专利名称:一种防止ike破解的方法
技术领域:
本发明涉及网络安全技术领域,特别是涉及一种防止IKE破解的方法。
背景技术:
因特网协议安全(IPSec)是一种由IETF (Internet Engineering TaskForce)设计的端到端的确保因特网IP层通信安全的机制,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥交换协议(IKE)和用于网络认证及加密的一些算法等。在实现IPSec业务应用时,通常采用站到站连接(例如客户端到客户端的廉价)或远端接入(例如客户端与服务器的连接)的方式实现外网与内网相连接,此时采用站到站连接或远端接入是建立IPSec隧道的两种方法。在内网配置好IPSec属性信息和密钥后就会等待外网设备发起连接请求,在外网设备发起连接请求之后,若其所携带的配置信息和密 钥与内网设备的完全相同时即可通过认证,然后双方建立IPSec隧道,此时可能会出现两个问题1、如果该外网设备是黑客,该黑客获取了内网设备的用于对外IKE连接的IP地址,并发起大量的IKE协商,则会导致内网设备一直处于繁忙状态,从而导致内网设备瘫痪;2、在黑客获取了内网设备的用于对外IKE连接的IP地址之后,可使用不断变换配置信息和密钥的方式进行尝试性连接,黑客通过这种方式最终会破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息。
发明内容
(一)要解决的技术问题本发明要解决的技术问题是如何解决黑客使用不断变换配置信息和密钥的方式进行尝试性连接,而破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息的问题。(二)技术方案为了解决上述技术问题,本发明提供了一种防止IKE破解的方法,包括以下步骤SI、内网设备设置黑名单;S2、同一外网设备多次向所述内网设备发起IKE连接请求,判断连接是否成功,如果连接失败,则记录连接失败的次数,如果连接失败的次数超过预设阈值,则将所述外网设备的IP地址记入所述黑名单;如果连接成功,则所述外网设备访问所述内网设备。优选地,在步骤S2中,所述外网设备向内网设备发起IKE连接请求的过程中,所述外网设备与内网设备进行IKE协商。 优选地,在步骤S2中,所述外网设备与内网设备进行IKE协商的过程中,所述外网设备向内网设备发送IKE协商报文,所述IKE协商报文携带配置信息和密钥。优选地,在步骤S2中,当所述外网设备所发送的协商报文中所携带的配置信息或者密钥与所述内网设备中所存储的配置信息或密钥不同,则判断为连接失败。优选地,所述预设阈值为3次。
优选地,所述配置信息包括加密密钥和协商策略。优选地,所述内网为局域网,所述外网为广域网。(三)有益效果上述技术方案具有如下优点本发明通过设置黑名单,当有外网设备试图与内网设备建立IKE连接时,如果多次连接失败(由于配置信息或密钥导致的连接失败计I次,由网络原因造成的协商丢包不计数),则将此外网设备的IP地址记入黑名单,必须由管理员进行解锁才能再次进行连接,从而解决了黑客使用不断变换配置信息和密钥的方式进行尝试性连接,而破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息的问题。
图I是本发明的方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。如图I所示,本发明提供了一种防止IKE破解的方法,包括以下步骤SI、内网设备设置黑名单;S2、同一外网设备多次向所述内网设备发起IKE连接请求,判断连接是否成功,如果连接失败,则记录连接失败的次数,如果连接失败的次数超过预设阈值,则将所述外网设备的IP地址记入所述黑名单,再次连接时则直接丢弃此协商报文,如果想恢复继续连接,则必须由管理员进行解锁才能再次进行连接;如果连接成功,则所述外网设备访问所述内网设备。本实施例中,在步骤S2中,所述外网设备向内网设备发起IKE连接请求的过程中,所述外网设备与内网设备进行IKE协商。本实施例中,在步骤S2中,所述外网设备与内网设备进行IKE协商的过程中,所述外网设备向内网设备发送IKE协商报文,所述IKE协商报文携带配置信息和密钥。本实施例中,在步骤S2中,当所述外网设备所发送的协商报文中所携带的配置信息(或者密钥)与所述内网设备中所存储的、用于进行对外连接的配置信息(或者密钥)不同,则判断为连接失败。需要说明的是,本发明中,由于配置信息或密钥导致的连接失败计I次,而由网络原因造成的协商丢包不计数。本实施例中,所述预设阈值为3次。本实施例中,所述配置信息包括加密密钥和协商策略。本实施例中,所述内网为局域网,所述外网为广域网,所述内网设备和外网设备均为常用的网络设备,例如网关、路由器等。由以上实施例可以看出,本发明通过设置黑名单,当有外网设备试图与内网设备建立IKE连接时,如果多次连接失败(由于配置信息或密钥导致的连接失败计I次,由网络原因造成的协商丢包不计数),则将此外网设备的IP地址记入黑名单,必须由管理员进行解锁才能再次进行连接,从而解决了黑客使用不断变换配置信息和密钥的方式进行尝试性连接,而破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息的问题。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
权利要求
1.一种防止IKE破解的方法,其特征在于,包括以下步骤 51、内网设备设置黑名单; 52、同一外网设备多次向所述内网设备发起IKE连接请求,判断连接是否成功,如果连接失败,则记录连接失败的次数,如果连接失败的次数超过预设阈值,则将所述外网设备的IP地址记入所述黑名单;如果连接成功,则所述外网设备访问所述内网设备。
2.如权利要求I所述的方法,其特征在于,在步骤S2中,所述外网设备向内网设备发起IKE连接请求的过程中,所述外网设备与内网设备进行IKE协商。
3.如权利要求2所述的方法,其特征在于,在步骤S2中,所述外网设备与内网设备进行IKE协商的过程中,所述外网设备向内网设备发送IKE协商报文,所述IKE协商报文携带配置信息和密钥。
4.如权利要求3所述的方法,其特征在于,在步骤S2中,当所述外网设备所发送的协商报文中所携带的配置信息或者密钥与所述内网设备中所存储的配置信息或密钥不同,则判断为连接失败。
5.如权利要求I所述的方法,其特征在于,所述预设阈值为3次。
6.如权利要求3所述的方法,其特征在于,所述配置信息包括加密密钥和协商策略。
7.如权利要求1飞中任一项所述的方法,其特征在于,所述内网为局域网,所述外网为广域网。
全文摘要
本发明涉及网络安全技术领域,公开了一种防止IKE破解的方法,包括以下步骤S1、内网设备设置黑名单;S2、同一外网设备多次向所述内网设备发起IKE连接请求,判断连接是否成功,如果连接失败,则记录连接失败的次数,如果连接失败的次数超过预设阈值,则将所述外网设备的IP地址记入所述黑名单;如果连接成功,则所述外网设备访问所述内网设备。本发明解决了黑客使用不断变换配置信息和密钥的方式进行尝试性连接,而破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息的问题。
文档编号H04L29/06GK102891847SQ20121035806
公开日2013年1月23日 申请日期2012年9月24日 优先权日2012年9月24日
发明者陈海滨 申请人:汉柏科技有限公司