专利名称:一种移动用户接入安全网关的方法
技术领域:
本发明是属于信息技术领域中的信息安全技术,具体地说,涉及移动用户在使用IKE协议接入安全网关时,如何实现利用IPSEC/IKE协议进行安全保护的方法。
背景技术:
IKE(Internet Key Exchange protocol)协议是一种普遍用于在Internet上完成密钥协商功能的协议。它主要配合IPSEC(IP Security),对IP层的数据包进行安全保护。IKE协议适用于通信双方直接进行会话密钥的协商,这就要求双方事先必需有对方的身份信息和秘密信息,用来认证对方的身份。随着无线网络的快速发展,移动用户的安全数据通讯愈来愈被人们所重视。因为移动用户经常变换所在的物理位置,所以无法保证总是在企业或专用的安全网络内进行数据通信。当他们通过Internet访问私有网络时,必然要考虑数据在Internet上传输时的安全性。常用的移动用户接入私有网络的安全网关的技术是IPSEC/IKE协议,它支持移动用户与安全网关之间协商会话密钥,建立IPSEC安全关联,为IP层的数据提供安全保护。
IKEv1协议的接入认证方式共有四种,由于公钥加密的计算量很大,所以通常的IKEv1的实现中只采用基于预共享密钥和数字签名的两种接入认证方式。但是,由于当前的公钥基础设施(PKI,Public Key Infrastructure)的建设很不完善,所以数字签名的接入认证方式使用有很大的局限性,多数的移动用户使用IKE协议接入安全网关的认证方式都是基于预共享密钥的形式。
通常,移动用户使用IKE与安全网关连接时,需要用户的身份标识。在IKEv1中,用户的身份标识有多种,例如用户域名(user_fqdn)、完整域名(fqdn)和IP地址(ip_addr)等。在与用户连接时,安全网关通过用户身份来确定相应的安全数据,进行身份认证。当移动用户使用数值签名形式提供身份信息时,那么相应的安全数据也同时提供;而当移动用户采用预共享密钥方式进行身份认证时,必须通过发送ID信息来指明自己的身份,让安全网关能够查找匹配的认证信息来对它进行身份认证。然而在使用IKEv1第一阶段的主模式进行身份保护时,安全网关只能通过移动用户的IP地址来匹配预共享密钥,这样就由于移动用户IP地址的不确定性,将导致无法实现接入认证。如果采用IKEv1第一阶段的积极模式时,由于不对移动用户的ID信息进行加密,则可以快捷地完成接入认证。当前有些类似的实现方法,采用的方法是利用主模式实现IKE第一阶段的信息交换,要求所有的移动用户使用同一个默认的预共享密钥,这样的接入认证的安全性会受到很大的影响。
安全策略数据库为IKE自动进行第二阶段的协商提供安全信息资料,由于移动用户的IP地址不确定性,使得无法为其配置固定安全策略,需要动态生成协商安全关联所需要的临时安全策略。
发明内容
本发明主要提出了一套完整的安全高效的移动用户接入安全网关的实现方法,主要是针对移动用户采用预共享密钥的方式来实现接入认证时的实现方法,包括接入认证方式的配置、安全策略的配置和管理、以及安全联盟的生成和维护等方面内容。
本发明所述移动用户接入安全网关的方法如下一、在IKE协议配置中,当移动用户采用预共享密钥的方式来实现接入认证时,将他们的ID配置信息设置为非IP地址类型的,如用户域名(user_fqdn)、完整域名(fqdn)或其它在IKEv1中支持的形式;移动用户的接入认证模式设置为积极模式;二、在安全网关和移动用户的客户端的安全策略数据库中,为移动用户专门设置通用的安全策略模板,用来为移动用户动态地生成临时安全策略;三、在IKE的第二阶段的协商中,安全网关和移动用户遵循各自的临时安全策略进行安全关联的协商,生成一次会话所需要的安全关联;当会话持续较长久时,安全关联可以更新,但安全策略不需要更新;四、移动用户的临时安全策略在一次会话结束后,将被自动删除;删除临时安全策略的判断标准是,当隶属于该临时安全策略的安全关联的状态为DEAD。
五、利用IKE进程设置时间调度,定期查看由临时安全策略生成的安全关联的生命期是否到期;当安全关联的生命期到期了,就查看临时安全策略是否记录着安全关联的为正在协商新的,如果是正在协商就不做处理,如果没有处于正在协商状态,就设置安全关联的状态为DEAD,然后删除安全关联和临时安全策略。
上述的第一个步骤中,移动用户的身份ID不需要是在安全网关上申请的,但必须确保在安全网关上的用户名与预共享密钥是对应的。用户的密钥的存储可以是本地决定的,只要能够满足安全需求就可以了。
上述的第一个步骤中,积极模式可以针对所有移动用户设置,也可以针对单个移动用户配置。因为有些移动用户可能采用的是数字签名的认证方式,所以可以采用IKE的主模式进行第一阶段的信息交换。
上述的第二个步骤中,主要包括以下几个方面1、安全策略模板必须包括以下内容安全策略的选择符、数据包的处理方式(应用、通过、丢弃)、转码类型(包括协议和算法)等;2、安全策略模板是一条特殊类型的安全策略记录,和其他类型的安全策略一样存储到安全策略数据库中。当移动用户发起第二阶段的协商时,由于模板策略的源地址为零,所以当无法查找到确切匹配的安全策略时,就会采用模板策略。(其中的查找原理,主要是根据安全策略数据库采用Radix树的实现技术。参见G.R.Wright和W.R.Stevens在1995年Addison-WesleyPublishing Company的″TCP/IP Illustrated,vol.2,″中介绍了一类特殊的Radix树,已经在Net/3、FreeBSD以及大多数高端路由器中用于组织路由表。)上述第三个步骤中,主要包括以下几个步骤1、作为移动用户时安全策略模板的应用方式。当发起IKE的第二阶段的协商时,安全策略模板中选择符中的源地址为全零,用户只根据目标地址在安全策略数据库中检索时,就会找到模板策略。然后按照模板策略生成移动用户使用的临时安全策略,其中只需修改选择符中的源地址为本机当前IP地址即可;2、作为安全网关时安全策略模板的应用方式。当接收第二阶段的第一个协商消息时,就根据消息中的源地址、目地址以及身份载荷中携带的端口号来查找SPD,由于是移动用户,SPD中没有针对临时获取的IP作为源地址的安全策略,于是会查找到安全策略模板。安全网关根据模板策略在安全策略数据库中产生临时的安全策略,其中要用发起者的IP地址替换模板策略的全零地址。
3、由临时安全策略产生的安全联盟记录与正常的安全联盟的记录相同,但必须是以时间作为生命期的,这一点可以在安全策略模板中规定实现。隶属于临时安全策略的安全联盟记录仍然可以在生命期软到期时自动更新。上述第四个步骤中,临时安全策略是为单个移动用户暂时设立的,由于移动用户的IP地址的不确定性,当一次会话结束后,就没有保存的价值了。一次会话结束是指隶属于该安全策略的安全联盟的生命期已经到期了,并没有进行自动更新,就说明该安全关联已经不再使用了,其状态为DEAD。当发现安全关联的状态为DEAD时,就删除该安全关联和其隶属的临时安全策略。
采用本发明,可以为当前的移动办公用户提供在异地与私有专用网络进行安全通信,满足当前移动通讯和办公的需求。由于当前的公钥基础设施(PKI,Public KeyInfrastructure)建设还很不完善,使用数字签名的形式实现IKE协议的接入技术有很大的局限性。本发明基于预共享密钥的接入形式,为移动用户提供了安全的认证接入技术,针对每个移动用户配置各自的预共享密钥。
图1是移动用户使用IPSEC/IKE协议接入安全网关的应用场景示意图。
图2是安全策略模板在SPDB中存储示意图。
图3是临时安全策略生成流程示意图。
图4是IKE利用时间调度轮询,由临时SP生成的SA状态的流程图。
具体实施例方式
下面结合附图对技术方案的实施作进一步的详细描述在图1中介绍了常见的一种移动办公用户需要与公司总部安全通信的场景。移动用户可以在所在地接入到当地ISP,获得网络通信的信道。由于要通过Internet这个开放的网络,所以传输的信息可能遭到恶意地攻击或蓄意地窃听。为了保护通信的数据的安全,需要在移动用户和企业总部的安全网关之间采用IPSEC/IKE建立安全保护通道,对数据进行加密保护和完整性保护。而在安全网关的后面是企业的内部网络,通常认为是安全的网络,无需再进行安全保护。
在图2中简化地描述了一种基于Radix树组织的SPDB的结构。根据Radix树的构建原理,模板类型的SP在SPDB中的存储位置和其他类型的SP是相同的。
模板SP的选择符中的源IP地址必须设置为全零,当把移动用户的IP包中源地址和目的地址(这个目的地址应该是安全网关的IP地址)作为SP的选择符搜索SPDB时,在SPDB中将无法找到确切地SP条目与之想对应,根据Radix树的原理和SPDB的原理,将会用模板SP与之匹配。图2中,到安全网关的模板策略中,安全网关的地址是10.52.33.1,而选择符中的源地址是移动用户的地址,其值为全零。其中的安全策略的选择符进行了简化,忽略了上层协议和端口号。根据Radix树的构建原理,图2中是举例了一种模板类型的安全策略在SPDB中存储的场景。
在图3中详细描述了临时SP的产生流程。当一个IP包的请求到来时,需要在SPDB中查找所匹配的安全策略,这就要首先要构造一个SP的选择符。SP选择符的构造,需要从引起这次安全策略查找的IP包中获取源和目的地址、上层协议和端口号等。如果没有上层协议号或端口号,则在选择符中全部填零。然后在SPDB中按照选择符进行匹配查找,作为移动用户,必然会匹配一条模板类型的安全策略。当判断是模板类型的SP时,就按照选择符的内容生成一个新的安全策略,并插入到SPDB中。最后,修改这条新生成的安全策略的类型为临时类型。这个流程在安全网关和移动用户端都是相同的。不同之处是,在移动用户端获得模板SP的操作是由用户发送IP包激发的,当获得模板SP后,就会根据图3中的流程来产生IPSEC所需要的临时的SP;而在安全网关,是根据IKE第二阶段的协商消息来激发的,当获得模板SP后,也采用相同的流程产生所需要的临时SP,继续完成IKE第二阶段的协商。
在图4中描述了在IKE中使用的时间调度机制来维护由临时SP产生的SA的生命期的流程。当IKE进程进入时间调度队列进行处理时,由于时间调度队列按照调度时间的由小到大排列,首先获取当前调度任务的SA的生命期,然后判断是否硬到期。如果SA的生命期没有硬到期,就退出时间调度队列的处理;如果SA的生命期已经硬到期了,则转向SA的处理任务。处理任务的流程是,从SADB中查找到该SA记录,并将该SA记录的状态设置为DEAD;获取其所隶属于的临时SP的选择符。然后,由IKE进程向SADB发送删除该SA记录的指令,接着向SPDB发送删除SA记录隶属于的临时SP的指令。执行完一个调度任务后,IKE进程判断当前是否为任务队列的末尾,如果不是就处理下一个调度任务,如果是就退出时间调度队列的处理。
在本发明中要求由临时SP产生的SA的生命期都必须是以时间记数的。在IKE中维护了一个调度队列来管理由临时SP生成的SA的生命期,它的调度时间间隔可以根据需要调整,一般无需太频繁,可以是以小时为单位的间隔。这个调度在IKE启动时就开始,直到IKE结束时才退出。
调度队列的元素单元组成如下1)SAID;2)时间生命期;由于每次遍历调度队列时不需要访问SADB,只有当出现过期的SA时,才会处理相应SA和SP,详细流程参见图4。
权利要求
1.一种移动用户接入安全网关的方法,其特征在于,所述方法包括以下处理步骤1)在IKE协议配置中,当移动用户采用预共享密钥的方式来实现接入认证时,将它们的ID配置信息设置为非IP地址类型的,移动用户的接入认证模式设置为积极模式;2)在安全网关和移动用户的客户端的安全策略数据库中,为移动用户专门设置通用的安全策略模板,用来为移动用户动态地生成临时安全策略;3)在IKE的第二阶段的协商中,安全网关和移动用户遵循各自的临时安全策略进行安全关联的协商,生成一次会话所需要的安全关联;当会话持续较长久时,安全关联可以更新,但安全策略不需要更新;4)移动用户的临时安全策略在一次会话结束后,将被自动删除5)利用IKE进程设置时间调度,定期查看由临时安全策略生成的安全关联的生命期是否到期;当安全关联的生命期到期了,就查看临时安全策略是否记录着安全关联的为正在协商新的,如果是正在协商就不做处理,如果没有处于正在协商状态,就设置安全关联的状态为DEAD,然后删除安全关联和临时安全策略。
2.根据权利要求1所述的移动用户接入安全网关的方法,其特征在于,所述步骤1)中移动用户的非IP地址类型的身份信息类型可以是用户域名、完整域名或其它在IKEv1中支持的形式,并确保在安全网关上的用户名与预共享密钥是对应的。
3.根据权利要求1或2所述的移动用户接入安全网关的方法,其特征在于,所述步骤1)中积极模式可以针对所有移动用户设置,也可以针对单个移动用户配置。
4.根据权利要求1所述的移动用户接入安全网关的方法,其特征在于,所述步骤2)中还包括a.安全策略模板包括以下内容安全策略的选择符、数据包的处理方式、转码类型;b.安全策略模板是一条特殊类型的安全策略记录,和其他类型的安全策略一样存储到安全策略数据库中;当移动用户发起第二阶段的协商时,由于模板策略的源地址为零,所以当无法查找到确切匹配的安全策略时,就会采用模板策略。
5.根据权利要求1所述的移动用户接入安全网关的方法,其特征在于,所述步骤3)中包括以下处理步骤a.作为移动用户时安全策略模板的应用方式,当发起IKE的第二阶段的协商时,安全策略模板中选择符中的源地址为全零,用户只根据目标地址在安全策略数据库中检索时,就会找到模板策略;然后按照模板策略生成移动用户使用的临时安全策略,其中只需修改选择符中的源地址为本机当前IP地址即可;b.作为安全网关时安全策略模板的应用方式,当接收第二阶段的第一个协商消息时,就根据消息中的源地址、目地址以及身份载荷中携带的端口号来查找SPD,由于是移动用户,SPD中没有针对临时获取的IP作为源地址的安全策略,于是会查找到安全策略模板;安全网关根据模板策略在安全策略数据库中产生临时的安全策略,其中要用发起者的IP地址替换模板策略的全零地址;c.由临时安全策略产生的安全联盟记录与正常的安全联盟的记录相同,但必须是以时间作为生命期的,这一点可以在安全策略模板中规定实现;隶属于临时安全策略的安全联盟记录仍然可以在生命期软到期时自动更新。
6.根据权利要求1所述的移动用户接入安全网关的方法,其特征在于,所述步骤4)中,删除临时安全策略的判断标准是,当隶属于该临时安全策略的安全关联的状态为DEAD。
全文摘要
本发明公开了一种移动用户接入安全网关的方法,针对移动用户采用预共享密钥的方式来实现接入认证时的实现方法,包括接入认证方式的配置、安全策略的配置和管理以及安全联盟的生成和维护等方面内容。采用本发明,可以为当前的移动办公用户提供在异地与私有专用网络进行安全通信,满足当前移动通讯和办公的需求。本发明基于预共享密钥的接入形式,为移动用户提供了安全的认证接入技术,针对每个移动用户配置各自的预共享密钥。
文档编号H04W12/04GK1529531SQ200310101808
公开日2004年9月15日 申请日期2003年10月17日 优先权日2003年10月17日
发明者李亚晖, 赵洁, 丁勇, 陈海彬, 陈开渠, 彭志威 申请人:中兴通讯股份有限公司