[发明专利]包含安全性关联处理器的虚拟专用网络机制

说明书

本申请是申请号为02815510.6、申请日为2002年7月10日、发明 名称为“包含安全性关联处理器的虚拟专用网络机制”的发明专利申请 的分案申请。

技术领域

本发明涉及数据通信系统，更具体地说涉及实现包括安全性关联数 据库和相关处理器的虚拟专用网络(VPN)的机制。

背景技术

近年来，全球目睹了因特网的爆发性增长。每年越来越多的主机加 入因特网，同时用户数目似乎无限制地增长。因特网能够实现利用不同 技术(包括远程计算机登录、文件传送、万维网(WWW)浏览、电子 邮件等)的通信。设计出各种各样的协议，并且这些协议在因特网上用 于处理各种通信。例如，文件传送协议(FTP)用于文件传送，超文本 置标语言(HTML)用于web通信等。通常，在包括OSI通信栈各层 协议在内的协议的传输控制协议/网际协议(TCP/IP)组的保护下，对 和因特网通信相关的协议分组。

因特网的关键特征在于它是几乎具有计算机、电话线和因特网服务 提供者(ISP)账户的任何人可访问的公共网络。这种大规模公众可接 入性的最终趋势是它便于黑客和意图对因特网上的一个或多个主机采取 恶意行动的其它人接近因特网上的一个或多个主机。对于设法侵入远程 网络的计算机并成功窃取通信数据的黑客来说，诸如恶意用户窃取保密 信息或者删除重要文件之类非法行为是可能的。通过在允许因特网上的 安全事务的IPv6中包括诸如加密和鉴权之类安全特征，因特网体系结 构委员会解决了关于安全性的需要。

为了对抗黑客的威胁和保护专用网络，目前通常在公司或机制的专 用网络的入口处设置防火墙。防火墙采用某一形式的分组过滤器，分组 过滤器强制实现用户定义的安全策略。防火墙是位于机制的本地网络和 全球因特网之间边界处的系统。它实现所有数据通信的过滤，以便防止 信息泄漏到外部网络，或者防止从外部未经授权访问内部网络。防火墙 对接收的每个分组进行拒绝/许可判定。

同时，对无线服务(即蜂窝电话机、双向寻呼机、无绳设备等)和 诸如膝上型计算机、PDA之类个人计算设备的需求日益增多。这些个 人计算设备中的多数都包含无线通信电路，以便它们能够通过无线网络 (例如蜂窝或者其它宽带方案)与诸如因特网之类WAN网络通信。从 而，越来越多的PDA和蜂窝电话机正在连接到因特网上，从而这些设 备存在安全风险。这些设备最好采用某一类型的防火墙防范对该设备的 未经授权的访问。但是，目前多数防火墙以软件形式实现，需要整个桌 上型计算机的计算资源，导致在诸如蜂窝电话机或PDA之类便携式计 算设备中使用它们的成本很高或者不切实际。

从而，需要一种易于用适于包含在诸如蜂窝电话机和无线连接 PDA之类小型便携式电子计算设备中的小尺寸硬件实现的防火墙或分 组过滤器。

发明内容

本发明提供一种新颖的有用虚拟专用网络(VPN)机制，以便提供 实现加密/解密和鉴权必需的安全参数。VPN机制适合于以较低的成本 用硬件实现，从而能够费用低廉地将本发明结合到与因特网或其它广域 网连接的便携式电子通信设备中，例如蜂窝电话机、个人数字助手 (PDA)、膝上型计算机等。

本发明可和适于连接因特网的便携式计算设备，例如蜂窝电话机和 无线连接PDA中基于硬件或软件的防火墙一起使用。还可用软件或硬 件和软件的组合实现本发明的VPN机制。

从而，VPN机制可被用于实现，例如通过WAN的安全分局 (branch office)连接性、通过WAN的安全远程访问或者通过WAN 的安全电子商务交易。

VPN机制包括适于提供实现加密/解密和鉴权的安全性规范的 IPSec组所需参数的安全性关联数据库(SAD)和相关电路。数据库中 的每个安全性关联(SA)入口包括根据IPSec规范接收和传送VPN分 组所需的所有参数。

本发明对输入分组流进行涉及安全性关联(SA)的处理。注意输 入分组流可包括入站分组和出站分组。通常，本发明被置于WAN(即 因特网)和本地LAN之间。这种情况下，VPN机制过滤从WAN发送 给LAN的入站分组和从LNA发送给WAN的出站分组。