本申請供一種IPSec協商方法及裝置，應用于支持IPSec的網絡設備中，所述方法包括：在確定與支持IPSec的第二網絡設備的配置一致后，向第二網絡設備發送第一網絡設備的第一身份信息，第一身份信息是采用第一編碼方式對中文字符串身份標識進行編碼得到的；若接收到第二網絡設備的身份驗證失敗消息或者在設定次數重傳第一身份信息后未收到回應，則向第二網絡設備發送第一網絡設備的第二身份信息，第二身份信息是采用第二編碼方式對中文字符串身份標識進行編碼得到的；根據第二網絡設備的回應確定與第二網絡設備之間的IPSec協商是否成功。應用本申請的實施例，可以大大提升第一網絡設備與第二網絡設備之間的IPSec協商的成功率。

技術領域

本申請涉及網絡通信技術領域，特別設計一種互聯網協議安全(InternetProtocol Security，IPSec)協商方法和裝置。

背景技術

IPSec在互聯網協議(Internet Protocol，IP)層提供安全服務，它使系統能按需選擇安全協議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置，用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。IPSec隧道是網絡中兩個IPSec實體采用IPSec協議建立起來的虛擬連接通信通道。

IPSec作為標準的互聯網協議，在所有支持IPSec的網絡設備之間應是可以互聯互通的。但是因為各個網絡設制造備商在遵循標準協議規范的前提下實現IPSec仍存在細節上的差異，在某些策略配置時互相對接不成功。

例如，支持IPSec的兩個網絡設備在IPSec協商過程中會交換身份信息，并對接收到的身份信息進行驗證，如果支持IPSec的兩個網絡設備對身份信息的編碼規則不一致，就會互相驗證失敗，從而支持IPSec的兩個網絡設備之間不能建立IPSec隧道，致使IPSec隧道建立的成功率比較低。因此，目前亟需一種IPSec協商方法來解決IPSec隧道建立的成功率比較低的問題。

發明內容

有鑒于此，本申請提供一種IPSec協商方法和裝置，以解決IPSec隧道建立的成功率比較低的問題。

具體地，本申請是通過如下技術方案實現的：

一種IPSec協商方法，應用于支持IPSec的第一網絡設備中，所述方法包括：

在確定與支持IPSec的第二網絡設備的配置一致后，向所述第二網絡設備發送所述第一網絡設備的第一身份信息，所述第一身份信息是采用第一編碼方式對中文字符串身份標識進行編碼得到的；若接收到所述第二網絡設備的身份驗證失敗消息或者在設定次數重傳所述第一身份信息后未收到回應，則向所述第二網絡設備發送所述第一網絡設備的第二身份信息，所述第二身份信息是采用第二編碼方式對所述中文字符串身份標識進行編碼得到的；根據所述第二網絡設備的回應確定與所述第二網絡設備之間的IPSec協商是否成功；和/或，

接收所述第二網絡設備發送的所述第二網絡設備的第三身份信息；采用所述第一編碼方式對所述第三身份信息進行解碼并驗證，若采用所述第一編碼方式對所述第三身份信息進行解碼并驗證失敗，則采用所述第二編碼方式對所述第三身份信息進行解碼并驗證，并根據采用所述第二編碼方式對所述第三身份信息進行解碼并驗證的結果回應所述第二網絡設備。

一種IPSec協商裝置，應用于支持IPSec的第一網絡設備中，所述裝置包括：

第一協商模塊，用于在確定與支持IPSec的第二網絡設備的配置一致后，向所述第二網絡設備發送所述第一網絡設備的第一身份信息，所述第一身份信息是采用第一編碼方式對中文字符串身份標識進行編碼得到的；若接收到所述第二網絡設備的身份驗證失敗消息或者在設定次數重傳所述第一身份信息后未收到回應，則向所述第二網絡設備發送所述第一網絡設備的第二身份信息，所述第二身份信息是采用第二編碼方式對所述中文字符串身份標識進行編碼得到的；根據所述第二網絡設備的回應確定與所述第二網絡設備之間的IPSec協商是否成功；和/或，