CN101197664B - 一种密钥管理协议协商的方法、系统和装置 - Google Patents
一种密钥管理协议协商的方法、系统和装置 Download PDFInfo
- Publication number
- CN101197664B CN101197664B CN2008100559941A CN200810055994A CN101197664B CN 101197664 B CN101197664 B CN 101197664B CN 2008100559941 A CN2008100559941 A CN 2008100559941A CN 200810055994 A CN200810055994 A CN 200810055994A CN 101197664 B CN101197664 B CN 101197664B
- Authority
- CN
- China
- Prior art keywords
- business board
- ike negotiation
- cookie
- corresponding relation
- network node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Abstract
本发明提供了一种密钥管理协议(IKE)协商的方法和网络节点,其中,方法包括:接收到数据报文后,按照预设的策略触发业务板发送IKE协商报文,并存储针对该IKE协商报文的业务板触发对应关系。接收到IKE协商报文后,判断是否存在针对该IKE协商报文的业务板触发对应关系,如果否,则按照预设的策略触发业务板进行IKE协商处理,并存储针对该IKE协商报文的业务板触发对应关系。通过这种方式可以使得网络节点需要同时建立大量IPsec连接时,将IKE协商工作分发到对应的业务板实现分布式处理,而不再集中由主控板处理,从而提高网络节点的IKE协商速度。
Description
技术领域
本发明涉及网络安全技术,特别涉及一种密钥管理协议(IKE)协商的方法、系统和装置。
背景技术
网络协议安全(IPsec)是为IP网络通信提供透明安全服务,保护TCP/IP通信免遭窃听和篡改,有效抵御网络攻击的协议。IPsec协议可以提供访问控制、无连接的完整性、数据来源验证、防重放、机密性。它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证(AH)协议、封装安全载荷(ESP)协议、密钥管理协议(IKE)和用于网络认证及加密的一些算法等。其中,IKE是用于两个网络节点之间协商IPSec安全联盟(SA)的协议,可以用于协商使用的安全协议,交换IPSec认证和加密的密钥,对通信双方进行认证,对协商出来的密钥进行管理。
在实际的组网结构中,点对多点的组网方式通常需要一个网络节点与其它多个网络节点之间进行通信,这就需要一个网络节点与其它多个网络节点进行IKE协商。图1为现有技术中的一种点对多点的组网实例,在图1中,每一个远程站点都与同一个核心站点存在虚拟个人网络(VPN)连接,而各远程站点之间没有VPN连接,如果远程站点之间需要通过VPN通信,则必须借助核心站点转发来完成。在诸如图1所示的组网方式中,就需要核心站点的设备具备同时与多个远程站点建立IPsec连接来创建SA的功能,这种在点对多点组网结构创建SA通常采用IKE自动协商的方式。其中,核心站点与每个远程站点之间分别存在一条IPsec连接。
现有技术中,诸如核心站点和远程站点等网络节点的主控板来集中完成IKE的自动协商处理,例如,当发送协商请求时,都是由主控板处理后发送出去,接收到其它网络节点发送的协商请求时,都送至主控板进行处理。由于主控板的集中处理能力有限,当核心站点需要同时与多个远程站点建立IPsec连接时,要同时与多个远程站点进行IKE协商,此时,同时进行的多组IKE协商都由核心站点的主控板执行,往往会带来协商速度低下等问题。
发明内容
本发明实施例提供了一种IKE协商的方法和网络节点,提高网络节点的IKE协商速度。
一种IKE协商的方法,该方法包括:
接收到IKE协商报文后,判断是否存在针对该IKE协商报文的业务板触发对应关系,如果否,则按照预设的策略触发业务板进行IKE协商处理,并存储针对该IKE协商报文的业务板触发对应关系;如果是,则按照针对该IKE协商报文的业务板触发对应关系触发对应的业务板进行IKE协商处理。
一种IKE协商的方法,该方法包括:
接收到数据报文后,判断该数据报文对应的网络协议安全IPsec连接是否已经开始协商,如果否,则按照预设的策略触发业务板发送IKE协商报文,并存储针对该IKE协商报文的业务板触发对应关系。
一种网络节点,该网络节点包括:收发单元、存储单元、判断单元、预处理单元和业务板;
所述收发单元,用于接收IKE协商报文;
所述存储单元,用于存储业务板触发对应关系;
所述判断单元,用于判断所述存储单元中是否存在针对该IKE协商报文的业务板触发对应关系;
所述预处理单元,用于在所述判断单元判断不存在所述针对该IKE协商报文的业务板触发对应关系时,按照预设的策略向业务板发送第一触发通知;在所述判断单元判断存在所述针对该IKE协商报文的业务板触发对应关系时,按照针对该IKE协商报文的业务板触发对应关系向对应的业务板发送第二触发通知;
所述业务板,用于接收到预处理单元发送的第一触发通知后,进行IKE协商,并将针对该IKE协商报文的业务板触发对应关系提供给所述存储单元;接收到所述预处理单元发送的第二触发通知后,进行IKE协商处理。
一种网络节点,该网络节点包括:收发单元、判断单元、预处理单元、业务板和存储单元;
所述收发单元,用于接收数据报文,发送所述业务板提供的IKE协商报文;
所述判断单元,用于判断所述收发单元接收到的数据报文对应的IPsec连接是否已经开始协商;
所述预处理单元,用于在所述收发单元接收到数据报文后,如果所述判断单元的判断结果为否,则按照预设的策略向业务板发送触发通知;
所述业务板,用于接收到所述预处理单元发送的触发通知后,生成IKE协商报文并提供给所述收发单元,并将针对该IKE协商报文的业务板触发对应关系提供给存储单元;
所述存储单元,用于存储所述针对该IKE协商报文的业务板触发对应关系。
由以上技术方案可以看出,本发明实施例提供的方法和网络节点,接收到数据报文后,按照预设的策略触发业务板发送IKE协商报文,并存储针对该IKE协商报文的业务板触发对应关系。接收到IKE协商报文后,判断是否存在针对该IKE协商报文的业务板触发对应关系,如果否,则按照预设的策略触发业务板进行IKE协商处理,并存储针对该IKE协商报文的业务板触发对应关系。通过这种方式可以使得网络节点需要同时建立大量IPsec连接时,将IKE协商工作分发到对应的业务板实现分布式处理,而不再集中由主控板处理,避免了由于主控板集中处理能力有限带来的协商速度低下等问题,这种方式可以使得多个业务板同时进行不同IPsec连接的IKE协商,从而提高网络节点的IKE协商速度。
附图说明
图1为现有技术中的一种点对多点的组网实例;
图2为本发明实施例提供的第一方法流程图;
图3为本发明实施例提供的Initiator Cookie组成图;
图4为本发明实施例提供的第二方法流程图;
图5为本发明实施例提供的第一种网络节点结构图;
图6为本发明实施例提供的第二种网络节点结构图;
图7为本发明实施例提供的一个应用示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明实施例提供的方法包括:接收到数据报文后,按照预设的策略触发业务板发送IKE协商报文,并存储针对该IKE协商报文的业务板触发对应关系。
接收到IKE协商报文后,判断是否存在针对该IKE协商报文的业务板触发对应关系,如果否,则按照预设的策略触发业务板进行IKE协商处理,并存储针对该IKE协商报文的业务板触发对应关系;如果是,则按照针对该IKE协商报文的业务板触发对应关系触发对应的业务板进行IKE协商处理。
本发明实施例提供的方法中可以预先设置IKE分发表,该IKE分发表用于存储针对各IKE协商报文的业务板触发对应关系,以下均以发送端网络节点与接收端网络节点之间的控制通道与业务板之间的对应关系为例进行描述。
本发明实施例提供的方法可以有两种实现方式,下面通过两个实施例分别对两种实现方式进行描述。
图2为本发明实施例提供的第一方法流程图,如图2所示,该方法可以包括以下步骤:
步骤201:发送端网络节点在发送数据报文时,如果该数据报文使用的IPsec连接尚未建立成功,则采用哈希(hash)算法触发发送端网络节点中的业务板进行IKE协商。
本步骤中,触发发送端网络节点中的业务板的步骤可以由发送端网络节点中的预处理单元执行。预处理单元为网络节点中已有的一个单元,用于将接收到的报文送至相应的业务板进行处理。预处理单元接收到要发送的数据报文时,首先判断当前待发送的数据报文使用的IPsec连接是否已经协商成功,由于在本步骤中,该待发送的数据报文使用的IPsec连接尚未建立。此时,触发发送端网络节点中的业务板进行IKE协商处理。
该需要发送的数据报文中包含接收端网络节点的地址,如果该发送端网络节点尚没有建立与接收端网络节点之间的IPsec连接,则该发送端网络节点的IKE分发表中就不存在该IPsec连接与业务板之间的对应关系。另外,预处理单元在触发业务板时,除了采用哈希的方式触发业务板外,还可以采用其它预设的策略,例如,按照各业务板的空闲状况,选择空闲的业务板进行触发,或者,采用预设的特定顺序选择业务板进行触发等。
另外,本发明实施例涉及的控制通道为发送端网络节点和接收端网络节点之间的网络安全联盟和密钥管理协议(ISAKMP)通道。
步骤202:发送端网络节点中受到触发的业务板生成起始域(InitiatorCookie),并将Initiator Cookie与该业务板号的对应关系同步给预处理单元,并向接收端网络节点发送携带Initiator Cookie的ISAKMP报文。
本发明实施例中的IKE协商报文包括ISAKMP报文和ISAKMP回应报文。
本步骤中在业务板上实现IKE协商,需要在业务板的功能进行扩充,增加实现IKE协商的功能模块。在该功能模块中配置了IKE相关策略,包括验证方法、加密算法、DH组和SA生命周期等。
由RFC2408可知,IKE协商使用的ISAKMP报文中通过两个Cookie字段来标识ISAKMP通道,因此,本发明实施例中可以采用Initiator Cookie和回应域(Responder Cookie)两个字段来唯一标识发送端网络节点和接收端网络节点之间的ISAKMP通道,即IPsec连接,其中,Initiator Cookie用于标识发送端网络节点,由发送端网络节点的业务板生成,Responder Cookie用于标识接收端网络节点,由接收端网络节点的业务板生成。本步骤中,首先由发送端节点的业务板生成Initiator Cookie。
其中,业务板生成Initiator Cookie的方法可以采用两种方式:第一种方式、将业务板随机产生的随机数作为Initiator Cookie,例如,采用现有技术中的方法,随机产生32位的随机数作为Initiator Cookie。第二种方式、可以采用业务板号与随机数结合的方法生成Initiator Cookie,例如,可以将32位Cookie的前6位代表业务板号,后26位为随机数,其结构可以如图3所示,这种生成Initiator Cookie的方法可以避免各业务板生成的InitiatorCookie产生重复,造成ISAKMP通道与业务板的对应关系无法识别。本发明的第一种实现方法可以采用以上方式中的任何一种。
IKE协商可以分为两个阶段,第一个阶段用于协商一条ISAKMP通道,第二个阶段用于协商用户数据报文加密验证需要的加密密钥、验证密钥、机密和验证算法等参数。因此,在IKE协商过程中发送端网络节点和接收端网络节点之间会进行多个ISAKMP报文的交互,为了保证在同一ISAKMP通道上传送的ISAKMP报文都由同一个业务板进行处理,需要在发送端网络节点和接收端网络节点中存储ISAKMP通道与业务板之间的对应关系,即将ISAKMP通道与业务板之间的对应关系作为IKE分发表中的表项。该IKE分发表中的各表项为标识ISAKMP通道的Initiator Cookie和ResponderCookie与业务板号之间的对应关系,该表项可以通过多次ISAKMP报文交互后形成。在本步骤中,首先在该IKE分发表中存储Initiator Cookie与该业务板号的对应关系,形成一个不完整的表项,即,此时存储的IPsec连接与业务板号的对应关系为Initiator Cookie与该业务板号的对应关系。该IKE分发表可以存储在预处理单元中,业务板将生成的Initiator Cookie与该业务板号的对应关系发送给预处理单元,由预处理单元存储在IKE分发表中以实现该对应关系的同步。
另外,在IKE协商失败,IKE SA老化或者接收到删除通知时,可以将该IKE分发表中标识对应ISAKMP通道与业务板之间对应关系的表项删除。
步骤203:接收端网络节点接收到该ISAKMP报文后,根据hash算法将该ISAKMP报文发送给接收端网络节点中的业务板,并根据ISAKMP报文中携带的Initiator Cookie,在IKE分发表中建立Initiator Cookie与接收端网络节点中触发的业务板号之间的对应关系。
同样,本步骤中,触发业务板的操作可以由接收端节点中的预处理单元执行。预处理单元接收到该ISAKMP报文后,由于尚没有该ISAKMP通道与自身业务板之间的对应关系,因此,接收端网络节点采用hash算法触发业务板来进行IKE协商处理,并且,首先利用ISAKMP报文中携带的InitiatorCookie建立一个不完整的表项。
另外,预处理单元在触发业务板时,处理采用哈希方式分配外,还可以采用其它预设的策略,例如,按照各业务板的空闲状况,选择空闲的业务板进行触发,或者采用特定的顺序选择业务板进行触发等。
步骤204:接收端网络节点中受到触发的业务板生成Responder Cookie,从而建立Initiator Cookie和Responder Cookie与业务板号的对应关系,并将该对应关系同步给预处理单元,向发送端网络节点发送携带Initiator Cookie和Responder Cookie的ISAKMP回应报文。
本步骤中生成Responder Cookie的方法可以采用步骤202中提供的生成Initiator Cookie的方法,在此不再赘述。生成Responder Cookie后,可以将该Responder Cookie补入步骤203中得到的不完整表项,从而在IKE分发表中形成Initiator Cookie和Responder Cookie与业务板号的对应关系,即得到一个完整的表项。
步骤205:发送端网络节点接收到该ISAKMP回应报文后,根据该ISAKMP回应报文中携带的Initiator Cookie在IKE分发表中查找到对应的业务板号,将接收到的ISAKMP回应报文发送给该业务板号对应的业务板,并根据ISAKMP回应报文中携带的Responder Cookie建立Initiator Cookie和Responder Cookie与自身业务板号的对应关系。
本步骤中,发送端网络节点的预处理单元首先根据ISAKMP回应报文中携带的Initiator Cookie和Responder Cookie在IKE分发表中查找是否有相应的表项,在本步骤中并没有相应的表项,则根据Initiator Cookie在IKE分发表中查找是否有相应的表项,在此时的IKE分发表中存在标识InitiatorCookie与业务板号对应关系的表项,预处理单元触发该业务板号对应的业务板进行IKE协商。并将Responder Cookie补入IKE分发表中形成完整的表项,即Initiator Cookie和Responder Cookie与业务板号的对应关系。
步骤206:如果需要继续进行IKE协商,则该业务板向接收端网络节点发送携带Initiator Cookie和Responder Cookie的ISAKMP报文。
发送端网络节点和接收端网络节点在后续的流程中,接收到对端发送的报文时,可以直接根据报文中携带的Initiator Cookie和Responder Cookie在IKE分发表中查找到对应的业务板,触发该对应的业务板进行IKE协商处理。
以上为本发明实施例提供的第一方法的描述。
如果发送端网络节点和接收端网络节点生成Initiator Cookie和Responder Cookie的方式为业务板号和随机数结合的方式,则该方法还可以采用如图4所示的流程,图4为本发明实施例提供的第二方法流程图,本实施例中,由于生成Initiator Cookie和Responder Cookie的方式为业务板号和随机数结合的方式,因此,发送端网络节点和接收端网络节点在该IKE分发表中只需要存储自身产生的Initiator Cookie或Responder Cookie即可,并从该Initiator Cookie或Responder Cookie中提取业务板号,并触发该业务板号对应的业务板进行IKE协商处理。如图4所示,该方法可以包括以下步骤:
步骤401-402的所有的描述与步骤201-202的所有描述相同。
步骤403:接收端网络节点接收到ISAKMP报文后,根据hash算法将该ISAKMP报文发送给接收端网络节点中的业务板。
在本步骤中,接收端网络节点的预处理单元接收到ISAKMP报文后,判断该ISAKMP报文中携带的Initiator Cookie是否存在于IKE分发表中,在本步骤中IKE分发表中并没有该Initiator Cookie,因此,预处理单元则根据hash算法触发相应的业务板。
步骤404:接收端网络节点中受到触发的业务板生成Responder Cookie,并将该Responder Cookie存储在自身的IKE分发表中,向发送端网络节点发送携带Initiator Cookie和Responder Cookie的ISAKMP回应报文。
步骤405:发送端网络节点接收到该ISAKMP回应报文后,判断该ISAKMP回应报文中携带的Initiator Cookie在自身的IKE分发表中后,从该Initiator Cookie中提取业务板号,并将接收到的ISAKMP回应报文发送给该业务板号对应的业务板。
本步骤中,ISAKMP回应报文中携带有Initiator Cookie和ResponderCookie,发送端网络节点需要识别哪一个Cookie是自身生成的,判断的方法可以为:判断Initiator Cookie和Responder Cookie中哪一个存在与自身存储的IKE分发表中,显然本步骤中Initiator Cookie存在于发送端网络节点的IKE分发表中,从Initiator Cookie中提取业务板号,将接收到的ISAKMP回应报文发送给该业务板号对应的业务板。
步骤406:如果需要继续进行IKE协商,则该业务板继续向接收端网络节点发送ISAKMP报文。
发送端网络节点和接收端网络节点在后续的流程中,接收到对端发送的报文时,判断该报文中携带的Initiator Cookie和Responder Cookie中哪一个存在于自身存储的IKE分发表中,根据存在于IKE分发表中的InitiatorCookie或Responder Cookie,提取业务板号,并触发该业务板号对应的业务板进行IKE协商处理。
以上是对本发明实施例提供的第二方法的描述。
另外,在上述实施例提供的第一方法和第二方法中,如果在IKE协商过程中接收到待发送的数据报文,则首先判断该数据报文使用的IPsec连接是否尚未协商,如果尚未开始协商,则按照预设的策略触发业务板进行IKE协商处理;如果正在协商中,则不做处理;如果该数据报文使用的IPsec连接已经协商成功,则可以按照现有技术中的方式发送该数据报文,例如,可以使用该IPsec连接对应的业务板发送该数据报文,也可以在任意一个业务板上发送该数据报文。但是,如果要实现在任意一个业务板上发送数据报文,则需要在各业务板在进行IKE协商处理后,将获得的数据同步到所有业务板上。
以上是对本发明实施例提供的方法的描述,下面针对网络节点分别接收到数据报文和IKE协商报文的不同处理,给出两种结构对本发明的网络节点进行描述。首先结合图5对本发明实施例提供的第一种网络节点进行描述,图5为本发明实施例提供的第一种网络节点结构图,如图5所示,该网络节点可以包括:存储单元500、判断单元510、预处理单元520、业务板530和收发单元540。
收发单元540,用于用于接收IKE协商报文。
存储单元500,用于存储业务板触发对应关系。
由于控制通道可以由发送端网络节点的Initiator Cookie和接收端网络节点的Responder Cookie标识,因此,该存储单元可以存储Initiator Cookie和Responder Cookie与业务板号之间的对应关系,由于该对应关系并不是由一次交互建立的,因此,该存储可以存储Initiator Cookie与业务板号之间的对应关系。另外,由于发送端网络节点的Initiator Cookie和接收端网络节点的ResponderCookie可以由业务板号和随机数结合生成,该存储单元也可以仅存储自身所在网络节点生成的Initiator Cookie或Responder Cookie。
判断单元510,用于判断存储单元500中是否存在针对该IKE协商报文的业务板触发对应关系。
预处理单元520,用于在判断单元510判断不存在针对该IKE协商报文的业务板触发对应关系时,按照预设的策略向业务板530发送第一触发通知。
业务板530,用于接收到预处理单元520发送的第一触发通知后,进行IKE协商。
另外,预处理单元520,还可以用于在判断单元510判断存在针对该IKE协商报文的业务板触发对应关系时,按照针对该IKE协商报文的业务板触发对应关系向对应的业务板530发送第二触发通知。
此时,业务板530,还用于接收到预处理单元520发送的第二触发通知后,进行IKE协商处理。
其中的存储单元500、判断单元510都可以集成于预处理单元520中。业务板530可以为一个或一个以上个。
其中,根据判断方式的不同,该判断单元510可以包括:第一Cookie提取单元511、第一判断单元512、第二判断单元513.
第一Cookie提取单元511,用于提取IKE协商报文中携带的Initiator Cookie或Responder Cookie。
第一判断单元512,用于在IKE协商报文中仅携带Initiator Cookie时,直接确定不存在针对该IKE协商报文的业务板触发对应关系;在IKE协商报文中携带Initiator Cookie和Responder Cookie时,判断存储单元500中是否存在Initiator Cookie和Responder Cookie与业务板530之间的对应关系,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系,否则,向第二判断单元513发送判断通知。
第二判断单元513,用于判断存储单元500中是否存在Initiator Cookie与业务板530之间的对应关系,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系,如果否,则确定不存在针对该IKE协商报文的业务板触发对应关系。
当Initiator Cookie或Responder Cookie为业务板号与随机数的结合时,该判断单元510可以采用另外一种结构,可以包括:第二Cookie提取单元514和第三判断单元515。
第二Cookie提取单元514,用于提取IKE协商报文中携带的Initiator Cookie或Responder Cookie。
第三判断单元515,用于判断存储单元500是否已经存储IKE协商报文中携带的Initiator Cookie或Responder Cookie,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系。
采用这种判断单元的结构时,网络节点需要判断IKE协商报文中携带的Initiator Cookie或Responder Cookie中哪一个为自身生成的,即判断存储单元500中存储了哪一个,如果存在其中一个,则确定存在针对该IKE协商报文的业务板触发对应关系,并且从该存储的Initiator Cookie或Responder Cookie中可以获取对应的业务板号;如果任何一个都不存在,则确定不存在针对该IKE协商报文的业务板触发对应关系。
其中,业务板530可以包括:Cookie生成单元531和报文生成单元532。
Cookie生成单元531,用于接收到第一触发通知后,生成Responder Cookie,并将该Responder Cookie提供给存储单元500进行存储。
存储单元500,用于将Responder Cookie、接收到的IKE协商报文中携带的Initiator Cookie与业务板之间的对应关系进行存储,或者,将业务板号与随机数结合生成的Responder Cookie进行存储。
报文生成单元532,用于生成携带该Initiator Cookie和Responder Cookie的IKE协商报文。
收发单元540,还用于发送报文生成单元532生成的IKE协商报文。
另外,业务板530还可以采用另外一种结构,可以包括:对应关系提供单元533,用于接收到第二触发通知后,将当前报文中携带的Responder Cookie、Initiator Cookie和该业务板之间的对应关系提供给存储单元500进行存储。
另外,当网络节点接收到待发送的数据报文时,可以采用如图6所示的结构,图6为本发明实施例提供的第二种网络节点结构图,如图6所示,该网络节点可以包括:收发单元600、预处理单元610、业务板620和存储单元630。
收发单元600,用于接收数据报文,发送业务板620提供的IKE协商报文。
预处理单元610,用于在收发单元600接收到数据报文后,按照预设的策略向业务板620发送触发通知。
业务板620,用于接收到预处理单元610发送的触发通知后,生成IKE协商报文并提供给收发单元600,并将针对该IKE协商报文的业务板触发对应关系提供给存储单元630。
存储单元630,用于存储针对该IKE协商报文的业务板触发对应关系。
另外,该网络节点还可以包括:判断单元640,用于判断收发单元600接收到的数据报文对应的IPsec连接是否已经开始协商,如果否,则触发预处理单元610执行按照预设的策略向业务板620发送触发通知的操作。
其中,业务板620可以包括:Cookie生成单元621和报文生成单元622。
Cookie生成单元621,用于接收到触发通知后,生成Initiator Cookie,并将该Initiator Cookie提供给存储单元630。
报文生成单元622,用于生成携带Initiator Cookie的IKE协商报文,并提供给收发单元600。
存储单元630,存储Initiator Cookie与业务板之间的对应关系,或者,存储业务板号与随机数结合生成的Initiator Cookie。
另外,上述图5和图6中所示的结构可以分别独立存在,也可以同时存在于同一个网络节点中实现。
由以上描述可以看出,本发明实施例提供的方法和网络节点,接收到数据报文后,按照预设的策略触发业务板发送IKE协商报文,并存储针对该IKE协商报文的业务板触发对应关系。接收到IKE协商报文后,判断是否存在针对该IKE协商报文的业务板触发对应关系,如果否,则按照预设的策略触发业务板进行IKE协商处理,并存储针对该IKE协商报文的业务板触发对应关系。通过这种方式可以使得网络节点需要同时建立大量IPsec连接时,将IKE协商工作分发到对应的业务板实现分布式处理,而不再集中由主控板处理,避免了由于主控板集中处理能力有限带来的协商速度低下等问题,这种方式可以使得多个业务板同时进行不同IPsec连接的IKE协商,从而提高网络节点的IKE协商速度。
通过本发明实施例提供的方法、系统和装置可以实现网络节点中IKE协商与业务板的绑定,举一个直观的例子对本发明的效果进行描述。例如,某网络中存在如图7所示的结构,该网络中存在网络节点A、网络节点B和网络节点C,网络节点A与网络节点B之间的IKE协商与网络节点A中的业务板1对应,与网络节点B中的业务板1对应;网络节点A与网络节点C之间的IKE协商与网络节点A中的业务板2对应,与网络节点C中的业务板1对应;即网络节点A始终采用自身的业务板1与网络节点B进行IKE协商,网络节点A始终采用自身的业务板2与网络节点C进行IKE协商,这样,在网络节点A同时与网络节点B和网络节点C进行IKE协商时,可以分别采用业务板1和业务板2进行分布式处理,而不会集中由主控板进行处理,从而提高了网络节点A的IKE协商速度。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (18)
1.一种密钥管理协议IKE协商的方法,其特征在于,该方法包括:
接收到IKE协商报文后,判断是否存在针对该IKE协商报文的业务板触发对应关系,如果否,则按照预设的策略触发业务板进行IKE协商处理,并存储针对该IKE协商报文的业务板触发对应关系;如果是,则按照针对该IKE协商报文的业务板触发对应关系触发对应的业务板进行IKE协商处理。
2.根据权利要求1所述的方法,其特征在于,所述按照预设的策略触发业务板进行IKE协商处理包括:采用哈希算法选择业务板,触发该选择的业务板进行IKE协商处理;或者,
按照各业务板的空闲状况,触发空闲的业务板进行IKE协商处理;或者,
采用预设的顺序触发业务板进行IKE协商处理。
3.根据权利要求1或2所述的方法,其特征在于,所述判断是否存在针对该IKE协商报文的业务板触发对应关系包括:
如果所述接收到的IKE协商报文中仅携带Initiator Cookie,则直接判断不存在针对该IKE协商报文的业务板触发对应关系;
如果所述接收到的IKE协商报文中携带Initiator Cookie和ResponderCookie,则判断是否存在Initiator Cookie和Responder Cookie与业务板之间的对应关系,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系;否则,判断是否存在所述Initiator Cookie与业务板之间的对应关系,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系,如果否,则确定不存在针对该IKE协商报文的业务板触发对应关系;
其中,所述Initiator Cookie用于标识发送端网络节点,由发送端网络节点的业务板生成;所述Responder Cookie用于标识接收端网络节点,由接收端网络节点的业务板生成。
4.根据权利要求3所述的方法,其特征在于,所述接收到IKE协商报文仅携带Initiator Cookie时,在所述按照预设的策略触发业务板进行IKE协商处理之后还包括:受到触发的业务板生成Responder Cookie,并发送携带InitiatorCookie和所述Responder Cookie的IKE协商报文;
所述存储针对该IKE协商报文的业务板触发对应关系包括:存储所述IKE协商报文中携带的Initiator Cookie、所述生成的Responder Cookie与所述受到触发的业务板之间的对应关系。
5.根据权利要求3所述的方法,其特征在于,所述接收到的IKE协商报文携带Initiator Cookie和Responder Cookie时,在按照针对该IKE协商报文的业务板触发对应关系触发对应的业务板进行IKE协商处理之后还包括:存储所述IKE协商报文中携带的Initiator Cookie和Responder Cookie与所述受到触发的业务板之间的对应关系。
6.根据权利要求3所述的方法,其特征在于,所述Initiator Cookie和Responder Cookie为随机数,或者,为业务板号和随机数的结合。
7.根据权利要求1或2所述的方法,其特征在于,所述判断是否存在针对该IKE协商报文的业务板触发对应关系包括:判断是否已经存储所述接收到的IKE协商报文中携带的Initiator Cookie或Responder Cookie,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系;
所述Initiator Cookie或Responder Cookie为业务板号和随机数的结合;
其中,所述Initiator Cookie用于标识发送端网络节点,由发送端网络节点的业务板生成;所述Responder Cookie用于标识接收端网络节点,由接收端网络节点的业务板生成。
8.根据权利要求7所述的方法,其特征在于,在所述按照预设的策略触发业务板进行IKE协商处理之后还包括:生成Responder Cookie;
所述存储针对该IKE协商报文的业务板触发对应关系包括:存储所述生成的Responder Cookie。
9.根据权利要求7所述的方法,其特征在于,所述按照针对该IKE协商报文的业务板触发对应关系触发对应的业务板进行IKE协商处理包括:从已经存储的所述Initiator Cookie或Responder Cookie中提取业务板号,并触发所述业务板号对应的业务板进行IKE协商处理。
10.一种IKE协商的方法,其特征在于,该方法包括:
接收到数据报文后,判断该数据报文对应的网络协议安全IPsec连接是否已经开始协商,如果否,则按照预设的策略触发业务板发送IKE协商报文,并存储针对该IKE协商报文的业务板触发对应关系。
11.根据权利要求10所述的方法,其特征在于,所述按照预设的策略触发业务板包括:采用哈希算法选择业务板,触发该选择的业务板;或者,
按照各业务板的空闲状况,触发空闲的业务板;或者,
采用预设的顺序触发业务板。
12.根据权利要求10所述的方法,其特征在于,所述业务板发送的IKE协商报文包含所述业务板生成的Initiator Cookie;
所述存储针对该IKE协商报文的业务板触发对应关系包括:存储所述生成的Initiator Cookie与所述受到触发的业务板之间的对应关系,或者,当所述生成的Initiator Cookie为业务板号与随机数的结合时,存储所述生成的InitiatorCookie;
其中,所述Initiator Cookie用于标识发送端网络节点,由发送端网络节点的业务板生成。
13.一种网络节点,其特征在于,该网络节点包括:收发单元、存储单元、判断单元、预处理单元和业务板;
所述收发单元,用于接收IKE协商报文;
所述存储单元,用于存储业务板触发对应关系;
所述判断单元,用于判断所述存储单元中是否存在针对该IKE协商报文的业务板触发对应关系;
所述预处理单元,用于在所述判断单元判断不存在所述针对该IKE协商报文的业务板触发对应关系时,按照预设的策略向业务板发送第一触发通知;在所述判断单元判断存在所述针对该IKE协商报文的业务板触发对应关系时,按照针对该IKE协商报文的业务板触发对应关系向对应的业务板发送第二触发通知;
所述业务板,用于接收到预处理单元发送的第一触发通知后,进行IKE协商,并将针对该IKE协商报文的业务板触发对应关系提供给所述存储单元;接收到所述预处理单元发送的第二触发通知后,进行IKE协商处理。
14.根据权利要求13所述的网络节点,其特征在于,所述判断单元包括:第一Cookie提取单元、第一判断单元和第二判断单元;
所述第一Cookie提取单元,用于提取所述IKE协商报文中携带的InitiatorCookie或Responder Cookie;
所述第一判断单元,用于在所述IKE协商报文中仅携带Initiator Cookie时,直接确定不存在针对该IKE协商报文的业务板触发对应关系;在所述IKE协商报文中携带Initiator Cookie和Responder Cookie时,判断所述存储单元中是否存在Initiator Cookie和Responder Cookie与业务板之间的对应关系,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系,否则,向第二判断单元发送判断通知;
所述第二判断单元,用于判断所述存储单元中是否存在所述Initiator Cookie与业务板之间的对应关系,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系,如果否,则确定不存在针对该IKE协商报文的业务板触发对应关系;
其中,所述Initiator Cookie用于标识发送端网络节点,由发送端网络节点的业务板生成;所述Responder Cookie用于标识接收端网络节点,由接收端网络节点的业务板生成。
15.根据权利要求13所述的网络节点,其特征在于,所述判断单元包括:第二Cookie提取单元和第三判断单元;
所述第二Cookie提取单元,用于提取所述IKE协商报文中携带的InitiatorCookie或Responder Cookie;
所述第三判断单元,用于判断所述存储单元是否已经存储所述IKE协商报文中携带的Initiator Cookie或Responder Cookie,如果是,则确定存在针对该IKE协商报文的业务板触发对应关系;
其中,所述Initiator Cookie用于标识发送端网络节点,由发送端网络节点的业务板生成;所述Responder Cookie用于标识接收端网络节点,由接收端网络节点的业务板生成。
16.根据权利要求13所述的网络节点,其特征在于,所述业务板包括:Cookie生成单元、报文生成单元和对应关系提供单元;
所述Cookie生成单元,用于接收到所述第一触发通知后,生成ResponderCookie,并将该Responder Cookie提供给所述存储单元进行存储;
所述存储单元,用于将所述Responder Cookie、接收到的IKE协商报文中携带的Initiator Cookie与业务板之间的对应关系进行存储,或者,将业务板号与随机数结合生成的Responder Cookie进行存储;
所述报文生成单元,用于生成携带所述Initiator Cookie和Responder Cookie的IKE协商报文;
所述对应关系提供单元,用于接收到所述第二触发通知后,将所述IKE协商报文中携带的Responder Cookie、Initiator Cookie和该业务板之间的对应关系提供给所述存储单元进行存储;
所述收发单元,还用于发送所述报文生成单元生成的IKE协商报文;
其中,所述Initiator Cookie用于标识发送端网络节点,由发送端网络节点的业务板生成;所述Responder Cookie用于标识接收端网络节点,由接收端网络节点的业务板生成。
17.一种网络节点,其特征在于,该网络节点包括:收发单元、判断单元、预处理单元、业务板和存储单元;
所述收发单元,用于接收数据报文,发送所述业务板提供的IKE协商报文;
所述判断单元,用于判断所述收发单元接收到的数据报文对应的IPsec连接是否已经开始协商;
所述预处理单元,用于在所述收发单元接收到数据报文后,如果所述判断单元的判断结果为否,则按照预设的策略向业务板发送触发通知;
所述业务板,用于接收到所述预处理单元发送的触发通知后,生成IKE协商报文并提供给所述收发单元,并将针对该IKE协商报文的业务板触发对应关系提供给存储单元;
所述存储单元,用于存储所述针对该IKE协商报文的业务板触发对应关系。
18.根据权利要求17所述的网络节点,其特征在于,所述业务板包括:Cookie生成单元和报文生成单元;
所述Cookie生成单元,用于接收到所述触发通知后,生成Initiator Cookie,并将该Initiator Cookie提供给所述存储单元;
所述报文生成单元,用于生成携带所述Initiator Cookie的IKE协商报文,并提供给所述收发单元;
所述存储单元,存储所述Initiator Cookie与所述业务板之间的对应关系,或者,存储业务板号与随机数结合生成的Initiator Cookie;
其中,所述Initiator Cookie用于标识发送端网络节点,由发送端网络节点的业务板生成。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100559941A CN101197664B (zh) | 2008-01-03 | 2008-01-03 | 一种密钥管理协议协商的方法、系统和装置 |
| US12/808,978 US8327129B2 (en) | 2008-01-03 | 2008-06-23 | Method, apparatus and system for internet key exchange negotiation |
| PCT/CN2008/071411 WO2009082889A1 (fr) | 2008-01-03 | 2008-06-23 | Procédé de négociation pour échange de clés internet et dispositif et système associés |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100559941A CN101197664B (zh) | 2008-01-03 | 2008-01-03 | 一种密钥管理协议协商的方法、系统和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101197664A CN101197664A (zh) | 2008-06-11 |
| CN101197664B true CN101197664B (zh) | 2010-12-08 |
Family
ID=39547834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100559941A Expired - Fee Related CN101197664B (zh) | 2008-01-03 | 2008-01-03 | 一种密钥管理协议协商的方法、系统和装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8327129B2 (zh) |
| CN (1) | CN101197664B (zh) |
| WO (1) | WO2009082889A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197664B (zh) * | 2008-01-03 | 2010-12-08 | 杭州华三通信技术有限公司 | 一种密钥管理协议协商的方法、系统和装置 |
| WO2010020151A1 (zh) | 2008-08-18 | 2010-02-25 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、装置和系统 |
| CN101442470B (zh) * | 2008-12-18 | 2011-12-21 | 成都市华为赛门铁克科技有限公司 | 一种建立隧道的方法、系统和设备 |
| WO2011110007A1 (zh) * | 2010-08-30 | 2011-09-15 | 华为技术有限公司 | 隧道重协商的方法和系统、以及接入网关和终端 |
| CN102006298A (zh) * | 2010-11-26 | 2011-04-06 | 华为技术有限公司 | 接入网关实现负荷分担的方法和装置 |
| US20140189343A1 (en) * | 2012-12-31 | 2014-07-03 | James Heit | Secure internet protocol (ip) front-end for virtualized environments |
| US9027098B2 (en) * | 2013-03-14 | 2015-05-05 | Genband Us Llc | Systems, methods, and computer program products for recording service status of applications |
| CN103209187B (zh) * | 2013-04-11 | 2016-01-06 | 汉柏科技有限公司 | 一种提高ike协商速度的方法 |
| US20140380038A1 (en) * | 2013-06-19 | 2014-12-25 | Unisys Corporation | Secure internet protocol (ip) front-end for virtualized environments |
| CN104104573A (zh) * | 2014-08-06 | 2014-10-15 | 汉柏科技有限公司 | 用于网络设备的IPsec隧道的控制方法和系统 |
| US9332015B1 (en) * | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
| US9516065B2 (en) * | 2014-12-23 | 2016-12-06 | Freescale Semiconductor, Inc. | Secure communication device and method |
| CN106330815A (zh) * | 2015-06-17 | 2017-01-11 | 中兴通讯股份有限公司 | Ike协商控制方法、装置和系统 |
| CN105991351B (zh) * | 2015-07-21 | 2019-06-04 | 杭州迪普科技股份有限公司 | 一种IPSec配置方法及装置 |
| US10051000B2 (en) * | 2015-07-28 | 2018-08-14 | Citrix Systems, Inc. | Efficient use of IPsec tunnels in multi-path environment |
| US10666691B2 (en) * | 2016-04-07 | 2020-05-26 | Avaya Inc. | Dynamic session classification |
| CN109218205A (zh) * | 2018-09-26 | 2019-01-15 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
| CN109547487A (zh) * | 2018-12-28 | 2019-03-29 | 北京奇安信科技有限公司 | 消息处理方法、装置及系统 |
| CN110391902B (zh) * | 2019-07-08 | 2022-10-25 | 新华三信息安全技术有限公司 | 一种互联网密钥交换ike协商的方法及装置 |
| US11201749B2 (en) * | 2019-09-11 | 2021-12-14 | International Business Machines Corporation | Establishing a security association and authentication to secure communication between an initiator and a responder |
| US11206144B2 (en) | 2019-09-11 | 2021-12-21 | International Business Machines Corporation | Establishing a security association and authentication to secure communication between an initiator and a responder |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770761A (zh) * | 2004-11-01 | 2006-05-10 | 华为技术有限公司 | 一种基于网络密钥交换协议的地址更新方法 |
| CN1863048A (zh) * | 2005-05-11 | 2006-11-15 | 中兴通讯股份有限公司 | 用户与接入设备间因特网密钥交换协商方法 |
| CN1984131A (zh) * | 2005-12-14 | 2007-06-20 | 北京三星通信技术研究有限公司 | 分布式IPSec处理的方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7600131B1 (en) * | 1999-07-08 | 2009-10-06 | Broadcom Corporation | Distributed processing in a cryptography acceleration chip |
| US7280540B2 (en) * | 2001-01-09 | 2007-10-09 | Stonesoft Oy | Processing of data packets within a network element cluster |
| JP4707325B2 (ja) | 2004-01-26 | 2011-06-22 | 富士通株式会社 | 情報処理装置 |
| CN100459568C (zh) | 2005-09-22 | 2009-02-04 | 武汉思为同飞网络技术有限公司 | 在应用层实现vpn协议的系统及其方法 |
| JP4690918B2 (ja) * | 2006-03-14 | 2011-06-01 | 株式会社リコー | ネットワーク機器 |
| CN101197664B (zh) | 2008-01-03 | 2010-12-08 | 杭州华三通信技术有限公司 | 一种密钥管理协议协商的方法、系统和装置 |
-
2008
- 2008-01-03 CN CN2008100559941A patent/CN101197664B/zh not_active Expired - Fee Related
- 2008-06-23 WO PCT/CN2008/071411 patent/WO2009082889A1/zh active Application Filing
- 2008-06-23 US US12/808,978 patent/US8327129B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770761A (zh) * | 2004-11-01 | 2006-05-10 | 华为技术有限公司 | 一种基于网络密钥交换协议的地址更新方法 |
| CN1863048A (zh) * | 2005-05-11 | 2006-11-15 | 中兴通讯股份有限公司 | 用户与接入设备间因特网密钥交换协商方法 |
| CN1984131A (zh) * | 2005-12-14 | 2007-06-20 | 北京三星通信技术研究有限公司 | 分布式IPSec处理的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101197664A (zh) | 2008-06-11 |
| US8327129B2 (en) | 2012-12-04 |
| US20100313023A1 (en) | 2010-12-09 |
| WO2009082889A1 (fr) | 2009-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101197664B (zh) | 一种密钥管理协议协商的方法、系统和装置 | |
| CN101257431B (zh) | 逆向安全通道远程设备管理模式 | |
| CN101243643B (zh) | 在未知通信方之间建立信任关系 | |
| US9137212B2 (en) | Communication method and apparatus using changing destination and return destination ID's | |
| CA2690778A1 (en) | System and method of creating and sending broadcast and multicast data | |
| CN102315937A (zh) | 无线通信装置和服务器之间数据的安全交易系统和方法 | |
| CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| CN104753953A (zh) | 访问控制系统 | |
| CN102088441A (zh) | 消息中间件的数据加密传输方法和系统 | |
| CN104883255A (zh) | 一种密码重置方法和装置 | |
| CN102594569A (zh) | 一种建立Tor匿名通道时所采用的无证书密钥协商方法 | |
| CN102088352B (zh) | 消息中间件的数据加密传输方法和系统 | |
| CN105075175A (zh) | 用于建立会话密钥的方法和设备 | |
| CN101197828B (zh) | 一种安全arp的实现方法及网络设备 | |
| CN103888940B (zh) | 多级加密与认证的wia‑pa网络手持设备的通讯方法 | |
| CN103220279A (zh) | 数据安全传输的方法和系统 | |
| CN102281303A (zh) | 一种数据交换方法 | |
| CN103685181A (zh) | 一种基于srtp的密钥协商方法 | |
| CN102905199A (zh) | 一种组播业务实现方法及其设备 | |
| CN102025742A (zh) | 一种ike报文的协商方法和设备 | |
| US20170359178A1 (en) | Network communication method having function of recovering terminal session | |
| CN112822216A (zh) | 一种用于物联网子设备绑定的认证方法 | |
| CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
| EP2720404A1 (en) | Addressable radio device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20200103 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |