安全性关联的方法和便携式计算设备技术

技术编号:3547398 阅读:106 留言:0更新日期:2012-04-11 18:40
一种新颖的有用虚拟专用网络(VPN)机制和相关的安全性关联处理器,用于保持实现诸如加密、解密和鉴权之类安全功能所需的安全参数。安全性关联数据库(SAD)和相关电路适合于提供实现关于加密/解密和鉴权的IPSec组安全规范必需的参数。数据库中的每个安全性关联(SA)包括根据IPSec规范接收和传送VPN规范所需的全部参数。

【技术实现步骤摘要】
包含安全性关联处理器的虚拟专用网络机制
本专利技术涉及数据通信系统,更具体地说涉及实现包括安全性关联数据库和相关处理器的虚拟专用网络(VPN)的机制。
技术介绍
近年来,全球目睹了因特网的爆发性增长。每年越来越多的主机加入因特网,同时用户数目似乎无限制地增长。因特网能够实现利用不同技术(包括远程计算机登录、文件传送、万维网(WWW)浏览、电子邮件等)的通信。设计出各种各样的协议,并且这些协议在因特网上用于处理各种通信。例如,文件传送协议(FTP)用于文件传送,超文本置标语言(HTML)用于web通信等。通常,在包括OSI通信栈各层协议在内的协议的传输控制协议/网际协议(TCP/IP)组的保护下,对和因特网通信相关的协议分组。因特网的关键特征在于它是几乎具有计算机、电话线和因特网服务提供者(ISP)账户的任何人可访问的公共网络。这种大规模公众可接入性的最终趋势是它便于黑客和意图对因特网上的一个或多个主机采取恶意行动的其它人接近因特网上的一个或多个主机。对于设法侵入远程网络的计算机并成功窃取通信数据的黑客来说,诸如恶意用户窃取保密信息或者删除重要文件之类非法行为是可能的。通过在允许因特网上的安全事务的IPv6中包括诸如加密和鉴权之类安全特征,因特网体系结构委员会解决了关于安全性的需要。为了对抗黑客的威胁和保护专用网络,目前通常在公司或机制的专用网络的入口处设置防火墙。防火墙采用某一形式的分组过滤器,分组过滤器强制实现用户定义的安全策略。防火墙是位于机制的本地网络和全球因特网之间边界处的系统。它实现所有数据通信的过滤,以便防止-->信息泄漏到外部网络,或者防止从外部未经授权访问内部网络。防火墙对接收的每个分组进行拒绝/许可判定。同时,对无线服务(即蜂窝电话机、双向寻呼机、无绳设备等)和诸如膝上型计算机、PDA之类个人计算设备的需求日益增多。这些个人计算设备中的多数都包含无线通信电路,以便它们能够通过无线网络(例如蜂窝或者其它宽带方案)与诸如因特网之类WAN网络通信。从而,越来越多的PDA和蜂窝电话机正在连接到因特网上,从而这些设备存在安全风险。这些设备最好采用某一类型的防火墙防范对该设备的未经授权的访问。但是,目前多数防火墙以软件形式实现,需要整个桌上型计算机的计算资源,导致在诸如蜂窝电话机或PDA之类便携式计算设备中使用它们的成本很高或者不切实际。从而,需要一种易于用适于包含在诸如蜂窝电话机和无线连接PDA之类小型便携式电子计算设备中的小尺寸硬件实现的防火墙或分组过滤器。
技术实现思路
本专利技术提供一种新颖的有用虚拟专用网络(VPN)机制,以便提供实现加密/解密和鉴权必需的安全参数。VPN机制适合于以较低的成本用硬件实现,从而能够费用低廉地将本专利技术结合到与因特网或其它广域网连接的便携式电子通信设备中,例如蜂窝电话机、个人数字助手(PDA)、膝上型计算机等。本专利技术可和适于连接因特网的便携式计算设备,例如蜂窝电话机和无线连接PDA中基于硬件或软件的防火墙一起使用。还可用软件或硬件和软件的组合实现本专利技术的VPN机制。从而,VPN机制可被用于实现,例如通过WAN的安全分局(branch office)连接性、通过WAN的安全远程访问或者通过WAN的安全电子商务交易。VPN机制包括适于提供实现加密/解密和鉴权的安全性规范的IPSec组所需参数的安全性关联数据库(SAD)和相关电路。数据库中的每个-->安全性关联(SA)入口包括根据IPSec规范接收和传送VPN分组所需的所有参数。本专利技术对输入分组流进行涉及安全性关联(SA)的处理。注意输入分组流可包括入站分组和出站分组。通常,本专利技术被置于WAN(即因特网)和本地LAN之间。这种情况下,VPN机制过滤从WAN发送给LAN的入站分组和从LNA发送给WAN的出站分组。本专利技术的VPN机制保持称为SAD的安全参数表,用于保存和单向连接相关的安全参数。对于双向连接,需要产生两个SA。新的安全性关联被添加到SA数据库中,并且一旦被产生,根据关于特定SA保存在数据库中的参数,处理与该SA相关的后续分组。根据该分组和SA参数,分组可被加密、解密、鉴权或丢弃。注意只有当分组符合在SA数据库中规定的安全性时,才许可该分组。虽然本专利技术特别适合于用硬件实现,不过也可用软件实现本专利技术。在一个实施例中,包括处理器、存储器等的计算机执行适于实现本专利技术的VPN机制和安全性关联处理的软件。根据本专利技术,提供一种安全性关联处理器电路,包括存储多个安全性关联的安全数据的安全性关联数据库,每个入口包括和唯一套接字对应的安全性关联数据,当收到未在安全性关联数据库中找到的套接字时,打开新的安全性关联的装置,根据分组的套接字搜索和识别与之相关的安全性关联的装置,从安全性关联数据库检索多个安全参数的装置,和将多个安全参数转发给虚拟专用网络(VPN)安全处理器,以便以此执行一个或多个安全处理的装置。根据本专利技术,还提供一种虚拟专用网络(VPN)电路,包括保存多个安全性关联的安全数据的安全性关联数据库装置,每个入口包括和唯一套接字对应的安全性关联数据,多个安全引擎,每个安全引擎适合于执行安全处理,当收到未在安全性关联数据库装置中找到的套接字时,打开新的安全性关联的装置,根据输入分组的套接字搜索和识别与之相关的安全性关联的装置,从安全性关联数据库装置检索多个安全参数的装置,将多个安全参数转发给至少一个安全引擎,以便以此执行安全处-->理的装置,和适合于利用输入分组和安全处理的结果,根据特定的安全模式构建输出分组的分组建立装置。根据本专利技术,还提供一种便携式计算设备,包括适于连接该设备和通信网络的通信装置,包括易失性和非易失性存储器的存储器装置,非易失性存储器适于保存程序代码,与存储器装置和通信装置耦接,执行程序代码的处理器,和虚拟专用网络(VPN)电路,所述虚拟专用网络(VPN)电路包括保存多个安全性关联的安全数据的安全性关联数据库装置,每个入口包括和唯一套接字对应的安全性关联数据,多个安全引擎,每个安全引擎适合于执行安全处理,当收到未在安全性关联数据库装置中找到的套接字时,打开新的安全性关联的装置,根据输入分组的套接字搜索和识别与之相关的安全性关联的装置,从安全性关联数据库装置检索多个安全参数的装置,将多个安全参数转发给至少一个安全引擎,以便以此执行安全处理的装置,和适合于利用输入分组和安全处理的结果,根据特定的安全模式构建输出分组的分组建立装置。根据本专利技术,还提供一种安全性关联处理器电路,包括保存多个安全性关联的安全数据的安全性关联数据库,每个入口包括和唯一套接字对应的安全性关联数据,当收到未在安全性关联数据库中找到的套接字时,适于打开新的安全性关联的管理单元,适于根据输入分组的套接字,搜索和识别与之相关的安全性关联的识别单元,适于从安全性关联数据库检索多个安全参数,并将它们转发给虚拟专用网络(VPN)安全处理器,以便以此执行一个或多个安全处理的主处理器单元,和包含散列函数和相关散列表,简化保存的安全性关联的搜索的散列单元。根据本专利技术,还提供一种安全性关联的方法,所述方法包括下述步骤:建立适于保存多个安全性关联的安全数据的安全性关联数据库,安全性关联数据库内的每个入口对应于一个套接字,当收到未在安全性关联数本文档来自技高网
...

【技术保护点】
一种安全性关联处理器电路,包括:存储多个用于安全性关联的安全数据的安全性关联数据库,每个入口包括和唯一套接字对应的安全性关联数据;当收到未在所述安全性关联数据库中找到的套接字时,打开新的安全性关联的装置;根据分组的套 接字,搜索和识别与之相关的安全性关联的装置;从所述安全性关联数据库检索多个安全参数的装置;和将所述多个安全参数转发给虚拟专用网络(VPN)安全处理器,以便以此执行一个或多个安全处理的装置。

【技术特征摘要】
US 2001-7-10 09/902,7701、一种安全性关联处理器电路,包括:存储多个用于安全性关联的安全数据的安全性关联数据库,每个入口包括和唯一套接字对应的安全性关联数据;当收到未在所述安全性关联数据库中找到的套接字时,打开新的安全性关联的装置;根据分组的套接字,搜索和识别与之相关的安全性关联的装置;从所述安全性关联数据库检索多个安全参数的装置;和将所述多个安全参数转发给虚拟专用网络(VPN)安全处理器,以便以此执行一个或多个安全处理的装置。2、按照权利要求1所述的电路,还包括根据所述安全处理的结果,更新所述安全性关联数据库的内容的装置。3、按照权利要求1所述的电路,其中与所述安全性关联相关的参数由位于所述电路之外的实体配置,其中所述电路包括将对应于所述安全性关联数据库中的所述新的安全性关联的安全数据,以及根据与所述新安全性关联相关的套接字所计算的散列值,保存在所述安全性关联数据库中的装置。4、按照权利要求1所述的电路,其中所述安全性关联由位于所述电路之外的实体打开,其中所述电路包括将所述新安全性关联的指针插入最近最少使用(LRU)链接列表中的装置。5、按照权利要求1所述的电路,还包括从所述安全性关联数据库中去除未使用的安全性关联的装置。6、按照权利要求1所述的电路,还包括当超过最大超时时,从所述安全性关联数据库中去除未使用的安全性关联的装置。7、按照权利要求1所述的电路,还包括当超过最大字节计数时,从所述安全性关联数据库中去除未使用的安全性关联的装置。8、按照权利要求1所述的电路,其中所述搜索和识别安全性关联的装置包括:根据与将被识别的安全性关联相关的套接字来计算散列值的装置;利用散列结果作为索引,在散列表中查寻散列指针的装置;根据所述散列指针,从所述安全性关联数据库检索数据的装置;如果所检索的数据和与分组相关的套接字相符,则识别所述安全性关联的装置。9、按照权利要求1所述的电路,其中所述VPN安全处理器包括进行加密的装置。10、按照权利要求1所述的电路,其中所述VPN安全处理器包括进行解密的装置。11、按照权利要求1所述的电路,其中所述VPN安全处理器包括进行鉴权的装置。12、按照权利要求1所述的电路,其中所述VPN安全处理器包括执行IPSec规定服务的装置。13、按照权利要求1所述的电路,还包括对入站分组应用防重放机制的装置。14、按照权利要求1所述的电路,还包括跟踪入站分组的序列号的装置。15、按照权利要求1所述的电路,还包括建立并保持具有头部和尾部的最近最少使用(LRU)双重链接列表的装置,其中最近最多使用的安全性关联保存在尾部,最近最少使用的安全性关联保存在头部。16、按照权利要求15所述的电路,其中在所述LRU列表充满的情况下,删除位于头部的安全性关联,将新的安全性关联加在尾部。17、按照权利要求1所述的电路,其中所述套接字包括安全参数索引(SPI)、远程IP和协议组件。18、按照权利要求1所述的电路,其中所述安全性关联数据包括下述值任意之一或者它们的组合:IPSec模式、加密算法、加密密钥。19、按照权利要求1所述的电路,其中所述安全性关联数据包括下述值任意之一或者它们的组合:IPSec模式、鉴权算法、鉴权密钥。20、按照权利要求1所述的电路,还包括如果从所述VPN安全处理器收到误码,则拒绝所述分组的装置。21、按照权利要求1所述的电路,其中利用专用集成电路(ASIC)实现所述电路。22、按照权利要求1所述的电路,其中利用现场可编程门阵列(FPGA)实现所述电路。23、按照权利要求1所述的电路,其中利用数字信号处理器(DSP)实现所述电路。24、一种虚拟专用网络(VPN)电路,包括:保存多个用于安全性关联的安全数据的安全性关联数据库装置,每个入口包括和唯一套接字对应的安全性关联数据;多个安全引擎,每个安全引擎用于执行安全处理;当收到未在所述安全性关联数据库装置中找到的套接字时,打开新的安全性关联的装置;根据输入分组的套接字,搜索和识别与之相关的安全性关联的装置;从所述安全性关联数据库装置检索多个安全参数的装置;将所述多个安全参数转发给至少一个所述安全引擎,以便以此执行安全处理的装置;和利用所述输入分组和所述安全处理的结果,根据特定的安全模式构建输出分组的分组建立装置。25、按照权利要求24所述的电路,其中至少一个所述安全引擎用于实现IPSec隧道模式服务。26、按照权利要求24所述的电路,其中至少一个所述安全引擎用于实现IPSec传送模式服务。27、按照权利要求24所述的电路,其中至少一个所述安全引擎用于进行加密。28、按照权利要求24所述的电路,其中至少一个所述安全引擎用于进行鉴权。29、按照权利要求24所述的电路,其中至少一个所述安全引擎用于进行一种或多种IPSec服务。30、按照权利要求24所述的电路,其中利用专用集成电路(ASIC)实现所述电路。31、按照权利要求24所述的电路,其中利用现场可编程门阵列(FPGA)实现所述电路。32、按照权利要求24所述的电路,其中利用数字信号处理器(DSP)实现所述电路。33、一种便携式计算设备,包括:用于连接所述设备和通信网络的通信装置;包括易失性和非易失性存储器的存储器装置,所述非易失性存储器用于保存程序代码;与所述存储器装置和所述通信装置耦接、执行所述程序代码的处理器;和虚拟专用网络(VPN)电路,所述虚拟专用网络(VPN)电路包括:保存多个用于安全性关联的安全数据的安全性关联数据库装置,每个入口包括和唯一套接字对应的安全性关联数据;多个安全引擎,每个安全引擎用于执行安全处理;当收到未在所述安全性关联数据库装置中找到的套接字时,打开新的安全性关联的装置;根据输入分组的套接字,搜索和识别与之相关的安全性关联的装置;从所述安全性关联数据库装置检索多个安全参数的装置;将所述多个安全参数转发给至少一个所述安全引擎,以便以此执行安全处理的装置;和用于利用所述输入分组和所述安全处理的结果,根据特定的安全模式构建输出分组的分组建立装置。34、按照权利要求33所述的设备,其中所述通信网络包括广域网(WAN)。35、按照权利要求33所述的设备,其中所述通信网络包括局域网(LNA)。36、按照权利要求33所述的设备,其中所述通信网络包括因特网。37、按照权利要求33所述的设备,其中所述通信网络包括公共交换电话网(PSTN)。38、按照权利要求33所述的设备,其中至少一个所述安全引擎用于进行加密。39、按照权利要求33所述的设备,其中...

【专利技术属性】
技术研发人员:亚尼夫沙菲拉卓瑞肖哈特摩施泽扎克尼夫格尔博
申请(专利权)人:意大利电信股份公司
类型:发明
国别省市:IT[意大利]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1