本发明专利技术提供一种基于IKEv2的初始协商方法及装置,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,包括:当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟;根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。根据上述方案,当存在协商碰撞时,本端设备通过与对端设备进行协商使得自身设备保留与对端设备相同的安全联盟,能够成功实现后续的交互过程,从而解决了初始协商时发生协商碰撞导致协商失败的问题。
【技术实现步骤摘要】
—种基于IKEv2的初始协间方法及装置
本专利技术涉及网络通信
,特别涉及一种基于IKEv2的初始协商方法及装置。
技术介绍
IKEv2 (Internet Key Exchange Protocol Vers1n 2,互联网密钥交换协议版本号2)是针对IKE (Internet Key Exchange Protocol,互联网密钥交换协议)的安全漏洞进行了改进的版本,该IKEv2提高了密钥协商的安全性。 为了实现通信系统中的两个设备(例如,第一设备和第二设备)之间能够进行交互,需要两个设备通过初始协商过程建立安全隧道,以利用该安全隧道实现两个设备间的信息交互。其中,初始协商是指:第一设备向第二设备发起初始消息(INTI),第二设备针对该初始消息返回初始响应消息,以实现随机数(nonce)等信息的交互;以及第一设备向第二设备发送认证消息(AUTH),第二设备针对该认证消息返回认证响应消息,以完成两个设备之间的身份、证书等信息的交换。根据该初始协商过程,第一设备和第二设备之间生成一个相同的SA(Security Alliance,安全联盟),利用该生成的安全联盟进行后续交互。 然而,在两个设备间进行初始协商过程中,可能会发生协商碰撞,例如,在到达设定的初始协商时间时,第一设备作为发起端向第二设备发起协商请求,此时,第二设备也作为发起端向第一设备发起了协商请求,第一设备在尚未接收到第二设备返回的响应消息时,接收到了第二设备发送的该协商请求,确定该第二设备是自身作为发起端时的响应端,那么确定两个设备之间发生了协商碰撞。在初始协商过程中发生了协商碰撞,可能会导致初始协商结束后,通信双方均生成了两个安全联盟,或者,两个设备上所保留的一个安全联盟不相同,使得通信双方在后续交互时无法保证使用相同的一个安全联盟进行协商交互,从而导致协商失败,因此,急需提出一种方案,来解决初始协商过程中发生协商碰撞所导致的协商失败的问题。
技术实现思路
有鉴于此,本专利技术提供一种基于IKEv2的初始协商方法及装置,以解决通信双方在初始协商过程中发生协商碰撞所导致的协商失败的问题。 本专利技术提供了一种基于IKEv2的初始协商方法,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,包括: 当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟; 根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。 优选地,在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括: 获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值; 对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较; 根据比较结果,获得与对端设备相同的安全联盟。 优选地,在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括: 本端设备接收对端设备发送的未发生初始协商碰撞的通知消息,并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟,以保留与对端设备相同的安全联盟。 优选地,在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括: 本端设备删除第一安全联盟,并向对端设备发送自身未发生初始协商碰撞的通知消息,以使对端设备删除第一安全联盟。 优选地,所述检测到存在初始协商碰撞,具体包括: 本端设备接收对端设备发送的认证消息,根据所述认证消息携带的对端设备的设备信息,检测对端设备是否为本端设备作为发起端时的响应端,若是,确定存在初始协商碰撞。 本专利技术还提供了一种基于IKEv2的初始协商装置,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,包括: 获取单元,用于当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟; 协商单元,用于根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。 优选地,在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时,所述协商单元,具体用于获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值;对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较;根据比较结果,获得与对端设备相同的安全联盟。 优选地,在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时,所述协商单元,具体用于接收对端设备发送的未发生初始协商碰撞的通知消息,并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟,以保留与对端设备相同的安全联盟。 优选地,在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时,所述协商单元,具体用于删除第一安全联盟,并向对端设备发送自身未发生初始协商碰撞的通知消息,以使对端设备删除第一安全联盟。 优选地,还包括: 检测单元,用于接收对端设备发送的认证消息,根据所述认证消息携带的对端设备的设备信息,检测对端设备是否为本端设备作为发起端时的响应端,若是,确定存在初始协商碰撞。 本专利技术提供了一种基于IKEv2的初始协商方法及装置,当存在协商碰撞时,本端设备通过与对端设备进行协商使得自身设备保留与对端设备相同的安全联盟,能够成功实现后续的交互过程,从而解决了初始协商时发生协商碰撞导致协商失败的问题。 【附图说明】 为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。 图1是本专利技术实施例提供的初始协商方法流程图; 图2是本专利技术实施例提供的本端设备和对端设备均发生了初始协商碰撞时的示意图; 图3是本专利技术另一实施例提供的初始协商方法流程图; 图4是本专利技术实施例提供的本端设备发生初始协商碰撞、对端设备未发生初始协商碰撞时的示意图; 图5是本专利技术实施例提供的本端设备未发生初始协商碰撞、对端设备发生初始协商碰撞时的示意图; 图6是本专利技术另一实施例提供的初始协商方法示意图; 图7是本专利技术实施例提供的装置所在设备硬件架构示意图; 图8是本专利技术实施例提供的装置功能模块结构示意图。 【具体实施方式】 下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实本文档来自技高网...
【技术保护点】
一种基于IKEv2的初始协商方法,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,其特征在于,包括:当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟;根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。
【技术特征摘要】
1.一种基于IKEV2的初始协商方法,应用于通信系统中的本端设备,其中,通信系统中还包括与本端设备进行初始协商的对端设备,其特征在于,包括: 当检测到存在初始协商碰撞时,获取本端设备作为发起端生成的第一安全联盟和本端设备作为响应端生成的第二安全联盟; 根据第一安全联盟和第二安全联盟,通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟。2.根据权利要求1所述的方法,其特征在于,在所述检测到存在初始协商碰撞为本端设备与对端设备均发生了初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括: 获取第一安全联盟对应的随机值以及第二安全联盟对应的随机值; 对第一安全联盟对应的随机值与第二安全联盟对应的随机值进行比较; 根据比较结果,获得与对端设备相同的安全联盟。3.根据权利要求1所述的方法,其特征在于,在所述检测到存在初始协商碰撞为本端设备发生了初始协商碰撞、对端设备未发生初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括: 本端设备接收对端设备发送的未发生初始协商碰撞的通知消息,并根据对端设备发送的该未发生初始协商碰撞的通知消息删除第二安全联盟,以保留与对端设备相同的安全联盟。4.根据权利要求1所述的方法,其特征在于,在所述存在初始协商碰撞为本端设备未发生初始协商碰撞、对端设备发生了初始协商碰撞时,所述通过与对端设备进行协商,以使本端设备按照预定策略保留和对端设备相同的安全联盟,具体包括: 本端设备删除第一安全联盟,并向对端设备发送自身未发生初始协商碰撞的通知消息,以使对端设备删除第一安全联盟。5.根据权利要求1所述的方法,其特征在于,所述检测到存在初始协商碰撞,具体包括: 本端设备接收对端设备发送的认证消息...
【专利技术属性】
技术研发人员:宋晓欢,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。