CN102769514A - 防止丢失数据的方法及系统 - Google Patents
防止丢失数据的方法及系统 Download PDFInfo
- Publication number
- CN102769514A CN102769514A CN2012102642691A CN201210264269A CN102769514A CN 102769514 A CN102769514 A CN 102769514A CN 2012102642691 A CN2012102642691 A CN 2012102642691A CN 201210264269 A CN201210264269 A CN 201210264269A CN 102769514 A CN102769514 A CN 102769514A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- ipsec
- ipsec tunnel
- data
- current transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止丢失数据的方法及系统,涉及网络通信技术领域,所述方法包括:S1:当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的ACL;S2:选择一个IPSEC隧道作为传输IPSEC隧道;S3:判断是否需要对当前的传输IPSEC隧道进行更新;S4:将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道。本发明通过设置至少两个配置有相同的ACL的IPSEC隧道来进行数据传输,当IPSEC隧道需要进行更新时,通过其他的IPSEC隧道进行数据传输,防止了IPSEC隧道出现的数据丢失,保证了数据的完整性。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种防止丢失数据的方法及系统。
背景技术
因特网密钥交换协议IKE在协商的过程中,会生成一级隧道和二级隧道,通常把一级隧道叫IKE隧道,二级隧道叫Internet协议安全性(IPSEC)隧道。由于一直采用同一条IPSEC隧道进行数据传输,会导致其数据加密规则容易被黑客破译,从而导致数据的安全性无法得到有效保证,现有技术中通过经常更新IPSEC隧道来提高数据的安全性,每过30秒重新协商,更新一次IPSEC隧道,但IPSEC隧道在更新时间中需要传输的数据会出现丢失现象,导致网络中数据完整性无法保证。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何防止IPSEC隧道在更新时间中出现的数据丢失,保证数据的完整性。
(二)技术方案
为解决上述技术问题,本发明提供了一种防止丢失数据的方法,所述方法包括:
S1:当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
S2:选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
S3:判断是否需要对当前的传输IPSEC隧道进行更新,若是,则执行后续步骤;
S4:将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
其中,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:
S31:判断当前的传输IPSEC隧道是否已经传输了预设流量的数据,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
其中,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:
S32:判断当前的传输IPSEC隧道是否已经存在了预设时间,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
本发明还公开了一种防止丢失数据的系统,所述系统包括:
隧道生成模块,用于当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
选择模块,用于选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
判断模块,用于判断是否需要对当前的传输IPSEC隧道进行更新;
更新模块,用于将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
其中,所述判断模块具体包括:
流量判断子模块,用于判断当前的传输IPSEC隧道是否已经传输了预设流量的数据。
其中,所述判断模块具体包括:
时间判断子模块,用于判断当前的传输IPSEC隧道是否已经存在了预设时间。
(三)有益效果
本发明通过设置至少两个配置有相同的访问控制列表的IPSEC隧道来进行数据传输,当一个IPSEC隧道需要进行更新时,通过其他的IPSEC隧道进行数据传输,防止了IPSEC隧道在更新时间中出现的数据丢失,保证了数据的完整性。
附图说明
图1是按照本发明一种实施方式的防止丢失数据的方法的流程图;
图2是按照本发明一种实施方式的防止丢失数据的系统的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的防止丢失数据的方法的流程图;参照图1,所述方法包括:
S1:当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL,本实施方式中,所述至少两个IPSEC隧道可配置同一个访问控制列表ACL,也可先设置X个(所述X与所述IPSEC隧道的数量相同)相同的访问控制列表ACL、然后将所述X个相同的访问控制列表ACL与所述至少两个IPSEC隧道一一对应,再为所述至少两个IPSEC隧道分别配置对应的访问控制列表;
S2:选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
S3:判断是否需要对当前的传输IPSEC隧道进行更新,若是,则执行后续步骤;
S4:将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
当需要长时间地进行数据传输,为保证数据的完整性,执行步骤S4后,可返回步骤S3。
需要对当前的传输IPSEC隧道进行更新一般具有两种触发方式:一种是当前的传输IPSEC隧道已经传输了预设流量的数据,若不更新当前的传输IPSEC隧道,则存在被黑客攻击的危险,优选地,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:S31:判断当前的传输IPSEC隧道是否已经传输了预设流量的数据,若是,则判定为需要对当前的传输IPSEC隧道进行更新;
另一种是当前的传输IPSEC隧道已经存在了预设时间,若不更新当前的传输IPSEC隧道,则存在被黑客攻击的危险,优选地,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:S32:判断当前的传输IPSEC隧道是否已经存在了预设时间,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
下面以两个IPSEC隧道为例来说明本发明,但不限定本发明的保护范围。当前端和对端协商产生IKE隧道(IKE隧道的参数为IKESA,所述IKE SA由源ip地址、源端口号、目的ip地址和目的端口号四个元素确定),所述IKE隧道生成两个IPSEC隧道,为所述两个IPSEC隧道配置相同的访问控制列表ACL,所述访问控制列表ACL用于匹配哪些数据流需要加密;
选择所述两个IPSEC隧道中的第一IPSEC隧道(本实施例中可采用随机选取一个IPSEC隧道,也可选取IPSEC隧道对应的IPSEC SA中安全参数索引SPI值较小的IPSEC隧道)作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
判断当前的传输IPSEC隧道是否已经传输了预设流量的数据或是否已经存在了预设时间,若判断为是,则将第二IPSEC隧道作为传输IPSEC隧道,切换至第二IPSEC隧道进行数据传输,以防止数据的丢失。
本发明还公开了一种防止丢失数据的系统,参照图2,所述系统包括:
隧道生成模块,用于当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
选择模块,用于选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
判断模块,用于判断是否需要对当前的传输IPSEC隧道进行更新;
更新模块,用于将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
优选地,所述判断模块具体包括:
流量判断子模块,用于判断当前的传输IPSEC隧道是否已经传输了预设流量的数据。
优选地,所述判断模块具体包括:
时间判断子模块,用于判断当前的传输IPSEC隧道是否已经存在了预设时间。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (6)
1.一种防止丢失数据的方法,其特征在于,所述方法包括:
S1:当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
S2:选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
S3:判断是否需要对当前的传输IPSEC隧道进行更新,若是,则执行后续步骤;
S4:将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
2.如权利要求1所述的方法,其特征在于,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:
S31:判断当前的传输IPSEC隧道是否已经传输了预设流量的数据,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
3.如权利要求1所述的方法,其特征在于,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:
S32:判断当前的传输IPSEC隧道是否已经存在了预设时间,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
4.一种防止丢失数据的系统,其特征在于,所述系统包括:
隧道生成模块,用于当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
选择模块,用于选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
判断模块,用于判断是否需要对当前的传输IPSEC隧道进行更新;
更新模块,用于将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
5.如权利要求4所述的系统,其特征在于,所述判断模块具体包括:
流量判断子模块,用于判断当前的传输IPSEC隧道是否已经传输了预设流量的数据。
6.如权利要求4所述的系统,其特征在于,所述判断模块具体包括:
时间判断子模块,用于判断当前的传输IPSEC隧道是否已经存在了预设时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210264269.1A CN102769514B (zh) | 2012-07-27 | 2012-07-27 | 防止丢失数据的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210264269.1A CN102769514B (zh) | 2012-07-27 | 2012-07-27 | 防止丢失数据的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102769514A true CN102769514A (zh) | 2012-11-07 |
| CN102769514B CN102769514B (zh) | 2015-04-22 |
Family
ID=47096776
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210264269.1A Expired - Fee Related CN102769514B (zh) | 2012-07-27 | 2012-07-27 | 防止丢失数据的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102769514B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553633A (zh) * | 2020-11-10 | 2022-05-27 | 华为技术有限公司 | 隧道协商方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101594648A (zh) * | 2008-05-29 | 2009-12-02 | 上海无线通信研究中心 | 个域网在ip多媒体子系统中的无缝切换方法 |
| CN101753401A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
-
2012
- 2012-07-27 CN CN201210264269.1A patent/CN102769514B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
| CN101594648A (zh) * | 2008-05-29 | 2009-12-02 | 上海无线通信研究中心 | 个域网在ip多媒体子系统中的无缝切换方法 |
| CN101753401A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553633A (zh) * | 2020-11-10 | 2022-05-27 | 华为技术有限公司 | 隧道协商方法及装置 |
| CN114553633B (zh) * | 2020-11-10 | 2023-06-02 | 华为技术有限公司 | 隧道协商方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102769514B (zh) | 2015-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7106561B2 (ja) | 低電力広域ネットワークのための通信インターフェース、そのような通信インターフェースを使用するワイヤレスデバイスおよびサーバ | |
| CN103236941A (zh) | 一种链路发现方法和装置 | |
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| EP3869366B1 (en) | Method and apparatus for updating password of electronic device, device and storage medium | |
| CN104753953A (zh) | 访问控制系统 | |
| CN102546184B (zh) | 传感网内消息安全传输或密钥分发的方法和系统 | |
| CN103209072A (zh) | 一种MACsec密钥更新方法及设备 | |
| CN109344639A (zh) | 一种配网自动化双重防护安全芯片、数据传输方法及设备 | |
| CN102891848A (zh) | 利用IPSec安全联盟进行加密解密的方法 | |
| CN102761494A (zh) | 一种ike协商处理方法及装置 | |
| CN103260156B (zh) | 密钥流生成装置及方法、机密性保护装置及方法 | |
| CN102891850A (zh) | IPSec隧道更新防重放参数的方法 | |
| JP6407598B2 (ja) | 中継装置、中継方法、及び中継プログラム | |
| CN102624892A (zh) | 一种防止外挂客户端模拟http请求的方法 | |
| CN102694808A (zh) | Ike远程接入的处理系统及方法 | |
| CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
| CN102769514A (zh) | 防止丢失数据的方法及系统 | |
| CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
| CN111585653A (zh) | 一种基于光纤通信的双单向隔离交换方法 | |
| CN114598724B (zh) | 电力物联网的安全防护方法、装置、设备及存储介质 | |
| CN104618211A (zh) | 一种基于隧道的报文处理方法和总部网关设备 | |
| CN115086951A (zh) | 一种报文传输系统、方法及装置 | |
| CN113765900A (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
| JP6635169B2 (ja) | 移動体通信システム、mtc−iwf、ue、及びそれらの方法 | |
| CN103516515A (zh) | Gpon系统中加解密无缝切换的实现方法、olt和onu |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20150422 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20150422 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150422 Termination date: 20180727 |