一种移动网云化场景下安全模式协商方法、装置和设备

摘要

本发明公开了一种移动网云化场景下安全模式协商方法，该方法包括：在通信前或通信开始时，第一设备将自身支持的安全模式上报给第二设备，所述第二设备检查并判断自身支持的安全模式，并选择与所述第一设备支持的安全模式相匹配的安全模式发送给所述第一设备；所述第一设备和第二设备为物理设备或虚拟网元。本发明还同时公开了一种实现所述方法的装置和设备。

说明书

技术领域

本发明涉及通信网络安全技术领域，尤其涉及一种移动网云化场景下安全模式协商方法、装置和设备。

背景技术

随着移动互联网、云计算等技术的发展，虚拟化技术也开始引入移动网络。虚拟化技术的引入，使得设备硬件和软件解耦，传统网络设备的功能都以软件的方式部署在通用硬件的虚拟机上面。这给运营商带来了部署周期短、升级快等好处，但同时也将虚拟化安全、软件安全等问题带入到移动网中。

在虚拟化场景下，为了防止虚拟机之间的通信被别的虚拟机获取或者虚拟机的机密信息被别的虚拟机非法访问，需要实现严格的虚拟机隔离。通常将能够互相通信的虚拟机划在同一个虚拟局域网(VLAN)中，以实现对其他虚拟机的隔离。虚拟化的网络功能运行在虚拟机上面，这些虚拟网元之间的通信还是使用传统物理设备之间的通信协议，所以安全机制也延用传统物理设备之间通信时的安全机制。因此，可能带来如下问题：

其一，当已经被划分在相同VLAN中实现安全隔离的两个虚拟网元之间还使用IPSec进行保护，就造成了安全冗余；而且每个设备(包括虚拟网元和物理设备)之间通信都通过IPSec隧道，将导致配置IPSec的工作量很大；

其二，当一个虚拟网元和不在同一个安全域，如：VLAN中的传统物理设备通信时，攻击者可以通过Internet截获或篡改没有受到保护的通信信息；

其三，对于云化后的核心网络，虚拟网元和传统物理设备的数量可能会非常多，而且每次虚拟化网元进行创建都需要人工进行配置，所以工作量会非常大。

发明内容

为解决现有存在的技术问题，本发明实施例提供一种移动网云化场景下安全模式协商方法、装置和设备。

本发明实施例提供了一种移动网云化场景下安全模式协商方法，该方法包括：

在通信前或通信开始时，第一设备将自身支持的安全模式上报给第二设备，所述第二设备检查并判断自身支持的安全模式，并选择与所述第一设备支持的安全模式相匹配的安全模式发送给所述第一设备；所述第一设备和第二设备为：物理设备或虚拟网元。

其中，所述第一设备将自身支持的安全模式上报给第二设备，包括：

在通信前，所述第一设备向第二设备发送安全模式协商请求，所述安全模式协商请求中携带所述第一设备所支持的安全模式；或者，

在通信开始时，所述第一设备向第二设备发送初始通信请求消息，该消息中包含安全模式协商请求，所述安全模式协商请求中携带所述第一设备所支持的安全模式。

其中，所述安全模式至少包括以下一种：

设备的VID，设备支持IPSec的标识；

所述设备的VID，为：设备所归属的虚拟局域网VLAN的ID。

其中，所述第二设备检查并判断自身支持的安全模式，并选择与所述第一设备支持的安全模式相匹配的安全模式发送给所述第一设备，包括：

对于通信前的情况，所述第二设备收到安全模式协商请求后，检查自身是否有VID，且自身的VID是否与安全模式协商请求中所述第一设备的VID相同，如果相同，则选择VLAN作为安全模式，并将选择的VLAN安全模式添加在安全模式协商响应中发送给所述第一设备；如果不相同，则选择IPSec作为安全模式，并将支持IPSec的标识添加在安全模式协商响应中发送给所述第一设备；或者，

对于通信开始时的情况，所述第二设备收到初始通信请求消息后，检查自身是否有VID，且自身的VID是否与初始通信请求消息中的、安全模式协商请求中所述第一设备的VID相同，如果相同，则选择VLAN作为安全模式，并将选择的VLAN安全模式添加在安全模式协商响应中发送给所述第一设备；如果不相同，则将支持IPSec的标识添加在安全模式协商响应中，并将携带该安全模式协商响应的初始通信响应消息发送给所述第一设备，或者直接向所述第一设备发起IPSec的建立流程。

在一个实施例中，该方法还包括：

在所述第二设备检查并判断自身支持的安全模式时，如果不存在与所述第一设备支持的安全模式相匹配的安全模式时，所述第二设备则将安全模式协商失败的消息发送给所述第一设备。

在一个实施例中，该方法还包括：

第一设备将安全模式协商请求进行数字签名后，上报给所述第二设备；所述第二设备对所述数字签名进行验证，验证通过后，选择与所述第一设备支持的安全模式相匹配的安全模式，并对安全模式协商响应进行数字签名，之后将带有数字签名的安全模式协商响应发送给所述第一设备。

本发明实施例还提供了一种移动网云化场景下安全模式协商装置，该装置包括：安全模式发送模块、检查判断选择模块和安全模式接收模块；其中，在通信前或通信开始时，

所述安全模式发送模块，用于将自身所属设备支持的安全模式上报给对端设备，

所述检查判断选择模块，用于检查并判断自身所属设备支持的安全模式，并选择与对端设备支持的安全模式相匹配的安全模式发送给所述对端设备；

所述安全模式接收模块，用于接收对端设备上报的所述对端设备支持的安全模式；

所述设备和对端设备为：物理设备或虚拟网元。

在一个实施例中，

所述检查判断选择模块，在检查并判断自身所属设备支持的安全模式时，还用于确定不存在与所述对端设备支持的安全模式相匹配的安全模式时，触发所述安全模式发送模块；相应的，

所述安全模式发送模块，还用于将安全模式协商失败的消息发送给所述对端设备。

在一个实施例中，

所述安全模式发送模块，还用于将自身所属设备的安全模式协商请求进行数字签名后，上报给对端设备；选择与对端设备支持的安全模式相匹配的安全模式，并对安全模式协商响应进行数字签名，之后将带有数字签名的安全模式协商响应发送给所述对端设备；相应的；

所述检查判断选择模块，还用于对所述对端设备发送的数字签名进行验证，验证通过后，触发所述安全模式发送模块。

本发明实施例还提供了一种移动网云化场景下安全模式协商设备，该设备包括：上文所述的装置。

本发明实施例提供的移动网云化场景下安全模式协商方法、装置和设备，在通信前或通信开始时，第一设备将自身支持的安全模式上报给第二设备，所述第二设备检查并判断自身支持的安全模式，并选择与所述第一设备支持的安全模式相匹配的安全模式发送给所述第一设备；所述第一设备和第二设备为物理设备或虚拟网元。本发明实施例可以实现设备之间自动协商安全模式，合理利用现有的安全机制，避免了安全机制冗余，而且能够有效保障设备之间的通信安全，节省了IPsec的配置和维护工作量，也大大减少了手动配置的工作量，提高了工作效率。

附图说明

在附图(其不一定是按比例绘制的)中，相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。

图1为本发明实施例所述移动网云化场景下安全模式协商方法实现流程图；

图2为本发明实施例所述移动网云化场景下安全模式协商装置的结构示意图；

图3为本发明实施例一应用场景中设备间安全模式协商方法实现流程图；

图4为本发明实施例另一应用场景中设备间安全模式协商方法实现流程图；

图5为本发明实施例另一应用场景中设备间安全模式协商方法实现流程图。

具体实施方式

本发明的实施例中，在通信前或通信开始时，第一设备将自身支持的安全模式上报给第二设备，所述第二设备检查并判断自身支持的安全模式，并选择与所述第一设备支持的安全模式相匹配的安全模式发送给所述第一设备；所述第一设备和第二设备为物理设备或虚拟网元。

下面结合附图及具体实施例对本发明作进一步详细说明。

图1为本发明实施例所述移动网云化场景下安全模式协商方法实现流程图，如图1所示，该方法包括：

步骤101：在通信前或通信开始时，第一设备将自身支持的安全模式上报给第二设备；

步骤102：第二设备检查并判断自身支持的安全模式，并选择与所述第一设备支持的安全模式相匹配的安全模式发送给所述第一设备；第一设备和第二设备为物理设备或虚拟网元。

本发明实施例中，在通信前，所述第一设备将自身支持的安全模式上报给第二设备，包括：

第一设备向第二设备发送安全模式协商请求，所述安全模式协商请求中携带所述第一设备所支持的安全模式，所述安全模式包括：第一设备所归属的VLAN的ID，即VID，以及支持IPSec的标识等。

本发明实施例中，在通信开始时，所述第一设备将自身支持的安全模式上报给第二设备，包括：

第一设备向第二设备发送初始通信请求消息，该消息中包含安全模式协商请求，所述安全模式协商请求中携带所述第一设备所支持的安全模式，所述安全模式包括：第一设备所归属的VLAN的ID，即VID，以及支持IPSec的标识等。

本发明实施例中，在通信前，所述第二设备检查并判断自身支持的安全模式，并选择与所述第一设备支持的安全模式相匹配的安全模式发送给所述第一设备，包括：

所述第二设备收到安全模式协商请求后，检查自身是否有VID，且自身的VID是否与安全模式协商请求中所述第一设备的VID相同，如果相同，则选择VLAN作为安全模式，并将选择的安全模式添加在安全模式协商响应中发送给所述第一设备；如果不相同，则选择IPSec作为安全模式，并将支持IPSec的标识添加在安全模式协商响应中发送给所述第一设备。

本发明实施例中，在通信开始时，所述第二设备检查并判断自身支持的安全模式，并选择与所述第一设备支持的安全模式相匹配的安全模式发送给所述第一设备，包括：

所述第二设备收到初始通信请求消息后，检查自身是否有VID,且自身的VID是否与初始通信请求消息中的安全模式协商请求中所述第一设备的VID相同，如果相同，则选择VLAN作为安全模式，并将选择的VLAN安全模式添加在安全模式协商响应中发送给所述第一设备；如果不相同，则将支持IPSec的标识添加在安全模式协商响应中，并将携带该安全模式协商响应的初始通信响应消息发送给所述第一设备；或者，向所述第一设备发起IPSec的建立流程。

本发明实施例可以实现设备之间自动协商安全模式，合理利用现有的安全机制，避免了安全机制冗余，而且能够有效保障设备之间的通信安全，节省了IPsec的配置和维护工作量，也大大减少了手动配置的工作量，提高了工作效率。

在一个实施例中，该方法还包括：在所述第二设备检查并判断自身支持的安全模式时，如果不存在与所述第一设备支持的安全模式相匹配的安全模式时，所述第二设备则将安全模式协商失败的消息发送给所述第一设备。这样，所述第一设备可以重新发起安全模式协商流程。

由此，本发明实施例可以保证设备之间的通信肯定会受到安全保护，防止恶意设备故意选择空的安全模式，使得设备之间的通信可能得不到任何保护，从而导致通信内容遭到篡改、拦截等安全威胁。

在一个实施例中，该方法还包括：第一设备将安全模式协商请求(包含安全模式)进行数字签名(例如使用第一设备自身的私钥进行数字签名)后上报给所述第二设备；所述第二设备对所述数字签名进行验证，验证通过后，对安全模式协商响应(包含与所述第一设备支持的安全模式相匹配的安全模式)进行数字签名(例如：使用第二设备的私钥进行数字签名)，之后将带有数字签名的安全模式协商响应发送给所述第一设备。

当然，后续所述第一设备收到所述第二设备发送的包括安全模式的安全模式协商响应后，同样需要进行数字签名的验证，验证通过才能和所述第二设备进行后续的流程。

本发明实施例还提供了一种移动网云化场景下安全模式协商装置，如图2所示，该装置包括：安全模式发送模块20、检查判断选择模块21和安全模式接收模块33；其中，在通信前或通信开始时，

所述安全模式发送模块20，用于将自身所属设备支持的安全模式上报给对端设备，

所述检查判断选择模块21，用于检查并判断自身所属设备支持的安全模式，并选择与对端设备支持的安全模式相匹配的安全模式发送给所述对端设备；

所述安全模式接收模块22，用于接收对端设备上报的所述对端设备支持的安全模式；

所述设备和对端设备为：物理设备或虚拟网元。

本发明实施例中，在通信前，所述安全模式发送模块20将自身支持的安全模式上报给对端设备，包括：

安全模式发送模块20所属设备向对端设备发送安全模式协商请求，所述安全模式协商请求中携带所述安全模式发送模块20所属设备所支持的安全模式，所述安全模式包括：第一设备所归属的VLAN的ID，即VID，以及支持IPSec的标识等。

本发明实施例中，在通信开始时，所述安全模式发送模块20将自身支持的安全模式上报给对端设备，包括：

安全模式发送模块20所属设备向对端设备发送初始通信请求消息，该消息中包含安全模式协商请求，所述安全模式协商请求中携带所述安全模式发送模块20所属设备所支持的安全模式，所述安全模式包括：第一设备所归属的VLAN的ID，即VID，以及支持IPSec的标识等。

本发明实施例中，在通信前，所述检查判断选择模块21检查并判断自身所属设备支持的安全模式，并选择与对端设备支持的安全模式相匹配的安全模式发送给所述对端设备，包括：

检查判断选择模块21检查自身所属设备是否有VID，且所述VID是否与安全模式协商请求中所述对端设备的VID相同，如果相同，则选择VLAN作为安全模式，并将选择的安全模式添加在安全模式协商响应中发送给所述对端设备；如果不相同，则选择IPSec作为安全模式，并将支持IPSec的标识添加在安全模式协商响应中发送给所述对端设备。

本发明实施例中，在通信开始时，所述检查判断选择模块21检查并判断自身所属设备支持的安全模式，并选择与对端设备支持的安全模式相匹配的安全模式发送给所述对端设备，包括：

检查判断选择模块21检查自身所属设备是否有VID,且所述VID是否与初始通信请求消息中的安全模式协商请求中所述对端设备的VID相同，如果相同，则选择VLAN作为安全模式，并将选择的VLAN安全模式添加在安全模式协商响应中发送给所述对端设备；如果不相同，则将支持IPSec的标识添加在安全模式协商响应中，并将携带该安全模式协商响应的初始通信响应消息发送给所述对端设备；或者，向所述对端设备发起IPSec的建立流程。

本发明实施例可以实现设备之间自动协商安全模式，合理利用现有的安全机制，避免了安全机制冗余，而且能够有效保障设备之间的通信安全，节省了IPsec的配置和维护工作量，也大大减少了手动配置的工作量，提高了工作效率。

在一个实施例中，所述检查判断选择模块21，在检查并判断自身所属设备支持的安全模式时，还用于确定不存在与所述对端设备支持的安全模式相匹配的安全模式时，触发所述安全模式发送模块；相应的，

所述安全模式发送模块20，还用于将安全模式协商失败的消息发送给所述对端设备。

由此，本发明实施例可以保证设备之间的通信肯定会受到安全保护，防止恶意设备故意选择空的安全模式，使得设备之间的通信可能得不到任何保护，从而导致通信内容遭到篡改、拦截等安全威胁。

在一个实施例中，所述安全模式发送模块20，还用于将自身所属设备的安全模式协商请求进行数字签名(例如：使用所述安全模式发送模块20自身所属设备的私钥进行数字签名)后，上报给对端设备；选择与对端设备支持的安全模式相匹配的安全模式，并对安全模式协商响应(包含与所述对端设备支持的安全模式相匹配的安全模式)进行数字签名(例如：使用所述安全模式发送模块20自身所属设备的私钥进行数字签名)，之后将带有数字签名的安全模式协商响应发送给所述对端设备；相应的，

所述检查判断选择模块21，还用于对所述对端设备发送的数字签名进行验证，验证通过后，触发所述安全模式发送模块。

本发明实施例还提供了一种移动网云化场景下安全模式协商设备，该设备包括：上文所述的装置。所述设备为物理设备或虚拟网元。

下面结合具体应用场景对本发明实施例进行描述。

场景一

图3为本发明实施例一应用场景中设备间安全模式协商方法实现流程图，如图3所示，本场景中，第一设备与第二设备在通信开始前，先执行安全模式协商过程，具体步骤为：

步骤301：当第一设备(可以是物理设备也可以是虚拟网元)需要与第二设备进行通信时，第一设备向第二设备发送安全模式协商请求，在该请求中携带该设备所支持的安全模式，包括：第一设备所归属的VLAN的ID即VID，支持IPSec的标识等；

步骤302：第二设备收到安全模式协商请求后，查找自己是否有VID，且VID是否与收到的第一设备的VID相同，如果相同，直接选择安全模式为VLAN，并将VLAN安全模式添加在安全模式协商响应中发给第一设备；如果不同，则将支持IPSec的标识添加在安全模式协商响应中发给第一设备；

步骤303：第一设备收到安全模式协商响应后，根据响应中的消息发起与第二设备的后续通信。

这里，如果响应中包含第二设备的VID且与第一设备的VID相同，则第一设备通过VLAN与第二设备进行后续通信；如果响应中包含支持IPSec的标识，第一设备发起与第二设备建立IPSec的流程。

需要说明的是：上述第一设备默认就支持安全模式协商的能力。如果不支持，那么上述流程就不会由第一设备发起。第二设备不管是一个传统的物理设备还是虚拟化网元，均需支持安全模式协商的能力，选择一个第一设备和第二设备都支持的安全模式。此选择的安全模式不允许存在空安全模式，即第二设备返回的安全模式不允许没有选择任何安全模式，那么第一设备就要重新发起安全模式协商并记录失败信息。由此可以保证第一设备和第二设备之间的通信肯定会受到安全保护，防止恶意设备故意选择空的安全模式，使得第一设备和第二设备之间的通信可能得不到任何保护，从而导致通信内容遭到篡改、拦截等安全威胁。

场景二

图4为本发明实施例另一应用场景中设备间安全模式协商方法实现流程图，如图4所示，本场景中，第一设备与第二设备在通信开始时执行安全模式协商过程，具体步骤为：

步骤401：当第一设备(可以使物理设备也可以是虚拟网元)需要与第二设备进行通信时，第一设备向第二设备发送初始通信请求消息，该消息中包含安全模式协商请求，在该请求中携带该设备所支持的安全模式，包括：第一设备所归属的VLAN的ID，即VID，支持IPSec的标识等；

步骤402：第二设备收到初始通信请求消息后，查找自己是否有VID,且VID是否与收到的安全模式协商请求中的相同。如果相同，直接选择安全模式为VLAN；如果不同，则直接向第一设备发起建立IPSec的流程，或者在安全模式响应中添加支持IPSec的标识；该安全模式响应通过初始通信响应消息发送给第一设备。

步骤403：第一设备收到初始通信响应消息，如果该消息包含安全模式协商响应，根据响应中的消息发起与第二设备的后续通信，即：如果响应中包含第二设备的VID且与第一设备的VID相同，则第一设备通过VLAN与第二设备进行后续通信；如果响应中包含IPSec标识，第一设备发起与第二设备建立IPSec的流程；否则，第一设备根据第二设备的响应直接跟所述第二设备开始后续的IPSec流程。

需要说明的是：同场景一相同，上述第一设备默认就支持安全模式协商的能力。如果不支持，那么上述流程就不会由第一设备发起。第二设备不管是一个传统的物理设备还是虚拟化网元，均需支持安全模式协商的能力，选择一个第一设备和第二设备都支持的安全模式。此选择的安全模式不允许存在空安全模式，即第二设备返回的安全模式不允许没有选择任何安全模式，那么第一设备就要重新发起安全模式协商并记录失败信息。由此可以保证第一设备和第二设备之间的通信肯定会受到安全保护，防止恶意设备故意选择空的安全模式，使得第一设备和第二设备之间的通信可能得不到任何保护，从而导致通信内容遭到篡改、拦截等安全威胁。

场景三

上述场景一、二中，由于安全模式协商请求和初始通行请求消息是不受保护的，所以存在第一设备的安全模式被篡改的安全威胁，而且，安全模式协商响应也是不受保护的，所以存在第二设备选择的安全模式被篡改的安全威胁。本场景采用数字签名来防止上述安全威胁，是对上述两种场景方案的一种安全增强。

如图5所示，本场景方案与上述场景方案的区别在于：

步骤501：安全模式协商请求使用第一设备的私钥进行数字签名，并且在该消息中带携所述第一设备的证书；

步骤502：第二设备使用第一设备证书中的公钥验证所述数字签名，验证通过后，检查并选择一种安全模式；否则，如果验证没有通过，则返回错误消息；

步骤503：使用第二设备的私钥对安全模式协商响应进行数字签名，并在该消息中携带第二设备的证书；第一设备收到响应消息后，需要使用第二设备的证书验证所述数字签名，验证通过才能和第二设备进行后续的流程；否则，给第二设备返回错误消息。

本发明实施例中，所述安全模式协商请求和安全模式协商响应可能为单独的消息，如上文场景一所述的情况，也可能分别包含在初始通信请求消息和初始通响应消息中，如上文场景二所述的情况。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。