[发明专利]一种预共享密钥获取、分配方法及装置

说明书

本申请提供一种预共享密钥的获取、分配方法及装置，所述方法包括：接收终端设备发送的用来建立互联网安全隧道的协商报文；判断所述协商报文中是否包括所述终端设备的用户信息；如果所述协商报文中包括所述终端设备的用户信息，则将所述用户信息发送给服务器，以便于所述服务器在确定自身保存有所述用户信息时，随机生成预共享密钥，并将所述预共享密钥发送至网络设备和所述终端设备；接收所述服务器发送的与所述用户信息对应的预共享密钥；使用所述预共享密钥与所述终端设备进行后续报文协商。采用本申请实施例，可以使用预共享密钥进行协商，防止攻击者破解预共享密钥，冒充真实用户访问公司内网盗取数据，提高了IKE协商的安全性。

技术领域

本申请涉及信息安全技术领域，特别涉及一种预共享密钥获取、分配方法及装置。

背景技术

随着安全通信技术的发展，目前，几乎所有的IP安全(IPsec，IP Security)隧道都是由互联网密钥交换(IKE，Internet Key Exchange)进行协商的。其应用最广泛的场景是用户使用IKE与公司内网的网关协商建立IPsec隧道，加密访问公司内网数据。

其中，IKE的协商过程分为两个独立的协商阶段，第一阶段是具有身份保护并能协商大量属性的主模式协商阶段；第二阶段是快速模式协商阶段。

在第一阶段，通信双方之间建立一个已通过身份验证和安全保护的通道，即建立IKE安全联盟(SA，Security Association)，第二阶段在IKE SA的保护下为另一个不同的协议(比如IPSec)协商安全服务，它的安全性建立在第一阶段的安全性之上。

IKE协议的交换机制在DH(Diffie-Hellman)密钥交换算法的基础上，由于DH交换容易受到“黑客或中间人”的攻击，为了防止黑客或中间人的攻击，必须对通信双方的身份进行认证，其认证方式主要通过预共享密钥方式。也就是说，通信双方通过带外机制预先配置预共享密钥，基于该共享密钥进行双方的身份认证，以及利用预共享密钥计算后续加密密钥。但是，这种预共享密钥方式是可以被破解的，由于IKE协商的前4条报文都是明文传送，除了预共享密钥(pre-shared-key)是未知的，其他的密钥材料、加密算法都可以被截获。加上协议规定某些协商报文的字段是固定的，黑客或中间人只需使用简单的暴力破解手段，将加密的报文进行破解，即可获取到pre-shared-key，那么加密报文的内容也相应被解开。也即是说，用户使用的预共享密钥被破解后，黑客或中间人便可冒充真实用户访问公司的内网数据。

由此可知，由于预共享密钥容易被破解，无法提供安全的IKE协商，如何保证安全的IKE协商是目前有待解决的技术问题。

发明内容

有鉴于此，本申请提供一种预共享密钥获取、分配方法及装置，以解决由于现有技术中预共享密钥容易被破解，导致IKE协商的安全性降低的问题。

具体地，本申请是通过如下技术方案实现的：

根据本申请实施例的第一方面，提供一种预共享密钥的获取方法，所述方法应用于网络设备；所述方法包括：

接收终端设备发送的用来建立互联网安全隧道的协商报文；

判断所述协商报文中是否包括所述终端设备的用户信息；

如果所述协商报文中包括所述终端设备的用户信息，则将所述用户信息发送给服务器，以便于所述服务器在确定自身保存有所述用户信息时，随机生成预共享密钥，并将所述预共享密钥发送至所述网络设备和所述终端设备；

接收所述服务器发送的与所述用户信息对应的预共享密钥；

使用所述预共享密钥与所述终端设备进行后续报文协商。

根据本申请实施例的第二方面，提供一种预共享密钥的分配方法，所述方法应用于服务器；所述方法包括：