專利名稱:用于徑上信令的加密對等體發(fā)現(xiàn)��、認證和授權(quán)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及用于計算機網(wǎng)絡(luò)的認證��、授權(quán)和對等體發(fā)現(xiàn)機制。本發(fā)明更具體而言涉及用于徑上信令(on-path signaling)的加密對等體發(fā) 現(xiàn)���、認證和授權(quán)的方法和裝置����。
背景技術(shù):
本部分中描述的方法可以被實行����,但不一定是先前已經(jīng)構(gòu)思或?qū)嵭羞^ 的方法。因此���,除非這里另有聲明�,否則本部分中描述的方法不是本發(fā)明 中權(quán)利要求的現(xiàn)有技術(shù)���,也并不因為被包括在本部分中就被承認是本發(fā)明 的現(xiàn)有技術(shù)���。在由諸如路由器和交換機之類的多個網(wǎng)絡(luò)元件構(gòu)成的分組交換網(wǎng)絡(luò) 中,諸如資源預(yù)留協(xié)議("RSVP")這樣的徑上信令可被用于預(yù)留路由 選擇路徑�,以便提供指定種類的網(wǎng)絡(luò)流量(例如語音流量)的最優(yōu)路由選 擇。RSVP在1997年9月Braden等人的因特網(wǎng)工程任務(wù)組(IETF)請求 注釋(RFC) 2205 "Resource ReSerVation Protocol (RSVP) - Version 1��, Functional Specification"中有所描述���。 一般來說��,RSVP可用于預(yù)留資 源����,以便為特定種類的流量實現(xiàn)所需的服務(wù)質(zhì)量(QoS)。利用RSVP消 息確立的資源預(yù)留隨著時間的過去而期滿����,除非預(yù)留被刷新。RSVP定義了會話和流描述符�。會話包含了數(shù)據(jù)流,該數(shù)據(jù)流由其目 的地來標識���。流描述符是包含過濾器規(guī)范(filterspec)和流規(guī)范 (flowspec)的資源預(yù)留���。當在路由器處實現(xiàn)預(yù)留時,通過由filterspec定 義的過濾器的分組被視為由flowspec所定義�����。RSVP操作是利用Path消息 和Resv (預(yù)留)消息來控制的���。一般來說�,諸如路由器這樣的主機處的RSVP操作如下進行����。發(fā)送者 發(fā)出Path消息;接收者接收該消息�,該消息標識了發(fā)送者。結(jié)果���,接收者
獲取了反向路徑信息�,并且可以開始發(fā)送Resv消息以在中間主機處預(yù)留 資源�。Resv消息通過因特網(wǎng)傳播,并且到達發(fā)送者���。發(fā)送者隨后開始發(fā)送 數(shù)據(jù)分組并且接收者接收這些分組�。在一些情況下��,發(fā)送者和接收者之間存在的僅有的路徑包含一個或多 個防火墻���。為了使得數(shù)據(jù)分組通過防火墻����,防火墻可能需要被配置為允許 某種類別的數(shù)據(jù)分組通過防火墻�;防火墻的策略可能需要被改變�����。例如�����, 防火墻的策略可能需要被改變��,以明確地允許源自發(fā)送者的因特網(wǎng)協(xié)議 (IP)地址的數(shù)據(jù)分組被轉(zhuǎn)發(fā)到相對于發(fā)送者位于防火墻的另一側(cè)的設(shè) 備��。但是�,防火墻的實現(xiàn)是有正當理由的防止未經(jīng)授權(quán)的數(shù)據(jù)流侵入網(wǎng)絡(luò)中的部分�����。如果一般公眾被允許改變防火墻的策略���,則防火墻的存在就 沒什么意義了��。只有某些實體應(yīng)當被允許改變防火墻的策略�����。如果防火墻 要保持有效�����,防火墻必須要求有關(guān)于每個嘗試改變防火墻策略的實體實際 被授權(quán)這么做的某種證明����。理論上�,防火墻可以使用像Kerberos這樣的認證系統(tǒng)來認證每個嘗試 改變防火墻策略的實體。但是��,這種認證系統(tǒng)將會是與RSVP相分離的�����。 如果Kerberos被結(jié)合RSVP使用��,則RSVP消息和Kerberos消息都將會通 過網(wǎng)絡(luò)�����?����?捎玫木W(wǎng)絡(luò)帶寬將會減小。此外�����,由于RSVP和Kerberos協(xié)議的 分離性��,在RSVP資源預(yù)留操作和Kerberos認證操作之間將會有某種延 遲���。在發(fā)送者開始使用RSVP沿著路徑預(yù)留資源的時間與發(fā)送者能夠開始 沿該路徑發(fā)送數(shù)據(jù)分組的時間之間����,可能需要經(jīng)過很長的時間�����。實現(xiàn)一種 為不同目的而使用多個分離的協(xié)議的方案將會很復(fù)雜��,并且需要很高程度 的技巧和組織�。
在附圖中以示例方式而非限制方式圖示了本發(fā)明,附圖中類似的標號 指代類似的元件�,其中圖1是圖示一個系統(tǒng)的概況的框圖,在該系統(tǒng)中組合的對等體發(fā)現(xiàn)�、 認證和授權(quán)協(xié)議被用于徑上信令;
圖2示出了圖示一種方法的一個實施例的流程圖����,利用該方法兩個中間網(wǎng)絡(luò)設(shè)備使用共享秘密加密密鑰(shared secret cryptographic key)和群組標識符來彼此認證�;圖3示出了圖示一種方法的替換實施例的流程圖�����;以及 圖4是圖示其上可實現(xiàn)一個實施例的計算機系統(tǒng)的框圖�����。
具體實施方式
描述了一種用于徑上信令的加密對等體發(fā)現(xiàn)����、認證和授權(quán)的方法和裝 置�。在以下描述中,為了說明��,闡述了許多具體細節(jié)以便能夠徹底地理解 本發(fā)明����。但是,本領(lǐng)域的技術(shù)人員將會明白���,沒有這些具體細節(jié)也能實現(xiàn) 本發(fā)明�����。在其他情況下�,以框圖形式示出了公知的結(jié)構(gòu)和設(shè)備,以避免不 必要地模糊本發(fā)明的主題��。這里根據(jù)以下大綱來描述實施例1.0綜述2.0結(jié)構(gòu)和功能概念 3.0實現(xiàn)示例4.0實現(xiàn)機構(gòu)-硬件概述 5.0擴展和替換1.0綜述在前述背景技術(shù)中識別的需要�����,以及從以下描述中將會顯現(xiàn)出來的其 他需要和目的在本發(fā)明中得以實現(xiàn)�,本發(fā)明在一個方面包括一種用于徑上 信令的加密對等體發(fā)現(xiàn)、認證和授權(quán)的方法��。根據(jù)一個實施例��,該方法至少包括以下步驟�����,這些步驟可由諸如路由 器���、防火墻或網(wǎng)絡(luò)地址轉(zhuǎn)化器之類的中間網(wǎng)絡(luò)設(shè)備來執(zhí)行��;在其他實施例 中���,該方法或包括附加的或替換的步驟����。在中間網(wǎng)絡(luò)設(shè)備處截獲一個或多 個數(shù)據(jù)分組���。數(shù)據(jù)分組(例如IP數(shù)據(jù)分組)不是被尋址到中間網(wǎng)絡(luò)設(shè)備�����, 而是被尋址到不同于中間網(wǎng)絡(luò)設(shè)備的目的地設(shè)備�。數(shù)據(jù)分組總體上包含某種信息��。在該信息中有群組標識符和請求��。例如��,該請求可要求中間網(wǎng)絡(luò)設(shè)備向特定數(shù)據(jù)流分配足夠的資源�����,以便該特 定數(shù)據(jù)流能夠至少以指定的QoS被傳輸�。又例如�,該請求可要求防火墻允 許特定數(shù)據(jù)流通過���。一個或多個不同的共享秘密加密密鑰被存儲在中間網(wǎng)絡(luò)設(shè)備處。每個 加密密鑰被映射到一個不同的群組標識符�����。從這些密鑰中�,選擇一個特定 的密鑰-映射到截獲的數(shù)據(jù)分組中所包含的群組標識符的密鑰。向數(shù)據(jù)分組所源自的"上游"設(shè)備發(fā)送第一消息��。該第一消息至少包含一個質(zhì)詢(challenge)��。響應(yīng)于第一消息而接收第二消息�。該第二消息 至少包含對質(zhì)詢的響應(yīng)。至少基于該特定密鑰和第一質(zhì)詢生成驗證值�����。在驗證值和響應(yīng)之間進 行比較����。如果驗證值與響應(yīng)相匹配,則質(zhì)詢已得到滿意回答�,因而上游設(shè) 備是真實的。在一些實施例中(其中一些在下文中更詳細描述)����,還進行 一個或多個額外的步驟�,通過這些步驟上游設(shè)備能夠確定中間網(wǎng)絡(luò)設(shè)備的 真實性����。一個或多個分離的授權(quán)集合被存儲在中間網(wǎng)絡(luò)設(shè)備上。每個集合被映 射到一個群組標識符����;不同的集合可被映射到不同的群組標識符,并且一 些集合可被映射到不止一個群組標識符���。每個集合指示在多大限度上允許 中間網(wǎng)絡(luò)設(shè)備的策略被位于與映射到該集合的群組標識符相關(guān)聯(lián)的群組內(nèi) 的實體所修改����。如果上游設(shè)備是真實的���,則執(zhí)行以下步驟。從授權(quán)集合中����,選擇一個 特定的集合-映射到截獲的數(shù)據(jù)分組中所包含的群組標識符的集合。進行 關(guān)于截獲的數(shù)據(jù)分組中所包含的請求是否被所選擇的授權(quán)集合所允許的判 定�。如果該請求被允許���,則基于該請求配置中間網(wǎng)絡(luò)設(shè)備的策略。例如����, 防火墻的策略可被配置以允許轉(zhuǎn)發(fā)屬于指定數(shù)據(jù)流的數(shù)據(jù)分組。又例如�, 中間網(wǎng)絡(luò)設(shè)備的策略可以以這樣的方式被配置,即屬于指定數(shù)據(jù)流的數(shù)據(jù) 分組將會至少以指定的QoS被傳輸��。由于群組標識符與存儲在中間網(wǎng)絡(luò)設(shè)備上的共享秘密加密密鑰相關(guān) 聯(lián)��,因此不需要在每次網(wǎng)絡(luò)設(shè)備需要被認證時就在網(wǎng)絡(luò)設(shè)備之間交換加密 密鑰����。由于加密密鑰與和群組標識符相關(guān)聯(lián)的實體群組相關(guān)聯(lián),因此需要
維護的加密密鑰更少�。此外,由于請求和群組標識符是一起被攜帶的��,因此不需要在網(wǎng)絡(luò)中 使用分離的資源預(yù)留和認證協(xié)議�。結(jié)果,為實現(xiàn)所需的預(yù)留和認證目的所 需的消息更少���,并且在過程中消耗的網(wǎng)絡(luò)帶寬更小�。在其他方面中,本發(fā)明包含被配置來執(zhí)行前述步驟的計算機裝置和計 算機可讀介質(zhì)����。2.0結(jié)構(gòu)和功能概述圖1是圖示系統(tǒng)ioo的概況的框圖,在該系統(tǒng)中組合的對等體發(fā)現(xiàn)��、認證和授權(quán)協(xié)議被用于徑上信令���。系統(tǒng)100包括網(wǎng)絡(luò)102���、源設(shè)備104、 目的地設(shè)備106和中間網(wǎng)絡(luò)設(shè)備108-118�����。這里所使用的術(shù)語"網(wǎng)絡(luò)設(shè) 備"包含了術(shù)語"網(wǎng)絡(luò)元件"��。網(wǎng)絡(luò)102可以是計算機網(wǎng)絡(luò)��,例如局域網(wǎng)(LAN)�、廣域網(wǎng)(WAN) 或者諸如因特網(wǎng)這樣的互聯(lián)網(wǎng)�����。中間網(wǎng)絡(luò)設(shè)備108-118可以是網(wǎng)絡(luò)元件, 例如網(wǎng)絡(luò)路由器����、網(wǎng)絡(luò)交換機、網(wǎng)橋����、網(wǎng)絡(luò)地址轉(zhuǎn)化器、防火墻等等���。中 間網(wǎng)絡(luò)設(shè)備108-118彼此可不相同�����。源設(shè)備104和目的地設(shè)備106可以是 任何種類的主機��。源設(shè)備104和目的地設(shè)備106可以是具有網(wǎng)絡(luò)接口的個 人計算機���。如圖1所示,源設(shè)備104只能經(jīng)由中間網(wǎng)絡(luò)設(shè)備108-118中的一個或 多個與目的地設(shè)備106通信�。因此,源設(shè)備104通過網(wǎng)絡(luò)102發(fā)送到目的 地設(shè)備106的數(shù)據(jù)分組經(jīng)過包含中間網(wǎng)絡(luò)設(shè)備108-118中的一個或多個的 某條路徑����。源設(shè)備104���、目的地設(shè)備106和中間網(wǎng)絡(luò)設(shè)備108-118中的至少一些 是一個群組的成員。不同的設(shè)備可以是不同群組的成員�����,并且一些設(shè)備可 以是不止一個群組的成員��。每個群組與一個不同的群組標識符相關(guān)聯(lián)�����。例 如����,中間網(wǎng)絡(luò)設(shè)備108、 IIO和118可以是群組標識符為"1"的群組的成 員���。中間網(wǎng)絡(luò)設(shè)備110-114可以是群組標識符為"2"的群組的成員���。中間 網(wǎng)絡(luò)設(shè)備112-116可以是群組標識符為"3"的群組的成員。中間網(wǎng)絡(luò)設(shè)備 114-118可以是群組標識符為"4"的群組的成員��。中間網(wǎng)絡(luò)設(shè)備116、 118
和108可以是群組標識符為"5"的群組的成員��。每個群組標識符與一個不同的共享秘密加密密鑰相關(guān)聯(lián)����。每個共享的 秘密加密密鑰被存儲在作為其群組標識符與該共享秘密加密密鑰相關(guān)聯(lián)的 群組的成員的設(shè)備的本地�。根據(jù)一個實施例, 一個共享秘密加密密鑰不會 被不是其群組標識符與該共享秘密加密密鑰相關(guān)聯(lián)的群組的成員的任何網(wǎng) 絡(luò)設(shè)備所擁有��。因此��,利用上述示例�����,與群組標識符"l"相關(guān)聯(lián)的加密密鑰將會被存儲在中間網(wǎng)絡(luò)設(shè)備108�、 110和118上,而不會被存儲在中 間網(wǎng)絡(luò)設(shè)備112匿116上����。在一個實施例中,每個中間網(wǎng)絡(luò)設(shè)備存儲有該設(shè)備上存儲的加密密鑰 和與這些加密密鑰相關(guān)聯(lián)的群組標識符之間的映射���。因此�����,利用上述示 例�,中間網(wǎng)絡(luò)設(shè)備108將會存儲三個不同的加密密鑰,第一加密密鑰和群 組標識符"1"之間的映射�,第二加密密鑰和群組標識符"2"之間的映 射,以及第三加密密鑰和群組標識符"6"之間的映射�����。在一個實施例中����,每個群組標識符還被映射到一個授權(quán)集合,或者 "授權(quán)集"����。不同的群組標識符可被映射到不同的授權(quán)集,并且一個特定 的授權(quán)集可被映射到不止一個群組標識符����。中間網(wǎng)絡(luò)設(shè)備108-118各自存 儲有這些設(shè)備所屬的群組的群組標識符和相應(yīng)的授權(quán)集之間的映射。根據(jù)一個實施例����,在源設(shè)備104向目的地設(shè)備106發(fā)送實質(zhì)數(shù)據(jù)之 前���,源設(shè)備104使用徑上信令協(xié)議來沿著實質(zhì)數(shù)據(jù)將通過其傳輸?shù)木W(wǎng)絡(luò)路 徑預(yù)留資源。這里討論的徑上信令協(xié)議被稱為"網(wǎng)絡(luò)層信令"(NLS)協(xié) 議��。NLS協(xié)議的一些特征在一個IETF網(wǎng)絡(luò)工作組因特網(wǎng)草案中公開����,該 因特網(wǎng)草案在本專利申請遞交之時是在以下URL找到的 http:〃www.ietf.org/intemet-drafts/draft-shore-nls-tl-OO.txt ����。 NLS協(xié)、i義通過 NLS消息機制工作��。NLS消息可被攜帶于較低層協(xié)議(例如IP)的數(shù)據(jù)分 組中�。下面提供NLS協(xié)議的一個使用示例。例如���,源設(shè)備104可在被尋址到與目的地設(shè)備106相關(guān)聯(lián)的IP地址的 IP分組內(nèi)發(fā)送NLS消息����。中間網(wǎng)絡(luò)設(shè)備108可截獲該IP分組��,確定IP分 組包含NLS消息����,并且確定在源設(shè)備104和中間網(wǎng)絡(luò)設(shè)備108之間是否需 要發(fā)生認證�����。
假定在這兩個設(shè)備之間不需要發(fā)生認證����,則中間網(wǎng)絡(luò)設(shè)備108可確定 包含在NLS消息中的請求�����。例如���,該請求可要求每個中間網(wǎng)絡(luò)設(shè)備為指定 數(shù)據(jù)流預(yù)留指定的資源��。中間網(wǎng)絡(luò)設(shè)備108可為該指定數(shù)據(jù)流分配所請求 的資源��,然后向在中間網(wǎng)絡(luò)設(shè)備108的路由選擇表中指示的與目的地IP地 址相關(guān)聯(lián)的下一跳轉(zhuǎn)發(fā)IP分組��。例如�,中間網(wǎng)絡(luò)設(shè)備108可向中間網(wǎng)絡(luò)設(shè) 備110轉(zhuǎn)發(fā)IP分組��。網(wǎng)絡(luò)108中的一些網(wǎng)絡(luò)設(shè)備可能識別不出NLS協(xié)議���。例如����,中間網(wǎng)絡(luò) 設(shè)備UO可能不能夠確定IP分組包含NLS消息。因此�����,中間網(wǎng)絡(luò)設(shè)備IIO 并不分配任何資源�����,而是可以簡單地向在中間網(wǎng)絡(luò)設(shè)備110的路由選擇表 中指示的與目的地IP地址相關(guān)聯(lián)的下一跳轉(zhuǎn)發(fā)IP分組����。例如����,中間網(wǎng)絡(luò) 設(shè)備IIO可向中間網(wǎng)絡(luò)設(shè)備112轉(zhuǎn)發(fā)IP分組。中間網(wǎng)絡(luò)設(shè)備112和114可能都是知曉NLS的����。此外,中間網(wǎng)絡(luò)設(shè)備 114可能是或者可能實現(xiàn)防火墻����。在檢查NLS消息后����,中間網(wǎng)絡(luò)設(shè)備114 可確定NLS消息中的請求要求在沿著路徑的每個防火墻中開放一個"小 孔"�,以便滿足指定標準的數(shù)據(jù)流能夠通過沿著路徑的每個防火墻。在中 間網(wǎng)絡(luò)設(shè)備114修改其策略以允許指定的網(wǎng)絡(luò)流量通過其被轉(zhuǎn)發(fā)之前���,中 間網(wǎng)絡(luò)設(shè)備114可與從其接收到NLS消息的設(shè)備(即中間網(wǎng)絡(luò)設(shè)備112) 進行相互認證過程�����。中間網(wǎng)絡(luò)設(shè)備112和114所進行的相互認證過程涉及兩個設(shè)備所屬的 群組的群組標識符�����。在這種情況下�,利用上述示例�,兩個設(shè)備相互屬于兩 個不同的群組群組"2"和群組"3"(指代這些群組的群組標識符)。 這些群組標識符之一被選擇并被用于相互認證過程中����。相互認證過程還涉 及映射到所選群組標識符的共享秘密加密密鑰。相互認證過程的一個實現(xiàn) 方式的示例在下文參考圖2描述。如果相互認證過程成功����,則在相互認證過程結(jié)束時,兩個中間網(wǎng)絡(luò)設(shè) 備112和114都能確信彼此的真實性�����。中間網(wǎng)絡(luò)設(shè)備114隨后基于存儲在 本地的映射選擇映射到在相互認證過程中使用的群組標識符的授權(quán)集��。中 間網(wǎng)絡(luò)設(shè)備114根據(jù)所選的授權(quán)集來判定NLS消息中所包含的請求是否落 在可進行的策略修改的邊界中�����。假定該請求是可允許的��,則中間網(wǎng)絡(luò)設(shè)備114按照請求中所指示的來修改其策略�����,然后將IP分組轉(zhuǎn)發(fā)到目的地設(shè)備106����。例如��,中間網(wǎng)絡(luò)設(shè)備114可通過為其防火墻策略制造一個例外并且通過向指定的數(shù)據(jù)流分配所請求的資源,來修改其策略�。目的地設(shè)備106接收該IP分組。根據(jù)一個實施例,數(shù)據(jù)流從源設(shè)備 104到目的地設(shè)備106所通過的網(wǎng)絡(luò)路徑可能不同于數(shù)據(jù)流從目的地設(shè)備 106返回源設(shè)備104所通過的網(wǎng)絡(luò)路徑。在這種實施例中����,目的地設(shè)備 106可向源設(shè)備104發(fā)送包含另一NLS消息的另一IP分組。盡管從源設(shè)備 104發(fā)送的IP分組可能經(jīng)過了包括中間網(wǎng)絡(luò)設(shè)備108�、 110��、 112和114的 路徑����,但從目的地設(shè)備106發(fā)送的IP分組則例如可能經(jīng)過包括中間網(wǎng)絡(luò)設(shè) 備114、 116���、 118和108的路徑���。從而,這里描述的技術(shù)可被用于預(yù)留資 源并認證沿著對稱或不對稱的路由的中間網(wǎng)絡(luò)設(shè)備����。即使在發(fā)送者(例如源設(shè)備104)在沿某條路由的中間網(wǎng)絡(luò)設(shè)備被認 證之前不知道該路由的情況下,這里描述的技術(shù)也可用于認證沿著該路由 的中間網(wǎng)絡(luò)設(shè)備�����。NLS消息執(zhí)行對等體發(fā)現(xiàn)功能。預(yù)先將中間網(wǎng)絡(luò)設(shè)備組 織成群組��,并且預(yù)先在可能成為彼此的下一跳的中間網(wǎng)絡(luò)設(shè)備之間共享秘 密加密密鑰�,這使得這種"自發(fā)"式認證成為可能。3.0實現(xiàn)示例圖2示出了圖示一種方法的一個實施例的流程圖200���,利用該方法兩 個中間網(wǎng)絡(luò)設(shè)備使用共享秘密加密密鑰和群組標識符來彼此認證����。例如��, 圖1所示的中間網(wǎng)絡(luò)設(shè)備108-118中的任何一個可執(zhí)行所示的方法���。該方法包含如上所述的相互認證過程���。參考圖2���,在方框102中��,在中間網(wǎng)絡(luò)設(shè)備處截獲一個或多個數(shù)據(jù)分組��。數(shù)據(jù)分組被尋址到與中間網(wǎng)絡(luò)設(shè)備相分離的目的地設(shè)備�����。例如�����,中間 網(wǎng)絡(luò)設(shè)備114可截獲中間網(wǎng)絡(luò)設(shè)備112發(fā)送的IP分組�。該IP分組可指定 與目的地設(shè)備106相關(guān)聯(lián)的目的地IP地址。在方框204中����,判定這些數(shù)據(jù)分組是否總體上包含NLS消息。繼續(xù)該 示例��,中間網(wǎng)絡(luò)設(shè)備114可判定IP分組是否包含NLS消息��。NLS消息例 如可由出現(xiàn)在每條NLS消息起始處的指定位模式來標識����。如果數(shù)據(jù)分組總
體上包含NLS消息,則控制傳遞到方框206�����。否則控制傳遞到方框226。在方框206中�����,選擇映射到群組標識符的秘密加密密鑰�。群組標識符 被包含在NLS消息中,但秘密加密密鑰沒有����。繼續(xù)該示例,中間網(wǎng)絡(luò)設(shè)備 114可參考存儲在本地的映射�,并且確定特定的加密密鑰與NLS消息中所 包含的群組標識符相關(guān)聯(lián)。如果NLS消息包含與中間網(wǎng)絡(luò)設(shè)備114所屬的 群組相對應(yīng)的不止一個群組標識符���,則中間網(wǎng)絡(luò)設(shè)備114可選擇這些群組 標識符之一作為"活動的"群組標識符�,并且忽略其他的群組標識符�����。在方框208中�����,生成對第一質(zhì)詢的第一響應(yīng)�。第一質(zhì)詢被包含在NLS 消息中。第一響應(yīng)是基于秘密加密密鑰和第一質(zhì)詢兩者來生成的�����。繼續(xù)該 示例��,第一質(zhì)詢可以是中間網(wǎng)絡(luò)設(shè)備112生成的隨機臨時詞(random nonce)���。中間網(wǎng)絡(luò)設(shè)備114可通過將"第一"NLS消息(包括第一質(zhì) 詢)和秘密加密密鑰兩者輸入到加密函數(shù)中來生成第一響應(yīng)��,該加密函數(shù) 例如是HMAC SHA1 (消息認證的密鑰化散列)�����。加密函數(shù)的輸出是第一 響應(yīng)���。在一個實施例中,加密函數(shù)被選擇為使得加密函數(shù)的輸入在數(shù)學(xué)上 無法從加密函數(shù)的輸出導(dǎo)出�����。在方框210中�����,生成第二質(zhì)詢。繼續(xù)該示例�,中間網(wǎng)絡(luò)設(shè)備114可生 成隨機臨時詞,并且用該臨時詞作為第二質(zhì)詢���。在方框212中��,NLS消息被發(fā)送到在方框202中截獲的數(shù)據(jù)分組所發(fā) 送自的上游設(shè)備��。該"第二" NLS消息包含群組標識符��、第一響應(yīng)和第二 質(zhì)詢����。繼續(xù)該示例�,中間網(wǎng)絡(luò)設(shè)備114可向中間網(wǎng)絡(luò)設(shè)備112發(fā)送這樣的 "第二" NLS消息。中間網(wǎng)絡(luò)設(shè)備112還存儲映射到群組標識符的秘密加密密鑰的拷貝����。 在從中間網(wǎng)絡(luò)設(shè)備114接收到"第二" NLS消息后,中間網(wǎng)絡(luò)設(shè)備112可 通過將以下兩者輸入到與中間網(wǎng)絡(luò)設(shè)備114用來生成第一響應(yīng)的加密函數(shù) 相同的加密函數(shù)中來驗證第一響應(yīng)的正確性(a)映射到群組標識符的 秘密加密密鑰�,以及(b)中間網(wǎng)絡(luò)設(shè)備112先前發(fā)送到中間網(wǎng)絡(luò)設(shè)備114 的"第一"NLS消息的拷貝。如果加密函數(shù)的輸出與第一響應(yīng)相匹配��,則 中間網(wǎng)絡(luò)設(shè)備112 "知道"中間網(wǎng)絡(luò)設(shè)備114是真實的�。中間網(wǎng)絡(luò)設(shè)備112可通過將接收自中間網(wǎng)絡(luò)設(shè)備114的"第二" NLS消息(包括第二質(zhì)詢)和秘密加密密鑰兩者輸入到加密函數(shù)中來生成對第 二質(zhì)詢的第二響應(yīng)��。加密函數(shù)的輸出是第二響應(yīng)����。中間網(wǎng)絡(luò)設(shè)備112可在"第三"NLS消息中將第二響應(yīng)和群組標識符兩者發(fā)送到中間網(wǎng)絡(luò)設(shè)備 114��。在方框214中����,接收NLS消息�。NLS消息包含第二響應(yīng)和群組標識 符。繼續(xù)該示例�����,中間網(wǎng)絡(luò)設(shè)備114可接收中間網(wǎng)絡(luò)設(shè)備112發(fā)送的"第 三"NLS消息�����。在方框216中����,生成驗證值。驗證值是基于以下兩者生成的(a)映 射到群組標識符的秘密加密密鑰和(b)第二質(zhì)詢�����。繼續(xù)該示例,中間網(wǎng) 絡(luò)設(shè)備114可通過將秘密加密密鑰和"第二" NLS消息(包括第二質(zhì)詢) 的拷貝兩者輸入到加密函數(shù)中來生成驗證值�����。加密函數(shù)的輸出是該驗證值���。在方框218中�,判定第二響應(yīng)是否與驗證值相匹配�����。例如���,中間網(wǎng)絡(luò) 設(shè)備114可將第二響應(yīng)與驗證值相比較�����。如果第二響應(yīng)與驗證值相匹配�����, 則中間網(wǎng)絡(luò)設(shè)備114 "知道"中間網(wǎng)絡(luò)設(shè)備112是真實的�,并將控制傳遞 到方框220。否則���,控制傳遞到方框228����。在方框220中���,選擇映射到群組標識符的授權(quán)集。繼續(xù)該示例���,中間 網(wǎng)絡(luò)設(shè)備114可參考存儲在本地的映射��,并確定特定的授權(quán)集被映射到該 群組標識符�����。在方框222中���,判定請求是否被該特定授權(quán)集所允許。該請求被包含 在最初在方框202中接收的NLS消息中����。例如���,如果該請求要求在防火墻 中開放"小孔"以允許滿足指定標準的數(shù)據(jù)流通過該防火墻,則中間網(wǎng)絡(luò) 設(shè)備114可根據(jù)該特定授權(quán)集來判定與指定標準相關(guān)聯(lián)的小孔是否是可允 許的���?���?赡苁沁@樣的情況�����,即授權(quán)集指示在防火墻中可開放一些小孔�����,但 只是針對滿足某個標準的數(shù)據(jù)流����,該標準可能窄于也可能不窄于請求中指 定的標準。又例如�����,如果該請求要求向滿足指定標準的數(shù)據(jù)流分配資源以便該數(shù) 據(jù)流至少將被給予某個QoS,則中間網(wǎng)絡(luò)設(shè)備114可根據(jù)該特定授權(quán)集來 判定這種資源的分配是否是可允許的??赡苁沁@樣的情況,即授權(quán)集指示 一些資源可被預(yù)留用于滿足指定標準的數(shù)據(jù)流��,但這些資源可能沒有請求 所要求的那么多��。從而����,不同的群組可在這些群組內(nèi)的實體被允許修改中間網(wǎng)絡(luò)設(shè)備的 策略的限度內(nèi)被允許以不同的特權(quán)。 一個群組內(nèi)的實體可能被允許對網(wǎng)絡(luò) 設(shè)備的策略進行大規(guī)模的改變���,而另一群組內(nèi)的實體可能只被允許對網(wǎng)絡(luò) 設(shè)備的策略進行較小的調(diào)整。如果該請求被該特定的授權(quán)集所允許����,則控制傳遞到方框224。否 則�,控制傳遞到方框228。在方框224中��,基于該請求配置中間網(wǎng)絡(luò)設(shè)備的策略��。例如����,如果該 請求要求中間設(shè)備114在實現(xiàn)在中間設(shè)備114上的防火墻中開放小孔��,則 中間設(shè)備114可調(diào)整其防火墻策略以便滿足該請求中指定的標準的數(shù)據(jù)流 將通過其被轉(zhuǎn)發(fā)��。又例如����,如果該請求要求中間設(shè)備114分配足以向指定 數(shù)據(jù)流給予指定QoS的資源��,則中間設(shè)備114可以為這種數(shù)據(jù)流分配像該 數(shù)據(jù)流給予指定QoS所必需的那么多的資源(例如帶寬)�。在方框226中,向目的地設(shè)備轉(zhuǎn)發(fā)在方框202中截獲的數(shù)據(jù)分組�。例 如,中間網(wǎng)絡(luò)設(shè)備114可向目的地設(shè)備116轉(zhuǎn)發(fā)最初截獲的IP分組���。在此 之前���,中間網(wǎng)絡(luò)設(shè)備可修改IP分組內(nèi)所包含的NLS消息,如果該IP分組 包含NLS消息的話���?����;蛘?���,在方框228中,拒絕原始NLS消息中所包含的請求���。例如��,中 間網(wǎng)絡(luò)設(shè)備114可拒絕按照請求所要求的來修改其策略(例如防火墻和/或 資源分配)�。從而���,資源預(yù)留��、認證和授權(quán)可經(jīng)由單個徑上信令協(xié)議的消息來處 理�����,從而使得無需使用若干個不同的協(xié)議來執(zhí)行這些功能。由于請求和群 組標識符可一起被攜帶在同一消息內(nèi)����,因此在一個實施例中,在網(wǎng)絡(luò)中不 需要使用分離的資源預(yù)留和認證協(xié)議��。結(jié)果,實現(xiàn)所需的預(yù)留和認證目的 所需的消息更少��,并且過程中消耗的網(wǎng)絡(luò)帶寬更小�����。群組密鑰的使用使得即使在預(yù)先不知道"下一跳"時以及在網(wǎng)絡(luò)拓撲 變化時前述技術(shù)也能成功工作����。所需的加密密鑰更少。使用單個協(xié)議而不 是許多協(xié)議降低了管理復(fù)雜度����。
由于非常細化和特定的授權(quán)集可與群組標識符相關(guān)聯(lián),因此授權(quán)的粒 度很細��。由于群組標識符通過網(wǎng)絡(luò)被傳輸����,因此授權(quán)集本身不需要通過網(wǎng) 絡(luò)被傳輸。圖3示出了圖示一種方法的替換實施例的流程圖���。參考圖3�,在方框 302中��,截獲總體上包含請求的一個或多個數(shù)據(jù)分組。在方框304中�,從 一個或多個加密密鑰中選擇出特定加密密鑰。在方框306中��,向上游設(shè)備 發(fā)送質(zhì)詢�����。在方框308中�����,接收響應(yīng)���。在方框310中����,基于該特定加密密 鑰和質(zhì)詢生成驗證值���。在方框312中,判定響應(yīng)是否與驗證值相匹配�。如 果響應(yīng)與驗證值相匹配,則控制傳遞到方框316���。否則�,控制傳遞到方框 322。在方框316中��,從一個或多個授權(quán)集中選擇出特定的授權(quán)集�����。在方 框318中�����,判定該請求是否被該特定授權(quán)集所允許���。如果該請求被該特定 授權(quán)集所允許���,則控制傳遞到方框320。否則�����,控制傳遞到方框322�。在 方框320中,響應(yīng)于判定該請求被該特定授權(quán)集所允許�,基于該請求配置 中間網(wǎng)絡(luò)設(shè)備��?;蛘?���,在方框322中,拒絕該請求��,并且不基于該請求配 置中間網(wǎng)絡(luò)設(shè)備����。4.0實現(xiàn)機構(gòu)-硬件概述圖4是圖示其上可實現(xiàn)本發(fā)明的一個實施例的計算機系統(tǒng)400的框 圖。優(yōu)選實施例是利用運行在諸如路由器設(shè)備這樣的網(wǎng)絡(luò)元件上的一個或 多個計算機程序?qū)崿F(xiàn)的�。從而,在該實施例中����,計算機系統(tǒng)400是路由 器。計算機系統(tǒng)400包括用于傳輸信息的總線402或其他通信機構(gòu)和與總 線402相耦合用于處理信息的處理器404���。計算機系統(tǒng)400還包括諸如隨 機存取存儲器(RAM)��、閃存或其他動態(tài)存儲設(shè)備之類的主存儲器406��, 其耦合到總線402�����,用于存儲信息和處理器404要執(zhí)行的指令�����。主存儲器 406還可用于存儲在處理器404執(zhí)行指令期間的臨時變量或其他中間信 息���。計算機系統(tǒng)400還包括只讀存儲器(ROM) 408或其他靜態(tài)存儲設(shè) 備,其耦合到總線402���,用于存儲靜態(tài)信息和處理器404的指令���。提供了 諸如磁盤、閃存或光盤之類的存儲設(shè)備410���,其耦合到總線402�,用于存 儲信息和指令���。通信接口 418可以耦合到總線402��,以用于將信息和命令選擇傳輸?shù)?處理器404�。接口 418是傳統(tǒng)串行接口,例如RS-232或RS-422接口�。外 部終端412或其他計算機系統(tǒng)連接到計算機系統(tǒng)400,并利用接口 414向 其提供命令���。運行在計算機系統(tǒng)400中的固件或軟件提供終端接口或基于 字符的命令接口���,以便外部命令可被提供給計算機系統(tǒng)。交換系統(tǒng)416耦合到總線402����,并具有到一個或多個外部網(wǎng)絡(luò)元件的 輸入接口 414和輸出接口 419。外部網(wǎng)絡(luò)元件可包括耦合到一個或多個主 機424的本地網(wǎng)絡(luò)422�,或者諸如因特網(wǎng)428這樣的具有一個或多個服務(wù) 器430的全局網(wǎng)絡(luò)。交換系統(tǒng)416根據(jù)公知的預(yù)定協(xié)議和慣例將到達輸入 接口 414的信息流量交換到輸出接口 419����。例如,交換系統(tǒng)416與處理器 404合作�,可確定到達輸入接口 414的數(shù)據(jù)分組的目的地,并利用輸出接 口 419將其發(fā)送到正確的目的地�����。目的地可包括主機424、服務(wù)器430����, 其他末端站,或者本地網(wǎng)絡(luò)422或因特網(wǎng)428中的其他路由選擇和交換設(shè) 備����。本發(fā)明涉及將計算機系統(tǒng)400用于計算機系統(tǒng)400上的安全網(wǎng)絡(luò)設(shè)備 策略配置�。根據(jù)本發(fā)明的一個實施例,計算機系統(tǒng)400響應(yīng)于處理器404 執(zhí)行包含在主存儲器406中的一條或多條指令的一個或多個序列而提供這 種配置���。這種指令可以被從另一計算機可讀介質(zhì)(如存儲設(shè)備410)讀取 到主存儲器406中�����。包含在主存儲器406中的指令序列的執(zhí)行使得處理器 404執(zhí)行這里描述的過程步驟�����。多處理配置中的一個或多個處理器也可被 用來執(zhí)行包含在主存儲器406中的指令序列�����。在替換實施例中����,可以使用 硬線電路來替代軟件指令或與軟件指令相結(jié)合以實現(xiàn)本發(fā)明。從而���,本發(fā) 明的實施例并不限于硬件電路和軟件的任何特定組合���。這里所用的術(shù)語"計算機可讀介質(zhì)"指參與向處理器404提供指令以 供執(zhí)行的任何介質(zhì)。這種介質(zhì)可以采取許多形式�����,包括但不限于非易失 性介質(zhì)�、易失性介質(zhì)和傳輸介質(zhì)。非易失性介質(zhì)例如包括光盤或磁盤����,如 存儲設(shè)備410。易失性介質(zhì)包括動態(tài)存儲器��,如主存儲器406���。傳輸介質(zhì) 包括同軸電纜�、銅線和光纖�����,包括含總線402的線路。傳輸介質(zhì)也可以采
取聲波或光波的形式���,例如在無線電波和紅外數(shù)據(jù)通信期間生成的聲波或 光波��。計算機可讀介質(zhì)的常見形式例如包括軟盤�����、柔性盤、硬盤���、磁帶或任何其他磁介質(zhì)��,CD-ROM���、任何其他光介質(zhì),穿孔卡�、紙帶、任何其他具 有孔圖案的物理介質(zhì)���,RAM����、 PROM禾B EPROM、 FLASH-EPROM�、任何其他存儲器芯片或卡盤,下文中描述的載波�����,或者計算機可以讀取的任何 其他介質(zhì)�。計算機可讀介質(zhì)的各種形式可用于將一條或多條指令的一個或多個序 列傳送到處理器404以供執(zhí)行。例如���,指令可以首先承載在遠程計算機的 磁盤上����。遠程計算機可以將指令加載到其動態(tài)存儲器中����,并利用調(diào)制解調(diào) 器經(jīng)由電話線發(fā)送指令。計算機系統(tǒng)400本地的調(diào)制解調(diào)器可以接收電話 線上的數(shù)據(jù)��,并使用紅外發(fā)射器來將數(shù)據(jù)轉(zhuǎn)換為紅外信號����。耦合到總線 402的紅外檢測器可以接收在紅外信號中攜帶的數(shù)據(jù)����,并且將數(shù)據(jù)置于總 線402上��??偩€402將數(shù)據(jù)傳送到主存儲器406,處理器404從主存儲器 406取得指令并執(zhí)行指令����。主存儲器406接收的指令可以可選地在處理器 404執(zhí)行之前或之后存儲到存儲設(shè)備410上。通信接口 418還提供到連接到本地網(wǎng)絡(luò)422的網(wǎng)絡(luò)鏈路420的雙向數(shù) 據(jù)通信耦合���。例如,通信接口 418可以是綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)(ISDN)卡或 調(diào)制解調(diào)器���,以提供到相應(yīng)類型電話線的數(shù)字通信連接�����。又例如���,通信接 口 418可以是局域網(wǎng)(LAN)卡,以提供到兼容LAN的數(shù)據(jù)通信連接�。 也可以實現(xiàn)無線鏈路��。在任何這種實現(xiàn)方式中�����,通信接口 418發(fā)送并接收 電的���、電磁的或光信號,這些信號攜帶了代表各種類型信息的數(shù)字數(shù)據(jù) 流��。網(wǎng)絡(luò)鏈路420 —般經(jīng)過一個或多個網(wǎng)絡(luò)提供到其他數(shù)據(jù)設(shè)備的數(shù)據(jù)通 信���。例如�,網(wǎng)絡(luò)鏈路420可以經(jīng)過本地網(wǎng)絡(luò)422提供到主機計算機424或 由因特網(wǎng)服務(wù)供應(yīng)商(ISP) 426操作的數(shù)據(jù)設(shè)備的連接�。ISP 426進而又 經(jīng)過全球分組數(shù)據(jù)通信網(wǎng)絡(luò)(現(xiàn)在通常稱為"因特網(wǎng)"428)提供數(shù)據(jù)通 信服務(wù)。本地網(wǎng)絡(luò)422和因特網(wǎng)428都使用攜帶數(shù)字數(shù)據(jù)流的電的�����、電磁 的或光信號���。經(jīng)過各種網(wǎng)絡(luò)的信號和在網(wǎng)絡(luò)鏈路420上并經(jīng)過通信接口418的信號(這些信號攜帶去往和來自計算機系統(tǒng)400的數(shù)字數(shù)據(jù))是傳 輸信息的載波的示例性形式�。計算機系統(tǒng)400可以經(jīng)過網(wǎng)絡(luò)、網(wǎng)絡(luò)鏈路420和通信接口 418發(fā)送消 息并接收數(shù)據(jù)����,包括程序代碼。在因特網(wǎng)示例中���,服務(wù)器430可以經(jīng)過因 特網(wǎng)428�����、 ISP 426�����、本地網(wǎng)絡(luò)422和通信接口 418傳輸應(yīng)用程序的請求代 碼�����。根據(jù)本發(fā)明, 一個這樣下載的應(yīng)用程序提供了如這里所述的安全網(wǎng)絡(luò) 設(shè)備策略配置��。接收到的代碼可以在接收時被處理器404執(zhí)行���,和/或被存儲在存儲設(shè) 備410或其他非易失性存儲介質(zhì)中以供后續(xù)執(zhí)行����。以這種方式,計算機系 統(tǒng)400可以獲得載波形式的應(yīng)用代碼�。5.0擴展和替換在前述說明書中,已參考特定實施例描述了本發(fā)明�。但是,應(yīng)當清 楚����,在不脫離本發(fā)明更寬廣的精神和范圍的前提下,可以進行各種修改和 改變�����。因此�,說明書和附圖都應(yīng)當認為是示例性的,而非限制性的�。
權(quán)利要求
1. 一種用于安全網(wǎng)絡(luò)設(shè)備策略配置的方法,該方法包括以下由計算機 實現(xiàn)的步驟在中間網(wǎng)絡(luò)設(shè)備處截獲一個或多個數(shù)據(jù)分組��,該一個或多個數(shù)據(jù)分組 (a)被尋址到不同于所述中間網(wǎng)絡(luò)設(shè)備的目的地設(shè)備�,(b)總體上包含 請求,并且(C)總體上包含群組標識符����;從所述中間網(wǎng)絡(luò)設(shè)備處存儲的一個或多個加密密鑰中,選擇映射到所 述群組標識符的特定加密密鑰;向?qū)⑺鲆粋€或多個數(shù)據(jù)分組發(fā)送到所述中間網(wǎng)絡(luò)設(shè)備的上游設(shè)備發(fā)送包含第一質(zhì)詢的第一消息��;接收包含第一響應(yīng)的第二消息����;基于(a)所述特定加密密鑰和(b)所述第一質(zhì)詢來生成驗證值; 判定所述第一響應(yīng)是否與所述驗證值相匹配����;以及 響應(yīng)于確定所述第一響應(yīng)與所述驗證值相匹配,執(zhí)行包括以下步驟在 內(nèi)的特定步驟從一個或多個授權(quán)集中選擇映射到所述群組標識符的特定授權(quán)集���;判定所述請求是否被所述特定授權(quán)集所允許�;以及 響應(yīng)于確定所述請求被所述特定授權(quán)集所允許���,基于所述請求來 配置所述中間網(wǎng)絡(luò)設(shè)備的策略�。
2. 如權(quán)利要求1所述的方法��,還包括以下步驟基于(a)所述特定加 密密鑰以及(b)總體上包含在所述一個或多個數(shù)據(jù)分組中的第二質(zhì)詢來 生成第二響應(yīng)�����;其中所述第一消息包含所述第二響應(yīng)�����。
3. 如權(quán)利要求1所述的方法����,其中所述一個或多個數(shù)據(jù)分組不包含所 述特定加密密鑰。
4. 如權(quán)利要求1所述的方法���,其中所述特定步驟還包括 向所述目的地設(shè)備發(fā)送所述一個或多個數(shù)據(jù)分組�。
5. 如權(quán)利要求1所述的方法����,其中配置所述中間網(wǎng)絡(luò)設(shè)備的策略的步驟包括配置防火墻以允許轉(zhuǎn)發(fā)滿足所述請求中指定的標準的每個數(shù)據(jù)流。
6. 如權(quán)利要求1所述的方法��,其中配置所述中間網(wǎng)絡(luò)設(shè)備的策略的步 驟包括配置所述中間網(wǎng)絡(luò)設(shè)備以向滿足所述請求中指定的標準的每個數(shù)據(jù) 流提供至少與所述請求中指定的服務(wù)質(zhì)量一樣高的服務(wù)質(zhì)量�����。
7. 如權(quán)利要求1所述的方法��,還包括判定所述一個或多個數(shù)據(jù)分組是否總體上包含特定種類的消息�����;其中所述發(fā)送所述第一消息的步驟是響應(yīng) 于確定所述一個或多個數(shù)據(jù)分組總體上包含所述特定種類的消息而執(zhí)行 的。
8. —種用于安全網(wǎng)絡(luò)設(shè)備策略配置的裝置�,包括用于在中間網(wǎng)絡(luò)設(shè)備處截獲一個或多個數(shù)據(jù)分組的裝置,該一個或多個數(shù)據(jù)分組(a)被尋址到不同于所述中間網(wǎng)絡(luò)設(shè)備的目的地設(shè)備����,(b) 總體上包含請求,并且(c)總體上包含群組標識符���;用于從所述中間網(wǎng)絡(luò)設(shè)備處存儲的一個或多個加密密鑰中�,選擇映射 到所述群組標識符的特定加密密鑰的裝置�����;用于向?qū)⑺鲆粋€或多個數(shù)據(jù)分組發(fā)送到所述中間網(wǎng)絡(luò)設(shè)備的上游設(shè) 備發(fā)送包含第一質(zhì)詢的第一消息的裝置���;用于接收包含第一響應(yīng)的第二消息的裝置����,-用于基于(a)所述特定加密密鑰和(b)所述第-一質(zhì)詢來生成驗證值 的裝置����;用于判定所述第一響應(yīng)是否與所述驗證值相匹配的裝置;以及用于響應(yīng)于確定所述第一響應(yīng)與所述驗證值相匹配而從一個或多個授 權(quán)集中選擇映射到所述群組標識符的特定授權(quán)集的裝置��;用于響應(yīng)于確定所述第一響應(yīng)與所述驗證值相匹配而判定所述請求是 否被所述特定授權(quán)集所允許的裝置;以及用于響應(yīng)于確定所述第一響應(yīng)與所述驗證值相匹配�,并且響應(yīng)于確定 所述請求被所述特定授權(quán)集所允許�����,而基于所述請求來配置所述中間網(wǎng)絡(luò) 設(shè)備的策略的裝置�����。
9. 如權(quán)利要求8所述的裝置�,還包括用于基于(a)所述特定加密密鑰 以及(b)總體上包含在所述一個或多個數(shù)據(jù)分組中的第二質(zhì)詢來生成第 二響應(yīng)的裝置;其中所述第一消息包含所述第二響應(yīng)����。
10. 如權(quán)利要求8所述的裝置,其中所述一個或多個數(shù)據(jù)分組不包含所述特定加密密鑰�����。
11. 如權(quán)利要求8所述的裝置���,還包括用于響應(yīng)于確定所述第一響應(yīng) 與所述驗證值相匹配而向所述目的地設(shè)備發(fā)送所述一個或多個數(shù)據(jù)分組的 裝置�。
12. 如權(quán)利要求8所述的裝置����,其中所述用于配置所述中間網(wǎng)絡(luò)設(shè)備 的策略的裝置包括用于配置防火墻以允許轉(zhuǎn)發(fā)滿足所述請求中指定的標準 的每個數(shù)據(jù)流的裝置���。
13. 如權(quán)利要求8所述的裝置,其中所述配置所述中間網(wǎng)絡(luò)設(shè)備的策 略的裝置包括用于配置所述中間網(wǎng)絡(luò)設(shè)備以向滿足所述請求中指定的標準 的每個數(shù)據(jù)流提供至少與所述請求中指定的服務(wù)質(zhì)量一樣高的服務(wù)質(zhì)量的 裝置��。
14. 如權(quán)利要求8所述的裝置�,還包括用于判定所述一個或多個數(shù)據(jù) 分組是否總體上包含特定種類的消息的裝置;其中所述用于發(fā)送所述第一 消息的裝置是用于響應(yīng)于確定所述一個或多個數(shù)據(jù)分組總體上包含所述特 定種類的消息而發(fā)送所述第一消息的裝置���。
15. —種用于安全網(wǎng)絡(luò)設(shè)備策略配置的裝置�,包括 耦合到數(shù)據(jù)網(wǎng)絡(luò)以從其接收一個或多個分組流的網(wǎng)絡(luò)接口��; 處理器��;一個或多個存儲的指令序列��,這些指令在被所述處理器執(zhí)行時���,使得 所述處理器執(zhí)行以下步驟在中間網(wǎng)絡(luò)設(shè)備處截獲一個或多個數(shù)據(jù)分組����,該一個或多個數(shù)據(jù) 分組(a)被尋址到不同于所述中間網(wǎng)絡(luò)設(shè)備的目的地設(shè)備��,(b)總 體上包含請求,并且(c)總體上包含群組標識符�;從所述中間網(wǎng)絡(luò)設(shè)備處存儲的一個或多個加密密鑰中,選擇映射 到所述群組標識符的特定加密密鑰���;向?qū)⑺鲆粋€或多個數(shù)據(jù)分組發(fā)送到所述中間網(wǎng)絡(luò)設(shè)備的上游設(shè) 備發(fā)送包含第一質(zhì)詢的第一消息; 接收包含第一響應(yīng)的第二消息����;基于(a)所述特定加密密鑰和(b)所述第一質(zhì)詢來生成驗證值;判定所述第一響應(yīng)是否與所述驗證值相匹配���;以及 響應(yīng)于確定所述第一響應(yīng)與所述驗證值相匹配�����,執(zhí)行包括以下步 驟在內(nèi)的特定步驟從 一個或多個授權(quán)集中選擇映射到所述群組標識符的特定授 權(quán)集�����;判定所述請求是否被所述特定授權(quán)集所允許�;以及 響應(yīng)于確定所述請求被所述特定授權(quán)集所允許����,基于所述請 求來配置所述中間網(wǎng)絡(luò)設(shè)備的策略�。
16. 如權(quán)利要求15所述的裝置�,還包括在被所述處理器執(zhí)行時使得所 述處理器執(zhí)行以下步驟的指令基于(a)所述特定加密密鑰以及(b)總 體上包含在所述一個或多個數(shù)據(jù)分組中的第二質(zhì)詢來生成第二響應(yīng);其中 所述第一消息包含所述第二響應(yīng)�����。
17. 如權(quán)利要求15所述的裝置��,其中所述一個或多個數(shù)據(jù)分組不包含 所述特定加密密鑰�。
18. 如權(quán)利要求15所述的裝置,其中所述特定步驟還包括向所述目的 地設(shè)備發(fā)送所述一個或多個數(shù)據(jù)分組��。
19. 如權(quán)利要求15所述的裝置����,其中所述用于配置所述中間網(wǎng)絡(luò)設(shè)備 的策略的指令包括用于配置防火墻以允許轉(zhuǎn)發(fā)滿足所述請求中指定的標準 的每個數(shù)據(jù)流的指令。
20. 如權(quán)利要求15所述的裝置�,其中所述用于配置所述中間網(wǎng)絡(luò)設(shè)備的策略的指令包括用于配置所述中間網(wǎng)絡(luò)設(shè)備以向滿足所述請求中指定的 標準的每個數(shù)據(jù)流提供至少與所述請求中指定的服務(wù)質(zhì)量一樣高的服務(wù)質(zhì) 量的指令。
21. 如權(quán)利要求15所述的裝置����,還包括在被所述處理器執(zhí)行時使得所 述處理器執(zhí)行以下步驟的指令判定所述一個或多個數(shù)據(jù)分組是否總體上 包含特定種類的消息;其中所述發(fā)送所述第一消息的步驟是響應(yīng)于確定所 述一個或多個數(shù)據(jù)分組總體上包含所述特定種類的消息而執(zhí)行的����。 22.—種數(shù)據(jù)處理方法���,包括 截獲總體上包含請求的一個或多個數(shù)據(jù)分組; 從一個或多個加密密鑰中選擇特定加密密鑰���; 向上游設(shè)備發(fā)送第一質(zhì)詢��; 接收第一響應(yīng)����;基于所述特定加密密鑰和所述第一質(zhì)詢來生成驗證值����;判定所述第一響應(yīng)是否與所述驗證值相匹配����;以及響應(yīng)于確定所述第一響應(yīng)與所述驗證值相匹配,從一個或多個授權(quán)集 中選擇特定授權(quán)集�;判定所述請求是否被所述特定授權(quán)集所允許;以及響 應(yīng)于確定所述請求被所述特定授權(quán)集所允許����,基于所述請求來配置中間網(wǎng) 絡(luò)設(shè)備。
全文摘要
公開了用于加密對等體發(fā)現(xiàn)、認證和授權(quán)的方法���。根據(jù)一個實施例�,被尋址到目的地地址而不是中間網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)分組在中間網(wǎng)絡(luò)設(shè)備處被截獲�。數(shù)據(jù)分組包含請求和群組標識符。選擇映射到該群組標識符的共享秘密加密密鑰��。向數(shù)據(jù)分組所源自的上游設(shè)備發(fā)送質(zhì)詢�。接收響應(yīng)?����;诩用苊荑€和質(zhì)詢生成驗證值�����。判定響應(yīng)是否與驗證值相匹配���。如果響應(yīng)與驗證值相匹配����,則判定請求是否被映射到群組標識符的授權(quán)集所允許�。如果請求被允許���,則基于該請求配置中間網(wǎng)絡(luò)設(shè)備的策略。
文檔編號G06F15/16GK101147141SQ200680008970
公開日2008年3月19日 申請日期2006年3月22日 優(yōu)先權(quán)日2005年4月26日
發(fā)明者大衛(wèi)·A·麥格魯, 麥琳達·L·肖爾 申請人:思科技術(shù)公司