[发明专利]一种密钥管理协议协商的方法、系统和装置

说明书

技术领域

本发明涉及网络安全技术，特别涉及一种密钥管理协议(IKE)协商的方法、系统和装置。

背景技术

网络协议安全(IPsec)是为IP网络通信提供透明安全服务，保护TCP/IP通信免遭窃听和篡改，有效抵御网络攻击的协议。IPsec协议可以提供访问控制、无连接的完整性、数据来源验证、防重放、机密性。它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证(AH)协议、封装安全载荷(ESP)协议、密钥管理协议(IKE)和用于网络认证及加密的一些算法等。其中，IKE是用于两个网络节点之间协商IPSec安全联盟(SA)的协议，可以用于协商使用的安全协议，交换IPSec认证和加密的密钥，对通信双方进行认证，对协商出来的密钥进行管理。

在实际的组网结构中，点对多点的组网方式通常需要一个网络节点与其它多个网络节点之间进行通信，这就需要一个网络节点与其它多个网络节点进行IKE协商。图1为现有技术中的一种点对多点的组网实例，在图1中，每一个远程站点都与同一个核心站点存在虚拟个人网络(VPN)连接，而各远程站点之间没有VPN连接，如果远程站点之间需要通过VPN通信，则必须借助核心站点转发来完成。在诸如图1所示的组网方式中，就需要核心站点的设备具备同时与多个远程站点建立IPsec连接来创建SA的功能，这种在点对多点组网结构创建SA通常采用IKE自动协商的方式。其中，核心站点与每个远程站点之间分别存在一条IPsec连接。

现有技术中，诸如核心站点和远程站点等网络节点的主控板来集中完成IKE的自动协商处理，例如，当发送协商请求时，都是由主控板处理后发送出去，接收到其它网络节点发送的协商请求时，都送至主控板进行处理。由于主控板的集中处理能力有限，当核心站点需要同时与多个远程站点建立IPsec连接时，要同时与多个远程站点进行IKE协商，此时，同时进行的多组IKE协商都由核心站点的主控板执行，往往会带来协商速度低下等问题。

发明内容

本发明实施例提供了一种IKE协商的方法和网络节点，提高网络节点的IKE协商速度。

一种IKE协商的方法，该方法包括：

接收到IKE协商报文后，判断是否存在针对该IKE协商报文的业务板触发对应关系，如果否，则按照预设的策略触发业务板进行IKE协商处理，并存储针对该IKE协商报文的业务板触发对应关系。

一种IKE协商的方法，该方法包括：

接收到数据报文后，按照预设的策略触发业务板发送IKE协商报文，并存储针对该IKE协商报文的业务板触发对应关系。

一种网络节点，该网络节点包括：收发单元、存储单元、判断单元、预处理单元和业务板；

所述收发单元，用于接收IKE协商报文；

所述存储单元，用于存储业务板触发对应关系；

所述判断单元，用于判断所述存储单元中是否存在针对该IKE协商报文的业务板触发对应关系；

所述预处理单元，用于在所述判断单元判断不存在所述针对该IKE协商报文的业务板触发对应关系时，按照预设的策略向业务板发送第一触发通知；

所述业务板，用于接收到预处理单元发送的第一触发通知后，进行IKE协商，并将针对该IKE协商报文的业务板触发对应关系提供给所述存储单元。

一种网络节点，该网络节点包括：收发单元、预处理单元、业务板和存储单元；

所述收发单元，用于接收数据报文，发送所述业务板提供的IKE协商报文；

所述预处理单元，用于在所述收发单元接收到数据报文后，按照预设的策略向业务板发送触发通知；

所述业务板，用于接收到所述预处理单元发送的触发通知后，生成IKE协商报文并提供给所述收发单元，并将针对该IKE协商报文的业务板触发对应关系提供给存储单元；

所述存储单元，用于存储所述针对该IKE协商报文的业务板触发对应关系。