[发明专利]服务器发起的安全网络连接

说明书

技术领域

本发明涉及计算机网络，更具体地，涉及计算机网络中所使用 的安全协议。

背景技术

由于对网络可访问计算机的越来越多的依赖，对于机构以及个 人来说网络安全已成为主要的问题。为有助于确保计算机的安全 性，机构和个人经常会在其专用网络和公共网络之间安装安全装 置。这些安全装置的目标是避免来自公共网络的无用或恶意信息入 侵专用网络中的装置。该安全装置可能还提供“网络地址转换”功 能，其使专用网络在与公共网络进行通信时能够利用单个公共网际 协议(IP)地址。网络地址转换(NAT)可通过将专用网络的内部 结构对于公共网络进行遮蔽来提供来自公共网络的进一步的安全 性，并减少与保持每个置于专用网络中的装置的公共IP地址相关的 成本。

通常应用的安全装置的一个实例是防火墙。防火墙可通过重写 包含于流过防火墙的数据包中的源和/或目的IP地址来执行NAT。 一旦接受到来自公共网络所指定的这些专用装置之一的数据包，则 防火墙，例如，利用单一的公共IP地址来重写分配给专用设备的专 用IP源地址。一旦接收到响应于该装置的数据包的返回数据包，则 防火墙利用适当的专用IP地址来重写该返回数据包的目的地址。这 样，防火墙通过使之看起来像是只有一个装置(例如，防火墙通过 单一公共IP地址来发送和接收数据)来遮蔽专用网络的内部结构。

尽管执行NAT的防火墙可以遮蔽专用网络的结构从而提供额 外的安全性，但是防火墙还会防碍专用装置参与某些网络协议。例 如，在NAT防火墙后的专用装置不会充当传输控制协议(TCP)服 务器。即，由于专用装置本身的IP地址不为防火墙公共侧上的装置 所知，因此该专用装置不能直接接收以及接受来自NAT防火墙的 公共侧上的客户端的TCP会话请求。公共装置只知道由防火墙所使 用的单一公共IP地址。因为TCP要求公共装置知道建立TCP会话 所要使用的特定装置的IP地址，所以公共装置不能直接与在NAT 防火墙后面的专用装置建立TCP会话。此外，TCP会话上执行的 很多安全协议可能因为这些安全协议依赖于TCP会话而不会被应 用。

发明内容

总的来说，本发明指出了用于与在安全装置后面的装置建立安 全连接的技术。特别地，本发明的技术可以使该安全装置(其可实 现端口映射)一侧上的管理装置能够与该安全装置另一侧上的被管 理装置建立安全会话(例如，安全外壳(secure shell)(SSH)协议 会话)，从而在管理装置和被管理装置之间正确地分配安全会话的 角色。即，当在用于支持安全协议会话的装置上呈现网络堆栈时， 该技术被描述成用于允许管理装置和被管理装置动态地转换角色。 例如，该技术允许被管理装置作为TCP客户端主动地发起与管理装 置进行TCP会话，并且，一旦建立该TCP会话，就动态地转换角 色，从而允许该管理装置充当对于任何运行于TCP上的安全通信协 议的客户端。

这样，可将管理装置适当地配置成充当SSH客户端并且将被管 理装置配置成充当SSH服务器。通过适当地从管理装置发起SSH 安全会话，能够以在每个被管理和管理装置执行的角色方面都正确 (从而易于被在其上执行的软件支持和集成)以及容易被多数网络 管理员理解的形式来建立该安全SSH会话。因此，网络管理员可以 更容易地配置被管理和管理装置，从而更能确保网络的性能和安全 性。

例如，在NAT防火墙专用侧上的被管理装置发起传输控制协 议(TCP)会话来建立与NAT防火墙公共侧上的管理装置的TCP 会话，从而使管理装置作为TCP服务器接受TCP会话而被管理装 置充当TCP客户端。这样，可避免由NAT防火墙所引入的限制或 约束。在以这种方式建立了基础的TCP会话之后，被管理装置通过 TCP会话向管理装置发送一个角色颠倒消息。该角色颠倒消息指定 被管理装置的身份并将安全地发起安全会话的能力提供给管理装 置，因而相对于来自基础TCP会话的角色的安全会话来颠倒客户端 /服务器角色。