CN102571497A - 一种IPSec隧道故障检测的方法、装置及系统 - Google Patents
一种IPSec隧道故障检测的方法、装置及系统 Download PDFInfo
- Publication number
- CN102571497A CN102571497A CN2012100204137A CN201210020413A CN102571497A CN 102571497 A CN102571497 A CN 102571497A CN 2012100204137 A CN2012100204137 A CN 2012100204137A CN 201210020413 A CN201210020413 A CN 201210020413A CN 102571497 A CN102571497 A CN 102571497A
- Authority
- CN
- China
- Prior art keywords
- ike
- message
- tunnel
- ipsec tunnel
- bfd session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及一种IPSec隧道故障检测的方法、装置和系统,通过本端向对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;接收对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;向对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷;接收对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息,从而将BFD功能与IPSec隧道协商结合,实现部署IPSec加密场景下的链路故障快速故障检测。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种实现IPSec隧道故障检测的方法。
背景技术
IPSec(Intetnet Protocol Security)协议族是IETF(InternetEngineering Task Force)制定的一系列协议,为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。IPSec对网络上传输的IP报文进行加密和认证,保证对端收到的报文的合法性和正确性,且即使被网络上的其它用户侦听到也无法知道报文的真实内容。攻击防范就是检测出多种类型的网络攻击,并能采取相应的措施保护内网免受恶意攻击,保证内部网络及系统的正常运行。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。私有性(Confidentiality):对用户数据进行加密保护,用密文的形式传送;完整性(Data integrity):对接收的数据进行验证,以判定报文是否被篡改;真实性(Data Authentication):验证数据源,以保证数据来自真实的发送者;防重放(Anti-replay):防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
IPSec通过AH(Authentication Header)和ESP(EncapsulatingSecurity Payload)两个安全协议实现了上述目标。为简化IPSec的使用和管理,IPSec还可以通过IKE(Internet Key Exchange)进行自动协商交换密钥,建立和维护安全联盟的服务。
在无线LTE(Long Term Evolution)环境下,eNodeB接入数据核心承载网的典型模式是eNodeB通过租用线路接入承载网路由器,承载网基于MPLS/VPN(Multiprotocol Label Switching/Virtual PrivateNetwork)相连,aGW(Access Gateway)也接入到核心承载网络,通过这种组网方式,eNodeB可以通过运营商的承载网和aGW互通。
但这种组网一个比较大的问题就是eNodeB接入承载网路由器的线路安全难以得到保证,特别是运营商从成本的角度考虑采用其它网络运营商的租用线路或者是直接利用Internet接入的情况下,安全性问题就更为严重。用户接入时,eNodeB会通过GTP协议传递用户IMSI(International Mobile Subscriber Identification Number)、鉴权信息等大量敏感信息,随着各种移动业务的开展,会有大量的用户身份、密码、帐号等信息通过GTP协议传送,这些信息如果没有加密保护的话,很容易对用户的安全带来巨大的隐患。
解决这些问题目前IP网络采用的主要技术是IPSec。电信级网络对传输有高可靠性要求,如果链路出现故障,需要快速发现故障并进行切换等恢复操作,保证业务不出现中断。而在使用IPSec的安全组网场景下,现有协议提供的保活功能无法保证快速发现故障。现有的IPSec隧道故障检测使用RFC3706中提供的DPD(Dead PeerDetection)功能,完成对端状态的检查。DPD分为轮询模式和流量触发模式,目前常用的是流量触发模式,即在一定时间内收不到对端的加密报文后,发起DPD检测,经过一定次数重传后仍未得到对端响应则认为链路故障。但是DPD检测速度比较慢,正常情况下发现链路故障的时间须在1分钟以上,满足不了电信级的快速检测需求。
发明内容
本发明实施例提供一种实现IPSec隧道故障检测的方法、装置及系统,实现部署IPSec加密场景下链路故障的快速检测。
为了实现解决上述技术问题,本发明实施例提供如下技术方案:
本发明实施例提供一种在IPSec隧道中建立双向转发检测BFD的方法,该方法包括:
向对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
接收对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
向对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
接收对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
相应的,本发明实施例提供另一种在IPSec隧道中建立双向转发检测BFD的方法,该方法包括:
接收本端发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
向本端发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
接收本端发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
向本端发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
本发明实施例还提供一种利用BFD检测IPSec隧道故障的方法,该方法包括:
使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;
向对端传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;
若第一时间阈值内未收到对端的BFD会话,或者未收到对端针对所述BFD会话的响应报文,则与对端重新协商建立IPSec隧道或切换到备用IPSec隧道。
本发明实施例提供一种在IPSec隧道中建立双向转发检测BFD的装置,该装置包括:
第一消息发送模块,用于向对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
第一消息接收模块,用于接收对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
第二消息发送模块,用于向对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
第二消息接收模块,用于接收对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
相应的,本发明实施例提供另一种在IPSec隧道中建立双向转发检测BFD的装置,该装置包括:
第一消息接收模块,用于接收本端发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
第一消息发送模块,用于向本端发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
第二消息接收模块,用于接收本端发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
第二消息发送模块,用于向本端发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
本发明实施例还提供一种利用BFD检测IPSec隧道故障的装置,该装置包括:
BFD会话绑定模块,用于使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;
BFD会话传输模块,用于向对端传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;
故障处理模块,用于若第一时间阈值内未收到对端的BFD会话,或者未收到对端针对所述BFD会话的响应报文,则与对端重新协商建立IPSec隧道或切换到备用IPSec隧道。
本发明实施例还提供一种数据传输系统,该系统包括本端和对端,所述本端和对端之间具有通信连接,其中:
所述本端用于:向所述对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;接收所述对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;向所述对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;接收所述对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
所述对端用于:接收所述本端发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;向所述本端发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;接收所述本端发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;向所述本端发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
可见,本发明实施例通过将双向转发检测技术(BidirectionalForwarding Detection,BFD)与IPSec隧道结合,实现部署IPSec加密场景下链路故障的快速检测;并通过传输加密或非加密的BFD会话报文分别实现对传输路径及安全联盟状态的检测,有效解决当前安全组网等情况下维护难,故障定位难的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的在IPSec隧道中建立BFD的方法流程示意图;
图2为本发明实施例提供的在IPSec隧道中建立BFD的方法的交互流程示意图;
图3为本发明实施例提供的利用BFD检测IPSec隧道故障的方法流程示意图;
图4a为本发明实施例提供的一种利用BFD检测IPSec隧道故障的示例图;
图4b为本发明实施例提供的另一种利用BFD检测IPSec隧道故障的示例图;
图5a为本发明实施例提供的在IPSec隧道中建立BFD装置的功能模块示意图;
图5b为本发明实施例提供的利用BFD检测IPSec隧道故障装置的功能模块示意图;
图6为本发明实施例提供的无线LTE环境下eNodeB接入数据核心承载网的典型组网结构图;
图7为本发明实施例提供的数据传输系统的逻辑结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例一提供一种在IPSec隧道中建立双向转发检测BFD的方法,该方法在建立IPSec隧道的过程中同时协商建立BFD会话,主要应用于IPSec隧道的两端检测IPSec隧道的链路或两端的连通性或安全性。参照图1,该方法包括:
步骤S101、向对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
参照图2,在使用IKE协议协商IKE隧道的协商过程中,即本端向对端发送建立IKE隧道的请求报文中,在该请报文中携带BFD会话的请求消息,此时本端为IKE隧道和BFD会话的发起端。
优选的,BFD会话请求消息可以是IKE协议定义的VENDOR_ID类型的载荷,其内容为16字节的二进制数据,用来表示本端支持BFD检测技术。
步骤S102、接收对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
如果对端也支持本发明实施例所描述的BFD检测技术,那么对端会在接收到步骤S101的BFD会话请求消息是向本端发送一个确认消息,该确认消息也可以是携带在确认建立IKE隧道的报文中的VENDOR_ID类型的载荷(参照图2),用来表示对端页支持BFD检测技术。
步骤S103、向对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
通过步骤S101和步骤S102IPSec隧道的两端互相确认都支持BFD检测,且通过协商交互也建立了IKE隧道。此后,本端向对端发送建立IPSec隧道的请求报文,并在该建立IPSec隧道的请求报文中携带包含BFD会话配置信息的IKE通知载荷(参照图2),该通知载荷中包含的BFD会话配置信息有BFD会话的探测周期、探测模式、会话标识(可以实现为一个会话ID)、加密模式等。
在本发明实施例中BFD会话的加密模式包括加密和非加密两种,加密的BFD会话报文可以在IPSec隧道内传输,而非加密的BFD会话报文可以在IPSec隧道外传输。
需要说明的是,所谓的“IPSec隧道外”的意思仍然是在IPSec隧道的两端构成的链路上传输,只是没有经过IPSec加密技术的封装。
另外,本发明实施例中应用的BFD探测模式包括普通模式和查询模式两种。应用普通模式的IPSec隧道两端会一直定期或不定期的向对方发送BFD会话报文,如果一端一段时间内没有收到对端发送的BFD会话报文,就认为BFD会话失败(Down),同时说明IPSec隧道对端发生故障或中间传输路径发生故障;应用查询模式的IPSec隧道的一端如果想要检测对端或中间传输路径是否故障时,主动向对端发送BFD会话报文,然后等待对端的响应,如果对端没有相应的响应报文返回,则说明对端对端发生故障或中间传输路径发生故障。
步骤S104、接收对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
如果本端接收到包含IKE通知载荷确认消息的IPSec隧道确认报文,则说明IPSec隧道建立成功,而且BFD会话也建立成功(参照图2),因此,IPSec隧道的两端可以通过启动BFD会话来快速检测IPSec隧道故障。
下面通过本发明实施例在现有IPSec隧道建立方法中的三个具体应用说明一下步骤S103和步骤S104的实现过程。
表1
表1是IKE协议版本1(IKEv1)的快速模式协商过程:本端(发起者)向对端(接受者)发送消息,消息结构如下:
HDR*,HASH(1),SA,Ni[,KE][,IDci,IDcr][N(BFD)]
对端(接受者)接收到前述消息之后会返回一个如下的消息:
HDR*,HASH(2),SA,Nr[,KE][,IDci,IDcr][N(BFD)]
其中HDR表示IKE消息首部;HASH代表完整性保护载荷;SA代表IPSec安全联盟;Ni和Nr是随机数;KE为可选的DH(Diffie-Hellman)密钥交换;IDci,IDcr是ID标识。以上都是IKEv1在IPSec隧道建立过程中可能需要的参数,而N(BFD)是本发明新增的包含BFD会话配置信息的IKE通知载荷(N(BFD)只是一个通知载荷名称,并无限制的意思);BFD会话配置信息包括BFD会话的探测周期、探测模式、会话标识、加密模式等。消息中的中括号[]表示该载荷是可选的。
最后本端(发起者)会在向对端(接受者)发送一个形如“HDR*,HASH(3)”的确认消息,从而完成整个协商过程。
表2
表2是IKE协议版本2(IKEv2)的认证协商过程,本端(发起者)向对端(接受者)发送消息,消息结构如下:
HDR,SK{IDi,[CERT,][CERTREQ,][IDr,]AUTH,SAi2,TSi,TSr,N(BFD)}
对端(接受者)接收到前述消息之后会返回一个如下的消息:
HDR,SK{IDr,[CERT,]AUTH,SAr2,TSi,TSr,N(BFD)}
其中HDR与表1表示的意义相同,表示IKE消息首部;SAi2和SAr2代表IPSec安全联盟;CERTREQ代表证书请求;CERT是证书;IDi和IDr是ID标识;AUTH是认证载荷;TSi和TS2是流量选择载荷,N(BFD)是本发明新增的包含BFD会话配置信息的IKE通知载荷。
表3
表3是IKEv2子安全联盟协商过程:本端(发起者)向对端(接受者)发送消息,消息结构如下:
HDR,SK{[N],SA,Ni,[KEi],[TSi,TSr,N(BFD)]}
对端(接受者)接收到前述消息之后会返回一个如下的消息:
HDR,SK{SA,Nr,[KEr],[TSi,TSr],N(BFD)}
其中HDR与表1和表2表示的意义相同,表示IKE消息首部;SK表示其后大括号{}里的消息是加密的,且有完整性保护的;N和Ni都是随机数;Kei和Ker是密钥交换载荷;TSi和TS2是流量选择载荷,N(BFD)是本发明新增的包含BFD会话配置信息的IKE通知载荷。
以上示例只是目前常用的IPSec隧道建立方法应用本发明实施例的举例说明,并无限定的意思。只要应用本发明实施例提供的BFD会话建立方法的其它IPSec隧道建立过程也应在本发明实施例的保护范围之内。
需要说明的是,本发明实施例的本端和对端并无限定的意思,二者的角色可以互换。在步骤S101到步骤S104是本端执行的前提下,相应地,对端可以执行如下操作:
接收本端发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
向本端发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
接收本端发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
向本端发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
其中,所述BFD会话的配置信息包括探测周期、探测模式、会话标识、加密模式;所述加密模式包括加密和非加密模式,所述探测模式包括普通模式和查询模式。所述建立BFD会话的请求消息为IKE协议定义的VENDOR_ID类型的载荷。
综上所述,本发明实施例提供一种在IPSec隧道中建立双向转发检测BFD的方法,通过在IPSec隧道协商消息中携带BFD会话消息,从而在IPSec隧道协商建立的同时协商建立BFD会话,实现了部署IPSec加密场景下链路故障的快速检测,而且该方法配置简单易部署,检测周期短。
本发明实施例二在本发明实施例一的基础上提出一种利用BFD检测IPSec隧道故障的方法。IPSec隧道的本端10和对端20在协商建立IPSec隧道的时候也协商建立了BFD会话(详见图2),这样两端就可以通过现有的BFD检测技术通过发送BFD会话检测包来检测通信路径或IPSec隧道两端的故障。本发明实施例提出了区别于现有的BFD检测技术的检测方法,参照图3,该方法包括:
步骤S201、使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;
本端10和对端20都启动BFD会话,使用IPSec隧道的安全参数索引(Security Parameters Index,SPI)作为所述BFD会话的会话标识,从而实现BFD会话与所述IPSec隧道的绑定;
绑定BFD会话与IPSec隧道后,该BFD会话的生存周期可以与IPSec隧道相同,BFD会话的失败信息可以通过消息直接通知到绑定的IPSec隧道,从而保证IPSec隧道能及时针对BFD会话失败信息里描述的故障进行故障处理,例如重协商或切换至备用隧道等。
步骤S202、向对端传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;
这里加密与非加密的BFD报文分别对应本发明实施例一中描述的BFD加密模式和非加密模式。其中加密的BFD报文可以选择在IPSec隧道内传输,完成安全隧道两端安全联盟(Security Association,SA)有效性的检测;非加密的BFD报文可以选择在IPSec隧道外传输,完成安全隧道两端的传输路径检测。
步骤S203、若第一时间阈值内未收到对端的BFD会话,或者未收到对端针对所述BFD会话的响应报文,则与对端重新协商建立IPSec隧道或切换到备用IPSec隧道。其中,第一时间阈值的长度可以根据需求自定义。
如图4a所示,如果IPSec隧道的本端10第一时间阈值内没有收到对端20发送的BFD会话的报文,就认为BFD会话超时失败。这个过程一般对应本发明实施例一描述的BFD会话的普通模式,在普通模式下IPSec的两端会不停的向对方发送和接受对方发送的BFD会话报文,如果设定的阈值时间段内后没有收到对端的BFD报文,BFD会话就会超时失败。在普通模式下,对端20也可以同时检测是否在阈值时间段内收到本端10发送的BFD会话报文,若未接收到,就可以认为BFD会话超时失败。
如图4b所示,IPSec隧道的本端10没有收到对端20的BFD会话响应报文,则该BFD会话的报文传输失败。这个过程一般对应本发明实施例一中描述的BFD会话的查询模式,即IPSec的一端在需要时会主动发送BFD会话报文给对端20,然后等待对端20的响应,如果等待一段时间之后没有收到对端20的响应报文。当然本端10没有收到对端20的响应消息,有可能是本端10发送的BFD会话报文没有到达对端20,或者是对端20收到了消息,但是对端20由于故障而没有返回响应消息,或者是对端20的响应消息在传输过程中丢失了。无论上述那一种情况发生,BFD报文传输都失败,此时BFD会话会向所述绑定的IPSec隧道发送故障消息,IPSec隧道根据故障消息进行重协商或切换至备用隧道的处理。
综上所述,本发明实施例提供一种利用BFD检测IPSec隧道故障的方法,该方法通过使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;向对端传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;若第一时间阈值内未收到对端的BFD会话,或者未收到对端针对所述BFD会话的响应报文,则与对端重新协商建立IPSec隧道或切换到备用IPSec隧道,从而实现IPSec隧道故障的快速检测,而且通过配置隧道内外的不同BFD会话(加密/非加密),可分别实现对传输路径及安全隧道两端SA有效性的的检测,有效解决当前安全组网等情况下维护难、故障定位难的问题。
本发明实施例三提供一种在IPSec隧道中建立双向转发检测BFD的装置,如图5a所示,该装置可以存在于本发明实施例二中提到的本端10,该装置具体包括:
第一消息发送模块301,用于向对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
在向对端发送的建立IKE隧道的请求报文中携带BFD会话的请求消息,此时本端为IKE隧道和BFD会话的发起端。
优选的,BFD会话请求消息可以是IKE协议定义的VENDOR_ID类型的载荷,其内容为16字节的二进制数据,用来表示本端支持BFD检测技术。
第一消息接收模块302,用于接收对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
如果对端也支持本发明实施例所描述的BFD检测技术,那么对端会在接收到第一消息发送模块301的BFD会话请求消息是向本端发送一个确认消息,该确认消息也可以是携带在确认建立IKE隧道的报文中的VENDOR_ID类型的载荷,用来表示对端页支持BFD检测技术。
第二消息发送模块303,用于向对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
通过第一消息接收模块302和第二消息发送模块303,IPSec隧道的两端互相确认都支持BFD检测,且通过协商交互建立了IKE隧道。此后,本端向对端发送建立IPSec隧道的请求报文,并在该建立IPSec隧道的请求报文中携带包含BFD会话配置信息的IKE通知载荷N(BFD),其中N(BFD)只是表示该通知载荷的名称,并无限制的意思。该N(BFD)中包含的BFD会话配置信息有BFD会话的探测周期、探测模式、会话标识、加密模式等。
在本发明实施例中BFD会话的加密模式包括加密和非加密两种,加密的BFD会话报文可以在IPSec隧道内传输,而非加密的BFD会话报文可以在IPSec隧道外传输。
第二消息接收模块304,用于接收对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
如果本端接收到包含N(BFD)确认消息的IPSec隧道确认报文,则说明IPSec隧道建立成功,而且BFD会话也建立成功,因此,IPSec隧道的两端可以通过启动BFD会话来快速检测IPSec隧道故障。
相应的,对端20也可以包含一种在IPSec隧道中建立双向转发检测BFD的装置,该装置可以包括:
第一消息接收模块,用于接收本端发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
第一消息发送模块,用于向本端发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
第二消息接收模块,用于接收本端发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
第二消息发送模块,用于向本端发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
本端和对端中的上述模块主要用于完成BFD会话的协商,协商成功后可以用以下几个模块实现BFD会话报文的传输(参照图5b),从而实现IPSec隧道故障的快速检测:
BFD会话绑定模块401,用于使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;
本端和对端都包含该模块,用于在两端同时启动BFD会话,使用所述IPSec隧道的安全参数索引(Security Parameters Index,SPI)作为所述BFD会话的会话标识,从而实现BFD会话与所述IPSec隧道的绑定;
绑定BFD会话与IPSec隧道后,该BFD会话的生存周期可以与IPSec隧道相同,BFD会话的失败信息可以通过消息直接通知到绑定的IPSec隧道,从而保证IPSec隧道能及时针对BFD会话失败信息里描述的故障进行故障处理,例如重协商或切换至备用隧道等。
BFD会话传输模块402,用于向对端传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;
这里加密与非加密的BFD报文分别对应本发明实施例一中描述的BFD加密模式和非加密模式。其中加密的BFD报文可以选择在IPSec隧道内传输,完成安全隧道两端安全联盟(Security Association,SA)有效性的检测;非加密的BFD报文可以选择在IPSec隧道外传输,完成安全隧道两端的传输路径检测。
故障处理模块403,用于若第一时间阈值内未收到对端的BFD会话,或者未收到对端针对所述BFD会话的响应报文,则与对端重新协商建立IPSec隧道或切换到备用IPSec隧道。
如果IPSec隧道的对端没有收到所述BFD会话的报文,一段时间的等待后就认为BFD会话超时失败。这个过程一般对应本发明实施例一描述的BFD会话的普通模式,在普通模式下IPSec的两端会不停的向对方发送和接受对方发送的BFD会话报文,如果一段时间后没有收到对端的BFD报文,BFD会话就会超时失败。
IPSec隧道的本端没有收到对端的BFD会话响应报文,则该BFD会话的报文传输失败。这个过程一般对应本发明实施例一中描述的BFD会话的查询模式,即IPSec的一端在需要时会主动发送BFD会话报文给对端,然后等待对端的响应,如果等待一段时间之后没有收到对端的响应报文。当然本端没有收到对端的响应消息,有可能是本端发送的BFD会话报文没有到达对端20,或者是对端收到了消息,但是对端由于故障而没有返回响应消息,或者是对端的响应消息在传输过程中丢失了。无论上述那一种情况发生,BFD报文传输都失败,此时BFD会话会向所述绑定的IPSec隧道发送故障消息,IPSec隧道根据故障消息进行重协商或切换至备用隧道的处理。
图6是一个无线LTE环境下eNodeB接入数据核心承载网的典型组网结构图,其中eNodeB(501、502和503)通过租用线路接入承载网路由器504,进而接入核心承载网508;核心承载网408中的承载网路由器504与505和506基于MPLS/VPN相连;aGW507通过承载网路由器505和506接入到核心承载网络508(承载网路由器505和506可以一个是主用的,一个是备用的,以便于在链路出现故障时及时切换到一个状况良好的链路)。通过这种组网结构,eNodeB501、eNodeB502和eNodeB503可以通过运营商的核心承载网508和aGW507互通。
为了用户信息(IMSI信息、鉴权信息、身份、密码、账号等)的安全性考虑,eNodeB501、eNodeB502和eNodeB503接入核心承载网508的线路采用IPSec技术保护起来,与承载网路由器504之间形成IPSec隧道;aGW507与承载网路由器505和506之间也形成IPSec隧道。
如图7所示,本发明实施例四提供一种数据传输系统由本端10和对端20组成,其中:
本端10用于:向对端20发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;接收对端20发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;向对端20发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;接收对端20发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
对端20用于:接收本端10发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;向本端10发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;接收本端10发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;向本端10发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
进一步的,本端10还用于:使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;向对端20传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;若第一时间阈值内未收到对端20的BFD会话,或者未收到对端20针对所述BFD会话的响应报文,则与对端20重新协商建立IPSec隧道或切换到备用IPSec隧道。
需要说明的是,本端10和对端20可以是图6中的任意一个eNodeB和与之相连的承载网路由器504,或者是图6中的承载网路由器505或506和与之相连的aGW507,或者是其它数据传输装置形成的数据传输系统,只要应用本发明实施例提供的故障检测方法,都应视作在本发明保护范围之内。
另外,在本发明实施例中“本端”和“对端”只是数据传输系统中两端的名称,并没有限定eNodeB一定是“本端”,承载网路由器一定是“对端”的意思,两者完全可以反过来。同理,承载网路由器和aGW的谁是本端谁是对端也可以自定义。
在本发明实施例中,本端10和对端20在建立IPSec隧道30的过程中同时协商建立BFD会话,利用BFD会话的报文传输快速实现本系统传输路径或传输终端的故障检测。BFD会话报文可选择在IPSec隧道内加密传输,也可以选择在IPSec隧道外不加密传输,或者两者同时存在,非加密BFD会话报文用于完成安全隧道间的传输路径检测,加密BFD会话报文完成安全隧道两端安全联盟有效性的检测。例如图6中承载网路由器505与aGW507通过IPSec隧道连接构成一个数据传输系统,在数据传输过程中利用BFD会话报文的传输实现故障检测:在一种实现方式下,BFD会话报文在某一时刻aGW没有收到承载网路由器505的响应报文,那么说明链路出现故障或承载路由器505出现故障,此时aGW可以通过选择与承载网路由器505重新协商重新建立IPSec隧道和BFD会话,也可以选择将链路切换到备用承载路由器506上,其中链路切换可以采用VRRP(VirtualRouter Redundancy Protocol,虚拟路由冗余协议)协议实现。
本领域普通技术人员可以理解实现前述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件(如处理器)来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如前述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种在IPSec隧道中建立双向转发检测BFD的方法,其特征在于,所述方法包括:
向对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
接收对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
向对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
接收对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
2.根据权利要去1所述的方法,其特征在于,所述BFD会话的配置信息包括探测周期、探测模式、会话标识、加密模式;所述加密模式包括加密和非加密模式,所述探测模式包括普通模式和查询模式。
3.根据权利要去1所述的方法,其特征在于,所述建立BFD会话的请求消息为IKE协议定义的VENDOR_ID类型的载荷。
4.一种在IPSec隧道中建立双向转发检测BFD的方法,其特征在于,所述方法包括:
接收本端发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
向本端发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
接收本端发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
向本端发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
5.根据权利要求4所述的方法,其特征在于,所述BFD会话的配置信息包括探测周期、探测模式、会话标识、加密模式;所述加密模式包括加密和非加密模式,所述探测模式包括普通模式和查询模式。
6.根据权利要去4所述的方法,其特征在于,所述建立BFD会话的请求消息为IKE协议定义的VENDOR_ID类型的载荷。
7.一种利用BFD检测IPSec隧道故障的方法,其特征在于,所述方法包括:
使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;
向对端传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;
若第一时间阈值内未收到对端的BFD会话,或者未收到对端针对所述BFD会话的响应报文,则与对端重新协商建立IPSec隧道或切换到备用IPSec隧道。
8.一种在IPSec隧道中建立双向转发检测BFD的装置,其特征在于,所述装置包括:
第一消息发送模块,用于向对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
第一消息接收模块,用于接收对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
第二消息发送模块,用于向对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
第二消息接收模块,用于接收对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
9.一种在IPSec隧道中建立双向转发检测BFD的装置,其特征在于,所述装置包括:
第一消息接收模块,用于接收本端发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;
第一消息发送模块,用于向本端发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;
第二消息接收模块,用于接收本端发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;
第二消息发送模块,用于向本端发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
10.一种利用BFD检测IPSec隧道故障的装置,其特征在于,所述装置包括:
BFD会话绑定模块,用于使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;
BFD会话传输模块,用于向对端传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;
故障处理模块,用于若第一时间阈值内未收到对端的BFD会话,或者未收到对端针对所述BFD会话的响应报文,则与对端重新协商建立IPSec隧道或切换到备用IPSec隧道。
11.一种数据传输系统,其特征在于,所述系统包括本端和对端,所述本端和对端之间具有通信连接,其中:
所述本端用于:向所述对端发送密钥交换协议IKE隧道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;接收所述对端发送的IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;向所述对端发送IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;接收所述对端发送的IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
所述对端用于:接收所述本端发送的IKE遂道的创建请求报文,所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息;向所述本端发送IKE隧道的创建确认报文,所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息;接收所述本端发送的IPSec隧道的创建请求报文,所述IPSec隧道的创建请求报文中携带IKE通知载荷,所述IKE通知载荷包含BFD会话的配置信息;向所述本端发送IPSec隧道的创建确认报文,所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。
12.根据权利要求11所述的系统,其特征在于,
所述本端还用于:使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识;向所述对端传输非加密的BFD会话,或者加密的BFD会话,或者两者都传输,所述BFD会话包括所述BFD会话的会话标识;若第一时间阈值内未收到所述对端的BFD会话,或者未收到所述对端针对所述BFD会话的响应报文,则与所述对端重新协商建立IPSec隧道或切换到备用IPSec隧道。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210020413.7A CN102571497B (zh) | 2012-01-29 | 2012-01-29 | 一种IPSec隧道故障检测的方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210020413.7A CN102571497B (zh) | 2012-01-29 | 2012-01-29 | 一种IPSec隧道故障检测的方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102571497A true CN102571497A (zh) | 2012-07-11 |
CN102571497B CN102571497B (zh) | 2016-03-30 |
Family
ID=46416017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210020413.7A Expired - Fee Related CN102571497B (zh) | 2012-01-29 | 2012-01-29 | 一种IPSec隧道故障检测的方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102571497B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102769514A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 防止丢失数据的方法及系统 |
CN102891766A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
CN103401754A (zh) * | 2013-07-30 | 2013-11-20 | 杭州华三通信技术有限公司 | 一种堆叠链路建立方法、设备及系统 |
CN103475646A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止恶意esp报文攻击的方法 |
CN103547334A (zh) * | 2013-04-28 | 2014-01-29 | 华为技术有限公司 | 一种通道建立方法、基站及通道建立系统 |
CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
CN108023891A (zh) * | 2017-12-12 | 2018-05-11 | 北京安博通科技股份有限公司 | 一种基于ipsec的隧道切换方法、装置及网关 |
CN109150659A (zh) * | 2018-08-16 | 2019-01-04 | 新华三技术有限公司 | 一种处理器及bfd报文传输方法 |
CN109617717A (zh) * | 2018-11-30 | 2019-04-12 | 锐捷网络股份有限公司 | IPSec SA的检测方法及装置 |
CN105099805B (zh) * | 2014-05-16 | 2019-05-07 | 新华三技术有限公司 | 一种双向转发检测方法及系统 |
CN110138631A (zh) * | 2019-03-25 | 2019-08-16 | 视联动力信息技术股份有限公司 | 一种视联网隧道的连通性检测方法及终端设备 |
CN111327394A (zh) * | 2018-12-17 | 2020-06-23 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
CN112468357A (zh) * | 2020-10-26 | 2021-03-09 | 网络通信与安全紫金山实验室 | IPsec隧道连通性快速检测方法、检测系统及存储介质 |
CN113726593A (zh) * | 2021-07-31 | 2021-11-30 | 新华三信息安全技术有限公司 | 一种隧道故障检测方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1901468A (zh) * | 2006-07-19 | 2007-01-24 | 华为技术有限公司 | 网际协议多跳情况下进行特定路径故障检测的方法和网络 |
CN1909501A (zh) * | 2005-08-05 | 2007-02-07 | 华为技术有限公司 | 一种端到端业务快速收敛的方法和路由设备 |
CN101132320A (zh) * | 2007-09-18 | 2008-02-27 | 华为技术有限公司 | 检测接口故障的方法及网络节点设备 |
CN101622851A (zh) * | 2007-01-12 | 2010-01-06 | 艾利森电话股份有限公司 | 用于为高速环境提供对端活跃度的方法和系统 |
CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
-
2012
- 2012-01-29 CN CN201210020413.7A patent/CN102571497B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1909501A (zh) * | 2005-08-05 | 2007-02-07 | 华为技术有限公司 | 一种端到端业务快速收敛的方法和路由设备 |
CN1901468A (zh) * | 2006-07-19 | 2007-01-24 | 华为技术有限公司 | 网际协议多跳情况下进行特定路径故障检测的方法和网络 |
CN101622851A (zh) * | 2007-01-12 | 2010-01-06 | 艾利森电话股份有限公司 | 用于为高速环境提供对端活跃度的方法和系统 |
CN101132320A (zh) * | 2007-09-18 | 2008-02-27 | 华为技术有限公司 | 检测接口故障的方法及网络节点设备 |
CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102769514B (zh) * | 2012-07-27 | 2015-04-22 | 汉柏科技有限公司 | 防止丢失数据的方法及系统 |
CN102769514A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 防止丢失数据的方法及系统 |
CN102891766A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
CN102891766B (zh) * | 2012-09-25 | 2015-04-22 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
CN103547334A (zh) * | 2013-04-28 | 2014-01-29 | 华为技术有限公司 | 一种通道建立方法、基站及通道建立系统 |
WO2014176718A1 (zh) * | 2013-04-28 | 2014-11-06 | 华为技术有限公司 | 一种通道建立方法、基站及通道建立系统 |
CN103401754A (zh) * | 2013-07-30 | 2013-11-20 | 杭州华三通信技术有限公司 | 一种堆叠链路建立方法、设备及系统 |
CN103401754B (zh) * | 2013-07-30 | 2017-03-08 | 杭州华三通信技术有限公司 | 一种堆叠链路建立方法、设备及系统 |
CN103475646A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止恶意esp报文攻击的方法 |
CN105099805B (zh) * | 2014-05-16 | 2019-05-07 | 新华三技术有限公司 | 一种双向转发检测方法及系统 |
CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
CN105591926B (zh) * | 2015-12-11 | 2019-06-07 | 新华三技术有限公司 | 一种流量保护方法及装置 |
CN108023891A (zh) * | 2017-12-12 | 2018-05-11 | 北京安博通科技股份有限公司 | 一种基于ipsec的隧道切换方法、装置及网关 |
CN109150659A (zh) * | 2018-08-16 | 2019-01-04 | 新华三技术有限公司 | 一种处理器及bfd报文传输方法 |
CN109617717A (zh) * | 2018-11-30 | 2019-04-12 | 锐捷网络股份有限公司 | IPSec SA的检测方法及装置 |
CN111327394A (zh) * | 2018-12-17 | 2020-06-23 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
CN111327394B (zh) * | 2018-12-17 | 2022-10-11 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
CN110138631A (zh) * | 2019-03-25 | 2019-08-16 | 视联动力信息技术股份有限公司 | 一种视联网隧道的连通性检测方法及终端设备 |
CN112468357A (zh) * | 2020-10-26 | 2021-03-09 | 网络通信与安全紫金山实验室 | IPsec隧道连通性快速检测方法、检测系统及存储介质 |
CN113726593A (zh) * | 2021-07-31 | 2021-11-30 | 新华三信息安全技术有限公司 | 一种隧道故障检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN102571497B (zh) | 2016-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102571497B (zh) | 一种IPSec隧道故障检测的方法、装置及系统 | |
Brachmann et al. | End-to-end transport security in the IP-based internet of things | |
CN102801695B (zh) | 虚拟专用网通信设备及其数据包传输方法 | |
CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
TWI362859B (zh) | ||
KR101159441B1 (ko) | Lte 모바일 유닛에서의 비접속 계층(nas) 보안을 가능하게 하는 방법 및 장치 | |
EP1746801A2 (en) | Transmission of packet data over a network with a security protocol | |
CN101405987B (zh) | 无线系统的非对称加密 | |
TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
Cam-Winget et al. | The flexible authentication via secure tunneling extensible authentication protocol method (EAP-FAST) | |
WO2009082889A1 (fr) | Procédé de négociation pour échange de clés internet et dispositif et système associés | |
CN101572644B (zh) | 一种数据封装方法和设备 | |
WO2010036157A1 (en) | Key distribution to a set of routers | |
US11431728B2 (en) | Method and management node in a communication network, for supporting management of network nodes based on LLDP messages | |
US11552994B2 (en) | Methods and nodes for handling LLDP messages in a communication network | |
US11006346B2 (en) | X2 service transmission method and network device | |
US11722561B2 (en) | DTLS/SCTP enhancements for RAN signaling purposes | |
CN102868523A (zh) | 一种ike协商方法 | |
CN109688115A (zh) | 一种数据安全传输系统 | |
WO2012092858A2 (zh) | X2安全通道建立方法与系统、以及基站 | |
CN114765805A (zh) | 一种通信方法、网络设备、基站及计算机可读存储介质 | |
Cybersecurity et al. | Guide to ipsec vpns | |
JP2005065004A (ja) | 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム | |
Fu et al. | ISCP: Design and implementation of an inter-domain Security Management Agent (SMA) coordination protocol | |
CN117134933A (zh) | 加密通信方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160330 Termination date: 20180129 |