專利名稱:互聯(lián)網(wǎng)安全通信方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)通信方法�,特別涉及安全通信方法。
背景技術(shù):
安全問題始終是與互聯(lián)網(wǎng)相關(guān)的一個(gè)重要話題����。特別是當(dāng)今基于互聯(lián)網(wǎng)的電子商務(wù)、金融業(yè)務(wù)�、虛擬專網(wǎng)(Virtual Private Network,簡稱“VPN”)等保密性���、安全性要求高的業(yè)務(wù)的快速發(fā)展��,對互聯(lián)網(wǎng)的安全通信提出了新的需求?,F(xiàn)有的網(wǎng)際協(xié)議(Internet Protocol version 4����,簡稱“IPv4”)的目的只是作為簡單的網(wǎng)絡(luò)互聯(lián)協(xié)議,因此協(xié)議設(shè)計(jì)之初并沒有考慮安全性�。因此����,隨著互聯(lián)網(wǎng)的商業(yè)化����,缺乏安全性導(dǎo)致的危險(xiǎn)越來越嚴(yán)重?���;ヂ?lián)網(wǎng)上已經(jīng)發(fā)生了很多起諸如商業(yè)公司或政府機(jī)構(gòu)網(wǎng)絡(luò)遭到攻擊、機(jī)密數(shù)據(jù)被竊取等事件�。在新的網(wǎng)際協(xié)議(Internet Protocol version 6,簡稱“IPv6”)逐漸替代IPv4成為下一代網(wǎng)絡(luò)通信的主流之際��,網(wǎng)絡(luò)安全也將成為網(wǎng)絡(luò)通信的關(guān)鍵技術(shù)之一���。
網(wǎng)絡(luò)安全性包括身份認(rèn)證�、完整性�����、保密性三個(gè)目標(biāo)�。其中��,身份確認(rèn)要求能夠可靠地確定接收到的數(shù)據(jù)與發(fā)送的數(shù)據(jù)一致,并且確保發(fā)送該數(shù)據(jù)的實(shí)體與其所宣稱的身份一致�����;完整性要求能夠可靠地確定數(shù)據(jù)在從源到的傳送的過程中沒有被修改�����;保密性要求確保數(shù)據(jù)只能為預(yù)期的接收者使用或讀出�,而不能為其他任何實(shí)體使用或讀出。
為了加強(qiáng)當(dāng)前互聯(lián)網(wǎng)的安全性����,從1995年開始,互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force���,簡稱“IETF”)著手研究制定了一套用于保護(hù)互聯(lián)網(wǎng)通信的安全的協(xié)議——IP安全(IP Security���,簡稱“IPSec”)。IPSec提供既可用于IPv4也可用于IPv6的安全性機(jī)制��,它是IPv6的一個(gè)組成部分��,也是IPv4的一個(gè)可選擴(kuò)展協(xié)議。IPSec提供如下網(wǎng)絡(luò)安全服務(wù)訪問控制�����、無連接的完整性����、數(shù)據(jù)源身份認(rèn)證、防御包重發(fā)攻擊����、加密通信、有限的業(yè)務(wù)流保密性����。
IPSec由一套在網(wǎng)絡(luò)層提供IP安全性的協(xié)議構(gòu)成。其中用于加密處理的IPSec協(xié)議包括認(rèn)證包頭(Authentication Header����,簡稱“AH”)協(xié)議為IP包提供信息源驗(yàn)證和完整性保證;封裝安全負(fù)載(Encapsulating SecurityPayload���,簡稱“ESP”)協(xié)議提供加密保證�����。此外�����,IETF還提供了一種密鑰管理協(xié)議(Internet Security Association and Key Management Protocol�,簡稱“ISAKMP”)�����,它規(guī)定了通信雙方的密鑰協(xié)商過程�����;ISAKMP的一種具體實(shí)現(xiàn)協(xié)議是互聯(lián)網(wǎng)密鑰交換協(xié)議(Internet Key Exchange���,簡稱“IKE”)�,它主要實(shí)現(xiàn)SA的協(xié)商���。
SA是IPSec的基本概念之一�,它將安全策略(Security Policy)和具體的加密算法����、密鑰等與特定的安全通信鏈路聯(lián)系起來��。SA是單向的����,因此對于一條雙向通信鏈路需要建立兩個(gè)SA���,對于某個(gè)通信端分別為外出SA和進(jìn)入SA��。在每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)�,SA由安全聯(lián)盟數(shù)據(jù)庫(Security AssociationDatabase���,簡稱“SAD”)存儲(chǔ)���,SA不再被使用時(shí)會(huì)被刪除。SA由對應(yīng)的安全策略產(chǎn)生��,并實(shí)現(xiàn)安全策略��,同一種安全策略可以產(chǎn)生不同的SA���,比如采用不同的密鑰����,而且每個(gè)SA均與相應(yīng)安全通信鏈路掛鉤,在SA中包含了用于表征安全通信鏈路的雙方的參數(shù)����。但SA均根據(jù)相應(yīng)安全策略的宗旨產(chǎn)生����,并與安全策略有對應(yīng)關(guān)系,比如這個(gè)對應(yīng)關(guān)系可以由安全策略入口(Security Policy Entry)等實(shí)現(xiàn)�����。
在IPSec通信過程中����,SA可以由IKE協(xié)商建立,即兩對等路由器之間采用匹配的加密算法�、加密密鑰、驗(yàn)證方法等�����。如前所述IPSec加密通信由AH或ESP實(shí)現(xiàn)���。在SA建立之后��,在雙方之間往返的IP報(bào)文均通過一方的發(fā)出處理�,即使用外出SA的密鑰和算法將明文轉(zhuǎn)換成密文,和另一方的進(jìn)入處理��,即使用匹配的進(jìn)入SA的密鑰和算法將密文還原成明文����。這樣,即使通信數(shù)據(jù)被竊聽��,竊聽者由于不知道如何解密也無法獲取雙方的通信內(nèi)容��。
為防止連接建立的時(shí)間過長�����,IKE和IPSec連接都有使用期限的限制��,一般用使用時(shí)間(秒)和數(shù)據(jù)大小(KB)來描述�。IPSec連接的使用期限一般要比相關(guān)的IKE連接的使用期限短。這樣在一次有效的IKE連接中�,當(dāng)IPSec連接超過使用期限,通過IKE協(xié)商�����,建立一套新的SA,對IPSec連接進(jìn)行新的加密��。當(dāng)IKE連接超過使用期限時(shí)����,IKE需要重新進(jìn)行IKE連接和身份認(rèn)證,此時(shí)IPSec連接也需要重新建立��。
IPSec連接的使用期限也即對應(yīng)SA的使用期限�。IPSec連接超過使用期限稱為SA超時(shí)��。SA的超時(shí)機(jī)制描述為由安全策略設(shè)定好SA的超時(shí)條件���,比如當(dāng)處理數(shù)據(jù)超過多少KB����,或者SA已使用超過多長時(shí)間�,當(dāng)超時(shí)條件滿足時(shí),當(dāng)前SA作廢���,IKE協(xié)商建立新的SA�,以更好保護(hù)通信�����。
由于IKE協(xié)商新SA需要耗費(fèi)通信時(shí)間,容易造成通信中斷�����。當(dāng)舊的SA刪除���,而新的SA還沒有建立時(shí)�����,IP報(bào)文會(huì)大量丟失����。因此提出了SA軟超時(shí)的概念在滿足一定條件時(shí)候����,比如當(dāng)前已經(jīng)處理的數(shù)據(jù)或者當(dāng)前SA使用時(shí)間為最終超時(shí)條件(也稱為硬超時(shí))的一定比率,IPSec即觸發(fā)IKE協(xié)商新的SA���,此時(shí)舊的SA依然有效���,在新的SA建立并實(shí)施之前仍然可以使用�����,當(dāng)新的SA建立或者SA硬超時(shí)條件滿足時(shí)��,舊的SA將停止使用���。由此盡可能地保證了IPSec安全通信的連續(xù)進(jìn)行。
如前所述�����,在進(jìn)行IPSec通信的端點(diǎn)上�����,需要對IP報(bào)文根據(jù)SA的規(guī)定進(jìn)行相應(yīng)的處理��,而SA由安全策略產(chǎn)生�,SA與安全策略之間存在對應(yīng)關(guān)系�����,比如現(xiàn)有技術(shù)中一般在安全策略上設(shè)置安全策略入口(Security PolicyEntry),通過安全策略入口可以與由該安全策略產(chǎn)生的SA建立對應(yīng)關(guān)系�。對應(yīng)于外出SA和進(jìn)入SA,可以將安全策略入口分為外出安全策略入口和進(jìn)入安全策略入口�。對應(yīng)于某一連接,均有對應(yīng)的安全策略���,并有IKE根據(jù)該安全策略協(xié)商一套SA進(jìn)行IPSec通信���。
通信端點(diǎn)對報(bào)文的處理流程分外出報(bào)文和進(jìn)入報(bào)文的處理流程。當(dāng)通信端點(diǎn)發(fā)送報(bào)文時(shí)�����,首先�����,由對應(yīng)與該通信鏈路的安全策略的規(guī)定�����,判斷通信雙方之間的數(shù)據(jù)是否進(jìn)行IPSec處理��,在IPSec處理中�����,根據(jù)安全策略入口查找相應(yīng)的SA并進(jìn)行處理,在SA中給出了具體的保護(hù)方法和參數(shù)�����,比如加密算法��、密鑰等�����;當(dāng)接收到對端發(fā)來的報(bào)文時(shí)�,在報(bào)文中可以獲取相應(yīng)SA的信息,在SAD中匹配檢索該SA��,然后通過SA和安全策略入口的對應(yīng)關(guān)系查找相應(yīng)安全策略���,如果找到了對應(yīng)的安全策略,且策略顯示此報(bào)文應(yīng)該進(jìn)行IPSec處理���,則繼續(xù)處理報(bào)文�����;如果沒有找到安全策略�����,或者策略顯示該報(bào)文不應(yīng)該進(jìn)行IPSec處理����,則丟棄報(bào)文。
可見����,安全策略入口指示SA和安全策略的對應(yīng)關(guān)系,在IPSec通信中�,當(dāng)SA超時(shí)并由IKE協(xié)商產(chǎn)生新的SA之后,安全策略入口需要與新的SA對應(yīng)��,而舊的SA與安全策略入口的對應(yīng)關(guān)系將被替代���。
而在實(shí)際通信中���,這一新舊SA替代機(jī)制容易引發(fā)問題在新舊SA替代時(shí),由于通信雙方的SA與安全策略入口對應(yīng)關(guān)系的轉(zhuǎn)換操作存在時(shí)間差�,將出現(xiàn)通信雙方SA不匹配的情況,導(dǎo)致此時(shí)發(fā)送的IP報(bào)文丟失��。這是由于在網(wǎng)絡(luò)通信,特別是非實(shí)時(shí)通信中�,由于傳輸非對稱性等原因,通信雙方在協(xié)商出新的SA之后�����,不能保證同時(shí)進(jìn)行新舊SA的替代�,即實(shí)施新的SA處理發(fā)送或接收報(bào)文并停止使用舊的SA進(jìn)行處理發(fā)送或接收報(bào)文。而IP通信中����,報(bào)文傳輸是連續(xù)進(jìn)行的,IKE協(xié)商流程與IPSec報(bào)文處理流程之間是并行關(guān)系���,因此會(huì)造成雙方SA不匹配的情況發(fā)生�����,在這些時(shí)刻所發(fā)生的IP通信就會(huì)失敗����,造成IP包丟失����,乃至通信中斷等嚴(yán)重后果。
圖1給出了實(shí)際應(yīng)用中IPSEC通信過程中發(fā)生報(bào)文丟失情況���。比如一方實(shí)施了新的SA��,并使得外出安全策略入口和新的外出SA對應(yīng)�����,進(jìn)而采用新的SA處理外出報(bào)文發(fā)往另一方���,而另一方建立了但還沒有實(shí)施新的SA,依舊保持舊的有效SA與安全策略入口的對應(yīng)關(guān)系�,導(dǎo)致在接收對方發(fā)送來的報(bào)文時(shí),根據(jù)報(bào)文中的信息查找到了新的SA�����,但是卻找不到安全策略入口�,最后丟棄報(bào)文;或者��,一方還沒有實(shí)施新的SA���,采用舊的外出SA處理外出IP報(bào)文���,而另一方已經(jīng)實(shí)施并更新了SA和安全策略入口的對應(yīng)關(guān)系���,同樣也會(huì)導(dǎo)致丟棄報(bào)文。
可見����,在IKE協(xié)商新的SA并進(jìn)行新舊SA替代,即SA和安全策略入口關(guān)系的轉(zhuǎn)換時(shí)����,會(huì)導(dǎo)致了報(bào)文的丟失,無法對報(bào)文進(jìn)行平滑處理��,沒有完全實(shí)現(xiàn)軟超時(shí)概念的宗旨�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種互聯(lián)網(wǎng)安全通信方法�����,使得在IPSec通信的新舊SA替代過程中���,減少了報(bào)文丟失情況���,實(shí)現(xiàn)了對報(bào)文的更加平滑的處理���。
為實(shí)現(xiàn)上述目的�,本發(fā)明提供了一種互聯(lián)網(wǎng)安全通信方法,第一通信方使用第一安全聯(lián)盟處理進(jìn)入報(bào)文���,該第一安全聯(lián)盟通過第一對應(yīng)關(guān)系與安全策略對應(yīng)���,所述方法包含以下步驟A設(shè)置所述安全策略與處理進(jìn)入報(bào)文的安全聯(lián)盟對應(yīng)的第二對應(yīng)關(guān)系;B當(dāng)所述第一安全聯(lián)盟發(fā)生軟超時(shí)時(shí)����,所述第一通信方與對端的第二通信方協(xié)商新的安全聯(lián)盟,其中包含用于處理進(jìn)入報(bào)文的第二安全聯(lián)盟���;C所述第二安全聯(lián)盟協(xié)商產(chǎn)生時(shí)��,將所述第一安全聯(lián)盟通過所述第二對應(yīng)關(guān)系與所述安全策略對應(yīng)�����,將所述第二安全聯(lián)盟通過所述第一對應(yīng)關(guān)系與所述安全策略對應(yīng)��,所述第一通信方同時(shí)使用所述第一�����、第二安全聯(lián)盟處理進(jìn)入報(bào)文�����;D當(dāng)所述第一安全聯(lián)盟發(fā)生硬超時(shí)時(shí)��,將所述第一安全聯(lián)盟設(shè)置為無效�。
其中,所述對應(yīng)關(guān)系設(shè)定在安全策略入口中�。
所述步驟C還進(jìn)一步包含以下子步驟C1所述第二安全聯(lián)盟協(xié)商產(chǎn)生時(shí),檢查所述第一安全聯(lián)盟是否有效�,如果是則進(jìn)入步驟C2,否則進(jìn)入步驟C3����;C2所述第一安全聯(lián)盟改為通過所述第二對應(yīng)關(guān)系與所述安全策略對應(yīng),進(jìn)入步驟C3��;C3將所述的第二安全聯(lián)盟通過所述第一對應(yīng)關(guān)系與所述安全策略對應(yīng)���,所述第一通信方同時(shí)使用所述第一���、第二安全聯(lián)盟處理進(jìn)入報(bào)文�。
所述步驟C中�����,當(dāng)所述第一通信方同時(shí)使用所述第一��、第二安全聯(lián)盟處理進(jìn)入報(bào)文時(shí)���,根據(jù)接收到的進(jìn)入報(bào)文中所附帶的安全聯(lián)盟信息檢索所述安全聯(lián)盟,并根據(jù)所述第一對應(yīng)關(guān)系判斷是否存在匹配的安全策略�����,如果是則對該報(bào)文進(jìn)行接收處理���,否則根據(jù)所述第二對應(yīng)關(guān)系判斷是否存在匹配的安全策略�����,如果是則對該報(bào)文進(jìn)行接收處理�,否則丟棄�����。
通過比較可以發(fā)現(xiàn),本發(fā)明的技術(shù)方案與現(xiàn)有技術(shù)的區(qū)別在于���,通過在通信的接收方建立臨時(shí)SA對應(yīng)關(guān)系���,對新舊SA替代過程進(jìn)行了緩沖,使得在新舊SA替代過程中多個(gè)SA同時(shí)有效的情況下����,IPSec通信雙方能夠存在匹配的SA,從而能夠檢索到相關(guān)的安全策略���,減少了因雙方新舊SA替代時(shí)間差引起的報(bào)文丟失情況的發(fā)生��。
圖1現(xiàn)有IPSEC通信過程中發(fā)生報(bào)文丟失情況的示意圖����;圖2根據(jù)本發(fā)明的一個(gè)實(shí)施例的SA協(xié)商建立和實(shí)施方法流程圖�����;圖3根據(jù)本發(fā)明的一個(gè)實(shí)施例的IPSEC通信過程示意圖��。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面將結(jié)合附圖對本發(fā)明作進(jìn)一步地詳細(xì)描述。
本發(fā)明根據(jù)IKE協(xié)商過程中發(fā)生的新舊SA替代操作����,通過在安全策略入口設(shè)置臨時(shí)SA對應(yīng)關(guān)系,保證替代過程中報(bào)文的平滑處理�。由SA軟超時(shí)等原因引起的IKE協(xié)商新的SA,當(dāng)新的SA由協(xié)商產(chǎn)生之后�,將新的SA捆綁在安全策略入口的原對應(yīng)關(guān)系中,并將舊的SA捆綁在臨時(shí)對應(yīng)關(guān)系中����,此時(shí)雖然新舊SA發(fā)生替代��,但是新舊SA均與安全策略入口存在對應(yīng)關(guān)系��,這一過度階段將保證了新舊SA替代時(shí)����,即使發(fā)生通信雙方操作時(shí)間差,也能找到匹配的SA進(jìn)行報(bào)文處理����。
在本發(fā)明的一個(gè)實(shí)施例中,在IPSec通信安全策略的進(jìn)入安全策略入口中,設(shè)置一個(gè)臨時(shí)SA對應(yīng)關(guān)系用于緩存IKE協(xié)商SA過程中發(fā)生的舊SA與本安全策略入口的對應(yīng)關(guān)系����,以保證IPSec通信在處理進(jìn)入報(bào)文時(shí)存在匹配安全策略,可以完成正常的報(bào)文處理�。
在IPSec通信過程中,當(dāng)SA發(fā)生軟超時(shí)時(shí)��,IPSEC觸發(fā)IKE協(xié)商新的SA�����,此時(shí)稱當(dāng)前SA為舊SA����;在IKE協(xié)商新的SA過程中,IPSec通信雙方仍然采用舊的SA進(jìn)行通信����;當(dāng)IKE協(xié)商新的SA完成后���,IPSec直接使用新的SA進(jìn)行發(fā)送報(bào)文的處理���,這一點(diǎn)和現(xiàn)有協(xié)議中的規(guī)定一致����,而處理進(jìn)入報(bào)文的新舊SA也進(jìn)行替代操作���,不過該替代操作方式和現(xiàn)有技術(shù)不同,方法為將新的進(jìn)入SA捆綁在安全策略入口上���,不過舊的SA并不是直接被覆蓋��,而是通過臨時(shí)對應(yīng)關(guān)系捆綁在安全策略入口上����,舊SA發(fā)生硬超時(shí)之前�����,一直處在新舊SA共存的過度階段�,在此階段中�,新舊SA均有效。IPSec通信雙方在進(jìn)行接收報(bào)文處理時(shí)����,可以根據(jù)報(bào)文內(nèi)容獲取SA,根據(jù)SA和SA與安全策略的對應(yīng)關(guān)系�����,去查找安全策略,如果沒有找到相關(guān)安全策略��,進(jìn)一步通過SA和SA與安全策略的臨時(shí)對應(yīng)關(guān)系再查找����,如果仍然不能得到,則丟棄報(bào)文�����,否則繼續(xù)處理報(bào)文�;由此可見,不管得到的是新的��,還是舊的SA�,都可以查找到相對的安全策略,從而進(jìn)一步完成IPSEC通信��;這樣��,減少了因通信雙方新舊SA替代操作存在時(shí)間差而引起的SA不匹配的情況發(fā)生���,保證了報(bào)文的平滑處理���;當(dāng)舊SA發(fā)生硬超時(shí)時(shí)��,即舊SA無效�,只采用新SA進(jìn)行IPSec通信�����。
圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的SA協(xié)商建立和實(shí)施流程圖��。
在步驟201中�����,首先在處理進(jìn)入報(bào)文的安全策略入口設(shè)置臨時(shí)SA對應(yīng)關(guān)系�,臨時(shí)SA對應(yīng)關(guān)系和原SA對應(yīng)關(guān)系在結(jié)構(gòu)上相同。如前所述����,該臨時(shí)SA對應(yīng)關(guān)系用于在發(fā)生新舊SA替代時(shí)起到緩沖作用�����,保證IPSec通信雙方能夠一直存在匹配SA����。
在步驟202中�����,在IPSec通信過程中���,當(dāng)前SA發(fā)生軟超時(shí)時(shí),觸發(fā)IKE協(xié)商新的SA�。軟超時(shí)的條件為當(dāng)前SA所處理報(bào)文數(shù)據(jù)超過設(shè)定的字節(jié)數(shù)或當(dāng)前SA生存時(shí)間超過設(shè)定的秒數(shù)。一般情況下�����,軟超時(shí)條件為硬超時(shí)條件的一定比率����。比如當(dāng)硬超時(shí)條件為所處理報(bào)文數(shù)據(jù)超過n KB或者生存時(shí)間超過m秒,軟超時(shí)條件可以為所處理報(bào)文數(shù)據(jù)超過0.8n KB或者生存時(shí)間超過0.8m秒���。這里IPSec通信雙方對一套SA中每個(gè)SA均進(jìn)行軟超時(shí)判斷��,比如當(dāng)IPSec采用兩個(gè)SA進(jìn)行雙向通信時(shí)���,對外出SA和進(jìn)入SA均進(jìn)行判斷�,任一SA發(fā)生軟超時(shí)�,均觸發(fā)IKE協(xié)商相應(yīng)的新SA。
在步驟203中���,當(dāng)接收方的IKE協(xié)商完成得到新的進(jìn)入SA時(shí)��,首先檢查該連接對應(yīng)的安全策略入口是否已經(jīng)捆綁了其他的SA����,即查找舊的SA�,并判斷該舊的SA是否有效,即是否沒有達(dá)到硬超時(shí)的條件�����,如果找到有效的舊的SA����,則進(jìn)入步驟204;否則進(jìn)入步驟206���。
在步驟204中��,先將舊的進(jìn)入SA通過臨時(shí)SA對應(yīng)關(guān)系捆綁在安全策略入口上�,然后將新的SA通過原SA對應(yīng)關(guān)系捆綁在安全策略入口上����,新舊SA同時(shí)有效,進(jìn)行IPSec通信�����。此時(shí)IPSec通信時(shí)��,如果發(fā)送方采用舊的SA(外出SA)處理發(fā)送報(bào)文����,接收方在收到報(bào)文時(shí),根據(jù)所附帶SA信息查詢得到舊的SA(進(jìn)入SA)�����,并根據(jù)臨時(shí)SA對應(yīng)關(guān)系獲取安全策略入口����,從而得到匹配的安全策略并繼續(xù)處理接收報(bào)文。
在步驟205中���,當(dāng)舊的SA發(fā)生硬超時(shí)時(shí)�����,使得舊的SA無效����。
在步驟206中,直接建立新的SA與安全策略入口的對應(yīng)關(guān)系�,采用新的SA進(jìn)行IPSec通信。
可見�����,本發(fā)明通過接收方的臨時(shí)SA對應(yīng)關(guān)系建立了安全策略入口和多個(gè)有效安全聯(lián)盟的對應(yīng)關(guān)系�����,使得在IPSec通信雙方新舊SA替代實(shí)施不能完全同步的時(shí)候����,仍然很好地利用匹配的SA處理IPSec報(bào)文。當(dāng)舊的SA由于不再使用�,即變?yōu)闊o效SA時(shí),它和安全策略入口的臨時(shí)對應(yīng)關(guān)系也同時(shí)廢止���,對新的SA應(yīng)用沒有影響����。
圖3示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的IPSEC通信過程示意圖����。在采用本發(fā)明的IKE協(xié)商方法之后,當(dāng)IPSec通信雙方發(fā)生新舊SA替代時(shí)間差時(shí)���,將能保證對報(bào)文的平滑處理��。
在當(dāng)前SA發(fā)生軟超時(shí)時(shí)�,觸發(fā)IKE進(jìn)行新SA的協(xié)商301��,此時(shí)IPSec報(bào)文通信按舊的SA進(jìn)行���;當(dāng)IKE協(xié)商完成得到新的SA時(shí)��,雙方均開始新舊SA替代過程���;在新舊SA替代過程中,可能出現(xiàn)兩種不同步的情況即發(fā)送方比接收方先實(shí)施新的SA的情況302或接收方比發(fā)送方先實(shí)施新的SA的情況303���。
在情況302發(fā)生時(shí)���,在本發(fā)明的一個(gè)實(shí)施例中���,發(fā)送方先實(shí)施新的SA,并且采用新的SA進(jìn)行發(fā)送報(bào)文的處理����,盡管考慮到報(bào)文的傳輸會(huì)有一定的延時(shí),報(bào)文達(dá)到接收方時(shí)接收方很可能還沒有實(shí)施新的SA�����,因此該報(bào)文被接收方丟棄�����,這種情況下本發(fā)明和現(xiàn)有技術(shù)沒有區(qū)別�。
在情況303發(fā)生時(shí),接收方建立新的進(jìn)入SA��,并將新舊進(jìn)入SA均捆綁在安全策略入口����,而在發(fā)送方在沒有得到新的SA的情況下�����,仍然采用舊的SA發(fā)送報(bào)文���,接收方得到的報(bào)文是用舊的SA處理的,于是根據(jù)附帶的SA的信息查詢SA進(jìn)而獲取安全策略入口�,可以最后獲取有效的安全策略����,并根據(jù)舊的SA進(jìn)行報(bào)文接收處理,避免了報(bào)文的丟失��,這一點(diǎn)上相對于現(xiàn)有技術(shù)本發(fā)明有顯著的改進(jìn)����。
此后,當(dāng)IPSec通信雙方判斷舊的SA發(fā)生硬超時(shí)時(shí)(304)���,舊的SA被廢止�����,之后���,IPSec通信雙方均采用新的SA進(jìn)行通信�����。
需要說明的是����,本發(fā)明僅對處理進(jìn)入報(bào)文的安全策略和進(jìn)入SA的對應(yīng)關(guān)系進(jìn)行了改造�����,對處理外出報(bào)文沒有任何變化�。我們僅處理了進(jìn)入的情況,這樣無論對端用發(fā)送時(shí)采用的是新的����,還是舊的SA,接收報(bào)文時(shí)都能夠處理�,我們只需要修改本地路由器的處理流程,不影響網(wǎng)絡(luò)已有的互聯(lián)互通�����。反過來�����,如果想修改本地路由器的發(fā)送報(bào)文的處理流程以完全避免SA替換時(shí)的報(bào)文丟失,則必須修改對端路由器的處理流程��,這樣對于目前的互聯(lián)互通是不利的��。本發(fā)明采用的做法希望最大限度地與其他廠商的現(xiàn)有設(shè)備兼容����,保護(hù)運(yùn)營商的已有投資。
熟悉本領(lǐng)域的技術(shù)人員可以理解�,當(dāng)IPSec通信雙方中��,安全策略與對應(yīng)SA的對應(yīng)關(guān)系���,由除安全策略入口以外的其他方式描述時(shí)�,同樣的可以通過建立臨時(shí)SA對應(yīng)關(guān)系的方法��,解決雙方新舊SA替代不同步的問題����,達(dá)到發(fā)明目的,而不影響本發(fā)明的實(shí)質(zhì)和范圍����。
雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施例�,已經(jīng)對本發(fā)明進(jìn)行了圖示和描述��,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白���,可以在形式上和細(xì)節(jié)上對其作各種各樣的改變��,而不偏離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍�。
權(quán)利要求
1.一種互聯(lián)網(wǎng)安全通信方法�����,第一通信方使用第一安全聯(lián)盟處理進(jìn)入報(bào)文����,該第一安全聯(lián)盟通過第一對應(yīng)關(guān)系與安全策略對應(yīng),其特征在于���,所述方法包含以下步驟A設(shè)置所述安全策略與處理進(jìn)入報(bào)文的安全聯(lián)盟對應(yīng)的第二對應(yīng)關(guān)系��;B當(dāng)所述第一安全聯(lián)盟發(fā)生軟超時(shí)時(shí)�,所述第一通信方與對端的第二通信方協(xié)商新的安全聯(lián)盟,其中包含用于處理進(jìn)入報(bào)文的第二安全聯(lián)盟����;C所述第二安全聯(lián)盟協(xié)商產(chǎn)生時(shí),將所述第一安全聯(lián)盟通過所述第二對應(yīng)關(guān)系與所述安全策略對應(yīng)���,將所述第二安全聯(lián)盟通過所述第一對應(yīng)關(guān)系與所述安全策略對應(yīng)�����,所述第一通信方同時(shí)使用所述第一����、第二安全聯(lián)盟處理進(jìn)入報(bào)文�����;D當(dāng)所述第一安全聯(lián)盟發(fā)生硬超時(shí)時(shí)�����,將所述第一安全聯(lián)盟設(shè)置為無效�����。
2.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)安全通信方法��,其特征在于�,所述對應(yīng)關(guān)系設(shè)定在安全策略入口中。
3.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)安全通信方法��,其特征在于�����,所述步驟C還進(jìn)一步包含以下子步驟C1所述第二安全聯(lián)盟協(xié)商產(chǎn)生時(shí)���,檢查所述第一安全聯(lián)盟是否有效�,如果是則進(jìn)入步驟C2�����,否則進(jìn)入步驟C3���;C2所述第一安全聯(lián)盟改為通過所述第二對應(yīng)關(guān)系與所述安全策略對應(yīng)�����,進(jìn)入步驟C3���;C3將所述的第二安全聯(lián)盟通過所述第一對應(yīng)關(guān)系與所述安全策略對應(yīng)�,所述第一通信方同時(shí)使用所述第一���、第二安全聯(lián)盟處理進(jìn)入報(bào)文����。
4.根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)安全通信方法�����,其特征在于����,所述步驟C中,當(dāng)所述第一通信方同時(shí)使用所述第一�、第二安全聯(lián)盟處理進(jìn)入報(bào)文時(shí),根據(jù)接收到的進(jìn)入報(bào)文中所附帶的安全聯(lián)盟信息檢索所述安全聯(lián)盟��,并根據(jù)所述第一對應(yīng)關(guān)系判斷是否存在匹配的安全策略�����,如果是則對該報(bào)文進(jìn)行接收處理��,否則根據(jù)所述第二對應(yīng)關(guān)系判斷是否存在匹配的安全策略�����,如果是則對該報(bào)文進(jìn)行接收處理��,否則丟棄����。
全文摘要
本發(fā)明涉及互聯(lián)網(wǎng)通信方法,公開了一種互聯(lián)網(wǎng)安全通信方法��,使得在IPSec通信的新舊SA替代過程中��,減少了報(bào)文丟失情況�,實(shí)現(xiàn)了對報(bào)文更加平滑的處理。這種互聯(lián)網(wǎng)安全通信方法通過建立安全策略與處理進(jìn)入報(bào)文的SA的臨時(shí)對應(yīng)關(guān)系�����,對新舊SA替代過程進(jìn)行了緩沖���,使得在新舊SA替代過程中多個(gè)SA同時(shí)有效的情況下��,IPSec通信雙方存在匹配的SA�����,減少了因雙方新舊SA替代時(shí)間差引起的報(bào)文丟失情況的發(fā)生����。
文檔編號H04L9/00GK1710851SQ20041004947
公開日2005年12月21日 申請日期2004年6月16日 優(yōu)先權(quán)日2004年6月16日
發(fā)明者劉淑玲, 劉廷永 申請人:華為技術(shù)有限公司