CN102447674B - 一种安全协商的方法及装置 - Google Patents
一种安全协商的方法及装置 Download PDFInfo
- Publication number
- CN102447674B CN102447674B CN201010503429.4A CN201010503429A CN102447674B CN 102447674 B CN102447674 B CN 102447674B CN 201010503429 A CN201010503429 A CN 201010503429A CN 102447674 B CN102447674 B CN 102447674B
- Authority
- CN
- China
- Prior art keywords
- security association
- load
- security
- routing protocol
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全协商的方法,包括:在网络设备之间建立安全联盟,在所述安全联盟的保护下,进行路由协议的安全联盟的协商,并建立路由协议的安全联盟。本发明同时公开了一种实现上述方法的安全协商的装置,所述装置包括第一安全联盟建立单元和第二安全联盟建立单元,其中,第一安全联盟建立单元,用于在网络设备之间建立安全联盟;第二安全联盟建立单元用于建立路由协议的安全联盟。本发明的路由协议的密钥是在路由器之间自动进行协商的,因此,密钥的安全性能够得到保证。
Description
技术领域
本发明涉及通信安全领域,尤其涉及一种安全协商的方法及装置。
背景技术
路由器是现代通信网络的基础设施,因其根本功能是通过寻址与转发(也即路由功能)实现网络的互联互通。随着移动通信网络与固定网络、因特网的发展,网络的主要应用基于互联网协议(IP,InternetProtocol)化的趋势更加明显,路由器的地位和作用越发重要。而早期的网络设计者偏重于实现网络的基本功能,却忽略了安全要素,在设计路由器及路由协议时缺少对安全的考虑,安全机制缺失或不足,埋下了不少安全隐患;同时,技术的飞速进步提升了对数据的处理能力,但同时也提升了攻击者的攻击手段和攻击能力,大大提高了攻击、破坏的路由基础设施的可能性。同时,由于路由器在整个通信网络的基础性的地位,决定了对路由器的攻击带来较严重的破坏性,因此,路由设备之间的安全需要进行加固。
在当前的网络中,路由设备之间的安全主要通过路由设备的安全、路由协议的安全来保证。路由设备的安全可由运营商通过部署和管理措施实现;路由协议的安全主要通过扩展路由协议,增加认证字段的方式实现,而认证字段中的密钥需要进行人工配置。随着网络规模的增长,人工配置和更新不能实现快速的更换密钥、更换认证算法等安全需求。同时,人工配置的方式,不仅增加了管理员的工作量。而且会因管理员的离职等原因发生路由器安全密钥的泄露问题,不利于路由器安全的大规模部署和管理工作。
如何实现为路由器和路由协议提供自动协商密钥的功能,使之实现密钥的自动更新、认证算法的协商等功能,以及降低密钥泄露的可能性,是当前需要解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种安全协商的方法及装置。
为达到上述目的,本发明的技术方案是这样实现的:
一种安全协商的方法,包括:
在网络设备之间建立安全联盟,根据在因特网安全连接和密钥管理协议(ISAKMP)中修改或者增加的载荷,进行路由协议的安全联盟的协商,并建立路由协议的安全联盟。
优选地,所述网络设备可以为:路由器、交换机、防火墙、统一威胁管理设备等具有路由功能的设备。
优选地,建立路由协议的安全联盟具体为:
网络设备之间通过交互包含安全联盟载荷的报文,确定安全联盟的属性。
优选地,路由协议安全联盟的属性包括以下之一或任意组合:密码算法、安全联盟的标识、生存时间。
优选地,密码算法具体为:用于机密性和/或完整性保护的算法。
优选地,建立路由协议的安全联盟具体为:
网络设备之间通过报文交互,确定安全联盟中的密钥。
优选地,确定安全联盟中的密钥具体为:网络设备中一方确定出机密性和/或完整性保护的密钥,将所述密钥发送给网络设备中的另一方。
优选地,确定安全联盟中的密钥具体为:
网络设备之间通过交互密钥相关载荷的报文,由网络设备双方独立计算出共享密钥;其中,所述密钥相关载荷的报文包括以下一种或多种:承载密钥交换(KE),随机数的载荷。
优选地,确定安全联盟中的密钥具体为:
网络设备一方向网络设备中的另一方发送包含随机数载荷的报文,由网络设备双方基于已有的共享密钥和随机数载荷,确定安全联盟中的密钥。
优选地,所述包含安全联盟载荷的报文中承载有安全联盟协商的路由协议标识信息或者进行路由协议的安全联盟协商的指示信息。
优选地,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷,所述提案载荷中承载有安全参数索引(SPI)相关信息;
所述转码载荷中承载有路由协议安全联盟生存时间和/或路由协议安全联盟认证算法。
优选地,在所述安全联盟载荷中设置新载荷,用于承载进行路由协议的安全联盟协商的指示信息,和/或承载待建立安全联盟的路由协议标识信息,和/或待建立安全联盟的路由协议的转码标识(TransformID)信息。
优选地,在所述安全联盟载荷中设置新载荷,用于承载有安全联盟协商的路由协议标识信息,和/或待建立安全联盟的路由协议的转码标识(TransformID)信息。
一种安全协商的装置,包括第一安全联盟建立单元和第二安全联盟建立单元,其中,
第一安全联盟建立单元,用于在路由器之间建立安全联盟;
第二安全联盟建立单元,包括第一协商单元和第二协商单元。第一协商单元用于在所述第一安全联盟建立单元建立安全联盟后,在路由器之间进行基于路由协议的安全联盟属性的协商;第二协商单元用于在所述第一安全联盟建立单元建立安全联盟后,在路由器之间进行基于路由协议的安全联盟的密钥协商;
第二安全联盟建立单元中安全联盟的建立是通过协商单元完成的。
而且一般来讲,协商单元完成了,安全联盟就建立起来了。
优选地,所述协商单元进一步通过路由器之间通过互发包含安全联盟载荷的报文,用于确定出安全联盟的属性(密码算法、安全联盟的标识等),通过互发报文,用于确定出路由协议安全联盟的密钥,
优选地,所述安全联盟载荷中承载有安全联盟协商的路由协议标识信息以及路由协议对应的TransformID信息;和/或,所述安全联盟报文中承载有进行基于路由协议的安全联盟协商的指示信息。
优选地,所述装置还包括:
设置单元,用于在所述安全联盟载荷中设置新载荷,承载进行基于路由协议的安全联盟协商的指示信息,和/或承载待建立安全联盟的路由协议标识信息,和/或待建立安全联盟的路由协议的TransformID信息。
优选地,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷;其中,所述设置单元在所述安全联盟载荷中设置新载荷,用于承载安全联盟协商的路由协议的标识信息;所述设置单元在所述转码载荷中设置新载荷,用于承载安全联盟协商的路由协议的TransformID信息。
优选地,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷;所述设置单元在所述安全联盟载荷中设置新载荷,用于承载进行基于路由协议的安全联盟协商的指示信息,所述设置单元在所述提案载荷中设置新载荷,用于承载安全联盟协商的路由协议的标识信息;在所述转码载荷中设置新载荷,用于承载安全联盟协商的路由协议的TransformID信息。
本发明中,通过在包含安全联盟载荷的报文中设置用于针对路由协议加密及完整性保护的载荷,并在这些载荷中承载相应的信息,实现路由器之间基于路由协议加密及完整性保护的安全协商,从而确定出相应的密钥,以对相应的路由协议进行加密。由于这种路由协议的密钥是在路由器之间自动进行协商的,因此,密钥的安全性能够得到保证。
附图说明
图1为本发明基于ISAKMP的安全协商的方法实施例一示意图;
图2为本发明基于ISAKMP的安全协商的方法实施例二示意图;
图3为本发明基于路由协议安全协商的方法实施例一的OSPFv2安全联盟协商方式一示意图;
图4为本发明基于路由协议安全协商的方法实施例一的OSPFv2安全联盟协商方式二示意图;
图5为本发明基于路由协议安全协商的方法实施例二的OSPFv2安全联盟协商方式一示意图;
图6为本发明基于路由协议安全协商的方法实施例二的OSPFv2安全联盟协商方式二示意图;
图7为本发明安全协商的装置的组成结构示意图。
具体实施方式
本发明的基本思想为:通过在包含安全联盟载荷的报文中设置用于针对路由协议加密及完整性保护的载荷,并在这些载荷中承载相应的信息,实现路由器之间基于路由协议加密及完整性保护的安全协商,从而确定出相应的密钥,以对相应的路由协议进行加密。
路由器之间进行通信时,首先建立路由器之间进行通信的安全联盟,即在路由器之间使用互联网安全联盟及密钥管理协议(ISAKMP,InternetSecurityAssociationandKeyManagementProtocol)等建立安全联盟,该安全联盟的建立过程包括路由器的互相认证过程;安全联盟建立完成后,得到用于保护双方通信的密钥。也就是说,此时建立的安全联盟是在路由器之间安全认证之后,用于初始通信的安全联盟,并未涉及各路由协议之间的安全。
而本发明,则正是针对上述用于初始通信的安全联盟建立之后,基于路由协议再建立一个安全联盟。本发明即通过对现有的包含安全联盟载荷的报文(如ISAKMP报文)进行扩展,使其能执行基于路由协议的安全联盟。
具体的,可通过在包含安全联盟载荷的报文(如ISAKMP报文)中增设安全联盟协商的路由协议标识信息以及路由协议对应的TransformID信息,实现路由器之间的路由协议安全联盟的协商。或者,也可以在包含安全联盟载荷的报文(如ISAKMP报文)中增设安全联盟协商的路由协议标识信息、路由协议对应的TransformID信息和进行基于路由协议的安全联盟协商的指示信息。
例如,可以使用方式一,设置ISAKMP报文中安全联盟载荷(SecurityAssociationPayload)中的解释域(DOI,DomainofInterpretation)的值,比如设为3,表示进行路由协议的安全联盟协商,根据不同的路由协议设置路由协议安全联盟载荷中的协议标识(ProtocolID),根据不同的路由协议使用不同的提案(Proposal)载荷、转码(Transform)载荷。
当然,也可以使用方式二,为ISAKMP报文中安全联盟载荷中的解释域的不同的路由协议设置不同的值,比如路由协议OSPFv2的DOI设为3,表示进行保护OSPFv2路由协议的安全联盟协商,其他路由协议的设置与OSPFv2类似。路由协议的DOI与其赋值的对应关系可如表1所示:
Domain of Interpretation | Value |
IPSec DOI | 0x01 |
GDOI | 0x02 |
OSPFv2-DOI | 0x03 |
ISIS for IPv4-DOI | 0x04 |
RIPv2-DOI | 0x05 |
TCP-AO-DOI | 0x06 |
BFD-DOI | 0x07 |
表1
其中,包含安全联盟载荷的报文包括但不限于如下载荷:安全联盟载荷、Proposal载荷和Transform载荷。本发明对以上述方式一为主说明安全联盟报文的结构。
安全联盟载荷具体结构如表2所示:
表2
如表2所示,NextPayload标识下个载荷的种类。PayloadLength表示该载荷的长度。DomainofInterpretation(DOI)为解释域的类型,对于ISAKMP协议,已经定义的DOI类型如表3所示:
Domain of Interpretation | Value |
IPSec DOI | 0x01 |
GDOI | 0x02 |
RDOI | 0x03 |
表3
如表3所示,RDOI(RoutingProtocolDOI)为新增类型,为路由协议安全联盟而定义的DOI类型,本发明中将RDOI设置为3。具体的设置值,需要与互联网数字分配机构(IANA,TheInternetAssignedNumbersAuthority)批准的值对齐。
Situation具体如表4所示:
Situation | Value |
RESEARVED | 0x00 |
SIT_INTEGRITY | 0x01 |
SIT_SECRECY | 0x02 |
表4
Situation的值表示路由协议安全联盟的协商,是否需要标识加密,是否需要对标识进行完整性保护。该值设为0表示不需要考虑加密和完整性保护。该字段可选。
Proposal载荷具体结构如表5所示:
表5
如表5所示,NextPayload标识下个载荷的种类。PayloadLength表示该载荷的长度。Proposal表示proposal的个数。Protocol-Id如表6所示:
Protocol ID | Value |
RESERVED | 0 |
PROTO_RIPv2 | 1 |
PROTO_OSPFv2 | 2 |
PROTO_ISIS for IPv4 | 3 |
PROTO_TCP-AO | 4 |
PROTO_BFD | 5 |
表6
如表6所示,PROTO_RIPv2表示协商生成的路由安全联盟用于保护RIPv2协议。PROTO_OSPFv2:表示该路由安全联盟的用于保护OSPFv2协议。PROTO_ISISforIPv4表示该路由安全联盟用于保护ISISforIPv4协议。PROTO_TCP-AO表示该路由安全联盟用于为TCP-AO提供密钥与密钥标识(KeyID)。PROTO_BFD表示该路由安全联盟用于保护BFD协议。
如果使用方式二如表1所示设置了ISAKMP中安全联盟载荷(SecurityAssociationPayload)中的解释域,则该Protocol-ID值可以设为0。SPISize表示安全参数索引(SPI,SecurityParametersIndex)长度,标识协商生成安全联盟中的SPI的长度。OSPFv2、RIPv2、TCP-AO等需要的SPI长度为1,ISISforIPv4、BFD等需要的SPI长度为2。OfTransforms标识该Proposal中Transforms的个数。下文将详细说明Transforms载荷的结构。SPI表示安全联盟中双方协商的SPI,该值对于OSPFv2等路由协议,就是密钥标识(KeyID)的值。
Transform载荷具体结构如表7所示:
如表7所示,NextPayload标识下个载荷的种类。PayloadLength表示该载荷的长度。Transform标识该Proposal中第几个Transform。Transform-ID为该Transform的标识。不同的路由协议,可以定义不同的Transform标识。比如:对于Protocol-Id为OSPFv2,transform-ID如表8所示:
Transform ID | Value |
RESERVED | 0 |
Keyed-MD5 | 1 |
HMAC-SHA-1 | 2 |
HMAC-SHA-256 | 3 |
HMAC-SHA-384 | 4 |
HMAC-SHA-512 | 5 |
表8
对于Protocol-Id为RIPv2,transform-ID也可以为如表8所示。
对于Protocol-Id为BFD,transform-ID如表9所示:
Transform ID | Value |
RESERVED | 0 |
Keyed-MD5 | 1 |
Keyed-SHA-1 | 2 |
HMAC-SHA-1 | 37 --> |
HMAC-SHA-256 | 4 |
HMAC-SHA-384 | 5 |
HMAC-SHA-512 | 6 |
表9
对于Protocol-Id为TCP-AO,transform-ID如表10所示:
Situation | Value |
RESEARVED | 0 |
HMAC-SHA-1-96 | 1 |
AES-128-CMAC-96 | 2 |
表10
对于使用方式二设置ISAKMP中安全联盟载荷(SecurityAssociationPayload)中的解释域的方式,该transform-ID值可以为对应DOI所设置的路由协议的transform-ID。比如:DOI的值为OSPFv2-DOI,则该处transform-ID如表8所示。DOI的值为TCP-AO-DOI,则transform-ID如表10所示。
本发明中,Transform的标识另一种定义模式如下:对于Protocol-Id为OSPFv2,transform-ID如表11所示:
Transform ID | Value |
RESERVED | 0-1 |
OSPF_MD5 | 2 |
OSPF_SHA | 3 |
OSPF_DES | 4 |
表11
本领域技术人员应当理解,本发明上述表8至表11中的transform-ID的赋值方式仅是示例性的说明,transform-ID的赋值方式可以是任意值,只要这些值能区别开不同的transform-ID即可。
SAAttributes字段包括路由安全联盟一些属性。路由协议安全联盟中,需要考虑的安全联盟属性主要有:SALifeType,标识该路由协议安全联盟生存时间的类型,可以有两种类型,一种以秒(second)计算,一种以千字节(KBKilobyte)计算。SALifeDuration,根据路由协议安全联盟的类型,设置生存时间。比如:SAlifeType=1,SADuration=86400,表示该SA的生存时间为86400秒,即24小时。
AuthenticationAlgorithm表示路由协议安全联盟支持的认证算法,具体有:HMAC-MD5、HMAC-SHA、DES-MAC、Keyed-MD5、Keyed-SHA等。KeyLength表示路由协议安全联盟中使用的密钥的长度。
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
实施例一
图1为本发明基于ISAKMP的安全协商的方法实施例一示意图,如图1所示,本示例基于ISAKMP的安全协商的方法包括如下步骤:
步骤S110,路由器A、路由器B之间使用ISAKMP等协议建立安全联盟。
步骤S120,设置ISAKMP中的安全联盟载荷(SAPayload)中的解释域(DOI)类型为3,3表示协商的安全联盟的类型为路由协议安全联盟,并根据不同的路由协议,设置Proposal载荷中的Protocol-ID字段;根据不同的路由协议,设置transform载荷中的transform-ID、安全联盟属性等字段。然后用ISAKMP进行路由协议安全联盟的协商。该步骤的安全联盟协商过程使用步骤S110建立的安全联盟进行保护。
关于安全联盟的建立细节,由于属于现有技术,这里不再赘述其实现细节。
实施例二
图2为本发明基于ISAKMP的安全协商的方法实施例二示意图,如图2所示,本示例基于ISAKMP的安全协商的方法包括如下步骤:
步骤S210,路由器A、路由器B之间使用ISAKMP等协议建立安全联盟。
步骤S220,设置ISAKMP中的安全联盟载荷(SAPayload)中的解释域(DOI)类型为3,3表示协商的安全联盟的类型为某个具体的路由协议安全联盟(比如OSPFv2的安全联盟),并根据不同的路由协议,设计新的SA的载荷。本实施例借鉴ISAKMP的SA的载荷,增加了Proposal载荷、transform载荷,并根据不同的路由协议,设置transform载荷中的transform-ID、安全联盟属性等字段。然后用ISAKMP进行路由协议安全联盟的协商。该步骤的安全联盟协商过程使用步骤S220建立的安全联盟进行保护。
图3为本发明基于路由协议安全协商的方法实施例一的OSPFv2安全联盟协商方式一示意图,如图3所示,OSPFv2安全联盟协商具体包括如下步骤:
步骤S310,路由器A、路由器B之间使用ISAKMP等协议建立安全联盟。
步骤S320,路由器A发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),随机数(NONCE)、安全联盟载荷等。其中,安全联盟载荷的解释域(DOI)字段设置为3,表示协商的为路由协议安全联盟。安全联盟载荷中下一载荷类型(NextPayload)字段设置为Proposal载荷类型,表示该安全联盟载荷后面的载荷类型为proposal。
对proposal载荷的设置如下:设置Protocol-ID字段为Proto_OSPFv2,该字段值为新定义值,表示该安全联盟协商成功为保护OSPFv2协议使用。设置SPISize为1,因为OSPFv2的KeyID长度为1,因SPI就是OSPFv2中的KeyID,所以SPISize就是OSPFv2中的KeyID的长度。设置proposal载荷的下一载荷类型(NextPayload)字段设置为transform载荷类型。表示该proposal载荷后面的载荷类型为transform。
对transform载荷的设置如下:设置transform-ID字段为OSPF_SHA,transform-ID字段的值有很多,这里设置为OSPF_SHA,表示使用SHA算法。设置安全联盟属性(SAattribute)字段为:SALifeType=0,表示该安全联盟的生存时间按秒计。设置SALifeDuration=86400,表示该安全联盟的生存时间按秒计,有86400秒,即24小时。设置认证算法(AuthenticationAlgorithm)字段为HMAC-SHA,表示该安全联盟使用的认证算法为HMAC-SHA。
步骤S330,路由器B发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),随机数(NONCE)、安全联盟载荷等。安全联盟的设置与步骤350类似。
步骤S340,路由器A发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),密钥生成参数(KEi),路由器A的身份标识(IDi),认证信息(AUTH)等,路由器B根据密钥生成参数和认证信息、身份标识等认证路由器A。
步骤S350,路由器B发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),密钥生成参数(KEr),身份标识(IDr),认证信息(AUTH)等。路由器A根据密钥生成参数和认证信息、身份标识等认证路由器B。
图4为本发明基于路由协议安全协商的方法实施例一的OSPFv2安全联盟协商方式二示意图,如图4所示,OSPFv2安全联盟协商具体包括如下步骤:
步骤S410,路由器A、路由器B之间使用ISAKMP等协议建立安全联盟。
步骤S420,路由器A发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),随机数(NONCE)、安全联盟载荷等。其中,安全联盟载荷的解释域(DOI)字段设置为3,表示协商的为路由协议安全联盟。安全联盟载荷中下一载荷类型(NextPayload)字段设置为Proposal载荷类型,表示该安全联盟载荷后面的载荷类型为proposal。
对proposal载荷的设置如下:设置Protocol-ID字段为ProtoOSPFv2,该字段值为新定义值,表示该安全联盟协商成功为保护OSPFv2协议使用。设置SPISize为1,因为OSPFv2的KeyID长度为1,因SPI就是OSPFv2中的KeyID,所以SPISize就是OSPFv2中的KeyID的长度。设置proposal载荷的下一载荷类型(NextPayload)字段设置为transform载荷类型。表示该proposal载荷后面的载荷类型为transform。
对transform载荷的设置如下:设置transform-ID字段为OSPF_SHA,transform-ID字段的值有很多,这里设置为HMAC_SHA_1,表示使用HMAC_SHA_1算法,可以在认证中使用该算法。设置安全联盟属性(SAattribute)字段为:SALifeType=0,表示该安全联盟的生存时间按秒计。设置SALifeDuration=86400,表示该安全联盟的生存时间按秒计,有86400秒,即24小时。
步骤S430,路由器B发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),随机数(NONCE)、安全联盟载荷等。安全联盟的设置与步骤350类似。
步骤S440,路由器A发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),密钥生成参数(KEi),路由器A的身份标识(IDi),认证信息(AUTH)等,路由器B根据密钥生成参数和认证信息、身份标识等认证路由器A。
步骤S450,路由器B发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),密钥生成参数(KEr),身份标识(IDr),认证信息(AUTH)等。路由器A根据密钥生成参数和认证信息、身份标识等认证路由器B。
图5为本发明基于路由协议安全协商的方法实施例二的OSPFv2安全联盟协商方式一示意图,如图5所示,OSPFv2安全联盟协商具体包括如下步骤:
步骤S510,路由器A、路由器B之间使用ISAKMP等协议建立安全联盟。
步骤S520,路由器A发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),随机数(NONCE)、安全联盟载荷等。其中,安全联盟载荷的解释域(DOI)字段设置为OSPF-DOI,表示协商的为OSPFv2协议安全联盟。安全联盟载荷中下一载荷类型(NextPayload)字段设置为Proposal载荷类型,表示该安全联盟载荷后面的载荷类型为proposal。
对proposal载荷的设置如下:设置Protocol-ID字段为reserved,表示不使用该字段,也可以不定义该字段。设置SPISize为1,因为OSPFv2的KeyID长度为1,因SPI就是OSPFv2中的KeyID,所以SPISize就是OSPFv2中的KeyID的长度。设置proposal载荷的下一载荷类型(NextPayload)字段设置为transform载荷类型。表示该proposal载荷后面的载荷类型为transform。
对transform载荷的设置如下:设置transform-ID字段为OSPF_SHA,transform-ID字段的值有很多,这里设置为OSPF_SHA,表示使用SHA算法。设置安全联盟属性(SAattribute)字段为:SALifeType=0,表示该安全联盟的生存时间按秒计。设置SALifeDuration=86400,表示该安全联盟的生存时间按秒计,有86400秒,即24小时。设置认证算法(AuthenticationAlgorithm)字段为HMAC-SHA,表示该安全联盟使用的认证算法为HMAC-SHA。
步骤S530,路由器B发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),随机数(NONCE)、安全联盟载荷等。安全联盟的设置与步骤350类似。
步骤S540,路由器A发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),密钥生成参数(KEi),路由器A的身份标识(IDi),认证信息(AUTH)等,路由器B根据密钥生成参数和认证信息、身份标识等认证路由器A。
步骤S550,路由器B发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),密钥生成参数(KEr),身份标识(IDr),认证信息(AUTH)等。路由器A根据密钥生成参数和认证信息、身份标识等认证路由器B。
图6为本发明基于路由协议安全协商的方法实施例二的OSPFv2安全联盟协商方式二示意图,如图6所示,OSPFv2安全联盟协商具体包括如下步骤:
步骤S610,路由器A、路由器B之间使用ISAKMP等协议建立安全联盟。
步骤S620,路由器A发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),随机数(NONCE)、安全联盟载荷等。其中,安全联盟载荷的解释域(DOI)字段设置为OSPF-DOI,表示协商的为OSPFv2协议安全联盟。安全联盟载荷中下一载荷类型(NextPayload)字段设置为Proposal载荷类型,表示该安全联盟载荷后面的载荷类型为proposal。
对proposal载荷的设置如下:设置Protocol-ID字段为reserved,表示不使用该字段,也可以不定义该字段。设置SPISize为1,因为OSPFv2的KeyID长度为1,因SPI就是OSPFv2中的KeyID,所以SPISize就是OSPFv2中的KeyID的长度。设置proposal载荷的下一载荷类型(NextPayload)字段设置为transform载荷类型。表示该proposal载荷后面的载荷类型为transform。
对transform载荷的设置如下:设置transform-ID字段为OSPF_SHA,transform-ID字段的值有很多,这里设置为HMAC_SHA_1,表示使用HMAC_SHA_1算法,可以在认证中使用该算法。设置安全联盟属性(SAattribute)字段为:SALifeType=0,表示该安全联盟的生存时间按秒计。设置SALifeDuration=86400,表示该安全联盟的生存时间按秒计,有86400秒,即24小时。
步骤S630,路由器B发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),随机数(NONCE)、安全联盟载荷等。安全联盟的设置与步骤350类似。
步骤S640,路由器A发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),密钥生成参数(KEi),路由器A的身份标识(IDi),认证信息(AUTH)等,路由器B根据密钥生成参数和认证信息、身份标识等认证路由器A。
步骤S650,路由器B发送ISAKMP协议报文,该报文中包含ISAKMP头(HDR),密钥生成参数(KEr),身份标识(IDr),认证信息(AUTH)等。路由器A根据密钥生成参数和认证信息、身份标识等认证路由器B。
图7为本发明路由协议安全协商的装置的组成结构示意图,如图7所示,本发明路由协议安全协商的装置,包括第一安全联盟建立单元70、协商单元71和第二安全联盟建立单元72,其中,
第一安全联盟建立单元70,用于在路由器之间建立基于通信的安全联盟;
第二安全联盟建立单元72,包括第一协商单元和第二协商单元。第一协商单元用于在所述第一安全联盟建立单元建立安全联盟后,在路由器之间进行基于路由协议的安全联盟属性的协商;第二协商单元用于在所述第一安全联盟建立单元建立安全联盟后,在路由器之间进行路由协议的安全联盟的密钥协商。
上述第二安全联盟建立单元72进一步基于网络设备之间通过交互包含安全联盟载荷的报文,确定出安全联盟属性。
上述第二安全联盟建立单元72进一步基于网络设备之间通过所述安全联盟,确定安全联盟中的密钥,具体为以下之一:
网络设备中一方确定出机密性和/或完整性保护的密钥,将所述密钥发送给网络设备中的另一方;
网络设备之间通过交互密钥相关载荷的报文,由网络设备双方独立计算出共享密钥;其中,所述密钥相关载荷的报文包括以下一种或多种:承载密钥交换(KE),随机数的载荷;
网络设备一方向网络设备中的另一方发送包含随机数载荷的报文,由网络设备双方基于已有的共享密钥和随机数载荷,确定安全联盟中的密钥。
上述安全联盟载荷中承载有安全联盟协商的路由协议标识信息和/或路由协议的安全联盟协商的指示信息。
上述包含安全联盟载荷的报文还包含提案载荷和转码载荷;其中,所述提案载荷中承载有安全参数索引(SPI)相关信息;所述转码载荷中承载有路由协议安全联盟生存时间和/或路由协议安全联盟认证算法。
本领域技术人员应当理解,本发明路由协议安全协商的装置是为实现前述的安全协商的方法而设计的,上述各单元的实现功能可参照前述方法的相关描述而理解。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (13)
1.一种安全协商的方法,其特征在于,所述方法包括:
在网络设备之间建立安全联盟;
根据在因特网安全连接和密钥管理协议(ISAKMP)中修改或者增加的载荷,进行路由协议的安全联盟的协商,并建立路由协议的安全联盟;其中,
所述ISAKMP中修改或者增加的载荷,用于承载安全联盟协商的路由协议标识信息、和/或所述路由协议对应的转码标识信息、和/或进行基于路由协议的安全联盟协商的指示信息。
2.根据权利要求1所述的方法,其特征在于,建立路由协议的安全联盟具体为:
网络设备之间通过交互包含安全联盟载荷的报文,确定安全联盟的属性。
3.根据权利要求2所述的方法,其特征在于,路由协议安全联盟的属性包括以下之一或任意组合:密码算法、安全联盟的标识、生存时间。
4.根据权利要求3所述的方法,其特征在于,密码算法具体为:用于机密性和/或完整性保护的算法。
5.根据权利要求1所述的方法,其特征在于,建立路由协议的安全联盟具体为:
网络设备之间通过报文交互,确定安全联盟中的密钥。
6.根据权利要求5所述的方法,其特征在于,确定安全联盟中的密钥具体为:网络设备中一方确定出机密性和/或完整性保护的密钥,将所述密钥发送给网络设备中的另一方。
7.根据权利要求5所述的方法,其特征在于,确定安全联盟中的密钥具体为:
网络设备之间通过交互密钥相关载荷的报文,由网络设备双方独立计算出共享密钥;其中,所述密钥相关载荷的报文包括以下一种或多种:承载密钥交换(KE),随机数的载荷。
8.根据权利要求5所述的方法,其特征在于,确定安全联盟中的密钥具体为:
网络设备一方向网络设备中的另一方发送包含随机数载荷的报文,由网络设备双方基于已有的共享密钥和随机数载荷,确定安全联盟中的密钥。
9.根据权利要求2所述的方法,其特征在于,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷,所述提案载荷中承载有安全参数索引(SPI)相关信息;
所述转码载荷中承载有路由协议安全联盟生存时间和/或路由协议安全联盟认证算法。
10.一种安全协商的装置,其特征在于,所述装置包括第一安全联盟建立单元和第二安全联盟建立单元,其中,
第一安全联盟建立单元,用于在网络设备之间建立安全联盟;
第二安全联盟建立单元,包括第一协商单元和第二协商单元,第一协商单元用于根据在因特网安全连接和密钥管理协议(ISAKMP)中修改或者增加的载荷,在所述第一安全联盟建立单元建立安全联盟后,进行基于路由协议的安全联盟属性的协商;第二协商单元用于根据在因特网安全连接和密钥管理协议(ISAKMP)中修改或者增加的载荷,在所述第一安全联盟建立单元建立安全联盟后,进行路由协议的安全联盟的密钥协商;其中,
所述ISAKMP中修改或者增加的载荷,用于承载安全联盟协商的路由协议标识信息、和/或所述路由协议对应的转码标识信息、和/或进行基于路由协议的安全联盟协商的指示信息。
11.根据权利要求10所述的装置,其特征在于,所述第二安全联盟建立单元进一步基于网络设备之间通过交互包含安全联盟载荷的报文,确定出安全联盟属性。
12.根据权利要求10所述的装置,其特征在于,所述第二安全联盟建立单元进一步基于网络设备之间通过所述安全联盟,确定安全联盟中的密钥,具体为以下之一:
网络设备中一方确定出机密性和/或完整性保护的密钥,将所述密钥发送给网络设备中的另一方;
网络设备之间通过交互密钥相关载荷的报文,由网络设备双方独立计算出共享密钥;其中,所述密钥相关载荷的报文包括以下一种或多种:承载密钥交换(KE),随机数的载荷;
网络设备一方向网络设备中的另一方发送包含随机数载荷的报文,由网络设备双方基于已有的共享密钥和随机数载荷,确定安全联盟中的密钥。
13.根据权利要求11所述的装置,其特征在于,所述包含安全联盟载荷的报文还包含提案载荷和转码载荷;其中,所述提案载荷中承载有安全参数索引(SPI)相关信息;所述转码载荷中承载有路由协议安全联盟生存时间和/或路由协议安全联盟认证算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010503429.4A CN102447674B (zh) | 2010-10-08 | 2010-10-08 | 一种安全协商的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010503429.4A CN102447674B (zh) | 2010-10-08 | 2010-10-08 | 一种安全协商的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102447674A CN102447674A (zh) | 2012-05-09 |
CN102447674B true CN102447674B (zh) | 2016-06-29 |
Family
ID=46009766
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010503429.4A Expired - Fee Related CN102447674B (zh) | 2010-10-08 | 2010-10-08 | 一种安全协商的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102447674B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107438246A (zh) * | 2017-08-02 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种无线路由器、无线路由器间加密通讯方法及系统 |
CN108390825B (zh) * | 2018-01-04 | 2020-10-16 | 中国人民武装警察部队工程大学 | 基于分层pce的多域光网络安全光树建立方法及系统 |
CN113839778B (zh) * | 2021-11-29 | 2022-02-18 | 军事科学院系统工程研究院网络信息研究所 | 一种用于接入路由器的安全虚连接协议方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7027597B1 (en) * | 2001-09-18 | 2006-04-11 | Cisco Technologies, Inc. | Pre-computation and dual-pass modular arithmetic operation approach to implement encryption protocols efficiently in electronic integrated circuits |
CN101499972A (zh) * | 2009-03-16 | 2009-08-05 | 杭州华三通信技术有限公司 | Ip安全报文转发方法及装置 |
CN101510889A (zh) * | 2009-04-03 | 2009-08-19 | 杭州华三通信技术有限公司 | 一种获取动态路由的方法和设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7269730B2 (en) * | 2002-04-18 | 2007-09-11 | Nokia Corporation | Method and apparatus for providing peer authentication for an internet key exchange |
-
2010
- 2010-10-08 CN CN201010503429.4A patent/CN102447674B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7027597B1 (en) * | 2001-09-18 | 2006-04-11 | Cisco Technologies, Inc. | Pre-computation and dual-pass modular arithmetic operation approach to implement encryption protocols efficiently in electronic integrated circuits |
CN101499972A (zh) * | 2009-03-16 | 2009-08-05 | 杭州华三通信技术有限公司 | Ip安全报文转发方法及装置 |
CN101510889A (zh) * | 2009-04-03 | 2009-08-19 | 杭州华三通信技术有限公司 | 一种获取动态路由的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN102447674A (zh) | 2012-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102970299B (zh) | 文件安全保护系统及其方法 | |
RU2424634C2 (ru) | Способ и устройство для самоконфигурирования базовой станции | |
US20190007838A1 (en) | Security features in next generation networks | |
CN102447690B (zh) | 一种密钥管理方法与网络设备 | |
EP2506491B1 (en) | Encryption information transmission terminal | |
JP2009246988A (ja) | Wlan相互接続における識別情報の保護方法 | |
EP4021048A1 (en) | Identity authentication method and apparatus | |
CN107920350A (zh) | 一种基于sdn的隐私保护切换认证方法、5g异构网络 | |
JP2020533853A (ja) | デジタル証明書を管理するための方法および装置 | |
CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
CN110808830A (zh) | 一种基于5G网络切片的IoT安全验证框架及其服务方法 | |
CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
CN101478388B (zh) | 支持多级安全的移动IPSec接入认证方法 | |
CN108353279A (zh) | 一种认证方法和认证系统 | |
Pérez et al. | Architecture of security association establishment based on bootstrapping technologies for enabling secure IoT infrastructures | |
CN102447674B (zh) | 一种安全协商的方法及装置 | |
CN107493294A (zh) | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 | |
RU2447603C2 (ru) | Способ передачи сообщений dhcp | |
CN101478389B (zh) | 支持多级安全的移动IPSec传输认证方法 | |
Gerdes et al. | Delegated authenticated authorization for constrained environments | |
JP5795591B2 (ja) | サービスフローの暗号化処理方法及びシステム | |
Youm | An overview of security and privacy issues for internet of things | |
CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
Wang et al. | An efficient EAP-based pre-authentication for inter-WRAN handover in TV white space | |
WO2020140929A1 (zh) | 一种密钥生成方法、ue及网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160629 Termination date: 20201008 |
|
CF01 | Termination of patent right due to non-payment of annual fee |