[发明专利]一种IKE可靠报文协商的方法、设备及系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种IKE可靠报文协商的方法、设备及系统。

背景技术

IKE协议(Internet Key Exchange，因特网密匙交换)用于在IPsec(IPsecurity，IP安全)中建立安全联盟，在如Internet等不安全的网络环境中，安全地建立和更新共享密钥。为保证诸如IPv6(Internet Protocol Version 6，第六版互联网协议)等的安全运行，建立IKE安全联盟，实现对数据进行加密转发和传输就显得十分必要。

IKE是基于ISAKMP(Internet Security Association and Key ManagementProtocol，安全联盟和密钥管理协议)定义的框架上建立的。通常，建立IKE包括两个阶段，第一阶段用于建立通信信道IKE SA(security association，安全联盟)，并对该信道进行验证，为进行IKE通信提供机密性、消息完整性以及消息源验证服务。第二阶段基于IKE SA，在第一阶段的基础上创建IPsecSA，通过建立的IPsec SA转发或传输加密的数据。

IKE建立的第一阶段交换包括两种模式，一种是主模式交换(MainMode)，另外一种是野蛮模式交换(Aggressive Mode)。主模式交换如图1所示，主模式交换提供了交换双方的身份保护机制，主模式交换包括三个交换过程，在这三个交换过程中共交换六条报文，这三个交换过程分别是策略协商交换、nonce随机交换以及身份验证交换。野蛮模式交换如图2所示，野蛮模式交换不提供交换双方的身份保护机制，并且只交换三条报文，第一条报文和第二条报文用于协商策略，第二条还用于认证响应方设备，第三条报文用于认证发起方设备。在上述两种第一阶段交换模式中，发起方设备向响应方设备发送最后一个报文后，建立发起方设备本地IKE SA，响应方设备接收到发起方设备发送的最后一个报文后，响应发起方设备的报文协商，建立响应方设备IKE SA，响应方设备与发起方设备的IKE SA建立完成。在IKE第一阶段协商中，发起方设备和响应方设备交互的信息包括：HDR报文头信息，SA报文密钥信息，KE密钥交换信息，NONCE随机信息，HDR^*加密报文头信息，IDii发起方设备ID信息，IDir响应方设备ID信息，AUTH身份验证信息。

IKE第二阶段通过快速模式交换建立，如图3所示，在快速模式交换中，发起方设备和响应方设备交换三条报文，其中第一条报文和第二条报文协商IPsec SA的各项参数值，并生成IPsec使用的密钥，第二条报文还用于为响应方设备提供在场的证据，第三条报文为发起方设备提供在场的证据。在IKE第二阶段协商中，发起方设备和响应方设备交互的信息包括：HDR^*加密的报文头信息，SA报文密钥信息，Ni随机发起方设备信息，Nr随机响应方设备信息，IDci发起方设备数据ID信息，IDir响应方设备数据ID信息，HASH哈希信息。

IPsec SA建立完成后，发起方设备通过双方建立的IPsec SA通道向响应方设备转发经过IPsec加密的数据。具体协商过程在RFC2408(Request ForComments，一系列以编号排定的文件)和RFC2409中有具体描述，在这里不再赘述。

建立IKE的过程可以通过两种方式触发，一种是当本地需要建立协商SA时，本地触发建立IKE。另一种是当远程需要协商SA时，远程触发建立IKE。触发建立IKE的一方即为上述的发起方设备，响应发起方设备建立IKE的一方即为上述的响应方设备，根据触发方式的不同，发起方设备可以为本地设备，也可以为远程设备，当发起方设备为本地设备时，响应方设备为与其对应的远程设备，当发起方设备为远程设备时，响应方设备为与其对应的本地设备。