本申請(qǐng)是申請(qǐng)?zhí)枮?2815510.6、申請(qǐng)日為2002年7月10日、發(fā)明 名稱(chēng)為“包含安全性關(guān)聯(lián)處理器的虛擬專(zhuān)用網(wǎng)絡(luò)機(jī)制”的發(fā)明專(zhuān)利申請(qǐng) 的分案申請(qǐng)。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)通信系統(tǒng)，更具體地說(shuō)涉及實(shí)現(xiàn)包括安全性關(guān)聯(lián)數(shù) 據(jù)庫(kù)和相關(guān)處理器的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)的機(jī)制。

背景技術(shù)

近年來(lái)，全球目睹了因特網(wǎng)的爆發(fā)性增長(zhǎng)。每年越來(lái)越多的主機(jī)加 入因特網(wǎng)，同時(shí)用戶(hù)數(shù)目似乎無(wú)限制地增長(zhǎng)。因特網(wǎng)能夠?qū)崿F(xiàn)利用不同 技術(shù)(包括遠(yuǎn)程計(jì)算機(jī)登錄、文件傳送、萬(wàn)維網(wǎng)(WWW)瀏覽、電子 郵件等)的通信。設(shè)計(jì)出各種各樣的協(xié)議，并且這些協(xié)議在因特網(wǎng)上用 于處理各種通信。例如，文件傳送協(xié)議(FTP)用于文件傳送，超文本 置標(biāo)語(yǔ)言(HTML)用于web通信等。通常，在包括OSI通信棧各層 協(xié)議在內(nèi)的協(xié)議的傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)組的保護(hù)下，對(duì) 和因特網(wǎng)通信相關(guān)的協(xié)議分組。

因特網(wǎng)的關(guān)鍵特征在于它是幾乎具有計(jì)算機(jī)、電話線和因特網(wǎng)服務(wù) 提供者(ISP)賬戶(hù)的任何人可訪問(wèn)的公共網(wǎng)絡(luò)。這種大規(guī)模公眾可接 入性的最終趨勢(shì)是它便于黑客和意圖對(duì)因特網(wǎng)上的一個(gè)或多個(gè)主機(jī)采取 惡意行動(dòng)的其它人接近因特網(wǎng)上的一個(gè)或多個(gè)主機(jī)。對(duì)于設(shè)法侵入遠(yuǎn)程 網(wǎng)絡(luò)的計(jì)算機(jī)并成功竊取通信數(shù)據(jù)的黑客來(lái)說(shuō)，諸如惡意用戶(hù)竊取保密 信息或者刪除重要文件之類(lèi)非法行為是可能的。通過(guò)在允許因特網(wǎng)上的 安全事務(wù)的IPv6中包括諸如加密和鑒權(quán)之類(lèi)安全特征，因特網(wǎng)體系結(jié) 構(gòu)委員會(huì)解決了關(guān)于安全性的需要。

為了對(duì)抗黑客的威脅和保護(hù)專(zhuān)用網(wǎng)絡(luò)，目前通常在公司或機(jī)制的專(zhuān) 用網(wǎng)絡(luò)的入口處設(shè)置防火墻。防火墻采用某一形式的分組過(guò)濾器，分組 過(guò)濾器強(qiáng)制實(shí)現(xiàn)用戶(hù)定義的安全策略。防火墻是位于機(jī)制的本地網(wǎng)絡(luò)和 全球因特網(wǎng)之間邊界處的系統(tǒng)。它實(shí)現(xiàn)所有數(shù)據(jù)通信的過(guò)濾，以便防止 信息泄漏到外部網(wǎng)絡(luò)，或者防止從外部未經(jīng)授權(quán)訪問(wèn)內(nèi)部網(wǎng)絡(luò)。防火墻 對(duì)接收的每個(gè)分組進(jìn)行拒絕/許可判定。

同時(shí)，對(duì)無(wú)線服務(wù)(即蜂窩電話機(jī)、雙向?qū)ず魴C(jī)、無(wú)繩設(shè)備等)和 諸如膝上型計(jì)算機(jī)、PDA之類(lèi)個(gè)人計(jì)算設(shè)備的需求日益增多。這些個(gè) 人計(jì)算設(shè)備中的多數(shù)都包含無(wú)線通信電路，以便它們能夠通過(guò)無(wú)線網(wǎng)絡(luò) (例如蜂窩或者其它寬帶方案)與諸如因特網(wǎng)之類(lèi)WAN網(wǎng)絡(luò)通信。從 而，越來(lái)越多的PDA和蜂窩電話機(jī)正在連接到因特網(wǎng)上，從而這些設(shè) 備存在安全風(fēng)險(xiǎn)。這些設(shè)備最好采用某一類(lèi)型的防火墻防范對(duì)該設(shè)備的 未經(jīng)授權(quán)的訪問(wèn)。但是，目前多數(shù)防火墻以軟件形式實(shí)現(xiàn)，需要整個(gè)桌 上型計(jì)算機(jī)的計(jì)算資源，導(dǎo)致在諸如蜂窩電話機(jī)或PDA之類(lèi)便攜式計(jì) 算設(shè)備中使用它們的成本很高或者不切實(shí)際。

從而，需要一種易于用適于包含在諸如蜂窩電話機(jī)和無(wú)線連接 PDA之類(lèi)小型便攜式電子計(jì)算設(shè)備中的小尺寸硬件實(shí)現(xiàn)的防火墻或分 組過(guò)濾器。

發(fā)明內(nèi)容

本發(fā)明提供一種新穎的有用虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)機(jī)制，以便提供 實(shí)現(xiàn)加密/解密和鑒權(quán)必需的安全參數(shù)。VPN機(jī)制適合于以較低的成本 用硬件實(shí)現(xiàn)，從而能夠費(fèi)用低廉地將本發(fā)明結(jié)合到與因特網(wǎng)或其它廣域 網(wǎng)連接的便攜式電子通信設(shè)備中，例如蜂窩電話機(jī)、個(gè)人數(shù)字助手 (PDA)、膝上型計(jì)算機(jī)等。

本發(fā)明可和適于連接因特網(wǎng)的便攜式計(jì)算設(shè)備，例如蜂窩電話機(jī)和 無(wú)線連接PDA中基于硬件或軟件的防火墻一起使用。還可用軟件或硬 件和軟件的組合實(shí)現(xiàn)本發(fā)明的VPN機(jī)制。

從而，VPN機(jī)制可被用于實(shí)現(xiàn)，例如通過(guò)WAN的安全分局 (branch?office)連接性、通過(guò)WAN的安全遠(yuǎn)程訪問(wèn)或者通過(guò)WAN 的安全電子商務(wù)交易。

VPN機(jī)制包括適于提供實(shí)現(xiàn)加密/解密和鑒權(quán)的安全性規(guī)范的 IPSec組所需參數(shù)的安全性關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD)和相關(guān)電路。數(shù)據(jù)庫(kù)中 的每個(gè)安全性關(guān)聯(lián)(SA)入口包括根據(jù)IPSec規(guī)范接收和傳送VPN分 組所需的所有參數(shù)。

本發(fā)明對(duì)輸入分組流進(jìn)行涉及安全性關(guān)聯(lián)(SA)的處理。注意輸 入分組流可包括入站分組和出站分組。通常，本發(fā)明被置于WAN(即 因特網(wǎng))和本地LAN之間。這種情況下，VPN機(jī)制過(guò)濾從WAN發(fā)送 給LAN的入站分組和從LNA發(fā)送給WAN的出站分組。