CN106656910A - Vpn网关的密钥的更新方法及系统 - Google Patents
Vpn网关的密钥的更新方法及系统 Download PDFInfo
- Publication number
- CN106656910A CN106656910A CN201510714307.2A CN201510714307A CN106656910A CN 106656910 A CN106656910 A CN 106656910A CN 201510714307 A CN201510714307 A CN 201510714307A CN 106656910 A CN106656910 A CN 106656910A
- Authority
- CN
- China
- Prior art keywords
- key
- gateway
- rule
- updating
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种VPN网关的密钥的更新方法及系统。其中,该方法包括:第一网关向第二网关发送密钥更新通知;第一网关接收第二网关根据密钥更新通知反馈的第二密钥更新规则;第一网关判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率;在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥;第一网关使用第一密钥更新第一网关的通信模块中的密钥。本发明解决了现有的VPN网关的密钥的更新方法存在限制的问题,实现了提高VPN网关通信密钥安全性的技术效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种VPN网关的密钥的更新方法及系统。
背景技术
虚拟专用网(Virtual Private Network,VPN)就是利用不可靠的公用互连网作为信息传输媒介,通过附加的安全隧道、用户认证等技术实现与专用网络相类似的安全性能,从而实现对重要信息的传输。通过VPN可以使一个大型的跨国、跨地区企业通过Internet建立一个安全的企业内部网,可以使企业分布于各地的雇员、客户、合作伙伴通过Internet等公网建立于企业内部网的安全联系。
IPSec(IP安全协议)作为虚拟专用网(VPN)的实现技术之一,有着广泛的应用。IKE(Internet Key Exchange))作为IPSec重要组成部分,能够动态协商和管理SA(Security Association),从而建立IPSecVPN之间安全的通讯隧道,IKE的改进版本IKEv2也进一步增强了通讯隧道的安全性。
需要说明的是,在上述传统的IPSec技术中,VPN网关更新密钥的方法存在如下限制:VPN网关在更新密钥的过程中需要依赖于一阶段协商过程中的会话材料,一旦这个衍生密钥的来源被攻破,攻击者很容易得到任何ipsec sa的任何密钥。
针对上述VPN网关在更新密钥的过程中密钥来源容易被攻破,导致VPN网关通信存在安全性隐患的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种VPN网关的密钥的更新方法及系统,以解决现有的VPN网关在更新密钥的过程中,密钥来源容易被攻破,导致VPN网关通信存在安全性隐患的技术问题。
根据本发明实施例的一个方面,提供了一种VPN网关的密钥的更新方法,包括:第一网关向第二网关发送密钥更新通知;第一网关接收第二网关根据密钥更新通知反馈的第二密钥更新规则;第一网关判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率; 在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥;第一网关使用第一密钥更新第一网关的通信模块中的密钥。
根据本发明实施例的另一方面,还提供了一种VPN网关的密钥的更新系统,包括:第一网关,用于发送密钥更新通知;第二网关,与第一网关建立通信关系,用于接收密钥更新通知,并根据密钥更新通知反馈第二密钥更新规则;第一网关还用于判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率;在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关用于根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥;第一网关还用于使用第一密钥更新第一网关的通信模块中的密钥。
在本发明实施例中,采用第一网关向第二网关发送密钥更新通知;第一网关接收第二网关根据密钥更新通知反馈的第二密钥更新规则;第一网关判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率;在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥;第一网关使用第一密钥更新第一网关的通信模块中的密钥的方式,解决了现有的VPN网关在更新密钥的过程中,密钥来源容易被攻破,导致VPN网关通信存在安全性隐患的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例一的VPN网关的密钥的更新方法的流程图;
图2是根据本发明实施例一的可选地VPN网关的密钥的更新方法的示意图;
图3是根据本发明实施例一的可选地VPN网关的密钥的更新方法的示意图;以及
图4是根据本发明实施例二的VPN网关的密钥的更新系统的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的 附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
根据本发明实施例,提供了一种VPN网关的密钥的更新方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例一的VPN网关的密钥的更新方法的流程图,如图1所示,该方法包括如下步骤:
步骤A:第一网关向第二网关发送密钥更新通知。
具体地,在上述步骤A中,上述第一网关可以为VPN通信的主动端,上述第二网关可以为VPN通信的被动端,在VPN的主动端需要更新密钥的情况下,VPN的主动端可以向VPN的被动端发送上述密钥更新通知,以获取VPN被动端的第二密钥更新规则。
在一种可选的实施例中,VPN的主动端也可以在上述密钥更新通知中直接发送VPN的主动端自身的第一密钥更新规则,上述第一密钥更新规则可以为密钥的更新频率等信息,这里需要说明的是,在本方案中,可以采用IKE进程来实现主动端与被动端之间关于密钥更新的协商,上述密钥更新通知可以增加在IKE第二阶段的协商报文中。
例如,在IKE第二阶段的协商中,VPN的主动端中的IKE进程可以在向VPN的被动端发送的报文中增加一个自定义的QKD的载荷,该QKD的载荷可以定义为ISAKMP_NPTYPE_QKEY,该自定义的QKD载荷中可以携带有更新密钥所需的信息即上述第一密钥更新规则,在上述密钥更新规则中可以包括VPN的主动端自身的密钥更新频率等信息。
在一种可选地实施例中,上述VPN的主动端或被动端的密钥更新频率可以通过VPN隧道的命令界面进行设置,如图2所示,在该命令界面中,可以对密钥的更新频率进行设置,需要说明的是,在图2中所示的命令界面同样可以设置隧道、网关IP地址、VPN端点、封装协议、密钥生存期等配置。密钥的更新频率与隧道是对应的,每条隧道都可以配置自己的密钥更新频率,在该命令界面中也可以设置有支持动态密钥的开关,在开启了支持动态密钥的开关之后,用户才可以配置密钥的更新频率。如图中所示,密钥更新频率的配置范围可以为1/min至6000/min。
步骤B:第一网关接收第二网关根据密钥更新通知反馈的第二密钥更新规则。
具体地,在上述步骤B中,第二网关在接收到第一网关发送的密钥更新通知后,可以向第一网关反馈第二网关自身的第二密钥更新规则。
例如,VPN的主动端在向VPN的被动端发送的VPN的主动端自身的第一密钥更新规则之后,上述VPN的被动端也同样向VPN的主动端反馈VPN的被动端自身的密钥更新规则,及VPN的被动端也向VPN的主动端发送QKD载荷。
步骤C:第一网关判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率。
具体地,在上述步骤C中,第一网关会比对第一网关自身的第一密钥更新规则与第二网关的第二密钥更新规则是否相同,可选地,上述第二网关也会比较第二网关的第二密钥更新规则与上述第一网关的第一密钥更新规则是是否相同,需要说明的是,由于密钥更新规则决定了第一网关从密钥本中获取何种序号的密钥、密钥的更新频率等,因此上述比对密钥更新规则的方案可以保证双方的密钥信息同步。
例如,在上述IKE第二阶段的协商完成后,VPN主动端与VPN的被动端会比对两端的密钥更新规则(例如密钥的更新频率、从密钥中要取的密钥的序号)是否相同,确定两端的密钥信息同步,需要说明的是,如果密钥的序号不同,则重置序列号重新开始比对,直至双方序号一致为止。
需要说明的是,在上述密钥更新规则中还可以包括:VPN通信的隧道的ID,即密钥更新频率和隧道是对应的,在本方案中,每条隧道都可以配置自己的密钥更新频率。
步骤D:在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥。
具体地,在上述步骤D中,在第一网关的第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关则按照第一密钥更新规则中的密钥更新频率从密钥本中获取 至少一次密钥,第二网关也按照第二密钥更新规则中的密钥更新频率从密钥本中获取密钥,在本方案中,两端中的密钥更新规则相同的情况下,两端才从各自的密钥本中获取密钥,以确保两端根据同样的密钥更新规则从密钥本中获取密钥。可选地,上述密钥更新规则中还可以包括密钥的序号,需要说明的是,只有两端的密钥更新频率、要获取的密钥的序号完全相同的情况下,两端才从密钥本中获取密码。
在一种可选地实施例中,在两端的密钥更新规则相同的情况下(密钥更新频率、密钥序号均相同),首先由VPN的被动端从密钥本中获取密钥,可以默认从哈希序列号1开始取对应的密钥,每次获取与序列号对应的一定数量级的密钥,(比如4k的数量级,每个密钥占128bits,4K数量级为32个密钥,密钥本的结构如表1所示。同时,VPN的被动端通知主动端获取密钥,主动端则根据同样的序号开始从密钥本中获取密钥,从主动方的密钥本中获取与VPN的被动端同等数量级的密钥,需要说明的是,VPN的被动端与VPN的主动端事先导入同一个密钥本。
表1
| Hash序列号 | 密钥 |
| 1 | 32个密钥(4K的数量级) |
| 2 | 32个密钥(4K的数量级) |
步骤E:第一网关使用第一密钥更新第一网关的通信模块中的密钥。
具体地,在上述步骤E中,上述通信模块可以为第一网关中的内核,第一网关每次从密钥本中提取到密钥之后,将密钥下发至内核,对内核中的旧密钥进行更新,同样的,第二网关也将密钥下发至第二网关的内核。
本方案通过第一网关向第二网关发送密钥更新通知;第一网关接收第二网关根据密钥更新通知反馈的第二密钥更新规则;第一网关判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率;在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥;第一网关使用第一密钥更新第一网关的通信模块中的密钥,解决了现有的VPN网关的密钥的更新方法因为存在局限性,导致密钥来源容易被攻破、VPN网关通信存在安全性隐患的技术问题。
可选地,在第一网关在每次提取第一密钥之后,本实施例提供的方法还可以包括:
步骤S12,第一网关向第二网关发送密钥提取通知。
步骤S14,第一网关接收第二网关根据密钥提取通知反馈的第二密钥,其中,第二网关根据密钥提取通知按照第二密钥更新规则从第二网关的密钥本中提取第二密钥。
具体地,在上述步骤S12至步骤S14中,在第一网关从密钥本中提取一次密钥之后,可以向第二网关发送密钥提取通知,以获取第二网关从第二网关的密钥本中提取的第二密钥,然后第一网关将第一密钥和第二密钥进行对比,判断两端密钥是否相同。
例如,VPN的主动端和被动端在提取密钥之后,可以验证两端的密钥是否一致,两端会交互各自获取的密钥的MD5码,以判断是否相同。
步骤S16,在第一密钥与第二密钥相同的情况下,第一网关将第一密钥下发至第一网关的通信模块。
具体地,在上述步骤S16中,第一网关可以将第一密钥下发至第一网关的通信密钥,第二网关也同时将第二密钥下发至第二网关的通信密钥。
具体地,在上述步骤S16中,在两端的密钥相同的情况下,则说明密钥比对成功,两端可以将各自的密钥分别下发至各自的内核对应的存储内存。
可选地,上述第一密钥规则还可以包括:每次提取密钥的序列号,即每次两端要更新密钥时,要比对密钥更新频率、从密钥本中提取密钥的序号,之后密钥更新频率、从密钥本中提取密钥的序号相同的情况下,两端才从各自的密钥本中按照同样的密钥序列号提取密钥,然后下发至两端各自的内核对应的存储内存。在每次下发密钥之后,在预定时间之后,两端可以触发定时器,以再次从密钥本中提取密钥来更新内核,以实现对密钥的定时更新,这样,在不同的时间进行动态的更新密钥,使得加密密钥破解的可能性大大降低,需要说明的是,通过密钥更新频率的设置可以决定定时器超时时间,定时器超时则IKE进程会一次向内核中下发若干密钥。界面设置的更新频率越高,向密钥本请求密钥就越频繁。
可选地,在步骤S16,第一网关将第一密钥下发至第一网关的通信模块之后,本实施例提供的方法还可以包括:
在步骤S18,第一网关的通信模块根据第一密钥加密数据包。
在步骤S20,第一网关的通信模块将数据包发送至第二网关,其中,第二网关根据第二密钥对数据包进行解密。
具体地,在上述步骤S18至步骤S20中,第一网关的内核通过第一密钥加密数据包,然后发送至第二网关,第二网关使用第二密钥对上述加密的数据包进行解密,即两端使用下发至内核中的密钥对数据包进行加解密。
例如,两端的网关在确定两端的密钥的MD5码一致之后,可以采用ESP、AH处理函数使用上述密钥,使用方法主要包括:加解密密钥的查找、使用,以及把唯一标识密钥的三元素(隧道id、批次、序列号)封装到数据包中,发送给对端。保证两端使用的加密、解密密钥一致。
可选地,在第一网关与第二网关在比对两端的密钥是否相同时,如果,第一密钥与第二密钥不同的情况下,第一网关则重复执行上述步骤A至步骤D的方法,直至第一密钥与第二密钥相同。
例如,本方案可以实现密钥的容错机制,即可以在两端的网关的内核中增加一个一个触发函数,当发现加解密密钥不一致的时候,会强制触发隧道重新协商,重建隧道,重新从密钥本中获取动态密钥,保证隧道两端的密钥时刻保持一致。
下面结合图3对本方案的一种可选地实施例进行描述:
(1)首先,可以在VPN1主动端以及VPN2被动端的CLI界面中配置两端密钥更新频率,然后,将密钥的更新频率下发至两端的IKE进程,由IKE进程进行后续的工作。
(2)IKE进程负责协商两端的密钥更新频率,密钥更新频率的协商可以在IKE第二阶段的协商过程中进行。具体地,IKE进程根据密钥更新频率及每次取的密钥量,来设置定时器,定时触发去预设的密钥本中取密钥,然后将SA及密钥下发至内核。需要说明的是,设备两端的密钥本可以自己设定或配置。
(3)内核负责密钥的添加、存储、更新、超时删除操作,然后内核负责IPSec的数据通信,即在数据包中传输加密密钥的相关标志,解密时通过此标志找到相应的解密密钥,需要说明的是,本方案可以在内核中创建一个链表sg_ipsec_qkd_head,用来存储上层传过来的密钥本,通过链表的方式存储密钥本中的密钥。内核也同时创建了一个定时器,用来定时删除超时的密钥。
实施例二
可选地,本实施例还提供了一种VPN网关的密钥的更新系统,如图4所示,该系统可以包括:
第一网关40,用于发送密钥更新通知。
具体地,上述第一网关可以为VPN通信的主动端,上述第二网关可以为VPN通信的被动端,在VPN的主动端需要更新密钥的情况下,VPN的主动端可以向VPN的被动端发送上述密钥更新通知,以获取VPN被动端的第二密钥更新规则。
在一种可选的实施例中,VPN的主动端也可以在上述密钥更新通知中直接发送VPN的主动端自身的第一密钥更新规则,上述第一密钥更新规则可以为密钥的更新频率等信息,这里需要说明的是,在本方案中,可以采用IKE进程来实现主动端与被动端之间关于密钥更新的协商,上述密钥更新通知可以增加在IKE第二阶段的协商报文中。
例如,在IKE第二阶段的协商中,VPN的主动端中的IKE进程可以在向VPN的被动端发送的报文中增加一个自定义的QKD的载荷,该QKD的载荷可以定义为ISAKMP_NPTYPE_QKEY,该自定义的QKD载荷中可以携带有更新密钥所需的信息即上述第一密钥更新规则,在上述密钥更新规则中可以包括VPN的主动端自身的密钥更新频率等信息。
在一种可选地实施例中,上述VPN的主动端或被动端的密钥更新频率可以通过VPN隧道的命令界面进行设置,如图2所示,在该命令界面中,可以对密钥的更新频率进行设置,需要说明的是,在图2中所示的命令界面同样可以设置隧道、网关IP地址、VPN端点、封装协议、密钥生存期等配置。密钥的更新频率与隧道是对应的,每条隧道都可以配置自己的密钥更新频率,在该命令界面中也可以设置有支持动态密钥的开关,在开启了支持动态密钥的开关之后,用户才可以配置密钥的更新频率。如图中所示,密钥更新频率的配置范围可以为1/min至6000/min。
第二网关42,与第一网关建立通信关系,用于接收密钥更新通知,并根据密钥更新通知反馈第二密钥更新规则。
具体地,第二网关在接收到第一网关发送的密钥更新通知后,可以向第一网关反馈第二网关自身的第二密钥更新规则。
例如,VPN的主动端在向VPN的被动端发送的VPN的主动端自身的第一密钥更新规则之后,上述VPN的被动端也同样向VPN的主动端反馈VPN的被动端自身的密钥更新规则,及VPN的被动端也向VPN的主动端发送QKD载荷。
第一网关还用于判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率;在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关用于根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥;第一网关还用于使用第一密钥更新第一网关的通信模块中的密钥。
可选地,第一网关会比对第一网关自身的第一密钥更新规则与第二网关的第二密钥更新规则是否相同,可选地,上述第二网关也会比较第二网关的第二密钥更新规则与上述第一网关的第一密钥更新规则是是否相同,需要说明的是,由于密钥更新规则 决定了第一网关从密钥本中获取何种序号密钥、密钥的更新频率等,因此上述比对密钥更新规则的方案可以保证双方的密钥信息同步。
例如,在上述IKE第二阶段的协商完成后,VPN主动端与VPN的被动端会比对两端的密钥更新规则(例如密钥的更新频率、从密钥中要取的密钥的序号)是否相同,确定两端的密钥信息同步,需要说明的是,如果密钥的序号不同,则重置序列号重新开始比对,直至双方序号一致为止。
需要说明的是,在上述密钥更新规则中还可以包括:VPN通信的隧道的ID,即密钥更新频率和隧道是对应的,在本方案中,每条隧道都可以配置自己的密钥更新频率。
可选地,在第一网关的第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关则按照第一密钥更新规则中的密钥更新频率从密钥本中获取至少一次密钥,第二网关也按照第二密钥更新规则中的密钥更新频率从密钥本中获取密钥,在本方案中,两端中的密钥更新规则相同的情况下,两端才从各自的密钥本中获取密钥,以确保两端根据同样的密钥更新规则从密钥本中获取密钥。可选地,上述密钥更新规则中还可以包括密钥的序号,需要说明的是,只有两端的密钥更新频率、要获取的密钥的序号完全相同的情况下,两端才从密钥本中获取密码。
在一种可选地实施例中,在两端的密钥更新规则相同的情况下(密钥更新频率、密钥序号均相同),首先由VPN的被动端从密钥本中获取密钥,可以默认从哈希序列号1开始取对应的密钥,每次获取与序列号对应的一定数量级的密钥,(比如4k的数量级,每个密钥占128bits,4K数量级为32个密钥,密钥本的结构如表2所示。同时,VPN的被动端通知主动端获取密钥,主动端则根据同样的序号开始从密钥本中获取密钥,从主动方的密钥本中获取与VPN的被动端同等数量级的密钥,需要说明的是,VPN的被动端与VPN的主动端事先导入同一个密钥本。
表2
| Hash序列号 | 密钥 |
| 1 | 32个密钥(4K的数量级) |
| 2 | 32个密钥(4K的数量级) |
可选地,上述通信模块可以为第一网关中的内核,第一网关每次从密钥本中提取到密钥之后,将密钥下发至内核,对内核中的旧密钥进行更新,同样的,第二网关也将密钥下发至第二网关的内核。
本方案通过第一网关向第二网关发送密钥更新通知;第一网关接收第二网关根据 密钥更新通知反馈的第二密钥更新规则;第一网关判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率;在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥;第一网关使用第一密钥更新第一网关的通信模块中的密钥,解决了现有的VPN网关的密钥的更新方法因为存在局限性,导致密钥来源容易被攻破、VPN网关通信存在安全性隐患的技术问题。
可选地,第一网关还用于向第二网关发送密钥提取通知;第一网关接收第二网关根据密钥提取通知反馈的第二密钥,第二网关还用于根据密钥提取通知按照第二密钥更新规则从第二网关的密钥本中提取第二密钥;在第一密钥与第二密钥相同的情况下,第一网关用于将第一密钥下发至第一网关的通信模块。
可选地,第一密钥更新规则还包括:每次提取密钥的序列号。
可选地,第一网关的通信模块用于根据第一密钥加密数据包;第一网关的通信模块将数据包发送至第二网关,其中,第二网关根据第二密钥对数据包进行解密。
可选地,在第一密钥与第二密钥不相同的情况下,第一网关重复向第二网关发送密钥更新通知,还用于判断第一网关中预设的第一密钥更新规则与第二密钥更新规则是否相同,其中,第一密钥更新规则至少包括:第一网关密钥的更新频率;在第一密钥更新规则与第二密钥更新规则相同的情况下,第一网关用于根据第一网关密钥的更新频率从第一网关的密钥本中提取至少一次第一密钥;直至第一密钥与第二密钥相同。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案 的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种VPN网关的密钥的更新方法,其特征在于,包括:
步骤A:第一网关向第二网关发送密钥更新通知;
步骤B:所述第一网关接收所述第二网关根据所述密钥更新通知反馈的第二密钥更新规则;
步骤C:所述第一网关判断所述第一网关中预设的第一密钥更新规则与所述第二密钥更新规则是否相同,其中,所述第一密钥更新规则至少包括:所述第一网关密钥的更新频率;
步骤D:在所述第一密钥更新规则与所述第二密钥更新规则相同的情况下,所述第一网关根据所述第一网关密钥的更新频率从所述第一网关的密钥本中提取至少一次第一密钥;
步骤E:所述第一网关使用所述第一密钥更新所述第一网关的通信模块中的密钥。
2.根据权利要求1所述的方法,其特征在于,所述第一网关在每次提取所述第一密钥之后,所述方法还包括:
所述第一网关向所述第二网关发送密钥提取通知;
所述第一网关接收所述第二网关根据所述密钥提取通知反馈的第二密钥,其中,所述第二网关根据所述密钥提取通知按照所述第二密钥更新规则从所述第二网关的密钥本中提取所述第二密钥;
在所述第一密钥与所述第二密钥相同的情况下,所述第一网关将所述第一密钥下发至所述第一网关的通信模块。
3.根据权利要求2所述的方法,其特征在于,所述第一密钥更新规则还包括:每次提取所述密钥的序列号。
4.根据权利要求2所述的方法,其特征在于,在所述第一网关将所述第一密钥下发至所述第一网关的通信模块之后,所述方法还包括:
所述第一网关的通信模块根据所述第一密钥加密数据包;
所述第一网关的通信模块将所述数据包发送至所述第二网关,其中,所述第二网关根据所述第二密钥对所述数据包进行解密。
5.根据权利要求4所述的方法,其特征在于,
在所述第一密钥与所述第二密钥不相同的情况下,所述第一网关重复执行所述步骤A至所述步骤D的方法,直至所述第一密钥与所述第二密钥相同。
6.一种VPN网关的密钥的更新系统,其特征在于,该系统包括:
第一网关,用于发送密钥更新通知;
第二网关,与所述第一网关建立通信关系,用于接收所述密钥更新通知,并根据所述密钥更新通知反馈第二密钥更新规则;
所述第一网关还用于判断所述第一网关中预设的第一密钥更新规则与所述第二密钥更新规则是否相同,其中,所述第一密钥更新规则至少包括:所述第一网关密钥的更新频率;在所述第一密钥更新规则与所述第二密钥更新规则相同的情况下,所述第一网关用于根据所述第一网关密钥的更新频率从所述第一网关的密钥本中提取至少一次第一密钥;所述第一网关还用于使用所述第一密钥更新所述第一网关的通信模块中的密钥。
7.根据权利要求6所述的系统,其特征在于,
所述第一网关还用于向所述第二网关发送密钥提取通知;所述第一网关还用于接收所述第二网关根据所述密钥提取通知反馈的第二密钥,所述第二网关还用于根据所述密钥提取通知按照所述第二密钥更新规则从所述第二网关的密钥本中提取所述第二密钥;在所述第一密钥与所述第二密钥相同的情况下,所述第一网关用于将所述第一密钥下发至所述第一网关的通信模块。
8.根据权利要求7所述的系统,其特征在于,所述第一密钥更新规则还包括:每次提取所述密钥的序列号。
9.根据权利要求7所述的系统,其特征在于,
所述第一网关的通信模块用于根据所述第一密钥加密数据包;所述第一网关的通信模块将所述数据包发送至所述第二网关,其中,所述第二网关根据所述第二密钥对所述数据包进行解密。
10.根据权利要求9所述的系统,其特征在于,
在所述第一密钥与所述第二密钥不相同的情况下,所述第一网关重复向所述第二网关发送所述密钥更新通知,所述第一网关还用于判断所述第一网关中预设的第一密钥更新规则与所述第二密钥更新规则是否相同,其中,所述第一密钥更新规则至少包括:所述第一网关密钥的更新频率;在所述第一密钥更新规则与所述第二密钥更新规则相同的情况下,所述第一网关用于根据所述第一网关密钥的更新频率从所述第一网关的密钥本中提取至少一次第一密钥;直至所述第一密钥与所述第二密钥相同。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510714307.2A CN106656910B (zh) | 2015-10-28 | 2015-10-28 | Vpn网关的密钥的更新方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510714307.2A CN106656910B (zh) | 2015-10-28 | 2015-10-28 | Vpn网关的密钥的更新方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106656910A true CN106656910A (zh) | 2017-05-10 |
| CN106656910B CN106656910B (zh) | 2019-11-22 |
Family
ID=58829393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510714307.2A Active CN106656910B (zh) | 2015-10-28 | 2015-10-28 | Vpn网关的密钥的更新方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106656910B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111740893A (zh) * | 2020-06-30 | 2020-10-02 | 成都卫士通信息产业股份有限公司 | 软件定义vpn的实现方法、装置、系统、介质和设备 |
| CN117014143A (zh) * | 2023-10-07 | 2023-11-07 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、系统及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101404576A (zh) * | 2008-09-27 | 2009-04-08 | 深圳市迅雷网络技术有限公司 | 一种网络资源查询方法和系统 |
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102904901A (zh) * | 2012-10-29 | 2013-01-30 | 杭州华三通信技术有限公司 | 同步IPsec SA的方法、组成员及组密钥服务器 |
| CN102970293A (zh) * | 2012-11-20 | 2013-03-13 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
| CN104660603A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | IPSec VPN中扩展使用量子密钥的方法及系统 |
-
2015
- 2015-10-28 CN CN201510714307.2A patent/CN106656910B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101404576A (zh) * | 2008-09-27 | 2009-04-08 | 深圳市迅雷网络技术有限公司 | 一种网络资源查询方法和系统 |
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102904901A (zh) * | 2012-10-29 | 2013-01-30 | 杭州华三通信技术有限公司 | 同步IPsec SA的方法、组成员及组密钥服务器 |
| CN102970293A (zh) * | 2012-11-20 | 2013-03-13 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
| CN104660603A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | IPSec VPN中扩展使用量子密钥的方法及系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111740893A (zh) * | 2020-06-30 | 2020-10-02 | 成都卫士通信息产业股份有限公司 | 软件定义vpn的实现方法、装置、系统、介质和设备 |
| CN111740893B (zh) * | 2020-06-30 | 2022-02-11 | 成都卫士通信息产业股份有限公司 | 软件定义vpn的实现方法、装置、系统、介质和设备 |
| CN117014143A (zh) * | 2023-10-07 | 2023-11-07 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、系统及设备 |
| CN117014143B (zh) * | 2023-10-07 | 2024-01-05 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106656910B (zh) | 2019-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9843575B2 (en) | Wireless network authentication method and wireless network authentication apparatus | |
| TWI778171B (zh) | 待配網設備連接網路熱點設備的方法和系統 | |
| AU2018223001A1 (en) | Systems and methods for secure communication over a network using a linking address | |
| US20080307110A1 (en) | Conditional BGP advertising for dynamic group VPN (DGVPN) clients | |
| US10831879B2 (en) | Network monitoring device, method, apparatus and system for resetting password thereof, and server | |
| CN108173644A (zh) | 数据传输加密方法、装置、存储介质、设备及服务器 | |
| US11456999B2 (en) | Network monitoring apparatus, and remote encryption and remote activation method, device and system thereof | |
| US8880887B2 (en) | Systems, methods, and computer-readable media for secure digital communications and networks | |
| CN105656875A (zh) | 基于mptcp的主流连接建立方法及装置 | |
| CN109921898A (zh) | IPv6无状态地址生成方法及装置 | |
| US20140122876A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
| CN104767766B (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
| CN110519259B (zh) | 云平台对象间通讯加密配置方法、装置及可读存储介质 | |
| US20130219172A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
| CN106656910A (zh) | Vpn网关的密钥的更新方法及系统 | |
| CN113472634A (zh) | 即时通讯方法、装置及系统、存储介质、电子装置 | |
| US10601788B2 (en) | Interception of secure shell communication sessions | |
| CN110943996B (zh) | 一种业务加解密的管理方法、装置及系统 | |
| US9100374B2 (en) | Method for managing remote upgrading keys in an information security apparatus | |
| US9025171B2 (en) | Image forming system, image forming apparatus, authentication server, client personal computer, and control method of image forming apparatus | |
| CN101557397B (zh) | 表项管理方法及设备 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| CN101567886B (zh) | 表项安全管理方法及设备 | |
| US20030237003A1 (en) | Method and apparatus for recovering from the failure or reset of an IKE node | |
| CN109922042B (zh) | 遗失设备的子密钥管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 2nd Floor, Building 1, Yard 26, Xizhimenwai South Road, Xicheng District, Beijing, 100032 Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: 1st Floor, Section 2, Xianfeng Building, No. 7 Shangdi Kaifeng Road, Haidian District, Beijing, 100085 Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CP03 | Change of name, title or address |