IPSec安全联盟的创建方法

摘要

本发明公开了一种IPSec安全联盟的创建方法，该方法通过创建目的地址为未指定地址的安全联盟、并在能够确定地址时进行地址刷新以提供更健全的安全联盟。从而减少了目的地址不定或者多个时创建安全联盟的数量、提供了安全联盟的可维护性，是一种灵活简便的安全联盟创建方法。

说明书

技术领域

本发明涉及网络通信安全中IPSec安全联盟的创建方法，尤其涉及一种目的地址不定或者多个时IPSec安全联盟的创建方法。

背景技术

IPSec协议是网络通信中广泛应用的一种安全协议。在该协议的应用中，需要建立安全联盟用于信息的加密解密过程，以确保信息的安全传递。按照IPSec协议定义，一个安全联盟由目的地址、安全联盟索引(SPI)、安全协议组成的三元组唯一确定。

在IPSec应用于移动IP的过程中，根据RFC3776规定，在移动节点移动到外地网络以后，可以使用IPSec在家乡代理(Home Agent)和移动节点(Mobile Node)间建立安全联盟，以传输模式(transport mode)保护移动节点和家乡代理之间的控制报文，以隧道模式(tunnel mode)保护移动节点和通信节点(Correspondent Node)之间的控制或者载荷报文。在家乡代理端，为移动节点和家乡代理之间的控制报文实施IPSec保护而创建的安全联盟对，其入方向安全联盟目的地址为家乡代理地址(Home AgentAddress)；出方向安全联盟目的地址为移动节点家乡地址(HomeAddress)。

根据移动IPv6协议实现原理，家乡代理提供给移动节点使用的家乡代理地址(Home Agent Address)可能有多个，移动节点具体使用哪个家乡代理地址，视移动节点选择而定。

针对这种情况，目前的实现方式是，在家乡代理和移动节点之间，为每个不同的家乡代理地址和移动节点家乡地址之间建立一对安全联盟。比如，家乡代理有三个家乡代理地址(HAAddr1，HAAddr2，HAAddr3)；移动节点家乡地址为HomeAddr；IPSec使用ESP安全协议；安全协议封装模式为传输模式；则在家乡代理端将建立3对安全联盟。

但为每个不同的家乡代理地址和移动节点家乡地址之间建立一对安全联盟，导致安全联盟数量多，特别是手工配置情况下维护困难。

发明内容

鉴于上述现有技术所存在的问题，本发明的目的是提供一种目的地址不定或者多个时简单灵活、便于维护的IPSec安全联盟的创建方法。

本发明的目的是通过以下技术方案实现的：

一种IPSec安全联盟的创建方法，该方法的安全联盟由目的地址、安全参数索引和安全协议组成的三元组唯一确定，包括如下步骤：

A、创建目的地址为未指定地址的安全联盟；

B、当安全联盟能够确定其所使用的目的地址时，用确定的目的地址信息更新安全联盟中的作为目的地址的未指定地址。

所述步骤A创建安全联盟时为其分配唯一的安全参数索引。

所述步骤A创建的安全联盟在冲突检测的三元组比较中其未指定地址与任何地址相比较的结果为相同。

所述步骤A创建的安全联盟在冲突检测时其未指定地址与其可能取值的、限定范围内的地址相比较的结果为相同。

所述步骤A创建的目的地址为未指定地址的安全联盟在使用过程中进行解密匹配时忽略目的地址。

所述步骤A创建的安全联盟是移动IPv6中家乡代理为与移动节点建立安全连接而创建的、目的地址为未指定地址的入方向安全联盟。

所述家乡代理是根据移动节点移动到外地网络后发送的绑定更新BU报文来确定入方向安全联盟的目的地址。

所述家乡代理根据所收到的绑定更新BU报文中的地址信息来更新入方向安全联盟的目的地址。

所述家乡代理在移动节点返回家乡网络后把相应的入方向安全联盟目的地址设置为未指定地址。

由上述本发明提供的技术方案可以看出，本发明通过创建目的地址为未指定地址的安全联盟、并在能够确定地址时进行地址刷新以提供更健全的安全联盟，从而提供了一种目的地址不定或者多个时简单灵活、便于维护的IPSec安全联盟的创建方法。

通过为安全联盟分配唯一的安全参数索引或者在安全联盟冲突检测时的三元组比较中把未指定地址与任何地址相比较的结果认为相同(即在该安全联盟及其后安全联盟的冲突检测中，忽略目的地址、仅以三元组的其它部分作为索引进行冲突检测)等措施，可以防止在安全联盟的创建或者刷新过程中可能产生的一些冲突。

本发明不仅可以应用于移动IPv6中的IPSec安全联盟的创建，也可以应用于OSPFv3等路由协议中(路由报文目的地址可能为不同的多播地址、单播地址)或者其它目的地址不定或者多个的场合中IPSec安全联盟的创建。

附图说明

图1为本发明在IPv6中应用时的一种处理流程图。

具体实施方式

本发明的核心思想是通过创建目的地址为未指定地址的安全联盟、并在能够确定地址时进行地址刷新以提供更健全的安全联盟，从而提供一种灵活简便的安全联盟的创建方法。

下面结合附图对本发明作进一步的说明。

IPSec应用IPv6中时家乡代理提供给移动节点使用的家乡代理地址(Home Agent Address)可能有多个，移动节点具体使用哪个家乡代理地址，视移动节点选择而定；本发明在IPv6中的应用可以采用如图1所示的处理流程。

为了防止安全联盟的冲突，首先要进入步骤11，分配给唯一的安全参数索引，即对本地入方法安全联盟或者出入共用的安全联盟来说其安全参数索引是唯一的：该安全参数索引不能与已经存在的安全参数索引相同，将来分配的安全参数索引也不能与该安全参数索引相同。当然，这里并不一定要分配唯一的安全索引，也可以采用其它可以防止冲突的方法。比如，可以使所述步骤A创建的安全联盟在冲突检测的三元组比较中其未指定地址与任何地址相比较的结果为相同，即比较时忽略目的地址仅以三元组的其它部分作为索引进行冲突检测；还可以使所述步骤A创建的安全联盟在冲突检测时其未指定地址与其可能取值的、限定范围内的地址相比较的结果为相同，即比较时除未指定地址可能取值的范围所构成可能冲突的安全联盟外其它安全联盟以三元组作为索引进行冲突检测。

获得唯一的安全参数索引后，进入步骤12，利用该安全参数索引并结合其它配置情况创建目的地址为未指定地址的安全联盟。如表1所示为家乡代理为移动节点创建了一对安全联盟。这里的情况是家乡代理本端有三个家乡代理地址(HAAddr1，HAAddr2，HAAddr3)可供移动节点选用，移动节点家乡地址为HomeAddr；IPSec使用ESP安全协议，安全协议封装模式为传输模式。其中入方向安全联盟的目的地址为未指定地址0::0，唯一的安全参数索引为SPI-11，安全协议为ESP(Encapsulated Security Payload，压入安全载荷)协议。

表1、IPv6中家乡代理为移动节点创建的一对安全联盟

  安全联盟对   序号              入方向安全联盟               出方向安全联盟   目的地址    安全参数索引    安全协议    目的地址    安全参数索引    安全协议   1  0::0  SPI-11  ESP  HomeAddr  SPI-12  ESP

目的地址为未指定地址的安全联盟创建之后就可以使用了，即进入步骤13。但在接收报文即进行步骤14时，需要经过步骤15对目的地址是否确定进行判断，如果是确定的，则在报文解密时采用步骤16进行完全的三元组匹配；如果目的地址是未指定地址，则采用步骤17在解密匹配时忽略目的地址。然后进入步骤18对解密匹配是否成功进行判断，如果否，则进入步骤13进行相应的错误处理或者重新等待接收报文；如果是，则说明正确地接收了报文。

正确接收报文后，进入步骤19，进一步判断所接收的报文是否通告了安全联盟目的地址改变的信息。如果否，则进入步骤13继续进行其它的后续处理；如果是，则进入步骤20刷新安全联盟的目的地址，然后再进入步骤13进行其它处理。如表2所示为家乡代理对安全联盟的刷新后的状态。这个刷新是在移动节点移到外地网络后向家乡节点发送BU(Binding Update，绑定更新)报文、通告自己选择使用的家乡代理地址为HAAddr1后家乡代理安全联盟进行的刷新。

表2、家乡代理对安全联盟的刷新后的状态

  安全联盟对   序号              入方向安全联盟               出方向安全联盟   目的地址    安全参数索引    安全协议    目的地址    安全参数索引    安全协议   1  HAAddr1  SPI-11  ESP  HomeAddr  SPI-12  ESP

当然，步骤19中的地址变化可以是从未指定地址变为确定的地址(离开家乡网络)，也可以是从确定的地址变为未指定地址(回到家乡网络)，还可以是从一个确定地址变为另一个确定地址(从一个外地网络移动到另一个外地网络)。相应的，步骤20的安全联盟目的地址刷新也有不同类型的变化。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。