本发明专利技术公开了一种IKE协商方法,具体包括:发送端向网关发送协商报文,所述协商报文未携带配置信息;所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。该方法通过网关来设置配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。而且,网关能够根据网络安全情况动态修改配置信息,以确保协商的安全性。
【技术实现步骤摘要】
一种IKE协商方法
本专利技术涉及通信
,具体涉及一种IKE协商方法。
技术介绍
因特网协议安全(IPSec)是一种由IETF(InternetEngineeringTaskForce)设计的端到端的确保因特网IP层通信安全的机制,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥交换协议(IKE)和用于网络认证及加密的一些算法等。其中,IKE为IPSec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPSec的使用、管理、配置和维护工作。IKE协商通常需要进行ikesa(securityassociation)协商阶段的配置、预共享密钥配置、以及ipsecsa协商阶段的配置。其中ikesa协商阶段的配置包括:加密方法、认证方法、精确转发保密(PFS)协商方法、Diffie-Hellman(DH)组、ikesa超时时间等,而ipsecsa协商阶段的配置包括加密方法、认证方法、ipsecsa超时时间、流量超时、流保护配置等。以上各种配置必须保证IPSec隧道两端完全相同(其中流保护配置必需保证两端对称),才能协商通过,而且配置后若有修改,必须两端同时进行修改,使得IKE协商过程复杂。
技术实现思路
(一)要解决的技术问题本专利技术主要解决现有技术中IKE协商时IPSec隧道两端配置复杂、维护成本高的技术问题。(二)技术方案本专利技术提供了一种IKE协商方法,包括以下步骤:A、发送端向网关发送协商报文,所述协商报文未携带配置信息;B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。其中,所述发送端和接收端为带IPSec隧道功能的网络设备。其中,所述网关将配置信息设置在所述协商报文中具体包括:所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。可选的,所述网关具有动态监测网络安全的功能,所述网关将配置信息设置在所述协商报文中具体包括:所述网关根据网络安全状况将配置信息设置在所述协商报文中。(三)有益效果本专利技术提供了一种IKE协商方法,该方法通过网关来设置配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。而且,网关能够根据网络安全情况动态修改配置信息,以确保协商的安全性。附图说明图1是本专利技术方法的流程图;图2是本专利技术中网络系统的结构框图;图3是本专利技术实施例的流程图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。图1是本专利技术方法的流程图,包括以下步骤:A、发送端向网关发送协商报文,所述协商报文未携带配置信息;B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。其中,所述发送端和接收端为带IPSec隧道功能的网络设备。其中,所述网关将配置信息设置在所述协商报文中具体包括:所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。可选的,所述网关具有动态监测网络安全的功能,所述网关将配置信息设置在所述协商报文中具体包括:所述网关根据网络安全状况将配置信息设置在所述协商报文中。图2是本专利技术实施例中网络系统的结构框图,FWa设备和FWb设备为带IPSec隧道功能的网络设备,NAT设备为安全网关(可带动态监测网络安全的功能)。图3是本专利技术实施例的流程图,具体实施步骤如下:步骤S1,FWa设备与FWb设备建立IPSec隧道,进行IKE协商。步骤S2,FWa设备作为主动发起协商的设备,向NAT设备发送协商报文,该协商报文中未携带配置信息(正常情况下IKE协商报文中会携带配置信息)。步骤S3,当NAT设备发现有IKE协商报文通过时,将配置信息设置在上述协商报文中,之后将此报文转发给FWb设备。步骤S4,FWb设备接收到NAT设备转发来的IKE协商报文后,直接接受其配置信息,并使用此配置信息进行回应。本专利技术在网关设备上实现配置信息的加载,可通过修改网关上的配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。此外,加密方法和认证方法等配置的不同会使整个协商的安全级别不同,例如加密方法中的数据加密算法(DES)的加密复杂度没有高级加密算法(AES)高,可通过NAT设备自动检测网络安全状况来动态修改配置信息,以提高协商安全等级。而且,网关通常带有主动检测网络是否被攻击的功能,可实现当网络出现不安全的情况时,网关动态修改加密方法、认证方法、PFS配置和DH配置来提高协商的安全性,动态保证协商过程和加密数据的安全。以上所述仅是本专利技术的优选实施方式,应当指出,对于本
的普通技术人员来说,在不脱离本专利技术技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本专利技术的保护范围。本文档来自技高网...
【技术保护点】
一种IKE协商方法,其特征在于,包括以下步骤:A、发送端向网关发送协商报文,所述协商报文未携带配置信息;B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。
【技术特征摘要】
1.一种IKE协商方法,其特征在于,包括以下步骤:A、发送端向网关发送协商报文,所述协商报文未携带配置信息;B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应;所述网关将配置信息设置在所述协商...
【专利技术属性】
技术研发人员:陈海滨,
申请(专利权)人:汉柏科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。