Способ обеспечения сопоставлений безопасности для зашифрованных пакетных данных

Способ обеспечения сопоставлений безопасности для зашифрованных пакетных данных

Иллюстрации

Показать все

Реферат

Область техники, к которой относится изобретение

[0001] Изобретение относится в общем к защищенной передаче пакетов в системе связи и более конкретно к обеспечению сопоставлений безопасности для зашифрованных пакетных данных.

Уровень техники

[0002] Сегодня, во многих случаях, когда конечная точка источника отправляет информацию к конечной точке назначения, данная информация может проходить через незащищенную сеть, такую как Интернет. В зависимости от характера информации она может нуждаться в защите одним или более путями. Например, конечные точки могут осуществлять одну или более основных услуг безопасности, таких как конфиденциальность, аутентификация и т.д., причем конфиденциальность (например, использование алгоритмов шифрования/дешифрования) обеспечивает приватность информации и применяется к информации так, что та способна быть понятой только назначенным получателем, а аутентификация представляет собой процесс, оценивающий подлинность источника и получателя информации.

[0003] Для обеспечения основных услуг безопасности может быть использовано некоторое количество существующих протоколов безопасности. Одним таким набором протоколов являются протоколы обеспечения безопасности передачи протоколов Интернета (IPsec), определенные в некотором количестве документов по стандартам, специфицированных посредством проблемной группы проектирования Интернета (IETF) (см., например, http://www.ietf.org). В соответствии с этими существующими протоколами, включающими в себя протоколы IPsec, с целью обеспечения защиты конечной точкой информации, которую та отправляет на какую-либо другую конечную точку (или, наоборот, с целью приема и дешифрования защищенной информации от какой-либо конечной точки), должно быть установлено сопоставление безопасности (SA). SA, в том виде, в котором данный термин используется в настоящем документе, содержит элементы, описывающие протоколы и параметры (такие, как ключи и алгоритмы), используемые конечной точкой для обеспечения защиты информации или трафика, проходящего в одном направлении. Таким образом, при обычном двунаправленном трафике потоки защищаются посредством пары SA. Элементы SA сохраняются в базе данных сопоставлений безопасности (SAD). Эти элементы SA включают в себя, например, но не ограничиваются этим, индекс параметра безопасности, адрес источника, адрес пункта назначения, параметры безопасности, такие как идентификатор (ID) протокола безопасности, один или более ID ключей, один или более ID алгоритмов, и т.д., обеспечивающие конечной точке возможность определения, как осуществлять шифрование/дешифрование и/или аутентификацию информации, отправленной на или от какой-либо другой конечной точки.

[0004] Существуют два способа для поставки SA в конечную точку. Первый способ представляет собой ручную поставку, например, с использованием загрузчика переменных ключей (KVL). Однако этот способ является практически осуществимым только, когда существует ограниченное количество элементов SA, назначенных к поставке, и когда эти элементы не меняются с течением времени. Однако многие системы сконфигурированы с помощью конечной точки инфраструктуры (например, сервера или шлюза), осуществляющей связь с сотнями или даже тысячами конечных точек (например, абонентских блоков, компьютерных терминалов и т.д.), имеющих адреса, которые могут меняться с течением времени, причем ручная поставка SA в конечные точки инфраструктуры для всех конечных точек в системе не является практически осуществимой. В этих конфигурациях системы существует необходимость во втором способе динамической поставки.

[0005] Одним таким способом динамической поставки является осуществление хорошо известного протокола безопасного обмена в Интернете (IKE), определенного в запросе на комментарии (RFC) 4306, опубликованном в декабре 2005, причем две конечные точки согласовывают элементы SA через обмен сигнальными сообщениями. Недостатком протокола IKE, однако, является то, что на радиочастотные ресурсы или ширину полосы пропускания в системе оказывается негативное влияние, когда в системе существуют большие количества пользователей конечных точек по причине количества сообщений, необходимых к обмену с целью установления всех сопоставлений SA. Эта проблема значительно возрастает в системах, использующих узкополосные линии связи. Более того, когда в системе существуют большие количества пользователей конечных точек, база данных SAD в конечной точке инфраструктуры может быстро стать неуправляемой. В этом случае единственным практически осуществимым решением становится система управления симметричными ключами, где сопоставления безопасности обеспечиваются от центрального сервера, такого как средство управления ключами (KMF).

[0006] Когда для данных с управлением симметричными ключами используется шифрование в режиме туннелирования, входные данные базы данных сопоставлений безопасности и базы данных политик безопасности должны устанавливаться индивидуально для каждой конечной точки туннеля, и каждая конечная точка туннеля может поддерживать множество хостов данных, каждый требующего отдельного сопоставления безопасности. Там, где в наличии имеются тысячи мобильных устройств в системе, поддерживающей сквозную передачу данных E2E (из конца в конец), это, таким образом, требует конфигурирования тысяч индивидуальных установок безопасности, что не является практически осуществимым при использовании управления симметричными ключами, предоставляемого средством управления ключами (KMF). Специалистам в данной области техники будет в полной мере понятно, что текущие модули шифрования могут иметь конечное ограничение в количестве сопоставлений, которых они поддерживают, например, в несколько сотен. Управление симметричными ключами используется мобильными радиосистемами и специфицировано в стандартах (например, в рекомендации 11 SFPG для TETRA).

[0007] В соответствии с этим существует необходимость в способе обеспечения сопоставлений безопасности для зашифрованных пакетных данных.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0008] Сопроводительные чертежи, где схожие опорные обозначения относятся к идентичным или функционально схожим элементам на протяжении отдельных видов, вместе с подробным описанием ниже являются полностью включенными в описание и составляют его часть, а также служат для дополнительного иллюстрирования вариантов осуществления понятий, включающих в себя заявленное изобретение, и поясняют различные принципы и преимущества данных вариантов осуществления.

[0009] Фиг. 1 представляет собой структурную диаграмму системы связи.

[0010] Фиг. 2 представляет собой структурную диаграмму конечной точки инфраструктуры.

[0011] Фиг. 3 представляет собой блок-схему последовательности операций способа для защищенной передачи пакетов в соответствии с некоторыми вариантами осуществления.

[0012] Фиг. 4 представляет собой блок-схему последовательности операций способа формирования сопоставления безопасности в соответствии с некоторыми вариантами осуществления.

[0013] Фиг. 5 иллюстрирует диаграмму адресации в соответствии с некоторыми вариантами осуществления.

[0014] Специалисты в данной области техники в полной мере поймут, что элементы на чертежах проиллюстрированы для простоты и ясности, и не обязательно были вычерчены в масштабе. Например, размеры некоторых элементов на чертежах могут быть увеличены относительно других элементов для улучшения понимания вариантов осуществления настоящего изобретения.

[0015] В соответствующих случаях компоненты способа и устройства были представлены посредством условных обозначений на чертежах, демонстрируя только те конкретные детали, которые непосредственно относятся к пониманию вариантов осуществления настоящего изобретения, с тем, чтобы не затруднять понимание раскрытия изобретения наличием деталей, явно очевидных для специалистов в данной области техники, имеющих преимущество описания в настоящем документе.

ПОДРОБНОЕ ОПИСАНИЕ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ

[0016] Специалистам в данной области техники будет в полной мере понятно, что множество адресов конечных точек назначения могут требовать использования одного и того же адреса конечной точки туннеля и что за каждым может существовать множество комбинаций адресов конечных точек туннеля с адресами пунктов назначения. Обычно, даже следуя схеме с использованием поставки от KMF, для конфигурирования каждого устройства шифрования может требоваться множество сообщений управления ключами, и в сети может существовать множество сотен этих устройств. Требуется простое средство обеспечения устройства, выполняющего шифрование с помощью средства наполнения его SAD адресами конечных точек туннеля, сопоставленными с адресами пунктов назначения, которое использует как можно меньшее количество сообщений KMM, поскольку они могут добавлять излишнюю нагрузку на сеть.

[0017] В соответствии с некоторыми вариантами осуществления, обеспеченными в настоящем документе, способ для обеспечения сопоставлений безопасности для одного или более зашифрованных пакетов данных включает в себя управление конечной точкой источника с целью: определения набора адресов хостов назначения для сопоставления безопасности, назначенного к применению; определения смещения адреса; вычисления диапазона адресов конечных точек безопасности из диапазона адресов хостов назначения с использованием смещения адреса; и применения данного сопоставления безопасности к одному или более зашифрованным пакетам данных, назначенным для, по меньшей мере, одного адреса хоста назначения, предназначенного к отправке через посредство вычисленной конечной точки безопасности в диапазоне адресов конечных точек безопасности.

[0018] Фиг. 1 представляет собой структурную диаграмму системы 100 связи. Например, система 100 связи может представлять собой систему, совместимую со стандартом 25 Международной ассоциации официальных представителей служб связи органов общественной безопасности (APCO), или систему, совместимую со стандартом наземной транкинговой радиосвязи (TETRA). Система 100 связи содержит средство 108 управления ключами (KMF), шлюз 110 шифрования данных (DEG), один или более серверов 112 информационных приложений (DAS), мобильный терминал 104 данных (MDT), шлюз 105 шифрования мобильной связи (MEG) и абонентский блок 106 (SU). В контексте идей, изложенных в настоящем документе, мы предположим, что терминал 104 MDT и шлюз 105 MEG осуществляют связь друг с другом в защищенной сети; таким образом, линия 116 связи между терминалом 104 MDT и блоком 106 SU представляет собой незащищенную линию связи, подразумевая, что для отправки пакетов по этой линии связи не осуществляется никакого протокола безопасности. Схожим образом, шлюз 110 DEG и сервер(ы) 112 DAS осуществляют связь друг с другом в защищенной сети; таким образом, линия 114 связи между шлюзом 110 DEG и сервером(ами) 112 DAS также представляет собой незащищенную линию связи.

[0019] Однако, когда приложению на сервере 112 информационных приложений необходимо осуществить связь с приложением на терминале 104 MDT, и наоборот, отправляемые между ними пакеты проходят по трактам 117 и 118 через незащищенную сеть 102. Таким образом, устройствами (например, конечными точками 105 и 110) в системе 100 используется протокол безопасности для обеспечения обработки по обеспечению безопасности с целью генерирования защищенных пакетов, которые отправляются между устройствами. Другими словами, пакеты проходят в пределах защищенного «туннеля» 120 через незащищенную сеть 102, причем данный защищенный туннель создается вследствие обработки по обеспечению безопасности через посредство применения выбранных протоколов безопасности.

[0020] В одном осуществлении незащищенная сеть 102 представляет собой сеть протокола Интернета (IP), причем с целью предоставления конечным точкам возможности быть досягаемыми, где бы то ни было в пределах системы 100 связи с использованием адресов IP осуществляется Протокол Интернета версии 4 (IPv4) или Протокол Интернета версии 6 (IPv6). В соответствии с этим в системе 100 связи осуществляется обработка по обеспечению безопасности с использованием IPsec. Специалисты в данной области техники, однако, признают и в полной мере поймут, что конкретные детали этого примера являются только иллюстрацией некоторых вариантов осуществления, и что идеи, излагаемые в данном документе, применимы во множестве альтернативных установок. Например, поскольку описываемые идеи не зависят от используемых протоколов безопасности, они могут применяться к какому-либо любому типу протокола безопасности, в котором конечным точкам безопасности необходимо определить адрес других конечных точек безопасности с целью построения базы данных сопоставлений безопасности для осуществления протокола безопасности, хотя в данном варианте осуществления продемонстрирована система связи, осуществляющая протокол IPsec (то есть, обработку IPsec). В этом качестве предполагаются и находятся в пределах объема различных описываемых идей другие альтернативные осуществления использования других типов протоколов безопасности.

[0021] В дополнение к этому, для облегчения иллюстрирования, система 100 связи продемонстрирована как имеющая только одно из: терминала 104 MDT, шлюза 105 MEG и блока 106 SU, и только одно средство 108 KMF, шлюз 110 DEG и сервер 112 DAS. Однако, в реальном осуществлении системы, вероятно наличие сотен и даже тысяч мобильных устройств, использующих систему 100 связи для облегчения связи с другими мобильными устройствами и устройствами инфраструктуры в системе 100 связи. Более того, средство KMF и шлюз DEG, каждый, вероятно, обслуживают некоторое количество серверов DAS в системе, и в реальном осуществлении системы может дополнительно быть множество средств KMF и шлюзов DEG. Так же, как это использовано в настоящем документе, термин «пакет» определяется как сообщение, содержащее наименьший блок информационной среды (например, данных, голоса, и т.д.), отправляемый от конечной точки источника к конечной точке назначения. Пакет, содержащий в качестве полезной нагрузки данные, рассматривается как пакет данных, пакет, содержащий в качестве полезной нагрузки голос, рассматривается как голосовой пакет. В системе IP исходящий пакет дополнительно включает в себя первичный заголовок IP, содержащий адрес IP данных конечной точки источника и адрес IP данных конечной точки назначения, а также какой-либо другой заголовок, если используется какой-либо другой протокол, такой как TCP (протокол управления передачей) или UDP (протокол пользовательских дейтаграмм). В целях облегчения пояснения информационная среда рассматривается в настоящем документе как данные, а пакет - как пакет данных, но это, ни в коей мере не предназначено ограничивать объем идей, изложенных в настоящем документе, до какого-либо конкретного типа пакета, отправляемого между устройствами в системе 100 связи.

[0022] Специалистам в данной области техники будет в полной мере понятно, что система 100 связи может также использоваться для обмена пакетами между одним или более серверами 112 DAS и что для защиты этих пакетов могут использоваться дополнительные шлюзы 110 DEG, причем данные серверы DAS могут находиться в фиксированном местоположении или в состоянии связи с подвижными объектами.

[0023] Набор протоколов IPsec содержит два протокола, которые могут альтернативно использоваться для обеспечения основных услуг безопасности. Этими протоколами являются аутентификационный заголовок (AH), определенный в запросе RFC 4302, опубликованном в декабре 2005, и инкапсуляция полезной нагрузки безопасности (ESP), определенная в запросе RFC 4303, опубликованном в декабре 2005. Выбор между тем, использовать ли заголовок AH или протокол ESP, зависит от конкретных основных услуг безопасности, необходимых в системе. Протокол ESP обеспечивает больше основных услуг безопасности. Более конкретно протокол ESP используется в системах, требующих не только целостности и аутентификации данных (также обеспечиваются посредством заголовка AH), но также требующих конфиденциальности (которая не обеспечивается посредством заголовка AH).

[0024] При использовании протокола безопасности AH с целью генерирования защищенного пакета конечная точка безопасности генерирует дополнительный заголовок, инкапсулируя и защищая полезную нагрузку, а первичный заголовок остается спереди пакета. При использовании протокола безопасности ESP с целью генерирования защищенного пакета весь первичный пакет, включающий в себя все из первичных заголовков, инкапсулируется в заголовке ESP и концевике ESP, а новый заголовок генерируется и добавляется к передней части пакета.

[0025] Для защиты пакетов протокол IPsec также предусматривает использование либо транспортного режима, либо режима туннелирования при функционировании. Выбор снова зависит от конкретных системных требований. Хотя транспортный режим использует меньший размер заголовка, режим туннелирования применяется в наибольшем количестве сценариев, поскольку режим туннелирования может использоваться оборудованием хоста (причем обработка по обеспечению безопасности совмещается в одном и том же самом устройстве с приложением, генерирующим пакеты, нуждающиеся в обработке по обеспечению безопасности) либо оборудованием шлюза (причем обработка по обеспечению безопасности обеспечивается в отдельном устройстве от приложения, генерирующего пакеты, нуждающиеся в обработке по обеспечению безопасности).

[0026] Когда оборудование хоста включает в себя как приложение, так и функционал обработки по обеспечению безопасности, обработка по обеспечению безопасности может быть интегрирована в одиночное устройство, использующее осуществление интегрированной архитектуры, причем обработка по обеспечению безопасности по умолчанию находится на уровне-3 уровня IP, как, например, с протоколом IPv6; либо использующее архитектуру типа «Вставка в стек» (BITS), создающую уровень протокола, например, уровень IPsec, находящийся между уровнем-3 уровня IP и уровнем-2 уровня канала передачи данных. Новый уровень перехватывает пакеты, отправляемые «вниз» от уровня IP, и добавляет к ним защиту. Когда шлюз обеспечивает функционал обработки по обеспечению безопасности, посредством отдельного устройства, помещаемого в пределах стратегических точек в сети с целью обеспечения основных услуг безопасности на, например, сегменты всей сети, реализуется архитектура типа «Вставка в линию» (BITW).

[0027] Система 100 связи, продемонстрированная на фиг. 1, осуществляет протокол ESP IPsec в режиме туннелирования, обеспечивая, таким образом, как конечные точки хоста, так и конечные точки шлюза. Следует отметить, что хотя шлюз 105 MEG продемонстрирован как отдельный от блока 106 SU, в другом варианте осуществления он может быть интегрирован в блок 106 SU и может обеспечивать дополнительную защиту для приложений, содержащихся внутри блока 106 SU. Например, шлюз 105 MEG обеспечивает обработку по обеспечению безопасности (как шлюз) на терминал 104 MDT, будучи либо физически отдельным от блока 106 SU, либо интегрированным внутри блока 106 SU. Если шлюз 105 MEG является интегрированным внутри блока 106 SU, он может обеспечивать обработку по обеспечению безопасности для приложений, интегрированных с самим блоком SU, таких как местоположение глобальной системы позиционирования (GPS). Таким образом, данные, обмениваемые с сервером 112 DAS для обеих целей, защищаются посредством туннеля 120 ESP. Более того, шлюз 110 DEG обеспечивает обработку по обеспечению безопасности (как шлюз) для данного одного или более серверов 112 DAS. Следует отметить, что хотя шлюз 110 DEG продемонстрирован как физически отдельный от сервера 112 DAS, в другом варианте осуществления данные один или более серверов 112 DAS могут каждый быть физически интегрированными с функционалом шлюза DEG с использованием либо режима туннелирования, либо транспортного режима, не выходя из объема идей, изложенных в настоящем документе.

[0028] Более того, в том виде, в котором данный термин используется в настоящем документе, конечная точка источника генерирует исходящие пакеты, защищает данные исходящие пакеты и отправляет защищенные пакеты через туннель к конечной точке назначения, которая обрабатывает защищенный пакет с целью генерирования исходящего пакета для представления на приложение у назначенного получателя. Как конечная точка источника, так и конечная точка назначения содержат конечную точку данных, вмещающую приложение для данных, и конечную точку безопасности (или конечную точку шифрования), выполняющую обработку по обеспечению безопасности, каждая имеющие адрес IP. Таким образом, конечная точка источника или конечная точка назначения могут содержать одно или два физических устройства, в зависимости от конкретного осуществления системы. Более того, конечные точки безопасности (например, шлюз 105 MEG и шлюз 110 DEG) располагаются на противоположных концах туннеля безопасности (например, туннеля 120). Так же, как это использовано в настоящем документе, адрес IP для конечной точки данных источника именуется адресом данных конечной точки источника; адрес IP для конечной точки безопасности источника именуется адресом безопасности конечной точки источника; адрес IP для конечной точки хоста назначения именуется адресом данных конечной точки назначения; а адрес IP для конечной точки безопасности пункта назначения именуется адресом безопасности конечной точки назначения. В осуществлении системы 100 многие из адресов IP, особенно те, которые сопоставляются с мобильными устройствами в системе, динамически поставляются, по мере необходимости, из банка доступных адресов IP и затем возвращаются в банк, когда для осуществления связи внутри системы в них более не нуждаются.

[0029] Переходя далее к фиг. 2, продемонстрирована и обозначена общей цифрой 200 структурная диаграмма конечной точки 200 источника в соответствии с некоторыми вариантами осуществления. Конечная точка 200 источника содержит конечную точку данных, имеющую приложение 202. Конечная точка 200 источника дополнительно содержит конечную точку безопасности, имеющую менеджера 204 политик безопасности (SPM), соединенного с базой данных 206 политик безопасности (SPD), менеджера 208 сопоставлений безопасности (SAM), соединенного с базой данных 210 SAD и базой данных 212 KSD (базой данных хранения ключей), а также ретранслятор 214 пакетов. База данных 210 SAD, база данных 206 SPD и база данных 212 KSD могут осуществляться с использованием какой-либо любой подходящей формы накопительного устройства (устройства хранения данных) или элемента памяти, такого как RAM (оперативная память), DRAM (динамическая оперативная память), и т.д., с входными данными в эти базы данных, также содержащими какой-либо любой подходящий формат.

[0030] Менеджер 204 SPM и менеджер 208 SAM проиллюстрированы в качестве функциональных блоков обработки, которые могут осуществляться с использованием какого-либо любого подходящего обрабатывающего устройства, такого как любое одно или более из устройств, указанных ниже. Ретранслятор 214 пакетов содержит интерфейс для отправки пакетов по незащищенной сети 102, причем его осуществление зависит от конечной точки безопасности источника и от используемого осуществления незащищенной сети 102. Например, ретранслятор 214 пакетов может быть сконфигурирован как проводной интерфейс, например соединение сети Ethernet, и/или беспроводной интерфейс, содержащий приемопередатчик (приемник и передатчик) и обрабатывающий блок, осуществляющий соответствующий беспроводной интерфейс, например APCO 25, TETRA, 802.11 и т.д.

[0031] Как упомянуто выше, сопоставление SA содержит элементы, описывающие протоколы и параметры (такие, как ключи и алгоритмы), используемые конечной точкой с целью защиты информации или трафика, проходящего в одном направлении; и сопоставления SA нуждаются в поставке в конечные точки, обеспечивающие обработку по обеспечению безопасности. Далее фиг. 2 описывается в соединении с фиг. 3, в которой поясняется способ для отправки выходящих защищенных пакетов в системе 100 связи, включающий в себя способ для поставки соответствующих сопоставлений SA и построения баз данных (в особенности, базы данных SAD 210), в соответствии с некоторыми вариантами осуществления.

[0032] В одном варианте осуществления некоторые части сопоставлений SA поставляются в конечной точке источника перед приемом выходящего пакета от приложения 202, нуждающегося в обработке по обеспечению безопасности. Эти части сопоставлений SA могут включаться в сообщение, именуемое в настоящем документе сообщением управления ключами (KMM), отправляемое (302) на конечную точку безопасности, и имеющее часть элементов SA, используемых для построения (304) базы данных SAD, а также элементы, используемые для построения базы данных SPD в конечной точке. Сообщение KMM может принимать любое количество форм и обладать разнообразием информации в зависимости от конкретных протоколов безопасности, используемых в системе. Также сообщения KMM могут вручную поставляться в конечные точки либо динамически поставляться (иным способом, чем через использование протокола IKE в данном варианте осуществления), как, например, посредством средства 108 KMF, создающего и отправляющего сообщения KMM на конечные точки через эфир во время процесса регистрации. Таблица 1 ниже иллюстрирует информацию, содержащуюся в иллюстративном варианте осуществления сообщения KMM, идентифицируемого посредством параметра и описания данного параметра.

[0033] База данных SPD выстраивается (304) с использованием от сообщения KMM параметров адреса данных конечной точки источника, адреса данных конечной точки назначения, удаленной конечной точки туннеля, политики (то есть политики безопасности), а также SLN. База данных SAD может частично выстраиваться (304) с использованием от сообщения KMM параметров адреса данных конечной точки источника, адреса данных конечной точки назначения, протокола, а также SLN. Более конкретно, в одном варианте осуществления конечная точка сохраняет (304) информацию от сообщения KMM в базу данных сопоставлений данных (DAD) и использует информацию от сопоставления данных с целью построения базы данных SPD и базы данных SAD для использования при обработке по обеспечению безопасности. Во все три базы данных является включенным дополнительный параметр, не включенный в сообщение KMM, представляющий собой значение индекса параметра безопасности (SPI), используемое конечной точкой безопасности, осуществляющей шифрование пакета, для соотнесения с информацией в базе данных SAD, необходимой для шифрования и аутентификации пакета.

[0034] При обработке протокола IKE значение SPI представляет собой параметр, который согласовывается между конечными точками безопасности с использованием последовательности обмена сообщениями IKE. Однако, поскольку протокол IKE не используется в данных осуществлениях, существует необходимость в каком-либо другом способе определения значения SPI. С целью минимизации трафика управления ключами между двумя конечными точками разрешается только один набор сопоставлений SA для заданного типа трафика, специфицированного посредством адреса IP, протокола и порта. Это ограничение предоставляет всем параметрам туннеля возможность определяться из адреса IP источника и пункта назначения обрабатываемого пакета, за исключением данных ключа. Это предоставляет значению SPI возможность использоваться только в целях специфицирования параметров ключа.

[0035] С целью максимизации преимущества уменьшенного трафика управления ключами, сопоставляемого с упрощенной схемой спецификации параметров туннеля, описанной выше, значению SPI придается особая значимость. Поскольку оно только специфицирует данные ключа, значение SPI не поставляется в явной форме средством управления ключами, но, скорее, определяется посредством кодирования ID ключа и ID алгоритма ключа, используемых для шифрования пакета в SPI. В одном иллюстративном примере поле SPI кодируется в формате, продемонстрированном в таблице 2 ниже.

Таблица 2
1 бит	1 бит	10 бит	20 бит
Зарезервировано	Authentication_Type (Тип_аутентификации)	ID алгоритма	ID ключа

[0036] Протокол IPSec предоставляет возможность использования множества алгоритмов шифрования и аутентификации. Использование этих алгоритмов определяется до того, как конечная точка безопасности начинает обработку по обеспечению безопасности каких-либо любых пакетов. В иллюстративной системе 100, средство 108 KMF управляет координацией алгоритмов, используемых для шифрования и/или аутентификации данных. В одном иллюстративном примере набор алгоритмов представляет собой набор алгоритмов, используемых заданным туннелем IPSec как для шифрования, так и для аутентификации. Для идентификации набора алгоритмов используется одиночный идентификатор, представленный посредством 10-битового ID алгоритма. В дополнение к этому для идентификации набора всех данных ключа, требуемых для использования с набором алгоритмов, используется одиночный ID ключа. Это означает, что каждый набор ключей в SLN, содержащий ключи, используемые с услугой шифрования пакетов, содержит весь материал ключей, необходимый как для шифрования, так и для аутентификации.

[0037] Когда средство управления ключами поставляет параметры базы данных SAD в конечную точку, оно сопоставляет SA с SLN. Каждый ключ в SLN содержит все данные ключа, требуемые как для аутентификации, так и для шифрования. SLN, вместе с активным на текущий момент набором ключей, используется осуществляющей шифрование конечной точкой для выбора ключа с целью использования при шифровании пакета. По мере того, как данные ключа меняются, результирующие значения SPI будут меняться в соответствии с этим, в то время как сопоставление SA продолжает быть связанным с SLN. SPI также включается как часть заголовка ESP так, чтобы конечная точка шифрования пункта назначения могла должным образом индексировать свою базу данных SAD с целью дешифрования пакета.

[0038] Возвращаясь к фиг. 2 и фиг. 3, далее в настоящем документе будет описана обработка исходящих пакетов в соответствии с идеями, изложенными в настоящем документе. Когда от приложения (202) принимается незащищенный пакет (306), он сначала оценивается посредством менеджера SPM. Менеджер 204 SPM получает обратно (308) параметры (например, адрес IP данных конечной точки источника и адрес IP данных конечной точки назначения), генерирует селекторный кортеж <IP источника, IP пункта назначения> и использует его для индексирования (310) в базу данных SPD с целью локализации политики безопасности для оцениваемого пакета. Если (312) политика не может быть локализована, пакет сбрасывается (314). Если (312) политика локализуется, и она указывает, что пакет должен быть сброшен, пакет сбрасывается (314). Если (312) политика указывает, что пакет должен «обойти» обработку IPsec, пакет ретранслируется (314) в сеть через посредство ретранслятора 214 пакетов. В заключение, если (312) политика указывает, что пакет должен быть обработан с помощью IPsec, пакет ретранслируется (316) вместе с SPI (который может быть связанным SPI, если перед приемом пакета генерируется частичная база данных SAD), на менеджер 208 SAM для обработки.

[0039] Когда пакет принимается менеджером 208 SAM, он вычисляет адрес конечной точки безопасности (318) с целью использования с пакетом в соответствии с некоторыми вариантами осуществления. Вычисление конечной точки безопасности будет более подробно описано ниже в настоящем документе с учетом, например, фиг. 4.

[0040] Адрес конечной точки туннеля используется для создания (322) записи в базе данных SAD, конкретной для конечной точки назначения. «Создание» может означать создание записи в ненаполненной базе данных SAD для конечной точки назначения. «Создание» может, в альтернативном варианте, означать индексирование записи в частично наполненной базе данных SAD, а также наполнение поля DST-IP' для этой записи. Как было упомянуто ранее, обычно в базе данных SAD создаются пары сопоставлений SA. Для запроса KSD с целью получения идентификации активного набора ключей шифрования и авторизации для использования во время обработки по обеспечению безопасности используется криптогруппа (или SLN).

[0041] Данное генерирование записи SAD создает наполнение (322) «точно в срок» базы данных SAD, которая далее может быть индексирована (324) с использованием SPI для связи с соответствующим сопоставлением SA и получения параметров безопасности (например, ID протокола безопасности, алгоритма шифрования, ID ключа шифрования, ID алгоритма аутентификации, а также ID ключа аутентификации). Менеджер SAM применяет (326) параметры безопасности к первичному пакету для генерирования нового заголовка, а также заголовка ESP и концевика, имеющего формат, определенный в запросе RFC 4303, и для шифрования инкапсулированной полезной нагрузки с целью обеспечения защищенного пакета. Значение связанного SPI вносится в заголовок ESP для использования конечной точкой безопасности пункта назначения с целью успешного индексирования в ее базу данных SAD. Адрес безопасности конечной точки назначения вносится в новый заголовок, так чтобы пакет достигал конечной точки безопасности пункта назначения. Обработка по обеспечению безопасности IPsec теперь является завершенной, и ретранслятор 214 пакетов отправляет (328) защищенный пакет в сеть 102.

[0042] Когда пакет принимается из сети, он сначала обрабатывается посредством менеджера SAM в конечной точке безопасности пункта назначения. Если данный пакет не является защищенным с помощью IPsec (не содержит заголовок IPsec), пакет ретранслируется на SPM. Если пакет является защищенным с помощью IPsec, и для него не может быть найдено сопоставление SA, он сбрасывается. Наконец, если пакет является защищенным с помощью IPsec, и посредством индексирования базы данных SAD с помощью SPI находится соответствующее сопоставление SA, пакет аутентифицируется, дешифруется и ретранслируется на менеджер SPM. Когда менеджер SPM принимает пакет от менеджера SAM, он верифицирует, что политика, примененная менеджером SAM, совпадает с политикой, сконфигурированной в базе данных SPD. Если политика не может быть верифицирована, пакет сбрасывается. Если политика может быть верифицирована, она ретранслируется на приложение.

[0043] Возвращаясь теперь обратно к вычислению адреса конечной точки безопасности (318), далее в настоящем документе описано средство обеспечения сопоставлений из адресов терминалов 104 MDT назначения или серверов 112 DAS на адреса их сопоставленных шлюзов 105 MEG или шлюзов 110 DEG конечных точек безопасности, которое может предоставлять одиночному сопоставлению возможность установки политики безопасности для множества хостов и конечных точек безопасности на основе вычисления с использованием базового адреса и значений смещения. Устройство, такое как терминал 104 MDT или шлюз 110 DEG, представляющее собой назначенный пункт назначения для пакета данных, будет описано далее в настоящем документе как «хост», а шлюз безопасности пункта назначения, обеспечивающий конечную точку туннеля, будет описан как «шлюз безопасности».

[0044] В одном варианте осуществления для определения части адресации сопоставления безопасности используется набор правил на основе параметров смещения и задания размера. Это предоставляет одному сопоставлению возможность быть отправленным, что предоставляет адресам конечных точек безопасности возможность быть вычисленными для множества адресов хостов.

[0045] Параметры в этом наборе правил представляют собой нижеследующее:

Адрес(а) хоста(ов) назначения, который(ые) может(гут) представлять собой одиночный адрес, диапазон адресов или подсеть, для которой будут применяться правила сопоставления.

Смещение - цифра, предназначенная к добавлению к адресу хоста назначения с целью создания соответствующего адреса конечной точки безопасности или начала диапазона адресов, в котором лежат конечные точки безопасности. Смещение добавляется к адресу хоста назначения с использованием инклюзивного процесса добавления, с размером диапазона адресов системы передачи пакетов по модулю, представляющим собой 3³² для IPv4 или 2¹²⁸ для IPv6.

Размер подсети хостов назначения на конечную точку безопасности пункта назначения.

Флаг сжатия адреса ко