[发明专利]一种FC网络中的安全网关实现方法

权利要求书

1.一种FC网络中的安全网关实现方法，其特征在于，当节点A的服务S1需要向节点B服务Q2进行通信时，所述方法包括:

步骤一：服务S1调用节点A内的安全网关接口向节点B内安全网关发送认证请求；

步骤二：节点A与节点B的安全网关进行身份认证，并根据身份信息协商出通信相关的安全策略，节点A和节点B的安全网关均保存安全策略；

步骤三：在双方完成身份认证，并协商出通信相关安全策略的情况下，S1发送原始IP包到节点A的安全网关；

步骤四：节点A的安全网关根据保存的安全策略对原始IP包完成ipsec封装，成为安全数据包；

步骤五：节点A的安全网关将安全数据包转换为与FC网络中的FC-2层对应的FC数据包并发送给节点B的安全网关；

步骤六：节点B的安全网关接收到FC数据包后，将FC数据包转换成安全数据包；

步骤七：节点B的安全网关根据保存的安全策略完成对安全数据包的解封装；

步骤八：节点B的安全网关将解封装后的原始IP包转发给服务Q2。

2.根据权利要求1所述的FC网络中的安全网关实现方法，其特征在于，步骤二中，节点A与节点B的安全网关进行身份认证，具体包括：

节点A安全网关发送节点A数字证书，以及根据节点A的数字证书产生的签名信息给节点B安全网关；

节点B安全网关收到信息后，利用节点A的数字证书对签名信息进行验签操作，根据验签结果确定节点A身份的合法性；

A身份合法性验证通过后，节点B网关发送节点B的数字证书及签名信息给节点A网关；

节点A安全网关收到信息后，利用节点B的数字证书对签名信息进行验签操作，根据验签结果确定节点B身份的合法性；

其中，节点A与节点B网关使用的数字证书皆由CA节点生成并预置在各自的安全网关。

3.根据权利要求1所述的FC网络中的安全网关实现方法，其特征在于，步骤二中，根据身份信息协商出通信相关的安全策略，具体包括：

密钥交换：身份认证成功后，节点A网关产生随机数N1，并使用节点B网关数字证书中的公钥对随机数加密发送到节点B安全网关；节点B安全网关收到后产生随机数N2，并用节点A网关数字证书中公钥加密，发送给节点A网关，两个网关均获得随机数N1和随机数N2后，利用密钥协商算法协商出会话密钥；

安全策略协商：节点A发送自己使用的安全策略及随机数N3给节点B安全网关，安全策略包括接下来ipsec封装使用的加密算法、认证算法、密钥协商算法、密钥长度；节点B安全网关收到节点A的安全策略与自身安全网关保存的安全策略进行匹配，在存在共同的安全策略的情况下，节点B安全网关将共同的安全策略及随机数N4发送给节点A安全网关；其中，安全策略在协商过程中均通过会话密钥加密保护。

4.根据权利要求3所述的FC网络中的安全网关实现方法，其特征在于，在获得共同的安全策略后，所述方法还包括：根据随机数N3和随机数N4协商出加密密钥及认证密钥。

5.根据权利要求3所述的FC网络中的安全网关实现方法，其特征在于，步骤四，具体包括：

步骤4-1：安全策略的选择：将对端网关的IP地址与保存的安全策略形成映射，首先根据映射获得安全策略，并判断安全策略是否过期，若安全策略过期，则丢弃并重新开始身份认证，若未过期，则使用该安全策略；

步骤4-2：数据包加密：采用安全策略中的加密算法及协商出的加密密钥对原始IP包进行加密处理，将原始IP包整体进行加密得到加密数据包；

步骤4-3：认证数据生成：采用安全策略中的认证算法及协商出的认证密钥生成数据包认证信息，产生HMAC数据填充到加密数据包末尾得到认证数据包；

步骤4-4：安全数据包产生：根据原始IP包的信息以及认证数据包的信息产生安全数据包的包头，安全数据包的载荷由认证数据包组成。