一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法����、裝置和設(shè)備的制造方法
【專利摘要】本發(fā)明公開(kāi)了一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法,該方法包括:在通信前或通信開(kāi)始時(shí)��,第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備�����,所述第二設(shè)備檢查并判斷自身支持的安全模式��,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備��;所述第一設(shè)備和第二設(shè)備為物理設(shè)備或虛擬網(wǎng)元��。本發(fā)明還同時(shí)公開(kāi)了一種實(shí)現(xiàn)所述方法的裝置和設(shè)備�����。
【專利說(shuō)明】
_種移動(dòng)網(wǎng)TI化場(chǎng)景下安全模式協(xié)商方法���、裝置和設(shè)備
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及通信網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,尤其涉及一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法���、裝置和設(shè)備。
【背景技術(shù)】
[0002]隨著移動(dòng)互聯(lián)網(wǎng)�、云計(jì)算等技術(shù)的發(fā)展,虛擬化技術(shù)也開(kāi)始引入移動(dòng)網(wǎng)絡(luò)����。虛擬化技術(shù)的引入,使得設(shè)備硬件和軟件解耦�����,傳統(tǒng)網(wǎng)絡(luò)設(shè)備的功能都以軟件的方式部署在通用硬件的虛擬機(jī)上面���。這給運(yùn)營(yíng)商帶來(lái)了部署周期短���、升級(jí)快等好處,但同時(shí)也將虛擬化安全����、軟件安全等問(wèn)題帶入到移動(dòng)網(wǎng)中�����。
[0003]在虛擬化場(chǎng)景下�����,為了防止虛擬機(jī)之間的通信被別的虛擬機(jī)獲取或者虛擬機(jī)的機(jī)密信息被別的虛擬機(jī)非法訪問(wèn)�,需要實(shí)現(xiàn)嚴(yán)格的虛擬機(jī)隔離��。通常將能夠互相通信的虛擬機(jī)劃在同一個(gè)虛擬局域網(wǎng)(VLAN)中����,以實(shí)現(xiàn)對(duì)其他虛擬機(jī)的隔離。虛擬化的網(wǎng)絡(luò)功能運(yùn)行在虛擬機(jī)上面�,這些虛擬網(wǎng)元之間的通信還是使用傳統(tǒng)物理設(shè)備之間的通信協(xié)議,所以安全機(jī)制也延用傳統(tǒng)物理設(shè)備之間通信時(shí)的安全機(jī)制�。因此���,可能帶來(lái)如下問(wèn)題:
[0004]其一����,當(dāng)已經(jīng)被劃分在相同VLAN中實(shí)現(xiàn)安全隔離的兩個(gè)虛擬網(wǎng)元之間還使用IPSec進(jìn)行保護(hù)���,就造成了安全冗余��;而且每個(gè)設(shè)備(包括虛擬網(wǎng)元和物理設(shè)備)之間通信都通過(guò)IPSec隧道�,將導(dǎo)致配置IPSec的工作量很大;
[0005]其二�����,當(dāng)一個(gè)虛擬網(wǎng)元和不在同一個(gè)安全域���,如:VLAN中的傳統(tǒng)物理設(shè)備通信時(shí)��,攻擊者可以通過(guò)Internet截獲或篡改沒(méi)有受到保護(hù)的通信信息���;
[0006]其三,對(duì)于云化后的核心網(wǎng)絡(luò)�����,虛擬網(wǎng)元和傳統(tǒng)物理設(shè)備的數(shù)量可能會(huì)非常多�����,而且每次虛擬化網(wǎng)元進(jìn)行創(chuàng)建都需要人工進(jìn)行配置����,所以工作量會(huì)非常大�。
【發(fā)明內(nèi)容】
[0007]為解決現(xiàn)有存在的技術(shù)問(wèn)題��,本發(fā)明實(shí)施例提供一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法��、裝置和設(shè)備�����。
[0008]本發(fā)明實(shí)施例提供了一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法���,該方法包括:
[0009]在通信前或通信開(kāi)始時(shí)����,第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備��,所述第二設(shè)備檢查并判斷自身支持的安全模式�,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備;所述第一設(shè)備和第二設(shè)備為:物理設(shè)備或虛擬網(wǎng)元��。
[0010]其中����,所述第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備,包括:
[0011]在通信前��,所述第一設(shè)備向第二設(shè)備發(fā)送安全模式協(xié)商請(qǐng)求�,所述安全模式協(xié)商請(qǐng)求中攜帶所述第一設(shè)備所支持的安全模式;或者�,
[0012]在通信開(kāi)始時(shí),所述第一設(shè)備向第二設(shè)備發(fā)送初始通信請(qǐng)求消息���,該消息中包含安全模式協(xié)商請(qǐng)求�����,所述安全模式協(xié)商請(qǐng)求中攜帶所述第一設(shè)備所支持的安全模式��。
[0013]其中�,所述安全模式至少包括以下一種:
[0014]設(shè)備的VID�,設(shè)備支持IPSec的標(biāo)識(shí);
[0015]所述設(shè)備的VID���,為:設(shè)備所歸屬的虛擬局域網(wǎng)VLAN的ID�����。
[0016]其中��,所述第二設(shè)備檢查并判斷自身支持的安全模式��,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備����,包括:
[0017]對(duì)于通信前的情況,所述第二設(shè)備收到安全模式協(xié)商請(qǐng)求后�����,檢查自身是否有VID,且自身的VID是否與安全模式協(xié)商請(qǐng)求中所述第一設(shè)備的VID相同�,如果相同,則選擇VLAN作為安全模式�,并將選擇的VLAN安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備;如果不相同��,則選擇IPSec作為安全模式���,并將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備����;或者��,
[0018]對(duì)于通信開(kāi)始時(shí)的情況,所述第二設(shè)備收到初始通信請(qǐng)求消息后�����,檢查自身是否有VID���,且自身的VID是否與初始通信請(qǐng)求消息中的、安全模式協(xié)商請(qǐng)求中所述第一設(shè)備的VID相同�����,如果相同�,則選擇VLAN作為安全模式,并將選擇的VLAN安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備���;如果不相同��,則將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中����,并將攜帶該安全模式協(xié)商響應(yīng)的初始通信響應(yīng)消息發(fā)送給所述第一設(shè)備���,或者直接向所述第一設(shè)備發(fā)起IPSec的建立流程���。
[0019]在一個(gè)實(shí)施例中�����,該方法還包括:
[0020]在所述第二設(shè)備檢查并判斷自身支持的安全模式時(shí)�,如果不存在與所述第一設(shè)備支持的安全模式相匹配的安全模式時(shí)�,所述第二設(shè)備則將安全模式協(xié)商失敗的消息發(fā)送給所述第一設(shè)備。
[0021 ] 在一個(gè)實(shí)施例中�,該方法還包括:
[0022]第一設(shè)備將安全模式協(xié)商請(qǐng)求進(jìn)行數(shù)字簽名后,上報(bào)給所述第二設(shè)備�����;所述第二設(shè)備對(duì)所述數(shù)字簽名進(jìn)行驗(yàn)證��,驗(yàn)證通過(guò)后�,選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式,并對(duì)安全模式協(xié)商響應(yīng)進(jìn)行數(shù)字簽名���,之后將帶有數(shù)字簽名的安全模式協(xié)商響應(yīng)發(fā)送給所述第一設(shè)備�。
[0023]本發(fā)明實(shí)施例還提供了一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商裝置����,該裝置包括:安全模式發(fā)送模塊�����、檢查判斷選擇模塊和安全模式接收模塊���;其中����,在通信前或通信開(kāi)始時(shí),
[0024]所述安全模式發(fā)送模塊�,用于將自身所屬設(shè)備支持的安全模式上報(bào)給對(duì)端設(shè)備,
[0025]所述檢查判斷選擇模塊�����,用于檢查并判斷自身所屬設(shè)備支持的安全模式��,并選擇與對(duì)端設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述對(duì)端設(shè)備���;
[0026]所述安全模式接收模塊���,用于接收對(duì)端設(shè)備上報(bào)的所述對(duì)端設(shè)備支持的安全模式;
[0027]所述設(shè)備和對(duì)端設(shè)備為:物理設(shè)備或虛擬網(wǎng)元�����。
[0028]在一個(gè)實(shí)施例中,
[0029]所述檢查判斷選擇模塊���,在檢查并判斷自身所屬設(shè)備支持的安全模式時(shí)��,還用于確定不存在與所述對(duì)端設(shè)備支持的安全模式相匹配的安全模式時(shí)���,觸發(fā)所述安全模式發(fā)送模塊;相應(yīng)的����,
[0030]所述安全模式發(fā)送模塊,還用于將安全模式協(xié)商失敗的消息發(fā)送給所述對(duì)端設(shè)備�。
[0031]在一個(gè)實(shí)施例中,
[0032]所述安全模式發(fā)送模塊�,還用于將自身所屬設(shè)備的安全模式協(xié)商請(qǐng)求進(jìn)行數(shù)字簽名后,上報(bào)給對(duì)端設(shè)備����;選擇與對(duì)端設(shè)備支持的安全模式相匹配的安全模式,并對(duì)安全模式協(xié)商響應(yīng)進(jìn)行數(shù)字簽名����,之后將帶有數(shù)字簽名的安全模式協(xié)商響應(yīng)發(fā)送給所述對(duì)端設(shè)備���;相應(yīng)的;
[0033]所述檢查判斷選擇模塊��,還用于對(duì)所述對(duì)端設(shè)備發(fā)送的數(shù)字簽名進(jìn)行驗(yàn)證��,驗(yàn)證通過(guò)后���,觸發(fā)所述安全模式發(fā)送模塊���。
[0034]本發(fā)明實(shí)施例還提供了一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商設(shè)備��,該設(shè)備包括:上文所述的裝置���。
[0035]本發(fā)明實(shí)施例提供的移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法�����、裝置和設(shè)備�,在通信前或通信開(kāi)始時(shí)���,第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備�����,所述第二設(shè)備檢查并判斷自身支持的安全模式��,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備�;所述第一設(shè)備和第二設(shè)備為物理設(shè)備或虛擬網(wǎng)元。本發(fā)明實(shí)施例可以實(shí)現(xiàn)設(shè)備之間自動(dòng)協(xié)商安全模式�����,合理利用現(xiàn)有的安全機(jī)制��,避免了安全機(jī)制冗余�,而且能夠有效保障設(shè)備之間的通信安全,節(jié)省了 IPsec的配置和維護(hù)工作量�����,也大大減少了手動(dòng)配置的工作量����,提高了工作效率。
【附圖說(shuō)明】
[0036]在附圖(其不一定是按比例繪制的)中�����,相似的附圖標(biāo)記可在不同的視圖中描述相似的部件。具有不同字母后綴的相似附圖標(biāo)記可表示相似部件的不同示例��。附圖以示例而非限制的方式大體示出了本文中所討論的各個(gè)實(shí)施例�。
[0037]圖1為本發(fā)明實(shí)施例所述移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法實(shí)現(xiàn)流程圖;
[0038]圖2為本發(fā)明實(shí)施例所述移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商裝置的結(jié)構(gòu)示意圖���;
[0039]圖3為本發(fā)明實(shí)施例一應(yīng)用場(chǎng)景中設(shè)備間安全模式協(xié)商方法實(shí)現(xiàn)流程圖����;
[0040]圖4為本發(fā)明實(shí)施例另一應(yīng)用場(chǎng)景中設(shè)備間安全模式協(xié)商方法實(shí)現(xiàn)流程圖�;
[0041]圖5為本發(fā)明實(shí)施例另一應(yīng)用場(chǎng)景中設(shè)備間安全模式協(xié)商方法實(shí)現(xiàn)流程圖。
【具體實(shí)施方式】
[0042]本發(fā)明的實(shí)施例中����,在通信前或通信開(kāi)始時(shí)�����,第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備����,所述第二設(shè)備檢查并判斷自身支持的安全模式,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備����;所述第一設(shè)備和第二設(shè)備為物理設(shè)備或虛擬網(wǎng)元�。
[0043]下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明����。
[0044]圖1為本發(fā)明實(shí)施例所述移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法實(shí)現(xiàn)流程圖,如圖1所示�,該方法包括:
[0045]步驟101:在通信前或通信開(kāi)始時(shí),第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備����;
[0046]步驟102:第二設(shè)備檢查并判斷自身支持的安全模式,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備�;第一設(shè)備和第二設(shè)備為物理設(shè)備或虛擬網(wǎng)元。
[0047]本發(fā)明實(shí)施例中�����,在通信前�����,所述第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備�����,包括:
[0048]第一設(shè)備向第二設(shè)備發(fā)送安全模式協(xié)商請(qǐng)求,所述安全模式協(xié)商請(qǐng)求中攜帶所述第一設(shè)備所支持的安全模式���,所述安全模式包括:第一設(shè)備所歸屬的VLAN的ID����,即VID�,以及支持IPSec的標(biāo)識(shí)等。
[0049]本發(fā)明實(shí)施例中��,在通信開(kāi)始時(shí)����,所述第一設(shè)備將自身支持的安全模式上報(bào)給第一.設(shè)備,包括:
[0050]第一設(shè)備向第二設(shè)備發(fā)送初始通信請(qǐng)求消息����,該消息中包含安全模式協(xié)商請(qǐng)求,所述安全模式協(xié)商請(qǐng)求中攜帶所述第一設(shè)備所支持的安全模式��,所述安全模式包括:第一設(shè)備所歸屬的VLAN的ID����,即VID,以及支持IPSec的標(biāo)識(shí)等����。
[0051]本發(fā)明實(shí)施例中,在通信前����,所述第二設(shè)備檢查并判斷自身支持的安全模式,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備�,包括:
[0052]所述第二設(shè)備收到安全模式協(xié)商請(qǐng)求后,檢查自身是否有VID����,且自身的VID是否與安全模式協(xié)商請(qǐng)求中所述第一設(shè)備的VID相同,如果相同�����,則選擇VLAN作為安全模式���,并將選擇的安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備�;如果不相同���,則選擇IPSec作為安全模式���,并將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備�。
[0053]本發(fā)明實(shí)施例中��,在通信開(kāi)始時(shí)�����,所述第二設(shè)備檢查并判斷自身支持的安全模式����,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備,包括:
[0054]所述第二設(shè)備收到初始通信請(qǐng)求消息后�,檢查自身是否有VID,且自身的VID是否與初始通信請(qǐng)求消息中的安全模式協(xié)商請(qǐng)求中所述第一設(shè)備的VID相同�����,如果相同���,則選擇VLAN作為安全模式�����,并將選擇的VLAN安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備;如果不相同,則將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中�,并將攜帶該安全模式協(xié)商響應(yīng)的初始通信響應(yīng)消息發(fā)送給所述第一設(shè)備;或者��,向所述第一設(shè)備發(fā)起IPSec的建立流程����。
[0055]本發(fā)明實(shí)施例可以實(shí)現(xiàn)設(shè)備之間自動(dòng)協(xié)商安全模式,合理利用現(xiàn)有的安全機(jī)制����,避免了安全機(jī)制冗余,而且能夠有效保障設(shè)備之間的通信安全�����,節(jié)省了 IPsec的配置和維護(hù)工作量�,也大大減少了手動(dòng)配置的工作量,提高了工作效率�����。
[0056]在一個(gè)實(shí)施例中���,該方法還包括:在所述第二設(shè)備檢查并判斷自身支持的安全模式時(shí)���,如果不存在與所述第一設(shè)備支持的安全模式相匹配的安全模式時(shí)�,所述第二設(shè)備則將安全模式協(xié)商失敗的消息發(fā)送給所述第一設(shè)備���。這樣��,所述第一設(shè)備可以重新發(fā)起安全模式協(xié)商流程�。
[0057]由此����,本發(fā)明實(shí)施例可以保證設(shè)備之間的通信肯定會(huì)受到安全保護(hù),防止惡意設(shè)備故意選擇空的安全模式��,使得設(shè)備之間的通信可能得不到任何保護(hù)��,從而導(dǎo)致通信內(nèi)容遭到篡改�����、攔截等安全威脅��。
[0058]在一個(gè)實(shí)施例中����,該方法還包括:第一設(shè)備將安全模式協(xié)商請(qǐng)求(包含安全模式)進(jìn)行數(shù)字簽名(例如使用第一設(shè)備自身的私鑰進(jìn)行數(shù)字簽名)后上報(bào)給所述第二設(shè)備����;所述第二設(shè)備對(duì)所述數(shù)字簽名進(jìn)行驗(yàn)證���,驗(yàn)證通過(guò)后,對(duì)安全模式協(xié)商響應(yīng)(包含與所述第一設(shè)備支持的安全模式相匹配的安全模式)進(jìn)行數(shù)字簽名(例如:使用第二設(shè)備的私鑰進(jìn)行數(shù)字簽名)����,之后將帶有數(shù)字簽名的安全模式協(xié)商響應(yīng)發(fā)送給所述第一設(shè)備。
[0059]當(dāng)然�,后續(xù)所述第一設(shè)備收到所述第二設(shè)備發(fā)送的包括安全模式的安全模式協(xié)商響應(yīng)后,同樣需要進(jìn)行數(shù)字簽名的驗(yàn)證���,驗(yàn)證通過(guò)才能和所述第二設(shè)備進(jìn)行后續(xù)的流程���。
[0060]本發(fā)明實(shí)施例還提供了一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商裝置,如圖2所示��,該裝置包括:安全模式發(fā)送模塊20��、檢查判斷選擇模塊21和安全模式接收模塊33 ;其中�,在通信前或通信開(kāi)始時(shí),
[0061]所述安全模式發(fā)送模塊20��,用于將自身所屬設(shè)備支持的安全模式上報(bào)給對(duì)端設(shè)備,
[0062]所述檢查判斷選擇模塊21����,用于檢查并判斷自身所屬設(shè)備支持的安全模式,并選擇與對(duì)端設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述對(duì)端設(shè)備����;
[0063]所述安全模式接收模塊22,用于接收對(duì)端設(shè)備上報(bào)的所述對(duì)端設(shè)備支持的安全模式����;
[0064]所述設(shè)備和對(duì)端設(shè)備為:物理設(shè)備或虛擬網(wǎng)元。
[0065]本發(fā)明實(shí)施例中���,在通信前�����,所述安全模式發(fā)送模塊20將自身支持的安全模式上報(bào)給對(duì)端設(shè)備����,包括:
[0066]安全模式發(fā)送模塊20所屬設(shè)備向?qū)Χ嗽O(shè)備發(fā)送安全模式協(xié)商請(qǐng)求�����,所述安全模式協(xié)商請(qǐng)求中攜帶所述安全模式發(fā)送模塊20所屬設(shè)備所支持的安全模式,所述安全模式包括:第一設(shè)備所歸屬的VLAN的ID����,即VID,以及支持IPSec的標(biāo)識(shí)等�。
[0067]本發(fā)明實(shí)施例中,在通信開(kāi)始時(shí)���,所述安全模式發(fā)送模塊20將自身支持的安全模式上報(bào)給對(duì)端設(shè)備,包括:
[0068]安全模式發(fā)送模塊20所屬設(shè)備向?qū)Χ嗽O(shè)備發(fā)送初始通信請(qǐng)求消息���,該消息中包含安全模式協(xié)商請(qǐng)求�����,所述安全模式協(xié)商請(qǐng)求中攜帶所述安全模式發(fā)送模塊20所屬設(shè)備所支持的安全模式��,所述安全模式包括:第一設(shè)備所歸屬的VLAN的ID��,即VID��,以及支持IPSec的標(biāo)識(shí)等�����。
[0069]本發(fā)明實(shí)施例中���,在通信前�����,所述檢查判斷選擇模塊21檢查并判斷自身所屬設(shè)備支持的安全模式�����,并選擇與對(duì)端設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述對(duì)端設(shè)備��,包括:
[0070]檢查判斷選擇模塊21檢查自身所屬設(shè)備是否有VID�����,且所述VID是否與安全模式協(xié)商請(qǐng)求中所述對(duì)端設(shè)備的VID相同�����,如果相同����,則選擇VLAN作為安全模式,并將選擇的安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述對(duì)端設(shè)備����;如果不相同,則選擇IPSec作為安全模式�����,并將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述對(duì)端設(shè)備����。
[0071]本發(fā)明實(shí)施例中,在通信開(kāi)始時(shí)�����,所述檢查判斷選擇模塊21檢查并判斷自身所屬設(shè)備支持的安全模式����,并選擇與對(duì)端設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述對(duì)端設(shè)備���,包括:
[0072]檢查判斷選擇模塊21檢查自身所屬設(shè)備是否有VID���,且所述VID是否與初始通信請(qǐng)求消息中的安全模式協(xié)商請(qǐng)求中所述對(duì)端設(shè)備的VID相同,如果相同,則選擇VLAN作為安全模式���,并將選擇的VLAN安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述對(duì)端設(shè)備�;如果不相同�,則將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中,并將攜帶該安全模式協(xié)商響應(yīng)的初始通信響應(yīng)消息發(fā)送給所述對(duì)端設(shè)備���;或者����,向所述對(duì)端設(shè)備發(fā)起IPSec的建立流程���。
[0073]本發(fā)明實(shí)施例可以實(shí)現(xiàn)設(shè)備之間自動(dòng)協(xié)商安全模式�,合理利用現(xiàn)有的安全機(jī)制���,避免了安全機(jī)制冗余����,而且能夠有效保障設(shè)備之間的通信安全�����,節(jié)省了 IPsec的配置和維護(hù)工作量,也大大減少了手動(dòng)配置的工作量�����,提高了工作效率����。
[0074]在一個(gè)實(shí)施例中,所述檢查判斷選擇模塊21�����,在檢查并判斷自身所屬設(shè)備支持的安全模式時(shí)�,還用于確定不存在與所述對(duì)端設(shè)備支持的安全模式相匹配的安全模式時(shí),觸發(fā)所述安全模式發(fā)送模塊��;相應(yīng)的�����,
[0075]所述安全模式發(fā)送模塊20�,還用于將安全模式協(xié)商失敗的消息發(fā)送給所述對(duì)端設(shè)備�。
[0076]由此,本發(fā)明實(shí)施例可以保證設(shè)備之間的通信肯定會(huì)受到安全保護(hù)����,防止惡意設(shè)備故意選擇空的安全模式����,使得設(shè)備之間的通信可能得不到任何保護(hù)���,從而導(dǎo)致通信內(nèi)容遭到篡改����、攔截等安全威脅��。
[0077]在一個(gè)實(shí)施例中���,所述安全模式發(fā)送模塊20���,還用于將自身所屬設(shè)備的安全模式協(xié)商請(qǐng)求進(jìn)行數(shù)字簽名(例如:使用所述安全模式發(fā)送模塊20自身所屬設(shè)備的私鑰進(jìn)行數(shù)字簽名)后,上報(bào)給對(duì)端設(shè)備�����;選擇與對(duì)端設(shè)備支持的安全模式相匹配的安全模式�����,并對(duì)安全模式協(xié)商響應(yīng)(包含與所述對(duì)端設(shè)備支持的安全模式相匹配的安全模式)進(jìn)行數(shù)字簽名(例如:使用所述安全模式發(fā)送模塊20自身所屬設(shè)備的私鑰進(jìn)行數(shù)字簽名),之后將帶有數(shù)字簽名的安全模式協(xié)商響應(yīng)發(fā)送給所述對(duì)端設(shè)備���;相應(yīng)的�����,
[0078]所述檢查判斷選擇模塊21���,還用于對(duì)所述對(duì)端設(shè)備發(fā)送的數(shù)字簽名進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)后�,觸發(fā)所述安全模式發(fā)送模塊。
[0079]本發(fā)明實(shí)施例還提供了一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商設(shè)備�����,該設(shè)備包括:上文所述的裝置�。所述設(shè)備為物理設(shè)備或虛擬網(wǎng)元。
[0080]下面結(jié)合具體應(yīng)用場(chǎng)景對(duì)本發(fā)明實(shí)施例進(jìn)行描述�����。
[0081]場(chǎng)景一
[0082]圖3為本發(fā)明實(shí)施例一應(yīng)用場(chǎng)景中設(shè)備間安全模式協(xié)商方法實(shí)現(xiàn)流程圖�����,如圖3所示����,本場(chǎng)景中,第一設(shè)備與第二設(shè)備在通信開(kāi)始前�,先執(zhí)行安全模式協(xié)商過(guò)程,具體步驟為:
[0083]步驟301:當(dāng)?shù)谝辉O(shè)備(可以是物理設(shè)備也可以是虛擬網(wǎng)元)需要與第二設(shè)備進(jìn)行通信時(shí)���,第一設(shè)備向第二設(shè)備發(fā)送安全模式協(xié)商請(qǐng)求�����,在該請(qǐng)求中攜帶該設(shè)備所支持的安全模式��,包括:第一設(shè)備所歸屬的VLAN的ID即VID��,支持IPSec的標(biāo)識(shí)等��;
[0084]步驟302:第二設(shè)備收到安全模式協(xié)商請(qǐng)求后�����,查找自己是否有VID��,且VID是否與收到的第一設(shè)備的VID相同���,如果相同��,直接選擇安全模式為VLAN�,并將VLAN安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)給第一設(shè)備��;如果不同���,則將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中發(fā)給第一設(shè)備��;
[0085]步驟303:第一設(shè)備收到安全模式協(xié)商響應(yīng)后����,根據(jù)響應(yīng)中的消息發(fā)起與第二設(shè)備的后續(xù)通信����。
[0086]這里,如果響應(yīng)中包含第二設(shè)備的VID且與第一設(shè)備的VID相同��,則第一設(shè)備通過(guò)VLAN與第二設(shè)備進(jìn)行后續(xù)通信���;如果響應(yīng)中包含支持IPSec的標(biāo)識(shí)�,第一設(shè)備發(fā)起與第二設(shè)備建立IPSec的流程。
[0087]需要說(shuō)明的是:上述第一設(shè)備默認(rèn)就支持安全模式協(xié)商的能力�。如果不支持�,那么上述流程就不會(huì)由第一設(shè)備發(fā)起。第二設(shè)備不管是一個(gè)傳統(tǒng)的物理設(shè)備還是虛擬化網(wǎng)元�,均需支持安全模式協(xié)商的能力,選擇一個(gè)第一設(shè)備和第二設(shè)備都支持的安全模式���。此選擇的安全模式不允許存在空安全模式���,即第二設(shè)備返回的安全模式不允許沒(méi)有選擇任何安全模式,那么第一設(shè)備就要重新發(fā)起安全模式協(xié)商并記錄失敗信息��。由此可以保證第一設(shè)備和第二設(shè)備之間的通信肯定會(huì)受到安全保護(hù)����,防止惡意設(shè)備故意選擇空的安全模式,使得第一設(shè)備和第二設(shè)備之間的通信可能得不到任何保護(hù)�,從而導(dǎo)致通信內(nèi)容遭到篡改、攔截等安全威脅�����。
[0088]場(chǎng)景二
[0089]圖4為本發(fā)明實(shí)施例另一應(yīng)用場(chǎng)景中設(shè)備間安全模式協(xié)商方法實(shí)現(xiàn)流程圖�,如圖4所示,本場(chǎng)景中,第一設(shè)備與第二設(shè)備在通信開(kāi)始時(shí)執(zhí)行安全模式協(xié)商過(guò)程����,具體步驟為:
[0090]步驟401:當(dāng)?shù)谝辉O(shè)備(可以使物理設(shè)備也可以是虛擬網(wǎng)元)需要與第二設(shè)備進(jìn)行通信時(shí),第一設(shè)備向第二設(shè)備發(fā)送初始通信請(qǐng)求消息�����,該消息中包含安全模式協(xié)商請(qǐng)求�����,在該請(qǐng)求中攜帶該設(shè)備所支持的安全模式�,包括:第一設(shè)備所歸屬的VLAN的ID,即VID���,支持IPSec的標(biāo)識(shí)等����;
[0091]步驟402:第二設(shè)備收到初始通信請(qǐng)求消息后�����,查找自己是否有VID���,且VID是否與收到的安全模式協(xié)商請(qǐng)求中的相同�。如果相同,直接選擇安全模式為VLAN ;如果不同����,則直接向第一設(shè)備發(fā)起建立IPSec的流程���,或者在安全模式響應(yīng)中添加支持IPSec的標(biāo)識(shí)���;該安全模式響應(yīng)通過(guò)初始通信響應(yīng)消息發(fā)送給第一設(shè)備。
[0092]步驟403:第一設(shè)備收到初始通信響應(yīng)消息��,如果該消息包含安全模式協(xié)商響應(yīng)�����,根據(jù)響應(yīng)中的消息發(fā)起與第二設(shè)備的后續(xù)通信�,即:如果響應(yīng)中包含第二設(shè)備的VID且與第一設(shè)備的VID相同,則第一設(shè)備通過(guò)VLAN與第二設(shè)備進(jìn)行后續(xù)通信�����;如果響應(yīng)中包含IPSec標(biāo)識(shí)���,第一設(shè)備發(fā)起與第二設(shè)備建立IPSec的流程���;否則�,第一設(shè)備根據(jù)第二設(shè)備的響應(yīng)直接跟所述第二設(shè)備開(kāi)始后續(xù)的IPSec流程���。
[0093]需要說(shuō)明的是:同場(chǎng)景一相同�,上述第一設(shè)備默認(rèn)就支持安全模式協(xié)商的能力��。如果不支持���,那么上述流程就不會(huì)由第一設(shè)備發(fā)起�。第二設(shè)備不管是一個(gè)傳統(tǒng)的物理設(shè)備還是虛擬化網(wǎng)元�����,均需支持安全模式協(xié)商的能力�����,選擇一個(gè)第一設(shè)備和第二設(shè)備都支持的安全模式��。此選擇的安全模式不允許存在空安全模式�,即第二設(shè)備返回的安全模式不允許沒(méi)有選擇任何安全模式���,那么第一設(shè)備就要重新發(fā)起安全模式協(xié)商并記錄失敗信息。由此可以保證第一設(shè)備和第二設(shè)備之間的通信肯定會(huì)受到安全保護(hù)����,防止惡意設(shè)備故意選擇空的安全模式,使得第一設(shè)備和第二設(shè)備之間的通信可能得不到任何保護(hù)���,從而導(dǎo)致通信內(nèi)容遭到篡改、攔截等安全威脅���。
[0094]場(chǎng)景三
[0095]上述場(chǎng)景一���、二中,由于安全模式協(xié)商請(qǐng)求和初始通行請(qǐng)求消息是不受保護(hù)的�����,所以存在第一設(shè)備的安全模式被篡改的安全威脅����,而且,安全模式協(xié)商響應(yīng)也是不受保護(hù)的���,所以存在第二設(shè)備選擇的安全模式被篡改的安全威脅��。本場(chǎng)景采用數(shù)字簽名來(lái)防止上述安全威脅��,是對(duì)上述兩種場(chǎng)景方案的一種安全增強(qiáng)���。
[0096]如圖5所示����,本場(chǎng)景方案與上述場(chǎng)景方案的區(qū)別在于:
[0097]步驟501:安全模式協(xié)商請(qǐng)求使用第一設(shè)備的私鑰進(jìn)行數(shù)字簽名�,并且在該消息中帶攜所述第一設(shè)備的證書(shū);
[0098]步驟502:第二設(shè)備使用第一設(shè)備證書(shū)中的公鑰驗(yàn)證所述數(shù)字簽名�����,驗(yàn)證通過(guò)后���,檢查并選擇一種安全模式�����;否則����,如果驗(yàn)證沒(méi)有通過(guò),則返回錯(cuò)誤消息���;
[0099]步驟503:使用第二設(shè)備的私鑰對(duì)安全模式協(xié)商響應(yīng)進(jìn)行數(shù)字簽名����,并在該消息中攜帶第二設(shè)備的證書(shū)�;第一設(shè)備收到響應(yīng)消息后,需要使用第二設(shè)備的證書(shū)驗(yàn)證所述數(shù)字簽名����,驗(yàn)證通過(guò)才能和第二設(shè)備進(jìn)行后續(xù)的流程;否則����,給第二設(shè)備返回錯(cuò)誤消息�����。
[0100]本發(fā)明實(shí)施例中����,所述安全模式協(xié)商請(qǐng)求和安全模式協(xié)商響應(yīng)可能為單獨(dú)的消息,如上文場(chǎng)景一所述的情況���,也可能分別包含在初始通信請(qǐng)求消息和初始通響應(yīng)消息中���,如上文場(chǎng)景二所述的情況��。
[0101]本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白���,本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)��、或計(jì)算機(jī)程序產(chǎn)品�。因此,本發(fā)明可采用硬件實(shí)施例��、軟件實(shí)施例�、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且����,本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤(pán)存儲(chǔ)器和光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
[0102]本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法�、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的����。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框�、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合��??商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)�、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過(guò)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置��。
[0103]這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中�����,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品��,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能�。
[0104]這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理��,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟���。
[0105]以上所述,僅為本發(fā)明的較佳實(shí)施例而已�����,并非用于限定本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商方法�����,其特征在于�,該方法包括: 在通信前或通信開(kāi)始時(shí),第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備�,所述第二設(shè)備檢查并判斷自身支持的安全模式,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備�;所述第一設(shè)備和第二設(shè)備為:物理設(shè)備或虛擬網(wǎng)元。2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,所述第一設(shè)備將自身支持的安全模式上報(bào)給第二設(shè)備�����,包括: 在通信前�,所述第一設(shè)備向第二設(shè)備發(fā)送安全模式協(xié)商請(qǐng)求,所述安全模式協(xié)商請(qǐng)求中攜帶所述第一設(shè)備所支持的安全模式����;或者�����, 在通信開(kāi)始時(shí)�����,所述第一設(shè)備向第二設(shè)備發(fā)送初始通信請(qǐng)求消息�����,該消息中包含安全模式協(xié)商請(qǐng)求��,所述安全模式協(xié)商請(qǐng)求中攜帶所述第一設(shè)備所支持的安全模式�。3.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述安全模式至少包括以下一種: 設(shè)備的VID�,設(shè)備支持IPSec的標(biāo)識(shí)����; 所述設(shè)備的VID���,為:設(shè)備所歸屬的虛擬局域網(wǎng)VLAN的ID。4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于����,所述第二設(shè)備檢查并判斷自身支持的安全模式,并選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述第一設(shè)備����,包括: 對(duì)于通信前的情況,所述第二設(shè)備收到安全模式協(xié)商請(qǐng)求后�����,檢查自身是否有VID����,且自身的VID是否與安全模式協(xié)商請(qǐng)求中所述第一設(shè)備的VID相同,如果相同�����,則選擇VLAN作為安全模式,并將選擇的VLAN安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備���;如果不相同���,則選擇IPSec作為安全模式,并將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備���;或者�, 對(duì)于通信開(kāi)始時(shí)的情況����,所述第二設(shè)備收到初始通信請(qǐng)求消息后,檢查自身是否有VID����,且自身的VID是否與初始通信請(qǐng)求消息中的、安全模式協(xié)商請(qǐng)求中所述第一設(shè)備的VID相同��,如果相同��,則選擇VLAN作為安全模式�,并將選擇的VLAN安全模式添加在安全模式協(xié)商響應(yīng)中發(fā)送給所述第一設(shè)備�;如果不相同�����,則將支持IPSec的標(biāo)識(shí)添加在安全模式協(xié)商響應(yīng)中�,并將攜帶該安全模式協(xié)商響應(yīng)的初始通信響應(yīng)消息發(fā)送給所述第一設(shè)備���,或者直接向所述第一設(shè)備發(fā)起IPSec的建立流程���。5.根據(jù)權(quán)利要求1所述的方法,其特征在于����,該方法還包括: 在所述第二設(shè)備檢查并判斷自身支持的安全模式時(shí),如果不存在與所述第一設(shè)備支持的安全模式相匹配的安全模式時(shí)�,所述第二設(shè)備則將安全模式協(xié)商失敗的消息發(fā)送給所述第一設(shè)備。6.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,該方法還包括: 第一設(shè)備將安全模式協(xié)商請(qǐng)求進(jìn)行數(shù)字簽名后,上報(bào)給所述第二設(shè)備�;所述第二設(shè)備對(duì)所述數(shù)字簽名進(jìn)行驗(yàn)證�����,驗(yàn)證通過(guò)后�,選擇與所述第一設(shè)備支持的安全模式相匹配的安全模式�,并對(duì)安全模式協(xié)商響應(yīng)進(jìn)行數(shù)字簽名,之后將帶有數(shù)字簽名的所述安全模式協(xié)商響應(yīng)發(fā)送給所述第一設(shè)備��。7.一種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商裝置�,其特征在于,該裝置包括:安全模式發(fā)送模塊����、檢查判斷選擇模塊和安全模式接收模塊;其中����,在通信前或通信開(kāi)始時(shí), 所述安全模式發(fā)送模塊��,用于將自身所屬設(shè)備支持的安全模式上報(bào)給對(duì)端設(shè)備�, 所述檢查判斷選擇模塊,用于檢查并判斷自身所屬設(shè)備支持的安全模式�����,并選擇與對(duì)端設(shè)備支持的安全模式相匹配的安全模式發(fā)送給所述對(duì)端設(shè)備; 所述安全模式接收模塊�����,用于接收對(duì)端設(shè)備上報(bào)的所述對(duì)端設(shè)備支持的安全模式�; 所述設(shè)備和對(duì)端設(shè)備為:物理設(shè)備或虛擬網(wǎng)元�。8.根據(jù)權(quán)利要求7所述的裝置,其特征在于���, 所述檢查判斷選擇模塊�,在檢查并判斷自身所屬設(shè)備支持的安全模式時(shí)���,還用于確定不存在與所述對(duì)端設(shè)備支持的安全模式相匹配的安全模式時(shí)���,觸發(fā)所述安全模式發(fā)送模塊;相應(yīng)的�, 所述安全模式發(fā)送模塊,還用于將安全模式協(xié)商失敗的消息發(fā)送給所述對(duì)端設(shè)備���。9.根據(jù)權(quán)利要求7所述的裝置����,其特征在于, 所述安全模式發(fā)送模塊�,還用于將自身所屬設(shè)備的安全模式協(xié)商請(qǐng)求進(jìn)行數(shù)字簽名后,上報(bào)給對(duì)端設(shè)備�����;選擇與對(duì)端設(shè)備支持的安全模式相匹配的安全模式��,并對(duì)安全模式協(xié)商響應(yīng)進(jìn)行數(shù)字簽名�,之后將帶有數(shù)字簽名的所述安全模式協(xié)商響應(yīng)發(fā)送給所述對(duì)端設(shè)備;相應(yīng)的���; 所述檢查判斷選擇模塊����,還用于對(duì)所述對(duì)端設(shè)備發(fā)送的數(shù)字簽名進(jìn)行驗(yàn)證���,驗(yàn)證通過(guò)后�����,觸發(fā)所述安全模式發(fā)送模塊��。10.—種移動(dòng)網(wǎng)云化場(chǎng)景下安全模式協(xié)商設(shè)備�����,其特征在于���,該設(shè)備包括:權(quán)利要求7-9中任一項(xiàng)所述的裝置���。
【文檔編號(hào)】H04L29/06GK105991558SQ201510059653
【公開(kāi)日】2016年10月5日
【申請(qǐng)日】2015年2月4日
【發(fā)明人】莊小君, 朱紅儒, 齊旻鵬
【申請(qǐng)人】中國(guó)移動(dòng)通信集團(tuán)公司