[发明专利]安全关联协商方法、设备和系统

说明书

本发明公开了一种安全关联(SA)协商方法、设备和系统，所述方法包括：密钥服务器为通信发起方及通信响应方分别生成对应所述通信发起方的私钥及对应所述通信响应方的私钥；所述通信发起方和所述通信响应方利用各自的私钥将各自待发送报文的数字摘要加密为签名信息，将所述签名信息封装入所述待发送报文并发送至对方；所述通信发起方和所述通信响应方分别确定对方的公钥，并利用所述确定的对方的公钥和各自接收到报文中的签名信息对对方进行认证。通过本发明，能够解决SA协商的实现流程复杂，通信负载重的问题，并能够对部署网际协议安全(IPSec)协议的网络的通信进行安全监管和合法监听。

技术领域

本发明涉及数字信息传输技术，尤其涉及一种安全关联(SA，SecurityAssociation)协商方法、设备和系统。

背景技术

目前，网际协议版本4(IPv4，Internet Protocol version4)定义的有限地址空间将被耗尽，地址空间的不足必将妨碍互联网的进一步发展，因此，为了扩大地址空间，基于网际协议版本6(IPv6，Internet Protocol version6)的网络部署已逐渐提上日程。

与IPv4相比，IPv6在很多方面做了改进，比如：在安全方面支持网际协议安全(IPSec，Internet Protocol Security)协议，如此，IPv6网络可以实现端到端、以及网关到网关的加密通信和认证鉴权，从而保障了网络的通信安全。

IPSec协议在IPv6网络部署的场景可以分为以下三种：

(1)站点到站点(Site-to-Site)或者网关到网关，与之对应的，IPSec协议部署场景示意图如图1a所示，某企业的三个机构分布在互联网的三个不同地方，且三个机构分别使用一个网关相互建立IPSec隧道，企业内网的若干个人电脑(PC，Personal Computer)之间的数据通过这些网关建立的IPSec隧道实现安全互联。

(2)端到端(End-to-End)或者PC到PC，两个PC之间的通信由两个PC之间的IPSec会话进行保护，而不是由网关进行保护。

(3)端到站点或者PC到网关(End-to-Site)，两个PC之间的通信由网关和异地PC之间的IPSec会话进行保护。

在IPv6网络中部署IPSec协议时，由于移动终端支持IPSec协议的实现难度较大，因此，IPv6网络的应用初期主要在网关到网关场景下进行IPSec协议的部署，主要有以下两种情况：

(1)IPv6网络的流量穿越IPv4网络下的部署，图1b为IPv6网络的流量穿越IPv4网络的示意图，如图1b所示，位于一孤岛上的IPv6网络的主机A与位于另一孤岛上的IPv6网络的主机B进行通信，两个孤岛上的IPv6网络通过网关A和网关B相连接，且网关A和网关B之间通过IPSec隧道在IPv4网络中进行通信；

(2)IPv6网络中的部署，图1c为IPv6流量穿越IPv6网络的示意图，如图1c所示，位于一孤岛上的IPv6网络的主机A与位于另一孤岛上的IPv6网络的主机B进行通信，两个孤岛上的IPv6网络通过网关A和网关B相连接，且网关A和网关B之间通过IPSec隧道在IPv6网络中进行通信。

但是，在IPv6网络中采用IPSec协议保障网络的通信安全时，由于IPSec协议本身对资源和网络的性能等方面有较高的要求，为网络的真正部署和落地带来了很大的阻力，具体表现在以下几个方面：

第一，IPSec协议规定：密钥协商过程要求支持公钥体制及证书系统，这就要求IPSec的支持端需要进行颁发证书、管理证书、以及验证证书等操作，实现流程过于复杂、通信负载较重。

下面以网关到网关场景为例说明IPSec协议部署过程，包括两个阶段：