CN103227777A - 一种防止dpd探测失败导致ipsec隧道震荡的方法 - Google Patents

一种防止dpd探测失败导致ipsec隧道震荡的方法 Download PDF

Info

Publication number
CN103227777A
CN103227777A CN2013100993804A CN201310099380A CN103227777A CN 103227777 A CN103227777 A CN 103227777A CN 2013100993804 A CN2013100993804 A CN 2013100993804A CN 201310099380 A CN201310099380 A CN 201310099380A CN 103227777 A CN103227777 A CN 103227777A
Authority
CN
China
Prior art keywords
peer
ipsec
ike
dpd
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013100993804A
Other languages
English (en)
Other versions
CN103227777B (zh
Inventor
陈海滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201310099380.4A priority Critical patent/CN103227777B/zh
Publication of CN103227777A publication Critical patent/CN103227777A/zh
Priority to PCT/CN2013/089245 priority patent/WO2014153989A1/zh
Application granted granted Critical
Publication of CN103227777B publication Critical patent/CN103227777B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,当所述ipsec对等体连续发送多个dpd探测报文后仍没有收到对端ipsec对等体的dpd响应探测报文时,继续判断是否有与该ipsec对等体的ikesa原地址和目的地址相同的ike sa,若没有,则删除该ipsec对等体的ike sa,若有,则不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa;本发明使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。

Description

一种防止dpd探测失败导致ipsec隧道震荡的方法
技术领域
本发明涉及计算机网络领域,特别涉及一种防止dpd探测失败导致ipsec隧道震荡的方法。
背景技术
Ipsec隧道包括协议报文和数据报文两种,其中,协议报文是由主机报文处理的ike报文;sa是Ipsec对等体间对某些要素的约定,Ipsec可以通过ike协商建立sa。所述ike协商在建立sa时分为两个阶段:第一协商阶段和第二协商阶段;所述第一协商阶段用于生成对所述协议报文进行加密的密钥,即ike sa;所述第二协商阶段用于生成对所述数据报文加密的密钥,即ipsec sa,且在第二协商阶段协商成功后发送数据报文。
但是,网络上由于报文重传等原因会导致ipsec对等体同时触发ike协商,如防火墙a和防火墙b在所述第一协商阶段同时发送请求协商报文,从而生成了原地址和目的地址完全相同的两对ike sa,举例说明场景:
fwa---------------------------fwb
Ike sa a1--------------------------------ike sa b1
Ike sa a2--------------------------------ike sa b2
如上所述,这两条ike sa如果都是完整的状态,则没有任何问题,如果协商过程中只有一对儿ike sa协商成功,则协商成功的ike sa继续进行所述第二协商阶段,以生成ipsec sa;而另一对儿ike sa协商失败,且协商失败的所述ike sa的一端已经协商完毕,具体场景如下:
Ike sa a1--------------------------------ike sa b1
Ike sa a2
协商失败的ike sa一端已经协商完毕(即ike sa a2存在),另一端由于协议报文丢包导致没有协商成功而没有此ike sa时(即相应的ike sa b2不存在),此时ike sa a2发送dpd报文,而对端没有对应的ike sa b2来回应所述dpd报文,则fw a就会删除本端dpd报文所对应的ike sa,同时删除原地址和目的地址与该ike sa相同的ipsec sa,从而出现ipsec隧道震荡。
基于此,现有技术确实有待于改善。
发明内容
针对现有技术的不足,本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
为实现以上目的,本发明通过以下技术方案予以实现:
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ike sa的协商;
S2、所述ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsec sa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ike sa原地址和目的地址相同的ike sa,若没有,则删除该ipsec对等体的ike sa,若有,则不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa。
优选的,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文。
优选的,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
优选的,所述步骤S1进一步包括:
两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ike sa的协商。
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
附图说明
图1为本发明一实施例的流程图。
具体实施方式
下面对于本发明所提出的一种防止dpd探测失败导致ipsec隧道震荡的方法,结合附图和实施例详细说明。
在现有技术中,当所述ipsec对等体发送给所述对端ipsec对等体dpd报文时,所述对端ipsec对等体如果找不到dpd报文中相同cookie的ikesa,则说明此dpd报文不能处理,则直接丢弃,当所述ipsec对等体连续发送5个dpd报文仍然没有回应dpd报文时,说明此链路已经异常就会删除本端dpd对应的ike sa,同时也删除原地址和目的地址与此ike sa相同的ipsec sa,这将导致ipsec隧道震荡。
如图1所示,本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ike sa的协商;
S2、所述ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsec sa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ike sa原地址和目的地址相同的ike sa,若没有,则删除该ipsec对等体的ike sa,若有,则说明有备用隧道,那么不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa。
优选的,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文;即每个dpd报文带着对应于ike sa唯一的一对cookie,也就是每对儿ike sa的cookie都不一样。
优选的,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
优选的,所述步骤S1进一步包括:两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ike sa的协商。
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (4)

1.一种防止dpd探测失败导致ipsec隧道震荡的方法,其特征在于,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ike sa的协商;
S2、所述ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsec sa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ike sa原地址和目的地址相同的ike sa,若没有,则删除该ipsec对等体的ike sa,若有,则不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa。
2.如权利要求1所述的方法,其特征在于,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文。
3.如权利要求2所述的方法,其特征在于,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
4.如权利要求1-3任一项所述的方法,其特征在于,所述步骤S1进一步包括:
两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ike sa的协商。
CN201310099380.4A 2013-03-26 2013-03-26 一种防止dpd探测失败导致ipsec隧道震荡的方法 Expired - Fee Related CN103227777B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201310099380.4A CN103227777B (zh) 2013-03-26 2013-03-26 一种防止dpd探测失败导致ipsec隧道震荡的方法
PCT/CN2013/089245 WO2014153989A1 (zh) 2013-03-26 2013-12-12 一种防止dpd探测失败导致ipsec隧道震荡的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310099380.4A CN103227777B (zh) 2013-03-26 2013-03-26 一种防止dpd探测失败导致ipsec隧道震荡的方法

Publications (2)

Publication Number Publication Date
CN103227777A true CN103227777A (zh) 2013-07-31
CN103227777B CN103227777B (zh) 2015-11-25

Family

ID=48838038

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310099380.4A Expired - Fee Related CN103227777B (zh) 2013-03-26 2013-03-26 一种防止dpd探测失败导致ipsec隧道震荡的方法

Country Status (2)

Country Link
CN (1) CN103227777B (zh)
WO (1) WO2014153989A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103475647A (zh) * 2013-08-23 2013-12-25 天津汉柏汉安信息技术有限公司 一种防止ipsec隧道重协商失败的方法
WO2014153989A1 (zh) * 2013-03-26 2014-10-02 汉柏科技有限公司 一种防止dpd探测失败导致ipsec隧道震荡的方法
WO2016106589A1 (zh) * 2014-12-30 2016-07-07 华为技术有限公司 失效对等体检测方法、IPsec对等体和网络设备
CN106302248A (zh) * 2016-08-31 2017-01-04 杭州华三通信技术有限公司 一种邻居建立方法及装置
CN111327394A (zh) * 2018-12-17 2020-06-23 北京华为数字技术有限公司 一种报文发送方法及装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10432675B2 (en) 2017-04-17 2019-10-01 Microsoft Technology Licensing, Llc Collision prevention in secure connection establishment
CN111641545B (zh) * 2020-05-15 2022-06-21 深信服科技股份有限公司 一种隧道探测方法及装置、设备、存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1652502A (zh) * 2004-02-06 2005-08-10 松下电器产业株式会社 通信装置和通信程序
CN101227485A (zh) * 2008-02-04 2008-07-23 杭州华三通信技术有限公司 协商因特网密钥交换安全联盟生存周期的方法及设备
CN101309273A (zh) * 2008-07-16 2008-11-19 杭州华三通信技术有限公司 一种生成安全联盟的方法和装置
CN101442471A (zh) * 2008-12-31 2009-05-27 杭州华三通信技术有限公司 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构
CN102420770A (zh) * 2011-12-27 2012-04-18 汉柏科技有限公司 Ike报文协商方法及设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1917516A (zh) * 2006-07-31 2007-02-21 杭州华为三康技术有限公司 一种协商安全联盟的方法
JP2011077931A (ja) * 2009-09-30 2011-04-14 Canon Inc IPsec通信方法および装置
CN102946333B (zh) * 2012-10-31 2015-12-02 杭州华三通信技术有限公司 一种基于IPsec的DPD探测方法和设备
CN102970293B (zh) * 2012-11-20 2016-05-04 杭州华三通信技术有限公司 一种设备间安全联盟同步方法及装置
CN103227777B (zh) * 2013-03-26 2015-11-25 汉柏科技有限公司 一种防止dpd探测失败导致ipsec隧道震荡的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1652502A (zh) * 2004-02-06 2005-08-10 松下电器产业株式会社 通信装置和通信程序
CN101227485A (zh) * 2008-02-04 2008-07-23 杭州华三通信技术有限公司 协商因特网密钥交换安全联盟生存周期的方法及设备
CN101309273A (zh) * 2008-07-16 2008-11-19 杭州华三通信技术有限公司 一种生成安全联盟的方法和装置
CN101442471A (zh) * 2008-12-31 2009-05-27 杭州华三通信技术有限公司 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构
CN102420770A (zh) * 2011-12-27 2012-04-18 汉柏科技有限公司 Ike报文协商方法及设备

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014153989A1 (zh) * 2013-03-26 2014-10-02 汉柏科技有限公司 一种防止dpd探测失败导致ipsec隧道震荡的方法
CN103475647A (zh) * 2013-08-23 2013-12-25 天津汉柏汉安信息技术有限公司 一种防止ipsec隧道重协商失败的方法
WO2016106589A1 (zh) * 2014-12-30 2016-07-07 华为技术有限公司 失效对等体检测方法、IPsec对等体和网络设备
CN106170949A (zh) * 2014-12-30 2016-11-30 华为技术有限公司 失效对等体检测方法、IPsec对等体和网络设备
CN106302248A (zh) * 2016-08-31 2017-01-04 杭州华三通信技术有限公司 一种邻居建立方法及装置
CN106302248B (zh) * 2016-08-31 2021-10-12 新华三技术有限公司 一种邻居建立方法及装置
CN111327394A (zh) * 2018-12-17 2020-06-23 北京华为数字技术有限公司 一种报文发送方法及装置
CN111327394B (zh) * 2018-12-17 2022-10-11 北京华为数字技术有限公司 一种报文发送方法及装置

Also Published As

Publication number Publication date
WO2014153989A1 (zh) 2014-10-02
CN103227777B (zh) 2015-11-25

Similar Documents

Publication Publication Date Title
CN103227777A (zh) 一种防止dpd探测失败导致ipsec隧道震荡的方法
JP6406681B2 (ja) プレアソシエーションサービスディスカバリのためのシステムおよび方法
US10044585B2 (en) Virtual private network dead peer detection
US20140298037A1 (en) Method, apparatus, and system for securely transmitting data
CN101582856B (zh) 一种门户服务器与宽带接入设备的会话建立方法及其系统
KR20140023991A (ko) 머신-대-머신 노드 소거 절차
US10193907B2 (en) Intrusion detection to prevent impersonation attacks in computer networks
US20170208630A1 (en) Wireless connection establishing methods and wireless connection establishing apparatuses
JP5415563B2 (ja) アドレス生成、通信および、または正当性検査に関連する方法および装置
CN104954386A (zh) 一种网络反劫持方法及装置
CN104967590A (zh) 一种传输通信消息的方法、装置和系统
WO2014116152A1 (en) Communication apparatus, control method thereof, computer program thereof, relaying apparatus, control method thereof, computer program thereof
CN101599968A (zh) 可靠匿名传输方法及系统
CN101521602B (zh) 利用IKE监测IPSec VPN中通信节点状态的实现方法
WO2016008212A1 (zh) 一种终端及检测终端数据交互的安全性的方法、存储介质
JP2016134861A (ja) ノード装置、ネットワークシステム及びノード装置の接続方法
CN104580346A (zh) 数据传输方法及装置
US20180183584A1 (en) IKE Negotiation Control Method, Device and System
WO2018053895A1 (zh) 物联网接入点基于类型的上行数据加密控制方法及装置
Han et al. Security offloading network system for expanded security coverage in IPv6-based resource constrained data service networks
CN102668504B (zh) 具有改善转换的速度和质量的密钥分配功能的方法和设备
CN115333782A (zh) 数据发送方法、数据接收方法、存储介质及计算机设备
GB2414907A (en) Deleting Security Associations according to traffic levels
CN113810427B (zh) 一种渗透测试方法、终端设备及存储介质
Burgstaller et al. Anonymous communication in the browser via onion-routing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20151125

Termination date: 20180326