CN109639553B - IPSec协商方法和装置 - Google Patents

IPSec协商方法和装置 Download PDF

Info

Publication number
CN109639553B
CN109639553B CN201811594705.5A CN201811594705A CN109639553B CN 109639553 B CN109639553 B CN 109639553B CN 201811594705 A CN201811594705 A CN 201811594705A CN 109639553 B CN109639553 B CN 109639553B
Authority
CN
China
Prior art keywords
identity information
network equipment
adopting
network device
coding mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811594705.5A
Other languages
English (en)
Other versions
CN109639553A (zh
Inventor
黄春平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201811594705.5A priority Critical patent/CN109639553B/zh
Publication of CN109639553A publication Critical patent/CN109639553A/zh
Application granted granted Critical
Publication of CN109639553B publication Critical patent/CN109639553B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/0001Systems modifying transmission characteristics according to link quality, e.g. power backoff
    • H04L1/0009Systems modifying transmission characteristics according to link quality, e.g. power backoff by adapting the channel coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请供一种IPSec协商方法及装置,应用于支持IPSec的网络设备中,所述方法包括:在确定与支持IPSec的第二网络设备的配置一致后,向第二网络设备发送第一网络设备的第一身份信息,第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的;若接收到第二网络设备的身份验证失败消息或者在设定次数重传第一身份信息后未收到回应,则向第二网络设备发送第一网络设备的第二身份信息,第二身份信息是采用第二编码方式对中文字符串身份标识进行编码得到的;根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功。应用本申请的实施例,可以大大提升第一网络设备与第二网络设备之间的IPSec协商的成功率。

Description

IPSec协商方法和装置
技术领域
本申请涉及网络通信技术领域,特别设计一种互联网协议安全(InternetProtocol Security,IPSec)协商方法和装置。
背景技术
IPSec在互联网协议(Internet Protocol,IP)层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置,用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。IPSec隧道是网络中两个IPSec实体采用IPSec协议建立起来的虚拟连接通信通道。
IPSec作为标准的互联网协议,在所有支持IPSec的网络设备之间应是可以互联互通的。但是因为各个网络设制造备商在遵循标准协议规范的前提下实现IPSec仍存在细节上的差异,在某些策略配置时互相对接不成功。
例如,支持IPSec的两个网络设备在IPSec协商过程中会交换身份信息,并对接收到的身份信息进行验证,如果支持IPSec的两个网络设备对身份信息的编码规则不一致,就会互相验证失败,从而支持IPSec的两个网络设备之间不能建立IPSec隧道,致使IPSec隧道建立的成功率比较低。因此,目前亟需一种IPSec协商方法来解决IPSec隧道建立的成功率比较低的问题。
发明内容
有鉴于此,本申请提供一种IPSec协商方法和装置,以解决IPSec隧道建立的成功率比较低的问题。
具体地,本申请是通过如下技术方案实现的:
一种IPSec协商方法,应用于支持IPSec的第一网络设备中,所述方法包括:
在确定与支持IPSec的第二网络设备的配置一致后,向所述第二网络设备发送所述第一网络设备的第一身份信息,所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的;若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应,则向所述第二网络设备发送所述第一网络设备的第二身份信息,所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的;根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功;和/或,
接收所述第二网络设备发送的所述第二网络设备的第三身份信息;采用所述第一编码方式对所述第三身份信息进行解码并验证,若采用所述第一编码方式对所述第三身份信息进行解码并验证失败,则采用所述第二编码方式对所述第三身份信息进行解码并验证,并根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备。
一种IPSec协商装置,应用于支持IPSec的第一网络设备中,所述装置包括:
第一协商模块,用于在确定与支持IPSec的第二网络设备的配置一致后,向所述第二网络设备发送所述第一网络设备的第一身份信息,所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的;若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应,则向所述第二网络设备发送所述第一网络设备的第二身份信息,所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的;根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功;和/或,
第二协商模块,用于接收所述第二网络设备发送的所述第二网络设备的第三身份信息;采用所述第一编码方式对所述第三身份信息进行解码并验证,若采用所述第一编码方式对所述第三身份信息进行解码并验证失败,则采用所述第二编码方式对所述第三身份信息进行解码并验证,并根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备。
由以上本申请提供的技术方案可见,在确定与支持IPSec的第二网络设备的配置一致后,向所述第二网络设备发送所述第一网络设备的第一身份信息,所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的;若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应,则向所述第二网络设备发送所述第一网络设备的第二身份信息,所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的;根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功。该方案中,第一网络设备与第二网络设备之间在进行IPSec协商时,首先采用第一编码方式对中文字符串身份标识进行编码后,得到第一身份信息,向第二网络设备发送第一身份信息,若第二网络设备验证失败,再采用第二编码方式对中文字符串身份标识进行编码后发送给第二网络设备,根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功,由于当前中文字符串常用的为第一编码方式和第二编码方式,在第二网络设备验证失败后,重新使用另一种编码方式对中文字符串进行编码,从而可以大大提升第一网络设备与第二网络设备之间的IPSec协商的成功率。
附图说明
图1为本申请示出的一种IPSec协商方法的流程图;
图2为本申请示出的另一种IPSec协商方法的流程图;
图3为本申请示出的一种IPSec协商装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决上述技术问题,发明人经过深入研究发现:
支持IPSec的两个网络设备之间是通过发送协商报文相互交换数据以建立起IPSec隧道,交换的数据包括算法提议、身份信息等,其中,身份标识是网络设备各自配置的,可以配置为中文,若使用ISAKMP协议交换数据,交互过程如下表1所示:
Figure GDA0002828805970000041
Figure GDA0002828805970000051
表1
由表1可见,网络设备在消息序列为5和6的消息中会发送对自己的身份标识(表1中的ID)经过编码后得到的身份信息,发起方与响应方接收到对端的身份信息后会解析并验证。在解析并验证对端的身份信息时不关注其编码方式,会默认与本地编码方式一致,若验证失败,则IPSec协商失败,但实际上双方配置上是一致的,只是因为身份信息的编码方式不同而导致IPSec协商失败。
并且,在验证失败后,不回应身份验证失败消息,对端不知道为何得不到响应,造成IPSec隧道建立不成功且定位问题困难,用户使用体验差,IPSec隧道对接兼容性低。
为了解决上述问题,本发明实施例提供了一种IPSec协商方法,以提高支持IPSec的两个网络设备之间的IPSec隧道建立的成功率。假设第一网络设备与第二网络设备均支持IPSec,在IPSec协商过程中第一网络设备可能会向第二网络设备发送自身的身份信息,也可能接收第二网络设备发送的身份信息,对于第二网络设备也是如此,下面均以第一网络设备为执行主体介绍该方法,第二网络设备为执行主体时的方法是相同的,这里不再赘述。
首先介绍第一网络设备向第二网络设备发送身份信息时的处理过程,请参见图1,图1为本申请示出的一种IPSec协商方法的流程图,应用于支持IPSec的第一网络设备中。
S11:在确定与支持IPSec的第二网络设备的配置一致后,向第二网络设备发送第一网络设备的第一身份信息。
第一网络设备与第二网络设备进行IPSec协商时,会首先确认与第二网络设备的配置是否一致,只有在确定一致后,才会继续发送身份信息进行身份验证,其中,第一网络设备的发送的身份信息可以定义为第一身份信息,第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的。
在目前对中文字符串的编码方式中,第一编码方式可以但不限于为UTF-8。
S12:若接收到第二网络设备的身份验证失败消息或者在设定次数重传第一身份信息后未收到回应,则向第二网络设备发送第一网络设备的第二身份信息。
第二网络设备对第一身份信息进行解码并验证后,若验证成功会返回身份验证成功消息,可是若验证失败,有两种可能,第一种是会返回身份验证失败消息以通知第一网络设备身份验证失败;第二种是什么回应都没有,在这种情况下,第一网络设备可以采用重传机制,多次重传后都没有收到回应的话,也证明第二网络设备对第一身份信息进行身份验证失败。
在以上两种可能的情况下,第一网络设备都可以重新向第二网络设备发送第一网络设备的身份信息,该身份信息可以定义为第二身份信息,第二身份信息是采用第二编码方式对中文字符串身份标识进行编码得到的,第二身份信息与第一身份信息采用的编码方式是不同的。
其中,设定次数可以根据实际需要进行设定,例如可以设定为3次、4次、5次等等;在目前对中文字符串的编码方式中,第二编码方式可以但不限于为GBK编码。只要第一编码方式与第二编码方式不同即可,UTF-8与GBK编码可以根据实际需要设定为第一编码方式和第二编码方式。
当然,若接收到第二网络设备的身份验证成功消息,则确定与第二网络设备之间的IPSec协商成功。
S13:根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功。
该方案中,第一网络设备与第二网络设备之间在进行IPSec协商时,首先采用第一编码方式对中文字符串身份标识进行编码后,得到第一身份信息,向第二网络设备发送第一身份信息,若第二网络设备验证失败,再采用第二编码方式对中文字符串身份标识进行编码后发送给第二网络设备,根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功,由于当前中文字符串常用的为第一编码方式和第二编码方式,在第二网络设备验证失败后,重新使用另一种编码方式对中文字符串进行编码,从而可以大大提升第一网络设备与第二网络设备之间的IPSec协商的成功率。
具体的,上述S13中的根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功,具体包括:
若接收到第二网络设备发送的身份验证成功消息,则确定与第二网络设备之间的IPSec协商成功;
若接收到第二网络设备发送的身份验证失败消息或者在设定次数重传第二身份信息后未收到回应,则确定与第二网络设备之间的IPSec协商失败。
需要说明的是,在接收到第二网络设备发送的身份验证失败消息或者在设定次数重传第二身份信息后未收到回应之后,若还有其他的编码方式,还可以重新采用其他的编码方式对中文字符串身份标识进行编码,然后向第二网络设备发送,然后根据第二网络设备的回应确定与第二网络设备的IPSec协商是否成功。理论上可以针对各种编码方式进行多次尝试,至于尝试的次数可以根据实际需要进行设定。
以上已经介绍了第一网络设备向第二网络设备发送身份信息时的处理过程,下面介绍第一网络设备接收第二网络设备发送的身份信息时的处理过程,请参见图2,图2为本申请示出的一种IPSec协商方法的流程图,应用于支持IPSec的第一网络设备中。
S21:接收第二网络设备发送的第二网络设备的第三身份信息。
S22:采用第一编码方式对第三身份信息进行解码并验证。
S23:若采用第一编码方式对第三身份信息进行解码并验证失败,则采用第二编码方式对第三身份信息进行解码并验证,并根据采用第二编码方式对第三身份信息进行解码并验证的结果回应第二网络设备。
若采用第一编码方式对第三身份信息进行解码并验证成功,则向第二网络设备发送身份验证成功消息。
该方案中,第一网络设备与第二网络设备之间在进行IPSec协商时,接收到第二网络设备发送的第三身份信息,首先采用第一编码方式对第三身份信息进行解码并验证,若验证失败,再采用第二编码方式对第三身份新进行解码并验证,根据采用第二编码方式对第三身份信息进行解码并验证的结果回应第二网络设备,由于当前中文字符串常用的为第一编码方式和第二编码方式,验证失败后,重新使用另一种编码方式对中文字符串进行编码,从而可以大大提升第一网络设备与第二网络设备之间的IPSec协商的成功率。
具体的,上述S23中根据采用第二编码方式对第三身份信息进行解码并验证的结果回应第二网络设备,具体包括:
若采用第二编码方式对第三身份信息进行解码并验证成功,则向第二网络设备发送身份验证成功消息;
若采用第二编码方式对第三身份信息进行解码并验证失败,则向第二网络设备发送身份验证失败消息或者不作回应。
在如图1所示的方法中,第一网络设备可以多次尝试采用不同的编码方式对中文字符串身份标识进行编码然后发送第二网络设备进行身份验证,相应地,第一网络设备对接收的第二网络设备发送的身份信息也可以多次尝试采用不同的编码方式进行解码和验证,尝试的次数可以根据实际需要进行设定,第二网络设备发送的身份信息可以定义为第三身份信息。
可选的,有时第一网络设备需要将接收到的身份信息进行显示,在上述方法流程的基础上,还包括:
采用第一编码方式对第三身份信息进行解码;
若采用第一编码方式对第三身份信息进行解码成功,则在Web页面显示解码后的第三身份信息;
若采用第一编码方式对第三身份信息进行解码失败,则采用第二编码方式与第一编码方式的转换方式转换第三身份信息;
采用第一编码方式对转换后的第三身份信息进行解码;
若采用第一编码方式对转换后的第三身份信息进行解码成功,则在Web页面显示解码后的第三身份信息;若采用第一编码方式对转换后的第三身份信息进行解码失败,则采用URL编码方式转换第三身份信息,在Web页面显示URL编码方式转换后的第三身份信息。
若依次使用第一编码方式和第二编码方式对第三身份信息进行解码,若可以解码成功,则可以直接在Web页面显示解码后的第三身份信息,若不能解码成功,则只能以URL编码方式转化第三身份信息,以确保在Web页面显示的不是乱码。
需要说明的是,在以上介绍的两种方法中若确定与第二网络设备之间的IPSec协商失败之后,还可以提示将中文字符串身份标识转换成英文的,从而可以确保与与第二网络设备之间的IPSec协商成功。以上两种方法既可以单独执行,也可以同时执行,同时执行的时候就是两种方法的综合,这里不再一一赘述。
请参见图3,图3为本申请示出的一种IPSec协商装置的结构示意图,应用于支持IPSec的第一网络设备中,该装置包括:
第一协商模块31,用于在确定与支持IPSec的第二网络设备的配置一致后,向第二网络设备发送第一网络设备的第一身份信息,第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的;若接收到第二网络设备的身份验证失败消息或者在设定次数重传第一身份信息后未收到回应,则向第二网络设备发送第一网络设备的第二身份信息,第二身份信息是采用第二编码方式对中文字符串身份标识进行编码得到的;根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功;和/或,
第二协商模块32,用于接收第二网络设备发送的第二网络设备的第三身份信息;采用第一编码方式对第三身份信息进行解码并验证,若采用第一编码方式对第三身份信息进行解码并验证失败,则采用第二编码方式对第三身份信息进行解码并验证,并根据采用第二编码方式对第三身份信息进行解码并验证的结果回应第二网络设备。
具体的,第一协商模块31,用于根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功,具体用于:
若接收到第二网络设备发送的身份验证成功消息,则确定与第二网络设备之间的IPSec协商成功;
若接收到第二网络设备发送的身份验证失败消息或者在设定次数重传第二身份信息后未收到回应,则确定与第二网络设备之间的IPSec协商失败。
具体的,第二协商模块32,用于根据采用第二编码方式对第三身份信息进行解码并验证的结果回应第二网络设备,具体用于:
若采用第二编码方式对第三身份信息进行解码并验证成功,则向第二网络设备发送身份验证成功消息;
若采用第二编码方式对第三身份信息进行解码并验证失败,则向第二网络设备发送身份验证失败消息或者不作回应。
可选的,装置还包括显示模块,用于:
采用第一编码方式对第三身份信息进行解码;
若采用第一编码方式对第三身份信息进行解码成功,则在Web页面显示解码后的第三身份信息;
若采用第一编码方式对第三身份信息进行解码失败,则采用第二编码方式与第一编码方式的转换方式转换第三身份信息;
采用第一编码方式对转换后的第三身份信息进行解码;
若采用第一编码方式对转换后的第三身份信息进行解码成功,则在Web页面显示解码后的第三身份信息;若采用第一编码方式对转换后的第三身份信息进行解码失败,则采用URL编码方式转换第三身份信息,在Web页面显示URL编码方式转换后的第三身份信息。
可选的,第一协商模块31,还用于:
向第二网络设备发送第一网络设备的第一身份信息之后,若接收到第二网络设备的身份验证成功消息,则确定与第二网络设备之间的IPSec协商成功。
可选的,第二协商模块,还用于:
采用第一编码方式对第三身份信息进行解码并验证之后,若采用第一编码方式对第三身份信息进行解码并验证成功,则向第二网络设备发送身份验证成功消息。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (12)

1.一种IPSec协商方法,应用于支持IPSec的第一网络设备中,其特征在于,所述方法包括:
在确定与支持IPSec的第二网络设备的配置一致后,向所述第二网络设备发送所述第一网络设备的第一身份信息,所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的;若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应,则向所述第二网络设备发送所述第一网络设备的第二身份信息,所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的;根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功;和/或,
在确定与支持IPSec的第二网络设备的配置一致后,接收所述第二网络设备发送的所述第二网络设备的第三身份信息;采用所述第一编码方式对所述第三身份信息进行解码并验证,若采用所述第一编码方式对所述第三身份信息进行解码并验证失败,则采用所述第二编码方式对所述第三身份信息进行解码并验证,并根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备。
2.根据权利要求1所述的方法,其特征在于,根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功,具体包括:
若接收到所述第二网络设备发送的身份验证成功消息,则确定与所述第二网络设备之间的IPSec协商成功;
若接收到所述第二网络设备发送的身份验证失败消息或者在所述设定次数重传所述第二身份信息后未收到回应,则确定与所述第二网络设备之间的IPSec协商失败。
3.根据权利要求1所述的方法,其特征在于,根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备,具体包括:
若采用所述第二编码方式对所述第三身份信息进行解码并验证成功,则向所述第二网络设备发送身份验证成功消息;
若采用所述第二编码方式对所述第三身份信息进行解码并验证失败,则向所述第二网络设备发送身份验证失败消息或者不作回应。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
采用所述第一编码方式对所述第三身份信息进行解码;
若采用所述第一编码方式对所述第三身份信息进行解码成功,则在Web页面显示解码后的所述第三身份信息;
若采用所述第一编码方式对所述第三身份信息进行解码失败,则采用将所述第二编码方式转化为所述第一编码方式的转换方式转换所述第三身份信息;
采用所述第一编码方式对转换后的所述第三身份信息进行解码;
若采用所述第一编码方式对转换后的所述第三身份信息进行解码成功,则在所述Web页面显示解码后的所述第三身份信息;若采用所述第一编码方式对转换后的所述第三身份信息进行解码失败,则采用URL编码方式转换所述第三身份信息,在所述Web页面显示URL编码方式转换后的所述第三身份信息。
5.根据权利要求1-4任一所述的方法,其特征在于,向所述第二网络设备发送所述第一网络设备的第一身份信息之后,所述方法还包括:
若接收到所述第二网络设备的身份验证成功消息,则确定与所述第二网络设备之间的IPSec协商成功。
6.根据权利要求1-4任一所述的方法,其特征在于,采用所述第一编码方式对所述第三身份信息进行解码并验证之后,还包括:
若采用所述第一编码方式对所述第三身份信息进行解码并验证成功,则向所述第二网络设备发送身份验证成功消息。
7.一种IPSec协商装置,应用于支持IPSec的第一网络设备中,其特征在于,所述装置包括:
第一协商模块,用于在确定与支持IPSec的第二网络设备的配置一致后,向所述第二网络设备发送所述第一网络设备的第一身份信息,所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的;若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应,则向所述第二网络设备发送所述第一网络设备的第二身份信息,所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的;根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功;和/或,
第二协商模块,用于在确定与支持IPSec的第二网络设备的配置一致后,接收所述第二网络设备发送的所述第二网络设备的第三身份信息;采用所述第一编码方式对所述第三身份信息进行解码并验证,若采用所述第一编码方式对所述第三身份信息进行解码并验证失败,则采用所述第二编码方式对所述第三身份信息进行解码并验证,并根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备。
8.根据权利要求7所述的装置,其特征在于,所述第一协商模块,用于根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功,具体用于:
若接收到所述第二网络设备发送的身份验证成功消息,则确定与所述第二网络设备之间的IPSec协商成功;
若接收到所述第二网络设备发送的身份验证失败消息或者在所述设定次数重传所述第二身份信息后未收到回应,则确定与所述第二网络设备之间的IPSec协商失败。
9.根据权利要求7所述的装置,其特征在于,所述第二协商模块,用于根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备,具体用于:
若采用所述第二编码方式对所述第三身份信息进行解码并验证成功,则向所述第二网络设备发送身份验证成功消息;
若采用所述第二编码方式对所述第三身份信息进行解码并验证失败,则向所述第二网络设备发送身份验证失败消息或者不作回应。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括显示模块,用于:
采用所述第一编码方式对所述第三身份信息进行解码;
若采用所述第一编码方式对所述第三身份信息进行解码成功,则在Web页面显示解码后的所述第三身份信息;
若采用所述第一编码方式对所述第三身份信息进行解码失败,则采用将所述第二编码方式转化为所述第一编码方式的转换方式转换所述第三身份信息;
采用所述第一编码方式对转换后的所述第三身份信息进行解码;
若采用所述第一编码方式对转换后的所述第三身份信息进行解码成功,则在所述Web页面显示解码后的所述第三身份信息;若采用所述第一编码方式对转换后的所述第三身份信息进行解码失败,则采用URL编码方式转换所述第三身份信息,在所述Web页面显示URL编码方式转换后的所述第三身份信息。
11.根据权利要求7-10任一所述的装置,其特征在于,所述第一协商模块,还用于:
向所述第二网络设备发送所述第一网络设备的第一身份信息之后,若接收到所述第二网络设备的身份验证成功消息,则确定与所述第二网络设备之间的IPSec协商成功。
12.根据权利要求7-10任一所述的装置,其特征在于,所述第二协商模块,还用于:
采用所述第一编码方式对所述第三身份信息进行解码并验证之后,若采用所述第一编码方式对所述第三身份信息进行解码并验证成功,则向所述第二网络设备发送身份验证成功消息。
CN201811594705.5A 2018-12-25 2018-12-25 IPSec协商方法和装置 Active CN109639553B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811594705.5A CN109639553B (zh) 2018-12-25 2018-12-25 IPSec协商方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811594705.5A CN109639553B (zh) 2018-12-25 2018-12-25 IPSec协商方法和装置

Publications (2)

Publication Number Publication Date
CN109639553A CN109639553A (zh) 2019-04-16
CN109639553B true CN109639553B (zh) 2021-04-27

Family

ID=66077543

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811594705.5A Active CN109639553B (zh) 2018-12-25 2018-12-25 IPSec协商方法和装置

Country Status (1)

Country Link
CN (1) CN109639553B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112929352A (zh) * 2021-01-28 2021-06-08 杭州迪普科技股份有限公司 一种IPSec VPN协商方法、装置及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1881863A (zh) * 2005-06-13 2006-12-20 中兴通讯股份有限公司 一种确定协商中的重传策略的设备和方法
CN201315596Y (zh) * 2008-12-22 2009-09-23 珠海市鸿瑞软件技术有限公司 一种拨号安全网关装置
CN102006298A (zh) * 2010-11-26 2011-04-06 华为技术有限公司 接入网关实现负荷分担的方法和装置
CN103392323A (zh) * 2012-12-25 2013-11-13 华为技术有限公司 一种ipsec协商的方法、装置、设备和系统
CN103702329A (zh) * 2013-11-15 2014-04-02 北京创毅讯联科技股份有限公司 一种通信终端身份验证的方法、一种通信终端和一种基站
CN106295303A (zh) * 2010-11-25 2017-01-04 安西哥尼亚有限公司 用于处置编码后的信息的方法和系统
CN106534208A (zh) * 2016-12-28 2017-03-22 珠海市魅族科技有限公司 一种用户识别的方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
US9680806B2 (en) * 2014-06-11 2017-06-13 New York University Secure transactions using alphacodes

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1881863A (zh) * 2005-06-13 2006-12-20 中兴通讯股份有限公司 一种确定协商中的重传策略的设备和方法
CN201315596Y (zh) * 2008-12-22 2009-09-23 珠海市鸿瑞软件技术有限公司 一种拨号安全网关装置
CN106295303A (zh) * 2010-11-25 2017-01-04 安西哥尼亚有限公司 用于处置编码后的信息的方法和系统
CN102006298A (zh) * 2010-11-26 2011-04-06 华为技术有限公司 接入网关实现负荷分担的方法和装置
CN103392323A (zh) * 2012-12-25 2013-11-13 华为技术有限公司 一种ipsec协商的方法、装置、设备和系统
CN103702329A (zh) * 2013-11-15 2014-04-02 北京创毅讯联科技股份有限公司 一种通信终端身份验证的方法、一种通信终端和一种基站
CN106534208A (zh) * 2016-12-28 2017-03-22 珠海市魅族科技有限公司 一种用户识别的方法及装置

Also Published As

Publication number Publication date
CN109639553A (zh) 2019-04-16

Similar Documents

Publication Publication Date Title
CN101867476B (zh) 一种3g虚拟私有拨号网用户安全认证方法及其装置
CN1697552B (zh) 采用会话启动协议消息对服务器验证用户代理的验证方法
US8699709B2 (en) Methods for obtaining authentication credentials for attaching a wireless device to a foreign 3GPP wireless domain
US7546632B2 (en) Methods and apparatus to configure a network device via an authentication protocol
CN1156196C (zh) 通信系统中的完整性检验
US10277586B1 (en) Mobile authentication with URL-redirect
CN103986720A (zh) 一种登录方法及装置
CN105828329B (zh) 移动终端认证管理方法
US9648650B2 (en) Pairing of devices through separate networks
US10447657B2 (en) Method and apparatus for transmitting and receiving secure and non-secure data
KR101369793B1 (ko) 미디어 데이터를 인코딩 및 디코딩하기 위한 방법, 장치들 및 컴퓨터 프로그램 제품
CN107820242A (zh) 一种认证机制的协商方法及装置
CN113726524A (zh) 一种安全通信方法及通信系统
CN112583807A (zh) 一种验证方法、装置、电子设备及存储介质
CN109639553B (zh) IPSec协商方法和装置
CN106912049B (zh) 改善用户认证体验的方法
CN113438081A (zh) 一种认证方法、装置及设备
CN101783806B (zh) 一种Portal证书认证方法及其装置
CN106453400A (zh) 一种认证方法及系统
CN101640680B (zh) 一种网络接入控制的方法、系统和装置
CN107864136A (zh) 一种防止系统短信服务被盗用的方法
CN104184761B (zh) 移动业务确认方法及装置、业务服务器
CN100450283C (zh) 访问端和业务应用实体建立信任关系的方法
CN106878032B (zh) 一种认证方法和装置
CN110098933B (zh) 一种手机应用自动身份认证方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant