CN102420770B - Ike报文协商方法及设备 - Google Patents
Ike报文协商方法及设备 Download PDFInfo
- Publication number
- CN102420770B CN102420770B CN201110444640.8A CN201110444640A CN102420770B CN 102420770 B CN102420770 B CN 102420770B CN 201110444640 A CN201110444640 A CN 201110444640A CN 102420770 B CN102420770 B CN 102420770B
- Authority
- CN
- China
- Prior art keywords
- ipsec
- equipment
- message
- stage
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000004891 communication Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 claims 1
- 230000010355 oscillation Effects 0.000 abstract 1
- 230000009514 concussion Effects 0.000 description 7
- 239000000725 suspension Substances 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明是一种IKE报文协商方法及设备,应用于使用IPSec的包括第一设备和第二设备的系统,该方法包括第一阶段协商和第二阶段协商;在第二阶段协商时,所述第一设备向第二设备发送最后一个协商报文后,判断在预设周期内是否接收到第二设备发送的响应报文;若判断结果为第一设备在预设周期内没有接收到第二设备发送的响应报文,则第一设备在收到esp、ah报文后,在安全联盟数据库中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个响应报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,第一设备ipsec sa建立完成,忽略第二设备的响应报文。本发明解决了网络拥堵、丢报文导致ipsec隧道震荡或断网的问题。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种IKE报文协商方法及设备。
背景技术
因特网协议安全(IPSec),是由IETF(Internet Engineering TaskForce)定义的一套在网络层提供因特网协议(IP)安全性的协议,由一系列RFC文档组成。其中RFC2401定义IPSec的基本结构;RFC2402定义IPSec的验证头(AH);RFC2406定义IPSec的封装安全载荷(ESP);RFC2409定义IPSec的因特网密钥交换(IKE)。
IPSec协议包括:AH、ESP、IKE等。
ESP封装安全载荷为IP载荷提供数据加密和验证的功能。AH认证头为IP头提供数据完整性和验证的功能。数据加密和验证算法由安全相关(SA)指定。IKE密钥交换为IPSec协议生成密钥。安全策略数据库(SPD)决定两个实体之间能否通讯及通讯转码方式。解析域(DOI)用来组合相关协议,通过使用ISAKMP协商安全连接。
在网络中,往往需要同时协商大量的ipsec sa,此时由于网络拥堵等原因会丢掉协商报文,会出现消息1消息2顺利完成,消息3丢失时,发起者不知道报文没有被响应者收到,以为隧道建立完成,会大量发送esp、ah报文,此时如果响应者在没有收到消息3时就收到了ESP/AH报文,会认为隧道异常,断开隧道,造成网络中断。
此问题特别出现在ipsec sa超时后更新的情况中,此时隧道已经正常加解密中,当ipsec sa更新时由于丢第3个协议包时,会造成发起者使用新的密钥加密,响应者缺认为状态不完整而断开隧道,导致设备震荡。
现有技术中通过qos等技术手段限制进入ipsec数据的带宽以解决上述问题,但对于无qos功能的设备就需要新增qos硬件设备,增加了成本,并且无法解决网络拥堵,丢报文,导致ipsec隧道震荡或断网的根本问题。
发明内容
(一)要解决的技术问题
本发明的目的在于提出一种IKE报文协商方法及设备,解决网络拥堵、丢报文导致ipsec隧道震荡或断网的问题。
(二)技术方案
为了解决上述技术问题,本发明提供一种IKE报文协商方法,应用于使用IPSec的包括第一设备和第二设备的系统,
该方法包括第一阶段协商和第二阶段协商;
在第二阶段协商时,所述第一设备向第二设备发送最后一个协商报文后,判断在预设周期内是否接收到第二设备发送的响应报文;
若判断结果为第一设备在预设周期内没有接收到第二设备发送的响应报文,则第一设备在收到esp、ah报文后,在安全联盟数据库中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个响应报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,第一设备ipsec sa建立完成,忽略第二设备的响应报文。
优选地,若判断结果为第一设备在预设周期内接收到了第二设备发送的响应报文,则第一设备ipsec sa建立完成。
优选地,所述第一阶段协商包括主模式和野蛮模式。
优选地,所述第二阶段协商为快速模式协商,包括3个协商报文的交互,第3个协商报文用于确认响应设备的消息以及证明ipsec sa建立完成。
优选地,所述第一阶段协商后会建立好IKE sa,所述第二阶段协商在第一阶段建立好的IKE sa的保护下生成ipsec sa。
优选地,一个IKE sa可以保护并生成多个ipsec sa。
本发明还提供一种实现IKE报文协商的设备,包括:
发送单元,用于向响应端发送协商报文;
判断单元,用于判断是否接收到响应端响应报文;
ipsec sa建立单元,所述发送单元向响应端发送第二阶段协商的最后一个协商报文后,若所述判断单元的判断结果为没有接收到响应端响应报文,则在收到esp、ah报文后,在sa数据库中查找相应的ipsecsa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,ipsec sa建立完成,忽略响应端的响应报文。
优选地,若所述判断单元的判断结果为接收到响应端响应报文,则ipsec sa建立完成。
(三)有益效果
本发明通过esp/ah报文触发ipsec sa协商过程的最终完成,摒弃了ipsec sa状态的建立只能完全由协商报文完成,可以减少网络由于快速模式协商报文丢包导致的震荡或断网概率。相比使用qos则,如果设备不带qos功能则可避免再安装qos设备的成本,并缓解了qos不能解决网络拥堵丢协议报文导致的网络震荡或断网现象。
附图说明
图1为本发明方法的流程图;
图2为本发明设备的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不是限制本发明的范围。
因特网密钥交换(IKE)的过程分第一阶段协商和第二阶段协商两部分,第一阶段协商分主模式和野蛮模式两种,第二阶段协商为快模式协商,第一阶段协商协商后会建立好IKE sa,其目的是进行身份认证并为第二阶段的交换提供保护,第二阶段交换的目的在第一阶段sa的保护下生成ipsec sa,ipsec sa是直接保护数据流的材料,提供给ESP/AH使用,这里一个IKE sa可以保护并生成多个ipsec sa。
在快速模式的协商中,需要进行3个报文的交互,第一个报文用于交换配置、认证、密钥信息,第二个报文用于交换确认配置、认证、密钥信息,第三个报文用于确认接受方的消息以及证明ipsec sa建立完成。
如图1所示,本发明所述的IKE报文协商方法,应用于使用IPSec的包括第一设备和第二设备的系统,该方法包括第一阶段协商和第二阶段协商;在第二阶段协商时,所述第一设备向第二设备发送最后一个协商报文后,判断在预设周期内是否接收到第二设备发送的响应报文;
若判断结果为第一设备在预设周期内没有接收到第二设备发送的响应报文,则第一设备在收到esp、ah报文后,在安全联盟数据库(SADB)中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个响应报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,第一设备ipsec sa建立完成,忽略第二设备的响应报文。
若判断结果为第一设备在预设周期内接收到了第二设备发送的响应报文,则第一设备ipsec sa建立完成。
如图2所示,本发明所述的实现IKE报文协商的设备,包括:发送单元,用于向响应端发送协商报文;判断单元,用于判断是否接收到响应端响应报文;ipsec sa建立单元,所述发送单元向响应端发送第二阶段协商的最后一个协商报文后,若所述判断单元的判断结果为没有接收到响应端响应报文,则在收到esp、ah报文后,在sa数据库中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,ipsec sa建立完成,忽略响应端的响应报文。若所述判断单元的判断结果为接收到响应端响应报文,则ipsec sa建立完成。
本发明通过esp/ah报文触发ipsec sa协商过程的最终完成,摒弃了ipsec sa状态的建立只能完全由协商报文完成,可以减少网络由于快速模式协商报文丢包导致的震荡或断网概率(理论上减少1/3)。相比使用qos则,如果设备不带qos功能则可避免再安装qos设备的成本,并缓解了qos不能解决网络拥堵丢协议报文导致的网络震荡或断网现象。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (8)
1.一种IKE报文协商方法,应用于使用ipsec的包括第一设备和第二设备的系统,其特征在于,
该方法包括第一阶段协商和第二阶段协商;
在第二阶段协商时,所述第一设备向第二设备发送最后一个协商报文后,判断在预设周期内是否接收到第二设备发送的响应报文;
若判断结果为第一设备在预设周期内没有接收到第二设备发送的响应报文,则第一设备在收到esp、ah报文后,在安全联盟数据库中查找相应的ipsec sa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个响应报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,第一设备ipsec sa建立完成,忽略第二设备的响应报文;
其中,所述ipsec是由IETF(Internet Engineering Task Force)定义的一套在网络层提供因特网协议IP安全性的协议;
所述esp为Encapsulated Security Payload封装安全载荷协议的缩写,提供IP层加密保证和验证数据源以对付网络上的监听;
所述ah为Authentication Heade网络认证协议的缩写,用来向IP通信提供数据完整性和身份验证,同时可以提供抗重播服务;
所述sa为安全联盟,用来记录每条IP安全通路的策略和策略参数,是ipsec的基础,是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期;
所述IKE为Internet Key Exchange密钥管理协议的缩写,用来对ipsec的因特网密钥进行交换。
2.如权利要求1所述的方法,其特征在于:若判断结果为第一设备在预设周期内接收到了第二设备发送的响应报文,则第一设备ipsec sa建立完成。
3.如权利要求1或2所述的方法,其特征在于,所述第一阶段协商包括主模式和野蛮模式。
4.如权利要求1或2所述的方法,其特征在于,所述第二阶段协商为快速模式协商,包括3个协商报文的交互,第3个协商报文用于确认响应设备的消息以及证明ipsec sa建立完成。
5.如权利要求1或2所述的方法,其特征在于,所述第一阶段协商后会建立好IKE sa,所述第二阶段协商在第一阶段建立好的IKEsa的保护下生成ipsec sa。
6.如权利要求5所述的方法,其特征在于,一个IKE sa可以保护并生成多个ipsec sa。
7.一种实现IKE报文协商的设备,其特征在于,包括:
发送单元,用于向响应端发送协商报文;
判断单元,用于判断是否接收到响应端响应报文;
ipsec sa建立单元,所述发送单元向响应端发送第二阶段协商的最后一个协商报文后,若所述判断单元的判断结果为没有接收到响应端响应报文,则在收到esp、ah报文后,在sa数据库中查找相应的ipsecsa,查找后若发现此ipsec sa正在等待第二阶段协商的最后一个报文,则继续使用此ipsec sa进行解密,如果解密成功,则将此ipsec sa状态标记为active,ipsec sa建立完成,忽略响应端的响应报文。
8.如权利要求7所述的设备,其特征在于,若所述判断单元的判断结果为接收到响应端响应报文,则ipsec sa建立完成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110444640.8A CN102420770B (zh) | 2011-12-27 | 2011-12-27 | Ike报文协商方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110444640.8A CN102420770B (zh) | 2011-12-27 | 2011-12-27 | Ike报文协商方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102420770A CN102420770A (zh) | 2012-04-18 |
| CN102420770B true CN102420770B (zh) | 2014-03-12 |
Family
ID=45945010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110444640.8A Expired - Fee Related CN102420770B (zh) | 2011-12-27 | 2011-12-27 | Ike报文协商方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102420770B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254376A (zh) * | 2016-09-05 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种认证协商方法及装置 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102761553A (zh) * | 2012-07-23 | 2012-10-31 | 杭州华三通信技术有限公司 | IPSec SA协商方法及装置 |
| CN102868522B (zh) * | 2012-09-12 | 2016-04-20 | 汉柏科技有限公司 | 一种ike协商异常的处理方法 |
| CN103200187B (zh) * | 2013-03-20 | 2017-04-19 | 汉柏科技有限公司 | 一种快速解密报文的系统和方法 |
| CN103227777B (zh) * | 2013-03-26 | 2015-11-25 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN103475647A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止ipsec隧道重协商失败的方法 |
| CN105162794B (zh) * | 2015-09-23 | 2018-04-27 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| US10250578B2 (en) * | 2015-11-03 | 2019-04-02 | Qualcomm Incorporated | Internet key exchange (IKE) for secure association between devices |
| CN114301704B (zh) * | 2021-12-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种ipsec隧道协商方法、本端设备、对端设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102025742A (zh) * | 2010-12-16 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种ike报文的协商方法和设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7676838B2 (en) * | 2004-07-26 | 2010-03-09 | Alcatel Lucent | Secure communication methods and systems |
-
2011
- 2011-12-27 CN CN201110444640.8A patent/CN102420770B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102025742A (zh) * | 2010-12-16 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种ike报文的协商方法和设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254376A (zh) * | 2016-09-05 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种认证协商方法及装置 |
| CN106254376B (zh) * | 2016-09-05 | 2019-10-11 | 新华三技术有限公司 | 一种认证协商方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102420770A (zh) | 2012-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102420770B (zh) | Ike报文协商方法及设备 | |
| US8559640B2 (en) | Method of integrating quantum key distribution with internet key exchange protocol | |
| US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
| CN102571497B (zh) | 一种IPSec隧道故障检测的方法、装置及系统 | |
| CN104219217B (zh) | 安全关联协商方法、设备和系统 | |
| Khan et al. | Design and implementation of security gateway for synchrophasor based real-time control and monitoring in smart grid | |
| CN102111273B (zh) | 一种基于预共享的电力负荷管理系统数据安全传输方法 | |
| CN101442403B (zh) | 一种自适应的复合密钥交换和会话密钥管理方法 | |
| CN105376239A (zh) | 一种支持移动终端进行IPSec VPN报文传输方法及装置 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| US20220263811A1 (en) | Methods and Systems for Internet Key Exchange Re-Authentication Optimization | |
| CN101729871B (zh) | 一种sip视频监控系统安全跨域访问方法 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及系统 | |
| CN113572766A (zh) | 电力数据传输方法和系统 | |
| CN103023741B (zh) | Vpn设备故障处理方法 | |
| CN107645513A (zh) | 一种IPsec内容审计装置及方法 | |
| CN102868523A (zh) | 一种ike协商方法 | |
| CN105610577B (zh) | 一种防止IPSec VPN设备多隧道IKE协商失败的系统及方法 | |
| KR20140091221A (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
| EP3541110B1 (en) | X2 service transmission method, and network apparatus | |
| CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
| CN103297348A (zh) | 防止esp/ah报文分片的方法 | |
| CN102868522B (zh) | 一种ike协商异常的处理方法 | |
| CN109257388A (zh) | 一种mpls-tp中伪线加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice |
Addressee: Tianjin haibai Information Technology Co. Ltd. is responsible for the patent Document name: Notification that Application Deemed not to be Proposed |
|
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20140312 |
|
| PP01 | Preservation of patent right | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20140312 |
|
| PD01 | Discharge of preservation of patent | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140312 Termination date: 20181227 |