WO2014056454A1 - Ike报文协商的方法及系统 - Google Patents

Abstract

一种IKE报文协商的方法及系统，所述方法包括：备用设备根据主用设备的更新通知更新存储的第三标识的值，所述主用设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的；在备用设备切换为新的主用设备时，所述新的主用设备根据更新的第三标识向对端设备发送协商互联网协议安全性IPSec信息的第二报文；其中，所述第三标识为所述备用设备中存储的用于获知所述主用设备的状态信息的标识。上述方法解决了现有技术中由于主用设备和备用设备的切换导致的业务长时间中断的问题。

Description

IKE报文协商的方法及系统 本申请要求于 2012 年 10 月 12 日提交中国专利局、 申请号为 201210387149.0、发明名称为 "IKE报文协商的方法及系统"的中国专利申请、 以及 2013年 9月 29 日递交中国专利局、 申请号为 201310459948.9、 发明名 称为 "IKE报文协商的方法及系统" 的中国专利申请的优先权， 其全部内容 通过引用结合在本申请中。 技术领域

本发明实施例涉及通信技术，尤其涉及一种 IKE( Internet Key Exchange ) 报文协商的方法及系统。

背景技术 密钥交换协议第二版 ( Internet Key Exchange Protocol Version 2, 筒称 IKEv2 ) , 用来进行虚拟专用网 ( Virtual Private Network, 筒称 VPN ) 中安 全联盟（Security Association, 筒称 SA ) 的认证与密钥的协商， 为 VPN中 通信双方协商因特网协议安全（ IP Security, 筒称 IPSec )通信所需要的相关 信息， 如加密算法、 会话密钥、 通信双方身份认证等。

IKEv2的十办商分为 initial交换， auth交换， create child交换， informational 交换， 每一 IKEv2报文的报文头都包含一个 message id 字段（报文标识） ， 这个字段用来标识 文的序号。

通常， 通信双方保存有两个 message id : 发起一个请求报文时使用 send— message— id (筒称 send— msgid ) 、 期望收到的 艮文的 messsage id 为 recv— messsage— id (筒称 recv— msgid ) 。 通信发起方发送了一个 message— id 的请求 （ request ) 艮文并且收到了这个请求 艮文的回应 ( response )消息后， 则该设备中的 send— message— id+1。 通信任意一方每 收到一个请求报文， 则该设备中的 recv— messsage— id+ 1。

在 IPSec双机热备场景中， 主用设备 ( active member )是当前正在与对 端设备 ( peer device )通信的设备， 备用设备 ( standby member )为主用设 备的备份设备。 当主用设备与对端设备的通信链路出现故障时， 备用设备转 换为新的主用设备继续与对端通信。

如果主用设备正在与对端设备进行 IKEv2协商， 此时主用设备与对端设 备之间的通信链路出现故障， 备份设备转换为新的主用设备， 此时原主用设 备中的标识信息还没有及时备份给备用设备， 那么备用设备中的 Message id 有可能与主用设备中的 message id不一致，此时与对端设备的通信有可能因 为 message id的错误而中断。

例如， 在 IKEv2协商过程中， 主用设备向对端设备发出 msgl 后， 主用 设备与备用设备发生切换，主用设备的 send— msgid的更新信息还没有及时备 份给备用设备， 这样备用设备转换为新的主用设备， send— msgid尚未更新， 进而上述新的主用设备与对端设备之间的协商过程中会产生 message— id 不 匹配问题， 导致业务长时间中断。 发明内容 有鉴于此， 本发明提供一种 IKE报文协商的方法及系统， 用以解决现有 技术中由于主用设备和备用设备的切换导致的业务长时间中断的问题。

第一方面， 本发明实施例提供一种 IKE报文协商的方法， 包括： 备用设备根据主用设备的更新通知更新存储的第三标识的值， 所述主用 设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的；

在备用设备切换为新的主用设备时， 所述新的主用设备根据更新的第三 标识向对端设备发送协商互联网协议安全性 IPSec信息的第二报文；

其中， 所述第三标识为所述备用设备中存储的用于获知所述主用设备的 状态信息的标识。

结合第一方面， 在一种可能的实现方式中， 所述备用设备根据主用设备 的更新通知更新内部第三标识的值的步骤之前， 还包括：

主用设备向所述对端设备发送协商 IPSec信息的第一报文， 所述第一报 文中携带有第一标识；

所述主用设备更新存储的第二标识的值；

其中， 所述第二标识为所述主用设备中存储的用于获知所述主用设备的 状态信息的标识。

结合第一方面及上述第一种的实现方式中， 在第二种可能的实现方式中， 所述第一标识为 message— id; 所述第二标识为 next— sendmsg— id;

所述第三标识为 next— sendmsg— id;

所述第一标识的初始值、 所述第二标识的初始值和所述第三标识的初始 值相同， 且均为 N;

相应地， 所述主用设备更新存储的第二标识的值， 具体为：

所述主用设备将存储的第二标识的值更新为 N+1 ;

所述备用设备根据主用设备的更新通知更新存储的第三标识的值， 具体 为：

所述备用设备将存储的第三标识的值更新为 N+1。

结合第一方面及上述第二种的实现方式中， 在第三种可能的实现方式中， 所述新的主用设备根据更新的第三标识向对端设备发送协商 IPSec信息的第 二报文， 具体为：

所述新的主用设备向对端设备发送协商 IPSec信息的第二报文， 所述第 二报文中携带的第一标识的值为 N+1。

结合第一方面及上述可能的实现方式中， 在第四种可能的实现方式中， 上述方法还包括：

所述新的主用设备向对端设备发送协商 IPSec信息的第三报文， 所述第 三报文中携带的第一标识的值为 N。

结合第一方面， 在第五种可能的实现方式中， 所述备用设备根据主用设 备的更新通知更新内部第三标识的值的步骤之前， 还包括：

所述主用设备接收所述对端设备发送的协商 IPSec信息的第一报文， 所 述第一报文中携带有第一标识；

所述主用设备更新其存储的第二标识的值， 并使所述备用设备备份所述 第二标识的值。

结合第一方面及第五种可能的实现方式中， 在第六种可能的实现方式中， 所述第一标识为 message— id;

所述第二标识为 recv— message— id;

所述第三标识为 msgid— bk— f lag ,

所述第一标识、所述第二标识初始值均为 Ν,所述第三标识的初始值为 0; 相应地， 所述主用设备更新存储的第二标识的值， 具体为：

所述主用设备将存储的第二标识的值更新为 Ν+1 ; 所述备用设备根据所述主用设备的更新通知更新内部第三标识的值， 具 体为：

所述备用设备将存储的第三标识的值更新为 1。

结合第一方面及第六种可能的实现方式中， 在第七种可能的实现方式中， 所述新的主用设备根据更新的第三标识向对端设备发送协商 IPSec信息的第 二报文， 具体包括：

若第三标识的值为 0, 则重新向对端设备发送协商 IPSec信息的第二报 文， 所述第二报文中携带的第一标识的值为 N, 且所述第二报文中携带第一 SA;

若第三标识的值为 1 , 则将所述第三标识的值重置为 0, 将所述第二标识 的值更新为 N, 并重新向所述对端设备发送协商 IPSec信息的第二报文， 所 述第二报文中携带的第一标识的值为 N, 所述第二报文携带第二 SA。

第二方面， 本发明实施例还提供一种 IKE报文协商的系统， 包括： 主用 设备和备用设备，

所述主用设备包括： 第一处理器和第一存储器； 所述备用设备包括： 第 二处理器和第二存储器；

所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储 器中存储的第三标识的值， 所述第一处理器的更新通知为所述第一处理器更 新所述第一存储器中存储的第二标识的值之后发送的；

在所述备用设备切换为新的主用设备时， 所述第二处理器用于根据所述 第二存储器中更新的第三标识向对端设备发送协商互联网协议安全性 I PSec 信息的第二报文；

其中， 所述第二存储器中的第三标识为用于获知所述主用设备的状态信 息的标识。

结合第二方面， 在第一种可能的实现方式中， 所述第二处理器用于根据 所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值之 前，

所述第一处理器用于向所述对端设备发送协商 IPSec信息的第一报文， 所述第一报文中携带有第一标识；

所述第一处理器还用于更新存储在所述第一存储器中的第二标识的值； 其中， 所述第二标识为用于获知所述主用设备的状态信息的标识。 结合第二方面及上述第一种可能的实现方式中， 在第二种可能的实现方 式中， 所述第一标识为 message— id;

所述第二标识为 next— sendmsg— id;

所述第三标识为 next— sendmsg— id;

所述第一标识的初始值、 所述第二标识的初始值和所述第三标识的初始 值相同， 且均为 N;

相应地， 所述第一处理器还用于更新存储在所述第一存储器中的第二标 识的值， 具体为：

所述第一处理器还用于将所述第一存储器中的第二标识的值更新为 N+1 ;

所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储 器中存储的第三标识的值， 具体为：

所述第二处理器将所述第二存储器中的第三标识的值更新为 N+1。

结合第二方面及上述第二可能的实现方式， 在第三种可能的实现方式中， 所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备发送 协商 IPSec信息的第二报文， 具体为：

所述第二处理器向对端设备发送协商 IPSec信息的第二报文， 所述第二 报文中携带的第一标识的值为 N+1。

结合第二方面及上述可能的实现方式中， 在第四种可能的实现方式中， 所述第二处理器还用于向所述对端设备发送协商 IPSec信息的第三报文， 所 述第三报文中携带的第一标识的值为 N。

结合第二方面， 在第五种可能的实现方式中， 所述第二处理器用于根据 所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值之 前，

所述第一处理器用于接收所述对端设备发送的协商 IPSec信息的第一报 文， 所述第一报文中携带有第一标识；

所述第一处理器还用于更新所述第一存储器中存储的第二标识的值， 并 使所述第二处理器向第二存储器中备份所述第二标识的值。

结合第二方面及上述第五种可能的实现方式， 在第六种可能的实现方式 中， 所述第一标识为 message— id;

所述第二标识为 recv— message— id; 所述第三标识为 msgid— bk— f lag ,

所述第一标识、所述第二标识初始值均为 N,所述第三标识的初始值为 0; 相应地， 所述第一处理器更新所述第一存储器中存储的第二标识的值， 具体为：

所述第一处理器将所述第一存储器中的第二标识的值更新为 N+1； 所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储 器中存储的第三标识的值， 具体为：

所述第二处理器将所述第二存储器中的第三标识的值更新为 1。

结合第二方面及上述第六种可能的实现方式， 在第七种可能的实现方式 中， 所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备 发送协商 IPSec信息的第二报文， 具体包括：

若第三标识的值为 0,则所述第二处理器重新向对端设备发送协商 IPSec 信息的第二报文， 所述第二报文中携带的第一标识的值为 N, 且所述第二报 文中携带第一安全联盟 SA;

若第三标识的值为 1 , 则所述第二处理器将所述第三标识的值重置为 0, 将所述第二标识的值更新为 N, 并重新向所述对端设备发送协商 IPSec信息 的第二报文， 所述第二报文中携带的第一标识的值为 N, 所述第二报文携带 第二 SA。

第三方面， 本发明还提供一种通信系统， 包括上述任一所述的 IKE报文 协商的系统。

由上述技术方案可知， 本发明实施例的 IKE报文协商的方法及系统， 通 过备用设备中在接收主用设备的更新通知之后更新存储的第三标识的值， 进 而在备用设备切换为新的主用设备时， 新的主用设备根据更新的第三标识向 对端设备发送协商 IPSec信息的第二报文， 解决了现有技术中由于主用设备 和备用设备的切换导致的业务长时间中断的问题。 附图说明 为了更清楚地说明本发明的技术方案， 下面将对实施例中所需要使用的 附图作一筒单地介绍， 显而易见地： 下面附图只是本发明的一些实施例的附 图， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可 以根据这些附图获得同样能实现本发明技术方案的其它附图。 图 1 A和图 1 B为 IKEv2协议消息的交互场景图；

图 1 C和图 1 D为双机热备设备切换的场景图；

图 2A为本发明实施例所使用的协商方法的场景图；

图 2B为本发明一实施例提供的 IKE报文协商的方法的流程示意图； 图 2C为本发明另一实施例提供的 IKE报文协商的方法的流程示意图； 图 2D为本发明另一实施例提供的 IKE报文协商的方法的流程示意图； 图 3为本发明另一实施例提供的 IKE报文协商的方法的流程示意图； 图 4为本发明另一实施例提供的 IKE报文协商的方法的流程示意图； 图 5A为本发明另一实施例提供的 IKE报文协商的方法的流程示意图； 图 5B为本发明另一实施例提供的 IKE报文协商的方法的流程示意图； 图 6A为本发明另一实施例提供的 IKE报文协商的方法的场景图； 图 6B为本发明另一实施例提供的 IKE报文协商的方法的流程示意图； 图 6C为本发明另一实施例提供的 IKE报文协商的方法的流程示意图； 图 7A为本发明另一实施例提供的 IKE报文协商的系统的结构示意图； 图 7B为本发明另一实施例提供的 IKE报文协商的系统的结构示意图。 具体实施方式 为使本发明的目的、 技术方案和优点更加清楚， 下面将结合本发明实施 例中的附图， 对本发明的技术方案进行清楚、 完整地描述。 显然， 下述的各 个实施例都只是本发明一部分的实施例。 基于本发明下述的各个实施例， 本 领域普通技术人员即使没有作出创造性劳动， 也可以通过等效变换部分甚至 全部的技术特征， 而获得能够解决本发明技术问题， 实现本发明技术效果的 其它实施例， 而这些变换而来的各个实施例显然并不脱离本发明所公开的范 围。

双机热备集群（ Hot standby cluster ) , 两台物理设备之相互备份， 执行 相同的安全策略。 在双机热备集群内， 任何时间都只有一个设备与对端通信； 双机热备集群内各设备之间需要同步大量的信息和状态 （如 send— msgid 或 recv_ msgid ) ,设备之间同步不及时在出现主备切换时可能会引起业务中断。

IPSec VPN业务涉及分布于不同地域的企业或个人，当他们通过 Internet 进行通信时， 由于处于不同的物理地域， 他们之间进行通信的绝大部分流量 都需要穿越 Internet 的未知网络， 无法保证在网络上发送和接收数据的安全 性。 IPSec协议能够为处于不同物理地域的企业和用户提供一种建立和管理 安全隧道的方式， 对传输的数据提供认证和加密等服务， 防止数据在网络内 或通过公网传输时被非法查看或篡改。

现有技术中， 协商双方针对 IPSec VPN的每次协商需要有一个 request 报文和一个 response报文， 例如， 主用设备向对端设备发送第一报文（如， request报文） ， 对端设备根据所述第一报文返回响应报文（如， response 报文） ， 进而实现主用设备和对端设备之间的 IPSec信息的协商。

举例来说，如图 1 A所示， C(发起方）主动发起 message 1 (筒称 msgl ) , A (响应方 )收到 msgl后回复 message 2 (筒称 msg2 ) , 此时 A认为协商 完成， 当 C收到 msg2后认为本次协商完成。 如果 msgl或 msg2有丢包， C 在预设时间内会重传 msgl ,直到 C收到 msg2后认为本次协商完成，或者重 传一定次数之后认为本次协商失败。

在 IKEv2协商中， IKE报文头中有一个 message id字段， 同一次 IKE协 商的过程中， 发起方和响应方需匹配同一个 message— id字段。 另夕卜， 在同一 时间、 同一方向只允许发送一次 IKE · ^艮文的交互（exchange ) , 如图 1 B所 示。

C主动发起 message id为 n 的 msgl , C 匕时的 send— msgid为 n; A 收到 msgl后会进行回复 message id为 n 的 msg2, A认为协商完成； A回 复后的 recv— msgid 更新为 n+1 ; C 收到 msg2 后认为本次协商完成， send— msgid更新为 n+1。

如果 msgl或 msg2有丢包， C在指定时间内会重传 message id为 n 的 msgl直至 C收到 message id为 n 的 msg2, 或者重传一定次数后认为本次 协商失败。

IPSec双机热备场景中， B的 message id通过即时备份获得。 如图 1 C 所示， A (主用设备） 回复 C 的请求报文后， 更新 recv— msgid , 如， recv_msgid=n+1 , 并发送包括 recv— msgid的备份消息给 B (备份设备） ， 以使 B根据备份消息备份 recv_msgid=n+1。 主备设备切换后， B可以使用备 份的 recv— msgid继续此 IKE SA的后续交互 (包括 informational和 rekey ) 。

然而， 如图 1 D所示， C发起 IKE重协商消息 msg1 (msg— id = n), A收 到后认为本次协商成功， 更新 recv— msgid= n+1 , 并将 recv— msgid= η+1备份 到 B; 此时 A与 C之间通信链路中断， 发生主备切换。 C未收到回应报文， 重传 msgl给 B。 B的 recv— msgid为 n+1 , ：到 msgl (msg— id = n)后判断十办 商消息中的 msg— id与存储的 recv— msgid不一致， B可能做如下处理： a )不 回应，此时 C与 B之间的协商失败，发起方的安全联盟（ security association, 筒称 SA )硬超时删除； b )回应 Informational消息， 此时 C与 B之间的协商 失败， 发起方的 SA硬超时删除； c ) 回应重协商消息（如发送设定 B作为新 的主用设备时的响应消息） ， 此时 C与 B之间的 SA协商错误， 导致 C与 B 之间的业务中断。

对于上述 a )和 b ) 两种情况， 对端设备的 SA硬超时重新建立， 业务在 短时间内可以恢复； 对于 c ) 的情况， 协商双方 SA不一致， 业务中断。

另外， 现有技术中， RFC631 1 提出对以上问题的解决方案， 备用设备 ( standby member )作为新的主用设备 ( active member ) 需要发送消息与 对端重协商出一对新的 message id作为后续的报文的 message id使用； 先 通过 IKEV2— MESSAGE—ID— SYNC— SUPPORTED 这个载荷协商这种同步 message id的能力， 再通过 IKEV2—MESSAGEJD— SYNC 载荷协商具体的 message id值。

然而，协商双方都需要支持这种同步 message id 的能力， 支持处理以下 两 种 载 荷 IKEV2— MESSAGE— ID— SYNC— SUPPORTED 和 I KEV2_M ESS AG E— I D— S YNC。

现存得大多设备是无法支持发送和处理这两个载荷的， 进而无法解决上 述业务长时间中断的问题。 如何保证在业务不中断时实现与对端的通信成为 当前需要解决的技术问题。

本发明实施例的 IKE报文协商的方法主要应用在 IKEv2/IPSec双机热备 场景， IKEv2的协商过程中因某些原因主用设备 ( active member )发生了故 障， 主用设备和备用设备（standby member )发生切换， 备用设备变为新的 主用设备， 如何实现在新的主用设备与对端设备协商时， 新的主备用设备和 对端设备之间的业务不会发生长时间中断的问题。

为解决现有技术中的问题， 本发明实施例中提供一种 IKE报文协商的方 法， 该方法包括：

备用设备根据主用设备的更新通知更新存储的第三标识的值， 所述主用 设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的；

在备用设备切换为新的主用设备时， 所述新的主用设备根据更新的第三 标识向对端设备发送协商 IPSec信息的第二报文。

应说明的是， 上述的第三标识为备用设备中存储的用于获知主用设备的 状态信息的标识。

上述实施例中的 IKE报文协商的方法使得备用设备通过存储的第三标识 的值获知主用设备的状态信息， 进而在备用设备切换为新的主用设备时， 新 的主用设备可以根据更新的第三标识向对端设备发送协商 IPSec信息的第二 报文。

结合图 2A和图 2B所示， 图 2A示出了本发明实施例的 IKE报文协商的 方法的场景图，图 2B示出了本发明实施例的 IKE报文协商的方法的流程示意 图， 本实施例中的 IKE报文协商的方法如下所述。

201、主用设备向对端设备发送协商 IPSec信息的第一报文，所述第一报 文中携带的第一标识的值为 N ( N为自然数） 。

举例来说， 在 IKEv2 的协商过程中， 第一报文中携带的第一标识为 message— id。

202、 主用设备更新存储的第二标识的值。

在本实施例中， 第二标识为主用设备中存储的用于获知所述主用设备的 状态信息的标识。 也就是说， 在主用设备的 send— message— id未更新之前， 可以设置能够记录主用设备的中间状态的标识即第二标识， 本实施例中的第 二标识可为 next— send msg— id。

203、备用设备根据主用设备的更新通知更新存储的第三标识的值， 所述 主用设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的， 第三标识为备用设备中存储的用于获知所述主用设备的状态信息的标识。

在本实施例中主用设备的状态信息可为主用设备的中间状态的信息。 可 以理解的是， 当前， 主用设备在稳定状态会将 send— message— id 的值和 recv— message— id 的值备份至备用设备， 而主用设备中间状态的信息无法备 份至备用设备， 所以本实施例中可使备用设备中设置用于获知主用设备的中 间状态的信息的标识， 用以实现主备切换时， 备用设备及时获知主用设备的 状态。

在本实施例中， 备用设备内部的第三标识为： next— sendmsg— id。 当然， 在其他实施例中， 该处第三标识可以与第二标识不一致， 本实施例仅为举例 说明。 204、 在备用设备切换为新的主用设备后， 所述新的主用设备根据更新的 第三标识向对端设备发送协商 IPSec信息的第二报文， 该第二报文中携带的 第一标识的值为 N+1。 （ N为自然数）

在一种可选的应用场景中， 上述的 IKE报文协商的方法还可包括下述的 图中未示出的步骤 205。

205、 所述新的主用设备确认协商是否完成。

举例来说， 若新的主用设备接收到对端设备返回的回复消息， 则可认为 新的主用设备和对端设备之间的 IKE报文协商完成。

在上述实施例中， 在备用设备和主用设备切换时， 由于备用设备可根据 存储的第三报文的标识获知主用设备的状态信息， 进而能够及时的向对端设 备发送对端设备能够解析的报文， 由此， 可以保证新的主用设备和对端设备 的协商正常进行， 业务不受影响。

在一种优选的应用场景中， 为防止备用设备在切换为主用设备之后， 备 用设备和对端设备之间业务中断的问题， IKE报文协商的方法可包括上述的步 骤 201至 204, 且在步骤 204之后， 还可包括如下图中未示出的步骤 205a:

205a, 新的主用设备向对端设备发送协商 IPSec信息的第三报文， 所述 第三报文中携带的第一标识的值与第二报文中携带的第一标识的值不同。

举例来说， 若第二报文中携带的第一标识的值为 N+1 , 如 message— id=N+1 , 则第三报文中携带的第一标识的值为 N , 如 message— id=N。

可以理解的是， 该处第三报文中携带的第一标识的值可为备用设备第一 次与对端设备协商时发送的报文中的第一标识的值。

举例来说， 上述的第二报文和第三报文还包括如下信息中的一种信息： 重协商 IPSec信息、 删除链接、 新建链接和消息交换等。

由此， 本实施例中的 IKE报文协商的方法， 通过备用设备在切换为新的 主用设备之后， 发送第二报文和第三报文， 以使对端设备能够识别 /解析第二 报文和第三报文中的一个报文， 进而可有效防止新的主用设备和对端设备之 间业务中断的问题。

图 2C示出了本发明实施例的 IKE报文协商的方法的流程示意图， 如图

2C所示， 本实施例中的 IKE报文协商的方法如下所述。

根据 IKEv2 协议， 主用设备中存储有 send— message— id 和 recv— message— id;

在主用设备和对端设备之间的链路未发生异常时， 主用设备和对端设备 交互一次 IKE报文， 用以协商 SA, 以及主用设备和对端设备会在间隔一定的 时间之后再次进行新的协商。 在主用设备向对端设备发送第一报文（第一报 文中携带的标识为第一标识） ， 且接收到对端设备返回的回复消息之后， 主 用设备内部的 send— message— id的值增力口一， 即 send— message— id=N+1。

在本实施例中， 主用设备内部还设置有用于获知主用设备的状态信息的 第二标识， 也就是说， 该第二标识用于标识主用设备的中间状态的信息的标 识， next— sendmsg— id; 备用设备内部设置有第三标识， next— sendmsg— id, 该第三标识用于获知主用设备的中间状态的信息的标识。

特别地， 第一标识的初始值、 第二标识的初始值、 第三标识的初始值相 同， 均为自然数 N。

201 '、 主用设备向对端设备发送协商 IPSec信息的第一报文， 第一报文 中携带有 message— id=N。

202'、 主用设备更新存储的第二标识的值， 将第二标识的值更新为 N+1 , 即 next— sendmsg— id=N+1。

203'、主用设备向备用设备发送更新第三标识的值的更新通知，备用设备 在接收更新通知之后， 更新内部存储的第三标识的值， 将第三标识的值更新 为 N+1 , 即 next— sendmsg— id=N+1。

204'、在备用设备切换为新的主用设备之后，新的主用设备向对端设备发 送协商 IPSec信息的第二报文， 所述第二报文携带的第一标识的值为 N+1 , message— id=N+1。

需要说明的是， 主用设备和备用设备之间是通过虚拟路由器冗余协议 ( Virtual Router Redundancy Protocol, 筒称 VRRP )和 HRP协议 ( Huawei Redundancy Protocol )交互信息的， 当主用设备发生故障时， 通过 VRRP和 /或 HRP协议可实现主用设备和备用设备的切换。本实施例仅为举例说明主用 设备和备用设备的切换， 该切换可采用现有中的任意切换方式， 本实施例不 对其进行限定。

可选地， 如图 2D所示， 上述步骤 204'和步骤 204之后， 本实施例中的 IKE报文协商的方法还可包括如下的步骤 205a'。

205a'、 新的主用设备向对端设备发送协商 IPSec信息的第三报文， 所述 第三报文中携带的第一标识的值为 N, message— id=N。

举例来说， 上述的第二请求报文和第三请求报文还包括如下信息中的一 种信息：

重协商 IPSec信息、 删除链接、 新建链接和消息交换。

由上述实施例可知， 本发明实施例的 IKE报文协商的方法， 通过备用设 备中在接收主用设备的更新通知之后更新存储的第三标识的值， 进而在备用 设备切换为新的主用设备时， 新的主用设备根据更新的第三标识向对端设备 发送协商 IPSec信息的第二报文， 解决了现有技术中由于主用设备和备用设 备的切换导致的业务长时间中断的问题。

如图 3所示， 图 3示出了本发明实施例的 IKE报文协商的方法的流程示 意图， 本实施例中的 IKE报文协商的方法如下文所述。

301、 主用设备中存储有 next— send— msgid 和 send— msgid , 且 send— msgid的初始值与 next— send— msgid的初始值相同， 均为 N; 备用设 备中存储有 next— send— msgid, next— send— msgid的初始值也为 N。

302、 主用设备向对端设备发送第一报文（request报文）， 第一报文中携 带 message— id=N。

303、 主用设备将内部存储的 next— send— msgid 的值更新， 如 next— send— msgid=N+1 , 同时， 向备用设备发送更新 next— send— msgid的更 新通知。

304、 备用设备根据更新通知更新内部存储的 next— send— msgid 的值， 即 next— send— msgid=N+1。

305、若主用设备和对端设备的通信链路发生异常，或主用设备出现故障， 主用设备和备用设备进行切换， 备用设备切换为新的主用设备。

306、 新的主用设备查看内部的 send— msgid 的值与 next— send— msgid 的值是否一致， 若不一致， 则执行步骤 307, 否则， 执行步骤 308。

其中， 备用设备切换为新的主用设备时， 新的主用设备中的 send— msgid=N, next— send— msgid=N+1。

307、 若步骤 306中的 send— msgid的值与 next— send— msgid的值不一 致， 则向对端设备发送第二报文和第三报文。

在本实施例中， 第二报文携带的 message— id=N+1； 第三报文携带的 message— id=N。 需要说明的是， message— id的初始值和 send— msgid的初始值是一致的。 通过发送第二报文和第三报文， 使得对端设备能够识别 /解析上述报文中 的一个， 避免对端设备无法识别 /解析新的 Active member发送的请求报文而 导致的业务中断的现象出现。

通常， 第二报文和第三报文可包括重协商 IPSec信息的信息， 以使对端 设备在接收上述报文之后， 和新的主用设备重新协商新的 SA。

308、 若步骤 306中的 send— msgid的值与 next— send— msgid的值一致， 则向对端设备发送第三报文。

例如， send— msgid=N, next— send— msgid=N, 或者， send— msgid=N+1 , next— send— msgid=N+1。

也就是说, ^口果 send— msgid的值与 next— send— msgid+1的值——致， 么新的主用设备就正常发送 IKE协商的请求报文， 可以不发送第二报文， 只 需要把新的主用设备当前要发送的报文直接发送出去就可以了。

在本实施例中， 在出现上述异常情况时， 备用设备还可以采用两次探测 的方法， 可以优先使用携带 message— id=N+1作为报文序列号发送， 再使用 message— id=N 作为报文序列号发送两次探测， 确保对端设备能正确处理新 的主用设备发送的报文， 解决了现有技术的 IKEv2的协商过程中的协商双方 message id不一致情况后， 后续的协商可能再也无法进行， 导致长时间的业 务中断的问题。

如图 4所示， 图 4示出了本发明实施例的 IKE报文协商的方法的流程示 意图， 本实施例中的 IKE报文协商的方法如下文所述。

401、主用设备接收所述对端设备发送的协商 IPSec信息的第一报文，所 述第一报文中携带有第一标识。

402、 主用设备更新其存储的第二标识的值， 并使所述备用设备备份所述 第二标识的值。

403、 主用设备更新存储的第二标识的值之后向备用设备发送更新通知， 备用设备根据主用设备的更新通知更新存储的第三标识的值， 所述第三标识 为所述备用设备中存储的用于获知所述主用设备的状态信息的标识。

404、 当主用设备和对端设备的通信链路发生异常， 或主用设备出现故障 时， 主用设备和备用设备进行切换， 备用设备切换为新的主用设备。 新的主 用设备根据更新的第三标识向对端设备发送协商 IPSec信息的第二报文。 若第三标识的值为 0, 则重新向对端设备发送协商 IPSec信息的第二报 文， 所述第二报文中携带的第一标识的值为 N, 且所述第二报文中携带第一 SA;

若第三标识的值为 1 , 则将所述第三标识的值重置为 0, 将所述第二标识 的值更新为 N, 并重新向所述对端设备发送协商 IPSec信息的第二报文， 所 述第二报文中携带的第一标识的值为 N, 所述第二报文携带第二 SA。

在本实施例中， 第一标识可为 message— id； 第二标识可为 recv— message— id; 第三标识可为 msgid— bk— flag,

第一标识、 所述第二标识初始值均为 N ( N为自然数）， 所述第三标识的 初始值为 0。

同理， 步骤 402中， 主用设备可将存储的第二标识的值更新为 N+1 ; 在 步骤 403中， 备用设备可将存储的第三标识的值更新为 1。

在本实施例中， 备用设备在切换为新的主用设备时， 可以根据第三标识 的值相适应向对端设备发送报文， 可以使得新的主用设备发送的报文能够使 对端设备解析， 进而解决现有技术的 IKEv2 的协商过程中的协商双方 message id不一致情况后， 后续的协商可能再也无法进行， 导致长时间的业 务中断的问题。

如图 5a所示， 图 5a示出了本发明实施例的 IKE报文协商的方法的流程 示意图， 本实施例中的 IKE报文协商的方法如下文所述。

在本实施例中， 根据 IKEv2协议， 主用设备内部存在 send— message— id 和 recv— message— id, 其初始值均可为 N, N为自然数。

在主用设备和对端设备之间的链路未发生异常时， 主用设备和对端设备 交互一次 IKE报文， 用以协商建立 SA, 以及主用设备和对端设备会在间隔一 定的时间之后进行新的协商。 在主用设备接收到对端设备发送的第一报文， 贝 夺 recv— message— id ό 值更新 recv— message— id=N+1 ,主用设备向对端 设备返回响应 文， 对端设备接收响应 文之后将内部存储的 send— message— id更新为 N+1。 第一报文中携带第一标识即 message— id。

在本实施例中， 主用设备内部的接收标识 recv— message— id即为第二标 识，且在备用设备内部设置第三标识 msgid— bk— flag;第三标识的初始值为 0。

可选地， 主用设备中也可设置有第三标识即 msgid— bk— flag。

501、主用设备接收所述对端设备发送的协商 IPSec信息的第一报文，所 述第一报文中携带有第一标识， message— id=N, N为自然数。

502、 主用设备更新其存储的第二标识的值， recv— message— id=N+1 , 并通知所述备用设备备份所述第二标识的值，即备份 recv— message— id=N+1。

503、 主用设备向备用设备发送更新第三标识的更新通知， 备用设备根据 主用设备的更新通知更新内部第三标识的值， msgid— bk— flag=0+1。

504、 当主用设备和对端设备的通信链路发生异常， 或主用设备出现故障 时， 主用设备和备用设备进行切换， 备用设备切换为新的主用设备， 此时， 若第三标识的值为 0, 则重新向对端设备发送协商 IPSec信息的第二报文， 所述第二报文中携带的第一标识的值为 N, 且所述第二报文中携带第一 SA; 若第三报文标识的值为 1 , 则将所述第三标识的值重置为 0, 将所述第二 标识的值更新为 N,并重新向所述对端设备发送协商 IPSec信息的第二报文， 所述第二报文中携带的第一标识的值为 N, 所述第二报文携带第二 SA。

在本实施例中， 第一 SA和第二 SA是不同的， 第一 SA可为原主用设备 预发送的 SA。

其中， 所述第三标识为所述备用设备中设置的用于获知所述主用设备的 状态信息的标识。

如图 5B所示， 图 5B示出了本发明实施例的 IKE报文协商的方法的流程 示意图， 本实施例中的 IKE报文协商的方法如下文所述。

本实施例中， recv— message— id的初始值为 N。

511、主用设备接收对端设备发送的协商 IPSec信息的第一报文， 所述第 一报文中携带有第一标识， message— id=N, N为自然数。

512、主用设备生成第二报文，所述第二报文为所述第一报文的响应报文， 第二报文中携带的第一标识的值为 N, 即 message— id=N, 且所述第二报文 中携带第一 SA;

更新其存储的第二标识的值， recv— message— id=N+1 , 并

通知备用设备备份所述第二标识的值， 即备份 recv— message— id=N+1。

513、 主用设备向备用设备发送更新第三标识的更新通知， 备用设备根据 主用设备的更新通知更新内部第三标识的值， msgid— bk—flag=1。

514、 主用设备向对端设备返回响应报文， 即所述第二报文。

515、 主用设备向备用设备发送更新第三标识的更新通知， 备用设备根据 主用设备的更新通知更新内部第三标识的值， msgid— bk—flag=0。 主用设备在对接收到的报文进行处理的过程中 （是指接收到第一报文， 但尚未发送完第一报文对应的响应报文第二报文之间的时间段 ), 通过发送更 新通知， 使得备用设备将第三标识的值置为 1 , 即 msgid— bk— flag=1。 主用设 备在对接收到的报文处理结束后 （是指发送完第一报文对应的响应报文第二 报文之后）， 通过再次发送更新通知， 使得备用设备将第三标识的值置为 0, 即 msgid— bk—flag=0。

516、 当主用设备和对端设备的通信链路发生异常， 或主用设备出现故障 时， 主用设备和备用设备进行切换， 备用设备切换为新的主用设备。 主用设 备和备用设备的切换可以发生在主用设备对接收到的报文进行处理的过程 中， 也有可能发生在主用设备对接收到的报文处理结束之后。 根据切换发生 时机执行对应的处理。

发生切换时， 若第三标识的值为 0 (即原有主用设备对接收到的报文处理 结束之后， 在稳定状态）， 则新的主用设备重新向对端设备发送协商 IPSec信 息的第二报文， 所述第二报文中携带的第一标识的值为 N, 且所述第二报文 中携带第一 SA, 该第一 SA是原主用设备同步到新的主用设备中的；

若第三标识的值为 1 (即原有主用设备对接收到的报文进行处理的过程 中， 在中间状态）， 则新的主用设备将所述第三标识的值重置为 0, 将所述第 二标识的值更新为 N, 并生成第三报文， 所述第三报文中携带的第一标识的 值为 N, 所述第三报文携带第二 SA。

本实施例中的 IKE报文协商的方法提高了 IPSec双机热备的高可靠性， 解决了现有技术的 IKEv2的协商过程中的协商双方 message id不一致情况 后， 后续的协商可能再也无法进行， 导致长时间的业务中断的问题， 进而协 商双方保证后续协商正常进行。

如图 6A和图 6B所示， 图 6A示出了 IKE报文协商的方法的场景图， 图 6B示出了本发明实施例的 IKE报文协商的方法的流程示意图， 本实施例中的 IKE报文协商的方法如下文所述。

本实施例中， 在主用设备和备用设备中同时增加 msgid— bk— flag的标识， 即第三标识。

601 、 C (对端设备） 向 A (主用设备）发起 msgl (第一报文） ， msgl 中包含 message id, message id的值为 0。

602、 A收到 msgl之后， 生成 SA1 (第一 SA ) , 更新 recv— msgid的 值， 并使 B (备用设备）备份更新后的 recv— msgid, 同时向 B发送更新通知， 使 B根据更新通知更新 msgid— bk— flag的值， 即 msgid— bk—flag=1。

此时， B中 msgid— bk— flag=1 , recv— msgid=N+1 .

本实施例中，更新 msgid— bk— flag的值为： 将 msgid— bk— flag的初始值增 力。 1。 其中， msgid— bk— flag的初始值为 0, recv— msgid的初始值为 N ( N为 自然数） 。

603、 若此时 A与 C的通信接口的物理链路中断或 A发生故障， 引起主 备切换， B变为新的主用设备， A变为新的备用设备，此时 C并没有收到 msgl 的响应消息； 如果 C在间隔预设时间内还没有收到 msgl 的响应消息， 重新 发送携带 message id=0的 msgl。

604、 B在接收到 C发送的 msgl之后， 查看 message id的值和存储的 recv— msgid的值是否一致， 若确定 message id的值小于 recv— msgid的值， 则确定 msgl为重传消息，

进一步， 判断 msgid— bk— flag的值， 若 msgid— bk— flag的值为 1 , 则将原 recv— msgid的值减一， 即' f灰复 recv— msgid 的初始值， 并^¹ msgid— bk— flag 置 0, 生成新的 SA2 (如图 6A中的 SA2, 即第二 SA ) , 并向 C发送响应消 息（如图 6A中的 msgO ) ；

判断 msgid— bk— flag的值，若 msgid— bk— flag的值为 0,则重传 B作为主 用设备时发送的响应消息， 该响应消息为新的主用设备应该发送的响应消息， 所述响应消息中包括 SA1 (即第一 SA ) 。

605、 C接收 msgl的响应消息， 更新 send— msgid的值， 生成 SA2; 协 商成功。

如图 6C示出了本发明实施例的 IKE报文协商的方法的流程示意图，本实 施例中的 IKE报文协商的方法如下文所述。

本实施例中， 在备用设备中增加 msgid— bk— flag的标识， 即第三标识。 61 1 、 C (对端设备） 向 A (主用设备 )发起 msgl (第一报文） ， msgl 中包含 message id, message id的值为 N。

612、 A收到 msgl之后， 根据 recv— msgid, 生成 SA1 (第一 SA ) , 生 成对应的响应艮文 msg2, msg2的 message— id=N。

更新 recv— msgid的值， 并使 B (备用设备）备份更新后的 recv— msgid, 同时向 B发送更新通知， 使 B根据更新通知更新 msgid— bk— flag 的值， 即 msgid— bk—flag=1。

此时， B中 msgid— bk— flag=1 , recv— msgid=N+1 .

本实施例中， 由于是 Α在处理 msgl 的过程中对 msgid— bk— flag的值进 行更新，所以更新 msgid— bk— flag的值为：将 msgid— bk— flag的值置 1。其中， msgid— bk— flag的初始值为 0, recv— msgid的初始值为 N ( N为自然数 ) 。

如果此时未发生主备切换， 则继续执行 613。 若发生主备切换， 则进入 步骤 614。

613、 A向对端设备返回响应报文 msg2。 同时向 B发送更新通知， 使 B 根据更新通知更新 msgid— bk— flag的值， 即 msgid— bk—flag=0。

若未发生主备切换， 则 A等待接收 C发来的下一个请求报文， 对 C发来 的下一个请求报文重复执行与 611 类似的处理， 在这里不再赘述， 本实施例 仅以一个报文的处理周期为例， 对其中不同 P介段发生的主备切换进行描述。 若发生主备切换， 则进入步骤 618。

614、 此时 C并没有收到 msgl 的响应消息； 如果 C在间隔预设时间内 还没有收到 msgl的响应消息， 重新发送携带 message id=0的 msg1。

615、 B在接收到 C重发的 msgl之后， 查看 message id的值和存储的 recv— msgid的值是否一致， 若确定 message id的值 ( N ) 小于 recv— msgid 的值（N+1 ) , 则确定 msgl为重传消息。

616、 B 判断 msgid— bk— flag 的值， 若 msgid— bk— flag 的值为 1 , 将 msgid— bk— flag置 0, 并^!夺原 recv— msgid的值减一， 即' I"灰复 recv— msgid 的 初始值 N, 生成 SA2 (如图 6A中的 SA2, 即第二 SA ) , 并向 C发送响应消 息携带 SA2, 如 msg3。

617、 C接收 msgl的响应消息 msg3,更新 send— msgid的值，生成 SA2; 协商成功。

618、如果 C在间隔预设时间内还没有收到 msgl的响应消息， 重新发送 携带 message id=0的 msg1。 如果 C收到了 msg2, 则可以发送下一个请求 报文， B等待接收 C发来的下一个请求报文， 对 C发来的下一个请求报文进 行处理， 在这里不再重复。

619、 B在接收到 C发送的 msgl后， 查看 msgl的 message id的值和 存储的 recv— msgid的值是否一致， 若 msgl 的 message id的值 ( N ) 小于 recv— msgid的值 ( N+1 ) , 则确定 msgl为重传消息。

620、 B生成 msg2, 重传 A作为主用设备时发送的响应消息 msg2, 所 述响应消息中包括从 A同步来的 SA1 (即第一 SA ) 。

621 X接收 msgl的响应消息 msg2,更新 send— msgid的值，生成 SA1； 协商成功。

上述 IKE报文协商的方法， 解决了 IPSEC双机热备场景， IKE重协商过 程中主备切换可能引起的协商双方 SA中的 msgid不匹配， 业务中断问题。

根据本发明的另一方面， 本发明还提供一种 IKE报文协商的系统， 如图 7A和图 7B所示， IKE报文协商的系统包括： 主用设备 71和备用设备 72, 所述主用设备 71 包括： 第一处理器 711和第一存储器 712; 所述备用设 备 72包括： 第二处理器 721和第二存储器 722;

需要说明的是， 第一存储器 712存储有第二标识， 第二存储器 722中存 储有第三标识。

所述第二处理器 721用于根据所述第一处理器 711 的更新通知更新所述 第二存储器 722中存储的第三标识的值， 所述第一处理器 711 的更新通知为 所述第一处理器 711 更新所述第一存储器 712中存储的第二标识的值之后发 送的；

在所述备用设备 72切换为新的主用设备时，所述第二处理器 721用于根 据所述第二存储器 722中更新的第三标识向对端设备发送协商 IPSec信息的 第二报文；

其中， 所述第二存储器中的第三标识为用于获知所述主用设备的状态信 息的标识。

在一种应用场景中， 如图 7A所示， 上述的 IKE报文协商的系统作为 IKE 报文协商中的主动发送者时， 在第二处理器 721用于根据第一处理器 711 的 更新通知更新所述第二存储器 722中存储的第三标识的值之前，

所述第一处理器 711用于向所述对端设备发送协商 IPSec信息的第一报 文， 所述第一报文中携带有第一标识；

所述第一处理器 711还用于更新存储在所述第一存储器 712中的第二标 识的值；

其中， 所述第二标识为用于获知所述主用设备 71的状态信息的标识。 举例来说，第一标识为 message— id;所述第二标识为 next— sendmsg— id; 所述第三标识为 next— sendmsg— id。

另外， 第一标识的初始值、 所述第二标识的初始值和所述第三标识的初 始值相同， 且均为 N;

相应地， 所述第一处理器 711还用于更新存储在所述第一存储器 712中 的第二标识的值， 具体为：

所述第一处理器 711还用于将所述第一存储器 712中的第二标识的值更 新为 N+1 ;

所述第二处理器 721用于根据所述第一处理器 711 的更新通知更新所述 第二存储器 722中存储的第三标识的值， 具体为：

所述第二处理器 721 将所述第二存储器 722 中的第三标识的值更新为

N+1。

可选地， 第二处理器 721用于根据所述第二存储器 722中更新的第三标 识向对端设备发送协商 IPSec信息的第二报文， 具体为：

所述第二处理器 722向对端设备发送协商 IPSec信息的第二报文， 所述 第二报文中携带的第一标识的值为 N+1。

在一种优选的应用场景中， 第二处理器 721 还用于向所述对端设备发送 协商 IPSec信息的第三报文， 所述第三报文中携带的第一标识的值为 N。

上述的 IKE报文协商的系统作为 IKE报文协商中的主动发送者时， 可有 效解决现有技术中 IKEV2的协商过程中的协商双方第一标识的值不一致时， 后续的协商可能再也无法进行， 导致长时间的业务中断的问题。

在另一应用场景中， 上述的 IKE报文协商的系统作为 IKE报文协商中的 被动接收者时， 如图 7B所示， 第二处理器 721用于根据所述第一处理器 711 的更新通知更新所述第二存储器 722中存储的第三标识的值之前，

所述第一处理器 711用于接收所述对端设备发送的协商 IPSec信息的第 一报文， 所述第一报文中携带有第一标识；

所述第一处理器 711还用于更新所述第一存储器 712中存储的第二标识 的值，并使所述第二处理器 721向第二存储器 722中备份所述第二标识的值。

举例来说， 所述第一标识为 message— id； 所述第二标识为 recv— message— id; 所述第三标识为 msgid— bk— flag, 第一标识、 所述第二标 识初始值均为 N, 所述第三标识的初始值为 0;

相应地， 所述第一处理器 711 更新所述第一存储器 712中存储的第二标 识的值， 具体为：

所述第一处理器 711 将所述第一存储器 712 中的第二标识的值更新为 N+1 ;

所述第二处理器 721用于根据所述第一处理器 711 的更新通知更新所述 第二存储器 722中存储的第三标识的值， 具体为：

所述第二处理器 721将所述第二存储器 722中的第三标识的值更新为 1。 进一步地， 第二处理器 721用于根据所述第二存储器 722中更新的第三 标识向对端设备发送协商 IPSec信息的第二报文， 具体包括：

若第三标识的值为 0, 则所述第二处理器 721 重新向对端设备发送协商 IPSec信息的第二报文，所述第二报文中携带的第一标识的值为 N,且所述第 二报文中携带第一安全联盟 SA;

若第三标识的值为 1 , 则所述第二处理器 721 将所述第三标识的值重置 为 0, 将所述第二标识的值更新为 N, 并重新向所述对端设备发送协商 IPSec 信息的第二报文， 所述第二报文中携带的第一标识的值为 N, 所述第二报文 携带第二 SA。

上述的 IKE报文协商的系统作为 IKE报文协商中的被动接收者时， 可有 效解决现有技术中 IKEV2的协商过程中的协商双方第一标识的值不一致时， 后续的协商可能再也无法进行， 导致长时间的业务中断的问题。

根据本发明的再一方面， 本发明实施例还提供一种通信系统， 包括上述 本发明任意所述的 IKE报文协商的系统。

本领域普通技术人员可以理解： 实现上述各方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成。 前述的程序可以存储于一计算机可 读取存储介质中。 该程序在执行时， 执行包括上述各方法实施例的步骤； 而 前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码 的介质。

最后应说明的是： 以上各实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述各实施例对本发明进行了详细的说明， 本领域的普通 技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分或者全部技术特征进行等同替换； 而这些修改或者替换， 并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权 利 要 求

1、 一种 IKE报文协商的方法， 其特征在于， 包括：

备用设备根据主用设备的更新通知更新存储的第三标识的值， 所述主用 设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的；

在备用设备切换为新的主用设备时， 所述新的主用设备根据更新的第三 标识向对端设备发送协商互联网协议安全性 IPSec信息的第二报文；

其中， 所述第三标识为所述备用设备中存储的用于获知所述主用设备的 状态信息的标识。

2、 根据权利要求 1所述的方法， 其特征在于， 所述备用设备根据主用设 备的更新通知更新存储的第三标识的值的步骤之前， 还包括：

主用设备向所述对端设备发送协商 IPSec信息的第一报文， 所述第一报 文中携带有第一标识；

所述主用设备更新存储的第二标识的值；

其中， 所述第二标识为所述主用设备中存储的用于获知所述主用设备的 状态信息的标识。

3、 根据权利要求 2所述的方法， 其特征在于，

所述第一标识为 message— id;

所述第二标识为 next— sendmsg— id;

所述第三标识为 next— sendmsg— id;

所述第一标识的初始值、 所述第二标识的初始值和所述第三标识的初始 值相同， 且均为 N;

相应地， 所述主用设备更新存储的第二标识的值， 具体为：

所述主用设备将存储的第二标识的值更新为 N+1 ;

所述备用设备根据主用设备的更新通知更新存储的第三标识的值， 具体 为：

所述备用设备将存储的第三标识的值更新为 N+1。

4、 根据权利要求 3所述的方法， 其特征在于，

所述新的主用设备根据更新的第三标识向对端设备发送协商 IPSec信息 的第二报文， 具体为：

所述新的主用设备向对端设备发送协商 IPSec信息的第二报文， 所述第 二报文中携带的第一标识的值为 N+1。

5、 根据权利要求 1至 4任一所述的方法， 其特征在于， 还包括： 所述新的主用设备向所述对端设备发送协商 IPSec信息的第三报文， 所 述第三报文中携带的第一标识的值为 N。

6、 根据权利要求 1所述的方法， 其特征在于， 所述备用设备根据主用设 备的更新通知更新内部第三标识的值的步骤之前， 还包括：

所述主用设备接收所述对端设备发送的协商 IPSec信息的第一报文， 所 述第一报文中携带有第一标识；

所述主用设备生成所述第二报文， 所述第二报文为所述第一报文的响应 报文；

所述主用设备更新其存储的第二标识的值， 并使所述备用设备备份所述 第二标识的值。

7、 根据权利要求 6所述的方法， 其特征在于，

所述第一标识为 message— id;

所述第二标识为 recv— message— id;

所述第三标识为 msgid— bk— f lag ,

所述第一标识、所述第二标识初始值均为 Ν,所述第三标识的初始值为 0; 相应地， 所述主用设备更新存储的第二标识的值， 具体为：

所述主用设备将存储的第二标识的值更新为 Ν+1 ;

所述备用设备根据所述主用设备的更新通知更新内部第三标识的值， 具 体为：

所述备用设备将存储的第三标识的值更新为 1。

8、 根据权利要求 7所述的方法， 其特征在于，

所述新的主用设备根据所述第二存储器中更新的第三标识向对端设备发 送协商 IPSec信息的第二报文， 具体包括：

若第三标识的值为 1 , 则新的主用设备将所述第三标识的值重置为 0, 将 所述第二标识的值更新为 N, 并生成第三报文， 所述第三报文中携带的第一 标识的值为 N, 所述第三报文携带第二 SA。

9、 根据权利要求 7所述的方法， 其特征在于， 所述在备用设备切换为新 的主用设备之前， 还包括： 所述主用设备将所述第二报文发送给对端设备， 所述第二报文携带的第 一标识的值为 N, 且所述第二报文中携带第一安全联盟 SA;

所述备用设备根据所述主用设备的更新通知将存储的第三标识的值更新 为 0;

所述新的主用设备根据更新的第三标识向对端设备发送协商 IPSec信息 的第二报文， 具体包括：

若第三标识的值为 0,则新的主用设备重新向所述对端设备发送所述第二 报文。

10、 根据权利要求 7所述的方法， 其特征在于，

所述新的主用设备根据更新的第三标识向对端设备发送协商 IPSec信息 的第二报文， 具体包括：

若第三标识的值为 0, 则重新向对端设备发送协商 IPSec信息的第二报 文， 所述第二报文中携带的第一标识的值为 N, 且所述第二报文中携带第一 安全联盟 SA;

若第三标识的值为 1 , 则将所述第三标识的值重置为 0, 将所述第二标识 的值更新为 N, 并重新向所述对端设备发送协商 IPSec信息的第二报文， 所 述第二报文中携带的第一标识的值为 N, 所述第二报文携带第二 SA。

11、 一种 IKE报文协商的系统， 其特征在于， 包括： 主用设备和备用设 备，

所述主用设备包括： 第一处理器和第一存储器； 所述备用设备包括： 第 二处理器和第二存储器；

所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储 器中存储的第三标识的值， 所述第一处理器的更新通知为所述第一处理器更 新所述第一存储器中存储的第二标识的值之后发送的；

在所述备用设备切换为新的主用设备时， 所述第二处理器用于根据所述 第二存储器中更新的第三标识向对端设备发送协商互联网协议安全性 I PSec 信息的第二报文；

其中， 所述第二存储器中的第三标识为用于获知所述主用设备的状态信 息的标识。

12、 根据权利要求 11所述的系统， 其特征在于， 所述第二处理器用于根 据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值之 所述第一处理器用于向所述对端设备发送协商 IPSec信息的第一报文， 所述第一报文中携带有第一标识；

所述第一处理器还用于更新存储在所述第一存储器中的第二标识的值； 其中， 所述第二标识为用于获知所述主用设备的状态信息的标识。

13、 根据权利要求 12所述的系统， 其特征在于，

所述第一标识为 message— id;

所述第二标识为 next— sendmsg— id;

所述第三标识为 next— sendmsg— id;

所述第一标识的初始值、 所述第二标识的初始值和所述第三标识的初始 值相同， 且均为 N;

相应地， 所述第一处理器还用于更新存储在所述第一存储器中的第二标 识的值， 具体为：

所述第一处理器还用于将所述第一存储器中的第二标识的值更新为 N+1 ;

所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储 器中存储的第三标识的值， 具体为：

所述第二处理器将所述第二存储器中的第三标识的值更新为 N+1。

14、 根据权利要求 13所述的系统， 其特征在于， 所述第二处理器用于根 据所述第二存储器中更新的第三标识向对端设备发送协商 IPSec信息的第二 报文， 具体为：

所述第二处理器向对端设备发送协商 IPSec信息的第二报文， 所述第二 报文中携带的第一标识的值为 N+1。

15、 根据权利要求 11至 14任一所述的系统， 其特征在于， 所述第二处 理器还用于向所述对端设备发送协商 IPSec信息的第三报文， 所述第三报文 中携带的第一标识的值为 N。

16、 根据权利要求 11所述的系统， 其特征在于， 所述第二处理器用于根 据所述第一处理器的更新通知更新所述第二存储器中存储的第三标识的值之 前，

所述第一处理器用于接收所述对端设备发送的协商 IPSec信息的第一报 文， 所述第一报文中携带有第一标识； 所述第一处理器还用于生成所述第二报文， 所述第二报文为所述第一报 文的响应报文； 更新所述第一存储器中存储的第二标识的值， 并使所述第二 处理器向第二存储器中备份所述第二标识的值。

17、 根据权利要求 16所述的系统， 其特征在于，

所述第一标识为 message— id;

所述第二标识为 recv— message— id;

所述第三标识为 msgid— bk— f lag ,

所述第一标识、所述第二标识初始值均为 Ν,所述第三标识的初始值为 0; 相应地， 所述第一处理器更新所述第一存储器中存储的第二标识的值， 具体为：

所述第一处理器将所述第一存储器中的第二标识的值更新为 Ν+1； 所述第二处理器用于根据所述第一处理器的更新通知更新所述第二存储 器中存储的第三标识的值， 具体为：

所述第二处理器将所述第二存储器中的第三标识的值更新为 1。

18、 根据权利要求 17所述的系统， 其特征在于，

所述第二处理器用于根据更新的第三标识向对端设备发送协商 IPSec信 息的第二报文， 具体包括：

若第三标识的值为 1 , 则所述第二处理器将所述第三标识的值重置为 0, 将所述第二标识的值更新为 N, 并生成第三报文， 所述第三报文中携带的第 一标识的值为 N, 所述第三报文携带第二 SA。

19、 根据权利要求 17所述的系统， 其特征在于， 所述在备用设备切换为 新的主用设备之前， 所述第一处理器还用于将所述第二报文发送给对端设备， 所述第二报文携带的第一标识的值为 N, 且所述第二报文中携带第一安全联 盟 SA; 所述第二处理器还用于根据所述主用设备的更新通知将存储的第三标 识的值更新为 0;

所述第二处理器用于根据更新的第三标识向对端设备发送协商 IPSec信 息的第二报文， 具体包括：

若第三标识的值为 0,则所述第二处理器重新向所述对端设备发送所述第 二报文。

20、 根据权利要求 17所述的系统， 其特征在于，

所述第二处理器用于根据所述第二存储器中更新的第三标识向对端设备 发送协商 IPSec信息的第二报文， 具体包括：

若第三标识的值为 0,则所述第二处理器重新向对端设备发送协商 IPSec 信息的第二报文， 所述第二报文中携带的第一标识的值为 N, 且所述第二报 文中携带第一安全联盟 SA;

若第三标识的值为 1 , 则所述第二处理器将所述第三标识的值重置为 0, 将所述第二标识的值更新为 N, 并重新向所述对端设备发送协商 IPSec信息 的第二报文， 所述第二报文中携带的第一标识的值为 N, 所述第二报文携带 第二 SA。

21、 一种通信系统， 其特征在于， 包括上述权利要求 11至 20任一所述 的 IKE报文协商的系统。