專利名稱:Ike協(xié)商控制方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實施例涉及通信安全技術(shù)����,尤其涉及一種IKE協(xié)商控制方法和設(shè)備。
背景技術(shù):
隨著網(wǎng)絡(luò)傳輸安全技術(shù)的發(fā)展����,通過網(wǎng)絡(luò)進行數(shù)據(jù)傳輸,對數(shù)據(jù)的保護和保密是一種普遍的需求�����,IPSec協(xié)議是滿足這種需求的一種主流數(shù)據(jù)加密協(xié)議����。當(dāng)用戶需要遵循IPSec協(xié)議進行數(shù)據(jù)加密通信的時候,首先需要確定通信雙方的身份�、使用的加密格式、算法���、密鑰等信息�。這些信息僅通信雙方知道并在一個時間段內(nèi)有效,這些信息集合被稱為一個安全聯(lián)盟(Security Association��,簡稱SA)��。之后�,通信雙方用戶依照安全聯(lián)盟中約定的信息進行加密通信。通信雙方之間的安全聯(lián)盟可以手工協(xié)商建立或者動態(tài)協(xié)商建立�,由于手工協(xié)商建立配置過程較為煩瑣和費時,所以一般都采用動態(tài)協(xié)商建立安全聯(lián)盟�����。動態(tài)建立安全聯(lián)盟通常遵循互聯(lián)網(wǎng)密鑰交換(Internet key exchange���,簡稱IIffi)協(xié)議��,IKE協(xié)議是一種混合型協(xié)議���,建立在安全聯(lián)盟和密鑰管理(Internet Security Association and Key Management Protocol�,簡稱ISAKMP)和IPSec安全聯(lián)盟的基礎(chǔ)上,專門用來在網(wǎng)絡(luò)通信的兩個對端之間動態(tài)的協(xié)商建立安全聯(lián)盟�����。ISAKMP協(xié)議是IKE的核心組成部分,主要提供了兩個階段的協(xié)商第一階段為通信雙方建立一個安全的IKE安全聯(lián)盟����;第二階段使用第一階段已經(jīng)建立的IKE安全聯(lián)盟并在此安全聯(lián)盟的保護下,建立子安全聯(lián)盟(例如IPSec安全聯(lián)盟)�����,用于用戶通信數(shù)據(jù)的加
滋
Γ t [ OIKE協(xié)議本身的特點決定了它需要消耗協(xié)商兩端設(shè)備較多的處理器計算資源和存儲空間��,尤其當(dāng)通信一方為多個用戶設(shè)備�,該多個用戶設(shè)備同時向通信另一方的單一用戶設(shè)備發(fā)起IKE協(xié)商請求時,該單一用戶設(shè)備容易因資源短缺而導(dǎo)致IKE協(xié)商失敗����。針對該技術(shù)問題,現(xiàn)有技術(shù)提供了一種會話的控制方法����,該方法通過在安全服務(wù)器中預(yù)先為固定的用戶設(shè)備分配安全服務(wù)器的系統(tǒng)資源用于IKE協(xié)商,這部分資源為預(yù)定義用戶設(shè)備與安全服務(wù)器進行IKE協(xié)商時候獨享�����。該會話的控制方法在實際的IKE協(xié)商應(yīng)用過程中至少存在兩個問題一��、安全服務(wù)器需要預(yù)先配置,增加了設(shè)備的配置難度�,而且也不能適應(yīng)網(wǎng)絡(luò)環(huán)境的改變。二���、造成資源浪費����,即便沒有IKE協(xié)商����,預(yù)先分配的系統(tǒng)資源也在空閑等待。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種IKE協(xié)商控制方法和設(shè)備�,以解決現(xiàn)有技術(shù)中大量IKE協(xié)商請求并發(fā)時,因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷�����,以提高IKE協(xié)商效果��。本發(fā)明實施例提供一種IKE協(xié)商控制方法��,包括接收IKE協(xié)商請求��,所述IKE協(xié)商請求攜帶IP地址���; 查找所述IP地址對應(yīng)的優(yōu)先級����,其中����,所述IP地址對應(yīng)的優(yōu)先級由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定,所述有效安全聯(lián)盟值用以指示所述IP地址當(dāng)前有效的 IKE安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量�,所述IKE安全聯(lián)盟協(xié)商成功值用以指示所述IP地址對應(yīng)的IKE協(xié)商成功的數(shù)量;根據(jù)所述IP地址對應(yīng)的優(yōu)先級����,對所述IKE協(xié)商請求進行協(xié)商處理。本發(fā)明實施例提供一種IKE協(xié)商控制設(shè)備�,包括請求接收模塊,用于接收IKE協(xié)商請求��,所述IKE協(xié)商請求攜帶IP地址���;查找模塊����,用于查找所述IP地址對應(yīng)的優(yōu)先級����,其中�,所述IP地址對應(yīng)的優(yōu)先級由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定����,所述有效安全聯(lián)盟值用以指示所述IP 地址當(dāng)前有效的IKE安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量,所述IKE安全聯(lián)盟協(xié)商成功值用以指示所述IP地址對應(yīng)的IKE協(xié)商成功的數(shù)量����;協(xié)商請求處理模塊,用于根據(jù)所述IP地址對應(yīng)的優(yōu)先級�,對所述IKE協(xié)商請求進行協(xié)商處理。由上述技術(shù)方案可知��,本發(fā)明實施例提供的IKE協(xié)商控制方法和設(shè)備�,通過IP地址的優(yōu)先級來對IP地址的IKE協(xié)商請求進行協(xié)商處理,該優(yōu)先級由可以反映IP地址重要性和可靠性的有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值確定�����。當(dāng)存在大量并發(fā)呼入IKE 協(xié)商請求時����,可以優(yōu)先響應(yīng)重要而又可靠的用戶的呼入請求,把可能的攻擊呼入或者不重要的用戶的呼入請求進行拒絕或者延遲處理,提高對重要用戶服務(wù)的穩(wěn)定性����。也避免了因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷���,提高了 IKE協(xié)商效果�。
圖1為本發(fā)明實施例提供的IKE協(xié)商控制方法流程圖����;圖2為本發(fā)明實施例提供的一種IKE協(xié)商控制設(shè)備結(jié)構(gòu)示意圖;圖3為本發(fā)明實施例提供的另一種IKE協(xié)商控制設(shè)備結(jié)構(gòu)示意圖�。附圖標(biāo)記21-請求接收模塊;22-查找模塊���;23-協(xié)商請求處理模塊����; 24-優(yōu)先級模塊��;11-有效安全聯(lián)盟值子模塊�;12-IKE安全聯(lián)盟協(xié)商成功值子模塊;13-優(yōu)先級確定子模塊�����; 14-白名單模塊;111-第一判斷單元�;112-第一累計單元;113-計算單元��; 121-第二判斷單元����;122-第二累計單元;131-第三判斷單元���;132-優(yōu)先級單元����;141-第四判斷單元���;142-請求處理單元���。
具體實施例方式為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚��,下面將結(jié)合本發(fā)明實施例�����, 對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述���。需要說明的是�,在附圖或說明書中��, 相似或相同的元件皆使用相同的附圖標(biāo)記���。圖1為本發(fā)明實施例提供的IKE協(xié)商控制方法流程圖,如圖1所示����,在本實施例中,該IKE協(xié)商控制方法包括步驟Si���、接收IKE協(xié)商請求����,IKE協(xié)商請求攜帶IP地址�����;在實際應(yīng)用中,終端設(shè)備具體可以通過網(wǎng)關(guān)連入網(wǎng)絡(luò)���,也可以直接連入網(wǎng)絡(luò)�����,終端設(shè)備具有固定的IP地址以標(biāo)識該終端設(shè)備的身份���。終端設(shè)備向IKE協(xié)商控制設(shè)備發(fā)送IKE 協(xié)商請求,IKE協(xié)商請求攜帶IP地址��,以與IKE協(xié)商控制設(shè)備建立安全聯(lián)盟���。IKE協(xié)商控制設(shè)備具體也可以設(shè)置在網(wǎng)關(guān)中��。具體的����,可以在IKE協(xié)商控制設(shè)備中設(shè)置白名單�����,白名單中記錄了可以與該IKE協(xié)商控制設(shè)備建立安全聯(lián)盟的IP地址��,IKE協(xié)商控制設(shè)備可以根據(jù)白名單的設(shè)置對某一 IP地址發(fā)起的IKE協(xié)商請求進行處理。白名單可以為一包含固有內(nèi)容的文件����,也可以根據(jù)實際情況對其中的IP地址進行添加和刪除,不以本實施例為限����。步驟S2、查找IP地址對應(yīng)的優(yōu)先級��,其中�,IP地址對應(yīng)的優(yōu)先級由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定�,有效安全聯(lián)盟值用以指示IP地址當(dāng)前有效的IKE安全聯(lián)盟和IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量,IKE安全聯(lián)盟協(xié)商成功值用以指示IP地址對應(yīng)的 IKE協(xié)商成功的數(shù)量��;IP地址對應(yīng)的有效安全聯(lián)盟值包括有效IKE安全聯(lián)盟值和該IKE安全聯(lián)盟下的子安全聯(lián)盟值�����,通常在一個成功建立的IKE安全聯(lián)盟保護下��,終端設(shè)備和IKE協(xié)商控制設(shè)備可以建立多個子安全聯(lián)盟���,子安全聯(lián)盟用于保護數(shù)據(jù)傳輸����,子安全聯(lián)盟具體可以為IPSec安全聯(lián)盟。IP地址對應(yīng)的有效安全聯(lián)盟值可以反映該IP地址的重要性��。IP地址對應(yīng)的IKE 安全聯(lián)盟協(xié)商成功值可以反映該IP地址的可靠性�。通過IP地址對應(yīng)的有效安全聯(lián)盟值和 IKE安全聯(lián)盟協(xié)商成功值,可以反映該IP地址的重要性和可靠性����,根據(jù)有效安全聯(lián)盟值和 IKE安全聯(lián)盟協(xié)商成功值對IP地址的優(yōu)先級進行劃分,以作為對IKE協(xié)商請求處理的依據(jù)����。 IP地址的優(yōu)先級也可以根據(jù)與用戶的業(yè)務(wù)往來預(yù)先設(shè)定,不以本實施例為限�����。步驟S3�、根據(jù)IP地址對應(yīng)的優(yōu)先級,對IKE協(xié)商請求進行協(xié)商處理�。本實施例提供的IKE協(xié)商控制方法,通過IP地址的優(yōu)先級來對IP地址的IKE協(xié)商請求進行協(xié)商處理����,該優(yōu)先級由可以反映IP地址重要性和可靠性的有效安全聯(lián)盟值和IKE 安全聯(lián)盟協(xié)商成功值確定�����。當(dāng)存在大量并發(fā)呼入IKE協(xié)商請求時�����,可以優(yōu)先響應(yīng)重要而又可靠的用戶的呼入請求�,把可能的攻擊呼入或者不重要的用戶的呼入請求進行拒絕或者延遲處理���,提高對重要用戶服務(wù)的穩(wěn)定性��。也避免了因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷����,提高了 IKE協(xié)商效果���。在本實施例中,該IKE協(xié)商控制方法�����,還可以包括確定IP地址對應(yīng)的優(yōu)先級的步驟步驟10���、計算IP地址對應(yīng)的有效安全聯(lián)盟值�����;步驟20���、計算IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值�;步驟30�、根據(jù)有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值,確定IP地址的優(yōu)先級�。在本實施例中,步驟10�、計算IP地址對應(yīng)的有效安全聯(lián)盟值之前,還可以包括步驟40����、當(dāng)接收到IKE協(xié)商請求時,若判斷獲知發(fā)起IKE協(xié)商請求的IP地址未存在于白名單中�,則將IP地址添加到白名單中。通過對白名單進行實時地更新���,可以提高IKE協(xié)商控制設(shè)備對網(wǎng)絡(luò)環(huán)境的適應(yīng)性�����。在本實施例中���,步驟10����、計算IP地址對應(yīng)的有效安全聯(lián)盟值�,包括
步驟101、計算預(yù)設(shè)數(shù)量的預(yù)設(shè)時間段內(nèi)IP地址對應(yīng)的有效安全聯(lián)盟中間值的平均值����,并將平均值作為IP地址對應(yīng)的有效安全聯(lián)盟值,其中有效安全聯(lián)盟中間值用于指示預(yù)設(shè)時間段內(nèi)IP地址有效的IKE安全聯(lián)盟和IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量�。具體的,有效安全聯(lián)盟值可以通過以下公式求出
Γ π M …CA ……廣 SA TAL M1 + …+ SA TAL MkSA TAL = SA TAL AVG = ~=--=-^^
— — — k其中�,SA_TAL表示有效安全聯(lián)盟值;SA_TAL_AVG表示預(yù)設(shè)數(shù)量的預(yù)設(shè)時間段內(nèi)IP地址對應(yīng)的有效安全聯(lián)盟中間值的平均值�����;SA_TAL_Mi表示第i個預(yù)設(shè)時間段的有效安全聯(lián)盟中間值����,其中1 < i彡k����,k為預(yù)設(shè)數(shù)量�,k和預(yù)設(shè)時間段可以根據(jù)實際的應(yīng)用需要來具體設(shè)定��。有效安全聯(lián)盟值也可以為有效安全聯(lián)盟率��,即有效安全聯(lián)盟在安全聯(lián)盟總值中的比例����,安全聯(lián)盟總值既包括有效安全聯(lián)盟的數(shù)量也包括失敗的安全聯(lián)盟的數(shù)量。其中��,步驟101中計算有效安全聯(lián)盟值��,還可以為計算預(yù)設(shè)數(shù)量的預(yù)設(shè)時間點上 IP地址對應(yīng)的有效安全聯(lián)盟中間值的平均值�,并將平均值作為IP地址對應(yīng)的有效安全聯(lián)盟值,其中有效安全聯(lián)盟中間值用于指示預(yù)設(shè)時間點上IP地址有效的IKE安全聯(lián)盟和IKE 聯(lián)盟的子安全聯(lián)盟的總數(shù)量����。具體的,有效安全聯(lián)盟值可以通過以下公式求出SA TAL = SA TAL AVG = SA-TAL-Ti + + SA-TAL-Tk
— — — k其中��,SA_TAL表示有效安全聯(lián)盟值����;SA_TAL_AVG表示預(yù)設(shè)數(shù)量的預(yù)設(shè)時間段內(nèi)IP地址對應(yīng)的有效安全聯(lián)盟中間值的平均值���;SA_TAL_Ti表示第i個預(yù)設(shè)時間點的有效安全聯(lián)盟中間值,其中1彡i彡k�,k為預(yù)設(shè)數(shù)量,k和預(yù)設(shè)時間段可以根據(jù)實際的應(yīng)用需要來具體設(shè)定��。在本實施例中�,步驟10、計算IP地址對應(yīng)的有效安全聯(lián)盟值�����,還可以包括計算有效安全聯(lián)盟中間值的步驟����,具體為步驟102、在預(yù)設(shè)時間段內(nèi)���,若判斷獲知IP地址發(fā)起的IKE協(xié)商或IKE協(xié)商的子安全聯(lián)盟協(xié)商成功�,則IP地址對應(yīng)的有效安全聯(lián)盟中間值加1�����,若判斷獲知IP地址已經(jīng)建立的IKE安全聯(lián)盟或IKE協(xié)商的子安全聯(lián)盟被刪除����,則IP地址對應(yīng)的有效安全聯(lián)盟中間值減 1。其中��,步驟102�����,還可以為實時更新有效安全聯(lián)盟中間值���,計算IP地址發(fā)起的IKE 協(xié)商或IKE協(xié)商的子安全聯(lián)盟協(xié)商成功的數(shù)量m�,則IP地址對應(yīng)的有效安全聯(lián)盟中間值加附��,計算IP地址已經(jīng)建立的IKE安全聯(lián)盟或IKE協(xié)商的子安全聯(lián)盟被刪除的數(shù)量N2�,則IP 地址對應(yīng)的有效安全聯(lián)盟中間值減N2。在本實施例中�,步驟20、計算IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值���,具體為若判斷獲知IP地址發(fā)起的IKE協(xié)商成功���,則IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加1���,若判斷獲知IKE安全聯(lián)盟協(xié)商成功值大于IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值,則IKE安全聯(lián)盟協(xié)商成功值減1�����。具體可以用SA_CNT表示IKE安全聯(lián)盟協(xié)商成功值����,用SA_CUR表示IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值,SA_CUR為即時值��,表示在某個時間點IKE協(xié)商控制設(shè)備對應(yīng)某IP的有效的安全聯(lián)盟數(shù)���,即該時間點上處于使用狀態(tài)的安全聯(lián)盟數(shù)����。若在某一預(yù)設(shè)時間段內(nèi)���, 某IP地址發(fā)起的IKE協(xié)商成功數(shù)量比較多����,則SA_CNT不斷加1�,最終可能會為一個較大的統(tǒng)計數(shù)值���。而若在某一預(yù)設(shè)時間段內(nèi),某IP地址發(fā)起的IKE協(xié)商成功數(shù)量比較少�,則不能真實反映某個IP地址當(dāng)前有效的IKE安全聯(lián)盟的數(shù)量���。通過以某一預(yù)設(shè)時間間隔循環(huán)與 SA_CUR進行比較���,并保證SA_CNT不小于SA_CUR,可以統(tǒng)計出一段時間內(nèi)某IP地址的SA_ CNT的數(shù)量��,提高了 SA_CNT統(tǒng)計的準(zhǔn)確性���,通過SA_CNT與SA_CUR的比較�,以保證SA_CNT可以真實地反映某個IP地址當(dāng)前有效的IKE安全聯(lián)盟的數(shù)量�,以對IP地址的可靠性進行評估。在實際應(yīng)用過程中�����,通常在預(yù)設(shè)時間段內(nèi)以某一預(yù)設(shè)時間間隔循環(huán)判斷�,如每χ分鐘判斷一次,若SA_CNT大于IP地址對應(yīng)的SA_CUR�����,則SA_CNT減1。步驟20中����,計算IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值,若判斷獲知IP地址發(fā)起的IKE協(xié)商成功數(shù)大于第一協(xié)商閾值���,則IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加1�����,若判斷獲知IKE協(xié)商失敗數(shù)大于第二協(xié)商閾值����,則IKE安全聯(lián)盟協(xié)商成功值減1�。在本實施例中,步驟30�、根據(jù)有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值,確定IP 地址的優(yōu)先級�,具體可以包括步驟301、若判斷獲知IP地址對應(yīng)的有效安全聯(lián)盟值大于第一閾值�����,且IKE安全聯(lián)盟協(xié)商成功值大于第二閾值,則確定IP地址的優(yōu)先級為A級��;步驟302�、若判斷獲知IP地址對應(yīng)的有效安全聯(lián)盟值大于第一閾值,且IKE安全聯(lián)盟協(xié)商成功值不大于第二閾值����,則確定IP地址的優(yōu)先級為B級�����;步驟303�、否則,確定IP地址的優(yōu)先級為C級�。具體可以用,lv_tal�,lV_cnt分別表示第一閾值和第二閾值,第一閾值和第二閾值也可以根據(jù)實際的安全穩(wěn)定需要來設(shè)置���,SA_CNT > lv_cnt并且SA_TAL > lv_tal時����,IP地址的優(yōu)先級為A級��,表示該IP地址重要且可靠;SA_CNT彡lv_cnt并且SA_TAL AVG > lv_ tal時����,IP地址的優(yōu)先級為B級,標(biāo)識該IP地址僅重要�����;其他情況的IP地址的優(yōu)先級為C 級����。當(dāng)處理IKE協(xié)商請求的資源緊張時,處理的優(yōu)先級順序為A級> B級> C級���。也可以通過其他方法進行優(yōu)先級的劃分����,優(yōu)先級的等級也可以為四級或者更多�����,具體可以根據(jù)實際的處理需要來設(shè)置�����,不以本實施例為限。上述步驟30�����、根據(jù)有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值��,確定IP地址的優(yōu)先級��,還可以包括步驟301���、若判斷獲知IP地址對應(yīng)的有效安全聯(lián)盟值與IKE安全聯(lián)盟協(xié)商成功值之和大于第三閾值����,則確定IP地址的優(yōu)先級為A級�;步驟302���、若判斷獲知IP地址對應(yīng)的有效安全聯(lián)盟值與IKE安全聯(lián)盟協(xié)商成功值之和小于第三閾值大于第四閾值�,則確定IP地址的優(yōu)先級為B級����;步驟303、否則�����,確定IP地址的優(yōu)先級為C級。在本實施例中��,可以首先處理優(yōu)先級高的IP地址的IKE協(xié)商請求����,還可以根據(jù)當(dāng)前的IKE協(xié)商處理值和優(yōu)先級對各IP地址的IKE協(xié)商請求進行處理,具體可以包括步驟401����、若判斷獲知當(dāng)前的IKE協(xié)商處理值處于第一協(xié)商處理范圍內(nèi),則只處理優(yōu)先級為A級的IP地址的IKE協(xié)商請求�;步驟402、若判斷獲知當(dāng)前的IKE協(xié)商處理值處于第二協(xié)商處理范圍內(nèi)�,則處理優(yōu)先級為A級或B級的IP地址的IKE協(xié)商請求。在實際應(yīng)用過程中���,IKE協(xié)商控制設(shè)備實際可用最大資源量會限制該IKE協(xié)商控制設(shè)備最大并發(fā)處理IKE協(xié)商的能力�,該能力用η個協(xié)商/秒表示���,通過并發(fā)協(xié)商數(shù)量控制機制的設(shè)置����,保證單位時間接收處理新的IKE協(xié)商數(shù)目不超過這個限制而引起的設(shè)備崩潰。用m表示當(dāng)前實際每秒處理IKE協(xié)商請求的數(shù)量��,即當(dāng)前的IKE協(xié)商處理值��。具體的第一協(xié)商處理范圍可以為(nXa2�����,n]����,表示當(dāng)前IKE協(xié)商處理量大,系統(tǒng)負荷大�����,系統(tǒng)資源有限����,僅對優(yōu)先級為A級的既重要又可靠的IP地址的IKE協(xié)商請求��。第二協(xié)商處理范圍可以為[nXal���,nXa2]��,表示當(dāng)前IKE協(xié)商處理量較多����,可以處理優(yōu)先級為A級的既重要又可靠的IP地址的IKE協(xié)商請求,也可以處理優(yōu)先級為B級的重要的IP地址的IKE協(xié)商請求�����。 若當(dāng)前的IKE協(xié)商處理值不在上述范圍之內(nèi)是����,說明當(dāng)前的IKE協(xié)商處理量較少,系統(tǒng)資源比較充足�����,可以隨機處理各優(yōu)先級的IP地址的IKE協(xié)商請求�。al和a2均可以根據(jù)實際的請求處理需求來設(shè)置,不以本實施例為限�����。通過對當(dāng)前可用資源的判斷���,優(yōu)選選擇可靠性和重要性較高的IP地址的IKE協(xié)商請求進行處理��,進一步提高了 IKE協(xié)商的效果�。圖2為本發(fā)明實施例提供的一種IKE協(xié)商控制設(shè)備結(jié)構(gòu)示意圖,如圖2所示����,該 IKE協(xié)商控制設(shè)備可以實現(xiàn)本發(fā)明任意實施例提供IKE協(xié)商控制方法,該IKE協(xié)商控制設(shè)備包括請求接收模塊21��、查找模塊22和協(xié)商請求處理模塊23���。請求接收模塊21用于接收 IKE協(xié)商請求�����,IKE協(xié)商請求攜帶IP地址���。查找模塊22用于查找IP地址對應(yīng)的優(yōu)先級,其中��,IP地址對應(yīng)的優(yōu)先級由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定���,有效安全聯(lián)盟值用以指示IP地址當(dāng)前有效的IKE安全聯(lián)盟和IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量����,IKE安全聯(lián)盟協(xié)商成功值用以指示IP地址對應(yīng)的IKE協(xié)商成功的數(shù)量�����。協(xié)商請求處理模塊23用于根據(jù)IP地址對應(yīng)的優(yōu)先級�����,對IKE協(xié)商請求進行協(xié)商處理���。 本實施例提供的IKE協(xié)商控制設(shè)備�,通過IP地址的優(yōu)先級來對IP地址的IKE協(xié)商請求進行協(xié)商處理�,該優(yōu)先級由可以反映IP地址重要性和可靠性的有效安全聯(lián)盟值和IKE 安全聯(lián)盟協(xié)商成功值確定。當(dāng)存在大量并發(fā)呼入IKE協(xié)商請求時�,可以優(yōu)先響應(yīng)重要而又可靠的用戶的呼入請求,把可能的攻擊呼入或者不重要的用戶的呼入請求進行拒絕或者延遲處理�,提高對重要用戶服務(wù)的穩(wěn)定性。也避免了因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷���,提高了 IKE協(xié)商效果����。圖3為本發(fā)明實施例提供的另一種IKE協(xié)商控制設(shè)備結(jié)構(gòu)示意圖,如圖3所示����,在本實施例中,該IKE協(xié)商控制設(shè)備還可以包括優(yōu)先級模塊對�����,優(yōu)先級模塊M包括有效安全聯(lián)盟值子模塊11����、IKE安全聯(lián)盟協(xié)商成功值子模塊12和優(yōu)先級確定子模塊13。有效安全聯(lián)盟值子模塊11用于計算IP地址對應(yīng)的有效安全聯(lián)盟值���。IKE安全聯(lián)盟協(xié)商成功值子模塊12用于計算IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值�����。優(yōu)先級確定子模塊13用于根據(jù)有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值��,確定IP地址的優(yōu)先級��。在本實施例中�����,該IKE協(xié)商控制設(shè)備還可以包括白名單模塊14����,白名單模塊14存儲有白名單�,用于當(dāng)接收到IKE協(xié)商請求時,若判斷獲知發(fā)起IKE協(xié)商請求的IP地址未存在于白名單中����,則將IP地址添加到白名單中。通過白名單模塊14的設(shè)置可以根據(jù)網(wǎng)絡(luò)環(huán)境對白名單進行調(diào)整��,提高了 IKE協(xié)商控制設(shè)備的適應(yīng)性��。在本實施例中�,有效安全聯(lián)盟值子模塊11具體可以包括第一判斷單元111、第一累計單元112和計算單元113���。第一判斷單元111用于在預(yù)設(shè)時間段內(nèi)���,若判斷獲知IP地址發(fā)起的IKE協(xié)商或IKE協(xié)商的子安全聯(lián)盟協(xié)商成功,則產(chǎn)生第一中間信號�,若判斷獲知IP 地址已經(jīng)建立的IKE安全聯(lián)盟或IKE協(xié)商的子安全聯(lián)盟被刪除,則產(chǎn)生第二中間信號�����。第一累計單元112用于當(dāng)接收到第一中間信號時,IP地址對應(yīng)的有效安全聯(lián)盟中間值加1�,當(dāng)接收到第二中間信號時,IP地址對應(yīng)的有效安全聯(lián)盟中間值減1�。計算單元113用于計算預(yù)設(shè)數(shù)量的預(yù)設(shè)時間段內(nèi)IP地址對應(yīng)的有效安全聯(lián)盟中間值的平均值,并將平均值作為 IP地址對應(yīng)的有效安全聯(lián)盟值���。在本實施例中����,IKE安全聯(lián)盟協(xié)商成功值子模塊12具體可以包括第二判斷單元 121和第二累計單元122�����。第二判斷單元121若判斷獲知IP地址發(fā)起的IKE協(xié)商成功���,則產(chǎn)生第三中間信號���,若判斷獲知IKE安全聯(lián)盟協(xié)商成功值大于IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值,則產(chǎn)生第四中間信號����。第二累計單元122用于當(dāng)接收到第三中間信號時�,IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加1��,當(dāng)接收到第四中間信號時�����,IKE安全聯(lián)盟協(xié)商成功值減1�����。在本實施例中�,優(yōu)先級確定子模塊13具體可以包括第三判斷單元131和優(yōu)先級單元132��。第三判斷單元131用于若判斷獲知IP地址對應(yīng)的有效安全聯(lián)盟值大于第一閾值����, 且IKE安全聯(lián)盟協(xié)商成功值大于第二閾值,則產(chǎn)生第一優(yōu)先級信號�,若判斷獲知IP地址對應(yīng)的有效安全聯(lián)盟值大于第一閾值,且IKE安全聯(lián)盟協(xié)商成功值不大于第二閾值�,則產(chǎn)生第二優(yōu)先級信號,否則���,產(chǎn)生第三優(yōu)先級信號��。優(yōu)先級單元132用于當(dāng)接收到第一優(yōu)先級信號時��,確定IP地址的優(yōu)先級為A級��,當(dāng)接收到第二優(yōu)先級信號時�,確定IP地址的優(yōu)先級為 B級,當(dāng)接收到第三優(yōu)先級信號時����,確定IP地址的優(yōu)先級為C級。在本實施例中���,可以首先處理優(yōu)先級高的IP地址的IKE協(xié)商請求����,還可以根據(jù)當(dāng)前的IKE協(xié)商處理值和優(yōu)先級對各IP地址的IKE協(xié)商請求進行處理����。相應(yīng)地,協(xié)商請求處理模塊23具體可以包括第四判斷單元141和請求處理單元142����。第四判斷單元141用于若判斷獲知當(dāng)前的IKE協(xié)商處理值處于第一協(xié)商處理范圍內(nèi)時,則產(chǎn)生第一請求處理信號,若判斷獲知當(dāng)前的IKE協(xié)商處理值處于第二協(xié)商處理范圍內(nèi)時�,則產(chǎn)生第二請求處理信號。請求處理單元142用于當(dāng)接收到第一請求處理信號時����,只處理優(yōu)先級為A級的IP地址的IKE協(xié)商請求,當(dāng)接收到第二請求處理信號時����,處理優(yōu)先級為A級或B級的IP地址的 IKE協(xié)商請求���。本發(fā)明實施例提供的IKE協(xié)商控制方法和設(shè)備��,當(dāng)存在大量并發(fā)呼入IKE協(xié)商請求�,可以根據(jù)記錄歷史協(xié)商成功數(shù)據(jù)��,優(yōu)先響應(yīng)重要而又可靠的用戶的呼入請求�,把可能的攻擊呼入或者不重要的移動用戶的呼入請求進行拒絕或者延遲處理,從而提高對重要用戶服務(wù)的穩(wěn)定性�,提高了 IKE協(xié)商的處理效果。而且與該IKE協(xié)商控制設(shè)備連接的多個終端設(shè)備中���,某個終端設(shè)備因遭到病毒侵入而產(chǎn)生大量攻擊呼叫的場景下����,可以有效減少攻擊對安全服務(wù)器系統(tǒng)資源的占用,保證服務(wù)器對其它呼叫的響應(yīng)���。最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案�����,而非對其限制�����;盡管參照前述實施例對本發(fā)明進行了詳細的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對前述實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替換�; 而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍�����。
權(quán)利要求
1.一種IKE協(xié)商控制方法�,其特征在于,包括 接收IKE協(xié)商請求��,所述IKE協(xié)商請求攜帶IP地址;查找所述IP地址對應(yīng)的優(yōu)先級��,其中�����,所述IP地址對應(yīng)的優(yōu)先級由有效安全聯(lián)盟值和 IKE安全聯(lián)盟協(xié)商成功值決定�,所述有效安全聯(lián)盟值用以指示所述IP地址當(dāng)前有效的IKE 安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量,所述IKE安全聯(lián)盟協(xié)商成功值用以指示所述IP地址對應(yīng)的IKE協(xié)商成功的數(shù)量���;根據(jù)所述IP地址對應(yīng)的優(yōu)先級�,對所述IKE協(xié)商請求進行協(xié)商處理��。
2.根據(jù)權(quán)利要求1所述的IKE協(xié)商控制方法�,其特征在于����,所述IP地址對應(yīng)的有效安全聯(lián)盟值的計算方法,具體為計算預(yù)設(shè)數(shù)量的預(yù)設(shè)時間段內(nèi)所述IP地址對應(yīng)的有效安全聯(lián)盟中間值的平均值��,并將所述平均值作為所述IP地址對應(yīng)的有效安全聯(lián)盟值����,其中所述有效安全聯(lián)盟中間值用于指示所述預(yù)設(shè)時間段內(nèi)所述IP地址有效的IKE安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量��。
3.根據(jù)權(quán)利要求1或2所述的IKE協(xié)商控制方法���,其特征在于,所述IP地址對應(yīng)的有效安全聯(lián)盟值的計算方法���,還包括在所述預(yù)設(shè)時間段內(nèi)��,若判斷獲知所述IP地址發(fā)起的IKE協(xié)商或所述IKE協(xié)商的子安全聯(lián)盟協(xié)商成功�,則所述IP地址對應(yīng)的有效安全聯(lián)盟中間值加1����,若判斷獲知所述IP地址已經(jīng)建立的IKE安全聯(lián)盟或所述IKE協(xié)商的子安全聯(lián)盟被刪除,則所述IP地址對應(yīng)的有效安全聯(lián)盟中間值減1����。
4.根據(jù)權(quán)利要求1或2所述的IKE協(xié)商控制方法,其特征在于�����,所述IP地址對應(yīng)的IKE 安全聯(lián)盟協(xié)商成功值的計算方法��,具體為若判斷獲知所述IP地址發(fā)起的IKE協(xié)商成功��,則所述IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加Ni,m為自然數(shù)��;若判斷獲知所述IKE安全聯(lián)盟協(xié)商成功值大于所述IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值�,則所述IKE安全聯(lián)盟協(xié)商成功值減N2,N2為自然數(shù)�����。
5.根據(jù)權(quán)利要求1或2所述的IKE協(xié)商控制方法�,其特征在于,根據(jù)所述有效安全聯(lián)盟值和所述IKE安全聯(lián)盟協(xié)商成功值��,確定各IP地址的優(yōu)先級�����,包括若判斷獲知所述IP地址對應(yīng)的所述有效安全聯(lián)盟值大于第一閾值�����,且所述IKE安全聯(lián)盟協(xié)商成功值大于第二閾值�����,則設(shè)置所述IP地址的優(yōu)先級為A級����;若判斷獲知所述IP地址對應(yīng)的所述有效安全聯(lián)盟值大于所述第一閾值,且所述IKE安全聯(lián)盟協(xié)商成功值不大于所述第二閾值�����,則設(shè)置所述IP地址的優(yōu)先級為B級���; 否則�����,設(shè)置所述IP地址的優(yōu)先級為C級�����。
6.一種IKE協(xié)商控制設(shè)備�,其特征在于�,包括請求接收模塊,用于接收IKE協(xié)商請求�,所述IKE協(xié)商請求攜帶IP地址; 查找模塊���,用于查找所述IP地址對應(yīng)的優(yōu)先級����,其中,所述IP地址對應(yīng)的優(yōu)先級由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定�����,所述有效安全聯(lián)盟值用以指示所述IP地址當(dāng)前有效的IKE安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量���,所述IKE安全聯(lián)盟協(xié)商成功值用以指示所述IP地址對應(yīng)的IKE協(xié)商成功的數(shù)量�����;協(xié)商請求處理模塊���,用于根據(jù)所述IP地址對應(yīng)的優(yōu)先級,對所述IKE協(xié)商請求進行協(xié)商處理���。
7.根據(jù)權(quán)利要求6所述的IKE協(xié)商控制設(shè)備��,其特征在于�,還包括優(yōu)先級模塊��,所述優(yōu)先級模塊包括有效安全聯(lián)盟值子模塊���,用于計算所述IP地址對應(yīng)的有效安全聯(lián)盟值��;IKE安全聯(lián)盟協(xié)商成功值子模塊����,用于計算所述IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值�;優(yōu)先級確定子模塊,用于根據(jù)所述有效安全聯(lián)盟值和所述IKE安全聯(lián)盟協(xié)商成功值���, 確定所述IP地址的優(yōu)先級��。
8.根據(jù)權(quán)利要求7所述的IKE協(xié)商控制設(shè)備�����,其特征在于��,所述有效安全聯(lián)盟值子模塊包括第一判斷單元���,用于在預(yù)設(shè)時間段內(nèi),若判斷獲知所述IP地址發(fā)起的IKE協(xié)商或所述 IKE協(xié)商的子安全聯(lián)盟協(xié)商成功����,則產(chǎn)生第一中間信號����,若判斷獲知所述IP地址已經(jīng)建立的IKE安全聯(lián)盟或所述IKE協(xié)商的子安全聯(lián)盟被刪除�����,則產(chǎn)生第二中間信號���;第一累計單元����,用于當(dāng)接收到所述第一中間信號時��,所述IP地址對應(yīng)的有效安全聯(lián)盟中間值加1�,當(dāng)接收到所述第二中間信號時,所述IP地址對應(yīng)的有效安全聯(lián)盟中間值減1 �; 計算單元,用于計算預(yù)設(shè)數(shù)量的所述預(yù)設(shè)時間段內(nèi)所述IP地址對應(yīng)的有效安全聯(lián)盟中間值的平均值�,并將所述平均值作為所述IP地址對應(yīng)的有效安全聯(lián)盟值。
9.根據(jù)權(quán)利要求7所述的IKE協(xié)商控制設(shè)備�,其特征在于,IKE安全聯(lián)盟協(xié)商成功值子模塊包括第二判斷單元���,若判斷獲知所述IP地址發(fā)起的IKE協(xié)商成功�����,則產(chǎn)生第三中間信號��,若判斷獲知所述IKE安全聯(lián)盟協(xié)商成功值大于所述IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值��,則產(chǎn)生第四中間信號����;第二累計單元�����,用于當(dāng)接收到所述第三中間信號時����,所述IP地址對應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加1,當(dāng)接收到所述第四中間信號時�,所述IKE安全聯(lián)盟協(xié)商成功值減1。
10.根據(jù)權(quán)利要求7所述的IKE協(xié)商控制設(shè)備���,其特征在于����,所述優(yōu)先級確定子模塊包括第三判斷單元,用于若判斷獲知所述IP地址對應(yīng)的所述有效安全聯(lián)盟值大于第一閾值����,且所述IKE安全聯(lián)盟協(xié)商成功值大于第二閾值,則產(chǎn)生第一優(yōu)先級信號���,若判斷獲知所述IP地址對應(yīng)的所述有效安全聯(lián)盟值大于所述第一閾值����,且所述IKE安全聯(lián)盟協(xié)商成功值不大于所述第二閾值�����,則產(chǎn)生第二優(yōu)先級信號���,否則���,產(chǎn)生第三優(yōu)先級信號;優(yōu)先級單元����,用于當(dāng)接收到所述第一優(yōu)先級信號時�,確定所述IP地址的優(yōu)先級為A級��, 當(dāng)接收到所述第二優(yōu)先級信號時��,確定所述IP地址的優(yōu)先級為B級�,當(dāng)接收到所述第三優(yōu)先級信號時,確定所述IP地址的優(yōu)先級為C級�����。
全文摘要
本發(fā)明實施例提供一種IKE協(xié)商控制方法和設(shè)備�����,該IKE協(xié)商控制方法包括接收IKE協(xié)商請求�,IKE協(xié)商請求攜帶IP地址�;查找IP地址對應(yīng)的優(yōu)先級;根據(jù)IP地址對應(yīng)的優(yōu)先級��,對IKE協(xié)商請求進行協(xié)商處理�����。該IKE協(xié)商控制設(shè)備包括請求接收模塊����、查找模塊和協(xié)商請求處理模塊�。本發(fā)明實施例提供的IKE協(xié)商控制方法和設(shè)備��,可以解決現(xiàn)有技術(shù)中大量IKE協(xié)商請求并發(fā)時����,因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷,提高了IKE協(xié)商效果�����。
文檔編號H04L29/06GK102231737SQ20111017115
公開日2011年11月2日 申請日期2011年6月23日 優(yōu)先權(quán)日2011年6月23日
發(fā)明者劉培元, 吳體輝, 王曉鋒 申請人:成都市華為賽門鐵克科技有限公司