[发明专利]基于证书属性的IP安全证书交换

说明书

背景

因特网协议安全（IPsec）提供了IP分组的认证和加密服务、以及通信对等体的相互认证。两个对等端点之间的IPsec通信通常包括两个阶段：相互认证和协商通信量保护参数；以及将所述保护参数应用于对等体之间的通信量（例如加密和/或认证）。在第一阶段，用于对等体彼此认证的一种技术是通过使用证书。向该连接的每个对等端点都提供了证书，该证书授权相应端点参与同其他端点的IPsec会话。为了使两个端点建立基于证书的IPsec会话，这两个机器都需要具有来自共同的可信证书机构的证书。

在一些数据中心中，建立多个隔离上下文是合乎需要的。例如，ISP（因特网服务提供商）可能具有多个顾客并且需要为每个顾客提供安全隔离区。为了利用当前基础设施实现该隔离，ISP为每个区部署证书机构。多个证书机构的部署和维护是耗时和劳动密集的过程。

概述

下面提供了简化的发明内容，以便提供对此处所描述的一些新颖实施例的基本理解。本概述不是广泛的概览，并且它不旨在标识关键/重要元素或描绘本发明的范围。其唯一目的是以简化形式呈现一些概念，作为稍后呈现的更具体实施例的序言。

所公开的体系结构提供了基于证书属性的因特网协议安全（IPsec）证书交换。这使得一个IPsec端点能够通过参考证书属性来作为证书根的补充以确认另一IPsec端点证书的安全上下文。通过使用证书属性、而不是单单使用证书根来促进IPsec证书交换，现在使用单个证书机构来构建多个隔离的网络区是可能的，而不需要每个区一个证书机构。

此外，在IPsec证书交换期间使用证书属性这一能力可用于更集中的通信。例如，可以使用QoS（服务质量）字段来向一个端点赋予比另一端点更高的优先级。

此外，可以在IPsec证书交换过程期间利用证书属性来标识出端点的安全上下文。例如，证书可以包含作为安全上下文的唯一ID（标识符）的属性。当接收IPsec端点从另一端点接收到请求时，该接收端点可以确认：安装在当前机器上的证书的安全上下文与请求者的证书的上下文的安全上下文相同。

另外，IPsec证书使用可以锁定到单个IP或一组IP。IPsec证书中的属性之一可以是其可用于的IP地址。这防止了证书被复制并重用在具有不同IP地址的另一机器上。

为了实现上述及相关目的，本文结合下面的描述和附图来描述某些说明性方面。这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。结合附图阅读下面的详细描述，其它优点和新颖特征将变得显而易见。

附图说明

图1示出根据所公开的体系结构的计算机实现的安全系统。

图2示出了包括用于在多个区上进行证书生成和管理的证书机构的安全系统。

图3示出了包括用于在单个区的子区内进行证书生成和管理的证书机构的安全系统。

图4示出了可以部署在数字证书中以用于IPsec通信的示例性证书属性。

图5示出一种计算机实现的安全方法。

图6示出图5的方法的其它方面。

图7示出了用于将IPsec证书处理成IP地址的方法。

图8示出根据所公开体系结构的可用于为IPsec通信执行属性处理的计算系统的框图。

图9示出了为IPsec通信处理证书属性的计算环境的示意框图。

详细描述

所公开的体系结构引入了基于证书属性的IPsec（因特网协议安全）证书交换。这使得每个都具有证书的两个IPsec端点能够通过参考证书属性来作为证书根的补充以确认另一方的安全上下文。多个隔离网络区的创建现在可以使用单个证书机构来实现，而不是每个区都需要一个证书机构。

现在将参考附图，全部附图中相同的附图标记用于指代相同的元素。在下面的描述中，为了进行说明，阐述了很多具体细节以便提供对本发明的全面理解。然而，显而易见，可以没有这些具体细节的情况下实施各新颖实施方式。在其他情况下，以框图形式示出了各个公知的结构和设备以便于描述本发明。本发明将涵盖落入所要求保护的主题的精神和范围内的所有修改、等效方案和替换方案。