CN101622851A - 用于为高速环境提供对端活跃度的方法和系统 - Google Patents

用于为高速环境提供对端活跃度的方法和系统 Download PDF

Info

Publication number
CN101622851A
CN101622851A CN200880007021A CN200880007021A CN101622851A CN 101622851 A CN101622851 A CN 101622851A CN 200880007021 A CN200880007021 A CN 200880007021A CN 200880007021 A CN200880007021 A CN 200880007021A CN 101622851 A CN101622851 A CN 101622851A
Authority
CN
China
Prior art keywords
opposite end
session
ike
bfd
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200880007021A
Other languages
English (en)
Inventor
D·西尼克罗普
J·科门
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN101622851A publication Critical patent/CN101622851A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • H04L67/145Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

通过在已利用用于建立安全关联的协议在第一对端与第二对端之间建立会话之后检测对端活跃度来减少网络中的安全对端故障(206)。用于检测错误的协议(双向转发检测,BFD)在第一对端与第二对端之间建立会话并将错误检测会话与安全关联会话相关联(263)。可选地,安全关联可以向错误检测会话登记。登记错误检测会话和安全关联会话的目的是确定安全关联对端的活跃度并在错误检测会话失败时通知对端采取修正动作。

Description

用于为高速环境提供对端活跃度的方法和系统
技术领域
本申请总体上涉及通过公共或私有IP网络的数据通信,更具体地涉及用于利用IKE或IPsec安全技术通过加密的和/或认证的IP网络安全关联来传送数据分组的方法和装置。
背景技术
在没有安全特征的网络上发送的数据分组不安全。从源S发送到接受者R的分组可能被中间节点I读取并修改。虽然存在防止这些举动的一些保护措施(例如基于分组中所有字节的值的总和的总和检查(checksum)操作),但它们在它们的有效性方面受到限制。无法防止节点I查看可能包括诸如银行账号的机密项目的分组的内容。有经验的黑客能够以总和检查操作不会检测到修改的方式来修改分组。
网际协议安全(IPsec)协议组定义了防止中间节点查看和/或修改分组而使得接受者不会检测到该修改的方法。IPsec允许源和接受者协商加密和/认证的方法以保护两个节点之间的分组,从而创建通过网络的受到保护的虚拟隧道。虚拟隧道的创建是基于源与接受者之间的安全协商。此安全协商称为IKE,因特网密钥交换。
使用IKE来创建虚拟隧道的节点称为IKE对端。因特网交换密钥这一名称有点使用不当,因为并不交换密钥;而是交换允许IKE对端独立地并行创建相同的认证密钥和加密密钥的数据。
IKE用来协商隧道的类型(加密和/或认证)及加密和认证密钥。当源期望安全地发送分组时,其将首先查看是否存在到接受者的虚拟隧道。如果存在,则在该虚拟隧道上发送分组。如果不存在安全隧道,则使用IKE来协商源与接收者之间的安全隧道。事实上,存在经协商的两个虚拟隧道。
在IPsec术语中,将隧道称为安全关联(SA)。在IKE对端之间协商IKE SA。IKE对端是能够参与IKE协商的节点。源和接受节点本身可以是IKE对端,或者可以有代表源和接收者来协商IKE SA的IKE对端的其它节点。
作为第一步骤,IKE对端协商作为IKE对端之间的安全隧道并用来载送IKE协议业务的IKE SA。一旦IKE SA就位,则IKE对端协商作为用来在源与接收者之间载送业务的安全隧道的IPsec SA。本质上,IKE SA是用来安全地协商IPsec SA的隧道。事实上,可以使用一个IKE SA来协商多个IPsec SA。
IKE和IPsec SA两者均具有使用期限,尽管它们在到期时的行为不同。当IPsec SA即将到期时,IKE对端将协商替换IPsec SA并随后删除原始IPsec SA。当IKD SA到期时,使用IKE SA协商的任何现有IPsec SA将连同IKE SA一起被删除。
双向转发检测(BFD)BFD是意图在潜在的极低延迟的情况下检测包括物理接口、子接口、数据链路以及转发引擎本身(在可能的程度上)的两个转发引擎之间的双向通道中的错误。BFD独立于介质、数据协议以及路由协议而操作。附加目标是提供可以用于在任何协议层处通过任何媒体而进行的活跃度(liveness)检测的单一机制,具有大范围的检测次数和开销以避免不同方法的增殖。
BFD分组被作为适合于介质和网络的任何封装协议的有效负荷而被载送。BFD可以在系统中的多个层处运行且任何特定BFD会话的操作的上下文被绑定到其封装。
BFD可以提供对系统之间的许多种通道的故障检测,所述许多种通道包括直接物理链路、虚电路、隧道、MPLS LSP、多跳路由通道以及单向链路(当然,只要存在某返回通道即可)。当沿着至少一个方向存在同一对系统之间的多个通道时,可以在该对系统之间建立多个BFD会话,即使沿着另一方向有较少数目的通道可用(例如多个并行单向链路或MPLS LSP)也可以这样。
当IKE对端之一终止或出现故障时,IKE发生问题。在IKE中没有在一个IKE对端终止时警告另一IKE对端的保活(keep alive)机制。考虑以下情况:
源S希望向接收者R发送大量数据。(为简单起见,假设S和R充当IKE对端)。发送第一分组时,S将与R协商IKE和IPsec SA两者并开始在虚拟隧道IPsec SA上发送数据业务。短时间之后,接收者R出现故障。R的故障对S上的IPsec SA没有影响,因此,S将继续发送数据。就S而言,R与S之间的IPsec SA仍然处于良好的工作状态(be up)。只有当IKE SA或IPsec SA到期时,R才会发觉IKE对端R不再处于良好的工作状态。从R出现故障的时间起直到SA到期,IPsec SA上的所有分组像掉进黑洞一样消失(即被透明地丢弃或丢失)。即使R恢复良好的工作状态,其将不会影响R与S之间的原始IPsec SA。S中的IKE或IPsec SA使用期限计时器必须在S能够试图重建到R的IPsec SA之前到期。
不存在保持SA的第三方,而是每个IKE对端保持SA的本地记录。由于本地地保持SA的记录,因此如果一个对端出现故障,则不影响另一对端上的本地记录。因此,如果一个对端出现故障,则另一对端不知道并会继续在SA上发送业务,但是该业务将不会到达其预期目的地。
发明内容
本申请致力于在已利用用于建立安全关联的协议在第一对端与第二对端之间建立会话之后检测网络中的安全关联对端故障。用于检测错误的协议在第一对端与第二对端之间建立会话,且错误检测会话与安全关联会话相关联。可选地,错误检测会话可以向安全关联登记。错误检测会话向安全关联会话登记的目的是确定安全关联的活跃度。当错误检测会话检测到指示安全关联的问题的错误时,IKE对端得到通知,使得其可以采取修正动作。
附图说明
为了更透彻地理解本发明,对连同附图一起采用的本发明实施例的以下详细说明进行参考。除非另外指明,否则图中的相同数字和符号指代详细说明中的对应部分。
图1a示出在没有对端活跃度检测的情况下在两个路由器之间建立IKE会话的因特网密钥交换操作的高层信令图。在该场景中,出现故障的系统不重启。
图1b举例说明没有对端活跃度检测的情况下的IKE操作的另一高层信令图。在该场景中,出现故障的系统重启。
图2a示出依照本发明实施例的具有双向转发检测(BFD)对端活跃度检测的IKE操作的高层信令图。在该场景中,出现故障的系统不重启。
图2b举例说明依照本发明实施例的具有BFD对端活跃度检测的IKE操作的高层信令图。在该场景中,出现故障的系统重启。
图3示出依照本发明优选实施例的IKE和BFD绑定状态机的框图。
具体实施方式
IKE可以利用BFD来检测对端活跃度,并且如果对端已出现故障,则迅速进行反应。这对于在高速环境中使用IKE/IPsec至关重要。
基本概念是用于将BFD绑定到IKE使得可以使用具有所有益处的BFD作为用于IKE的活跃度协议的定义机制。
在没有检测对端活跃度的方法的情况下,存在IKE对端在SA上向已出现故障的对端发送分组的风险。在没有对端活跃度的情况下,这种情况可以持续到SA超时,这可能在几分钟到几天的范围内。这对高速网络环境来说是无益的。
一旦已建立IKE SA,则在两个IKE对端之间建立BFD会话并将其登记到IKE以确定活跃度。如果在任一点处BFD会话失败,则IKE对端得到通知并可以采取修正动作。
在使用BFD时,对端可以选择其想要的BFD会话的粒度级别(例如每节点或系统、每内部系统、每内部处理等等)。为了本讨论的目的,将假设系统之间的BFD会话。
当IKE对端希望与远程对端协商IKE SA时,其首先将协商IKESA。一旦协商了IKE SA,则发起IKE对端将在两个IKE对端之间创建(或使用现有的)BFD会话。注意:如果适当,IPsec SA协商将与BFD会话建立并行发生。
一旦IKE对端已向到远程IKE对端的BFD会话登记,则本地IKE对端将对BFD会话进行超时监视。BFD超时是远程IKE对端已出现故障的指示。如果发生此类情况,则本地IKE对端可以采取措施以删除到远程对端的任何IPsec和IKESA并重新路由数据。这将大大地使数据的丢失最小化(毫秒对比小时)。在没有BFD的情况下,数据丢失将持续至IPsec SA到期(几分钟至几小时的时间段)且在IKE SA到期之前(即几小时或几天)将不会成功地重新协商替换IPsec SA。利用本发明,一旦IKE SA被删除,可以立即协商新的IKE和IPsec SA(条件是远程IKE对端可操作)。可以使用BFD的验证特性来保证BFD消息的完整性。
虽然以下讨论的上下文提及路由器,但该构思可以应用于实现所需协议的任何两个IKE/IPsec对端(例如基于Unix的服务器等)。假设两个对端实现IKE(v1或v2)和BFD两者。可以使用BFD的任一模式(查询或异步),但推荐异步模式。如果在BFD轮询之间使用SA业务监视,则可以使用查询模式作为最佳选择。如果实施方式允许,还可以使用BFD Echo(BFD回声)。
图1a示出在两个路由器之间建立IKE会话并开始数据业务的信令图。在该场景中,RTR 2不重启。在RTR1处接收被指定‘越过’RTR2的主机的分组(100)。基于所配置的安全策略,必须在将分组发送到RTR2之前将其加密。RTR1上的IKE对端发起与RTR2的IKE协商。协商IKE SA的特性,包括使用期限(101)。一旦创建了IKESA,则启动IKE SA到期计时器(基于所协商的IKE SA使用期限),并在RTR1与RTR2之间协商IPsec SA(以载送已加密的数据业务)。还协商IPsec SA的使用期限,其通常短于IKE SA使用期限。
一旦协商并创建IPsec SA,则开始通过IPsec SA传输数据流(102)。在IKE SA存在的同时,IPsec SA可以多次超时并被重新协商。在现有IPsec SA到期之前协商替换IPsec SA以避免任何分组丢失。
如果RTR出现故障(103),则RTR1没有接收到故障的指示。RTR1继续在所协商的IPsec SA上发送数据(104/105)。在IPsec SA上发送的所有数据将丢失,因为IPsec SA的远端不存在(在RTR2出现故障时其丢失了)。如果RTR1上的IPsec SA超时,则RTR1将尝试使用已协商的IKE SA来重新协商替换。然而,此重新协商将会由于IKE SA现在是“中断的”而失败,因为该IKE SA是在其出现故障之前与RTR2协商的。RTR1当前未得到RTR2已出现故障的通知。RTR1将继续尝试通过IKE SA与RTR2进行通信,直到IKE SA计时器到期为止,这将达到24小时之久或更久。
RTR1上的IKE SA到期(105)且RTR1删除在IKE SA上协商的所有IPsec SA并随后删除IKE SA本身。这时,在RTR1处接收到目的地是主机‘超越’RTR2的分组(在RTR1删除先前的IKE SA之后的第一分组)。基于所配置的安全策略,必须在将该分组发送到RTR2之前将其加密。RTR1上的IKE对端发起与RTR2的IKE协商。仍处于故障状态的RTR2不会响应(106)。RTR1上的IKE任务不能与RTR2协商IKE SA,因此,RTR1和RTR2之间的加密数据流停止(107)。
图1b示出在两个路由器之间建立IKE会话并开始数据业务的信令图。在该场景中,RTR2在故障之后重启。在RTR1处接收到目的地是主机‘超越’RTR2的分组(130)。基于所配置的安全策略,必须在将该分组发送到RTR2之前将其加密。RTR1上的IKE对端发起与RTR2的IKE协商。协商IKE SA的特性,包括使用期限。一旦创建了IKE SA,则启动IKE SA到期计时器(基于所协商的IKE SA使用期限)(131),并在RTR1与RTR2之间协商IPsec SA(以载送已加密的数据业务)。还协商IPsec SA的使用期限,其通常短于IKE SA使用期限。
一旦协商并创建了IPsec SA,则开始通过IPsec SA传输数据流。在IKE SA存在的同时,IPsec SA可以多次超时并被重新协商。在现有IPsec SA到期之前协商替换IPsec SA以避免任何分组丢失。(132)
RTR2可能出现故障,但是RTR1将不会接收到对此事件的指示(133)。RTR1继续在所协商的IPsec SA上发送数据。在IPsec SA上发送的所有数据将丢失,因为IPsec SA的远端不存在(其在RTR2出现故障时丢失了)。如果RTR1上的IPsec SA超时,则RTR1将尝试使用已协商的IKE SA来重新协商替换。然而,此重新协商将会由于IKE SA现在是“中断的”而失败,因为该IKE SA是在其出现故障之前与RTR2协商的且RTR1没有得到RTR2出现故障的通知。RTR1将继续尝试通过IKE SA与RTR2进行通信,直到IKE SA计时器到期,这将达到24小时之久或更久。(134/135)
如果RTR2重启且RTR2上的IKE对端发起到RTR1的IKE SA的协商,则RTR2的重启将对RTR1没有影响。RTR1将继续尝试使用先前协商(现在已中断)的IKE SA。在该场景中,RTR2准备好协商新的IKE SA,但RTR1已具有(其认为是的)有效的IKE SA。(136)
RTR1上的IKE SA到期且RTR1删除在该IKE SA上协商的所有IPsec SA并随后删除该IKE SA本身。(137)在RTR1处可以接收到目的地是主机‘超越’RTR2的分组(在RTR1删除先前的IKE SA之后的第一分组)。基于所配置的安全策略,必须在将该分组发送到RTR2之前将其加密。RTR1上的IKE对端将发起与RTR2的IKE协商。协商IKE SA的特性,包括使用期限(131)。一旦创建了IKE SA,则在RTR1与RTR2之间协商IPsec SA(以载送已加密的数据业务)。还协商IPsec SA的使用期限,其通常短于IKE SA的使用期限。(138/139)
一旦协商并创建了IPsec SA,则开始通过IPsec SA传输数据流。在IKE SA存在的同时,IPsec SA可以多次超时并被重新协商。在IPsecSA到期之前协商替换IPsec SA以避免任何分组丢失。(140)
图2a示出依照本发明优选实施例的具有双向转发检测对端活跃度检测的IKE操作的高层信令图。在该场景中,RTR2不重启。
在RTR1处可以接收到目的地是主机‘超越’RTR2的分组,并且基于所配置的安全策略,必须在将该分组发送到RTR2之前将其加密。然后,RTR1上的IKE对端发起与RTR2的IKE协商。(260)协商IKE SA的特性,包括使用期限(261)。一旦创建了IKE SA,则启动IKE SA到期计时器(基于所协商的IKE SA使用期限),并在RTR1与RTR2之间协商IPsec SA(以载送已加密的数据业务)。还协商IPsec SA的使用期限,其通常短于IKE SA使用期限。
同时发起并均基于IKE SA的创建来触发BFD协商和会话建立(263)及成功的数据流(262)。
一旦协商并创建了IPsec SA,则开始通过IPsec SA传输数据流。在IKE SA存在的同时,IPsec SA可以多次超时并被重新协商。在IPsecSA到期之前协商替换IPsec SA以避免任何分组丢失。(262)
一旦创建了IKE SA,则RTR1向BFD登记IKE SA并创建(或使用现有的)从RTR1到RTR2的BFD会话。假设RTR1和RTR2两者均向BFD会话登记IKE SA。它们是使用相同还是不同的BFD会话取决于实施方式和部署情况。(263)当IKE SA使用期限计时器到期时,建立新的IKE SA并使其与现有BFD会话相关联。
周期性地,BFD会话中的两个参与者(RTR1和RTR2)相互轮询以确定对端活跃度(264)。这比等待IKE SA计时器的到期频繁得多,并且为几毫秒或几秒对比几分钟或几天的量级。
如果RTR2出现故障,则RTR1将不会接收到对该事件的指示。RTR1继续在所协商的IPsec SA上发送数据。在IPsec SA上发送的所有数据将丢失,因为IPsec SA的远端不存在(其在RTR2出现故障时丢失了)。当RTR1上的IPsec SA超时时,RTR1将尝试使用已协商的IKE SA来重新协商替换。此重新协商将会由于IKE SA是中断的而失败,因为该IKE SA是在其出现故障之前与RTR2协商的。RTR1没有得到RTR2出现故障的通知,且RTR1将继续尝试通过IKE SA与RTR2进行通信,直到BFD会话超时为止(为几毫秒的量级)。(266/267)
在短且可配置的(BFD会话超时)时间内,BFD会话将超时(不成功的轮询)。RTR1上的IKE一直在监视BFD会话,因此将注意到断开的BFD会话。(268)RTR1上的IKE将取消IKE SA到期计时器,删除(在IKE SA上协商的)IPsec SA并删除IKE SA。(269)
在RTR1处接收到目的地是主机‘超越’RTR2的分组(在RTR1删除先前的IKE SA之后的第一分组)。基于所配置的安全策略,必须在将该分组发送到RTR2之前将其加密。RTR1上的IKE对端发起与RTR2的IKE协商,并且由于RTR2(或RTR2上的IKE任务)已出现故障,所以将不存在响应。(270)RTR1上的IKE任务不能与RTR2协商IKE SA,因此,RTR1和RTR2之间的加密数据流停止(271)。
图2b举例说明依照本发明实施例的具有对端活跃度检测的高层信令图。在该场景中,RTR2重启。在RTR1处接收到目的地是主机‘超越’RTR2的分组。基于所配置的安全策略,必须在将该分组发送到RTR2之前将其加密。RTR1上的IKE对端发起与RTR2的IKE协商。协商IKE SA的特性,包括使用期限(280)。一旦创建了IKESA,则启动IKE SA到期计时器(基于所协商的IKE SA使用期限),并在RTR1与RTR2之间协商IPsec SA(以载送已加密的数据业务)。还协商IPsec SA的使用期限,其通常短于IKE SA使用期限。(280)同时发起并均基于IKE SA的创建来触发IKE SA(282)和BFD(283)。当IKE SA使用期限计时器到期时,建立新的IKE SA并使其与现有BFD会话相关联。
一旦协商并创建了IPsec SA,则开始通过IPsec SA传输数据流。在IKE SA存在的同时,IPsec SA可以多次超时并被重新协商。在IPsecSA到期之前协商替换IPsec SA以避免任何分组丢失。(282)
一旦创建了IKE SA,则RTR1向BFD登记并创建(或使用现有的)从RTR1到RTR2的BFD会话。在RTR1和RTR2上运行的IKE向BFD会话登记。(283)
周期性地,BFD会话以几毫秒或几秒对比几分钟或几天的量级进行轮询以确定对端活跃度(284),这比等待IKE SA计时器的到期频繁得多。
如果RTR2出现故障,则RTR1将继续尝试通过IKE SA与RTR2通信,直到BFD会话超时(为几毫秒的量级)。(286/287)
在短且可配置的(BFD会话超时)时间内,BFD会话将超时(由于不成功的轮询)。然而,RTR1上的IKE一直在监视BFD会话因此将注意到断开的BFD会话。IKE将取消IKE SA到期计时器,删除(在IKE SA上协商的)IPsec SA并删除IKE SA。由于BFD超时短,所以数据丢失将较少。(288/289)
在RTR1处可以接收到目的地是主机‘超越’RTR2的分组(在RTR1删除先前的IKE SA之后的第一分组)。基于所配置的安全策略,必须在将该分组发送到RTR2之前将其加密。RTR1上的IKE对端发起与RTR2的IKE协商。仍存在故障的RTR2(或RTR2上的IKE任务)不会响应。(290a/290b)
RTR2重启(291),并且在RTR1处接收到目的地是主机‘超越’RTR2的分组(在RTR2重启之后的第一分组)。基于所配置的安全策略,必须在将该分组发送到RTR2之前将其加密。RTR1上的IKE对端发起与RTR2的IKE协商。协商IKE SA的特性,包括使用期限(292a/292b)。一旦创建了IKE SA,则启动IKE SA到期计时器(基于所协商的IKE SA使用期限),并在RTR1与RTR2之间协商IPsec SA(以载送已加密的数据业务)。还协商IPsec SA的使用期限,其通常短于IKE SA使用期限。
一旦协商并创建了IPsec SA,则开始通过IPsec SA传输数据流。在IKE SA存在的同时,IPsec SA可以多次超时并被重新协商。在IPsecSA到期之前协商替换IPsec SA以避免任何分组丢失。(293a/293b)
一旦创建了IKE SA,则RTR1向BFD登记并创建(或使用现有的)从RTR1到RTR2的BFD会话。在RTR1和RTR2两者中运行的IKE向BFD会话登记。周期性地,BFD会话轮询以确定对端活跃度(294)。这比等待IKE SA计时器的到期频繁得多-为几毫秒或几秒对比几分钟或几天的量级。在这种情况下,BFD活跃度检查允许IKE对端快速地恢复并重新开始安全通信,从而限制数据丢失。
图3描述依照本发明优选实施例的用来控制IKE和BFD的交互的有限状态机。有限状态机是控制IKE向BFD登记的交互的处理。通过配置和/或内部消息发送来执行BFD和IKE的登记。当建立了IKE会话时,有限状态机寻找到IKE对端路由器的现有BFD会话。如果存在所述BFD会话(301),则将现有BFD会话登记到IKE会话。如果不存在可用于向IKE对端登记的现有BFD会话,则状态机触发创建BFD会话(302),并等待其建立(状态2)。一旦建立了BFD会话(参见图4),则IKE会话被登记到BFD会话(303)。
如果BFD会话失败,则有限状态机得到通知,从而指示远程IKE对端已出现故障。这促使状态机告诉IKE去除相应的IKE SA和IPsecSA并返回初始状态(304)。
如果在任何点处经由配置或DELETE消息删除了IKE SA,则状态机还将删除BFD会话(如果IKE是向其登记的唯一应用的话)(305)或从现有BFD会话注销IKE SA(306)并返回初始状态(305或306)
目前,1Gb/s链路速度正在企业中变得普遍,且边缘流行10Gb/s并在网络核心路由空间中增加至40Gb/s。如果不使用IKE活跃度,或者即使使用慢的IKE活跃度,则可能发生的数据丢失是显著的。以下示例说明在使用BFD IKE活跃度情况下潜在丢失和丢失减少。
通常,从目的地IKE出现故障的点开始直到源路由器(例如RTR1)检测到目的地(例如RTR2)的IKE故障为止丢失数据。
当不使用IKE活跃度时,可能的最大数据丢失时间是IKE协商之间的时间。即使可以将其向下配置至秒级,这也是不切实际的且处理器非常密集的,并且此时间间隔通常默认为1、8或24小时。
当使用失效对端检测(DPD)时,典型的刷新时间是60秒,在失效对端检测之前最少进行3次丢失刷新。可以将其配置为1秒的刷新时间,虽然这也是处理器密集型的。
当使用BFD时,以毫秒为单位给出刷新时间,并且对于本示例,我们将采用100ms和3次丢失刷新。下表1示出了对于上述每个方案来说在100Mbps、1Gbps、10Gbps和40Gbps链路上潜在丢失数据。(假定是全线路利用)
表1对端检测时间期间的潜在丢失数据(GBytes)
数据未必会中断24小时。然而,在任何两个对端之间仅允许一个SA,因此虽然上层协议很可能超时,但在SA计时器到期之前将不会重新建立SA。由于SA是端到端的,所以替代通路对情况没有帮助。本实施例存在若干技术优点。两种标准协议被组合。该问题的典型替代解决方案是独占,在结合了不同供应商的解决方案时,未必能保证该组合协同工作。
本实施例在构思上是简单的,且在几乎所有当前的路由器中可以找到所需的协议。不保证在所有实施方式中都支持同样基于标准(即使用具有GRE隧道的OSPF)的其它方法。它们还使网络管理和拓扑结构变得复杂且对高速网络(即,其时间间隔以秒、或分钟而不是毫秒为单位)不提供及时的故障检测。
本发明的本实施例将IKE与BFD组合。这意味着作为现有机制的替代或除现有机制之外,在不影响它们的情况下可以使用BFD。BFD会话可以专用于IKE或与其它协议共享。例如,可以在通信的IKE路由器(例如用于OSPF)之间建立BFD会话。在BFD响应时间范围内,可以对出现故障的对端作出反应的时间可以像所期望的那样迅速,但是BFD交换和超时比现有机制更快且更小。
缩写
BFD    双向转发检测
DPD      失效对端检测
IKE      因特网密钥交换
IP       网际协议
IPSEC    IP安全
OAM      操作、管理和维护
SA       安全关联

Claims (18)

1.一种用于检测网络上的对端故障的方法,包括
利用用于建立安全关联的协议在第一对端与第二对端之间建立会话;
利用用于检测错误的协议在第一对端与第二对端之间建立会话;
向安全关联会话登记错误检测会话或者向错误检测会话登记安全关联会话,以确定活跃度;以及
响应于错误检测会话失败,通知第一和第二对端采取修正动作。
2.根据权利要求1所述的方法,其中,所述安全关联协议是因特网密钥交换(IKE)。
3.根据权利要求1所述的方法,其中,所述错误检测会话是双向转发检测(BFD)。
4.根据权利要求1所述的方法,其中,利用用于建立安全关联的协议来建立会话的步骤进一步包括第一对端与第二对端协商IKE安全关联(SA)。
5.根据权利要求1所述的方法,其中,利用用于检测错误的协议来建立会话的步骤进一步包括:
确定第一对端与第二对端之间是否存在BFD会话,如果是这样,
则向现有BFD会话登记IKE会话,其中,如果在第一对端与第二对端之间不存在BFD会话,则触发第一对端与第二对端之间的BFD会话的创建。
6.根据权利要求5所述的方法,其中,BFD和IKE会话的登记遵循(follow)控制两个会话的绑定的状态机。
7.根据权利要求5所述的方法,其中,与BFD会话协商同时或接近地发起IPsec SA协商。
8.根据权利要求1所述的方法,还包括第一对端对BFD会话监视超时条件。
9.根据权利要求6所述的方法,其中,如果第一对端检测到BFD会话超时,则第一对端
删除IKE SA和IPsec SA;
确定第二对端是否可操作;以及
如果第二对端可操作,则协商新的IKE SA和新的IPsec SA。
10.一种用于检测网络上的对端故障的系统,包括
利用用于建立安全关联的协议在第一对端与第二对端之间建立会话的装置;
利用用于检测错误的协议在第一对端与第二对端之间建立会话的装置;
用于向安全关联会话登记错误检测会话或者向错误检测会话登记安全关联会话以确定活跃度的装置;以及
响应于错误检测会话终止而通知第一和第二对端采取修正动作的装置。
11.根据权利要求10所述的系统,其中,所述安全关联协议是因特网密钥交换(IKE)。
12.根据权利要求10所述的系统,其中,所述错误检测会话是双向转发检测(BFD)。
13.根据权利要求10所述的系统,其中,利用用于建立安全关联的协议来建立会话的装置进一步包括第一对端,其包括用于与第二对端协商IKE安全关联(SA)的装置。
14.根据权利要求10所述的系统,其中,利用用于检测错误的协议来建立会话的装置进一步包括:
用于确定第一对端与第二对端之间是否存在BFD会话的装置,并且如果BFD会话存在,
用于向现有BFD会话登记IKE会话的装置,其中,如果在第一对端与第二对端之间不存在BFD会话,
用于触发第一对端与第二对端之间的BFD会话的创建的装置。
15.根据权利要求14所述的系统,其中,BFD和IKE会话的登记遵循控制两个会话的绑定的状态机。
16.根据权利要求14所述的系统,其中,与BFD会话协商同时发起IPsec SA协商。
17.根据权利要求10所述的系统,还包括在第一对端中用于对BFD会话监视超时条件的装置。
18.根据权利要求17所述的系统,其中,如果第一对端检测到BFD会话超时,则第一对端还包括用于以下操作的装置
删除IKE SA和IPsec SA;
确定第二对端是否可操作;以及
如果第二对端可操作,则协商新的IKE SA和新的IPsec SA;以及新的BFD。
CN200880007021A 2007-01-12 2008-01-11 用于为高速环境提供对端活跃度的方法和系统 Pending CN101622851A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/622,655 2007-01-12
US11/622,655 US20080172582A1 (en) 2007-01-12 2007-01-12 Method and system for providing peer liveness for high speed environments

Publications (1)

Publication Number Publication Date
CN101622851A true CN101622851A (zh) 2010-01-06

Family

ID=39609112

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200880007021A Pending CN101622851A (zh) 2007-01-12 2008-01-11 用于为高速环境提供对端活跃度的方法和系统

Country Status (4)

Country Link
US (1) US20080172582A1 (zh)
EP (1) EP2109980A2 (zh)
CN (1) CN101622851A (zh)
WO (1) WO2008084389A2 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571497A (zh) * 2012-01-29 2012-07-11 华为技术有限公司 一种IPSec隧道故障检测的方法、装置及系统
CN102932318A (zh) * 2011-08-10 2013-02-13 华为技术有限公司 一种双向转发检测会话的验证方法及节点
CN102970293A (zh) * 2012-11-20 2013-03-13 杭州华三通信技术有限公司 一种设备间安全联盟同步方法及装置
CN104823412A (zh) * 2012-10-10 2015-08-05 诺基亚通信公司 对等体复活检测
WO2016082343A1 (zh) * 2014-11-24 2016-06-02 中兴通讯股份有限公司 故障检测方法及装置
CN111327394A (zh) * 2018-12-17 2020-06-23 北京华为数字技术有限公司 一种报文发送方法及装置
CN112136301A (zh) * 2018-05-16 2020-12-25 诺基亚技术有限公司 通信系统中用于安全性管理的错误处理框架

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7836497B2 (en) * 2006-12-22 2010-11-16 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for resilient IP security/internet key exchange security gateway
US8423767B2 (en) * 2007-06-13 2013-04-16 Cisco Technology, Inc. Security association verification and recovery
US7961601B2 (en) * 2007-08-16 2011-06-14 Ericsson Ab Lesser disruptive open shortest path first handling of bidirectional forwarding detection state changes
CN101426030B (zh) * 2008-12-09 2012-06-27 华为技术有限公司 一种获取网络地址的方法和终端
US20100306572A1 (en) * 2009-06-01 2010-12-02 Alexandro Salvarani Apparatus and method to facilitate high availability in secure network transport
US8462952B2 (en) * 2009-08-25 2013-06-11 Verizon Patent And Licensing Inc. Synchronizing management signaling in a network
CN102891766B (zh) * 2012-09-25 2015-04-22 汉柏科技有限公司 一种ipsec状态恢复方法
CN102946333B (zh) * 2012-10-31 2015-12-02 杭州华三通信技术有限公司 一种基于IPsec的DPD探测方法和设备
CN103107950B (zh) * 2013-01-28 2016-05-11 杭州华三通信技术有限公司 一种删除因特网协议安全安全联盟的方法和设备
CN103647777B (zh) 2013-12-13 2017-04-12 华为技术有限公司 一种安全认证方法和双向转发检测bfd设备
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
CN111726228B (zh) * 2015-03-25 2023-08-25 瑞典爱立信有限公司 使用互联网密钥交换消息来配置活动性检查
CN105591730B (zh) * 2015-10-30 2019-09-06 新华三技术有限公司 一种esn高32位同步方法、装置及系统
CN107277058B (zh) * 2017-08-07 2020-03-20 南京南瑞集团公司 一种基于bfd协议的接口认证方法及系统
JP2019033416A (ja) * 2017-08-09 2019-02-28 シャープ株式会社 端末装置、コアネットワーク内の装置、及び通信制御方法
US10637865B2 (en) 2017-10-16 2020-04-28 Juniper Networks, Inc. Fast heartbeat liveness between packet processing engines using media access control security (MACSEC) communication
CN109039822B (zh) * 2018-08-23 2020-09-01 烽火通信科技股份有限公司 一种bfd协议报文过滤方法及系统
CN109743746A (zh) * 2018-12-07 2019-05-10 盛科网络(苏州)有限公司 一种双向转发检测bfd参数协商方法、装置及芯片
US11196651B2 (en) * 2019-10-23 2021-12-07 Vmware, Inc. BFD offload in virtual network interface controller

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6976071B1 (en) * 2000-05-03 2005-12-13 Nortel Networks Limited Detecting if a secure link is alive
US7773611B2 (en) * 2005-06-15 2010-08-10 Cisco Technology, Inc. Method and apparatus for packet loss detection
US8547874B2 (en) * 2005-06-30 2013-10-01 Cisco Technology, Inc. Method and system for learning network information
EP1921809A4 (en) * 2005-08-05 2008-10-01 Huawei Tech Co Ltd METHOD FOR OBTAINING AN ERROR DETECTION OF AN IP FORWARDING LEVEL
US7765306B2 (en) * 2006-01-30 2010-07-27 Cisco Technology, Inc. Technique for enabling bidirectional forwarding detection between edge devices in a computer network

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932318A (zh) * 2011-08-10 2013-02-13 华为技术有限公司 一种双向转发检测会话的验证方法及节点
WO2013020437A1 (zh) * 2011-08-10 2013-02-14 华为技术有限公司 一种双向转发检测会话的验证方法及节点
CN102571497A (zh) * 2012-01-29 2012-07-11 华为技术有限公司 一种IPSec隧道故障检测的方法、装置及系统
CN102571497B (zh) * 2012-01-29 2016-03-30 华为技术有限公司 一种IPSec隧道故障检测的方法、装置及系统
CN104823412B (zh) * 2012-10-10 2018-09-04 诺基亚通信公司 对等体复活检测的方法及装置
CN104823412A (zh) * 2012-10-10 2015-08-05 诺基亚通信公司 对等体复活检测
CN102970293B (zh) * 2012-11-20 2016-05-04 杭州华三通信技术有限公司 一种设备间安全联盟同步方法及装置
CN102970293A (zh) * 2012-11-20 2013-03-13 杭州华三通信技术有限公司 一种设备间安全联盟同步方法及装置
WO2016082343A1 (zh) * 2014-11-24 2016-06-02 中兴通讯股份有限公司 故障检测方法及装置
CN112136301A (zh) * 2018-05-16 2020-12-25 诺基亚技术有限公司 通信系统中用于安全性管理的错误处理框架
US11789803B2 (en) 2018-05-16 2023-10-17 Nokia Technologies Oy Error handling framework for security management in a communication system
CN111327394A (zh) * 2018-12-17 2020-06-23 北京华为数字技术有限公司 一种报文发送方法及装置
CN111327394B (zh) * 2018-12-17 2022-10-11 北京华为数字技术有限公司 一种报文发送方法及装置

Also Published As

Publication number Publication date
US20080172582A1 (en) 2008-07-17
WO2008084389A2 (en) 2008-07-17
EP2109980A2 (en) 2009-10-21
WO2008084389A3 (en) 2008-12-18

Similar Documents

Publication Publication Date Title
CN101622851A (zh) 用于为高速环境提供对端活跃度的方法和系统
Iyengar et al. QUIC: A UDP-based multiplexed and secure transport
US11190491B1 (en) Method and apparatus for maintaining a resilient VPN connection
US9432385B2 (en) System and method for denial of service attack mitigation using cloud services
Lau et al. Layer two tunneling protocol-version 3 (L2TPv3)
CN107547383B (zh) 路径检测方法及装置
US8886831B2 (en) System and methodology for fast link failover based on remote upstream failures
CN102624584B (zh) 链路检测方法及装置
US20050086342A1 (en) Techniques for client-transparent TCP migration
CN101610535B (zh) 多链路直连场景下保证bfd会话稳定性的方法、系统及装置
CN103475655B (zh) 一种实现IPSecVPN主备链路动态切换的方法
EP1919138B1 (en) A method for implementing backup of the uplink
US7120792B1 (en) System and method for secure communication of routing messages
US20030233595A1 (en) Distinguishing between link and node failure to facilitate fast reroute
CN101340380B (zh) 一种实现主备倒换中双向转发检测包无中断转发的方法和装置
US20220210130A1 (en) Method and apparatus for maintaining a resilient vpn connection
US11128663B2 (en) Synchronizing link and event detection mechanisms with a secure session associated with the link
CN101611610A (zh) 用于ip安全/因特网密钥交换安全网关的装置和方法
CN102130915A (zh) 基于时钟的重发保护
Robertson {Linux-HA} Heartbeat System Design
CN107277058B (zh) 一种基于bfd协议的接口认证方法及系统
CN101425942A (zh) 一种实现双向转发检测的方法、装置及系统
US11895228B2 (en) Pausing a media access control security (MACsec) key agreement (MKA) protocol of an MKA session using a fast heartbeat session
US8379514B2 (en) Route reflector for a communication system
US7565694B2 (en) Method and apparatus for preventing network reset attacks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20100106