FI115432B - Skaalautuva ja turvallinen palvelinklusteri IP-liikenteelle - Google Patents

Description

115432

Skaalautuva ja turvallinen palvelinklusteri IP-liikenteelle

Keksinnön ala

Keksintö liittyy yleisesti kuormantasaukseen ja tietoliikennepaket-5 teja kuten IP (Internet protocol) -paketteja käsittelevän palvelinklusterin tietoturvallisuuteen.

Tekniikan tausta

Palvelinklusteri muodostuu joukosta tietokoneita, jotka tarjoavat 10 samaa/samoja palveluita. Tässä patenttihakemuksessa käsiteltävä palvelin-klusteri välittää IP-paketteja päätesolmujen välillä. Se saattaa esimerkiksi toimia yhdyskäytävänä kahden tietoliikenneverkon välillä tai reitittimenä tietoliikenneverkon sisällä.

Palvelinklusterin kuormantasaukseen liittyy useita erilaisia näkö-15 kulmia. Eräs näkökulma on se, että palvelinklusterin yksittäisen palvelimen kuorman pitäisi olla sopivalla tasolla ajatellen kyseisen tietokoneen suoritus-kapasiteettia. Toinen näkökulma on, että palvelinklusterin kuorma pitäisi jakaa palvelimien kesken, jos yksi tai useampi palvelimista on epäonnistunut.

Klusterointi voidaan toteuttaa eri tavoin. Erään tekniikan mukaan 20 palvelimet, joilla kullakin on oma IP-osoitteensa, käyttävät samaa DNS-nimeä : eli aluenimeä (domain name). Palvelimen aluenimen ja palvelimen IP- osoitteen välinen kytkös vaihdetaan kunkin aluenimikyselyn jälkeen käyttäen kiertovuorottelua (round robin). Täten palvelinklusteriin kohdistuvat aluenimi- • •li» ’ kyselyt jakautuvat tasaisesti palvelimien kesken. Tätä tekniikkaa nimitetään ’· | 25 aluenimitekniikaksi. Se toimii hyvin niin kauan kuin yksikään klusterin palvelin ei ole kaatunut, mutta palvelimen kaaduttua käyttäjä voi joutua kirjautumaan •« » uudelleen siihen palveluun, jota oli käyttämässä.

Toisessa tekniikassa ainoastaan yksi IP-osoite kytketään klusteriin ja päätetään dynaamisesti, mikä klusterin palvelin käsittelee tietyn paketin.

30 Tällöin yhden palvelimen kaatuminen ei yleensä edellytä uudelleen kirjautu- . mistä palveluun. Tässä tekniikassa käytetään isäntäpalvelinta, joka vastaan- ottaa kaikki klusterille lähetetyt paketit ja uudelleen lähettää ne palvelimen • » ·;·' renkipalvelimille. Klusterin yksi palvelin on valittu isännäksi ja muut ovat renkejä. Jos isäntäpalvelin kaatuu, valitaan uusi isäntä.

< I t • » 2 115432

Kuormantasaus on kuitenkin vain yksi yksityiskohta määritettäessä ja toteutettaessa palvelinklusteria. Palvelinklusterin pitäisi myös olla skaalau-tuva sekä turvallinen erilaisia hakkerihyökkäyksiä vastaan.

Internetin turvaton ominaislaatu on jouduttanut turvallisten proto-5 kollien kehittämistä. Eräs näistä protokollista on IETF:n (Internet Engineering Task Force) kehittämä IPsec-arkkitehtuuri (the Internet protocol security architecture). Kun palvelinklusteri välittää IP-paketin, se saattaa käyttää IPsec-arkkitehtuuria varmistamaan turvallisen tietoliikenteen päätesolmujen välillä. IPsec toimii paketti-paketilta -periaatteen mukaisesti tarjoten tietotur-10 vaa IP-protokollatasolla. Paketit salakirjoitetaan ja autentikoidaan, kun ne kulkevat IP-pinon kautta. Pakettien salakirjoitus perustuu symmetrisiin sala-kirjoitusalgorimeihin kuten 3DES-algoritmiin. IPsec käyttää pakettien autenti-koinnissa esimerkiksi HMAC-SHA1 ja HMAC-MD5 nimisiä algoritmeja, joissa muodostetaan sanoman sisällön perusteella avain (keyed message digest 15 algorithms).

Diffie-Hellman -avaimenvaihtomenetelmään perustuva IKE (Internet Key Exchange) on menetelmä, josta on muodostunut standardi IPsec-arkkitehtuurissa luotaessa ns. jaettu salaisuus (shared secret) turvattoman tietoliikenneyhteyden yli. Koska Diffie-Hellman -menetelmä on avainten 20 vaihdon yhteydessä haavoittuva ns. mies keskellä -hyökkäyksissä (man-in-, : the-middle attacks), autentikointi suoritetaan käyttäen joko ennalta vaihdettu- 4 · ja avaimia tai julkisia avaimia kuten RSA-menetelmässä.

Turvayhteys (security association) on joukko parametreja, jotka ' [ määrittävät, miten kommunikaatiopaketit eli tässä tapauksessa IP-paketit ; 25 täytyy turvata. Turvayhteys saattaa sisältää myös salaus- ja autentikointi- ·: avaimia ja informaatiota salausalgoritmeista, samoin kuin informaatiota tie- .: tystä salatussa tietoliikenneyhteydessä käytetystä järjestysnumerosta.

IPsec määrittää kaksi vaihtoehtoista turvaprotokollaa, jotka on tar-:* koitettu IP-pakettien suojaamiseen. Niistä ensimmäinen, AH, käyttää otsikko- 30 osaa (Authentication Header) and toinen, ESP, käyttää kapseloitua hyöty-. *. kuormaa (Encapsulated Security Payload).

·;;/ KUVIO 1A esittää autentikoinnissa käytettävää otsikko-osaa 101.

• · '··’ Tässä käsitellään kahta sen kentistä, koska ne liittyvät läheisesti keksintöön.

Tunnettua tekniikkaa esittävistä dokumenteista voidaan löytää esimerkkejä 35 muista otsikko-osan kentistä. SPI (Security Parameters Index) 102 on kenttä • · turvayhteyden identifioivan SPI-numeron tallettamista varten. Toinen kenttä 3 115432 (Sequence Number Field) 103 on tarkoitettu järjestysnumeron tallettamiseen, missä järjestysnumeroa kasvatetaan jokaisen lähetetyn paketin jälkeen.

KUVIO 1B esittää kapseloitua hyötykuormaa (ESP) 104. Myös ESP:n otsikko-osa sisältää SPI-kentän (Security Parameters Index field) 105 5 turvayhteyden identifioivan SPI-numeron tallettamista varten. Vastaavasti järjestysnumerokenttä 106 on tarkoitettu järjestysnumeron tallettamiseen.

AH:ta tai ESP:tä käyttävät turvaprotokollat voivat toimia kahdessa moodissa. Näiden kahden moodin ero on siinä, miten IP-paketin kapselointi on toteutettu. Ensimmäistä moodia nimitetään tunnelimoodiksi ja toista moo-10 dia nimitetään kuljetusmoodiksi.

KUVIO 2A esittää IP-paketin kapselointia tunnelimoodissa. IP-paketti 201 on sijoitettu uuden IP-paketin 202 hyötykuormaan. Uusi IP-paketti sisältää uuden IP-otsikko-osan 203 ja joko AH- tai ESP-otsikko-osan 204.

KUVIO 2B esittää IP-paketin 205 kapselointia kuljetusmoodissa. 15 Joko AH- tai ESP-otsikko-osa 206 on sijoitettu IP-otsikko-osan 207 ja hyöty-kuorman 208 väliin.

“Toistohyökkäys” (replay attack) on järjestelmään kuten palvelin-klusterijärjestelmään kohdistuva epätoivottu toimenpide. Toistohyökkäykses-sä hakkeri lähettää uudelleen autentikoidut paketit. Tämä saattaa aiheuttaa 20 harmia pakettien vastaanottajalle.

: Toistohyökkäys voidaan havaita ja torjua käyttämällä vastaanotto- ikkunaa. Vastaanottoikkuna määrittää, mitkä paketit on jo vastaanotettu ja mitkä eivät. Vastaanottoikkunan pitäisi sisältää ainakin 32 paikkaa pakettien , ,* järjestysnumeroille. Nämä järjestysnumerot ovat nousevassa suuruusjärjes- 25 tyksessä.

KUVIO 3 esittää esimerkin vastaanottoikkunasta 301. Rasti 302 symboloi, että järjestysnumeroa ei ole vielä vastaanotettu palvelimella. Kun palvelin vastaanottaa paketin ja lukee paketin järjestysnumeron, on olemassa , neljä erilaista vaihtoehtoa: 1) jos numero on pienempi kuin vasemmanpuolei- 30 sin numero 303, numero on virheellinen, 2) jos numero on vasemmanpuolei-; \f simman numeron 303 ja oikeanpuoleisimman 304 numeron väliltä ja mainittu numeroa ei ole vielä vastaanotettu, numero on korrekti ja merkitään vastaan- * · ·;*’ otetuksi, 3) jos numero on vasemmanpuoleisimman numeron 303 ja oikean- ; puoleisimman 304 numeron väliltä ja mainittu numero on jo vastaanotettu, 35 numero on epäkorrekti, 4) jos numero on suurempi kuin oikeanpuoleisin numero 304, numero on korrekti. Viimeisimmässä tapauksessa vastaanotto- , 115432 ikkunaa päivitetään seuraavasti: vasemmanpuoleisin numero 303 jätetään pois ja loput numeroista siirretään vasemmalle ja paketista luettu numero sijoitetaan vastaanottoikkunan oikeanpuoleisimmaksi numeroksi.

Kun palvelinklusteri käyttää DNS-tekniikkaa klusterointiin, se to-5 teuttaa IPsec-ominaisuuden siten, että turvayhteys on sidottu renkipalvelimen IP-osoitteeseen. Näin ollen uusi turvayhteys täytyy muodostaa joka kerta, kun IP-osoite muuttuu DNS-tekniikan mukaisesti. Tämä edellyttää laskennallisesti raskasta avainten vaihtoa käyttäjän ja klusterin välillä. Lisäksi klusterin palvelimien täytyy jakaa informaatio siitä, miten käytössä olevat tietoliikenne-10 yhteydet on turvattu. Informaation jakaminen muodostuu ongelmaksi, koska turvayhteyksiä täytyy päivittää paketti paketilta. Jos turvayhteyksiä ei päivitetä jokaisen paketin jälkeen, on olemassa mahdollisuus toistohyökkäykseen klusteria vastaan. Jos toisaalta palvelimet päivitetään jokaisen paketin jälkeen, nämä päivitykset saattavat aiheuttaa ylikuormaa tukkien koko klusterin. 15 Tunnetun tekniikan ensimmäinen haittapuoli on että IP-paketti- pohjaisessa dataliikenteessä käytetyt palvelinklusterit epäonnistuvat ainakin yhden seuraavaksi lueteltavien laatuvaatimusten täyttämisessä: luotettavuus, skaalautuvuus ja turvallisuus.

Tunnetun tekniikan toinen haittapuoli on että turvayhteyksien päivi-20 tystarve aiheuttaa palvelinklusterissa korkean kuorman, mikä tekee palvelin-klusterista tehottoman.

Keksinnön lyhyt yhteenveto

Keksinnön päätavoite on määrittää sekä toteuttaa palvelinklusteri, 25 joka on samaan aikaan luotettava, skaalautuva, tehokas ja turvallinen. Tämä ” tavoite saavutetaan keksinnöllisen pakettikäsittelymenetelmän avulla.

Menetelmä soveltuu isäntä- ja ainakin yhdestä renkipalvelimesta muodostuvaan palvelinklusteriin. Isäntäpalvelin vastaanottaa paketin, joka : sisältää yhteyden järjestysnumeron. Isäntäpalvelin lukee bittejä järjestysnu- :30 merosta ja syöttää bitit jakofunktioon, joka tuottaa tuloksena renkipalvelimen . tunnisteen. Jakofunktio on sellainen, että se jakaa saman yhteyden paketit ainakin kahdelle palvelimelle. Tällöin yhden palvelimen kaatuminen ei tavaili- * · •; · ‘ sesti katkaise yhteyttä, mikä tekee palvelinklusterista luotettavan.

35 Isäntäpalvelin välittää vastaanotetun paketin sille rengille, jonka * · tunnisteen jakofunktio tuotti. Renki autentikoi paketin ja tarkistaa vastaanotto- - 115432 o ikkunaa käyttämällä, onko paketin järjestysnumero korrekti. Vastaanottoikku-nan sijasta renki saattaa käyttää jotain toista sopivaa tietorakennetta. Mikäli autentikointi päättyy onnistuneesti ja järjestysnumero on korrekti, renki välittää käsittelemänsä paketin vastaanottajalle.

5 Menetelmän lisäksi keksintö määrittää palvelinklusterin ja jako- funktion.

Eräs tärkeä ominaisuus on, että jakofunktio tuottaa tuloksenaan aina saman rengin tunnisteen vasteena samoille järjestysnumerosta luetuille biteille.

10 Toinen tärkeä ominaisuus on, että vastaanottoikkunat on sijoitettu renkipalvelimiin ja jakofunktio on sellainen, että rengit saavat aina tiettyyn numeroavaruuteen kuuluvat järjestysnumerot.

Nämä kaksi ominaisuutta tarvitaan torjumaan toistohyökkäyksiä, kun mikään palvelinklusterin palvelin ei ole kaatunut tai epäonnistunut muulla 15 tavalla.

Kolmas tärkeä ominaisuus on, että isännällä on laskuri jokaiselle tietoliikenneyhteydelle/turvayhteydelle, missä laskuri tallentaa suurimman havaitun järjestysnumeron. Turvayhteyteen liittyviä arvoja tarvitaan mikäli palvelinklusteri joutuu väliaikaiseen muutostilaan.

20 Neljäs tärkeä ominaisuus on se, että renkien vastaanottoikkunat ; sisältävät suurimmat autentikoidut järjestysnumerot. Jos isäntäpalvelin kaa- • «t tuu, valitaan uusi isäntä. Uusi isäntä kerää suurimmat autentikoidut järjestys-’ · · \ numerot ja muodostaa uuden jakofunktion.

' Kolmas ja neljäs ominaisuus tarvitaan, jotta voidaan torjua toisto- • i 25 hyökkäykset, kun jokin palvelinklusterin palvelimista on kaatunut.

* * · .* Kuvioluettelo

Seuraavassa keksintöä selostetaan yksityiskohtaisemmin oheisten ·· kaaviollisten kuvioiden avulla, joista /··. 30 • · . ·. kuvio 1A esittää autentikoinnissa käytettävää otsikko-osaa AH, ·'·; ·' kuvio 1B esittää kapseloitua turvallista hyötykuormaa ESP, kuvio 2A esittää IP-paketin kapselointia tunnelimoodissa, kuvio 2B esittää IP-paketin kapselointia kuljetusmoodissa, 35 kuvio 3 esittää vastaanottoikkunaa, kuvio 4 esittää menetelmävaiheita, kun palvelinklusteri on vakaa, β 115432 6 kuvio 5 esittää esimerkin järjestysnumeron käytöstä kuormantasauksessa, Kuvio 6 esittää esimerkin palvelinklusterista,

Kuvio 7 esittää esimerkin pakettikäsittelystä, kuvio 8 esittää menetelmävaiheita, kun palvelinklusteri on muutostilassa.

5

Keksinnön yksityiskohtainen selostus

Menetelmä olettaa, että asiakassolmun ja palvelinklusterin välille luodaan ainakin yksi tietoliikenneyhteys ja turvayhteys ja että asiakassolmu asettaa nousevan järjestysnumeron jokaiseen pakettiin, jonka se lähettää 10 palvelinklusteriin. Järjestysnumero sijoitetaan kuviossa 1A esitettyyn kenttään 103 tai kuviossa 1B esitettyyn kenttään 106.

KUVIO 4 esittää menetelmävaiheita vakaassa tilassa. Palvelin- klusterin isäntäpalvelin vastaanottaa 401 paketin ja lukee 402 esimerkiksi järjestysnumeron bitit tietystä paketin mukana vastaanotetusta informaatiopa- 15 lasta. Isäntä ei välttämättä lue kaikkia tiettyyn informaatiopalaan kuuluvia bittejä. Isäntä syöttää 403 mainitut bitit jakofunktioon saadakseen renkipalve- limen tunnisteen. Jakofunktio hajauttaa saman tietoliikenneyhteyden paketit ainakin kahdelle palvelimelle. Isäntä saattaa osallistua pakettikäsittelyyn eli isäntä saattaa toimia myös renkinä. Siinä tapauksessa jakofunktio hajauttaa 20 paketteja myös isännälle. Mikäli isäntä ei osallistu pakettikäsittelyyn, palve- .·, : linklusteri sisältää edullisesti ainakin kaksi renkipalvelinta. Turvallisuuden varmistamiseksi jakofunktio tuottaa renkipalvelimen tunnisteen sellaisella '*. tavalla, että samat bitit tuottavat tuloksena aina saman tunnisteen. Isäntä . . välittää 404 vastaanotetun paketin renkipalvelimelle. Näitä neljää vaihetta ; 25 voidaan pitää menetelmän päävaiheina. Loput menetelmävaiheet suoritetaan * * » '· " siinä renkipalvelimessa, jonka tunnisteen jakofunktio tuotti. Renkipalvelin .,.: autentikoi 405 paketin käyttäen tunnettua algoritmia kuten HMAC-SHA1 :tä tai HMAC-MD5:tä. Jos autentikointi epäonnistuu, paketti hylätään 406. Muutoin renki tarkistaa 407 järjestysnumeron käyttäen vastaanottoikkunaa kuviossa 3 30 esitetyllä tavalla. Jos numero on vastaanottoikkunan perusteella virheellinen, . paketti hylätään 406. Muutoin paketti välitetään 408 rengiltä paketin vastaan- ottajalle.

• · ; On tärkeää, että käytettävä jakofunktio määrittää, mitkä järjestys- 35 numerot on tarkistetaan vastaanottoikkunassa. Tällöin kukin renkipalvelin käsittelee paketit, joiden järjestysnumero kuuluu tiettyyn numeroavaruuteen.

7 115432

Esimerkiksi renki Si voisi käsitellä parittomat järjestysnumerot ja renki S2 voisi käsitellä parilliset järjestysnumerot. Renkien suorituskapasiteetti saattaa kuitenkin vaihdella tai isäntä saattaa kaatua. Tällöin tarvitaan uusi jakofunk-tio. Näin ollen jakofunktion muodostaminen ja sen käyttöön liittyvä ajoitus 5 aspekti eivät ole aivan yksinkertaisia.

Isäntäpalvelin voi jakaa paketin useilla eri tavoilla rengeille. Eräs edullinen tapa on toteuttaa jakofunktio jakotaulu nimisenä tietorakenteena. Kun isäntä vastaanottaa paketin järjestysnumeron kera, se lukee n bittiä järjestysnumeron lopusta. Vaihtoehtoisesti isäntä saattaa lukea bittejä pake-10 tin jostain toisesta kentästä, esimerkiksi SPI-kentästä (Security Parameter Index). Joka tapauksessa isäntä käyttää näitä n bittejä indeksinä jakotauluun, joka on täytetty renkipalvelimien tunnisteilla. Jakotaulun täyttö voidaan suorittaa siten, että p prosenttia jakotaulun paikoista on osoitettu rengille, jolla on p prosenttia palvelinklusterin prosessointikapasiteetista. Jakotaulu uudelleen 15 täytetään, kun renki kaatuu, palvelinklusteriin lisätään uusi renki tai jostain muusta syystä. Tämä tekee menetelmästä skaalaustuvan.

KUVIO 5 esittää esimerkin järjestysnumeron käytöstä kuormanta-sauksessa. Tässä esimerkissä palvelinklusteri muodostuu isäntäpalvelimesta ja kolmesta renkipalvelimesta. Isäntä lukee n bittiä järjestysnumeron 501 20 lopusta, missä n on neljä. Sitten isäntä käyttää näitä neljää bittiä 502 indeksinä jakotauluun 503, joka sisältää 2n paikkaa eli tässä tapauksessa 16 paik-'· : kaa. Jakotaulu on täytetty palvelintunnisteilla esimerkiksi (renki)palvelimen 1 ’ tunnisteella 504. Jakotaulussa 503 on tunniste 1 kahdeksessa paikassa, tunniste 2 on neljässä paikassa ja tunniste 3 on neljässä paikassa. Nämä V 25 lukumäärät indikoivat, että palvelimella 1 on 50 % palvelinklusterin kokonais- .: prosessointikapasiteetista ja palvelimella 2 ja 3 on kummallakin 25 %. Jotta voidaan välttää joidenkin palvelimien ylikuormittuminen, kun paketit lähetetään ryöppyinä, jakotaulu tulisi täyttää tunnisteilla sattumanvaraisesti.

Yhden rengin kaatuessa jakotaulun paikat allokoidaan uudelleen.

’ ·, 30 Tarkemmin sanoen jakotaulun paikat täytetään jäljelle jääneiden renkien Γ tunnisteilla. Vastaavasti, jos palvelinklusteriin liittyy uusi renki, jakotaulun : **· paikat jaetaan uuden rengin ja alkuperäisten renkien kesken. Jonkin renki- palvelimen tunnisteen osuutta jakotaulussa voidaan helposti muuttaa siten, ,· ·. että osuus vastaa renkipalvelimen muuttunutta suorituskapasiteettia.

I I

; 35 On myös mahdollista luopua jakotaulusta ja käyttää jakofunktiota.

Jakofunktio voidaan muodostaa eri tavoin. Isäntäpalvelin voi esimerkiksi 8 115432 ottaa järjestysnumeroista luvun 16 jakojäännöksen saadakseen indeksin kuviossa 5 esitettyyn jakotauluun. Silti n bitin lukeminen järjestysnumeron lopusta ja näiden bittien käyttäminen jakotaulussa on ideaalinen vaihtoehto, koska se on laskennallisesti tehokas.

5 KUVIO 6 esittää esimerkin klusteroinnista. Palvelinklusteri 601 muodostuu neljästä palvelimesta. Yksi palvelin toimii isäntäpalvelimena 602 muiden palvelimien 603, 604, ja 605 toimiessa renkeinä. Kaikki palvelimet 602-605 jakavat saman julkisen IP-osoitteen ja saman yksityisen IP-osoitteen. Niillä on kolme verkkorajapintaa. Ensimmäinen rajapinta, julkinen 10 rajapinta, on tarkoitettu kommunikointiin Internetissä. Toinen rajapinta, yksityinen rajapinta, on tarkoitettu kommunikointiin intranetissä. Kolmas rajapinta on tarkoitettu palvelinklusterin sisäiseen kommunikointiin. Kolmas rajapinta on sellainen, että jokaisella palvelimella 602-605 on oma IP-osoitteensa. Reitittimet (next hop router) 606 ja 607 reitittävät paketteja isäntäpalvelimelle. 15 Reititys perustuu ARP-protokollaan (Address Resolution Protocol). Jos isäntää on tarve vaihtaa, reitittimet 606 ja 607 reitittävät paketit uudelle isännälle. Uusi isäntä valitaan renkien joukosta. Palvelinklusterin käynnistäminen, uuden palvelimen lisääminen klusteriin ja uuden isännän valinta voidaan suorittaa tunnetun tekniikan menetelmien avulla.

20 Isäntäpalvelin jakaa IP-tietoliikenneyhteydet renkien kesken IPsec- järjestysnumeroiden perusteella, joten järjestysnumerokenttä täytyy sisällyt- • t tää jokaiseen IPsec-pakettiin ja lähettäjän täytyy lisätä nouseva numero paketteihin.

;··: Kun palvelinklusteri on käynnistetty ja vakaassa tilassa ja IPsec- ·, : 25 asiakkaan ja palvelinklusterin välillä on ainakin yksi turvayhteys, yhteyden · , ; multipleksointi voidaan aloittaa. Multipleksointi suoritetaan käyttäen jakofunk- • ‘ tiota: » F(s) = id, ;;Γ 30 missä s on paketin järjestysnumero ja id identifioi yksikäsitteisesti * * -,, palvelimen, joka vastaanottaa paketin. Täten jakofunktio lukee syöteparamet- , ·. rin s ja tuottaa tuloksenaan arvon id.

Kun palvelin on vakaassa tilassa, yleensä vain yksi jakofunktio on ' ·** 35 käytössä. Jos palvelinklusteri on muutostilassa, jakofunktioita täytyy olla 9 115432 ainakin kaksi käytössä. Molemmissa tapauksissa renkipalveiimet tarvitsevat yhden vastaanottoikkunan yhtä turvayhteyttä kohti.

Seuraavissa tilanteissa palvelinklusteri on muutostilassa: 1) uusi palvelin liitetään palvelinklusteriin, 5 2) palvelin on epäonnistunut (se saattaa olla kaatunut tai epäkun nossa) eli on kykenemätön normaalitoimintaan tai 3) renkipalvelimen kapasiteetti on muuttunut.

Isäntä monitoroi renkiensä kuormaa ja havaitsee mahdolliset muutokset niiden prosessointikapasiteetissa tai muussa kapasiteetissa. Kapasi-10 teetti saattaa alentua kun esimerkiksi jokin rengin taustaprosessi on käynnistetty rengissä.

Seuraavat kaksi vaatimusta tulee täyttää, jotta renkipalvelimien kuormantasaus toteutuu parhaalla tavalla: 1) jos palvelinklusteri on muutostilassa, tarvitaan uusi jakofunktio, 15 2) saman jakofunktion täytyy aina toteuttaa sama tuloste tai arvo, joka indikoi, että paketti on hylätty.

Mainittujen vaatimusten täyttyminen varmistaa, että toistohyök-käykset ovat havaittavissa ja torjuttavissa.

’’Suurin havaittu järjestysnumero” on isännän havaitsema numero. 20 “Suurin autentikoitu järjestysnumero” on puolestaan rengin autentikoima järjestysnumero. Kuten edellä on mainittu, turvayhteyksiä on aina yksi per i tietoliikenneyhteys ja laskureita on yksi per turvayhteys. Isännän ollessa : toiminnassa kukin laskuri tallettaa maksimin suurimmasta havaitusta järjes- • tysnumerosta ja suurimmasta autentikoidusta järjestysnumerosta.

: 25 Kun palvelinklusteri on muutostilassa, tarvitaan uusi jakofunktio.

• Oletetaan, että renki on epäonnistunut ja että suurin havaittu järjestysnumero ’ on 100. Tällöin isäntä jakaa paketit renkien kesken soveltaen jakofunktiota F, missä • ·;: 30 F(s) = F7(s), if s <= 100, muutoin F(s) = F2(s).

Tässä Fj on alkuperäinen jakofunktion ja F2on uusi. Tulisi huoma-.··. ta, että isäntä saattaa lähettää paketteja epäonnistuneella rengille, kun s <= 100. Nämä paketit katoavat, mutta turvayhteyteen liittyvä tietoliikenneyhteys >·;’ 35 saattaa säilyä, koska muutaman paketin katoaminen ei välttämällä katkaise : yhteyttä. Monet tietoliikenneprotokollat kuten TCP tukevat pakettien uudel- 10 115432 leen lähettämistä, kun vastaanottajasolmu havaitsee, että paketteja puuttuu ja ilmoittaa siitä lähettäjäsolmulle.

Saadakseen sillä hetkellä suurimman autentikoidun järjestysnumeron, isäntä lähettää tarkistussanoman jokaiselle rengille. Normaalisti jokainen 5 renki lähettää vastaussanoman isännälle. Jos jokin renki ei lähetä isännälle sanomaa, isäntä päättelee, että mainittu renki on epäonnistunut.

Jokaiselle epäonnistuneelle palvelimelle annetaan edullisesti uusi tunniste. Toisin sanoen, samaa tunnistetta id pitäisi käyttää vain niin kauan kuin palvelin on kunnossa. Tällä tavoin turvariskit voidaan välttää.

10 Oletetaan, että epäonnistunut palvelin on jälleen toiminnassa ja valmis ajanhetkellä, jolloin suurin havaittu järjestysnumeron on 150. Nyt isäntä saattaa jakaa paketit renkipalvelimien kesken käyttäen jakofunktiota F, missä 15 F(s) = Ft(s), if s <= 100, F(s) = F2(s), if 100 < s <= 150, F(s) = F3(s), if 150 < s.

Voimme ajatella, että kukin jakofunktio muodostuu ainakin yhdestä 20 (jako)funktiosta ja raja-arvon sisältävästä ehdosta. Edellä mainitussa esimer-: kissä jakofunktio F muodostuu funktioista F?, F2, ja F3> joista funktio F3 on .··" uusin. Sitä käytetään, jos järjestysnumero s on 151 tai suurempi eli tässä tapauksessa ehto on “jos 150 < s” ja raja-arvo on 150. Jos nykyinen/vanha , , isäntä on toiminnassa, raja-arvo on suurin havaittu järjestysnumero. Muutoin *; 25 raja-arvo on maksimi suurimmista autentikoiduista järjestysnumeroista.

’ Vastaanottoikkunan koko rajoittaa funktioiden lukumäärää. Jos : vastaanottoikkunan koko on esimerkiksi 64, yleensä vähemmän kuin kolme jako(funktiota) on käytössä.

.· Edellä mainitussa esimerkissä jakofunktio F? poistetaan, kun kaik- : .· 30 kien renkien suurimpien autentikoitujen järjestysnumeroiden minimi suurempi kuin raja-arvon (100) ja vastaanottoikkunan koon (64) summa. Oletetaan, :.* että palvelinklusterissa on kaksi renkiä ja yksi renki on autentikoinut järjes- ·' tysnumeron 166 ja toinen renki on autentikoinut järjestysnumeron 200. Nyt minimi mainituista numeroista on 166, joka on suurempi kuin lukujen 100 ja • 35 64 summa. Täten jakofunktion F1 voisi poistaa.

11 115432

Lisäksi funktion F2 voisi muuttaa siten, että se tuottaa tuloksena id-arvon -1, kun s on pienempi kuin 150. Arvo - 1 saattaa indikoida, että paketti on isännän hylkäämä.

Jos isäntä kaatuu, vastaanotetut paketit hylätään tai puskuroidaan.

5 Pakettien hylkääminen/puskurointi suoritetaan, koska palvelinklusteri on haavoittuva siihen asti, kun uusi isäntä on valmis jakamaan paketteja. Uusi isäntä valitaan renkien joukosta. Uusi isäntä lähettää tarkistussanoman rengeille ja vastaanottaa niiltä vastaussanomat vasteena lähetettyyn tarkistus-sanomaan. Koska uusi isäntä oli aiemmin renki, myös se lähettää tarkistus-10 sanoman. Sitten uusi isäntä asettaa arvot laskureihinsa ja muodostaa uuden jakofunktion laskuriarvojen mukaisesti. Nyt uusi isäntä on valmis jakamaan paketteja rengeille käyttäen uutta jakofunktiota.

Isäntä tarkistaa ajoittain laskuriarvot pollaamalla renkejään eli isäntä lähettää tarkistussanoman jokaiselle rengilleen saadakseen suurimmat 15 autentikoidut järjestysnumerot. Rengin vastaussanoma sisältää edullisesti kaikki suurimmat autentikoidut järjestysnumerot (yhden numeron per turvayhteys). Suurin autentikoitu järjestysnumero saattaa olla pienempi kuin korkein havaittu järjestysnumero, koska jotkin vastaanotetuista paketeista saattavat olla huijauspaketteja sisältäen huijausnumeroita.

20 Isäntä käy läpi turvayhteyksiä yksi kerrallaan sekä päivittää lasku- : harvoja.

·" KUVIO 7 esittää esimerkin pakettikäsittelystä, kun palvelinklusteri '. muodostuu isännästä 701 ja kahdesta rengistä 702 ja 703. Isäntä 701 vas- , . taanottaa 704 järjestysnumeron 10 sisältävän paketin ja käyttää jakofunktiota ; 25 jakamaan 705 paketin rengille 702. Renki 702 varmistaa, että paketti on oikea ja lähettää 706 paketin vastaanottajalle. Vastaavalla tavalla isäntä ja toinen renki 703 käsittelevät järjestysnumeron 11 sisältävän paketin 707. Toinen, järjestysnumeron 50 sisältävä paketti 708 on huijauspaketti. Täten ;' renki 703 hylkää paketin. Isäntä lähettää tarkistussanoman 709 molemmille ·. 30 rengeilleen, Vasteena tarkistussanomaan isäntä vastaanottaa vastaussano- • ( man 710 rengiltä 702. Se sisältää numeron 13, joka on rengin 702 suurin autentikoitu järjestysnumero. Isäntä vastaanottaa järjestysnumeron 16 sisältävän paketin 711. Nyt numero 16 on korkein havaittu järjestysnumero. Sitten isäntä vastaanottaa vastaussanoman 712 sisältäen numeron 14, joka on _ i 35 rengin 703 suurin autentikoitu järjestysnumero. Nyt isäntä on vastaanottanut 12 115432 vastaussanomat molemmilta rengeiltään. Suurimpien autentikoitujen järjestysnumeroiden ja suurimman havaitun numeron maksimi on 16.

Palvelinklusteri voi toimia turvallisesti jopa silloin, kun kaikki renki-palvelimet ovat kaatuneet. Palvelinklusteri ei kuitenkaan voi toimia turvalli-5 sesti, jos isäntä ja ainakin yksi renki kaatuvat samanaikaisesti.

KUVIO 8 esittää menetelmän vaiheita, kun palvelinklusteri on muutostilassa. Vaiheet koskevat tapauksia kun: 1) uusi palvelin on liittynyt palvelinklusteriin, 2) palvelin on epäonnistunut tai 3) rengin kapasiteetti on muuttunut. Ensimmäinen tarkistus suoritetaan riippumatta siitä, onko isäntä 10 epäonnistunut vaiko ei 801. Jos ei, isäntä pollaa renkejä 802 eli se lähettää tarkistussanoman rengeille ja vastaanottaa niiltä vastaussanomat. Vastaus-sanomat sisältävät suurimmat autentikoidut järjestysnumerot, yksi per SA (security association). Jos uusi isäntä on epäonnistunut, uusi isäntä valitaan renkien joukosta 803. Sitten uusi isäntä pollaa rengit 804 mukaan lukien 15 itsensä, koska uusi isäntä on aiempi renki. Uusi isäntä valitsee suurimpien autentikoitujen järjestysnumeron maksimin 805 jokaiselle turvayhteydelle. Vuokaavion toisessa haarassa ’’vanha” isäntä valitsee suurimman havaitun (eli isännän havaitseman) järjestysnumeron 806 jokaiselle turvayhteydelle. Uusi/vanha isäntä päivittää 807 jokaisen turvayhteyden laskurin siten, että 20 uusi laskuriarvo on edellä mainittu maksimi kasvatettuna yhdellä. Uusi/vanha : isäntä uuden jakofunktion 808 huomioiden vastaanotetut vastaussanomat.

, Kun isäntä vastaanottaa paketin, se vertaa 809 paketin järjestysnumeroa : vastaavan turvayhteyden laskuriarvoon. Jos laskuriarvo saavutetaan, isäntä , käyttää 810 paketille uutta jakofunktiota. Muussa tapauksessa tarkastellaan, ; 25 oliko isäntä epäonnistunut 811. Jos ei, isäntä käyttää vanhaa jakofunktiota 812. Muussa tapauksessa isäntä tosiaan kaatui, jonka jälkeen valittiin uusi isäntä ja nyt paketti hylätään 813.

Menetelmä on tarkoitettu erityisesti IP-liikenteen käsittelyyn, missä IP-paketit sisältävät AH- tai ESP-otsikko-osan nousevan järjestysnumeron : : 30 kera. Menetelmä saattaa kuitenkin kyetä käsittelemään muunkin tyyppisiä ! , paketteja/liikennettä.

’ Keksinnönmukainen palvelinklusteri on klusteri, joka käyttää edellä : ' mainittua menetelmää jakaakseen saman yhteyden paketit tietylle joukolle > renkipalvelimia. Mainittu palvelinklusteri on sovitettu 1) vastaanottamaan : 35 isäntäpalvelimessa paketti, joka sisältäessä järjestysnumeron tietoliikenne- tarkoitusta varten, 2) lukemaan bittejä järjestysnumerosta, 3) syöttämään bitit 13 115432 jakofunktioon, joka tuottaa tuloksenaan renkipalvelimen tunnisteen ja 4) lähettämään vastaanotettu paketti isäntäpalvelimelta renkipalvelimelle. Sitten palvelinklusteri on sovitettu autentikoimaan paketti renkipalvelimella ja kun autentikointi onnistuu, palvelinklusteri on sovitettu tarkistamaan vastaanotto-5 ikkunaa käyttämällä, onko paketin järjestysnumero oikea ja lopuksi, jos se on oikea, palvelinklusteri on sovitettu välittämään paketti palvelinklusterilta paketin vastaanottajalle.

»

* ' I

Claims (30)

115432

1. Menetelmä tietoliikennepakettien käsittelemiseksi palvelinklus-terissa, joka muodostuu isäntäpalvelimesta ja ainakin yhdestä renkipalveli-mesta 5 tunnettu siitä, että samaan tietoliikenneyhteyteen ja palvelin- klusterin ja asiakkaan välille luotuun turvayhteyteen kuuluvat paketit hajautetaan seuraavasti palvelinklusterin tietylle palvelinjoukolle: vastaanotetaan isäntäpalvelimella mainittuun turvayhteyteen kuuluva paketti (401), 10 luetaan bittejä vastaanotetun paketin järjestysnumerosta (402), syötetään mainitut bitit jakofunktioon (403), joka tuottaa tuloksenaan tietyn palvelinjoukon renkipalvelimen tunnisteen, jakofunktion ollessa sovitettu tuottamaan sama tunniste vasteena samoille biteille, välitetään vastaanotettu paketti renkipalvelimelle (404) ja 15 autentikoidaan välitetty paketti renkipalvelimella (405).

2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että järjestysnumerosta lukemisen sijasta bitit luetaan tietystä muusta paketin mukana vastaanotetusta informaatiosta.

3. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, 20 että ,· : suoritetun autentikoinnin ollessa menestyksellinen • 9 φ tarkistetaan renkipalvelimessa vastaanottoikkunaa käyttäen, onko • · ’' ‘, paketin järjestysnumero oikea (407) ja kun mainittu järjestysnumero on oikea, ’ välitetään paketti renkipalvelimesta paketin vastaanottajalle (408). i 25

4. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, • : että isäntäpalvelin sisältää yhden laskurin jokaista palvelinklusterin käsittele- / mää turvayhteyttä kohti, mainitun laskurin ollessa tarkoitettu tallentamaan suurin havaittu järjestysnumero.

; · 5. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, 30 että palvelimiin sijoitetut vastaanottoikkunat sisältävät suurimmat havaitut järjestysnumerot, yhden numeron jokaista turvayhteyttä kohti.

; ’ 6. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, » että palvelinklusteri siirtyy muutostilaan silloin, kun tapahtuu jokin seuraavista ; tapahtumista: uusi palvelin liittyy palvelinklusteriin, palvelin kaatuu tai renki- j 35 palvelimen kapasiteetti muuttuu. is 1 1 5432

7. Patenttivaatimusten 4-6 mukainen menetelmä, tunnettu siitä, että palvelinklusterin ollessa muutostilassa ja isäntäpalvelimen ollessa toiminnassa suoritetaan seuraavat toimenpiteet: lähetetään tarkistussanoma isäntäpalvelimelta tietyn palvelinjou-5 kon palvelimille, vastaanotetaan kyseisiltä palvelimilta vastaussanomat vasteena lähetettyyn tarkistussanomaan, vastaussanomien sisältäessä ainakin suurimmat autentikoidut järjestysnumerot, jonka jälkeen isäntäpalvelimessa, muodostetaan uusi jakofunktio vasteena vastaanotetulle vastaus-10 sanomien joukolle.

8. Patenttivaatimuksen 7 mukainen menetelmä, tunnettu siitä, että isäntäpalvelimen vastaanottaessa uuden paketin järjestysnumeron kera ja mainitun järjestysnumeron ylittäessä uuteen jakofunktioon liittyvän tietyn raja-arvon isäntäpalvelimella suoritetaan seuraavat vaiheet: 15 käytetään uudelle paketille uutta jakofunktiota syöttämällä maini tusta järjestysnumerosta tietty määrä bittejä uuteen jakofunktioon, tuottaen tuloksena renkipalvelimen tunnisteen ja välitetään uusi paketti mainitulle renkipalvelimelle.

9. Patenttivaatimusten 4-6 mukainen menetelmä, tunnettu sii- 20 tä, että palvelinklusterin ollessa muutostilassa ja isäntäpalvelimen ollessa . . kykenemätön normaalitoimintaan suoritetaan seuraavat vaiheet: * · · valitaan uusi isäntäpalvelin palvelinklusterin renkipalvelimien jou- ’*· [ kosta, * ‘ lähetetään tarkistussanoma uudelta isäntäpalvelimelta renkipalve- : 25 limille ja * » :,'>j vastaanotetaan mainituilta renkipalvelimilta vastaussanomat vas- teenä lähetettyyn tarkistussanomaan, mainittujen tarkistussanomien sisältäessä ainakin suurimmat autentikoidut järjestysnumerot, jonka jälkeen uu-. f. dessa isäntäpalvelimessa , · * ’. 30 muodostetaan uusi jakofunktio vastaanotettujen vastaussanomien joukon perusteella.

* * * " 10. Patenttivaatimuksen 9 mukainen menetelmä, tu n n ettu sii- tä, että uuden isäntäpalvelimen vastaanottaessa uuden paketin järjestysnu-; ··. meron kera ja mainitun järjestysnumeron ylittäessä uuteen järjestysnumero, 35 raon liittyvän tietyn raja-arvon, uusi isäntä käyttää uutta jakofunktiota välit- täessään uuden paketin renkipalvelimelle. 115432

11. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että palvelinklusterin käsittelemät tietoliikennepaketit ovat IPsec-arkki-tehtuurin mukaisia IP-paketteja.

12. Palvelin klusteri tietoliikennepakettien käsittelemiseksi, palve-5 linklusterin muodostuessa isäntäpalvelimesta ja ainakin yhdestä renkipalve- li mesta, tunnettu siitä, että samaan tietoliikenneyhteyteen kuuluvien pakettien hajauttamiseksi ainakin kahdelle palvelinklusterin palvelimelle pal-velinklusteri on sovitettu: 10 vastaanottamaan paketti isäntäpalvelimessa (401), paketin kuu luessa mainittuun tietoliikenneyhteyteen ja turvayhteyteen, joka on luotu palvelinklusterin ja asiakkaan välille, lukemaan bittejä paketin mukana vastaanotetusta järjestysnumerosta (402), 15 syöttämään mainitut bitit jakofunktioon (403), joka tuottaa tulokse naan tietyn palvelinjoukon renkipalvelimen tunnisteen, jakofunktion ollessa sovitettu tuottamaan sama tunniste vasteena samoille biteille, välittämään vastaanotettu paketti renkipalvelimelle (404) ja autentikoimaan välitetty paketti renkipalvelimella (405).

13. Patenttivaatimuksen 12 mukainen palvelinklusteri, tunnettu . . siitä, että järjestysnumerosta lukemisen sijasta bitit luetaan tietystä muusta « · · ‘: paketin mukana vastaanotetusta informaatiosta.

’···’ 14. Patenttivaatimuksen 12 mukainen palvelinklusteri, tunnettu : : siitä, että palvelinklusteri on lisäksi sovitettu: V : 25 tarkistamaan renkipalvelimessa vastaanottoikkunaa käyttäen, on- · ko paketin järjestysnumero oikea (407) ja mainitun järjestysnumero ollessa oikea, välittämään paketti renkipalvelimesta paketin vastaanottajalle (408). ,· · ·, 30

15. Patenttivaatimuksen 12 mukainen palvelinklusteri, tunnettu * · siitä, että isäntäpalvelin sisältää yhden laskurin jokaista palvelinklusterin i ’· käsittelemää turvayhteyttä kohti, mainitun laskurin ollessa tarkoitettu tallen- :: tamaan suurin havaittu järjestysnumero.

; ’ ’ *: 16. Patenttivaatimuksen 12 mukainen palvelinklusteri, tunnettu : *. ·. 35 siitä, että palvelimiin sijoitetut vastaanottoikkunat sisältävät suurimmat havai tut järjestysnumerot, yhden järjestysnumeron jokaista turvayhteyttä kohti. 17 1 1 5432

17. Patenttivaatimuksen 12 mukainen palvelinklusteri, tunnettu siitä, että palvelinklusteri siirtyy muutostilaan silloin, kun tapahtuu jokin seu-raavista tapahtumista: uusi palvelin liittyy palvelinklusteriin, palvelin kaatuu tai renkipalvelimen kapasiteetti muuttuu.

18. Patenttivaatimuksen 15-17 mukainen palvelinklusteri, tun nettu siitä, että palvelinklusterin ollessa muutostilassa ja isäntäpalvelimen ollessa toiminnassa, palvelinklusteri on sovitettu suorittamaan seuraavat toimenpiteet: lähettämään tarkistussanoma isäntäpalvelimelta tietyn palvelinjou-10 kon palvelimille, vastaanottamaan kyseisiltä palvelimilta vastaussanomat vasteena lähetettyyn tarkistussanomaan, vastaussanomien sisältäessä ainakin suurimmat autentikoidut järjestysnumerot, muodostamaan uusi jakofunktio vasteena vastaanotetulle vas-15 taussanomien joukolle.

19. Patenttivaatimuksen 18 mukainen palvelinklusteri, tunnettu siitä, että isäntäpalvelimen vastaanottaessa uuden paketin järjestysnumeron kera ja mainitun järjestysnumeron ylittäessä uuteen järjestysnumeroon liittyvän tietyn raja-arvon, palvelinklusterin isäntä on sovitettu: 20 käyttämään uutta jakofunktiota syöttämällä tietyn määrän bittejä . . mainitusta järjestysnumerosta jakofunktioon, joka tuottaa tuloksenaan jonkin ’;. / renkipalvelimen tunnisteena, ja • ♦ ’•••j välittämään uuden paketin mainitulle renkipalvelimelle.

»«»» » ‘ ‘ 20. Patenttivaatimuksen 15-17 mukainen palvelinklusteri, tun- :. i 25 nettu siitä, että palvelinklusterin ollessa muutostilassa ja isäntäpalvelimen . ‘ : ollessa kykenemätön normaalitoimintaan, palvelinklusteri on sovitettu: valitsemaan uusi isäntäpalvelin palvelinklusterin renkipalvelimien joukosta, ·:· lähettämään tarkistussanoma uudelta isäntäpalvelimelta renkipal- •\ 30 veiimille ja vastaanottamaan mainituilta renkipalvelimilta vastaussanomat vasteena lähetettyyn tarkistussanomaan, mainittujen tarkistussanomien sisäl-: : täessä ainakin suurimmat autentikoidut järjestysnumerot, ja : muodostamaan uusi jakofunktio vastaanotettujen vastaussano- : . . 35 mien joukon perusteella. 115432

21. Patenttivaatimuksen 20 mukainen palvelinklusteri, tunnettu siitä, että uuden isäntäpalvelimen vastaanottaessa uuden paketin järjestysnumeron kera ja mainitun järjestysnumeron ylittäessä uuteen järjestysnumeroon liittyvän tietyn raja-arvon, uusi isäntä käyttää uutta jakofunktiota välit- 5 täessään uuden paketin renkipalvelimelle.

22. Patenttivaatimuksen 21 mukainen palvelinklusteri, tunnettu siitä, että palvelinklusterin käsittelemät tietoliikennepaketit ovat IPsec-arkki-tehtuurin mukaisia IP-paketteja.

23. Jakofunktion käyttö turvayhteyteen kuuluvien tietoliikennepa- 10 kettien hajauttamiseksi joukolle palvelinklusterin renkipalvelimia, palvelinklusterin isäntäpalvelimen vastaanottaessa (401) turvayhteyteen kuuluvan tietoliikennepaketin, tunnettu siitä, että vasteena tietoliikennepaketin järjestysnumerosta luettuihin hitteihin (402) 15 jakofunktio tuottaa tuloksenaan palvelinklusterin renkipalvelimen tunnisteen (403) siten, että 1. käytetään jakofunktion tiettyä funktiota, kun järjestysnumero ylittää raja-arvon, raja-arvon ollessa suurin isäntäpalvelimen havaitsema järjestysnumero ja 20 2) tunnisteen ollessa aina sama, kun luetut bitit ovat samat.

24. Patenttivaatimuksen 23 mukainen jakofunktion käyttö, tun- !..' n e 11 u siitä, että järjestysnumerosta lukemisen sijasta bitit luetaan tietystä ' * ·muusta paketin mukana vastaanotetusta informaatiosta.

25. Patenttivaatimuksen 23 mukainen jakofunktion käyttö, t u n -.* 25 nettu siitä, että jakofunktio määrittää, mitkä järjestysnumerot tarkistetaan i missäkin vastaanottoikkunoissa, mainittujen vastaanottoikkunoiden ollessa sijoitettu renkipalvelimiin ja mainittujen vastaanottoikkunoiden sisältäessä suurimmat autentikoidut järjestysnumerot.

: · 26. Patenttivaatimuksen 23 mukainen jakofunktion käyttö, t u n - ; 30 nettu siitä, että isäntäpalvelimen ollessa kykenemätön normaalitoimintaan, raja-arvo on maksimi suurimmista autentikoiduista järjestysnumeroista, jotka . ’ ’ tiettyyn joukkoon kuuluvat renkipalvelimet ovat autentikoineet.

· ·' 27. Patenttivaatimuksen 23 mukainen jakofunktion käyttö, tun- nettu siitä, että palvelinklusteri siirtyessä muutostilaan jokin seuraavan I' · *; 35 tapahtuman johdosta: uusi palvelin liittyy palvelinklusteriin, palvelin kaatuu tai renkipalvelimen kapasiteetti muuttuu; 19 1 1 5432 muodostetaan uusi jakofunktio ja uutta jakofunktiota käytetään, kun tietoliikennepaketin järjestysnumero ylittää raja-arvon, joka liittyy uuteen jakofunktioon.

28. Patenttivaatimuksen 23 mukainen jakofunktion käyttö, t u n -5 n e 11 u siitä, että jakofunktio muodostuu joukosta jakotauluja, joista kukin on täytetty tunnisteilla siten, että tunnisteen osuus jakotaulussa määrittää olennaisesti, miten suuri prosentti tietoliikennepaketeista hajautetaan renkipalve-limelle, jolla on mainittu tunniste.

29. Patenttivaatimuksen 28 mukainen jakofunktion käyttö, tun-10 n e 11 u siitä, että renkipalvelimen kapasiteetin muuttuessa tunnisteen osuutta jakotaulussa muutetaan vastaamaan kapasiteettimuutosta.

30. Patenttivaatimuksen 23 mukainen jakofunktion käyttö, tunnettu siitä, että palvelinklusterin käsittelemät tietoliikennepaketit ovat IP-sec-arkkitehtuurin mukaisia IP-paketteja. 15 » » » • * 115432