[发明专利]在多路径环境下对IPsec隧道的高效使用

说明书

提供了用于跨连接到计算设备的多个连接来保护网络流量的系统和方法，其不要求每个连接具有它自己的安全关联。该系统可以包括：被配置为获得数据报并且编码数据报的IPsec编码器，其中IPsec编码器包括与计算实体相关联的安全关联；被配置为将元数据与已编码的数据报相关联的分组分析器；以及使用连接到计算设备的多个连接中的一个传送已编码的数据报的网关。

背景技术

在现代的计算环境下，常常需要使用网络将远程计算系统连接在一起。例如，诸如企业的组织经常具有遍及国家和全世界内的多个位置的分支机构、员工或承包商。当前的联网技术允许通过公共和专用计算机网络在这些不同的计算环境之间通信。通常，不同的计算环境使用互联网彼此连接。通过允许机构和员工相互连接，组织可以创建统一的计算环境。

跨公共和专用链路网络这两者来连接组织可能造成敏感数据的安全风险。随着数据穿过互联网或者其他公共网络，其变得易受许多不同种类的电子攻击的侵害。尽管个别应用或连接可以利用诸如密码术的保护，但组织有兴趣提供针对所有网络流量的在机构或员工之间的安全链路。多种技术可被用于提供这样的链路。例如，组织可以购买或者租用不对公众开放的在两个位置之间的直接的物理连接。此外，组织可以采用加密数据的应用。或者，组织可以利用传统的虚拟专用网络，以允许安全通信。

除了针对安全漏洞保护敏感数据，组织必须确保远程计算环境之间的连接是可靠和高效的。组织可以通过很多方法来提高可靠性，包括利用跨不同互联网服务提供商或网络的多个连接，从而确保在一个连接故障时其他连接可用来维持网络。连接可以经过诸如互联网的公共网络，或者直接地连接专用链路上的两个端点。组织可以通过如下方式提高效率：跨多个连接传播他们的网络流量以增加总带宽，或者使用(当被用在直接专用链路上)可以提高效率的特定网络协议。在一些实例中，组织还可以利用用于特定应用或目的的特定类型的连接，其与他们普通的网络流量相分离。

尽管组织可以利用各种各样的技术来分别处理安全和可靠性问题，但同时处理这两种问题可能带来技术挑战。组织可以使用如互联网协议安全(IPsec)那样的技术，从而为特定连接上的所有网络流量创建安全连接，该技术被详细地描述在下文中，以及被描述在互联网工程任务组(IETF)制定标准(RFC)4301中。然而，IPsec要求在来源和目的地之间创建共享的证书组，以允许安全通信。必须使用诸如互联密钥交换(IKE)的技术来协商这些证书。证书和限定IPsec连接的其他安全参数被称为安全关联(SA)。任何时候在链路断开的情况下，当链路恢复时必须建立新的SA，从而增加了维护链路的开销。此外，每个单向连接需要它自己的SA。当既利用加密又利用认证时(保证适当安全性的通用方法)，取决于所利用的IPsec的具体变化，每个单向链路需要一个或两个SA。相应地，端点之间的每个双向连接需要协商两个或四个SA以进行设置。跨典型的双向链路来维护IPsec设置可以相当简单。但是随着冗余或其他链路数量的增加，需要协商和维护的SA的数量也随之增加。在现代计算网络中维护多个同时的IPsec连接以确保可靠和安全通信带来巨大的网络开销以及管理挑战。

附图说明

现在将参照示出本公开示例性实施例的附图。在附图中：

图1是与本公开实施例一致的示例性网络环境的框图。

图2A-2B是与本公开实施例一致的示例性计算设备的框图。

图3A-3C是与本公开实施例一致的示例性数据报的框图。

图4是与本公开实施例一致的在示例性网络环境中提供的示例性装置的框图。

图5是表示与本公开实施例一致的传送数据报的示例性方法的流程图。

图6是表示与本公开实施例一致的接收数据报的示例性方法的流程图。

具体实施方式

现将详细参考根据本公开实施的示例性实施例，在附图中示出了示例性实施例的例子。只要可能，相同的附图标记将被用在全部附图中以指示相同或相似的部分。