背景技术

IPSEC ( Internet Protocol Security, 网络协议安全） 为不同物理 地域的用户提供安全的数据通信， 以防止数据在网络传输过程中被查看、 篡改等。

一般情况下， 发起方和接收方需要在发送数据前进行 IKE ( Internet Key Exchange,互联网密钥交换协议） 协商， 以确保发起方和接收方釆用 一致的加密和认证算法， 从而保证数据的正确接收。 IKE协商包括两个过 程， 第一阶段是建立一个为第二阶段提供保护的 SA ( Security Association, 安全联盟）， 第二阶段建立一个为数据提供保护的 SA。 具体的协商过程为： 接收方接收到发起方发送的协商信息后， 若判断 结果为协商信息不符合要求， 则向发起方发送协商不成功的信息。 发起方 接收到协商不成功的信息后， 改变协商信息， 然后将改变后的协商信息发 送至接收方。 接收方接收到改变后的协商信息后再判断是否 协商成功。 实现上述方案的过程中，发明人发现在现有技 术中至少存在以下技术 问题： 接收方认为协商信息不合要求时， 向发起方返回协商不成功的信息， 之后发起方将重新发起协商， 如果协商信息仍不合要求， 则接收方继续向 发起方返回协商不成功的消息， 使发起方再次发起协商， 持续以上过程直 至协商成功， 这致使协商过程耗时较长， 效率很低。

发明内容 本发明的实施例提供一种 IPSEC协商的方法、 装置、 设备和系统， 解 决 IPSEC协商过程耗时长， 效率低的技术问题。

为达到上述目的， 本发明实施例釆用如下技术方案：

第一方面， 提供一种 IPSEC协商的方法， 包括：

接收发起方发送的互联网密钥交换 I KE第一阶段配置参数；

当所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段 配置参数不一致时， 将所述接收方第一阶段配置参数发送至所述发 起方， 以便所述发起方按照所述接收方第一阶段配置 参数生成 IKE 第一阶段配 置修改参数；所述接收方第一阶段配置参数和 所述 IKE第一阶段配置修改 参数中包括： 接收方 IKE版本、 接收方协商模式、 接收方认证方式、 接收 方认证算法、 接收方加密算法和接收方密钥交换算法组；

接收所述发起方发送的所述 IKE第一阶段配置修改参数；

与所述发起方建立第一阶段安全联盟 SA;

接收所述发起方发送的 IKE第二阶段配置参数；

当所述发起方发送的所述 IKE 第二阶段配置参数与所述接收方第二 阶段配置参数不一致时，将所述接收方第二阶 段配置参数发送至所述发起 方，以便所述发起方按照接收方第二阶段配置 参数生成 IKE第二阶段配置 修改参数；所述接收方第二阶段配置参数和所 述 IKE第二阶段配置修改参 数中包括： 接收方认证算法、 接收方加密算法、 接收方密钥的完全后继保 密、 接收方安全协议和接收方封装模式；

接收所述发起方发送的所述 IKE第二阶段配置修改参数；

与所述发起方建立第二阶段 SA。

结合第一方面， 在第一方面的第一种可能的实现方式中， 所述接收方 第一阶段配置参数还包括： 接收方第一阶段 SA超时时间；

所述 IKE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间； 其中， 所述第一阶段 SA协商超时时间是发起方配置的发起方第一阶 段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

结合第一方面， 在第一方面的第二种可能的实现方式中， 所述接收方 第二阶段配置参数还包括： 接收方第二阶段 SA超时时间；

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间； 其中， 所述第二阶段 SA协商超时时间是发起方配置的发起方第二阶 段 SA超时时间和所述接收方第二阶段 SA超时时间的最小值。

结合第一方面， 在第一方面的第三种可能的实现方式中， 所述接收方 第一阶段配置参数中的接收方认证算法为所述 接收方存储的所有认证算 法的总和或其中任意一种； 和 /或

所述接收方第一阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

结合第一方面， 在第一方面的第四种可能的实现方式中， 所述接收方 第二阶段配置参数中的接收方认证算法为所述 接收方存储的所有认证算 法的总和或其中任意一种； 和 /或

所述接收方第二阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

结合第一方面或第一方面的第一种可能的实现 方式至第一方面的第 四种可能的实现方式中任意一种实现方式，在 第一方面的第五种可能的实 现方式中， 所述将所述接收方第一阶段配置参数发送至所 述发起方， 具体 包括：

将所述接收方第一阶段配置参数承载于所述接 收方至所述发起方的 I KE i nf orma t i on中发送至所述发起方。

结合第一方面或第一方面的第一种可能的实现 方式至第一方面的第 四种可能的实现方式中任意一种实现方式，在 第一方面的第六种可能的实 现方式中， 所述将所述接收方第二阶段配置参数发送至所 述发起方， 具体 包括：

将所述接收方第二阶段配置参数承载于所述接 收方至所述发起方的 I KE i nf orma t i on中发送至所述发起方。

结合第一方面或第一方面的第一种可能的实现 方式至第一方面的第 六种可能的实现方式中任意一种实现方式，在 第一方面的第七种可能的实 现方式中， 在接收所述 I KE第一阶段配置修改参数后， 还包括： 向所述发起方发送第一阶段参数确认信息，以 便所述发起方与所述接 收方建立第一阶段 SA。

结合第一方面或第一方面的第一种可能的实现 方式至第一方面的第 六种可能的实现方式中的任意一种实现方式， 在第一方面的第八种可能的 实现方式中， 在接收所述 I KE第二阶段配置修改参数后， 还包括：

向所述发起方发送第二阶段参数确认信息，以 便所述发起方与所述接 收方建立第二阶段 SA。

第二方面， 提供一种 I PSEC协商的方法， 包括：

向接收方发送互联网密钥交换 I KE第一阶段配置参数；

接收所述接收方发送的接收方第一阶段配置参 数；

按照所述接收方第一阶段配置参数生成 I KE第一阶段配置修改参数； 所述接收方第一阶段配置参数和所述 I KE第一阶段配置修改参数中包括： 接收方 I KE版本、 接收方协商模式、 接收方认证方式、 接收方认证算法、 接收方加密算法和接收方密钥交换算法组；

向所述接收方发送所述 I KE第一阶段配置修改参数；

当收到所述接收方的第一阶段参数确认信息时 ，与所述接收方建立第 一阶段安全联盟 SA ;

向所述接收方发送 I KE第二阶段配置参数；

接收所述接收方发送的接收方第二阶段配置参 数；

按照所述接收方第二阶段配置参数生成 I KE第二阶段配置修改参数； 所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括： 接收方认证算法、 接收方加密算法、 接收方密钥的完全后继保密、 接收方 安全协议和接收方封装模式；

向所述接收方发送所述 I KE第二阶段配置修改参数；

当收到所述接收方的第二阶段参数确认信息时 ，与所述发起方建立第 二阶段 SA。

结合第二方面， 在第二方面的第一种可能的实现方式中， 所述发起方 第一阶段配置参数还包括： 发起方第一阶段 SA超时时间；

所述 IKE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间； 其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时 时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

结合第二方面， 在第二方面的第二种可能的实现方式中， 所述发起方 第二阶段配置参数还包括： 发起方第二阶段 SA超时时间；

所述 IKE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间； 其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时 时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

结合第二方面， 在第二方面的第三种可能的实现方式中， 所述 IKE 第一阶段配置修改参数中的接收方认证算法为 所述接收方存储的所有认 证算法的总和或其中任意一种； 和 /或

所述 IKE第一阶段配置修改参数中的接收方加密算法 ，为所述接收方 存储的所有加密算法的总和或其中任意一种。

结合第二方面， 在第二方面的第四种可能的实现方式中， 所述 IKE 第二阶段配置修改参数中的接收方认证算法为 所述接收方存储的所有认 证算法的总和或其中任意一种； 和 /或

所述 IKE第二阶段配置修改参数中的接收方加密算法 ，为所述接收方 存储的所有加密算法的总和或其中任意一种。

结合第二方面或第二方面的第一种可能的实现 方式至第二方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第二方面的第五种可 能的实现方式中， 其特征在于， 所述将所述 IKE第一阶段配置修改参数发 送至所述接收方， 具体包括：

将所述 IKE 第一阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE informa t i on中发送至所述接收方。

结合第二方面或第二方面的第一种可能的实现 方式至第二方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第二方面的第六种可 能的实现方式中，所述将所述 IKE第二阶段配置修改参数发送至所述接收 方， 具体包括：

将所述 IKE 第二阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE information中发送至所述接收方。

第三方面， 提供一种 IPSEC协商的装置， 包括：

第一阶段接收单元，用于接收发起方发送的互 联网密钥交换 IKE第一 阶段配置参数；

第一阶段判断单元，用于判断所述发起方发送 的所述 IKE第一阶段配 置参数与接收方第一阶段配置参数是否一致；

第一阶段发送单元，用于当第一阶段判断单元 判断出所述发起方发送 的所述 IKE第一阶段配置参数与接收方第一阶段配置参 数不一致时，将所 述接收方第一阶段配置参数发送至所述发起方 ，以便所述发起方按照所述 接收方第一阶段配置参数生成 IKE第一阶段配置修改参数；所述接收方第 一阶段配置参数和所述 IKE 第一阶段配置修改参数中包括： 接收方 IKE 版本、 接收方协商模式、 接收方认证方式、 接收方认证算法、 接收方加密 算法和接收方密钥交换算法组；

所述第一阶段接收单元， 还用于接收所述 IKE 第一阶段配置修改参 数；

第一阶段安全联盟建立单元，用于与所述发起 方建立第一阶段安全联 盟 SA;

第二阶段接收单元，用于接收所述发起方发送 的 IKE第二阶段配置参 数；

第二阶段判断单元，用于判断所述发起方发送 的所述 IKE第二阶段配 置参数与所述接收方第二阶段配置参数是否一 致；

第二阶段发送单元，用于所述第二阶段判断单 元判断出所述发起方发 送的所述 IKE 第二阶段配置参数与所述接收方第二阶段配置 参数不一致 时， 将所述接收方第二阶段配置参数发送至所述发 起方， 以便所述发起方 按照接收方第二阶段配置参数生成 IKE第二阶段配置修改参数；所述接收 方第二阶段配置参数和所述 IKE第二阶段配置修改参数中包括：接收方认 证算法、 接收方加密算法、 接收方密钥的完全后继保密、 接收方安全协议 和接收方封装模式；

所述第二阶段接收单元， 还用于接收所述 I KE 第二阶段配置修改参 数；

第二阶段安全联盟建立单元， 用于与所述发起方建立第二阶段 SA。 结合第三方面， 在第三方面的第一种可能的实现方式中， 所述接收方 第一阶段配置参数还包括： 接收方第一阶段 SA超时时间；

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间； 其中， 所述第一阶段 SA协商超时时间是发起方配置的发起方第一阶 段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

结合第三方面， 在第三方面的第二种可能的实现方式中， 所述接收方 第二阶段配置参数还包括： 接收方第二阶段 SA超时时间；

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间； 其中， 所述第二阶段 SA协商超时时间是发起方配置的发起方第二阶 段 SA超时时间和所述接收方第二阶段 SA超时时间的最小值。

结合第三方面， 在第三方面的第三种可能的实现方式中， 所述接收方 第一阶段配置参数中的接收方认证算法为所述 接收方存储的所有认证算 法的总和或其中任意一种； 和 /或

所述接收方第一阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

结合第三方面， 在第三方面的第四种可能的实现方式中， 所述接收方 第二阶段配置参数中的接收方认证算法为所述 接收方存储的所有认证算 法的总和或其中任意一种； 和 /或

所述接收方第二阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

结合第三方面或第三方面的第一种可能的实现 方式至第三方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第三方面的第五种可 能的实现方式中， 所述第一阶段发送单元， 具体用于： 将所述接收方第一阶段配置参数承载于所述接 收方至所述发起方的

IKE informa t i on中发送至所述发起方。

结合第三方面或第三方面的第一种可能的实现 方式至第三方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第三方面的第六种可 能的实现方式中， 所述第二阶段发送单元， 具体用于：

将所述接收方第二阶段配置参数承载于所述接 收方至所述发起方的 IKE informa t i on中发送至所述发起方。

结合第三方面或第三方面的第一种可能的实现 方式至第三方面的第 六种可能的实现方式中任意一种可能的实现方 式，在第三方面的第七种可 能的实现方式中， 所述第一阶段发送单元， 还用于：

向所述发起方发送第一阶段参数确认信息，以 便所述发起方与所述接 收方建立第一阶段 SA。

结合第三方面或第三方面的第一种可能的实现 方式至第三方面的第 六种可能的实现方式中任意一种可能的实现方 式，在第三方面的第八种可 能的实现方式中， 所述第二阶段发送单元， 还用于：

向所述发起方发送第二阶段参数确认信息，以 便所述发起方与所述接 收方建立第二阶段 SA。

第四方面， 提供一种 IPSEC协商的装置， 包括：

第一阶段发送单元，用于向接收方发送互联网 密钥交换 IKE第一阶段 配置参数；

第一阶段接收单元，用于接收所述接收方发送 的接收方第一阶段配置 参数；

第一阶段参数生成单元，用于按照所述接收方 第一阶段配置参数生成 IKE第一阶段配置修改参数； 所述接收方第一阶段配置参数和所述 IKE第 一阶段配置修改参数中包括： 接收方 IKE版本、 接收方协商模式、 接收方 认证方式、 接收方认证算法、 接收方加密算法和接收方密钥交换算法组； 所述第一阶段发送单元，还用于向所述接收方 发送所述 IKE第一阶段 配置修改参数； 第一阶段安全联盟建立单元，用于当收到所述 接收方的第一阶段参数 确认信息时， 与所述接收方建立第一阶段安全联盟 SA;

第二阶段发送单元， 用于向所述接收方发送 I KE第二阶段配置参数； 第二阶段接收单元，用于接收所述接收方发送 的接收方第二阶段配置 参数；

第二阶段参数生成单元，用于按照所述接收方 第二阶段配置参数生成 I KE第二阶段配置修改参数； 所述接收方第二阶段配置参数和所述 I KE第 二阶段配置修改参数中包括： 接收方认证算法、 接收方加密算法、 接收方 密钥的完全后继保密、 接收方安全协议和接收方封装模式；

所述第二阶段发送单元，还用于向所述接收方 发送所述 I KE第二阶段 配置修改参数；

第二阶段安全联盟建立单元，用于当收到所述 接收方的第二阶段参数 确认信息时， 与所述发起方建立第二阶段 SA。

结合第四方面， 在第四方面的第一种可能的实现方式中， 所述发起方 第一阶段配置参数还包括： 发起方第一阶段 SA超时时间；

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间； 其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时 时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

结合第四方面， 在第四方面的第二种可能的实现方式中， 所述发起方 第二阶段配置参数还包括： 发起方第二阶段 SA超时时间；

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间； 其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时 时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

结合第四方面， 在第四方面的第三种可能的实现方式中， 所述 I KE 第一阶段配置修改参数中的接收方认证算法为 所述接收方存储的所有认 证算法的总和或其中任意一种； 和 /或

所述 I KE第一阶段配置修改参数中的接收方加密算法� ��为所述接收方 存储的所有加密算法的总和或其中任意一种。 结合第四方面， 在第四方面的第四种可能的实现方式中， 所述 IKE 第二阶段配置修改参数中的接收方认证算法为 所述接收方存储的所有认 证算法的总和或其中任意一种； 和 /或

所述 IKE第二阶段配置修改参数中的接收方加密算法 ，为所述接收方 存储的所有加密算法的总和或其中任意一种。

结合第四方面或第四方面的第一种可能的实现 方式至第四方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第四方面的第五种可 能的实现方式中， 所述第一阶段发送单元， 具体用于：

将所述 IKE 第一阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE informa t i on中发送至所述接收方。

结合第四方面或第四方面的第一种可能的实现 方式至第四方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第四方面的第六种可 能的实现方式中， 所述第一阶段发送单元， 具体用于：

将所述 IKE 第二阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE informa t i on中发送至所述接收方。

第五方面， 提供一种 IPSEC协商的接收方设备， 包括：

通信接口，用于接收发起方发送的互联网密钥 交换 IKE第一阶段配置 参数；

处理器，用于当所述发起方发送的所述 IKE第一阶段配置参数与接收 方第一阶段配置参数不一致时，将所述接收方 第一阶段配置参数发送至所 述发起方， 以便所述发起方按照所述接收方第一阶段配置 参数生成 IKE 第一阶段配置修改参数；所述接收方第一阶段 配置参数和所述 IKE第一阶 段配置修改参数中包括： 接收方 IKE版本、 接收方协商模式、 接收方认证 方式、 接收方认证算法、 接收方加密算法和接收方密钥交换算法组；

所述通信接口， 还用于接收所述 IKE第一阶段配置修改参数； 所述处理器， 还用于与所述发起方建立第一阶段安全联盟 SA;

所述通信接口， 还用于接收所述发起方发送的 IKE 第二阶段配置参 数； 所述通信接口， 还用于当所述处理器检测到所述发起方发送的 所述

I KE第二阶段配置参数与所述接收方第二阶段配� ��参数不一致时， 将所述 接收方第二阶段配置参数发送至所述发起方， 以便所述发起方按照接收方 第二阶段配置参数生成 I KE第二阶段配置修改参数；所述接收方第二阶� �� 配置参数和所述 I KE第二阶段配置修改参数中包括： 接收方认证算法、接 收方加密算法、接收方密钥的完全后继保密、 接收方安全协议和接收方封 装模式；

所述通信接口， 还用于接收所述 I KE第二阶段配置修改参数； 所述处理器， 还用于与所述发起方建立第二阶段 SA;

存储器， 用于存储所述接收方第一阶段配置参数、 所述 I KE第一阶段 配置修改参数、 所述接收方第二阶段配置参数、 所述 I KE第二阶段配置修 改参数和处理器执行操作时需要的代码；

总线， 用于连接所述处理器、 所述通信接口和所述存储器， 并为所述 处理器、 所述通信接口和所述存储器提供数据传输的物 理通道。

结合第五方面， 在第五方面的第一种可能的实现方式中， 所述存储器 中存储的所述接收方第一阶段配置参数还包括 ： 接收方第一阶段 SA超时 时间；

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间； 其中， 所述第一阶段 SA协商超时时间是发起方配置的发起方第一阶 段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

结合第五方面， 在第五方面的第二种可能的实现方式中， 所述存储器 中存储的所述接收方第二阶段配置参数还包括 ： 接收方第二阶段 SA超时 时间；

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间； 其中， 所述第二阶段 SA协商超时时间是发起方配置的发起方第二阶 段 SA超时时间和所述接收方第二阶段 SA超时时间的最小值。

结合第五方面， 在第五方面的第三种可能的实现方式中， 所述存储器 中存储的所述接收方第一阶段配置参数中的接 收方认证算法为所述接收 方存储的所有认证算法的总和或其中任意一种 ； 和 /或

所述接收方第一阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

结合第五方面， 在第五方面的第四种可能的实现方式中， 所述存储器 中存储的所述接收方第二阶段配置参数中的接 收方认证算法为所述接收 方存储的所有认证算法的总和或其中任意一种 ； 和 /或

所述接收方第二阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

结合第五方面或第五方面的第一种可能的实现 方式至第五方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第五方面的第五种可 能的实现方式中， 所述通信接口， 具体用于：

将所述接收方第一阶段配置参数承载于所述接 收方至所述发起方的

IKE informa t i on中发送至所述发起方。

结合第五方面或第五方面的第一种可能的实现 方式至第五方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第五方面的第六种可 能的实现方式中， 所述通信接口， 具体还用于：

将所述接收方第二阶段配置参数承载于所述接 收方至所述发起方的 IKE informa t i on中发送至所述发起方。

结合第五方面或第五方面的第一种可能的实现 方式至第五方面的第 六种可能的实现方式中任意一种可能的实现方 式，在第五方面的第七种可 能的实现方式中，所述通信接口还用于在接收 所述 IKE第一阶段配置修改 参数后， 向所述发起方发送第一阶段参数确认信息， 以便所述发起方与所 述接收方建立第一阶段 SA。

结合第五方面或第五方面的第一种可能的实现 方式至第五方面的第 六种可能的实现方式中任意一种可能的实现方 式，在第五方面的第八种可 能的实现方式中，所述通信接口还用于在接收 所述 IKE第二阶段配置修改 参数后， 向所述发起方发送第二阶段参数确认信息， 以便所述发起方与所 述接收方建立第二阶段 SA。 第六方面， 提供一种 I PSEC协商的发起方设备， 包括：

通信接口， 用于向接收方发送互联网密钥交换 I KE 第一阶段配置参 数；

所述通信接口，还用于接收所述接收方发送的 接收方第一阶段配置参 数；

处理器，用于按照所述接收方第一阶段配置参 数生成 I KE第一阶段配 置修改参数；所述接收方第一阶段配置参数和 所述 I KE第一阶段配置修改 参数中包括： 接收方 I KE版本、 接收方协商模式、 接收方认证方式、 接收 方认证算法、 接收方加密算法和接收方密钥交换算法组；

所述通信接口，还用于向所述接收方发送所述 I KE第一阶段配置修改 参数；

所述处理器， 还用于当收到所述接收方的第一阶段参数确认 信息时， 与所述接收方建立第一阶段安全联盟 SA;

所述通信接口， 还用于向所述接收方发送 I KE第二阶段配置参数； 所述通信接口，还用于接收所述接收方发送的 接收方第二阶段配置参 数；

所述处理器，还用于按照所述接收方第二阶段 配置参数生成 I KE第二 阶段配置修改参数；所述接收方第二阶段配置 参数和所述 I KE第二阶段配 置修改参数中包括： 接收方认证算法、 接收方加密算法、 接收方密钥的完 全后继保密、 接收方安全协议和接收方封装模式；

所述通信接口，还用于向所述接收方发送所述 I KE第二阶段配置修改 参数；

所述处理器，还用于当所述通信接口接收到所 述接收方的第二阶段参 数确认信息时， 与所述发起方建立第二阶段 SA。

存储器， 用于存储所述接收方第一阶段配置参数、 所述 I KE第一阶段 配置修改参数、所述接收方第二阶段配置参数 和所述 I KE第二阶段配置修 改参数和处理器执行操作时需要的代码；

总线， 用于连接所述处理器、 所述通信接口和所述存储器， 并为所述 处理器、 所述通信接口和所述存储器提供数据传输的物 理通道。 结合第六方面， 在第六方面的第一种可能的实现方式中， 所述存储器 中存储的所述发起方第一阶段配置参数还包括 ： 发起方第一阶段 SA超时 时间；

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间； 其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时 时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

结合第六方面， 在第六方面的第二种可能的实现方式中， 所述存储器 中存储的所述发起方第二阶段配置参数还包括 ： 发起方第二阶段 SA超时 时间；

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间； 其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时 时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

结合第六方面， 在第六方面的第三种可能的实现方式中， 所述存储器 中存储的所述 I KE 第一阶段配置修改参数中的接收方认证算法为 所述接 收方存储的所有认证算法的总和或其中任意一 种； 和 /或

所述存储器中存储的所述 I KE 第一阶段配置修改参数中的接收方加 密算法， 为所述接收方存储的所有加密算法的总和或其 中任意一种。

结合第六方面， 在第六方面的第四种可能的实现方式中， 所述存储器 中存储的所述 I KE 第二阶段配置修改参数中的接收方认证算法为 所述接 收方存储的所有认证算法的总和或其中任意一 种； 和 /或

所述 I KE第二阶段配置修改参数中的接收方加密算法� ��为所述接收方 存储的所有加密算法的总和或其中任意一种。

结合第六方面或第六方面的第一种可能的实现 方式至第六方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第六方面的第五种可 能的实现方式中， 所述通信接口， 具体用于：

将所述 I KE 第一阶段配置修改参数承载于所述发起方至所 述接收方 的 I KE i nf orma t i on中发送至所述接收方。 结合第六方面或第六方面的第一种可能的实现 方式至第六方面的第 四种可能的实现方式中任意一种可能的实现方 式，在第六方面的第六种可 能的实现方式中， 所述通信接口， 具体还用于：

将所述 IKE 第二阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE information中发送至所述接收方。

第七方面， 提供一种 IPSEC协商的系统， 其特征在于， 包括： 第五方 面所述的任意一项所述的接收方设备，以及第 六方面所述的任意一项所述 的发起方设备。

本实施例提供一种 IPSEC协商的方法、 装置、 设备和系统， 第一阶段， 接 收发起方发送的互联网密钥交换 IKE第一阶段配置参数，当所述发起方发 送的所述 IKE第一阶段配置参数与接收方第一阶段配置参 数不一致时，将 所述接收方第一阶段配置参数发送至所述发起 方；然后接收所述 IKE第一 阶段配置修改参数并与所述发起方建立第一阶 段 SA; 第二阶段， 接收所 述发起方发送的 IKE 第二阶段配置参数； 当所述发起方发送的所述 IKE 第二阶段配置参数与所述接收方第二阶段配置 参数不一致时，将所述接收 方第二阶段配置参数发送至所述发起方，然后 接收所述 IKE第二阶段配置 修改参数并与所述发起方建立第二阶段 SA。 通过上述方案， 在协商参数 不合要求时， 可以直接将正确的参数发送至对端， 减少协商过程消耗的时 间， 提高协商效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中 的技术方案，下面将对 实施例或现有技术描述中所需要使用的附图作 简单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例 ，对于本领域普通技术人员 来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的 附图。

图 la为对数据进行加密传输的示意图；

图 lb为本发明实施例 1 中一种 IPSEC协商的方法涉及接收方的流程 图； 图 2 为本发明实施例 1 中一种 IPSEC协商的方法涉及发起方的流程 图；

图 3为本发明实施例 2 中一种 IPSEC协商的方法涉及接收方的流程 图；

图 4 为本发明实施例 2 中一种 IPSEC协商的方法涉及发起方的流程 图；

图 5为本发明实施例 3中一种 IPSEC协商涉及接收方的装置的框图； 图 6为本发明实施例 3中一种 IPSEC协商涉及发起方的装置的框图； 图 7为本发明实施例 4中一种接收方设备的示意图；

图 8为本发明实施例 4中一种发起方设备的示意图；

图 9为本发明实施例 4中一种 IPSEC协商的系统的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明 实施例中的技术方案进 行清楚、完整地描述，显然，所描述的实施例 仅仅是本发明一部分实施例， 而不是全部的实施例。基于本发明中的实施例 ， 本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其他实 施例，都属于本发明保护的 范围。

为保证传输数据的安全， 通常情况下会对传输的数据进行加密， 以防 止数据被查看、 篡改。 如图 la所示， 数据从终端 101a (可以是计算机） 中发出， 经过支持 IPSEC ( Internet Protocol Security, 网络协议安 全） 的设备 103a后， 通过未知网络 104a (例如， 未知的互联网）， 然后 进入支持 IPSEC 的设备 105a 并最终到达目的地终端 107a (可以是计算 机）。 由于数据经过了未知网络 104a, 故不能保证到达终端 107a 的数据 是否安全， 因此需要对数据进行加密， 以保证数据在经过未知网络 104a 时， 不被查看、 篡改。

若数据需要从终端 101a发送至目的地终端 107a,则设备 103a可以理 解为本发明实施例中所述的发起方， 设备 105a可以理解为本发明实施例 中所述的接收方。 若数据需要从终端 107a发送至终端 101 a,则 105a可以 理解为本发明实施例中所述的发起方， 设备 103a可以理解为本发明实施 例中所述的接收方。

更一般的情况是， 多个终端 101 a组成一个内部网络 102a,多个终端 107a组成一个内部网络 106a。 因为内部网络中的数据未经过任何未知网 络， 故无需对内部网络传输中的数据进行加密。 所以， 在此种情况下， 设 备 103a与设备 105a的加密对象为内部网络 102a与内部网络 106a之间传 输的数据。

实施例 1 :

本发明的一个实施例提供一种 IPSEC ( Interne t Pro toco l Secur i ty , 网际协议安全） 协商的方法。

一方面， 涉及 IPSEC协商的接收方， 如图 l b所示， 包括如下步骤：

101、 接收发起方发送的 IKE ( Interne t Key Exchange,互联网密钥 交换协议） 第一阶段配置参数。

发起方向接收方发送的 IKE第一阶段配置参数包括：发起方 IKE版本、 发起方协商模式、 发起方认证方式、 发起方认证算法、 发起方加密算法和 发起方密钥交换算法组。

102、 当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一 阶段配置参数不一致时，将所述接收方第一阶 段配置参数发送至所述发起 方，以便所述发起方按照所述接收方第一阶段 配置参数生成 IKE第一阶段 配置修改参数。

所述接收方第一阶段配置参数和所述 IKE 第一阶段配置修改参数中 包括： 接收方 IKE版本、 接收方协商模式、 接收方认证方式、 接收方认证 算法、 接收方加密算法和接收方密钥交换算法组。

发起方发送的 IKE 第一阶段配置参数中的所有参数必须与接收方 第 一阶段配置参数中的所有参数完全一致，才可 以保证第一阶段 IPSEC协商 成功， 具体来说： 发起方 IKE版本与接收方 IKE版本一致， 即釆用相同的 IKE版本； 发起方协商模式与接收方协商模式一致，即发 起方和接收方都釆用主 模式协商或都釆用野蛮模式协商；

发起方认证方式与接收方认证方式一致，即都 釆用完全相同的认证方 式： 数字签名认证方式或 \和公钥加密方式或 \和改进的公钥加密方式或 \ 和预共享公钥加密方式；

发起方认证算法与接收方认证算法一致， 即釆用相同的算法进行认 证， 比如都釆用 MD5 (Message Digest Algorithm 5, 消息摘要算法第 5 版）或都釆用 SHA1 (Secure Hash Algor i thm,哈希算法）或其它一种或一种 以上算法及其组合；

发起方加密算法与接收方加密算法一致， 即釆用相同的算法进行加 密， 比^口采用 3DES (Triple Data Encryption Algorithm, 三重数据力口密 算法）或其它一种或一种以上算法及其组合；

发起方密钥交换算法组与接收方密钥交换算法 组一致，即釆用相同的 密钥交换算法组， 比如釆用 DH ( Diff ie-Hellman, 密钥交换算法） 组。

若发起方发送的 IKE 第一阶段配置参数中的所有参数中存在有一条 与接收方第一阶段配置参数中的参数不一致， 即为步骤 102所述的发起方 发送的所述 IKE第一阶段配置参数与接收方第一阶段配置参 数不一致。

当发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置 参数不一致时， 接收方将接收方第一阶段配置参数 （接收方使用的 IKE 版本、 协商模式、 认证方式、 认证算法、 加密算法和密钥交换算法组）发 送至发起方， 在本实施例中， 依次被称为接收方 IKE版本、 接收方协商模 式、 接收方认证方式、 接收方认证算法、 接收方加密算法和接收方密钥交 换算法组。

103、 接收所述发起方发送的所述 IKE第一阶段配置修改参数。

步骤 103所述的 IKE第一阶段配置修改参数由发起方根据接收方 发送 的所述接收方第一阶段配置参数生成， 所述第一阶段配置修改参数包括： 接收方 IKE版本、 接收方协商模式、 接收方认证方式、 接收方认证算法、 接收方加密算法和接收方密钥交换算法组，即 发起方完全釆用接收方使用 的配置参数， 并再次向接收方发起协商。

104、 与所述发起方建立第一阶段 SA ( Security Association, 安全 联盟）。

由于发起方发送的 IKE 第一阶段配置修改参数与接收方使用的配置 参数相同， 因此当接收方接收到 IKE第一阶段配置修改参数时， 通过检测 发现 IKE第一阶段配置修改参数与接收方第一阶段配 置参数一致，接收方 向发起方发送第一阶段参数确认信息，以表示 接收方接受发起方发起的第 一阶段 IPSEC协商， 同意建立第一阶段 SA。 发起方接收到第一阶段参数 确认信息后，接收方和发起方通过密钥交换算 法组生成各自的密钥并互相 交换密钥， 然后利用交换后的密钥对彼此的身份和交换过 程进行验证。 验 证成功， 则建立起第一阶段 SA。

105、 接收所述发起方发送的 IKE第二阶段配置参数。

发起方向接收方发送的 IKE 第二阶段配置参数包括： 发起方认证算 法、 发起方加密算法、 发起方密钥的完全后继保密、 发起方安全协议和发 起方封装模式。

106、 当所述发起方发送的所述 IKE第二阶段配置参数与所述接收方 第二阶段配置参数不一致时，将所述接收方第 二阶段配置参数发送至所述 发起方，以便所述发起方按照接收方第二阶段 配置参数生成 IKE第二阶段 配置修改参数。

所述接收方第二阶段配置参数和所述 IKE 第二阶段配置修改参数中 包括： 接收方认证算法、 接收方加密算法、 接收方密钥的完全后继保密、 接收方安全协议和接收方封装模式。

发起方发送的 IKE 第二阶段配置参数中的所有参数必须与接收方 第 二阶段配置参数中的所有参数完全一致，才可 以保证第二阶段 IPSEC协商 成功， 具体来说：

接收方认证算法与接收方认证算法一致， 即釆用相同的算法进行认 证， 比如都釆用 MD5 (Message Digest Algorithm 5, 消息摘要算法第 5 版）或都釆用 SHA1 (Secure Hash Algor i thm,哈希算法）或其它一种或一种 以上算法及其组合。 在第二阶段 IPSEC协商中， 认证算法可适用的对象为 ESP (Encapsulated Security Payload, 压缩安全载荷） 认证或 \和 AH (Authent ica t ion Header , 头部认证)认证；

接收方加密算法与接收方加密算法， 即釆用相同的算法进行加密， 比 ^口采用 3DES (Triple Data Encryption Algorithm, 三重数据力口密算法） 或其它一种或一种以上算法及其组合；

接收方密钥的完全后继保密与接收方密钥的完 全后继保密，即釆用相 同的密钥保密方式， 即发起方和接收方都釆用 PFS(perfect forward secrecy, 完全后继保密）或都釆用其它一种或多种保密 方式；

接收方安全协议与接收方安全协议，即发起方 和接收方釆用相同的密 码算法和协议逻辑；

接收方封装模式与接收方封装模式，即发起方 和接收方釆用相同的报 文封装格式。

若发起方发送的 IKE 第二阶段配置参数中的所有参数有一条与接收 方第二阶段配置参数中的参数不一致，即为步 骤 106所述的发起方发送的 所述 IKE第二阶段配置参数与接收方第二阶段配置参 数不一致。

当发起方发送的所述 IKE 第二阶段配置参数与接收方第二阶段配置 参数不一致时， 接收方将接收方第二阶段配置参数（接收方使 用的认证算 法、 加密算法、 密钥的完全后继保密、 安全协议和封装模式）发送至发起 方， 在本实施例中， 依次被称为接收方认证算法、 接收方加密算法、 接收 方密钥的完全后继保密、 接收方安全协议和接收方封装模式。

107、 接收所述发起方发送的所述 IKE第二阶段配置修改参数。

步骤 107所述的 IKE第二阶段配置修改参数由发起方根据接收方 发送 的所述接收方第二阶段配置参数生成， 所述第二阶段配置修改参数包括： 接收方认证算法、 接收方加密算法、 接收方密钥的完全后继保密、 接收方 安全协议和接收方封装模式， 即发起方完全釆用接收方使用的配置参数， 并再次向接收方发起协商。 1 08、 与所述发起方建立第二阶段 SA。

由于发起方发送的 I KE 第二阶段配置修改参数完全是接收方使用的 配置参数， 因此当接收方接收到 I KE第二阶段配置修改参数时， 通过检测 发现 I KE第二阶段配置修改参数与接收方第二阶段配� ��参数一致，接收方 向发起方发送第二阶段参数确认信息，以表示 接收方接受发起方发起的第 二阶段 I PSEC协商， 同意建立第二阶段 SA。 发起方接收到第二阶段参数 确认信息后， 利用快速模式与接收方建立起第二阶段 SA , 即发起方和接 收方生成并交换第二阶段的密钥后， 利用该密钥对各自的身份进行验证， 验证成功后， 建立起第二阶段 SA。

需要注意的是， 步骤 1 05至 1 08 , 即第二阶段 SA的建立以第一阶段 SA为基础， 即第一阶段 SA会对第二阶段 SA的建立过程中接收方和发起 方之间传输的数据进行加密（使用第一阶段 SA中的加密算法， 认证算法， 密钥等对数据进行加密和认证）。

另一方面， 涉及 I PSEC协商的发起方， 如图 2所示， 包括如下步骤：

201、 向接收方发送 I KE第一阶段配置参数。

发起方向接收方发送的 I KE第一阶段配置参数包括：发起方 I KE版本、 发起方协商模式、 发起方认证方式、 发起方认证算法、 发起方加密算法和 发起方密钥交换算法组。

202、 接收所述接收方发送的接收方第一阶段配置参 数。

接收方第一阶段配置参数包括： 接收方 I KE版本、 接收方协商模式、 接收方认证方式、接收方认证算法、接收方加 密算法和接收方密钥交换算 法组。

当接收方接收到 I KE第一阶段配置参数后， 经检测发现， I KE第一阶 段配置参数与接收方使用的配置参数即接收方 第一阶段配置参数不一致， 则向发起方发送接收方第一阶段配置参数。 特别说明的是， 只要在 I KE 第一阶段配置参数中有一项参数与接收方第一 阶段配置参数中的参数不 一致， 就需要向发起方发送接收方第一阶段配置参数 。

显然， 若 I KE第一阶段配置参数与接收方使用的配置参数� ��致， 则发 起方与接收方直接建立第一阶段 SA。

203、 按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改 参数。

所述接收方第一阶段配置参数和所述 IKE 第一阶段配置修改参数中 包括： 接收方 IKE版本、 接收方协商模式、 接收方认证方式、 接收方认证 算法、 接收方加密算法和接收方密钥交换算法组。

发起方生成的 IKE 第一阶段配置修改参数是发起方从接收方接收 到 的接收方第一阶段配置参数，即在 IKE第一阶段配置修改参数中釆用与接 收方第一阶段配置参数相同的 IKE版本、 相同的协商模式、相同的认证方 式、 相同的认证算法、 相同的加密算法和相同的密钥交换算法组。

由此可见， IKE第一阶段配置修改参数中的各项参数为： 接收方 IKE 版本、 接收方协商模式、 接收方认证方式、 接收方认证算法、 接收方加密 算法和接收方密钥交换算法组。 完全釆用接收方使用的配置参数的目的 是， 让接收方接收到 IKE第一阶段配置修改参数并确认后， 尽快建立第一 阶段 SA。

204、 向所述接收方发送所述 IKE第一阶段配置修改参数。

205、 当收到所述接收方的第一阶段参数确认信息时 ， 与所述接收方 建立第一阶段 SA。

由于发起方发送的 IKE 第一阶段配置修改参数完全是接收方使用的 配置参数， 因此当接收方接收到 IKE第一阶段配置修改参数时， 通过检测 发现 IKE第一阶段配置修改参数与接收方第一阶段配 置参数一致，接收方 向发起方发送第一阶段参数确认信息，以表示 接收方接受发起方发起的第 一阶段 IPSEC协商， 同意建立第一阶段 SA。 发起方接收到第一阶段参数 确认信息后，接收方和发起方通过密钥交换算 法组生成各自的密钥并互相 交换密钥， 然后利用交换后的密钥对彼此的身份和交换过 程进行验证。 验 证成功， 则建立起第一阶段 SA。

206、 向所述接收方发送 IKE第二阶段配置参数。

IKE第二阶段配置参数包括： 发起方认证算法、 发起方加密算法、 发 起方密钥的完全后继保密、 发起方安全协议和发起方封装模式。

207、 接收所述接收方发送的接收方第二阶段配置参 数。

接收方第二阶段配置参数包括： 接收方认证算法、 接收方加密算法、 接收方密钥的完全后继保密、 接收方安全协议和接收方封装模式。

当接收方接收到 I KE第二阶段配置参数后， 经检测发现， I KE第二阶 段配置参数与接收方使用的配置参数即接收方 第二阶段配置参数不一致， 则向发起方发送接收方第二阶段配置参数。 特别说明的是， 只要在 I KE 第二阶段配置参数中有一项参数与接收方第二 阶段配置参数中的参数不 一致， 就需要向发起方发送接收方第一阶段配置参数 。

显然， 若 I KE第二阶段配置参数与接收方使用的配置参数� ��致， 则发 起方与接收方直接建立第二阶段 SA。

208、 按照所述接收方第二阶段配置参数生成 I KE第二阶段配置修改 参数。

I KE第二阶段配置修改参数中包括： 接收方认证算法、 接收方加密算 法、 接收方密钥的完全后继保密、 接收方安全协议和接收方封装模式。

发起方生成的 I KE 第二阶段配置修改参数是发起方从接收方接收 到 的接收方第二阶段配置参数，即在 I KE第二阶段配置修改参数中釆用与接 收方第二阶段配置参数相同的认证算法、 相同的加密算法、相同的密钥的 完全后继保密、 相同的安全协议和相同的封装模式。

由此可见， I KE第二阶段配置修改参数中的各项参数为： 接收方 I KE 版本、 接收方协商模式、 接收方认证方式、 接收方认证算法、 接收方加密 算法和接收方密钥交换算法组。 完全釆用接收方使用的配置参数的目的 是， 让接收方接收到 I KE第二阶段配置修改参数并确认后， 尽快建立第二 阶段 SA。

209、 向所述接收方发送所述 I KE第二阶段配置修改参数。

I KE第二阶段配置修改参数包括：接收方 I KE版本、接收方协商模式、 接收方认证方式、接收方认证算法、接收方加 密算法和接收方密钥交换算 法组。 21 0、 当收到所述接收方的第二阶段参数确认信息时 ， 与所述发起方 建立第二阶段 SA。

由于发起方发送的 I KE 第二阶段配置修改参数完全是接收方使用的 配置参数， 因此当接收方接收到 I KE第二阶段配置修改参数时， 通过检测 发现 I KE第二阶段配置修改参数与接收方第二阶段配� ��参数一致，接收方 向发起方发送第二阶段参数确认信息，以表示 接收方接受发起方发起的第 二阶段 I PSEC协商， 同意建立第二阶段 SA。 发起方接收到第二阶段参数 确认信息后， 利用快速模式与接收方建立起第二阶段 SA , 即发起方和接 收方生成并交换第二阶段的密钥后， 利用该密钥对各自身份进行验证， 验 证成功后， 建立起第二阶段 SA。

需要注意的是， 步骤 206至 21 0 , 即第二阶段 SA的建立以第一阶段 SA为基础， 即第一阶段 SA会对第二阶段 SA的建立过程中接收方和发起 方之间传输的数据进行加密（使用第一阶段 SA中的加密算法， 认证算法， 密钥等对数据进行加密和认证）。

本实施例提供一种 I PSEC协商的方法， 第一阶段， 接收发起方发送的 互联网密钥交换 I KE 第一阶段配置参数， 当所述发起方发送的所述 I KE 第一阶段配置参数与接收方第一阶段配置参数 不一致时，将所述接收方第 一阶段配置参数发送至所述发起方；然后接收 所述 I KE第一阶段配置修改 参数并与所述发起方建立第一阶段 SA; 第二阶段， 接收所述发起方发送 的 I KE第二阶段配置参数； 当所述发起方发送的所述 I KE第二阶段配置参 数与所述接收方第二阶段配置参数不一致时， 将所述接收方第二阶段配置 参数发送至所述发起方，然后接收所述 I KE第二阶段配置修改参数并与所 述发起方建立第二阶段 SA。 通过上述方案， 在协商参数不合要求时， 可 以直接将正确的参数发送至对端， 减少协商过程消耗的时间， 提高协商效 率。

实施例 2

本发明的一个实施例提供一种 I PSEC协商的方法。 一方面， 涉及 IPSEC协商的接收方， 如图 3所示， 包括如下步骤： 301、 接收发起方发送的互联网密钥交换 IKE第一阶段配置参数。 发起方向接收方发送的 IKE第一阶段配置参数包括：发起方 IKE版本、 发起方协商模式、 发起方认证方式、 发起方认证算法、 发起方加密算法和 发起方密钥交换算法组。

302、 判断 IKE第一阶段配置参数和接收方第一阶段配置参 数是否一 致。

当一致时， 执行 305 , 当不一致时， 执行 303。

303、 当所述发起方发送的所述 IKE第一阶段配置参数与接收方第一 阶段配置参数不一致时，将所述接收方第一阶 段配置参数发送至所述发起 方，以便所述发起方按照所述接收方第一阶段 配置参数生成 IKE第一阶段 配置修改参数。

所述接收方第一阶段配置参数和所述 IKE 第一阶段配置修改参数中 包括： 接收方 IKE版本、 接收方协商模式、 接收方认证方式、 接收方认证 算法、 接收方加密算法和接收方密钥交换算法组。

接收方第一阶段配置参数中的接收方认证算法 为所述接收方存储的 所有认证算法的总和或其中任意一种； 和 /或

所述接收方第一阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

接收方向发起方发送接收方使用的配置参数即 接收方第一阶段配置 参数， 希望发起方按照接收方第一阶段配置参数生成 一套相同的参数即 IKE第一阶段配置修改参数， 以加快 IPSEC第一阶段的协商速度。 但是接 收方并不知道发起方中是否存在接收方使用的 认证算法或加密算法，因此 接收方在向发起方发送接收方第一阶段配置参 数时，将接收方能够使用的 全部或一部分算法（认证算法或加密算法）发 送至发起方。 当发起方接收 到承载有接收方算法集合的接收方第一阶段配 置参数后， 从算法集合（接 收方能够使用的全部或一部分算法）中选取一 个或几个算法生成第一阶段 配置修改参数， 这样提高了 IPSEC协商的正确率， 提高了协商速度。 可选的， 接收方第一阶段配置参数还包括： 接收方第一阶段 SA超时 时间； 同样地， 发起方同样会为发起方配置第一阶段 SA超时时间。 配置 SA 超时时间的目的是提高加密性能， 即当发起方和接收方已经建立了安 全可靠的第一阶段 SA后， 为该第一阶段 SA设定一个存续期间， 只有在这 个存续期间第一阶段 SA才是可用的，否则即使第一阶段 SA中规定的所有 参数都匹配， 也不能使用该第一阶段 SA。

为提高加密的可靠性， 发起方在生成 I KE第一阶段配置修改参数时， 在 I KE第一阶段配置修改参数规定了第一阶段 SA协商超时时间。 该第一 阶段 S A协商超时时间是发起方配置的发起方第一阶� � S A超时时间和所述 接收方第一阶段 SA超时时间中的最小值。

步骤 303中，接收方发送的接收方第一阶段配置参数 承载于接收方至 发起方的 I KE i nf orma t i on中。

发起方发送的 I KE第一阶段配置参数中除了发起方第一阶段 SA超时 时间之外的所有参数必须与接收方第一阶段配 置参数中除了接收方第二 阶段 SA超时时间之外的所有参数完全一致， 才可以保证第一阶段 I PSEC 协商成功。

相反， 若发起方发送的 I KE第一阶段配置参数中的所有参数（除了发 起方第一阶段 SA超时时间之外） 有一条与接收方第一阶段配置参数 （除 了接收方第一阶段 SA超时时间之外） 中的参数不一致， 即为步骤 302所 述的发起方发送的所述 I KE 第一阶段配置参数与接收方第一阶段配置参 数不一致。

需要注意的是，当 I KE第一阶段配置参数与接收方第一阶段配置参� �� 不一致时， 接收方向发起方发送错误类型数据。 以便当 I PSEC协商出现错 误时，方便对系统进行维护或方便发起方根据 错误类型数据选择生成合适 的 I KE第一阶段配置修改参数。

304、 接收所述 I KE第一阶段配置修改参数。

305、 向所述发起方发送第一阶段参数确认信息， 以便所述发起方与 所述接收方建立第一阶段 SA。 在建立第一阶段 SA之前， 接收方和发起方必须要确认彼此使用相同 的配置参数。 经检测， 接收方发现第一阶段配置修改参数与接收方第 一阶 段配置参数一致， 于是向发起方发送第一阶段参数确认信息。

306、 与所述发起方建立第一阶段 SA。

发起方接收到第一阶段参数确认信息后，接收 方和发起方通过密钥交 换算法组生成各自的密钥并互相交换密钥，然 后利用交换后的密钥对彼此 的身份和交换过程进行验证。 验证成功， 则建立起第一阶段 SA。

307、 接收所述发起方发送的 I KE第二阶段配置参数。

发起方向接收方发送的 I KE 第二阶段配置参数包括： 发起方认证算 法、 发起方加密算法、 发起方密钥的完全后继保密、 发起方安全协议和发 起方封装模式。

308、 判断 I KE第二阶段配置参数和接收方第二阶段配置参� ��是否一 致。

当一致时， 执行 31 1 , 当不一致时， 执行 309。

309、 当所述发起方发送的所述 I KE第二阶段配置参数与接收方第二 阶段配置参数不一致时，将所述接收方第二阶 段配置参数发送至所述发起 方，以便所述发起方按照接收方第二阶段配置 参数生成 I KE第二阶段配置 修改参数。

所述接收方第二阶段配置参数和所述 I KE 第二阶段配置修改参数中 包括： 接收方认证算法、 接收方加密算法、 接收方密钥的完全后继保密、 接收方安全协议和接收方封装模式。

接收方向发起方发送接收方使用的配置参数即 接收方第二阶段配置 参数，是希望发起方按照接收方第二阶段配置 参数生成一套相同的参数即 I KE第二阶段配置修改参数， 以加快 I PSEC第二阶段的协商速度。 但是接 收方并不知道发起方中是否存在接收方使用的 认证算法或加密算法，因此 接收方在向发起方发送接收方第二阶段配置参 数时，将接收方能够使用的 全部或一部分算法（认证算法或加密算法）发 送至发起方。 当发起方接收 到承载有接收方算法集合的接收方第一阶段配 置参数后， 从算法集合（接 收方能够使用的全部或一部分算法）中选取一 个或几个算法生成第二阶段 配置修改参数， 这样提高了 I PSEC协商的正确率， 提高了协商速度。

可选的， 接收方第二阶段配置参数还包括： 接收方第二阶段 SA超时 时间； 同样地， 发起方同样会为发起方配置第二阶段 SA超时时间。 配置 SA 超时时间的目的是提高加密性能， 即当发起方和接收方已经建立了安 全可靠的第二阶段 SA后， 为该第二阶段 SA设定一个存续期间， 只有在这 个存续期间第二阶段 SA才是可用的，否则即使第一阶段 SA中规定的所有 参数都匹配， 也不能使用该第二阶段 SA。 需要注意的是， 接收方第二阶 段 SA超时时间可以有两种工作模式， 即时间工作模式和流量工作模式。 简单的说， 时间工作模式是为第二阶段 SA规定一个存续期间， 如本段所 诉。 流量工作模式则是为第二阶段 SA规定一个流量限额， 即在第二阶段 SA 中通过的流量高于一个数据流量阀值 （既可以指单位时间内通过的数 据流量也可以指在规定的时间内通过的数据总 流量） 时， 该第二阶段 SA 就不能再使用。 显然， 为确保加密的可靠性， 接收方第二阶段 SA超时时 间可以工作在其中一种模式下， 也可以同时工作在两种模式下。

因此， 发起方在生成 I KE第二阶段配置修改参数时， 在 I KE第二阶段 配置修改参数规定了第二阶段 SA协商超时时间。该第二阶段 SA协商超时 时间是发起方配置的发起方第二阶段 S A超时时间和所述接收方第二阶段 SA超时时间中的最小值。

发起方发送的 I KE第二阶段配置参数中除了发起方第二阶段 SA超时 时间外的所有参数必须与接收方第二阶段配置 参数中除了接收方第二阶 段 SA超时时间外的所有参数完全一致， 才可以保证第一阶段 I PSEC协商 成功。

所述接收方第二阶段配置参数承载于所述接收 方至所述发起方的 I KE i nf orma t i on ( I KE信息） 中。

相反，若发起方发送的 I KE第二阶段配置参数中除了发起方第二阶段 SA 超时时间外的所有参数有一条与接收方第二阶 段配置参数中除了接收 方第二阶段 SA超时时间外的参数不一致， 即为步骤 307所述的发起方发 送的所述 I KE第一阶段配置参数与接收方第一阶段配置参� ��不一致。

需要注意的是，当 I KE第二阶段配置参数与接收方第二阶段配置参� �� 不一致时， 接收方向发起方发送错误类型数据。 以便当 I PSEC协商出现错 误时，方便对系统进行维护或方便发起方根据 错误类型数据选择生成合适 的 I KE第二阶段配置修改参数。

310、 接收所述 I KE第二阶段配置修改参数。

31 1、 向所述发起方发送第二阶段参数确认信息， 以便所述发起方与 所述接收方建立第二阶段 SA。

由于发起方发送的 I KE 第二阶段配置修改参数完全是接收方使用的 配置参数， 因此当接收方接收到 I KE第二阶段配置修改参数时， 通过检测 发现 I KE第二阶段配置修改参数与接收方第二阶段配� ��参数一致，接收方 向发起方发送第二阶段参数确认信息，以表示 接收方接受发起方发起的第 二阶段 I PSEC协商， 同意建立第二阶段 SA。

312、 与所述发起方建立第二阶段 SA。

发起方接收到第二阶段参数确认信息后，利用 快速模式与接收方建立 起第二阶段 SA , 即发起方和接收方生成并交换第二阶段的密钥 后， 利用 该密钥对各自的身份进行验证， 验证成功后， 建立起第二阶段 SA。

需要注意的是， 步骤 307至 31 1 , 即第二阶段 SA的建立以第一阶段 SA为基础， 即第一阶段 SA会对第二阶段 SA的建立过程中接收方和发起 方之间传输的数据进行加密（使用第一阶段 SA中的加密算法， 认证算法， 密钥等对数据进行加密和认证）。

另一方面， 涉及 I PSEC协商的发起方， 如图 4所示， 包括如下步骤：

401、 向接收方发送 I KE第一阶段配置参数。

发起方向接收方发送的 I KE第一阶段配置参数包括：发起方 I KE版本、 发起方协商模式、 发起方认证方式、 发起方认证算法、 发起方加密算法和 发起方密钥交换算法组。

402、 接收所述接收方发送的接收方第一阶段配置参 数。

接收方第一阶段配置参数包括： 接收方 I KE版本、 接收方协商模式、 接收方认证方式、接收方认证算法、接收方加 密算法和接收方密钥交换算 法组。

4 03、 按照所述接收方第一阶段配置参数生成 I KE第一阶段配置修改 参数。

所述接收方第一阶段配置参数和所述 I KE 第一阶段配置修改参数中 包括： 接收方 I KE版本、 接收方协商模式、 接收方认证方式、 接收方认证 算法、 接收方加密算法和接收方密钥交换算法组。

所述 I KE 第一阶段配置修改参数中的接收方认证算法为 所述接收方 存储的所有认证算法的总和或其中任意一种； 和 /或

所述 I KE第一阶段配置修改参数中的接收方加密算法� ��为所述接收方 存储的所有加密算法的总和或其中任意一种。

发起方生成的 I KE 第一阶段配置修改参数是发起方从接收方接收 到 的接收方第一阶段配置参数，即在 I KE第一阶段配置修改参数中釆用与接 收方第一阶段配置参数相同的 I KE版本、 相同的协商模式、相同的认证方 式、 相同的认证算法、 相同的加密算法和相同的密钥交换算法组。

由此可见， I KE第一阶段配置修改参数中的各项参数为： 接收方 I KE 版本、 接收方协商模式、 接收方认证方式、 接收方认证算法、 接收方加密 算法和接收方密钥交换算法组。 完全釆用接收方使用的配置参数的目的 是， 让接收方接收到 I KE第一阶段配置修改参数并确认后， 尽快建立第一 阶段 SA。

在生成接收方认证算法、接收方加密算法的过 程中， 当发起方接收到 承载有接收方算法集合的接收方第一阶段配置 参数后， 从算法集合（接收 方能够使用的全部或一部分算法）中选取一个 或几个算法生成第一阶段配 置修改参数。 值得注意的是， 发起方从算法集合中选取的算法必须是发起 方中具有的算法， 否则即使知道接收方使用的算法， 也不可能生成符合接 收方要求的接收方认证算法、 接收方加密算法。

在大多数情况下， 接收方第一阶段配置参数还包括： 接收方第一阶段 SA超时时间； 同样地，发起方同样会为发起方配置第一阶段 SA超时时间。 配置 SA超时时间的目的是提高加密性能， 即当发起方和接收方已经建立 了安全可靠的第一阶段 SA后， 为该第一阶段 SA设定一个存续期间， 只有 在这个存续期间第一阶段 SA才是可用的，否则即使第一阶段 SA中规定的 所有参数都匹配， 也不能使用该第一阶段 SA。

为提高加密的可靠性， 发起方在生成 I KE第一阶段配置修改参数时， 在 I KE第一阶段配置修改参数规定了第一阶段 SA协商超时时间。 该第一 阶段 S A协商超时时间是发起方配置的发起方第一阶� � S A超时时间和所述 接收方第一阶段 SA超时时间中的最小值。

另外， I KE 第一阶段配置修改参数承载于所述发起方至所 述接收方 的 I KE i nf orma t i on中。

可选的， 在生成 I KE第一阶段配置修改参数时， 既可以自动生成， 如 前所述 （对步骤 403的解释部分）， 也可以手动生成， 即当发起方接收到 接收方发送的接收方第一阶段配置参数后，通 过人机交互界面将接收方第 一阶段配置参数发送至管理人员，管理人员根 据系统运行的实际情况选择 认证算法、 加密算法、 认证方式、 协商模式、 I KE版本、 密钥交换算法组 中的其中一个或几个。 然后发起方根据管理人员的指令， 生成 I KE第一阶 段配置修改参数。

404、 向所述接收方发送所述 I KE第一阶段配置修改参数。

405、 当收到所述接收方的第一阶段参数确认信息时 ， 与所述接收方 建立第一阶段 SA。

发起方接收到第一阶段参数确认信息后，接收 方和发起方通过密钥交 换算法组生成各自的密钥并互相交换密钥，然 后利用交换后的密钥对彼此 的身份和交换过程进行验证。 验证成功， 则建立起第一阶段 SA。

406、 向所述接收方发送 I KE第二阶段配置参数。

发起方向接收方发送的 I KE 第二阶段配置参数包括： 发起方认证算 法、 发起方加密算法、 发起方密钥的完全后继保密、 发起方安全协议和发 起方封装模式。

407、 接收所述接收方发送的接收方第二阶段配置参 数。 所述接收方第二阶段配置参数中包括： 接收方认证算法、接收方加密 算法、 接收方密钥的完全后继保密、 接收方安全协议和接收方封装模式。

4 08、 按照所述接收方第二阶段配置参数生成 I KE第二阶段配置修改 参数。 所述 I KE第二阶段配置修改参数中包括： 接收方认证算法、 接收方 加密算法、接收方密钥的完全后继保密、接收 方安全协议和接收方封装模 式。

在生成接收方认证算法、接收方加密算法的过 程中， 当发起方接收到 承载有接收方算法集合的接收方第一阶段配置 参数后， 从算法集合（接收 方能够使用的全部或一部分算法）中选取一个 或几个算法生成第一阶段配 置修改参数。 值得注意的是， 发起方从算法集合中选取的算法必须是发起 方中存储的算法， 否则即使知道接收方使用的算法， 也不可能生成符合接 收方要求的接收方认证算法、 接收方加密算法。

在大多数情况下， 接收方第二阶段配置参数还包括： 接收方第二阶段 SA超时时间； 同样地， 发起方会为发起方配置第二阶段 SA超时时间。 配 置 SA超时时间的目的是提高加密性能， 即当发起方和接收方已经建立了 安全可靠的第二阶段 SA后， 为该第二阶段 SA设定一个存续期间， 只有在 这个存续期间第二阶段 SA才是可用的，否则即使第一阶段 SA中规定的所 有参数都匹配， 也不能使用该第二阶段 SA。 需要注意的是， 接收方第二 阶段 SA超时时间可以有两种工作模式，即时间工作� ��式和流量工作模式。 简单的说， 时间工作模式是为第二阶段 SA规定一个存续期间， 如本段所 诉。 流量工作模式则是为第二阶段 SA规定一个流量限额， 即在第二阶段 SA 中通过的流量高于一个数据流量阀值 （既可以指单位时间内通过的数 据流量也可以指在规定的时间内通过的数据总 流量） 时， 该第二阶段 SA 就不能再使用。 显然， 为确保加密的可靠性， 接收方第二阶段 SA超时时 间可以工作在其中一种模式下， 也可以同时工作在两种模式下。

因此， 发起方在生成 I KE第二阶段配置修改参数时， 在 I KE第二阶段 配置修改参数规定了第二阶段 SA协商超时时间。该第二阶段 SA协商超时 时间是发起方配置的发起方第二阶段 S A超时时间和所述接收方第二阶段 SA超时时间中的最小值。

发起方发送的 I KE第二阶段配置参数中除了发起方第二阶段 SA超时 时间外的所有参数必须与接收方第二阶段配置 参数中除了接收方第二阶 段 SA超时时间外的所有参数完全一致， 才可以保证第二阶段 I PSEC协商 成功。

所述接收方第二阶段配置参数承载于所述发起 方至所述接收方的 I KE i nf orma t i on ( I KE信息） 中。

可选的， 在生成 I KE第二阶段配置修改参数时， 既可以自动生成， 如 前所述 （对步骤 403的解释部分）， 也可以手动生成， 即当发起方接收到 接收方发送的接收方第一阶段配置参数后，通 过人机交互界面将接收方第 一阶段配置参数发送至管理人员，管理人员根 据系统运行的实际情况选择 认证算法、 加密算法、 密钥的完全后继保密、 安全协议和封装模式中的其 中一个或几个。 然后发起方根据管理人员的指令， 生成 I KE第二阶段配置 修改参数。

409、 向所述接收方发送所述 I KE第二阶段配置修改参数。

41 0、 当收到所述接收方的第二阶段参数确认信息时 ， 与所述发起方 建立第二阶段 SA。

由于发起方发送的 I KE 第二阶段配置修改参数完全是接收方使用的 配置参数， 因此当接收方接收到 I KE第二阶段配置修改参数时， 通过检测 发现 I KE第二阶段配置修改参数与接收方第二阶段配� ��参数一致，接收方 向发起方发送第二阶段参数确认信息，以表示 接收方接受发起方发起的第 二阶段 I PSEC协商， 同意建立第二阶段 SA。 发起方接收到第二阶段参数 确认信息后， 利用快速模式与接收方建立起第二阶段 SA , 即发起方和接 收方生成并交换第二阶段的密钥后， 利用该密钥对各自身份进行验证， 验 证成功后， 建立起第二阶段 SA。

需要注意的是， 步骤 405至 409 , 即第二阶段 SA的建立以第一阶段 SA为基础， 即第一阶段 SA会对第二阶段 SA的建立过程中接收方和发起 方之间传输的数据进行加密（使用第一阶段 SA中的加密算法， 认证算法， 密钥等对数据进行加密和认证）。

本实施例提供一种 IPSEC协商的方法， 第一阶段， 接收发起方发送的 互联网密钥交换 IKE 第一阶段配置参数， 当所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数 不一致时，将所述接收方第 一阶段配置参数发送至所述发起方；然后接收 所述 IKE第一阶段配置修改 参数并与所述发起方建立第一阶段 SA; 第二阶段， 接收所述发起方发送 的 IKE第二阶段配置参数； 当所述发起方发送的所述 IKE第二阶段配置参 数与所述接收方第二阶段配置参数不一致时， 将所述接收方第二阶段配置 参数发送至所述发起方，然后接收所述 IKE第二阶段配置修改参数并与所 述发起方建立第二阶段 SA。 通过上述方案， 在协商参数不合要求时， 可 以直接将正确的参数发送至对端， 减少协商过程消耗的时间， 提高协商效 率。 此外， 在第一阶段配置修改参数和第二阶段配置修改 参数增加了第一 阶段 SA协商超时时间和第二阶段 SA协商超时时间， 增加了在第一阶段 SA和第二阶段 SA中数据传输的可靠性。

实施例 3

本发明的一个实施例提供一种 IPSEC协商的装置。

一方面， 涉及 IPSEC协商的接收方， 如图 5所示， 该装置包括： 第一阶段接收单元 51 , 用于接收发起方发送的互联网密钥交换 IKE 第一阶段配置参数。

第一阶段判断单元 52 , 用于判断所述发起方发送的所述 IKE第一阶 段配置参数与接收方第一阶段配置参数是否一 致。

第一阶段发送单元 53 , 用于当接收方第一阶段判断单元判断出所述 发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数 不 一致时， 将所述接收方第一阶段配置参数发送至所述发 起方， 以便所述发 起方按照所述接收方第一阶段配置参数生成 IKE第一阶段配置修改参数； 所述接收方第一阶段配置参数和所述 IKE第一阶段配置修改参数中包括： 接收方 IKE版本、 接收方协商模式、 接收方认证方式、 接收方认证算法、 接收方加密算法和接收方密钥交换算法组。

所述第一阶段接收单元 51 , 还用于接收所述 I KE第一阶段配置修改 参数。

第一阶段安全联盟建立单元 54 ,用于与所述发起方建立第一阶段 S A。 第二阶段接收单元 55 , 用于接收所述发起方发送的 I KE第二阶段配 置参数。

第二阶段判断单元 56 , 用于判断所述发起方发送的所述 I KE第二阶 段配置参数与所述接收方第二阶段配置参数是 否一致。

第二阶段发送单元 57 , 用于所述第二阶段判断单元判断出所述发起 方发送的所述 I KE 第二阶段配置参数与所述接收方第二阶段配置 参数不 一致时， 将所述接收方第二阶段配置参数发送至所述发 起方， 以便所述发 起方按照接收方第二阶段配置参数生成 I KE第二阶段配置修改参数；所述 接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括：接收 方认证算法、 接收方加密算法、 接收方密钥的完全后继保密、 接收方安全 协议和接收方封装模式。

第二阶段接收单元 55 , 还用于接收所述 I KE第二阶段配置修改参数。 第二阶段安全联盟建立单元 58 ,用于与所述发起方建立第二阶段 S A。 需要说明的是， 所述接收方第一阶段配置参数还包括： 接收方第一阶 段 SA超时时间。

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间。 其中， 所述第一阶段 SA协商超时时间是发起方配置的发起方第一阶 段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

进一步的， 所述接收方第二阶段配置参数还包括： 接收方第二阶段

SA超时时间。

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间。 其中， 所述第二阶段 SA协商超时时间是发起方配置的发起方第二阶 段 SA超时时间和所述接收方第二阶段 SA超时时间的最小值。

进一步的，所述接收方第一阶段配置参数中的 接收方认证算法为所述 接收方存储的所有认证算法的总和或其中任意 一种； 和 /或

所述接收方第一阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

进一步的，所述接收方第二阶段配置参数中的 接收方认证算法为所述 接收方存储的所有认证算法的总和或其中任意 一种； 和 /或

所述接收方第二阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

进一步的，所述接收方第一阶段发送单元将所 述接收方第一阶段配置 参数发送至所述发起方， 具体用于：

将所述接收方第一阶段配置参数承载于所述接 收方至所述发起方的

IKE informa t i on中发送至所述发起方。

进一步的，所述接收方第二阶段发送单元将所 述接收方第二阶段配置 参数发送至所述发起方， 具体用于：

将所述接收方第二阶段配置参数承载于所述接 收方至所述发起方的 IKE informa t i on中发送至所述发起方。

进一步的， 所述第一阶段发送单元 53 , 还用于：

向所述发起方发送第一阶段参数确认信息，以 便所述发起方与所述接 收方建立第一阶段 SA。

进一步的， 所述接收方第二阶段发送单元 57 , 还用于：

向所述发起方发送第二阶段参数确认信息，以 便所述发起方与所述接 收方建立第二阶段 SA。

另一方面， 涉及 IPSEC协商的发起方， 如图 6所示， 该装置包括： 第一阶段发送单元 61 , 用于向接收方发送互联网密钥交换 IKE第一 阶段配置参数。

第一阶段接收单元 62 , 用于接收所述接收方发送的接收方第一阶段 配置参数。

第一阶段参数生成单元 63 , 用于按照所述接收方第一阶段配置参数 生成 IKE 第一阶段配置修改参数； 所述接收方第一阶段配置参数和所述 I KE第一阶段配置修改参数中包括： 接收方 I KE版本、 接收方协商模式、 接收方认证方式、接收方认证算法、接收方加 密算法和接收方密钥交换算 法组。

第一阶段发送单元 61 , 还用于向所述接收方发送所述 I KE第一阶段 配置修改参数。

第一阶段安全联盟建立单元 64 , 用于当收到所述接收方的第一阶段 参数确认信息时， 与所述接收方建立第一阶段 SA。

第二阶段发送单元 65 , 用于向所述接收方发送 I KE第二阶段配置参 数。

第二阶段接收单元 66 , 用于接收所述接收方发送的接收方第二阶段 配置参数。

第二阶段参数生成单元 67 , 用于按照所述接收方第二阶段配置参数 生成 I KE 第二阶段配置修改参数； 所述接收方第二阶段配置参数和所述 I KE第二阶段配置修改参数中包括： 接收方认证算法、 接收方加密算法、 接收方密钥的完全后继保密、 接收方安全协议和接收方封装模式。

所述第二阶段发送单元 65 , 还用于向所述接收方发送所述 I KE第二 阶段配置修改参数。

第二阶段安全联盟建立单元 66 , 用于当收到所述接收方的第二阶段 参数确认信息时， 与所述发起方建立第二阶段 SA。

进一步的， 所述发起方第一阶段配置参数还包括： 发起方第一阶段 SA超时时间。

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间。 其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时 时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

进一步的， 所述发起方第二阶段配置参数还包括： 发起方第二阶段

SA超时时间。

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间。 其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时 时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

进一步的，所述 IKE第一阶段配置修改参数中的接收方认证算法 为所 述接收方存储的所有认证算法的总和或其中任 意一种； 和 /或

所述 IKE第一阶段配置修改参数中的接收方加密算法 ，为所述接收方 存储的所有加密算法的总和或其中任意一种。

进一步的，所述 IKE第二阶段配置修改参数中的接收方认证算法 为所 述接收方存储的所有认证算法的总和或其中任 意一种； 和 /或

所述 IKE第二阶段配置修改参数中的接收方加密算法 ，为所述接收方 存储的所有加密算法的总和或其中任意一种。

进一步的， 所述第一阶段发送单元 61将所述 IKE第一阶段配置修改 参数发送至所述接收方， 具体用于：

将所述 IKE 第一阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE information中发送至所述接收方。

进一步的， 所述第二阶段发送单元 61具体用于：

将所述 IKE 第二阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE information中发送至所述接收方。

本实施例提供一种 IPSEC协商的装置， 第一阶段， 接收发起方发送的 互联网密钥交换 IKE 第一阶段配置参数， 当所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数 不一致时，将所述接收方第 一阶段配置参数发送至所述发起方；然后接收 所述 IKE第一阶段配置修改 参数并与所述发起方建立第一阶段 SA; 第二阶段， 接收所述发起方发送 的 IKE第二阶段配置参数； 当所述发起方发送的所述 IKE第二阶段配置参 数与所述接收方第二阶段配置参数不一致时， 将所述接收方第二阶段配置 参数发送至所述发起方，然后接收所述 IKE第二阶段配置修改参数并与所 述发起方建立第二阶段 SA。 通过上述方案， 在协商参数不合要求时， 可 以直接将正确的参数发送至对端， 减少协商过程消耗的时间， 提高协商效 率。

实施例 4 本发明的一个实施例提供一种 IPSEC协商的设备。

一方面， 涉及 IPSEC协商的接收方设备， 如图 7所示， 该设备包括： 通信接口 71 , 用于接收发起方发送的互联网密钥交换 IKE第一阶段 配置参数。

处理器 72 , 用于当所述发起方发送的所述 IKE第一阶段配置参数与 接收方第一阶段配置参数不一致时，将所述接 收方第一阶段配置参数发送 至所述发起方， 以便所述发起方按照所述接收方第一阶段配置 参数生成 IKE第一阶段配置修改参数； 所述接收方第一阶段配置参数和所述 IKE第 一阶段配置修改参数中包括： 接收方 IKE版本、 接收方协商模式、 接收方 认证方式、 接收方认证算法、 接收方加密算法和接收方密钥交换算法组。

所述通信接口 71 , 还用于接收所述 I KE第一阶段配置修改参数。 所述处理器 72 , 还用于与所述发起方建立第一阶段 SA。

所述通信接口 71 , 还用于接收所述发起方发送的 IKE第二阶段配置 参数；

所述通信接口 71 , 还用于当所述处理器检测到所述发起方发送的 所 述 IKE第二阶段配置参数与所述接收方第二阶段配 置参数不一致时，将所 述接收方第二阶段配置参数发送至所述发起方 ，以便所述发起方按照接收 方第二阶段配置参数生成 IKE第二阶段配置修改参数；所述接收方第二阶 段配置参数和所述 IKE第二阶段配置修改参数中包括： 接收方认证算法、 接收方加密算法、接收方密钥的完全后继保密 、接收方安全协议和接收方 封装模式。

所述通信接口 71 , 还用于接收所述 I KE第二阶段配置修改参数。 所述处理器 72 , 还用于与所述发起方建立第二阶段 SA。

存储器 73 , 用于存储所述接收方第一阶段配置参数、 所述 IKE第一 阶段配置修改参数、 所述接收方第二阶段配置参数、 所述 IKE第二阶段配 置修改参数和处理器执行操作时需要的代码。

总线 74 , 用于连接所述处理器 72、 所述通信接口 71 和所述存储器

73 , 并为所述处理器 72、 所述通信接口 71 和所述存储器 73提供数据传 输的物理通道。

进一步的， 所述存储器 73 中存储的所述接收方第一阶段配置参数还 包括： 接收方第一阶段 SA超时时间。

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间。 其中， 所述第一阶段 SA协商超时时间是发起方配置的发起方第一阶 段 SA超时时间和所述接收方第一阶段 SA超时时间中的最小值。

进一步的， 所述存储器 73 中存储的所述接收方第二阶段配置参数还 包括： 接收方第二阶段 SA超时时间。

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间。 其中， 所述第二阶段 SA协商超时时间是发起方配置的发起方第二阶 段 SA超时时间和所述接收方第二阶段 SA超时时间的最小值。

进一步的， 所述存储器 73 中存储的所述接收方第一阶段配置参数中 的接收方认证算法为所述接收方存储的所有认 证算法的总和或其中任意 一种； 和 /或

所述接收方第一阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

进一步的， 所述存储器 73 中存储的所述接收方第二阶段配置参数中 的接收方认证算法为所述接收方存储的所有认 证算法的总和或其中任意 一种； 和 /或

所述接收方第二阶段配置参数中的接收方加密 算法，为所述接收方存 储的所有加密算法的总和或其中任意一种。

进一步的， 所述通信接口 71 , 具体用于：

将所述接收方第一阶段配置参数承载于所述接 收方至所述发起方的 I KE i nf orma t i on中发送至所述发起方。

进一步的， 所述通信接口 71 , 具体还用于：

将所述接收方第二阶段配置参数承载于所述接 收方至所述发起方的 I KE i nf orma t i on中发送至所述发起方。

进一步的， 所述通信接口 71还用于在接收所述 I KE第一阶段配置修 改参数后， 向所述发起方发送第一阶段参数确认信息， 以便所述发起方与 所述接收方建立第一阶段 SA。

进一步的， 所述通信接口 71还用于在接收所述 IKE第二阶段配置修 改参数后， 向所述发起方发送第二阶段参数确认信息， 以便所述发起方与 所述接收方建立第二阶段 SA。

另一方面， 涉及 IPSEC协商的发起方设备， 该设备包括：

其特征在于， 包括：

通信接口 81 , 用于向接收方发送互联网密钥交换 IKE第一阶段配置 参数。

所述通信接口 81 , 还用于接收所述接收方发送的接收方第一阶段 配 置参数。

处理器 82 , 用于按照所述接收方第一阶段配置参数生成 IKE第一阶 段配置修改参数；所述接收方第一阶段配置参 数和所述 IKE第一阶段配置 修改参数中包括： 接收方 IKE版本、 接收方协商模式、 接收方认证方式、 接收方认证算法、 接收方加密算法和接收方密钥交换算法组。

所述通信接口 81 , 还用于向所述接收方发送所述 IKE第一阶段配置 修改参数。

所述处理器 82 , 还用于当收到所述接收方的第一阶段参数确认 信息 时， 与所述接收方建立第一阶段 SA。

所述通信接口 81 , 还用于向所述接收方发送 IKE第二阶段配置参数。 所述通信接口 81 , 还用于接收所述接收方发送的接收方第二阶段 配 置参数。

所述处理器 82 , 还用于按照所述接收方第二阶段配置参数生成 IKE 第二阶段配置修改参数；所述接收方第二阶段 配置参数和所述 IKE第二阶 段配置修改参数中包括： 接收方认证算法、 接收方加密算法、 接收方密钥 的完全后继保密、 接收方安全协议和接收方封装模式。

所述通信接口 81 , 还用于向所述接收方发送所述 IKE第二阶段配置 修改参数。 所述处理器 82 , 还用于当所述通信接口接收到所述接收方的第 二阶 段参数确认信息时， 与所述发起方建立第二阶段 SA。

存储器 83 , 用于存储所述接收方第一阶段配置参数、 所述 I KE第一 阶段配置修改参数、所述接收方第二阶段配置 参数和所述 I KE第二阶段配 置修改参数和处理器执行操作时需要的代码。

总线 84 , 用于连接所述处理器 82、 所述通信接口 81 和所述存储器 83 , 并为所述处理器 82、 所述通信接口 81 和所述存储器 83提供数据传 输的物理通道。

进一步的， 所述存储器 83 中存储的所述发起方第一阶段配置参数还 包括： 发起方第一阶段 SA超时时间。

所述 I KE第一阶段配置修改参数还包括：第一阶段 SA协商超时时间。 其中，所述第一阶段 SA协商超时时间是所述发起方第一阶段 SA超时 时间和所述接收方配置的接收方第一阶段 SA超时时间中的最小值。

进一步的， 所述存储器 83 中存储的所述发起方第二阶段配置参数还 包括： 发起方第二阶段 SA超时时间。

所述 I KE第二阶段配置修改参数还包括：第二阶段 SA协商超时时间。 其中，所述第二阶段 SA协商超时时间是所述发起方第二阶段 SA超时 时间和所述接收方配置的接收方第二阶段 S A超时时间的最小值。

进一步的， 所述存储器 83中存储的所述 I KE第一阶段配置修改参数 中的接收方认证算法为所述接收方存储的所有 认证算法的总和或其中任 意一种； 和 /或

所述 I KE第一阶段配置修改参数中的接收方加密算法� ��为所述接收方 存储的所有加密算法的总和或其中任意一种。

进一步的， 所述存储器 83中存储的所述 I KE第二阶段配置修改参数 中的接收方认证算法为所述接收方存储的所有 认证算法的总和或其中任 意一种； 和 /或

所述 I KE第二阶段配置修改参数中的接收方加密算法� ��为所述接收方 存储的所有加密算法的总和或其中任意一种。 进一步的， 所述通信接口 81 , 具体用于：

将所述 IKE 第一阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE informa t i on中发送至所述接收方。

进一步的， 所述通信接口 81 , 具体还用于：

将所述 IKE 第二阶段配置修改参数承载于所述发起方至所 述接收方 的 IKE informa t i on中发送至所述接收方。

再一方面， 如图 9所示， 提供一种 IPSEC协商的系统， 包括： 上述的 任意一种接收方设备和任意一种发起方设备。

本实施例提供一种 IPSEC协商的方法， 第一阶段， 接收发起方发送的 互联网密钥交换 IKE 第一阶段配置参数， 当所述发起方发送的所述 IKE 第一阶段配置参数与接收方第一阶段配置参数 不一致时，将所述接收方第 一阶段配置参数发送至所述发起方；然后接收 所述 IKE第一阶段配置修改 参数并与所述发起方建立第一阶段 SA; 第二阶段， 接收所述发起方发送 的 IKE第二阶段配置参数； 当所述发起方发送的所述 IKE第二阶段配置参 数与所述接收方第二阶段配置参数不一致时， 将所述接收方第二阶段配置 参数发送至所述发起方，然后接收所述 IKE第二阶段配置修改参数并与所 述发起方建立第二阶段 SA。 通过上述方案， 在协商参数不合要求时， 可 以直接将正确的参数发送至对端， 减少协商过程消耗的时间， 提高协商效 率。

通过以上的实施方式的描述，所属领域的技术 人员可以清楚地了解到 本发明可借助软件加必需的通用硬件的方式来 实现， 当然也可以通过硬 件， 但很多情况下前者是更佳的实施方式。 基于这样的理解， 本发明的技 术方案本质上或者说对现有技术做出贡献的部 分可以以软件产品的形式 体现出来， 该计算机软件产品存储在可读取的存储介质中 ， 如计算机的软 盘， 硬盘或光盘等， 包括若干指令用以使得一台计算机设备（可以 是个人 计算机， 服务器， 或者网络设备等） 执行本发明各个实施例所述的方法。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局 限于此， 任何熟悉本技术领域的技术人员在本发明揭露 的技术范围内， 可 轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发 明的保护范围应以所述权利要求的保护范围为 准。