技術領域

本發明涉及因特網協議安全(IPsec，IP?Security)技術領域，具體涉及一種在因特網密鑰交換(IKE，Internet?Key?Exchange)協商過程中協商IKE安全聯盟(SA，Security?Association)生存周期的方法及相應的設備。

背景技術

網絡安全包括兩層含義：其一是內部網的安全，其二是在公共網絡中進行數據交換的安全。前者的實現手段有防火墻、網絡地址轉換(NAT)等；實現后者有正在興起的IPsec技術。IPsec提供了在IP層對報文實施加密的保護手段。IPsec的安全聯盟可以通過手工配置的方式建立，但是當網絡中結點增多時，手工配置將非常困難，而且難以保證安全性。這時就需要使用IKE協商自動地進行安全聯盟建立與密鑰交換的過程。

安全聯盟是在兩個使用IPSec的實體(如主機或路由器)間建立的邏輯連接，它定義了實體間如何使用安全服務(如加密)進行通信。在實施IPSec的過程中，可以使用IKE協議來建立安全聯盟。IKE協議建立在由安全聯盟和密鑰管理協議(ISAKMP，Internet?Security?Association?and?Key?ManagementProtocol)定義的框架上。IKE為IPsec提供了自動協商交換密鑰、建立安全聯盟的服務，能夠簡化IPsec的使用和管理。IKE具有一套自保護機制，可以在不安全的網絡上安全地分發密鑰、驗證身份、建立IPsec安全聯盟。

IKE通過兩個階段的協商過程，為IPsec進行密鑰協商并建立安全聯盟：第一階段，通信雙方彼此間建立一個已通過身份驗證和安全保護的通道，本階段的交換建立了一個IKE?SA，IKE?SA也被稱為ISAKMP?SA；第二階段，利用第一階段所建立的IKE?SA，為IPsec協商安全服務，即為IPsec協商具體的安全聯盟，建立IPsec?SA。IPsec?SA用于最終的IP數據安全傳送，為數據交換提供IPsec服務。第二階段協商消息受第一階段建立的IKE?SA保護，任何沒有IKE?SA保護的消息將被對端拒收。

在IKE協商的第一階段，即IKE?SA協商中，所協商的參數包括DH(Diffie-Hellman)組、加密算法、認證算法、是否NAT穿越和IKE?SA生存周期等。現有技術中，在IKE?SA協商的過程中，響應端只是被動地確認發起端的各項參數。如果響應端的生存周期和發起端的生存周期不一致，則可能導致協商失敗。針對兩端IKE?SA生存周期不一致，特別是響應端的生存周期小于發起端的情況，RFC?2407中規定了三種協商方式：

1、響應端終止協商；

2、響應端接受協商，但是響應端采用較小的生存周期；

3、響應端接受協商，但在協商完后響應端發送INFO消息，通知發起端修改生存周期。

上述第1種和第2種方式在實際應用中很少見，常用的是第3種方式。

可以看出，第1種方式將導致協商失敗。而第2種方式中，由于目前在大部分廠商的具體實現中，都是只能由發起端發起IKE?SA的重協商，在響應端的IKE?SA生存周期較短，超時后不能發起重協商的情況下，將導致響應端長時間沒有IKE?SA，只能等待發起端超時后發起重協商。因此，如果在響應端丟棄IKE?SA期間又發生了IPsec?SA超時，則會導致因為沒有IKE?SA而無法進行IPsec?SA的協商，進而造成發起端和響應端之間的通訊中斷。

對于第3種方式，因為響應端是對發起端各參數的確認，也包括對生存周期的確認，而在IKE?SA協商過程中又不對生存周期進行協商，響應端只是被動的確認發起端的生存周期，無法把自己的生存周期及時傳遞給發起端。所以，只能在協商完成后發送通知(INFO)消息通知發起端修改生存周期。由于這個INFO消息使用用戶數據報協議(UDP，User?Datagram?Protocol)報文封裝，沒有確認機制。一旦該INFO消息在傳輸中被丟失，或者由于發起端任務繁忙而沒有處理該INFO消息，就會導致兩端的IKE?SA生存周期不一致，從而可能導致與第2種方式類似的問題：響應端沒有IKE?SA而無法進行IPsec?SA的協商，進而造成通訊中斷。并且，該INFO消息是在IKE/IPsec?SA協商完成后才發送，這樣發起端在收到該INFO消息后，需要修改已經建立的IKE?SA的生存周期，這在具體實現過程中也顯得比較麻煩。

發明內容