提供了用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品、系统和方法实施例。响应方从发起方接收安全性关联初始化消息以建立与响应方的安全性关联,该安全性关联初始化消息包括用于生成用于安全性关联的密钥的密钥材料。在建立安全性关联之后,响应方从发起方接收认证消息以对响应方进行编程以在响应方与发起方之间建立认证。响应于该认证消息,响应方向发起方发送认证消息响应以建立与响应方的认证。响应方在发送认证消息响应之后,响应方向发起方发送认证完成消息,以使发起方激活使用安全性关联和密钥来对响应方与发起方之间的通信进行加密和解密。与发起方之间的通信进行加密和解密。与发起方之间的通信进行加密和解密。
【技术实现步骤摘要】
【国外来华专利技术】建立安全性关联和认证以保护发起方与响应方之间的通信
[0001]本专利技术涉及用于建立安全性关联和认证以保护发起方与响应方之间的通信的计算机程序产品、系统和方法。
技术介绍
[0002]在光纤通道环境中,为了提供光纤通道架构中的节点之间的安全和加密通信,使用安全性建立协议在SA_Initiator与SA_Responder之间进行安全性关联(SA)管理事务。安全性关联管理协议可以由光纤通道认证协议的认证响应方发起。发起方和响应方可以包括在光纤通道网络中的设备中的主机总线适配器中的端口。为端口处的数据发送和数据接收建立单独的安全性关联。SA建立事务的完成导致一组安全性关联和相关的密钥材料,它们被用于在所建立的安全性关联下加密/解密发起方与目标之间的数据通信。
[0003]用于保护安全性关联中的数据以便进行发送和接收的密码密钥可以作为密钥更新(rekey)操作的一部分而被周期性地刷新,密钥更新操作涉及重复安全建立协议和重新认证。安全性关联协议的一个示例是T11光纤通道安全性协议标准FC
‑
SP
‑
2中的安全性关联管理协议,其类似于由诸如因特网密钥交换版本2(IKEv2)之类的因特网协议标准定义的协议。该协议包括一对消息SA_Init和SA_Init Response以建立父关联,其后是一对消息SA_Auth和SA_Auth Response以执行实体的认证并建立保护实体之间传送的数据的安全性关联。
[0004]当使用重新认证来执行密钥更新操作时,在发起方和目标处维持多个安全性关联,直到删除旧的安全性关联为止。在特定实现中,为了避免在该时间期间的业务丢失,使用新的安全性关联的数据传输被一直延迟,直到从响应方接收到删除请求之后的某个时间为止。如果在用于建立新的安全性关联的消息传递中发生错误,则可能导致不一致的状态和业务丢失。
[0005]在本领域中需要用于为节点之间的数据传输建立安全性关联的改进技术。因此,在本领域中需要解决上述问题。
技术实现思路
[0006]从第一方面来看,本专利技术提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括具有在响应方处实现的计算机可读程序代码的计算机可读存储介质,所述计算机可读程序代码在被执行时执行操作,所述操作包括:从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料;在建立所述安全性关联之后,从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证;响应于所述认证消息,向所述发起方发送认证消息响应以建立与所述响应方的认证;以及在发送所述认证消息响应之后,向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之
间的通信进行加密和解密。
[0007]从另一方面来看,本专利技术提供了一种用于通过网络在发起方与响应方之间进行安全通信的系统,包括:处理器:计算机可读存储介质,其具有在所述响应方处实现的计算机可读程序代码,所述计算机可读程序代码在被执行时执行操作,所述操作包括:从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料;在建立所述安全性关联之后,从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证;响应于所述认证消息,向所述发起方发送认证消息响应以建立与所述响应方的认证;以及在发送所述认证消息响应之后,向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。从另一方面来看,本专利技术提供了一种用于通过网络在发起方与响应方之间进行安全通信的系统,包括:处理器:计算机可读存储介质,其具有在所述响应方处实现的计算机可读程序代码,所述计算机可读程序代码在被执行时执行操作,所述操作包括:维持与所述发起方的第一安全性关联,所述第一安全性关联具有用于对与所述发起方传输的消息进行加密和解密的第一密钥;执行密钥更新操作以建立使用第二密钥的与所述发起方的第二安全性关联;在完成所述密钥更新操作之后,对输入/输出I/O排队以用于使用所述第二密钥进行传输;响应于激活所述第二安全性关联以用于传输,启动无效定时器,其中,在所述无效定时器启动之后期满之前,所述第一密钥和所述第二密钥两者能够被用于与所述发起方的传输;以及响应于所述无效定时器的期满,使所述第一安全性关联无效。
[0008]从另一方面来看,本专利技术提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,其可由处理电路读取并且存储用于由所述处理电路执行以用于执行用于执行本专利技术的步骤的方法的指令。
[0009]从另一方面来看,本专利技术提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,其可由处理电路读取并且存储用于由所述处理电路执行以用于执行用于执行本专利技术的步骤的方法的指令。
[0010]从另一方面来看,本专利技术提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括具有在所述响应方处实现的计算机可读程序代码的计算机可读存储介质,所述计算机可读程序代码在被执行时执行操作,所述操作包括:从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料;在建立所述安全性关联之后,从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证;响应于所述认证消息,向所述发起方发送认证消息响应以建立与所述响应方的认证;以及在发送所述认证消息响应之后,向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。
[0011]提供了用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品、系统和方法实施例。所述响应方从所述发起方接收安全性关联初始化消息以建立与所述响应
方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料。在建立所述安全性关联之后,所述响应方从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证。响应于所述认证消息,所述响应方向所述发起方发送认证消息响应以建立与所述响应方的认证。在发送所述认证消息响应之后,所述响应方向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。
[0012]上述实施例通过使响应方发送认证完成消息以向发起方确认响应方已经成功完成认证并且已经激活新的安全性关联以便立即使用(这使发起方激活安全性关联),避免了在建本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于通过网络在发起方与响应方之间进行安全通信的方法,包括:由所述响应方维持与所述发起方的第一安全性关联,所述第一安全性关联具有用于对与所述发起方传输的消息进行加密和解密的第一密钥;由所述响应方执行密钥更新操作以建立使用第二密钥的与所述发起方的第二安全性关联;在完成所述密钥更新操作之后,由所述响应方对输入/输出I/0排队以用于使用所述第二密钥进行传输;响应于激活所述第二安全性关联以用于传输,由所述响应方启动无效定时器,其中,在所述无效定时器启动之后期满之前,所述第一密钥和所述第二密钥两者能够被用于与所述发起方的传输;以及响应于所述无效定时器的期满,由所述响应方使所述第一安全性关联无效。2.根据权利要求1所述的方法,还包括:由所述响应方从所述发起方接收安全性关联初始化消息以接受所述第二安全性关联,所述安全性关联初始化消息包括用于生成用于所述第二安全性关联的所述第二密钥的密钥材料;在所述安全性关联初始化消息之后,由所述响应方从所述发起方接收认证消息以在所述响应方与所述发起方之间建立认证;以及在响应于所述认证消息而认证所述发起方之后,由所述响应方向所述发起方发送认证响应消息。3.根据权利要求2所述的方法,还包括:在发送所述认证响应消息之后,由所述响应方向所述发起方发送认证完成消息,其中,所述认证完成消息使得所述发起方:激活所述第二安全性关联以使用所述第二密钥加密和解密通信;以及启动在所述发起方处的无效定时器,以响应于在所述发起方处的所述无效定时器的期满而在所述发起方处使所述第一安全性关联无效。4.根据权利要求2或3所述的方法,还包括:响应于来自所述发起方的所述认证消息,由所述响应方在所述响应方处对所述第二安全性关联进行编程,其中,在所述响应方处对所述第二安全性关联进行编程之后,所述认证响应消息被发送到所述发起方。5.根据权利要求2至4中任一项所述的方法,还包括:响应于从所述发起方接收的所述认证消息,由所述响应方向所述发起方发送包括响应方身份的认证消息响应;以及响应于所述认证消息响应,由所述响应方从所述发起方接收接受消息;以及响应于所述接受消息,由所述响应方激活所述第二安全性关联以用于传输,以及激活在所述响应方处的无效定时器以响应于所述无效定时器期满而使所述第一安全性关联无效。6.一种用于通过网络在发起方与响应方之间进行安全通信的系统,包括:处理器:计算机可读存储介质,其具有在所述响应方处实现的计算机可读程序代码,所述计算机可读程序代码在被执行时执行操作,所述操作包括:
从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料;在建立所述安全性关联之后,从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证;响应于所述认证消息,向所述发起方发送认证消息响应以建立与所述响应方的认证;以及在发送所述认证消息响应之后,向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。7.根据权利要求6所述的系统,其中,所述操作还包括:响应于所述认证完成消息,从所述发起方接收接受消息,其中,在发送所述认证完成消息之前,所述安全性关联和针对所述安全性关联生成的密钥被激活以用于通信,其中,响应于接收到所述接受消息,在所述发起方与所述响应方之间建立认证。8.根据权利要求7所述的系统,其中,所述接受消息包括第二接受消息,其中,所述操作还包括:响应于所...
【专利技术属性】
技术研发人员:R,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。