技術(shù)領(lǐng)域：

本發(fā)明涉及信息安全和數(shù)據(jù)通信領(lǐng)域，特別涉及一種利用IKE(Internet Key?Exchange因特網(wǎng)密鑰交換協(xié)議)監(jiān)測(cè)IPSec?VPN中通信節(jié)點(diǎn)狀態(tài)的實(shí)現(xiàn)方 法。

背景技術(shù)：

IPsec(Security?Architecture?for?IP?network)用來(lái)保護(hù)一條或多條 主機(jī)與主機(jī)間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機(jī)間的路徑，而對(duì)IPSec 加密所用到的算法和密鑰經(jīng)常需要用IKE(Internet?Key?Exchange因特網(wǎng)密 鑰交換協(xié)議)的方式來(lái)進(jìn)行協(xié)商和管理。

然而，當(dāng)兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)在通過(guò)IKE或IPSec通信時(shí)，時(shí)常會(huì)出現(xiàn)一些不可 預(yù)測(cè)的因素導(dǎo)致兩個(gè)節(jié)點(diǎn)之間的連接斷開(kāi)，比如路由出錯(cuò)或網(wǎng)絡(luò)設(shè)備重啟等 等。這時(shí)用于數(shù)據(jù)加密的SAs(Security?Association，其中存儲(chǔ)了相關(guān)的驗(yàn) 證、加密等算法及相關(guān)的密鑰信息)就會(huì)殘留在網(wǎng)絡(luò)設(shè)備中只至它們的生命期 耗盡；同時(shí)報(bào)文也將被發(fā)往一個(gè)永遠(yuǎn)也不可達(dá)的網(wǎng)絡(luò)節(jié)點(diǎn)。所以對(duì)于及時(shí)的發(fā) 現(xiàn)這些已經(jīng)不可達(dá)的節(jié)點(diǎn)并刪除本地網(wǎng)絡(luò)設(shè)備中和這個(gè)不可達(dá)節(jié)點(diǎn)相關(guān)的信 息是很有必要的。

而目前網(wǎng)絡(luò)中，探測(cè)IKE死節(jié)點(diǎn)的方式是通過(guò)定期的發(fā)送keepalive消息， 同時(shí)由于對(duì)IKE死節(jié)點(diǎn)發(fā)現(xiàn)的實(shí)時(shí)性要求，這些消息就需要以比較高的頻率發(fā) 送，這樣以來(lái)又加重了報(bào)文處理的負(fù)擔(dān)。所以在一些需要大量IKE會(huì)話(huà)的網(wǎng)關(guān) 設(shè)備中，這些定期發(fā)送Keepalive消息的方式是不可取的。

發(fā)明內(nèi)容：

基于上述考慮，為解決上述網(wǎng)絡(luò)節(jié)點(diǎn)通信中所存在的問(wèn)題以及現(xiàn)有技術(shù)方 案的局限，本發(fā)明的目的是提供一種利用IKE監(jiān)測(cè)IPSec?VPN中通信節(jié)點(diǎn)狀態(tài) 的實(shí)現(xiàn)方法。該技術(shù)方案不需要定期的發(fā)送keepalive消息，主要依賴(lài)IKE Notify消息機(jī)制來(lái)檢測(cè)IKE節(jié)點(diǎn)是否可以到達(dá)。這種DPD(Dead?Peer?Detection) 探測(cè)將只在需要的時(shí)候發(fā)送IKE報(bào)文來(lái)檢測(cè)IKE節(jié)點(diǎn)的狀態(tài)，達(dá)到通過(guò)發(fā)送最 少的報(bào)文數(shù)來(lái)及時(shí)獲得IKE節(jié)點(diǎn)當(dāng)前狀態(tài)的目的。

本發(fā)明為了能及時(shí)監(jiān)測(cè)到IPSec?VPN中的死結(jié)點(diǎn)，利用正常的IPSec交互 報(bào)文及發(fā)送IKE中的消息載荷報(bào)文以檢測(cè)對(duì)端VPN節(jié)點(diǎn)狀態(tài)。主要過(guò)程是首先 利用收到的IPSec報(bào)文更新對(duì)端節(jié)點(diǎn)的網(wǎng)絡(luò)狀態(tài)；然后發(fā)送IPSec報(bào)文時(shí)檢測(cè) 當(dāng)前鏈路狀態(tài)，如果最近鏈路中沒(méi)有收到任何IPSec報(bào)文，則發(fā)送IPSec報(bào)文 的同時(shí)向IKE模塊發(fā)送DPD事件定時(shí)啟動(dòng)消息；下一步在DPD事件到達(dá)時(shí)，如 果近期收到任何來(lái)自對(duì)待節(jié)點(diǎn)的IPSec報(bào)文，則取消對(duì)此次DPD詢(xún)問(wèn)對(duì)待節(jié)點(diǎn) 狀態(tài)消息的發(fā)送；如果近期未收到任何來(lái)自對(duì)待節(jié)點(diǎn)的IPSec報(bào)文，則發(fā)送DPD 消息，并等待對(duì)端節(jié)點(diǎn)的回復(fù)消息；在發(fā)送幾次(由用戶(hù)指定)DPD消息均無(wú) 回復(fù)的情況下指定該對(duì)端節(jié)點(diǎn)狀態(tài)為不可大，并刪除本地存儲(chǔ)的與該節(jié)點(diǎn)關(guān)聯(lián) 的二個(gè)階段的SA(Security?Association，其中存儲(chǔ)了相關(guān)的驗(yàn)證、加密等算 法及相關(guān)的密鑰信息)信息。

具體而言，上述方案可以分為以下兩種方式：

1、DPD?Periodic方式：

在有正常的IPSec報(bào)文交互的過(guò)程中，將不發(fā)送IKE報(bào)文來(lái)檢測(cè)IKE 節(jié)點(diǎn)的狀態(tài)，因?yàn)榇藭r(shí)交互的IPSec報(bào)文已經(jīng)可以證明相應(yīng)的IKE 節(jié)點(diǎn)是可以到達(dá)的。

在沒(méi)有IPSec報(bào)文交互的時(shí)期，將通過(guò)定期發(fā)送R_U_THERE消息給 IKE節(jié)點(diǎn)，如果收到對(duì)端IKE節(jié)點(diǎn)返回的R_U_THERE_ACK消息，則該 IKE節(jié)點(diǎn)可以到達(dá)；如果發(fā)送三次R_U_THERE消息后仍然沒(méi)有收到對(duì) 端節(jié)點(diǎn)返回的R_U_THERE_ACK消息，則對(duì)端節(jié)點(diǎn)已不可達(dá)，此時(shí)需 要?jiǎng)h除本地存儲(chǔ)的與該死節(jié)點(diǎn)相關(guān)的信息。

2、DPD?On?demand方式：

僅當(dāng)發(fā)送IPSec報(bào)文而收不到回復(fù)報(bào)文時(shí)會(huì)觸發(fā)R_U_THERE消息的 發(fā)送，如果收到R_U_THERE_ACK的回復(fù)消息，則證明該IKE端點(diǎn)可 達(dá)；如果發(fā)送三次R_U_THERE消息后仍然沒(méi)有收到對(duì)端節(jié)點(diǎn)返回的 R_U_THERE_ACK消息，則對(duì)端節(jié)點(diǎn)已不可達(dá)，此時(shí)需要?jiǎng)h除本地存儲(chǔ) 的與該死節(jié)點(diǎn)相關(guān)的信息。

上述發(fā)明的有益效果為：

與ipsec中原有的周期性keepalive功能相比，dpd具有產(chǎn)生數(shù)據(jù)流量 小、檢測(cè)及時(shí)、隧道恢復(fù)快的優(yōu)點(diǎn)。