[发明专利]针对因特网密钥交换(IKE)的方法和设备

权利要求书

1.一种通信方法，其包括：

执行因特网密钥交换IKE以基于认证报头AH以及封装安全有效负载ESP两者在第一装置与第二装置之间建立因特网协议安全IPsec安全关联SA，而不建立子安全关联，其中，所述第一装置和所述第二装置经配置以通过链路进行通信；以及

基于所述IPsec SA允许所述第一装置与所述第二装置之间经由所述链路进行信息交换，其中建立所述IPsec SA进一步包括在所述第一装置与所述第二装置之间执行IKE认证序列。

2.根据权利要求1所述的通信方法，其中所述IKE认证序列进一步包括所述IPsecSA：

利用所述AH中的完整性算法或利用所述AH中的扩展序列号；以及

利用所述ESP中的加密算法。

3.根据权利要求1所述的通信方法，其中所述IPsec SA基于所述IKE认证序列中的AH和ESP模式以指示所述AH以及所述ESP两者的使用。

4.根据权利要求2所述的通信方法，其进一步包括发射AH和ESP通知消息以命令将所述完整性算法从所述ESP传送到所述AH。

5.根据权利要求2所述的通信方法，其中，所述IKE认证序列进一步包括利用所述AH和所述ESP中的密钥交换算法(Diffie-Hellman)。

6.一种用于通信的第一装置，其包括：

接口；以及

处理器，其连接到所述接口，所述处理器配置成：

执行因特网密钥交换IKE以基于认证报头AH以及封装安全有效负载ESP两者来经由链路建立与第二装置的因特网协议安全IPsec安全关联SA，而不建立子安全关联；以及

基于所述IPsec SA允许通过所述接口、经由所述链路与所述第二装置进行信息交换，其中所述处理器执行的建立所述IPsec SA包括使得所述处理器进一步配置成执行与所述第二装置的IKE认证序列。

7.根据权利要求6所述的第一装置，其中由所述处理器执行的用以建立所述IPsecSA的所述IKE认证序列包含将所述处理器进一步配置成：

利用所述AH中的完整性算法或利用所述AH中的扩展序列号；以及

利用所述ESP中的加密算法。

8.根据权利要求6所述的第一装置，其中所述IPsec SA基于所述IKE认证序列中的AH和ESP模式以指示所述AH以及所述ESP两者的使用。

9.根据权利要求7所述的第一装置，其中所述处理器进一步配置成发射AH和ESP通知消息以命令将所述完整性算法从所述ESP传送到所述AH。

10.一种用于通信的第一装置，其包括：

用于执行因特网密钥交换IKE以基于认证报头AH以及封装安全有效负载ESP两者来经由链路建立与第二装置的因特网协议安全IPsec安全关联SA而不建立子安全关联的装置；以及

用于基于所述IPsec SA允许所述第一装置与所述第二装置之间经由所述链路进行信息交换的装置，其中，用于建立所述IPsec SA的装置进一步包括用于在所述第一装置与所述第二装置之间执行IKE认证序列的装置。

11.根据权利要求10所述的第一装置，其中所述IKE认证序列进一步包括：

用于利用所述AH中的完整性算法的装置或用于利用所述AH中的扩展序列号的装置；以及

用于利用所述ESP中的加密算法的装置。

12.根据权利要求10所述的第一装置，其中所述IPsec SA基于所述IKE认证序列中的AH和ESP模式以指示所述AH以及所述ESP两者的使用。

13.根据权利要求11所述的第一装置，其进一步包括用于发射AH和ESP通知消息以命令将所述完整性算法从所述ESP传送到所述AH的装置。