提升IPsec性能和防竊聽安全性的制作方法
【專利摘要】一種網(wǎng)元(NE)�����,包括:所述網(wǎng)元(NE)包括:存儲(chǔ)器設(shè)備����,用于存儲(chǔ)指令��;處理器�����,用于通過將數(shù)據(jù)流的第一多個(gè)數(shù)據(jù)包劃分為第一多個(gè)子流�,并使所述第一多個(gè)子流經(jīng)由網(wǎng)絡(luò)傳輸至第二NE來執(zhí)行指令��,其中所述第一多個(gè)子流使用包括多個(gè)并行子SA的第一因特網(wǎng)協(xié)議安全協(xié)議(IPsec)安全聯(lián)盟(SA)集群進(jìn)行傳輸�。本發(fā)明還包括一種網(wǎng)元(NE),包括處理器�����,用于使用因特網(wǎng)密鑰交換協(xié)議(IKE)或IKE版本2(IKEv2)在所述NE和第二NE之間創(chuàng)建包括第一多個(gè)子SA的IPsec SA集群���,其中所述第一子SA是單向的����,以及所述第一子SA用于在同一方向傳輸?shù)谝欢鄠€(gè)數(shù)據(jù)包��。
【專利說明】提升I Psec性能和防竊聽安全性
[0001] 相關(guān)申請(qǐng)案的交叉參考
[0002] 本發(fā)明要求2012年3月30日由張向陽等人遞交的發(fā)明名稱為"多路徑IP層安 全"的第61/618359號(hào)美國臨時(shí)專利申請(qǐng)案的在先申請(qǐng)優(yōu)先權(quán)�����,其以引用方式并入本文本 中,如全文再現(xiàn)一般���。
[0003] 關(guān)于由聯(lián)邦政府贊助的
[0004] 研究或開發(fā)的聲明
[0005] 不適用��。
[0006] 縮微平片附件的引用
[0007] 不適用��。
【背景技術(shù)】
[0008] 可要求聯(lián)網(wǎng)設(shè)備跨多個(gè)網(wǎng)絡(luò)進(jìn)行通信�����。某些設(shè)備可能要求這類通信保持安全��。經(jīng) 由安全網(wǎng)絡(luò)互連的設(shè)備可依賴該安全網(wǎng)絡(luò)中固有的安全措施來為任意跨網(wǎng)絡(luò)通信提供這 種安全���。還可要求這些設(shè)備跨不安全的網(wǎng)絡(luò)進(jìn)行通信。例如��,一臺(tái)主機(jī)可經(jīng)由互聯(lián)網(wǎng)和另 一主機(jī)��、客戶端�、網(wǎng)絡(luò)等通信�����,這可能是部分、不均衡和/或完全不安全的�����。通信可僅如提供 給發(fā)送方和接收方之間任意點(diǎn)通信的最低安全級(jí)別那樣安全���。網(wǎng)絡(luò)設(shè)備可采用各種安全協(xié) 議來維持通過不安全網(wǎng)絡(luò)的通信的安全性�����。例如��,源網(wǎng)絡(luò)設(shè)備可與目標(biāo)網(wǎng)絡(luò)設(shè)備協(xié)商安全 連接和/或通信�����,只要這兩個(gè)網(wǎng)絡(luò)設(shè)備都配置為采用相同的安全協(xié)議(一個(gè)或多個(gè))�。
【發(fā)明內(nèi)容】
[0009] 在一項(xiàng)實(shí)施例中��,本發(fā)明包括一種網(wǎng)元(NE)��,包括:存儲(chǔ)器設(shè)備���,用于存儲(chǔ)指令����; 處理器,用于通過將數(shù)據(jù)流的第一多個(gè)數(shù)據(jù)包劃分為第一多個(gè)子流�,并使所述第一多個(gè)子 流經(jīng)由網(wǎng)絡(luò)傳輸至第二NE來執(zhí)行指令,其中所述第一多個(gè)子流使用包括多個(gè)并行子SA的 第一因特網(wǎng)協(xié)議安全協(xié)議(IPsec)安全聯(lián)盟(SA)集群進(jìn)行傳輸�����。
[0010] 在另一項(xiàng)實(shí)施例中����,本發(fā)明包括一種網(wǎng)元(NE),包括處理器����,用于使用因特網(wǎng)密鑰 交換協(xié)議(IKE)或IKE版本2 (IKEv2)在所述NE和第二NE之間創(chuàng)建包括第一多個(gè)子SA的 IPsec SA集群,其中所述第一子SA是單向的�����,以及所述第一子SA用于在同一方向傳輸?shù)谝?多個(gè)數(shù)據(jù)包����。
[0011] 在另一項(xiàng)實(shí)施例中���,本發(fā)明包括一種方法���,包括建立多個(gè)IPsec SA子隧道以及將 所述SA子隧道聚集在一起形成SA集群��。
[0012] 結(jié)合附圖和權(quán)利要求書���,可從以下的詳細(xì)描述中更清楚地理解這些和其他特征。
【專利附圖】
【附圖說明】
[0013] 為了更完整地理解本發(fā)明��,現(xiàn)在參考以下結(jié)合附圖和詳細(xì)描述進(jìn)行的簡(jiǎn)要描述�����, 其中相同參考標(biāo)號(hào)表不相同部分�。
[0014] 圖1是IPsec安全架構(gòu)的實(shí)施例的示意圖。
[0015] 圖2是IPsec安全架構(gòu)的另一實(shí)施例的示意圖����。
[0016] 圖3是創(chuàng)建SA集群的方法的實(shí)施例的流程圖。
[0017] 圖4是為數(shù)據(jù)子流選擇子SA的方法的實(shí)施例的流程圖���。
[0018] 圖5是經(jīng)由SA集群接收數(shù)據(jù)的方法的實(shí)施例的流程圖���。
[0019] 圖6是NE的實(shí)施例的示意圖�。
【具體實(shí)施方式】
[0020] IPsec是一種安全協(xié)議組���,包括保護(hù)跨越各種網(wǎng)絡(luò)的互聯(lián)網(wǎng)協(xié)議(IP)通信安全的 安全協(xié)議���,如互聯(lián)網(wǎng)工程任務(wù)組(IETF)文檔請(qǐng)求注解(RFC)4301中所述,該文檔以引用的 方式并入����。IPsec可保護(hù)IP層中的(例如,第三層和/或開放系統(tǒng)互連(0SI)模型的網(wǎng)絡(luò) 層)通信安全�����。IPsec可以是保護(hù)安全網(wǎng)關(guān)之間的數(shù)據(jù)流(例如�,信息)的端到端安全方 案。IPsec可采用單向SA對(duì)保護(hù)包括數(shù)據(jù)包的數(shù)據(jù)流�。例如,本地安全網(wǎng)關(guān)可采用第一 SA 保護(hù)傳輸?shù)竭h(yuǎn)端安全網(wǎng)關(guān)的信息�����,采用第二SA保護(hù)從遠(yuǎn)端安全網(wǎng)關(guān)接收的信息����。IPsec還 可允許SA束,該SA束可包括嵌套在SA內(nèi)的SA)(例如�����,隧道內(nèi)的隧道)����。IPsec可能限于 采用SA對(duì)和/或SA束對(duì)。IPsec可以一種連續(xù)方式在SA上傳輸包�。另外,可為每個(gè)SA指 配唯一的安全參數(shù)索引(SPI)��。因此�,竊聽節(jié)點(diǎn)可通過監(jiān)控單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)來接收SA保護(hù)的 通過隧道的所有包并可使用SPI關(guān)聯(lián)這些包。如果竊聽節(jié)點(diǎn)突破了 SA安全措施�����,該竊聽節(jié) 點(diǎn)可完全自由訪問整個(gè)數(shù)據(jù)流���。
[0021] 本文本中公開了增強(qiáng)保護(hù)不安全網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流量的一種方法和/或系統(tǒng)�。 可通過將數(shù)據(jù)流分割成多個(gè)子流并且并行傳輸這些子流(例如�,經(jīng)由子隧道和/或傳輸信 息)來增強(qiáng)對(duì)IPsec數(shù)據(jù)的保護(hù)。可為每個(gè)子流獨(dú)立建立子SA�����?����?珊喜⒆覵A以形成SA集 群�。每個(gè)子SA可包括唯一的SPI。SA集群的子SA可采用或不采用本地安全網(wǎng)關(guān)和遠(yuǎn)端安 全網(wǎng)關(guān)之間不同的網(wǎng)絡(luò)路徑�����。因此���,竊聽節(jié)點(diǎn)可能不能通過監(jiān)控沿網(wǎng)絡(luò)路徑的單個(gè)節(jié)點(diǎn)來 訪問所有子流且可能意識(shí)不到其他網(wǎng)絡(luò)路徑的存在���、數(shù)目或路線。由于每個(gè)子SA可包括唯 一的SPI����,從多個(gè)子流獲取包的竊聽節(jié)點(diǎn)還可關(guān)聯(lián)數(shù)據(jù)包以確定它們和同一個(gè)流相關(guān)。另 夕卜�����,子流的并行傳輸可允許傳輸效率相比串行傳輸有所提升。SA集群可在IETF文檔draft -zhang-ipsecme-multi-path-ipsec-02中進(jìn)一步描述����,該文檔以引用方式并入��。
[0022] 該方法和/或系統(tǒng)可通過將數(shù)據(jù)流量擴(kuò)展到多個(gè)路徑上來提升安全服務(wù)����。例如, 這種擴(kuò)展可能增加攻擊者成功攔截所有包的難度����,因?yàn)榭赡苁褂昧瞬煌穆肪€。即便當(dāng)使 用相同的路線時(shí)���,攻擊者/竊聽者可能難以確定哪個(gè)SA集是某特定集群SA的一部分�,哪個(gè) 可能增加解密攔截到的包的難度����。并且,多個(gè)路徑的選擇可提供(例如��,鏈路失敗時(shí))增強(qiáng) 的可靠性。多個(gè)SA的使用還可為優(yōu)化的性能和最優(yōu)網(wǎng)絡(luò)控制提供額外的選擇�。這些技術(shù) 可提升IPsec提供的安全服務(wù)。SA集群可提供在不同包上執(zhí)行不同密碼變換的選擇��。另 夕卜���,SA集群還可提供沿不同路徑傳輸包的選擇�����。
[0023] 圖1是IPsec安全架構(gòu)100的一項(xiàng)實(shí)施例的示意圖�����。IPsec安全架構(gòu)100可包括 主機(jī)150和主機(jī)151��,其可經(jīng)由安全網(wǎng)關(guān)110和112在位于不安全網(wǎng)絡(luò)130中的路由器120 上進(jìn)行通信�����。主機(jī)150和151可分別經(jīng)由安全連接143和144連接到安全網(wǎng)關(guān)110和112�。 主機(jī)150和151可能希望在不安全網(wǎng)絡(luò)130上通信�。安全網(wǎng)關(guān)110可(例如,通過使用IKE 和/或IKEv2)為向安全網(wǎng)關(guān)112的傳輸建立單向SA141��。類似地,安全網(wǎng)關(guān)112可為向安 全網(wǎng)關(guān)110的傳輸建立單向SA142,這可能產(chǎn)生SA對(duì)���。主機(jī)150可通過經(jīng)由安全連接143 與安全網(wǎng)關(guān)110通信來向主機(jī)151傳輸數(shù)據(jù)����,主機(jī)150可使用SA141經(jīng)由路由器120在不 安全的網(wǎng)絡(luò)130上向安全網(wǎng)關(guān)112傳輸信息����。這類信息隨后可經(jīng)由安全連接144路由到主 機(jī)151�����,保證所傳輸?shù)男畔⒌亩说蕉税踩?���。主機(jī)151可以大體相同的方式向主機(jī)152傳輸數(shù) 據(jù)包,但可能采用SA142而非SA141���。
[0024] 主機(jī)(例如�����,主機(jī)150和151)可以是經(jīng)由網(wǎng)絡(luò)與另一臺(tái)主機(jī)通信的任意設(shè)備�����。例 如��,主機(jī)150和/或151可包括服務(wù)器�����、客戶端終端或其組合�。主機(jī)150和151可用于出于 分享資源、響應(yīng)業(yè)務(wù)請(qǐng)求��、應(yīng)用托管等目的的數(shù)據(jù)通信�����。例如����,主機(jī)150可包括客戶端終端, 主機(jī)151可包括服務(wù)器���,且主機(jī)151可托管應(yīng)用并響應(yīng)來自主機(jī)150的應(yīng)用請(qǐng)求��。又如�����,主 機(jī)150和151每個(gè)都可包括虛擬機(jī)(VM)����、存儲(chǔ)空間、處理資源等資源�,并且可在網(wǎng)絡(luò)連接上 動(dòng)態(tài)重定位數(shù)據(jù)、應(yīng)用等��。
[0025] 安全網(wǎng)關(guān)(例如����,安全網(wǎng)關(guān)110和112)可以是位于安全網(wǎng)絡(luò)邊緣的任意NE���。安 全網(wǎng)絡(luò)可包括安全連接�,例如安全連接143和144���。安全網(wǎng)關(guān)110和112可為位于安全網(wǎng) 絡(luò)內(nèi)的任意設(shè)備和/或遍歷安全網(wǎng)絡(luò)的通信提供安全���。安全網(wǎng)關(guān)110和112可防止未經(jīng)授 權(quán)訪問安全網(wǎng)絡(luò)(例如,防火墻)并且為離開安全網(wǎng)絡(luò)的通信實(shí)施安全協(xié)議�����。例如,如果主 機(jī)150和151每個(gè)都位于數(shù)據(jù)中心����,安全網(wǎng)關(guān)110和112可位于數(shù)據(jù)中心網(wǎng)絡(luò)的邊緣,使得 離開安全網(wǎng)絡(luò)的所有流量都經(jīng)過網(wǎng)關(guān)110和/或112����。安全網(wǎng)關(guān)110和112可分別從主機(jī) 150和151接收數(shù)據(jù),并且通過在不安全網(wǎng)絡(luò)130 (例如���,互聯(lián)網(wǎng))上創(chuàng)建IPsec SA141和 142來發(fā)起通信會(huì)話����。安全網(wǎng)關(guān)110和112可通過使用IKE和/或IKEv2等交換安全密鑰 以創(chuàng)建這類SA���。
[0026] IPsec SA(例如����,SA141和142)可在傳輸模式或隧道模式下運(yùn)行��。在傳輸模式下, 數(shù)據(jù)包的凈荷(例如��,正被傳輸?shù)膶?shí)際數(shù)據(jù))可加密����,而包括數(shù)據(jù)包路由信息的數(shù)據(jù)包的頭 則可不加密。在隧道模式下���,整個(gè)數(shù)據(jù)包都可加密���。SA還可包括數(shù)據(jù)和/或算法以支持報(bào) 文認(rèn)證頭協(xié)議(AH)和/或封裝安全載荷協(xié)議(ESP)操作。AH可提供無連接完整性和數(shù)據(jù) 流的數(shù)據(jù)源認(rèn)證����。ESP可提供數(shù)據(jù)包機(jī)密性(例如,封裝)�����、數(shù)據(jù)源認(rèn)證�����、無連接完整性���、防 重放業(yè)務(wù)和流機(jī)密性��。SA141和142每個(gè)都可是單向的�。因此�����,可要求一對(duì)SA141和142在 安全網(wǎng)關(guān)110和112之間傳送數(shù)據(jù)包���。在一項(xiàng)實(shí)施例中��,SA141和142每個(gè)可包括SA束���。 SA束可包括兩個(gè)嵌套的SA(例如,隧道內(nèi)的隧道)���。例如�,SA束可在ESP SA內(nèi)包括AH SA����。 IPsec安全架構(gòu)100可限于為安全網(wǎng)關(guān)110和112之間的每個(gè)安全通信提供單個(gè)SA對(duì)和/ 或單個(gè)SA對(duì)束(例如,SA141和SA142)��。每個(gè)SA可包括單獨(dú)的SPI,該SPI可用作SA數(shù) 據(jù)庫(SAD)中的索引且可和SA目標(biāo)地址結(jié)合用于唯一地標(biāo)識(shí)SA以及確定加密密鑰和與SA 相關(guān)聯(lián)的協(xié)議����。
[0027] 路由器120可以是位于不安全網(wǎng)絡(luò)130中的任意NE或NE組。路由器可從安全網(wǎng) 關(guān)110接收數(shù)據(jù)包并將該數(shù)據(jù)包轉(zhuǎn)發(fā)到安全網(wǎng)關(guān)112,反之亦然�。路由器120可使用0SI第 二層、第2. 5層和/或第三層技術(shù)對(duì)包進(jìn)行路由����。路由器120可基于數(shù)據(jù)包的頭做出路由 決策。如果數(shù)據(jù)包已封裝(例如��,ESP)���,則路由器120可基于該封裝包的頭做出路由決策��, 無需了解存儲(chǔ)在該數(shù)據(jù)包頭和/或凈荷中的數(shù)據(jù)�����。路由器120可提供安全網(wǎng)關(guān)110和安 全網(wǎng)關(guān)112之間的端到端連接���。路由器120可分別為SA141和SA142組成單個(gè)網(wǎng)絡(luò)路徑�����。 SA141的網(wǎng)絡(luò)路徑和SA142的網(wǎng)絡(luò)路徑可能是或不是同一條路徑。
[0028] IPsec協(xié)議組指明了遵循IPsec的系統(tǒng)的基礎(chǔ)架構(gòu)100的一個(gè)示例��。IPsec協(xié)議 組描述了如何(例如�����,在IP層�����,在IP版本4 (IPv4)和IP版本6 (IPv6)環(huán)境中)為流量提 供一組安全服務(wù)�����。如本文所述����,IPsec協(xié)議組將SA定義為IPsec的概念。SA(例如�����,SA141 和142)可定義單工連接�����,其可向該連接攜載的流量提供安全服務(wù)。SA可通過使用AH或ESP 提供安全服務(wù)�,但不可在單個(gè)SA中同時(shí)使用這兩者提供安全服務(wù)。AH和ESP可在IETF文 檔RFC4302和RFC4303中進(jìn)一步描述�����,IETF文檔RFC4302和RFC4303以引用的方式并入 本文本中��。如果要將AH和ESP保護(hù)都應(yīng)用到業(yè)務(wù)流上����,則可創(chuàng)建兩個(gè)SA,并通過迭代應(yīng)用 安全協(xié)議(例如��,嵌套的SA)協(xié)調(diào)二者以實(shí)現(xiàn)保護(hù)����。由于一個(gè)SA可用于攜載單播流量,因 此可在點(diǎn)對(duì)點(diǎn)通信中創(chuàng)建一對(duì)SA(例如�����,SA141和142)���。這兩個(gè)SA141和142可在安全網(wǎng) 關(guān)110和112二者之間創(chuàng)建一個(gè)單播IPsec隧道��。為區(qū)分不同的SA����,接收方可使用SPI來 識(shí)別輸入數(shù)據(jù)包應(yīng)綁定的SA���,其中SPI可包括32位的值�。SPI指配可在SA的創(chuàng)建者處完 成��,該創(chuàng)建者可以是接收側(cè)�����。在發(fā)送側(cè)���,附加的目標(biāo)IP地址信息可用于解決任意SPI沖突�����。 這樣���,發(fā)送側(cè)可選擇正確的SA�����,IP包將在此SA下處理����。在另一項(xiàng)實(shí)施例中�,每個(gè)安全網(wǎng)關(guān) 110和112都可指配本地SPI,且每個(gè)都保持知曉對(duì)方的SPI���。發(fā)送包時(shí)�,每一方(例如�,網(wǎng) 關(guān)110或112)可在數(shù)據(jù)包頭中采用對(duì)方(例如,網(wǎng)關(guān)112或110)的SPI�。
[0029] 應(yīng)注意,盡管圖1僅描繪了位于安全網(wǎng)關(guān)110和112之間的SA(例如��,SA141和 142)�,在某些實(shí)施例中,主機(jī)(例如主機(jī)150和/或151)可經(jīng)由SA直接和網(wǎng)關(guān)(例如網(wǎng)關(guān) 110和/或112)通信����。例如,作為主機(jī)的客戶端終端可以不位于安全網(wǎng)絡(luò)上��。在這種情況 下,客戶端終端可使用SA在不安全網(wǎng)絡(luò)130上直接和安全網(wǎng)關(guān)通信����。
[0030] 圖2是IPsec安全架構(gòu)200的另一項(xiàng)實(shí)施例的示意圖。架構(gòu)200可包括主機(jī)250 和251���、安全連接243和244、安全網(wǎng)關(guān)210和212以及路由器221和222,它們分別和主機(jī) 140和141��、安全連接143和144��、安全網(wǎng)關(guān)110和112以及路由器120大體相似�����。安全網(wǎng)關(guān) 210和212可經(jīng)由SA集群241和SA集群242通信��。
[0031] SA集群241和242每個(gè)都包括多個(gè)并行子SA�����。并行子SA可以是具有相同源節(jié)點(diǎn) (例如����,安全網(wǎng)關(guān)210)����、相同目標(biāo)節(jié)點(diǎn)(例如��,安全網(wǎng)關(guān)212)的多個(gè)單向子SA���,且每個(gè)并行 子SA可傳輸同一數(shù)據(jù)流的一部分�����。例如����,SA集群241可包括并行子SA241a和241b��,而SA 集群242可包括并行子SA242a和242b�����。SA集群與SA束的區(qū)別可在于�����,SA集群的子SA可 以不是嵌套的。然而����,在某些實(shí)施例中,子SA可包括SA束���。雖然僅為每個(gè)SA集群描繪了兩 個(gè)子SA����,但指定通信需要多少子SA����,SA集群241和242就可包括多少子SA�����。子SA241a和 241b每個(gè)可類似于SA141�����,而子SA242a和242b可類似于SA242�。然而,每個(gè)子SA只可以傳 輸和/或封裝數(shù)據(jù)流的一部分�����。例如,安全網(wǎng)關(guān)210可能希望經(jīng)由SA集群241向安全網(wǎng)關(guān) 212傳輸包括多個(gè)數(shù)據(jù)包的數(shù)據(jù)流��。安全網(wǎng)關(guān)210可在子SA241a和241b之間交替包��,在子 SA241a上發(fā)送比在子SA241b上更多的包���,將流劃分成離散數(shù)據(jù)包塊并在子SA241a-241b之 間交替塊等����。每個(gè)子SA可包括不同的SPI�,因此SA集群241和/或242可包括多個(gè)SPI。 SA集群的子SA可在安全網(wǎng)關(guān)之間采用相同路線或不同路線����。例如,SA集群241可分別包 括子SA241a和子SA241b�����,子SA241a可采用經(jīng)由路由器221的路線���,而子SA241b采用經(jīng)由 路由器222的路線����。又如,SA集群242可包括子SA242a和242b����,兩者都可采用經(jīng)由路由器 221的路線。
[0032] 架構(gòu)200可允許數(shù)據(jù)流分割并以竊聽節(jié)點(diǎn)不可預(yù)測(cè)的方式路由����。由于每個(gè)SA集 群可包括未知數(shù)目的子SA,竊聽節(jié)點(diǎn)可能不知道和特定數(shù)據(jù)流相關(guān)的數(shù)據(jù)包的確切數(shù)目���。 進(jìn)一步地�����,由于每個(gè)SA集群可包括多個(gè)SPI,竊聽節(jié)點(diǎn)可能無法關(guān)聯(lián)任何獲取的數(shù)據(jù)包��,且 可能無法確定這些數(shù)據(jù)包和同一數(shù)據(jù)流相關(guān)��。另外���,由于某些子SA可能遍歷不同于其他子 SA的網(wǎng)絡(luò)路線��,竊聽節(jié)點(diǎn)可能無法通過監(jiān)控單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)獲取流的所有數(shù)據(jù)包�,并且可能 無法確定應(yīng)該監(jiān)控其他哪些網(wǎng)絡(luò)節(jié)點(diǎn)以獲取剩余的數(shù)據(jù)包。因此����,SA集群241和/或242 的使用可顯著增加竊聽和/或黑客攻擊過程的不確定性,并可因此強(qiáng)化不安全網(wǎng)絡(luò)的安全 性����。同樣地,在并行子SA中傳輸數(shù)據(jù)包的能力可允許傳輸優(yōu)化����。例如,如果路由器221變得 擁堵�����,傳出數(shù)據(jù)包可從子SA241a轉(zhuǎn)向241b而不終止通信會(huì)話����。進(jìn)一步地,和架構(gòu)100可能 所需的數(shù)據(jù)流包的串行處理相比���,數(shù)據(jù)流包的并行傳輸可通過并行處理器允許處理效率的 提升��。例如��,當(dāng)并行傳輸數(shù)據(jù)流包時(shí)���,可并行執(zhí)行SA查找�,序列號(hào)生成和/或防重放檢查���。
[0033] 架構(gòu)200可采用抽象語法編碼1 (ASN. 1)實(shí)施SA集群的創(chuàng)建和使用�。以下ASN. 1 定義可基于子SA (例如��,分別為子SA24la和241b或242a和242b)的數(shù)目創(chuàng)建SA集群(例 如�,SA集群241和/或242),還可選擇合適的子SA用于子流傳輸 :
[0034]
【權(quán)利要求】
1. 一種網(wǎng)元(NE)����,其特征在于,包括: 存儲(chǔ)器設(shè)備��,用于存儲(chǔ)指令����;以及 處理器�����,用于通過如下方式執(zhí)行所述指令: 將數(shù)據(jù)流的第一多個(gè)數(shù)據(jù)包劃分為第一多個(gè)子流;以及 使所述第一多個(gè)子流經(jīng)由網(wǎng)絡(luò)傳輸至第二NE��, 其中所述第一多個(gè)子流使用包括多個(gè)并行子SA的第一因特網(wǎng)協(xié)議安全協(xié)議(IPsec) 安全聯(lián)盟(SA)集群進(jìn)行傳輸���。
2. 根據(jù)權(quán)利要求1所述的NE��,其特征在于�,所述第一子SA與所述第二子SA經(jīng)過不同 的網(wǎng)絡(luò)路徑����。
3. 根據(jù)權(quán)利要求1所述的NE,其特征在于���,所述第一子SA與所述第二子SA經(jīng)過相同 的網(wǎng)絡(luò)路徑�。
4. 根據(jù)權(quán)利要求1所述的NE����,其特征在于,所述子SA不是嵌套的����。
5. 根據(jù)權(quán)利要求1所述的NE�����,其特征在于��,所述數(shù)據(jù)流的所述數(shù)據(jù)包通過使用選擇算 法在所述第一多個(gè)子SA之間分發(fā)�。
6. 根據(jù)權(quán)利要求5所述的NE���,其特征在于����,所述選擇算法包括輪詢選擇算法�����、隨機(jī)選擇 算法或其組合�����。
7. 根據(jù)權(quán)利要求1所述的NE��,其特征在于��,所述多個(gè)子SA中的每個(gè)包括安全參數(shù)指標(biāo) (SPI)��,以及所述每個(gè)子SA SPI包括不同于其他每個(gè)子SA SPI的值��。
8. 根據(jù)權(quán)利要求1所述的NE����,其特征在于,所述處理器進(jìn)一步用于經(jīng)由第二IPsec SA 集群接收來自所述第二NE的第二多個(gè)子流����。
9. 根據(jù)權(quán)利要求8所述的NE,其特征在于����,所述第二多個(gè)子流包括第二多個(gè)數(shù)據(jù)包,以 及所述處理器進(jìn)一步用于通過使用防重放位圖在所述第二多個(gè)數(shù)據(jù)包上執(zhí)行防重放功能 來執(zhí)行所述指令���。
10. 根據(jù)權(quán)利要求1所述的NE��,其特征在于��,所述第一多個(gè)數(shù)據(jù)包每個(gè)都包括序列號(hào)���, 以及所述序列號(hào)基于與數(shù)據(jù)包相關(guān)聯(lián)的所述子流確定,而非基于所述數(shù)據(jù)流確定����。
11. 一種網(wǎng)元(NE)�,其特征在于��,包括: 處理器����,用于使用因特網(wǎng)密鑰交換協(xié)議(IKE)或IKE版本2(IKEv2)在所述NE和第二 NE之間創(chuàng)建包括第一多個(gè)子SA的因特網(wǎng)協(xié)議安全協(xié)議(IPsec)安全聯(lián)盟(SA)集群, 其中所述第一子SA是單向的�,以及 所述第一子SA用于在同一方向傳輸?shù)谝欢鄠€(gè)數(shù)據(jù)包。
12. 根據(jù)權(quán)利要求11所述的NE����,其特征在于,所述處理器進(jìn)一步用于在通信會(huì)話期間 經(jīng)由網(wǎng)絡(luò)使用所述第一子SA將第一多個(gè)數(shù)據(jù)包傳輸?shù)剿龅诙﨨E�。
13. 根據(jù)權(quán)利要求12所述的NE,其特征在于��,所述處理器進(jìn)一步用于在所述通信會(huì)話 期間經(jīng)由所述網(wǎng)絡(luò)接收來自所述第二NE的第二多個(gè)數(shù)據(jù)包����,以及所述第二多個(gè)數(shù)據(jù)包經(jīng) 由包括第二多個(gè)子SA的第二IPsec SA集群接收。
14. 根據(jù)權(quán)利要求13所述的NE��,其特征在于,所述第二多個(gè)子SA是單向的����,所述第二 子SA用于在公共方向傳輸數(shù)據(jù)包�,以及所述第二子SA用于在與所述第一子SA相反的方向 傳輸數(shù)據(jù)包。
15. 根據(jù)權(quán)利要求13所述的NE�,其特征在于,在數(shù)據(jù)庫中對(duì)所述第一子SA的查找并行 執(zhí)行�����,所述第一多個(gè)數(shù)據(jù)包的序列號(hào)并行生成���,所述第二多個(gè)數(shù)據(jù)包的防重放檢查并行執(zhí) 行�,或其組合��。
16. 根據(jù)權(quán)利要求11所述的NE�����,其特征在于���,所述處理器進(jìn)一步用于通過處理saCount 屬性創(chuàng)建所述SA集群����,以及與所述saCount屬性相關(guān)聯(lián)的值指示所述SA集群中第一子SA 的數(shù)目。
17. 根據(jù)權(quán)利要求11所述的NE��,其特征在于�����,所述處理器進(jìn)一步用于通過處理 selectSA屬性創(chuàng)建所述SA集群�����,以及與所述selectSA屬性相關(guān)聯(lián)的值指示用于選擇傳輸 與所述第一多個(gè)數(shù)據(jù)包相關(guān)聯(lián)的子流的子SA的選擇算法���。
18. -種方法��,其特征在于�,包括: 建立多個(gè)因特網(wǎng)協(xié)議安全協(xié)議(IPsec)安全聯(lián)盟(SA)子隧道����;以及 將所述SA子隧道聚集在一起形成SA集群。
19. 根據(jù)權(quán)利要求18所述的方法�,其特征在于,獨(dú)立建立所述子隧道���,以及所述子隧道 逐個(gè)添加到所述SA集群����。
20. 根據(jù)權(quán)利要求19所述的方法,其特征在于���,進(jìn)一步包括通過所述子隧道分割或交 替IPsec流量���。
21. 根據(jù)權(quán)利要求20所述的方法�����,其特征在于����,所述SA集群不包括生命周期。
22. 根據(jù)權(quán)利要求21所述的方法���,其特征在于�����,所述子隧道在接收實(shí)體處使用共享的 防重放位圖�。
23. 根據(jù)權(quán)利要求21所述的方法,其特征在于��,所述SA子隧道每個(gè)使用單獨(dú)的防重放 位圖��。
【文檔編號(hào)】H04L29/06GK104247367SQ201380015156
【公開日】2014年12月24日 申請(qǐng)日期:2013年3月28日 優(yōu)先權(quán)日:2012年3月30日
【發(fā)明者】宋繼飛, 易曉勇, 張向陽 申請(qǐng)人:華為技術(shù)有限公司