CN102769514B - 防止丢失数据的方法及系统 - Google Patents
防止丢失数据的方法及系统 Download PDFInfo
- Publication number
- CN102769514B CN102769514B CN201210264269.1A CN201210264269A CN102769514B CN 102769514 B CN102769514 B CN 102769514B CN 201210264269 A CN201210264269 A CN 201210264269A CN 102769514 B CN102769514 B CN 102769514B
- Authority
- CN
- China
- Prior art keywords
- tunnel
- ipsec
- ipsec tunnel
- data
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止丢失数据的方法及系统,涉及网络通信技术领域,所述方法包括:S1:当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的ACL;S2:选择一个IPSEC隧道作为传输IPSEC隧道;S3:判断是否需要对当前的传输IPSEC隧道进行更新;S4:将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道。本发明通过设置至少两个配置有相同的ACL的IPSEC隧道来进行数据传输,当IPSEC隧道需要进行更新时,通过其他的IPSEC隧道进行数据传输,防止了IPSEC隧道出现的数据丢失,保证了数据的完整性。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种防止丢失数据的方法及系统。
背景技术
因特网密钥交换协议IKE在协商的过程中,会生成一级隧道和二级隧道,通常把一级隧道叫IKE隧道,二级隧道叫Internet协议安全性(IPSEC)隧道。由于一直采用同一条IPSEC隧道进行数据传输,会导致其数据加密规则容易被黑客破译,从而导致数据的安全性无法得到有效保证,现有技术中通过经常更新IPSEC隧道来提高数据的安全性,每过30秒重新协商,更新一次IPSEC隧道,但IPSEC隧道在更新时间中需要传输的数据会出现丢失现象,导致网络中数据完整性无法保证。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何防止IPSEC隧道在更新时间中出现的数据丢失,保证数据的完整性。
(二)技术方案
为解决上述技术问题,本发明提供了一种防止丢失数据的方法,所述方法包括:
S1:当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
S2:选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
S3:判断是否需要对当前的传输IPSEC隧道进行更新,若是,则执行后续步骤;
S4:将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
其中,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:
S31:判断当前的传输IPSEC隧道是否已经传输了预设流量的数据,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
其中,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:
S32:判断当前的传输IPSEC隧道是否已经存在了预设时间,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
本发明还公开了一种防止丢失数据的系统,所述系统包括:
隧道生成模块,用于当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
选择模块,用于选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
判断模块,用于判断是否需要对当前的传输IPSEC隧道进行更新;
更新模块,用于将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
其中,所述判断模块具体包括:
流量判断子模块,用于判断当前的传输IPSEC隧道是否已经传输了预设流量的数据。
其中,所述判断模块具体包括:
时间判断子模块,用于判断当前的传输IPSEC隧道是否已经存在了预设时间。
(三)有益效果
本发明通过设置至少两个配置有相同的访问控制列表的IPSEC隧道来进行数据传输,当一个IPSEC隧道需要进行更新时,通过其他的IPSEC隧道进行数据传输,防止了IPSEC隧道在更新时间中出现的数据丢失,保证了数据的完整性。
附图说明
图1是按照本发明一种实施方式的防止丢失数据的方法的流程图;
图2是按照本发明一种实施方式的防止丢失数据的系统的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的防止丢失数据的方法的流程图;参照图1,所述方法包括:
S1:当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL,本实施方式中,所述至少两个IPSEC隧道可配置同一个访问控制列表ACL,也可先设置X个(所述X与所述IPSEC隧道的数量相同)相同的访问控制列表ACL、然后将所述X个相同的访问控制列表ACL与所述至少两个IPSEC隧道一一对应,再为所述至少两个IPSEC隧道分别配置对应的访问控制列表;
S2:选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
S3:判断是否需要对当前的传输IPSEC隧道进行更新,若是,则执行后续步骤;
S4:将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
当需要长时间地进行数据传输,为保证数据的完整性,执行步骤S4后,可返回步骤S3。
需要对当前的传输IPSEC隧道进行更新一般具有两种触发方式:一种是当前的传输IPSEC隧道已经传输了预设流量的数据,若不更新当前的传输IPSEC隧道,则存在被黑客攻击的危险,优选地,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:S31:判断当前的传输IPSEC隧道是否已经传输了预设流量的数据,若是,则判定为需要对当前的传输IPSEC隧道进行更新;
另一种是当前的传输IPSEC隧道已经存在了预设时间,若不更新当前的传输IPSEC隧道,则存在被黑客攻击的危险,优选地,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:S32:判断当前的传输IPSEC隧道是否已经存在了预设时间,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
下面以两个IPSEC隧道为例来说明本发明,但不限定本发明的保护范围。当前端和对端协商产生IKE隧道(IKE隧道的参数为IKESA,所述IKE SA由源ip地址、源端口号、目的ip地址和目的端口号四个元素确定),所述IKE隧道生成两个IPSEC隧道,为所述两个IPSEC隧道配置相同的访问控制列表ACL,所述访问控制列表ACL用于匹配哪些数据流需要加密;
选择所述两个IPSEC隧道中的第一IPSEC隧道(本实施例中可采用随机选取一个IPSEC隧道,也可选取IPSEC隧道对应的IPSEC SA中安全参数索引SPI值较小的IPSEC隧道)作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
判断当前的传输IPSEC隧道是否已经传输了预设流量的数据或是否已经存在了预设时间,若判断为是,则将第二IPSEC隧道作为传输IPSEC隧道,切换至第二IPSEC隧道进行数据传输,以防止数据的丢失。
本发明还公开了一种防止丢失数据的系统,参照图2,所述系统包括:
隧道生成模块,用于当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
选择模块,用于选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
判断模块,用于判断是否需要对当前的传输IPSEC隧道进行更新;
更新模块,用于将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
优选地,所述判断模块具体包括:
流量判断子模块,用于判断当前的传输IPSEC隧道是否已经传输了预设流量的数据。
优选地,所述判断模块具体包括:
时间判断子模块,用于判断当前的传输IPSEC隧道是否已经存在了预设时间。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (6)
1.一种防止丢失数据的方法,其特征在于,所述方法包括:
S1:当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
S2:选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
S3:判断是否需要对当前的传输IPSEC隧道进行更新,若是,则执行后续步骤;
S4:将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
2.如权利要求1所述的方法,其特征在于,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:
S31:判断当前的传输IPSEC隧道是否已经传输了预设流量的数据,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
3.如权利要求1所述的方法,其特征在于,步骤S3中判断是否需要对当前的传输IPSEC隧道进行更新具体包括:
S32:判断当前的传输IPSEC隧道是否已经存在了预设时间,若是,则判定为需要对当前的传输IPSEC隧道进行更新。
4.一种防止丢失数据的系统,其特征在于,所述系统包括:
隧道生成模块,用于当前端和对端协商产生IKE隧道,所述IKE隧道生成至少两个IPSEC隧道,为所述至少两个IPSEC隧道配置相同的访问控制列表ACL;
选择模块,用于选择所述至少两个IPSEC隧道中的一个IPSEC隧道作为用于实现所述当前端和对端之间数据传输的传输IPSEC隧道;
判断模块,用于判断是否需要对当前的传输IPSEC隧道进行更新;
更新模块,用于将其他IPSEC隧道中的一个已经更新完成的IPSEC隧道作为传输IPSEC隧道,以防止数据的丢失。
5.如权利要求4所述的系统,其特征在于,所述判断模块具体包括:
流量判断子模块,用于判断当前的传输IPSEC隧道是否已经传输了预设流量的数据。
6.如权利要求4所述的系统,其特征在于,所述判断模块具体包括:
时间判断子模块,用于判断当前的传输IPSEC隧道是否已经存在了预设时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210264269.1A CN102769514B (zh) | 2012-07-27 | 2012-07-27 | 防止丢失数据的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210264269.1A CN102769514B (zh) | 2012-07-27 | 2012-07-27 | 防止丢失数据的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102769514A CN102769514A (zh) | 2012-11-07 |
CN102769514B true CN102769514B (zh) | 2015-04-22 |
Family
ID=47096776
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210264269.1A Expired - Fee Related CN102769514B (zh) | 2012-07-27 | 2012-07-27 | 防止丢失数据的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102769514B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553633B (zh) * | 2020-11-10 | 2023-06-02 | 华为技术有限公司 | 隧道协商方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
CN101594648A (zh) * | 2008-05-29 | 2009-12-02 | 上海无线通信研究中心 | 个域网在ip多媒体子系统中的无缝切换方法 |
CN101753401A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
-
2012
- 2012-07-27 CN CN201210264269.1A patent/CN102769514B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
CN101594648A (zh) * | 2008-05-29 | 2009-12-02 | 上海无线通信研究中心 | 个域网在ip多媒体子系统中的无缝切换方法 |
CN101753401A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102769514A (zh) | 2012-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109155730B (zh) | 用于装置授权的方法和系统 | |
US10642321B2 (en) | Power distribution unit self-identification | |
RU2621182C1 (ru) | Устройство совместного использования ключа и система для его конфигурации | |
CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
EP3190766B1 (en) | Method, device and system for invoking local service assembly by browser | |
WO2018177905A1 (en) | Hybrid key exchange | |
CN105187376A (zh) | 车联网中汽车内部网络的安全通信方法 | |
CN108270554B (zh) | 一种终端配对方法及系统 | |
CN104935593A (zh) | 数据报文的传输方法及装置 | |
CN103326850A (zh) | 密钥产生装置和密钥产生方法 | |
US20170208630A1 (en) | Wireless connection establishing methods and wireless connection establishing apparatuses | |
JP2020510334A (ja) | 低電力広域ネットワークのための通信インターフェース、そのような通信インターフェースを使用するワイヤレスデバイスおよびサーバ | |
CN105556403A (zh) | 限制工业控制中的通信 | |
CN113849835B (zh) | 一种密钥处理方法、装置、设备及存储介质 | |
US9485217B2 (en) | Method for configuring network nodes of a telecommunications network, telecommunications network, program and computer program product | |
CN114760056B (zh) | 动态更新密钥的安全通信方法及装置 | |
CN105187369A (zh) | 一种数据访问方法及装置 | |
CN102769514B (zh) | 防止丢失数据的方法及系统 | |
JP5951162B1 (ja) | 制御装置、複合ユニット装置、更新判定プログラム及びプログラム更新方法 | |
JP6407598B2 (ja) | 中継装置、中継方法、及び中継プログラム | |
CN107040508B (zh) | 用于适配终端设备的授权信息的设备和方法 | |
CN105554711A (zh) | 一种短信保护方法、装置及终端 | |
CN114598724B (zh) | 电力物联网的安全防护方法、装置、设备及存储介质 | |
CN104486082A (zh) | 认证方法和路由器 | |
CN105550605A (zh) | 一种加/解密引擎及其实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
PP01 | Preservation of patent right | ||
PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20150422 |
|
PD01 | Discharge of preservation of patent | ||
PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20150422 |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150422 Termination date: 20180727 |