CN103731407A - Ike报文协商的方法及系统 - Google Patents

Ike报文协商的方法及系统 Download PDF

Info

Publication number
CN103731407A
CN103731407A CN201310459948.9A CN201310459948A CN103731407A CN 103731407 A CN103731407 A CN 103731407A CN 201310459948 A CN201310459948 A CN 201310459948A CN 103731407 A CN103731407 A CN 103731407A
Authority
CN
China
Prior art keywords
message
sign
value
host apparatus
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310459948.9A
Other languages
English (en)
Other versions
CN103731407B (zh
Inventor
张玮
刘瑞瑞
谢文辉
高国鲁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310459948.9A priority Critical patent/CN103731407B/zh
Priority to US14/052,470 priority patent/US9438566B2/en
Priority to EP20130188281 priority patent/EP2720438B1/en
Priority to PCT/CN2013/085132 priority patent/WO2014056454A1/zh
Publication of CN103731407A publication Critical patent/CN103731407A/zh
Application granted granted Critical
Publication of CN103731407B publication Critical patent/CN103731407B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种IKE报文协商的方法及系统,所述方法包括:备用设备根据主用设备的更新通知更新存储的第三标识的值,所述主用设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的;在备用设备切换为新的主用设备时,所述新的主用设备根据更新的第三标识向对端设备发送协商互联网协议安全性IPSec信息的第二报文;其中,所述第三标识为所述备用设备中存储的用于获知所述主用设备的状态信息的标识。上述方法解决了现有技术中由于主用设备和备用设备的切换导致的业务长时间中断的问题。

Description

IKE报文协商的方法及系统
本申请要求于2012年10月12日提交中国专利局、申请号为201210387149.0、发明名称为“IKE报文协商的方法及系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明实施例涉及通信技术,尤其涉及一种IKE(Internet KeyExchange)报文协商的方法及系统。
背景技术
密钥交换协议第二版(Internet Key Exchange Protocol Version2,简称IKEv2),用来进行虚拟专用网(Virtual Private Network,简称VPN)中安全联盟(Security Association,简称SA)的认证与密钥的协商,为VPN中通信双方协商因特网协议安全(IP Security,简称IPSec)通信所需要的相关信息,如加密算法、会话密钥、通信双方身份认证等。
IKEv2的协商分为initial交换,auth交换,create child交换,informational交换,每一IKEv2报文的报文头都包含一个message id字段(报文标识),这个字段用来标识报文的序号。
通常,通信双方保存有两个message id:发起一个请求报文时使用send_message_id(简称send_msgid)、期望收到的报文的messsage id为recv_messsage_id(简称recv_msgid)。通信发起方发送了一个message_id的请求(request)报文并且收到了这个请求报文的回应(response)消息后,则该设备中的send_message_id+1。通信任意一方每收到一个请求报文,则该设备中的recv_messsage_id+1。
在IPSec双机热备场景中,主用设备(active member)是当前正在与对端设备(peer device)通信的设备,备用设备(standby member)为主用设备的备份设备。当主用设备与对端设备的通信链路出现故障时,备用设备转换为新的主用设备继续与对端通信。
如果主用设备正在与对端设备进行IKEv2协商,此时主用设备与对端设备之间的通信链路出现故障,备份设备转换为新的主用设备,此时原主用设备中的标识信息还没有及时备份给备用设备,那么备用设备中的Message id有可能与主用设备中的message id不一致,此时与对端设备的通信有可能因为message id的错误而中断。
例如,在IKEv2协商过程中,主用设备向对端设备发出msg1后,主用设备与备用设备发生切换,主用设备的send_msgid的更新信息还没有及时备份给备用设备,这样备用设备转换为新的主用设备,send_msgid尚未更新,进而上述新的主用设备与对端设备之间的协商过程中会产生message_id不匹配问题,导致业务长时间中断。
发明内容
有鉴于此,本发明提供一种IKE报文协商的方法及系统,用以解决现有技术中由于主用设备和备用设备的切换导致的业务长时间中断的问题。
第一方面,本发明实施例提供一种IKE报文协商的方法,包括:
备用设备根据主用设备的更新通知更新存储的第三标识的值,所述主用设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的;
在备用设备切换为新的主用设备时,所述新的主用设备根据更新的第三标识向对端设备发送协商互联网协议安全性IPSec信息的第二报文;
其中,所述第三标识为所述备用设备中存储的用于获知所述主用设备的状态信息的标识。
结合第一方面,在一种可能的实现方式中,所述备用设备根据主用设备的更新通知更新内部第三标识的值的步骤之前,还包括:
主用设备向所述对端设备发送协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述主用设备更新存储的第二标识的值;
其中,所述第二标识为所述主用设备中存储的用于获知所述主用设备的状态信息的标识。
结合第一方面及上述第一种的实现方式中,在第二种可能的实现方式中,所述第一标识为message_id;
所述第二标识为next_sendmsg_id;
所述第三标识为next_sendmsg_id;
所述第一标识的初始值、所述第二标识的初始值和所述第三标识的初始值相同,且均为N;
相应地,所述主用设备更新存储的第二标识的值,具体为:
所述主用设备将存储的第二标识的值更新为N+1;
所述备用设备根据主用设备的更新通知更新存储的第三标识的值,具体为:
所述备用设备将存储的第三标识的值更新为N+1。
结合第一方面及上述第二种的实现方式中,在第三种可能的实现方式中,所述新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体为:
所述新的主用设备向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N+1。
结合第一方面及上述可能的实现方式中,在第四种可能的实现方式中,上述方法还包括:
所述新的主用设备向对端设备发送协商IPSec信息的第三报文,所述第三报文中携带的第一标识的值为N。
结合第一方面,在第五种可能的实现方式中,所述备用设备根据主用设备的更新通知更新内部第三标识的值的步骤之前,还包括:
所述主用设备接收所述对端设备发送的协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述主用设备更新其存储的第二标识的值,并使所述备用设备备份所述第二标识的值。
结合第一方面及第五种可能的实现方式中,在第六种可能的实现方式中,所述第一标识为message_id;
所述第二标识为recv_message_id;
所述第三标识为msgid_bk_flag,
所述第一标识、所述第二标识初始值均为N,所述第三标识的初始值为0;
相应地,所述主用设备更新存储的第二标识的值,具体为:
所述主用设备将存储的第二标识的值更新为N+1;
所述备用设备根据所述主用设备的更新通知更新内部第三标识的值,具体为:
所述备用设备将存储的第三标识的值更新为1。
结合第一方面及第六种可能的实现方式中,在第七种可能的实现方式中,所述新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为0,则重新向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,且所述第二报文中携带第一SA;
若第三标识的值为1,则将所述第三标识的值重置为0,将所述第二标识的值更新为N,并重新向所述对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,所述第二报文携带第二SA。
第二方面,本发明实施例还提供一种IKE报文协商的系统,包括:主用设备和备用设备,
所述主用设备包括:第一处理器和第一存储器;所述备用设备包括:第二处理器和第二存储器;
所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值,所述第一处理器的更新通知为所述第一处理器更新所述第一存储器中存储的第二标识的值之后发送的;
在所述备用设备切换为新的主用设备时,所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备发送协商互联网协议安全性IPSec信息的第二报文;
其中,所述第二存储器中的第三标识为用于获知所述主用设备的状态信息的标识。
结合第二方面,在第一种可能的实现方式中,所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值之前,
所述第一处理器用于向所述对端设备发送协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述第一处理器还用于更新存储在所述第一存储器中的第二标识的值;
其中,所述第二标识为用于获知所述主用设备的状态信息的标识。
结合第二方面及上述第一种可能的实现方式中,在第二种可能的实现方式中,所述第一标识为message_id;
所述第二标识为next_sendmsg_id;
所述第三标识为next_sendmsg_id;
所述第一标识的初始值、所述第二标识的初始值和所述第三标识的初始值相同,且均为N;
相应地,所述第一处理器还用于更新存储在所述第一存储器中的第二标识的值,具体为:
所述第一处理器还用于将所述第一存储器中的第二标识的值更新为N+1;
所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值,具体为:
所述第二处理器将所述第二存储器中的第三标识的值更新为N+1。
结合第二方面及上述第二可能的实现方式,在第三种可能的实现方式中,所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体为:
所述第二处理器向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N+1。
结合第二方面及上述可能的实现方式中,在第四种可能的实现方式中,所述第二处理器还用于向所述对端设备发送协商IPSec信息的第三报文,所述第三报文中携带的第一标识的值为N。
结合第二方面,在第五种可能的实现方式中,所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值之前,
所述第一处理器用于接收所述对端设备发送的协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述第一处理器还用于更新所述第一存储器中存储的第二标识的值,并使所述第二处理器向第二存储器中备份所述第二标识的值。
结合第二方面及上述第五种可能的实现方式,在第六种可能的实现方式中,所述第一标识为message_id;
所述第二标识为recv_message_id;
所述第三标识为msgid_bk_flag,
所述第一标识、所述第二标识初始值均为N,所述第三标识的初始值为0;
相应地,所述第一处理器更新所述第一存储器中存储的第二标识的值,具体为:
所述第一处理器将所述第一存储器中的第二标识的值更新为N+1;
所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值,具体为:
所述第二处理器将所述第二存储器中的第三标识的值更新为1。
结合第二方面及上述第六种可能的实现方式,在第七种可能的实现方式中,所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为0,则所述第二处理器重新向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,且所述第二报文中携带第一安全联盟SA;
若第三标识的值为1,则所述第二处理器将所述第三标识的值重置为0,将所述第二标识的值更新为N,并重新向所述对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,所述第二报文携带第二SA。
第三方面,本发明还提供一种通信系统,包括上述任一所述的IKE报文协商的系统。
由上述技术方案可知,本发明实施例的IKE报文协商的方法及系统,通过备用设备中在接收主用设备的更新通知之后更新存储的第三标识的值,进而在备用设备切换为新的主用设备时,新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,解决了现有技术中由于主用设备和备用设备的切换导致的业务长时间中断的问题。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作一简单地介绍,显而易见地:下面附图只是本发明的一些实施例的附图,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得同样能实现本发明技术方案的其它附图。
图1A和图1B为IKEv2协议消息的交互场景图;
图1C和图1D为双机热备设备切换的场景图;
图2A为本发明实施例所使用的协商方法的场景图;
图2B为本发明一实施例提供的IKE报文协商的方法的流程示意图;
图2C为本发明另一实施例提供的IKE报文协商的方法的流程示意图;
图2D为本发明另一实施例提供的IKE报文协商的方法的流程示意图;
图3为本发明另一实施例提供的IKE报文协商的方法的流程示意图;
图4为本发明另一实施例提供的IKE报文协商的方法的流程示意图;
图5A为本发明另一实施例提供的IKE报文协商的方法的流程示意图;
图5B为本发明另一实施例提供的IKE报文协商的方法的流程示意图;
图6A为本发明另一实施例提供的IKE报文协商的方法的场景图;
图6B为本发明另一实施例提供的IKE报文协商的方法的流程示意图;
图6C为本发明另一实施例提供的IKE报文协商的方法的流程示意图;
图7A为本发明另一实施例提供的IKE报文协商的系统的结构示意图;
图7B为本发明另一实施例提供的IKE报文协商的系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明的技术方案进行清楚、完整地描述。显然,下述的各个实施例都只是本发明一部分的实施例。基于本发明下述的各个实施例,本领域普通技术人员即使没有作出创造性劳动,也可以通过等效变换部分甚至全部的技术特征,而获得能够解决本发明技术问题,实现本发明技术效果的其它实施例,而这些变换而来的各个实施例显然并不脱离本发明所公开的范围。
双机热备集群(Hot standby cluster),两台物理设备之相互备份,执行相同的安全策略。在双机热备集群内,任何时间都只有一个设备与对端通信;双机热备集群内各设备之间需要同步大量的信息和状态(如send_msgid或recv_msgid),设备之间同步不及时在出现主备切换时可能会引起业务中断。
IPSec VPN业务涉及分布于不同地域的企业或个人,当他们通过Internet进行通信时,由于处于不同的物理地域,他们之间进行通信的绝大部分流量都需要穿越Internet的未知网络,无法保证在网络上发送和接收数据的安全性。IPSec协议能够为处于不同物理地域的企业和用户提供一种建立和管理安全隧道的方式,对传输的数据提供认证和加密等服务,防止数据在网络内或通过公网传输时被非法查看或篡改。
现有技术中,协商双方针对IPSec VPN的每次协商需要有一个request报文和一个response报文,例如,主用设备向对端设备发送第一报文(如,request报文),对端设备根据所述第一报文返回响应报文(如,response报文),进而实现主用设备和对端设备之间的IPSec信息的协商。
举例来说,如图1A所示,C(发起方)主动发起message1(简称msg1),A(响应方)收到msg1后回复message2(简称msg2),此时A认为协商完成,当C收到msg2后认为本次协商完成。如果msg1或msg2有丢包,C在预设时间内会重传msg1,直到C收到msg2后认为本次协商完成,或者重传一定次数之后认为本次协商失败。
在IKEv2协商中,IKE报文头中有一个message id字段,同一次IKE协商的过程中,发起方和响应方需匹配同一个message_id字段。另外,在同一时间、同一方向只允许发送一次IKE报文的交互(exchange),如图1B所示。
C主动发起message id为n的msg1,C此时的send_msgid为n;A收到msg1后会进行回复message id为n的msg2,A认为协商完成;A回复后的recv_msgid更新为n+1;C收到msg2后认为本次协商完成,send_msgid更新为n+1。
如果msg1或msg2有丢包,C在指定时间内会重传message id为n的msg1直至C收到message id为n的msg2,或者重传一定次数后认为本次协商失败。
IPSec双机热备场景中,B的message id通过即时备份获得。如图1C所示,A(主用设备)回复C的请求报文后,更新recv_msgid,如,recv_msgid=n+1,并发送包括recv_msgid的备份消息给B(备份设备),以使B根据备份消息备份recv_msgid=n+1。主备设备切换后,B可以使用备份的recv_msgid继续此IKE SA的后续交互(包括informational和rekey)。
然而,如图1D所示,C发起IKE重协商消息msg1(msg_id=n),A收到后认为本次协商成功,更新recv_msgid=n+1,并将recv_msgid=n+1备份到B;此时A与C之间通信链路中断,发生主备切换。C未收到回应报文,重传msg1给B。B的recv_msgid为n+1,收到msg1(msg_id=n)后判断协商消息中的msg_id与存储的recv_msgid不一致,B可能做如下处理:a)不回应,此时C与B之间的协商失败,发起方的安全联盟(securityassociation,简称SA)硬超时删除;b)回应Informational消息,此时C与B之间的协商失败,发起方的SA硬超时删除;c)回应重协商消息(如发送设定B作为新的主用设备时的响应消息),此时C与B之间的SA协商错误,导致C与B之间的业务中断。
对于上述a)和b)两种情况,对端设备的SA硬超时重新建立,业务在短时间内可以恢复;对于c)的情况,协商双方SA不一致,业务中断。
另外,现有技术中,RFC6311提出对以上问题的解决方案,备用设备(standby member)作为新的主用设备(active member)需要发送消息与对端重协商出一对新的message id作为后续的报文的message id使用;先通过IKEV2_MESSAGE_ID_SYNC_SUPPORTED这个载荷协商这种同步message id的能力,再通过IKEV2_MESSAGE_ID_SYNC载荷协商具体的message id值。
然而,协商双方都需要支持这种同步message id的能力,支持处理以下两种载荷IKEV2_MESSAGE_ID_SYNC_SUPPORTED和IKEV2_MESSAGE_ID_SYNC。
现存得大多设备是无法支持发送和处理这两个载荷的,进而无法解决上述业务长时间中断的问题。如何保证在业务不中断时实现与对端的通信成为当前需要解决的技术问题。
本发明实施例的IKE报文协商的方法主要应用在IKEv2/IPSec双机热备场景,IKEv2的协商过程中因某些原因主用设备(active member)发生了故障,主用设备和备用设备(standby member)发生切换,备用设备变为新的主用设备,如何实现在新的主用设备与对端设备协商时,新的主备用设备和对端设备之间的业务不会发生长时间中断的问题。
为解决现有技术中的问题,本发明实施例中提供一种IKE报文协商的方法,该方法包括:
备用设备根据主用设备的更新通知更新存储的第三标识的值,所述主用设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的;
在备用设备切换为新的主用设备时,所述新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文。
应说明的是,上述的第三标识为备用设备中存储的用于获知主用设备的状态信息的标识。
上述实施例中的IKE报文协商的方法使得备用设备通过存储的第三标识的值获知主用设备的状态信息,进而在备用设备切换为新的主用设备时,新的主用设备可以根据更新的第三标识向对端设备发送协商IPSec信息的第二报文。
结合图2A和图2B所示,图2A示出了本发明实施例的IKE报文协商的方法的场景图,图2B示出了本发明实施例的IKE报文协商的方法的流程示意图,本实施例中的IKE报文协商的方法如下所述。
201、主用设备向对端设备发送协商IPSec信息的第一报文,所述第一报文中携带的第一标识的值为N(N为自然数)。
举例来说,在IKEv2的协商过程中,第一报文中携带的第一标识为message_id。
202、主用设备更新存储的第二标识的值。
在本实施例中,第二标识为主用设备中存储的用于获知所述主用设备的状态信息的标识。也就是说,在主用设备的send_message_id未更新之前,可以设置能够记录主用设备的中间状态的标识即第二标识,本实施例中的第二标识可为next_sendmsg_id。
203、备用设备根据主用设备的更新通知更新存储的第三标识的值,所述主用设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的,第三标识为备用设备中存储的用于获知所述主用设备的状态信息的标识。
在本实施例中主用设备的状态信息可为主用设备的中间状态的信息。可以理解的是,当前,主用设备在稳定状态会将send_message_id的值和recv_message_id的值备份至备用设备,而主用设备中间状态的信息无法备份至备用设备,所以本实施例中可使备用设备中设置用于获知主用设备的中间状态的信息的标识,用以实现主备切换时,备用设备及时获知主用设备的状态。
在本实施例中,备用设备内部的第三标识为:next_sendmsg_id。当然,在其他实施例中,该处第三标识可以与第二标识不一致,本实施例仅为举例说明。
204、在备用设备切换为新的主用设备后,所述新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,该第二报文中携带的第一标识的值为N+1。(N为自然数)
在一种可选的应用场景中,上述的IKE报文协商的方法还可包括下述的图中未示出的步骤205。
205、所述新的主用设备确认协商是否完成。
举例来说,若新的主用设备接收到对端设备返回的回复消息,则可认为新的主用设备和对端设备之间的IKE报文协商完成。
在上述实施例中,在备用设备和主用设备切换时,由于备用设备可根据存储的第三报文的标识获知主用设备的状态信息,进而能够及时的向对端设备发送对端设备能够解析的报文,由此,可以保证新的主用设备和对端设备的协商正常进行,业务不受影响。
在一种优选的应用场景中,为防止备用设备在切换为主用设备之后,备用设备和对端设备之间业务中断的问题,IKE报文协商的方法可包括上述的步骤201至204,且在步骤204之后,还可包括如下图中未示出的步骤205a:
205a、新的主用设备向对端设备发送协商IPSec信息的第三报文,所述第三报文中携带的第一标识的值与第二报文中携带的第一标识的值不同。
举例来说,若第二报文中携带的第一标识的值为N+1,如message_id=N+1,则第三报文中携带的第一标识的值为N,如message_id=N。
可以理解的是,该处第三报文中携带的第一标识的值可为备用设备第一次与对端设备协商时发送的报文中的第一标识的值。
举例来说,上述的第二报文和第三报文还包括如下信息中的一种信息:
重协商IPSec信息、删除链接、新建链接和消息交换等。
由此,本实施例中的IKE报文协商的方法,通过备用设备在切换为新的主用设备之后,发送第二报文和第三报文,以使对端设备能够识别/解析第二报文和第三报文中的一个报文,进而可有效防止新的主用设备和对端设备之间业务中断的问题。
图2C示出了本发明实施例的IKE报文协商的方法的流程示意图,如图2C所示,本实施例中的IKE报文协商的方法如下所述。
根据IKEv2协议,主用设备中存储有send_message_id和recv_message_id;
在主用设备和对端设备之间的链路未发生异常时,主用设备和对端设备交互一次IKE报文,用以协商SA,以及主用设备和对端设备会在间隔一定的时间之后再次进行新的协商。在主用设备向对端设备发送第一报文(第一报文中携带的标识为第一标识),且接收到对端设备返回的回复消息之后,主用设备内部的send_message_id的值增加一,即send_message_id=N+1。
在本实施例中,主用设备内部还设置有用于获知主用设备的状态信息的第二标识,也就是说,该第二标识用于标识主用设备的中间状态的信息的标识,next_sendmsg_id;备用设备内部设置有第三标识,next_sendmsg_id,该第三标识用于获知主用设备的中间状态的信息的标识。
特别地,第一标识的初始值、第二标识的初始值、第三标识的初始值相同,均为自然数N。
201’、主用设备向对端设备发送协商IPSec信息的第一报文,第一报文中携带有message_id=N。
202’、主用设备更新存储的第二标识的值,将第二标识的值更新为N+1,即next_sendmsg_id=N+1。
203’、主用设备向备用设备发送更新第三标识的值的更新通知,备用设备在接收更新通知之后,更新内部存储的第三标识的值,将第三标识的值更新为N+1,即next_sendmsg_id=N+1。
204’、在备用设备切换为新的主用设备之后,新的主用设备向对端设备发送协商IPSec信息的第二报文,所述第二报文携带的第一标识的值为N+1,message_id=N+1。
需要说明的是,主用设备和备用设备之间是通过虚拟路由器冗余协议(Virtual Router Redundancy Protocol,简称VRRP)和HRP协议(HuaweiRedundancy Protocol)交互信息的,当主用设备发生故障时,通过VRRP和/或HRP协议可实现主用设备和备用设备的切换。本实施例仅为举例说明主用设备和备用设备的切换,该切换可采用现有中的任意切换方式,本实施例不对其进行限定。
可选地,如图2D所示,上述步骤204’和步骤204之后,本实施例中的IKE报文协商的方法还可包括如下的步骤205a’。
205a’、新的主用设备向对端设备发送协商IPSec信息的第三报文,所述第三报文中携带的第一标识的值为N,message_id=N。
举例来说,上述的第二请求报文和第三请求报文还包括如下信息中的一种信息:
重协商IPSec信息、删除链接、新建链接和消息交换。
由上述实施例可知,本发明实施例的IKE报文协商的方法,通过备用设备中在接收主用设备的更新通知之后更新存储的第三标识的值,进而在备用设备切换为新的主用设备时,新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,解决了现有技术中由于主用设备和备用设备的切换导致的业务长时间中断的问题。
如图3所示,图3示出了本发明实施例的IKE报文协商的方法的流程示意图,本实施例中的IKE报文协商的方法如下文所述。
301、主用设备中存储有next_send_msgid和send_msgid,且send_msgid的初始值与next_send_msgid的初始值相同,均为N;备用设备中存储有next_send_msgid,next_send_msgid的初始值也为N。
302、主用设备向对端设备发送第一报文(request报文),第一报文中携带message_id=N。
303、主用设备将内部存储的next_send_msgid的值更新,如next_send_msgid=N+1,同时,向备用设备发送更新next_send_msgid的更新通知。
304、备用设备根据更新通知更新内部存储的next_send_msgid的值,即next_send_msgid=N+1。
305、若主用设备和对端设备的通信链路发生异常,或主用设备出现故障,主用设备和备用设备进行切换,备用设备切换为新的主用设备。
306、新的主用设备查看内部的send_msgid的值与next_send_msgid的值是否一致,若不一致,则执行步骤307,否则,执行步骤308。
其中,备用设备切换为新的主用设备时,新的主用设备中的send_msgid=N,next_send_msgid=N+1。
307、若步骤306中的send_msgid的值与next_send_msgid的值不一致,则向对端设备发送第二报文和第三报文。
在本实施例中,第二报文携带的message_id=N+1;第三报文携带的message_id=N。
需要说明的是,message_id的初始值和send_msgid的初始值是一致的。
通过发送第二报文和第三报文,使得对端设备能够识别/解析上述报文中的一个,避免对端设备无法识别/解析新的Active member发送的请求报文而导致的业务中断的现象出现。
通常,第二报文和第三报文可包括重协商IPSec信息的信息,以使对端设备在接收上述报文之后,和新的主用设备重新协商新的SA。
308、若步骤306中的send_msgid的值与next_send_msgid的值一致,则向对端设备发送第三报文。
例如,send_msgid=N,next_send_msgid=N,或者,send_msgid=N+1,next_send_msgid=N+1。
也就是说,如果send_msgid的值与next_send_msgid+1的值一致,那么新的主用设备就正常发送IKE协商的请求报文,可以不发送第二报文,只需要把新的主用设备当前要发送的报文直接发送出去就可以了。
在本实施例中,在出现上述异常情况时,备用设备还可以采用两次探测的方法,可以优先使用携带message_id=N+1作为报文序列号发送,再使用message_id=N作为报文序列号发送两次探测,确保对端设备能正确处理新的主用设备发送的报文,解决了现有技术的IKEv2的协商过程中的协商双方message id不一致情况后,后续的协商可能再也无法进行,导致长时间的业务中断的问题。
如图4所示,图4示出了本发明实施例的IKE报文协商的方法的流程示意图,本实施例中的IKE报文协商的方法如下文所述。
401、主用设备接收所述对端设备发送的协商IPSec信息的第一报文,所述第一报文中携带有第一标识。
402、主用设备更新其存储的第二标识的值,并使所述备用设备备份所述第二标识的值。
403、主用设备更新存储的第二标识的值之后向备用设备发送更新通知,备用设备根据主用设备的更新通知更新存储的第三标识的值,所述第三标识为所述备用设备中存储的用于获知所述主用设备的状态信息的标识。
404、当主用设备和对端设备的通信链路发生异常,或主用设备出现故障时,主用设备和备用设备进行切换,备用设备切换为新的主用设备。新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文。
若第三标识的值为0,则重新向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,且所述第二报文中携带第一SA;
若第三标识的值为1,则将所述第三标识的值重置为0,将所述第二标识的值更新为N,并重新向所述对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,所述第二报文携带第二SA。
在本实施例中,第一标识可为message_id;第二标识可为recv_message_id;第三标识可为msgid_bk_flag,
第一标识、所述第二标识初始值均为N(N为自然数),所述第三标识的初始值为0。
同理,步骤402中,主用设备可将存储的第二标识的值更新为N+1;在步骤403中,备用设备可将存储的第三标识的值更新为1。
在本实施例中,备用设备在切换为新的主用设备时,可以根据第三标识的值相适应向对端设备发送报文,可以使得新的主用设备发送的报文能够使对端设备解析,进而解决现有技术的IKEv2的协商过程中的协商双方message id不一致情况后,后续的协商可能再也无法进行,导致长时间的业务中断的问题。
如图5a所示,图5a示出了本发明实施例的IKE报文协商的方法的流程示意图,本实施例中的IKE报文协商的方法如下文所述。
在本实施例中,根据IKEv2协议,主用设备内部存在send_message_id和recv_message_id,其初始值均可为N,N为自然数。
在主用设备和对端设备之间的链路未发生异常时,主用设备和对端设备交互一次IKE报文,用以协商建立SA,以及主用设备和对端设备会在间隔一定的时间之后进行新的协商。在主用设备接收到对端设备发送的第一报文,则将recv_message_id的值更新即recv_message_id=N+1,主用设备向对端设备返回响应报文,对端设备接收响应报文之后将内部存储的send_message_id更新为N+1。第一报文中携带第一标识即message_id。
在本实施例中,主用设备内部的接收标识recv_message_id即为第二标识,且在备用设备内部设置第三标识msgid_bk_flag;第三标识的初始值为0。
可选地,主用设备中也可设置有第三标识即msgid_bk_flag。
501、主用设备接收所述对端设备发送的协商IPSec信息的第一报文,所述第一报文中携带有第一标识,message_id=N,N为自然数。
502、主用设备更新其存储的第二标识的值,recv_message_id=N+1,并通知所述备用设备备份所述第二标识的值,即备份recv_message_id=N+1。
503、主用设备向备用设备发送更新第三标识的更新通知,备用设备根据主用设备的更新通知更新内部第三标识的值,msgid_bk_flag=0+1。
504、当主用设备和对端设备的通信链路发生异常,或主用设备出现故障时,主用设备和备用设备进行切换,备用设备切换为新的主用设备,此时,若第三标识的值为0,则重新向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,且所述第二报文中携带第一SA;
若第三报文标识的值为1,则将所述第三标识的值重置为0,将所述第二标识的值更新为N,并重新向所述对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,所述第二报文携带第二SA。
在本实施例中,第一SA和第二SA是不同的,第一SA可为原主用设备预发送的SA。
其中,所述第三标识为所述备用设备中设置的用于获知所述主用设备的状态信息的标识。
如图5B所示,图5B示出了本发明实施例的IKE报文协商的方法的流程示意图,本实施例中的IKE报文协商的方法如下文所述。
本实施例中,recv_message_id的初始值为N。
511、主用设备接收对端设备发送的协商IPSec信息的第一报文,所述第一报文中携带有第一标识,message_id=N,N为自然数。
512、主用设备生成第二报文,所述第二报文为所述第一报文的响应报文,第二报文中携带的第一标识的值为N,即message_id=N,且所述第二报文中携带第一SA;
更新其存储的第二标识的值,recv_message_id=N+1,并
通知备用设备备份所述第二标识的值,即备份recv_message_id=N+1。
513、主用设备向备用设备发送更新第三标识的更新通知,备用设备根据主用设备的更新通知更新内部第三标识的值,msgid_bk_flag=1。
514、主用设备向对端设备返回响应报文,即所述第二报文。
515、主用设备向备用设备发送更新第三标识的更新通知,备用设备根据主用设备的更新通知更新内部第三标识的值,msgid_bk_flag=0。
主用设备在对接收到的报文进行处理的过程中(是指接收到第一报文,但尚未发送完第一报文对应的响应报文第二报文之间的时间段),通过发送更新通知,使得备用设备将第三标识的值置为1,即msgid_bk_flag=1。主用设备在对接收到的报文处理结束后(是指发送完第一报文对应的响应报文第二报文之后),通过再次发送更新通知,使得备用设备将第三标识的值置为0,即msgid_bk_flag=0。
516、当主用设备和对端设备的通信链路发生异常,或主用设备出现故障时,主用设备和备用设备进行切换,备用设备切换为新的主用设备。主用设备和备用设备的切换可以发生在主用设备对接收到的报文进行处理的过程中,也有可能发生在主用设备对接收到的报文处理结束之后。根据切换发生时机执行对应的处理。
发生切换时,若第三标识的值为0(即原有主用设备对接收到的报文处理结束之后,在稳定状态),则新的主用设备重新向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,且所述第二报文中携带第一SA,该第一SA是原主用设备同步到新的主用设备中的;
若第三标识的值为1(即原有主用设备对接收到的报文进行处理的过程中,在中间状态),则新的主用设备将所述第三标识的值重置为0,将所述第二标识的值更新为N,并生成第三报文,所述第三报文中携带的第一标识的值为N,所述第三报文携带第二SA。
本实施例中的IKE报文协商的方法提高了IPSec双机热备的高可靠性,解决了现有技术的IKEv2的协商过程中的协商双方message id不一致情况后,后续的协商可能再也无法进行,导致长时间的业务中断的问题,进而协商双方保证后续协商正常进行。
如图6A和图6B所示,图6A示出了IKE报文协商的方法的场景图,图6B示出了本发明实施例的IKE报文协商的方法的流程示意图,本实施例中的IKE报文协商的方法如下文所述。
本实施例中,在主用设备和备用设备中同时增加msgid_bk_flag的标识,即第三标识。
601、C(对端设备)向A(主用设备)发起msg1(第一报文),msg1中包含message id,message id的值为0。
602、A收到msg1之后,生成SA1(第一SA),更新recv_msgid的值,并使B(备用设备)备份更新后的recv_msgid,同时向B发送更新通知,使B根据更新通知更新msgid_bk_flag的值,即msgid_bk_flag=1。
此时,B中msgid_bk_flag=1,recv_msgid=N+1.
本实施例中,更新msgid_bk_flag的值为:将msgid_bk_flag的初始值增加1。其中,msgid_bk_flag的初始值为0,recv_msgid的初始值为N(N为自然数)。
603、若此时A与C的通信接口的物理链路中断或A发生故障,引起主备切换,B变为新的主用设备,A变为新的备用设备,此时C并没有收到msg1的响应消息;如果C在间隔预设时间内还没有收到msg1的响应消息,重新发送携带message id=0的msg1。
604、B在接收到C发送的msg1之后,查看message id的值和存储的recv_msgid的值是否一致,若确定message id的值小于recv_msgid的值,则确定msg1为重传消息,
进一步,判断msgid_bk_flag的值,若msgid_bk_flag的值为1,则将原recv_msgid的值减一,即恢复recv_msgid的初始值,并将msgid_bk_flag置0,生成新的SA2(如图6A中的SA2,即第二SA),并向C发送响应消息(如图6A中的msg0);
判断msgid_bk_flag的值,若msgid_bk_flag的值为0,则重传B作为主用设备时发送的响应消息,该响应消息为新的主用设备应该发送的响应消息,所述响应消息中包括SA1(即第一SA)。
605、C接收msg1的响应消息,更新send_msgid的值,生成SA2;协商成功。
如图6C示出了本发明实施例的IKE报文协商的方法的流程示意图,本实施例中的IKE报文协商的方法如下文所述。
本实施例中,在备用设备中增加msgid_bk_flag的标识,即第三标识。
611、C(对端设备)向A(主用设备)发起msg1(第一报文),msg1中包含message id,message id的值为N。
612、A收到msg1之后,根据recv_msgid,生成SA1(第一SA),生成对应的响应报文msg2,msg2的message_id=N。
更新recv_msgid的值,并使B(备用设备)备份更新后的recv_msgid,同时向B发送更新通知,使B根据更新通知更新msgid_bk_flag的值,即msgid_bk_flag=1。
此时,B中msgid_bk_flag=1,recv_msgid=N+1.
本实施例中,由于是A在处理msg1的过程中对msgid_bk_flag的值进行更新,所以更新msgid_bk_flag的值为:将msgid_bk_flag的值置1。其中,msgid_bk_flag的初始值为0,recv_msgid的初始值为N(N为自然数)。
如果此时未发生主备切换,则继续执行613。若发生主备切换,则进入步骤614。
613、A向对端设备返回响应报文msg2。同时向B发送更新通知,使B根据更新通知更新msgid_bk_flag的值,即msgid_bk_flag=0。
若未发生主备切换,则A等待接收C发来的下一个请求报文,对C发来的下一个请求报文重复执行与611类似的处理,在这里不再赘述,本实施例仅以一个报文的处理周期为例,对其中不同阶段发生的主备切换进行描述。若发生主备切换,则进入步骤618。
614、此时C并没有收到msg1的响应消息;如果C在间隔预设时间内还没有收到msg1的响应消息,重新发送携带message id=0的msg1。
615、B在接收到C重发的msg1之后,查看message id的值和存储的recv_msgid的值是否一致,若确定message id的值(N)小于recv_msgid的值(N+1),则确定msg1为重传消息。
616、B判断msgid_bk_flag的值,若msgid_bk_flag的值为1,将msgid_bk_flag置0,并将原recv_msgid的值减一,即恢复recv_msgid的初始值N,生成SA2(如图6A中的SA2,即第二SA),并向C发送响应消息携带SA2,如msg3。
617、C接收msg1的响应消息msg3,更新send_msgid的值,生成SA2;协商成功。
618、如果C在间隔预设时间内还没有收到msg1的响应消息,重新发送携带message id=0的msg1。如果C收到了msg2,则可以发送下一个请求报文,B等待接收C发来的下一个请求报文,对C发来的下一个请求报文进行处理,在这里不再重复。
619、B在接收到C发送的msg1后,查看msg1的message id的值和存储的recv_msgid的值是否一致,若msg1的message id的值(N)小于recv_msgid的值(N+1),则确定msg1为重传消息。
620、B生成msg2,重传A作为主用设备时发送的响应消息msg2,所述响应消息中包括从A同步来的SA1(即第一SA)。
621、C接收msg1的响应消息msg2,更新send_msgid的值,生成SA1;协商成功。
上述IKE报文协商的方法,解决了IPSEC双机热备场景,IKE重协商过程中主备切换可能引起的协商双方SA中的msgid不匹配,业务中断问题。
根据本发明的另一方面,本发明还提供一种IKE报文协商的系统,如图7A和图7B所示,IKE报文协商的系统包括:主用设备71和备用设备72,
所述主用设备71包括:第一处理器711和第一存储器712;所述备用设备72包括:第二处理器721和第二存储器722;
需要说明的是,第一存储器712存储有第二标识,第二存储器722中存储有第三标识。
所述第二处理器721用于根据所述第一处理器711的更新通知更新所述第二存储器722中存储的第三标识的值,所述第一处理器711的更新通知为所述第一处理器711更新所述第一存储器712中存储的第二标识的值之后发送的;
在所述备用设备72切换为新的主用设备时,所述第二处理器721用于根据所述第二存储器722中更新的第三标识向对端设备发送协商IPSec信息的第二报文;
其中,所述第二存储器中的第三标识为用于获知所述主用设备的状态信息的标识。
在一种应用场景中,如图7A所示,上述的IKE报文协商的系统作为IKE报文协商中的主动发送者时,在第二处理器721用于根据第一处理器711的更新通知更新所述第二存储器722中存储的第三标识的值之前,
所述第一处理器711用于向所述对端设备发送协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述第一处理器711还用于更新存储在所述第一存储器712中的第二标识的值;
其中,所述第二标识为用于获知所述主用设备71的状态信息的标识。
举例来说,第一标识为message_id;所述第二标识为next_sendmsg_id;所述第三标识为next_sendmsg_id。
另外,第一标识的初始值、所述第二标识的初始值和所述第三标识的初始值相同,且均为N;
相应地,所述第一处理器711还用于更新存储在所述第一存储器712中的第二标识的值,具体为:
所述第一处理器711还用于将所述第一存储器712中的第二标识的值更新为N+1;
所述第二处理器721用于根据所述第一处理器711的更新通知更新所述第二存储器722中存储的第三标识的值,具体为:
所述第二处理器721将所述第二存储器722中的第三标识的值更新为N+1。
可选地,第二处理器721用于根据所述第二存储器722中更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体为:
所述第二处理器722向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N+1。
在一种优选的应用场景中,第二处理器721还用于向所述对端设备发送协商IPSec信息的第三报文,所述第三报文中携带的第一标识的值为N。
上述的IKE报文协商的系统作为IKE报文协商中的主动发送者时,可有效解决现有技术中IKEV2的协商过程中的协商双方第一标识的值不一致时,后续的协商可能再也无法进行,导致长时间的业务中断的问题。
在另一应用场景中,上述的IKE报文协商的系统作为IKE报文协商中的被动接收者时,如图7B所示,第二处理器721用于根据所述第一处理器711的更新通知更新所述第二存储器722中存储的第三标识的值之前,
所述第一处理器711用于接收所述对端设备发送的协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述第一处理器711还用于更新所述第一存储器712中存储的第二标识的值,并使所述第二处理器721向第二存储器722中备份所述第二标识的值。
举例来说,所述第一标识为message_id;所述第二标识为recv_message_id;所述第三标识为msgid_bk_flag,第一标识、所述第二标识初始值均为N,所述第三标识的初始值为0;
相应地,所述第一处理器711更新所述第一存储器712中存储的第二标识的值,具体为:
所述第一处理器711将所述第一存储器712中的第二标识的值更新为N+1;
所述第二处理器721用于根据所述第一处理器711的更新通知更新所述第二存储器722中存储的第三标识的值,具体为:
所述第二处理器721将所述第二存储器722中的第三标识的值更新为1。
进一步地,第二处理器721用于根据所述第二存储器722中更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为0,则所述第二处理器721重新向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,且所述第二报文中携带第一安全联盟SA;
若第三标识的值为1,则所述第二处理器721将所述第三标识的值重置为0,将所述第二标识的值更新为N,并重新向所述对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,所述第二报文携带第二SA。
上述的IKE报文协商的系统作为IKE报文协商中的被动接收者时,可有效解决现有技术中IKEV2的协商过程中的协商双方第一标识的值不一致时,后续的协商可能再也无法进行,导致长时间的业务中断的问题。
根据本发明的再一方面,本发明实施例还提供一种通信系统,包括上述本发明任意所述的IKE报文协商的系统。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (21)

1.一种IKE报文协商的方法,其特征在于,包括:
备用设备根据主用设备的更新通知更新存储的第三标识的值,所述主用设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的;
在备用设备切换为新的主用设备时,所述新的主用设备根据更新的第三标识向对端设备发送协商互联网协议安全性IPSec信息的第二报文;
其中,所述第三标识为所述备用设备中存储的用于获知所述主用设备的状态信息的标识。
2.根据权利要求1所述的方法,其特征在于,所述备用设备根据主用设备的更新通知更新存储的第三标识的值的步骤之前,还包括:
主用设备向所述对端设备发送协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述主用设备更新存储的第二标识的值;
其中,所述第二标识为所述主用设备中存储的用于获知所述主用设备的状态信息的标识。
3.根据权利要求2所述的方法,其特征在于,
所述第一标识为message_id;
所述第二标识为next_sendmsg_id;
所述第三标识为next_sendmsg_id;
所述第一标识的初始值、所述第二标识的初始值和所述第三标识的初始值相同,且均为N;
相应地,所述主用设备更新存储的第二标识的值,具体为:
所述主用设备将存储的第二标识的值更新为N+1;
所述备用设备根据主用设备的更新通知更新存储的第三标识的值,具体为:
所述备用设备将存储的第三标识的值更新为N+1。
4.根据权利要求3所述的方法,其特征在于,
所述新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体为:
所述新的主用设备向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N+1。
5.根据权利要求1至4任一所述的方法,其特征在于,还包括:
所述新的主用设备向所述对端设备发送协商IPSec信息的第三报文,所述第三报文中携带的第一标识的值为N。
6.根据权利要求1所述的方法,其特征在于,所述备用设备根据主用设备的更新通知更新内部第三标识的值的步骤之前,还包括:
所述主用设备接收所述对端设备发送的协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述主用设备生成所述第二报文,所述第二报文为所述第一报文的响应报文;
所述主用设备更新其存储的第二标识的值,并使所述备用设备备份所述第二标识的值。
7.根据权利要求6所述的方法,其特征在于,
所述第一标识为message_id;
所述第二标识为recv_message_id;
所述第三标识为msgid_bk_flag,
所述第一标识、所述第二标识初始值均为N,所述第三标识的初始值为0;
相应地,所述主用设备更新存储的第二标识的值,具体为:
所述主用设备将存储的第二标识的值更新为N+1;
所述备用设备根据所述主用设备的更新通知更新内部第三标识的值,具体为:
所述备用设备将存储的第三标识的值更新为1。
8.根据权利要求7所述的方法,其特征在于,
所述新的主用设备根据所述第二存储器中更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为1,则新的主用设备将所述第三标识的值重置为0,将所述第二标识的值更新为N,并生成第三报文,所述第三报文中携带的第一标识的值为N,所述第三报文携带第二SA。
9.根据权利要求7所述的方法,其特征在于,所述在备用设备切换为新的主用设备之前,还包括:
所述主用设备将所述第二报文发送给对端设备,所述第二报文携带的第一标识的值为N,且所述第二报文中携带第一安全联盟SA;
所述备用设备根据所述主用设备的更新通知将存储的第三标识的值更新为0;
所述新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为0,则新的主用设备重新向所述对端设备发送所述第二报文。
10.根据权利要求7所述的方法,其特征在于,
所述新的主用设备根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为0,则重新向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,且所述第二报文中携带第一安全联盟SA;
若第三标识的值为1,则将所述第三标识的值重置为0,将所述第二标识的值更新为N,并重新向所述对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,所述第二报文携带第二SA。
11.一种IKE报文协商的系统,其特征在于,包括:主用设备和备用设备,
所述主用设备包括:第一处理器和第一存储器;所述备用设备包括:第二处理器和第二存储器;
所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值,所述第一处理器的更新通知为所述第一处理器更新所述第一存储器中存储的第二标识的值之后发送的;
在所述备用设备切换为新的主用设备时,所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备发送协商互联网协议安全性IPSec信息的第二报文;
其中,所述第二存储器中的第三标识为用于获知所述主用设备的状态信息的标识。
12.根据权利要求11所述的系统,其特征在于,所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值之前,
所述第一处理器用于向所述对端设备发送协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述第一处理器还用于更新存储在所述第一存储器中的第二标识的值;
其中,所述第二标识为用于获知所述主用设备的状态信息的标识。
13.根据权利要求12所述的系统,其特征在于,
所述第一标识为message_id;
所述第二标识为next_sendmsg_id;
所述第三标识为next_sendmsg_id;
所述第一标识的初始值、所述第二标识的初始值和所述第三标识的初始值相同,且均为N;
相应地,所述第一处理器还用于更新存储在所述第一存储器中的第二标识的值,具体为:
所述第一处理器还用于将所述第一存储器中的第二标识的值更新为N+1;
所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值,具体为:
所述第二处理器将所述第二存储器中的第三标识的值更新为N+1。
14.根据权利要求13所述的系统,其特征在于,所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体为:
所述第二处理器向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N+1。
15.根据权利要求11至14任一所述的系统,其特征在于,所述第二处理器还用于向所述对端设备发送协商IPSec信息的第三报文,所述第三报文中携带的第一标识的值为N。
16.根据权利要求11所述的系统,其特征在于,所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值之前,
所述第一处理器用于接收所述对端设备发送的协商IPSec信息的第一报文,所述第一报文中携带有第一标识;
所述第一处理器还用于生成所述第二报文,所述第二报文为所述第一报文的响应报文;更新所述第一存储器中存储的第二标识的值,并使所述第二处理器向第二存储器中备份所述第二标识的值。
17.根据权利要求16所述的系统,其特征在于,
所述第一标识为message_id;
所述第二标识为recv_message_id;
所述第三标识为msgid_bk_flag,
所述第一标识、所述第二标识初始值均为N,所述第三标识的初始值为0;
相应地,所述第一处理器更新所述第一存储器中存储的第二标识的值,具体为:
所述第一处理器将所述第一存储器中的第二标识的值更新为N+1;
所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值,具体为:
所述第二处理器将所述第二存储器中的第三标识的值更新为1。
18.根据权利要求17所述的系统,其特征在于,
所述第二处理器用于根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为1,则所述第二处理器将所述第三标识的值重置为0,将所述第二标识的值更新为N,并生成第三报文,所述第三报文中携带的第一标识的值为N,所述第三报文携带第二SA。
19.根据权利要求17所述的系统,其特征在于,所述在备用设备切换为新的主用设备之前,所述第一处理器还用于将所述第二报文发送给对端设备,所述第二报文携带的第一标识的值为N,且所述第二报文中携带第一安全联盟SA;所述第二处理器还用于根据所述主用设备的更新通知将存储的第三标识的值更新为0;
所述第二处理器用于根据更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为0,则所述第二处理器重新向所述对端设备发送所述第二报文。
20.根据权利要求17所述的系统,其特征在于,
所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备发送协商IPSec信息的第二报文,具体包括:
若第三标识的值为0,则所述第二处理器重新向对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,且所述第二报文中携带第一安全联盟SA;
若第三标识的值为1,则所述第二处理器将所述第三标识的值重置为0,将所述第二标识的值更新为N,并重新向所述对端设备发送协商IPSec信息的第二报文,所述第二报文中携带的第一标识的值为N,所述第二报文携带第二SA。
21.一种通信系统,其特征在于,包括上述权利要求11至20任一所述的IKE报文协商的系统。
CN201310459948.9A 2012-10-12 2013-09-29 Ike报文协商的方法及系统 Expired - Fee Related CN103731407B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201310459948.9A CN103731407B (zh) 2012-10-12 2013-09-29 Ike报文协商的方法及系统
US14/052,470 US9438566B2 (en) 2012-10-12 2013-10-11 Method and system for negotiation based on IKE messages
EP20130188281 EP2720438B1 (en) 2012-10-12 2013-10-11 Method and system for negotiation based on IKE messages
PCT/CN2013/085132 WO2014056454A1 (zh) 2012-10-12 2013-10-12 Ike报文协商的方法及系统

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
CN201210387149.0 2012-10-12
CN201210387149 2012-10-12
CN2012103871490 2012-10-12
CN201310459948.9A CN103731407B (zh) 2012-10-12 2013-09-29 Ike报文协商的方法及系统

Publications (2)

Publication Number Publication Date
CN103731407A true CN103731407A (zh) 2014-04-16
CN103731407B CN103731407B (zh) 2017-08-11

Family

ID=49488463

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310459948.9A Expired - Fee Related CN103731407B (zh) 2012-10-12 2013-09-29 Ike报文协商的方法及系统

Country Status (4)

Country Link
US (1) US9438566B2 (zh)
EP (1) EP2720438B1 (zh)
CN (1) CN103731407B (zh)
WO (1) WO2014056454A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579774A (zh) * 2014-12-31 2015-04-29 北京山石网科信息技术有限公司 主控设备的切换方法和装置
CN106304071A (zh) * 2016-08-15 2017-01-04 迈普通信技术股份有限公司 一种网络接入认证方法、接入认证设备及认证服务器
CN107332885A (zh) * 2017-06-19 2017-11-07 杭州迪普科技股份有限公司 一种IPSec VPN实现双机热备的方法和装置

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10749711B2 (en) 2013-07-10 2020-08-18 Nicira, Inc. Network-link method useful for a last-mile connectivity in an edge-gateway multipath system
US10454714B2 (en) 2013-07-10 2019-10-22 Nicira, Inc. Method and system of overlay flow control
US9961054B2 (en) * 2014-01-29 2018-05-01 Honeywell International Inc. Apparatus and method for establishing secure communication with redundant device after switchover
US10057767B2 (en) * 2014-12-19 2018-08-21 Apple Inc. Methods and apparatus to support location specific control of access to services through untrusted wireless networks
US10425382B2 (en) 2015-04-13 2019-09-24 Nicira, Inc. Method and system of a cloud-based multipath routing protocol
US10498652B2 (en) 2015-04-13 2019-12-03 Nicira, Inc. Method and system of application-aware routing with crowdsourcing
US10135789B2 (en) 2015-04-13 2018-11-20 Nicira, Inc. Method and system of establishing a virtual private network in a cloud service for branch networking
EP3151599A1 (en) 2015-09-30 2017-04-05 Apple Inc. Authentication failure handling for cellular network access through wlan
CN106169952B (zh) * 2016-09-06 2019-05-07 杭州迪普科技股份有限公司 一种英特网密钥管理协议重协商的认证方法及装置
US11252079B2 (en) 2017-01-31 2022-02-15 Vmware, Inc. High performance software-defined core network
US10992568B2 (en) 2017-01-31 2021-04-27 Vmware, Inc. High performance software-defined core network
US10992558B1 (en) 2017-11-06 2021-04-27 Vmware, Inc. Method and apparatus for distributed data network traffic optimization
US11121962B2 (en) 2017-01-31 2021-09-14 Vmware, Inc. High performance software-defined core network
US11706127B2 (en) 2017-01-31 2023-07-18 Vmware, Inc. High performance software-defined core network
US20200036624A1 (en) 2017-01-31 2020-01-30 The Mode Group High performance software-defined core network
US20180219765A1 (en) 2017-01-31 2018-08-02 Waltz Networks Method and Apparatus for Network Traffic Control Optimization
US10778528B2 (en) 2017-02-11 2020-09-15 Nicira, Inc. Method and system of connecting to a multipath hub in a cluster
US10609008B2 (en) * 2017-06-08 2020-03-31 Nxp Usa, Inc. Securing an electronically transmitted communication
US10523539B2 (en) 2017-06-22 2019-12-31 Nicira, Inc. Method and system of resiliency in cloud-delivered SD-WAN
US10999100B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider
US10959098B2 (en) 2017-10-02 2021-03-23 Vmware, Inc. Dynamically specifying multiple public cloud edge nodes to connect to an external multi-computer node
US10805114B2 (en) 2017-10-02 2020-10-13 Vmware, Inc. Processing data messages of a virtual network that are sent to and received from external service machines
US11089111B2 (en) 2017-10-02 2021-08-10 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US11115480B2 (en) 2017-10-02 2021-09-07 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US10999165B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Three tiers of SaaS providers for deploying compute and network infrastructure in the public cloud
US11223514B2 (en) 2017-11-09 2022-01-11 Nicira, Inc. Method and system of a dynamic high-availability mode based on current wide area network connectivity
JP7191727B2 (ja) * 2019-03-04 2022-12-19 株式会社東芝 通信制御装置および通信システム
JP7278806B2 (ja) * 2019-03-04 2023-05-22 株式会社東芝 通信制御装置および通信システム
JP7278807B2 (ja) * 2019-03-04 2023-05-22 株式会社東芝 通信制御装置および通信システム
JP7191726B2 (ja) * 2019-03-04 2022-12-19 株式会社東芝 通信制御装置および通信システム
US11368298B2 (en) 2019-05-16 2022-06-21 Cisco Technology, Inc. Decentralized internet protocol security key negotiation
US11310170B2 (en) 2019-08-27 2022-04-19 Vmware, Inc. Configuring edge nodes outside of public clouds to use routes defined through the public clouds
US11044190B2 (en) 2019-10-28 2021-06-22 Vmware, Inc. Managing forwarding elements at edge nodes connected to a virtual network
US11394640B2 (en) 2019-12-12 2022-07-19 Vmware, Inc. Collecting and analyzing data regarding flows associated with DPI parameters
US11489783B2 (en) 2019-12-12 2022-11-01 Vmware, Inc. Performing deep packet inspection in a software defined wide area network
US11689959B2 (en) 2020-01-24 2023-06-27 Vmware, Inc. Generating path usability state for different sub-paths offered by a network link
US11245641B2 (en) 2020-07-02 2022-02-08 Vmware, Inc. Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN
US11709710B2 (en) 2020-07-30 2023-07-25 Vmware, Inc. Memory allocator for I/O operations
US11444865B2 (en) 2020-11-17 2022-09-13 Vmware, Inc. Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN
US11575600B2 (en) 2020-11-24 2023-02-07 Vmware, Inc. Tunnel-less SD-WAN
US11601356B2 (en) 2020-12-29 2023-03-07 Vmware, Inc. Emulating packet flows to assess network links for SD-WAN
US11792127B2 (en) 2021-01-18 2023-10-17 Vmware, Inc. Network-aware load balancing
US11979325B2 (en) 2021-01-28 2024-05-07 VMware LLC Dynamic SD-WAN hub cluster scaling with machine learning
US12009987B2 (en) 2021-05-03 2024-06-11 VMware LLC Methods to support dynamic transit paths through hub clustering across branches in SD-WAN
US11582144B2 (en) 2021-05-03 2023-02-14 Vmware, Inc. Routing mesh to provide alternate routes through SD-WAN edge forwarding nodes based on degraded operational states of SD-WAN hubs
US11729065B2 (en) 2021-05-06 2023-08-15 Vmware, Inc. Methods for application defined virtual network service among multiple transport in SD-WAN
US11489720B1 (en) 2021-06-18 2022-11-01 Vmware, Inc. Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics
US12015536B2 (en) 2021-06-18 2024-06-18 VMware LLC Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds
US12047282B2 (en) 2021-07-22 2024-07-23 VMware LLC Methods for smart bandwidth aggregation based dynamic overlay selection among preferred exits in SD-WAN
US11375005B1 (en) 2021-07-24 2022-06-28 Vmware, Inc. High availability solutions for a secure access service edge application
US11943146B2 (en) 2021-10-01 2024-03-26 VMware LLC Traffic prioritization in SD-WAN
CN114301653B (zh) * 2021-12-22 2024-02-02 山石网科通信技术股份有限公司 抵御半连接攻击的方法、装置、存储介质以及处理器
US11909815B2 (en) 2022-06-06 2024-02-20 VMware LLC Routing based on geolocation costs
US12057993B1 (en) 2023-03-27 2024-08-06 VMware LLC Identifying and remediating anomalies in a self-healing network
US12034587B1 (en) 2023-03-27 2024-07-09 VMware LLC Identifying and remediating anomalies in a self-healing network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101605060A (zh) * 2009-07-14 2009-12-16 中兴通讯股份有限公司 一种单板级的IPSec主备方法及装置
CN101714916A (zh) * 2009-11-26 2010-05-26 成都市华为赛门铁克科技有限公司 一种备份方法、设备和系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7266715B1 (en) 2003-04-29 2007-09-04 Cisco Technology, Inc. Methods and apparatus for maintaining a virtual private network connection
US7836497B2 (en) 2006-12-22 2010-11-16 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for resilient IP security/internet key exchange security gateway
EP2266286A2 (fr) * 2008-03-31 2010-12-29 France Telecom Procede de commutation d'un terminal mobile d'un premier routeur d'acces vers un deuxieme routeur d'acces
CN101577725B (zh) 2009-06-26 2012-09-26 杭州华三通信技术有限公司 一种防重放机制中的信息同步方法、装置和系统
JP5392034B2 (ja) * 2009-12-01 2014-01-22 富士通株式会社 通信装置および通信方法
US8457130B2 (en) * 2011-05-02 2013-06-04 Acme Packet, Inc. Synchronizing sequence numbers

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101605060A (zh) * 2009-07-14 2009-12-16 中兴通讯股份有限公司 一种单板级的IPSec主备方法及装置
CN101714916A (zh) * 2009-11-26 2010-05-26 成都市华为赛门铁克科技有限公司 一种备份方法、设备和系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579774A (zh) * 2014-12-31 2015-04-29 北京山石网科信息技术有限公司 主控设备的切换方法和装置
CN106304071A (zh) * 2016-08-15 2017-01-04 迈普通信技术股份有限公司 一种网络接入认证方法、接入认证设备及认证服务器
CN107332885A (zh) * 2017-06-19 2017-11-07 杭州迪普科技股份有限公司 一种IPSec VPN实现双机热备的方法和装置

Also Published As

Publication number Publication date
EP2720438B1 (en) 2015-04-22
EP2720438A1 (en) 2014-04-16
WO2014056454A1 (zh) 2014-04-17
US9438566B2 (en) 2016-09-06
US20140108781A1 (en) 2014-04-17
CN103731407B (zh) 2017-08-11

Similar Documents

Publication Publication Date Title
CN103731407A (zh) Ike报文协商的方法及系统
JP6491745B2 (ja) 仮想ネットワーク機能プールと制御エンティティとの間におけるインターフェース・エレメントのための方法、およびシステム
CN101262409B (zh) 虚拟私有网络vpn接入方法和装置
US20150188704A1 (en) Data communication method and data communication apparatus
CN102571497B (zh) 一种IPSec隧道故障检测的方法、装置及系统
WO2016082412A1 (zh) 实现数据可靠传输的方法、装置及计算机存储介质
CN109286593B (zh) 传输重连的方法及装置、计算机设备及存储介质
CN101527729A (zh) 一种ike可靠报文协商的方法、设备及系统
CN102638468A (zh) 保护信息传输安全的方法、发送端、接收端及系统
CN107534556A (zh) 使用crl的未来证书撤销
US11108824B2 (en) Wireless communication method, device and system, wireless communication equipment and recording medium
JP2012175199A (ja) ネットワークシステム、及び通信復旧方法
CN102970277B (zh) 一种多源安全关联建立方法及系统
US11856063B2 (en) Systems and methods for cloud survivability for cloud orchestrated internet protocol security (IPsec) security associations (SA)
AU2021300461B2 (en) Proxy method, device, and computer-readable storage medium
CN111147420A (zh) 数据容灾方法、装置、系统、设备及计算机可读存储介质
CN108270613B (zh) 发送消息方法及网络设备
WO2016062021A1 (zh) 业务能力探测方法及装置
WO2016082343A1 (zh) 故障检测方法及装置
CN104410610A (zh) 一种基于IKEv2的初始协商方法及装置
CN103118017B (zh) 维护IKE SA的本端发送消息的MessageID的方法及装置
CN113115306B (zh) 一种增强LoraWan网络架构安全性的加密方法、系统及存储介质
WO2016201973A1 (zh) 一种容灾方法、装置及通信系统
CN114448747A (zh) 通信控制方法、通信终端及存储介质
CN118250174A (zh) 基于ovn架构的vpn实现方法、系统、设备及介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170811