CN112714097B 一种安全通信方法、装置及系统 （华为技术有限公司）

US2012008778A1,2012.0设备根据第一流量与第一加密策略组的映射关2第一网络设备接收第一报文和第二报文，其中，所述第一所述第一网络设备根据所述第一流量与第一加密策略组的映所述第一网络设备向第二网络设备发送所述第三报文和所述所述第一网络设备获取第二网络设备的多个第二公钥；所述第一网络设备获取所述多个第二公钥中每个第二公钥所述第一网络设备根据所述多个第二公钥，以及所述多个第二公钥中每所述第一网络设备按照以下方式中的一种方式确定接收到的所述第一流量中的每个方式一、所述第一网络设备按照所述第一加密策略组中一加密策略组中逐序选择一个加密策略，对接收到的所述第一流量中的每个报文进行加方式二、当接收到所述第一流量中的一个报文，所述方式三、所述第一网络设备基于所述第一加密策略对所述第一流量中的N个报文进行3.根据权利要求1或2所述的方法，其特与第一加密策略组的映射关系，基于第一加密策略对所述第一报文进行加密得到第三报所述第一网络设备确定所述第一报文所对应的第一加密优先级，并所述第一网络设备确定所述第二报文所对应的第二加密优先级，并5.根据权利要求1或2所述的方法，其特征所述第一网络设备通过第一路径向所述第二网络设备发送所述第36.根据权利要求1或2所述的方法，其特征在于，所述第一网络设备通过第三网络设备获取所述第二网络设备的多个第二公钥。7.根据权利要求1或2所述的方法，其特征在于所述第一网络设备通过第三网络设备获取所述每个第二公钥关8.根据权利要求1或2所述的方法，其特征在于，所述第一网络设备获取至少一个第一公钥组，以及所述至少一9.根据权利要求1或2所述的方法，其特征在于，所述所述第一网络设备确定与第一策略信息关联的n1个公私钥对；所述第一策略信息包所述第一网络设备确定所述多个第二公钥中与所述第一策略信息关联的n2个公钥；所述第一网络设备根据所述n1个公私钥对，所述n2个公钥以所述第一网络设备接收第二流量，所述第二流量包括第五报文和第六报所述第一网络设备根据所述第二流量与所述第一加密策略组的所述第一网络设备向所述第二网络设备发送加密后的所述第五报文和加密后的所述与所述存储器通信的处理器，所述处理器执行通过所述通信接口和所述处理器，第一网络设备执行权利要求1-10任一项所述的方4述第一网络设备用于执行权利要求1-10任一14.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被通信装置执行时，实现如权利要求1至10任一项所述的方5[0001]本申请要求于2019年10月25日提交国家知识产权局、申请号为201911024404.3、属于第一流量的第一报文和第二报文。第一流量包括的所有报文匹配第一流量区分规则。6可以理解为第一流量区分规则与第一加密策略组的映射关系，也可以理解为第一流量(或络设备按照第一加密策略组中每个加密策略的顺序从第一加密策略组中逐序选择一个加网络设备基于第一加密策略对第一流量中的N个报文进行加密，以及基于第二加密策略对7密算法信息例如可以在报文相应字段里采用比特映射的方式来指示相应的密钥交换方法一网络设备通过第三网络设备获取多个第二公钥。所述第三网络设备例如可以是控制器，8多个第二公钥中与第一策略信息关联的n2个公钥；第一网络设备根据自身的n1个公私钥9行上述第一方面以及第一方面任意一种可选地设计中行上述第二方面以及第二方面任意一种可选地设计中四报文对应的加密策略对第四报文进行解密得述指令在计算机上运行时，使得所述计算机执行上述第十二方面或第十三方面所述的方[0067]图11为本申请实施例提供的一种基于算法强度对流量和加密策略进行分类与关[0076]本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施以基于访问控制列表(accesscontrollist，ACL),虚拟专用网络(virtualprivate[0079]作为一种具体实现：匹配同一个ACL的所有报文属于同一个流量，或者匹配指定属于同一个VPN，并且使用同一个出接口发送。具体来说，如果报文1和报文2归属同一个加密策略组1和加密策略组2之间的交集包括所述加密策略1和所述用于指定对报文进行加密所使用的加密算法和会话密钥。会话密钥，英文称之为Session(Diffie–Hellman)密钥交换算法，或ECDH(Elliptic-curveDiffie–Hellman)密钥交换算[0095]图1所示的通信系统可以适用于软件定义广域网(software-definewidearea[0106]在通信方法100中，由于节点设备之间的同一个流量内所有报文使用一个加密策络设备1和网络设备2可以分别是PE设备。当应用方法300的网络架构为图1所示的网络100[0113]作为一种具体实现，流量1中除报文1和报文2以外的任一个报文使用的加密策略[0114]步骤303、网络设备1向网络设备2发送基于加密策略1加密的报文1以及基于加密策略2加密的报文2，以使得网络设备2接收来自网络设备1加密后的报文1和加密后的报文[0117]作为一种具体的实现，本申请实施例中加密后的报文中可以携带加密策略的标[0120]流量2中包括的所有报文具有相同的流量区分规则。流量1和流量2的流量区分规网络设备1基于加密策略组1中包括的多个加密策略中的至少一个加密策略对接收到的流[0126]需要说明的是，图4示出的步骤401-步骤403中任一个步骤和图3描述的步骤301-和流量2)可以使用同一个加密策略组中的[0130]示例性的，网络设备1或网络设备2中配置有加密策略组1中每个加密策略对应的组1。下面结合图5以网络设备1生成加密策略为例具体描述本申请实施例提供的一种协商[0132]步骤501、网络设备1获取网络设备2的公钥列表2以及公钥列表2中每个公钥关联[0134]关于网络设备1获取公钥列表2以及公钥列表2中每个公钥关联的策略信息的实现[0137]需要说明的是，本申请实施例中网络设备1和网络设备2密策略关联的标识中包括网络设备1分配的参数和网络设备公钥对应的私钥。KeyPair对应3种策略信息：KeyPair1的策略信息和KeyPair2的策略信息完全相同。息完全不同。例如，KeyPair6关联的策略信KeyPair6关联的策略信息与KeyPair2关联的策略信表1中每个KeyPair关联的策略信息，以及KeyPair列表2中每个KeyPair关联的策略信略信息包括策略信息1～策略信息3。其中，策略信息1为(KeyExchangeMethod1，EncryptionAlgorithm1，AuthenticationAlgorithm1)。策略信息2为(KeyExchangeMethod1，EncryptionAlgorithm2，AuthenticationAlgorithm2)。策略信息3为(Key备1在生成KeyPair列表1时，可以从策略信息1～策略信息3中为KeyPair列表1中的每个略信息3中为KeyPair列表2中的每个KeyPair选择一[0158]举例说明，以网络设备1或网络设备2支持的多个密钥交换方法为KeyExchangeMethod1和KeyExchangeMethod2，网络设备1或网络设备2支持的多个加密算法为Method2、EncryptionAlgorithm1，和EncryptionAlgorithm2以及Authentication[0162]示例性的，网络设备1或网络设备2对KeyExchangeMethod1，KeyExchangeMethod2、AuthenticationAlgorithm1，AuthenticationAlgorithm2、EncryptionEncryptionAlgorithm2EncryptionAlgorithm2[0165]示例性的，网络设备1或网络设备2对KeyExchangeMethod1，KeyExchangeMethod2、AuthenticationAlgorithm1，AuthenticationAlgorithm2、Encryption[0169]网络设备1中配置有多个密钥交换方法，以及每个密钥交换方法配置可以使用的加密算法。这样网络设备1便可以根据多个密钥交换方法、以及加密算法进而生成策略信[0170]作为一种具体的实现方式，可以由控制器3为网络设备1[0171]举例说明，以网络设备1中配置有KeyExchangeMethod1，KeyExchangeMethod2，KeyExchangeMethod3。其中，KeyExchangeMethod1的加密算法为加密算法EncryptionAlgorithm1、EncryptionAlgorithm2、EncryptionAlgorithm3。KeyExchangeMethod2配置的加密算法为EncryptionAlgorithm2、EncryptionAlgorithm[0172]综上网络设备1可以生成策略信息1(KeyExchangeMethod1、EncryptionEncryptionAlgorithm2)，策略信息5(KeyExchangeMethod2、EncryptionAlgorithm[0179]图7以网络设备1获取网络设备2的公钥列表为例，描述一种该方法可以位于步骤501之后，该方法700对应上述步骤501中获取网络设备2的公钥列表2以网络设备1为例，通过方式2-1或方式2-2或方式2-3中的任一个描述了网络设备1获取公个可以对应上述步骤502中网络设备1获取网络设备2的多个公钥中每个公钥关联的策略信[0189]其中，Key_Exch是KeyExchange，表示密钥交换方法。Encr_Alg是Encryption[0191]也即网络设备1或网络设备2可以将具有相同策略信息的多个公钥划分至同一个证网络设备2知晓网络设备1的各个公钥关联[0203]本申请实施例对网络设备1或网络设备2将公钥、公钥对应的策略信息以及Key骤502可以通过如图8所示的方法或如图9所示的络设备1根据解析KeyPair列表2中每个公钥的顺序确定KeyPair列表2中携带了每个公钥备1根据KeyPair列表1中每个公[0207]步骤802、如果KeyPair列表1中的第y个KeyPair关联的策略信息与KeyPair列[0208]步骤803、如果KeyPair列表1中的第y个KeyPair关联的策略信息与KeyPair列KeyPair关联的策略信息与KeyPair列表2中第y+1个KeyPair[0209]举例说明，网络设备1的KeyPair列表1和网络设备2的KeyPair列表2如下表8所[0212]举例说明，网络设备1按公钥在所属的KeyPair列表中的顺序分别从KeyPair列表1和KeyPair列表2中选择一个KeyPair。网络设备1比较从KeyPair列表1中选择的KeyPair关联的策略信息和从KeyPair列表2中选择的KeyPair关联的策略信息是否相同。如果网络设备1从KeyPair列表1中选择的KeyPair关联的策略信息和从KeyPair列表2中选息和KeyPair列表2中第1个KeyPair(例如，KeyPair6)关联的策略信息。参考表8可知，和KeyPair6可以配对成功。因此网络设备1可以基于KeyPair1和KeyPair6计算会话密策略信息和KeyPair列表2中第2个KeyPair(例如，KeyPair7)关联的策略信息。Key因此，网络设备1确定KeyPair4和KeyPair9配对失败。网络设备1放弃使用KeyPair4和关联的策略信息和KeyPair列表2中第5个KeyPair(例如，KeyPair10)关联的策略信息。基于KeyPair5和KeyPai[0223]图9示以网络设备1为例对本申请实施例提供的一种生成加密策略的方法900进行网络设备1先根据策略信息筛选，将具有相同策略信息的KeyPair列表1中的KeyPair和[0232]以第一策略信息为策略信息2(Key_Exch_1,Encr_Alg_2,Auth_Alg_2)为例，KeyPair3和KeyPair8均使用了该策略信息2，则网络设备1将KeyPair3和KeyPair8进行组Pair5、KeyPair9、KeyPair10均使用了该策略信息4，则网络设备1将KeyPair5与Key与KeyPair列表2中的KeyPairB均和策略信息X关联。网络设备1可以根据KeyPairA和设备1可以根据KeyPairA和KeyPairB生成加密策略，以及根据KeyPairA和KeyPair[0254]步骤1101、网络设备1根据算法的强度确定多个加密策略中每个加密策略的优先[0255]例如，网络设备1可以通过指定策略或算法的优先级来使生成的加密策略产生对[0256]例如，区分加密策略优先级：将算法根据强度的高中低分别表示为“红色(red)”不做限定。设备1自主配置流量1内每个报文在加密策略组1[0263]下述示例2-1描述了本申请实施例提供的一种为报文选择加密策略的方法，该示例2-1对应上述网络设备1根据第一规则确定流量1内每个报文在加密策略组1内使用的加网络设备2之间的待发送的流量1包括的报文序列包括报文11～报文16为例，如下表11所用。[0267]下述示例2-2描述了本申请实施例提供的一种为报文选择加密策略的方法，该示例2-2对应上述网络设备1根据第一规则确定流量1或流量2内每个报文在加密策略组1内使算法从多个加密策略中为每个报文随机选择一种加密策略。也即网络设备1随机使用这些[0268]对于流量1内每个报文，网络设备1采用使用随机算法在加密策略组1中随机选择[0270]下述示例2-3描述了本申请实施例提供的一种为报文选择加密策略的方法，该示例2-3对应上述网络设备1根据第一规则确定流量1内每个报文在加密策略组1内使用的加[0272]下述示例2-4描述了本申请实施例提供的一种网络设备为报文选择加密策略的方[0273]举例说明，网络设备1使用随机算法从加密策略1～加密策略3中随机选择加密策[0274]可以理解的是，如果网络设备1使用随机算法从流量1关联的加密策略1～加密策+1)至第(2N+1)个报文加密。这样可以避免采用随机算法时为不同报文选择的加密策略相[0275]下述示例2-5描述了本申请实施例提供的一种网络设备为报文选择加密策略的方[0277]下述示例2-6描述了本申请实施例提供的一种网络设备为报文选择加密策略的方机个数的报文使用网络设备1从加密策略组1中随机[0278]也即网络设备1每次随机地加密策略组1中选择一个待加密策略对流量1内随机个[0279]举例说明，网络设备1使用随机算法从加密策略1～加密策略3中随机选择出一个要使用的加密策略2，网络设备1确定报文1～报文m中随机个数的报文使用加密策略2。之[0280]下述示例2-7描述了本申请实施例提供的一种网络设备为报文选择加密策略的方[0283]如果流量1内的报文1对应的加密优先级标识1指示加密报文1的加密策略的加密高，接口2转发的报文关联的加密优先级次高，接口3转发的报文关联的加密优先级最低。与该加密优先级2对应的即加密策略2对流量1内经过接口2转发的报文进行加密。以此类[0288]下述示例2-8描述了本申请实施例提供的一种网络设备为报文选择加密策略的方路径对应两个或两个以上的加密策略的情况下，网络设备1可以随机或者根据加密策略的顺序从该路径对应两个或两个以上的加密策略中选择一个加密策略加密通过该路径传输2内的不同流量各自根据上述示例2-1～示例2-8描述的方法中的某种方法来使用多个加密法可以相同也可以不同。2)、网络设备1将流量1和流量2内的所有待发送报文当作一个整[0304]这样第二网络设备便可以基于第一加密策略标识确定解以及基于所述第二加密策略对所述第一流量中除所述N个报文以外的P个报文加密，所述N组中的顺序位于第二加密策略之前时，方式三的具体实现可以参考示例2-3，此处不再赘具体的第一网络设备创建所述第一加密策略组的实现方式具体参考私钥对关联的策略信息和所述多个第二公钥中第Y个第二公钥关联的策略信息相同，所述第一网络设备根据所述第Y个第一公私钥对和所述第Y个第二公钥生成加密策略，Y为大于一网络设备向所述第二网络设备发送加密后的所述第五报文和加密后分规则和第二流量区分规则，例如可以对应前述各方法实例中所描述的流量区分规则1和[0339]下面结合图13，对本申请实施例所提供的一种网络设备700进行介绍。网络设备收发单元701可以接收第一报文和第二报文，其中，所述第一报文和第二报文属于第一流略为不同的加密策略。收发单元701还用于向第二网络设备发送所述第三报文和所述第四[0340]例如，当网络设备700作为第一网络设备执行图12所示的方法1200时，收发单元701可以接收第三报文和第四报文。处理单元702可以用于对第三报文加密得到第一报文。1或网络设备2所执行的操作。网络设备800还可以是本申请所述的第一网络设备或第二网800包括通信接口801以及与通信接口相连的处理器802。通信接口801用于执行收发操作，述第二加密策略为不同的加密策略。通信接口801还用于向第二网络设备发送所述第三报[0342]例如，当网络设备800作为第一网络设备执行图12所示的方法1200时，