[发明专利]一种IKE协商异常的处理方法

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种IKE协商异常的处理方法。

背景技术

因特网协议安全（IPSec）是一种由IETF（Internet Engineering Task Force）设计的端到端的确保因特网IP层通信安全的机制，包括网络认证协议（AH）、封装安全载荷协议（ESP）、密钥交换协议（IKE）和用于网络认证及加密的一些算法等。

其中，因特网密钥交换（IKE）的过程分为第一阶段协商和第二阶段协商两部分，在协商中，网络两端设备需要进行报文的交互，这些报文用于交换和确认配置、认证、密钥信息等。在实际交换过程中，当两端设备配置信息不一致或配置信息错误的情况下，会出现下面两个问题：1）一端不断主动发起报文协商，另一端不断进行错误回复，造成网络上短时间内出现大量的协商报文，而实际上这些报文都是不必要的；2）IPSec隧道建立通常需要两端设备进行6次以上的报文交互，有可能最后一个报文出现了错误，由于两端协商需要创建动态IPSec隧道状态机，会占用系统的内存资源和最大IPSec隧道数资源。

发明内容

（一）要解决的技术问题

本发明主要解决当IKE协商异常时，协商报文依然不断发送，过多占用网络资源和系统内存资源的技术问题。

（二）技术方案

本发明提供了一种IKE协商异常的处理方法，包括以下步骤：

A、发送端发起协商报文；

B、如果出现异常，则接收端回应发送端异常信息报文，并将接收端在第一设定时间内标记为未激活状态；

C、所述发送端接收到上述异常信息报文后，将发送端在第二设定时间内标记为未激活状态。

其中，所述步骤A中的协商报文携带配置信息，所述配置信息包括加密密钥和协商策略。

进一步的，所述异常为配置信息错误或发送端和接收端的配置信息不匹配。

进一步的，在步骤B之后，还包括以下步骤：

接收端在所述第一设定时间后，恢复到激活状态。

进一步的，在步骤C之后，还包括以下步骤：

发送端在所述第二设定时间后，恢复到激活状态。

可选的，步骤B中，所述第一设定时间为1分钟。

可选的，步骤C中，所述第二设定时间为1分钟。

（三）有益效果

本发明提供了一种IKE协商异常的处理方法，当IKE协商异常时，该方法能够阻止协商报文不断地发送，避免过多占用网络资源和系统内存资源。

附图说明

图1是本发明方法的流程图；

图2是本发明实施例的流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1是本发明方法的流程图，包括以下步骤：

A、发送端发起协商报文；

B、如果出现异常，则接收端回应发送端异常信息报文，并将接收端在第一设定时间内标记为未激活状态；

C、所述发送端接收到上述异常信息报文后，将发送端在第二设定时间内标记为未激活状态。

其中，所述步骤A中的协商报文携带配置信息，所述配置信息包括加密密钥和协商策略。

进一步的，所述异常为配置信息错误或发送端和接收端的配置信息不匹配。

进一步的，在步骤B之后，还包括以下步骤：

接收端在所述第一设定时间后，恢复到激活状态。

进一步的，在步骤C之后，还包括以下步骤：

发送端在所述第二设定时间后，恢复到激活状态。

可选的，步骤B中，所述第一设定时间为1分钟。

可选的，步骤C中，所述第二设定时间为1分钟。

以使用IPSec隧道配置的网络系统为例，本发明方法的具体实施步骤如图2所示：

步骤S1，两个网络设备进行IPSec隧道配置。

步骤S2，当以流量触发建立IPSec隧道或者手动触发建立IPSec隧道时，其中一个网络设备作为发送端发起IKE协商报文进行协商。

步骤S3，另一个网络设备作为接收端对此协商报文中携带的配置信息进行判断，如果配置信息错误（此处所说的配置信息包括加密密钥和协商策略），则接收端回应发送端异常信息报文，并将接收端的IPSec隧道设备标记为未激活状态1分钟（此时间可以手动设置），1分钟后隧道状态会恢复，或者可以人为手动激活。