配置信息的下發(fā)方法����、系統(tǒng)及裝置制造方法
【專利摘要】本發(fā)明公開(kāi)了一種配置信息的下發(fā)方法、系統(tǒng)及裝置��,在上述方法中����,中心控制器分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合,其中����,參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟;中心控制器分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道��;中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備��。根據(jù)本發(fā)明提供的技術(shù)方案�����,降低了在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的復(fù)雜度����,提高了數(shù)據(jù)傳輸?shù)陌踩浴?br>
【專利說(shuō)明】配置信息的下發(fā)方法���、系統(tǒng)及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,具體而言���,涉及一種配置信息的下發(fā)方法��、系統(tǒng)及裝置�。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)協(xié)議安全性(Internet Protocol Security,簡(jiǎn)稱為IPSec)是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)����,其可以通過(guò)使用加密的安全服務(wù)以確保在互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而開(kāi)展安全的通訊。
[0003]IPSec并非是一個(gè)單獨(dú)的協(xié)議���,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)�,可以包括:認(rèn)證報(bào)文頭(Authenticat1n Header,簡(jiǎn)稱為AH)協(xié)議���、封裝安全載荷(Encapsulating Security Payload,簡(jiǎn)稱為 ESP)協(xié)議�、因特網(wǎng)密鑰交換(Internet KeyExchange�����,簡(jiǎn)稱為IKE)協(xié)議和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等,其中�����,AH協(xié)議和ESP協(xié)議可以用于提供安全服務(wù)�,而IKE協(xié)議可以用于密鑰交換����。為此,IPSec提供了如下兩種安全機(jī)制:認(rèn)證和加密�����。
[0004]第一種�����、認(rèn)證機(jī)制可以使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否被篡改�����;
[0005]第二種�����、加密機(jī)制可以通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算來(lái)確保數(shù)據(jù)的機(jī)密性���,以防止數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)����。IPSec協(xié)議中的AH協(xié)議定義了認(rèn)證的應(yīng)用方法,提供數(shù)據(jù)源認(rèn)證和完整性保證�����;ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法�����,提供數(shù)據(jù)可靠性保證�����。
[0006]IPSec對(duì)數(shù)據(jù)流提供的安全服務(wù)可以通過(guò)安全聯(lián)盟(SA)來(lái)實(shí)現(xiàn)�����,其中��,可以包括:協(xié)議����、算法��、密鑰等內(nèi)容����,具體確定了如何對(duì)IP報(bào)文進(jìn)行處理����。一個(gè)SA即為兩個(gè)IPSec系統(tǒng)之間的一個(gè)單向邏輯連接�,輸入數(shù)據(jù)流和輸出數(shù)據(jù)流由輸入安全聯(lián)盟與輸出安全聯(lián)盟分別進(jìn)行處理。安全聯(lián)盟由一個(gè)三元組(安全參數(shù)索引(SPI)�、目的IP地址以及安全協(xié)議號(hào))來(lái)唯一標(biāo)識(shí)。
[0007]網(wǎng)絡(luò)虛擬化是以云計(jì)算技術(shù)為基礎(chǔ)隨之發(fā)展而來(lái)的��,并建立在虛擬化技術(shù)的基礎(chǔ)上�。從路由器的設(shè)計(jì)上來(lái)看,其由軟件控制和硬件數(shù)據(jù)通道組成��。軟件控制可以包括:管理(例如:命令行界面(CLI)���、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP))以及路由協(xié)議(例如:開(kāi)放式最短路徑優(yōu)先(0SPF)��、邊界網(wǎng)關(guān)協(xié)議(BGP))�����。數(shù)據(jù)通道可以包括:針對(duì)每個(gè)包的查詢���、交換和緩存���。如果將網(wǎng)絡(luò)中所有的轉(zhuǎn)發(fā)設(shè)備視為被管理的資源,那么參考操作系統(tǒng)的原理��,可以抽象出一個(gè)網(wǎng)絡(luò)操作系統(tǒng)(Network OS)的概念�。該網(wǎng)絡(luò)操作系統(tǒng)一方面抽象了底層轉(zhuǎn)發(fā)設(shè)備的具體細(xì)節(jié),同時(shí)還為上層應(yīng)用提供了統(tǒng)一的管理視圖和編程接口���。如此��,基于網(wǎng)絡(luò)操作系統(tǒng)這個(gè)平臺(tái)�,用戶可以開(kāi)發(fā)各種應(yīng)用程序���,通過(guò)軟件來(lái)定義邏輯上的網(wǎng)絡(luò)拓?fù)?���,以滿足對(duì)網(wǎng)絡(luò)資源的不同需求����,而無(wú)需關(guān)心底層網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)�。
[0008]網(wǎng)絡(luò)虛擬化目前有斯坦福大學(xué)提出的開(kāi)放流表(Openflow)技術(shù)和軟件定義網(wǎng)絡(luò)(Software Defined Network,簡(jiǎn)稱為SDN)架構(gòu)��、互聯(lián)網(wǎng)工程任務(wù)組(InternetEngineering Task Force,簡(jiǎn)稱為 IETF)提出的路由系統(tǒng)接口( Interface to the RoutingSystem���,簡(jiǎn)稱為I2RS)架構(gòu)等�����。上述各項(xiàng)技術(shù)均具有以下三種形態(tài):應(yīng)用控制器��、轉(zhuǎn)發(fā)設(shè)備以及可編程接口����。圖1是根據(jù)相關(guān)技術(shù)的網(wǎng)絡(luò)虛擬化框架示意圖���。如圖1所示,上述三種形態(tài)在SDN架構(gòu)中和Openflow中分別是中央控制器(Controller)����、虛擬交換機(jī)和可編程接口 ;而在I2RS架構(gòu)中則分別是I2RS客戶端�����、轉(zhuǎn)發(fā)設(shè)備、I2RS代理(Agent)���。
[0009]在現(xiàn)有的IPSec技術(shù)中����,安全聯(lián)盟可以通過(guò)手工配置和自動(dòng)協(xié)商兩種方式來(lái)建立�。手工建立安全聯(lián)盟的方式是指用戶可以通過(guò)在兩端手工設(shè)置預(yù)設(shè)參數(shù),在兩端參數(shù)匹配和協(xié)商通過(guò)后建立安全聯(lián)盟���;自動(dòng)協(xié)商方式由IKE生成和維護(hù)��,通信雙方基于各自的安全策略庫(kù)經(jīng)過(guò)匹配和協(xié)商�,最終建立安全聯(lián)盟而不需要用戶的干預(yù)���。
[0010]在多個(gè)路由器需要相互之間建立IPSec安全聯(lián)盟時(shí)�����,無(wú)論是通過(guò)手工配置還是通過(guò)自動(dòng)協(xié)商的方式����,均存在以下兩個(gè)缺陷:
[0011]缺陷一、當(dāng)路由器數(shù)目較為龐大時(shí)��,需要為每一個(gè)路由器進(jìn)行安全聯(lián)盟的相關(guān)配置����,其操作較為繁瑣、復(fù)雜���;
[0012]缺陷二�、若假設(shè)路由器的數(shù)目為n�����,則每?jī)膳_(tái)路由器之間需要建立協(xié)商通道��,則協(xié)商信令通道需要占用(η-1) + (η-2) + (η-3>..+ (η-(η-1))個(gè)�����,即η* (η_1)/2個(gè)通道���。
[0013]不僅如此,在現(xiàn)有的網(wǎng)絡(luò)虛擬化技術(shù)中����,對(duì)于IPSec安全聯(lián)盟的建立���,并沒(méi)有為控制器和轉(zhuǎn)發(fā)設(shè)備之間的可編程接口提供一種切實(shí)可行的方法,并且在目前的網(wǎng)絡(luò)虛擬化技術(shù)中��,可編程接口的安全性考慮不足�,因此,其并不適用于IPSec安全聯(lián)盟的建立�。
【發(fā)明內(nèi)容】
[0014]本發(fā)明提供了一種配置信息的下發(fā)方法、系統(tǒng)及裝置����,以至少解決相關(guān)技術(shù)中在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的方式繁瑣復(fù)雜且安全性較低的問(wèn)題。
[0015]根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種配置信息的下發(fā)方法�����。
[0016]根據(jù)本發(fā)明的配置信息的下發(fā)方法包括:中心控制器分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合��,其中�����,參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟;中心控制器分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道����;中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備。
[0017]優(yōu)選地���,中心控制器分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建互聯(lián)網(wǎng)協(xié)議安全性(IPSec)安全通道���。
[0018]優(yōu)選地,中心控制器與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道包括:中心控制器經(jīng)由預(yù)設(shè)可編程接口與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行因特網(wǎng)密鑰交換(IKE)協(xié)商�����;如果協(xié)商一致�����,中心控制器創(chuàng)建與每個(gè)轉(zhuǎn)發(fā)設(shè)備之間的IPSec安全通道����。
[0019]優(yōu)選地�����,中心控制器經(jīng)由IPSec安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備包括:中心控制器經(jīng)由IPSec安全通道與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行安全連接;中心控制器通過(guò)預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備�����。
[0020]優(yōu)選地�,預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式包括以下之一:電信網(wǎng)絡(luò)協(xié)議(TELNET);安全外殼協(xié)議(SSH);簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP);網(wǎng)絡(luò)配置管理協(xié)議(NETC0NF);用戶端(CPE)廣域網(wǎng)管理協(xié)議(TR069);基于網(wǎng)站公開(kāi)源碼系統(tǒng)(WEB⑶I)的管理方式�����;文件傳輸協(xié)議(FTP);簡(jiǎn)單文件傳輸協(xié)議(TFTP);安全文件傳輸協(xié)議(SFTP);系統(tǒng)日志�����;YANG語(yǔ)言模式����;邊界網(wǎng)關(guān)協(xié)議(BGP)。[0021 ] 優(yōu)選地����,在中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備之后,還包括:多個(gè)轉(zhuǎn)發(fā)設(shè)備中的第一轉(zhuǎn)發(fā)設(shè)備接收到待轉(zhuǎn)發(fā)至多個(gè)轉(zhuǎn)發(fā)設(shè)備中的一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備的數(shù)據(jù)報(bào)文;第一轉(zhuǎn)發(fā)設(shè)備從參數(shù)集合中獲取封裝模式信息和密鑰信息���,并根據(jù)封裝模式信息以及密鑰信息對(duì)待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行加密封裝處理�;第一轉(zhuǎn)發(fā)設(shè)備將經(jīng)過(guò)封裝處理后的數(shù)據(jù)報(bào)文發(fā)送至一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備��。
[0022]優(yōu)選地�,在中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備之后,還包括:一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備從參數(shù)集合中獲取解密信息����,并采用解密信息對(duì)待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行解密處理;一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備將經(jīng)過(guò)解密處理后的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����。
[0023]優(yōu)選地���,在中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備之后��,還包括:中心控制器確定安全聯(lián)盟的生命周期結(jié)束����;中心控制器重新計(jì)算密鑰信息并重新創(chuàng)建參數(shù)集合��,以重新建立安全聯(lián)盟。
[0024]優(yōu)選地��,參數(shù)集合包括以下至少之一:每對(duì)轉(zhuǎn)發(fā)設(shè)備之間的虛擬專用網(wǎng)絡(luò)(VPN)類型��;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全參數(shù)索引(SPI);中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道源互聯(lián)網(wǎng)協(xié)議(IP)地址���;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道目的IP地址;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全協(xié)議���;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝模式����;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密算法���;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的加密密鑰��;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的完整性算法�����;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的完整性密鑰����;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的抗重放窗口大小��;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全聯(lián)盟生命周期類型���;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝安全載荷(ESP)算法模式��;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密模式��。
[0025]根據(jù)本發(fā)明的另一方面���,提供了一種配置信息的下發(fā)系統(tǒng)。
[0026]根據(jù)本發(fā)明的配置信息的下發(fā)系統(tǒng)包括:中心控制器���;中心控制器包括:配置模塊�,用于分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合��,其中�,參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟;創(chuàng)建模塊�,用于分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道;下發(fā)模塊���,用于經(jīng)由IPSec安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備�。
[0027]優(yōu)選地,創(chuàng)建模塊����,用于分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建IPSec安全通道。
[0028]優(yōu)選地�����,創(chuàng)建模塊包括:協(xié)商單元��,用于經(jīng)由預(yù)設(shè)可編程接口與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行IKE協(xié)商���;創(chuàng)建單元,用于在協(xié)商單元輸出為是時(shí)�����,創(chuàng)建與每個(gè)轉(zhuǎn)發(fā)設(shè)備之間的IPSec安全通道��。
[0029]優(yōu)選地�����,下發(fā)模塊包括:連接單元��,用于經(jīng)由IPSec安全通道與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行安全連接;下發(fā)單元��,用于通過(guò)預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備����。
[0030]優(yōu)選地,預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式包括以下之一:TELNET ��;SSH �����;SNMP ���;NETCONF ����;CPE TR069 ;基于WEB⑶I的管理方式��;FTP �;TFTP ;SFTP ;系統(tǒng)日志��;YANG語(yǔ)言模式�;BGP��。
[0031]優(yōu)選地��,上述系統(tǒng)還包括:多個(gè)轉(zhuǎn)發(fā)設(shè)備中的第一轉(zhuǎn)發(fā)設(shè)備��;第一轉(zhuǎn)發(fā)設(shè)備包括:接收模塊�����,用于接收到待轉(zhuǎn)發(fā)至多個(gè)轉(zhuǎn)發(fā)設(shè)備中的一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備的數(shù)據(jù)報(bào)文�;封裝模塊���,用于從參數(shù)集合中獲取封裝模式信息和密鑰信息,并根據(jù)封裝模式信息以及密鑰信息對(duì)待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行加密封裝處理����;發(fā)送模塊,用于將經(jīng)過(guò)封裝處理后的數(shù)據(jù)報(bào)文發(fā)送至一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備��。
[0032]優(yōu)選地����,上述系統(tǒng)還包括:一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備;一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備包括:解密模塊����,用于從參數(shù)集合中獲取解密信息����,并采用解密信息對(duì)待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行解密處理�����;轉(zhuǎn)發(fā)模塊��,用于將經(jīng)過(guò)解密處理后的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����。
[0033]優(yōu)選地��,中心控制器還包括:確定模塊���,用于確定安全聯(lián)盟的生命周期結(jié)束��;創(chuàng)建模塊�����,還用于重新計(jì)算密鑰信息并重新創(chuàng)建參數(shù)集合����,以重新建立安全聯(lián)盟。
[0034]優(yōu)選地�����,參數(shù)集合包括以下至少之一:每對(duì)轉(zhuǎn)發(fā)設(shè)備之間的VPN類型�����;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的SPI ;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道源IP地址���;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道目的IP地址�;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全協(xié)議�;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝模式����;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密算法;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的加密密鑰�;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的完整性算法;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的完整性密鑰����;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的抗重放窗口大?��。恢行目刂破鳛槊總€(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全聯(lián)盟生命周期類型�;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝安全載荷ESP算法模式;中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密模式�。
[0035]根據(jù)本發(fā)明的又一方面,提供了一種配置信息的下發(fā)裝置���。
[0036]根據(jù)本發(fā)明的配置信息的下發(fā)裝置包括:配置模塊�����,用于分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合��,其中�����,參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟�;創(chuàng)建模塊���,用于分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道�;下發(fā)模塊,用于經(jīng)由IPSec安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備����。
[0037]通過(guò)本發(fā)明,采用中心控制器分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合����,其中,參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟�����;中心控制器分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道��;中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備���,由于引入了中心控制器����,原先在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立的安全聯(lián)盟轉(zhuǎn)移到了由中心控制器分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合���,然后與各個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道,從而在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟�����,由此,解決了相關(guān)技術(shù)中在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的方式繁瑣復(fù)雜且安全性較低的問(wèn)題�����,進(jìn)而降低了在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的復(fù)雜度�����,提高了數(shù)據(jù)傳輸?shù)陌踩浴?br>
【專利附圖】
【附圖說(shuō)明】
[0038]此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解��,構(gòu)成本申請(qǐng)的一部分�,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�����。在附圖中:
[0039]圖1是根據(jù)相關(guān)技術(shù)的網(wǎng)絡(luò)虛擬化框架示意圖���;
[0040]圖2是根據(jù)本發(fā)明實(shí)施例的配置信息的下發(fā)方法的流程圖��;
[0041]圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的創(chuàng)建IPSec安全聯(lián)盟的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖�;
[0042]圖4是根據(jù)本發(fā)明實(shí)施例的配置信息的下發(fā)系統(tǒng)的結(jié)構(gòu)框圖���;
[0043]圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的配置信息的下發(fā)系統(tǒng)的結(jié)構(gòu)框圖����;
[0044]圖6是根據(jù)本發(fā)明實(shí)施例的配置信息的下發(fā)裝置的結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0045]下文中將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明���。需要說(shuō)明的是��,在不沖突的情況下����,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合�����。
[0046]圖2是根據(jù)本發(fā)明實(shí)施例的配置信息的下發(fā)方法的流程圖�����。如圖2所示���,該方法可以包括以下處理步驟:
[0047]步驟S202:中心控制器分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合���,其中,參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟����;
[0048]步驟S204:中心控制器分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道;
[0049]步驟S206:中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備�����。
[0050]相關(guān)技術(shù)中����,在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的方式繁瑣復(fù)雜且安全性較低。采用如圖2所示的方法�,中心控制器分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合,該參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟���;中心控制器分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道���;中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備,由于引入了中心控制器�,原先在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立的安全聯(lián)盟轉(zhuǎn)移到了由中心控制器分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合,然后與各個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道�����,從而在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟,由此�,解決了相關(guān)技術(shù)中在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的方式繁瑣復(fù)雜且安全性較低的問(wèn)題,進(jìn)而降低了在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的復(fù)雜度���,提高了數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0051]在優(yōu)選實(shí)施過(guò)程中����,中心控制器分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建IPSec安全通道�。
[0052]優(yōu)選地,在步驟S204中����,中心控制器與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道可以包括以下操作:
[0053]步驟S1:中心控制器經(jīng)由預(yù)設(shè)可編程接口與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行IKE協(xié)商;
[0054]步驟S2:如果協(xié)商一致�����,中心控制器創(chuàng)建與每個(gè)轉(zhuǎn)發(fā)設(shè)備之間的IPSec安全通道�。
[0055]在優(yōu)選實(shí)施例中,以兩個(gè)轉(zhuǎn)發(fā)設(shè)備(即轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2)為例,轉(zhuǎn)發(fā)設(shè)備I通過(guò)靜態(tài)配置與中心控制器之間建立IPSec安全通道����,通過(guò)IKE協(xié)議進(jìn)行IPSec選項(xiàng)的協(xié)商并認(rèn)證通信的每一端以及管理IPSec隧道的會(huì)話密鑰。轉(zhuǎn)發(fā)設(shè)備2通過(guò)靜態(tài)配置與中心控制器之間建立IPSec安全通道���,通過(guò)IKE協(xié)議進(jìn)行IPSec選項(xiàng)的協(xié)商并認(rèn)證通信的每一端以及管理IPSec隧道的會(huì)話密鑰��。在完成上述處理之后����,轉(zhuǎn)發(fā)設(shè)備通過(guò)可編程接口建立的與中心控制器之間的鏈路是安全可靠的���。
[0056]優(yōu)選地�,在步驟S206中�����,中心控制器經(jīng)由IPSec安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備可以包括以下步驟:
[0057]步驟S3:中心控制器經(jīng)由IPSec安全通道與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行安全連接����;
[0058]步驟S4:中心控制器通過(guò)預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備。
[0059]在優(yōu)選實(shí)施例中����,中心控制器通過(guò)網(wǎng)絡(luò)協(xié)議或者管理方式分別下發(fā)每個(gè)轉(zhuǎn)發(fā)設(shè)備所需要的參數(shù)至轉(zhuǎn)發(fā)設(shè)備I以及轉(zhuǎn)發(fā)設(shè)備2。中心控制器通過(guò)網(wǎng)絡(luò)協(xié)議下發(fā)參數(shù)所構(gòu)成的報(bào)文被中心控制器經(jīng)過(guò)IPSec加密處理后變成密文格式在網(wǎng)絡(luò)中進(jìn)行傳輸�,直至報(bào)文到達(dá)轉(zhuǎn)發(fā)設(shè)備。轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2在接收到上述配置報(bào)文之后�����,將該配置報(bào)文進(jìn)行解密處理,然后寫入自身的IPSec模塊的SA表項(xiàng)中��。轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2完成安全聯(lián)盟的建立�。IKE信令通道由轉(zhuǎn)發(fā)設(shè)備之間轉(zhuǎn)移到轉(zhuǎn)發(fā)設(shè)備與中心控制器之間,假設(shè)轉(zhuǎn)發(fā)設(shè)備的數(shù)目為N���,則信令通道的數(shù)目也為N���,由此解決了相關(guān)技術(shù)中IKE信令通道為N的平方的問(wèn)題。此時(shí)轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2之間的數(shù)據(jù)傳送可以進(jìn)行安全加密處理��。
[0060]在優(yōu)選實(shí)施過(guò)程中�,上述預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式可以包括但不限于以下之一:TELNET、SSH��、SNMP����、NETCONF、CPE TR069�、基于 WEB⑶I 的管理方式、FTP、TFTP, SFTP,系統(tǒng)日志�、YANG語(yǔ)言模式、BGP�����。
[0061]優(yōu)選地���,在步驟S206,中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備之后��,還可以包括以下操作:
[0062]步驟S5:多個(gè)轉(zhuǎn)發(fā)設(shè)備中的第一轉(zhuǎn)發(fā)設(shè)備接收到待轉(zhuǎn)發(fā)至多個(gè)轉(zhuǎn)發(fā)設(shè)備中的一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備的數(shù)據(jù)報(bào)文��;
[0063]步驟S6:第一轉(zhuǎn)發(fā)設(shè)備從參數(shù)集合中獲取封裝模式信息和密鑰信息�����,并根據(jù)封裝模式信息以及密鑰信息對(duì)待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行加密封裝處理���;
[0064]步驟S7:第一轉(zhuǎn)發(fā)設(shè)備將經(jīng)過(guò)封裝處理后的數(shù)據(jù)報(bào)文發(fā)送至一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備��。
[0065]在優(yōu)選實(shí)施例中�,當(dāng)有待轉(zhuǎn)發(fā)的數(shù)據(jù)包需要從轉(zhuǎn)發(fā)設(shè)備I發(fā)送至轉(zhuǎn)發(fā)設(shè)備2時(shí)����,轉(zhuǎn)發(fā)設(shè)備I首先可以查找相應(yīng)的SA表項(xiàng)并根據(jù)表項(xiàng)的內(nèi)容將報(bào)文通過(guò)ESP隧道模式和密鑰信息(包括:加密密鑰和完整性密鑰)進(jìn)行加密封裝處理����,然后再發(fā)送到轉(zhuǎn)發(fā)設(shè)備2上��。
[0066]優(yōu)選地���,在步驟S206��,中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備之后����,還可以包括以下步驟:
[0067]步驟S8:—個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備從參數(shù)集合中獲取解密信息���,并采用解密信息對(duì)待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行解密處理�;
[0068]步驟S9:—個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備將經(jīng)過(guò)解密處理后的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����。
[0069]在優(yōu)選實(shí)施例中�����,當(dāng)有待轉(zhuǎn)發(fā)的數(shù)據(jù)包到達(dá)轉(zhuǎn)發(fā)設(shè)備2時(shí),轉(zhuǎn)發(fā)設(shè)備2可以查找相應(yīng)的SA表項(xiàng)并根據(jù)表項(xiàng)的內(nèi)容對(duì)報(bào)文進(jìn)行解密處理����,然后將解密后的報(bào)文轉(zhuǎn)發(fā)出去。
[0070]優(yōu)選地�,在步驟S206,中心控制器經(jīng)由安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備之后��,還可以包括以下步驟:
[0071]步驟SlO:中心控制器確定安全聯(lián)盟的生命周期結(jié)束����;
[0072]步驟Sll:中心控制器重新計(jì)算密鑰信息并重新創(chuàng)建參數(shù)集合,以重新建立安全聯(lián)盟�。
[0073]在優(yōu)選實(shí)施例中��,在安全聯(lián)盟到期時(shí)�����,中心控制器需要重新計(jì)算密鑰信息(包括:加密密鑰和完整性密鑰)��,并重新為各個(gè)轉(zhuǎn)發(fā)設(shè)備創(chuàng)建安全聯(lián)盟��。
[0074]在優(yōu)選實(shí)施過(guò)程中��,上述參數(shù)集合可以包括但不限于以下至少之一:
[0075]每對(duì)轉(zhuǎn)發(fā)設(shè)備之間的VPN類型;
[0076]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的SPI �;
[0077]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道源IP地址;
[0078]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道目的IP地址���;
[0079]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全協(xié)議����;
[0080]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝模式���;
[0081]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密算法����;
[0082]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的加密密鑰��;
[0083]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的完整性算法�;
[0084]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的完整性密鑰;
[0085]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的抗重放窗口大?。?br>
[0086]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全聯(lián)盟生命周期類型����;
[0087]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的ESP算法模式;
[0088]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密模式�。
[0089]需要說(shuō)明的是�,在上述參數(shù)集合中的各項(xiàng)參數(shù)中加密密鑰與完整性密鑰可以由中心控制器自行計(jì)算��,而其他參數(shù)可以由中心控制器為各個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行配置��。
[0090]在優(yōu)選實(shí)施例中����,中心控制器可以為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置如下參數(shù):
[0091]轉(zhuǎn)發(fā)設(shè)備之間的虛擬專用網(wǎng)絡(luò)(Virtual Private Network,簡(jiǎn)稱為VPN)類型,例如:IPSec、二層虛擬專用網(wǎng)(L2VPN)�����;
[0092]中心控制器對(duì)轉(zhuǎn)發(fā)設(shè)備的相關(guān)配置如下:
[0093](I) SPI ��;
[0094](2 ) IPSec 隧道源 IP 地址���;
[0095](3 ) IPSec隧道目的IP地址;
[0096](4)安全協(xié)議�����,例如:AH或者ESP ����;
[0097](5)封裝模式�,例如:傳輸模式或者隧道模式���;
[0098](6)加密算法��;
[0099](7)加密密鑰�����;
[0100](8)完整性算法�����;
[0101](9)完整性密鑰����;
[0102](10)抗重放窗口大?����?���;
[0103](Il)SA生命期類型,例如:時(shí)間�����、字節(jié)、字節(jié)與時(shí)間組合�����;
[0104](12) ESP算法模式���,例如:加密算法或者壓縮算法��;
[0105](13)加密模式���,例如:電子密碼本模式(ECB)、密碼分組鏈接模式(CBC)�、加密反饋模式(CFB )、輸出反饋模式(OFB )��、計(jì)數(shù)(CTR)模式����、輸出反饋模式的變種F8模式�;
[0106]此外,本發(fā)明所提供的技術(shù)方案還可以設(shè)置其他可選參數(shù)��,可以根據(jù)實(shí)際情況具體設(shè)定,此處不再一一贅述�����。
[0107]下面將結(jié)合圖3所示的優(yōu)選實(shí)施方式對(duì)上述優(yōu)選實(shí)施過(guò)程做進(jìn)一步的詳細(xì)描述���。
[0108]圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的創(chuàng)建IPSec安全聯(lián)盟的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖�����。如圖3所示�����,轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2需要建立安全聯(lián)盟�����,并采用IPSec方式建立安全傳輸通道�。轉(zhuǎn)發(fā)設(shè)備I與轉(zhuǎn)發(fā)設(shè)備2分別通過(guò)可編程接口和中心控制器相連接���,并通過(guò)中心控制器下發(fā)的參數(shù)創(chuàng)建IPSec安全聯(lián)盟�����。
[0109]第一步�、由中心控制器進(jìn)行參數(shù)配置,其中�,具體可以包括:
[0110](I)綜合配置:
[0111]配置轉(zhuǎn)發(fā)設(shè)備I與轉(zhuǎn)發(fā)設(shè)備2之間的VPN類型為IPSec ;
[0112]配置SNMP客戶端���。
[0113](2)轉(zhuǎn)發(fā)設(shè)備配置:
[0114]配置轉(zhuǎn)發(fā)設(shè)備I的SPI值為1024�����,轉(zhuǎn)發(fā)設(shè)備2的SPI值為2048 �;
[0115]配置轉(zhuǎn)發(fā)設(shè)備I的IPSec隧道源IP地址為202.1.1.1��,IPSec隧道目的IP地址為202.1.2.1 ����;
[0116]配置轉(zhuǎn)發(fā)設(shè)備2的IPSec隧道源IP地址為202.1.2.1,IPSec隧道目的IP地址為202.1.1.1 ��;
[0117]配置轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2之間的安全協(xié)議為ESP �;
[0118]配置轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2之間的IPSec封裝模式為隧道模式;
[0119]配置轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2之間的加密算法為DEs ���;
[0120]配置轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2之間的加密密鑰為X (56位二進(jìn)制數(shù))�;
[0121]配置轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2的抗重放窗口大小均為64 �;
[0122]配置轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2的SA生命期類型為2400秒;
[0123]配置轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2的ESP算法模式為加密算法�����;
[0124]配置轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2的加密模式為ECB���。
[0125](3)轉(zhuǎn)發(fā)設(shè)備I上的參數(shù)配置:
[0126]配置轉(zhuǎn)發(fā)設(shè)備I與中心控制器的接口為FEI_1/1���,并進(jìn)行IPSec VPN及IKE的配置;
[0127]開(kāi)放FEI_1/1 的 SNMP 功能�。
[0128](4)轉(zhuǎn)發(fā)設(shè)備2上的參數(shù)配置:
[0129]配置轉(zhuǎn)發(fā)設(shè)備2與中心控制器的接口為FEI_l/2,并進(jìn)行IPSec VPN及IKE的配置�����;
[0130]開(kāi)放FEI_l/2 的 SNMP 功能��。
[0131]第二步��、中心控制器與轉(zhuǎn)發(fā)設(shè)備I的FEI_1/1接口通過(guò)IKE協(xié)商密鑰并創(chuàng)建IPSec安全通道��。
[0132]第三步、中心控制器與轉(zhuǎn)發(fā)設(shè)備2的FEI_l/2接口通過(guò)IKE協(xié)商密鑰并創(chuàng)建IPSec安全通道�����。
[0133]第四步�����、中心控制器通過(guò)管理信息庫(kù)(MIB)軟件����,經(jīng)由第二步創(chuàng)建的IPSec安全通道,安全地連接到轉(zhuǎn)發(fā)設(shè)備I上�。
[0134]第五步、中心控制器通過(guò)MIB軟件����,經(jīng)由第二步創(chuàng)建的IPSec安全通道,將中心控制器上關(guān)于轉(zhuǎn)發(fā)設(shè)備I的配置信息安全地寫入轉(zhuǎn)發(fā)設(shè)備I的IPSec SA表中��。
[0135]第六步����、中心控制器通過(guò)MIB軟件,經(jīng)由第三步創(chuàng)建的IPSec安全通道��,安全地連接到轉(zhuǎn)發(fā)設(shè)備2上。
[0136]第七步�����、中心控制器通過(guò)MIB軟件���,經(jīng)由第三步創(chuàng)建的IPSec安全通道,將中心控制器上關(guān)于轉(zhuǎn)發(fā)設(shè)備2的配置信息安全地寫入轉(zhuǎn)發(fā)設(shè)備2的IPSec SA表中��。
[0137]第八步�����、當(dāng)有待轉(zhuǎn)發(fā)的數(shù)據(jù)包需要從轉(zhuǎn)發(fā)設(shè)備I發(fā)送至轉(zhuǎn)發(fā)設(shè)備2時(shí)���,轉(zhuǎn)發(fā)設(shè)備I首先可以查找相應(yīng)的SA表項(xiàng)并根據(jù)表項(xiàng)的內(nèi)容將報(bào)文通過(guò)ESP隧道模式進(jìn)行加密封裝�����,然后發(fā)送到轉(zhuǎn)發(fā)設(shè)備2上�。
[0138]第九步�、當(dāng)有待轉(zhuǎn)發(fā)的數(shù)據(jù)包到達(dá)轉(zhuǎn)發(fā)設(shè)備2時(shí),轉(zhuǎn)發(fā)設(shè)備2可以查找相應(yīng)的SA表項(xiàng)并根據(jù)表項(xiàng)的內(nèi)容將報(bào)文進(jìn)行解密處理����,然后轉(zhuǎn)發(fā)出去�����。
[0139]第十步��、當(dāng)2400秒過(guò)后�����,SA的生命期結(jié)束時(shí)���,中心控制器將會(huì)重新計(jì)算密鑰并下發(fā)新的SA到轉(zhuǎn)發(fā)設(shè)備I和轉(zhuǎn)發(fā)設(shè)備2。
[0140]綜上所述�,轉(zhuǎn)發(fā)設(shè)備I與轉(zhuǎn)發(fā)設(shè)備2通過(guò)中心控制器創(chuàng)建了 IPSec SA并對(duì)該IPSecSA進(jìn)行管理。
[0141]圖4是根據(jù)本發(fā)明實(shí)施例的配置信息的下發(fā)系統(tǒng)的結(jié)構(gòu)框圖�����。如圖4所示����,該配置信息的下發(fā)系統(tǒng)可以包括:中心控制器10 ;中心控制器10可以包括:配置模塊100,用于分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合�����,其中,參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟�;創(chuàng)建模塊102,用于分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道���;下發(fā)模塊104��,用于經(jīng)由IPSec安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備。
[0142]采用如圖4所示的系統(tǒng)�,解決了相關(guān)技術(shù)中在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的方式繁瑣復(fù)雜且安全性較低的問(wèn)題,進(jìn)而降低了在多個(gè)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟的復(fù)雜度����,提高了數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0143]優(yōu)選地,創(chuàng)建模塊102����,用于分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建IPSec安全通道。
[0144]優(yōu)選地���,創(chuàng)建模塊102可以包括:協(xié)商單元(圖中未示出)��,用于經(jīng)由預(yù)設(shè)可編程接口與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行IKE協(xié)商����;創(chuàng)建單元(圖中未示出),用于在協(xié)商單元輸出為是時(shí)�����,創(chuàng)建與每個(gè)轉(zhuǎn)發(fā)設(shè)備之間的IPSec安全通道���。
[0145]優(yōu)選地�����,下發(fā)模塊104可以包括:連接單元(圖中未示出)����,用于經(jīng)由IPSec安全通道與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行安全連接���;下發(fā)單元(圖中未示出)����,用于通過(guò)預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備��。
[0146]在優(yōu)選實(shí)施過(guò)程中����,上述預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式可以包括但不限于以下之一:TELNET���、SSH、SNMP�、NETCONF、CPE TR069����、基于 WEB⑶I 的管理方式、FTP����、TFTP, SFTP,系統(tǒng)日志�、YANG語(yǔ)言模式、BGP���。
[0147]優(yōu)選地����,如圖5所示����,上述系統(tǒng)還可以包括:多個(gè)轉(zhuǎn)發(fā)設(shè)備中的第一轉(zhuǎn)發(fā)設(shè)備20 ����;第一轉(zhuǎn)發(fā)設(shè)備20可以包括:接收模塊200�,用于接收到待轉(zhuǎn)發(fā)至多個(gè)轉(zhuǎn)發(fā)設(shè)備中的一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備的數(shù)據(jù)報(bào)文;封裝模塊202�����,用于從參數(shù)集合中獲取封裝模式信息和密鑰信息����,并根據(jù)封裝模式信息以及密鑰信息對(duì)待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行加密封裝處理;發(fā)送模塊204����,用于將經(jīng)過(guò)封裝處理后的數(shù)據(jù)報(bào)文發(fā)送至一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備。
[0148]優(yōu)選地���,如圖5所示����,上述系統(tǒng)還可以包括:一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備30 ;—個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備30可以包括:解密模塊300���,用于從參數(shù)集合中獲取解密信息�,并采用解密信息對(duì)待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行解密處理;轉(zhuǎn)發(fā)模塊302���,用于將經(jīng)過(guò)解密處理后的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)���。
[0149]優(yōu)選地,如圖5所示��,中心控制器還可以包括:確定模塊106�����,用于確定安全聯(lián)盟的生命周期結(jié)束���;創(chuàng)建模塊108��,還用于重新計(jì)算密鑰信息并重新創(chuàng)建參數(shù)集合��,以重新建立安全聯(lián)盟。
[0150]在優(yōu)選實(shí)施過(guò)程中����,上述參數(shù)集合可以包括但不限于以下至少之一:
[0151]每對(duì)轉(zhuǎn)發(fā)設(shè)備之間的VPN類型;
[0152]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的SPI �����;
[0153]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道源IP地址;
[0154]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道目的IP地址�;
[0155]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全協(xié)議;
[0156]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝模式�����;
[0157]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密算法���;
[0158]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的加密密鑰����;
[0159]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的完整性算法�����;
[0160]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的完整性密鑰��;
[0161]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的抗重放窗口大?�?;
[0162]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全聯(lián)盟生命周期類型;
[0163]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的ESP算法模式;
[0164]中心控制器為每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密模式���。
[0165]圖6是根據(jù)本發(fā)明實(shí)施例的配置信息的下發(fā)裝置的結(jié)構(gòu)框圖�����。如圖6所示�,該配置信息的下發(fā)裝置可以包括:配置模塊600���,用于分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合�,其中���,參數(shù)集合用于在多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟���;創(chuàng)建模塊602,用于分別與每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道���;下發(fā)模塊604�����,用于經(jīng)由IPSec安全通道將參數(shù)集合下發(fā)至每個(gè)轉(zhuǎn)發(fā)設(shè)備。
[0166]從以上的描述中,可以看出��,上述實(shí)施例實(shí)現(xiàn)了如下技術(shù)效果(需要說(shuō)明的是這些效果是某些優(yōu)選實(shí)施例可以達(dá)到的效果):本發(fā)明提供了一種創(chuàng)建IPSec SA的技術(shù)方案��,尤其是針對(duì)基于網(wǎng)絡(luò)虛擬化架構(gòu)下的創(chuàng)建IPSec SA的技術(shù)方案��。由此��,不僅解決了相關(guān)技術(shù)中當(dāng)路由器的數(shù)目較為龐大時(shí)�����,其配置工作較為繁瑣��、復(fù)雜的問(wèn)題��,而且簡(jiǎn)化了轉(zhuǎn)發(fā)設(shè)備之間需要建立繁多的IKE信令報(bào)文的交互過(guò)程�,減少了帶寬占用;此外�,還可以解決轉(zhuǎn)發(fā)設(shè)備和中心控制器之間傳輸高級(jí)別參數(shù)的安全性問(wèn)題,同時(shí)約定了在網(wǎng)絡(luò)虛擬化框架下�,中心控制器對(duì)轉(zhuǎn)發(fā)設(shè)備IPSec配置參數(shù)。
[0167]顯然�,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)����,它們可以集中在單個(gè)的計(jì)算裝置上����,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上����,可選地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)�,從而,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行����,并且在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟��,或者將它們分別制作成各個(gè)集成電路模塊���,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)�。這樣���,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合�。
[0168]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已�����,并不用于限制本發(fā)明�,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō),本發(fā)明可以有各種更改和變化�。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改���、等同替換����、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
【權(quán)利要求】
1.一種配置信息的下發(fā)方法,其特征在于���,包括: 中心控制器分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合��,其中����,所述參數(shù)集合用于在所述多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟; 所述中心控制器分別與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道����; 所述中心控制器經(jīng)由所述安全通道將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述中心控制器分別與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建互聯(lián)網(wǎng)協(xié)議安全性IPSec安全通道�。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于�����,所述中心控制器與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建所述安全通道包括: 所述中心控制器經(jīng)由預(yù)設(shè)可編程接口與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行因特網(wǎng)密鑰交換IKE協(xié)商��; 如果協(xié)商一致�,所述中心控制器創(chuàng)建與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備之間的所述IPSec安全通道。
4.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,所述中心控制器經(jīng)由所述IPSec安全通道將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備包括: 所述中心控制器經(jīng)由所述IPSec安全通道與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行安全連接��; 所述中心控制器通過(guò)預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備����。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于,所述預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者所述預(yù)設(shè)管理方式包括以下之一: 電信網(wǎng)絡(luò)協(xié)議TELNET ���; 安全外殼協(xié)議SSH �; 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP ����; 網(wǎng)絡(luò)配置管理協(xié)議NETCONF ; 用戶端CPE廣域網(wǎng)管理協(xié)議TR069 ����; 基于網(wǎng)站公開(kāi)源碼系統(tǒng)WEB⑶I的管理方式; 文件傳輸協(xié)議FTP ��; 簡(jiǎn)單文件傳輸協(xié)議TFTP ��; 安全文件傳輸協(xié)議SFTP ����; 系統(tǒng)日志����; YANG語(yǔ)言模式�; 邊界網(wǎng)關(guān)協(xié)議BGP。
6.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,在所述中心控制器經(jīng)由所述安全通道將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備之后,還包括: 所述多個(gè)轉(zhuǎn)發(fā)設(shè)備中的第一轉(zhuǎn)發(fā)設(shè)備接收到待轉(zhuǎn)發(fā)至所述多個(gè)轉(zhuǎn)發(fā)設(shè)備中的一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備的數(shù)據(jù)報(bào)文����; 所述第一轉(zhuǎn)發(fā)設(shè)備從所述參數(shù)集合中獲取封裝模式信息和密鑰信息,并根據(jù)所述封裝模式信息以及所述密鑰信息對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行加密封裝處理�; 所述第一轉(zhuǎn)發(fā)設(shè)備將經(jīng)過(guò)所述封裝處理后的數(shù)據(jù)報(bào)文發(fā)送至所述一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備。
7.根據(jù)權(quán)利要求6所述的方法�,其特征在于,在所述中心控制器經(jīng)由所述安全通道將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備之后���,還包括: 所述一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備從所述參數(shù)集合中獲取解密信息�����,并采用所述解密信息對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行解密處理����; 所述一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備將經(jīng)過(guò)所述解密處理后的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
8.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,在所述中心控制器經(jīng)由所述安全通道將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備之后,還包括: 所述中心控制器確定所述安全聯(lián)盟的生命周期結(jié)束���; 所述中心控制器重新計(jì)算密鑰信息并重新創(chuàng)建所述參數(shù)集合,以重新建立安全聯(lián)盟���。
9.根據(jù)權(quán)利要求1至8中任一項(xiàng)所述的方法��,其特征在于�����,所述參數(shù)集合包括以下至少之一: 每對(duì)轉(zhuǎn)發(fā)設(shè)備之間的虛擬專用網(wǎng)絡(luò)VPN類型����; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全參數(shù)索引SPI �����; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道源互聯(lián)網(wǎng)協(xié)議IP地址; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道目的IP地址����; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全協(xié)議; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝模式����; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密算法; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的加密密鑰�; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的完整性算法; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的完整性密鑰���; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的抗重放窗口大?�?���; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全聯(lián)盟生命周期類型��; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝安全載荷ESP算法模式���; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密模式�。
10.一種配置信息的下發(fā)系統(tǒng),其特征在于����,包括:中心控制器; 所述中心控制器包括: 配置模塊���,用于分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合�����,其中�����,所述參數(shù)集合用于在所述多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟; 創(chuàng)建模塊�,用于分別與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道; 下發(fā)模塊����,用于經(jīng)由所述IPSec安全通道將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)�,其特征在于,所述創(chuàng)建模塊,用于分別與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建互聯(lián)網(wǎng)協(xié)議安全性IPSec安全通道�����。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)�,其特征在于,所述創(chuàng)建模塊包括: 協(xié)商單元���,用于經(jīng)由預(yù)設(shè)可編程接口與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行因特網(wǎng)密鑰交換IKE協(xié)商��; 創(chuàng)建單元�����,用于在所述協(xié)商單元輸出為是時(shí)����,創(chuàng)建與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備之間的所述IPSec安全通道�。
13.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于��,所述下發(fā)模塊包括: 連接單元���,用于經(jīng)由所述IPSec安全通道與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行安全連接����; 下發(fā)單元,用于通過(guò)預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者預(yù)設(shè)管理方式將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備��。
14.根據(jù)權(quán)利要求13所述的系統(tǒng)�����,其特征在于����,所述預(yù)設(shè)網(wǎng)絡(luò)協(xié)議或者所述預(yù)設(shè)管理方式包括以下之一: 電信網(wǎng)絡(luò)協(xié)議TELNET ; 安全外殼協(xié)議SSH ��; 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP �; 網(wǎng)絡(luò)配置管理協(xié)議NETCONF ; 用戶端CPE廣域網(wǎng)管理協(xié)議TR069 �����; 基于網(wǎng)站公開(kāi)源碼系統(tǒng)WEB⑶I的管理方式����; 文件傳輸協(xié)議FTP �; 簡(jiǎn)單文件傳輸協(xié)議TFTP ; 安全文件傳輸協(xié)議SFTP ; 系統(tǒng)日志�; YANG語(yǔ)言模式; 邊界網(wǎng)關(guān)協(xié)議BGP��。
15.根據(jù)權(quán)利要求10所述的系統(tǒng)�����,其特征在于�,所述系統(tǒng)還包括:所述多個(gè)轉(zhuǎn)發(fā)設(shè)備中的第一轉(zhuǎn)發(fā)設(shè)備; 所述第一轉(zhuǎn)發(fā)設(shè)備包括: 接收模塊����,用于接收到待轉(zhuǎn)發(fā)至所述多個(gè)轉(zhuǎn)發(fā)設(shè)備中的一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備的數(shù)據(jù)報(bào)文; 封裝模塊�����,用于從所述參數(shù)集合中獲取封裝模式信息和密鑰信息��,并根據(jù)所述封裝模式信息以及所述密鑰信息對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行加密封裝處理����; 發(fā)送模塊,用于將經(jīng)過(guò)所述封裝處理后的數(shù)據(jù)報(bào)文發(fā)送至所述一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備�����。
16.根據(jù)權(quán)利要求15所述的系統(tǒng),其特征在于����,所述系統(tǒng)還包括:所述一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備; 所述一個(gè)或多個(gè)第二轉(zhuǎn)發(fā)設(shè)備包括: 解密模塊�,用于從所述參數(shù)集合中獲取解密信息,并采用所述解密信息對(duì)所述待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文進(jìn)行解密處理�; 轉(zhuǎn)發(fā)模塊,用于將經(jīng)過(guò)所述解密處理后的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)���。
17.根據(jù)權(quán)利要求10所述的系統(tǒng)�����,其特征在于����,所述中心控制器還包括: 確定模塊���,用于確定所述安全聯(lián)盟的生命周期結(jié)束��; 所述創(chuàng)建模塊��,還用于重新計(jì)算密鑰信息并重新創(chuàng)建所述參數(shù)集合�,以重新建立安全聯(lián)盟��。
18.根據(jù)權(quán)利要求10至17中任一項(xiàng)所述的系統(tǒng)��,其特征在于����,所述參數(shù)集合包括以下至少之一: 每對(duì)轉(zhuǎn)發(fā)設(shè)備之間的虛擬專用網(wǎng)絡(luò)VPN類型; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全參數(shù)索引SPI ���; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道源互聯(lián)網(wǎng)協(xié)議IP地址��; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的IPSec隧道目的IP地址���; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全協(xié)議; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝模式����; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密算法; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的加密密鑰����; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的完整性算法��; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備計(jì)算的完整性密鑰���; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的抗重放窗口大小����; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的安全聯(lián)盟生命周期類型; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的封裝安全載荷ESP算法模式����; 所述中心控制器為所述每個(gè)轉(zhuǎn)發(fā)設(shè)備配置的加密模式。
19.一種配置信息的下發(fā)裝置�,其特征在于,包括: 配置模塊���,用于分別為多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每個(gè)轉(zhuǎn)發(fā)設(shè)備配置參數(shù)集合���,其中,所述參數(shù)集合用于在所述多個(gè)轉(zhuǎn)發(fā)設(shè)備中的每對(duì)轉(zhuǎn)發(fā)設(shè)備之間建立安全聯(lián)盟�����; 創(chuàng)建模塊,用于分別與所述每個(gè)轉(zhuǎn)發(fā)設(shè)備進(jìn)行協(xié)商并創(chuàng)建安全通道����; 下發(fā)模塊,用于經(jīng)由所述IPSec安全通道將所述參數(shù)集合下發(fā)至所述每個(gè)轉(zhuǎn)發(fā)設(shè)備����。
【文檔編號(hào)】H04L29/06GK104283701SQ201310277643
【公開(kāi)日】2015年1月14日 申請(qǐng)日期:2013年7月3日 優(yōu)先權(quán)日:2013年7月3日
【發(fā)明者】孟偉, 宗在峰 申請(qǐng)人:中興通訊股份有限公司