CN102598621B - 用于提供用于加密分组数据的安全关联的方法 - Google Patents
用于提供用于加密分组数据的安全关联的方法 Download PDFInfo
- Publication number
- CN102598621B CN102598621B CN201080048815.7A CN201080048815A CN102598621B CN 102598621 B CN102598621 B CN 102598621B CN 201080048815 A CN201080048815 A CN 201080048815A CN 102598621 B CN102598621 B CN 102598621B
- Authority
- CN
- China
- Prior art keywords
- endpoint
- security
- address
- destination host
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种方法通过操作源端点以进行下述步骤来提供用于一个或多个加密数据分组的安全关联:定义用于应用安全关联的目的地主机地址的集合;定义安全端点地址范围;以及将安全关联应用于一个或多个加密数据分组,该一个或多个加密数据分组去往要经由在安全端点地址范围中所计算的安全端点发送的至少一个目的地主机地址。安全地址范围可以通过下述步骤来确定:确定地址偏移量;以及使用地址偏移量从目的地主机地址范围来计算安全端点地址范围。替代地,可以以另一种方式来标识用于安全端点地址范围的开始地址。
Description
技术领域
本公开一般地涉及在通信系统中的分组的安全传输,并且更具体地,涉及提供用于加密分组数据的安全关联。
背景技术
在现今的很多情况下,当源端点将信息发送到目的地端点时,信息可以通过诸如因特网的未保护的网络。根据信息的性质,可能需要以一种或多种方式来保护该信息。例如,端点可以实现一个或多个核心安全服务,诸如保密性、认证等,其中保密性(例如,加密/解密算法的使用)提供信息隐私性并被应用于信息,使得仅可由期望的接收方来理解,并且认证是估计信息的源发方和接收方的真实性的过程。
很多的现有安全协议都可以用于提供核心安全服务。这样的协议组是由因特网工程任务组(IETF)规定的很多标准文档中定义的因特网协议安全(IPsec)。(例如,参见http://www.ietf.org)根据这些现有协议(包括IPsec)为了使端点保护其向另一个端点发送的信息(或者相反地,为了从端点接收和解密保护的信息),必须建立安全关联(SA)。在此使用的术语SA包括描述由端点使用来保护在一个方向上流动的信息或业务的协议和参数(诸如,密钥和算法)的元素。因此,在正常的双向业务中,通过一对SA来保护流。SA元素被存储在安全关联数据库(SAD)中。这些SA元素包括例如但不限于安全参数索引、源地址、目的地地址、诸如安全协议标识符(ID)的安全参数、一个或多个密钥ID、一个或多个算法ID等,这些SA元素使端点能够确定如何对发送到或来自另一个端点的信息进行加密/解密和/或认证。
存在用于将SA提供给端点的两种方法。第一种方法是手动提供,例如,使用密钥变量加载器(key variable loader,KVL)。然而,该方法仅当存在有限数目的要提供的SA元素时并且当那些元素不随时间而改变时是实用的。然而,很多系统都配置有基础设施端点(例如,服务器或网关),该基础设施端点与具有可能随时间而改变的地址的几百甚至几千个端点(例如,订户单元、计算机终端等)进行通信,其中,向基础设置端点手动地提供用于系统中的所有端点的SA是不实际的。在这些系统配置中,需要动态提供的第二种方法。
一种这样的动态提供方法是实现在2005年12月公布的请求注解(RFC)4306中定义的公知的因特网安全交换(IKE)协议,其中,两个端点通过消息信令交换来协商SA元素。然而,IKE协议的缺点在于,当由于需要交换以建立所有SA的大量消息而导致在系统中存在大量端点用户时,不利地影响系统中的射频资源或带宽。该问题在使用窄带链接的系统中被放大。而且,当在系统中存在大量端点用户时,基础设施端点中的SAD可能快速地变为不可管理。在该情况下,对称密钥管理系统变为唯一实际的解决方案,在对称密钥管理系统中,从诸如密钥管理设施(KMF)的中心服务器提供安全关联。
当利用对称密钥管理来对数据使用隧道模式加密时,必须针对每个隧道端点来单独建立安全关联数据库和安全策略数据库条目,并且每个隧道端点都可以支持多个数据主机,每个数据主机都要求独立的安全关联。在支持E2E(端对端)数据的系统上存在几千个移动装置的情况下,这因此要求几千个独立的关联设置来进行配置-当使用由密钥管理设施(KMF)提供的对称密钥管理时这是不实际的。本领域普通技术人员应当认识到,当前的加密模块可以在它们所支持的关联的数目上具有有限的限制,例如,几百个。对称密钥管理由移动无线电系统来使用,并且在标准(例如,用于TETRA的SFPG推荐11)中进行了规定。
因此,需要一种用于提供用于加密分组数据的安全关联的方法。
附图说明
附图与以下详细的说明一起被并入并且形成本说明书的一部分,并且用于进一步说明包括所要求保护的发明的原理的实施例,并且用于解释那些实施例的各种原理和优点,在各个附图中,相同的附图标记指代相同或功能上类似的元件。
图1是通信系统的框图。
图2是基础设施端点的框图。
图3是根据一些实施例的用于安全分组传输的方法的流程图。
图4是根据一些实施例的构成安全关联的方法的流程图。
图5图示了根据一些实施例的寻址图表。
本领域技术人员应当认识到,附图中的元素为了简单和清楚来进行图示,并且不必须按比例绘制。例如,附图中的一些元素的尺寸可以相对于其他元素被放大,以有助于促进对本发明的实施例的理解。
在附图中用常规符号适当地表示了装置和方法组件,附图仅示出了与理解本发明的实施例相关的特定细节,以不使本公开与对于受益于此处描述的本领域普通技术人员来说显而易见的细节相混淆。
具体实施方式
本领域的普通技术人员应当理解,多个目的地端点地址可能需要使用相同的隧道端点地址,并且可以存在隧道端点地址与每一个后面的数据目的地地址的多种组合。传统地,即使遵循使用从KMF提供的方案,也可能要求多个密钥管理消息来配置每个加密设备,并且在网络上可能存在几百个这些设备。需要提供下述设备的单个装置,该设备通过利用与目的地地址相关联的隧道端点地址填充其SAD的装置来执行加密,这仅使用可能将额外负载添加到网络的尽可能少的KMM。
根据在此提供的一些实施例,一种用于提供用于一个或多个加密数据分组的安全关联的方法包括:操作源端点来:定义用于应用的安全关联的目的地主机地址的集合;确定地址偏移量;使用地址偏移量来从目的地主机地址范围计算安全端点地址范围;以及将安全关联应用于一个或多个加密数据分组,该一个或多个加密数据分组去往在安全端点地址范围中要经由所计算的安全端点来发送的至少一个目的地主机地址。
图1是通信系统100的框图。例如,通信系统100可以是国际公共安全通信协会(APCO)25兼容的系统或陆地集群无线电(TETRA)兼容的系统。通信系统100包括密钥管理设施(KMF)108、数据加密网关(DEG)110、一个或多个数据应用服务器(DAS)112、移动数据终端(MDT)104、移动加密网关(MEG)105和订户单元(SU)106。为了在此的教导的目的,假设MDT 104和MEG 105在安全网络中彼此进行通信;因此在MDT 104和SU 106之间的链路116是不安全的链路,意味着没有实现安全协议来在该链路上发送分组。同样地,DEG 110和DAS 112在安全网络中彼此进行通信;因此,在DEG 110和DAS 112之间的链路114也是不安全的链路。
然而,当数据应用服务器112上的应用需要与MDT 104上的应用进行通信并且反之亦然时,在其间发送的分组沿着路径117和118通过不安全的网络102。因此,系统100中的设备(例如,端点105和110)使用安全协议来提供安全处理,以便于生成在设备之间发送的安全分组。换句话说,分组在安全“隧道”120内通过未保护的网络102,其中,安全隧道经由所选择的安全协议的应用借助安全处理创建。
在一个实现中,不安全的网络102是因特网协议(IP)网络,其中,实现因特网协议版本4(IPv4)或因特网协议版本6(IPv6),以使得端点能够使用IP地址来到达通信系统100内的任何位置。因此,使用IPsec在通信系统100中实现安全处理。然而,本领域技术人员应当认识到并且想到,该示例的细节仅说明一些实施例,并且在此阐述的教导适用于各种替代设置。例如,虽然在该实施例中示出了实现IPsec协议(即,IPsec处理)的通信系统,但是由于所描述的教导不取决于正在使用的安全协议,所以所描述的教导可以适用于任何类型的安全协议,其中,安全端点需要确定其他安全端点的地址,以便于建立安全关联数据库来实现安全协议。同样地,考虑使用不同类型的安全协议的替代实现,并且其在所描述的各种教导的范围内。
另外,为了便于说明,通信系统100被示出为具有MDT 104、MEG105和SU 106中的仅一个以及KMF 108、DEG 110和DAS 112中的仅一个。然而,在实际系统实现中,很可能存在使用通信系统100来促进与通信系统100中的其他移动和基础设施设备的通信的几百甚至几千个移动设备。而且,KMF和DEG中的每一个都很可能服务系统中的多个DAS,并且在实际的系统实现中可以进一步存在多个KMF和DEG。而且,如在此使用的,术语分组被定义为包含从源端点向目的地端点发送的最小单位的媒体(例如,数据、语音等)的消息。包含作为有效载荷的数据的分组被称为数据分组,包含作为有效载荷的语音的分组被称为语音分组。在IP系统中,源发分组进一步包括:包含源端点数据IP地址和目的地端点数据IP地址的原始IP报头,并且在使用诸如TCP(传输控制协议)或UDP(用户数据报协议)的另一个协议时包含另一个报头。为了便于说明,媒体在此被称为数据,并且分组被称为数据分组,但是这决不意味着将在此的教导的范围限制为在通信系统100中的设备之间正在发送的特定类型的分组。
本领域普通技术人员应当认识到,通信系统100还可以用于在一个或多个DAS 112之间交换分组,并且DEG 110还可以用于保护那些分组,其中,那些DAS可以处于固定位置或移动环境中。
IPsec协议组包含两个协议,该两个协议可以替代地用于提供核心安全服务。这些协议是在2005年12月公开的RFC 4302中定义的认证报头(AH)以及在2005年12月公开的RFC 4303中定义的封装安全有效载荷(ESP)。在使用AH还是ESP协议之间的选择取决于系统中所需要的特定核心安全服务。ESP协议提供更多的核心安全服务。更具体地,ESP协议在不仅要求完整性和认证(还由AH提供)而且要求保密性(不由AH提供)的系统中使用。
使用AH安全协议,安全端点生成封装和保护有效载荷的附加报头,并且原始报头留在分组的前面,以生成安全分组。使用ESP安全协议,包括所有的原始报头的整个原始分组都被封装在ESP报头和ESP尾部中,并且新的报头被生成并且添加到分组的前面,以生成安全分组。
IPsec还支持用于保护分组的操作的传输模式或传输模式的使用。选择再次取决于特定系统要求。虽然传输模式利用较小的报头尺寸,但是在最大数量的情况下隧道模式可应用,因为隧道模式可以由主机装置(其中,安全处理与具有生成需要安全处理的分组的应用共同位于相同的设备中)或通过网关装置(其中,安全处理被提供在与生成需要安全处理的分组的应用分立的设备中)使用。
当主机设备包括应用和安全处理功能时,安全处理可以被集成到使用集成架构实现的单个设备中,其中,安全处理自然地在层3IP层中,诸如IPv6;或者使用创建位于层3IP层和层2数据链路层之间的诸如IPsec层的协议层的堆栈中的块(bump in the stack,BITS)架构。新的层拦截从IP层向下发送的分组,并且对它们添加安全性。当网关提供安全处理功能时,线路中的块(bump in the wire,BITW)架构通过位于网络中的战略点内的独立设备来实现,以将核心安全服务提供给例如整个网络段。
图1中所示的通信系统100以隧道模式实现IPsec ESP,由此支持用于主机和网关端点。应该提及,虽然MEG 105被示出与SU 106分离,但是在不同的实施例中,MEG 105可以被集成到SU 106中,并且可以提供对于包含在SU 106内的应用的附加保护。例如,不论在物理上与SU 106分离还是被集成在SU 106内,MEG 105都向MDT 104提供安全处理(作为网关)。如果MEG 105被集成在SU 106中,则MEG 105可以提供用于与US本身集成的应用的安全处理,诸如全球定位系统(GPS)位置。因为,为了两个目的而与DAS 112交换的数据由ESP隧道120来保护。而且,DEG 110提供用于一个或多个DAS112的安全处理(作为网关)。应该提及,虽然DEG 110被示出在物理上与DAS 112分离,但是不脱离在此的教导的范围的情况下,在不同的实施例中,一个或多个DAS 112中的每一个都可以使用隧道或传输模式来在物理上与DEG功能进行集成。
而且,如在此使用的术语,源端点生成源发分组、保护源发分组,并且通过隧道向目的地端点发送安全分组,该目的地端点处理安全分组以生成用于在期望接收方处的应用呈现的源发分组。源端点和目的地端点包括容纳数据应用的数据端点以及执行安全处理的安全端点(或加密端点),其中的每个都具有IP地址。因此,根据特定系统实现,源端点或目的地端点可以包括一个或两个物理设备。而且,安全端点(例如,MEG 105和DEG 110)位于安全隧道(例如,隧道120)的相对端。而且,如在此使用的,用于源数据端点的IP地址被称为源端点数据地址;用于源安全端点的IP地址被称为源端点安全地址;用于目的地主机端点的IP地址被称为目的地端点数据地址;并且用于目的地安全端点的IP地址被称为目的地端点安全地址。在系统100实现中,多个IP地址,特别是与系统中的移动设备相关联的那些,按需要从可用IP地址池中动态地提供,并且然后当对于系统内的通信不再需要时在系统内通信时被返回到该池。
现在转到图2,以200来示出并且一般地指示根据一些实施例的源端点200的框图。源端点200包括具有应用202的数据端点。源端点200进一步包括具有下述的安全端点:耦合到安全策略数据库(SPD)206的安全策略管理器(SPM)204、耦合到SAD 210和KSD(密钥存储数据库)212的安全关联管理器(SAM)208、以及分组转发器214。SAD 210、SPD 206和KSD 212数据库可以使用存储设备或存储器元件的任何适当的形式来实现,存储设备或存储器元件诸如RAM(随机存取存储器)、DRAM(动态随机存取存储器)等,其中这些数据库中的条目也包括任何适当的格式。
SPM 204和SAM 208被图示为功能处理块,该功能处理块可以使用诸如以下提及的那些中的任何一个或多个的任何适当的处理设备来实现。分组转发器214包括用于在不安全网络102上发送分组的接口,其实现取决于所使用的不安全网络102实现以及源安全端点。例如,分组转发器214可以被配置为例如以太网连接的有线接口和/或无线接口,该无线接口包括收发器(接收器和发射器)和实现例如APCO 25、TETRA,802.11等的相关无线接口的处理块。
如上所述,SA包括描述协议和参数(诸如密钥和算法)的元素,该协议和参数由端点使用以保护在一个方向上流动的信息或业务的元素;并且SA需要被提供给提供安全处理的端点。接下来,接合图3来描述图2,在图3中解释了根据一些实施例的用于在通信系统100中发送外出安全分组的方法,其包括用于提供相应SA并且建立数据库(特别是SAD 210)的方法。
在实施例中,在从需要安全处理的应用202接收到外出分组之前,在源端点中提供SA的一些部分。SA的这些部分可以被包括在这里称为密钥管理消息(KMM)的消息中,该密钥管理消息(KMM)被发送(302)到安全端点,并且具有用于建立(304)SAD的SA元素的一部分并且还具有用于在端点中建立SPD的元素。KMM可以采用任何数目的形式,并且根据在系统中使用的特定安全协议而具有各种信息。而且,在注册过程期间,可以将KMM手动地提供到端点,或者诸如通过创建和发送KMM的KMF 108在空中向端点动态地提供KMM(除了在本实施例中使用IKE之外)。以下表1示出了由参数和参数的描述识别的包含在KMM的说明性实施例中的信息。
表1
使用来自源端点数据地址、目的地端点数据地址、远程隧道端点、策略(即,安全策略)以及SLN的KMM的参数来建立(304)SPD。可以使用来自源端点数据地址、目的地端点数据地址、协议以及SLN的KMM的参数来部分地建立(304)SAD。更具体地,在一个实施例中,端点将来自KMM的信息存储(304)到数据关联数据库(DAD)中,并且使用来自数据关联的信息来建立用于在安全处理中使用的SPD和SAD。没有包括在KMM中的附加参数包括在所有三个数据库中,其是安全参数索引(SPI)值、由对分组加密的安全端点使用来参考用于加密和认证分组所需要的SAD中的信息。
在IKE处理中,SPI值是使用IKE消息交换序列在安全端点之间协商的参数。然而,由于这些实现中不使用IKE,所以需要确定SPI值的另一种方法。为了最小化密钥管理业务,在两个端点之间仅允许用于由IP地址、协议和端口指定的给定类型的业务的一组SA。该限制允许除了密钥数据之外的所有隧道参数都从正在处理的分组的源和目的地IP地址来确定。这允许SPI值仅用于指定密钥的参数。
为了最大化与上述简化的隧道参数指定方案相关联的减少密钥管理业务的益处,对SPI值赋予了特殊意义。由于SPI值仅指定密钥数据,所以SPI值不由密钥管理设施来明确地提供,而是通过对用于加密分组的密钥的密钥ID和算法ID编码为SPI来确定。在说明性示例中,SPI字段以以下表2中所示的格式来编码。
1比特 | 1比特 | 10比特 | 20比特 |
保留 | 认证类型 | 算法ID | 密钥ID |
表2
IPSec允许使用各种加密和认证算法。在安全端点开始任何分组的安全处理之前确定这些算法的使用。在说明性系统100中,KMF 108处理用于加密和/或认证数据的算法的协调。在一个说明性示例中,算法组表示由用于加密和认证的给定IPSec隧道使用的算法的集合。由10比特算法ID表示的单个标识符用于识别算法组。另外,单个密钥ID用于标识要求用于由算法组使用的所有密钥数据的集合。这意味着保持用于分组加密服务的密钥的SLN中的每个密钥集合都保持用于进行加密和认证二者所需要的所有密钥材料。
当密钥管理设施将SAD参数提供给端点时,密钥管理设施使SA与SLN相关联。SLN中的每个密钥都包括用于进行认证和加密二者所需要的所有密钥数据。加密端点使用SLN以及当前有效密钥集合来选择当加密分组时要使用的密钥。当密钥数据改变时,所得到的SPI值在SA继续与SLN关联的同时相应地进行改变。SPI还作为ESP报头的一部分被包括,使得目的地加密端点可以适当地对其SAD编索引来解密分组。
返回到图2和图3,下文中将描述根据在此的教导的外出分组的处理。当从应用(202)接收(306)到未保护的分组时,首先由SPM进行估计。SPM 204检索(308)参数(例如,源端点数据IP地址和目的地端点数据IP地址),生成选择器数元组<源IP,目的地IP>并且使用其来编索引(310)到SPD中,以定位用于正在被估计的分组的安全策略。如果(312)无法定位策略,则丢弃(314)该分组。如果(312)策略被定位并且指示分组必须被丢弃,则丢弃(314)该分组。如果(312)策略指示分组必须旁路IPsec处理,则经由分组转发器214将该分组转发(314)到网络。最终,如果(312)策略指示分组必须由IPsec来处理,则将分组与SPI(如果部分SAD在接收分组之前被生成,则其可以是关联的SPI)一起转发(316)到SAM 208以供进行处理。
根据一些实施例,当SAM 208接收到分组时,SAM 208计算安全端点地址(318)以用于分组。以下相对于例如图4来在此进一步详细地描述安全端点的计算。
使用隧道端点地址来在特定于目的地端点的SAD中创建(322)条目。“创建”可能意味着在用于目的地端点的未填充SAD中创建条目。替代地,“创建”可能意味着对部分填充的SAD中条目编索引,并且填充用于该条目的DST-IP′字段。如先前所述,通常在SAD中创建SA对。使用密码组(或SLN)来询问KSD,以获得要在安全处理期间使用的有效加密和认证密钥集合的标识。
该SAD条目生成创建了SAD数据库的“及时”填充(322),现在可以使用SPI来对SAD数据库编索引(324),以与适当的SA关联,并且获得安全参数,例如,安全协议ID、加密算法、加密密钥ID、认证算法ID以及认证密钥ID。SAM对原始分组应用(326)安全参数,以生成新的报头和具有在RFC 4303中定义的格式的ESP报头和尾部,并且加密封装的有效载荷,以提供安全分组。将关联的SPI值填充到ESP报头中,以供由目的地安全端点使用来成功地编索引到其SAD中。将目的地端点安全地址填充到新报头中,使得分组到达目的地安全端点。IPsec安全处理现在是完整的,并且分组转发器214将保护的分组(或安全分组)发送(328)到网络102。
当从网络接收到分组时,该分组首先由目的地安全端点中的SAM来处理。如果没有利用IPsec来保护分组(不包含IPsec报头),则分组被转发到SPM。如果利用IPsec保护分组而不能找到用于该分组的SA,则丢弃该分组。最终,如果利用IPsec保护分组并且通过用SPI对SAD编索引来找到适当的SA,则对该分组进行认证、解密,并且将其转发到SPM。当SPM从SAM接收到分组时,SPM验证SAM所应用的策略与SPD中配置的策略匹配。如果该策略不能被验证,则丢弃该分组。如果策略可以被验证,则将该分组转发到应用。
现在返回参考安全端点地址的计算(318),下文中描述了下述装置:该装置将关联从目的地MDT 104或DAS 112的地址提供到其相关安全端点MEG 105或DEG 110的地址,这允许单个关联基于使用基本地址和偏移量值的计算来设置用于多个主机和安全端点的安全策略。诸如MDT 104或DEG 110的设备(其是用于数据分组的期望目的地)此后被描述为‘主机’,并且提供隧道端点的目的地安全网关被描述为‘安全网关’。
在一个实施例中,基于偏移量和尺寸调整参数设置的规则用于定义安全相关的寻址部分。这允许一个关联被发送,其允许针对很多主机地址来计算安全端点地址。
该设置的规则中的参数如下:
●目的地主机地址:可以是单个地址的目的地主机地址、地址的范围或关联规则应用的子网络
●偏移量:添加到目的地主机地址的数字,以产生相关安全端点地址或安全端点所在的地址的范围的开始。以分组传输系统的地址范围的尺寸为模,使用循环相加(inclusive addition)处理来将偏移量添加到目的地主机地址,地址范围对于IPv4为332或对于IPv6为2128。
●每个目的地安全端点的目的地主机子网络尺寸
●安全端点地址压缩标记
图4图示了用于被设置成组成关联的该规则的应用400的操作的方法。下文中将利用图5的寻址示图来描述图4的方法。
如图4中所示,首先,在步骤405中,定义用于应用关联的IP地址空间510内的目的地主机地址505的范围或子网络。
如示,目的地主机地址范围505确定IP地址空间510内的目标主机的地址的范围。例如,通过使用无类别域间路由(CIDR)符号来定义用于应用关联的目的地主机地址的范围或子网络(其中,CIDR符号以与在RFC 4632中使用的相同方式来使用)。例如:
10.1.2.0/24-255目的地主机
接下来,在步骤410中,定义对该主机的该范围应用的地址偏移量515。例如:
182.167.0.0
注意:在该示例中,这以子网络符号来表示,但是通过循环相加处理,可以被认为是十六进制数(0xB6A70000),使得来自一个数字块的溢流承载到下一个数字块。
接下来,在步骤415中,使用地址偏移量515来从目的地主机地址范围505计算安全端点地址范围520。
接下来,在步骤420中,由单个安全端点服务的每个目的地主机子网络的子网络尺寸525由诸如单个字节的值定义,类似于使用CIDR符号对以上子网掩码的定义。例如:
30-指示4个目的地主机在由安全端点服务的每个子网络上(2个比特不被掩码)
接下来,在步骤425中,确定是否设置压缩标记。压缩安全端点地址范围的决定通过使用标记来设置。
在步骤430中,如果设置了‘压缩标记’,则每个安全端点地址都是从最后这样的地址开始的增量(1)。接下来,在步骤435中,可以通过将该目的地主机地址与目的地主机地址范围的开始的差值除以‘子网络尺寸’参数并且将结果的整数加到安全端点地址范围的来计算相关端点。
在步骤440中,如果不设置‘压缩标记’,则每个安全端点地址与每个目的地主机子网络的开始加上‘偏移量’值的开始对准。
因此,在该第一示例中,参数可以如下设置:
●根据子网络的目的地主机地址,例如,10.1.2.0/24
●偏移量:182.167.0.0
●目的地主机子网络:30/32比特
●压缩标记:在该示例中示出两个值
第一有用目的地主机地址(x.x.x0和x.x.x.255被视作无效)是10.1.2.1。加上182.167.0.0的偏移量产生地址192.168.2.1,这是第一安全端点地址。
目的地主机子网络尺寸被限定为(32个比特中的)30个,所以由于所保留的地址,除了在范围中设置的第一个和最后一个之外,每个安全端点指配4个主机。因此,将10.1.2.1至10.1.2.3指配给第一安全端点,将10.1.2.4至10.1.2.7指配给第二安全端点等。
如果没有设置压缩标记,则将目的地主机地址的第一集合指配给安全端点192.168.2.1,将第二集合指配给192.168.2.4等。
如果设置了压缩标记,则安全端点IP地址仅递增目的地主机子网络尺寸。因此,在该情况下,将目的地主机地址10.1.2.1至10.1.2.3的第一集合指配给192.168.2.1;将第二集合10.1.2.4至10.1.2.7指配给192.168.2.2等。
对于第二示例,安全端点与目的地主机地址相同。在该情况下,设置参数:
●根据子网络的目的地主机地址,例如,10.1.2.0/24
●偏移量:设置为0
●目的地主机子网络:32/32比特(每个子网络仅一个主机)
●压缩标记:未设置(在该情况下,N/A)
对于第三示例,在相同的子网络上存在目的地主机和安全端点地址,相隔一个IP地址,并且网络支持50个移动主机,并且因此需要100个IP地址。
●目的地主机地址范围:10.1.2.25至10.1.2.124
●偏移量:0.0.0.1
●目的地主机子网络:32/32位(每个子网络仅一个主机)
●压缩标记:不设置(在该情况下,N/A)
替代实施例
作为使用十六进制偏移量值的替代,可以指定用于安全端点地址的范围的开始地址。该规则与上述的类似,除了用于安全端点的指定的‘开始地址’可以从该指定的开始地址,而不是通过使用偏移量计算的值开始。
在该实施例中,其他规则保持相同。安全端点子网络尺寸将通过目的地主机子网络尺寸来定义。每个安全端点的目的地主机子网络尺寸将根据目的地主机子网络尺寸参数来定义,并且因此,每N个主机将使用相同的安全端点。压缩标记可以确定安全端点子网络是否节约安全端点地址空间,将安全端点地址压缩为邻近的,或者将它们映射到目的地主机地址,对于每个安全地址浪费了N-1个地址。
在该情况下,还可以重叠使用用于目的地主机和安全端点的相同的子网络。例如,第一实施例中的第三示例可以通过下述方式来实现:将安全端点范围开始地址设置为比等效目的地主机大1(一),并且将目的地主机子网络定义为32/32个比特(每个子网络一个主机)。
在以上说明中,描述了特定实施例。然而,本领域普通技术人员应当想到,可以在不脱离权利要求阐述的发明的范围的情况下作出多种修改和改变。因此,说明书和附图被认为是说明性的而不是限制性的含义,并且所有这样的修改都旨在包括在本教导的范围内。
益处、优点、对问题的解决方案以及可能导致任何益处、优点、或解决方案发生或变得更加明确的任何元件都不被理解为任何或所有权利要求的关键的、要求的或基本的特征。本发明仅由包括在本申请的未决期间做出的任何修改以及所发布的那些权利要求的所有等价物的所附权利要求来限定。
而且,在本文中,诸如第一和第二、顶部和底部等的关系术语可以仅用于将一个实体或动作与另一个实体或动作进行区分,而不必要求或暗示在这样的实体或动作之间的任何实际这样的关系或顺序。术语“包括”、“具有”、“包含”或其任何其它变体旨在涵盖非排他性的包括,以使得包括元素列表的过程、方法、条款或装置不仅包括这些元素,还可以包括其他未明确列出的或对于这样的过程、方法、条款或装置固有的其它元素。前面没有量词的元素在没有更多约束的情况下,不排除在包括该元素的过程、方法、条款或装置中存在另外的相同元素。除非在此另外明确说明,不加量词被定义为一个或更多。术语“基本上”、“本质上”、“近似地”、“大约”或其任何其他版本被定义为本领域技术人员所理解的接近,并且在一个非限制性实施例中,该术语被定义为在10%之内,在另一实施例中为5%之内,在另一实施例中为1%,以及在另一实施例中为0.5%之内。在此使用的术语“耦合”被定义为连接,但是不必须是直接地并且不必须是机械地连接。以特定方式“配置”的装置或结构以至少一种方式进行配置,但是还可以以未列出的方式进行配置。
应当想到,一些实施例可以包括一个或多个通用或专用处理器(或“处理装置”)(诸如微处理器、数字信号处理器、定制处理器和现场可编程门阵列(FPGA)以及唯一存储的程序指令(包括硬件和软件),该程序指令控制一个或多个处理器结合特定非处理器电路来实现在此描述的方法和/装置的一些、大多数或所有功能。替代地,一些或所有功能可以通过不存储编程指令的状态机实现,或者在一个或多个专用集成电路(ASIC)中实现,其中,特定功能中的每个功能或一些组合被实现为定制逻辑。当然,可以使用两种方法的组合。
而且,实施例可以被实现为在其上存储的计算机可读代码的计算机可读存储介质,该计算机可读代码用于对计算机(例如,包括处理器)进行编程,以执行在此描述和要求保护的方法。这样的计算机可读存储介质的示例包括但不限于硬盘、CD-ROM、光学存储设备、磁存储设备、ROM(只读存储器)、PROM(可编程只读存储器)、EPROM(可擦除可编程只读存储器)、EEPROM(电可擦除可编程只读存储器)以及闪存。而且,尽管可能通过例如可用时间、当前技术和经济考虑而作出大量努力和多种设计选择,但是希望本领域普通技术人员在由在此公开的思想和原理引导时,能够利用最少的试验来容易地生成这样的软件指令和程序以及IC。
提供本公开的摘要,以允许读者快速地确定技术方案的性质。应该理解,在理解了摘要不用于解释或限制权利要求的范围或含义的情况下进行提交。另外,在前述详细说明中,可以看到,多种特征可以在多个实施例中被组合在一起用于精简本公开。本公开的方法不被解释为反映所要求的实施例要求比在每个权利要求中明确描述的更多特征的发明。相反,以下权利要求反映了,发明主题在于少于单个公开的实施例的所有特征。因此,以下权利要求被并入具体实施方式中,每个权利要求都依据其本身分别要求的主题。
Claims (15)
1.一种用于提供用于一个或多个数据分组的安全关联的方法,包括:
通过源端点来定义用于应用安全关联的目的地主机地址的集合;
通过所述源端点来确定地址偏移量,所述地址偏移量待被添加到目的地主机地址以产生相关安全端点地址;
通过所述源端点来使用所述地址偏移量来从所述目的地主机地址的集合计算安全端点地址范围;以及
通过所述源端点来将所述安全关联应用于一个或多个加密数据分组,所述一个或多个加密数据分组去往将经由在所述安全端点地址范围中所计算的安全端点发送的至少一个目的地主机地址。
2.根据权利要求1所述的方法,其中,所述目的地主机地址的集合包括:目的地主机地址的范围和子网络中的一个。
3.根据权利要求1所述的方法,进一步包括:通过所述源端点来定义用于由所述安全端点地址范围内的每个安全端点服务的每个目的地主机子网络的子网络尺寸的值。
4.根据权利要求3所述的方法,进一步包括:通过所述源端点来确定所述安全端点地址范围是否将被压缩。
5.根据权利要求4所述的方法,进一步包括:通过所述源端点来在所述安全端点地址范围将被压缩时设置压缩标记。
6.根据权利要求4所述的方法,进一步包括响应于确定所述安全端点地址范围将被压缩:
通过所述源端点来从当前的最后安全端点地址递增1得到各个安全端点地址;以及
通过所述源端点来通过将所述目的地主机地址与目的地主机地址范围的开始的差值除以‘子网络尺寸’参数并将所述差值除以所述‘子网络尺寸’参数的结果的整数添加到安全端点地址范围的开始来计算相关端点。
7.根据权利要求4所述的方法,进一步包括:响应于确定所述安全端点地址范围不被压缩,通过所述源端点来使每个安全端点地址与每个目的地主机子网络的开始加上所述地址偏移量对准。
8.一种用于提供用于一个或多个数据分组的安全关联的方法,包括:
通过源端点来定义用于应用安全关联的目的地主机地址的集合;
通过所述源端点来标识用于安全端点地址范围的开始地址;
通过所述源端点来使用所述安全端点地址范围的所述开始地址来从所述目的地主机地址的集合计算所述安全端点地址范围;以及
通过所述源端点来将所述安全关联应用于一个或多个加密数据分组,所述一个或多个加密数据分组去往将经由在所述安全端点地址范围中所计算的安全端点发送的至少一个目的地主机地址。
9.根据权利要求8所述的方法,其中,所述目的地主机地址的集合包括:目的地主机地址的范围和子网络中的一个。
10.根据权利要求8所述的方法,进一步包括:通过所述源端点来定义用于由所述安全端点地址范围内的每个安全端点服务的每个目的地主机子网络的子网络尺寸的值。
11.根据权利要求10所述的方法,进一步包括:通过所述源端点来确定所述安全端点地址范围是否将被压缩。
12.根据权利要求11所述的方法,进一步包括:通过所述源端点来在所述安全端点地址范围将被压缩时设置压缩标记。
13.根据权利要求11所述的方法,进一步包括响应于确定所述安全端点地址范围将被压缩:
通过所述源端点来从当前的最后安全端点地址递增1得到各个安全端点地址;以及
通过所述源端点来通过将所述目的地主机地址与目的地主机地址范围的开始的差值除以‘子网络尺寸’参数并将所述差值除以所述‘子网络尺寸’参数的的结果的整数添加到安全端点地址范围的开始来计算相关端点。
14.根据权利要求11所述的方法,进一步包括:响应于确定所述安全端点地址范围不被压缩,通过所述源端点来使每个安全端点地址与每个目的地主机子网络的开始加上所述地址偏移量对准。
15.一种用于通过不安全网络在源端点和目的地端点之间传送安全分组的方法,所述方法包括:
通过所述源端点来生成一个或多个源发分组;
通过所述源端点来通过以下来保护所述源发分组:
通过所述源端点来标识包括所述目的地端点的地址的安全端点地址范围,其中,安全关联应用于所述安全端点地址范围;以及
通过所述源端点来将所述安全关联应用于所述一个或多个源发分组以生成一个或多个安全分组;以及
通过所述源端点来通过经由所述不安全网络的安全隧道将所述安全分组发送到所述目的地端点;以及
通过所述目的端点来处理所述安全分组,以生成用于向期望接收方处的应用呈现的一个或多个源发分组。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB0918795.6A GB2474843B (en) | 2009-10-27 | 2009-10-27 | Method for providing security associations for encrypted packet data |
GB0918795.6 | 2009-10-27 | ||
PCT/US2010/050000 WO2011056317A1 (en) | 2009-10-27 | 2010-09-23 | Method for providing security associations for encrypted packet data |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102598621A CN102598621A (zh) | 2012-07-18 |
CN102598621B true CN102598621B (zh) | 2015-05-06 |
Family
ID=41426744
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080048815.7A Active CN102598621B (zh) | 2009-10-27 | 2010-09-23 | 用于提供用于加密分组数据的安全关联的方法 |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP2494760B8 (zh) |
CN (1) | CN102598621B (zh) |
GB (1) | GB2474843B (zh) |
IL (1) | IL219147A (zh) |
RU (1) | RU2517405C2 (zh) |
WO (1) | WO2011056317A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105224346B (zh) * | 2014-05-28 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 目标函数定位方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1552149A (zh) * | 2001-09-06 | 2004-12-01 | ض� | 用于卸载对多个网络业务流的密码处理的技术 |
JP2005167608A (ja) * | 2003-12-02 | 2005-06-23 | Canon Inc | 暗号通信装置、暗号通信方法、コンピュータプログラム、及びコンピュータ読み取り可能な記録媒体 |
WO2008042318A2 (en) * | 2006-09-29 | 2008-04-10 | Cipheroptics, Inc. | Systems and methods for management of secured networks with distributed keys |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7032242B1 (en) * | 1998-03-05 | 2006-04-18 | 3Com Corporation | Method and system for distributed network address translation with network security features |
US6944183B1 (en) * | 1999-06-10 | 2005-09-13 | Alcatel | Object model for network policy management |
US7676838B2 (en) * | 2004-07-26 | 2010-03-09 | Alcatel Lucent | Secure communication methods and systems |
US8787393B2 (en) * | 2005-04-11 | 2014-07-22 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
JP4690918B2 (ja) * | 2006-03-14 | 2011-06-01 | 株式会社リコー | ネットワーク機器 |
US20080083011A1 (en) * | 2006-09-29 | 2008-04-03 | Mcalister Donald | Protocol/API between a key server (KAP) and an enforcement point (PEP) |
US20100275008A1 (en) * | 2009-04-27 | 2010-10-28 | Motorola, Inc. | Method and apparatus for secure packet transmission |
-
2009
- 2009-10-27 GB GB0918795.6A patent/GB2474843B/en active Active
-
2010
- 2010-09-23 RU RU2012121868/08A patent/RU2517405C2/ru active
- 2010-09-23 EP EP10765534.2A patent/EP2494760B8/en active Active
- 2010-09-23 WO PCT/US2010/050000 patent/WO2011056317A1/en active Application Filing
- 2010-09-23 CN CN201080048815.7A patent/CN102598621B/zh active Active
-
2012
- 2012-04-15 IL IL219147A patent/IL219147A/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1552149A (zh) * | 2001-09-06 | 2004-12-01 | ض� | 用于卸载对多个网络业务流的密码处理的技术 |
JP2005167608A (ja) * | 2003-12-02 | 2005-06-23 | Canon Inc | 暗号通信装置、暗号通信方法、コンピュータプログラム、及びコンピュータ読み取り可能な記録媒体 |
WO2008042318A2 (en) * | 2006-09-29 | 2008-04-10 | Cipheroptics, Inc. | Systems and methods for management of secured networks with distributed keys |
Also Published As
Publication number | Publication date |
---|---|
GB0918795D0 (en) | 2009-12-09 |
RU2517405C2 (ru) | 2014-05-27 |
RU2012121868A (ru) | 2013-12-10 |
EP2494760B1 (en) | 2015-08-26 |
GB2474843B (en) | 2012-04-25 |
EP2494760A1 (en) | 2012-09-05 |
GB2474843A (en) | 2011-05-04 |
EP2494760B8 (en) | 2015-10-07 |
CN102598621A (zh) | 2012-07-18 |
IL219147A (en) | 2016-02-29 |
IL219147A0 (en) | 2012-06-28 |
WO2011056317A1 (en) | 2011-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7215667B1 (en) | System and method for communicating IPSec tunnel packets with compressed inner headers | |
US9641551B1 (en) | System and method for traversing a NAT device with IPSEC AH authentication | |
US7430204B2 (en) | Internet protocol tunnelling using templates | |
US8155130B2 (en) | Enforcing the principle of least privilege for large tunnel-less VPNs | |
EP2853070B1 (en) | Multi-tunnel virtual private network | |
US8448235B2 (en) | Method for key identification using an internet security association and key management based protocol | |
EP3157225B1 (en) | Encrypted ccnx | |
CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
AU2018322689A1 (en) | Terminal identity protection method in a communication system | |
US7434045B1 (en) | Method and apparatus for indexing an inbound security association database | |
US20070006296A1 (en) | System and method for establishing a shared key between network peers | |
US9516065B2 (en) | Secure communication device and method | |
US9473466B2 (en) | System and method for internet protocol security processing | |
CN111385259A (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
CN110832806B (zh) | 针对面向身份的网络的基于id的数据面安全 | |
CN111835613B (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
CN102598621B (zh) | 用于提供用于加密分组数据的安全关联的方法 | |
CN111884988A (zh) | 数据的安全传输方法 | |
US11095619B2 (en) | Information exchange for secure communication | |
CN113039765A (zh) | 用于网络功能之间的安全消息收发的方法和装置 | |
US20100275008A1 (en) | Method and apparatus for secure packet transmission | |
US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
KR101837064B1 (ko) | 보안 통신 장치 및 방법 | |
He et al. | SAV6: A Novel Inter-AS Source Address Validation Protocol for IPv6 Internet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |