专利名称:一种安全协商的方法及装置的制作方法
技术领域:
本 发明涉及通信安全领域,尤其涉及一种安全协商的方法及装置。
背景技术:
路由器是现代通信网络的基础设施,因其根本功能是通过寻址与转发(也即路由功能)实现网络的互联互通。随着移动通信网络与固定网络、因特网的发展,网络的主要应用基于互联网协议(IP,Internet Protocol)化的趋势更加明显,路由器的地位和作用越发重要。而早期的网络设计者偏重于实现网络的基本功能,却忽略了安全要素,在设计路由器及路由协议时缺少对安全的考虑,安全机制缺失或不足,埋下了不少安全隐患;同时,技术的飞速进步提升了对数据的处理能力,但同时也提升了攻击者的攻击手段和攻击能力,大大提高了攻击、破坏的路由基础设施的可能性。同时,由于路由器在整个通信网络的基础性的地位,决定了对路由器的攻击带来较严重的破坏性,因此,路由设备之间的安全需要进行加固。在当前的网络中,路由设备之间的安全主要通过路由设备的安全、路由协议的安全来保证。路由设备的安全可由运营商通过部署和管理措施实现;路由协议的安全主要通过扩展路由协议,增加认证字段的方式实现,而认证字段中的密钥需要进行人工配置。随着网络规模的增长,人工配置和更新不能实现快速的更换密钥、更换认证算法等安全需求。同时,人工配置的方式,不仅增加了管理员的工作量。而且会因管理员的离职等原因发生路由器安全密钥的泄露问题,不利于路由器安全的大规模部署和管理工作。如何实现为路由器和路由协议提供自动协商密钥的功能,使之实现密钥的自动更新、认证算法的协商等功能,以及降低密钥泄露的可能性,是当前需要解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种安全协商的方法及装置。为达到上述目的,本发明的技术方案是这样实现的一种安全协商的方法,包括在网络设备之间建立安全联盟,根据在因特网安全连接和密钥管理协议(ISAKMP) 中修改或者增加的载荷,进行路由协议的安全联盟的协商,并建立路由协议的安全联盟。优选地,所述网络设备可以为路由器、交换机、防火墙、统一威胁管理设备等具有路由功能的设备。优选地,建立路由协议的安全联盟具体为网络设备之间通过交互包含安全联盟载荷的报文,确定安全联盟的属性。优选地,路由协议安全联盟的属性包括以下之一或任意组合密码算法、安全联盟的标识、生存时间。优选地,密码算法具体为用于机密性和/或完整性保护的算法。优选地,建立路由协议的安全联盟具体为
网络设备之间通过报文交互,确定安全联盟中的密钥。优选地,确定安全联盟中的密钥具体为网络设备中一方确定出机密性和/或完整性保护的密钥,将所述密钥发送给网络设备中的另一方。优选地,确定安全联盟中的密钥具体为网络设备之间通过交互密钥相关载荷的报文,由网络设备双方独立计算出共享密钥;其中,所述密钥相关载荷的报文包括以下一种或多种承载密钥交换(KE),随机数的载荷。
优选地,确定安全联盟中的密钥具体为网络设备一方向网络设备中的另一方发送包含随机数载荷的报文,由网络设备双方基于已有的共享密钥和随机数载荷,确定安全联盟中的密钥。优选地,所述包含安全联盟载荷的报文中承载有安全联盟协商的路由协议标识信息或者进行路由协议的安全联盟协商的指示信息。优选地,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷,所述提案载荷中承载有安全参数索引(SPI)相关信息;所述转码载荷中承载有路由协议安全联盟生存时间和/或路由协议安全联盟认证算法。优选地,在所述安全联盟载荷中设置新载荷,用于承载进行路由协议的安全联盟协商的指示信息,和/或承载待建立安全联盟的路由协议标识信息,和/或待建立安全联盟的路由协议的转码标识(Transform ID)信息。优选地,在所述安全联盟载荷中设置新载荷,用于承载有安全联盟协商的路由协议标识信息,和/或待建立安全联盟的路由协议的转码标识(Transform ID)信息。一种安全协商的装置,包括第一安全联盟建立单元和第二安全联盟建立单元,其中,第一安全联盟建立单元,用于在路由器之间建立安全联盟;第二安全联盟建立单元,包括第一协商单元和第二协商单元。第一协商单元用于在所述第一安全联盟建立单元建立安全联盟后,在路由器之间进行基于路由协议的安全联盟属性的协商;第二协商单元用于在所述第一安全联盟建立单元建立安全联盟后,在路由器之间进行基于路由协议的安全联盟的密钥协商;第二安全联盟建立单元中安全联盟的建立是通过协商单元完成的。而且一般来讲,协商单元完成了,安全联盟就建立起来了。优选地,所述协商单元进一步通过路由器之间通过互发包含安全联盟载荷的报文,用于确定出安全联盟的属性(密码算法、安全联盟的标识等),通过互发报文,用于确定出路由协议安全联盟的密钥,优选地,所述安全联盟载荷中承载有安全联盟协商的路由协议标识信息以及路由协议对应的Transform ID信息;和/或,所述安全联盟报文中承载有进行基于路由协议的安全联盟协商的指示信息。优选地,所述装置还包括设置单元,用于在所述安全联盟载荷中设置新载荷,承载进行基于路由协议的安全联盟协商的指示信息,和/或承载待建立安全联盟的路由协议标识信息,和/或待建立安全联盟的路由协议的Trans form ID信息。优选地,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷;其中,所述设置单元在所述安全联盟载荷中设置新载荷,用于承载安全联盟协商的路由协议的标识信息;所述设置单元在所述转码载荷中设置新载荷,用于承载安全联盟协商的路由协议的 Transform ID 信息。优选地,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷;所述设置单元在所述安全联盟载荷中设置新载荷,用于承载进行基于路由协议的安全联盟协商的指示信息,所述设置单元在所述提案载荷中设置新载荷,用于承载安全联盟协商的路由协议的标识信息;在所述转码载荷中设置新载荷,用于承载安全联盟协商的路由协议的Transform ID fp 息 ο本发明中,通过在包含安全联盟载荷的报文中设置用于针对路由协议加密及完整性保护的载荷,并在这些载荷中承载相应的信息,实现路由器之间基于路由协议加密及完整性保护的安全协商,从而确定出相应的密钥,以对相应的路由协议进行加密。由于这种路由协议的密钥是在路由器之间自动进行协商的,因此,密钥的安全性能够得到保证。
图1为本发明基于ISAKMP的安全协商的方法实施例一示意图;图2为本发明基于ISAKMP的安全协商的方法实施例二示意图;图3为本发明基于路由协议安全协商的方法实施例一的0SPFv2安全联盟协商方式一示意图;图4为本发明基于路由协议安全协商的方法实施例一的0SPFv2安全联盟协商方式二示意图;图5为本发明基于路由协议安全协商的方法实施例二的0SPFv2安全联盟协商方式一示意图;图6为本发明基于路由协议安全协商的方法实施例二的0SPFv2安全联盟协商方式二示意图;图7为本发明安全协商的装置的组成结构示意图。
具体实施例方式本发明的基本思想为通过在包含安全联盟载荷的报文中设置用于针对路由协议加密及完整性保护的载荷,并在这些载荷中承载相应的信息,实现路由器之间基于路由协议加密及完整性保护的安全协商,从而确定出相应的密钥,以对相应的路由协议进行加密。路由器之间进行通信时,首先建立路由器之间进行通信的安全联盟,即在路由器之间使用互联网安全联盟及密钥管理协议(ISAKMP,Internet Security Association and Key Management Protocol)等建立安全联盟,该安全联盟的建立过程包括路由器的互相认证过程;安全联盟建立完成后,得到用于保护双方通信的密钥。也就是说,此时建立的安全联盟是在路由器之间安全认证之后,用于初始通信的安全联盟,并未涉及各路由协议之间的安全。而本发明,则正是针对上述用于初始通信的安全联盟建立之后,基于路由协议再建立一个安全联盟。本发明即通过对现有的包含安全联盟载荷的报文(如ISAKMP报文) 进行扩展,使其能执行基于路由协议的安全联盟。具体的,可通过在包含安全联盟载荷的报文(如ISAKMP报文)中增设安全联盟协商的路由协议标识信息以及路由协议对应的Transform ID信息,实现路由器之间的路由协议安全联盟的协商。或者,也可以在包含安全联盟载荷的报文(如ISAKMP报文)中增设安全联盟协商的路由协议标识信息、路由协议对应的Transform ID信息和进行基于路由协议的安全联盟协商的指示信息。例如,可以使用方式一,设置ISAKMP报文中安全联盟载荷(Security Association Payload)中的解释域(D0I, Domain of Interpretation)的值,比如设为3,表示进行路由协议的安全联盟协商,根据不同的路由协议设置路由协议安全联盟载荷中的协议标识 (Protocol ID),根据不同的路由协议使用不同的提案(Proposal)载荷、转码(Transform) 载荷。当然,也可以使用方式二,为ISAKMP报文中安全联盟载荷中的解释域的不同的路由协议设置不同的值,比如路由协议0SPFv2的DOI设为3,表示进行保护0SPFv2路由协议的安全联盟协商,其他路由协议的设置与0SPFv2类似。路由协议的DOI与其赋值的对应关系可如表1所示
权利要求
1.一种安全协商的方法,其特征在于,所述方法包括 在网络设备之间建立安全联盟;根据在因特网安全连接和密钥管理协议(ISAKMP)中修改或者增加的载荷,进行路由协议的安全联盟的协商,并建立路由协议的安全联盟。
2.根据权利要求1所述的方法,其特征在于,建立路由协议的安全联盟具体为 网络设备之间通过交互包含安全联盟载荷的报文,确定安全联盟的属性。
3.根据权利要求2所述的方法,其特征在于,路由协议安全联盟的属性包括以下之一或任意组合密码算法、安全联盟的标识、生存时间。
4.根据权利要求3所述的方法,其特征在于,密码算法具体为用于机密性和/或完整性保护的算法。
5.根据权利要求1所述的方法,其特征在于,建立路由协议的安全联盟具体为 网络设备之间通过报文交互,确定安全联盟中的密钥。
6.根据权利要求5所述的方法,其特征在于,确定安全联盟中的密钥具体为网络设备中一方确定出机密性和/或完整性保护的密钥,将所述密钥发送给网络设备中的另一方。
7.根据权利要求5所述的方法,其特征在于,确定安全联盟中的密钥具体为 网络设备之间通过交互密钥相关载荷的报文,由网络设备双方独立计算出共享密钥;其中,所述密钥相关载荷的报文包括以下一种或多种承载密钥交换(KE),随机数的载荷。
8.根据权利要求5所述的方法,其特征在于,确定安全联盟中的密钥具体为网络设备一方向网络设备中的另一方发送包含随机数载荷的报文,由网络设备双方基于已有的共享密钥和随机数载荷,确定安全联盟中的密钥。
9.根据权利要求2所述的方法,其特征在于,所述包含安全联盟载荷的报文中承载有安全联盟协商的路由协议标识信息或者进行路由协议的安全联盟协商的指示信息。
10.根据权利要求2所述的方法,其特征在于,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷,所述提案载荷中承载有安全参数索引(SPI)相关信息;所述转码载荷中承载有路由协议安全联盟生存时间和/或路由协议安全联盟认证算法。
11.一种安全协商的装置,其特征在于,所述装置包括第一安全联盟建立单元和第二安全联盟建立单元,其中,第一安全联盟建立单元,用于在网络设备之间建立安全联盟; 第二安全联盟建立单元,包括第一协商单元和第二协商单元,第一协商单元用于根据在因特网安全连接和密钥管理协议(ISAKMP)中修改或者增加的载荷,在所述第一安全联盟建立单元建立安全联盟后,进行基于路由协议的安全联盟属性的协商;第二协商单元用于根据在因特网安全连接和密钥管理协议(ISAKMP)中修改或者增加的载荷,在所述第一安全联盟建立单元建立安全联盟后,进行路由协议的安全联盟的密钥协商。
12.根据权利要求11所述的装置,其特征在于,所述第二安全联盟建立单元进一步基于网络设备之间通过交互包含安全联盟载荷的报文,确定出安全联盟属性。
13.根据权利要求11所述的装置,其特征在于,所述第二安全联盟建立单元进一步基于网络设备之间通过所述安全联盟,确定安全联盟中的密钥,具体为以下之一网络设备中一方确定出机密性和/或完整性保护的密钥,将所述密钥发送给网络设备中的另一方;网络设备之间通过交互密钥相关载荷的报文,由网络设备双方独立计算出共享密钥; 其中,所述密钥相关载荷的报文包括以下一种或多种承载密钥交换(KE),随机数的载荷; 网络设备一方向网络设备中的另一方发送包含随机数载荷的报文,由网络设备双方基于已有的共享密钥和随机数载荷,确定安全联盟中的密钥。
14.根据权利要求12所述的装置,其特征在于,所述安全联盟载荷中承载有安全联盟协商的路由协议标识信息和/或路由协议的安全联盟协商的指示信息。
15.根据权利要求12所述的装置,其特征在于,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷;其中,所述提案载荷中承载有安全参数索引(SPI)相关信息;所述转码载荷中承载有路由协议安全联盟生存时间和/或路由协议安全联盟认证算法。
全文摘要
本发明公开了一种安全协商的方法,包括在网络设备之间建立安全联盟,在所述安全联盟的保护下,进行路由协议的安全联盟的协商,并建立路由协议的安全联盟。本发明同时公开了一种实现上述方法的安全协商的装置,所述装置包括第一安全联盟建立单元和第二安全联盟建立单元,其中,第一安全联盟建立单元,用于在网络设备之间建立安全联盟;第二安全联盟建立单元用于建立路由协议的安全联盟。本发明的路由协议的密钥是在路由器之间自动进行协商的,因此,密钥的安全性能够得到保证。
文档编号H04L9/08GK102447674SQ201010503429
公开日2012年5月9日 申请日期2010年10月8日 优先权日2010年10月8日
发明者梁小萍, 王鸿彦, 韦银星 申请人:中兴通讯股份有限公司