序,包括计算机可读代码,所述计算机可读代码当运行在可编程网络节点上时,使所述可编程网络执行如权利要求1-8中任一项所述的方法。
16.一种记录介质,存储如权利要求15之一所述的计算机可读代码。
17.如权利要求15所述的程序,在载体介质上携带。
18.一种网络节点,其上安装有如权利要求15所述的程序。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2009/058850 WO2011003470A1 (en) | 2009-07-10 | 2009-07-10 | Method for selecting an ipsec policy |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102474499A true CN102474499A (zh) | 2012-05-23 |
| CN102474499B CN102474499B (zh) | 2016-01-20 |
Family
ID=41727508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980160507.0A Expired - Fee Related CN102474499B (zh) | 2009-07-10 | 2009-07-10 | 用于选择IPsec策略的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20120117617A1 (zh) |
| EP (2) | EP2452476B1 (zh) |
| CN (1) | CN102474499B (zh) |
| ES (1) | ES2439765T3 (zh) |
| WO (1) | WO2011003470A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868686A (zh) * | 2012-08-31 | 2013-01-09 | 广东电网公司电力科学研究院 | 一种基于esp封装、强化数据加密的方法 |
| CN103425940A (zh) * | 2013-08-16 | 2013-12-04 | 广东电网公司中山供电局 | 一种数据库安全加固方法及装置 |
| CN104601526A (zh) * | 2013-10-31 | 2015-05-06 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
| CN115150114A (zh) * | 2021-03-30 | 2022-10-04 | 瞻博网络公司 | 使用网段前缀的动态获知的基于意图的企业安全 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8539547B2 (en) * | 2010-08-18 | 2013-09-17 | Certes Networks, Inc. | Policy selector representation for fast retrieval |
| GB2485142A (en) * | 2010-10-27 | 2012-05-09 | Nds Ltd | Secure broadcast/multicast of media content |
| JP5848570B2 (ja) * | 2011-09-30 | 2016-01-27 | ラピスセミコンダクタ株式会社 | 通信装置、受信制御方法及び送信制御方法 |
| CN103067290B (zh) * | 2012-11-30 | 2016-06-01 | 成都卫士通信息产业股份有限公司 | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 |
| CN104301296A (zh) * | 2013-12-29 | 2015-01-21 | 新疆信息产业有限责任公司 | 通过IPsec策略防止违规外联的方法 |
| US12021851B2 (en) * | 2021-11-02 | 2024-06-25 | Netapp, Inc. | Session recovery mechanism |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005010777A1 (en) * | 2003-07-09 | 2005-02-03 | Cisco Technology, Inc. | Internet protocol security matching values in an associative memory |
| CN1905519A (zh) * | 2005-07-27 | 2007-01-31 | 日立通讯技术株式会社 | 本地代理装置和通信系统 |
| US20080052756A1 (en) * | 2006-08-22 | 2008-02-28 | Takehiro Morishige | IPSec PROCESSING DEVICE, NETWORK SYSTEM, AND IPSec PROCESSING PROGRAM |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6347376B1 (en) * | 1999-08-12 | 2002-02-12 | International Business Machines Corp. | Security rule database searching in a network security environment |
| US6529897B1 (en) * | 2000-03-31 | 2003-03-04 | International Business Machines Corporation | Method and system for testing filter rules using caching and a tree structure |
| US6826609B1 (en) * | 2000-03-31 | 2004-11-30 | Tumbleweed Communications Corp. | Policy enforcement in a secure data file delivery system |
| US6484171B1 (en) * | 2000-03-31 | 2002-11-19 | International Business Machines Corporation | System method and computer program for prioritizing filter rules |
| US6947983B2 (en) * | 2001-06-22 | 2005-09-20 | International Business Machines Corporation | Method and system for exploiting likelihood in filter rule enforcement |
| US20030097557A1 (en) * | 2001-10-31 | 2003-05-22 | Tarquini Richard Paul | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system |
| US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US7346059B1 (en) * | 2003-09-08 | 2008-03-18 | Cisco Technology, Inc. | Header range check hash circuit |
| US20050171937A1 (en) * | 2004-02-02 | 2005-08-04 | Hughes Martin W. | Memory efficient hashing algorithm |
| US7861291B2 (en) * | 2006-06-02 | 2010-12-28 | Freescale Semiconductor, Inc. | System and method for implementing ACLs using standard LPM engine |
-
2009
- 2009-07-10 EP EP09780451.2A patent/EP2452476B1/en not_active Not-in-force
- 2009-07-10 ES ES09780451.2T patent/ES2439765T3/es active Active
- 2009-07-10 WO PCT/EP2009/058850 patent/WO2011003470A1/en active Application Filing
- 2009-07-10 US US13/383,367 patent/US20120117617A1/en not_active Abandoned
- 2009-07-10 EP EP13167108.3A patent/EP2627055B1/en not_active Not-in-force
- 2009-07-10 CN CN200980160507.0A patent/CN102474499B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005010777A1 (en) * | 2003-07-09 | 2005-02-03 | Cisco Technology, Inc. | Internet protocol security matching values in an associative memory |
| CN1905519A (zh) * | 2005-07-27 | 2007-01-31 | 日立通讯技术株式会社 | 本地代理装置和通信系统 |
| US20080052756A1 (en) * | 2006-08-22 | 2008-02-28 | Takehiro Morishige | IPSec PROCESSING DEVICE, NETWORK SYSTEM, AND IPSec PROCESSING PROGRAM |
Non-Patent Citations (1)
| Title |
|---|
| CHALOUF M.A ET AL: ""Introduction of Security in the Service Level Negotiated with SLNP Protocol"", 《NEW TECHNOLOGIES,MOBILITY AND SECURITY,2008》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868686A (zh) * | 2012-08-31 | 2013-01-09 | 广东电网公司电力科学研究院 | 一种基于esp封装、强化数据加密的方法 |
| CN102868686B (zh) * | 2012-08-31 | 2015-07-22 | 广东电网公司电力科学研究院 | 一种基于esp封装、强化数据加密的方法 |
| CN103425940A (zh) * | 2013-08-16 | 2013-12-04 | 广东电网公司中山供电局 | 一种数据库安全加固方法及装置 |
| CN104601526A (zh) * | 2013-10-31 | 2015-05-06 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
| CN104601526B (zh) * | 2013-10-31 | 2018-01-09 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
| US10044759B2 (en) | 2013-10-31 | 2018-08-07 | Huawei Technologies Co., Ltd. | Conflict detection and resolution methods and apparatuses |
| US10917437B2 (en) | 2013-10-31 | 2021-02-09 | Huawei Technologies Co., Ltd. | Conflict detection and resolution methods and apparatuses |
| CN115150114A (zh) * | 2021-03-30 | 2022-10-04 | 瞻博网络公司 | 使用网段前缀的动态获知的基于意图的企业安全 |
| CN115150114B (zh) * | 2021-03-30 | 2024-06-04 | 瞻博网络公司 | 使用网段前缀的动态获知的基于意图的企业安全 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011003470A1 (en) | 2011-01-13 |
| EP2627055B1 (en) | 2015-12-30 |
| WO2011003470A8 (en) | 2011-04-14 |
| EP2627055A1 (en) | 2013-08-14 |
| CN102474499B (zh) | 2016-01-20 |
| EP2452476B1 (en) | 2013-09-18 |
| ES2439765T3 (es) | 2014-01-24 |
| EP2452476A1 (en) | 2012-05-16 |
| US20120117617A1 (en) | 2012-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102474499B (zh) | 用于选择IPsec策略的方法 | |
| CN100547976C (zh) | 用于标识反向路径转发信息的方法和装置 | |
| CN100419752C (zh) | 关联存储器中的因特网协议安全性匹配值 | |
| CN102656580B (zh) | 结构化数据的方法、预编译的异常列表引擎和网络设备 | |
| US7418505B2 (en) | IP address lookup using either a hashing table or multiple hash functions | |
| US7386525B2 (en) | Data packet filtering | |
| CN100472480C (zh) | 分组处理方法和装置 | |
| US9083710B1 (en) | Server load balancing using minimally disruptive hash tables | |
| CN104580027B (zh) | 一种OpenFlow报文转发方法及设备 | |
| EP1623557A2 (en) | A bounded index extensible hash-based ipv6 address lookup method | |
| WO1999006926A1 (en) | System and method for locating a route in a route table using hashing and compressed radix tree searching | |
| CN1913527A (zh) | 处理过滤规则的装置和方法 | |
| CN104731951A (zh) | 一种数据查询方法及装置 | |
| EP2429132B1 (en) | Table creating and searching method used by network processor | |
| CN111131049B (zh) | 路由表项的处理方法及装置 | |
| US7349981B2 (en) | System, apparatus, and method for string matching | |
| CN109981476A (zh) | 一种负载均衡方法和装置 | |
| CN116610676A (zh) | 一种分布式系统中标识的生成方法、装置、设备及介质 | |
| Xie et al. | Towards Capacity-Adjustable and Scalable Quotient Filter Design for Packet Classification in Software-Defined Networks | |
| US7376657B1 (en) | Fast IPv6 address lookup using skip level processing on multi-bit tries | |
| US9104566B2 (en) | System and method for determining whether a failed communication between signal transfer points was in error | |
| AU2013203537B2 (en) | Methods of structuring data, pre-complied exception list engines, and network appliances | |
| Yu et al. | A space-and time-efficient hash table hierarchically indexed by Bloom filters | |
| KR100366794B1 (ko) | 이엠에스에서의 씨태그 관리 시스템 및 씨태그 관리 방법 | |
| JP2005135318A (ja) | 負荷分散方法および負荷分散装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160120 Termination date: 20200710 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |