專(zhuān)利名稱:Ike報(bào)文協(xié)商方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,具體涉及一種IKE報(bào)文協(xié)商方法及設(shè)備。
背景技術(shù):
因特網(wǎng)協(xié)議安全(IPkc),是由 IETFanternet Engineering Task Force)定義的一套在網(wǎng)絡(luò)層提供因特網(wǎng)協(xié)議(IP)安全性的協(xié)議,由一系列RFC文檔組成。其中RFC2401 定義IPkc的基本結(jié)構(gòu);RFC2402定義IPkc的驗(yàn)證頭(AH) ;RFC2406定義IPkc的封裝安全載荷(ESP) ;RFC2409定義IPkc的因特網(wǎng)密鑰交換(IKE)。IPSec 協(xié)議包括AH、ESP、IKE 等。ESP封裝安全載荷為IP載荷提供數(shù)據(jù)加密和驗(yàn)證的功能。AH認(rèn)證頭為IP頭提供數(shù)據(jù)完整性和驗(yàn)證的功能。數(shù)據(jù)加密和驗(yàn)證算法由安全相關(guān)(SA)指定。IKE密鑰交換為 IPSec協(xié)議生成密鑰。安全策略數(shù)據(jù)庫(kù)(SPD)決定兩個(gè)實(shí)體之間能否通訊及通訊轉(zhuǎn)碼方式。 解析域(DOI)用來(lái)組合相關(guān)協(xié)議,通過(guò)使用ISAKMP協(xié)商安全連接。在網(wǎng)絡(luò)中,往往需要同時(shí)協(xié)商大量的ipsec sa,此時(shí)由于網(wǎng)絡(luò)擁堵等原因會(huì)丟掉協(xié)商報(bào)文,會(huì)出現(xiàn)消息1消息2順利完成,消息3丟失時(shí),發(fā)起者不知道報(bào)文沒(méi)有被響應(yīng)者收到,以為隧道建立完成,會(huì)大量發(fā)送eSp、ah報(bào)文,此時(shí)如果響應(yīng)者在沒(méi)有收到消息3時(shí)就收到了 ESP/AH報(bào)文,會(huì)認(rèn)為隧道異常,斷開(kāi)隧道,造成網(wǎng)絡(luò)中斷。此問(wèn)題特別出現(xiàn)在ipsec sa超時(shí)后更新的情況中,此時(shí)隧道已經(jīng)正常加解密中, 當(dāng)ipsec sa更新時(shí)由于丟第3個(gè)協(xié)議包時(shí),會(huì)造成發(fā)起者使用新的密鑰加密,響應(yīng)者缺認(rèn)為狀態(tài)不完整而斷開(kāi)隧道,導(dǎo)致設(shè)備震蕩?,F(xiàn)有技術(shù)中通過(guò)qos等技術(shù)手段限制進(jìn)入ipsec數(shù)據(jù)的帶寬以解決上述問(wèn)題,但對(duì)于無(wú)qos功能的設(shè)備就需要新增qos硬件設(shè)備,增加了成本,并且無(wú)法解決網(wǎng)絡(luò)擁堵,丟報(bào)文,導(dǎo)致ipsec隧道震蕩或斷網(wǎng)的根本問(wèn)題。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問(wèn)題本發(fā)明的目的在于提出一種IKE報(bào)文協(xié)商方法及設(shè)備,解決網(wǎng)絡(luò)擁堵、丟報(bào)文導(dǎo)致ipsec隧道震蕩或斷網(wǎng)的問(wèn)題。(二)技術(shù)方案為了解決上述技術(shù)問(wèn)題,本發(fā)明提供一種IKE報(bào)文協(xié)商方法,應(yīng)用于使用IPSec的包括第一設(shè)備和第二設(shè)備的系統(tǒng),該方法包括第一階段協(xié)商和第二階段協(xié)商;在第二階段協(xié)商時(shí),所述第一設(shè)備向第二設(shè)備發(fā)送最后一個(gè)協(xié)商報(bào)文后,判斷在預(yù)設(shè)周期內(nèi)是否接收到第二設(shè)備發(fā)送的響應(yīng)報(bào)文;若判斷結(jié)果為第一設(shè)備在預(yù)設(shè)周期內(nèi)沒(méi)有接收到第二設(shè)備發(fā)送的響應(yīng)報(bào)文,則第一設(shè)備在收到eSp、ah報(bào)文后,在安全聯(lián)盟數(shù)據(jù)庫(kù)中查找相應(yīng)的ipsec sa,查找后若發(fā)現(xiàn)此ipsec sa正在等待第二階段協(xié)商的最后一個(gè)響應(yīng)報(bào)文,則繼續(xù)使用此ipsec sa進(jìn)行解密, 如果解密成功,則將此ipsec sa狀態(tài)標(biāo)記為active,第一設(shè)備ipsec sa建立完成,忽略第二設(shè)備的響應(yīng)報(bào)文。優(yōu)選地,若判斷結(jié)果為第一設(shè)備在預(yù)設(shè)周期內(nèi)接收到了第二設(shè)備發(fā)送的響應(yīng)報(bào)文,則第一設(shè)備ipsec sa建立完成。優(yōu)選地,所述第一階段協(xié)商包括主模式和野蠻模式。優(yōu)選地,所述第二階段協(xié)商為快速模式協(xié)商,包括3個(gè)協(xié)商報(bào)文的交互,第3個(gè)協(xié)商報(bào)文用于確認(rèn)響應(yīng)設(shè)備的消息以及證明ipsec sa建立完成。優(yōu)選地,所述第一階段協(xié)商后會(huì)建立好IKE sa,所述第二階段協(xié)商在第一階段建立好的IKE sa的保護(hù)下生成ipsec sa。優(yōu)選地,一個(gè)IKE sa可以保護(hù)并生成多個(gè)ipsec sa。本發(fā)明還提供一種實(shí)現(xiàn)IKE報(bào)文協(xié)商的設(shè)備,包括發(fā)送單元,用于向響應(yīng)端發(fā)送協(xié)商報(bào)文;判斷單元,用于判斷是否接收到響應(yīng)端響應(yīng)報(bào)文;ipsec sa建立單元,所述發(fā)送單元向響應(yīng)端發(fā)送第二階段協(xié)商的最后一個(gè)協(xié)商報(bào)文后,若所述判斷單元的判斷結(jié)果為沒(méi)有接收到響應(yīng)端響應(yīng)報(bào)文,則在收到esp、ah報(bào)文后,在sa數(shù)據(jù)庫(kù)中查找相應(yīng)的ipsec sa,查找后若發(fā)現(xiàn)此ipsec sa正在等待第二階段協(xié)商的最后一個(gè)報(bào)文,則繼續(xù)使用此ipsec sa進(jìn)行解密,如果解密成功,則將此ipsec sa狀態(tài)標(biāo)記為active,ipsec sa建立完成,忽略響應(yīng)端的響應(yīng)報(bào)文。優(yōu)選地,若所述判斷單元的判斷結(jié)果為接收到響應(yīng)端響應(yīng)報(bào)文,則ipsec sa建立完成。(三)有益效果本發(fā)明通過(guò)esp/ah報(bào)文觸發(fā)ipsec sa協(xié)商過(guò)程的最終完成,摒棄了 ipsec sa狀態(tài)的建立只能完全由協(xié)商報(bào)文完成,可以減少網(wǎng)絡(luò)由于快速模式協(xié)商報(bào)文丟包導(dǎo)致的震蕩或斷網(wǎng)概率。相比使用qos則,如果設(shè)備不帶qos功能則可避免再安裝qos設(shè)備的成本,并緩解了 qos不能解決網(wǎng)絡(luò)擁堵丟協(xié)議報(bào)文導(dǎo)致的網(wǎng)絡(luò)震蕩或斷網(wǎng)現(xiàn)象。
圖1為本發(fā)明方法的流程圖;圖2為本發(fā)明設(shè)備的結(jié)構(gòu)框圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例,對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)描述。以下實(shí)施例用于說(shuō)明本發(fā)明,但不是限制本發(fā)明的范圍。因特網(wǎng)密鑰交換(IKE)的過(guò)程分第一階段協(xié)商和第二階段協(xié)商兩部分,第一階段協(xié)商分主模式和野蠻模式兩種,第二階段協(xié)商為快模式協(xié)商,第一階段協(xié)商協(xié)商后會(huì)建立好IKE sa,其目的是進(jìn)行身份認(rèn)證并為第二階段的交換提供保護(hù),第二階段交換的目的在第一階段sa的保護(hù)下生成ipsec sa, ipsec sa是直接保護(hù)數(shù)據(jù)流的材料,提供給ESP/AH 使用,這里一個(gè)IKE sa可以保護(hù)并生成多個(gè)ipsec sa。
在快速模式的協(xié)商中,需要進(jìn)行3個(gè)報(bào)文的交互,第一個(gè)報(bào)文用于交換配置、認(rèn)證、密鑰信息,第二個(gè)報(bào)文用于交換確認(rèn)配置、認(rèn)證、密鑰信息,第三個(gè)報(bào)文用于確認(rèn)接受方的消息以及證明ipsec sa建立完成。如圖1所示,本發(fā)明所述的IKE報(bào)文協(xié)商方法,應(yīng)用于使用IPSec的包括第一設(shè)備和第二設(shè)備的系統(tǒng),該方法包括第一階段協(xié)商和第二階段協(xié)商;在第二階段協(xié)商時(shí),所述第一設(shè)備向第二設(shè)備發(fā)送最后一個(gè)協(xié)商報(bào)文后,判斷在預(yù)設(shè)周期內(nèi)是否接收到第二設(shè)備發(fā)送的響應(yīng)報(bào)文;若判斷結(jié)果為第一設(shè)備在預(yù)設(shè)周期內(nèi)沒(méi)有接收到第二設(shè)備發(fā)送的響應(yīng)報(bào)文,則第一設(shè)備在收到esp、ah報(bào)文后,在安全聯(lián)盟數(shù)據(jù)庫(kù)(SADB)中查找相應(yīng)的ipsec sa,查找后若發(fā)現(xiàn)此ipsec sa正在等待第二階段協(xié)商的最后一個(gè)響應(yīng)報(bào)文,則繼續(xù)使用此ipsec sa 進(jìn)行解密,如果解密成功,則將此ipsec sa狀態(tài)標(biāo)記為active,第一設(shè)備ipsec sa建立完成,忽略第二設(shè)備的響應(yīng)報(bào)文。若判斷結(jié)果為第一設(shè)備在預(yù)設(shè)周期內(nèi)接收到了第二設(shè)備發(fā)送的響應(yīng)報(bào)文,則第一設(shè)備ipsec sa建立完成。如圖2所示,本發(fā)明所述的實(shí)現(xiàn)IKE報(bào)文協(xié)商的設(shè)備,包括發(fā)送單元,用于向響應(yīng)端發(fā)送協(xié)商報(bào)文;判斷單元,用于判斷是否接收到響應(yīng)端響應(yīng)報(bào)文;ipsec sa建立單元, 所述發(fā)送單元向響應(yīng)端發(fā)送第二階段協(xié)商的最后一個(gè)協(xié)商報(bào)文后,若所述判斷單元的判斷結(jié)果為沒(méi)有接收到響應(yīng)端響應(yīng)報(bào)文,則在收到esp、ah報(bào)文后,在sa數(shù)據(jù)庫(kù)中查找相應(yīng)的 ipsec sa,查找后若發(fā)現(xiàn)此ipsec sa正在等待第二階段協(xié)商的最后一個(gè)報(bào)文,則繼續(xù)使用此ipsec sa進(jìn)行解密,如果解密成功,則將此ipsec sa狀態(tài)標(biāo)記為active,ipsec sa建立完成,忽略響應(yīng)端的響應(yīng)報(bào)文。若所述判斷單元的判斷結(jié)果為接收到響應(yīng)端響應(yīng)報(bào)文,則 ipsec sa建立完成。本發(fā)明通過(guò)esp/ah報(bào)文觸發(fā)ipsec sa協(xié)商過(guò)程的最終完成,摒棄了 ipsec sa狀態(tài)的建立只能完全由協(xié)商報(bào)文完成,可以減少網(wǎng)絡(luò)由于快速模式協(xié)商報(bào)文丟包導(dǎo)致的震蕩或斷網(wǎng)概率(理論上減少1/3)。相比使用qos則,如果設(shè)備不帶qos功能則可避免再安裝 qos設(shè)備的成本,并緩解了 qos不能解決網(wǎng)絡(luò)擁堵丟協(xié)議報(bào)文導(dǎo)致的網(wǎng)絡(luò)震蕩或斷網(wǎng)現(xiàn)象。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明技術(shù)原理的前提下,還可以做出若干改進(jìn)和替換,這些改進(jìn)和替換也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種IKE報(bào)文協(xié)商方法,應(yīng)用于使用IPSec的包括第一設(shè)備和第二設(shè)備的系統(tǒng),其特征在于,該方法包括第一階段協(xié)商和第二階段協(xié)商;在第二階段協(xié)商時(shí),所述第一設(shè)備向第二設(shè)備發(fā)送最后一個(gè)協(xié)商報(bào)文后,判斷在預(yù)設(shè)周期內(nèi)是否接收到第二設(shè)備發(fā)送的響應(yīng)報(bào)文;若判斷結(jié)果為第一設(shè)備在預(yù)設(shè)周期內(nèi)沒(méi)有接收到第二設(shè)備發(fā)送的響應(yīng)報(bào)文,則第一設(shè)備在收到esp、ah報(bào)文后,在安全聯(lián)盟數(shù)據(jù)庫(kù)中查找相應(yīng)的ipsec sa,查找后若發(fā)現(xiàn)此 ipsec sa正在等待第二階段協(xié)商的最后一個(gè)響應(yīng)報(bào)文,則繼續(xù)使用此ipsec sa進(jìn)行解密, 如果解密成功,則將此ipsec sa狀態(tài)標(biāo)記為active,第一設(shè)備ipsec sa建立完成,忽略第二設(shè)備的響應(yīng)報(bào)文。
2.如權(quán)利要求1所述的方法,其特征在于若判斷結(jié)果為第一設(shè)備在預(yù)設(shè)周期內(nèi)接收到了第二設(shè)備發(fā)送的響應(yīng)報(bào)文,則第一設(shè)備ipsec sa建立完成。
3.如權(quán)利要求1或2所述的方法,其特征在于,所述第一階段協(xié)商包括主模式和野蠻模式。
4.如權(quán)利要求1或2所述的方法,其特征在于,所述第二階段協(xié)商為快速模式協(xié)商,包括3個(gè)協(xié)商報(bào)文的交互,第3個(gè)協(xié)商報(bào)文用于確認(rèn)響應(yīng)設(shè)備的消息以及證明ipsec sa建立完成。
5.如權(quán)利要求1或2所述的方法,其特征在于,所述第一階段協(xié)商后會(huì)建立好IKEsa, 所述第二階段協(xié)商在第一階段建立好的IKE sa的保護(hù)下生成ipsec sa。
6.如權(quán)利要求5所述的方法,其特征在于,一個(gè)IKEsa可以保護(hù)并生成多個(gè)ipsec sa。
7.一種實(shí)現(xiàn)IKE報(bào)文協(xié)商的設(shè)備,其特征在于,包括發(fā)送單元,用于向響應(yīng)端發(fā)送協(xié)商報(bào)文;判斷單元,用于判斷是否接收到響應(yīng)端響應(yīng)報(bào)文;ipsec sa建立單元,所述發(fā)送單元向響應(yīng)端發(fā)送第二階段協(xié)商的最后一個(gè)協(xié)商報(bào)文后,若所述判斷單元的判斷結(jié)果為沒(méi)有接收到響應(yīng)端響應(yīng)報(bào)文,則在收到esp、ah報(bào)文后, 在sa數(shù)據(jù)庫(kù)中查找相應(yīng)的ipsec sa,查找后若發(fā)現(xiàn)此ipsec sa正在等待第二階段協(xié)商的最后一個(gè)報(bào)文,則繼續(xù)使用此ipsec sa進(jìn)行解密,如果解密成功,則將此ipsec sa狀態(tài)標(biāo)記為active,ipsec sa建立完成,忽略響應(yīng)端的響應(yīng)報(bào)文。
8.如權(quán)利要求7所述的設(shè)備,其特征在于,若所述判斷單元的判斷結(jié)果為接收到響應(yīng)端響應(yīng)報(bào)文,則ipsec sa建立完成。
全文摘要
本發(fā)明是一種IKE報(bào)文協(xié)商方法及設(shè)備,應(yīng)用于使用IPSec的包括第一設(shè)備和第二設(shè)備的系統(tǒng),該方法包括第一階段協(xié)商和第二階段協(xié)商;在第二階段協(xié)商時(shí),所述第一設(shè)備向第二設(shè)備發(fā)送最后一個(gè)協(xié)商報(bào)文后,判斷在預(yù)設(shè)周期內(nèi)是否接收到第二設(shè)備發(fā)送的響應(yīng)報(bào)文;若判斷結(jié)果為第一設(shè)備在預(yù)設(shè)周期內(nèi)沒(méi)有接收到第二設(shè)備發(fā)送的響應(yīng)報(bào)文,則第一設(shè)備在收到esp、ah報(bào)文后,在安全聯(lián)盟數(shù)據(jù)庫(kù)中查找相應(yīng)的ipsec sa,查找后若發(fā)現(xiàn)此ipsec sa正在等待第二階段協(xié)商的最后一個(gè)響應(yīng)報(bào)文,則繼續(xù)使用此ipsec sa進(jìn)行解密,如果解密成功,則將此ipsec sa狀態(tài)標(biāo)記為active,第一設(shè)備ipsec sa建立完成,忽略第二設(shè)備的響應(yīng)報(bào)文。本發(fā)明解決了網(wǎng)絡(luò)擁堵、丟報(bào)文導(dǎo)致ipsec隧道震蕩或斷網(wǎng)的問(wèn)題。
文檔編號(hào)H04L29/06GK102420770SQ201110444640
公開(kāi)日2012年4月18日 申請(qǐng)日期2011年12月27日 優(yōu)先權(quán)日2011年12月27日
發(fā)明者彭海帆, 陳海濱 申請(qǐng)人:漢柏科技有限公司