配置信息的下发方法、系统及装置制造方法

配置信息的下发方法、系统及装置制造方法
【专利摘要】本发明公开了一种配置信息的下发方法、系统及装置，在上述方法中，中心控制器分别为多个转发设备中的每个转发设备配置参数集合，其中，参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；中心控制器分别与每个转发设备进行协商并创建安全通道；中心控制器经由安全通道将参数集合下发至每个转发设备。根据本发明提供的技术方案，降低了在多个转发设备之间建立安全联盟的复杂度，提高了数据传输的安全性。
【专利说明】配置信息的下发方法、系统及装置

【技术领域】
[0001]本发明涉及互联网【技术领域】，具体而言，涉及一种配置信息的下发方法、系统及装置。

【背景技术】
[0002]互联网协议安全性(Internet Protocol Security,简称为IPSec)是一种开放标准的框架结构，其可以通过使用加密的安全服务以确保在互联网协议(IP)网络上进行保密而开展安全的通讯。
[0003]IPSec并非是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，可以包括:认证报文头(Authenticat1n Header,简称为AH)协议、封装安全载荷(Encapsulating Security Payload,简称为 ESP)协议、因特网密钥交换(Internet KeyExchange，简称为IKE)协议和用于网络认证及加密的一些算法等，其中，AH协议和ESP协议可以用于提供安全服务，而IKE协议可以用于密钥交换。为此，IPSec提供了如下两种安全机制:认证和加密。
[0004]第一种、认证机制可以使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改；
[0005]第二种、加密机制可以通过对数据进行加密运算来确保数据的机密性，以防止数据在传输过程中被窃听。IPSec协议中的AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供数据可靠性保证。
[0006]IPSec对数据流提供的安全服务可以通过安全联盟(SA)来实现，其中，可以包括:协议、算法、密钥等内容，具体确定了如何对IP报文进行处理。一个SA即为两个IPSec系统之间的一个单向逻辑连接，输入数据流和输出数据流由输入安全联盟与输出安全联盟分别进行处理。安全联盟由一个三元组(安全参数索引(SPI)、目的IP地址以及安全协议号)来唯一标识。
[0007]网络虚拟化是以云计算技术为基础随之发展而来的，并建立在虚拟化技术的基础上。从路由器的设计上来看，其由软件控制和硬件数据通道组成。软件控制可以包括:管理(例如:命令行界面(CLI)、简单网络管理协议(SNMP))以及路由协议(例如:开放式最短路径优先(0SPF)、边界网关协议(BGP))。数据通道可以包括:针对每个包的查询、交换和缓存。如果将网络中所有的转发设备视为被管理的资源，那么参考操作系统的原理，可以抽象出一个网络操作系统(Network OS)的概念。该网络操作系统一方面抽象了底层转发设备的具体细节，同时还为上层应用提供了统一的管理视图和编程接口。如此，基于网络操作系统这个平台，用户可以开发各种应用程序，通过软件来定义逻辑上的网络拓扑，以满足对网络资源的不同需求，而无需关心底层网络的物理拓扑结构。
[0008]网络虚拟化目前有斯坦福大学提出的开放流表(Openflow)技术和软件定义网络(Software Defined Network,简称为SDN)架构、互联网工程任务组(InternetEngineering Task Force,简称为 IETF)提出的路由系统接口( Interface to the RoutingSystem，简称为I2RS)架构等。上述各项技术均具有以下三种形态:应用控制器、转发设备以及可编程接口。图1是根据相关技术的网络虚拟化框架示意图。如图1所示，上述三种形态在SDN架构中和Openflow中分别是中央控制器(Controller)、虚拟交换机和可编程接口 ；而在I2RS架构中则分别是I2RS客户端、转发设备、I2RS代理(Agent)。
[0009]在现有的IPSec技术中，安全联盟可以通过手工配置和自动协商两种方式来建立。手工建立安全联盟的方式是指用户可以通过在两端手工设置预设参数，在两端参数匹配和协商通过后建立安全联盟；自动协商方式由IKE生成和维护，通信双方基于各自的安全策略库经过匹配和协商，最终建立安全联盟而不需要用户的干预。
[0010]在多个路由器需要相互之间建立IPSec安全联盟时，无论是通过手工配置还是通过自动协商的方式，均存在以下两个缺陷:
[0011]缺陷一、当路由器数目较为庞大时，需要为每一个路由器进行安全联盟的相关配置，其操作较为繁琐、复杂；
[0012]缺陷二、若假设路由器的数目为n，则每两台路由器之间需要建立协商通道，则协商信令通道需要占用(η-1) + (η-2) + (η-3>..+ (η-(η-1))个，即η* (η_1)/2个通道。
[0013]不仅如此，在现有的网络虚拟化技术中，对于IPSec安全联盟的建立，并没有为控制器和转发设备之间的可编程接口提供一种切实可行的方法，并且在目前的网络虚拟化技术中，可编程接口的安全性考虑不足，因此，其并不适用于IPSec安全联盟的建立。


【发明内容】

[0014]本发明提供了一种配置信息的下发方法、系统及装置，以至少解决相关技术中在多个转发设备之间建立安全联盟的方式繁琐复杂且安全性较低的问题。
[0015]根据本发明的一个方面，提供了一种配置信息的下发方法。
[0016]根据本发明的配置信息的下发方法包括:中心控制器分别为多个转发设备中的每个转发设备配置参数集合，其中，参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；中心控制器分别与每个转发设备进行协商并创建安全通道；中心控制器经由安全通道将参数集合下发至每个转发设备。
[0017]优选地，中心控制器分别与每个转发设备进行协商并创建互联网协议安全性(IPSec)安全通道。
[0018]优选地，中心控制器与每个转发设备进行协商并创建安全通道包括:中心控制器经由预设可编程接口与每个转发设备进行因特网密钥交换(IKE)协商；如果协商一致，中心控制器创建与每个转发设备之间的IPSec安全通道。
[0019]优选地，中心控制器经由IPSec安全通道将参数集合下发至每个转发设备包括:中心控制器经由IPSec安全通道与每个转发设备进行安全连接；中心控制器通过预设网络协议或者预设管理方式将参数集合下发至每个转发设备。
[0020]优选地，预设网络协议或者预设管理方式包括以下之一:电信网络协议(TELNET)；安全外壳协议(SSH);简单网络管理协议(SNMP);网络配置管理协议(NETC0NF);用户端(CPE)广域网管理协议(TR069);基于网站公开源码系统(WEB⑶I)的管理方式；文件传输协议(FTP);简单文件传输协议(TFTP);安全文件传输协议(SFTP);系统日志；YANG语言模式；边界网关协议(BGP)。[0021 ] 优选地，在中心控制器经由安全通道将参数集合下发至每个转发设备之后，还包括:多个转发设备中的第一转发设备接收到待转发至多个转发设备中的一个或多个第二转发设备的数据报文；第一转发设备从参数集合中获取封装模式信息和密钥信息，并根据封装模式信息以及密钥信息对待转发的数据报文进行加密封装处理；第一转发设备将经过封装处理后的数据报文发送至一个或多个第二转发设备。
[0022]优选地，在中心控制器经由安全通道将参数集合下发至每个转发设备之后，还包括:一个或多个第二转发设备从参数集合中获取解密信息，并采用解密信息对待转发的数据报文进行解密处理；一个或多个第二转发设备将经过解密处理后的数据报文进行转发。
[0023]优选地，在中心控制器经由安全通道将参数集合下发至每个转发设备之后，还包括:中心控制器确定安全联盟的生命周期结束；中心控制器重新计算密钥信息并重新创建参数集合，以重新建立安全联盟。
[0024]优选地，参数集合包括以下至少之一:每对转发设备之间的虚拟专用网络(VPN)类型；中心控制器为每个转发设备配置的安全参数索引(SPI);中心控制器为每个转发设备配置的IPSec隧道源互联网协议(IP)地址；中心控制器为每个转发设备配置的IPSec隧道目的IP地址；中心控制器为每个转发设备配置的安全协议；中心控制器为每个转发设备配置的封装模式；中心控制器为每个转发设备配置的加密算法；中心控制器为每个转发设备计算的加密密钥；中心控制器为每个转发设备配置的完整性算法；中心控制器为每个转发设备计算的完整性密钥；中心控制器为每个转发设备配置的抗重放窗口大小；中心控制器为每个转发设备配置的安全联盟生命周期类型；中心控制器为每个转发设备配置的封装安全载荷(ESP)算法模式；中心控制器为每个转发设备配置的加密模式。
[0025]根据本发明的另一方面，提供了一种配置信息的下发系统。
[0026]根据本发明的配置信息的下发系统包括:中心控制器；中心控制器包括:配置模块，用于分别为多个转发设备中的每个转发设备配置参数集合，其中，参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；创建模块，用于分别与每个转发设备进行协商并创建安全通道；下发模块，用于经由IPSec安全通道将参数集合下发至每个转发设备。
[0027]优选地，创建模块，用于分别与每个转发设备进行协商并创建IPSec安全通道。
[0028]优选地，创建模块包括:协商单元，用于经由预设可编程接口与每个转发设备进行IKE协商；创建单元，用于在协商单元输出为是时，创建与每个转发设备之间的IPSec安全通道。
[0029]优选地，下发模块包括:连接单元，用于经由IPSec安全通道与每个转发设备进行安全连接；下发单元，用于通过预设网络协议或者预设管理方式将参数集合下发至每个转发设备。
[0030]优选地，预设网络协议或者预设管理方式包括以下之一:TELNET ；SSH ；SNMP ；NETCONF ；CPE TR069 ;基于WEB⑶I的管理方式；FTP ；TFTP ；SFTP ;系统日志；YANG语言模式；BGP。
[0031]优选地，上述系统还包括:多个转发设备中的第一转发设备；第一转发设备包括:接收模块，用于接收到待转发至多个转发设备中的一个或多个第二转发设备的数据报文；封装模块，用于从参数集合中获取封装模式信息和密钥信息，并根据封装模式信息以及密钥信息对待转发的数据报文进行加密封装处理；发送模块，用于将经过封装处理后的数据报文发送至一个或多个第二转发设备。
[0032]优选地，上述系统还包括:一个或多个第二转发设备；一个或多个第二转发设备包括:解密模块，用于从参数集合中获取解密信息，并采用解密信息对待转发的数据报文进行解密处理；转发模块，用于将经过解密处理后的数据报文进行转发。
[0033]优选地，中心控制器还包括:确定模块，用于确定安全联盟的生命周期结束；创建模块，还用于重新计算密钥信息并重新创建参数集合，以重新建立安全联盟。
[0034]优选地，参数集合包括以下至少之一:每对转发设备之间的VPN类型；中心控制器为每个转发设备配置的SPI ;中心控制器为每个转发设备配置的IPSec隧道源IP地址；中心控制器为每个转发设备配置的IPSec隧道目的IP地址；中心控制器为每个转发设备配置的安全协议；中心控制器为每个转发设备配置的封装模式；中心控制器为每个转发设备配置的加密算法；中心控制器为每个转发设备计算的加密密钥；中心控制器为每个转发设备配置的完整性算法；中心控制器为每个转发设备计算的完整性密钥；中心控制器为每个转发设备配置的抗重放窗口大小；中心控制器为每个转发设备配置的安全联盟生命周期类型；中心控制器为每个转发设备配置的封装安全载荷ESP算法模式；中心控制器为每个转发设备配置的加密模式。
[0035]根据本发明的又一方面，提供了一种配置信息的下发装置。
[0036]根据本发明的配置信息的下发装置包括:配置模块，用于分别为多个转发设备中的每个转发设备配置参数集合，其中，参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；创建模块，用于分别与每个转发设备进行协商并创建安全通道；下发模块，用于经由IPSec安全通道将参数集合下发至每个转发设备。
[0037]通过本发明，采用中心控制器分别为多个转发设备中的每个转发设备配置参数集合，其中，参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；中心控制器分别与每个转发设备进行协商并创建安全通道；中心控制器经由安全通道将参数集合下发至每个转发设备，由于引入了中心控制器，原先在多个转发设备之间建立的安全联盟转移到了由中心控制器分别为多个转发设备中的每个转发设备配置参数集合，然后与各个转发设备进行协商并创建安全通道，从而在多个转发设备之间建立安全联盟，由此，解决了相关技术中在多个转发设备之间建立安全联盟的方式繁琐复杂且安全性较低的问题，进而降低了在多个转发设备之间建立安全联盟的复杂度，提高了数据传输的安全性。

【专利附图】

【附图说明】
[0038]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0039]图1是根据相关技术的网络虚拟化框架示意图；
[0040]图2是根据本发明实施例的配置信息的下发方法的流程图；
[0041]图3是根据本发明优选实施例的创建IPSec安全联盟的网络拓扑结构示意图；
[0042]图4是根据本发明实施例的配置信息的下发系统的结构框图；
[0043]图5是根据本发明优选实施例的配置信息的下发系统的结构框图；
[0044]图6是根据本发明实施例的配置信息的下发装置的结构框图。

【具体实施方式】
[0045]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0046]图2是根据本发明实施例的配置信息的下发方法的流程图。如图2所示，该方法可以包括以下处理步骤:
[0047]步骤S202:中心控制器分别为多个转发设备中的每个转发设备配置参数集合，其中，参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；
[0048]步骤S204:中心控制器分别与每个转发设备进行协商并创建安全通道；
[0049]步骤S206:中心控制器经由安全通道将参数集合下发至每个转发设备。
[0050]相关技术中，在多个转发设备之间建立安全联盟的方式繁琐复杂且安全性较低。采用如图2所示的方法，中心控制器分别为多个转发设备中的每个转发设备配置参数集合，该参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；中心控制器分别与每个转发设备进行协商并创建安全通道；中心控制器经由安全通道将参数集合下发至每个转发设备，由于引入了中心控制器，原先在多个转发设备之间建立的安全联盟转移到了由中心控制器分别为多个转发设备中的每个转发设备配置参数集合，然后与各个转发设备进行协商并创建安全通道，从而在多个转发设备之间建立安全联盟，由此，解决了相关技术中在多个转发设备之间建立安全联盟的方式繁琐复杂且安全性较低的问题，进而降低了在多个转发设备之间建立安全联盟的复杂度，提高了数据传输的安全性。
[0051]在优选实施过程中，中心控制器分别与每个转发设备进行协商并创建IPSec安全通道。
[0052]优选地，在步骤S204中，中心控制器与每个转发设备进行协商并创建安全通道可以包括以下操作:
[0053]步骤S1:中心控制器经由预设可编程接口与每个转发设备进行IKE协商；
[0054]步骤S2:如果协商一致，中心控制器创建与每个转发设备之间的IPSec安全通道。
[0055]在优选实施例中，以两个转发设备(即转发设备I和转发设备2)为例,转发设备I通过静态配置与中心控制器之间建立IPSec安全通道，通过IKE协议进行IPSec选项的协商并认证通信的每一端以及管理IPSec隧道的会话密钥。转发设备2通过静态配置与中心控制器之间建立IPSec安全通道，通过IKE协议进行IPSec选项的协商并认证通信的每一端以及管理IPSec隧道的会话密钥。在完成上述处理之后，转发设备通过可编程接口建立的与中心控制器之间的链路是安全可靠的。
[0056]优选地，在步骤S206中，中心控制器经由IPSec安全通道将参数集合下发至每个转发设备可以包括以下步骤:
[0057]步骤S3:中心控制器经由IPSec安全通道与每个转发设备进行安全连接；
[0058]步骤S4:中心控制器通过预设网络协议或者预设管理方式将参数集合下发至每个转发设备。
[0059]在优选实施例中，中心控制器通过网络协议或者管理方式分别下发每个转发设备所需要的参数至转发设备I以及转发设备2。中心控制器通过网络协议下发参数所构成的报文被中心控制器经过IPSec加密处理后变成密文格式在网络中进行传输，直至报文到达转发设备。转发设备I和转发设备2在接收到上述配置报文之后，将该配置报文进行解密处理，然后写入自身的IPSec模块的SA表项中。转发设备I和转发设备2完成安全联盟的建立。IKE信令通道由转发设备之间转移到转发设备与中心控制器之间，假设转发设备的数目为N，则信令通道的数目也为N，由此解决了相关技术中IKE信令通道为N的平方的问题。此时转发设备I和转发设备2之间的数据传送可以进行安全加密处理。
[0060]在优选实施过程中，上述预设网络协议或者预设管理方式可以包括但不限于以下之一:TELNET、SSH、SNMP、NETCONF、CPE TR069、基于 WEB⑶I 的管理方式、FTP、TFTP, SFTP,系统日志、YANG语言模式、BGP。
[0061]优选地，在步骤S206，中心控制器经由安全通道将参数集合下发至每个转发设备之后，还可以包括以下操作:
[0062]步骤S5:多个转发设备中的第一转发设备接收到待转发至多个转发设备中的一个或多个第二转发设备的数据报文；
[0063]步骤S6:第一转发设备从参数集合中获取封装模式信息和密钥信息，并根据封装模式信息以及密钥信息对待转发的数据报文进行加密封装处理；
[0064]步骤S7:第一转发设备将经过封装处理后的数据报文发送至一个或多个第二转发设备。
[0065]在优选实施例中，当有待转发的数据包需要从转发设备I发送至转发设备2时，转发设备I首先可以查找相应的SA表项并根据表项的内容将报文通过ESP隧道模式和密钥信息(包括:加密密钥和完整性密钥)进行加密封装处理，然后再发送到转发设备2上。
[0066]优选地，在步骤S206，中心控制器经由安全通道将参数集合下发至每个转发设备之后，还可以包括以下步骤:
[0067]步骤S8:—个或多个第二转发设备从参数集合中获取解密信息，并采用解密信息对待转发的数据报文进行解密处理；
[0068]步骤S9:—个或多个第二转发设备将经过解密处理后的数据报文进行转发。
[0069]在优选实施例中，当有待转发的数据包到达转发设备2时，转发设备2可以查找相应的SA表项并根据表项的内容对报文进行解密处理，然后将解密后的报文转发出去。
[0070]优选地，在步骤S206，中心控制器经由安全通道将参数集合下发至每个转发设备之后，还可以包括以下步骤:
[0071]步骤SlO:中心控制器确定安全联盟的生命周期结束；
[0072]步骤Sll:中心控制器重新计算密钥信息并重新创建参数集合，以重新建立安全联盟。
[0073]在优选实施例中，在安全联盟到期时，中心控制器需要重新计算密钥信息(包括:加密密钥和完整性密钥)，并重新为各个转发设备创建安全联盟。
[0074]在优选实施过程中，上述参数集合可以包括但不限于以下至少之一:
[0075]每对转发设备之间的VPN类型；
[0076]中心控制器为每个转发设备配置的SPI ；
[0077]中心控制器为每个转发设备配置的IPSec隧道源IP地址；
[0078]中心控制器为每个转发设备配置的IPSec隧道目的IP地址；
[0079]中心控制器为每个转发设备配置的安全协议；
[0080]中心控制器为每个转发设备配置的封装模式；
[0081]中心控制器为每个转发设备配置的加密算法；
[0082]中心控制器为每个转发设备计算的加密密钥；
[0083]中心控制器为每个转发设备配置的完整性算法；
[0084]中心控制器为每个转发设备计算的完整性密钥；
[0085]中心控制器为每个转发设备配置的抗重放窗口大小；
[0086]中心控制器为每个转发设备配置的安全联盟生命周期类型；
[0087]中心控制器为每个转发设备配置的ESP算法模式；
[0088]中心控制器为每个转发设备配置的加密模式。
[0089]需要说明的是，在上述参数集合中的各项参数中加密密钥与完整性密钥可以由中心控制器自行计算，而其他参数可以由中心控制器为各个转发设备进行配置。
[0090]在优选实施例中，中心控制器可以为每个转发设备配置如下参数:
[0091]转发设备之间的虚拟专用网络(Virtual Private Network,简称为VPN)类型,例如:IPSec、二层虚拟专用网(L2VPN)；
[0092]中心控制器对转发设备的相关配置如下:
[0093](I) SPI ；
[0094](2 ) IPSec 隧道源 IP 地址；
[0095](3 ) IPSec隧道目的IP地址；
[0096](4)安全协议，例如:AH或者ESP ；
[0097](5)封装模式，例如:传输模式或者隧道模式；
[0098](6)加密算法；
[0099](7)加密密钥；
[0100](8)完整性算法；
[0101](9)完整性密钥；
[0102](10)抗重放窗口大小；
[0103](Il)SA生命期类型，例如:时间、字节、字节与时间组合；
[0104](12) ESP算法模式，例如:加密算法或者压缩算法；
[0105](13)加密模式，例如:电子密码本模式(ECB)、密码分组链接模式(CBC)、加密反馈模式(CFB )、输出反馈模式(OFB )、计数(CTR)模式、输出反馈模式的变种F8模式；
[0106]此外，本发明所提供的技术方案还可以设置其他可选参数，可以根据实际情况具体设定，此处不再一一赘述。
[0107]下面将结合图3所示的优选实施方式对上述优选实施过程做进一步的详细描述。
[0108]图3是根据本发明优选实施例的创建IPSec安全联盟的网络拓扑结构示意图。如图3所示，转发设备I和转发设备2需要建立安全联盟，并采用IPSec方式建立安全传输通道。转发设备I与转发设备2分别通过可编程接口和中心控制器相连接，并通过中心控制器下发的参数创建IPSec安全联盟。
[0109]第一步、由中心控制器进行参数配置，其中，具体可以包括:
[0110](I)综合配置:
[0111]配置转发设备I与转发设备2之间的VPN类型为IPSec ；
[0112]配置SNMP客户端。
[0113](2)转发设备配置:
[0114]配置转发设备I的SPI值为1024，转发设备2的SPI值为2048 ；
[0115]配置转发设备I的IPSec隧道源IP地址为202.1.1.1，IPSec隧道目的IP地址为202.1.2.1 ；
[0116]配置转发设备2的IPSec隧道源IP地址为202.1.2.1，IPSec隧道目的IP地址为202.1.1.1 ；
[0117]配置转发设备I和转发设备2之间的安全协议为ESP ；
[0118]配置转发设备I和转发设备2之间的IPSec封装模式为隧道模式；
[0119]配置转发设备I和转发设备2之间的加密算法为DEs ；
[0120]配置转发设备I和转发设备2之间的加密密钥为X (56位二进制数)；
[0121]配置转发设备I和转发设备2的抗重放窗口大小均为64 ；
[0122]配置转发设备I和转发设备2的SA生命期类型为2400秒；
[0123]配置转发设备I和转发设备2的ESP算法模式为加密算法；
[0124]配置转发设备I和转发设备2的加密模式为ECB。
[0125](3)转发设备I上的参数配置:
[0126]配置转发设备I与中心控制器的接口为FEI_1/1，并进行IPSec VPN及IKE的配置；
[0127]开放FEI_1/1 的 SNMP 功能。
[0128](4)转发设备2上的参数配置:
[0129]配置转发设备2与中心控制器的接口为FEI_l/2，并进行IPSec VPN及IKE的配置；
[0130]开放FEI_l/2 的 SNMP 功能。
[0131]第二步、中心控制器与转发设备I的FEI_1/1接口通过IKE协商密钥并创建IPSec安全通道。
[0132]第三步、中心控制器与转发设备2的FEI_l/2接口通过IKE协商密钥并创建IPSec安全通道。
[0133]第四步、中心控制器通过管理信息库(MIB)软件，经由第二步创建的IPSec安全通道，安全地连接到转发设备I上。
[0134]第五步、中心控制器通过MIB软件，经由第二步创建的IPSec安全通道，将中心控制器上关于转发设备I的配置信息安全地写入转发设备I的IPSec SA表中。
[0135]第六步、中心控制器通过MIB软件，经由第三步创建的IPSec安全通道，安全地连接到转发设备2上。
[0136]第七步、中心控制器通过MIB软件，经由第三步创建的IPSec安全通道，将中心控制器上关于转发设备2的配置信息安全地写入转发设备2的IPSec SA表中。
[0137]第八步、当有待转发的数据包需要从转发设备I发送至转发设备2时，转发设备I首先可以查找相应的SA表项并根据表项的内容将报文通过ESP隧道模式进行加密封装，然后发送到转发设备2上。
[0138]第九步、当有待转发的数据包到达转发设备2时，转发设备2可以查找相应的SA表项并根据表项的内容将报文进行解密处理，然后转发出去。
[0139]第十步、当2400秒过后，SA的生命期结束时，中心控制器将会重新计算密钥并下发新的SA到转发设备I和转发设备2。
[0140]综上所述，转发设备I与转发设备2通过中心控制器创建了 IPSec SA并对该IPSecSA进行管理。
[0141]图4是根据本发明实施例的配置信息的下发系统的结构框图。如图4所示，该配置信息的下发系统可以包括:中心控制器10 ;中心控制器10可以包括:配置模块100，用于分别为多个转发设备中的每个转发设备配置参数集合，其中，参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；创建模块102，用于分别与每个转发设备进行协商并创建安全通道；下发模块104，用于经由IPSec安全通道将参数集合下发至每个转发设备。
[0142]采用如图4所示的系统，解决了相关技术中在多个转发设备之间建立安全联盟的方式繁琐复杂且安全性较低的问题，进而降低了在多个转发设备之间建立安全联盟的复杂度，提高了数据传输的安全性。
[0143]优选地，创建模块102，用于分别与每个转发设备进行协商并创建IPSec安全通道。
[0144]优选地，创建模块102可以包括:协商单元(图中未示出)，用于经由预设可编程接口与每个转发设备进行IKE协商；创建单元(图中未示出)，用于在协商单元输出为是时，创建与每个转发设备之间的IPSec安全通道。
[0145]优选地，下发模块104可以包括:连接单元(图中未示出)，用于经由IPSec安全通道与每个转发设备进行安全连接；下发单元(图中未示出)，用于通过预设网络协议或者预设管理方式将参数集合下发至每个转发设备。
[0146]在优选实施过程中，上述预设网络协议或者预设管理方式可以包括但不限于以下之一:TELNET、SSH、SNMP、NETCONF、CPE TR069、基于 WEB⑶I 的管理方式、FTP、TFTP, SFTP,系统日志、YANG语言模式、BGP。
[0147]优选地，如图5所示，上述系统还可以包括:多个转发设备中的第一转发设备20 ；第一转发设备20可以包括:接收模块200，用于接收到待转发至多个转发设备中的一个或多个第二转发设备的数据报文；封装模块202，用于从参数集合中获取封装模式信息和密钥信息，并根据封装模式信息以及密钥信息对待转发的数据报文进行加密封装处理；发送模块204，用于将经过封装处理后的数据报文发送至一个或多个第二转发设备。
[0148]优选地，如图5所示，上述系统还可以包括:一个或多个第二转发设备30 ;—个或多个第二转发设备30可以包括:解密模块300，用于从参数集合中获取解密信息，并采用解密信息对待转发的数据报文进行解密处理；转发模块302，用于将经过解密处理后的数据报文进行转发。
[0149]优选地，如图5所示，中心控制器还可以包括:确定模块106，用于确定安全联盟的生命周期结束；创建模块108，还用于重新计算密钥信息并重新创建参数集合，以重新建立安全联盟。
[0150]在优选实施过程中，上述参数集合可以包括但不限于以下至少之一:
[0151]每对转发设备之间的VPN类型；
[0152]中心控制器为每个转发设备配置的SPI ；
[0153]中心控制器为每个转发设备配置的IPSec隧道源IP地址；
[0154]中心控制器为每个转发设备配置的IPSec隧道目的IP地址；
[0155]中心控制器为每个转发设备配置的安全协议；
[0156]中心控制器为每个转发设备配置的封装模式；
[0157]中心控制器为每个转发设备配置的加密算法；
[0158]中心控制器为每个转发设备计算的加密密钥；
[0159]中心控制器为每个转发设备配置的完整性算法；
[0160]中心控制器为每个转发设备计算的完整性密钥；
[0161]中心控制器为每个转发设备配置的抗重放窗口大小；
[0162]中心控制器为每个转发设备配置的安全联盟生命周期类型；
[0163]中心控制器为每个转发设备配置的ESP算法模式；
[0164]中心控制器为每个转发设备配置的加密模式。
[0165]图6是根据本发明实施例的配置信息的下发装置的结构框图。如图6所示，该配置信息的下发装置可以包括:配置模块600，用于分别为多个转发设备中的每个转发设备配置参数集合，其中，参数集合用于在多个转发设备中的每对转发设备之间建立安全联盟；创建模块602，用于分别与每个转发设备进行协商并创建安全通道；下发模块604，用于经由IPSec安全通道将参数集合下发至每个转发设备。
[0166]从以上的描述中，可以看出，上述实施例实现了如下技术效果(需要说明的是这些效果是某些优选实施例可以达到的效果):本发明提供了一种创建IPSec SA的技术方案，尤其是针对基于网络虚拟化架构下的创建IPSec SA的技术方案。由此，不仅解决了相关技术中当路由器的数目较为庞大时，其配置工作较为繁琐、复杂的问题，而且简化了转发设备之间需要建立繁多的IKE信令报文的交互过程，减少了带宽占用；此外，还可以解决转发设备和中心控制器之间传输高级别参数的安全性问题，同时约定了在网络虚拟化框架下，中心控制器对转发设备IPSec配置参数。
[0167]显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
[0168]以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种配置信息的下发方法，其特征在于，包括: 中心控制器分别为多个转发设备中的每个转发设备配置参数集合，其中，所述参数集合用于在所述多个转发设备中的每对转发设备之间建立安全联盟； 所述中心控制器分别与所述每个转发设备进行协商并创建安全通道； 所述中心控制器经由所述安全通道将所述参数集合下发至所述每个转发设备。
2.根据权利要求1所述的方法，其特征在于，所述中心控制器分别与所述每个转发设备进行协商并创建互联网协议安全性IPSec安全通道。
3.根据权利要求2所述的方法，其特征在于，所述中心控制器与所述每个转发设备进行协商并创建所述安全通道包括: 所述中心控制器经由预设可编程接口与所述每个转发设备进行因特网密钥交换IKE协商； 如果协商一致，所述中心控制器创建与所述每个转发设备之间的所述IPSec安全通道。
4.根据权利要求2所述的方法，其特征在于，所述中心控制器经由所述IPSec安全通道将所述参数集合下发至所述每个转发设备包括: 所述中心控制器经由所述IPSec安全通道与所述每个转发设备进行安全连接； 所述中心控制器通过预设网络协议或者预设管理方式将所述参数集合下发至所述每个转发设备。
5.根据权利要求4所述的方法，其特征在于，所述预设网络协议或者所述预设管理方式包括以下之一: 电信网络协议TELNET ； 安全外壳协议SSH ； 简单网络管理协议SNMP ； 网络配置管理协议NETCONF ； 用户端CPE广域网管理协议TR069 ； 基于网站公开源码系统WEB⑶I的管理方式； 文件传输协议FTP ； 简单文件传输协议TFTP ； 安全文件传输协议SFTP ； 系统日志； YANG语言模式； 边界网关协议BGP。
6.根据权利要求1所述的方法，其特征在于，在所述中心控制器经由所述安全通道将所述参数集合下发至所述每个转发设备之后，还包括: 所述多个转发设备中的第一转发设备接收到待转发至所述多个转发设备中的一个或多个第二转发设备的数据报文； 所述第一转发设备从所述参数集合中获取封装模式信息和密钥信息，并根据所述封装模式信息以及所述密钥信息对所述待转发的数据报文进行加密封装处理； 所述第一转发设备将经过所述封装处理后的数据报文发送至所述一个或多个第二转发设备。
7.根据权利要求6所述的方法，其特征在于，在所述中心控制器经由所述安全通道将所述参数集合下发至所述每个转发设备之后，还包括: 所述一个或多个第二转发设备从所述参数集合中获取解密信息，并采用所述解密信息对所述待转发的数据报文进行解密处理； 所述一个或多个第二转发设备将经过所述解密处理后的数据报文进行转发。
8.根据权利要求1所述的方法，其特征在于，在所述中心控制器经由所述安全通道将所述参数集合下发至所述每个转发设备之后，还包括: 所述中心控制器确定所述安全联盟的生命周期结束； 所述中心控制器重新计算密钥信息并重新创建所述参数集合，以重新建立安全联盟。
9.根据权利要求1至8中任一项所述的方法，其特征在于，所述参数集合包括以下至少之一: 每对转发设备之间的虚拟专用网络VPN类型； 所述中心控制器为所述每个转发设备配置的安全参数索引SPI ； 所述中心控制器为所述每个转发设备配置的IPSec隧道源互联网协议IP地址； 所述中心控制器为所述每个转发设备配置的IPSec隧道目的IP地址； 所述中心控制器为所述每个转发设备配置的安全协议； 所述中心控制器为所述每个转发设备配置的封装模式； 所述中心控制器为所述每个转发设备配置的加密算法； 所述中心控制器为所述每个转发设备计算的加密密钥； 所述中心控制器为所述每个转发设备配置的完整性算法； 所述中心控制器为所述每个转发设备计算的完整性密钥； 所述中心控制器为所述每个转发设备配置的抗重放窗口大小； 所述中心控制器为所述每个转发设备配置的安全联盟生命周期类型； 所述中心控制器为所述每个转发设备配置的封装安全载荷ESP算法模式； 所述中心控制器为所述每个转发设备配置的加密模式。
10.一种配置信息的下发系统，其特征在于，包括:中心控制器； 所述中心控制器包括: 配置模块，用于分别为多个转发设备中的每个转发设备配置参数集合，其中，所述参数集合用于在所述多个转发设备中的每对转发设备之间建立安全联盟； 创建模块，用于分别与所述每个转发设备进行协商并创建安全通道； 下发模块，用于经由所述IPSec安全通道将所述参数集合下发至所述每个转发设备。
11.根据权利要求10所述的系统，其特征在于，所述创建模块，用于分别与所述每个转发设备进行协商并创建互联网协议安全性IPSec安全通道。
12.根据权利要求11所述的系统，其特征在于，所述创建模块包括: 协商单元，用于经由预设可编程接口与所述每个转发设备进行因特网密钥交换IKE协商； 创建单元，用于在所述协商单元输出为是时，创建与所述每个转发设备之间的所述IPSec安全通道。
13.根据权利要求11所述的系统，其特征在于，所述下发模块包括: 连接单元，用于经由所述IPSec安全通道与所述每个转发设备进行安全连接； 下发单元，用于通过预设网络协议或者预设管理方式将所述参数集合下发至所述每个转发设备。
14.根据权利要求13所述的系统，其特征在于，所述预设网络协议或者所述预设管理方式包括以下之一: 电信网络协议TELNET ； 安全外壳协议SSH ； 简单网络管理协议SNMP ； 网络配置管理协议NETCONF ； 用户端CPE广域网管理协议TR069 ； 基于网站公开源码系统WEB⑶I的管理方式； 文件传输协议FTP ； 简单文件传输协议TFTP ； 安全文件传输协议SFTP ； 系统日志； YANG语言模式； 边界网关协议BGP。
15.根据权利要求10所述的系统，其特征在于，所述系统还包括:所述多个转发设备中的第一转发设备； 所述第一转发设备包括: 接收模块，用于接收到待转发至所述多个转发设备中的一个或多个第二转发设备的数据报文； 封装模块，用于从所述参数集合中获取封装模式信息和密钥信息，并根据所述封装模式信息以及所述密钥信息对所述待转发的数据报文进行加密封装处理； 发送模块，用于将经过所述封装处理后的数据报文发送至所述一个或多个第二转发设备。
16.根据权利要求15所述的系统，其特征在于，所述系统还包括:所述一个或多个第二转发设备； 所述一个或多个第二转发设备包括: 解密模块，用于从所述参数集合中获取解密信息，并采用所述解密信息对所述待转发的数据报文进行解密处理； 转发模块，用于将经过所述解密处理后的数据报文进行转发。
17.根据权利要求10所述的系统，其特征在于，所述中心控制器还包括: 确定模块，用于确定所述安全联盟的生命周期结束； 所述创建模块，还用于重新计算密钥信息并重新创建所述参数集合，以重新建立安全联盟。
18.根据权利要求10至17中任一项所述的系统，其特征在于，所述参数集合包括以下至少之一: 每对转发设备之间的虚拟专用网络VPN类型； 所述中心控制器为所述每个转发设备配置的安全参数索引SPI ； 所述中心控制器为所述每个转发设备配置的IPSec隧道源互联网协议IP地址； 所述中心控制器为所述每个转发设备配置的IPSec隧道目的IP地址； 所述中心控制器为所述每个转发设备配置的安全协议； 所述中心控制器为所述每个转发设备配置的封装模式； 所述中心控制器为所述每个转发设备配置的加密算法； 所述中心控制器为所述每个转发设备计算的加密密钥； 所述中心控制器为所述每个转发设备配置的完整性算法； 所述中心控制器为所述每个转发设备计算的完整性密钥； 所述中心控制器为所述每个转发设备配置的抗重放窗口大小； 所述中心控制器为所述每个转发设备配置的安全联盟生命周期类型； 所述中心控制器为所述每个转发设备配置的封装安全载荷ESP算法模式； 所述中心控制器为所述每个转发设备配置的加密模式。
19.一种配置信息的下发装置，其特征在于，包括: 配置模块，用于分别为多个转发设备中的每个转发设备配置参数集合，其中，所述参数集合用于在所述多个转发设备中的每对转发设备之间建立安全联盟； 创建模块，用于分别与所述每个转发设备进行协商并创建安全通道； 下发模块，用于经由所述IPSec安全通道将所述参数集合下发至所述每个转发设备。
【文档编号】H04L29/06GK104283701SQ201310277643
【公开日】2015年1月14日 申请日期:2013年7月3日 优先权日:2013年7月3日
【发明者】孟伟, 宗在峰 申请人:中兴通讯股份有限公司