技術領域

本發明涉及計算機網絡技術領域，具體涉及一種使用約定方式的IPSEC密鑰更新方法及設備。

背景技術

其中對于IPSEC(Internet Protocol Security,因特網協議安全性)單元來說引入了兩套IPSEC狀態保活機制，其中一套為最早制定的KEEPALIVE方式，即本端設備會周期性向對端設備發送keepalive(保活)報文，等待對端設備的回應，當本端設備連續發送一定數量的keepalive(保活)報文沒有回應時，認為對端設備的狀態異常，從而刪除IPSEC本端設備與對端設備的隧道，然而在大流量情況下會出現keepalive(保活)報文頻繁丟失導致誤判的情況。產生上述情況的原因是網絡設備大多以轉發性能優先，而keepalive(保活)報文作為主機報文在流量很大的情況下，首先被丟棄。在keepalive(保活)報文頻繁丟失導致誤判情況下，會出現IPSEC隧道振蕩(主用隧道的流量在短時間內不斷閃斷的故障形式)的問題出現，為了解決這個問題，修訂出了DPD(Digital Pre-Distortion,數字預失真)探測方法，也就是當有IPSEC隧道流量并報文正常時，即可認為此IPSEC隧道就是可用的，那么就不會發送DPD探測報文，當沒有IPSEC流量時，就會發送DPD探測報文。

在現有IPSEC隧道進行協商時，必須保證兩端的IKE(Internet key exchange，密鑰交換協議)密鑰更新時間一致，否則將會出現遠端接入掉線的問題。且在IPSEC協議里規定，IPSEC密鑰有一定的時效性，也就是使用過了固定時間，就會失效，例如配置了IPSEC密鑰8小時有效，那么如果沒有及時協商出新的IPSEC密鑰，該IPSEC密鑰也不能夠再用了，只能刪除整個隧道。IPSEC密鑰更新過程中由于網絡擁堵出現丟包，進而會不斷的重新進行更新，如果更新不不及時會導致上述問題的出現。

在現有技術中，為了避免上述問題的出現，通過升級設備性能提高轉發性能來減小IPSEC協商報文丟失的概率，保證IPSEC密鑰及時更新，減少IPSEC隧道振蕩。但是升級設備成本高,一般用戶不會采用此種方法。

發明內容

本發明的目的是提供一種根據DPD探測報文來探測網絡狀態，再根據隧道是否有IPSEC數據流量來計算網絡擁堵指數，根據網絡擁堵指數計算出IPSEC密鑰提前更新時間的方法，做到IPSEC密鑰協商提前完成，從而從根本上避免由于網絡擁堵造成的IPSEC密鑰更新失敗。

根據本發明的一個方面，一種使用約定方式的IPSEC密鑰更新方法包括下列步驟：

S1，本端向對端發送DPD請求保活報文，若本端未接收到對端所發送的所述DPD請求報文的回應報文則執行S2；

S2，判斷本端與對端間的通信隧道是否有IPSEC數據流量，若有IPSEC數據流量，則執行S3；

S3，增加所述通信隧道的網絡擁堵指數m的權值，根據加權后的網絡擁堵指數m值判斷是否對IPSEC密鑰進行更新。

優選的是，所述根據加權后的m值判斷是否對IPSEC密鑰進行更新的步驟為：

根據加權后的m值，計算IPSEC密鑰更新提前率K＝q*m，

若t>T-K成立，則IPSEC密鑰開始更新；

若t>T-K不成立，則再次執行S2；

其中，q為預設的提前時間系數，t為當前時間，T為預設的IPSEC密鑰更新時間。

優選的是，所述q的取值范圍為1到100。

優選的是，所述q的值為30。

優選的是，在步驟S2中還包括：若沒有IPSEC數據流量，則增加所述通信隧道的異常指數h的權值；當增加權值后的異常指數h的大小達到斷開指數n時，則斷開所述通信隧道，當增加權值后的異常指數h的大小未達到斷開指數n時，則在間隔時間后重新執行S2，其中所述斷開指數n為大于1的整數。

根據本發明的另一個方面，一種使用約定方式的IPSEC密鑰更新方法的設備包括：

DPD請求保活報文監聽單元，用于當本端向對端發送DPD請求保活報文時，監聽是否收到對端所發送的所述DPD請求保活報文的回應報文，若否，給IPSEC數據流量判斷單元發送第一信號；

IPSEC數據流量判斷單元，根據第一信號檢測隧道是否有IPSEC數據流量，若是，給網絡擁堵指數計數單元發第二信號；

網絡擁堵指數m計數單元，根據第二信號增加當前通信隧道的網絡擁堵指數m的權值；