[发明专利]发起互联网密钥交换协商的方法和设备

权利要求书

1.一种发起互联网密钥交换IKE协商的方法，其特征在于，该方法包括：

IKE协商的发起端接收来自对端的携带有所述对端的互联网协议IP地址的地址注册报文；

根据所接收的地址注册报文，记录所述对端的IP地址；

当与所述对端之间的IKE协商被触发时，根据所记录对端的IP地址生成IKE协商报文，并发送给所述对端。

2.如权利要求1所述的方法，其特征在于，所述携带有所述对端的IP地址的地址注册报文是由所述对端根据自身使用的IP地址和自身配置的互联网协议安全性IPSec策略生成的；其中，对端生成地址注册报文的过程包括：所述对端动态获取自身使用的IP地址，根据自身配置的IPSec策略，查找与自身进行IKE协商的发起端的IP地址，将查找到的发起端的IP地址作为目的地址，生成携带自身设备标识和自身使用的IP地址的地址注册报文。

3.如权利要求2所述的方法，其特征在于，所述记录所述对端的IP地址为：从所接收的地址注册报文中获取所述对端的设备标识和IP地址，将获取的所述设备标识和IP地址对应记录在地址注册表项中。

4.如权利要求3所述的方法，其特征在于，所述将获取的所述设备标识和IP地址记录在地址注册表项中，进一步包括：将所述地址注册表项标记为可用；

该方法进一步包括：所述对端每隔预设的定时间隔，向所述发起端发送为当前使用的IP地址生成的地址注册报文；

所述发起端根据所述定时间隔，在判定定时时间到达时，将本次定时间隔内未接收到对应的地址注册报文且被标记为可用的地址注册表项标记为待定；将本次定时间隔内未接收到对应的地址注册报文且被标记为待定的地址注册表项删除。

5.如权利要求3所述的方法，其特征在于，当与所述对端之间的IKE协商被触发时，根据所记录对端的IP地址生成IKE协商报文为：当与所述被触发的IKE协商对应的IPSec策略中预设的策略类型为扩展类型时，根据该对应的IPSec策略，获取被触发的IKE协商的对端的设备标识，从地址注册表项中查找与所获取的对端的设备标识对应的对端的IP地址，并生成IKE协商报文。

6.如权利要求1所述的方法，其特征在于，该方法进一步包括：所述对端对待发送的地址注册报文进行加密处理；所述发起端对接收到的地址注册报文进行解密处理。

7.如权利要求1所述的方法，其特征在于，所述发送给发起端的地址注册报文采用用户数据报协议UDP或传输控制协议/互联网协议TCP/IP封装。

8.一种IKE协商的对端设备，其特征在于，该设备包括地址获取模块和地址注册模块；

所述地址获取模块，用于获取所在设备的IP地址，将获取的所在设备的IP地址发送给所述地址注册模块；

所述地址注册模块，用于接收所述所在设备的IP地址，生成携带有所述所在设备的IP地址的地址注册报文，将生成的地址注册报文发送给所述IKE协商的发起端。

9.如权利要求8所述的设备，其特征在于，所述地址注册模块包括查找子模块和报文生成子模块；

所述查找子模块，用于接收所述所在设备的IP地址，根据所在设备的接口上配置的IPSec策略，查找与所在设备进行IKE协商的发起端的IP地址，将查找到的发起端的IP地址和所述所在设备的IP地址发送给报文生成子模块；

所述报文生成子模块，用于接收所述发起端的IP地址和所在设备IP地址，将所述发起端的IP地址作为目的地址，生成携带有所在设备的设备标识和所述所在设备的IP地址的地址注册报文，并发送出去。

10.如权利要求8所述的设备，其特征在于，所述该设备进一步包括定时模块，用于根据预设的定时间隔，在判定定时时间到达时，向所述地址注册模块发送定时通知；

所述地址注册模块进一步在接收到所述定时通知时，将携带有所在设备当前使用的IP地址的地址注册报文发送给所述IKE协商的发起端。

11.如权利要求8所述的设备，其特征在于，该设备进一步包括加密模块，用于对地址注册模块发送给IKE协商的发起端的地址注册报文进行加密处理。