CN102420770A - Ike报文协商方法及设备 - Google Patents
Ike报文协商方法及设备 Download PDFInfo
- Publication number
- CN102420770A CN102420770A CN2011104446408A CN201110444640A CN102420770A CN 102420770 A CN102420770 A CN 102420770A CN 2011104446408 A CN2011104446408 A CN 2011104446408A CN 201110444640 A CN201110444640 A CN 201110444640A CN 102420770 A CN102420770 A CN 102420770A
- Authority
- CN
- China
- Prior art keywords
- equipment
- ipsec
- message
- response message
- negotiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000010355 oscillation Effects 0.000 abstract 1
- 230000009514 concussion Effects 0.000 description 7
- 239000000725 suspension Substances 0.000 description 6
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明是一种IKE报文协商方法及设备,应用于使用IPSec的包括第一设备和第二设备的系统,该方法包括第一阶段协商和第二阶段协商;在第二阶段协商时,所述第一设备向第二设备发送最后一个协商报文后,判断在预设周期内是否接收到第二设备发送的响应报文;若判断结果为第一设备在预设周期内没有接收到第二设备发送的响应报文,则第一设备在收到esp、ah报文后,在安全联盟数据库中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个响应报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,第一设备ipsec sa建立完成,忽略第二设备的响应报文。本发明解决了网络拥堵、丢报文导致ipsec隧道震荡或断网的问题。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种IKE报文协商方法及设备。
背景技术
因特网协议安全(IPSec),是由IETF(Internet Engineering TaskForce)定义的一套在网络层提供因特网协议(IP)安全性的协议,由一系列RFC文档组成。其中RFC2401定义IPSec的基本结构;RFC2402定义IPSec的验证头(AH);RFC2406定义IPSec的封装安全载荷(ESP);RFC2409定义IPSec的因特网密钥交换(IKE)。
IPSec协议包括:AH、ESP、IKE等。
ESP封装安全载荷为IP载荷提供数据加密和验证的功能。AH认证头为IP头提供数据完整性和验证的功能。数据加密和验证算法由安全相关(SA)指定。IKE密钥交换为IPSec协议生成密钥。安全策略数据库(SPD)决定两个实体之间能否通讯及通讯转码方式。解析域(DOI)用来组合相关协议,通过使用ISAKMP协商安全连接。
在网络中,往往需要同时协商大量的ipsec sa,此时由于网络拥堵等原因会丢掉协商报文,会出现消息1消息2顺利完成,消息3丢失时,发起者不知道报文没有被响应者收到,以为隧道建立完成,会大量发送esp、ah报文,此时如果响应者在没有收到消息3时就收到了ESP/AH报文,会认为隧道异常,断开隧道,造成网络中断。
此问题特别出现在ipsec sa超时后更新的情况中,此时隧道已经正常加解密中,当ipsec sa更新时由于丢第3个协议包时,会造成发起者使用新的密钥加密,响应者缺认为状态不完整而断开隧道,导致设备震荡。
现有技术中通过qos等技术手段限制进入ipsec数据的带宽以解决上述问题,但对于无qos功能的设备就需要新增qos硬件设备,增加了成本,并且无法解决网络拥堵,丢报文,导致ipsec隧道震荡或断网的根本问题。
发明内容
(一)要解决的技术问题
本发明的目的在于提出一种IKE报文协商方法及设备,解决网络拥堵、丢报文导致ipsec隧道震荡或断网的问题。
(二)技术方案
为了解决上述技术问题,本发明提供一种IKE报文协商方法,应用于使用IPSec的包括第一设备和第二设备的系统,
该方法包括第一阶段协商和第二阶段协商;
在第二阶段协商时,所述第一设备向第二设备发送最后一个协商报文后,判断在预设周期内是否接收到第二设备发送的响应报文;
若判断结果为第一设备在预设周期内没有接收到第二设备发送的响应报文,则第一设备在收到esp、ah报文后,在安全联盟数据库中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个响应报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,第一设备ipsec sa建立完成,忽略第二设备的响应报文。
优选地,若判断结果为第一设备在预设周期内接收到了第二设备发送的响应报文,则第一设备ipsec sa建立完成。
优选地,所述第一阶段协商包括主模式和野蛮模式。
优选地,所述第二阶段协商为快速模式协商,包括3个协商报文的交互,第3个协商报文用于确认响应设备的消息以及证明ipsec sa建立完成。
优选地,所述第一阶段协商后会建立好IKE sa,所述第二阶段协商在第一阶段建立好的IKE sa的保护下生成ipsec sa。
优选地,一个IKE sa可以保护并生成多个ipsec sa。
本发明还提供一种实现IKE报文协商的设备,包括:
发送单元,用于向响应端发送协商报文;
判断单元,用于判断是否接收到响应端响应报文;
ipsec sa建立单元,所述发送单元向响应端发送第二阶段协商的最后一个协商报文后,若所述判断单元的判断结果为没有接收到响应端响应报文,则在收到esp、ah报文后,在sa数据库中查找相应的ipsecsa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,ipsec sa建立完成,忽略响应端的响应报文。
优选地,若所述判断单元的判断结果为接收到响应端响应报文,则ipsec sa建立完成。
(三)有益效果
本发明通过esp/ah报文触发ipsec sa协商过程的最终完成,摒弃了ipsec sa状态的建立只能完全由协商报文完成,可以减少网络由于快速模式协商报文丢包导致的震荡或断网概率。相比使用qos则,如果设备不带qos功能则可避免再安装qos设备的成本,并缓解了qos不能解决网络拥堵丢协议报文导致的网络震荡或断网现象。
附图说明
图1为本发明方法的流程图;
图2为本发明设备的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不是限制本发明的范围。
因特网密钥交换(IKE)的过程分第一阶段协商和第二阶段协商两部分,第一阶段协商分主模式和野蛮模式两种,第二阶段协商为快模式协商,第一阶段协商协商后会建立好IKE sa,其目的是进行身份认证并为第二阶段的交换提供保护,第二阶段交换的目的在第一阶段sa的保护下生成ipsec sa,ipsec sa是直接保护数据流的材料,提供给ESP/AH使用,这里一个IKE sa可以保护并生成多个ipsec sa。
在快速模式的协商中,需要进行3个报文的交互,第一个报文用于交换配置、认证、密钥信息,第二个报文用于交换确认配置、认证、密钥信息,第三个报文用于确认接受方的消息以及证明ipsec sa建立完成。
如图1所示,本发明所述的IKE报文协商方法,应用于使用IPSec的包括第一设备和第二设备的系统,该方法包括第一阶段协商和第二阶段协商;在第二阶段协商时,所述第一设备向第二设备发送最后一个协商报文后,判断在预设周期内是否接收到第二设备发送的响应报文;
若判断结果为第一设备在预设周期内没有接收到第二设备发送的响应报文,则第一设备在收到esp、ah报文后,在安全联盟数据库(SADB)中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个响应报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,第一设备ipsec sa建立完成,忽略第二设备的响应报文。
若判断结果为第一设备在预设周期内接收到了第二设备发送的响应报文,则第一设备ipsec sa建立完成。
如图2所示,本发明所述的实现IKE报文协商的设备,包括:发送单元,用于向响应端发送协商报文;判断单元,用于判断是否接收到响应端响应报文;ipsec sa建立单元,所述发送单元向响应端发送第二阶段协商的最后一个协商报文后,若所述判断单元的判断结果为没有接收到响应端响应报文,则在收到esp、ah报文后,在sa数据库中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,ipsec sa建立完成,忽略响应端的响应报文。若所述判断单元的判断结果为接收到响应端响应报文,则ipsec sa建立完成。
本发明通过esp/ah报文触发ipsec sa协商过程的最终完成,摒弃了ipsec sa状态的建立只能完全由协商报文完成,可以减少网络由于快速模式协商报文丢包导致的震荡或断网概率(理论上减少1/3)。相比使用qos则,如果设备不带qos功能则可避免再安装qos设备的成本,并缓解了qos不能解决网络拥堵丢协议报文导致的网络震荡或断网现象。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (8)
1.一种IKE报文协商方法,应用于使用IPSec的包括第一设备和第二设备的系统,其特征在于,
该方法包括第一阶段协商和第二阶段协商;
在第二阶段协商时,所述第一设备向第二设备发送最后一个协商报文后,判断在预设周期内是否接收到第二设备发送的响应报文;
若判断结果为第一设备在预设周期内没有接收到第二设备发送的响应报文,则第一设备在收到esp、ah报文后,在安全联盟数据库中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个响应报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,第一设备ipsec sa建立完成,忽略第二设备的响应报文。
2.如权利要求1所述的方法,其特征在于:若判断结果为第一设备在预设周期内接收到了第二设备发送的响应报文,则第一设备ipsec sa建立完成。
3.如权利要求1或2所述的方法,其特征在于,所述第一阶段协商包括主模式和野蛮模式。
4.如权利要求1或2所述的方法,其特征在于,所述第二阶段协商为快速模式协商,包括3个协商报文的交互,第3个协商报文用于确认响应设备的消息以及证明ipsec sa建立完成。
5.如权利要求1或2所述的方法,其特征在于,所述第一阶段协商后会建立好IKE sa,所述第二阶段协商在第一阶段建立好的IKEsa的保护下生成ipsec sa。
6.如权利要求5所述的方法,其特征在于,一个IKE sa可以保护并生成多个ipsec sa。
7.一种实现IKE报文协商的设备,其特征在于,包括:
发送单元,用于向响应端发送协商报文;
判断单元,用于判断是否接收到响应端响应报文;
ipsec sa建立单元,所述发送单元向响应端发送第二阶段协商的最后一个协商报文后,若所述判断单元的判断结果为没有接收到响应端响应报文,则在收到esp、ah报文后,在sa数据库中查找相应的ipsecsa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,ipsec sa建立完成,忽略响应端的响应报文。
8.如权利要求7所述的设备,其特征在于,若所述判断单元的判断结果为接收到响应端响应报文,则ipsec sa建立完成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110444640.8A CN102420770B (zh) | 2011-12-27 | 2011-12-27 | Ike报文协商方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110444640.8A CN102420770B (zh) | 2011-12-27 | 2011-12-27 | Ike报文协商方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102420770A true CN102420770A (zh) | 2012-04-18 |
| CN102420770B CN102420770B (zh) | 2014-03-12 |
Family
ID=45945010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110444640.8A Expired - Fee Related CN102420770B (zh) | 2011-12-27 | 2011-12-27 | Ike报文协商方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102420770B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102761553A (zh) * | 2012-07-23 | 2012-10-31 | 杭州华三通信技术有限公司 | IPSec SA协商方法及装置 |
| CN102868522A (zh) * | 2012-09-12 | 2013-01-09 | 汉柏科技有限公司 | 一种ike协商异常的处理方法 |
| CN103200187A (zh) * | 2013-03-20 | 2013-07-10 | 汉柏科技有限公司 | 一种快速解密报文的系统和方法 |
| CN103227777A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN103475647A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止ipsec隧道重协商失败的方法 |
| CN105162794A (zh) * | 2015-09-23 | 2015-12-16 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| CN108353076A (zh) * | 2015-11-03 | 2018-07-31 | 高通股份有限公司 | 针对装置之间的安全关联的因特网密钥交换(ike) |
| CN114301704A (zh) * | 2021-12-30 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 一种ipsec隧道协商方法、本端设备、对端设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254376B (zh) * | 2016-09-05 | 2019-10-11 | 新华三技术有限公司 | 一种认证协商方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006010648A2 (en) * | 2004-07-26 | 2006-02-02 | Alcatel | Methods, apparatuses and computer-readable media for secure communication by establishing multiple secure connections |
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102025742A (zh) * | 2010-12-16 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种ike报文的协商方法和设备 |
-
2011
- 2011-12-27 CN CN201110444640.8A patent/CN102420770B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006010648A2 (en) * | 2004-07-26 | 2006-02-02 | Alcatel | Methods, apparatuses and computer-readable media for secure communication by establishing multiple secure connections |
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102025742A (zh) * | 2010-12-16 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种ike报文的协商方法和设备 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102761553A (zh) * | 2012-07-23 | 2012-10-31 | 杭州华三通信技术有限公司 | IPSec SA协商方法及装置 |
| CN102868522A (zh) * | 2012-09-12 | 2013-01-09 | 汉柏科技有限公司 | 一种ike协商异常的处理方法 |
| CN103200187B (zh) * | 2013-03-20 | 2017-04-19 | 汉柏科技有限公司 | 一种快速解密报文的系统和方法 |
| CN103200187A (zh) * | 2013-03-20 | 2013-07-10 | 汉柏科技有限公司 | 一种快速解密报文的系统和方法 |
| CN103227777A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| WO2014153989A1 (zh) * | 2013-03-26 | 2014-10-02 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN103227777B (zh) * | 2013-03-26 | 2015-11-25 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN103475647A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止ipsec隧道重协商失败的方法 |
| CN105162794A (zh) * | 2015-09-23 | 2015-12-16 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| CN105162794B (zh) * | 2015-09-23 | 2018-04-27 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| CN108353076A (zh) * | 2015-11-03 | 2018-07-31 | 高通股份有限公司 | 针对装置之间的安全关联的因特网密钥交换(ike) |
| CN108353076B (zh) * | 2015-11-03 | 2021-02-02 | 高通股份有限公司 | 针对因特网密钥交换(ike)的方法和设备 |
| CN114301704A (zh) * | 2021-12-30 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 一种ipsec隧道协商方法、本端设备、对端设备及存储介质 |
| CN114301704B (zh) * | 2021-12-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种ipsec隧道协商方法、本端设备、对端设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102420770B (zh) | 2014-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102420770B (zh) | Ike报文协商方法及设备 | |
| CN113630773B (zh) | 安全实现方法、设备以及系统 | |
| US8627092B2 (en) | Asymmetric cryptography for wireless systems | |
| US8560848B2 (en) | Galois/counter mode encryption in a wireless network | |
| CN101478755B (zh) | 一种网络安全的http协商的方法及其相关装置 | |
| CN104219217B (zh) | 安全关联协商方法、设备和系统 | |
| JP2017534204A (ja) | 次世代セルラーネットワークのためのユーザプレーンセキュリティ | |
| JP2014161027A (ja) | 安全なパケット伝送のための暗号化方法 | |
| CN101442403B (zh) | 一种自适应的复合密钥交换和会话密钥管理方法 | |
| CN101527729A (zh) | 一种ike可靠报文协商的方法、设备及系统 | |
| WO2012083828A1 (zh) | 本地路由业务的实现方法、基站及系统 | |
| CN101183935A (zh) | Rtp报文的密钥协商方法、装置及系统 | |
| EP3331216A1 (en) | Devices and method for mtc group key management | |
| US20220263811A1 (en) | Methods and Systems for Internet Key Exchange Re-Authentication Optimization | |
| JP2017098986A (ja) | Mtcのためのシステム、コアネットワーク、及び方法 | |
| CN1323523C (zh) | 一种在无线局域网中生成动态密钥的方法 | |
| US20190281530A1 (en) | X2 service transmission method and network device | |
| CN102868523B (zh) | 一种ike协商方法 | |
| CN102006298A (zh) | 接入网关实现负荷分担的方法和装置 | |
| CN105610577B (zh) | 一种防止IPSec VPN设备多隧道IKE协商失败的系统及方法 | |
| CN112350823B (zh) | 车载控制器间can fd通信方法 | |
| CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
| CN103297348A (zh) | 防止esp/ah报文分片的方法 | |
| CN102868522B (zh) | 一种ike协商异常的处理方法 | |
| CN108111515B (zh) | 一种适用于卫星通信的端到端安全通信加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice |
Addressee: Tianjin haibai Information Technology Co. Ltd. is responsible for the patent Document name: Notification that Application Deemed not to be Proposed |
|
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20140312 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20140312 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140312 Termination date: 20181227 |