CN107196759B - 一种多nat穿越版本的加密模式协商方法及其装置 - Google Patents

Abstract

本发明公开了一种多NAT穿越版本的加密模式协商方法及其装置，用于IP Sec IKE，包括从多种预设选取规则中选取相应的选取规则对响应者进行设定，供响应者与发起者选取NAT穿越版本的规则相同；第一阶段协商过程中，响应者接收发起者发送的多个NAT穿越版本；响应者依据自身设定的选取规则选取一个NAT穿越版本，确定选取的NAT穿越版本对应的加密模式；第二阶段协商过程中，响应者接收发起者发送的自身选取的NAT穿越版本所对应的加密模式；响应者将自身选取的加密模式与发起者选取的加密模式进行比对操作，若相同，则将该加密模式作为最终协商结果。本发明能够尽可能使响应者与发起者选取的加密模式相同，提高协商成功率。

Description

一种多NAT穿越版本的加密模式协商方法及其装置

技术领域

本发明涉及密钥交换协议协商技术领域，特别是涉及一种多NAT穿越版本的加密模式协商方法及其装置。

背景技术

IP Sec IKE(密钥交换协议)中，若设置有NAT穿越属性，且NAT穿越版本经过升级之后，会导致在进行第一阶段协商(野蛮模式)时，发起者发出的协商报文中包括多个vendor id载荷，每个载荷携带有一个NAT穿越版本。此时响应者会从收到的多个NAT穿越版本中选择版本最高的一个(例如加密模式为3)，其中，每个NAT穿越版本对应一种加密模式。

在第二阶段协商(快速模式)时，发起者会根据自己发送NAT穿越版本的顺序，从中选择顺序最后的一个NAT穿越版本对应的加密模式(例如61443)，并发送给响应者。这样会导致两者最终加密模式值不同，从而使得响应者无法正常理解发起者的加密模式，导致协商失败。

因此，如何提供一种能够提高协商成功率的多NAT穿越版本的加密模式协商方法及其装置是本领域技术人员目前需要解决的问题。

发明内容

本发明的目的是提供一种多NAT穿越版本的加密模式协商方法及其装置，能够尽可能使响应者与发起者选取的加密模式相同，提高协商成功率。

为解决上述技术问题，本发明提供了一种多NAT穿越版本的加密模式协商方法，用于IP Sec IKE，包括：

从多种预设选取规则中选取相应的选取规则对响应者进行设定，供所述响应者与发起者选取NAT穿越版本的规则相同；

第一阶段协商过程中，所述响应者接收所述发起者发送的第一协商报文，所述协商报文内携带有多个NAT穿越版本；

所述响应者依据自身设定的选取规则选取一个NAT穿越版本，确定选取的NAT穿越版本对应的加密模式；

第二阶段协商过程中，所述响应者接收所述发起者发送的第二协商报文，所述第二协商报文内携带有所述发起者选取的NAT穿越版本所对应的加密模式；

所述响应者将自身选取的加密模式与所述发起者选取的加密模式进行比对操作，若相同，则将该加密模式作为最终协商结果。

优选地，所述预设选取规则具体包括：

选取版本最高的NAT穿越版本；

或选取排序时最后的NAT穿越版本。

优选地，当所述响应者设定的选取规则为选取版本最高的NAT穿越版本时，所述响应者依据自身设定的选取规则选取一个NAT穿越版本的过程具体为：

所述响应者获取接收到的各个NAT穿越版本的版本数；

依据所述版本数，选取版本数最大的一个NAT穿越版本。

优选地，第一阶段协商过程中，所述响应者确定选取的NAT穿越版本对应的加密模式后还包括：

所述响应者将选取的加密模式与该加密模式对应的标识数值作差，得到加密模式差；

所述响应者将自身选取的加密模式与所述发起者选取的加密模式进行比对操作的过程具体为：

所述响应者将所述发起者选取的加密模式减去所述加密模式差，若得到的结果等于所述响应者选取的加密模式对应的标识数值，则表示比对相同，将所述响应者选取的加密模式作为最终协商结果。

为解决上述技术问题，本发明还提供了一种多NAT穿越版本的加密模式协商装置，用于IP Sec IKE，包括：

响应者设定模块，用于从多种预设选取规则中选取相应的选取规则对响应者进行设定，供所述响应者与发起者选取NAT穿越版本的规则相同；

响应者第一协商模块，用于第一阶段协商过程中，接收所述发起者发送的第一协商报文，所述协商报文内携带有多个NAT穿越版本；依据自身设定的选取规则选取一个NAT穿越版本，确定选取的NAT穿越版本对应的加密模式；

响应者第二协商模块，用于第二阶段协商过程中，接收所述发起者发送的第二协商报文，所述第二协商报文内携带有所述发起者选取的NAT穿越版本所对应的加密模式；将自身选取的加密模式与所述发起者选取的加密模式进行比对操作，若相同，则将该加密模式作为最终协商结果。

优选地，所述响应者第一协商模块还包括：

差值单元，用于将选取的加密模式与该加密模式对应的标识数值作差，得到加密模式差；

所述响应者第二协商模块具体包括：

接收单元，用于第二阶段协商过程中，接收所述发起者发送的第二协商报文；

作差单元，用于将所述发起者选取的加密模式减去所述加密模式差，若得到的结果等于所述响应者选取的加密模式对应的标识数值，则表示比对相同，将所述响应者选取的加密模式作为最终协商结果。

本发明提供了一种多NAT穿越版本的加密模式协商方法及其装置，能够调整响应者选取NAT穿越版本的选取规则，使得响应者与发起者选取NAT穿越版本的规则尽可能保持一致，从而保证第一阶段协商时，响应者选取的NAT穿越版本与第二阶段协商时发起者选取的NAT穿越版本一致，进而使得响应者和发起者选取的加密模式一致，保证了协商的成功率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种多NAT穿越版本的加密模式协商方法的过程的流程图；

图2为本发明提供的一种多NAT穿越版本的加密模式协商装置的结构示意图。

具体实施方式

本发明的核心是提供一种多NAT穿越版本的加密模式协商方法及其装置，能够尽可能使响应者与发起者选取的加密模式相同，提高协商成功率。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供了一种多NAT穿越版本的加密模式协商方法，用于IP Sec IKE，参见图1所示，图1为本发明提供的一种多NAT穿越版本的加密模式协商方法的过程的流程图；该方法包括：

步骤s101：从多种预设选取规则中选取相应的选取规则对响应者进行设定，供响应者与发起者选取NAT穿越版本的规则相同；

由于响应者不可得知发起者的选取规则，故一般按照常规思路猜测发起者的选取规则，进而设定响应者；或者也可通过多次尝试设定，来确定发起者的选取规则；具体采用哪种方式本发明不作具体限定。

步骤s102：第一阶段协商过程中，响应者接收发起者发送的第一协商报文，协商报文内携带有多个NAT穿越版本；

步骤s103：响应者依据自身设定的选取规则选取一个NAT穿越版本，确定选取的NAT穿越版本对应的加密模式；

步骤s104：第二阶段协商过程中，响应者接收发起者发送的第二协商报文，第二协商报文内携带有发起者选取的NAT穿越版本所对应的加密模式；

步骤s105：响应者将自身选取的加密模式与发起者选取的加密模式进行比对操作，若相同，则将该加密模式作为最终协商结果。

具体的，预设选取规则具体包括：

选取版本最高的NAT穿越版本；

或选取排序时最后的NAT穿越版本。

其中，具体的规则选择操作可通过命令设定实现，set-natt-priority-highest表明选取版本最高的NAT穿越版本；set-natt-priority-sequence表明选取排序时最后的NAT穿越版本

进一步可知，当响应者设定的选取规则为选取版本最高的NAT穿越版本时，步骤s103中，响应者依据自身设定的选取规则选取一个NAT穿越版本的过程具体为：

响应者获取接收到的各个NAT穿越版本的版本数；

依据版本数，选取版本数最大的一个NAT穿越版本。

在优选实施例中，第一阶段协商过程中，响应者确定选取的NAT穿越版本对应的加密模式后还包括：

响应者将选取的加密模式与该加密模式对应的标识数值作差，得到加密模式差；

响应者将自身选取的加密模式与发起者选取的加密模式进行比对操作的过程具体为：

响应者将发起者选取的加密模式减去加密模式差，若得到的结果等于响应者选取的加密模式对应的标识数值，则表示比对相同，将响应者选取的加密模式作为最终协商结果。

为方便对上述实施方式的理解，以如下具体实施例进行分析：

现有技术中：

在第一阶段协商时，发起者在协商报文中带上3个vendor id，分别携带有3个NAT穿越版本：RFC 3947、draft-ietf-ipsec-nat-t-ike-02\n、draft-ietf-nat-t-ike-00。

响应者选取版本最高的NAT穿越版本，由于RFC 3947版本大于draft-ietf-ipsec-nat-t-ike-02\n和draft-ietf-nat-t-ike-00，因而响应者认为发起者提议的是RFC 3947对应的加密模式，即加密模式为3(RFC 3947对应的加密模式数值为3，加密模式3对应的标识数值为1，这些数值是依据NAT穿越版本而公知认定的)，加密模式差是2。

在第二阶段协商时，发起者发送安全联盟提议，发起者认为自己将draft-ietf-nat-t-ike-00排在阶段一协商的最后，因而应该基于最后这个载荷做协商，故发起者选取的是draft-ietf-nat-t-ike-00版本对应的加密模式61443，故发起者会将61443作为加密模式载荷明文发送给响应者。

响应者在收到安全联盟提议并解密后，发现加密模式是61443，于是将61443，与加密模式差2，相减得到结果是61441。即最终得到加密模式是61441，而响应者并不认识61441这种加密方式，导致协商失败。

而本发明中：

响应者调整自身的选取规则后，可选择顺序最后的NAT穿越版本，因此响应者会基于draft-ietf-nat-t-ike-00版本，认为发起者提议的加密模式是61443(61443模式对应的标识数值为1)，加密模式差是61442。

在第二阶段协商时，发起者发送61443。

响应者在收到安全联盟提议并解密后，发现加密模式是61443，于是将61443，与之前得到的加密模式差61442，相减得到结果是1。即加密模式是1(1实际上对应61443，即加密模式1与加密模式61443为同一种加密模式)，而响应者发现1对应IPSEC隧道加密，因而协商成功。

可见，当响应者与发起者的选取规则相同的情况下，得到的最终结果为响应者或发起者选取的加密模式对应的标识数值，即本质上选择的最终加密模式即为响应者和发起者选取的加密模式，协商成功。

本发明提供了一种多NAT穿越版本的加密模式协商方法，能够调整响应者选取NAT穿越版本的选取规则，使得响应者与发起者选取NAT穿越版本的规则尽可能保持一致，从而保证第一阶段协商时，响应者选取的NAT穿越版本与第二阶段协商时发起者选取的NAT穿越版本一致，进而使得响应者和发起者选取的加密模式一致，保证了协商的成功率。

本发明还提供了一种多NAT穿越版本的加密模式协商装置，用于IP Sec IKE，参见图2所示，图2为本发明提供的一种多NAT穿越版本的加密模式协商装置的结构示意图。该装置包括：

响应者设定模块1，用于从多种预设选取规则中选取相应的选取规则对响应者进行设定，供响应者与发起者选取NAT穿越版本的规则相同；

响应者第一协商模块2，用于第一阶段协商过程中，接收发起者发送的第一协商报文，协商报文内携带有多个NAT穿越版本；依据自身设定的选取规则选取一个NAT穿越版本，确定选取的NAT穿越版本对应的加密模式；

响应者第二协商模块3，用于第二阶段协商过程中，接收发起者发送的第二协商报文，第二协商报文内携带有发起者选取的NAT穿越版本所对应的加密模式；将自身选取的加密模式与发起者选取的加密模式进行比对操作，若相同，则将该加密模式作为最终协商结果。

作为优选地，响应者第一协商模块2还包括：

差值单元，用于将选取的加密模式与该加密模式对应的标识数值作差，得到加密模式差；

响应者第二协商模块3具体包括：

接收单元，用于第二阶段协商过程中，接收发起者发送的第二协商报文；

作差单元，用于将发起者选取的加密模式减去加密模式差，若得到的结果等于响应者选取的加密模式对应的标识数值，则表示比对相同，将响应者选取的加密模式作为最终协商结果。

本发明提供了一种多NAT穿越版本的加密模式协商装置，能够调整响应者选取NAT穿越版本的选取规则，使得响应者与发起者选取NAT穿越版本的规则尽可能保持一致，从而保证第一阶段协商时，响应者选取的NAT穿越版本与第二阶段协商时发起者选取的NAT穿越版本一致，进而使得响应者和发起者选取的加密模式一致，保证了协商的成功率。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (6)

1.一种多NAT穿越版本的加密模式协商方法，用于IPSecIKE，其特征在于，包括：

响应者从多种预设选取规则中选取相应的选取规则对响应者进行设定，供所述响应者与发起者选取NAT穿越版本的规则相同；

第一阶段协商过程中，所述响应者接收所述发起者发送的第一协商报文，所述协商报文内携带有多个NAT穿越版本；

所述响应者依据自身设定的选取规则选取一个NAT穿越版本，确定选取的NAT穿越版本对应的加密模式；

第二阶段协商过程中，所述响应者接收所述发起者发送的第二协商报文，所述第二协商报文内携带有所述发起者选取的NAT穿越版本所对应的加密模式；

所述响应者将自身选取的加密模式与所述发起者选取的加密模式进行比对操作，若相同，则将该加密模式作为最终协商结果。

2.根据权利要求1所述的方法，其特征在于，所述预设选取规则具体包括：

选取版本最高的NAT穿越版本；

或选取排序时最后的NAT穿越版本。

3.根据权利要求2所述的方法，其特征在于，当所述响应者设定的选取规则为选取版本最高的NAT穿越版本时，所述响应者依据自身设定的选取规则选取一个NAT穿越版本的过程具体为：

所述响应者获取接收到的各个NAT穿越版本的版本数；

依据所述版本数，选取版本数最大的一个NAT穿越版本。

4.根据权利要求1所述的方法，其特征在于，第一阶段协商过程中，所述响应者确定选取的NAT穿越版本对应的加密模式后还包括：

所述响应者将选取的加密模式与该加密模式对应的标识数值作差，得到加密模式差；

所述响应者将自身选取的加密模式与所述发起者选取的加密模式进行比对操作的过程具体为：

所述响应者将所述发起者选取的加密模式减去所述加密模式差，若得到的结果等于所述响应者选取的加密模式对应的标识数值，则表示比对相同，将所述响应者选取的加密模式作为最终协商结果。

5.一种多NAT穿越版本的加密模式协商装置，用于IPSecIKE，其特征在于，包括：

响应者设定模块，用于从多种预设选取规则中选取相应的选取规则对响应者进行设定，供所述响应者与发起者选取NAT穿越版本的规则相同；

响应者第一协商模块，用于第一阶段协商过程中，接收所述发起者发送的第一协商报文，所述协商报文内携带有多个NAT穿越版本；依据自身设定的选取规则选取一个NAT穿越版本，确定选取的NAT穿越版本对应的加密模式；

响应者第二协商模块，用于第二阶段协商过程中，接收所述发起者发送的第二协商报文，所述第二协商报文内携带有所述发起者选取的NAT穿越版本所对应的加密模式；将自身选取的加密模式与所述发起者选取的加密模式进行比对操作，若相同，则将该加密模式作为最终协商结果。

6.根据权利要求5所述的装置，其特征在于，所述响应者第一协商模块还包括：

差值单元，用于将选取的加密模式与该加密模式对应的标识数值作差，得到加密模式差；

所述响应者第二协商模块具体包括：

接收单元，用于第二阶段协商过程中，接收所述发起者发送的第二协商报文；

作差单元，用于将所述发起者选取的加密模式减去所述加密模式差，若得到的结果等于所述响应者选取的加密模式对应的标识数值，则表示比对相同，将所述响应者选取的加密模式作为最终协商结果。

Images