專利名稱:一種實(shí)現(xiàn)端到端安全防護(hù)的方法、安全網(wǎng)關(guān)及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信安全技術(shù)領(lǐng)域,尤其涉及一種實(shí)現(xiàn)端到端安全防護(hù)的方法、安全網(wǎng)關(guān)及系統(tǒng)。
背景技術(shù):
目前,互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)設(shè)備,如電腦、智能手機(jī)等,可通過固定寬帶接入、移動(dòng)3G(3rd Generation,第三代移動(dòng)通信技術(shù))接入和無(wú)線WLAN(Wireless Local AreaNetworks,即WLAN)接入聯(lián)入互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)。中國(guó)電彳目、中國(guó)聯(lián)通和中國(guó)移動(dòng)等電f目運(yùn)營(yíng)商為用戶提供各種接入服務(wù),例如,中國(guó)移動(dòng)提供固定寬帶接入、移動(dòng)3G接入和無(wú)線WLAN接入等多種接入方式。一臺(tái)設(shè)備,如智能手機(jī),可以通過3G和WLAN等多種方式接入,當(dāng)僅有3G信號(hào)時(shí),使用3G接入,當(dāng)僅有WLAN或者WLAN和3G信號(hào)共存時(shí),使用WLAN接入,隨著接入方式的切換,接入設(shè)備的IP地址可能也會(huì)相應(yīng)地變化。在實(shí)際應(yīng)用中,為了防止重要數(shù)據(jù)被竊聽和篡改,用戶希望保護(hù)端到端通信安全。例如,公司員工與領(lǐng)導(dǎo)利用手機(jī)交流公司機(jī)密信息,情侶間利用手機(jī)傳遞一些隱秘內(nèi)容,用戶利用3G或者WLAN接入的智能手機(jī)與固定寬帶接入的家里電腦間傳遞重要數(shù)據(jù)等一些情況下,保證端到端通信安全都是非常必要的。IP Security(網(wǎng)絡(luò)協(xié)議安全性,簡(jiǎn)稱IPsec)可以提供端到端通信安全防護(hù)。IPsec對(duì)IP數(shù)據(jù)報(bào)提供機(jī)密性、數(shù)據(jù)完整性、訪問控制和數(shù)據(jù)源認(rèn)證安全防護(hù)服務(wù)。這些服務(wù)是通過IPsec安全關(guān)聯(lián)(Security Association,簡(jiǎn)稱為SA)實(shí)現(xiàn)。IPsec SA定義了在IP數(shù)據(jù)報(bào)的發(fā)送端與接收端保護(hù)IP流量的方法,包括使用的通信安全協(xié)議,密鑰算法和密碼算法的密鑰以及其它提供安全防護(hù)服務(wù)需要的信息。由于手工方式建立IPsec SA的擴(kuò)展性差,因此需要利用協(xié)議動(dòng)態(tài)建立IPsec SA,這種協(xié)議稱為Internet密鑰交換協(xié)議(Internet Key Exchange,簡(jiǎn)稱為IKE)。IKE的版本IIKE VI 是在 IETF 的 RFC 2407,RFC 2408,RFC2409 中定義的。IKE 的版本 2 IKE v2 在 RFC4702中定義,并在RFC 4812作了澄清和修改。RFC 5996對(duì)RFC 4702和RFC 4812中作了澄清和更新,取代了兩個(gè)RFC。IKE v2是對(duì)IKE vl的改變,不提供向后兼容性。在通信雙方建立IPsec SA前,IKE首先在通信雙方建立IKE安全關(guān)聯(lián)(簡(jiǎn)稱為IKE SA),然后利用IKE SA在雙方間建立IPsec SA0在RFC 5996中,IPsec SA也稱為IKESA的孩子關(guān)聯(lián)(Child SA)。在使用IKEv2的場(chǎng)景中,IPsec SA的通信安全協(xié)議采用定義在RFC 4302的封裝安全載荷(Encapsulated Security Payload,簡(jiǎn)稱為ESP)協(xié)議或者定義在RFC 4303中的認(rèn)證頭(Authentication Header,簡(jiǎn)稱為AH)協(xié)議。IPsec的部署方式共有三類:網(wǎng)關(guān)-網(wǎng)關(guān)(site-to-site)、遠(yuǎn)程接入(remoteaccess)、主機(jī)-主機(jī)(host-to_host)。其中,網(wǎng)關(guān)-網(wǎng)關(guān)和遠(yuǎn)程接入模式主要用于企業(yè)網(wǎng)絡(luò)環(huán)境,并且不能提供端到端安全防護(hù)。主機(jī)-主機(jī)模式可以提供端到端安全防護(hù),需要通信的兩個(gè)主機(jī)直接建立IKE SA和IPsec SA,然后利用IPsec SA保護(hù)雙方通信的IP流量。但是,現(xiàn)有技術(shù)中存在以下缺陷或不足:在利用IKE v2建立IKE SA時(shí),通信雙方需要認(rèn)證對(duì)端,認(rèn)證可以基于共享秘密或者證書方式進(jìn)行?;谧C書方式,用戶需要擁有證書,對(duì)于一般用戶來(lái)說,獲得證書以及使用證書進(jìn)行網(wǎng)絡(luò)認(rèn)證的過程和配置很復(fù)雜。基于共享秘密的方式,要求用戶與每個(gè)對(duì)等方間都維護(hù)一對(duì)共享秘密,當(dāng)對(duì)等方數(shù)目較多時(shí),共享秘密的生成與維護(hù)將變得非常復(fù)雜。綜上所述,兩種認(rèn)證方式對(duì)于一般的網(wǎng)絡(luò)用戶而言都比較復(fù)雜、不方便,這也是目前互聯(lián)網(wǎng)上IPsec主機(jī)-主機(jī)模式部署不廣泛的原因之一。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題是提供一種實(shí)現(xiàn)端到端安全防護(hù)的方法、安全網(wǎng)關(guān)及系統(tǒng),避免了接入設(shè)備間直接建立IKE SA時(shí)復(fù)雜、難于部署的身份認(rèn)證環(huán)節(jié)。為解決上述技術(shù)問題,本發(fā)明提供了一種實(shí)現(xiàn)端到端安全防護(hù)的方法,第一接入設(shè)備與第一安全網(wǎng)關(guān)、以及第二接入設(shè)備與第二安全網(wǎng)關(guān)分別建立網(wǎng)絡(luò)密鑰交換協(xié)議安全關(guān)聯(lián)(IKE SA);所述第一接入設(shè)備與所述第二接入設(shè)備建立并維護(hù)網(wǎng)絡(luò)協(xié)議安全性安全關(guān)聯(lián)(IPsec SA),所述IPsec SA的建立與維護(hù)過程受所述第一接入設(shè)備與所述第一安全網(wǎng)關(guān)、以及所述第二接入設(shè)備與所述第二安全網(wǎng)關(guān)建立的IKE SA安全保護(hù)。進(jìn)一步地,所述第一接入設(shè)備與所述第二接入設(shè)備的接入網(wǎng)絡(luò)相同時(shí),所述第一安全網(wǎng)關(guān)與所述第二安全網(wǎng)關(guān)為所述相同接入網(wǎng)絡(luò)中的同一個(gè)IPsec網(wǎng)關(guān);所述第一接入設(shè)備與所述第二接入設(shè)備的接入網(wǎng)絡(luò)不相同時(shí),所述第一安全網(wǎng)關(guān)與所述第二安全網(wǎng)關(guān)分別為所述兩個(gè)不同接入網(wǎng)絡(luò)中的不同IPsec網(wǎng)關(guān);且所述兩個(gè)不同IPsec網(wǎng)關(guān)之間建立IKE SA。進(jìn)一步地,所述第一接入設(shè)備與所述第二接入設(shè)備具有接入標(biāo)識(shí);所述接入標(biāo)識(shí)包括以下之一或任意組合:IP地址、或電話號(hào)碼、或統(tǒng)一資源標(biāo)識(shí)、或域名。進(jìn)一步地,所述第一接入設(shè)備與所述第二接入設(shè)備建立的所述IPsec SA中的密鑰通過迪菲-赫爾曼密鑰協(xié)商機(jī)制(DifTie-Hellman)協(xié)商與派生。進(jìn)一步地,所述維護(hù)IPsec SA的過程,包括:IPsec SA更新、IPsec SA刪除、以及接入設(shè)備IP地址變化通知。進(jìn)一步地,所述第一接入設(shè)備與所述第一安全網(wǎng)關(guān)、所述第二接入設(shè)備與所述第二安全網(wǎng)關(guān),以及所述第一安全網(wǎng)關(guān)與所述第二安全網(wǎng)關(guān)之間建立IKE SA的過程,在所述第一接入設(shè)備與所述第二接入設(shè)備建立IPsec SA的過程之前、或者與所述第一接入設(shè)備與所述第二接入設(shè)備建立IPsec SA的過程同時(shí)進(jìn)行;當(dāng)所述建立IKE SA的過程與所述建立IPsec SA的過程同時(shí)進(jìn)行時(shí),在建立所述IKE SA的過程的消息中包含用于建立所述IKE SA的參數(shù),還包含用于建立所述IPsec SA的參數(shù)。本發(fā)明還提供了一種實(shí)現(xiàn)端到端安全防護(hù)的系統(tǒng),所述系統(tǒng)包括接入網(wǎng)絡(luò)中的接入設(shè)備和安全網(wǎng)關(guān),所述接入設(shè)備中包括IKE SA建立單元和IPsecSA建立單元,所述安全網(wǎng)關(guān)中包括IKE SA建立模塊,其中:所述IKE SA建立單元用于,與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA ;所述IKE SA建立模塊用于,與本接入網(wǎng)絡(luò)中的接入設(shè)備、或者與其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA;所述IPsec SA建立單元用于,與本接入網(wǎng)絡(luò)或者其他接入網(wǎng)絡(luò)中的其他接入設(shè)備建立并維護(hù)IPsec SA,且所述IPsec SA的建立與維護(hù)過程受建立的所述IKE SA安全保護(hù)。進(jìn)一步地,所述IPsec SA建立單元用于,在與所述其他接入設(shè)備發(fā)起建立所述IPsec SA時(shí),如果與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)已建立IKE SA,則基于建立的所述IKE SA建立所述IPsec SA ;如果與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)還未建立IKE SA,則同時(shí)進(jìn)行建立IKESA及所述IPsec SA的過程,且在建立所述IKE SA的過程的消息中包含用于建立所述IKESA的參數(shù),還包含用于建立所述IPsec SA的參數(shù)。進(jìn)一步地,所述IPsec SA建立單元維護(hù)IPsec SA的過程,包括:IPsec SA更新、IPsec SA刪除、以及接入設(shè)備IP地址變化通知。進(jìn)一步地,所述IPsec SA建立單元建立的所述IPsec SA中的密鑰通過迪菲-赫爾曼密鑰協(xié)商機(jī)制協(xié)商與派生。此外,本發(fā)明還提供了一種實(shí)現(xiàn)端到端安全防護(hù)的安全網(wǎng)關(guān),所述安全網(wǎng)關(guān)包括IKE SA建立模塊,所述IKE SA建立模塊用于,與本接入網(wǎng)絡(luò)中的接入設(shè)備、或者與其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA。進(jìn)一步地,所述IKE SA建立模塊用于:分別與本接入網(wǎng)絡(luò)中的第一接入設(shè)備和第二接入設(shè)備建立IKE SA,對(duì)所述第一接入設(shè)備和所述第二接入設(shè)備之間建立并維護(hù)的IPsec SA進(jìn)行安全保護(hù);或者,分別與本接入網(wǎng)絡(luò)中的第一接入設(shè)備、以及其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA,對(duì)所述第一接入設(shè)備和所述其他接入網(wǎng)絡(luò)中的第二接入設(shè)備之間建立并維護(hù)的IPsec SA進(jìn)行安全保護(hù)。與現(xiàn)有端到端安全防護(hù)方法相比,本發(fā)明至少具有如下有益效果:I)本發(fā)明的IPsec方法可以提供端到端安全防護(hù),保證接入設(shè)備與接入設(shè)備間通信的機(jī)密性、完整性,避免遭受惡意中間人的數(shù)據(jù)竊聽、數(shù)據(jù)篡改等攻擊;2)本發(fā)明的IPsec方法容易部署,接入設(shè)備間不需要直接建立IKE SA,利用IPsec網(wǎng)關(guān)實(shí)現(xiàn)接入設(shè)備間的相互認(rèn)證,在接入設(shè)備間建立一條認(rèn)證通道,并基于建立的認(rèn)證信道建立接入設(shè)備間的IPsec SA,避免了接入設(shè)備間直接建立IKE SA時(shí)復(fù)雜、難于部署的身份認(rèn)證環(huán)節(jié)。
此處所說明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:圖1是本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式的示意圖;圖2是本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-主機(jī)模式的示意圖;圖3是本發(fā)明實(shí)施例的IKE v2建立IKE SA流程圖;圖4是本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式下IPsec SA建立流程(包括IKE SA建立過程)圖;圖5是本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式下IPsec SA建立流程(利用觸發(fā)器建立IKE SA過程)圖;圖6是本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式下IPsec SA建立、更新、刪除及IP地址變化通知的流程圖;圖7是本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-主機(jī)模式下IPsec SA建立、更新、刪除及IP地址變化通知的流程圖。
具體實(shí)施例方式本實(shí)施方式提供一種實(shí)現(xiàn)端到端安全防護(hù)的方法,包括:在接入網(wǎng)絡(luò)中增加安全網(wǎng)關(guān)(IPsec網(wǎng)關(guān)),相互通信的兩個(gè)接入設(shè)備間不直接建立IKE SA,而是分別與IPsec網(wǎng)關(guān)建立IKE SA,然后利用IPsec網(wǎng)關(guān)在兩個(gè)接入設(shè)備間建立一條認(rèn)證通道,并利用認(rèn)證信道在這兩個(gè)接入設(shè)備間傳遞建立、更新、刪除IPsec SA以及維護(hù)IP地址變化需要的IKE v2消息。本實(shí)施方式的實(shí)現(xiàn)端到端安全防護(hù)的方法,具體采用以下技術(shù)方案:在用戶簽約接入服務(wù)時(shí),由電信運(yùn)營(yíng)商為接入設(shè)備分配一個(gè)統(tǒng)一的、全局唯一的接入標(biāo)識(shí)并與接入設(shè)備綁定。接入標(biāo)識(shí)可以是IPv4或者IPv6地址,也可能采用電話號(hào)碼、電子郵件地址,或者域名形式來(lái)表示。當(dāng)接入設(shè)備接入網(wǎng)絡(luò)時(shí),需要對(duì)接入設(shè)備進(jìn)行認(rèn)證(如利用接入標(biāo)識(shí)與密碼進(jìn)行身份驗(yàn)證),通過接入驗(yàn)證后,如果接入設(shè)備的接入標(biāo)識(shí)非IP地址形式,接入設(shè)備可以從接入網(wǎng)絡(luò)獲得一個(gè)臨時(shí)的IP地址。在接入設(shè)備的接入標(biāo)識(shí)為非IP地址形式的情況下,由接入標(biāo)識(shí)與IP地址映射數(shù)據(jù)庫(kù)維護(hù)接入標(biāo)識(shí)與IP地址的映射關(guān)系。當(dāng)接入設(shè)備A與接入設(shè)備B通信前,接入設(shè)備A需要向接入網(wǎng)絡(luò)發(fā)起接入標(biāo)識(shí)-1P地址映射請(qǐng)求,以獲得接入設(shè)備B的IP地址。當(dāng)接入設(shè)備具有多種可選接入方式時(shí),隨著接入方式變化,接入設(shè)備的IP地址可能會(huì)不斷變化。例如,對(duì)于可以采用WLAN和3G兩種接入方式的設(shè)備,隨著接入方式的切換,接入設(shè)備的IP地址也會(huì)相應(yīng)地變化。因此,接入標(biāo)識(shí)與IP地址映射數(shù)據(jù)庫(kù)需要?jiǎng)討B(tài)更新維護(hù)的接入標(biāo)識(shí)與IP地址的映射關(guān)系。接入設(shè)備間的通信有兩種類型:兩個(gè)通信的接入設(shè)備屬于同一接入網(wǎng)絡(luò)、或者兩個(gè)通信的接入設(shè)備屬于不同的接入網(wǎng)絡(luò)。相應(yīng)地,對(duì)應(yīng)的IPsec SA建立方式也可分為兩種:主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)方式,和主機(jī)-網(wǎng)關(guān)-主機(jī)方式。當(dāng)兩個(gè)通信的接入設(shè)備屬于不同接入網(wǎng)絡(luò)時(shí),兩個(gè)接入設(shè)備間通過主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)方式建立、更新、刪除IPsecSA以及維護(hù)IP地址變化。當(dāng)兩個(gè)接入設(shè)備處于同一網(wǎng)絡(luò)時(shí),兩個(gè)接入設(shè)備間通過主機(jī)-網(wǎng)關(guān)-主機(jī)方式建立、更新、刪除IPsec SA以及維護(hù)IP地址變化。在主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式中,發(fā)起方接入設(shè)備與發(fā)起方接入網(wǎng)絡(luò)的IPsec網(wǎng)關(guān)(以下也簡(jiǎn)稱為發(fā)起方IPsec網(wǎng)關(guān))建立IKE SA,發(fā)起方接入網(wǎng)絡(luò)的IPsec網(wǎng)關(guān)與對(duì)端接入網(wǎng)絡(luò)的IPsec網(wǎng)關(guān)(以下也簡(jiǎn)稱為對(duì)端IPsec網(wǎng)關(guān))建立IKE SA,對(duì)端接入設(shè)備與對(duì)端IPsec網(wǎng)關(guān)建立IKE SA。從而,通過發(fā)起方IPsec網(wǎng)關(guān)和對(duì)端IPsec網(wǎng)關(guān),發(fā)起方接入設(shè)備與對(duì)端接入設(shè)備間建立了一條認(rèn)證通道。當(dāng)發(fā)起方接入設(shè)備欲與對(duì)端接入設(shè)備建立IPsec SA時(shí),發(fā)起方接入設(shè)備利用發(fā)起方IPsec網(wǎng)關(guān)與對(duì)端IPsec網(wǎng)關(guān)傳遞IKE v2消息給對(duì)端接入設(shè)備,從而與對(duì)端接入設(shè)備建立IPsec SA。在主機(jī)-網(wǎng)關(guān)-主機(jī)模式中,發(fā)起方接入設(shè)備和對(duì)端接入設(shè)備位于同一接入網(wǎng)絡(luò),兩者連接到同一 IPsec網(wǎng)關(guān),且均與IPsec網(wǎng)關(guān)建立IKE SA。通過IPsec網(wǎng)關(guān),發(fā)起方接入設(shè)備與對(duì)端接入設(shè)備間建立了一條認(rèn)證通道。當(dāng)發(fā)起方接入設(shè)備欲與對(duì)端接入設(shè)備建立IPsec SA時(shí),發(fā)起方利用IPsec網(wǎng)關(guān)傳遞IKE v2消息給對(duì)端接入設(shè)備,從而與對(duì)端接入設(shè)備建立IPsec SA?!獥lIKE v2消息由固定的消息頭部和一個(gè)或者多個(gè)消息載荷(Payload)組成,一個(gè)消息載荷由一個(gè)或者多個(gè)域(Field)組成。本實(shí)施方式中,主要包括如下幾類消息載荷:基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷(ID-BASED END TO END PROTECTIONSUPPORTED):基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷表明己方具有基于標(biāo)識(shí)的端到端安全防護(hù)支持能力。標(biāo)識(shí)載荷(IDE NTIFICATION):標(biāo)識(shí)載荷是IKE v2協(xié)議規(guī)定的載荷類型包括標(biāo)識(shí)類型和標(biāo)識(shí)域。IKE v2協(xié)議規(guī)定了 IP v4地址、IP v6地址、電子郵件地址類型、ID_KEY_ID類型等多種標(biāo)識(shí)類型,對(duì)于以電子郵件地址表示的接入標(biāo)識(shí),可以使用電子郵件類型,對(duì)于采用數(shù)字串的電話號(hào)碼標(biāo)識(shí)的接入標(biāo)識(shí),可以采用ID_KEY_ID類型表示。當(dāng)標(biāo)識(shí)類型為IPv4或者IPv6地址時(shí),標(biāo)識(shí)載荷可以用來(lái)攜帶地址。為了對(duì)IP地址形式的接入標(biāo)識(shí)和其他形式的接入標(biāo)識(shí)相區(qū)別,本發(fā)明將攜帶地址的標(biāo)識(shí)載荷稱為地址標(biāo)識(shí)載荷,攜帶其他形式接入標(biāo)識(shí)的標(biāo)識(shí)載荷稱為非地址標(biāo)識(shí)載荷。標(biāo)識(shí)載荷成對(duì)使用,前面的為發(fā)起方標(biāo)識(shí)載荷,后面的為對(duì)端標(biāo)識(shí)載荷。標(biāo)識(shí)載荷可以為地址標(biāo)識(shí)載荷或非地址標(biāo)識(shí)載荷,一對(duì)標(biāo)識(shí)載荷的組合共有四種可能性:(地址標(biāo)識(shí)載荷、地址標(biāo)識(shí)載荷),(地址標(biāo)識(shí)載荷、非地址標(biāo)識(shí)載荷)、(非地址標(biāo)識(shí)載荷、地址標(biāo)識(shí)載荷)、(非地址標(biāo)識(shí)載荷、非地址標(biāo)識(shí)載荷)。隨機(jī)數(shù)據(jù)載荷(NONCE):隨機(jī)數(shù)載荷是IKE v2協(xié)議規(guī)定的載荷類型,攜帶一個(gè)隨機(jī)數(shù)據(jù)以提供保鮮性(Liveness)和防止重放攻擊。安全關(guān)聯(lián)載荷(SECURITY ASSOCIATION):安全關(guān)聯(lián)載荷是IKE v2協(xié)議規(guī)定的載荷類型,包括一個(gè)或者多個(gè)提議結(jié)構(gòu)(Proposal Structure),每個(gè)提議包括協(xié)議類型(ESP、AH或者IKE)、安全參數(shù)索引(Security Parameter Index, SPI)長(zhǎng)度、SPI值,以及一個(gè)或多個(gè)變換子結(jié)構(gòu)(Transform Substructure),每個(gè)變換子結(jié)構(gòu)支持的加密算法、完整性及偽隨函數(shù)算法、迪菲-赫爾曼(Diffie-Hellman)組、以及擴(kuò)展序列號(hào)(Extended SequenceNumber,簡(jiǎn)稱為ESN)集合。IKE v2協(xié)議規(guī)定ESP、AH協(xié)議類型的協(xié)議結(jié)構(gòu)中不需要包含代表含偽隨機(jī)函數(shù)算法的變換子結(jié)構(gòu)。本發(fā)明使用偽隨機(jī)函數(shù)算法用來(lái)派生密鑰材料,要求ESP、AH協(xié)議類型的協(xié)議結(jié)構(gòu)中必須包含代表偽隨機(jī)函數(shù)算法的變換子結(jié)構(gòu),可選的兩個(gè)偽隨機(jī)函數(shù)算法為IKE v2協(xié)議中規(guī)定的PRF_HMAC_MD5和PRF_HMAC_SHA1。此外,本發(fā)明要求ESP、AH協(xié)議類型的協(xié)議結(jié)構(gòu)中必須包代表Diffie-Hellman組變換子結(jié)構(gòu),用來(lái)指定使用的 Diffie-Hellman 組。密鑰協(xié)商載荷(KEY EXCHANGE):密鑰協(xié)商載荷是IKE v2協(xié)議規(guī)定的載荷類型,包含Diffie-Hellman協(xié)商需要的參數(shù)。Diffie-Hellman協(xié)商中,協(xié)商的發(fā)起方選擇一個(gè)比素?cái)?shù)P小的隨機(jī)數(shù)i,然后將gimodp發(fā)送給對(duì)端,對(duì)端選擇一個(gè)比素?cái)?shù)P小的隨機(jī)數(shù)r,將g^iodp給發(fā)送方,雙方都可以計(jì)算獲得gllrmodp,其中,對(duì)于指定的Diffie-Hellman組,g和P都是公開的。在IKE v2中的Diffie-Hellman協(xié)商需要的參數(shù)即為上述的gimodp和grmodp,以及 Diffie-Hellman 組號(hào)。IKE v2協(xié)議規(guī)定,IPsec SA的密鑰材料派生公式為:KEYMAT = prf+ (SK_d,girmodp I Ni | Nr)得到,其中prf+為基于偽隨機(jī)函數(shù)prf生成的一種函數(shù),girmodp為Diffie-Hellman協(xié)商后的秘密值,|表示拼接操作,Ni為發(fā)起方發(fā)送的隨機(jī)數(shù)據(jù)載荷中的隨機(jī)數(shù)據(jù),Nr為對(duì)端發(fā)送的隨機(jī)數(shù)據(jù)載荷中的隨機(jī)數(shù)據(jù),SK_d為建立IKE SA時(shí)生成的一個(gè)密鑰。本實(shí)施方式中,由于發(fā)起方接入設(shè)備和對(duì)端接入設(shè)備間不建立IKE SA,因此不能使用IKE v2協(xié)議規(guī)定的方法來(lái)生成IPsec SA的密鑰材料。本實(shí)施方式的密鑰材料派生方法為:KEYMAT = prf+ (girmodp | Ni | Nr, IDi | IDr)。其中 prf 為 ESP,AH 協(xié)議類型的協(xié)議結(jié)構(gòu)中指定的偽隨機(jī)函數(shù),IDi為發(fā)起方接入設(shè)備的接入標(biāo)識(shí),IDr為對(duì)端接入設(shè)備的接入標(biāo)識(shí)。在本發(fā)明中,IPsec SA建立與IPsec SA更新流程中的IPsec SA密鑰材料都按照上述公式 KEYMAT = prf+ (girmodp | Ni | Nr, IDi | IDr)生成。通知載荷(NOTIFY):通知載荷是IKE v2協(xié)議規(guī)定的載荷類型,包含SPI長(zhǎng)度、SPI值、通知消息類型、通知數(shù)據(jù)域。刪除載荷(DELETE):刪除載荷是IKE v2協(xié)議規(guī)定的載荷類型,包含SPI長(zhǎng)度、SPI值域。流量選擇子載荷(TRAFFIC SELECTOR):流量選擇子載荷是IKE v2規(guī)定的載荷類型,包括一個(gè)或者多個(gè)流量選擇子條目。每個(gè)流量選擇子條目包含流量選擇子類型、協(xié)議類型、起始端口、終止端口、起始地址、終止地址。其中流量選擇子類型為IP V4或IP V6地址,協(xié)議類型為UDP、TCP和ICMP等。起始地址、終止地址聯(lián)合規(guī)定了地址范圍。起始端口、終止端口聯(lián)合規(guī)定了端口范圍。流量選擇子條目之間為并列關(guān)系,整個(gè)流量選擇子的范圍為各個(gè)流量選擇子條目規(guī)定范圍的并集。流量選擇子載荷是成對(duì)使用的,前面的流量選擇子載荷為發(fā)起端流量選擇子載荷,用來(lái)規(guī)定發(fā)起方的IP流量范圍,后面的流量選擇子載荷為響應(yīng)端流量選擇子載荷,用來(lái)規(guī)定響應(yīng)方的IP流量范圍。在使用時(shí),發(fā)起方會(huì)向響應(yīng)方發(fā)出一對(duì)流量選擇子載荷,響應(yīng)方會(huì)利用發(fā)起方的發(fā)起端流量選擇子載荷的子集合和響應(yīng)端流量選擇子載荷的子集生成新的一對(duì)流量選擇子載荷返回給發(fā)起方,作為最終的流量選擇子。以下將分別針對(duì)主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式和主機(jī)-網(wǎng)關(guān)-主機(jī)模式,對(duì)主機(jī)間IPsec SA建立、更新、刪除以及IP地址變化通知流程進(jìn)行具體說明。一、主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式的IPsec SA建立、更新、刪除以及IP地址變化通知在主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式中,在建立IPsec SA時(shí),發(fā)起方接入設(shè)備與對(duì)端接入設(shè)備間可能已經(jīng)建立起了一條認(rèn)證通道,即發(fā)起方接入設(shè)備與發(fā)起方IPsec網(wǎng)關(guān)、發(fā)起方IPsec網(wǎng)關(guān)與對(duì)端IPsec網(wǎng)關(guān)、以及對(duì)端IPsec網(wǎng)關(guān)與對(duì)端接入設(shè)備的三個(gè)區(qū)段的兩個(gè)網(wǎng)元間都已經(jīng)建立IKE SA。此時(shí),IKE SA建立的過程主要包括以下4個(gè)步驟:1、發(fā)起方發(fā)送IKE_SA_INIT請(qǐng)求消息給對(duì)端;2、對(duì)端響應(yīng)IKE_SA_INIT請(qǐng)求,返回IKE_SA_INIT響應(yīng);
3、發(fā)起方發(fā)送IKE_SA_AUTH請(qǐng)求消息;4、對(duì)端返回IKE_SA_AUTH響應(yīng)消息。通過上述步驟,發(fā)起方與對(duì)端建立了 IKE SA。此外,在建立IPsec SA前,發(fā)起方接入設(shè)備與對(duì)端接入設(shè)備間也可能未建立起一條認(rèn)證通道。如果在建立IPsec SA時(shí),接入設(shè)備與IPsec網(wǎng)關(guān)間的IKE SA未建立,為加快IPsec SA的建立速度和減少消息交互,優(yōu)選地,可以在接入設(shè)備與接入網(wǎng)關(guān)交互的IKE_SA_AUTH請(qǐng)求和響應(yīng)消息中,攜帶建立接入設(shè)備與接入網(wǎng)關(guān)間的IKE SA以及接入設(shè)備間IPsecSA需要的載荷。如果在建立IPsec SA時(shí),發(fā)起方IPsec網(wǎng)關(guān)與對(duì)端IPsec網(wǎng)關(guān)未建立IKESA,發(fā)起方IPsec網(wǎng)關(guān)與對(duì)端IPsec網(wǎng)關(guān)先通過IKE_SA_INIT請(qǐng)求/響應(yīng)、IKE_SA_AUTH請(qǐng)求/響應(yīng)四步交互建立IKE SA,然后利用CREATE_CHILD_SA請(qǐng)求/響應(yīng)消息攜帶建立接入設(shè)備間IPsec SA需要的載荷。以下的IPsec SA建立過程描述中,包含了認(rèn)證通道已經(jīng)建立和未建立兩種情況。如果發(fā)起方接入設(shè)備已與己方IPsec網(wǎng)關(guān)建立IKE SA,則發(fā)起方接入設(shè)備構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,包括基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE)。其中一對(duì)標(biāo)識(shí)載荷為發(fā)起方接入設(shè)備和對(duì)端接入設(shè)備的標(biāo)識(shí)載荷,可以為地址標(biāo)識(shí)載荷或非地址標(biāo)識(shí)載荷,一對(duì)標(biāo)識(shí)載荷的組合共有四種可能性:(地址標(biāo)識(shí)載荷、地址標(biāo)識(shí)載荷),(地址標(biāo)識(shí)載荷、非地址標(biāo)識(shí)載荷)、(非地址標(biāo)識(shí)載荷、地址標(biāo)識(shí)載荷)、(非地址標(biāo)識(shí)載荷、非地址標(biāo)識(shí)載荷)。密鑰交換載荷用來(lái)協(xié)商密鑰。然后將CREATE_CHILD_SA請(qǐng)求消息發(fā)送給己方的IPsec網(wǎng)關(guān)。如果發(fā)起方接入設(shè)備與己方的IPsec網(wǎng)關(guān)尚未建立IKE連接,則發(fā)起方接入設(shè)備向己方IPsec網(wǎng)關(guān)發(fā)送IKE_SA_INIT請(qǐng)求消息,發(fā)起方IPsec網(wǎng)關(guān)向發(fā)起方接入設(shè)備返回IKE_SA_INIT響應(yīng)消息。然后發(fā)起方接入設(shè)備向發(fā)起方IPsec網(wǎng)關(guān)發(fā)送IKE_SA_AUTH請(qǐng)求消息,除了攜帶發(fā)起方接入設(shè)備與發(fā)起方IPsec網(wǎng)關(guān)建立IKE SA必須的載荷外,IKE_SA_AUTH請(qǐng)求消息還攜帶生成IPsec SA需要的載荷,包括基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE)。其中一對(duì)標(biāo)識(shí)載荷攜帶的為發(fā)起方接入設(shè)備和對(duì)端接入設(shè)備的標(biāo)識(shí),密鑰交換載荷用來(lái)協(xié)商密鑰。然后將IKE_SA_AUTH請(qǐng)求消息發(fā)送給己方的IPsec網(wǎng)關(guān)。發(fā)起方IPsec網(wǎng)關(guān)收到CREATE_CHILD_SA或IKE_SA_AUTH請(qǐng)求消息后,會(huì)根據(jù)對(duì)端接入設(shè)備的接入標(biāo)識(shí)確定對(duì)端接入設(shè)備對(duì)應(yīng)的IPsec網(wǎng)關(guān)。如果尚未與對(duì)端IPsec網(wǎng)關(guān)建立IKE SA。則發(fā)起方IPsec網(wǎng)關(guān)需要先與對(duì)端IPsec網(wǎng)關(guān)建立IKE SA。然后,發(fā)起方IPsec網(wǎng)關(guān)構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,包括拷貝的接收到的CREATE_CHILD_SA或IKE_SA_AUTH請(qǐng)求消息中的基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE)。發(fā)起方IPsec網(wǎng)關(guān)將CREATE_CHILD_SA請(qǐng)求消息發(fā)送給對(duì)端IPsec網(wǎng)關(guān)。對(duì)端IPsec網(wǎng)關(guān)收到附加基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷的CREATE_CHILD_SA請(qǐng)求消息后,如果標(biāo)識(shí)載荷為非地址標(biāo)識(shí)載荷,則對(duì)端IPsec網(wǎng)關(guān)需要先查找己方的接入標(biāo)識(shí)與地址映射數(shù)據(jù)庫(kù),獲得對(duì)端接入設(shè)備的IP地址。然后對(duì)端IPsec網(wǎng)關(guān)檢查是否與對(duì)端接入設(shè)備已建立IKE SA0對(duì)端IPsec網(wǎng)關(guān)共有如下三種處理方式:方式A,如果與對(duì)端接入設(shè)備已建立IKE SA,貝U對(duì)端IPsec網(wǎng)關(guān)會(huì)構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,包括拷貝的接收到的CREATE_CHILD_SA請(qǐng)求消息中的基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE)。對(duì)端IPsec網(wǎng)關(guān)將CREATE_CHILD_SA請(qǐng)求消息發(fā)送給對(duì)端接入設(shè)備的IP地址。
如果對(duì)端IPsec網(wǎng)關(guān)與對(duì)端接入設(shè)備未建立IKE SA,對(duì)端IPsec網(wǎng)關(guān)的處理方法可以采用如下方式B或方式C:方式B,對(duì)端IPsec網(wǎng)關(guān)向?qū)Χ私尤朐O(shè)備發(fā)送IKE_SA_INIT請(qǐng)求消息,對(duì)端接入設(shè)備向?qū)Χ薎Psec網(wǎng)關(guān)返回IKE_SA_INIT響應(yīng)消息。然后對(duì)端IPsec網(wǎng)關(guān)構(gòu)造一條IKE_SA_AUTH請(qǐng)求消息,包括拷貝的接收到的CREATE_CHILD_SA請(qǐng)求消息中的基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE)。對(duì)端IPsec網(wǎng)關(guān)將IKE_SA_AUTH請(qǐng)求消息發(fā)送給對(duì)端接入設(shè)備的IP地址。上述方式B中,對(duì)端IPsec網(wǎng)關(guān)向?qū)Χ私尤朐O(shè)備發(fā)起IKE SA建立請(qǐng)求,與方式B不同的是,方式C是對(duì)端IPsec網(wǎng)關(guān)向?qū)Χ私尤朐O(shè)備發(fā)送一條內(nèi)容為空的INFORMATIONAL類型的請(qǐng)求消息要求對(duì)端接入設(shè)備發(fā)起IKE SA建立請(qǐng)求,此INFORMATIONAL請(qǐng)求消息作為觸發(fā)器使用。然后,由對(duì)端接入設(shè)備發(fā)送IKE_SA_INIT請(qǐng)求消息,對(duì)端IPsec網(wǎng)關(guān)發(fā)送IKE_SA_INIT響應(yīng)消息,對(duì)端接入設(shè)備發(fā)送IKE_SA_AUTH請(qǐng)求消息,對(duì)端IPsec網(wǎng)關(guān)發(fā)送IKE_SA_AUTH響應(yīng)。經(jīng)過上述步驟,在對(duì)端IPsec網(wǎng)關(guān)與對(duì)端接入設(shè)備間建立IKE SA之后,按照方式A構(gòu)造CREATE_CHILD_SA請(qǐng)求消息,并發(fā)送給對(duì)端接入設(shè)備。當(dāng)收到方式A或C的CREATE_CHILD_SA或方式B的IKE_SA_AUTH請(qǐng)求消息后,對(duì)端接入設(shè)備會(huì)造出一條 CREATE_CHILD_SA 或 IKE_SA_AUTH 響應(yīng)消息。CREATE_CHILD_SA響應(yīng)消息,包括基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KE YEXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE)。IKE_SA_AUTH響應(yīng)消息除了包含與對(duì)端IPsec網(wǎng)關(guān)建立IKE SA需要的載荷外,還包括上述的CREATE_CHILD_SA響應(yīng)消息中創(chuàng)建IPsec SA需要的載荷。然后,對(duì)端接入設(shè)備將CREATE_CHILD_SA或IKE_SA_AUTH響應(yīng)消息發(fā)送給對(duì)端IPsec網(wǎng)關(guān)。同時(shí),對(duì)端接入設(shè)備可以按照上述指定的IPsecSA密鑰材料生成方法派生IPsec SA的各種密鑰。對(duì)端IPsec網(wǎng)關(guān)收到CREATE_CHILD_SA或IKE_SA_AUTH響應(yīng)消息后,會(huì)構(gòu)造一條CREATE_CHILD_SA響應(yīng)消息,拷貝CREATE_CHILD_SA或IKE_SA_AUTH響應(yīng)消息中的基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE)。然后將CREATE_CHILD_SA響應(yīng)消息發(fā)送給發(fā)送方接入設(shè)備的IPsec網(wǎng)關(guān)。發(fā)送方IPsec網(wǎng)關(guān)收到CREATE _CHILD_SA響應(yīng)消息后,如果判斷發(fā)起方接入設(shè)備已與發(fā)送方IPsec網(wǎng)關(guān)建立IKE SA,則發(fā)送方IPsec網(wǎng)關(guān)將構(gòu)造一條CREATE_CHILD_SA,否則發(fā)送方IPsec網(wǎng)關(guān)將構(gòu)造一條IKE_SA_AUTH響應(yīng)消息。其中,CREATE_CHILD_SA響應(yīng)消息,包括拷貝接收到CREATE_CHILD_SA響應(yīng)消息的基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE)。IKE_SA_AUTH響應(yīng)消息除了包含與對(duì)端IPsec網(wǎng)關(guān)建立IKE SA需要的載荷外,還包括上述的CREATE_CHILD_SA響應(yīng)消息的各種載荷。然后,發(fā)起方IPsec網(wǎng)關(guān)將CREATE C_HILD_SA或IKE_SA_AUTH響應(yīng)消息發(fā)送給發(fā)起方接入設(shè)備。最后,發(fā)起方接入設(shè)備可以按照上述指定的IPsec SA密鑰材料生成方法派生IPsec SA的各種密鑰。至此,發(fā)起方接入設(shè)備和對(duì)端接入設(shè)備間建立了保護(hù)發(fā)起方接入設(shè)備到對(duì)端接入設(shè)備IP數(shù)據(jù)數(shù)據(jù)流的IPsec SA0為了實(shí)現(xiàn)雙向的安全通信,還需要利用上述方法創(chuàng)建保護(hù)對(duì)端接入設(shè)備到發(fā)起方接入設(shè)備IP數(shù)據(jù)流的IPsec SA,利用雙向的IPsec SA對(duì)兩者間的IP數(shù)據(jù)包進(jìn)行保護(hù)。接入設(shè)備間對(duì)IPsec SA更新的流程與上述IPsec SA建立流程類似。此時(shí),接入設(shè)備間已經(jīng)建立起了一條認(rèn)證通道。發(fā)起IPsec SA更新請(qǐng)求的接入設(shè)備構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,包含基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、IPsec SA更新(REKEY_SA)通知載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)載荷(NONCE),其中更新IPsec SA通知載荷為IKE v2協(xié)議的一類通知載荷類型,攜帶將更新的IPsec SA的安全參數(shù)索引(Security Parameter Index,簡(jiǎn)稱為SPI)。然后將CREATE_CHILD_SA請(qǐng)求消息發(fā)送給己方的IPsec網(wǎng)關(guān)。己方的IPsec網(wǎng)關(guān)構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,拷貝收到的CREATE_CHILD_SA請(qǐng)求消息各載荷內(nèi)容,然后將構(gòu)造的CREATE_CHILD_SA請(qǐng)求消息發(fā)送給對(duì)端IPsec網(wǎng)關(guān)。對(duì)端IPsec網(wǎng)關(guān)構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,拷貝收到的CREATE_CHILD_SA請(qǐng)求消息各載荷內(nèi)容,然后將構(gòu)造的CREATE_CHILD_SA請(qǐng)求消息發(fā)送給對(duì)端接入設(shè)備。 對(duì)端接入設(shè)備構(gòu)造一條CREATE_CHILD_SA響應(yīng)消息,包括基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、安全關(guān)聯(lián)載荷、密鑰交換載荷(KEY EXCHANGE)、一對(duì)標(biāo)識(shí)載荷、一對(duì)流量選擇子載荷、隨機(jī)數(shù)據(jù)載荷。然后將構(gòu)造的CREATE_CHILD_SA響應(yīng)消息發(fā)送給對(duì)端IPsec網(wǎng)關(guān)。同時(shí),對(duì)端接入設(shè)備可以按照上述指定的IPsec SA密鑰材料生成方法派生更新的IPsecSA的各種密鑰。對(duì)端IPsec網(wǎng)關(guān)構(gòu)造一條CREATE_CHILD_SA響應(yīng)消息,拷貝收到的CREATE_CHILD_SA響應(yīng)消息各載荷內(nèi)容,將構(gòu)造的CREATE_CHILD_SA響應(yīng)發(fā)送給發(fā)起IPsec SA更新請(qǐng)求設(shè)備的IPsec網(wǎng)關(guān)。發(fā)起請(qǐng)求接入設(shè)備的網(wǎng)關(guān)以同樣方式構(gòu)造CREATE_CHILD_SA響應(yīng)消息,并發(fā)送給發(fā)起請(qǐng)求設(shè)備。最后,發(fā)起方接入設(shè)備可以按照上述指定的IPsec SA密鑰材料生成方法派生更新的IPsec SA的各種密鑰。IPsec SA刪除流程如下:IPsec SA刪除時(shí),接入設(shè)備間已經(jīng)建立起了 一條認(rèn)證通道,發(fā)起IPsec SA刪除請(qǐng)求的接入設(shè)備構(gòu)造一條IKE v2INFORMATIONAL類型的請(qǐng)求消息,包含基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、刪除載荷、一對(duì)標(biāo)識(shí)載荷。然后將INFORMATIONAL請(qǐng)求消息發(fā)送給己方的IPsec網(wǎng)關(guān)。己方的IPsec網(wǎng)關(guān)構(gòu)造一條INFORMATIONAL請(qǐng)求消息,拷貝收到的基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、刪除載荷、一對(duì)標(biāo)識(shí)載荷等各載荷內(nèi)容,然后將構(gòu)造的請(qǐng)求消息發(fā)送給對(duì)端IPsec網(wǎng)關(guān)。對(duì)端IPsec網(wǎng)關(guān)構(gòu)造一條INFORMATIONAL請(qǐng)求消息,拷貝收到的INFORMATIONAL請(qǐng)求消息各載荷內(nèi)容,然后將構(gòu)造的INFORMATIONAL請(qǐng)求消息發(fā)送給對(duì)端接入設(shè)備。對(duì)端接入設(shè)備構(gòu)造一條INFORMATIONAL響應(yīng)消息,包括基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、一對(duì)標(biāo)識(shí)載荷。然后將構(gòu)造的INFORMATIONAL響應(yīng)消息發(fā)送給對(duì)端IPsec網(wǎng)關(guān)。對(duì)端IPsec網(wǎng)關(guān)構(gòu)造一條INFORMATIONAL響應(yīng)消息,拷貝收到的INFORMATIONAL響應(yīng)消息各載荷內(nèi)容,將構(gòu)造的INFORMATIONAL響應(yīng)發(fā)送給發(fā)起IPsec SA刪除請(qǐng)求設(shè)備的IPsec網(wǎng)關(guān)。發(fā)起請(qǐng)求設(shè)備的網(wǎng)關(guān)以同樣方式構(gòu)造INFORMATIONAL響應(yīng)消息,并發(fā)送給發(fā)起請(qǐng)求設(shè)備。IP地址變化通知流程如下:IP地址變化通知時(shí),接入設(shè)備間已經(jīng)建立起了 一條認(rèn)證通道,當(dāng)接入設(shè)備發(fā)現(xiàn)己方的IP地址發(fā)生變化后,會(huì)構(gòu)造一條IKE v2 INFORMATIONAL類型的請(qǐng)求消息,包含基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷、IP地址變化(UPDATE_SA_ADDRESSES)通知載荷、一對(duì)標(biāo)識(shí)載荷。其中IP地址變化通知載荷為IKE v2協(xié)議的一類通知載荷類型,表示與IPsec SA綁定的IP地址已經(jīng)改變,一對(duì)標(biāo)識(shí)載荷的第一個(gè)標(biāo)識(shí)載荷為地址標(biāo)識(shí)載荷,攜帶已更新過的IP地址。然后將INFORMATIONAL請(qǐng)求消息發(fā)送給己方的IPsec網(wǎng)關(guān)。己方的IPsec網(wǎng)關(guān)構(gòu)造一條INFORMATIONAL請(qǐng)求消息,拷貝收到的通知載荷、一對(duì)標(biāo)識(shí)載荷、請(qǐng)求消息各載荷內(nèi)容,然后將構(gòu)造的包含通知載荷、一對(duì)標(biāo)識(shí)載荷等載荷的請(qǐng)求消息發(fā)送給對(duì)端IPsec網(wǎng)關(guān)。對(duì)端IPsec網(wǎng)關(guān)構(gòu)造一條INFORMATIONAL請(qǐng)求消息,拷貝收到的INFORMATIONAL請(qǐng)求消息各載荷內(nèi)容,然后將構(gòu)造的INFORMATIONAL請(qǐng)求消息發(fā)送給對(duì)端接入設(shè)備。對(duì)端接入設(shè)備按照INFORMATIONAL請(qǐng)求消息中標(biāo)識(shí)載荷中的更新過的IP地址修改發(fā)起IP地址變化通知的接入設(shè)備對(duì)應(yīng)的IP地址。對(duì)端接入設(shè)備構(gòu)造一條INFORMATIONAL響應(yīng)消息,包括一對(duì)標(biāo)識(shí)載荷。然后將構(gòu)造的INFORMATIONAL響應(yīng)消息發(fā)送給對(duì)端IPsec網(wǎng)關(guān)。對(duì)端IPsec網(wǎng)關(guān)構(gòu)造一條INFORMATIONAL響應(yīng)消息,拷貝收到的INFORMATIONAL響應(yīng)消息各載荷內(nèi)容,將構(gòu)造的INFORMATIONAL響應(yīng)發(fā)送給發(fā)起IP地址變化請(qǐng)求的接入設(shè)備的IPsec網(wǎng)關(guān)。發(fā)起請(qǐng)求設(shè)備的網(wǎng)關(guān)以同樣方式構(gòu)造INFORMATIONAL響應(yīng)消息,并發(fā)送給發(fā)起請(qǐng)求設(shè)備。二、主機(jī)-網(wǎng)關(guān)-主機(jī)模式的IPsec SA建立、更新、刪除以及IP地址變化通知主機(jī)-網(wǎng)關(guān)-主機(jī)模式的接入設(shè)備間IPsec SA建立流程與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式相似。首先,如果IPsec SA建立的發(fā)起方接入設(shè)備與網(wǎng)關(guān)間已建立IKE SA,發(fā)起方接入設(shè)備構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,否則與網(wǎng)關(guān)間通過一輪IKE_SA_INIT請(qǐng)求/響應(yīng)消息交換后,構(gòu)造一條IKE_SA_AUTH請(qǐng)求消息。CREATE_CHILD_SA或IKE_SA_AUTH請(qǐng)求消息的載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。然后如果網(wǎng)關(guān)與對(duì)端接入設(shè)備已建立IKE SA,網(wǎng)關(guān)構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,否則采用主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式的方式B或者方式C構(gòu)造IKE_SA_AUTH或者CREATE_CHILD_SA請(qǐng)求消息。CREATE_CHILD_SA或IKE_SA_AUTH請(qǐng)求消息的載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。相應(yīng)地,對(duì)端接入設(shè)備構(gòu)造一條CREATE_CHILD_SA或IKE_SA_AUTH響應(yīng)消息,消息中載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。然后,對(duì)端接入設(shè)備將CREATE_CHILD_SA或IKE_SA_AUTH響應(yīng)消息發(fā)送給網(wǎng)關(guān)。網(wǎng)關(guān)構(gòu)造一條CREATE_CHILD_SA或IKE_SA_AUTH響應(yīng)消息,載荷的構(gòu)造方法與與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。然后,網(wǎng)關(guān)將CREATE_CHILD_SA或IKE_SA_AUTH響應(yīng)消息發(fā)送給發(fā)起方接入設(shè)備。主機(jī)-網(wǎng)關(guān)-主機(jī)模式的IPsec SA更新流程與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式相似。IPsec SA更新流程的發(fā)起方接入設(shè)備構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。然后,發(fā)起方接入設(shè)備將CREATE_CHILD_SA請(qǐng)求消息發(fā)送給發(fā)起方IPsec網(wǎng)關(guān)。網(wǎng)關(guān)構(gòu)造一條CREATE_CHILD_SA請(qǐng)求消息,載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。然后,發(fā)起方IPsec網(wǎng)關(guān)將CREATE_CHILD_SA請(qǐng)求消息發(fā)送給對(duì)端接入設(shè)備。對(duì)端接入設(shè)備構(gòu)造一條CREATE_CHILD_SA響應(yīng)消息,載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。然后,對(duì)端接入設(shè)備將CREATE_CHILD_SA響應(yīng)消息發(fā)送給IPsec網(wǎng)關(guān)。IPsec網(wǎng)關(guān)構(gòu)造一條CREATE_CHILD_SA響應(yīng)消息,載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。IPsec網(wǎng)關(guān)將CREATE_CHILD_SA響應(yīng)消息發(fā)送給發(fā)起方接入設(shè)備。主機(jī)-網(wǎng)關(guān)-主機(jī)模式的IPsec SA刪除流程與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式相似。IPsec SA刪除流程的發(fā)起方接入設(shè)備構(gòu)造一條INFORMATIONAL請(qǐng)求消息,載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。然后,發(fā)起方接入設(shè)備將INFORMATIONAL請(qǐng)求消息發(fā)送給IPsec網(wǎng)關(guān)。類似,IPsec網(wǎng)關(guān)構(gòu)造一條INFORMATIONAL請(qǐng)求消息,并將INFORMATIONAL請(qǐng)求消息發(fā)送給對(duì)端接入設(shè)備。對(duì)端接入設(shè)備發(fā)送INFORMATIONAL響應(yīng)消息給IPsec網(wǎng)關(guān),IPsec網(wǎng)關(guān)發(fā)送響應(yīng)消息給發(fā)起方接入設(shè)備。主機(jī)-網(wǎng)關(guān)-主機(jī)模式的IP地址變化通知流程與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式相似。IP地址變化通知流程的發(fā)起方接入設(shè)備構(gòu)造一條INFORMATIONAL請(qǐng)求消息,載荷的構(gòu)造方法與主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)主機(jī)模式相同。然后,發(fā)起方接入設(shè)備將INFORMATIONAL請(qǐng)求消息發(fā)送給IPsec網(wǎng)關(guān)。類似,IPsec網(wǎng)關(guān)構(gòu)造一條INFORMATIONAL請(qǐng)求消息,并將INFORMATIONAL請(qǐng)求消息發(fā)送給對(duì)端接入設(shè)備。對(duì)端接入設(shè)備發(fā)送INFORMATIONAL響應(yīng)消息給IPsec網(wǎng)關(guān),IPsec網(wǎng)關(guān)發(fā)送響應(yīng)消息給發(fā)起方接入設(shè)備。為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。本發(fā)明提供了兩種IPsec部署模式:圖1中所示的主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-主機(jī)模式,和圖2中所示的主機(jī)-網(wǎng)關(guān)-主機(jī)模式。圖3示出了本發(fā)明實(shí)施例的IKE v2協(xié)議建立IKE SA的流程。該流程主要包括如下步驟:步驟11,發(fā)起方1001向?qū)Χ?002發(fā)送IKE_SA_INIT請(qǐng)求。步驟12,對(duì)端1002向發(fā)起方1001發(fā)送IKE_SA_INIT響應(yīng)。步驟13,發(fā)起方1001向?qū)Χ?002發(fā)送IKE_SA_AUTH請(qǐng)求,包含基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷和其它載荷?;跇?biāo)識(shí)的端到端安全防護(hù)支持載荷用于表明己方具有基于標(biāo)識(shí)的端到端安全防護(hù)支持能力。步驟14,對(duì)端1002在IKE_SA_AUTH響應(yīng)消息中附加基于標(biāo)識(shí)的端到端安全防護(hù)支持載荷和其它載荷。其中,所述的發(fā)起方可能是接入設(shè)備或IPsec網(wǎng)關(guān);所述的對(duì)端也可能是接入設(shè)備或IPsec網(wǎng)關(guān)。圖4示出了本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-模式下,IPsec SA建立流程。本實(shí)施例中,假定發(fā)起方接入設(shè)備101與IPsec網(wǎng)關(guān)102、IPsec網(wǎng)關(guān)102與對(duì)端IPsec網(wǎng)關(guān)108、對(duì)端IPsec網(wǎng)關(guān)108與對(duì)端接入設(shè)備109的IKE SA均未建立。如圖4所示,該流程主要包括如下步驟:步驟301,發(fā)起方接入設(shè)備101發(fā)送建立接入設(shè)備101與接入網(wǎng)關(guān)102間IKE SA的 IKE_SA_INIT 請(qǐng)求。步驟302,網(wǎng)關(guān)102向接入設(shè)備101發(fā)送建立IKE SA的IKE_SA_INIT響應(yīng)消息。步驟303,接入設(shè)備101向網(wǎng)關(guān)102發(fā)送建立接入設(shè)備101與網(wǎng)關(guān)102間IKE SA和接入設(shè)備101和接入設(shè)備109間IPsec SA的IKE_SA_AUTH請(qǐng)求消息。步驟304-307,網(wǎng)關(guān)102與網(wǎng)關(guān)108建立IKE SA。
步驟308,網(wǎng)關(guān)107發(fā)送建立接入設(shè)備101和接入設(shè)備109間IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟309和310,網(wǎng)關(guān)108與接入設(shè)備109間交換建立網(wǎng)關(guān)108與接入設(shè)備109間IKE SA的IKE_SA_INIT請(qǐng)求和響應(yīng)消息。步驟311,網(wǎng)關(guān)108向接入設(shè)備109發(fā)送建立接入網(wǎng)關(guān)108與接入設(shè)備109間IKESA和接入設(shè)備101和接入設(shè)備109間IPsec SA的IKE_SA_AUTH請(qǐng)求消息。步驟312,接入設(shè)備109返回建立接入網(wǎng)關(guān)108與接入設(shè)備109間IKE SA和接入設(shè)備101和接入設(shè)備109間IPsec SA的IKE_SA_AUTH響應(yīng)消息。步驟313,網(wǎng)關(guān)108返回建立接入設(shè)備101和接入設(shè)備109間IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟314,網(wǎng)關(guān)102返回建立接入設(shè)備101和接入設(shè)備109間IPsec SA的IKE_SA_AUTH響應(yīng)消息。至此,發(fā)起方接入101和對(duì)端接入設(shè)備109間建立了單向的IPsec SA。圖5示出了本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-模式下,IPsec SA建立流程。本實(shí)施例中,假定發(fā)起方接入設(shè)備101與IPsec網(wǎng)關(guān)102已建立IKE SA.1Psec網(wǎng)關(guān)102與對(duì)端IPsec網(wǎng)關(guān)108已建立IKE SA、對(duì)端IPsec網(wǎng)關(guān)108與對(duì)端接入設(shè)備109的IKE SA未建立。如圖5所示,該流程主要包括如下步驟:步驟401,發(fā)起方接入設(shè)備101發(fā)送建立接入設(shè)備101與接入設(shè)備109間IPsec SA的 CREATE_CHILD_SA 請(qǐng)求消息。步驟402,網(wǎng)關(guān)102向?qū)Χ司W(wǎng)關(guān)108發(fā)送建立IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟403,對(duì)端網(wǎng)關(guān)108向?qū)Χ嗽O(shè)備109發(fā)送IKE_SA_INIT請(qǐng)求消息,此消息僅作觸發(fā)器使用,通知對(duì)端設(shè)備109發(fā)起IKE SA建立請(qǐng)求。步驟404-407,對(duì)端接入設(shè)備109與對(duì)端網(wǎng)關(guān)108建立IKE SA。步驟408,對(duì)端網(wǎng)關(guān)108向?qū)Χ嗽O(shè)備109發(fā)送建立IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟409,對(duì)端接入設(shè)備109向?qū)Χ司W(wǎng)關(guān)108發(fā)送建立IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟410,對(duì)端網(wǎng)關(guān)108向網(wǎng)關(guān)102發(fā)送建立IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟411,網(wǎng)關(guān)102向發(fā)起方接入設(shè)備101發(fā)送建立IPsec SA的CREATE_CHILD_SA響應(yīng)消息。至此,發(fā)起方接入101和對(duì)端接入設(shè)備109間建立了單向的IPsec SA。圖6示出了本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-網(wǎng)關(guān)-模式下,IPsec SA建立、更新、刪除以及IP地址變化通知流程。本實(shí)施例中,假定發(fā)起方接入設(shè)備101與IPsec網(wǎng)關(guān)102間、IPsec網(wǎng)關(guān)102與對(duì)端IPsec網(wǎng)關(guān)108、對(duì)端IPsec網(wǎng)關(guān)108與對(duì)端接入設(shè)備109間的IKESA都已經(jīng)建立。如圖6所示,該流程主要包括如下步驟:下述步驟501至步驟506為接入設(shè)備間建立IPsec SA的流程。步驟501,發(fā)起方接入設(shè)備101發(fā)送建立IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。
步驟502,網(wǎng)關(guān)102向?qū)Χ司W(wǎng)關(guān)108發(fā)送建立IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟503,對(duì)端網(wǎng)關(guān)108向?qū)Χ嗽O(shè)備109發(fā)送建立IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟504,對(duì)端設(shè)備109向?qū)Χ司W(wǎng)關(guān)108發(fā)送建立IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟505,對(duì)端網(wǎng)關(guān)108向網(wǎng)關(guān)102發(fā)送建立IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟506,網(wǎng)關(guān)102向發(fā)起方接入設(shè)備101發(fā)送建立IPsec SA的CREATE_CHILD_SA響應(yīng)消息。至此,發(fā)起方接入101和對(duì)端接入設(shè)備109間建立了單向的IPsec SA。下述步驟507至步驟512為接入設(shè)備間更新IPsec SA的流程。步驟507,發(fā)起方接入設(shè)備101發(fā)送更新IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟508,網(wǎng)關(guān)102向?qū)Χ司W(wǎng)關(guān)108發(fā)送更新IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟509,對(duì)端網(wǎng)關(guān)108向?qū)Χ嗽O(shè)備109發(fā)送更新IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟510,對(duì)端設(shè)備109向?qū)Χ司W(wǎng)關(guān)108發(fā)送更新IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟511,對(duì)端網(wǎng)關(guān)108向網(wǎng)關(guān)102發(fā)送更新IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟512,網(wǎng)關(guān)102向發(fā)起方接入設(shè)備101發(fā)送更新IPsec SA的CREATE_CHILD_SA響應(yīng)消息。至此,發(fā)起方接入101和對(duì)端接入設(shè)備109間完成了 IPsec SA更新。下述步驟513至步驟518為接入設(shè)備IP地址變更通知的流程。步驟513,發(fā)起方接入設(shè)備101發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL請(qǐng)求消息。步驟514,網(wǎng)關(guān)102向?qū)Χ司W(wǎng)關(guān)108發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL 請(qǐng)求消息。步驟515,對(duì)端網(wǎng)關(guān)108向?qū)Χ嗽O(shè)備109發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL 請(qǐng)求消息。步驟516,對(duì)端設(shè)備109向?qū)Χ司W(wǎng)關(guān)108發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL 響應(yīng)消息。步驟517,對(duì)端網(wǎng)關(guān)108向網(wǎng)關(guān)102發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL 響應(yīng)消息。步驟518,網(wǎng)關(guān)102向發(fā)起方接入設(shè)備101發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL 響應(yīng)消息。至此,完成了接入設(shè)備IP地址變更通知。下述步驟519至步驟524為接入設(shè)備間刪除IPsec SA的流程。
步驟519,發(fā)起方接入設(shè)備101發(fā)送刪除IPsec SA的INFORMATIONAL請(qǐng)求消息。步驟520,網(wǎng)關(guān)102向?qū)Χ司W(wǎng)關(guān)108發(fā)送刪除IPsec SA的INFORMATIONAL請(qǐng)求消
肩、O步驟521,對(duì)端網(wǎng)關(guān)108向?qū)Χ嗽O(shè)備109發(fā)送刪除IPsec SA的INFORMATIONAL請(qǐng)求消息。步驟522,對(duì)端設(shè)備109向?qū)Χ司W(wǎng)關(guān)108發(fā)送刪除IPsec SA的INFORMATIONAL響
應(yīng)消息。步驟523,對(duì)端網(wǎng)關(guān)108向網(wǎng)關(guān)102發(fā)送刪除IPsec SA的INFORMATIONAL響應(yīng)消
肩、O步驟524,網(wǎng)關(guān)102向發(fā)起方接入設(shè)備101發(fā)送刪除IPsec SA的INFORMATIONAL響應(yīng)消息。至此,發(fā)起方接入設(shè)備101和對(duì)端接入設(shè)備109間完成了 IPsec SA刪除。圖7示出了本發(fā)明實(shí)施例的主機(jī)-網(wǎng)關(guān)-主機(jī)模式下,IPsec SA建立、更新、刪除以及IP地址變更通知流程。本實(shí)施例中,假定接入設(shè)備131與IPsec網(wǎng)關(guān)132、IPsec網(wǎng)關(guān)132與接入設(shè)備139間的IKE SA已經(jīng)建立。如圖7所示,該流程主要包括如下步驟:下述步驟601至步驟604為接入設(shè)備間建立IPsec SA的流程。步驟601,發(fā)起方接入設(shè)備131發(fā)送建立IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟602,網(wǎng)關(guān)132發(fā)送建立IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟603,對(duì)端設(shè)備139向網(wǎng)關(guān)132發(fā)送建立IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟604,網(wǎng)關(guān)132向發(fā)起方設(shè)備131發(fā)送建立IPsec SA的CREATE_CHILD_SA響
應(yīng)消息。至此,發(fā)起方接入設(shè)備131和對(duì)端接入設(shè)備139間建立了單向的IPsec SA。下述步驟605至步驟608為接入設(shè)備間更新IPsec SA的流程。步驟605,發(fā)起方接入設(shè)備131發(fā)送更新IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟606,網(wǎng)關(guān)132發(fā)送更新IPsec SA的CREATE_CHILD_SA請(qǐng)求消息。步驟607,對(duì)端設(shè)備139向網(wǎng)關(guān)132發(fā)送更新IPsec SA的CREATE_CHILD_SA響應(yīng)消息。步驟608,網(wǎng)關(guān)132向發(fā)起方設(shè)備131發(fā)送更新IPsec SA的CREATE_CHILD_SA響
應(yīng)消息。至此,發(fā)起方接入設(shè)備131和對(duì)端接入設(shè)備139間完成了 IPsec SA更新。下述步驟609至步驟612為接入設(shè)備IP地址變更通知的流程。步驟609,發(fā)起方接入設(shè)備131發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL請(qǐng)求消息。步驟610,網(wǎng)關(guān)132發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL請(qǐng)求消息。步驟611,對(duì)端設(shè)備139向網(wǎng)關(guān)132發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL 響應(yīng)消息。步驟612,網(wǎng)關(guān)132向發(fā)起方設(shè)備131發(fā)送接入設(shè)備IP地址變更通知的INFORMATIONAL 響應(yīng)消息。
至此,完成了接入設(shè)備IP地址變更通知。下述步驟613至步驟616為刪除IPsec SA的流程。步驟613,發(fā)起方接入設(shè)備131發(fā)送刪除IPsec SA的INFORMATIONAL請(qǐng)求消息。步驟614,網(wǎng)關(guān)132發(fā)送刪除IPsec SA的INFORMATIONAL請(qǐng)求消息步驟615,對(duì)端設(shè)備139向網(wǎng)關(guān)132發(fā)送刪除IPsec SA的INFORMATIONAL響應(yīng)消
息步驟616,網(wǎng)關(guān)132向發(fā)起方設(shè)備131發(fā)送刪除IPsec SA的INFORMATIONAL響應(yīng)消息至此,發(fā)起方接入設(shè)備131和對(duì)端接入設(shè)備139間完成了 IPsec SA刪除。此外,本發(fā)明實(shí)施例中還提供了一種實(shí)現(xiàn)端到端安全防護(hù)的系統(tǒng),本實(shí)施例系統(tǒng)包括接入網(wǎng)絡(luò)中的接入設(shè)備和安全網(wǎng)關(guān),所述接入設(shè)備中包括IKESA建立單元和IPsec SA建立單元,所述安全網(wǎng)關(guān)中包括IKE SA建立模塊,其中:所述IKE SA建立單元用于,與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA;所述IKE SA建立模塊用于,與本接入網(wǎng)絡(luò)中的接入設(shè)備、或者與其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA;所述IPsec SA建立單元用于,與本接入網(wǎng)絡(luò)或者其他接入網(wǎng)絡(luò)中的其他接入設(shè)備建立并維護(hù)IPsec SA,且所述IPsec SA的建立與維護(hù)過程受建立的所述IKE SA安全保護(hù)。進(jìn)一步地,所述IPsec SA建立單元用于,在與所述其他接入設(shè)備發(fā)起建立所述IPsec SA時(shí),如果與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)已建立IKE SA,則基于建立的所述IKE SA建立所述IPsec SA ;如果與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)還未建立IKE SA,則同時(shí)進(jìn)行建立IKESA及所述IPsec SA的過程,且在建立所述IKE SA的過程的消息中包含用于建立所述IKESA的參數(shù),還包含用于建立所述IPsec SA的參數(shù)。進(jìn)一步地,所述IPsec SA建立單元維護(hù)IPsec SA的過程,包括:IPsec SA更新、IPsec SA刪除、以及接入設(shè)備IP地址變化通知。進(jìn)一步地,所述IPsec SA建立單元建立的所述IPsec SA中的密鑰通過迪菲-赫爾曼密鑰協(xié)商機(jī)制協(xié)商與派生。此外,本發(fā)明實(shí)施例中還提供了一種實(shí)現(xiàn)端到端安全防護(hù)的安全網(wǎng)關(guān)(IPsec網(wǎng)關(guān)),該安全網(wǎng)關(guān)主要包括IKE SA建立模塊,所述IKE SA建立模塊用于,與本接入網(wǎng)絡(luò)中的接入設(shè)備、或者與其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA。進(jìn)一步地,所述IKE SA建立模塊用于:分別與本接入網(wǎng)絡(luò)中的第一接入設(shè)備和第二接入設(shè)備建立IKE SA,對(duì)所述第一接入設(shè)備和所述第二接入設(shè)備之間建立并維護(hù)的IPsec SA進(jìn)行安全保護(hù);或者,分別與本接入網(wǎng)絡(luò)中的第一接入設(shè)備、以及其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA,對(duì)所述第一接入設(shè)備和所述其他接入網(wǎng)絡(luò)中的第二接入設(shè)備之間建立并維護(hù)的IPsec SA進(jìn)行安全保護(hù)。以上僅為本發(fā)明的優(yōu)選實(shí)施案例而已,并不用于限制本發(fā)明,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn),從而,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行,并且在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
權(quán)利要求
1.一種實(shí)現(xiàn)端到端安全防護(hù)的方法,其特征在于, 第一接入設(shè)備與第一安全網(wǎng)關(guān)、以及第二接入設(shè)備與第二安全網(wǎng)關(guān)分別建立網(wǎng)絡(luò)密鑰交換協(xié)議安全關(guān)聯(lián)(IKE SA); 所述第一接入設(shè)備與所述第二接入設(shè)備建立并維護(hù)網(wǎng)絡(luò)協(xié)議安全性安全關(guān)聯(lián)(IPsecSA),所述IPsec SA的建立與維護(hù)過程受所述第一接入設(shè)備與所述第一安全網(wǎng)關(guān)、以及所述第二接入設(shè)備與所述第二安全網(wǎng)關(guān)建立的IKE SA安全保護(hù)。
2.如權(quán)利要求1所述的方法,其特征在于, 所述第一接入設(shè)備與所述第二接入設(shè)備的接入網(wǎng)絡(luò)相同時(shí),所述第一安全網(wǎng)關(guān)與所述第二安全網(wǎng)關(guān)為所述相同接入網(wǎng)絡(luò)中的同一個(gè)IPsec網(wǎng)關(guān); 所述第一接入設(shè)備與所述第二接入設(shè)備的接入網(wǎng)絡(luò)不相同時(shí),所述第一安全網(wǎng)關(guān)與所述第二安全網(wǎng)關(guān)分別為所述兩個(gè)不同接入網(wǎng)絡(luò)中的不同IPsec網(wǎng)關(guān);且所述兩個(gè)不同IPsec網(wǎng)關(guān)之間建立IKE SA。
3.如權(quán)利要求1所述的方法,其特征在于, 所述第一接入設(shè)備與所述第二接入設(shè)備具有接入標(biāo)識(shí); 所述接入標(biāo)識(shí)包括以下之一或任意組合:ip地址、或電話號(hào)碼、或統(tǒng)一資源標(biāo)識(shí)、或域名。
4.如權(quán)利要求1所述的方法,其特征在于, 所述第一接入設(shè)備與所述第二接入設(shè)備建立的所述IPsec SA中的密鑰通過迪菲-赫爾曼密鑰協(xié)商機(jī)制(DifTie-Hellman)協(xié)商與派生。
5.如權(quán)利要求1所述的方法,其特征在于, 所述維護(hù)IPsec SA的過程,包括:IPsec SA更新、IPsec SA刪除、以及接入設(shè)備IP地址變化通知。
6.如權(quán)利要求1或2所述的方法,其特征在于, 所述第一接入設(shè)備與所述第一安全網(wǎng)關(guān)、所述第二接入設(shè)備與所述第二安全網(wǎng)關(guān),以及所述第一安全網(wǎng)關(guān)與所述第二安全網(wǎng)關(guān)之間建立IKE SA的過程,在所述第一接入設(shè)備與所述第二接入設(shè)備建立IPsec SA的過程之前、或者與所述第一接入設(shè)備與所述第二接入設(shè)備建立IPsec SA的過程同時(shí)進(jìn)行; 當(dāng)所述建立IKE SA的過程與所述建立IPsec SA的過程同時(shí)進(jìn)行時(shí),在建立所述IKESA的過程的消息中包含用于建立所述IKE SA的參數(shù),還包含用于建立所述IPsec SA的參數(shù)。
7.一種實(shí)現(xiàn)端到端安全防護(hù)的系統(tǒng),其特征在于,所述系統(tǒng)包括接入網(wǎng)絡(luò)中的接入設(shè)備和安全網(wǎng)關(guān),所述接入設(shè)備中包括IKE SA建立單元和IPsec SA建立單元,所述安全網(wǎng)關(guān)中包括IKE SA建立模塊,其中: 所述IKE SA建立單元用于,與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA; 所述IKE SA建立模塊用于,與本接入網(wǎng)絡(luò)中的接入設(shè)備、或者與其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA ; 所述IPsec SA建立單元用于,與本接入網(wǎng)絡(luò)或者其他接入網(wǎng)絡(luò)中的其他接入設(shè)備建立并維護(hù)IPsec SA,且所述IPsec SA的建立與維護(hù)過程受建立的所述IKE SA安全保護(hù)。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述IPsec SA建立單元用于,在與所述其他接入設(shè)備發(fā)起建立所述IPsec SA時(shí),如果與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)已建立IKE SA,則基于建立的所述IKE SA建立所述IPsec SA;如果與本接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)還未建立IKESA,則同時(shí)進(jìn)行建立IKE SA及所述IPsec SA的過程,且在建立所述IKE SA的過程的消息中包含用于建立所述IKE SA的參數(shù),還包含用于建立所述IPsec SA的參數(shù)。
9.如權(quán)利要求7或8所述的系統(tǒng),其特征在于, 所述IPsec SA建立單元維護(hù)IPsec SA的過程,包括:IPsec SA更新、IPsec SA刪除、以及接入設(shè)備IP地址變化通知。
10.如權(quán)利要求7或8所述的系統(tǒng),其特征在于, 所述IPsec SA建立單元建立的所述IPsec SA中的密鑰通過迪菲-赫爾曼密鑰協(xié)商機(jī)制協(xié)商與派生。
11.一種實(shí)現(xiàn)端到端安全防護(hù)的安全網(wǎng)關(guān),其特征在于,所述安全網(wǎng)關(guān)包括IKE SA建立模塊, 所述IKE SA建立模塊用于,與本接入網(wǎng)絡(luò)中的接入設(shè)備、或者與其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKE SA。
12.如權(quán)利要求11所述的安全網(wǎng)關(guān),其特征在于,所述IKESA建立模塊用于: 分別與本接入網(wǎng)絡(luò)中的第一接入設(shè)備和第二接入設(shè)備建立IKE SA,對(duì)所述第一接入設(shè)備和所述第二接入設(shè)備之間建立并維護(hù)的IPsec SA進(jìn)行安全保護(hù); 或者,分別與本接入 網(wǎng)絡(luò)中的第一接入設(shè)備、以及其他接入網(wǎng)絡(luò)中的安全網(wǎng)關(guān)建立IKESA,對(duì)所述第一接入設(shè)備和所述其他接入網(wǎng)絡(luò)中的第二接入設(shè)備之間建立并維護(hù)的IPsecSA進(jìn)行安全保護(hù)。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)端到端安全防護(hù)的方法、安全網(wǎng)關(guān)及系統(tǒng),第一接入設(shè)備與第一安全網(wǎng)關(guān)、以及第二接入設(shè)備與第二安全網(wǎng)關(guān)分別建立IKESA;第一接入設(shè)備與第二接入設(shè)備建立并維護(hù)IPsec SA,且IPsec SA的建立與維護(hù)過程受第一接入設(shè)備與第一安全網(wǎng)關(guān)、以及第二接入設(shè)備與第二安全網(wǎng)關(guān)建立的IKE SA安全保護(hù)。采用本發(fā)明,避免了接入設(shè)備間直接建立IKESA時(shí)復(fù)雜、難于部署的身份認(rèn)證環(huán)節(jié)。
文檔編號(hào)H04L12/66GK103188228SQ20111045234
公開日2013年7月3日 申請(qǐng)日期2011年12月29日 優(yōu)先權(quán)日2011年12月29日
發(fā)明者張瑞山, 謝振華, 張孟旺 申請(qǐng)人:中興通訊股份有限公司