CN101115055B - 通信网络中报告隧道数据包中各级错误的装置及方法 - Google Patents
通信网络中报告隧道数据包中各级错误的装置及方法 Download PDFInfo
- Publication number
- CN101115055B CN101115055B CN200610029317A CN200610029317A CN101115055B CN 101115055 B CN101115055 B CN 101115055B CN 200610029317 A CN200610029317 A CN 200610029317A CN 200610029317 A CN200610029317 A CN 200610029317A CN 101115055 B CN101115055 B CN 101115055B
- Authority
- CN
- China
- Prior art keywords
- error
- terminal connection
- type
- connection device
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种在通信网络中用于对基于IPsec协议族的数据包的错误进行报告和相应解析的终端连接设备及其方法。具体地,将ICMP安全失败消息的保留字段用于表示出错隧道数据包的二级错误类型。采用本发明的技术方案,可以实现对出错隧道数据包的错误类型的细化报告,在源终端连接设备端实现对该数据包所存在的错误的精确定位,便于对错误的排除。
Description
技术领域
本发明涉及通信网络,尤其涉及在通信网络(尤其是IP网络)中用于对基于IPSec(互联网协议安全)协议族的数据包的错误进行报告和解析的终端连接设备及其相应方法。
背景技术
IPSec协议族是广泛应用于IP层的网络安全访问协议。IPsec协议族通过IKE(互联网密钥交换)协议在两个终端连接设备之间为某个特定安全通信通过协商建立专用的安全通信隧道。其后,属于所述特定通信的IP数据包在该隧道两端的终端连接设备之间进行传送。为简明起见,以下如无特别说明,基于IPSec协议的用于经安全通信隧道进行通信的IP数据包称为隧道数据包。
具体地,安全通信隧道建立后,源终端连接设备(IP数据包的源地址所对应的主机所对应的终端连接设备)在转发属于该特定通信的IP数据包前,需要执行以下操作:
1.根据该隧道数据包的目的地址和源地址等相关信息,判断该IP数据包是否属于某一个特定安全通信(特指基于IPsec协议族的安全通信);
2.如果所述IP数据包属于一个特定安全通信,则利用与该特定安全通信相应的安全联盟(包括加密密钥、加密算法等)对该IP数据包进行加密、封装等处理,此时该IP数据包即成为一个隧道数据包;
3.所述隧道数据包经由与所述特定安全通信对应的安全通信隧道穿过互联网,到达目的终端连接设备(该隧道数据包的目的地址所对应的主机所属的终端连接设备)。
目的终端连接设备接收到该隧道数据包后,根据相应的安全联盟,对该数据包进行解密等操作后转发经解密的IP数据包至该数据包的目的地址对应的主机。
在实际应用过程中,由于种种原因(黑客的恶意攻击、计算机系统自身的错误、加解密算法的不匹配等),到达目的终端连接设备的隧道数据包可能存在各种错误,这些错误分为以下6种:
(1)错误的SPI(安全策略指示);
(2)验证失败;
(3)解压缩失败;
(4)解密失败;
(5)需要验证;
(6)需要授权。
为了便于诊断并消除错误,当目的终端连接设备发现隧道数据包存在错误后,需要向源终端连接设备报告相应的错误,根据错误报告,源终端连接设备可以了解其发送的相应数据包的错误,并设法予以消除。
现有技术中,隧道数据包的错误由目的终端连接设备通过ICMP(互联网控制消息协议)安全失败消息来报告给源终端连接设备.然而,现有的ICMP安全失败消息有明显不足,即:其报告给源终端连接设备的错误类型的粒度较大(细节程度较低),大于IPSec协议族提供的安全访问粒度.这样,一旦隧道数据包发生错误,基于现有的错误报告方案,目的终端连接设备返回ICMP安全失败消息后,源终端连接设备只能知道该隧道数据包的粗略的错误类型,而不能精确定位其发生的错误.
因此,需要一种优化的错误报告方案,使目的终端连接设备能够精确地报告隧道数据包的错误,使得源终端连接设备对隧道数据包错误的定位和诊断更准确和方便。
发明内容
本发明正是为了解决现有技术中的上述问题而提出的,根据IPsec协议族提供的网络安全访问的最小粒度,将隧道数据包现有的6种较粗略的错误进行相应的细分,并通过错误指示消息(譬如,ICMP安全失败消息)将该隧道数据包存在的细化错误与其上一级错误一起报告给源隧道服务器。
根据本发明的第一个方面,提供了一种在通信网络的终端连接设备(譬如,隧道服务器)中用于对基于IPSec协议族的数据包的错误进行报告的方法,包括:所述终端连接设备接收来自一个源终端连接设备的一个数据包;判断所述数据包是否存在错误;如果所述数据包存在错误,则为其生成错误指示消息,所述错误指示消息指示该数据包所存在的错误的各级错误类型;发送所述错误指示消息给所述源终端连接设备。各级错误类型包括一级错误类型和二级错误类型,其中,二级错误类型包括一级错误类型各自的一个或多个子错误类型;
根据本发明的第二个方面,提供了一种在通信网络中用于对基于IPSec协议族的隧道数据包的错误进行报告的终端连接设备(譬如,隧道服务器),其中包括:一个接收装置,用于接收一个源终端连接设备经互联网发来的一个数据包;一个判断装置,用于判断所述数据包是否存在错误;一个生成装置,用于当所述数据包存在错误时,为其生成错误指示消息,其指示该数据包所存在的错误的二级错误类型;一个发送装置,用于将所述错误指示消息发送给所述源终端连接设备。各级错误类型包括一级错误类型和二级错误类型,其中,二级错误类型包括一级错误类型各自的一个或多个子错误类型;
根据本发明的第三个方面,提供了一种在通信网络的终端连接设备(譬如,隧道服务器)中用于对基于IPSec协议族的错误指示消息进行解析的方法,包括以下步骤:所述终端连接设备接收来自一个远端终端连接设备的错误指示消息,该错误指示消息用于指示由所述终端连接设备发到该远端终端连接设备的一个数据包所存在的错误的各级错误类型;由所述错误指示消息中解析出该数据包所存在的各级错误类型;
根据本发明的第四个方面,提供了一种在通信网络中用于对基于IPSec协议族的错误指示消息进行解析的终端连接设备(譬如,隧道服务器),一种在通信网络中用于对基于IPSec协议族的错误指示消息进行解析的终端连接设备,包括:一个接收装置,用于接收来自一个远端终端连接设备的错误指示消息,该错误指示消息用于指示由所述终端连接设备发到该远端终端连接设备的一个数据包所存在的错误的各级错误类型;一个解析装置,用于由所述错误指示消息中解析出该数据包所存在的各级错误类型。
采用本发明提供的终端连接设备及方法,可以实现对隧道数据包的错误的细化报告,使源终端连接设备更精确地定位隧道数据包的错误类型,有利于错误的诊断和消除。
附图说明
下面结合附图对本发明进行详细描述:
图1为基于IPSec协议族的用于经由安全通信隧道进行安全通信的网络结构图;
图2为RFC2521标准中定义的ICMP安全失败消息的格式示意图;
图3为根据本发明的一个具体实施方式的在通信网络的隧道服务器中用于对基于IPSec协议族的数据包的错误进行报告的方法流程图;
图4为根据本发明的一个具体实施方式的在通信网络中用于对基于IPsec协议族的数据包的错误进行报告的隧道服务器框图;
图5为根据本发明的一个具体实施方式的用于隧道数据包错误的细化报告的ICMP安全失败消息的格式示意图;
图6为根据本发明的一个具体实施方式的在通信网络的隧道服务器中用于对基于IPSec协议族的错误指示消息进行解析的方法流程图;
图7为根据本发明的一个具体实施方式的在通信网络中用于对基于IPSec协议族的错误指示消息进行解析的隧道服务器框图。
具体实施方式
本发明中,终端连接设备与主机的关系包括两种情形:
I.终端连接设备独立于各个主机,作为隧道服务器工作在安全通信隧道的两端,这时,一个隧道服务器可以控制一个或多个主机的安全通信(如图1所示);
II.终端连接设备集成在主机上,作为其中的一个安全通信控制装置存在,这时,所述终端连接设备主要负责其所归属的主机的安全通信,根据需要,对该主机发往网卡的IP数据包和经由网卡接收到的数据包(尤其是隧道数据包)进行相关处理。
图1为基于IPSec协议族的用于经安全通信隧道进行安全通信的网络结构图。该网络包括两个隧道服务器1和2(即对应前述情形I的终端连接设备)、处于上述两个隧道服务器控制下的多个主机,为简明起见,仅示出主机a和主机b。主机a和主机b通过图中的两个隧道服务器间的安全通信隧道在互联网环境下进行基于IPSec协议族的特定安全通信。
用于主机a和主机b间的特定安全通信的安全通信隧道建立后,主机a和主机b即可开始安全通信:
-主机a向主机b发出一个IP数据包,很明显,此数据包属于其间的特定安全通信,需要基于IPSec协议族进行处理后以隧道数据包形式穿越互联网;
-主机a发出的IP数据包会首先到达图中的隧道服务器1,隧道服务器1根据该IP数据包的“目的地址-源地址”对,可以判断出该数据包属于主机a与主机b间的特定安全通信。于是,隧道服务器1根据相应的安全联盟对该数据包进行加密、封装等操作,该IP数据包便成为能够安全穿越互联网的隧道数据包,就该隧道数据包而言,隧道服务器1即为其源终端连接设备;
-因为目的主机即主机b处于隧道服务器2的控制之下,该隧道数据包经由隧道服务器1和隧道服务器2之间的属于主机a和主机b间特定安全通信的安全通信隧道到达隧道服务器2,就该隧道数据包而言,隧道服务器2即为目的终端连接设备;
-基于本发明提供的技术方案,隧道服务器2在接收到来自隧道服务器1的所述隧道数据包后,判断该数据包是否存在错误,并经由该安全通信隧道将存在错误的隧道数据包的细化错误通过错误指示消息(譬如,ICMP安全失败消息)报告给隧道服务器1。
容易理解,对应于前述情形II所述的终端连接设备,图1所示的隧道服务器1和隧道服务器2将分别位于主机a和主机b中(其它需要进行基于IPsec的安全通信的主机也会拥有各自的终端连接设备),用于控制相应主机的安全通信,其中,对数据包的处理过程与情形I下的处理过程相同,不再赘述。为简明起见,以下的描述也将主要针对情形I来展开。
区别于现有技术,本发明披露的隧道数据包错误报告方法对现有的ICMP安全失败消息进行了改进,RFC2521标准中定义的用于报告基于IPSec协议族的隧道数据包的错误的ICMP安全失败消息的格式如图2所示。
由图可见,原有ICMP安全失败消息包括6个域,分别是:
-Type域,其值为40,用于表示该消息为ICMP安全失败消息;
-Code域,表示相应隧道数据包的错误类型,前已述及,现有的ICMP安全失败消息单纯利用Code域进行错误报告,错误的细化程度低,粒度大。其中,该域各个取值对应的错误类型(即此后所述之一级错误类型)分别为,0:错误的SPI(安全策略指示);1:验证失败;2:解压缩失败;3:解密失败;4:需要验证;5:需要授权。很明显,现有ICMP安全失败消息由目的终端连接设备到达源终端连接设备后,源终端连接设备对隧道数据包的错误的定位仅能精确到上述6种类型的程度;
-Checksum域,ICMP安全失败消息的校验和;
-Reserved域(保留字段),现有的ICMP安全失败消息中,该域全部置为“0”;
-Pointer域,SPI在ICMP安全失败消息对应的隧道数据包的IP头中的偏移位置,如果没有SPI,则要求将其置“0”;
该ICMP安全失败消息对应的隧道数据包的IP头和前64位有效载荷。
采用上述ICMP安全失败消息作为隧道数据包的错误指示消息,影响了隧道数据包错误的报告粒度,源终端连接设备无法准确定位错误的具体类型,不利于对相应问题的解决。
图3为根据本发明的一个具体实施方式的在通信网络的隧道服务器中用于对基于IPSec协议族的数据包的错误进行报告的方法流程图。下面参照图3并结合图1和图5对该方法进行描述,其中,图5为根据本发明的一个具体实施方式的用于隧道数据包错误的细化报告的ICMP安全失败消息的格式示意图。该方法起始于步骤S101:
在步骤S101中,隧道服务器2接收来自隧道服务器1的用于主机a与主机b间特定安全通信的隧道数据包,该隧道数据包可能存在各种错误,进到步骤S102;
在步骤S102中,对所述接收到的数据包进行检测,判断其是否存在各种错误.以前述的Code域值为5对应的一级错误类型为例,本发明为其定义以下6种子错误类型(从属于该一级错误类型的各个二级错误类型),并用图5所示的ICMP安全失败消息中的Subcode域(属于原ICMP安全失败消息的Reserved域)来表示.在本实施例中,Subcode域为8个比特,而原ICMP安全失败消息的Reserved域共有16个比特,因此,剩余的8个空闲比特可以考虑仍然置“0”.
对应Code域值为5即一级错误类型为“需要授权”的情况,Subcode域的取值与其表示的意义的如下,
0:系统未识别错误子类型;
1:名字未经授权;
2:数据敏感等级未经授权;
3:传输层协议未经授权;
4:源端口未经授权;
5:目的端口未经授权。
很容易理解,Subcode域取值为1-5时,对应一级错误类型“需要授权”的5种子错误类型,隧道服务器1收到该ICMP安全失败消息后,根据该消息精确地定位其在先发送给隧道服务器2的隧道数据包的错误类型。
特别地,本发明中为Subcode域定义一个为“0”的取值,是因为在现有的RFC2521标准中,Reserved域的值为16比特的“0”,当隧道服务器2按照现有标准(即,不对数据包的二级错误类型进行报告)报告隧道数据包的错误时,其发送给隧道服务器1的ICMP安全失败消息中的Code域仍指示相应隧道数据包的一级错误类型,而图5中所示的Subcode域和Reserved域均为8比特“0”,这样,该ICMP安全失败消息格式就与基于现有RFC2521标准的消息格式相同,实现了对现有标准的兼容。
当该消息到达隧道服务器1后,隧道服务器1根据该消息能够得到以下信息:该ICMP安全失败消息对应的隧道数据包发生了Code域取值为5时对应的错误:“需要认证”,但具体的二级错误类型未知。
应当理解,本发明中,在ICMP安全失败消息中用于指示隧道数据包所存在的错误的二级错误类型的字段不限于上述实施例中所述的“Subcode”域,甚至可以不限于图2所示的现有标准中ICMP安全失败消息中的“Reserved”域,在实际操作中可以根据需要来在ICMP安全失败消息中选择合适的字段用于实现上述功能。
具体地,对应于Code域为5的情况,作为目的终端连接设备的隧道服务器2通过以下过程来确定如何为ICMP安全失败消息的Subcode域赋值:
I.如果隧道服务器2采用现有标准中的方案来报告隧道数据包的错误类型,则根据RFC2521的定义,进到步骤S 103中,为该出错隧道数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为0;
II.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断解封装后的IP数据包的有效载荷中的名字和SA中相应的选择符是否匹配,如果不匹配,则进到步骤S103,在步骤S103中为该数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为1;
其中,隧道数据包的封装协议有两种:AH和ESP,对于基于AH协议封装的隧道数据包,在解封装之前,该数据包的有效载荷是未经加密的明文,解封装时只需要检查数据包的数据完整性;而对于基于ESP协议封装的隧道数据包,在解封装之前,数据包的有效载荷是加密过的密文,因此需要在解封装后不仅要检查数据包的数据完整性,还要解密数据包的有效载荷;
III.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断IP数据包有效载荷中的数据敏感等级和SA中相应的选择符是否匹配,如果不匹配则进到步骤S103,为该数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为2;
IV.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断IP数据包有效载荷中的传输层协议和SA中相应的选择符是否匹配,如果不匹配则进到步骤S103,为该数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为3;
V.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断IP数据包有效载荷中的源端口和SA中相应的选择符是否匹配,如果不匹配则进到步骤S103,为该数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为4;
VI.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断IP数据包有效载荷中的目的端口和SA中相应的选择符是否匹配,如果不匹配则进到步骤S103,为该数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为5。
在步骤S103中为出错隧道数据包生成ICMP安全失败消息后,进到步骤S104,在步骤S104中,隧道服务器2将该ICMP安全失败消息发送给隧道服务器1,隧道服务器1根据该ICMP安全失败消息的指示,可以得知其之前发送的隧道数据包的具体的错误类型。
图4为根据本发明的一个具体实施方式的在通信网络中用于对基于IPSec协议族的数据包的错误进行报告的隧道服务器框图。下面参照图4并结合图1和图5对其进行描述。图1中工作在目的终端连接设备状态下的隧道服务器2包括:一个接收装置101、一个判断装置102、一个生成装置103和一个发送装置104。
来自源终端连接设备(隧道服务器1)的用于主机a与主机b间特定安全通信的隧道数据包到达后,由所述接收装置101负责接收,该隧道数据包可能存在各种错误,于是,接收装置101将其接收到的隧道数据包传递给所述判断装置102;
判断装置102通过对由接收装置101接收到的隧道数据包进行检测,判断其是否存在各种错误。以前述的Code域值为5一级错误类型为例,本发明为其定义以下6种子错误类型(从属于该一级错误类型的二级错误类型),并用图5所示的ICMP安全失败消息中的Subcode域(属于原ICMP安全失败消息的Reserved域)来表示。在本实施例中,Subcode域为8个比特,而原ICMP安全失败消息的Reserved域共有16个比特,因此,剩余的8个空闲比特可以考虑仍然置“0”。
对应Code域值为5即一级错误类型为“需要授权”的Subcode域的取值与其表示的意义的对应关系如下,0:系统未识别错误子类型;1:名字未经授权;2:数据敏感等级未经授权;3:传输层协议未经授权;4:源端口未经授权;5:目的端口未经授权。
很容易理解,Subcode域取值为1-5时,对应一级错误类型“需要授权”的5种子错误类型,隧道服务器1(源终端连接设备)收到来自隧道服务器2的该ICMP安全失败消息后,可以精确地定位其在先发送给隧道服务器2的隧道数据包的错误类型。
特别地,本发明中为Subcode域定义一个为“0”的取值,是因为在现有的RFC2521标准中,Reserved域的值为16比特的“0”,当隧道服务器2按照现有标准(即,不对数据包的二级错误类型进行报告)报告隧道数据包的错误时,由其中的发送装置104发送给隧道服务器1的ICMP安全失败消息中的Code域仍指示相应隧道数据包的一级错误类型,而图5中所示的Subcode域和Reserved域均为8比特“0”,这样,该ICMP安全失败消息格式就与基于现有RFC2521标准的消息格式相同,实现了对现有标准的兼容.
当该消息到达隧道服务器1后,隧道服务器1根据该消息能够得到以下信息:该ICMP安全失败消息对应的隧道数据包发生了Code域取值为5时对应的错误:“需要认证”,但具体的二级错误类型未知。应当理解,本发明中,在ICMP安全失败消息中用于指示隧道数据包所存在的错误的二级错误类型的字段不限于上述实施例中所述的“Subcode”域,甚至可以不限于图2所示的现有标准中ICMP安全失败消息中的“Reserved”域,在实际操作中可以根据需要来在ICMP安全失败消息中选择合适的字段用于实现上述功能。
具体地,对应于Code域为5的情况,作为目的终端连接设备的隧道服务器2通过以下过程来确定如何为ICMP安全失败消息的Subcode域赋值:
I.如果隧道服务器2采用现有标准中的方案来报告隧道数据包的错误类型,则根据RFC2521的定义,由该生成装置103为该出错隧道数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为0,Code域取值为5(下同,Code域取值情况不再赘述);
II.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断装置102需要判断解封装后的IP数据包的有效载荷中的名字和SA中相应的选择符是否匹配,如果不匹配,则由所述生成装置103为该出错隧道数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为1;
其中,隧道数据包的封装协议有两种:AH和ESP,对于基于AH协议封装的隧道数据包,在解封装之前,该数据包的有效载荷是未经加密的明文,解封装时只需要检查数据包的数据完整性;而对于基于ESP协议封装的隧道数据包,在解封装之前,数据包的有效载荷是加密过的密文,因此需要在解封装后不仅要检查数据包的数据完整性,还要解密数据包的有效载荷;
III.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断装置102需要判断IP数据包有效载荷中的数据敏感等级和SA中相应的选择符是否匹配,如果不匹配,则由该生成装置103为该出错隧道数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为2;
IV.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断IP数据包有效载荷中的传输层协议和SA中相应的选择符是否匹配,如果不匹配,则由该生成装置103为该出错隧道数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为3;
V.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断IP数据包有效载荷中的源端口和SA中相应的选择符是否匹配,如果不匹配,则由该生成装置103为该出错隧道数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为4;
VI.隧道服务器2对来自隧道服务器1的隧道数据包进行正确解封装之后,判断IP数据包有效载荷中的目的端口和SA中相应的选择符是否匹配,如果不匹配,则由该生成装置103为该数据包生成一个ICMP安全失败消息,其中,该消息的Subcode域取值为5。
生成装置103为出错隧道数据包生成ICMP安全失败消息后,将该消息传递给该发送装置104,并由发送装置104将该ICMP安全失败消息发送给隧道服务器1,隧道服务器1根据该ICMP安全失败消息的指示,可以得知其之前发送的隧道数据包的具体的错误类型。
为使作为目的终端连接设备的隧道服务器2根据接收到的上述隧道服务器1发出的错误指示消息(如,ICMP安全失败消息)能够正确定位相应出错隧道数据包的各级错误类型,本发明提供了一种在通信网络的隧道服务器中用于对基于IPSec协议族的错误指示消息进行解析的方法。
图6为根据本发明的一个具体实施方式的在通信网络的隧道服务器中用于对基于IPSec协议族的错误指示消息进行解析的方法流程图。下面参照图6并结合图1和图5对该方法进行详述,该方法起始于步骤S201:
在步骤S201中,隧道服务器1接收隧道服务器2经由安全通信隧道发来的错误指示消息(譬如,ICMP安全失败消息),不失一般性,假设该ICMP安全失败消息的Code域值为5,Subcode域值为1。接收到该ICMP安全失败消息后,进到步骤S202;
在步骤S202中,隧道服务器1从指示相应出错隧道数据包的各级错误类型的错误指示消息中获取表示各级错误类型的错误信息,具体地,在本实施例中,隧道服务器1从来自隧道服务器2的ICMP安全失败消息的Code域和Subcode域中分别获取到表示一级错误类型的错误信息“5”以及表示二级错误类型的错误信息“1”,此后,进到步骤S203;
在步骤S203中,隧道服务器1通过将步骤S202中获取的错误信息与本地保存的错误列表(包含错误信息与具体错误类型的映射关系)进行比较以判断出该出错隧道数据包存在的各级错误类型,具体地,可采用如下方式:
-将从Code域获取的“5”与该错误列表中的Code域部分进行比较,可以判断出该出错隧道数据包存在的错误的一级错误类型为“需要授权”;
-将从Subcode域获取的“1”与该错误列表中的Subcode域部分进行比较(可以结合上述从Code域获取的错误信息“5”),可以判断出具体二级错误类型为“解封装后的IP数据包有效载荷中的名字与SA中相应的选择符不匹配”。
图7为根据本发明的一个具体实施方式的在通信网络中用于对基于IPSec协议族的错误指示消息进行解析的隧道服务器框图。下面参照图7并结合图1和图5对该隧道服务器(如,图1所示的隧道服务器1)进行描述,其具体包括一个接收装置201和一个解析装置202,该解析装置202包括一个获取装置2021和一个判断装置2022。
当来自隧道服务器2的错误指示消息(譬如,ICMP安全失败消息)经安全通信隧道到达隧道服务器1后,由该接收装置201负责接收,不失一般性,假设该ICMP安全失败消息的Code域值为5,Subcode域值为1。接收到该ICMP安全失败消息后,将其传递给该获取装置2021;
接着,由获取装置2021从指示出错隧道数据包的各级错误类型的错误指示消息中获取表示各级错误类型的错误信息,具体地,在本实施例中,隧道服务器1从来自隧道服务器2的ICMP安全失败消息的Code域和Subcode域中分别获取到表示一级错误类型的错误信息“5”以及表示二级错误类型的错误信息“1”,此后将其获取到的错误信息传递给该判断装置2022;
判断装置2022通过将由该获取装置2021获取的错误信息与本地保存的错误列表(包含错误信息与具体错误类型的映射关系)进行比较以判断出该出错隧道数据包存在的各级错误类型,为保存该错误列表,隧道服务器中可能还需要配置一个存储装置,为简明起见未在图中示出。具体地,可采用如下方式:
-判断装置2022将从Code域获取的“5”与该错误列表中的Code域部分进行比较,可以判断出该出错隧道数据包存在的错误的一级错误类型为“需要授权”;
-判断装置2022将从Subcode域获取的“1”与该错误列表中的Subcode域部分进行比较(可以结合上述从Code域获取的错误信息“5”),可以判断出具体二级错误类型为“解封装后的IP数据包有效载荷中的名字与SA中相应的选择符不匹配”。
至此,采用本发明提供的技术方案,实现了对出错隧道数据包的错误类型的细化报告,便于源隧道数据包对该隧道数据包的错误进行精确定位,以便排除。
应当理解,隧道服务器1与隧道服务器2之间是相互对称的,当隧道服务器2控制下的主机b需要经由隧道服务器1与隧道服务器2之间的安全通信隧道向主机a发送属于其间安全通信的IP数据包时,隧道服务器2就成为了源终端连接设备,隧道服务器1则成为了目的终端连接设备,需要判断隧道数据包是否出错并为出错隧道数据包生成错误指示消息,报告给隧道服务器2,即:一个终端连接设备应该同时具备发送ICMP安全失败消息和解析该消息的功能。
以上主要针对出错隧道数据包的一级错误类型为“需要授权”的情形对本发明的具体实施例进行了描述,对于其它一级错误类型,可以不予细化,或者根据实际操作中的技术需要进行相应的细化。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在所附权利要求的范围内做出各种变形或修改。
Claims (14)
1.一种在通信网络的终端连接设备中用于对基于IPsec协议族的数据包的错误进行报告的方法,包括:
a.接收来自一个源终端连接设备的一个数据包;
b.判断所述数据包是否存在错误;
c.如果所述数据包存在错误,则为其生成错误指示消息,所述错误指示消息指示该数据包所存在的错误的各级错误类型;
d.发送所述错误指示消息给所述源终端连接设备。
2.根据权利要求1所述的方法,其特征在于,所述各级错误类型包括一级错误类型和二级错误类型,其中,
所述一级错误类型包括,错误的SPI、验证失败、解压缩失败、解密失败、需要验证或需要授权;
所述二级错误类型包括,所述一级错误类型各自的一个或多个子错误类型。
3.根据权利要求1或2所述的方法,其特征在于,所述错误指示消息为ICMP安全失败消息。
4.根据权利要求3所述的方法,其特征在于,所述步骤c还包括:
所述数据包存在的错误的二级错误类型由ICMP安全失败消息的保留字段的一部分或全部来指示。
5.一种在通信网络中用于对基于IPsec协议族的隧道数据包的错误进行报告的终端连接设备,包括:
接收装置,用于接收一个源终端连接设备经互联网发来的一个数据包;
判断装置,用于判断所述数据包是否存在错误;
生成装置,用于当所述数据包存在错误时,为其生成错误指示消息,其指示该数据包所存在的错误的二级错误类型;
发送装置,用于将所述错误指示消息发送给所述源终端连接设备。
6.根据权利要求5所述的终端连接设备,其特征在于,所述各级错误类型包括一级错误类型和二级错误类型,其中,
所述一级错误类型包括,错误的SPI、验证失败、解压缩失败、解密失败、需要验证或需要授权;
所述二级错误类型包括,所述一级错误类型各自的一个或多个子错误类型。
7.根据权利要求5或6所述的终端连接设备,其特征在于,所述错误指示消息为ICMP安全失败消息。
8.根据权利要求7所述的终端连接设备,其特征在于,所述数据包存在的错误的二级错误类型由ICMP安全失败消息的保留字段的一部分或全部来指示。
9.一种在通信网络的终端连接设备中用于对基于IPsec协议族的错误指示消息进行解析的方法,包括:
d.接收来自一个远端终端连接设备的错误指示消息,该错误指示消息用于指示由所述终端连接设备发到该远端终端连接设备的一个数据包所存在的错误的各级错误类型;
e.由所述错误指示消息中解析出该数据包所存在的各级错误类型。
10.根据权利要求9所述的方法,其特征在于,所述步骤e还包括以下步骤:
-由所述错误指示消息中获取用于表示各级错误类型的错误信息;
-通过将所述错误信息与本地保存的错误列表进行比较以判断出所述数据包存在的各级错误类型。
11.根据权利要求9或10所述的方法,其特征在于,所述错误指示消息为ICMP安全失败消息。
12.一种在通信网络中用于对基于IPsec协议族的错误指示消息进行解析的终端连接设备,包括:
接收装置,用于接收来自一个远端终端连接设备的错误指示消息,该错误指示消息用于指示由所述终端连接设备发到该远端终端连接设备的一个数据包所存在的错误的各级错误类型;
解析装置,用于由所述错误指示消息中解析出该数据包所存在的各级错误类型。
13.根据权利要求12所述的终端连接设备,其特征在于,所述解析装置还包括:
获取装置,用于由所述错误指示消息中获取用于表示各级错误类型的错误信息;
判断装置,用于通过将所述错误信息与本地保存的错误列表进行比较以判断出所述数据包存在的各级错误类型。
14.根据权利要求12或13所述的终端连接设备,其特征在于,所述错误指示消息为ICMP安全失败消息。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610029317A CN101115055B (zh) | 2006-07-24 | 2006-07-24 | 通信网络中报告隧道数据包中各级错误的装置及方法 |
| US12/309,599 US8086908B2 (en) | 2006-07-24 | 2007-07-03 | Apparatus and a method for reporting the error of each level of the tunnel data packet in a communication network |
| KR1020097003782A KR101342423B1 (ko) | 2006-07-24 | 2007-07-03 | 통신 네트워크에서 터널 데이터 패킷의 각각의 레벨의 에러를 보고하는 장치 및 방법 |
| PCT/CN2007/002049 WO2008014666A1 (fr) | 2006-07-24 | 2007-07-03 | Appareil et procédé de communication de l'erreur de chaque niveau du paquet de données tunnel dans un réseau de communication |
| EP07763973.0A EP2048849A4 (en) | 2006-07-24 | 2007-07-03 | APPARATUS AND METHOD FOR COMMUNICATING THE ERROR OF EACH LEVEL OF THE TUNNEL DATA PACKET IN A COMMUNICATION NETWORK |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610029317A CN101115055B (zh) | 2006-07-24 | 2006-07-24 | 通信网络中报告隧道数据包中各级错误的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101115055A CN101115055A (zh) | 2008-01-30 |
| CN101115055B true CN101115055B (zh) | 2010-05-12 |
Family
ID=38996863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610029317A Active CN101115055B (zh) | 2006-07-24 | 2006-07-24 | 通信网络中报告隧道数据包中各级错误的装置及方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8086908B2 (zh) |
| EP (1) | EP2048849A4 (zh) |
| KR (1) | KR101342423B1 (zh) |
| CN (1) | CN101115055B (zh) |
| WO (1) | WO2008014666A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106385305A (zh) * | 2016-09-12 | 2017-02-08 | 四川海博智能科技有限责任公司 | 电力线载波通信方法 |
| US11283733B2 (en) | 2018-10-02 | 2022-03-22 | Arista Networks, Inc. | Proxy ports for network device functionality |
| US11418434B2 (en) | 2018-10-02 | 2022-08-16 | Arista Networks, Inc. | Securing MPLS network traffic |
| CN112543425B (zh) * | 2019-09-20 | 2022-04-29 | 华为技术有限公司 | 通信方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1585351A (zh) * | 2003-08-19 | 2005-02-23 | 华为技术有限公司 | 一种错误信息发送方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04361440A (ja) | 1991-06-10 | 1992-12-15 | Nec Commun Syst Ltd | 障害メッセージ処理制御方式 |
| US7061899B2 (en) * | 2001-05-01 | 2006-06-13 | Hewlett-Packard Development Company, L.P. | Method and apparatus for providing network security |
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| US8161539B2 (en) * | 2002-04-19 | 2012-04-17 | International Business Machines Corporation | IPSec network adapter verifier |
| KR20030097208A (ko) | 2002-06-20 | 2003-12-31 | 주식회사 케이티 | 차세대 망에서 망요소의 장애 보고방법 |
| KR100489689B1 (ko) * | 2003-02-14 | 2005-05-17 | 삼성전자주식회사 | 망 관리 시스템의 에러 정보 제공 방법 및 그 장치 |
| JP4361440B2 (ja) | 2004-08-04 | 2009-11-11 | 本田技研工業株式会社 | センサ配設構造 |
| US7315963B2 (en) * | 2004-08-10 | 2008-01-01 | International Business Machines Corporation | System and method for detecting errors in a network |
| US7424666B2 (en) * | 2005-09-26 | 2008-09-09 | Intel Corporation | Method and apparatus to detect/manage faults in a system |
-
2006
- 2006-07-24 CN CN200610029317A patent/CN101115055B/zh active Active
-
2007
- 2007-07-03 US US12/309,599 patent/US8086908B2/en active Active
- 2007-07-03 EP EP07763973.0A patent/EP2048849A4/en not_active Withdrawn
- 2007-07-03 KR KR1020097003782A patent/KR101342423B1/ko active IP Right Grant
- 2007-07-03 WO PCT/CN2007/002049 patent/WO2008014666A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1585351A (zh) * | 2003-08-19 | 2005-02-23 | 华为技术有限公司 | 一种错误信息发送方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2048849A4 (en) | 2014-07-09 |
| US8086908B2 (en) | 2011-12-27 |
| EP2048849A1 (en) | 2009-04-15 |
| CN101115055A (zh) | 2008-01-30 |
| WO2008014666A1 (fr) | 2008-02-07 |
| KR101342423B1 (ko) | 2013-12-17 |
| US20090204850A1 (en) | 2009-08-13 |
| KR20090038467A (ko) | 2009-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FI105739B (fi) | Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten | |
| CN104717201B (zh) | 网络装置以及网络系统 | |
| EP3324574B1 (en) | Gateway device and control method therefor | |
| TWI439102B (zh) | 及時傳送訊息之方法與裝置 | |
| US20070257813A1 (en) | Secure network bootstrap of devices in an automatic meter reading network | |
| CN103338185B (zh) | 一种文件共享的方法及系统 | |
| WO2018177385A1 (zh) | 一种传输数据的方法、装置和设备 | |
| US11218873B2 (en) | Communication system and method | |
| JPWO2010150813A1 (ja) | 暗号鍵配布システム | |
| CN105262773B (zh) | 一种物联网系统的验证方法及装置 | |
| CN111355695B (zh) | 一种安全代理方法和装置 | |
| CN106254355B (zh) | 一种网络协议数据包的安全处理方法和系统 | |
| CN111164933A (zh) | 一种在不进行状态管理下确保通信安全的方法 | |
| CN108024243A (zh) | 一种eSIM卡入网通信方法及其系统 | |
| CN101115055B (zh) | 通信网络中报告隧道数据包中各级错误的装置及方法 | |
| CN115604221A (zh) | 信息处理方法、中间解析器、网络设备及存储介质 | |
| Daily et al. | Securing CAN traffic on J1939 networks | |
| CN108833380A (zh) | 一种系统上下级平台间数据交换的方法 | |
| US10142058B2 (en) | Communication device and communication method | |
| CN118118267A (zh) | 一种基于fpga实现ipv4和ipv6混合业务的ipsec协议方法和装置 | |
| CN101052029B (zh) | 用于传输包括可扩展标记语言信息的消息的方法 | |
| KR101040543B1 (ko) | 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법 | |
| CN102202108A (zh) | 实现ipsec在ah模式下nat穿越的方法、设备及系统 | |
| CN101895522A (zh) | 主机标识标签获取方法及系统 | |
| KR20210101304A (ko) | 통신 모듈 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SHANGHAI ALCATEL-LUCENT CO., LTD. Free format text: FORMER NAME: BEIER AERKATE CO., LTD., SHANGHAI |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai Alcatel-Lucent Co., Ltd. Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Beier Aerkate Co., Ltd., Shanghai |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |