一种IPSec通信的建立方法和系统技术方案

本申请公开了一种IPSec通信的建立方法，包括：通过与响应端的信息交换，选定加密参数信息和加密密钥；生成发起端的公私钥对后，向CA发送证书生成请求；利用由加密参数信息以及加密密钥组成的认证密钥，并结合发起端的身份信息，通过第一算法生成第一数据；利用发起端私钥加密后得到第一数字签名并发送至响应端，以使响应端从CA中获取CertA后，基于CertA验证第一数字签名；接收到响应端发送的第二数字签名时，从CA中获取CertB验证第二数字签名且验证通过之后，进行IPSec SA的协商建立以完成IPSec通信的建立。应用本申请方案，节省了带宽。本申请还提供了一种IPSec通信的建立系统，具有相应效果。

A method and system for IPSec communication

【技术实现步骤摘要】
一种IPSec通信的建立方法和系统
本专利技术涉及通信
，特别是涉及一种IPSec通信的建立方法和系统。
技术介绍
随着通信基础设施建设和互联网技术的飞速发展，各行业纷纷借助互联网技术来加快公司信息的流动速度，提升综合竞争力。VPN是目前业界主流的解决异地网络安全互连的加密通信协议。IPSecVPN在目前的VPN技术中使用率较高，IPSec(InternetProtocolSecurity，互联网协议安全)工作于网络层，在参与IPSec的设备之间保护和鉴别IP包。IPSec不和任何特定的加密或认证算法、密钥技术或者安全算法绑定，是一个公开标准的框架，因此不用修改已有的IPSec标准，就可以将IPSec应用到各种算法中。IPSec在IP层为参与的对等体提供数据保密性、完整性和起源认证，可在一对网关、一对主机或一个网关和一台主机之间提供一个安全的路径。IPSec主要提供四种功能：机密性，指的是通过网络传送数据包之前，发送者可以将数据包加密。数据完整性，指的是接收者可以确认数据在Internet上传送时没有以任何方式被改变。起源认证，指本文档来自技高网...

【技术保护点】
1.一种IPSec通信的建立方法，其特征在于，应用于发起端中，包括：/n通过与响应端的信息交换，确定出选定的加密参数信息和加密密钥；/n生成发起端的公私钥对后，向CA发送证书生成请求，以使CA生成基于发起端公钥信息的数字证书CertA；/n利用由所述加密参数信息以及所述加密密钥组成的认证密钥，并结合发起端的身份信息，通过第一算法生成第一数据；/n利用发起端私钥将所述第一数据进行加密后得到第一数字签名，并发送至所述响应端，以使响应端从CA中获取所述数字证书CertA后，基于所述数字证书CertA验证所述第一数字签名；/n接收到响应端发送的第二数字签名时，从CA中获取基于响应端公钥信息的数字证书C...

【技术特征摘要】
1.一种IPSec通信的建立方法，其特征在于，应用于发起端中，包括：
通过与响应端的信息交换，确定出选定的加密参数信息和加密密钥；
生成发起端的公私钥对后，向CA发送证书生成请求，以使CA生成基于发起端公钥信息的数字证书CertA；
利用由所述加密参数信息以及所述加密密钥组成的认证密钥，并结合发起端的身份信息，通过第一算法生成第一数据；
利用发起端私钥将所述第一数据进行加密后得到第一数字签名，并发送至所述响应端，以使响应端从CA中获取所述数字证书CertA后，基于所述数字证书CertA验证所述第一数字签名；
接收到响应端发送的第二数字签名时，从CA中获取基于响应端公钥信息的数字证书CertB，并基于所述数字证书CertB验证所述第二数字签名；
在所述第二数字签名验证通过之后，进行IPSecSA的协商建立以完成IPSec通信的建立；
其中，所述第二数字签名为响应端利用响应端私钥将第二数据进行加密后得到的第二数字签名，所述第二数据为响应端利用由所述加密参数信息以及所述加密密钥组成的认证密钥，并结合响应端的身份信息，通过第一算法生成的第二数据。


2.根据权利要求1所述的IPSec通信的建立方法，其特征在于，还包括：
通过与响应端的信息交换，得到发起端生成的伪随机数nA以及响应端生成的伪随机数nB；
相应的，所述利用由所述加密参数信息以及所述加密密钥组成的认证密钥，并结合发起端的身份信息，通过第一算法生成第一数据，包括：
利用由所述加密参数信息，所述加密密钥，所述伪随机数nA以及所述伪随机数nB组成的认证密钥，并结合发起端的身份信息，通过第一算法生成第一数据；
所述第二数据为响应端利用由所述加密参数信息，所述加密密钥，所述伪随机数nA以及所述伪随机数nB组成的认证密钥，并结合响应端的身份信息，通过第一算法生成的第二数据。


3.根据权利要求2所述的IPSec通信的建立方法，其特征在于，所述通过与响应端的信息交换，得到发起端生成的伪随机数nA以及响应端生成的伪随机数nB，包括：
生成并保存伪随机数nA，并将所述伪随机数nA加密发送至响应端以使响应端进行保存；
接收由响应端生成并保存并加密发送的伪随机数nB；
保存所述伪随机数nB。


4.根据权利要求1所述的IPSec通信的建立方法，其特征在于，所述通过与响应端的信息交换，确定出选定的加密参数信息和加密密钥，包括：
发送一组建议的加密参数到响应端，并根据所述响应端的反馈信息确定出被选定的加密参数信息；
通过与所述响应端的Diffie-Hellman交换确定出加密密钥。


5.根据权利要求1所述的IPSec通信的建立方法，其特征在于，响应端的身份信息为响应端的设备信息，发起端的身份信息为发起端的设备信息，所述第一算法为哈希算法。


6.一种IPSec通信的建立方法，其特征在于，应用于响应端中，包括：
通过与发起端的信息交换，确定出选定的加密参数信息和加密密钥；
接收到发起端发送的第一数字签名时，从CA中获取数字证书CertA，并基于所述数字证书CertA验证所述第一数字签名；
其中，所述第一数字签名为发起端利用发起端私钥将第一数据进行加密后得到的第一数字签名；所述第一数据为发起端利用由所述加密参数信息以及所述加密密钥组成的认证密钥，并结合发起端的身份信息，通过第一算法生成的第一数据；所述数字证书CertA为CA接收到发起端发送的证书生成请求后基于发起端公钥信息生成的数字证书CertA；
在所述第一数字签名验证通过之后，生成响应端的公私钥对，向CA发送证书生成请求，以使CA生成基于响应端公钥信息的数字证书CertB；
利用由所述加密参数信息以及所述加密密钥组成的认证密钥，并结合响应端的身份信息，通过第一算法生成第二数据；
利用响应端私钥将所述第二数据进行加密后得到第二数字签名，并发送至所述发起端，以使发起端从CA中获取所述数字证书CertB后，基于所述数字证书CertB验证所述第二数字签名；...

【专利技术属性】
技术研发人员：孙希发，
申请(专利权)人：北京浪潮数据技术有限公司，
类型：发明
国别省市：北京;11