专利名称:一种配置ipsec安全策略的方法及装置的制作方法
技术领域:
本发明涉及通信信息安全技术领域,具体涉及配置IPSEC安全策略的方法和装置。
背景技术:
随着信息化和互联网技术的不断发展和深入,数据传输过程中的安全性问题日益突出,解决网络传输安全的一个最常用的技术是IP层协议安全结构(IPsec, Security Architecture for IP network), IPsec在IP层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。而组建IPSEC安全网络,其中最重要的一步是配置IPSEC的安全联盟(the SecurityAssociation )和安全策略。安全联盟决定了用来保护数据包安全的IPSEC协议、密钥以及密钥的生存周期等,安全策略决定对数据流采用什么样的安全措施。安全联盟的建立和密钥管理采用两种方式实现, 一种方式是手动配置,所有的信息都需要手动配置,配置的安全联盟(如果不进行手动修改)一直存在。另一种方式是自动配置,如因特网密钥交换协议(IKE,Internet Key Exchange Protocol )协商,安全联盟都是通过协商产生,每条安全联盟都有一定的生命周期。安全策略的配置都是使用手动配置一定的访问控制列表(ACL, Access Control List)身见则,结合配置的安全联盟,以此决定对数据流采用的安全措施。安全联盟和安全策略的配置不管是否采用IKE协商,配置管理员都需要掌握IPSEC基础知识,并且配置过程比较繁瑣。
对于小型安全网络应用,如远程灾备,数据迁移等,如果采用防火墙或安全路由器,成本较高,部署代价较大。现有技术中提供了一种更适宜的解决方案,只需要将原来的普通网卡替换为IPSEC智能卡,不仅可以解决数据传输过程中的安全性问题,同时对原有业务流程不产生任何冲击,IPSEC的处理是透明的。在这种应用环境下,IPSEC的配置仍然需要用户参与,用户需要掌握IPSEC基础知识才能完成IPSEC智能卡的部署。
现有技术中的一种手动配置IPSEC安全联盟和安全策略的方案,用户根据组网环境,确定IPSEC安全联盟和安全策略,然后配置到每台设备上。每条安全联盟和安全策略需要配置源IP、目的IP、源端口、目的端口、SPI、安全协议、IPSEC封装才莫式、隧道源IP、隧道目的IP、密钥等。如果网络环境发生变化,还需要重新配置。该方案中,每条安全联盟和策略配置很复杂,由网络管理人员制定和配置,工作量大容易出现人为错误,人员流动,系统部署和配置周期长。易于造成安全漏洞,存在安全隐患。现有技术中的另一实现方案是釆用IKE协商IPSEC安全联盟方式,而IPSEC策略采用手动配置方式。IPSEC智能卡需要支持IKE协商功能,用户根据组网环境,制定IPSEC策略和IKE协商规则,从而完成整个IPSEC安全网络的配置。
采用IKE协商有三种方式,预共享密钥、证书+数字签名、RSA加密临时值。密钥管理服务器和授权认证(CA Certification Authority)服务器,只有在证书+数字签名模式下才需要部署。采用IKE协商,首先协商IKE的安全联盟,之后协商IPSEC的安全联盟。IPSEC安全策略的配置仍然需要根据网络环境由用户手动配置。该方案的缺点是,IKE协商的配置过程比较复杂,甚至需要部署密钥管理服务器和CA服务器,成本较高;若采用预共享密钥方式,密钥的管理复杂,且存在泄密风险;IPSEC安全策略仍然需要手动配置,IPSEC智能卡的配置过程对用户仍然不透明,需要用户具备IPSEC知识才支能。
发明内容
本发明实施例提供一种配置工PSEC安全策略的方法和IPSEC智能卡,可实现自动配置、自动更新IPSEC安全联盟和安全策略,提高可靠性和安全性高,降低系统维护代价。
本发明实施例提供的一种配置IPSEC安全策略的方法,包括利用随机产生的密钥和预先确定的对端节点信息生成第 一 安全联盟和第一安全策略;
5基于所述生成的第一安全联盟和第一安全策略与对端节点进行协商, 确定可用的安全联盟和安全策略,并从所述可用的安全联盟和安全策略中 选择采用的安全联盟和安全策略并保存;
利用所述选择的安全联盟和安全策略对IPSEC安全协议栈进行配置。 本发明实施例才是供的一种IPSEC安全策略配置装置,包括 安全联盟和安全策略产生模块,利用随机产生的密钥和预先配置的对 端节点信息生成第 一安全联盟和第 一安全策略;
选择模块,基于所生成的第一安全联盟和第一安全策略与对端节点进 行协商,确定可用的安全联盟和安全策略,从所述可用的安全联盟和安全 策略中选择采用的安全联盟和安全策略;
存储模块,用于保存所述选择模块确定采用的安全联盟和安全策略; 配置模块,用于根据所述选择才莫块确定采用的安全联盟和安全策略对 IPSEC安全协议栈进行配置。
综上所述,本发明实施例提供的IPSEC安全联盟和安全策略的配置方 案,利用随机产生的密钥和预先确定的对端节点信息生成安全联盟和安全 策略;基于所生成的安全联盟和安全策略与对端节点进行协商,确定可用 的安全联盟和安全策略。极大简化配置过程,用户只需要配置通信的对端 节点,降低对用户的技能要求,加速配置过程。配置过程由IPSEC智能卡 独立完成,不需要额外设备支持,降低系统部署成本。IPSEC智能卡不仅 功能上而且配置上对业务系统完全透明,降低系统开销和管理代价,显著 提高系统二次开发速度。根据本发明可实现自动配置、自动更新IPSEC安 全联盟和安全策略,提高可靠性和安全性高,降低系统维护代价。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述 中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅 是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性 劳动的前提下,还可以根据这些附图获得其他的附图。图2为本发明实施例二提供的配置IPSEC安全联盟和安全策略的方法 流程图3为本发明实施例二中安全联盟和安全策略的协商流程图4为本发明实施例提供的一种IPSEC安全策略配置装置架构示意
图5为本发明实施例提供的IPSEC安全策略配置装置中选择模块的构 成示意图6为本发明实施例提供的IPSEC安全策略配置装置中另一种选择模 块的构成示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进 行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的 范围。
在IPSEC智能卡应用中,在节点间的通信明确的情况下,不需要配置 模糊的数据流处理策略,IPSEC间节点的通信是点对点的。基于这种对端 节点确定的情形,本发明实施例提供的配置IPSEC安全策略的方法及IPSEC 智能卡,将IPSEC的安全联盟和安全策略的配置简化,由IPSEC智能卡自动 配置,用户只需要配置通信的对端节点,而关于IPSEC的配置细节完全透 明。
实施例一
参照图1,本发明实施例^是供的一种配置IPSEC安全策略的方法,包
括
501, 利用随机产生的密钥和预先确定的对端节点信息生成第一安全 联盟和第一安全策略;
与本节点通信的对端节点可由用户才艮据实际组网环境预先配置。
502, 基于所述生成的第一安全if关盟和第一安全策略与对端节点进行 协商,确定可用的安全联盟和安全策略,并从所述可用的安全联盟和安全策略中选择与对端节点之间采用的安全联盟和安全策略并保存;
S03,利用所选择的安全联盟和安全策略对IPSEC安全协议栈进行配置。
本发明实施例提供的配置方案,利用随机产生的密钥和预先确定的对端节点信息生成安全联盟和安全策略;并与对端节点协商,确定釆用的安全联盟和安全策略。配置过程由IPSEC智能卡独立完成,极大简化配置过程,降低对用户的技能要求,加速配置过程。根据本发明可实现自动配置、自动更新IPSEC安全联盟和安全策略,提高可靠性和安全性高,降低系统维护代价。
实施例二
参照图2,本发明实施例提供的一种配置IPSEC安全联盟和安全策略的方法,包4舌
5201, 利用随机产生的密钥和预先确定的对端节点信息生成第一安全联盟和第一安全策略;
为了配置IPSEC安全联盟和安全策略,用户需要根据实际组网环境预先配置与本节点通信的对端节点。
5202, 基于所生成的第一安全联盟和第一安全策略与对端节点进行协商,确定可用的安全联盟和安全策略;
首先,查找判断是否已接收到来自对端节点的协商报文。如果已接收,则将自对端节点的协商报文携带的第二安全联盟和第二安全策略与第一安全联盟和第一安全策略进行比对;根据比对结果确定可用的安全联盟和安全策略。进一步,选择采用的安全联盟和安全策略时,可获取本端和对端的IPSEC智能卡ID,可根据IPSEC智能卡ID从可用的安全联盟和安全策略中选择安全联盟和安全策略进行配置。具体地,将本端的IPSEC智能卡ID值和所接收的来自对端节点的协商报文的IPSEC智能卡ID值进行比较,选择ID值较大的确定最终采用的安全联盟和安全策略,并将安全联盟和安全策略保存到配置的安全联盟和安全策略表中。如果未接收到自对端节点的协商报文,则将所生成的第 一安全联盟和第 一安全策略发送给对端节点,并将该第 一安全联盟和第 一安全策略保存到发送的安全联盟和安
8全策略表中。
参照图3,本端与对端节点进行协商的过程包括
al)获取本端的IPSEC智能卡ID;利用公用的密钥对所述第一安全联 盟和第一安全策略加密,并进行数据包封装,得到第一协商报文;
a2 )将本端的IPSEC智能卡ID及该第一协商才艮文发送给对端节点。
a3 )将所述第一安全联盟和第一安全策略加密保存到已发送的安全联 盟和安全策略表中。
b) 接收对端节点发送的第二协商报文及对端的IPSEC智能卡ID,该 报文包含对端节点生成的第二安全联盟和第二安全策略;并将所接收到的 第二协商报文中携带的第二安全联盟和第二安全策略保存到接收的安全 联盟和安全策略表中。
c) 获取所述第二安全联盟和第二安全策略,并将所述第二安全联盟 和第二安全策略与所述第 一安全联盟和第一安全策略进行比对;根据比对 结果确定可用的安全联盟和安全策略。
S203,选择与对端节点之间采用的安全联盟和安全策略并保存; 获耳又本端和对端的IPSEC智能卡ID, 4艮据IPSEC智能卡ID /人可用的
安全联盟和安全策略中选择与对端节点之间采用的安全联盟和安全策略。 例如,将本端的IPSEC智能卡ID值和协商报文的IPSEC智能卡ID值
进行比较,由ID值较大的IPSEC智能卡对应的安全联盟和安全策略作为
最终采用的安全联盟和安全策略,并将安全联盟和安全策略保存到配置的
安全联盟和安全策略表中,供后续配置使用。
5204, 利用所保存的安全联盟和安全策略对IPSEC安全协议栈进行配置。
从配置的安全联盟和安全策略表中取得安全联盟和安全策略,并对 IPSEC协议栈进行配置,从而完成IPSEC安全联盟和安全策略的自动配置。
5205、 对保存的安全联盟和安全策略进行更新。 定时扫描安全联盟和安全策略的发送、接收、配置表,对于已发送的
安全联盟和安全策略表,如果生命周期结束,则重新复制生成安全联盟和 安全策略,并将携带安全联盟和安全策略的协商报文发送给对端节点,再次协商安全联盟和安全策略。对于接收的安全联盟和安全策略表,如果生命周期结束,则直接清除掉。对于配置的安全联盟和安全策略表,则重新生成,再清除掉原有的安全联盟和安全策略,并调用安全联盟和安全策略发送器,重新协商安全联盟和安全策略。
参照图4,本发明实施例提供的一种IPSEC安全策略配置装置400,可称为IPSEC智能卡,包括
安全联盟和安全策略产生模块410,利用随机产生的密钥和预先配置的对端节点信息生成第一安全联盟和第一安全策略;
选择模块420,基于所生成的第一安全联盟和第一安全策略与对端节点进行协商,确定可用的安全^:盟和安全策略,^^所述可用的安全l关盟和安全策略中选择采用的安全if关盟和安全策略;
具体地,可才艮据IPSEC智能卡ID从可用的安全联盟和安全策略中选择与对端节点之间采用的安全联盟和安全策略。
例如,将本端的IPSEC智能卡ID值和协商报文的IPSEC智能卡ID值进行比较,由ID值较大的确定最终采用的安全联盟和安全策略,并将安全联盟和安全策略保存到配置的安全联盟和安全策略表中,供后续配置使用。
存储模块430,用于保存所述选择模块确定采用的安全联盟和安全策
略;
用于保存选择模块420确定的与对端节点之间采用的安全联盟和安全策略,以及接收的安全联盟和安全策略表、发送的安全联盟和安全策略表和配置的安全联盟和安全策略表。
配置模块440,用于根据所述选择才莫块确定釆用的安全联盟和安全策略对IPSEC安全协议栈进行配置。
具体地,可从存储模块440获取采用的安全联盟和安全策略对IPSEC安全协议栈进行配置。
如图5所示,本发明实施例提供的一种选择模块420具体可包括
接收单元421,用于接收对端节点发送的第二协商报文,所述第二协商报文包含对端节点生成的第二安全联盟和第二安全策略;
10接收对端节点发送的携带有第二安全联盟和第二安全策略的第二协
商报文;获得第二安全联盟和第二安全策略;并将所获得的第二安全联盟
和第二安全策略保存到接收的安全联盟和安全策略表中。
比对单元422,用于将所述第二安全联盟和第二安全策略与所述第一
安全联盟和第一安全策略进行比对,得到比对结果,以确定可用的安全联盟和安全策略。
如图6所示,本发明实施例提供的一种选择模块420可包括
获:f又单元423,用于获耳又本端的IPSEC智能卡ID;
加密单元424,用于利用^^用的密钥对所述第一安全联盟和第一安全
《4>— rfr; A二it《二J:4" ^古-"梦一+A念iG 士
发送单元425,用于将本端的IPSEC智能卡ID及第一协商报文发送给对端节点,以确定可用的安全联盟和安全策略。
发送单元4 2 4从发送的安全联盟和安全策略表中取出待发送的第 一安全联盟和第一安全策略,再获取本地的IPSEC智能卡ID,利用公用的密钥加密后,进行封装得到第一协商报文,并放入协商报文队列,然后将第一协商报文发送出去。并将已发送的第一安全联盟和第一安全策略保存到发送的安全联盟和安全策略表中。
安全策略配置装置400,还包括
更新^^莫块450,用于对所述存储模块中保存的安全联盟和安全策略进行更新。
更新模块450定时扫描安全联盟和安全策略的发送、接收、配置表,对于已发送的安全联盟和安全策略表,如果生命周期结束,则重新复制生成安全联盟和安全策略,并将携带安全联盟和安全策略的协商报文发送给对端节点,再次协商安全联盟和安全策略。对于接收的安全联盟和安全策略表,如果生命周期结束,则直接清除掉。对于配置的安全联盟和安全策略表,则重新生成,再清除掉原有的安全联盟和安全策略,并调用安全联盟和安全策略发送器,重新协商安全联盟和安全策略。
综上所述,本发明实施例提供的IPSEC安全联盟和安全策略的配置方案,利用随机产生的密钥和预先确定的对端节点信息生成安全联盟和安全策略;基于所生成的安全联盟和安全策略与对端节点进行协商,确定可用 的安全联盟和安全策略。极大简化配置过程,用户只需要配置通信的对端
节点,降低对用户的技能要求,加速配置过程。配置过程由IPSEC智能卡 独立完成,不需要额外设备支持,降低系统部署成本。IPSEC智能卡不仅 功能上而且配置上对业务系统完全透明,降低系统开销和管理代价,显著 提高系统二次开发速度。根据本发明可实现自动配置、自动更新IPSEC安 全联盟和安全策略,提高可靠性和安全性高,降低系统维护代价。
显然,本领域的技术人员应该明白,上述的本发明的各单元或各步骤 可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者 分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执 行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来 执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个单 元或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特 定的硬件和软件结合。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护 范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等, 均包含在本发明的保护范围内。
1权利要求
1、一种配置IPSEC安全策略的方法,其特征在于,包括利用随机产生的密钥和预先确定的对端节点信息生成第一安全联盟和第一安全策略;基于所述生成的第一安全联盟和第一安全策略与对端节点进行协商,确定可用的安全联盟和安全策略,并从所述可用的安全联盟和安全策略中选择采用的安全联盟和安全策略并保存;利用所述选择的安全联盟和安全策略对IPSEC安全协议栈进行配置。
2、 如权利要求1所述的配置IPSEC安全策略的方法,其特征在于,所 述与对端节点进行协商的过程包括接收对端节点发送的第二协商报文,所述第二协商报文包含对端节点生 成的第二安全联盟和第二安全策略;将所述第二安全联盟和第二安全策略与所述第 一安全联盟和第 一安全 策略进行比对,得到比对结果,以确定可用的安全联盟和安全策略。
3、 如权利要求1所述的配置IPSEC安全策略的方法,其特征在于,所 述与对端节点进行协商的过程包括获耳又本端的IPSEC智能卡ID;利用公用的密钥对所述第一安全联盟和第一安全策略加密,并进行数据 包封装,得到第一协商报文;将本端的IPSEC智能卡ID及所述第一协商报文发送给对端节点,以确 定可用的安全联盟和安全策略。
4、 如权利要求1所述的配置IPSEC安全策略的,方法,其特征在于,所 述选择采用的安全联盟和安全策略,包括获取本端和对端的IPSEC智能卡ID,根据所述获取的IPSEC智能卡ID 从所述可用的安全联盟和安全策略中选择采用的安全联盟和安全策略。
5、 如权利要求1所述的配置IPSEC安全策略的方法,其特征在于,还 包括 对保存的安全联盟和安全策略进行更新。
6、 一种IPSEC安全策略配置装置,其特征在于,包括 安全联盟和安全策略产生模块,利用随机产生的密钥和预先配置的对端节点信息生成第 一安全if关盟和第 一安全策略;选择模块,基于所生成的第一安全联盟和第一安全策略与对端节点进行 协商,确定可用的安全联盟和安全策略,从所述可用的安全联盟和安全策略中选择采用的安全联盟和安全策略;存储模块,用于保存所述选择模块确定采用的安全联盟和安全策略; 配置模块,用于根据所述选择模块确定采用的安全联盟和安全策略对IPSEC安全协议栈进^f于配置。
7、 如权利要求6所述的安全策略配置装置,其特征在于,所述选择模 块包括接收单元,用于接收对端节点发送的第二协商报文,所述第二协商报文 包含对端节点生成的第二安全联盟和第二安全策略;比对单元,用于将所述第二安全联盟和第二安全策略与所述第一安全联 盟和第一安全策略进行比对,得到比对结果,以确定可用的安全联盟和安全 策略。
8、 如权利要求6所述的安全策略配置装置,其特征在于,所述选择模 块包括获取单元,用于获取本端的IPSEC智能卡ID;加密单元,用于利用公用的密钥对所述第一安全联盟和第一安全策略加 密,并进行封装得到第一协商报文;发送单元,用于将本端的IPSEC智能卡ID及所述第一协商报文发送给 对端节点,以确定可用的安全联盟和安全策略。
9、 如权利要求6至8中任一项所述的安全策略配置装置,其特征在于, 还包括更新模块,用于对所述存储模块中保存的安全联盟和安全策略进行更新。
全文摘要
本发明实施例公开了一种配置IPSEC安全策略的方法,包括利用随机产生的密钥和预先确定的对端节点信息生成安全联盟和安全策略;基于所生成的安全联盟和安全策略与对端节点进行协商,确定可用的安全联盟和安全策略,并从所述可用的安全联盟和安全策略中选择采用的安全联盟和安全策略并保存;利用所述选择的安全联盟和安全策略对IPSEC安全协议栈进行配置。本发明实施例还提供了相应的IPSEC安全策略配置装置。根据本发明,可简化配置过程,降低成本。可实现自动配置、自动更新IPSEC安全联盟和安全策略,提高可靠性和安全性,降低系统维护代价。
文档编号H04L12/24GK101640614SQ20091017015
公开日2010年2月3日 申请日期2009年9月3日 优先权日2009年9月3日
发明者超 冷 申请人:成都市华为赛门铁克科技有限公司