【技术实现步骤摘要】
一种自动更新手工配置IPSec SA的方法和设备
[0001]本申请涉及通信
,特别是涉及一种自动更新手工配置互联网协议安全(英文:Internet Protocol Secrutity,IPSec)安全联盟(英文:Security Association,SA)的方法和设备。
技术介绍
[0002]IPSec是互联网工程任务组(英文:Internet Engineering Task Force,简称:IETF)制定的一组框架协议,通过使用加密的安全传输通道,保障互联网上通信的安全性。网络设备之间基于IPSec技术进行报文的安全传输,需要网络设备之间协商确定匹配的SA,利用匹配的SA对传输的报文进行安全保护,例如:发送方利用其当前SA中的加密密钥对报文加密后发送给接收方,接收方基于其当前SA(即,与发送方当前SA匹配的SA)中的解密密钥对接收内容进行解密,安全的获得该报文。
[0003]目前,通常通过手工配置或者IKE协商的方式,在两个网络设备上分别确定相互匹配的SA。但是,手工配置的方式不仅安全性低,而且在...
【技术保护点】
【技术特征摘要】
1.一种自动更新手工配置互联网协议安全安全联盟IPSec SA的方法,其特征在于,包括:在第一时刻,第一网络设备根据本地保存的手工配置的IPSec配置信息以及与所述第一时刻关联的第一时间参数,确定第一IPSec SA和第二IPSec SA,其中,所述第一IPSec SA用于对第一IPSec SA老化周期内所述第一网络设备到所述第二网络设备传输的报文进行安全保护,所述第二IPSec SA用于对所述第一IPSec老化周期内所述第二网络设备到所述第一网络设备传输的报文进行安全保护;在第二时刻,所述第一网络设备根据所述IPSec配置信息以及与所述第二时刻关联的第二时间参数,确定第三IPSec SA和第四IPSec SA,其中,所述第三IPSec SA用于对第二IPSec SA老化周期内所述第一网络设备到所述第二网络设备传输的报文进行安全保护,所述第四IPSec SA用于对所述第二IPSec SA老化周期内所述第二网络设备到所述第一网络设备传输的报文进行安全保护,所述第一时刻到所述第二时刻经过的时长等于一个IPSec SA老化周期所对应的时长,所述IPSec配置信息包括所述一个IPSec SA老化周期所对应的时长,所述第一时间参数和所述第二时间参数不同。2.根据权利要求1所述的方法,其特征在于,所述第一网络设备包括计数器,所述第一时间参数为所述计数器在所述第一时刻的值,每个经过一个所述IPSec SA老化周期所述计数器的值加一;或者,所述第一时间参数为所述第一时刻对应的Unix时间戳除以所述一个IPSec SA老化周期对应的时长所得的商的整数部分。3.根据权利要求1或2所述的方法,其特征在于,所述IPSec配置信息还包括:所述第一网络设备和所述第二网络设备之间的IPSec隧道相对所述第一网络设备的源IP地址、所述IPSec隧道相对所述第一网络设备的目的IP地址和预共享密钥材料,所述预共享密钥材料用于计算IPSec SA中的IPSec密钥。4.根据权利要求3所述的方法,其特征在于,所述第一网络设备根据所述IPSec配置信息和所述第一时间参数,确定所述第一IPSec SA和所述第二IPSec SA,包括:所述第一网络设备根据所述第一时间参数、所述源IP地址和所述目的IP地址,分别获得所述第一IPSe SA的第一安全参数索引SPI和所述第二IPSec SA的第二SPI,所述第一SPI和所述第二SPI不同。5.根据权利要求3或4所述的方法,其特征在于,所述第一网络设备根据所述IPSec配置信息和所述第一时间参数,确定所述第一IPSec SA和所述第二IPSec SA,包括:所述第一网络设备根据所述第一时间参数、所述源IP地址、所述目的IP地址和所述预共享密钥材料,获得所述第一IPSec SA的第一IPSec密钥集和所述第二IPSec SA的第二IPSec密钥集。6.根据权利要求5所述的方法,其特征在于,所述第一IPSec密钥集包括第一加密密钥和/或第一认证密钥;所述第二IPS...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。