一种使用约定方式的ipsec密钥更新方法及设备的制造方法
【技术领域】
[0001]本发明涉及计算机网络技术领域,具体涉及一种使用约定方式的IPSEC密钥更新方法及设备。
【背景技术】
[0002]其中对于IPSEC (Internet Protocol Security,因特网协议安全性)单元来说引入了两套IPSEC状态保活机制,其中一套为最早制定的KEEPALIVE方式,即本端设备会周期性向对端设备发送keepalive (保活)报文,等待对端设备的回应,当本端设备连续发送一定数量的keepalive (保活)报文没有回应时,认为对端设备的状态异常,从而删除IPSEC本端设备与对端设备的隧道,然而在大流量情况下会出现keepalive (保活)报文频繁丢失导致误判的情况。产生上述情况的原因是网络设备大多以转发性能优先,而keepalive (保活)报文作为主机报文在流量很大的情况下,首先被丢弃。在keepalive (保活)报文频繁丢失导致误判情况下,会出现IPSEC隧道振荡(主用隧道的流量在短时间内不断闪断的故障形式)的问题出现,为了解决这个问题,修订出了 DPD(Digital Pre-Distort1n,数字预失真)探测方法,也就是当有IPSEC隧道流量并报文正常时,即可认为此IPSEC隧道就是可用的,那么就不会发送Dro探测报文,当没有IPSEC流量时,就会发送Dro探测报文。
[0003]在现有IPSEC隧道进行协商时,必须保证两端的IKE (Internet key exchange,密钥交换协议)密钥更新时间一致,否则将会出现远端接入掉线的问题。且在IPSEC协议里规定,IPSEC密钥有一定的时效性,也就是使用过了固定时间,就会失效,例如配置了 IPSEC密钥8小时有效,那么如果没有及时协商出新的IPSEC密钥,该IPSEC密钥也不能够再用了,只能删除整个隧道。IPSEC密钥更新过程中由于网络拥堵出现丢包,进而会不断的重新进行更新,如果更新不不及时会导致上述问题的出现。
[0004]在现有技术中,为了避免上述问题的出现,通过升级设备性能提高转发性能来减小IPSEC协商报文丢失的概率,保证IPSEC密钥及时更新,减少IPSEC隧道振荡。但是升级设备成本高,一般用户不会采用此种方法。
【发明内容】
[0005]本发明的目的是提供一种根据Dro探测报文来探测网络状态,再根据隧道是否有IPSEC数据流量来计算网络拥堵指数,根据网络拥堵指数计算出IPSEC密钥提前更新时间的方法,做到IPSEC密钥协商提前完成,从而从根本上避免由于网络拥堵造成的IPSEC密钥更新失败。
[0006]根据本发明的一个方面,一种使用约定方式的IPSEC密钥更新方法包括下列步骤:
[0007]Si,本端向对端发送Dro请求保活报文,若本端未接收到对端所发送的所述Dro请求报文的回应报文则执行S2 ;
[0008]S2,判断本端与对端间的通信隧道是否有IPSEC数据流量,若有IPSEC数据流量,则执行S3 ;
[0009]S3,增加所述通信隧道的网络拥堵指数m的权值,根据加权后的网络拥堵指数m值判断是否对IPSEC密钥进行更新。
[0010]优选的是,所述根据加权后的m值判断是否对IPSEC密钥进行更新的步骤为:
[0011]根据加权后的m值,计算IPSEC密钥更新提前率K = q*m,
[0012]若t>T_K成立,则IPSEC密钥开始更新;
[0013]若t>T_K不成立,则再次执行S2 ;
[0014]其中,q为预设的提前时间系数,t为当前时间,T为预设的IPSEC密钥更新时间。
[0015]优选的是,所述q的取值范围为I到100。
[0016]优选的是,所述q的值为30。
[0017]优选的是,在步骤S2中还包括:若没有IPSEC数据流量,则增加所述通信隧道的异常指数h的权值;当增加权值后的异常指数h的大小达到断开指数η时,则断开所述通信隧道,当增加权值后的异常指数h的大小未达到断开指数η时,则在间隔时间后重新执行S2,其中所述断开指数η为大于I的整数。
[0018]根据本发明的另一个方面,一种使用约定方式的IPSEC密钥更新方法的设备包括:
[0019]DPD请求保活报文监听单元,用于当本端向对端发送DH)请求保活报文时,监听是否收到对端所发送的所述Dro请求保活报文的回应报文,若否,给IPSEC数据流量判断单元发送第一信号;
[0020]IPSEC数据流量判断单元,根据第一信号检测隧道是否有IPSEC数据流量,若是,给网络拥堵指数计数单元发第二信号;
[0021]网络拥堵指数m计数单元,根据第二信号增加当前通信隧道的网络拥堵指数m的权值;
[0022]判断更新时间单元,根据加权后的m值判断是否对IPSEC密钥进行更新。
[0023]优选的是,所述判断更新时间单元包括:
[0024]第一模块,根据加权后的m值,计算IPSEC密钥更新提前率K = q*m ;
[0025]第二模块,若t>T_K成立,进行IPSEC密钥更新;
[0026]第三模块,StST-K成立时,将第一信号发送到所述IPSEC数据流量判断单元;
[0027]其中,q为预设的提前时间系数,t为当前时间,T为预设的IPSEC密钥更新时间。
[0028]优选的是,所述q的取值范围为I到100。
[0029]优选的是,所述q的值为30。
[0030]优选的是,所述设备还包括Dro链路状态异常指数h计数单元,当所述IPSEC数据流量判断单元判断没有检测到本端与对端间的通信隧道有IPSEC数据流量时,增加当前通信隧道异常指数h的权值,并在增加当前通信隧道异常指数h的权值之后,对所述异常指数进行判断,当异常指数为达到η时,IPSEC隧道断开,其中所述η为大于I的整数。
[0031]本发明使用约定方式的IPSEC密钥更新方法采用了提前IPSEC密钥更新的方式,这样就给IPSEC密钥更新提供了一个较长的时间提前量,当有IPSEC密钥更新报文丢失时,会有更多的时间来重传IPSEC密钥更新报文,从而提高了重传IPSEC密钥更新报文的成功率,避免由于网络拥堵丢包导致的IPSEC隧道振荡。
【附图说明】
[0032]图1是根据本发明使用约定方式的IPSEC密钥更新的方法流程图
[0033]图2是本发明使用约定方式的IPSEC密钥更新的方法的设备
【具体实施方式】
[0034]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0035]在现有技术中IPSEC隧道包括协议报文和数据报文两种,其中,协议报文是由主机报文处理的ike报文;sa是IPSEC对等体间对某些要素的约定,IPSEC可以通过ike协商建立sa。所述ike协商在建立sa时分为两个阶段:第一协商阶段和第二协商阶段;所述第一协商阶段用于生成对所述协议报文进行加密的密钥,即ike sa;所述第二协商阶段用于生成对所述数据报文加密的密钥,即IPSEC sa,且在第二协商阶段协商成功后发送数据报文。生成Ike sa与IPSEC sa即密钥协商的过程。
[0036]如图1所示,本发明提供一种使用约定方式的IPSEC密钥更新方法,包括以下步骤:
[0037]SI,本端向对端发送Dro请求保活报文,若本端未接收到对端所发送的所述Dro请求报文的回应报文则执行S2 ;
[0038]S2,判断本端与对端间的通信隧道是否有IPSEC数据流量,若有IPSEC数据流量,则执行S3 ;
[0039]S3,增加所述通信隧道的网络拥堵指数m的权值,并根据增加权值后的网络拥堵指数m判断是否对IPSEC密钥进行更新。
[0040]在步骤SI中,本端在隧道上配置Dro请求保活报文,现有的各种技术均是在无IPSEC数据流量时发送Dro请求保活报文发送,而本发明中无论是否有IPSEC数据流量都发送Dro请求保活报文。
[0041]在步骤SI中,若本端接收到对端所发送的所述Dro请求报文的回应报文时,则说明IPSEC隧道正常,不需要提前进行IPSEC密钥更新。
[0042]优选的,所述步骤S2中还包括:若没有IPSEC数据流量,则增加所述通信隧道的异常指数h的权值;当增加权值后的异常指数h的大小达