本发明专利技术公开了一种配置信息的下发方法、系统及装置,在上述方法中,中心控制器分别为多个转发设备中的每个转发设备配置参数集合,其中,参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟;中心控制器分别与每个转发设备进行协商并创建安全通道;中心控制器经由安全通道将参数集合下发至每个转发设备。根据本发明专利技术提供的技术方案,降低了在多个转发设备之间建立安全联盟的复杂度,提高了数据传输的安全性。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种配置信息的下发方法、系统及装置,在上述方法中,中心控制器分别为多个转发设备中的每个转发设备配置参数集合,其中,参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟;中心控制器分别与每个转发设备进行协商并创建安全通道;中心控制器经由安全通道将参数集合下发至每个转发设备。根据本专利技术提供的技术方案,降低了在多个转发设备之间建立安全联盟的复杂度,提高了数据传输的安全性。【专利说明】配置信息的下发方法、系统及装置
本专利技术涉及互联网
,具体而言,涉及一种配置信息的下发方法、系统及装置。
技术介绍
互联网协议安全性(Internet Protocol Security,简称为IPSec)是一种开放标准的框架结构,其可以通过使用加密的安全服务以确保在互联网协议(IP)网络上进行保密而开展安全的通讯。 IPSec并非是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,可以包括:认证报文头(Authenticat1n Header,简称为AH)协议、封装安全载荷(Encapsulating Security Payload,简称为 ESP)协议、因特网密钥交换(Internet KeyExchange,简称为IKE)协议和用于网络认证及加密的一些算法等,其中,AH协议和ESP协议可以用于提供安全服务,而IKE协议可以用于密钥交换。为此,IPSec提供了如下两种安全机制:认证和加密。 第一种、认证机制可以使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改; 第二种、加密机制可以通过对数据进行加密运算来确保数据的机密性,以防止数据在传输过程中被窃听。IPSec协议中的AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供数据可靠性保证。 IPSec对数据流提供的安全服务可以通过安全联盟(SA)来实现,其中,可以包括:协议、算法、密钥等内容,具体确定了如何对IP报文进行处理。一个SA即为两个IPSec系统之间的一个单向逻辑连接,输入数据流和输出数据流由输入安全联盟与输出安全联盟分别进行处理。安全联盟由一个三元组(安全参数索引(SPI)、目的IP地址以及安全协议号)来唯一标识。 网络虚拟化是以云计算技术为基础随之发展而来的,并建立在虚拟化技术的基础上。从路由器的设计上来看,其由软件控制和硬件数据通道组成。软件控制可以包括:管理(例如:命令行界面(CLI)、简单网络管理协议(SNMP))以及路由协议(例如:开放式最短路径优先(0SPF)、边界网关协议(BGP))。数据通道可以包括:针对每个包的查询、交换和缓存。如果将网络中所有的转发设备视为被管理的资源,那么参考操作系统的原理,可以抽象出一个网络操作系统(Network OS)的概念。该网络操作系统一方面抽象了底层转发设备的具体细节,同时还为上层应用提供了统一的管理视图和编程接口。如此,基于网络操作系统这个平台,用户可以开发各种应用程序,通过软件来定义逻辑上的网络拓扑,以满足对网络资源的不同需求,而无需关心底层网络的物理拓扑结构。 网络虚拟化目前有斯坦福大学提出的开放流表(Openflow)技术和软件定义网络(Software Defined Network,简称为SDN)架构、互联网工程任务组(InternetEngineering Task Force,简称为 IETF)提出的路由系统接口( Interface to the RoutingSystem,简称为I2RS)架构等。上述各项技术均具有以下三种形态:应用控制器、转发设备以及可编程接口。图1是根据相关技术的网络虚拟化框架示意图。如图1所示,上述三种形态在SDN架构中和Openflow中分别是中央控制器(Controller)、虚拟交换机和可编程接口 ;而在I2RS架构中则分别是I2RS客户端、转发设备、I2RS代理(Agent)。 在现有的IPSec技术中,安全联盟可以通过手工配置和自动协商两种方式来建立。手工建立安全联盟的方式是指用户可以通过在两端手工设置预设参数,在两端参数匹配和协商通过后建立安全联盟;自动协商方式由IKE生成和维护,通信双方基于各自的安全策略库经过匹配和协商,最终建立安全联盟而不需要用户的干预。 在多个路由器需要相互之间建立IPSec安全联盟时,无论是通过手工配置还是通过自动协商的方式,均存在以下两个缺陷: 缺陷一、当路由器数目较为庞大时,需要为每一个路由器进行安全联盟的相关配置,其操作较为繁琐、复杂; 缺陷二、若假设路由器的数目为n,则每两台路由器之间需要建立协商通道,则协商信令通道需要占用(η-1) + (η-2) + (η-3>..+ (η-(η-1))个,即η* (η_1)/2个通道。 不仅如此,在现有的网络虚拟化技术中,对于IPSec安全联盟的建立,并没有为控制器和转发设备之间的可编程接口提供一种切实可行的方法,并且在目前的网络虚拟化技术中,可编程接口的安全性考虑不足,因此,其并不适用于IPSec安全联盟的建立。
技术实现思路
本专利技术提供了一种配置信息的下发方法、系统及装置,以至少解决相关技术中在多个转发设备之间建立安全联盟的方式繁琐复杂且安全性较低的问题。 根据本专利技术的一个方面,提供了一种配置信息的下发方法。 根据本专利技术的配置信息的下发方法包括:中心控制器分别为多个转发设备中的每个转发设备配置参数集合,其中,参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟;中心控制器分别与每个转发设备进行协商并创建安全通道;中心控制器经由安全通道将参数集合下发至每个转发设备。 优选地,中心控制器分别与每个转发设备进行协商并创建互联网协议安全性(IPSec)安全通道。 优选地,中心控制器与每个转发设备进行协商并创建安全通道包括:中心控制器经由预设可编程接口与每个转发设备进行因特网密钥交换(IKE)协商;如果协商一致,中心控制器创建与每个转发设备之间的IPSec安全通道。 优选地,中心控制器经由IPSec安全通道将参数集合下发至每个转发设备包括:中心控制器经由IPSec安全通道与每个转发设备进行安全连接;中心控制器通过预设网络协议或者预设管理方式将参数集合下发至每个转发设备。 优选地,预设网络协议或者预设管理方式包括以下之一:电信网络协议(TELNET);安全外壳协议(SSH);简单网络管理协议(SNMP);网络配置管理协议(NETC0NF);用户端(CPE)广域网管理协议(TR069);基于网站公开源码系统(WEB⑶I)的管理方式;文件传输协议(FTP);简单文件传输协议(TFTP);安全文件传输协议(SFTP);系统日志;YANG语言模式;边界网关协议(BGP)。 优选地,在中心控制器经由安全通道将参数集合下发至每个转发设备之后,还包括:多个转发设备中的第一转发设备接收到待转发至多个转发设备中的一个或多个第二转发设备的数据报文;第一转发设备从参数集合中获取封装模式信息和密钥信息,并根据封装模式信息以及密钥信息对待转发的数据报文进行加密封装处理;第一转发设备将经过封装处理本文档来自技高网...
【技术保护点】
一种配置信息的下发方法,其特征在于,包括:中心控制器分别为多个转发设备中的每个转发设备配置参数集合,其中,所述参数集合用于在所述多个转发设备中的每对转发设备之间建立安全联盟;所述中心控制器分别与所述每个转发设备进行协商并创建安全通道;所述中心控制器经由所述安全通道将所述参数集合下发至所述每个转发设备。
【技术特征摘要】
【专利技术属性】
技术研发人员:孟伟,宗在峰,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。