本发明涉及网络安全和ipsec领域,具体涉及量子安全与协议敏捷性领域,特别是涉及一种基于ipsec实现的安全协议敏捷性迁移方法、装置和设备。
背景技术:
1、随着量子计算机的发展,传统的密码学算法面临着严峻的安全挑战。为了应对这种情况,后量子密码学算法(pqc)被提出来作为一种替代解决方案。
2、ipsec是一种常用的安全通信协议。目前,在国内主要基于《gm/t 0022-2014ipsec vpn技术规范》实现该通信协议。该规范在国际标准的ikev1协议之上进行相应的调整,实现了国密标准协议。然而,伴随着量子计算机的快速发展,ipsec也同样需要支持量子安全技术,例如pqc算法。
3、目前,互联网工程任务组(ietf)已经提出了不同的草案和标准,用于在ipsec安全协议中集成pqc算法。这些草案和标准中包括,使用ml-kem作为额外的密钥交换机制(draft-kampanakis-ml-kem-ikev2),以及引入后量子预共享密钥作为临时选项(rfc8784)。
4、然而,由于后量子ipsec安全协议的具体方案仍在不断发展中,并且pqc算法本身的标准也还在制定过程中,算法的安全性也仍需要长时间的分析和验证,因此不能盲目地将现有网络中的ipsec安全协议的加密算法一次性的迁移到量子加密算法。而是需要实现安全协议敏捷性,即同时准备好两套协议,例如国密ipsec和量子安全ipsec,在此基础上,通过更改安全协议的配置来灵活地、弹性地对两套安全协议进行平滑迁移,并对现有的安全基础设施进行逐步、递进式的迁移。
技术实现思路
1、本说明书一个或多个实施例描述了一种基于ipsec实现的安全协议敏捷性迁移方法、装置和设备,可以在网络中,基于同一套ipsec安全协议代码,同时支持国密ipsec与量子安全ipsec,并实现在两种不同加密算法之间的平滑迁移。
2、根据第一方面,提供了一种基于ipsec实现的安全协议敏捷性迁移方法,该方法应用于具有多个网络侧的网络,所述网络中具有已实现了支持国密加密算法的第一ipsec安全协议和支持量子加密算法的第二ipsec安全协议;所述网络侧之间通过网关建立安全隧道进行连接;所述方法包括:
3、在所述网络中,确定网络侧子集,所述网络侧子集用于定义,将其间存在的目标安全隧道进行更改,所述更改是将安全协议从当前的第一ipsec安全协议迁移为所述第二ipsec安全协议;
4、在不影响所述目标安全隧道运行的情况下,在建立所述目标安全隧道的目标网关上修改对应的目标配置文件,所述目标配置文件记录通过所述目标网关建立的若干安全隧道的配置信息,所述修改包括,从所述若干安全隧道中,将所述目标安全隧道的安全协议配置为所述第二ipsec安全协议;
5、在所述目标网关上,重新激活所述目标安全隧道,使得所述目标安全隧道按照修改后的所述目标配置文件进行初始化。
6、根据一种实施方式,所述网络侧为根据ip网段划分的子网。
7、根据一种实施方式,所述重新激活所述目标安全隧道,包括:
8、在所述目标网关上,先停止所述目标安全隧道,然后重新加载所述目标配置文件,最后重新启动所述目标安全隧道。
9、根据一种实施方式,所述安全隧道通过以下步骤获得:
10、在第一网关、第二网关上均设定相应的ipsec安全协议的配置文件,所述配置文件包含本端网络侧、远端网络侧以及加密算法的信息,所述加密算法为所述国密加密算法,所述本端网络侧与所述远端网络侧用于定义,所述安全隧道所连接的两端;
11、在所述第一网关、所述第二网关上均加载所述配置文件;
12、启动所述第一网关和所述第二网关,建立所述安全隧道。
13、在上述实施方式的一个实施例中,所述第一ipsec安全协议支持ikev1协议,所述ikev1协议使用混合了sm2算法、sm3算法和sm4算法的加密方案;所述第二ipsec安全协议支持ikev2协议,所述ikev2协议使用混合了kyber768算法和dh算法的量子安全方案。
14、在上述实施方式的另一个实施例中,所述第一ipsec安全协议和所述第二ipsec安全协议,是根据strongswan方案实现的。
15、根据一种实施方式,所述修改对应的目标配置文件,包括:通过vici插件或swanctl工具对所述目标配置文件进行修改。
16、根据一种实施方式,所述修改对应的目标配置文件还包括:将所述vici插件与网络管理系统集成,通过代码对所述目标配置文件进行自动化的修改。
17、根据第二方面,本发明还提供了一种基于ipsec实现的安全协议敏捷性迁移装置,部署于具有多个网络侧的网络,所述网络中具有已实现了支持国密加密算法的第一ipsec安全协议和支持量子加密算法的第二ipsec安全协议;所述网络侧之间通过网关建立安全隧道进行连接。
18、该装置具体包括:
19、确定模块:配置为,在所述网络中,确定网络侧子集,所述网络侧子集用于定义,将其间存在的目标安全隧道进行更改,所述更改是将安全协议从当前的第一ipsec安全协议迁移为所述第二ipsec安全协议;
20、配置修改模块:配置为,在不影响所述目标安全隧道运行的情况下,在建立所述目标安全隧道的目标网关上修改对应的目标配置文件,所述目标配置文件记录通过所述目标网关建立的若干安全隧道的配置信息,所述修改包括,从所述若干安全隧道中,将所述目标安全隧道的安全协议配置为所述第二ipsec安全协议;
21、激活模块:配置为,在所述目标网关上,重新激活所述目标安全隧道,使得所述目标安全隧道按照修改后的所述目标配置文件进行初始化。
22、根据第三方面,本发明还提供了一种计算设备,包括处理器和存储器,所述处理器用于执行所述存储器中存储的指令,以执行第一方面所述的方法。
23、本发明提供了一种实现网络安全协议敏捷性迁移的方法,相比于现有技术,本发明具有如下优点和有益效果:
24、(1)本发明可以实现在现有网络中,将ipsec安全协议从执行国密加密算法(即传统加密算法)到执行量子安全加密算法进行平滑迁移。解决了直接将现有ipsec中的国密加密算法一次性替换成量子加密算法(如后量子密码学算法)所带来的性能和兼容性问题。
25、(2)本发明通过使用strongswan的swanctl命令,或vici插件,实现了动态修改配置文件和控制守护进程的功能,可以用来在两种不同加密方式的安全协议之间进行迁移,实现了灵活且弹性的安全协议敏捷性迁移。
26、(3)本发明在提出了ipsec安全协议敏捷性迁移方案的基础上,还进一步将vici插件与网络管理系统集成,通过代码实现了迁移方案的自动化,提升便捷性。
1.一种基于ipsec实现的安全协议敏捷性迁移方法,应用于具有多个网络侧的网络,所述网络中具有已实现了支持国密加密算法的第一ipsec安全协议和支持量子加密算法的第二ipsec安全协议;所述网络侧之间通过网关建立安全隧道进行连接;所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述网络侧为根据ip网段划分的子网。
3.根据权利要求1所述的方法,其特征在于,所述重新激活所述目标安全隧道,包括:
4.根据权利要求1所述的方法,其特征在于,所述安全隧道通过以下步骤获得:
5.根据权利要求1-4中任一项所述的方法,其特征在于,
6.根据权利要求1-4中任一项所述的方法,其特征在于,所述第一ipsec安全协议和所述第二ipsec安全协议,是根据strongswan方案实现的。
7.根据权利要求6所述的方法,其特征在于,所述修改对应的目标配置文件包括:通过vici插件或swanctl工具对所述目标配置文件进行修改。
8.根据权利要求7所述的方法,其特征在于,所述修改对应的目标配置文件还包括:
9.一种基于ipsec实现的安全协议敏捷性迁移装置,其特征在于,
10.一种计算设备,其特征在于,包括处理器和存储器,所述处理器用于执行所述存储器中存储的指令,以执行权利要求1-8中任一项所述的方法。
