CN102946333A - 一种基于IPsec的DPD探测方法和设备 - Google Patents
一种基于IPsec的DPD探测方法和设备 Download PDFInfo
- Publication number
- CN102946333A CN102946333A CN2012104265163A CN201210426516A CN102946333A CN 102946333 A CN102946333 A CN 102946333A CN 2012104265163 A CN2012104265163 A CN 2012104265163A CN 201210426516 A CN201210426516 A CN 201210426516A CN 102946333 A CN102946333 A CN 102946333A
- Authority
- CN
- China
- Prior art keywords
- dpd
- ike
- message
- detected
- probe requests
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于IPsec的DPD探测方法和设备,该方法包括:在探测方设备上存在多个与被探测方设备相对应的IKESA时,探测方设备选择多个IKESA中最后协商的IKESA,通过选择的IKESA对DPD探测请求报文进行加密处理,并将DPD探测请求报文发送给被探测方设备;如果探测方设备收到DPD探测响应报文,则对DPD探测响应报文进行解密处理;如果解密成功,则确定被探测方设备存在;如果解密不成功或没有接收到DPD探测响应报文,则确定被探测方设备不存在。本发明实施例中可节省CPU资源。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种基于IPsec(IP Security,IP安全)的DPD(Dead Peer Detection,死亡对端检测)探测方法和设备。
背景技术
IPsec是三层隧道加密协议,是实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术,且IPsec在两个端点之间提供安全通信,两个端点被称为IPsec对等体,分别为IPsec发起方和IPsec响应方;进一步的,IPsec用于在IP层提供以下安全服务:(1)数据机密性:IPsec发送方在通过网络传输报文前对报文进行加密;(2)数据完整性:IPsec响应方对接收报文进行认证,以确保报文在传输过程中没有被篡改;(3)数据来源认证:IPsec响应方可以认证发送IPsec报文的IPsec发送方是否合法;(4)防重放:IPsec响应方可以检测并拒绝接收过时或者重复的报文。为了实现上述安全服务,IPsec提供了认证和加密等两种安全机制;认证机制使IP通信的响应方能够确认报文发送方的真实身份以及报文在传输过程中是否遭篡改;加密机制通过对报文进行加密运算来保证报文的机密性,防止报文在传输过程中被窃听。
此外,SA(Security Association,安全联盟)是IPsec对等体之间对某些要素的约定;如使用哪种协议(AH(Authentication Header,验证头)、ESP(Encapsulating Security Payload,封装安全载荷)等)、使用哪种协议封装模式(传输模式、隧道模式等)、使用哪种加密算法等;进一步的,IPsec对等体之间可以通过IKE(Internet Key Exchange,Internet密钥交换)协商建立SA信息,如图1所示,为IPsec与IKE的关系示意图;IKE通过以下阶段为IPsec进行密钥协商并建立SA;第一阶段,IPsec发起方和IPsec响应方之间建立一个ISAKMP(Internet Security Association and Key Management Protocol,Internet安全关联和密钥管理协议) SA,该SA为用于进行IKE协商的SA(简称为IKE SA);第二阶段,利用第一阶段的IKE SA为IPsec协商具体的SA,该SA为用于IP数据安全传输的SA(简称为IPsec SA)。
为了在IPsec对等体之间建立IPsec会话,IPsec对等体之间需要有IP连接性,但由于路由选择、对等体重启等原因,IPsec对等体之间可能失去了IP连接性,从而导致IPsec会话的一端继续向不可达的IPsec对端发送进行加密操作的数据流,浪费了CPU(Central Processing Unit,中央处理单元)资源。
发明内容
本发明实施例提供一种基于IPsec的DPD探测方法和设备,以及时获知IPsec对端是否存在,并节省CPU资源。
为了达到上述目的,本发明实施例提供一种基于IPsec的DPD探测方法,应用于包括探测方设备和被探测方设备的IPsec网络中,该方法包括:
在所述探测方设备上存在多个IKE SA时,所述探测方设备选择所述多个IKE SA中最后协商的IKE SA,通过选择的IKE SA对DPD探测请求报文进行加密处理,并将加密处理后的DPD探测请求报文发送给所述被探测方设备;
如果所述探测方设备接收到所述被探测方设备返回的经过IKE SA加密处理的DPD探测响应报文,则利用自身存在的IKE SA对所述DPD探测响应报文进行解密处理;如果解密成功,则确定所述被探测方设备存在;如果解密不成功或者所述探测方设备没有接收到所述被探测方设备返回的DPD探测响应报文,则确定所述被探测方设备不存在。
所述方法进一步包括:所述探测方设备在将加密处理后的DPD探测请求报文发送给所述被探测方设备后,为所述DPD探测请求报文启动重传定时器;
所述探测方设备在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;
所述探测方设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;
如果所述探测方设备向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则所述探测方设备确定所述被探测方设备不存在。
所述探测方设备确定所述被探测方设备不存在,之后还包括:所述探测方设备删除自身存在的所述多个IKE SA,并删除自身存在的所述多个IKE SA对应的IPsec SA。
本发明实施例提供一种基于IPsec的DPD探测方法,应用于包括探测方设备和被探测方设备的IPsec网络中,该方法包括以下步骤:
所述被探测方设备接收来自所述探测方设备的经过IKE SA加密处理的DPD探测请求报文,且所述IKE SA为所述探测方设备从自身存在的多个IKE SA中选择的最后协商的IKE SA;
所述被探测方设备利用自身存在的IKE SA对所述DPD探测请求报文进行解密处理;如果解密成功,则利用自身存在的IKE SA对DPD探测响应报文进行加密处理,并将加密处理后的DPD探测响应报文发送给所述探测方设备;如果解密不成功,则丢弃所述DPD探测请求报文。
所述方法进一步包括:所述被探测方设备在解密成功时,检查所述DPD探测请求报文的合法性;如果合法性检查通过,则利用自身存在的IKE SA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃所述DPD探测请求报文。
本发明实施例提供一种探测方设备,应用于包括所述探测方设备和被探测方设备的IPsec网络中,所述探测方设备包括:
选择模块,用于在本设备上存在多个IKE SA时,选择所述多个IKE SA中最后协商的IKE SA;
处理模块,用于通过选择的IKE SA对DPD探测请求报文进行加密处理;
发送模块,用于将加密处理后的DPD探测请求报文发送给被探测方设备;
确定模块,用于当收到被探测方设备返回的经过IKE SA加密处理的DPD探测响应报文时,利用本设备存在的IKE SA对DPD探测响应报文进行解密处理;当解密成功时,确定所述被探测方设备存在;当解密不成功或没有收到被探测方设备返回的DPD探测响应报文时,确定所述被探测方设备不存在。
所述处理模块,还用于在将加密处理后的DPD探测请求报文发送给所述被探测方设备之后,为所述DPD探测请求报文启动重传定时器;
所述确定模块,进一步用于在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;在合法性检查不通过、或解密不成功、或没有收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;如果向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则确定所述被探测方设备不存在。
还包括删除模块,用于在确定所述被探测方设备不存在时,删除本设备存在的所述多个IKE SA,并删除本设备存在的多个IKE SA对应的IPsec SA。
本发明实施例提供一种被探测方设备,应用于包括探测方设备和所述被探测方设备的IPsec网络中,所述被探测方设备包括:
接收模块,用于接收来自所述探测方设备的经过IKE SA加密处理的DPD探测请求报文,且所述IKE SA为所述探测方设备从自身存在的多个IKE SA中选择的最后协商的IKE SA;
处理模块,用于利用本设备存在的IKE SA对所述DPD探测请求报文进行解密处理;并在解密不成功时,丢弃所述DPD探测请求报文;在解密成功时,利用本设备存在的IKE SA对DPD探测响应报文进行加密处理;
发送模块,用于将加密处理后的DPD探测响应报文发送给探测方设备。
所述处理模块,进一步用于在解密成功时,检查DPD探测请求报文的合法性;如果合法性检查通过,则利用本设备存在的IKE SA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃所述DPD探测请求报文。
与现有技术相比,本发明实施例至少具有以下优点:
本发明实施例中,通过使用最后协商的IKE SA对DPD探测请求报文进行加密处理,并利用DPD探测请求报文来检测IPsec对端是否存在,从而及时获知IPsec对端是否存在,并在IPsec对端不存在时,停止向不可达的IPsec对端发送进行加密操作的数据流,以节省CPU资源。
附图说明
图1是现有技术中IPsec与IKE的关系示意图;
图2是本发明实施例的应用场景示意图;
图3是本发明实施例提供的一种基于IPsec的DPD探测方法流程示意图;
图4是本发明实施例中IKE头的格式示意图;
图5是本发明实施例中DPD类型的通知载荷的格式示意图;
图6是本发明实施例提出的一种探测方设备的结构示意图;
图7是本发明实施例提出的一种被探测方设备的结构示意图。
具体实施方式
本发明实施例提出一种基于IPsec的DPD探测方法,该方法应用于包括探测方设备和被探测方设备的IPsec网络中,探测方设备可以为IPsec对等体中的IPsec发起方或IPsec响应方,相应的被探测方设备为IPsec对等体中的IPsec响应方或IPsec发起方;以图2为本发明实施例的应用场景示意图,Device A至IP network的出口地址为1.1.1.1,在该接口上部署IPsec,Device B至IP network的出口地址为2.2.2.2,在该接口上部署IPsec,因此Device A和Device B为IPsec对等体,并假设Device A为探测方设备,Device B为被探测方设备。
在图2所示应用场景下,Device A保护的私网中有主机HOST1,Device B保护的私网中有主机HOST2,当HOST1有流量需要发送给HOST2时,会触发Device A和Device B之间建立IPsec SA(如IPsec SA1)和IKE SA(如IKE SA1);之后如果Device B重启,则会触发Device A和Device B之间再次建立IPsec SA(如IPsec SA2)和IKE SA(如IKE SA2);此时,Device A上有IPsec SA1(该IPsec SA1一直存在到被老化删除)和IPsec SA2,以及IKE SA1(该IKE SA1一直存在到被老化删除)和IKE SA2;由于Device B重启之前的IPsec SA和IKE SA会被清除,因此Device B上只有IPsec SA2和IKE SA2。
基于上述应用场景,如图3所示,该方法包括以下步骤:
步骤301,在需要发送DPD探测请求报文时,如果Device A上存在有多个IKE SA(即多个与Device B相对应的IKE SA,如IKE SA1和IKE SA2),则该Device A选择多个IKE SA中最后协商的IKE SA(即Device A上最新的一个IKE SA,如IKE SA2),并通过该选择的IKE SA对DPD探测请求报文进行加密处理。
本发明实施例中,确定需要发送DPD探测请求报文的方式包括但不限于:周期性发送DPD探测请求报文或者按需发送DPD探测请求报文。
在周期性发送DPD探测请求报文时,Device A将根据预设周期(可以根据实际经验进行设置)确定是否需要发送DPD探测请求报文。
在按需发送DPD探测请求报文时,Device A需要在IPsec有出方向流量时,查看当前时间与最近一次收到Device B流量的时间之间的时间差值,如果该时间差值超过了设定门限值(该门限值可以根据实际经验进行设置,需要手动配置),则Device A确定需要发送DPD探测请求报文。
具体的,为了实现按需发送DPD探测请求报文,Device A上需要维护上次从Device B收到正确IPsec SA加密流量时的时间戳,记为LastRcvTime;在HOST1发送的流量到达Device A后,Device A会使用IPsec SA对该流量进行加密,检查当前时间与LastRcvTime之间的时间差值,如果该时间差值达到了DPD探测间隔(即设定门限值),则确定需要发送DPD探测请求报文。
步骤302,Device A将加密处理后的DPD探测请求报文发送给Device B。
步骤303,Device B在收到经过IKE SA加密处理的DPD探测请求报文后,利用自身存在的IKE SA对DPD探测请求报文进行解密处理。
步骤304,如果解密成功,则Device B利用自身存在的IKE SA(如IKE SA2)对DPD探测响应报文进行加密处理,并将加密处理后的DPD探测响应报文发送给Device A;如果解密不成功,则Device B丢弃DPD探测请求报文。
本发明实施例中,Device A只能通过最后协商的IKE SA(如IKE SA2)对DPD探测请求报文进行加密处理,而不能通过其它的IKE SA(如IKE SA1)对DPD探测请求报文进行加密处理。
Device A在通过IKE SA1对DPD探测请求报文进行加密处理时,由于Device B上只存在有IKE SA2,因此Device B利用自身存在的IKE SA对DPD探测请求报文进行解密处理时,解密不成功,不会返回DPD探测响应报文给Device A,从而导致Device A认为Device B不存在,导致错误的探测结果。
Device A在通过IKE SA2对DPD探测请求报文进行加密处理时,由于Device B上只存在有IKE SA2,因此Device B利用自身存在的IKE SA对DPD探测请求报文进行解密处理时,能够解密成功,且会返回DPD探测响应报文给Device A,不会导致出现错误的探测结果。
进一步的,Device B在解密成功时,还可以检查DPD探测请求报文的合法性;如果合法性检查通过,则Device B需要利用自身存在的IKE SA对DPD探测响应报文进行加密处理,并执行后续的过程;如果合法性检查不通过,则Device B需要直接丢弃DPD探测请求报文。
在一种优选的实施方式中,Device B通过检查DPD探测请求报文中的序列号是否为递增的来进行合法性检查;如果当前DPD探测请求报文中的序列号与上一次收到的DPD探测请求报文中的序列号相比是递增的,则Device B认为合法性检查通过;否则,Device B认为合法性检查不通过。
步骤305,如果Device A收到Device B返回的经过IKE SA(如IKE SA2)加密处理的DPD探测响应报文,则利用自身存在的IKE SA对DPD探测响应报文进行解密处理;如果解密成功,则确定Device B存在;如果解密不成功或没有收到Device B返回的DPD探测响应报文,则确定Device B不存在。
本发明实施例中,由于Device B通过IKE SA2对DPD探测响应报文进行加密处理,且Device A上存在有IKE SA1和IKE SA2,因此Device A利用自身存在的IKE SA对DPD探测响应报文进行解密处理时,能够解密成功。
进一步的,Device A在解密成功时,还可以检查DPD探测响应报文的合法性;如果合法性检查通过,则Device A确定Device B存在;如果合法性检查不通过,则Device B需要忽略该DPD探测响应报文,即不能利用该DPD探测响应报文确定Device B存在。
在一种优选的实施方式中,Device A通过检查DPD探测响应报文中的序列号是否为之前本地发送的序列号(即DPD探测请求报文中的序列号)来进行合法性检查;如果DPD探测响应报文中的序列号与之前本地发送的序列号相同,则Device A认为合法性检查通过;否则,认为合法性检查不通过。
在本发明实施例的一种优选实施方式中,Device A在将加密处理后的DPD探测请求报文发送给Device B之后,需要为DPD探测请求报文启动重传定时器;Device A在收到Device B返回的DPD探测响应报文,且对DPD探测响应报文解密成功,且DPD探测响应报文的合法性检查通过时,则停止该DPD探测请求报文对应的重传定时器,并确定Device B存在。
如果Device A没有收到Device B返回的DPD探测响应报文,或收到Device B返回的DPD探测响应报文、但对DPD探测响应报文解密不成功,或收到Device B返回的DPD探测响应报文、对DPD探测响应报文解密不成功、但DPD探测响应报文的合法性检查不通过;则当重传定时器超时后,向Device B重新发送DPD探测请求报文(即步骤302),并启动重传定时器。
以此类推,如果Device A向Device B发送DPD探测请求报文的次数达到预设次数(如3次,预设次数可以根据实际经验值进行设置)后,均没有在重传定时器超时之前,收到Device B返回的解密成功且合法性检查通过的DPD探测响应报文,则Device A确定Device B不存在。
本发明实施例中,如果Device A确定Device B不存在,则Device A还需要删除自身存在的多个IKE SA(如IKE SA1和IKE SA2),并删除自身存在的多个IKE SA对应的IPsec SA(如IPsec SA1和IPsec SA2),从而停止向不可达的Device B发送进行加密操作的数据流,以节省CPU资源。
在上述的实现过程中,DPD探测请求报文以及DPD探测响应报文中均包括IKE头和DPD类型的通知载荷;其中,IKE头的格式可以如图4所示,DPD类型的通知载荷的格式可以如图5所示。
在图4中,各个字段的含义如下:(1)Initiator Cookie:发起方的Cookie,8个字节;(2)Responder Cookie:响应方的Cookie,8个字节;(3)NextPayload:下一个载荷类型,值为ISAKMP_NEXT_HASH,标识下一个载荷是加密的;(4)MjVer:主版本号,值为1,表明是IKEv1协议;(5)MnVer:次版本号,值为0;(6)ExchangeType:协商类型,此时值为4,表明是通告载荷;(7)Flags:标记;(8)MessageID:消息ID,此时值为0;(9)Length:消息长度,包括该头部长度以及下面的载荷长度。
在图5中,各个字段的含义如下:(1)NextPayload:下一个载荷字段,由于该载荷是最后一个载荷,因此值为0;(2)Reserverd:保留字段,值为0;(3)Payload Length:载荷长度;(4)Domain of Interpretation(DOI):解释域,取值为1,标识ISAKMP;(5)Protocol-ID:协议ID,取值为1,标识ISAKMP;(6)SPI Size:SPI大小,取值为16,两个Cookie的长度;(7)Notify Message Type:对于发送的DPD探测请求报文,该取值为36136,对于回应的DPD探测响应报文,该取值为36137;(8)Security Parameter Index(SPI):两个Cookie,共16字节;(9)Notification Data(序列号):DPD探测报文的序列号,DPD探测响应报文中携带的值需要与DPD探测请求报文中携带的值相同。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种探测方设备,应用于包括所述探测方设备和被探测方设备的IPsec网络中,如图6所示,所述探测方设备包括:
选择模块11,用于在本设备上存在多个IKE SA时,选择所述多个IKE SA中最后协商的IKE SA;
处理模块12,用于通过选择IKE SA对DPD探测请求报文进行加密处理;
发送模块13,用于将加密处理后DPD探测请求报文发送给被探测方设备;
确定模块14,用于当收到被探测方设备返回的经过IKE SA加密处理的DPD探测响应报文时,利用本设备存在的IKE SA对DPD探测响应报文进行解密处理;当解密成功时,确定被探测方设备存在;当解密不成功或没有收到被探测方设备返回的DPD探测响应报文时,确定被探测方设备不存在。
所述处理模块12,还用于在将加密处理后的DPD探测请求报文发送给所述被探测方设备之后,为所述DPD探测请求报文启动重传定时器;
所述确定模块14,进一步用于在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;在合法性检查不通过、或解密不成功、或没有收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;如果向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则确定所述被探测方设备不存在。
本发明实施例中,该探测方设备设备还包括:删除模块15,用于在确定所述被探测方设备不存在时,删除本设备存在的所述多个IKE SA,并删除本设备存在的所述多个IKE SA对应的IPsec SA。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种被探测方设备,应用于包括探测方设备和所述被探测方设备的IPsec网络中,如图7所示,所述被探测方设备包括:
接收模块21,用于接收来自所述探测方设备的经过IKE SA加密处理的DPD探测请求报文,且所述IKE SA为所述探测方设备从自身存在的多个IKE SA中选择的最后协商的IKE SA;
处理模块22,用于利用本设备存在的IKE SA对所述DPD探测请求报文进行解密处理;并在解密不成功时,丢弃所述DPD探测请求报文;在解密成功时,利用本设备存在的IKE SA对DPD探测响应报文进行加密处理;
发送模块23,用于将加密处理后的DPD探测响应报文发送给探测方设备。
所述处理模块22,进一步用于在解密成功时,检查DPD探测请求报文的合法性;如果合法性检查通过,则利用本设备存在的IKE SA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃DPD探测请求报文。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种基于IPsec的DPD探测方法,应用于包括探测方设备和被探测方设备的IPsec网络中,其特征在于,该方法包括以下步骤:
在所述探测方设备上存在多个IKE SA时,所述探测方设备选择所述多个IKE SA中最后协商的IKE SA,通过选择的IKE SA对DPD探测请求报文进行加密处理,并将加密处理后的DPD探测请求报文发送给所述被探测方设备;
如果所述探测方设备接收到所述被探测方设备返回的经过IKE SA加密处理的DPD探测响应报文,则利用自身存在的IKE SA对所述DPD探测响应报文进行解密处理;如果解密成功,则确定所述被探测方设备存在;如果解密不成功或者所述探测方设备没有接收到所述被探测方设备返回的DPD探测响应报文,则确定所述被探测方设备不存在。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述探测方设备在将加密处理后的DPD探测请求报文发送给所述被探测方设备之后,为所述DPD探测请求报文启动重传定时器;
所述探测方设备在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;
所述探测方设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;
如果所述探测方设备向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则所述探测方设备确定所述被探测方设备不存在。
3.如权利要求1或2所述的方法,其特征在于,所述探测方设备确定所述被探测方设备不存在,之后还包括:
所述探测方设备删除自身存在的所述多个IKE SA,并删除自身存在的所述多个IKE SA对应的IPsec SA。
4.一种基于IPsec的DPD探测方法,应用于包括探测方设备和被探测方设备的IPsec网络中,其特征在于,该方法包括以下步骤:
所述被探测方设备接收来自所述探测方设备的经过IKE SA加密处理的DPD探测请求报文,且所述IKE SA为所述探测方设备从自身存在的多个IKE SA中选择的最后协商的IKE SA;
所述被探测方设备利用自身存在的IKE SA对所述DPD探测请求报文进行解密处理;如果解密成功,则利用自身存在的IKE SA对DPD探测响应报文进行加密处理,并将加密处理后的DPD探测响应报文发送给所述探测方设备;如果解密不成功,则丢弃所述DPD探测请求报文。
5.如权利要求4所述的方法,其特征在于,所述方法进一步包括:
所述被探测方设备在解密成功时,检查所述DPD探测请求报文的合法性;如果合法性检查通过,则利用自身存在的IKE SA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃所述DPD探测请求报文。
6.一种探测方设备,应用于包括所述探测方设备和被探测方设备的IPsec网络中,其特征在于,所述探测方设备包括:
选择模块,用于在本设备上存在多个IKE SA时,选择所述多个IKE SA中最后协商的IKE SA;
处理模块,用于通过选择的IKE SA对DPD探测请求报文进行加密处理;
发送模块,用于将加密处理后的DPD探测请求报文发送给被探测方设备;
确定模块,用于当收到被探测方设备返回的经过IKE SA加密处理的DPD探测响应报文时,利用本设备存在的IKE SA对DPD探测响应报文进行解密处理;当解密成功时,确定所述被探测方设备存在;当解密不成功或没有收到被探测方设备返回的DPD探测响应报文时,确定所述被探测方设备不存在。
7.如权利要求6所述的设备,其特征在于,
所述处理模块,还用于在将加密处理后的DPD探测请求报文发送给所述被探测方设备之后,为所述DPD探测请求报文启动重传定时器;
所述确定模块,进一步用于在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;在合法性检查不通过、或解密不成功、或没有收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;如果向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则确定所述被探测方设备不存在。
8.如权利要求6或7所述的设备,其特征在于,还包括:
删除模块,用于在确定所述被探测方设备不存在时,删除本设备存在的所述多个IKE SA,并删除本设备存在的所述多个IKE SA对应的IPsec SA。
9.一种被探测方设备,应用于包括探测方设备和所述被探测方设备的IPsec网络中,其特征在于,所述被探测方设备包括:
接收模块,用于接收来自所述探测方设备的经过IKE SA加密处理的DPD探测请求报文,且所述IKE SA为所述探测方设备从自身存在的多个IKE SA中选择的最后协商的IKE SA;
处理模块,用于利用本设备存在的IKE SA对所述DPD探测请求报文进行解密处理;并在解密不成功时,丢弃所述DPD探测请求报文;在解密成功时,利用本设备存在的IKE SA对DPD探测响应报文进行加密处理;
发送模块,用于将加密处理后的DPD探测响应报文发送给探测方设备。
10.如权利要求9所述的设备,其特征在于,
所述处理模块,进一步用于在解密成功时,检查DPD探测请求报文的合法性;如果合法性检查通过,则利用本设备存在的IKE SA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃所述DPD探测请求报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210426516.3A CN102946333B (zh) | 2012-10-31 | 2012-10-31 | 一种基于IPsec的DPD探测方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210426516.3A CN102946333B (zh) | 2012-10-31 | 2012-10-31 | 一种基于IPsec的DPD探测方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102946333A true CN102946333A (zh) | 2013-02-27 |
| CN102946333B CN102946333B (zh) | 2015-12-02 |
Family
ID=47729242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210426516.3A Active CN102946333B (zh) | 2012-10-31 | 2012-10-31 | 一种基于IPsec的DPD探测方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102946333B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| WO2014153989A1 (zh) * | 2013-03-26 | 2014-10-02 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN104092697A (zh) * | 2014-07-18 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种基于时间的防重放方法及装置 |
| CN104580167A (zh) * | 2014-12-22 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 一种传输数据的方法、装置和系统 |
| CN105162794A (zh) * | 2015-09-23 | 2015-12-16 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| CN106170949A (zh) * | 2014-12-30 | 2016-11-30 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
| CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
| CN109429253A (zh) * | 2017-07-17 | 2019-03-05 | 展讯通信(上海)有限公司 | VoWiFi业务下WiFi接入点掉网检测的方法、装置及终端 |
| CN111262885A (zh) * | 2020-03-18 | 2020-06-09 | 珠海市鸿瑞信息技术股份有限公司 | 基于ipsec的dpd探测系统 |
| CN111327394A (zh) * | 2018-12-17 | 2020-06-23 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
| CN111884877A (zh) * | 2020-07-23 | 2020-11-03 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
| CN113747434A (zh) * | 2021-10-15 | 2021-12-03 | 湖南麒麟信安科技股份有限公司 | 一种基于IPSec的移动通信安全通信方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080172582A1 (en) * | 2007-01-12 | 2008-07-17 | David Sinicrope | Method and system for providing peer liveness for high speed environments |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
| CN101931610A (zh) * | 2009-06-22 | 2010-12-29 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
| CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
-
2012
- 2012-10-31 CN CN201210426516.3A patent/CN102946333B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080172582A1 (en) * | 2007-01-12 | 2008-07-17 | David Sinicrope | Method and system for providing peer liveness for high speed environments |
| CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101931610A (zh) * | 2009-06-22 | 2010-12-29 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
| CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
Non-Patent Citations (1)
| Title |
|---|
| CISCO: "A Traffic-based Method of Detecting Dead Internet Key Exchange (IKE) Peers", 《IETF数据库》 * |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014153989A1 (zh) * | 2013-03-26 | 2014-10-02 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN103475655B (zh) * | 2013-09-06 | 2016-09-07 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| CN104092697A (zh) * | 2014-07-18 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种基于时间的防重放方法及装置 |
| CN104092697B (zh) * | 2014-07-18 | 2017-09-15 | 新华三技术有限公司 | 一种基于时间的防重放方法及装置 |
| CN104580167B (zh) * | 2014-12-22 | 2018-11-30 | 腾讯科技(深圳)有限公司 | 一种传输数据的方法、装置和系统 |
| CN104580167A (zh) * | 2014-12-22 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 一种传输数据的方法、装置和系统 |
| CN106170949A (zh) * | 2014-12-30 | 2016-11-30 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
| CN105162794A (zh) * | 2015-09-23 | 2015-12-16 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| CN105162794B (zh) * | 2015-09-23 | 2018-04-27 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
| CN106487802B (zh) * | 2016-11-07 | 2019-09-17 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
| CN109429253A (zh) * | 2017-07-17 | 2019-03-05 | 展讯通信(上海)有限公司 | VoWiFi业务下WiFi接入点掉网检测的方法、装置及终端 |
| CN109429253B (zh) * | 2017-07-17 | 2022-04-29 | 展讯通信(上海)有限公司 | VoWiFi业务下WiFi接入点掉网检测的方法、装置及终端 |
| CN111327394A (zh) * | 2018-12-17 | 2020-06-23 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
| CN111327394B (zh) * | 2018-12-17 | 2022-10-11 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
| CN111262885B (zh) * | 2020-03-18 | 2022-01-28 | 珠海市鸿瑞信息技术股份有限公司 | 基于ipsec的dpd探测系统 |
| CN111262885A (zh) * | 2020-03-18 | 2020-06-09 | 珠海市鸿瑞信息技术股份有限公司 | 基于ipsec的dpd探测系统 |
| CN111884877A (zh) * | 2020-07-23 | 2020-11-03 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
| CN111884877B (zh) * | 2020-07-23 | 2022-02-15 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
| CN113747434A (zh) * | 2021-10-15 | 2021-12-03 | 湖南麒麟信安科技股份有限公司 | 一种基于IPSec的移动通信安全通信方法及装置 |
| CN113747434B (zh) * | 2021-10-15 | 2023-08-01 | 湖南麒麟信安科技股份有限公司 | 一种基于IPSec的移动通信安全通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102946333B (zh) | 2015-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102946333B (zh) | 一种基于IPsec的DPD探测方法和设备 | |
| CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
| KR101490214B1 (ko) | 공유된 일시적 키 데이터의 세트를 갖는 교환들을 인코딩하기 위한 시스템들 및 방법들 | |
| US8745394B1 (en) | Methods and systems for secure electronic communication | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| CN109936529B (zh) | 一种安全通信的方法、装置和系统 | |
| CN106878016A (zh) | 数据发送、接收方法及装置 | |
| CN109510802B (zh) | 鉴权方法、装置及系统 | |
| EP3633949A1 (en) | Method and system for performing ssl handshake | |
| US20210297400A1 (en) | Secured Authenticated Communication between an Initiator and a Responder | |
| CN108353279A (zh) | 一种认证方法和认证系统 | |
| US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
| CN105763318A (zh) | 一种预共享密钥获取、分配方法及装置 | |
| CN105516066A (zh) | 一种对中间人的存在进行辨识的方法及装置 | |
| CN115766119A (zh) | 通信方法、装置、通信系统及存储介质 | |
| CN114698150A (zh) | 重新建立无线电资源控制连接 | |
| CN105591748B (zh) | 一种认证方法和装置 | |
| CN111836260B (zh) | 一种认证信息处理方法、终端和网络设备 | |
| CN108400967B (zh) | 一种鉴权方法及鉴权系统 | |
| CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 | |
| WO2016176902A1 (zh) | 一种终端认证方法、管理终端及申请终端 | |
| EP2389031A1 (en) | Secure handoff method and system | |
| KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| CN111262885B (zh) | 基于ipsec的dpd探测系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |