[发明专利]提升IPsec性能和防窃听安全性

说明书

相关申请案的交叉参考

本发明要求2012年3月30日由张向阳等人递交的发明名称为“多路径IP层安全”的第61/618359号美国临时专利申请案的在先申请优先权，其以引用方式并入本文本中，如全文再现一般。

关于由联邦政府赞助的

研究或开发的声明

不适用。

缩微平片附件的引用

不适用。

背景技术

可要求联网设备跨多个网络进行通信。某些设备可能要求这类通信保持安全。经由安全网络互连的设备可依赖该安全网络中固有的安全措施来为任意跨网络通信提供这种安全。还可要求这些设备跨不安全的网络进行通信。例如，一台主机可经由互联网和另一主机、客户端、网络等通信，这可能是部分、不均衡和/或完全不安全的。通信可仅如提供给发送方和接收方之间任意点通信的最低安全级别那样安全。网络设备可采用各种安全协议来维持通过不安全网络的通信的安全性。例如，源网络设备可与目标网络设备协商安全连接和/或通信，只要这两个网络设备都配置为采用相同的安全协议(一个或多个)。

发明内容

在一项实施例中，本发明包括一种网元(NE)，包括：存储器设备，用于存储指令；处理器，用于通过将数据流的第一多个数据包划分为第一多个子流，并使所述第一多个子流经由网络传输至第二NE来执行指令，其中所述第一多个子流使用包括多个并行子SA的第一因特网协议安全协议(IPsec)安全联盟(SA)集群进行传输。

在另一项实施例中，本发明包括一种网元(NE)，包括处理器，用于使用因特网密钥交换协议(IKE)或IKE版本2(IKEv2)在所述NE和第二NE之间创建包括第一多个子SA的IPsec SA集群，其中所述第一子SA是单向的，以及所述第一子SA用于在同一方向传输第一多个数据包。

在另一项实施例中，本发明包括一种方法，包括建立多个IPsec SA子隧道以及将所述SA子隧道聚集在一起形成SA集群。

结合附图和权利要求书，可从以下的详细描述中更清楚地理解这些和其他特征。

附图说明

为了更完整地理解本发明，现在参考以下结合附图和详细描述进行的简要描述，其中相同参考标号表示相同部分。

图1是IPsec安全架构的实施例的示意图。

图2是IPsec安全架构的另一实施例的示意图。

图3是创建SA集群的方法的实施例的流程图。

图4是为数据子流选择子SA的方法的实施例的流程图。

图5是经由SA集群接收数据的方法的实施例的流程图。

图6是NE的实施例的示意图。

具体实施方式

IPsec是一种安全协议组，包括保护跨越各种网络的互联网协议(IP)通信安全的安全协议，如互联网工程任务组(IETF)文档请求注解(RFC)4301中所述，该文档以引用的方式并入。IPsec可保护IP层中的(例如，第三层和/或开放系统互连(OSI)模型的网络层)通信安全。IPsec可以是保护安全网关之间的数据流(例如，信息)的端到端安全方案。IPsec可采用单向SA对保护包括数据包的数据流。例如，本地安全网关可采用第一SA保护传输到远端安全网关的信息，采用第二SA保护从远端安全网关接收的信息。IPsec还可允许SA束，该SA束可包括嵌套在SA内的SA)(例如，隧道内的隧道)。IPsec可能限于采用SA对和/或SA束对。IPsec可以一种连续方式在SA上传输包。另外，可为每个SA指配唯一的安全参数索引(SPI)。因此，窃听节点可通过监控单个网络节点来接收SA保护的通过隧道的所有包并可使用SPI关联这些包。如果窃听节点突破了SA安全措施，该窃听节点可完全自由访问整个数据流。