用于进行互联网密钥交换重认证优化的方法和系统技术方案

公开了用于进行互联网密钥交换(internet key exchange，IKE)重认证优化的方法和系统。本发明专利技术指导第一网络设备(1201)(发起者)和第二网络设备(1202)(响应者)发送通知，即包含新SA的新安全参数索引(security parameters index，SPI)的SA_TS_UNCHANGED通知，因为所述SA和TS载荷不再被发送。本发明专利技术还指导所述第一网络设备(1201)(发起者)单独发送OLD_SPI通知，以将IPSec的SPI(AH/ESP)映射到旧IPSec SA。本发明专利技术还指导组合INIT和AUTH交换并在现有IKE隧道中发送所述组合之前对所述INIT和AUTH交换进行加密，以避免重认证期间易受攻击，并减少执行重认证所需传输的消息总数。减少执行重认证所需传输的消息总数。减少执行重认证所需传输的消息总数。

Method and system for re authentication optimization of Internet Key Exchange

【技术实现步骤摘要】
【国外来华专利技术】用于进行互联网密钥交换重认证优化的方法和系统
[0001]相关申请案交叉申请
[0002]本申请要求于2019年10月10日提交给印度专利局、专利技术名称为“用于进行互联网密钥交换重认证优化的方法和系统(METHODS AND SYSTEMS FOR INTERNET KEY EXCHANGE RE
‑
AUTHENTICATION OPTIMIZATION)”的第IN201931040879号印度专利申请的优先权，其全部内容通过引用的方式并入本文中。


[0003]本文描述的主题大体上涉及物联网(internet of things，IoT)的重认证，更具体地，涉及用于进行互联网密钥交换(internet key exchange，IKE)重认证优化的方法和系统。

技术介绍

[0004]互联网密钥交换版本2(IKEv2)是一种虚拟专用网络(virtual private network，VPN)加密协议，用于处理请求和响应操作。IKEv2通过在认证套件中建立和处理安全联盟(security association本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于进行重认证(Reauth)的方法，其特征在于，所述方法包括：第一网络设备(1201)确定(S1001)与所述第一网络设备(1201)相关联的初始认证是否存在时间到期；当与所述第一网络设备(1201)相关联的加密套件没有改变时，所述第一网络设备(1201)向第二网络设备(1202)发送(S1002)用于进行重认证的重认证INIT请求消息，其中，所述重认证INIT请求消息包括携带第一新安全参数索引(security parameters index，SPI)值的第一INIT通知消息；所述第一网络设备(1201)从所述第二网络设备(1202)接收(S1003)重认证INIT响应消息，其中，所述重认证INIT响应消息携带第二INIT通知消息，所述第二INIT通知消息携带第二新SPI值；当与所述第一网络设备(1201)相关联的所述加密套件和与所述第二网络设备(1202)相关联的加密套件没有改变时，所述第一网络设备(1201)根据所述第一新SPI值和所述第二新SPI值对安全联盟(security association，SA)进行重认证(S1004)，其中，与所述第一网络设备(1201)相关联的所述加密套件和与所述第二网络设备(1202)相关联的所述加密套件相同。2.根据权利要求1所述的方法，其特征在于，互联网密钥交换(internet key exchange，IKE)隧道和互联网协议安全(internet protocol security，IPsec)隧道建立在所述第一网络设备(1201)与所述第二网络设备(1202)之间。3.根据权利要求1所述的方法，其特征在于，所述第一INIT通知消息是SA_UNCHANGED。4.根据权利要求1所述的方法，其特征在于，所述第二INIT通知消息是SA_UNCHANGED。5.根据权利要求1所述的方法，其特征在于，所述SA包括IKE SA或IPSec SA。6.根据权利要求5所述的方法，其特征在于，所述重认证(S1004)包括创建新SA并删除旧SA；其中，当所述SA是所述IKE SA时，所述重认证(S1004)包括删除所述IKE SA并创建新IKE SA；其中，所述第一SPI是部署为用于所述新IKE SA的发起者cookie的发起者SPI，所述第二SPI部署为用于所述新IKE SA的响应者cookie；其中，当所述SA是作为所述IKE SA的子SA的所述IPSec SA时，所述重认证(S1004)包括删除所述IPSec SA并创建新IPSec SA；其中，所述第一SPI在所述第一网络设备(1201)中部署为所述新IPSec SA的入站SPI，并在所述第二网络设备(1202)中部署为所述新IPSec SA的出站SPI，所述第二SPI在所述第二网络设备(1202)中部署为所述新IPSec SA的入站SPI，并在所述第一网络设备(1201)中部署为所述新IPSec SA的出站SPI。7.根据权利要求1所述的方法，其特征在于，还包括以下步骤：当SA和流量选择器(traffic selector，TS)载荷没有改变时，所述第一网络设备(1201)向所述第二网络设备(1202)发送包括第一AUTH通知载荷的重认证AUTH请求消息；当与所述第二网络设备(1202)相关联的加密套件没有改变时，所述第一网络设备(1201)从所述第二网络设备(1202)接收包括第二AUTH通知载荷的重认证AUTH响应消息。
8.根据权利要求7所述的方法，其特征在于，所述第一AUTH通知载荷是SA_TS_UNCHANGED。9.根据权利要求7所述的方法，其特征在于，所述第二AUTH通知载荷是SA_TS_UNCHANGED。10.根据权利要求7所述的方法，其特征在于，所述重认证AUTH请求消息还包括OLD_SPI通知消息，所述通知消息包括旧SPI，以识别所述第一网络设备(1201)中的旧IKE SA或IPSec SA。11.根据权利要求10所述的方法，其特征在于，所述第二网络设备(1202)通过所述OLD_SPI通知消息识别所述旧IKE SA，以确定所述第二设备上的SA。12.根据权利要求7所述的方法，其特征在于，所述新IPSec SA是所述IKE SA的子SA，所述新子SA在所述重认证期间通过创建子SA交换创建，包括删除所述IPSec SA并创建新IPSec SA；其中，所述第一SPI在所述第一网络设备(1201)中部署为所述新IPSec SA的入站SPI，并部署为出站SPI；其中，对于所述新IPSec SA，所述旧SPI在所述第二网络设备(1202)中部署来识别所述旧IPSec SA，所述旧SPI是旧SA的入站SPI和第二设备旧SA的出站SPI，所述第二SPI在所述第二网络设备(1202)中部署为所述新IPSec SA的入站SPI，并在所述第一网络设备(1201)中部署为所述新IPSec SA的出站SPI。13.根据权利要求1所述的方法，其特征在于，与所述第一网络设备(1201)相关联的所述加密套件存储在所述第一网络设备(1201)中；与所述第二网络设备(1202)相关联的所述加密套件存储在所述第二网络设备(1202)中。14.一种用于进行重认证(Reauth)的方法，其特征在于，所述方法包括：第一网络设备(1201)确定(S1101)与所述第一网络设备(1201)相关联的初始认证是否存在时间到期；当与所述第一网络设备(1201)相关联的加密套件没有改变时，所述第一网络设备(1201)向第二网络设备(1202)发送(S1102)用于进行重认证的最佳重认证请求消息，其中，由旧IKE SA密钥加密的所述最佳重认证请求消息包括：安全联盟(security association，SA)、密钥载荷(KE)、Nonce(Ni)、证书(CERT)、证书请求(CERTREQ)、可选身份响应(identity response，IDr)、发起者身份载荷(Idi)、认证载荷(AUTH)、发起者的流量选择器(traffic selector of initiator，TSi)和响应者的流量选择器(traffic selector of responder，TSr)、IPSec安全联盟载荷(Sai)；所述第一网络设备(1201)从所述第二网络设备(1202)接收(S1103)最佳重认证响应消息，其中，由旧IKE SA的密钥加密的所述最佳重认证响应消息包括：安全联盟(security association，SA)、密钥载荷(KE)、Nonce(Ni)、证书(CERT)、证书请求(CERTREQ)、身份响应(identity response，IDr)、发起者身份载荷(Idi)、认证载荷(AUTH)、发起者的流量选择器(traffic selector of initiator，TSi)和响应者的流量选择器(traffic selector of responder，TSr)、IPSec安全联盟载荷(Sar)；当与所述第一网络设备(1201)相关联的所述加密套件和与所述第二网络设备(1202)
相关联的加密套件没有改变时，所述第一网络设备(1201)根据包括新SPI值的所述最佳重认证请求消息和包括新SPI值的所述最佳重认证响应消息对SA进行重认证(S1104)，其中，与所述第一网络设备(1201)相关联的所述加密套件和与所述第二网络设备(1202)相关联的所述加密套件相同。15.根据权利要求14所述的方法，其特征在于，互联网密钥交换(internet key exchange，IKE)隧道和互联网协议安全(internet protocol security，IPsec)隧道建立在所述第一网络设备(1201)与所述第二网络设备(1202)之间。16.根据权利要求14所述的方法，其特征在于，所述重认证(S1104)包括创建新SA并删除旧SA；其中，当所述SA是所述IKE SA时，所述重认证(S1104)包括删除所述IKE SA并创建新IKE SA；其中，所述第一SPI是部署为用于所述新IKE SA的发起者cookie的发起者SPI，所述第二SPI部署为用于所述新IKE SA的响应者cookie；其中，当所述SA是作为所述IKE SA的子SA的所述IPSec SA时，所述重认证(S1104)包括删除所述IPSec SA并创建新IPSec SA；其中，所述第一SPI在所述第一网络设备(1201)中部署为所述新IPSec SA的入站SPI，并在所述第二网络设备(1202)中部署为所述新IPSec SA的出站SPI，所述第二SPI在所述第二网络设备(1202)中部署为所述新IPSec SA的入站SPI，并在所述第一网络设备(1201)中部署为所述新IPSec SA的出站SPI。17.根据权利要求14所述的方法，其特征在于，所述SA包括IKE SA或IPSec SA。18.根据权利要求14所述的方法，其特征在于，与所述第一网络设备(1201)相关联的所述加密套件存储在所述第一网络设备(1201)中；与所述第二网络设备(1202)相关联的所述加密套件存储在所述第二网络设备(1202)中。19.一种...

【专利技术属性】
技术研发人员：桑迪普，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：