技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種IKE可靠報文協(xié)商的方法、設(shè)備及系統(tǒng)。

背景技術(shù)

IKE協(xié)議(Internet?Key?Exchange，因特網(wǎng)密匙交換)用于在IPsec(IPsecurity，IP安全)中建立安全聯(lián)盟，在如Internet等不安全的網(wǎng)絡(luò)環(huán)境中，安全地建立和更新共享密鑰。為保證諸如IPv6(Internet?Protocol?Version?6，第六版互聯(lián)網(wǎng)協(xié)議)等的安全運行，建立IKE安全聯(lián)盟，實現(xiàn)對數(shù)據(jù)進行加密轉(zhuǎn)發(fā)和傳輸就顯得十分必要。

IKE是基于ISAKMP(Internet?Security?Association?and?Key?ManagementProtocol，安全聯(lián)盟和密鑰管理協(xié)議)定義的框架上建立的。通常，建立IKE包括兩個階段，第一階段用于建立通信信道IKE?SA(security?association，安全聯(lián)盟)，并對該信道進行驗證，為進行IKE通信提供機密性、消息完整性以及消息源驗證服務(wù)。第二階段基于IKE?SA，在第一階段的基礎(chǔ)上創(chuàng)建IPsecSA，通過建立的IPsec?SA轉(zhuǎn)發(fā)或傳輸加密的數(shù)據(jù)。

IKE建立的第一階段交換包括兩種模式，一種是主模式交換(MainMode)，另外一種是野蠻模式交換(Aggressive?Mode)。主模式交換如圖1所示，主模式交換提供了交換雙方的身份保護機制，主模式交換包括三個交換過程，在這三個交換過程中共交換六條報文，這三個交換過程分別是策略協(xié)商交換、nonce隨機交換以及身份驗證交換。野蠻模式交換如圖2所示，野蠻模式交換不提供交換雙方的身份保護機制，并且只交換三條報文，第一條報文和第二條報文用于協(xié)商策略，第二條還用于認證響應(yīng)方設(shè)備，第三條報文用于認證發(fā)起方設(shè)備。在上述兩種第一階段交換模式中，發(fā)起方設(shè)備向響應(yīng)方設(shè)備發(fā)送最后一個報文后，建立發(fā)起方設(shè)備本地IKE?SA，響應(yīng)方設(shè)備接收到發(fā)起方設(shè)備發(fā)送的最后一個報文后，響應(yīng)發(fā)起方設(shè)備的報文協(xié)商，建立響應(yīng)方設(shè)備IKE?SA，響應(yīng)方設(shè)備與發(fā)起方設(shè)備的IKE?SA建立完成。在IKE第一階段協(xié)商中，發(fā)起方設(shè)備和響應(yīng)方設(shè)備交互的信息包括：HDR報文頭信息，SA報文密鑰信息，KE密鑰交換信息，NONCE隨機信息，HDR^*加密報文頭信息，IDii發(fā)起方設(shè)備ID信息，IDir響應(yīng)方設(shè)備ID信息，AUTH身份驗證信息。

IKE第二階段通過快速模式交換建立，如圖3所示，在快速模式交換中，發(fā)起方設(shè)備和響應(yīng)方設(shè)備交換三條報文，其中第一條報文和第二條報文協(xié)商IPsec?SA的各項參數(shù)值，并生成IPsec使用的密鑰，第二條報文還用于為響應(yīng)方設(shè)備提供在場的證據(jù)，第三條報文為發(fā)起方設(shè)備提供在場的證據(jù)。在IKE第二階段協(xié)商中，發(fā)起方設(shè)備和響應(yīng)方設(shè)備交互的信息包括：HDR^*加密的報文頭信息，SA報文密鑰信息，Ni隨機發(fā)起方設(shè)備信息，Nr隨機響應(yīng)方設(shè)備信息，IDci發(fā)起方設(shè)備數(shù)據(jù)ID信息，IDir響應(yīng)方設(shè)備數(shù)據(jù)ID信息，HASH哈希信息。

IPsec?SA建立完成后，發(fā)起方設(shè)備通過雙方建立的IPsec?SA通道向響應(yīng)方設(shè)備轉(zhuǎn)發(fā)經(jīng)過IPsec加密的數(shù)據(jù)。具體協(xié)商過程在RFC2408(Request?ForComments，一系列以編號排定的文件)和RFC2409中有具體描述，在這里不再贅述。

建立IKE的過程可以通過兩種方式觸發(fā)，一種是當本地需要建立協(xié)商SA時，本地觸發(fā)建立IKE。另一種是當遠程需要協(xié)商SA時，遠程觸發(fā)建立IKE。觸發(fā)建立IKE的一方即為上述的發(fā)起方設(shè)備，響應(yīng)發(fā)起方設(shè)備建立IKE的一方即為上述的響應(yīng)方設(shè)備，根據(jù)觸發(fā)方式的不同，發(fā)起方設(shè)備可以為本地設(shè)備，也可以為遠程設(shè)備，當發(fā)起方設(shè)備為本地設(shè)備時，響應(yīng)方設(shè)備為與其對應(yīng)的遠程設(shè)備，當發(fā)起方設(shè)備為遠程設(shè)備時，響應(yīng)方設(shè)備為與其對應(yīng)的本地設(shè)備。