專利名稱:用于路由協(xié)議的密鑰管理方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)中的路由安全技術(shù),具體而言�����,涉及一種用于路由協(xié)議的密鑰管理方法和系統(tǒng)���。
背景技術(shù):
路由器是現(xiàn)代IP網(wǎng)路最重要和核心的組成設(shè)備,為數(shù)據(jù)包的傳輸提供路由信息�����。 路由器依靠在其上運行的路由協(xié)議進行路由信息的收集并計算和管理最佳路由����。由于路由信息在網(wǎng)絡(luò)中是明文傳播的��,偽造和篡改路由消息包非常容易。如果路由器接受這種路由消息包����,將產(chǎn)生錯誤的路由,導(dǎo)致部分或全部網(wǎng)絡(luò)數(shù)據(jù)包無法到達指定目的地或接收者���,數(shù)據(jù)業(yè)務(wù)無法正常進行。因此����,需要對路由消息進行完整性保護。目前絕大部分的路由協(xié)議都提供完整性保護機制��,而實施該機制需要一套密鑰材料�����,被稱之為安全聯(lián)盟(SA)����,對于路由協(xié)議而言,主要包括完整性算法和密鑰���。當前主要使用的路由協(xié)議都沒有提供SA的協(xié)商機制,而是靠被稱之為管理員(administrator)的人進行手動配置和更新���。人手動配置和更新存在的問題是�����,一方面不可靠����、容易出錯,另一方面速度慢�,不適用于現(xiàn)代大規(guī)模網(wǎng)絡(luò)。隨著攻擊者計算能力的提高和攻擊技術(shù)的層出不窮��,網(wǎng)絡(luò)遭受攻擊和破壞的概率和頻率也越來越高�,而業(yè)務(wù)價值快速增長的現(xiàn)代網(wǎng)絡(luò)為此付出的代價也越來越大,因此��,網(wǎng)絡(luò)運營者一方面要預(yù)防網(wǎng)絡(luò)攻擊和破壞�����,另一方面在網(wǎng)絡(luò)遭受攻擊和破壞的情況下要快速恢復(fù)和修復(fù)���,這就需要為路由器及路由協(xié)議提供自動密鑰管理的功能���,實現(xiàn)密鑰材料的自動配置���、更新和協(xié)商����,也即實現(xiàn)路由安全的密鑰管理協(xié)議(KMP)?����?梢?���,根據(jù)現(xiàn)有的技術(shù),無法通過由系統(tǒng)自動實現(xiàn)路由協(xié)議的SA的協(xié)商和生成�����, 從而降低了配置SA時的效率和正確性����。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)中用于路由協(xié)議的SA的協(xié)商方法導(dǎo)致的效率和正確性較低的問題而提出本發(fā)明,為此����,本發(fā)明的主要目的在于提供一種用于路由協(xié)議的密鑰管理方法和系統(tǒng)���,以解決上述問題至少之一。為了實現(xiàn)上述目的��,根據(jù)本發(fā)明的一個方面��,提供了一種用于路由協(xié)議的密鑰管理方法�,其包括擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2 ;使用擴展后的上述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA ��;使用生成的上述SA對路由協(xié)議進行密鑰管理�,并對基于上述路由協(xié)議的路由消息的傳輸實施保護。進一步地�,上述擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2的步驟包括以下之一在上述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段;或者在上述IKEv2中增加用于路由協(xié)議的SA載荷���,其中���,上述用于路由協(xié)議的SA載荷中攜帶與路由協(xié)議相關(guān)的字段。進一步地���,在上述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段包括在上述原有SA載荷中的提議子結(jié)構(gòu)ProposalSubstructure中增加用于路由協(xié)議的協(xié)議標識符字段和密鑰標識符字段���;在上述原有SA載荷中的變換子結(jié)構(gòu)Transform Substructure中增加用于路由協(xié)議的變換類型字段���、變換標識符字段;在上述變換子結(jié)構(gòu)Transform Substructure中屬性類型中增加用于路由協(xié)議的密鑰長度字段和SA的生存時間字段�。進一步地,上述擴展互聯(lián)網(wǎng) 密鑰交換協(xié)議第二版IKEv2的步驟還包括在上述 IKEv2中增加用于路由協(xié)議的交換類型�,其中����,上述交換類型用于指示在上述交換類型對應(yīng)的交換中使用增加了與路由協(xié)議相關(guān)的字段的上述原有SA載荷。進一步地���,在上述IKEv2中增加用于路由協(xié)議的SA載荷包括構(gòu)建與上述原有SA 載荷的結(jié)構(gòu)相同的SA載荷���;在上述構(gòu)建的SA載荷中的提議子結(jié)構(gòu)Proposal Substructure 中增加用于路由協(xié)議的SA的生存時間字段以及上述生存時間長度字段;在上述構(gòu)建的SA 載荷中的提議子結(jié)構(gòu)Proposal Substructure中將SPI大小字段替換成用于路由協(xié)議的密鑰標識符字段����,并將SPI字段替換成用于路由協(xié)議的密鑰標識符字段。進一步地����,上述擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2的步驟還包括在上述 IKEv2中增加用于路由協(xié)議的交換類型,其中,上述交換類型用于指示在上述交換類型對應(yīng)的交換中使用上述增加的用于路由協(xié)議的SA載荷�。進一步地,使用擴展后的上述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA的步驟包括使用上述IKEv2協(xié)商生成用于建立安全通道的SA ����;使用生成的SA建立安全通道;在上述安全通道上使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA�����。進一步地�����,使用擴展后的上述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA的步驟包括第一路由器將其支持的一組或多組上述與路由協(xié)議相關(guān)的字段中的每一組填入到上述擴展后的IKEv2中對應(yīng)的字段中��;上述第一路由器通過上述擴展后的IKEv2將上述一組或多組上述與路由協(xié)議相關(guān)的字段發(fā)送給與上述第一路由器對等的第二路由器����;上述第二路由器從上述一組或多組與路由協(xié)議相關(guān)的字段中選擇一組與路由協(xié)議相關(guān)的字段,并通過上述擴展后的IKEv2發(fā)送給上述第一路由器�;上述第一路由器與上述第二路由器將上述選擇的一組與路由協(xié)議相關(guān)的字段構(gòu)建成用于上述第一路由器與上述第二路由器之間通信使用的路由協(xié)議的SA。為了實現(xiàn)上述目的���,根據(jù)本發(fā)明的另一方面�,提供了一種用于路由協(xié)議的密鑰管理系統(tǒng),其包括擴展單元����,用于擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2 ;協(xié)商單元�,用于使用擴展后的上述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA ;處理單元��,用于使用生成的上述SA對路由協(xié)議進行密鑰管理��,并對基于上述路由協(xié)議的路由消息的傳輸實施保護����。進一步地��,上述擴展單元包括第一擴展模塊����,用于在上述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段;第二擴展模塊���,用于在上述IKEv2中增加用于路由協(xié)議的SA 載荷����,其中,上述用于路由協(xié)議的SA載荷中攜帶與路由協(xié)議相關(guān)的字段���。進一步地��,上述第一擴展模塊包括第一處理子模塊���,用于在上述原有SA載荷中的提議子結(jié)構(gòu)Proposal Substructure中增加用于路由協(xié)議的協(xié)議標識符字段和密鑰標識符字段;第二處理子模塊�,用于在上述原有SA載荷中的變換子結(jié)構(gòu)Transform Substructure中增加用于路由協(xié)議的變換類型字段、變換標識符字段�����;第三處理子模塊���, 用于在上述變換子結(jié)構(gòu)Transform Substructure中屬性類型中增加用于路由協(xié)議的密鑰長度字段和SA的生存時間字段����。進一步地���,上述第二擴展模塊包括構(gòu)建子模塊�,用于構(gòu)建與上述原有SA載荷的結(jié)構(gòu)相同的SA載荷����;第三處理子模塊��,用于在上述構(gòu)建的SA載荷中的提議子結(jié)構(gòu)ProposalSubstructure中增加用于路由協(xié)議的SA的生存時間字段以及上述生存時間長度字段����;第四處理子模塊��,用于在上述構(gòu)建的SA載荷中的提議子結(jié)構(gòu)Proposal Substructure中將 SPI大小字段替換成用于路由協(xié)議的密鑰標識符字段���,并將SPI字段替換成用于路由協(xié)議的密鑰標識符字段����。進一步地��,上述擴展單元包括第三擴展模塊��,用于在上述IKEv2中增加用于路由協(xié)議的交換類型���,其中,上述交換類型用于指示在上述交換類型對應(yīng)的交換中使用上述增加了 與路由協(xié)議相關(guān)的字段的IKEv2的原有SA載荷�����,或者,使用上述增加的用于路由協(xié)議的SA載荷��。進一步地����,上述協(xié)商單元包括第一協(xié)商模塊,用于使用上述IKEv2協(xié)商生成用于建立安全通道的SA �����;建立模塊����,用于使用生成的SA建立安全通道;第二協(xié)商模塊�,用于在上述安全通道上使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA。進一步地��,上述協(xié)商單元包括位于第一路由器上的第三協(xié)商模塊以及位于與上述第一路由器對等的第二路由器上的第四協(xié)商模塊�,其中,上述第三協(xié)商模塊�����,用于將上述第一路由器支持的一組或多組上述與路由協(xié)議相關(guān)的字段中的每一組填入到上述擴展后的IKEv2中對應(yīng)的字段中��,通過上述擴展后的IKEv2將上述一組或多組上述與路由協(xié)議相關(guān)的字段發(fā)送給與上述第四協(xié)商模塊,并將由上述第四協(xié)商模塊選擇的一組與路由協(xié)議相關(guān)的字段構(gòu)建成用于上述第一路由器與上述第二路由器之間通信使用的路由協(xié)議的SA ��; 上述第四協(xié)商模塊�����,用于從上述一組或多組與路由協(xié)議相關(guān)的字段中選擇一組與路由協(xié)議相關(guān)的字段�,通過上述擴展后的IKEv2發(fā)送給上述第三協(xié)商模塊,并將上述選擇的一組與路由協(xié)議相關(guān)的字段構(gòu)建成用于上述第一路由器與上述第二路由器之間通信使用的路由協(xié)議的SA���。為了實現(xiàn)上述目的�����,根據(jù)本發(fā)明的又一方面���,提供了另一種用于路由協(xié)議的密鑰管理系統(tǒng),其包括彼此兩兩相連的KMP單元��、路由協(xié)議單元和密鑰庫單元�����,其中���,上述KMP 單元��,用于對互聯(lián)網(wǎng)密鑰交換第二版IKEv2進行擴展,并使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA;上述路由協(xié)議單元�����,用于為運行的路由協(xié)議與上述KMP單元��、上述密鑰庫單元提供交互和接口功能����;上述密鑰庫單元,用于存儲上述KMP單元和上述路由協(xié)議單元使用的密鑰材料���。進一步地��,上述KMP單元包括SA生成模塊��、SA使用策略模塊和SA庫模塊��,其中�����, 上述SA生成模塊����,用于根據(jù)上述SA使用策略模塊的指令調(diào)用上述擴展后的IKEv2來協(xié)商生成用于路由協(xié)議的SA ;上述SA庫模塊����,用于存放并管理由上述SA生成模塊協(xié)商生成的 SA ;上述SA使用策略模塊���,用于通過指令指導(dǎo)上述SA生成模塊協(xié)商生成SA����,并通過指令指導(dǎo)上述SA庫模塊對SA的存取���。進一步地���,上述SA生成模塊包括第一擴展子模塊,用于在上述IKEv2的原有SA 載荷中增加與路由協(xié)議相關(guān)的字段��;第二擴展子模塊��,用于在上述IKEv2中增加用于路由協(xié)議的SA載荷�����,其中,上述用于路由協(xié)議的SA載荷中攜帶與路由協(xié)議相關(guān)的字段���。進一步地�����,上述SA生成模塊還包括第三擴展模塊��,用于在上述IKEv2中增加用于路由協(xié)議的交換類型���,其中���,上述交換類型用于指示在上述交換類型對應(yīng)的交換中使用上述增加了與路由協(xié)議相關(guān)的字段的IKEv2的原有SA載荷�,或者�����,使用上述增加的用于路由協(xié)議的SA載荷�。
通過本發(fā)明�,采用擴展后的IKEv2來協(xié)商生成用于路由協(xié)議的SA,解決了現(xiàn)有技術(shù)中用于路由協(xié)議的SA的協(xié)商方法導(dǎo)致的效率和正確性較低的問題����,進而達到了路由消息的傳送更為安全可靠的效果���。本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述��,并且�,部分地從說明書中變得顯而易見���,或者通過實施本發(fā)明而了解���。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書����、權(quán)利要求書、以及附 圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得��。
此處所說明的附圖用來提供對本發(fā)明的進一步理解,構(gòu)成本申請的一部分�,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當限定�����。在附圖中圖1是根據(jù)本發(fā)明實施例的用于路由協(xié)議的密鑰管理系統(tǒng)的一種優(yōu)選示意圖����;圖2是圖1所示的系統(tǒng)中的KMP單元的結(jié)構(gòu)示意圖��;圖3是圖1所示的KMP單元的數(shù)據(jù)處理流程示意圖�;圖4是根據(jù)本發(fā)明實施例的用于路由協(xié)議的密鑰管理方法的一種優(yōu)選流程圖;圖5是根據(jù)本發(fā)明實施例的IKEv2中的SA載荷及其子結(jié)構(gòu)相關(guān)字段的示意圖�����;圖6是根據(jù)本發(fā)明實施例的對IKEv2中的SA載荷及其子結(jié)構(gòu)相關(guān)字段的擴展的示意圖�;圖7是根據(jù)本發(fā)明實施例的基于IKEv2的SA載荷擴展的兩個KMP對等體的0SPFv2 SA協(xié)商流程示意圖;圖8是根據(jù)本發(fā)明實施例的基于IKEv2的載荷類型擴展的新增載荷及其子結(jié)構(gòu)示意圖����;圖9是根據(jù)本發(fā)明實施例的基于IKEv2的交換類型擴展的新增交換SA協(xié)商流程示意圖;圖10是根據(jù)本發(fā)明實施例的用于路由協(xié)議的密鑰管理系統(tǒng)的另一種優(yōu)選示意圖�。
具體實施例方式下文中將參考附圖并結(jié)合實施例來詳細說明本發(fā)明。需要說明的是,在不沖突的情況下��,本申請中的實施例及實施例中的特征可以相互組合�。在描述本發(fā)明實施例之前,首先對本發(fā)明使用到的KMP以及IKEv2進行描述�。按照設(shè)計方式,針對路由安全的KMP分為帶內(nèi)(in-band)和帶外(out-band)兩種����。In-band KMP使用路由協(xié)議本身的消息包來管理和分發(fā)密鑰材料,通過修改路由消息包的某些字段��,或者擴展保留字段等手段來裝載密鑰材料�。另一方面,Out-band KMP是以獨立于路由協(xié)議之外的一個功能模塊或一套軟件或一個實體的方式為路由協(xié)議提供密鑰管理�����, 其優(yōu)點是其規(guī)模與功能的可擴展性好���,可操作性強����,無需改動現(xiàn)有的路由協(xié)議�����,是被業(yè)界認可的技術(shù)發(fā)展方向和趨勢。目前存在針對IP層或以上的傳輸層和應(yīng)用層的數(shù)據(jù)安全通信的KMP方法����,比如下面將要描述的互聯(lián)網(wǎng)密鑰交換第二版(IKEv2)。IKEv2是為互聯(lián)網(wǎng)協(xié)議第六版(IPv6) IP層的數(shù)據(jù)安全傳輸機制(IPsec)提供SA 協(xié)商的協(xié)議��。該協(xié)議也支持互聯(lián)網(wǎng)協(xié)議第四版(IPv4)�����。IKEv2的SA協(xié)商過程前后總共可涉及四類交換�,即 IKE_SA_INIT 交換��、IKE_AUTH交換���、CREATE_CHILD_SA交換和 INFORMATIONAL 交換��,其中前兩類交換合稱為初始交換(InitialExchange)��。IKEv2中的交換(Exchange) 由一個請求(request)和一個響應(yīng)(response)組成���,發(fā)生在兩個網(wǎng)絡(luò)對等體(peer)之間�����, 其中發(fā)起請求的peer稱為發(fā)起者(I nitiator����,通常用i表示)���,回應(yīng)的peer稱為回應(yīng)者 (Responder,通常用r表示)�����。IKE_SA_INIT 交換協(xié)商密碼算法(crytographic algorithms)���、交換隨機數(shù) (nonces)、進行Diffie-Hellman (D-H)交換����,為兩個peer協(xié)商安全參數(shù)以生成IKE_SA,為其后的交換提供安全通道����。IKE_AUTH交換是在IKE_SA的保護下進行的,對peer身份進行認證�����,并協(xié)商生成第一個CHILD_SA,為IPsec的封裝安全載荷(ESP)或/和認證頭(AH)提供SA��。CREATE_CHILD_SA 交換生成其他的 CHILD_SA�,一個 CREATE_CHILD_SA 生成一個 CHILD_SA,這個生成的CHILD_SA可用來更新上述交換生成的IKE_SA或第一個CHILD_SA���,也可以是全新的CHILD_SA��,供給ESP或/和AH使用��。INFORMATIONAL交換用作傳輸控制信息,包括報錯和事件通知����。INFORMATIONAL 交換只能發(fā)生在Initial Exchange之后,并在已經(jīng)協(xié)商出來的密鑰保護下進行��。一個 INFORMATIONAL交換消息包含零到多個通知�����、刪除(指對SA進行刪除)和配置(指在peer 之間交換配置信息)載荷��。包含零個載荷的request和response消息用作確認peer的生死情況。IKEv2在IP層為IPsec的ESP和AH協(xié)議提供了很好的SA協(xié)商機制�,但是并沒有針對其他協(xié)議比如路由協(xié)議提供SA的協(xié)商和生成。路由協(xié)議的SA與ESP和AH的 SA內(nèi)容不同����,前者主要包括key ID、認證算法(Authentication Algorithm)���、認證密鑰 (Authentication Key)�、生存時間(Life Time)和序列號(SequenceNumber)等�。由于傳統(tǒng)的IKEv2無法直接用來協(xié)商生成用于路由協(xié)議的SA,因此本發(fā)明對 IKEv2進行了擴展����,從而能夠使用擴展后的IKEv2來協(xié)商生成用于路由協(xié)議的SA。實施例1如圖1所示��,本實施例提供了一種用于路由協(xié)議的密鑰管理系統(tǒng)���,優(yōu)選的�����,該系統(tǒng)是基于IKEv2擴展的路由協(xié)議SA的帶外KMP的軟件或軟硬件結(jié)合的系統(tǒng)���。該系統(tǒng)具體包括DKMP單元102���,用于管理路由協(xié)議的SA,為路由協(xié)議單元104提供SA的協(xié)商生成和使用指導(dǎo)�����。具體的���,KMP單元102用于對互聯(lián)網(wǎng)密鑰交換第二版IKEv2進行擴展��,并使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA����。優(yōu)選的����,所述KMP單元102包括SA生成模塊202��、SA庫模塊204和SA使用策略模塊206���,其中�����,SA生成模塊202���、SA庫模塊204和SA使用策略模塊206彼此連接�,具體連接關(guān)系如圖2所示�。所述SA生成模塊202用于根據(jù)SA使用策略模塊206的指導(dǎo)調(diào)用擴展的IKEv2來協(xié)商生成用于路由協(xié)議的SA,其中��,協(xié)商生成用于路由協(xié)議的SA的具體步驟將在以下的說明書中進行詳細的描述��。所述SA庫模塊204用于存放并管理由SA生成模塊202協(xié)商生成的SA����。所述SA使用策略模塊206用于SA使用策略的設(shè)定并實施,以指導(dǎo)SA生成模塊202協(xié)商生成SA��,并指導(dǎo)SA庫模塊204對SA的存取等��?��?蛇x地�,除了上述功能模塊劃分方式之外,上述KMP單元的功能劃分還可以有其他多種方式���,可以理解的是�����,其他劃分方式或不劃分也在本發(fā)明的保護范圍之內(nèi)���。2)路由協(xié)議單元104,用于為運行的各種路由協(xié)議與KMP單元102��、密鑰庫單元 106提供交互和接口功能����;3)密鑰庫單元106,用于為KMP單元102和路由協(xié)議單元104存放所使用的各種密鑰材料���,優(yōu)選的��,這些密鑰材料包括各種密碼算法和認證材料等���;優(yōu)選的��,本實施例中的系統(tǒng)還可以包括手動配置單元108,用于為管理員手動配置密鑰庫單元提供接口功能��,從而使得本發(fā)明可以支持手動配置���。優(yōu)選的���,如圖3所示,圖1中的KMP單元的數(shù)據(jù)處理流程是基于相鄰鏈路數(shù)和每條相鄰鏈路的接口數(shù)����,采用循環(huán)處理的方式,可以包括但不限于以下步驟步驟S302 調(diào)用相應(yīng)的檢測程序��,KMP單元確定與所駐存的路由器相鄰的鏈路數(shù)N 和每條相鄰鏈路上的接口數(shù)目M �����; 步驟S304 與每條相鄰鏈路的KMP對等體(KMP Peer)協(xié)商該鏈路的IKE_SA���,無論協(xié)商成功與否�,當處理完一條相鄰鏈路時�����,N值減1 ;步驟S306 如果鏈路IKE_SA協(xié)商不成功����,并且還沒有窮盡(即,N興0)�����,則返回步驟S304進行下一條鏈路的IKE_SA的協(xié)商���;如果鏈路IKE_SA協(xié)商成功�����,或者鏈路已經(jīng)窮盡 (即����,N = 0)���,則轉(zhuǎn)至步驟S308;步驟S308 在步驟S304建立起來的IKE_SA安全通道上�����,與KMP對等體為該鏈路上運行路由協(xié)議的接口協(xié)商路由協(xié)議所需的SA�,無論協(xié)商成功與否�,當處理完一個接口時, M值減1 ����;步驟S310 如果接口路由協(xié)議SA協(xié)商不成功,并且還沒有窮盡(即�,M興0),則返回步驟S308進行下一個接口的路由協(xié)議SA的協(xié)商�;如果接口路由協(xié)議SA協(xié)商成功,或者接口已經(jīng)窮盡(即�,M = 0),則轉(zhuǎn)至下一個步驟S312 �����;步驟S312 如果鏈路還沒有窮盡(即���,N興0)�����,則返回步驟S304 ��;否則結(jié)束���??蛇x地��,根據(jù)SA的使用策略周期性地或基于事件觸發(fā)式地進行流程處理����,如果是基于接口事件觸發(fā)式地進行流程處理,則上述數(shù)據(jù)流程改為至少包含步驟S304和S308�����。在本實施例中����,系統(tǒng)的KMP單元與路由協(xié)議單元、密鑰庫單元��、手動配置單元互動�����,從而完成對不同路由協(xié)議的不同SA的協(xié)商生成和存取�。實施例2圖4是根據(jù)本發(fā)明實施例的用于路由協(xié)議的密鑰管理方法的一種優(yōu)選流程圖,其包括如下步驟S402����,擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2 �����;S404,使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA �����;S406,使用生成的SA對所述路由協(xié)議進行密鑰管理���,并對基于所述路由協(xié)議的路由消息的傳輸實施保護���。通過本實施例,采用擴展后的IKEv2來協(xié)商生成用于路由協(xié)議的SA�����,解決了現(xiàn)有技術(shù)中用于路由協(xié)議的SA的協(xié)商方法導(dǎo)致的效率和正確性較低的問題�����,進而達到了路由消息的傳送更為安全可靠的效果�。
優(yōu)選的����,對互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2進行擴展的步驟包括以下之一在所述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段����;或者在所述IKEv2中增加用于路由協(xié)議的SA載荷,其中���,所述用于路由協(xié)議的SA載荷中攜帶與路由協(xié)議相關(guān)的字段�����。通過本優(yōu)選實施例中提到的兩種擴展方式�����,可以靈活地對IKEv2進行擴展��,以便可以實現(xiàn)用于路由協(xié)議的SA的協(xié)商�����。優(yōu)選的����,在所述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段包括在所述原有SA載荷中的提議子結(jié)構(gòu)ProposalSubstructure中增加用于路由協(xié)議的協(xié)議標識符字段和密鑰標識符字段;在所述原有SA載荷中的變換子結(jié)構(gòu)Transform Substructure 中增加用于路由協(xié)議的變換類型字段��、變換標識符字段���;在所述變換子結(jié)構(gòu)Transform Substructure中屬性類型中 增加用于路由協(xié)議的密鑰長度字段和SA的生存時間字段�����。通過本優(yōu)選實施例中提到的在原有SA載荷的基礎(chǔ)上進行擴展的方式,可以降低擴展所對應(yīng)的復(fù)雜度�����,便于實現(xiàn)本發(fā)明實施例���。優(yōu)選的��,所述對互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2進行擴展的步驟還包括在所述IKEv2中增加用于路由協(xié)議的交換類型�,其中��,所述交換類型用于指示在所述交換類型對應(yīng)的交換中使用增加了與路由協(xié)議相關(guān)的字段的所述原有SA載荷�����。通過本優(yōu)選實施例中特定為用于路由協(xié)議的SA增加的交換類型,使得SA協(xié)商的雙方可以更容易進行SA的協(xié)商����,提高了協(xié)商的效率。優(yōu)選的����,在所述IKEv2中增加用于路由協(xié)議的SA載荷包括構(gòu)建與所述原有SA載荷的結(jié)構(gòu)相同的SA載荷;在所述構(gòu)建的SA載荷中的提議子結(jié)構(gòu)Proposal Substructure 中增加用于路由協(xié)議的SA的生存時間字段以及所述生存時間長度字段��;在所述構(gòu)建的SA 載荷中的提議子結(jié)構(gòu)Proposal Substructure中將SPI大小字段替換成用于路由協(xié)議的密鑰標識符字段�,并將SPI字段替換成用于路由協(xié)議的密鑰標識符字段。通過本優(yōu)選實施例中提到的新增SA的擴展方式�����,可以更好的便于SA協(xié)商的雙方進行識別�,提高了協(xié)商的效率。優(yōu)選的����,所述對互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2進行擴展的步驟還包括在所述IKEv2中增加用于路由協(xié)議的交換類型,其中�����,所述交換類型用于指示在所述交換類型對應(yīng)的交換中使用所述增加的用于路由協(xié)議的SA載荷。通過本優(yōu)選實施例中特定為用于路由協(xié)議的SA增加的交換類型����,使得SA協(xié)商的雙方可以更容易進行SA的協(xié)商,提高了協(xié)商的效率���。優(yōu)選的�,在上述各個優(yōu)選實施例的基礎(chǔ)上�����,使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA的步驟包括使用IKEv2協(xié)商生成用于建立安全通道的SA �����;使用生成的SA建立安全通道���;在所述安全通道上使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA。通過本優(yōu)選實施例中提到的安全通道�����,可以進一步保證協(xié)商用于路由協(xié)議的SA時的安全性。優(yōu)選的��,在上述各個優(yōu)選實施例的基礎(chǔ)上���,使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA的步驟包括第一路由器將其支持的一組或多組所述與路由協(xié)議相關(guān)的字段中的每一組填入到所述擴展后的IKEv2中對應(yīng)的字段中��;所述第一路由器通過所述擴展后的IKEv2將所述一組或多組所述與路由協(xié)議相關(guān)的字段發(fā)送給與所述第一路由器對等的第二路由器��;所述第二路由器從所述一組或多組與路由協(xié)議相關(guān)的字段中選擇一組與路由協(xié)議相關(guān)的字段��,并通過所述擴展后的IKEv2發(fā)送給所述第一路由器�����;所述第一路由器與所述第二路由器將所述選擇的一組與路由協(xié)議相關(guān)的字段構(gòu)建成用于所述第一路由器與所述第二路由器之間通信使用的路由協(xié)議的SA���。通過本優(yōu)選實施例中提到的SA 協(xié)商過程,可以有效的完成用于路由協(xié)議的SA的協(xié)商����。優(yōu)選的,在上述各個優(yōu)選實施例的基礎(chǔ)上����,使用生成的SA對基于所述路由協(xié)議進行密鑰管理和對路由消息的傳輸實施保護的步驟包括作為發(fā)送方的路由協(xié)議使用生成的 SA更新路由協(xié)議的密鑰 材料���,對將要發(fā)送的路由消息進行認證碼計算和填充;作為接收方的路由協(xié)議使用生成的SA更新路由協(xié)議的密鑰材料��,對接收到的路由消息進行完整性認證�。本發(fā)明提出來以下幾種方案來具體實現(xiàn)使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的SA,這些方案可以應(yīng)用到實施例1的系統(tǒng)和實施例2的方法中����。方案一對于IKEv2中原有的用于SA的字段進行擴展圖5是根據(jù)本發(fā)明實施例的IKEv2中的SA載荷及其子結(jié)構(gòu)相關(guān)字段的示意圖。如圖5所示���,IKEv2中的SA載荷包括通用載荷頭部(Generic Payload Header)和提議子結(jié)構(gòu)(Proposal Substructure)����,其中��,提議子結(jié)構(gòu)包括變換子結(jié)構(gòu)(Transform Substructure),而變換子結(jié)構(gòu)包括Transform Attributes (變換屬性)���。對于IKEv2中原有的用于SA的字段進行擴展具體包括如下操作1)擴展IKEv2中原有的SA載荷(SA Payload)中的提議子結(jié)構(gòu)(Proposal Substructure)中的Protocol ID (提議標識符)字段和SPISize (安全參數(shù)索引長度)字段,將路由協(xié)議包含進去�;2)擴展提議子結(jié)構(gòu)中的變換子結(jié)構(gòu)(Transform Substructure)中的Transform Type (變換類型)字段及其Transform ID (變換標識符)字段,使之可用于路由協(xié)議用��;3)擴展變換子結(jié)構(gòu)中的Transform Attributes (變換屬性)的Attribute Type (屬性類型)字段,使之可以裝載路由協(xié)議SA所需的密鑰長度和SA的生存時間參數(shù)�。具體的,如圖 6 所示�����,對 IKEv2 的 SA 載荷的 ProposalSubstructure 的 Protocol ID 字段和 SPI Size 字段�����、TransformSubstructure 的 Transform Type 字段的 3 型和 Transform Attributes的Attribute Type字段����,進行了擴展,以提供路由協(xié)議SA所需的 key ID��、Authentication Algorithm����、Authentication Key 禾口 Life Time 等內(nèi)容,所述的 Protocol ID字段擴展包含路由協(xié)議����,所述的SPI Size字段擴展包含Key ID的長度,所述的Transform Type字段擴展包含其可以使用于路由協(xié)議中�����,所述的Transform ID字段的擴展包含路由協(xié)議使用的Authentication Algorithm,所述的Attribute Type字段擴展包含路由協(xié)議SA所需的密鑰長度和的生存時間參數(shù)���,所述的擴展字段所擴展的定義所對應(yīng)的ID值的分配可以是一種或多種的組合�。方案二 為路由協(xié)議安全聯(lián)盟增加新的payload在本實施例中���,為路由協(xié)議安全聯(lián)盟增加新的payload����,標記為SARP�,即Security Association for Routing Protocol ;SARP載荷的結(jié)構(gòu)與IKEv2的原SA載荷相似�����,不同的是�����,在Proposal子結(jié)構(gòu)增加了 Length of Life Time (生存時間長度)字段及其裝載具體參數(shù)的Life Time字段���,用Length of Key ID字段取代SPI Size字段����,相應(yīng)的Key ID字段取代SPI (variable)字段�。
方案三為路由協(xié)議安全聯(lián)盟的協(xié)商增加新的交換類型(Exchange Type)在本實施例中,為路由協(xié)議安全聯(lián)盟的協(xié)商增加新的交換類型(Exchange Type), 標記為IKE_RP_AUTH���,在該交換中��,可以使用上述方案一中的擴展SA載荷��,也可以使用上述方案二中新增加的SARP載荷���,以完成路由協(xié)議SA的協(xié)商為便于對本發(fā)明實施例的理解,下面將結(jié)合附圖對本發(fā)明實施例所提供的使用擴展的IKEv2來協(xié)商用于路由協(xié)議的SA的方案進行詳細說明���。實施例3如圖6所示����,本實施例通過在IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段來實現(xiàn)用于路由協(xié)議的SA的協(xié)商��。其中���,對IKEv2的原有SA載荷進行擴展(為了和原SA 載荷區(qū)別���,擴展后的SA載荷用SAe表示��,但是并不是新增的載荷類型)包括但不限于以下步驟(1)擴展 SA 載荷(Payload)中的 Proposal 子結(jié)構(gòu)(Substructure)中的 Protocol ID字段和SPI Size字段��,其中���,Protocol ID字段增加路由協(xié)議比如RIPv2 (Routing Information Protocol version 2, X^jST· IANA{t 4) >0SPFv2 (Open Shortest Path First version 2,對應(yīng)于 IANA 值 5)、ISIS (Intermediate System-to-intermediate System,對應(yīng)于IANA值6)等的定義��,每種路由協(xié)議對應(yīng)于一個IANA保留值(取值范圍是4到200)�, 其中,SPI映射為路由協(xié)議的SA的Key ID字段��,由于路由協(xié)議的Key ID長度不同�,因此對 SPI Size字段進行擴展,將RIPv2�,0SPFv2, ISIS等路由協(xié)議包含進去;(2)擴展Proposal子結(jié)構(gòu)中的Transform子結(jié)構(gòu)中的TransformType字段的3 型 Integrity Algorithm(INEG)的 Transform ID 字段��,其中擴展 Transform Type 字段的 3型Integrity Algorithm(INEG)����,使之不但用于IKE、AH和ESP,還用于路由協(xié)議(Routing Protoco 1 s)�����,比如RIPv2和0SPFv2��,其中�,Transform ID字段增加了用于路由協(xié)議的認證算法的定義��,比如 AUTH_HMAC_SHA_224 (對應(yīng)于 IANA 值 7)�����、AUTH_HMAC_SHA_256 (對應(yīng)于 IANA 值 8)���、AUTH_HMAC_SHA_384 (對應(yīng)于 IANA 值 9)�、AUTH_HMAC_SHA_512 (對應(yīng)于 IANA 值 10) 等���,每個定義對應(yīng)于一個IANA保留值(取值范圍是6到1023)�����;(3) TM Transform 豐勾中的 Transform Attributes 的 AttributeType 其中Transform Attributes用于存放路由協(xié)議SA用到的密鑰長度(該密鑰用于認證算法)和SA的生存時間參數(shù)�����,以三元組TLV的Type/Length/Value格式或二元組TV的Type/ Value格式表示���,具體包括(a)擴展 Attribute Type 字段的 14 型 Key Length (in bits)����,將其應(yīng)用范圍從加密算法(Encryption Algorithm)擴大至包含認證算法��,如果認證算法的密鑰長度是固定的(也即是�,認證算法的密鑰長度是和算法捆綁的,存在一一對應(yīng)關(guān)系)���,那么 TransformAttributes可省略��,如果認證算法的密鑰長度需要協(xié)商�,則使用經(jīng)過擴展的14 型 Key Length (in bits)��,采用二元組 TV 格式;(b)關(guān)于認證算法的密鑰(Authentication Key)的協(xié)商����,兩個KMP Peer通過KE 載荷相互交換隨機數(shù)(應(yīng)用Diffie-Hellman交換,簡稱D-H算法)并計算生成雙方共享的 Authentication Key �����;(c)關(guān)于SA的生存時間參數(shù),通過對Attribute Type字段的擴展來實現(xiàn)����,增加該字段對 Start Time (對應(yīng)于 IANA 值 18)、StopTime (對應(yīng)于 IANA 值 19)��、Key StartAccept (對應(yīng)于 IANA 值 20)��、Key Start Generate (對應(yīng)于 IANA 值 21)��、Key Stop Generate (對應(yīng)于IANA值22)和Key Stop Accept (對應(yīng)于IANA值23)等的定義���,每個定義對應(yīng)于一個IANA保留值(取值范圍是18到16383),而每個定義的長度和取值分別由 Attribute Length 禾口 Attribute Value 字段表示����。以下描述具體的用于路由協(xié)議的SA的協(xié)商過程。如圖7所示���,本發(fā)明實施例為在網(wǎng)絡(luò)類型為點到點(Point-to-point)�����、非廣播多 ^MM (Nonbroadcast Multiaccess, NBM) > ^|lj^ ^ (Point-to-multipoint) URMW, 鏈路(Virtual links)下運行的路由協(xié)議0SPFv2提供基于IKEv2擴展的SA協(xié)商的實現(xiàn)方案����。0SPFv2采用RFC 5709建議的完整性認證方式(對應(yīng)于AuType = 2,即 Cryptographic authentication)�����,采用假設(shè)的具體數(shù)據(jù)作為例子����,需要協(xié)商的SA的內(nèi)容包括但不限于(I)Key ID:長度為8bits(l octet),本例子中假設(shè)的Key ID見下面的內(nèi)容2;(2) Authentication Algorithm 本例子中假設(shè) Initiator 提供可選用的有 AUTH_ HMAC_SHA_256 (對應(yīng) Key ID 為 1)�����、AUTH_HMAC_SHA_384 (對應(yīng) Key ID 為 2)���、AUTH_HMAC_ SHA_512(對應(yīng) Key ID 為 3)��,而 Responder 選擇采用 AUTH_HMAC_SHA_256 (對應(yīng) Key ID 為 1)��;(3)Authentication Key 本例子中假設(shè)雙方采用交換的隨機數(shù)nonce和路由協(xié)議已經(jīng)配置的統(tǒng)一的Pre-shared Key作為輸入�����,經(jīng)D-H算法計算得到�����,本例子中假設(shè)路由器采用的身份認證方式為Pre-shared Key, 一般是在開局前由administrator統(tǒng)一手動配置的���;(4)Cryptographic sequence number :32位長的不遞減的無符號數(shù)���,取決于路由協(xié)議在生成消息包時采用的具體實現(xiàn)算法,不是由本發(fā)明所提供的方法協(xié)商得到�;(5) Key Start Acc印t 路由器開始接受由協(xié)商出來的 Key ID ( BP Authentication Algorithm和Authentication Key)所生成的消息包的時間��,本例子中使用以日即24小時為單位的循環(huán)計時時間����,假設(shè)為6時;(6)Key Start Generate 路由器開始使用協(xié)商出來的Key ID生成消息包的時間�, 本例子中使用以日即24小時為單位的循環(huán)計時時間,假設(shè)為8時����;(7)Key Stop Generate 路由器停止使用協(xié)商出來的Key ID生成消息包的時間, 本例子中使用以日即24小時為單位的循環(huán)計時時間���,假設(shè)為20時��;(S)Key Stop Accept 路由器停止接受由協(xié)商出來的Key ID所生成的消息包的時間�����,本例子中使用以日即24小時為單位的循環(huán)計時時間�,假設(shè)為23時。0SPFv2 WiftffIE^IM :Hello, Database Description, LinkState Request, Link State Update, Link State Acknowl edgment����。本例子假設(shè)采用的 SA 使用策略是每個0SPFv2接口上的五種消息類型使用同一個SA。圖7所示是協(xié)商某個接口上的一個SA的具體流程���,分為兩個階段�,第一階段的SA 協(xié)商產(chǎn)生IKE_SA�����,用于保護隨后的協(xié)商通道�,第二階段產(chǎn)生的CHILD_SA用于為路由協(xié)議提供其 SA 所需的 KeyID, Authentication Algorithm 禾口 Life Time 等,而 Authentication Key則由D-H交換算法產(chǎn)生����。交換的具體內(nèi)容如下表1所示
表權(quán)利要求
1.一種用于路由協(xié)議的密鑰管理方法�����,其特征在于����,包括 擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2 �;使用擴展后的所述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA ; 使用生成的所述SA對路由協(xié)議進行密鑰管理���,并對基于所述路由協(xié)議的路由消息的傳輸實施保護���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版 IKEv2的步驟包括以下之一在所述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段��;或者在所述IKEv2中增加用于路由協(xié)議的SA載荷���,其中,所述用于路由協(xié)議的SA載荷中攜帶與路由協(xié)議相關(guān)的字段����。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�,在所述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段包括在所述原有SA載荷中的提議子結(jié)構(gòu)!Proposal Substructure中增加用于路由協(xié)議的協(xié)議標識符字段和密鑰標識符字段���;在所述原有SA載荷中的變換子結(jié)構(gòu)TransformSubstructure中增加用于路由協(xié)議的變換類型字段���、變換標識符字段;在所述變換子結(jié)構(gòu)Transform Substructure中屬性類型中增加用于路由協(xié)議的密鑰長度字段和SA的生存時間字段�����。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于�,所述擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版 IKEv2的步驟還包括在所述IKEv2中增加用于路由協(xié)議的交換類型,其中�����,所述交換類型用于指示在所述交換類型對應(yīng)的交換中使用增加了與路由協(xié)議相關(guān)的字段的所述原有SA載荷。
5.根據(jù)權(quán)利要求2所述的方法����,其特征在于,在所述IKEv2中增加用于路由協(xié)議的SA 載荷包括構(gòu)建與所述原有SA載荷的結(jié)構(gòu)相同的SA載荷���;在所述構(gòu)建的SA載荷中的提議子結(jié)構(gòu)ftOposalSubstructure中增加用于路由協(xié)議的 SA的生存時間字段以及所述生存時間長度字段�;在所述構(gòu)建的SA載荷中的提議子結(jié)構(gòu)ftOposalSubstructure中將SPI大小字段替換成用于路由協(xié)議的密鑰標識符字段���,并將SPI字段替換成用于路由協(xié)議的密鑰標識符字段��。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于��,所述擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版 IKEv2的步驟還包括在所述IKEv2中增加用于路由協(xié)議的交換類型����,其中���,所述交換類型用于指示在所述交換類型對應(yīng)的交換中使用所述增加的用于路由協(xié)議的SA載荷。
7.根據(jù)權(quán)利要求1至6中任一項所述的方法���,其特征在于��,使用擴展后的所述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA的步驟包括使用所述IKEv2協(xié)商生成用于建立安全通道的SA ��; 使用生成的SA建立安全通道�;在所述安全通道上使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA。
8.根據(jù)權(quán)利要求2至6中任一項所述的方法���,其特征在于��,使用擴展后的所述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA的步驟包括第一路由器將其支持的一組或多組所述與路由協(xié)議相關(guān)的字段中的每一組填入到所述擴展后的IKEv2中對應(yīng)的字段中�����;所述第一路由器通過所述擴展后的IKEv2將所述一組或多組所述與路由協(xié)議相關(guān)的字段發(fā)送給與所述第一路由器對等的第二路由器��;所述第二路由器從所述一組或多組與路由協(xié)議相關(guān)的字段中選擇一組與路由協(xié)議相關(guān)的字段���,并通過所述擴展后的IKEv2發(fā)送給所述第一路由器;所述第一路由器與所述第二路由器將所述選擇的一組與路由協(xié)議相關(guān)的字段構(gòu)建成用于所述第一路由器與所述第二路由器之間通信使用的路由協(xié)議的SA�。
9.一種用于路由協(xié)議的密鑰管理系統(tǒng),其特征在于�,包括 擴展單元,用于擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2 ;協(xié)商單元�����,用于使用擴展后的所述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA �����; 處理單元��,用于使用生成的所述SA對路由協(xié)議進行密鑰管理���,并對基于所述路由協(xié)議的路由消息的傳輸實施保護��。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)�,其特征在于���,所述擴展單元包括第一擴展模塊���,用于在所述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段; 第二擴展模塊����,用于在所述IKEv2中增加用于路由協(xié)議的SA載荷,其中��,所述用于路由協(xié)議的SA載荷中攜帶與路由協(xié)議相關(guān)的字段���。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)�,其特征在于�,所述第一擴展模塊包括第一處理子模塊,用于在所述原有SA載荷中的提議子結(jié)構(gòu)!Proposal Substructure中增加用于路由協(xié)議的協(xié)議標識符字段和密鑰標識符字段��;第二處理子模塊����,用于在所述原有SA載荷中的變換子結(jié)構(gòu)Transform Substructure 中增加用于路由協(xié)議的變換類型字段、變換標識符字段���;第三處理子模塊���,用于在所述變換子結(jié)構(gòu)TransformSubstructure中屬性類型中增加用于路由協(xié)議的密鑰長度字段和SA的生存時間字段。
12.根據(jù)權(quán)利要求10所述的系統(tǒng)�,其特征在于,所述第二擴展模塊包括 構(gòu)建子模塊���,用于構(gòu)建與所述原有SA載荷的結(jié)構(gòu)相同的SA載荷���;第三處理子模塊����,用于在所述構(gòu)建的SA載荷中的提議子結(jié)構(gòu)!Proposal Substructure 中增加用于路由協(xié)議的SA的生存時間字段以及所述生存時間長度字段�����;第四處理子模塊����,用于在所述構(gòu)建的SA載荷中的提議子結(jié)構(gòu)!Proposal Substructure 中將SPI大小字段替換成用于路由協(xié)議的密鑰標識符字段,并將SPI字段替換成用于路由協(xié)議的密鑰標識符字段�����。
13.根據(jù)權(quán)利要求10所述的系統(tǒng)����,其特征在于,所述擴展單元包括第三擴展模塊�,用于在所述IKEv2中增加用于路由協(xié)議的交換類型,其中�����,所述交換類型用于指示在所述交換類型對應(yīng)的交換中使用所述增加了與路由協(xié)議相關(guān)的字段的IKEv2 的原有SA載荷,或者�,使用所述增加的用于路由協(xié)議的SA載荷。
14.根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其特征在于��,所述協(xié)商單元包括第一協(xié)商模塊�����,用于使用所述IKEv2協(xié)商生成用于建立安全通道的SA ��;建立模塊���,用于使用生成的SA建立安全通道;第二協(xié)商模塊���,用于在所述安全通道上使用擴展后的IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA�。
15.根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其特征在于,所述協(xié)商單元包括位于第一路由器上的第三協(xié)商模塊以及位于與所述第一路由器對等的第二路由器上的第四協(xié)商模塊��,其中��,所述第三協(xié)商模塊���,用于將所述第一路由器支持的一組或多組所述與路由協(xié)議相關(guān)的字段中的每一組填入到所述擴展后的IKEv2中對應(yīng)的字段中���,通過所述擴展后的IKEv2將所述一組或多組所述與路由協(xié)議相關(guān)的字段發(fā)送給與所述第四協(xié)商模塊,并將由所述第四協(xié)商模塊選擇的一組與路由協(xié)議相關(guān)的字段構(gòu)建成用于所述第一路由器與所述第二路由器之間通信使用的路由協(xié)議的SA ���;所述第四協(xié)商模塊���,用于從所述一組或多組與路由協(xié)議相關(guān)的字段中選擇一組與路由協(xié)議相關(guān)的字段,通過所述擴展后的IKEv2發(fā)送給所述第三協(xié)商模塊���,并將所述選擇的一組與路由協(xié)議相關(guān)的字段構(gòu)建成用于所述第一路由器與所述第二路由器之間通信使用的路由協(xié)議的SA�。
16.一種用于路由協(xié)議的密鑰管理系統(tǒng)�����,其特征在于�,包括彼此兩兩相連的KMP單元��、 路由協(xié)議單元和密鑰庫單元��,其中��,所述KMP單元���,用于對互聯(lián)網(wǎng)密鑰交換第二版IKEv2進行擴展���,并使用擴展后的IKEv2 協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA ���;所述路由協(xié)議單元,用于為運行的路由協(xié)議與所述KMP單元�����、所述密鑰庫單元提供交互和接口功能���;所述密鑰庫單元�����,用于存儲所述KMP單元和所述路由協(xié)議單元使用的密鑰材料���。
17.根據(jù)權(quán)利要求16所述的系統(tǒng)��,其特征在于��,所述KMP單元包括SA生成模塊��、SA使用策略模塊和SA庫模塊����,其中��,所述SA生成模塊�,用于根據(jù)所述SA使用策略模塊的指令調(diào)用所述擴展后的IKEv2來協(xié)商生成用于路由協(xié)議的SA ;所述SA庫模塊�����,用于存放并管理由所述SA生成模塊協(xié)商生成的SA �����;所述SA使用策略模塊����,用于通過指令指導(dǎo)所述SA生成模塊協(xié)商生成SA���,并通過指令指導(dǎo)所述SA庫模塊對SA的存取。
18.根據(jù)權(quán)利要求17所述的系統(tǒng)�,其特征在于,所述SA生成模塊包括第一擴展子模塊���,用于在所述IKEv2的原有SA載荷中增加與路由協(xié)議相關(guān)的字段�����;第二擴展子模塊�����,用于在所述IKEv2中增加用于路由協(xié)議的SA載荷,其中�����,所述用于路由協(xié)議的SA載荷中攜帶與路由協(xié)議相關(guān)的字段���。
19.根據(jù)權(quán)利要求18所述的系統(tǒng)����,其特征在于,所述SA生成模塊還包括第三擴展模塊�����,用于在所述IKEv2中增加用于路由協(xié)議的交換類型�����,其中��,所述交換類型用于指示在所述交換類型對應(yīng)的交換中使用所述增加了與路由協(xié)議相關(guān)的字段的IKEv2 的原有SA載荷���,或者�,使用所述增加的用于路由協(xié)議的SA載荷�����。
全文摘要
本發(fā)明公開了一種用于路由協(xié)議的密鑰管理方法和系統(tǒng)��,其中�����,該方法包括擴展互聯(lián)網(wǎng)密鑰交換協(xié)議第二版IKEv2;使用擴展后的上述IKEv2協(xié)商生成用于路由協(xié)議的安全聯(lián)盟SA����;使用生成的上述SA對路由協(xié)議進行密鑰管理,并對基于上述路由協(xié)議的路由消息的傳輸實施保護�。本發(fā)明解決了現(xiàn)有技術(shù)中用于路由協(xié)議的SA的協(xié)商方法導(dǎo)致的效率和正確性較低的問題,達到了路由消息的傳送更為安全可靠的效果�。
文檔編號H04L29/06GK102420740SQ20101050133
公開日2012年4月18日 申請日期2010年9月28日 優(yōu)先權(quán)日2010年9月28日
發(fā)明者梁小萍, 王鴻彥, 韋銀星 申請人:中興通訊股份有限公司