專(zhuān)利名稱(chēng):Ike協(xié)商控制方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及通信安全技術(shù),尤其涉及一種IKE協(xié)商控制方法和設(shè)備�。
背景技術(shù):
隨著網(wǎng)絡(luò)傳輸安全技術(shù)的發(fā)展,通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸,對(duì)數(shù)據(jù)的保護(hù)和保密是一種普遍的需求���,IPSec協(xié)議是滿(mǎn)足這種需求的一種主流數(shù)據(jù)加密協(xié)議�����。當(dāng)用戶(hù)需要遵循IPSec協(xié)議進(jìn)行數(shù)據(jù)加密通信的時(shí)候����,首先需要確定通信雙方的身份��、使用的加密格式��、算法�、密鑰等信息。這些信息僅通信雙方知道并在一個(gè)時(shí)間段內(nèi)有效��,這些信息集合被稱(chēng)為一個(gè)安全聯(lián)盟(Security Association��,簡(jiǎn)稱(chēng)SA)����。之后�����,通信雙方用戶(hù)依照安全聯(lián)盟中約定的信息進(jìn)行加密通信。通信雙方之間的安全聯(lián)盟可以手工協(xié)商建立或者動(dòng)態(tài)協(xié)商建立�,由于手工協(xié)商建立配置過(guò)程較為煩瑣和費(fèi)時(shí),所以一般都采用動(dòng)態(tài)協(xié)商建立安全聯(lián)盟����。動(dòng)態(tài)建立安全聯(lián)盟通常遵循互聯(lián)網(wǎng)密鑰交換(Internet key exchange,簡(jiǎn)稱(chēng)IIffi)協(xié)議��,IKE協(xié)議是一種混合型協(xié)議���,建立在安全聯(lián)盟和密鑰管理(Internet Security Association and Key Management Protocol����,簡(jiǎn)稱(chēng)ISAKMP)和IPSec安全聯(lián)盟的基礎(chǔ)上�,專(zhuān)門(mén)用來(lái)在網(wǎng)絡(luò)通信的兩個(gè)對(duì)端之間動(dòng)態(tài)的協(xié)商建立安全聯(lián)盟。ISAKMP協(xié)議是IKE的核心組成部分��,主要提供了兩個(gè)階段的協(xié)商第一階段為通信雙方建立一個(gè)安全的IKE安全聯(lián)盟���;第二階段使用第一階段已經(jīng)建立的IKE安全聯(lián)盟并在此安全聯(lián)盟的保護(hù)下��,建立子安全聯(lián)盟(例如IPSec安全聯(lián)盟)���,用于用戶(hù)通信數(shù)據(jù)的加
滋
Γ t [ OIKE協(xié)議本身的特點(diǎn)決定了它需要消耗協(xié)商兩端設(shè)備較多的處理器計(jì)算資源和存儲(chǔ)空間���,尤其當(dāng)通信一方為多個(gè)用戶(hù)設(shè)備,該多個(gè)用戶(hù)設(shè)備同時(shí)向通信另一方的單一用戶(hù)設(shè)備發(fā)起IKE協(xié)商請(qǐng)求時(shí)����,該單一用戶(hù)設(shè)備容易因資源短缺而導(dǎo)致IKE協(xié)商失敗。針對(duì)該技術(shù)問(wèn)題�,現(xiàn)有技術(shù)提供了一種會(huì)話(huà)的控制方法,該方法通過(guò)在安全服務(wù)器中預(yù)先為固定的用戶(hù)設(shè)備分配安全服務(wù)器的系統(tǒng)資源用于IKE協(xié)商�����,這部分資源為預(yù)定義用戶(hù)設(shè)備與安全服務(wù)器進(jìn)行IKE協(xié)商時(shí)候獨(dú)享�����。該會(huì)話(huà)的控制方法在實(shí)際的IKE協(xié)商應(yīng)用過(guò)程中至少存在兩個(gè)問(wèn)題一�、安全服務(wù)器需要預(yù)先配置,增加了設(shè)備的配置難度���,而且也不能適應(yīng)網(wǎng)絡(luò)環(huán)境的改變��。二�、造成資源浪費(fèi)����,即便沒(méi)有IKE協(xié)商,預(yù)先分配的系統(tǒng)資源也在空閑等待���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種IKE協(xié)商控制方法和設(shè)備�����,以解決現(xiàn)有技術(shù)中大量IKE協(xié)商請(qǐng)求并發(fā)時(shí)����,因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷���,以提高IKE協(xié)商效果�。本發(fā)明實(shí)施例提供一種IKE協(xié)商控制方法��,包括接收IKE協(xié)商請(qǐng)求��,所述IKE協(xié)商請(qǐng)求攜帶IP地址����; 查找所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)����,其中�����,所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定�����,所述有效安全聯(lián)盟值用以指示所述IP地址當(dāng)前有效的 IKE安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量��,所述IKE安全聯(lián)盟協(xié)商成功值用以指示所述IP地址對(duì)應(yīng)的IKE協(xié)商成功的數(shù)量���;根據(jù)所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)�,對(duì)所述IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理��。本發(fā)明實(shí)施例提供一種IKE協(xié)商控制設(shè)備����,包括請(qǐng)求接收模塊,用于接收IKE協(xié)商請(qǐng)求��,所述IKE協(xié)商請(qǐng)求攜帶IP地址����;查找模塊�����,用于查找所述IP地址對(duì)應(yīng)的優(yōu)先級(jí),其中�,所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定,所述有效安全聯(lián)盟值用以指示所述IP 地址當(dāng)前有效的IKE安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量�,所述IKE安全聯(lián)盟協(xié)商成功值用以指示所述IP地址對(duì)應(yīng)的IKE協(xié)商成功的數(shù)量;協(xié)商請(qǐng)求處理模塊���,用于根據(jù)所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)����,對(duì)所述IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理�。由上述技術(shù)方案可知,本發(fā)明實(shí)施例提供的IKE協(xié)商控制方法和設(shè)備���,通過(guò)IP地址的優(yōu)先級(jí)來(lái)對(duì)IP地址的IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理���,該優(yōu)先級(jí)由可以反映IP地址重要性和可靠性的有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值確定。當(dāng)存在大量并發(fā)呼入IKE 協(xié)商請(qǐng)求時(shí)�,可以?xún)?yōu)先響應(yīng)重要而又可靠的用戶(hù)的呼入請(qǐng)求���,把可能的攻擊呼入或者不重要的用戶(hù)的呼入請(qǐng)求進(jìn)行拒絕或者延遲處理,提高對(duì)重要用戶(hù)服務(wù)的穩(wěn)定性�����。也避免了因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷��,提高了 IKE協(xié)商效果����。
圖1為本發(fā)明實(shí)施例提供的IKE協(xié)商控制方法流程圖;圖2為本發(fā)明實(shí)施例提供的一種IKE協(xié)商控制設(shè)備結(jié)構(gòu)示意圖���;圖3為本發(fā)明實(shí)施例提供的另一種IKE協(xié)商控制設(shè)備結(jié)構(gòu)示意圖���。附圖標(biāo)記21-請(qǐng)求接收模塊;22-查找模塊���;23-協(xié)商請(qǐng)求處理模塊���; 24-優(yōu)先級(jí)模塊;11-有效安全聯(lián)盟值子模塊;12-IKE安全聯(lián)盟協(xié)商成功值子模塊���;13-優(yōu)先級(jí)確定子模塊����; 14-白名單模塊�;111-第一判斷單元;112-第一累計(jì)單元�;113-計(jì)算單元; 121-第二判斷單元��;122-第二累計(jì)單元�����;131-第三判斷單元�����;132-優(yōu)先級(jí)單元�����;141-第四判斷單元�����;142-請(qǐng)求處理單元�。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合本發(fā)明實(shí)施例��, 對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述。需要說(shuō)明的是����,在附圖或說(shuō)明書(shū)中, 相似或相同的元件皆使用相同的附圖標(biāo)記��。圖1為本發(fā)明實(shí)施例提供的IKE協(xié)商控制方法流程圖�,如圖1所示,在本實(shí)施例中���,該IKE協(xié)商控制方法包括步驟Si����、接收IKE協(xié)商請(qǐng)求,IKE協(xié)商請(qǐng)求攜帶IP地址����;在實(shí)際應(yīng)用中,終端設(shè)備具體可以通過(guò)網(wǎng)關(guān)連入網(wǎng)絡(luò)�,也可以直接連入網(wǎng)絡(luò),終端設(shè)備具有固定的IP地址以標(biāo)識(shí)該終端設(shè)備的身份��。終端設(shè)備向IKE協(xié)商控制設(shè)備發(fā)送IKE 協(xié)商請(qǐng)求�����,IKE協(xié)商請(qǐng)求攜帶IP地址��,以與IKE協(xié)商控制設(shè)備建立安全聯(lián)盟�。IKE協(xié)商控制設(shè)備具體也可以設(shè)置在網(wǎng)關(guān)中�����。具體的�����,可以在IKE協(xié)商控制設(shè)備中設(shè)置白名單���,白名單中記錄了可以與該IKE協(xié)商控制設(shè)備建立安全聯(lián)盟的IP地址���,IKE協(xié)商控制設(shè)備可以根據(jù)白名單的設(shè)置對(duì)某一 IP地址發(fā)起的IKE協(xié)商請(qǐng)求進(jìn)行處理�����。白名單可以為一包含固有內(nèi)容的文件����,也可以根據(jù)實(shí)際情況對(duì)其中的IP地址進(jìn)行添加和刪除��,不以本實(shí)施例為限��。步驟S2����、查找IP地址對(duì)應(yīng)的優(yōu)先級(jí),其中�����,IP地址對(duì)應(yīng)的優(yōu)先級(jí)由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定���,有效安全聯(lián)盟值用以指示IP地址當(dāng)前有效的IKE安全聯(lián)盟和IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量����,IKE安全聯(lián)盟協(xié)商成功值用以指示IP地址對(duì)應(yīng)的 IKE協(xié)商成功的數(shù)量;IP地址對(duì)應(yīng)的有效安全聯(lián)盟值包括有效IKE安全聯(lián)盟值和該IKE安全聯(lián)盟下的子安全聯(lián)盟值��,通常在一個(gè)成功建立的IKE安全聯(lián)盟保護(hù)下�,終端設(shè)備和IKE協(xié)商控制設(shè)備可以建立多個(gè)子安全聯(lián)盟,子安全聯(lián)盟用于保護(hù)數(shù)據(jù)傳輸�,子安全聯(lián)盟具體可以為IPSec安全聯(lián)盟。IP地址對(duì)應(yīng)的有效安全聯(lián)盟值可以反映該IP地址的重要性��。IP地址對(duì)應(yīng)的IKE 安全聯(lián)盟協(xié)商成功值可以反映該IP地址的可靠性�����。通過(guò)IP地址對(duì)應(yīng)的有效安全聯(lián)盟值和 IKE安全聯(lián)盟協(xié)商成功值��,可以反映該IP地址的重要性和可靠性�����,根據(jù)有效安全聯(lián)盟值和 IKE安全聯(lián)盟協(xié)商成功值對(duì)IP地址的優(yōu)先級(jí)進(jìn)行劃分�,以作為對(duì)IKE協(xié)商請(qǐng)求處理的依據(jù)�����。 IP地址的優(yōu)先級(jí)也可以根據(jù)與用戶(hù)的業(yè)務(wù)往來(lái)預(yù)先設(shè)定,不以本實(shí)施例為限��。步驟S3���、根據(jù)IP地址對(duì)應(yīng)的優(yōu)先級(jí)�,對(duì)IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理����。本實(shí)施例提供的IKE協(xié)商控制方法,通過(guò)IP地址的優(yōu)先級(jí)來(lái)對(duì)IP地址的IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理���,該優(yōu)先級(jí)由可以反映IP地址重要性和可靠性的有效安全聯(lián)盟值和IKE 安全聯(lián)盟協(xié)商成功值確定�。當(dāng)存在大量并發(fā)呼入IKE協(xié)商請(qǐng)求時(shí)���,可以?xún)?yōu)先響應(yīng)重要而又可靠的用戶(hù)的呼入請(qǐng)求�����,把可能的攻擊呼入或者不重要的用戶(hù)的呼入請(qǐng)求進(jìn)行拒絕或者延遲處理�,提高對(duì)重要用戶(hù)服務(wù)的穩(wěn)定性���。也避免了因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷��,提高了 IKE協(xié)商效果���。在本實(shí)施例中�,該IKE協(xié)商控制方法��,還可以包括確定IP地址對(duì)應(yīng)的優(yōu)先級(jí)的步驟步驟10���、計(jì)算IP地址對(duì)應(yīng)的有效安全聯(lián)盟值���;步驟20、計(jì)算IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值��;步驟30�����、根據(jù)有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值����,確定IP地址的優(yōu)先級(jí)。在本實(shí)施例中����,步驟10、計(jì)算IP地址對(duì)應(yīng)的有效安全聯(lián)盟值之前�,還可以包括步驟40、當(dāng)接收到IKE協(xié)商請(qǐng)求時(shí)���,若判斷獲知發(fā)起IKE協(xié)商請(qǐng)求的IP地址未存在于白名單中����,則將IP地址添加到白名單中�。通過(guò)對(duì)白名單進(jìn)行實(shí)時(shí)地更新,可以提高IKE協(xié)商控制設(shè)備對(duì)網(wǎng)絡(luò)環(huán)境的適應(yīng)性��。在本實(shí)施例中�����,步驟10���、計(jì)算IP地址對(duì)應(yīng)的有效安全聯(lián)盟值��,包括
步驟101��、計(jì)算預(yù)設(shè)數(shù)量的預(yù)設(shè)時(shí)間段內(nèi)IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值的平均值��,并將平均值作為IP地址對(duì)應(yīng)的有效安全聯(lián)盟值����,其中有效安全聯(lián)盟中間值用于指示預(yù)設(shè)時(shí)間段內(nèi)IP地址有效的IKE安全聯(lián)盟和IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量。具體的��,有效安全聯(lián)盟值可以通過(guò)以下公式求出
Γ π M …CA ……廣 SA TAL M1 + …+ SA TAL MkSA TAL = SA TAL AVG = ~=--=-^^
— — — k其中���,SA_TAL表示有效安全聯(lián)盟值�;SA_TAL_AVG表示預(yù)設(shè)數(shù)量的預(yù)設(shè)時(shí)間段內(nèi)IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值的平均值�����;SA_TAL_Mi表示第i個(gè)預(yù)設(shè)時(shí)間段的有效安全聯(lián)盟中間值�,其中1 < i彡k,k為預(yù)設(shè)數(shù)量�,k和預(yù)設(shè)時(shí)間段可以根據(jù)實(shí)際的應(yīng)用需要來(lái)具體設(shè)定。有效安全聯(lián)盟值也可以為有效安全聯(lián)盟率�����,即有效安全聯(lián)盟在安全聯(lián)盟總值中的比例�����,安全聯(lián)盟總值既包括有效安全聯(lián)盟的數(shù)量也包括失敗的安全聯(lián)盟的數(shù)量。其中����,步驟101中計(jì)算有效安全聯(lián)盟值���,還可以為計(jì)算預(yù)設(shè)數(shù)量的預(yù)設(shè)時(shí)間點(diǎn)上 IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值的平均值����,并將平均值作為IP地址對(duì)應(yīng)的有效安全聯(lián)盟值��,其中有效安全聯(lián)盟中間值用于指示預(yù)設(shè)時(shí)間點(diǎn)上IP地址有效的IKE安全聯(lián)盟和IKE 聯(lián)盟的子安全聯(lián)盟的總數(shù)量�。具體的,有效安全聯(lián)盟值可以通過(guò)以下公式求出SA TAL = SA TAL AVG = SA-TAL-Ti + + SA-TAL-Tk
— — — k其中�,SA_TAL表示有效安全聯(lián)盟值;SA_TAL_AVG表示預(yù)設(shè)數(shù)量的預(yù)設(shè)時(shí)間段內(nèi)IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值的平均值����;SA_TAL_Ti表示第i個(gè)預(yù)設(shè)時(shí)間點(diǎn)的有效安全聯(lián)盟中間值,其中1彡i彡k�,k為預(yù)設(shè)數(shù)量,k和預(yù)設(shè)時(shí)間段可以根據(jù)實(shí)際的應(yīng)用需要來(lái)具體設(shè)定���。在本實(shí)施例中����,步驟10、計(jì)算IP地址對(duì)應(yīng)的有效安全聯(lián)盟值�,還可以包括計(jì)算有效安全聯(lián)盟中間值的步驟,具體為步驟102�����、在預(yù)設(shè)時(shí)間段內(nèi)��,若判斷獲知IP地址發(fā)起的IKE協(xié)商或IKE協(xié)商的子安全聯(lián)盟協(xié)商成功�����,則IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值加1���,若判斷獲知IP地址已經(jīng)建立的IKE安全聯(lián)盟或IKE協(xié)商的子安全聯(lián)盟被刪除�����,則IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值減 1�����。其中����,步驟102,還可以為實(shí)時(shí)更新有效安全聯(lián)盟中間值�,計(jì)算IP地址發(fā)起的IKE 協(xié)商或IKE協(xié)商的子安全聯(lián)盟協(xié)商成功的數(shù)量m,則IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值加附����,計(jì)算IP地址已經(jīng)建立的IKE安全聯(lián)盟或IKE協(xié)商的子安全聯(lián)盟被刪除的數(shù)量N2�,則IP 地址對(duì)應(yīng)的有效安全聯(lián)盟中間值減N2。在本實(shí)施例中��,步驟20��、計(jì)算IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值�,具體為若判斷獲知IP地址發(fā)起的IKE協(xié)商成功,則IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加1�����,若判斷獲知IKE安全聯(lián)盟協(xié)商成功值大于IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值��,則IKE安全聯(lián)盟協(xié)商成功值減1����。具體可以用SA_CNT表示IKE安全聯(lián)盟協(xié)商成功值,用SA_CUR表示IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值,SA_CUR為即時(shí)值�����,表示在某個(gè)時(shí)間點(diǎn)IKE協(xié)商控制設(shè)備對(duì)應(yīng)某IP的有效的安全聯(lián)盟數(shù)���,即該時(shí)間點(diǎn)上處于使用狀態(tài)的安全聯(lián)盟數(shù)��。若在某一預(yù)設(shè)時(shí)間段內(nèi)��, 某IP地址發(fā)起的IKE協(xié)商成功數(shù)量比較多����,則SA_CNT不斷加1���,最終可能會(huì)為一個(gè)較大的統(tǒng)計(jì)數(shù)值����。而若在某一預(yù)設(shè)時(shí)間段內(nèi)����,某IP地址發(fā)起的IKE協(xié)商成功數(shù)量比較少,則不能真實(shí)反映某個(gè)IP地址當(dāng)前有效的IKE安全聯(lián)盟的數(shù)量�����。通過(guò)以某一預(yù)設(shè)時(shí)間間隔循環(huán)與 SA_CUR進(jìn)行比較,并保證SA_CNT不小于SA_CUR��,可以統(tǒng)計(jì)出一段時(shí)間內(nèi)某IP地址的SA_ CNT的數(shù)量���,提高了 SA_CNT統(tǒng)計(jì)的準(zhǔn)確性����,通過(guò)SA_CNT與SA_CUR的比較���,以保證SA_CNT可以真實(shí)地反映某個(gè)IP地址當(dāng)前有效的IKE安全聯(lián)盟的數(shù)量,以對(duì)IP地址的可靠性進(jìn)行評(píng)估����。在實(shí)際應(yīng)用過(guò)程中,通常在預(yù)設(shè)時(shí)間段內(nèi)以某一預(yù)設(shè)時(shí)間間隔循環(huán)判斷���,如每χ分鐘判斷一次����,若SA_CNT大于IP地址對(duì)應(yīng)的SA_CUR���,則SA_CNT減1��。步驟20中���,計(jì)算IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值�����,若判斷獲知IP地址發(fā)起的IKE協(xié)商成功數(shù)大于第一協(xié)商閾值�����,則IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加1����,若判斷獲知IKE協(xié)商失敗數(shù)大于第二協(xié)商閾值����,則IKE安全聯(lián)盟協(xié)商成功值減1。在本實(shí)施例中�,步驟30、根據(jù)有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值�����,確定IP 地址的優(yōu)先級(jí),具體可以包括步驟301�、若判斷獲知IP地址對(duì)應(yīng)的有效安全聯(lián)盟值大于第一閾值,且IKE安全聯(lián)盟協(xié)商成功值大于第二閾值���,則確定IP地址的優(yōu)先級(jí)為A級(jí)����;步驟302����、若判斷獲知IP地址對(duì)應(yīng)的有效安全聯(lián)盟值大于第一閾值,且IKE安全聯(lián)盟協(xié)商成功值不大于第二閾值��,則確定IP地址的優(yōu)先級(jí)為B級(jí)���;步驟303、否則�����,確定IP地址的優(yōu)先級(jí)為C級(jí)����。具體可以用����,lv_tal�����,lV_cnt分別表示第一閾值和第二閾值���,第一閾值和第二閾值也可以根據(jù)實(shí)際的安全穩(wěn)定需要來(lái)設(shè)置�����,SA_CNT > lv_cnt并且SA_TAL > lv_tal時(shí)�,IP地址的優(yōu)先級(jí)為A級(jí)�,表示該IP地址重要且可靠;SA_CNT彡lv_cnt并且SA_TAL AVG > lv_ tal時(shí)��,IP地址的優(yōu)先級(jí)為B級(jí)�����,標(biāo)識(shí)該IP地址僅重要�;其他情況的IP地址的優(yōu)先級(jí)為C 級(jí)。當(dāng)處理IKE協(xié)商請(qǐng)求的資源緊張時(shí)��,處理的優(yōu)先級(jí)順序?yàn)锳級(jí)> B級(jí)> C級(jí)。也可以通過(guò)其他方法進(jìn)行優(yōu)先級(jí)的劃分����,優(yōu)先級(jí)的等級(jí)也可以為四級(jí)或者更多,具體可以根據(jù)實(shí)際的處理需要來(lái)設(shè)置�,不以本實(shí)施例為限。上述步驟30��、根據(jù)有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值�,確定IP地址的優(yōu)先級(jí),還可以包括步驟301����、若判斷獲知IP地址對(duì)應(yīng)的有效安全聯(lián)盟值與IKE安全聯(lián)盟協(xié)商成功值之和大于第三閾值,則確定IP地址的優(yōu)先級(jí)為A級(jí)�����;步驟302���、若判斷獲知IP地址對(duì)應(yīng)的有效安全聯(lián)盟值與IKE安全聯(lián)盟協(xié)商成功值之和小于第三閾值大于第四閾值,則確定IP地址的優(yōu)先級(jí)為B級(jí)�����;步驟303、否則���,確定IP地址的優(yōu)先級(jí)為C級(jí)��。在本實(shí)施例中����,可以首先處理優(yōu)先級(jí)高的IP地址的IKE協(xié)商請(qǐng)求�,還可以根據(jù)當(dāng)前的IKE協(xié)商處理值和優(yōu)先級(jí)對(duì)各IP地址的IKE協(xié)商請(qǐng)求進(jìn)行處理,具體可以包括步驟401��、若判斷獲知當(dāng)前的IKE協(xié)商處理值處于第一協(xié)商處理范圍內(nèi)���,則只處理優(yōu)先級(jí)為A級(jí)的IP地址的IKE協(xié)商請(qǐng)求���;步驟402、若判斷獲知當(dāng)前的IKE協(xié)商處理值處于第二協(xié)商處理范圍內(nèi)�����,則處理優(yōu)先級(jí)為A級(jí)或B級(jí)的IP地址的IKE協(xié)商請(qǐng)求�。在實(shí)際應(yīng)用過(guò)程中,IKE協(xié)商控制設(shè)備實(shí)際可用最大資源量會(huì)限制該IKE協(xié)商控制設(shè)備最大并發(fā)處理IKE協(xié)商的能力,該能力用η個(gè)協(xié)商/秒表示���,通過(guò)并發(fā)協(xié)商數(shù)量控制機(jī)制的設(shè)置�,保證單位時(shí)間接收處理新的IKE協(xié)商數(shù)目不超過(guò)這個(gè)限制而引起的設(shè)備崩潰�。用m表示當(dāng)前實(shí)際每秒處理IKE協(xié)商請(qǐng)求的數(shù)量,即當(dāng)前的IKE協(xié)商處理值���。具體的第一協(xié)商處理范圍可以為(nXa2�,n]���,表示當(dāng)前IKE協(xié)商處理量大�,系統(tǒng)負(fù)荷大����,系統(tǒng)資源有限,僅對(duì)優(yōu)先級(jí)為A級(jí)的既重要又可靠的IP地址的IKE協(xié)商請(qǐng)求�����。第二協(xié)商處理范圍可以為[nXal�����,nXa2]���,表示當(dāng)前IKE協(xié)商處理量較多�,可以處理優(yōu)先級(jí)為A級(jí)的既重要又可靠的IP地址的IKE協(xié)商請(qǐng)求�����,也可以處理優(yōu)先級(jí)為B級(jí)的重要的IP地址的IKE協(xié)商請(qǐng)求����。 若當(dāng)前的IKE協(xié)商處理值不在上述范圍之內(nèi)是,說(shuō)明當(dāng)前的IKE協(xié)商處理量較少���,系統(tǒng)資源比較充足����,可以隨機(jī)處理各優(yōu)先級(jí)的IP地址的IKE協(xié)商請(qǐng)求��。al和a2均可以根據(jù)實(shí)際的請(qǐng)求處理需求來(lái)設(shè)置�����,不以本實(shí)施例為限�����。通過(guò)對(duì)當(dāng)前可用資源的判斷,優(yōu)選選擇可靠性和重要性較高的IP地址的IKE協(xié)商請(qǐng)求進(jìn)行處理��,進(jìn)一步提高了 IKE協(xié)商的效果����。圖2為本發(fā)明實(shí)施例提供的一種IKE協(xié)商控制設(shè)備結(jié)構(gòu)示意圖,如圖2所示����,該 IKE協(xié)商控制設(shè)備可以實(shí)現(xiàn)本發(fā)明任意實(shí)施例提供IKE協(xié)商控制方法,該IKE協(xié)商控制設(shè)備包括請(qǐng)求接收模塊21�����、查找模塊22和協(xié)商請(qǐng)求處理模塊23�����。請(qǐng)求接收模塊21用于接收 IKE協(xié)商請(qǐng)求�����,IKE協(xié)商請(qǐng)求攜帶IP地址��。查找模塊22用于查找IP地址對(duì)應(yīng)的優(yōu)先級(jí),其中���,IP地址對(duì)應(yīng)的優(yōu)先級(jí)由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定,有效安全聯(lián)盟值用以指示IP地址當(dāng)前有效的IKE安全聯(lián)盟和IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量�����,IKE安全聯(lián)盟協(xié)商成功值用以指示IP地址對(duì)應(yīng)的IKE協(xié)商成功的數(shù)量�����。協(xié)商請(qǐng)求處理模塊23用于根據(jù)IP地址對(duì)應(yīng)的優(yōu)先級(jí)���,對(duì)IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理�。 本實(shí)施例提供的IKE協(xié)商控制設(shè)備�����,通過(guò)IP地址的優(yōu)先級(jí)來(lái)對(duì)IP地址的IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理����,該優(yōu)先級(jí)由可以反映IP地址重要性和可靠性的有效安全聯(lián)盟值和IKE 安全聯(lián)盟協(xié)商成功值確定。當(dāng)存在大量并發(fā)呼入IKE協(xié)商請(qǐng)求時(shí)�,可以?xún)?yōu)先響應(yīng)重要而又可靠的用戶(hù)的呼入請(qǐng)求���,把可能的攻擊呼入或者不重要的用戶(hù)的呼入請(qǐng)求進(jìn)行拒絕或者延遲處理,提高對(duì)重要用戶(hù)服務(wù)的穩(wěn)定性����。也避免了因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷,提高了 IKE協(xié)商效果����。圖3為本發(fā)明實(shí)施例提供的另一種IKE協(xié)商控制設(shè)備結(jié)構(gòu)示意圖,如圖3所示���,在本實(shí)施例中��,該IKE協(xié)商控制設(shè)備還可以包括優(yōu)先級(jí)模塊對(duì)�����,優(yōu)先級(jí)模塊M包括有效安全聯(lián)盟值子模塊11�、IKE安全聯(lián)盟協(xié)商成功值子模塊12和優(yōu)先級(jí)確定子模塊13�����。有效安全聯(lián)盟值子模塊11用于計(jì)算IP地址對(duì)應(yīng)的有效安全聯(lián)盟值����。IKE安全聯(lián)盟協(xié)商成功值子模塊12用于計(jì)算IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值�。優(yōu)先級(jí)確定子模塊13用于根據(jù)有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值��,確定IP地址的優(yōu)先級(jí)���。在本實(shí)施例中,該IKE協(xié)商控制設(shè)備還可以包括白名單模塊14���,白名單模塊14存儲(chǔ)有白名單�,用于當(dāng)接收到IKE協(xié)商請(qǐng)求時(shí)���,若判斷獲知發(fā)起IKE協(xié)商請(qǐng)求的IP地址未存在于白名單中��,則將IP地址添加到白名單中�。通過(guò)白名單模塊14的設(shè)置可以根據(jù)網(wǎng)絡(luò)環(huán)境對(duì)白名單進(jìn)行調(diào)整��,提高了 IKE協(xié)商控制設(shè)備的適應(yīng)性�。在本實(shí)施例中,有效安全聯(lián)盟值子模塊11具體可以包括第一判斷單元111��、第一累計(jì)單元112和計(jì)算單元113�。第一判斷單元111用于在預(yù)設(shè)時(shí)間段內(nèi)���,若判斷獲知IP地址發(fā)起的IKE協(xié)商或IKE協(xié)商的子安全聯(lián)盟協(xié)商成功,則產(chǎn)生第一中間信號(hào)���,若判斷獲知IP 地址已經(jīng)建立的IKE安全聯(lián)盟或IKE協(xié)商的子安全聯(lián)盟被刪除�����,則產(chǎn)生第二中間信號(hào)��。第一累計(jì)單元112用于當(dāng)接收到第一中間信號(hào)時(shí)����,IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值加1��,當(dāng)接收到第二中間信號(hào)時(shí)���,IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值減1�。計(jì)算單元113用于計(jì)算預(yù)設(shè)數(shù)量的預(yù)設(shè)時(shí)間段內(nèi)IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值的平均值�,并將平均值作為 IP地址對(duì)應(yīng)的有效安全聯(lián)盟值。在本實(shí)施例中����,IKE安全聯(lián)盟協(xié)商成功值子模塊12具體可以包括第二判斷單元 121和第二累計(jì)單元122�����。第二判斷單元121若判斷獲知IP地址發(fā)起的IKE協(xié)商成功����,則產(chǎn)生第三中間信號(hào)�����,若判斷獲知IKE安全聯(lián)盟協(xié)商成功值大于IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值���,則產(chǎn)生第四中間信號(hào)。第二累計(jì)單元122用于當(dāng)接收到第三中間信號(hào)時(shí)����,IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加1,當(dāng)接收到第四中間信號(hào)時(shí)�,IKE安全聯(lián)盟協(xié)商成功值減1。在本實(shí)施例中�,優(yōu)先級(jí)確定子模塊13具體可以包括第三判斷單元131和優(yōu)先級(jí)單元132。第三判斷單元131用于若判斷獲知IP地址對(duì)應(yīng)的有效安全聯(lián)盟值大于第一閾值�����, 且IKE安全聯(lián)盟協(xié)商成功值大于第二閾值,則產(chǎn)生第一優(yōu)先級(jí)信號(hào)�����,若判斷獲知IP地址對(duì)應(yīng)的有效安全聯(lián)盟值大于第一閾值�����,且IKE安全聯(lián)盟協(xié)商成功值不大于第二閾值���,則產(chǎn)生第二優(yōu)先級(jí)信號(hào)����,否則�����,產(chǎn)生第三優(yōu)先級(jí)信號(hào)��。優(yōu)先級(jí)單元132用于當(dāng)接收到第一優(yōu)先級(jí)信號(hào)時(shí)��,確定IP地址的優(yōu)先級(jí)為A級(jí)���,當(dāng)接收到第二優(yōu)先級(jí)信號(hào)時(shí)�,確定IP地址的優(yōu)先級(jí)為 B級(jí),當(dāng)接收到第三優(yōu)先級(jí)信號(hào)時(shí)�����,確定IP地址的優(yōu)先級(jí)為C級(jí)���。在本實(shí)施例中�����,可以首先處理優(yōu)先級(jí)高的IP地址的IKE協(xié)商請(qǐng)求�����,還可以根據(jù)當(dāng)前的IKE協(xié)商處理值和優(yōu)先級(jí)對(duì)各IP地址的IKE協(xié)商請(qǐng)求進(jìn)行處理���。相應(yīng)地����,協(xié)商請(qǐng)求處理模塊23具體可以包括第四判斷單元141和請(qǐng)求處理單元142。第四判斷單元141用于若判斷獲知當(dāng)前的IKE協(xié)商處理值處于第一協(xié)商處理范圍內(nèi)時(shí)���,則產(chǎn)生第一請(qǐng)求處理信號(hào)�����,若判斷獲知當(dāng)前的IKE協(xié)商處理值處于第二協(xié)商處理范圍內(nèi)時(shí)�,則產(chǎn)生第二請(qǐng)求處理信號(hào)。請(qǐng)求處理單元142用于當(dāng)接收到第一請(qǐng)求處理信號(hào)時(shí)�����,只處理優(yōu)先級(jí)為A級(jí)的IP地址的IKE協(xié)商請(qǐng)求�,當(dāng)接收到第二請(qǐng)求處理信號(hào)時(shí),處理優(yōu)先級(jí)為A級(jí)或B級(jí)的IP地址的 IKE協(xié)商請(qǐng)求�。本發(fā)明實(shí)施例提供的IKE協(xié)商控制方法和設(shè)備,當(dāng)存在大量并發(fā)呼入IKE協(xié)商請(qǐng)求�����,可以根據(jù)記錄歷史協(xié)商成功數(shù)據(jù)���,優(yōu)先響應(yīng)重要而又可靠的用戶(hù)的呼入請(qǐng)求�,把可能的攻擊呼入或者不重要的移動(dòng)用戶(hù)的呼入請(qǐng)求進(jìn)行拒絕或者延遲處理�,從而提高對(duì)重要用戶(hù)服務(wù)的穩(wěn)定性,提高了 IKE協(xié)商的處理效果�����。而且與該IKE協(xié)商控制設(shè)備連接的多個(gè)終端設(shè)備中,某個(gè)終端設(shè)備因遭到病毒侵入而產(chǎn)生大量攻擊呼叫的場(chǎng)景下����,可以有效減少攻擊對(duì)安全服務(wù)器系統(tǒng)資源的占用,保證服務(wù)器對(duì)其它呼叫的響應(yīng)�����。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案��,而非對(duì)其限制���;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明�����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述實(shí)施例所記載的技術(shù)方案進(jìn)行修改��,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換����; 而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍�。
權(quán)利要求
1.一種IKE協(xié)商控制方法,其特征在于�����,包括 接收IKE協(xié)商請(qǐng)求���,所述IKE協(xié)商請(qǐng)求攜帶IP地址���;查找所述IP地址對(duì)應(yīng)的優(yōu)先級(jí),其中����,所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)由有效安全聯(lián)盟值和 IKE安全聯(lián)盟協(xié)商成功值決定,所述有效安全聯(lián)盟值用以指示所述IP地址當(dāng)前有效的IKE 安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量��,所述IKE安全聯(lián)盟協(xié)商成功值用以指示所述IP地址對(duì)應(yīng)的IKE協(xié)商成功的數(shù)量�����;根據(jù)所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)�,對(duì)所述IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理�����。
2.根據(jù)權(quán)利要求1所述的IKE協(xié)商控制方法����,其特征在于��,所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟值的計(jì)算方法�,具體為計(jì)算預(yù)設(shè)數(shù)量的預(yù)設(shè)時(shí)間段內(nèi)所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值的平均值,并將所述平均值作為所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟值�,其中所述有效安全聯(lián)盟中間值用于指示所述預(yù)設(shè)時(shí)間段內(nèi)所述IP地址有效的IKE安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量。
3.根據(jù)權(quán)利要求1或2所述的IKE協(xié)商控制方法���,其特征在于����,所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟值的計(jì)算方法�,還包括在所述預(yù)設(shè)時(shí)間段內(nèi),若判斷獲知所述IP地址發(fā)起的IKE協(xié)商或所述IKE協(xié)商的子安全聯(lián)盟協(xié)商成功����,則所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值加1,若判斷獲知所述IP地址已經(jīng)建立的IKE安全聯(lián)盟或所述IKE協(xié)商的子安全聯(lián)盟被刪除�����,則所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值減1���。
4.根據(jù)權(quán)利要求1或2所述的IKE協(xié)商控制方法����,其特征在于����,所述IP地址對(duì)應(yīng)的IKE 安全聯(lián)盟協(xié)商成功值的計(jì)算方法,具體為若判斷獲知所述IP地址發(fā)起的IKE協(xié)商成功���,則所述IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加Ni�����,m為自然數(shù)���;若判斷獲知所述IKE安全聯(lián)盟協(xié)商成功值大于所述IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值,則所述IKE安全聯(lián)盟協(xié)商成功值減N2�����,N2為自然數(shù)。
5.根據(jù)權(quán)利要求1或2所述的IKE協(xié)商控制方法�,其特征在于,根據(jù)所述有效安全聯(lián)盟值和所述IKE安全聯(lián)盟協(xié)商成功值��,確定各IP地址的優(yōu)先級(jí)��,包括若判斷獲知所述IP地址對(duì)應(yīng)的所述有效安全聯(lián)盟值大于第一閾值����,且所述IKE安全聯(lián)盟協(xié)商成功值大于第二閾值,則設(shè)置所述IP地址的優(yōu)先級(jí)為A級(jí)��;若判斷獲知所述IP地址對(duì)應(yīng)的所述有效安全聯(lián)盟值大于所述第一閾值��,且所述IKE安全聯(lián)盟協(xié)商成功值不大于所述第二閾值����,則設(shè)置所述IP地址的優(yōu)先級(jí)為B級(jí); 否則����,設(shè)置所述IP地址的優(yōu)先級(jí)為C級(jí)。
6.一種IKE協(xié)商控制設(shè)備��,其特征在于,包括請(qǐng)求接收模塊�����,用于接收IKE協(xié)商請(qǐng)求�����,所述IKE協(xié)商請(qǐng)求攜帶IP地址��; 查找模塊�,用于查找所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)����,其中,所述IP地址對(duì)應(yīng)的優(yōu)先級(jí)由有效安全聯(lián)盟值和IKE安全聯(lián)盟協(xié)商成功值決定����,所述有效安全聯(lián)盟值用以指示所述IP地址當(dāng)前有效的IKE安全聯(lián)盟和所述IKE聯(lián)盟的子安全聯(lián)盟的總數(shù)量,所述IKE安全聯(lián)盟協(xié)商成功值用以指示所述IP地址對(duì)應(yīng)的IKE協(xié)商成功的數(shù)量���;協(xié)商請(qǐng)求處理模塊����,用于根據(jù)所述IP地址對(duì)應(yīng)的優(yōu)先級(jí),對(duì)所述IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理��。
7.根據(jù)權(quán)利要求6所述的IKE協(xié)商控制設(shè)備�,其特征在于,還包括優(yōu)先級(jí)模塊�����,所述優(yōu)先級(jí)模塊包括有效安全聯(lián)盟值子模塊����,用于計(jì)算所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟值;IKE安全聯(lián)盟協(xié)商成功值子模塊����,用于計(jì)算所述IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值;優(yōu)先級(jí)確定子模塊���,用于根據(jù)所述有效安全聯(lián)盟值和所述IKE安全聯(lián)盟協(xié)商成功值�����, 確定所述IP地址的優(yōu)先級(jí)�。
8.根據(jù)權(quán)利要求7所述的IKE協(xié)商控制設(shè)備�,其特征在于,所述有效安全聯(lián)盟值子模塊包括第一判斷單元,用于在預(yù)設(shè)時(shí)間段內(nèi)�,若判斷獲知所述IP地址發(fā)起的IKE協(xié)商或所述 IKE協(xié)商的子安全聯(lián)盟協(xié)商成功,則產(chǎn)生第一中間信號(hào)�,若判斷獲知所述IP地址已經(jīng)建立的IKE安全聯(lián)盟或所述IKE協(xié)商的子安全聯(lián)盟被刪除,則產(chǎn)生第二中間信號(hào)����;第一累計(jì)單元,用于當(dāng)接收到所述第一中間信號(hào)時(shí)�����,所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值加1�,當(dāng)接收到所述第二中間信號(hào)時(shí)�����,所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值減1 ���; 計(jì)算單元��,用于計(jì)算預(yù)設(shè)數(shù)量的所述預(yù)設(shè)時(shí)間段內(nèi)所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟中間值的平均值��,并將所述平均值作為所述IP地址對(duì)應(yīng)的有效安全聯(lián)盟值�����。
9.根據(jù)權(quán)利要求7所述的IKE協(xié)商控制設(shè)備���,其特征在于��,IKE安全聯(lián)盟協(xié)商成功值子模塊包括第二判斷單元�����,若判斷獲知所述IP地址發(fā)起的IKE協(xié)商成功����,則產(chǎn)生第三中間信號(hào)��,若判斷獲知所述IKE安全聯(lián)盟協(xié)商成功值大于所述IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商當(dāng)前有效成功值�,則產(chǎn)生第四中間信號(hào);第二累計(jì)單元��,用于當(dāng)接收到所述第三中間信號(hào)時(shí)����,所述IP地址對(duì)應(yīng)的IKE安全聯(lián)盟協(xié)商成功值加1,當(dāng)接收到所述第四中間信號(hào)時(shí)�����,所述IKE安全聯(lián)盟協(xié)商成功值減1。
10.根據(jù)權(quán)利要求7所述的IKE協(xié)商控制設(shè)備���,其特征在于��,所述優(yōu)先級(jí)確定子模塊包括第三判斷單元����,用于若判斷獲知所述IP地址對(duì)應(yīng)的所述有效安全聯(lián)盟值大于第一閾值���,且所述IKE安全聯(lián)盟協(xié)商成功值大于第二閾值�,則產(chǎn)生第一優(yōu)先級(jí)信號(hào)�,若判斷獲知所述IP地址對(duì)應(yīng)的所述有效安全聯(lián)盟值大于所述第一閾值���,且所述IKE安全聯(lián)盟協(xié)商成功值不大于所述第二閾值��,則產(chǎn)生第二優(yōu)先級(jí)信號(hào)��,否則���,產(chǎn)生第三優(yōu)先級(jí)信號(hào)�����;優(yōu)先級(jí)單元�����,用于當(dāng)接收到所述第一優(yōu)先級(jí)信號(hào)時(shí)�����,確定所述IP地址的優(yōu)先級(jí)為A級(jí)���, 當(dāng)接收到所述第二優(yōu)先級(jí)信號(hào)時(shí),確定所述IP地址的優(yōu)先級(jí)為B級(jí)���,當(dāng)接收到所述第三優(yōu)先級(jí)信號(hào)時(shí)�����,確定所述IP地址的優(yōu)先級(jí)為C級(jí)����。
全文摘要
本發(fā)明實(shí)施例提供一種IKE協(xié)商控制方法和設(shè)備���,該IKE協(xié)商控制方法包括接收IKE協(xié)商請(qǐng)求��,IKE協(xié)商請(qǐng)求攜帶IP地址�;查找IP地址對(duì)應(yīng)的優(yōu)先級(jí);根據(jù)IP地址對(duì)應(yīng)的優(yōu)先級(jí)�����,對(duì)IKE協(xié)商請(qǐng)求進(jìn)行協(xié)商處理�。該IKE協(xié)商控制設(shè)備包括請(qǐng)求接收模塊、查找模塊和協(xié)商請(qǐng)求處理模塊����。本發(fā)明實(shí)施例提供的IKE協(xié)商控制方法和設(shè)備,可以解決現(xiàn)有技術(shù)中大量IKE協(xié)商請(qǐng)求并發(fā)時(shí)����,因設(shè)備資源短缺而造成的IKE協(xié)商失敗的缺陷,提高了IKE協(xié)商效果�。
文檔編號(hào)H04L29/06GK102231737SQ20111017115
公開(kāi)日2011年11月2日 申請(qǐng)日期2011年6月23日 優(yōu)先權(quán)日2011年6月23日
發(fā)明者劉培元, 吳體輝, 王曉鋒 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司