[发明专利]IKE报文协商的方法及系统

说明书

本申请要求于2012年10月12日提交中国专利局、申请号为201210387149.0、发明名称为“IKE报文协商的方法及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明实施例涉及通信技术，尤其涉及一种IKE（Internet Key Exchange）报文协商的方法及系统。

背景技术

密钥交换协议第二版（Internet Key Exchange Protocol Version2，简称IKEv2），用来进行虚拟专用网（Virtual Private Network，简称VPN）中安全联盟（Security Association，简称SA）的认证与密钥的协商，为VPN中通信双方协商因特网协议安全（IP Security，简称IPSec）通信所需要的相关信息，如加密算法、会话密钥、通信双方身份认证等。

IKEv2的协商分为initial交换，auth交换，create child交换，informational交换，每一IKEv2报文的报文头都包含一个message id字段（报文标识），这个字段用来标识报文的序号。

通常，通信双方保存有两个message id：发起一个请求报文时使用send_message_id（简称send_msgid）、期望收到的报文的messsage id为recv_messsage_id（简称recv_msgid）。通信发起方发送了一个message_id的请求（request）报文并且收到了这个请求报文的回应（response）消息后，则该设备中的send_message_id+1。通信任意一方每收到一个请求报文，则该设备中的recv_messsage_id+1。

在IPSec双机热备场景中，主用设备（active member）是当前正在与对端设备（peer device）通信的设备，备用设备（standby member）为主用设备的备份设备。当主用设备与对端设备的通信链路出现故障时，备用设备转换为新的主用设备继续与对端通信。

如果主用设备正在与对端设备进行IKEv2协商，此时主用设备与对端设备之间的通信链路出现故障，备份设备转换为新的主用设备，此时原主用设备中的标识信息还没有及时备份给备用设备，那么备用设备中的Message id有可能与主用设备中的message id不一致，此时与对端设备的通信有可能因为message id的错误而中断。

例如，在IKEv2协商过程中，主用设备向对端设备发出msg1后，主用设备与备用设备发生切换，主用设备的send_msgid的更新信息还没有及时备份给备用设备，这样备用设备转换为新的主用设备，send_msgid尚未更新，进而上述新的主用设备与对端设备之间的协商过程中会产生message_id不匹配问题，导致业务长时间中断。

发明内容

有鉴于此，本发明提供一种IKE报文协商的方法及系统，用以解决现有技术中由于主用设备和备用设备的切换导致的业务长时间中断的问题。

第一方面，本发明实施例提供一种IKE报文协商的方法，包括：

备用设备根据主用设备的更新通知更新存储的第三标识的值，所述主用设备的更新通知为所述主用设备更新存储的第二标识的值之后发送的；

在备用设备切换为新的主用设备时，所述新的主用设备根据更新的第三标识向对端设备发送协商互联网协议安全性IPSec信息的第二报文；

其中，所述第三标识为所述备用设备中存储的用于获知所述主用设备的状态信息的标识。

结合第一方面，在一种可能的实现方式中，所述备用设备根据主用设备的更新通知更新内部第三标识的值的步骤之前，还包括：

主用设备向所述对端设备发送协商IPSec信息的第一报文，所述第一报文中携带有第一标识；

所述主用设备更新存储的第二标识的值；

其中，所述第二标识为所述主用设备中存储的用于获知所述主用设备的状态信息的标识。

结合第一方面及上述第一种的实现方式中，在第二种可能的实现方式中，所述第一标识为message_id；

所述第二标识为next_sendmsg_id；

所述第三标识为next_sendmsg_id；

所述第一标识的初始值、所述第二标识的初始值和所述第三标识的初始值相同，且均为N；

相应地，所述主用设备更新存储的第二标识的值，具体为：

所述主用设备将存储的第二标识的值更新为N+1；