一种ike协商异常的处理方法

文档序号:7860219阅读:2930来源:国知局
专利名称:一种ike协商异常的处理方法
技术领域
本发明涉及通信技术领域,具体涉及一种IKE协商异常的处理方法。
背景技术
因特网协议安全(IPSec)是一种由IETF (Internet Engineering Task Force)设计的端到端的确保因特网IP层通信安全的机制,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥交换协议(IKE)和用于网络认证及加密的一些算法等。其中,因特网密钥交换(IKE)的过程分为第一阶段协商和第二阶段协商两部分,在协商中,网络两端设备需要进行报文的交互,这些报文用于交换和确认配置、认证、密钥信息等。在实际交换过程中,当两端设备配置信息不一致或配置信息错误的情况下,会出现下面两个问题1)一端不断主动发起报文协商,另一端不断进行错误回复,造成网络上短时间 内出现大量的协商报文,而实际上这些报文都是不必要的;2) IPSec隧道建立通常需要两端设备进行6次以上的报文交互,有可能最后一个报文出现了错误,由于两端协商需要创建动态IPSec隧道状态机,会占用系统的内存资源和最大IPSec隧道数资源。

发明内容
(一)要解决的技术问题本发明主要解决当IKE协商异常时,协商报文依然不断发送,过多占用网络资源和系统内存资源的技术问题。(二)技术方案本发明提供了一种IKE协商异常的处理方法,包括以下步骤A、发送端发起协商报文;B、如果出现异常,则接收端回应发送端异常信息报文,并将接收端在第一设定时间内标记为未激活状态;C、所述发送端接收到上述异常信息报文后,将发送端在第二设定时间内标记为未激活状态。其中,所述步骤A中的协商报文携带配置信息,所述配置信息包括加密密钥和协商策略。进一步的,所述异常为配置信息错误或发送端和接收端的配置信息不匹配。进一步的,在步骤B之后,还包括以下步骤接收端在所述第一设定时间后,恢复到激活状态。进一步的,在步骤C之后,还包括以下步骤发送端在所述第二设定时间后,恢复到激活状态。可选的,步骤B中,所述第一设定时间为I分钟。可选的,步骤C中,所述第二设定时间为I分钟。(三)有益效果
本发明提供了一种IKE协商异常的处理方法,当IKE协商异常时,该方法能够阻止协商报文不断地发送,避免过多占用网络资源和系统内存资源。


图I是本发明方法的流程图;图2是本发明实施例的流程图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图I是本发明方法的流程图,包括以下步骤A、发送端发起协商报文;B、如果出现异常,则接收端回应发送端异常信息报文,并将接收端在第一设定时间内标记为未激活状态;C、所述发送端接收到上述异常信息报文后,将发送端在第二设定时间内标记为未激活状态。其中,所述步骤A中的协商报文携带配置信息,所述配置信息包括加密密钥和协商策略。进一步的,所述异常为配置信息错误或发送端和接收端的配置信息不匹配。进一步的,在步骤B之后,还包括以下步骤接收端在所述第一设定时间后,恢复到激活状态。进一步的,在步骤C之后,还包括以下步骤发送端在所述第二设定时间后,恢复到激活状态。可选的,步骤B中,所述第一设定时间为I分钟。可选的,步骤C中,所述第二设定时间为I分钟。以使用IPSec隧道配置的网络系统为例,本发明方法的具体实施步骤如图2所示步骤SI,两个网络设备进行IPSec隧道配置。步骤S2,当以流量触发建立IPSec隧道或者手动触发建立IPSec隧道时,其中一个网络设备作为发送端发起IKE协商报文进行协商。步骤S3,另一个网络设备作为接收端对此协商报文中携带的配置信息进行判断,如果配置信息错误(此处所说的配置信息包括加密密钥和协商策略),则接收端回应发送端异常信息报文,并将接收端的IPSec隧道设备标记为未激活状态I分钟(此时间可以手动设置),I分钟后隧道状态会恢复,或者可以人为手动激活。接收端设备在未激活状态下接收到的协商报文将直接被丢弃,不进行隧道的初次建立和配置信息判断等过程。步骤S4,发送端接收到来自接收端的异常信息报文后,也将发送端的IPSec隧道设备标记为未激活状态I分钟(此时间可手动设置),这I分钟内不发起主动协商报文,I分钟后隧道状态会恢复,或者可以人为手动激活。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和 替换也应视为本发明的保护范围。
权利要求
1.ー种IKE协商异常的处理方法,其特征在于,包括以下步骤 A、发送端发起协商报文; B、如果出现异常,则接收端回应发送端异常信息报文,并将接收端在第一设定时间内标记为未激活状态; C、所述发送端接收到上述异常信息报文后,将发送端在第二设定时间内标记为未激活状态。
2.如权利要求I所述的处理方法,其特征在于,所述步骤A中的协商报文携帯配置信息,所述配置信息包括加密密钥和协商策略。
3.如权利要求2所述的处理方法,其特征在干,所述异常为配置信息错误或发送端和接收端的配置信息不匹配。
4.如权利要求I所述的处理方法,其特征在于,在步骤B之后,进ー步包括以下步骤 接收端在所述第一设定时间后,恢复到激活状态。
5.如权利要求I所述的处理方法,其特征在于,在步骤C之后,进ー步包括以下步骤 发送端在所述第二设定时间后,恢复到激活状态。
6.如权利要求I所述的处理方法,其特征在于,步骤B中,所述第一设定时间为I分钟。
7.如权利要求I所述的处理方法,其特征在于,步骤C中,所述第二设定时间为I分钟。
全文摘要
本发明公开了一种IKE协商异常的处理方法,具体包括发送端发起协商报文;如果出现异常,则接收端回应发送端异常信息报文,并将接收端在第一设定时间内标记为未激活状态;所述发送端接收到上述异常信息报文后,将发送端在第二设定时间内标记为未激活状态。当IKE协商异常时,该方法能够阻止协商报文不断地发送,避免过多占用网络资源和系统内存资源。
文档编号H04L29/06GK102868522SQ201210336428
公开日2013年1月9日 申请日期2012年9月12日 优先权日2012年9月12日
发明者陈海滨 申请人:汉柏科技有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1