本发明专利技术实施例公开了一种配置IPSEC安全策略的方法,包括:利用随机产生的密钥和预先确定的对端节点信息生成安全联盟和安全策略;基于所生成的安全联盟和安全策略与对端节点进行协商,确定可用的安全联盟和安全策略,并从所述可用的安全联盟和安全策略中选择采用的安全联盟和安全策略并保存;利用所述选择的安全联盟和安全策略对IPSEC安全协议栈进行配置。本发明专利技术实施例还提供了相应的IPSEC安全策略配置装置。根据本发明专利技术,可简化配置过程,降低成本。可实现自动配置、自动更新IPSEC安全联盟和安全策略,提高可靠性和安全性,降低系统维护代价。
【技术实现步骤摘要】
本专利技术涉及通信信息安全
,具体涉及配置IPSEC安全策略的方法和装置。
技术介绍
随着信息化和互联网技术的不断发展和深入,数据传输过程中的安全性问题日益突出,解决网络传输安全的一个最常用的技术是IP层协议安全结构(IPsec, Security Architecture for IP network), IPsec在IP层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。而组建IPSEC安全网络,其中最重要的一步是配置IPSEC的安全联盟(the SecurityAssociation )和安全策略。安全联盟决定了用来保护数据包安全的IPSEC协议、密钥以及密钥的生存周期等,安全策略决定对数据流采用什么样的安全措施。安全联盟的建立和密钥管理采用两种方式实现, 一种方式是手动配置,所有的信息都需要手动配置,配置的安全联盟(如果不进行手动修改)一直存在。另一种方式是自动配置,如因特网密钥交换协议(IKE,Internet Key Exchange Protocol )协商,安全联盟都是通过协商产生,每条安全联盟都有一定的生命周期。安全策略的配置都是使用手动配置一定的访问控制列表(ACL, Access Control List)身见则,结合配置的安全联盟,以此决定对数据流采用的安全措施。安全联盟和安全策略的配置不管是否采用IKE协商,配置管理员都需要掌握IPSEC基础知识,并且配置过程比较繁瑣。对于小型安全网络应用,如远程灾备,数据迁移等,如果采用防火墙或安全路由器,成本较高,部署代价较大。现有技术中提供了一种更适宜的解决方案,只需要将原来的普通网卡替换为IPSEC智能卡,不仅可以解决数据传输过程中的安全性问题,同时对原有业务流程不产生任何冲击,IPSEC的处理是透明的。在这种应用环境下,IPSEC的配置仍然需要用户参与,用户需要掌握IPSEC基础知识才能完成IPSEC智能卡的部署。现有技术中的一种手动配置IPSEC安全联盟和安全策略的方案,用户根据组网环境,确定IPSEC安全联盟和安全策略,然后配置到每台设备上。每条安全联盟和安全策略需要配置源IP、目的IP、源端口、目的端口、SPI、安全协议、IPSEC封装才莫式、隧道源IP、隧道目的IP、密钥等。如果网络环境发生变化,还需要重新配置。该方案中,每条安全联盟和策略配置很复杂,由网络管理人员制定和配置,工作量大容易出现人为错误,人员流动,系统部署和配置周期长。易于造成安全漏洞,存在安全隐患。现有技术中的另一实现方案是釆用IKE协商IPSEC安全联盟方式,而IPSEC策略采用手动配置方式。IPSEC智能卡需要支持IKE协商功能,用户根据组网环境,制定IPSEC策略和IKE协商规则,从而完成整个IPSEC安全网络的配置。采用IKE协商有三种方式,预共享密钥、证书+数字签名、RSA加密临时值。密钥管理服务器和授权认证(CA Certification Authority)服务器,只有在证书+数字签名模式下才需要部署。采用IKE协商,首先协商IKE的安全联盟,之后协商IPSEC的安全联盟。IPSEC安全策略的配置仍然需要根据网络环境由用户手动配置。该方案的缺点是,IKE协商的配置过程比较复杂,甚至需要部署密钥管理服务器和CA服务器,成本较高;若采用预共享密钥方式,密钥的管理复杂,且存在泄密风险;IPSEC安全策略仍然需要手动配置,IPSEC智能卡的配置过程对用户仍然不透明,需要用户具备IPSEC知识才支能。
技术实现思路
本专利技术实施例提供一种配置工PSEC安全策略的方法和IPSEC智能卡,可实现自动配置、自动更新IPSEC安全联盟和安全策略,提高可靠性和安全性高,降低系统维护代价。本专利技术实施例提供的一种配置IPSEC安全策略的方法,包括利用随机产生的密钥和预先确定的对端节点信息生成第 一 安全联盟和第一安全策略;5基于所述生成的第一安全联盟和第一安全策略与对端节点进行协商, 确定可用的安全联盟和安全策略,并从所述可用的安全联盟和安全策略中 选择采用的安全联盟和安全策略并保存;利用所述选择的安全联盟和安全策略对IPSEC安全协议栈进行配置。 本专利技术实施例才是供的一种IPSEC安全策略配置装置,包括 安全联盟和安全策略产生模块,利用随机产生的密钥和预先配置的对 端节点信息生成第 一安全联盟和第 一安全策略;选择模块,基于所生成的第一安全联盟和第一安全策略与对端节点进 行协商,确定可用的安全联盟和安全策略,从所述可用的安全联盟和安全 策略中选择采用的安全联盟和安全策略;存储模块,用于保存所述选择模块确定采用的安全联盟和安全策略; 配置模块,用于根据所述选择才莫块确定采用的安全联盟和安全策略对 IPSEC安全协议栈进行配置。综上所述,本专利技术实施例提供的IPSEC安全联盟和安全策略的配置方 案,利用随机产生的密钥和预先确定的对端节点信息生成安全联盟和安全 策略;基于所生成的安全联盟和安全策略与对端节点进行协商,确定可用 的安全联盟和安全策略。极大简化配置过程,用户只需要配置通信的对端 节点,降低对用户的技能要求,加速配置过程。配置过程由IPSEC智能卡 独立完成,不需要额外设备支持,降低系统部署成本。IPSEC智能卡不仅 功能上而且配置上对业务系统完全透明,降低系统开销和管理代价,显著 提高系统二次开发速度。根据本专利技术可实现自动配置、自动更新IPSEC安 全联盟和安全策略,提高可靠性和安全性高,降低系统维护代价。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述 中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅 是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性 劳动的前提下,还可以根据这些附图获得其他的附图。图2为本专利技术实施例二提供的配置IPSEC安全联盟和安全策略的方法 流程图3为本专利技术实施例二中安全联盟和安全策略的协商流程图4为本专利技术实施例提供的一种IPSEC安全策略配置装置架构示意图5为本专利技术实施例提供的IPSEC安全策略配置装置中选择模块的构 成示意图6为本专利技术实施例提供的IPSEC安全策略配置装置中另一种选择模 块的构成示意图。具体实施例方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进 行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例, 而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的 范围。在IPSEC智能卡应用中,在节点间的通信明确的情况下,不需要配置 模糊的数据流处理策略,IPSEC间节点的通信是点对点的。基于这种对端 节点确定的情形,本专利技术实施例提供的配置IPSEC安全策略的方法及IPSEC 智能卡,将IPSEC的安全联盟和安全策略的配置简化,由IPSEC智能卡自动 配置,用户只需要配置通信的对端节点,而关于IPSEC的配置细节完全透 明。实施例一参照图1,本专利技术实施例^是供的一种配置IPSEC安全策略的方法,包括501, 利用随机产生的密钥和本文档来自技高网...
【技术保护点】
一种配置IPSEC安全策略的方法,其特征在于,包括: 利用随机产生的密钥和预先确定的对端节点信息生成第一安全联盟和第一安全策略; 基于所述生成的第一安全联盟和第一安全策略与对端节点进行协商,确定可用的安全联盟和安全策略,并从所述 可用的安全联盟和安全策略中选择采用的安全联盟和安全策略并保存; 利用所述选择的安全联盟和安全策略对IPSEC安全协议栈进行配置。
【技术特征摘要】
1、一种配置IPSEC安全策略的方法,其特征在于,包括利用随机产生的密钥和预先确定的对端节点信息生成第一安全联盟和第一安全策略;基于所述生成的第一安全联盟和第一安全策略与对端节点进行协商,确定可用的安全联盟和安全策略,并从所述可用的安全联盟和安全策略中选择采用的安全联盟和安全策略并保存;利用所述选择的安全联盟和安全策略对IPSEC安全协议栈进行配置。2、 如权利要求1所述的配置IPSEC安全策略的方法,其特征在于,所 述与对端节点进行协商的过程包括接收对端节点发送的第二协商报文,所述第二协商报文包含对端节点生 成的第二安全联盟和第二安全策略;将所述第二安全联盟和第二安全策略与所述第 一安全联盟和第 一安全 策略进行比对,得到比对结果,以确定可用的安全联盟和安全策略。3、 如权利要求1所述的配置IPSEC安全策略的方法,其特征在于,所 述与对端节点进行协商的过程包括获耳又本端的IPSEC智能卡ID;利用公用的密钥对所述第一安全联盟和第一安全策略加密,并进行数据 包封装,得到第一协商报文;将本端的IPSEC智能卡ID及所述第一协商报文发送给对端节点,以确 定可用的安全联盟和安全策略。4、 如权利要求1所述的配置IPSEC安全策略的,方法,其特征在于,所 述选择采用的安全联盟和安全策略,包括获取本端和对端的IPSEC智能卡ID,根据所述获取的IPSEC智能卡ID 从所述可用的安全联盟和安全策略中选择采用的安全联盟和安全策略。5、 如权利要求1所述的配置IPSEC安全策略的方法,其特征在于,还 ...
【专利技术属性】
技术研发人员:冷超,
申请(专利权)人:成都市华为赛门铁克科技有限公司,
类型:发明
国别省市:90[中国|成都]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。