[發明專利]基于IKE協議的網絡層安全防護系統及方法有效
| 申請號: | 202110757603.6 | 申請日: | 2021-07-05 |
| 公開(公告)號: | CN113364811B | 公開(公告)日: | 2022-09-13 |
| 發明(設計)人: | 王軍力;肖晉;吳小平 | 申請(專利權)人: | 上海輝禹科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L9/08;H04L67/10 |
| 代理公司: | 北京華仁聯合知識產權代理有限公司 11588 | 代理人: | 國紅 |
| 地址: | 200135 上海市浦東新區(上海)自由*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 ike 協議 網絡 安全 防護 系統 方法 | ||
1.基于IKE協議的網絡層安全防護方法,其特征在于,該方法包括:
步驟1)為路由器內部網關管轄的所有邊緣網絡端點生成用于完成安全關聯協商的基礎參數,以路由器同時作為第一、第二區塊鏈節點,將各邊緣網絡端點的基礎參數上鏈到第一區塊鏈,并由新建的區塊完成基礎參數的實時更新;
步驟2)采用IKE協議下的主模式交互方式,利用鏈上存儲的基礎參數完成發起方與響應方之間的IKE SA協商;
步驟3)以協商通過的IKE SA作為數據的安全傳輸通道,采用IKE協議的快速模式交互方式,完成發起方與響應方之間的IPsec SA協商,并將IKE SA協商和IPsec SA協商過程中的交換數據通過本地路由器上鏈到第二區塊鏈;
在步驟2)中采用IKE協議的主模式交互方式實現IKE SA協商的具體過程為:
步驟201)發起方向響應方發送若干個IKE安全策略提議,所述的IKE安全策略提議包括:加密算法、認證算法、Diffie-Hellmman組及認證方法;
步驟202)響應方查看接收到的IKE安全策略,并嘗試在本地尋找與之匹配的安全策略,將匹配的安全策略作為響應消息回傳給發起方;
步驟203)發起方生成承載有路由域標識符RDIi、Diffie-Hellmman交換值DHi和隨機數Ni的報文,并通過本地路由器發送給響應方,所述的交換值DHi由雙方協商通過的Diffie-Hellmman算法確定;
步驟204)響應方從第一區塊鏈中查找與接收到的路由域標識符RDIi匹配的內網索引表,提取表頭中的密鑰公開值和報文中的源IP地址,計算發起方的偽地址標識符FIDi:
其中,RDIi表示發起方路由器的路由域標識符,IPi表示發起方的真實IP地址;
在表體中檢索與偽地址標識符FIDi匹配的行數據,并提取臨時公鑰、密鑰交換臨時公開值TPi、二次交換標識符保存到本地;
響應方生成Diffie-Hellmman交換值DHr,并計算其與發起方之間的共享密鑰Kr_i:
其中,表示由密鑰公開值Pi參與運算的加密算法,以響應方設置的密值er作為密鑰對交換值DHi進行加密,TPi表示發起方的密鑰交換臨時公開值,TPr表示響應方的密鑰交換臨時公開值;
響應方生成承載有路由域標識符RDIr、Diffie-Hellmman交換值DHr和隨機數Nr的報文,并通過本地路由器回傳給發起方,所述的交換值DHr由雙方協商通過的Diffie-Hellmman算法確定;
步驟205)發起方從第一區塊鏈中查找與接收到的路由域標識符RDIr匹配的內網索引表,提取表頭中的密鑰公開值和報文中的源IP地址,計算響應方的偽地址標識符FIDr:
其中,RDIr表示響應方路由器的路由域標識符,IPr表示響應方的真實IP地址;
在表體中檢索與偽地址標識符FIDr匹配的行數據,并提取臨時公鑰、密鑰交換臨時公開值TPr、二次交換標識符保存到本地;
計算發起方與響應方之間的共享密鑰Ki_r:
其中,表示由密鑰公開值Pi參與運算的加密算法,以發起方設置的密值ei作為密鑰對交換值DHr進行加密,生成的共享密鑰Ki_r與Kr_i相同;
步驟206)發起方利用共享密鑰Ki_r生成基準密鑰SKEYID,并由基準密鑰SKEYID衍生出驗證密鑰SKEYID_a、推導密鑰SKEYID_d和加密密鑰SKEYID_e,將協商通過的IKE安全策略的所有安全參數、發送方IP地址進行哈希運算,獲得哈希值HASH_I,并由臨時私鑰進行數字簽名,生成承載有發送方IP地址、哈希值HASH_I密文的報文,通過本地路由器發送給響應方,所述的發送方IP地址和簽名的哈希值HASH_I經加密密鑰SKEYID_e進行加密;
步驟207)響應方利用共享密鑰Kr_i生成基準密鑰SKEYID,并由基準密鑰SKEYID衍生出驗證密鑰SKEYID_a、推導密鑰SKEYID_d和加密密鑰SKEYID_e,利用加密密鑰SKEYID_e對密文進行解密,利用發起方的臨時公鑰對明文中的哈希值HASH_I驗簽,提取明文中的發送方IP地址和報頭中的所有安全參數進行哈希運算,將計算結果與驗簽的哈希值HASH_I比較,在確認相同后,將所有安全參數、響應方IP地址進行哈希運算,獲得哈希值HASH_R,并由臨時私鑰進行數字簽名,生成承載有響應方IP地址、哈希值HASH_R密文的報文,并通過本地路由器發送給發起方,所述的響應方IP地址和簽名的哈希值HASH_R經加密密鑰SKEYID_e進行加密;
步驟208)響應方利用加密密鑰SKEYID_e對密文進行解密,利用響應方的臨時公鑰對明文中的哈希值HASH_R驗簽,提取明文中的響應方IP地址和報頭中的所有安全參數進行哈希運算,將計算結果與驗簽的哈希值HASH_R比較,在確認相同后完成IKE SA協商;
在步驟3)中采用IKE協議的快速模式交互方式實現IPsec SA協商的具體過程為:
步驟301)發起方將驗證密鑰SKEYID_a、IPsec SA安全策略提議的安全參數SP、隨機數Ni進行哈希運算,獲得哈希值HASH_1,并由臨時私鑰進行數字簽名,生成承載有簽名的哈希值HASH_1、安全參數SP、隨機數Ni密文的報文,通過本地路由器發送給響應方,所述的哈希值HASH_1、安全參數SP、隨機數Ni經加密密鑰SKEYID_e進行加密;
步驟302)響應方利用加密密鑰SKEYID_e對密文進行解密,利用發起方的臨時公鑰對明文中的哈希值HASH_1驗簽,提取明文中的安全參數SP、隨機數Ni和本地的驗證密鑰SKEYID_a進行哈希運算,將計算結果與驗簽的哈希值HASH_1比較,在確認相同后,響應方查看接收到的IPsec SA安全策略,并嘗試在本地尋找與之匹配的安全策略,將驗證密鑰SKEYID_a、匹配成功的IPsec SA安全策略的安全參數SP′、隨機數Nr進行哈希運算,獲得哈希值HASH_2,并由臨時私鑰進行數字簽名,生成承載有簽名的哈希值HASH_2、安全參數SP′、隨機數Nr密文的報文,通過本地路由器發送給發起方,所述的哈希值HASH_2、安全參數SP′、隨機數Nr經加密密鑰SKEYID_e進行加密;
同時,響應方在本地生成用于報文數據加密的二次交換密鑰:
其中,KIDi表示發起方的二次交換標識符,KIDr表示響應方的二次交換標識符;
步驟303)發起方利用加密密鑰SKEYID_e對密文進行解密,利用響應方的臨時公鑰對明文中的哈希值HASH_2驗簽,提取明文中的安全參數SP′、隨機數Nr和本地的驗證密鑰SKEYID_a進行哈希運算,將計算結果與驗簽的哈希值HASH_2比較,在確認相同后,完成IPsec SA協商;
同時,發起方在本地生成用于數據加密的二次交換密鑰:
最后,將驗證密鑰SKEYID_a、隨機數Ni、隨機數Nr進行哈希運算,獲得哈希值HASH_3作為回應消息,通過報文承載并由本地路由器發送給響應方。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海輝禹科技有限公司,未經上海輝禹科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110757603.6/1.html,轉載請聲明來源鉆瓜專利網。
