專利名稱:用于提供用于加密分組數(shù)據(jù)的安全關(guān)聯(lián)的方法
技術(shù)領(lǐng)域:
本公開一般地涉及在通信系統(tǒng)中的分組的安全傳輸,并且更具體地�,涉及提供用于加密分組數(shù)據(jù)的安全關(guān)聯(lián)。
背景技術(shù):
在現(xiàn)今的很多情況下���,當(dāng)源端點將信息發(fā)送到目的地端點時,信息可以通過諸如因特網(wǎng)的未保護(hù)的網(wǎng)絡(luò)���。根據(jù)信息的性質(zhì)���,可能需要以一種或多種方式來保護(hù)該信息。例如�����,端點可以實現(xiàn)一個或多個核心安全服務(wù)�����,諸如保密性����、認(rèn)證等�,其中保密性(例如����,加密/解密算法的使用)提供信息隱私性并被應(yīng)用于信息,使得僅可由期望的接收方來理解�,并且認(rèn)證是估計信息的源發(fā)方和接收方的真實性的過程。很多的現(xiàn)有安全協(xié)議都可以用于提供核心安全服務(wù)��。這樣的協(xié)議組是由因特網(wǎng)工程任務(wù)組(IETF)規(guī)定的很多標(biāo)準(zhǔn)文檔中定義的因特網(wǎng)協(xié)議安全(msec)�����。(例如�,參見http://www.ietf. org)根據(jù)這些現(xiàn)有協(xié)議(包括IPsec)為了使端點保護(hù)其向另一個端點發(fā)送的信息(或者相反地,為了從端點接收和解密保護(hù)的信息)�,必須建立安全關(guān)聯(lián)(SA)。在此使用的術(shù)語SA包括描述由端點使用來保護(hù)在一個方向上流動的信息或業(yè)務(wù)的協(xié)議和參數(shù)(諸如���,密鑰和算法)的元素���。因此,在正常的雙向業(yè)務(wù)中�,通過一對SA來保護(hù)流�����。SA元素被存儲在安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)中���。這些SA元素包括例如但不限于安全參數(shù)索引、源地址����、目的地地址、諸如安全協(xié)議標(biāo)識符(ID)的安全參數(shù)��、一個或多個密鑰ID���、一個或多個算法ID等,這些SA元素使端點能夠確定如何對發(fā)送到或來自另一個端點的信息進(jìn)行加密/解密和/或認(rèn)證�����。存在用于將SA提供給端點的兩種方法����。第一種方法是手動提供,例如��,使用密鑰變量加載器(key variable loader, KVL)。然而��,該方法僅當(dāng)存在有限數(shù)目的要提供的SA元素時并且當(dāng)那些元素不隨時間而改變時是實用的�。然而,很多系統(tǒng)都配置有基礎(chǔ)設(shè)施端點(例如�,服務(wù)器或網(wǎng)關(guān)),該基礎(chǔ)設(shè)施端點與具有可能隨時間而改變的地址的幾百甚至幾千個端點(例如�����,訂戶單元�、計算機(jī)終端等)進(jìn)行通信,其中��,向基礎(chǔ)設(shè)置端點手動地提供用于系統(tǒng)中的所有端點的SA是不實際的����。在這些系統(tǒng)配置中,需要動態(tài)提供的第二種方法����。一種這樣的動態(tài)提供方法是實現(xiàn)在2005年12月公布的請求注解(RFC) 4306中定義的公知的因特網(wǎng)安全交換(IKE)協(xié)議,其中����,兩個端點通過消息信令交換來協(xié)商SA元素��。然而�����,IKE協(xié)議的缺點在于����,當(dāng)由于需要交換以建立所有SA的大量消息而導(dǎo)致在系統(tǒng)中存在大量端點用戶時�,不利地影響系統(tǒng)中的射頻資源或帶寬。該問題在使用窄帶鏈接的系統(tǒng)中被放大����。而且,當(dāng)在系統(tǒng)中存在大量端點用戶時�����,基礎(chǔ)設(shè)施端點中的SAD可能快速地變?yōu)椴豢晒芾?����。在該情況下��,對稱密鑰管理系統(tǒng)變?yōu)槲ㄒ粚嶋H的解決方案����,在對稱密鑰管理系統(tǒng)中,從諸如密鑰管理設(shè)施(KMF)的中心服務(wù)器提供安全關(guān)聯(lián)�����。當(dāng)利用對稱密鑰管理來對數(shù)據(jù)使用隧道模式加密時����,必須針對每個隧道端點來單獨建立安全關(guān)聯(lián)數(shù)據(jù)庫和安全策略數(shù)據(jù)庫條目,并且每個隧道端點都可以支持多個數(shù)據(jù)主機(jī)�,每個數(shù)據(jù)主機(jī)都要求獨立的安全關(guān)聯(lián)。在支持E2E (端對端)數(shù)據(jù)的系統(tǒng)上存在幾千個移動裝置的情況下����,這因此要求幾千個獨立的關(guān)聯(lián)設(shè)置來進(jìn)行配置-當(dāng)使用由密鑰管理設(shè)施(KMF)提供的對稱密鑰管理時這是不實際的。本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)認(rèn)識到���,當(dāng)前的加密模塊可以在它們所支持的關(guān)聯(lián)的數(shù)目上具有有限的限制��,例如�����,幾百個��。對稱密鑰管理由移動無線電系統(tǒng)來使用�,并且在標(biāo)準(zhǔn)(例如,用于TETRA的SFPG推薦11)中進(jìn)行了規(guī)定�。因此,需要一種用于提供用于加密分組數(shù)據(jù)的安全關(guān)聯(lián)的方法���。
附圖與以下詳細(xì)的說明一起被并入并且形成本說明書的一部分�,并且用于進(jìn)一步說明包括所要求保護(hù)的發(fā)明的原理的實施例�����,并且用于解釋那些實施例的各種原理和優(yōu)點�����,在各個附圖中����,相同的附圖標(biāo)記指代相同或功能上類似的元件。圖1是通信系統(tǒng)的框圖�����。圖2是基礎(chǔ)設(shè)施端點的框圖�。圖3是根據(jù)一些實施例的用于安全分組傳輸?shù)姆椒ǖ牧鞒虉D。圖4是根據(jù)一些實施例的構(gòu)成安全關(guān)聯(lián)的方法的流程圖���。圖5圖示了根據(jù)一些實施例的尋址圖表�����。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識到�����,附圖中的元素為了簡單和清楚來進(jìn)行圖示�,并且不必須按比例繪制�����。例如����,附圖中的一些元素的尺寸可以相對于其他元素被放大,以有助于促進(jìn)對本發(fā)明的實施例的理解���。在附圖中用常規(guī)符號適當(dāng)?shù)乇硎玖搜b置和方法組件���,附圖僅示出了與理解本發(fā)明的實施例相關(guān)的特定細(xì)節(jié)����,以不使本公開與對于受益于此處描述的本領(lǐng)域普通技術(shù)人員來說顯而易見的細(xì)節(jié)相混淆����。
具體實施例方式本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,多個目的地端點地址可能需要使用相同的隧道端點地址�����,并且可以存在隧道端點地址與每一個后面的數(shù)據(jù)目的地地址的多種組合�����。傳統(tǒng)地��,即使遵循使用從KMF提供的方案��,也可能要求多個密鑰管理消息來配置每個加密設(shè)備���,并且在網(wǎng)絡(luò)上可能存在幾百個這些設(shè)備��。需要提供下述設(shè)備的單個裝置����,該設(shè)備通過利用與目的地地址相關(guān)聯(lián)的隧道端點地址填充其SAD的裝置來執(zhí)行加密���,這僅使用可能將額外負(fù)載添加到網(wǎng)絡(luò)的盡可能少的KMM����。根據(jù)在此提供的一些實施例����,一種用于提供用于一個或多個加密數(shù)據(jù)分組的安全關(guān)聯(lián)的方法包括操作源端點來定義用于應(yīng)用的安全關(guān)聯(lián)的目的地主機(jī)地址的集合;確定地址偏移量��;使用地址偏移量來從目的地主機(jī)地址范圍計算安全端點地址范圍�;以及將安全關(guān)聯(lián)應(yīng)用于一個或多個加密數(shù)據(jù)分組,該一個或多個加密數(shù)據(jù)分組去往在安全端點地址范圍中要經(jīng)由所計算的安全端點來發(fā)送的至少一個目的地主機(jī)地址���。圖1是通信系統(tǒng)100的框圖��。例如��,通信系統(tǒng)100可以是國際公共安全通信協(xié)會(APCO) 25兼容的系統(tǒng)或陸地集群無線電(TETRA)兼容的系統(tǒng)���。通信系統(tǒng)100包括密鑰管理設(shè)施(KMF) 108、數(shù)據(jù)加密網(wǎng)關(guān)(DEG) 110、一個或多個數(shù)據(jù)應(yīng)用服務(wù)器(DAS) 112�、移動數(shù)據(jù)終端(MDT) 104、移動加密網(wǎng)關(guān)(MEG)105和訂戶單元(SU)106o為了在此的教導(dǎo)的目的�,假設(shè)MDT 104和MEG 105在安全網(wǎng)絡(luò)中彼此進(jìn)行通信;因此在MDT 104和SU 106之間的鏈路116是不安全的鏈路�,意味著沒有實現(xiàn)安全協(xié)議來在該鏈路上發(fā)送分組。同樣地�,DEG 110和DAS 112在安全網(wǎng)絡(luò)中彼此進(jìn)行通信;因此��,在DEG 110和DAS 112之間的鏈路114也是不安全的鏈路�����。然而�����,當(dāng)數(shù)據(jù)應(yīng)用服務(wù)器112上的應(yīng)用需要與MDT 104上的應(yīng)用進(jìn)行通信并且反之亦然時���,在其間發(fā)送的分組沿著路徑117和118通過不安全的網(wǎng)絡(luò)102��。因此�,系統(tǒng)100中的設(shè)備(例如����,端點105和110)使用安全協(xié)議來提供安全處理�����,以便于生成在設(shè)備之間發(fā)送的安全分組�����。換句話說,分組在安全“隧道” 120內(nèi)通過未保護(hù)的網(wǎng)絡(luò)102����,其中,安全隧道經(jīng)由所選擇的安全協(xié)議的應(yīng)用借助安全處理創(chuàng)建���。在一個實現(xiàn)中�,不安全的網(wǎng)絡(luò)102是因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)���,其中�����,實現(xiàn)因特網(wǎng)協(xié)議版本4 (IPv4)或因特網(wǎng)協(xié)議版本6 (IPv6)���,以使得端點能夠使用IP地址來到達(dá)通信系統(tǒng)100內(nèi)的任何位置�。因此���,使用If3Sec在通信系統(tǒng)100中實現(xiàn)安全處理���。然而,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識到并且想到����,該示例的細(xì)節(jié)僅說明一些實施例,并且在此闡述的教導(dǎo)適用于各種替代設(shè)置����。例如,雖然在該實施例中示出了實現(xiàn)IPsec協(xié)議(即�,msec處理)的通信系統(tǒng),但是由于所描述的教導(dǎo)不取決于正在使用的安全協(xié)議�,所以所描述的教導(dǎo)可以適用于任何類型的安全協(xié)議,其中����,安全端點需要確定其他安全端點的地址,以便于建立安全關(guān)聯(lián)數(shù)據(jù)庫來實現(xiàn)安全協(xié)議�����。同樣地,考慮使用不同類型的安全協(xié)議的替代實現(xiàn)���,并且其在所描述的各種教導(dǎo)的范圍內(nèi)���。另外,為了便于說明�,通信系統(tǒng)100被示出為具有MDT 104�、MEG105和SU 106中的僅一個以及KMF 108,DEG 110和DAS 112中的僅一個。然而��,在實際系統(tǒng)實現(xiàn)中���,很可能存在使用通信系統(tǒng)100來促進(jìn)與通信系統(tǒng)100中的其他移動和基礎(chǔ)設(shè)施設(shè)備的通信的幾百甚至幾千個移動設(shè)備���。而且,KMF和DEG中的每一個都很可能服務(wù)系統(tǒng)中的多個DAS�,并且在實際的系統(tǒng)實現(xiàn)中可以進(jìn)一步存在多個KMF和DEG。而且��,如在此使用的�����,術(shù)語分組被定義為包含從源端點向目的地端點發(fā)送的最小單位的媒體(例如,數(shù)據(jù)�、語音等)的消息。包含作為有效載荷的數(shù)據(jù)的分組被稱為數(shù)據(jù)分組����,包含作為有效載荷的語音的分組被稱為語音分組。在IP系統(tǒng)中�����,源發(fā)分組進(jìn)一步包括包含源端點數(shù)據(jù)IP地址和目的地端點數(shù)據(jù)IP地址的原始IP報頭�,并且在使用諸如TCP (傳輸控制協(xié)議)或UDP (用戶數(shù)據(jù)報協(xié)議)的另一個協(xié)議時包含另一個報頭。為了便于說明���,媒體在此被稱為數(shù)據(jù)��,并且分組被稱為數(shù)據(jù)分組�,但是這決不意味著將在此的教導(dǎo)的范圍限制為在通信系統(tǒng)100中的設(shè)備之間正在發(fā)送的特定類型的分組��。本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)認(rèn)識到�����,通信系統(tǒng)100還可以用于在一個或多個DAS112之間交換分組,并且DEG 110還可以用于保護(hù)那些分組��,其中�,那些DAS可以處于固定位置或移動環(huán)境中。msec協(xié)議組包含兩個協(xié)議�����,該兩個協(xié)議可以替代地用于提供核心安全服務(wù)�����。這些協(xié)議是在2005年12月公開的RFC 4302中定義的認(rèn)證報頭(AH)以及在2005年12月公開的RFC 4303中定義的封裝安全有效載荷(ESP)���。在使用AH還是ESP協(xié)議之間的選擇取決于系統(tǒng)中所需要的特定核心安全服務(wù)。ESP協(xié)議提供更多的核心安全服務(wù)���。更具體地��,ESP協(xié)議在不僅要求完整性和認(rèn)證(還由AH提供)而且要求保密性(不由AH提供)的系統(tǒng)中使用��。使用AH安全協(xié)議��,安全端點生成封裝和保護(hù)有效載荷的附加報頭����,并且原始報頭留在分組的前面,以生成安全分組���。使用ESP安全協(xié)議��,包括所有的原始報頭的整個原始分組都被封裝在ESP報頭和ESP尾部中�����,并且新的報頭被生成并且添加到分組的前面�����,以生成安全分組��。IPsec還支持用于保護(hù)分組的操作的傳輸模式或傳輸模式的使用��。選擇再次取決于特定系統(tǒng)要求���。雖然傳輸模式利用較小的報頭尺寸,但是在最大數(shù)量的情況下隧道模式可應(yīng)用��,因為隧道模式可以由主機(jī)裝置(其中,安全處理與具有生成需要安全處理的分組的應(yīng)用共同位于相同的設(shè)備中)或通過網(wǎng)關(guān)裝置(其中��,安全處理被提供在與生成需要安全處理的分組的應(yīng)用分立的設(shè)備中)使用��。當(dāng)主機(jī)設(shè)備包括應(yīng)用和安全處理功能時���,安全處理可以被集成到使用集成架構(gòu)實現(xiàn)的單個設(shè)備中����,其中�����,安全處理自然地在層3IP層中���,諸如IPv6 ����;或者使用創(chuàng)建位于層3IP層和層2數(shù)據(jù)鏈路層之間的諸如IPsec層的協(xié)議層的堆棧中的塊(bump in the stack,BITS)架構(gòu)�。新的層攔截從IP層向下發(fā)送的分組���,并且對它們添加安全性���。當(dāng)網(wǎng)關(guān)提供安全處理功能時��,線路中的塊(bump in the wire, BITff)架構(gòu)通過位于網(wǎng)絡(luò)中的戰(zhàn)略點內(nèi)的獨立設(shè)備來實現(xiàn)����,以將核心安全服務(wù)提供給例如整個網(wǎng)絡(luò)段�。圖1中所示的通信系統(tǒng)100以隧道模式實現(xiàn)IPsec ESP,由此支持用于主機(jī)和網(wǎng)關(guān)端點。應(yīng)該提及�,雖然MEG 105被示出與SU 106分離,但是在不同的實施例中�,MEG 105可以被集成到SU 106中,并且可以提供對于包含在SU 106內(nèi)的應(yīng)用的附加保護(hù)���。例如�����,不論在物理上與SU 106分離還是被集成在SU 106內(nèi)�,MEG 105都向MDT 104提供安全處理(作為網(wǎng)關(guān))���。如果MEG 105被集成在SU 106中�,則MEG 105可以提供用于與US本身集成的應(yīng)用的安全處理�,諸如全球定位系統(tǒng)(GPS)位置。因為,為了兩個目的而與DAS 112交換的數(shù)據(jù)由ESP隧道120來保護(hù)����。而且,DEG 110提供用于一個或多個DAS112的安全處理(作為網(wǎng)關(guān))����。應(yīng)該提及,雖然DEG 110被示出在物理上與DAS 112分離����,但是不脫離在此的教導(dǎo)的范圍的情況下,在不同的實施例中�,一個或多個DAS 112中的每一個都可以使用隧道或傳輸模式來在物理上與DEG功能進(jìn)行集成。而且��,如在此使用的術(shù)語���,源端點生成源發(fā)分組����、保護(hù)源發(fā)分組����,并且通過隧道向目的地端點發(fā)送安全分組,該目的地端點處理安全分組以生成用于在期望接收方處的應(yīng)用呈現(xiàn)的源發(fā)分組�����。源端點和目的地端點包括容納數(shù)據(jù)應(yīng)用的數(shù)據(jù)端點以及執(zhí)行安全處理的安全端點(或加密端點)��,其中的每個都具有IP地址�。因此,根據(jù)特定系統(tǒng)實現(xiàn)���,源端點或目的地端點可以包括一個或兩個物理設(shè)備��。而且����,安全端點(例如�����,MEG 105和DEG 110)位于安全隧道(例如���,隧道120)的相對端�。而且�����,如在此使用的,用于源數(shù)據(jù)端點的IP地址被稱為源端點數(shù)據(jù)地址�����;用于源安全端點的IP地址被稱為源端點安全地址����;用于目的地主機(jī)端點的IP地址被稱為目的地端點數(shù)據(jù)地址;并且用于目的地安全端點的IP地址被稱為目的地端點安全地址����。在系統(tǒng)100實現(xiàn)中,多個IP地址�����,特別是與系統(tǒng)中的移動設(shè)備相關(guān)聯(lián)的那些����,按需要從可用IP地址池中動態(tài)地提供,并且然后當(dāng)對于系統(tǒng)內(nèi)的通信不再需要時在系統(tǒng)內(nèi)通信時被返回到該池?��,F(xiàn)在轉(zhuǎn)到圖2�,以200來示出并且一般地指示根據(jù)一些實施例的源端點200的框圖。源端點200包括具有應(yīng)用202的數(shù)據(jù)端點�。源端點200進(jìn)一步包括具有下述的安全端點耦合到安全策略數(shù)據(jù)庫(SPD)206的安全策略管理器(SPM) 204�、耦合到SAD 210和KSD (密鑰存儲數(shù)據(jù)庫)212的安全關(guān)聯(lián)管理器(SAM) 208、以及分組轉(zhuǎn)發(fā)器214�����。SAD 210���、SPD 206和KSD 212數(shù)據(jù)庫可以使用存儲設(shè)備或存儲器元件的任何適當(dāng)?shù)男问絹韺崿F(xiàn)��,存儲設(shè)備或存儲器元件諸如RAM(隨機(jī)存取存儲器)�、DRAM(動態(tài)隨機(jī)存取存儲器)等����,其中這些數(shù)據(jù)庫中的條目也包括任何適當(dāng)?shù)母袷健PM 204和SAM 208被圖示為功能處理塊����,該功能處理塊可以使用諸如以下提及的那些中的任何一個或多個的任何適當(dāng)?shù)奶幚碓O(shè)備來實現(xiàn)。分組轉(zhuǎn)發(fā)器214包括用于在不安全網(wǎng)絡(luò)102上發(fā)送分組的接口�����,其實現(xiàn)取決于所使用的不安全網(wǎng)絡(luò)102實現(xiàn)以及源安全端點。例如���,分組轉(zhuǎn)發(fā)器214可以被配置為例如以太網(wǎng)連接的有線接口和/或無線接口����,該無線接口包括收發(fā)器(接收器和發(fā)射器)和實現(xiàn)例如APCO 25��、TETRA,802. 11等的相關(guān)無線接口的處理塊����。如上所述,SA包括描述協(xié)議和參數(shù)(諸如密鑰和算法)的元素��,該協(xié)議和參數(shù)由端點使用以保護(hù)在一個方向上流動的信息或業(yè)務(wù)的元素��;并且SA需要被提供給提供安全處理的端點�����。接下來���,接合圖3來描述圖2�����,在圖3中解釋了根據(jù)一些實施例的用于在通信系統(tǒng)100中發(fā)送外出安全分組的方法�,其包括用于提供相應(yīng)SA并且建立數(shù)據(jù)庫(特別是SAD210)的方法。在實施例中����,在從需要安全處理的應(yīng)用202接收到外出分組之前,在源端點中提供SA的一些部分��。SA的這些部分可以被包括在這里稱為密鑰管理消息(KMM)的消息中����,該密鑰管理消息(KMM)被發(fā)送(302)到安全端點�,并且具有用于建立(304) SAD的SA元素的一部分并且還具有用于在端點中建立SPD的元素。KMM可以采用任何數(shù)目的形式��,并且根據(jù)在系統(tǒng)中使用的特定安全協(xié)議而具有各種信息�����。而且����,在注冊過程期間,可以將KMM手動地提供到端點�����,或者諸如通過創(chuàng)建和發(fā)送KMM的KMF 108在空中向端點動態(tài)地提供KMM(除了在本實施例中使用IKE之外)。以下表1示出了由參數(shù)和參數(shù)的描述識別的包含在KMM的
說明性實施例中的信息�。參數(shù)
條目號
源端點數(shù)據(jù)地址
目的地端點數(shù)據(jù)地址
協(xié)議
源端口
目的地端口
遠(yuǎn)程隧道端點
密碼組(Cryptogroup)
描述
指示應(yīng)當(dāng)應(yīng)用該關(guān)聯(lián)的順序的索引號指定源端點數(shù)據(jù)地址、源端點數(shù)據(jù)地址的范圍或該關(guān)聯(lián)應(yīng)用到的源端點數(shù)據(jù)地址的子網(wǎng)絡(luò)�。
指定目的地端點數(shù)據(jù)地址、目的地端點數(shù)據(jù)地址的范圍�����、或該關(guān)聯(lián)應(yīng)用到的目的地端點數(shù)據(jù)地址的子網(wǎng)絡(luò)���。指定該關(guān)聯(lián)應(yīng)用到的分組所使用的協(xié)議�����,例如ESP或AH����。指定該關(guān)聯(lián)應(yīng)用到的分組的源端口(用于使用端口的協(xié)議)��。指定該關(guān)聯(lián)應(yīng)用到的分組的目的地端口(用于使用端口的協(xié)議)��。指定用于確定目的地端點安全地址的地址翻譯
指定應(yīng)當(dāng)與該關(guān)聯(lián)一起使用的密碼組(替代地,可以是存儲位置號(SLN))旁路/丟棄/處理
策略表 1使用來自源端點數(shù)據(jù)地址���、目的地端點數(shù)據(jù)地址�����、遠(yuǎn)程隧道端點�����、策略(即�,安全策略)以及SLN的KMM的參數(shù)來建立(304) SPD�����?����?梢允褂脕碜栽炊它c數(shù)據(jù)地址���、目的地端點數(shù)據(jù)地址、協(xié)議以及SLN的KMM的參數(shù)來部分地建立(304) SAD����。更具體地�����,在一個實施例中��,端點將來自KMM的信息存儲(304)到數(shù)據(jù)關(guān)聯(lián)數(shù)據(jù)庫(DAD)中��,并且使用來自數(shù)據(jù)關(guān)聯(lián)的信息來建立用于在安全處理中使用的SPD和SAD�。沒有包括在KMM中的附加參數(shù)包括在所有三個數(shù)據(jù)庫中���,其是安全參數(shù)索引(SPI)值��、由對分組加密的安全端點使用來參考用于加密和認(rèn)證分組所需要的SAD中的信息�����。在IKE處理中�,SPI值是使用IKE消息交換序列在安全端點之間協(xié)商的參數(shù)����。然而,由于這些實現(xiàn)中不使用IKE����,所以需要確定SPI值的另一種方法�����。為了最小化密鑰管理業(yè)務(wù)�����,在兩個端點之間僅允許用于由IP地址����、協(xié)議和端口指定的給定類型的業(yè)務(wù)的一組SA��。該限制允許除了密鑰數(shù)據(jù)之外的所有隧道參數(shù)都從正在處理的分組的源和目的地IP地址來確定�。這允許SPI值僅用于指定密鑰的參數(shù)。為了最大化與上述簡化的隧道參數(shù)指定方案相關(guān)聯(lián)的減少密鑰管理業(yè)務(wù)的益處�,對SPI值賦予了特殊意義�。由于SPI值僅指定密鑰數(shù)據(jù),所以SPI值不由密鑰管理設(shè)施來明確地提供����,而是通過對用于加密分組的密鑰的密鑰ID和算法ID編碼為SPI來確定。在說明性示例中��,SPI字段以以下表2中所示的格式來編碼。
權(quán)利要求
1.一種用于提供用于一個或多個加密數(shù)據(jù)分組的安全關(guān)聯(lián)的方法��,包括操作源端點以定義用于應(yīng)用安全關(guān)聯(lián)的目的地主機(jī)地址的集合�;確定地址偏移量;使用所述地址偏移量來從所述目的地主機(jī)地址范圍計算安全端點地址范圍��;以及將所述安全關(guān)聯(lián)應(yīng)用于一個或多個加密數(shù)據(jù)分組���,所述一個或多個加密數(shù)據(jù)分組去往將經(jīng)由在所述安全端點地址范圍中所計算的安全端點發(fā)送的至少一個目的地主機(jī)地址��。
2.根據(jù)權(quán)利要求1所述的方法����,其中��,所述目的地主機(jī)地址的集合包括目的地主機(jī)地址的范圍和子網(wǎng)絡(luò)中的一個�。
3.根據(jù)權(quán)利要求1所述的方法,其中����,通過使用無類別域間路由(CIDR)符號來定義用于應(yīng)用安全關(guān)聯(lián)的所述目的地主機(jī)地址的集合。
4.根據(jù)權(quán)利要求1所述的方法�,進(jìn)一步包括操作所述源端點以定義用于由所述安全端點地址范圍內(nèi)的每個安全端點服務(wù)的每個目的地主機(jī)子網(wǎng)絡(luò)的子網(wǎng)絡(luò)尺寸的值。
5.根據(jù)權(quán)利要求4所述的方法���,進(jìn)一步包括操作所述源端點以確定所述安全端點地址范圍是否將被壓縮��。
6.根據(jù)權(quán)利要求5所述的方法�����,進(jìn)一步包括操作所述源端點以在所述安全端點地址范圍將被壓縮時設(shè)置壓縮標(biāo)記����。
7.根據(jù)權(quán)利要求5所述的方法,進(jìn)一步包括當(dāng)所述安全端點地址范圍將被壓縮時�,操作所述源端點以從最后安全端點地址遞增每個安全端點地址;以及通過所述‘子網(wǎng)絡(luò)尺寸’參數(shù)并且將結(jié)果的整數(shù)添加到安全端點地址范圍的開始來計算分組將從所述目的地主機(jī)地址范圍的開始經(jīng)由一個安全端點地址被尋址到的目的地主機(jī)地址的數(shù)量���。
8.根據(jù)權(quán)利要求5所述的方法����,進(jìn)一步包括當(dāng)所述安全端點地址范圍不被壓縮時��,操作所述源端點以使每個安全端點地址與每個目的地主機(jī)子網(wǎng)絡(luò)的開始加上所述地址偏移量對準(zhǔn)��。
9.一種用于提供用于一個或多個加密數(shù)據(jù)分組的安全關(guān)聯(lián)的方法���,包括操作源端點以使用規(guī)則集合定義安全關(guān)聯(lián)的尋址部分�,其中���,所述規(guī)則集合利用參數(shù)的集合���,包括所述關(guān)聯(lián)規(guī)則將應(yīng)用于的一個或多個目的地主機(jī)地址;偏移量��,所述偏移量要被添加到所述目的地主機(jī)地址����,以產(chǎn)生相關(guān)安全端點地址或所述安全端點所在的地址的范圍的開始;每個目的地安全端點的目的地主機(jī)子網(wǎng)絡(luò)尺寸����;以及安全端點地址壓縮標(biāo)記。
10.根據(jù)權(quán)利要求9所述的方法���,其中�,使用循環(huán)相加處理將所述偏移量添加到所述目的地主機(jī)地址����。
11.一種用于提供用于一個或多個加密數(shù)據(jù)分組的安全關(guān)聯(lián)的方法,包括操作源端點以定義用于應(yīng)用安全關(guān)聯(lián)的目的地主機(jī)地址的集合���;標(biāo)識用于安全端點地址范圍的開始地址��;以及將所述安全關(guān)聯(lián)應(yīng)用于一個或多個加密數(shù)據(jù)分組�,所述一個或多個加密數(shù)據(jù)分組去往將經(jīng)由在所述安全端點地址范圍中所計算的安全端點發(fā)送的至少一個目的地主機(jī)地址。
12.根據(jù)權(quán)利要求11所述的方法�,其中,所述目的地主機(jī)地址的集合包括目的地主機(jī)地址的范圍和子網(wǎng)絡(luò)中的一個�。
13.根據(jù)權(quán)利要求11所述的方法,其中�,用于應(yīng)用安全關(guān)聯(lián)的所述目的地主機(jī)地址的集合通過使用無類別域間路由(CIDR)符號來定義。
14.根據(jù)權(quán)利要求11所述的方法���,進(jìn)一步包括操作所述源端點以定義用于由所述安全端點地址范圍內(nèi)的每個安全端點服務(wù)的每個目的地主機(jī)子網(wǎng)絡(luò)的子網(wǎng)絡(luò)尺寸的值���。
15.根據(jù)權(quán)利要求14所述的方法,進(jìn)一步包括操作所述源端點以確定所述安全端點地址范圍是否將被壓縮����。
16.根據(jù)權(quán)利要求15所述的方法,進(jìn)一步包括操作所述源端點以在所述安全端點地址范圍將被壓縮時設(shè)置壓縮標(biāo)記�����。
17.根據(jù)權(quán)利要求15所述的方法,進(jìn)一步包括當(dāng)所述安全端點地址范圍將被壓縮時���,操作所述源端點以從最后安全端點地址遞增每個安全端點地址;以及通過所述‘子網(wǎng)絡(luò)尺寸’參數(shù)并且將結(jié)果的整數(shù)添加到安全端點地址范圍的開始來計算分組將從所述目的地主機(jī)地址范圍的開始經(jīng)由一個安全端點地址被尋址到的目的地主機(jī)地址的數(shù)量�����。
18.根據(jù)權(quán)利要求15所述的方法����,進(jìn)一步包括當(dāng)所述安全端點地址范圍不被壓縮時,操作所述源端點以使每個安全端點地址與每個目的地主機(jī)子網(wǎng)絡(luò)的開始加上所述地址偏移量對準(zhǔn)���。
19.一種用于通過不安全網(wǎng)絡(luò)在源端點和目的地端點之間傳送安全分組的方法�,所述方法包括操作所述源端點以生成一個或多個源發(fā)分組�;通過以下來保護(hù)所述源發(fā)分組標(biāo)識包括所述目的地端點的地址的安全端點地址范圍,其中���,安全關(guān)聯(lián)應(yīng)用于所述安全端點地址范圍����;以及將所述安全關(guān)聯(lián)應(yīng)用于所述一個或多個源發(fā)分組以生成一個或多個安全分組��;以及通過經(jīng)由所述不安全網(wǎng)絡(luò)的安全隧道將所述安全分組發(fā)送到所述目的地端點�����;以及操作所述目的地端點以處理所述安全分組,以生成用于向期望接收方處的應(yīng)用呈現(xiàn)的一個或多個源發(fā)分組����。
全文摘要
一種方法通過操作源端點以進(jìn)行下述步驟來提供用于一個或多個加密數(shù)據(jù)分組的安全關(guān)聯(lián)定義用于應(yīng)用安全關(guān)聯(lián)的目的地主機(jī)地址的集合;定義安全端點地址范圍�����;以及將安全關(guān)聯(lián)應(yīng)用于一個或多個加密數(shù)據(jù)分組��,該一個或多個加密數(shù)據(jù)分組去往要經(jīng)由在安全端點地址范圍中所計算的安全端點發(fā)送的至少一個目的地主機(jī)地址���。安全地址范圍可以通過下述步驟來確定確定地址偏移量���;以及使用地址偏移量從目的地主機(jī)地址范圍來計算安全端點地址范圍。替代地�����,可以以另一種方式來標(biāo)識用于安全端點地址范圍的開始地址�。
文檔編號H04L29/12GK102598621SQ201080048815
公開日2012年7月18日 申請日期2010年9月23日 優(yōu)先權(quán)日2009年10月27日
發(fā)明者戴維·J·蔡特-萊亞 申請人:摩托羅拉解決方案公司