IKE协商控制方法、装置和系统与流程

本发明涉及通信安全技术领域，尤其涉及一种IKE协商控制方法、装置和系统。

背景技术：

随着互联网技术的发展，信息传输的安全性一直是互联网数据传输的重要课题。IPSec协议(Internet Protocol Security，互联网协议安全性)是当前主流数据加密协议，也是长期发展方向。

用户通过IPSec协议保护传输数据进行通信时，通过SA(Security Association，安全联盟)记录每条IP安全通路的策略和策略参数。SA是IPSec的基础,是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等，一般通过IKE协议(Internet Key Exchange Protocol，网络密匙交换协议)建立和维护。

IKE协议主要有两个阶段的协商，第一阶段协商的目的是为通信双方建立IKE SA，分为主模式和野蛮模式，用来保护第二阶段的协商；第二阶段协商建立IPSEC SA，用于为真正的数据提供加密认证保护。一般在设备上配置IPSec协商虚拟接口，在协商虚拟接口下配置协商的IKE SA协商参数和IPSec SA协商参数，通信双方根据这个配置的参数进行协商，如果能协商一致，就依次生成IKE SA和IPSec SA，否则协商失败。

在实际应用中，IKE协商的时候，接收端接收到发起端的协商报文后，会根据报文目的IP地址和报文VPN-ID(Virtual Private Network-ID，虚拟专用网络地址)等相关信息查找对应的协商虚拟接口，然而有接收端可能同时连接多个用户等情况，从而产生一个接收端上同时有多个报文目的IP地址和报文VPN-ID相同但实体配置参数不同的协商虚拟接口，此时，因无法精准匹配协商虚拟接口，若随 机选择协商虚拟接口，可能会导致协商失败，浪费进行协商两端设备的计算资源和存储空间。

技术实现要素：

本发明的主要目的在于提供一种IKE协商控制方法、装置和系统，以解决IKE协商过程中，匹配协商虚拟接口精确性不够导致协商失败的技术问题。

为实现上述目的，本发明提供的一种IKE协商控制方法，包括以下步骤：

接收端接收发起端发出的网络密匙交换协议IKE协商报文；

解析所述IKE协商报文，获得IKE协商报文信息；

若当前IKE协商为野蛮模式，则根据所述IKE协商报文信息获取报文三元组信息和发起端身份信息；

根据所述报文三元组信息和所述发起端身份信息，查找并获取所述接收端上与发起端匹配的协商虚拟接口。

优选的，所述获得IKE协商报文信息之后，还包括：

根据所述IKE协商报文信息，判断当前IKE协商是否为野蛮模式；

若所述当前IKE协商不是野蛮模式，则按照当前IKE协商模式进行协商。

优选的，所述获取报文三元组信息和发起端身份信息包括：

根据所述IKE协商报文信息，获取所述IKE协商报文的报文源IP地址、报文目的IP地址、报文虚拟专用网络地址VPN-ID和发起端身份信息；

将所述报文源IP地址、报文目的IP地址、报文VPN-ID组合得到报文三元组信息。

优选的，所述查找并获取所述接收端上与发起端匹配的协商虚拟 接口包括：

根据所述报文三元组信息，在接收端的协商虚拟接口表中查找与报文三元组信息匹配的协商虚拟接口；

若在所述协商虚拟接口表中找到与报文三元组信息匹配的协商虚拟接口，则根据所述发起端身份信息对已查找到的协商虚拟接口进行匹配筛选，若匹配筛选成功，则获取所述匹配筛选成功的协商虚拟接口为接收端上与发起端匹配的协商虚拟接口；若在所述协商虚拟接口表中未找到与报文三元组信息匹配的协商虚拟接口，则根据所述报文三元组信息中的报文目的IP地址和报文VPN-ID，在所述协商虚拟接口表中查找与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口；

若在所述协商虚拟接口表中找到与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口，则根据所述发起端身份信息与查找到的协商虚拟接口进行匹配筛选，若匹配筛选成功，则获取所述匹配筛选成功的协商虚拟接口为接收端上与发起端匹配的协商虚拟接口。

优选的，所述查找并获取所述接收端上与发起端匹配的协商虚拟接口之后，还包括：

若成功获取所述接收端上与发起端匹配的协商虚拟接口，则获取所述协商虚拟接口的配置参数；根据所述协商虚拟接口的配置参数，与所述发起端进行IKE协商，生成网络密匙交换协议安全联盟IKESA；

若未成功获取所述接收端上与发起端匹配的协商虚拟接口，则终止IKE协商。

此外，为实现上述目的，本发明还提供了一种IKE协商控制装置，所述IKE协商控制装置包括：

接收模块，用于接收发起端发出的网络密匙交换协议IKE协商报文；

解析模块，用于解析所述IKE协商报文，获得IKE协商报文信 息；

获取模块，用于若当前IKE协商为野蛮模式，则根据所述IKE协商报文信息获取报文三元组信息和发起端身份信息；

查找模块，用于根据所述报文三元组信息和所述发起端身份信息，查找并获取所述接收端上与发起端匹配的协商虚拟接口。

优选的，所述IKE协商控制装置还包括：

判定模块，用于根据IKE协商报文信息，判断当前IKE协商是否为野蛮模式；

协商模块，用于若所述当前IKE协商不是野蛮模式，则按照当前IKE协商模式进行协商。

优选的，所述获取模块还用于，

根据所述IKE协商报文信息，获取所述IKE协商报文的报文源IP地址、报文目的IP地址、报文虚拟专用网络地址VPN-ID和发起端身份信息，将所述报文源IP地址、报文目的IP地址、报文VPN-ID组合得到报文三元组信息。

优选的，所述查找模块还用于，

根据所述报文三元组信息，在接收端的协商虚拟接口表中查找与报文三元组信息匹配的协商虚拟接口；

若在所述协商虚拟接口表中找到与报文三元组信息匹配的协商虚拟接口，则根据所述发起端身份信息对已查找到的协商虚拟接口进行匹配筛选，若匹配筛选成功，则获取所述匹配筛选成功的协商虚拟接口为接收端上与发起端匹配的协商虚拟接口；若在所述协商虚拟接口表中未找到与报文三元组信息匹配的协商虚拟接口，则根据所述报文三元组信息中的报文目的IP地址和报文VPN-ID，在所述协商虚拟接口表中查找与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口；

若在所述协商虚拟接口表中找与到报文目的IP地址和报文 VPN-ID匹配的协商虚拟接口，则根据所述发起端身份信息与查找到的协商虚拟接口进行匹配筛选，若匹配筛选成功，则获取所述匹配筛选成功的协商虚拟接口为接收端上与发起端匹配的协商虚拟接口。

优选的，所述协商模块还用于，

若查找模块成功获取所述接收端上与发起端匹配的协商虚拟接口，则获取所述协商虚拟接口的配置参数；根据所述协商虚拟接口的配置参数，协商模块与所述发起端进行IKE协商，生成网络密匙交换协议安全联盟IKE SA；

若查找模块未成功获取所述接收端上与发起端匹配的协商虚拟接口，则终止IKE协商。

此外，为实现上述目的，本发明还提供一种IKE协商控制系统，包括接收端和发起端，其中：

所述接收端包括接收模块、解析模块、获取模块、查找模块、判定模块和协商模块；

所述发起端，用于发送协商报文，与接收端进行网络密匙交换协议IKE协商，生成网络密匙交换协议安全联盟IKE SA。

本发明提出的一种IKE协商控制方法、装置和系统，通过控制报文三元组信息和发起端身份信息，查找并获取接收端上与发起端匹配的协商虚拟接口，该协商虚拟接口为IKE协商过程中正确的协商虚拟接口，从而实现了精准匹配协商虚拟接口，避免因为选择了错误的协商虚拟接口而导致协商失败，节省IKE协商两端设备的计算资源和存储空间。

附图说明

图1为本发明IKE协商控制方法第一实施例的流程示意图；

图2为本发明IKE协商控制方法第二实施例的流程示意图；

图3为本发明IKE协商控制方法第三实施例的流程示意图；

图4为本发明IKE协商控制方法第四实施例的流程示意图；

图5为本发明IKE协商控制装置第一实施例的功能模块示意图；

图6为本发明IKE协商控制装置第二实施例的功能模块示意图；

图7为本发明IKE协商控制系统第一实施例的结构示意图。

为了使本发明的技术方案更加清楚、明了，下面将结合附图作进一步详述。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：接收端接收发起端发出的IKE协商报文，解析所述IKE协商报文，获得IKE协商报文信息，若当前IKE协商为野蛮模式，则根据所述IKE协商报文信息获取报文三元组信息和发起端身份信息，根据所述报文三元组信息和所述发起端身份信息，查找并获取所述接收端上与发起端匹配的协商虚拟接口，所述接收端上与发起端匹配的协商虚拟接口为正确的协商虚拟接口。

由于现有技术中，在接收端查找到多个协商虚拟接口时，无法精准获取正确的协商虚拟接口，若随机选择任一协商虚拟接口与发起端进行IKE协商，不能确定所述选择的协商虚拟接口是否为与发起端匹配的正确协商虚拟接口，导致IKE协商可能失败。

本发明提供一种解决方案，可以精准匹配协商虚拟接口，为IKE协商提供正确的协商虚拟接口。

具体地，参照图1，本发明IKE协商控制方法第一实施例提供一种IKE协商控制方法，所述IKE协商控制方法包括以下步骤：

步骤S10、接收端接收发起端发出的IKE协商报文。

在本实施例中，当局域网中客户端/服务器和对等网络、广域网中路由器到路由器和网关到网关和远程访问中需要进行数据传输时，为保障通信安全使用IPSec协议，作为IPSec协议下保障数据传输时 安全保密的基础，通信两端设备要通过IKE协商建立SA。为进行IKE协商，发起端发出IKE协商请求，将当前IKE协商数据封装为IKE协商报文，并向接收端发送IKE协商报文，接收端接收发起端发出的IKE协商报文。所述IKE协商报文包括当前IKE协商的协议头标识和协商报文实体信息。

步骤S20、解析所述IKE协商报文，获得IKE协商报文信息。

接收端接收到发起端发出的IKE协商报文后，解析所述IKE协商报文协议头和实体，获得IKE协商报文信息。所述IKE协商报文信息包括协议头标识和实体信息，所述协议头标识包括当前IKE协商的模式信息。

步骤S30、若当前IKE协商为野蛮模式，则根据所述IKE协商报文信息获取报文三元组信息和发起端身份信息。

若当前IKE协商为野蛮模式，所述IKE协商报文信息中实体信息包括协商策略(五元组信息，包括IKE的散列类型、加密算法、认证方法、DH组、SA存活期)、DH公共值(Diffie Hellman，加密算法)、随机值nonce、发起端身份信息、所述IKE协商报文的报文源IP地址、报文目的IP地址和报文VPN-ID。

根据所述IKE协商报文信息，获取所述IKE协商报文的报文源IP地址、报文目的IP地址、报文VPN-ID和发起端身份信息，将所述报文源IP地址、报文目的IP地址、报文VPN-ID组合得到报文三元组信息。所述报文三元组信息和发起端身份信息用于查找并获取接收端上与发起端匹配的协商虚拟接口。

步骤S40、根据所述报文三元组信息和所述发起端身份信息，查找并获取所述接收端上与发起端匹配的协商虚拟接口。

接收端根据所述报文三元组信息，在接收端上的协商虚拟接口表中查找与发起端匹配的协商虚拟接口，并根据所述发起端身份信息对查找到的协商虚拟接口进行匹配筛选，匹配筛选成功后，获取所述协商虚拟接口为接收端上与发起端匹配的协商虚拟接口，所述匹配筛选成功的协商虚拟接口为IKE协商的正确协商虚拟接口。

在本实施例中，通过控制报文三元组信息和发起端身份信息对接收端的协商虚拟接口进行匹配筛选，获取接收端上与发起端匹配的协商虚拟接口后，所述协商虚拟接口为正确的协商虚拟接口，实现了接收端精准匹配协商虚拟接口，在IKE协商过程中，避免接收端在有多个虚拟协商接口的情况下，无法获知正确的协商虚拟接口而选择了错误的协商虚拟接口，导致出现协商失败的情况，节省IKE协商两端设备的计算资源和存储空间。

进一步的，参照图2，本发明IKE协商控制方法第二实施例提供一种IKE协商控制方法，基于上述图1所示的实施例，在步骤S20之后还包括：

步骤S50、根据所述IKE协商报文信息，判断当前IKE协商是否为野蛮模式。

IKE协商建立IKE SA的协商模式包括主模式和野蛮模式，所述IKE协商报文信息包括协议头标识和实体信息，所述协议头标识包括当前IKE协商的模式信息，接收端根据所述协议头标识，获取当前IKE协商模式信息，判断当前IKE协商是否为野蛮模式。

步骤S60、若所述当前IKE协商不是野蛮模式，则按照当前IKE协商模式进行协商。

若接收端根据所述协议头标识，判断当前IKE协商不是野蛮模式，则所述IKE协商报文信息中不包括发起端身份信息，为避免不能精准获取的协商虚拟接口，接收端按照当前的协商模式进行IKE协商。

在本实施例中，根据所述IKE协商报文信息，判断IKE协商模式，在野蛮模式下，所述IKE协商报文信息中包括报文三元组信息和发起端身份信息，接收端可以实现通过所述报文三元组信息和发起端身份信息控制查找与发起端匹配的协商虚拟接口，精准匹配筛选与发起端匹配的协商虚拟接口；非野蛮模式下，所述IKE协商报文信息中不包括发起端身份信息，接收端和发起端可以通过当前协商模式进行 IKE协商。

进一步地，参照图3，本发明IKE协商控制方法第三实施例提供一种IKE协商控制方法，基于上述图1至图2中所示任一实施例(本实施例以图2为例)，步骤S40包括：

步骤S41、根据所述报文三元组信息，在接收端的协商虚拟接口表中查找与报文三元组信息匹配的协商虚拟接口。

根据所述报文三元组信息，在接收端的协商虚拟接口表中查找是否有配置参数和报文三元组信息相同的协商虚拟接口，所述协商虚拟接口表中包含有所述接收端上所有协商虚拟接口的全部配置参数，包括协商策略、DH公共值、随机值nonce、协商虚拟接口身份信息和验证载荷。

若在所述协商虚拟接口表中找到与报文三元组信息匹配的协商虚拟接口,则转入步骤S43。若在所述协商虚拟接口表中未找到与报文三元组信息匹配的协商虚拟接口，则转入步骤S42。

步骤S42、根据所述报文三元组信息中的报文目的IP地址和报文VPN-ID，在所述协商虚拟接口表中查找与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口。若在所述协商虚拟接口表中找到与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口，则转入步骤S43。

若在所述协商虚拟接口表中未找到与报文目的IP地址和报文VPN-ID有相同配置参数的协商虚拟接口，则匹配不成功，接收端未成功获取所述接收端上与发起端匹配的协商虚拟接口。

步骤S43、根据所述发起端身份信息对所述已查找到的协商虚拟接口进行匹配筛选，若匹配筛选成功，则获取所述匹配筛选成功的协商虚拟接口为接收端上与发起端匹配的协商虚拟接口。

若在所述协商虚拟接口表中成功查找到与报文三元组信息有相同配置参数的协商虚拟接口，或在所述协商虚拟接口表中找到与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口，则根据发起端的身份信息，对所述已查找到的协商虚拟接口进行匹配，筛选出配置参数中含有发起端的身份信息的协商虚拟接口，若匹配筛选成功，则获 取所述匹配筛选成功的协商虚拟接口为接收端上与发起端匹配的协商虚拟接口；若匹配筛选不成功，则接收端未成功获取所述接收端上与发起端匹配的协商虚拟接口。

在本实施例中，优先根据报文三元组信息筛选匹配的协商虚拟接口，避免前期搜索工作量大，能初步有效的去除不匹配的协商虚拟接口，再根据报文身份信息对找到的与报文三元组信息匹配的协商虚拟接口做进一步的匹配筛选，工作量小，可直接得到本实施例中接收端正确的协商虚拟接口，排除错误的协商虚拟接口。

若根据报文三元组信息未找到匹配的协商虚拟接口，考虑到发起端远程接入接收端的情况，发起端IP不固定，则去除报文源IP地址，根据报文目的IP地址和报文VPN-ID再次在协商虚拟表中筛选匹配的协商虚拟接口，避免漏选的情况。再根据报文身份信息对找到的与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口做进一步的匹配筛选，工作量小，可直接得到本实施例中接收端正确的协商虚拟接口，排除错误的协商虚拟接口。

若根据报文身份信息未成功筛选匹配协商虚拟接口，则本接收端上无与发起端身份信息匹配的协商虚拟接口。

进一步地，参照图4，本发明IKE协商控制方法第四实施例提供一种IKE协商控制方法，基于上述图1至图3中所示任一实施例(本实施例以图3为例)，在步骤S40之后还包括：

步骤S70、若成功获取所述接收端上与发起端匹配的协商虚拟接口，则获取所述协商虚拟接口的配置参数；根据所述协商虚拟接口的配置参数，与所述发起端进行IKE协商，生成IKE SA。

接收端成功获取所述接收端上与发起端匹配的协商虚拟接口,所述协商虚拟接口为正确协商虚拟接口，协商虚拟接口匹配精准。接收端使用正确的协商虚拟接口与发起端进行IKE协商，成功生成IKE SA。

步骤S80、若未成功获取所述接收端上与发起端匹配的协商虚拟 接口，则终止IKE协商。

若接收端未成功获取所述接收端上与发起端匹配的协商虚拟接口，所述接收端与发起端不匹配，则不能成功进行IKE协商。此时，若继续进行IKE协商，则所选择的协商虚拟接口为错误的，IKE协商失败浪费两端设备资源与存储空间，终止IKE协商可避免协商失败。

本实施例中，接收端获取正确的协商虚拟接口后，与发起端IKE协商的成功率较随机选择协商虚拟接口的IKE协商成功率高；当接收端未成功获取与发起端匹配的协商虚拟接口，所述接收端终止IKE协商，避免出现协商失败的情况，节省IKE协商两端设备的计算资源和存储空间。

本发明进一步提供一种IKE协商装置。

参照图5，本发明IKE协商控制装置第一实施例提供一种IKE协商控制装置，包括：

接收模块100，用于收发起端发出的IKE协商报文。

在本实施例中，当局域网中客户端/服务器和对等网络、广域网中路由器到路由器和网关到网关和远程访问中需要进行数据传输时，为保障通信安全使用IPSec协议，作为IPSec协议下保障数据传输时安全保密的基础，通信两端设备要通过IKE协商建立SA。为进行IKE协商，发起端发出IKE协商请求，将当前IKE协商数据封装为IKE协商报文，并向接收端发送IKE协商报文，接收模块100接收发起端发出的IKE协商报文。所述IKE协商报文包括当前IKE协商的协议头标识和协商报文实体信息。

解析模块200，用于解析所述IKE协商报文，获得IKE协商报文信息。

接收模块100接收到发起端发出的IKE协商报文后，解析模块200解析所述IKE协商报文协议头和实体，获得IKE协商报文信息。所述IKE协商报文信息包括协议头标识和实体信息，所述协议头标识 包括当前IKE协商的模式信息。

获取模块300，用于若当前IKE协商为野蛮模式，则根据所述IKE协商报文信息获取报文三元组信息和发起端身份信息。

若当前IKE协商为野蛮模式，则所述IKE协商报文信息包括协商策略、DH公共值、随机值nonce、发起端身份信息、所述IKE协商报文的报文源IP地址、报文目的IP地址和报文VPN-ID，获取模块300根据所述IKE协商报文信息，获取所述IKE协商报文的报文源IP地址、报文目的IP地址、报文VPN-ID和发起端身份信息，将所述报文源IP地址、报文目的IP地址、报文VPN-ID组合得到报文三元组信息。

查找模块400，用于根据所述报文三元组信息和所述发起端身份信息，查找并获取所述接收端上与发起端匹配的协商虚拟接口。

查找模块400根据所述报文三元组信息，在接收端上的协商虚拟接口表中查找与发起端匹配的协商虚拟接口，并根据所述发起端身份信息对查找到的协商虚拟接口进行匹配筛选，匹配筛选成功后，查找模块400获取所述协商虚拟接口为与接收端上与发起端匹配的协商虚拟接口，所述匹配筛选成功的协商虚拟接口为IKE协商的正确协商虚拟接口。

在本实施例中，查找模块400通过控制报文三元组信息和发起端身份信息对协商虚拟接口进行匹配筛选，获取接收端上与发起端匹配的协商虚拟接口后，所述协商虚拟接口为正确的协商虚拟接口，实现了在IKE协商过程中，避免在有多个虚拟协商接口的情况下，无法获知正确的协商虚拟接口而选择了错误的协商虚拟接口，导致出现协商失败的情况，节省IKE协商两端设备的计算资源和存储空间。

进一步地，参照图6，本发明IKE协商控制装置第二实施例提供一种IKE协商控制装置，基于上述图5所示的实施例，所述IKE协商控制装置还包括：

判定模块500，用于根据IKE协商报文信息，判断当前IKE协商 是否为野蛮模式。

判定模块500根据所述协议头标识携带的当前IKE协商的模式信息，获取当前IKE协商模式信息，判断当前IKE协商是否为野蛮模式。

协商模块600，用于若所述当前IKE协商不是野蛮模式，则按照当前IKE协商模式进行协商。

若当前IKE协商不是野蛮模式，则所述IKE协商报文信息中不包括发起端身份信息，为避免不能精准获取正确的协商虚拟接口，协商模块600按照当前的协商模式进行IKE协商。

在本实施例中，根据所述IKE协商报文信息，判定模块500判断IKE协商模式，在野蛮模式下，所述IKE协商报文信息中包括报文三元组信息和发起端身份信息，可以实现通过所述报文三元组信息和发起端身份信息控制查找与发起端匹配的协商虚拟接口，获取正确的协商虚拟接口；非野蛮模式下，所述IKE协商报文信息中不包括发起端身份信息，协商模块600可以通过当前协商模式进行IKE协商。

进一步地，本发明IKE协商控制装置第三实施例提供一种IKE协商控制装置，基于上述图5至图6所示的任一实施例，所述查找模块400还用于，

根据所述报文三元组信息，在协商虚拟接口表中查找与报文三元组信息匹配的协商虚拟接口。

根据所述报文三元组信息，查找模块400在协商虚拟接口表中查找是否有配置参数和报文三元组信息相同的协商虚拟接口，所述协商虚拟接口表中包含有所述接收端上所有协商虚拟接口的全部配置参数，包括协商策略、DH公共值、随机值nonce、协商虚拟接口身份信息和验证载荷。

若在所述协商虚拟接口表中未找到与报文三元组信息匹配的协商虚拟接口，则根据所述报文三元组信息中的报文目的IP地址和报 文VPN-ID，在所述协商虚拟接口表中查找与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口。若在所述协商虚拟接口表中未找到与报文目的IP地址和报文VPN-ID有相同配置参数的协商虚拟接口，则匹配不成功，接收端未成功获取所述接收端上与发起端匹配的协商虚拟接口。

若查找到配置参数和报文三元组信息相同的协商虚拟接口，或配置参数和报文目的IP地址和报文VPN-ID相同的协商虚拟接口，则根据所述发起端身份信息对已查找到的协商虚拟接口进行匹配筛选，若匹配筛选成功，则获取所述匹配筛选成功的协商虚拟接口为接收端上与发起端匹配的协商虚拟接口；匹配筛选不成功，接收端未成功获取所述接收端上与发起端匹配的协商虚拟接口。

在本实施例中，优先根据报文三元组信息筛选匹配协商虚拟接口，能初步有效的去除不匹配的协商虚拟接口，再根据报文身份信息对找到的与报文三元组信息匹配的协商虚拟接口做进一步的匹配筛选，工作量小，可直接得到本实施例中接收端正确的协商虚拟接口，排除错误的协商虚拟接口。

若根据报文三元组信息未找到匹配的协商虚拟接口，考虑到发起端远程接入接收端的情况，发起端IP不固定，则去除报文源IP地址，根据报文目的IP地址和报文VPN-ID再次在协商虚拟表中筛选匹配的协商虚拟接口，避免漏选的情况。再根据报文身份信息对找到的与报文目的IP地址和报文VPN-ID匹配的协商虚拟接口做进一步的匹配筛选，工作量小，可直接得到本实施例中正确的协商虚拟接口，排除错误的协商虚拟接口。

若根据报文身份信息未成功筛选匹配协商虚拟接口，则本接收端上无与发起端身份信息匹配的协商虚拟接口。

进一步地，本发明IKE协商控制装置第四实施例提供一种IKE协商控制装置，基于上述图6所示的实施例，所述协商模块600还用 于：

若查找模块400成功获取所述接收端上与发起端匹配的协商虚拟接口，则获取所述协商虚拟接口的配置参数；根据所述协商虚拟接口的配置参数，与所述发起端进行IKE协商，生成IKE SA。

若查找模块400成功获取所述接收端上与发起端匹配的协商虚拟接口,所述协商虚拟接口为正确协商虚拟接口，协商虚拟接口匹配精准。协商模块600获取所述协商虚拟接口的配置参数，使用所述协商虚拟接口与发起端进行IKE协商，成功生成IKE SA。

若查找模块400未成功获取所述接收端上与发起端匹配的协商虚拟接口，则终止IKE协商。

若查找模块400未成功获取所述接收端上与发起端匹配的协商虚拟接口，所述接收端与发起端不匹配，则不能成功进行IKE协商。此时，此时，若继续进行IKE协商，则所选择的协商虚拟接口为错误的，协商失败时浪费两端设备资源与存储空间，终止IKE协商可避免协商失败。

本实施例中，查找模块400获取正确的协商虚拟接口后，协商模块600与发起端IKE协商的成功率较随机选择协商虚拟接口的IKE协商成功率高；当查找模块400未成功获取与发起端匹配的协商虚拟接口，协商模块600终止IKE协商，避免出现协商失败的情况，节省IKE协商两端设备的计算资源和存储空间。

参照图7，本发明IKE协商控制系统第一实施例提供一种IKE协商控制系统，该实施例的IKE协商控制系统包括接收端和发起端，其中：

所述接收端包括接收模块100、解析模块200、获取模块300、查找模块400、判定模块500和协商模块600；

所述发起端，用于发送协商报文，与接收端进行IKE协商，生成IKE SA。

所述发起端发起IKE协商请求，此时，发起端向接收端发出IKE协商报文，接收端接收到所述IKE协商报文后，进行解析，得到IKE协商报文信息，并根据所述IKE协商报文信息判断当前IKE协商是否为野蛮模式；当前IKE协商为野蛮模式时，接收端获取所述IKE协商报文信息中的三元组信息和发起端身份信息，控制查找并获取所述接收端上与发起端匹配的协商虚拟接口，所述获取的协商虚拟接口为正确协商虚拟接口，协商虚拟接口匹配精准。接收端获取所述协正确的商虚拟接口配置参数，与发起端进行IKE协商，生成IKE SA。

本发明实施例提出的IKE协商控制方法、装置和系统，通过控制报文三元组信息和发起端身份信息，查找并获取接收端上与发起端匹配的协商虚拟接口，该协商虚拟接口为IKE协商过程中正确的协商虚拟接口，从而实现了精准匹配协商虚拟接口，避免因为选择了错误的协商虚拟接口而导致协商失败，节省IKE协商两端设备的计算资源和存储空间。

还需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一 台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或流程变换，或直接或间接运用在其它相关的技术领域，均同理包括在本发明的专利保护范围内。