CN103716196A - 一种网络设备及探测方法 - Google Patents
一种网络设备及探测方法 Download PDFInfo
- Publication number
- CN103716196A CN103716196A CN201210372170.3A CN201210372170A CN103716196A CN 103716196 A CN103716196 A CN 103716196A CN 201210372170 A CN201210372170 A CN 201210372170A CN 103716196 A CN103716196 A CN 103716196A
- Authority
- CN
- China
- Prior art keywords
- peer
- ipsec
- message
- opposite end
- probe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络设备,用于作为IPsec对等体时探测对端对等体是否正常,所述网络设备通过发送包括探测标志的IPsec SA探测报文发送给对端IPsec对等体。接收并解析对端IPsec对等体返回的IPsec SA响应报文后,确认对端对等体的IPsec SA正常,本申请同时提供确认对方对等体的IPsec是否正常的探测方法。
Description
技术领域
本申请涉及三层隧道加密协议IPsec,尤其是涉及IPsec SA探测的技术。
背景技术
IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据,并在IP层提供了以下安全服务:
·数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。
·数据完整性(Data Integrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
·数据来源认证(Data Authentication):IPsec在接收端可以认证发送IPsec报文的发送端是否合法。
·防重放(Anti-Replay):IPsec接收方可检测并拒绝接收过时或重复的报文。
IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。
IPsec在两个端点之间提供安全通信,端点被称为IPsec对等体。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。IPsec可通过IKE协商建立SA。
IKE使用了两个阶段为IPsec进行密钥协商并建立SA:
(1)第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA,例如主模式(Main Mode)和野蛮模式(Aggressive Mode)两种IKE交换方法。
(2)第二阶段,用在第一阶段建立的安全隧道为IPsec协商安全服务,即为IPsec协商具体的SA,建立用于最终的IP数据安全传输的IPsec SA。
IPsec是一种对等体到对等体的技术,要在IPsec对等体之间建立IPsec会话,它们之间必须有IP连接性,由于路由选择问题、对等体重启等原因,对等体之前可能失去了IP连接性,IKE和IPsec通常都无法感知这一点,在生命周期到来之前,对等体之间的IKE和IPsec SA将一直存在,IPsec会话的中断将引发“黑洞”,导致数据流丢失,对等体需要尽快发现这个“黑洞”,主要原因在于会话的一方继续往不可达的对等体的数据流进行加密操作,这将大大浪费宝贵的CPU资源,其次,由于无法检测到对等体的故障,备用对等体也无法激活。
DPD(Dead Peer Detection)通过检测与IPsec SA对应的IKE SA的状态,来确定IPsec SA的状态。主动探测方发送R-U-THERE消息,被探测方收到该消息后,回应R-U-THER-ACK消息,主动探测方收到该报文后,认为对端在线。这两条消息都是ISAKMP的宣告负载,都是使用IKE SA加密的。
DPD探测不一定精确,由于DPD报文是使用IKE SA保护的,如果对端IKE SA不存在,但是IPsec SA存在,DPD探测会失败。
发明内容
有鉴于此,本申请提供一种网络设备,用于作为IPsec对等体时探测对端对等体是否正常,所述网络设备包括封装模块、发送模块和接收模块,所述封装模块用于将包括有探测标志的报文封装成IPsec SA探测报文,所述发送模块用于将包括探测标志的IPsec SA探测报文发送给对端IPsec对等体使对端对等体返回响应报文,所述接收模块用于接收并解析对端IPsec对等体返回的IPsec SA响应报文后,确认对端对等体IPsec SA正常。所述计数模块用于在所述发送模块发送包括探测标志的IPsec SA探测报文时开始计时,如果计时到期后依然没有收到对端对等体的回复时,通知发送模块重新发送所述探测报文,并启动重传计数,如果重传超过预定次数,则认为对端对等体IPsec不存在。
基于同样的发明思想,本申请提供又一种网络设备,用于响应对端对等体发送的包括探测标志的IPsec SA探测报文,所述网络设备包括解析模块和封装模块,所述解析模块用于解封装收到的IPsec SA报文,判断如果所述报文包括探测标志,则确认收到报文为探测报文,判断如果所述报文不包括探测标志,则确认收到的报文为IPsec SA数据报文,封装模块用于将解析后的IPsec SA探测报文重新封装成响应消息发送给探测方。
基于同样的发明思想,本申请还提供一种探测方法,用于检测对端IPsec对等体IPsec是否正常,所述方法包括:
A IPsec对等体将包括探测标志报文封装成的IPsec SA探测报文;
B将包括探测标志的IPsec SA探测报文发送给对端IPsec对等体使其返回响应报文;
C接收并解析对端IPsec对等体返回IPsec SA响应报文;
D在发送包括探测标志的IPsec SA探测报文时开始计时,如果计时到期后依然没有收到对端对等体的回复时,返回步骤C重新发送所述探测报文,并启动重传计数,如果重传超过预定次数,则认为对端对等体不存在。
基于同样的发明思想,本申请还提供一种探测方法,用于响应对端对等体发送的包括探测标志的IPsec SA探测报文,所述方法包括:
A解封装收到的IPsec SA报文,判断如果所述报文包括探测标志,则确认收到报文为探测报文,执行步骤B;判断如果所述报文不包括探测标志,则确认收到的报文为IPsec SA数据报文,执行步骤C;
B将解析后的IPsec SA探测报文重新封装成响应消息发送给探测方;
C进行正常的解密处理。
通过本申请的设计,可以通过发送经特殊处理的IPsec SA探测报文来检测对端对等体的IPsec是否正常,该技术方案对于报文的改动小,设备兼容性好。
附图说明
图1是本申请提供的一种网络设备图。
图2是本申请提供的另一种网络设备图。
图3是本申请提供的一种实施方法流程图。
图4是本申请提供的又一种实施方法流程图。
图5是本申请一种实施例在AH传输模式下的报文封装示意图。
图6是本申请提供一种实施例时使用的报文格式图。
图7是本申请一种实施例在AH隧道模式下的报文封装示意图。
图8是本申请又一种实施例在AH传输模式下的报文封装示意图。
图9是本申请又一种实施例在ESP隧道模式下的报文封装示意图。
具体实施方式
本申请提供一种网络设备,用于作为IPsec对等体时探测对端对等体IPsec是否正常,如图1所示,所述网络设备包括封装模块、发送模块、接收模块、计数模块,所述封装模块用于将包括有探测标志的报文封装成IPsec SA探测报文,其中,所述探测报文的载荷内容可以为经IPsecSA加密认证操作的序列号,该序列号的作用是可以进一步使对等体确认收到的IPsec SA报文为响应报文,提高确认对端对等体IPsec SA存活的可靠性,在实际使用中,所述探测报文的载荷也可以为任意内容,只要本端对等体收到响应报文后,可以确认所述响应报文的载荷内容为经过与本端IPsec SA对应的IPsec SA加密且本端可以正常解密,即可以确定对端对等体的IPsec SA能够正常工作,这里的确认IPsec SA是否对应是根据收到的响应报文头部中相关字段即可确认,此为现有技术,在此不多作赘述;所述探测标志为预先配置或者经双方协商确定;所述发送模块用于将包括探测标志的IPsec SA探测报文发送给对端IPsec对等体使其回复响应报文,所述接收模块用于接收并解析对端IPsec对等体返回的IPsec SA响应报文后,确认对端对等体IPsec SA正常,其中,所述响应报文的载荷可以为与发送报文相同的序列号,这样便于发送探测报文的对等体方便的判断收到的IPsec SA报文为对端对等体响应的报文,当然也可以为对端对等体任意生成的序列号或者其他任意内容,只要为对应的IPsec SA加密的IPsec SA报文,收到后本端可以正常解密即可证明对端对等体是IPsec SA正常存活的;所述计数模块用于在所述发送模块发送包括探测标志的IPsec SA探测报文时开始计时,如果计时到期后依然没有收到对端对等体的回复时,通知发送模块重新发送所述探测报文,并启动重传计数,如果重传超过预定次数,则认为对端对等体不存在。
其中,上述IPsec SA探测报文是IPsec SA加密数据报文,在IPsec/IKE的组网环境中,正常情况下,IKE SA用来维护控制通道,例如发送通知消息等,IPsec SA用来维护数据通道,例如加解密数据报文等,而本申请使用IPsecSA报文来完成探测的目的,也就是使用数据通道来实现控制消息的功能,这种做法可以更加精确的判断IPsec SA是否存在。
在本申请提供的一个实施例中,所述探测报文的载荷内容是随机产生的序列号,该序列号使用IPsec SA执行加密认证操作发送给对端,对端解析该报文,可以选择将报文中的序列号加密后回填到响应报文的载荷中,也可以选择随机生成新的序列号加密后填写到响应报文的载荷中,作为响应消息发给主动探测方,便可以使探测方知晓,所述报文为探测报文的响应报文,从而实现确认对端对等体认存活的目的。
考虑到网络实时状况的因素,一段时间内,如果探测方在没有收到被探测方的回应时,可以重传探测报文,当重传次数达到上限时(例如3次),认为对端IPsecSA不存在,本地可以删除该IPsec SA。
请参考图2,从探测响应的角度来看,本发明的网络设备还可用于响应对端对等体发送的包括探测标志的IPsec SA探测报文,所述网络设备包括解析模块和封装模块,这里的封装模块与图1中的封装模块可以设计在一起,从软件角度来说可以是一个功能模块在收发两个方向上的不同处理。所述解析模块用于解封装收到的IPsec SA报文,判断如果所述报文包括探测标志,则确认收到报文为探测报文,判断如果所述报文不包括探测标志,则确认收到的报文为IPsec SA数据报文,封装模块用于将解析后的IPsec SA探测报文重新封装成响应消息发送给探测方,本申请还提供一种网络设备,用于接收对端对等体发送的包括探测标志的IPsec SA探测报文,所述网络设备包括解析模块和封装模块,所述解析模块用于解封装收到的IPsec SA报文,根据其包括探测标志确认收到报文为探测报文,封装模块用于将解析后的IPsec SA探测报文重新封装成响应消息发送给探测方,其中,所述响应报文的载荷内容为经与探测报文对应的IPsecSA加密认证操作的序列号,所述序列号可以与探测报文的序列号一致,也可以为任意生成的新的序列号,当然,所述载荷内容也可以为任意的内容。
本申请提供一种方法,利用包括有探测标志的IPsecSA探测报文来检测对端对等体IPsec是否正常,如图3所示,该方法包括:
步骤11,IPsec对等体将包括探测标志报文封装成的IPsecSA探测报文,所述报文的载荷内容是经IPsec SA执行加密认证操作序列号。此步骤由封装模块执行。
步骤13,将包括探测标志的IPsec SA探测报文发送给对端IPsec对等体。此步骤由发送模块执行。
步骤15,接收并解析对端IPsec对等体返回的包括探测标志的IPsec SA探测报文后,确认对端对等体IPsec SA正常。此步骤由接收模块执行。
步骤17,在发送包括探测标志的IPsec SA探测报文时开始计时,如果计时到期后依然没有收到对端对等体的回复时,返回步骤15重新发送所述探测报文,并启动重传计数,如果重传超过预定次数,则认为对端对等体不存在。此步骤由计时模块执行。
以上描述的是探测报文的发送过程,请参考图4从响应对端对等体发送的包括探测标志的IPsec SA探测报文来看,所述方法则可以进一步包括:
步骤21解封装收到的IPsec SA报文,判断如果所述报文包括探测标志,则确认收到报文为探测报文,执行步骤23;判断如果所述报文不包括探测标志,则确认收到的报文为IPsec SA数据报文,执行步骤25;此步骤由解析模块执行。
步骤23将解析后的IPsec SA探测报文重新封装成响应消息发送给探测方;此步骤由封装模块执行。
步骤25进行正常的解密处理。
其中,所述响应报文的载荷内容是经过与探测报文对应的IPsec SA执行加密认证的序列号,所述序列号可以与探测报文的序列号一致,也可以为任意生成的新的序列号,当然,所述载荷内容也可以为任意的内容。
在实际使用中,IPsec有两种工作模式,一种方式是传输(transport)模式,在该方式下,只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。另一种是隧道(tunnel)模式,在该模式下,用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
本申请提供一种实施方式,在此实施例中,经两端对等体协商确定用于标识探测报文的探测标志为特定的协议号,如图5所示,封装前报文格式为IP1Hdr+Inner Data,其中该Inner Data的协议号为255,这个协议号为特定的号码,为预先配置或者经过双方对等体协商后确定,不会和已经分配的协议号冲突,实现过程中,可以采用任意一个特定的协议号来替代这里的协议号255,使用协议号255仅为示例性说明。
以传输模式AH封装为例,经过IPsec加封装的处理后,报文结构如图6所示:IP1Hdr+AH头+Inner Data,其中,IP1Hdr的协议字段为51,标识下一个协议类型为AH,IP头的源地址和目的地址就是协商出的IPsec SA的隧道起始点与终结点地址,AH中的下一个头字段(Next Header)为特定协议号255,标识AH封装的数据为IPsec SA探测数据,InnerData内容为序列号。IPsec对等体将包括特定的协议号的报文按照AH封装模式封装好后发送给对端对等体。
对端IPsec对等体即被探测方收到该报文后,在IPsec SA能够正常工作的情况下,将进入IPsec解封装流程,获取原始报文IP 1Hdr+Inner Data后,获取IP上层数据对应的协议号255,表明该数据为IPsec SA探测数据,解析数据字段获取序列号后,重新封装成IPsec SA响应报文,将所述序列号回填,构造回应的Inner Data,发往探测方。
如果协商的IPsec SA为隧道模式,处理方式和传输模式类似,IPsec封装后的报文格式如图7所示:
IP2Hdr+AH头+IP1Hdr头+Inner Data
其中,IP2Hdr为外层IP头,源目的地址分别为隧道起始点以及终结点的地址,IP1Hdr为内层IP头,其源地址和目的地址符合IPsec SA保护的流信息的范围即可,内层IP1Hdr的下一个协议号为255。
在正常情况下,发送报文从对等体的接口上发送报文,该接口上如果配置了IPsec策略(策略中就包括ACL),如果报文五元组信息和配置的ACL匹配,就会做IPsec封装,而本申请构造的报文是一个特殊的IPsec SA探测报文,绕过上面匹配ACL的过程,直接走物理层发送。
接收方收到报文后,根据三元组查找SA,进行解封装,解封装完毕后,检查协议号为255时,确认为对端发送的探测报文,不能再匹配接口下的IPsec策略,将序列号回填,封装成IPsec SA响应报文,直接走物理层发送,返回给对端对等体。
本申请提供又一种实施方式,此实施例中,经两端对等体协商后确定用来标识探测报文的探测标志为反填的IP地址,以AH传输模式为例,如图8所示,封装前IP报文为IP in IP的报文,IP2Hdr中源目的地址为协商出的IPsec SA的隧道起始点以及终结点地址,IP1Hdr中源目的地址为IP2Hdr中源目的地址的反填。所谓反填,举例来说,如果IP2Hdr源地址为1.1.1.1,目的地址为2.2.2.2,那么IP1Hdr中反填的结果为源地址为2.2.2.2,目的地址为1.1.1.1。
接收方收到该报文后,进入解封装流程,查找到SA后,由于是传输模式的SA,只会去掉AH头部,在去掉AH头补之前,检查AH头下一个载荷类型是否为IP并且源目的地址为隧道两网关地址的反填,将获取到的AH头部后的两个IP地址与IKE SA中对应的网关地址做比较,如果正好相反,就表明为地址反填,则将IP2Hdr也去掉,恢复为内层报文(IP1Hdr+InnerData),由于地址反填了,此时接收方判定该报文为探测报文,根据IP1Hdr可以查找到回应的路由是到发送方的,所以,再将该数据(IP1Hdr+InnerData)再次走加封装转发流程发送给发送方,封装后的报文中,两个IP地址一致,都是源目的地址为隧道两网关的地址,发送方接收到IP1Hdr+AHHdr+InnerData后,执行解封装流程,发现两个IP地址都一样,可以确认为对端的响应报文,更新被探测SA的状态为可用。
隧道模式下,以ESP为例,如图9所示,其中,
IP2Hdr中源目的地址为协商出的IPsec SA的隧道起始点以及终结点地址,IP1Hdr中源目的地址为IP2Hdr中源目的地址的反填。
接收方收到该报文后,进入解封装流程,查找到SA后,将IP2Hdr以及ESP Hdr砍掉,恢复为原始报文(IP1Hdr+InnerData),由于地址反填了,此时接收方判定该报文为探测报文,根据IP1Hdr可以查找到回应的路由是到发送方的,所以,再将该数据(IP1Hdr+InnerData)再次走加封装转发流程发送给发送方,其中,IP1Hdr和IP2Hdr的源地址都是被探测方网关地址、目的地址为探测方网关地址。
发送方接收到IP2Hdr+ESP Hdr+IP1Hdr+InnerData+ESP Tail后,执行解封装流程,发现IP1Hdr和IP2Hdr的源地址都是被探测方网关地址、目的地址为探测方网关地址,可以确认该报文为对端的响应报文,更新被探测SA的状态为可用。
通过本申请的设计,可以通过发送经特殊处理的IPsec SA探测报文来检测对端对等体的IPsec是否正常,该技术方案对于报文的改动小,设备兼容性好。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包括在本申请保护的范围之内。
Claims (10)
1.一种网络设备,用于作为IPsec对等体时探测对端对等体是否正常,其特征在于,所述网络设备包括封装模块、发送模块和接收模块,
所述封装模块,用于将包括探测标志的报文封装成IPsec SA探测报文;
所述发送模块,用于将包括探测标志的IPsec SA探测报文发送给对端IPsec对等体使其返回响应报文,
所述接收模块,用于接收并解析对端IPsec对等体返回的IPsec SA响应报文后,确认对端对等体IPsec SA正常。
2.如权利要求1所述的网络设备,其特征在于,进一步包括计数模块,所述计数模块用于在所述发送模块发送包括探测标志的IPsec SA探测报文时开始计时,如果计时到期后依然没有收到对端对等体的回复时,通知发送模块重新发送所述探测报文,并启动重传计数,如果重传超过预定次数,则认为对端对等体IPsec不存在。
3.如权利要求1所述的网络设备,其特征在于,
所述探测标志为预先配置或者经双方对等体协商确定。
所述探测报文的载荷内容为经IPsec SA加密认证操作的序列号。
4.如权利要求1-3任一所述的网络设备,其特征在于,所述探测标志用于标识所述报文为探测报文,使收到报文的对端对等体返回响应报文,所述探测标志为特定的协议号或者是反填的源IP地址和目的IP地址。
5.如权利要求1所述的网络设备,其特征在于,还包括解析模块所述解析模块用于解封装从对端收到的IPsec SA报文,并在该报文包括探测标志时确认收到报文为探测报文,并在该报文不包括探测标志确认收到的报文为IPsec SA数据报文;所述封装模块用于将解析后的IPsec SA探测报文重新封装成响应发送给对端。
6.一种探测方法,用于检测对端IPsec对等体IPsec是否正常,其特征在于,所述方法包括如下步骤:
步骤A、IPsec对等体将包括探测标志报文封装成的IPsec SA探测报文;
步骤B、将包括探测标志的IPsec SA探测报文发送给对端IPsec对等体使其返回响应报文;
步骤C、接收并解析对端IPsec对等体返回的IPsec SA响应报文后,确认对端对等体IPsec SA正常。
7.如权利要求6所述的方法,其特征在于,所述方法进一步包括:
步骤D、在发送包括探测标志的IPsec SA探测报文时开始计时,如果计时到期后依然没有收到对端对等体的响应报文时,返回步骤C重新发送所述探测报文,并启动重传计数,如果重传超过预定次数,则认为对端对等体不存在。
8.如权利要求7所述的方法,其特征在于,所述探测标志为预先配置或者经双方对等体协商确定,用于标识所述报文为探测报文;所述探测标志为特定的协议号或者是反填的源IP地址和目的IP地址。
9.如权利要求6所述的方法,其特征在于,所述方法还包括如下步骤:
步骤E、解封装收到的IPsec SA报文,判断如果所述报文包括探测标志,则确认收到报文为探测报文,执行步骤F;判断如果所述报文不包括探测标志,则确认收到的报文为IPsec SA数据报文,执行步骤G;
步骤F、将解析后的IPsec SA探测报文重新封装成响应消息发送给探测方;
步骤G、进行正常的解密处理。
10.如权利要求9所述的方法,其特征在于,所述响应报文的载荷内容是经过与探测报文对应的IPsec SA执行加密认证的序列号。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210372170.3A CN103716196B (zh) | 2012-09-28 | 2012-09-28 | 一种网络设备及探测方法 |
US14/039,983 US20140095862A1 (en) | 2012-09-28 | 2013-09-27 | Security association detection for internet protocol security |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210372170.3A CN103716196B (zh) | 2012-09-28 | 2012-09-28 | 一种网络设备及探测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103716196A true CN103716196A (zh) | 2014-04-09 |
CN103716196B CN103716196B (zh) | 2018-10-09 |
Family
ID=50386402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210372170.3A Active CN103716196B (zh) | 2012-09-28 | 2012-09-28 | 一种网络设备及探测方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20140095862A1 (zh) |
CN (1) | CN103716196B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106170949A (zh) * | 2014-12-30 | 2016-11-30 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
CN107682284A (zh) * | 2017-08-02 | 2018-02-09 | 华为技术有限公司 | 发送报文的方法和网络设备 |
CN107743122A (zh) * | 2017-09-29 | 2018-02-27 | 北京知道创宇信息技术有限公司 | 一种数据发送方法、数据接收方法及数据通信系统 |
CN107872332A (zh) * | 2016-09-23 | 2018-04-03 | 华为技术有限公司 | 一种报文转发路径的探测方法及相关装置 |
CN109617717A (zh) * | 2018-11-30 | 2019-04-12 | 锐捷网络股份有限公司 | IPSec SA的检测方法及装置 |
CN110061965A (zh) * | 2019-03-13 | 2019-07-26 | 北京华为数字技术有限公司 | 更新安全联盟的方法、装置、设备及可读存储介质 |
CN111884877A (zh) * | 2020-07-23 | 2020-11-03 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
CN112217685A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | 隧道探测方法、终端设备、系统、计算机设备和存储介质 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9866384B2 (en) * | 2015-10-13 | 2018-01-09 | Oacle International Corporation | Media detection of encrypted tunneled data |
CN109842595A (zh) * | 2017-11-28 | 2019-06-04 | 中天安泰(北京)信息技术有限公司 | 防止网络攻击的方法及装置 |
CN109842597A (zh) * | 2017-11-28 | 2019-06-04 | 中天安泰(北京)信息技术有限公司 | 通信上行数据重构方法及组件 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1845549A (zh) * | 2006-05-17 | 2006-10-11 | 杭州华为三康技术有限公司 | 一种查询IPSec隧道状态的方法 |
CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
US20110225424A1 (en) * | 2008-11-10 | 2011-09-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter Base Station Interface Establishment |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7389357B2 (en) * | 2004-01-20 | 2008-06-17 | Cisco Technology, Inc. | Arrangement in an IP node for preserving security-based sequences by ordering IP packets according to quality of service requirements prior to encryption |
JP3944182B2 (ja) * | 2004-03-31 | 2007-07-11 | キヤノン株式会社 | セキュリティ通信方法 |
JP4047303B2 (ja) * | 2004-06-04 | 2008-02-13 | キヤノン株式会社 | 提供装置、提供プログラム、及び、提供方法 |
US8296839B2 (en) * | 2006-06-06 | 2012-10-23 | The Mitre Corporation | VPN discovery server |
US20080022392A1 (en) * | 2006-07-05 | 2008-01-24 | Cisco Technology, Inc. | Resolution of attribute overlap on authentication, authorization, and accounting servers |
US8091126B2 (en) * | 2006-08-18 | 2012-01-03 | Microsoft Corporation | Failure recognition |
EP2074800A1 (en) * | 2006-10-20 | 2009-07-01 | Panasonic Corporation | Methods in mixed network- and host-based mobility management |
EP2156636A2 (en) * | 2007-05-16 | 2010-02-24 | Panasonic Corporation | Methods in mixed network and host-based mobility management |
JPWO2011039985A1 (ja) * | 2009-09-30 | 2013-02-21 | パナソニック株式会社 | パケット回復方法、パケット回復システム、その方法で用いられる移動端末及び中間装置 |
-
2012
- 2012-09-28 CN CN201210372170.3A patent/CN103716196B/zh active Active
-
2013
- 2013-09-27 US US14/039,983 patent/US20140095862A1/en not_active Abandoned
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1845549A (zh) * | 2006-05-17 | 2006-10-11 | 杭州华为三康技术有限公司 | 一种查询IPSec隧道状态的方法 |
CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
US20110225424A1 (en) * | 2008-11-10 | 2011-09-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter Base Station Interface Establishment |
CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106170949A (zh) * | 2014-12-30 | 2016-11-30 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
CN107872332A (zh) * | 2016-09-23 | 2018-04-03 | 华为技术有限公司 | 一种报文转发路径的探测方法及相关装置 |
CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
CN106487802B (zh) * | 2016-11-07 | 2019-09-17 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
CN107682284B (zh) * | 2017-08-02 | 2021-06-01 | 华为技术有限公司 | 发送报文的方法和网络设备 |
CN107682284A (zh) * | 2017-08-02 | 2018-02-09 | 华为技术有限公司 | 发送报文的方法和网络设备 |
US11277391B2 (en) | 2017-08-02 | 2022-03-15 | Huawei Technologies Co., Ltd. | Packet sending method and apparatus |
CN107743122A (zh) * | 2017-09-29 | 2018-02-27 | 北京知道创宇信息技术有限公司 | 一种数据发送方法、数据接收方法及数据通信系统 |
CN109617717A (zh) * | 2018-11-30 | 2019-04-12 | 锐捷网络股份有限公司 | IPSec SA的检测方法及装置 |
CN110061965A (zh) * | 2019-03-13 | 2019-07-26 | 北京华为数字技术有限公司 | 更新安全联盟的方法、装置、设备及可读存储介质 |
CN110061965B (zh) * | 2019-03-13 | 2022-08-26 | 北京华为数字技术有限公司 | 更新安全联盟的方法、装置、设备及可读存储介质 |
CN112217685A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | 隧道探测方法、终端设备、系统、计算机设备和存储介质 |
CN112217685B (zh) * | 2019-07-11 | 2022-03-25 | 奇安信科技集团股份有限公司 | 隧道探测方法、终端设备、系统、计算机设备和存储介质 |
CN111884877B (zh) * | 2020-07-23 | 2022-02-15 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
CN111884877A (zh) * | 2020-07-23 | 2020-11-03 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103716196B (zh) | 2018-10-09 |
US20140095862A1 (en) | 2014-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103716196A (zh) | 一种网络设备及探测方法 | |
CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
Tschofenig et al. | Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things | |
US7584505B2 (en) | Inspected secure communication protocol | |
US8639936B2 (en) | Methods and entities using IPSec ESP to support security functionality for UDP-based traffic | |
CN102088465B (zh) | 一种基于前置网关的HTTPCookie保护方法 | |
CN102946333B (zh) | 一种基于IPsec的DPD探测方法和设备 | |
CN103491072A (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
CN105376239A (zh) | 一种支持移动终端进行IPSec VPN报文传输方法及装置 | |
CN111355695B (zh) | 一种安全代理方法和装置 | |
CN102196423A (zh) | 一种安全数据中转方法及系统 | |
CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
Fossati | RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things | |
WO2003063444A1 (en) | Method for sending messages over secure mobile communication links | |
CN102202108A (zh) | 实现ipsec在ah模式下nat穿越的方法、设备及系统 | |
WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
KR20190120129A (ko) | 감시카메라에서 촬영된 영상데이터를 전송 받는 양자난수암호 스마트폰 | |
CN109688115A (zh) | 一种数据安全传输系统 | |
Bittau et al. | TCP-ENO: Encryption negotiation option | |
Burgstaller et al. | Anonymous communication in the browser via onion-routing | |
CN104113889A (zh) | 一种基于回传通道的连接建立的方法及装置 | |
CN101360096B (zh) | 一种应用于数字医疗的系统安全规划方法 | |
CN101115055A (zh) | 通信网络中报告隧道数据包中各级错误的装置及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |