提升IPsec性能和防窃听安全性制造技术

一种网元(NE)，包括：所述网元(NE)包括：存储器设备，用于存储指令；处理器，用于通过将数据流的第一多个数据包划分为第一多个子流，并使所述第一多个子流经由网络传输至第二NE来执行指令，其中所述第一多个子流使用包括多个并行子SA的第一因特网协议安全协议(IPsec)安全联盟(SA)集群进行传输。本发明专利技术还包括一种网元(NE)，包括处理器，用于使用因特网密钥交换协议(IKE)或IKE版本2(IKEv2)在所述NE和第二NE之间创建包括第一多个子SA的IPsec SA集群，其中所述第一子SA是单向的，以及所述第一子SA用于在同一方向传输第一多个数据包。

【技术实现步骤摘要】
【国外来华专利技术】提升IPsec性能和防窃听安全性相关申请案的交叉参考本专利技术要求2012年3月30日由张向阳等人递交的专利技术名称为“多路径IP层安全”的第61/618359号美国临时专利申请案的在先申请优先权，其以引用方式并入本文本中，如全文再现一般。关于由联邦政府赞助的研究或开发的声明不适用。缩微平片附件的引用不适用。
技术介绍
可要求联网设备跨多个网络进行通信。某些设备可能要求这类通信保持安全。经由安全网络互连的设备可依赖该安全网络中固有的安全措施来为任意跨网络通信提供这种安全。还可要求这些设备跨不安全的网络进行通信。例如，一台主机可经由互联网和另一主机、客户端、网络等通信，这可能是部分、不均衡和/或完全不安全的。通信可仅如提供给发送方和接收方之间任意点通信的最低安全级别那样安全。网络设备可采用各种安全协议来维持通过不安全网络的通信的安全性。例如，源网络设备可与目标网络设备协商安全连接和/或通信，只要这两个网络设备都配置为采用相同的安全协议(一个或多个)。
技术实现思路
在一项实施例中，本专利技术包括一种网元(NE)，包括：存储器设备，用于存储指令；处理器，用于通过将数据流的第一多个数据包划分为第一多个子流，并使所述第一多个子流经由网络传输至第二NE来执行指令，其中所述第一多个子流使用包括多个并行子SA的第一因特网协议安全协议(IPsec)安全联盟(SA)集群进行传输。在另一项实施例中，本专利技术包括一种网元(NE)，包括处理器，用于使用因特网密钥交换协议(IKE)或IKE版本2(IKEv2)在所述NE和第二NE之间创建包括第一多个子SA的IPsecSA集群，其中所述第一子SA是单向的，以及所述第一子SA用于在同一方向传输第一多个数据包。在另一项实施例中，本专利技术包括一种方法，包括建立多个IPsecSA子隧道以及将所述SA子隧道聚集在一起形成SA集群。结合附图和权利要求书，可从以下的详细描述中更清楚地理解这些和其他特征。附图说明为了更完整地理解本专利技术，现在参考以下结合附图和详细描述进行的简要描述，其中相同参考标号表示相同部分。图1是IPsec安全架构的实施例的示意图。图2是IPsec安全架构的另一实施例的示意图。图3是创建SA集群的方法的实施例的流程图。图4是为数据子流选择子SA的方法的实施例的流程图。图5是经由SA集群接收数据的方法的实施例的流程图。图6是NE的实施例的示意图。具体实施方式IPsec是一种安全协议组，包括保护跨越各种网络的互联网协议(IP)通信安全的安全协议，如互联网工程任务组(IETF)文档请求注解(RFC)4301中所述，该文档以引用的方式并入。IPsec可保护IP层中的(例如，第三层和/或开放系统互连(OSI)模型的网络层)通信安全。IPsec可以是保护安全网关之间的数据流(例如，信息)的端到端安全方案。IPsec可采用单向SA对保护包括数据包的数据流。例如，本地安全网关可采用第一SA保护传输到远端安全网关的信息，采用第二SA保护从远端安全网关接收的信息。IPsec还可允许SA束，该SA束可包括嵌套在SA内的SA)(例如，隧道内的隧道)。IPsec可能限于采用SA对和/或SA束对。IPsec可以一种连续方式在SA上传输包。另外，可为每个SA指配唯一的安全参数索引(SPI)。因此，窃听节点可通过监控单个网络节点来接收SA保护的通过隧道的所有包并可使用SPI关联这些包。如果窃听节点突破了SA安全措施，该窃听节点可完全自由访问整个数据流。本文本中公开了增强保护不安全网络上传输的数据流量的一种方法和/或系统。可通过将数据流分割成多个子流并且并行传输这些子流(例如，经由子隧道和/或传输信息)来增强对IPsec数据的保护。可针对每个子流独立建立每个子SA。可合并子SA以形成SA集群。每个子SA可包括唯一的SPI。SA集群的子SA可采用或不采用本地安全网关和远端安全网关之间不同的网络路径。因此，窃听节点可能不能通过监控沿网络路径的单个节点来访问所有子流且可能意识不到其他网络路径的存在、数目或路线。由于每个子SA可包括唯一的SPI，从多个子流获取包的窃听节点也不能关联数据包以确定它们和同一个流相关。另外，子流的并行传输可允许传输效率相比串行传输有所提升。SA集群可在IETF文档draft-zhang-ipsecme-multi-path-ipsec-02中进一步描述，该文档以引用方式并入。该方法和/或系统可通过将数据流量扩展到多个路径上来提升安全服务。例如，这种扩展可能增加攻击者成功拦截所有包的难度，因为可能使用了不同的路线。即便当使用相同的路线时，攻击者/窃听者可能难以确定哪个SA集是某特定集群SA的一部分，哪个可能增加解密拦截到的包的难度。并且，多个路径的选择可提供(例如，链路失败时)增强的可靠性。多个SA的使用还可为优化的性能和最优网络控制提供额外的选择。这些技术可提升IPsec提供的安全服务。SA集群可提供在不同包上执行不同密码变换的选择。另外，SA集群还可提供沿不同路径传输包的选择。图1是IPsec安全架构100的一项实施例的示意图。IPsec安全架构100可包括主机150和主机151，其可经由安全网关110和112在位于不安全网络130中的路由器120上进行通信。主机150和151可分别经由安全连接143和144连接到安全网关110和112。主机150和151可能希望在不安全网络130上通信。安全网关110可(例如，通过使用IKE和/或IKEv2)为向安全网关112的传输建立单向SA141。类似地，安全网关112可为向安全网关110的传输建立单向SA142，这可能产生SA对。主机150可通过经由安全连接143与安全网关110通信来向主机151传输数据，主机150可使用SA141经由路由器120在不安全的网络130上向安全网关112传输信息。这类信息随后可经由安全连接144路由到主机151，保证所传输的信息的端到端安全。主机151可以大体相同的方式向主机152传输数据包，但可能采用SA142而非SA141。主机(例如，主机150和151)可以是经由网络与另一台主机通信的任意设备。例如，主机150和/或151可包括服务器、客户端终端或其组合。主机150和151可用于出于分享资源、响应业务请求、应用托管等目的的数据通信。例如，主机150可包括客户端终端，主机151可包括服务器，且主机151可托管应用并响应来自主机150的应用请求。又如，主机150和151每个都可包括虚拟机(VM)、存储空间、处理资源等资源，并且可在网络连接上动态重定位数据、应用等。安全网关(例如，安全网关110和112)可以是位于安全网络边缘的任意NE。安全网络可包括安全连接，例如安全连接143和144。安全网关110和112可为位于安全网络内的任意设备和/或遍历安全网络的通信提供安全。安全网关110和112可防止未经授权访问安全网络(例如，防火墙)并且为离开安全网络的通信实施安全协议。例如，如果主机150和151每个都位于数据中心，安全网关110和112可位于数据中心网络的边缘，使得离开安全网络的所有流量都经过网关110和/或112。安全网关110和112可分别从主机150和151接收数据，并且通过在不安全网络130(例如，互联网)上创建I本文档来自技高网...

【技术保护点】
一种网元(NE)，其特征在于，包括：存储器设备，用于存储指令；以及处理器，用于通过如下方式执行所述指令：将数据流的第一多个数据包划分为第一多个子流；以及使所述第一多个子流经由网络传输至第二NE，其中所述第一多个子流使用包括多个并行子SA的第一因特网协议安全协议(IPsec)安全联盟(SA)集群进行传输。

【技术特征摘要】
【国外来华专利技术】2012.03.30 US 61/618,3591.一种网元(NE)，其特征在于，包括：存储器设备，用于存储指令；以及处理器，用于通过如下方式执行所述指令：将数据流的第一多个数据包划分为第一多个子流；以及使所述第一多个子流经由网络传输至第二NE，其中所述第一多个子流使用包括多个并行子SA的第一因特网协议安全协议(IPsec)安全联盟(SA)集群进行传输，所述多个并行子SA中的每个子SA针对所述第一多个子流中的每个子流独立建立。2.根据权利要求1所述的NE，其特征在于，所述多个并行子SA中的第一子SA与第二子SA经过不同的网络路径。3.根据权利要求1所述的NE，其特征在于，所述多个并行子SA中的第一子SA与第二子SA经过相同的网络路径。4.根据权利要求1所述的NE，其特征在于，所述子SA不是嵌套的。5.根据权利要求1所述的NE，其特征在于，所述数据流的所述数据包通过使用选择算法在所述第一多个子SA之间分发。6.根据权利要求5所述的NE，其特征在于，所述选择算法包括轮询选择算法、随机选择算法或其组合。7.根据权利要求1所述的NE，其特征在于，所述多个子SA中的每个包括安全参数指标(SPI)，以及所述每个子SASPI包括不同于其他每个子SASPI的值。8.根据权利要求1所述的NE，其特征在于，所述处理器进一步用于经由第二IPsecSA集群接收来自所述第二NE的第二多个子流。9.根据权利要求8所述的NE，其特征在于，所述第二多个子流包括第二多个数据包，以及所述处理器进一步用于通过使用防重放位图在所述第二多个数据包上执行防重放功能来执行所述指令。10.根据权利要求1所述的NE，其特征在于，所述第一多个数据包每个都包括序列号，以及所述序列号基于与数据包相关联的所述子流确定，而非基于所述数据流确定。11.一种网元(NE)，其特征在于，包括：处理器，用于使用因特网密钥交换协议(IKE)或IKE版本2(IKEv2)在所述NE和第二NE之间创建包括第一多个并行子SA的因特网协议安全协议(IPsec)安全联盟(SA)集群，其中所述第一多个并行子SA是单向的，以及所述第一多个并行子SA用于在同一方向传输第一多个数据包，所述第一多个并行子SA中的每个子SA针对与所述第一多个数据包相关联的多个子流中的一个子流独立建立。12.根据权利要求11所述的NE，其特征在于，所述处理器进一步用于在通信会话期间经由网络使用所述第一多个并行子SA将所述第一多个数据包传输到所述第二NE。13.根据权利要求12所述的NE，其特征在于，所述处理器进一步用于在所述通信会话期间经由所述网络接收来自所述第二NE的第二多个数据包，以及所述...

【专利技术属性】
技术研发人员：宋继飞，易晓勇，张向阳，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44