[发明专利]一种互联网密钥交换IKE协商的方法及装置

说明书

本发明实施例提供了一种互联网密钥交换IKE协商的方法及装置，响应方设备在接收到发起方设备发送的第一个IKE协商报文后，校验Cookie列表中是否包括第一个IKE协商报文中的Cookie数据，若Cookie列表中不包括该Cookie数据，则结束本次IKE协商。由于Cookie列表中缓存的是各发起方设备与响应方设备进行IKE协商的可信任Cookie数据，如果Cookie列表中不包括第一个IKE协商报文中的Cookie数据，则说明发起方设备发送的第一个IKE协议报文是非法的报文，则立即结束本地IKE协商，避免了非法攻击者的DoS攻击，从而提高了IKE协商的安全性。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种互联网密钥交换IKE协商的方法及装置。

背景技术

IPSec(Internet Protocol Security，互联网协议安全)是一种开放标准的框架结构，通过使用加密的安全服务以确保在IP(Internet Protocol，互联网协议)网络上进行保密而安全地通讯。IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构，包括AH(Authentication Header，网络认证)协议、ESP(Encapsulating Security Payload，封装安全载荷)协议、IKE(Internet Key Exchange，互联网密钥交换)协议和用于网络认证及加密的一些算法等。

IKE(Internet Key Exchange，互联网密钥交换)协议利用ISAKMP(InternetSecurity Association and Key Management Protocol，互联网安全联盟和密钥管理协议)语言定义密钥交换的过程，是一种对安全服务进行协商的手段。IKE协议负责密钥管理，定义了通信的网络设备之间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE协商过程分为两个阶段，第一阶段协商的目的是建立IKE SA(SecurityAssociation，安全联盟)，以保护第二阶段的协商能够安全进行；第二阶段在第一阶段后进行协商建立IPSec SA和相应的密钥，为真正的应用数据通信提供保护。

在IKE协商的第一阶段中，响应方设备在接收到发送方设备发送的第一个IKE协商报文时，首先对IKE协商报文进行响应，然后再接收发送方设备的验证消息、以进行身份验证，验证通过后即可建立IKE SA，继续进行第二阶段的IKE协商。由上可以看出，在IKE协商过程中，响应方设备是先响应IKE协商报文，然后再验证发起方设备的身份信息。然而，一旦攻击者获得发起方设备的地址信息，可以在IKE协商的初始阶段，通过伪造发起方设备的地址信息，向响应方设备发送大量的IKE协商报文，产生DoS(Denial of Service，拒绝服务)攻击，影响IKE协商的安全性。

发明内容

本发明实施例的目的在于提供一种互联网密钥交换IKE协商的方法及装置，以提高IKE协商的安全性。具体技术方案如下：

第一方面，本发明实施例提供了一种互联网密钥交换IKE协商的方法，应用于响应方设备，该方法包括：

接收发起方设备发送的第一个IKE协商报文，其中，第一个IKE协商报文包括用于表示发起方设备与响应方设备进行本次IKE协商的Cookie数据；

校验Cookie列表中是否包括第一个IKE协商报文中的Cookie数据，其中，Cookie列表中包括各发起方设备与响应方设备进行IKE协商的可信任Cookie数据；

若Cookie列表中不包括第一个IKE协商报文中的Cookie数据，则结束本次IKE协商。

第二方面，本发明实施例提供了一种互联网密钥交换IKE协商的方法，应用于服务器，该方法包括：

接收各发起方设备发送的注册请求报文，其中，注册请求报文包括发起方设备与响应方设备进行IKE协商的Cookie数据；