CN1863048B - 用户与接入设备间因特网密钥交换协商方法 - Google Patents
用户与接入设备间因特网密钥交换协商方法 Download PDFInfo
- Publication number
- CN1863048B CN1863048B CN200510069141XA CN200510069141A CN1863048B CN 1863048 B CN1863048 B CN 1863048B CN 200510069141X A CN200510069141X A CN 200510069141XA CN 200510069141 A CN200510069141 A CN 200510069141A CN 1863048 B CN1863048 B CN 1863048B
- Authority
- CN
- China
- Prior art keywords
- user
- access device
- authentication
- key exchange
- internet key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种计算机领域中用户与接入设备间因特网密钥交换协商方法,接入用户必须在通过身份认证后,才能与接入设备进行IKE协商,而且第一次协商总是由接入设备发起,出发点是如果在认证前就进行IKE协商,即使协商成功,但没有通过认证,所进行的协商毫无意义可言。在用户通过认证后,协商可以是接入设备发起,也可以是用户发起。本发明所述方法没有修改IKE协商的流程,适用范围广,任何一个支持IPsec的终端都可以作为接入用户。而且用户与接入设备间的第一阶段协商预共享密钥可以做到每个用户一个密钥,很好的保证了安全性。克服现有技术存在的通用性差、对设备和系统要求较高的缺点。
Description
技术领域:
本发明涉及计算机领域,尤其涉及信息技术领域中的IP(InternetProtocol因特网协议)网络中需要进行身份认证的用户与接入设备之间进行IKE(Internet Key Exchange,因特网密钥交换)协商的方法。
背景技术:
因特网络的快速普及推动了因特网技术的迅速发展,目前广泛使用的IP网络在设计之初重点考虑了网络的可行性,也就是正确、快速的收发数据,但是却忽略了数据安全问题。攻击者可以在网络上窃听或是篡改数据,或是仿冒他人,甚至以恶劣的攻击方法攻击系统,使设备无法运作,进而使系统的运作瘫痪。在这样的情况下,IP网络上的安全问题日益受到重视。IPsec(IP security,IP安全)协议就是用来保护IP包的一种安全技术,该技术可以提供诸如数据完整性、机密性、数据源认证、抗重放攻击等功能。目前IPsec的应用已经很广泛,例如许多安全网关、路由器都使用IPsec VPN(Virtual Private Network,虚拟私有网络)技术保护一个网络到另一个网络的数据。另外,端到端设备使用IPsec功能的情况在目前也较为普遍。
在实际的网络运行中,有很多使用IP协议的接入用户通过电信运营商或集团内部提供的接入控制设备接入IP网,从而访问网络资源。由于核心网的设备基本上都在运营商的控制范围,因此安全威胁相对低一些,但接入部分的安全风险相对来说比较高,更容易受到各类攻击,特别是无线网络环境,问题更为突出。因此用户和运营商都比较关注。如果引入IPsec技术来保护接入用户与接入设备之间的数据就可以大大降低安全风险。
一般情况下的IPsec通信比较简单,双方地址确定,只需要进行相应的配置即可,所使用的安全联盟(Security Association,SA)有两种生成方式,一种是手工配置,另外一种是通过IKE进行协商。可是,在接入到网络之前必须通过接入控制器的身份认证,只有通过认证的合法用户才有资格访问网络上的信息,而且用户的地址可能由接入设备分配。另外,通常情况下,用户希望在接入网部分保护其到其他主机或服务器数据的安全,这就需要用户与接入设备间进行IKE协商,建立IPsec SA。因此身份认证的过程与IKE协商的过程如何协调,何时进行IKE协商、如何协商并且不相互影响就显得非常重要。美国专利申请20010020273,“Method of virtual private networkcommunication in security gateway apparatus and security gatewayapparatus using the same”提出了一种远程终端用户与安全网关通过IKE协商建立IPsec SA的方法,以保护用户与安全网关后某个主机的通信安全。但其中没有有关用户身份认证或接入控制的内容,另外,为了实现地址的分配,该方法修改了IKE协商的过程,将地址分配融入协商的第二阶段,因此安全网关和用户的IKE都不是标准的协议。用户侧和接入设备侧的IPsec功能都需要做修改,特别是用户侧需要使用与接入侧相配合的模块,通用性较差。
发明内容:
本发明所要解决的技术问题是克服现有技术存在的通用性差、对设备和系统要求较高的缺点,以期提出一种能够有效保证兼容现有通用标准协议、无需对现有设备和系统进行任何改变的用户与接入设备间因特网密钥交换协商方法。
本发明提出的用户与接入设备间因特网密钥交换协商方法,包括以下步骤:
步骤一:在接入设备上配置用户信息,以保证用户可进行身份认证;
步骤二:在接入设备上配置与某个用户进行IKE协商的参数,包括:
1.第一阶段协商所需要的加密算法、认证算法、模式、群类型、认证方式、第一阶段安全联盟的生命期等;
2.如果认证方式是预共享密钥,则配置与用户之间共享的密钥。
3.与用户间第二阶段协商所需要的协商粒度(即保护用户与哪个地址间的数据)、安全协议、封装模式、算法、第二阶段安全联盟(也就是IPsec安全联盟)的生命期等;
4.用某个标记表示该用户需要进行IKE协商。
步骤三:在接入用户侧进行IPsec配置,以保证用户和接入设备之间的数据不进行IPsec保护;
步骤四:在接入用户侧配置用户与安全接入设备之间的IPsec隧道参数,该隧道可以保护用户与一个IP网段(或IP地址,或任意地址,但一定不是接入设备IP地址)间的数据,协商的各种参数内容与步骤二相同;
步骤五:如果用户期望接入网络,则首先由接入设备(或者用户)发起身份认证的请求,认证方式不限(典型的方式是RADIUS-RemoteAuthorization Dial In User Service认证);用户与接入设备间执行认证流程(用户与接入设备之间以明文进行通信),如果认证通过,接入设备回送认证结果,并在接入设备上标识该用户已通过认证;该步骤中所交换的数据包均为明文包;在认证成功前,如果用户侧发起IKE协商请求,接入设备一律拒绝;
步骤六:当用户认证成功后,接入设备检查该用户的协商标志,如果发现配置为需要进行协商,则主动发起与用户的标准的IKE协商;如果协商成功,则接入设备与用户间成功建立IPsec安全联盟,如果协商不成功则转步骤八;
步骤七:由先过期的一端再次发起协商请求,以保证密钥的安全性,转步骤九;
步骤八:用户修改配置,并通过数据包再次触发协商请求,接入设备不再拒绝该请求;
步骤九:结束。
在配置用户与接入设备间进行IKE第一阶段协商的预共享密钥时,如果用户的IP地址是确定的,则以用户的IP地址配置,即一个IP地址对应一个密钥,如果不确定,如地址是通过某种协议分配的,则以用户的MAC地址配置。
在初次协商失败后,还有两种触发协商的情况:1)当接入设备接收到用户发来的明文数据包,通过检查发现,该数据包应该用IPsec保护,此时接入设备会发起协商;2)接入设备接收到某个设备发给用户的明文包,检查的结果是该数据包应该用IPsec保护,这种情况接入设备也会发起协商。如果协商始终不能成功,则用户与所配置的地址间的数据无法进行正常交换,数据包会被丢弃。
在用户下线时,包括主动下线和被动下线,接入设备将清除与该用户之间的第一阶段安全联盟和IPsec安全联盟。
本发明所述方法流程清晰简练,接入用户必须在通过身份认证后,才能与接入设备进行IKE协商,而且第一次协商总是由接入设备发起,出发点是如果在认证前就进行IKE协商,即使协商成功,但没有通过认证,所进行的协商毫无意义可言。在用户通过认证后,协商可以是接入设备发起,也可以是用户发起,没有特别的限制。另外该方法没有修改IKE协商的流程,适用范围广,任何一个支持IPsec的终端都可以作为接入用户。用户与接入设备间的第一阶段协商预共享密钥可以做到每个用户一个密钥,很好的保证了安全性。
附图说明:
图1是本发明所述方法流程图。
图2是本发明所述方法中对IKE协商控制过程流程图。
图3是本发明所述方法中用户发起协商过程流程图。
图4是作为本发明所述实施方式的网络结构图。
具体实施方式:
下面结合实例对技术方案的实施作进一步的详细描述:
本发明提出了接入用户与接入设备间进行IKE协商的一种流程,该方法实现的位置在接入设备上,该流程与原有的身份认证过程能很好的配合,不会对其他功能产生影响,协商的整个过程也完全遵循了协议的规定,并且有很好的安全性,为提高接入用户的安全性提供了一种切实可行的方案。另外接入用户一端所使用的IPsec功能可以是任何一种支持IPsec功能的硬件或软件,没有特殊限制,因此应用范围更广。
图1是本发明所述方法的主要流程示意图。该图介绍了用户和接入设备从配置、认证到IKE协商,以及使用SA进行保护的整个过程。图2是对IKE协商的一些控制情况,包括当用户没有进行身份认证前以及用户身份认证失败,接入设备不接受协商请求。图3是用户发起协商的情况,当用户通过认证后,由接入设备发起的第一次协商虽然失败,但用户可以继续发起协商。
具体情况如下所述:
一、在接入设备上进行用户信息的配置,保证用户可进行身份认证;
二、在接入设备上配置与某个用户进行IKE协商的参数,包括:
1、第一阶段协商所需要的加密算法、认证算法、模式、群类型、认证方式、第一阶段安全联盟的生命期等;
2、如果认证方式是预共享密钥,则配置与用户之间共享的密钥。
3、与用户间第二阶段协商所需要的协商粒度(即保护用户与哪个地址间的数据)、安全协议、封装模式、算法、第二阶段安全联盟(也就是IPsec安全联盟)的生命期等;
4、用某个标记表示该用户需要进行IKE协商。
三、在接入用户侧进行IPsec配置,保证用户和接入设备之间数据不进行IPsec保护,而是明文通信,以便用户可进行身份认证、地址分配等操作;
四、在接入用户侧配置用户与安全接入设备之间的IPsec隧道参数,该隧道可以保护用户与一个IP网段(或IP地址,或任意地址,但一定不是接入设备IP地址)间的数据,协商的各种参数内容与步骤二相同;
五、用户期望接入网络,则首先由接入设备(或者用户)发起身份认证的请求,认证方式不限(典型的方式是RADIUS-Remote Authorization DialIn User Service认证)。用户与接入设备间执行认证流程(用户与接入设备之间以明文进行通信),如果认证通过,接入设备回送认证结果,并在接入设备上标识该用户已通过认证。该步骤中所交换的数据包均为明文包;在认证成功前,如果用户侧发起IKE协商请求,接入设备一律拒绝;
六、当用户认证成功后,接入设备检查该用户的协商标志,如果发现配置为需要进行协商,则主动发起与用户的标准的IKE协商;
七、如果步骤六协商成功,则接入设备与用户间已成功的建立了IPsec安全联盟,用户与所配置的地址间的数据可用该安全联盟进行保护,防止被攻击者窜改和窃听。
八、由于IPsec安全联盟存在生命期,因此由先过期的一端再次发起协商请求,以保证密钥的安全性。
在配置用户与接入设备间进行IKE第一阶段协商的预共享密钥时,如果用户的IP地址是确定的,则以用户的IP地址配置,即一个IP地址对应一个密钥,如果不确定,如地址是通过某种协议分配的,则以用户的MAC地址配置;
如果上述的步骤六失败,也就是接入设备发起的初次协商失败,则可能的情况是两端配置不匹配,此时用户可修改配置,并通过数据包再次触发协商请求,这时的请求接入设备将不在拒绝,因为用户已通过了身份认证。
在初次协商失败后,还有两种触发协商的情况:1)当接入设备接收到用户发来的明文数据包,通过检查发现,该数据包应该用IPsec保护,此时接入设备会发起协商;2)接入设备接收到某个设备发给用户的明文包,检查的结果是该数据包应该用IPsec保护,这种情况接入设备也会发起协商;
如果协商始终不能成功,则用户与所配置的地址间的数据无法进行正常交换,数据包会被丢弃;
在用户下线时,包括主动下线和被动下线,接入设备将清除与该用户之间的第一阶段安全联盟和IPsec安全联盟。
实例所使用的网络结构如图4所示,用户通过无线局域网的方式接入网络,接入设备对用户的访问进行控制。用户和接入设备的IP地址分别是202.16.20.123和202.16.20.1。由于无线局域网的安全风险比较高,因此在无线链路这段使用IPsec对数据加密。用户期望在接入网络后,访问IP地址为202.17.30.2的服务器。具体步骤如下:
1.首先在接入设备上配置用户认证的数据;
2.在接入设备上配置与用户进行IKE协商的参数,主要是IKE第一阶段协商的算法、预共享密钥、群类型等,第二阶段协商的算法、封装模式、SA生命期和粒度等,其中SA的粒度是任意地址到用户(any<----->202.16.20.123),隧道的起始点是接入设备到用户(202.16.20.1<----->202.16.20.123);
3.在用户侧配置IPsec参数,首先保证用户与接入设备采用明文方式通信,其次用户到其他任意地址使用用户到接入设备的IPsec隧道进行保护,也就是说,SA的粒度是202.16.20.123<----->any,隧道的起始点是202.16.20.123<----->202.16.20.1,隧道的协商参数与接入设备相同;
4.用户希望接入网络,接入设备首先发起用户认证流程,用户输入正确的信息,通过了身份认证;
5.接着接入设备立刻发起IKE协商流程,通过报文交互,成功的建立了IPsec SA;
6.用户准备访问服务器,通过检查发现,服务器的地址满足IPsec SA的粒度范围(除接入设备以外的所有地址),因此用户与服务器的通信使用IPsec SA进行保护;
7.当SA过期后,由先过期的一方重新发起协商;
8.用户下线,接入设备清除与该用户间的SA。
Claims (9)
1.一种用户与接入设备间因特网密钥交换协商方法,其特征在于,包括以下步骤:
步骤一:在接入设备上配置用户信息,以保证用户可进行身份认证;
步骤二:在接入设备上配置与某个用户进行因特网密钥交换协商的参数,所述参数包括表示该用户需要进行因特网密钥交换协商的标记;
步骤三:在接入用户侧进行IPsec配置,以保证用户和接入设备之间的数据不进行IPsec保护;
步骤四:在接入用户侧配置用户与安全接入设备之间的IPsec隧道参数,所述隧道保护用户与一个IP网段间的数据,协商的各种参数内容与步骤二相同;
步骤五:如果用户期望接入网络,则首先由接入设备或者用户发起身份认证的请求;用户与接入设备间执行认证流程,认证通过后接入设备回送认证结果,并在接入设备上标识该用户已通过认证;在认证成功前,如果用户侧发起因特网密钥交换协商请求,接入设备一律拒绝;
步骤六:当用户认证成功后,接入设备检查该用户的协商标志,如果发现配置为需要进行协商,则接入设备主动发起与用户的标准的因特网密钥交换协商;如果协商成功,则接入设备与用户间成功建立IPsec安全联盟,如果协商不成功则转步骤八;
步骤七:由接入设备或接入用户中先过期的一端再次发起协商请求,以保证密钥的安全性,转步骤九;
步骤八:用户修改配置,并通过数据包再次触发协商请求,接入设备不再拒绝该请求;
步骤九:结束。
2.根据权利要求1所述的用户与接入设备间因特网密钥交换协商方法,其特征在于,步骤二中所述参数还包括:
(1)第一阶段协商所需要的加密算法、认证算法、模式、群类型、认证方式、第一阶段安全联盟的生命期;
(2)与用户间第二阶段协商所需要的协商粒度、安全协议、封装模式、算法、第二阶段安全联盟的生命期。
3.根据权利要求2所述的用户与接入设备间因特网密钥交换协商方法,其特征在于,如果认证方式是预共享密钥,则所述参数还包括与用户之间共享的密钥。
4.根据权利要求1所述的用户与接入设备间因特网密钥交换协商方法,其特征在于,所述步骤四中的IP网段为除接入设备IP地址之外的IP地址。
5.根据权利要求1所述的用户与接入设备间因特网密钥交换协商方法,其特征在于,步骤五中所述认证请求的认证方式为Remote AuthorizationDial In User Service认证。
6.根据权利要求1所述的用户与接入设备间因特网密钥交换协商方法,其特征在于,步骤五中所交换的数据包均为明文包。
7.根据权利要求1所述的用户与接入设备间因特网密钥交换协商方法,其特征在于,在配置用户与接入设备间进行因特网密钥交换第一阶段协商的预共享密钥时,如果用户的IP地址是确定的,则以用户的IP地址配置,即一个IP地址对应一个密钥,如果不确定,则以用户的MAC地址配置。
8.根据权利要求1所述的用户与接入设备间因特网密钥交换协商方法,其特征在于,在所述步骤六中,在初次协商失败后,还有两种触发协商的情况:1)当接入设备接收到用户发来的明文数据包,如果该数据包应该用IPsec保护,接入设备发起协商;2)接入设备接收到某个设备发给用户的明文数据包,检查结果如果是该数据包应该用IPsec保护,接入设备也发起协商。
9.根据权利要求1所述的用户与接入设备间因特网密钥交换协商方法,其特征在于,在用户下线时,包括主动下线和被动下线,接入设备将清除与该用户之间的第一阶段安全联盟和IPsec安全联盟。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200510069141XA CN1863048B (zh) | 2005-05-11 | 2005-05-11 | 用户与接入设备间因特网密钥交换协商方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200510069141XA CN1863048B (zh) | 2005-05-11 | 2005-05-11 | 用户与接入设备间因特网密钥交换协商方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1863048A CN1863048A (zh) | 2006-11-15 |
CN1863048B true CN1863048B (zh) | 2012-04-11 |
Family
ID=37390383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200510069141XA Expired - Fee Related CN1863048B (zh) | 2005-05-11 | 2005-05-11 | 用户与接入设备间因特网密钥交换协商方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1863048B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8327129B2 (en) | 2008-01-03 | 2012-12-04 | Hangzhou H3C Technologies Co., Ltd. | Method, apparatus and system for internet key exchange negotiation |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212465B (zh) * | 2006-12-26 | 2011-10-26 | 中兴通讯股份有限公司 | 因特网密钥交换协议第二版证书有效性验证的方法 |
CN101227485B (zh) * | 2008-02-04 | 2011-07-27 | 杭州华三通信技术有限公司 | 协商因特网密钥交换安全联盟生存周期的方法及设备 |
CN101997679A (zh) * | 2009-08-21 | 2011-03-30 | 华为终端有限公司 | 加密信息协商方法、设备及网络系统 |
CN102055733B (zh) * | 2009-10-30 | 2013-08-07 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
CN103188228B (zh) * | 2011-12-29 | 2018-05-01 | 中兴通讯股份有限公司 | 一种实现端到端安全防护的方法、安全网关及系统 |
WO2014100967A1 (zh) * | 2012-12-25 | 2014-07-03 | 华为技术有限公司 | 一种ipsec协商的方法、装置、设备和系统 |
CN104518874A (zh) * | 2013-09-26 | 2015-04-15 | 中兴通讯股份有限公司 | 一种网络接入控制方法和系统 |
CN106254204A (zh) * | 2016-09-28 | 2016-12-21 | 乐视控股(北京)有限公司 | 云环境下的Ipsec 隧道生命期的配置方法及装置 |
CN109510836A (zh) * | 2018-12-14 | 2019-03-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于TPM的IPsec会话边界控制装置及方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1350382A (zh) * | 2001-11-29 | 2002-05-22 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
CN1529531A (zh) * | 2003-10-17 | 2004-09-15 | ����ͨѶ�ɷ�����˾ | 一种移动用户接入安全网关的方法 |
-
2005
- 2005-05-11 CN CN200510069141XA patent/CN1863048B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1350382A (zh) * | 2001-11-29 | 2002-05-22 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
CN1529531A (zh) * | 2003-10-17 | 2004-09-15 | ����ͨѶ�ɷ�����˾ | 一种移动用户接入安全网关的方法 |
Non-Patent Citations (2)
Title |
---|
梁健等.因特网密钥交换协议的远程用户认证技术.通信技术 123.2002,(123),65-67. |
梁健等.因特网密钥交换协议的远程用户认证技术.通信技术 123.2002,(123),65-67. * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8327129B2 (en) | 2008-01-03 | 2012-12-04 | Hangzhou H3C Technologies Co., Ltd. | Method, apparatus and system for internet key exchange negotiation |
Also Published As
Publication number | Publication date |
---|---|
CN1863048A (zh) | 2006-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1863048B (zh) | 用户与接入设备间因特网密钥交换协商方法 | |
CN100563158C (zh) | 网络接入控制方法及系统 | |
US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
US8156231B2 (en) | Remote access system and method for enabling a user to remotely access terminal equipment from a subscriber terminal | |
US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
US7552323B2 (en) | System, apparatuses, methods, and computer-readable media using identification data in packet communications | |
CN1961557B (zh) | 通信网络中的安全连接方法和系统 | |
EP3432523A1 (en) | Method and system for connecting virtual private network by terminal, and related device | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
CN101695022B (zh) | 一种服务质量管理方法及装置 | |
CN1685694A (zh) | 支持多个虚拟操作员的公共无线局域网的会话密钥管理 | |
CA2597763A1 (en) | Context limited shared secret | |
CN1949705B (zh) | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 | |
US20080072280A1 (en) | Method and system to control access to a secure asset via an electronic communications network | |
CN101296138B (zh) | 一种无线终端配置生成方法、系统及其装置 | |
CN1842993A (zh) | 提供证书 | |
Kravets et al. | Mobile security solution for enterprise network | |
AU2003294304B2 (en) | Systems and apparatuses using identification data in network communication | |
CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
CN103188228A (zh) | 一种实现端到端安全防护的方法、安全网关及系统 | |
CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
CN115086085A (zh) | 一种新能源平台终端安全接入认证方法及系统 | |
KR20040088137A (ko) | 전송 암호화키 값 생성방법과 이를 적용한 상호인증보안방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120411 Termination date: 20200511 |
|
CF01 | Termination of patent right due to non-payment of annual fee |