專利名稱:協(xié)商因特網(wǎng)密鑰交換安全聯(lián)盟生存周期的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及因特網(wǎng)協(xié)議安全(IPsec, IP Security)技術(shù)領(lǐng)域�,具體涉及一 種在因特網(wǎng)密鑰交換(IKE, Internet Key Exchange )協(xié)商過程中協(xié)商IKE安全 聯(lián)盟(SA��, Security Association)生存周期的方法及相應(yīng)的設(shè)備���。
背景技術(shù):
網(wǎng)絡(luò)安全包括兩層含義其一是內(nèi)部網(wǎng)的安全���,其二是在公共網(wǎng)絡(luò)中進行 數(shù)據(jù)交換的安全。前者的實現(xiàn)手段有防火墻��、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)等����;實現(xiàn) 后者有正在興起的IPsec技術(shù)。IPsec提供了在IP層對報文實施加密的保護手 段��。IPsec的安全聯(lián)盟可以通過手工配置的方式建立���,但是當(dāng)網(wǎng)絡(luò)中結(jié)點增多 時�,手工配置將非常困難���,而且難以保證安全性��。這時就需要使用IKE協(xié)商 自動地進行安全聯(lián)盟建立與密鑰交換的過程����。安全聯(lián)盟是在兩個使用IPSec的實體(如主機或路由器)間建立的邏輯連 接,它定義了實體間如何使用安全服務(wù)(如加密)進行通信����。在實施IPSec的 過程中,可以使用IKE協(xié)議來建立安全聯(lián)盟�����。IKE協(xié)議建立在由安全聯(lián)盟和密 4月管玉里祐���、i義(ISAKMP, Internet Security Association and Key Management Protocol)定義的框架上���。IKE為IPsec提供了自動協(xié)商交換密鑰��、建立安全聯(lián) 盟的服務(wù)�����,能夠簡化IPsec的使用和管理�����。IKE具有一套自保護機制����,可以在 不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰�����、驗證身份�����、建立IPsec安全聯(lián)盟����。IKE通過兩個階段的協(xié)商過程,為IPsec進行密鑰協(xié)商并建立安全聯(lián)盟 第一階段���,通信雙方彼此間建立一個已通過身份驗證和安全保護的通道�����,本階 段的交換建立了一個IKESA, IKE SA也被稱為ISAKMP SA;第二階段����,利 用第一階段所建立的IKE SA,為IPsec協(xié)商安全服務(wù),即為IPsec協(xié)商具體的 安全聯(lián)盟����,建立IPsec SA。 IPsec SA用于最終的IP數(shù)據(jù)安全傳送����,為數(shù)據(jù)交 換提供IPsec服務(wù)。第二階段協(xié)商消息受第一階段建立的IKE SA保護�����,任何沒有IKE SA保護的消息將被對端拒收�。在IKE協(xié)商的第一階段,即IKE SA協(xié)商中�����,所協(xié)商的參數(shù)包括DH (Diffie-Hellman)組�、加密算法、認(rèn)證算法�、是否NAT穿越和IKE SA生存 周期等。現(xiàn)有技術(shù)中�,在IKESA協(xié)商的過程中,響應(yīng)端只是被動地確認(rèn)發(fā)起 端的各項參數(shù)。如果響應(yīng)端的生存周期和發(fā)起端的生存周期不一致��,則可能導(dǎo) 致協(xié)商失敗��。針對兩端IKESA生存周期不一致����,特別是響應(yīng)端的生存周期小 于發(fā)起端的情況�,RFC 2407中規(guī)定了三種協(xié)商方式1、 響應(yīng)端終止協(xié)商����;2、 響應(yīng)端接受協(xié)商�,但是響應(yīng)端采用較小的生存周期;3���、 響應(yīng)端接受協(xié)商�,但在協(xié)商完后響應(yīng)端發(fā)送INFO消息�,通知發(fā)起端 修改生存周期。上述第l種和第2種方式在實際應(yīng)用中很少見���,常用的是第3種方式����。 可以看出,第1種方式將導(dǎo)致協(xié)商失敗���。而第2種方式中���,由于目前在大 部分廠商的具體實現(xiàn)中,都是只能由發(fā)起端發(fā)起IKESA的重協(xié)商�����,在響應(yīng)端 的IKESA生存周期較短����,超時后不能發(fā)起重協(xié)商的情況下,將導(dǎo)致響應(yīng)端長 時間沒有IKESA�,只能等待發(fā)起端超時后發(fā)起重協(xié)商。因此�,如果在響應(yīng)端 丟棄IKE SA期間又發(fā)生了 IPsec SA超時,則會導(dǎo)致因為沒有IKE SA而無法 進行IPsec SA的協(xié)商����,進而造成發(fā)起端和響應(yīng)端之間的通訊中斷。對于第3種方式�,因為響應(yīng)端是對發(fā)起端各參數(shù)的確認(rèn)�����,也包括對生存周 期的確認(rèn)��,而在IKESA協(xié)商過程中又不對生存周期進行協(xié)商�,響應(yīng)端只是被 動的確認(rèn)發(fā)起端的生存周期���,無法把自己的生存周期及時傳遞給發(fā)起端。所以��, 只能在協(xié)商完成后發(fā)送通知(INFO)消息通知發(fā)起端修改生存周期���。由于這 個INFO消息使用用戶數(shù)據(jù)報協(xié)議(UDP��, User Datagram Protocol)報文封裝�����, 沒有確認(rèn)機制�����。 一旦該INFO消息在傳輸中被丟失�����,或者由于發(fā)起端任務(wù)繁忙 而沒有處理該INFO消息�,就會導(dǎo)致兩端的IKE SA生存周期不一致,從而可 能導(dǎo)致與第2種方式類似的問題響應(yīng)端沒有IKE SA而無法進行IPsec SA的 協(xié)商�,進而造成通訊中斷。并且��,該INFO消息是在IKE/IPsecSA協(xié)商完成后 才發(fā)送���,這樣發(fā)起端在收到該INFO消息后����,需要修改已經(jīng)建立的IKESA的 生存周期����,這在具體實現(xiàn)過程中也顯得比較麻煩。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是提供一種在IKE協(xié)商過程中協(xié)商IKE SA生 存周期的方法及相應(yīng)的設(shè)備�����,用于在響應(yīng)端和發(fā)起端的IKESA生存周期不一 致的情況下��,當(dāng)響應(yīng)端的IKESA生存周期小于發(fā)起端的時���,在IKE協(xié)商過程 中就將發(fā)起端的IKE SA生存周期協(xié)商成較小的值����。為解決上述技術(shù)問題,本發(fā)明提供方案如下一種在因特網(wǎng)密鑰交換IKE協(xié)商過程中協(xié)商IKE安全聯(lián)盟SA生存周期的 方法���,包括IKE協(xié)商的發(fā)起端��,向響應(yīng)端發(fā)送攜帶有IKE SA生存周期協(xié)商標(biāo)識的第 一消息����,且在所述第一消息中還攜帶有所述發(fā)起端的IKE SA生存周期值�;所述發(fā)起端接收來自所述響應(yīng)端的攜帶有所述IKE SA生存周期協(xié)商標(biāo)識 的響應(yīng)消息�����,荻取所述響應(yīng)消息中的IKE SA生存周期值��,并據(jù)此協(xié)商自身的 IKESA生存周期��。本發(fā)明所述的方法����,其中����,所述據(jù)此協(xié)商自身的IKESA生存周期是將 自身的IKE SA生存周期協(xié)商為所述響應(yīng)消息中的IKE SA生存周期值�。本發(fā)明所述的方法,其中����,所述IKESA生存周期協(xié)商標(biāo)識攜帶在所述第 一消息或所述響應(yīng)消息中的廠商ID屬性中。本發(fā)明所述的方法��,其中����,所述第一消息是IKE主模式協(xié)商過程中的第 一個消息,所述響應(yīng)消息是IKE主模式協(xié)商過程中的第二個消息�����;或者��,所述第一消息是IKE野蠻模式協(xié)商過程中的第一個消息����,所述響 應(yīng)消息是IKE野蠻模式協(xié)商過程中的第二個消息。本發(fā)明還提供了 一種在IKE協(xié)商過程中協(xié)商IKE SA生存周期的方法����,包括IKE協(xié)商的響應(yīng)端����,接收來自發(fā)起端的攜帶有IKE SA生存周期協(xié)商標(biāo)識 的第一消息����,并從中獲取所述發(fā)起端的IKE SA生存周期值;響應(yīng)端比較本響應(yīng)端和所述發(fā)起端的IKE SA生存周期值�����,在本響應(yīng)端的 IKE SA生存周期值小于所述發(fā)起端的IKE SA生存周期值時���,向所述發(fā)起端 發(fā)送攜帶有所述IKE SA生存周期協(xié)商標(biāo)識的響應(yīng)消息���,且在所述響應(yīng)消息中 還攜帶有本響應(yīng)端的IKE SA生存周期值�����。本發(fā)明所述的方法�����,其中,在本響應(yīng)端的IKESA生存周期值大于所述發(fā) 起端的IKE SA生存周期值時��,響應(yīng)端向所述發(fā)起端發(fā)送攜帶有所述發(fā)起端的 IKE SA生存周期值的響應(yīng)消息���。本發(fā)明所述的方法��,其中����,所述IKESA生存周期協(xié)商標(biāo)識攜帶在所述第 一消息或所述響應(yīng)消息中的廠商ID屬性中�����。本發(fā)明所述的方法�����,其中����,所述本響應(yīng)端的IKESA生存周期值攜帶在所 述響應(yīng)消息中的生存周期屬性中。本發(fā)明所述的方法����,其中����,所述第一消息是IKE主模式協(xié)商過程中的第一個消息��,所述響應(yīng)消息是 IKE主模式協(xié)商過程中的第二個消息�����;或者�,所述第一消息是IKE野蠻模式協(xié)商過程中的第一個消息,所述響 應(yīng)消息是IKE野蠻模式協(xié)商過程中的第二個消息��。本發(fā)明還提供了 一種IKE協(xié)商過程中的發(fā)起端設(shè)備��,包括發(fā)送單元��,用于向IKE協(xié)商的響應(yīng)端發(fā)送攜帶有IKE SA生存周期協(xié)商標(biāo) 識的第一消息�,所述第一消息中還攜帶有本發(fā)起端的IKE SA生存周期值;接收單元����,用于接收來自所述響應(yīng)端的攜帶有所述IKE SA生存周期協(xié)商 標(biāo)識的響應(yīng)消息���;生存周期協(xié)商單元���,用于根據(jù)所述接收單元接收到的所述響應(yīng)消息����,獲取 其中的IKE SA生存周期值�,并據(jù)此協(xié)商本發(fā)起端的IKE SA生存周期。 本發(fā)明所述的發(fā)起端設(shè)備�����,其中�,所述生存周期協(xié)商單元,進一步用于將本發(fā)起端的IKE SA生存周期協(xié)商 為從所述響應(yīng)消息中獲取的IKE SA生存周期值�;所述發(fā)送單元,進一步用于將所述IKE SA生存周期協(xié)商標(biāo)識攜帶在所述 第 一消息中的廠商ID屬性中進行發(fā)送�����。本發(fā)明所述的發(fā)起端設(shè)備�,其中,所述第一消息是IKE主模式協(xié)商或IKE野蠻才莫式協(xié)商過程中的第 一個消息�。本發(fā)明還提供了一種IKE協(xié)商過程中的響應(yīng)端設(shè)備,包括接收單元���,用于接收來自IKE協(xié)商的發(fā)起端的攜帶有IKESA生存周期協(xié)商標(biāo)識的第一消息��,并從中獲取所述發(fā)起端的IKE SA生存周期值��;生存周期比較單元�,用于比較本響應(yīng)端和所述發(fā)起端的IKE SA生存周期 值的大小�;發(fā)送單元,用于在本響應(yīng)端的IKE SA生存周期值小于所述發(fā)起端的IKE SA生存周期值時��,向所述發(fā)起端發(fā)送攜帶有所述IKE SA生存周期協(xié)商標(biāo)識 的響應(yīng)消息����,且所述響應(yīng)消息中還攜帶有本響應(yīng)端的IKE SA生存周期值。本發(fā)明所述的響應(yīng)端設(shè)備�����,其中�����,所述發(fā)送單元�����,進一步用于在本響應(yīng)端的IKE SA生存周期值大于所述發(fā) 起端的IKE SA生存周期值時�,向所述發(fā)起端發(fā)送攜帶有所述發(fā)起端的IKE SA 生存周期值的響應(yīng)消息。本發(fā)明所述的響應(yīng)端設(shè)備���,其中���,所述發(fā)送單元,進一步用于將所述IKE SA生存周期協(xié)商標(biāo)識攜帶在所述 響應(yīng)消息中的廠商ID屬性中進行發(fā)送���。 本發(fā)明所述的響應(yīng)端設(shè)備���,其中,所述發(fā)送單元���,進一步用于將本響應(yīng)端的IKE SA生存周期值攜帶在所述 響應(yīng)消息中的生存周期中進行發(fā)送��。本發(fā)明所述的響應(yīng)端設(shè)備���,其中,所述響應(yīng)消息是IKE主模式協(xié)商或IKE野蠻模式協(xié)商過程中的第二個消息����。從以上所述可以看出����,本發(fā)明提供的所述在IKE協(xié)商過程中協(xié)商IKE SA生存周期的方法及設(shè)備�����,具有以下有益效果1) 通過在第一個和第二個消息中攜帶用于指示生存周期協(xié)商的標(biāo)識�����,發(fā) 起端和響應(yīng)端得以在IKE SA協(xié)商過程中對IKE SA生存周期進行協(xié)商�����,保證 了發(fā)起端采用較小的IKE SA生存周期����,避免了現(xiàn)有技術(shù)中在響應(yīng)端的IKE SA 生存周期小于發(fā)起端的時,由于響應(yīng)端IKESA超時而導(dǎo)致的通訊中斷問題���。2) 本發(fā)明實施例中�����,用于指示生存周期協(xié)商的標(biāo)識是攜帶在Vendor ID 屬性中���,通過標(biāo)準(zhǔn)的IKESA協(xié)商消息進行傳遞�����。對于不支持生存周期協(xié)商的 設(shè)備來說,該設(shè)^(又會忽略協(xié)商消息中的Vendor ID屬性�����,不會影響到標(biāo)準(zhǔn)的 協(xié)商流程��。因此��,本發(fā)明實施例在增加了 Vendor ID屬性以后�����,不會影響到不 同廠商設(shè)備之間的互通����。3) 最后,本發(fā)明實施例中����,IKESA生存周期的協(xié)商是在IKE協(xié)商過程��,更具體的�����,是在IKESA協(xié)商過程中完成的�,在IKE協(xié)商完成之后��,響應(yīng)端不 再向發(fā)起端發(fā)送修改IKE SA生存周期的INFO消息�,從而也就無需在建立IKE SA之后再修改IKESA生存周期,因此�,其流程簡單,實現(xiàn)起來也比較容易���。
圖1為現(xiàn)有技術(shù)中IKE主模式協(xié)商中標(biāo)準(zhǔn)的消息流程圖����; 圖2為Vendor ID屬性載荷的結(jié)構(gòu)圖�����;的流程圖�;圖4為現(xiàn)有技術(shù)中IKE野蠻模式協(xié)商中標(biāo)準(zhǔn)的消息流程圖; 圖5為本發(fā)明實施例所述發(fā)起端設(shè)備的結(jié)構(gòu)示意圖��; 圖6為本發(fā)明實施例所述響應(yīng)端設(shè)備的結(jié)構(gòu)示意圖。
具體實施方式
本發(fā)明的主要思想在于在響應(yīng)端和發(fā)起端的IKE SA生存周期不一致的 情況下��,當(dāng)IKE協(xié)商的響應(yīng)端IKESA生存周期小于發(fā)起端的IKESA生存周 期時��,在IKE協(xié)商過程中傳遞響應(yīng)端IKESA生存周期��,讓發(fā)起端獲知響應(yīng)端 的IKE SA生存周期��,從而在IKE SA協(xié)商的過程中就將發(fā)起端的IKE SA生存 周期協(xié)商成較小的值�����。以下結(jié)合附圖通過具體實施例對本發(fā)明作詳細的說明�����。本發(fā)明實施例中���,預(yù)先在所述發(fā)起端和響應(yīng)端之間相對應(yīng)的接口上配置 IPSec策略,通過流經(jīng)所述發(fā)起端的所述接口的流量,觸發(fā)IKE協(xié)商�����,建立IPSec SA����。具體的��,所述發(fā)起端和響應(yīng)端可以是網(wǎng)關(guān)����、路由器���、交換機等網(wǎng)絡(luò)設(shè)備�����, 還可以是諸如計算機(PC)的終端和服務(wù)器等設(shè)備�。IKE SA協(xié)商包括IKE主模式協(xié)商和IKE野蠻模式協(xié)商兩種方式���。以下以 IKE主沖莫式為例進行說明�。如圖l所示�����,IKE主模式協(xié)商過程中共交換了 6個消息��。其中,第一���、二 個消息用于進行IKE提議和轉(zhuǎn)換協(xié)商��。具體的���,第一個消息中攜帶了發(fā)起端 的IKE SA生存周期,第二個消息是響應(yīng)端對發(fā)起端IKE提議和轉(zhuǎn)發(fā)的選擇�, 并確認(rèn)IKE生存周期。RFC2408, 2409等文件中定義了上述消息的標(biāo)準(zhǔn)格式��,包括一個ISAKMP凈艮頭和若干載荷(ISAKMPPayload)�����。為了能夠在IKE SA中對IKE生存周期進行協(xié)商��,本實施例中預(yù)先定義一 個IKE SA生存周期協(xié)商標(biāo)識���,用于指示發(fā)起端或響應(yīng)端進行IKE SA生存周 期協(xié)商。本實施例中���,在第 一個或第二個消息中的所有ISAKMP載荷(Payload) 后再添加廠商(Vendor) ID屬性載荷����,將所述IKE SA生存周期協(xié)商標(biāo)識攜帶 在Vendor ID屬性中進行傳遞,以保證所添加的內(nèi)容不會引起各廠商設(shè)備之間 的互通問題�。即使某個廠家的產(chǎn)品不支持IKESA生存周期的協(xié)商,在具體的 IKE協(xié)商過程中�,僅會忽略該Vendor ID屬性載荷,而不會導(dǎo)致協(xié)商失敗��。所 述VendorID屬性載荷的結(jié)構(gòu)如圖2所示����,包括下一載荷(NextPayload): 1個字節(jié),取值0x00,表示當(dāng)前已經(jīng)是最后一 個載荷了����;保留字段(RESERVED): 1個字節(jié);載荷長度(Payload Length): 2個字節(jié)�,表示載荷的總長度; 廠商ID (VendorID):長度可變�����,通?���?梢允且欢喂?HASH)值。 本實施例中,利用Vendor ID屬性攜帶所述IKE SA生存周期協(xié)商標(biāo)識�����, 來通知對方進行IKE SA生存周期協(xié)商��,所述IKE SA生存周期協(xié)商標(biāo)識可以 是一預(yù)先設(shè)定的HASH值�,例如預(yù)先定義一個指示進行生存周期協(xié)商的"Life Duration Negociation"的HASH值,來標(biāo)識本Vendor ID屬性是用于指示需要 進行IKE SA生存周期協(xié)商的��。請參照圖3所示����,本實施例所述在IKE協(xié)商過程中協(xié)商IKE SA生存周期 的方法,包括以下步驟步驟31,發(fā)起端發(fā)起IKE協(xié)商���,在IKE協(xié)商的第一階段����,這里是指IKE 主模式協(xié)商過程中��,發(fā)起端向響應(yīng)端發(fā)送第一個消息��,所述第一個消息中攜帶 有所述發(fā)起端的IKE SA生存周期值��,并且還攜滯有用于指示進行IKE SA生 存周期協(xié)商的IKESA生存周期協(xié)商標(biāo)識�����。具體的����,可以在所述第一個消息中 的所有ISAKMP載荷后添加Vendor ID屬性載荷,從而將所述IKE SA生存周 期協(xié)商標(biāo)識攜帶在Vendor ID屬性中.步驟32�����,響應(yīng)端接收到發(fā)起端發(fā)送的第一個消息�,如果響應(yīng)端不支持生 存周期協(xié)商,則響應(yīng)端將忽略攜帶在Vendor ID屬性中的IKE SA生存周期協(xié)商標(biāo)識�,進入步驟36;如果響應(yīng)端支持生存周期協(xié)商,則進入步驟33�。步驟33,響應(yīng)端才艮據(jù)所述第一個消息中的Vendor ID屬性中所攜帶的IKE SA生存周期協(xié)商標(biāo)識,獲知需要進行IKE SA生存周期協(xié)商����。此時,響應(yīng)端 從所述第 一個消息中獲取所述發(fā)起端的IKE SA生存周期值�����,并與自身的IKE SA生存周期值相比較如果響應(yīng)端的IKE SA生存周期小于發(fā)起端的IKE SA 生存周期,則進入步驟34;如果響應(yīng)端的IKESA生存周期大于發(fā)起端的IKE SA生存周期���,則進入步驟36���。步驟34,響應(yīng)端將較小的IKESA生存周期值�����,即自身的IKESA生存周 期值填入第二個消息的轉(zhuǎn)換載荷(Transform Payload )的生存周期(Life Duration)屬性中����,并在第二個消息的最后,即所有ISAKMP載荷后���,添加 Vendor ID屬性載荷����,在Vendor ID屬性中攜帶IKE SA生存周期協(xié)商標(biāo)識��,最 后��,向所述發(fā)起端發(fā)送第二個消息����,進入步驟35。步驟35,所述發(fā)起端接收來自所述響應(yīng)端的第二個消息��,由于該第二個 消息的Vendor ID屬性中攜帶有所述IKE SA生存周期協(xié)商標(biāo)識���,因此����,發(fā)起 端從所述第二個消息的Transform Payload的Life Duration屬性中獲取IKE SA 生存周期值����,并據(jù)此協(xié)商自身的IKESA生存周期。這里��,發(fā)起端可以直接將 自身的IKE SA生存周期協(xié)商為所獲取IKE SA生存周期值�。步驟36,響應(yīng)端按照現(xiàn)有技術(shù)的處理流程進行IKE協(xié)商。具體的可以是�����, 響應(yīng)端向所述發(fā)起端發(fā)送攜帶了發(fā)起端IKE SA生存周期的第二個消息��,用于 確認(rèn)發(fā)起端的IKE SA生存周期��。這樣,通過以上步驟����,在IKE SA協(xié)商過程中對IKE SA生存周期進行協(xié) 商當(dāng)響應(yīng)端的IKE SA生存周期小于發(fā)起端的時,在IKESA協(xié)商過程中就 可以修改發(fā)起端的IKE SA生存周期���,在上述步驟之后����,發(fā)起端和響應(yīng)端之間還可以按照與現(xiàn)有技術(shù)相同的協(xié)商 方式繼續(xù)交互第3至6個消息�,以完成IKESA協(xié)商過程。對于IKE野蠻模式協(xié)商�����,本發(fā)明也能達到同樣的效果�����,其具體的實施方 式與上述IKE主模式協(xié)商中的類似���。如圖4所示����,IKE野蠻模式協(xié)商中只交換 了 3個消息。類似的��,本發(fā)明在IKE野蠻模式協(xié)商中的第一個和第二個消息 中攜帶所述IKE生存周期協(xié)商標(biāo)識��。在響應(yīng)端的IKE SA生存周期小于發(fā)起端的時���,在第二個消息中填入較小的IKESA生存周期值,發(fā)起端根據(jù)第二個消 息中的IKE SA生存周期值���,來協(xié)商自身的IKE SA生存周期���。實施例所述方法不會導(dǎo)致不同廠商之間的設(shè)備互通問題。例如�����,在發(fā)起端設(shè)備不支持IKESA生存周期協(xié)商時�,發(fā)起端在第一個消 息中不會攜帶IKESA生存周期協(xié)商標(biāo)識,響應(yīng)端在接收到的第一個消息中未 發(fā)現(xiàn)要求進行IKE SA生存周期協(xié)商的標(biāo)識���,則按照現(xiàn)有技術(shù)的協(xié)商方式進行 處理�,在第二個消息中不加入VendorID屬性����,并在Life Duration屬性中填入 發(fā)起端的IKE SA生存周期����,對發(fā)起端的IKE SA生存周期進行確認(rèn)���。在IKE SA/IPsec SA協(xié)商完成后��,如果響應(yīng)端的IKE SA生存周期小于發(fā)起端的���,則 響應(yīng)端還將發(fā)送INFO消息通知發(fā)起端本端的IKE SA生存周期;發(fā)起端在接 收到INFO消息后修改自身的IKE SA生存周期���。在響應(yīng)端設(shè)備不支持IKE SA生存周期協(xié)商時����,發(fā)起端在第一個消息中的 Vendor ID屬性中攜帶有IKE SA生存周期協(xié)商標(biāo)識�。Vendor ID屬性在RFC2408 中規(guī)定為可以傳遞廠商的新增特性。如果響應(yīng)端不支持該屬性����,#^忽略該屬 性,因而不進行IKE SA生存周期的協(xié)商。在IKE SA/IPsec SA協(xié)商完成后����, 響應(yīng)端可以通過發(fā)送INTFO消息通知發(fā)起端本端的IKE SA生存周期。從以上所述可以看出�����,本發(fā)明實施例中所述方法�,通過在第一個和第二個 消息中攜帶了指示IKE SA生存周期協(xié)商的標(biāo)識����,發(fā)起端和響應(yīng)端得以在IKE SA協(xié)商過程中對IKE SA生存周期進行協(xié)商,保證了發(fā)起端采用較小的IKE SA生存周期��,避免了現(xiàn)有技術(shù)中在響應(yīng)端的IKE SA生存周期小于發(fā)起端的 時��,由于響應(yīng)端IKESA超時而導(dǎo)致的通訊中斷問題��;同時��,用于指示IKESA 生存周期協(xié)商的標(biāo)識是攜帶在Vendor ID屬性中��,通過Vendor ID屬性進行傳 遞���,不會影響到不同廠商設(shè)備之間的互通�;最后,本發(fā)明實施例中�,IKE SA 生存周期的協(xié)商是在IKESA協(xié)商過程中完成的,在IKE協(xié)商完成之后��,響應(yīng) 端不再向發(fā)起端發(fā)送修改IKE SA生存周期的INFO消息���,無需在建立IKE SA 之后再修改IKESA生存周期�����,因此��,其流程簡單����,實現(xiàn)起來也比較容易��?;谏鲜鲈贗KE協(xié)商過程中協(xié)商IKE SA生存周期的方法,本發(fā)明還相應(yīng) 地提供了 一種發(fā)起端設(shè)備和響應(yīng)端設(shè)備�����。所述發(fā)起端設(shè)備和響應(yīng)端設(shè)備具體的可以是網(wǎng)關(guān)、路由器�、交換機等網(wǎng)絡(luò)設(shè)備,還可以是諸如計算機(PC)的終 端和服務(wù)器等設(shè)備��。請參照圖5�����,本發(fā)明實施例所述發(fā)起端設(shè)備500����,包括發(fā)送單元51,用于向IKE協(xié)商的響應(yīng)端發(fā)送攜帶有IKE SA生存周期協(xié)商 標(biāo)識的第一消息�,所述第一消息中還攜帶有本發(fā)起端的IKE SA生存周期值;接收單元52����,用于接收來自所述響應(yīng)端的攜帶有所述IKE SA生存周期協(xié) 商標(biāo)識的響應(yīng)消息;生存周期協(xié)商單元53,用于根據(jù)所述接收單元52接收到的所述響應(yīng)消息���, 獲取其中的IKE SA生存周期值����,并據(jù)此協(xié)商本發(fā)起端的IKE SA生存周期���。 這里�����,所述生存周期協(xié)商單元53,可以直接將本發(fā)起端的IKESA生存周期協(xié) 商為從所述響應(yīng)消息中獲取IKE SA生存周期值�。這里,所述發(fā)送單元51�����,還可以進一步用于將所述IKESA生存周期協(xié)商 標(biāo)識攜帶在所述第一消息中的廠商ID屬性中進行發(fā)送����。其中,所述第一消息 可以是IKE主才莫式協(xié)商或IKE野蠻模式協(xié)商過程中的第一個消息��。請參照圖6�����,本發(fā)明實施例所述響應(yīng)端設(shè)備600,包括接收單元61 ����,用于接收來自IKE協(xié)商的發(fā)起端的攜帶有IKE SA生存周期 協(xié)商標(biāo)識的第 一消息,并從中獲取所述發(fā)起端的IKE SA生存周期值�;生存周期比較單元62,用于根據(jù)所述接收單元61獲取所述發(fā)起端的IKE SA生存周期值����,比較本響應(yīng)端和所述發(fā)起端的IKE SA生存周期值的大?����?�;發(fā)送單元63,用于在本響應(yīng)端的IKE SA生存周期值小于所述發(fā)起端的 IKE SA生存周期值時����,向所述發(fā)起端發(fā)送攜帶有所述IKE SA生存周期協(xié)商 標(biāo)識的響應(yīng)消息,且所述響應(yīng)消息中還攜帶有本響應(yīng)端的IKE SA生存周期值��; 在本響應(yīng)端的IKE SA生存周期值大于所述發(fā)起端的IKE SA生存周期值時��, 向所述發(fā)起端發(fā)送攜帶有所述發(fā)起端的IKE SA生存周期值的響應(yīng)消息��,此時����, 該響應(yīng)消息中不攜帶所述IKE SA生存周期協(xié)商標(biāo)識�。這里,所述發(fā)送單元63�����,還可以進一步用于將所述IKESA生存周期協(xié)商 標(biāo)識攜帶在所述響應(yīng)消息中的廠商ID屬性中進行發(fā)送.這里,所述發(fā)送單元 63,還可以進一步用于將本響應(yīng)端的IKE SA生存周期值攜帶在所述響應(yīng)消息 中的生存周期中進行發(fā)送���。具體的����,所述響應(yīng)消息可以是IKE主模式協(xié)商或IKE野蠻模式協(xié)商過程中的第二個消息��。綜上所述�����,本發(fā)明實施例所述在IKE協(xié)商過程中協(xié)商IKE SA生存周期的 方法及設(shè)備�����,通過在Vendor ID屬性中使用IKE SA生存周期協(xié)商標(biāo)識�����,指示 對端進行IKESA生存周期協(xié)商���,從而在IKE協(xié)商過程中����,實現(xiàn)了IKESA生 存周期的協(xié)商,將發(fā)起端的IKE SA生存周期協(xié)商成較小的值�。僅僅限于說明書和實施方式中所列運用,它完全可以被適用于各種適合本發(fā)明 之領(lǐng)域�,對于熟悉本領(lǐng)域的人員而言可容易地實現(xiàn)另外的優(yōu)點和進行修改,因 此在不背離權(quán)利要求及等同范圍所限定的一般概念的精神和范圍的情況下���,本 發(fā)明并不限于特定的細節(jié)���、代表性的設(shè)備和這里示出與描述的圖示示例。
權(quán)利要求
1.一種在因特網(wǎng)密鑰交換IKE協(xié)商過程中協(xié)商IKE安全聯(lián)盟SA生存周期的方法���,其特征在于��,包括IKE協(xié)商的發(fā)起端�����,向響應(yīng)端發(fā)送攜帶有IKE SA生存周期協(xié)商標(biāo)識的第一消息,且在所述第一消息中還攜帶有所述發(fā)起端的IKE SA生存周期值�;所述發(fā)起端接收來自所述響應(yīng)端的攜帶有所述IKE SA生存周期協(xié)商標(biāo)識的響應(yīng)消息,獲取所述響應(yīng)消息中的IKE SA生存周期值�,并據(jù)此協(xié)商自身的IKE SA生存周期����。
2. 如權(quán)利要求l所述的方法�����,其特征在于����,所述據(jù)此協(xié)商自身的IKESA 生存周期是將自身的IKE SA生存周期協(xié)商為所述響應(yīng)消息中的IKE SA生 存周期值。
3. 如權(quán)利要求l所述的方法����,其特征在于,所述IKESA生存周期協(xié)商標(biāo) 識攜帶在所述第一消息或所述響應(yīng)消息中的廠商ID屬性中��。
4. 如權(quán)利要求3所述的方法�,其特征在于,所述第t"消息是IKE主模式協(xié)商過程中的第一個消息��,所述響應(yīng)消息是 IKE主模式協(xié)商過程中的第二個消息�;或者,所述第一消息是IKE野蠻模式協(xié)商過程中的第一個消息�,所述響 應(yīng)消息是IKE野蠻模式協(xié)商過程中的第二個消息。
5. —種在IKE協(xié)商過程中協(xié)商IKESA生存周期的方法,其特征在于���,包括IKE協(xié)商的響應(yīng)端�,接收來自發(fā)起端的攜帶有IKE SA生存周期協(xié)商標(biāo)識 的第一消息�����,并從中獲取所述發(fā)起端的IKE SA生存周期值�����;響應(yīng)端比較本響應(yīng)端和所述發(fā)起端的IKESA生存周期值�,在本響應(yīng)端的 IKE SA生存周期值小于所述發(fā)起端的IKE SA生存周期值時,向所述發(fā)起端 發(fā)送攜帶有所述IKE SA生存周期協(xié)商標(biāo)識的響應(yīng)消息�����,且在所述響應(yīng)消息中 還攜帶有本響應(yīng)端的IKE SA生存周期值�。
6. 如權(quán)利要求5所述的方法,其特征在于��,在本響應(yīng)端的IKESA生存周 期值大于所述發(fā)起端的IKE SA生存周期值時�����,響應(yīng)端向所述發(fā)起端發(fā)送攜帶有所述發(fā)起端的IKE SA生存周期值的響應(yīng)消息�。
7. 如權(quán)利要求5所述的方法,其特征在于���,所述IKESA生存周期協(xié)商標(biāo) 識攜帶在所述第一消息或所述響應(yīng)消息中的廠商ID屬性中.
8. 如權(quán)利要求5所述的方法��,其特征在于����,所述本響應(yīng)端的IKESA生存 周期值攜帶在所述響應(yīng)消息中的生存周期屬性中���。
9. 如權(quán)利要求5至8任一項所述的方法���,其特征在于, 所述第一消息是IKE主才莫式協(xié)商過程中的第一個消息����,所述響應(yīng)消息是IKE主模式協(xié)商過程中的第二個消息;或者��,所述第一消息是IKE野蠻模式協(xié)商過程中的第一個消息�����,所述響 應(yīng)消息是IKE野蠻模式協(xié)商過程中的第二個消息。
10. —種IKE協(xié)商過程中的發(fā)起端設(shè)備����,其特征在于,包括 發(fā)送單元���,用于向IKE協(xié)商的響應(yīng)端發(fā)送攜帶有IKE SA生存周期協(xié)商標(biāo)識的第一消息����,所述第一消息中還攜帶有本發(fā)起端的IKE SA生存周期值��;接收單元����,用于接收來自所述響應(yīng)端的攜帶有所述IKE SA生存周期協(xié)商 標(biāo)識的響應(yīng)消息;生存周期協(xié)商單元�����,用于根據(jù)所述接收單元接收到的所述響應(yīng)消息�����,獲取 其中的IKE SA生存周期值�,并據(jù)此協(xié)商本發(fā)起端的IKE SA生存周期��。
11. 如權(quán)利要求IO所述的發(fā)起端設(shè)備����,其特征在于��, 所述生存周期協(xié)商單元�,進一步用于將本發(fā)起端的IKE SA生存周期協(xié)商為從所述響應(yīng)消息中獲取的IKE SA生存周期值�����;所述發(fā)送單元�,進一步用于將所述IKE SA生存周期協(xié)商標(biāo)識攜帶在所述 第一消息中的廠商ID屬性中進行發(fā)送。
12. 如權(quán)利要求10所述的發(fā)起端設(shè)備����,其特征在于,所述第一消息是IKE 主模式協(xié)商或IKE野蠻模式協(xié)商過程中的第一個消息��。
13. —種IKE協(xié)商過程中的響應(yīng)端設(shè)備���,其特征在于���,包括 接收單元�,用于接收來自IKE協(xié)商的發(fā)起端的攜帶有IKESA生存周期協(xié)商標(biāo)識的第一消息�,并從中獲取所述發(fā)起端的IKE SA生存周期值;生存周期比較單元����,用于比較本響應(yīng)端和所述發(fā)起端的IKE SA生存周期 值的大小����;發(fā)送單元,用于在本響應(yīng)端的IKE SA生存周期值小于所述發(fā)起端的IKE SA生存周期值時�,向所述發(fā)起端發(fā)送攜帶有所述IKE SA生存周期協(xié)商標(biāo)識 的響應(yīng)消息,且所述響應(yīng)消息中還攜帶有本響應(yīng)端的IKE SA生存周期值�。
14. 如權(quán)利要求13所述的響應(yīng)端設(shè)備,其特征在于���, 所述發(fā)送單元�����,進一步用于在本響應(yīng)端的IKE SA生存周期值大于所述發(fā)起端的IKE SA生存周期值時�,向所述發(fā)起端發(fā)送攜帶有所述發(fā)起端的IKE SA 生存周期值的響應(yīng)消息��。
15. 如權(quán)利要求13所述的響應(yīng)端設(shè)備���,其特征在于�����, 所述發(fā)送單元�,進一步用于將所述IKE SA生存周期協(xié)商標(biāo)識攜帶在所述響應(yīng)消息中的廠商ID屬性中進行發(fā)送。
16. 如權(quán)利要求13所述的響應(yīng)端設(shè)備�,其特征在于�����, 所述發(fā)送單元�,進一步用于將本響應(yīng)端的IKE SA生存周期值攜帶在所述響應(yīng)消息中的生存周期中進行發(fā)送.
17. 如權(quán)利要求13至16任一項所述的響應(yīng)端設(shè)備,其特征在于���,所述響 應(yīng)消息是IKE主模式協(xié)商或IKE野蠻模式協(xié)商過程中的第二個消息��。
全文摘要
本發(fā)明提供了協(xié)商因特網(wǎng)密鑰交換安全聯(lián)盟生存周期的方法及設(shè)備�����,所述方法在IKE SA協(xié)商過程中�,利用IKE SA生存周期協(xié)商標(biāo)識�,指示發(fā)起端和響應(yīng)端進行IKE SA生存周期協(xié)商�����,從而在IKE協(xié)商的過程中�����,即可將IKE SA生存周期協(xié)商成較小的值����。
文檔編號H04L29/06GK101227485SQ200810057680
公開日2008年7月23日 申請日期2008年2月4日 優(yōu)先權(quán)日2008年2月4日
發(fā)明者李紅霞 申請人:杭州華三通信技術(shù)有限公司