[发明专利]发起互联网密钥交换协商的方法和设备

说明书

技术领域

本发明涉及网络安全技术，具体涉及发起互联网密钥交换(IKE，InternetKey Exchange)的方法、IKE协商的对端设备以及IKE协商的发起端设备。

背景技术

互联网协议安全性(IPSec，Internet Protocol Security)是互联网任务工作组(IETF，Internet Engineering Task Force)制定的三层隧道加密协议。IPSec的基本原理是在互联网协议(IP，Internet Protocol)层对特定通信双方之间的数据进行加密和数据源认证，从而提供了数据机密性、数据完整性等数据安全保障。

图1为现有的一种IPSec典型应用的组网结构示意图。如图1所示，该组网结构中包括两个配置有IPSec策略的网络设备，分别为网关A和网关B。其中，网关A是企业总部的网关，网关B是企业分支机构的网关，网关A和网关B通过互联网进行通信。为了保证企业内部数据的安全性，网关A和网关B之间建立IPSec隧道，企业内部数据通过IPSec隧道传输。通过IPSec隧道进行传输的数据是经IPSec加密的数据，加密密钥是由通信双方预先协商确定的。该协商密钥的过程被称为IKE协商。

IKE协商是双方行为，进行IKE协商的双方包括发起IKE协商的发起端和与发起端进行IKE协商的对端。IKE协商的发起端和对端互为IKE对等体。对端的IP地址是预先配置并保存在发起端的，通常对端的IP地址为对端的公网IP地址。当发起端中有IKE协商被触发时，根据配置的IPSec策略，确定被触发IKE协商的对端，并获取预先配置在发起端的该对端的IP地址，然后采用获取的IP地址作为IKE协商报文的目的地址，生成IKE协商报文并发送给对端，从而成功的发起了IKE协商。以图1示出的组网结构为例，当网关B接收到企业分支机构向企业总部发送的报文时，网关B根据配置于自身的IPSec策略触发IKE协商，获取预先配置在网关B的网关A的IP地址，然后以网关A的IP作为目的地址，生成IKE协商报文并向网关A发出，从而成功的发起了IKE协商。

可见，在发起IKE协商时，发起端必须利用对端的IP地址生成IKE协商报文才能成功的发起IKE协商，这就要求对端的IP地址是固定的，并且预先配置在发起端。但在实际中，对端常常为使用动态IP地址的设备，则对端的IP地址不固定，因此无法预先配置在发起端。那么，当发起端和对端之间的IKE协商被触发时，由于无法获取对端的IP地址，就无法生成IKE协商报文，导致被触发的IKE协商不能继续，即IKE协商失败。仍以图1示出的组网结构为例，企业分支机构的网关B通常为使用动态IP地址的设备。当企业总部在使用诸如数据采集等业务时，需要企业总部通过网关A主动向企业分支机构的网关B发起连接，那么，企业总部的网关A将作为IKE协商的发起端。但是，由于网关A无法获取网关B的IP地址，导致IKE协商失败。

针对无法主动向使用动态IP地址的对端发起IKE协商的问题，各大公司研究出各种解决方案。例如，图2示出了现有另一种IPSec组网结构示意图。如图2所示，该组网结构可以采用动态虚拟专用网络(DVPN，DynamicVirtual Private Network)技术，在网关A和网关B之间单独设置一个地址解析服务器，当网关A需要向使用动态IP地址的网关B发起协商时，会通知地址解析服务器为其解析网关B的IP地址，地址解析服务器收到通知后查找地址表，将网关B当前使用的IP地址发送给网关A。那么，网关A可以采用地址解析服务器提供的IP地址作为IKE协商报文的目的地址，生成IKE协商报文并发送给网关B，从而成功发起了IKE协商。又例如现有的动态多点虚拟专用网络(DMVPN，Dynamic Multipoint Virtual Private Network)技术，也是通过地址解析服务器进行下一跳解析，来获取网关B的IP地址。可见，无论采用DVPN技术或DMVPN技术，都需要设置单独的地址解析服务器来获取对端的IP地址，这不仅增加了组网成本，而且需要全网部署，改变了原有的组网结构，实现比较复杂。另外，由于以上两种技术都需要采用私有协议，因此通用性差，难以广泛的应用于现有的组网中。

发明内容

有鉴于此，本发明提供了一种发起IKE协商的方法，在无需额外增加设备的情况下，向使用动态IP地址的对端发起IKE协商。

该发起IKE协商的方法包括：

IKE协商的发起端接收来自对端的携带有所述对端的互联网协议IP地址的地址注册报文；