CN101577725B - 一种防重放机制中的信息同步方法、装置和系统 - Google Patents
一种防重放机制中的信息同步方法、装置和系统 Download PDFInfo
- Publication number
- CN101577725B CN101577725B CN200910148649A CN200910148649A CN101577725B CN 101577725 B CN101577725 B CN 101577725B CN 200910148649 A CN200910148649 A CN 200910148649A CN 200910148649 A CN200910148649 A CN 200910148649A CN 101577725 B CN101577725 B CN 101577725B
- Authority
- CN
- China
- Prior art keywords
- replay
- gateway device
- departures
- sequence number
- active
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种防重放机制中的信息同步方法,应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中,所述主网关设备和所述备份网关设备互为备份,所述方法包括以下步骤:主备切换前,所述备份网关设备接收来自所述主网关设备的防重放信息;主备切换后,所述备份网关设备根据所述主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号;所述备份网关设备通知所述分支网关设备更新防重放窗口。本发明能够在中心站点冷故障恢复时及时通告分支节点更新防重放窗口,提高了IPSEC主备环境下防重放机制的可靠性。本发明还公开了应用上述方法的网关设备和系统。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种防重放机制中的信息同步方法、装置和系统。
背景技术
IPSec(Internet Protocol Security,互联网协议安全)是一个工业标准网络安全协议,为IP(Internet Protocol,互联网协议)网络通信提供透明的安全服务,可以保护TCP(Transmission Control Protocol,传输控制协议)/IP通信免遭窃听和篡改,有效抵御网络攻击,同时保持易用性,还可以提供访问控制、无连接的完整性、数据来源验证、防重放和机密性。IPSec协议不是一个单独的协议,而是应用于IP层上网络数据安全的一整套体系结构,包括AH(Authentication Header,验证头)、ESP(Encapsulating Security Payload,封装安全载荷协议)、IKE(Internet Key Exchange,密钥管理协议)和用于网络认证及加密的一系列算法。
IPSec的基础为SA(Security Association,安全联盟),SA是两个通信实体协商建立起来的一种协定,决定了用来保护数据包安全的IPSec协议、密钥以及密钥的有效存在时间。IPSec实施方案会构建一个SADB(SecurityAssociation Database,安全联盟数据库),由该SADB维护IPSec协议和保障数据包安全的SA记录。SA具有单向性,入方向和出方向各需要配置一个独立的SA,分别称为入站SA和出站SA;SA还具有协议相关性,AH和ESP各需要配置一个独立的SA。SA由手工或自动协商创建,其中,手工方式创建的SA只能手动删除,协商方式创建的SA既可手动删除,也可以依照时间或流量为周期自动删除。
作为IPSec的一项重要的安全功能,防重放机制用于检测和拒绝被恶意重复发送的数据,该机制涉及到防重放序号(Anti-Replay Sequence)和防重放窗口(Anti-Replay Windows),其中,防重放序号为ESP和AH中定义的单向递增的序列号,该序列号由IPSEC客户端插在ESP头或者AH头中,IPSec服务器端可以通过检测报文的序列号防止重放攻击,当IPSec服务器端接收到重复序号或者过期序号的IPSec报文时,则判定该报文为重放报文;IPSec服务器端根据接收到的IPSec报文滑动防重放窗口,如果接收到的IPSec报文落在防重放窗口左边或者已经收到,则判定该报文为重放报文,防重放窗口的大小可以配置指定。
在IPSec的实际应用中,需要中心站点和远程节点之间建立IPSec VPN(Virtual Private Network,虚拟专用网络)。为了增强中心站点的可靠性,通常采用VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)来实现中心站点主设备和备份设备的切换。VRRP是一种容错协议,可以保证当主机的下一跳路由器坏掉时,及时地由另一台路由器来代替,从而保持通讯的连续性和可靠性。VRRP将可以承担网关功能的一组路由器加入到备份组中,形成一台虚拟路由器,由VRRP的选举机制决定承担转发任务的路由器,局域网内的主机只需将虚拟路由器配置为缺省网关。VRRP在局域网中的某台路由器出现故障时,仍然能够提供可靠性高的缺省链路,有效避免单一链路发生故障后网络中断的问题。
如图1所示,为现有技术中的一种VRRP冗余备份的组网结构示意图。中心站点由两台VPN网关互为备份组成,其中一台VPN网关作为主设备处于active状态,另外一台作为备份设备处于standby状态,所有的分支节点与中心站点的主设备建立IPSec VPN,IPSEC主设备将所有分支节点的IPSec会话信息全部备份到IPSec备份设备上。
现有技术中,IPSec防重放机制根据IPSec处理的报文数进行信息同步,主设备在接收到一定数量的IPSec报文后,与备份设备同步IPSEC入站SA的防重放窗口和出站SA的防重放序号。
然而,发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷:
当中心站点发生冷故障时,由于主备设备之间无法及时同步防重放信息,导致冷故障恢复后分支节点与中心站点的防重放信息不同步,中心站点向分支节点发送的正常报文会被分支节点作为重放报文丢弃,进而造成VPN流量的中断。
发明内容
本发明提供了一种防重放机制中的信息同步方法、装置和系统,可以在中心站点的冷故障恢复后及时更新防重放信息。
本发明提供了一种防重放机制中的信息同步方法,应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中,所述主网关设备和所述备份网关设备互为备份,所述方法包括以下步骤:
主备切换前,所述备份网关设备接收来自所述主网关设备的防重放信息;其中,所述主备切换前的防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值;
主备切换后,所述备份网关设备根据所述主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号;还用于对所述主备切换前出站SA的防重放序号和所述出站SA在设定时间内处理报文数的最大值进行累加,将所述累加的结果作为主备切换后出站SA的防重放序号;
所述备份网关设备通知所述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重放窗口;具体地,所述备份网关设备根据所述主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并向所述分支网关设备发送所述防重放序号通知载荷消息,使所述分支网关设备根据所述防重放序号通知载荷消息更新防重放窗口。
优选地,防重放序号更新载荷消息采用密钥管理协议IKE SA保护。
本发明还提供了一种网关设备,应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中,所述主网关设备和所述备份网关设备互为备份,所述网关设备在所述网络系统中充当主网关设备或备份网关设备,包括:
收发模块,用于在所述网关设备充当主网关设备时,向备份网关设备发送防重放信息,或者在所述网关设备充当备份网关设备时,接收来自主网关设备的防重放信息;其中,所述防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值;
获取模块,与所述收发模块电性连接,用于根据所述收发模块接收到的主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号;还用于对所述主备切换前出站SA的防重放序号和所述出站SA在设定时间内处理报文数的最大值进行累加,将所述累加的结果作为主备切换后出站SA的防重放序号;
通知模块,与所述获取模块电性连接,用于根据所述获取模块获取的主备切换后出站SA的防重放序号,通知所述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重放窗口;具体用于根据所述主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并向所述分支网关设备发送所述防重放序号通知载荷消息,使所述分支网关设备根据所述防重放序号通知载荷消息更新防重放窗口。
所述网关设备,还包括:
监控模块,用于监控出站SA在设定时间内处理报文数的最大值;
所述收发模块,与所述监控模块电性连接,在所述网关设备充当主网关设备时,具体用于将所述监控模块获取的所述出站SA在设定时间内处理报文数的最大值同步到所述备份网关设备,并向所述备份网关设备发送防重放控制消息,所述防重放消息中携带主备切换前出站SA的防重放序号。
优选地,所述通知模块,还用于对所述防重放序号更新载荷消息采用密钥管理协议IKE SA保护。
本发明还提供了一种防重放机制中的信息同步系统,包括主网关设备、备份网关设备和分支网关设备,所述主网关设备和所述备份网关设备互为备份,
所述主网关设备,用于在主备切换前向所述备份网关设备发送防重放信息;其中,所述防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值;
所述备份网关设备,用于在主备切换前接收来自所述主网关设备的防重放信息,在主备切换后根据所述主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号,还用于对所述主备切换前出站SA的防重放序号和所述出站SA在设定时间内处理报文数的最大值进行累加,将所述累加的结果作为主备切换后出站SA的防重放序号,并根据所述主备切换后出站SA的防重放序号通知所述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重放窗口;具体地,所述备份网关设备根据所述主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并向所述分支网关设备发送所述防重放序号通知载荷消息,使所述分支网关设备根据所述防重放序号通知载荷消息更新防重放窗口;
所述分支网关设备,用于根据所述主备切换后出站SA的防重放序号更新自身的防重放窗口。
所述主网关设备,具体用于监控出站SA在设定时间内处理报文数的最大值,将所述出站SA在设定时间内处理报文数的最大值同步到所述备份网关设备,并向所述备份网关设备发送防重放控制消息,所述防重放消息中携带备切换前出站SA的防重放序号。
与现有技术相比,本发明具有以下优点:
本发明通过IPSEC主备环境下防重放信息的同步,使中心站点在冷故障恢复后能够及时通告分支节点更新防重放窗口,提高了IPSEC主备环境下防重放机制的可靠性。
附图说明
图1为现有技术中的一种VRRP冗余备份的组网结构示意图;
图2为本发明中的一种防重放机制中的信息同步方法流程图;
图3为本发明中的一种防重放机制中的信息同步应用场景流程图;
图4为本发明中的分支网关设备的防重放窗口的更新示意图;
图5为本发明中的一种网关设备的结构示意图;
图6为本发明中的一种防重放机制中的信息同步系统结构示意图。
具体实施方式
本发明提供的技术方案中,其核心思想为主网关设备和备份网关设备定期同步防重放信息,主备切换后备份网关设备根据主备切换前的防重放信息获取主备切换后出站SA的防重放序号,并通知分支网关设备更新防重放窗口。
如图2所示,为本发明中的一种防重放机制中的信息同步方法流程图,应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中,主网关设备和备份网关设备互为备份,该方法包括以下步骤:
步骤201,主备切换前,备份网关设备接收来自主网关设备的防重放信息。
其中,主备切换前的防重放信息包括主备切换前出站SA的防重放序号、入站SA的防重放窗口的初始值和出站SA在设定时间内处理报文数的最大值。
具体地,备份网关设备通过与主网关设备之间的控制通道,定期接收来自主网关设备的防重放控制消息,该消息中包含SADB中的所有出站SA的防重放序号和所有入站SA的防重放窗口的起始值。同时,主网关设备还可以监控出站SA在设定时间内处理报文数的最大值,并将该最大值同步到备份网关设备。
步骤202,主备切换后,备份网关设备根据主备切换前的防重放信息获取主备切换后出站SA的防重放序号。
其中,主备切换后出站SA的防重放序号为主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值的累加值。备份网关设备对主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值进行累加,将该累加的结果作为主备切换后出站SA的防重放序号。
步骤203,备份网关设备通知分支网关设备根据主备切换后出站SA的防重放序号更新防重放窗口。
具体地,备份网关设备根据主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并将该防重放序号通知载荷消息发送到分支网关设备,通知分支网关设备根据主备切换后出站SA的防重放序号更新自身的防重放窗口。
本发明通过IPSEC主备环境下防重放信息的同步,解决了中心站点在冷故障恢复后无法及时通告分支节点更新防重放窗口的问题,提高了IPSEC主备环境下防重放机制的可靠性。
以下结合具体的应用场景,对本发明中的信息同步方法进行详细、具体的描述。
如图3所示,为本发明中的一种防重放机制中的信息同步应用场景流程图,包括以下步骤:
步骤301,在主网关设备和备份网关设备之间建立并维护控制通道。
其中,控制通道用于同步主网关设备和备份网关设备之间的会话信息,以及其他的控制消息。
步骤302,主网关设备以T1为周期向备份网关设备发送防重放控制消息。
其中,防重放控制消息用于向备份网关设备发布SADB中的出站SA的防重放序号和入站SA的防重放窗口的起始值。如表1所示,为防重放控制消息的结构表。
表1防重放控制消息的结构表
| Remote Address(IPv4或IPv6) |
| Security Parameter Index(es)(SPI) |
| Protocol(AH/ESP/IPCOMP) |
| Anti-Replay Sequence/Anti-Replay Windows的起始值 |
| ...... |
| Remote Address(IPv4或IPv6) |
| Security Parameter Index(es)(SPI) |
| Protocol(AH/ESP/IPCOMP) |
| Anti-Replay Sequence/Anti-Replay Windows的起始值 |
防重放控制消息中,Remote Address、SPI和Protocol构成SA的三元组信息,唯一标识一个SA,Anti-Replay Sequence为出站SA的防重放序号,Anti-Replay Windows的起始值为入站SA防重放窗口的起始值。防重放控制消息中携带SADB中的所有出站SA的防重放序号和所有入站SA的防重放窗口的起始值,从起始地址开始依次排列。
备份网关设备接收到防重放控制消息后,首先解析该防重放控制消息中的第一个SA,根据第一个SA的三元组信息查找本地的SA,如果第一个SA为入站SA,则更新该入站SA的防重放窗口的起始值,如果第一个SA为出站SA,更新该出站SA的防重放序号,然后继续解析防重放控制消息中的第二个SA,直到更新完本地SADB中的所有SA的防重放窗口的初始值和防重放序号。
需要说明的是,主网关设备发送防重放控制消息的周期T1可以为固定值,也可以根据用户的需求动态修改,T1的取值不影响本发明的保护范围。
步骤303,主网关设备监控T2内出站SA处理报文数的最大值M,并将该最大值M同步到备份网关设备。
其中,出站SA处理报文数的最大值M用于表示出站SA在T2内处理报文的最大能力,T2可以根据经验值设定,一般为1至2分钟。
需要说明的是,本发明中的T2可以为固定值,也可以根据用户的需求动态修改,T2的取值不影响本发明的保护范围。
步骤304,主网关设备故障时,与备份网关设备进行主备切换。
具体地,将备份网关设备的状态设置为active状态,将主网关设备设置为standby状态,备份网关设备与所有的分支节点建立IPSec VPN。
步骤305,备份网关设备计算主备切换后出站SA的防重放序号。
具体地,主备切换后出站SA的防重放序号可以根据以下公式计算得到:
SEQUENCE=N+M,
其中,SEQUENCE为主备切换后出站SA的防重放序号,N为主备切换前出站SA的防重放序号,M为T2分钟内出站SA处理报文数的最大值。
步骤306,备份网关设备根据主备切换后出站SA的防重放序号构造防重放序号通知载荷消息。
如表2所示,为防重放序号通知载荷(Anti-Replay Sequence Update Payload)消息的结构表。按照RFC2408协议的定义要求,扩展私有载荷的范围为128-255之间,因此,可以将防重放序号通知载荷定义为150。
表2防重放序号通知载荷消息的结构表
上述防重放序号通知载荷消息中,各字段定义如下:
Next Payload:占用1个字节,用于标识下一个载荷的类型,如果当前载荷为最后一个载荷则为0;
RESERVED1:占用1个字节,用于预留,设置为0;
PayloadLength:占用2个字节,用于标识当前载荷的长度,以字节为单位,包括通用头;
Domain ofInterpretation:占用4个字节,对于isakmp则设置为0,对于IPSEC则为设置为1;
Protocol-Id:占用1个字节,对于AH设置为2,对于ESP设置为2,对于IPCOMP设置为4;
SPI Size:占用1个字节,用于标识SPI的长度,以字节为单位;
RESERVED2:占用2个字节,用于预留,设置为0;
Security Parameter Index(es):可变长度,用于标识要更新的具体的SA,长度由SPI Size字段确定;
Anti-replay Sequence Length:占用2个字节,用于标识防重放序号的长度,以字节为单位;
RESERVED3:占用2个字节,用于预留,设置为0;
Anti-replay Sequence:可变长度,用于标识新的防重放序号,长度由Anti-replay Sequence Length来确定。
步骤307,备份网关设备向分支网关设备发送防重放序号通知载荷消息,通知分支网关设备更新本地的防重放窗口。
具体地,为保证消息发送的安全性,备份网关设备对防重放序号更新载荷消息采用IKE SA保护。
步骤308,分支网关设备解析接收到的防重放序号通知载荷消息,并根据解析结果更新本地的防重放窗口。
具体地,分支网关设备作为远程节点接收到来自中心站点的防重放序号通知载荷消息后,首先验证该防重放序号通知载荷消息的安全性,按照防重放序号通知载荷的格式解析该消息,并根据该消息中的三元组信息(中心站点IP地址、协议和SPI)查找本地的SADB是否存在该消息对应的入站SA,如果查找到对应的入站SA,则提取该消息携带的防重放序号更新该入站SA的防重放窗口;如果查找不到对应的入站SA,则主动触发IPSEC VPN连接,确保远程节点和中心站点之间的VPN连通。
如图4所示,为分支网关设备的防重放窗口的更新示意图,其中,假设分支网关设备的防重放窗口的大小为32,分支网关设备接收到的防重放序号通知载荷消息中的防重放序号为N,则更新后的防重放窗口范围为(N,N+32)。
需要说明的是,分支网关设备的防重放窗口的大小可以由用户根据需要配置,以上仅以大小为32的防重放窗口举例说明,防重放窗口的最大值可以配置为1024。
本发明通过IPSEC主备环境下防重放信息的同步,使中心站点在冷故障恢复后能够及时通告分支节点更新防重放窗口,提高了IPSEC主备环境下防重放机制的可靠性。
本发明通过上述实施方式提供了一种防重放机制中的信息同步方法和应用场景,以下实施方式还提供了应用上述方法的网关设备。
如图5所示,为本发明中的一种网关设备的结构示意图,应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中,主网关设备和备份网关设备互为备份,网关设备在网络系统中充当主网关设备或备份网关设备,包括收发模块510、监控模块520、获取模块530和通知模块540,其中,
收发模块510,用于在网关设备充当主网关设备时,向备份网关设备发送防重放信息,或者在网关设备充当备份网关设备时,接收来自主网关设备的防重放信息。
其中,防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值。
上述收发模块510,与监控模块520电性连接,在网关设备充当主网关设备时,具体用于将监控模块520获取的出站SA在设定时间内处理报文数的最大值同步到备份网关设备,并向备份网关设备发送防重放控制消息,该防重放消息中携带主备切换前出站SA的防重放序号,用于向备份网关设备发布SADB中的出站SA的防重放序号和入站SA的防重放窗口的起始值。
监控模块520,用于监控出站SA在设定时间内处理报文数的最大值。
其中,出站SA处理报文数的最大值用于表示出站SA在设定时间内处理报文的最大能力,设定时间可以根据经验值确定,一般为1至2分钟。
需要说明的是,本发明中的设定时间可以为固定值,也可以根据用户的需求动态修改,设定时间的取值不影响本发明的保护范围。
获取模块530,与收发模块510电性连接,用于根据收发模块510接收到的主备切换前的防重放信息获取主备切换后出站SA的防重放序号。
上述获取模块530,具体用于对主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值进行累加,将该累加的结果作为主备切换后出站SA的防重放序号。
具体地,主备切换后出站SA的防重放序号可以根据以下公式计算得到:
SEQUENCE=N+M,
其中,SEQUENCE为主备切换后出站SA的防重放序号,N为主备切换前出站SA的防重放序号,M为T2分钟内出站SA处理报文数的最大值。
通知模块540,与获取模块530电性连接,用于根据获取模块530获取的主备切换后出站SA的防重放序号,通知分支网关设备更新防重放窗口。
上述通知模块540,具体用于根据主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并向分支网关设备发送防重放序号通知载荷消息。
上述通知模块540,还用于对防重放序号更新载荷消息采用IKE SA保护,以保证消息发送的安全性。
本发明通过IPSEC主备环境下防重放信息的同步,解决了中心站点在冷故障恢复后无法及时通告分支节点更新防重放窗口的问题,提高了IPSEC主备环境下防重放机制的可靠性。
本发明还提供了与上述防重放机制中的信息同步方法和网关设备相对应的系统。
如图6所示,为本发明中的一种防重放机制中的信息同步系统结构示意图,包括主网关设备610、备份网关设备620和分支网关设备630,主网关设备610和备份网关设备620互为备份,其中,
主网关设备610,用于在主备切换前向备份网关设备620发送防重放信息。
具体地,防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值。
上述主网关设备610,具体用于监控出站SA在设定时间内处理报文数的最大值,将出站SA在设定时间内处理报文数的最大值同步到备份网关设备,并向备份网关设备620发送防重放控制消息,该防重放消息中携带备切换前出站SA的防重放序号,用于向备份网关设备发布SADB中的出站SA的防重放序号和入站SA的防重放窗口的起始值。
备份网关设备620,用于在主备切换前接收来自主网关设备610的防重放信息,在主备切换后根据主备切换前的防重放信息获取主备切换后出站SA的防重放序号,并根据主备切换后出站SA的防重放序号通知分支网关设备630更新防重放窗口。
具体地,备份网关设备620接收到防重放控制消息后,首先解析该防重放控制消息中的第一个SA,根据第一个SA的三元组信息查找本地的SA,如果第一个SA为入站SA,则更新该入站SA的防重放窗口的起始值,如果第一个SA为出站SA,更新该出站SA的防重放序号,然后继续解析防重放控制消息中的第二个SA,直到更新完本地SADB中的所有SA的防重放窗口的初始值和防重放序号。
需要说明的是,主网关设备发送防重放控制消息的周期可以为固定值,也可以根据用户的需求动态修改,该周期的取值不影响本发明的保护范围。
主备切换后出站SA的防重放序号可以根据以下公式计算得到:
SEQUENCE=N+M,
其中,SEQUENCE为主备切换后出站SA的防重放序号,N为主备切换前出站SA的防重放序号,M为T2分钟内出站SA处理报文数的最大值。
备份网关设备620根据主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并向分支网关设备630发送防重放序号通知载荷消息。为保证消息发送的安全性,备份网关设备620还对防重放序号更新载荷消息采用IKE SA保护,以保证消息发送的安全性。
分支网关设备630,用于根据主备切换后出站SA的防重放序号更新自身的防重放窗口。
具体地,分支网关设备630作为远程节点接收到来自中心站点的防重放序号通知载荷消息后,首先验证该防重放序号通知载荷消息的安全性,按照防重放序号通知载荷的格式解析该消息,并根据该消息中的三元组信息(中心站点IP地址、协议和SPI)查找本地的SADB是否存在该消息对应的入站SA,如果查找到对应的入站SA,则提取该消息携带的防重放序号更新该入站SA的防重放窗口;如果查找不到对应的入站SA,则主动触发IPSEC VPN连接,确保远程节点和中心站点之间的VPN连通。
本发明通过IPSEC主备环境下防重放信息的同步,使中心站点在冷故障恢复后能够及时通告分支节点更新防重放窗口,提高了IPSEC主备环境下防重放机制的可靠性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (7)
1.一种防重放机制中的信息同步方法,应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中,所述主网关设备和所述备份网关设备互为备份,其特征在于,所述方法包括以下步骤:
主备切换前,所述备份网关设备接收来自所述主网关设备的防重放信息;其中,所述主备切换前的防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值;
主备切换后,所述备份网关设备根据所述主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号;还用于对所述主备切换前出站SA的防重放序号和所述出站SA在设定时间内处理报文数的最大值进行累加,将所述累加的结果作为主备切换后出站SA的防重放序号;
所述备份网关设备通知所述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重放窗口;具体地,所述备份网关设备根据所述主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并向所述分支网关设备发送所述防重放序号通知载荷消息,使所述分支网关设备根据所述防重放序号通知载荷消息更新防重放窗口。
2.如权利要求1所述的方法,其特征在于,防重放序号更新载荷消息采用密钥管理协议IKESA保护。
3.一种网关设备,应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中,所述主网关设备和所述备份网关设备互为备份,其特征在于,所述网关设备在所述网络系统中充当主网关设备或备份网关设备,包括:
收发模块,用于在所述网关设备充当主网关设备时,向备份网关设备发送防重放信息,或者在所述网关设备充当备份网关设备时,接收来自主网关设备的防重放信息;其中,所述防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值;
获取模块,与所述收发模块电性连接,用于根据所述收发模块接收到的主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号;还用于对所述主备切换前出站SA的防重放序号和所述出站SA在设定时间内处理报文数的最大值进行累加,将所述累加的结果作为主备切换后出站SA的防重放序号;
通知模块,与所述获取模块电性连接,用于根据所述获取模块获取的主备切换后出站SA的防重放序号,通知所述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重放窗口;具体用于根据所述主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并向所述分支网关设备发送所述防重放序号通知载荷消息,使所述分支网关设备根据所述防重放序号通知载荷消息更新防重放窗口。
4.如权利要求3所述的网关设备,其特征在于,所述网关设备,还包括:
监控模块,用于监控出站SA在设定时间内处理报文数的最大值;
所述收发模块,与所述监控模块电性连接,在所述网关设备充当主网关设备时,具体用于将所述监控模块获取的所述出站SA在设定时间内处理报文数的最大值同步到所述备份网关设备,并向所述备份网关设备发送防重放控制消息,所述防重放消息中携带主备切换前出站SA的防重放序号。
5.如权利要求3所述的网关设备,其特征在于,
所述通知模块,还用于对防重放序号更新载荷消息采用密钥管理协议IKESA保护。
6.一种防重放机制中的信息同步系统,包括主网关设备、备份网关设备和分支网关设备,所述主网关设备和所述备份网关设备互为备份,其特征在于,
所述主网关设备,用于在主备切换前向所述备份网关设备发送防重放信息;其中,所述防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定时间内处理报文数的最大值;
所述备份网关设备,用于在主备切换前接收来自所述主网关设备的防重放信息,在主备切换后根据所述主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号,还用于对所述主备切换前出站SA的防重放序号和所述出站SA在设定时间内处理报文数的最大值进行累加,将所述累加的结果作为主备切换后出站SA的防重放序号,并根据所述主备切换后出站SA的防重放序号通知所述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重放窗口;具体地,所述备份网关设备根据所述主备切换后出站SA的防重放序号构造防重放序号通知载荷消息,并向所述分支网关设备发送所述防重放序号通知载荷消息,使所述分支网关设备根据所述防重放序号通知载荷消息更新防重放窗口;
所述分支网关设备,用于根据所述主备切换后出站SA的防重放序号更新自身的防重放窗口。
7.如权利要求6所述的系统,其特征在于,
所述主网关设备,具体用于监控出站SA在设定时间内处理报文数的最大值,将所述出站SA在设定时间内处理报文数的最大值同步到所述备份网关设备,并向所述备份网关设备发送防重放控制消息,所述防重放消息中携带主备切换前出站SA的防重放序号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910148649A CN101577725B (zh) | 2009-06-26 | 2009-06-26 | 一种防重放机制中的信息同步方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910148649A CN101577725B (zh) | 2009-06-26 | 2009-06-26 | 一种防重放机制中的信息同步方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101577725A CN101577725A (zh) | 2009-11-11 |
| CN101577725B true CN101577725B (zh) | 2012-09-26 |
Family
ID=41272511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910148649A Expired - Fee Related CN101577725B (zh) | 2009-06-26 | 2009-06-26 | 一种防重放机制中的信息同步方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101577725B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101714916B (zh) * | 2009-11-26 | 2013-06-05 | 华为数字技术(成都)有限公司 | 一种备份方法、设备和系统 |
| CN101800989B (zh) * | 2010-01-19 | 2013-07-10 | 重庆邮电大学 | 用于工业无线网络的防重放攻击系统 |
| CN101917294B (zh) * | 2010-08-24 | 2012-03-14 | 杭州华三通信技术有限公司 | 主备切换时更新防重放参数的方法和设备 |
| CN103581262B (zh) * | 2012-08-06 | 2017-12-29 | 腾讯科技(深圳)有限公司 | 一种主备数据同步方法、装置和系统 |
| CN102891850A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | IPSec隧道更新防重放参数的方法 |
| CN103731407B (zh) * | 2012-10-12 | 2017-08-11 | 华为技术有限公司 | Ike报文协商的方法及系统 |
| CN103118017B (zh) * | 2013-01-21 | 2016-02-03 | 杭州华三通信技术有限公司 | 维护IKE SA的本端发送消息的MessageID的方法及装置 |
| CN103414637B (zh) * | 2013-07-29 | 2016-03-30 | 北京华为数字技术有限公司 | 一种流量转发的方法及相关装置 |
| CN103973674A (zh) * | 2014-04-09 | 2014-08-06 | 汉柏科技有限公司 | 主备同步信息的方法及装置 |
| CN105791218B (zh) * | 2014-12-22 | 2019-06-21 | 华为数字技术(苏州)有限公司 | 抗重放方法和装置 |
| CN105991352B (zh) * | 2015-07-22 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种安全联盟备份方法以及装置 |
| CN107733807B (zh) * | 2017-09-20 | 2020-04-03 | 新华三信息安全技术有限公司 | 一种报文防重放方法及装置 |
| CN108322330B (zh) * | 2017-12-26 | 2021-03-02 | 成都卫士通信息产业股份有限公司 | 一种ipsec vpn序列号及抗重放窗口同步方法及设备 |
| CN111614692B (zh) * | 2020-05-28 | 2021-06-08 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的入站报文处理方法及装置 |
| CN114793210B (zh) * | 2022-06-23 | 2022-09-13 | 北京轻网科技有限公司 | 一种数据报文多发选收发送、接收方法、装置及系统 |
| CN116155477B (zh) * | 2023-04-18 | 2023-07-18 | 湖北省楚天云有限公司 | 一种基于动态滑动窗口的IPsec抗重放方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819560A (zh) * | 2006-03-14 | 2006-08-16 | 杭州华为三康技术有限公司 | 多单元发送时的报文序列号检测方法及装置 |
| CN101163326A (zh) * | 2006-10-12 | 2008-04-16 | 华为技术有限公司 | 一种抗重放攻击的方法、系统及移动终端 |
| CN101243669A (zh) * | 2006-02-09 | 2008-08-13 | 三星电子株式会社 | 在因特网协议安全中更新错误自动修正窗口的方法和装置 |
-
2009
- 2009-06-26 CN CN200910148649A patent/CN101577725B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101243669A (zh) * | 2006-02-09 | 2008-08-13 | 三星电子株式会社 | 在因特网协议安全中更新错误自动修正窗口的方法和装置 |
| CN1819560A (zh) * | 2006-03-14 | 2006-08-16 | 杭州华为三康技术有限公司 | 多单元发送时的报文序列号检测方法及装置 |
| CN101163326A (zh) * | 2006-10-12 | 2008-04-16 | 华为技术有限公司 | 一种抗重放攻击的方法、系统及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101577725A (zh) | 2009-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101577725B (zh) | 一种防重放机制中的信息同步方法、装置和系统 | |
| EP2720438B1 (en) | Method and system for negotiation based on IKE messages | |
| CN101611610B (zh) | 用于ip安全/因特网密钥交换安全网关的装置和方法 | |
| WO2018222838A1 (en) | Decoupled control and data plane synchronization for ipsec geographic redundancy | |
| WO2011063757A1 (zh) | 一种备份方法、设备和系统 | |
| WO2016082412A1 (zh) | 实现数据可靠传输的方法、装置及计算机存储介质 | |
| CN102447583B (zh) | 网络地址转换设备的双机热备的方法及装置 | |
| CN101917294B (zh) | 主备切换时更新防重放参数的方法和设备 | |
| CN103026663B (zh) | 分布式连通性验证协议冗余 | |
| CN103475655A (zh) | 一种实现IPSecVPN主备链路动态切换的方法 | |
| US20160080424A1 (en) | Apparatus and method for reestablishing a security association used for communication between communication devices | |
| CN102420770A (zh) | Ike报文协商方法及设备 | |
| Aydeger et al. | SDN-enabled recovery for Smart Grid teleprotection applications in post-disaster scenarios | |
| CN112822103B (zh) | 一种信息上报方法和信息处理方法及设备 | |
| KR101189673B1 (ko) | 인터넷 보안 프로토콜 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법 | |
| CN101605060B (zh) | 一种单板级的IPSec主备方法及装置 | |
| CN105592490A (zh) | 一种路由切换方法及设备 | |
| CN113055361A (zh) | 一种用于dc互联的安全通信方法、装置及系统 | |
| CN109302328B (zh) | 一种vxlan网络热备切换方法及系统 | |
| CN108322330B (zh) | 一种ipsec vpn序列号及抗重放窗口同步方法及设备 | |
| JP2011166245A (ja) | ネットワークシステム、ゲートウェイ装置切替方法、第1のトンネル終端ゲートウェイ装置および第2のトンネル終端ゲートウェイ装置 | |
| JP2004328604A (ja) | Ipテレフォニーサービスシステム、課金処理方法 | |
| JP2004328563A (ja) | 暗号通信装置および暗号通信システム | |
| CN112804268A (zh) | 一种同步方法、第一设备、第二设备和同步系统 | |
| JP3817140B2 (ja) | 暗号化通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120926 Termination date: 20200626 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |