專利名稱:一種用于用戶設(shè)備與內(nèi)部網(wǎng)絡(luò)間安全通信的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)中的安全通信技術(shù)�����,尤其涉及在通信網(wǎng)絡(luò)(尤其是基于IP網(wǎng)絡(luò))環(huán)境中支持處于外部網(wǎng)絡(luò)的用戶設(shè)備與其所屬的內(nèi)部網(wǎng)絡(luò)之間的安全通信的方法及相應(yīng)裝置。
背景技術(shù):
在未來(lái)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)的網(wǎng)絡(luò)環(huán)境下�����,巨大的IP地址空間可以讓任何一個(gè)電子設(shè)備(例如����,計(jì)算機(jī)���、移動(dòng)設(shè)備�����、家用電器等)擁有其獨(dú)立的IP地址�����,這樣�����,企業(yè)��、公司或家庭內(nèi)部的每個(gè)電子設(shè)備都可以有各自的IP地址�,從而構(gòu)成內(nèi)部網(wǎng)絡(luò)。通過(guò)這些IP地址或者域名解析�����,內(nèi)部網(wǎng)絡(luò)的成員可以從外面的任一用戶設(shè)備經(jīng)互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡(luò)相通信�,進(jìn)而控制或監(jiān)視內(nèi)部網(wǎng)絡(luò)中的任一電子設(shè)備,還可以傳送信息�。
然而,由于內(nèi)部網(wǎng)絡(luò)的信息具有私密性和敏感性�����,以及互聯(lián)網(wǎng)具有開放性�����,內(nèi)部網(wǎng)絡(luò)的成員并不希望任何人都可以從外部經(jīng)互聯(lián)網(wǎng)訪問(wèn)內(nèi)部網(wǎng)絡(luò)���,并進(jìn)而輕易獲得內(nèi)部的特殊信息���,甚至控制內(nèi)部網(wǎng)絡(luò)的各個(gè)電子設(shè)備。
同時(shí)�����,內(nèi)部網(wǎng)絡(luò)的成員也不希望當(dāng)其從外部網(wǎng)絡(luò)正常訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí),相關(guān)數(shù)據(jù)由于經(jīng)互聯(lián)網(wǎng)傳送而被惡意竊取或篡改���。因此��,迫切需要一種能夠保護(hù)內(nèi)部網(wǎng)絡(luò)不受惡意攻擊�����,并且保證內(nèi)部網(wǎng)絡(luò)成員能夠從外部網(wǎng)絡(luò)經(jīng)過(guò)互聯(lián)網(wǎng)安全訪問(wèn)內(nèi)部網(wǎng)絡(luò)的方案��。
在現(xiàn)有技術(shù)中,虛擬個(gè)人網(wǎng)(VPN)可以實(shí)現(xiàn)在公有網(wǎng)絡(luò)上傳輸私有通信��。虛擬個(gè)人網(wǎng)可以分為兩類加密VPN與非加密VPN�����。非加密虛擬個(gè)人網(wǎng)的安全型依賴對(duì)網(wǎng)際網(wǎng)絡(luò)服務(wù)供應(yīng)商的信任以及路由功能的安全與完整性����;加密虛擬個(gè)人網(wǎng)通常采用加密隧道將兩個(gè)或多個(gè)需要安全通信的網(wǎng)絡(luò)連接在一起,這樣���,虛擬個(gè)人網(wǎng)在公開網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艑?duì)外部網(wǎng)絡(luò)是隱藏的�,這類VPN的一個(gè)很好的例子是互聯(lián)網(wǎng)協(xié)議安全虛擬個(gè)人網(wǎng)(IPsec VPN)。
IPsec VPN技術(shù)可以實(shí)現(xiàn)數(shù)據(jù)加密����,使通信流量安全穿越互聯(lián)網(wǎng),但是���,這種方案存在以下問(wèn)題1)由于IPsec客戶端的IP地址的不確定性�����,要使用未知客戶端的IP地址來(lái)連接網(wǎng)關(guān)�����,使得定義一個(gè)獨(dú)一無(wú)二的基于IP地址的預(yù)共享密鑰是不可能的�;2)在訪問(wèn)服務(wù)器端需要大量的復(fù)雜配置工作����,相關(guān)的配置的改變可能導(dǎo)致客戶端設(shè)置的變更,擴(kuò)展性差���;3)IPsec隧道建立時(shí)需要復(fù)雜的專業(yè)的參數(shù)協(xié)商過(guò)程��,令普通用戶難以掌握�����,也沒有必要���;4)已有的IPsec VPN方案將IPsec客戶端作為其需要連接的家庭網(wǎng)絡(luò)的一部分對(duì)待����,需要將原有的家庭網(wǎng)絡(luò)的復(fù)雜屬性配置給遠(yuǎn)端用戶�,這使得該方案的實(shí)施很復(fù)雜,且成本上升���。
發(fā)明內(nèi)容為了克服現(xiàn)有技術(shù)中的上述缺點(diǎn)�����,本發(fā)明的目的在于提供一種新的支持處于外部網(wǎng)絡(luò)的用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間安全通信的技術(shù)方案。具體的�����,通過(guò)利用在用戶設(shè)備和接入設(shè)備處�����,利用預(yù)存的與特定內(nèi)部網(wǎng)絡(luò)相對(duì)應(yīng)的根密鑰與約定的加/解密以及認(rèn)證算法來(lái)對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加/解密以及認(rèn)證,從而實(shí)現(xiàn)一種簡(jiǎn)單的在用戶設(shè)備以及其所屬內(nèi)部網(wǎng)絡(luò)之間的安全通信方案�,而內(nèi)部網(wǎng)絡(luò)無(wú)需進(jìn)行任何改變。
根據(jù)本發(fā)明的第一方面����,提供了一種在通信網(wǎng)絡(luò)的用戶設(shè)備中用于與一個(gè)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全通信的方法,包括以下步驟生成一個(gè)用于指示加解密數(shù)據(jù)的一組參數(shù)及算法的安全策略指數(shù)(SPI)值���;通過(guò)利用預(yù)存的第一根密鑰對(duì)所述SPI和目的地址進(jìn)行運(yùn)算��,以生成加密密鑰�;利用所述加密密鑰對(duì)待傳輸數(shù)據(jù)進(jìn)行加密����,以生成加密數(shù)據(jù);將所述加密數(shù)據(jù)與所述SPI值一起封裝為數(shù)據(jù)包�����,經(jīng)網(wǎng)絡(luò)進(jìn)行傳輸���。
根據(jù)本發(fā)明的第二方面����,提供了一種在通信網(wǎng)絡(luò)中用于與一個(gè)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全通信的用戶設(shè)備,包括生成裝置����,用于生成用于指示加解密數(shù)據(jù)的一組參數(shù)及算法的安全策略指數(shù)(SPI)值;第一運(yùn)算裝置���,用于通過(guò)利用預(yù)存的第一根密鑰對(duì)所述SPI和目的地址進(jìn)行運(yùn)算�����,已生成加密密鑰�;加密裝置����,用于利用所述加密密鑰對(duì)待傳輸數(shù)據(jù)進(jìn)行加密,以生成加密數(shù)據(jù)�;封裝裝置,用于將所述加密數(shù)據(jù)與所述SPI值一起封裝為數(shù)據(jù)包���,經(jīng)網(wǎng)絡(luò)進(jìn)行傳輸。
根據(jù)本發(fā)明的第三方面���,提供了一種在通信網(wǎng)絡(luò)的接入設(shè)備中用于支持用戶設(shè)備與內(nèi)部網(wǎng)絡(luò)之間安全通信的方法���,其包括以下步驟接收來(lái)自所述一個(gè)用戶設(shè)備的數(shù)據(jù)包���;判斷所述來(lái)自用戶設(shè)備的數(shù)據(jù)包是否為用于與一個(gè)內(nèi)部網(wǎng)絡(luò)之間安全通信的加密數(shù)據(jù)包;如果所述來(lái)自用戶設(shè)備的數(shù)據(jù)包為根據(jù)本發(fā)明的用于與所述內(nèi)部網(wǎng)絡(luò)之間安全通信的加密數(shù)據(jù)包���,則利用預(yù)存的與所述內(nèi)部網(wǎng)絡(luò)對(duì)應(yīng)的第一根密鑰來(lái)將所述加密數(shù)據(jù)包轉(zhuǎn)換為普通數(shù)據(jù)包����,并將其轉(zhuǎn)發(fā)給所述內(nèi)部網(wǎng)絡(luò)����。
根據(jù)本發(fā)明的第四方面,提供了一種在在通信網(wǎng)絡(luò)中用于支持用戶設(shè)備與內(nèi)部網(wǎng)絡(luò)之間安全通信的的接入設(shè)備�����,其包括第一接收裝置��,用于接收來(lái)自所述一個(gè)用戶設(shè)備的數(shù)據(jù)包��;判斷裝置�,用于判斷所述來(lái)自用戶設(shè)備的數(shù)據(jù)包是否為根據(jù)本發(fā)明的用于與一個(gè)內(nèi)部網(wǎng)絡(luò)之間安全通信的加密數(shù)據(jù)包����;轉(zhuǎn)換裝置���,用于如果所述數(shù)據(jù)包為用于與所述內(nèi)部網(wǎng)絡(luò)之間安全通信的加密數(shù)據(jù)包�,則利用預(yù)存的與所述內(nèi)部網(wǎng)絡(luò)對(duì)應(yīng)的第一根密鑰來(lái)由所述加密數(shù)據(jù)包轉(zhuǎn)換為普通數(shù)據(jù)包����;第一發(fā)送裝置,用于將所述普通數(shù)據(jù)包轉(zhuǎn)發(fā)給所述內(nèi)部網(wǎng)絡(luò)�����。
與現(xiàn)有技術(shù)相比�����,根據(jù)本發(fā)明的技術(shù)方案��,提供了一種在通信網(wǎng)絡(luò)(尤其是基于IP的網(wǎng)路)環(huán)境下的成員由外部對(duì)內(nèi)部網(wǎng)絡(luò)的安全訪問(wèn)機(jī)制除內(nèi)部網(wǎng)絡(luò)成員之外�,任何未經(jīng)授權(quán)的人均無(wú)法訪問(wèn)該內(nèi)部網(wǎng)絡(luò),并且在不降低安全等級(jí)的前提下�,簡(jiǎn)化了加/解密鑰以及認(rèn)證密鑰等的生成方式,降低了內(nèi)部網(wǎng)絡(luò)端的接入設(shè)備的復(fù)雜性�。本發(fā)明的技術(shù)方案具備較高的靈活性和可擴(kuò)展性,實(shí)現(xiàn)了更優(yōu)的用戶體驗(yàn)�。
圖1為根據(jù)本發(fā)明一個(gè)具體實(shí)施方式
的用戶設(shè)備由外部對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全訪問(wèn)的通信網(wǎng)絡(luò)的示意圖;圖2為根據(jù)本發(fā)明一個(gè)具體實(shí)施方式
的在通信網(wǎng)絡(luò)的用戶設(shè)備中用于與所屬內(nèi)部網(wǎng)絡(luò)進(jìn)行特殊安全通信的方法流程圖�;圖3為根據(jù)本發(fā)明的一個(gè)具體實(shí)施方式
的在通信網(wǎng)絡(luò)中用于與所屬內(nèi)部網(wǎng)絡(luò)進(jìn)行特殊安全通信的用戶設(shè)備的框圖;圖4和5為根據(jù)本發(fā)明一個(gè)具體實(shí)施方式
的在通信網(wǎng)絡(luò)的接入設(shè)備中用于支持一個(gè)用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信的方法的流程圖��;圖6為根據(jù)本發(fā)明一個(gè)具體實(shí)施方式
的在通信網(wǎng)絡(luò)中用于支持用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信的接入設(shè)備的框圖�。
其中,相同的附圖標(biāo)記代表相同或相似的部件����。
具體實(shí)施方式下面參照附圖來(lái)對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行詳細(xì)描述。但應(yīng)該理解��,本發(fā)明并不僅限于所述具體實(shí)施方式
��。
在多數(shù)情況下���,內(nèi)部網(wǎng)絡(luò)的成員由于工作����、學(xué)習(xí)的原因�����,位置并不固定,并隨時(shí)可能需要與其所屬的內(nèi)部網(wǎng)絡(luò)進(jìn)行聯(lián)系��。在本發(fā)明的方案中���,當(dāng)內(nèi)部成員需要與內(nèi)部網(wǎng)絡(luò)進(jìn)行通信��,如控制或監(jiān)視內(nèi)部網(wǎng)絡(luò)中的某一設(shè)備或傳送文件時(shí)����,他可能會(huì)利用自己的筆記本電腦���,掌上電腦��,甚至網(wǎng)吧里的一臺(tái)普通電腦來(lái)進(jìn)行通信�����,這時(shí)�,就必須關(guān)注通信的安全性���。
圖1示出根據(jù)本發(fā)明一個(gè)具體實(shí)施方式
的用戶設(shè)備由外部對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全訪問(wèn)的通信網(wǎng)絡(luò)的示意圖���。所述通信網(wǎng)絡(luò)在此為基于IPv6的網(wǎng)絡(luò)���,其中包括多個(gè)內(nèi)部網(wǎng)絡(luò)(例如家庭網(wǎng)絡(luò))、與內(nèi)部網(wǎng)絡(luò)相連的接入設(shè)備1�����、處于外部網(wǎng)絡(luò)中的作為內(nèi)部網(wǎng)絡(luò)成員的用戶設(shè)備2以及��,用于為接入設(shè)備和用戶設(shè)備提供相關(guān)信息更新的一個(gè)安全策略參量服務(wù)器3�。用戶設(shè)備1通過(guò)互聯(lián)網(wǎng)經(jīng)由接入設(shè)備2與所屬內(nèi)部網(wǎng)絡(luò)進(jìn)行根據(jù)本發(fā)明的特殊安全通信�。所述接入設(shè)備2負(fù)責(zé)一個(gè)或多個(gè)內(nèi)部網(wǎng)絡(luò)的接入,對(duì)來(lái)自作為內(nèi)部網(wǎng)絡(luò)成員用戶設(shè)備和來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行識(shí)別和處理���,保證數(shù)據(jù)包安全跨越互聯(lián)網(wǎng)到達(dá)目的地址�;用戶設(shè)備則是任意一臺(tái)可以連接到互聯(lián)網(wǎng)的計(jì)算機(jī)��。
下面參照?qǐng)D1來(lái)對(duì)本發(fā)明進(jìn)行描述��。
作為某一內(nèi)部網(wǎng)絡(luò)成員的用戶從外部網(wǎng)絡(luò)使用其個(gè)人計(jì)算機(jī)(例如便攜式計(jì)算機(jī))或公有計(jì)算機(jī)(如網(wǎng)吧里的計(jì)算機(jī))連上互聯(lián)網(wǎng)�。在具體實(shí)現(xiàn)中,當(dāng)需要訪問(wèn)其所屬網(wǎng)絡(luò)時(shí)�����,用戶可以通過(guò)啟動(dòng)自己的計(jì)算機(jī)中所包含的IPsec客戶端軟件或插入用于包含IPsec客戶端軟件的便攜式存儲(chǔ)設(shè)備(例如USB存儲(chǔ)設(shè)備)來(lái)實(shí)現(xiàn)與其所屬內(nèi)部網(wǎng)絡(luò)之間的安全通信。在此�,便攜式計(jì)算機(jī)或公用計(jì)算機(jī)以便攜式存儲(chǔ)設(shè)備可稱為用戶設(shè)備1。
首先����,用戶設(shè)備1利用預(yù)存的用戶身份信息,通過(guò)與用戶的交互(例如提示用戶輸入用戶名和口令)��,來(lái)確定是該用戶是否為該個(gè)人計(jì)算機(jī)或USB存儲(chǔ)設(shè)備的合法主人����。如果用戶合法,則進(jìn)入下面操作����;否則,拒絕操作��。
當(dāng)用戶被確認(rèn)合法后��,用戶設(shè)備1自動(dòng)訪問(wèn)運(yùn)營(yíng)商提供的安全策略和參數(shù)分發(fā)服務(wù)器���,首先憑個(gè)人計(jì)算機(jī)或USB設(shè)備中的數(shù)字證書確認(rèn)是否有參數(shù)更新�,若沒有就自動(dòng)退出訪問(wèn)服務(wù)器。若有更新���,就自動(dòng)下載更新的數(shù)據(jù)�。通常是代表其所屬內(nèi)部網(wǎng)絡(luò)的目的地址前綴的更新�����,安全策略參量(例如第一����、二根密鑰以及加/解密和認(rèn)證算法等)的更新����。
隨后,用戶設(shè)備1依據(jù)本地預(yù)存的內(nèi)部網(wǎng)絡(luò)地址前綴(例如64位前綴為前64為IP地址)���、用生成安全策略指示(SPI)的第二根密鑰Kspi對(duì)當(dāng)前用戶設(shè)備(主機(jī))的IP地址和當(dāng)天日期�����、目的IP地址前綴和源IP地址進(jìn)行運(yùn)算����,以生成SPI值。然后�����,由生成加密認(rèn)證的第一根密鑰Kroot根據(jù)預(yù)先約定的算法來(lái)對(duì)所生成的SPI值與雙方都知曉的預(yù)定序列(例如目的地址前綴和源地址)進(jìn)行運(yùn)算����,從而產(chǎn)生加密密鑰Ke和認(rèn)證密鑰Ka。同時(shí)自動(dòng)檢測(cè)發(fā)往網(wǎng)卡的數(shù)據(jù)包���,依據(jù)數(shù)據(jù)包中目的地址前綴(前64位IP地址)是否匹配所屬內(nèi)部網(wǎng)絡(luò)前綴來(lái)確認(rèn)是否攔截該數(shù)據(jù)包����。如果確定是發(fā)往所屬內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包���,則根據(jù)已約定的安全策略和已生成的加密密鑰Ke對(duì)待傳輸?shù)臄?shù)據(jù)進(jìn)行加密�,以生成加密數(shù)據(jù)�;并利用以生成的認(rèn)證密鑰Ka對(duì)加密機(jī)密數(shù)據(jù)Hash(散列)運(yùn)算,并取Hash運(yùn)算結(jié)果的前一個(gè)部分作為認(rèn)證部分�����。將所生成的SPI值���、加密數(shù)據(jù)以及認(rèn)證部分封裝為一個(gè)用于本發(fā)明的特殊安全通信的加密數(shù)據(jù)包���,并將處理好的加密數(shù)據(jù)包發(fā)往網(wǎng)卡����,從而發(fā)送到與內(nèi)部網(wǎng)絡(luò)相連接的接入設(shè)備2���。
工作于目的內(nèi)部網(wǎng)絡(luò)的接入設(shè)備2(例如DSLAM)�����,檢查到來(lái)的數(shù)據(jù)包(例如Ipsec格式的IP包)����。首先檢查目的(IP)地址前綴��,隨后基于本地保存的內(nèi)部網(wǎng)絡(luò)地址與根密鑰的映射表查詢到與該目的地址前綴相對(duì)應(yīng)的根密鑰��,接著�����,檢查SPI值中包含的日期值�。利用根密鑰根據(jù)按與用戶設(shè)備1之間約定的算法對(duì)當(dāng)天日期、目的(IP)地址前綴和源(IP)地址等進(jìn)行計(jì)算���,得到一個(gè)新的安全策略指示(SPI)值����,將其與到來(lái)數(shù)據(jù)包中的SPI值相比較����,如果兩者相一致,則確定是合法的成員所發(fā)出的�,不致則丟棄。接著根據(jù)SPI值計(jì)算出認(rèn)證密鑰Ka�����,并利用認(rèn)證密鑰Ka來(lái)對(duì)源(IP)地址以及加密數(shù)據(jù)進(jìn)行Hash運(yùn)算��,以生成一個(gè)新的認(rèn)證部分���,隨后將其于到來(lái)數(shù)據(jù)包的SPI中所包含的認(rèn)證部分進(jìn)行比較�,如果兩者相一致���,則可確認(rèn)數(shù)據(jù)包沒被竄改且是合法的成員發(fā)出����,否則,將丟棄該數(shù)據(jù)包����。最后,當(dāng)確認(rèn)沒被竄改且是合法的成員發(fā)出����,根據(jù)SPI值計(jì)算出加密密鑰Ke,解密數(shù)據(jù)包中的加密數(shù)據(jù)部分�,以生成一個(gè)普通數(shù)據(jù)包。并將生成的普通數(shù)據(jù)包發(fā)往對(duì)應(yīng)的內(nèi)部網(wǎng)絡(luò)���。
優(yōu)選的�����,接入設(shè)備2還應(yīng)記錄成功處理的數(shù)據(jù)包的諸如目的IP地址、源地址及SPI值�����,Ke�,Ka等通信相關(guān)信息����,以便于加快后續(xù)包的處理及反方向從內(nèi)部網(wǎng)絡(luò)發(fā)往處于外部網(wǎng)絡(luò)的成員的用戶設(shè)備的數(shù)據(jù)處理�。同時(shí)接入設(shè)備也應(yīng)記錄已經(jīng)從內(nèi)部網(wǎng)絡(luò)發(fā)起與外部網(wǎng)絡(luò)的全部通信的相關(guān)信息,例如���,采用常見的防火墻技術(shù)即可實(shí)現(xiàn)����。這樣可以防止非法用戶攻擊內(nèi)部網(wǎng)絡(luò)��。
對(duì)于從內(nèi)部網(wǎng)絡(luò)發(fā)出的后續(xù)的數(shù)據(jù)包�,由接入設(shè)備基于所記錄的先前建立的全部通信的相關(guān)信息判斷是否屬于與其外部成員之間的特殊安全通信。如果屬于與其外部成員之間的安全通信�,則按與用戶設(shè)備處相似的方式,利用所存的與該內(nèi)部網(wǎng)絡(luò)(源IP地址前綴)相對(duì)應(yīng)的根密鑰來(lái)按照約定的方式對(duì)數(shù)據(jù)進(jìn)行處理����,以生成一個(gè)包含源IP地址、目的IP地址����、SPI值、加密數(shù)據(jù)部分以及認(rèn)證部分的加密數(shù)據(jù)包���,并發(fā)送給相應(yīng)的用戶設(shè)備1��。并由用戶設(shè)備1對(duì)來(lái)自接入設(shè)備2的加密數(shù)據(jù)包進(jìn)行檢查��,并作相關(guān)的解密處理�����,以得到原始數(shù)據(jù)��。
圖2為根據(jù)本發(fā)明一個(gè)具體實(shí)施方式
的在通信網(wǎng)絡(luò)的用戶設(shè)備中用于與所屬內(nèi)部網(wǎng)絡(luò)進(jìn)行特殊安全通信的方法流程圖����。
下面參照?qǐng)D2并結(jié)合圖1來(lái)對(duì)此實(shí)施方式進(jìn)行詳細(xì)描述。
在本實(shí)施方式中��,在用戶設(shè)備1中進(jìn)行與其所屬的內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信之前����,為了確認(rèn)用戶有權(quán)啟動(dòng)與內(nèi)部網(wǎng)絡(luò)間的安全通信(為合法成員),需要對(duì)用戶進(jìn)行驗(yàn)證����。因此����,在步驟S101中�����,利用本地預(yù)存的用戶相關(guān)信息來(lái)�����,通過(guò)與用戶的交互(例如例如提示用戶輸入用戶名和口令)����,對(duì)所述希望啟動(dòng)與內(nèi)部網(wǎng)絡(luò)間的安全通信的用戶進(jìn)行身份認(rèn)證���。隨著相關(guān)技術(shù)的不斷完善����,用戶的身份認(rèn)證還可以通過(guò)指紋識(shí)別�、RFID掃描等方式實(shí)現(xiàn)。在步驟S102中對(duì)用戶的合法性進(jìn)行判斷�,如果用戶合法,則進(jìn)入步驟S103���;否則�,拒絕操作。
在步驟S103中��,當(dāng)用戶希望啟動(dòng)與其所屬內(nèi)部網(wǎng)絡(luò)間的安全通信(即�����,目的地址與用戶設(shè)備端預(yù)存的所述用戶所屬的內(nèi)部網(wǎng)絡(luò)的IP地址匹配����,說(shuō)明該通信屬于與內(nèi)部網(wǎng)絡(luò)間的安全通信)時(shí),將依據(jù)預(yù)存的內(nèi)部網(wǎng)絡(luò)地址前綴(例如64位前綴為前64為IP地址)��,用生成安全策略指示(SPI)的第二根密鑰Kspi對(duì)和當(dāng)天日期����、目的IP地址前綴和源IP地址(當(dāng)前用戶設(shè)備的IP地址)進(jìn)行運(yùn)算,以生成一個(gè)安全策略指示(SPI)值���,該SPI值用于指示加解密算法以及加解密數(shù)據(jù)的參數(shù)���。具體的,該SPI值可以包括三部分�����,其中第一部分用于指示所采用的安全策略方案���,所述安全策略方案包括加密算法��、封裝方式等�����;第二部分包括本地當(dāng)前日期值��;第三部分包括通過(guò)對(duì)所述本地當(dāng)前日期值����、目的地址前綴����、源地址、所述第二根密鑰等進(jìn)行散列運(yùn)算得到的數(shù)值����。
在一個(gè)實(shí)施例中,例如在IPv6協(xié)議中�,SPI值為32比特��,其中第一部分可為3bit��,用于指示所采用的安全策略方案����。例如�����,可用“111”指定ESP封裝���,3DES加密����,MD5認(rèn)證的安全方案���,可用“100”來(lái)指定ESP封裝��,AES-128加密����,SHA-1認(rèn)證的安全方案�。由于現(xiàn)在常用的安全策略方案不超過(guò)8種�,3bit的組合可以滿足現(xiàn)有需要����,如果今后出現(xiàn)更多的常用安全策略方案,可以將32位中的更多位數(shù)分給所述SPI值的第一部分���。這樣,用戶設(shè)備1可以用該部分告知IPsec對(duì)等端(接入設(shè)備2)其所采用的具體的加解密算法��,因而雙方都有能力由SPI值的第一部分得知此次通信所用的加解密算法(當(dāng)然��,用戶設(shè)備1與接入設(shè)備2之間如果預(yù)先約定了加/解密算法���,則無(wú)需再通過(guò)所述第一部分告知對(duì)方)�;第二部分可包含5bit由于網(wǎng)絡(luò)環(huán)境的復(fù)雜�,為了保證通信安全,用于加密和認(rèn)證密鑰都需要定期更新��,每月的日期由1至31�����,可以用5bit二進(jìn)制覆蓋�����,并在后續(xù)步驟中用于每日更新的加密和認(rèn)證密鑰的生成。如果無(wú)需對(duì)加密密鑰和認(rèn)證密鑰進(jìn)行定期更新�,則可以不包含這一部分,而采用用戶設(shè)備1與接入設(shè)備2之間預(yù)先約定的一個(gè)預(yù)定序列��;第三部分包含24bit將預(yù)存的第二根密鑰(Kspi)對(duì)當(dāng)前系統(tǒng)的日期值����、目的地址前綴(例如內(nèi)部成員所屬內(nèi)部網(wǎng)絡(luò)的IP地址的前64位)、源IP地址(例如用戶設(shè)備端的IP地址����,128位),經(jīng)過(guò)約定的MD5算法�����,得到一個(gè)128位的Hash運(yùn)算結(jié)果��,取其前24位���,作為SPI值的第三部分�。
從而����,生成了一個(gè)完整的SPI值���,指示加解密數(shù)據(jù)的一組參數(shù)及算法,由于其輸入量中有每天更新的日期值�,生成的SPI值也是每天更新的。
在步驟S104中�����,將本地(例如便攜式計(jì)算機(jī)或USB存儲(chǔ)裝置)中預(yù)存的第一根密鑰(Kroot)對(duì)生成的SPI值和一個(gè)雙方都知曉的預(yù)定序列(例如目的地址前綴����,目的地址的前64位)進(jìn)行約定的MD5運(yùn)算��,生成加密密鑰�。由于所述SPI值是每天更新的,所以生成的加密密鑰也是每天更新的�。
接著,在步驟S104中����,用所述加密密鑰待發(fā)送的屬于所述用戶與其所屬內(nèi)部網(wǎng)絡(luò)間的安全通信的數(shù)據(jù)在約定加密算法下進(jìn)行加密,得到加密數(shù)據(jù)���。
在步驟S105中���,基于SPI值所規(guī)定的封裝機(jī)制(例如Ipsec的封裝機(jī)制)��,將前述步驟中生成的SPI值和加密數(shù)據(jù)封裝成數(shù)據(jù)包��,用于經(jīng)由網(wǎng)絡(luò)進(jìn)行發(fā)送�����。
優(yōu)選的���,步驟S103還包括,將預(yù)存的第一根密鑰(Kroot)作用于之前對(duì)生成的SPI值和另一個(gè)雙方知曉的預(yù)定序列(例如源地址的前64位)���,進(jìn)行MD5運(yùn)算�����,生成認(rèn)證密鑰��;進(jìn)而�,在步驟S104中,在生成加密數(shù)據(jù)之后���,利用以生成的認(rèn)證密鑰Ka對(duì)加密機(jī)密數(shù)據(jù)Hash(散列)運(yùn)算�,并取Hash運(yùn)算結(jié)果的前一個(gè)部分作為認(rèn)證部分���;隨后�,在步驟S105中���,將認(rèn)證部分與SPI值和加密數(shù)據(jù)一同進(jìn)行封裝��,以生成待傳輸?shù)臄?shù)據(jù)包�����。
優(yōu)選的,用戶設(shè)備1還通過(guò)訪問(wèn)一個(gè)由運(yùn)營(yíng)商提供的安全策略服務(wù)器來(lái)更新與根據(jù)本發(fā)明的特殊安全通信相關(guān)的一些參量�����,例如代表其所屬內(nèi)部網(wǎng)絡(luò)的目的地址前綴的更新��,安全策略參量(例如第一��、二根密鑰以及加/解密和認(rèn)證算法等)的更新等。
在用戶設(shè)備端�����,為甄別與所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信或與其他外部網(wǎng)絡(luò)之間的通信�����,還可在進(jìn)行以上操作之間判斷待傳輸?shù)臄?shù)據(jù)包的目的IP地址前綴與預(yù)存的用戶所屬的內(nèi)部網(wǎng)絡(luò)的IP地址是否匹配��,如果兩者不匹配�,表示所要進(jìn)行的通信并非用于用戶與所屬內(nèi)部網(wǎng)絡(luò)間的安全通信,則不需對(duì)所述數(shù)據(jù)包做上述根據(jù)本發(fā)明的處理���,而是直接將該數(shù)據(jù)包發(fā)送出去����。
圖3為根據(jù)本發(fā)明的一個(gè)具體實(shí)施方式
的在通信網(wǎng)絡(luò)中用于與所屬內(nèi)部網(wǎng)絡(luò)進(jìn)行特殊安全通信的用戶設(shè)備的框圖�����。如上面圖1所示����,該用戶設(shè)備1工作于外部網(wǎng)絡(luò)中,用于作為一個(gè)內(nèi)部網(wǎng)絡(luò)的成員來(lái)經(jīng)由接入設(shè)備2來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明的對(duì)所述內(nèi)部網(wǎng)絡(luò)的安全訪問(wèn)。其中��,如圖3所示���,所述用戶設(shè)備包括用于生成安全策略指示(SPI)值的生成裝置101���,用于生成加密密鑰的第一運(yùn)算裝置102、用于生成加密數(shù)據(jù)的加密裝置103���,用于生成認(rèn)證密鑰的第二運(yùn)算裝置104�,用于生成認(rèn)證部分的認(rèn)證裝置105����,用于封裝數(shù)據(jù)包的封裝部分106,用于對(duì)用戶身份進(jìn)行驗(yàn)證的驗(yàn)證裝置107����。
在本實(shí)施方式中,在進(jìn)行與其所屬的內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信之間���,為了確認(rèn)用戶有權(quán)啟動(dòng)與內(nèi)部網(wǎng)絡(luò)間的安全通信(為合法成員),需要對(duì)用戶進(jìn)行驗(yàn)證��。因此,驗(yàn)證裝置107�����,利用本地預(yù)存的用戶相關(guān)信息來(lái)�,通過(guò)與用戶的交互(例如提示用戶輸入用戶名和口令),對(duì)所述希望啟動(dòng)與內(nèi)部網(wǎng)絡(luò)間的安全通信的用戶進(jìn)行身份認(rèn)證����。隨著相關(guān)技術(shù)的不斷完善,用戶的身份認(rèn)證還可以通過(guò)指紋識(shí)別�����、RFID掃描等方式實(shí)現(xiàn)����。如果用戶合法,允許對(duì)數(shù)據(jù)包進(jìn)行相關(guān)處理�����;否則�����,停止處理。
當(dāng)驗(yàn)證裝置107驗(yàn)證用戶為合法�����。生成裝置101將依據(jù)預(yù)存的內(nèi)部網(wǎng)絡(luò)地址前綴(例如64位前綴為前64的IP地址)�����、用生成安全策略指示(SPI)的第二根密鑰Kspi對(duì)當(dāng)前用戶設(shè)備(主機(jī))的IP地址和當(dāng)天日期�、目的IP地址前綴和源IP地址進(jìn)行運(yùn)算,以生成一個(gè)安全策略指示(SPI)值��,該SPI值用于指示加解密算法以及加解密數(shù)據(jù)的參數(shù)�����。具體的��,該SPI值可以包括三部分�,其中第一部分用于指示所采用的安全策略方案,所述安全策略方案包括加密算法����、封裝方式等;第二部分包括本地當(dāng)前日期值��;第三部分包括通過(guò)對(duì)所述本地當(dāng)前日期值�����、目的地址前綴�����、源地址�、所述第二根密鑰等進(jìn)行散列運(yùn)算得到的數(shù)值。
在一個(gè)實(shí)施例中�����,例如在IPv6協(xié)議中�����,SPI值為32比特�����,其中第一部分可為3bit���,用于指示所采用的安全策略方案��。例如����,可用“111”指定ESP封裝,3DES加密�,MD5認(rèn)證的安全方案,可用“100”來(lái)指定ESP封裝���,AES-128加密�,SHA-1認(rèn)證的安全方案���。由于現(xiàn)在常用的安全策略方案不超過(guò)8種�����,3bit的組合可以滿足現(xiàn)有需要����,如果今后出現(xiàn)更多的常用安全策略方案��,可以將32位中的更多位數(shù)分給所述SPI值的第一部分���。這樣����,用戶設(shè)備1可以用該部分告知IPsec對(duì)等端(接入設(shè)備2)其所采用的具體的加解密算法,因而雙方都有能力由SPI值的第一部分得知此次通信所用的加解密算法(當(dāng)然�,用戶設(shè)備1與接入設(shè)備2之間如果預(yù)先約定了加/解密算法�����,則無(wú)需再通過(guò)所述第一部分告知對(duì)方)��;第二部分可包含5bit由于網(wǎng)絡(luò)環(huán)境的復(fù)雜��,為了保證通信安全���,用于加密和認(rèn)證密鑰都需要定期更新����,每月的日期由1至31�,可以用5bit二進(jìn)制覆蓋,并在后續(xù)步驟中用于每日更新的加密和認(rèn)證密鑰的生成�。如果無(wú)需對(duì)加密密鑰和認(rèn)證密鑰進(jìn)行定期更新,則可以不包含這一部分��,而采用用戶設(shè)備1與接入設(shè)備2之間預(yù)先約定的一個(gè)預(yù)定序列����;第三部分包含24bit將預(yù)存的第二根密鑰(Kspi)對(duì)當(dāng)前系統(tǒng)的日期值�����、目的地址前綴(例如內(nèi)部成員所屬內(nèi)部網(wǎng)絡(luò)的IP地址的前64位)�����、源IP地址(例如用戶設(shè)備端的IP地址��,128位)�����,經(jīng)過(guò)約定的MD5算法����,得到一個(gè)128位的Hash運(yùn)算結(jié)果����,取其前24位,作為SPI值的第三部分����。
從而��,生成了一個(gè)完整的SPI值�����,指示加解密數(shù)據(jù)的一組參數(shù)及算法�,由于其輸入量中有每天更新的日期值�����,生成的SPI值也是每天更新的�。
第一運(yùn)算裝置102對(duì)本地(例如便攜式計(jì)算機(jī)或USB存儲(chǔ)裝置)預(yù)存的第一根密鑰(Kroot)對(duì)生成的SPI值和一個(gè)雙方都知曉的預(yù)定序列(例如目的地址前綴���,目的地址的前64位)進(jìn)行約定的MD5運(yùn)算��,生成加密密鑰���。由于所述SPI值是每天更新的,所以生成的加密密鑰也是每天更新的����。
加密裝置103,用于利用來(lái)自所述第一運(yùn)算裝置102的加密密鑰,將待發(fā)送的屬于所述用戶與其所屬內(nèi)部網(wǎng)絡(luò)間的安全通信的數(shù)據(jù)在約定加密算法下進(jìn)行加密��,并將經(jīng)其加密的加密數(shù)據(jù)轉(zhuǎn)給封裝裝置106�����;第二運(yùn)算裝置104將預(yù)存的第一根密鑰(Kroot)對(duì)來(lái)自生成裝置101的SPI值和另一個(gè)雙方知曉的預(yù)定序列(例如源地址的前64位)����,進(jìn)行MD5運(yùn)算,生成認(rèn)證密鑰��,并將該認(rèn)證密鑰轉(zhuǎn)給認(rèn)證裝置105����。由于SPI值作為輸入量之一,所述認(rèn)證密鑰每天更新�����;認(rèn)證裝置105將利用來(lái)自所述第二運(yùn)算裝置303的認(rèn)證密鑰���,利用已生成的認(rèn)證密鑰Ka對(duì)加密機(jī)密數(shù)據(jù)Hash(散列)運(yùn)算����,并取Hash運(yùn)算結(jié)果的前一個(gè)部分作為認(rèn)證部分,用于接收對(duì)等端(接入設(shè)備)來(lái)確定發(fā)送者是否可以信賴��;封裝裝置106��,用于將來(lái)自生成裝置101的SPI值�����、來(lái)自加密裝置103的加密數(shù)據(jù)和來(lái)自認(rèn)證裝置105的認(rèn)證部分封裝入待發(fā)送的數(shù)據(jù)包���。
優(yōu)選的��,用戶設(shè)備1還通過(guò)訪問(wèn)一個(gè)由運(yùn)營(yíng)商提供的安全策略服務(wù)器來(lái)更新與根據(jù)本發(fā)明的特殊安全通信相關(guān)的一些參量,例如代表其所屬內(nèi)部網(wǎng)絡(luò)的目的地址前綴的更新�,安全策略參量(例如第一、二根密鑰以及加/解密和認(rèn)證算法等)的更新等��。
在用戶設(shè)備端1處���,為甄別與所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信或與其他外部網(wǎng)絡(luò)之間的通信�����,還可在進(jìn)行以上操作之間判斷待傳輸?shù)臄?shù)據(jù)包的目的IP地址前綴與預(yù)存的用戶所屬的內(nèi)部網(wǎng)絡(luò)的IP地址是否匹配�����,如果兩者不匹配���,表示所要進(jìn)行的通信并非用于用戶與所屬內(nèi)部網(wǎng)絡(luò)間的安全通信��,則不需對(duì)所述數(shù)據(jù)包做上述根據(jù)本發(fā)明的處理�,而是直接將該數(shù)據(jù)包發(fā)送出去�����。
圖4和5為根據(jù)本發(fā)明一個(gè)具體實(shí)施方式
的在通信網(wǎng)絡(luò)的接入設(shè)備中用于支持一個(gè)用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信的方法的流程圖����。
如圖1所示,接入設(shè)備2用于與多個(gè)內(nèi)部網(wǎng)絡(luò)相連���,負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間的雙向通信的控制���。由于內(nèi)部網(wǎng)絡(luò)的安全性需要,所以與內(nèi)部網(wǎng)絡(luò)有關(guān)的通信可以分為1)由位于外部網(wǎng)絡(luò)的作為合法成員的用戶設(shè)備發(fā)起的根據(jù)本發(fā)明的特殊安全通信���;2)由所述用戶設(shè)備發(fā)起的到其他外部網(wǎng)絡(luò)的其他正常通信(例如未采用Ipsec加密方案的數(shù)據(jù)包和采用現(xiàn)有技術(shù)中Ipsec加密方案的通信)��;3)由內(nèi)部網(wǎng)絡(luò)發(fā)起的其他正常通信(例如來(lái)采用Ipsec加密方案的數(shù)據(jù)包和采用現(xiàn)有技術(shù)中Ipsec加密方案的通信)�。而所有來(lái)自外部網(wǎng)絡(luò)的惡意流量都將在接入設(shè)備2處被丟棄,從而保護(hù)內(nèi)部網(wǎng)絡(luò)的安全�。優(yōu)選的,假定接入設(shè)備已經(jīng)記錄所有上述三種已建立通信的相關(guān)信息����,例如,采用常見的防火墻技術(shù)即可實(shí)現(xiàn)���。其中����,對(duì)于由位于外部網(wǎng)絡(luò)的作為合法成員的用戶設(shè)備發(fā)起的根據(jù)本發(fā)明的特殊安全通信��,需要記錄該通信的目的IP地址�、源IP地址��、此次通信所用的SPI值����、加密密鑰、認(rèn)證密鑰以及TCP/UDP端口號(hào)等�,并保證更新����;對(duì)于內(nèi)部網(wǎng)絡(luò)或用戶設(shè)備的其他正常通信�����,可記錄該通信的目的IP地址�����、源IP地址以及TCP/UDP端口號(hào)等�,并保證更新。
另外�,接入設(shè)備還要記錄其管理的所有內(nèi)部網(wǎng)絡(luò)的IP地址前綴和與每個(gè)前綴對(duì)應(yīng)的第一根密鑰、第二根密鑰���。即�����,不同的內(nèi)部網(wǎng)絡(luò)擁有不同的IP地址前綴��,接入設(shè)備將所述不同的前綴映射到屬于每個(gè)內(nèi)部網(wǎng)絡(luò)的用于生成加密�����、認(rèn)證密鑰的第一根密鑰和用于生成SPI值的第二根密鑰��。所述兩個(gè)根密鑰安全程度最高����,而用于安全通信的SPI值、加密密鑰���、認(rèn)證密鑰由所述第一���、第二根密鑰在約定算法下作用生成,進(jìn)而用于在約定的加密��、認(rèn)證算法下的數(shù)據(jù)加解密和認(rèn)證���。優(yōu)選的��,與用戶設(shè)備相似����,接入設(shè)備2可通過(guò)訪問(wèn)一個(gè)由運(yùn)營(yíng)商提供的安全策略服務(wù)器來(lái)更新與根據(jù)本發(fā)明的特殊安全通信相關(guān)的一些參量���,例如代表其所屬內(nèi)部網(wǎng)絡(luò)的目的地址前綴的更新�,安全策略參量(例如第一����、二根密鑰以及加/解密和認(rèn)證算法等)的更新等。��。
圖4為在該方法中當(dāng)接入設(shè)備2接收到來(lái)自用戶設(shè)備的數(shù)據(jù)包的處理流程?���,F(xiàn)參照?qǐng)D4來(lái)對(duì)所述方法的這一部分進(jìn)行描述。
在步驟S201中���,接入設(shè)備接收來(lái)自外部網(wǎng)絡(luò)的用戶設(shè)備的數(shù)據(jù)包�。
步驟S202中���,判斷所述來(lái)自用戶設(shè)備的數(shù)據(jù)包是否為用于與其所述內(nèi)部網(wǎng)絡(luò)之間特殊安全通信的加密數(shù)據(jù)包����。
如果所述來(lái)自用戶設(shè)備的數(shù)據(jù)包為用戶設(shè)備1發(fā)起的與所屬內(nèi)部網(wǎng)絡(luò)之間的根據(jù)本發(fā)明的特殊安全通信�����,則進(jìn)到步驟S203���,利用預(yù)存的與所述內(nèi)部網(wǎng)絡(luò)對(duì)應(yīng)的第一根密鑰來(lái)對(duì)所述來(lái)自用戶設(shè)備的數(shù)據(jù)包中的加密數(shù)據(jù)部分執(zhí)行與用戶設(shè)備處的加密算法相對(duì)應(yīng)的解密算法���,以生成普通數(shù)據(jù)包����,并將其轉(zhuǎn)發(fā)給所述內(nèi)部網(wǎng)絡(luò)�。
如果所述來(lái)自用戶設(shè)備的數(shù)據(jù)包屬于所述用戶設(shè)備的已建立的其他類型通信,則進(jìn)到步驟S204����,直接轉(zhuǎn)發(fā)所述數(shù)據(jù)包。
如果所述來(lái)自用戶設(shè)備的數(shù)據(jù)包不屬于所述特殊安全通信和所述用戶設(shè)備的已建立的其他類型通信�,則進(jìn)到步驟S205,丟棄所述數(shù)據(jù)包�����。
根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施例�,在步驟S202中通過(guò)以下步驟來(lái)對(duì)數(shù)據(jù)包進(jìn)行判斷如上所述,接入設(shè)備2接收到的數(shù)據(jù)包如前所述可能有三種類型����。基于已經(jīng)記錄的所有已建立的通信的相關(guān)信息,接入設(shè)備2可以將接收到的數(shù)據(jù)包的信息與已存的信息進(jìn)行對(duì)比��。
如果根據(jù)對(duì)比判斷所述數(shù)據(jù)包屬于已經(jīng)建立的通信����,則根據(jù)該數(shù)據(jù)包所屬于的具體通信類型來(lái)分別進(jìn)到步驟S203-S205�,采用對(duì)應(yīng)的方式對(duì)數(shù)據(jù)包進(jìn)行處理。
如果所述數(shù)據(jù)包屬于由作為合法成員的用戶從外部網(wǎng)絡(luò)發(fā)起的與其所屬內(nèi)部網(wǎng)絡(luò)間的通信���,由于已經(jīng)存儲(chǔ)了該通信所用的認(rèn)證密鑰和加密密鑰�����,所以����,在步驟S203中���,只需將所述認(rèn)證密鑰用于對(duì)所述數(shù)據(jù)包進(jìn)行認(rèn)證���,對(duì)通過(guò)認(rèn)證的數(shù)據(jù)包,再將所述已存儲(chǔ)的該通信所用的加密密鑰對(duì)所述數(shù)據(jù)包的加密數(shù)據(jù)進(jìn)行解密����,并將解密后的普通數(shù)據(jù)包中轉(zhuǎn)發(fā)給目的內(nèi)部網(wǎng)絡(luò)即可�����。
如果所述數(shù)據(jù)包屬于用戶設(shè)備的已建立的其他正常通信(例如未采用Ipsec方案的數(shù)據(jù)包和采用現(xiàn)有技術(shù)中Ipsec方案的數(shù)據(jù)包)����,可在步驟S204中將所述數(shù)據(jù)包經(jīng)由網(wǎng)絡(luò)直接轉(zhuǎn)發(fā)�。
如果來(lái)自用戶設(shè)備的數(shù)據(jù)包與所記錄的已建立通信的相關(guān)信息都不相匹配,則存在兩種可能
(1)所述數(shù)據(jù)包屬于用戶設(shè)備1首次發(fā)起的與所述內(nèi)部網(wǎng)絡(luò)之間的根據(jù)本發(fā)明的特殊安全通信����,尚未在接入設(shè)備端被記錄;(2)所述數(shù)據(jù)包屬于不明來(lái)歷的通信(可能為惡意攻擊)����,為保護(hù)內(nèi)部網(wǎng)絡(luò),應(yīng)當(dāng)丟棄�����。
對(duì)于情況(2)�,只要簡(jiǎn)單地將該數(shù)據(jù)包丟棄即可,而對(duì)于情況(1)��,所述數(shù)據(jù)包為采用本發(fā)明提供的方案(優(yōu)選為基于Ipsec封裝)的數(shù)據(jù)包,其中包括SPI值����、加密數(shù)據(jù)和認(rèn)證部分。因此����,首先���,接入設(shè)備2應(yīng)從所述數(shù)據(jù)包中提取表示內(nèi)部網(wǎng)絡(luò)的目的地址前綴和SPI值�����。由于接入設(shè)備預(yù)存有所有其管理下的內(nèi)部網(wǎng)絡(luò)的IP地址前綴和與所述前綴相對(duì)應(yīng)的屬于各個(gè)內(nèi)部網(wǎng)絡(luò)的第一���、第二根密鑰,接入設(shè)備可以簡(jiǎn)單通過(guò)查詢而獲得處理所述數(shù)據(jù)包所需的第一�����、二根密鑰����。并且����,根據(jù)所述提取出的SPI值的用于指示安全策略方案(例如�,加解密、認(rèn)證等算法)的第一部分���,接入設(shè)備可以根據(jù)預(yù)存的所有安全策略方案來(lái)中得知所述數(shù)據(jù)包所采用的加解密算法和認(rèn)證算法等�,接著便可以對(duì)該數(shù)據(jù)包進(jìn)行進(jìn)一步的操作了首先���,根據(jù)由原始SPI值中提取表示用戶設(shè)備1的當(dāng)?shù)厝掌谥档牡诙糠?�,并利用利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第二根密鑰通過(guò)與用戶設(shè)備處相同的生成方式來(lái)生成新的安全策略指示(SPI)值��;將所述原始SPI值與新的SPI值進(jìn)行比較���;如果兩者一致����,則可以確定該數(shù)據(jù)是由作為合法成員的用戶設(shè)備發(fā)出的。
在本發(fā)明一個(gè)優(yōu)選實(shí)施例中�����,優(yōu)選的,可利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第一根密鑰對(duì)所述數(shù)據(jù)包的目的地址前64位����、源地址的128位以及所述SPI值的第二部分(日期值),生成一個(gè)128位的Hash值�,將其前24位作為新的用于校驗(yàn)的SPI值的第三部分。
接著��,比較所述數(shù)據(jù)包中的SPI值的第三部分和所述生成的新的用于校驗(yàn)的SPI值第三部分����,如果所述原始SPI值的第三部分與在接入設(shè)備中計(jì)算得出的SPI值的第三部分相一致�����,則可以確定該數(shù)據(jù)是由作為合法成員的用戶設(shè)備發(fā)出的�����,可以進(jìn)一步對(duì)所述數(shù)據(jù)包進(jìn)行認(rèn)證���;否則�,將其丟棄��。
認(rèn)證方法是,利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第一根密鑰對(duì)所計(jì)算的SPI值和一個(gè)與用戶設(shè)備之間預(yù)先約定的預(yù)定序列執(zhí)行與用戶設(shè)備處相同的運(yùn)算來(lái)生成一個(gè)新認(rèn)證密鑰�,利用所述新認(rèn)證密鑰對(duì)所述來(lái)自用戶設(shè)備的加密數(shù)據(jù)包中的加密數(shù)據(jù)部分執(zhí)行與用戶設(shè)備處相同的認(rèn)證運(yùn)算,以生成新認(rèn)證部分�。在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中,所述預(yù)定序列為源地址�����。
隨后����,將所述數(shù)據(jù)包中提取出的原始認(rèn)證部分與所述新認(rèn)證部分相比較,若兩者相一致���,則確認(rèn)數(shù)據(jù)包未被竄改過(guò)而且是合法成員發(fā)出的�,可利用所述第一根密鑰在約定算法下對(duì)目的地址前綴(例如目的IP地址的前64位)和所述SPI值進(jìn)行運(yùn)算��,以生成加密密鑰��,并將所生成的加密密鑰對(duì)所述數(shù)據(jù)包中封裝的加密數(shù)據(jù)進(jìn)行解密��,以獲得解密后的數(shù)據(jù)�����,并將其封裝成普通數(shù)據(jù)包,在步驟S203中轉(zhuǎn)發(fā)給目的內(nèi)部網(wǎng)絡(luò)�。
圖5為在該方法中接入設(shè)備對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)包的處理流程。下面���,現(xiàn)參照?qǐng)D5來(lái)對(duì)所述方法的這一部分進(jìn)行描述���。
如上所述,由于接入設(shè)備記錄所有已建立通信的相關(guān)信息�����。當(dāng)接入設(shè)備2接收到來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包后�����,可將接收到的數(shù)據(jù)包的信息與已存的信息進(jìn)行對(duì)比���。如果根據(jù)對(duì)比判斷該數(shù)據(jù)包屬于由內(nèi)部網(wǎng)絡(luò)發(fā)起的其他正常通信(例如未采用Ipsec加密方案的數(shù)據(jù)包和采用現(xiàn)有技術(shù)中Ipsec加密方案的通信),則將該數(shù)據(jù)包直接轉(zhuǎn)發(fā)��;而如果所述數(shù)據(jù)包屬于為根據(jù)本發(fā)明的用于與所述內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信�,則利用所述第一根密鑰和第二根密鑰來(lái)將所述普通數(shù)據(jù)包轉(zhuǎn)換為用于所述特殊安全通信的加密數(shù)據(jù)包,并將所轉(zhuǎn)換的加密數(shù)據(jù)包發(fā)送給所述用戶設(shè)備�。
如圖5所述�,在步驟S206中�����,接收來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包����;在步驟S207中,根據(jù)已經(jīng)記錄的所有已建立的通信的相關(guān)信息來(lái)判斷來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包是否屬于與所述用戶設(shè)備之間的已建立的根據(jù)本發(fā)明的特殊安全通信的普通數(shù)據(jù)包或內(nèi)部網(wǎng)絡(luò)的已建立的其他類型通信(例如未采用Ipsec加密方案的數(shù)據(jù)包和采用現(xiàn)有技術(shù)中Ipsec加密方案的通信)����;如果該數(shù)據(jù)包屬于所述內(nèi)部網(wǎng)路與用戶設(shè)備之間已建立的特殊安全通信,則在步驟S208中����,利用所述第一根密鑰和第二根密鑰來(lái)采用與用戶設(shè)備處相同的方式將所述普通數(shù)據(jù)包轉(zhuǎn)換為用于所述特殊安全通信的加密數(shù)據(jù)包,并將所轉(zhuǎn)換的加密數(shù)據(jù)包發(fā)送給所述用戶設(shè)備�;如果該數(shù)據(jù)包屬于所述內(nèi)部網(wǎng)絡(luò)的已建立的其他類型通信,則在步驟S209中�����,直接轉(zhuǎn)發(fā)所述數(shù)據(jù)包���。
如果該數(shù)據(jù)包不屬于所記錄的任何已建立的通信(即與所有記錄信息都不符合)��,則在步驟S210中��,直接轉(zhuǎn)發(fā)所述數(shù)據(jù)包�����。
對(duì)于與所有記錄信息都不符合的數(shù)據(jù)包�,接入設(shè)備2可以簡(jiǎn)單地判斷,該數(shù)據(jù)包可能屬于以下幾種情況-所述數(shù)據(jù)包采用IPsec封裝這種情況下�,無(wú)論接入設(shè)備處是否存有所述通信的相關(guān)信息,接入設(shè)備都可以確定所述數(shù)據(jù)包是基于現(xiàn)有技術(shù)中的IPsec方案���,屬于應(yīng)當(dāng)正常轉(zhuǎn)發(fā)的數(shù)據(jù)包�,這是由于只需要保護(hù)內(nèi)部網(wǎng)絡(luò)���,不允許外部用戶對(duì)其隨意訪問(wèn)�����,但是對(duì)于內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問(wèn),接入設(shè)備在此不予限制�����,于是,記錄相關(guān)信息后(無(wú)相關(guān)記錄的前提下需要此操作)�,將該數(shù)據(jù)包發(fā)送至外部網(wǎng)絡(luò);-所述數(shù)據(jù)包未采用IPsec封裝這可能包括以下情形(a)如果接入設(shè)備未存有與所述數(shù)據(jù)包相關(guān)信息相匹配的信息���,則判斷所述數(shù)據(jù)包屬于由內(nèi)部網(wǎng)絡(luò)發(fā)起的其他通信��,則在步驟S210中���,將其正常轉(zhuǎn)發(fā),于是將所述數(shù)據(jù)包發(fā)送至外部網(wǎng)絡(luò)目的地址����;(b)如果接入設(shè)備存有與所述數(shù)據(jù)包的相關(guān)信息相匹配的信息,則可以根據(jù)記錄裝置中所保存的已建立通信的相關(guān)信息判斷所述數(shù)據(jù)包屬于內(nèi)部網(wǎng)絡(luò)發(fā)起的與外部網(wǎng)絡(luò)的正常通信(不采用IPsec方案)或者內(nèi)部網(wǎng)絡(luò)與在外部網(wǎng)絡(luò)中作為其成員的用戶設(shè)備之間的根據(jù)本發(fā)明的特殊安全通信�。對(duì)于這兩種情況,轉(zhuǎn)換處理裝置203分別進(jìn)行以下操作
(i)內(nèi)部網(wǎng)絡(luò)發(fā)起的與外部網(wǎng)絡(luò)的通信(不采用IPsec方案)或者��,對(duì)這種數(shù)據(jù)包�,直接將所述數(shù)據(jù)包發(fā)送至目的地址;所述數(shù)據(jù)包還可能屬于(ii)外部網(wǎng)絡(luò)發(fā)起的與內(nèi)部網(wǎng)絡(luò)間的根據(jù)本發(fā)明的特殊安全通信���,對(duì)這種數(shù)據(jù)包��,在步驟S207中���,在所存儲(chǔ)的與該通信相關(guān)的記錄信息中查到其所用的第一�、第二根密鑰��,并根據(jù)所述根密鑰�,將第二根密鑰作用于目的IP地址、源IP地址和當(dāng)前系統(tǒng)(接入設(shè)備)的日期值�,在約定算法(由將生成的SPI值的第一部分確定)下生成SPI值,并將其用于在第一根密鑰的作用下生成加密�、認(rèn)證密鑰。接著��,利用所述加密密鑰對(duì)待發(fā)送的數(shù)據(jù)進(jìn)行加密�,生成加密數(shù)據(jù),利用所述認(rèn)證密鑰作用于所述數(shù)據(jù)包�����,生成認(rèn)證部分��,并將所述SPI值��、加密數(shù)據(jù)�����、認(rèn)證部分封裝成IPsec數(shù)據(jù)包�����,進(jìn)而在后續(xù)步驟中發(fā)送至目的IP地址(位于外部網(wǎng)絡(luò)的用戶設(shè)備)����。
圖6為根據(jù)本發(fā)明一個(gè)具體實(shí)施方式
的在通信網(wǎng)絡(luò)中用于支持用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信的接入設(shè)備的框圖。其中���,該接入設(shè)備2包括用于接收來(lái)自所述一個(gè)用戶設(shè)備的數(shù)據(jù)包第一接收裝置201����;用于發(fā)送數(shù)據(jù)包的第一發(fā)送裝置204�����;用于記錄所有已建立通信的相關(guān)信息的記錄裝置205����;用于接收來(lái)自所述內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包的第二接收裝置206;用于發(fā)送來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包的第二發(fā)送裝置207����;用于判斷所述來(lái)自用戶設(shè)備或內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包是否屬于根據(jù)本發(fā)明的用戶設(shè)備與內(nèi)部網(wǎng)絡(luò)之間安全通信的加密數(shù)據(jù)包的判斷裝置202����;用于根據(jù)判斷結(jié)果來(lái)對(duì)數(shù)據(jù)包進(jìn)行處理��,并分別提供給第一或第二發(fā)送裝置204的轉(zhuǎn)換處理裝置203�。
在根據(jù)本發(fā)明的一個(gè)具體實(shí)施方式
中,判斷裝置202還包括提取裝置2021�����、計(jì)算裝置2022��、比較裝置2023和確定裝置2024�,當(dāng)接收到來(lái)自用戶設(shè)備的數(shù)據(jù)包時(shí),可通過(guò)以下操作來(lái)對(duì)數(shù)據(jù)包進(jìn)行判斷��。
如上所述�����,接入設(shè)備2接收到的數(shù)據(jù)包如前所述可能有三種類型�����。記錄裝置207中已經(jīng)記錄了所有已建立的通信的相關(guān)信息,判斷裝置202可以執(zhí)行以下操作-將接收到的數(shù)據(jù)包的相關(guān)信息與記錄裝置207中已建立的所有通信的相關(guān)信息進(jìn)行對(duì)比�����;-確定該數(shù)據(jù)包是否屬于由作為合法成員的用戶從外部網(wǎng)絡(luò)發(fā)起的與其所屬內(nèi)部網(wǎng)絡(luò)間的特殊安全通信或者屬于用戶設(shè)備的已建立的其他正常通信(例如未采用Ipsec方案的數(shù)據(jù)包和采用現(xiàn)有技術(shù)中Ipsec方案的數(shù)據(jù)包)�����,并將確定結(jié)果告知轉(zhuǎn)換處理裝置203��。
轉(zhuǎn)換處理裝置203用于執(zhí)行以下操作-如果所述數(shù)據(jù)包屬于由作為合法成員的用戶從外部網(wǎng)絡(luò)發(fā)起的與其所屬內(nèi)部網(wǎng)絡(luò)間的通信�����,由于已經(jīng)存儲(chǔ)了該通信所用的認(rèn)證密鑰和加密密鑰����,所以�����,在步驟S203中�����,只需將所述認(rèn)證密鑰用于對(duì)所述數(shù)據(jù)包進(jìn)行認(rèn)證,對(duì)通過(guò)認(rèn)證的數(shù)據(jù)包���,再將所述已存儲(chǔ)的該通信所用的加密密鑰對(duì)所述數(shù)據(jù)包的加密數(shù)據(jù)進(jìn)行解密�,并將解密后的普通數(shù)據(jù)包轉(zhuǎn)發(fā)給目的內(nèi)部網(wǎng)絡(luò)即可�����;-如果所述數(shù)據(jù)包屬于用戶設(shè)備的已建立的其他正常通信(例如未采用Ipsec方案的數(shù)據(jù)包和采用現(xiàn)有技術(shù)中Ipsec方案的數(shù)據(jù)包)����,可在步驟S204中將所述數(shù)據(jù)包經(jīng)由網(wǎng)絡(luò)直接轉(zhuǎn)發(fā)。
如果來(lái)自用戶設(shè)備的數(shù)據(jù)包與所記錄的已建立通信的相關(guān)信息都不相匹配��,則存在兩種可能(1)所述數(shù)據(jù)包屬于用戶設(shè)備1首次發(fā)起的與所述內(nèi)部網(wǎng)絡(luò)之間的根據(jù)本發(fā)明的特殊安全通信��,尚未在接入設(shè)備端被記錄����;(2)所述數(shù)據(jù)包屬于不明來(lái)歷的通信(可能為惡意攻擊),為保護(hù)內(nèi)部網(wǎng)絡(luò)����,應(yīng)當(dāng)丟棄。
因此�,當(dāng)來(lái)自用戶設(shè)備的數(shù)據(jù)包與所記錄的已建立通信的相關(guān)信息都不相匹配�����,判斷裝置202需要對(duì)其進(jìn)行進(jìn)一步判斷����;具體的�,判斷裝置202還包括一個(gè)提取裝置2021��、計(jì)算裝置2022�����、比較裝置2023���、確定裝置2024����。
對(duì)于上述情況(1)�����,所述數(shù)據(jù)包為采用本發(fā)明提供的方案(優(yōu)選為基于Ipsec封裝)的數(shù)據(jù)包����,其中包括SPI值�、加密數(shù)據(jù)和認(rèn)證部分���。因此���,提取裝置2021應(yīng)從所述數(shù)據(jù)包中提取表示內(nèi)部網(wǎng)絡(luò)的目的地址前綴和SPI值。由于接入設(shè)備2中已經(jīng)預(yù)存有所有其管理下的內(nèi)部網(wǎng)絡(luò)的IP地址前綴和與所述前綴相對(duì)應(yīng)的屬于各個(gè)內(nèi)部網(wǎng)絡(luò)的第一��、第二根密鑰���,接入設(shè)備可以簡(jiǎn)單通過(guò)查詢而獲得處理所述數(shù)據(jù)包所需的第一��、二根密鑰��。
隨后�����,根據(jù)所述提取出的SPI值的用于指示安全策略方案(例如��,加解密�、認(rèn)證等算法)的第一部分,計(jì)算裝置2022可以根據(jù)預(yù)存的所有安全策略方案來(lái)中得知所述數(shù)據(jù)包所采用的加解密算法和認(rèn)證算法等���,接著便可以對(duì)該數(shù)據(jù)包進(jìn)行如下操作根據(jù)由原始SPI值中提取表示用戶設(shè)備1的當(dāng)?shù)厝掌谥档牡诙糠?����,并利用利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第二根密鑰通過(guò)與用戶設(shè)備處相同的生成方式來(lái)生成新的安全策略指示(SPI)值�����。
比較裝置2023將所述原始安全策略指示值與新的安全策略指示值進(jìn)行比較���。
確定裝置2024根據(jù)由原始SPI值中提取表示用戶設(shè)備1的當(dāng)?shù)厝掌谥档牡诙糠?,并利用利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第二根密鑰通過(guò)與用戶設(shè)備處相同的生成方式來(lái)生成新的安全策略指示(SPI)值;將所述原始SPI值與新的SPI值進(jìn)行比較���;如果兩者一致�,則可以確定該數(shù)據(jù)是由作為合法成員的用戶設(shè)備發(fā)出的���。
在本發(fā)明一個(gè)優(yōu)選實(shí)施例中�,優(yōu)選的�,計(jì)算裝置2022可利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第一根密鑰對(duì)所述數(shù)據(jù)包的目的地址前64位、源地址的128位以及所述SPI值的第二部分(日期值),生成一個(gè)128位的Hash值�,將其前24位作為新的用于校驗(yàn)的SPI值的第三部分。
接著���,比較裝置2023比較所述數(shù)據(jù)包中的SPI值的第三部分和所述生成的新的用于校驗(yàn)的SPI值第三部分�。如果所述原始SPI值的第三部分與在接入設(shè)備中計(jì)算得出的SPI值的第三部分相一致��,則確定裝置2024可以確定該數(shù)據(jù)是由作為合法成員的用戶設(shè)備發(fā)出的�����,可以進(jìn)一步對(duì)所述數(shù)據(jù)包進(jìn)行認(rèn)證�;否則,將其丟棄��。
認(rèn)證的具體操作如下計(jì)算裝置2022利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第一根密鑰對(duì)所計(jì)算的SPI值和一個(gè)與用戶設(shè)備之間預(yù)先約定的預(yù)定序列執(zhí)行與用戶設(shè)備處相同的運(yùn)算來(lái)生成一個(gè)新認(rèn)證密鑰����,利用所述新認(rèn)證密鑰對(duì)所述來(lái)自用戶設(shè)備的加密數(shù)據(jù)包中的加密數(shù)據(jù)部分執(zhí)行與用戶設(shè)備處相同的認(rèn)證運(yùn)算,以生成新認(rèn)證部分����。在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中,所述預(yù)定序列為源地址��。
比較裝置2023將所述數(shù)據(jù)包中提取出的原始認(rèn)證部分與所述新認(rèn)證部分相比較。若兩者相一致�,則確定裝置2024可以確認(rèn)數(shù)據(jù)包未被竄改過(guò)而且是合法成員發(fā)出的。從而�����,轉(zhuǎn)換處理裝置203可利用所述第一根密鑰在約定算法下對(duì)目的地址前綴(例如目的IP地址的前64位)和所述SPI值進(jìn)行運(yùn)算��,以生成加密密鑰����,并將所生成的加密密鑰對(duì)所述數(shù)據(jù)包中封裝的加密數(shù)據(jù)進(jìn)行解密,以獲得解密后的數(shù)據(jù)�����,并將其封裝成普通數(shù)據(jù)包���,并提供給第一發(fā)送裝置204,用以發(fā)送給目的內(nèi)部網(wǎng)絡(luò)����。
在根據(jù)本發(fā)明的一個(gè)具體實(shí)施方式
中,當(dāng)?shù)诙邮昭b置205接收到來(lái)自用戶設(shè)備的數(shù)據(jù)包時(shí)�����,判斷裝置202可通過(guò)以下操作來(lái)對(duì)該數(shù)據(jù)包進(jìn)行判斷如上所述,由于記錄裝置207記錄所有已建立通信的相關(guān)信息����。當(dāng)接入設(shè)備2接收到來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包后,判斷裝置202可將接收到的數(shù)據(jù)包的信息與記錄裝置207中已存的所有已建立的通信的相關(guān)信息進(jìn)行對(duì)比�����。根據(jù)對(duì)比可以給出幾個(gè)確定結(jié)果�����。如果確定該數(shù)據(jù)包屬于由內(nèi)部網(wǎng)絡(luò)發(fā)起的其他正常通信(例如未采用Ipsec加密方案的數(shù)據(jù)包和采用現(xiàn)有技術(shù)中Ipsec加密方案的通信)��,則轉(zhuǎn)換處理裝置203將該數(shù)據(jù)包直接提供給第二發(fā)送裝置206��,用以轉(zhuǎn)發(fā)���;而如果所述數(shù)據(jù)包屬于為根據(jù)本發(fā)明的用于與所述內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信�����,則轉(zhuǎn)換處理裝置203利用所述第一根密鑰和第二根密鑰來(lái)將所述普通數(shù)據(jù)包轉(zhuǎn)換為用于所述特殊安全通信的加密數(shù)據(jù)包�����,并將所轉(zhuǎn)換的加密數(shù)據(jù)包發(fā)送給所述用戶設(shè)備�����。
對(duì)于與所有記錄信息都不符合的數(shù)據(jù)包���,判斷裝置203可以簡(jiǎn)單地判斷��,該數(shù)據(jù)包可能屬于以下幾種情況-所述數(shù)據(jù)包采用IPsec封裝這種情況下��,無(wú)論記錄裝置207處是否存有所述通信的相關(guān)信息���,判斷裝置203都可以確定所述數(shù)據(jù)包是基于現(xiàn)有技術(shù)中的IPsec方案,屬于應(yīng)當(dāng)正常轉(zhuǎn)發(fā)的數(shù)據(jù)包���,這是由于只需要保護(hù)內(nèi)部網(wǎng)絡(luò)���,不允許外部用戶對(duì)其隨意訪問(wèn)�����,但是對(duì)于內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問(wèn),在此不予限制��,于是�,判斷裝置203并將該數(shù)據(jù)包發(fā)送至外部網(wǎng)絡(luò),并將該通信的相關(guān)信息提供給記錄裝置207進(jìn)行記錄后(無(wú)相關(guān)記錄的前提下需要此操作)�;-所述數(shù)據(jù)包未采用IPsec封裝這可能包括以下情形(a)如果接入設(shè)備未存有與所述數(shù)據(jù)包相關(guān)信息相匹配的信息則判斷裝置203可以確定所述數(shù)據(jù)包屬于由內(nèi)部網(wǎng)絡(luò)發(fā)起的通信,應(yīng)當(dāng)正常轉(zhuǎn)發(fā)�,從而,轉(zhuǎn)換處理裝置204將所述數(shù)據(jù)包直接提供給第二發(fā)送裝置����,用以發(fā)送;(b)如果接入設(shè)備存有與所述數(shù)據(jù)包的相關(guān)信息相匹配的信息則判斷裝置203可以根據(jù)記錄裝置中所保存的已建立通信的相關(guān)信息判斷所述數(shù)據(jù)包屬于內(nèi)部網(wǎng)絡(luò)發(fā)起的與外部網(wǎng)絡(luò)的正常通信(不采用IPsec方案)或者內(nèi)部網(wǎng)絡(luò)與在外部網(wǎng)絡(luò)中作為其成員的用戶設(shè)備之間的根據(jù)本發(fā)明的特殊安全通信����。對(duì)于這兩種情況,轉(zhuǎn)換處理裝置203分別進(jìn)行以下操作(i)內(nèi)部網(wǎng)絡(luò)發(fā)起的與外部網(wǎng)絡(luò)的正常通信(不采用IPsec方案)轉(zhuǎn)換處理裝置203將所述數(shù)據(jù)包直接提供給第二發(fā)送裝置206�,用以發(fā)送給目的地址;(ii)外部網(wǎng)絡(luò)發(fā)起的與內(nèi)部網(wǎng)絡(luò)間的根據(jù)本發(fā)明的特殊安全通信對(duì)這種數(shù)據(jù)包����,轉(zhuǎn)換處理裝置203根據(jù)記錄裝置中所保存的與該通信相關(guān)的記錄信息中查到其所用的第一、第二根密鑰�,并根據(jù)所述根密鑰,將第二根密鑰作用于目的IP地址����、源IP地址和當(dāng)前系統(tǒng)(接入設(shè)備)的日期值�����,在約定算法(由將生成的SPI值的第一部分確定)下生成SPI值�����,并將其用于在第一根密鑰的作用下生成加密��、認(rèn)證密鑰��。接著��,利用所述加密密鑰對(duì)待發(fā)送的數(shù)據(jù)進(jìn)行加密���,生成加密數(shù)據(jù),利用所述認(rèn)證密鑰作用于所述數(shù)據(jù)包���,生成認(rèn)證部分�����,并將所述SPI值��、加密數(shù)據(jù)�、認(rèn)證部分封裝成加密數(shù)據(jù)包(例如IPsec數(shù)據(jù)包)�,然后將該加密數(shù)據(jù)包提供給第二發(fā)送裝置206,以發(fā)送至目的IP地址(位于外部網(wǎng)絡(luò)的用戶設(shè)備)�����。
以上結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行了闡述��,需要理解���,本發(fā)明并不限于具體實(shí)施方式
�,本領(lǐng)域內(nèi)熟練技術(shù)人員可以在所附權(quán)利要求
的范圍內(nèi)做出各種變形或修改�。
權(quán)利要求
1.一種在通信網(wǎng)絡(luò)的用戶設(shè)備用于與其所屬的內(nèi)部網(wǎng)絡(luò)進(jìn)行特殊安全通信的方法,包括以下步驟a)利用生成一個(gè)預(yù)存的第二根密鑰來(lái)生成一個(gè)安全策略指示值�����,所述安全策略指示值用于指示加解密算法以及加解密數(shù)據(jù)的參數(shù)����;b)通過(guò)利用預(yù)存的第一根密鑰對(duì)所述安全策略指示值和一個(gè)第一預(yù)定序列進(jìn)行運(yùn)算,以生成加密密鑰��;c)利用所述加密密鑰對(duì)待傳輸數(shù)據(jù)進(jìn)行加密,以生成加密數(shù)據(jù)�����;d)將所述加密數(shù)據(jù)與所述安全策略指示值一起封裝為數(shù)據(jù)包���,經(jīng)所述通信網(wǎng)絡(luò)進(jìn)行傳輸����。
2.根據(jù)權(quán)利要求
1所述的方法�����,其特征在于����,所述安全策略指示值值包括三部分,其中第一部分用于指示所采用的安全策略方案��,所述安全策略方案包括加密算法���、封裝方式等�;第二部分包括本地當(dāng)前日期值;第三部分包括通過(guò)對(duì)所述本地當(dāng)前日期值�����、目的地址前綴�����、源地址���、所述第二根密鑰等進(jìn)行散列運(yùn)算得到的數(shù)值。
3.根據(jù)權(quán)利要求
1或2所述的方法��,其特征在于����,還包括以下步驟利用所述第一根密鑰對(duì)所述安全策略指示值與一個(gè)第二預(yù)定序列進(jìn)行運(yùn)算,以生成認(rèn)證密鑰��;利用所述認(rèn)證密鑰對(duì)所述加密數(shù)據(jù)進(jìn)行散列運(yùn)算以生成認(rèn)證部分���;其中��,所述步驟d)還包括將所述認(rèn)證部分封裝入所述待傳輸?shù)募用軘?shù)據(jù)包中����。第一部分用于指示安全策略方案。
4.根據(jù)權(quán)利要求
1-3中的任一項(xiàng)所述的方法����,其特征在于,在步驟a)之前還包括如下步驟利用本地預(yù)存的用戶相關(guān)信息���,通過(guò)與用戶的交互�����,來(lái)對(duì)用戶的身份進(jìn)行驗(yàn)證���;如所述用戶為合法用戶,則進(jìn)到步驟a)�;否則,停止工作���。
5.根據(jù)權(quán)項(xiàng)1-4中任一項(xiàng)所述的方法�,其特征在于��,所述通信網(wǎng)絡(luò)為基于IP協(xié)議的網(wǎng)絡(luò)��。
6.一種在通信網(wǎng)絡(luò)中用于與所屬內(nèi)部網(wǎng)絡(luò)進(jìn)行特殊安全通信的用戶設(shè)備,其包括生成裝置��,用于利用生成一個(gè)預(yù)存的第二根密鑰來(lái)生成一個(gè)安全策略指示值�����,所述安全策略指示值用于指示加解密算法以及加解密數(shù)據(jù)的參數(shù)����;第一運(yùn)算裝置��,用于通過(guò)利用預(yù)存的第一根密鑰對(duì)所述安全策略指示和一個(gè)第一預(yù)定序列進(jìn)行運(yùn)算����,以生成加密密鑰;加密裝置��,用于利用所述加密密鑰對(duì)待傳輸數(shù)據(jù)進(jìn)行加密���,以生成加密數(shù)據(jù)�;封裝裝置����,用于將所述加密數(shù)據(jù)與所述安全策略指示一起封裝為數(shù)據(jù)包,經(jīng)所述通信網(wǎng)絡(luò)進(jìn)行傳輸。
7.根據(jù)權(quán)利要求
6所述的用戶設(shè)備��,其中�����,所述安全策略指示值包括三部分����,其中第一部分用于指示所采用的安全策略方案,所述安全策略方案包括加密算法����、封裝方式等;第二部分包括本地當(dāng)前日期值�����;第三部分包括通過(guò)對(duì)所述本地當(dāng)前日期值���、目的地址前綴��、源地址��、所述第二根密鑰等進(jìn)行散列運(yùn)算得到的數(shù)值����。
8.根據(jù)權(quán)利要求
6所述的用戶設(shè)備,其特征在于���,還包括第二運(yùn)算裝置����,用于利用所述第一根密鑰對(duì)所述安全策略指示值與與一個(gè)第二預(yù)定序列進(jìn)行運(yùn)算����,以生成認(rèn)證密鑰;認(rèn)證裝置�,用于利用所述認(rèn)證密鑰對(duì)所述加密數(shù)據(jù)進(jìn)行認(rèn)證運(yùn)算以生成認(rèn)證部分�;其中,所述封裝裝置還用于將所述認(rèn)證部分封裝入所述待傳輸?shù)臄?shù)據(jù)包中����。第三部分為利用預(yù)存的第二根密鑰對(duì)目的地址和源地址以及所述本地當(dāng)前日期值進(jìn)行運(yùn)算得到的數(shù)值。
9.根據(jù)權(quán)利要求
6-8任一項(xiàng)中所述的用戶設(shè)備���,其特征在于����,還包括驗(yàn)證裝置,用于執(zhí)行以下操作-利用本地預(yù)存的用戶相關(guān)信息�����,通過(guò)與用戶的交互�,來(lái)對(duì)用戶的身份進(jìn)行驗(yàn)證,以及���;-如有所述用戶為合法用戶����,則允許進(jìn)行工作�����;-否則��,停止工作���。
10.根據(jù)權(quán)利要求
6-9中任一項(xiàng)所述的用戶設(shè)備����,其特征在于�,所述通信網(wǎng)絡(luò)為基于IP協(xié)議的網(wǎng)絡(luò)�����。
11.一種在通信網(wǎng)絡(luò)的接入設(shè)備中用于支持一個(gè)用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信的方法���,其包括以下步驟i)接收來(lái)自一個(gè)用戶設(shè)備的數(shù)據(jù)包;ii)判斷所述來(lái)自用戶設(shè)備的數(shù)據(jù)包是否為屬于所述用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信����;iii)如果所述來(lái)自用戶設(shè)備的數(shù)據(jù)包屬于所述特殊安全通信,則利用預(yù)存的與所述內(nèi)部網(wǎng)絡(luò)對(duì)應(yīng)的第一根密鑰來(lái)對(duì)所述來(lái)自用戶設(shè)備的數(shù)據(jù)包中的加密數(shù)據(jù)部分執(zhí)行與用戶設(shè)備處的加密算法相對(duì)應(yīng)的解密算法�,以生成普通數(shù)據(jù)包,并將其轉(zhuǎn)發(fā)給所述內(nèi)部網(wǎng)絡(luò)�����。
12.根據(jù)權(quán)利要求
11所述的方法�����,其特征在于�,所述步驟ii)包括由所述來(lái)自用戶設(shè)備的數(shù)據(jù)包中提取所述數(shù)據(jù)包的目的地址前綴和原始安全策略指示值��;利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第二根密鑰通過(guò)與用戶設(shè)備處相同的生成方式來(lái)生成新的安全策略指示值�;將所述原始安全策略指示值與新的安全策略指示值進(jìn)行比較��;如果所述原始安全策略指示值與新的安全策略指示值相一致����,則確定所述來(lái)自用戶設(shè)備的數(shù)據(jù)包屬于所述特殊安全通信����。
13.根據(jù)權(quán)利要求
12所述的方法,其特征在于�����,所述步驟ii)還包括由所述安全策略指示值中提取所述原始認(rèn)證部分�����;利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第一根密鑰對(duì)所計(jì)算的安全策略指示值執(zhí)行與用戶設(shè)備處相同的運(yùn)算來(lái)生成一個(gè)新認(rèn)證密鑰��;利用所述新認(rèn)證密鑰對(duì)所述來(lái)自用戶設(shè)備的加密數(shù)據(jù)包中的加密數(shù)據(jù)部分執(zhí)行與用戶設(shè)備處相同的認(rèn)證運(yùn)算��,以生成新認(rèn)證部分����;將所述原始認(rèn)證部分與所述新認(rèn)證部分相比較;如果所述原始認(rèn)證部分與所述新的認(rèn)證部分相一致���,則確定所述來(lái)自用戶設(shè)備的數(shù)據(jù)包屬于所述特殊安全通信�。
14.根據(jù)權(quán)利要求
11-13中任一項(xiàng)所述的方法,其特征在于����,還包括記錄所有已建立通信的相關(guān)信息;基于所述相關(guān)信息來(lái)判斷所述來(lái)自用戶設(shè)備的數(shù)據(jù)包是否屬于用戶設(shè)備與其所述內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信或所述用戶設(shè)備的已建立的其他類型通信���;如果所述來(lái)自用戶設(shè)備的數(shù)據(jù)包屬于所述特殊安全通信���,則利用所述第一根密鑰來(lái)對(duì)所述來(lái)自用戶設(shè)備的數(shù)據(jù)包中的加密數(shù)據(jù)部分執(zhí)行與用戶設(shè)備處的加密算法相對(duì)應(yīng)的解密算法,以生成普通數(shù)據(jù)包����,并將其轉(zhuǎn)發(fā)給所述內(nèi)部網(wǎng)絡(luò);如果所述來(lái)自用戶設(shè)備的數(shù)據(jù)包屬于所述用戶設(shè)備的已建立的其他類型通信�,則直接轉(zhuǎn)發(fā)所述數(shù)據(jù)包;如果所述來(lái)自用戶設(shè)備的數(shù)據(jù)包不屬于所述特殊安全通信和所述用戶設(shè)備的已建立的其他類型通信���,則丟棄所述數(shù)據(jù)包。
15.根據(jù)權(quán)利要求
14所述的方法���,其特征在于�����,還包括以下步驟接收來(lái)自所述內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包����;根據(jù)所記錄的所有已建立通信的相關(guān)信息來(lái)判斷所述來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包是否屬于所述內(nèi)部網(wǎng)絡(luò)與用戶設(shè)備之間已建立的特殊安全通信或所述內(nèi)部網(wǎng)絡(luò)的已建立的其他類型通信;如果所述來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包屬于所述內(nèi)部網(wǎng)路與用戶設(shè)備之間已建立的特殊安全通信���,則利用所述第一根密鑰和第二根密鑰來(lái)采用與用戶設(shè)備處相同的方式將所述普通數(shù)據(jù)包轉(zhuǎn)換為用于所述特殊安全通信的加密數(shù)據(jù)包�����,并將所轉(zhuǎn)換的加密數(shù)據(jù)包發(fā)送給所述用戶設(shè)備�;如果所述來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包屬于所述內(nèi)部網(wǎng)絡(luò)的已建立的其他類型通信����,則直接轉(zhuǎn)發(fā)所述數(shù)據(jù)包。
16.根據(jù)權(quán)利要求
11-15中任一項(xiàng)所述的方法�,其特征在于,所述相關(guān)信息包括數(shù)據(jù)包的目的地址�、源地址、SPI值���、第一根密鑰等����。
17.根據(jù)權(quán)利要求
11-16中任一項(xiàng)所述的方法,其特征在于����,所述通信網(wǎng)絡(luò)為基于IP協(xié)議的網(wǎng)絡(luò)。
18.一種在在通信網(wǎng)絡(luò)中用于支持用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信的接入設(shè)備��,其包括第一接收裝置���,用于接收來(lái)自所述一個(gè)用戶設(shè)備的數(shù)據(jù)包���;判斷裝置,用于判斷所述來(lái)自用戶設(shè)備的數(shù)據(jù)包是否屬于所述用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信���;轉(zhuǎn)換處理裝置�����,用于如果所述數(shù)據(jù)包屬于所述特殊安全通信�����,則利用預(yù)存的與所述內(nèi)部網(wǎng)絡(luò)對(duì)應(yīng)的第一根密鑰來(lái)對(duì)所述來(lái)自用戶設(shè)備的數(shù)據(jù)包中的加密數(shù)據(jù)部分執(zhí)行與用戶設(shè)備處的加密算法相對(duì)應(yīng)的解密算法��,以生成普通數(shù)據(jù)包����;第一發(fā)送裝置��,用于轉(zhuǎn)發(fā)數(shù)據(jù)包�。
19.根據(jù)權(quán)項(xiàng)18所述的接入設(shè)備,其特征在于�����,所述判斷裝置包括提取裝置���,用于由所述數(shù)據(jù)包中提取所述數(shù)據(jù)包的目的地址前綴和原始安全策略指示值��;計(jì)算裝置���,用于利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第二根密鑰通過(guò)與用戶設(shè)備處相同的生成方式來(lái)生成新的安全策略指示值;比較裝置�,用于將所述原始安全策略指示值與新的安全策略指示值進(jìn)行比較;確定裝置����,用于如果所述原始安全策略指示值與新的安全策略指示值相一致�,則確定所述來(lái)自用戶設(shè)備的數(shù)據(jù)包屬于所述特殊安全通信�����。
20.根據(jù)權(quán)利要求
19所述的接入設(shè)備���,其特征在于�,所述提取裝置還用于由所述安全策略指示值中提取所述原始認(rèn)證部分�;所述計(jì)算裝置還用于利用預(yù)存的與所述目的地址前綴相對(duì)應(yīng)的第一根密鑰對(duì)所計(jì)算的安全策略指示值執(zhí)行與用戶設(shè)備處相同的運(yùn)算來(lái)生成一個(gè)新認(rèn)證密鑰;所述比較裝置還用于將所述原始認(rèn)證部分與所述新的認(rèn)證部分相比較�����;所述確定裝置還用于當(dāng)所述原始認(rèn)證部分與所述新的的認(rèn)證部分一致��,則確定所述來(lái)自用戶設(shè)備的數(shù)據(jù)包屬于所述特殊安全通信�����。
21.根據(jù)權(quán)利要求
18-20中任一項(xiàng)所述的接入設(shè)備����,其特征在于�,還包括記錄裝置���,用于記錄所有已建立通信的相關(guān)信息��;其中,所述判斷裝置還用于基于所述相關(guān)信息來(lái)判斷所述來(lái)自用戶設(shè)備的數(shù)據(jù)包是否屬于該用戶設(shè)備與其所述內(nèi)部網(wǎng)絡(luò)之間的特殊安全通信或所述用戶設(shè)備的已建立的其他類型通信����;所述轉(zhuǎn)換處理裝置還用于執(zhí)行以下功能-如果所述數(shù)據(jù)包為該用戶設(shè)備與所述內(nèi)部網(wǎng)絡(luò)之間安全通信的加密數(shù)據(jù)包,則利用預(yù)存的與所述內(nèi)部網(wǎng)絡(luò)相對(duì)應(yīng)的第一根密鑰來(lái)將所述加密數(shù)據(jù)包轉(zhuǎn)換為普通數(shù)據(jù)包�����,并將其提供給第一發(fā)送裝置�;-如果所述數(shù)據(jù)包屬于該用戶設(shè)備的已建立的其他類型通信,則直接將所述數(shù)據(jù)包提供給所述第一發(fā)送裝置����;-否則,丟棄所述數(shù)據(jù)包���。
22.根據(jù)權(quán)利要求
21所述的接入設(shè)備�����,其特征在于�,還包括第二接收裝置,用于接收來(lái)自所述內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包�����;第二發(fā)送裝置�,用于將數(shù)據(jù)包發(fā)送給用戶設(shè)備;其中��,所述判斷裝置還用于根據(jù)所記錄的所有已建立通信的相關(guān)信息來(lái)判斷所述來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包是否屬于所述內(nèi)部網(wǎng)絡(luò)與用戶設(shè)備之間已建立的特殊安全通信或所述內(nèi)部網(wǎng)絡(luò)的已建立的其他類型通信的數(shù)據(jù)包���;所述轉(zhuǎn)換處理裝置還用于執(zhí)行以下操作-如果所述來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包屬于所述內(nèi)部網(wǎng)路與用戶設(shè)備之間已建立的特殊安全通信���,則利用所述第一根密鑰和第二根密鑰來(lái)采用與用戶設(shè)備處相同的方式將所述普通數(shù)據(jù)包轉(zhuǎn)換為用于所述特殊安全通信的加密數(shù)據(jù)包,并將所轉(zhuǎn)換的加密數(shù)據(jù)包提供給第二發(fā)送裝置���;如果所述來(lái)自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包屬于所述內(nèi)部網(wǎng)絡(luò)的已建立的其他類型通信的數(shù)據(jù)包��,則將所述數(shù)據(jù)包直接提供給第二發(fā)送裝置��。
23.根據(jù)權(quán)利要求
18-22中任一項(xiàng)所述的接入設(shè)備�����,其特征在于�,所述相關(guān)信息包括數(shù)據(jù)包的目的地址、源地址�、SPI值、第一根密鑰等��。
24.根據(jù)權(quán)利要求
18-23中任一項(xiàng)所述的接入設(shè)備�,其特征在于,所述通信網(wǎng)絡(luò)為基于IP協(xié)議的網(wǎng)絡(luò)����。
專利摘要
本發(fā)明的目的在于提供一種新的支持處于外部網(wǎng)絡(luò)的用戶設(shè)備與其所屬內(nèi)部網(wǎng)絡(luò)之間安全通信的技術(shù)方案���。具體的�,通過(guò)利用在用戶設(shè)備和接入設(shè)備處�,利用預(yù)存的與特定內(nèi)部網(wǎng)絡(luò)相對(duì)應(yīng)的根密鑰與約定的加/解密以及認(rèn)證算法來(lái)對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加/解密以及認(rèn)證,從而在不降低安全等級(jí)的前提下��,簡(jiǎn)化了加/解密鑰以及認(rèn)證密鑰等的生成方式��,降低了內(nèi)部網(wǎng)絡(luò)端的接入設(shè)備的復(fù)雜性�����。本發(fā)明的技術(shù)方案具備較高的靈活性和可擴(kuò)展性,實(shí)現(xiàn)了更優(yōu)的用戶體驗(yàn)����。
文檔編號(hào)H04L12/56GK1992585SQ200510112411
公開日2007年7月4日 申請(qǐng)日期2005年12月30日
發(fā)明者賓梵翔, 張青山, 江瀅瀾, 鄢仁祥, 溫海波, 丁哲民 申請(qǐng)人:上海貝爾阿爾卡特股份有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan