專利名稱:Ike主模式協(xié)商方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�,特別涉及ー種IKE主模式協(xié)商方法����。
背景技術(shù):
IKE協(xié)商方法分為兩種模式主模式和野蠻模式,其中��,野蠻模式可以根據(jù)用戶身份�,來配置對應(yīng)的密鑰,再通過此密鑰進行IKE協(xié)商交互�����。野 蠻模式可以使用用戶身份對應(yīng)的密鑰,是因為用戶身份在野蠻模式第一個協(xié)商報文就攜帯了本端用戶身份信息�����,所以對端接收到協(xié)商報文后就可以根據(jù)對端發(fā)過來的用戶身份去匹配查找本端事先配置好的與此用戶身份對應(yīng)的密鑰���。但主模式是在IKE第三次交互協(xié)商信息時才攜帯本端用戶身份信息,又由于主模式在IKE第二次交互協(xié)商前必須確定密鑰����,所以在主模式協(xié)商時只能使用報文的ip地址,而不能使用用戶身份來確認本端事先配置的協(xié)商密鑰�。好處在于,主模式相比野蠻模式在安全性方面強了很多�,但在ip地址不確定(例如進行了網(wǎng)絡(luò)地址轉(zhuǎn)換NAT后的ip地址),又需要使用更安全的主模式進行IKE隧道建立時�����,就無法完成����。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問題本發(fā)明要解決的技術(shù)問題是如何在ip地址不確定的情況下,實現(xiàn)IKE主模式協(xié)商方法���。(ニ)技術(shù)方案為解決上述技術(shù)問題���,本發(fā)明提供了ー種IKE主模式協(xié)商方法���,所述方法包括當前端向?qū)Χ税l(fā)起IKE主模式協(xié)商的第一階段中,所述當前端和對端進行第一次交互協(xié)商時�,在發(fā)送的報文中帶上各自的用戶身份信息;所述當前端和對端在第二次交互協(xié)商吋��,向?qū)Ψ桨l(fā)送DH加密信息���;所述當前端和對端在第三次交互協(xié)商時��,根據(jù)對方的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰���。優(yōu)選地,所述當前端和對端在進行第一次交互協(xié)商時�����,具體包括Al :所述當前端向所述對端發(fā)送第一協(xié)商報文���,所述第一協(xié)商報文包括所述當前端的用戶身份信息��;A2:所述對端對所述第一協(xié)商報文進行解析�,獲得所述當前端的用戶身份,并向所述當前端發(fā)送第一回應(yīng)報文�,所述第一回應(yīng)報文包括所述對端的用戶身份信息;A3:所述當前端對所述第一回應(yīng)報文進行解析��,獲得所述對端的用戶身份信息�����。優(yōu)選地��,所述DH加密信息為Diffie-Hellman密鑰交換算法�����。優(yōu)選地�,所述當前端和對端在進行第三次交互協(xié)商時����,具體包括BI :所述當前端向所述對端發(fā)送第三協(xié)商報文,所述對端根據(jù)所述當前端的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰��;B2:所述對端向所述當前端發(fā)送第三回應(yīng)報文��,所述當前端根據(jù)所述對端的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰;B3 :所述當前端和對端分別對各自的密鑰進行驗證����。(三)有益效果本發(fā)明通過當前端和對端進行第一次交互協(xié)商時,在發(fā)送的報文中帶上各自的用戶身份信息����,使得在ip地址不確定的情況下,實現(xiàn)了 IKE主模式協(xié)商方法��。
圖I是按照本發(fā)明ー種實施方式的IKE主模式協(xié) 商方法的流程圖�����。
具體實施例方式下面結(jié)合附圖和實施例����,對本發(fā)明的具體實施方式
作進ー步詳細描述�����。以下實施例用于說明本發(fā)明����,但不用來限制本發(fā)明的范圍�。圖I是按照本發(fā)明ー種實施方式的IKE主模式協(xié)商方法的流程圖��;參照圖1���,所述方法包括當前端向?qū)Χ税l(fā)起IKE主模式協(xié)商的第一階段中,所述當前端和對端在第一次交互協(xié)商時�,在發(fā)送的報文中帶上各自的用戶身份信息;所述當前端和對端在第二次交互協(xié)商吋��,向?qū)Ψ桨l(fā)送DH加密信息���;所述當前端和對端在第三次交互協(xié)商時,根據(jù)對方的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰���。優(yōu)選地�����,所述當前端和對端在進行第一次交互協(xié)商時�����,具體包括Al :所述當前端向所述對端發(fā)送第一協(xié)商報文�����,所述第一協(xié)商報文包括所述當前端的用戶身份信息��;A2:所述對端對所述第一協(xié)商報文進行解析�����,獲得所述當前端的用戶身份�,并向所述當前端發(fā)送第一回應(yīng)報文,所述第一回應(yīng)報文包括所述對端的用戶身份信息�;A3 :所述當前端對所述第一回應(yīng)報文進行解析,獲得所述對端的用戶身份信息����。優(yōu)選地,所述DH加密信息為DifTie-Hellman密鑰交換算法�����。優(yōu)選地�����,所述當前端和對端在進行第三次交互協(xié)商吋��,具體包括BI :所述當前端向所述對端發(fā)送第三協(xié)商報文�,所述對端根據(jù)所述當前端的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰�����;B2:所述對端向所述當前端發(fā)送第三回應(yīng)報文�,所述當前端根據(jù)所述對端的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰�;B3 :所述當前端和對端分別對各自的密鑰進行驗證。以上實施方式僅用于說明本發(fā)明�,而并非對本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員����,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型�����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇�,本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定����。
權(quán)利要求
1.ー種IKE主模式協(xié)商方法,其特征在于,所述方法包括 當前端向?qū)Χ税l(fā)起IKE主模式協(xié)商的第一階段中,所述當前端和對端進行第一次交互協(xié)商時�,在發(fā)送的報文中帶上各自的用戶身份信息; 所述當前端和對端在第二次交互協(xié)商吋����,向?qū)Ψ桨l(fā)送DH加密信息�����; 所述當前端和對端在第三次交互協(xié)商時����,根據(jù)對方的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰�����。
2.如權(quán)利要求I所述的方法����,其特征在于,所述當前端和對端在進行第一次交互協(xié)商時���,具體包括 Al :所述當前端向所述對端發(fā)送第一協(xié)商報文�,所述第一協(xié)商報文包括所述當前端的用戶身份信息��; A2:所述對端對所述第一協(xié)商報文進行解析��,獲得所述當前端的用戶身份�,并向所述當前端發(fā)送第一回應(yīng)報文�����,所述第一回應(yīng)報文包括所述對端的用戶身份信息�; A3 :所述當前端對所述第一回應(yīng)報文進行解析�����,獲得所述對端的用戶身份信息����。
3.如權(quán)利要求I所述的方法,其特征在于���,所述DH加密信息為Diffie-Hellman密鑰交換算法�����。
4.如權(quán)利要求I所述的方法,其特征在于�,所述當前端和對端在進行第三次交互協(xié)商時,具體包括 BI :所述當前端向所述對端發(fā)送第三協(xié)商報文����,所述對端根據(jù)所述當前端的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰��; B2 :所述對端向所述當前端發(fā)送第三回應(yīng)報文����,所述當前端根據(jù)所述對端的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰����; B3 :所述當前端和對端分別對各自的密鑰進行驗證。
全文摘要
本發(fā)明公開了一種IKE主模式協(xié)商方法���,涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�����,所述方法包括當前端向?qū)Χ税l(fā)起IKE主模式協(xié)商的第一階段中�����,所述當前端和對端進行第一次交互協(xié)商時�����,在發(fā)送的報文中帶上各自的用戶身份信息�����;所述當前端和對端在第二次交互協(xié)商時����,向?qū)Ψ桨l(fā)送DH加密信息;所述當前端和對端在第三次交互協(xié)商時�����,根據(jù)對方的用戶身份信息利用DH加密信息選擇相應(yīng)的密鑰���。本發(fā)明通過當前端和對端進行第一次交互協(xié)商時�����,在發(fā)送的報文中帶上各自的用戶身份信息�����,使得在ip地址不確定的情況下�����,實現(xiàn)了IKE主模式協(xié)商方法。
文檔編號H04L29/06GK102694809SQ201210178478
公開日2012年9月26日 申請日期2012年5月31日 優(yōu)先權(quán)日2012年5月31日
發(fā)明者陳海濱 申請人:漢柏科技有限公司