专利名称:互联网协议安全隧道的动态配置的利记博彩app
技术领域:
本发明一般地涉及虚拟专用网络(Virtual Private Network,VPN)。本发明具体地涉及用于配置VPN隧道的方法和系统。
背景技术:
在电子通信时代,人们以安全的、受保护的方式相互通信是必要的。当缺少适当的安全措施时,第三方可能访问到在通信各方之间交换的信息。这样的访问可能会危及到公共和私人利益。
已经出现解决电子信息交换的内在问题的安全技术。例如,虚拟专用网络(VPN)就是一种网络内部的安全网络连接。具体地说,VPN“隧道”是一种建立在网络中的端点之间的安全连接。所有在第一端点处的节点和第二端点处的节点之间交换的信息都被进行某种安全处理,例如进行加密。这样,第三方就不可能访问到所交换的数据。节点在地理位置上可能很遥远,被许多中间交换机和路由器分隔开。
为建立VPN隧道,启动者(initiator)和响应者(responder)可能要参与一系列的协商。启动者可以启动与响应者的协商。在协商期间,可以在节点之间进行信息交换,这些信息提出了未来信息交换可采用的安全策略。若发生了几个阶段的协商,可以产生一组安全的定义参数。因此,就可以建立起隧道,启动者和响应者可以以安全的方式进行通信了。
协议主管着在节点之间建立隧道的过程。具体地说,IPSec,RFC2401,2411是对能够创建被加密隧道的IP协议族的一组扩展。IPSec(互联网协议安全)提供了加密安全服务,这包括认证、完整性、访问控制以及保密性支持。IPSec对于网络应用程序来说是透明的。主管IPSec传输的协议和规则必须与互联网工作组所发布的文件一致。
IPSec包括多个协议,这包括RFC 2402的认证头部(AuthenticationHeader,AH)以及RFC 2406的ESP(Encapsulated Security Payload,封装安全载荷)。IPSec安全链接是根据RFC 2408的安全关联(SecurityAssociation,SA)定义的。SA是包括执行各种网络安全服务所需的信息的安全配置。具体地说,SA可以包括诸如网络参数和网络地址之类的安全属性。每个SA是为单独的单向数据流定义的,该单向数据流通常是从一个单独的节点到另外的节点,并覆盖可被唯一的某个选择器分辨的业务。对于SA可以应用的安全协议可以是AH或ESP。AH跟在基本IP头部之后,并且包含数据的加密哈希散列(hash)以及识别信息。ESP头部允许以加密形式对载荷进行重写。
图1(现有技术)描述了可以在其中建立隧道的系统。系统100包括通过互联网160相互通信的客户120和网关180。客户120存储网关180的IP地址130。客户120还存储安全配置140。同样地,网关180存储安全配置170。
为了在客户120和网关180之间建立隧道150,客户120可以启动与网关180的初步协商。在该初步协商中,客户120和网关180可以达成在后续协商中使用的安全算法。在IPSec协议中,该初步协商被称作阶段1协商。在阶段1协商之后,客户120可以启动与网关180的另一协商。在被称为阶段2的协商之中,客户120和网关180产生安全密钥来定义客户120和网关180之间通过隧道150的后续安全传输。
阶段2协商只有在网关180和客户120被等同地配置时才得以成功。即,为了建立隧道150,网关180中的安全配置170必须等同于客户120中的安全配置140。即使在各自的安全配置之间存在些许差异,阶段2协商也会失败。
因此,客户管理员101必须对安全配置140中的参数进行配置。同样地,网关管理员110必须对安全配置170中的安全参数进行配置。该配置过程很复杂,而且客户管理员101必须知道客户120试图与之建立隧道的每个端点各自的安全配置。此外,即便是在网关管理员110改变了网关180的安全配置170中的一个参数时,客户管理员101也必须对客户120的安全配置140中的对应参数进行修改。图2(现有技术)描述了示例性的可以与图1中的客户120和网关180相关联的安全配置。
因此,所需要的是一种用于动态配置网络中的隧道的方法和系统。
图1(现有技术)图示说明了可以在其中建立隧道的系统;图2(现有技术)描述了可以与图1的系统中的客户和网关相关联的安全配置;图3图示说明了根据本发明的实施例的系统;图4是根据本发明的实施例的方法的高级流程图;图5是根据本发明的实施例的方法的高级流程图;图6是根据本发明的实施例的方法的高级流程图;图7图示说明了示例性的配置模式交换事务处理。
具体实施例方式
下面详细的说明参照了图示说明本发明的示例性实施例的附图。其他的实施例也是可能的,并可以在不背离本发明的精神和范围的情形下,对实施例进行修改。因此,下面详细的说明并不是意于限制本发明。更确切地说,本发明的范围由所附的权利要求限定。
对本领域普通技术人员清楚的是,下述实施例可以以图中所说明的实体中许多不同的软件、固件以及硬件实施例来实现。用于实现本发明的实际的软件代码或专门的控制硬件并不是对本发明的限制。因此,在没有具体地参考实际的软件代码或专门的控制硬件的情形下,能对实施例的操作和行为进行说明。没有这些具体的参考也是可行的,因为能清楚理解的是,普通技术人员将能够基于这里的说明,仅通过合理的努力而不需要不恰当的实验,就能够设计软件和控制硬件以实现本发明的实施例。
此外,与所介绍的实施例相关联的过程可以被存储在任何存储设备中,例如,计算机系统(非挥发)存储器、光盘、磁带或磁盘。此外,在计算机系统被制造时或后来通过计算机可读介质可以对所述过程编写程序。这样的介质可以包括上述所列的与存储设备相关的任何形式,例如,还可以包括用来传送能被计算机读取、解调/解码和执行的指令的经过调制(或者别的处理)的载波。
这里所介绍的用于动态配置隧道的方法和系统涉及客户和网关。客户启动与网关的协商。网关发送信息到客户。客户从网关发送的信息中抽取安全配置。使用该安全配置,就建立起客户和网关之间的隧道。
因此,可以在客户上定义最小限度的配置。网关管理员可以修改网关上的网络属性,以及与对等方(peer)、用户和群组相关的安全策略,而不用手动地将修改传送到客户。
图3图示说明了根据本发明的实施例的系统300。如图所示,系统300包括了通过互联网360通信的客户320和网关380。为了进行说明,这里示出的隧道被形成在客户和网关之间。术语“客户”对应于隧道的第一端点,“网关”对应于第二端点。这些术语可以涵盖多种设备中的任何一个,比如个人计算机、客户计算机、服务器、大型机、网关、个人数字助理(PDA)、其他手持设备和其他计算设备。术语“第一对等方”和“第二对等方”可以替代“客户”和“网关”。另外,可以用另一种网络来代替互联网360,比如内部网(intranet)。
网关380存储或访问可以包含安全和策略属性的安全配置370。这些属性可以包括安全和网络参数以及网络地址。网关380与网关管理员310相关联,网关管理员310可以手动地修改安全配置370中的多个参数。但是,这样的修改也可以通过软件自动进行。
客户320没有比如上面图1中的客户管理员101的相关联的管理员。根据本发明的实施例,客户320不需要保持对应于网关380的安全配置370的安全配置。
客户320存储、访问或作为来自用户的输入而接收网关380的IP地址330。客户320可以保持IP地址330和预共享的秘密或证书,用于认证。该预共享的秘密可以在最终于互联网360中建立隧道350的协商之前,被客户320和网关380所知。
图4是根据本发明的实施例的方法400的高级流程图。应该理解的是,方法400可以使用各种协议实现。此外,额外的协商(未示出)可以被包括在方法400中。
在项401中,客户启动与网关的初步协商。在项410中,客户启动与网关的第二协商。在一些协议中,可以启动一个协商。在项420中网关发送信息到客户。该信息可以是客户在先前的协商中,例如在项410中客户所启动的协商中已经请求的。在项430中,客户从网关所发送的信息中抽取安全配置。在项435中,客户启动与网关最后的协商。在项440中,使用安全配置建立起在客户和网关之间提供安全通信的隧道。
在方法400的项420中,网关也可以发送关于一个或多个协议的信息到客户,比如securID,RADIUS和L2TP协议。这样,客户可以抽取信息,并且使用协议用于额外的协商。在示例性实现中(未示出),安全认证协商可以在图4中的项435之前发生。
图5是根据本发明的另一个实施例的方法500的高级流程图。在方法500中,IPSec协议被用来建立客户和网关之间的安全隧道。在项501中,发生阶段1协商。该协商将在下面更详细地说明。使用IPSec协议的基模式交换(Base Mode Exchange)扩展(Intemet Draft draft-ietf-ike-base-mode-02.txt)以及RFC 2409的主模式(Main Mode)和激进模式(Aggressive Mode),可以实行阶段1协商。作为阶段1协商的结果,客户和网关相互认证,并且达成有效的安全策略来主管客户和网关之间后续的协商。
在项510中,这里称为“阶段1a”的中间协商在客户和网关之间启动。在示例性实现中,阶段1a协商利用了IPSec协议的配置模式交换(Configuration Mode Exchange)扩展(Intemet Draft draft-dukes-ike-mode-cfg-00.txt)。作为阶段1a协商的结果,客户从网关接收到协商阶段2所需的阶段2安全参数。在示例性协商中,阶段1和阶段2参数相互间独立。
因为现在客户和网关具有等同的安全配置,所以阶段2协商发生在项520中。在一些实施例中,可以使用一种IPSec协议交换——RFC 2409的快速模式(Quick Mode)。假设阶段2协商成功了,那么客户和网关已经产生安全密钥来主管客户和网关之间所有的后续传输。因此,在项530中,已经在客户和网关之间建立起隧道来允许安全通信。
图6是根据本发明的实施例的方法600的高级流程图。方法600的虚线部分可以对应于图5的方法500中的各个项。
虚线部分A可以对应于项501中的阶段1协商。根据IPSec协议的基模式交换扩展,在协商的第一分组(packet)中,阶段1启动者可以为响应者提供包含多种变形的多种安全方案,以及启动者的身份。
在示例性实现中,客户可以将客户所支持的所有或一些安全算法的排列发送到网关。此外,可以在所传输的分组中对所述方案从较安全的到较不安全的方案进行排序。这样,当网关对这些方案进行分析时,较安全的方案可以在较不安全的方案之前被考虑。因此,可以选择最高级别的安全来主管后续协商。此外,因为客户提供了所有它的被支持的安全属性,所以阶段1协商将得以成功,即,只要网关支持至少一组所提出的策略,有效的安全策略就将被匹配。因此,阶段1协商可以发生,而不需要客户存储、访问或作为来自用户的输入而接收客户必须为阶段1协商而匹配的安全参数。
更具体地说,在图6的项601中,在客户启动初步协商时,客户为网关提供安全方案。在项610中,网关在客户所提供的方案中选择与网关所支持的方案匹配的方案。然后,网关可以将所选择的方案发回到客户。
虚线部分B可以对应于图5项510中的阶段1a协商。IPSec协议的配置模式交换扩展是以通常的请求/答复协议为基础。启动者对响应者进行请求,响应者通过发回所请求的信息到启动者来进行答复。
根据本发明的实施例,配置模式交换扩展被增强来包括更多组属性。具体地说,所述属性包括定义一个或多个阶段2安全或策略关联的安全属性。需要配置信息的启动者客户请求响应者网关发送所有定义的阶段2策略。取决于在响应者网关上定义的配置,额外的IPSec相关属性和性质属性可以被网关发送。安全属性也可以同由每个安全关联(SA)所保护的业务一起被发送。阶段2安全属性可以被指定比如“CFG_”的前缀,从而将它们从其他信息中区分出来。
一旦客户抽取了包括例如安全和网络参数及身份的安全配置,客户就能够使用所述配置来启动所有在定义在网关上的阶段2安全关联的协商。协商可能会成功,因为现在客户所知道的属性与定义在网关上的属性匹配。在一些实施例中,如果客户在客户启动协商时已经具有了阶段2策略定义,那么所述定义就不被软件使用或改写。在其他实施例中,网关在其对客户请求的答复中不会发送被估值为0的参数。此外,通过每组参数的迭代的次数可以取决于接收参数的客户的配置。图7图示说明了示例性的客户和网关之间的配置模式交换事务处理。
具体地说,在图6的项620中,客户请求网关发送信息,这包括所有或一些被定义的阶段2策略。在项630中,网关通过发回所请求的信息到客户来进行答复。信息可以以多组属性的形式被发回,其中,每个组包含足够的信息来定义IPSec安全关联。可以从给定组中省略属性,这表明不存在该属性的值,即,该属性未被使用。网关返回的属性的组数可以由响应者的配置规定。在项640中,客户从网关所发送的信息中抽取安全配置信息。
虚线部分C可以对应于图5的项520中的阶段2协商。在项650中,使用客户所接收的安全配置,客户和网关可以协商阶段2安全关联以产生安全密钥。不同级别的安全可以被应用于每个SA。这样,多个SA可以被用来使得客户能够访问受保护的网络上的多个资源或服务。在项660中,在客户和网关之间建立起隧道,从而在客户和网关之间可以发生安全通信。
前述对优选实施例的说明被提供来使得任何本领域的技术人员能够制作或使用本发明。对这些实施例可以有各种修改,并且这里所介绍的一般原则也可以被应用于其他实施例。例如,IPSec协议可以继续发展,各种新的或修改的交换或扩展可以利用来实现本发明。新近发展的协议也可以是合适的。在其他实施例中,网关可以通过发送第二客户或网关的IP地址和安全配置来响应客户。这样,在客户与第二客户或网关之间的隧道可以被建立起来。在其他实施例中,在第一网关和第二网关之间可以建立隧道。
此外,本发明可以被部分或全部实现为硬件电路、制造到专用集成电路的电路配置、被加载到非易失存储器中的固件程序或作为机器可读代码从数据存储介质被加载或被加载到数据存储介质中的软件程序,这些代码是由诸如微处理器或其它数字信号处理单元的逻辑元件阵列可执行的指令。
这样,本发明不是目的在于被限制为上面所示的实施例,而是被赋予与这里以任何方式公开的原则和新特征一致的最宽的范围。
权利要求
1.一种用于动态配置隧道的方法,包括由第一对等方启动与第二对等方的协商;由所述第二对等方发送信息到所述第一对等方;由所述第一对等方从所述第二对等方所发送的信息中抽取安全配置;和使用所述安全配置在所述第一对等方和所述第二对等方之间建立隧道。
2.如权利要求1所述的方法,其中,所述协商利用了互联网协议安全协议的配置模式交换扩展。
3.如权利要求1所述的方法,其中,所述建立隧道包括进行互联网协议安全协议中的阶段2协商。
4.如权利要求1所述的方法,还包括由所述第一对等方启动与所述第二对等方的初步协商。
5.如权利要求4所述的方法,其中,所述启动初步协商包括进行互联网协议安全协议中的阶段1协商。
6.一种用于动态配置隧道的方法,包括由第一对等方启动与第二对等方的协商;由所述第一对等方从所述第二对等方所发送的信息中抽取安全配置;和使用所述安全配置在所述第一对等方和所述第二对等方之间建立隧道。
7.如权利要求6所述的方法,其中,所述隧道是互联网协议安全隧道。
8.如权利要求6所述的方法,其中,所述协商利用了互联网协议安全协议的配置模式交换扩展。
9.如权利要求6所述的方法,其中,所述启动包括由所述第一对等方请求所述第二对等方发送信息,所述信息包括定义所述第一对等方和所述第二对等方之间的后续协商的策略信息。
10.如权利要求9所述的方法,其中,所述策略信息定义一个或多个安全关联。
11.如权利要求10所述的方法,其中,所述由所述第二对等方发送的信息包括多组属性,所述属性包括安全参数和网络地址。
12.如权利要求6所述的方法,其中,所述建立隧道包括由所述第一对等方与所述第二对等方协商以产生安全密钥。
13.如权利要求12所述的方法,其中,所述协商以产生安全密钥包括进行互联网协议安全协议中的阶段2协商。
14.如权利要求6所述的方法,其中,所述建立隧道利用互联网协议安全协议的快速模式交换。
15.如权利要求6所述的方法,其中,所述第二对等方的IP地址对于第一对等方是可访问的。
16.如权利要求15所述的方法,其中,在所述协商之前在所述第一对等方上存储共享秘密。
17.如权利要求6所述的方法,还包括由所述第一对等方启动与所述第二对等方的初步协商,所述启动包括由所述第一对等方向所述第二对等方提供至少一个由所述第一对等方支持的安全方案。
18.如权利要求17所述的方法,其中,所述第一对等方在传输分组中对所提供的安全方案进行排序,从而较安全的安全方案在较不安全的方案之前被提供。
19.如权利要求17所述的方法,其中,所述初步协商利用了互联网协议安全协议的基模式交换扩展。
20.如权利要求17所述的方法,其中,所述启动初步协商还包括由所述第一对等方向所述第二对等方发送所述第一对等方的身份。
21.如权利要求17所述的方法,其中,所述启动初步协商包括进行互联网协议安全协议中的阶段1协商。
22.如权利要求17所述的方法,其中,所述初步协商利用了互联网协议安全协议中主模式和激进模式中的一个。
23.一种用于动态配置隧道的方法,包括由第二对等方发送信息到第一对等方,所述第一对等方启动与所述第二对等方的协商,所述信息包括意于由所述第一对等方抽取的安全配置;和使用所述安全配置,在所述第一对等方和所述第二对等方之间建立隧道。
24.如权利要求23所述的方法,其中,所述信息包括定义一个或多个安全关联的策略信息。
25.一种用于动态配置隧道的系统,包括第一对等方;和第二对等方,其被配置来通过网络连接与所述第一对等方进行通信,其中,所述第一对等方被配置来启动与所述第二对等方的协商,第二对等方被配置来发送信息到所述第一对等方,所述第一对等方被配置来从由所述第二对等方所发送的信息中抽取安全配置,和所述第一对等方和所述第二对等方被配置来使用所述安全配置在它们之间建立隧道。
26.如权利要求25所述的系统,其中,所述隧道是互联网协议安全隧道。
27.一种编码有多个处理器可执行指令序列的计算机可读介质,用于由第一对等方启动与第二对等方的协商;由所述第一对等方从由所述第二对等方发送的信息中抽取安全配置;使用所述安全配置在所述第一对等方和所述第二对等方之间建立隧道。
28.如权利要求27所述的计算机可读介质,其中,所述协商包括请求/答复协商,其中所述第一对等方请求所述第二对等方发送信息,并且所述第二对等方通过发送所述信息到所述第一对等方以答复所述请求。
29.一种编码有多个处理器可执行指令序列的计算机可读介质,用于由第二对等方发送信息到第一对等方,所述第一对等方启动与所述第二对等方的协商,所述信息包括意于被所述第一对等方抽取的安全配置;和使用所述安全配置在所述第一对等方和所述第二对等方之间建立隧道。
30.如权利要求29所述的计算机可读介质,其中,所述信息包括多组属性,所述属性包括安全参数和网络地址。
全文摘要
本发明公开了一种用于动态配置隧道的方法和系统。客户启动与网关的协商。网关发送信息到客户。客户从该信息中抽取安全配置。使用该安全配置,在客户和网关之间建立隧道,从而安全通信可以发生。
文档编号H04L29/06GK1515107SQ02811599
公开日2004年7月21日 申请日期2002年5月30日 优先权日2001年6月29日
发明者卡兰维·格雷瓦尔, 克里斯蒂娜·杰奥尔杰斯库, 卡兰维 格雷瓦尔, 蒂娜 杰奥尔杰斯库 申请人:英特尔公司