CN103053143A - 用于通过ip网络的安全通信的方法和装置 - Google Patents
用于通过ip网络的安全通信的方法和装置 Download PDFInfo
- Publication number
- CN103053143A CN103053143A CN2010800687269A CN201080068726A CN103053143A CN 103053143 A CN103053143 A CN 103053143A CN 2010800687269 A CN2010800687269 A CN 2010800687269A CN 201080068726 A CN201080068726 A CN 201080068726A CN 103053143 A CN103053143 A CN 103053143A
- Authority
- CN
- China
- Prior art keywords
- grouping
- esp
- service
- class
- letter head
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例涉及传送节点中的方法;接收节点中的方法;采用因特网安全的IP网络中的传送节点和接收节点。接收节点包括接收单元、处理单元和传送单元。当接收到IP分组时,处理单元适合于导出与该IP分组相关联的安全关联和业务类别。处理单元还适合于为安全关联内的每个业务类别保持一个抗重播窗口,并确定IP分组的序列号是否在业务类别的抗重播窗口内并且不是较早接收的分组的副本。如果所述序列号不在抗重播窗口内或者是较早接收的分组的副本,则丢弃该分组。
Description
技术领域
本发明一般涉及用于通过因特网协议网络传递数据的方法和装置。本发明具体涉及用于通过采用因特网协议安全(IPsec)的IP网络传递数据的方法和设备。
背景技术
当通过IPsec保护的网络从分组发送方向分组接收方传递数据时,采用因特网协议(IP)安全(IPsec)抗重播保护作为安全服务,其中接收方配备了拒绝旧的或复制的分组的能力。这是一种防止所谓的重播攻击的方式。简言之并且非常简化地说,想通过因特网安全网络传递数据的发送方将他/她的分组封装在IPsec分组中,然后通过网络发送该分组。在接收方,处理所接收的封装IPsec分组以便获取其内的分组。
发送方将唯一序列号(SN)应用于在IPsec安全关联(SA)内发送的分组的IPsec信头。因此,SA与每个发送或接收的分组相关联。SA可被视为两个装置(例如发送方与接收方)之间关于如何在转变期间保护信息的协定。
如所提到的,发送方将唯一SN应用于在(协定的)IPsec SA内发送的分组的IPsec信头。发送方按递增顺序指配SN。接收方记住它已经接收的分组的SN的值。如果接收方接收到具有与先前接收的分组相同的用于特定SA的SN的IP分组,则该分组作为假的或坏的分组被废弃或丢弃。这是因为接收方确定它已经看见该SN,因此丢弃该分组。这称为IPsec抗重播保护,其中接收方可拒绝旧的或复制的分组以保护它自己免于重播攻击。
这个抗重播保护机制经常被称为基于滑动窗口的抗重播保护。简要地描述,接受具有包含在某一尺寸的(滑动)窗口中的序列号的分组,否则拒绝或丢弃以防止重播。
然而,当引入基于IP分组信头内的区分服务代码点(DSCP)的服务质量(QoS)优先化时,一些分组可能要承受在不同网络单元排队,由此破坏了正在因特网安全网络上发送的分组的序列。这将使“较新的”分组在“较旧的”分组到达之前到达接收方。这将扰乱在接收分组时排序的序列号。因此,抗重播机制可废弃或丢弃被错认为假的或坏的分组的真正较旧的分组。
为了克服这个问题,来自IETF(因特网工程任务组)的RFC 4301提议,在业务选择器的某一集合内按DSCP或DSCP集合建立分开的IPsec SA。业务选择器包括源IP地址、目的地IP地址、协议、源端口和目的地端口。然而,SA的数量可能是有限资源,并且因此,对等方可能拒绝建立附加的SA。
解决这个问题的另一种方法除了用于IPsec SA的全局抗重播窗口之外,还对每个DSCP值集合引入分开的抗重播窗口。全局抗重播窗口必须足够大以容纳一个序列中的所有分组。为了确定接收的分组是否是“好的”分组,接收的分组首先被预处理,以获取在接收的IPsec分组内封装的分组。执行这个,以便检索内部IP信头的DSCP,即,与接收的分组相关联的DSCP。然后,应用后处理以确定应该保留还是废弃接收的分组。
然而,这个方法需要非常大的全局抗重播窗口,以便能够容纳序列中的所有分组。取决于可用的***资源,或许甚至不可能保持这么大的抗重播窗口。另外,这个方法需要在完成抗重播处理之前进行预处理、解密和后处理。这是消耗资源的。另外,正在引起抗重播保护的问题的网络中分组排队是基于外部信头的DSCP值。由于这个方法使用内部信头中的DSCP值选择抗重播窗口,在外部DSCP值不同于内部的网络中不保证它起作用。
发明内容
本发明的示范实施例的一个目的是解决上面概括的问题中的至少一些。具体地说,本发明的示范实施例的一个目的是给抗重播保护提供最小化数量的安全关联,这又减少了***资源的使用。
这些目的和其它目的可通过提供传送方中的方法和接收方中的方法以及传送节点和接收节点来实现。
根据一个方面,提供传送方中的方法,用于通过采用因特网安全的因特网协议(IP)网络传递数据。该方法包括接收要通过IP网络传送的IP分组,并导出与接收的IP分组相关联的安全关联(SA)。该方法还包括导出与外部IP分组相关联的区分服务代码点值(DSCP值)并将接收的IP分组封装到外部IP分组中,其中外部IP分组包括IP信头和封装安全净荷信头(ESP信头)。另外,该方法包括将DSCP值***外部IP分组的IP信头中,并从DSCP值和SA导出业务类别。该方法还包括使专用于SA内的业务类别的序列号SN递增,并将递增的SN和业务类别***外部IP分组中。
通过这样做,可最小化安全关联的数量,这又减少了***资源的使用。
又一优点是,可最小化在接收方的抗重播窗口的尺寸,因为为安全关联内的每个业务类别保持分开的抗重播窗口。这也减少了***资源的使用。
另外,作为缩减数量的安全关联的结果,可获得更快的端到端网络恢复。
根据传送方中的方法的一个实施例,将递增的SN和业务类别***外部IP分组中包括将递增的SN和所述业务类别***外部IP分组的ESP信头中。
这具有SN和业务类别将受到完整性保护并因此免于被篡改的优点。这具有接收方可信任ESP信头的业务类别的优点。完整性保护包括使用完整性算法在ESP分组上计算完整性校验值(ICV)。
根据一个方面,提供接收方中的方法,用于通过采用因特网安全的因特网协议(IP)网络传递数据。该方法包括接收IP分组,其中包含封装安全净荷(ESP)信头。该方法还包括导出与接收的IP分组相关联的安全关联(SA)和业务类别,所述业务类别是从ESP信头导出的;以及为SA内的每个业务类别保持一个抗重播窗口。另外,该方法包括确定ESP信头中的序列号SN是否在业务类别的抗重播窗口内并且不是较早接收的分组的副本。如果序列号在抗重播窗口内并且不是较早接收的分组的副本,则该方法包括处理接收的IP分组。
通过对每个业务类别保持一个抗重播窗口,抗重播窗口能够非常小。这是因为在网络中的服务质量处理不会重新排序一个抗重播窗口内的分组。例如,窗口尺寸可被限制到一个分组。
根据接收方中的方法的一个实施例,该方法包括:如果ESP信头的SN不在业务类别的抗重播窗口内或者是较早接收的分组的副本,则丢弃接收的分组。
根据一个方面,提供一种采用因特网安全的IP网络中的传送节点。传送节点包括适合于接收包括ESP信头的IP分组的接收单元。传送节点还包括适合于导出与接收的IP分组相关联的安全关联(SA)和与外部IP分组相关联的区分服务代码点(DSCP)值的处理单元。传送节点的处理单元还适合于将IP分组封装到外部IP分组中,外部IP分组包括IP信头和封装安全净荷(ESP)信头。传送节点的处理单元还适合于将DSCP值***外部IP分组的IP信头中;并从DSCP值和SA导出业务类别。传送节点的处理单元还适合于使专用于SA内的业务类别的序列号(SN)递增,并将递增的SN和业务类别***外部IP分组中。传送节点还包括:传送单元,适合于向目的地接收节点传送外部IP分组。
根据一个实施例,处理单元适合于将递增的SN和业务类别***外部IP分组的ESP信头中。
根据一个方面,提供一种采用因特网安全的IP网络中的接收节点。接收节点包括适合于接收包括ESP信头的IP分组的接收单元。接收节点还包括适合于导出安全关联(SA)并从ESP信头中导出与接收的IP分组相关联的业务类别的处理单元。处理单元还适合于为SA内的每个业务类别保持一个抗重播窗口;并且确定ESP信头中的序列号是否在业务类别的抗重播窗口内并且不是较早接收的分组的副本,其中,如果序列号在抗重播窗口内并且不是较早接收的分组的副本,则处理接收的分组。接收节点还包括适合于向被封装IP分组的IP信头中所指示的其目的地转发包含在接收的IP分组内的被封装IP分组的传送单元。
根据接收节点的一个实施例,处理单元适合于:如果ESP信头的SN不在业务类别的抗重播窗口内或者是较早接收的分组的副本,则丢弃接收的分组。
附图说明
现在将借助于示范实施例并参考附图来更详细描述本发明,其中:
图1是通过采用因特网安全的IP网络通信的发送方和接收方的示意性概览。
图2是通过采用因特网安全的IP网络传递数据的传送节点中的方法的一个实施例的流程图。
图3是通过采用因特网安全的IP网络传递数据的接收节点中的方法的一个实施例的流程图。
图4-6是ESP信头的不同实施例的示意性说明。
图7是说明根据一个实施例采用因特网安全的IP网络中的传送节点的框图。
图8是说明根据一个实施例采用因特网安全的IP网络中的接收节点的框图。
图9是说明有关因特网密钥交换的一些协商的信令图。
图10说明支持在图2和3中说明的方法的SA净荷的更新。
图11是包含在SA净荷中的变换字段的框图。
图12是示意性说明有关因特网密钥交换的一部分协商的信令图。
具体实施方式
简要地描述,提供了分别在传送节点和接收节点中的方法和装置,用于通过采用因特网安全的IP网络进行通信。通过采用因特网安全的IP网络进行通信包括将在发起节点与端接节点之间传递的分组封装在IPsec分组中。
首先,将参考图1简要地描述通过采用IPsec因特网安全的IP网络的通信。
图1公开了代表通过采用IPsec因特网安全的IP网络120进行通信的两方的发送方110和接收方130。应当指出,整个说明书中描述单向通信。本发明的示范实施例不限于单向通信。此外,描述了示范实施例,其中分组发送方110和分组接收方130是分开的节点以及两个相应的网关115和135。应当指出,在其它实施例中,分组发送方110可被结合到发送网关GW-S 115中。同样,分组接收方130和接收网关GW-R 135可被结合到一个节点中。
在这个示例中,在通信会话中涉及发送方110和接收方130。会话可包括传递一个或多个分组,正常情况下,在会话期间传递多个分组。
对于会话内的每个分组,发送方110指配DSCP值,以便获取网络中的适当QoS特性。
如图1所示,分组发送方110经由网关115连接到IP网络120。同样,分组接收方130经由网关135连接到IP网络。
相当简化地讲,当分组发送方110向分组接收方130传送IP分组140时,发送网关GW-S 115将IP分组140封装在外部IP分组150(也称为IPsec分组)中。在将分组140封装在外部分组150中后,发送网关115向接收网关GW-R 135传送分组150。接收网关135然后从外部IP分组150中提取原始分组、即IP分组140,并将原始IP分组140转发到分组接收方130。
在安全关联(SA)中描述了加密和完整性算法以及业务选择器,它们是在发送网关115与接收网关135之间协定的。SA在由安全参数索引(SPI)标识的ESP信头中。
当然,在相应网关115和135采取许多不同的动作,这将在下面参考图2-8更详细地描述。
现在将参考图2描述传送节点、例如网关115中的方法200的示范实施例。根据这个示例,该方法包括接收210要通过因特网安全网络传送的因特网协议分组(IP分组)。这个分组也称为内部IP分组。IP分组包括IP信头(也称为内部IP信头),其包含DSCP字段(也称为内部DSCP字段)。在DSCP字段中,为内部IP分组放置DSCP值。
方法200还包括导出220与IP分组相关联的SA。如上所述,在发送网关115与接收网关135之间协定SA。SA被存储在SA数据库SAD中。因此,可使用包含在IP分组中的SA标识符,通过SAD中的查找表执行SA的导出。
方法200还包括导出230 DSCP值。这个DSCP值与外部IP分组相关联。可以不同方式执行导出外部IP分组的DSCP值。一个示例是拷贝接收的IP分组(内部IP分组)的DSCP值,该分组要被封装并发送到接收网关135。根据另一个示例,发送网关115可生成新的并因而不同的DSCP值。
方法200还包括将接收的IP分组封装240到外部IP分组中,外部IP分组包括IP信头(也称为外部IP信头)和封装安全净荷信头(ESP信头)。外部IP分组还包括ESP净荷和ESP尾部,其中ESP净荷包括接收的IP分组,即内部IP分组。通常,由接收节点115接收的接收的IP分组730(见图7)在它被封装到外部IP分组740(见图7)之前被加密,但是可以设想IP分组不被加密。然后,如图2中所示,该方法包括将导出的DSCP值***250外部IP分组740的IP信头中。将导出的DCSP值***外部IP分组的IP信头中哪里的一个示例是***DSCP字段(称为IP信头的外部DSCP字段)。
另外,方法200包括从导出的DSCP值和SA导出260业务类别。应该提及,在SA内,业务类别标识分组流,其中期望该流的分组不被IP网络中的QoS优先化重新排序,即,保持该流内的发送分组顺序。作为一个示例,一个业务类别可承载实时业务(例如语音和视频),而另一个业务类别可承载尽力而为型业务(例如网页浏览)。
该方法还包括使专用于SA内的业务类别的序列号SN递增270。
然后,SN和业务类别被***280外部IP分组740中。
这个方法的一个优点是,可最小化安全关联的数量,这又减少了***资源的使用。
又一优点是,可最小化在接收方的抗重播窗口的尺寸,因为为安全关联内的每个业务类别保持分开的抗重播窗口。这也减少了***资源的使用。这将在稍后描述。
另外,作为缩减数量的安全关联的结果,可获得更快的端到端网络恢复。
再参考图2,根据一个实施例,方法200包括将SN和业务类别***280外部IP分组的ESP信头中。
这具有SN和业务类别将受到完整性保护的优点,因为ESP信头受到完整性保护。
通过将业务类别***ESP信头中,保护业务类别免于被篡改。这具有接收方可信任ESP信头的业务类别的优点,这将在下面更详细描述。
另外,方法200包括将SA标识符***外部IP分组740的ESP信头中。如将描述的,这将使接收节点能够导出SA。
用于SA的SA标识符可被***例如ESP信头中的安全参数索引字段(SPI字段)中,并且SN可被***例如ESP信头中的序列号字段(SN字段)中。
而且,方法200包括向目的地接收节点传送290外部IP分组740。
将业务类别***ESP信头中可以不同方式进行。根据一个示例,参见图4,业务类别被***ESP信头400中,在ESP信头的SPI字段410的一部分中。SPI字段通常是32位,并且在此示例中,为业务类别预留了SPI字段中的8位。
根据一个示例,参见图5,业务类别被***ESP信头500中,在ESP信头的SN字段520的一部分中。就像SPI字段一样,SN字段通常是32位,并且在此示例中,为业务类别预留了SN字段中的8位。
根据又一个示例,参见图6,业务类别被***ESP信头600中,在ESP信头的专用字段615中。在此示例中,ESP信头被更新以包括打算容纳业务类别的新添加的专用字段。
现在转到图3,它是通过采用因特网安全的IP网络传递数据的接收节点、例如网关135中的方法300的一个实施例的流程图。
图3说明首先接收310也称为外部IP分组的IP分组840(参见图8)。根据上述的传送节点中的方法,这个接收的IP分组840或外部IP分组包括内部被封装IP分组830。接收的IP分组可被看作封装IP分组。该方法还包括通过使用封装IP分组的封装安全净荷信头(ESP信头)中的SA标识符从SA数据库中检索SA来导出320安全关联SA,并且还导出业务类别。
SA标识符可包含在ESP信头的安全参数索引字段(SPI字段)中。业务类别包含在外部封装IP分组的ESP信头中的字段中。
方法300还包括为SA内的每个业务类别保持330一个抗重播窗口。
另外,该方法包括确定340包含在ESP信头中的接收的IP分组的序列号(SN)是否在业务类别的抗重播窗口内并且不是较早接收的分组的副本。如果SN在抗重播窗口内并且不是较早接收的分组的副本,则处理接收的分组。该处理可包括不同的动作,这将在下面描述。
序列号可包含在例如ESP信头的序列号字段(SN字段)中。
如前所述,通过将业务类别***ESP信头中,保护业务类别免于被篡改。另外,通过对每个业务类别保持一个抗重播窗口,抗重播窗口能够非常小。这是因为在网络中的服务质量处理不会重新排序一个抗重播窗口内的分组。例如,窗口尺寸可限制到一个分组。尽管对等方需要分配资源以保持不同的窗口,但所需的资源少于保持大的抗重播窗口的资源。
根据该方法的一个实施例,如果ESP信头的SN不在业务类别的抗重播窗口内或者是较早接收的分组的副本,则丢弃345接收的分组840。
在一个实施例中,从ESP信头(400)的SPI字段(410)的一部分、ESP信头(500)的SN字段(520)或扩展序列号(ESN)字段的一部分、或者ESP信头(600)的专用字段(615)导出业务类别。
如上所述,如果SN在抗重播窗口内并且不是较早接收的分组的副本,则将进一步处理接收的IP分组。接收的IP分组840的这个处理可例如包括执行350接收的IP分组的完整性校验。
然后,评估360完整性校验,并且如果完整性校验无法验证封装分组的完整性,则丢弃345该分组。
如果完整性校验验证了分组的完整性,则根据SN更新370抗重播窗口,并解密380在封装IP分组内的被封装IP分组,并且已解密的被封装IP分组被转发390到如已解密的IP分组的IP信头中所指示的其目的地。当然,可以设想,内部IP分组或被封装分组可以不加密。在这种情况下,当然将不需要对它解密380。相反,在已经更新370抗重播窗口之后,内部IP分组被转发390到在IP分组的IP信头中所指示的其目的地。
图4到6是先前所讨论的ESP信头的不同实施例的示意性说明。
图4说明ESP信头400的一个实施例,其中业务类别包含在ESP信头的SPI字段410的一部分中。如上所述,SPI字段通常包括32位,并且在此示例中,为业务类别预留了8位。
图5说明ESP信头500的一个实施例,其中业务类别包含在ESP信头的SN字段520的一部分中。如上所述,SN字段通常包括32位,并且在此示例中,为业务类别预留了8位。
图6说明ESP信头600的一个实施例,其中业务类别包含在ESP信头的专用字段615中。这个专用字段被添加到在IETF RFC4303中定义的ESP信头。专用字段优选具有32位,其中例如为业务类别预留8位。
取决于所使用的业务类别的数量,可能不是业务类别字段的所有位都用于导出业务类别。
图7是说明采用因特网安全的IP网络中的传送节点700的框图,并且图8是说明采用因特网安全的IP网络中的接收节点800的框图。传送和发送节点包括与上面描述的方法相同或类似的目的和优点,并且出于简化原因,这些目的和优点将不再重复。传送和接收节点700和800包括不同单元,这将在下面描述。这些单元可由电路实现,可以是软件、硬件或它们的组合。
图7说明包括适合于接收要通过IP网络传送的IP分组730的接收单元711的传送节点700。
传送节点700还包括:处理单元713,适合于导出与接收的IP分组730相关联的安全关联SA和与外部IP分组740相关联的区分服务代码点值(DSCP值)。处理单元713还适合于将IP分组730封装到外部IP分组740中,外部IP分组包括IP信头(也称为外部IP信头)和封装安全净荷信头(ESP信头)400、500、600。处理单元713还适合于将DSCP值***外部封装IP分组740的外部IP信头中。处理单元713适合于从DSCP值以及SA导出业务类别;以及使专用于安全关联内的业务类别的序列号SN递增。
另外,处理单元713适合于将序列号SN和业务类别***外部封装IP分组740中。
传送节点700还包括:传送单元712,适合于向目的地接收节点传送外部IP分组740。
在一个示例中,用于外部分组740的SA的SA标识符也被***外部IP分组740中。
用于SA的SA标识符可被***例如ESP信头的安全参数索引字段(SPI字段)中,并且SN可被***例如ESP信头中的序列号字段(SN字段)中。
根据传送节点700的一个实施例,处理单元713适合于将递增的SN和业务类别***外部IP分组740的ESP信头400、500、600中。在一个示例中,处理单元713还适合于将业务类别***ESP信头400中,在ESP信头的SPI字段410的一部分中。
在一个示例中,处理单元713还适合于将业务类别***ESP信头500中,在ESP信头的SN字段520或ESN字段的一部分中。
在一个示例中,处理单元713还适合于将业务类别***ESP信头600中,在ESP信头的专用字段615中。
图8说明包括适合于接收IP分组840的接收单元811的接收节点800。IP分组840包括封装安全净荷信头(ESP信头)400、500、600。接收的IP分组840封装内部IP分组830,这已经结合传送节点描述了。
接收节点800还包括:处理单元813,适合于导出安全关联SA并从ESP信头中导出业务类别。业务类别与接收的分组相关联。
可通过使用接收的封装IP分组840的ESP信头的安全参数索引字段(SPI字段)中的SA标识符从SA数据库SAD 820中检索SA来导出SA。
处理单元813还适合于为SA内的每个业务类别保持一个抗重播窗口,并确定ESP信头中的序列号SN是否在业务类别的抗重播窗口内并且不是较早接收的分组的副本。如果序列号在抗重播窗口内并且不是较早接收的分组的副本,则处理单元813适合于处理接收的分组840。
接收节点800还包括:传送单元812,适合于向在IP分组830的IP信头中所指示的其目的地转发被封装IP分组830。
根据接收节点800的一个实施例,处理单元813适合于:如果ESP信头中的序列号SN不在业务类别的抗重播窗口内或者是较早接收的分组的副本,则丢弃接收的分组840。
根据接收节点800的一个实施例,处理单元813适合于从ESP信头400的SPI字段410的一部分中导出业务类别。
根据接收节点800的一个实施例,处理单元813适合于从ESP信头500的SN字段520的一部分中导出业务类别。
根据接收节点800的一个实施例,处理单元813适合于从ESP信头600的专用字段615中导出业务类别。
处理单元813可适合于执行其它任务和特征。作为一个示例,它可适合于执行封装IP分组840的完整性校验。如果验证了完整性,则处理单元813适合于根据SN更新抗重播窗口,并且倘若IP分组830被加密的话,解密在接收的IP分组840内的被封装IP分组830。如上所述,在传送节点不必加密内部被封装分组830。如上所述,序列号可包含在ESP信头的序列号字段(SN字段)中。
在一个示例中,处理单元813还适合于确定封装IP分组840的序列号是否在业务类别的抗重播窗口内并且不是较早接收的分组的副本,并且如果序列号在抗重播窗口以外或者是较早接收的分组的副本,或者如果完整性校验未验证完整性,则处理单元813还适合于丢弃封装IP分组840。
上面描述的方法和节点可能需要更新因特网密钥交换(IKE)协议。提议更新IKE协议,使得在两个对等方之间协商支持和使用扩展ESP分组信头的能力。还提议更新IKE协议,使得可在两个对等方之间协商所支持的业务类别的数量,如果不协商这个,则对于每个DSCP值将存在一个业务类别。
这些协商可通过更新现有IKE安全关联Init/Auth消息来实现,这在下面将参考图9-11描述。
一般地,当在大多数通信网络中发起通信会话时,一些协商首先发生。其中,会话是指在通信网络上传递、传送或交换数据的任何形式。协商包括例如协商使用的带宽、优先级、比特率、协议等,这些当然取决于要发生的会话的种类。
应当指出,附图仅在逻辑意义上说明节点的各种功能单元。然而,实际上可使用任何适当的软件和硬件部件或它们的组合实现这些功能。因此,本发明一般不限于所示出的节点和功能单元的结构。
图9是说明有关发起方910和响应方920之间的因特网密钥交换(IKE)的一些协商的信令图。发起方910可以是例如图7的传送节点700或图1的网关115。同样,响应方920可以是图8的接收节点800或图1的网关135。图9说明协商中的初始交换并且还有创建子SA交换协商。
为了开始初始交换,发起方910发送9:1 IKE_SA_INIT_REQUEST,这是到响应方920的建立IKE安全关联(SA)的初始请求。发起方910在这个消息中封入IKE信头、HDR,其中含有安全参数索引(SPI)、版本号和各种类型的标志。发起方910还封入SAil,其指出由发起方910对于IKE SA支持的密码算法。KEi也被封入,包括发起方的Diffie-Hellman值,并且Ni也被封入,这是发起方的现时。
响应方920将9:2包括HDR、SArl、KEr、Nr和CERTREQ的IKE_SA_INIT响应发送回发起方910。更详细地说,响应方920从发起方提供的选择中选择密码套件,并在SArl净荷中表达那个选择,完成与KEr净荷的Diffie-Hellman交换,并在Nr净荷中发送其现时。这全都如IETF RFC4306中那样执行。
图9则说明发起方910如何向响应方920发送9:3 IKE_AUTH请求,其中包括HDR、SK、IDi、CERT、CERTREQ、IDr、AUTH、SAi2、TSi和TSr。SK是安全密钥,IDi是发起方的身份,CERT是发起方的证书,并且CERTREQ包括发起方的信任锚的列表。另外,IDr是响应方的身份,AUTH用于完整性保护第一消息的内容。SAi2在图9中用粗体字母,说明这个字段将受到更新,以便支持上述方法。发起方910开始使用SAi2净荷协商CHILD_SA。SAi2的更新示于图10中,并将在下面更详细描述。IKE_AUTH请求还包括TSi和TSr,它们分别是用于发起方和响应方的业务选择器。
初始交换通过响应方发送9:4 IKE_AUTH响应而结束,该响应包括HDR、SK、IDr、CERT、AUTH、SAr2、TSi和TSr。在此,SAr2也用粗体字母,说明这个字段将受到与上面SAi2一样的更新。
对于创建子交换协商,图9说明发起方910发送9:5 CREATE_CHILD_SA请求,其中包括HDR、SK、N、SA、Ni、Ker、TSi和TSr。N是通知字段,不要与先前描述的Ni和对应的Nr混淆,它们分别是用于发起方910和响应方920的现时。在此,SA也用粗体字母,指明它受到更新,这将在下面描述。
响应方920将9:6 CREAT_CHILD_SA响应发送回发起方,该响应包括HDR、SK、SA、Nr、Ker、TSi和TRr。SA也采用粗体字母,并且受到更新。
现在转到图10,它是为了支持上述方法而在SA净荷1001(对应于图9的SAi1、SAi2、SAr2和SA)中可能需要的更新的说明。
SA净荷用于协商安全关联SA的属性。SA净荷可含有多个提议。如果有不止一个提议,则它们从最优选到最不优选排序。每个提议可含有多个IPsec协议,其中每个协议可含有多个变换,并且每个变换可含有多个属性。提议、变换和属性各具有它们自己的可变长度编码。它们是嵌套的,使得SA的净荷长度包含SA、提议、变换和属性信息的组合内容。提议的长度包含它含有的所有变换和属性的长度。变换的长度包含它含有的所有属性的长度。
图10说明包括N个提议1010-1020的SA净荷1001和包括M个变换1030-1040的第一提议1010。应当指出,不同提议可能具有不同数量的变换,图10说明变换1 1030包括的内容。如可在图10中看到的,变换类型、变换ID和变换属性用粗体字母,说明这些将要受到更新。先前,已经描述了业务类别。业务类别可被看作变换类型。以下变换ID可被定义用于变换类型业务类别:(a)0-没有业务类别能力;(b)1-每个DSCP值一个业务类别;以及(c)2-协商的业务类别数量。
图11公开了变换ID2,对于它,变换属性包含业务类别的数量,这将要描述。
图11是包含在SA净荷中的变换字段的框图,并且图12说明初始IKE消息交换的一部分。发起方1121也可以是例如图7的传送节点700或图1的网关115。同样,响应方1122可以是图8的接收节点800或图1的网关135。发起方1121将NTCi属性1109、用于发起方的业务类别数量以及NTCr属性1112、用于响应方的业务类别数量包含在业务类别变换中。NTCi属性规定在从响应方到发起方的方向要使用的业务类别的数量。对应地,NTCr属性规定在相反方向的业务类别的数量。
发起方1121提议匹配它可接收的业务类别数量的NTCi值和匹配包含在其DSCP中的业务类别数量的NTCr值给业务类别映射功能。提议的NTCi值在大多数情况下等于发起方能处理的抗重播窗口的数量。提议在11:1 IKE_AUTH请求中被发送到响应方1122。
当响应方1122接收到提议的NTCi和NTCr值时,如果(a)响应方不支持包含在最大NTCi的业务类别数量的映射功能,或者(b)响应方不能处理由NTCr规定的业务类别数量的抗重播功能,则它将拒绝该提议。
如果响应方1122接受该提议,则NTCi和NTCr属性被包含在响应信号11:1 IKE_AUTH响应中。然而,响应方1122可能减小NTCi值,以便指示其映射功能包含较少数量的业务类别。
发起方1121可在SA净荷中包含几个提议,每个具有不同的NTCi和NTCr值。这将允许发起方规定支持多个映射功能,这将便于协商收敛的可能性。
本发明及其示范实施例可用许多方式实现。例如,本发明的一个实施例包含具有其上存储的程序指令的计算机可读介质,这些程序指令可分别由传送和接收节点(例如网关115和135)的计算机或处理器运行以执行如先前描述并在权利要求中阐述的本发明示范实施例的方法步骤。
虽然已经参考特定的示范实施例描述了本发明,但是说明书一般仅用来举例说明本发明概念,不应该被视为限制本发明的范围。本发明由所附权利要求来定义。
Claims (14)
1. 一种在通过采用因特网安全的因特网协议IP网络(120)传递数据的传送节点(115,700)中的方法,包括:
-接收(210)要通过所述IP网络(120)传送的IP分组(730);
-导出(220)与接收的所述IP分组(730)相关联的安全关联SA;
-导出(230)与外部IP分组(740)相关联的区分服务代码点值DSCP值;
-将所述IP分组(730)封装(240)在所述外部IP分组(740)中,所述外部IP分组(740)包括IP信头和封装安全净荷信头ESP信头(400,500,600);
-将所述DSCP值***(250)到所述外部IP分组(740)的所述IP信头中;
-从所述DSCP值和所述SA导出(260)业务类别;
-使专用于所述SA内的所述业务类别的序列号SN递增(270);
-将递增的所述SN和所述业务类别***(280)所述外部IP分组(740)中。
2. 如权利要求1所述的方法,其中,所述***(280)包括将递增的所述SN和所述业务类别***所述外部IP分组的所述ESP信头(400,500,600)中。
3. 如权利要求2所述的方法(200),其中,所述业务类别被***所述ESP信头(400)中,在所述ESP信头的安全参数索引字段SPI字段(410)的一部分中;或者被***所述ESP信头(500)中,在所述ESP信头的SN字段(520)或扩展序列号字段ESN字段的一部分中;或者被***所述ESP信头(600)中,在所述ESP信头的专用字段(615)中。
4. 一种在通过采用因特网安全的因特网协议IP网络(120)传递数据的接收节点(135,800)中的方法,所述方法包括:
-接收(310)包括封装安全净荷信头ESP信头(400,500,600)的IP分组(840);
-导出(320)与接收的所述IP分组(840)相关联的安全关联SA和业务类别,所述业务类别是从所述ESP信头(400,500,600)中导出的;
-为所述SA内的每个业务类别保持(330)一个抗重播窗口;
-确定(340)所述ESP信头中的序列号SN是否在所述业务类别的所述抗重播窗口内并且不是较早接收的分组的副本,其中,如果所述SN在所述抗重播窗口内并且不是较早接收的分组的副本,则处理接收的IP分组。
5. 如权利要求4所述的方法,其中,如果所述ESP信头的所述SN不在所述业务类别的所述抗重播窗口内或者是较早接收的分组的副本,则丢弃(345)所述接收的分组。
6. 如权利要求4所述的方法,其中,从所述ESP信头(400)的安全参数索引字段SPI字段(410)的一部分;或者所述ESP信头(500)的SN字段(520)或扩展序列号字段ESN字段的一部分;或者所述ESP信头(600)的专用字段(615)中导出所述业务类别。
7. 一种在采用因特网安全的IP网络(120)中的传送节点(115,700),包括:
-接收单元(711),适合于接收要通过所述IP网络传送的IP分组(730);
-处理单元(713),适合于:
(a)导出与接收的所述IP分组(730)相关联的安全关联SA和与外部IP分组(740)相关联的区分服务代码点值DSCP值;
(b)将所述IP分组(730)封装到所述外部IP分组(740)中,所述外部IP分组(740)包括IP信头和封装安全净荷信头ESP信头(400,500,600);
(c)将所述DSCP值***所述外部IP分组(740)的所述IP信头中;
(d)从所述DSCP值和所述SA导出业务类别;
(e)使专用于所述SA内的所述业务类别的序列号SN递增;以及
(f)将递增的所述SN和所述业务类别***所述外部IP分组(740)中,
-传送单元(712),适合于向目的地接收节点传送所述外部IP分组(740)。
8. 如权利要求7所述的传送节点,其中,所述处理单元(713)适合于将递增的所述SN和所述业务类别***所述外部IP分组(740)的所述ESP信头(400,500,600)中。
9. 如权利要求8所述的传送节点,其中,所述处理单元(713)适合于将所述业务类别***所述ESP信头(400)中,在所述ESP信头的安全参数索引字段SPI字段(410)的一部分中;或者***所述ESP信头(500)中,在所述ESP信头的SN字段(520)或扩展序列号字段ESN字段的一部分中;或者***所述ESP信头(600)中,在所述ESP信头的专用字段(615)中。
10. 一种在采用因特网安全的IP网络(120)中的接收节点(800,135),包括:
-接收单元(811),适合于接收包括ESP信头(400,500,600)的IP分组(840);
-处理单元(813),适合于:
(a)导出安全关联SA并且从所述ESP信头导出与接收的所述IP分组(840)相关联的业务类别;
(b)为所述SA内的每个业务类别保持一个抗重播窗口;
(c)确定所述ESP信头中的序列号是否在所述业务类别的所述抗重播窗口内并且不是较早接收的分组的副本,其中,如果所述序列号在所述抗重播窗口内并且不是较早接收的分组的副本,则
(d)处理接收的分组(840),
-传送单元(812),适合于向被封装IP分组(830)的IP信头中所指示的其目的地转发包含在接收的所述IP分组(840)内的所述被封装IP分组(830)。
11. 如权利要求10所述的接收节点,其中,所述处理单元(813)适合于如果所述ESP信头的所述序列号SN不在所述业务类别的所述抗重播窗口内或者是较早接收的分组的副本,则丢弃所述接收的分组。
12. 如权利要求10所述的接收节点,其中,所述处理单元(813)适合于从所述ESP信头(400)的安全参数索引字段SPI字段(410)的一部分;从所述ESP信头(500)的SN字段(520)或扩展序列号字段ESN字段的一部分;或者从所述ESP信头(600)的专用字段(615)导出所述业务类别。
13. 一种计算机可读介质,包括存储于其上的具有程序指令的计算机程序,所述程序指令可由如权利要求7所述的传送节点的计算机或处理器运行,以执行如权利要求1-3中任一项所述的方法步骤。
14. 一种计算机可读介质,包括存储于其上的具有程序指令的计算机程序,所述程序指令可由如权利要求10所述的接收节点的计算机或处理器运行,以执行如权利要求4-6中任一项所述的方法步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2010/050914 WO2012026855A1 (en) | 2010-08-25 | 2010-08-25 | Methods and arrangements for secure communication over an ip network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103053143A true CN103053143A (zh) | 2013-04-17 |
Family
ID=45723670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010800687269A Pending CN103053143A (zh) | 2010-08-25 | 2010-08-25 | 用于通过ip网络的安全通信的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20130166905A1 (zh) |
| EP (1) | EP2609721A4 (zh) |
| CN (1) | CN103053143A (zh) |
| WO (1) | WO2012026855A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110120907A (zh) * | 2019-04-25 | 2019-08-13 | 北京奇安信科技有限公司 | 一种基于提议组的IPSec VPN隧道的通信方法及装置 |
| CN116918299A (zh) * | 2021-07-15 | 2023-10-20 | 威睿公司 | 管理在网关之间的多路径连接中的重放窗口 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102595508B (zh) * | 2011-01-14 | 2016-09-28 | 中兴通讯股份有限公司 | 一种策略控制方法及*** |
| TW201303333A (zh) * | 2011-07-06 | 2013-01-16 | Hon Hai Prec Ind Co Ltd | Sas信號完整性分析系統及方法 |
| EP2909983A4 (en) * | 2012-10-15 | 2016-06-29 | Ericsson Telefon Ab L M | METHOD FOR NOTIFYING A NODE IN A RADIO ACCESS NETWORK (RAN) ABOUT A TYPE OF SERVICE ASSOCIATED WITH AN IP PACKET |
| US10798071B2 (en) * | 2017-07-31 | 2020-10-06 | Cisco Technology, Inc. | IPSEC anti-relay window with quality of service |
| CN109088877A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种适用于攻击监测环境下的溯源排序算法 |
| US20210377176A1 (en) * | 2020-06-02 | 2021-12-02 | Apple Inc. | Traffic class-based esp sequence |
| US11539668B2 (en) * | 2020-06-03 | 2022-12-27 | Juniper Networks, Inc. | Selective transport layer security encryption |
| WO2023287463A1 (en) * | 2021-07-15 | 2023-01-19 | Vmware, Inc. | Managing replay windows in multipath connections between gateways |
| JP2023031246A (ja) * | 2021-08-23 | 2023-03-08 | メラノックス テクノロジーズ、リミテッド | 冗長データ・パケットを生成及び排除する通信装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003063443A1 (en) * | 2002-01-22 | 2003-07-31 | Intrasecure Networks Oy | Method and system for sending a message through a secure connection |
| CN1741523A (zh) * | 2004-08-25 | 2006-03-01 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
| US20090158417A1 (en) * | 2007-12-17 | 2009-06-18 | Nortel Networks Limited | Anti-replay protection with quality of services (QoS) queues |
| US7746781B1 (en) * | 2003-06-30 | 2010-06-29 | Nortel Networks Limited | Method and apparatus for preserving data in a system implementing Diffserv and IPsec protocol |
| CN101790162A (zh) * | 2010-01-29 | 2010-07-28 | 华为技术有限公司 | 安全关联获取方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1387533A1 (en) * | 2002-07-29 | 2004-02-04 | Motorola, Inc. | Communication of packet data units over signalling and traffic channels |
| US7362780B2 (en) * | 2002-12-11 | 2008-04-22 | Nokia Corporation | Avoiding compression of encrypted payload |
| US7533154B1 (en) * | 2004-02-04 | 2009-05-12 | Advanced Micro Devices, Inc. | Descriptor management systems and methods for transferring data of multiple priorities between a host and a network |
| US7895431B2 (en) * | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
-
2010
- 2010-08-25 EP EP10856490.7A patent/EP2609721A4/en not_active Withdrawn
- 2010-08-25 WO PCT/SE2010/050914 patent/WO2012026855A1/en active Application Filing
- 2010-08-25 US US13/818,599 patent/US20130166905A1/en not_active Abandoned
- 2010-08-25 CN CN2010800687269A patent/CN103053143A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003063443A1 (en) * | 2002-01-22 | 2003-07-31 | Intrasecure Networks Oy | Method and system for sending a message through a secure connection |
| US7746781B1 (en) * | 2003-06-30 | 2010-06-29 | Nortel Networks Limited | Method and apparatus for preserving data in a system implementing Diffserv and IPsec protocol |
| CN1741523A (zh) * | 2004-08-25 | 2006-03-01 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
| US20090158417A1 (en) * | 2007-12-17 | 2009-06-18 | Nortel Networks Limited | Anti-replay protection with quality of services (QoS) queues |
| CN101790162A (zh) * | 2010-01-29 | 2010-07-28 | 华为技术有限公司 | 安全关联获取方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110120907A (zh) * | 2019-04-25 | 2019-08-13 | 北京奇安信科技有限公司 | 一种基于提议组的IPSec VPN隧道的通信方法及装置 |
| CN110120907B (zh) * | 2019-04-25 | 2021-05-25 | 北京奇安信科技有限公司 | 一种基于提议组的IPSec VPN隧道的通信方法及装置 |
| CN116918299A (zh) * | 2021-07-15 | 2023-10-20 | 威睿公司 | 管理在网关之间的多路径连接中的重放窗口 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130166905A1 (en) | 2013-06-27 |
| WO2012026855A1 (en) | 2012-03-01 |
| EP2609721A1 (en) | 2013-07-03 |
| EP2609721A4 (en) | 2014-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103053143A (zh) | 用于通过ip网络的安全通信的方法和装置 | |
| RU2728893C1 (ru) | Способ реализации безопасности, устройство и система | |
| US8510549B2 (en) | Transmission of packet data over a network with security protocol | |
| CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
| CN104811444B (zh) | 一种安全的云端控制方法 | |
| US9031535B2 (en) | Un-ciphered network operation solution | |
| CN112398651B (zh) | 一种量子保密通信方法、装置、电子设备以及存储介质 | |
| CN101645883A (zh) | 数据传输方法、数据发送方法及数据接收方法 | |
| CN104322001A (zh) | 使用服务名称识别的传输层安全流量控制 | |
| JP5246034B2 (ja) | パケット送受信システム、パケット送受信装置、および、パケット送受信方法 | |
| EP2521311A1 (en) | Resource control method, apparatus and system in peer-to-peer network | |
| WO2017148419A1 (zh) | 数据传输方法及服务器 | |
| CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| CN106209401B (zh) | 一种传输方法及装置 | |
| US20180176230A1 (en) | Data packet transmission method, apparatus, and system, and node device | |
| JP2017191965A (ja) | 通信装置及びパケット送受信プログラム | |
| TWI335160B (en) | Access-controlling method, pepeater, and sever | |
| US20230113138A1 (en) | Application Information Verification Method, Packet Processing Method, And Apparatuses Thereof | |
| CN114826748B (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
| US20170201493A1 (en) | System and method for secure and anonymous communication in a network | |
| CN110417804A (zh) | 一种适于单片机实现的双向身份认证加密通信方法及*** | |
| Hohendorf et al. | Secure End-to-End Transport Over SCTP. | |
| US11595367B2 (en) | Selectively disclosing content of data center interconnect encrypted links | |
| CN107547478B (zh) | 报文传输方法、装置及*** | |
| US11936634B2 (en) | Method for editing messages by a device on a communication path established between two nodes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130417 |