Some embodiments described herein are generally used to assign security parameter index (\SPI\) values to multiple endpoints in a network, and SPI values can be derived using SPI export formulas and multiple parameters. In some embodiments, the SPI value can be exported by the endpoint, while in other embodiments, the SPI value can be exported by the server. Using SPI export formulas and multiple parameters enables endpoints and servers to export SPI values immediately without requiring the server to store them.
【技术实现步骤摘要】
【国外来华专利技术】用于分配SPI值的系统与方法相关申请本申请关于并要求于2017年2月2日提交的、题为“用于分配SPI值的系统与方法(SYTEMSANDMETHODSFORALLOCATINGSPIVALUES)”的美国非临时专利申请15/423,063的优先权,该申请的全部内容通过引用合并于此。
技术介绍
软件定义的网络(SDN:Software-definedNetworking)可以利用分布式网络加密(DNE:DistributedNetworkEncryption),其是在SDN框架内创建的一种功能,用于简化与IP安全协议(IPSec)相关联的密钥管理。在一些实施例中,DNE通过允许网络控制器向逻辑网络内的各个主机分发加密密钥以及安全参数索引(“SPI”)值,从而避免了在IPSec中使用互联网密钥交换(IKE:InternetKeyExchange)协议的需要。DNE可以根据每个密钥策略分发相同的加密密钥和SPI值。通常,为了跟踪分配给主机的SPI值,网络控制器和/或主机本身会存储这些值。此外,每当单个主机重启时,所分配的SPI值可能会改变,新的SPI值可能会分发给支持DNE的主机和服务器。
技术实现思路
本文描述了用于将SPI值分配给网络中的多个端点(“EP”)的方法的一个或更多个实施例。该方法包括:在第一端点处独立地使用SPI导出公式和一个或更多个参数导出SPI值。该方法还包括:使用SPI值在第一端点和第二端点之间建立安全通信通道。该方法还包括:第一端点通过安全通信通道与第二端点通信。本文还描述了计算机系统的 ...
【技术保护点】
1.一种将安全参数索引(“SPI”)值分配给网络中的多个端点的方法,所述方法包括:/n在第一端点处使用SPI导出公式和一个或更多个参数独立地导出SPI值;/n使用所述SPI值在所述第一端点和第二端点之间建立安全通信通道;以及/n由所述第一端点通过所述安全通信通道与所述第二端点通信。/n
【技术特征摘要】 【专利技术属性】
【国外来华专利技术】20170202 US 15/423,0631.一种将安全参数索引(“SPI”)值分配给网络中的多个端点的方法,所述方法包括:
在第一端点处使用SPI导出公式和一个或更多个参数独立地导出SPI值;
使用所述SPI值在所述第一端点和第二端点之间建立安全通信通道;以及
由所述第一端点通过所述安全通信通道与所述第二端点通信。
2.如权利要求1所述的方法,其中所述一个或更多个参数包括与所述第一端点相对应的源端点ID号。
3.如权利要求2所述的方法,其中所述一个或更多个参数还包括移位因子和密钥策略号。
4.如权利要求3所述的方法,其中所述一个或更多个参数还包括最大端点ID号和最大密钥策略号。
5.如权利要求4所述的方法,其中所述SPI导出公式为:
SPI=SPI(Ki,EP,Sj)=EPmax*[(Ki-Sj+Kmax)%Kmax]+EPj+1;并且
其中,SPI表示与所述SPI值相对应的二进制值,Ki对应于所述密钥策略号,EPmax对应于所述最大端点ID号,所述最大端点ID号是指所述网络能够支持的最大端点数,EPmax是常数,Kmax对应于所述最大密钥策略号,所述最大密钥策略号是指所述网络能够支持的最大密钥策略数,EPj对应于所述源端点ID号,以及Sj对应于所述移位因子。
6.如权利要求1所述的方法,其中所述一个或更多个参数包括与所述第一端点相对应的源端点ID号,以及与所述第二端点相对应的目的地端点ID号。
7.如权利要求6所述的方法,其中所述一个或更多个参数还包括密钥策略号和行号。
8.如权利要求7所述的方法,其中所述行号使用与所述第二端点相对应的值和与所述密钥策略号相对应的值计算。
9.如权利要求8所述的方法,其中所述SPI导出公式为:
SPI=SPI(Ki,EPsrc,EPdst)=EPmax*Row(Ki,EPdst)+EPsrc;和
其中,SPI表示与所述SPI值相对应的二进制值,Ki对应于所述密钥策略号,EPsrc对应于所述源端点ID号,EPdst对应于所述目的地端点ID号,EPmax对应于所述最大端点ID号,所述最大端点ID号是指所述网络能够支持的最大端点数,其中EPmax是常数,以及Row(Ki,EPdst)对应于所述行号,并且能够由映射函数导出。
10.如权利要求1所述的方法,其中所述第二端点被配置为使用所述SPI导出公式和第二组一个或更多个参数独立地导出第二SPI值,并且其中,在所述第一端点和所述第二端点之间建立所述安全通信通道包括:使用所述SPI值建立用于从所述第一端点到所述第二端点的通信的第一安全关联,以及使用所述第二SPI值建立用于从所述第二端点到所述第一端点的通信的第二安全关联。
11.如权利要求1所述的方法,其中由所述第一端点进行的通信包括:使用所述SPI值加密数据,以及通过所述安全通信通道将经加密的数据发送到所述第二端点,其中所述第二端点被配置为使用所述SPI导出公式和所述一个或更多个参数独立地导出所述SPI值,并且其中,所述第二端点还被配置为基于所述SPI值接收和解密所述经加密的数据。
12.一种计算机系统,其中所述计算机系统的系统软件被编程为执行一种方法,所述方法用于将安全参数索引(“SPI”)值分配给网络中的多个端点,所述方法包括:
在第一端点处使用SPI导出公式和一个或更多个参数独立地导出SPI值;
使用所述SPI值在所述第一端点和第二端点之间建立安全通信通道;以及
由所述第一端点通过所述安全通信通道与所述第二端点通信。
13.如权利要求12所述的计算机系统,其中所述一个或更多个参数包括与所述第一端点相对应的源端点ID号。
14.如权利要求13所述的计算机系统,其中所述一个或更多个参数还包括移位因子和密钥策略号。
15.如权利要求14所述的计算机系统,其中所述一个或更多个参数还包括最大端点ID号和最大密钥策略号。
16.如权利要求15所述的计算机系统,其中所述SPI导出公式为:
SPI=SPI(Ki,EP,Sj)=EPmax*[(Ki-Sj+Kmax)%Kmax]+EPj+1;并且
其中,SPI表示与所述SPI值相对应的二进制值,Ki对应于所述密钥策略号,EPmax对应于所述最大端点ID号,所述最大端点ID号是指所述网络能够支持的最大端点数,Kmax对应于所述最大密钥策略号,所述最大密钥策略号是指所述网络能够支持的最大密钥策略数,EPmax是常数,EPj对应于所述源端点ID号,以及Sj对应于所述移位因子。
17.如权利要求12所述的计算机系统,其中所述一个或更多个参数包括与所述第一端点相对应的源端点ID号和与所述第二端点相对应的目的地端点ID号。
18.如权利要求17所述的计算机系统,其中所述一个或更多个参数还包括密钥策略号和行号。
19.如权利要求18所述的计算机系统,其中所述行号使用与所述第二端点相对应的值和与所述密钥策略号相对应的值计算。
技术研发人员:A·乔普拉,李辰,G·钱德拉谢卡尔,杨晋强,S·皮莱,钱斌,
申请(专利权)人:NICIRA股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。