[發明專利]一種實現端到端安全防護的方法、安全網關及系統有效
| 申請號: | 201110452344.2 | 申請日: | 2011-12-29 |
| 公開(公告)號: | CN103188228B | 公開(公告)日: | 2018-05-01 |
| 發明(設計)人: | 張瑞山;謝振華;張孟旺 | 申請(專利權)人: | 中興通訊股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/66 |
| 代理公司: | 北京安信方達知識產權代理有限公司11262 | 代理人: | 吳艷,龍洪 |
| 地址: | 518057 廣東省深圳市南山*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 實現 端到端 安全 防護 方法 安全網關 系統 | ||
1.一種實現端到端安全防護的方法,其特征在于,
第一接入設備與第一安全網關、以及第二接入設備與第二安全網關分別建立網絡密鑰交換協議安全關聯IKE SA;
所述第一接入設備與所述第二接入設備的接入網絡相同時,所述第一安全網關與所述第二安全網關為所述相同接入網絡中的同一個IPsec網關;
所述第一接入設備與所述第二接入設備的接入網絡不相同時,所述第一安全網關與所述第二安全網關分別為所述兩個不同接入網絡中的不同IPsec網關;且所述兩個不同IPsec網關之間建立IKE SA;
所述第一接入設備與所述第二接入設備建立并維護網絡協議安全性安全關聯IPsec SA,所述IPsec SA的建立與維護過程受所述第一接入設備與所述第一安全網關、以及所述第二接入設備與所述第二安全網關建立的IKE SA安全保護;
所述第一接入設備與所述第一安全網關、所述第二接入設備與所述第二安全網關,以及所述第一安全網關與所述第二安全網關之間建立IKE SA的過程,在所述第一接入設備與所述第二接入設備建立IPsec SA的過程之前、或者與所述第一接入設備與所述第二接入設備建立IPsec SA的過程同時進行;
當建立IKE SA的過程與所述建立IPsec SA的過程同時進行時,在建立所述IKE SA的過程的消息中包含用于建立所述IKE SA的參數,還包含用于建立所述IPsec SA的參數。
3.如權利要求1所述的方法,其特征在于,
所述第一接入設備與所述第二接入設備建立的所述IPsec SA中的密鑰通過迪菲-赫爾曼密鑰協商機制Diffie-Hellman協商與派生。
4.如權利要求1所述的方法,其特征在于,
所述維護IPsec SA的過程,包括:IPsec SA更新、IPsec SA刪除、以及接入設備IP地址變化通知。
5.一種實現端到端安全防護的系統,其特征在于,所述系統包括接入網絡中的接入設備和安全網關,所述接入設備中包括網絡密鑰交換協議安全關聯IKE SA建立單元和網絡協議安全性安全關聯IPsec SA建立單元,所述安全網關中包括IKE SA建立模塊,其中:
所述IKE SA建立單元用于,與本接入網絡中的安全網關建立IKE SA;
所述IKE SA建立模塊用于,與本接入網絡中的接入設備、或者與其他接入網絡中的安全網關建立IKE SA;
所述IPsec SA建立單元用于,與本接入網絡或者其他接入網絡中的其他接入設備建立并維護IPsec SA,且所述IPsec SA的建立與維護過程受建立的IKE SA安全保護;用于在與所述其他接入設備發起建立所述IPsec SA時,如果與本接入網絡中的安全網關已建立IKE SA,則基于建立的所述IKE SA建立所述IPsec SA;如果與本接入網絡中的安全網關還未建立IKE SA,則同時進行建立IKE SA及所述IPsec SA的過程,且在建立所述IKE SA的過程的消息中包含用于建立所述IKE SA的參數,還包含用于建立所述IPsec SA的參數。
6.如權利要求5所述的系統,其特征在于,
所述IPsec SA建立單元維護IPsec SA的過程,包括:IPsec SA更新、IPsec SA刪除、以及接入設備IP地址變化通知。
7.如權利要求5所述的系統,其特征在于,
所述IPsec SA建立單元建立的所述IPsec SA中的密鑰通過迪菲-赫爾曼密鑰協商機制協商與派生。
8.一種實現端到端安全防護的安全網關,其特征在于,所述安全網關包括IKE SA建立模塊,
所述IKE SA建立模塊用于,與本接入網絡中的接入設備、或者與其他接入網絡中的安全網關建立IKE SA;
其中,所述IKE SA建立模塊具體用于:
分別與本接入網絡中的第一接入設備和第二接入設備建立IKE SA,對所述第一接入設備和所述第二接入設備之間建立并維護的IPsec SA進行安全保護;安全網關與本接入網絡中的第一接入設備和第二接入設備建立IKE SA的過程,在所述第一接入設備與所述第二接入設備建立IPsec SA的過程之前、或者與所述第一接入設備與所述第二接入設備建立IPsec SA的過程同時進行;當建立IKE SA的過程與所述建立IPsec SA的過程同時進行時,在建立所述IKE SA的過程的消息中包含用于建立所述IKE SA的參數,還包含用于建立所述IPsec SA的參數;
或者,分別與本接入網絡中的第一接入設備、以及其他接入網絡中的安全網關建立IKE SA,對所述第一接入設備和所述其他接入網絡中的第二接入設備之間建立并維護的IPsec SA進行安全保護;安全網關與第一接入設備和安全網關與其他接入網絡中的安全網關建立IKE SA的過程,在所述第一接入設備與所述第二接入設備建立IPsec SA的過程之前、或者與所述第一接入設備與所述第二接入設備建立IPsec SA的過程同時進行;當建立IKE SA的過程與所述建立IPsec SA的過程同時進行時,在建立所述IKE SA的過程的消息中包含用于建立所述IKE SA的參數,還包含用于建立所述IPsec SA的參數。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中興通訊股份有限公司,未經中興通訊股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201110452344.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種WCDMA信道配置方法和裝置
- 下一篇:一種防寒型電液動裝車閘門
