专利名称:对ipsec报文加解密的方法及系统的制作方法
技术领域:
本发明涉及网络通信技术领域,特别涉及一种对IPSEC报文加解密的方法及系统。
背景技术:
因特网密钥交换协议IKE在协商的过程中,会生成一级隧道和二级隧道,通常把一级隧道叫IKE隧道,二级隧道叫Internet协议安全性(IPSEC)隧道。对网络的带宽设计成500M的组网规模时,报文全部加密设备带宽可以承受,但当受到攻击等异常情况下时,可能网络带宽占用会暴增到1G,形成网络拥堵,导致正常报文丢失
发明内容
(一)要解决的技术问题本发明要解决的技术问题是当网络设备在异常情况下,如何防止网络拥堵和正常报文丢失。(二)技术方案为解决上述技术问题,本发明提供了一种对IPSEC报文加解密的方法,所述方法包括SI :当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;S2 :调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。其中,在步骤S2之前,所述方法还包括判断所述当前端和对端之间在预设时间内的流量是否均超过了预设阈值,若是,则执行后续步骤。其中,在步骤S2之前,所述方法还包括判断所述当前端和对端之间所传输的数据报文是否出现解密失败,若是,则执行后续步骤。其中,所述IPSEC SA包括安全参数索引SPI、IP目的地址、安全协议和加密参数,所述加密参数为反映是否需要加密的标志参数、且其初始值默认为加密状态。其中,在步骤S2中具体包括S21 :获取所述当前端和对端之间的当前流量,判断所述当前流量是否超过了第一流量阈值,若是,则调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一 IPSECSA ;S22 :所述第一 IPSEC SA将所述多个IPSEC隧道中最低优先级IPSEC隧道调整为不加密状态。其中,调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一 IPSEC SA具体包括S211 :所述当前端向所述对端发送请求报文;S212 :所述对端在接收到所述请求报文之后,与所述当前端进行协商;S213 :将所述第一 IPSEC SA中的加密参数设铬为不加密状态。其中,步骤S22之后,还包括S23 :判断所述当前流量是否超过了第二流量阈值,若是,则调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二 IPSEC SA ;S24 :所述第二 IPSEC SA将所述多个IPSEC隧道中第二低优先级IPSEC隧道调整为不加密状态。 其中,调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二 IPSEC SA具体包括S231 :所述当前端向所述对端发送请求报文;S212 :所述对端在接收到所述请求报文之后,与所述当前端进行协商;S213 :将所述第二 IPSEC SA中的加密参数设铬为不加密状态。本发明还公开了一种对IPSEC报文加解密的系统,所述系统包括优先级分配模块,用于当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;SA调整模块,用于调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSECSA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。(三)有益效果本发明通过将最低优先级IPSEC隧道调整为不加密状态,增加了网络设备对于报文的处理能力,当网络设备在异常情况下,防止了网络拥堵和正常报文丢失。
图I是按照本发明一种实施方式的对IPSEC报文加解密的方法的流程图;图2是按照本发明一种实施方式的对IPSEC报文加解密的系统的结构框图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。假设一种带IPSEC功能的三层网络设备,在正常情况下对加密数据报文的处理速度可达到600M,而由于网络设备进行加密占用了较多资源,在不加密状态(即不对数据报文进行加密)下可达到1G。图I是按照本发明一种实施方式的对IPSEC报文加解密的方法的流程图;参照图I,所述方法包括SI :当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级(由于IPSEC隧道是通过访问控制列表ACL来传输不同数据流,而有些数据流的优先级较低,例如,在线电影、在线音乐之类的数据流,其安全需求并不高,即使被黑客拦截数据,对于用户而言,并没有损失,因此对于此类数据流可分配较低优先级,而对于邮件、网上银行等数据流,其安全需求较高,被黑客拦截数据,对于用户而言,损失可能非常巨大,因此对于此类数据流可分配较高优先级),所述多个为至少两个;S2 :调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态(所述不加密状态即为在该IPSEC隧道内传输的数据报文不加密,但需要照常对所述数据报文设铬数据报头);其中,所述IPSEC SA包括安全参数索引SPI、IP目的地址、安全协议和加密参数,所述加密参数为反映是否需要加密的标志参数、且其初始值默认为加密状态。。当网络设备在异常状态时,例如受到攻击或遭受网络洪流,才会触发上述步骤S2,因此,而处于异常状态一般具有两种表现形式即流量很大或数据报文解密失败,因此步骤S2具有两种触发方式第一种触发方式,在步骤S2之前,所述方法还包括 判断所述当前端和对端之间在预设时间内的流量是否均超过了预设阈值,若是,则执行后续步骤。第二种触发方式,在步骤S2之前,所述方法还包括判断所述当前端和对端之间所传输的数据报文是否出现解密失败,若是,则执行后续步骤。优选地,在步骤S2中具体包括S21 :获取所述当前端和对端之间的当前流量,判断所述当前流量是否超过了第一流量阈值(本实施方式中,所述第一流量阈值为300M,但并不限定本发明的保护范围),若是,则调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一 IPSEC SA ;S22 :所述第一 IPSEC SA将所述多个IPSEC隧道中最低优先级IPSEC隧道调整为不加密状态。步骤S21中,若否,则直接结束流程。优选地,调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一 IPSEC SA具体包括S211 :所述当前端向所述对端发送请求报文;S212 :所述对端在接收到所述请求报文之后,与所述当前端进行协商;S213 :将所述第一 IPSEC SA中的加密参数设铬为不加密状态。优选地,步骤S22之后,还包括S23:判断所述当前流量是否超过了第二流量阈值(本实施方式中,所述第二流量阈值为600M,但并不限定本发明的保护范围),若是,则调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二 IPSEC SA ;S24 :所述第二 IPSEC SA将所述多个IPSEC隧道中第二低优先级IPSEC隧道(所述第二低优先级IPSEC隧道指多个IPSEC隧道中优先级为倒数第二的IPSEC隧道)调整为不加密状态。步骤S23中,若否,则直接结束流程。优选地,调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二 IPSECSA具体包括S231 :所述当前端向所述对端发送请求报文;
S212 :所述对端在接收到所述请求报文之后,与所述当前端进行协商;S213 :将所述第二 IPSEC SA中的加密参数设置为不加密状态。本实施方式中仅采用了两个流量阈值进行判断比较,从而将较低优先级的IPSEC隧道调整为不加密状态,而事实上,在IPSEC隧道足够多的情况下,还可设置更多的流量阈值来进行判断比较,例如,可设置第三流量阈值,若当前流量超过,则将第三低优先级IPSEC隧道调整为不加密状态。本发明还公开了一种对IPSEC报文加解密的系统,参照图2,所述系统包括优先级分配模块201,用于当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;SA调整模块202,用于调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
权利要求
1.一种对IPSEC报文加解密的方法,其特征在于,所述方法包括 51:当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级; 52:调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状 态。
2.如权利要求I所述的方法,其特征在于,在步骤S2之前,所述方法还包括 判断所述当前端和对端之间在预设时间内的流量是否均超过了预设阈值,若是,则执行后续步骤。
3.如权利要求I所述的方法,其特征在于,在步骤S2之前,所述方法还包括 判断所述当前端和对端之间所传输的数据报文是否出现解密失败,若是,则执行后续步骤。
4.如权利要求I所述的方法,其特征在于,所述IPSECSA包括安全参数索引SPI、IP目的地址、安全协议和加密参数,所述加密参数为反映是否需要加密的标志参数、且其初始值默认为加密状态。
5.如权利要求4所述的方法,其特征在于,在步骤S2中具体包括 521:获取所述当前端和对端之间的当前流量,判断所述当前流量是否超过了第一流量阈值,若是,则调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一 IPSEC SA ; 522:所述第一 IPSEC SA将所述多个IPSEC隧道中最低优先级IPSEC隧道调整为不加密状态。
6.如权利要求5所述的方法,其特征在于,调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一 IPSEC SA具体包括 5211:所述当前端向所述对端发送请求报文; 5212:所述对端在接收到所述请求报文之后,与所述当前端进行协商; 5213:将所述第一 IPSEC SA中的加密参数设置为不加密状态。
7.如权利要求5所述的方法,其特征在于,步骤S22之后,还包括 523:判断所述当前流量是否超过了第二流量阈值,若是,则调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二 IPSEC SA ; 524:所述第二 IPSEC SA将所述多个IPSEC隧道中第二低优先级IPSEC隧道调整为不加密状态。
8.如权利要求7所述的方法,其特征在于,调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二 IPSEC SA具体包括 S231 :所述当前端向所述对端发送请求报文; 5212:所述对端在接收到所述请求报文之后,与所述当前端进行协商; 5213:将所述第二 IPSEC SA中的加密参数设铬为不加密状态。
9.一种对IPSEC报文加解密的系统,其特征在于,所述系统包括 优先级分配模块,用于当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级; SA调整模块,用于调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。
全文摘要
本发明公开了一种对IPSEC报文加解密的方法及系统,涉及网络通信技术领域,所述方法包括S1当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;S2调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。本发明通过将最低优先级IPSEC隧道调整为不加密状态,增加了网络设备对于报文的处理能力,当网络设备在异常情况下,防止了网络拥堵和正常报文丢失。
文档编号H04L29/06GK102752317SQ20121026415
公开日2012年10月24日 申请日期2012年7月27日 优先权日2012年7月27日
发明者陈海滨 申请人:汉柏科技有限公司