技術領域

本發明涉及通信安全領域，尤其涉及一種安全協商的方法及裝置。

背景技術

路由器是現代通信網絡的基礎設施，因其根本功能是通過尋址與轉發(也即路由功能)實現網絡的互聯互通。隨著移動通信網絡與固定網絡、因特網的發展，網絡的主要應用基于互聯網協議(IP，Internet?Protocol)化的趨勢更加明顯，路由器的地位和作用越發重要。而早期的網絡設計者偏重于實現網絡的基本功能，卻忽略了安全要素，在設計路由器及路由協議時缺少對安全的考慮，安全機制缺失或不足，埋下了不少安全隱患；同時，技術的飛速進步提升了對數據的處理能力，但同時也提升了攻擊者的攻擊手段和攻擊能力，大大提高了攻擊、破壞的路由基礎設施的可能性。同時，由于路由器在整個通信網絡的基礎性的地位，決定了對路由器的攻擊帶來較嚴重的破壞性，因此，路由設備之間的安全需要進行加固。

在當前的網絡中，路由設備之間的安全主要通過路由設備的安全、路由協議的安全來保證。路由設備的安全可由運營商通過部署和管理措施實現；路由協議的安全主要通過擴展路由協議，增加認證字段的方式實現，而認證字段中的密鑰需要進行人工配置。隨著網絡規模的增長，人工配置和更新不能實現快速的更換密鑰、更換認證算法等安全需求。同時，人工配置的方式，不僅增加了管理員的工作量。而且會因管理員的離職等原因發生路由器安全密鑰的泄露問題，不利于路由器安全的大規模部署和管理工作。

如何實現為路由器和路由協議提供自動協商密鑰的功能，使之實現密鑰的自動更新、認證算法的協商等功能，以及降低密鑰泄露的可能性，是當前需要解決的問題。

發明內容

有鑒于此，本發明的主要目的在于提供一種安全協商的方法及裝置。

為達到上述目的，本發明的技術方案是這樣實現的：

一種安全協商的方法，包括：

在網絡設備之間建立安全聯盟，根據在因特網安全連接和密鑰管理協議(ISAKMP)中修改或者增加的載荷，進行路由協議的安全聯盟的協商，并建立路由協議的安全聯盟。

優選地，所述網絡設備可以為：路由器、交換機、防火墻、統一威脅管理設備等具有路由功能的設備。

優選地，建立路由協議的安全聯盟具體為：

網絡設備之間通過交互包含安全聯盟載荷的報文，確定安全聯盟的屬性。

優選地，路由協議安全聯盟的屬性包括以下之一或任意組合：密碼算法、安全聯盟的標識、生存時間。

優選地，密碼算法具體為：用于機密性和/或完整性保護的算法。

優選地，建立路由協議的安全聯盟具體為：

網絡設備之間通過報文交互，確定安全聯盟中的密鑰。

優選地，確定安全聯盟中的密鑰具體為：網絡設備中一方確定出機密性和/或完整性保護的密鑰，將所述密鑰發送給網絡設備中的另一方。

優選地，確定安全聯盟中的密鑰具體為：

網絡設備之間通過交互密鑰相關載荷的報文，由網絡設備雙方獨立計算出共享密鑰；其中，所述密鑰相關載荷的報文包括以下一種或多種：承載密鑰交換(KE)，隨機數的載荷。

優選地，確定安全聯盟中的密鑰具體為：

網絡設備一方向網絡設備中的另一方發送包含隨機數載荷的報文，由網絡設備雙方基于已有的共享密鑰和隨機數載荷，確定安全聯盟中的密鑰。

優選地，所述包含安全聯盟載荷的報文中承載有安全聯盟協商的路由協議標識信息或者進行路由協議的安全聯盟協商的指示信息。

優選地，所述包含安全聯盟載荷的報文還包含提案載荷和轉碼載荷，所述提案載荷中承載有安全參數索引(SPI)相關信息；

所述轉碼載荷中承載有路由協議安全聯盟生存時間和/或路由協議安全聯盟認證算法。

優選地，在所述安全聯盟載荷中設置新載荷，用于承載進行路由協議的安全聯盟協商的指示信息，和/或承載待建立安全聯盟的路由協議標識信息，和/或待建立安全聯盟的路由協議的轉碼標識(Transform?ID)信息。

優選地，在所述安全聯盟載荷中設置新載荷，用于承載有安全聯盟協商的路由協議標識信息，和/或待建立安全聯盟的路由協議的轉碼標識(Transform?ID)信息。

一種安全協商的裝置，包括第一安全聯盟建立單元和第二安全聯盟建立單元，其中，

第一安全聯盟建立單元，用于在路由器之間建立安全聯盟；