CN102148810A - 安全关联存活检测方法、装置和系统 - Google Patents
安全关联存活检测方法、装置和系统 Download PDFInfo
- Publication number
- CN102148810A CN102148810A CN2010101137056A CN201010113705A CN102148810A CN 102148810 A CN102148810 A CN 102148810A CN 2010101137056 A CN2010101137056 A CN 2010101137056A CN 201010113705 A CN201010113705 A CN 201010113705A CN 102148810 A CN102148810 A CN 102148810A
- Authority
- CN
- China
- Prior art keywords
- peer
- ipsec
- security association
- message
- dtd
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种安全关联存活检测方法、装置及系统,所述安全关联存活检测方法包括:接收第二对等体发送的携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;依据所述SPI、所述协议号和所述DTD消息的源互联网协议IP地址查找与第二对等体中的互联网协议安全关联IPSec SA相应的第一对等体的IPSec SA;将所述查找的结果反馈给第二对等体,以便第二对等体依据所述查找结果确定所述第一对等体的IPSec SA的存活情况。本发明实施例提高了安全关联存活检测的准确性。
Description
技术领域
本发明涉及通信技术领域,更具体地说,涉及一种安全关联存活检测方法、装置和系统。
背景技术
互联网协议安全性(IPSec,IP Security)是一种开放标准的框架结构,通过使用加密的安全服务以确保在互联网协议(IP,Internnet Protocol)基础上进行保密而安全的通讯。
在IPSec框架下,两个对等体(peer)之间存在两类安全关联。分别是互联网密钥交换安全关联(IKE SA,Internet Key Exchange Security Association)和互联网协议安全性安全关联(IPSec SA,Internnet Protocol SecurityAssociation)。IKE协议报文在IKE SA的保护下进行传输,而数据报文(IPSec流量)则在IPSec SA的保护下进行传输。这就意味着,两个对等体只有在两边的IKE SA和IPSec SA均存活时才能进行安全的通信。然而,由于路由切换或者对等体重启等原因,对等体中的一端在正常情况下无法得知对端的IKE SA和IPSec SA是否存活,则仍然会利用本端的IKE SA和IPSec SA对需要发送的数据进行加密并发送给对端,而对端由于IKE SA或IPSec SA不存在而丢弃数据,造成业务中断,需要等到IKE SA和IPSec SA自然老化后才能触发协商新的IKE SA和IPSec SA,从而使得业务中断时间过长。
现有技术中,IKE协议本身没有提供检测对等体中IKE SA和IPSec SA的存活状态的机制,而仅是采用IKE通知载荷来查询对等体中IKE SA和IPSec SA的存活状态。比较典型的是一种基于流量的对等体存活检验机制:对等体存活检测(DPD,Dead Peer Detection),但是DPD只能够检测IKE SA的存活状态,而无法检测出IPSec SA的存活状态,因此在两个对等体中的一个对等体IPSecSA不存在时,由于另一个对等体并不能了解到这种情况而会继续利用IPSecSA发送数据报文,造成数据丢失,并浪费大量的CPU资源和加密卡资源。
发明内容
本发明实施例提供一种安全关联存活检测方法、装置和系统,以实现检验IPSecSA是否存活的功能,从而能够在需要通信时能够及时触发协商新安全关联以保证正常通信。
一种安全关联存活检测方法,包括:
接收第二对等体发送的携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;
依据所述SPI、所述协议号和所述DTD消息的源互联网协议IP地址查找与第二对等体中的互联网协议安全关联IPSec SA相应的第一对等体的IPSecSA;
将所述查找的结果反馈给第二对等体,以便第二对等体依据所述查找结果确定所述第一对等体的IPSec SA的存活情况。
根据本发明实施例的另一个方面,提供一种安全关联存活检测方法,包括:
向第一对等体发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;
接收所述第一对等体依据所述SPI、所述协议号和所述DTD消息的源IP查找与第二对等体的IPSec SA相应的第一对等体的IPSec SA后反馈的查找结果;
依据所述查找结果确定所述第一对等体的IPSecSA的存活情况。根据本发明实施例的又一个方面,提供一种安全关联存活检测装置,包括:
第一接收单元,用于接收第二对等体发送的携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;
查找单元,用于依据所述SPI、所述协议号和所述DTD消息的源IP地址查找与第二对等体的IPSec SA相应的第一对等体的IPSec SA;
第一发送单元,用于获取所述查找单元的查找结果并反馈给所述第二对等体,以便所述第二对等体依据所述查找结果确定所述第一对等体的IPSec
SA的存活情况。
根据本发明实施例的另外一个方面,提供一种安全关联存活检测装置,包括:
第二发送单元,用于向第一对等体发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;
第二接收单元,用于接收所述第一对等体依据所述SPI、所述协议号和所述DTD消息的源IP地址查找与第二对等体的IPSec SA相应的第一对等体的IPSec SA后反馈的查找结果,并依据查找结果确定所述第一对等体的IPSecSA的存活情况。
根据本发明实施例的又一个方面,提供一种对等体通信系统,包括:一种对等体通信系统,其特征在于,包括第一对等体和第二对等体,所述第一对等体包括第一安全关联存活检测装置,所述第二对等体包括第二安全关联存活检测装置,其中:
所述第二安全关联存活检测装置用于:发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息,以及接收所述第一对等体依据所述SPI、所述协议号和所述DTD消息的源IP地址对与所述第二对等体的IPSec SA相应的第一对等体的IPSec SA进行的查找后反馈的查找结果,并依据所述查找结果确定所述第一对等体的IPSec SA的存活情况;
所述第一安全关联存活检测装置用于:接收所述DTD消息,依据所述SPI、所述协议号和所述DTD消息的源IP对与所述第二对等体的IPSecSA相应的第一对等体的IPSecSA进行查找,并将所述查找结果反馈给所述第二对等体。
从上述的技术方案可以看出,本发明实施例公开的方案利用目的IP、协议号和SPI可唯一确定第一对等体的IPSec SA的特点,将携带协议号和SPI的DTD消息发送给第一对等体,并依据所述协议号和SPI和所述DTD消息的源IP对与第二对等体的IPSec SA相应的第一对等体的IPSec SA进行查找后的反馈结果,依据该查找结果即可确定第一对等体的IPSec SA存活情况,提高了对等体安全关联存活检测的准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为DPD消息的格式示意图;
图2为本发明实施例提出DTD消息的一种具体结构示意图;
图3为对等体之间的通信过程示意图;
图4为本发明实施例一提出的安全关联存活检测方法的流程图;
图5为本发明实施例一中,Peer1查到与所述目标IPSec SA相同的IPSecSA时,向Peer2反馈查找结果的示意图;
图6为本发明实施例一中,Peer1没有查到与所述目标IPSec SA相同的IPSec SA时,向Peer2反馈查找结果的示意图;
图7为本发明实施例二提出的安全关联存活检测方法的流程图;
图8为本发明实施例三提出的安全关联存活检测方法的流程图;
图9为本发明实施例四提出的安全关联存活检测方法的流程图;
图10为本发明实施例五提出的安全关联存活检测方法的流程图;
图11为本发明实施例六提出的安全关联存活检测方法的实现流程图;
图12为本发明实施例七提出的安全关联存活检测装置的结构示意图;
图13为本发明实施例八提出的安全关联存活检测装置的结构示意图;
图14为本发明实施例九提出的安全关联存活检测装置的结构示意图;
图15为本发明实施例十提出的安全关联存活检测装置的结构示意图;
图16为本发明实施例十一提出的安全关联存活检测装置的结构示意图;
图17为本发明实施例十二提出的对等体通信网络系统的结构示意图;
图18为本发明实施例十三提出的对等体通信网络系统的结构示意图。
具体实施方式
为了引用和清楚起见,先将本文中使用的技术名词、简写或缩写总结如下:
SPI:Security Parameter Index,安全参数索引;
AH/ESP:Authentication Header/Encapsulating Security Payload,即认证头/封装安全载荷;在本文中又统称为协议号,所述协议号可包括AH或ESP,或者同时包括两者。
ACK:ACKnowledge Character,确认字符;
NACK:Not ACKnowledge Character,否定确认字符;
DOI:Domain of interpretation,解释域;
DTD:Dead Tunnel Detection,即安全关联存活检测,也可称为隧道存活检测,为本文提出的一种新的技术概念,下文将重点介绍。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例在现有DPD技术的基础上进行改进,提出一种新的技术概念-DTD,即安全关联存活检测,一般用于对等体架构的系统,因此也可以称为对等体安全关联存活检测,下面先介绍改进缘由及过程:
当两个对等体之间有IPSec流量的时候,没有必要发送额外的消息来证明对方IPSec SA是否存活,因为IPSec流量本身就能证明对等体IPSec SA是存活的。但是,在预设时间(时间长度可以根据实际要求进行设置和调整)内没有IPSec流量发生(即没有数据交换)时,对等体安全关联的存活状态是不确定的,因此可以发送DPD消息来检测对端安全关联是否存活。通过发送DPD消息检测对端安全关联是否存活的方法存在两种方式,其中一种方式被称为间隔式DPD(DPD Interval),即在预设时间内没有IPSec流量发生时发送DPD消息来检测对端是否存活;另外一种方式被称为请求式DPD(DPDOndemand),即在预设时间内没有IPSec流量发生且存在数据报文需要通过安全关联发送时,才进行检测。
DPD消息的格式如图1所示,包括协议标识Protocol-ID字段、Cookies字段、通知消息类型Notify Message Type字段和通知数据Notification Data字段;其中:
协议标识Protocol-ID:互联网安全关联和密钥管理协议(Internet SecurityAssociation and Key Management Protocol,ISAKMP)的协议标识;
Cookies尺寸Cookies Size:指ISAKMP cookies的长度,一般是16bit;
通知消息类型Notify Message Type:被设置成R-U-THERE/R-U-THERE-ACK;
Cookies:发起者和响应者的cookies;
通知数据Notification Data:随机产生的序列号,用于防重放攻击和防止伪造保活报文。
所述DPD消息还可以包括:下一载荷Next Payload字段,保留项RESERVED、载荷长度Payload Length字段、解释域DOI。
由于采用DPD检测方式只能够检测IKE SA存活情况,而无法检测出IPSec SA的存活情况,因此在两个对等体中的其中一个对等体(假设为A)某IPSec SA不存在时,由于另一个对等体(假设为B)并不能了解到这种情况而继续利用该IPSec SA发送数据报文,造成数据丢失(如果这种情况持续一段时间即产生“数据黑洞”),导致通信业务受影响,且浪费大量的CPU资源和加密卡资源,而IPSec协议规定,每条IPSec SA都有自己的有效期(生存期),各条IPSec SA在有效期结束时即被终止(也称为自然老化),也就是说,对等体B需要等待该IPSec SA自然老化后才能与对等体A重新协商新的IPSec SA。因此,本发明实施例提出了一种新的安全关联存活检测方法。为了方便描述,下文将携带协议号和SPI的安全关联存活检测消息称之为DTD消息,DTD消息的形式可以是IKE报文(下文统称为IKE通知载荷),结构如图2所示,包括协议标识Protocol-ID字段、Cookies字段、通知消息类型Notify Message Type字段、安全参数索引SPI(Security Parameter Index)字段、安全参数索引尺寸SPI Size字段和通知数据Notification Data字段,其中:
协议标识Protocol-ID:被设置成IPSec的协议号(协议ID),比如,AH或者ESP;
安全参数索引尺寸SPI Size:是指IPSec SA的SPI的长度。
通知消息类型Notify Message Type:被设置成R-U-THERE/R-U-THERE-ACK/R-U-THERE-NACK;
安全参数索引SPI(Security Parameter Index):被设置成IPSec SA的入方向安全参数索引Inbound SPI和出方向安全参数索引Outbound SPI;
通知数据Notification Data:随机产生的序列号,用于防重放攻击和防止伪造保活报文。
所述DTD消息还可以包括:下一载荷Next Payload字段,保留项RESERVED、载荷长度Payload Length字段、解释域DOI。
以提出DTD为基础,本发明实施例提供了一种安全关联存活检测方法:
如图3所示,第一对等体Peer1和第二对等体Peer2为网络中的两个对等体,均可以作为DTD消息的发送者和接收者,在本实施例中,以Peer1作为DTD消息的接收者,peer2作为DTD消息的发送者为例进行描述,站在Peer1的角度,安全关联存活检测流程如图4所示,包括以下步骤:
步骤S41、接收Peer2发送的携带SPI和协议号的DTD消息。
步骤S42、根据所述DTD消息的SPI、所述协议号和源IP地址查找与Peer2的IPSec SA相应的Peer1的IPSec SA。
在步骤S42中,可以利用所述DTD消息的SPI、所述协议号和源IP地址三元组确定Peer2的IPSec SA。然后在Peer1的所有IPSec SA中查找与Peer2的IPSec SA相对应的IPSec SA。
步骤S43、将查找结果反馈给Peer2。
在步骤S43中,当查询到与所述Peer1的IPSec SA相对应的IPSec SA时,以A-U_THERE-ACK消息作为查找结果发送给Peer2,如图5所示;否则,以A-U_THERE-NACK消息作为查找结果发送给Peer2,如图6所示。Peer2依据A-U_THERE-ACK/A-U_THERE-NACK消息确定Peer1端的IPSec SA存活情况。
需要说明的是,以A-U_THERE-ACK/A-U_THERE-NACK消息指示查找结果只是一种实现方式而已,还有其他实现方式,只要能够区分两种结果即可,本文对此不做限定。
上述实施例中,Peer1利用Peer2发送的携带协议号和SPI的DTD消息对与Peer2的IPSec SA相应的Peer1的IPSec SA进行查找,并告知Peer2查找结果,以便Peer2知悉双方的IPSec SA存活情况。从而方便Peer2根据双方的IPSec SA存活情况进行相应操作,例如:及时删除其所述Peer2的IPSec SA以触发协商新的安全关联,而无需等待安全关联的自然老化时间,以加快双方通信业务的恢复速度,并且由于无需等待安全关联的自然老化时间,不存在在等待安全关联的自然老化时间过程中不断发送数据而导致数据丢失的问题,节省了CPU和加密卡资源。
实施例二
本实施例是在上述实施例一的基础上,更详细地描述接收到DTD消息后如何操作并以什么样的形式将查找结果反馈,流程如图7所示,包括以下步骤:
步骤S71、接收Peer2发送的IKE通知载荷。
所述IKE通知载荷是上述DTD消息的一种具体形式,若未经地址转换协议NAT变更IP地址,则该IKE通知载荷的源IP地址就是Peer1的IPSec SA的目的IP地址,所述IKE通知载荷可以仅包括SPI和协议号。
当然,所述DTD消息还可以是另外形式的报文,本文对所述DTD消息的具体形式不做限定。
步骤S72、根据所述IKE通知载荷的头部信息查找相应的IKE SA。
具体的,参考上述图2,IKE通知载荷的头部信息中的Cookies中包含IKE
SA信息,因此,可根据所述IKE头部信息的cookies查找与Peer2的IKE SA相应的Peer1的IKE SA。
步骤S73、根据所述查找的结果判断是否查找到与Peer2的IKE SA相应的Peer1的IKE SA,若是,进入步骤S74;否则,进入步骤S75。
步骤S74、利用查找到的Peer1的IKE SA对所述IKE通知载荷进行解密,获取SPI和协议号,进入步骤S76。
在步骤S74中,可以利用IKE SA对IKE通知载荷进行解密,获取相关数据内容,如IPSec SA的Inbound SPI和Outbound SPI以及协议号等,然进入步骤S76。
步骤S75、丢弃所述IKE通知载荷。
步骤S76、根据所述IKE通知载荷的源IP地址、SPI和协议号(组成了三元组,用于确定唯一的IPSec SA)查找与Peer2的IPSec SA相应的Peer1的IPSec SA。
步骤S77、根据所述查找的结果判断是否查找到所述Peer1的IPSec SA,若是,进入步骤S78;否则,进入步骤S79。
步骤S78、回应A-U-THERE-ACK消息。
此消息可以按照上述IKE通知载荷中的Notify Message Type字段规定的通知类型进行设置。
步骤S79、回应A-U-THERE-NACK消息。
此消息也同样可以按照上述IKE通知载荷中的Notify Message Type字段规定的通知类型进行设置。
需要说明的是,本实施例中,仅在Inbound SPI和Outbound SPI两者都被查到时,才确定所述Peer1的IPSec SA被查到。而如果仅是其中一个查到或者两个都没查到时,则确定所述Peer1的IPSec SA没有被查到。
本实施例中Peer1利用Peer2发送的携带协议号和SPI的DTD消息对与Peer2的IPSec SA相应的Peer1的IPSec SA进行查找,并告知Peer2查找结果,以便Peer2知悉双方的IPSec SA存活情况。从而提高了对等体安全关联(SA)存活状态检测的一致性,从而方便Peer2根据双方的IPSec SA存活情况进行相应操作,例如:及时删除Peer2的IPSec SA以触发协商新的安全关联,而无需等待安全关联的自然老化时间,以加快双方通信业务的恢复速度,并且由于无需等待安全关联的自然老化时间,不存在在等待安全关联的自然老化时间过程中不断发送数据而导致数据丢失的问题,节省了CPU和加密卡资源。
实施例三
站在Peer2的角度(Peer2为DTD消息的发送者),本实施例提供一种安全关联存活检测的方法,所述方法的流程如图8所示,包括以下步骤:
步骤S81、向Peer1发送携带SPI、协议号的DTD消息。
步骤S82、接收Peer1依据所述SPI、所述协议号和所述DTD消息的源IP对与Peer2的IPSec SA相应的Peer1的IPSec SA进行查找后反馈的查找结果。
在步骤S82中,所述查找后反馈的查找结果可以是Peer1依据所述SPI、所述协议号和该DTD消息的源IP对安全安全关联进行查找后反馈的查找结果。具体的,Peer1会依据SPI、协议号和DTD消息的源IP确定一个Peer1的IPSec SA,在其本端中的所有IPSec SA中进行查找,并反馈查找结果。
步骤S83、依据所述查找结果确定所述Peer1的IPSec SA的存活情况。
在步骤S83中,当接收到A-U-THERE-ACK消息时,确定存在所述Peer1的IPSec SA,当接收到A-U-THERE-NACK消息时,确定不存在所述Peer1的IPSec SA。
本实施例中的Peer2发送携带协议号和SPI的DTD消息给Peer1,接收Peer1依据所述SPI、所述协议号和所述DTD消息的源IP查找与Peer2的IPSecSA相应的Peer1的IPSec SA后反馈的查找结果,依据所述查找结果确定所述依据所述查找结果确定所述第一对等体的IPSecSA的存活情况。提高了对等体安全管理检测的准确性,也为后续控制操作提供了方便,例如:在获知所述Peer1的IPSec SA不存在时,可以及时删除所述Peer2的IPSec SA以触发协商新的安全关联,而无需等待安全关联的自然老化时间,以加快双方通信业务的恢复速度,并且由于无需等待安全关联的自然老化时间,不存在在等待安全关联的自然老化时间过程中不断发送数据而导致数据丢失的问题,节省了CPU和加密卡资源。
实施例四
由于Peer2向Peer1发送DTD消息(即启动DTD检测)可以是定时进行的,也可以是在某种情况被触发而进行的,因此,本实施例将以通过触发发送DTD消息来为例对安全关联存活检测的方法进行描述,如图9所示,该方法可以包括以下步骤:
步骤S91、计算Peer2IPSec SA中没有流量的持续时间。
IPSec SA每次有数据报文转发时,都会记录最后一次数据报文的转发时间,因此,计算IPSec SA中没有流量的持续时间的方式可以是:定时检查IPSecSA在一段时间内是否有入流量,利用当前时间减去IPSec SA最后一次使用时间,得到的结果就是IPSec SA中没有流量的持续时间。
计算IPSec SA中没有流量的持续时间的一种实现方式还可以是:为每条IPSec SA分别设置一个计时器,在对应的IPSec SA被使用(即进行数据报文的转发)时开始计时(其计算的时间为IPSec SA中没有流量的持续时间),于是,当计时超过预设门限时启动DTD检测。
步骤S92、提取Peer2的IPSec SA的SPI(包括Inbound SPI和OutboundSPI)以及协议号,构造DTD消息。
步骤S93、将所述DTD消息在相应的IKE SA保护下传输给对端。
将所述DTD消息在相应的IKE SA保护下传输的具体实现方式可以是:将DTD消息以IKE通知载荷的形式传输。
步骤S94-步骤S95与上述步骤S82-步骤S83基本相同,在此不再赘述。
本实施例在IPSec SA中没有流量的持续时间超过预定门限时马上发送DTD消息以进行安全关联存活检测,在其他实施例中,可以是在IPSec SA中没有流量的持续时间超过预定门限且所在端存在需要通过IPSec SA发送的数据报文时,才触发发送DTD消息以进行安全关联存活检测。显然,后者更节省资源,但是在进行安全关联存活检测需要花费一些时间,正常的数据发送只能等待这段时间过后才能进行,相比而言,前者的及时性较优。
实施例五
本实施例在上述实施例四的基础上进行改进,
具体流程如图10所示,包括以下步骤:
步骤S101-S103与上述步骤S91-S93基本相同,在此不再赘述;
步骤S104、判断预设时间内是否收到对端的反馈结果,若是,进入步骤S105;否则,进入步骤S107;
步骤S105、接收Peer1依据所述SPI、所述协议号和所述DTD消息的源IP对与Peer2的IPSec SA相应的Peer1的IPSec SA进行查找后反馈的查找结果。
步骤S106、依据查找结果确定所述Peer1IPSec SA存活情况。
步骤S107、重传所述DTD消息并记录重传次数。
步骤S108、当所述重传次数超过预设门限时,确定所述Peer1的IPSec SA不存在。
如果重传次数超过预设门限,即可认为Peer1与Peer2之间的安全关联失效。所述预设门限可以根据网络实际情况或者用户需求进行设置和调整。
可以看出,本实施例使用重传的方式来提高通信可靠性,并且进一步规定在重传次数超过预定门限时确定所述Peer1的IPSec SA不存在,如此可以及时触发协商新的安全关联,以保证通信业务的正常进行,而无需等待安全关联的正常老化,从而提高对等体之间通信的安全性。
需要说明的是,本文对所述预设时间和DTD消息的重传次数的具体数值不做限定,本文建议在所述预设时间至少是几分钟,重传次数最少7、8次的情况下才考虑删除Peer2的IPSecSA。并且,不同的环境可以设定不同规则,另外,为了避免网络拥塞更加严重,可以规定所述各次重传后所述预设时间的时间长度可以以指数形式增加。实施例六
本实施例公开了一种依据上述实施例三、四和五的基础上提出一种安全关联存活检测方法,所述方法流程如图11所示,包括以下步骤:
步骤S111、向Peer1发送携带SPI和协议号的DTD消息。
步骤S112、接收Peer1依据所述SPI、所述协议号和所述DTD消息的源IP地址对与Peer2的IPSec SA相应的Peer1的IPSec SA进行查找后反馈的查找结果。
具体的,Peer1会依据SPI、协议号和DTD消息的源IP地址确定Peer1的IPSec SAIPec SA,在其与Peer1的所有IPSec SA中进行查找,并反馈查找结果。
步骤S113、依据所述查找结果确定所述Peer1的IPSec SA存活情况。
当接收到Peer1反馈的查找结果是A-U-THERE-ACK消息时,即可以确定存在所述Peer1的IPSec SA,当接收到Peer1反馈的查找结果是A-U-THERE-NACK时,即可以确定不存在所述Peer1的IPSec SA。
步骤S114、当确定不存在所述Peer1的IPSec SA时,删除所述Peer2的IPSec SA。
删除所述Peer2的IPSec SA包括:删除确定IPSec SA的相关信息,如目的IP、SPI、协议号及其他相关信息。
如果存在所述Peer1的IPSec SA时,则保持所述Peer2的IPSec SA有效,否则,删除所述Peer2的IPSec SA,以触发协商新的安全关联,保证双方通信业务的正常进行。
需要说明的是上述步骤S114也可以结合在上述实施例四、五中形成其他安全关联存活检测方法,在此不再赘述。
另外,当确定Peer1无效(即:重传DTD消息次数超过预设门限)时,删除本端相应的IKE SA和IPSec SA。
根据本发明实施例的方法,依据与Peer2的IPSec SA相应的Peer1的IPSecSA存活情况进行相应的控制操作,能够在获知所述Peer1的的IPSec SA不存在时,及时删除所述Peer2的IPSec SA以触发协商新的安全关联,而无需等待安全关联的自然老化时间,以加快双方通信业务的恢复速度,并且由于无需等待安全关联的自然老化时间,不存在在等待安全关联的自然老化时间过程中Peer2不断发送数据而导致数据丢失的问题,减少了CPU和加密卡的工作时间和工作次数,从而节省了CPU和加密卡资源。
实施例七
本实施例针对上述实施例一和实施例二,提供了一种安全关联存活检测装置,其结构如图12所示,包括第一接收单元121、查找单元122和第二发送单元123,其中:
第一接收单元121,用于接收第二对等体发送的携带SPI和协议号的安全关联DTD消息。
查找单元122,用于依据所述DTD消息中的SPI、协议号和该DTD消息的源IP查找与第二对等体的IPSec SA相应的第一对等体的IPSec SA。
第一发送单元123,用于获取所述查找单元的查找结果并反馈给所述第二对等体,以便所述第二对等体依据所述查找结果确定所述第一对等体的IPSecSA的存活情况。本装置的具体工作流程可参照前文实施例一和实施例二的内容,在此不再赘述。
本发明实施例公开的装置利用第二对等体发送的携带协议号和SPI的DTD消息对与第二对等体的IPSec SA相应的第一对等体的IPSec SA进行查找,并告知地二对等体查找结果,以便第二对等体知悉所述第一对等体的IPSec SA存活情况。提高了对等体安全关联检测的准确度,从而方便第二对等体后续根据所述第一对等体的IPSec SA存活情况进行相应操作,例如:及时删除其第二对等体相应的IPSec SA以触发协商新的安全关联,而无需等待安全关联的自然老化时间,以加快双方通信业务的恢复速度,并且由于无需等待安全关联的自然老化时间,不存在在等待安全关联的自然老化时间过程中不断发送数据而导致数据丢失的问题,节省了CPU和加密卡资源。
实施例八
本实施例与上述实施例三相对应,提供了另一种安全关联存活检测装置,其结构如图13所示,包括:第二发送单元131和第二接收单元132,其中:
第二发送单元131,用于向第一对等体发送携带SPI、协议号的安全关联DTD消息。
第二接收单元132,用于接收所述第一对等体依据所述SPI、所述协议号和该DTD消息的源IP查找与第二对等体的IPSec SA相应的第一对等体的IPSec SA后反馈的查找结果,并依据查找结果确定所述第一对等体的IPSecSA的存活情况。。
具体工作过程请参照实施例三。
本发明实施例可以存在于对等体中的需要发起安全关联存活检测一端,该端向第一对等体发送携带协议号和SPI的DTD消息,获取第一对等体依据DTD消息对其第二对等体的IPSec SA进行查找后反馈的查找结果,即可获知该所述第一对等体的IPSec SA存活情况。为后续控制操作提供了方便,例如:在获知所述第一对等体的IPSec SA不存在时,及时删除所述第二对等体相应的IPSec SA以触发协商新的安全关联,而无需等待安全关联的自然老化时间,以加快双方通信业务的恢复速度,并且由于无需等待安全关联的自然老化时间,不存在在等待安全关联的自然老化时间过程中不断发送数据而导致数据丢失的问题,节省了CPU和加密卡资源。
实施例九
本实施例针对上述实施例三,提供了另一种安全关联存活检测装置,其结构如图14所示,包括第二发送单元131、第二接收单元132、计时单元143和触发指示单元144,其中:
计时单元143,用于计算没有收到第一对等体的互联网协议安全性IPSec流量的持续时间。
触发指示单元144,用于当所述持续时间超过预设门限时,或者当所述持续时间超过预设门限且所述装置所在端存在数据报文需要发送时,触发第二发送单元131发送所述DTD消息。
本实施例上述实施例八的基础上,进一步公开了进行安全关联存活检测的时机,在IPSec SA中没有流量的持续时间超过预定门限时马上发送DTD消息以进行安全关联检测,及时性较好。
在其他实施例中,还可以是在IPSec SA中没有流量的持续时间超过预定门限且第二对等体存在需要通过IPSec SA发送的数据报文时,才触发发送DTD消息以进行安全关联检测。显然,与上述实施例九相比要更节省资源。
实施例十
本实施例针对上述实施例四和实施例五,提供了另一种安全关联存活检测装置,包括第二发送单元131、第二接收单元132、计时单元143、触发指示单元144和重发指示单元155,其中:
重发指示单元155用于:在所述第二发送单元发出DTD消息后,所述第二接收单元没有收到所述对端的响应信息时,指示第二发送单元131重传所述DTD消息。
此外,还可以包括:计数单元156和删除指示单元157,其中:
计数单元156,用于计算所述第二发送单元的重传次数;删除指示单元157,用于在所述重传次数超过预设门限时,发出删除本与第一对等体的IKESA相应的第二对等体的IKE SA、与第一对等体的IPSec SA相应的第二对等体的IPSec SA指示。
本实施例在上述实施例九的基础上进行改进,使用重传的方式来提高通信可靠性,并且进一步规定在重传次数超过预定门限时确定所述第一对等体IPSec SA不存在,如此可以及时触发协商新的安全关联,以保证通信业务的正常进行,而无需等待安全关联的正常老化。
实施例十一
本发明实施例还提供一种安全关联存活检测装置,包括:安全关联存活状态确定单元161和管理单元162,其中:
安全关联存活确定单元161,用于向第一对等体发送携带SPI和协议号的DTD消息,以及,接收所述第一对等体利用所述SPI、所述协议号和该DTD消息的源IP与第二对等体的IPSecSA相应的第一对等体的IPSecSA进行查找的查找结果,并根据查找结果确定所述第一对等体的IPSec SA的存活状态。
管理单元162,用于获取所述安全关联存活确定单元确定的所述第一对等体的IPSec SA的存活状态,当确定与所述第二对等体的IPSecSA相应的第一对等体的IPSecSA相应的IPSec SA不存在时,删除所述第二对等体的IPSecSA。另外,还可以确定第一对等体无效时,删除与第一对等体的IKE SA相应的第二对等体的IKE SA、与第一对等体的IPSec SA相应的第二对等体的IPSec SA。
需要说明的是,安全关联存活确认单元161的结构可以是上述实施例八、九和实施例十所提供的安全关联存活检测装置中的任意一个,其具体结构可以参照图13、14和15。此外,本发明实施例七至十一中所述的DTD消息可以包括IKE报文等多种形式。
本实施例公开的安全关联存活检测装置可以设置于两个对等体中的任意一端,通过安全关联存活确认单元确认与所述第二对等体的IPSec SA相应的第一对等体的IPSec SA存活情况。并依据所述第一对等体的IPSec SA存活情况进行相应的控制操作,能够在获知所述第一对等体的IPSec SA不存在时,及时删除所述第二对等体的IPSec SA以触发协商新的安全关联,而无需等待安全关联的自然老化时间,以加快双方通信业务的恢复速度,并且由于无需等待安全关联的自然老化时间,不存在在等待安全关联的自然老化时间过程中本端不断发送数据而导致数据丢失的问题,节省了CPU和加密卡资源。
实施例十二
本发明实施例同时还提供一种对等体通信系统,其结构如图17所示,包括第一对等体171和第二对等体172,第一对等体171包括第一安全关联存活检测装置173,第二对等体172包括第二安全关联存活检测装置174,其中:
第二安全关联存活检测装置174用于:发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息,以及接收所述第一对等体依据所述SPI、所述协议号和所述DTD消息的源IP地址对与所述第二对等体的IPSec SA相应的第一对等体的IPSec SA进行的查找后反馈的查找结果,并依据所述查找结果确定所述第一对等体的IPSec SA的存活情况;
第一安全关联存活检测装置173用于:接收所述DTD消息,依据所述SPI、所述协议号和所述DTD消息的源IP对与所述第二对等体的IPSecSA相应的第一对等体的IPSecSA进行查找,并将所述查找结果反馈给所述第二对等体。
需要说明的是,第一安全关联存活检测装置173可以是上述实施例八、九和实施例十所提供的安全关联存活检测装置中的任意一个,其具体结构可以参照图13、14和15。第二安全关联存活检测装置174可以是上述实施例七所提供的安全关联存活检测装置,具体结构参照图12。
本实施例公开的系统中的对等体能够发起对对端对等体的安全关联存活检测,从而能够获知对端IPSec SA的存活情况,提高安全关联存活检测的准确性。
实施例十三
本发明实施例同时还提供另一种对等体通信系统,其结构如图18所示,包括第一对等体181和第二对等体182,第一对等体181包括由第一安全关联存活检测装置183和管理装置185,第二对等体182包括第二安全关联存活检测装置184,其中:第二安全关联存活检测装置184与上述实施例十二中的同名装置的功能基本相同,所述安全关联管理装置与上述实施例十一中公开的安全关联管理装置相同。此外,本发明实施例十二至十三中所述的DTD消息可以包括IKE报文等多种形式。
本实施例公开的系统在上述实施例的基础上,进一步增加了安全关联管理功能,在获知与所述第二对等体的IPSec SA相应的第一对等体的的IPSecSA不存在时,及时删除所述第二对等体的IPSec SA以触发协商新的安全关联,而无需等待安全关联的自然老化时间,以加快双方通信业务的恢复速度,并且由于无需等待安全关联的自然老化时间,不存在在等待安全关联的自然老化时间过程中本端不断发送数据而导致数据丢失的问题,节省了CPU和加密卡资源。
另外,还需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本领域技术人员可以理解,可以使用许多不同的工艺和技术中的任意一种来表示信息、消息和信号。例如,上述说明中提到过的消息、信息都可以表示为电压、电流、电磁波、磁场或磁性粒子、光场或以上任意组合。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (18)
1.一种安全关联存活检测方法,其特征在于,包括:
接收第二对等体发送的携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;
依据所述SPI、所述协议号和所述DTD消息的源互联网协议IP地址查找与第二对等体中的互联网协议安全关联IPSec SA相应的第一对等体的IPSecSA;
将所述查找的结果反馈给第二对等体,以便第二对等体依据所述查找结果确定所述第一对等体的IPSec SA的存活情况。
2.如权利要求1所述的方法,其特征在于,所述DTD消息包括互联网密钥协议IKE报文。
3.一种安全关联存活检测方法,其特征在于,包括:
向第一对等体发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;
接收所述第一对等体依据所述SPI、所述协议号和所述DTD消息的源IP查找与第二对等体的IPSec SA相应的第一对等体的IPSec SA后反馈的查找结果;
依据所述查找结果确定所述第一对等体的IPSecSA的存活情况。
4.如权利要求3所述的方法,其特征在于,还包括:
当确定所述第一对等体的IPSec SA不存在时,删除所述第二对等体的IPSec SA。
5.如权利要求3所述的方法,其特征在于,所述向第一对等体发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息包括:
当没有收到第一对等体的IPSec流量持续时间超过预设门限时,向所述第一对等体发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息。
6.如权利要求3所述的方法,其特征在于,所述向第一对等体发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息包括:
当没有收到第一对等体的IPSec流量持续时间超过预设门限,且存在数据报文需要发送时,向所述第一对等体发送所述携带安全协议索引SPI和协议号的安全关联存活检测DTD消息。
7.如权利要求3-6任意一项所述的方法,其特征在于,所述DTD消息包括IKE报文。
8.一种安全关联存活检测装置,其特征在于,包括:
第一接收单元,用于接收第二对等体发送的携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;
查找单元,用于依据所述SPI、所述协议号和所述DTD消息的源IP地址查找与第二对等体的IPSec SA相应的第一对等体的IPSec SA;
第一发送单元,用于获取所述查找单元的查找结果并反馈给所述第二对等体,以便所述第二对等体依据所述查找结果确定所述第一对等体的IPSecSA的存活情况。
9.如权利要求8所述的装置,其特征在于,所述DTD消息包括IKE报文。
10.一种安全关联存活检测装置,其特征在于,包括:
第二发送单元,用于向第一对等体发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息;
第二接收单元,用于接收所述第一对等体依据所述SPI、所述协议号和所述DTD消息的源IP地址查找与第二对等体的IPSec SA相应的第一对等体的IPSec SA后反馈的查找结果,并依据查找结果确定所述第一对等体的IPSecSA的存活情况。
11.如权利要求10所述的装置,其特征在于,还包括:
管理单元,用于当所述第二接收单元确定所述第一对等体的IPSec SA不存在时,删除所述第二对等体的IPSec SA。
12.如权利要求10所述的装置,其特征在于,还包括:
计时单元,用于计算没有收到所述第一对等体的IPSec流量的持续时间;
触发指示单元,用于当所述持续时间超过预设门限时,或者当所述持续时间超过预设门限且第二对等体存在数据报文需要发送时,触发所述第二发送单元发送所述DTD消息。
13.如权利要求10所述的装置,其特征在于,还包括:
重发指示单元,用于在所述第二发送单元发出DTD消息后,所述第二接收单元在预设时间内没有收到所述第一对等体的响应信息时,指示所述第二发送单元重传所述DTD消息。
14.如权利要求13所述的装置,其特征在于,还包括:
计数单元,用于计算所述第二发送单元的重传次数;
删除指示单元,用于在所述重传次数超过预设门限时,指示第二对等体删除与第一对等体的IKE SA相应的第二对等体的IKE SA、与第一对等体的IPSec SA相应的第二对等体的IPSec SA。
15.如权利要求10-14任意一项所述的装置,其特征在于,所述DTD消息包括IKE报文。
16.一种对等体通信系统,其特征在于,包括第一对等体和第二对等体,所述第一对等体包括第一安全关联存活检测装置,所述第二对等体包括第二安全关联存活检测装置,其中:
所述第二安全关联存活检测装置用于:发送携带安全协议索引SPI和协议号的安全关联存活检测DTD消息,以及接收所述第一对等体依据所述SPI、所述协议号和所述DTD消息的源IP地址对与所述第二对等体的IPSec SA相应的第一对等体的IPSec SA进行的查找后反馈的查找结果,并依据所述查找结果确定所述第一对等体的IPSec SA的存活情况;
所述第一安全关联存活检测装置用于:接收所述DTD消息,依据所述SPI、所述协议号和所述DTD消息的源IP对与所述第二对等体的IPSecSA相应的第一对等体的IPSecSA进行查找,并将所述查找结果反馈给所述第二对等体。
17.如权利要求16所述的系统,其特征在于,所述第二对等体还包括:
管理装置,用于获取所述第二安全关联存活检测装置的检测结果,当确定与所述第二对等体的IPSec SA相应的第一对等体的IPSec SA不存在时,删除所述第二对等体的IPSec SA。
18.如权利要求16或17所述的系统,其特征在于,所述DTD消息包括IKE报文。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010113705.6A CN102148810B (zh) | 2010-02-04 | 2010-02-04 | 安全关联存活检测方法、装置和系统 |
| PCT/CN2011/070629 WO2011095097A1 (zh) | 2010-02-04 | 2011-01-26 | 安全关联存活检测方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010113705.6A CN102148810B (zh) | 2010-02-04 | 2010-02-04 | 安全关联存活检测方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102148810A true CN102148810A (zh) | 2011-08-10 |
| CN102148810B CN102148810B (zh) | 2014-03-12 |
Family
ID=44354963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010113705.6A Expired - Fee Related CN102148810B (zh) | 2010-02-04 | 2010-02-04 | 安全关联存活检测方法、装置和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102148810B (zh) |
| WO (1) | WO2011095097A1 (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
| CN102904901A (zh) * | 2012-10-29 | 2013-01-30 | 杭州华三通信技术有限公司 | 同步IPsec SA的方法、组成员及组密钥服务器 |
| CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
| CN103179225A (zh) * | 2013-03-18 | 2013-06-26 | 杭州华三通信技术有限公司 | 一种基于IPsec的NAT表项保活方法和设备 |
| CN103237028A (zh) * | 2013-04-22 | 2013-08-07 | 杭州华三通信技术有限公司 | 一种删除Child SA的方法和设备 |
| CN103716196A (zh) * | 2012-09-28 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种网络设备及探测方法 |
| CN104023022A (zh) * | 2014-06-13 | 2014-09-03 | 杭州华三通信技术有限公司 | 一种IPSec SA的获取方法和装置 |
| CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
| CN106034014A (zh) * | 2015-03-19 | 2016-10-19 | 中兴通讯股份有限公司 | 一种实现丢包请求重传的方法、接收装置和发送装置 |
| CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
| CN106685701A (zh) * | 2016-12-06 | 2017-05-17 | 杭州迪普科技股份有限公司 | 断开IPSec VPN连接方法及装置 |
| CN107682284A (zh) * | 2017-08-02 | 2018-02-09 | 华为技术有限公司 | 发送报文的方法和网络设备 |
| CN109547487A (zh) * | 2018-12-28 | 2019-03-29 | 北京奇安信科技有限公司 | 消息处理方法、装置及系统 |
| CN109802954A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种用于数据传输中对IPSec SA进行删除的方法及装置 |
| CN110061965A (zh) * | 2019-03-13 | 2019-07-26 | 北京华为数字技术有限公司 | 更新安全联盟的方法、装置、设备及可读存储介质 |
| CN111711636A (zh) * | 2020-06-28 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 一种主机存活检测的方法、系统、设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060248583A1 (en) * | 2005-04-27 | 2006-11-02 | Atsushi Inoue | Communication apparatus and communication method and computer readable medium |
| CN101268670A (zh) * | 2005-09-19 | 2008-09-17 | 松下电器产业株式会社 | 通过多归属移动节点使得能够同时使用归属网络和外部网络 |
| CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
-
2010
- 2010-02-04 CN CN201010113705.6A patent/CN102148810B/zh not_active Expired - Fee Related
-
2011
- 2011-01-26 WO PCT/CN2011/070629 patent/WO2011095097A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060248583A1 (en) * | 2005-04-27 | 2006-11-02 | Atsushi Inoue | Communication apparatus and communication method and computer readable medium |
| CN101268670A (zh) * | 2005-09-19 | 2008-09-17 | 松下电器产业株式会社 | 通过多归属移动节点使得能够同时使用归属网络和外部网络 |
| CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张玮等: "虚拟专用网中加解密模块的设计", 《HTTP://WWW.PAPER.EDU.CN》 * |
| 王志敏: "IP安全技术研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
| CN103716196B (zh) * | 2012-09-28 | 2018-10-09 | 新华三技术有限公司 | 一种网络设备及探测方法 |
| CN103716196A (zh) * | 2012-09-28 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种网络设备及探测方法 |
| CN102904901B (zh) * | 2012-10-29 | 2015-07-29 | 杭州华三通信技术有限公司 | 同步IPsec SA的方法、组成员及组密钥服务器 |
| CN102904901A (zh) * | 2012-10-29 | 2013-01-30 | 杭州华三通信技术有限公司 | 同步IPsec SA的方法、组成员及组密钥服务器 |
| CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
| CN102946333B (zh) * | 2012-10-31 | 2015-12-02 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
| CN103179225B (zh) * | 2013-03-18 | 2016-12-28 | 杭州华三通信技术有限公司 | 一种基于IPsec的NAT表项保活方法和设备 |
| CN103179225A (zh) * | 2013-03-18 | 2013-06-26 | 杭州华三通信技术有限公司 | 一种基于IPsec的NAT表项保活方法和设备 |
| CN103237028B (zh) * | 2013-04-22 | 2016-06-29 | 杭州华三通信技术有限公司 | 一种删除Child SA的方法和设备 |
| CN103237028A (zh) * | 2013-04-22 | 2013-08-07 | 杭州华三通信技术有限公司 | 一种删除Child SA的方法和设备 |
| CN104023022A (zh) * | 2014-06-13 | 2014-09-03 | 杭州华三通信技术有限公司 | 一种IPSec SA的获取方法和装置 |
| CN104023022B (zh) * | 2014-06-13 | 2017-08-08 | 新华三技术有限公司 | 一种IPSec SA的获取方法和装置 |
| CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
| CN106034014A (zh) * | 2015-03-19 | 2016-10-19 | 中兴通讯股份有限公司 | 一种实现丢包请求重传的方法、接收装置和发送装置 |
| CN106034014B (zh) * | 2015-03-19 | 2020-09-15 | 中兴通讯股份有限公司 | 一种实现丢包请求重传的方法、接收装置和发送装置 |
| CN106487802B (zh) * | 2016-11-07 | 2019-09-17 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
| CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
| CN106685701A (zh) * | 2016-12-06 | 2017-05-17 | 杭州迪普科技股份有限公司 | 断开IPSec VPN连接方法及装置 |
| CN106685701B (zh) * | 2016-12-06 | 2019-12-06 | 杭州迪普科技股份有限公司 | 断开IPSec VPN连接方法及装置 |
| WO2019024880A1 (zh) * | 2017-08-02 | 2019-02-07 | 华为技术有限公司 | 发送报文的方法和网络设备 |
| CN107682284A (zh) * | 2017-08-02 | 2018-02-09 | 华为技术有限公司 | 发送报文的方法和网络设备 |
| CN107682284B (zh) * | 2017-08-02 | 2021-06-01 | 华为技术有限公司 | 发送报文的方法和网络设备 |
| US11277391B2 (en) | 2017-08-02 | 2022-03-15 | Huawei Technologies Co., Ltd. | Packet sending method and apparatus |
| CN109547487A (zh) * | 2018-12-28 | 2019-03-29 | 北京奇安信科技有限公司 | 消息处理方法、装置及系统 |
| CN109802954A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种用于数据传输中对IPSec SA进行删除的方法及装置 |
| CN110061965A (zh) * | 2019-03-13 | 2019-07-26 | 北京华为数字技术有限公司 | 更新安全联盟的方法、装置、设备及可读存储介质 |
| CN110061965B (zh) * | 2019-03-13 | 2022-08-26 | 北京华为数字技术有限公司 | 更新安全联盟的方法、装置、设备及可读存储介质 |
| CN111711636A (zh) * | 2020-06-28 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 一种主机存活检测的方法、系统、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011095097A1 (zh) | 2011-08-11 |
| CN102148810B (zh) | 2014-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102148810B (zh) | 安全关联存活检测方法、装置和系统 | |
| Ford et al. | TCP extensions for multipath operation with multiple addresses | |
| Lindgren et al. | Probabilistic routing protocol for intermittently connected networks | |
| Clausen et al. | Mobile ad hoc network (manet) neighborhood discovery protocol (nhdp) | |
| US8996626B2 (en) | Terminal and intermediate node in content oriented networking environment and communication method of terminal and intermediate node | |
| Goyal et al. | Reactive discovery of point-to-point routes in low-power and lossy networks | |
| US20050030921A1 (en) | Routing protocol for ad hoc networks | |
| US10530644B2 (en) | Techniques for establishing a communication connection between two network entities via different network flows | |
| JP2018528679A (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
| CN101594359A (zh) | 防御传输控制协议同步洪泛攻击方法及传输控制协议代理 | |
| CN101527729A (zh) | 一种ike可靠报文协商的方法、设备及系统 | |
| CN103716196A (zh) | 一种网络设备及探测方法 | |
| CN111355695B (zh) | 一种安全代理方法和装置 | |
| CN101599968A (zh) | 可靠匿名传输方法及系统 | |
| CN111064755B (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
| US8379514B2 (en) | Route reflector for a communication system | |
| CN105453509A (zh) | 使用基于数据报的协议与vpn服务器通信 | |
| CN100488204C (zh) | 一种查询IPSec隧道状态的方法 | |
| CN111641545B (zh) | 一种隧道探测方法及装置、设备、存储介质 | |
| EP1881668A1 (en) | The method, system and apparatus for transferring syslog message | |
| CN103023818A (zh) | 媒体接入控制强制转发arp报文的方法及装置 | |
| Devi et al. | Detecting misbehavior routing and attacks in disruption tolerant network using itrm | |
| Bittau et al. | TCP-ENO: Encryption negotiation option | |
| KR101328028B1 (ko) | 세션 기반 메시지 전송 시스템 및 그 방법 | |
| CN110602124B (zh) | 一种用于物联网中的连续认证的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140312 Termination date: 20220204 |