[发明专利]一种IKE协商方法

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种IKE协商方法。

背景技术

因特网协议安全（IPSec）是一种由IETF（Internet Engineering Task Force）设计的端到端的确保因特网IP层通信安全的机制，包括网络认证协议（AH）、封装安全载荷协议（ESP）、密钥交换协议（IKE）和用于网络认证及加密的一些算法等。其中，IKE为IPSec提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPSec的使用、管理、配置和维护工作。

IKE协商通常需要进行ike sa（security association）协商阶段的配置、预共享密钥配置、以及ipsec sa协商阶段的配置。其中ike sa协商阶段的配置包括：加密方法、认证方法、精确转发保密（PFS）协商方法、Diffie-Hellman（DH）组、ike sa超时时间等，而ipsec sa协商阶段的配置包括加密方法、认证方法、ipsec sa超时时间、流量超时、流保护配置等。

以上各种配置必须保证IPSec隧道两端完全相同（其中流保护配置必需保证两端对称），才能协商通过，而且配置后若有修改，必须两端同时进行修改，使得IKE协商过程复杂。

发明内容

（一）要解决的技术问题

本发明主要解决现有技术中IKE协商时IPSec隧道两端配置复杂、维护成本高的技术问题。

（二）技术方案

本发明提供了一种IKE协商方法，包括以下步骤：

A、发送端向网关发送协商报文，所述协商报文未携带配置信息；

B、所述网关将配置信息设置在所述协商报文中，然后将携带所述配置信息的协商报文转发给接收端；

C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后，直接接受所述配置信息，并使用所述配置信息对所述发送端进行回应。

其中，所述发送端和接收端为带IPSec隧道功能的网络设备。

其中，所述网关将配置信息设置在所述协商报文中具体包括：

所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。

可选的，所述网关具有动态监测网络安全的功能，所述网关将配置信息设置在所述协商报文中具体包括：

所述网关根据网络安全状况将配置信息设置在所述协商报文中。

（三）有益效果

本发明提供了一种IKE协商方法，该方法通过网关来设置配置信息，使IPSec隧道两端实现缺省配置，简化维护成本。而且，网关能够根据网络安全情况动态修改配置信息，以确保协商的安全性。

附图说明

图1是本发明方法的流程图；

图2是本发明中网络系统的结构框图；

图3是本发明实施例的流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1是本发明方法的流程图，包括以下步骤：

A、发送端向网关发送协商报文，所述协商报文未携带配置信息；

B、所述网关将配置信息设置在所述协商报文中，然后将携带所述配置信息的协商报文转发给接收端；

C、所述接收端接收到所述网关转发来的携带所述配置信息的协商报文后，直接接受所述配置信息，并使用所述配置信息对所述发送端进行回应。

其中，所述发送端和接收端为带IPSec隧道功能的网络设备。

其中，所述网关将配置信息设置在所述协商报文中具体包括：

所述网关通过人工或者自动的方式将配置信息设置在所述协商报文中。

可选的，所述网关具有动态监测网络安全的功能，所述网关将配置信息设置在所述协商报文中具体包括：

所述网关根据网络安全状况将配置信息设置在所述协商报文中。

图2是本发明实施例中网络系统的结构框图，FWa设备和FWb设备为带IPSec隧道功能的网络设备，NAT设备为安全网关（可带动态监测网络安全的功能）。

图3是本发明实施例的流程图，具体实施步骤如下：

步骤S1，FWa设备与FWb设备建立IPSec隧道，进行IKE协商。

步骤S2，FWa设备作为主动发起协商的设备，向NAT设备发送协商报文，该协商报文中未携带配置信息（正常情况下IKE协商报文中会携带配置信息）。