维持安全网络连接的技术制造技术

公开了一种维持安全网络连接的技术。在一个具体示范性实施例中，该技术可作为维持安全网络连接的方法来实现。该方法可包括检测与第一网络部件相关联的地址的改变。该方法又包括在第一网络部件中更新至少一个第一安全配置。该方法还包括将至少一条安全消息从第一网络部件发送到第二网络部件，其中所述至少一条安全消息包括与地址的改变相关联的信息。并且该方法可包括至少部分基于所述至少一条安全消息而在第二网络部件中更新至少一个第二安全配置。

【技术实现步骤摘要】

本专利技术通常涉及电信，更具体来说，涉及維持安全网络连接的技木。
技术介绍
IP安全(IPSec)是包括由互联网工程任务组(IETF)开发的一组用来支持IP层分组的安全交換的协议的互联网协议(IP)的安全体系结构。IPSec通过使系统能选择必需的安全协议、确定用于服务的算法以及放入任何必需的密钥以提供被请求的服务来提供安全服务。IPsec使用两个协议来提供业务安全鉴权头(AH)和封装安全净荷(ESP)。为使IPsec工作，进行发送和接收的设备通常共享通过互联网安全关联及密钥管理协议(ISAKMP)处理的公钥。安全关联(SA)是完整规定必需的服务及机制以在安全协议位置处保护业务的一组安全协议特定的參数。这些參数通常包括算法标识符、模式、密钥等。SA常由其关联的安全协议(例如，“ ISAKMP SA ”、“ ESP SA ”)来引用。在两个网络部件之间的安全连接的初始化时，它们必须首先协商ISAKMP SA以保护其进一步的协商。该ISAKMP SA然后被用于协商协议SA。在协议SA的协商和建立期间，产生了用于各SA的安全參数指数(SPI)。协商的SA通常存储在安全关联数据库(SAD)中，并且SPI与目的IP地址及安全协议一起使用以唯一识别SA。通常通过启用IPsec的部件来維持的另ー数据库是指定关于所有IP分组的处置的策略的安全策略数据库(SPD)。各启用IPsec的接ロ通常分别维持入站和出站数据库(SB)和SAD)。在变得越来越普及的无线局域网(WLAN)中，移动用户使用不同的IP地址在不同子网中漫游或从一地理区域漫游到另一区域并非不常见。在移动客户端经历IP地址改变的同时，支持維持安全连接而不丢失数据的能力已变成日益所希望的。然而，当前IPs ec体系结构不支持这样的不中断原连接并重新建立新连接的IP地址改变。其结果是，漫游客户端将遭遇不可避免的网络服务的中断，这不仅对客户端不方便，而且也由于来自重复的安全协商的开销成本使网络难以负担。连接丢失问题的一个解决方案是在IPsec实现中采用移动IP。使用该解决方案，移动客户端在其归属网络中被分派较永久的移动IP地址。当客户端漫游进入外网时，他获得来自外部代理的转交IP地址并通过该外部代理与世界的其余部分进行通信。如图I所示，当该移动客户端从网络I漫游到网络2时，他不得不維持两条到安全服务器的隧道以便不丢失连接。带有两条隧道的移动IP的效率非常低并且对于资源受限的移动单元来说尤其成问题。此外，要花费相当多的开发努力来实现移动IP。鉴于前述问题，必需提供ー种克服上述不足和缺点的移动性解决方案。
技术实现思路
根据本专利技术，提供了維持安全网络连接的技术。在一具体的示范性实施例中，该技术可实现为维持安全网络连接的方法。该方法可包括检测与第一网络部件相关联的地址的改变。该方法还可包括在第一网络部件中更新至少ー个第一安全配置。该方法还可包括将至少一条安全消息从第一网络部件发送到第二网络部件，其中所述至少一条安全消息包括与地址的改变相关联的信息。并且该方法可包括至少部分基于所述至少一条安全消息而在第二网络部件中更新至少ー个第二安全配置。根据本专利技术的该具体示范性实施例的其他方面，对安全关联的查找可不依赖于任何目的地址。根据本专利技术的该具体示范性实施例的另ー些方面，第一网络部件可以是移动客户端并且第二网络部件可以是安全网关。根据本专利技术的该具体示范性实施例的又ー些方面，第一网络部件和第二网络部件·可以是虚拟专用网(VPN)的一部分。根据本专利技术的该具体示范性实施例的其他方面，在第一网络部件和第二网络部件间的通信可基于互联网协议的安全体系结构(IPsec)。在第一网络部件和第二网络部件间的通信中的至少一部分可基于互联网安全关联和密钥管理协议(ISAKMP)。第二网络部件可基于在至少一条安全消息中的至少ー个cookie字段来识别至少ー个安全关联。在另一具体示范性实施例中，该技术可通过用于发送指令的计算机程序的至少ー个载波中体现的至少ー个信号来实现，所述至少ー个信号配置成可由至少ー个处理器读取以命令上述至少ー个处理器来执行用以完成上述方法的计算机进程。在又一具体示范性实施例中，该技术可通过用于存储指令的计算机程序的至少ー个处理器可读载波来实现，所述处理器可读载波配置成可由至少ー个处理器读取以命令上述至少一个处理器来执行用以完成上述方法的计算机进程。在又一具体示范性实施例中，该技术可作为用于维持安全网络连接的方法来实现。该方法可包括在第二网络部件和第三网络部件之间复制与第一网络部件和第二网络部件之间的安全网络连接相关联的信息，其中与安全网络连接相关联的安全关联的查找不依赖于任何目的地址。该方法还包括用与第一网络部件连接的安全网络中的第三网络部件来取代第二网络部件。该方法还包括将至少一条安全消息从第三网络部件发送到第一网络部件。在另一具体示范性实施例中，该技术可作为用于维持安全网络连接的方法来实现。该方法可包括配置多个安全网关以便安全关联的查找不依赖于任何目的地址。该方法还可包括在多个安全网关中共享至少ー个安全关联。在又一具体示范性实施例中，该技术可通过用于維持安全网络连接的系统来实现。该系统可包括检测与第一网络部件相关联的地址改变的装置、在第一网络部件中更新至少ー个第一安全配置的装置、将至少一条包括与地址改变相关联的信息的安全消息从第一网络部件发送到第二网络部件的装置、以及基于所述至少一条安全消息来在第二网络部件中更新至少ー个第二安全配置的装置。现在将示出在參考附图中的示范性实施例更详细地说明本专利技术。尽管下文參考示范性实施例说明本专利技术，但是应当理解本专利技术并不限于此。那些阅读了本文教授内容的本领域的技术人员会认识到本文所公开和要求的本专利技术的另外实现、修改和实施例以及其它领域的使用，关于它们，本专利技术具有明显的实用性。附图说明为了便于更完整地理解本专利技术，现在參考附图，其中相似的部件用相似的标记表示。这些附图不应解释为限制本专利技术，而仅作为范例。图I是在现有技术中采用的移动IP解决方案的示意性说明。图2是说明根据本专利技术的实施例用于维持安全网络连接的示范性方法的流程图。图3是根据本专利技术的实施例的示范性IPsec分组的说明。 图4是根据本专利技术的实施例说明用于维持安全网络连接的示范性系统的框图。图5是根据本专利技术的实施例说明高可用性的示范性实现的框图。图6是根据本专利技术的实施例说明群安全模式的示范性实现的框图。具体实施例方式为了说明的目的，下面将特别參考隧道模式中的IPsec来说明根据本专利技术用于维持安全网络连接的技木。然而，应理解该技术可适用于任何安全网络协议而不需考虑操作的模式。下文使用的“安全网关”指任何实现IPsec协议的中间或终端系统，如路由器、防火墙或服务器。“移动客户端”指使用IPsec协议与安全网关通信的远程用户或单元。ー个或多个安全网关和移动客户端可建立安全网络系统。參考图2，示出了根据本专利技术的实施例说明维持安全网络连接的示范性方法。在步骤200中，使安全关联(SA)查找独立于系统范围之目的IP地址。在隧道模式中的IPsec的上下文中，IPsec处理的分组通常具有如图3所示的格式。该分组包括外IP头、IPsec头、内IP头和其他数据。包含最初的源和目的地址的内IP头以及其他数据(例如净本文档来自技高网...

【技术保护点】
一种维持在第一网络部件和第二网络部件之间的安全连接的方法，所述安全连接由在第一网络部件和第二网络部件之间建立的安全关联来获得，所述方法包括：在第一网络部件处检测与第一网络部件相关联的地址从第一地址到第二地址的改变；将至少一条安全消息从所述第一网络部件发送到所述第二网络部件，所述至少一条安全消息具有所述第二地址作为源地址，其根据所建立的安全关联来获得并指示与所述第一网络部件相关联的地址的改变；在所述第二网络部件处鉴权所述至少一条安全消息；以及响应于鉴权所述至少一条安全消息，至少部分地基于所述至少一条安全消息在所述第二网络部件处更新安全配置。

【技术特征摘要】
2004.03.03 US 10/791,4141.一种维持在第一网络部件和第二网络部件之间的安全连接的方法，所述安全连接由在第一网络部件和第二网络部件之间建立的安全关联来获得，所述方法包括 在第一网络部件处检测与第一网络部件相关联的地址从第一地址到第二地址的改变； 将至少一条安全消息从所述第一网络部件发送到所述第二网络部件，所述至少一条安全消息具有所述第二地址作为源地址，其根据所建立的安全关联来获得并指示与所述第一网络部件相关联的地址的改变； 在所述第二网络部件处鉴权所述至少一条安全消息；以及 响应于鉴权所述至少一条安全消息，至少部分地基于所述至少一条安全消息在所述第ニ网络部件处更新安全配置。2.如权利要求I所述的方法，其中所建立的安全关联是互联网安全关联密钥管理协议(ISAKMP)安全关联(SA)。3.如权利要求2所述的方法，其中所述至少一条安全消息是使用与ISAKMPSA相关联的密钥来保护的完整性。4.如权利要求3所述的方法，其中，通过利用与ISAKMPSA相关联的密钥验证所述至少一条安全消息的完整性，所述第二网络部件鉴权所述至少一条安全消息。5.如权利要求2所述的方法，其中所述至少一条安全消息包括至少指示与所述第一网络部件相关联的地址的改变的ISAKMP通知消息。6.如权利要求2所述的方法，其中 所述第二网络部件利用所述至少一条安全消息的ISAKMP头中的至少ー个cookie字段来确定ISAKMP SA ;以及 所述第二网络部件利用所确定的ISAKMP SA来处理所述至少一条安全消息。7.如权利要求6所述的方法，其中 所述第二网路部件处理所述至少一条安全消息来确定与所述第一网络部件相关联的第二地址；以及 所述第二网路部件更新所述第二网络部件中的安全配置，从而将ISAKMP SA和与所述第一网络部件相关联的第二地址相关联。8.如权利要求2所述的方法，其中 所述第二网络部件利用至少ー个安全參数指数(SPI)来确定ISAKMP SA。9.如权利要求I所述的方法，还包括基干与所述第一网络部件相关联的地址的改变在所述第一网络部件处更新至少ー个安全配置。10.如权利要求6所述的方法，其中，不依赖于所述至少一条安全消息中的任何目的地址，所述第二网络部件确定ISAKMP SA。11.如权利要求I所述的方法，其中所述第一网络部件是移动客户端而所述第二网络部件是安全网关。12.如权利要求I所述的方法，其中所述第一网络部件和所述第二网络部件是虚拟专用网络(VPN)部件。13.如权利要求I所述的方法，其中在所述第一网络部件和所述第二网络部件之间的通信基于互联网协议安全体系结构(IPsec)。14.如权利要求I所述的方法，还包括协商在所述第一网络部件和所述第二网络部件之间的安全关联。15.如权利要求14所述的方法，还包括基于所述协商在所述第一网络部件和所述第ニ网络部件之间建立所述安全关联。16.一种维持在第一网络部件和第二网络部件之间的安全连接的方法，...

【专利技术属性】
技术研发人员：J香，S什尔古尔卡，V森科夫，C达斯，
申请(专利权)人：北方电讯网络有限公司，
类型：发明
国别省市：