CN102594785A - Ip安全隧道建立方法和装置 - Google Patents
Ip安全隧道建立方法和装置 Download PDFInfo
- Publication number
- CN102594785A CN102594785A CN2011100086066A CN201110008606A CN102594785A CN 102594785 A CN102594785 A CN 102594785A CN 2011100086066 A CN2011100086066 A CN 2011100086066A CN 201110008606 A CN201110008606 A CN 201110008606A CN 102594785 A CN102594785 A CN 102594785A
- Authority
- CN
- China
- Prior art keywords
- link
- equipment
- way
- secure tunnel
- trace information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种IP安全隧道建立方法和装置,所述方法包括:根据需加密流量的跟踪TRACE信息确定所述需加密流量的至少一条链路及所述至少一条链路上的沿途设备;针对所述TRACE信息中指示的每一条链路,依次从远到近逐跳尝试与所述链路上的沿途设备建立IP安全隧道;当与每一条链路上的一个沿途设备的尝试建立成功时,则停止尝试,确定所述链路上的需加密流量的IP安全隧道建立完成。通过本发明实施例的方法和装置,可以自动生成最长IP安全隧道,提供更多网络安全保护。
Description
技术领域
本发明涉及网络领域,尤其涉及一种IP安全隧道建立方法和装置。
背景技术
因特网(Internet)又叫做国际互联网,它是由使用公用语言互相通信的计算机连接而成的全球网络,是一种真正意义的全球网,随着Internet的快速扩张,人们对它的依赖程度也越来越高,因此迫切需要加密技术来保证通信的安全。
例如,对一家打算从事电子商务的公司而言,通信的安全是一个最基本的前提,对于像信用卡号码这样的敏感信息来说,它们必须得以有效的保护,而且商家必须能对每一笔业务进行验证和授权。再例如,商家可通过Internet连接分散于各地的办事机构或子公司,电子邮件(甚至电话)可通过Internet在办事机构之间路由传送,由于敏感的公司内部资料也可能通过这种链路传输,所以对于安全保密的要求也是显而易见的。此外,每个连接到Internet上的用户也都需要、而且有权利保护自己的个人隐私。还有,随着消费类电器越来越向Internet靠拢,对安全的要求也日益迫切。
IPSec(因特网协议安全性,简称IP安全)正是这样一种Internet的加密技术,它为IP(Internet Protocol,网络之间互连的协议)数据报提供了高质量的、可互操作的、基于密码学的安全性。现有IPSec加密技术采用首台设备发送探针报文方式,沿途设备接收到报文后透传报文,并且通知首台设备,从而建立IPSec隧道,进行加密。然而,这种加密技术不仅需要路径上的所有设备支持探针处理功能,而且当路径中存在多链路负载分担情况时,就无法处理,导致加密失败、信息泄漏。
发明内容
本发明实施例提供一种IP安全隧道建立方法和装置,以解决目前IP安全隧道建立过程中的种种缺陷。
本发明实施例的上述目的是通过如下技术方案实现的:
一种IP安全隧道建立方法,所述方法包括:
根据需加密流量的跟踪TRACE信息确定所述需加密流量的至少一条链路及所述至少一条链路上的沿途设备;
针对所述TRACE信息中指示的每一条链路,依次从远到近逐跳尝试与所述链路上的沿途设备建立IP安全隧道;
当与每一条链路上的一个沿途设备的尝试建立成功时,则停止尝试,确定所述链路上的需加密流量的IP安全隧道建立完成。
一种IP安全隧道建立装置,所述装置包括:
第一确定单元,用于根据需加密流量的跟踪TRACE信息确定所述需加密流量的至少一条链路及所述至少一条链路上的沿途设备;
建立单元,用于针对所述TRACE信息中指示的每一条链路,依次从远到近逐跳尝试与所述链路上的沿途设备建立IP安全隧道;
第二确定单元,用于当与每一条链路上的一个沿途设备的尝试建立成功时,则停止尝试,确定所述需加密流量的IP安全隧道建立完成。
一种网络设备,所述网络设备包括前述的IP安全隧道建立装置。
通过本发明实施例的方法和装置,可以自动生成最长IP安全隧道,提供更多网络安全保护。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为本发明实施例的IP安全隧道建立方法的流程图;
图2为单链路多跳非负载分担情况下的IP安全隧道建立流程示意图;
图3为多链路多跳负载分担情况下的IP安全隧道建立流程示意图;
图4为本发明实施例提供的一种IP安全隧道建立装置的组成框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
图1为本发明实施例提供的一种IP安全隧道建立方法的流程图,请参照图1,该方法包括:
步骤101:根据需加密流量的跟踪TRACE信息确定所述需加密流量的至少一条链路及所述至少一条链路上的沿途设备;
其中,TRACE信息即为跟踪信息,由于信息的传送是通过网络中许多段的传输介质和设备(路由器,交换机,服务器,网关等等)从一端到达另一端,因此,通过Traceroute(路由跟踪)功能跟踪可以获得该信息沿途经过的所有设备的IP地址。在本实施例中,由该TRACE信息可以获得需加密流量经过的路径及其沿途设备。
其中,当需加密流量到达时,可以根据该需加密流量的目的IP地址获取该需加密流量的TRACE信息,该TRACE信息可以通过配置保存在本地;也可以保存在网络端,再通过TRACE方式获得,本实施例并不以此作为限制。
其中,得到了该需加密流量的TRACE信息,即可根据该TRACE信息确定该需加密流量的链路,及该链路上的沿途设备。在本实施例中,该需加密流量的链路可能为一条,也可能为两条或者更多,本实施例并不以此作为限制。
步骤102:针对所述TRACE信息中指示的每一条链路,依次从远到近逐跳尝试与所述链路上的沿途设备建立IP安全隧道;
其中,如果该TRACE信息中不存在链路负载分担,即该需加密流量只有一条链路到达目的地,则本实施例根据该链路上的沿途设备与本地的距离,从远到近逐跳尝试与该链路上的沿途设备建立IP安全隧道。
其中,如果该TRACE信息中存在链路负载分担,例如该需加密流量有两条链路到达目的地,则本实施例对于每一条链路,依次从远到近逐跳尝试与这条链路上的沿途设备建立IP安全隧道。由于这两条链路上的有些沿途设备是相同的,有些是不同的,则对于相同的沿途设备,只需要尝试一次建立IP安全隧道即可;对于不同的沿途设备,要分别尝试与其建立IP安全隧道,直到尝试建立成功。
其中,如果该TRACE信息中存在链路负载分担,例如该需加密流量有两条以上的链路到达目的地,则本实施例可以采用与前述两条链路相同的方法尝试与每一条链路上的沿途设备建立IP安全隧道,这里不再赘述。
步骤103:当与每一条链路上的一个沿途设备的尝试建立成功时,则停止尝试,确定所述链路上的需加密流量的IP安全隧道建立完成。
其中,与一条链路上的一个沿途设备的尝试建立成功,意味着该条链路上的最长IP安全隧道建立成功,则对于该条链路停止尝试与其他沿途设备建立IP安全隧道。
由此,为该需加密流量的每一条链路建立起了最长IP安全隧道,在每一条链路上建立起的最长IP安全隧道上,该需加密流量可以被加密保护。
在本实施例中,当定时维护加密流量的TRACE信息后,可以通过本实施例的方法由远到近尝试建立比当前IP安全隧道更长的链路,当建立新的更长的IP安全隧道时,可以匹配最新IP安全隧道流量进行切换。当IP安全隧道老化时,可以通过本实施例的方法重新获取TRACE信息,尝试建立最长IP安全隧道。
本实施例的方法采用TRACE方式获取沿途设备信息,按照TRACE路径从远到近逐跳尝试发起IP安全隧道建立请求,以自动建立最长的IP安全隧道。同时本实施例的方法还支持负载分担,流量可以进入不同IP安全隧道分别加密。
本实施例的方法可以应用于基于IP的点对点的隧道协议,例如通过本实施例的方法自动建立最长隧道的GRE(Generic Routing Encapsulation,通用路由封装)本实施例并不以此作为限制。
为了使本实施例的方法更加清楚易懂,以下以单链路多跳非负载分担情况以及多链路多跳负载分担情况分别举例,对本实施例的方法进行详细说明。
图2为单链路多跳非负载分担情况下的IP安全隧道建立示意图,请参照图2,在本实施例中,需加密流量经过PE1时,PE1根据该需加密流量的目的IP地址获取该需加密流量的TRACE信息,通过该TRACE信息确定该需加密流量的沿途设备信息,由远到近分别是PE4、P3、P2,根据本实施例的方法,依次由远到近分别与这些沿途设备尝试建立IP安全隧道,第一步尝试和PE4建立IP安全隧道,在本实施例中,PE4不支持IP安全功能,因此尝试建立失败;第二步尝试和P3建立IP安全隧道,在本实施例中,P3支持IP安全功能,因此尝试建立成功。由此,IP安全隧道建立完成,由PE1到P3,这两台设备间的流量被加密保护。
图3为多链路多跳负载分担情况下的IP安全隧道建立示意图,请参照图3,在本实施例中,需加密流量经过PE1时,PE1根据该需加密流量的目的IP地址获取该需加密流量的TRACE信息,通过该TRACE信息确定该需加密流量的沿途设备信息,由远到近分别是PE4、P3和P5、P2,由此可见,该TRACE信息中存在链路负载分担。根据本实施例的方法,依次由远到近分别与这些沿途设备尝试建立IP安全隧道,第一步尝试和PE4建立IP安全隧道,在本实施例中,PE4不支持IP安全功能,因此尝试建立失败;第二步尝试和P3、P5分别建立IP安全隧道,P3和P5都支持IP安全功能,因此尝试建立成功。由此,两条IP安全隧道建立完成,由PE1到P3,由PE1到P5,这些设备间流量被加密保护。从而原始需加密流量实现了流量的负载分担加密。
通过本实施例的方法,可以自动生成最长IP安全隧道,提供网络更多安全保护。本实施例的方法同样适用于其他点对点协议的自动最长隧道建立。应用本实施例的方法建立IP安全隧道时,只需发起端支持本实施例的方法,响应端无需支持,向前兼容性好。同时可以实现不同路径建立IP安全隧道间的负载分担。
图4为本发明实施例提供的一种IP安全隧道建立装置的组成框图,请参照图4,该装置包括:
第一确定单元41,用于根据需加密流量的跟踪TRACE信息确定该需加密流量的至少一条链路及该至少一条链路上的沿途设备;
建立单元42,用于针对该TRACE信息中指示的每一条链路,依次从远到近逐跳尝试与该链路上的沿途设备建立IP安全隧道;
第二确定单元43,用于当与每一条链路上的一个沿途设备的尝试建立成功时,则停止尝试,确定该需加密流量的IP安全隧道建立完成。
在一个实施例中,建立单元42具体用于:对于不同链路上的相同沿途设备,只尝试一次与所述相同沿途设备建立IP安全隧道;对于不同链路上的不同沿途设备,分别尝试与所述不同沿途设备建立IP安全隧道。
在一个实施例中,该装置还包括:
获取单元44,用于在接收到需加密流量时,根据该需加密流量的目的IP地址获取该需加密流量的TRACE信息。
本实施例的装置的各组成部分分别用于实现图1所示实施例的方法的各步骤,由于在图1所示实施例的方法中,已经对各步骤进行了详细说明,在此不再赘述。
在本实施例中,该IP安全隧道建立装置可以包含于网络设备中。
本实施例的装置采用TRACE方式获取沿途设备信息,按照TRACE路径从远到近逐跳尝试发起IP安全隧道建立请求,以自动建立最长的IP安全隧道。同时本实施例的方法还支持负载分担,流量可以进入不同IP安全隧道分别加密。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种IP安全隧道建立方法,其特征在于,所述方法包括:
根据需加密流量的跟踪TRACE信息确定所述需加密流量的至少一条链路及所述至少一条链路上的沿途设备;
针对所述TRACE信息中指示的每一条链路,依次从远到近逐跳尝试与所述链路上的沿途设备建立IP安全隧道;
当与每一条链路上的一个沿途设备的尝试建立成功时,则停止尝试,确定所述链路上的需加密流量的IP安全隧道建立完成。
2.根据权利要求1所述的方法,其特征在于,针对所述TRACE信息中指示的每一条链路,依次从远到近逐跳尝试与所述链路上的沿途设备建立IP安全隧道,包括:
对于不同链路上的相同沿途设备,只尝试一次;
对于不同链路上的不同沿途设备,分别尝试与所述不同沿途设备建立IP安全隧道。
3.根据权利要求1所述的方法,其特征在于,根据需加密流量的跟踪TRACE信息确定所述需加密流量的至少一条链路及所述至少一条链路上的沿途设备之前,所述方法还包括:
当接收到需加密流量时,根据所述需加密流量的目的IP地址获取所述需加密流量的TRACE信息。
4.一种IP安全隧道建立装置,其特征在于,所述装置包括:
第一确定单元,用于根据需加密流量的跟踪TRACE信息确定所述需加密流量的至少一条链路及所述至少一条链路上的沿途设备;
建立单元,用于针对所述TRACE信息中指示的每一条链路,依次从远到近逐跳尝试与所述链路上的沿途设备建立IP安全隧道;
第二确定单元,用于当与每一条链路上的一个沿途设备的尝试建立成功时,则停止尝试,确定所述需加密流量的IP安全隧道建立完成。
5.根据权利要求4所述的装置,其特征在于,所述建立单元具体用于:对于不同链路上的相同沿途设备,只尝试一次与所述相同沿途设备建立IP安全隧道;对于不同链路上的不同沿途设备,分别尝试与所述不同沿途设备建立IP安全隧道。
6.根据权利要求4所述的装置,其特征在于,所述装置还包括:
获取单元,用于在接收到需加密流量时,根据所述需加密流量的目的IP地址获取所述需加密流量的TRACE信息。
7.一种网络设备,其特征在于,所述网络设备包括权利要求4-6任一项所述的IP安全隧道建立装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008606.6A CN102594785B (zh) | 2011-01-14 | 2011-01-14 | Ip安全隧道建立方法、装置和网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008606.6A CN102594785B (zh) | 2011-01-14 | 2011-01-14 | Ip安全隧道建立方法、装置和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102594785A true CN102594785A (zh) | 2012-07-18 |
| CN102594785B CN102594785B (zh) | 2015-09-30 |
Family
ID=46482993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110008606.6A Expired - Fee Related CN102594785B (zh) | 2011-01-14 | 2011-01-14 | Ip安全隧道建立方法、装置和网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102594785B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104852848A (zh) * | 2015-04-20 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种数据传输的方法和设备 |
| CN107171972A (zh) * | 2013-02-28 | 2017-09-15 | 华为终端有限公司 | 一种基于多链路的数据传输方法及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080080507A1 (en) * | 2006-09-29 | 2008-04-03 | George Swallow | Directed echo requests and reverse traceroute |
| CN101286896A (zh) * | 2008-06-05 | 2008-10-15 | 上海交通大学 | 基于流的IPSec VPN协议深度检测方法 |
| US7440452B1 (en) * | 1998-07-24 | 2008-10-21 | Fieldpoint Networks, Inc. | Automated operation and security system for virtual private networks |
-
2011
- 2011-01-14 CN CN201110008606.6A patent/CN102594785B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7440452B1 (en) * | 1998-07-24 | 2008-10-21 | Fieldpoint Networks, Inc. | Automated operation and security system for virtual private networks |
| US20080080507A1 (en) * | 2006-09-29 | 2008-04-03 | George Swallow | Directed echo requests and reverse traceroute |
| CN101286896A (zh) * | 2008-06-05 | 2008-10-15 | 上海交通大学 | 基于流的IPSec VPN协议深度检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 王邦礼: "IPsec隧道终点发现技术研究", 《信息安全与通信保密》 * |
| 蔡玮珺,黄皓: "DDoS攻击IP追踪及攻击源定位技术研究", 《计算机工程》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107171972A (zh) * | 2013-02-28 | 2017-09-15 | 华为终端有限公司 | 一种基于多链路的数据传输方法及设备 |
| CN107171972B (zh) * | 2013-02-28 | 2020-10-09 | 华为终端有限公司 | 一种基于多链路的数据传输方法及设备 |
| CN104852848A (zh) * | 2015-04-20 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种数据传输的方法和设备 |
| CN104852848B (zh) * | 2015-04-20 | 2019-04-09 | 新华三技术有限公司 | 一种数据传输的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102594785B (zh) | 2015-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| EP2341724B1 (en) | System and method for secure transaction of data between wireless communication device and server | |
| CN107534665B (zh) | 利用ssl会话票证扩展的可扩缩中间网络设备 | |
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
| TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
| CN107105060A (zh) | 一种实现电动汽车信息安全的方法 | |
| JPWO2008146395A1 (ja) | ネットワーク中継装置、通信端末及び暗号化通信方法 | |
| CN105376239A (zh) | 一种支持移动终端进行IPSec VPN报文传输方法及装置 | |
| CN106878133B (zh) | 报文转发方法及装置 | |
| CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
| CN103188351A (zh) | IPv6 环境下IPSec VPN 通信业务处理方法与系统 | |
| CN107005400A (zh) | 业务处理方法及装置 | |
| CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
| WO2018161862A1 (zh) | 私钥生成方法、设备以及系统 | |
| CN101197828B (zh) | 一种安全arp的实现方法及网络设备 | |
| CN109981820A (zh) | 一种报文转发方法及装置 | |
| CN104735037A (zh) | 一种网络认证方法、装置及系统 | |
| CN102970277A (zh) | 一种多源安全关联建立方法及系统 | |
| CN102594785B (zh) | Ip安全隧道建立方法、装置和网络设备 | |
| CN105763330A (zh) | 一种适用于电路域加密通信的轻量级证书及加密通信方法 | |
| CN103139774B (zh) | 短消息业务处理方法与短消息业务处理系统 | |
| CN109688115A (zh) | 一种数据安全传输系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150930 Termination date: 20190114 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |