CN107852411A - 在多路径环境下对IPsec隧道的高效使用 - Google Patents
在多路径环境下对IPsec隧道的高效使用 Download PDFInfo
- Publication number
- CN107852411A CN107852411A CN201680042825.7A CN201680042825A CN107852411A CN 107852411 A CN107852411 A CN 107852411A CN 201680042825 A CN201680042825 A CN 201680042825A CN 107852411 A CN107852411 A CN 107852411A
- Authority
- CN
- China
- Prior art keywords
- datagram
- encoded
- computing device
- ipsec
- metadata
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了用于跨连接到计算设备的多个连接来保护网络流量的系统和方法,其不要求每个连接具有它自己的安全关联。该系统可以包括:被配置为获得数据报并且编码数据报的IPsec编码器,其中IPsec编码器包括与计算实体相关联的安全关联;被配置为将元数据与已编码的数据报相关联的分组分析器;以及使用连接到计算设备的多个连接中的一个传送已编码的数据报的网关。
Description
背景技术
在现代的计算环境下,常常需要使用网络将远程计算系统连接在一起。例如,诸如企业的组织经常具有遍及国家和全世界内的多个位置的分支机构、员工或承包商。当前的联网技术允许通过公共和专用计算机网络在这些不同的计算环境之间通信。通常,不同的计算环境使用互联网彼此连接。通过允许机构和员工相互连接,组织可以创建统一的计算环境。
跨公共和专用链路网络这两者来连接组织可能造成敏感数据的安全风险。随着数据穿过互联网或者其他公共网络,其变得易受许多不同种类的电子攻击的侵害。尽管个别应用或连接可以利用诸如密码术的保护,但组织有兴趣提供针对所有网络流量的在机构或员工之间的安全链路。多种技术可被用于提供这样的链路。例如,组织可以购买或者租用不对公众开放的在两个位置之间的直接的物理连接。此外,组织可以采用加密数据的应用。或者,组织可以利用传统的虚拟专用网络,以允许安全通信。
除了针对安全漏洞保护敏感数据,组织必须确保远程计算环境之间的连接是可靠和高效的。组织可以通过很多方法来提高可靠性,包括利用跨不同互联网服务提供商或网络的多个连接,从而确保在一个连接故障时其他连接可用来维持网络。连接可以经过诸如互联网的公共网络,或者直接地连接专用链路上的两个端点。组织可以通过如下方式提高效率:跨多个连接传播他们的网络流量以增加总带宽,或者使用(当被用在直接专用链路上)可以提高效率的特定网络协议。在一些实例中,组织还可以利用用于特定应用或目的的特定类型的连接,其与他们普通的网络流量相分离。
尽管组织可以利用各种各样的技术来分别处理安全和可靠性问题,但同时处理这两种问题可能带来技术挑战。组织可以使用如互联网协议安全(IPsec)那样的技术,从而为特定连接上的所有网络流量创建安全连接,该技术被详细地描述在下文中,以及被描述在互联网工程任务组(IETF)制定标准(RFC)4301中。然而,IPsec要求在来源和目的地之间创建共享的证书组,以允许安全通信。必须使用诸如互联密钥交换(IKE)的技术来协商这些证书。证书和限定IPsec连接的其他安全参数被称为安全关联(SA)。任何时候在链路断开的情况下,当链路恢复时必须建立新的SA,从而增加了维护链路的开销。此外,每个单向连接需要它自己的SA。当既利用加密又利用认证时(保证适当安全性的通用方法),取决于所利用的IPsec的具体变化,每个单向链路需要一个或两个SA。相应地,端点之间的每个双向连接需要协商两个或四个SA以进行设置。跨典型的双向链路来维护IPsec设置可以相当简单。但是随着冗余或其他链路数量的增加,需要协商和维护的SA的数量也随之增加。在现代计算网络中维护多个同时的IPsec连接以确保可靠和安全通信带来巨大的网络开销以及管理挑战。
附图说明
现在将参照示出本公开示例性实施例的附图。在附图中:
图1是与本公开实施例一致的示例性网络环境的框图。
图2A-2B是与本公开实施例一致的示例性计算设备的框图。
图3A-3C是与本公开实施例一致的示例性数据报的框图。
图4是与本公开实施例一致的在示例性网络环境中提供的示例性装置的框图。
图5是表示与本公开实施例一致的传送数据报的示例性方法的流程图。
图6是表示与本公开实施例一致的接收数据报的示例性方法的流程图。
具体实施方式
现将详细参考根据本公开实施的示例性实施例,在附图中示出了示例性实施例的例子。只要可能,相同的附图标记将被用在全部附图中以指示相同或相似的部分。
本文描述的实施例在两个网络端点之间提供安全通信。可以通过一个或多个网络连接来连接这些端点。由所描述的实施例提供的安全通信可以同时利用多个网络路径,而只要求设置和维护一个IPsec连接。这些技术可以大幅度减少用于管理多个同时的链路上的IPsec通信的开销和维护需求。进一步地,除了免除跨多个路径提供IPsec通信所需的很多开销,这些技术提高了网络效率和带宽。所描述的实施例可以基于与跨网络传送的每个数据报相关联的数据,额外提供对各个路径的智能选择。
图1是示例性网络环境100的框图。尽管该示例性网络环境100针对的是虚拟网络环境,但应理解,网络环境可以是使用分组进行通信的任意类型的网络。网络环境100可以包括一个或多个客户端设备102、公共网络104、一个或多个网关106、一个或多个装置(appliance)108、专用网络110、数据中心120和分支机构140。
一个或多个客户端设备102是可以通过多种方式从数据中心120获得远程服务的设备。客户端设备102可以直接地(例如,客户端设备102E)或者通过公共网络104(例如,客户端设备102A-D)或专用网络110(例如,客户端设备102F)间接地与数据中心120通信。当客户端设备102通过公共网络104或专用网络110通信时,通信链路可被建立。例如,可以通过公共网络104、网关106A和装置108A建立链路,从而为客户端设备(例如,客户端设备102A-D)提供对数据中心120的访问。还可以通过包括装置108C的分支机构140、专用网络110和装置108A来建立链路,从而为客户端设备(例如,客户端设备102F)提供对数据中心120的访问。还可以通过装置108B、网关106B、公共网络104、网关106A和装置108A来建立其他链路,其通过公共网络104为客户端设备102G提供对数据中心120的访问。尽管客户端设备102被描述成计算机(例如,客户端设备102A、102E、102F和102G)、便携式电脑(例如,客户端设备102B)、平板电脑(例如,客户端设备102C)和移动智能电话(例如,客户端设备102D),但应理解,客户端设备102可以是向数据中心120以及从数据中心120传送分组的任意类型的设备(例如,比如说可穿戴的智能手表)。
公共网络104和专用网络110可以是任意类型的网络,诸如广域网(WAN)、局域网(LAN)或者城域网(MAN)。举例而言,WAN可以是互联网或者万维网,并且LAN可以是公司内部网。公共网络104和专用网络110可以是有线网络或者无线网络。
网关106A-B是物理设备,或者是作为(在两个具有不同协议的网络之间作为接口的)物理设备的部分的软件。例如,网关106A-B可以是服务器、路由器、主机或代理服务器。在一些实施例中,网关106A-B可以包括或者被耦合至防火墙,该防火墙将网关106A-B与公共网络104(例如,互联网)隔离开。网关106A-B具有将接收自客户端设备102的信号修改为装置108A-B和/或数据中心120能够理解的信号的能力,以及反之亦然。
装置108A是可以优化和控制广域网(WAN)流量的设备。在一些实施例中,装置108A优化其他类型的网络流量,诸如局域网(LAN)流量、城域网(MAN)流量或者无线网络流量。装置108A还可以管理不同的网络,如在很多企业网络中常见的多协议标记交换(MPLS)。装置108A可以例如通过在已建立的通信链路中调度数据分组来优化网络流量,使得可以以预定的时间和比率传送或丢弃数据分组。在一些实施例中,装置108A是物理设备,诸如思杰系统的Branch Repeater、Netscaler或CloudBridge。在一些实施例中,装置108A可以是虚拟装置。在一些实施例中,装置108A可以是具有多个虚拟机实例(例如,虚拟云桥)的物理设备。在一些实施例中,第一装置(例如,装置108A)与第二装置(例如,装置108B或装置108C)协同工作或合作,以优化网络流量。例如,第一装置可位于WAN和公司LAN(例如,数据中心120)之间,而第二装置(例如,装置108C)可位于分支机构(例如,分支机构140)和WAN连接之间。还可以通过公共网络104连接另一装置(例如,装置108B)。在一些实施例中,网关106A和装置108A的功能可被设置在单个物理设备中。装置108A、108B和108C可以在功能上相同或相似。
数据中心120是物理或虚拟的中央仓库,用于存储、管理和传播关于特定的公共或私有实体的数据和信息。数据中心120可被用来存放计算机系统和关联组件,诸如一个或多个物理服务器、虚拟服务器以及存储系统。此外,数据中心120可以包括一个或多个服务器(例如,服务器122)和后端系统130等。在一些实施例中,数据中心120可以包括网关106、装置108或者两者的组合。
服务器122是由IP地址表示的实体,并且可以作为单个实体或服务器机群的成员而存在。服务器122可以是物理服务器或者虚拟服务器。在一些实施例中,服务器122可以包括硬件层、操作系统和创建或管理一个或多个虚拟机的管理程序。服务器122向端点提供一个或多个服务。这些服务包括向一个或多个端点(例如,客户端设备102A-G或分支机构140)提供一个或多个应用128。例如,应用128可以包括基于WindowTM的应用和计算资源。
桌面交付控制器124是使服务(诸如虚拟桌面126)能够交付至客户端设备(例如,客户端设备102A-G或分支机构140)的设备,桌面交付控制器124提供管理、维护和优化所有虚拟桌面通信所需要的功能。
在一些实施例中,服务包括提供一个或多个虚拟桌面126,该虚拟桌面126可以提供一个或多个应用128。虚拟桌面126可以包括寄载的共享桌面(其允许多用户访问一个共享的远程桌面服务桌面)、虚拟桌面基础结构桌面(其允许每个用户拥有他们自己的虚拟机)、流式磁盘映像、本地虚拟机、各个应用(例如,一个或多个应用128)或者其组合。
后端系统130是服务器机群或服务器库中的计算机网络硬件、装置或服务器的单个或多个实例,并且与服务器122直接或间接地相接。例如,后端系统130可以包括MicrosoftTM活动目录,该活动目录可以提供多个网络服务,包括轻量级目录访问协议(LDAP)目录服务、基于Kerberos的身份验证、基于域名系统(DNS)的命名和其他网络信息以及数个服务器之间的目录更新的同步。此外,后端系统130还可以包括Oracle后端服务器、SQL服务器后端和/或动态主机配置协议(DHCP)等。后端系统130可以向数据中心120提供数据、服务或者这两者的组合,数据中心120随后可以通过不同的形式将该信息提供给客户端设备102或分支机构140。
分支机构140是局域网(LAN)的部分,局域网是具有数据中心120的WAN的部分。此外,分支机构140可以包括装置108C和远程后端142等。在一些实施例中,装置108C可以位于分支机构140和专用网络110之间。如上所述,装置108C可以与装置108A合作。远程后端142的建立方式可以与数据中心120的后端系统130类似。客户端设备102F可以位于分支机构140本地或者可以位于分支机构140的远处。
装置108A-C和网关106A-B可被部署为任意类型和形式的计算设备,或者在任意类型和形式的计算设备上执行,该计算设备诸如是能够在本文描述的任意类型和形式的网络上通信的计算机或网络设备。如图2A-2B所示,每个计算设备200包括中央处理单元(CPU)221和主存储器222。CPU 221可以是响应并处理从主存储器222提取的指令的任意逻辑电路。CPU 221可以是能够执行在存储器(例如,主存储器222)或高速缓存(例如,高速缓存240)中存储的特定指令集的单个或多个微处理器、现场可编程门阵列((FPGA)或者数字信号处理器(DSP)。存储器包括有形的和/或非暂时性计算机可读介质,诸如软盘、硬盘、CD-ROM(光盘只读存储器)、MO(磁光)驱动、DVD-ROM(数字多用途磁盘只读存储器)、DVD-RAM(数字多用途磁盘随机存取存储器)、RAM、PROM、EPROM、FLASH-EPROM或任意其他的闪存、高速缓存、寄存器、任意其他的存储器芯片或磁带盒或者半导体存储器。主存储器222可以是能够存储数据并且允许由CPU 221直接访问任意存储位置的一个或多个存储器芯片。主存储器222可以是任意类型的随机存储存储器(RAM),或者是能够如本文所述的那样运行的任意其他可用存储器芯片。在图2A所示的示例性实施例中,CPU 221经由系统总线250与主存储器222通信。计算设备200还可以包括虚拟显示设备224和通过I/O控制器223连接的输入/输出((I/O)设备230(例如,键盘、鼠标或指示设备),这两者经由系统总线250进行通信。本领域普通技术人员可以理解的是,CPU 221还可以采用不同于通过系统总线250的方式与存储器222以及其他设备通信,例如,通过串行通信方式或者点对点通信方式。此外,I/0设备230还可以为计算设备200提供存储和/或安装介质。
图2B描述示例性计算设备200的实施例,其中CPU 221经由存储器端口203与主存储器222直接通信。CPU 221可以经由第二总线(有时被称为后部总线)与高速缓存240通信。在一些其他的实施例中,CPU 221可以经由系统总线250与高速缓存240通信,高速缓存240通常具有比主存储器222更快的响应时间。在一些实施例中,诸如在图2B所示的实施例中,CPU 221可以经由I/O端口与I/O设备230直接通信。在进一步的实施例中,I/O设备230可以是系统总线250和外部通信总线之间的桥270,该外部通信总线例如是USB总线、苹果桌面总线、RS-232串行连接、SCSI总线、火线总线、火线800总线、以太网总线、AppleTalk总线、千兆以太网总线、异步传输模式总线、HIPPI总线、超级HIPPI总线、SerialPlus总线、SCI/LAMP总线、光纤信道(FibreChannel)总线或者串行连接的小型计算机系统接口总线。
如图2A所示,计算设备200可以支持任意适合的安装设备216,例如,用于容纳软盘(诸如3.5英寸、5.25英寸盘或压缩盘)的软盘驱动;CD-ROM驱动;CD-R/RW驱动;DVD-ROM驱动;多种格式的磁带驱动;USB设备;硬驱动;或者适用于安装软件和程序(诸如任意客户端代理220)的任意其他设备或其部分。计算设备200还可以包括存储设备228,诸如一个或多个硬盘驱动或者独立磁盘的冗余阵列,用来存储操作系统和其他相关的软件,并且用来存储应用软件程序(诸如与客户端代理220相关的任意程序)。可选地,安装设备216中的任意一个还可以被用作存储设备228。
此外,计算设备200可以包括网络接口218,以通过多种连接接入LAN、WAN、MAN或者互联网,连接包括但不限于标准电话线路、LAN或WAN链路(例如,802.11、Tl、T3、56kb、X.25)、宽带连接(例如,ISDN、帧中继、ATM)、无线连接或者上述任意一种或所有的特定组合。网络接口218可以包括内置网络适配器、网络接口卡、PCMCIA网卡、插件总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或者适用于将计算设备200接入能够通信和执行本文所述操作的任意类型网络的任意其他设备。
联网可以包含被设计为连接两个或更多计算设备、系统或环境的许多不同的技术和协议。例如,互联网协议(IP)是通常被用于控制和路由互联网流量的标准通信协议。IP被广泛地用作互联网的骨干协议。最常使用的IP版本是IP版本4(IPv4)和IP版本6(IPv6)。这些协议被分别描述在IETF RFC 791和IETF RFC 2460中,并且都是本领域中众所周知的协议。
可以使用IPsec(在IP上构建的一套协议)来保护传送IP数据报(通常也被称为分组)的连接。IPsec提供用于在跨网络发送每个数据报之前修改该数据报的框架,从而在计算实体之间提供安全连接。计算实体可以是硬件实现的计算设备(例如,图1的网关106、装置108、客户端设备102中的任意一个),或者是能够接收数据报的虚拟计算设备(例如,在装置108上执行的软件模块)。下文更详细地描述了IPsec操作的具体模式和变体。在IPsec可被用于封装IP数据报之前,IPsec连接的两个端点可以协商一组安全参数,以用来保护所传送的数据。可以在计算机网络环境之外创建和共享这些安全参数。或者,可以使用诸如IKE的已知方法来设置这些安全参数以创建SA。两个端点之间的每个单向连接需要SA。相应地,使用认证报头(AH)或者IPsec的封装安全协议(ESP)变体的双向IPsec连接需要至少两个SA。在一些实施例中,在结合使用了AH和ESP的情况下,端点之间的双向通信可能需要多达四个SA。
在跨多个连接支持IPsec的方面已进行了一些尝试。例如,A Multi-linkAggregate IPSec Model,Yun-he hang等,3 Educ.,Tech.,and Computer Sci.:ETCS'09.First Int'l Workshop On,489-493(2009)提出了跨两个端点之间的多个连接自动地管理IPsec的软件组件。尽管这个方法将IPsec管理和开销抽象成单独的模块,使得跨多个并发连接使用IPsec对于开发者来说更简单,但是跨多个连接的IPsec的根本问题仍然存在——也就是说,随着连接数量的增加,无论抽象的程度如何,软件或硬件仍然必须为每个连接维护SA,并且带来用于重建每个单独的故障链路的开销。此外,这些方法尝试通过在创建SA的时候确定延迟和其他网络特征,来提供跨多个连接的负载平衡。但是,由于这些现有模块不能连续地监控每个连接的性能,因此所提供的负载平衡是无效的。此外,由于这些方法不能分析加密数据报的内容,因此它们不能基于数据内容来提供服务质量效益。与本公开一致的实施例解决了这些根本问题。下文更详细地描述了这些实施例。
图3A-3C是与本公开一致的示例性数据报的框图。图3A是表示与本公开实施例一致的标准IP数据报300的框图。IP数据报300是网络分组,其包含允许跨互联网或者其他网络路由数据的信息。IP数据报300可以是符合IPv4或IPv6的IP数据报。IP数据报300可以包括IP报头302,该IP报头可以包含多种信息和设置,该信息和设置控制如何跨网络传送IP数据报300。例如,IP报头301可以包括采用IP地址形式的主机信息,以指示数据报的来源和目的地。除了IP报头301,IP数据报300还包括IP数据320。IP数据320可以包括原始数据,或者包括其他采用(诸如公知的用户数据报协议或者传输控制协议的)协议规范的数据封装。
图3B中的数据报在传输350模式下和隧道355模式下均包括IPsec AH数据报。如图3B所示,图3C中示出的数据报在传输355模式下和隧道356模式下包括IPsec ESP数据报。
图3B-3C描述了被修改为符合多种IPsec操作模式的示例性IP数据报。IPsec可以根据多种模式来编码IP数据报。特别地,IPsec可以创建认证报头(AH)数据报或者封装安全载荷(ESP)数据报。这些封装类型中的每一种可以进一步被用在传输模式或隧道模式下。下文更详细地描述了这些配置中的每种配置。
IPsec AH允许修改IP数据报,使得该数据报可被认证。该认证可以允许对数据报来源的验证,和/或保证该数据报在传输中未被改变,等等。IPsecAH并不提供对数据报的加密,然而可以在由IPsec修改之前使用一些其他的处理或应用来加密在数据报中封装的数据。IPsec AH可以通过计算数据报的IP报头(例如,IP报头301)中的一些字段的密码散列并且与数据报一起传送所计算的散列来验证数据。
IPsec ESP可以允许对IPsec载荷进行加密,该IPsec载荷包括原始的IP数据报(例如,IP数据报300)。IPsec ESP还可以与IPsec AH类似,使用各种报头中字段的密码散列来提供认证。
通常,传输模式以AH或ESP的形式提供从来源端点至目的地端点的IPsec保护。传输模式可被用于保护两个主机之间的直接链路的安全。
隧道模式以AH或ESP的形式沿两个端点之间的连接的部分提供IPsec保护。尽管隧道模式可被用于保护两个端点之间的整条路径,但其通常被用于如下场合:当在各自的安全网络上的两个端点跨不安全网络(诸如互联网)进行通信时。隧道模式可以允许仅仅连接的跨公共、不安全网络的一部分采用IPsec来进行封装。
图3B是与本公开实施例一致的使用IPsec AH封装的示例性IP数据报300的框图。在传输350模式下,IPsec可以计算密码散列,并且插入所计算的散列作为AH报头310的部分。AH报头310可被插入至原始的IP数据报的IP报头301和数据320之间。在IP报头301中指示的目的地处,可以计算新的密码散列并且将其与AH报头310中存储的信息进行比较。如果散列相匹配,则可将AH报头310从数据报移除,留下原始的IP数据报300。IP数据报300可被提供给相关的处理或应用。
在隧道351模式下,如在传输350模式下可以完成的操作一样,IPsec计算密码散列。在隧道351模式下,AH报头310被置于IP报头301之前。随后,整个数据报(例如,AH报头310、IP报头301和数据320)被封装到新的IP报头中,该新的IP报头可以为数据报指定新的IP字段。在新的IP报头330所指示的目的地处,目的地可以移除新的IP报头330,如在传输350模式下完成的操作一样,使用AH报头310执行相同的认证检查,剥去AH报头310,并且基于IP报头301中的原始目的地和字段路由IP数据报300。
图3C是与本公开实施例一致的使用IPsec ESP封装的示例性IP数据报300的框图。在传输355模式下,IPsec可以使用标准加密算法(例如,DES、三重DES、AES和Blowfish)和预定的加密密钥来加密数据320,并且在数据报中在数据320周围将ESP报头340和ESP尾部341包含进来。ESP报头340和ESP尾部341可以包括用于帮助解密的信息。可选地,IPsec ESP可以包括(与在IPsec AH中完成的操作类似)通过计算密码散列来进行的认证,并且可以在ESP认证(auth)342中将认证细节包含进来。在IP报头301所指示的目的地处,如果包含有认证信息,则可以验证该信息,并且可以从数据报剥去ESP认证342。进一步地,可以使用存储在关联SA中的预定的加密密钥以及ESP报头340与ESP尾部341中的信息来解密数据320。在解密之后,目的地可以剥去ESP报头340和ESP尾部341,仅留下包含IP报头301和数据320的原始IP数据报。随后,该IP数据报可被提供给相关的处理或应用。
在隧道356模式下,IPsec ESP加密整个原始的IP数据报,包括IP报头301和数据320。ESP报头340被置于IP报头301之前并且ESP尾部341被置于数据320之后。与传输355模式一样,可以使用包含在ESP认证342中的各种报头字段的密码散列来提供可选的认证。IPsec ESP可以创建新的IP报头330以控制封装的数据报的路由,并且将该新的IP报头置于数据报的开头。在新的IP报头330中指示的目的地处,目的地设备可以验证ESP认证342中的信息,使用ESP报头340、ESP尾部341中的信息和预定密钥来解密IP报头301和数据320,从数据报移除新的IP报头330、EPS报头340、ESP尾部341和ESP认证342,并且根据IP报头301中的原始信息路由该数据报。
图4是与本公开实施例一致的在示例性网络环境中提供的示例性装置410的框图。装置410可以是来自图1的装置108A-C中的任意一个。装置410可以是模块,该模块是被设计为与其他组件或程序的部分一起使用的封装的功能硬件单元,该程序的部分用于执行相关功能的特定功能。在一些实施例中,装置410还可以包括网关,其可以是来自图1的网关106A-B中的任意一个。通常,装置410可以处理输出的分组,并且可以从其他网络(例如,专用网络401)或客户端设备(例如,客户机403)接受数据报。装置410可以处理数据报(分析它们的内容),生成IPsec保护的数据报,并且基于先前分析的信息跨多个连接中的任意一个转发那些数据报。装置410可以支持多个并发连接而不需要创建另外的SA来支持IPsec。
专用网络401可以是接附至其他计算设备的任意专用网络。专用网络可以是来自图1的专用网络110。接附至专用网络401的设备或其他计算设备可以将目的是另一网络或设备的数据报发送至装置410,以用于进行处理。
类似地,客户机403可以将目标是其他网络或设备的数据报提供至装置410,以用于进行处理。客户机403可以是客户端设备102A-G中的任意一个。客户机403可被直接地连接至装置410而无需通过中间网络。
装置410可以从(将数据发送至装置410可达的网络或计算设备的)专用网络401、客户机403或者任何其他计算设备接收数据报。装置410可以是分别连接至目的地D1-D3的多个链路的来源S1-S3。尽管装置410被示出为网络连接的来源,但应理解的是,装置410还可以从其他网络设备或计算机接收目的是专用网络401或客户机403的数据。装置410可以包括多个组件,该组件被设计为提供跨网络的单个IPsec信道。在一些实施例中,装置410与网关420结合在一起。在其他实施例中,网关420是与装置410通信耦合的单独的组件。
装置410包括分类器411。分类器411是可以分析被提供至装置410的数据报的模块。分类器411可以检查数据报,并且创建与数据报相关联的元数据以帮助进行路由决策。与每个数据报相关联的元数据可以基于多种因素(例如,来源或目的地IP地址、底层应用、数据报中使用的其他协议、数据报自身的内容或者数据报的其他属性)。可以根据预设规则来指定该元数据,或者,基于系统不断变化的需求该元数据可以是动态的。例如,如果IP数据报中的数据与流量的类型相对应,则指示特定DSCP标签的元数据可被添加至数据报。在这个例子中,元数据可以指示数据报包含使用DSCP标签加速转发(EF)分类的IP语音(VOIP)流量,该流量可以要求比其他类型的网络流量更高的优先级。在做出路由决策时,特定的元数据可以影响为不同类型的流量而选择的链路。例如,可以使用最适合该类型流量的特定物理链路来传送与DSCP标签EF相关联的数据报。可以使用低延迟和低抖动的连接传送具有指示数据报承载VOIP流量的元数据的数据报,以保证较高的服务质量。
在元数据与IP数据报相关联之后,该数据报被提供给IPsec 412。IPsec412是被设计为根据IPsec规范以及基于SA 413中存储的属性来编码IP数据报的模块。SA 413可以是根据诸如IKE的过程创建的以允许与期望端点(例如,网关421或者装置430)进行IPsec通信的SA。SA 413是在数据报被装置410传送前创建的。许多常用的IPsec模块可被合并至装置410内,从而为IPsec 412提供所述功能。
分组分析器417是被设计为分析已编码的数据报和相关联的元数据以提供路由信息并且将另外的字段添加至数据报的模块。例如,分组分析器可以基于由分类器411提供的元数据,确定应该使用MPLS连接来发送数据报。在另一个例子中,分组分析器417将确定可以根据最快的路由来发送数据报,或者确定该数据包具有低重要性并且优先级可以低于其他网络流量。这些确定可以与已编码的数据报相关联,作为另外的元数据。此外,分组分析器417可以将时间戳和序列号添加至已编码的数据报。该时间戳和序列号可被接收装置(例如,装置430)使用,以便以正确顺序重组跨不同物理链路发送的一系列数据报。在分析之后,分组分析器可以将数据报和相关联的元数据提供给网关420。
网关420是被设计为处理到远程网络和设备的路由和物理连接的模块。如前所述,在一些实施例中,网关420是装置410的部分。在其他实施例中,网关420是单独的模块。网关420向其他网络或计算设备提供物理连接。此外,网关420可以包括被设计为路由网络流量以及监控物理网络链路的模块或功能。当物理网络链路失效时,网关420可以重建连接。由于在网关420之前的虚拟端点处设置了SA,因此重建物理链路不需要与创建新SA有关的开销。相反,在重建物理链路时,它们已经是IPsec保护的路径的部分,而不需要新的SA。
网关420可以包括分组路由器421。分组路由器421是被设计为根据与那些数据报相关联的内容和元数据以及各个网络连接的当前状态来路由IP数据报的模块。分组路由器421可以仅以数据报的元数据中的信息作为路由决策的基础,或者可以结合元数据信息与链路评估器422提供的信息。下文更详细地描述了链路评估器422。分组路由器421可以使用提供的信息来为特定的数据报选择最优链路(例如,由网络来源S1-S3表示的网络连接中的一个)。例如,如果分组分析器417已指明数据报包含被分类为DSCP标签EF的数据,则分组路由器421可以选择最适用于这种类型的流量的专用物理链路。在另一个例子中,如果链路评估器422提供的数据指示特定的链路退化或被压垮,则分组路由器421可以避免将新的流量添加至该物理链路。在分组路由器421选择了链路后,可以在所选择的连接上传送数据报。
链路评估器422是被设计为连续地分析活动网络连接的状态的模块。在从来源S1-S3传送数据报之后,来源可以将传送统计数据提供给链路评估器422。该数据可以包括:数据报到达目的地D1-D3之一的时间,特定连接的出错率,或者与网络链路的状态相关的任意其他的统计数据。链路评估器422可以结合来自每个网络连接的信息,并且将该信息提供给分组路由器421以帮助进行路由决策。此外,链路评估器422可以检测到特定连接何时失效,并且警告网关420必须重建该链路。
由网关420传送的数据报可以在网关421的目的地D1-D3处被接收。网关421是被设计为接收在多个物理连接上到达的数据报并且将它们组合成单数据报流以便进行解码的模块。尽管在图4中未示出,网关421可以包括与网关421相同的组件,以用于传送数据报。相应地,在一些实施例中,网关420和网关421之间的通信是双向的,意味着网关421可以作为目的地以及作为来源。网关421可以将在目的地D1-D3处接收的数据报转发至装置430。
装置430可以包括IPsec模块432,其可以根据IPsec规范以及基于在SA 433中存储的属性来解码IP数据报。SA 433可以是根据诸如IKE的过程设置的以允许与期望端点(例如,网关420或者装置410)进行IPsec通信的SA。SA 433是在数据报被装置430接收前创建的。许多常用的IPsec模块可被合并至装置430内,从而为IPsec 432提供所述功能。IPsec432可以具有与IPsec 412相同的结构和功能(并且反之亦然)。此外,SA 433可以匹配SA413,以允许IPsec 432解码使用IPsec 412编码的数据报。
在解码所接收的数据报之后,装置430可以根据原始IP报头中的IP地址路由数据报。例如,数据报可被直接地路由至客户端设备405或404,该客户端设备可以是来自图1的客户端设备102的实例。数据报还可以被转发至专用网络402以进行进一步路由。专用网络402可以是来自图1的专用网络110的实例。
图4的框图示范了与本公开一致的实施例,其例如允许客户端设备(例如,客户端设备403)以安全的方式与远程客户端设备(例如,客户端设备405)通信。如图4所示,在装置410和装置430处创建IPsec隧道,而不是在物理网络链路(例如,S1-S3到D1-D3)的位置处创建IPsec隧道,允许为网络路径协商单独的一组SA,即使两个端点之间可能存在多个物理链路。通过在分组被路由之前分析该分组(例如,在分组分析器417处),公开的实施例可以智能地路由流量,以优化可用的网络链路。进一步地,公开的实施例通过将IPsec管理和设置从物理链路提取出来,可以免除管理每个物理链路的单独的IPsec隧道的许多开销和困难。此外,公开的实施例改进了先前的系统,该先前的系统仅将多链路IPsec隧道管理封装至单独的模块或组件中,但没有减少或免除与维护多个IPsec连接相关联的开销和困难。
图4中公开的模块或组件的实施例是示例性的。应该理解,许多组件可被组合或分离,并且被置于不同的配置下。图4的结构并不意味着限制。
图5是表示用于跨多个物理链路向远程计算环境提供IPsec编码的数据报的示例性方法500的流程图。容易理解的是,所描述的过程可以被改变为删除步骤或者进一步包括另外的步骤。在最初的启动步骤501之后,装置(例如,装置410)可以获得(步骤510)要传送至远程计算环境的IP数据报。所获得的数据报可以起源于本地客户机(例如,客户机403)或者通信耦合至该装置的一些其他的计算设备。
随后,装置可以根据目的地和其他特征来分类(步骤520)数据报。例如,分类器(例如,分类器411)可被用于考虑特别是数据报的类型、数据报内数据或协议的类型以及与其他网络流量相关的数据报的相对重要性。
在分类数据报之后,分类器可以基于分类将元数据与数据报相关联(步骤530)。该元数据可以描述数据报的内容或性质,以供路由引擎以后使用。此外,元数据可以指示数据报中数据的类型、数据报的重要性以及封装的协议,等等。
在将元数据与数据报相关联之后,装置可以使用遵循IPsec策略的编码来编码(步骤540)数据报。装置可以使用任意的标准IPsec模块或系统。可以提前使用普遍了解的技术(诸如IKE)来协商IPsec模块或系统使用的SA。
在编码后,装置可以(例如,使用分组分析器417)将另外的控制信息关联(步骤550)至已编码的数据报。该另外的信息可以至少包括时间戳和序列号。该时间戳和序列号可被用在目的地端点处,以将选取不同路径的数据报重组为与它们生成时相同的序列。
装置可以(例如,使用网关420、分组路由器421和来源S1-S3)基于相关联的元数据和装置对于每个独立的网络链路的认知,来传送(步骤560)已编码的数据报。装置可以偏向于具有较快响应时间的链路,以便优化带宽。在一些实施例中,将仅基于与数据报相关联的元数据来确定来源(例如,来自图4的S1-S3之一)。例如,承载MPLS数据的数据报可被绑定至特定的网络链路。
在数据报被传送之后,传送的来源可以获得(步骤570)关于所使用的特定物理连接的传送统计数据。那些统计数据可以包括:例如,丢弃的分组的数量、出错率、延迟以及与物理链路相关的其他统计数据。这些连接统计数据可被提供给装置(例如,使用链路评估器422)。装置可以评估(步骤580)连接统计数据并且将评估结果提供给装置(例如,使用分组路由器421)。相应地,随着数据报的传送和网络状况的波动定期地更新评估结果。
图6是表示用于跨多个物理链路从远程计算环境接收IPsec编码的数据报的示例性方法600的流程图。容易理解的是,所描述的过程可以被改变为删除步骤或者进一步包括另外的步骤。在最初的启动步骤601之后,装置(例如,装置430)可以获得(步骤610)使用IPsec兼容编码来编码的IP数据报。所获得的数据报可以起源于远程客户机(例如,客户机403)或者通信耦合至该装置的一些其他的计算设备。
在获得数据报之后,装置可以基于嵌入在数据报中的时间戳和序列号在所获得的其他数据报之中组织(步骤620)数据报。尽管每个数据报被独立地处理,但由于可以跨多个物理链路中的任意一个来传送数据报,因此它们可能到达的顺序与他们被发送的顺序不同。在一些实施例中,组织可以发生在数据报被解码之后。
在组织了数据报与其他相关联的数据报之后,装置可以基于相关数据报的时间戳和序列号以适当的顺序(例如,使用IPsec 432和SA 433)解码(步骤630)数据报。随后,装置可以根据原始的IP报头目的地,将已解码的数据报路由(步骤640)至计算设备(例如,客户机405、客户机404或者连接至专用网络402的另一设备)。
在前述说明书中,已参照许多具体的细节(其可以随实施方式的不同而变化)描述了实施例。可以对所描述的实施例做出某些适应和改动。出于对本文公开的说明书以及实施例的实现的思考,其他实施例对于本领域技术人员来说可以是显而易见的。本文旨在将说明书和例子仅看作是示例性的。图中所示的步骤的顺序旨在仅用于说明的目的,而且并不旨在将其限制为任意特定的步骤顺序。这样,本领域技术人员可以理解的是,在实施相同的方法时可以以不同的顺序来执行这些步骤。
Claims (20)
1.一种用于在连接到计算设备的一个或多个连接上保护网络流量的系统,所述系统包括:
IPsec编码器,其被配置为获得数据报并且编码数据报,其中所述IPsec编码器包括与计算实体相关联的至少一个IPsec安全关联;
分组分析器,其被配置为将第一组元数据与已编码的数据报相关联;以及
网关,其使用连接到所述计算设备的多个连接中的一个传送所述已编码的数据报。
2.根据权利要求1所述的系统,还包括:
分类器,其被配置为基于所述数据报的属性将第二组元数据与所述数据报相关联。
3.根据权利要求1和2中任一项所述的系统,还包括:
分组路由器,其被配置为至少基于与所述数据报相关联的第二组元数据来选择所述多个连接中的一个连接。
4.根据权利要求3所述的系统,还包括:
链路评估器,其被配置为评估所述多个连接;以及
所述分组路由器还被配置为至少基于第一组相关联的元数据、第二组相关联的元数据以及对所述多个连接的评估结果中的一个来路由所述已编码的数据报。
5.根据权利要求1-4中任一项所述的系统,其中,与所述已编码的数据报相关联的第一组元数据包括时间戳或者序列号中的至少一个。
6.根据权利要求1-5中任一项所述的系统,其中,所述计算设备被配置为:
接收一个或多个已编码的数据报;
部分地基于所述第一组元数据组织所述一个或多个已编码的数据报;以及
至少使用与所述计算实体相关联的安全关联来解码所述一个或多个已编码的数据报。
7.根据权利要求1-6中任一项所述的系统,其中,所述计算设备包括所述计算实体。
8.根据权利要求1-7中任一项所述的系统,其中,所述计算设备被通信地耦合至所述计算实体。
9.一种用于在连接到计算设备的一个或多个连接上保护网络流量的方法,所述方法被一个或多个处理器执行并且包括:
获得数据报;
使用符合IPsec的编码来编码所述数据报,其中至少一个IPsec安全关联与第一计算实体相关联;
将元数据与已编码的数据报相关联;以及
通过连接到所述计算设备的多个连接之一来传送所述已编码的数据报。
10.根据权利要求9所述的方法,还包括:
基于所述数据报的属性将第二组元数据与所述数据报相关联。
11.根据权利要求9和10中任一项所述的方法,还包括:
至少基于与所述数据报相关联的第二组元数据来选择所述多个连接中的一个连接。
12.根据权利要求9-11中任一项所述的方法,还包括:
评估所述多个连接;以及
至少基于所述第一组元数据、所述第二组元数据以及对所述多个连接的评估结果中的一个来路由所述已编码的数据报。
13.根据权利要求9-12中任一项所述的方法,其中,与所述已编码的数据报相关联的所述第一组元数据包括时间戳或者序列号中的至少一个。
14.根据权利要求9-13中任一项所述的方法,其中,所述时间戳或者序列号中的至少一个被用于在所述计算实体处组织一个或多个已编码的数据报。
15.一种存储指令的非暂时性计算机可读存储介质,所述指令能够被第一计算设备的一个或多个处理器执行以使得所述第一计算设备执行用于在连接到第二计算设备的一个或多个连接上保护网络流量的方法,所述方法包括:
获得数据报;
使用符合IPsec的编码来编码所述数据报,其中至少一个IPsec安全关联与第一计算实体相关联;
将元数据与已编码的数据报相关联;以及
通过连接到所述第二计算设备的多个连接中的一个传送所述已编码的数据报。
16.根据权利要求15所述的计算机可读存储介质,其中,指令集能够被所述第一计算设备的一个或多个处理器执行以使得所述第一计算设备还执行:
基于所述数据报的属性将第二组元数据与所述数据报相关联。
17.根据权利要求15和16中任一项所述的计算机可读存储介质,其中,指令集能够被所述第一计算设备的一个或多个处理器执行以使得所述第一计算设备还执行:
至少基于与所述数据报相关联的第二组元数据选择所述多个连接中的一个连接。
18.根据权利要求15-17中任一项所述的计算机可读存储介质,其中,指令集能够被所述第一计算设备的一个或多个处理器执行以使得所述第一计算设备还执行:
评估所述多个连接;以及
至少基于所述第一组元数据、所述第二组元数据以及对所述多个连接的评估结果中的一个来路由所述已编码的数据报。
19.根据权利要求15-18中任一项所述的计算机可读存储介质,其中,与所述已编码的数据报相关联的元数据包括时间戳或者序列号中的至少一个。
20.根据权利要求15-19中任一项所述的计算机可读存储介质,其中,所述时间戳或者所述序列号中的至少一个被用于在所述计算实体处组织一个或多个已编码的数据报。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/811,695 US10051000B2 (en) | 2015-07-28 | 2015-07-28 | Efficient use of IPsec tunnels in multi-path environment |
US14/811695 | 2015-07-28 | ||
PCT/US2016/044317 WO2017019798A1 (en) | 2015-07-28 | 2016-07-27 | Efficient use of ipsec tunnels in a multi-path environment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107852411A true CN107852411A (zh) | 2018-03-27 |
CN107852411B CN107852411B (zh) | 2021-08-10 |
Family
ID=56609989
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680042825.7A Active CN107852411B (zh) | 2015-07-28 | 2016-07-27 | 在多路径环境下对IPsec隧道的高效使用 |
Country Status (6)
Country | Link |
---|---|
US (2) | US10051000B2 (zh) |
EP (1) | EP3329651B1 (zh) |
JP (1) | JP7075216B2 (zh) |
KR (1) | KR102200857B1 (zh) |
CN (1) | CN107852411B (zh) |
WO (1) | WO2017019798A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113691490A (zh) * | 2020-05-19 | 2021-11-23 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10860304B2 (en) * | 2015-10-27 | 2020-12-08 | Airwatch Llc | Enforcement of updates for devices unassociated with a directory service |
US11900090B2 (en) | 2015-10-27 | 2024-02-13 | Airwatch Llc | Enforcement of updates for devices unassociated with a directory service |
CN106656914A (zh) * | 2015-10-29 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 防攻击数据传输方法及装置 |
US10250578B2 (en) * | 2015-11-03 | 2019-04-02 | Qualcomm Incorporated | Internet key exchange (IKE) for secure association between devices |
US20190036842A1 (en) * | 2017-07-31 | 2019-01-31 | Cisco Technology, Inc. | Traffic steering in fastpath |
US20190036814A1 (en) * | 2017-07-31 | 2019-01-31 | Cisco Technology, Inc. | Traffic steering with path ordering |
US10771435B2 (en) * | 2018-11-20 | 2020-09-08 | Netskope, Inc. | Zero trust and zero knowledge application access system |
EP3571808A4 (en) | 2018-12-28 | 2020-03-04 | Alibaba Group Holding Limited | IMPROVE THE SPEED OF BLOCKCHAIN TRANSACTIONS USING GLOBAL ACCELERATION NODES |
KR20200083940A (ko) * | 2018-12-28 | 2020-07-09 | 알리바바 그룹 홀딩 리미티드 | 트랜잭션 재전송을 사용한 블록체인 네트워크에서의 트랜잭션 전달의 가속 |
SG11201906831YA (en) | 2018-12-28 | 2019-08-27 | Alibaba Group Holding Ltd | Accelerating transaction deliveries in blockchain networks using acceleration nodes |
US11477172B2 (en) * | 2020-01-24 | 2022-10-18 | International Business Machines Corporation | Securing data compression |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050198531A1 (en) * | 2004-03-02 | 2005-09-08 | Marufa Kaniz | Two parallel engines for high speed transmit IPSEC processing |
US20070214502A1 (en) * | 2006-03-08 | 2007-09-13 | Mcalister Donald K | Technique for processing data packets in a communication network |
US20130263249A1 (en) * | 2012-03-30 | 2013-10-03 | Futurewei Technologies, Inc. | Enhancing IPSEC Performance and Security Against Eavesdropping |
Family Cites Families (127)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2798534B2 (ja) * | 1991-10-01 | 1998-09-17 | 日本電気株式会社 | マルチリンク制御方式 |
US6438612B1 (en) * | 1998-09-11 | 2002-08-20 | Ssh Communications Security, Ltd. | Method and arrangement for secure tunneling of data between virtual routers |
JP3540183B2 (ja) * | 1999-01-21 | 2004-07-07 | 株式会社東芝 | マルチリンク通信装置 |
US7996670B1 (en) * | 1999-07-08 | 2011-08-09 | Broadcom Corporation | Classification engine in a cryptography acceleration chip |
US20030014627A1 (en) * | 1999-07-08 | 2003-01-16 | Broadcom Corporation | Distributed processing in a cryptography acceleration chip |
US6941377B1 (en) * | 1999-12-31 | 2005-09-06 | Intel Corporation | Method and apparatus for secondary use of devices with encryption |
US7082530B1 (en) * | 1999-12-31 | 2006-07-25 | Intel Corporation | Method and apparatus for accelerating hardware encryption with multiple networking interfaces |
US7181012B2 (en) * | 2000-09-11 | 2007-02-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Secured map messages for telecommunications networks |
US6839754B2 (en) * | 2000-09-15 | 2005-01-04 | Wm. Marsh Rice University | Network tomography using closely-spaced unicast packets |
JP3639208B2 (ja) * | 2000-11-28 | 2005-04-20 | 株式会社東芝 | 移動通信システム、移動端末装置、aaahサーバ装置、認証課金サービス提供方法、認証課金サービス享受方法、移動端末装置情報提供方法及び相手端末確認方法 |
US7664119B2 (en) * | 2001-03-30 | 2010-02-16 | Intel Corporation | Method and apparatus to perform network routing |
US8477616B1 (en) * | 2001-06-05 | 2013-07-02 | Avaya Inc. | Method for achieving high-availability of itineraries in a real-time network scheduled packet routing system |
US7296155B1 (en) * | 2001-06-08 | 2007-11-13 | Cisco Technology, Inc. | Process and system providing internet protocol security without secure domain resolution |
US20030002676A1 (en) * | 2001-06-29 | 2003-01-02 | Stachura Thomas L. | Method and apparatus to secure network communications |
US7389412B2 (en) * | 2001-08-10 | 2008-06-17 | Interactive Technology Limited Of Hk | System and method for secure network roaming |
US20030031151A1 (en) * | 2001-08-10 | 2003-02-13 | Mukesh Sharma | System and method for secure roaming in wireless local area networks |
FI116027B (fi) * | 2001-09-28 | 2005-08-31 | Netseal Mobility Technologies | Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi |
JP3678200B2 (ja) * | 2002-01-11 | 2005-08-03 | Kddi株式会社 | 通信内容の秘匿性向上のための経路分散装置 |
FI118170B (fi) * | 2002-01-22 | 2007-07-31 | Netseal Mobility Technologies | Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi |
FI116017B (fi) * | 2002-01-22 | 2005-08-31 | Netseal Mobility Technologies | Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi |
JP2003229798A (ja) * | 2002-02-05 | 2003-08-15 | Hitachi Ltd | 無線中継システム |
US6792534B2 (en) * | 2002-03-22 | 2004-09-14 | General Instrument Corporation | End-to end protection of media stream encryption keys for voice-over-IP systems |
US7287269B2 (en) * | 2002-07-29 | 2007-10-23 | International Buiness Machines Corporation | System and method for authenticating and configuring computing devices |
FR2844941B1 (fr) * | 2002-09-24 | 2005-02-18 | At & T Corp | Demande d'acces securise aux ressources d'un reseau intranet |
JP4346898B2 (ja) * | 2002-12-09 | 2009-10-21 | Necインフロンティア株式会社 | クライアント・サーバ型分散システムにおける保守インタフェース利用者認証方法および装置 |
JPWO2004059903A1 (ja) * | 2002-12-25 | 2006-05-11 | 株式会社日立製作所 | ネットワーク機器、ネットワークシステム、および、グループ管理方法 |
US7571463B1 (en) * | 2003-01-24 | 2009-08-04 | Nortel Networks Limited | Method an apparatus for providing a scalable and secure network without point to point associations |
DE112004000817D2 (de) * | 2003-03-04 | 2006-01-19 | Lukas Wunner | Verfahren, System und Speichermedium zum Eintragen von Datennetzwerkerreichbarkeitsinformation |
US7774593B2 (en) * | 2003-04-24 | 2010-08-10 | Panasonic Corporation | Encrypted packet, processing device, method, program, and program recording medium |
GB0312681D0 (en) * | 2003-06-03 | 2003-07-09 | Ericsson Telefon Ab L M | IP mobility |
US7421578B1 (en) * | 2003-07-22 | 2008-09-02 | Cisco Technology, Inc. | Method and apparatus for electing a leader node in a computer network |
US7333799B2 (en) * | 2003-08-29 | 2008-02-19 | Microsoft Corporation | WAP XML extension to define VPN connections |
US7685436B2 (en) * | 2003-10-02 | 2010-03-23 | Itt Manufacturing Enterprises, Inc. | System and method for a secure I/O interface |
US20050138380A1 (en) * | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
US7305706B2 (en) * | 2004-01-15 | 2007-12-04 | Cisco Technology, Inc. | Establishing a virtual private network for a road warrior |
JP3955025B2 (ja) * | 2004-01-15 | 2007-08-08 | 松下電器産業株式会社 | 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ |
JP4006403B2 (ja) * | 2004-01-21 | 2007-11-14 | キヤノン株式会社 | ディジタル署名発行装置 |
EP1562346A1 (en) * | 2004-02-06 | 2005-08-10 | Matsushita Electric Industrial Co., Ltd. | Method and system for reliably disconnecting IPSec security associations |
JP3976324B2 (ja) * | 2004-02-27 | 2007-09-19 | 株式会社日立製作所 | セキュリティレベルに応じて記憶領域を計算機に割り当てるシステム |
US8186026B2 (en) * | 2004-03-03 | 2012-05-29 | Rockstar Bidco, LP | Technique for maintaining secure network connections |
AU2005201275B2 (en) | 2004-03-26 | 2007-09-20 | Canon Kabushiki Kaisha | Internet protocol tunnelling using templates |
US7461152B2 (en) * | 2004-03-31 | 2008-12-02 | International Business Machines Corporation | Apparatus and method for sharing a shared resource across logical partitions or systems |
JP2005310025A (ja) * | 2004-04-26 | 2005-11-04 | Hitachi Ltd | ストレージ装置、計算機システムおよびイニシエータ認可方法 |
CN1961557B (zh) * | 2004-05-31 | 2011-03-30 | 意大利电信股份公司 | 通信网络中的安全连接方法和系统 |
US8364948B2 (en) * | 2004-07-02 | 2013-01-29 | Hewlett-Packard Development Company, L.P. | System and method for supporting secured communication by an aliased cluster |
PT2341723E (pt) * | 2004-09-30 | 2013-03-27 | Telecom Italia Spa | Método e sistema para o controlo da mobilidade numa rede de comunicações, rede relacionada e programa de computador correspondente |
US9794237B2 (en) * | 2005-01-31 | 2017-10-17 | Unisys Corporation | Secured networks and endpoints applying internet protocol security |
US7577130B2 (en) * | 2005-02-18 | 2009-08-18 | Microsoft Corporation | SyncML based OMA connectivity object to provision VPN connections |
US8438629B2 (en) * | 2005-02-21 | 2013-05-07 | Samsung Electronics Co., Ltd. | Packet security method and apparatus |
US7505442B2 (en) * | 2005-04-05 | 2009-03-17 | Nokia Corporation | Routing transformation, security, and authorization for delegated prefixes |
US20060230446A1 (en) * | 2005-04-06 | 2006-10-12 | Vu Lan N | Hybrid SSL/IPSec network management system |
US20070006296A1 (en) * | 2005-06-29 | 2007-01-04 | Nakhjiri Madjid F | System and method for establishing a shared key between network peers |
TW200729892A (en) * | 2005-11-16 | 2007-08-01 | Nokia Corp | System and method for establishing bearer-independent and secure connections |
JP4592611B2 (ja) * | 2006-02-03 | 2010-12-01 | 富士通株式会社 | パケット通信システム |
US8201233B2 (en) * | 2006-02-06 | 2012-06-12 | Cisco Technology, Inc. | Secure extended authentication bypass |
EP1997292B1 (en) * | 2006-03-20 | 2018-11-07 | British Telecommunications public limited company | Establishing communications |
EP2011022A4 (en) * | 2006-04-17 | 2011-04-06 | Starent Networks Corp | SYSTEM AND METHOD FOR TRANSPORTATION |
GB2442044B8 (en) * | 2006-05-11 | 2011-02-23 | Ericsson Telefon Ab L M | Addressing and routing mechanism for web server clusters. |
US20080076425A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
JP2008035272A (ja) * | 2006-07-28 | 2008-02-14 | Canon Inc | 情報処理システム及び当該システムにおけるデータ通信方法 |
US8204502B2 (en) * | 2006-09-22 | 2012-06-19 | Kineto Wireless, Inc. | Method and apparatus for user equipment registration |
US20080076419A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for discovery |
US8036664B2 (en) * | 2006-09-22 | 2011-10-11 | Kineto Wireless, Inc. | Method and apparatus for determining rove-out |
US20080076412A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for registering an access point |
US7995994B2 (en) * | 2006-09-22 | 2011-08-09 | Kineto Wireless, Inc. | Method and apparatus for preventing theft of service in a communication system |
US20080076392A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for securing a wireless air interface |
US8073428B2 (en) * | 2006-09-22 | 2011-12-06 | Kineto Wireless, Inc. | Method and apparatus for securing communication between an access point and a network controller |
JP2008103988A (ja) * | 2006-10-19 | 2008-05-01 | Fujitsu Ltd | 暗号通信システム、装置、方法及びプログラム |
US8607302B2 (en) * | 2006-11-29 | 2013-12-10 | Red Hat, Inc. | Method and system for sharing labeled information between different security realms |
US8239706B1 (en) * | 2007-01-03 | 2012-08-07 | Board Of Governors For Higher Education, State Of Rhode Island And Providence Plantations | Data retrieval system and method that provides retrieval of data to any point in time |
KR100839941B1 (ko) * | 2007-01-08 | 2008-06-20 | 성균관대학교산학협력단 | IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법 |
US8549135B1 (en) * | 2007-05-18 | 2013-10-01 | Raytheon Company | Method and apparatus for performing quality of service in secure networks |
CN100596062C (zh) * | 2007-08-16 | 2010-03-24 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
JP5167759B2 (ja) * | 2007-10-24 | 2013-03-21 | 日本電気株式会社 | 通信システム、通信方法、認証情報管理サーバおよび小型基地局 |
JP2009111437A (ja) * | 2007-10-26 | 2009-05-21 | Hitachi Ltd | ネットワークシステム |
US8763108B2 (en) * | 2007-11-29 | 2014-06-24 | Qualcomm Incorporated | Flow classification for encrypted and tunneled packet streams |
EP2226967B1 (en) * | 2007-12-19 | 2017-10-25 | Fujitsu Limited | Encryption implementation control system and encryption implementation control devices |
CN101197664B (zh) * | 2008-01-03 | 2010-12-08 | 杭州华三通信技术有限公司 | 一种密钥管理协议协商的方法、系统和装置 |
US20090265542A1 (en) * | 2008-04-18 | 2009-10-22 | Amit Khetawat | Home Node B System Architecture |
EP2277298B1 (en) * | 2008-05-13 | 2013-02-27 | Telefonaktiebolaget LM Ericsson (publ) | User-type handling in a wireless access network |
JP2010034860A (ja) * | 2008-07-29 | 2010-02-12 | Fujitsu Ltd | セキュリティ機能を有するipネットワーク通信方法及び通信システム |
US7801161B2 (en) * | 2008-10-20 | 2010-09-21 | Broadlight, Ltd. | Gigabit passive optical network (GPON) residential gateway |
US8650290B2 (en) * | 2008-12-19 | 2014-02-11 | Openpeak Inc. | Portable computing device and method of operation of same |
US8856322B2 (en) * | 2008-12-19 | 2014-10-07 | Openpeak Inc. | Supervisory portal systems and methods of operation of same |
US8788655B2 (en) * | 2008-12-19 | 2014-07-22 | Openpeak Inc. | Systems for accepting and approving applications and methods of operation of same |
US8612582B2 (en) * | 2008-12-19 | 2013-12-17 | Openpeak Inc. | Managed services portals and method of operation of same |
US8745213B2 (en) * | 2008-12-19 | 2014-06-03 | Openpeak Inc. | Managed services platform and method of operation of same |
US8615581B2 (en) * | 2008-12-19 | 2013-12-24 | Openpeak Inc. | System for managing devices and method of operation of same |
CN101478755B (zh) * | 2009-01-21 | 2011-05-11 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
US8548171B2 (en) * | 2009-02-27 | 2013-10-01 | Cisco Technology, Inc. | Pair-wise keying for tunneled virtual private networks |
US9301191B2 (en) * | 2013-09-20 | 2016-03-29 | Telecommunication Systems, Inc. | Quality of service to over the top applications used with VPN |
CN101998494B (zh) * | 2009-08-21 | 2016-02-03 | 华为技术有限公司 | 业务流共享资源的方法、系统和接入网关 |
CA2789291A1 (en) * | 2010-02-26 | 2011-09-01 | General Instrument Corporation | Dynamic cryptographic subscriber-device identity binding for subscriber mobility |
JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
US8671273B2 (en) * | 2010-04-15 | 2014-03-11 | The University Of Maryland | Method of performance-aware security of unicast communication in hybrid satellite networks |
US9288137B2 (en) * | 2010-05-09 | 2016-03-15 | Citrix Systems, Inc. | Systems and methods for allocation of classes of service to network connections corresponding to virtual channels |
WO2011151924A1 (ja) * | 2010-06-04 | 2011-12-08 | 富士通株式会社 | 処理装置,処理方法及び処理プログラム |
CN102006294B (zh) * | 2010-11-25 | 2014-08-20 | 中兴通讯股份有限公司 | Ims多媒体通信方法和系统、终端及ims核心网 |
US8654723B2 (en) * | 2011-03-04 | 2014-02-18 | Rogers Communications Inc. | Method and device for re-using IPSec tunnel in customer premises equipment |
US10637782B2 (en) * | 2011-03-23 | 2020-04-28 | Hughes Network Systems, Llc | System and method for policy-based multipath WAN transports for improved quality of service over broadband networks |
US8855301B2 (en) * | 2011-08-12 | 2014-10-07 | Cisco Technology, Inc. | Coordinating compression information for unreliable encrypted streams through key establishment protocols |
US8909918B2 (en) * | 2011-10-05 | 2014-12-09 | Cisco Technology, Inc. | Techniques to classify virtual private network traffic based on identity |
US9264397B2 (en) * | 2011-10-18 | 2016-02-16 | Bluecat Networks (Usa) Inc. | Method and system for implementing a user network identity address provisioning server |
US8745381B2 (en) * | 2011-10-19 | 2014-06-03 | Ixia | Methods, systems, and computer readable media for performing encapsulating security payload (ESP) rehashing |
JP5906896B2 (ja) * | 2012-03-29 | 2016-04-20 | 富士通株式会社 | ネットワークシステム及び通信制御方法 |
US9065802B2 (en) * | 2012-05-01 | 2015-06-23 | Fortinet, Inc. | Policy-based configuration of internet protocol security for a virtual private network |
WO2013164378A1 (en) * | 2012-05-04 | 2013-11-07 | Altobridge Limited | Optimizing mobile network bandwidth |
US8862883B2 (en) * | 2012-05-16 | 2014-10-14 | Cisco Technology, Inc. | System and method for secure cloud service delivery with prioritized services in a network environment |
JP2013247447A (ja) * | 2012-05-24 | 2013-12-09 | Nec Corp | サービス制御装置、中継装置、フェムトセル用基地局、通信システム、制御方法、および、プログラム |
JP6151906B2 (ja) * | 2012-10-10 | 2017-06-21 | キヤノン株式会社 | 通信装置及びその制御方法 |
US10091102B2 (en) * | 2013-01-09 | 2018-10-02 | Cisco Technology, Inc. | Tunnel sub-interface using IP header field |
US9602470B2 (en) * | 2013-05-23 | 2017-03-21 | Sercomm Corporation | Network device, IPsec system and method for establishing IPsec tunnel using the same |
US10050794B2 (en) | 2013-09-30 | 2018-08-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Method performed at an IP network node for IPSec establishment |
US20150149220A1 (en) * | 2013-11-26 | 2015-05-28 | Verizon Patent And Licensing Inc. | Methods and Procedures for a Travel Assistance Platform |
CN105940644B (zh) * | 2013-12-02 | 2019-11-12 | 阿卡麦科技公司 | 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务 |
US9813343B2 (en) * | 2013-12-03 | 2017-11-07 | Akamai Technologies, Inc. | Virtual private network (VPN)-as-a-service with load-balanced tunnel endpoints |
US9294461B2 (en) * | 2014-01-08 | 2016-03-22 | Dell Software, Inc. | Virtual private network dead peer detection |
US9444796B2 (en) * | 2014-04-09 | 2016-09-13 | Cisco Technology, Inc. | Group member recovery techniques |
US10560314B2 (en) * | 2014-09-16 | 2020-02-11 | CloudGenix, Inc. | Methods and systems for application session modeling and prediction of granular bandwidth requirements |
US9847875B1 (en) * | 2016-06-20 | 2017-12-19 | Verizon Patent And Licensing Inc. | Methods and systems for bootstrapping an end-to-end application layer session security keyset based on a subscriber identity master security credential |
US20170374025A1 (en) * | 2016-06-28 | 2017-12-28 | Fortinet, Inc. | Internet protocol security (ipsec) interface configuration and management |
US11463527B2 (en) * | 2016-11-11 | 2022-10-04 | Telefonaktiebolaget L M Ericsson (Publ) | User plane model for non-3GPP access to fifth generation core network |
US10721097B2 (en) * | 2018-04-24 | 2020-07-21 | Microsoft Technology Licensing, Llc | Dynamic scaling of virtual private network connections |
US10951478B2 (en) * | 2018-04-30 | 2021-03-16 | Cisco Technology, Inc. | User plane group |
US10812370B2 (en) * | 2018-08-03 | 2020-10-20 | Arista Networks, Inc. | Unified control plane over MPLS and internet interfaces through BGP |
US11349653B2 (en) * | 2018-12-18 | 2022-05-31 | Hewlett Packard Enterprise Development Lp | Multiple-site private network secured by IPsec using blockchain network for key exchange |
US11265714B2 (en) * | 2018-12-28 | 2022-03-01 | Cable Television Laboratories, Inc. | Systems and methods for subscriber certificate provisioning |
-
2015
- 2015-07-28 US US14/811,695 patent/US10051000B2/en active Active
-
2016
- 2016-07-27 KR KR1020187002657A patent/KR102200857B1/ko active IP Right Grant
- 2016-07-27 JP JP2017568321A patent/JP7075216B2/ja active Active
- 2016-07-27 EP EP16747986.4A patent/EP3329651B1/en active Active
- 2016-07-27 CN CN201680042825.7A patent/CN107852411B/zh active Active
- 2016-07-27 WO PCT/US2016/044317 patent/WO2017019798A1/en active Application Filing
-
2018
- 2018-07-05 US US16/028,106 patent/US10992709B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050198531A1 (en) * | 2004-03-02 | 2005-09-08 | Marufa Kaniz | Two parallel engines for high speed transmit IPSEC processing |
CN1926839A (zh) * | 2004-03-02 | 2007-03-07 | 先进微装置公司 | 用于高速传输网际网络协议安全(ipsec)处理之两个并行引擎 |
US20070214502A1 (en) * | 2006-03-08 | 2007-09-13 | Mcalister Donald K | Technique for processing data packets in a communication network |
WO2007103338A2 (en) * | 2006-03-08 | 2007-09-13 | Cipheroptics, Inc. | Technique for processing data packets in a communication network |
US20130263249A1 (en) * | 2012-03-30 | 2013-10-03 | Futurewei Technologies, Inc. | Enhancing IPSEC Performance and Security Against Eavesdropping |
CN104247367A (zh) * | 2012-03-30 | 2014-12-24 | 华为技术有限公司 | 提升IPsec性能和防窃听安全性 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113691490A (zh) * | 2020-05-19 | 2021-11-23 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
WO2021232896A1 (zh) * | 2020-05-19 | 2021-11-25 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
US20180316723A1 (en) | 2018-11-01 |
EP3329651B1 (en) | 2021-04-14 |
US20170034213A1 (en) | 2017-02-02 |
US10051000B2 (en) | 2018-08-14 |
CN107852411B (zh) | 2021-08-10 |
KR102200857B1 (ko) | 2021-01-13 |
US10992709B2 (en) | 2021-04-27 |
JP2018522481A (ja) | 2018-08-09 |
KR20180035813A (ko) | 2018-04-06 |
EP3329651A1 (en) | 2018-06-06 |
WO2017019798A1 (en) | 2017-02-02 |
JP7075216B2 (ja) | 2022-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107852411A (zh) | 在多路径环境下对IPsec隧道的高效使用 | |
Hauser et al. | P4-ipsec: Site-to-site and host-to-site vpn with ipsec in p4-based sdn | |
US9813343B2 (en) | Virtual private network (VPN)-as-a-service with load-balanced tunnel endpoints | |
CN105940644B (zh) | 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务 | |
US9172627B2 (en) | Device and related method for dynamic traffic mirroring | |
CN202206418U (zh) | 流量管理设备、系统和处理器 | |
US9584393B2 (en) | Device and related method for dynamic traffic mirroring policy | |
US9256636B2 (en) | Device and related method for application identification | |
US9230213B2 (en) | Device and related method for scoring applications running on a network | |
US20160191568A1 (en) | System and related method for network monitoring and control based on applications | |
US20140282823A1 (en) | Device and related method for establishing network policy based on applications | |
US20130318345A1 (en) | Multi-tunnel virtual private network | |
CN104283701A (zh) | 配置信息的下发方法、系统及装置 | |
US20180302378A1 (en) | Context specific keys | |
US9106618B2 (en) | Control plane encryption in IP/MPLS networks | |
Cho et al. | Secure open fronthaul interface for 5G networks | |
Fancy et al. | An evaluation of alternative protocols-based Virtual Private LAN Service (VPLS) | |
TW201116012A (en) | Integrated firewall / VPN system and integrated circuit thereof | |
CN107454116A (zh) | 单隧道模式下IPsec ESP协议的优化方法及装置 | |
Singh et al. | A Novel approach for the Analysis & Issues of IPsec VPN | |
KR20130077202A (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
Small | Patterns in network security: An analysis of architectural complexity in securing recursive inter-network architecture networks | |
Moser | Performance Analysis of an SD-WAN Infrastructure Implemented Using Cisco System Technologies | |
US20220038443A1 (en) | Methods and systems of a packet orchestration to provide data encryption at the ip layer, utilizing a data link layer encryption scheme | |
Lee et al. | Secure and Scalable IoT: An IoT Network Platform Based on Network Overlay and MAC Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |