在第一和第二主机标识协议使能主机之间建立主机标识协议会话的方法,其中至少所述第二主机位于反向代理之后。该方法包括给反向代理提供第二主机Diffie-Hellman公钥材料,从反向代理向第一主机发送所述Diffie-Hellman公钥材料作为主机标识协议基础交换过程的一部分,该材料被绑定到反向代理的主机标识以用于主机标识协议会话,并且在第一主机处,利用反向代理的主机标识作为用于主机标识协议会话的相应主机标识,在第二主机处,利用反向代理的主机标识作为用于主机标识协议会话的发起主机标识。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于网页服务器集群的寻址和路由机制,特别是,但并非必要地涉及允许位于网页反向代理后的网页服务器集群可以由根据主机标识协议来使用单个主机标识的客户端连接的寻址和路由机制。
技术介绍
在最初设计因特网时,主机的位置是固定的,并且用户之间存在隐含信任,尽管缺乏实际安全性或主机标识协议,而且这种情况甚至在更广泛地了解和使用该技术后继续存在。极少需要考虑用于处理主机移动性的技术,因为计算机体积较大并且不能移动。随着二十世纪九十年代初期电信和计算机工业的变革,更小的通信设备和计算机成为更广泛可获得的,以及万维网的专利技术和伴随它出现的所有服务最终使因特网吸引了大众。网络和移动电信的不断增加的使用结合产生了对于因特网中的安全移动性管理的需要。有关各方的增加数量以及某些业务需要的现金交易也产生对于附加应用级安全性的需要。目前,最广泛使用的加密协议,例如SSL/TLS,运行在网络层之上,例如TCP。考虑到上述移动性管理和安全性问题,引入了移动IP标准(C.Perkins,“IPMobility Support for IPv4”,RFC 3220,IETF,2002)以及移动IPv6标准(D.Johnson,C.Perkins,J.Arkko,“Mobility Support in IPv6”,RFC 3775,IETF 2004)。这些规范共同计划为下一代因特网提供移动性支持。安全性工作正以IPsec及相关活动,如各种密钥交换协议的形式发展,其目的是提供IP层的安全性。但是经验表明,很难采用当前标准来达到安全性和移动性相结合。IP地址描述网络中的节点的拓扑位置。使用IP地址以把分组从源节点路由到目的地。同时,还使用IP地址以标识节点,在一个实体中提供两种不同的功能。这类似于某个人在被询问其身份时以其家庭地址作答的情况。而在考虑移动性时,情况变得更为复杂:由于IP地址在这个方案中用作主机标识符,因此-->它们不得改变;但是,由于IP地址还描述拓扑位置,因此当主机在网络中改变其位置时,它们一定需要改变。显然不可能同时实现稳定性和动态改变。在移动IP的情况中,解决方案是采用提供节点的“归属地址”的固定归属位置。归属地址标识节点以及在其处于归属地时提供其稳定位置。当前位置信息以转交地址的形式可获得,它在节点远离归属地时用于路由的目的。对该问题的另一个解决方案是把标识和定位功能相互分离,这是主机标识协议(HIP)建议(R.Moskowitz,P.Nikander,P.Jokela,T.Henderson,“Host IdentityProtocol”,Internet Draft,work in progress,draft-ietf-hip-base-05.txt,IETF,2006)中采用的方法。HIP通过引入新的名称空间,主机标识(HI)来分离IP地址的定位和标识功能。在HIP中,主机标识基本上是公有-私有密钥对的公有密钥。公钥标识保存了私钥唯一副本的一方。拥有密钥对的私钥的主机可直接证明它“拥有”用于在网络中标识它的公钥。分离还提供以安全方式处理移动性和多归属的手段。除了在位置和标识之间的分离之外,HIP还提供用于HIP使能节点之间安全关联(SA)的协商。每个主机可产生仅供短时间使用的短期密钥。它们在不需要稍后采用相同标识来标识节点时是有用的。例如,从书店购买书籍可能是长期关系,而一次性联系服务器以收集用户简档则可认为是短期动作。在后一种情况中,可创建短期标识以避免长期标识的更广泛散布。作为公钥的HIP主机标识(HI)可能相当长,因而不是在所有情况中都实用。在HIP中,采用从HI中通过对其进行散列处理所产生的128位长的主机标识标志(HIT)来表示HI。因此,HIT标识HI。由于HIT为128位长,因此它可直接用于IPv6应用,因为它与IPv6地址的长度完全相同。主机标识的另一种形式是本地范围标识符(LSI),其用32位表示主机标识。LSI的目的在于便于在现有协议和API中使用主机标识。例如,由于LSI的长度与IPv4地址相同,它可以直接用于IPv4应用。虽然本说明书的其余大部分将基于使用更长的HIT,但是应当明了相同或相近的考虑可应用于替代的LSI形式。附图中的图1说明了HIP中的各个层,包括标准传输层4,网络层8和链路层10,其中进程2与它下面的传输层4进行通信。对于HIP,新的主机标识层6设置在传输层4与网络层8之间。每个HI与其关联的HIT在本地映射到节-->点的IP地址。当分组离开主机时,正确的路由被选择(无论通过什么方式),以及相应的IP地址被设置于分组中,作为源和目的地址。从上层到达的每个分组包含对等体的HIT作为目的地址。HIT与位置信息之间的映射可位于HI层6。因此,目的地址被转换为所映射的IP地址,以及源HIT被转换为源IP地址。对等HIT与IP地址之间的映射可由HIP客户端通过若干方式来获得,其中的一种方式是从DNS服务器中获得。典型地,DNS服务器将接收来自客户端的请求用于解析因特网域名,例如www.serviceprovider.com。保存在DNS服务器中的本地信息可以通过对等节点在任何时间进行更新。HIP定义包含四个消息的基本消息交换,即四方握手,这用来创建多个HIP使能主机之间的安全关联(SA)。在消息交换期间,Diffie-Hellman过程用来创建会话密钥以及建立多个节点之间的一对IPsec封装安全净荷(ESP)安全关联(SA)。附图中的图2说明了四方握手的操作。协商方称作开始连接的“发起方”和“应答方”。发起方通过发送包含参与协商的节点的HIT的I1分组来开始协商。如果应答方的HIT不是发起方已知的,则目标HIT也可能是零状态的。当应答方得到I1分组时,它发送回包含要由发起方解决的问题的R1分组。协议经过设计使得发起方必须在问题解决中进行大部分计算。这提供了对于DoS攻击的某种保护。R1还发起Diffie-Hellman过程,其中包含应答方的公钥和Diffie-hellman参数。一旦接收到R1分组,发起方解决问题,并且在I2分组中向应答方发送响应信息块以及IPsec SPI值及其加密公钥。应答方检验是否已经解决问题,对发起方进行鉴别,并创建IPsec ESP SA。最后的R2消息包含应答方的SPI值。主机之间的SA被绑定到由HIT所表示的主机标识。但是网络中传递的分组不包含实际HI信息,但是到达的分组被标识并采用IPsec首标中的安全性参本文档来自技高网...
【技术保护点】
一种在第一主机标识协议使能主机和第二主机标识协议使能主机之间建立主机标识协议会话的方法,其中至少所述第二主机位于反向代理之后,该方法包括: 给反向代理提供第二主机的Diffie-Hellman公钥材料; 从反向代理向第一主机发送 所述Diffie-Hellman公钥材料作为主机标识协议基础交换过程的一部分,该材料被绑定到反向代理的主机标识以用于主机标识协议会话;以及 在第一主机处,使用反向代理的主机标识作为用于主机标识协议会话的相应主机标识,并且在第二主机处, 使用反向代理的主机标识作为用于主机标识协议会话的发起主机标识。
【技术特征摘要】
【国外来华专利技术】GB 2006-5-11 0609256.31、一种在第一主机标识协议使能主机和第二主机标识协议使能主机之间建
立主机标识协议会话的方法,其中至少所述第二主机位于反向代理之后,该方
法包括:
给反向代理提供第二主机的Diffie-Hellman公钥材料;
从反向代理向第一主机发送所述Diffie-Hellman公钥材料作为主机标识协议
基础交换过程的一部分,该材料被绑定到反向代理的主机标识以用于主机标识
协议会话;以及
在第一主机处,使用反向代理的主机标识作为用于主机标识协议会话的相
应主机标识,并且在第二主机处,使用反向代理的主机标识作为用于主机标识
协议会话的发起主机标识。
2、根据权利要求1的方法,其中所述第二主机是web服务器,其是web
服务器集群或场中的一个web服务器。
3、根据权利要求1或2的方法,其中相应于所述Diffie-Hellman公钥材料
的Diffie-Hellman私钥材料仅被第二主机保留而不提供给反向代理。
4、根据权利要求1或2的方法,其中会话密钥材料由第二主机提供给反...
【专利技术属性】
技术研发人员:J伊利塔洛,P约克拉,J梅伦,R武奥皮安佩雷,
申请(专利权)人:艾利森电话股份有限公司,
类型:发明
国别省市:SE[瑞典]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。