[发明专利]用于使用IPsec密钥的加密通信的方法和装置

权利要求书

1.一种用于加密通信的方法，包括：

通过使用选择器从安全关联数据库中选择安全关联；

从所述安全关联确定索引标注参数；

使用所述索引标注参数从密钥存储数据库确定活跃密钥位置；

使用来自所述活跃密钥位置的密钥对数据分组加密；

通过使用来自所述活跃密钥位置的密钥ID在所加密的数据分组 的报头中形成安全参数索引；以及

发射具有指示所述安全参数索引的报头的所加密的数据分组。

2.如权利要求1所述的方法，进一步包括：在通过使用选择器从 安全关联数据库中选择安全关联之前，至少接收下述之一：a)密钥， 或者b)来自密钥管理设施的安全参数索引。

3.如权利要求1所述的方法，其中所述安全参数索引是随机号码。

4.如权利要求1所述的方法，其中所述选择器至少包括下述之一： IP地址、端口号码、或者IP地址范围。

5.如权利要求1所述的方法，其中所述索引标注参数至少是下述 之一：次级安全参数索引或安全关联引用号码。

6.如权利要求1所述的方法，进一步包括在选择安全关联之前使 用数据分组的源地址和目的地地址从安全策略数据库确定策略。

7.如权利要求1所述的方法，其中形成安全参数索引包括将来自 所述活跃密钥位置的鉴权密钥的密钥ID和加密密钥的密钥ID串联。

8.如权利要求1所述的方法，进一步包括在发射所加密的数据分 组之前对所加密的数据分组鉴权。

9.如权利要求1所述的方法，其中所述密钥是用于导出加密密钥 和鉴权密钥的主密钥。

10.一种用于对加密通信解密的方法，包括：

使用来自进入的数据分组的安全参数索引从安全关联数据库中选 择安全关联；

提取与所选择的安全关联链接的索引标注参数；

通过使用所述索引标注参数和从所述安全参数索引导出的密钥ID 在密钥存储数据库中搜索密钥位置来提取处理密钥；

使用所述处理密钥对所述进入的数据分组解密；以及

通过将所解密的数据分组中的选择器与所选择的安全关联匹配来 验证策略。

11.如权利要求10所述的方法，进一步包括：在使用来自进入的 数据分组的安全参数索引从安全关联数据库中选择安全关联之前，至 少接收下述之一：a)密钥，或者b)来自密钥管理设施的安全参数索 引。

12.如权利要求10所述的方法，其中所述选择器至少包括下述之 一：IP地址、端口号码、或者IP地址范围。

13.如权利要求10所述的方法，其中所述索引标注参数至少是下 述之一：次级安全参数索引或安全关联引用号码。

14.如权利要求10所述的方法，其中所述安全参数索引包括来自 所述密钥位置的鉴权密钥的密钥ID和加密密钥的密钥ID的串联。

15.如权利要求10所述的方法，进一步包括在解密之前使用所述 处理密钥对所述进入的数据分组鉴权。

16.一种用于对加密通信解密的方法，包括：

提取进入的数据分组的报头中的安全参数索引；

从所提取的安全参数索引确定密钥ID；

通过使用所确定的密钥ID在密钥存储数据库中搜索密钥位置来 确定处理密钥；

提取与所述密钥位置相关联的索引标注参数；

通过将所述索引标注参数与安全关联数据库中的索引标注参数匹 配来确定安全关联；

使用所述处理密钥对所述进入的数据分组解密；

通过将所解密的数据分组中的选择器与所述安全关联匹配来验证 策略。