CN112929352A - 一种IPSec VPN协商方法、装置及设备 - Google Patents
一种IPSec VPN协商方法、装置及设备 Download PDFInfo
- Publication number
- CN112929352A CN112929352A CN202110119236.7A CN202110119236A CN112929352A CN 112929352 A CN112929352 A CN 112929352A CN 202110119236 A CN202110119236 A CN 202110119236A CN 112929352 A CN112929352 A CN 112929352A
- Authority
- CN
- China
- Prior art keywords
- character set
- identity information
- target
- stored
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000012795 verification Methods 0.000 claims abstract description 20
- 230000008569 process Effects 0.000 claims description 21
- 230000002457 bidirectional effect Effects 0.000 description 5
- 239000003999 initiator Substances 0.000 description 5
- 101000695861 Arabidopsis thaliana Brefeldin A-inhibited guanine nucleotide-exchange protein 5 Proteins 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种IPSec VPN协商方法、装置及设备。本申请通过在与对端设备协商建立IKE SA安全联盟时,当开始相互进行身份信息验证时,从本设备中的各字符集中选择一种目标字符集,将目标字符集中本设备身份信息的编码作为第一目标编码,将第一目标编码携带在第一协商报文中发送给对端设备;在获知身份信息验证失败时,若本设备中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回将目标字符集中本设备身份信息的编码作为第一目标编码,避免了由于不同厂商设备支持的字符集不同导致IPSec VPN协商失败。
Description
技术领域
本申请涉及通信领域,特别涉及一种IPSec VPN协商方法、装置及设备。
背景技术
由于社会信息化程度的提高,为了保障网络中信息交互的安全,可以通过IPSec(Internet Protocol Security)协议,对网络上传输的报文进行加密和认证,保证对端收到的报文的合法性和正确性,使得即使该报文被网络上的其它用户侦听到也无法知道报文的真实内容。
具体通过IPSec保障网络中信息交互的安全需要在设备间建立IPSec隧道,虽然IPSec作为标准的互联网协议,在所有支持IPSec的网络设备或产品之间应是可以建立IPSec隧道的。但不同厂商生产的设备之间需要对接才能建立IPSec隧道,如果需要对接的设备在进行IPSec VPN协商时协商失败,那么会导致设备之间对接不成功,无法建立IPSec隧道。
发明内容
本申请公开了一种IPSec VPN协商方法、装置及设备,以避免设备之间对接不成功导致无法建立IPSec隧道。
根据本申请实施例的第一方面,提供一种IPSec VPN协商方法,该方法应用于网络设备,所述网络设备至少支持两种编码模式,每种编码模式对应一种字符集,所述网络设备的包含中文字符的身份信息被依据各编码模式进行编码并保存在对应的字符集中,包括:
在与对端设备进行IPSec VPN协商以建立IKE SA安全联盟的过程中,当本设备与对端设备开始相互进行身份信息验证时,从本设备已保存的各字符集中选择一种目标字符集,将目标字符集中已保存的所述身份信息的编码作为第一目标编码,将第一目标编码携带在第一协商报文中发送给对端设备,以使对端设备根据所述第一协商报文对所述身份信息进行验证;
在获知所述身份信息验证失败时,若本设备已保存的字符集中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回将目标字符集中已保存的所述身份信息的编码作为第一目标编码。
可选的,所述从本设备已保存的各字符集中选择一种目标字符集包括:
从本设备已保存的各字符集中随机选择一种目标字符集;或者,
将本设备已保存的各字符集中对应的编码模式兼容字符种类最多的字符集确定为默认字符集,选择默认字符集作为目标字符集。
可选的,在所述身份信息验证成功时,该方法进一步包括:
接收对端设备发送的携带第二目标编码的第二协商报文,所述第二目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码;
依次遍历本设备已保存的各字符集与所述第二目标编码进行匹配,若存在与所述第二目标编码一致的编码,则确定对端设备的身份信息验证成功,并与对端设备成功建立所述IKE SA安全关联。
可选的,所述获知所述身份信息验证失败包括:
当接收到对端设备返回的提示身份验证失败的反馈报文,或者在指定时间内没有收到对端设备返回的任何报文时,确定所述身份信息验证失败。
可选的,该方法进一步包括:
若本设备已保存的字符集中不存在未被用于生成第一协商报文的字符集,则结束与对端设备进行IPSec VPN协商的过程。
可选的,若本设备与对端设备开始相互进行身份信息验证时,接收到对端设备发送的携带第三目标编码的第三协商报文,所述第三目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码,该方法进一步包括:
依次遍历本设备已保存的各字符集与所述第三目标编码进行匹配,若存在与所述第三目标编码一致的编码,则确定对端设备的身份信息验证成功;
记录与第三目标编码一致的编码所在的字符集,将该字符集中所保存的本设备身份信息的编码作为第四目标编码,将第四目标编码携带在第四协商报文中发送给对端设备,以使对端设备根据所述第四协商报文对本设备身份信息进行验证。
根据本申请实施例的第二方面,提供一种IPSec VPN协商装置,该装置应用于网络设备,所述网络设备至少支持两种编码模式,每种编码模式对应一种字符集,所述网络设备的包含中文字符的身份信息被依据各编码模式进行编码并保存在对应的字符集中,包括:
第一协商报文发送单元,用于在与对端设备进行IPSec VPN协商以建立IKE SA安全联盟的过程中,当本设备与对端设备相互进行身份信息验证时,从本设备已保存的各字符集中选择一种目标字符集,将目标字符集中已保存的所述身份信息的编码作为第一目标编码,将第一目标编码携带在第一协商报文中发送给对端设备,以使对端设备根据所述第一协商报文对所述身份信息进行验证;
第一目标编码获得单元,用于在获知所述身份信息验证失败时,若本设备已保存的字符集中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回将目标字符集中已保存的所述身份信息的编码作为第一目标编码。
可选的,所述第一协商报文发送单元从本设备已保存的各字符集中选择一种目标字符集包括:
从本设备已保存的各字符集中随机选择一种目标字符集;或者,
将本设备已保存的各字符集中对应的编码模式兼容字符种类最多的字符集确定为默认字符集,选择默认字符集作为目标字符集。
可选的,在所述身份信息验证成功时,该装置进一步包括:
第二协商报文验证单元,接收对端设备发送的携带第二目标编码的第二协商报文,所述第二目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码;依次遍历本设备已保存的各字符集与所述第二目标编码进行匹配,若存在与所述第二目标编码一致的编码,则确定对端设备的身份信息验证成功,并与对端设备成功建立所述IKE SA安全关联。
根据本申请实施例的第三方面,提供一种电子设备,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所述的IPSec VPN协商方法。
本申请的实施例提供的技术方案可以包括以下有益效果:
由以上技术方案可知,本申请提供的方案可以在与对端设备进行IPSec VPN协商以建立IKE SA安全联盟的过程中,当本设备与对端设备开始相互进行身份信息验证时,从本设备已保存的各字符集中选择一种目标字符集,将目标字符集中已保存的所述身份信息的编码作为第一目标编码,将第一目标编码携带在第一协商报文中发送给对端设备,以使对端设备根据所述第一协商报文对所述身份信息进行验证;在获知所述身份信息验证失败时,若本设备已保存的字符集中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回将目标字符集中已保存的所述身份信息的编码作为第一目标编码,避免了由于不同厂商设备之间支持的字符集不同导致的IPSec VPN协商失败,提高了不同厂商设备间进行IPSec VPN协商时的兼容性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是相关技术中IPSec VPN协商建立IKE SA的流程图;
图2是本申请实施例提供的实现IPSec VPN协商的方法流程图;
图3是本申请实施例提供的验证对端设备身份信息的流程图;
图4是本申请实施例提供的本设备作为响应方时验证对端设备身份信息的流程图;
图5是本申请实施例提供的实现IPSec VPN协商的装置示意图;
图6是本申请实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面先介绍一下本申请中涉及的一些技术和应用场景。
IPSec VPN指采用IPSec协议来实现远程接入的一种VPN技术,用以提供公用和专用网络的端对端加密和验证服务。IPSec VPN协商是指两个支持IPSec协议的网络设备进行协商建立IPSec隧道,以实现IPSec VPN的过程。
在相关技术中IPSec VPN协商可以分为两个阶段,协商过程中使用ISAKMP协议(Internet Security Association Key Management Protocol,Internet安全联盟密钥管理协议)交换数据信息,即协商中所使用的报文都是基于ISAKMP协议生成的。IPSec VPN协商的第一个阶段用于在通信双方间建立IKE SA(Internet Key Exchange因特网密钥交换,Security Association安全联盟),第一个阶段最终在通信双方之间建立了一个已通过身份验证和安全保护的通道,这个通道为IPSec VPN协商的第二个阶段中的数据交互提供安全服务。IPSec VPN协商的第二个阶段则是通过已建立的IKE SA建立IPSec SA,建立IPSecSA的目的是为了协商用于保护用户数据的安全参数,后续双方将通过建立的IPSec SA进行数据交互。
在上述内容中所提及的SA(Security Association)安全联盟,是用于实现通过IPSec协议对数据流所提供的安全服务,它包括协议、算法、密钥等内容,具体确定了如何对IP报文进行处理。
由于本申请实施例主要对IPSec VPN协商的第一个阶段进行了改进,所以为了便于理解本申请实施例,下面将详解IPSec VPN协商的第一个阶段。如图1所示,该阶段可以包括三次双向交换,共六条通过ISAKMP格式的报文实现的消息:
第一次双向交换是通过消息1和消息2完成建立IKE SA的安全参数交换,这里的消息1、消息2为明文消息。消息1是由发起方发起,携带了IPSec VPN协商过程中用到的安全参数,该安全参数可以包括加密算法、身份验证方法、认证与完整性的散列算法、Diffie-Hellman(密钥协议算法)组标识等。消息2是由响应方回应,该消息与消息1所携带的内容基本一样,由响应方在本地查找到与消息1中携带的安全参数相同的参数后发送。
第二次双向交换是通过消息3和消息4完成密钥信息交换,这里的消息3、消息4也为明文消息。发起方和响应方将通过消息3和消息4交换Diffie-Hellman公共值、nonce(随机数)值等密钥生成信息,各自通过第一次双向交换所确认的Diffie-Hellman组生成用于保护IKE SA中数据交换的加密密钥。
第三次双向交换是通过消息5和消息6实现身份信息的交换,这里的消息5、消息6为密文消息。发起方和响应方使用第一次双向交换确定的加密算法和第二次双向交换生成的加密密钥加密各自的身份信息,双方将通过接收到的对方的身份信息对对方进行身份验证。这里的身份验证可以采用预共享密钥PSK(pre-shared key)验证、数字证书RSA(rsa-signature)验证和数字签名验证等。
至于本申请实施例的应用场景,需要说明的是,在相关技术中,本设备和对端设备之间协商失败的原因多为本设备和对端设备各自支持的编码模式不同,不同的编码模式对中文字符的编码结果各不相同,导致在本设备的身份信息中包含中文字符时,对端设备采用本地支持的编码模式所对应的字符集中保存的本设备的身份信息编码与本设备发送的第一协商报文中携带的第一目标编码不一致,使得对端设备对本设备的身份验证失败,但实际上对端设备所保存的本设备的身份信息编码和第一协商报文中携带的第一目标编码很可能是一致的,只是两者的编码模式不同。
因此,针对上述应用场景中出现的问题,本申请实施例提出了以下进行IPSec VPN协商的解决方案。
下面结合附图对本申请实施例中技术方案作进一步详细的说明。参见图2,图2为本申请实施例提供的方法流程图。作为一个实施例,图2所示的流程可以应用于支持IPSec协议的网络设备,该网络设备至少支持两种可以对中文字符进行编码的编码模式,每种编码模式对应一种字符集,所述网络设备的包含中文字符的身份信息被依据各编码模式进行编码并保存在对应的字符集中。
为了便于描述,假设本申请实施例所应用的网络设备支持UTF-8、UNICODE、GBK、BIG5这4种编码模式,这4种编码模式各自对应一种字符集,分别是UTF-8字符集、UNICODE字符集、GBK字符集、BIG5字符集。当通过一种编码模式对字符进行编码时,可以在该编码模式所对应的字符集中先查找到该字符,然后将该字符编码为其在所述字符集中映射的对象(例如比特模式、自然数序列、8位组或者电脉冲),在本申请实施例之前,本设备就依据本地支持的各编码模式对本设备中包含中文字符的身份信息、和需要进行IPSec VPN协商的对端设备的身份信息进行了编码,并将编码结果保存在各编码模式对应的字符集中。
基于此,下面将介绍图2所示的方法流程,该流程可以包括以下步骤:
步骤201,在与对端设备进行IPSec VPN协商以建立IKE SA安全联盟的过程中,当本设备与对端设备开始相互进行身份信息验证时,从本设备已保存的各字符集中选择一种目标字符集。
需要说明的是,在本步骤201中,是由本设备作为发起方请求与对端设备进行IPSec VPN协商以建立IKE SA安全联盟,并且本申请实施例是在本设备和对端设备之间已经通过两次交换协商出用于加密所述网络设备的包含中文字符的设备身份信息的加密信息后实施的。
这里的加密信息至少包括用于加密所述网络设备的设备身份信息的加密算法和加密密钥,加密算法是本设备与对端设备通过如图1所示的消息1和消息2中的安全参数确定,加密密钥是本设备与对端设备通过安全参数中确定的密钥生成算法对各自接收到如图1所示的消息3和消息4中的密钥生成信息进行运算生成,并且最终本设备所得到的加密密钥和对端设备所得到的加密密钥是相同的。
可选的,作为一个实施例,从本设备支持的各编码模式中选择一种目标编码模式也可以有多种方式。在具体实施时,可以从本设备已保存的各字符集中随机选择一种目标字符集;或者,将本设备已保存的各字符集中对应的编码模式兼容字符种类最多的字符集确定为默认字符集,选择默认字符集作为目标字符集。在本申请实施例中,如果要从UTF-8字符集、UNICODE字符集、GBK字符集、BIG5字符集这4种字符集中确定默认字符集,由于UTF-8编码模式可以编码的字符种类最多,所以可以将UTF-8编码模式对应的UTF-8字符集确定为目标字符集。
进一步的,在选择目标字符集中已保存的所述身份信息的编码作为第一目标编码后,可以对当前选择目标字符集进行标记,以将当前使用的选择目标字符集记录为已被用于生成第一协商报文的字符集,比如在将本申请实施例中的将UTF-8字符集确定为目标字符集时,给UTF-8字符集打上标记,表示UTF-8字符集已被被用于生成第一协商报文的字符集。
步骤202,将目标字符集中已保存的所述身份信息的编码作为第一目标编码。
以目标字符集为UTF-8字符集为例,步骤202中可以根据UTF-8字符集中本设备身份信息与其编码的映射关系从UTF-8字符集中查找所述身份信息的编码。
步骤203,将第一目标编码携带在第一协商报文中发送给对端设备,以使对端设备根据所述第一协商报文对所述身份信息进行验证。
本申请实施例中第一目标编码被携带在第一协商报文的负载中,且第一协商报文的负载信息都使用加密信息进行了加密。本步骤203可以对应图1所示的IPSec VPN协商的第一个阶段中的消息5,对端设备如何根据所述第一协商报文对所述身份信息进行验证与本申请实施例之前确认的安全参数相关,具体验证过程可以参考相关技术中的方案,这里暂不赘述。
步骤204,在获知所述身份信息验证失败时,若本设备已保存的字符集中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回执行步骤202。
可选的,由于本申请实施例中的对端设备可以是不同厂商生产的支持IPSec协议的标准网络设备,在对端设备身份验证失败时,可能会直接忽略第一协商报文,而不发送提示本设备身份验证失败的消息报文,也可能会发送提示本设备身份验证失败的消息报文。所以本申请实施例可以通过多种方式确定对端设备对本设备的身份验证失败,比如当接收到对端设备返回的提示身份验证失败的反馈报文,或者在指定时间内没有收到对端设备返回的任何报文时,则本设备可以确定所述身份信息验证失败。
以及在获知身份信息验证失败后,本申请实施例可以查找本设备保存的所有字符集中是否存在未被标记的字符集,以确定本设备已保存的字符集中是否还存在未被用于生成第一协商报文的字符集。比如步骤201中,UTF-8字符集已经被标记,则接下来将从本设备支持的UNICODE字符集、GBK字符集、BIG5字符集这三个字符集中选择一种作为目标字符集,并在确定如UNICODE字符集为目标字符集时,给UNICODE字符集也打上与UTF-8字符集相同的标记。
进一步的,若本设备所有字符集中不存在未被用于生成第一协商报文的字符集时(即本设备中所有字符集都已经被打上了标记),则将结束与对端设备进行IPSec VPN协商的过程,表示本设备与对端设备的IPSec VPN协商失败。
在本申请实施例中,在获知所述身份信息验证成功时,本设备将会验证对端设备的身份信息,具体验证过程会在下文介绍完图2所示的方法流程后详述,这里暂不赘述。
至此,完成图2所示流程。
通过图2所示的流程可以看出,本实施例中通过在与对端设备进行IPSec VPN协商以建立IKE SA安全联盟的过程中,当本设备与对端设备开始相互进行身份信息验证时,从本设备已保存的各字符集中选择一种目标字符集,将目标字符集中已保存的所述身份信息的编码作为第一目标编码,将第一目标编码携带在第一协商报文中发送给对端设备,以使对端设备根据所述第一协商报文对所述身份信息进行验证;在获知所述身份信息验证失败时,若本设备已保存的字符集中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回将目标字符集中已保存的所述身份信息的编码作为第一目标编码,避免了由于不同厂商设备之间支持的字符集不同导致的IPSec VPN协商失败,提高了不同厂商设备间进行IPSec VPN协商时的兼容性。
下面将对本申请实施例中本设备获知所述身份信息验证成功后,本设备如何验证对端设备的身份信息进行描述,可以参见如图3所示的实施例,包括以下步骤:
步骤301,接收对端设备发送的携带第二目标编码的第二协商报文,所述第二目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码。
可选的,本步骤301中的第二协商报文可以对应图1所示IPSec VPN协商的第一个阶段中的消息6,该报文是在对端设备对第一协商报文中携带的身份信息验证成功后发送的,所以在接收到第二协商报文时,也可以确定第一协商报文中携带的身份信息验证成功。
步骤302,依次遍历本设备已保存的各字符集与所述第二目标编码进行匹配,若存在与所述第二目标编码一致的编码,则确定对端设备的身份信息验证成功,并与对端设备成功建立所述IKE SA安全关联。
可选的,若依次遍历本设备已保存的各字符集与所述第二目标编码进行匹配后,各字符集中都不存在与所述第二目标编码一致的编码,则对端设备的身份信息验证失败,本设备将会向对端设备返回的提示身份验证失败的反馈报文,并结束与对端设备之间的IPSec VPN协商。
通过图3所示的方法流程,本设备完成了验证对端设备的身份信息,从而能在验证成功后,可以与对端设备成功建立所述IKE SA安全关联。
以上举例只是为了便于理解,本申请实施例并不具体限定。
上述实施例以本设备作为发起方时实现IPSec VPN协商的过程进行了描述。若本设备作为响应方与对端设备进行IPSec VPN协商,则在本申请实施例中,本设备与对端设备开始相互进行身份信息验证的过程如图4所示,包括以下步骤:
步骤401,接收到对端设备发送的携带第三目标编码的第三协商报文,所述第三目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码。
在步骤401中,对端设备作为发送方,即此次IPSec VPN协商的发起设备,因此本设备与对端设备开始相互进行身份信息验证的过程中,也是由对端设备首先向本设备发送自身的身份信息进行验证。
步骤402,依次遍历本设备已保存的各字符集与所述第三目标编码进行匹配,若存在与所述第三目标编码一致的编码,则确定对端设备的身份信息验证成功。
可选的,若依次遍历本设备已保存的各字符集与所述第二目标编码进行匹配后,没有查找到与所述第二目标编码一致的编码,本设备将会向对端设备返回的提示身份验证失败的反馈报文,并结束与对端设备之间的IPSec VPN协商。
步骤403,记录所述与第三目标编码一致的编码所在的字符集,将该字符集中所保存的本设备身份信息的编码作为第四目标编码,将第四目标编码携带在第四协商报文中发送给对端设备,以使对端设备根据所述第四协商报文对本设备身份信息进行验证。
通过图4所示的方法流程,本设备作为响应方首先验证对端设备的身份信息,并在验证成功时,记录与对端设备的身份信息匹配的编码保存在哪一个字符集中,此时可以确定对端设备所支持的字符集就是上述记录的字符集,因此本设备可以直接将该字符集中本设备身份信息的编码发送给对端设备,以便对端设备验证本设备身份信息。
以上对本申请实施例提供的方法进行了描述。下面对本申请实施例提供的装置进行描述:
参见图5,图5为本申请实施例提供的一种实现IPSec VPN协商的装置示意图,该装置实施例应用于支持IPSec协议的网络设备,该网络设备至少支持两种可以对中文字符进行编码的编码模式,每种编码模式对应一种字符集,所述网络设备的包含中文字符的身份信息被依据各编码模式进行编码并保存在对应的字符集中。该装置包括:
第一协商报文发送单元501,用于在与对端设备进行IPSec VPN协商以建立IKE SA安全联盟的过程中,当本设备与对端设备相互进行身份信息验证时,从本设备已保存的各字符集中选择一种目标字符集,将目标字符集中已保存的所述身份信息的编码作为第一目标编码,将第一目标编码携带在第一协商报文中发送给对端设备,以使对端设备根据所述第一协商报文对所述身份信息进行验证。
第一目标编码获得单元502,用于在获知所述身份信息验证失败时,若本设备已保存的字符集中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回将目标字符集中已保存的所述身份信息的编码作为第一目标编码。
可选的,第一协商报文发送单元501从本设备已保存的各字符集中选择一种目标字符集包括:从本设备已保存的各字符集中随机选择一种目标字符集;或者,将本设备已保存的各字符集中对应的编码模式兼容字符种类最多的字符集确定为默认字符集,选择默认字符集作为目标字符集。
可选的,在所述身份信息验证成功时,该装置进一步包括:
第二协商报文验证单元,用于接收对端设备发送的携带第二目标编码的第二协商报文,所述第二目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码;依次遍历本设备已保存的各字符集与所述第二目标编码进行匹配,若存在与所述第二目标编码一致的编码,则确定对端设备的身份信息验证成功,并与对端设备成功建立所述IKE SA安全关联。
至此,完成图5所示装置实施例的结构图。
以上是对本申请实施例提供的实现IPSec VPN协商的装置实施例的描述,
对应地,本申请实施例还提供了一种电子设备的硬件结构图,具体如图6所示,该电子设备可以为上述实施IPSec VPN协商的网络设备。如图6所示,该硬件结构包括:处理器和存储器。
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所示的IPSec VPN协商所对应的方法实施例。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图6所示电子设备的描述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种IPSec VPN协商方法,其特征在于,该方法应用于网络设备,所述网络设备至少支持两种编码模式,每种编码模式对应一种字符集,所述网络设备的包含中文字符的身份信息被依据各编码模式进行编码并保存在对应的字符集中,包括:
在与对端设备进行IPSec VPN协商以建立IKE SA安全联盟的过程中,当本设备与对端设备开始相互进行身份信息验证时,从本设备已保存的各字符集中选择一种目标字符集,将目标字符集中已保存的所述身份信息的编码作为第一目标编码,将第一目标编码携带在第一协商报文中发送给对端设备,以使对端设备根据所述第一协商报文对所述身份信息进行验证;
在获知所述身份信息验证失败时,若本设备已保存的字符集中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回将目标字符集中已保存的所述身份信息的编码作为第一目标编码。
2.根据权利要求1所述的方法,其特征在于,所述从本设备已保存的各字符集中选择一种目标字符集包括:
从本设备已保存的各字符集中随机选择一种目标字符集;或者,
将本设备已保存的各字符集中对应的编码模式兼容字符种类最多的字符集确定为默认字符集,选择默认字符集作为目标字符集。
3.根据权利要求1所述的方法,其特征在于,在所述身份信息验证成功时,该方法进一步包括:
接收对端设备发送的携带第二目标编码的第二协商报文,所述第二目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码;
依次遍历本设备已保存的各字符集与所述第二目标编码进行匹配,若存在与所述第二目标编码一致的编码,则确定对端设备的身份信息验证成功,并与对端设备成功建立所述IKE SA安全关联。
4.根据权利要求1所述的方法,其特征在于,所述获知所述身份信息验证失败包括:
当接收到对端设备返回的提示身份验证失败的反馈报文,或者在指定时间内没有收到对端设备返回的任何报文时,确定所述身份信息验证失败。
5.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
若本设备已保存的字符集中不存在未被用于生成第一协商报文的字符集,则结束与对端设备进行IPSec VPN协商的过程。
6.根据权利要求1所述的方法,其特征在于,若本设备与对端设备开始相互进行身份信息验证时,接收到对端设备发送的携带第三目标编码的第三协商报文,所述第三目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码,该方法进一步包括:
依次遍历本设备已保存的各字符集与所述第三目标编码进行匹配,若存在与所述第三目标编码一致的编码,则确定对端设备的身份信息验证成功;
记录与第三目标编码一致的编码所在的字符集,将该字符集中所保存的本设备身份信息的编码作为第四目标编码,将第四目标编码携带在第四协商报文中发送给对端设备,以使对端设备根据所述第四协商报文对本设备身份信息进行验证。
7.一种IPSec VPN协商装置,其特征在于,该装置应用于网络设备,所述网络设备至少支持两种编码模式,每种编码模式对应一种字符集,所述网络设备的包含中文字符的身份信息被依据各编码模式进行编码并保存在对应的字符集中,包括:
第一协商报文发送单元,用于在与对端设备进行IPSec VPN协商以建立IKE SA安全联盟的过程中,当本设备与对端设备相互进行身份信息验证时,从本设备已保存的各字符集中选择一种目标字符集,将目标字符集中已保存的所述身份信息的编码作为第一目标编码,将第一目标编码携带在第一协商报文中发送给对端设备,以使对端设备根据所述第一协商报文对所述身份信息进行验证;
第一目标编码获得单元,用于在获知所述身份信息验证失败时,若本设备已保存的字符集中还存在未被用于生成第一协商报文的字符集,则从未被用于生成第一协商报文的字符集中选择一种目标字符集,返回将目标字符集中已保存的所述身份信息的编码作为第一目标编码。
8.根据权利要求7所述的装置,其特征在于,所述第一协商报文发送单元从本设备已保存的各字符集中选择一种目标字符集包括:
从本设备已保存的各字符集中随机选择一种目标字符集;或者,
将本设备已保存的各字符集中对应的编码模式兼容字符种类最多的字符集确定为默认字符集,选择默认字符集作为目标字符集。
9.根据权利要求7所述的装置,其特征在于,在所述身份信息验证成功时,该装置进一步包括:
第二协商报文验证单元,接收对端设备发送的携带第二目标编码的第二协商报文,所述第二目标编码为对端设备保存在本地字符集中的对端设备身份信息的编码;依次遍历本设备已保存的各字符集与所述第二目标编码进行匹配,若存在与所述第二目标编码一致的编码,则确定对端设备的身份信息验证成功,并与对端设备成功建立所述IKE SA安全关联。
10.一种电子设备,其特征在于,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1到6任一项所述的IPSec VPN协商方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110119236.7A CN112929352A (zh) | 2021-01-28 | 2021-01-28 | 一种IPSec VPN协商方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110119236.7A CN112929352A (zh) | 2021-01-28 | 2021-01-28 | 一种IPSec VPN协商方法、装置及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112929352A true CN112929352A (zh) | 2021-06-08 |
Family
ID=76168017
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110119236.7A Pending CN112929352A (zh) | 2021-01-28 | 2021-01-28 | 一种IPSec VPN协商方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112929352A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7529234B1 (en) * | 2008-06-02 | 2009-05-05 | International Business Machines Corporation | Method of and system for supporting voice over internet protocol (VoIP) media codecs on a voice processing system |
| CN103220647A (zh) * | 2013-04-25 | 2013-07-24 | 华为技术有限公司 | 数据编码方式的识别方法、用户设备及系统 |
| WO2015109967A1 (zh) * | 2014-01-27 | 2015-07-30 | 天地融科技股份有限公司 | 一种移动终端与信息安全设备通信的方法 |
| CN105227534A (zh) * | 2014-06-30 | 2016-01-06 | 中兴通讯股份有限公司 | 报文格式处理方法和装置 |
| US20180063292A1 (en) * | 2011-09-23 | 2018-03-01 | Guest Tek Interactive Entertainment Ltd. | Central interface gateway and method of interfacing a property management system with a guest service device via the internet |
| CN109639553A (zh) * | 2018-12-25 | 2019-04-16 | 杭州迪普科技股份有限公司 | IPSec协商方法和装置 |
| CN111918363A (zh) * | 2020-08-10 | 2020-11-10 | 北京紫光展锐通信技术有限公司 | 配网方法及装置 |
-
2021
- 2021-01-28 CN CN202110119236.7A patent/CN112929352A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7529234B1 (en) * | 2008-06-02 | 2009-05-05 | International Business Machines Corporation | Method of and system for supporting voice over internet protocol (VoIP) media codecs on a voice processing system |
| US20180063292A1 (en) * | 2011-09-23 | 2018-03-01 | Guest Tek Interactive Entertainment Ltd. | Central interface gateway and method of interfacing a property management system with a guest service device via the internet |
| CN103220647A (zh) * | 2013-04-25 | 2013-07-24 | 华为技术有限公司 | 数据编码方式的识别方法、用户设备及系统 |
| WO2015109967A1 (zh) * | 2014-01-27 | 2015-07-30 | 天地融科技股份有限公司 | 一种移动终端与信息安全设备通信的方法 |
| CN105227534A (zh) * | 2014-06-30 | 2016-01-06 | 中兴通讯股份有限公司 | 报文格式处理方法和装置 |
| CN109639553A (zh) * | 2018-12-25 | 2019-04-16 | 杭州迪普科技股份有限公司 | IPSec协商方法和装置 |
| CN111918363A (zh) * | 2020-08-10 | 2020-11-10 | 北京紫光展锐通信技术有限公司 | 配网方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9621545B2 (en) | System and method for connecting client devices to a network | |
| CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
| CN109302412B (zh) | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 | |
| CN107612889B (zh) | 防止用户信息泄露的方法 | |
| CN105656901B (zh) | 对双栈操作进行互通授权的方法和装置 | |
| CN109075973B (zh) | 一种使用基于id的密码术进行网络和服务统一认证的方法 | |
| CN101160924A (zh) | 在通信系统中分发证书的方法 | |
| BRPI0617286A2 (pt) | métodos para estabelecer uma associação de segurança entre um nó de serviço e um cliente, para estabelecer uma associação de segurança entre primeiro e segundo clientes, e para proteger um nó contra ataques de repetição, nó de serviço, terminal de cliente, e, função de geração de código | |
| CN108353279B (zh) | 一种认证方法和认证系统 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN113382002B (zh) | 数据请求方法、请求应答方法、数据通信系统及存储介质 | |
| CN113507358A (zh) | 通信系统、认证方法、电子设备及存储介质 | |
| Sheffer et al. | An EAP authentication method based on the encrypted key exchange (EKE) protocol | |
| JP4550759B2 (ja) | 通信システム及び通信装置 | |
| KR20230039722A (ko) | 사전-공유 키 psk 업데이트 방법 및 장치 | |
| EP3340530B1 (en) | Transport layer security (tls) based method to generate and use a unique persistent node identity, and corresponding client and server | |
| CN111489462B (zh) | 一种个人用蓝牙钥匙系统 | |
| CN112929352A (zh) | 一种IPSec VPN协商方法、装置及设备 | |
| CN115767518A (zh) | 一种WhatsApp的端对端加密秘钥获取方法、装置及相关介质 | |
| Bala et al. | Separate session key generation approach for network and application flows in LoRaWAN | |
| CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
| CN111489461B (zh) | 一种集团用蓝牙钥匙系统 | |
| CN114760093B (zh) | 通信方法及装置 | |
| CN112163171B (zh) | 一种基于终端签名的数据记链方法 | |
| CN113890844B (zh) | 一种ping命令优化的方法、装置、设备及可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210608 |