DE60121755T2 - Ipsec-verarbeitung - Google Patents

Ipsec-verarbeitung Download PDF

Info

Publication number
DE60121755T2
DE60121755T2 DE60121755T DE60121755T DE60121755T2 DE 60121755 T2 DE60121755 T2 DE 60121755T2 DE 60121755 T DE60121755 T DE 60121755T DE 60121755 T DE60121755 T DE 60121755T DE 60121755 T2 DE60121755 T2 DE 60121755T2
Authority
DE
Germany
Prior art keywords
security
packets
module
ipsec
sas
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60121755T
Other languages
English (en)
Other versions
DE60121755D1 (de
Inventor
Seppo Lindborg
Esa Turtiainen
Göran SCHULTZ
Juha-Petri KÄRNÄ
Tommi Linnakangas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of DE60121755D1 publication Critical patent/DE60121755D1/de
Publication of DE60121755T2 publication Critical patent/DE60121755T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht auf IPSec-Verarbeitung und insbesondere, obwohl nicht notwendigerweise auf eine IPsec-Verarbeitung bei zwischengeschalteten Netzwerkvorrichtung wie etwa Routern.
  • Hintergrund der Erfindung
  • IPSec (Internet-Protocol Sicherheit) ist ein Satz von Protokollen, die von der Internet Engineering Taskforce (RFC2401) definiert sind, welcher einen Sicherheitsmechanismus für IP und gewisse höhere Schichtenprotokolle wie etwa UDP und TCP bereitstellt. IPSec schützt IP-Pakete (oder genauer gesagt IPSec-Pakete) und höhere Schichtenprotokolle während der Übertragung zwischen Peer-Knoten durch Einführen von Ursprungsbeweis und Verschlüsselung.
  • Eines der IPSec-Protokolle ist als "Encapsulating Security Payload" (ESP, eingekapselte Sicherheitsnutzlast) bekannt und stellt Zuverlässigkeit, Datenintegrität und Datenquellen-Authentifizierung von IP-Paketen bereit. Dies erfordert das Einfügen eines ESP-Kopfs nach dem IP-Kopf eines IP-Pakets, aber vor den zu schützenden Daten. Ein ESP-Schwanz wird nach den zu schützenden Daten eingeführt. Ein ESP-Paket wird im Protokollfeld des IP-Kopfs identifiziert. Ein zu ESP-alternatives Protokoll ist als "Authentication Header" (AH, Authentifizierungskopf) bekannt.
  • Um IPSec-Paketen zu gestatten, korrekt eingekapselt und entkapselt zu werden, ist es notwendig, Sicherheitsdienste und einen Schlüssel zwischen einem Knoten, von dem der Verkehr übertragen wird und dem entfernten Knoten, der der beabsichtigte Empfänger des Verkehrs ist, zu assoziieren. Das für diesen Zweck verwendete Konstrukt ist eine "Security Association" (SA, Sicherheits-Assoziierung). SA werden zwischen Peerknoten unter Verwendung eines als "Internet Key Exchange" (IKE, Internet-Schlüsselaustausch)-Mechanismus verhandelt und ihnen wird eine als "Security Parameter Index" (SPI, Sicherheitsparameter-Index) bekannte Identifikation zugewiesen. Die geeignete SA wird dem empfangenden Knoten durch Einschließen des entsprechenden SPI in dem ESP-(oder AH)Kopf bekannt gemacht. Details der existierenden SAs und der entsprechenden SPIs werden in einer Sicherheits-Assoziierungs-Datenbank (SAD) gehalten, die mit jedem IPSec-Knoten assoziiert ist. Solch ein IPSec-System ist in WO99/67390 offenbart.
  • Die genaue Weise, in der IPSec in einem System implementiert wird, hängt zu einem großen Ausmaß von der Sicherheitsstrategie der Organisation ab, die IPSec einzusetzen wünscht. Beispielsweise kann die Organisation Endpunkte (z. B. Anwender-Terminals) spezifizieren, an die IP-Pakete gesendet werden können oder von denen sie empfangen werden können, die für das Verschlüsseln von Paketen zu verwendenden bestimmten Sicherheits-Level etc. Die Strategie wird in einer Sicherheitsvorgehensweisen-Datenbank (SPD, Security Policy Database) gespeichert, die mit jedem IPSec-Knoten assoziiert ist. Typischerweise wird die SPD unter einer Mehrzahl von Entitäten des IPSec-Knotens distributiert.
  • Zusammenfassung der Erfindung
  • Im Falle von zwischengeschalteten Netzwerkvorrichtungen, z. B. Routern, gibt es einen Bedarf an Durchsatz eines hohen Verkehrsvolumens. Die Implementation von IPSec in solchen Vorrichtungen sollte nicht in irgendeiner ernsthaften Beeinträchtigung der Durchsatzraten resultieren. Dies wird am Besten erzielt, indem IPSec-Verkehr unter Verwendung einer Mehrzahl von IPSec-Prozessoren, die parallel arbeiten, gehandhabt wird. Eine Parallelverarbeitung kann auch vorteilhafterweise eingesetzt werden, um IPSec am Endknoten zu handhaben.
  • Gemäß einem ersten Aspekt der vorliegenden Erfindung wird eine Netzwerkvorrichtung zum Implementieren von IPSec bereitgestellt und umfasst:
    zumindest einen IP-Forwarder, der dafür eingerichtet ist, IP-Pakete zu empfangen, von denen jedes mit einer Sicherheits-Assoziierung (SA) assoziiert ist, um die Destinationen der Pakete zu bestimmen und die Pakete an ihre Destinationen weiterzuleiten;
    eine Mehrzahl von Sicherheitsprozedurmodulen, die mit dem/den IP-Forwarder(n) gekoppelt und dafür eingerichtet sind, Sicherheitsprozeduren für empfangene Pakete parallel zu implementieren; und
    eine Sicherheitssteuerung, die dafür eingerichtet ist, vermittelte SAs unter den Sicherheitsprozedurmodulen zu allozieren und die Sicherheitsprozedurmodule und den/die IP-Forwarder von der Allozierung zu unterrichten, wodurch der/die IP-Forwarder IP-Pakete an das die assoziierte SA implementierende Sicherheitsmodulmodul senden kann.
  • Ausführungsformen der vorliegenden Erfindung stellen einen effizienten Mechanismus zum parallelen Handhaben mehrerer SAs bereit, wie es etwa für einen Hochdurchsatz-IP-Router nötig ist. Der Mechanismus versucht, die an existierenden IPSec-Protokollen und Hardware erforderlichen Modifikationen zu minimieren. Die Netzwerkvorrichtung, in der die Erfindung eingesetzt werden kann, kann beispielsweise eine zwischengeschaltete Netzwerkvorrichtung (z. B. ein Router) oder ein Endknoten (z. B. ein Host) sein.
  • Bei gewissen Ausführungsformen der vorliegenden Erfindung werden die Sicherheitsprozedur-Module miteinander gekoppelt, um das Weiterleiten eines IP-Pakets aus einem Sicherheitsprozedur-Modul an ein anderes zu gestatten.
  • Vorzugsweise ist der Sicherheits-Controller für das Erzeugen und Modifizieren von IP-Paketfiltern im/in den IP-Forwarder(n) verantwortlich, wobei die Filter für das Routen von IP-Paketen an die Sicherheitsprozedur-Module verantwortlich sind. Das Filtern von Paketen wird unter Verwendung einer oder mehrerer Selektoren durchgeführt. Bevorzugtererweise ist einer der Selektoren der Sicherheitsparameter-Index (SPI), der eine SA identifiziert und der im Kopf (Header) der IP-Pakete enthalten ist.
  • Vorzugsweise ist der Sicherheits-Controller mit einem Internet-Schlüsselaustausch(IKE)-Modul gekoppelt, das für das Aushandeln von SAs mit Peer-IKE-Modulen verantwortlich ist. Der Sicherheits-Controller ist dafür ausgelegt, von den IKE-Modulen Details von vereinbarten SAs zu empfangen.
  • Es wird erkannt werden, dass der/die IP-Forwarder, die Sicherheitsprozedur-Module und/oder der Sicherheits-Controller als Software oder als Hardware implementiert werden können, oder in einer Kombination von Hardware und Software.
  • Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein Verfahren zum Verarbeiten von IP-Paketen in einer Netzwerkvorrichtung bereitgestellt, wobei das Verfahren umfasst:
    Allozierung von vermittelten SAs unter einer Mehrzahl von Sicherheitsprozedurmodulen, die dafür eingerichtet sind, Sicherheitsprozeduren für empfangene IP-Pakete zu implementieren;
    Unterrichten der Sicherheitsprozedurmodule und zumindest eines IP-Forwarders von der Allozierung; und
    Empfangen von IP-Paketen an dem/den IP-Forwardern, Identifizieren der mit den Paketen assoziierten SAs und Weiterleiten der Pakete an die, die assoziierten SAs implementierenden Sicherheitsprozedurmodule.
  • Kurze Beschreibung der Zeichnungen
  • 1 illustriert schematisch ein virtuelles privates Netzwerk (VPN), das ein Intranet umfasst;
  • 2 illustriert schematisch die Architektur eines Routers des VPN von 1; und
  • 3 ist ein Flussdiagramm, das ein Verfahren zum Verarbeiten von Paketen am Router von 2 illustriert.
  • Detaillierte Beschreibung einer bevorzugten Ausführungsform
  • Das Verfahren, das nunmehr beschrieben wird, verwendet die in den nachfolgenden Dokumenten beschriebenen Merkmale:
    [IPSec] RFC 2401, Sicherheits-Architektur für das Internet-Protokoll, November 1998; [REKEY] Internet Entwurf, IPSec-Wiederverschlüsselungs-Themen; [IKE] RFC 2409, der Internetschlüsselaustausch (IKE), November 1998; [ISAKMP] RFC 2408, Internet Sicherheits-Assoziierungs- und Schlüsselverwaltungs-Protokoll, November 1998; [INTDOI] RFC 2407, die Internet-Sicherheits-Domäne der Interpretation für ISAKMP, November 1998. Für ein vollständigeres Verständnis des Verfahrens sollte ein Bezug auf diese Dokumente genommen werden.
  • 1 illustriert ein typisches Szenario, bei dem IPSec verwendet werden kann. Ein lokales Unternehmensbereichs-Netzwerk (LAN) 1 ist über einen Router/eine Firewall 2 mit dem Internet 3 verbunden. Entfernte Hosts können mit dem Router 2 über das Internet 3 verbunden sein. Unter Verwendung von IPSec zum Steuern der Kommunikation zwischen dem Router 2 und den entfernten Hosts 4 (und damit zwischen den entfernten Hosts 4 und lokalen Hosts 5) kann ein virtuelles privates Netzwerk (VPN) etabliert werden. Jeder entfernte Host 4, der wünscht, am VPN teilzuhaben, muss zumindest ein Paar SAs (eine zum Senden von Daten und eine zum Empfangen von Daten) mit dem Router 2 vor dem Austauschen von anwender-erzeugtem Verkehr mit dem LAN 5 aushandeln. Die Verhandlung wird unter Verwendung von IKE gemäß der in einer vorgehensweisen Datenbank (PD) 6 definierten Sicherheitsvorgehensweise (Nebenbemerkung: die PD kann tatsächlich unter den verschiedenen IPSec-Entitäten des Routers 2 verteilt sein) durchgeführt. Das Ergebnis ist, dass für jeden am VPN teilhabenden entfernten Host 4 der Router 2 einen Satz von SAs seiner Sicherheits-Assoziierungs-Datenbank (SAD) 7 hält, die auch eine distributierte Datenbank sein kann.
  • 2 illustriert die IPSec-Architektur, die vom Router 2 verwendet wird. Jede der Komponenten dieser Architektur wird nunmehr nacheinander beschrieben.
  • MGMT
  • Ein Management-Modul (MGMT) handhabt die Verteilung aller Management-Informationen. Die Informationen beinhalten statische IP-Routen (1), manuelle IPSec-SAs und IPSec-Vorgehensweisen (2), IKE-Vorgehensweisen (3) und IP-Filterinformationen (4). Das MGMT-Modul ist ein existierendes Modul, obwohl wahrscheinlich ist, dass einige Änderungen notwendig sind, um diese Ausführungsform der Erfindung zu implementieren. Die Verteilung von IPSec-Vorgehensweisen muss beispielsweise von dem früheren IPFW/IPSec-Modulen zum neuen Sicherheits-Controller-Modul (siehe unten) geändert werden. Das Sicherheits-Controller-Modul kann auch andere Management-Informationen erfordern, um seine Funktionalitäten auszuführen.
  • IPRT
  • Ein IP-Routing-Verfahren(IPRT)-Modul verwaltet alle IP-Routing-Informationen im System. Dieses Modul verteilt die Routen an alle IP-Forwarder (IPFW) und es empfängt Routen entweder vom MGMT-Modul oder durch dynamische Routen-Protokolle (z. B. RIP). Es sind keine Änderungen an dem existierenden IPRT-Modul erforderlich.
  • IPFW
  • Ein Satz von IP-Forwarder(IPFW)-Modulen entscheidet, wohin jedes individuelle Paket innerhalb des Systems gesendet wird. Diese Module haben die Verantwortlichkeit zur Passung je des Paketes gegen IP-Filter (siehe unten) zum Identifizieren der lokalen Routing-Information für die Zielbestimmung der Pakete und zum Weiterleiten der Pakete zu ihren Zielbestimmungen. Die Zielbestimmung kann ein Interface-Prozess (z. B. LAN oder PPP), ein lokaler UDP/TCP/ICMP/etc. Handhabungs-Prozess oder ein anderer IPFW sein.
  • Um das IPFW-Modul so zu verbessern, dass es den hier beschriebenen verteilten IPSec-Verarbeitungs-Mechanismus handhabt, müssen gewisse Änderungen vorgenommen und Merkmale hinzugefügt werden. Ein IPFW-Modul muss wissen, ob eine IPSec-Verarbeitung für ein Paket notwendig ist oder nicht. Eine Weise zur Einführung der IPSec-Handhabung im IPFW besteht in der Verwendung von IP-Filtern. Das Sicherheits-Controller(SC)-Modul führt daher dynamisch spezielle IP- Filter in die IPFW-Module ein. Diese Filter passen zu den "Selektoren" in den Paketen gemäß der IPSec-Vorgehensweise, die ausgegeben wird. Der Filter weist auf den Sicherheits-Prozessor (SecProc), die die IPSec-Verarbeitung für ein Paket handhabt. Somit können durch Vornehmen nur einer relativ geringen Modifikation am Filter-Mechanismus in den IPFW-Modulen alle Pakete, die eine IPSec-Verarbeitung erfordern, zu SecProcs geroutet werden. Das SC-Modul aktualisiert die Filterdaten, so dass die SecProc-Allozierung immer korrekt ist. Das SC-Modul weist stets ein SecProc als das Standard-SecProc das vom IPFW-Modul verwendet wird, Filtern zu. Falls es keine SAs gibt, wird das Standard-SecProc zum Handhaben von Paketen verwendet und es ist dann die Verantwortung von diesem SecProc, herauszufinden, wie eine neue SA erzeugt wird.
  • Die Filter in den IPFWs müssen einen Sicherheitsparameter-Index (SPI) als einen der Selektoren aufweisen. Mit SPI als Selektor können die eingehenden IPSec-Pakete zu den richtigen SecProcs geroutet werden. Alle eingehenden IPSec-Pakete (gerichtet an den Router selbst), die nicht zum IPSec-Filter passen, können fallengelassen werden.
  • Es wird erkannt werden, dass im hier beschriebenen Mechanismus ein IPFW-Modul keinen Zugriff entweder auf die SAD oder SPD erfordert. Stattdessen trifft es nur Entscheidungen basierend auf IP-Filtermechanismen. Auf diese Weise können die Änderungen am IPFW auf einem Minimum gehalten werden. Falls IPFW in Hardware implementiert wird, sind die einzigen erforderlichen Änderungen:
    • – die Einführung von IPSec-Selektoren im Filter-Mechanismus; und
    • – eine Änderung beim Paket-Weiterleit-Pfad an den SecProc.
  • PPP/LAN
  • Vorrichtungsprozesse wie PPP oder LAN versorgen die IPFW-Module mit Paketen. Auch empfangen sie geroutete Pakete von den IPFW-Modulen. Die Vorrichtungsprozesse müssen keinerlei Kenntnisse über IPSec aufweisen. Vorrichtungsprozesse erfordern keinerlei Änderungen, um den hier beschriebenen Mechanismus zu implementieren.
  • IKE
  • Wie aus der obigen Diskussion ersichtlich sein wird, sorgt das Internetschlüssel-Austausch(IKE)-Modul für die SA-Verhandlungen mit anderen Knoten im VPN. Das IKE-Modul speichert IKE-Vorgehensweisen und handelt IKE SAs gemäß diesen Vorgehensweisen aus. Das IKE-Modul kommuniziert mit dem SC-Modul unter Verwendung einer verbesserten PF_KEY v2-Schnittstelle (8). Das IKE-Modul hat keine IPSec-Vorgehensweise, macht aber Anfragen an das SC-Modul über IPSec-Verbindungen. Die zwei Szenarien, in denen das IKE-Modul involviert sein kann, sind ein erstes, in dem das IKE-Modul eine IPSec SA-Verhandlung initiiert und ein zweites, in welchem das IKE-Modul auf eine Initiierungsanforderung von einem Peer-IKE-Modul (eines anderen IPSec-Knotens) antwortet.
  • IKE-Modul als Initiator:
    • 1) Das IKE-Modul empfängt IPSec-SA-Verhandlungsanforderungen aus dem SC-Modul;
    • 2) das IKE-Modul überprüft, ob die Anforderung gemäß den verfügbaren IKE-Vorgehensweisen gestattet ist;
    • 3) das IKE-Modul handelt IPSec-SAs mit dem Überwachungs-IKE-Modul aus; und
    • 4) das IKE-Modul gibt die sich ergebenden IPSec-SAs an das SC-Modul zurück.
  • IKE-Modul als Responder:
    • 1) das IKE-Modul empfängt Verhandlungsanforderungen aus dem Überwachungs-IKE-Modul;
    • 2) das IKE-Modul überprüft, ob die Anfrage gemäß den verfügbaren IKE-Vorgehensweisen gestattet ist;
    • 3) das IKE-Modul fragt das SC-Modul, ob die vorgeschlagene IPSec-Verbindung gemäß den verfügbaren IPSec-Vorgehensweisen gestattet ist;
    • 4) das IKE-Modul handelt mit dem Überwachungs-IKE-Modul IPSec-SAs aus; und
    • 5) das IKE-Modul gibt neue IPSec-SAs an das SC-Modul.
  • Der IKE-Prozess mit dem Vorgehensweisen-Manager (PM) sollte keinerlei Änderungen erfordern, außer insoweit, als der PF_KEY verwendet wird für die Schnittstelle mit dem SC, das heißt, nicht IPFW/IPSec direkt.
  • SC
  • Das Sicherheits-Controller(SC)-Modul handhabt die Verteilung von IPSec-SAs an unterschiedliche SecProc-Module. Es speichert die IPSec-Vorgehensweisen (2) und weiß, in welchen SecProc-Modulen alle IPSec-SAs lokalisiert sind. Wenn neue SAs erzeugt werden, wählt das SC-Modul die SecProc-Module aus, in denen die SAs platziert werden (10). Das SC-Modul installiert auch die folgenden Arten von IP-Filtern in den IPFW-Modulen.
  • Die Filter, welche IPSec-Vorgehensweise für ausgehende Pakete spezifizieren; diese Filter wählen die SecProcs aus, welche die IPSec-Verarbeitung handhaben. Diese Filter werden installiert, wenn IPSec-Vorgehensweisen erzeugt werden. Sie werden nur entfernt, falls IPSec-Vorgehensweisen entfernt werden oder sich die Konfiguration so ändert, dass das IPFW-Modul sich nicht um Pakete kümmern muss, welche zu den existierenden IPSec-Vorgehensweisen passen. Ein weiterer Satz von Filtern wird verwendet, welcher zu ausgehenden IPSec-SAs passt. Diese Filter gestatten es Paketen, innerhalb einer gegebenen SA sortiert zu werden und dass vardefinierte Aktionen für die sortierten Pakete ergriffen werden.
  • Die Filter, die zu eingehenden IPSec-Paketen passen; jede der eingehenden IPSec-SA erfordert Filter in jenen IPFW-Modulen, welche die IPSec-Pakete mit der SA handhaben müssen (ein gewisses spezifisches SPI-Zielbestimmungs-Adresspaar). Diese Filter werden nur installiert, wenn die SAs erzeugt werden oder wenn sich die Konfiguration so ändert, dass das IPFW-Modul keine Rücksicht auf Pakete nehmen muss, welche zu den SAs passen, die gemäß existierenden IPSec-Vorgehensweisen erzeugt sind.
  • Jedesmal, wenn neue SAs erzeugt oder alte SAs gelöscht werden, muss das SC-Modul Informationen in den IPFW-Modulen (9) aktualisieren. Genauer gesagt, aktualisiert das SC-Modul IP-Filterinformationen, so dass die Filter auf den SecProc weisen, welcher die SA besitzt, oder, falls in dem Moment keine SA existiert, weisen die Filter auf die Standard-SecProc.
  • Die Prozedur, mit der der SC geeignete SecProc-Module auswählt, wird durch einige Eigenschaften der SecProcs beeinflusst. Beispielsweise muss das SC-Modul wissen, wieviel Last die SecProc-Module im System aufweisen. Um die IPSec-Verarbeitung so gleichmäßig wie möglich zwischen unterschiedlichen Prozessoren der Boards im System zu verteilen, sollte das SC-Modul das SecProc-Modul auswählen, das zum Zeitpunkt der SA-Erzeugung die geringste Last aufweist. Natürlich sollte das SC-Modul verschiedene Strafen (Mehraufwandszuschläge) berücksichtigen, die das System einführt, wenn Pakete von Prozess zu Prozess gesendet werden. Falls beispielsweise Pakete zwischen Prozessen gesendet werden, die auf unterschiedlichen Karten lokalisiert werden, ist die Strafe viel höher als dann, wenn Pakete zwischen Prozessen auf derselben Karte geschickt werden (natürlich abhängig von der Gesamtsystem-Architektur).
  • Das SC-Modul sollte in der Lage sein, SAs zu redistributieren, falls sich die Systemlast drastisch ändert.
  • Auch muss das SC-Modul auf die SPD für IPSec-Vorgehensweisen zugreifen und die SAD für alle SAs. Das SC-Modul ist ein vollständig neues Modul in dieser Architektur.
  • SecProc
  • Die SecProc-Module können als die Hauptmodule bei der IPSec-Paket-Handhabung angesehen werden. Sie erfordern einen Zugriff auf sowohl IPSec-SAD als auch SPD, da es in der Verantwortung der SecProcs liegt, alle IPSec-Vorgehensweisen-Nachschlagungen zu machen und Entscheidungen darüber zu treffen, wie oder wer die IPSec-Verarbeitung vornehmen sollte.
  • Ein SecProc-Modul ist ein Prozess, der die IPSec-verschlüsselung, Entschlüsselung und Authentisierung tatsächlich durchführt, entweder unter Verwendung von Software oder einer dedizierten Hardware. Es verfügt über Informationen über die SAs, die es handhaben muss. Es speichert die SA und alle zur Verarbeitung notwendigen Informationen, wie Sequenzanzahl-Zähler, Statistiken und welche Algorithmen und Schlüssel verwendet werden sollen.
  • Ein SecProc-Modul muss auch wissen, welche SecProc-Module die anderen SAs handhaben. Dies ist wichtig, falls SA-Bündel verwendet werden (siehe unten). Es kann erforderlich sein, dass ein SecProc-Modul das Paket an ein anderes SecProc-Modul (13) weiterleitet, das andere SAs handhabt. Da das SecProc-Modul Zugriff auf die IPSec-Vorgehensweise und SA-Informationen aufweist, kann dieses Modul sehen, welches die SAs sind, die für eine gegebene Vorgehensweise ausgeteilt werden müssen. Das erste SecProc-Modul, das ein Paket verarbeitet, muss dem nächsten SecProc-Modul mitteilen, was der Pfad für das Paket ist (das nachfolgende SecProc-Modul und SAs, SA-SecProc-Paare). Jedes SecProc-Modul entfernt dann seine eigenen Paare (wenn es das Paket verarbeitet hat) und leitet das Paket an das nächste SecProc-Modul weiter. Der Vorteil dieser Prozedur ist, dass das Nachschlagen der Vorgehensweise nur einmal vorgenommen wird (vom ersten SecProc-Modul).
  • Unter einigen Umständen können mehrere Level an Sicherheit auf IPSec-Pakete angewendet werden. Dies führt zu einem "Bündel" von SAs für eine gegebene Kommunikation. Falls die gesamte IPSec-Verarbeitung nur unter Verwendung von Software vorgenommen wird, ist es besser, jede SA in einem Bündel unter Verwendung desselben SecProc-Moduls vorzunehmen. Somit wird eine unnötige Paketweiterleitung vermieden. Falls auf der anderen Seite dedizierte Hardware verwendet wird, kann es Probleme beim Handhaben aller SAs in einem SecProc-Modul geben. Falls beispielsweise ein SecProc-Modul Hardware verwendet, die nur in der Lage ist, einige der im Bündel benötigten Algorithmen auszuführen, kann das SecProc-Modul nicht verwendet werden, um das gesamte SA-Bündel zu handhaben.
  • Es kann weise sein, nur ein SecProc-Modul für alle SAs zu verwenden, die eine spezifische Algorithmus-Kombination brauchen, die von einer gewissen Hardware gehandhabt werden kann. Auf diese Weise kann die Hardware am effizientesten verwendet werden.
  • Es liegt in der Verantwortung des SC-Moduls, die korrekte SA-Verteilung über die SecProc-Module zu bestimmen. Jedes SecProc-Modul muss beim SC-Modul registriert werden. Während des Registrierungs-Prozesses teilt das SecProc-Modul dem SC-Modul mit, zu was es in der Lage ist (Algorithmen, Schlüssellängen, etc.).
  • Ein SecProc-Modul empfängt immer IP-Pakete entweder von einem anderen SecProc-Modul (das heißt im Falle eines SA-Bündels oder wo ein IPFW-Modul Pakete an das falsche SecProc-Modul gesendet hat und dieses SecProc-Modul die Pakete an das korrekte SecProc-Modul weiterleitet) oder von einem IPFW- Modul. Ein SecProc-Modul muss in der Lage sein, die IP-Pakete an das korrekte IPFW-Modul (oder Vorrichtungs-Prozess, PPP, LAN) nach IPSec-Verarbeitung weiterzuleiten. Ein SecProc-Modul kann ein Standard-IPFW-Modul aufweisen, an das alle Pakete weitergeleitet werden. Das SC-Modul muss dieses IPFW-Modul einstellen, welches weiß, wie das Paket weitergeleitet wird. Es ist auch möglich, dem SecProc-Modul zu gestatten, die Weiterleitungsentscheidung selbst zu treffen (Routing-Tabellen). Dies ermöglicht es dem SecProc-Modul die Pakete direkt an einen Vorrichtungs-Prozess zu senden, falls dieser Prozess für das SecProc-Modul sichtbar ist. Somit kann ein Weiterleitungsschritt vermieden werden.
  • Das aktuelle kombinierte IPFW/IPSec-Modul wird in ein IPFW-Modul und ein IPSec-Modul, das heißt ein SecProc-Modul getrennt.
  • 3 zeigt ein Flussdiagramm, welches das Verfahren des Betriebs des IPSec-Routers weiter illustriert.
  • Es wird von Fachleuten erkannt werden, dass verschiedene Modifikationen an den oben beschriebenen Ausführungsformen vorgenommen werden können, ohne vom Schutzumfang der vorliegenden Erfindung abzuweichen.

Claims (7)

  1. Netzwerkvorrichtung zum Implementieren von IPSec, umfassend: zumindest einen IP-Forwarder, der dafür eingerichtet ist, IP-Pakete zu empfangen, von denen jedes mit einer Sicherheits-Assoziierung (SA) assoziiert ist, um die Destinationen der Pakete zu bestimmen und die Pakete an ihre Destinationen weiterzuleiten; eine Mehrzahl von Sicherheitsprozedurmodulen, die mit dem/den IP-Forwarder(n) gekoppelt und dafür eingerichtet sind, Sicherheitsprozeduren für empfangene Pakete parallel zu implementieren; und eine Sicherheitssteuerung, die dafür eingerichtet ist, vermittelte SAs unter den Sicherheitsprozedurmodulen zu allozieren und die Sicherheitsprozedurmodule und den/die IP-Forwarder von der Allozierung zu unterrichten, wodurch der/die IP-Forwarder IP-Pakete an das die assoziierte SA implementierende Sicherheitsmodulmodul senden kann.
  2. Vorrichtung gemäß Anspruch 1, wobei die Sicherheitsprozedurmodule miteinander gekoppelt sind, um das Weiterleiten eines IP-Pakets von einem Sicherheitsprozedurmodul zu einem anderen zu gestatten.
  3. Vorrichtung gemäß Anspruch 1 oder 2, wobei die Sicherheitssteuerung für das Erzeugen und Modifizieren von IP-Paketfiltern in dem/den IP-Forwarder(n) verantwortlich ist, wobei die Filter für das Routen von IP-Paketen an die Sicherheitsprozedurmodule verantwortlich sind.
  4. Vorrichtung gemäß Anspruch 3, wobei das Filtern von Paketen unter Verwendung eines oder mehrerer Selektoren ausgeführt wird, wobei der oder einer der Selektoren der Sicherheitsparameterindex (SPI) ist, der eine SA identifiziert und der in einem Kopf der IP-Pakete enthalten ist.
  5. Vorrichtung gemäß einem der vorstehenden Ansprüche, wobei die Sicherheitssteuerung mit einem Internet-Schlüssellaustauschmodul (ISA) gekoppelt ist, das für das Vermitteln von SAs mit Gleichrang-ISA-Modulen verantwortlich ist, und die Sicherheitssteuerung dafür eingerichtet ist, vom ISA-Modul Details zu den vermittelten SAs zu empfangen.
  6. Vorrichtung gemäß einem der vorstehenden Ansprüche, wobei der/die IP-Forwarder, die Sicherheitsprozedurmodule, und/oder die Sicherheitssteuerung in Software oder in Hardware oder in einer Kombination von Hardware und Software implementiert sind.
  7. verfahren zum Prozessieren von IP-Paketen in einer Netzwerkvernetzungsvorrichtung, das umfasst: Allozierung von vermittelten Sicherheitsassoziierungen SAs in einer Sicherheitssteuerung, unter einer Mehrzahl von Sicherheitsprozedurmodulen, die dafür eingerichtet sind, Sicherheitsprozeduren für empfangene IP-Pakete parallel zu implementieren; Unterrichten der Sicherheitsprozedurmodule und zumindest eines IP-Forwarders von der Allozierung; und Empfangen von IP-Paketen an dem/den IP-Forwardern, Identifizieren der mit den Paketen assoziierten SAs und Weiterleiten der Pakete an die, die assoziierten SAs implementierenden Sicherheitsprozedurmodule.
DE60121755T 2000-05-24 2001-05-03 Ipsec-verarbeitung Expired - Lifetime DE60121755T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0012475 2000-05-24
GB0012475A GB2365717B (en) 2000-05-24 2000-05-24 IPsec processing
PCT/SE2001/000960 WO2001091413A2 (en) 2000-05-24 2001-05-03 Ipsec processing

Publications (2)

Publication Number Publication Date
DE60121755D1 DE60121755D1 (de) 2006-09-07
DE60121755T2 true DE60121755T2 (de) 2007-08-02

Family

ID=9892169

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60121755T Expired - Lifetime DE60121755T2 (de) 2000-05-24 2001-05-03 Ipsec-verarbeitung

Country Status (9)

Country Link
US (1) US20010047487A1 (de)
EP (1) EP1284076B1 (de)
JP (1) JP4636401B2 (de)
AT (1) ATE334546T1 (de)
AU (1) AU2001256901A1 (de)
CA (1) CA2409294C (de)
DE (1) DE60121755T2 (de)
GB (1) GB2365717B (de)
WO (1) WO2001091413A2 (de)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6708218B1 (en) * 2000-06-05 2004-03-16 International Business Machines Corporation IpSec performance enhancement using a hardware-based parallel process
US7181012B2 (en) 2000-09-11 2007-02-20 Telefonaktiebolaget Lm Ericsson (Publ) Secured map messages for telecommunications networks
US7003118B1 (en) * 2000-11-27 2006-02-21 3Com Corporation High performance IPSEC hardware accelerator for packet classification
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US7203957B2 (en) * 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
FR2840137B1 (fr) * 2002-05-22 2004-09-10 Sistech Sa Outil de securisation de messages electroniques
US7437553B2 (en) * 2002-10-15 2008-10-14 Alten Alex I Systems and methods for providing autonomous security
JP4437650B2 (ja) * 2003-08-25 2010-03-24 株式会社日立製作所 ストレージシステム
US20150341812A1 (en) 2003-08-29 2015-11-26 Ineoquest Technologies, Inc. Video quality monitoring
US8625455B2 (en) * 2006-10-17 2014-01-07 Ineoquest Technologies, Inc. System and method for handling streaming media
US20050071274A1 (en) * 2003-09-27 2005-03-31 Utstarcom, Inc. Method and Apparatus in a Digital Rights Client and a Digital Rights Source and associated Digital Rights Key
US7826614B1 (en) 2003-11-05 2010-11-02 Globalfoundries Inc. Methods and apparatus for passing initialization vector information from software to hardware to perform IPsec encryption operation
CN100512278C (zh) * 2003-11-13 2009-07-08 中兴通讯股份有限公司 一种把ipsec嵌入到ip协议栈的方法
US7581093B2 (en) * 2003-12-22 2009-08-25 Nortel Networks Limited Hitless manual cryptographic key refresh in secure packet networks
US20050177713A1 (en) * 2004-02-05 2005-08-11 Peter Sim Multi-protocol network encryption system
US7676838B2 (en) * 2004-07-26 2010-03-09 Alcatel Lucent Secure communication methods and systems
US7783880B2 (en) * 2004-11-12 2010-08-24 Microsoft Corporation Method and apparatus for secure internet protocol (IPSEC) offloading with integrated host protocol stack management
US20070006294A1 (en) * 2005-06-30 2007-01-04 Hunter G K Secure flow control for a data flow in a computer and data flow in a computer network
US7962652B2 (en) * 2006-02-14 2011-06-14 International Business Machines Corporation Detecting network topology when negotiating IPsec security associations that involve network address translation
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
US20120317410A1 (en) * 2011-06-08 2012-12-13 Cirque Corporation Protecting data from data leakage or misuse while supporting multiple channels and physical interfaces
CN104247367B (zh) * 2012-03-30 2017-08-04 华为技术有限公司 提升IPsec性能和防窃听安全性
US9729574B2 (en) 2014-02-14 2017-08-08 Alcatel Lucent Seamless switchover for anti-replay connections in multiple network processor systems
US9473466B2 (en) 2014-10-10 2016-10-18 Freescale Semiconductor, Inc. System and method for internet protocol security processing

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
JP2000083055A (ja) * 1998-09-04 2000-03-21 Hitachi Ltd ルータ
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US6505192B1 (en) * 1999-08-12 2003-01-07 International Business Machines Corporation Security rule processing for connectionless protocols
US6725056B1 (en) * 2000-02-09 2004-04-20 Samsung Electronics Co., Ltd. System and method for secure over-the-air provisioning of a mobile station from a provisioning server via a traffic channel

Also Published As

Publication number Publication date
ATE334546T1 (de) 2006-08-15
JP4636401B2 (ja) 2011-02-23
EP1284076B1 (de) 2006-07-26
JP2003534722A (ja) 2003-11-18
GB2365717B (en) 2004-01-21
DE60121755D1 (de) 2006-09-07
WO2001091413A3 (en) 2002-03-28
CA2409294A1 (en) 2001-11-29
AU2001256901A1 (en) 2001-12-03
EP1284076A2 (de) 2003-02-19
CA2409294C (en) 2011-07-12
WO2001091413A2 (en) 2001-11-29
US20010047487A1 (en) 2001-11-29
GB2365717A (en) 2002-02-20
GB0012475D0 (en) 2000-07-12

Similar Documents

Publication Publication Date Title
DE60121755T2 (de) Ipsec-verarbeitung
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE69836271T2 (de) Mehrstufiges firewall-system
DE60104876T2 (de) Prüfung der Konfiguration einer Firewall
DE69827252T2 (de) Architektur für virtuelle privatnetze
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE60025080T2 (de) Gateway und Netzwerk für Identifizierungsmarke vermittelt Medien
DE60116610T2 (de) Netzwerkadressenübersetzungsgateway für lokale netzwerke unter verwendung lokaler ip-adressen und nicht übersetzbarer portadressen
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
CN103650436B (zh) 业务路径分配方法、路由器和业务执行实体
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE69928504T2 (de) Bereitstellung eines sicheren Zugriffs auf Netzwerkdienste
DE102006037499A1 (de) Verfahren und System zum Entdecken und Bereitstellen von Beinahe-Echtzeit-Aktualisierungen von VPN-Topologien
DE60311898T2 (de) Verfahren, um ein Paket von einem ersten IPSeC Klienten zu einem zweiten IPSec Klienten über einen L2TP Tunnel zu übertragen
DE60211287T2 (de) Handhabung von Verbindungen, die zwischen Firewalls umziehen
EP1761081A1 (de) Kommunikationssystem, Vermittlungsknoten-Rechner und Verfahren zur Bestimmung eines Kontrollknotens
DE69636513T2 (de) System zur sicherung des flusses und zur selektiven veränderung von paketen in einem rechnernetz
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
EP1430685B1 (de) Verfahren zur übertragung von daten in einem paketorientierten datennetz
EP3170295B1 (de) Erhöhen der sicherheit beim port-knocking durch externe computersysteme
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
WO2006018329A1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern

Legal Events

Date Code Title Description
8364 No opposition during term of opposition