CN101931610B - 一种互联网协议安全链路保护方法和装置 - Google Patents

Abstract

本发明实施例公开了一种互联网协议安全链路保护方法和装置，涉及通信技术领域。所述互联网协议安全链路保护方法包括：当检测第一主用IPSec链路故障时，更新第一主用IPSec链路关联的一对SA；根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中选择第二主用IPSec链路，通过其向远端传输需要安全保护的出站报文，从而避免了重建IPSec链路或者重新协商安全参数，从而实现IPSec链路快速倒换，本发明实施例中IPSec链路主备故障倒换时间可以做到毫秒级，同时由于对远端IPSec节点并无特性要求，因此具有很好的兼容性。

Description

一种互联网协议安全链路保护方法和装置

技术领域

本发明涉及通信技术领域，尤其涉及互联网协议安全链路保护方法和装置。

背景技术

IPSec（IP Security，互联网协议安全）给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议、封装安全载荷协议、密钥管理协议和用于网络认证及加密的一些算法等。IPSec在原本开放、脆弱的IP网络架构上提供了较强的安全特性，被广泛应用于企业网、电信网、Internet等领域。

IPSec可用于对一段IP（Internet Protocol，互联网协议）链路实施加密、认证等安全保护，在建立IPSec链路过程中，因为需要进行认证算法/加密算法协商、封装模式协商、交换密钥等一系列复杂交互，会导致链路建立时间较长（通常>10s）。因此，一旦IPSec链路出现故障，重新建立链路会导致超过10s的中断时间，即将会出现较长的中断时间，从而无法满足快速可靠性切换要求。

发明内容

本发明实施例提供了一种互联网协议安全链路保护方法和装置，以减小因互联网协议安全链路中断而导致的数据传输中断的时间，从而实现互联网协议安全链路的快速倒换。

本发明实施例采用以下技术方案：

本发明实施例提供了一种互联网协议安全链路保护方法，包括：

在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路；

其中，所述IPSec链路包括：具有不同优先级属性的、传输方向分别指向远端不同可用节点的单向IPSec链路;

当检测到第一主用IPSec链路故障时，更新所述第一主用IPSec链路关联的一对安全关联SA（Security Association，安全关联）；

根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中选择第二主用IPSec链路，通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文；

所述在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路，包括：

将配置的多个互联网协议安全策略IPSec Policy绑定同一互联网协议安全访问控制列表IPSecACL，其中所述多条IPSec Policy分别指定远端的不同可用节点，且具有不同的优先级属性；

当首发出站报文欲从IPSec本端节点的出接口发出时，命中到一IPSecACL后触发关联的多个IPSec Policy同时动作，生成多对SA及对应的多条IPSec链路，其中每对SA具有从对应的IPSec Policy继承的优先级属性。

本发明实施例提供了一种互联网协议安全链路保护装置，包括：

链路建立模块，用于在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路，所述IPSec链路包括：具有不同优先级属性的、传输方向分别指向远端不同可用节点的单向IPSec链路；

更新模块，用于当检测到第一主用IPSec链路故障时，更新所述第一主用IPSec链路关联的一对安全关联SA；

选择模块，用于根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中选择第二主用IPSec链路；

传输模块，通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文；

所述链路建立模块包括：

绑定单元，用于将配置的多个互联网协议安全策略IPSec Policy绑定同一互联网协议安全访问控制列表IPSec ACL，其中所述多条IPSec Policy分别指定远端的不同可用节点，且具有不同的优先级属性；

生成单元，用于当首发出站报文欲从IPSec本端节点的出接口发出时，命中到一IPSecACL后触发关联的多个IPSec Policy同时动作，生成多对SA及对应的多条IPSec链路，其中每对SA具有从对应的IPSec Policy继承的优先级属性。

本发明实施例提供的技术方案中，通过在检测到主用IPSec链路故障时，更新所述主用IPSec链路关联的一对SA，并根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从预先建立的多条IPSec链路中重新选出一条继续作为主用的IPSec链路，通过所述重新选择的主用IPSec链路向远端传输需要安全保护的出站报文，避免了重建IPSec链路或者重新协商安全参数，从而实现IPSec链路快速倒换，本发明实施例中IPSec链路主备故障倒换时间可以做到毫秒级，同时由于对远端IPSec节点并无特性要求，因此具有很好的兼容性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的互联网协议安全链路保护方法的一种应用场景示意图；

图2本发明实施例提供的一种互联网协议安全链路保护方法的流程图；

图3为本发明实施例提供的互联网协议安全链路保护方法的一种应用场景示意图；

图4为本发明实施例提供的在图3的应用场景中IPSec策略设置原理示意图；

图5为本发明实施例提供的互联网协议安全链路保护方法的另一种应用场景示意图；

图6为本发明实施例提供的在图5的应用场景中IPSec策略设置原理示意图；

图7为本发明实施例提供的一种互联网协议安全链路保护装置的结构示意图；

图8为本发明实施例提供的另一种互联网协议安全链路保护装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图2所示，本发明实施例提供一种互联网协议安全链路保护方法，可以应用于如图1所示的组网环境下，该方法可以包括：

201、当检测到第一主用IPSec链路故障时，更新所述第一主用IPSec链路关联的一对安全关联SA；

具体的，步骤201中更新所述第一主用IPSec链路关联的一对安全关联SA，可以包括：删除所述第一主用IPSec链路对应的一对安全关联SA或修改所述第一主用IPSec链路对应的该对SA的优先级属性，修改后的优先级属性使得该对SA不会成为优选条目。

202、根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中选择第二主用IPSec链路，通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文。

在一种实现下，其中选择第二主用IPSec链路的过程具体包括，比较IPSec本端节点维护的与IPSec链路关联的SA的优先级属性；从所述分别指向远端不同可用节点的多条单向IPSec链路中，确定优先级属性最高的SA关联的IPSec链路为第二主用IPSec链路。需要说明的是，当优选结果不唯一就负载均衡，即通过第二主用IPSec链路（多条）以负载均衡的方式向远端传输需要安全保护的出站报文。

需要说明的是，前述涉及的第一和第二仅仅为了方便描述以区别两者而已，不代表顺序。

为了便于描述本发明实施例的方案，下面结合图1对下文将要涉及的IPSec技术体系中的一些主要对象先进行说明：

如图1所示，为本发明实施例互联网协议安全链路保护方法的应用场景示意图，其中，IPSec本端节点和IPSec远端节点，例如可以是支持IPSec功能的网关设备、接入设备、主机设备、终端设备等；

IPSec链路，指的是两端IPSec实体之间建立的一条IPSec逻辑通道，该通道受到IPSec机制的保护（例如加密、认证、隧道封装等）；

IPSec ACL（Access Control List，访问控制列表），指的是在IPSec节点设备上配置的，用于筛选出哪些数据流量（即出站报文）需要被IPSec保护的过滤列表；可以理解的是，通过IPSec ACL，数据流被分成需要安全保护的报文和不需要安全保护的报文。针对需要安全保护的报文，通过IPsec链路来进行传输。

Security Proposal(安全提议)，其配置在IPSec节点设备上，用于设定IPSec链路将要使用怎样的安全参数，例如，加密算法、认证算法、隧道模式等；

互联网协议安全策略（IPSec Policy），其配置在IPSec节点设备上，IPSecPolicy在配置时会关联IPSec ACL和Security Proposal，并最终被应用绑定到IPSec节点设备的出接口上；

IPSec SA（Security Association，安全关联），其被维护在IPSec节点设备上，当IPSec Policy发生作用（产生动作），根据Security Proposal的设定，与对端节点协商出合适的链路安全参数后，并在IPSec节点设备里生成SA，SA是成对出现的，分别用于出站（Outbound）方向和入站（Inbound）方向，分别负责Outbound方向的数据安全封装和Inbound方向的IPSec报文解封装。简单来说，一条IPSec链路，在其一端的节点设备上就会对应着一对SA。

在一种实现下，本发明实施例的互联网协议安全链路保护方法进一步包括：

在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路，所述IPSec链路包括：具有不同优先级属性的、传输方向分别指向远端不同可用节点的单向IPSec链路。具体的过程包括，

配置多条IPSec Policy，将所述多条IPSec Policy绑定到同一IPSec ACL，其中所述多条IPSec Policy分别指定远端的不同可用节点，且具有不同的优先级属性；

当首发出站报文欲从IPSec本端节点的出接口发出时，命中（或匹配）到一IPSec ACL后触发关联的多条IPSec Policy同时动作，生成多对SA及建立对应的多条IPSec链路，其中每对SA具有从对应的IPSec Policy继承的优先级属性，不同IPSec链路具有不同的优先级属性。

相应的，系统初始化时，所述方法还包括：

根据具有从对应的IPSec Policy继承的优先级属性的多对SA中，选择优先级属性最高的一对SA所对应的IPSec链路作为第一主用IPSec链路，通过所述第一主用IPSec链路向远端传输所述需要安全保护的首发出站报文。

可见，本发明实施例提供的技术方案中，通过在检测到当前主用IPSec链路故障时，更新所述主用IPSec链路关联的一对SA，并根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从预先建立的多条IPSec链路中重新选出一条继续作为主用的IPSec链路，通过所述重新选择的主用IPSec链路向远端传输需要安全保护的出站报文，避免了重建IPSec链路或者重新协商安全参数，从而实现IPSec链路快速倒换，本发明实施例中IPSec链路主备故障倒换时间可以做到毫秒级，同时由于对远端IPSec节点并无特性要求，因此具有很好的兼容性。

下面结合具体的应用场景来详细描述本发明实施例的方法：

如图3所示，为本发明实施例的互联网协议安全链路保护方法的一种应用场景示意图，在所述应用场景中，本端设备是一台业务终端Client，远端设备是两台（或更多）IPSec网关设备IPSecGW，所述IPSecGW可以为支持IPSec功能的防火墙。此种应用场景较为广泛，例如远程办公人员通过Internet接入到公司内部网络，即为此种场景。其具体实施步骤如下：

1、业务终端Client配置IPSec ACL（Access Control List，访问控制列表），用于匹配Client端发起的、需要由IPSec链路保护的流量（相应的，远端IPSecGW上也需要配置IPSec ACL）；

2、业务终端Client配置IPSec Proposal，用于指定IPSec链路安全参数（相应的，远端SecGW上也需要配置IPSec Proposal）；

3、业务终端Client配置多条IPSec Policy（IPSec策略），所述Policy绑定相同的IPSec ACL和IPSec Proposal，且分别指定远端的多台IPSec网关设备（相应的，远端每台IPSecGW上仅需配置一条IPSec Policy，绑定IPSec ACL和IPSec Proposal，指向本端业务终端Client即可）；

4、业务终端Client的出接口上同时绑定这多条IPSec Policy，并为所述IPSec Policy指定不同的优先级（相应的，远端SecGW也将IPSec Policy绑定到出接口上），如图4所示，在业务终端IPSec Client出接口上同时绑定了两个IPSecPolicy，分别为IPSec Policy1和IPSec Policy2，其中为IPSec Policy1指定的优先级为100，为IPSec Policy2指定的优先级为80；

5、当业务终端Client试图从出接口向远端IPSec网关设备发送报文时，首先将报文信息交给IPSec ACL进行筛选比对，如果与所述IPSec ACL相匹配（即命中IPSec ACL），就会触发多条与所述ACL绑定IPSec Policy同时动作，在业务终端Client上生成多对IPSec SA（相应的，远端每台IPSecGW也会生成SA）；每对SA也具备优先级属性，其优先级直接在初始化生成SA的阶段从相应的IPSecPolicy继承过来；即相当于在业务终端Client与远端多个IPSec网关设备之间建立了具有不同优先级属性的多条IPSec链路；

6、业务终端Client从Outbound方向的多条IPSec链路中，选择优先级最高的一对SA所对应的IPSec链路作为当前主用链路（称为第一主用链路），其余为备用IPSec链路，并在所述第一主用链路上对出站报文进行安全保护和有效转发（如果优选结果不唯一就负载均衡）；而对于远端某个IPSec网关设备发送过来的入站IPSec报文，匹配对应于所述IPSec网关的SA对其进行IPSec解封装即可；需要说明的是，可以利用DPD、KeepAlive等机制实现对业务终端与远端IPSec网关设备之间的Outbound方向的多条IPSec链路进行通断检测和长期保活；

7、当检测到第一主用IPSec链路故障时，删除业务终端上维护的第一主用IPSec链路对应的一对SA或降低所述SA的优先级，优先级降低的幅度以确保所述第一主用IPSec链路不会再被选为主用；并比较业务终端上维护的与IPSec链路关联的SA的优先级属性；从Outbound方向的IPSec链路中，确定优先级属性最高的SA关联的IPSec链路为第二主用IPSec链路，并通过所述第二主用IPSec链路向远端继续传输出站报文；

当检测到某一备用IPSec链路故障时，删除所述备用IPSec链路对应的一对SA或降低所述SA的优先级，以确保当第一主用IPSec链路故障时，所述备用IPSec链路不会被选为第二主用IPSec链路；

8、当主用IPSec链路故障时，远端的IPSec网关通过故障检测和联动机制触发内部网络拓扑信息收敛，从而可确保整个系统端到端可靠性故障倒换一致性和报文来回路径的一致性。

可见，本发明实施例中，业务终端Client发起的流量在穿越IP网络时希望由IPSec来保护，通过IPSec网关转发进入Internal Network的过程中，业务终端Client与多台可用的远端IPSec网关之间同时建立起多条IPSec链路，从业务终端Client发起的业务流量会优选其中一条IPSec链路进行传输，一旦该IPSec链路发生故障，业务终端Client更新所述IPSec链路关联的一对SA，并根据业务终端Client维护的与IPSec链路关联的SA的优先级属性，从预先建立的多条IPSec链路中选出一条继续作为主用的IPSec链路，从而实现IPSec链路快速倒换，可以做到毫秒级。同时由于对远端IPSec节点并无特性要求，因此具有很好的兼容性。

如图5所示，为本发明实施例的互联网协议安全链路保护方法的另一种应用场景示意图，在所述应用场景中，本端设备是一台网关，远端设备是两台（可以更多）IPSec网关设备，所述IPSec网关设备可以为支持IPSec功能的防火墙。此种应用场景也较为广泛，例如分支机构网络和总部网络之间通过Internet搭建安全隧道，实现多个分布式网络之间的异地协同，即为此种场景。其具体实施步骤如下：

1′、本端网关设备上配置IPSec ACL，用于匹配从本端网络发起的，去往远端网络的，需要由IPSec保护的流量（相应的，远端IPSecGW上也需要配置IPSecACL）；

2′、本端网关设备上配置IPSec Proposal，用于指定IPSec链路安全参数（相应的，远端IPSecGW上也需要配置IPSec Proposal）；

3′、本端网关设备上配置多条IPSec Policy，所述Policy绑定相同的IPSecACL和IPSec Proposal，且分别指定远端的多台IPSec网关（相应的，远端每台SecGW上仅需配置一条IPSec Policy，绑定IPSec ACL和IPSec Proposal，指向本端网关设备即可）；

4′、在本端网关设备的出接口上同时绑定这多条IPSec Policy，并为所述IPSec Policy指定不同的优先级（相应的，远端SecGW也将Policy绑定到出接口上），如图6所示，在本端网关设备出接口上同时绑定了两个IPSec Policy，分别为IPSec Policy1和IPSec Policy2，其中为IPSec Policy1指定的优先级为100，为IPSec Policy2指定的优先级为80；

5′、当本端网关设备出接口向远端IPSec网关转发本端网络欲发往远端网络的报文时，首先将报文信息交给IPSec ACL进行筛选比对，如果与IPSec ACL相匹配，触发与所述IPSec ACL关联的多条IPSec Policy同时动作，在本端网关设备上建立起多对IPSec SA（相应的，远端每台IPSecGW也会生成SA）；每对SA也具备优先级属性，其优先级直接在初始化建立SA的阶段从相应的IPSec Policy继承过来；即相当于在本端网关设备与远端多个IPSec网关之间建立了Outbound方向、具有不同优先级属性的多条IPSec链路；

6′、本端网关设备从Outbound方向的多条IPSec链路中，选择优先级最高的一对SA所对应的IPSec链路作为当前主用链路（称为第一主用链路），其余为备用IPSec链路，并在所述第一主用链路上对由本端网关设备转发的出站报文进行安全保护和有效转发（如果优选结果不唯一就负载均衡）；而对于远端某个IPSec网关发送过来的入站IPSec报文，匹配对应于所述IPSec网关的SA对其进行IPSec解封装即可；需要说明的是，可以利用DPD、KeepAlive等机制实现对本端网关设备与远端IPSec网关设备之间的Outbound方向的多条IPSec链路进行通断检测和长期保活；

7′、当检测到第一主用IPSec链路故障时，删除本端网关设备上维护的第一主用IPSec链路对应的一对SA或降低所述SA的优先级，优先级降低的幅度以确保所述第一主用IPSec链路不会再被选为主用；并比较本端网关设备上维护的与IPSec链路关联的SA的优先级属性；从Outbound方向的IPSec链路中，确定优先级属性最高的SA关联的IPSec链路为第二主用IPSec链路，并通过所述第二主用IPSec链路向远端继续传输出站报文；

当检测到某一备用IPSec链路故障时，删除所述备用IPSec链路对应的一对SA或降低所述SA的优先级，以确保当第一主用IPSec链路故障时，所述备用IPSec链路不会被选为第二主用IPSec链路；

8′、当主用IPSec链路故障时，远端的IPSec网关通过故障检测和联动机制触发内部网络拓扑信息收敛，从而可确保整个系统端到端可靠性故障倒换一致性和报文来回路径的一致性。

可见，本发明实施例提供的技术方案中，本端网关设备连接着本端网络，本端网络向远端网络发起的流量，在经过IP网络时需要由IPSec机制保护，这些流量由本端网关设备进行IPSec封装并转发给远端IPSecGW，再由远端IPSecGW进行IPSec解封装并转发进入远端网络的过程中，本端网关设备与多台可用的远端IPSec网关之间同时建立起多条IPSec链路，从本端网络发起去往远端网络的业务流量会优选其中一条IPSec链路进行传输，一旦该IPSec链路发生故障，本端网关设备更新所述IPSec链路关联的一对SA，并根据本端网关设备维护的与IPSec链路关联的SA的优先级属性，从预先建立的多条IPSec链路中选出一条继续作为主用的IPSec链路，从而实现IPSec链路快速倒换，可以做到毫秒级。同时由于对远端IPSec节点并无特性要求，因此具有很好的兼容性。

如图7所示，本发明实施例提供了一种互联网协议安全链路保护装置，包括：

更新模块701，用于当检测到第一主用IPSec链路故障时，更新所述第一主用IPSec链路关联的一对安全关联SA；具体可以为删除所述第一主用IPSec链路对应的一对安全关联SA或修改所述第一主用IPSec链路对应的该对SA的优先级属性，修改后的优先级属性使得该对SA不会成为优选条目。

选择模块702，用于根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中重新选择第二主用IPSec链路；

传输模块703，用于通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文。

在一种实现下，所述选择模块702具体包括：

比较单元，用于比较IPSec本端节点维护的与IPSec链路关联的SA的优先级属性；

确定单元，用于从所述分别指向远端不同可用节点的多条单向IPSec链路中，确定优先级属性最高的SA关联的IPSec链路为第二主用IPSec链路。

可见，在本发明实施例提供的互联网协议安全链路保护装置中，通过在检测到主用IPSec链路故障时，更新所述主用IPSec链路关联的一对SA，并根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从预先建立的多条IPSec链路中重新选出一条继续作为主用的IPSec链路，通过所述重新选择的主用IPSec链路向远端传输需要安全保护的出站报文，避免了重建IPSec链路或者重新协商安全参数，从而实现IPSec链路快速倒换，本发明实施例中IPSec链路主备故障倒换时间可以做到毫秒级，同时由于对远端IPSec节点并无特性要求，因此具有很好的兼容性。

如图8所示，本发明实施例提供又一种互联网协议安全链路保护装置，除包括上述更新模块701、选择模块702和传输模块703外，还包括：

链路建立模块801，用于在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路，所述IPSec链路包括：具有不同优先级属性的、传输方向分别指向远端不同可用节点的单向IPSec链路。

在一种实现下，所述链路建立模块801，具体包括：

绑定单元，用于将配置的多个IPSec Policy绑定同一IPSecACL，其中所述多条IPSec Policy分别指定远端的不同可用节点，且具有不同的优先级属性；

生成单元，用于当首发出站报文欲从IPSec本端节点的出接口发出时，命中到一IPSecACL后触发关联的多个IPSec Policy同时动作，生成多对SA及对应的多条IPSec链路，其中每对SA具有从对应的IPSec Policy继承的优先级属性。

以及，相应的，系统初始化时，选择模块702进一步用于根据具有从对应的IPSec Policy继承的优先级属性的多对SA中，选择优先级属性最高的一对SA所对应的IPSec链路作为第一主用IPSec链路；

传输模块703进一步用于通过所述第一主用IPSec链路向远端传输所述需要安全保护的首发出站报文。

可见，本发明实施例提供的互联网协议安全链路保护装置，通过在检测到主用IPSec链路故障时，更新所述主用IPSec链路关联的一对SA，并根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从预先建立的多条IPSec链路中重新选出一条继续作为主用的IPSec链路，通过所述重新选择的主用IPSec链路向远端传输需要安全保护的出站报文，避免了重建IPSec链路或者重新协商安全参数，从而实现IPSec链路快速倒换，本发明实施例中IPSec链路主备故障倒换时间可以做到毫秒级，同时由于对远端IPSec节点并无特性要求，因此具有很好的兼容性。

需要指出的是，本发明实施例提供的互联网协议安全链路保护装置，可以应用于网关设备或客户终端设备当中，凡是本领域技术人员根据本发明实施例所提供的内容在不付出创造性劳动的前提下而获得的其他实施例，都应当属于本发明的保护范围之内。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory，ROM）或随机存储记忆体（Random Access Memory，RAM）等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (7)

1.一种互联网协议安全链路保护方法,其特征在于，包括：

在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路；其中，所述IPSec链路包括：具有不同优先级属性的、传输方向分别指向远端不同可用节点的单向IPSec链路;

当检测到第一主用IPSec链路故障时，更新所述第一主用IPSec链路关联的一对安全关联SA；

根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中选择第二主用IPSec链路，通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文；

所述在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路，包括：

将配置的多个互联网协议安全策略IPSec Policy绑定同一互联网协议安全访问控制列表IPSecACL，其中所述多条IPSec Policy分别指定远端的不同可用节点，且具有不同的优先级属性；

当首发出站报文欲从IPSec本端节点的出接口发出时，命中到一IPSecACL后触发关联的多个IPSec Policy同时动作，生成多对SA及对应的多条IPSec链路，其中每对SA具有从对应的IPSec Policy继承的优先级属性。

2.根据权利要求1所述的互联网协议安全链路保护方法,其特征在于，所述更新所述第一主用IPSec链路关联的一对安全关联SA，包括：

删除所述第一主用IPSec链路对应的一对安全关联SA或修改所述第一主用IPSec链路对应的该对SA的优先级属性，修改后的优先级属性使得该对SA不会成为优选条目。

3.根据权利要求1所述的互联网协议安全链路保护方法,其特征在于，所述当检测到第一主用IPSec链路故障时，更新所述第一主用IPSec链路关联的一对安全关联SA的步骤之前，进一步包括：

根据具有从对应的IPSec Policy继承的优先级属性的多对SA中，选择优先级属性最高的一对SA所对应的IPSec链路作为第一主用IPSec链路，通过所述第一主用IPSec链路向远端传输所述需要安全保护的首发出站报文。

4.根据权利要求1所述的互联网协议安全链路保护方法,其特征在于，所述根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中重新选择第二主用IPSec链路，包括：

比较IPSec本端节点维护的与IPSec链路关联的SA的优先级属性；

从所述分别指向远端不同可用节点的多条单向IPSec链路中，确定优先级属性最高的SA关联的IPSec链路为第二主用IPSec链路。

5.一种互联网协议安全链路保护装置，其特征在于，包括：

链路建立模块，用于在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路，所述IPSec链路包括：具有不同优先级属性的、传输方向分别指向远端不同可用节点的单向IPSec链路；

更新模块，用于当检测到第一主用IPSec链路故障时，更新所述第一主用IPSec链路关联的一对安全关联SA；

选择模块，用于根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性，从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中选择第二主用IPSec链路；

传输模块，通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文；

所述链路建立模块包括：

绑定单元，用于将配置的多个互联网协议安全策略IPSec Policy绑定同一互联网协议安全访问控制列表IPSec ACL，其中所述多条IPSec Policy分别指定远端的不同可用节点，且具有不同的优先级属性；

生成单元，用于当首发出站报文欲从IPSec本端节点的出接口发出时，命中到一IPSecACL后触发关联的多个IPSec Policy同时动作，生成多对SA及对应的多条IPSec链路，其中每对SA具有从对应的IPSec Policy继承的优先级属性。

6.根据权利要求5所述的互联网协议安全链路保护装置，其特征在于，所述更新模块具体用于删除所述第一主用IPSec链路对应的一对安全关联SA或修改所述第一主用IPSec链路对应的该对SA的优先级属性，修改后的优先级属性使得该对SA不会成为优选条目。

7.根据权利要求5所述的互联网协议安全链路保护装置，其特征在于，所述选择模块包括：

比较单元，用于比较IPSec本端节点维护的与IPSec链路关联的SA的优先级属性；

确定单元，用于从所述分别指向远端不同可用节点的多条单向IPSec链路中，确定优先级属性最高的SA关联的IPSec链路为第二主用IPSec链路。

Images