CN103392323B - 一种ipsec协商的方法和设备 - Google Patents
一种ipsec协商的方法和设备 Download PDFInfo
- Publication number
- CN103392323B CN103392323B CN201280003089.6A CN201280003089A CN103392323B CN 103392323 B CN103392323 B CN 103392323B CN 201280003089 A CN201280003089 A CN 201280003089A CN 103392323 B CN103392323 B CN 103392323B
- Authority
- CN
- China
- Prior art keywords
- recipient
- stage
- parameter
- stage configuration
- ike
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例公开一种IPSEC协商的方法。涉及通信领域,解决IPSEC协商过程消耗时间长,协商效率低的问题。一种IPSEC协商的方法,第一阶段,接收方在IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将接收方第一阶段配置参数发送至发起方;然后接收IKE第一阶段配置修改参数,建立第一阶段SA;第二阶段,接收方接收IKE第二阶段配置参数;当发起方发送的所述IKE第二阶段配置参数与接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,然后接收所述IKE第二阶段配置修改参数并与所述发起方建立第二阶段SA。本发明主要应用于数据传输中。
Description
技术领域
本发明涉及通信领域,特别涉及一种IPSEC协商的方法和设备。
背景技术
IPSEC(Internet Protocol Secur ity,网络协议安全)为不同物理地域的用户提供安全的数据通信,以防止数据在网络传输过程中被查看、篡改等。
一般情况下,发起方和接收方需要在发送数据前进行IKE(Internet Key Exchange,互联网密钥交换协议)协商,以确保发起方和接收方采用一致的加密和认证算法,从而保证数据的正确接收。IKE协商包括两个过程,第一阶段是建立一个为第二阶段提供保护的SA(Security Association,安全联盟),第二阶段建立一个为数据提供保护的SA。
具体的协商过程为:接收方接收到发起方发送的协商信息后,若判断结果为协商信息不符合要求,则向发起方发送协商不成功的信息。发起方接收到协商不成功的信息后,改变协商信息,然后将改变后的协商信息发送至接收方。接收方接收到改变后的协商信息后再判断是否协商成功。
实现上述方案的过程中,发明人发现在现有技术中至少存在以下技术问题:
接收方认为协商信息不合要求时,向发起方返回协商不成功的信息,之后发起方将重新发起协商,如果协商信息仍不合要求,则接收方继续向发起方返回协商不成功的消息,使发起方再次发起协商,持续以上过程直至协商成功,这致使协商过程耗时较长,效率很低。
发明内容
本发明的实施例提供一种IPSEC协商的方法、装置、设备和系统,解决IPSEC协商过程耗时长,效率低的技术问题。
为达到上述目的,本发明实施例采用如下技术方案:
第一方面,提供一种IPSEC协商的方法,包括:
接收发起方发送的互联网密钥交换IKE第一阶段配置参数;
当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方,以便所述发起方按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组;
接收所述发起方发送的所述IKE第一阶段配置修改参数;
与所述发起方建立第一阶段安全联盟SA;
接收所述发起方发送的IKE第二阶段配置参数;
当所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,以便所述发起方按照接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式;
接收所述发起方发送的所述IKE第二阶段配置修改参数;
与所述发起方建立第二阶段SA。
结合第一方面,在第一方面的第一种可能的实现方式中,所述接收方第一阶段配置参数还包括:接收方第一阶段SA超时时间;
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间;
其中,所述第一阶段SA协商超时时间是发起方配置的发起方第一阶段SA超时时间和所述接收方第一阶段SA超时时间中的最小值。
结合第一方面,在第一方面的第二种可能的实现方式中,所述接收方第二阶段配置参数还包括:接收方第二阶段SA超时时间;
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间;
其中,所述第二阶段SA协商超时时间是发起方配置的发起方第二阶段SA超时时间和所述接收方第二阶段SA超时时间的最小值。
结合第一方面,在第一方面的第三种可能的实现方式中,所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第一阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
结合第一方面,在第一方面的第四种可能的实现方式中,所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第二阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
第二方面,提供一种IPSEC协商的方法,包括:
向接收方发送互联网密钥交换IKE第一阶段配置参数;
接收所述接收方发送的接收方第一阶段配置参数;
按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改 参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组;
向所述接收方发送所述IKE第一阶段配置修改参数;
当收到所述接收方的第一阶段参数确认信息时,与所述接收方建立第一阶段安全联盟SA;
向所述接收方发送IKE第二阶段配置参数;
接收所述接收方发送的接收方第二阶段配置参数;
按照所述接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式;
向所述接收方发送所述IKE第二阶段配置修改参数;
当收到所述接收方的第二阶段参数确认信息时,与所述发起方建立第二阶段SA。
结合第二方面,在第二方面的第一种可能的实现方式中,所述发起方第一阶段配置参数还包括:发起方第一阶段SA超时时间;
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间;
其中,所述第一阶段SA协商超时时间是所述发起方第一阶段SA超时时间和所述接收方配置的接收方第一阶段SA超时时间中的最小值。
结合第二方面,在第二方面的第二种可能的实现方式中,所述发起方第二阶段配置参数还包括:发起方第二阶段SA超时时间;
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间;
其中,所述第二阶段SA协商超时时间是所述发起方第二阶段SA 超时时间和所述接收方配置的接收方第二阶段SA超时时间的最小值。
结合第二方面,在第二方面的第三种可能的实现方式中,所述IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第一阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
结合第二方面,在第二方面的第四种可能的实现方式中,所述IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第二阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
第五方面,提供一种IPSEC协商的接收方设备,包括:
通信接口,用于接收发起方发送的互联网密钥交换IKE第一阶段配置参数;
处理器,用于当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方,以便所述发起方按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组;
所述通信接口,还用于接收所述IKE第一阶段配置修改参数;
所述处理器,还用于与所述发起方建立第一阶段安全联盟SA;
所述通信接口,还用于接收所述发起方发送的IKE第二阶段配置参数;
所述通信接口,还用于当所述处理器检测到所述发起方发送的所 述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,以便所述发起方按照接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式;
所述通信接口,还用于接收所述IKE第二阶段配置修改参数;
所述处理器,还用于与所述发起方建立第二阶段SA;
存储器,用于存储所述接收方第一阶段配置参数、所述IKE第一阶段配置修改参数、所述接收方第二阶段配置参数、所述IKE第二阶段配置修改参数和处理器执行操作时需要的代码;
总线,用于连接所述处理器、所述通信接口和所述存储器,并为所述处理器、所述通信接口和所述存储器提供数据传输的物理通道。
结合第五方面,在第五方面的第一种可能的实现方式中,所述存储器中存储的所述接收方第一阶段配置参数还包括:接收方第一阶段SA超时时间;
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间;
其中,所述第一阶段SA协商超时时间是发起方配置的发起方第一阶段SA超时时间和所述接收方第一阶段SA超时时间中的最小值。
结合第五方面,在第五方面的第二种可能的实现方式中,所述存储器中存储的所述接收方第二阶段配置参数还包括:接收方第二阶段SA超时时间;
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间;
其中,所述第二阶段SA协商超时时间是发起方配置的发起方第二阶段SA超时时间和所述接收方第二阶段SA超时时间的最小值。
结合第五方面,在第五方面的第三种可能的实现方式中,所述存储器中存储的所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第一阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
结合第五方面,在第五方面的第四种可能的实现方式中,所述存储器中存储的所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第二阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
第六方面,提供一种IPSEC协商的发起方设备,包括:
通信接口,用于向接收方发送互联网密钥交换IKE第一阶段配置参数;
所述通信接口,还用于接收所述接收方发送的接收方第一阶段配置参数;
处理器,用于按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组;
所述通信接口,还用于向所述接收方发送所述IKE第一阶段配置修改参数;
所述处理器,还用于当收到所述接收方的第一阶段参数确认信息时,与所述接收方建立第一阶段安全联盟SA;
所述通信接口,还用于向所述接收方发送IKE第二阶段配置参数;
所述通信接口,还用于接收所述接收方发送的接收方第二阶段配置参数;
所述处理器,还用于按照所述接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式;
所述通信接口,还用于向所述接收方发送所述IKE第二阶段配置修改参数;
所述处理器,还用于当所述通信接口接收到所述接收方的第二阶段参数确认信息时,与所述发起方建立第二阶段SA。
存储器,用于存储所述接收方第一阶段配置参数、所述IKE第一阶段配置修改参数、所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数和处理器执行操作时需要的代码;
总线,用于连接所述处理器、所述通信接口和所述存储器,并为所述处理器、所述通信接口和所述存储器提供数据传输的物理通道。
结合第六方面,在第六方面的第一种可能的实现方式中,所述存储器中存储的所述发起方第一阶段配置参数还包括:发起方第一阶段SA超时时间;
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间;
其中,所述第一阶段SA协商超时时间是所述发起方第一阶段SA超时时间和所述接收方配置的接收方第一阶段SA超时时间中的最小值。
结合第六方面,在第六方面的第二种可能的实现方式中,所述存储器中存储的所述发起方第二阶段配置参数还包括:发起方第二阶段SA超时时间;
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间;
其中,所述第二阶段SA协商超时时间是所述发起方第二阶段SA 超时时间和所述接收方配置的接收方第二阶段SA超时时间的最小值。
结合第六方面,在第六方面的第三种可能的实现方式中,所述存储器中存储的所述IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述存储器中存储的所述IKE第一阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
结合第六方面,在第六方面的第四种可能的实现方式中,所述存储器中存储的所述IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第二阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
本实施例提供一种IPSEC协商的方法、装置、设备和系统,第一阶段,接收发起方发送的互联网密钥交换IKE第一阶段配置参数,当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方;然后接收所述IKE第一阶段配置修改参数并与所述发起方建立第一阶段SA;第二阶段,接收所述发起方发送的IKE第二阶段配置参数;当所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,然后接收所述IKE第二阶段配置修改参数并与所述发起方建立第二阶段SA。通过上述方案,在协商参数不合要求时,可以直接将正确的参数发送至对端,减少协商过程消耗的时间,提高协商效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1a为对数据进行加密传输的示意图;
图1b为本发明实施例1中一种IPSEC协商的方法涉及接收方的流程图;
图2为本发明实施例1中一种IPSEC协商的方法涉及发起方的流程图;
图3为本发明实施例2中一种IPSEC协商的方法涉及接收方的流程图;
图4为本发明实施例2中一种IPSEC协商的方法涉及发起方的流
程图;
图5为本发明实施例3中一种IPSEC协商涉及接收方的装置的框图;
图6为本发明实施例3中一种IPSEC协商涉及发起方的装置的框图;
图7为本发明实施例4中一种接收方设备的示意图;
图8为本发明实施例4中一种发起方设备的示意图;
图9为本发明实施例4中一种IPSEC协商的系统的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
为保证传输数据的安全,通常情况下会对传输的数据进行加密,以防止数据被查看、篡改。如图1a所示,数据从终端101a(可以是计算机)中发出,经过支持IPSEC(Internet Protocol Security,网络协议安全)的设备103a后,通过未知网络104a(例如,未知的互联网),然后进入支持IPSEC的设备105a并最终到达目的地终端107a(可以是计算机)。由于数据经过了未知网络104a,故不能保证到达终端107a的数据是否安全,因此需要对数据进行加密,以保证数据在经过未知网络104a时,不被查看、篡改。
若数据需要从终端101a发送至目的地终端107a,则设备103a可以理解为本发明实施例中所述的发起方,设备105a可以理解为本发明实施例中所述的接收方。若数据需要从终端107a发送至终端101a,则105a可以理解为本发明实施例中所述的发起方,设备103a可以理解为本发明实施例中所述的接收方。
更一般的情况是,多个终端101a组成一个内部网络102a,多个终端107a组成一个内部网络106a。因为内部网络中的数据未经过任何未知网络,故无需对内部网络传输中的数据进行加密。所以,在此种情况下,设备103a与设备105a的加密对象为内部网络102a与内部网络106a之间传输的数据。
实施例1:
本发明的一个实施例提供一种IPSEC(Internet Protocol Security,网际协议安全)协商的方法。
一方面,涉及IPSEC协商的接收方,如图1b所示,包括如下步骤:
101、接收发起方发送的IKE(Internet Key Exchange,互联网密钥交换协议)第一阶段配置参数。
发起方向接收方发送的IKE第一阶段配置参数包括:发起方IKE版本、发起方协商模式、发起方认证方式、发起方认证算法、发起方加密算法和发起方密钥交换算法组。
102、当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方,以便所述发起方按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数。
所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
发起方发送的IKE第一阶段配置参数中的所有参数必须与接收方第一阶段配置参数中的所有参数完全一致,才可以保证第一阶段IPSEC协商成功,具体来说:
发起方IKE版本与接收方IKE版本一致,即采用相同的IKE版本;
发起方协商模式与接收方协商模式一致,即发起方和接收方都采用主模式协商或都采用野蛮模式协商;
发起方认证方式与接收方认证方式一致,即都采用完全相同的认证方式:数字签名认证方式或\和公钥加密方式或\和改进的公钥加密方式或\和预共享公钥加密方式;
发起方认证算法与接收方认证算法一致,即采用相同的算法进行认证,比如都采用MD5(Message Digest Algorithm5,消息摘要算法第5版)或都采用SHA1(Secure Hash Algorithm,哈希算法)或其它一种或一种以上算法及其组合;
发起方加密算法与接收方加密算法一致,即采用相同的算法进行加密,比如采用3DES(Triple Data Encryption Algorithm,三重数据加密算法)或其它一种或一种以上算法及其组合;
发起方密钥交换算法组与接收方密钥交换算法组一致,即采用相 同的密钥交换算法组,比如采用DH(Diffie-Hellman,密钥交换算法)组。
若发起方发送的IKE第一阶段配置参数中的所有参数中存在有一条与接收方第一阶段配置参数中的参数不一致,即为步骤102所述的发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致。
当发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,接收方将接收方第一阶段配置参数(接收方使用的IKE版本、协商模式、认证方式、认证算法、加密算法和密钥交换算法组)发送至发起方,在本实施例中,依次被称为接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
103、接收所述发起方发送的所述IKE第一阶段配置修改参数。
步骤103所述的IKE第一阶段配置修改参数由发起方根据接收方发送的所述接收方第一阶段配置参数生成,所述第一阶段配置修改参数包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组,即发起方完全采用接收方使用的配置参数,并再次向接收方发起协商。
104、与所述发起方建立第一阶段SA(Security Association,安全联盟)。
由于发起方发送的IKE第一阶段配置修改参数与接收方使用的配置参数相同,因此当接收方接收到IKE第一阶段配置修改参数时,通过检测发现IKE第一阶段配置修改参数与接收方第一阶段配置参数一致,接收方向发起方发送第一阶段参数确认信息,以表示接收方接受发起方发起的第一阶段IPSEC协商,同意建立第一阶段SA。发起方接收到第一阶段参数确认信息后,接收方和发起方通过密钥交换算法组生成各自的密钥并互相交换密钥,然后利用交换后的密钥对彼 此的身份和交换过程进行验证。验证成功,则建立起第一阶段SA。
105、接收所述发起方发送的IKE第二阶段配置参数。
发起方向接收方发送的IKE第二阶段配置参数包括:发起方认证算法、发起方加密算法、发起方密钥的完全后继保密、发起方安全协议和发起方封装模式。
106、当所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,以便所述发起方按照接收方第二阶段配置参数生成IKE第二阶段配置修改参数。
所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
发起方发送的IKE第二阶段配置参数中的所有参数必须与接收方第二阶段配置参数中的所有参数完全一致,才可以保证第二阶段IPSEC协商成功,具体来说:
接收方认证算法与接收方认证算法一致,即采用相同的算法进行认证,比如都采用MD5(Message Digest Algorithm5,消息摘要算法第5版)或都采用SHA1(Secure Hash Algorithm,哈希算法)或其它一种或一种以上算法及其组合。在第二阶段IPSEC协商中,认证算法可适用的对象为ESP(Encapsulated Security Payload,压缩安全载荷)认证或\和AH(Authentication Header,头部认证)认证;
接收方加密算法与接收方加密算法,即采用相同的算法进行加密,比如采用3DES(Triple Data Encryption Algorithm,三重数据加密算法)或其它一种或一种以上算法及其组合;
接收方密钥的完全后继保密与接收方密钥的完全后继保密,即采用相同的密钥保密方式,即发起方和接收方都采用PFS(perfect forward secrecy,完全后继保密)或都采用其它一种或多种保密方 式;
接收方安全协议与接收方安全协议,即发起方和接收方采用相同的密码算法和协议逻辑;
接收方封装模式与接收方封装模式,即发起方和接收方采用相同的报文封装格式。
若发起方发送的IKE第二阶段配置参数中的所有参数有一条与接收方第二阶段配置参数中的参数不一致,即为步骤106所述的发起方发送的所述IKE第二阶段配置参数与接收方第二阶段配置参数不一致。
当发起方发送的所述IKE第二阶段配置参数与接收方第二阶段配置参数不一致时,接收方将接收方第二阶段配置参数(接收方使用的认证算法、加密算法、密钥的完全后继保密、安全协议和封装模式)发送至发起方,在本实施例中,依次被称为接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
107、接收所述发起方发送的所述IKE第二阶段配置修改参数。
步骤107所述的IKE第二阶段配置修改参数由发起方根据接收方发送的所述接收方第二阶段配置参数生成,所述第二阶段配置修改参数包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式,即发起方完全采用接收方使用的配置参数,并再次向接收方发起协商。
108、与所述发起方建立第二阶段SA。
由于发起方发送的IKE第二阶段配置修改参数完全是接收方使用的配置参数,因此当接收方接收到IKE第二阶段配置修改参数时,通过检测发现IKE第二阶段配置修改参数与接收方第二阶段配置参数一致,接收方向发起方发送第二阶段参数确认信息,以表示接收方接受发起方发起的第二阶段IPSEC协商,同意建立第二阶段SA。发 起方接收到第二阶段参数确认信息后,利用快速模式与接收方建立起第二阶段SA,即发起方和接收方生成并交换第二阶段的密钥后,利用该密钥对各自的身份进行验证,验证成功后,建立起第二阶段SA。
需要注意的是,步骤105至108,即第二阶段SA的建立以第一阶段SA为基础,即第一阶段SA会对第二阶段SA的建立过程中接收方和发起方之间传输的数据进行加密(使用第一阶段SA中的加密算法,认证算法,密钥等对数据进行加密和认证)。
另一方面,涉及IPSEC协商的发起方,如图2所示,包括如下步骤:
201、向接收方发送IKE第一阶段配置参数。
发起方向接收方发送的IKE第一阶段配置参数包括:发起方IKE版本、发起方协商模式、发起方认证方式、发起方认证算法、发起方加密算法和发起方密钥交换算法组。
202、接收所述接收方发送的接收方第一阶段配置参数。
接收方第一阶段配置参数包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
当接收方接收到IKE第一阶段配置参数后,经检测发现,IKE第一阶段配置参数与接收方使用的配置参数即接收方第一阶段配置参数不一致,则向发起方发送接收方第一阶段配置参数。特别说明的是,只要在IKE第一阶段配置参数中有一项参数与接收方第一阶段配置参数中的参数不一致,就需要向发起方发送接收方第一阶段配置参数。
显然,若IKE第一阶段配置参数与接收方使用的配置参数一致,则发起方与接收方直接建立第一阶段SA。
203、按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数。
所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
发起方生成的IKE第一阶段配置修改参数是发起方从接收方接收到的接收方第一阶段配置参数,即在IKE第一阶段配置修改参数中采用与接收方第一阶段配置参数相同的IKE版本、相同的协商模式、相同的认证方式、相同的认证算法、相同的加密算法和相同的密钥交换算法组。
由此可见,IKE第一阶段配置修改参数中的各项参数为:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。完全采用接收方使用的配置参数的目的是,让接收方接收到IKE第一阶段配置修改参数并确认后,尽快建立第一阶段SA。
204、向所述接收方发送所述IKE第一阶段配置修改参数。
205、当收到所述接收方的第一阶段参数确认信息时,与所述接收方建立第一阶段SA。
由于发起方发送的IKE第一阶段配置修改参数完全是接收方使用的配置参数,因此当接收方接收到IKE第一阶段配置修改参数时,通过检测发现IKE第一阶段配置修改参数与接收方第一阶段配置参数一致,接收方向发起方发送第一阶段参数确认信息,以表示接收方接受发起方发起的第一阶段IPSEC协商,同意建立第一阶段SA。发起方接收到第一阶段参数确认信息后,接收方和发起方通过密钥交换算法组生成各自的密钥并互相交换密钥,然后利用交换后的密钥对彼此的身份和交换过程进行验证。验证成功,则建立起第一阶段SA。
206、向所述接收方发送IKE第二阶段配置参数。
IKE第二阶段配置参数包括:发起方认证算法、发起方加密算法、发起方密钥的完全后继保密、发起方安全协议和发起方封装模式。
207、接收所述接收方发送的接收方第二阶段配置参数。
接收方第二阶段配置参数包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
当接收方接收到IKE第二阶段配置参数后,经检测发现,IKE第二阶段配置参数与接收方使用的配置参数即接收方第二阶段配置参数不一致,则向发起方发送接收方第二阶段配置参数。特别说明的是,只要在IKE第二阶段配置参数中有一项参数与接收方第二阶段配置参数中的参数不一致,就需要向发起方发送接收方第一阶段配置参数。
显然,若IKE第二阶段配置参数与接收方使用的配置参数一致,则发起方与接收方直接建立第二阶段SA。
208、按照所述接收方第二阶段配置参数生成IKE第二阶段配置修改参数。
IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
发起方生成的IKE第二阶段配置修改参数是发起方从接收方接收到的接收方第二阶段配置参数,即在IKE第二阶段配置修改参数中采用与接收方第二阶段配置参数相同的认证算法、相同的加密算法、相同的密钥的完全后继保密、相同的安全协议和相同的封装模式。
由此可见,IKE第二阶段配置修改参数中的各项参数为:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。完全采用接收方使用的配置参数的目的是,让接收方接收到IKE第二阶段配置修改参数并确认后,尽快建立第二阶段SA。
209、向所述接收方发送所述IKE第二阶段配置修改参数。
IKE第二阶段配置修改参数包括:接收方IKE版本、接收方协商 模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
210、当收到所述接收方的第二阶段参数确认信息时,与所述发起方建立第二阶段SA。
由于发起方发送的IKE第二阶段配置修改参数完全是接收方使用的配置参数,因此当接收方接收到IKE第二阶段配置修改参数时,通过检测发现IKE第二阶段配置修改参数与接收方第二阶段配置参数一致,接收方向发起方发送第二阶段参数确认信息,以表示接收方接受发起方发起的第二阶段IPSEC协商,同意建立第二阶段SA。发起方接收到第二阶段参数确认信息后,利用快速模式与接收方建立起第二阶段SA,即发起方和接收方生成并交换第二阶段的密钥后,利用该密钥对各自身份进行验证,验证成功后,建立起第二阶段SA。
需要注意的是,步骤206至210,即第二阶段SA的建立以第一阶段SA为基础,即第一阶段SA会对第二阶段SA的建立过程中接收方和发起方之间传输的数据进行加密(使用第一阶段SA中的加密算法,认证算法,密钥等对数据进行加密和认证)。
本实施例提供一种IPSEC协商的方法,第一阶段,接收发起方发送的互联网密钥交换IKE第一阶段配置参数,当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方;然后接收所述IKE第一阶段配置修改参数并与所述发起方建立第一阶段SA;第二阶段,接收所述发起方发送的IKE第二阶段配置参数;当所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,然后接收所述IKE第二阶段配置修改参数并与所述发起方建立第二阶段SA。通过上述方案,在协商参数不合要求时,可以直接将正确的参数发送至对端,减少协商过程消耗的时间,提高协商效率。
实施例2
本发明的一个实施例提供一种IPSEC协商的方法。
一方面,涉及IPSEC协商的接收方,如图3所示,包括如下步骤:
301、接收发起方发送的互联网密钥交换IKE第一阶段配置参数。
发起方向接收方发送的IKE第一阶段配置参数包括:发起方IKE版本、发起方协商模式、发起方认证方式、发起方认证算法、发起方加密算法和发起方密钥交换算法组。
302、判断IKE第一阶段配置参数和接收方第一阶段配置参数是否一致。
当一致时,执行305,当不一致时,执行303。
303、当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方,以便所述发起方按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数。
所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第一阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
接收方向发起方发送接收方使用的配置参数即接收方第一阶段配置参数,希望发起方按照接收方第一阶段配置参数生成一套相同的参数即IKE第一阶段配置修改参数,以加快IPSEC第一阶段的协商速度。但是接收方并不知道发起方中是否存在接收方使用的认证算法或加密算法,因此接收方在向发起方发送接收方第一阶段配置参数时,将接收方能够使用的全部或一部分算法(认证算法或加密算法)发送 至发起方。当发起方接收到承载有接收方算法集合的接收方第一阶段配置参数后,从算法集合(接收方能够使用的全部或一部分算法)中选取一个或几个算法生成第一阶段配置修改参数,这样提高了IPSEC协商的正确率,提高了协商速度。
可选的,接收方第一阶段配置参数还包括:接收方第一阶段SA超时时间;同样地,发起方同样会为发起方配置第一阶段SA超时时间。配置SA超时时间的目的是提高加密性能,即当发起方和接收方已经建立了安全可靠的第一阶段SA后,为该第一阶段SA设定一个存续期间,只有在这个存续期间第一阶段SA才是可用的,否则即使第一阶段SA中规定的所有参数都匹配,也不能使用该第一阶段SA。
为提高加密的可靠性,发起方在生成IKE第一阶段配置修改参数时,在IKE第一阶段配置修改参数规定了第一阶段SA协商超时时间。该第一阶段SA协商超时时间是发起方配置的发起方第一阶段SA超时时间和所述接收方第一阶段SA超时时间中的最小值。
步骤303中,接收方发送的接收方第一阶段配置参数承载于接收方至发起方的IKE information中。
发起方发送的IKE第一阶段配置参数中除了发起方第一阶段SA超时时间之外的所有参数必须与接收方第一阶段配置参数中除了接收方第二阶段SA超时时间之外的所有参数完全一致,才可以保证第一阶段IPSEC协商成功。
相反,若发起方发送的IKE第一阶段配置参数中的所有参数(除了发起方第一阶段SA超时时间之外)有一条与接收方第一阶段配置参数(除了接收方第一阶段SA超时时间之外)中的参数不一致,即为步骤302所述的发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致。
需要注意的是,当IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,接收方向发起方发送错误类型数据。以便当IPSEC协 商出现错误时,方便对系统进行维护或方便发起方根据错误类型数据选择生成合适的IKE第一阶段配置修改参数。
304、接收所述IKE第一阶段配置修改参数。
305、向所述发起方发送第一阶段参数确认信息,以便所述发起方与所述接收方建立第一阶段SA。
在建立第一阶段SA之前,接收方和发起方必须要确认彼此使用相同的配置参数。经检测,接收方发现第一阶段配置修改参数与接收方第一阶段配置参数一致,于是向发起方发送第一阶段参数确认信息。
306、与所述发起方建立第一阶段SA。
发起方接收到第一阶段参数确认信息后,接收方和发起方通过密钥交换算法组生成各自的密钥并互相交换密钥,然后利用交换后的密钥对彼此的身份和交换过程进行验证。验证成功,则建立起第一阶段SA。
307、接收所述发起方发送的IKE第二阶段配置参数。
发起方向接收方发送的IKE第二阶段配置参数包括:发起方认证算法、发起方加密算法、发起方密钥的完全后继保密、发起方安全协议和发起方封装模式。
308、判断IKE第二阶段配置参数和接收方第二阶段配置参数是否一致。
当一致时,执行311,当不一致时,执行309。
309、当所述发起方发送的所述IKE第二阶段配置参数与接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,以便所述发起方按照接收方第二阶段配置参数生成IKE第二阶段配置修改参数。
所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后 继保密、接收方安全协议和接收方封装模式。
接收方向发起方发送接收方使用的配置参数即接收方第二阶段配置参数,是希望发起方按照接收方第二阶段配置参数生成一套相同的参数即IKE第二阶段配置修改参数,以加快IPSEC第二阶段的协商速度。但是接收方并不知道发起方中是否存在接收方使用的认证算法或加密算法,因此接收方在向发起方发送接收方第二阶段配置参数时,将接收方能够使用的全部或一部分算法(认证算法或加密算法)发送至发起方。当发起方接收到承载有接收方算法集合的接收方第一阶段配置参数后,从算法集合(接收方能够使用的全部或一部分算法)中选取一个或几个算法生成第二阶段配置修改参数,这样提高了IPSEC协商的正确率,提高了协商速度。
可选的,接收方第二阶段配置参数还包括:接收方第二阶段SA超时时间;同样地,发起方同样会为发起方配置第二阶段SA超时时间。配置SA超时时间的目的是提高加密性能,即当发起方和接收方已经建立了安全可靠的第二阶段SA后,为该第二阶段SA设定一个存续期间,只有在这个存续期间第二阶段SA才是可用的,否则即使第一阶段SA中规定的所有参数都匹配,也不能使用该第二阶段SA。需要注意的是,接收方第二阶段SA超时时间可以有两种工作模式,即时间工作模式和流量工作模式。简单的说,时间工作模式是为第二阶段SA规定一个存续期间,如本段所诉。流量工作模式则是为第二阶段SA规定一个流量限额,即在第二阶段SA中通过的流量高于一个数据流量阀值(既可以指单位时间内通过的数据流量也可以指在规定的时间内通过的数据总流量)时,该第二阶段SA就不能再使用。显然,为确保加密的可靠性,接收方第二阶段SA超时时间可以工作在其中一种模式下,也可以同时工作在两种模式下。
因此,发起方在生成IKE第二阶段配置修改参数时,在IKE第二阶段配置修改参数规定了第二阶段SA协商超时时间。该第二阶段SA 协商超时时间是发起方配置的发起方第二阶段SA超时时间和所述接收方第二阶段SA超时时间中的最小值。
发起方发送的IKE第二阶段配置参数中除了发起方第二阶段SA超时时间外的所有参数必须与接收方第二阶段配置参数中除了接收方第二阶段SA超时时间外的所有参数完全一致,才可以保证第一阶段IPSEC协商成功。
所述接收方第二阶段配置参数承载于所述接收方至所述发起方的IKE information(IKE信息)中。
相反,若发起方发送的IKE第二阶段配置参数中除了发起方第二阶段SA超时时间外的所有参数有一条与接收方第二阶段配置参数中除了接收方第二阶段SA超时时间外的参数不一致,即为步骤307所述的发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致。
需要注意的是,当IKE第二阶段配置参数与接收方第二阶段配置参数不一致时,接收方向发起方发送错误类型数据。以便当IPSEC协商出现错误时,方便对系统进行维护或方便发起方根据错误类型数据选择生成合适的IKE第二阶段配置修改参数。
310、接收所述IKE第二阶段配置修改参数。
311、向所述发起方发送第二阶段参数确认信息,以便所述发起方与所述接收方建立第二阶段SA。
由于发起方发送的IKE第二阶段配置修改参数完全是接收方使用的配置参数,因此当接收方接收到IKE第二阶段配置修改参数时,通过检测发现IKE第二阶段配置修改参数与接收方第二阶段配置参数一致,接收方向发起方发送第二阶段参数确认信息,以表示接收方接受发起方发起的第二阶段IPSEC协商,同意建立第二阶段SA。
312、与所述发起方建立第二阶段SA。
发起方接收到第二阶段参数确认信息后,利用快速模式与接收方 建立起第二阶段SA,即发起方和接收方生成并交换第二阶段的密钥后,利用该密钥对各自的身份进行验证,验证成功后,建立起第二阶段SA。
需要注意的是,步骤307至311,即第二阶段SA的建立以第一阶段SA为基础,即第一阶段SA会对第二阶段SA的建立过程中接收方和发起方之间传输的数据进行加密(使用第一阶段SA中的加密算法,认证算法,密钥等对数据进行加密和认证)。
另一方面,涉及IPSEC协商的发起方,如图4所示,包括如下步骤:
401、向接收方发送IKE第一阶段配置参数。
发起方向接收方发送的IKE第一阶段配置参数包括:发起方IKE版本、发起方协商模式、发起方认证方式、发起方认证算法、发起方加密算法和发起方密钥交换算法组。
402、接收所述接收方发送的接收方第一阶段配置参数。
接收方第一阶段配置参数包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
403、按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数。
所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
所述IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第一阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
发起方生成的IKE第一阶段配置修改参数是发起方从接收方接 收到的接收方第一阶段配置参数,即在IKE第一阶段配置修改参数中采用与接收方第一阶段配置参数相同的IKE版本、相同的协商模式、相同的认证方式、相同的认证算法、相同的加密算法和相同的密钥交换算法组。
由此可见,IKE第一阶段配置修改参数中的各项参数为:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。完全采用接收方使用的配置参数的目的是,让接收方接收到IKE第一阶段配置修改参数并确认后,尽快建立第一阶段SA。
在生成接收方认证算法、接收方加密算法的过程中,当发起方接收到承载有接收方算法集合的接收方第一阶段配置参数后,从算法集合(接收方能够使用的全部或一部分算法)中选取一个或几个算法生成第一阶段配置修改参数。值得注意的是,发起方从算法集合中选取的算法必须是发起方中具有的算法,否则即使知道接收方使用的算法,也不可能生成符合接收方要求的接收方认证算法、接收方加密算法。
在大多数情况下,接收方第一阶段配置参数还包括:接收方第一阶段SA超时时间;同样地,发起方同样会为发起方配置第一阶段SA超时时间。配置SA超时时间的目的是提高加密性能,即当发起方和接收方已经建立了安全可靠的第一阶段SA后,为该第一阶段SA设定一个存续期间,只有在这个存续期间第一阶段SA才是可用的,否则即使第一阶段SA中规定的所有参数都匹配,也不能使用该第一阶段SA。
为提高加密的可靠性,发起方在生成IKE第一阶段配置修改参数时,在IKE第一阶段配置修改参数规定了第一阶段SA协商超时时间。该第一阶段SA协商超时时间是发起方配置的发起方第一阶段SA超时时间和所述接收方第一阶段SA超时时间中的最小值。
另外,IKE第一阶段配置修改参数承载于所述发起方至所述接收方的IKE information中。
可选的,在生成IKE第一阶段配置修改参数时,既可以自动生成,如前所述(对步骤403的解释部分),也可以手动生成,即当发起方接收到接收方发送的接收方第一阶段配置参数后,通过人机交互界面将接收方第一阶段配置参数发送至管理人员,管理人员根据系统运行的实际情况选择认证算法、加密算法、认证方式、协商模式、IKE版本、密钥交换算法组中的其中一个或几个。然后发起方根据管理人员的指令,生成IKE第一阶段配置修改参数。
404、向所述接收方发送所述IKE第一阶段配置修改参数。
405、当收到所述接收方的第一阶段参数确认信息时,与所述接收方建立第一阶段SA。
发起方接收到第一阶段参数确认信息后,接收方和发起方通过密钥交换算法组生成各自的密钥并互相交换密钥,然后利用交换后的密钥对彼此的身份和交换过程进行验证。验证成功,则建立起第一阶段SA。
406、向所述接收方发送IKE第二阶段配置参数。
发起方向接收方发送的IKE第二阶段配置参数包括:发起方认证算法、发起方加密算法、发起方密钥的完全后继保密、发起方安全协议和发起方封装模式。
407、接收所述接收方发送的接收方第二阶段配置参数。
所述接收方第二阶段配置参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
408、按照所述接收方第二阶段配置参数生成IKE第二阶段配置修改参数。所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接 收方封装模式。
在生成接收方认证算法、接收方加密算法的过程中,当发起方接收到承载有接收方算法集合的接收方第一阶段配置参数后,从算法集合(接收方能够使用的全部或一部分算法)中选取一个或几个算法生成第一阶段配置修改参数。值得注意的是,发起方从算法集合中选取的算法必须是发起方中存储的算法,否则即使知道接收方使用的算法,也不可能生成符合接收方要求的接收方认证算法、接收方加密算法。
在大多数情况下,接收方第二阶段配置参数还包括:接收方第二阶段SA超时时间;同样地,发起方会为发起方配置第二阶段SA超时时间。配置SA超时时间的目的是提高加密性能,即当发起方和接收方已经建立了安全可靠的第二阶段SA后,为该第二阶段SA设定一个存续期间,只有在这个存续期间第二阶段SA才是可用的,否则即使第一阶段SA中规定的所有参数都匹配,也不能使用该第二阶段SA。需要注意的是,接收方第二阶段SA超时时间可以有两种工作模式,即时间工作模式和流量工作模式。简单的说,时间工作模式是为第二阶段SA规定一个存续期间,如本段所诉。流量工作模式则是为第二阶段SA规定一个流量限额,即在第二阶段SA中通过的流量高于一个数据流量阀值(既可以指单位时间内通过的数据流量也可以指在规定的时间内通过的数据总流量)时,该第二阶段SA就不能再使用。显然,为确保加密的可靠性,接收方第二阶段SA超时时间可以工作在其中一种模式下,也可以同时工作在两种模式下。
因此,发起方在生成IKE第二阶段配置修改参数时,在IKE第二阶段配置修改参数规定了第二阶段SA协商超时时间。该第二阶段SA协商超时时间是发起方配置的发起方第二阶段SA超时时间和所述接收方第二阶段SA超时时间中的最小值。
发起方发送的IKE第二阶段配置参数中除了发起方第二阶段SA 超时时间外的所有参数必须与接收方第二阶段配置参数中除了接收方第二阶段SA超时时间外的所有参数完全一致,才可以保证第二阶段IPSEC协商成功。
所述接收方第二阶段配置参数承载于所述发起方至所述接收方的IKE information(IKE信息)中。
可选的,在生成IKE第二阶段配置修改参数时,既可以自动生成,如前所述(对步骤403的解释部分),也可以手动生成,即当发起方接收到接收方发送的接收方第一阶段配置参数后,通过人机交互界面将接收方第一阶段配置参数发送至管理人员,管理人员根据系统运行的实际情况选择认证算法、加密算法、密钥的完全后继保密、安全协议和封装模式中的其中一个或几个。然后发起方根据管理人员的指令,生成IKE第二阶段配置修改参数。
409、向所述接收方发送所述IKE第二阶段配置修改参数。
410、当收到所述接收方的第二阶段参数确认信息时,与所述发起方建立第二阶段SA。
由于发起方发送的IKE第二阶段配置修改参数完全是接收方使用的配置参数,因此当接收方接收到IKE第二阶段配置修改参数时,通过检测发现IKE第二阶段配置修改参数与接收方第二阶段配置参数一致,接收方向发起方发送第二阶段参数确认信息,以表示接收方接受发起方发起的第二阶段IPSEC协商,同意建立第二阶段SA。发起方接收到第二阶段参数确认信息后,利用快速模式与接收方建立起第二阶段SA,即发起方和接收方生成并交换第二阶段的密钥后,利用该密钥对各自身份进行验证,验证成功后,建立起第二阶段SA。
需要注意的是,步骤405至409,即第二阶段SA的建立以第一阶段SA为基础,即第一阶段SA会对第二阶段SA的建立过程中接收方和发起方之间传输的数据进行加密(使用第一阶段SA中的加密算法,认证算法,密钥等对数据进行加密和认证)。
本实施例提供一种IPSEC协商的方法,第一阶段,接收发起方发送的互联网密钥交换IKE第一阶段配置参数,当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方;然后接收所述IKE第一阶段配置修改参数并与所述发起方建立第一阶段SA;第二阶段,接收所述发起方发送的IKE第二阶段配置参数;当所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,然后接收所述IKE第二阶段配置修改参数并与所述发起方建立第二阶段SA。通过上述方案,在协商参数不合要求时,可以直接将正确的参数发送至对端,减少协商过程消耗的时间,提高协商效率。此外,在第一阶段配置修改参数和第二阶段配置修改参数增加了第一阶段SA协商超时时间和第二阶段SA协商超时时间,增加了在第一阶段SA和第二阶段SA中数据传输的可靠性。
实施例3
本发明的一个实施例提供一种IPSEC协商的装置。
一方面,涉及IPSEC协商的接收方,如图5所示,该装置包括:
第一阶段接收单元51,用于接收发起方发送的互联网密钥交换IKE第一阶段配置参数。
第一阶段判断单元52,用于判断所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数是否一致。
第一阶段发送单元53,用于当接收方第一阶段判断单元判断出所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方,以便所述发起方按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方 认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
所述第一阶段接收单元51,还用于接收所述IKE第一阶段配置修改参数。
第一阶段安全联盟建立单元54,用于与所述发起方建立第一阶段SA。
第二阶段接收单元55,用于接收所述发起方发送的IKE第二阶段配置参数。
第二阶段判断单元56,用于判断所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数是否一致。
第二阶段发送单元57,用于所述第二阶段判断单元判断出所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,以便所述发起方按照接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
第二阶段接收单元55,还用于接收所述IKE第二阶段配置修改参数。
第二阶段安全联盟建立单元58,用于与所述发起方建立第二阶段SA。
需要说明的是,所述接收方第一阶段配置参数还包括:接收方第一阶段SA超时时间。
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间。
其中,所述第一阶段SA协商超时时间是发起方配置的发起方第一阶段SA超时时间和所述接收方第一阶段SA超时时间中的最小值。
进一步的,所述接收方第二阶段配置参数还包括:接收方第二阶段SA超时时间。
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间。
其中,所述第二阶段SA协商超时时间是发起方配置的发起方第二阶段SA超时时间和所述接收方第二阶段SA超时时间的最小值。
进一步的,所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第一阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
进一步的,所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第二阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
进一步的,所述接收方第一阶段发送单元将所述接收方第一阶段配置参数发送至所述发起方,具体用于:
将所述接收方第一阶段配置参数承载于所述接收方至所述发起方的IKE information中发送至所述发起方。
进一步的,所述接收方第二阶段发送单元将所述接收方第二阶段配置参数发送至所述发起方,具体用于:
将所述接收方第二阶段配置参数承载于所述接收方至所述发起方的IKE information中发送至所述发起方。
进一步的,所述第一阶段发送单元53,还用于:
向所述发起方发送第一阶段参数确认信息,以便所述发起方与所述接收方建立第一阶段SA。
进一步的,所述接收方第二阶段发送单元57,还用于:
向所述发起方发送第二阶段参数确认信息,以便所述发起方与所 述接收方建立第二阶段SA。
另一方面,涉及IPSEC协商的发起方,如图6所示,该装置包括:
第一阶段发送单元61,用于向接收方发送互联网密钥交换IKE第一阶段配置参数。
第一阶段接收单元62,用于接收所述接收方发送的接收方第一阶段配置参数。
第一阶段参数生成单元63,用于按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
第一阶段发送单元61,还用于向所述接收方发送所述IKE第一阶段配置修改参数。
第一阶段安全联盟建立单元64,用于当收到所述接收方的第一阶段参数确认信息时,与所述接收方建立第一阶段SA。
第二阶段发送单元65,用于向所述接收方发送IKE第二阶段配置参数。
第二阶段接收单元66,用于接收所述接收方发送的接收方第二阶段配置参数。
第二阶段参数生成单元67,用于按照所述接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
所述第二阶段发送单元65,还用于向所述接收方发送所述IKE第二阶段配置修改参数。
第二阶段安全联盟建立单元66,用于当收到所述接收方的第二 阶段参数确认信息时,与所述发起方建立第二阶段SA。
进一步的,所述发起方第一阶段配置参数还包括:发起方第一阶段SA超时时间。
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间。
其中,所述第一阶段SA协商超时时间是所述发起方第一阶段SA超时时间和所述接收方配置的接收方第一阶段SA超时时间中的最小值。
进一步的,所述发起方第二阶段配置参数还包括:发起方第二阶段SA超时时间。
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间。
其中,所述第二阶段SA协商超时时间是所述发起方第二阶段SA超时时间和所述接收方配置的接收方第二阶段SA超时时间的最小值。
进一步的,所述IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第一阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
进一步的,所述IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第二阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
进一步的,所述第一阶段发送单元61将所述IKE第一阶段配置修改参数发送至所述接收方,具体用于:
将所述IKE第一阶段配置修改参数承载于所述发起方至所述接收方的IKE information中发送至所述接收方。
进一步的,所述第二阶段发送单元61具体用于:
将所述IKE第二阶段配置修改参数承载于所述发起方至所述接收方的IKE information中发送至所述接收方。
本实施例提供一种IPSEC协商的装置,第一阶段,接收发起方发送的互联网密钥交换IKE第一阶段配置参数,当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方;然后接收所述IKE第一阶段配置修改参数并与所述发起方建立第一阶段SA;第二阶段,接收所述发起方发送的IKE第二阶段配置参数;当所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,然后接收所述IKE第二阶段配置修改参数并与所述发起方建立第二阶段SA。通过上述方案,在协商参数不合要求时,可以直接将正确的参数发送至对端,减少协商过程消耗的时间,提高协商效率。
实施例4
本发明的一个实施例提供一种IPSEC协商的设备。
一方面,涉及IPSEC协商的接收方设备,如图7所示,该设备包括:
通信接口71,用于接收发起方发送的互联网密钥交换IKE第一阶段配置参数。
处理器72,用于当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方,以便所述发起方按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
所述通信接口71,还用于接收所述IKE第一阶段配置修改参数。
所述处理器72,还用于与所述发起方建立第一阶段SA。
所述通信接口71,还用于接收所述发起方发送的IKE第二阶段配置参数;
所述通信接口71,还用于当所述处理器检测到所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,以便所述发起方按照接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
所述通信接口71,还用于接收所述IKE第二阶段配置修改参数。
所述处理器72,还用于与所述发起方建立第二阶段SA。
存储器73,用于存储所述接收方第一阶段配置参数、所述IKE第一阶段配置修改参数、所述接收方第二阶段配置参数、所述IKE第二阶段配置修改参数和处理器执行操作时需要的代码。
总线74,用于连接所述处理器72、所述通信接口71和所述存储器73,并为所述处理器72、所述通信接口71和所述存储器73提供数据传输的物理通道。
进一步的,所述存储器73中存储的所述接收方第一阶段配置参数还包括:接收方第一阶段SA超时时间。
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间。
其中,所述第一阶段SA协商超时时间是发起方配置的发起方第一阶段SA超时时间和所述接收方第一阶段SA超时时间中的最小值。
进一步的,所述存储器73中存储的所述接收方第二阶段配置参数还包括:接收方第二阶段SA超时时间。
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间。
其中,所述第二阶段SA协商超时时间是发起方配置的发起方第二阶段SA超时时间和所述接收方第二阶段SA超时时间的最小值。
进一步的,所述存储器73中存储的所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第一阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
进一步的,所述存储器73中存储的所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第二阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
进一步的,所述通信接口71,具体用于:
将所述接收方第一阶段配置参数承载于所述接收方至所述发起方的IKE information中发送至所述发起方。
进一步的,所述通信接口71,具体还用于:
将所述接收方第二阶段配置参数承载于所述接收方至所述发起方的IKE information中发送至所述发起方。
进一步的,所述通信接口71还用于在接收所述IKE第一阶段配置修改参数后,向所述发起方发送第一阶段参数确认信息,以便所述发起方与所述接收方建立第一阶段SA。
进一步的,所述通信接口71还用于在接收所述IKE第二阶段配置修改参数后,向所述发起方发送第二阶段参数确认信息,以便所述发起方与所述接收方建立第二阶段SA。
另一方面,涉及IPSEC协商的发起方设备,该设备包括:
其特征在于,包括:
通信接口81,用于向接收方发送互联网密钥交换IKE第一阶段配置参数。
所述通信接口81,还用于接收所述接收方发送的接收方第一阶段配置参数。
处理器82,用于按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。
所述通信接口81,还用于向所述接收方发送所述IKE第一阶段配置修改参数。
所述处理器82,还用于当收到所述接收方的第一阶段参数确认信息时,与所述接收方建立第一阶段SA。
所述通信接口81,还用于向所述接收方发送IKE第二阶段配置参数。
所述通信接口81,还用于接收所述接收方发送的接收方第二阶段配置参数。
所述处理器82,还用于按照所述接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。
所述通信接口81,还用于向所述接收方发送所述IKE第二阶段配置修改参数。
所述处理器82,还用于当所述通信接口接收到所述接收方的第二阶段参数确认信息时,与所述发起方建立第二阶段SA。
存储器83,用于存储所述接收方第一阶段配置参数、所述IKE 第一阶段配置修改参数、所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数和处理器执行操作时需要的代码。
总线84,用于连接所述处理器82、所述通信接口81和所述存储器83,并为所述处理器82、所述通信接口81和所述存储器83提供数据传输的物理通道。
进一步的,所述存储器83中存储的所述发起方第一阶段配置参数还包括:发起方第一阶段SA超时时间。
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间。
其中,所述第一阶段SA协商超时时间是所述发起方第一阶段SA超时时间和所述接收方配置的接收方第一阶段SA超时时间中的最小值。
进一步的,所述存储器83中存储的所述发起方第二阶段配置参数还包括:发起方第二阶段SA超时时间。
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间。
其中,所述第二阶段SA协商超时时间是所述发起方第二阶段SA超时时间和所述接收方配置的接收方第二阶段SA超时时间的最小值。
进一步的,所述存储器83中存储的所述IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第一阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
进一步的,所述存储器83中存储的所述IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第二阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
进一步的,所述通信接口81,具体用于:
将所述IKE第一阶段配置修改参数承载于所述发起方至所述接收方的IKE information中发送至所述接收方。
进一步的,所述通信接口81,具体还用于:
将所述IKE第二阶段配置修改参数承载于所述发起方至所述接收方的IKE information中发送至所述接收方。
再一方面,如图9所示,提供一种IPSEC协商的系统,包括:上述的任意一种接收方设备和任意一种发起方设备。
本实施例提供一种IPSEC协商的方法,第一阶段,接收发起方发送的互联网密钥交换IKE第一阶段配置参数,当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方;然后接收所述IKE第一阶段配置修改参数并与所述发起方建立第一阶段SA;第二阶段,接收所述发起方发送的IKE第二阶段配置参数;当所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,然后接收所述IKE第二阶段配置修改参数并与所述发起方建立第二阶段SA。通过上述方案,在协商参数不合要求时,可以直接将正确的参数发送至对端,减少协商过程消耗的时间,提高协商效率。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台 计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (20)
1.一种IPSEC协商的方法,其特征在于,包括:
接收发起方发送的互联网密钥交换IKE第一阶段配置参数;
当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方,以便所述发起方按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组;
接收所述发起方发送的IKE第一阶段配置修改参数;
与所述发起方建立第一阶段安全联盟SA;
接收所述发起方发送的IKE第二阶段配置参数;
当所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,以便所述发起方按照接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式;
接收所述发起方发送的所述IKE第二阶段配置修改参数;
与所述发起方建立第二阶段SA。
2.根据权利要求1所述的方法,其特征在于,所述接收方第一阶段配置参数还包括:接收方第一阶段SA超时时间;
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间;
其中,所述第一阶段SA协商超时时间是发起方配置的发起方第一阶段SA超时时间和所述接收方第一阶段SA超时时间中的最小值。
3.根据权利要求1所述的方法,其特征在于,所述接收方第二阶段配置参数还包括:接收方第二阶段SA超时时间;
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间;
其中,所述第二阶段SA协商超时时间是发起方配置的发起方第二阶段SA超时时间和所述接收方第二阶段SA超时时间的最小值。
4.根据权利要求1所述的方法,其特征在于,所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第一阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
5.根据权利要求1所述的方法,其特征在于,所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第二阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
6.一种IPSEC协商的方法,由发起方执行,其特征在于,包括:
向接收方发送互联网密钥交换IKE第一阶段配置参数;
接收所述接收方发送的接收方第一阶段配置参数,所述接收方第一阶段配置参数是所述IKE第一阶段配置参数与所述接收方第一阶段配置参数不一致时,所述接收方向所述发起方发送的;
按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组;
向所述接收方发送所述IKE第一阶段配置修改参数;
当收到所述接收方的第一阶段参数确认信息时,与所述接收方建立第一阶段安全联盟SA;
向所述接收方发送IKE第二阶段配置参数;
接收所述接收方发送的接收方第二阶段配置参数,所述接收方第二阶段配置参数是所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,所述接收方向所述发起方发送的;
按照所述接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式;
向所述接收方发送所述IKE第二阶段配置修改参数;
当收到所述接收方的第二阶段参数确认信息时,与所述接收方建立第二阶段SA。
7.根据权利要求6所述的方法,其特征在于,所述发起方第一阶段配置参数还包括:发起方第一阶段SA超时时间;
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间;
其中,所述第一阶段SA协商超时时间是所述发起方第一阶段SA超时时间和所述接收方配置的接收方第一阶段SA超时时间中的最小值。
8.根据权利要求6所述的方法,其特征在于,所述发起方第二阶段配置参数还包括:发起方第二阶段SA超时时间;
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间;
其中,所述第二阶段SA协商超时时间是所述发起方第二阶段SA超时时间和所述接收方配置的接收方第二阶段SA超时时间的最小值。
9.根据权利要求6所述的方法,其特征在于,所述IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第一阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
10.根据权利要求6所述的方法,其特征在于,所述IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第二阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
11.一种IPSEC协商的接收方设备,其特征在于,包括:
通信接口,用于接收发起方发送的互联网密钥交换IKE第一阶段配置参数;
处理器,用于当所述发起方发送的所述IKE第一阶段配置参数与接收方第一阶段配置参数不一致时,将所述接收方第一阶段配置参数发送至所述发起方,以便所述发起方按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组;
所述通信接口,还用于接收所述IKE第一阶段配置修改参数;
所述处理器,还用于与所述发起方建立第一阶段安全联盟SA;
所述通信接口,还用于接收所述发起方发送的IKE第二阶段配置参数;
所述通信接口,还用于当所述处理器检测到所述发起方发送的所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,将所述接收方第二阶段配置参数发送至所述发起方,以便所述发起方按照接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式;
所述通信接口,还用于接收所述IKE第二阶段配置修改参数;
所述处理器,还用于与所述发起方建立第二阶段SA;
存储器,用于存储所述接收方第一阶段配置参数、所述IKE第一阶段配置修改参数、所述接收方第二阶段配置参数、所述IKE第二阶段配置修改参数和处理器执行操作时需要的代码;
总线,用于连接所述处理器、所述通信接口和所述存储器,并为所述处理器、所述通信接口和所述存储器提供数据传输的物理通道。
12.根据权利要求11所述的接收方设备,其特征在于,所述存储器中存储的所述接收方第一阶段配置参数还包括:接收方第一阶段SA超时时间;
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间;
其中,所述第一阶段SA协商超时时间是发起方配置的发起方第一阶段SA超时时间和所述接收方第一阶段SA超时时间中的最小值。
13.根据权利要求11所述的接收方设备,其特征在于,所述存储器中存储的所述接收方第二阶段配置参数还包括:接收方第二阶段SA超时时间;
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间;
其中,所述第二阶段SA协商超时时间是发起方配置的发起方第二阶段SA超时时间和所述接收方第二阶段SA超时时间的最小值。
14.根据权利要求11所述的接收方设备,其特征在于,所述存储器中存储的所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第一阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
15.根据权利要求11所述的接收方设备,其特征在于,所述存储器中存储的所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述接收方第二阶段配置参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
16.一种IPSEC协商的发起方设备,其特征在于,包括:
通信接口,用于向接收方发送互联网密钥交换IKE第一阶段配置参数;
所述通信接口,还用于接收所述接收方发送的接收方第一阶段配置参数,所述接收方第一阶段配置参数是所述IKE第一阶段配置参数与所述接收方第一阶段配置参数不一致时,所述接收方向所述发起方设备发送的;
处理器,用于按照所述接收方第一阶段配置参数生成IKE第一阶段配置修改参数;所述接收方第一阶段配置参数和所述IKE第一阶段配置修改参数中包括:接收方IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组;
所述通信接口,还用于向所述接收方发送所述IKE第一阶段配置修改参数;
所述处理器,还用于当收到所述接收方的第一阶段参数确认信息时,与所述接收方建立第一阶段安全联盟SA;
所述通信接口,还用于向所述接收方发送IKE第二阶段配置参数;
所述通信接口,还用于接收所述接收方发送的接收方第二阶段配置参数,所述接收方第二阶段配置参数是所述IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时,所述接收方向所述发起方设备发送的;
所述处理器,还用于按照所述接收方第二阶段配置参数生成IKE第二阶段配置修改参数;所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数中包括:接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式;
所述通信接口,还用于向所述接收方发送所述IKE第二阶段配置修改参数;
所述处理器,还用于当所述通信接口接收到所述接收方的第二阶段参数确认信息时,与所述接收方建立第二阶段SA;
存储器,用于存储所述接收方第一阶段配置参数、所述IKE第一阶段配置修改参数、所述接收方第二阶段配置参数和所述IKE第二阶段配置修改参数和处理器执行操作时需要的代码;
总线,用于连接所述处理器、所述通信接口和所述存储器,并为所述处理器、所述通信接口和所述存储器提供数据传输的物理通道。
17.根据权利要求16所述的发起方设备,其特征在于,所述存储器存储的所述发起方第一阶段配置参数还包括:发起方第一阶段SA超时时间;
所述IKE第一阶段配置修改参数还包括:第一阶段SA协商超时时间;
其中,所述第一阶段SA协商超时时间是所述发起方第一阶段SA超时时间和所述接收方配置的接收方第一阶段SA超时时间中的最小值。
18.根据权利要求16所述的发起方设备,其特征在于,所述存储器存储的所述发起方第二阶段配置参数还包括:发起方第二阶段SA超时时间;
所述IKE第二阶段配置修改参数还包括:第二阶段SA协商超时时间;
其中,所述第二阶段SA协商超时时间是所述发起方第二阶段SA超时时间和所述接收方配置的接收方第二阶段SA超时时间的最小值。
19.根据权利要求16所述的发起方设备,其特征在于,所述存储器存储的所述IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第一阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
20.根据权利要求16所述的发起方设备,其特征在于,所述存储器存储的所述IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种;和/或
所述IKE第二阶段配置修改参数中的接收方加密算法,为所述接收方存储的所有加密算法的总和或其中任意一种。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2012/087399 WO2014100967A1 (zh) | 2012-12-25 | 2012-12-25 | 一种ipsec协商的方法、装置、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103392323A CN103392323A (zh) | 2013-11-13 |
| CN103392323B true CN103392323B (zh) | 2016-09-28 |
Family
ID=49535845
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280003089.6A Active CN103392323B (zh) | 2012-12-25 | 2012-12-25 | 一种ipsec协商的方法和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103392323B (zh) |
| WO (1) | WO2014100967A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110650107A (zh) * | 2018-06-26 | 2020-01-03 | 杭州海康威视数字技术股份有限公司 | 一种数据处理方法、装置及系统 |
| CN109639553B (zh) * | 2018-12-25 | 2021-04-27 | 杭州迪普科技股份有限公司 | IPSec协商方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200627850A (en) * | 2005-01-26 | 2006-08-01 | Zyxel Communications Corp | Method to avoid IKE process conflict |
| CN1863048A (zh) * | 2005-05-11 | 2006-11-15 | 中兴通讯股份有限公司 | 用户与接入设备间因特网密钥交换协商方法 |
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN101626374A (zh) * | 2008-07-11 | 2010-01-13 | 成都市华为赛门铁克科技有限公司 | IPv6网络中协商SA的方法、系统和设备 |
| CN102025742A (zh) * | 2010-12-16 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种ike报文的协商方法和设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6915437B2 (en) * | 2000-12-20 | 2005-07-05 | Microsoft Corporation | System and method for improved network security |
| CN1845523B (zh) * | 2005-04-07 | 2010-05-05 | 华为技术有限公司 | 互通无线局域网中实现服务质量协商的方法 |
| CN102761553A (zh) * | 2012-07-23 | 2012-10-31 | 杭州华三通信技术有限公司 | IPSec SA协商方法及装置 |
-
2012
- 2012-12-25 WO PCT/CN2012/087399 patent/WO2014100967A1/zh active Application Filing
- 2012-12-25 CN CN201280003089.6A patent/CN103392323B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200627850A (en) * | 2005-01-26 | 2006-08-01 | Zyxel Communications Corp | Method to avoid IKE process conflict |
| CN1863048A (zh) * | 2005-05-11 | 2006-11-15 | 中兴通讯股份有限公司 | 用户与接入设备间因特网密钥交换协商方法 |
| CN101626374A (zh) * | 2008-07-11 | 2010-01-13 | 成都市华为赛门铁克科技有限公司 | IPv6网络中协商SA的方法、系统和设备 |
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102025742A (zh) * | 2010-12-16 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种ike报文的协商方法和设备 |
Non-Patent Citations (1)
| Title |
|---|
| IKE积极模式群不一致的改进方法;耿航;《计算机安全》;20041130;第13页-第14页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014100967A1 (zh) | 2014-07-03 |
| CN103392323A (zh) | 2013-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110177354B (zh) | 一种车辆的无线控制方法及系统 | |
| US11290875B2 (en) | Bluetooth network and network configuration method | |
| CN102833253B (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| US10158991B2 (en) | Method and system for managing security keys for user and M2M devices in a wireless communication network environment | |
| CN105337740B (zh) | 一种身份验证方法、客户端、中继设备及服务器 | |
| JP5289460B2 (ja) | 近距離通信ネットワークにおける安全な通信のためのシステム及び方法 | |
| US20170338954A1 (en) | ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) PROVISIONING ERROR RECOVERY | |
| EP1976322A1 (en) | An authentication method | |
| CN101406021A (zh) | 基于sim的认证 | |
| US9998287B2 (en) | Secure authentication of remote equipment | |
| CN109151823B (zh) | eSIM卡鉴权认证的方法及系统 | |
| CN110996322A (zh) | 一种实现终端二次认证的方法 | |
| CN105007163A (zh) | 预共享密钥的发送、获取方法及发送、获取装置 | |
| CN111357305B (zh) | 可移动平台的通信方法、设备、系统及存储介质 | |
| CN109802834A (zh) | 一种对业务层数据进行加密、解密的方法及系统 | |
| US11652625B2 (en) | Touchless key provisioning operation for communication devices | |
| CN103392323B (zh) | 一种ipsec协商的方法和设备 | |
| CN105591748B (zh) | 一种认证方法和装置 | |
| KR20200099873A (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
| CN213938340U (zh) | 5g应用接入认证网络架构 | |
| CN110866999A (zh) | 一种智能门锁的控制方法、设备及存储介质 | |
| CN113098830B (zh) | 通信方法及相关产品 | |
| CN107277935B (zh) | 蓝牙通信方法、装置及其应用系统和设备 | |
| EP3908950B1 (en) | Near field communication forum data exchange format (ndef) messages with authenticated encryption | |
| CN114707158A (zh) | 基于tee的网络通信认证方法以及网络通信认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |