[发明专利]针对因特网密钥交换(IKE)的方法和设备

说明书

本发明各方面可涉及执行因特网密钥交换IKE以基于认证报头AH以及封装安全有效负载ESP两者在第一装置与第二装置之间建立IPsec安全关联SA，而不建立子安全关联。随后可基于所述IPsec SA允许所述第一装置与所述第二装置之间的信息交换。

相关申请的交叉参考

本申请主张2015年11月3日提交的标题为“针对装置之间的安全关联的因特网密钥交换(IKE)”的美国临时专利申请第62/250,351号以及2016年2月10日提交的标题也为“针对装置之间的安全关联的因特网密钥交换(IKE)”的美国专利申请第15/040,841号的优先权，所述申请的内容出于所有目的以全文引用的方式并入本文中。

技术领域

本发明涉及针对装置之间的安全关联的因特网密钥交换。

背景技术

因特网协议安全(IPsec)为IP通信提供透明安全服务，保护TCP/IP通信免受篡改和窃听，且防止网络攻击。IPsec提供访问控制、无连接完整性、数据真实性、反重放服务以及保密性。IPsec可包括可包含因特网密钥交换(IKE)以及认证和加密的算法的IP数据安全的一系列协议。使用封包传输的IPsec的两个末端可称作IPsec对等体。这两个对等体之间的连接可称作IPsec隧道或IPsec连接。

IPsec使用安全关联(SA)来保护两个对等体之间的封包。SA是包含安全协议、封装模式、加密算法、共享密钥以及密钥生存期的要素的集合。SA可人工地(人工)或通过IKE协商建立。如两个网络节点或装置的一对IPsec对等体执行IKE协商以协商安全协议、交换IPsec认证和加密密钥以及管理协商密钥。

较近版本的IP安全协议包含支持基于端到端安全方案的IPsec协议的可选认证报头(AH)和封装安全有效负载(ESP)的选项。AH为包含源和目的地IP地址的整个封包提供认证和完整性保护。ESP通过对有效负载进行加密来提供保密性且可为有效负载而非整个封包任选地提供认证和完整性保护。这些报头的配置通常经由因特网密钥交换(IKE)进行。然而，最新IP安全协议具有对AH以及ESP选项的有限支持。

发明内容

本发明各方面可涉及执行因特网密钥交换(IKE)以基于认证报头(AH)和封装安全有效负载(ESP)在第一装置与第二装置之间建立IPsec安全关联(SA)，而不建立子安全关联。随后可基于IPsec SA允许第一装置与第二装置之间的信息交换。

附图说明

图1是可用来实践实施例的一对装置的图式。

图2是执行IKE过程以建立IPsec SA的流程图。

图3是展示基于加密算法利用ESP建立子SA的IKE过程的图式。

图4是展示利用AH以及ESP执行IKE认证的IKE过程的图式。

图5是展示利用AH以及ESP执行IKE认证的IKE过程的图式。

具体实施方式

词语“示范性”或“实例”在本文中用于意指“充当实例、例子或说明”。本文中描述为“示范性”或描述为“实例”的任何方面或实施例未必应视为比其它方面或实施例优选或有利。