技術領域

本發明涉及計算機網絡，更具體地，涉及計算機網絡中所使用 的安全協議。

背景技術

由于對網絡可訪問計算機的越來越多的依賴，對于機構以及個 人來說網絡安全已成為主要的問題。為有助于確保計算機的安全 性，機構和個人經常會在其專用網絡和公共網絡之間安裝安全裝 置。這些安全裝置的目標是避免來自公共網絡的無用或惡意信息入 侵專用網絡中的裝置。該安全裝置可能還提供“網絡地址轉換”功 能，其使專用網絡在與公共網絡進行通信時能夠利用單個公共網際 協議(IP)地址。網絡地址轉換(NAT)可通過將專用網絡的內部 結構對于公共網絡進行遮蔽來提供來自公共網絡的進一步的安全 性，并減少與保持每個置于專用網絡中的裝置的公共IP地址相關的 成本。

通常應用的安全裝置的一個實例是防火墻。防火墻可通過重寫 包含于流過防火墻的數據包中的源和/或目的IP地址來執行NAT。 一旦接受到來自公共網絡所指定的這些專用裝置之一的數據包，則 防火墻，例如，利用單一的公共IP地址來重寫分配給專用設備的專 用IP源地址。一旦接收到響應于該裝置的數據包的返回數據包，則 防火墻利用適當的專用IP地址來重寫該返回數據包的目的地址。這 樣，防火墻通過使之看起來像是只有一個裝置(例如，防火墻通過 單一公共IP地址來發送和接收數據)來遮蔽專用網絡的內部結構。

盡管執行NAT的防火墻可以遮蔽專用網絡的結構從而提供額 外的安全性，但是防火墻還會防礙專用裝置參與某些網絡協議。例 如，在NAT防火墻后的專用裝置不會充當傳輸控制協議(TCP)服 務器。即，由于專用裝置本身的IP地址不為防火墻公共側上的裝置 所知，因此該專用裝置不能直接接收以及接受來自NAT防火墻的 公共側上的客戶端的TCP會話請求。公共裝置只知道由防火墻所使 用的單一公共IP地址。因為TCP要求公共裝置知道建立TCP會話 所要使用的特定裝置的IP地址，所以公共裝置不能直接與在NAT 防火墻后面的專用裝置建立TCP會話。此外，TCP會話上執行的 很多安全協議可能因為這些安全協議依賴于TCP會話而不會被應 用。

發明內容

總的來說，本發明指出了用于與在安全裝置后面的裝置建立安 全連接的技術。特別地，本發明的技術可以使該安全裝置(其可實 現端口映射)一側上的管理裝置能夠與該安全裝置另一側上的被管 理裝置建立安全會話(例如，安全外殼(secure?shell)(SSH)協議 會話)，從而在管理裝置和被管理裝置之間正確地分配安全會話的 角色。即，當在用于支持安全協議會話的裝置上呈現網絡堆棧時， 該技術被描述成用于允許管理裝置和被管理裝置動態地轉換角色。 例如，該技術允許被管理裝置作為TCP客戶端主動地發起與管理裝 置進行TCP會話，并且，一旦建立該TCP會話，就動態地轉換角 色，從而允許該管理裝置充當對于任何運行于TCP上的安全通信協 議的客戶端。

這樣，可將管理裝置適當地配置成充當SSH客戶端并且將被管 理裝置配置成充當SSH服務器。通過適當地從管理裝置發起SSH 安全會話，能夠以在每個被管理和管理裝置執行的角色方面都正確 (從而易于被在其上執行的軟件支持和集成)以及容易被多數網絡 管理員理解的形式來建立該安全SSH會話。因此，網絡管理員可以 更容易地配置被管理和管理裝置，從而更能確保網絡的性能和安全 性。

例如，在NAT防火墻專用側上的被管理裝置發起傳輸控制協 議(TCP)會話來建立與NAT防火墻公共側上的管理裝置的TCP 會話，從而使管理裝置作為TCP服務器接受TCP會話而被管理裝 置充當TCP客戶端。這樣，可避免由NAT防火墻所引入的限制或 約束。在以這種方式建立了基礎的TCP會話之后，被管理裝置通過 TCP會話向管理裝置發送一個角色顛倒消息。該角色顛倒消息指定 被管理裝置的身份并將安全地發起安全會話的能力提供給管理裝 置，因而相對于來自基礎TCP會話的角色的安全會話來顛倒客戶端 /服務器角色。