本發(fā)明涉及通信領(lǐng)域���,具體而言��,涉及一種VPN網(wǎng)關(guān)的密鑰的更新方法及系統(tǒng)�����。
背景技術(shù):
:虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)就是利用不可靠的公用互連網(wǎng)作為信息傳輸媒介,通過附加的安全隧道�、用戶認(rèn)證等技術(shù)實(shí)現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能,從而實(shí)現(xiàn)對(duì)重要信息的傳輸。通過VPN可以使一個(gè)大型的跨國���、跨地區(qū)企業(yè)通過Internet建立一個(gè)安全的企業(yè)內(nèi)部網(wǎng),可以使企業(yè)分布于各地的雇員��、客戶、合作伙伴通過Internet等公網(wǎng)建立于企業(yè)內(nèi)部網(wǎng)的安全聯(lián)系�。IPSec(IP安全協(xié)議)作為虛擬專用網(wǎng)(VPN)的實(shí)現(xiàn)技術(shù)之一,有著廣泛的應(yīng)用�����。IKE(InternetKeyExchange))作為IPSec重要組成部分��,能夠動(dòng)態(tài)協(xié)商和管理SA(SecurityAssociation)�����,從而建立IPSecVPN之間安全的通訊隧道����,IKE的改進(jìn)版本IKEv2也進(jìn)一步增強(qiáng)了通訊隧道的安全性��。需要說明的是���,在上述傳統(tǒng)的IPSec技術(shù)中,VPN網(wǎng)關(guān)更新密鑰的方法存在如下限制:VPN網(wǎng)關(guān)在更新密鑰的過程中需要依賴于一階段協(xié)商過程中的會(huì)話材料�,一旦這個(gè)衍生密鑰的來源被攻破,攻擊者很容易得到任何ipsecsa的任何密鑰��。針對(duì)上述VPN網(wǎng)關(guān)在更新密鑰的過程中密鑰來源容易被攻破����,導(dǎo)致VPN網(wǎng)關(guān)通信存在安全性隱患的問題,目前尚未提出有效的解決方案�。技術(shù)實(shí)現(xiàn)要素:本發(fā)明實(shí)施例提供了一種VPN網(wǎng)關(guān)的密鑰的更新方法及系統(tǒng),以解決現(xiàn)有的VPN網(wǎng)關(guān)在更新密鑰的過程中�,密鑰來源容易被攻破,導(dǎo)致VPN網(wǎng)關(guān)通信存在安全性隱患的技術(shù)問題��。根據(jù)本發(fā)明實(shí)施例的一個(gè)方面�����,提供了一種VPN網(wǎng)關(guān)的密鑰的更新方法�����,包括:第一網(wǎng)關(guān)向第二網(wǎng)關(guān)發(fā)送密鑰更新通知;第一網(wǎng)關(guān)接收第二網(wǎng)關(guān)根據(jù)密鑰更新通知反饋的第二密鑰更新規(guī)則���;第一網(wǎng)關(guān)判斷第一網(wǎng)關(guān)中預(yù)設(shè)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則是否相同�����,其中����,第一密鑰更新規(guī)則至少包括:第一網(wǎng)關(guān)密鑰的更新頻率��;在第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下��,第一網(wǎng)關(guān)根據(jù)第一網(wǎng)關(guān)密鑰的更新頻率從第一網(wǎng)關(guān)的密鑰本中提取至少一次第一密鑰���;第一網(wǎng)關(guān)使用第一密鑰更新第一網(wǎng)關(guān)的通信模塊中的密鑰。根據(jù)本發(fā)明實(shí)施例的另一方面�,還提供了一種VPN網(wǎng)關(guān)的密鑰的更新系統(tǒng),包括:第一網(wǎng)關(guān)�����,用于發(fā)送密鑰更新通知;第二網(wǎng)關(guān)����,與第一網(wǎng)關(guān)建立通信關(guān)系,用于接收密鑰更新通知�����,并根據(jù)密鑰更新通知反饋第二密鑰更新規(guī)則���;第一網(wǎng)關(guān)還用于判斷第一網(wǎng)關(guān)中預(yù)設(shè)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則是否相同����,其中�,第一密鑰更新規(guī)則至少包括:第一網(wǎng)關(guān)密鑰的更新頻率;在第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下��,第一網(wǎng)關(guān)用于根據(jù)第一網(wǎng)關(guān)密鑰的更新頻率從第一網(wǎng)關(guān)的密鑰本中提取至少一次第一密鑰����;第一網(wǎng)關(guān)還用于使用第一密鑰更新第一網(wǎng)關(guān)的通信模塊中的密鑰。在本發(fā)明實(shí)施例中�,采用第一網(wǎng)關(guān)向第二網(wǎng)關(guān)發(fā)送密鑰更新通知;第一網(wǎng)關(guān)接收第二網(wǎng)關(guān)根據(jù)密鑰更新通知反饋的第二密鑰更新規(guī)則�����;第一網(wǎng)關(guān)判斷第一網(wǎng)關(guān)中預(yù)設(shè)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則是否相同,其中����,第一密鑰更新規(guī)則至少包括:第一網(wǎng)關(guān)密鑰的更新頻率;在第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下��,第一網(wǎng)關(guān)根據(jù)第一網(wǎng)關(guān)密鑰的更新頻率從第一網(wǎng)關(guān)的密鑰本中提取至少一次第一密鑰��;第一網(wǎng)關(guān)使用第一密鑰更新第一網(wǎng)關(guān)的通信模塊中的密鑰的方式�,解決了現(xiàn)有的VPN網(wǎng)關(guān)在更新密鑰的過程中,密鑰來源容易被攻破����,導(dǎo)致VPN網(wǎng)關(guān)通信存在安全性隱患的技術(shù)問題。附圖說明此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解�����,構(gòu)成本申請(qǐng)的一部分�,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明���,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定��。在附圖中:圖1是根據(jù)本發(fā)明實(shí)施例一的VPN網(wǎng)關(guān)的密鑰的更新方法的流程圖�����;圖2是根據(jù)本發(fā)明實(shí)施例一的可選地VPN網(wǎng)關(guān)的密鑰的更新方法的示意圖��;圖3是根據(jù)本發(fā)明實(shí)施例一的可選地VPN網(wǎng)關(guān)的密鑰的更新方法的示意圖�;以及圖4是根據(jù)本發(fā)明實(shí)施例二的VPN網(wǎng)關(guān)的密鑰的更新系統(tǒng)的示意圖。具體實(shí)施方式為了使本
技術(shù)領(lǐng)域:
的人員更好地理解本發(fā)明方案����,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述�����,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。需要說明的是���,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”�����、“第二”等是用于區(qū)別類似的對(duì)象�����,而不必用于描述特定的順序或先后次序����。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換�����,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?�。此外�����,術(shù)語“包括”和“具有”以及他們的任何變形���,意圖在于覆蓋不排他的包含�,例如����,包含了一系列步驟或單元的過程、方法���、系統(tǒng)��、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元�,而是可包括沒有清楚地列出的或?qū)τ谶@些過程�����、方法����、產(chǎn)品或設(shè)備固有的其它步驟或單元。實(shí)施例一根據(jù)本發(fā)明實(shí)施例�����,提供了一種VPN網(wǎng)關(guān)的密鑰的更新方法的實(shí)施例,需要說明的是�,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行,并且�,雖然在流程圖中示出了邏輯順序,但是在某些情況下�����,可以以不同于此處的順序執(zhí)行所示出或描述的步驟���。圖1是根據(jù)本發(fā)明實(shí)施例一的VPN網(wǎng)關(guān)的密鑰的更新方法的流程圖����,如圖1所示���,該方法包括如下步驟:步驟A:第一網(wǎng)關(guān)向第二網(wǎng)關(guān)發(fā)送密鑰更新通知�����。具體地�����,在上述步驟A中�����,上述第一網(wǎng)關(guān)可以為VPN通信的主動(dòng)端�,上述第二網(wǎng)關(guān)可以為VPN通信的被動(dòng)端��,在VPN的主動(dòng)端需要更新密鑰的情況下�,VPN的主動(dòng)端可以向VPN的被動(dòng)端發(fā)送上述密鑰更新通知,以獲取VPN被動(dòng)端的第二密鑰更新規(guī)則���。在一種可選的實(shí)施例中�,VPN的主動(dòng)端也可以在上述密鑰更新通知中直接發(fā)送VPN的主動(dòng)端自身的第一密鑰更新規(guī)則����,上述第一密鑰更新規(guī)則可以為密鑰的更新頻率等信息,這里需要說明的是��,在本方案中����,可以采用IKE進(jìn)程來實(shí)現(xiàn)主動(dòng)端與被動(dòng)端之間關(guān)于密鑰更新的協(xié)商,上述密鑰更新通知可以增加在IKE第二階段的協(xié)商報(bào)文中。例如����,在IKE第二階段的協(xié)商中����,VPN的主動(dòng)端中的IKE進(jìn)程可以在向VPN的被動(dòng)端發(fā)送的報(bào)文中增加一個(gè)自定義的QKD的載荷�,該QKD的載荷可以定義為ISAKMP_NPTYPE_QKEY,該自定義的QKD載荷中可以攜帶有更新密鑰所需的信息即上述第一密鑰更新規(guī)則�����,在上述密鑰更新規(guī)則中可以包括VPN的主動(dòng)端自身的密鑰更新頻率等信息�。在一種可選地實(shí)施例中,上述VPN的主動(dòng)端或被動(dòng)端的密鑰更新頻率可以通過VPN隧道的命令界面進(jìn)行設(shè)置���,如圖2所示����,在該命令界面中�����,可以對(duì)密鑰的更新頻率進(jìn)行設(shè)置����,需要說明的是���,在圖2中所示的命令界面同樣可以設(shè)置隧道、網(wǎng)關(guān)IP地址�、VPN端點(diǎn)、封裝協(xié)議���、密鑰生存期等配置�。密鑰的更新頻率與隧道是對(duì)應(yīng)的�,每條隧道都可以配置自己的密鑰更新頻率����,在該命令界面中也可以設(shè)置有支持動(dòng)態(tài)密鑰的開關(guān),在開啟了支持動(dòng)態(tài)密鑰的開關(guān)之后��,用戶才可以配置密鑰的更新頻率�����。如圖中所示�����,密鑰更新頻率的配置范圍可以為1/min至6000/min�����。步驟B:第一網(wǎng)關(guān)接收第二網(wǎng)關(guān)根據(jù)密鑰更新通知反饋的第二密鑰更新規(guī)則。具體地�����,在上述步驟B中���,第二網(wǎng)關(guān)在接收到第一網(wǎng)關(guān)發(fā)送的密鑰更新通知后�����,可以向第一網(wǎng)關(guān)反饋第二網(wǎng)關(guān)自身的第二密鑰更新規(guī)則�。例如��,VPN的主動(dòng)端在向VPN的被動(dòng)端發(fā)送的VPN的主動(dòng)端自身的第一密鑰更新規(guī)則之后�,上述VPN的被動(dòng)端也同樣向VPN的主動(dòng)端反饋VPN的被動(dòng)端自身的密鑰更新規(guī)則,及VPN的被動(dòng)端也向VPN的主動(dòng)端發(fā)送QKD載荷���。步驟C:第一網(wǎng)關(guān)判斷第一網(wǎng)關(guān)中預(yù)設(shè)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則是否相同�,其中�����,第一密鑰更新規(guī)則至少包括:第一網(wǎng)關(guān)密鑰的更新頻率。具體地�����,在上述步驟C中�,第一網(wǎng)關(guān)會(huì)比對(duì)第一網(wǎng)關(guān)自身的第一密鑰更新規(guī)則與第二網(wǎng)關(guān)的第二密鑰更新規(guī)則是否相同,可選地�����,上述第二網(wǎng)關(guān)也會(huì)比較第二網(wǎng)關(guān)的第二密鑰更新規(guī)則與上述第一網(wǎng)關(guān)的第一密鑰更新規(guī)則是是否相同�����,需要說明的是����,由于密鑰更新規(guī)則決定了第一網(wǎng)關(guān)從密鑰本中獲取何種序號(hào)的密鑰����、密鑰的更新頻率等,因此上述比對(duì)密鑰更新規(guī)則的方案可以保證雙方的密鑰信息同步�����。例如,在上述IKE第二階段的協(xié)商完成后�,VPN主動(dòng)端與VPN的被動(dòng)端會(huì)比對(duì)兩端的密鑰更新規(guī)則(例如密鑰的更新頻率、從密鑰中要取的密鑰的序號(hào))是否相同�,確定兩端的密鑰信息同步,需要說明的是�,如果密鑰的序號(hào)不同,則重置序列號(hào)重新開始比對(duì)�����,直至雙方序號(hào)一致為止��。需要說明的是���,在上述密鑰更新規(guī)則中還可以包括:VPN通信的隧道的ID,即密鑰更新頻率和隧道是對(duì)應(yīng)的�,在本方案中�,每條隧道都可以配置自己的密鑰更新頻率。步驟D:在第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下�����,第一網(wǎng)關(guān)根據(jù)第一網(wǎng)關(guān)密鑰的更新頻率從第一網(wǎng)關(guān)的密鑰本中提取至少一次第一密鑰�����。具體地,在上述步驟D中�����,在第一網(wǎng)關(guān)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下���,第一網(wǎng)關(guān)則按照第一密鑰更新規(guī)則中的密鑰更新頻率從密鑰本中獲取至少一次密鑰�����,第二網(wǎng)關(guān)也按照第二密鑰更新規(guī)則中的密鑰更新頻率從密鑰本中獲取密鑰��,在本方案中���,兩端中的密鑰更新規(guī)則相同的情況下���,兩端才從各自的密鑰本中獲取密鑰�����,以確保兩端根據(jù)同樣的密鑰更新規(guī)則從密鑰本中獲取密鑰��?�?蛇x地����,上述密鑰更新規(guī)則中還可以包括密鑰的序號(hào),需要說明的是����,只有兩端的密鑰更新頻率、要獲取的密鑰的序號(hào)完全相同的情況下���,兩端才從密鑰本中獲取密碼��。在一種可選地實(shí)施例中����,在兩端的密鑰更新規(guī)則相同的情況下(密鑰更新頻率���、密鑰序號(hào)均相同)�,首先由VPN的被動(dòng)端從密鑰本中獲取密鑰�,可以默認(rèn)從哈希序列號(hào)1開始取對(duì)應(yīng)的密鑰,每次獲取與序列號(hào)對(duì)應(yīng)的一定數(shù)量級(jí)的密鑰���,(比如4k的數(shù)量級(jí)��,每個(gè)密鑰占128bits����,4K數(shù)量級(jí)為32個(gè)密鑰,密鑰本的結(jié)構(gòu)如表1所示���。同時(shí)�,VPN的被動(dòng)端通知主動(dòng)端獲取密鑰�����,主動(dòng)端則根據(jù)同樣的序號(hào)開始從密鑰本中獲取密鑰����,從主動(dòng)方的密鑰本中獲取與VPN的被動(dòng)端同等數(shù)量級(jí)的密鑰,需要說明的是�����,VPN的被動(dòng)端與VPN的主動(dòng)端事先導(dǎo)入同一個(gè)密鑰本�����。表1Hash序列號(hào)密鑰132個(gè)密鑰(4K的數(shù)量級(jí))232個(gè)密鑰(4K的數(shù)量級(jí))步驟E:第一網(wǎng)關(guān)使用第一密鑰更新第一網(wǎng)關(guān)的通信模塊中的密鑰����。具體地,在上述步驟E中�����,上述通信模塊可以為第一網(wǎng)關(guān)中的內(nèi)核��,第一網(wǎng)關(guān)每次從密鑰本中提取到密鑰之后���,將密鑰下發(fā)至內(nèi)核���,對(duì)內(nèi)核中的舊密鑰進(jìn)行更新,同樣的����,第二網(wǎng)關(guān)也將密鑰下發(fā)至第二網(wǎng)關(guān)的內(nèi)核。本方案通過第一網(wǎng)關(guān)向第二網(wǎng)關(guān)發(fā)送密鑰更新通知�����;第一網(wǎng)關(guān)接收第二網(wǎng)關(guān)根據(jù)密鑰更新通知反饋的第二密鑰更新規(guī)則�;第一網(wǎng)關(guān)判斷第一網(wǎng)關(guān)中預(yù)設(shè)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則是否相同,其中,第一密鑰更新規(guī)則至少包括:第一網(wǎng)關(guān)密鑰的更新頻率���;在第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下�����,第一網(wǎng)關(guān)根據(jù)第一網(wǎng)關(guān)密鑰的更新頻率從第一網(wǎng)關(guān)的密鑰本中提取至少一次第一密鑰�;第一網(wǎng)關(guān)使用第一密鑰更新第一網(wǎng)關(guān)的通信模塊中的密鑰���,解決了現(xiàn)有的VPN網(wǎng)關(guān)的密鑰的更新方法因?yàn)榇嬖诰窒扌?�,?dǎo)致密鑰來源容易被攻破�����、VPN網(wǎng)關(guān)通信存在安全性隱患的技術(shù)問題�?���?蛇x地,在第一網(wǎng)關(guān)在每次提取第一密鑰之后��,本實(shí)施例提供的方法還可以包括:步驟S12�,第一網(wǎng)關(guān)向第二網(wǎng)關(guān)發(fā)送密鑰提取通知�����。步驟S14,第一網(wǎng)關(guān)接收第二網(wǎng)關(guān)根據(jù)密鑰提取通知反饋的第二密鑰���,其中����,第二網(wǎng)關(guān)根據(jù)密鑰提取通知按照第二密鑰更新規(guī)則從第二網(wǎng)關(guān)的密鑰本中提取第二密鑰�。具體地,在上述步驟S12至步驟S14中���,在第一網(wǎng)關(guān)從密鑰本中提取一次密鑰之后�����,可以向第二網(wǎng)關(guān)發(fā)送密鑰提取通知��,以獲取第二網(wǎng)關(guān)從第二網(wǎng)關(guān)的密鑰本中提取的第二密鑰�,然后第一網(wǎng)關(guān)將第一密鑰和第二密鑰進(jìn)行對(duì)比�,判斷兩端密鑰是否相同。例如����,VPN的主動(dòng)端和被動(dòng)端在提取密鑰之后��,可以驗(yàn)證兩端的密鑰是否一致��,兩端會(huì)交互各自獲取的密鑰的MD5碼����,以判斷是否相同����。步驟S16,在第一密鑰與第二密鑰相同的情況下����,第一網(wǎng)關(guān)將第一密鑰下發(fā)至第一網(wǎng)關(guān)的通信模塊。具體地����,在上述步驟S16中,第一網(wǎng)關(guān)可以將第一密鑰下發(fā)至第一網(wǎng)關(guān)的通信密鑰��,第二網(wǎng)關(guān)也同時(shí)將第二密鑰下發(fā)至第二網(wǎng)關(guān)的通信密鑰�����。具體地,在上述步驟S16中����,在兩端的密鑰相同的情況下��,則說明密鑰比對(duì)成功���,兩端可以將各自的密鑰分別下發(fā)至各自的內(nèi)核對(duì)應(yīng)的存儲(chǔ)內(nèi)存�����?���?蛇x地�,上述第一密鑰規(guī)則還可以包括:每次提取密鑰的序列號(hào),即每次兩端要更新密鑰時(shí)�,要比對(duì)密鑰更新頻率、從密鑰本中提取密鑰的序號(hào)�,之后密鑰更新頻率、從密鑰本中提取密鑰的序號(hào)相同的情況下�����,兩端才從各自的密鑰本中按照同樣的密鑰序列號(hào)提取密鑰,然后下發(fā)至兩端各自的內(nèi)核對(duì)應(yīng)的存儲(chǔ)內(nèi)存��。在每次下發(fā)密鑰之后��,在預(yù)定時(shí)間之后�����,兩端可以觸發(fā)定時(shí)器��,以再次從密鑰本中提取密鑰來更新內(nèi)核���,以實(shí)現(xiàn)對(duì)密鑰的定時(shí)更新�����,這樣�����,在不同的時(shí)間進(jìn)行動(dòng)態(tài)的更新密鑰��,使得加密密鑰破解的可能性大大降低�����,需要說明的是����,通過密鑰更新頻率的設(shè)置可以決定定時(shí)器超時(shí)時(shí)間,定時(shí)器超時(shí)則IKE進(jìn)程會(huì)一次向內(nèi)核中下發(fā)若干密鑰��。界面設(shè)置的更新頻率越高�����,向密鑰本請(qǐng)求密鑰就越頻繁����?����?蛇x地�����,在步驟S16���,第一網(wǎng)關(guān)將第一密鑰下發(fā)至第一網(wǎng)關(guān)的通信模塊之后���,本實(shí)施例提供的方法還可以包括:在步驟S18���,第一網(wǎng)關(guān)的通信模塊根據(jù)第一密鑰加密數(shù)據(jù)包。在步驟S20���,第一網(wǎng)關(guān)的通信模塊將數(shù)據(jù)包發(fā)送至第二網(wǎng)關(guān)�����,其中��,第二網(wǎng)關(guān)根據(jù)第二密鑰對(duì)數(shù)據(jù)包進(jìn)行解密�����。具體地�����,在上述步驟S18至步驟S20中���,第一網(wǎng)關(guān)的內(nèi)核通過第一密鑰加密數(shù)據(jù)包,然后發(fā)送至第二網(wǎng)關(guān),第二網(wǎng)關(guān)使用第二密鑰對(duì)上述加密的數(shù)據(jù)包進(jìn)行解密���,即兩端使用下發(fā)至內(nèi)核中的密鑰對(duì)數(shù)據(jù)包進(jìn)行加解密�。例如��,兩端的網(wǎng)關(guān)在確定兩端的密鑰的MD5碼一致之后�,可以采用ESP、AH處理函數(shù)使用上述密鑰�,使用方法主要包括:加解密密鑰的查找、使用��,以及把唯一標(biāo)識(shí)密鑰的三元素(隧道id�、批次、序列號(hào))封裝到數(shù)據(jù)包中���,發(fā)送給對(duì)端。保證兩端使用的加密���、解密密鑰一致�����?���?蛇x地,在第一網(wǎng)關(guān)與第二網(wǎng)關(guān)在比對(duì)兩端的密鑰是否相同時(shí)���,如果��,第一密鑰與第二密鑰不同的情況下�,第一網(wǎng)關(guān)則重復(fù)執(zhí)行上述步驟A至步驟D的方法��,直至第一密鑰與第二密鑰相同�。例如,本方案可以實(shí)現(xiàn)密鑰的容錯(cuò)機(jī)制��,即可以在兩端的網(wǎng)關(guān)的內(nèi)核中增加一個(gè)一個(gè)觸發(fā)函數(shù)����,當(dāng)發(fā)現(xiàn)加解密密鑰不一致的時(shí)候,會(huì)強(qiáng)制觸發(fā)隧道重新協(xié)商��,重建隧道�,重新從密鑰本中獲取動(dòng)態(tài)密鑰,保證隧道兩端的密鑰時(shí)刻保持一致�。下面結(jié)合圖3對(duì)本方案的一種可選地實(shí)施例進(jìn)行描述:(1)首先,可以在VPN1主動(dòng)端以及VPN2被動(dòng)端的CLI界面中配置兩端密鑰更新頻率�����,然后,將密鑰的更新頻率下發(fā)至兩端的IKE進(jìn)程�����,由IKE進(jìn)程進(jìn)行后續(xù)的工作�。(2)IKE進(jìn)程負(fù)責(zé)協(xié)商兩端的密鑰更新頻率,密鑰更新頻率的協(xié)商可以在IKE第二階段的協(xié)商過程中進(jìn)行�����。具體地���,IKE進(jìn)程根據(jù)密鑰更新頻率及每次取的密鑰量��,來設(shè)置定時(shí)器�����,定時(shí)觸發(fā)去預(yù)設(shè)的密鑰本中取密鑰,然后將SA及密鑰下發(fā)至內(nèi)核���。需要說明的是����,設(shè)備兩端的密鑰本可以自己設(shè)定或配置。(3)內(nèi)核負(fù)責(zé)密鑰的添加���、存儲(chǔ)�����、更新����、超時(shí)刪除操作�,然后內(nèi)核負(fù)責(zé)IPSec的數(shù)據(jù)通信,即在數(shù)據(jù)包中傳輸加密密鑰的相關(guān)標(biāo)志���,解密時(shí)通過此標(biāo)志找到相應(yīng)的解密密鑰��,需要說明的是��,本方案可以在內(nèi)核中創(chuàng)建一個(gè)鏈表sg_ipsec_qkd_head����,用來存儲(chǔ)上層傳過來的密鑰本����,通過鏈表的方式存儲(chǔ)密鑰本中的密鑰���。內(nèi)核也同時(shí)創(chuàng)建了一個(gè)定時(shí)器,用來定時(shí)刪除超時(shí)的密鑰�。實(shí)施例二可選地,本實(shí)施例還提供了一種VPN網(wǎng)關(guān)的密鑰的更新系統(tǒng)�,如圖4所示,該系統(tǒng)可以包括:第一網(wǎng)關(guān)40���,用于發(fā)送密鑰更新通知�����。具體地���,上述第一網(wǎng)關(guān)可以為VPN通信的主動(dòng)端,上述第二網(wǎng)關(guān)可以為VPN通信的被動(dòng)端�����,在VPN的主動(dòng)端需要更新密鑰的情況下�����,VPN的主動(dòng)端可以向VPN的被動(dòng)端發(fā)送上述密鑰更新通知����,以獲取VPN被動(dòng)端的第二密鑰更新規(guī)則。在一種可選的實(shí)施例中���,VPN的主動(dòng)端也可以在上述密鑰更新通知中直接發(fā)送VPN的主動(dòng)端自身的第一密鑰更新規(guī)則�,上述第一密鑰更新規(guī)則可以為密鑰的更新頻率等信息�����,這里需要說明的是�����,在本方案中��,可以采用IKE進(jìn)程來實(shí)現(xiàn)主動(dòng)端與被動(dòng)端之間關(guān)于密鑰更新的協(xié)商,上述密鑰更新通知可以增加在IKE第二階段的協(xié)商報(bào)文中��。例如�,在IKE第二階段的協(xié)商中,VPN的主動(dòng)端中的IKE進(jìn)程可以在向VPN的被動(dòng)端發(fā)送的報(bào)文中增加一個(gè)自定義的QKD的載荷��,該QKD的載荷可以定義為ISAKMP_NPTYPE_QKEY���,該自定義的QKD載荷中可以攜帶有更新密鑰所需的信息即上述第一密鑰更新規(guī)則��,在上述密鑰更新規(guī)則中可以包括VPN的主動(dòng)端自身的密鑰更新頻率等信息����。在一種可選地實(shí)施例中,上述VPN的主動(dòng)端或被動(dòng)端的密鑰更新頻率可以通過VPN隧道的命令界面進(jìn)行設(shè)置���,如圖2所示�,在該命令界面中���,可以對(duì)密鑰的更新頻率進(jìn)行設(shè)置�,需要說明的是����,在圖2中所示的命令界面同樣可以設(shè)置隧道、網(wǎng)關(guān)IP地址���、VPN端點(diǎn)�����、封裝協(xié)議�、密鑰生存期等配置。密鑰的更新頻率與隧道是對(duì)應(yīng)的�����,每條隧道都可以配置自己的密鑰更新頻率���,在該命令界面中也可以設(shè)置有支持動(dòng)態(tài)密鑰的開關(guān),在開啟了支持動(dòng)態(tài)密鑰的開關(guān)之后����,用戶才可以配置密鑰的更新頻率。如圖中所示��,密鑰更新頻率的配置范圍可以為1/min至6000/min�����。第二網(wǎng)關(guān)42��,與第一網(wǎng)關(guān)建立通信關(guān)系����,用于接收密鑰更新通知,并根據(jù)密鑰更新通知反饋第二密鑰更新規(guī)則����。具體地��,第二網(wǎng)關(guān)在接收到第一網(wǎng)關(guān)發(fā)送的密鑰更新通知后�����,可以向第一網(wǎng)關(guān)反饋第二網(wǎng)關(guān)自身的第二密鑰更新規(guī)則����。例如�,VPN的主動(dòng)端在向VPN的被動(dòng)端發(fā)送的VPN的主動(dòng)端自身的第一密鑰更新規(guī)則之后,上述VPN的被動(dòng)端也同樣向VPN的主動(dòng)端反饋VPN的被動(dòng)端自身的密鑰更新規(guī)則����,及VPN的被動(dòng)端也向VPN的主動(dòng)端發(fā)送QKD載荷。第一網(wǎng)關(guān)還用于判斷第一網(wǎng)關(guān)中預(yù)設(shè)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則是否相同���,其中��,第一密鑰更新規(guī)則至少包括:第一網(wǎng)關(guān)密鑰的更新頻率����;在第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下,第一網(wǎng)關(guān)用于根據(jù)第一網(wǎng)關(guān)密鑰的更新頻率從第一網(wǎng)關(guān)的密鑰本中提取至少一次第一密鑰��;第一網(wǎng)關(guān)還用于使用第一密鑰更新第一網(wǎng)關(guān)的通信模塊中的密鑰��?��?蛇x地,第一網(wǎng)關(guān)會(huì)比對(duì)第一網(wǎng)關(guān)自身的第一密鑰更新規(guī)則與第二網(wǎng)關(guān)的第二密鑰更新規(guī)則是否相同��,可選地�����,上述第二網(wǎng)關(guān)也會(huì)比較第二網(wǎng)關(guān)的第二密鑰更新規(guī)則與上述第一網(wǎng)關(guān)的第一密鑰更新規(guī)則是是否相同��,需要說明的是�����,由于密鑰更新規(guī)則決定了第一網(wǎng)關(guān)從密鑰本中獲取何種序號(hào)密鑰��、密鑰的更新頻率等��,因此上述比對(duì)密鑰更新規(guī)則的方案可以保證雙方的密鑰信息同步����。例如�����,在上述IKE第二階段的協(xié)商完成后�,VPN主動(dòng)端與VPN的被動(dòng)端會(huì)比對(duì)兩端的密鑰更新規(guī)則(例如密鑰的更新頻率����、從密鑰中要取的密鑰的序號(hào))是否相同,確定兩端的密鑰信息同步�����,需要說明的是����,如果密鑰的序號(hào)不同,則重置序列號(hào)重新開始比對(duì)���,直至雙方序號(hào)一致為止��。需要說明的是���,在上述密鑰更新規(guī)則中還可以包括:VPN通信的隧道的ID,即密鑰更新頻率和隧道是對(duì)應(yīng)的�����,在本方案中����,每條隧道都可以配置自己的密鑰更新頻率����。可選地���,在第一網(wǎng)關(guān)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下,第一網(wǎng)關(guān)則按照第一密鑰更新規(guī)則中的密鑰更新頻率從密鑰本中獲取至少一次密鑰����,第二網(wǎng)關(guān)也按照第二密鑰更新規(guī)則中的密鑰更新頻率從密鑰本中獲取密鑰,在本方案中����,兩端中的密鑰更新規(guī)則相同的情況下,兩端才從各自的密鑰本中獲取密鑰���,以確保兩端根據(jù)同樣的密鑰更新規(guī)則從密鑰本中獲取密鑰����。可選地��,上述密鑰更新規(guī)則中還可以包括密鑰的序號(hào)��,需要說明的是����,只有兩端的密鑰更新頻率、要獲取的密鑰的序號(hào)完全相同的情況下�,兩端才從密鑰本中獲取密碼。在一種可選地實(shí)施例中����,在兩端的密鑰更新規(guī)則相同的情況下(密鑰更新頻率、密鑰序號(hào)均相同)����,首先由VPN的被動(dòng)端從密鑰本中獲取密鑰,可以默認(rèn)從哈希序列號(hào)1開始取對(duì)應(yīng)的密鑰����,每次獲取與序列號(hào)對(duì)應(yīng)的一定數(shù)量級(jí)的密鑰,(比如4k的數(shù)量級(jí)���,每個(gè)密鑰占128bits�����,4K數(shù)量級(jí)為32個(gè)密鑰�����,密鑰本的結(jié)構(gòu)如表2所示���。同時(shí)�,VPN的被動(dòng)端通知主動(dòng)端獲取密鑰�,主動(dòng)端則根據(jù)同樣的序號(hào)開始從密鑰本中獲取密鑰,從主動(dòng)方的密鑰本中獲取與VPN的被動(dòng)端同等數(shù)量級(jí)的密鑰�����,需要說明的是���,VPN的被動(dòng)端與VPN的主動(dòng)端事先導(dǎo)入同一個(gè)密鑰本。表2Hash序列號(hào)密鑰132個(gè)密鑰(4K的數(shù)量級(jí))232個(gè)密鑰(4K的數(shù)量級(jí))可選地�,上述通信模塊可以為第一網(wǎng)關(guān)中的內(nèi)核,第一網(wǎng)關(guān)每次從密鑰本中提取到密鑰之后�,將密鑰下發(fā)至內(nèi)核�,對(duì)內(nèi)核中的舊密鑰進(jìn)行更新�,同樣的,第二網(wǎng)關(guān)也將密鑰下發(fā)至第二網(wǎng)關(guān)的內(nèi)核��。本方案通過第一網(wǎng)關(guān)向第二網(wǎng)關(guān)發(fā)送密鑰更新通知�;第一網(wǎng)關(guān)接收第二網(wǎng)關(guān)根據(jù)密鑰更新通知反饋的第二密鑰更新規(guī)則;第一網(wǎng)關(guān)判斷第一網(wǎng)關(guān)中預(yù)設(shè)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則是否相同�,其中,第一密鑰更新規(guī)則至少包括:第一網(wǎng)關(guān)密鑰的更新頻率��;在第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下�,第一網(wǎng)關(guān)根據(jù)第一網(wǎng)關(guān)密鑰的更新頻率從第一網(wǎng)關(guān)的密鑰本中提取至少一次第一密鑰;第一網(wǎng)關(guān)使用第一密鑰更新第一網(wǎng)關(guān)的通信模塊中的密鑰�����,解決了現(xiàn)有的VPN網(wǎng)關(guān)的密鑰的更新方法因?yàn)榇嬖诰窒扌?��,?dǎo)致密鑰來源容易被攻破�����、VPN網(wǎng)關(guān)通信存在安全性隱患的技術(shù)問題�����?���?蛇x地,第一網(wǎng)關(guān)還用于向第二網(wǎng)關(guān)發(fā)送密鑰提取通知���;第一網(wǎng)關(guān)接收第二網(wǎng)關(guān)根據(jù)密鑰提取通知反饋的第二密鑰��,第二網(wǎng)關(guān)還用于根據(jù)密鑰提取通知按照第二密鑰更新規(guī)則從第二網(wǎng)關(guān)的密鑰本中提取第二密鑰����;在第一密鑰與第二密鑰相同的情況下�,第一網(wǎng)關(guān)用于將第一密鑰下發(fā)至第一網(wǎng)關(guān)的通信模塊??蛇x地,第一密鑰更新規(guī)則還包括:每次提取密鑰的序列號(hào)�����??蛇x地�,第一網(wǎng)關(guān)的通信模塊用于根據(jù)第一密鑰加密數(shù)據(jù)包;第一網(wǎng)關(guān)的通信模塊將數(shù)據(jù)包發(fā)送至第二網(wǎng)關(guān)����,其中����,第二網(wǎng)關(guān)根據(jù)第二密鑰對(duì)數(shù)據(jù)包進(jìn)行解密�����?���?蛇x地,在第一密鑰與第二密鑰不相同的情況下��,第一網(wǎng)關(guān)重復(fù)向第二網(wǎng)關(guān)發(fā)送密鑰更新通知����,還用于判斷第一網(wǎng)關(guān)中預(yù)設(shè)的第一密鑰更新規(guī)則與第二密鑰更新規(guī)則是否相同,其中���,第一密鑰更新規(guī)則至少包括:第一網(wǎng)關(guān)密鑰的更新頻率�;在第一密鑰更新規(guī)則與第二密鑰更新規(guī)則相同的情況下�����,第一網(wǎng)關(guān)用于根據(jù)第一網(wǎng)關(guān)密鑰的更新頻率從第一網(wǎng)關(guān)的密鑰本中提取至少一次第一密鑰;直至第一密鑰與第二密鑰相同�����。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述���,不代表實(shí)施例的優(yōu)劣�。在本發(fā)明的上述實(shí)施例中��,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重�����,某個(gè)實(shí)施例中沒有詳述的部分����,可以參見其他實(shí)施例的相關(guān)描述。在本申請(qǐng)所提供的幾個(gè)實(shí)施例中��,應(yīng)該理解到�����,所揭露的技術(shù)內(nèi)容�����,可通過其它的方式實(shí)現(xiàn)����。其中,以上所描述的裝置實(shí)施例僅僅是示意性的���,例如所述單元的劃分�,可以為一種邏輯功能劃分����,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)�����,或一些特征可以忽略���,或不執(zhí)行�。另一點(diǎn)�,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,單元或模塊的間接耦合或通信連接,可以是電性或其它的形式����。所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元���,即可以位于一個(gè)地方��,或者也可以分布到多個(gè)單元上����?��?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的�。另外����,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在�,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)����,也可以采用軟件功能單元的形式實(shí)現(xiàn)����。所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)�����,可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中���。基于這樣的理解���,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中�,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)�����、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟��。而前述的存儲(chǔ)介質(zhì)包括:U盤����、只讀存儲(chǔ)器(ROM�,Read-OnlyMemory)�、隨機(jī)存取存儲(chǔ)器(RAM,RandomAccessMemory)�、移動(dòng)硬盤、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)��。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出,對(duì)于本
技術(shù)領(lǐng)域:
的普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下����,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍����。當(dāng)前第1頁1 2 3