CN102868523B - 一种ike协商方法 - Google Patents
一种ike协商方法 Download PDFInfo
- Publication number
- CN102868523B CN102868523B CN201210346974.6A CN201210346974A CN102868523B CN 102868523 B CN102868523 B CN 102868523B CN 201210346974 A CN201210346974 A CN 201210346974A CN 102868523 B CN102868523 B CN 102868523B
- Authority
- CN
- China
- Prior art keywords
- configuration information
- gateway
- negotiation
- negotiation packet
- ike
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种IKE协商方法,具体包括:发送端向网关发送协商报文,所述协商报文未携带配置信息;所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。该方法通过网关来设置配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。而且,网关能够根据网络安全情况动态修改配置信息,以确保协商的安全性。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种IKE协商方法。
背景技术
因特网协议安全(IPSec)是一种由IETF(Internet Engineering Task Force)设计的端到端的确保因特网IP层通信安全的机制,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥交换协议(IKE)和用于网络认证及加密的一些算法等。其中,IKE为IPSec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPSec的使用、管理、配置和维护工作。
IKE协商通常需要进行ike sa(security association)协商阶段的配置、预共享密钥配置、以及ipsec sa协商阶段的配置。其中ike sa协商阶段的配置包括:加密方法、认证方法、精确转发保密(PFS)协商方法、Diffie-Hellman(DH)组、ike sa超时时间等,而ipsec sa协商阶段的配置包括加密方法、认证方法、ipsec sa超时时间、流量超时、流保护配置等。
以上各种配置必须保证IPSec隧道两端完全相同(其中流保护配置必需保证两端对称),才能协商通过,而且配置后若有修改,必须两端同时进行修改,使得IKE协商过程复杂。
发明内容
(一)要解决的技术问题
本发明主要解决现有技术中IKE协商时IPSec隧道两端配置复杂、维护成本高的技术问题。
(二)技术方案
本发明提供了一种IKE协商方法,包括以下步骤:
A、发送端向网关发送协商报文,所述协商报文未携带配置信息;
B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;
C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。
其中,所述发送端和接收端为带IPSec隧道功能的网络设备。
其中,所述网关将配置信息设置在所述协商报文中具体包括:
所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。
可选的,所述网关具有动态监测网络安全的功能,所述网关将配置信息设置在所述协商报文中具体包括:
所述网关根据网络安全状况将配置信息设置在所述协商报文中。
(三)有益效果
本发明提供了一种IKE协商方法,该方法通过网关来设置配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。而且,网关能够根据网络安全情况动态修改配置信息,以确保协商的安全性。
附图说明
图1是本发明方法的流程图;
图2是本发明中网络系统的结构框图;
图3是本发明实施例的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是本发明方法的流程图,包括以下步骤:
A、发送端向网关发送协商报文,所述协商报文未携带配置信息;
B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;
C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应。
其中,所述发送端和接收端为带IPSec隧道功能的网络设备。
其中,所述网关将配置信息设置在所述协商报文中具体包括:
所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。
可选的,所述网关具有动态监测网络安全的功能,所述网关将配置信息设置在所述协商报文中具体包括:
所述网关根据网络安全状况将配置信息设置在所述协商报文中。
图2是本发明实施例中网络系统的结构框图,FWa设备和FWb设备为带IPSec隧道功能的网络设备,NAT设备为安全网关(可带动态监测网络安全的功能)。
图3是本发明实施例的流程图,具体实施步骤如下:
步骤S1,FWa设备与FWb设备建立IPSec隧道,进行IKE协商。
步骤S2,FWa设备作为主动发起协商的设备,向NAT设备发送协商报文,该协商报文中未携带配置信息(正常情况下IKE协商报文中会携带配置信息)。
步骤S3,当NAT设备发现有IKE协商报文通过时,将配置信息设置在上述协商报文中,之后将此报文转发给FWb设备。
步骤S4,FWb设备接收到NAT设备转发来的IKE协商报文后,直接接受其配置信息,并使用此配置信息进行回应。
本发明在网关设备上实现配置信息的加载,可通过修改网关上的配置信息,使IPSec隧道两端实现缺省配置,简化维护成本。
此外,加密方法和认证方法等配置的不同会使整个协商的安全级别不同,例如加密方法中的数据加密算法(DES)的加密复杂度没有高级加密算法(AES)高,可通过NAT设备自动检测网络安全状况来动态修改配置信息,以提高协商安全等级。
而且,网关通常带有主动检测网络是否被攻击的功能,可实现当网络出现不安全的情况时,网关动态修改加密方法、认证方法、PFS配置和DH配置来提高协商的安全性,动态保证协商过程和加密数据的安全。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (3)
1.一种IKE协商方法,其特征在于,包括以下步骤:
A、发送端向网关发送协商报文,所述协商报文未携带配置信息;
B、所述网关将配置信息设置在所述协商报文中,然后将携带所述配置信息的协商报文转发给接收端;
C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后,直接接受所述配置信息,并使用所述配置信息对所述发送端进行回应;
所述网关将配置信息设置在所述协商报文中具体包括:
所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。
2.如权利要求1所述的协商方法,其特征在于,所述发送端和接收端为带IPSec隧道功能的网络设备。
3.如权利要求1所述的协商方法,其特征在于,所述网关具有动态监测网络安全的功能,所述网关将配置信息设置在所述协商报文中具体包括:
所述网关根据网络安全状况将配置信息设置在所述协商报文中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210346974.6A CN102868523B (zh) | 2012-09-18 | 2012-09-18 | 一种ike协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210346974.6A CN102868523B (zh) | 2012-09-18 | 2012-09-18 | 一种ike协商方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102868523A CN102868523A (zh) | 2013-01-09 |
| CN102868523B true CN102868523B (zh) | 2017-05-24 |
Family
ID=47447130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210346974.6A Expired - Fee Related CN102868523B (zh) | 2012-09-18 | 2012-09-18 | 一种ike协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102868523B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312713B (zh) * | 2013-06-13 | 2016-08-10 | 北京星网锐捷网络技术有限公司 | 安全联盟协商方法、装置及网络设备 |
| CN104283701A (zh) * | 2013-07-03 | 2015-01-14 | 中兴通讯股份有限公司 | 配置信息的下发方法、系统及装置 |
| CN104579942B (zh) * | 2013-10-17 | 2019-04-16 | 中兴通讯股份有限公司 | 网络报文的转发方法及装置 |
| CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
| CN111614796B (zh) * | 2020-04-30 | 2023-03-24 | 网络通信与安全紫金山实验室 | 使用手工密钥配置IPsec隧道穿越NAT的方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1515107A (zh) * | 2001-06-29 | 2004-07-21 | 英特尔公司 | 互联网协议安全隧道的动态配置 |
-
2012
- 2012-09-18 CN CN201210346974.6A patent/CN102868523B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1515107A (zh) * | 2001-06-29 | 2004-07-21 | 英特尔公司 | 互联网协议安全隧道的动态配置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102868523A (zh) | 2013-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101155183B (zh) | 处理巢状网际网络安全协议信道的方法及网络装置 | |
| CN102868523B (zh) | 一种ike协商方法 | |
| CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
| EP2161872A1 (en) | Network relay device, communication terminal, and encryption communication method | |
| CN102318313B (zh) | 不加密的网络操作解决方案 | |
| CN105376737B (zh) | 机器到机器的蜂窝通信安全性 | |
| CN102420770B (zh) | Ike报文协商方法及设备 | |
| CA2650050A1 (en) | Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices | |
| CN102571497A (zh) | 一种IPSec隧道故障检测的方法、装置及系统 | |
| WO2011130554A3 (en) | Power savings through cooperative operation of multiradio devices | |
| CN108353282A (zh) | 用于使用支持多个连接性和服务上下文的安全模型的无线通信的方法和装置 | |
| CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
| JP2012010254A (ja) | 通信装置、通信方法及び通信システム | |
| CN102761553A (zh) | IPSec SA协商方法及装置 | |
| WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
| KR101448866B1 (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
| CN108966217B (zh) | 一种保密通信方法、移动终端及保密网关 | |
| CN103888334A (zh) | IP分组网中VoIP多层加密方法及系统 | |
| CN105848140A (zh) | 一种5g网络中能够实现通信监管的端到端安全建立方法 | |
| CN110024432B (zh) | 一种x2业务传输方法及网络设备 | |
| CN103023741A (zh) | Vpn设备故障处理方法 | |
| Berthier et al. | Reconciling security protection and monitoring requirements in advanced metering infrastructures | |
| CN103200191B (zh) | 通信装置和无线通信方法 | |
| CN102595395A (zh) | 一种中继节点的认证方法及系统 | |
| CN102868522B (zh) | 一种ike协商异常的处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20170524 |
|
| PP01 | Preservation of patent right | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20170524 |
|
| PD01 | Discharge of preservation of patent | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170524 Termination date: 20180918 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |