專利名稱:互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備和處理設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)����、IPsec設(shè)置服務(wù)器設(shè)備���、IPsec處理設(shè)備和為此所使用的IPsec設(shè)置方法,更具體地說��,涉及一種根據(jù)IPsec(Internet Protocolsecurity protocol��,因特網(wǎng)協(xié)議安全性協(xié)議)的網(wǎng)絡(luò)結(jié)構(gòu)��,該IPsec提供了多種功能���,例如因特網(wǎng)上的保密性、完整性和認證���。
背景技術(shù):
一般地�,隨著因特網(wǎng)的廣泛傳播��,越來越需要確保因特網(wǎng)上的安全性���。具體地說����,許多公司希望以低成本在因特網(wǎng)上建立虛擬專用網(wǎng),以及建立一個連接遠程辦公室或類似對象的網(wǎng)絡(luò)�,而不是用昂貴的專用線來建立網(wǎng)絡(luò)。
為響應(yīng)這種需求��,IETF(Internet Engineering Task Force�,因特網(wǎng)工程任務(wù)組)對IPsec(因特網(wǎng)協(xié)議安全性協(xié)議)進行了標準化,該IPsec提供了多種功能�,例如因特網(wǎng)上的保密性、完整性和認證(例如���,參見在先公開的日本專利No.2001-298449的第8-11頁和圖1)�����。
當兩個不同的中心通過因特網(wǎng)通信時��,就可以使用IPsec以確保因特網(wǎng)路徑上的安全性���。支持新的因特網(wǎng)協(xié)議,即具有IPsec的IPv6(因特網(wǎng)協(xié)議版本6)變得很重要����,預(yù)計從現(xiàn)在開始,更多的網(wǎng)絡(luò)設(shè)備將與IPsec相關(guān)��,使用IPsec的通信也將增加。
圖31示出了使用IPsec進行通信的IPsec處理設(shè)備的結(jié)構(gòu)�。在圖31中,IPsec處理設(shè)備4包括接口部分(I/F)41和42���、IPsec處理部分43�����、SPD(安全性策略數(shù)據(jù)庫)44�����、SAD(安全性關(guān)聯(lián)數(shù)據(jù)庫)45和路由部分46。
接口部分41與專用網(wǎng)相連以實現(xiàn)和該專用網(wǎng)的數(shù)據(jù)通信�。接口部分42與因特網(wǎng)相連以通過因特網(wǎng)實現(xiàn)數(shù)據(jù)通信。
IPsec處理部分43對從接口部分41和42接收到的數(shù)據(jù)通信包進行IPsec處理����。從IPsec處理部分43查閱SPD 44,其存儲用于應(yīng)用IPsec的策略���。從IPsec處理部分43查閱SAD 45��,其存儲使每種通信都受到IPsec處理所必需的SA(安全性關(guān)聯(lián))���。路由部分46向IPsec處理部分43發(fā)送或從IPsec處理部分43接收數(shù)據(jù)通信包�,并確定各個數(shù)據(jù)通信包的傳輸目的地�����。
然而��,在根據(jù)傳統(tǒng)IPsec的上述網(wǎng)絡(luò)結(jié)構(gòu)中���,當一個IPsec處理設(shè)備和大量相對方進行IPsec通信時�,在通過IPsec的連接當中�����,在實現(xiàn)IPsec處理的設(shè)備中所要設(shè)置的內(nèi)容增加了�。
為了使用IPsec,在應(yīng)用了IPsec處理的兩端的設(shè)備中�,必須分別設(shè)置應(yīng)用了IPsec的服務(wù)[AH(認證頭部)所提供的服務(wù),ESP(封裝安全性有效載荷)]�����、算法和用于通信的類似對象�����。
當使用自動密鑰管理(IKEInternet Key Exchange,因特網(wǎng)密鑰交換)協(xié)議時�,也必須在兩端的設(shè)備中設(shè)置在自動密鑰管理協(xié)議中所使用的加密算法、哈希(hash)算法�、密鑰共用算法和類似算法。由于每個通過IPsec進行連接的相對方都需要這些設(shè)置���,因此隨著通過IPsec進行連接的相對方的增多���,就需要更多的設(shè)置。
另外����,在根據(jù)傳統(tǒng)IPsec的網(wǎng)絡(luò)結(jié)構(gòu)中,在應(yīng)用了IPsec的通信的兩端���,有可能進行不同的設(shè)置。在應(yīng)用了IPsec處理的兩端的設(shè)備中�����,如果要使用的服務(wù)的設(shè)置或要使用的算法的設(shè)置不同����,那么這些設(shè)備就不能實現(xiàn)通信�。當應(yīng)用了IPsec的通信的種類增加時�,因為設(shè)置的數(shù)量也增加了,所以更有可能出現(xiàn)這樣的錯誤���。
而且�����,在根據(jù)傳統(tǒng)IPsec的網(wǎng)絡(luò)結(jié)構(gòu)中���,如果使用了自動密鑰管理協(xié)議,那么用來生成共用秘密密鑰的算術(shù)運算將花費時間���,結(jié)果���,在開始通信之前要用去很長時間。通常�����,在IPsec處理設(shè)備中���,如圖32所示��,因為直到必須進行通信時才開始生成共用秘密密鑰�,所以如果生成共用秘密密鑰花費時間,那么在開始通信之前要用去很長時間���。
此外��,在根據(jù)傳統(tǒng)IPsec的網(wǎng)絡(luò)結(jié)構(gòu)中�,如果使用了自動密鑰管理協(xié)議�����,則在應(yīng)用了IPsec處理的設(shè)備中產(chǎn)生算術(shù)運算量����。因為許多算術(shù)運算都是生成共用秘密密鑰所必需的,所以在該設(shè)備中所提供的其他功能(對未應(yīng)用IPsec的包的傳輸功能等等)的性能將下降��。當要被同時處置的IPsec通信種類增加時�����,生成共用秘密密鑰的機會也增多了�,并且性能下降的速度更快了。
發(fā)明內(nèi)容
因此�����,本發(fā)明的目的就是解決上述問題��,并提供可以防止在相互通信的設(shè)備之間出現(xiàn)設(shè)置不一致的網(wǎng)絡(luò)�����、IPsec設(shè)置服務(wù)器設(shè)備����、IPsec處理設(shè)備和為此所使用的IPsec設(shè)置方法。
另外����,本發(fā)明的另一個目的是提供可以在設(shè)置策略后沒有延時地執(zhí)行加密和解密,并且可以沒有故障地從傳輸源接收包的網(wǎng)絡(luò)�、IPsec設(shè)置服務(wù)器設(shè)備、IPsec處理設(shè)備和為此所使用的IPsec設(shè)置方法���。
此外����,本發(fā)明的另一個目的是提供可以使秘密密鑰算術(shù)運算不再必要,從而縮短各個設(shè)備中在開始通信時的IPsec路徑連接時間�,并可以防止性能下降的網(wǎng)絡(luò)、IPsec設(shè)置服務(wù)器設(shè)備��、IPsec處理設(shè)備和為此所使用的IPsec設(shè)置方法��。
根據(jù)本發(fā)明的網(wǎng)絡(luò)包括IPsec處理設(shè)備����,其在兩個不同的中心通過因特網(wǎng)通信時,使用IPsec(因特網(wǎng)協(xié)議安全性協(xié)議)來確保因特網(wǎng)路徑上的安全性���;和IPsec設(shè)置服務(wù)器設(shè)備��,其管理IPsec處理設(shè)備的IPsec設(shè)置���,其中,所述IPsec設(shè)置服務(wù)器設(shè)備包括用來集中管理要在多個IPsec處理設(shè)備之間應(yīng)用的IPsec的策略的裝置���。
在根據(jù)本發(fā)明的另一種網(wǎng)絡(luò)中�,除了上述結(jié)構(gòu)外����,所述IPsec設(shè)置服務(wù)器設(shè)備還包括一個裝置,用來一旦收到請求消息�,把請求啟動消息發(fā)送給已發(fā)送所述請求消息的IPsec處理設(shè)備的相對方的IPsec處理設(shè)備,以使得這個IPsec處理設(shè)備發(fā)送通信的請求消息��。
在根據(jù)本發(fā)明的另一種網(wǎng)絡(luò)中���,除了上述結(jié)構(gòu)外�����,所述IPsec設(shè)置服務(wù)器設(shè)備還包括一個裝置和一個功能�,該裝置用來生成在IPsec加密和認證中所使用的共用秘密密鑰����,而該功能用于把所生成的共用秘密密鑰分配給多個IPsec處理設(shè)備。
根據(jù)本發(fā)明的IPsec設(shè)置服務(wù)器設(shè)備是一種用來管理IPsec處理設(shè)備的IPsec設(shè)置的IPsec設(shè)置服務(wù)器設(shè)備�����,在兩個不同的中心通過因特網(wǎng)通信時�,該IPsec處理設(shè)備使用IPsec(因特網(wǎng)協(xié)議安全性協(xié)議)來確保因特網(wǎng)路徑上的安全性,所述IPsec設(shè)置服務(wù)器設(shè)備包括用來集中管理要在多個IPsec處理設(shè)備之間應(yīng)用的IPsec的策略的裝置�。
根據(jù)本發(fā)明的另一種IPsec設(shè)置服務(wù)器設(shè)備除了上述結(jié)構(gòu)外,還包括一個裝置,用于一旦收到請求消息�����,就把請求啟動消息發(fā)送給已發(fā)送所述請求消息的IPsec處理設(shè)備的相對方的IPsec處理設(shè)備�����,以使得這個IPsec處理設(shè)備發(fā)送通信的請求消息�。
根據(jù)本發(fā)明的另一種IPsec設(shè)置服務(wù)器設(shè)備除了上述結(jié)構(gòu)外,還包括一個裝置和一個功能����,該裝置用來生成在IPsec加密和認證中所使用的共用秘密密鑰,而該功能用于把所生成的共用秘密密鑰分配給多個IPsec處理設(shè)備����。
根據(jù)本發(fā)明的IPsec處理設(shè)備是一種在因特網(wǎng)上使用IPsec(因特網(wǎng)協(xié)議安全性協(xié)議)的IPsec處理設(shè)備,其包括一個裝置�,用于一旦收到應(yīng)當應(yīng)用IPsec的包,用來判斷是否要向IPsec設(shè)置服務(wù)器設(shè)備查詢在該IPsec設(shè)置服務(wù)器設(shè)備中所集中管理的IPsec的設(shè)置���。
根據(jù)本發(fā)明的另一種IPsec處理設(shè)備在上述結(jié)構(gòu)中��,一旦收到用于使IPsec設(shè)置服務(wù)器設(shè)備發(fā)送請求消息的請求啟動消息���,就發(fā)送請求消息�����。
根據(jù)本發(fā)明的另一種IPsec處理設(shè)備除了上述結(jié)構(gòu)外,還包括用來從上述IPsec設(shè)置服務(wù)器設(shè)備中獲取要在IPsec加密和認證中所使用的共用秘密密鑰的裝置��。
根據(jù)本發(fā)明的IPsec設(shè)置方法是一種用于以下網(wǎng)絡(luò)的IPsec設(shè)置方法���,該網(wǎng)絡(luò)包括IPsec處理設(shè)備�,該設(shè)備在兩個不同的中心通過因特網(wǎng)通信時�����,使用IPsec(因特網(wǎng)協(xié)議安全性協(xié)議)來確保因特網(wǎng)路徑上的安全性�����;和IPsec設(shè)置服務(wù)器設(shè)備����,其管理IPsec處理設(shè)備的IPsec設(shè)置,其中��,該IPsec設(shè)置服務(wù)器設(shè)備包括集中管理要在多個IPsec處理設(shè)備之間應(yīng)用的IPsec的策略的步驟。
在根據(jù)本發(fā)明的另一種IPsec設(shè)置方法中�����,在上述操作中����,所述IPsec設(shè)置服務(wù)器設(shè)備包括以下步驟一旦收到請求消息,就把請求啟動消息發(fā)送給已發(fā)送所述請求消息的IPsec處理設(shè)備的相對方的IPsec處理設(shè)備���,以使得這個IPsec處理設(shè)備發(fā)送通信的請求消息�。
在根據(jù)本發(fā)明的另一種IPsec設(shè)置方法中����,除了上述步驟外,所述IPsec設(shè)置服務(wù)器設(shè)備包括生成在IPsec加密和認證中所使用的共用秘密密鑰的步驟��,以及把所生成的共用秘密密鑰分配給多個IPsec處理設(shè)備的步驟��。
就是說��,在因特網(wǎng)上使用IPsec(因特網(wǎng)協(xié)議安全性協(xié)議)的IPsec處理設(shè)備中��,本發(fā)明的IPsec設(shè)置方法在所述IPsec設(shè)置服務(wù)器上集中注冊在各個IPsec處理設(shè)備中所要設(shè)置的策略�,從而減少在各個IPsec處理設(shè)備中所要設(shè)置的策略的數(shù)量�。
另外����,在上述結(jié)構(gòu)中,一旦收到請求消息�����,本發(fā)明的IPsec設(shè)置方法就向已發(fā)送所述請求消息的IPsec處理設(shè)備的通信相對方的IPsec處理設(shè)備發(fā)送請求啟動消息���,以使得這個IPsec處理設(shè)備發(fā)送通信的請求消息,由此��,在這些設(shè)備中幾乎同時執(zhí)行要在各個IPsec處理設(shè)備之間應(yīng)用的IPsec的策略的設(shè)置���,并且可以在策略設(shè)置后沒有延時地執(zhí)行加密和解密�����。因此����,就可以在傳輸目的地的IPsec處理設(shè)備中沒有故障地從傳輸源接收包�����。
而且,在上述結(jié)構(gòu)中��,本發(fā)明的IPsec設(shè)置方法向傳輸源的IPsec處理設(shè)備發(fā)送一個無響應(yīng)錯誤消息���,除非在發(fā)送請求啟動消息時����,IPsec設(shè)置服務(wù)器沒有收到響應(yīng)于該請求啟動消息的請求消息��。因此����,在傳輸源的IPsec處理設(shè)備中就可以獲悉相對的設(shè)備不存在。
此外����,在上述結(jié)構(gòu)中,在本發(fā)明的IPsec設(shè)置方法中��,各個IPsec處理設(shè)備從IPsec設(shè)置服務(wù)器獲取在IPsec加密和認證中所使用的共用秘密密鑰��,由此�,消除了復(fù)雜的密鑰交換算術(shù)運算��,減少了IPsec處理開始前的時間����。
更具體地說�����,在本發(fā)明的IPsec設(shè)置方法中�����,所述IPsec設(shè)置服務(wù)器存儲要在各個IPsec處理設(shè)備之間應(yīng)用的IPsec的策略���。在向相對方的IPsec處理設(shè)備發(fā)送數(shù)據(jù)通信包時,傳輸源的IPsec處理設(shè)備請求IPsec設(shè)置服務(wù)器執(zhí)行必要的設(shè)置��。已收到該請求的IPsec設(shè)置服務(wù)器指示相對方的IPsec處理設(shè)備來請求設(shè)置����。
一旦從相對方的IPsec處理設(shè)備收到請求,IPsec設(shè)置服務(wù)器就向各個IPsec處理設(shè)備發(fā)送已注冊的策略���、由傳輸源和相對方的IPsec處理設(shè)備所通知的SPI(安全性參數(shù)索引)和由IPsec設(shè)置服務(wù)器生成的共用秘密密鑰�。此刻,在傳輸源和相對方的IPsec處理設(shè)備上��,IPsec處理所必需的所有信息都被收集起來�����,并可以執(zhí)行IPsec處理了����。注意,設(shè)置信息的發(fā)送和接收由傳統(tǒng)IPsec保護起來���,從而防止被第三方竊取�。
這樣��,在本發(fā)明中�,在IPsec設(shè)置服務(wù)器中集中管理IPsec策略,由此可以減少設(shè)置的總量���,與此同時����,可以防止因兩個中心的設(shè)置內(nèi)容不同而引起的通信故障。
另外�,在本發(fā)明中,由于發(fā)送了請求啟動消息�,因此在與請求消息的傳輸源的IPsec處理設(shè)備相對的IPsec處理設(shè)備中,幾乎在對傳輸源的IPsec處理設(shè)備的IPsec策略進行設(shè)置的同時執(zhí)行IPsec策略的設(shè)置���。如果傳輸源的IPsec處理設(shè)備在設(shè)置策略之后加密和發(fā)送包�����,則可以在相對的IPsec處理設(shè)備上解密和接收這個來自傳輸源的IPsec處理設(shè)備的包�。因此���,在傳輸目的地的IPsec處理設(shè)備上就可以沒有故障地從傳輸源接收包����。
而且�,在本發(fā)明中�,除非在發(fā)送請求啟動消息的時候,響應(yīng)于請求啟動消息的請求消息沒有從相對的IPsec處理設(shè)備上發(fā)送出去��,否則由于無響應(yīng)錯誤消息被發(fā)送給了傳輸源的IPsec處理設(shè)備�����,因此在傳輸源的IPsec處理設(shè)備中可以立即得知相對設(shè)備不存在。
此外���,在本發(fā)明中����,由于IKE(因特網(wǎng)密鑰交換自動密鑰管理協(xié)議)沒有被用于獲得共用秘密密鑰��,所以就不必執(zhí)行在IKE中所使用的Diffie-Hellman算術(shù)運算�����。因此����,相比需要Diffie-Hellman算術(shù)運算的傳統(tǒng)方法,本發(fā)明的方法可以減少IPsec處理開始前的時間��。
在傳統(tǒng)方法中�,周期性地執(zhí)行Diffie-Hellman算術(shù)運算以更新IKE的SA(安全性關(guān)聯(lián)),而且每當執(zhí)行該算術(shù)運算時就產(chǎn)生算術(shù)運算負載��。因為當出現(xiàn)更多根據(jù)IPsec的通信方時��,更新IKE的SA的機會增多了,所以算術(shù)運算負載也增加了�,而整個IPsec處理設(shè)備的處理性能就下降了。
另一方面���,在本發(fā)明中����,由于除了IPsec處理設(shè)備和IPsec設(shè)置服務(wù)器之間的通信外�����,不對其他的通信執(zhí)行Diffie-Hellman算術(shù)運算���,因此相比傳統(tǒng)方法��,還可以減少算術(shù)運算負載��。
圖1是示出與本發(fā)明實施例一致的�、根據(jù)IPsec的網(wǎng)絡(luò)的結(jié)構(gòu)的方框圖��;圖2是示出圖1中IPsec設(shè)置服務(wù)器的結(jié)構(gòu)的方框圖��;圖3是示出圖2中分配策略存儲部分的存儲內(nèi)容的圖�;圖4是示出圖2中管理表的存儲內(nèi)容的圖;圖5是示出圖4中SA參數(shù)內(nèi)容的圖��;圖6是示出根據(jù)本發(fā)明實施例的請求消息示例的圖����;圖7是示出根據(jù)本發(fā)明實施例的分配消息示例的圖;圖8是示出根據(jù)本發(fā)明實施例的請求啟動消息示例的圖���;圖9是示出根據(jù)本發(fā)明實施例的無對應(yīng)條目錯誤消息示例的圖���;圖10是示出根據(jù)本發(fā)明實施例的內(nèi)容不一致錯誤消息示例的圖;圖11是示出根據(jù)本發(fā)明實施例的無響應(yīng)錯誤消息示例的圖�;圖12是示出根據(jù)本發(fā)明實施例的IPsec設(shè)置服務(wù)器操作的流程圖;圖13是示出根據(jù)本發(fā)明實施例的IPsec設(shè)置服務(wù)器操作的流程圖��;圖14是示出圖1中IPsec處理設(shè)備的結(jié)構(gòu)的方框圖��;圖15是示出圖14中SPD的內(nèi)容的圖���;圖16是示出如圖15所示的SPD的應(yīng)用策略(z)的示例的圖�����;圖17是示出圖14中SAD的內(nèi)容的圖�;圖18是示出圖14中IPsec處理部分的處理操作的流程圖;圖19是示出圖14中設(shè)置管理部分的處理操作的流程圖��;圖20是示出圖14中設(shè)置管理部分的處理操作的流程圖���;圖21是示出圖2中SPD的內(nèi)容示例的圖�����;圖22是示出如圖21所示的SPD的應(yīng)用策略(v)的內(nèi)容的圖����;
圖23是示出傳統(tǒng)IPsec處理設(shè)備的SPD內(nèi)容的圖���;圖24是示出圖23中SPD的應(yīng)用策略(j)的內(nèi)容的圖���;圖25是示出在從IPsec處理設(shè)備收到請求消息后,圖2中管理表的內(nèi)容的圖����;圖26是示出在收到分配消息并設(shè)置了應(yīng)用策略后,圖14中SPD的內(nèi)容的圖����;圖27是示出為了更新圖2中管理表的SA而生成新的條目時�����,該管理表內(nèi)容的圖;圖28是示出根據(jù)本發(fā)明實施例的IPsec處理設(shè)備的操作的序列圖�;圖29是示出根據(jù)本發(fā)明另一個實施例的IPsec處理設(shè)備的結(jié)構(gòu)的方框圖;圖30是示出根據(jù)本發(fā)明另一個實施例的分配策略存儲部分的存儲內(nèi)容的圖����;圖31是示出傳統(tǒng)IPsec處理設(shè)備的結(jié)構(gòu)的方框圖;圖32是示出傳統(tǒng)IPsec處理設(shè)備的操作的序列圖�����;和圖33是示出傳統(tǒng)IPsec處理設(shè)備的另一種結(jié)構(gòu)的方框圖�����。
具體實施例方式
接下來����,參考
本發(fā)明的實施例。圖1是示出與本發(fā)明實施例一致的�、根據(jù)IPsec(因特網(wǎng)協(xié)議安全性協(xié)議)的網(wǎng)絡(luò)的結(jié)構(gòu)的方框圖。在圖1中����,在根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)中����,多個IPsec處理設(shè)備2a到2f通過因特網(wǎng)100相互連接����,這些IPsec處理設(shè)備將要在彼此之間進行應(yīng)用了IPsec的通信,并且IPsec設(shè)置服務(wù)器1也連接到因特網(wǎng)100上����。注意,如圖1所示�,IPsec處理設(shè)備2a到2f可以是路由器,通過根據(jù)IPsec的通信而在專用網(wǎng)201到204之間提供交換�。或者�,IPsec處理設(shè)備2a到2f可以是將IPsec應(yīng)用到其自身通信上的個人計算機。
圖2是示出圖1中IPsec設(shè)置服務(wù)器1的結(jié)構(gòu)的方框圖�����。圖2中�,IPsec設(shè)置服務(wù)器1包括接口(I/F)部分11、IPsec處理部分12、SPD(安全性策略數(shù)據(jù)庫)13����、SAD(安全性關(guān)聯(lián)數(shù)據(jù)庫)14、請求處理部分15���、分配策略存儲部分16�����、管理表17、隨機數(shù)發(fā)生器18�����、計時器19和記錄介質(zhì)20�。這里,IPsec設(shè)置服務(wù)器1主要由計算機組成����,該計算機執(zhí)行存儲在記錄介質(zhì)20中的程序,由此實現(xiàn)上述部件的操作��。
接口部分11連接到因特網(wǎng)100以通過因特網(wǎng)100進行數(shù)據(jù)通信�。IPsec處理部分12對從接口部分11接收到的數(shù)據(jù)通信包進行IPsec處理。
從IPsec處理部分12查閱SPD 13����,其存儲用于應(yīng)用那里所記錄的IPsec的策略��。從IPsec處理部分12查閱SAD 14�,其存儲使每種通信都受到那里所記錄的IPsec處理所必需的SA(安全性關(guān)聯(lián))���。
請求處理部分15通過接口部分11從IPsec處理設(shè)備2a到2f接收設(shè)置請求消息�����,并返回分配消息�����。從請求處理部分15查閱分配策略存儲部分16�,其存儲要確定所請求的設(shè)置所必需的IPsec策略�����。從請求處理部分15查閱并設(shè)置了管理表17��,其存儲被請求要進行設(shè)置的各種SA通信的信息��。
隨機數(shù)發(fā)生器18根據(jù)來自請求處理部分15的請求,生成隨機數(shù)��。計時器19應(yīng)請求處理部分15的請求來測量時間����。在這些部件中,IPsec處理部分12�����、SAD 14和SPD 13只是對IPsec設(shè)置服務(wù)器1要保護與IPsec處理設(shè)備2的根據(jù)IPsec的通信來說是必要的����,而且這三個部分與傳統(tǒng)IPsec機制中的對應(yīng)部分完全相同���。
一旦從因特網(wǎng)100接收到了數(shù)據(jù)通信包��,接口部分11就把該數(shù)據(jù)通信包傳遞給IPsec處理部分12�,并把從IPsec處理部分12輸送出的數(shù)據(jù)通信包傳送給因特網(wǎng)100�。
IPsec處理部分12基于SAD 14和SPD 13的存儲內(nèi)容,對從因特網(wǎng)100接收的�����、已應(yīng)用IPsec的數(shù)據(jù)通信包進行IPsec解密處理,把該數(shù)據(jù)通信包轉(zhuǎn)變?yōu)閼?yīng)用IPsec之前的狀態(tài)���,并把它傳輸?shù)秸埱筇幚聿糠?5�����。另外�����,IPsec處理部分12根據(jù)SAD 14和SPD 13的存儲內(nèi)容��,對從請求處理部分15接收到的數(shù)據(jù)通信包進行IPsec處理�,并把該數(shù)據(jù)通信包傳輸?shù)浇涌诓糠?1���。要保護IPsec設(shè)置服務(wù)器1和IPsec處理設(shè)備2a到2f之間的通信�����,IPsec處理部分12是必不可少的機制����,而且它和傳統(tǒng)IPsec中的對應(yīng)部分完全相同���。
圖3是示出圖2中分配策略存儲部分16的存儲內(nèi)容的圖���。圖3中�,分配策略存儲部分16包括用于指定分配策略的地址對列��,和用于設(shè)置所要分配的IPsec策略的分配策略列�����?���?梢栽诜峙洳呗源鎯Σ糠?6的分配策略中進行設(shè)置的參數(shù)是IPsec協(xié)議、封裝模式��、加密算法���、認證算法和SA有效性期限。
在圖3所示的例子中�����,設(shè)置一個應(yīng)用到IPsec處理設(shè)備2a和IPsec處理設(shè)備2b之間的通信的IPsec策略和一個應(yīng)用到IPsec處理設(shè)備2d和IPsec處理設(shè)備2e之間的通信的IPsec策略�����。注意,用戶需要提前設(shè)置分配策略存儲部分16中的所有項��。此外����,這些項被一次性設(shè)置之后,在操作當中就不對這些項進行自動重寫�����。
作為IPsec處理設(shè)備2a和IPsec處理設(shè)備2b之間的分配策略�,在IPsec協(xié)議中置入“ESP(封裝安全性有效載荷)”,在封裝模式中置入“隧道模式”�����,在解密算法中置入“DES-CBC(數(shù)據(jù)加密標準-密碼封鎖鏈接)”�����,在認證算法中置入“HMAC(散列消息認證碼)-MD5-96”�����,在SA有效性期限中置入“3600秒”。
另外��,作為IPsec處理設(shè)備2d和IPsec處理設(shè)備2e之間的分配策略����,在IPsec協(xié)議中置入“ESP”,在封裝模式中置入“傳輸模式”���,在解密算法中置入“3DES-CBC”���,在認證算法中置入“HMAC-SHA-1-96”,在SA有效性期限中置入“3600秒”�。
在傳統(tǒng)方法中,在各個IPsec處理設(shè)備2a到2f中�����,對于所要應(yīng)用的IPsec策略的內(nèi)容必須分別輸入相同的設(shè)置�。然而,在本發(fā)明的方法中�����,對于IPsec處理設(shè)備2a到2f之間的IPsec通信��,因為僅需要在分配策略存儲部分16中對IPsec策略進行設(shè)置����,所以可以避免在各個IPsec處理設(shè)備2a到2f中錯誤地進行不同設(shè)置的意外發(fā)生,同時還可以減少用戶實際輸入的設(shè)置量�����。
圖4是示出圖2中管理表17的存儲內(nèi)容的圖�����。圖4中�����,管理表17包括請求源地址列����、相對方地址列、請求ID列和SPI列�,分別用于記錄請求源地址、相對方地址�����、ID和SPI(安全性參數(shù)索引),這些內(nèi)容包括在從IPsec處理設(shè)備2a到2f所分別發(fā)送出的請求消息中����,該管理表17還包括設(shè)置參數(shù)列,用于記錄通信的IPsec處理所必需的參數(shù)組��。在這些列當中����,在設(shè)置參數(shù)列內(nèi)設(shè)置了由要應(yīng)用于通信的策略和建立通信的SA所必需的參數(shù)而組成的SA參數(shù)。
圖5是示出圖4中SA參數(shù)內(nèi)容的圖����。圖5中,SA參數(shù)包括IPsec協(xié)議���、封裝模式��、解密算法����、認證算法���、有效性期限���、加密密鑰、認證密鑰��、IV(初始化矢量)和SPI值���,它們將被用于通信接收端上的IPsec處理設(shè)備2a到2f����。
由于相互通信的兩端上的IPsec處理設(shè)備2a到2f所生成的請求都是為了一個IPsec通信�����,因此對于管理表17上的一個條目����,分別存在有兩個請求源地址、兩個相對方地址��、兩個請求ID和兩個SPI�����。另外,即使在同一IPsec通信中�����,也可以請求一個新的SA�����,以預(yù)防SA的有效性期限過期���。此時�����,為了這個新的SA�����,在管理表17中重新注冊一個條目�。注意����,因為管理表17的全部內(nèi)容都是由請求處理部分15自動設(shè)置的,所以用戶不必直接設(shè)置管理表17的內(nèi)容����。
由于參考了管理表17��,因此可以獲得所要分配給IPsec處理設(shè)備2a到2f的設(shè)置參數(shù)����。因為通過從進行IPsec通信的各個IPsec處理設(shè)備2a到2f中接收請求消息�,才能決定所述設(shè)置參數(shù)中的SA參數(shù)��,所以當僅從一端上的IPsec處理設(shè)備2a到2f接收請求消息時�,相對方端的請求ID列和SPI列都是空白的,并且在所述設(shè)置參數(shù)列中的SA參數(shù)也是空白的��。然而����,因為僅從一端上的IPsec處理設(shè)備2a到2f中接收請求消息就能決定所述的應(yīng)用策略,所以只要從一端上的IPsec處理設(shè)備2a到2f中接收請求消息�����,所要應(yīng)用的策略就得到了設(shè)置����。
在圖4所述的示例中,應(yīng)用于IPsec處理設(shè)備2a和IPsec處理設(shè)備2b之間的通信的策略和SA參數(shù)分別在第一條目中進行注冊。應(yīng)用于IPsec處理設(shè)備2a和IPsec處理設(shè)備2b之間的通信的策略也在第二條目中進行注冊�����。但是��,因為沒有從IPsec處理設(shè)備2b中收到對應(yīng)的設(shè)置請求消息����,所以SA參數(shù)未被決定。
圖5示出了圖4中SA參數(shù)(a)的內(nèi)容��?;诜峙洳呗缘膬?nèi)容、設(shè)置請求消息所通知的SPI和從隨機數(shù)發(fā)生器18獲得的隨機數(shù)����,請求處理部分15生成該SA參數(shù)。
請求處理部分15從IPsec處理設(shè)備2a到2f接收請求消息�����,并向IPsec處理設(shè)備2a到2f發(fā)送請求啟動消息��、分配消息或錯誤消息��。
圖6是示出根據(jù)本發(fā)明實施例的請求消息示例的圖。圖6中���,請求消息包括ID“1001”���,用于將該請求消息區(qū)別于其它請求消息;請求源地址“IPsec處理設(shè)備2a”��,指示了已發(fā)送請求消息的IPsec處理設(shè)備2a到2f之一的地址����;相對方地址“IPsec處理設(shè)備2b”�����,指示了作為相對方的IPsec處理設(shè)備2a到2f之一的地址���;和在請求源中所使用的SPI的值“5100”�����。
注意����,在本實施例中,由于存在于兩端上IPsec處理設(shè)備2a到2f之間的IPsec通信被限制為一種�,所以如果確定了兩端上IPsec處理設(shè)備2a到2f的地址,那么可以唯一指定所要應(yīng)用的IPsec策略��。因此��,在請求消息中置入IPsec通信兩端上的地址�。此外,可以在兩端上的兩個IPsec處理設(shè)備2a到2f之間設(shè)置多種IPsec通信�����。這種情況下���,在請求消息中進行設(shè)置指定各種IPsec通信所必需的信息(例如��,協(xié)議號����、端口號等等)���。
圖7是示出根據(jù)本發(fā)明實施例的分配消息示例的圖����。圖8是示出根據(jù)本發(fā)明實施例的請求啟動消息示例的圖。圖9是示出根據(jù)本發(fā)明實施例的無對應(yīng)條目錯誤消息示例的圖��。圖10是示出根據(jù)本發(fā)明實施例的內(nèi)容不一致錯誤消息示例的圖�。圖11是示出根據(jù)本發(fā)明實施例的無響應(yīng)錯誤消息示例的圖。
圖12和13是示出根據(jù)本發(fā)明實施例的IPsec設(shè)置服務(wù)器1的操作的流程圖�。將參考圖1到13說明根據(jù)本發(fā)明實施例的IPsec設(shè)置服務(wù)器1的操作。首先����,對請求處理部分15已收到請求消息時的操作進行說明。
一旦從IPsec處理設(shè)備2a到2f收到請求消息(圖12中的步驟S1)����,請求處理部分15就從管理表17中檢索與所述請求消息中所包含的請求源地址��、相對方地址和ID相一致的條目(圖12中的步驟S2)��。
如果發(fā)現(xiàn)了一致的條目��,則請求處理部分15確認該一致條目的SPI是否和所述請求消息中所包含的SPI相一致(圖12中的步驟S3)�����。如果這些SPI相互不一致�����,則請求處理部分15向IPsec處理設(shè)備2a到2f發(fā)送一內(nèi)容不一致錯誤消息(圖12中的步驟S8)。
此時���,包括在所述請求消息中的ID����、請求源地址和相對方地址��,以及一個條目列表被設(shè)置在所述的內(nèi)容不一致錯誤消息中�����。在管理表17所包含的條目中�����,所有具有一致的請求源地址和相對方地址的條目都被設(shè)置在該條目列表中����。但是,該條目列表中所要設(shè)置的項僅僅是各個條目的ID�,以及這些條目中所使用的請求源地址的SPI。
通過接收所述的內(nèi)容不一致錯誤消息����,IPsec處理設(shè)備2a到2f可以了解IPsec設(shè)置服務(wù)器1所管理的設(shè)置信息和IPsec處理設(shè)備2a到2f所掌握的設(shè)置信息之間的差別��。
圖10示出了這個內(nèi)容不一致錯誤消息的示例�����。在圖10中可以看到����,在IPsec設(shè)置服務(wù)器1上請求ID“1001”和“1002”已經(jīng)生成了設(shè)置信息�����,用于IPsec處理設(shè)備2a和IPsec處理設(shè)備2b之間的通信���,并且其中所使用的SPI的值分別是“5100”和“5110”。
如果在管理表17中發(fā)現(xiàn)一個條目與請求消息中所包含的請求源地址��、相對方地址和ID相一致���,并且SPI的內(nèi)容也彼此相符����,那么請求處理部分15在管理表17內(nèi)的該條目中確認相對方端上的請求ID列(圖12中的步驟S4)。
如果設(shè)置了相對方端的請求ID列�����,那么由于管理表17的設(shè)置參數(shù)列已經(jīng)被決定�����,因此請求處理部分15向請求消息的傳輸源發(fā)送分配消息(圖12中的步驟S5)��。請求消息中所包含的請求源地址����、傳輸源地址和ID被設(shè)置在分配消息中,管理表17中的分配策略和SA參數(shù)被設(shè)置在設(shè)置參數(shù)中�。這樣,所有應(yīng)該返回的設(shè)置參數(shù)已經(jīng)被決定���。
圖7示出了這個分配消息的示例�。在圖7所示的示例中�����,分配策略(a)與SA參數(shù)(a)和(b)都被設(shè)置在設(shè)置參數(shù)中。使用分配策略(a)與SA參數(shù)(a)和(b)����,IPsec處理設(shè)備2a可以進行雙向IPsec通信。
如果在管理表17中發(fā)現(xiàn)一個條目與請求消息中所包含的請求源地址����、相對方地址和ID相一致,并且SPI的內(nèi)容也彼此相符�����,但是沒有設(shè)置相對方端上的請求ID列�����,那么請求處理部分15就此結(jié)束處理(圖12中的步驟S6)�。這種情況下,雖然請求處理部分15已經(jīng)從IPsec處理設(shè)備2a到2f中收到了相同的請求消息���,但是由于沒有任何相對方端的信息���,所以請求處理部分15將等待相對方端的信息�。
如果在管理表17中沒有任何條目具有一致的請求源地址、相對方地址和ID,則請求處理部分15利用請求消息中所包含的請求源地址��、相對方地址和SPI作為關(guān)鍵字來檢索管理表17(圖12中的步驟S7)����。
如果發(fā)現(xiàn)了一致的條目,則請求處理部分15向所述請求消息的傳輸源發(fā)送內(nèi)容不一致錯誤消息���,并結(jié)束處理(圖12中的步驟S8)�。這出現(xiàn)于如下情形IPsec處理設(shè)備2a到2f使用已經(jīng)在IPsec設(shè)置服務(wù)器1中注冊的SPI�����,重復(fù)請求新的設(shè)置參數(shù)�����。通過接收內(nèi)容不一致錯誤消息����,IPsec處理設(shè)備2a到2f可以檢測出SPI的重復(fù),并選擇一個不重復(fù)的SPI�����。
如果在管理表17中沒有任何條目具有一致的請求源地址、相對方地址和ID��,也沒有檢測到SPI的重復(fù)�����,那么請求處理部分15利用請求消息中所包含的請求源地址和相對方地址作為關(guān)鍵字來檢索管理表17(圖12中的步驟S9)���。這種情況下��,請求處理部分15檢索那種請求ID列為空的條目����。
如果一致的條目存在���,則通信的請求消息已經(jīng)從相對方端的IPsec處理設(shè)備2a到2f中被發(fā)送出去���,甚至決定了設(shè)置參數(shù)的應(yīng)用策略。請求處理部分15在空白的請求ID列和SPI列內(nèi)分別置入在所述請求消息中所設(shè)置的ID和SPI�,并根據(jù)設(shè)置參數(shù)列上的應(yīng)用策略所指示的策略來產(chǎn)生用于各個方向的SA參數(shù)。
更具體地說���,對于IPsec協(xié)議��、封裝模式���、解密算法、認證算法�����、有效性期限���,請求處理部分15設(shè)置與應(yīng)用策略相同的內(nèi)容��,它還從隨機數(shù)發(fā)生器18獲得隨機數(shù)以確定用于解密密鑰�����、認證密鑰和IV的值��,并在接收端SPI列中置入接收端上的IPsec處理設(shè)備2a到2f所使用的SPI值�����。
如果可以產(chǎn)生用于各方向的SA參數(shù)�����,那么請求處理部分15在管理表17的設(shè)置參數(shù)列中注冊SA參數(shù)(圖12的步驟S10)���。當在管理表17中注冊了SA參數(shù)時�,請求處理部分15向IPsec處理設(shè)備2a到2f發(fā)送分配消息����,其中,請求消息傳輸源����,即IPsec處理設(shè)備2a到2f的請求ID和設(shè)置參數(shù)設(shè)置在該分配消息,同時也向作為相對方的IPsec處理設(shè)備2a到2f發(fā)送包括相對方請求ID的分配消息(圖12的步驟11)�。
另外,請求處理部分15使用計時器19來測量時間�,該時間長度與SA參數(shù)的有效性期限相同,當計時器19所測量的時間到達預(yù)定值時�����,刪除管理表17的相應(yīng)條目��。
如果管理表17中沒有任何條目具有相一致的請求源地址和請求ID���,甚至通過將請求源地址和相對方地址作為關(guān)鍵字的檢索也沒有發(fā)現(xiàn)一致的條目���,那么請求處理部分15利用請求消息中所包含的一對請求源地址和相對方地址作為關(guān)鍵字來檢索分配策略存儲部分16(圖13中的步驟S21)�����。
如果沒有發(fā)現(xiàn)對應(yīng)的條目,那么請求處理部分15就向IPsec處理設(shè)備2a到2f發(fā)送一無對應(yīng)條目錯誤消息(圖13中的步驟S26)���。請求處理部分15在這個無對應(yīng)條目錯誤消息中置入請求消息中所包含的ID��、請求源地址和相對方地址�����。圖9是出了這種無對應(yīng)條目錯誤消息的示例����。
如果在分配策略存儲部分16中存在一致的條目�����,則請求處理部分15在管理表17的新條目的請求源地址列����、相對方地址列���、請求ID列和SPI列中分別置入請求消息中所包含的請求源地址、相對方地址���、ID和SPI�。請求處理部分15在同一條目的另一個請求源地址列和相對方地址列中分別置入請求消息的相對方地址和請求消息的請求源地址�,而讓請求ID列和SPI列保持空白。
另外���,請求處理部分15在管理表17的設(shè)置參數(shù)列中置入在分配策略存儲部分16的所述條目中所包含的分配策略(圖13中的步驟S22)����。這時�����,除了諸如加密密鑰或認證密鑰的共用秘密密鑰�,以及在相對方IPsec處理設(shè)備2a到2f中所使用的SPI之外,在生成SA參數(shù)所必需的參數(shù)組中的所有其他參數(shù)都被決定了���。由于共用秘密密鑰使用從隨機數(shù)發(fā)生器18獲得的隨機數(shù)�����,所以只要決定了相對方的SPI�����,就可以生成SA參數(shù)����。
如果在分配策略存儲部分16中存在一致的條目,那么���,在響應(yīng)來自請求源的IPsec處理設(shè)備2a到2f的請求,在管理表17中注冊該條目后����,請求處理部分15向相對方的IPsec處理設(shè)備2a到2f發(fā)送請求啟動消息(圖13中的步驟S23)。請求處理部分15在請求啟動消息中置入所述請求消息的請求源地址�。圖8示出了這種請求啟動消息的示例。
在發(fā)送該請求啟動消息之后��,請求處理部分15以5秒為間隔重復(fù)發(fā)送這個請求啟動消息����,而一旦從該請求啟動消息的傳輸目的地的IPsec處理設(shè)備2a到2f中收到對應(yīng)于管理表17所述條目的請求消息,或者發(fā)送該請求啟動消息達到六次�,就停止發(fā)送這個請求啟動消息����。通過重復(fù)發(fā)送請求啟動消息�,請求處理部分15即使在丟失一個請求啟動消息的情況下,仍可以用另一個請求啟動消息來繼續(xù)處理���。
如果請求處理部分15因發(fā)送請求啟動消息達到六次而停止了發(fā)送(圖13中的步驟S24)����,那么請求處理部分15從管理表17中刪除所述條目(圖13中的步驟S27)并向請求消息傳輸源的IPsec處理設(shè)備2a到2f發(fā)送無響應(yīng)錯誤消息(圖13的步驟S28)��。請求處理部分15在這個無響應(yīng)錯誤消息中置入在來自IPsec處理設(shè)備2a到2f的請求消息中所包含的ID�、請求源地址和相對方地址。圖11示出了這種無響應(yīng)錯誤消息的示例�����。
一旦響應(yīng)于請求啟動消息��,收到與管理表17的條目相對應(yīng)的請求消息(圖13中的步驟S24)�,請求處理部分15停止發(fā)送請求啟動消息并執(zhí)行收到請求消息時的操作(圖13中的步驟S25)。
請求處理部分15請求計時器19來測量時間�,當指定時間已經(jīng)過去后,計時器19將通知請求處理部分15。計時器19可以同時測量多個時間����。
如上所述,由于發(fā)送了請求啟動消息�����,所以在與請求消息傳輸源的IPsec處理設(shè)備相對的IPsec處理設(shè)備中��,幾乎在對傳輸源的IPsec處理設(shè)備的IPsec策略進行設(shè)置的同時執(zhí)行IPsec策略的設(shè)置�。如果傳輸源的IPsec處理設(shè)備在設(shè)置策略之后加密并發(fā)送包,則相對的IPsec處理設(shè)備可以從傳輸源的IPsec處理設(shè)備中解密和接收該包���。因此,可以在設(shè)置策略后沒有延時地執(zhí)行加密和解密���。
這種情況下�,既然沒有因為不能解密包而取消這個包或者從未錯誤地執(zhí)行包的解密��,那么傳輸目的地的IPsec處理設(shè)備就可以沒有故障地從傳輸源接收包�。
另外,如果在發(fā)送請求啟動消息的時候�,沒有從相對的IPsec處理設(shè)備接收到響應(yīng)請求啟動消息的請求消息,那么由于無響應(yīng)錯誤消息被發(fā)送給了傳輸源的IPsec處理設(shè)備,所以傳輸源的IPsec處理設(shè)備可以立刻得知相對的設(shè)備不存在��。
圖14是示出圖1中IPsec處理設(shè)備2a到2f的結(jié)構(gòu)的方框圖�����。圖14中���,IPsec處理設(shè)備2a到2f被統(tǒng)一圖示為IPsec處理設(shè)備2�,IPsec處理設(shè)備2a到2f具有和IPsec處理設(shè)備2相同的結(jié)構(gòu)����。
IPsec處理設(shè)備2主要由計算機構(gòu)成,并使用IPsec設(shè)置服務(wù)器1�����。即�����,IPsec處理設(shè)備2包括接口部分(I/F)21和22����、IPsec處理部分23����、SPD 24�、SAD 25、設(shè)置管理部分26�����、路由部分27和記錄介質(zhì)28�����。所述計算機執(zhí)行記錄介質(zhì)28的程序���,由此實現(xiàn)上述各部件的操作��。
接口部分21連接到專用網(wǎng)200(圖1的專用網(wǎng)201到204中的任何一個)上以與專用網(wǎng)200進行數(shù)據(jù)通信�����。接口部分22連接到因特網(wǎng)100上以通過因特網(wǎng)100進行數(shù)據(jù)通信。
IPsec處理部分23使從接口部分21和22接收到的數(shù)據(jù)通信包受到IPsec處理���。應(yīng)IPsec處理部分23的請求��,設(shè)置管理部分26請求IPsec設(shè)置服務(wù)器1執(zhí)行必要的設(shè)置�����。
從IPsec處理部分23和設(shè)置管理部分26查閱SPD 24���,其具有用于應(yīng)用那里所記錄的IPsec的策略�����。從IPsec處理部分23和設(shè)置管理部分26查閱SAD 25����,其擁有記錄在那里的一個SA�����,該SA是使每種通信都受到IPsec處理所必需的SA���。路由部分27向IPsec處理部分23和設(shè)置管理部分26發(fā)送或從它們那里接收數(shù)據(jù)通信包����,并確定各個數(shù)據(jù)通信包的傳輸目的地���。
IPsec處理設(shè)備2的結(jié)構(gòu)與圖31所示的傳統(tǒng)IPsec處理設(shè)備的結(jié)構(gòu)的不同之處在于增加了設(shè)置管理部分26����。另外,如后面所述����,IPsec處理設(shè)備2結(jié)構(gòu)的不同之處在于SPD 24中增加了新的項,而且向IPsec處理部分23中增加了新的操作����。
接口部分21從專用網(wǎng)200接收數(shù)據(jù)通信包并把它傳遞給IPsec處理部分23,并把從IPsec處理部分23傳遞過來的數(shù)據(jù)通信包發(fā)送給專用網(wǎng)200�。
接口部分22從因特網(wǎng)100接收數(shù)據(jù)通信包并把它傳遞給IPsec處理部分23,并把從IPsec處理部分23傳遞過來的數(shù)據(jù)通信包發(fā)送給因特網(wǎng)100���。
SPD 24包括用于識別單個SPD條目并闡明優(yōu)先級的ID列��、用于選擇流量的選擇器列�����、用于所選擇流量的處理列和IPsec應(yīng)用策略列���,該列在應(yīng)用IPsec處理時用來記錄IPsec的參數(shù)信息或類似信息,SPD 24還包括用于設(shè)置請求的相對方地址列�����,用來判斷是否請求IPsec設(shè)置服務(wù)器1在SPD檢索時執(zhí)行設(shè)置��。
圖15是示出圖14中SPD 24的內(nèi)容的圖��。圖15中���,除了增加用于設(shè)置請求的相對方地址列外�,SPD 24和普通的IPsec所使用的SPD相同�。注意,SPD 24包括用于發(fā)送的SPD和用于接收的SPD�����。
如果IPsec處理部分23已收到了數(shù)據(jù)通信包�,那么SPD 24被用來確定對這個包的處置。一旦收到?jīng)]有應(yīng)用IPsec的數(shù)據(jù)通信包�,IPsec處理部分23就將它和SPD 24的選擇器列進行比較,以檢索一致的條目����。當發(fā)現(xiàn)一致的條目時�����,IPsec處理部分23就根據(jù)處理列來確定對所述包的處置��。
“IPsec應(yīng)用”�、“通過”和“丟棄”中的任何之一被存儲在處理列中����。具體地說,當要執(zhí)行“IPsec應(yīng)用”的處理時���,將根據(jù)IPsec策略列的內(nèi)容連續(xù)執(zhí)行IPsec的處理����。
本實施例中�����,在存在于SPD 24中的相對方地址列中���,如果處理列是“IPsec應(yīng)用”�,則IPsec應(yīng)用策略列被用于判斷是否請求IPsec設(shè)置服務(wù)器1執(zhí)行設(shè)置,同時被用作標識符����,當IPsec設(shè)置服務(wù)器1被請求執(zhí)行設(shè)置時該標識符用于指定所請求的設(shè)置參數(shù)�。
注意,在標準IPsec中��,基本上需要提前設(shè)置SPD 24的全部內(nèi)容�。但是,對用來設(shè)置請求的相對方地址已被設(shè)置的條目來說���,可以省略該條目的IPsec應(yīng)用策略�����。這種情況下�����,設(shè)置管理部分26從IPsec設(shè)置服務(wù)器1獲得必要的IPsec應(yīng)用策略信息��,并自動設(shè)置SPD 24的IPsec應(yīng)用策略列�����。這時�����,要對加密與IPsec設(shè)置服務(wù)器1的通信進行設(shè)置���,應(yīng)用策略不能僅為此而被省略��。
在圖15所示的示例中����,進行一些設(shè)置�����,以使得從IPsec處理設(shè)備2a自身到IPsec設(shè)置服務(wù)器1的包根據(jù)應(yīng)用策略(z)受到IPsec處理�,指向?qū)S镁W(wǎng)202的包和指向?qū)S镁W(wǎng)203的包受到IPsec處理,并且從IPsec設(shè)置服務(wù)器1獲得為此的策略���,所有其他的包不受到IPsec處理而只是通過��。
圖16是示出如圖15所示的SPD 24的應(yīng)用策略(z)的示例的圖����。圖16中,指定所要應(yīng)用的IPsec處理所必需的信息����,例如IPsec通信中所使用的協(xié)議、封裝模式�、加密算法和認證算法等在IPsec應(yīng)用策略中進行設(shè)置。
在圖16所示的示例中��,指示出“AES-CBC”用于加密算法�����,“HMAC-SHA-1-96”用于認證算法�,應(yīng)用ESP的“傳輸模式”�,而SA的有效性期限是“3600秒”。注意����,由于根據(jù)所使用的協(xié)議、加密算法或類似物�,所要獲得的參數(shù)存在差異,因此在各個應(yīng)用策略中���,可以出現(xiàn)除圖16所示參數(shù)以外的參數(shù)�,或者圖16中的部分參數(shù)可以不存在。
在傳統(tǒng)IPsec中���,用戶需要在IPsec處理設(shè)備中提前設(shè)置所有的應(yīng)用策略��。然而�����,如先前部分所述��,在本實施例的SPD 24中可以省略應(yīng)用策略的設(shè)置����。那種情況下���,從IPsec設(shè)置服務(wù)器1獲得的IPsec應(yīng)用策略由設(shè)置管理部分26自動進行設(shè)置�����。
注意�����,如果使用了IKE���,為IKE自身所獲得的參數(shù)與SPD 24的IPsec應(yīng)用策略相互獨立地存在�����。然而�,以本實施例的觀點���,由于這些參數(shù)是用戶應(yīng)當設(shè)置���、并可以通過使用本實施例的IPsec設(shè)置服務(wù)器1而被省略的初始參數(shù)����,因此這些參數(shù)等價于IPsec應(yīng)用策略。于是����,為了便于解釋,當SPD 24的IPsec應(yīng)用策略是使用了IKE的策略時���,在假定用于IKE的所有參數(shù)也包括在該策略中的情況下處置該策略��。因此��,在圖16所示的示例中�����,用于IKE的設(shè)置參數(shù)也包括在所述策略中����。在一個實際的結(jié)構(gòu)中,對IKE自身的設(shè)置仍然獨立于IPsec應(yīng)用策略�����。
圖17是示出圖14中SAD 25的內(nèi)容的圖�。圖17中,在SAD 25中注冊單個IPsec通信所需的SA�����。即�,SAD 25是用于管理SA的數(shù)據(jù)庫。
在SPD 24的IPsec應(yīng)用策略中���,示出了用于指示所要應(yīng)用的IPsec處理(應(yīng)用哪種IPsec處理)的信息�。然而�����,要實際執(zhí)行IPsec處理還需要額外的信息。
例如����,如果使用了IKE,只有當IPsec處理中所使用的加密密鑰和認證密鑰與相對方的IPsec處理設(shè)備相互交換���,并且使用了所述密鑰值時�,才執(zhí)行一次IPsec處理����。這種方式下,執(zhí)行一次IPsec處理所必需的參數(shù)組被稱作SA�����。
SAD 25包括用于標識各個SAD條目的ID���、指示了IPsec通信的相對方地址的終端地址、在IPsec通信中要使用的IPsec協(xié)議���、作為每個SA獨有標識符的SPI和其他SA參數(shù)����。
因為SAD 25是設(shè)置管理部分26或IPsec處理部分23所自動設(shè)置的,所以用戶無需直接設(shè)置SAD 25����。注意,SAD 25與標準IPsec中所使用的SAD相同���,而且包括用于發(fā)送的SAD和用于接收的SAD��。
在圖17所示的示例中�����,在IPsec處理設(shè)備2a和IPsec處理設(shè)備2b之間的SA注冊在第一條目中�����,在IPsec處理設(shè)備2a和IPsec設(shè)置服務(wù)器1之間的SA注冊在第二條目中��。
圖18是示出圖14中IPsec處理部分23的處理操作的流程圖�����。圖19和20是示出圖14中設(shè)置管理部分26的處理操作的流程圖����。IPsec處理設(shè)備2a到2f的操作將參考圖18至20進行說明。
一旦接收到從專用網(wǎng)200指向因特網(wǎng)100的數(shù)據(jù)通信包(圖18的步驟S31)�,IPsec處理部分23就把該數(shù)據(jù)通信包與SPD 24的選擇器列進行比較,以檢索對應(yīng)的條目(圖18中的步驟S32)�。如果對應(yīng)條目的用于設(shè)置請求的相對方地址列是空的,則IPsec處理部分23的操作與傳統(tǒng)IPsec的相同(圖18中的步驟S33)�����。
注意�����,根據(jù)傳統(tǒng)IPsec的操作�,在IPsec處理設(shè)備2和IPsec設(shè)置服務(wù)器1之間發(fā)送和接收消息受到保護。即�,根據(jù)IPsec的常見方法,在IPsec處理設(shè)備2和IPsec設(shè)置服務(wù)器1之間的通信提前在SPD 24中進行注冊����。
當通過檢索SPD 24發(fā)現(xiàn)已設(shè)置了對應(yīng)條目中用于設(shè)置請求的相對方地址列���,并且設(shè)置了IPsec應(yīng)用策略列時�,IPsec處理部分23還要從SAD25中檢索用于通信的SA(圖18中的步驟S34)。如果用于通信的SA存在�,則IPsec處理部分23的操作與傳統(tǒng)IPsec的相同,并且IPsec處理部分23使得數(shù)據(jù)通信包根據(jù)SA的內(nèi)容受到IPsec處理(圖18中的步驟S33)��。
當通過檢索SPD 24發(fā)現(xiàn)已設(shè)置了對應(yīng)條目中用于設(shè)置請求的相對方地址列��,并且也設(shè)置了IPsec應(yīng)用策略列時�����,以及當SAD 25中不存在對應(yīng)的條目時��,或者一開始就沒有設(shè)置IPsec應(yīng)用策略時�,IPsec處理部分23就延緩對數(shù)據(jù)通信包的處理并請求設(shè)置管理部分26從設(shè)置服務(wù)器獲取設(shè)置(圖18中的步驟S35)。這時�,IPsec處理部分23把SPD 24的條目的ID通知給設(shè)置管理部分26。
在請求設(shè)置管理部分26從設(shè)置服務(wù)器獲取設(shè)置后��,IPsec處理部分23不發(fā)出對相同的SPD條目的請求�,直到設(shè)置管理部分26通知了結(jié)果。如果IPsec處理管理部分已從設(shè)置管理部分26收到了設(shè)置完成的通知(圖18中步驟S36)���,則IPsec處理部分23就恢復(fù)對數(shù)據(jù)通信包的IPsec處理(圖18中的步驟S33)�����。這時�,設(shè)置管理部分26設(shè)置必要的策略和SA,并且只按傳統(tǒng)做法來執(zhí)行IPsec處理�。
一旦從設(shè)置管理部分26收到設(shè)置失敗的通知(圖18中的步驟S36),則IPsec處理部分23停止已被延緩的數(shù)據(jù)通信包處理(圖18中的步驟S37)����。
當從因特網(wǎng)100接收到指向?qū)S镁W(wǎng)200的、已應(yīng)用IPsec的數(shù)據(jù)通信包時�����,IPsec處理部分23以和傳統(tǒng)IPsec同樣的方式進行操作���。即��,IPsec處理部分23從SAD 25中檢索出對應(yīng)的條目����,如果一致的條目存在�,那么根據(jù)該條目的內(nèi)容執(zhí)行IPsec的解密處理。如果一致的條目不存在���,則IPsec處理部分23丟棄該數(shù)據(jù)通信包��。
以和傳統(tǒng)IPsec一樣的方式��,IPsec處理部分23確認SAD 25中每個SA條目的有效性期限�����,并在有效性期限過期之前建立新的SA�����。這時����,如果該SA是IPsec設(shè)置服務(wù)器1所生成的SA���,那么IPsec處理部分23請求設(shè)置管理部分26從IPsec設(shè)置服務(wù)器1獲取設(shè)置��。
當請求獲取設(shè)置時�,IPsec處理部分23把對應(yīng)于該SA的SPD 24的條目的ID通知給設(shè)置管理部分26�����。雖然響應(yīng)于所述請求的結(jié)果是由設(shè)置管理部分26通知的,但是IPsec處理部分23忽略這個結(jié)果通知�。
一旦從IPsec處理部分23收到獲取設(shè)置的請求(圖19中的步驟S41),設(shè)置管理部分26就為SPD 24所通知的條目生成一個請求消息(圖19中的步驟S42)�。設(shè)置管理部分26設(shè)置在請求消息中的請求源中所使用的ID、請求源地址��、相對方地址和SPI的值����。設(shè)置管理部分26在ID中置入任意數(shù)值,該數(shù)值與其他請求消息的不相同�����,在SPI中置入一個SPI���,這是設(shè)置管理部分26在IPsec通信中自己想要使用的SPI��。設(shè)置管理部分26在請求源地址中置入IPsec處理設(shè)備2的地址���。設(shè)置管理部分26在相對方地址中置入用于設(shè)置請求的相對方的地址,其包括在SPD 24的所述條目中��。
因為在設(shè)置管理部分26發(fā)送的消息中所設(shè)置的ID�����、請求源地址和相對方地址都包括在來自IPsec設(shè)置服務(wù)器1的答復(fù)消息中,所以設(shè)置管理部分26可以分辨出哪個消息得到了響應(yīng)�����。
圖6示出了這種請求消息的示例�����。圖6所示的例子是IPsec處理設(shè)備2a請求與IPsec處理設(shè)備2b進行IPsec通信所必需的設(shè)置時所用消息的例子�。
設(shè)置管理部分26向IPsec設(shè)置服務(wù)器1發(fā)送所生成的請求消息(圖19中的步驟S43)�����。在把該請求消息傳送給IPsec設(shè)置服務(wù)器1后�,設(shè)置管理部分26以5秒為間隔重復(fù)發(fā)送該請求消息,而且一旦從IPsec設(shè)置服務(wù)器1收到該請求消息的響應(yīng)����,或者傳送該請求消息達到六次,就停止發(fā)送該請求消息����。
如果設(shè)置管理部分26因傳送請求消息達到六次而停止了發(fā)送���,或者已收到無對應(yīng)條目錯誤消息或無響應(yīng)錯誤消息(圖19中的步驟S44和S47),那么設(shè)置管理部分26通知IPsec處理部分23設(shè)置失敗���,以結(jié)束處理(圖19中的步驟S49)��。
注意���,在重復(fù)發(fā)送請求消息時,設(shè)置管理部分26總是使用同一ID和同一SPI發(fā)送該請求消息�。通過重復(fù)發(fā)送請求消息,設(shè)置管理部分26即使在丟失一個請求消息的情況下�,仍可以用另一個請求消息來繼續(xù)處理。
如果設(shè)置管理部分26已從IPsec設(shè)置服務(wù)器1收到了內(nèi)容不一致錯誤消息(圖19中步驟S47)��,則設(shè)置管理部分26確認在該內(nèi)容不一致錯誤消息中所包括的條目列表�����;再次使用和所述條目列表中包含的ID和SPI不同的值來選擇ID和SPI�;并且向IPsec設(shè)置服務(wù)器1發(fā)送請求消息(圖19中的步驟S48)。
這出現(xiàn)于如下情形在因某種原因丟失操作信息后��,IPsec處理使用在IPsec設(shè)置服務(wù)器1端上注冊的ID或SPI來發(fā)送請求消息���。
通過使用與內(nèi)容不一致錯誤信息所通知的ID和SPI不同的值��,設(shè)置管理部分26可以生成新的請求消息����,其與IPsec設(shè)置服務(wù)器1的現(xiàn)存信息相一致。
如果設(shè)置管理部分26已從IPsec設(shè)置服務(wù)器1收到了分配消息(圖19中的步驟S44)�����,設(shè)置管理部分26在SPD 24的IPsec應(yīng)用策略列中置入包括在分配消息中的應(yīng)用策略�,并使用包括在分配消息中的SA參數(shù)生成SA并在SAD 25中注冊它(圖19中的步驟S45)�。在SAD 25中注冊該SA后,設(shè)置管理部分26通知IPsec處理部分23設(shè)置完成并結(jié)束處理(圖19中的步驟S46)��。
一旦從IPsec設(shè)置服務(wù)器1收到請求啟動消息(圖20中的步驟S51)���,設(shè)置管理部分26就從SPD 24的條目中檢索這樣的條目����,該條目中用于設(shè)置請求的相對方地址與請求啟動消息中所包含的相對方地址相一致(圖20中步驟S52)�。如果沒有發(fā)現(xiàn)一致的條目,則設(shè)置管理部分26忽略該請求啟動消息(圖20中步驟S53)����。
這種情況下�����,該請求啟動消息被從IPsec設(shè)置服務(wù)器1發(fā)送六次���。此后,IPsec設(shè)置服務(wù)器1停止發(fā)送請求啟動消息���,并且將錯誤消息從IPsec設(shè)置服務(wù)器1發(fā)送到最初發(fā)送請求消息的IPsec處理設(shè)備2�。
如果通過檢索SPD 24發(fā)現(xiàn)了一致的條目��,則設(shè)置管理部分26以和它從IPsec處理部分23收到對SPD 24條目的設(shè)置獲取請求時同樣的方式進行操作�。即,設(shè)置管理部分26生成請求消息�,并把它最多六次地重復(fù)發(fā)送給IPsec設(shè)置服務(wù)器1(圖20中的步驟S54和S55)。
然而�,因為這不是根據(jù)IPsec處理部分23請求的發(fā)送,所以即使從IPsec設(shè)置服務(wù)器1收到了分配消息或錯誤消息����,設(shè)置管理部分26也不把結(jié)果通知給IPsec處理部分23(圖20中的步驟S56、S58和S60)�����。
另外,當設(shè)置管理部分26響應(yīng)于請求啟動消息開始發(fā)送請求消息時�����,即使收到了對SPD 24中相同條目的請求啟動消息��,設(shè)置管理部分26也會直到停止重復(fù)的發(fā)送時才發(fā)送新的請求消息�����。
另一方面����,如果設(shè)置管理部分26已經(jīng)從IPsec設(shè)置服務(wù)器1收到了分配消息(圖20中的步驟S56)��,那么設(shè)置管理部分26在SPD 24的IPsec應(yīng)用策略列中置入該分配消息中所包含的應(yīng)用策略����,以及使用該分配消息中所包含的SA參數(shù)來生成SA并在SAD 25中注冊它(圖20中的步驟S57)。
路由部分27從IPsec處理部分23接收已受到IPsec解密處理的數(shù)據(jù)通信包���,當這個包是指向設(shè)置管理部分26時�,路由部分27把這個包傳遞給設(shè)置管理部分26。當這個包不是指向設(shè)置管理部分26時��,路由部分27確定該包應(yīng)當被傳送到的接口并再次通過IPsec處理部分23把該包傳遞到所述接口���。
另外�����,路由部分27從設(shè)置管理部分26接收數(shù)據(jù)通信包�����,確定該包應(yīng)當被傳送到的接口并通過IPsec處理部分23傳遞這個包��。
圖21是示出圖2中SPD 13的內(nèi)容示例的圖��。圖22是示出如圖21所示的SPD 13的應(yīng)用策略(v)的內(nèi)容的圖����。圖23是示出傳統(tǒng)IPsec處理設(shè)備的SPD內(nèi)容的圖�����。圖24是示出圖23中SPD的應(yīng)用策略(j)的內(nèi)容的圖。
另外���,圖25是示出圖2中管理表17在從IPsec處理設(shè)備2a收到請求消息后的內(nèi)容的圖�����。圖26是示出圖14中SPD 24在收到分配消息并設(shè)置了應(yīng)用策略后的內(nèi)容的圖��。圖27是示出該管理表17為了更新SA而生成新的條目時的內(nèi)容的圖�����。圖28是示出根據(jù)本發(fā)明實施例的IPsec處理設(shè)備2的操作的序列圖��。
參考圖1到28說明本實施例中IPsec設(shè)置服務(wù)器1的具體操作�����。這里,注意圖1中的IPsec處理設(shè)備2a�����,將要說明以下情形�����,即IPsec處理設(shè)備2a使從專用網(wǎng)201到專用網(wǎng)202的數(shù)據(jù)通信受到IPsec處理。首先�,將提前說明在IPsec設(shè)置服務(wù)器1、IPsec處理設(shè)備2a和IPsec處理設(shè)備2b中需要設(shè)置的項���。
在IPsec設(shè)置服務(wù)器1中�,為了分別確保IPsec設(shè)置服務(wù)器1和IPsec處理設(shè)備2a與2b之間安全的IPsec路徑��,用和過去同樣的方法設(shè)置SPD13�����。如圖21所示�����,對SPD 13進行設(shè)置����,以使得分別根據(jù)應(yīng)用策略(v)和應(yīng)用策略(w),把IPsec應(yīng)用到從IPsec設(shè)置服務(wù)器1自身到IPsec處理設(shè)備2a與2b的通信�。
圖22示出了這個應(yīng)用策略(v)的內(nèi)容。在應(yīng)用策略(v)中���,設(shè)置了用于對和IPsec處理設(shè)備2a之間的通信進行加密的策略��。另外�,為了在與IPsec處理設(shè)備2a的IPsec通信中通過IKE實現(xiàn)密鑰交換,也設(shè)置了用于IKE的參數(shù)���。
注意���,雖然用于IKE的設(shè)置基本上和IPsec應(yīng)用策略相互獨立,為了便于解釋��,在本發(fā)明的說明書中��,將這些設(shè)置作為所述應(yīng)用策略的一部分來對待��。應(yīng)用策略(w)的內(nèi)容和應(yīng)用策略(v)的相同���。
通過這些設(shè)置����,在IPsec設(shè)置服務(wù)器1和IPsec處理設(shè)備2a之間設(shè)定了安全的IPsec路徑���,并且可以安全地執(zhí)行設(shè)置信息和秘密密鑰的分配。
在SPD 13中,對所有與IPsec設(shè)置服務(wù)器1進行通信的IPsec處理設(shè)備2���,必須逐一地進行設(shè)置��。例如�����,在圖21所示的例子中�����,除了用于IPsec處理設(shè)備2a和2b的策略外���,還要設(shè)置用于IPsec處理設(shè)備2d和2e的策略。
接著�����,在IPsec設(shè)置服務(wù)器1中����,在分配策略存儲部分16中置入IPsec處理設(shè)備2a和IPsec處理設(shè)備2b之間所應(yīng)用的IPsec策略。圖3示出了分配策略存儲部分16的示例�。在分配策略存儲部分16的地址對列中置入IPsec處理設(shè)備2a和2b的地址�����,在其分配策略列中置入要應(yīng)用到通信上的策略����。
在所述策略中置入所使用的IPsec協(xié)議�、封裝模式、加密算法�����、認證算法和SA有效性期限�。另外,因為IPsec設(shè)置服務(wù)器1把一個共用秘密密鑰分配給各個IPsec處理設(shè)備2a到2f�����,所以IPsec處理設(shè)備2a到2f不使用IKE����。因此,在分配策略中不必設(shè)置用于IKE的參數(shù)����。
由IPsec設(shè)置服務(wù)器1管理的其他種類的通信的所有策略都在分配策略存儲部分16中進行設(shè)置���。在圖3所示的示例中�,除了IPsec處理設(shè)備2a和IPsec處理設(shè)備2b之間的通信的策略外,還要設(shè)置IPsec處理設(shè)備2d和IPsec處理設(shè)備2e之間的通信的策略���。
對于各個IPsec處理設(shè)備2a到2f都要設(shè)置SPD 24�。為了加密與IPsec設(shè)置服務(wù)器1之間使用IPsec的通信��,將通常的IPsec設(shè)置應(yīng)用到SPD 24上����。對于實際想要應(yīng)用IPsec的通信,設(shè)置選擇器列和用于設(shè)置請求的相對方地址列�����。
圖15示出了IPsec處理設(shè)備2a的SPD 24示例��。ID=1的條目就是用于加密和IPsec設(shè)置服務(wù)器1之間的通信的設(shè)置���。這個設(shè)置對應(yīng)于IPsec設(shè)置服務(wù)器1的SPD 13的設(shè)置��。圖16示出了應(yīng)用策略(z)的內(nèi)容�����。除了相對方地址外��,該內(nèi)容和IPsec設(shè)置服務(wù)器1中所設(shè)置的策略的內(nèi)容相同���,并且還包括了用于IKE的設(shè)置��。
ID=2的條目就是用于加密指向?qū)S镁W(wǎng)202的通信的設(shè)置����。這個指向?qū)S镁W(wǎng)202的通信在選擇器列中被設(shè)置為作為目標出現(xiàn)的通信�����,并且在處理列中置入IPsec���。這里���,省略了IPsec應(yīng)用策略列,并且在用于設(shè)置請求的相對方地址列中置入IPsec處理設(shè)備2b的地址��。
IPsec處理設(shè)備2a想要在其上應(yīng)用IPsec的各種通信都在SPD 24中進行設(shè)置。在圖15所示的示例中�����,進行一些設(shè)置���,以使得除了和IPsec處理設(shè)備2b之間的通信外,還實現(xiàn)了與指向?qū)S镁W(wǎng)203的通信有關(guān)的�、和IPsec處理設(shè)備2c之間的IPsec通信。
和上述相同的設(shè)置也被應(yīng)用到IPsec處理設(shè)備2b上���。即�,在SPD 24中�����,與應(yīng)用策略一道完成了IPsec設(shè)置服務(wù)器1的設(shè)置��,并為其他種IPsec通信設(shè)置了選擇器和用于設(shè)置請求的相對方地址����。
這些是需要提前進行的設(shè)置。圖23示出的例子中�,和上面相同的設(shè)置被應(yīng)用到傳統(tǒng)IPsec處理設(shè)備的SPD中。在傳統(tǒng)IPsec處理設(shè)備中�,對IPsec設(shè)置服務(wù)器1的設(shè)置不是必要的�,而對應(yīng)用了IPsec的各種通信來說�����,應(yīng)當設(shè)置包含了用于IKE的設(shè)置的應(yīng)用策略��。在圖23所示的例子中��,分別為指向?qū)S镁W(wǎng)202的通信和指向?qū)S镁W(wǎng)203的通信設(shè)置了應(yīng)用策略(j)和應(yīng)用策略(k)����。圖24示出了應(yīng)用策略(j)的內(nèi)容。除了諸如IPsec協(xié)議和封裝模式等的IPsec應(yīng)用策略外����,在應(yīng)用策略(j)中也設(shè)置了IKE的策略。
這里�����,在設(shè)備的全部組合中��,當n個IPsec處理設(shè)備執(zhí)行彼此間的IPsec通信時�����,將使用根據(jù)本實施例的IPsec設(shè)置服務(wù)器1時的設(shè)置量和傳統(tǒng)IPsec處理設(shè)備所需的設(shè)置量進行比較。當用于IPsec策略的設(shè)置和用于IKE策略的設(shè)置分別被計數(shù)為“1”時�����,在傳統(tǒng)IPsec處理設(shè)備中�,因為必須對一個IPsec處理設(shè)備設(shè)置(n-1)個IPsec策略和IKE策略,所以用于一個IPsec處理設(shè)備的設(shè)置量是2(n-1)���,而用于n個IPsec處理設(shè)備的設(shè)置量是2n(n-1)。
另一方面��,在根據(jù)本實施例的IPsec處理設(shè)備2中�����,因為對于和IPsec設(shè)置服務(wù)器1的通信只設(shè)置一個IPsec策略和一個IKE策略��,所以一個IPsec處理設(shè)備的設(shè)置量是2�,而n個IPsec處理設(shè)備的設(shè)置量是2n。
因為對于和各個IPsec處理設(shè)備2的通信設(shè)置了一個IPsec策略和一個IKE策略���,所以IPsec設(shè)置服務(wù)器1需要2n的設(shè)置量��,并且因為對于各個IPsec處理設(shè)備2之間的通信組合設(shè)置了一個IPsec策略�,所以也需要n(n-1)/2的設(shè)置量。于是��,整個設(shè)置服務(wù)器所必需的設(shè)置量是2n+n(n-1)/2�����。
因此�����,當根據(jù)本實施例的IPsec設(shè)置服務(wù)器1被使用時����,設(shè)置量是4n+n(n-1)/2=n(n+7)/2。例如�����,當n=10時���,本發(fā)明的設(shè)置量是85�����,而傳統(tǒng)方法的設(shè)置量是180�。可見��,大約一半的設(shè)置量就足夠了�����。
注意n2這一系數(shù)����,可以發(fā)現(xiàn),隨著n的增長��,本實施例的設(shè)置量接近傳統(tǒng)方法設(shè)置量的1/4���,當出現(xiàn)更多組合時,本發(fā)明的效果將增加���。
接著�,將說明在IPsec處理設(shè)備2a已收到指向?qū)S镁W(wǎng)202的包后的操作��。當IPsec處理設(shè)備2a從接口部分21接收到指向?qū)S镁W(wǎng)202的包時��,這個包被交給了IPsec處理部分23。
IPsec處理部分23將SPD 24的選擇器和所收到的包進行比較���,以發(fā)現(xiàn)對應(yīng)的條目�。如果將圖15中所示的內(nèi)容和指向?qū)S镁W(wǎng)202的包進行比較����,這個包與ID=2的條目一致。IPsec處理部分23根據(jù)該條目的處理列試圖應(yīng)用IPsec�����。然而�����,因為沒有設(shè)置IPsec應(yīng)用策略�,而設(shè)置了用于設(shè)置請求的相對方地址以取代它,所以IPsec處理部分23延緩了IPsec應(yīng)用處理并請求設(shè)置管理部分26獲取設(shè)置����。
一旦從IPsec處理部分23收到獲取設(shè)置的請求,設(shè)置管理部分26就為SPD條目生成請求消息���。圖6示出了請求消息的例子�。設(shè)置管理部分26在ID和SPI中置入任意數(shù)值,在請求源地址中置入IPsec處理設(shè)備2a自己的地址�,在相對方地址中置入IPsec處理設(shè)備2b的地址,這也是該SPD條目中用于設(shè)置請求的相對方地址���。
設(shè)置管理部分26向IPsec設(shè)置服務(wù)器1發(fā)送所生成的請求消息����。在向IPsec設(shè)置服務(wù)器1發(fā)送請求消息后��,設(shè)置管理部分26以五秒為間隔重復(fù)發(fā)送該請求消息����,而一旦從IPsec設(shè)置服務(wù)器1收到對應(yīng)于該請求消息的響應(yīng),或者發(fā)送該請求消息達到六次�����,就停止發(fā)送這個請求消息��。通過重復(fù)發(fā)送該請求消息����,設(shè)置管理部分26即使在丟失一個請求消息的情況下���,仍可以用其他請求消息來繼續(xù)處理����。
當該請求消息從設(shè)置管理部分26被發(fā)送到IPsec設(shè)置服務(wù)器1時,根據(jù)圖15所示的SPD 24的第一條目�,這個請求消息由IPsec處理部分23進行IPsec處理,接著被傳送到IPsec設(shè)置服務(wù)器1����。因此,要被發(fā)送給IPsec設(shè)置服務(wù)器1的消息可以被安全地傳送��,而不被因特網(wǎng)100上的第三方竊取�。注意,因為從各個IPsec處理設(shè)備2傳送到IPsec設(shè)置服務(wù)器1的所有消息都受到了IPsec��,并接著以相同的過程被傳送����,所以在下面的說明中,就不對向傳送到IPsec設(shè)置服務(wù)器1的消息應(yīng)用IPsec的過程進行描述了����。
發(fā)送給IPsec設(shè)置服務(wù)器1的請求消息到達IPsec設(shè)置服務(wù)器1的接口部分11。在接口部分11中接收的請求消息被傳送給IPsec處理部分12���。IPsec處理部分12把經(jīng)IPsec加密的請求消息解密為初始狀態(tài)����,并把解密后的包發(fā)送給請求處理部分15。
注意����,因為從各個IPsec處理設(shè)備2傳送到IPsec設(shè)置服務(wù)器1的所有消息都以相同的過程到達請求處理部分15,所以在下面的說明中就不再描述從在接口部分11接收消息到把它傳遞給請求處理部分15的過程�。類似地,也不對把IPsec應(yīng)用到從IPsec設(shè)置服務(wù)器1傳送到IPsec處理設(shè)備2的消息的過程進行描述了����。
一旦收到請求消息(圖12中的步驟SI),請求處理部分15就從管理表17中檢索具有與該請求消息中對應(yīng)部分相一致的地址和ID的條目���。然而�,因為在管理表17中最初沒有設(shè)置任何東西�����,所以沒有發(fā)現(xiàn)一致的條目(圖12中的步驟S2��、S7和S9)�����。
對于新的注冊��,請求處理部分15利用請求消息中所包含的請求源地址和相對方地址作為關(guān)鍵字來從分配策略存儲部分16中檢索對應(yīng)的條目(圖13中的步驟S21)���。因為請求消息中所包含的請求源地址和相對方地址分別是IPsec處理設(shè)備2a和IPsec處理設(shè)備2b����,所以圖3中所示的分配策略存儲部分16中開頭的條目與該請求消息相一致�。
因為在分配策略存儲部分16中發(fā)現(xiàn)了一致的條目,所以請求處理部分15選擇管理表17的新條目�,并在請求源地址列、相對方地址列��、請求ID列和SPI列中分別置入所述請求消息中包含的IPsec處理設(shè)備2a的地址�、IPsec處理設(shè)備2b的地址、請求ID“1001”和SPI“5100”���。請求處理部分15在同一條目的另一個請求源地址和另一個相對方地址中分別置入IPsec處理設(shè)備2b的地址和IPsec處理設(shè)備2a的地址���。
而且,請求處理部分15在管理表17的設(shè)置參數(shù)列中置入在分配策略存儲部分16的對應(yīng)條目中所設(shè)置的分配策略(a)(圖13中的步驟S22)。圖25示出了在其中完成上述設(shè)置的管理表17���。
請求處理部分15向作為相對方地址的IPsec處理設(shè)備2b發(fā)送請求啟動消息(圖13中的步驟S23)����。請求處理部分15在請求啟動消息中置入IPsec處理設(shè)備2a的地址作為相對方地址�,而該IPsec處理設(shè)備2a的地址就是所述請求消息的傳輸源地址。圖8示出了該請求啟動消息的示例���。
請求處理部分15以五秒為間隔發(fā)送請求啟動消息��,最多發(fā)送六次���,直到從IPsec處理設(shè)備2b收到請求消息。通過重復(fù)發(fā)送請求啟動消息����,請求處理部分15即使在丟失一個請求啟動消息的情況下,仍可以用其他請求啟動消息來繼續(xù)處理��。
發(fā)送給IPsec處理設(shè)備2b的請求啟動消息到達IPsec處理設(shè)備2b的接口部分22�。在IPsec處理設(shè)備2b中,接口部分22收到的請求啟動消息被發(fā)送給IPsec處理部分23��。
IPsec處理部分23把根據(jù)IPsec加密的請求啟動消息解密為初始狀態(tài),并把解密后的包發(fā)送給路由部分27�����。路由部分27判斷出該消息的目的地就是IPsec處理設(shè)備2b自身��,并把該請求啟動消息交給設(shè)置管理部分26�。注意�,因為從IPsec設(shè)置服務(wù)器1傳送到各個IPsec處理設(shè)備2的所有消息都以相同的過程到達設(shè)置管理部分26,所以在下面的說明中就不再描述從在接口部分22中接收消息到把該消息傳遞給設(shè)置管理部分26的過程��。
一旦從IPsec設(shè)置服務(wù)器1接收到請求啟動消息�,設(shè)置管理部分26就從SPD 24的條目中檢索具有與IPsec處理設(shè)備2a的地址一致的用于設(shè)置請求的相對方地址的條目。因為在IPsec處理設(shè)備2b的SPD 24中提前設(shè)置了IPsec處理設(shè)備2a的條目�����,所以IPsec處理設(shè)備2a與該條目一致�。
設(shè)置管理部分26生成請求消息以獲取所述條目的策略。在請求消息中��,設(shè)置管理部分26在請求源地址和相對方地址中分別置入IPsec處理設(shè)備2b的地址和IPsec處理設(shè)備2a的地址����。設(shè)置管理部分26在ID和SPI中置入請求ID“2001”和SPI“6100”,這是設(shè)置管理部分26所任意選定的。
設(shè)置管理部分26向IPsec設(shè)置服務(wù)器1發(fā)送所生成的請求消息�����。在向IPsec設(shè)置服務(wù)器1發(fā)送請求消息后�����,設(shè)置管理部分26以5秒為間隔重復(fù)發(fā)送該請求消息�,而且一旦從IPsec設(shè)置服務(wù)器1收到對應(yīng)于該請求消息的響應(yīng),或者傳送該請求消息達到六次�,就停止發(fā)送該請求消息。
從IPsec處理設(shè)備2b發(fā)送的請求消息到達IPsec設(shè)置服務(wù)器1的接口部分11����,并被傳輸?shù)秸埱筇幚聿糠?5。一旦收到來自IPsec處理設(shè)備2b的請求消息�,請求處理部分15就停止發(fā)送請求啟動消息,并開始該請求消息的接收處理(圖12中的步驟S1)���。
請求處理部分15從圖25所示的管理表17中檢索與請求消息中所包含的地址和ID相一致的條目����。然而��,不存在任何具有一致ID的條目(圖12中的步驟S2)。另外�,也不存在任何具有一致地址和SPI的條目(圖12中的步驟S7)。
接著��,請求處理部分15在管理表17內(nèi)檢索具有一致的地址和空白的ID的條目(圖12中的步驟S9)����。因為圖25所示的第一條目對應(yīng)于該條目���,所以請求處理部分15使用請求消息中所包含的值而分別在空白的ID列和SPI列中置入請求ID“2001”和SPI“6100”���。
而且,請求處理部分15生成一SA參數(shù)�����,用于從IPsec處理設(shè)備2a到IPsec處理設(shè)備2b的轉(zhuǎn)發(fā)方向���,還生成一用于相反方向的SA參數(shù)(圖12中的步驟S10)����。更具體地說�,請求處理部分15對IPsec協(xié)議�����、封裝模式��、加密算法���、認證算法和有效性期限置入與分配策略(a)相同的內(nèi)容,從隨機數(shù)發(fā)生器18獲取隨機數(shù)�����,用于加密密鑰���、認證密鑰和IV并設(shè)置這些值�。
另外����,請求處理部分15在接收端的SPI列中置入一SPI,該SPI由將成為接收端的IPsec處理設(shè)備2所使用���。圖4示出了設(shè)置后管理表17的內(nèi)容�。對于第一條目����,在請求ID列中置入“2001”���,在SPI列中置入“6100”,在用于各個方向的SA參數(shù)中置入SA參數(shù)(a)和SA參數(shù)(b)���。圖5示出了SA參數(shù)(a)的內(nèi)容�����。相反方向上的SA參數(shù)(b)具有相同的內(nèi)容,除了使用不同的隨機數(shù)的值作為加密密鑰�����、認證密鑰和IV����,以及接收端SPI的值是相應(yīng)于IPsec處理設(shè)備2a的“5100”之外。
請求處理部分15使用管理表17中設(shè)置參數(shù)列的內(nèi)容來生成分配消息��,并把它分別發(fā)送給IPsec處理設(shè)備2a和IPsec處理設(shè)備2b(圖12中的步驟S11)����。
此時����,請求處理部分15將管理表17的所述條目中所示出的值用于待發(fā)送的分配消息中所要置入的請求源地址�、相對方地址和ID。因此����,在指向IPsec處理設(shè)備2a的分配消息中,請求源地址����、相對方地址和ID的值分別是IPsec處理設(shè)備2a的地址、IPsec處理設(shè)備2b地址和請求ID“1001”����;在指向IPsec處理設(shè)備2b的分配消息中,則分別是IPsec處理設(shè)備2b的地址����、IPsec處理設(shè)備2a地址和請求ID“2001”。圖7示出了指向IPsec處理設(shè)備2a的分配消息的內(nèi)容�。
在發(fā)送了分配消息后,請求處理部分15使用計時器19來測量與SA參數(shù)的有效性期限相同的時間長度����,當計時器19過期時�����,刪除管理表17中的相應(yīng)條目���。
從IPsec設(shè)置服務(wù)器1發(fā)送到IPsec處理設(shè)備2a的分配消息到達IPsec處理設(shè)備2a的接口部分22,并被傳輸?shù)皆O(shè)置管理部分26��。
一旦從IPsec設(shè)置服務(wù)器1收到分配消息�����,IPsec處理設(shè)備2a的設(shè)置管理部分26就停止發(fā)送請求消息���,并在SPD 24的IPsec應(yīng)用策略列中置入該分配消息所包含的應(yīng)用策略���。圖26示出了置入策略后SPD 24的內(nèi)容����。
而且,設(shè)置管理部分26使用該分配消息所包含的SA參數(shù)來分別生成用于兩個方向上通信的SA��,并在SAD 25中設(shè)置這些SA�����。圖17示出了SAD 25的內(nèi)容,其中設(shè)置了從IPsec處理設(shè)備2a到IPsec處理設(shè)備2b方向上的SA��。
SAD 25的第一條目是對應(yīng)的條目���。分配消息所通知的SA參數(shù)(a)在增加了一個序列號后被置入SAD 25中��。設(shè)置管理部分26根據(jù)分配消息所通知的SA參數(shù)(b)的內(nèi)容�,以同樣的方式也設(shè)置用于接收的SAD 25����。此時,IPsec處理設(shè)備2a的IPsec處理部分23可以對指向IPsec處理設(shè)備2b的通信執(zhí)行IPsec處理����。
一旦完成對SPD 24和SAD 25的設(shè)置,設(shè)置管理部分26就通知IPsec處理部分23處理完成��。一旦從設(shè)置管理部分26收到處理完成的通知���,IPsec處理部分23就恢復(fù)對數(shù)據(jù)通信包進行已延緩的處理�。此時,因為在SPD 24的條目的應(yīng)用策略及SAD 25的對應(yīng)條目都存在����,所以IPsec處理部分23可以像過去一樣執(zhí)行IPsec處理。
受到IPsec處理的包被傳送到IPsec處理設(shè)備2b����。因為在從IPsec設(shè)置服務(wù)器1收到分配消息的時候,在IPsec處理設(shè)備2b端的SPD 24和SAD25中的條目也都進行了設(shè)置���,所以當從IPsec處理設(shè)備2a接收到受到IPsec處理的包時����,可以按照傳統(tǒng)過程來執(zhí)行IPsec的解密處理��。
已由IPsec處理設(shè)備2b的IPsec處理部分23進行解密處理的包被從接口部分21傳送到專用網(wǎng)202���。這樣��,來自專用網(wǎng)201的包就到達了專用網(wǎng)202��。
下面說明一種情形,即從專用網(wǎng)201到專用網(wǎng)202的包還被不斷地產(chǎn)生���。IPsec處理設(shè)備2a的IPsec處理部分23檢索圖26所示的SPD 24����,以確認在第二條目中已存在有策略,還要檢索圖17所示的SAD 25����,以確認在第一條目中存在有SA,并使用該SA執(zhí)行IPsec處理��。就是說��,在從IPsec設(shè)置服務(wù)器1獲得設(shè)置參數(shù)后��,IPsec處理部分23以和傳統(tǒng)IPsec同樣的方式進行操作��。
然后����,將說明更新SA時的操作。IPsec處理設(shè)備2a的IPsec處理部分23監(jiān)控SAD 25����,并為有效性期限過期的條目執(zhí)行對SA的更新。
當更新SA時�,IPsec處理部分23請求設(shè)置管理部分26獲取設(shè)置。此時,IPsec處理部分23把SPD 24中與該SA對應(yīng)的條目通知給設(shè)置管理部分26����。
一旦從IPsec處理部分23收到獲取設(shè)置的請求,設(shè)置管理部分26就生成對該SPD條目的請求消息�����。在該請求消息中��,除了ID和SPI外�����,與被最初發(fā)送的請求消息相同的內(nèi)容被置入���。對ID和SPI設(shè)置新的值�����。這里�,假定設(shè)置管理部分26已經(jīng)分別選擇了“1002”和“5110”作為ID和SPI的值����。
設(shè)置管理部分26向IPsec設(shè)置服務(wù)器1發(fā)送所生成的請求消息。在向IPsec設(shè)置服務(wù)器1發(fā)送請求消息后���,設(shè)置管理部分26以五秒為間隔重復(fù)發(fā)送該請求消息����,一旦從IPsec設(shè)置服務(wù)器1收到對應(yīng)于該請求消息的響應(yīng)���,或者發(fā)送請求消息達到六次��,設(shè)置管理部分26就停止發(fā)送請求消息�����。
發(fā)送給IPsec設(shè)置服務(wù)器1的請求消息到達IPsec設(shè)置服務(wù)器1的接口部分11�,并被傳輸?shù)秸埱筇幚聿糠?5��。一旦收到請求消息(圖12中的步驟S1)��,請求處理部分15就從管理表17中檢索具有與該請求消息一致的地址和ID的條目�。然而,因為ID和SPI都有新的值����,所以沒有發(fā)現(xiàn)一致的條目(圖12中的步驟S2和S7)�。另外����,此時,也不存在具有空白ID的條目(圖12中的步驟S9)�。
接下來的操作與首次收到請求消息時的操作一樣。即�����,請求處理部分15檢索分配策略存儲部分16(圖13中的步驟S21)��,并在管理表17中重新注冊條目(圖13中的步驟S22)���。圖4示出了管理表17此時的內(nèi)容����??梢钥吹剑琁D列和SPI列分別為“1002”和“5100”的條目被加入到第二位置上����。
請求處理部分15向作為相對方的IPsec處理設(shè)備2b發(fā)送請求啟動消息(圖13中的步驟S23)。一旦收到請求啟動消息��,IPsec處理設(shè)備2b也設(shè)置新的ID和SPI,并發(fā)送請求消息��。這里��,假定IPsec處理設(shè)備2b已經(jīng)分別選擇了“2002”和“6110”作為新的ID和SPI�����。
一旦從IPsec處理設(shè)備2b收到請求消息(圖12中的步驟S1)�����,IPsec設(shè)置服務(wù)器1的請求處理部分15就發(fā)現(xiàn)具有一致的地址和空白ID的條目(圖12中的步驟S9)�����,并把該請求消息所通知的ID和SPI�����,以及所生成的SA參數(shù)置入管理表17中(圖12中的步驟S10)�。圖27示出了管理表17此時的內(nèi)容��。
當把圖27所示的內(nèi)容和圖14所示的內(nèi)容進行比較時��,可以看到,在空白的ID和SPI列中置入了“2002”和“6110”�,并且還設(shè)置了SA參數(shù)。而且����,請求處理部分15根據(jù)管理表17的內(nèi)容生成分配消息,并把它分別發(fā)送給IPsec處理設(shè)備2a和IPsec處理設(shè)備2b(圖12中的步驟S11)�。
一旦收到該分配消息,每個IPsec處理設(shè)備2的設(shè)置管理部分26在SPD 24中設(shè)置該分配消息所通知的策略����,并從所通知的SA參數(shù)中產(chǎn)生一SA以設(shè)置SAD 25。此時���,可得到新的SA�,對SA的更新完成���。
這里�����,從IPsec處理設(shè)備2從接口部分21收到應(yīng)用了IPsec的第一包開始����,直到IPsec處理設(shè)備2對這個包實際執(zhí)行了IPsec處理,以把它發(fā)送給接口部分22為止�����,關(guān)于其間的處理��,對根據(jù)傳統(tǒng)IPsec的過程和根據(jù)本實施例的過程做一比較���。
在傳統(tǒng)方法中,如圖32所示����,一旦從接口部分41收到包,IPsec處理部分43就根據(jù)IKE執(zhí)行對公共密鑰的算術(shù)運算����,并和作為通信相對方的IPsec處理設(shè)備交換該公共密鑰。IPsec處理部分43還執(zhí)行對秘密密鑰的算術(shù)運算���,使用所得到的秘密密鑰把IPsec應(yīng)用到所述包上�,并把這個包發(fā)送給接口部分42���。
另一方面����,在本實施例的過程中,如圖28所示�,一旦從接口部分21收到包,IPsec處理部分23就請求設(shè)置管理部分26獲取設(shè)置�����,并且設(shè)置管理部分26向IPsec設(shè)置服務(wù)器1發(fā)送請求消息����。
一旦從IPsec設(shè)置服務(wù)器1收到分配消息,設(shè)置管理部分26就通知IPsec處理部分23設(shè)置完成��,并且IPsec處理部分23把IPsec應(yīng)用到所述包上����,再把它發(fā)送給接口部分22。
從接口部分21收到包并對該包執(zhí)行IPsec處理��,直到接口部分21把這個包發(fā)送給接口部分22�����,在這期間,假定傳統(tǒng)過程和本實施例的過程所用去的時間分別是Tb和Ta�����。此時�,可以看到,因為公共密鑰和專用密鑰的算術(shù)運算在傳統(tǒng)過程中花費一定的時間���,所以Tb大于Ta����,而在本實施例的過程中�,可以更早地把包傳送出去����。
例如,如果假定在IKE的Diffie-Hellman密鑰共用算法中所使用的群是1536比特MODP(模指數(shù)群�,Modular Exponentiation Group),并使用50MHz的RISC(精簡指令集計算機)處理器�����,則Tb大約為18秒(實際測量值)�,然而Ta卻小于一秒。
更嚴格地說,因為本實施例過程中的請求消息是由傳統(tǒng)IPsec過程所發(fā)送的��,所以此時���,當執(zhí)行IKE的密鑰交換時���,Tb小于Ta。然而�,對于接下來的IPsec通信,無論作為相對方的IPsec處理設(shè)備2的組合是怎樣的�����,當IPsec設(shè)置服務(wù)器1的IKE的SA有效時���,Tb都大于Ta�。
另外�,如果在傳統(tǒng)方法中執(zhí)行對公共密鑰或秘密密鑰的算術(shù)運算,那么因為IPsec處理設(shè)備集中于IKE的算術(shù)運算處理�,所以無需受到IPsec處理的包的傳送速度下降。因為對每個通信中的相對方都要周期性地執(zhí)行IKE的密鑰交換處理��,所以當有更多執(zhí)行IPsec通信的相對方時�,處理能力的下降速度增加了����。
另一方面�����,在本實施例的過程中����,雖然在IPsec處理設(shè)備2和IPsec設(shè)置服務(wù)器1之間周期性地執(zhí)行密鑰交換處理,但是由于不對每個要成為通信相對方的IPsec處理設(shè)備2都執(zhí)行密鑰交換處理��,因此即使執(zhí)行IPsec通信的相對方增加���,處理能力的下降速度也將不變�。
例如��,如果假定在IKE的Diffie-Hellman密鑰共用算法中所使用的群是1536比特MODP���,假定IKE的SA的有效性期限是一小時,并使用50MHz的RISC處理器����,那么當IPsec處理設(shè)備進行和其他10個IPsec處理設(shè)備的IPsec通信時,在傳統(tǒng)過程中,一小時內(nèi)將十次執(zhí)行IKE的密鑰交換�,因而在一小時內(nèi),性能下降了大概180秒��。
另一方面�����,在本實施例的方法中����,僅與IPsec設(shè)置服務(wù)器1執(zhí)行密鑰交換,因而一小時內(nèi)性能僅下降了約18秒�。
對于因IKE的算術(shù)運算處理速度而引起的問題,作為解決該問題的現(xiàn)有手段���,一種辦法就是在IPsec處理設(shè)備上安裝一個算術(shù)運算專用電路�,以加快IKE的算術(shù)運算本身���。圖33示出了已安裝這種算術(shù)運算專用電路的IPsec處理設(shè)備的示例�。這種IPsec處理設(shè)備與圖31所示的傳統(tǒng)IPsec處理設(shè)備4不同��,就在于算術(shù)運算專用電路51被連接到IPsec處理部分43上����。
當需要IKE的算術(shù)運算時�,IPsec處理部分43請求算術(shù)運算專用電路51執(zhí)行算術(shù)運算����。由于算術(shù)運算專用電路51高速執(zhí)行算術(shù)運算,所以�����,圖32所示的傳統(tǒng)方法的算術(shù)運算處理所需要的時間減少了����,整個設(shè)備的速度提高了。如果使用了這種裝置�,就可以解決因IKE的算術(shù)運算速度而引起的問題。然而�,如果已經(jīng)安裝了不具備算術(shù)運算專用電路51的IPsec處理設(shè)備,那么有必要用帶有算術(shù)運算專用電路的IPsec處理設(shè)備取代這種IPsec處理設(shè)備��。
另一方面��,因為在本實施例的方法中�,可以通過軟件實現(xiàn)全部所需的功能����,所以可以通過對已安裝的IPsec處理設(shè)備進行軟件升級�����,來增加功能��,這樣就可以有效地利用現(xiàn)有的裝備���。
在本實施例中,按照這種方式����,由于諸如所使用的服務(wù)和算法的信息集中設(shè)置在IPsec設(shè)置服務(wù)器1中,因此IPsec處理設(shè)備2和2a到2f可以從IPsec設(shè)置服務(wù)器1獲得幾乎所有的設(shè)置���。于是���,IPsec處理設(shè)備2和2a到2f中的許多設(shè)置都可以被簡化。
另外����,在本實施例中,由于在IPsec處理設(shè)備2和2a到2f中���,不使用IKE就對秘密密鑰進行更新�,因此不需要對IKE的設(shè)置。于是�����,IPsec處理設(shè)備2和2a到2f中的許多設(shè)置都可以被簡化���。
而且����,在本實施例中�����,由于使用了IPsec設(shè)置服務(wù)器1����,因此雖然在現(xiàn)有技術(shù)中,需要對兩端上執(zhí)行IPsec的設(shè)備分別執(zhí)行同樣的設(shè)置����,但是因為在各個設(shè)備中由IPsec設(shè)置服務(wù)器1設(shè)置的內(nèi)容只須在它自己的設(shè)備中進行設(shè)置,所以用于IPsec處理的設(shè)置的總量可以減少。
除了以上方面����,在本實施例中��,由于發(fā)送了請求啟動消息����,在與請求消息傳輸源的IPsec處理設(shè)備相對的IPsec處理設(shè)備中,幾乎在對傳輸源的IPsec處理設(shè)備中的IPsec策略進行設(shè)置的同時執(zhí)行IPsec策略的設(shè)置���。在設(shè)置了這些策略后���,當傳輸源的IPsec處理設(shè)備加密并發(fā)送包時,相對的IPsec處理設(shè)備可以從傳輸源的IPsec處理設(shè)備中解密和接收這個包�。
結(jié)果,在本實施例中��,可以沒有延時地在設(shè)置策略后執(zhí)行加密和解密���,可以沒有故障地在傳輸目的地的IPsec處理設(shè)備中接收來自傳輸源的包���,在相對的IPsec處理設(shè)備中對來自傳輸源的包進行解密之前的時間可以被大大縮短。
另外�����,在本實施例中,如果在發(fā)送請求啟動消息的時候����,沒有從相對的IPsec處理設(shè)備中發(fā)送響應(yīng)于該請求啟動消息的請求消息,那么由于向傳輸源的IPsec處理設(shè)備發(fā)送了無響應(yīng)錯誤消息�,所以傳輸源的IPsec處理設(shè)備可以立即得知相對的設(shè)備不存在。
如上所述����,傳統(tǒng)上,由于在執(zhí)行IPsec的兩端設(shè)備中���,需要相互獨立地分別進行相同的設(shè)置��,因此有可能發(fā)生設(shè)置內(nèi)容不一致����。但是�,在本實施例中,由于使用了IPsec設(shè)置服務(wù)器1�����,而IPsec設(shè)置服務(wù)器1向兩端的設(shè)備分配相同的設(shè)置,因此不會發(fā)生設(shè)置內(nèi)容不一致��。于是�,可以消除因IPsec設(shè)置不一致而引起的連接故障。
另外��,傳統(tǒng)上����,為了周期性地更新共用秘密密鑰���,使用IKE的復(fù)雜的算術(shù)運算是必要的���。但是,在本實施例中���,由于共用秘密密鑰是從IPsec設(shè)置服務(wù)器1����,而不是IKE中獲得的�����,因此兩端的設(shè)備就不必執(zhí)行共用秘密密鑰的算術(shù)運算�����。于是���,相比于使用IKE的情況,通信開始前的時間縮短了��。
類似地���,傳統(tǒng)上�����,為了周期性地更新共用秘密密鑰��,使用IKE的復(fù)雜的算術(shù)運算是必要的�。但是�����,在本實施例中��,由于共用秘密密鑰是從IPsec設(shè)置服務(wù)器1,而不是IKE中獲得的����,因此兩端的設(shè)備就不必執(zhí)行共用秘密密鑰的算術(shù)運算。于是���,相比于使用IKE的情況����,加在執(zhí)行IPsec處理的設(shè)備上的算術(shù)運算負載減少了���。
圖29是示出根據(jù)本發(fā)明另一個實施例的IPsec處理設(shè)備的結(jié)構(gòu)的方框圖。圖29示出了當IPsec處理設(shè)備3是個人計算機��,而不是路由器時的應(yīng)用示例�。
除了去掉接口部分21并提供上層應(yīng)用部分31以外,根據(jù)本發(fā)明另一個實施例的IPsec處理設(shè)備3具有和根據(jù)本發(fā)明如圖14所示實施例的IPsec處理設(shè)備2相同的結(jié)構(gòu)����,相同的部件用相同的標號來標識。此外���,相同部件的操作與本發(fā)明的前述實施例相同���。
上層應(yīng)用部分31是發(fā)送和接收數(shù)據(jù)通信包的實體��,它連接到路由部分27�。路由部分27判斷所要發(fā)送和接收的包是指向上層應(yīng)用部分31���、設(shè)置管理部分26還是因特網(wǎng)100��,并把這個包傳輸?shù)矫總€目的地�。
這里���,要考慮以下情形��,即假定圖1中的IPsec處理設(shè)備2d和IPsec處理設(shè)備2e是個人計算機���,而包是從IPsec處理設(shè)備2d發(fā)送到IPsec處理設(shè)備2e。
與路由器的情形一樣���,為了確保安全的IPsec路徑��,將IPsec設(shè)置服務(wù)器1分別與IPsec處理設(shè)備2d和2e之間的SPD 13提供給IPsec設(shè)置服務(wù)器1��,在IPsec處理設(shè)備2d和IPsec處理設(shè)備2e之間所要應(yīng)用的IPsec策略被設(shè)置在分配策略存儲部分16中����。
在這些IPsec處理設(shè)備2d和2e中設(shè)置SPD 24。為了加密與IPsec設(shè)置服務(wù)器1的通信��,執(zhí)行通常的IPsec設(shè)置�,并為實際想要應(yīng)用IPsec的通信設(shè)置選擇器和用于設(shè)置請求的相對方地址。
當從IPsec處理設(shè)備2d發(fā)送包時��,數(shù)據(jù)通信包從上層應(yīng)用部分31傳送到路由部分27��,該上層應(yīng)用部分31是發(fā)送和接收這個包的實體����。路由部分27識別出該包的目的地是在因特網(wǎng)上,并把這個包傳輸?shù)絀Psec處理部分23����。
接下來的過程與路由器情形下的實施例相同��。即�����,IPsec處理部分23將SPD 24的選擇器和所述包進行比較�����,以檢索對應(yīng)的條目,如果對應(yīng)的條目中所指示的處理是IPsec�����,那么就應(yīng)用IPsec�。
此時,如果在對應(yīng)的條目中不存在應(yīng)用了IPsec的策略����,那么IPsec處理部分23就延緩對該包的處理,并請求設(shè)置管理部分26來請求設(shè)置���。設(shè)置管理部分26向IPsec設(shè)置服務(wù)器1發(fā)送請求消息并接收分配消息�,從而設(shè)置SPD 24和SAD 25并通知IPsec處理部分23設(shè)置完成��。IPsec處理部分23恢復(fù)對包進行已延緩的處理����,并使用所設(shè)置的SA把IPsec應(yīng)用于這個包,然后�����,通過接口部分22把這個包傳輸?shù)揭蛱鼐W(wǎng)100。
接收時的過程也和路由器的情形基本相同��。在IPsec處理設(shè)備2d和2e中�,SPD 24和SAD 25已經(jīng)由設(shè)置管理部分26進行了設(shè)置。通過接口部分22接收到的�、受到IPsec處理的包被傳輸?shù)絀Psec處理部分23。IPsec處理部分23從SAD 25中檢索對應(yīng)的SA����,并執(zhí)行對該包的解密處理。
通過解密處理回到初始狀態(tài)的包被傳輸?shù)铰酚刹糠?7����。路由部分27判斷這個包是否指向上層應(yīng)用部分31還是設(shè)置管理部分26,如果這個包是指向上層應(yīng)用部分31的�����,路由部分27把它傳輸?shù)缴蠈討?yīng)用部分31����。
按照這種方式�,就完成了包的接收處理。因此�����,無論IPsec處理設(shè)備2d和2e是個人計算機還是路由器,都可以應(yīng)用本實施例���。
圖30是示出根據(jù)本發(fā)明另一個實施例的分配策略存儲部分的存儲內(nèi)容的圖�。在本發(fā)明的實施例中���,在IPsec設(shè)置服務(wù)器1的分配策略存儲部分16中必須為每種通信都設(shè)置要在實際執(zhí)行IPsec通信的IPsec處理設(shè)備2之間應(yīng)用的策略�。然而�����,在本發(fā)明的另一個實施例中����,由于多個共用策略被用于IPsec處理設(shè)備的幾種組合,因此在分配策略存儲部分16中所要設(shè)置的策略的數(shù)量減少了�。注意,根據(jù)本發(fā)明另一實施例的IPsec設(shè)置服務(wù)器的結(jié)構(gòu)與根據(jù)本發(fā)明如圖2所示實施例的IPsec設(shè)置服務(wù)器1的結(jié)構(gòu)相同�。
在本實施例中,分配策略存儲部分16能夠為一個特定地址的組合來設(shè)置策略�,同時,能以任意的組合設(shè)置策略。在圖30所示的示例中����,對所要應(yīng)用于IPsec處理設(shè)備2d和IPsec處理設(shè)備2e之間的通信的策略和所要應(yīng)用于所有其他組合的策略進行設(shè)置。在本實施例的情形中�����,由于許多IPsec處理設(shè)備2使用共用策略��,因此可以減少分配策略存儲部分16中所設(shè)置的策略的數(shù)量���。
這里��,當n個IPsec處理設(shè)備以IPsec處理設(shè)備的全部組合而進行相互之間的IPsec通信時�,將比較本實施例所需的設(shè)置量和傳統(tǒng)IPsec處理設(shè)備所需的設(shè)置量����。這時,假定在IPsec通信的所有組合中都應(yīng)用了相同的策略���。
傳統(tǒng)IPsec處理設(shè)備所需的總設(shè)置量是前面計算出的2n(n-1)����。另一方面�,在本實施例中,無論IPsec處理設(shè)備之間的通信組合的數(shù)量是多少�����,只要考慮IPsec策略這一種設(shè)置量就足夠了�����。因此�,本實施例中所需的設(shè)置量是4n+1。
從中可以看到��,在傳統(tǒng)方法中�����,設(shè)置量與n的平方成比例地增長�,然而在本實施例中,由于設(shè)置量與n成比例地增長�����,所以隨著組合數(shù)量的增加��,效果愈發(fā)明顯。例如��,假設(shè)n=10�����,傳統(tǒng)方法的設(shè)置量是180��,而本實施例的設(shè)置量是41�����?�?梢钥吹?���,設(shè)置減少至大約1/4。
如上所述����,在本發(fā)明的設(shè)備和方法中,由于在IPsec處理設(shè)備之間所應(yīng)用的IPsec策略被集中管理�,因此防止了通信設(shè)備之間設(shè)置不一致的發(fā)生。
另外���,在本發(fā)明另一種設(shè)備和方法中���,當收到請求消息時,由于請求啟動消息被發(fā)送給IPsec處理設(shè)備�����,該IPsec處理設(shè)備是已設(shè)置請求消息的IPsec處理設(shè)備的通信的相對方���,以使該IPsec處理設(shè)備發(fā)送通信的請求消息���,因此實現(xiàn)了以下效果,即可以在設(shè)置策略后沒有延時地執(zhí)行加密和解密�����,并可以沒有故障地從傳輸源接收包��。
而且��,在本發(fā)明的另一種設(shè)備和方法中�����,由于生成了在IPsec的加密和解密中所使用的共用秘密密鑰,并且將所生成的共用秘密密鑰分配給多個IPsec處理設(shè)備��,因此實現(xiàn)了以下效果即不再需要進行共用秘密密鑰的算術(shù)運算����,各個設(shè)備中通信開始時的IPsec路徑連接時間可以縮短,并可以防止性能的下降����。
權(quán)利要求
1.一種網(wǎng)絡(luò),包括互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備���,其在兩個不同的中心通過因特網(wǎng)通信時��,使用互聯(lián)網(wǎng)協(xié)議安全性協(xié)議以確保因特網(wǎng)路徑上的安全性�;和互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備�,其管理所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置,其中��,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置�,該裝置用于集中管理要在第一和第二互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間應(yīng)用的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)��,其中���,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置��,該裝置基于從所述第一互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備接收到的���、用于所述第一和第二互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間的通信的請求消息的內(nèi)容�,來指定所要應(yīng)用于所述第一和第二互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略��。
3.如權(quán)利要求2所述的網(wǎng)絡(luò)�����,其中����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置�����,該裝置一旦接收到所述請求消息����,就向所述第二互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備發(fā)送請求啟動消息,以使得所述第二互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備發(fā)送通信的請求消息����,所述第二互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備是已發(fā)送所述請求消息的所述第一互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的通信相對方�����。
4.如權(quán)利要求3所述的網(wǎng)絡(luò)��,其中�����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置�����,當對所述請求啟動消息沒有任何響應(yīng)時���,該裝置通知所述第一互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備沒有來自所述第二互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的響應(yīng)。
5.如權(quán)利要求2所述的網(wǎng)絡(luò)����,其中,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置�,該裝置從所述請求消息的內(nèi)容,以及所要應(yīng)用于所述通信的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略的內(nèi)容中�����,生成互聯(lián)網(wǎng)協(xié)議安全性協(xié)議通信中所需的安全性關(guān)聯(lián)參數(shù)。
6.如權(quán)利要求2所述的網(wǎng)絡(luò)���,其中����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一種裝置��,該裝置響應(yīng)于所述請求消息發(fā)送一個分配消息�����,該分配消息至少包括所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略和安全性關(guān)聯(lián)參數(shù)�����。
7.如權(quán)利要求1所述的網(wǎng)絡(luò)�,其中����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置,該裝置用于生成在所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的加密和認證中所使用的共用秘密密鑰���;還包括一個裝置�,該裝置用于把所生成的共用秘密密鑰分配給所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備。
8.一種管理互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備����,其在兩個不同的中心通過因特網(wǎng)通信時,使用互聯(lián)網(wǎng)協(xié)議安全性協(xié)議以確保因特網(wǎng)路徑上的安全性�����,其中�,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一種裝置,該裝置用于集中管理要在所述多個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間應(yīng)用的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略����。
9.如權(quán)利要求8所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備,其中���,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置���,該裝置基于從所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備接收到的、用于所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備和另一個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間的通信的請求消息的內(nèi)容���,來指定要應(yīng)用于所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備和另一個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略。
10.如權(quán)利要求9所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備,其中��,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置,該裝置一旦收到所述請求消息,就向一個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備發(fā)送請求啟動消息,該互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備是已發(fā)送該請求消息的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的通信相對方�����,以使得所述通信相對方的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備發(fā)送通信的請求消息���。
11.如權(quán)利要求10所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備,其中�,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置,當對所述請求啟動消息沒有任何響應(yīng)時�,該裝置通知已發(fā)送所述請求消息的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備沒有來自所述通信相對方的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的響應(yīng)。
12.如權(quán)利要求9所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備����,其中�,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置,該裝置從所述請求消息的內(nèi)容��,以及所要應(yīng)用于所述通信的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略的內(nèi)容中����,生成所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議通信中所需的安全性關(guān)聯(lián)參數(shù)���。
13.如權(quán)利要求9所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備,其中�,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置,該裝置響應(yīng)于所述請求消息發(fā)送分配消息�,該分配消息至少包括所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略和安全性關(guān)聯(lián)參數(shù)。
14.如權(quán)利要求8所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備�����,其中�����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個裝置��,該裝置用于生成在所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的加密和認證中所使用的共用秘密密鑰�����;還包括一個功能���,該功能用于把所生成的共用秘密密鑰分配給所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備��。
15.一種在因特網(wǎng)上使用互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備���,其中�����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備包括一個裝置�,該裝置一旦收到應(yīng)當應(yīng)用所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的包�,就判斷是否要從互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備當中查詢用于在所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備中進行集中管理的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的設(shè)置。
16.如權(quán)利要求15所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備�,其中,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備包括一個裝置���,該裝置向所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備發(fā)送用于和另一個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間的通信的請求消息��,以獲取用于所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的設(shè)置��。
17.如權(quán)利要求16所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備�,其中�,一旦從所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備中接收到用于使所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備發(fā)送所述請求消息的請求啟動消息��,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備就發(fā)送所述請求消息��。
18.如權(quán)利要求15所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備,其中��,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備包括一個裝置��,該裝置基于從所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備接收到的分配消息�����,設(shè)置安全性策略數(shù)據(jù)庫和安全性關(guān)聯(lián)數(shù)據(jù)庫�����,其中����,在所述安全性策略數(shù)據(jù)庫中記錄用于應(yīng)用所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略,在所述安全性關(guān)聯(lián)數(shù)據(jù)庫中記錄使各種通信都受到所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理所必需的安全性關(guān)聯(lián)���。
19.如權(quán)利要求15所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備����,其中��,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備包括一個裝置���,該裝置用于從所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備中獲取在所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的加密和認證中所使用的共用秘密密鑰�����。
20.如權(quán)利要求15所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備����,其中,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備包括一個裝置���,該裝置用于在所述安全性關(guān)聯(lián)的有效性期限過期之前���,向所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備重新發(fā)送請求消息,并獲取新的設(shè)置信息�。
21.一種用于網(wǎng)絡(luò)的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法,該網(wǎng)絡(luò)包括互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備�����,其在兩個不同的中心通過因特網(wǎng)通信時���,使用互聯(lián)網(wǎng)協(xié)議安全性協(xié)議以確保因特網(wǎng)路徑上的安全性�;和互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備�����,其管理所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置���,其中�,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一步驟�����,即集中管理要在所述多個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間應(yīng)用的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略����。
22.如權(quán)利要求21所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法,其中�����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一步驟���,即基于從所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備接收到的��、用于所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備和另一個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間的通信的請求消息的內(nèi)容����,來指定所要應(yīng)用于所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備和另一個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略。
23.如權(quán)利要求22所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法�,其中,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一步驟����,即一旦收到請求消息,就向一互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備發(fā)送請求啟動消息����,該互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備是已發(fā)送該請求消息的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的通信相對方,以使得所述通信相對方的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備發(fā)送通信的請求消息��。
24.如權(quán)利要求23所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法���,其中�����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一步驟��,即對所述請求啟動消息沒有任何響應(yīng)時���,通知已發(fā)送所述請求消息的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備沒有來自所述通信相對方的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備的響應(yīng)。
25.如權(quán)利要求22所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法,其中�,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一步驟,即從所述請求消息的內(nèi)容���,以及所要應(yīng)用于所述通信的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略的內(nèi)容中,生成所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議通信中所需的安全性關(guān)聯(lián)參數(shù)�����。
26.如權(quán)利要求22所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法�����,其中�����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個步驟��,響應(yīng)于所述請求消息發(fā)送一個分配消息��,該分配消息至少包括所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略和所述安全性關(guān)聯(lián)參數(shù)���。
27.如權(quán)利要求21所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法�����,其中��,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備包括一個步驟����,生成在所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的加密和認證中所使用的共用秘密密鑰;還包括一個步驟�,把所生成的共用秘密密鑰分配給所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備。
28.如權(quán)利要求21所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法�,其中,一旦收到應(yīng)當應(yīng)用所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的包����,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備就判斷是否要從互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備當中查詢用于在所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備中進行集中管理的所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的設(shè)置。
29.如權(quán)利要求21所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法�,其中,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備向所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備發(fā)送用于和另一個互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備之間的通信的請求消息�,以獲取用于所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的設(shè)置。
30.如權(quán)利要求21所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法�����,其中�,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備基于從所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備接收到的分配消息,設(shè)置安全性策略數(shù)據(jù)庫和安全性關(guān)聯(lián)數(shù)據(jù)庫,其中���,在所述安全性策略數(shù)據(jù)庫中記錄用于應(yīng)用所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的策略�,在所述安全性關(guān)聯(lián)數(shù)據(jù)庫中記錄使每種通信都受到所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理所必需的安全性關(guān)聯(lián)���。
31.如權(quán)利要求21所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法���,其中��,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備從所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備中獲取在所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議的加密和認證中所使用的共用秘密密鑰���。
32.如權(quán)利要求21所述的互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置方法���,其中,所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議處理設(shè)備在所述安全性關(guān)聯(lián)的有效性期限過期之前����,向所述互聯(lián)網(wǎng)協(xié)議安全性協(xié)議設(shè)置服務(wù)器設(shè)備重新發(fā)送所述請求消息,并獲取新的設(shè)置信息���。
全文摘要
本發(fā)明提供了一種能夠防止在通信設(shè)備之間出現(xiàn)設(shè)置不一致的IPsec設(shè)置服務(wù)器設(shè)備���。IPsec處理部分使從接口部分接收到的數(shù)據(jù)通信包受到IPsec處理�。從IPsec處理部分查閱SPD���,該SPD記錄用于應(yīng)用IPsec的策略����。從IPsec處理部分查閱SAD�����,該SAD記錄使每種通信都受到IPsec處理所必需的SA�。請求處理部分從IPsec處理設(shè)備中接收設(shè)置請求消息并返回分配消息。確定所請求的設(shè)置所必需的IPsec策略被存儲在分配策略存儲部分中�����。與所請求進行設(shè)置的各種SA通信有關(guān)的信息被存儲在管理表中�����。
文檔編號G06F11/30GK1496063SQ03157030
公開日2004年5月12日 申請日期2003年9月11日 優(yōu)先權(quán)日2002年9月11日
發(fā)明者酒井征直 申請人:日本電氣株式會社