[发明专利]安全联盟管理方法及设备

权利要求书

1.一种安全联盟(SA)创建方法，其特征在于，该方法包括：

第一路由器从自身的Key Table中查找到第二路由器对应的记录r，并生成随机数Nonce值；所述记录r包括：密钥Key、本地密钥标识LocalKeyID和接口Interface；

所述第一路由器利用所述Nonce值和所述记录r通过伪随机函数生成RFC2747中定义的RSVP-TE协议的密钥标识KeyID和子密钥Ks。

2.根据权利要求1所述的方法，其特征在于，所述第一路由器生成Nonce值之后、生成KeyID和Ks之前，该方法还包括：

所述第一路由器将所述记录r中的本地密钥标识LocalKeyID和所述Nonce值作为SMO对象中的Key Identifier字段和Nonce字段。

3.根据权利要求1或2所述的方法，其特征在于，所述第一路由器生成KeyID和Ks之后，该方法还包括：

所述第一路由器将所述生成的KeyID和Ks写入本地RSVP-TE SA库。

4.根据权利要求1或2所述的方法，其特征在于，所述第一路由器利用所述Nonce值和所述记录r通过伪随机函数生成KeyID和Ks包括：

利用所述Nonce值、以及所述记录r中的Key、LocalKeyID和Interface，分别通过伪随机函数KeyID＝truncate-48(prf(Key,LocalKeyID,Interface,Nonce))和Ks＝truncate(prf(Key,LocalKeyID,Interface,Nonce))生成KeyID和Ks。

5.一种SA建立方法，其特征在于，该方法包括：

第一路由器创建SA，生成SMO对象；并向第二路由器发送携带SMO对象、INTEGRITY对象的RSVP-TE协议消息；

所述第二路由器收到RSVP-TE协议消息后，根据所述RSVP-TE协议消息中携带的SMO对象从第二路由器自身的Key Table中查找到与第一路由器上相同的记录r，利用第一路由器创建SA时生成的随机数Nonce值和所述的记录r通过伪随机函数生成KeyID和Ks，并使用生成的KeyID和Ks验证所述RSVP-TE协议消息的完整性，然后向第一路由器返回携带所述SMO对象的应答消息；所述记录r包括：Key、LocalKeyID和Interface；

所述第一路由器收到所述应答消息后，对所述应答消息进行相应处理。

6.根据权利要求5所述的方法，其特征在于，所述第二路由器根据所述RSVP-TE协议消息中携带的SMO对象从第二路由器自身的Key Table中查找到与第一路由器上相同的记录r包括：

所述第二路由器根据所述RSVP-TE协议消息中携带的SMO对象中的Key Identifier字段，从第二路由器自身的Key Table中查找与所述Key Identifier字段的内容相对应的对等密钥标识PeerKeyID字段，并根据查找到的PeerKeyID字段从第二路由器自身的Key Table中查找到与第一路由器上相同的记录r；

其中，所述Key Identifier字段的内容为第一路由器在创建SA的过程中查找到的第二路由器对应的记录r中的LocalKeyID字段；所述Key Identifier字段的长度为16位。

7.根据权利要求6所述的方法，其特征在于，所述第二路由器利用Nonce值和所述记录r通过伪随机函数生成KeyID和Ks包括：

所述第二路由器将所述记录r中的Key、PeerKeyID和Interface的值、以及Nonce值，分别通过伪随机函数KeyID＝truncate-48(prf(Key,LocalKeyID,Interface,Nonce))和Ks＝truncate(prf(Key,LocalKeyID,Interface,Nonce))生成KeyID和Ks；其中，LocalKeyID字段对应本地的PeerKeyID字段。