CN102946333B - 一种基于IPsec的DPD探测方法和设备 - Google Patents
一种基于IPsec的DPD探测方法和设备 Download PDFInfo
- Publication number
- CN102946333B CN102946333B CN201210426516.3A CN201210426516A CN102946333B CN 102946333 B CN102946333 B CN 102946333B CN 201210426516 A CN201210426516 A CN 201210426516A CN 102946333 B CN102946333 B CN 102946333B
- Authority
- CN
- China
- Prior art keywords
- dpd
- ikesa
- message
- detected
- probe requests
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于IPsec的DPD探测方法和设备,该方法包括:在探测方设备上存在多个与被探测方设备相对应的IKE?SA时,探测方设备选择多个IKE?SA中最后协商的IKE?SA,通过选择的IKE?SA对DPD探测请求报文进行加密处理,并将DPD探测请求报文发送给被探测方设备;如果探测方设备收到DPD探测响应报文,则对DPD探测响应报文进行解密处理;如果解密成功,则确定被探测方设备存在;如果解密不成功或没有接收到DPD探测响应报文,则确定被探测方设备不存在。本发明实施例中可节省CPU资源。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种基于IPsec(IPSecurity,IP安全)的DPD(DeadPeerDetection,死亡对端检测)探测方法和设备。
背景技术
IPsec是三层隧道加密协议,是实现三层VPN(VirtualPrivateNetwork,虚拟专用网络)的安全技术,且IPsec在两个端点之间提供安全通信,两个端点被称为IPsec对等体,分别为IPsec发起方和IPsec响应方;进一步的,IPsec用于在IP层提供以下安全服务:(1)数据机密性:IPsec发送方在通过网络传输报文前对报文进行加密;(2)数据完整性:IPsec响应方对接收报文进行认证,以确保报文在传输过程中没有被篡改;(3)数据来源认证:IPsec响应方可以认证发送IPsec报文的IPsec发送方是否合法;(4)防重放:IPsec响应方可以检测并拒绝接收过时或者重复的报文。为了实现上述安全服务,IPsec提供了认证和加密等两种安全机制;认证机制使IP通信的响应方能够确认报文发送方的真实身份以及报文在传输过程中是否遭篡改;加密机制通过对报文进行加密运算来保证报文的机密性,防止报文在传输过程中被窃听。
此外,SA(SecurityAssociation,安全联盟)是IPsec对等体之间对某些要素的约定;如使用哪种协议(AH(AuthenticationHeader,验证头)、ESP(EncapsulatingSecurityPayload,封装安全载荷)等)、使用哪种协议封装模式(传输模式、隧道模式等)、使用哪种加密算法等;进一步的,IPsec对等体之间可以通过IKE(InternetKeyExchange,Internet密钥交换)协商建立SA信息,如图1所示,为IPsec与IKE的关系示意图;IKE通过以下阶段为IPsec进行密钥协商并建立SA;第一阶段,IPsec发起方和IPsec响应方之间建立一个ISAKMP(InternetSecurityAssociationandKeyManagementProtocol,Internet安全关联和密钥管理协议)SA,该SA为用于进行IKE协商的SA(简称为IKESA);第二阶段,利用第一阶段的IKESA为IPsec协商具体的SA,该SA为用于IP数据安全传输的SA(简称为IPsecSA)。
为了在IPsec对等体之间建立IPsec会话,IPsec对等体之间需要有IP连接性,但由于路由选择、对等体重启等原因,IPsec对等体之间可能失去了IP连接性,从而导致IPsec会话的一端继续向不可达的IPsec对端发送进行加密操作的数据流,浪费了CPU(CentralProcessingUnit,中央处理单元)资源。
发明内容
本发明实施例提供一种基于IPsec的DPD探测方法和设备,以及时获知IPsec对端是否存在,并节省CPU资源。
为了达到上述目的,本发明实施例提供一种基于IPsec的DPD探测方法,应用于包括探测方设备和被探测方设备的IPsec网络中,该方法包括:
在所述探测方设备上存在多个IKESA时,所述探测方设备选择所述多个IKESA中最后协商的IKESA,通过选择的IKESA对DPD探测请求报文进行加密处理,并将加密处理后的DPD探测请求报文发送给所述被探测方设备;
如果所述探测方设备接收到所述被探测方设备返回的经过IKESA加密处理的DPD探测响应报文,则利用自身存在的IKESA对所述DPD探测响应报文进行解密处理;如果解密成功,则确定所述被探测方设备存在;如果解密不成功或者所述探测方设备没有接收到所述被探测方设备返回的DPD探测响应报文,则确定所述被探测方设备不存在。
所述方法进一步包括:所述探测方设备在将加密处理后的DPD探测请求报文发送给所述被探测方设备后,为所述DPD探测请求报文启动重传定时器;
所述探测方设备在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;
所述探测方设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;
如果所述探测方设备向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则所述探测方设备确定所述被探测方设备不存在。
所述探测方设备确定所述被探测方设备不存在,之后还包括:所述探测方设备删除自身存在的所述多个IKESA,并删除自身存在的所述多个IKESA对应的IPsecSA。
本发明实施例提供一种基于IPsec的DPD探测方法,应用于包括探测方设备和被探测方设备的IPsec网络中,该方法包括以下步骤:
所述被探测方设备接收来自所述探测方设备的经过IKESA加密处理的DPD探测请求报文,且所述IKESA为所述探测方设备从自身存在的多个IKESA中选择的最后协商的IKESA;
所述被探测方设备利用自身存在的IKESA对所述DPD探测请求报文进行解密处理;如果解密成功,则利用自身存在的IKESA对DPD探测响应报文进行加密处理,并将加密处理后的DPD探测响应报文发送给所述探测方设备;如果解密不成功,则丢弃所述DPD探测请求报文。
所述方法进一步包括:所述被探测方设备在解密成功时,检查所述DPD探测请求报文的合法性;如果合法性检查通过,则利用自身存在的IKESA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃所述DPD探测请求报文。
本发明实施例提供一种探测方设备,应用于包括所述探测方设备和被探测方设备的IPsec网络中,所述探测方设备包括:
选择模块,用于在本设备上存在多个IKESA时,选择所述多个IKESA中最后协商的IKESA;
处理模块,用于通过选择的IKESA对DPD探测请求报文进行加密处理;
发送模块,用于将加密处理后的DPD探测请求报文发送给被探测方设备;
确定模块,用于当收到被探测方设备返回的经过IKESA加密处理的DPD探测响应报文时,利用本设备存在的IKESA对DPD探测响应报文进行解密处理;当解密成功时,确定所述被探测方设备存在;当解密不成功或没有收到被探测方设备返回的DPD探测响应报文时,确定所述被探测方设备不存在。
所述处理模块,还用于在将加密处理后的DPD探测请求报文发送给所述被探测方设备之后,为所述DPD探测请求报文启动重传定时器;
所述确定模块,进一步用于在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;在合法性检查不通过、或解密不成功、或没有收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;如果向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则确定所述被探测方设备不存在。
还包括删除模块,用于在确定所述被探测方设备不存在时,删除本设备存在的所述多个IKESA,并删除本设备存在的多个IKESA对应的IPsecSA。
本发明实施例提供一种被探测方设备,应用于包括探测方设备和所述被探测方设备的IPsec网络中,所述被探测方设备包括:
接收模块,用于接收来自所述探测方设备的经过IKESA加密处理的DPD探测请求报文,且所述IKESA为所述探测方设备从自身存在的多个IKESA中选择的最后协商的IKESA;
处理模块,用于利用本设备存在的IKESA对所述DPD探测请求报文进行解密处理;并在解密不成功时,丢弃所述DPD探测请求报文;在解密成功时,利用本设备存在的IKESA对DPD探测响应报文进行加密处理;
发送模块,用于将加密处理后的DPD探测响应报文发送给探测方设备。
所述处理模块,进一步用于在解密成功时,检查DPD探测请求报文的合法性;如果合法性检查通过,则利用本设备存在的IKESA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃所述DPD探测请求报文。
与现有技术相比,本发明实施例至少具有以下优点:
本发明实施例中,通过使用最后协商的IKESA对DPD探测请求报文进行加密处理,并利用DPD探测请求报文来检测IPsec对端是否存在,从而及时获知IPsec对端是否存在,并在IPsec对端不存在时,停止向不可达的IPsec对端发送进行加密操作的数据流,以节省CPU资源。
附图说明
图1是现有技术中IPsec与IKE的关系示意图;
图2是本发明实施例的应用场景示意图;
图3是本发明实施例提供的一种基于IPsec的DPD探测方法流程示意图;
图4是本发明实施例中IKE头的格式示意图;
图5是本发明实施例中DPD类型的通知载荷的格式示意图;
图6是本发明实施例提出的一种探测方设备的结构示意图;
图7是本发明实施例提出的一种被探测方设备的结构示意图。
具体实施方式
本发明实施例提出一种基于IPsec的DPD探测方法,该方法应用于包括探测方设备和被探测方设备的IPsec网络中,探测方设备可以为IPsec对等体中的IPsec发起方或IPsec响应方,相应的被探测方设备为IPsec对等体中的IPsec响应方或IPsec发起方;以图2为本发明实施例的应用场景示意图,DeviceA至IPnetwork的出口地址为1.1.1.1,在该接口上部署IPsec,DeviceB至IPnetwork的出口地址为2.2.2.2,在该接口上部署IPsec,因此DeviceA和DeviceB为IPsec对等体,并假设DeviceA为探测方设备,DeviceB为被探测方设备。
在图2所示应用场景下,DeviceA保护的私网中有主机HOST1,DeviceB保护的私网中有主机HOST2,当HOST1有流量需要发送给HOST2时,会触发DeviceA和DeviceB之间建立IPsecSA(如IPsecSA1)和IKESA(如IKESA1);之后如果DeviceB重启,则会触发DeviceA和DeviceB之间再次建立IPsecSA(如IPsecSA2)和IKESA(如IKESA2);此时,DeviceA上有IPsecSA1(该IPsecSA1一直存在到被老化删除)和IPsecSA2,以及IKESA1(该IKESA1一直存在到被老化删除)和IKESA2;由于DeviceB重启之前的IPsecSA和IKESA会被清除,因此DeviceB上只有IPsecSA2和IKESA2。
基于上述应用场景,如图3所示,该方法包括以下步骤:
步骤301,在需要发送DPD探测请求报文时,如果DeviceA上存在有多个IKESA(即多个与DeviceB相对应的IKESA,如IKESA1和IKESA2),则该DeviceA选择多个IKESA中最后协商的IKESA(即DeviceA上最新的一个IKESA,如IKESA2),并通过该选择的IKESA对DPD探测请求报文进行加密处理。
本发明实施例中,确定需要发送DPD探测请求报文的方式包括但不限于:周期性发送DPD探测请求报文或者按需发送DPD探测请求报文。
在周期性发送DPD探测请求报文时,DeviceA将根据预设周期(可以根据实际经验进行设置)确定是否需要发送DPD探测请求报文。
在按需发送DPD探测请求报文时,DeviceA需要在IPsec有出方向流量时,查看当前时间与最近一次收到DeviceB流量的时间之间的时间差值,如果该时间差值超过了设定门限值(该门限值可以根据实际经验进行设置,需要手动配置),则DeviceA确定需要发送DPD探测请求报文。
具体的,为了实现按需发送DPD探测请求报文,DeviceA上需要维护上次从DeviceB收到正确IPsecSA加密流量时的时间戳,记为LastRcvTime;在HOST1发送的流量到达DeviceA后,DeviceA会使用IPsecSA对该流量进行加密,检查当前时间与LastRcvTime之间的时间差值,如果该时间差值达到了DPD探测间隔(即设定门限值),则确定需要发送DPD探测请求报文。
步骤302,DeviceA将加密处理后的DPD探测请求报文发送给DeviceB。
步骤303,DeviceB在收到经过IKESA加密处理的DPD探测请求报文后,利用自身存在的IKESA对DPD探测请求报文进行解密处理。
步骤304,如果解密成功,则DeviceB利用自身存在的IKESA(如IKESA2)对DPD探测响应报文进行加密处理,并将加密处理后的DPD探测响应报文发送给DeviceA;如果解密不成功,则DeviceB丢弃DPD探测请求报文。
本发明实施例中,DeviceA只能通过最后协商的IKESA(如IKESA2)对DPD探测请求报文进行加密处理,而不能通过其它的IKESA(如IKESA1)对DPD探测请求报文进行加密处理。
DeviceA在通过IKESA1对DPD探测请求报文进行加密处理时,由于DeviceB上只存在有IKESA2,因此DeviceB利用自身存在的IKESA对DPD探测请求报文进行解密处理时,解密不成功,不会返回DPD探测响应报文给DeviceA,从而导致DeviceA认为DeviceB不存在,导致错误的探测结果。
DeviceA在通过IKESA2对DPD探测请求报文进行加密处理时,由于DeviceB上只存在有IKESA2,因此DeviceB利用自身存在的IKESA对DPD探测请求报文进行解密处理时,能够解密成功,且会返回DPD探测响应报文给DeviceA,不会导致出现错误的探测结果。
进一步的,DeviceB在解密成功时,还可以检查DPD探测请求报文的合法性;如果合法性检查通过,则DeviceB需要利用自身存在的IKESA对DPD探测响应报文进行加密处理,并执行后续的过程;如果合法性检查不通过,则DeviceB需要直接丢弃DPD探测请求报文。
在一种优选的实施方式中,DeviceB通过检查DPD探测请求报文中的序列号是否为递增的来进行合法性检查;如果当前DPD探测请求报文中的序列号与上一次收到的DPD探测请求报文中的序列号相比是递增的,则DeviceB认为合法性检查通过;否则,DeviceB认为合法性检查不通过。
步骤305,如果DeviceA收到DeviceB返回的经过IKESA(如IKESA2)加密处理的DPD探测响应报文,则利用自身存在的IKESA对DPD探测响应报文进行解密处理;如果解密成功,则确定DeviceB存在;如果解密不成功或没有收到DeviceB返回的DPD探测响应报文,则确定DeviceB不存在。
本发明实施例中,由于DeviceB通过IKESA2对DPD探测响应报文进行加密处理,且DeviceA上存在有IKESA1和IKESA2,因此DeviceA利用自身存在的IKESA对DPD探测响应报文进行解密处理时,能够解密成功。
进一步的,DeviceA在解密成功时,还可以检查DPD探测响应报文的合法性;如果合法性检查通过,则DeviceA确定DeviceB存在;如果合法性检查不通过,则DeviceB需要忽略该DPD探测响应报文,即不能利用该DPD探测响应报文确定DeviceB存在。
在一种优选的实施方式中,DeviceA通过检查DPD探测响应报文中的序列号是否为之前本地发送的序列号(即DPD探测请求报文中的序列号)来进行合法性检查;如果DPD探测响应报文中的序列号与之前本地发送的序列号相同,则DeviceA认为合法性检查通过;否则,认为合法性检查不通过。
在本发明实施例的一种优选实施方式中,DeviceA在将加密处理后的DPD探测请求报文发送给DeviceB之后,需要为DPD探测请求报文启动重传定时器;DeviceA在收到DeviceB返回的DPD探测响应报文,且对DPD探测响应报文解密成功,且DPD探测响应报文的合法性检查通过时,则停止该DPD探测请求报文对应的重传定时器,并确定DeviceB存在。
如果DeviceA没有收到DeviceB返回的DPD探测响应报文,或收到DeviceB返回的DPD探测响应报文、但对DPD探测响应报文解密不成功,或收到DeviceB返回的DPD探测响应报文、对DPD探测响应报文解密不成功、但DPD探测响应报文的合法性检查不通过;则当重传定时器超时后,向DeviceB重新发送DPD探测请求报文(即步骤302),并启动重传定时器。
以此类推,如果DeviceA向DeviceB发送DPD探测请求报文的次数达到预设次数(如3次,预设次数可以根据实际经验值进行设置)后,均没有在重传定时器超时之前,收到DeviceB返回的解密成功且合法性检查通过的DPD探测响应报文,则DeviceA确定DeviceB不存在。
本发明实施例中,如果DeviceA确定DeviceB不存在,则DeviceA还需要删除自身存在的多个IKESA(如IKESA1和IKESA2),并删除自身存在的多个IKESA对应的IPsecSA(如IPsecSA1和IPsecSA2),从而停止向不可达的DeviceB发送进行加密操作的数据流,以节省CPU资源。
在上述的实现过程中,DPD探测请求报文以及DPD探测响应报文中均包括IKE头和DPD类型的通知载荷;其中,IKE头的格式可以如图4所示,DPD类型的通知载荷的格式可以如图5所示。
在图4中,各个字段的含义如下:(1)InitiatorCookie:发起方的Cookie,8个字节;(2)ResponderCookie:响应方的Cookie,8个字节;(3)NextPayload:下一个载荷类型,值为ISAKMP_NEXT_HASH,标识下一个载荷是加密的;(4)MjVer:主版本号,值为1,表明是IKEv1协议;(5)MnVer:次版本号,值为0;(6)ExchangeType:协商类型,此时值为4,表明是通告载荷;(7)Flags:标记;(8)MessageID:消息ID,此时值为0;(9)Length:消息长度,包括该头部长度以及下面的载荷长度。
在图5中,各个字段的含义如下:(1)NextPayload:下一个载荷字段,由于该载荷是最后一个载荷,因此值为0;(2)Reserverd:保留字段,值为0;(3)PayloadLength:载荷长度;(4)DomainofInterpretation(DOI):解释域,取值为1,标识ISAKMP;(5)Protocol-ID:协议ID,取值为1,标识ISAKMP;(6)SPISize:SPI大小,取值为16,两个Cookie的长度;(7)NotifyMessageType:对于发送的DPD探测请求报文,该取值为36136,对于回应的DPD探测响应报文,该取值为36137;(8)SecurityParameterIndex(SPI):两个Cookie,共16字节;(9)NotificationData(序列号):DPD探测报文的序列号,DPD探测响应报文中携带的值需要与DPD探测请求报文中携带的值相同。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种探测方设备,应用于包括所述探测方设备和被探测方设备的IPsec网络中,如图6所示,所述探测方设备包括:
选择模块11,用于在本设备上存在多个IKESA时,选择所述多个IKESA中最后协商的IKESA;
处理模块12,用于通过选择IKESA对DPD探测请求报文进行加密处理;
发送模块13,用于将加密处理后DPD探测请求报文发送给被探测方设备;
确定模块14,用于当收到被探测方设备返回的经过IKESA加密处理的DPD探测响应报文时,利用本设备存在的IKESA对DPD探测响应报文进行解密处理;当解密成功时,确定被探测方设备存在;当解密不成功或没有收到被探测方设备返回的DPD探测响应报文时,确定被探测方设备不存在。
所述处理模块12,还用于在将加密处理后的DPD探测请求报文发送给所述被探测方设备之后,为所述DPD探测请求报文启动重传定时器;
所述确定模块14,进一步用于在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;在合法性检查不通过、或解密不成功、或没有收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;如果向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则确定所述被探测方设备不存在。
本发明实施例中,该探测方设备设备还包括:删除模块15,用于在确定所述被探测方设备不存在时,删除本设备存在的所述多个IKESA,并删除本设备存在的所述多个IKESA对应的IPsecSA。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种被探测方设备,应用于包括探测方设备和所述被探测方设备的IPsec网络中,如图7所示,所述被探测方设备包括:
接收模块21,用于接收来自所述探测方设备的经过IKESA加密处理的DPD探测请求报文,且所述IKESA为所述探测方设备从自身存在的多个IKESA中选择的最后协商的IKESA;
处理模块22,用于利用本设备存在的IKESA对所述DPD探测请求报文进行解密处理;并在解密不成功时,丢弃所述DPD探测请求报文;在解密成功时,利用本设备存在的IKESA对DPD探测响应报文进行加密处理;
发送模块23,用于将加密处理后的DPD探测响应报文发送给探测方设备。
所述处理模块22,进一步用于在解密成功时,检查DPD探测请求报文的合法性;如果合法性检查通过,则利用本设备存在的IKESA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃DPD探测请求报文。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种基于IPsec的死亡对端检测DPD探测方法,应用于包括探测方设备和被探测方设备的IPsec网络中,其特征在于,该方法包括以下步骤:
在所述探测方设备上存在多个安全关联密钥管理协议安全联盟IKESA时,所述探测方设备选择所述多个IKESA中最后协商的IKESA,通过选择的IKESA对DPD探测请求报文进行加密处理,并将加密处理后的DPD探测请求报文发送给所述被探测方设备;
如果所述探测方设备接收到所述被探测方设备返回的经过IKESA加密处理的DPD探测响应报文,则利用自身存在的IKESA对所述DPD探测响应报文进行解密处理;如果解密成功,则确定所述被探测方设备存在;如果解密不成功或者所述探测方设备没有接收到所述被探测方设备返回的DPD探测响应报文,则确定所述被探测方设备不存在。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述探测方设备在将加密处理后的DPD探测请求报文发送给所述被探测方设备之后,为所述DPD探测请求报文启动重传定时器;
所述探测方设备在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;
所述探测方设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;
如果所述探测方设备向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则所述探测方设备确定所述被探测方设备不存在。
3.如权利要求1或2所述的方法,其特征在于,所述探测方设备确定所述被探测方设备不存在,之后还包括:
所述探测方设备删除自身存在的所述多个IKESA,并删除自身存在的所述多个IKESA对应的IPsecSA。
4.一种基于IPsec的死亡对端检测DPD探测方法,应用于包括探测方设备和被探测方设备的IPsec网络中,其特征在于,该方法包括以下步骤:
所述被探测方设备接收来自所述探测方设备的经过安全关联密钥管理协议安全联盟IKESA加密处理的DPD探测请求报文,且所述IKESA为所述探测方设备从自身存在的多个IKESA中选择的最后协商的IKESA;
所述被探测方设备利用自身存在的IKESA对所述DPD探测请求报文进行解密处理;如果解密成功,则利用自身存在的IKESA对DPD探测响应报文进行加密处理,并将加密处理后的DPD探测响应报文发送给所述探测方设备;如果解密不成功,则丢弃所述DPD探测请求报文。
5.如权利要求4所述的方法,其特征在于,所述方法进一步包括:
所述被探测方设备在解密成功时,检查所述DPD探测请求报文的合法性;如果合法性检查通过,则利用自身存在的IKESA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃所述DPD探测请求报文。
6.一种探测方设备,应用于包括所述探测方设备和被探测方设备的IPsec网络中,其特征在于,所述探测方设备包括:
选择模块,用于在本设备上存在多个安全关联密钥管理协议安全联盟IKESA时,选择所述多个IKESA中最后协商的IKESA;
处理模块,用于通过选择的IKESA对死亡对端检测DPD探测请求报文进行加密处理;
发送模块,用于将加密处理后的DPD探测请求报文发送给被探测方设备;
确定模块,用于当收到被探测方设备返回的经过IKESA加密处理的DPD探测响应报文时,利用本设备存在的IKESA对DPD探测响应报文进行解密处理;当解密成功时,确定所述被探测方设备存在;当解密不成功或没有收到被探测方设备返回的DPD探测响应报文时,确定所述被探测方设备不存在。
7.如权利要求6所述的设备,其特征在于,
所述处理模块,还用于在将加密处理后的DPD探测请求报文发送给所述被探测方设备之后,为所述DPD探测请求报文启动重传定时器;
所述确定模块,进一步用于在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测方设备存在;在合法性检查不通过、或解密不成功、或没有收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测方设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;如果向所述被探测方设备发送DPD探测请求报文的次数达到预设次数,且没有收到合法性检查通过的DPD探测响应报文,则确定所述被探测方设备不存在。
8.如权利要求6或7所述的设备,其特征在于,还包括:
删除模块,用于在确定所述被探测方设备不存在时,删除本设备存在的所述多个IKESA,并删除本设备存在的所述多个IKESA对应的IPsecSA。
9.一种被探测方设备,应用于包括探测方设备和所述被探测方设备的IPsec网络中,其特征在于,所述被探测方设备包括:
接收模块,用于接收来自所述探测方设备的经过安全关联密钥管理协议安全联盟IKESA加密处理的死亡对端检测DPD探测请求报文,且所述IKESA为所述探测方设备从自身存在的多个IKESA中选择的最后协商的IKESA;
处理模块,用于利用本设备存在的IKESA对所述DPD探测请求报文进行解密处理;并在解密不成功时,丢弃所述DPD探测请求报文;在解密成功时,利用本设备存在的IKESA对DPD探测响应报文进行加密处理;
发送模块,用于将加密处理后的DPD探测响应报文发送给探测方设备。
10.如权利要求9所述的设备,其特征在于,
所述处理模块,进一步用于在解密成功时,检查DPD探测请求报文的合法性;如果合法性检查通过,则利用本设备存在的IKESA对DPD探测响应报文进行加密处理;如果合法性检查不通过,则丢弃所述DPD探测请求报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210426516.3A CN102946333B (zh) | 2012-10-31 | 2012-10-31 | 一种基于IPsec的DPD探测方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210426516.3A CN102946333B (zh) | 2012-10-31 | 2012-10-31 | 一种基于IPsec的DPD探测方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102946333A CN102946333A (zh) | 2013-02-27 |
| CN102946333B true CN102946333B (zh) | 2015-12-02 |
Family
ID=47729242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210426516.3A Active CN102946333B (zh) | 2012-10-31 | 2012-10-31 | 一种基于IPsec的DPD探测方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102946333B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103227777B (zh) * | 2013-03-26 | 2015-11-25 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN103475655B (zh) * | 2013-09-06 | 2016-09-07 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| CN104092697B (zh) * | 2014-07-18 | 2017-09-15 | 新华三技术有限公司 | 一种基于时间的防重放方法及装置 |
| CN104580167B (zh) * | 2014-12-22 | 2018-11-30 | 腾讯科技(深圳)有限公司 | 一种传输数据的方法、装置和系统 |
| WO2016106589A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
| CN105162794B (zh) * | 2015-09-23 | 2018-04-27 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| CN106487802B (zh) * | 2016-11-07 | 2019-09-17 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
| CN109429253B (zh) * | 2017-07-17 | 2022-04-29 | 展讯通信(上海)有限公司 | VoWiFi业务下WiFi接入点掉网检测的方法、装置及终端 |
| CN111327394B (zh) * | 2018-12-17 | 2022-10-11 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
| CN111262885B (zh) * | 2020-03-18 | 2022-01-28 | 珠海市鸿瑞信息技术股份有限公司 | 基于ipsec的dpd探测系统 |
| CN111884877B (zh) * | 2020-07-23 | 2022-02-15 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
| CN113747434B (zh) * | 2021-10-15 | 2023-08-01 | 湖南麒麟信安科技股份有限公司 | 一种基于IPSec的移动通信安全通信方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
| CN101931610A (zh) * | 2009-06-22 | 2010-12-29 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
| CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080172582A1 (en) * | 2007-01-12 | 2008-07-17 | David Sinicrope | Method and system for providing peer liveness for high speed environments |
-
2012
- 2012-10-31 CN CN201210426516.3A patent/CN102946333B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101931610A (zh) * | 2009-06-22 | 2010-12-29 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
| CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
Non-Patent Citations (1)
| Title |
|---|
| A Traffic-based Method of Detecting Dead Internet Key Exchange (IKE) Peers;Cisco;《IETF数据库》;20040228;正文第1页-13页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102946333A (zh) | 2013-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102946333B (zh) | 一种基于IPsec的DPD探测方法和设备 | |
| CN109413201B (zh) | Ssl通信方法、装置及存储介质 | |
| CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| US20080162934A1 (en) | Secure transmission system | |
| CN109347700B (zh) | 一种测试方法、装置、电子设备和存储介质 | |
| CN106534086B (zh) | 一种设备认证方法、终端设备、服务器及系统 | |
| CN101527729A (zh) | 一种ike可靠报文协商的方法、设备及系统 | |
| CN105656875A (zh) | 基于mptcp的主流连接建立方法及装置 | |
| CN101204067A (zh) | 安全计算两个设备之间的基于时间的长度的方法和设备 | |
| CN110192399B (zh) | 重新建立无线电资源控制连接 | |
| CN103716196A (zh) | 一种网络设备及探测方法 | |
| US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
| CN105262597A (zh) | 网络接入认证方法、客户终端、接入设备及认证设备 | |
| CN104754571A (zh) | 用于多媒体数据传输的用户认证实现方法、装置及其系统 | |
| CN109690543A (zh) | 安全认证方法、集成电路及系统 | |
| CN105610872B (zh) | 物联网终端加密方法和物联网终端加密装置 | |
| US9049012B2 (en) | Secured cryptographic communication system | |
| CN103179225B (zh) | 一种基于IPsec的NAT表项保活方法和设备 | |
| CN110166410B (zh) | 一种安全传输数据的方法、终端及多模通信终端 | |
| CN107040508B (zh) | 用于适配终端设备的授权信息的设备和方法 | |
| CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
| CN104901796A (zh) | 一种认证方法和设备 | |
| JP2023535474A (ja) | アソシエーション制御方法及び関連装置 | |
| CN102014136B (zh) | 基于随机握手的p2p网络安全通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |