本發明提供基于IKE協議的網絡層安全防護方法，該方法包括：為路由器內部網關管轄的所有邊緣網絡端點生成用于完成安全關聯協商的基礎參數，將各邊緣網絡端點的基礎參數上鏈到第一區塊鏈，并由新建的區塊完成基礎參數的實時更新；利用鏈上存儲的基礎參數完成發起方與響應方之間的IKE SA、IPsec SA協商，并將IKESA協商和IPsec SA協商過程中的交換數據通過本地路由器上鏈到第二區塊鏈。采用上述方法構建的安全防護系統具有較強的機密性、PFS特性、抗偽裝攻擊和抗重放攻擊特性。

技術領域

本發明涉及網絡安全技術領域，具體涉及基于IKE協議的網絡層安全防護系統、方法。

背景技術

網絡安全是信息安全的重要內容之一。由于Internet在設計之初只重視實現其聯通性，而未考慮安全因素，使得其成為一個開放的網絡體系，嚴重缺乏對通信雙方真實身份的驗證能力，缺乏對網絡傳輸的數據機密性、完整性和可靠性保護。

而網絡安全協議技術是解決網絡空間安全問題的有效途徑和手段。虛擬專用網(VPN)技術采用專用的網絡加密和通信協議，可以在公共網絡上建立虛擬的“加密通道”，構筑安全的“虛擬專網”，進而實現網絡的安全性。在支持VPN的各種技術中，IPsec(IPSecurity)以其強大的安全性、極大的包容性成為目前最易于擴展、最完整的一種網絡安全方案，已成為構建VPN的主流協議，獲得了廣泛的支持。IPsec協議主要實現對網絡層以上應用的數據機密性、完整性和身份認證保護，要實現這些功能，首先需要為通信對等體間協商經過安全認證的共享密鑰下。Internet密鑰交換協議，就是為了協商、產生和管理通信對等體間的共享密鑰，并對通信雙方進行身份認證的協議。

在IPsec協議體系當中，Internet密鑰交換協議是最基礎、最核心、最重要的組成部分，必須深入分析Internet密鑰交換協議面臨的復雜多樣的網絡威脅和攻擊手段，采取更為有效的信息安全技術和方法，以滿足日益增長的網絡安全應用要求。目前，使用最為廣泛的是IKE協議，IKE協議包括ISAKMP、Oakley和SKEME三個協議。其中ISAKMP主要定義在IKE伙伴(IKE Peer)之間的IKE聯盟(IKE SA)建立過程；而Oakley和SKEME協議主要通過迪菲-赫爾曼(Diffie-Hellman，DH)密鑰交換算法實現雙方身份驗證和密鑰安全分發。目前，由RFC文檔所規定的IKE協議共有IKEv1和IKEv2兩個版本，主要負責建立和維護IKE SA和IPsec SA。

IKE協議具有一套自保護機制，可以在不安全的網絡上安全地認證身份、分發密鑰和建立IPsec SA；但是其仍然存在一些不安全因素。例如：當攻擊者攔截協議雙方的初始協商策略后，在以偽裝的身份分別向發起方和響應方交換自身的密鑰消息，來完成密鑰的交換，獲得共享密鑰，從而給協議的雙方帶來安全隱患。另外，由于IP地址可在應用層配置，而目前的認證機制往往是基于源IP地址的認證，使得IP層存在著網絡數據包被監聽、竊取、截獲、IP地址欺騙、信息泄露和數據項被篡改等攻擊，采用單一的IP地址認證機制必然無法滿足安全性需求，導致目前面臨的網絡安全威脅多元而復雜。

發明內容

為了解決上述存在的技術問題，本發明提供了基于IKE協議的網絡層安全防護方法，該方法具體包括：

步驟1)為路由器內部網關管轄的所有邊緣網絡端點生成用于完成安全關聯協商的基礎參數，以路由器同時作為第一、第二區塊鏈節點，將各邊緣網絡端點的基礎參數上鏈到第一區塊鏈，并由新建的區塊完成基礎參數的實時更新；

步驟2)采用IKE協議下的主模式交互方式，利用鏈上存儲的基礎參數完成發起方與響應方之間的IKE SA協商；

步驟3)以協商通過的IKE SA作為數據的安全傳輸通道，采用IKE協議的快速模式交互方式，完成發起方與響應方之間的IPsec SA協商，并將IKE SA協商和IPsecSA協商過程中的交換數據通過本地路由器上鏈到第二區塊鏈。

優選地，本方法在所述步驟1)中建立基礎參數的過程為：