IPSec协商方法和装置制造方法及图纸

本申请供一种IPSec协商方法及装置，应用于支持IPSec的网络设备中，所述方法包括：在确定与支持IPSec的第二网络设备的配置一致后，向第二网络设备发送第一网络设备的第一身份信息，第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的；若接收到第二网络设备的身份验证失败消息或者在设定次数重传第一身份信息后未收到回应，则向第二网络设备发送第一网络设备的第二身份信息，第二身份信息是采用第二编码方式对中文字符串身份标识进行编码得到的；根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功。应用本申请的实施例，可以大大提升第一网络设备与第二网络设备之间的IPSec协商的成功率。

【技术实现步骤摘要】
IPSec协商方法和装置
本申请涉及网络通信
，特别设计一种互联网协议安全(InternetProtocolSecurity，IPSec)协商方法和装置。
技术介绍
IPSec在互联网协议(InternetProtocol，IP)层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置，用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。IPSec隧道是网络中两个IPSec实体采用IPSec协议建立起来的虚拟连接通信通道。IPSec作为标准的互联网协议，在所有支持IPSec的网络设备之间应是可以互联互通的。但是因为各个网络设制造备商在遵循标准协议规范的前提下实现IPSec仍存在细节上的差异，在某些策略配置时互相对接不成功。例如，支持IPSec的两个网络设备在IPSec协商过程中会交换身份信息，并对接收到的身份信息进行验证，如果支持IPSec的两个网络设备对身份信息的编码规则不一致，就会互相验证失败，从而支持IPSec的两个网络设备之间不能建立IPSec隧道，致使IPSec隧道建立的成功率比较低。因此，目前亟需一种IPSec协商方法来解决IPSec隧道建立的成功率比较低的问题。
技术实现思路
有鉴于此，本申请提供一种IPSec协商方法和装置，以解决IPSec隧道建立的成功率比较低的问题。具体地，本申请是通过如下技术方案实现的：一种IPSec协商方法，应用于支持IPSec的第一网络设备中，所述方法包括：在确定与支持IPSec的第二网络设备的配置一致后，向所述第二网络设备发送所述第一网络设备的第一身份信息，所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的；若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应，则向所述第二网络设备发送所述第一网络设备的第二身份信息，所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的；根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功；和/或，接收所述第二网络设备发送的所述第二网络设备的第三身份信息；采用所述第一编码方式对所述第三身份信息进行解码并验证，若采用所述第一编码方式对所述第三身份信息进行解码并验证失败，则采用所述第二编码方式对所述第三身份信息进行解码并验证，并根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备。一种IPSec协商装置，应用于支持IPSec的第一网络设备中，所述装置包括：第一协商模块，用于在确定与支持IPSec的第二网络设备的配置一致后，向所述第二网络设备发送所述第一网络设备的第一身份信息，所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的；若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应，则向所述第二网络设备发送所述第一网络设备的第二身份信息，所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的；根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功；和/或，第二协商模块，用于接收所述第二网络设备发送的所述第二网络设备的第三身份信息；采用所述第一编码方式对所述第三身份信息进行解码并验证，若采用所述第一编码方式对所述第三身份信息进行解码并验证失败，则采用所述第二编码方式对所述第三身份信息进行解码并验证，并根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备。由以上本申请提供的技术方案可见，在确定与支持IPSec的第二网络设备的配置一致后，向所述第二网络设备发送所述第一网络设备的第一身份信息，所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的；若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应，则向所述第二网络设备发送所述第一网络设备的第二身份信息，所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的；根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功。该方案中，第一网络设备与第二网络设备之间在进行IPSec协商时，首先采用第一编码方式对中文字符串身份标识进行编码后，得到第一身份信息，向第二网络设备发送第一身份信息，若第二网络设备验证失败，再采用第二编码方式对中文字符串身份标识进行编码后发送给第二网络设备，根据第二网络设备的回应确定与第二网络设备之间的IPSec协商是否成功，由于当前中文字符串常用的为第一编码方式和第二编码方式，在第二网络设备验证失败后，重新使用另一种编码方式对中文字符串进行编码，从而可以大大提升第一网络设备与第二网络设备之间的IPSec协商的成功率。附图说明图1为本申请示出的一种IPSec协商方法的流程图；图2为本申请示出的另一种IPSec协商方法的流程图；图3为本申请示出的一种IPSec协商装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。为了解决上述技术问题，专利技术人经过深入研究发现：支持IPSec的两个网络设备之间是通过发送协商报文相互交换数据以建立起IPSec隧道，交换的数据包括算法提议、身份信息等，其中，身份标识是网络设备各自配置的，可以配置为中文，若使用ISAKMP协议交换数据，交互过程如下表1所示：表1由表1可见，网络设备在消息序列为5和6的消息中会发送对自己的身份标识(表1中的ID)经过编码后得到的身份信息，发起方与响应方接收到对端的身份信息后会解析并验证。在解析并验证对端的身份信息时不关注其编码方式，会默认与本地编码方式一致，若验证失败，则IPSec协商失败，但实际上双方配置上是一致的，只是因为身份信息的编码方式不同而导致IPSec协商失败。并且，在验证失败后，不回应身份验证失败消息，对端不知道为何得不到响应，造成IPSec隧道建立不成功且定位问题困难，用户使用体验差，IPSec隧道对接兼容性低。为了解决上述问题，本专利技术实施例提供了一种IPSec协商方法，以提高支持IPSec的两个网络设备之间的IPSec隧道本文档来自技高网...

【技术保护点】
1.一种IPSec协商方法，应用于支持IPSec的第一网络设备中，其特征在于，所述方法包括：在确定与支持IPSec的第二网络设备的配置一致后，向所述第二网络设备发送所述第一网络设备的第一身份信息，所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的；若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应，则向所述第二网络设备发送所述第一网络设备的第二身份信息，所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的；根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功；和/或，接收所述第二网络设备发送的所述第二网络设备的第三身份信息；采用所述第一编码方式对所述第三身份信息进行解码并验证，若采用所述第一编码方式对所述第三身份信息进行解码并验证失败，则采用所述第二编码方式对所述第三身份信息进行解码并验证，并根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备。

【技术特征摘要】
1.一种IPSec协商方法，应用于支持IPSec的第一网络设备中，其特征在于，所述方法包括：在确定与支持IPSec的第二网络设备的配置一致后，向所述第二网络设备发送所述第一网络设备的第一身份信息，所述第一身份信息是采用第一编码方式对中文字符串身份标识进行编码得到的；若接收到所述第二网络设备的身份验证失败消息或者在设定次数重传所述第一身份信息后未收到回应，则向所述第二网络设备发送所述第一网络设备的第二身份信息，所述第二身份信息是采用第二编码方式对所述中文字符串身份标识进行编码得到的；根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功；和/或，接收所述第二网络设备发送的所述第二网络设备的第三身份信息；采用所述第一编码方式对所述第三身份信息进行解码并验证，若采用所述第一编码方式对所述第三身份信息进行解码并验证失败，则采用所述第二编码方式对所述第三身份信息进行解码并验证，并根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备。2.根据权利要求1所述的方法，其特征在于，根据所述第二网络设备的回应确定与所述第二网络设备之间的IPSec协商是否成功，具体包括：若接收到所述第二网络设备发送的身份验证成功消息，则确定与所述第二网络设备之间的IPSec协商成功；若接收到所述第二网络设备发送的身份验证失败消息或者在所述设定次数重传所述第二身份信息后未收到回应，则确定与所述第二网络设备之间的IPSec协商失败。3.根据权利要求1所述的方法，其特征在于，根据采用所述第二编码方式对所述第三身份信息进行解码并验证的结果回应所述第二网络设备，具体包括：若采用所述第二编码方式对所述第三身份信息进行解码并验证成功，则向所述第二网络设备发送身份验证成功消息；若采用所述第二编码方式对所述第三身份信息进行解码并验证失败，则向所述第二网络设备发送身份验证失败消息或者不作回应。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：采用所述第一编码方式对所述第三身份信息进行解码；若采用所述第一编码方式对所述第三身份信息进行解码成功，则在Web页面显示解码后的所述第三身份信息；若采用所述第一编码方式对所述第三身份信息进行解码失败，则采用所述第二编码方式与所述第一编码方式的转换方式转换所述第三身份信息；采用所述第一编码方式对转换后的所述第三身份信息进行解码；若采用所述第一编码方式对转换后的所述第三身份信息进行解码成功，则在所述Web页面显示解码后的所述第三身份信息；若采用所述第一编码方式对转换后的所述第三身份信息进行解码失败，则采用URL编码方式转换所述第三身份信息，在所述Web页面显示URL编码方式转换后的所述第三身份信息。5.根据权利要求1-4任一所述的方法，其特征在于，向所述第二网络设备发送所述第一网络设备的第一身份信息之后，所述方法还包括：若接收到所述第二网络设备的身份验证成功消息，则确定与所述第二网络设备之间的IPSec协商成功。6.根据权利要求1-4任一所述的方法，其特征在于，采用所述第一编码方式对所述第三身份信息进行解码并验证之后，还包括：若采用所述第一编码方式对所述第三身份信息进行解码并验证成功，则向所述第二网络设备发送身份验证成功消息。7.一种IPSec协商装置，应用于支持IPSec的第一网络设备中，...

【专利技术属性】
技术研发人员：黄春平，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33