专利名称:一种ike报文的协商方法和设备的制作方法
技术领域:
本发明涉及通信技术领域,特别是涉及一种IKE报文的协商方法和设备。
技术背景
在IPsec (IP Security, IP通信安全协议)发送一个数据包之前,需要先建立一个 SA (Security Association,安全联盟)。IKE (Internet Key Exchange,互联网密钥交换)是 一种混合型协议,用于动态建立SA。其中,IKE是一种密钥交换以及管理协议,用于 为 IPsec 提供密钥服务,建立在一个由 SA 和 ISAKMP (Internet SecurityAssociation and Key Mamigement Protocal,互联网安全联盟和密钥管理协议)定义的框架之上。同时,IKE 还实现了两种密钥管理技术Oakley和SKEME的一部分功能。IKE沿用了 ISAKMP的基 础、Oakley的模式以及SKEME的共享和密钥更新技术,从而定义出了验证加密材料生成 技术,以及协商共享策略。其中,Oakley定义模式,ISAKMP定义协商的阶段。
IKE协商有两个阶段,在第一阶段,IKE协商创建一个IKE SA,并对该IKE SA进行认证,为通信双方的进一步IKE通信提供机密性、数据完整性以及数据源认证服 务;在第二阶段,使用已建立的1尺£3人协商创建一个位%(^人。其中,每一个阶段的协 商过程又可以由不同的模式实现,如,第一阶段可以由主模式或者野蛮模式实现协商, 第二阶段由快速模式实现协商。
请参阅图1,其为由主模式实现第一阶段协商的协商过程示意图。如图1所示, 协商发起者和协商响应者之间通过交互收发6个协商报文完成第一阶段的协商。前四个 协商报文明文交换,后两个协商报文加密交换。除了主模式之外,还可以由野蛮模式实 现第一阶段的协商。请参阅图2,其为由野蛮模式实现第一阶段协商的协商过程示意图。 如图2所示,协商发起者和协商响应者之间通过交互收发3个协商报文即可完成第一阶段 的协商。当完成第一阶段的协商后,进入第二阶段的协商。请参阅图3,其为由快速模 式实现第二阶段协商的协商过程示意图。如图3所示,协商发起者和协商响应者之间通 过交互3个协商报文完成第二阶段的协商。
但是,发明人在研究中发现,在各个协商过程中,由于网络的不稳定,如网络 发生故障或者拥塞,使各个协商过程的最后一个协商报文在传输中容易丢失,从而导致 协商双方中的一方完成协商,而另一方没有完成协商。在第一阶段,当协商双方中的一 方出现协商失败后,VPN(Virtual PrivateNetwork,虚拟专用网)网络在IKE超时老化前不 可用。在第二阶段,当协商双方中的协商响应者出现协商失败后,协商响应者在接收到 协商发起者发送的报文后,由于不能解密会将接收到的报文全部丢掉。同时,由于协商 发起者继续向无效的响应者的SA(securityAssociation,安全联盟)发送数据包,从而浪费 了带宽并使这些数据包掉入黑洞。发明内容
为了解决上述技术问题,本发明实施例提供了一种IKE报文的协商方法和设4备,以保证第一阶段和第二阶段的协商能够成功,提高IKE协商的质量。
本发明实施例公开了如下技术方案
一种IKE报文的协商方法,包括发送自身需要发送的最后一个协商报文;判 断是否接收到对端响应报文;当接收到所述对端响应报文时,建立安全联盟SA,否则, 重新发送所述最后一个协商报文。
一种实现IKE报文协商的设备,包括发送单元,用于发送自身需要发送的最 后一个协商报文;判断单元,用于判断是否接收到对端响应报文;协商单元,用于当接 收到所述对端响应报文时,建立安全联盟SA;重发单元,用于当没有接收到所述对端响 应报文时,重新发送所述最后一个协商报文。
由上述实施例可以看出,在发送自身需要发送的最后一个协商报文后,判断是 否接收到对端响应报文,如果接收到对端响应报文,表示协商成功,建立安全联盟,如 果没有接收到对端响应报文,表示协商没有成功,重新发送最后一个协商报文,由此提 高了 IKE协商的质量。同时,防止当一方协商成功另一方失败时,协商成功的一方向协 商失败的一方发送加密报文因落入黑洞而浪费带宽。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或 现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅 是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提 下,还可以根据这些附图获得其他的附图。
图1为由主模式实现第一阶段协商的协商过程示意图2为由野蛮模式实现第一阶段协商的协商过程示意图3为由快速模式实现第二阶段协商的协商过程示意图4为一种IKE报文的协商方法的一个实施例的流程图5为一种IKE报文的协商方法的另一个实施例的流程图6为一种IKE报文的协商方法的另一个实施例的流程图7为网络故障下由野蛮模式实现第一阶段IKE报文的协商过程的一个示意 图8为一种IKE报文的协商方法的另一个实施例的流程图9为一种发送协商过程最后一个协商报文的方法流程图10为一种实现IKE报文协商的设备的一个实施例的结构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发 明实施例进行详细描述。
实施例一
请参阅图4,其为本申请一种IKE报文的协商方法的一个实施例的流程图。包 括以下步骤
步骤401 发送自身需要发送的最后一个协商报文;
步骤402:判断是否接收到对端响应报文,如果是,进入步骤403,否则,进入 步骤404 ;
其中,所述是否接收到对端响应报文具体为判断是否在预置时间内接收到对 端响应报文,如果是,判定接收到所述对端响应报文,否则,判定未接收到所述对端响 应报文。或者,在野蛮模式下,判断下一阶段的第一个协商报文是否在所述对端响应报 文之前到达,如果是,判定未接收到所述对端响应报文,否则,判定接收到所述对端响 应报文。
或者,
在野蛮模式下,判断预置时间或者下一阶段的第一个协商报文是否在对端响应 报文之前到达,如果是,判定未接收到所述对端响应报文,否则,判定接收到所述对端 响应报文。
所述预置时间可以为timesX2+5s,其中,times为重传所述最后一个协商报文的次数。
需要说明的是,本申请实施例对预置时间并不进行限定,除了采用上述数值之 外,还可以根据用户的应用需求进行任意设定。
步骤403:当接收到所述对端响应报文时,建立安全联盟SA;
步骤404:当没有接收到所述对端响应报文时,重新发送所述最后一个协商报文。
其中,所述重新发送所述最后一个协商报文具体为调取所述最后一个协商报 文,并发送调取的所述最后一个协商报文;
或者,
在主模式下,重新发起协商过程,在所述重新发起的协商过程中发送所述最后 一个协商报文。
在本申请实施例中,还可以设定报文的生命周期。当报文的生命周期到达时, 各个执行主体不再发送该报文。例如,在主模式中,当主模式协商报文(6)的生命周期 到达时,即使协商响应者重新收到主模式协商报文(5),也不会重新向协商发起者发送主 模式协商报文(6)。
报文的生命周期第一阶段可以为60s,在第二阶段可以为50s。需要说明的是, 本申请实施例对生命周期并不进行限定,除了采用上述数值之外,还可以根据用户的应 用需求进行任意设定。
由上述实施可以看出,在发送自身需要发送的最后一个协商报文后,判断是否 接收到对端响应报文,如果接收到对端响应报文,表示协商成功,建立安全联盟,如果 没有接收到对端响应报文,表示协商没有成功,重新发送最后一个协商报文。由此提高 了 IKE协商的质量。同时,防止当一方协商成功另一方失败时,协商成功的一方向协商 失败的一方发送加密报文因落入黑洞而浪费带宽。
实施例二
在本实施例中,以判断是否在预置时间内接收到对端响应报文为例,说明报文 的协商方法。请参阅图5,其为本申请一种IKE报文的协商方法的另一个实施例的流程 图。包括以下步骤
步骤501 当协商一方在发送自身需要发送的最后一个协商报文后的预置时间 内,没有接收到协商对端发送的协商响应报文时,重新向协商对方发送自身需要发送的 最后一个协商报文;
例如,在第一阶段,当由主模式实现第一阶段的协商时,由协商发起者向协商 响应者发送其应该发送的最后一个协商报文,即主模式协商报文(5),再由协商响应者向 协商发起者发送应答协商报文,即主模式协商报文(6)。
当由野蛮模式实现第一阶段的协商时,由协商响应者向协商发起者发送其应该 发送的最后一个协商报文,即野蛮式协商报文O),再由协商发起者向协商响应者发送应 答协商报文,即野蛮模式协商报文(3)。
在第二阶段,当由快速模式实现第二阶段的协商时,由协商响应者向协商发起 者发送其应该发送的最后一个协商报文,即快速模式协商报文O),再由协商发起者向协 商响应者发送应答协商报文,即快速模式协商报文(3)。
当由主模式实现第一阶段的协商时,如果协商发起者在发送主模式协商报文(5) 后的预置时间内,没有接收到主模式协商报文(6),就会重新向协商响应者发送主模式协 商报文(5)。
当由野蛮模式实现第一阶段的协商时,如果协商响应者在发送野蛮模式协商报 文(2)后的预置时间内,没有接收到野蛮模式协商报文(3),就会重新向协商发起者发送 野蛮模式协商报文(2)。
当由快速模式实现第二阶段的协商时,如果协商响应者在发送快速模式协商报 文(2)后的预置时间内,没有接收到快速模式协商报文(3),就会重新向协商发起者发送 快速模式协商报文(2)。
所述预置时间可以为timesX2+5s,其中,times为重传所述最后一个协商报文的次数。
需要说明的是,本申请实施例对预置时间并不进行限定,除了采用上述数值之 外,还可以根据用户的应用需求进行任意设定。
另外,在本申请实施例中,当报文的生命周期到达时,各个执行主体不再发送 该报文。例如,在主模式中,当主模式协商报文(6)的生命周期到达时,即使协商响应 者重新收到主模式协商报文(5),也不会重新向协商发起者发送主模式协商报文(6)。报 文的生命周期第一阶段可以为60s,在第二阶段可以为50s。需要说明的是,本申请实施 例对生命周期并不进行限定,除了采用上述数值之外,还可以根据用户的应用需求进行 任意设定。
还需要说明的是,在主模式下,当协商发起者在预置时间内没有协商响应者发 送的协商响应报文时,除了重新发送自身需要发送的最后一个协商报文之外,也可以通 过重新发起协商,再重新发起的协商过程,再次向协商响应者发送自身需要发送的最后 一个协商报文。
步骤502 当协商一方在发送自身需要发送的最后一个协商报文后的预置时间 内,接收到协商对端发送的协商响应报文时,建立安全联盟。
由上述实施例可以看出,在发送自身需要发送的最后一个协商报文后,判断是 否在预置时间内接收到对端响应报文,如果在预置时间内接收到对端响应报文,表示协商成功,建立安全联盟,如果没有在预置时间内接收到对端响应报文,表示协商没有成 功,重新发送最后一个协商报文,由此提高了 IKE协商的质量。同时,防止当一方协商 成功另一方失败时,协商成功的一方向协商失败的一方发送加密报文因落入黑洞而浪费 带宽。
实施例三
本实施例提供了另一种IKE报文的协商方法。本实施例的IKE报文协商方法仅 适用于野蛮模式。请参阅图6,其为一种IKE报文的协商方法的另一个实施例的流程图。 该方法包括以下步骤
步骤601:在野蛮模式下,当协商响应者发送自身需要发送的最后一个协商报 文后,如果在接收到协商发起者发送的协商响应报文之前接收到了第二阶段的第一个协 商报文,重新发送自身需要发送的最后一个协商报文;
例如,请参阅图7,其为网络故障下由野蛮模式实现第一阶段IKE报文的协商过 程的一个示意图。如图7所示,对于协商发起者而言,由于其已经完成了第一阶段的协 商过程,并进入第二阶段的协商过程,因此,协商发起者会向协商响应者继续发送第二 阶段的第一个协商报文。而此时协商响应者仍然没有收到最后一个协商报文,对于协商 响应者而言,第一阶段并未建立,因此协商响应者会重新向协商发起者发送自身需要发 送的最后一个协商报文。
步骤602:当协商响应者在发送自身需要发送的最后一个协商报文后,如果在 接收到第二阶段的第一个协商报文之前接收到了协商发起者发送的协商响应报文,建立安全联盟。
同时,需要说明的是,在本申请实施例中,当报文的生命周期到达时,各个执 行主体不再发送该报文。例如,在野蛮模式中,当野蛮模式协商报文(3)的生命周期到 达时,即使协商发起者重新收到野蛮模式协商报文O),也不会重新向协商响应者发送野 蛮模式协商报文(3)。报文的生命周期第一阶段可以为60s,在第二阶段可以为50s。需 要说明的是,本申请实施例对生命周期并不进行限定,除了采用上述数值之外,还可以 根据用户的应用需求进行任意设定。
由上述实施例可以看出,在发送自身需要发送的最后一个协商报文后,判断是 否在接收到协商发起者发送的协商响应报文之前接收到了第二阶段的第一个协商报文对 端响应报文,如果是,表示协商成功,建立安全联盟,如果否,表示协商没有成功,重 新发送最后一个协商报文,由此提高了 IKE协商的质量。同时,防止当一方协商成功另 一方失败时,协商成功的一方向协商失败的一方发送加密报文因落入黑洞而浪费带宽。
实施例四
本实施例提供了另一种IKE报文的协商方法。本实施例的IKE报文协商方法仅 适用于野蛮模式下,对于协商响应者,如果在接收到所述对端响应报文之前预置时间周 期到达,协商响应者在预置时间到达后向协商发起者重新发送自身需要发送的最后一个 协商报文,如果在接收到所述对端响应报文之前第二阶段的第一协商报文到达,协商响 应者在接收到第二阶段的第一协商报文后向协商发起者重新发送自身需要发送的最后一 个协商报文。请参阅图8,其为本申请一种IKE报文的协商方法的另一个实施例的流程 图。该方法包括以下步骤
步骤801:在野蛮模式下,当协商响应者发送自身需要发送的最后一个协商报 文后,如果在接收到所述对端响应报文之前预置时间到达,或者在接收到所述对端响应 报文之前下一阶段的第一个协商报文到达,重新发送自身需要发送的最后一个协商报 文;
步骤802:当协商响应者在发送自身需要发送的最后一个协商报文后,如果在 预置时间到达和接收到下一阶段的第一个协商报文之前接收到了协商发起者发送的协商 响应报文,建立安全联盟。
同时,需要说明的是,在本申请实施例中,当报文的生命周期到达时,各个执 行主体不再发送该报文。例如,在野蛮模式中,当野蛮模式协商报文(3)的生命周期到 达时,即使协商发起者重新收到野蛮模式协商报文O),也不会重新向协商响应者发送野 蛮模式协商报文(3)。
报文的生命周期在第一阶段可以为60s,在第二阶段可以为50s。需要说明的 是,本申请实施例对生命周期并不进行限定,除了采用上述数值之外,还可以根据用户 的应用需求进行任意设定。
由上述实施例可以看出,在发送自身需要发送的最后一个协商报文后,判断在 预置时间到达之前先接收到下一阶段的第一个协商报文,或者在接收到下一阶段的第一 个协商报文之前预置时间到达,表示协商成功,建立安全联盟,如果在预置时间到达和 接收到下一阶段的第一个协商报文之前接收到了协商发起者发送的协商响应报文,表示 协商没有成功,重新发送最后一个协商报文,由此提高了 IKE协商的质量。同时,防止 当一方协商成功另一方失败时,协商成功的一方向协商失败的一方发送加密报文因落入 黑洞而浪费带宽。
实施例五
下面将详细说明在IKE协商的两个阶段的不同模式中,当协商一方((当主模式 下为协商响应者,或者当野蛮模式下为协商发起者)发送协商过程的最后一个协商报文 的具体实现过程。请参阅图9,其为一种发送协商过程最后一个协商报文的方法流程图, 实施步骤如下
步骤901 根据逻辑条件(initiatorMstep^ 2) )&& (status == ready)判断当前要发送的协商报文是否为协商过程的最后一个协商报文,如果该逻辑条件为真,进入步骤 902 ;如果该逻辑条件为假,结束流程;
其中,initiator表示当前要发送的协商报文的发送者的标识,如果发送者是协商 发起者,则:initiator为1,如果是协商响应者,则:initiator为0。step表示协商步骤,step 从0开始计数,step为0时表示协商步骤为1,以此类推。status表示当前要发送的协商 报文的序列号,status从1开始计数,status为1表示当前要发送的协商报文为报文(1), 如果是协商过程的最后一个协商报文,status为ready。
根据该逻辑条件不难发现,如果当前要发送的协商报文的类型为协商过程的最 后一个协商报文,其逻辑条件为真。
步骤902 根据逻辑条件(last_sent&& (ikgs&MSG_LAST))来判断是否保存要发送的最后一个协商报文,如果逻辑条件为假,进入步骤903,如果逻辑条件为真,进入 步骤904 ;
步骤903:将要发送的最后一个协商报文的类型ikgs设为MSG_LAST,将要发送的最后一个协商报文记录在变量last_sent中,发送最后一个协商报文,结束流程;
步骤904:发送最后一个协商报文,结束流程。
其中,(1)若为主模式,则有initiator为0,由协商响应者根据逻辑条件(last_ sent&& (ikgs&MSG_LAST))来判断是否保存该报文。如果(last_sent&& (flags&MSG_ LAST))条件为假,说明第一次发送该最后一个协商报文,则需要将fliigs设为MSG_ LAST,同时将第一次发送的最后一个协商报文(6)记录在变量laSt_Sent中进行保存,并 发送该报文;若逻辑条件为真,说明是重复发送最后一个协商报文,由于最后一个协商 报文已经在第一次发送时进行了保存,此时就不需要再进行保存,而是直接重传该报文 即可。
(2)若为野蛮模式,则有initiator为1,由协商发起者根据逻辑条件(last_ sent&& (ikgs&MSG_LAST))来是判断是否保存该报文。如果(last_sent&& (flags&MSG_ LAST))条件为假,说明第一次发送该最后一个协商报文,则需要将fliigs设为MSG_ LAST,同时将第一次发送的最后一个协商报文C3)记录在变量laSt_Sent中进行保存,并 发送该报文;若条件为真,则说明是重复发送最后一个协商报文,由于最后一个协商报 文已经在第一次发送时进行了保存,此时就不需要再进行保存,而是直接重传该报文即 可。
(3)若为快速模式,同样有initiator为1,由发起者根据逻辑条件(last_ sent&& (ikgs&MSG_LAST))来是判断是否保存该报文。如果(last_sent&& (ikgs&MSG_ LAST))条件为假,说明第一次发送该最后一个报文,则需要将fliigs设为MSG_LAST,同时将第一次发送的最后一个协商报文( 记录在变量laSt_Sent中进行保存,并发送该报 文;若条件为真,则说明已经是重复发送最后一个协商报文,由于最后一个协商报文已 经在第一次发送时进行了保存,此时就不需要再进行保存,而是直接重传该报文即可。
由上述实施例可以看出,在发送自身需要发送的最后一个协商报文后,判断是 否接收到对端响应报文,如果接收到对端响应报文,表示协商成功,建立安全联盟,如 果没有接收到对端响应报文,表示协商没有成功,重新发送最后一个协商报文,由此提 高了 IKE协商的质量。同时,防止当一方协商成功另一方失败时,协商成功的一方向协 商失败的一方发送加密报文因落入黑洞而浪费带宽。
实施例六
与上述一种协商报文的重传方法相对应,本发明实施例还提供了一种协商报文 的重传系统。请参阅图10,其为本申请一种实现IKE报文协商的设备的一个实施例的结 构图,包括发送单元1001、判断单元1002、协商单元1003和重发单元1004,其中,
发送单元1001,用于发送自身需要发送的最后一个协商报文;
判断单元1002,用于判断是否接收到对端响应报文;
协商单元1003,用于当接收到所述对端响应报文时,建立安全联盟SA;
重发单元1004,用于当没有接收到所述对端响应报文时,重新发送所述最后一 个协商报文。
其中,判断单元1002包括第一判断子单元,用于判断是否在预置时间内接收 到对端响应报文,如果是,判定接收到所述对端响应报文,否则,判定未接收到所述对端响应报文。
或者,
第二判断子单元,用于在野蛮模式下,下一阶段的第一个协商报文是否在所述 对端响应报文之前到达,如果是,判定未接收到所述对端响应报文,否则,判定接收到 所述对端响应报文。
或者,
第三判断子单元,用于在野蛮模式下,判断预置时间或者下一阶段的第一个协 商报文是否在对端响应报文之前到达,如果是,判定未接收到所述对端响应报文,否 则,判定接收到所述对端响应报文。
其中,重发单元1004包括第一重发子单元,用于调取所述最后一个协商报 文,并发送调取的所述最后一个协商报文;
或者,
第二重发子单元,用于在主模式下,重新发起协商过程,在所述重新发起的协 商过程中发送所述最后一个协商报文。
由上述实施例可以看出,在发送自身需要发送的最后一个协商报文后,判断是 否接收到对端响应报文,如果接收到对端响应报文,表示协商成功,建立安全联盟,如 果没有接收到对端响应报文,表示协商没有成功,重新发送最后一个协商报文。由此提 高了 IKE协商的质量。同时,防止当一方协商成功另一方失败时,协商成功的一方向协 商失败的一方发送加密报文因落入黑洞而浪费带宽。
本申请中协商报文的重传方法和重传系统适用于主机和主机之间,主机和网关 之间,以及网关与网关之间建立IPSec道道。公网之间建立IPsec隧道,对流量进行加 密。防火墙A和B可以作为协商过程的协商发起者和协商响应者。此外,本申请中协商 报文的重传方法和重传系统还适用于出差在外的人员,此时可以将防火墙配置成模板。 与公网相连的PC上安装客户端软件。当需要访问总部的数据时,每一台PC都单独建立 一条自己的隧道,保护在公网上的传输数据。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或 部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计 算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其 中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随 机存储记忆体(Random AccessMemory,RAM)等。
以上对本发明所提供的一种IKE报文的协商方法和设备进行了详细介绍,本文 中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用 于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发 明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不 应理解为对本发明的限制。
权利要求
1.一种IKE报文的协商方法,其特征在于,包括 发送自身需要发送的最后一个协商报文;判断是否接收到对端响应报文;当接收到所述对端响应报文时,建立安全联盟SA,否则,重新发送所述最后一个协 商报文。
2.根据权利要求1所述的方法,其特征在于,所述判断是否接收到对端响应报文具体为判断是否在预置时间内接收到对端响应报文,如果是,判定接收到所述对端响应报 文,否则,判定未接收到所述对端响应报文。
3.根据权利要求1所述的方法,其特征在于,所述判断是否接收到对端响应报文具体为在野蛮模式下,判断下一阶段的第一个协商报文是否在所述对端响应报文之前到 达,如果是,判定未接收到所述对端响应报文,否则,判定接收到所述对端响应报文。
4.根据权利要求1所述的方法,其特征在于,所述判断是否接收到对端响应报文具体为在野蛮模式下,判断预置时间或者下一阶段的第一个协商报文是否在对端响应报文 之前到达,如果是,判定未接收到所述对端响应报文,否则,判定接收到所述对端响应 报文。
5.根据权利要求1-4中的任意一项所述的方法,其特征在于,所述重新发送所述最后 一个协商报文具体为调取所述最后一个协商报文,并发送调取的所述最后一个协商报文; 或者,在主模式下,重新发起协商过程,在所述重新发起的协商过程中发送所述最后一个 协商报文。
6.根据权利要求2所述的方法,其特征在于,所述预置时间为timeSX2+5S,其中, times为重传所述最后一个协商报文的次数。
7.—种实现IKE报文协商的设备,其特征在于,包括 发送单元,用于发送自身需要发送的最后一个协商报文; 判断单元,用于判断是否接收到对端响应报文;协商单元,用于当接收到所述对端响应报文时,建立安全联盟SA;重发单元,用于当没有接收到所述对端响应报文时,重新发送所述最后一个协商报文。
8.根据权利要求7所述的设备,其特征在于,所述判断单元包括第一判断子单元,用于判断是否在预置时间内接收到对端响应报文,如果是,判定 接收到所述对端响应报文,否则,判定未接收到所述对端响应报文。
9.根据权利要求7所述的设备,其特征在于,所述判断单元包括第二判断子单元,用于在野蛮模式下,判断下一阶段的第一个协商报文是否在所述 对端响应报文之前到达,如果是,判定未接收到所述对端响应报文,否则,判定接收到 所述对端响应报文。
10.根据权利要求7-9中的任意一项所述的设备,其特征在于,所述重发单元包括 第一重发子单元,用于调取所述最后一个协商报文,并发送调取的所述最后一个协 商报文; 或者,第二重发子单元,用于在主模式下,重新发起协商过程,在所述重新发起的协商过 程中发送所述最后一个协商报文。
全文摘要
本发明实施例公开了一种IKE报文的协商方法和设备。其中一种所述方法包括发送自身需要发送的最后一个协商报文;判断是否接收到对端响应报文;当接收到所述对端响应报文时,建立安全联盟SA,否则,重新发送所述最后一个协商报文。根据本申请实施例,可以提高第一阶段和第二阶段IKE协商的质量。
文档编号H04L29/06GK102025742SQ20101059241
公开日2011年4月20日 申请日期2010年12月16日 优先权日2010年12月16日
发明者谭龙远 申请人:成都市华为赛门铁克科技有限公司