发明名称 | 基于PKI的VPN密钥交换的实现方法 | ||
摘要 | 本发明提出基于PKI的VPN密钥交换的实现方法。该方法是针对IKE的不足,提出利用PKI(Public Key Infrastructure)即公共密钥基础设施基础平台来实现IKE密钥交换中设备的身份认证。以PKI为基础的数字签名提供了认证和完整性,以PKI为基础的加密术提供了机密性。PKI能支持控制访问敏感信息的权限的努力和提供交易信息的认证证据,或记录其发起者,PKI能对VPN通信的安全提供一种可靠的技术和法律基础。 | ||
申请公布号 | CN1350382A | 申请公布日期 | 2002.05.22 |
申请号 | CN01132348.5 | 申请日期 | 2001.11.29 |
申请人 | 东南大学 | 发明人 | 胡爱群;曹秀英;吴越;疏朝明;卜勇华;宋宇波;王兴建 |
分类号 | H04L9/14;H04L9/32 | 主分类号 | H04L9/14 |
代理机构 | 上海市华诚律师事务所 | 代理人 | 徐申民 |
主权项 | 1、一种基于PKI的VPN密钥交换的实现方法,其特征在于,所述实现方法利用PKI基础设施平台来实现IKE密钥交换中设备的身份认证,其具体步骤如下:a.第一阶段,主模式数字签名认证方式,在发送者和接收者之间共有6条消息交互,包括,①消息1和消息2用来协商安全关联的特性,所述消息1和消息2以明文方式传输,且没有身份认证,所述消息1中,发起者有提出好几条建议,每条建议给出一个协议,且每个协议中可以定义几种转换,消息2中响应者只能选择一条建议;②消息3和消息4交换nonce,同时用响应方的Diffie-Hellman交换建立一个主密钥:③消息5和消息6交换通信双方互相认证所需的信息,其中包含了证书和发送者的数字签名;④消息5和消息6的内容由所述消息1到消息4建立的密码算法和密钥来保护,其中身份IDI和IDR可以是预先唯一确定的用户或主机名;b.第二阶段,快速模式,包括,①消息1的IPSec安全关联(SA)荷载中包含一组建议,消息2只能选择一条建议,密钥交换荷载在系统要求完美前向保密时才存在,且散列(Hash)荷载必须紧接在ISAKMP报头之后;②消息3将散列(Hash)结果传送给接收者。 | ||
地址 | 210096江苏省南京市四牌楼2号 |