專利名稱:一種ike協商方法
技術領域:
本發明涉及通信技術領域,具體涉及一種IKE協商方法。
背景技術:
因特網協議安全(IPSec)是一種由IETF (Internet Engineering Task Force)設計的端到端的確保因特網IP層通信安全的機制,包括網絡認證協議(AH)、封裝安全載荷協議(ESP)、密鑰交換協議(IKE)和用于網絡認證及加密的一些算法等。其中,IKE為IPSec提供了自動協商交換密鑰、建立安全聯盟的服務,能夠簡化IPSec的使用、管理、配置和維護工作。
IKE協商通常需要進行ike sa (security association)協商階段的配置、預共享密鑰配置、以及ipsec sa協商階段的配置。其中ike sa協商階段的配置包括加密方法、認證方法、精確轉發保密(PFS)協商方法、Diffie-Hellman (DH)組、ike sa超時時間等,而ipsec sa協商階段的配置包括加密方法、認證方法、ipsec sa超時時間、流量超時、流保護
配置等。以上各種配置必須保證IPSec隧道兩端完全相同(其中流保護配置必需保證兩端對稱),才能協商通過,而且配置后若有修改,必須兩端同時進行修改,使得IKE協商過程復雜。
發明內容
(一)要解決的技術問題本發明主要解決現有技術中IKE協商時IPSec隧道兩端配置復雜、維護成本高的技術問題。(二)技術方案本發明提供了一種IKE協商方法,包括以下步驟A、發送端向網關發送協商報文,所述協商報文未攜帶配置信息;B、所述網關將配置信息設置在所述協商報文中,然后將攜帶所述配置信息的協商報文轉發給接收端;C、所述接收端接收到所述網關轉發來的攜帶所述配置信息的協商報文后,直接接受所述配置信息,并使用所述配置信息對所述發送端進行回應。其中,所述發送端和接收端為帶IPSec隧道功能的網絡設備。其中,所述網關將配置信息設置在所述協商報文中具體包括所述網關通過人工或者自動的方式將配置信息設置在所述協商報文中。可選的,所述網關具有動態監測網絡安全的功能,所述網關將配置信息設置在所述協商報文中具體包括所述網關根據網絡安全狀況將配置信息設置在所述協商報文中。(三)有益效果
本發明提供了一種IKE協商方法,該方法通過網關來設置配置信息,使IPSec隧道兩端實現缺省配置,簡化維護成本。而且,網關能夠根據網絡安全情況動態修改配置信息,以確保協商的安全性。
圖I是本發明方法的流程圖;圖2是本發明中網絡系統的結構框圖; 圖3是本發明實施例的流程圖。
具體實施例方式下面結合附圖和實施例,對本發明的具體實施方式
作進一步詳細描述。以下實施例用于說明本發明,但不用來限制本發明的范圍。圖I是本發明方法的流程圖,包括以下步驟A、發送端向網關發送協商報文,所述協商報文未攜帶配置信息;B、所述網關將配置信息設置在所述協商報文中,然后將攜帶所述配置信息的協商報文轉發給接收端;C、所述接收端接收到所述網關轉發來的攜帶所述配置信息的協商報文后,直接接受所述配置信息,并使用所述配置信息對所述發送端進行回應。其中,所述發送端和接收端為帶IPSec隧道功能的網絡設備。其中,所述網關將配置信息設置在所述協商報文中具體包括所述網關通過人工或者自動的方式將配置信息設置在所述協商報文中。可選的,所述網關具有動態監測網絡安全的功能,所述網關將配置信息設置在所述協商報文中具體包括所述網關根據網絡安全狀況將配置信息設置在所述協商報文中。圖2是本發明實施例中網絡系統的結構框圖,FWa設備和FWb設備為帶IPSec隧道功能的網絡設備,NAT設備為安全網關(可帶動態監測網絡安全的功能)。圖3是本發明實施例的流程圖,具體實施步驟如下步驟SI,FWa設備與FWb設備建立IPSec隧道,進行IKE協商。步驟S2, Fffa設備作為主動發起協商的設備,向NAT設備發送協商報文,該協商報文中未攜帶配置信息(正常情況下IKE協商報文中會攜帶配置信息)。步驟S3,當NAT設備發現有IKE協商報文通過時,將配置信息設置在上述協商報文中,之后將此報文轉發給FWb設備。步驟S4, Fffb設備接收到NAT設備轉發來的IKE協商報文后,直接接受其配置信息,并使用此配置信息進行回應。本發明在網關設備上實現配置信息的加載,可通過修改網關上的配置信息,使IPSec隧道兩端實現缺省配置,簡化維護成本。此外,加密方法和認證方法等配置的不同會使整個協商的安全級別不同,例如加密方法中的數據加密算法(DES)的加密復雜度沒有高級加密算法(AES)高,可通過NAT設備自動檢測網絡安全狀況來動態修改配置信息,以提高協商安全等級。
而且,網關通常帶有主動檢測網絡是否被攻擊的功能,可實現當網絡出現不安全的情況時,網關動態修改加密方法、認證方法、PFS配置和DH配置來提高協商的安全性,動態保證協商過程和加密數據的安全。以上所述僅是本發明的優選實施方式,應當指出,對于本技術領域的普通技術人員來說,在不脫離本發明技術原理的前提下,還可以做出若干改進和替換,這些改進和替換 也應視為本發明的保護范圍。
權利要求
1.一種IKE協商方法,其特征在于,包括以下步驟 A、發送端向網關發送協商報文,所述協商報文未攜帶配置信息; B、所述網關將配置信息設置在所述協商報文中,然后將攜帶所述配置信息的協商報文轉發給接收端; C、所述接收端接收到所述網關轉發來的攜帶所述配置信息的協商報文后,直接接受所述配置信息,并使用所述配置信息對所述發送端進行回應。
2.如權利要求I所述的協商方法,其特征在于,所述發送端和接收端為帶IPSec隧道功能的網絡設備。
3.如權利要求I所述的協商方法,其特征在于,所述網關將配置信息設置在所述協商報文中具體包括 所述網關通過人工或者自動的方式將配置信息設置在所述協商報文中。
4.如權利要求I所述的協商方法,其特征在于,所述網關具有動態監測網絡安全的功能,所述網關將配置信息設置在所述協商報文中具體包括 所述網關根據網絡安全狀況將配置信息設置在所述協商報文中。
全文摘要
本發明公開了一種IKE協商方法,具體包括發送端向網關發送協商報文,所述協商報文未攜帶配置信息;所述網關將配置信息設置在所述協商報文中,然后將攜帶所述配置信息的協商報文轉發給接收端;所述接收端接收到所述網關轉發來的攜帶所述配置信息的協商報文后,直接接受所述配置信息,并使用所述配置信息對所述發送端進行回應。該方法通過網關來設置配置信息,使IPSec隧道兩端實現缺省配置,簡化維護成本。而且,網關能夠根據網絡安全情況動態修改配置信息,以確保協商的安全性。
文檔編號H04L9/08GK102868523SQ20121034697
公開日2013年1月9日 申請日期2012年9月18日 優先權日2012年9月18日
發明者陳海濱 申請人:漢柏科技有限公司