CN102752317A - 对ipsec报文加解密的方法及系统 - Google Patents
对ipsec报文加解密的方法及系统 Download PDFInfo
- Publication number
- CN102752317A CN102752317A CN2012102641523A CN201210264152A CN102752317A CN 102752317 A CN102752317 A CN 102752317A CN 2012102641523 A CN2012102641523 A CN 2012102641523A CN 201210264152 A CN201210264152 A CN 201210264152A CN 102752317 A CN102752317 A CN 102752317A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- tunnel
- priority
- ipsec tunnel
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对IPSEC报文加解密的方法及系统,涉及网络通信技术领域,所述方法包括:S1:当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;S2:调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。本发明通过将最低优先级IPSEC隧道调整为不加密状态,增加了网络设备对于报文的处理能力,当网络设备在异常情况下,防止了网络拥堵和正常报文丢失。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种对IPSEC报文加解密的方法及系统。
背景技术
因特网密钥交换协议IKE在协商的过程中,会生成一级隧道和二级隧道,通常把一级隧道叫IKE隧道,二级隧道叫Internet协议安全性(IPSEC)隧道。对网络的带宽设计成500M的组网规模时,报文全部加密设备带宽可以承受,但当受到攻击等异常情况下时,可能网络带宽占用会暴增到1G,形成网络拥堵,导致正常报文丢失。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:当网络设备在异常情况下,如何防止网络拥堵和正常报文丢失。
(二)技术方案
为解决上述技术问题,本发明提供了一种对IPSEC报文加解密的方法,所述方法包括:
S1:当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;
S2:调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。
其中,在步骤S2之前,所述方法还包括:
判断所述当前端和对端之间在预设时间内的流量是否均超过了预设阈值,若是,则执行后续步骤。
其中,在步骤S2之前,所述方法还包括:
判断所述当前端和对端之间所传输的数据报文是否出现解密失败,若是,则执行后续步骤。
其中,所述IPSEC SA包括:安全参数索引SPI、IP目的地址、安全协议和加密参数,所述加密参数为反映是否需要加密的标志参数、且其初始值默认为加密状态。
其中,在步骤S2中具体包括:
S21:获取所述当前端和对端之间的当前流量,判断所述当前流量是否超过了第一流量阈值,若是,则调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一IPSEC SA;
S22:所述第一IPSEC SA将所述多个IPSEC隧道中最低优先级IPSEC隧道调整为不加密状态。
其中,调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一IPSEC SA具体包括:
S211:所述当前端向所述对端发送请求报文;
S212:所述对端在接收到所述请求报文之后,与所述当前端进行协商;
S213:将所述第一IPSEC SA中的加密参数设臵为不加密状态。
其中,步骤S22之后,还包括:
S23:判断所述当前流量是否超过了第二流量阈值,若是,则调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二IPSEC SA;
S24:所述第二IPSEC SA将所述多个IPSEC隧道中第二低优先级IPSEC隧道调整为不加密状态。
其中,调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二IPSEC SA具体包括:
S231:所述当前端向所述对端发送请求报文;
S212:所述对端在接收到所述请求报文之后,与所述当前端进行协商;
S213:将所述第二IPSEC SA中的加密参数设臵为不加密状态。
本发明还公开了一种对IPSEC报文加解密的系统,所述系统包括:
优先级分配模块,用于当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;
SA调整模块,用于调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。
(三)有益效果
本发明通过将最低优先级IPSEC隧道调整为不加密状态,增加了网络设备对于报文的处理能力,当网络设备在异常情况下,防止了网络拥堵和正常报文丢失。
附图说明
图1是按照本发明一种实施方式的对IPSEC报文加解密的方法的流程图;
图2是按照本发明一种实施方式的对IPSEC报文加解密的系统的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
假设一种带IPSEC功能的三层网络设备,在正常情况下对加密数据报文的处理速度可达到600M,而由于网络设备进行加密占用了较多资源,在不加密状态(即不对数据报文进行加密)下可达到1G。
图1是按照本发明一种实施方式的对IPSEC报文加解密的方法的流程图;参照图1,所述方法包括:
S1:当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级(由于IPSEC隧道是通过访问控制列表ACL来传输不同数据流,而有些数据流的优先级较低,例如,在线电影、在线音乐之类的数据流,其安全需求并不高,即使被黑客拦截数据,对于用户而言,并没有损失,因此对于此类数据流可分配较低优先级,而对于邮件、网上银行等数据流,其安全需求较高,被黑客拦截数据,对于用户而言,损失可能非常巨大,因此对于此类数据流可分配较高优先级),所述多个为至少两个;
S2:调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态(所述不加密状态即为在该IPSEC隧道内传输的数据报文不加密,但需要照常对所述数据报文设臵数据报头);其中,所述IPSEC SA包括:安全参数索引SPI、IP目的地址、安全协议和加密参数,所述加密参数为反映是否需要加密的标志参数、且其初始值默认为加密状态。。
当网络设备在异常状态时,例如:受到攻击或遭受网络洪流,才会触发上述步骤S2,因此,而处于异常状态一般具有两种表现形式:即流量很大或数据报文解密失败,因此步骤S2具有两种触发方式:
第一种触发方式,在步骤S2之前,所述方法还包括:
判断所述当前端和对端之间在预设时间内的流量是否均超过了预设阈值,若是,则执行后续步骤。
第二种触发方式,在步骤S2之前,所述方法还包括:
判断所述当前端和对端之间所传输的数据报文是否出现解密失败,若是,则执行后续步骤。
优选地,在步骤S2中具体包括:
S21:获取所述当前端和对端之间的当前流量,判断所述当前流量是否超过了第一流量阈值(本实施方式中,所述第一流量阈值为300M,但并不限定本发明的保护范围),若是,则调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一IPSEC SA;
S22:所述第一IPSEC SA将所述多个IPSEC隧道中最低优先级IPSEC隧道调整为不加密状态。
步骤S21中,若否,则直接结束流程。
优选地,调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一IPSEC SA具体包括:
S211:所述当前端向所述对端发送请求报文;
S212:所述对端在接收到所述请求报文之后,与所述当前端进行协商;
S213:将所述第一IPSEC SA中的加密参数设臵为不加密状态。
优选地,步骤S22之后,还包括:
S23:判断所述当前流量是否超过了第二流量阈值(本实施方式中,所述第二流量阈值为600M,但并不限定本发明的保护范围),若是,则调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二IPSEC SA;
S24:所述第二IPSEC SA将所述多个IPSEC隧道中第二低优先级IPSEC隧道(所述第二低优先级IPSEC隧道指多个IPSEC隧道中优先级为倒数第二的IPSEC隧道)调整为不加密状态。
步骤S23中,若否,则直接结束流程。
优选地,调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二IPSEC SA具体包括:
S231:所述当前端向所述对端发送请求报文;
S212:所述对端在接收到所述请求报文之后,与所述当前端进行协商;
S213:将所述第二IPSEC SA中的加密参数设置为不加密状态。
本实施方式中仅采用了两个流量阈值进行判断比较,从而将较低优先级的IPSEC隧道调整为不加密状态,而事实上,在IPSEC隧道足够多的情况下,还可设置更多的流量阈值来进行判断比较,例如,可设置第三流量阈值,若当前流量超过,则将第三低优先级IPSEC隧道调整为不加密状态。
本发明还公开了一种对IPSEC报文加解密的系统,参照图2,所述系统包括:
优先级分配模块201,用于当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;
SA调整模块202,用于调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (9)
1.一种对IPSEC报文加解密的方法,其特征在于,所述方法包括:
S1:当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;
S2:调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。
2.如权利要求1所述的方法,其特征在于,在步骤S2之前,所述方法还包括:
判断所述当前端和对端之间在预设时间内的流量是否均超过了预设阈值,若是,则执行后续步骤。
3.如权利要求1所述的方法,其特征在于,在步骤S2之前,所述方法还包括:
判断所述当前端和对端之间所传输的数据报文是否出现解密失败,若是,则执行后续步骤。
4.如权利要求1所述的方法,其特征在于,所述IPSEC SA包括:安全参数索引SPI、IP目的地址、安全协议和加密参数,所述加密参数为反映是否需要加密的标志参数、且其初始值默认为加密状态。
5.如权利要求4所述的方法,其特征在于,在步骤S2中具体包括:
S21:获取所述当前端和对端之间的当前流量,判断所述当前流量是否超过了第一流量阈值,若是,则调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一IPSEC SA;
S22:所述第一IPSEC SA将所述多个IPSEC隧道中最低优先级IPSEC隧道调整为不加密状态。
6.如权利要求5所述的方法,其特征在于,调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的第一IPSEC SA具体包括:
S211:所述当前端向所述对端发送请求报文;
S212:所述对端在接收到所述请求报文之后,与所述当前端进行协商;
S213:将所述第一IPSEC SA中的加密参数设置为不加密状态。
7.如权利要求5所述的方法,其特征在于,步骤S22之后,还包括:
S23:判断所述当前流量是否超过了第二流量阈值,若是,则调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二IPSEC SA;
S24:所述第二IPSEC SA将所述多个IPSEC隧道中第二低优先级IPSEC隧道调整为不加密状态。
8.如权利要求7所述的方法,其特征在于,调整所述多个IPSEC隧道中第二低优先级IPSEC隧道相应的第二IPSEC SA具体包括:
S231:所述当前端向所述对端发送请求报文;
S212:所述对端在接收到所述请求报文之后,与所述当前端进行协商;
S213:将所述第二IPSEC SA中的加密参数设臵为不加密状态。
9.一种对IPSEC报文加解密的系统,其特征在于,所述系统包括:
优先级分配模块,用于当前端和对端协商产生IKE隧道,为所述IKE隧道生成的多个IPSEC隧道分配不同的优先级;
SA调整模块,用于调整所述多个IPSEC隧道中最低优先级IPSEC隧道相应的IPSEC SA,以实现将所述最低优先级IPSEC隧道调整为不加密状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012102641523A CN102752317A (zh) | 2012-07-27 | 2012-07-27 | 对ipsec报文加解密的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012102641523A CN102752317A (zh) | 2012-07-27 | 2012-07-27 | 对ipsec报文加解密的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102752317A true CN102752317A (zh) | 2012-10-24 |
Family
ID=47032216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012102641523A Pending CN102752317A (zh) | 2012-07-27 | 2012-07-27 | 对ipsec报文加解密的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102752317A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010020273A1 (en) * | 1999-12-03 | 2001-09-06 | Yasushi Murakawa | Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same |
| CN101699873A (zh) * | 2009-10-21 | 2010-04-28 | 南京邮电大学 | 基于分级安全的广播认证设计方法 |
| CN102055733A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| CN102098207A (zh) * | 2009-12-09 | 2011-06-15 | 华为技术有限公司 | 建立因特网协议安全IPSec通道的方法、装置和系统 |
| CN102420769A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | 一种Ipsec转发的方法 |
-
2012
- 2012-07-27 CN CN2012102641523A patent/CN102752317A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010020273A1 (en) * | 1999-12-03 | 2001-09-06 | Yasushi Murakawa | Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same |
| CN101699873A (zh) * | 2009-10-21 | 2010-04-28 | 南京邮电大学 | 基于分级安全的广播认证设计方法 |
| CN102055733A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| CN102098207A (zh) * | 2009-12-09 | 2011-06-15 | 华为技术有限公司 | 建立因特网协议安全IPSec通道的方法、装置和系统 |
| CN102420769A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | 一种Ipsec转发的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8756411B2 (en) | Application layer security proxy for automation and control system networks | |
| CN104601550B (zh) | 基于集群阵列的反向隔离文件传输系统及其方法 | |
| CN102420770B (zh) | Ike报文协商方法及设备 | |
| CN101442403B (zh) | 一种自适应的复合密钥交换和会话密钥管理方法 | |
| US10469530B2 (en) | Communications methods, systems and apparatus for protecting against denial of service attacks | |
| CN101163145A (zh) | 一种传输数据包的方法及装置和协商密钥的方法 | |
| CN110753327A (zh) | 一种基于无线自组网和LoRa的终端物联接入系统 | |
| CN101183935A (zh) | Rtp报文的密钥协商方法、装置及系统 | |
| Cho et al. | Securing ethernet-based optical fronthaul for 5g network | |
| JP2023546427A (ja) | 量子暗号キー分配方法及び装置 | |
| US9197362B2 (en) | Global state synchronization for securely managed asymmetric network communication | |
| CN102868523A (zh) | 一种ike协商方法 | |
| KR101847636B1 (ko) | 암호화 트래픽을 감시하기 위한 방법 및 장치 | |
| CN110177116B (zh) | 智融标识网络的安全数据传输方法和装置 | |
| CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
| CN112350823A (zh) | 车载控制器间can fd通信方法 | |
| CN102752317A (zh) | 对ipsec报文加解密的方法及系统 | |
| CN115150067A (zh) | 一种基于网络隐蔽通道的tls协议构建方法及系统 | |
| CN111245601B (zh) | 一种通讯协商方法及装置 | |
| CN106506461A (zh) | 一种基于scada系统的安全dnp协议的实现方法 | |
| CN102868522A (zh) | 一种ike协商异常的处理方法 | |
| CN106789318B (zh) | 网络电源安全管理系统 | |
| CN102420769A (zh) | 一种Ipsec转发的方法 | |
| CN105162825A (zh) | 文件安全传输方法 | |
| CN101753353B (zh) | 基于SNMP的安全管理方法、Trap报文的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121024 |