[发明专利]一种实现端到端安全防护的方法、安全网关及系统

说明书

技术领域

本发明涉及通信安全技术领域，尤其涉及一种实现端到端安全防护的方法、安全网关及系统。

背景技术

目前，互联网和移动互联网设备，如电脑、智能手机等，可通过固定宽带接入、移动3G(3^rd Generation，第三代移动通信技术)接入和无线WLAN(Wireless Local Area Networks，即WLAN)接入联入互联网和移动互联网。中国电信、中国联通和中国移动等电信运营商为用户提供各种接入服务，例如，中国移动提供固定宽带接入、移动3G接入和无线WLAN接入等多种接入方式。一台设备，如智能手机，可以通过3G和WLAN等多种方式接入，当仅有3G信号时，使用3G接入，当仅有WLAN或者WLAN和3G信号共存时，使用WLAN接入，随着接入方式的切换，接入设备的IP地址可能也会相应地变化。

在实际应用中，为了防止重要数据被窃听和篡改，用户希望保护端到端通信安全。例如，公司员工与领导利用手机交流公司机密信息，情侣间利用手机传递一些隐秘内容，用户利用3G或者WLAN接入的智能手机与固定宽带接入的家里电脑间传递重要数据等一些情况下，保证端到端通信安全都是非常必要的。

IP Security(网络协议安全性，简称IPsec)可以提供端到端通信安全防护。IPsec对IP数据报提供机密性、数据完整性、访问控制和数据源认证安全防护服务。这些服务是通过IPsec安全关联(Security Association，简称为SA)实现。IPsec SA定义了在IP数据报的发送端与接收端保护IP流量的方法，包括使用的通信安全协议，密钥算法和密码算法的密钥以及其它提供安全防护服务需要的信息。

由于手工方式建立IPsec SA的扩展性差，因此需要利用协议动态建立IPsec SA，这种协议称为Internet密钥交换协议(Internet Key Exchange，简称为IKE)。IKE的版本1IKE v1是在IETF的RFC 2407，RFC 2408，RFC2409中定义的。IKE的版本2IKE v2在RFC 4702中定义，并在RFC 4812作了澄清和修改。RFC 5996对RFC 4702和RFC 4812中作了澄清和更新，取代了两个RFC。IKE v2是对IKE v1的改变，不提供向后兼容性。

在通信双方建立IPsec SA前，IKE首先在通信双方建立IKE安全关联(简称为IKE SA)，然后利用IKE SA在双方间建立IPsec SA。在RFC 5996中，IPsec SA也称为IKE SA的孩子关联(Child SA)。在使用IKEv2的场景中，IPsec SA的通信安全协议采用定义在RFC 4302的封装安全载荷(Encapsulated Security Payload，简称为ESP)协议或者定义在RFC 4303中的认证头(Authentication Header，简称为AH)协议。

IPsec的部署方式共有三类：网关-网关(site-to-site)、远程接入(remote access)、主机-主机(host-to-host)。其中，网关-网关和远程接入模式主要用于企业网络环境，并且不能提供端到端安全防护。主机-主机模式可以提供端到端安全防护，需要通信的两个主机直接建立IKE SA和IPsec SA，然后利用IPsec SA保护双方通信的IP流量。

但是，现有技术中存在以下缺陷或不足：在利用IKE v2建立IKE SA时，通信双方需要认证对端，认证可以基于共享秘密或者证书方式进行。基于证书方式，用户需要拥有证书，对于一般用户来说，获得证书以及使用证书进行网络认证的过程和配置很复杂。基于共享秘密的方式，要求用户与每个对等方间都维护一对共享秘密，当对等方数目较多时，共享秘密的生成与维护将变得非常复杂。综上所述，两种认证方式对于一般的网络用户而言都比较复杂、不方便，这也是目前互联网上IPsec主机-主机模式部署不广泛的原因之一。

发明内容

本发明解决的技术问题是提供一种实现端到端安全防护的方法、安全网关及系统，避免了接入设备间直接建立IKE SA时复杂、难于部署的身份认证环节。

为解决上述技术问题，本发明提供了一种实现端到端安全防护的方法，

第一接入设备与第一安全网关、以及第二接入设备与第二安全网关分别建立网络密钥交换协议安全关联(IKE SA)；