专利名称:一种ike协商方法
技术领域:
本发明涉及通信技术领域,具体涉及一种IKE协商方法。
背景技术:
因特网协议安全(IPSec)是一种由IETF (Internet Engineering Task Force)设计的端到端的确保因特网IP层通信安全的机制,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥交换协议(IKE)和用于网络认证及加密的一些算法等。其中,IKE为IPSec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPSec的使用、管理、配置和维护工作。
IKE协商通常需要进行ike sa (security association)协商阶段的配置、预共享密钥配置、以及ipsec sa协商阶段的配置。其中ike sa协商阶段的配置包括加密方法、认证方法、精确转发保密(PFS)协商方法、Diffie-Hellman (DH)组、ike sa超时时间等,而ipsec sa协商阶段的配置包括加密方法、认证方法、ipsec sa超时时间、流量超时、流保护
配置等。以上各种配置必须保证IPSec隧道两端完全相同(其中流保护配置必需保证两端对称),才能协商通过,而且配置后若有修改,必须两端同时进行修改,使得IKE协商过程复杂。
发明内容
(一)要解决的技术问题本发明主要解决现有技术中IKE协商时IPSec隧道两端配置复杂、维护成本高的技术问题。(二)技术方案本发明提供了一种IKE协商方法,包括以下步骤A、发送端向网关发送协商报文,所述协商报文未携带配置信息;B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。其中,所述发送端和接收端为带IPSec隧道功能的网络设备。其中,所述网关将配置信息设置在所述协商报文中具体包括所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。可选的,所述网关具有动态监测网络安全的功能,所述网关将配置信息设置在所述协商报文中具体包括所述网关根据网络安全状况将配置信息设置在所述协商报文中。(三)有益效果
本发明提供了一种IKE协商方法,该方法通过网关来设置配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。而且,网关能够根据网络安全情况动态修改配置信息,以确保协商的安全性。
图I是本发明方法的流程图;图2是本发明中网络系统的结构框图; 图3是本发明实施例的流程图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。图I是本发明方法的流程图,包括以下步骤A、发送端向网关发送协商报文,所述协商报文未携带配置信息;B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。其中,所述发送端和接收端为带IPSec隧道功能的网络设备。其中,所述网关将配置信息设置在所述协商报文中具体包括所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。可选的,所述网关具有动态监测网络安全的功能,所述网关将配置信息设置在所述协商报文中具体包括所述网关根据网络安全状况将配置信息设置在所述协商报文中。图2是本发明实施例中网络系统的结构框图,FWa设备和FWb设备为带IPSec隧道功能的网络设备,NAT设备为安全网关(可带动态监测网络安全的功能)。图3是本发明实施例的流程图,具体实施步骤如下步骤SI,FWa设备与FWb设备建立IPSec隧道,进行IKE协商。步骤S2, Fffa设备作为主动发起协商的设备,向NAT设备发送协商报文,该协商报文中未携带配置信息(正常情况下IKE协商报文中会携带配置信息)。步骤S3,当NAT设备发现有IKE协商报文通过时,将配置信息设置在上述协商报文中,之后将此报文转发给FWb设备。步骤S4, Fffb设备接收到NAT设备转发来的IKE协商报文后,直接接受其配置信息,并使用此配置信息进行回应。本发明在网关设备上实现配置信息的加载,可通过修改网关上的配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。此外,加密方法和认证方法等配置的不同会使整个协商的安全级别不同,例如加密方法中的数据加密算法(DES)的加密复杂度没有高级加密算法(AES)高,可通过NAT设备自动检测网络安全状况来动态修改配置信息,以提高协商安全等级。
而且,网关通常带有主动检测网络是否被攻击的功能,可实现当网络出现不安全的情况时,网关动态修改加密方法、认证方法、PFS配置和DH配置来提高协商的安全性,动态保证协商过程和加密数据的安全。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换 也应视为本发明的保护范围。
权利要求
1.一种IKE协商方法,其特征在于,包括以下步骤 A、发送端向网关发送协商报文,所述协商报文未携带配置信息; B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端; C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。
2.如权利要求I所述的协商方法,其特征在于,所述发送端和接收端为带IPSec隧道功能的网络设备。
3.如权利要求I所述的协商方法,其特征在于,所述网关将配置信息设置在所述协商报文中具体包括 所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。
4.如权利要求I所述的协商方法,其特征在于,所述网关具有动态监测网络安全的功能,所述网关将配置信息设置在所述协商报文中具体包括 所述网关根据网络安全状况将配置信息设置在所述协商报文中。
全文摘要
本发明公开了一种IKE协商方法,具体包括发送端向网关发送协商报文,所述协商报文未携带配置信息;所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。该方法通过网关来设置配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。而且,网关能够根据网络安全情况动态修改配置信息,以确保协商的安全性。
文档编号H04L9/08GK102868523SQ20121034697
公开日2013年1月9日 申请日期2012年9月18日 优先权日2012年9月18日
发明者陈海滨 申请人:汉柏科技有限公司