[发明专利]一种IKE可靠报文协商的方法、设备及系统

权利要求书

1、一种因特网密匙交换IKE可靠报文协商的方法，应用于包括第一设备、第二设备的系统中，其特征在于，包括：

a、所述第一设备向所述第二设备发送最后一个协商报文后，判断在预设周期内是否接收到所述第二设备发送的响应报文；

b、如果判断结果为在所述预设周期内接收到所述第二设备发送的响应报文，所述第一设备立即建立安全联盟SA。

2、如权利要求1所述的方法，其特征在于，所述方法还包括：

c、如果判断结果为在所述预设周期内没有接收到所述第二设备发送的响应报文，所述第一设备不立即建立所述SA。

3、如权利要求2所述的方法，其特征在于，所述步骤c之后还包括：

所述第一设备重发所述最后一个协商报文，并记录重发次数；

当所述第一设备在预设重发次数内没有接收到所述第二设备发送的响应报文时，所述第一设备释放本地资源，并向所述第二设备发送取消协商报文；

当所述第一设备在预设重发次数内接收到所述第二设备发送的响应报文时，所述第一设备建立所述SA。

4、如权利要求1-3任一项所述的方法，其特征在于，所述IKE可靠报文协商包括第一阶段可靠报文协商和第二阶段可靠报文协商，当所述第一设备与第二设备处于第一阶段可靠报文协商时，所述第一设备向所述第二设备发送的所述最后一个协商报文为第一阶段最后一个协商报文，所述预设周期为第一预设周期，所述响应报文为第一阶段确认ACK报文或第二阶段发起协商报文，所述SA为IKE SA。

5、如权利要求4所述的方法，其特征在于，

当接收到所述第二设备发送的响应报文为第一阶段ACK报文时，所述步骤b之后还包括：

所述第一设备向所述第二设备发送第二阶段发起协商报文，

所述第二设备响应所述第一设备发送的第二阶段发起协商报文；

当接收到所述第二设备发送的响应报文为第二阶段发起协商报文时，所述步骤b之后还包括：

所述第一设备响应所述第二设备发送的所述第二阶段协商报文。

6、如权利要求4所述的方法，其特征在于，所述步骤a之前还包括：

所述第一设备与所述第二设备进行能力协商，具体包括：

所述第一设备向所述第二设备发送携带有所述第一设备能力的报文；

所述第二设备接收到所述携带有第一设备能力的报文后，判断自身是否具有与所述第一设备匹配的能力；

当所述第二设备具有与所述第一设备匹配的能力时，所述第二设备向所述第一设备发送携带有自身能力的反馈报文，所述第一设备接收到所述反馈报文后，与所述第二设备进行后续可靠报文协商；

当所述第二设备不具有与所述第一设备匹配的能力时，所述第二设备向所述第一设备发送未携带自身能力的反馈报文，所述第一设备接收到所述反馈报文后，与所述第二设备进行后续常规报文协商。

7、如权利要求6所述的方法，其特征在于，通过供应商标识VID承载所述第一设备或所述第二设备的能力，所述第一设备或所述第二设备携带所述VID，

当所述第一设备接收到所述第二设备发送的携带所述VID的反馈报文后，与所述第二设备进行后续可靠报文协商；

所述第一设备接收到所述第二设备发送的未携带所述VID的反馈报文后，与所述第二设备进行后续常规报文协商。

8、如权利要求1-3任一项所述的方法，其特征在于，所述IKE可靠报文协商包括第一阶段可靠报文协商和第二阶段可靠报文协商，当所述第一设备与第二设备处于第二阶段可靠报文协商时，所述第一设备向所述第二设备发送的最后一个协商报文为第二阶段最后一个协商报文，所述预设周期为第二预设周期，所述响应报文为第二阶段ACK报文或根据IPsec协议加密的数据报文，所述SA为网络互连协议安全联盟IPsec SA。

9、如权利要求8所述的方法，其特征在于，

当接收到所述第二设备发送的响应报文为第二阶段ACK报文时，所述步骤b之后还包括：

所述第一设备向所述第二设备发送根据所述IPsec协议加密的数据报文。