CN108199837A - 一种密钥协商方法及装置 - Google Patents

一种密钥协商方法及装置 Download PDF

Info

Publication number
CN108199837A
CN108199837A CN201810063078.6A CN201810063078A CN108199837A CN 108199837 A CN108199837 A CN 108199837A CN 201810063078 A CN201810063078 A CN 201810063078A CN 108199837 A CN108199837 A CN 108199837A
Authority
CN
China
Prior art keywords
keys
network equipment
key
negotiation
negotiation packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810063078.6A
Other languages
English (en)
Other versions
CN108199837B (zh
Inventor
孙鲁东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN201810063078.6A priority Critical patent/CN108199837B/zh
Publication of CN108199837A publication Critical patent/CN108199837A/zh
Application granted granted Critical
Publication of CN108199837B publication Critical patent/CN108199837B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供了一种密钥协商方法及装置,方法包括:第一网络设备在接收到第二网络设备发送的第一协商报文之后,第一网络设备判断是否满足第一网络设备中预先设定的DH密钥生成条件。如果不满足,则第一网络设备获取已生成的第一DH密钥,并向第二网络设备发送携带该第一DH密钥的第二协商报文,以使得第二网络设备根据该第一DH密钥与第一网络设备进行密钥协商;可见,对于第一网络设备来说,并不是每次协商都计算DH密钥。一些情况下,也就是不满足DH密钥生成条件的情况下,利用已生成的DH密钥,与第二网络设备进行密钥协商,这样省略了计算DH密钥的时间,减少了通信双方之间的协商耗时。

Description

一种密钥协商方法及装置
技术领域
本发明涉及通信技术领域,特别是涉及一种密钥协商方法及装置。
背景技术
IKE(Internet Key Exchange,Internet密钥交换协议),是一种用于协商密钥的协议,比如,IPsec隧道的通信双方之间通常利用IKE,协商安全协议、算法、密钥等参数。协商过程中,需要进行DH(Diffie-Hellman,迪菲-赫尔曼)密钥交换,DH密钥交换的过程一般包括:
一、通信双方交换DH参数;二、通信双方各自根据该DH参数生成自身的DH密钥,该DH密钥中包含私钥和DH公钥;三、通信双方各自利用自身的DH私钥和对方的DH公钥进行密钥协商,在密钥协商后,建立SA(Security Association,安全联盟)。
在上述协商过程中,每进行一次协商,均需执行DH密钥交换过程;并且,由于计算DH密钥过程复杂,使得双方计算DH密钥的时间较长,导致通信双方之间的协商耗时较长。
发明内容
本发明实施例的目的在于提供一种密钥协商方法及装置,以减少通信双方之间的协商耗时。
为达到上述目的,本发明实施例提供了一种密钥协商方法,应用于第一网络设备,所述方法包括:
在接收到第二网络设备发送的第一协商报文后,判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件;
如果不满足所述DH密钥生成条件,则获取所述第一网络设备已生成的第一DH密钥;
向所述第二网络设备发送第二协商报文,所述第二协商报文包括所述第一DH密钥,以使所述第二网络设备根据所述第一DH密钥与所述第一网络设备进行密钥协商。
可选的,所述方法还可以包括:
如果满足所述DH密钥生成条件,则生成第二DH密钥;
向所述第二网络设备发送第三协商报文,所述第三协商报文包括所述第二DH密钥,以使所述第二网络设备根据所述第二DH密钥与所述第一网络设备进行密钥协商。
可选的,所述方法还可以包括:
每次生成DH密钥后,记录生成DH密钥的时刻;
所述判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件,包括:
判断接收到所述第一协商报文的时刻距离所记录的生成最后一个DH密钥时刻是否到达预设时间间隔;
如果到达所述预设时间间隔,则确定满足所述DH密钥生成条件。
可选的,所述向所述第二网络设备发送第二协商报文之后,还可以包括:
记录并累加所述第一DH密钥的使用次数;
所述判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件,包括:
判断所述第一DH密钥的使用次数是否达到预设的次数阈值;
如果所述第一DH密钥的使用次数达到所述次数阈值,则确定满足所述DH密钥生成条件。
可选的,所述判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件之前,还可以包括:
获取所述第一网络设备的当前性能参数;
根据所述当前性能参数,设定DH密钥生成条件。
可选的,所述第一网络设备的当前性能参数包括所述第一网络设备的CPU占用率;
所述根据所述当前性能参数,设定DH密钥生成条件,可以包括:
在预先设定的CPU占用率与生成DH密钥的时间间隔的对应关系中,查找所述第一网络设备的CPU占用率对应的生成DH密钥的时间间隔;
根据查找到的时间间隔,设定DH密钥生成条件;
或者,在预先设定的CPU占用率与DH密钥的使用次数的对应关系中,查找所述第一网络设备的CPU占用率对应的DH密钥的使用次数;
根据查找到的使用次数,设定DH密钥生成条件。
可选的,所述DH密钥生成条件为所述第一网络设备中不存在已生成的DH密钥;
所述判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件之前,还可以包括:
监测所述第一网络设备的当前性能参数;
根据所述当前性能参数,判断所述第一网络设备是否处于空闲状态;
如果处于空闲状态,则生成DH密钥,所述DH密钥用于在判定所述第一网络设备不满足所述DH密钥生成条件时获取。
可选的,所述向所述第二网络设备发送第二协商报文之后,还可以包括:
接收所述第二网络设备发送的第四协商报文,所述第四协商报文包括第三DH密钥,所述第三DH密钥为所述第二网络设备根据所述第二网络设备中预先设定的DH密钥生成条件得到;
根据所述第一DH密钥和所述第三DH密钥,得到DH共享秘密值。
为达到上述目的,本发明实施例还提供了一种密钥协商装置,应用于第一网络设备,所述装置包括:
第一接收模块,用于接收第二网络设备发送的第一协商报文,并在接收到所述第一协商报文后,触发第一判断模块;
第一判断模块,用于判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件;如果不满足,触发第一获取模块;
第一获取模块,用于获取所述第一网络设备已生成的第一DH密钥;
第一发送模块,用于向所述第二网络设备发送第二协商报文,所述第二协商报文包括所述第一DH密钥,以使所述第二网络设备根据所述第一DH密钥与所述第一网络设备进行密钥协商。
可选的,所述装置还可以包括:
生成模块,用于在所述第一判断模块判定满足所述第一网络设备中预先设定的DH密钥生成条件的情况下,生成第二DH密钥;
第二发送模块,用于向所述第二网络设备发送第三协商报文,所述第三协商报文包括所述第二DH密钥,以使所述第二网络设备根据所述第二DH密钥与所述第一网络设备进行密钥协商。
可选的,所述装置还可以包括:
第一记录模块,用于每次生成DH密钥后,记录生成DH密钥的时刻;
所述第一判断模块,具体可以用于:判断接收到所述第一协商报文的时刻距离所记录的生成最后一个DH密钥时刻是否到达预设时间间隔;如果到达所述预设时间间隔,则确定满足所述DH密钥生成条件。
可选的,所述装置还可以包括:
第二记录模块,用于向所述第二网络设备发送第二协商报文之后,记录并累加所述第一DH密钥的使用次数;
所述第一判断模块,具体可以用于:判断所述第一DH密钥的使用次数是否达到预设的次数阈值;如果所述第一DH密钥的使用次数达到所述次数阈值,则确定满足所述DH密钥生成条件。
可选的,所述装置还可以包括:
第二获取模块,用于获取所述第一网络设备的当前性能参数;
设定模块,用于根据所述当前性能参数,设定DH密钥生成条件。
可选的,所述第一网络设备的当前性能参数包括所述第一网络设备的CPU占用率;
所述设定模块,具体可以用于:在预先设定的CPU占用率与生成DH密钥的时间间隔的对应关系中,查找所述第一网络设备的CPU占用率对应的生成DH密钥的时间间隔;根据查找到的时间间隔,设定DH密钥生成条件;
或者,在预先设定的CPU占用率与DH密钥的使用次数的对应关系中,查找所述第一网络设备的CPU占用率对应的DH密钥的使用次数;根据查找到的使用次数,设定DH密钥生成条件。
可选的,所述DH密钥生成条件为所述第一网络设备中不存在已生成的DH密钥;所述装置还可以包括:
监测模块,用于监测所述第一网络设备的当前性能参数;
第二判断模块,用于根据所述当前性能参数,判断所述第一网络设备是否处于空闲状态;如果处于空闲状态,则生成DH密钥,所述DH密钥用于在所述第一判断模块判定所述第一网络设备不满足所述DH密钥生成条件时获取。
可选的,所述装置还可以包括:
第二接收模块,用于接收所述第二网络设备发送的第四协商报文,所述第四协商报文包括第三DH密钥,所述第三DH密钥为所述第二网络设备根据所述第二网络设备中预先设定的DH密钥生成条件得到;
获得模块,用于根据所述第一DH密钥和所述第三DH密钥,得到DH共享秘密值。
为达到上述目的,本发明实施例还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一种密钥协商方法。
为达到上述目的,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种密钥协商方法。
应用本发明所示实施例,第一网络设备在接收到第二网络设备发送的第一协商报文之后,第一网络设备判断是否满足第一网络设备中预先设定的DH密钥生成条件。如果不满足,则第一网络设备获取已生成的第一DH密钥,并向第二网络设备发送携带该第一DH密钥的第二协商报文,以使得第二网络设备根据该第一DH密钥与第一网络设备进行密钥协商;可见,对于第一网络设备来说,并不是每次协商都计算DH密钥。一些情况下,也就是不满足DH密钥生成条件的情况下,利用已生成的DH密钥,与第二网络设备进行密钥协商,这样省略了计算DH密钥的时间,减少了通信双方之间的协商耗时。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的密钥协商方法的第一种流程示意图;
图1a为本发明实施例提供的第一种交互示意图;
图1b为本发明实施例提供的第二种交互示意图;
图2为本发明实施例提供的密钥协商方法的第二种流程示意图;
图3为本发明实施例提供的密钥协商方法的第三种流程示意图;
图3a为本发明实施例提供的第三种交互示意图;
图4为本发明实施例提供的一种密钥协商装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决上述技术问题,本发明实施例提供了一种密钥协商方法、装置及设备,该方法及装置可以应用于第一网络设备,第一网络设备可以为通信双方的任意一方,该第一网络设备可以为网关设备,比如交换机、路由器等等,或者该第一网络设备也可以为服务器等设备,具体不做限定。
下面首先对本发明实施例提供的一种密钥协商方法进行详细说明。
图1为本发明实施例提供的密钥协商方法的第一种流程示意图,包括:
S101:接收第二网络设备发送的第一协商报文。
为了方便描述,将第一网络设备的对端设备称为第二网络设备,第一网络设备和第二网络设备即为通信双方。
举例来说,本发明实施例可以应用于IPsec(IP Security,IP安全)中。IPsec是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。IPsec通过在通信双方之间(例如两台网络设备之间)建立“通道”,来保护通信双方之间传输的用户数据,为了方便描述,假设其中一台网络设备作为执行主体,将执行主体称为第一网络设备,将另一台网络设备称为第二网络设备。
第一网络设备与第二网络设备之间传输数据报文之前,一般包括两个阶段:第一阶段,第一网络设备与第二网络设备利用IKE协商得到一个控制通道,或者说得到控制通道中所要使用的密钥信息IKE SA;第二阶段,在该控制通道的保护下,第一网络设备与第二网络设备利用IKE协商得到一个数据通道,或者说得到数据通道中所要使用的密钥信息IPsecSA,该数据通道用于保护数据报文的传输。
第一阶段中需要进行DH密钥交换过程,第二阶段中可以进行DH密钥交换过程,也可以不进行DH密钥交换过程。也就是说,第一阶段和第二阶段均可以应用本发明实施例。
其中,S101中第二网络设备向第一网络设备发送的第一协商报文可以为第一阶段发送的报文,也可以是第二阶段发送的报文。
S102:判断是否满足第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件,如果不满足,执行S103。
接收到第二网络设备发送的第一协商报文后,第一网络设备与第二网络设备交换DH参数。举例来说,DH参数可以为一个ID,该ID的值可以为1、2等数值,每个ID表示一组封装好的参数,一组封装好的参数中可以包含一个较小的素数、一个较大的素数、以及计算规则等等。或者,DH参数也可以为其他,具体不做限定。
DH密钥是根据DH参数生成的,因此,如果DH参数发生变化,便需要重新生成DH密钥。也就是说,如果DH参数发生变化,则表示满足DH密钥生成条件。一般来说,在对第一网络设备及第二网络设备的DH参数重新配置的情况下,该DH参数才会发生变化。DH密钥中包含DH公钥和DH私钥。
作为一种实施方式,可以每隔预设时间间隔,生成一次DH密钥。本实施方式中,可以在每次生成DH密钥后,记录生成DH密钥的时刻,这样S102包括:判断接收到所述第一协商报文的时刻距离所记录的生成最后一个DH密钥时刻是否到达预设时间间隔,如果未到达所述预设时间间隔,执行S103。
如果第一网络设备及第二网络设备都应用本实施方式,每隔预设时间间隔,生成一次DH密钥,则第一网络设备设定的时间间隔与第二网络设备设定的时间间隔可以相同也可以不同,或者说,第一网络设备中设定的DH密钥生成条件与第二网络设备中设定的DH密钥生成条件可以相同也可以不同。比如图1a所示,第一网络设备设定的时间间隔为Ta,第二网络设备设定的时间间隔为Tb,Ta与Tb不同。
图1a中,DH模块表示生成DH密钥的模块,IKE模块表示与第二网络设备进行协商的模块,假设一个协商的箭头表示一次利用DH密钥进行协商的过程。DHa1表示第一网络设备第一次生成的DH密钥,DHa2表示第一网络设备第二次生成的DH密钥,DHa3表示第一网络设备第三次生成的DH密钥,第一网络设备生成DHa1、生成DHa2、生成DHa3之间的间隔均为Ta;DHb1表示第二网络设备第一次生成的DH密钥,DHb2表示第二网络设备第二次生成的DH密钥,第二网络设备生成DHb1、生成DHb2之间的间隔为Tb。
作为另一种实施方式,可以记录DH密钥的使用次数,并将针对该使用次数设定阈值,称为次数阈值;这样,S102包括:判断所述第一DH密钥的使用次数是否达到预设的次数阈值,如果未达到,执行S103。
如果第一网络设备及第二网络设备都应用本实施方式,DH密钥的使用次数达到预设阈值时,重新生成DH密钥,则第一网络设备设定的阈值与第二网络设备设定的阈值可以相同也可以不同。比如图1b所示,假设一个协商的箭头表示一次利用DH密钥进行协商的过程,则第一网络设备设定的阈值为2次,第二网络设备设定的时间间隔为3次。
图1b中,DH模块表示生成DH密钥的模块,IKE模块表示与第二网络设备进行协商的模块,假设一个协商的箭头表示一次利用DH密钥进行协商的过程。DHa1表示第一网络设备第一次生成的DH密钥,DHa2表示第一网络设备第二次生成的DH密钥,DHa3表示第一网络设备第三次生成的DH密钥,其中,DHa1被使用2次后,生成DHa2,DHa2被使用2次后,生成DHa3;DHb1表示第二网络设备第一次生成的DH密钥,DHb2表示第二网络设备第二次生成的DH密钥,DHb1被使用3次后,生成DHb2。
S102中的DH密钥生成条件可以动态调整,比如,在S102之前,可以先获取所述第一网络设备的当前性能参数;根据所述当前性能参数,设定DH密钥生成条件。性能参数可以包括CPU占用率、内存占用率、运行进程数量等等,具体不做限定。下面为CPU占用率为例进行说明。
上述一种实施方式中,每隔预设时间间隔,生成一次DH密钥。该预设时间间隔可以为一固定值,也可以为一动态值。举例来说,可以在预先设定的CPU占用率与生成DH密钥的时间间隔的对应关系中,查找所述第一网络设备的CPU占用率对应的生成DH密钥的时间间隔;根据查找到的时间间隔,设定DH密钥生成条件,也就是将查找到的时间间隔作为第一网络设备生成DH密钥的时间间隔。其中,该对应关系中,CPU占用率越高,时间间隔越长。
上述另一种实施方式中,DH密钥的使用次数达到预设次数阈值时,重新生成DH密钥。该预设阈值可以为固定值,也可以为一动态值。举例来说,在预先设定的CPU占用率与DH密钥的使用次数的对应关系中,查找所述第一网络设备的CPU占用率对应的DH密钥的使用次数;根据查找到的使用次数,设定DH密钥生成条件,也就是将查找到的使用次数作为该次数阈值。其中,该对应关系中,CPU占用率越高,使用次数越多。
S103:获取该第一网络设备已生成的第一DH密钥。
如果S102判定当前不满足预先设定的DH密钥生成条件,则不生成DH密钥,而是获取已生成的DH密钥,也就是说,对之前生成的DH密钥进行重复使用,这样省略了计算DH密钥的步骤,减少了通信双方之间的协商耗时。
S104:向该第二网络设备发送第二协商报文,该第二协商报文包括该第一DH密钥,以使该第二网络设备根据该第一DH密钥与该第一网络设备进行密钥协商。
本领域技术人员可以理解,第一网络设备利用自身的DH私钥与第二网络设备的DH公钥,计算得到DH共享秘密值,相对应的,第二网络设备利用自身的DH私钥与第一网络设备的DH公钥,计算得到DH共享秘密值。第一网络设备与第二网络设备得到的DH共享秘密值相同。
需要说明的是,由于第一网络设备可能多次使用第一DH密钥与第二网络设备进行密钥协商。为了区别每次发送的第二协商报文是用于不同的协商过程,第一网络设备可在第二协商报文中加入随机数字段,进而区别协商过程。
如果当前属于上述第一阶段,则第一网络设备根据该共享秘密值,生成IKE SA,IKE SA为控制通道中所要使用的密钥信息,如果当前属于上述第二阶段,则第一网络设备根据该共享秘密值,生成IPsec SA,IPsec SA为数据通道中所要使用的密钥信息。SA中包括通信双方约定的安全协议、算法、封装模式、所要保护的数据流、所要使用的密钥以及密钥的生存周期,等等。
如果S102判定满足第一网络设备中预先设定的DH密钥生成条件,可以执行S105-S106。
S105:生成第二DH密钥。
为了方便描述,将S103中第一网络设备获取的DH密钥称为第一DH密钥,将S105中第一网络设备生成的DH密钥称为第二DH密钥。本领域技术人员可以理解,利用DH密钥交换算法、以及上述交换得到的DH参数,可以计算得到DH公钥和DH私钥,具体过程不再赘述。
S106:向该第二网络设备发送第三协商报文,该第三协商报文包括该第二DH密钥,以使该第二网络设备根据该第二DH密钥与该第一网络设备进行密钥协商。
作为一种实施方式,在S106之后,还可以包括:
接收所述第二网络设备发送的第四协商报文,所述第四协商报文包括第三DH密钥,所述第三DH密钥为所述第二网络设备根据所述第二网络设备中预先设定的DH密钥生成条件得到的;根据所述第一DH密钥和所述第三DH密钥,得到DH共享秘密值。
本领域技术人员可以理解,一对DH密钥中通常包含一个DH公钥和一个DH私钥。第一网络设备利用自身的DH私钥与第二网络设备的DH公钥,计算得到DH共享秘密值。相对应的,第二网络设备利用自身的DH私钥与第一网络设备的DH公钥,计算得到DH共享秘密值。第一网络设备与第二网络设备得到的DH共享秘密值相同。
如果当前属于上述第一阶段,则第一网络设备根据该共享秘密值,建立IKE SA,IKE SA包括控制通道中所要使用的密钥信息,如果当前属于上述第二阶段,则第一网络设备根据该共享秘密值,建立IPsec SA,IPsec SA包括数据通道中所要使用的密钥信息。
作为一种实施方式,所述DH密钥生成条件为所述第一网络设备中不存在已生成的DH密钥。本实施方式中,在S102之前,可以监测所述第一网络设备的当前性能参数;根据所述当前性能参数,判断所述第一网络设备是否处于空闲状态;如果处于空闲状态,则生成DH密钥,所述DH密钥用于在判定所述第一网络设备不满足所述DH密钥生成条件时获取。
本实施方式中,S102可以包括:判断所述第一网络设备中当前是否存在已生成的DH密钥,如果不存在,表示当前满足预先设定的DH密钥生成条件。
在本实施方式中,可以对第一网络设备的性能参数进行监测,实时获得第一网络设备的当前性能参数,实时判断第一网络设备是否处于空闲状态;或者,也可以每个预设周期,获得第一网络设备的当前性能参数,并判断第一网络设备是否处于空闲状态。
如上所述,性能参数可以包括CPU占用率、内存占用率、运行进程数量等等,具体不做限定。下面为CPU占用率为例进行说明,比如当CPU占用率小于一阈值时,则表示第一网络设备处于空闲状态,此时,即便未进行DH密钥交换,也生成DH公钥和DH私钥。可以将生成的DH公钥和DH私钥存储在一个资源池中,当第一网络设备接收到第二网络设备的第一协商报文时,可以判断资源池中是否存在DH密钥,如果存在,则表示不满足预先设定的迪菲-赫尔曼DH密钥生成条件,执行S103,也就是从资源池中获取DH密钥。
在本实施方式中,可以针对资源池中存储的DH公钥和DH私钥,设定销毁条件,并将资源池中满足该销毁条件的DH公钥和DH私钥销毁,这样可以减少资源池中存储的DH公钥和DH私钥数量,既减少了存储空间的占用,又提高了安全性。该销毁条件可以为在资源池中的存储时间达到预设时长、使用次数达到预设阈值等,具体不做限定。
上述一种实施方式中,记录DH密钥的使用次数,该实施方式中,可以在S106之后,记录并累加所述第一DH密钥的使用次数。
应用本发明图1实施例,第一网络设备在接收到第二网络设备发送的第一协商报文之后,第一网络设备判断是否满足第一网络设备中预先设定的DH密钥生成条件。如果不满足,则第一网络设备获取已生成的第一DH密钥,并向第二网络设备发送携带该第一DH密钥的第二协商报文,以使得第二网络设备根据该第一DH密钥与第一网络设备进行密钥协商;可见,对于第一网络设备来说,并不是每次协商都计算DH密钥。一些情况下,也就是不满足DH密钥生成条件的情况下,利用已生成的DH密钥,与第二网络设备进行密钥协商,这样省略了计算DH密钥的时间,减少了通信双方之间的协商耗时。
图2为本发明实施例提供的密钥协商方法的第二种流程示意图,包括:
S201:接收第二网络设备发送的第一协商报文。
S202:获取第一网络设备的当前性能参数。性能参数可以包括CPU占用率、内存占用率、运行进程数量等等,具体不做限定。
S203:根据该当前性能参数,判断该第一网络设备是否处于空闲状态,如果是,执行S204-S207,如果否,执行S208-S209。
可以针对第一网络设备的性能参数,划分空闲状态和非空闲状态,比如,假设性能参数为CPU占用率,当CPU占用率小于一阈值时,则表示第一网络设备处于空闲状态。
S204:生成第二DH密钥,并记录生成该第二DH密钥的时刻。
S205:向该第二网络设备发送第三协商报文,该第三协商报文包括第二DH密钥。
S206:接收该第二网络设备发送的第四协商报文,该第四协商报文包括第三DH密钥,所述第三DH密钥为所述第二网络设备根据所述第二网络设备中预先设定的DH密钥生成条件得到。
S207:根据该第一DH密钥和该第三DH密钥,得到DH共享秘密值。
S208:在预先设定的性能参数与生成DH密钥的时间间隔的对应关系中,查找第一网络设备的性能参数对应的生成DH密钥的时间间隔。
S209:判断当前时刻距离所记录的生成最后一个DH密钥时刻是否到达查找到的时间间隔,如果到达,执行S204-S207,如果未到达,执行S210-S213。
S210:获取该第一网络设备已生成的第一DH密钥。
S211:向该第二网络设备发送第二协商报文,该第二协商报文包括第一DH密钥。
S212:接收该第二网络设备发送的第四协商报文,该第四协商报文包括第三DH密钥,所述第三DH密钥为所述第二网络设备根据所述第二网络设备中预先设定的DH密钥生成条件得到。
S213:根据该第一DH密钥和该第三DH密钥,得到DH共享秘密值。
在图2实施例中,如果第一网络设备处于空闲状态,则每次协商都生成DH密钥,如果第一网络设备处于非空闲状态,则每隔预设时间间隔,生成一次DH密钥,而且可以根据第一网络设备的性能参数,设定该时间间隔。
或者,在第一网络设备处于非空闲状态的情况下,也可以每当DH密钥的使用次数达到预设阈值时,重新生成DH密钥,而且可以根据第一网络设备的性能参数,设定该预设阈值。
应用本发明图2实施例,第一方面,第一网络设备可以在空闲状态下生成DH密钥,当第一网络设备处于非空闲状态时,获取已生成的DH密钥,这样,合理利用第一网络设备的空闲时间;第二方面,根据第一网络设备的性能参数设定生成DH密钥的时间间隔,也就实现了根据第一网络设备的状态,对DH密钥生成条件进行动态调整。
图3为本发明实施例提供的密钥协商方法的第三种流程示意图,包括:
S301:监测第一网络设备的当前性能参数。性能参数可以包括CPU占用率、内存占用率、运行进程数量等等,具体不做限定。
S302:根据该当前性能参数,判断该第一网络设备是否处于空闲状态,如果是,执行S303,如果否,继续监测第一网络设备的当前性能参数。
可以针对第一网络设备的性能参数,划分空闲状态和非空闲状态,比如,假设性能参数为CPU占用率,当CPU占用率小于一阈值时,则表示第一网络设备处于空闲状态。
S303:生成DH密钥。
S304:接收第二网络设备发送的第一协商报文。
S305:判断该第一网络设备中当前是否存在已生成的DH密钥,如果存在,执行S306,如果不存在,执行S307。
S306:获取该已生成的DH密钥,作为第一DH密钥,向第二网络设备发送第二协商报文,第二协商报文包括该第一DH密钥。
S307:生成DH密钥,作为第二DH密钥,向第二网络设备发送第三协商报文,第三协商报文包括该第二DH密钥。
图3实施例中,可以监测第一网络设备的当前性能参数,在第一网络设备处于非空闲状态的情况下,预先生成多对DH密钥;可以将生成的多对DH公钥和DH私钥存储在一个资源池中;当第一网络设备接收到第二网络设备的第一协商报文时,如果第一网络设备处于非空闲状态,则从资源池中获取DH密钥。
如图3a所示,DH模块表示生成DH密钥的模块,IKE模块表示与第二网络设备进行协商的模块,假设一个协商的箭头表示一次利用DH密钥进行协商的过程。第一网络设备第一次处于空闲状态下,生成了三对DH密钥:DHa1、DHa2和DHa3,第一网络设备第二次处于空闲状态下,生成了三对DH密钥:DHa14、DHa5和DHa6,在这期间,第一网络设备与第二网络设备进行协商时,可以依次利用预先生成的DH密钥,得到DH共享秘密值。
另外,依次利用预先生成的DH密钥的过程中,同一对DH密钥可以使用多次,比如图3a中,DHa2使用了两次。可以针对预先生成的每对DH密钥,设定使用次数、或者使用时长,当使用一对DH密钥到达设定次数,或者到达设定时长的情况下,使用下一对DH密钥得到DH共享秘密值。
在本发明实施例中,可以针对资源池中存储的DH公钥和DH私钥,设定销毁条件,并将资源池中满足该销毁条件的DH公钥和DH私钥销毁,这样可以减少资源池中存储的DH公钥和DH私钥数量,既减少了存储空间的占用,又提高了安全性。该销毁条件可以为在资源池中的存储时间达到预设时长、使用次数达到预设阈值等,具体不做限定。比如图3a中,先使用了一次DHa1,然后使用了两次DHa2,可以在使用一次DHa1后将DHa1销毁,使用两次DHa2后将DHa2销毁,也就是说,在将一对DH密钥后使用完毕后,将该对DH密钥销毁。
与上述方法实施例相对应,本发明实施例还提供一种密钥协商装置,如图4所示,所述装置包括:
第一接收模块401,用于接收第二网络设备发送的第一协商报文,并在接收到所述第一协商报文后,触发第一判断模块;
第一判断模块402,用于判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件;如果不满足,触发第一获取模块;
第一获取模块403,用于获取所述第一网络设备已生成的第一DH密钥;
第一发送模块404,用于向所述第二网络设备发送第二协商报文,所述第二协商报文包括所述第一DH密钥,以使所述第二网络设备根据所述第一DH密钥与所述第一网络设备进行密钥协商。
作为一种实施方式,所述装置还可以包括:生成模块和第二发送模块(图中未示出),其中,
生成模块,用于在所述第一判断模块判定满足所述第一网络设备中预先设定的DH密钥生成条件的情况下,生成第二DH密钥;
第二发送模块,用于向所述第二网络设备发送第三协商报文,所述第三协商报文包括所述第二DH密钥,以使所述第二网络设备根据所述第二DH密钥与所述第一网络设备进行密钥协商。
作为一种实施方式,所述装置还可以包括:
第一记录模块(图中未示出),用于每次生成DH密钥后,记录生成DH密钥的时刻;
第一判断模块402,具体可以用于:判断接收到所述第一协商报文的时刻距离所记录的生成最后一个DH密钥时刻是否到达预设时间间隔;如果到达所述预设时间间隔,则确定满足所述DH密钥生成条件。
作为一种实施方式,所述装置还可以包括:
第二记录模块(图中未示出),用于向所述第二网络设备发送第二协商报文之后,记录并累加所述第一DH密钥的使用次数;
第一判断模块402,具体可以用于:判断所述第一DH密钥的使用次数是否达到预设的次数阈值;如果所述第一DH密钥的使用次数达到所述次数阈值,则确定满足所述DH密钥生成条件。
作为一种实施方式,所述装置还可以包括:第二获取模块和设定模块(图中未示出),其中,
第二获取模块,用于获取所述第一网络设备的当前性能参数;
设定模块,用于根据所述当前性能参数,设定DH密钥生成条件。
作为一种实施方式,所述第一网络设备的当前性能参数包括所述第一网络设备的CPU占用率;所述设定模块,具体可以用于:
在预先设定的CPU占用率与生成DH密钥的时间间隔的对应关系中,查找所述第一网络设备的CPU占用率对应的生成DH密钥的时间间隔;根据查找到的时间间隔,设定DH密钥生成条件;
或者,在预先设定的CPU占用率与DH密钥的使用次数的对应关系中,查找所述第一网络设备的CPU占用率对应的DH密钥的使用次数;根据查找到的使用次数,设定DH密钥生成条件。
作为一种实施方式,所述DH密钥生成条件为所述第一网络设备中不存在已生成的DH密钥;所述装置还可以包括:监测模块和第二判断模块(图中未示示出),其中,
监测模块,用于监测所述第一网络设备的当前性能参数;
第二判断模块,用于根据所述当前性能参数,判断所述第一网络设备是否处于空闲状态;如果处于空闲状态,则生成DH密钥,所述DH密钥用于在所述第一判断模块判定所述第一网络设备不满足所述DH密钥生成条件时获取。
作为一种实施方式,所述装置还可以包括:第二接收模块和获得模块(图中未示示出),其中,
第二接收模块,用于接收所述第二网络设备发送的第四协商报文,所述第四协商报文包括第三DH密钥,所述第三DH密钥为所述第二网络设备根据所述第二网络设备中预先设定的DH密钥生成条件得到;
获得模块,用于根据所述第一DH密钥和所述第三DH密钥,得到DH共享秘密值。
应用本发明图4所示实施例,第一网络设备在接收到第二网络设备发送的第一协商报文之后,第一网络设备判断是否满足第一网络设备中预先设定的DH密钥生成条件。如果不满足,则第一网络设备获取已生成的第一DH密钥,并向第二网络设备发送携带该第一DH密钥的第二协商报文,以使得第二网络设备根据该第一DH密钥与第一网络设备进行密钥协商;可见,对于第一网络设备来说,并不是每次协商都计算DH密钥。一些情况下,也就是不满足DH密钥生成条件的情况下,利用已生成的DH密钥,与第二网络设备进行密钥协商,这样省略了计算DH密钥的时间,减少了通信双方之间的协商耗时。
本发明实施例还提供了一种电子设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,实现上述任一种密钥协商方法。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种密钥协商方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于图4所示的密钥协商装置实施例、图5所示的电子设备实施例、以及上述计算机可读存储介质实施例而言,由于其基本相似于图1-3所示的密钥协商方法实施例,所以描述的比较简单,相关之处参见图1-3所示的密钥协商方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (16)

1.一种密钥协商方法,其特征在于,应用于第一网络设备,所述方法包括:
在接收到第二网络设备发送的第一协商报文后,判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件;
如果不满足所述DH密钥生成条件,则获取所述第一网络设备已生成的第一DH密钥;
向所述第二网络设备发送第二协商报文,所述第二协商报文包括所述第一DH密钥,以使所述第二网络设备根据所述第一DH密钥与所述第一网络设备进行密钥协商。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果满足所述DH密钥生成条件,则生成第二DH密钥;
向所述第二网络设备发送第三协商报文,所述第三协商报文包括所述第二DH密钥,以使所述第二网络设备根据所述第二DH密钥与所述第一网络设备进行密钥协商。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
每次生成DH密钥后,记录生成DH密钥的时刻;
所述判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件,包括:
判断接收到所述第一协商报文的时刻距离所记录的生成最后一个DH密钥时刻是否到达预设时间间隔;
如果到达所述预设时间间隔,则确定满足所述DH密钥生成条件。
4.根据权利要求1所述的方法,其特征在于,所述向所述第二网络设备发送第二协商报文之后,还包括:记录并累加所述第一DH密钥的使用次数;
所述判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件,包括:
判断所述第一DH密钥的使用次数是否达到预设的次数阈值;
如果所述第一DH密钥的使用次数达到所述次数阈值,则确定满足所述DH密钥生成条件。
5.根据权利要求1所述的方法,其特征在于,所述判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件之前,还包括:
获取所述第一网络设备的当前性能参数;
根据所述当前性能参数,设定DH密钥生成条件。
6.根据权利要求5所述的方法,其特征在于,所述第一网络设备的当前性能参数包括所述第一网络设备的CPU占用率;
所述根据所述当前性能参数,设定DH密钥生成条件,包括:
在预先设定的CPU占用率与生成DH密钥的时间间隔的对应关系中,查找所述第一网络设备的CPU占用率对应的生成DH密钥的时间间隔;
根据查找到的时间间隔,设定DH密钥生成条件;
或者,在预先设定的CPU占用率与DH密钥的使用次数的对应关系中,查找所述第一网络设备的CPU占用率对应的DH密钥的使用次数;
根据查找到的使用次数,设定DH密钥生成条件。
7.根据权利要求1所述的方法,其特征在于,所述DH密钥生成条件为所述第一网络设备中不存在已生成的DH密钥;
所述判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件之前,还包括:
监测所述第一网络设备的当前性能参数;
根据所述当前性能参数,判断所述第一网络设备是否处于空闲状态;
如果处于空闲状态,则生成DH密钥,所述DH密钥用于在判定所述第一网络设备不满足所述DH密钥生成条件时获取。
8.根据权利要求1所述的方法,其特征在于,所述向所述第二网络设备发送第二协商报文之后,还包括:
接收所述第二网络设备发送的第四协商报文,所述第四协商报文包括第三DH密钥,所述第三DH密钥为所述第二网络设备根据所述第二网络设备中预先设定的DH密钥生成条件得到;
根据所述第一DH密钥和所述第三DH密钥,得到DH共享秘密值。
9.一种密钥协商装置,其特征在于,应用于第一网络设备,所述装置包括:
第一接收模块,用于接收第二网络设备发送的第一协商报文,并在接收到所述第一协商报文后,触发第一判断模块;
第一判断模块,用于判断是否满足所述第一网络设备中预先设定的迪菲-赫尔曼DH密钥生成条件;如果不满足,触发第一获取模块;
第一获取模块,用于获取所述第一网络设备已生成的第一DH密钥;
第一发送模块,用于向所述第二网络设备发送第二协商报文,所述第二协商报文包括所述第一DH密钥,以使所述第二网络设备根据所述第一DH密钥与所述第一网络设备进行密钥协商。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
生成模块,用于在所述第一判断模块判定满足所述第一网络设备中预先设定的DH密钥生成条件的情况下,生成第二DH密钥;
第二发送模块,用于向所述第二网络设备发送第三协商报文,所述第三协商报文包括所述第二DH密钥,以使所述第二网络设备根据所述第二DH密钥与所述第一网络设备进行密钥协商。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第一记录模块,用于每次生成DH密钥后,记录生成DH密钥的时刻;
所述第一判断模块,具体用于:判断接收到所述第一协商报文的时刻距离所记录的生成最后一个DH密钥时刻是否到达预设时间间隔;如果到达所述预设时间间隔,则确定满足所述DH密钥生成条件。
12.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二记录模块,用于向所述第二网络设备发送第二协商报文之后,记录并累加所述第一DH密钥的使用次数;
所述第一判断模块,具体用于:判断所述第一DH密钥的使用次数是否达到预设的次数阈值;如果所述第一DH密钥的使用次数达到所述次数阈值,则确定满足所述DH密钥生成条件。
13.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于获取所述第一网络设备的当前性能参数;
设定模块,用于根据所述当前性能参数,设定DH密钥生成条件。
14.根据权利要求13所述的装置,其特征在于,所述第一网络设备的当前性能参数包括所述第一网络设备的CPU占用率;
所述设定模块,具体用于:在预先设定的CPU占用率与生成DH密钥的时间间隔的对应关系中,查找所述第一网络设备的CPU占用率对应的生成DH密钥的时间间隔;根据查找到的时间间隔,设定DH密钥生成条件;
或者,在预先设定的CPU占用率与DH密钥的使用次数的对应关系中,查找所述第一网络设备的CPU占用率对应的DH密钥的使用次数;根据查找到的使用次数,设定DH密钥生成条件。
15.根据权利要求9所述的装置,其特征在于,所述DH密钥生成条件为所述第一网络设备中不存在已生成的DH密钥;所述装置还包括:
监测模块,用于监测所述第一网络设备的当前性能参数;
第二判断模块,用于根据所述当前性能参数,判断所述第一网络设备是否处于空闲状态;如果处于空闲状态,则生成DH密钥,所述DH密钥用于在所述第一判断模块判定所述第一网络设备不满足所述DH密钥生成条件时获取。
16.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于接收所述第二网络设备发送的第四协商报文,所述第四协商报文包括第三DH密钥,所述第三DH密钥为所述第二网络设备根据所述第二网络设备中预先设定的DH密钥生成条件得到;
获得模块,用于根据所述第一DH密钥和所述第三DH密钥,得到DH共享秘密值。
CN201810063078.6A 2018-01-23 2018-01-23 一种密钥协商方法及装置 Active CN108199837B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810063078.6A CN108199837B (zh) 2018-01-23 2018-01-23 一种密钥协商方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810063078.6A CN108199837B (zh) 2018-01-23 2018-01-23 一种密钥协商方法及装置

Publications (2)

Publication Number Publication Date
CN108199837A true CN108199837A (zh) 2018-06-22
CN108199837B CN108199837B (zh) 2020-12-25

Family

ID=62590761

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810063078.6A Active CN108199837B (zh) 2018-01-23 2018-01-23 一种密钥协商方法及装置

Country Status (1)

Country Link
CN (1) CN108199837B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021082813A1 (zh) * 2019-11-01 2021-05-06 华为技术有限公司 一种安全通信的方法和设备
WO2021196047A1 (zh) * 2020-03-31 2021-10-07 华为技术有限公司 密钥处理方法和装置

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777094A (zh) * 2004-11-15 2006-05-24 中兴通讯股份有限公司 通用引导体系中密钥重协商的触发方法
US20080098226A1 (en) * 2006-10-19 2008-04-24 Fujitsu Limited Encryption communication system, apparatus, method, and program
CN101388770A (zh) * 2008-10-20 2009-03-18 华为技术有限公司 获取动态主机配置协议密钥的方法、服务器及客户端装置
US20100142711A1 (en) * 2008-12-09 2010-06-10 Brian Weis Group key management re-registration method
CN102282799A (zh) * 2009-01-19 2011-12-14 株式会社东芝 保护控制计测系统和装置以及数据传输方法
CN102918796A (zh) * 2010-06-04 2013-02-06 富士通株式会社 处理装置、处理方法以及处理程序
CN103138939A (zh) * 2013-03-28 2013-06-05 武汉大学 云存储模式下基于可信平台模块的密钥使用次数管理方法
US20140281488A1 (en) * 2013-03-15 2014-09-18 Aruba Networks, Inc. System and Method for Offloading Cryptographic Functions to Support a Large Number of Clients in a Wireless Access Point
US20150067333A1 (en) * 2013-08-28 2015-03-05 Ixia Methods, systems, and computer readable media for utilizing predetermined encryption keys in a test simulation environment
CN105162794A (zh) * 2015-09-23 2015-12-16 北京汉柏科技有限公司 一种使用约定方式的ipsec密钥更新方法及设备
US20160191478A1 (en) * 2014-12-31 2016-06-30 Motorola Solutions, Inc Method and computing device for integrating a key management system with pre-shared key (psk)-authenticated internet key exchange (ike)

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777094A (zh) * 2004-11-15 2006-05-24 中兴通讯股份有限公司 通用引导体系中密钥重协商的触发方法
US20080098226A1 (en) * 2006-10-19 2008-04-24 Fujitsu Limited Encryption communication system, apparatus, method, and program
CN101388770A (zh) * 2008-10-20 2009-03-18 华为技术有限公司 获取动态主机配置协议密钥的方法、服务器及客户端装置
US20100142711A1 (en) * 2008-12-09 2010-06-10 Brian Weis Group key management re-registration method
CN102282799A (zh) * 2009-01-19 2011-12-14 株式会社东芝 保护控制计测系统和装置以及数据传输方法
CN102918796A (zh) * 2010-06-04 2013-02-06 富士通株式会社 处理装置、处理方法以及处理程序
US20140281488A1 (en) * 2013-03-15 2014-09-18 Aruba Networks, Inc. System and Method for Offloading Cryptographic Functions to Support a Large Number of Clients in a Wireless Access Point
CN103138939A (zh) * 2013-03-28 2013-06-05 武汉大学 云存储模式下基于可信平台模块的密钥使用次数管理方法
US20150067333A1 (en) * 2013-08-28 2015-03-05 Ixia Methods, systems, and computer readable media for utilizing predetermined encryption keys in a test simulation environment
US20160191478A1 (en) * 2014-12-31 2016-06-30 Motorola Solutions, Inc Method and computing device for integrating a key management system with pre-shared key (psk)-authenticated internet key exchange (ike)
CN105162794A (zh) * 2015-09-23 2015-12-16 北京汉柏科技有限公司 一种使用约定方式的ipsec密钥更新方法及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李国民: "群密钥协商协议的分析与设计", 《中国博士学位论文全文数据库》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021082813A1 (zh) * 2019-11-01 2021-05-06 华为技术有限公司 一种安全通信的方法和设备
WO2021196047A1 (zh) * 2020-03-31 2021-10-07 华为技术有限公司 密钥处理方法和装置

Also Published As

Publication number Publication date
CN108199837B (zh) 2020-12-25

Similar Documents

Publication Publication Date Title
TWI225345B (en) Method and apparatus to manage address translation for secure connections
CN107534665A (zh) 利用ssl会话票证扩展的可扩缩中间网络设备
CN107306214A (zh) 终端连接虚拟专用网的方法、系统及相关设备
CN104092697B (zh) 一种基于时间的防重放方法及装置
CN101262405B (zh) 基于网络处理器的高速安全虚拟专用网系统及其实现方法
CN104137508B (zh) 具有网络附接的无状态安全卸载装置的网络节点
CN108418782A (zh) 经代理安全会话的粒度卸载
CN105991562B (zh) IPSec加速方法、装置及系统
CN107547508A (zh) 一种报文发送、接收方法、装置及网络设备
CN106878138A (zh) 一种报文传输方法和装置
CN105812322B (zh) 因特网安全协议安全联盟的建立方法及装置
CN105763318B (zh) 一种预共享密钥获取、分配方法及装置
CN106487802B (zh) 基于DPD协议的IPSec SA的异常探测方法及装置
US11831763B2 (en) Methods, systems, and computer readable media for utilizing predetermined encryption keys in a test simulation environment
CN102792637A (zh) 选择性禁用网络连接上的可靠性机制
CN111083091B (zh) 一种隧道的创建方法、装置及存储介质
CN108964880A (zh) 一种数据传输方法及装置
CN108199837A (zh) 一种密钥协商方法及装置
CN103457952A (zh) 一种基于加密引擎的IPSec处理方法和设备
CN106533881B (zh) Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统
CN110011892A (zh) 一种虚拟专用网络的通信方法及相关装置
CN109413123A (zh) 会话保持方法及相关设备
CN107733766A (zh) 云平台专有网络间安全互联方法、装置、设备及存储介质
CN107819888A (zh) 一种分配中继地址的方法、装置以及网元
CN105592030B (zh) Ip报文处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant