互联网协议安全性协议设置服务器设备和处理设备制造技术

技术编号:3526961 阅读:178 留言:0更新日期:2012-04-11 18:40
一种网络,包括:    互联网协议安全性协议处理设备,其在两个不同的中心通过因特网通信时,使用互联网协议安全性协议以确保因特网路径上的安全性;和    互联网协议安全性协议设置服务器设备,其管理所述互联网协议安全性协议处理设备的互联网协议安全性协议设置,    其中,所述互联网协议安全性协议设置服务器设备包括一个装置,该装置用于集中管理要在第一和第二互联网协议安全性协议处理设备之间应用的所述互联网协议安全性协议的策略。(*该技术在2023年保护过期,可自由使用*)

【技术实现步骤摘要】

本专利技术涉及网络、IPsec设置服务器设备、IPsec处理设备和为此所使用的IPsec设置方法,更具体地说,涉及一种根据IPsec(Internet Protocolsecurity protocol,因特网协议安全性协议)的网络结构,该IPsec提供了多种功能,例如因特网上的保密性、完整性和认证。
技术介绍
一般地,随着因特网的广泛传播,越来越需要确保因特网上的安全性。具体地说,许多公司希望以低成本在因特网上建立虚拟专用网,以及建立一个连接远程办公室或类似对象的网络,而不是用昂贵的专用线来建立网络。为响应这种需求,IETF(Internet Engineering Task Force,因特网工程任务组)对IPsec(因特网协议安全性协议)进行了标准化,该IPsec提供了多种功能,例如因特网上的保密性、完整性和认证(例如,参见在先公开的日本专利No.2001-298449的第8-11页和图1)。当两个不同的中心通过因特网通信时,就可以使用IPsec以确保因特网路径上的安全性。支持新的因特网协议,即具有IPsec的IPv6(因特网协议版本6)变得很重要,预计从现在开始,更多的网络设备将与IPsec相关,使用IPsec的通信也将增加。图31示出了使用IPsec进行通信的IPsec处理设备的结构。在图31中,IPsec处理设备4包括接口部分(I/F)41和42、IPsec处理部分43、SPD(安全性策略数据库)44、SAD(安全性关联数据库)45和路由部分46。接口部分41与专用网相连以实现和该专用网的数据通信。接口部分42与因特网相连以通过因特网实现数据通信。IPsec处理部分43对从接口部分41和42接收到的数据通信包进行IPsec处理。从IPsec处理部分43查阅SPD 44,其存储用于应用IPsec的策略。从IPsec处理部分43查阅SAD 45,其存储使每种通信都受到IPsec处理所必需的SA(安全性关联)。路由部分46向IPsec处理部分43发送或从IPsec处理部分43接收数据通信包,并确定各个数据通信包的传输目的地。然而,在根据传统IPsec的上述网络结构中,当一个IPsec处理设备和大量相对方进行IPsec通信时,在通过IPsec的连接当中,在实现IPsec处理的设备中所要设置的内容增加了。为了使用IPsec,在应用了IPsec处理的两端的设备中,必须分别设置应用了IPsec的服务、算法和用于通信的类似对象。当使用自动密钥管理(IKEInternet Key Exchange,因特网密钥交换)协议时,也必须在两端的设备中设置在自动密钥管理协议中所使用的加密算法、哈希(hash)算法、密钥共用算法和类似算法。由于每个通过IPsec进行连接的相对方都需要这些设置,因此随着通过IPsec进行连接的相对方的增多,就需要更多的设置。另外,在根据传统IPsec的网络结构中,在应用了IPsec的通信的两端,有可能进行不同的设置。在应用了IPsec处理的两端的设备中,如果要使用的服务的设置或要使用的算法的设置不同,那么这些设备就不能实现通信。当应用了IPsec的通信的种类增加时,因为设置的数量也增加了,所以更有可能出现这样的错误。而且,在根据传统IPsec的网络结构中,如果使用了自动密钥管理协议,那么用来生成共用秘密密钥的算术运算将花费时间,结果,在开始通信之前要用去很长时间。通常,在IPsec处理设备中,如图32所示,因为直到必须进行通信时才开始生成共用秘密密钥,所以如果生成共用秘密密钥花费时间,那么在开始通信之前要用去很长时间。此外,在根据传统IPsec的网络结构中,如果使用了自动密钥管理协议,则在应用了IPsec处理的设备中产生算术运算量。因为许多算术运算都是生成共用秘密密钥所必需的,所以在该设备中所提供的其他功能(对未应用IPsec的包的传输功能等等)的性能将下降。当要被同时处置的IPsec通信种类增加时,生成共用秘密密钥的机会也增多了,并且性能下降的速度更快了。
技术实现思路
因此,本专利技术的目的就是解决上述问题,并提供可以防止在相互通信的设备之间出现设置不一致的网络、IPsec设置服务器设备、IPsec处理设备和为此所使用的IPsec设置方法。另外,本专利技术的另一个目的是提供可以在设置策略后没有延时地执行加密和解密,并且可以没有故障地从传输源接收包的网络、IPsec设置服务器设备、IPsec处理设备和为此所使用的IPsec设置方法。此外,本专利技术的另一个目的是提供可以使秘密密钥算术运算不再必要,从而缩短各个设备中在开始通信时的IPsec路径连接时间,并可以防止性能下降的网络、IPsec设置服务器设备、IPsec处理设备和为此所使用的IPsec设置方法。根据本专利技术的网络包括IPsec处理设备,其在两个不同的中心通过因特网通信时,使用IPsec(因特网协议安全性协议)来确保因特网路径上的安全性;和IPsec设置服务器设备,其管理IPsec处理设备的IPsec设置,其中,所述IPsec设置服务器设备包括用来集中管理要在多个IPsec处理设备之间应用的IPsec的策略的装置。在根据本专利技术的另一种网络中,除了上述结构外,所述IPsec设置服务器设备还包括一个装置,用来一旦收到请求消息,把请求启动消息发送给已发送所述请求消息的IPsec处理设备的相对方的IPsec处理设备,以使得这个IPsec处理设备发送通信的请求消息。在根据本专利技术的另一种网络中,除了上述结构外,所述IPsec设置服务器设备还包括一个装置和一个功能,该装置用来生成在IPsec加密和认证中所使用的共用秘密密钥,而该功能用于把所生成的共用秘密密钥分配给多个IPsec处理设备。根据本专利技术的IPsec设置服务器设备是一种用来管理IPsec处理设备的IPsec设置的IPsec设置服务器设备,在两个不同的中心通过因特网通信时,该IPsec处理设备使用IPsec(因特网协议安全性协议)来确保因特网路径上的安全性,所述IPsec设置服务器设备包括用来集中管理要在多个IPsec处理设备之间应用的IPsec的策略的装置。根据本专利技术的另一种IPsec设置服务器设备除了上述结构外,还包括一个装置,用于一旦收到请求消息,就把请求启动消息发送给已发送所述请求消息的IPsec处理设备的相对方的IPsec处理设备,以使得这个IPsec处理设备发送通信的请求消息。根据本专利技术的另一种IPsec设置服务器设备除了上述结构外,还包括一个装置和一个功能,该装置用来生成在IPsec加密和认证中所使用的共用秘密密钥,而该功能用于把所生成的共用秘密密钥分配给多个IPsec处理设备。根据本专利技术的IPsec处理设备是一种在因特网上使用IPsec(因特网协议安全性协议)的IPsec处理设备,其包括一个装置,用于一旦收到应当应用IPsec的包,用来判断是否要向IPsec设置服务器设备查询在该IPsec设置服务器设备中所集中管理的IPsec的设置。根据本专利技术的另一种IPsec处理设备在上述结构中,一旦收到用于使IPsec设置服务器设备发送请求消息的请求启动消息,就发送请求消息。根据本专利技术的另一种IPsec处理设备除了上述结构外,还包括用来从上述IPsec设置服务器设备中获取要在IPsec本文档来自技高网
...

【技术保护点】

【技术特征摘要】

【专利技术属性】
技术研发人员:酒井征直
申请(专利权)人:日本电气株式会社
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
相关领域技术
  • 暂无相关专利