專利名稱:IPSec安全聯(lián)盟的創(chuàng)建方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信安全中IPSec安全聯(lián)盟的創(chuàng)建方法,尤其涉及一種目的地址不定或者多個時IPSec安全聯(lián)盟的創(chuàng)建方法����。
背景技術(shù):
IPSec協(xié)議是網(wǎng)絡(luò)通信中廣泛應(yīng)用的一種安全協(xié)議。在該協(xié)議的應(yīng)用中���,需要建立安全聯(lián)盟用于信息的加密解密過程��,以確保信息的安全傳遞�����。按照IPSec協(xié)議定義�,一個安全聯(lián)盟由目的地址�����、安全聯(lián)盟索引(SPI)����、安全協(xié)議組成的三元組唯一確定。
在IPSec應(yīng)用于移動IP的過程中���,根據(jù)RFC3776規(guī)定��,在移動節(jié)點移動到外地網(wǎng)絡(luò)以后�����,可以使用IPSec在家鄉(xiāng)代理(Home Agent)和移動節(jié)點(Mobile Node)間建立安全聯(lián)盟�,以傳輸模式(transport mode)保護(hù)移動節(jié)點和家鄉(xiāng)代理之間的控制報文��,以隧道模式(tunnel mode)保護(hù)移動節(jié)點和通信節(jié)點(Correspondent Node)之間的控制或者載荷報文����。在家鄉(xiāng)代理端,為移動節(jié)點和家鄉(xiāng)代理之間的控制報文實施IPSec保護(hù)而創(chuàng)建的安全聯(lián)盟對���,其入方向安全聯(lián)盟目的地址為家鄉(xiāng)代理地址(Home AgentAddress)�;出方向安全聯(lián)盟目的地址為移動節(jié)點家鄉(xiāng)地址(HomeAddress)�����。
根據(jù)移動IPv6協(xié)議實現(xiàn)原理�����,家鄉(xiāng)代理提供給移動節(jié)點使用的家鄉(xiāng)代理地址(Home Agent Address)可能有多個,移動節(jié)點具體使用哪個家鄉(xiāng)代理地址����,視移動節(jié)點選擇而定。
針對這種情況�����,目前的實現(xiàn)方式是���,在家鄉(xiāng)代理和移動節(jié)點之間��,為每個不同的家鄉(xiāng)代理地址和移動節(jié)點家鄉(xiāng)地址之間建立一對安全聯(lián)盟�����。比如��,家鄉(xiāng)代理有三個家鄉(xiāng)代理地址(HAAddr1�����,HAAddr2�,HAAddr3)���;移動節(jié)點家鄉(xiāng)地址為HomeAddr��;IPSec使用ESP安全協(xié)議�;安全協(xié)議封裝模式為傳輸模式����;則在家鄉(xiāng)代理端將建立3對安全聯(lián)盟。
但為每個不同的家鄉(xiāng)代理地址和移動節(jié)點家鄉(xiāng)地址之間建立一對安全聯(lián)盟�,導(dǎo)致安全聯(lián)盟數(shù)量多,特別是手工配置情況下維護(hù)困難����。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)所存在的問題,本發(fā)明的目的是提供一種目的地址不定或者多個時簡單靈活���、便于維護(hù)的IPSec安全聯(lián)盟的創(chuàng)建方法����。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的一種IPSec安全聯(lián)盟的創(chuàng)建方法��,該方法的安全聯(lián)盟由目的地址�����、安全參數(shù)索引和安全協(xié)議組成的三元組唯一確定,包括如下步驟A�����、創(chuàng)建目的地址為未指定地址的安全聯(lián)盟�����;B��、當(dāng)安全聯(lián)盟能夠確定其所使用的目的地址時�,用確定的目的地址信息更新安全聯(lián)盟中的作為目的地址的未指定地址。
所述步驟A創(chuàng)建安全聯(lián)盟時為其分配唯一的安全參數(shù)索引����。
所述步驟A創(chuàng)建的安全聯(lián)盟在沖突檢測的三元組比較中其未指定地址與任何地址相比較的結(jié)果為相同。
所述步驟A創(chuàng)建的安全聯(lián)盟在沖突檢測時其未指定地址與其可能取值的��、限定范圍內(nèi)的地址相比較的結(jié)果為相同���。
所述步驟A創(chuàng)建的目的地址為未指定地址的安全聯(lián)盟在使用過程中進(jìn)行解密匹配時忽略目的地址�����。
所述步驟A創(chuàng)建的安全聯(lián)盟是移動IPv6中家鄉(xiāng)代理為與移動節(jié)點建立安全連接而創(chuàng)建的���、目的地址為未指定地址的入方向安全聯(lián)盟�����。
所述家鄉(xiāng)代理是根據(jù)移動節(jié)點移動到外地網(wǎng)絡(luò)后發(fā)送的綁定更新BU報文來確定入方向安全聯(lián)盟的目的地址��。
所述家鄉(xiāng)代理根據(jù)所收到的綁定更新BU報文中的地址信息來更新入方向安全聯(lián)盟的目的地址。
所述家鄉(xiāng)代理在移動節(jié)點返回家鄉(xiāng)網(wǎng)絡(luò)后把相應(yīng)的入方向安全聯(lián)盟目的地址設(shè)置為未指定地址�����。
由上述本發(fā)明提供的技術(shù)方案可以看出����,本發(fā)明通過創(chuàng)建目的地址為未指定地址的安全聯(lián)盟、并在能夠確定地址時進(jìn)行地址刷新以提供更健全的安全聯(lián)盟����,從而提供了一種目的地址不定或者多個時簡單靈活、便于維護(hù)的IPSec安全聯(lián)盟的創(chuàng)建方法�����。
通過為安全聯(lián)盟分配唯一的安全參數(shù)索引或者在安全聯(lián)盟沖突檢測時的三元組比較中把未指定地址與任何地址相比較的結(jié)果認(rèn)為相同(即在該安全聯(lián)盟及其后安全聯(lián)盟的沖突檢測中�,忽略目的地址��、僅以三元組的其它部分作為索引進(jìn)行沖突檢測)等措施�,可以防止在安全聯(lián)盟的創(chuàng)建或者刷新過程中可能產(chǎn)生的一些沖突�。
本發(fā)明不僅可以應(yīng)用于移動IPv6中的IPSec安全聯(lián)盟的創(chuàng)建,也可以應(yīng)用于OSPFv3等路由協(xié)議中(路由報文目的地址可能為不同的多播地址�����、單播地址)或者其它目的地址不定或者多個的場合中IPSec安全聯(lián)盟的創(chuàng)建���。
圖1為本發(fā)明在IPv6中應(yīng)用時的一種處理流程圖����。
具體實施例方式
本發(fā)明的核心思想是通過創(chuàng)建目的地址為未指定地址的安全聯(lián)盟����、并在能夠確定地址時進(jìn)行地址刷新以提供更健全的安全聯(lián)盟,從而提供一種靈活簡便的安全聯(lián)盟的創(chuàng)建方法�����。
下面結(jié)合附圖對本發(fā)明作進(jìn)一步的說明����。
IPSec應(yīng)用IPv6中時家鄉(xiāng)代理提供給移動節(jié)點使用的家鄉(xiāng)代理地址(Home Agent Address)可能有多個����,移動節(jié)點具體使用哪個家鄉(xiāng)代理地址����,視移動節(jié)點選擇而定;本發(fā)明在IPv6中的應(yīng)用可以采用如圖1所示的處理流程����。
為了防止安全聯(lián)盟的沖突,首先要進(jìn)入步驟11��,分配給唯一的安全參數(shù)索引�����,即對本地入方法安全聯(lián)盟或者出入共用的安全聯(lián)盟來說其安全參數(shù)索引是唯一的該安全參數(shù)索引不能與已經(jīng)存在的安全參數(shù)索引相同���,將來分配的安全參數(shù)索引也不能與該安全參數(shù)索引相同。當(dāng)然�����,這里并不一定要分配唯一的安全索引�,也可以采用其它可以防止沖突的方法�。比如����,可以使所述步驟A創(chuàng)建的安全聯(lián)盟在沖突檢測的三元組比較中其未指定地址與任何地址相比較的結(jié)果為相同,即比較時忽略目的地址僅以三元組的其它部分作為索引進(jìn)行沖突檢測��;還可以使所述步驟A創(chuàng)建的安全聯(lián)盟在沖突檢測時其未指定地址與其可能取值的�����、限定范圍內(nèi)的地址相比較的結(jié)果為相同��,即比較時除未指定地址可能取值的范圍所構(gòu)成可能沖突的安全聯(lián)盟外其它安全聯(lián)盟以三元組作為索引進(jìn)行沖突檢測����。
獲得唯一的安全參數(shù)索引后,進(jìn)入步驟12���,利用該安全參數(shù)索引并結(jié)合其它配置情況創(chuàng)建目的地址為未指定地址的安全聯(lián)盟�����。如表1所示為家鄉(xiāng)代理為移動節(jié)點創(chuàng)建了一對安全聯(lián)盟���。這里的情況是家鄉(xiāng)代理本端有三個家鄉(xiāng)代理地址(HAAddr1��,HAAddr2�����,HAAddr3)可供移動節(jié)點選用����,移動節(jié)點家鄉(xiāng)地址為HomeAddr��;IPSec使用ESP安全協(xié)議�,安全協(xié)議封裝模式為傳輸模式。其中入方向安全聯(lián)盟的目的地址為未指定地址0::0���,唯一的安全參數(shù)索引為SPI-11,安全協(xié)議為ESP(Encapsulated Security Payload�����,壓入安全載荷)協(xié)議�。
表1、IPv6中家鄉(xiāng)代理為移動節(jié)點創(chuàng)建的一對安全聯(lián)盟
目的地址為未指定地址的安全聯(lián)盟創(chuàng)建之后就可以使用了�����,即進(jìn)入步驟13。但在接收報文即進(jìn)行步驟14時�,需要經(jīng)過步驟15對目的地址是否確定進(jìn)行判斷,如果是確定的��,則在報文解密時采用步驟16進(jìn)行完全的三元組匹配��;如果目的地址是未指定地址��,則采用步驟17在解密匹配時忽略目的地址�����。然后進(jìn)入步驟18對解密匹配是否成功進(jìn)行判斷����,如果否,則進(jìn)入步驟13進(jìn)行相應(yīng)的錯誤處理或者重新等待接收報文�;如果是,則說明正確地接收了報文���。
正確接收報文后���,進(jìn)入步驟19���,進(jìn)一步判斷所接收的報文是否通告了安全聯(lián)盟目的地址改變的信息。如果否���,則進(jìn)入步驟13繼續(xù)進(jìn)行其它的后續(xù)處理��;如果是�����,則進(jìn)入步驟20刷新安全聯(lián)盟的目的地址�����,然后再進(jìn)入步驟13進(jìn)行其它處理��。如表2所示為家鄉(xiāng)代理對安全聯(lián)盟的刷新后的狀態(tài)���。這個刷新是在移動節(jié)點移到外地網(wǎng)絡(luò)后向家鄉(xiāng)節(jié)點發(fā)送BU(Binding Update,綁定更新)報文���、通告自己選擇使用的家鄉(xiāng)代理地址為HAAddr1后家鄉(xiāng)代理安全聯(lián)盟進(jìn)行的刷新。
表2��、家鄉(xiāng)代理對安全聯(lián)盟的刷新后的狀態(tài)
當(dāng)然,步驟19中的地址變化可以是從未指定地址變?yōu)榇_定的地址(離開家鄉(xiāng)網(wǎng)絡(luò))���,也可以是從確定的地址變?yōu)槲粗付ǖ刂?回到家鄉(xiāng)網(wǎng)絡(luò))����,還可以是從一個確定地址變?yōu)榱硪粋€確定地址(從一個外地網(wǎng)絡(luò)移動到另一個外地網(wǎng)絡(luò))���。相應(yīng)的�,步驟20的安全聯(lián)盟目的地址刷新也有不同類型的變化����。
以上所述,僅為本發(fā)明較佳的具體實施方式
����,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)��,可輕易想到的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)����。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)��。
權(quán)利要求
1.一種IPSec安全聯(lián)盟的創(chuàng)建方法���,該方法的安全聯(lián)盟由目的地址�����、安全參數(shù)索引和安全協(xié)議組成的三元組唯一確定�,其特征在于�,包括如下步驟A、創(chuàng)建目的地址為未指定地址的安全聯(lián)盟����;B、當(dāng)安全聯(lián)盟能夠確定其所使用的目的地址時��,用確定的目的地址信息更新安全聯(lián)盟中的作為目的地址的未指定地址���。
2.根據(jù)權(quán)利要求1所述的IPSec安全聯(lián)盟的創(chuàng)建方法�,其特征在于��,所述步驟A創(chuàng)建安全聯(lián)盟時為其分配唯一的安全參數(shù)索引�����。
3.根據(jù)權(quán)利要求1所述的IPSec安全聯(lián)盟的創(chuàng)建方法�����,其特征在于�,所述步驟A創(chuàng)建的安全聯(lián)盟在沖突檢測的三元組比較中其未指定地址與任何地址相比較的結(jié)果為相同。
4.根據(jù)權(quán)利要求1所述的IPSec安全聯(lián)盟的創(chuàng)建方法��,其特征在于�����,所述步驟A創(chuàng)建的安全聯(lián)盟在沖突檢測時其未指定地址與其可能取值的����、限定范圍內(nèi)的地址相比較的結(jié)果為相同。
5.根據(jù)權(quán)利要求2至4任一項所述的IPSec安全聯(lián)盟的創(chuàng)建方法����,其特征在于,所述步驟A創(chuàng)建的目的地址為未指定地址的安全聯(lián)盟在使用過程中進(jìn)行解密匹配時忽略目的地址�����。
6.根據(jù)權(quán)利要求5所述的IPSec安全聯(lián)盟的創(chuàng)建方法,其特征在于���,所述步驟A創(chuàng)建的安全聯(lián)盟是移動IPv6中家鄉(xiāng)代理為與移動節(jié)點建立安全連接而創(chuàng)建的��、目的地址為未指定地址的入方向安全聯(lián)盟�����。
7.根據(jù)權(quán)利要求6所述的IPSec安全聯(lián)盟的創(chuàng)建方法�,其特征在于�,所述家鄉(xiāng)代理是根據(jù)移動節(jié)點移動到外地網(wǎng)絡(luò)后發(fā)送的綁定更新BU報文來確定入方向安全聯(lián)盟的目的地址。
8.根據(jù)權(quán)利要求6所述的IPSec安全聯(lián)盟的創(chuàng)建方法�,其特征在于,所述家鄉(xiāng)代理根據(jù)所收到的綁定更新BU報文中的地址信息來更新入方向安全聯(lián)盟的目的地址�����。
9.根據(jù)權(quán)利要求7所述的IPSec安全聯(lián)盟的創(chuàng)建方法�����,其特征在于�����,所述家鄉(xiāng)代理在移動節(jié)點返回家鄉(xiāng)網(wǎng)絡(luò)后把相應(yīng)的入方向安全聯(lián)盟目的地址設(shè)置為未指定地址。
全文摘要
本發(fā)明公開了一種IPSec安全聯(lián)盟的創(chuàng)建方法���,該方法通過創(chuàng)建目的地址為未指定地址的安全聯(lián)盟、并在能夠確定地址時進(jìn)行地址刷新以提供更健全的安全聯(lián)盟��。從而減少了目的地址不定或者多個時創(chuàng)建安全聯(lián)盟的數(shù)量����、提供了安全聯(lián)盟的可維護(hù)性,是一種靈活簡便的安全聯(lián)盟創(chuàng)建方法��。
文檔編號H04L29/06GK1874343SQ200510074908
公開日2006年12月6日 申請日期2005年6月3日 優(yōu)先權(quán)日2005年6月3日
發(fā)明者王輝, 唐正斌, 徐暕 申請人:華為技術(shù)有限公司