技術領域

本發明涉及通信技術領域，具體涉及一種IKE協商方法。

背景技術

因特網協議安全（IPSec）是一種由IETF（Internet?Engineering?Task?Force）設計的端到端的確保因特網IP層通信安全的機制，包括網絡認證協議（AH）、封裝安全載荷協議（ESP）、密鑰交換協議（IKE）和用于網絡認證及加密的一些算法等。其中，IKE為IPSec提供了自動協商交換密鑰、建立安全聯盟的服務，能夠簡化IPSec的使用、管理、配置和維護工作。

IKE協商通常需要進行ike?sa（security?association）協商階段的配置、預共享密鑰配置、以及ipsec?sa協商階段的配置。其中ike?sa協商階段的配置包括：加密方法、認證方法、精確轉發保密（PFS）協商方法、Diffie-Hellman（DH）組、ike?sa超時時間等，而ipsec?sa協商階段的配置包括加密方法、認證方法、ipsec?sa超時時間、流量超時、流保護配置等。

以上各種配置必須保證IPSec隧道兩端完全相同（其中流保護配置必需保證兩端對稱），才能協商通過，而且配置后若有修改，必須兩端同時進行修改，使得IKE協商過程復雜。

發明內容

（一）要解決的技術問題

本發明主要解決現有技術中IKE協商時IPSec隧道兩端配置復雜、維護成本高的技術問題。

（二）技術方案

本發明提供了一種IKE協商方法，包括以下步驟：

A、發送端向網關發送協商報文，所述協商報文未攜帶配置信息；

B、所述網關將配置信息設置在所述協商報文中，然后將攜帶所述配置信息的協商報文轉發給接收端；

C、所述接收端接收到所述網關轉發來的攜帶所述配置信息的協商報文后，直接接受所述配置信息，并使用所述配置信息對所述發送端進行回應。

其中，所述發送端和接收端為帶IPSec隧道功能的網絡設備。

其中，所述網關將配置信息設置在所述協商報文中具體包括：

所述網關通過人工或者自動的方式將配置信息設置在所述協商報文中。

可選的，所述網關具有動態監測網絡安全的功能，所述網關將配置信息設置在所述協商報文中具體包括：

所述網關根據網絡安全狀況將配置信息設置在所述協商報文中。

（三）有益效果

本發明提供了一種IKE協商方法，該方法通過網關來設置配置信息，使IPSec隧道兩端實現缺省配置，簡化維護成本。而且，網關能夠根據網絡安全情況動態修改配置信息，以確保協商的安全性。

附圖說明

圖1是本發明方法的流程圖；

圖2是本發明中網絡系統的結構框圖；

圖3是本發明實施例的流程圖。

具體實施方式

下面結合附圖和實施例，對本發明的具體實施方式作進一步詳細描述。以下實施例用于說明本發明，但不用來限制本發明的范圍。

圖1是本發明方法的流程圖，包括以下步驟：

A、發送端向網關發送協商報文，所述協商報文未攜帶配置信息；

B、所述網關將配置信息設置在所述協商報文中，然后將攜帶所述配置信息的協商報文轉發給接收端；

C、所述接收端接收到所述網關轉發來的攜帶所述配置信息的協商報文后，直接接受所述配置信息，并使用所述配置信息對所述發送端進行回應。

其中，所述發送端和接收端為帶IPSec隧道功能的網絡設備。

其中，所述網關將配置信息設置在所述協商報文中具體包括：

所述網關通過人工或者自動的方式將配置信息設置在所述協商報文中。

可選的，所述網關具有動態監測網絡安全的功能，所述網關將配置信息設置在所述協商報文中具體包括：

所述網關根據網絡安全狀況將配置信息設置在所述協商報文中。

圖2是本發明實施例中網絡系統的結構框圖，FWa設備和FWb設備為帶IPSec隧道功能的網絡設備，NAT設備為安全網關（可帶動態監測網絡安全的功能）。

圖3是本發明實施例的流程圖，具體實施步驟如下：

步驟S1，FWa設備與FWb設備建立IPSec隧道，進行IKE協商。

步驟S2，FWa設備作為主動發起協商的設備，向NAT設備發送協商報文，該協商報文中未攜帶配置信息（正常情況下IKE協商報文中會攜帶配置信息）。