维持安全网络连接的技术制造技术

公开了一种维持安全网络连接的技术。在一个具体示范性实施例中，该技术可作为维持安全网络连接的方法来实现。该方法可包括检测与第一网络部件相关联的地址的改变。该方法又包括在第一网络部件中更新至少一个第一安全配置。该方法还包括将至少一条安全消息从第一网络部件发送到第二网络部件，其中所述至少一条安全消息包括与地址的改变相关联的信息。并且该方法可包括至少部分基于所述至少一条安全消息而在第二网络部件中更新至少一个第二安全配置。

【技术实现步骤摘要】

本专利技术通常涉及电信，更具体来说，涉及維持安全网络连接的技木。
技术介绍
IP安全(IPSec)是包括由互联网工程任务组(IETF)开发的一组用来支持IP层分组的安全交換的协议的互联网协议(IP)的安全体系结构。IPSec通过使系统能选择必需的安全协议、确定用于服务的算法以及放入任何必需的密钥以提供被请求的服务来提供安全服务。IPsec使用两个协议来提供业务安全鉴权头(AH)和封装安全净荷(ESP)。为使IPsec工作，进行发送和接收的设备通常共享通过互联网安全关联及密钥管理协议(ISAKMP)处理的公钥。安全关联(SA)是完整规定必需的服务及机制以在安全协议位置处保护业务的一组安全协议特定的參数。这些參数通常包括算法标识符、模式、密钥等。SA常由其关联的安全协议(例如，“ ISAKMP SA ”、“ ESP SA ”)来引用。在两个网络部件之间的安全连接的初始化时，它们必须首先协商ISAKMP SA以保护其进一步的协商。该ISAKMP SA然后被用于协商协议SA。在协议SA的协商和建立期间，产生了用于各SA的安全參数指数(SPI)。协商的SA通常存储在安全关联数据库(SAD)中本文档来自技高网...

【技术保护点】
一种维持在第一网络部件和第二网络部件之间的安全连接的方法，所述安全连接由在第一网络部件和第二网络部件之间建立的安全关联来获得，所述方法包括：在第一网络部件处检测与第一网络部件相关联的地址从第一地址到第二地址的改变；将至少一条安全消息从所述第一网络部件发送到所述第二网络部件，所述至少一条安全消息具有所述第二地址作为源地址，其根据所建立的安全关联来获得并指示与所述第一网络部件相关联的地址的改变；在所述第二网络部件处鉴权所述至少一条安全消息；以及响应于鉴权所述至少一条安全消息，至少部分地基于所述至少一条安全消息在所述第二网络部件处更新安全配置。

【技术特征摘要】
2004.03.03 US 10/791,4141.一种维持在第一网络部件和第二网络部件之间的安全连接的方法，所述安全连接由在第一网络部件和第二网络部件之间建立的安全关联来获得，所述方法包括 在第一网络部件处检测与第一网络部件相关联的地址从第一地址到第二地址的改变； 将至少一条安全消息从所述第一网络部件发送到所述第二网络部件，所述至少一条安全消息具有所述第二地址作为源地址，其根据所建立的安全关联来获得并指示与所述第一网络部件相关联的地址的改变； 在所述第二网络部件处鉴权所述至少一条安全消息；以及 响应于鉴权所述至少一条安全消息，至少部分地基于所述至少一条安全消息在所述第ニ网络部件处更新安全配置。2.如权利要求I所述的方法，其中所建立的安全关联是互联网安全关联密钥管理协议(ISAKMP)安全关联(SA)。3.如权利要求2所述的方法，其中所述至少一条安全消息是使用与ISAKMPSA相关联的密钥来保护的完整性。4.如权利要求3所述的方法，其中，通过利用与ISAKMPSA相关联的密钥验证所述至少一条安全消息的完整性，所述第二网络部件鉴权所述至少一条安全消息。5.如权利要求2所述的方法，其中所述至少一条安全消息包括至少指示与所述第一网络部件相关联的地址的改变的ISAKMP通知消息。6.如权利要求2所述的方法，其中 所述第二网络部件利用所述至少一条安全消息的ISAKMP头中的至少ー个cookie字段来确定ISAKMP SA ;以及 所述第二网络部件利用所确定的ISAKMP SA来处理所述至少一条安全消息。7.如权利要求6所述的方法，其中 所述第二网路部件处理所述至少一条安全消息来确定与所述第一网络部件相关联的第二地址；以及 所述第二网路部件更新所述第二网络部件中的安全配置，从而将ISAKMP SA和与所述第一网络部件相关联的第二地址相关联。8.如权利要求2所述的方法，其中 所述第二网络部件利用至少ー个安全參数指数(SPI)来确定ISAKMP SA。9.如权利要求I所述的方法，还包括基干与所述第一网络部件相关联的地址的改变在所述第一网络部件处更新至少ー个安全配置。10.如权利要求6所述的方法，其中，不依赖于所述至少一条安全消息中的任何目的地址，所述第二网络部件确定ISAKMP SA。11.如权利要求I所述的方法，其中所述第一网络部件是移动客户端而所述第二网络部件是安全网关。12.如权利要求I所述的方法，其中所述第一网络部件和所述第二网络部件是虚拟专用网络(VPN)部件。13.如权利要求I所述的方法，其中在所述第一网络部件和所述第二网络部件之间的通信基于互联网协议安全体系结构(IPsec)。14.如权利要求I所述的方法，还包括协商在所述第一网络部件和所述第二网络部件之间的安全关联。15.如权利要求14所述的方法，还包括基于所述协商在所述第一网络部件和所述第ニ网络部件之间建立所述安全关联。16.一种维持在第一网络部件和第二网络部件之间的安全连接的方法，...

【专利技术属性】
技术研发人员：J香，S什尔古尔卡，V森科夫，C达斯，
申请(专利权)人：北方电讯网络有限公司，
类型：发明
国别省市：