CN102891847B - 一种防止ike破解的方法 - Google Patents
一种防止ike破解的方法 Download PDFInfo
- Publication number
- CN102891847B CN102891847B CN201210358061.6A CN201210358061A CN102891847B CN 102891847 B CN102891847 B CN 102891847B CN 201210358061 A CN201210358061 A CN 201210358061A CN 102891847 B CN102891847 B CN 102891847B
- Authority
- CN
- China
- Prior art keywords
- equipment
- outer net
- intranet
- ike
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明涉及网络安全技术领域,公开了一种防止IKE破解的方法,包括以下步骤:S1、内网设备设置黑名单;S2、同一外网设备多次向所述内网设备发起IKE连接请求,判断连接是否成功,如果连接失败,则记录连接失败的次数,如果连接失败的次数超过预设阈值,则将所述外网设备的IP地址记入所述黑名单;如果连接成功,则所述外网设备访问所述内网设备。本发明解决了黑客使用不断变换配置信息和密钥的方式进行尝试性连接,而破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息的问题。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种防止IKE破解的方法。
背景技术
因特网协议安全(IPSec)是一种由IETF(InternetEngineeringTaskForce)设计的端到端的确保因特网IP层通信安全的机制,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥交换协议(IKE)和用于网络认证及加密的一些算法等。
在实现IPSec业务应用时,通常采用站到站连接(例如客户端到客户端的廉价)或远端接入(例如客户端与服务器的连接)的方式实现外网与内网相连接,此时采用站到站连接或远端接入是建立IPSec隧道的两种方法。在内网配置好IPSec属性信息和密钥后就会等待外网设备发起连接请求,在外网设备发起连接请求之后,若其所携带的配置信息和密钥与内网设备的完全相同时即可通过认证,然后双方建立IPSec隧道,此时可能会出现两个问题:1、如果该外网设备是黑客,该黑客获取了内网设备的用于对外IKE连接的IP地址,并发起大量的IKE协商,则会导致内网设备一直处于繁忙状态,从而导致内网设备瘫痪;2、在黑客获取了内网设备的用于对外IKE连接的IP地址之后,可使用不断变换配置信息和密钥的方式进行尝试性连接,黑客通过这种方式最终会破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何解决黑客使用不断变换配置信息和密钥的方式进行尝试性连接,而破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息的问题。
(二)技术方案
为了解决上述技术问题,本发明提供了一种防止IKE破解的方法,包括以下步骤:
S1、内网设备设置黑名单;
S2、同一外网设备多次向所述内网设备发起IKE连接请求,判断连接是否成功,如果连接失败,则记录连接失败的次数,如果连接失败的次数超过预设阈值,则将所述外网设备的IP地址记入所述黑名单;如果连接成功,则所述外网设备访问所述内网设备。
优选地,在步骤S2中,所述外网设备向内网设备发起IKE连接请求的过程中,所述外网设备与内网设备进行IKE协商。
优选地,在步骤S2中,所述外网设备与内网设备进行IKE协商的过程中,所述外网设备向内网设备发送IKE协商报文,所述IKE协商报文携带配置信息和密钥。
优选地,在步骤S2中,当所述外网设备所发送的协商报文中所携带的配置信息或者密钥与所述内网设备中所存储的配置信息或密钥不同,则判断为连接失败。
优选地,所述预设阈值为3次。
优选地,所述配置信息包括加密密钥和协商策略。
优选地,所述内网为局域网,所述外网为广域网。
(三)有益效果
上述技术方案具有如下优点:本发明通过设置黑名单,当有外网设备试图与内网设备建立IKE连接时,如果多次连接失败(由于配置信息或密钥导致的连接失败计1次,由网络原因造成的协商丢包不计数),则将此外网设备的IP地址记入黑名单,必须由管理员进行解锁才能再次进行连接,从而解决了黑客使用不断变换配置信息和密钥的方式进行尝试性连接,而破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息的问题。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,本发明提供了一种防止IKE破解的方法,包括以下步骤:
S1、内网设备设置黑名单;
S2、同一外网设备多次向所述内网设备发起IKE连接请求,判断连接是否成功,如果连接失败,则记录连接失败的次数,如果连接失败的次数超过预设阈值,则将所述外网设备的IP地址记入所述黑名单,再次连接时则直接丢弃此协商报文,如果想恢复继续连接,则必须由管理员进行解锁才能再次进行连接;如果连接成功,则所述外网设备访问所述内网设备。
本实施例中,在步骤S2中,所述外网设备向内网设备发起IKE连接请求的过程中,所述外网设备与内网设备进行IKE协商。
本实施例中,在步骤S2中,所述外网设备与内网设备进行IKE协商的过程中,所述外网设备向内网设备发送IKE协商报文,所述IKE协商报文携带配置信息和密钥。
本实施例中,在步骤S2中,当所述外网设备所发送的协商报文中所携带的配置信息(或者密钥)与所述内网设备中所存储的、用于进行对外连接的配置信息(或者密钥)不同,则判断为连接失败。需要说明的是,本发明中,由于配置信息或密钥导致的连接失败计1次,而由网络原因造成的协商丢包不计数。
本实施例中,所述预设阈值为3次。
本实施例中,所述配置信息包括加密密钥和协商策略。
本实施例中,所述内网为局域网,所述外网为广域网,所述内网设备和外网设备均为常用的网络设备,例如网关、路由器等。
由以上实施例可以看出,本发明通过设置黑名单,当有外网设备试图与内网设备建立IKE连接时,如果多次连接失败(由于配置信息或密钥导致的连接失败计1次,由网络原因造成的协商丢包不计数),则将此外网设备的IP地址记入黑名单,必须由管理员进行解锁才能再次进行连接,从而解决了黑客使用不断变换配置信息和密钥的方式进行尝试性连接,而破解内网设备的对外配置信息和密钥,从而实现连接,窃取内网信息的问题。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (7)
1.一种防止IKE破解的方法,其特征在于,包括以下步骤:
S1、内网设备设置黑名单;
S2、同一外网设备多次向所述内网设备发起IKE连接请求,所述内网设备判断连接是否成功,如果连接失败,则记录连接失败的次数,如果连接失败的次数超过预设阈值,则将所述外网设备的IP地址记入所述黑名单,再次连接时则直接丢弃协商报文,如果想恢复继续连接,则必须由管理员进行解锁才能再次进行连接;如果连接成功,则所述外网设备访问所述内网设备;
其中,由于配置信息或密钥导致的连接失败计1次,而由网络原因造成的协商丢包不计数。
2.如权利要求1所述的方法,其特征在于,在步骤S2中,所述外网设备向内网设备发起IKE连接请求的过程中,所述外网设备与内网设备进行IKE协商。
3.如权利要求2所述的方法,其特征在于,在步骤S2中,所述外网设备与内网设备进行IKE协商的过程中,所述外网设备向内网设备发送IKE协商报文,所述IKE协商报文携带配置信息和密钥。
4.如权利要求3所述的方法,其特征在于,在步骤S2中,当所述外网设备所发送的协商报文中所携带的配置信息或者密钥与所述内网设备中所存储的配置信息或密钥不同,则判断为连接失败。
5.如权利要求1所述的方法,其特征在于,所述预设阈值为3次。
6.如权利要求3所述的方法,其特征在于,所述配置信息包括加密密钥和协商策略。
7.如权利要求1~6中任一项所述的方法,其特征在于,所述内网为局域网,所述外网为广域网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210358061.6A CN102891847B (zh) | 2012-09-24 | 2012-09-24 | 一种防止ike破解的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210358061.6A CN102891847B (zh) | 2012-09-24 | 2012-09-24 | 一种防止ike破解的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102891847A CN102891847A (zh) | 2013-01-23 |
| CN102891847B true CN102891847B (zh) | 2016-08-03 |
Family
ID=47535214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210358061.6A Expired - Fee Related CN102891847B (zh) | 2012-09-24 | 2012-09-24 | 一种防止ike破解的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102891847B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262409A (zh) * | 2008-04-23 | 2008-09-10 | 华为技术有限公司 | 虚拟私有网络vpn接入方法和装置 |
| CN102342142A (zh) * | 2009-03-06 | 2012-02-01 | 交互数字专利控股公司 | 无线设备的平台确认和管理 |
-
2012
- 2012-09-24 CN CN201210358061.6A patent/CN102891847B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262409A (zh) * | 2008-04-23 | 2008-09-10 | 华为技术有限公司 | 虚拟私有网络vpn接入方法和装置 |
| CN102342142A (zh) * | 2009-03-06 | 2012-02-01 | 交互数字专利控股公司 | 无线设备的平台确认和管理 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102891847A (zh) | 2013-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11159361B2 (en) | Method and apparatus for providing notification of detected error conditions in a network | |
| US9461975B2 (en) | Method and system for traffic engineering in secured networks | |
| EP1774750B1 (en) | Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations | |
| JP2023116573A (ja) | クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ | |
| US20070055752A1 (en) | Dynamic network connection based on compliance | |
| US8601103B2 (en) | Method, apparatus and system for distributing and enforcing authenticated network connection policy | |
| CN107667509A (zh) | 使用网络接入令牌控制面办法的针对下行链路话务的高效策略实施 | |
| US20090064291A1 (en) | System and method for relaying authentication at network attachment | |
| JP2005025739A5 (zh) | ||
| CN101064605B (zh) | 一种多主机网络的aaa系统及认证方法 | |
| EP3510803B1 (en) | Secure link layer connection over wireless local area networks | |
| US20220263811A1 (en) | Methods and Systems for Internet Key Exchange Re-Authentication Optimization | |
| WO2016066027A1 (zh) | 一种媒体传输方法和设备 | |
| CN105959950A (zh) | 一种无线接入系统及其连接方法 | |
| Liyanage et al. | Secure hierarchical virtual private LAN services for provider provisioned networks | |
| CN102891847B (zh) | 一种防止ike破解的方法 | |
| Liyanage et al. | Novel secure VPN architectures for LTE backhaul networks | |
| JP2009217722A (ja) | 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム | |
| CN101018232A (zh) | 一种基于ppp协议的认证方法、系统及其装置 | |
| WO2014121614A1 (zh) | 无线局域网络与固网交互中实现认证及计费的方法及系统 | |
| CN107733931A (zh) | 入口认证方法、装置及入口服务器 | |
| Goodloe et al. | L3A: A protocol for layer three accounting | |
| Okwuibe | Performance evaluation of HIP-based network security solutions | |
| CN102843281B (zh) | 一种访问局域网的方法 | |
| JP2010287944A (ja) | 通信システムおよび通信制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20160803 |
|
| PP01 | Preservation of patent right | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20160803 |
|
| PD01 | Discharge of preservation of patent | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160803 Termination date: 20180924 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |