WO2014100967A1

WO2014100967A1 - 一种ipsec协商的方法、装置、设备和系统

Info

Publication number: WO2014100967A1
Application number: PCT/CN2012/087399
Authority: WO
Inventors: 王祥光
Original assignee: 华为技术有限公司
Priority date: 2012-12-25
Filing date: 2012-12-25
Publication date: 2014-07-03
Also published as: CN103392323A; CN103392323B

Abstract

本发明的实施例公开一种IPSEC协商的方法。涉及通信领域，解决IPSEC协商过程消耗时间长，协商效率低的问题。一种IPSEC协商的方法，第一阶段，接收方在IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将接收方第一阶段配置参数发送至发起方；然后接收IKE第一阶段配置修改参数，建立第一阶段SA；第二阶段，接收方接收IKE第二阶段配置参数；当发起方发送的所述IKE第二阶段配置参数与接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，然后接收所述IKE第二阶段配置修改参数并与所述发起方建立第二阶段SA。本发明主要应用于数据传输中。

Description

一种 IPSEC协商的方法、装置、设备和系统技术领域本发明涉及通信领域，特别涉及一种 IPSEC协商的方法、装置、设备和系统。

背景技术

IPSEC ( Internet Protocol Security, 网络协议安全）为不同物理地域的用户提供安全的数据通信，以防止数据在网络传输过程中被查看、篡改等。

一般情况下，发起方和接收方需要在发送数据前进行 IKE ( Internet Key Exchange,互联网密钥交换协议）协商，以确保发起方和接收方釆用一致的加密和认证算法，从而保证数据的正确接收。 IKE协商包括两个过程，第一阶段是建立一个为第二阶段提供保护的 SA ( Security Association, 安全联盟），第二阶段建立一个为数据提供保护的 SA。具体的协商过程为：接收方接收到发起方发送的协商信息后，若判断结果为协商信息不符合要求，则向发起方发送协商不成功的信息。发起方接收到协商不成功的信息后，改变协商信息，然后将改变后的协商信息发送至接收方。接收方接收到改变后的协商信息后再判断是否协商成功。实现上述方案的过程中，发明人发现在现有技术中至少存在以下技术问题：接收方认为协商信息不合要求时，向发起方返回协商不成功的信息，之后发起方将重新发起协商，如果协商信息仍不合要求，则接收方继续向发起方返回协商不成功的消息，使发起方再次发起协商，持续以上过程直至协商成功，这致使协商过程耗时较长，效率很低。

发明内容本发明的实施例提供一种 IPSEC协商的方法、装置、设备和系统，解决 IPSEC协商过程耗时长，效率低的技术问题。

为达到上述目的，本发明实施例釆用如下技术方案：

第一方面，提供一种 IPSEC协商的方法，包括：

接收发起方发送的互联网密钥交换 I KE第一阶段配置参数；

当所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE 第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；

接收所述发起方发送的所述 IKE第一阶段配置修改参数；

与所述发起方建立第一阶段安全联盟 SA;

接收所述发起方发送的 IKE第二阶段配置参数；

当所述发起方发送的所述 IKE 第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 IKE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 IKE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

接收所述发起方发送的所述 IKE第二阶段配置修改参数；

与所述发起方建立第二阶段 SA。

结合第一方面，在第一方面的第一种可能的实现方式中，所述接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间；

所述 IKE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间；其中，所述第一阶段 SA协商超时时间是发起方配置的发起方第一阶段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

结合第一方面，在第一方面的第二种可能的实现方式中，所述接收方第二阶段配置参数还包括：接收方第二阶段 SA超时时间；

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间；其中，所述第二阶段 SA协商超时时间是发起方配置的发起方第二阶段 SA超时时间和所述接收方第二阶段 SA超时时间的最小值。

结合第一方面，在第一方面的第三种可能的实现方式中，所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述接收方第一阶段配置参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。

结合第一方面，在第一方面的第四种可能的实现方式中，所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述接收方第二阶段配置参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。

结合第一方面或第一方面的第一种可能的实现方式至第一方面的第四种可能的实现方式中任意一种实现方式，在第一方面的第五种可能的实现方式中，所述将所述接收方第一阶段配置参数发送至所述发起方，具体包括：

将所述接收方第一阶段配置参数承载于所述接收方至所述发起方的 I KE i nf orma t i on中发送至所述发起方。

结合第一方面或第一方面的第一种可能的实现方式至第一方面的第四种可能的实现方式中任意一种实现方式，在第一方面的第六种可能的实现方式中，所述将所述接收方第二阶段配置参数发送至所述发起方，具体包括：

将所述接收方第二阶段配置参数承载于所述接收方至所述发起方的 I KE i nf orma t i on中发送至所述发起方。

结合第一方面或第一方面的第一种可能的实现方式至第一方面的第六种可能的实现方式中任意一种实现方式，在第一方面的第七种可能的实现方式中，在接收所述 I KE第一阶段配置修改参数后，还包括：向所述发起方发送第一阶段参数确认信息，以便所述发起方与所述接收方建立第一阶段 SA。

结合第一方面或第一方面的第一种可能的实现方式至第一方面的第六种可能的实现方式中的任意一种实现方式，在第一方面的第八种可能的实现方式中，在接收所述 I KE第二阶段配置修改参数后，还包括：

向所述发起方发送第二阶段参数确认信息，以便所述发起方与所述接收方建立第二阶段 SA。

第二方面，提供一种 I PSEC协商的方法，包括：

向接收方发送互联网密钥交换 I KE第一阶段配置参数；

接收所述接收方发送的接收方第一阶段配置参数；

按照所述接收方第一阶段配置参数生成 I KE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 I KE第一阶段配置修改参数中包括：接收方 I KE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；

向所述接收方发送所述 I KE第一阶段配置修改参数；

当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段安全联盟 SA ;

向所述接收方发送 I KE第二阶段配置参数；

接收所述接收方发送的接收方第二阶段配置参数；

按照所述接收方第二阶段配置参数生成 I KE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

向所述接收方发送所述 I KE第二阶段配置修改参数；

当收到所述接收方的第二阶段参数确认信息时，与所述发起方建立第二阶段 SA。

结合第二方面，在第二方面的第一种可能的实现方式中，所述发起方第一阶段配置参数还包括：发起方第一阶段 SA超时时间；

所述 IKE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间；其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

结合第二方面，在第二方面的第二种可能的实现方式中，所述发起方第二阶段配置参数还包括：发起方第二阶段 SA超时时间；

所述 IKE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间；其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

结合第二方面，在第二方面的第三种可能的实现方式中，所述 IKE 第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述 IKE第一阶段配置修改参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。

结合第二方面，在第二方面的第四种可能的实现方式中，所述 IKE 第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述 IKE第二阶段配置修改参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。

结合第二方面或第二方面的第一种可能的实现方式至第二方面的第四种可能的实现方式中任意一种可能的实现方式，在第二方面的第五种可能的实现方式中，其特征在于，所述将所述 IKE第一阶段配置修改参数发送至所述接收方，具体包括：

将所述 IKE 第一阶段配置修改参数承载于所述发起方至所述接收方的 IKE informa t i on中发送至所述接收方。

结合第二方面或第二方面的第一种可能的实现方式至第二方面的第四种可能的实现方式中任意一种可能的实现方式，在第二方面的第六种可能的实现方式中，所述将所述 IKE第二阶段配置修改参数发送至所述接收方，具体包括：

将所述 IKE 第二阶段配置修改参数承载于所述发起方至所述接收方的 IKE information中发送至所述接收方。

第三方面，提供一种 IPSEC协商的装置，包括：

第一阶段接收单元，用于接收发起方发送的互联网密钥交换 IKE第一阶段配置参数；

第一阶段判断单元，用于判断所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数是否一致；

第一阶段发送单元，用于当第一阶段判断单元判断出所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE 第一阶段配置修改参数中包括：接收方 IKE 版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；

所述第一阶段接收单元，还用于接收所述 IKE 第一阶段配置修改参数；

第一阶段安全联盟建立单元，用于与所述发起方建立第一阶段安全联盟 SA;

第二阶段接收单元，用于接收所述发起方发送的 IKE第二阶段配置参数；

第二阶段判断单元，用于判断所述发起方发送的所述 IKE第二阶段配置参数与所述接收方第二阶段配置参数是否一致；

第二阶段发送单元，用于所述第二阶段判断单元判断出所述发起方发送的所述 IKE 第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 IKE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 IKE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

所述第二阶段接收单元，还用于接收所述 I KE 第二阶段配置修改参数；

第二阶段安全联盟建立单元，用于与所述发起方建立第二阶段 SA。结合第三方面，在第三方面的第一种可能的实现方式中，所述接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间；

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间；其中，所述第一阶段 SA协商超时时间是发起方配置的发起方第一阶段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

结合第三方面，在第三方面的第二种可能的实现方式中，所述接收方第二阶段配置参数还包括：接收方第二阶段 SA超时时间；

结合第三方面，在第三方面的第三种可能的实现方式中，所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

结合第三方面，在第三方面的第四种可能的实现方式中，所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

结合第三方面或第三方面的第一种可能的实现方式至第三方面的第四种可能的实现方式中任意一种可能的实现方式，在第三方面的第五种可能的实现方式中，所述第一阶段发送单元，具体用于：将所述接收方第一阶段配置参数承载于所述接收方至所述发起方的

IKE informa t i on中发送至所述发起方。

结合第三方面或第三方面的第一种可能的实现方式至第三方面的第四种可能的实现方式中任意一种可能的实现方式，在第三方面的第六种可能的实现方式中，所述第二阶段发送单元，具体用于：

将所述接收方第二阶段配置参数承载于所述接收方至所述发起方的 IKE informa t i on中发送至所述发起方。

结合第三方面或第三方面的第一种可能的实现方式至第三方面的第六种可能的实现方式中任意一种可能的实现方式，在第三方面的第七种可能的实现方式中，所述第一阶段发送单元，还用于：

向所述发起方发送第一阶段参数确认信息，以便所述发起方与所述接收方建立第一阶段 SA。

结合第三方面或第三方面的第一种可能的实现方式至第三方面的第六种可能的实现方式中任意一种可能的实现方式，在第三方面的第八种可能的实现方式中，所述第二阶段发送单元，还用于：

第四方面，提供一种 IPSEC协商的装置，包括：

第一阶段发送单元，用于向接收方发送互联网密钥交换 IKE第一阶段配置参数；

第一阶段接收单元，用于接收所述接收方发送的接收方第一阶段配置参数；

第一阶段参数生成单元，用于按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；所述第一阶段发送单元，还用于向所述接收方发送所述 IKE第一阶段配置修改参数；第一阶段安全联盟建立单元，用于当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段安全联盟 SA;

第二阶段发送单元，用于向所述接收方发送 I KE第二阶段配置参数；第二阶段接收单元，用于接收所述接收方发送的接收方第二阶段配置参数；

第二阶段参数生成单元，用于按照所述接收方第二阶段配置参数生成 I KE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

所述第二阶段发送单元，还用于向所述接收方发送所述 I KE第二阶段配置修改参数；

第二阶段安全联盟建立单元，用于当收到所述接收方的第二阶段参数确认信息时，与所述发起方建立第二阶段 SA。

结合第四方面，在第四方面的第一种可能的实现方式中，所述发起方第一阶段配置参数还包括：发起方第一阶段 SA超时时间；

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间；其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

结合第四方面，在第四方面的第二种可能的实现方式中，所述发起方第二阶段配置参数还包括：发起方第二阶段 SA超时时间；

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间；其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

结合第四方面，在第四方面的第三种可能的实现方式中，所述 I KE 第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述 I KE第一阶段配置修改参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。结合第四方面，在第四方面的第四种可能的实现方式中，所述 IKE 第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

结合第四方面或第四方面的第一种可能的实现方式至第四方面的第四种可能的实现方式中任意一种可能的实现方式，在第四方面的第五种可能的实现方式中，所述第一阶段发送单元，具体用于：

结合第四方面或第四方面的第一种可能的实现方式至第四方面的第四种可能的实现方式中任意一种可能的实现方式，在第四方面的第六种可能的实现方式中，所述第一阶段发送单元，具体用于：

将所述 IKE 第二阶段配置修改参数承载于所述发起方至所述接收方的 IKE informa t i on中发送至所述接收方。

第五方面，提供一种 IPSEC协商的接收方设备，包括：

通信接口，用于接收发起方发送的互联网密钥交换 IKE第一阶段配置参数；

处理器，用于当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE 第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；

所述通信接口，还用于接收所述 IKE第一阶段配置修改参数；所述处理器，还用于与所述发起方建立第一阶段安全联盟 SA;

所述通信接口，还用于接收所述发起方发送的 IKE 第二阶段配置参数；所述通信接口，还用于当所述处理器检测到所述发起方发送的所述

I KE第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 I KE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

所述通信接口，还用于接收所述 I KE第二阶段配置修改参数；所述处理器，还用于与所述发起方建立第二阶段 SA;

存储器，用于存储所述接收方第一阶段配置参数、所述 I KE第一阶段配置修改参数、所述接收方第二阶段配置参数、所述 I KE第二阶段配置修改参数和处理器执行操作时需要的代码；

总线，用于连接所述处理器、所述通信接口和所述存储器，并为所述处理器、所述通信接口和所述存储器提供数据传输的物理通道。

结合第五方面，在第五方面的第一种可能的实现方式中，所述存储器中存储的所述接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间；

结合第五方面，在第五方面的第二种可能的实现方式中，所述存储器中存储的所述接收方第二阶段配置参数还包括：接收方第二阶段 SA超时时间；

结合第五方面，在第五方面的第三种可能的实现方式中，所述存储器中存储的所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

结合第五方面，在第五方面的第四种可能的实现方式中，所述存储器中存储的所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

结合第五方面或第五方面的第一种可能的实现方式至第五方面的第四种可能的实现方式中任意一种可能的实现方式，在第五方面的第五种可能的实现方式中，所述通信接口，具体用于：

将所述接收方第一阶段配置参数承载于所述接收方至所述发起方的

IKE informa t i on中发送至所述发起方。

结合第五方面或第五方面的第一种可能的实现方式至第五方面的第四种可能的实现方式中任意一种可能的实现方式，在第五方面的第六种可能的实现方式中，所述通信接口，具体还用于：

结合第五方面或第五方面的第一种可能的实现方式至第五方面的第六种可能的实现方式中任意一种可能的实现方式，在第五方面的第七种可能的实现方式中，所述通信接口还用于在接收所述 IKE第一阶段配置修改参数后，向所述发起方发送第一阶段参数确认信息，以便所述发起方与所述接收方建立第一阶段 SA。

结合第五方面或第五方面的第一种可能的实现方式至第五方面的第六种可能的实现方式中任意一种可能的实现方式，在第五方面的第八种可能的实现方式中，所述通信接口还用于在接收所述 IKE第二阶段配置修改参数后，向所述发起方发送第二阶段参数确认信息，以便所述发起方与所述接收方建立第二阶段 SA。第六方面，提供一种 I PSEC协商的发起方设备，包括：

通信接口，用于向接收方发送互联网密钥交换 I KE 第一阶段配置参数；

所述通信接口，还用于接收所述接收方发送的接收方第一阶段配置参数；

处理器，用于按照所述接收方第一阶段配置参数生成 I KE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 I KE第一阶段配置修改参数中包括：接收方 I KE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；

所述通信接口，还用于向所述接收方发送所述 I KE第一阶段配置修改参数；

所述处理器，还用于当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段安全联盟 SA;

所述通信接口，还用于向所述接收方发送 I KE第二阶段配置参数；所述通信接口，还用于接收所述接收方发送的接收方第二阶段配置参数；

所述处理器，还用于按照所述接收方第二阶段配置参数生成 I KE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

所述通信接口，还用于向所述接收方发送所述 I KE第二阶段配置修改参数；

所述处理器，还用于当所述通信接口接收到所述接收方的第二阶段参数确认信息时，与所述发起方建立第二阶段 SA。

存储器，用于存储所述接收方第一阶段配置参数、所述 I KE第一阶段配置修改参数、所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数和处理器执行操作时需要的代码；

总线，用于连接所述处理器、所述通信接口和所述存储器，并为所述处理器、所述通信接口和所述存储器提供数据传输的物理通道。结合第六方面，在第六方面的第一种可能的实现方式中，所述存储器中存储的所述发起方第一阶段配置参数还包括：发起方第一阶段 SA超时时间；

结合第六方面，在第六方面的第二种可能的实现方式中，所述存储器中存储的所述发起方第二阶段配置参数还包括：发起方第二阶段 SA超时时间；

结合第六方面，在第六方面的第三种可能的实现方式中，所述存储器中存储的所述 I KE 第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述存储器中存储的所述 I KE 第一阶段配置修改参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。

结合第六方面，在第六方面的第四种可能的实现方式中，所述存储器中存储的所述 I KE 第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述 I KE第二阶段配置修改参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。

结合第六方面或第六方面的第一种可能的实现方式至第六方面的第四种可能的实现方式中任意一种可能的实现方式，在第六方面的第五种可能的实现方式中，所述通信接口，具体用于：

将所述 I KE 第一阶段配置修改参数承载于所述发起方至所述接收方的 I KE i nf orma t i on中发送至所述接收方。结合第六方面或第六方面的第一种可能的实现方式至第六方面的第四种可能的实现方式中任意一种可能的实现方式，在第六方面的第六种可能的实现方式中，所述通信接口，具体还用于：

第七方面，提供一种 IPSEC协商的系统，其特征在于，包括：第五方面所述的任意一项所述的接收方设备，以及第六方面所述的任意一项所述的发起方设备。

本实施例提供一种 IPSEC协商的方法、装置、设备和系统，第一阶段，接收发起方发送的互联网密钥交换 IKE第一阶段配置参数，当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方；然后接收所述 IKE第一阶段配置修改参数并与所述发起方建立第一阶段 SA; 第二阶段，接收所述发起方发送的 IKE 第二阶段配置参数；当所述发起方发送的所述 IKE 第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，然后接收所述 IKE第二阶段配置修改参数并与所述发起方建立第二阶段 SA。通过上述方案，在协商参数不合要求时，可以直接将正确的参数发送至对端，减少协商过程消耗的时间，提高协商效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 la为对数据进行加密传输的示意图；

图 lb为本发明实施例 1 中一种 IPSEC协商的方法涉及接收方的流程图；图 2 为本发明实施例 1 中一种 IPSEC协商的方法涉及发起方的流程图；

图 3为本发明实施例 2 中一种 IPSEC协商的方法涉及接收方的流程图；

图 4 为本发明实施例 2 中一种 IPSEC协商的方法涉及发起方的流程图；

图 5为本发明实施例 3中一种 IPSEC协商涉及接收方的装置的框图；图 6为本发明实施例 3中一种 IPSEC协商涉及发起方的装置的框图；图 7为本发明实施例 4中一种接收方设备的示意图；

图 8为本发明实施例 4中一种发起方设备的示意图；

图 9为本发明实施例 4中一种 IPSEC协商的系统的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为保证传输数据的安全，通常情况下会对传输的数据进行加密，以防止数据被查看、篡改。如图 la所示，数据从终端 101a (可以是计算机）中发出，经过支持 IPSEC ( Internet Protocol Security, 网络协议安全）的设备 103a后，通过未知网络 104a (例如，未知的互联网），然后进入支持 IPSEC 的设备 105a 并最终到达目的地终端 107a (可以是计算机）。由于数据经过了未知网络 104a, 故不能保证到达终端 107a 的数据是否安全，因此需要对数据进行加密，以保证数据在经过未知网络 104a 时，不被查看、篡改。

若数据需要从终端 101a发送至目的地终端 107a,则设备 103a可以理解为本发明实施例中所述的发起方，设备 105a可以理解为本发明实施例中所述的接收方。若数据需要从终端 107a发送至终端 101 a,则 105a可以理解为本发明实施例中所述的发起方，设备 103a可以理解为本发明实施例中所述的接收方。

更一般的情况是，多个终端 101 a组成一个内部网络 102a,多个终端 107a组成一个内部网络 106a。因为内部网络中的数据未经过任何未知网络，故无需对内部网络传输中的数据进行加密。所以，在此种情况下，设备 103a与设备 105a的加密对象为内部网络 102a与内部网络 106a之间传输的数据。

实施例 1 :

本发明的一个实施例提供一种 IPSEC ( Interne t Pro toco l Secur i ty , 网际协议安全）协商的方法。

一方面，涉及 IPSEC协商的接收方，如图 l b所示，包括如下步骤：

101、接收发起方发送的 IKE ( Interne t Key Exchange,互联网密钥交换协议）第一阶段配置参数。

发起方向接收方发送的 IKE第一阶段配置参数包括：发起方 IKE版本、发起方协商模式、发起方认证方式、发起方认证算法、发起方加密算法和发起方密钥交换算法组。

102、当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数。

所述接收方第一阶段配置参数和所述 IKE 第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。

发起方发送的 IKE 第一阶段配置参数中的所有参数必须与接收方第一阶段配置参数中的所有参数完全一致，才可以保证第一阶段 IPSEC协商成功，具体来说：发起方 IKE版本与接收方 IKE版本一致，即釆用相同的 IKE版本；发起方协商模式与接收方协商模式一致，即发起方和接收方都釆用主模式协商或都釆用野蛮模式协商；

发起方认证方式与接收方认证方式一致，即都釆用完全相同的认证方式：数字签名认证方式或 \和公钥加密方式或 \和改进的公钥加密方式或 \ 和预共享公钥加密方式；

发起方认证算法与接收方认证算法一致，即釆用相同的算法进行认证，比如都釆用 MD5 (Message Digest Algorithm 5, 消息摘要算法第 5 版）或都釆用 SHA1 (Secure Hash Algor i thm,哈希算法）或其它一种或一种以上算法及其组合；

发起方加密算法与接收方加密算法一致，即釆用相同的算法进行加密，比^口采用 3DES (Triple Data Encryption Algorithm, 三重数据力口密算法）或其它一种或一种以上算法及其组合；

发起方密钥交换算法组与接收方密钥交换算法组一致，即釆用相同的密钥交换算法组，比如釆用 DH ( Diff ie-Hellman, 密钥交换算法）组。

若发起方发送的 IKE 第一阶段配置参数中的所有参数中存在有一条与接收方第一阶段配置参数中的参数不一致，即为步骤 102所述的发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致。

当发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数不一致时，接收方将接收方第一阶段配置参数（接收方使用的 IKE 版本、协商模式、认证方式、认证算法、加密算法和密钥交换算法组）发送至发起方，在本实施例中，依次被称为接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。

103、接收所述发起方发送的所述 IKE第一阶段配置修改参数。

步骤 103所述的 IKE第一阶段配置修改参数由发起方根据接收方发送的所述接收方第一阶段配置参数生成，所述第一阶段配置修改参数包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组，即发起方完全釆用接收方使用的配置参数，并再次向接收方发起协商。

104、与所述发起方建立第一阶段 SA ( Security Association, 安全联盟）。

由于发起方发送的 IKE 第一阶段配置修改参数与接收方使用的配置参数相同，因此当接收方接收到 IKE第一阶段配置修改参数时，通过检测发现 IKE第一阶段配置修改参数与接收方第一阶段配置参数一致，接收方向发起方发送第一阶段参数确认信息，以表示接收方接受发起方发起的第一阶段 IPSEC协商，同意建立第一阶段 SA。发起方接收到第一阶段参数确认信息后，接收方和发起方通过密钥交换算法组生成各自的密钥并互相交换密钥，然后利用交换后的密钥对彼此的身份和交换过程进行验证。验证成功，则建立起第一阶段 SA。

105、接收所述发起方发送的 IKE第二阶段配置参数。

发起方向接收方发送的 IKE 第二阶段配置参数包括：发起方认证算法、发起方加密算法、发起方密钥的完全后继保密、发起方安全协议和发起方封装模式。

106、当所述发起方发送的所述 IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 IKE第二阶段配置修改参数。

所述接收方第二阶段配置参数和所述 IKE 第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

发起方发送的 IKE 第二阶段配置参数中的所有参数必须与接收方第二阶段配置参数中的所有参数完全一致，才可以保证第二阶段 IPSEC协商成功，具体来说：

接收方认证算法与接收方认证算法一致，即釆用相同的算法进行认证，比如都釆用 MD5 (Message Digest Algorithm 5, 消息摘要算法第 5 版）或都釆用 SHA1 (Secure Hash Algor i thm,哈希算法）或其它一种或一种以上算法及其组合。在第二阶段 IPSEC协商中，认证算法可适用的对象为 ESP (Encapsulated Security Payload, 压缩安全载荷）认证或 \和 AH (Authent ica t ion Header , 头部认证)认证；

接收方加密算法与接收方加密算法，即釆用相同的算法进行加密，比 ^口采用 3DES (Triple Data Encryption Algorithm, 三重数据力口密算法）或其它一种或一种以上算法及其组合；

接收方密钥的完全后继保密与接收方密钥的完全后继保密，即釆用相同的密钥保密方式，即发起方和接收方都釆用 PFS(perfect forward secrecy, 完全后继保密）或都釆用其它一种或多种保密方式；

接收方安全协议与接收方安全协议，即发起方和接收方釆用相同的密码算法和协议逻辑；

接收方封装模式与接收方封装模式，即发起方和接收方釆用相同的报文封装格式。

若发起方发送的 IKE 第二阶段配置参数中的所有参数有一条与接收方第二阶段配置参数中的参数不一致，即为步骤 106所述的发起方发送的所述 IKE第二阶段配置参数与接收方第二阶段配置参数不一致。

当发起方发送的所述 IKE 第二阶段配置参数与接收方第二阶段配置参数不一致时，接收方将接收方第二阶段配置参数（接收方使用的认证算法、加密算法、密钥的完全后继保密、安全协议和封装模式）发送至发起方，在本实施例中，依次被称为接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

107、接收所述发起方发送的所述 IKE第二阶段配置修改参数。

步骤 107所述的 IKE第二阶段配置修改参数由发起方根据接收方发送的所述接收方第二阶段配置参数生成，所述第二阶段配置修改参数包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式，即发起方完全釆用接收方使用的配置参数，并再次向接收方发起协商。 1 08、与所述发起方建立第二阶段 SA。

由于发起方发送的 I KE 第二阶段配置修改参数完全是接收方使用的配置参数，因此当接收方接收到 I KE第二阶段配置修改参数时，通过检测发现 I KE第二阶段配置修改参数与接收方第二阶段配置参数一致，接收方向发起方发送第二阶段参数确认信息，以表示接收方接受发起方发起的第二阶段 I PSEC协商，同意建立第二阶段 SA。发起方接收到第二阶段参数确认信息后，利用快速模式与接收方建立起第二阶段 SA , 即发起方和接收方生成并交换第二阶段的密钥后，利用该密钥对各自的身份进行验证，验证成功后，建立起第二阶段 SA。

需要注意的是，步骤 1 05至 1 08 , 即第二阶段 SA的建立以第一阶段 SA为基础，即第一阶段 SA会对第二阶段 SA的建立过程中接收方和发起方之间传输的数据进行加密（使用第一阶段 SA中的加密算法，认证算法，密钥等对数据进行加密和认证）。

另一方面，涉及 I PSEC协商的发起方，如图 2所示，包括如下步骤：

201、向接收方发送 I KE第一阶段配置参数。

发起方向接收方发送的 I KE第一阶段配置参数包括：发起方 I KE版本、发起方协商模式、发起方认证方式、发起方认证算法、发起方加密算法和发起方密钥交换算法组。

202、接收所述接收方发送的接收方第一阶段配置参数。

接收方第一阶段配置参数包括：接收方 I KE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。

当接收方接收到 I KE第一阶段配置参数后，经检测发现， I KE第一阶段配置参数与接收方使用的配置参数即接收方第一阶段配置参数不一致，则向发起方发送接收方第一阶段配置参数。特别说明的是，只要在 I KE 第一阶段配置参数中有一项参数与接收方第一阶段配置参数中的参数不一致，就需要向发起方发送接收方第一阶段配置参数。

显然，若 I KE第一阶段配置参数与接收方使用的配置参数一致，则发起方与接收方直接建立第一阶段 SA。

203、按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数。

发起方生成的 IKE 第一阶段配置修改参数是发起方从接收方接收到的接收方第一阶段配置参数，即在 IKE第一阶段配置修改参数中釆用与接收方第一阶段配置参数相同的 IKE版本、相同的协商模式、相同的认证方式、相同的认证算法、相同的加密算法和相同的密钥交换算法组。

由此可见， IKE第一阶段配置修改参数中的各项参数为：接收方 IKE 版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。完全釆用接收方使用的配置参数的目的是，让接收方接收到 IKE第一阶段配置修改参数并确认后，尽快建立第一阶段 SA。

204、向所述接收方发送所述 IKE第一阶段配置修改参数。

205、当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段 SA。

由于发起方发送的 IKE 第一阶段配置修改参数完全是接收方使用的配置参数，因此当接收方接收到 IKE第一阶段配置修改参数时，通过检测发现 IKE第一阶段配置修改参数与接收方第一阶段配置参数一致，接收方向发起方发送第一阶段参数确认信息，以表示接收方接受发起方发起的第一阶段 IPSEC协商，同意建立第一阶段 SA。发起方接收到第一阶段参数确认信息后，接收方和发起方通过密钥交换算法组生成各自的密钥并互相交换密钥，然后利用交换后的密钥对彼此的身份和交换过程进行验证。验证成功，则建立起第一阶段 SA。

206、向所述接收方发送 IKE第二阶段配置参数。

IKE第二阶段配置参数包括：发起方认证算法、发起方加密算法、发起方密钥的完全后继保密、发起方安全协议和发起方封装模式。

207、接收所述接收方发送的接收方第二阶段配置参数。

接收方第二阶段配置参数包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

当接收方接收到 I KE第二阶段配置参数后，经检测发现， I KE第二阶段配置参数与接收方使用的配置参数即接收方第二阶段配置参数不一致，则向发起方发送接收方第二阶段配置参数。特别说明的是，只要在 I KE 第二阶段配置参数中有一项参数与接收方第二阶段配置参数中的参数不一致，就需要向发起方发送接收方第一阶段配置参数。

显然，若 I KE第二阶段配置参数与接收方使用的配置参数一致，则发起方与接收方直接建立第二阶段 SA。

208、按照所述接收方第二阶段配置参数生成 I KE第二阶段配置修改参数。

I KE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

发起方生成的 I KE 第二阶段配置修改参数是发起方从接收方接收到的接收方第二阶段配置参数，即在 I KE第二阶段配置修改参数中釆用与接收方第二阶段配置参数相同的认证算法、相同的加密算法、相同的密钥的完全后继保密、相同的安全协议和相同的封装模式。

由此可见， I KE第二阶段配置修改参数中的各项参数为：接收方 I KE 版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。完全釆用接收方使用的配置参数的目的是，让接收方接收到 I KE第二阶段配置修改参数并确认后，尽快建立第二阶段 SA。

209、向所述接收方发送所述 I KE第二阶段配置修改参数。

I KE第二阶段配置修改参数包括：接收方 I KE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。 21 0、当收到所述接收方的第二阶段参数确认信息时，与所述发起方建立第二阶段 SA。

由于发起方发送的 I KE 第二阶段配置修改参数完全是接收方使用的配置参数，因此当接收方接收到 I KE第二阶段配置修改参数时，通过检测发现 I KE第二阶段配置修改参数与接收方第二阶段配置参数一致，接收方向发起方发送第二阶段参数确认信息，以表示接收方接受发起方发起的第二阶段 I PSEC协商，同意建立第二阶段 SA。发起方接收到第二阶段参数确认信息后，利用快速模式与接收方建立起第二阶段 SA , 即发起方和接收方生成并交换第二阶段的密钥后，利用该密钥对各自身份进行验证，验证成功后，建立起第二阶段 SA。

需要注意的是，步骤 206至 21 0 , 即第二阶段 SA的建立以第一阶段 SA为基础，即第一阶段 SA会对第二阶段 SA的建立过程中接收方和发起方之间传输的数据进行加密（使用第一阶段 SA中的加密算法，认证算法，密钥等对数据进行加密和认证）。

本实施例提供一种 I PSEC协商的方法，第一阶段，接收发起方发送的互联网密钥交换 I KE 第一阶段配置参数，当所述发起方发送的所述 I KE 第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方；然后接收所述 I KE第一阶段配置修改参数并与所述发起方建立第一阶段 SA; 第二阶段，接收所述发起方发送的 I KE第二阶段配置参数；当所述发起方发送的所述 I KE第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，然后接收所述 I KE第二阶段配置修改参数并与所述发起方建立第二阶段 SA。通过上述方案，在协商参数不合要求时，可以直接将正确的参数发送至对端，减少协商过程消耗的时间，提高协商效率。

实施例 2

本发明的一个实施例提供一种 I PSEC协商的方法。一方面，涉及 IPSEC协商的接收方，如图 3所示，包括如下步骤： 301、接收发起方发送的互联网密钥交换 IKE第一阶段配置参数。发起方向接收方发送的 IKE第一阶段配置参数包括：发起方 IKE版本、发起方协商模式、发起方认证方式、发起方认证算法、发起方加密算法和发起方密钥交换算法组。

302、判断 IKE第一阶段配置参数和接收方第一阶段配置参数是否一致。

当一致时，执行 305 , 当不一致时，执行 303。

303、当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数。

接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

接收方向发起方发送接收方使用的配置参数即接收方第一阶段配置参数，希望发起方按照接收方第一阶段配置参数生成一套相同的参数即 IKE第一阶段配置修改参数，以加快 IPSEC第一阶段的协商速度。但是接收方并不知道发起方中是否存在接收方使用的认证算法或加密算法，因此接收方在向发起方发送接收方第一阶段配置参数时，将接收方能够使用的全部或一部分算法（认证算法或加密算法）发送至发起方。当发起方接收到承载有接收方算法集合的接收方第一阶段配置参数后，从算法集合（接收方能够使用的全部或一部分算法）中选取一个或几个算法生成第一阶段配置修改参数，这样提高了 IPSEC协商的正确率，提高了协商速度。可选的，接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间；同样地，发起方同样会为发起方配置第一阶段 SA超时时间。配置 SA 超时时间的目的是提高加密性能，即当发起方和接收方已经建立了安全可靠的第一阶段 SA后，为该第一阶段 SA设定一个存续期间，只有在这个存续期间第一阶段 SA才是可用的，否则即使第一阶段 SA中规定的所有参数都匹配，也不能使用该第一阶段 SA。

为提高加密的可靠性，发起方在生成 I KE第一阶段配置修改参数时，在 I KE第一阶段配置修改参数规定了第一阶段 SA协商超时时间。该第一阶段 S A协商超时时间是发起方配置的发起方第一阶段 S A超时时间和所述接收方第一阶段 SA超时时间中的最小值。

步骤 303中，接收方发送的接收方第一阶段配置参数承载于接收方至发起方的 I KE i nf orma t i on中。

发起方发送的 I KE第一阶段配置参数中除了发起方第一阶段 SA超时时间之外的所有参数必须与接收方第一阶段配置参数中除了接收方第二阶段 SA超时时间之外的所有参数完全一致，才可以保证第一阶段 I PSEC 协商成功。

相反，若发起方发送的 I KE第一阶段配置参数中的所有参数（除了发起方第一阶段 SA超时时间之外）有一条与接收方第一阶段配置参数（除了接收方第一阶段 SA超时时间之外）中的参数不一致，即为步骤 302所述的发起方发送的所述 I KE 第一阶段配置参数与接收方第一阶段配置参数不一致。

需要注意的是，当 I KE第一阶段配置参数与接收方第一阶段配置参数不一致时，接收方向发起方发送错误类型数据。以便当 I PSEC协商出现错误时，方便对系统进行维护或方便发起方根据错误类型数据选择生成合适的 I KE第一阶段配置修改参数。

304、接收所述 I KE第一阶段配置修改参数。

305、向所述发起方发送第一阶段参数确认信息，以便所述发起方与所述接收方建立第一阶段 SA。在建立第一阶段 SA之前，接收方和发起方必须要确认彼此使用相同的配置参数。经检测，接收方发现第一阶段配置修改参数与接收方第一阶段配置参数一致，于是向发起方发送第一阶段参数确认信息。

306、与所述发起方建立第一阶段 SA。

发起方接收到第一阶段参数确认信息后，接收方和发起方通过密钥交换算法组生成各自的密钥并互相交换密钥，然后利用交换后的密钥对彼此的身份和交换过程进行验证。验证成功，则建立起第一阶段 SA。

307、接收所述发起方发送的 I KE第二阶段配置参数。

发起方向接收方发送的 I KE 第二阶段配置参数包括：发起方认证算法、发起方加密算法、发起方密钥的完全后继保密、发起方安全协议和发起方封装模式。

308、判断 I KE第二阶段配置参数和接收方第二阶段配置参数是否一致。

当一致时，执行 31 1 , 当不一致时，执行 309。

309、当所述发起方发送的所述 I KE第二阶段配置参数与接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 I KE第二阶段配置修改参数。

所述接收方第二阶段配置参数和所述 I KE 第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

接收方向发起方发送接收方使用的配置参数即接收方第二阶段配置参数，是希望发起方按照接收方第二阶段配置参数生成一套相同的参数即 I KE第二阶段配置修改参数，以加快 I PSEC第二阶段的协商速度。但是接收方并不知道发起方中是否存在接收方使用的认证算法或加密算法，因此接收方在向发起方发送接收方第二阶段配置参数时，将接收方能够使用的全部或一部分算法（认证算法或加密算法）发送至发起方。当发起方接收到承载有接收方算法集合的接收方第一阶段配置参数后，从算法集合（接收方能够使用的全部或一部分算法）中选取一个或几个算法生成第二阶段配置修改参数，这样提高了 I PSEC协商的正确率，提高了协商速度。

可选的，接收方第二阶段配置参数还包括：接收方第二阶段 SA超时时间；同样地，发起方同样会为发起方配置第二阶段 SA超时时间。配置 SA 超时时间的目的是提高加密性能，即当发起方和接收方已经建立了安全可靠的第二阶段 SA后，为该第二阶段 SA设定一个存续期间，只有在这个存续期间第二阶段 SA才是可用的，否则即使第一阶段 SA中规定的所有参数都匹配，也不能使用该第二阶段 SA。需要注意的是，接收方第二阶段 SA超时时间可以有两种工作模式，即时间工作模式和流量工作模式。简单的说，时间工作模式是为第二阶段 SA规定一个存续期间，如本段所诉。流量工作模式则是为第二阶段 SA规定一个流量限额，即在第二阶段 SA 中通过的流量高于一个数据流量阀值（既可以指单位时间内通过的数据流量也可以指在规定的时间内通过的数据总流量）时，该第二阶段 SA 就不能再使用。显然，为确保加密的可靠性，接收方第二阶段 SA超时时间可以工作在其中一种模式下，也可以同时工作在两种模式下。

因此，发起方在生成 I KE第二阶段配置修改参数时，在 I KE第二阶段配置修改参数规定了第二阶段 SA协商超时时间。该第二阶段 SA协商超时时间是发起方配置的发起方第二阶段 S A超时时间和所述接收方第二阶段 SA超时时间中的最小值。

发起方发送的 I KE第二阶段配置参数中除了发起方第二阶段 SA超时时间外的所有参数必须与接收方第二阶段配置参数中除了接收方第二阶段 SA超时时间外的所有参数完全一致，才可以保证第一阶段 I PSEC协商成功。

所述接收方第二阶段配置参数承载于所述接收方至所述发起方的 I KE i nf orma t i on ( I KE信息）中。

相反，若发起方发送的 I KE第二阶段配置参数中除了发起方第二阶段 SA 超时时间外的所有参数有一条与接收方第二阶段配置参数中除了接收方第二阶段 SA超时时间外的参数不一致，即为步骤 307所述的发起方发送的所述 I KE第一阶段配置参数与接收方第一阶段配置参数不一致。

需要注意的是，当 I KE第二阶段配置参数与接收方第二阶段配置参数不一致时，接收方向发起方发送错误类型数据。以便当 I PSEC协商出现错误时，方便对系统进行维护或方便发起方根据错误类型数据选择生成合适的 I KE第二阶段配置修改参数。

310、接收所述 I KE第二阶段配置修改参数。

31 1、向所述发起方发送第二阶段参数确认信息，以便所述发起方与所述接收方建立第二阶段 SA。

由于发起方发送的 I KE 第二阶段配置修改参数完全是接收方使用的配置参数，因此当接收方接收到 I KE第二阶段配置修改参数时，通过检测发现 I KE第二阶段配置修改参数与接收方第二阶段配置参数一致，接收方向发起方发送第二阶段参数确认信息，以表示接收方接受发起方发起的第二阶段 I PSEC协商，同意建立第二阶段 SA。

312、与所述发起方建立第二阶段 SA。

发起方接收到第二阶段参数确认信息后，利用快速模式与接收方建立起第二阶段 SA , 即发起方和接收方生成并交换第二阶段的密钥后，利用该密钥对各自的身份进行验证，验证成功后，建立起第二阶段 SA。

需要注意的是，步骤 307至 31 1 , 即第二阶段 SA的建立以第一阶段 SA为基础，即第一阶段 SA会对第二阶段 SA的建立过程中接收方和发起方之间传输的数据进行加密（使用第一阶段 SA中的加密算法，认证算法，密钥等对数据进行加密和认证）。

另一方面，涉及 I PSEC协商的发起方，如图 4所示，包括如下步骤：

401、向接收方发送 I KE第一阶段配置参数。

402、接收所述接收方发送的接收方第一阶段配置参数。

4 03、按照所述接收方第一阶段配置参数生成 I KE第一阶段配置修改参数。

所述接收方第一阶段配置参数和所述 I KE 第一阶段配置修改参数中包括：接收方 I KE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。

所述 I KE 第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述 I KE第一阶段配置修改参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。

发起方生成的 I KE 第一阶段配置修改参数是发起方从接收方接收到的接收方第一阶段配置参数，即在 I KE第一阶段配置修改参数中釆用与接收方第一阶段配置参数相同的 I KE版本、相同的协商模式、相同的认证方式、相同的认证算法、相同的加密算法和相同的密钥交换算法组。

由此可见， I KE第一阶段配置修改参数中的各项参数为：接收方 I KE 版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。完全釆用接收方使用的配置参数的目的是，让接收方接收到 I KE第一阶段配置修改参数并确认后，尽快建立第一阶段 SA。

在生成接收方认证算法、接收方加密算法的过程中，当发起方接收到承载有接收方算法集合的接收方第一阶段配置参数后，从算法集合（接收方能够使用的全部或一部分算法）中选取一个或几个算法生成第一阶段配置修改参数。值得注意的是，发起方从算法集合中选取的算法必须是发起方中具有的算法，否则即使知道接收方使用的算法，也不可能生成符合接收方要求的接收方认证算法、接收方加密算法。

在大多数情况下，接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间；同样地，发起方同样会为发起方配置第一阶段 SA超时时间。配置 SA超时时间的目的是提高加密性能，即当发起方和接收方已经建立了安全可靠的第一阶段 SA后，为该第一阶段 SA设定一个存续期间，只有在这个存续期间第一阶段 SA才是可用的，否则即使第一阶段 SA中规定的所有参数都匹配，也不能使用该第一阶段 SA。

另外， I KE 第一阶段配置修改参数承载于所述发起方至所述接收方的 I KE i nf orma t i on中。

可选的，在生成 I KE第一阶段配置修改参数时，既可以自动生成，如前所述（对步骤 403的解释部分），也可以手动生成，即当发起方接收到接收方发送的接收方第一阶段配置参数后，通过人机交互界面将接收方第一阶段配置参数发送至管理人员，管理人员根据系统运行的实际情况选择认证算法、加密算法、认证方式、协商模式、 I KE版本、密钥交换算法组中的其中一个或几个。然后发起方根据管理人员的指令，生成 I KE第一阶段配置修改参数。

404、向所述接收方发送所述 I KE第一阶段配置修改参数。

405、当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段 SA。

406、向所述接收方发送 I KE第二阶段配置参数。

407、接收所述接收方发送的接收方第二阶段配置参数。所述接收方第二阶段配置参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

4 08、按照所述接收方第二阶段配置参数生成 I KE第二阶段配置修改参数。所述 I KE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

在生成接收方认证算法、接收方加密算法的过程中，当发起方接收到承载有接收方算法集合的接收方第一阶段配置参数后，从算法集合（接收方能够使用的全部或一部分算法）中选取一个或几个算法生成第一阶段配置修改参数。值得注意的是，发起方从算法集合中选取的算法必须是发起方中存储的算法，否则即使知道接收方使用的算法，也不可能生成符合接收方要求的接收方认证算法、接收方加密算法。

在大多数情况下，接收方第二阶段配置参数还包括：接收方第二阶段 SA超时时间；同样地，发起方会为发起方配置第二阶段 SA超时时间。配置 SA超时时间的目的是提高加密性能，即当发起方和接收方已经建立了安全可靠的第二阶段 SA后，为该第二阶段 SA设定一个存续期间，只有在这个存续期间第二阶段 SA才是可用的，否则即使第一阶段 SA中规定的所有参数都匹配，也不能使用该第二阶段 SA。需要注意的是，接收方第二阶段 SA超时时间可以有两种工作模式，即时间工作模式和流量工作模式。简单的说，时间工作模式是为第二阶段 SA规定一个存续期间，如本段所诉。流量工作模式则是为第二阶段 SA规定一个流量限额，即在第二阶段 SA 中通过的流量高于一个数据流量阀值（既可以指单位时间内通过的数据流量也可以指在规定的时间内通过的数据总流量）时，该第二阶段 SA 就不能再使用。显然，为确保加密的可靠性，接收方第二阶段 SA超时时间可以工作在其中一种模式下，也可以同时工作在两种模式下。

发起方发送的 I KE第二阶段配置参数中除了发起方第二阶段 SA超时时间外的所有参数必须与接收方第二阶段配置参数中除了接收方第二阶段 SA超时时间外的所有参数完全一致，才可以保证第二阶段 I PSEC协商成功。

所述接收方第二阶段配置参数承载于所述发起方至所述接收方的 I KE i nf orma t i on ( I KE信息）中。

可选的，在生成 I KE第二阶段配置修改参数时，既可以自动生成，如前所述（对步骤 403的解释部分），也可以手动生成，即当发起方接收到接收方发送的接收方第一阶段配置参数后，通过人机交互界面将接收方第一阶段配置参数发送至管理人员，管理人员根据系统运行的实际情况选择认证算法、加密算法、密钥的完全后继保密、安全协议和封装模式中的其中一个或几个。然后发起方根据管理人员的指令，生成 I KE第二阶段配置修改参数。

409、向所述接收方发送所述 I KE第二阶段配置修改参数。

41 0、当收到所述接收方的第二阶段参数确认信息时，与所述发起方建立第二阶段 SA。

需要注意的是，步骤 405至 409 , 即第二阶段 SA的建立以第一阶段 SA为基础，即第一阶段 SA会对第二阶段 SA的建立过程中接收方和发起方之间传输的数据进行加密（使用第一阶段 SA中的加密算法，认证算法，密钥等对数据进行加密和认证）。

本实施例提供一种 IPSEC协商的方法，第一阶段，接收发起方发送的互联网密钥交换 IKE 第一阶段配置参数，当所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方；然后接收所述 IKE第一阶段配置修改参数并与所述发起方建立第一阶段 SA; 第二阶段，接收所述发起方发送的 IKE第二阶段配置参数；当所述发起方发送的所述 IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，然后接收所述 IKE第二阶段配置修改参数并与所述发起方建立第二阶段 SA。通过上述方案，在协商参数不合要求时，可以直接将正确的参数发送至对端，减少协商过程消耗的时间，提高协商效率。此外，在第一阶段配置修改参数和第二阶段配置修改参数增加了第一阶段 SA协商超时时间和第二阶段 SA协商超时时间，增加了在第一阶段 SA和第二阶段 SA中数据传输的可靠性。

实施例 3

本发明的一个实施例提供一种 IPSEC协商的装置。

一方面，涉及 IPSEC协商的接收方，如图 5所示，该装置包括：第一阶段接收单元 51 , 用于接收发起方发送的互联网密钥交换 IKE 第一阶段配置参数。

第一阶段判断单元 52 , 用于判断所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数是否一致。

第一阶段发送单元 53 , 用于当接收方第一阶段判断单元判断出所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。

所述第一阶段接收单元 51 , 还用于接收所述 I KE第一阶段配置修改参数。

第一阶段安全联盟建立单元 54 ,用于与所述发起方建立第一阶段 S A。第二阶段接收单元 55 , 用于接收所述发起方发送的 I KE第二阶段配置参数。

第二阶段判断单元 56 , 用于判断所述发起方发送的所述 I KE第二阶段配置参数与所述接收方第二阶段配置参数是否一致。

第二阶段发送单元 57 , 用于所述第二阶段判断单元判断出所述发起方发送的所述 I KE 第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 I KE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

第二阶段接收单元 55 , 还用于接收所述 I KE第二阶段配置修改参数。第二阶段安全联盟建立单元 58 ,用于与所述发起方建立第二阶段 S A。需要说明的是，所述接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间。

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间。其中，所述第一阶段 SA协商超时时间是发起方配置的发起方第一阶段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

进一步的，所述接收方第二阶段配置参数还包括：接收方第二阶段

SA超时时间。

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间。其中，所述第二阶段 SA协商超时时间是发起方配置的发起方第二阶段 SA超时时间和所述接收方第二阶段 SA超时时间的最小值。

进一步的，所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

进一步的，所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

进一步的，所述接收方第一阶段发送单元将所述接收方第一阶段配置参数发送至所述发起方，具体用于：

IKE informa t i on中发送至所述发起方。

进一步的，所述接收方第二阶段发送单元将所述接收方第二阶段配置参数发送至所述发起方，具体用于：

进一步的，所述第一阶段发送单元 53 , 还用于：

进一步的，所述接收方第二阶段发送单元 57 , 还用于：

另一方面，涉及 IPSEC协商的发起方，如图 6所示，该装置包括：第一阶段发送单元 61 , 用于向接收方发送互联网密钥交换 IKE第一阶段配置参数。

第一阶段接收单元 62 , 用于接收所述接收方发送的接收方第一阶段配置参数。

第一阶段参数生成单元 63 , 用于按照所述接收方第一阶段配置参数生成 IKE 第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 I KE第一阶段配置修改参数中包括：接收方 I KE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。

第一阶段发送单元 61 , 还用于向所述接收方发送所述 I KE第一阶段配置修改参数。

第一阶段安全联盟建立单元 64 , 用于当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段 SA。

第二阶段发送单元 65 , 用于向所述接收方发送 I KE第二阶段配置参数。

第二阶段接收单元 66 , 用于接收所述接收方发送的接收方第二阶段配置参数。

第二阶段参数生成单元 67 , 用于按照所述接收方第二阶段配置参数生成 I KE 第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

所述第二阶段发送单元 65 , 还用于向所述接收方发送所述 I KE第二阶段配置修改参数。

第二阶段安全联盟建立单元 66 , 用于当收到所述接收方的第二阶段参数确认信息时，与所述发起方建立第二阶段 SA。

进一步的，所述发起方第一阶段配置参数还包括：发起方第一阶段 SA超时时间。

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间。其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

进一步的，所述发起方第二阶段配置参数还包括：发起方第二阶段

SA超时时间。

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间。其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

进一步的，所述 IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

进一步的，所述 IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

进一步的，所述第一阶段发送单元 61将所述 IKE第一阶段配置修改参数发送至所述接收方，具体用于：

将所述 IKE 第一阶段配置修改参数承载于所述发起方至所述接收方的 IKE information中发送至所述接收方。

进一步的，所述第二阶段发送单元 61具体用于：

本实施例提供一种 IPSEC协商的装置，第一阶段，接收发起方发送的互联网密钥交换 IKE 第一阶段配置参数，当所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方；然后接收所述 IKE第一阶段配置修改参数并与所述发起方建立第一阶段 SA; 第二阶段，接收所述发起方发送的 IKE第二阶段配置参数；当所述发起方发送的所述 IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，然后接收所述 IKE第二阶段配置修改参数并与所述发起方建立第二阶段 SA。通过上述方案，在协商参数不合要求时，可以直接将正确的参数发送至对端，减少协商过程消耗的时间，提高协商效率。

实施例 4 本发明的一个实施例提供一种 IPSEC协商的设备。

一方面，涉及 IPSEC协商的接收方设备，如图 7所示，该设备包括：通信接口 71 , 用于接收发起方发送的互联网密钥交换 IKE第一阶段配置参数。

处理器 72 , 用于当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。

所述通信接口 71 , 还用于接收所述 I KE第一阶段配置修改参数。所述处理器 72 , 还用于与所述发起方建立第一阶段 SA。

所述通信接口 71 , 还用于接收所述发起方发送的 IKE第二阶段配置参数；

所述通信接口 71 , 还用于当所述处理器检测到所述发起方发送的所述 IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 IKE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 IKE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

所述通信接口 71 , 还用于接收所述 I KE第二阶段配置修改参数。所述处理器 72 , 还用于与所述发起方建立第二阶段 SA。

存储器 73 , 用于存储所述接收方第一阶段配置参数、所述 IKE第一阶段配置修改参数、所述接收方第二阶段配置参数、所述 IKE第二阶段配置修改参数和处理器执行操作时需要的代码。

总线 74 , 用于连接所述处理器 72、所述通信接口 71 和所述存储器

73 , 并为所述处理器 72、所述通信接口 71 和所述存储器 73提供数据传输的物理通道。

进一步的，所述存储器 73 中存储的所述接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间。

进一步的，所述存储器 73 中存储的所述接收方第二阶段配置参数还包括：接收方第二阶段 SA超时时间。

进一步的，所述存储器 73 中存储的所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

进一步的，所述存储器 73 中存储的所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

进一步的，所述通信接口 71 , 具体用于：

进一步的，所述通信接口 71 , 具体还用于：

进一步的，所述通信接口 71还用于在接收所述 I KE第一阶段配置修改参数后，向所述发起方发送第一阶段参数确认信息，以便所述发起方与所述接收方建立第一阶段 SA。

进一步的，所述通信接口 71还用于在接收所述 IKE第二阶段配置修改参数后，向所述发起方发送第二阶段参数确认信息，以便所述发起方与所述接收方建立第二阶段 SA。

另一方面，涉及 IPSEC协商的发起方设备，该设备包括：

其特征在于，包括：

通信接口 81 , 用于向接收方发送互联网密钥交换 IKE第一阶段配置参数。

所述通信接口 81 , 还用于接收所述接收方发送的接收方第一阶段配置参数。

处理器 82 , 用于按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组。

所述通信接口 81 , 还用于向所述接收方发送所述 IKE第一阶段配置修改参数。

所述处理器 82 , 还用于当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段 SA。

所述通信接口 81 , 还用于向所述接收方发送 IKE第二阶段配置参数。所述通信接口 81 , 还用于接收所述接收方发送的接收方第二阶段配置参数。

所述处理器 82 , 还用于按照所述接收方第二阶段配置参数生成 IKE 第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 IKE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式。

所述通信接口 81 , 还用于向所述接收方发送所述 IKE第二阶段配置修改参数。所述处理器 82 , 还用于当所述通信接口接收到所述接收方的第二阶段参数确认信息时，与所述发起方建立第二阶段 SA。

存储器 83 , 用于存储所述接收方第一阶段配置参数、所述 I KE第一阶段配置修改参数、所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数和处理器执行操作时需要的代码。

总线 84 , 用于连接所述处理器 82、所述通信接口 81 和所述存储器 83 , 并为所述处理器 82、所述通信接口 81 和所述存储器 83提供数据传输的物理通道。

进一步的，所述存储器 83 中存储的所述发起方第一阶段配置参数还包括：发起方第一阶段 SA超时时间。

进一步的，所述存储器 83 中存储的所述发起方第二阶段配置参数还包括：发起方第二阶段 SA超时时间。

进一步的，所述存储器 83中存储的所述 I KE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

进一步的，所述存储器 83中存储的所述 I KE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

所述 I KE第二阶段配置修改参数中的接收方加密算法，为所述接收方存储的所有加密算法的总和或其中任意一种。进一步的，所述通信接口 81 , 具体用于：

进一步的，所述通信接口 81 , 具体还用于：

再一方面，如图 9所示，提供一种 IPSEC协商的系统，包括：上述的任意一种接收方设备和任意一种发起方设备。

本实施例提供一种 IPSEC协商的方法，第一阶段，接收发起方发送的互联网密钥交换 IKE 第一阶段配置参数，当所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方；然后接收所述 IKE第一阶段配置修改参数并与所述发起方建立第一阶段 SA; 第二阶段，接收所述发起方发送的 IKE第二阶段配置参数；当所述发起方发送的所述 IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，然后接收所述 IKE第二阶段配置修改参数并与所述发起方建立第二阶段 SA。通过上述方案，在协商参数不合要求时，可以直接将正确的参数发送至对端，减少协商过程消耗的时间，提高协商效率。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

权利要求书

1、一种 IPSEC协商的方法，其特征在于，包括：

接收发起方发送的互联网密钥交换 IKE第一阶段配置参数；

当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；

接收所述发起方发送的 IKE第一阶段配置修改参数；

与所述发起方建立第一阶段安全联盟 SA;

接收所述发起方发送的 IKE第二阶段配置参数；

当所述发起方发送的所述 IKE第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 IKE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 IKE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

接收所述发起方发送的所述 IKE第二阶段配置修改参数；

与所述发起方建立第二阶段 SA。

2、根据权利要求 1所述的方法，其特征在于，所述接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间；

所述 IKE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间；其中，所述第一阶段 S A协商超时时间是发起方配置的发起方第一阶段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

3、根据权利要求 1所述的方法，其特征在于，所述接收方第二阶段配置参数还包括：接收方第二阶段 SA超时时间；

所述 IKE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间；其中，所述第二阶段 S A协商超时时间是发起方配置的发起方第二阶段 SA超时时间和所述接收方第二阶段 SA超时时间的最小值。

4、根据权利要求 1所述的方法，其特征在于，所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

5、根据权利要求 1所述的方法，其特征在于，所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

6、根据权利要 1至 5中任意一项所述的方法，其特征在于，所述将所述接收方第一阶段配置参数发送至所述发起方，具体包括：

将所述接收方第一阶段配置参数承载于所述接收方至所述发起方的 IKE inf orma t i on中发送至所述发起方。

7、根据权利要 1至 5中任意一项所述的方法，其特征在于，所述将所述接收方第二阶段配置参数发送至所述发起方，具体包括：

将所述接收方第二阶段配置参数承载于所述接收方至所述发起方的 IKE inf orma t i on中发送至所述发起方。

8、根据权利要求 1至 7中任意一项所述的方法，其特征在于，在接收所述 IKE第一阶段配置修改参数后，还包括：

9、根据权利要求 1至 7中任意一项所述的方法，其特征在于，在接收所述 IKE第二阶段配置修改参数后，还包括：

1 0、一种 I PSEC协商的方法，其特征在于，包括：

向接收方发送互联网密钥交换 I KE第一阶段配置参数；

接收所述接收方发送的接收方第一阶段配置参数；

向所述接收方发送所述 I KE第一阶段配置修改参数；

当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段安全联盟 SA;

向所述接收方发送 I KE第二阶段配置参数；

接收所述接收方发送的接收方第二阶段配置参数；

向所述接收方发送所述 I KE第二阶段配置修改参数；

1 1、根据权利要求 1 0所述的方法，其特征在于，所述发起方第一阶段配置参数还包括：发起方第一阶段 SA超时时间；

1 2、根据权利要求 1 0所述的方法，其特征在于，所述发起方第二阶段配置参数还包括：发起方第二阶段 SA超时时间；

13、根据权利要求 10所述的方法，其特征在于，所述 IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

14、根据权利要求 10所述的方法，其特征在于，所述 IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

15、根据权利要 10至 14中任意一项所述的方法，其特征在于，所述将所述 IKE第一阶段配置修改参数发送至所述接收方，具体包括：

将所述 IKE第一阶段配置修改参数承载于所述发起方至所述接收方的 IKE informa t i on中发送至所述接收方。

16、根据权利要 10至 14中任意一项所述的方法，其特征在于，所述将所述 IKE第二阶段配置修改参数发送至所述接收方，具体包括：

将所述 IKE第二阶段配置修改参数承载于所述发起方至所述接收方的 IKE informa t i on中发送至所述接收方。

17、一种 IPSEC协商的装置，其特征在于，包括：

第一阶段发送单元，用于当第一阶段判断单元判断出所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；

所述第一阶段接收单元，还用于接收所述 IKE第一阶段配置修改参数；第一阶段安全联盟建立单元，用于与所述发起方建立第一阶段安全联盟 SA;

所述第二阶段接收单元，还用于接收所述 IKE第二阶段配置修改参数；第二阶段安全联盟建立单元，用于与所述发起方建立第二阶段 SA。

18、根据权利要求 17所述的装置，其特征在于，所述接收方第一阶段配置参数还包括：接收方第一阶段 SA超时时间；

19、根据权利要求 17所述的装置，其特征在于，所述接收方第二阶段配置参数还包括：接收方第二阶段 SA超时时间；

20、根据权利要求 17所述的装置，其特征在于，所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

21、根据权利要求 17所述的装置，其特征在于，所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

22、根据权利要 17至 21 中任意一项所述的装置，其特征在于，所述第一阶段发送单元，具体用于：

23、根据权利要 17至 21 中任意一项所述的装置，其特征在于，所述第二阶段发送单元，具体用于：

24、根据权利要求 17至 23中任意一项所述的装置，其特征在于，所述第一阶段发送单元，还用于：

25、根据权利要求 17至 23中任意一项所述的装置，其特征在于，所述第二阶段发送单元，还用于：

26、一种 IPSEC协商的装置，其特征在于，包括：第一阶段发送单元，用于向接收方发送互联网密钥交换 I KE第一阶段配置参数；

第一阶段参数生成单元，用于按照所述接收方第一阶段配置参数生成 I KE 第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 I KE 第一阶段配置修改参数中包括：接收方 I KE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；所述第一阶段发送单元，还用于向所述接收方发送所述 I KE第一阶段配置修改参数；

第一阶段安全联盟建立单元，用于当收到所述接收方的第一阶段参数确认信息时，与所述接收方建立第一阶段安全联盟 SA ;

第二阶段参数生成单元，用于按照所述接收方第二阶段配置参数生成 I KE 第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 I KE 第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

27、根据权利要求 26所述的装置，其特征在于，所述发起方第一阶段配置参数还包括：发起方第一阶段 SA超时时间；

28、根据权利要求 26所述的装置，其特征在于，所述发起方第二阶段配置参数还包括：发起方第二阶段 SA超时时间；

29、根据权利要求 26所述的装置，其特征在于，所述 IKE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

30、根据权利要求 26所述的装置，其特征在于，所述 IKE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

31、根据权利要 26至 30中任意一项所述的装置，其特征在于，所述第一阶段发送单元，具体用于：

32、根据权利要 26至 30中任意一项所述的装置，其特征在于，所述第一阶段发送单元，具体用于：

33、一种 IPSEC协商的接收方设备，其特征在于，包括：

处理器，用于当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参数不一致时，将所述接收方第一阶段配置参数发送至所述发起方，以便所述发起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括：接收方 IKE版本、接收方协商模式、接收方认证方式、接收方认证算法、接收方加密算法和接收方密钥交换算法组；

所述通信接口，还用于接收所述发起方发送的 IKE第二阶段配置参数；所述通信接口，还用于当所述处理器检测到所述发起方发送的所述 IKE 第二阶段配置参数与所述接收方第二阶段配置参数不一致时，将所述接收方第二阶段配置参数发送至所述发起方，以便所述发起方按照接收方第二阶段配置参数生成 IKE第二阶段配置修改参数；所述接收方第二阶段配置参数和所述 IKE第二阶段配置修改参数中包括：接收方认证算法、接收方加密算法、接收方密钥的完全后继保密、接收方安全协议和接收方封装模式；

所述通信接口，还用于接收所述 IKE第二阶段配置修改参数；所述处理器，还用于与所述发起方建立第二阶段 SA;

存储器，用于存储所述接收方第一阶段配置参数、所述 IKE第一阶段配置修改参数、所述接收方第二阶段配置参数、所述 IKE第二阶段配置修改参数和处理器执行操作时需要的代码；

34、根据权利要求 33所述的接收方设备，其特征在于，所述存储器中存储的所述接收方第一阶段配置参数还包括：接收方第一阶段 SA 超时时间；

35、根据权利要求 33所述的接收方设备，其特征在于，所述存储器中存储的所述接收方第二阶段配置参数还包括：接收方第二阶段 SA 超时时间；

36、根据权利要求 33所述的接收方设备，其特征在于，所述存储器中存储的所述接收方第一阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

37、根据权利要求 33所述的接收方设备，其特征在于，所述存储器中存储的所述接收方第二阶段配置参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

38、根据权利要 33至 37中任意一项所述的接收方设备，其特征在于，所述通信接口，具体用于：

39、根据权利要 33至 37中任意一项所述的接收方设备，其特征在于，所述通信接口，具体还用于：

40、根据权利要求 33至 39中任意一项所述的接收方设备，其特征在于，所述通信接口还用于在接收所述 IKE第一阶段配置修改参数后，向所述发起方发送第一阶段参数确认信息，以便所述发起方与所述接收方建立第一阶段 SA。

41、根据权利要求 33至 39中任意一项所述的接收方设备，其特征在于，所述通信接口还用于在接收所述 I KE第二阶段配置修改参数后，向所述发起方发送第二阶段参数确认信息，以便所述发起方与所述接收方建立第二阶段 SA。

42、一种 I PSEC协商的发起方设备，其特征在于，包括：

通信接口，用于向接收方发送互联网密钥交换 I KE第一阶段配置参数；所述通信接口，还用于接收所述接收方发送的接收方第一阶段配置参数；

所述处理器，还用于当所述通信接口接收到所述接收方的第二阶段参数确认信息时，与所述发起方建立第二阶段 SA;

4 3、根据权利要求 42所述的发起方设备，其特征在于，所述存储器存储的所述发起方第一阶段配置参数还包括：发起方第一阶段 S A超时时间；所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间；其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

44、根据权利要求 42所述的发起方设备，其特征在于，所述存储器存储的所述发起方第二阶段配置参数还包括：发起方第二阶段 S A超时时间；所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间；其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

45、根据权利要求 42所述的发起方设备，其特征在于，所述存储器存储的所述 I KE第一阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

46、根据权利要求 42所述的发起方设备，其特征在于，所述存储器存储的所述 I KE第二阶段配置修改参数中的接收方认证算法为所述接收方存储的所有认证算法的总和或其中任意一种；和 /或

47、根据权利要 42至 46中任意一项所述的发起方设备，其特征在于，所述通信接口，具体用于：

将所述 I KE第一阶段配置修改参数承载于所述发起方至所述接收方的 I KE i nf orma t i on中发送至所述接收方。

48、根据权利要 42至 46中任意一项所述的发起方设备，其特征在于，所述通信接口，具体还用于：

49、一种 IPSEC协商的系统，其特征在于，包括：如权利要求 33 至 41任意一项所述的接收方设备，以及如权利要求 42至 48任意一项所述的发起方设备。