[发明专利]一种基于IKEv2的初始协商方法及装置

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及一种基于IKEv2的初始协商方法及装置。

背景技术

IKEv2(Internet Key Exchange Protocol Version 2，互联网密钥交换协议版本号2)是针对IKE(Internet Key Exchange Protocol，互联网密钥交换协议)的安全漏洞进行了改进的版本，该IKEv2提高了密钥协商的安全性。

为了实现通信系统中的两个设备(例如，第一设备和第二设备)之间能够进行交互，需要两个设备通过初始协商过程建立安全隧道，以利用该安全隧道实现两个设备间的信息交互。其中，初始协商是指：第一设备向第二设备发起初始消息(INTI)，第二设备针对该初始消息返回初始响应消息，以实现随机数(nonce)等信息的交互；以及第一设备向第二设备发送认证消息(AUTH)，第二设备针对该认证消息返回认证响应消息，以完成两个设备之间的身份、证书等信息的交换。根据该初始协商过程，第一设备和第二设备之间生成一个相同的SA(Security Alliance，安全联盟)，利用该生成的安全联盟进行后续交互。

然而，在两个设备间进行初始协商过程中，可能会发生协商碰撞，例如，在到达设定的初始协商时间时，第一设备作为发起端向第二设备发起协商请求，此时，第二设备也作为发起端向第一设备发起了协商请求，第一设备在尚未接收到第二设备返回的响应消息时，接收到了第二设备发送的该协商请求，确定该第二设备是自身作为发起端时的响应端，那么确定两个设备之间发生了协商碰撞。在初始协商过程中发生了协商碰撞，可能会导致初始协商结束后，通信双方均生成了两个安全联盟，或者，两个设备上所保留的一个安全联盟不相同，使得通信双方在后续交互时无法保证使用相同的一个安全联盟进行协商交互，从而导致协商失败，因此，急需提出一种方案，来解决初始协商过程中发生协商碰撞所导致的协商失败的问题。

发明内容

有鉴于此，本发明提供一种基于IKEv2的初始协商方法及装置，以解决通信双方在初始协商过程中发生协商碰撞所导致的协商失败的问题。

本发明提供了一种基于IKEv2的初始协商方法，应用于通信系统中的本端设备，其中，通信系统中还包括与本端设备进行初始协商的对端设备，包括：

当检测到存在初始协商碰撞时，获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟；

根据第一安全联盟和第二安全联盟，通过与对端设备进行协商，以使本端设备按照预定策略保留和对端设备相同的安全联盟。

优选地，在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时，所述通过与对端设备进行协商，以使本端设备按照预定策略保留和对端设备相同的安全联盟，具体包括：

获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值；

对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较；

根据比较结果，获得与对端设备相同的安全联盟。

优选地，在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时，所述通过与对端设备进行协商，以使本端设备按照预定策略保留和对端设备相同的安全联盟，具体包括：

本端设备接收对端设备发送的未发生初始协商碰撞的通知消息，并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟，以保留与对端设备相同的安全联盟。

优选地，在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时，所述通过与对端设备进行协商，以使本端设备按照预定策略保留和对端设备相同的安全联盟，具体包括：

本端设备删除第一安全联盟，并向对端设备发送自身未发生初始协商碰撞的通知消息，以使对端设备删除第一安全联盟。

优选地，所述检测到存在初始协商碰撞，具体包括：

本端设备接收对端设备发送的认证消息，根据所述认证消息携带的对端设备的设备信息，检测对端设备是否为本端设备作为发起端时的响应端，若是，确定存在初始协商碰撞。

本发明还提供了一种基于IKEv2的初始协商装置，应用于通信系统中的本端设备，其中，通信系统中还包括与本端设备进行初始协商的对端设备，包括：

获取单元，用于当检测到存在初始协商碰撞时，获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟；