本申請(qǐng)?zhí)峁┮环N預(yù)共享密鑰的獲取、分配方法及裝置，所述方法包括：接收終端設(shè)備發(fā)送的用來(lái)建立互聯(lián)網(wǎng)安全隧道的協(xié)商報(bào)文；判斷所述協(xié)商報(bào)文中是否包括所述終端設(shè)備的用戶信息；如果所述協(xié)商報(bào)文中包括所述終端設(shè)備的用戶信息，則將所述用戶信息發(fā)送給服務(wù)器，以便于所述服務(wù)器在確定自身保存有所述用戶信息時(shí)，隨機(jī)生成預(yù)共享密鑰，并將所述預(yù)共享密鑰發(fā)送至網(wǎng)絡(luò)設(shè)備和所述終端設(shè)備；接收所述服務(wù)器發(fā)送的與所述用戶信息對(duì)應(yīng)的預(yù)共享密鑰；使用所述預(yù)共享密鑰與所述終端設(shè)備進(jìn)行后續(xù)報(bào)文協(xié)商。采用本申請(qǐng)實(shí)施例，可以使用預(yù)共享密鑰進(jìn)行協(xié)商，防止攻擊者破解預(yù)共享密鑰，冒充真實(shí)用戶訪問(wèn)公司內(nèi)網(wǎng)盜取數(shù)據(jù)，提高了IKE協(xié)商的安全性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及信息安全技術(shù)領(lǐng)域，特別涉及一種預(yù)共享密鑰獲取、分配方法及裝置。

背景技術(shù)

隨著安全通信技術(shù)的發(fā)展，目前，幾乎所有的IP安全(IPsec，IP Security)隧道都是由互聯(lián)網(wǎng)密鑰交換(IKE，Internet Key Exchange)進(jìn)行協(xié)商的。其應(yīng)用最廣泛的場(chǎng)景是用戶使用IKE與公司內(nèi)網(wǎng)的網(wǎng)關(guān)協(xié)商建立IPsec隧道，加密訪問(wèn)公司內(nèi)網(wǎng)數(shù)據(jù)。

其中，IKE的協(xié)商過(guò)程分為兩個(gè)獨(dú)立的協(xié)商階段，第一階段是具有身份保護(hù)并能協(xié)商大量屬性的主模式協(xié)商階段；第二階段是快速模式協(xié)商階段。

在第一階段，通信雙方之間建立一個(gè)已通過(guò)身份驗(yàn)證和安全保護(hù)的通道，即建立IKE安全聯(lián)盟(SA，Security Association)，第二階段在IKE SA的保護(hù)下為另一個(gè)不同的協(xié)議(比如IPSec)協(xié)商安全服務(wù)，它的安全性建立在第一階段的安全性之上。

IKE協(xié)議的交換機(jī)制在DH(Diffie-Hellman)密鑰交換算法的基礎(chǔ)上，由于DH交換容易受到“黑客或中間人”的攻擊，為了防止黑客或中間人的攻擊，必須對(duì)通信雙方的身份進(jìn)行認(rèn)證，其認(rèn)證方式主要通過(guò)預(yù)共享密鑰方式。也就是說(shuō)，通信雙方通過(guò)帶外機(jī)制預(yù)先配置預(yù)共享密鑰，基于該共享密鑰進(jìn)行雙方的身份認(rèn)證，以及利用預(yù)共享密鑰計(jì)算后續(xù)加密密鑰。但是，這種預(yù)共享密鑰方式是可以被破解的，由于IKE協(xié)商的前4條報(bào)文都是明文傳送，除了預(yù)共享密鑰(pre-shared-key)是未知的，其他的密鑰材料、加密算法都可以被截獲。加上協(xié)議規(guī)定某些協(xié)商報(bào)文的字段是固定的，黑客或中間人只需使用簡(jiǎn)單的暴力破解手段，將加密的報(bào)文進(jìn)行破解，即可獲取到pre-shared-key，那么加密報(bào)文的內(nèi)容也相應(yīng)被解開。也即是說(shuō)，用戶使用的預(yù)共享密鑰被破解后，黑客或中間人便可冒充真實(shí)用戶訪問(wèn)公司的內(nèi)網(wǎng)數(shù)據(jù)。

由此可知，由于預(yù)共享密鑰容易被破解，無(wú)法提供安全的IKE協(xié)商，如何保證安全的IKE協(xié)商是目前有待解決的技術(shù)問(wèn)題。

發(fā)明內(nèi)容

有鑒于此，本申請(qǐng)?zhí)峁┮环N預(yù)共享密鑰獲取、分配方法及裝置，以解決由于現(xiàn)有技術(shù)中預(yù)共享密鑰容易被破解，導(dǎo)致IKE協(xié)商的安全性降低的問(wèn)題。

具體地，本申請(qǐng)是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：

根據(jù)本申請(qǐng)實(shí)施例的第一方面，提供一種預(yù)共享密鑰的獲取方法，所述方法應(yīng)用于網(wǎng)絡(luò)設(shè)備；所述方法包括：

接收終端設(shè)備發(fā)送的用來(lái)建立互聯(lián)網(wǎng)安全隧道的協(xié)商報(bào)文；

判斷所述協(xié)商報(bào)文中是否包括所述終端設(shè)備的用戶信息；

如果所述協(xié)商報(bào)文中包括所述終端設(shè)備的用戶信息，則將所述用戶信息發(fā)送給服務(wù)器，以便于所述服務(wù)器在確定自身保存有所述用戶信息時(shí)，隨機(jī)生成預(yù)共享密鑰，并將所述預(yù)共享密鑰發(fā)送至所述網(wǎng)絡(luò)設(shè)備和所述終端設(shè)備；

接收所述服務(wù)器發(fā)送的與所述用戶信息對(duì)應(yīng)的預(yù)共享密鑰；

使用所述預(yù)共享密鑰與所述終端設(shè)備進(jìn)行后續(xù)報(bào)文協(xié)商。

根據(jù)本申請(qǐng)實(shí)施例的第二方面，提供一種預(yù)共享密鑰的分配方法，所述方法應(yīng)用于服務(wù)器；所述方法包括：