CN104410610A - 一种基于IKEv2的初始协商方法及装置 - Google Patents
一种基于IKEv2的初始协商方法及装置 Download PDFInfo
- Publication number
- CN104410610A CN104410610A CN201410642220.4A CN201410642220A CN104410610A CN 104410610 A CN104410610 A CN 104410610A CN 201410642220 A CN201410642220 A CN 201410642220A CN 104410610 A CN104410610 A CN 104410610A
- Authority
- CN
- China
- Prior art keywords
- opposite equip
- security association
- initial negotiation
- local device
- collision
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种基于IKEv2的初始协商方法及装置,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,包括:当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟;根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。根据上述方案,当存在协商碰撞时,本端设备通过与对端设备进行协商使得自身设备保留与对端设备相同的安全联盟,能够成功实现后续的交互过程,从而解决了初始协商时发生协商碰撞导致协商失败的问题。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种基于IKEv2的初始协商方法及装置。
背景技术
IKEv2(Internet Key Exchange Protocol Version 2,互联网密钥交换协议版本号2)是针对IKE(Internet Key Exchange Protocol,互联网密钥交换协议)的安全漏洞进行了改进的版本,该IKEv2提高了密钥协商的安全性。
为了实现通信系统中的两个设备(例如,第一设备和第二设备)之间能够进行交互,需要两个设备通过初始协商过程建立安全隧道,以利用该安全隧道实现两个设备间的信息交互。其中,初始协商是指:第一设备向第二设备发起初始消息(INTI),第二设备针对该初始消息返回初始响应消息,以实现随机数(nonce)等信息的交互;以及第一设备向第二设备发送认证消息(AUTH),第二设备针对该认证消息返回认证响应消息,以完成两个设备之间的身份、证书等信息的交换。根据该初始协商过程,第一设备和第二设备之间生成一个相同的SA(Security Alliance,安全联盟),利用该生成的安全联盟进行后续交互。
然而,在两个设备间进行初始协商过程中,可能会发生协商碰撞,例如,在到达设定的初始协商时间时,第一设备作为发起端向第二设备发起协商请求,此时,第二设备也作为发起端向第一设备发起了协商请求,第一设备在尚未接收到第二设备返回的响应消息时,接收到了第二设备发送的该协商请求,确定该第二设备是自身作为发起端时的响应端,那么确定两个设备之间发生了协商碰撞。在初始协商过程中发生了协商碰撞,可能会导致初始协商结束后,通信双方均生成了两个安全联盟,或者,两个设备上所保留的一个安全联盟不相同,使得通信双方在后续交互时无法保证使用相同的一个安全联盟进行协商交互,从而导致协商失败,因此,急需提出一种方案,来解决初始协商过程中发生协商碰撞所导致的协商失败的问题。
发明内容
有鉴于此,本发明提供一种基于IKEv2的初始协商方法及装置,以解决通信双方在初始协商过程中发生协商碰撞所导致的协商失败的问题。
本发明提供了一种基于IKEv2的初始协商方法,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,包括:
当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟;
根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。
优选地,在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括:
获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值;
对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较;
根据比较结果,获得与对端设备相同的安全联盟。
优选地,在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括:
本端设备接收对端设备发送的未发生初始协商碰撞的通知消息,并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟,以保留与对端设备相同的安全联盟。
优选地,在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括:
本端设备删除第一安全联盟,并向对端设备发送自身未发生初始协商碰撞的通知消息,以使对端设备删除第一安全联盟。
优选地,所述检测到存在初始协商碰撞,具体包括:
本端设备接收对端设备发送的认证消息,根据所述认证消息携带的对端设备的设备信息,检测对端设备是否为本端设备作为发起端时的响应端,若是,确定存在初始协商碰撞。
本发明还提供了一种基于IKEv2的初始协商装置,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,包括:
获取单元,用于当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟;
协商单元,用于根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。
优选地,在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时,所述协商单元,具体用于获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值;对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较;根据比较结果,获得与对端设备相同的安全联盟。
优选地,在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时,所述协商单元,具体用于接收对端设备发送的未发生初始协商碰撞的通知消息,并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟,以保留与对端设备相同的安全联盟。
优选地,在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时,所述协商单元,具体用于删除第一安全联盟,并向对端设备发送自身未发生初始协商碰撞的通知消息,以使对端设备删除第一安全联盟。
优选地,还包括:
检测单元,用于接收对端设备发送的认证消息,根据所述认证消息携带的对端设备的设备信息,检测对端设备是否为本端设备作为发起端时的响应端,若是,确定存在初始协商碰撞。
本发明提供了一种基于IKEv2的初始协商方法及装置,当存在协商碰撞时,本端设备通过与对端设备进行协商使得自身设备保留与对端设备相同的安全联盟,能够成功实现后续的交互过程,从而解决了初始协商时发生协商碰撞导致协商失败的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的初始协商方法流程图;
图2是本发明实施例提供的本端设备和对端设备均发生了初始协商碰撞时的示意图;
图3是本发明另一实施例提供的初始协商方法流程图;
图4是本发明实施例提供的本端设备发生初始协商碰撞、对端设备未发生初始协商碰撞时的示意图;
图5是本发明实施例提供的本端设备未发生初始协商碰撞、对端设备发生初始协商碰撞时的示意图;
图6是本发明另一实施例提供的初始协商方法示意图;
图7是本发明实施例提供的装置所在设备硬件架构示意图;
图8是本发明实施例提供的装置功能模块结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种基于IKEv2的初始协商方法,该方法应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,该方法包括:
步骤101:当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟。
本发明中,本端设备可以在接收到认证消息时检测是否存在初始协商碰撞,该检测方法为:根据接收到的认证消息中所携带的设备信息,确定该设备信息所对应的设备是否为本端设备作为发起端时的响应端,若是,确定存在初始协商碰撞,若不是,确定不存在初始协商碰撞。
本发明中,若检测到存在初始协商碰撞,可能包括以下两种情况:
1、本端设备和对端设备均发生初始协商碰撞;
在该情况下,本端设备和对端设备均生成了两个安全联盟。
2、本端设备或对端设备发生了初始协商碰撞。
在该情况下,发生了初始协商碰撞的那一侧生成了两个安全联盟,未发生初始协商碰撞的那一侧生成了一个安全联盟。
本发明中,若检测到存在初始协商碰撞,表明在设定的初始协商时间到达时,通信双方的两个设备分别将彼此作为通信对端设备,由自身设备作为发起端向对端设备发起初始协商请求,以获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟。
步骤102:根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使自身按照预定策略保留和对端设备相同的安全联盟。
由于当存在初始协商碰撞时,通信双方中至少有一端设备生成了两个安全联盟,使得通信双方在后续交互过程中无法保证使用相同的一个安全联盟进行协商交互,从而导致协商失败,因此需要本端设备与对端设备进行协商,以保留相同的安全联盟。
在本发明中,本端设备根据对端设备发送的认证消息检测出存在初始协商碰撞之后,根据对端设备发送的认证响应消息,确定存在初始协商碰撞所对应的情况,并根据确定的存在初始协商碰撞所对应的情况,以与对端设备进行协商,保留与对端设备相同的安全联盟。
为了保留与对端设备相同的安全联盟,本发明中根据存在初始协商碰撞的不同情况,设定相对应的预定策略,以使得本端设备按照预定策略保留与对端设备相同的安全联盟,从而避免初始协商碰撞所造成的协商失败问题。
根据本发明方案,当存在初始协商碰撞时,本端设备通过与对端设备进行协商使得自身设备保留与对端设备相同的安全联盟,能够成功实现后续的交互过程,从而解决了初始协商时发生协商碰撞导致协商失败的问题。
为使本领域技术人员更加清楚和明白,下面的两个实施例,以设备A和设备B作为彼此的对端设备,分别对上述实施例中存在初始协商碰撞的情况进行说明:
对于上述情况一:设备A与设备B均发生了初始协商碰撞。依据本发明,如图2所示,为对应于情况一的示意图,实线为设备A作为发起端的初始协商过程,虚线为设备B作为发起端的初始协商过程。由于在初始协商过程中,设备A保留安全联盟的操作过程与设备B保留安全联盟的操作过程相同,因此本实施例仅以设备A侧所进行的操作为例进行说明,如图3所示,该过程可以包括:
步骤301:设备A在接收到设备B发送的认证消息时,根据设备B发送的认证消息检测设备A与设备B之间是否存在初始协商碰撞,若是,则继续执行步骤302。其中,设备B发送的认证消息中携带设备B的设备信息。
如图2所示,在该步骤301之前,还包括:设备A与设备B之间进行初始消息的交互。
设备A根据设备B发送的认证消息中携带设备B的设备信息,确定该设备信息所对应的设备为设备A作为发起端时的响应端,因此设备A检测到设备A与设备B之间存在初始协商碰撞。
步骤302:设备A根据设备B发送的认证消息确定设备A是否发生了初始协商碰撞,若是,则继续执行步骤303。
其中,设备A接收到的设备B发送的初始协商认证消息中还携带initial-contact通知消息,其中,该initial-contact通知消息用于表明设备B发生了重启或者出现异常状况,进而需要重新进行IKEv2初始协商。
因此,设备A在接收到设备B发送的初始协商认证消息时,如图2中的a1点,确定此前设备A与设备B协商得到的安全联盟为失效状态,由于图2中在a1点之前设备A与设备B协商过程中尚未得到安全联盟,设备A忽略该initial-contact通知消息,因此,设备A确定自身发生了初始协商碰撞。
步骤303:设备A接收设备B发送的认证响应消息,并获取设备A作为发起端生成的第一安全联盟和设备A作为响应端生成的第二安全联盟。
其中,如图2所示的a2点,设备A作为发起端接收设备B发送的认证响应消息生成第一安全联盟SA_i;如图2所示的a1点,设备A作为响应端接收设备B发送的认证消息生成第二安全联盟SA_r。
步骤304:设备A根据第一安全联盟和第二安全联盟,通过与设备B进行协商,使得设备A按照预定策略保留和设备B相同的安全联盟。
其中,本发明设定的预定策略为:设备A获取第二安全联盟SA_r和第一安全联盟SA_i分别对应的随机数r和随机数i,对随机数r和随机数i的大小进行比较,并根据比较结果,获得与设备B相同的安全联盟。
若比较结果为随机数r大于随机数i,那么设备A删除随机数i对应的安全联盟SA_i,并向设备B发送联盟统一通知消息,其中,该联盟统一通知消息用于通知设备B删除安全联盟SA_i,保留安全联盟SA_r。
若比较结果为随机数r不大于随机数i,那么设备A等待设备B根据上述初始协商方法在删除了安全联盟SA_r后,接收设备B发送的联盟统一通知消息,该联盟统一通知消息中携带用于通知设备A删除安全联盟SA_r的消息,设备A根据该联盟统一通知消息删除安全联盟SA_r,保留安全联盟SA_i,从而实现IKEv2初始协商碰撞时,设备A保留设备B相同的安全联盟。
根据上述方案,当本端设备和对端设备上均发生了初始协商碰撞时,本端设备通过与对端设备进行协商使得自身设备保留与对端设备相同的安全联盟,能够成功实现后续的交互过程,从而解决了初始协商时发生协商碰撞导致协商失败的问题。
对于上述情况二:本端设备或对端设备一端发生了初始协商碰撞。依据本发明,如图4所示对应于情况二中本端设备发生了初始协商碰撞的示意图,如图5所示,对应于情况二中对端设备发生了初始协商碰撞的示意图,图4、图5中,实线为设备A作为发起端的初始协商过程,虚线为设备B作为发起端的初始协商过程。由于在初始协商过程中,设备A保留安全联盟的操作过程与设备B保留安全联盟的操作过程相同,因此本实施例仅以设备A侧所进行的操作为例进行说明,如图6所示,该过程可以包括:
步骤601:设备A在接收到设备B发送的认证消息时,根据设备B发送的认证消息检测设备A与设备B之间是否存在初始协商碰撞,若是,则继续执行步骤602。
如图4或图5所示,在步骤601之前,还包括:设备A与设备B之间进行初始消息的交互。
设备A根据设备B发送的认证消息中携带设备B的设备信息,确定该设备信息所对应的设备为设备A作为发起端时的响应端,因此设备A检测到设备A与设备B之间存在初始协商碰撞。
步骤602:设备A根据设备B发送的初始协商认证消息确定设备A是否发生了初始协商碰撞,若是,则执行步骤603;否则,执行步骤605。
其中,设备A接收到设备B所发送的初始协商认证消息中还携带initial-contact通知消息,其中该initial-contact通知消息用于表明设备B发生了重启或者出现异常状况。
因此,设备A在接收到设备B发送的初始协商认证消息时,确定此前设备A与设备B协商得到的安全联盟为失效状态,若设备A确定在接收到该认证消息之前,与设备B协商得到了安全联盟,那么得到的该安全联盟为失效状态,表明设备A未发生初始协商碰撞;若设备A确定在接收到该认证消息之前,与设备B协商尚未得到安全联盟,那么表明设备A发生了初始协商碰撞。
步骤603:设备A向设备B发送认证响应消息,以及接收设备B发送的初始协商认证响应消息,其中,设备B发送的认证响应消息中携带未发生初始协商碰撞的通知消息,设备A获取自身作为发起端时生成的第一安全联盟和自身作为响应端时生成的第二安全联盟。
步骤604:根据设备B发送的认证响应消息确定设备B是否发生了初始协商碰撞,若是,则根据设备B发送的认证响应消息保留与设备B相同的安全联盟,结束。
如图4所示,设备A发生了初始协商碰撞,且在图4中的a1点,设备A根据设备B发送的认证消息生成第二安全联盟SA_r,在图4中的a2点,设备A根据设备B发送的认证响应消息生成第一安全联盟SA_i。
在本发明中,当设备A确定自身发生了初始协商碰撞时,那么针对上述情况二,如图4所示,设备B在b2点时接收到设备A发送的认证消息,而在b2点之前与设备A协商得到了安全联盟SA_r,该安全联盟SA_r是在b1点时根据设备A发送的认证响应消息得到的,因此在b2点,设备B根据设备A发送的认证消息删除了该安全联盟SA_r,并根据设备A发送的认证消息生成了安全联盟SA_i。由于设备B保留了安全联盟SA_i,若设备A在图4中的a2点处理自身所发生的初始协商碰撞问题时,是根据上述情况一所对应实施例的初始协商方法中随机数比较的方式来保留安全联盟时,很可能会一直等待设备B发送的联盟统一通知消息,从而导致设备A无法正确删除安全联盟。
为了解决上述问题,可以在IKEv2协议中新增一种私有NOTIFY status载荷,假设该私有NOTIFY status载荷为NO_COLLSION_HAPPENED载荷报文,并通过Vendor ID载荷实现通信双方的协商是否支持此NOTIFY status载荷,若双方均支持,那么针对于未发生初始协商碰撞的设备,可以利用该NOTIFY status载荷通知对端设备自身未发生初始协商碰撞。
因此,设备A根据设备B发送的认证响应消息中所携带NO_COLLSION_HAPPENED载荷,从而确定设备B未发生初始协商碰撞。
在设备A发生了初始协商碰撞,设备B未发生初始协商碰撞的情况下,本发明设定的预定策略为:设备A在确定设备B未发生初始协商碰撞之后,删除设备A作为响应端时生成的第二安全联盟SA_r,从而保留了与设备B相同的第一安全联盟SA_i。
步骤605:设备A根据设备B发送的初始协商认证消息删除第一安全联盟SA_i,并向设备B发送认证响应消息,设备A向设备B发送的初始协商认证响应消息中携带NO_COLLSION_HAPPENED载荷,以使设备B删除SA_i。
如图5所示,设备A未发生初始协商碰撞,设备B发生了初始协商碰撞,在图5中的a1点,设备A接收到设备B发送的认证响应消息生成第一安全联盟SA_i,在图5中的a2点,设备A接收设备B发送的认证消息生成第二安全联盟SA_r。
在本发明中,如图5中的a2点,设备A在此前与设备B协商得到了第一安全联盟SA_i,因此根据设备B发送的认证消息中携带的initial-contact通知消息,将该第一安全联盟SA_i删除,因此设备A保留了第二安全联盟SA_r。
设备A在向设备B发送认证响应消息时,在该认证响应消息中添加NO_COLLSION_HAPPENED载荷,使得设备B在接收到设备A发送的认证响应消息后,根据该认证响应消息删除在b1点生成的安全联盟SA_i,保留在b2点生成的安全联盟SA_r。
根据上述方案,当本端设备或对端设备中的一端发生了初始协商碰撞时,本端设备根据确定的协商碰撞结果使得自身设备保留与对端设备相同的安全联盟,能够成功实现后续的交互过程,从而解决了初始协商时的协商碰撞问题。
如图7、图8所示,本发明实施例提供了一种基于IKEv2的初始协商装置,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图7所示,为本发明实施例基于IKEv2的初始协商装置所在设备的一种硬件结构图,除了图7所示的CPU、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图8所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的基于IKEv2的初始协商装置80包括:
获取单元801,用于当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟;
协商单元802,用于根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。
进一步的,在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时,所述协商单元,具体用于获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值;对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较;根据比较结果,获得与对端设备相同的安全联盟。
进一步的,在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时,所述协商单元,具体用于接收对端设备发送的未发生初始协商碰撞的通知消息,并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟,以保留与对端设备相同的安全联盟。
进一步的,在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时,所述协商单元,具体用于删除第一安全联盟,并向对端设备发送自身未发生初始协商碰撞的通知消息,以使对端设备删除第一安全联盟。
进一步的,还包括:
检测单元803,用于接收对端设备发送的认证消息,根据所述认证消息携带的对端设备的设备信息,检测对端设备是否为本端设备作为发起端时的响应端,若是,确定存在初始协商碰撞。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种基于IKEv2的初始协商方法,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,其特征在于,包括:
当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟;
根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。
2.根据权利要求1所述的方法,其特征在于,在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括:
获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值;
对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较;
根据比较结果,获得与对端设备相同的安全联盟。
3.根据权利要求1所述的方法,其特征在于,在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括:
本端设备接收对端设备发送的未发生初始协商碰撞的通知消息,并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟,以保留与对端设备相同的安全联盟。
4.根据权利要求1所述的方法,其特征在于,在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括:
本端设备删除第一安全联盟,并向对端设备发送自身未发生初始协商碰撞的通知消息,以使对端设备删除第一安全联盟。
5.根据权利要求1所述的方法,其特征在于,所述检测到存在初始协商碰撞,具体包括:
本端设备接收对端设备发送的认证消息,根据所述认证消息携带的对端设备的设备信息,检测对端设备是否为本端设备作为发起端时的响应端,若是,确定存在初始协商碰撞。
6.一种基于IKEv2的初始协商装置,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,其特征在于,包括:
获取单元,用于当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟;
协商单元,用于根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。
7.根据权利要求6所述的装置,其特征在于,在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时,所述协商单元,具体用于获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值;对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较;根据比较结果,获得与对端设备相同的安全联盟。
8.根据权利要求6所述的装置,其特征在于,在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时,所述协商单元,具体用于接收对端设备发送的未发生初始协商碰撞的通知消息,并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟,以保留与对端设备相同的安全联盟。
9.根据权利要求6所述的装置,其特征在于,在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时,所述协商单元,具体用于删除第一安全联盟,并向对端设备发送自身未发生初始协商碰撞的通知消息,以使对端设备删除第一安全联盟。
10.根据权利要求6所述的装置,其特征在于,还包括:
检测单元,用于接收对端设备发送的认证消息,根据所述认证消息携带的对端设备的设备信息,检测对端设备是否为本端设备作为发起端时的响应端,若是,确定存在初始协商碰撞。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410642220.4A CN104410610B (zh) | 2014-11-13 | 2014-11-13 | 一种基于IKEv2的初始协商方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410642220.4A CN104410610B (zh) | 2014-11-13 | 2014-11-13 | 一种基于IKEv2的初始协商方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104410610A true CN104410610A (zh) | 2015-03-11 |
CN104410610B CN104410610B (zh) | 2018-01-09 |
Family
ID=52648208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410642220.4A Active CN104410610B (zh) | 2014-11-13 | 2014-11-13 | 一种基于IKEv2的初始协商方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104410610B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106254376A (zh) * | 2016-09-05 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种认证协商方法及装置 |
WO2018194844A1 (en) * | 2017-04-17 | 2018-10-25 | Microsoft Technology Licensing, Llc | Collision prevention in secure connection establishment |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1777093A (zh) * | 2004-11-16 | 2006-05-24 | 中兴通讯股份有限公司 | 一种解决因特网密钥协商协议中协商碰撞的方法 |
CN1917516A (zh) * | 2006-07-31 | 2007-02-21 | 杭州华为三康技术有限公司 | 一种协商安全联盟的方法 |
US20090129589A1 (en) * | 2007-11-16 | 2009-05-21 | Samsung Electronics Co. Ltd. | Security system and method for use in network |
CN103475645A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种解决ike重复协商的方法 |
-
2014
- 2014-11-13 CN CN201410642220.4A patent/CN104410610B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1777093A (zh) * | 2004-11-16 | 2006-05-24 | 中兴通讯股份有限公司 | 一种解决因特网密钥协商协议中协商碰撞的方法 |
CN1917516A (zh) * | 2006-07-31 | 2007-02-21 | 杭州华为三康技术有限公司 | 一种协商安全联盟的方法 |
US20090129589A1 (en) * | 2007-11-16 | 2009-05-21 | Samsung Electronics Co. Ltd. | Security system and method for use in network |
CN103475645A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种解决ike重复协商的方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106254376A (zh) * | 2016-09-05 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种认证协商方法及装置 |
CN106254376B (zh) * | 2016-09-05 | 2019-10-11 | 新华三技术有限公司 | 一种认证协商方法及装置 |
WO2018194844A1 (en) * | 2017-04-17 | 2018-10-25 | Microsoft Technology Licensing, Llc | Collision prevention in secure connection establishment |
US10432675B2 (en) | 2017-04-17 | 2019-10-01 | Microsoft Technology Licensing, Llc | Collision prevention in secure connection establishment |
Also Published As
Publication number | Publication date |
---|---|
CN104410610B (zh) | 2018-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3013086B1 (en) | Method, apparatus and electronic device for connection management | |
CN107612776B (zh) | 一种通信连接检测方法及装置 | |
EP3068093B1 (en) | Security authentication method and bidirectional forwarding detection method | |
US11683218B2 (en) | Compromised network node detection system | |
US9894166B2 (en) | Registration method and system for common service entity | |
KR101341256B1 (ko) | 네트워크의 접속 보안 강화 장치 및 방법 | |
CN102946333B (zh) | 一种基于IPsec的DPD探测方法和设备 | |
CN108990062B (zh) | 智能安全Wi-Fi管理方法和系统 | |
CN103227777B (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
CN105373891A (zh) | 智能电网数据管理和传输系统 | |
CN104410610A (zh) | 一种基于IKEv2的初始协商方法及装置 | |
JP2023535474A (ja) | アソシエーション制御方法及び関連装置 | |
KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
CN113810427B (zh) | 一种渗透测试方法、终端设备及存储介质 | |
CN104580547A (zh) | 用于Linux操作系统的IP配置方法和装置 | |
CN105577485A (zh) | 一种实现家庭网络组网的方法及装置和G.hn设备 | |
CN108270613B (zh) | 发送消息方法及网络设备 | |
CN107733931B (zh) | 入口认证方法、装置及入口服务器 | |
TWI641271B (zh) | 一種存取認證方法、ue和存取設備 | |
CN103763144A (zh) | 一种用户续费上线的方法和设备 | |
TW201933904A (zh) | 支援無線網路切換的可靠伺服管理方法以及裝置 | |
JP6126062B2 (ja) | ネットワーク装置及びネットワーク装置のmacアドレス認証方法 | |
CN115348113B (zh) | 一种中间人攻击对抗方法 | |
CN113206817B (zh) | 一种设备连接确认方法和区块链网络 | |
CN111541719B (zh) | 认证方法、装置及信息处理设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |