国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種ike報(bào)文的協(xié)商方法和設(shè)備的制作方法

      文檔序號(hào):7895819閱讀:505來源:國知局
      專利名稱:一種ike報(bào)文的協(xié)商方法和設(shè)備的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種IKE報(bào)文的協(xié)商方法和設(shè)備。
      技術(shù)背景
      在IPsec (IP Security, IP通信安全協(xié)議)發(fā)送一個(gè)數(shù)據(jù)包之前,需要先建立一個(gè) SA (Security Association,安全聯(lián)盟)。IKE (Internet Key Exchange,互聯(lián)網(wǎng)密鑰交換)是 一種混合型協(xié)議,用于動(dòng)態(tài)建立SA。其中,IKE是一種密鑰交換以及管理協(xié)議,用于 為 IPsec 提供密鑰服務(wù),建立在一個(gè)由 SA 和 ISAKMP (Internet SecurityAssociation and Key Mamigement Protocal,互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議)定義的框架之上。同時(shí),IKE 還實(shí)現(xiàn)了兩種密鑰管理技術(shù)Oakley和SKEME的一部分功能。IKE沿用了 ISAKMP的基 礎(chǔ)、Oakley的模式以及SKEME的共享和密鑰更新技術(shù),從而定義出了驗(yàn)證加密材料生成 技術(shù),以及協(xié)商共享策略。其中,Oakley定義模式,ISAKMP定義協(xié)商的階段。
      IKE協(xié)商有兩個(gè)階段,在第一階段,IKE協(xié)商創(chuàng)建一個(gè)IKE SA,并對(duì)該IKE SA進(jìn)行認(rèn)證,為通信雙方的進(jìn)一步IKE通信提供機(jī)密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服 務(wù);在第二階段,使用已建立的1尺£3人協(xié)商創(chuàng)建一個(gè)位%(^人。其中,每一個(gè)階段的協(xié) 商過程又可以由不同的模式實(shí)現(xiàn),如,第一階段可以由主模式或者野蠻模式實(shí)現(xiàn)協(xié)商, 第二階段由快速模式實(shí)現(xiàn)協(xié)商。
      請(qǐng)參閱圖1,其為由主模式實(shí)現(xiàn)第一階段協(xié)商的協(xié)商過程示意圖。如圖1所示, 協(xié)商發(fā)起者和協(xié)商響應(yīng)者之間通過交互收發(fā)6個(gè)協(xié)商報(bào)文完成第一階段的協(xié)商。前四個(gè) 協(xié)商報(bào)文明文交換,后兩個(gè)協(xié)商報(bào)文加密交換。除了主模式之外,還可以由野蠻模式實(shí) 現(xiàn)第一階段的協(xié)商。請(qǐng)參閱圖2,其為由野蠻模式實(shí)現(xiàn)第一階段協(xié)商的協(xié)商過程示意圖。 如圖2所示,協(xié)商發(fā)起者和協(xié)商響應(yīng)者之間通過交互收發(fā)3個(gè)協(xié)商報(bào)文即可完成第一階段 的協(xié)商。當(dāng)完成第一階段的協(xié)商后,進(jìn)入第二階段的協(xié)商。請(qǐng)參閱圖3,其為由快速模 式實(shí)現(xiàn)第二階段協(xié)商的協(xié)商過程示意圖。如圖3所示,協(xié)商發(fā)起者和協(xié)商響應(yīng)者之間通 過交互3個(gè)協(xié)商報(bào)文完成第二階段的協(xié)商。
      但是,發(fā)明人在研究中發(fā)現(xiàn),在各個(gè)協(xié)商過程中,由于網(wǎng)絡(luò)的不穩(wěn)定,如網(wǎng)絡(luò) 發(fā)生故障或者擁塞,使各個(gè)協(xié)商過程的最后一個(gè)協(xié)商報(bào)文在傳輸中容易丟失,從而導(dǎo)致 協(xié)商雙方中的一方完成協(xié)商,而另一方?jīng)]有完成協(xié)商。在第一階段,當(dāng)協(xié)商雙方中的一 方出現(xiàn)協(xié)商失敗后,VPN(Virtual PrivateNetwork,虛擬專用網(wǎng))網(wǎng)絡(luò)在IKE超時(shí)老化前不 可用。在第二階段,當(dāng)協(xié)商雙方中的協(xié)商響應(yīng)者出現(xiàn)協(xié)商失敗后,協(xié)商響應(yīng)者在接收到 協(xié)商發(fā)起者發(fā)送的報(bào)文后,由于不能解密會(huì)將接收到的報(bào)文全部丟掉。同時(shí),由于協(xié)商 發(fā)起者繼續(xù)向無效的響應(yīng)者的SA(securityAssociation,安全聯(lián)盟)發(fā)送數(shù)據(jù)包,從而浪費(fèi) 了帶寬并使這些數(shù)據(jù)包掉入黑洞。發(fā)明內(nèi)容
      為了解決上述技術(shù)問題,本發(fā)明實(shí)施例提供了一種IKE報(bào)文的協(xié)商方法和設(shè)4備,以保證第一階段和第二階段的協(xié)商能夠成功,提高IKE協(xié)商的質(zhì)量。
      本發(fā)明實(shí)施例公開了如下技術(shù)方案
      一種IKE報(bào)文的協(xié)商方法,包括發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文;判 斷是否接收到對(duì)端響應(yīng)報(bào)文;當(dāng)接收到所述對(duì)端響應(yīng)報(bào)文時(shí),建立安全聯(lián)盟SA,否則, 重新發(fā)送所述最后一個(gè)協(xié)商報(bào)文。
      一種實(shí)現(xiàn)IKE報(bào)文協(xié)商的設(shè)備,包括發(fā)送單元,用于發(fā)送自身需要發(fā)送的最 后一個(gè)協(xié)商報(bào)文;判斷單元,用于判斷是否接收到對(duì)端響應(yīng)報(bào)文;協(xié)商單元,用于當(dāng)接 收到所述對(duì)端響應(yīng)報(bào)文時(shí),建立安全聯(lián)盟SA;重發(fā)單元,用于當(dāng)沒有接收到所述對(duì)端響 應(yīng)報(bào)文時(shí),重新發(fā)送所述最后一個(gè)協(xié)商報(bào)文。
      由上述實(shí)施例可以看出,在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,判斷是 否接收到對(duì)端響應(yīng)報(bào)文,如果接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商成功,建立安全聯(lián)盟,如 果沒有接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商沒有成功,重新發(fā)送最后一個(gè)協(xié)商報(bào)文,由此提 高了 IKE協(xié)商的質(zhì)量。同時(shí),防止當(dāng)一方協(xié)商成功另一方失敗時(shí),協(xié)商成功的一方向協(xié) 商失敗的一方發(fā)送加密報(bào)文因落入黑洞而浪費(fèi)帶寬。


      為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或 現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅 是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提 下,還可以根據(jù)這些附圖獲得其他的附圖。
      圖1為由主模式實(shí)現(xiàn)第一階段協(xié)商的協(xié)商過程示意圖2為由野蠻模式實(shí)現(xiàn)第一階段協(xié)商的協(xié)商過程示意圖3為由快速模式實(shí)現(xiàn)第二階段協(xié)商的協(xié)商過程示意圖4為一種IKE報(bào)文的協(xié)商方法的一個(gè)實(shí)施例的流程圖5為一種IKE報(bào)文的協(xié)商方法的另一個(gè)實(shí)施例的流程圖6為一種IKE報(bào)文的協(xié)商方法的另一個(gè)實(shí)施例的流程圖7為網(wǎng)絡(luò)故障下由野蠻模式實(shí)現(xiàn)第一階段IKE報(bào)文的協(xié)商過程的一個(gè)示意 圖8為一種IKE報(bào)文的協(xié)商方法的另一個(gè)實(shí)施例的流程圖9為一種發(fā)送協(xié)商過程最后一個(gè)協(xié)商報(bào)文的方法流程圖10為一種實(shí)現(xiàn)IKE報(bào)文協(xié)商的設(shè)備的一個(gè)實(shí)施例的結(jié)構(gòu)圖。
      具體實(shí)施方式
      為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā) 明實(shí)施例進(jìn)行詳細(xì)描述。
      實(shí)施例一
      請(qǐng)參閱圖4,其為本申請(qǐng)一種IKE報(bào)文的協(xié)商方法的一個(gè)實(shí)施例的流程圖。包 括以下步驟
      步驟401 發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文;
      步驟402:判斷是否接收到對(duì)端響應(yīng)報(bào)文,如果是,進(jìn)入步驟403,否則,進(jìn)入 步驟404 ;
      其中,所述是否接收到對(duì)端響應(yīng)報(bào)文具體為判斷是否在預(yù)置時(shí)間內(nèi)接收到對(duì) 端響應(yīng)報(bào)文,如果是,判定接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定未接收到所述對(duì)端響 應(yīng)報(bào)文。或者,在野蠻模式下,判斷下一階段的第一個(gè)協(xié)商報(bào)文是否在所述對(duì)端響應(yīng)報(bào) 文之前到達(dá),如果是,判定未接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定接收到所述對(duì)端響 應(yīng)報(bào)文。
      或者,
      在野蠻模式下,判斷預(yù)置時(shí)間或者下一階段的第一個(gè)協(xié)商報(bào)文是否在對(duì)端響應(yīng) 報(bào)文之前到達(dá),如果是,判定未接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定接收到所述對(duì)端 響應(yīng)報(bào)文。
      所述預(yù)置時(shí)間可以為timesX2+5s,其中,times為重傳所述最后一個(gè)協(xié)商報(bào)文的次數(shù)。
      需要說明的是,本申請(qǐng)實(shí)施例對(duì)預(yù)置時(shí)間并不進(jìn)行限定,除了采用上述數(shù)值之 外,還可以根據(jù)用戶的應(yīng)用需求進(jìn)行任意設(shè)定。
      步驟403:當(dāng)接收到所述對(duì)端響應(yīng)報(bào)文時(shí),建立安全聯(lián)盟SA;
      步驟404:當(dāng)沒有接收到所述對(duì)端響應(yīng)報(bào)文時(shí),重新發(fā)送所述最后一個(gè)協(xié)商報(bào)文。
      其中,所述重新發(fā)送所述最后一個(gè)協(xié)商報(bào)文具體為調(diào)取所述最后一個(gè)協(xié)商報(bào) 文,并發(fā)送調(diào)取的所述最后一個(gè)協(xié)商報(bào)文;
      或者,
      在主模式下,重新發(fā)起協(xié)商過程,在所述重新發(fā)起的協(xié)商過程中發(fā)送所述最后 一個(gè)協(xié)商報(bào)文。
      在本申請(qǐng)實(shí)施例中,還可以設(shè)定報(bào)文的生命周期。當(dāng)報(bào)文的生命周期到達(dá)時(shí), 各個(gè)執(zhí)行主體不再發(fā)送該報(bào)文。例如,在主模式中,當(dāng)主模式協(xié)商報(bào)文(6)的生命周期 到達(dá)時(shí),即使協(xié)商響應(yīng)者重新收到主模式協(xié)商報(bào)文(5),也不會(huì)重新向協(xié)商發(fā)起者發(fā)送主 模式協(xié)商報(bào)文(6)。
      報(bào)文的生命周期第一階段可以為60s,在第二階段可以為50s。需要說明的是, 本申請(qǐng)實(shí)施例對(duì)生命周期并不進(jìn)行限定,除了采用上述數(shù)值之外,還可以根據(jù)用戶的應(yīng) 用需求進(jìn)行任意設(shè)定。
      由上述實(shí)施可以看出,在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,判斷是否 接收到對(duì)端響應(yīng)報(bào)文,如果接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商成功,建立安全聯(lián)盟,如果 沒有接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商沒有成功,重新發(fā)送最后一個(gè)協(xié)商報(bào)文。由此提高 了 IKE協(xié)商的質(zhì)量。同時(shí),防止當(dāng)一方協(xié)商成功另一方失敗時(shí),協(xié)商成功的一方向協(xié)商 失敗的一方發(fā)送加密報(bào)文因落入黑洞而浪費(fèi)帶寬。
      實(shí)施例二
      在本實(shí)施例中,以判斷是否在預(yù)置時(shí)間內(nèi)接收到對(duì)端響應(yīng)報(bào)文為例,說明報(bào)文 的協(xié)商方法。請(qǐng)參閱圖5,其為本申請(qǐng)一種IKE報(bào)文的協(xié)商方法的另一個(gè)實(shí)施例的流程 圖。包括以下步驟
      步驟501 當(dāng)協(xié)商一方在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后的預(yù)置時(shí)間 內(nèi),沒有接收到協(xié)商對(duì)端發(fā)送的協(xié)商響應(yīng)報(bào)文時(shí),重新向協(xié)商對(duì)方發(fā)送自身需要發(fā)送的 最后一個(gè)協(xié)商報(bào)文;
      例如,在第一階段,當(dāng)由主模式實(shí)現(xiàn)第一階段的協(xié)商時(shí),由協(xié)商發(fā)起者向協(xié)商 響應(yīng)者發(fā)送其應(yīng)該發(fā)送的最后一個(gè)協(xié)商報(bào)文,即主模式協(xié)商報(bào)文(5),再由協(xié)商響應(yīng)者向 協(xié)商發(fā)起者發(fā)送應(yīng)答協(xié)商報(bào)文,即主模式協(xié)商報(bào)文(6)。
      當(dāng)由野蠻模式實(shí)現(xiàn)第一階段的協(xié)商時(shí),由協(xié)商響應(yīng)者向協(xié)商發(fā)起者發(fā)送其應(yīng)該 發(fā)送的最后一個(gè)協(xié)商報(bào)文,即野蠻式協(xié)商報(bào)文O),再由協(xié)商發(fā)起者向協(xié)商響應(yīng)者發(fā)送應(yīng) 答協(xié)商報(bào)文,即野蠻模式協(xié)商報(bào)文(3)。
      在第二階段,當(dāng)由快速模式實(shí)現(xiàn)第二階段的協(xié)商時(shí),由協(xié)商響應(yīng)者向協(xié)商發(fā)起 者發(fā)送其應(yīng)該發(fā)送的最后一個(gè)協(xié)商報(bào)文,即快速模式協(xié)商報(bào)文O),再由協(xié)商發(fā)起者向協(xié) 商響應(yīng)者發(fā)送應(yīng)答協(xié)商報(bào)文,即快速模式協(xié)商報(bào)文(3)。
      當(dāng)由主模式實(shí)現(xiàn)第一階段的協(xié)商時(shí),如果協(xié)商發(fā)起者在發(fā)送主模式協(xié)商報(bào)文(5) 后的預(yù)置時(shí)間內(nèi),沒有接收到主模式協(xié)商報(bào)文(6),就會(huì)重新向協(xié)商響應(yīng)者發(fā)送主模式協(xié) 商報(bào)文(5)。
      當(dāng)由野蠻模式實(shí)現(xiàn)第一階段的協(xié)商時(shí),如果協(xié)商響應(yīng)者在發(fā)送野蠻模式協(xié)商報(bào) 文(2)后的預(yù)置時(shí)間內(nèi),沒有接收到野蠻模式協(xié)商報(bào)文(3),就會(huì)重新向協(xié)商發(fā)起者發(fā)送 野蠻模式協(xié)商報(bào)文(2)。
      當(dāng)由快速模式實(shí)現(xiàn)第二階段的協(xié)商時(shí),如果協(xié)商響應(yīng)者在發(fā)送快速模式協(xié)商報(bào) 文(2)后的預(yù)置時(shí)間內(nèi),沒有接收到快速模式協(xié)商報(bào)文(3),就會(huì)重新向協(xié)商發(fā)起者發(fā)送 快速模式協(xié)商報(bào)文(2)。
      所述預(yù)置時(shí)間可以為timesX2+5s,其中,times為重傳所述最后一個(gè)協(xié)商報(bào)文的次數(shù)。
      需要說明的是,本申請(qǐng)實(shí)施例對(duì)預(yù)置時(shí)間并不進(jìn)行限定,除了采用上述數(shù)值之 外,還可以根據(jù)用戶的應(yīng)用需求進(jìn)行任意設(shè)定。
      另外,在本申請(qǐng)實(shí)施例中,當(dāng)報(bào)文的生命周期到達(dá)時(shí),各個(gè)執(zhí)行主體不再發(fā)送 該報(bào)文。例如,在主模式中,當(dāng)主模式協(xié)商報(bào)文(6)的生命周期到達(dá)時(shí),即使協(xié)商響應(yīng) 者重新收到主模式協(xié)商報(bào)文(5),也不會(huì)重新向協(xié)商發(fā)起者發(fā)送主模式協(xié)商報(bào)文(6)。報(bào) 文的生命周期第一階段可以為60s,在第二階段可以為50s。需要說明的是,本申請(qǐng)實(shí)施 例對(duì)生命周期并不進(jìn)行限定,除了采用上述數(shù)值之外,還可以根據(jù)用戶的應(yīng)用需求進(jìn)行 任意設(shè)定。
      還需要說明的是,在主模式下,當(dāng)協(xié)商發(fā)起者在預(yù)置時(shí)間內(nèi)沒有協(xié)商響應(yīng)者發(fā) 送的協(xié)商響應(yīng)報(bào)文時(shí),除了重新發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文之外,也可以通 過重新發(fā)起協(xié)商,再重新發(fā)起的協(xié)商過程,再次向協(xié)商響應(yīng)者發(fā)送自身需要發(fā)送的最后 一個(gè)協(xié)商報(bào)文。
      步驟502 當(dāng)協(xié)商一方在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后的預(yù)置時(shí)間 內(nèi),接收到協(xié)商對(duì)端發(fā)送的協(xié)商響應(yīng)報(bào)文時(shí),建立安全聯(lián)盟。
      由上述實(shí)施例可以看出,在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,判斷是 否在預(yù)置時(shí)間內(nèi)接收到對(duì)端響應(yīng)報(bào)文,如果在預(yù)置時(shí)間內(nèi)接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商成功,建立安全聯(lián)盟,如果沒有在預(yù)置時(shí)間內(nèi)接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商沒有成 功,重新發(fā)送最后一個(gè)協(xié)商報(bào)文,由此提高了 IKE協(xié)商的質(zhì)量。同時(shí),防止當(dāng)一方協(xié)商 成功另一方失敗時(shí),協(xié)商成功的一方向協(xié)商失敗的一方發(fā)送加密報(bào)文因落入黑洞而浪費(fèi) 帶寬。
      實(shí)施例三
      本實(shí)施例提供了另一種IKE報(bào)文的協(xié)商方法。本實(shí)施例的IKE報(bào)文協(xié)商方法僅 適用于野蠻模式。請(qǐng)參閱圖6,其為一種IKE報(bào)文的協(xié)商方法的另一個(gè)實(shí)施例的流程圖。 該方法包括以下步驟
      步驟601:在野蠻模式下,當(dāng)協(xié)商響應(yīng)者發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào) 文后,如果在接收到協(xié)商發(fā)起者發(fā)送的協(xié)商響應(yīng)報(bào)文之前接收到了第二階段的第一個(gè)協(xié) 商報(bào)文,重新發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文;
      例如,請(qǐng)參閱圖7,其為網(wǎng)絡(luò)故障下由野蠻模式實(shí)現(xiàn)第一階段IKE報(bào)文的協(xié)商過 程的一個(gè)示意圖。如圖7所示,對(duì)于協(xié)商發(fā)起者而言,由于其已經(jīng)完成了第一階段的協(xié) 商過程,并進(jìn)入第二階段的協(xié)商過程,因此,協(xié)商發(fā)起者會(huì)向協(xié)商響應(yīng)者繼續(xù)發(fā)送第二 階段的第一個(gè)協(xié)商報(bào)文。而此時(shí)協(xié)商響應(yīng)者仍然沒有收到最后一個(gè)協(xié)商報(bào)文,對(duì)于協(xié)商 響應(yīng)者而言,第一階段并未建立,因此協(xié)商響應(yīng)者會(huì)重新向協(xié)商發(fā)起者發(fā)送自身需要發(fā) 送的最后一個(gè)協(xié)商報(bào)文。
      步驟602:當(dāng)協(xié)商響應(yīng)者在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,如果在 接收到第二階段的第一個(gè)協(xié)商報(bào)文之前接收到了協(xié)商發(fā)起者發(fā)送的協(xié)商響應(yīng)報(bào)文,建立安全聯(lián)盟。
      同時(shí),需要說明的是,在本申請(qǐng)實(shí)施例中,當(dāng)報(bào)文的生命周期到達(dá)時(shí),各個(gè)執(zhí) 行主體不再發(fā)送該報(bào)文。例如,在野蠻模式中,當(dāng)野蠻模式協(xié)商報(bào)文(3)的生命周期到 達(dá)時(shí),即使協(xié)商發(fā)起者重新收到野蠻模式協(xié)商報(bào)文O),也不會(huì)重新向協(xié)商響應(yīng)者發(fā)送野 蠻模式協(xié)商報(bào)文(3)。報(bào)文的生命周期第一階段可以為60s,在第二階段可以為50s。需 要說明的是,本申請(qǐng)實(shí)施例對(duì)生命周期并不進(jìn)行限定,除了采用上述數(shù)值之外,還可以 根據(jù)用戶的應(yīng)用需求進(jìn)行任意設(shè)定。
      由上述實(shí)施例可以看出,在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,判斷是 否在接收到協(xié)商發(fā)起者發(fā)送的協(xié)商響應(yīng)報(bào)文之前接收到了第二階段的第一個(gè)協(xié)商報(bào)文對(duì) 端響應(yīng)報(bào)文,如果是,表示協(xié)商成功,建立安全聯(lián)盟,如果否,表示協(xié)商沒有成功,重 新發(fā)送最后一個(gè)協(xié)商報(bào)文,由此提高了 IKE協(xié)商的質(zhì)量。同時(shí),防止當(dāng)一方協(xié)商成功另 一方失敗時(shí),協(xié)商成功的一方向協(xié)商失敗的一方發(fā)送加密報(bào)文因落入黑洞而浪費(fèi)帶寬。
      實(shí)施例四
      本實(shí)施例提供了另一種IKE報(bào)文的協(xié)商方法。本實(shí)施例的IKE報(bào)文協(xié)商方法僅 適用于野蠻模式下,對(duì)于協(xié)商響應(yīng)者,如果在接收到所述對(duì)端響應(yīng)報(bào)文之前預(yù)置時(shí)間周 期到達(dá),協(xié)商響應(yīng)者在預(yù)置時(shí)間到達(dá)后向協(xié)商發(fā)起者重新發(fā)送自身需要發(fā)送的最后一個(gè) 協(xié)商報(bào)文,如果在接收到所述對(duì)端響應(yīng)報(bào)文之前第二階段的第一協(xié)商報(bào)文到達(dá),協(xié)商響 應(yīng)者在接收到第二階段的第一協(xié)商報(bào)文后向協(xié)商發(fā)起者重新發(fā)送自身需要發(fā)送的最后一 個(gè)協(xié)商報(bào)文。請(qǐng)參閱圖8,其為本申請(qǐng)一種IKE報(bào)文的協(xié)商方法的另一個(gè)實(shí)施例的流程 圖。該方法包括以下步驟
      步驟801:在野蠻模式下,當(dāng)協(xié)商響應(yīng)者發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào) 文后,如果在接收到所述對(duì)端響應(yīng)報(bào)文之前預(yù)置時(shí)間到達(dá),或者在接收到所述對(duì)端響應(yīng) 報(bào)文之前下一階段的第一個(gè)協(xié)商報(bào)文到達(dá),重新發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào) 文;
      步驟802:當(dāng)協(xié)商響應(yīng)者在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,如果在 預(yù)置時(shí)間到達(dá)和接收到下一階段的第一個(gè)協(xié)商報(bào)文之前接收到了協(xié)商發(fā)起者發(fā)送的協(xié)商 響應(yīng)報(bào)文,建立安全聯(lián)盟。
      同時(shí),需要說明的是,在本申請(qǐng)實(shí)施例中,當(dāng)報(bào)文的生命周期到達(dá)時(shí),各個(gè)執(zhí) 行主體不再發(fā)送該報(bào)文。例如,在野蠻模式中,當(dāng)野蠻模式協(xié)商報(bào)文(3)的生命周期到 達(dá)時(shí),即使協(xié)商發(fā)起者重新收到野蠻模式協(xié)商報(bào)文O),也不會(huì)重新向協(xié)商響應(yīng)者發(fā)送野 蠻模式協(xié)商報(bào)文(3)。
      報(bào)文的生命周期在第一階段可以為60s,在第二階段可以為50s。需要說明的 是,本申請(qǐng)實(shí)施例對(duì)生命周期并不進(jìn)行限定,除了采用上述數(shù)值之外,還可以根據(jù)用戶 的應(yīng)用需求進(jìn)行任意設(shè)定。
      由上述實(shí)施例可以看出,在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,判斷在 預(yù)置時(shí)間到達(dá)之前先接收到下一階段的第一個(gè)協(xié)商報(bào)文,或者在接收到下一階段的第一 個(gè)協(xié)商報(bào)文之前預(yù)置時(shí)間到達(dá),表示協(xié)商成功,建立安全聯(lián)盟,如果在預(yù)置時(shí)間到達(dá)和 接收到下一階段的第一個(gè)協(xié)商報(bào)文之前接收到了協(xié)商發(fā)起者發(fā)送的協(xié)商響應(yīng)報(bào)文,表示 協(xié)商沒有成功,重新發(fā)送最后一個(gè)協(xié)商報(bào)文,由此提高了 IKE協(xié)商的質(zhì)量。同時(shí),防止 當(dāng)一方協(xié)商成功另一方失敗時(shí),協(xié)商成功的一方向協(xié)商失敗的一方發(fā)送加密報(bào)文因落入 黑洞而浪費(fèi)帶寬。
      實(shí)施例五
      下面將詳細(xì)說明在IKE協(xié)商的兩個(gè)階段的不同模式中,當(dāng)協(xié)商一方((當(dāng)主模式 下為協(xié)商響應(yīng)者,或者當(dāng)野蠻模式下為協(xié)商發(fā)起者)發(fā)送協(xié)商過程的最后一個(gè)協(xié)商報(bào)文 的具體實(shí)現(xiàn)過程。請(qǐng)參閱圖9,其為一種發(fā)送協(xié)商過程最后一個(gè)協(xié)商報(bào)文的方法流程圖, 實(shí)施步驟如下
      步驟901 根據(jù)邏輯條件(initiatorMstep^ 2) )&& (status == ready)判斷當(dāng)前要發(fā)送的協(xié)商報(bào)文是否為協(xié)商過程的最后一個(gè)協(xié)商報(bào)文,如果該邏輯條件為真,進(jìn)入步驟 902 ;如果該邏輯條件為假,結(jié)束流程;
      其中,initiator表示當(dāng)前要發(fā)送的協(xié)商報(bào)文的發(fā)送者的標(biāo)識(shí),如果發(fā)送者是協(xié)商 發(fā)起者,則:initiator為1,如果是協(xié)商響應(yīng)者,則:initiator為0。step表示協(xié)商步驟,step 從0開始計(jì)數(shù),step為0時(shí)表示協(xié)商步驟為1,以此類推。status表示當(dāng)前要發(fā)送的協(xié)商 報(bào)文的序列號(hào),status從1開始計(jì)數(shù),status為1表示當(dāng)前要發(fā)送的協(xié)商報(bào)文為報(bào)文(1), 如果是協(xié)商過程的最后一個(gè)協(xié)商報(bào)文,status為ready。
      根據(jù)該邏輯條件不難發(fā)現(xiàn),如果當(dāng)前要發(fā)送的協(xié)商報(bào)文的類型為協(xié)商過程的最 后一個(gè)協(xié)商報(bào)文,其邏輯條件為真。
      步驟902 根據(jù)邏輯條件(last_sent&& (ikgs&MSG_LAST))來判斷是否保存要發(fā)送的最后一個(gè)協(xié)商報(bào)文,如果邏輯條件為假,進(jìn)入步驟903,如果邏輯條件為真,進(jìn)入 步驟904 ;
      步驟903:將要發(fā)送的最后一個(gè)協(xié)商報(bào)文的類型ikgs設(shè)為MSG_LAST,將要發(fā)送的最后一個(gè)協(xié)商報(bào)文記錄在變量last_sent中,發(fā)送最后一個(gè)協(xié)商報(bào)文,結(jié)束流程;
      步驟904:發(fā)送最后一個(gè)協(xié)商報(bào)文,結(jié)束流程。
      其中,(1)若為主模式,則有initiator為0,由協(xié)商響應(yīng)者根據(jù)邏輯條件(last_ sent&& (ikgs&MSG_LAST))來判斷是否保存該報(bào)文。如果(last_sent&& (flags&MSG_ LAST))條件為假,說明第一次發(fā)送該最后一個(gè)協(xié)商報(bào)文,則需要將fliigs設(shè)為MSG_ LAST,同時(shí)將第一次發(fā)送的最后一個(gè)協(xié)商報(bào)文(6)記錄在變量laSt_Sent中進(jìn)行保存,并 發(fā)送該報(bào)文;若邏輯條件為真,說明是重復(fù)發(fā)送最后一個(gè)協(xié)商報(bào)文,由于最后一個(gè)協(xié)商 報(bào)文已經(jīng)在第一次發(fā)送時(shí)進(jìn)行了保存,此時(shí)就不需要再進(jìn)行保存,而是直接重傳該報(bào)文 即可。
      (2)若為野蠻模式,則有initiator為1,由協(xié)商發(fā)起者根據(jù)邏輯條件(last_ sent&& (ikgs&MSG_LAST))來是判斷是否保存該報(bào)文。如果(last_sent&& (flags&MSG_ LAST))條件為假,說明第一次發(fā)送該最后一個(gè)協(xié)商報(bào)文,則需要將fliigs設(shè)為MSG_ LAST,同時(shí)將第一次發(fā)送的最后一個(gè)協(xié)商報(bào)文C3)記錄在變量laSt_Sent中進(jìn)行保存,并 發(fā)送該報(bào)文;若條件為真,則說明是重復(fù)發(fā)送最后一個(gè)協(xié)商報(bào)文,由于最后一個(gè)協(xié)商報(bào) 文已經(jīng)在第一次發(fā)送時(shí)進(jìn)行了保存,此時(shí)就不需要再進(jìn)行保存,而是直接重傳該報(bào)文即 可。
      (3)若為快速模式,同樣有initiator為1,由發(fā)起者根據(jù)邏輯條件(last_ sent&& (ikgs&MSG_LAST))來是判斷是否保存該報(bào)文。如果(last_sent&& (ikgs&MSG_ LAST))條件為假,說明第一次發(fā)送該最后一個(gè)報(bào)文,則需要將fliigs設(shè)為MSG_LAST,同時(shí)將第一次發(fā)送的最后一個(gè)協(xié)商報(bào)文( 記錄在變量laSt_Sent中進(jìn)行保存,并發(fā)送該報(bào) 文;若條件為真,則說明已經(jīng)是重復(fù)發(fā)送最后一個(gè)協(xié)商報(bào)文,由于最后一個(gè)協(xié)商報(bào)文已 經(jīng)在第一次發(fā)送時(shí)進(jìn)行了保存,此時(shí)就不需要再進(jìn)行保存,而是直接重傳該報(bào)文即可。
      由上述實(shí)施例可以看出,在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,判斷是 否接收到對(duì)端響應(yīng)報(bào)文,如果接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商成功,建立安全聯(lián)盟,如 果沒有接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商沒有成功,重新發(fā)送最后一個(gè)協(xié)商報(bào)文,由此提 高了 IKE協(xié)商的質(zhì)量。同時(shí),防止當(dāng)一方協(xié)商成功另一方失敗時(shí),協(xié)商成功的一方向協(xié) 商失敗的一方發(fā)送加密報(bào)文因落入黑洞而浪費(fèi)帶寬。
      實(shí)施例六
      與上述一種協(xié)商報(bào)文的重傳方法相對(duì)應(yīng),本發(fā)明實(shí)施例還提供了一種協(xié)商報(bào)文 的重傳系統(tǒng)。請(qǐng)參閱圖10,其為本申請(qǐng)一種實(shí)現(xiàn)IKE報(bào)文協(xié)商的設(shè)備的一個(gè)實(shí)施例的結(jié) 構(gòu)圖,包括發(fā)送單元1001、判斷單元1002、協(xié)商單元1003和重發(fā)單元1004,其中,
      發(fā)送單元1001,用于發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文;
      判斷單元1002,用于判斷是否接收到對(duì)端響應(yīng)報(bào)文;
      協(xié)商單元1003,用于當(dāng)接收到所述對(duì)端響應(yīng)報(bào)文時(shí),建立安全聯(lián)盟SA;
      重發(fā)單元1004,用于當(dāng)沒有接收到所述對(duì)端響應(yīng)報(bào)文時(shí),重新發(fā)送所述最后一 個(gè)協(xié)商報(bào)文。
      其中,判斷單元1002包括第一判斷子單元,用于判斷是否在預(yù)置時(shí)間內(nèi)接收 到對(duì)端響應(yīng)報(bào)文,如果是,判定接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定未接收到所述對(duì)端響應(yīng)報(bào)文。
      或者,
      第二判斷子單元,用于在野蠻模式下,下一階段的第一個(gè)協(xié)商報(bào)文是否在所述 對(duì)端響應(yīng)報(bào)文之前到達(dá),如果是,判定未接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定接收到 所述對(duì)端響應(yīng)報(bào)文。
      或者,
      第三判斷子單元,用于在野蠻模式下,判斷預(yù)置時(shí)間或者下一階段的第一個(gè)協(xié) 商報(bào)文是否在對(duì)端響應(yīng)報(bào)文之前到達(dá),如果是,判定未接收到所述對(duì)端響應(yīng)報(bào)文,否 則,判定接收到所述對(duì)端響應(yīng)報(bào)文。
      其中,重發(fā)單元1004包括第一重發(fā)子單元,用于調(diào)取所述最后一個(gè)協(xié)商報(bào) 文,并發(fā)送調(diào)取的所述最后一個(gè)協(xié)商報(bào)文;
      或者,
      第二重發(fā)子單元,用于在主模式下,重新發(fā)起協(xié)商過程,在所述重新發(fā)起的協(xié) 商過程中發(fā)送所述最后一個(gè)協(xié)商報(bào)文。
      由上述實(shí)施例可以看出,在發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文后,判斷是 否接收到對(duì)端響應(yīng)報(bào)文,如果接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商成功,建立安全聯(lián)盟,如 果沒有接收到對(duì)端響應(yīng)報(bào)文,表示協(xié)商沒有成功,重新發(fā)送最后一個(gè)協(xié)商報(bào)文。由此提 高了 IKE協(xié)商的質(zhì)量。同時(shí),防止當(dāng)一方協(xié)商成功另一方失敗時(shí),協(xié)商成功的一方向協(xié) 商失敗的一方發(fā)送加密報(bào)文因落入黑洞而浪費(fèi)帶寬。
      本申請(qǐng)中協(xié)商報(bào)文的重傳方法和重傳系統(tǒng)適用于主機(jī)和主機(jī)之間,主機(jī)和網(wǎng)關(guān) 之間,以及網(wǎng)關(guān)與網(wǎng)關(guān)之間建立IPSec道道。公網(wǎng)之間建立IPsec隧道,對(duì)流量進(jìn)行加 密。防火墻A和B可以作為協(xié)商過程的協(xié)商發(fā)起者和協(xié)商響應(yīng)者。此外,本申請(qǐng)中協(xié)商 報(bào)文的重傳方法和重傳系統(tǒng)還適用于出差在外的人員,此時(shí)可以將防火墻配置成模板。 與公網(wǎng)相連的PC上安裝客戶端軟件。當(dāng)需要訪問總部的數(shù)據(jù)時(shí),每一臺(tái)PC都單獨(dú)建立 一條自己的隧道,保護(hù)在公網(wǎng)上的傳輸數(shù)據(jù)。
      需要說明的是,本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或 部分流程,是可以通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲(chǔ)于一計(jì) 算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程。其 中,所述的存儲(chǔ)介質(zhì)可為磁碟、光盤、只讀存儲(chǔ)記憶體(Read-Only Memory,ROM)或隨 機(jī)存儲(chǔ)記憶體(Random AccessMemory,RAM)等。
      以上對(duì)本發(fā)明所提供的一種IKE報(bào)文的協(xié)商方法和設(shè)備進(jìn)行了詳細(xì)介紹,本文 中應(yīng)用了具體實(shí)施例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說明只是用 于幫助理解本發(fā)明的方法及其核心思想;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā) 明的思想,在具體實(shí)施方式
      及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,本說明書內(nèi)容不 應(yīng)理解為對(duì)本發(fā)明的限制。
      權(quán)利要求
      1.一種IKE報(bào)文的協(xié)商方法,其特征在于,包括 發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文;判斷是否接收到對(duì)端響應(yīng)報(bào)文;當(dāng)接收到所述對(duì)端響應(yīng)報(bào)文時(shí),建立安全聯(lián)盟SA,否則,重新發(fā)送所述最后一個(gè)協(xié) 商報(bào)文。
      2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述判斷是否接收到對(duì)端響應(yīng)報(bào)文具體為判斷是否在預(yù)置時(shí)間內(nèi)接收到對(duì)端響應(yīng)報(bào)文,如果是,判定接收到所述對(duì)端響應(yīng)報(bào) 文,否則,判定未接收到所述對(duì)端響應(yīng)報(bào)文。
      3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述判斷是否接收到對(duì)端響應(yīng)報(bào)文具體為在野蠻模式下,判斷下一階段的第一個(gè)協(xié)商報(bào)文是否在所述對(duì)端響應(yīng)報(bào)文之前到 達(dá),如果是,判定未接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定接收到所述對(duì)端響應(yīng)報(bào)文。
      4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述判斷是否接收到對(duì)端響應(yīng)報(bào)文具體為在野蠻模式下,判斷預(yù)置時(shí)間或者下一階段的第一個(gè)協(xié)商報(bào)文是否在對(duì)端響應(yīng)報(bào)文 之前到達(dá),如果是,判定未接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定接收到所述對(duì)端響應(yīng) 報(bào)文。
      5.根據(jù)權(quán)利要求1-4中的任意一項(xiàng)所述的方法,其特征在于,所述重新發(fā)送所述最后 一個(gè)協(xié)商報(bào)文具體為調(diào)取所述最后一個(gè)協(xié)商報(bào)文,并發(fā)送調(diào)取的所述最后一個(gè)協(xié)商報(bào)文; 或者,在主模式下,重新發(fā)起協(xié)商過程,在所述重新發(fā)起的協(xié)商過程中發(fā)送所述最后一個(gè) 協(xié)商報(bào)文。
      6.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述預(yù)置時(shí)間為timeSX2+5S,其中, times為重傳所述最后一個(gè)協(xié)商報(bào)文的次數(shù)。
      7.—種實(shí)現(xiàn)IKE報(bào)文協(xié)商的設(shè)備,其特征在于,包括 發(fā)送單元,用于發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文; 判斷單元,用于判斷是否接收到對(duì)端響應(yīng)報(bào)文;協(xié)商單元,用于當(dāng)接收到所述對(duì)端響應(yīng)報(bào)文時(shí),建立安全聯(lián)盟SA;重發(fā)單元,用于當(dāng)沒有接收到所述對(duì)端響應(yīng)報(bào)文時(shí),重新發(fā)送所述最后一個(gè)協(xié)商報(bào)文。
      8.根據(jù)權(quán)利要求7所述的設(shè)備,其特征在于,所述判斷單元包括第一判斷子單元,用于判斷是否在預(yù)置時(shí)間內(nèi)接收到對(duì)端響應(yīng)報(bào)文,如果是,判定 接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定未接收到所述對(duì)端響應(yīng)報(bào)文。
      9.根據(jù)權(quán)利要求7所述的設(shè)備,其特征在于,所述判斷單元包括第二判斷子單元,用于在野蠻模式下,判斷下一階段的第一個(gè)協(xié)商報(bào)文是否在所述 對(duì)端響應(yīng)報(bào)文之前到達(dá),如果是,判定未接收到所述對(duì)端響應(yīng)報(bào)文,否則,判定接收到 所述對(duì)端響應(yīng)報(bào)文。
      10.根據(jù)權(quán)利要求7-9中的任意一項(xiàng)所述的設(shè)備,其特征在于,所述重發(fā)單元包括 第一重發(fā)子單元,用于調(diào)取所述最后一個(gè)協(xié)商報(bào)文,并發(fā)送調(diào)取的所述最后一個(gè)協(xié) 商報(bào)文; 或者,第二重發(fā)子單元,用于在主模式下,重新發(fā)起協(xié)商過程,在所述重新發(fā)起的協(xié)商過 程中發(fā)送所述最后一個(gè)協(xié)商報(bào)文。
      全文摘要
      本發(fā)明實(shí)施例公開了一種IKE報(bào)文的協(xié)商方法和設(shè)備。其中一種所述方法包括發(fā)送自身需要發(fā)送的最后一個(gè)協(xié)商報(bào)文;判斷是否接收到對(duì)端響應(yīng)報(bào)文;當(dāng)接收到所述對(duì)端響應(yīng)報(bào)文時(shí),建立安全聯(lián)盟SA,否則,重新發(fā)送所述最后一個(gè)協(xié)商報(bào)文。根據(jù)本申請(qǐng)實(shí)施例,可以提高第一階段和第二階段IKE協(xié)商的質(zhì)量。
      文檔編號(hào)H04L29/06GK102025742SQ20101059241
      公開日2011年4月20日 申請(qǐng)日期2010年12月16日 優(yōu)先權(quán)日2010年12月16日
      發(fā)明者譚龍遠(yuǎn) 申請(qǐng)人:成都市華為賽門鐵克科技有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1