[发明专利]建立安全性关联和认证以保护发起方与响应方之间的通信

说明书

提供了用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品、系统和方法实施例。响应方从发起方接收安全性关联初始化消息以建立与响应方的安全性关联，该安全性关联初始化消息包括用于生成用于安全性关联的密钥的密钥材料。在建立安全性关联之后，响应方从发起方接收认证消息以对响应方进行编程以在响应方与发起方之间建立认证。响应于该认证消息，响应方向发起方发送认证消息响应以建立与响应方的认证。响应方在发送认证消息响应之后，响应方向发起方发送认证完成消息，以使发起方激活使用安全性关联和密钥来对响应方与发起方之间的通信进行加密和解密。

技术领域

本发明涉及用于建立安全性关联和认证以保护发起方与响应方之间的通信的计算机程序产品、系统和方法。

背景技术

在光纤通道环境中，为了提供光纤通道架构中的节点之间的安全和加密通信，使用安全性建立协议在SA_Initiator与SA_Responder之间进行安全性关联(SA)管理事务。安全性关联管理协议可以由光纤通道认证协议的认证响应方发起。发起方和响应方可以包括在光纤通道网络中的设备中的主机总线适配器中的端口。为端口处的数据发送和数据接收建立单独的安全性关联。SA建立事务的完成导致一组安全性关联和相关的密钥材料，它们被用于在所建立的安全性关联下加密/解密发起方与目标之间的数据通信。

用于保护安全性关联中的数据以便进行发送和接收的密码密钥可以作为密钥更新(rekey)操作的一部分而被周期性地刷新，密钥更新操作涉及重复安全建立协议和重新认证。安全性关联协议的一个示例是T11光纤通道安全性协议标准FC-SP-2中的安全性关联管理协议，其类似于由诸如因特网密钥交换版本2(IKEv2)之类的因特网协议标准定义的协议。该协议包括一对消息SA_Init和SA_Init Response以建立父关联，其后是一对消息SA_Auth和SA_Auth Response以执行实体的认证并建立保护实体之间传送的数据的安全性关联。

当使用重新认证来执行密钥更新操作时，在发起方和目标处维持多个安全性关联，直到删除旧的安全性关联为止。在特定实现中，为了避免在该时间期间的业务丢失，使用新的安全性关联的数据传输被一直延迟，直到从响应方接收到删除请求之后的某个时间为止。如果在用于建立新的安全性关联的消息传递中发生错误，则可能导致不一致的状态和业务丢失。

在本领域中需要用于为节点之间的数据传输建立安全性关联的改进技术。因此，在本领域中需要解决上述问题。

发明内容

从第一方面来看，本发明提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品，所述计算机程序产品包括具有在响应方处实现的计算机可读程序代码的计算机可读存储介质，所述计算机可读程序代码在被执行时执行操作，所述操作包括：从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联，所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料；在建立所述安全性关联之后，从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证；响应于所述认证消息，向所述发起方发送认证消息响应以建立与所述响应方的认证；以及在发送所述认证消息响应之后，向所述发起方发送认证完成消息，以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。