一种基于IKE协议的IPsecSA协商方法及设备技术

本申请实施例公开了一种基于IKE协议建立IPsec SA的方法及设备，实现提高建立IPSec连接的建立效率。其中，方法包括：在第一统计时间，第一设备获取处于第一阶段的协商报文对应的第一数目，第一阶段为建立因特网密钥交换安全联盟IKE SA的阶段；在第一统计时间，第一设备获取处于第二阶段的协商报文对应的第二数目，第二阶段为建立互联网协议安全联盟IPsec SA的阶段；第一设备抑制处理第一数目和第二数目中较大的数目对应的阶段的协商报文，其中，第一数目和第二数目的相对值大于或等于第一阈值，第一数目和第二数目的相对值为第一数目和第二数目的差值的绝对值。和第二数目的差值的绝对值。和第二数目的差值的绝对值。

【技术实现步骤摘要】
一种基于IKE协议的IPsec SA协商方法及设备


[0001]本申请涉及通信领域，特别是涉及一种基于IKE协议的IPsec SA协商方法及设备。

技术介绍

[0002]互联网协议安全(Internet Protocol Security，IPsec)是国际互联网工程任务组(the internet engineering task force，IETF)制定的为保证在互联网上传送数据的安全保密性能的框架协议。因特网密钥交换(internet key exchange，IKE)协议为IPSec提供了自动协商交换密钥以及建立IPSec安全联盟(security association，SA)的服务，能够简化IPSec的使用和管理，大大简化IPSec的配置和维护工作。对等体完成IPSec SA协商的过程需要两个阶段，第一阶段进行IKE SA的协商，即对等体协商加密和验证算法；第二阶段进行IPSec SA的协商，即对等体以加密的方式完成身份认证、对第一阶段报文的认证以及IPSec SA参数的协商。当第二阶段完成之后，对等体建立了IPSec连接。
[0003]在传统的方式中，当因为触发建立IPSec连接的请求较多而超过设备处理器的负荷，导致无法成功建立目标数量的IPSec连接时，通过人工在设备配置单位时间内触发的IPSec连接的请求的数目，从而减少处理器的负荷，以成功建立目标数量的IPSec连接。这种方式虽然能够实现成功建立目标数量的IPSec连接，但是效率较低。

技术实现思路

[0004]本申请实施例提供了一种基于IKE协议的IPsec SA协商方法及设备，实现提高建立IPSec连接的建立效率。
[0005]第一方面，本申请实施例提供了一种基于IKE协议建立IPsec SA的方法，所述方法包括：在第一统计时间，第一设备获取处于第一阶段的协商报文对应的第一数目，所述第一阶段为建立因特网密钥交换安全联盟IKE SA的阶段。在实际应用中，第一设备可以在第一统计时间统计处于第一阶段的协商报文的不同的源IP地址和/或目的IP地址的数目。其中，如果该协商报文是第一设备发送给对等体的报文，那么根据目的IP地址进行统计，即该对等体的IP地址进行统计；如果该协商报文是第一设备接收的来自对等体的报文，那么根据源IP地址进行统计，即对该对等体的地址进行统计。在所述第一统计时间，所述第一设备获取处于第二阶段的协商报文对应的第二数目，所述第二阶段为建立互联网协议安全联盟IPsec SA的阶段。同理，在实际应用中，第一设备可以在第一统计时间统计处于第二阶段的协商报文的不同的源IP地址和/或目的IP地址的数目。当第一设备确认所述第一数目和所述第二数目的相对值大于或等于第一阈值，说明第一设备的处理器可能会超负荷运行，那么所述第一设备抑制处理所述第一数目和所述第二数目中较大的数目对应的阶段的协商报文，以使第一设备的处理器的负荷在一个较为合理的状态，最终达到能够全部成功建立起所有IPSec连接的目的。其中，所述第一数目和所述第二数目的相对值为所述第一数目和所述第二数目的差值的绝对值。由于第一设备能够根据第一数目和第二数目的相对值自动的调整处理器的负荷，相对于传统的人工参与调配单位时间内建立的IPSec连接的数目而
言，本申请实施例提高了建立IPSec连接的效率。同时，本申请实施例不需要依靠降低保活报文的发送频率来降低处理器的负荷，所以减少丢包现象的出现。
[0006]作为其中一种可能的实现方式，所述第一设备抑制处理所述第一数目和所述第二数目中较大的数目对应的阶段的协商报文包括：所述第一设备对处于所述第一阶段的协商报文进行抑制处理，其中，所述第一数目大于所述第二数目。
[0007]可选的，所述方法还包括：在所述第一统计时间之后的第二统计时间，所述第一设备获取处于所述第一阶段的协商报文对应的第三数目。获取第三数目的方式和获取第一数目的方式类似，请参见上文，此处不再赘述。在所述第二统计时间，所述第一设备获取处于所述第二阶段的协商报文对应的第四数目。获取第四数目的方式和获取第二数目的方式类似，请参见上文，此处不再赘述。当所述第一设备确认所述第三数目与所述第四数目的差值小于或等于第二阈值，所述第二阈值小于或等于所述第一阈值，认为第一设备的处理器的负荷是合理的，所述第一设备可以停止抑制处理所述第一阶段的协商报文，以在处理效率和处理负荷之间找到平衡。
[0008]可选的，所述方法还包括：所述第一设备确认连续执行抑制处理所述第一阶段的报文的动作的次数大于或等于预设数目，说明第一阈值设置过小，那么所述第一设备将所述第一阈值替换为第三阈值，所述第三阈值大于所述第一阈值，达到建立IPSec连接的速率和处理器的处理能力的平衡。
[0009]作为另外一种可能的实现方式，所述第一设备抑制处理所述第一数目和所述第二数目中较大的数目对应的阶段的协商报文包括：所述第一设备对处于所述第二阶段的协商报文进行抑制处理，其中，所述第一数目小于所述第二数目。
[0010]可选的，当第一设备确认所述第一数目大于0，则说明第一阶段的报文没有处理完毕，第一设备可以对处于所述第二阶段的协商报文进行抑制处理。
[0011]可选的，所述方法还包括：在所述第一统计时间之后的第三统计时间，所述第一设备获取处于所述第一阶段的协商报文对应的第五数目；在所述第三统计时间，所述第一设备获取处于所述第二阶段的协商报文对应的第六数目。当第一设备确认所述第六数目和所述第五数目的差值小于或等于第二阈值，所述第二阈值小于或等于所述第一阈值，认为第一设备的处理器的负荷是合理的，所述第一设备可以停止抑制处理所述第一阶段的协商报文，以在处理效率和处理负荷之间找到平衡。
[0012]可选的，所述方法还包括：所述第一设备确认连续执行抑制处理所述第二阶段的报文的动作的次数大于或等于预设数目，说明第一阈值设置过小，所述第一设备将所述第一阈值替换为第三阈值，所述第三阈值大于所述第一阈值，达到建立IPSec连接的速率和处理器的处理能力的平衡。
[0013]可选的，所述方法还包括：所述第一设备以预设时间段为间隔连续获取多组数目，所述多组数目中的每组数目分别包括所述第一阶段的报文对应的数目和所述第二阶段的报文对应的数目。当所述第一设备确认所述多组数目中每组数据包括的第一阶段的报文对应的数目和所述第二阶段的报文对应的数目的相对值均小于所述第一阈值，且第一阶段的报文对应的数目均小于或等于第四阈值、所述第二阶段的报文对应的数目均大于或等于第五阈值，说明第一阈值设置偏大，所述第一设备可以将所述第一阈值替换为第六阈值，所述第四阈值、所述第五阈值和所述第六阈值均小于所述第一阈值，所述第四阈值小于所述第
五阈值，实现建立IPSec连接的速率和处理器的处理能力的平衡。
[0014]可选的，所述方法还包括：所述第一设备以预设时间段为间隔连续获取多组数目，所述多组数目中的每组数目分别包括所述第一阶段的报文对应的数目和所述第二阶段的报文对应的数目。当所述第一设备确认所述多组数目中每组数据包括本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于IKE协议建立IPsec SA的方法，其特征在于，所述方法包括：在第一统计时间，第一设备获取处于第一阶段的协商报文对应的第一数目，所述第一阶段为建立因特网密钥交换安全联盟IKE SA的阶段；在所述第一统计时间，所述第一设备获取处于第二阶段的协商报文对应的第二数目，所述第二阶段为建立互联网协议安全联盟IPsec SA的阶段；所述第一设备抑制处理所述第一数目和所述第二数目中较大的数目对应的阶段的协商报文，其中，所述第一数目和所述第二数目的相对值大于或等于第一阈值，所述第一数目和所述第二数目的相对值为所述第一数目和所述第二数目的差值的绝对值。2.根据权利要求1所述的方法，其特征在于，所述第一设备抑制处理所述第一数目和所述第二数目中较大的数目对应的阶段的协商报文包括：所述第一设备对处于所述第一阶段的协商报文进行抑制处理，其中，所述第一数目大于所述第二数目。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：在所述第一统计时间之后的第二统计时间，所述第一设备获取处于所述第一阶段的协商报文对应的第三数目；在所述第二统计时间，所述第一设备获取处于所述第二阶段的协商报文对应的第四数目；所述第一设备停止抑制处理所述第一阶段的协商报文，其中，所述第三数目与所述第四数目的差值小于或等于第二阈值，所述第二阈值小于或等于所述第一阈值。4.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：所述第一设备确认连续执行抑制处理所述第一阶段的报文的动作的次数大于或等于预设数目，所述第一设备将所述第一阈值替换为第三阈值，所述第三阈值大于所述第一阈值。5.根据权利要求1所述的方法，其特征在于，所述第一设备抑制处理所述第一数目和所述第二数目中较大的数目对应的阶段的协商报文包括：所述第一设备对处于所述第二阶段的协商报文进行抑制处理，其中，所述第一数目小于所述第二数目。6.根据权利要求5所述的方法，其特征在于，所述第一数目大于0。7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：在所述第一统计时间之后的第三统计时间，所述第一设备获取处于所述第一阶段的协商报文对应的第五数目；在所述第三统计时间，所述第一设备获取处于所述第二阶段的协商报文对应的第六数目；所述第一设备停止抑制处理所述第二阶段的协商报文，其中，所述第六数目和所述第五数目的差值小于或等于第...

【专利技术属性】
技术研发人员：樊曙，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：