專利名稱:建立多安全連接的安全通信方法、設(shè)備和計(jì)算機(jī)可讀介質(zhì)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及通信,并且特別涉及安全通信。
背景技術(shù):
互聯(lián)網(wǎng)協(xié)議安全(IPSec)協(xié)議規(guī)定了固有非安全網(wǎng)絡(luò)上的安全通信,例如針對(duì)虛擬專用網(wǎng)(VPN)服務(wù)。利用IPSec的安全通信涉及利用IPSec消息協(xié)商安全參數(shù),以及然后在位于接入系統(tǒng)的IPSec客戶端與主機(jī)系統(tǒng)或安全網(wǎng)關(guān)之間建立IPSec安全關(guān)聯(lián)(SA)。該過(guò)程通常由接入系統(tǒng)發(fā)起,并且需要預(yù)先知道主機(jī)系統(tǒng)或安全網(wǎng)關(guān)的地址以及客戶端與主機(jī)或網(wǎng)關(guān)之間的預(yù)共享密鑰或共有公共密鑰證書(shū)。
安全參數(shù)協(xié)商典型地利用互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)議來(lái)實(shí)施,并且包括兩個(gè)階段。第一階段是創(chuàng)建用于IPSec SA協(xié)商的安全隧道的過(guò)程,并且被互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)SA所標(biāo)識(shí)。第二階段是認(rèn)證報(bào)頭(AH)或封裝安全協(xié)議(ESP)SA協(xié)商過(guò)程,其取決于要支持的數(shù)據(jù)安全服務(wù)。IPSec AH規(guī)定了數(shù)據(jù)認(rèn)證但卻沒(méi)有保護(hù)。而另一方面,ESP保護(hù)數(shù)據(jù)。
ISAKMP SA協(xié)商被用于對(duì)例如加密算法、用于簽名的散列算法和認(rèn)證方法的安全屬性達(dá)成協(xié)議,并且用于Diffie-Hellman(DH)密鑰交換。接入系統(tǒng)發(fā)起協(xié)商,一旦共有密鑰已經(jīng)在接入系統(tǒng)和主機(jī)或網(wǎng)關(guān)同時(shí)被導(dǎo)出并且檢驗(yàn)了雙方的身份時(shí),就完成所述協(xié)商。
IKE第二階段例如通過(guò)使用ISAKMP SA來(lái)協(xié)商保護(hù)實(shí)際數(shù)據(jù)業(yè)務(wù)的ESP SA而被實(shí)施。再次,位于接入系統(tǒng)的IPSec客戶端發(fā)起、密鑰被協(xié)定并且SA被創(chuàng)建,其中每個(gè)方向創(chuàng)建一個(gè)SA。每個(gè)SA由安全參數(shù)索引(SPI)唯一地標(biāo)識(shí)。
源自接入系統(tǒng)或主機(jī)系統(tǒng)或關(guān)聯(lián)于安全網(wǎng)關(guān)的系統(tǒng)的用戶業(yè)務(wù),由用指定SPI標(biāo)識(shí)的SA來(lái)保護(hù)。如上所述,創(chuàng)建用于雙向通信的兩個(gè)SA。只要作為移動(dòng)通信設(shè)備的接入系統(tǒng)的網(wǎng)絡(luò)地址改變,并且切換到新的位置,這為該接入系統(tǒng)分配了不同的網(wǎng)絡(luò)地址,IPSec Sa就必須被重新協(xié)商。
IPSec被設(shè)計(jì)為主要用于固定網(wǎng)絡(luò),并且因此并不是非?!耙苿?dòng)友好的”。針對(duì)用于移動(dòng)通信設(shè)備上的客戶端的應(yīng)用的IPSec的一些主要缺點(diǎn)包括延遲和資源負(fù)擔(dān)。每次執(zhí)行網(wǎng)絡(luò)層切換時(shí)IPSec SA重新協(xié)商中涉及的延遲會(huì)導(dǎo)致大量的數(shù)據(jù)丟失,并且在實(shí)時(shí)服務(wù)的情況下可能造成更大的影響。另外,根據(jù)切換的頻率,主機(jī)系統(tǒng)或安全網(wǎng)關(guān)為創(chuàng)建和重新協(xié)商SA所需要的開(kāi)銷和處理的量可能非常大,其可能占用或過(guò)載可用資源。
避免每次發(fā)生切換時(shí)必須重新協(xié)商SA的一種機(jī)制在于,使例如操作于移動(dòng)通信設(shè)備上的IPSec客戶端利用永久歸屬(home)地址作為SA的端點(diǎn)之一而不是獲得的IP地址來(lái)創(chuàng)建SA。這確保每次執(zhí)行切換時(shí),即使獲得新的地址,SA也不必被重新協(xié)商,因?yàn)榭蛻舳耸褂闷溆谰蒙矸輥?lái)創(chuàng)建SA。該方法的主要缺點(diǎn)在于,業(yè)務(wù)現(xiàn)在經(jīng)由移動(dòng)設(shè)備的歸屬網(wǎng)絡(luò)而被路由,并且然后被重新路由到該設(shè)備所在的接入網(wǎng)絡(luò)。這不僅導(dǎo)致了至歸屬網(wǎng)絡(luò)的增加的業(yè)務(wù),而且還導(dǎo)致兩個(gè)方向上的低效選路(不是最短路徑)。根據(jù)所用的IPSec模式,這個(gè)技術(shù)由于多重隧道而導(dǎo)致大量的無(wú)線資源消耗。
發(fā)明內(nèi)容
根據(jù)本發(fā)明實(shí)施例的用于減小信令延遲的機(jī)制,能夠?yàn)槁我苿?dòng)設(shè)備提供實(shí)時(shí)服務(wù)的安全通信。在一個(gè)可能的應(yīng)用中,通過(guò)安全VPN連接到公司網(wǎng)絡(luò)的安全遠(yuǎn)程接入可以被提供給漫游且移動(dòng)的公司用戶。
根據(jù)本發(fā)明的一個(gè)方面,提供了一種通信方法,該方法包括建立用于接入系統(tǒng)和中間系統(tǒng)之間的安全連接以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的各個(gè)互聯(lián)網(wǎng)協(xié)議安全(IPSec)協(xié)議安全關(guān)聯(lián)(SA);以及,綁定IPSec SA以建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。
建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接可以包括接收來(lái)自所述接入系統(tǒng)的通信信號(hào),以及響應(yīng)于該通信信號(hào)建立用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA。在一個(gè)實(shí)施例中,用于接入系統(tǒng)和中間系統(tǒng)之間的安全連接的IPSec SA,是在用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA已被建立之后而被建立的。
關(guān)聯(lián)于所述接入系統(tǒng)的標(biāo)識(shí)符可以被提供給所述遠(yuǎn)程系統(tǒng),以建立用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA。
綁定IPSec SA的操作可以包括將標(biāo)識(shí)各個(gè)IPSec SA中每一個(gè)的各個(gè)安全參數(shù)索引(SPI)存儲(chǔ)在存儲(chǔ)器中。
在所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間隨后的通信期間,在中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接上從所述遠(yuǎn)程系統(tǒng)接收的通信信號(hào),優(yōu)選地根據(jù)用于該安全連接的IPSec SA而被處理,以便從所述通信信號(hào)中恢復(fù)所發(fā)送的信息。所恢復(fù)的被發(fā)送信息然后可以根據(jù)用于接入系統(tǒng)和中間系統(tǒng)之間的安全連接的IPSec SA而被進(jìn)一步處理,從而產(chǎn)生通信信號(hào)以傳送給所述接入系統(tǒng)。
以類似的方式,在接入系統(tǒng)和中間系統(tǒng)之間的安全連接上從所述接入系統(tǒng)接收的通信信號(hào),優(yōu)選地根據(jù)用于該安全連接的IPSec SA而被處理,以恢復(fù)被發(fā)送信息,所恢復(fù)的被發(fā)送信息然后可以根據(jù)用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA而被進(jìn)一步處理,從而產(chǎn)生通信信號(hào)以傳送給所述遠(yuǎn)程系統(tǒng)。
在一個(gè)實(shí)施例中,用于接入系統(tǒng)和中間系統(tǒng)之間的新安全連接的IPSec SA,是響應(yīng)于檢測(cè)到接入系統(tǒng)操作條件的改變而被建立的。
建立用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA的操作可以包括建立用于中間系統(tǒng)和第二中間系統(tǒng)之間的安全連接以及第二中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的各個(gè)IPSec SA;以及,綁定用于中間系統(tǒng)和第二中間系統(tǒng)之間的安全連接以及第二中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA。
根據(jù)本發(fā)明的另一方面,還提供了一種用于建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的系統(tǒng),該系統(tǒng)包括用于與所述接入系統(tǒng)和遠(yuǎn)程系統(tǒng)通信的收發(fā)信機(jī)和處理器。所述處理器被配置用于通過(guò)所述收發(fā)信機(jī)建立用于與所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)的安全連接的各個(gè)IPSec SA;以及,綁定所述IPSec SA以建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。
根據(jù)本發(fā)明的一個(gè)實(shí)施例,通信系統(tǒng)包括接入系統(tǒng)、遠(yuǎn)程系統(tǒng)和用于建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的中間系統(tǒng)。在另一實(shí)施例中,第二中間系統(tǒng)建立了所述中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。
在另一方面中,提供了一種存儲(chǔ)數(shù)據(jù)結(jié)構(gòu)的計(jì)算機(jī)可讀介質(zhì),該數(shù)據(jù)結(jié)構(gòu)包括用于中間系統(tǒng)和接入系統(tǒng)之間的安全連接的IPSec SA的標(biāo)識(shí)符,以及用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA的標(biāo)識(shí)符。所述IPSec SA在存儲(chǔ)器中被綁定以由此建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。
本發(fā)明的又一方面提供了一種管理接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的方法,所述安全連接包括接入系統(tǒng)和中間系統(tǒng)之間的安全連接以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。所述方法包括檢測(cè)所述接入系統(tǒng)操作條件的改變,以及響應(yīng)于所述檢測(cè)而建立接入系統(tǒng)和中間系統(tǒng)之間的新安全連接,由此接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接包括接入系統(tǒng)和中間系統(tǒng)之間的新安全連接以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。
所述改變可以是所述接入系統(tǒng)的地址的改變,例如互聯(lián)網(wǎng)協(xié)議(IP)地址。對(duì)地址改變的檢測(cè)可以包括接收地址改變通知或確定從第一通信網(wǎng)絡(luò)到第二通信網(wǎng)絡(luò)的連接的切換即將發(fā)生。在一些實(shí)施例中,通過(guò)接收切換的觸發(fā)或確定在接入系統(tǒng)和中間系統(tǒng)的安全連接上從所述接入系統(tǒng)接收的通信信號(hào)的特征,來(lái)確定即將發(fā)生的切換。
為建立新的安全連接,接入系統(tǒng)和中間系統(tǒng)之間的安全參數(shù)可以被重新協(xié)商。根據(jù)可選實(shí)施例,接入系統(tǒng)和中間系統(tǒng)之間的安全連接首先通過(guò)協(xié)商要在端點(diǎn)地址之間使用的安全參數(shù)而被建立,其中該端點(diǎn)地址包括所述中間系統(tǒng)的地址和所述接入系統(tǒng)的地址,并且操作條件的改變包括接入系統(tǒng)的地址到新接入系統(tǒng)地址的改變。在此情況下,建立新的安全連接可能涉及將接入系統(tǒng)的端點(diǎn)地址更新為新的接入系統(tǒng)地址。
在提供第二中間系統(tǒng)的情況下,中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接包括中間系統(tǒng)和第二中間系統(tǒng)之間的安全連接以及第二中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。所述方法因而可以包括更多的操作即,檢測(cè)所述遠(yuǎn)程系統(tǒng)操作條件的改變和響應(yīng)于該檢測(cè)而建立第二中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的新安全連接,由此中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接包括中間系統(tǒng)和第二中間系統(tǒng)之間的安全連接以及第二中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的新安全連接。
本發(fā)明的相關(guān)方面提供了一種用于管理接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的中間系統(tǒng)。所述安全連接包括接入系統(tǒng)和中間系統(tǒng)之間的安全連接以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接,并且所述中間系統(tǒng)包括用于與所述接入系統(tǒng)和遠(yuǎn)程系統(tǒng)通信的收發(fā)信機(jī)和處理器。所述處理器被配置用于檢測(cè)所述接入系統(tǒng)操作條件的改變,以及響應(yīng)于檢測(cè)到的接入系統(tǒng)操作條件的改變而通過(guò)所述收發(fā)信機(jī)建立接入系統(tǒng)和中間系統(tǒng)之間的新安全連接,由此接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接包括接入系統(tǒng)和中間系統(tǒng)之間的新安全連接以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。
還提供了一種管理第一系統(tǒng)和第二系統(tǒng)之間的安全連接的方法,所述安全連接包括第一系統(tǒng)和中間系統(tǒng)之間的第一安全連接,以及中間系統(tǒng)和第二系統(tǒng)之間的第二安全連接。所述方法可以包括檢測(cè)所述第一系統(tǒng)或第二系統(tǒng)的操作條件的改變;響應(yīng)于檢測(cè)到所述第一系統(tǒng)操作條件的改變而建立第一系統(tǒng)和中間系統(tǒng)之間的新安全連接,由此第一系統(tǒng)和第二系統(tǒng)之間的安全連接包括第一系統(tǒng)和中間系統(tǒng)之間的新安全連接以及所述第二安全連接;以及,響應(yīng)于檢測(cè)到所述第二系統(tǒng)操作條件的改變而建立中間系統(tǒng)和第二系統(tǒng)之間的新安全連接,由此第一系統(tǒng)和第二系統(tǒng)之間的安全連接包括所述第一安全連接以及中間系統(tǒng)和第二系統(tǒng)之間的新安全連接。
所述第一系統(tǒng)和所述第二系統(tǒng)的各自的不同操作條件的改變可以被檢測(cè)。
本發(fā)明的另一方面提供了一種用于管理第一系統(tǒng)和第二系統(tǒng)之間的安全連接的中間系統(tǒng)。所述安全連接包括第一系統(tǒng)和中間系統(tǒng)之間的第一安全連接以及中間系統(tǒng)和第二系統(tǒng)之間的第二安全連接,并且所述中間系統(tǒng)包括用于與所述第一系統(tǒng)和所述第二系統(tǒng)通信的收發(fā)信機(jī),以及被配置用于檢測(cè)所述第一系統(tǒng)或第二系統(tǒng)的操作條件的改變的處理器。所述處理還被配置用于響應(yīng)于檢測(cè)到所述第一系統(tǒng)操作條件的改變而建立第一系統(tǒng)和中間系統(tǒng)之間的新安全連接,由此第一系統(tǒng)和第二系統(tǒng)之間的安全連接包括第一系統(tǒng)和中間系統(tǒng)之間的新安全連接以及所述第二安全連接;以及響應(yīng)于檢測(cè)到所述第二系統(tǒng)操作條件的改變而建立中間系統(tǒng)和第二系統(tǒng)之間的新安全連接,由此第一系統(tǒng)和第二系統(tǒng)之間的安全連接包括所述第一安全連接以及中間系統(tǒng)和第二系統(tǒng)之間的新安全連接。
在又一方面中,提供了一種管理第一系統(tǒng)和第二系統(tǒng)之間的安全連接的方法,所述安全連接包括第一系統(tǒng)和第一中間系統(tǒng)之間的第一安全連接、第一中間系統(tǒng)和第二中間系統(tǒng)之間的第二安全連接,以及第二中間系統(tǒng)和第二系統(tǒng)之間的第三安全連接。所述方法包括以下操作檢測(cè)所述第一系統(tǒng)或第二系統(tǒng)的操作條件的改變;響應(yīng)于檢測(cè)到所述第一系統(tǒng)操作條件的改變而建立第一系統(tǒng)和第一中間系統(tǒng)之間的新安全連接,由此第一系統(tǒng)和第二系統(tǒng)之間的安全連接包括第一系統(tǒng)和第一中間系統(tǒng)之間的新安全連接、所述第二安全連接和所述第三安全連接;以及,響應(yīng)于檢測(cè)到所述第二系統(tǒng)操作條件的改變而建立第二中間系統(tǒng)和第二系統(tǒng)之間的新安全連接,由此第一系統(tǒng)和第二系統(tǒng)之間的安全連接包括所述第一安全連接、所述第二安全連接以及第二中間系統(tǒng)和第二系統(tǒng)之間的新安全連接。
在本發(fā)明的另一方面中,還提供了一種具有用于管理第一系統(tǒng)和第二系統(tǒng)之間的安全連接的第一和第二中間系統(tǒng)的通信系統(tǒng)。所述安全連接包括第一系統(tǒng)和第一中間系統(tǒng)之間的第一安全連接、第一中間系統(tǒng)和第二中間系統(tǒng)之間的第二安全連接,以及第二中間系統(tǒng)和第二系統(tǒng)之間的第三安全連接。所述第一和第二中間系統(tǒng)包括各自的收發(fā)信機(jī)和處理器。在所述第一中間系統(tǒng)中,收發(fā)信機(jī)與所述第一系統(tǒng)和第二中間系統(tǒng)通信,并且處理器被配置用于檢測(cè)所述第一系統(tǒng)操作條件的改變以及響應(yīng)于檢測(cè)到所述第一系統(tǒng)操作條件的改變而建立第一系統(tǒng)和第一中間系統(tǒng)之間的新安全連接,由此第一系統(tǒng)和第二系統(tǒng)之間的安全連接包括第一系統(tǒng)和第一中間系統(tǒng)之間的新安全連接、所述第二安全連接和所述第三安全連接。在所述第二中間系統(tǒng)中,收發(fā)信機(jī)與所述第一中間系統(tǒng)和第二系統(tǒng)通信,并且處理器被配置用于檢測(cè)所述第二系統(tǒng)操作條件的改變以及響應(yīng)于檢測(cè)到所述第二系統(tǒng)操作條件的改變而建立第二中間系統(tǒng)和第二系統(tǒng)之間的新安全連接,由此第一系統(tǒng)和第二系統(tǒng)之間的安全連接包括所述第一安全連接、所述第二安全連接以及第二中間系統(tǒng)和第二系統(tǒng)之間的新安全連接。
通過(guò)檢查下面對(duì)本發(fā)明指定實(shí)施例的描述,本發(fā)明實(shí)施例的其他方面和特征對(duì)于本領(lǐng)域的技術(shù)人員而言將變得顯而易見(jiàn)。
現(xiàn)在參考附圖詳細(xì)描述本發(fā)明實(shí)施例的例子,其中-圖1是其中可以實(shí)現(xiàn)本發(fā)明實(shí)施例的通信系統(tǒng)的框圖;-圖2是根據(jù)本發(fā)明實(shí)施例的方法的流程圖;-圖3是說(shuō)明根據(jù)本發(fā)明實(shí)施例的安全連接建立的消息流程圖;-圖4是根據(jù)本發(fā)明實(shí)施例的中間系統(tǒng)的框圖;以及-圖5是包括本發(fā)明另一實(shí)施例的通信系統(tǒng)的框圖。
具體實(shí)施例方式
在移動(dòng)通信系統(tǒng)上提供實(shí)時(shí)服務(wù)由于其稀缺的帶寬、移動(dòng)通信設(shè)備改變的網(wǎng)絡(luò)地址、移動(dòng)通信設(shè)備的較低的計(jì)算能力以及相對(duì)于有線通信系統(tǒng)一般較高的差錯(cuò)率而特別具有挑戰(zhàn)性。由于位置更新和用戶業(yè)務(wù)遞送的信令延遲可能存在更多的困難。切換期間和之后的位置更新和數(shù)據(jù)遞送延遲可能導(dǎo)致由移動(dòng)通信設(shè)備發(fā)送的或來(lái)自移動(dòng)通信設(shè)備的數(shù)據(jù)的大量丟失。高效機(jī)制必須被開(kāi)發(fā)以減小延遲,并且由此改進(jìn)總吞吐量從而支持實(shí)時(shí)服務(wù),所述實(shí)時(shí)服務(wù)包括例如近年來(lái)市場(chǎng)迅速增長(zhǎng)并且已產(chǎn)生很多利潤(rùn)的IP上的語(yǔ)音(VoIP)和多媒體內(nèi)容。
建立和維持安全VPN服務(wù)和其他安全通信連接的傳統(tǒng)方法并未被很好地設(shè)計(jì)為針對(duì)移動(dòng)用戶。每次執(zhí)行網(wǎng)絡(luò)層切換時(shí),由于移動(dòng)通信設(shè)備漫游,通常被用于提供安全VPN連接的IPSec SA必須被重新協(xié)商。這可能導(dǎo)致分組丟失、附加延遲以利用其建立IPSec SA的主機(jī)系統(tǒng)和安全網(wǎng)關(guān)(SG)上的過(guò)度加載。為減輕這些問(wèn)題,本發(fā)明的實(shí)施例提供了一種中間系統(tǒng),其在下面參考圖5描述的示例性通信系統(tǒng)中稱作錨定代理安全網(wǎng)關(guān)(APSG),該中間系統(tǒng)充當(dāng)接入系統(tǒng)與主機(jī)系統(tǒng)或SG之間的中介。
根據(jù)一個(gè)實(shí)施例,所述中間系統(tǒng)維持在它和遠(yuǎn)程系統(tǒng)之間建立的IPSec SA與在它和接入系統(tǒng)之間建立的IPSec SA之間的綁定,其中所述遠(yuǎn)程系統(tǒng)可以是主機(jī)系統(tǒng)或者包括或關(guān)聯(lián)于SG的系統(tǒng)。因此,由于切換的安全協(xié)商在中間系統(tǒng)而不是遠(yuǎn)程系統(tǒng)被執(zhí)行,這由于中間系統(tǒng)到接入系統(tǒng)更近而減小了遠(yuǎn)程系統(tǒng)上的加載和信令延遲。另外,數(shù)據(jù)可以在切換期間并且可選地在對(duì)即將發(fā)生的切換的檢測(cè)之前在中間系統(tǒng)被緩存,以進(jìn)一步減少數(shù)據(jù)丟失。
圖1是其中可實(shí)現(xiàn)本發(fā)明實(shí)施例的通信系統(tǒng)的框圖。圖1中的通信系統(tǒng)包括接入系統(tǒng)10、中間系統(tǒng)12和連接到通信網(wǎng)絡(luò)16的遠(yuǎn)程系統(tǒng)14。盡管許多接入系統(tǒng)10、中間系統(tǒng)12和遠(yuǎn)程系統(tǒng)14可以連接到通信網(wǎng)絡(luò)12,然而圖1中僅示出了每個(gè)類型系統(tǒng)的一個(gè)例子以避免擁擠。因此應(yīng)當(dāng)認(rèn)識(shí)到,圖1的系統(tǒng)以及其他圖的內(nèi)容僅旨在進(jìn)行說(shuō)明,并且本發(fā)明決不限于附圖中明確示出且在這里描述的特定示例性實(shí)施例。
接入系統(tǒng)10、中間系統(tǒng)12和遠(yuǎn)程系統(tǒng)14是或至少包括通信設(shè)備,所述通信設(shè)備之間可以通過(guò)通信網(wǎng)絡(luò)16建立連接。在一個(gè)實(shí)施例中,接入系統(tǒng)10是無(wú)線移動(dòng)通信設(shè)備,而遠(yuǎn)程系統(tǒng)14是公司網(wǎng)絡(luò),該公司網(wǎng)絡(luò)包括網(wǎng)關(guān),通過(guò)該網(wǎng)關(guān)遠(yuǎn)程接入該公司網(wǎng)絡(luò)的資源。如下面詳細(xì)描述的那樣,中間系統(tǒng)12提供了通過(guò)其接入系統(tǒng)10可以接入遠(yuǎn)程系統(tǒng)14的另一網(wǎng)關(guān)。應(yīng)當(dāng)認(rèn)識(shí)到,接入系統(tǒng)10不必限于僅通過(guò)中間系統(tǒng)12接入遠(yuǎn)程系統(tǒng)14。也可以提供替換的接入機(jī)制。例如,接入系統(tǒng)10的用戶可以選擇直接與遠(yuǎn)程系統(tǒng)14建立通信而不是利用中間系統(tǒng)12。
盡管在圖1中被示為單一部件,然而網(wǎng)絡(luò)16可以包括不止一種類型的通信網(wǎng)絡(luò)。例如,如果接入系統(tǒng)10適于在移動(dòng)通信網(wǎng)絡(luò)內(nèi)操作并且遠(yuǎn)程系統(tǒng)14可通過(guò)互聯(lián)網(wǎng)接入,網(wǎng)絡(luò)16同時(shí)代表移動(dòng)通信網(wǎng)絡(luò)和有線通信網(wǎng)絡(luò)。在此情況下,中間系統(tǒng)12優(yōu)選地同時(shí)連接到移動(dòng)通信網(wǎng)絡(luò)和有線通信網(wǎng)絡(luò)。本發(fā)明的實(shí)施例還可以結(jié)合其他類型的網(wǎng)絡(luò)和互連而被實(shí)現(xiàn)。
因此,連接實(shí)際上可以是在其上交換通信信號(hào)的任意類型的連接。如本領(lǐng)域的技術(shù)人員認(rèn)識(shí)到的,連接可以包括有線連接、無(wú)線連接或其特定組合。在接入系統(tǒng)10、中間系統(tǒng)12和遠(yuǎn)程系統(tǒng)14之間可用的特定類型的通信連接可以取決于通信網(wǎng)絡(luò)16的類型及其中使用的協(xié)議、由服務(wù)提供商使用通信網(wǎng)絡(luò)16提供的服務(wù)、位于接入系統(tǒng)10、中間系統(tǒng)12和遠(yuǎn)程系統(tǒng)14的終端用戶設(shè)備的類型,以及可能地其他因素。
在傳統(tǒng)安全通信方案中,利用接入系統(tǒng)10和遠(yuǎn)程系統(tǒng)14之間的IPSec的安全VPN連接,是利用接入系統(tǒng)10的地址作為端點(diǎn)而被建立的。然而,如果接入系統(tǒng)10的地址改變,則IPSec SA必須在接入系統(tǒng)10和遠(yuǎn)程系統(tǒng)14之間被重新協(xié)商,這消耗了遠(yuǎn)程系統(tǒng)14的資源。通信網(wǎng)絡(luò)16中固有的延遲還導(dǎo)致該重新協(xié)商過(guò)程中的時(shí)延,該時(shí)延又會(huì)導(dǎo)致數(shù)據(jù)丟失和服務(wù)中斷。
因此希望減小在遠(yuǎn)程系統(tǒng)14對(duì)安全連接重新協(xié)商的資源需求以及IPSec SA協(xié)商過(guò)程中涉及的延遲。
本發(fā)明的實(shí)施例有效地將端到端連接分為兩個(gè)連接,包括接入系統(tǒng)10和中間系統(tǒng)12之間的連接11以及中間系統(tǒng)12和遠(yuǎn)程系統(tǒng)14之間的連接13。對(duì)于基于IPSec的安全連接,IPSec協(xié)商過(guò)程因而被分為兩個(gè)IPSec部分。第一部分是在接入系統(tǒng)10和中間系統(tǒng)12之間,并且第二部分是在中間系統(tǒng)12和遠(yuǎn)程系統(tǒng)14之間。當(dāng)接入系統(tǒng)10的地址改變時(shí),IPSec重新協(xié)商僅對(duì)于接入系統(tǒng)10和中間系統(tǒng)12之間的連接而被執(zhí)行。中間系統(tǒng)12優(yōu)選地被置于相比遠(yuǎn)程系統(tǒng)14更靠近接入系統(tǒng)10的物理位置,以由此減小關(guān)聯(lián)于IPSec重新協(xié)商的延遲,因?yàn)橹匦聟f(xié)商過(guò)程中涉及的消息不必傳播如此遠(yuǎn),即,僅到中間系統(tǒng)12而不是一直到遠(yuǎn)程系統(tǒng)14。當(dāng)接入系統(tǒng)10的地址改變時(shí)的重新協(xié)商處理,也由此從遠(yuǎn)程系統(tǒng)14被卸載到中間系統(tǒng)12。
圖2是根據(jù)本發(fā)明實(shí)施例的方法的流程圖。圖2的通信方法包括在20建立接入系統(tǒng)和中間系統(tǒng)之間以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接;以及,在22綁定所述連接以建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。接入系統(tǒng)、中間系統(tǒng)和遠(yuǎn)程系統(tǒng)的例子在圖1中的10、12、14被示出并且已在上面描述。
在一個(gè)實(shí)施例中,在20的操作包括建立用于接入系統(tǒng)和中間系統(tǒng)之間的安全連接以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的各個(gè)IPSec SA。所述SA然后在22被綁定以建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全端到端連接。如本領(lǐng)域的技術(shù)人員認(rèn)識(shí)到的,SA典型地提供了針對(duì)通信方之間一個(gè)方向上數(shù)據(jù)傳輸?shù)臄?shù)據(jù)安全性。因此應(yīng)當(dāng)理解,這里對(duì)建立用于安全連接的SA的參考旨在包括建立分別用于單向或雙向安全通信的單個(gè)SA或多個(gè)SA。
在20的連接建立可以由接入系統(tǒng)例如通過(guò)向中間系統(tǒng)發(fā)送通信信號(hào)而被發(fā)起。如果IPSec被用于提供安全連接,則來(lái)自接入系統(tǒng)的通信信號(hào)由此啟動(dòng)經(jīng)由中間系統(tǒng)到遠(yuǎn)程系統(tǒng)的IKE過(guò)程。中間系統(tǒng)的地址可以在嘗試進(jìn)行遠(yuǎn)程接入之前的某個(gè)時(shí)刻被提供給接入系統(tǒng),例如當(dāng)遠(yuǎn)程接入服務(wù)被提供給接入系統(tǒng)時(shí),如果接入系統(tǒng)是移動(dòng)通信設(shè)備則通過(guò)移動(dòng)通信網(wǎng)絡(luò)中基于位置的服務(wù)而被通告,或者當(dāng)接入系統(tǒng)執(zhí)行或嘗試直接與遠(yuǎn)程系統(tǒng)進(jìn)行IKE過(guò)程時(shí)由遠(yuǎn)程系統(tǒng)所提供。其他中間系統(tǒng)地址分配方案對(duì)于本領(lǐng)域的技術(shù)人員也是顯而易見(jiàn)的。
根據(jù)本發(fā)明的一個(gè)實(shí)施例,中間系統(tǒng)首先響應(yīng)于來(lái)自接入系統(tǒng)的通信信號(hào)而建立用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA。用于接入系統(tǒng)和中間系統(tǒng)之間的安全連接的IPSec SA然后在已經(jīng)建立用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA之后而被建立。
如果安全連接的目的是使接入系統(tǒng)獲得至遠(yuǎn)程系統(tǒng)資源的接入,如在到遠(yuǎn)程系統(tǒng)的安全VPN連接的情況下,則僅當(dāng)中間系統(tǒng)到遠(yuǎn)程系統(tǒng)的連接被成功建立的情況下建立接入系統(tǒng)到中間系統(tǒng)的連接才是優(yōu)選的。然而,本發(fā)明決不限于連接建立的任意特定順序。例如,中間系統(tǒng)可以在已經(jīng)建立到遠(yuǎn)程系統(tǒng)的連接之前執(zhí)行與接入系統(tǒng)建立連接的操作。
當(dāng)建立用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA時(shí),中間系統(tǒng)可以使用接入系統(tǒng)的標(biāo)識(shí)符和其他證書(shū),但以中間系統(tǒng)的地址作為端點(diǎn)。這樣,中間系統(tǒng)可以有效地模仿接入系統(tǒng)而發(fā)起到遠(yuǎn)程系統(tǒng)的IKE過(guò)程。一旦用于中間系統(tǒng)到遠(yuǎn)程系統(tǒng)的連接的SA被協(xié)商,SA協(xié)商過(guò)程就優(yōu)選地在中間系統(tǒng)和接入系統(tǒng)之間被發(fā)起,其中中間系統(tǒng)和接入系統(tǒng)使用其自己各自的證書(shū)。
圖3是說(shuō)明根據(jù)本發(fā)明實(shí)施例的安全連接建立的消息流程圖。接入系統(tǒng)、中間系統(tǒng)和遠(yuǎn)程系統(tǒng)分別在30、32、34示出。由于本領(lǐng)域的技術(shù)人員熟悉IPSec SA過(guò)程,因此下面僅簡(jiǎn)要描述圖3的消息流程圖。
ISAKMP SA建立階段期間的信令在36被示出。中間系統(tǒng)將ISAKMP數(shù)據(jù)、標(biāo)記為IDAS的接入系統(tǒng)30標(biāo)識(shí)符、Diffie-Hellman half-key以及nonce,傳送給遠(yuǎn)程系統(tǒng)34。遠(yuǎn)程系統(tǒng)34以ISAKMP SA響應(yīng)、Diffie-Hellman half-key、標(biāo)記為IDRS的遠(yuǎn)程系統(tǒng)標(biāo)識(shí)符、散列HashRS以及cookie CookieAS作為響應(yīng)。ISAKMP SA階段的信令是隨著散列HashAS和cookie對(duì)Cookie-pair從中間系統(tǒng)32到遠(yuǎn)程系統(tǒng)34傳輸而完成的。ISAKMP SA在中間系統(tǒng)32和遠(yuǎn)程系統(tǒng)34檢驗(yàn)散列HashRS和HashAS以及彼此的身份時(shí)成功地被建立。在36的消息流程不同于傳統(tǒng)的ISAKMP消息流程,這是因?yàn)橹虚g系統(tǒng)32使用接入系統(tǒng)30的證書(shū)而不是它自己的證書(shū)。
用于IPSec SA建立的第二階段的信令在38示出,并且其以與在36的ISAKMP SA信令大致類似的方式進(jìn)行,其中使用在中間系統(tǒng)32和遠(yuǎn)程系統(tǒng)34之間被交換的信息來(lái)建立例如用于從中間系統(tǒng)32到遠(yuǎn)程系統(tǒng)34傳送數(shù)據(jù)的IPSec SA[IS,RS]40,即ESP SA。如將變得顯而易見(jiàn)的,42表示用于另一方向上的數(shù)據(jù)傳輸?shù)腎PSec SA [RS,IS]。
針對(duì)中間系統(tǒng)32和接入系統(tǒng)30之間的安全連接以類似的方式在44和46建立IPSec SA,其中中間系統(tǒng)32和接入系統(tǒng)30使用其自己各自的證書(shū)。
盡管圖3示出了IPSec SA建立的特定例子,然而應(yīng)當(dāng)理解,本發(fā)明決不限于此。例如,本發(fā)明的實(shí)施例可以結(jié)合這樣的安全連接而被實(shí)現(xiàn)該安全連接提供單向數(shù)據(jù)安全而不是圖3所示的Sa所提供的雙向安全。
再次參考圖2,用于在22綁定接入系統(tǒng)和中間系統(tǒng)之間以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的一種可能機(jī)制在于,將所述連接的標(biāo)識(shí)符存儲(chǔ)在例如存儲(chǔ)器的查找表中。由于IPSec SA典型地使用SPI而被標(biāo)識(shí),因此所述中間系統(tǒng)可以存儲(chǔ)標(biāo)識(shí)了用于安全連接的IPSec SA的各個(gè)SPI。
在一個(gè)實(shí)施例中,所述中間系統(tǒng)在查找表中用接入系統(tǒng)的標(biāo)識(shí)符和可能地遠(yuǎn)程系統(tǒng)的標(biāo)識(shí)符來(lái)創(chuàng)建條目或記錄,其中針對(duì)所述接入系統(tǒng)與所述遠(yuǎn)程系統(tǒng)建立連接。系統(tǒng)標(biāo)識(shí)符可以包括例如IP地址和MAC地址,如果有可能獲得MAC地址的話。說(shuō)明性地是關(guān)聯(lián)于IPSec SA的SPI的安全連接標(biāo)識(shí)符,優(yōu)選地被存儲(chǔ)在同一條目中。其他標(biāo)識(shí)符和地址也可以或作為代替而被用在查找表?xiàng)l目或其他類型的記錄中,用于綁定安全連接。
例如當(dāng)從接入系統(tǒng)接收到請(qǐng)求至遠(yuǎn)程系統(tǒng)的連接的通信信號(hào)時(shí),或者在已經(jīng)建立與遠(yuǎn)程系統(tǒng)和接入系統(tǒng)的安全連接中的一個(gè)或二者之后,可以創(chuàng)建表?xiàng)l目。因此,SPI可以被添加到之前創(chuàng)建的表?xiàng)l目中的數(shù)據(jù)字段中,或者當(dāng)該條目被創(chuàng)建時(shí)被填充。
在已經(jīng)建立和綁定所述安全連接之后,從遠(yuǎn)程系統(tǒng)接收的通信信號(hào)由中間系統(tǒng)根據(jù)用于遠(yuǎn)程系統(tǒng)和中間系統(tǒng)之間的安全連接的IPSec SA來(lái)處理,說(shuō)明性地例如是圖3中的IPSec SA[RS,IS],從而恢復(fù)所發(fā)送的信息。通信信號(hào)處理可以包括例如解密和數(shù)字簽名檢查。所恢復(fù)的被發(fā)送信息然后根據(jù)用于接入系統(tǒng)和中間系統(tǒng)之間的安全連接的IPSec SA而被進(jìn)一步處理,例如圖3所示的IPSec SA [IS,AS],從而產(chǎn)生用于向接入系統(tǒng)傳送的通信信號(hào)。這個(gè)進(jìn)一步處理可以包括例如加密和數(shù)字簽名的操作。
類似地,包含被發(fā)送信息的、來(lái)自接入系統(tǒng)并去往遠(yuǎn)程系統(tǒng)的通信信號(hào),由中間系統(tǒng)根據(jù)用于接入系統(tǒng)和中間系統(tǒng)之間的安全連接的IPSec SA來(lái)處理,例如圖3所示的IPSec SA [AS,IS],從而恢復(fù)所發(fā)送的接入系統(tǒng)信息。所恢復(fù)的接入系統(tǒng)信息根據(jù)用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA而被進(jìn)一步處理,例如圖3所示的IPSec SA[IS,RS],從而產(chǎn)生用于向遠(yuǎn)程系統(tǒng)傳送的通信信號(hào)。
中間系統(tǒng)由此恢復(fù)了由接入系統(tǒng)和遠(yuǎn)程系統(tǒng)發(fā)送的信息。合適的安全措施因而優(yōu)選地在中間系統(tǒng)被實(shí)現(xiàn),以防止在接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間傳輸期間對(duì)所恢復(fù)信息的任何未授權(quán)接入。
根據(jù)本發(fā)明的另一方面,圖2的方法包括在24檢測(cè)接入系統(tǒng)操作條件的改變,以及響應(yīng)于所檢測(cè)的改變?cè)?6與接入系統(tǒng)建立新連接。接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全端到端連接此后包括接入系統(tǒng)和中間系統(tǒng)之間的新安全連接以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間之前存在的安全連接。
在24的檢測(cè)可以包括檢測(cè)接入系統(tǒng)地址的改變,例如IP地址。如上面所描述的,當(dāng)接入系統(tǒng)是或包括移動(dòng)通信設(shè)備并且在使用不同地址組的相鄰?fù)ㄐ啪W(wǎng)絡(luò)或子網(wǎng)間切換通信時(shí),較經(jīng)常發(fā)生接入系統(tǒng)地址改變。
接入系統(tǒng)可以被配置用于通過(guò)發(fā)送地址改變通知來(lái)更新中間系統(tǒng)。中間系統(tǒng)也可以或替代地通過(guò)監(jiān)控從接入系統(tǒng)接收的通信信號(hào)中的“來(lái)源”地址或類似信息來(lái)檢測(cè)地址改變。在另一實(shí)施例中,中間系統(tǒng)確定接入系統(tǒng)地址改變即將發(fā)生??梢岳缁诩磳l(fā)生的切換觸發(fā)、針對(duì)移動(dòng)通信設(shè)備作出這種類型的確定,其中所述切換觸發(fā)是通過(guò)低層協(xié)議利用所測(cè)量的信號(hào)功率、信噪比、差錯(cuò)率或從接入系統(tǒng)接收的通信信號(hào)的其他特征來(lái)被生成。
在切換或接入系統(tǒng)地址改變之后,安全連接綁定,即上述實(shí)施例中在中間系統(tǒng)被維持的表,被更新以反映新的接入系統(tǒng)地址。去往接入系統(tǒng)并且被緩存或在遠(yuǎn)程系統(tǒng)和中間系統(tǒng)之間傳送的任何通信信號(hào)(說(shuō)明性地是分組)因而可以例如通過(guò)使用IPSec SA而被轉(zhuǎn)發(fā)到該新地址,其中所述IPSec SA是利用之前的接入系統(tǒng)地址并將信號(hào)隧道傳送到該新地址而被創(chuàng)建的。在檢測(cè)到即將發(fā)生的地址改變的情況下,中間系統(tǒng)可以開(kāi)始緩存信號(hào)用于之后在新接入系統(tǒng)地址可用時(shí)傳送給接入系統(tǒng)。
在26的操作可以包括例如利用接入系統(tǒng)的新IP地址通過(guò)IKE協(xié)商來(lái)建立用于接入系統(tǒng)和中間系統(tǒng)之間的新安全連接的新IPSec SA。一旦創(chuàng)建了新的SA,該新的SA就例如通過(guò)更新存儲(chǔ)在中間系統(tǒng)的存儲(chǔ)器中的表而被綁定到用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的現(xiàn)有安全連接的SA。這個(gè)重新協(xié)商也可以在檢測(cè)到即將發(fā)生的切換時(shí)被啟動(dòng)。
應(yīng)當(dāng)認(rèn)識(shí)到,在26的操作可以包括完整的IPSec SA建立過(guò)程、部分的SA重新協(xié)商過(guò)程,或者可能地現(xiàn)有IPSec SA對(duì)中間系統(tǒng)和接入系統(tǒng)之間新連接的重新分配。
前面的描述主要涉及根據(jù)本發(fā)明實(shí)施例的方法。圖4是根據(jù)本發(fā)明實(shí)施例的中間系統(tǒng)的框圖。示例性中間系統(tǒng)60包括連接到存儲(chǔ)器58、收發(fā)信機(jī)50和也連接到收發(fā)信機(jī)50的檢測(cè)器52的IPSec客戶端54。
收發(fā)信機(jī)50可以是例如調(diào)制解調(diào)器,通過(guò)該調(diào)制解調(diào)器可以建立與接入系統(tǒng)和遠(yuǎn)程系統(tǒng)的通信。收發(fā)信機(jī)50的特定結(jié)構(gòu)和操作取決于它支持的一種或多種類型的通信。還設(shè)想,收發(fā)信機(jī)50可以包括用于分別與接入系統(tǒng)和遠(yuǎn)程系統(tǒng)通信的不止一種類型的收發(fā)信機(jī),其中所述接入系統(tǒng)和遠(yuǎn)程系統(tǒng)被配置用于利用不同類型的通信網(wǎng)絡(luò)、介質(zhì)和協(xié)議來(lái)操作。
存儲(chǔ)器58可以類似地包括一個(gè)或多個(gè)存儲(chǔ)器設(shè)備,所述存儲(chǔ)器設(shè)備可以是相同或不同的類型。在優(yōu)選實(shí)施例中,存儲(chǔ)器58是例如隨機(jī)存取存儲(chǔ)器(RAM)的固態(tài)存儲(chǔ)設(shè)備,盡管其他類型的存儲(chǔ)設(shè)備也可以或作為替代而被提供。
安全連接建立和通信信號(hào)處理由IPSec客戶端54處理,該IPSec客戶端54可以如所示地被實(shí)現(xiàn)在處理器56中,或者更特別地被實(shí)現(xiàn)在由處理器56執(zhí)行的軟件中。IPSec客戶端54結(jié)合位于接入系統(tǒng)和遠(yuǎn)程系統(tǒng)的其他IPSec客戶端來(lái)操作,以建立安全連接并處理在那些連接上接收的或要發(fā)送的通信信號(hào)。
處理器56可以是專用處理器或通用處理器,其還執(zhí)行例如操作系統(tǒng)軟件或軟件應(yīng)用的其他軟件,并且可能地執(zhí)行中間系統(tǒng)的其他功能或操作。在圖4所示的實(shí)施例中,處理器56還提供了檢測(cè)器52。
檢測(cè)器52包括用于檢測(cè)接入系統(tǒng)操作條件改變的一個(gè)或多個(gè)模塊或部件。如上所述,中間系統(tǒng)可以檢測(cè)例如接入系統(tǒng)地址和所接收信號(hào)強(qiáng)度的接入系統(tǒng)操作條件的改變。因此,檢測(cè)器52可以包括一種模塊,該模塊用于接收來(lái)自接入系統(tǒng)的地址改變通知,或者用于解析或接收從接入系統(tǒng)接收的通信信號(hào)中的發(fā)送方地址或類似信息,以由此檢測(cè)接入系統(tǒng)地址改變。信號(hào)強(qiáng)度可以例如在數(shù)字信號(hào)處理器(DSP)中被確定。因此,檢測(cè)器52可以包括多種類型的檢測(cè)器或結(jié)合它們來(lái)操作。
本發(fā)明決不限于圖4的示例性實(shí)施例,其中,處理器56執(zhí)行軟件來(lái)提供安全連接建立和檢測(cè)功能。在其他實(shí)施例中,中間系統(tǒng)可以包括支持這些功能的分離的硬件部件。這里對(duì)由處理器、檢測(cè)器和IPSec客戶端實(shí)施的功能的參考因而應(yīng)當(dāng)被相應(yīng)地解釋。
中間系統(tǒng)60的操作將從上面的方法描述中變得顯而易見(jiàn)。用于與接入系統(tǒng)和遠(yuǎn)程系統(tǒng)的安全連接的各個(gè)IPSec SA由IPSec客戶端54通過(guò)收發(fā)信機(jī)50來(lái)建立,并且被相互綁定以建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接。SA可以通過(guò)將每個(gè)SA的SPI或其他標(biāo)識(shí)符存儲(chǔ)在存儲(chǔ)器58中而被綁定。當(dāng)SA已被綁定時(shí),要在接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間傳送的包括信息的通信信號(hào)基本上如上所述地被處理。
在中間系統(tǒng)的安全連接重新建立操作也已在上面進(jìn)行了描述。響應(yīng)于檢測(cè)器52所檢測(cè)到的接入系統(tǒng)操作條件的改變,接入系統(tǒng)和中間系統(tǒng)之間的新安全連接由IPSec客戶端54通過(guò)收發(fā)信機(jī)50來(lái)建立。接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接此后包括接入系統(tǒng)和中間系統(tǒng)之間的新安全連接以及中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的現(xiàn)有安全連接。
盡管附圖中未明確示出,然而應(yīng)當(dāng)認(rèn)識(shí)到,接入系統(tǒng)和遠(yuǎn)程系統(tǒng)可以基本上類似于中間系統(tǒng)60,這是因?yàn)槊總€(gè)都包括用于與中間系統(tǒng)建立安全連接的某種收發(fā)信機(jī)和IPSec客戶端。在接入系統(tǒng),期望在說(shuō)明性地是移動(dòng)通信設(shè)備的單個(gè)電子設(shè)備中實(shí)現(xiàn)這些部件。然而如本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到的,經(jīng)常使用分離的互連計(jì)算機(jī)系統(tǒng)以提供遠(yuǎn)程接入功能和其他資源。例如,在一種通常的安排中,公司網(wǎng)絡(luò)內(nèi)的安全網(wǎng)關(guān)提供了對(duì)所有網(wǎng)絡(luò)資源的遠(yuǎn)程接入功能。
圖5是包括本發(fā)明另一實(shí)施例的通信系統(tǒng)的框圖。圖5的通信系統(tǒng)包括公司網(wǎng)絡(luò)82、可通過(guò)互聯(lián)網(wǎng)78和安全網(wǎng)關(guān)(SG)80與公司網(wǎng)絡(luò)82建立安全連接的錨定代理安全網(wǎng)關(guān)(APSG)76,以及多個(gè)移動(dòng)通信網(wǎng)絡(luò)70、72、74,在所述移動(dòng)通信網(wǎng)絡(luò)內(nèi)配置移動(dòng)通信設(shè)備以進(jìn)行操作,所述移動(dòng)通信設(shè)備中的一個(gè)在84示出。
在圖5的系統(tǒng)中,移動(dòng)通信設(shè)備84代表接入系統(tǒng),APSG76代表中間系統(tǒng),并且公司網(wǎng)絡(luò)82代表遠(yuǎn)程系統(tǒng)。公司網(wǎng)絡(luò)82還提供了遠(yuǎn)程系統(tǒng)的實(shí)例,在該遠(yuǎn)程系統(tǒng)中,遠(yuǎn)程系統(tǒng)資源和對(duì)該資源的遠(yuǎn)程接入是由分離的部件來(lái)支持的,這是因?yàn)镾G80提供對(duì)公司網(wǎng)絡(luò)82的資源的遠(yuǎn)程接入。
移動(dòng)通信網(wǎng)絡(luò)70、72、74旨在代表不同的網(wǎng)絡(luò)地址空間。盡管在圖5中為了進(jìn)行說(shuō)明而被分離地示出,然而網(wǎng)絡(luò)70、72、74可以是同一通信網(wǎng)絡(luò)的一部分。移動(dòng)通信設(shè)備84因而當(dāng)操作于網(wǎng)絡(luò)70、72、74中時(shí)被分配以不同的地址。
當(dāng)移動(dòng)通信設(shè)備在任一網(wǎng)絡(luò)70、72、74中操作時(shí),安全連接可以通過(guò)APSG76在移動(dòng)通信設(shè)備84和公司網(wǎng)絡(luò)82之間被建立。如果移動(dòng)通信設(shè)備84的用戶希望安全地與公司網(wǎng)絡(luò)82通信,以例如接入被存儲(chǔ)在公司網(wǎng)絡(luò)82的IP服務(wù),而設(shè)備84正操作于網(wǎng)絡(luò)70內(nèi),則經(jīng)由APSG76到SG80的IKE過(guò)程被啟動(dòng)。
連接建立因而可以基本上如上所述地進(jìn)行。在一個(gè)實(shí)施例中,APSG76使用移動(dòng)通信設(shè)備84的證書(shū)和它自己的地址作為端點(diǎn)來(lái)模仿移動(dòng)通信設(shè)備84發(fā)起到SG80的IKE過(guò)程。一旦SA1[APSG,SG]已被協(xié)商,則APSG76就使用它自己的證書(shū)、利用移動(dòng)通信設(shè)備84發(fā)起相同的過(guò)程,其中該移動(dòng)通信設(shè)備在本例中操作于網(wǎng)絡(luò)70內(nèi),并且在要建立雙向安全的情況下請(qǐng)求移動(dòng)通信設(shè)備84執(zhí)行相同的操作。APSG76然后綁定所創(chuàng)建的SA到移動(dòng)通信設(shè)備84,其在圖5中標(biāo)記為SA1[MN1,APSG],和SA1[APSG,SG]。當(dāng)安全連接被發(fā)起而所述設(shè)備正操作于其他網(wǎng)絡(luò)72、74內(nèi)時(shí),類似的過(guò)程可以被用于建立移動(dòng)通信設(shè)備84和公司網(wǎng)絡(luò)82之間的安全連接。
下表提供了位于APSG76的查找表的說(shuō)明性例子,其中用于兩個(gè)移動(dòng)通信設(shè)備中每一個(gè)與公司網(wǎng)絡(luò)82之間的安全連接的SA根據(jù)本發(fā)明一個(gè)實(shí)施例而被綁定。盡管僅一個(gè)移動(dòng)通信設(shè)備84在圖5中被示出,然而本領(lǐng)域的技術(shù)人員將理解,APSG76可以被配置為利用多個(gè)移動(dòng)通信設(shè)備操作。
上面的查找表利用標(biāo)識(shí)了IPSec SA的SPI來(lái)綁定或關(guān)聯(lián)安全連接。在中間系統(tǒng)的存儲(chǔ)器中的數(shù)據(jù)結(jié)構(gòu),由此可以包括用于中間系統(tǒng)和接入系統(tǒng)之間的安全連接的IPSec SA的SPI,和用于中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的IPSec SA的SPI。例如,該表中的SPI[MN1,APSG]和SPI_1[APSG,SG]標(biāo)識(shí)了圖5中的SA1[MN1,APSG]和SA1[APSG,SG]。IPSec SA在存儲(chǔ)器中被綁定,以由此建立移動(dòng)通信設(shè)備和公司網(wǎng)絡(luò)82之間的安全連接。
這個(gè)示例性查找表還包括移動(dòng)通信設(shè)備的標(biāo)識(shí)符,優(yōu)選地是當(dāng)移動(dòng)通信設(shè)備漫游時(shí)不會(huì)改變的歸屬標(biāo)識(shí)符,以及該移動(dòng)通信設(shè)備的當(dāng)前IP地址。當(dāng)發(fā)生切換時(shí),APSG檢測(cè)移動(dòng)通信設(shè)備的新地址并相應(yīng)地更新所述查找表。如果新SA也利用該新IP地址而被建立,則所述表類似地用新SPI被更新。
如上所述,SA提供了一個(gè)方向上的數(shù)據(jù)傳輸?shù)陌踩浴R虼?,多個(gè)記錄可以被存儲(chǔ)在用于雙向安全連接的查找表中,以綁定用于每個(gè)數(shù)據(jù)傳輸方向的SA。在另一實(shí)施例中,查找表中的單個(gè)記錄針對(duì)兩個(gè)方向綁定所創(chuàng)建的SA。在此情況下,每個(gè)表?xiàng)l目可以包括四個(gè)SPI而不是兩個(gè)。如果標(biāo)識(shí)符可以用來(lái)標(biāo)識(shí)用于安全連接的不止一組參數(shù)或者相同的參數(shù)被用于雙向安全,則雙向安全連接綁定可以利用具有如上面的查找表中所示的通用結(jié)構(gòu)的單個(gè)記錄來(lái)完成。
根據(jù)本發(fā)明的另一方面,通過(guò)在APSG76和SG80之間多路復(fù)用安全連接來(lái)優(yōu)化通信系統(tǒng)資源的使用,其中所述多路復(fù)用是在IPSec中由所謂的隧道化來(lái)實(shí)現(xiàn)的。例如,幾個(gè)隧道可以被建立,其中每個(gè)隧道由“服務(wù)等級(jí)”來(lái)區(qū)分,并且到隧道的接入是基于移動(dòng)通信設(shè)備所具有的服務(wù)計(jì)劃或優(yōu)先級(jí)來(lái)被控制的。
接入系統(tǒng)可以還建立共享接入系統(tǒng)和中間系統(tǒng)之間的同一安全連接的、到遠(yuǎn)程系統(tǒng)的多個(gè)安全連接。如果期望到多個(gè)遠(yuǎn)程系統(tǒng)的安全VPN連接,則中間系統(tǒng)到遠(yuǎn)程系統(tǒng)的連接可以基本上同時(shí)被建立,并且被綁定到單個(gè)接入系統(tǒng)到中間系統(tǒng)的連接,其中該接入系統(tǒng)到中間系統(tǒng)的連接在接入系統(tǒng)的地址改變時(shí)被維持。這個(gè)機(jī)制可能是有用的,例如,如果某人是多個(gè)公司的所有者并且希望在到每個(gè)公司的連接之間具有獨(dú)立性。
在此情況下,接入系統(tǒng)可以與中間系統(tǒng)具有一個(gè)IPSec連接,說(shuō)明性地是上面參考圖5使用的標(biāo)記中的[MN1<->APSG],以及多個(gè)IPSec連接[APSG<->SG1]、[APSG<->SG2]等。接入系統(tǒng)現(xiàn)在必須維持具有多個(gè)虛連接的僅一個(gè)IPSec連接。接入系統(tǒng)在切換或會(huì)導(dǎo)致地址改變的其他條件的情況下不必重新協(xié)商用于不同公司的每個(gè)SA。
對(duì)于共享連接的實(shí)施例,關(guān)于用于在不同遠(yuǎn)程系統(tǒng)中接入不同服務(wù)的安全級(jí)別(相容性)的某種協(xié)定可能是優(yōu)選的。在一個(gè)實(shí)施例中,在共享單個(gè)接入系統(tǒng)到中間系統(tǒng)連接的所有中間系統(tǒng)到遠(yuǎn)程系統(tǒng)連接之中的最高安全級(jí)別被用于接入系統(tǒng)到中間系統(tǒng)的連接。例如,如果AES被用在APSG和第一安全網(wǎng)關(guān)SG1之間,并且DES被用在APSG和第二安全網(wǎng)關(guān)SG2之間,則AES可以因而被選定用于到該APSG的共享的接入系統(tǒng)連接。其他安全級(jí)別選擇機(jī)制也是可能的。
應(yīng)當(dāng)認(rèn)識(shí)到,遠(yuǎn)程系統(tǒng)不必是公司系統(tǒng)或安全網(wǎng)關(guān)。IPSec網(wǎng)關(guān)也可以被實(shí)現(xiàn)用于例如家庭計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)。因此,多個(gè)同時(shí)的連接可以包括例如共享同一接入系統(tǒng)到中間系統(tǒng)連接的、至用戶的家庭系統(tǒng)的安全連接和至用戶的辦公室系統(tǒng)的安全連接。當(dāng)接入系統(tǒng)移動(dòng)并且改變其身份時(shí),僅該接入系統(tǒng)和中間系統(tǒng)之間的連接被重新協(xié)商或更新。
已描述的內(nèi)容僅說(shuō)明了本發(fā)明原理的應(yīng)用。其他安排和方法可以由本領(lǐng)域的技術(shù)人員在不脫離本發(fā)明范圍的情況下實(shí)現(xiàn)。
因此,更一般地,第一系統(tǒng)與第二系統(tǒng)之間的、包括第一系統(tǒng)和中間系統(tǒng)之間的第一安全連接以及中間系統(tǒng)和第二系統(tǒng)之間的第二安全連接的安全連接,可以根據(jù)上述技術(shù)來(lái)被管理。響應(yīng)于檢測(cè)到第一系統(tǒng)或第二系統(tǒng)的操作條件的改變,中間系統(tǒng)與第一和第二系統(tǒng)之一之間的新安全連接可以在維持其他安全連接的同時(shí)被建立。
還設(shè)想,安全連接可以包括多個(gè)中間系統(tǒng)之間的各個(gè)安全連接。例如,第一系統(tǒng)和第二系統(tǒng)之間的安全連接,可以通過(guò)優(yōu)選地鄰近于第一系統(tǒng)的第一中間系統(tǒng)和優(yōu)選地鄰近于第二系統(tǒng)的第二中間系統(tǒng)而被建立。在此情況下,第一和第二系統(tǒng)中每一個(gè)都具有到第一或第二中間系統(tǒng)的安全連接,其中該安全連接例如在分配新的地址時(shí)如上所述地被重新協(xié)商或更新。因此,即使是當(dāng)?shù)谝缓偷诙到y(tǒng)中的一個(gè)或二者的操作條件改變時(shí),第一和第二中間系統(tǒng)之間的連接也可以保持完好。在接入系統(tǒng)和遠(yuǎn)程系統(tǒng)的情況下,中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接可以包括中間系統(tǒng)和第二中間系統(tǒng)之間的安全連接以及第二中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接,其中第二中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接基本上如上所述地被管理。
本發(fā)明的實(shí)施例還可以利用除IPSec以外的安全協(xié)議和技術(shù)來(lái)被實(shí)現(xiàn)。
另外,盡管主要就方法和系統(tǒng)進(jìn)行了描述,然而也設(shè)想本發(fā)明的其他實(shí)現(xiàn),例如存儲(chǔ)于計(jì)算機(jī)可讀介質(zhì)上的指令。
權(quán)利要求
1.一種通信方法,其包括建立用于接入系統(tǒng)和中間系統(tǒng)之間的安全連接以及所述中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的各個(gè)互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián);以及綁定所述互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián),以建立所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接。
2.根據(jù)權(quán)利要求1的方法,其中,所述建立包括接收來(lái)自所述接入系統(tǒng)的通信信號(hào);以及響應(yīng)于所述通信信號(hào)而建立用于所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
3.根據(jù)權(quán)利要求2的方法,其還包括在已經(jīng)建立用于所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)之后,建立用于所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
4.根據(jù)權(quán)利要求1到3中任一個(gè)的方法,其中,所述建立用于所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)包括向所述遠(yuǎn)程系統(tǒng)提供關(guān)聯(lián)于所述接入系統(tǒng)的標(biāo)識(shí)符。
5.根據(jù)權(quán)利要求1到3中任一個(gè)的方法,其中,所述綁定包括將標(biāo)識(shí)了各個(gè)互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)中每一個(gè)的各個(gè)安全參數(shù)索引存儲(chǔ)在存儲(chǔ)器中。
6.根據(jù)權(quán)利要求1的方法,其還包括在所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接上從所述遠(yuǎn)程系統(tǒng)接收通信信號(hào),其中所接收的通信信號(hào)包括被發(fā)送信息;根據(jù)用于所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)來(lái)處理所接收的通信信號(hào),以恢復(fù)所述被發(fā)送信息;以及根據(jù)用于所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)來(lái)處理所恢復(fù)的被發(fā)送信息,從而產(chǎn)生通信信號(hào)以在所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接上傳送給所述接入系統(tǒng)。
7.根據(jù)權(quán)利要求1的方法,其還包括在所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接上從所述接入系統(tǒng)接收通信信號(hào),其中所接收的通信信號(hào)包括被發(fā)送信息;根據(jù)用于所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)來(lái)處理所接收的通信信號(hào),以恢復(fù)所述被發(fā)送信息;以及根據(jù)用于所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)來(lái)處理所恢復(fù)的被發(fā)送信息,從而產(chǎn)生通信信號(hào)以在所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接上傳送給所述遠(yuǎn)程系統(tǒng)。
8.根據(jù)權(quán)利要求1到3、6和7中任一個(gè)的方法,其還包括檢測(cè)所述接入系統(tǒng)操作條件的改變;以及響應(yīng)于所述檢測(cè),建立用于所述接入系統(tǒng)和所述中間系統(tǒng)之間的新安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
9.根據(jù)權(quán)利要求1到3中任一個(gè)的方法,其中,所述建立用于所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)包括建立用于所述中間系統(tǒng)和第二中間系統(tǒng)之間的安全連接以及所述第二中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的各個(gè)互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián);以及,綁定用于所述中間系統(tǒng)和所述第二中間系統(tǒng)之間的安全連接以及所述第二中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
10.根據(jù)權(quán)利要求1到3、6和7中任一個(gè)的方法,其還包括建立用于所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)或另一遠(yuǎn)程系統(tǒng)之間的另一安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián);以及將用于所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)綁定到用于所述另一安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
11.一種存儲(chǔ)指令的計(jì)算機(jī)可讀介質(zhì),其中,所述指令當(dāng)被執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求1到3、6和7中任一個(gè)的方法。
12.一種用于建立接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的系統(tǒng),所述系統(tǒng)包括收發(fā)信機(jī),其用于與所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)通信;以及處理器,其被配置用于通過(guò)所述收發(fā)信機(jī)建立用于與所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)的安全連接的各個(gè)互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián);以及綁定所述互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)以建立所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接。
13.根據(jù)權(quán)利要求12的系統(tǒng),其中,所述處理器還被配置用于通過(guò)所述收發(fā)信機(jī)接收來(lái)自所述接入系統(tǒng)的通信信號(hào);以及響應(yīng)于所述通信信號(hào),建立用于與所述遠(yuǎn)程系統(tǒng)的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
14.根據(jù)權(quán)利要求13的系統(tǒng),其中,所述處理器還被配置用于在已經(jīng)建立用于與所述遠(yuǎn)程系統(tǒng)的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)之后,建立用于與所述接入系統(tǒng)的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
15.根據(jù)權(quán)利要求12到14中任一個(gè)的系統(tǒng),其中,所述處理器還被配置用于使用關(guān)聯(lián)于所述接入系統(tǒng)的標(biāo)識(shí)符來(lái)建立用于與所述遠(yuǎn)程系統(tǒng)的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
16.根據(jù)權(quán)利要求12到14中任一個(gè)的系統(tǒng),其還包括存儲(chǔ)器,其中,所述處理器通過(guò)將標(biāo)識(shí)了所述互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)中每一個(gè)的各個(gè)安全參數(shù)索引存儲(chǔ)在所述存儲(chǔ)器中,來(lái)綁定所述互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
17.根據(jù)權(quán)利要求12的系統(tǒng),其中,所述處理器還被配置用于根據(jù)用于與所述遠(yuǎn)程系統(tǒng)的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)來(lái)處理通過(guò)所述收發(fā)信機(jī)從所述遠(yuǎn)程系統(tǒng)接收的遠(yuǎn)程系統(tǒng)通信信號(hào),從而恢復(fù)所述遠(yuǎn)程系統(tǒng)通信信號(hào)中的遠(yuǎn)程系統(tǒng)發(fā)送信息;根據(jù)用于與所述接入系統(tǒng)的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)來(lái)處理所恢復(fù)的遠(yuǎn)程系統(tǒng)發(fā)送信息,從而產(chǎn)生通信信號(hào)以通過(guò)所述收發(fā)信機(jī)傳送給所述接入系統(tǒng);根據(jù)用于與所述接入系統(tǒng)的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)來(lái)處理通過(guò)所述收發(fā)信機(jī)從所述接入系統(tǒng)接收的接入系統(tǒng)通信信號(hào),從而恢復(fù)所述接入系統(tǒng)通信信號(hào)中的接入系統(tǒng)發(fā)送信息;以及根據(jù)用于與所述遠(yuǎn)程系統(tǒng)的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)來(lái)處理所恢復(fù)的接入系統(tǒng)發(fā)送信息,從而產(chǎn)生通信信號(hào)以通過(guò)所述收發(fā)信機(jī)傳送給所述遠(yuǎn)程系統(tǒng)。
18.根據(jù)權(quán)利要求12到14和17中任一個(gè)的系統(tǒng),其中,所述處理器還被配置用于檢測(cè)所述接入系統(tǒng)操作條件的改變;以及響應(yīng)于檢測(cè)到的所述接入系統(tǒng)操作條件的改變而建立用于與所述接入系統(tǒng)的新安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
19.根據(jù)權(quán)利要求12到14和17中任一個(gè)的系統(tǒng),其中,所述處理器包括互聯(lián)網(wǎng)協(xié)議安全客戶端,用于利用所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)的各個(gè)互聯(lián)網(wǎng)協(xié)議安全客戶端來(lái)建立互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
20.根據(jù)權(quán)利要求12到14和17中任一個(gè)的系統(tǒng),其中,所述處理器還被配置用于通過(guò)所述收發(fā)信機(jī)建立用于所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)或另一遠(yuǎn)程系統(tǒng)之間的另一安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián);以及將用于所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)綁定到用于所述另一安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
21.一種通信系統(tǒng),其包括接入系統(tǒng);遠(yuǎn)程系統(tǒng);以及中間系統(tǒng),包括根據(jù)權(quán)利要求12到14和17中任一個(gè)的系統(tǒng),用于建立所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接。
22.根據(jù)權(quán)利要求21的通信系統(tǒng),其還包括用于建立所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接的第二中間系統(tǒng)。
23.一種存儲(chǔ)數(shù)據(jù)結(jié)構(gòu)的計(jì)算機(jī)可讀介質(zhì),所述數(shù)據(jù)結(jié)構(gòu)包括用于中間系統(tǒng)和接入系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的標(biāo)識(shí)符;以及用于所述中間系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的標(biāo)識(shí)符,其中,所述互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)在存儲(chǔ)器中被綁定,以由此建立所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接。
24.根據(jù)權(quán)利要求23的計(jì)算機(jī)可讀介質(zhì),其中,所述數(shù)據(jù)結(jié)構(gòu)還包括所述接入系統(tǒng)的標(biāo)識(shí)符和所述接入系統(tǒng)的互聯(lián)網(wǎng)協(xié)議地址中的至少一個(gè)。
25.一種管理接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的方法,所述安全連接包括所述接入系統(tǒng)和中間系統(tǒng)之間的安全連接以及所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接,所述方法包括檢測(cè)所述接入系統(tǒng)操作條件的改變;以及響應(yīng)于所述檢測(cè),建立所述接入系統(tǒng)和所述中間系統(tǒng)之間的新安全連接,由此所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接包括所述接入系統(tǒng)和所述中間系統(tǒng)之間的新安全連接以及所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接。
26.根據(jù)權(quán)利要求25的方法,其中,所述檢測(cè)包括檢測(cè)所述接入系統(tǒng)的地址的改變。
27.根據(jù)權(quán)利要求26的方法,其中,所述接入系統(tǒng)的地址包括互聯(lián)網(wǎng)協(xié)議地址。
28.根據(jù)權(quán)利要求26的方法,其中,所述檢測(cè)所述接入系統(tǒng)的地址的改變包括接收地址改變通知。
29.根據(jù)權(quán)利要求25的方法,其中,所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接包括經(jīng)由第一通信網(wǎng)絡(luò)的連接,并且其中,所述檢測(cè)包括確定從所述第一通信網(wǎng)絡(luò)到第二通信網(wǎng)絡(luò)的連接的切換即將發(fā)生。
30.根據(jù)權(quán)利要求29的方法,其中,所述確定切換即將發(fā)生包括下列操作中的至少一個(gè)接收針對(duì)所述切換的觸發(fā);以及確定在所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接上從所述接入系統(tǒng)接收的通信信號(hào)的特征。
31.根據(jù)權(quán)利要求25到30中任一個(gè)的方法,其中,所述建立新安全連接包括協(xié)商所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全參數(shù)。
32.根據(jù)權(quán)利要求25到28中任一個(gè)的方法,其中,所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接是通過(guò)協(xié)商要在端點(diǎn)地址之間使用的安全參數(shù)來(lái)被建立的,所述端點(diǎn)地址包括所述中間系統(tǒng)的地址和所述接入系統(tǒng)的地址,其中,所述操作條件的改變包括所述接入系統(tǒng)的地址至新接入系統(tǒng)地址的改變,并且其中,所述建立新安全連接包括更新所述接入系統(tǒng)的端點(diǎn)地址為所述新接入系統(tǒng)地址。
33.根據(jù)權(quán)利要求25到30中任一個(gè)的方法,其中,所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接以及所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接,具有各自的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)。
34.根據(jù)權(quán)利要求25到30中任一個(gè)的方法,其中,所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接包括所述中間系統(tǒng)和第二中間系統(tǒng)之間的安全連接,以及所述第二中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接,所述方法還包括檢測(cè)所述遠(yuǎn)程系統(tǒng)操作條件的改變;以及響應(yīng)于所述檢測(cè),建立所述第二中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的新安全連接,由此所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接包括所述中間系統(tǒng)和所述第二中間系統(tǒng)之間的安全連接以及所述第二中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的新安全連接。
35.根據(jù)權(quán)利要求25到30中任一個(gè)的方法,其中,所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接包括所述接入系統(tǒng)和包括所述遠(yuǎn)程系統(tǒng)的至少一個(gè)遠(yuǎn)程系統(tǒng)之間的多個(gè)安全連接中的一個(gè),其中所述多個(gè)安全連接包括所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接以及所述中間系統(tǒng)和所述至少一個(gè)遠(yuǎn)程系統(tǒng)之間的各個(gè)安全連接。
36.一種存儲(chǔ)指令的計(jì)算機(jī)可讀介質(zhì),其中,所述指令當(dāng)被執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求25到30中任一個(gè)的方法。
37.一種用于管理接入系統(tǒng)和遠(yuǎn)程系統(tǒng)之間的安全連接的中間系統(tǒng),所述安全連接包括所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接以及所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接,所述中間系統(tǒng)包括收發(fā)信機(jī),其用于與所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)通信;以及處理器,其被配置用于檢測(cè)所述接入系統(tǒng)操作條件的改變,以及響應(yīng)于檢測(cè)到的所述接入系統(tǒng)操作條件的改變而通過(guò)所述收發(fā)信機(jī)建立所述接入系統(tǒng)和所述中間系統(tǒng)之間的新安全連接,由此所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接包括所述接入系統(tǒng)和所述中間系統(tǒng)之間的新安全連接以及所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接。
38.根據(jù)權(quán)利要求37的系統(tǒng),其中,所述接入系統(tǒng)操作條件的改變包括所述接入系統(tǒng)的地址的改變。
39.根據(jù)權(quán)利要求38的系統(tǒng),其中,所述接入系統(tǒng)的地址包括互聯(lián)網(wǎng)協(xié)議地址。
40.根據(jù)權(quán)利要求38的系統(tǒng),其中,所述處理器被配置用于基于通過(guò)所述收發(fā)信機(jī)接收的地址改變通知來(lái)檢測(cè)所述接入系統(tǒng)的地址的改變。
41.根據(jù)權(quán)利要求37的系統(tǒng),其中,所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接包括經(jīng)由第一通信網(wǎng)絡(luò)的連接,并且其中,所述處理器被配置用于基于對(duì)從所述第一通信網(wǎng)絡(luò)到第二通信網(wǎng)絡(luò)的連接的切換即將發(fā)生的確定來(lái)檢測(cè)所述接入系統(tǒng)操作條件的改變。
42.根據(jù)權(quán)利要求41的系統(tǒng),其中,所述對(duì)切換即將發(fā)生的確定是基于下列內(nèi)容中的至少一個(gè)而作出的針對(duì)所述切換的觸發(fā),以及通過(guò)所述收發(fā)信機(jī)從所述接入系統(tǒng)接收的通信信號(hào)的特征。
43.根據(jù)權(quán)利要求37到42中任一個(gè)的系統(tǒng),其中,所述處理器被配置用于通過(guò)協(xié)商用于與所述接入系統(tǒng)的新安全連接的安全參數(shù)來(lái)建立新安全連接。
44.根據(jù)權(quán)利要求37到42中任一個(gè)的系統(tǒng),其中,所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接是通過(guò)協(xié)商要在端點(diǎn)地址之間使用的安全參數(shù)來(lái)被建立的,所述端點(diǎn)地址包括所述中間系統(tǒng)的地址和所述接入系統(tǒng)的地址,其中,所述操作條件的改變包括所述接入系統(tǒng)的地址至新接入系統(tǒng)地址的改變,并且其中,所述處理器被配置用于通過(guò)更新所述接入系統(tǒng)的端點(diǎn)地址為所述新接入系統(tǒng)地址來(lái)建立新的安全連接。
45.根據(jù)權(quán)利要求44的系統(tǒng),其還包括用于存儲(chǔ)所述端點(diǎn)地址和所述安全參數(shù)的標(biāo)識(shí)符的存儲(chǔ)器,其中,所述處理器被配置用于通過(guò)在所述存儲(chǔ)器中存儲(chǔ)所述新接入系統(tǒng)地址來(lái)更新所述接入系統(tǒng)的端點(diǎn)地址。
46.根據(jù)權(quán)利要求37到42中任一個(gè)的系統(tǒng),其中,所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接以及所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接,具有各自的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián),并且其中,所述處理器包括互聯(lián)網(wǎng)協(xié)議安全客戶端,用于利用所述接入系統(tǒng)的互聯(lián)網(wǎng)協(xié)議安全客戶端建立新的安全連接。
47.根據(jù)權(quán)利要求37到42中任一個(gè)的系統(tǒng),其中,所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接包括所述接入系統(tǒng)和包括所述遠(yuǎn)程系統(tǒng)的至少一個(gè)遠(yuǎn)程系統(tǒng)之間的多個(gè)安全連接中的一個(gè),所述多個(gè)安全連接包括所述接入系統(tǒng)和所述中間系統(tǒng)之間的安全連接以及所述中間系統(tǒng)和所述至少一個(gè)遠(yuǎn)程系統(tǒng)之間的各個(gè)安全連接。
48.一種通信系統(tǒng),其包括接入系統(tǒng);遠(yuǎn)程系統(tǒng);中間系統(tǒng),包括根據(jù)權(quán)利要求37到42中任一個(gè)的系統(tǒng),用于通過(guò)建立所述接入系統(tǒng)和所述中間系統(tǒng)之間以及所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的各個(gè)安全連接來(lái)建立所述接入系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接;以及第二中間系統(tǒng),包括根據(jù)權(quán)利要求37到42中任一個(gè)的系統(tǒng),用于通過(guò)建立所述中間系統(tǒng)和所述第二中間系統(tǒng)之間以及所述第二中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的各個(gè)安全連接來(lái)建立所述中間系統(tǒng)和所述遠(yuǎn)程系統(tǒng)之間的安全連接。
49.一種管理第一系統(tǒng)和第二系統(tǒng)之間的安全連接的方法,所述安全連接包括所述第一系統(tǒng)和中間系統(tǒng)之間的第一安全連接,以及所述中間系統(tǒng)和所述第二系統(tǒng)之間的第二安全連接,所述方法包括檢測(cè)所述第一系統(tǒng)或所述第二系統(tǒng)的操作條件的改變;響應(yīng)于檢測(cè)到的所述第一系統(tǒng)操作條件的改變來(lái)建立所述第一系統(tǒng)和所述中間系統(tǒng)之間的新安全連接,由此所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接包括所述第一系統(tǒng)和所述中間系統(tǒng)之間的新安全連接以及所述第二安全連接;以及響應(yīng)于檢測(cè)到的所述第二系統(tǒng)操作條件的改變,建立所述中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接,由此所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接包括所述第一安全連接以及所述中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接。
50.根據(jù)權(quán)利要求49的方法,其中,所述檢測(cè)包括檢測(cè)所述第一系統(tǒng)和所述第二系統(tǒng)各自的不同操作條件的改變。
51.根據(jù)權(quán)利要求49的方法,其中,所述第一系統(tǒng)和所述第二系統(tǒng)中的至少一個(gè)包括移動(dòng)通信設(shè)備,并且其中,所述檢測(cè)包括檢測(cè)所述移動(dòng)通信設(shè)備的互聯(lián)網(wǎng)協(xié)議地址的改變。
52.根據(jù)權(quán)利要求49到51中任一個(gè)的方法,其還包括建立用于所述第一安全連接和所述第二安全連接的各個(gè)互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián);以及綁定所述互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián),以建立所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接。
53.根據(jù)權(quán)利要求52的方法,其中,所述各個(gè)互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)與端點(diǎn)地址相關(guān)聯(lián),用于所述第一安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的端點(diǎn)地址包括所述中間系統(tǒng)的地址和所述第一系統(tǒng)的地址,以及,用于所述第二安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的端點(diǎn)地址包括所述中間系統(tǒng)的地址和所述第二系統(tǒng)的地址,其中,所述操作條件的改變包括所述第一系統(tǒng)或所述第二系統(tǒng)的地址至新地址的改變,其中,所述建立所述第一系統(tǒng)和所述中間系統(tǒng)之間的新安全連接包括更新所述第一系統(tǒng)的端點(diǎn)地址為用于所述第一安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的新地址,并且其中,所述建立所述中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接包括更新所述第二系統(tǒng)的端點(diǎn)地址為用于所述第二安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的新地址。
54.一種存儲(chǔ)指令的計(jì)算機(jī)可讀介質(zhì),其中,所述指令當(dāng)被執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求49到51中任一個(gè)的方法。
55.一種用于管理第一系統(tǒng)和第二系統(tǒng)之間的安全連接的中間系統(tǒng),所述安全連接包括所述第一系統(tǒng)和所述中間系統(tǒng)之間的第一安全連接,以及所述中間系統(tǒng)和所述第二系統(tǒng)之間的第二安全連接,所述中間系統(tǒng)包括收發(fā)信機(jī),其用于與所述第一系統(tǒng)和所述第二系統(tǒng)通信;以及處理器,其被配置用于檢測(cè)所述第一系統(tǒng)或所述第二系統(tǒng)的操作條件的改變,其中,所述處理器還被配置用于響應(yīng)于檢測(cè)到的所述第一系統(tǒng)操作條件的改變來(lái)建立所述第一系統(tǒng)和所述中間系統(tǒng)之間的新安全連接,由此所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接包括所述第一系統(tǒng)和所述中間系統(tǒng)之間的新安全連接以及所述第二安全連接;以及響應(yīng)于檢測(cè)到的所述第二系統(tǒng)操作條件的改變來(lái)建立所述中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接,由此所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接包括所述第一安全連接以及所述中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接。
56.根據(jù)權(quán)利要求55的系統(tǒng),其中,所述處理器被配置用于檢測(cè)所述第一系統(tǒng)和所述第二系統(tǒng)各自的不同操作條件的改變。
57.根據(jù)權(quán)利要求55的系統(tǒng),其中,所述第一系統(tǒng)和所述第二系統(tǒng)中的至少一個(gè)包括移動(dòng)通信設(shè)備,并且其中,所述處理器被配置用于檢測(cè)所述移動(dòng)通信設(shè)備的互聯(lián)網(wǎng)協(xié)議地址的改變。
58.根據(jù)權(quán)利要求55到57中任一個(gè)的系統(tǒng),其中,所述處理器還被配置用于建立用于所述第一安全連接和所述第二安全連接的各個(gè)互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián),所述各個(gè)互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)與端點(diǎn)地址相關(guān)聯(lián),用于所述第一安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的端點(diǎn)地址包括所述中間系統(tǒng)的地址和所述第一系統(tǒng)的地址,以及,用于所述第二安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的端點(diǎn)地址包括所述中間系統(tǒng)的地址和所述第二系統(tǒng)的地址;綁定所述互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)以建立所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接;通過(guò)檢測(cè)所述第一系統(tǒng)或所述第二系統(tǒng)的地址至新地址的改變來(lái)檢測(cè)操作條件的改變;通過(guò)更新所述第一系統(tǒng)的端點(diǎn)地址為用于所述第一安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的新地址來(lái)建立所述第一系統(tǒng)和所述中間系統(tǒng)之間的新安全連接;以及通過(guò)更新所述第二系統(tǒng)的端點(diǎn)地址為用于所述第二安全連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)的新地址來(lái)建立所述中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接。
59.一種管理第一系統(tǒng)和第二系統(tǒng)之間的安全連接的方法,所述安全連接包括所述第一系統(tǒng)和第一中間系統(tǒng)之間的第一安全連接、所述第一中間系統(tǒng)和第二中間系統(tǒng)之間的第二安全連接,以及所述第二中間系統(tǒng)和所述第二系統(tǒng)之間的第三安全連接,所述方法包括檢測(cè)所述第一系統(tǒng)或所述第二系統(tǒng)的操作條件的改變;響應(yīng)于檢測(cè)到的所述第一系統(tǒng)操作條件的改變,建立所述第一系統(tǒng)和所述第一中間系統(tǒng)之間的新安全連接,由此所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接包括所述第一系統(tǒng)和所述第一中間系統(tǒng)之間的新安全連接、所述第二安全連接以及所述第三安全連接;以及響應(yīng)于檢測(cè)到的所述第二系統(tǒng)操作條件的改變來(lái)建立所述第二中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接,由此所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接包括所述第一安全連接、所述第三安全連接以及所述第二中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接。
60.一種通信系統(tǒng),其包括用于管理第一系統(tǒng)和第二系統(tǒng)之間的安全連接的第一和第二中間系統(tǒng),所述安全連接包括所述第一系統(tǒng)和所述第一中間系統(tǒng)之間的第一安全連接、所述第一中間系統(tǒng)和所述第二中間系統(tǒng)之間的第二安全連接以及所述第二中間系統(tǒng)和所述第二系統(tǒng)之間的第三安全連接,所述第一中間系統(tǒng)包括收發(fā)信機(jī),其用于與所述第一系統(tǒng)和所述第二中間系統(tǒng)通信;以及處理器,其被配置用于檢測(cè)所述第一系統(tǒng)操作條件的改變;以及響應(yīng)于檢測(cè)到的所述第一系統(tǒng)操作條件的改變來(lái)建立所述第一系統(tǒng)和所述第一中間系統(tǒng)之間的新安全連接,由此所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接包括所述第一系統(tǒng)和所述第一中間系統(tǒng)之間的新安全連接、所述第二安全連接以及所述第三安全連接,以及所述第二中間系統(tǒng)包括收發(fā)信機(jī),其用于與所述第一中間系統(tǒng)和所述第二系統(tǒng)通信;以及處理器,其被配置用于檢測(cè)所述第二系統(tǒng)操作條件的改變;以及響應(yīng)于檢測(cè)到的所述第二系統(tǒng)操作條件的改變來(lái)建立所述第二中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接,由此所述第一系統(tǒng)和所述第二系統(tǒng)之間的安全連接包括所述第一安全連接、所述第二安全連接以及所述第二中間系統(tǒng)和所述第二系統(tǒng)之間的新安全連接。
全文摘要
提供了用于安全通信的方法和系統(tǒng)。安全的端到端連接被建立為分離的多個(gè)安全連接,其說(shuō)明性地是在第一系統(tǒng)與中間系統(tǒng)之間以及在第二系統(tǒng)與中間系統(tǒng)之間。多個(gè)安全連接可以例如通過(guò)綁定用于多個(gè)連接的互聯(lián)網(wǎng)協(xié)議安全協(xié)議安全關(guān)聯(lián)而被綁定,以建立端到端連接。在通常要求重建整個(gè)安全連接的操作條件改變的情況下,僅重建構(gòu)成端到端連接的多個(gè)安全連接中的一個(gè)。這種端到端連接的分離可以減小通常與重建安全連接相關(guān)聯(lián)的處理資源需求和延遲。
文檔編號(hào)H04L29/08GK101027888SQ200580032107
公開(kāi)日2007年8月29日 申請(qǐng)日期2005年7月22日 優(yōu)先權(quán)日2004年7月26日
發(fā)明者V·裘伊, A·羅比森, F·加里亞杜爾 申請(qǐng)人:阿爾卡特朗訊公司