网络密钥交换协商方法、装置及网络设备制造方法及图纸

本公开提供了一种网络密钥交换协商方法、装置及网络设备。该方法包括：获取用户配置信息，用户配置信息包括协商角色信息、协商策略信息、SA信息，协商策略信息用于指示协商采用的第一策略以及第一策略的策略生效时间、协商采用的至少一个第二策略以及每个第二策略的策略更新时间、策略失效时间；当协商角色为发起方且达到策略生效时间时，基于第一策略进行网络密钥交换协议IKE协商，确定SA；将SA保存到数据库中；每当达到策略更新时间时，基于与策略更新时间对应的第二策略进行IKE协商，更新数据库中的SA；当达到策略失效时间时，对第一策略、第二策略和数据库中的SA进行失效处理。第二策略和数据库中的SA进行失效处理。第二策略和数据库中的SA进行失效处理。

【技术实现步骤摘要】
网络密钥交换协商方法、装置及网络设备


[0001]本公开涉及网络安全领域，特别涉及一种网络密钥交换协商方法、装置及网络设备。

技术介绍

[0002]互联网安全协议(Internet Protocol Security，IPsec)包括基于内核协议栈和数据平面转发工具(Data Plane Development Kit，DPDK)两类安全通信方式，基于DPDK的通信方式通常采用网络密钥交换(Internet Key Exchange，IKE)协议协商通信双方的安全联盟(Security Association，SA)，SA是加密算法和认证算法等的集合。
[0003]在相关技术中，在IKE协商生成安全联盟的过程中需要通过命令行编程进行IKE配置，当安全联盟过期或者失效后，需要再次通过命令行编程进行IKE配置。
[0004]这种命令行编程专业性强，对维护人员的技术要求较高；同时，每次更新都需要命令行编程也造成人力花费大，更新不及时。

技术实现思路

[0005]本公开实施例提供了一种网络密钥交换协商方法、装置及网络设备。所述技术方案如下：
[0006]本公开至少一实施例提供了一种网络密钥交换协商方法，应用于网络设备，所述方法包括：
[0007]获取用户配置信息，所述用户配置信息包括协商角色信息、协商策略信息、SA信息，所述协商角色信息用于指示所述网络设备作为协商的发起方或接收方，所述协商策略信息用于指示协商采用的第一策略以及所述第一策略的策略生效时间、协商采用的至少一个第二策略以及每个所述第二策略的策略更新时间、策略失效时间，所述第一策略和所述第二策略用于指示协商过程中SA的选择，所述SA信息包括备选的SA；
[0008]当所述协商角色为发起方且达到所述策略生效时间时，基于所述第一策略和所述SA信息进行网络密钥交换协议IKE协商，确定SA；
[0009]将所述SA保存到数据库中；
[0010]每当达到所述策略更新时间时，基于与所述策略更新时间对应的所述第二策略和所述SA信息进行IKE协商，更新所述数据库中的SA；
[0011]当达到所述策略失效时间时，对所述第一策略、所述第二策略和所述数据库中的SA进行失效处理。
[0012]可选地，所述获取用户配置信息，包括：
[0013]提供用户配置界面；
[0014]接收用户通过所述用户配置界面输入的用户配置信息。
[0015]可选地，所述提供用户配置界面，包括：
[0016]提供多种主题的用户配置界面，不同主题的用户配置界中预填写的内容不同；
[0017]根据所述用户的选择操作，输出与所述用户的选择操作对应的用户配置界面。
[0018]可选地，所述用户配置信息采用可扩展标记语言XML格式存储。
[0019]可选地，当所述协商角色为接收方时，所述用户配置信息还包括协商白名单或协商黑名单和第三策略；所述方法还包括：
[0020]当接收到IKE协商请求时，获取所述IKE协商请求中的身份信息；
[0021]确认所述身份信息是否在所述协商白名单或协商黑名单中；
[0022]若所述身份信息在所述协商白名单或不在所述协商黑名单中，则根据所述第三策略返回IKE协商应答；若所述身份信息不在所述协商白名单或在所述协商黑名单中，则丢弃所述IKE协商请求。
[0023]可选地，所述用户配置信息还包括失败阈值，所述方法还包括：
[0024]在进行IKE协商失败且失败次数达到所述阈值时，输出失败提示；在进行IKE协商失败但失败次数未达到所述阈值时，重新进行IKE协商。
[0025]可选地，所述方法还包括：
[0026]记录每次IKE协商的时间和结果，生成日志文件。
[0027]本公开至少一实施例提供了一种一种网络密钥交换协商装置，所述装置包括：
[0028]协商配置模块，用于获取用户配置信息，所述用户配置信息包括协商角色信息、协商策略信息、SA信息，所述协商角色信息用于指示网络设备作为协商的发起方或接收方，所述协商策略信息用于指示协商采用的第一策略以及所述第一策略的策略生效时间、协商采用的至少一个第二策略以及每个所述第二策略的策略更新时间、策略失效时间，所述第一策略和所述第二策略用于指示协商过程中SA的选择，所述SA信息包括备选的SA；
[0029]自动协商模块，用于当所述协商角色为发起方且达到所述策略生效时间时，基于所述第一策略和所述SA信息进行网络密钥交换协议IKE协商，确定SA；
[0030]加密管理模块，用于将所述SA保存到数据库中；
[0031]所述自动协商模块，还用于每当达到所述策略更新时间时，基于与所述策略更新时间对应的所述第二策略和所述SA信息进行IKE协商，更新所述数据库中的SA；当达到所述策略失效时间时，对所述第一策略、所述第二策略和所述数据库中的SA进行失效处理。
[0032]可选地，所述协商配置模块用于提供用户配置界面；接收用户通过所述用户配置界面输入的用户配置信息。
[0033]可选地，所述协商配置模块用于提供多种主题的用户配置界面，不同主题的用户配置界中预填写的内容不同；根据所述用户的选择操作，输出与所述用户的选择操作对应的用户配置界面。
[0034]可选地，所述用户配置信息采用可扩展标记语言XML格式存储。
[0035]可选地，当所述协商角色为接收方时，所述用户配置信息还包括协商白名单或协商黑名单和第三策略；所述自动协商模块，还用于当接收到IKE协商请求时，获取所述IKE协商请求中的身份信息；确认所述身份信息是否在所述协商白名单或协商黑名单中；若所述身份信息在所述协商白名单或不在所述协商黑名单中，则根据所述第三策略返回IKE协商应答；若所述身份信息不在所述协商白名单或在所述协商黑名单中，则丢弃所述IKE协商请求。
[0036]可选地，所述用户配置信息还包括失败阈值，所述自动协商模块，还用于在进行
IKE协商失败且失败次数达到所述阈值时，输出失败提示；在进行IKE协商失败但失败次数未达到所述阈值时，重新进行IKE协商。
[0037]可选地，该装置还包括：
[0038]协商保护模块，用于记录每次IKE协商的时间和结果，生成日志文件。
[0039]本公开至少一实施例提供了一种网络设备，所述网络设备包括处理器和存储器，所述存储器存储有至少一条程序代码，所述程序代码由所述处理器加载并执行以实现如前所述的网络密钥交换协商方法。
[0040]本公开至少一实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条程序代码，所述程序代码由处理器加载并执行以实现如前任一项所述的网络密钥交换协商方法。
[0041]本公开实施例提供的技术方案带来的有益效果是：
[0042]在本公开实施例中，在用户配置信息中配置网络设备的协商角色信息以及协商策略信息，这样，网络设备基于用户配置信息能够在协商本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络密钥交换协商方法，其特征在于，应用于网络设备，所述方法包括：获取用户配置信息，所述用户配置信息包括协商角色信息、协商策略信息、安全联盟SA信息，所述协商角色信息用于指示所述网络设备作为协商的发起方或接收方，所述协商策略信息用于指示协商采用的第一策略以及所述第一策略的策略生效时间、协商采用的至少一个第二策略以及每个所述第二策略的策略更新时间、策略失效时间，所述第一策略和所述第二策略用于指示协商过程中SA的选择，所述SA信息包括备选的SA；当所述协商角色为发起方且达到所述策略生效时间时，基于所述第一策略和所述SA信息进行网络密钥交换协议IKE协商，确定SA；将所述SA保存到数据库中；每当达到所述策略更新时间时，基于与所述策略更新时间对应的所述第二策略和所述SA信息进行IKE协商，更新所述数据库中的SA；当达到所述策略失效时间时，对所述第一策略、所述第二策略和所述数据库中的SA进行失效处理。2.根据权利要求1所述的方法，其特征在于，所述获取用户配置信息，包括：提供用户配置界面；接收用户通过所述用户配置界面输入的用户配置信息。3.根据权利要求2所述的方法，其特征在于，所述提供用户配置界面，包括：提供多种主题的用户配置界面，不同主题的用户配置界中预填写的内容不同；根据所述用户的选择操作，输出与所述用户的选择操作对应的用户配置界面。4.根据权利要求1至3任一项所述的方法，其特征在于，所述用户配置信息采用可扩展标记语言XML格式存储。5.根据权利要求1至3任一项所述的方法，其特征在于，当所述协商角色为接收方时，所述用户配置信息还包括协商白名单或协商黑名单和第三策略；所述方法还包括：当接收到IKE协商请求时，获取所述IKE协商请求中的身份信息；确认所述身份信息是否在所述协商白名单或协商黑名单中；若所述身份信息在所述协商白名单或不在所述协商黑名单中，则根据所述第三策略返回IKE协商应答；若所述身份信息不在所述协商...

【专利技术属性】
技术研发人员：周思承，樊荣，万立，王庆年，黄哲，王啸原，杨阳，周浩宇，黄秀，汪沛然，肖威，张勋臣，罗章琪，李晨琪，高照，赵大胜，叶耀文，刘思聪，文乐章，黄灿，
申请(专利权)人：武汉船舶通信研究所中国船舶重工集团公司第七二二研究所，
类型：发明
国别省市：