一种防止IPSecVPN设备多隧道IKE协商失败的系统及方法

一种防止IPSec VPN设备多隧道IKE协商失败的系统及方法
【技术领域】
[0001 ]本发明涉及网络安全技术领域，特别涉及一种IPSec VPN设备多隧道IKE协商的系统及方法。
【背景技术】
[0002]VPNCVirtual Private Network:虚拟专用网)被定义为利用公用网络(通常是因特网)建立一个临时的、安全的连接专用网络，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN帮助企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。
[0003]IPSec ( Internet Protocol Security，因特网协议安全)是IETF ( InternetEngineering Task Force，因特网工程任务组)制定的一组IP安全协议集，是一种开放标准的框架结构，该协议通过使用加密的安全服务为IP数据报提供高质量的、可互操作的、基于密码学的安全通讯，是VPN的基础。IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议Authenticat1n Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet KeyExchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。由于加密后的数据包仍然是一般的IP数据包，所以这种结构应用在Internet上具有良好的适应性。
[0004]IKE为IPSec进行密钥协商和建立SA(Security Associat1n，安全关联)分为两个阶段，分别为第一阶段和第二阶段:
第一阶段的主要任务是建立IKE SA，该阶段有两种交换模式:主模式和野蛮模式。主模式在发送端和接收端有3次双向交换:第一次:用于商定IKE通信安全的算法和散列;第二次:使用DH交换来产生共享密钥;第三次:验证对端身份，认证远端对等体。野蛮模式较主模式而言，交换次数和信息较少，在第一次交换中，就将主模式1.2.3次交换的信息压缩在一起发给对端，接收方返回所需内容，等待确认。第一阶段的目的在于为第二阶段的协商提供一个安全的通信信道，并对该信道进行验证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务。
[0005]第二阶段是快速模式交换，主要执行以下功能:1、协商IPSec安全性参数和IPSec转换集;2、建立IPSec的SA; 3、定期重协商IPSec的SA，以确保安全性;4、可执行额外的DH交换。该阶段主要是为通信双方协商IPSec SA具体的参数，并生成相关的密钥。IPSec SA用于最终的IP数据安全传输。
[0006]当发起方向接收方发送业务请求时，首先触发第一阶段协商，建立一个通信信道(IKE SA)，并对该信道进行验证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务，然后再利用IKE SA进一步触发第二阶段协商，形成最终用于数据传输的IPSec SA0
[0007]但是当两个IPSecVPN设备之间建立多隧道通信时，因为每个隧道的协商过程都有两个协商阶段，而且每个阶段协商好的SA都有效期，就会存在以下问题。在实际情况中，第一阶段超时引起的不断触发协商、丢包、错包、中转协议不同等原因都会导致某些隧道一直处在第一阶段协商过程中。其中，第一阶段超时引起的不断触发协商是主要原因，进而导致所有隧道的第二阶段协商无法开始，这样又会使先前部分已经协商好的IKE SA过期，并因此所有隧道重复进行第一阶段协商，长期占用内核资源，导致第一阶段协商的IKE SA无法获取，第二阶段的协商不能进行，进而无法建立IPSec SA，使IP数据无法利用IPSec SA传输。

【发明内容】

[0008]鉴于此，本发明提供了一种IKE协商方法，该方法能够有效防止因IKE协商时IPSecVPN设备在配置多隧道情况下IKE协商失败，使在多隧道情况下，也能协商出用于IP数据安全传输的IPSec SA，保证了IPSec VPN设备的稳定性。
[0009]本发明采用的技术方案如下:
一种防止IPSec VPN设备多隧道IKE协商失败的系统，其特征在于，所述系统包括:统计模块、计算模块、比较模块、判断模块、第一控制模块和第二控制模块；
所述统计模块，用于统计整个系统中处于第一阶段和第二阶段协商的隧道数目，将统计结果传递至计算模块；
所述计算模块，用于计算统计出的处于第一阶段协商的隧道数目和处于第二阶段协商的隧道数目的差值，将计算结果传递至比较模块；
所述比较模块，用于将得到的计算结果和设定的阈值进行比较，将比较结果传递至第一控制模块；
所述判断模块，用于根据比较结果判断应该触发第一控制模块还是第二控制模块，若比较结果为计算出的差值超过设定的阈值范围，则发送信号至第一控制模块，触发第一控制模块;若比较结果为计算出的差值未超过设定的阈值范围，则发送信号至第二控制模块，触发第二控制模块；
所述第一控制模块，用于暂停整个IKE协商的第一阶段，控制整个IKE协商直接进入第二阶段；
所述第二控制模块，用于查看整个系统此时是否有第一阶段协商的请求，若有，则控制整个IKE协商进入第一阶段，若没有，则控制整个IKE协商进入第二阶段。
[0010]所述隧道包含VPN具有的两种隧道类型:自愿隧道和强制隧道。
[0011 ]所述阈值由设备性能决定，通常为30-60。
[0012]基于上述系统的防止IPSec VPN设备多隧道IKE协商失败的方法，具体步骤为:
步骤S1:发送方发出报文，触发第一阶段协商，统计处于第一阶段协商的隧道数目与处于第二阶段协商的隧道数目；
步骤S2:通过设置一个具体的阈值，并计算处于第一阶段协商的隧道数目与处于第二阶段协商的隧道数目的差值，然后将差值和设定的阈值进行比较，若差值超过所设置的阈值范围，控制整个系统执行步骤S4，否则控制整个系统执行步骤S3;
步骤S3:查看此时整个系统是否有IKE第一阶段协商请求，若有协商请求，则执行步骤SI，否则执行步骤S5;
步骤S4:启用暂停IKE第一阶段协商机制，暂停第一阶段IKE协商，执行步骤S5;
步骤S5:通过获取第一阶段协商成功而建立的IKE SA，触发第二阶段协商，建立第二阶段安全关联IPSec SA，即可用于IP数据安全传输。
[0013]所述统计方式为:利用统计模块实时监测处于第一阶段和第二阶段协商的隧道数目，逐一累加至计数器中；
所述计算方式为:利用计算模块实时计算处于第一阶段和第二阶段协商的隧道数目的差值，得出结果；
所述比较方式为:利用比较模块比较计算出的差值和人为设定的阈值；
所述控制方式为:根据比较得出的结果，若差值超过设定的阈值范围，判断模块传递信号至第二控制模块，执行步骤S4，若差值未超过设定的阈值，判断模块传递信号至第一控制丰旲块，执彳丁步骤S3。
[0014]一种防止IPSec VPN设备多隧道IKE协商失败的方法，其特征在于，所述方法具体步骤为:
步骤S1:发送方发出报文，触发第一阶段协商，统计处于第一阶段协商的隧道数目与处于第二阶段协商的隧道数目；
步骤S2:通过设置一个具体的阈值，并计算处于第一阶段协商的隧道数目与处于第二阶段协商的隧道数目的差值，然后判断差值是否超过阈值的范围。若差值超过所设置的阈值范围，则执行步骤S4，否则执行步骤S3;
步骤S3:判断此时整个系统是否有IKE第一阶段协商请求。若有协商请求，则执行步骤SI，否则执行步骤S5;
步骤S4:启用暂停IKE第一阶段协商机制，暂停第一阶段IKE协商，执行步骤S5;
步骤S5:通过获取第一阶段协商成功而建立的IKE SA，触发第二阶段协商，建立第二阶段安全关联IPSec SA，即可用于IP数据安全传输。
[0015]所述统计方式为:实时监测处于第一阶段和第二阶段协商的隧道数目，逐一累加至计数器中；
所述计算方式为:实时计算处于第一阶段和第二阶段协商的隧道数目的差值，得出结果O
[0016]所述比较方式为:利用计算出的处于第一阶段协商的隧道数目和处于第二阶段协商的隧道数目的差值和人为设定的阈值进行比较。
[0017]所述控制方式为:
当比较结果为计算出的差值超过设定的阈值范围，则控制整个系统进入步骤S4;
当比较结果为计算出的差值未超过设定的阈值范围，控制整个系统进入步骤S3。
[0018]采用以上技术方案，本发明产生了以下有益效果:
提供了一种在IPSec VPN多隧道在IKE协商过程中，及时处理协商成功的SA，防止了因生存周期过期而导致的SA失效的有效方法。
[0019]提供了一种在防止在IPSecVPN多隧道在IKE协商过程中，因为第一阶段超时引起的不断触发协商、丢包、错包、中转协议不同等原因导致某些隧道一直处在第一阶段协商过程中，进而导致所有隧道的第二阶段协商无法开始的方法，有效提高了IPSec VPN多隧道通信的成功率，为IP数据能够安全传输提供了保障。
【附图说明】
[0020]图1是本发明实施例中一种防止IPSec VPN设备多隧道IKE协商失败的系统的流程图。
[0021 ]图2是本发明实施例中一种防止IPSec VPN设备多隧道IKE协商失败的方法的流程图。
【具体实施方式】
[0022]本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。
[0023]本说明书(包括任何附加权利要求、摘要)中公开的任一特征，除非特别叙述，均可被其它等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。
[0024]本发明实施例1中提供了一种防止IPSecVPN设备多隧道IKE协商失败的方法及系统，流程图如图2所示，具体步骤如下
步骤SI:发送方发出报文，触发第一阶段协商，并统计第一阶段协商数目与第二阶段协商数目，然后计算处于第一阶段和第二阶段协商的隧道数目的差值。
[0025]步骤S2:通过设置一个具体的阈值，判断第一阶段协商数目与第二阶段协商数目的差值是否超过该阈值。若差值超过所设置的阈值，则执行步骤S4，否则执行步骤S3。
[0026]步骤S3:判断此时是否有第一阶段协商请求。若有协商请求，则执行步骤SI，否则执行步骤S5。
[0027]步骤S4:启用暂停第一阶段协商机制，暂停第一阶段IKE协商，执行步骤S5。
[0028]步骤S5:通过获取第一阶段协商成功而建立的IKESA