專利名稱:一種安全協(xié)商的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本 發(fā)明涉及通信安全領(lǐng)域,尤其涉及一種安全協(xié)商的方法及裝置。
背景技術(shù):
路由器是現(xiàn)代通信網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,因其根本功能是通過尋址與轉(zhuǎn)發(fā)(也即路由功能)實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)互通。隨著移動通信網(wǎng)絡(luò)與固定網(wǎng)絡(luò)、因特網(wǎng)的發(fā)展,網(wǎng)絡(luò)的主要應(yīng)用基于互聯(lián)網(wǎng)協(xié)議(IP,Internet Protocol)化的趨勢更加明顯,路由器的地位和作用越發(fā)重要。而早期的網(wǎng)絡(luò)設(shè)計者偏重于實(shí)現(xiàn)網(wǎng)絡(luò)的基本功能,卻忽略了安全要素,在設(shè)計路由器及路由協(xié)議時缺少對安全的考慮,安全機(jī)制缺失或不足,埋下了不少安全隱患;同時,技術(shù)的飛速進(jìn)步提升了對數(shù)據(jù)的處理能力,但同時也提升了攻擊者的攻擊手段和攻擊能力,大大提高了攻擊、破壞的路由基礎(chǔ)設(shè)施的可能性。同時,由于路由器在整個通信網(wǎng)絡(luò)的基礎(chǔ)性的地位,決定了對路由器的攻擊帶來較嚴(yán)重的破壞性,因此,路由設(shè)備之間的安全需要進(jìn)行加固。在當(dāng)前的網(wǎng)絡(luò)中,路由設(shè)備之間的安全主要通過路由設(shè)備的安全、路由協(xié)議的安全來保證。路由設(shè)備的安全可由運(yùn)營商通過部署和管理措施實(shí)現(xiàn);路由協(xié)議的安全主要通過擴(kuò)展路由協(xié)議,增加認(rèn)證字段的方式實(shí)現(xiàn),而認(rèn)證字段中的密鑰需要進(jìn)行人工配置。隨著網(wǎng)絡(luò)規(guī)模的增長,人工配置和更新不能實(shí)現(xiàn)快速的更換密鑰、更換認(rèn)證算法等安全需求。同時,人工配置的方式,不僅增加了管理員的工作量。而且會因管理員的離職等原因發(fā)生路由器安全密鑰的泄露問題,不利于路由器安全的大規(guī)模部署和管理工作。如何實(shí)現(xiàn)為路由器和路由協(xié)議提供自動協(xié)商密鑰的功能,使之實(shí)現(xiàn)密鑰的自動更新、認(rèn)證算法的協(xié)商等功能,以及降低密鑰泄露的可能性,是當(dāng)前需要解決的問題。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種安全協(xié)商的方法及裝置。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種安全協(xié)商的方法,包括在網(wǎng)絡(luò)設(shè)備之間建立安全聯(lián)盟,根據(jù)在因特網(wǎng)安全連接和密鑰管理協(xié)議(ISAKMP) 中修改或者增加的載荷,進(jìn)行路由協(xié)議的安全聯(lián)盟的協(xié)商,并建立路由協(xié)議的安全聯(lián)盟。優(yōu)選地,所述網(wǎng)絡(luò)設(shè)備可以為路由器、交換機(jī)、防火墻、統(tǒng)一威脅管理設(shè)備等具有路由功能的設(shè)備。優(yōu)選地,建立路由協(xié)議的安全聯(lián)盟具體為網(wǎng)絡(luò)設(shè)備之間通過交互包含安全聯(lián)盟載荷的報文,確定安全聯(lián)盟的屬性。優(yōu)選地,路由協(xié)議安全聯(lián)盟的屬性包括以下之一或任意組合密碼算法、安全聯(lián)盟的標(biāo)識、生存時間。優(yōu)選地,密碼算法具體為用于機(jī)密性和/或完整性保護(hù)的算法。優(yōu)選地,建立路由協(xié)議的安全聯(lián)盟具體為
網(wǎng)絡(luò)設(shè)備之間通過報文交互,確定安全聯(lián)盟中的密鑰。優(yōu)選地,確定安全聯(lián)盟中的密鑰具體為網(wǎng)絡(luò)設(shè)備中一方確定出機(jī)密性和/或完整性保護(hù)的密鑰,將所述密鑰發(fā)送給網(wǎng)絡(luò)設(shè)備中的另一方。優(yōu)選地,確定安全聯(lián)盟中的密鑰具體為網(wǎng)絡(luò)設(shè)備之間通過交互密鑰相關(guān)載荷的報文,由網(wǎng)絡(luò)設(shè)備雙方獨(dú)立計算出共享密鑰;其中,所述密鑰相關(guān)載荷的報文包括以下一種或多種承載密鑰交換(KE),隨機(jī)數(shù)的載荷。
優(yōu)選地,確定安全聯(lián)盟中的密鑰具體為網(wǎng)絡(luò)設(shè)備一方向網(wǎng)絡(luò)設(shè)備中的另一方發(fā)送包含隨機(jī)數(shù)載荷的報文,由網(wǎng)絡(luò)設(shè)備雙方基于已有的共享密鑰和隨機(jī)數(shù)載荷,確定安全聯(lián)盟中的密鑰。優(yōu)選地,所述包含安全聯(lián)盟載荷的報文中承載有安全聯(lián)盟協(xié)商的路由協(xié)議標(biāo)識信息或者進(jìn)行路由協(xié)議的安全聯(lián)盟協(xié)商的指示信息。優(yōu)選地,所述包含安全聯(lián)盟載荷的報文還包含提案載荷和轉(zhuǎn)碼載荷,所述提案載荷中承載有安全參數(shù)索引(SPI)相關(guān)信息;所述轉(zhuǎn)碼載荷中承載有路由協(xié)議安全聯(lián)盟生存時間和/或路由協(xié)議安全聯(lián)盟認(rèn)證算法。優(yōu)選地,在所述安全聯(lián)盟載荷中設(shè)置新載荷,用于承載進(jìn)行路由協(xié)議的安全聯(lián)盟協(xié)商的指示信息,和/或承載待建立安全聯(lián)盟的路由協(xié)議標(biāo)識信息,和/或待建立安全聯(lián)盟的路由協(xié)議的轉(zhuǎn)碼標(biāo)識(Transform ID)信息。優(yōu)選地,在所述安全聯(lián)盟載荷中設(shè)置新載荷,用于承載有安全聯(lián)盟協(xié)商的路由協(xié)議標(biāo)識信息,和/或待建立安全聯(lián)盟的路由協(xié)議的轉(zhuǎn)碼標(biāo)識(Transform ID)信息。一種安全協(xié)商的裝置,包括第一安全聯(lián)盟建立單元和第二安全聯(lián)盟建立單元,其中,第一安全聯(lián)盟建立單元,用于在路由器之間建立安全聯(lián)盟;第二安全聯(lián)盟建立單元,包括第一協(xié)商單元和第二協(xié)商單元。第一協(xié)商單元用于在所述第一安全聯(lián)盟建立單元建立安全聯(lián)盟后,在路由器之間進(jìn)行基于路由協(xié)議的安全聯(lián)盟屬性的協(xié)商;第二協(xié)商單元用于在所述第一安全聯(lián)盟建立單元建立安全聯(lián)盟后,在路由器之間進(jìn)行基于路由協(xié)議的安全聯(lián)盟的密鑰協(xié)商;第二安全聯(lián)盟建立單元中安全聯(lián)盟的建立是通過協(xié)商單元完成的。而且一般來講,協(xié)商單元完成了,安全聯(lián)盟就建立起來了。優(yōu)選地,所述協(xié)商單元進(jìn)一步通過路由器之間通過互發(fā)包含安全聯(lián)盟載荷的報文,用于確定出安全聯(lián)盟的屬性(密碼算法、安全聯(lián)盟的標(biāo)識等),通過互發(fā)報文,用于確定出路由協(xié)議安全聯(lián)盟的密鑰,優(yōu)選地,所述安全聯(lián)盟載荷中承載有安全聯(lián)盟協(xié)商的路由協(xié)議標(biāo)識信息以及路由協(xié)議對應(yīng)的Transform ID信息;和/或,所述安全聯(lián)盟報文中承載有進(jìn)行基于路由協(xié)議的安全聯(lián)盟協(xié)商的指示信息。優(yōu)選地,所述裝置還包括設(shè)置單元,用于在所述安全聯(lián)盟載荷中設(shè)置新載荷,承載進(jìn)行基于路由協(xié)議的安全聯(lián)盟協(xié)商的指示信息,和/或承載待建立安全聯(lián)盟的路由協(xié)議標(biāo)識信息,和/或待建立安全聯(lián)盟的路由協(xié)議的Trans form ID信息。優(yōu)選地,所述包含安全聯(lián)盟載荷的報文還包含提案載荷和轉(zhuǎn)碼載荷;其中,所述設(shè)置單元在所述安全聯(lián)盟載荷中設(shè)置新載荷,用于承載安全聯(lián)盟協(xié)商的路由協(xié)議的標(biāo)識信息;所述設(shè)置單元在所述轉(zhuǎn)碼載荷中設(shè)置新載荷,用于承載安全聯(lián)盟協(xié)商的路由協(xié)議的 Transform ID 信息。優(yōu)選地,所述包含安全聯(lián)盟載荷的報文還包含提案載荷和轉(zhuǎn)碼載荷;所述設(shè)置單元在所述安全聯(lián)盟載荷中設(shè)置新載荷,用于承載進(jìn)行基于路由協(xié)議的安全聯(lián)盟協(xié)商的指示信息,所述設(shè)置單元在所述提案載荷中設(shè)置新載荷,用于承載安全聯(lián)盟協(xié)商的路由協(xié)議的標(biāo)識信息;在所述轉(zhuǎn)碼載荷中設(shè)置新載荷,用于承載安全聯(lián)盟協(xié)商的路由協(xié)議的Transform ID fp 息 ο本發(fā)明中,通過在包含安全聯(lián)盟載荷的報文中設(shè)置用于針對路由協(xié)議加密及完整性保護(hù)的載荷,并在這些載荷中承載相應(yīng)的信息,實(shí)現(xiàn)路由器之間基于路由協(xié)議加密及完整性保護(hù)的安全協(xié)商,從而確定出相應(yīng)的密鑰,以對相應(yīng)的路由協(xié)議進(jìn)行加密。由于這種路由協(xié)議的密鑰是在路由器之間自動進(jìn)行協(xié)商的,因此,密鑰的安全性能夠得到保證。
圖1為本發(fā)明基于ISAKMP的安全協(xié)商的方法實(shí)施例一示意圖;圖2為本發(fā)明基于ISAKMP的安全協(xié)商的方法實(shí)施例二示意圖;圖3為本發(fā)明基于路由協(xié)議安全協(xié)商的方法實(shí)施例一的0SPFv2安全聯(lián)盟協(xié)商方式一示意圖;圖4為本發(fā)明基于路由協(xié)議安全協(xié)商的方法實(shí)施例一的0SPFv2安全聯(lián)盟協(xié)商方式二示意圖;圖5為本發(fā)明基于路由協(xié)議安全協(xié)商的方法實(shí)施例二的0SPFv2安全聯(lián)盟協(xié)商方式一示意圖;圖6為本發(fā)明基于路由協(xié)議安全協(xié)商的方法實(shí)施例二的0SPFv2安全聯(lián)盟協(xié)商方式二示意圖;圖7為本發(fā)明安全協(xié)商的裝置的組成結(jié)構(gòu)示意圖。
具體實(shí)施例方式本發(fā)明的基本思想為通過在包含安全聯(lián)盟載荷的報文中設(shè)置用于針對路由協(xié)議加密及完整性保護(hù)的載荷,并在這些載荷中承載相應(yīng)的信息,實(shí)現(xiàn)路由器之間基于路由協(xié)議加密及完整性保護(hù)的安全協(xié)商,從而確定出相應(yīng)的密鑰,以對相應(yīng)的路由協(xié)議進(jìn)行加密。路由器之間進(jìn)行通信時,首先建立路由器之間進(jìn)行通信的安全聯(lián)盟,即在路由器之間使用互聯(lián)網(wǎng)安全聯(lián)盟及密鑰管理協(xié)議(ISAKMP,Internet Security Association and Key Management Protocol)等建立安全聯(lián)盟,該安全聯(lián)盟的建立過程包括路由器的互相認(rèn)證過程;安全聯(lián)盟建立完成后,得到用于保護(hù)雙方通信的密鑰。也就是說,此時建立的安全聯(lián)盟是在路由器之間安全認(rèn)證之后,用于初始通信的安全聯(lián)盟,并未涉及各路由協(xié)議之間的安全。而本發(fā)明,則正是針對上述用于初始通信的安全聯(lián)盟建立之后,基于路由協(xié)議再建立一個安全聯(lián)盟。本發(fā)明即通過對現(xiàn)有的包含安全聯(lián)盟載荷的報文(如ISAKMP報文) 進(jìn)行擴(kuò)展,使其能執(zhí)行基于路由協(xié)議的安全聯(lián)盟。具體的,可通過在包含安全聯(lián)盟載荷的報文(如ISAKMP報文)中增設(shè)安全聯(lián)盟協(xié)商的路由協(xié)議標(biāo)識信息以及路由協(xié)議對應(yīng)的Transform ID信息,實(shí)現(xiàn)路由器之間的路由協(xié)議安全聯(lián)盟的協(xié)商?;蛘撸部梢栽诎踩?lián)盟載荷的報文(如ISAKMP報文)中增設(shè)安全聯(lián)盟協(xié)商的路由協(xié)議標(biāo)識信息、路由協(xié)議對應(yīng)的Transform ID信息和進(jìn)行基于路由協(xié)議的安全聯(lián)盟協(xié)商的指示信息。例如,可以使用方式一,設(shè)置ISAKMP報文中安全聯(lián)盟載荷(Security Association Payload)中的解釋域(D0I, Domain of Interpretation)的值,比如設(shè)為3,表示進(jìn)行路由協(xié)議的安全聯(lián)盟協(xié)商,根據(jù)不同的路由協(xié)議設(shè)置路由協(xié)議安全聯(lián)盟載荷中的協(xié)議標(biāo)識 (Protocol ID),根據(jù)不同的路由協(xié)議使用不同的提案(Proposal)載荷、轉(zhuǎn)碼(Transform) 載荷。當(dāng)然,也可以使用方式二,為ISAKMP報文中安全聯(lián)盟載荷中的解釋域的不同的路由協(xié)議設(shè)置不同的值,比如路由協(xié)議0SPFv2的DOI設(shè)為3,表示進(jìn)行保護(hù)0SPFv2路由協(xié)議的安全聯(lián)盟協(xié)商,其他路由協(xié)議的設(shè)置與0SPFv2類似。路由協(xié)議的DOI與其賦值的對應(yīng)關(guān)系可如表1所示
權(quán)利要求
1.一種安全協(xié)商的方法,其特征在于,所述方法包括 在網(wǎng)絡(luò)設(shè)備之間建立安全聯(lián)盟;根據(jù)在因特網(wǎng)安全連接和密鑰管理協(xié)議(ISAKMP)中修改或者增加的載荷,進(jìn)行路由協(xié)議的安全聯(lián)盟的協(xié)商,并建立路由協(xié)議的安全聯(lián)盟。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,建立路由協(xié)議的安全聯(lián)盟具體為 網(wǎng)絡(luò)設(shè)備之間通過交互包含安全聯(lián)盟載荷的報文,確定安全聯(lián)盟的屬性。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,路由協(xié)議安全聯(lián)盟的屬性包括以下之一或任意組合密碼算法、安全聯(lián)盟的標(biāo)識、生存時間。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,密碼算法具體為用于機(jī)密性和/或完整性保護(hù)的算法。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,建立路由協(xié)議的安全聯(lián)盟具體為 網(wǎng)絡(luò)設(shè)備之間通過報文交互,確定安全聯(lián)盟中的密鑰。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,確定安全聯(lián)盟中的密鑰具體為網(wǎng)絡(luò)設(shè)備中一方確定出機(jī)密性和/或完整性保護(hù)的密鑰,將所述密鑰發(fā)送給網(wǎng)絡(luò)設(shè)備中的另一方。
7.根據(jù)權(quán)利要求5所述的方法,其特征在于,確定安全聯(lián)盟中的密鑰具體為 網(wǎng)絡(luò)設(shè)備之間通過交互密鑰相關(guān)載荷的報文,由網(wǎng)絡(luò)設(shè)備雙方獨(dú)立計算出共享密鑰;其中,所述密鑰相關(guān)載荷的報文包括以下一種或多種承載密鑰交換(KE),隨機(jī)數(shù)的載荷。
8.根據(jù)權(quán)利要求5所述的方法,其特征在于,確定安全聯(lián)盟中的密鑰具體為網(wǎng)絡(luò)設(shè)備一方向網(wǎng)絡(luò)設(shè)備中的另一方發(fā)送包含隨機(jī)數(shù)載荷的報文,由網(wǎng)絡(luò)設(shè)備雙方基于已有的共享密鑰和隨機(jī)數(shù)載荷,確定安全聯(lián)盟中的密鑰。
9.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述包含安全聯(lián)盟載荷的報文中承載有安全聯(lián)盟協(xié)商的路由協(xié)議標(biāo)識信息或者進(jìn)行路由協(xié)議的安全聯(lián)盟協(xié)商的指示信息。
10.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述包含安全聯(lián)盟載荷的報文還包含提案載荷和轉(zhuǎn)碼載荷,所述提案載荷中承載有安全參數(shù)索引(SPI)相關(guān)信息;所述轉(zhuǎn)碼載荷中承載有路由協(xié)議安全聯(lián)盟生存時間和/或路由協(xié)議安全聯(lián)盟認(rèn)證算法。
11.一種安全協(xié)商的裝置,其特征在于,所述裝置包括第一安全聯(lián)盟建立單元和第二安全聯(lián)盟建立單元,其中,第一安全聯(lián)盟建立單元,用于在網(wǎng)絡(luò)設(shè)備之間建立安全聯(lián)盟; 第二安全聯(lián)盟建立單元,包括第一協(xié)商單元和第二協(xié)商單元,第一協(xié)商單元用于根據(jù)在因特網(wǎng)安全連接和密鑰管理協(xié)議(ISAKMP)中修改或者增加的載荷,在所述第一安全聯(lián)盟建立單元建立安全聯(lián)盟后,進(jìn)行基于路由協(xié)議的安全聯(lián)盟屬性的協(xié)商;第二協(xié)商單元用于根據(jù)在因特網(wǎng)安全連接和密鑰管理協(xié)議(ISAKMP)中修改或者增加的載荷,在所述第一安全聯(lián)盟建立單元建立安全聯(lián)盟后,進(jìn)行路由協(xié)議的安全聯(lián)盟的密鑰協(xié)商。
12.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述第二安全聯(lián)盟建立單元進(jìn)一步基于網(wǎng)絡(luò)設(shè)備之間通過交互包含安全聯(lián)盟載荷的報文,確定出安全聯(lián)盟屬性。
13.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述第二安全聯(lián)盟建立單元進(jìn)一步基于網(wǎng)絡(luò)設(shè)備之間通過所述安全聯(lián)盟,確定安全聯(lián)盟中的密鑰,具體為以下之一網(wǎng)絡(luò)設(shè)備中一方確定出機(jī)密性和/或完整性保護(hù)的密鑰,將所述密鑰發(fā)送給網(wǎng)絡(luò)設(shè)備中的另一方;網(wǎng)絡(luò)設(shè)備之間通過交互密鑰相關(guān)載荷的報文,由網(wǎng)絡(luò)設(shè)備雙方獨(dú)立計算出共享密鑰; 其中,所述密鑰相關(guān)載荷的報文包括以下一種或多種承載密鑰交換(KE),隨機(jī)數(shù)的載荷; 網(wǎng)絡(luò)設(shè)備一方向網(wǎng)絡(luò)設(shè)備中的另一方發(fā)送包含隨機(jī)數(shù)載荷的報文,由網(wǎng)絡(luò)設(shè)備雙方基于已有的共享密鑰和隨機(jī)數(shù)載荷,確定安全聯(lián)盟中的密鑰。
14.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述安全聯(lián)盟載荷中承載有安全聯(lián)盟協(xié)商的路由協(xié)議標(biāo)識信息和/或路由協(xié)議的安全聯(lián)盟協(xié)商的指示信息。
15.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述包含安全聯(lián)盟載荷的報文還包含提案載荷和轉(zhuǎn)碼載荷;其中,所述提案載荷中承載有安全參數(shù)索引(SPI)相關(guān)信息;所述轉(zhuǎn)碼載荷中承載有路由協(xié)議安全聯(lián)盟生存時間和/或路由協(xié)議安全聯(lián)盟認(rèn)證算法。
全文摘要
本發(fā)明公開了一種安全協(xié)商的方法,包括在網(wǎng)絡(luò)設(shè)備之間建立安全聯(lián)盟,在所述安全聯(lián)盟的保護(hù)下,進(jìn)行路由協(xié)議的安全聯(lián)盟的協(xié)商,并建立路由協(xié)議的安全聯(lián)盟。本發(fā)明同時公開了一種實(shí)現(xiàn)上述方法的安全協(xié)商的裝置,所述裝置包括第一安全聯(lián)盟建立單元和第二安全聯(lián)盟建立單元,其中,第一安全聯(lián)盟建立單元,用于在網(wǎng)絡(luò)設(shè)備之間建立安全聯(lián)盟;第二安全聯(lián)盟建立單元用于建立路由協(xié)議的安全聯(lián)盟。本發(fā)明的路由協(xié)議的密鑰是在路由器之間自動進(jìn)行協(xié)商的,因此,密鑰的安全性能夠得到保證。
文檔編號H04L9/08GK102447674SQ201010503429
公開日2012年5月9日 申請日期2010年10月8日 優(yōu)先權(quán)日2010年10月8日
發(fā)明者梁小萍, 王鴻彥, 韋銀星 申請人:中興通訊股份有限公司