[发明专利]IKE协商的拥塞控制方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种IKE协商的拥塞控制方法及装置。

背景技术

IPSec（IP Security，IP（Internet Protocol，因特网协议）安全）是IETF（Internet Engineering Task Force，因特网工程任务组）制定的为保证在Internet上传送数据的安全加密性能的框架协议。IPSec是一种三层隧道加密协议，为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN（Virtual Private Network，虚拟专用网络）的安全技术。特定的通信方之间通过建立IPSec隧道来传输用户的私有数据，并在IP层提供数据机密性、数据完整性、数据来源认证以及防重放的安全服务。

IKE（Internet Key Exchange，因特网密钥交换协议）是IPSec的信令协议，为IPSec提供了自动协商交换密钥、建立安全联盟（Security Association，SA）的服务，能够简化IPSec的使用和管理，大大简化IPSec的配置和维护工作。IKE不是在网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，并且即使第三者截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。IKE具有一套自保护机制，可以在不安全的网络上安全的分发密钥，验证身份，建立IPSec安全联盟。

IKE使用了两个阶段为IPSec进行密钥协商并建立SA，分别称为第一阶段和第二阶段：

（1）第一阶段：在网络上建立IKE SA，为其它协议的协商（第二阶段）提供保护和快速协商。通过协商创建一个通信信道，并对该信道进行认证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源认证服务。主要有主模式（Main Mode）和野蛮模式（Aggressive Mode）两种IKE交换方式。

（2）第二阶段：在第一阶段中建立的IKE SA的保护下，为IPSec协商具体的SA，建立用于最终的IP数据安全传输的IPSec SA，采用快速模式（Quick Mode）进行协商。

IKE协商过程（包括第一阶段和第二阶段的协商）是比较消耗资源的，包括CPU资源和内存资源，而以CPU资源为主。以IKEv1（IKE version1，IKE版本1）协议中采用主模式的第一阶段的协商过程为例，协商双方需要进行六条报文的交互（发起端和响应端各自发送三条报文）。由于IKE使用UDP（User Datagram Protocol，用户数据报协议）协议进行报文发送，而UDP协议是无状态的，因此，IKE协商过程中的状态信息（包括协商双方的身份、协商的标识和算法信息等）都是由协商双方各自的IKE模块自身保存的，通常将用于保存IKE协商过程中的状态信息的数据称为EXCHANGE（简称EXCH），即状态机。状态机是受到报文推动而改变其状态的，每次收到对端的协商报文后，IKE就将一些状态信息保存在对应的EXCH中，并开始构造响应报文，这就形成了一次交互，当所有交互完成后，EXCH就完成了协商过程。

每一次协商都需要创建一个EXCH，如果有多个对端同时与本端进行协商，或者在第一阶段建立的一个IKE SA中需要协商多个第二阶段的IPSec SA，那么，系统中就会同时存在多个EXCH，每一个EXCH都会占用一定的CPU资源。当并发存在的EXCH达到了一定的量级时，拥塞就会发生，此时CPU异常繁忙，每一个EXCH都可能需要等待很长的时间才能得到CPU时间，当在一定的时间内（通常这个时间为1分钟左右），协商还未完成，协商就失败了，EXCH中已经记录的信息会被丢弃掉。当拥塞发生时，系统可能仍会不停地创建新的EXCH，而已经存在的EXCH又不能及时完成协商，从而导致最终谁也无法完成协商，系统处于僵死状态。

为了避免上述情况的发生，就需要引入拥塞控制机制，其关键点是：合理控制系统中同时存在的EXCH的个数，保证所有已经创建的EXCH都能够在合理的时间内完成协商。

由于IKE协议自身并没有定义拥塞控制机制，因此，目前各个厂商普遍采用的方式是限制并发的EXCH的个数即，即，限制系统中同时存在的EXCH的个数。具体的，当系统中EXCH的个数达到了预定义的最大EXCH个数时，所有新的协商请求都将被拒绝。由于系统中同时存在的EXCH的个数被严格限制，因此系统进入拥塞状态的可能性被大大降低了。

但是，上述限制并发的EXCH的个数的拥塞控制方法存在以下两个问题：