CN103973687A - Ip安全联盟维护方法及装置 - Google Patents
Ip安全联盟维护方法及装置 Download PDFInfo
- Publication number
- CN103973687A CN103973687A CN201410193446.0A CN201410193446A CN103973687A CN 103973687 A CN103973687 A CN 103973687A CN 201410193446 A CN201410193446 A CN 201410193446A CN 103973687 A CN103973687 A CN 103973687A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- information
- interface
- message
- send
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出IP安全联盟维护方法及装置,应用于GDVPN中。方法包括:GM上配置有SA空闲定时器,当GM接收到KS发来的IPSec SA信息时,启动自身的SA空闲定时器,保存所述IPSec SA信息,并以所述IPSec SA信息中的流信息更新自身使能了GDOI类型的IPSec策略的接口的IPSec ACL,所述IPSec SA信息包括:加密信息和流信息;当在所述定时器计时期间,从所述接口发出的或者收到的报文中没有任何报文与所述接口的IPSec ACL匹配上,则GM删除所述IPSec SA信息,并向KS发送IPSec SA信息删除通告报文。本发明减轻了GM和KS的负担。
Description
技术领域
本发明涉及GDVPN(Group Domain Virtual Private Network,组域虚拟专网)技术领域,尤其涉及GDVPN中的IP安全联盟维护方法及装置。
背景技术
GDVPN是一种实现密钥和策略集中管理的解决方案,是下一代WANVPN(Wide Area Network VPN,广域网VPN)解决方案。传统的IPSec VPN(IP Security VPN,IP安全VPN)是一种点到点的隧道连接,而GDVPN是一种点到多点的tunnel-less(无隧道)VPN连接(透明模式)。
GDVPN在实现时主要包括三部分:KS(Key Server,密钥服务器)、GM(Group Member,组成员)和GDOI(Group Domain of Interpretation,组解释域)。其中,KS为所有GM分发IPSec SA信息,包括:SPI(SecurityParameter Index,安全参数索引)、使用的加密协议、加密协议对应的加密验证算法、字节生命周期、时间生命周期、流信息,GM利用KS分发的IPSecSA信息对流量加密和解密,GDOI协议是GM和KS之间进行IPSec SA(Security Association,安全联盟)信息的管理交互时使用的协议。
GDVPN中的密钥协商及使用过程如图1所示,主要包括:
步骤101:当GM启动后,或者将IPSec策略应用到GM的接口后,GM和KS之间进行IKE(Internet Key Exchange,因特网密钥交换)第一阶段的协商。
具体地,KS通过IKE来认证GM,并且建立IKE SA,以通过IKE SA来保护整个GDOI注册过程。
步骤102:GM向KS发送GDOI注册请求,KS收到该请求,向GM发送IPSec SA信息,GM将该IPSec SA信息存入SAD(Security AssociationDatabase,安全联盟数据库),并将该IPSec SA信息中的流信息放入IPSec ACL中。
其中,IPSec ACL包含了需要执行IPSec策略的流信息,如:五元组,每一条流信息对应一条ACL表项。
当GM从KS获取了IPSec SA信息之后,即与其它GM建立了IPSec SA。此后,当GM要向其它GM发送数据,或者接收到来自其它GM的数据时,若该数据的流信息与IPSec ACL匹配上,则就在SAD中查找到对应的IPSecSA信息,利用该IPSec SA信息对该数据进行加密或解密。
步骤103:GM接收KS周期性发送的IPSec SA更新报文,该报文中包含最新的IPSec SA信息。
KS会周期性地对IPSec SA信息进行更新。
GM上也会保存IPSec SA信息的更新周期,如果在IPSec SA信息的更新周期超期之前一段时间如:60秒,GM还没有收到KS发来的IPSec SA更新报文,则GM会重新执行步骤102,以主动向KS请求最新的IPSec SA信息。
发明内容
本发明提供IP安全联盟维护方法及装置,以减轻GM和KS的负担。
本发明的技术方案是这样实现的:
一种IP安全联盟维护方法,应用于组域虚拟专网GDVPN中,组成员GM上配置有安全联盟SA空闲定时器,该方法包括:
当GM接收到密钥服务器KS发来的IPSec SA信息时,启动自身的SA空闲定时器,保存所述IPSec SA信息,并以所述IPSec SA信息中的流信息更新自身使能了组解释域GDOI类型的IPSec策略的接口的IPSec访问控制列表ACL,所述IPSec SA信息包括:加密信息和流信息;
当在所述定时器计时期间,从所述接口发出的或者收到的报文中没有任何报文与所述接口的IPSec ACL匹配上,则GM删除所述IPSec SA信息,并向KS发送IPSec SA信息删除通告报文。
一种IP安全联盟维护方法,应用于组域虚拟专网GDVPN中,该方法包括:
密钥服务器KS接收到组成员GM发来的IP安全IPSec信息删除通告报文,将所述GM的状态标记为“空闲”;
当所述KS要发出更新的IPSec安全联盟SA信息时,查看自身标记的各GM的状态,若有任何GM被标记为“空闲”,则判断本次要发出的IPSecSA信息中的流信息是否有更新,若有更新,则删除各具有“空闲”标记的GM上的“空闲”标记,并向所有GM发出更新的IPSec SA信息,若没有更新,则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。
一种IP安全联盟维护装置,应用于组域虚拟专网GDVPN中的组成员GM上,该装置包括:
第一模块:当本GM接收到密钥服务器KS发来的IPSec SA信息时,启动本GM的SA空闲定时器,保存所述IPSec SA信息,并以所述IPSec SA信息中的流信息更新本GM上使能了组解释域GDOI类型的IPSec策略的接口的IPSec访问控制列表ACL;
第二模块:当在本GM的SA空闲定时器计时期间,从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上,则删除本GM的IPSec SA信息,并向KS发送IPSec SA信息删除通告报文。
一种IP安全联盟维护装置,应用于组域虚拟专网GDVPN中的密钥服务器KS上,该装置包括:
第一模块:从本KS接收到组成员GM发来的IP安全IPSec SA信息删除通告报文,将该GM的状态标记为“空闲”;
第二模块:当本KS要发出更新的IPSec安全联盟SA信息时,查看本KS上标记的各GM的状态,若有任何GM被标记为“空闲”,则判断本次要发出的IPSec SA信息中的流信息是否有更新,若有更新,则删除各具有“空闲”标记的GM上的“空闲”标记,并向所有GM发出更新的IPSec SA信息,若没有更新,则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。
可见,本发明可以动态删除GM上的“无用”IPSec SA信息,使得GM不用一直维护、保留“无用”的IPSec SA信息,减轻了GM的负担;同时,KS在GM不需要“无用”的IPSec SA信息后,也无需再向GM周期性发送更新的IPSec SA信息,减轻了KS的负担。
附图说明
图1为现有的GDVPN中的密钥协商及使用流程图;
图2为GDVPN的组网示例图;
图3为本发明一实施例提供的IPSec SA维护方法流程图;
图4为本发明又一实施例提供的IPSec SA维护方法流程图;
图5为本发明一实施例提供的IPSec SA维护装置的组成示意图;
图6为本发明又一实施例提供的IPSec SA维护装置的组成示意图。
具体实施方式
在GDVPN体系中,KS会周期性地向GM推送IPSec SA信息,只要没有特殊情况如:链路断掉、手工删除GM上的相关配置等,GM上的IPSec SA信息就会一直存在,而不管该IPSec SA信息是否用到;同时KS要维护IPSecSA信息,且要周期性向GM发送IPSec SA信息。
当GM上的IPSec SA信息内容过多时,KS发送的IPSec SA信息的内容将会很大,对该信息的处理将消耗较多资源。
以图2为例,有3个GM加入KS的一个域中,分别为:GM1、GM2、GM3,KS保护三个GM所在私网之间的流量。KS向三个GM统一下发IPSec SA信息。但GM1所在私网很少与其它两GM所在私网进行通信,下发到GM1上的IPSec SA信息也许在未来很长一段时间内都不会用到,但是GM1仍然要保留IPSec SA信息,且,当IPSec SA信息的更新周期到来时,KS还要为GM1构造IPSec SA更新报文并发送给GM1,GM1还要再耗费资源去更新“无用”的IPSec SA信息。
基于此,本发明实施例技术方案中,GM可根据自身处理流量,动态删除无用的IPSec SA信息,同时KS也无需频繁地向删除了无用的IPSec SA信息的GM周期性地发送IPSec SA更新报文,这样可减少GM和KS的资源消耗。具体来说,可在GDVPN中的GM上配置有SA空闲定时器,当GM接收到KS发来的IPSec SA信息时,启动自身的SA空闲定时器,保存IPSecSA信息,并以该IPSec SA信息中的流信息更新自身使能了GDOI类型的IPSec策略的接口的IPSec ACL,其中,IPSec SA信息包括:加密信息和流信息;当在该定时器计时期间,从接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上,则GM删除该IPSec SA信息,并向KS发送IPSec SA信息删除通告报文。
为便于理解本发明实施例技术方案,下面将以具体实例实现过程对本发明技术方案进行详细说明。
图3为本发明一实施例提供的IPSec SA维护方法流程图,其具体步骤如下:
步骤301:为GDVPN中的GM配置SA空闲定时器。
在实际应用中,GM通常都配置在路由器上,一个路由器可以配置多个GM,每个GM加入KS上的一个域,属于同一域的GM之间可以加密通信。位于同一路由器上的不同GM可以加入相同的域,也可以加入不同的域。每个GM具有唯一的IP地址,KS可以通过GM的IP地址来区分GM。每个GM具有使能了GDOI类型的IPSec策略的接口,通过该接口与同一域的其它GM进行加密通信,该接口上具有IPSec ACL,该IPSec ACL根据KS下发的IPSec SA信息中的流信息生成。
SA空闲定时器的定时时长根据经验进行设定。
在实际应用中,若预先已经得知哪一个或多个GM所在私网很少与其它GM所在私网进行通信,可只针对该一个或多个GM配置SA空闲定时器。
步骤302:对于任一GM,当该GM接收到KS发来的IPSec SA信息时,启动自身的SA空闲定时器,将该IPSec SA信息保存到SAD中,同时,以该IPSec SA信息中的流信息更新自身使能了GDOI类型的IPSec策略的接口的IPSec ACL中的流信息。
这里,只要该GM接收到KS发来的IPSec SA信息,就启动一次自身的SA空闲定时器,该IPSec SA信息可以是KS接收到GM发来的GDOI注册请求后发来的,也可以是KS通过周期性发送的IPSec SA更新报文发来的。
这里的“IPSec SA信息”的内容与步骤102中的“IPSec SA信息”相同。
步骤303:对于任一启动了SA空闲定时器的GM,当该GM发现在自身的SA空闲定时器计时期间,从自身使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上时,该GM在SAD中查找到自身的IPSec SA信息,删除该IPSec SA信息,并向KS发送IPSec SA信息删除通告报文。
这里,GM只会从SAD中删除自身的IPSec SA信息,而不会删除自身使能了GDOI类型的IPSec策略的接口上的IPSec ACL。
IPSec SA信息删除通告报文的格式可与现有的IKE协议中的通告报文(Notify Message)的格式相同。其中,将Notify Message的载荷部分的DOI字段的值取为2,以表示GDOI;将Notify Message的载荷部分的NotifyMessage Type字段的值取为代表“删除”类型的值,以表示该报文是一个删除类型的Notify Message。
KS接收到IPSec SA信息删除通告报文后的处理过程见图4所示流程。
对于任一启动了SA空闲定时器的GM,在该SA空闲定时器计时期间,当该GM发现从自身使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时,则重新启动该定时器;或者,在该定时器计时期间,若该GM发现从自身使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上,则在该定时器超时时,重新启动该定时器。
IPSec SA信息删除通告报文可以使用GM与KS在IKE协商过程中得到的IKE SA信息进行保护。
步骤304:对于删除了IPSec SA信息的GM,当该GM发现从自身使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时,向KS发送GDOI注册请求,并将请求到的IPSecSA信息保存到SAD中,同时以该IPSec SA信息中的流信息更新自身使能了GDOI类型的IPSec策略的接口的IPSec ACL中的流信息,同时,重新启动自身的SA空闲定时器。
或者,对于删除了IPSec SA信息的GM,当该GM接收到KS发来的IPSec SA更新报文时,将该报文中的IPSec SA信息保存到SAD中,同时以该IPSec SA信息中的流信息更新自身使能了GDOI类型的IPSec策略的接口的IPSec ACL中的流信息,同时,重新启动自身的SA空闲定时器,其中,IPSec SA更新报文为:KS发现IPSec SA信息的更新周期到来,且发现本次要发出的IPSec SA信息中的流信息有更新时,向该GM发出的。
上面主要是基于以GM角度对IPSec SA维护过程进行了说明,下面将会以KS角度,对IPSec SA维护过程进行说明。
图4为本发明又一实施例提供的IPSec SA维护方法流程图,其具体步骤如下:
步骤401:GDVPN中的KS接收到任一GM发来的IPSec SA信息删除通告报文,在自身将该GM的状态标记为“空闲”。
步骤402:当IPSec SA信息的更新周期到来时,KS查看自身标记的所有GM的状态。
步骤403:KS判断是否有任何GM被标记为“空闲”,若是,执行步骤404;否则,执行步骤407。
步骤404:KS判断本次要发出的IPSec SA更新报文中的IPSec SA信息中的流信息是否有更新,若是,执行步骤405;否则,执行步骤406。
步骤405:对于任一被标记为“空闲”的GM,KS删除该GM上的“空闲”标记,并向所有GM发出携带最新的IPSec SA信息的IPSec SA更新报文,本流程结束。
步骤406:KS只向未被标记为“空闲”的GM发出携带最新的IPSec SA信息的IPSec SA更新报文,本流程结束。
步骤407:KS向所有GM发出携带最新的IPSec SA信息的IPSec SA更新报文。
另外,当KS接收到GM发来的GDOI注册请求时,向该GM发送IPSecSA信息,且若发现该GM被标记为“空闲”,则删除该GM上的“空闲”标记。
其中,上述的将GM标记为“空闲”是指相应的GM上已删除相关IPSec SA信息,实际应用中,可通过标记为设定的字符或其它标识来标识“空闲”,当然实际应用中,也可不叫“空闲”,只要可表示GM上删除相关IPSec SA即可。
上述分别是以GM角度和KS角度对IPSec SA信息维护过程进行了说明,实际上,上述两个方法流程中的步骤是交叉进行的,下面将以具体应用中IPSec SA信息的维护过程再进行详细说明。
以下给出本发明的应用示例:
仍以图2为例,GM1、GM2、GM3分别位于不同路由器上,且加入了KS的同一域,KS向GM1、GM2、GM3分配IPSec SA信息,以对三个GM所在私网之间交互的流量进行加密、认证等保护,对于三个GM所在私网访问其它网络的流量则不进行保护。
其中,GM1所在私网内的用户很少与其余两GM所在私网内的用户进行通信,管理员为GM1配置了一个SA空闲定时器,定时时长为X秒;
GM1发现自身使能了GDOI类型的IPSec策略的接口在X秒内发出或收到的报文没有任何报文与该接口的IPSec ACL匹配上,则GM1从SAD中删除自身的IPSec SA信息,并向KS发送IPSec SA信息删除通告报文;
KS收到GM1发来的IPSec SA信息删除通告报文后,记录GM1的状态为“空闲”;
当KS发现IPSec SA信息的更新周期到来时,查看自身记录的GM的状态,发现GM1被记录为“空闲”,则判断本次要发出的IPSec SA更新报文中的IPSec SA信息中的流信息是否有更新,若是,则删除GM1的“空闲”记录,向所有GM发出IPSec SA更新报文,若否,则只向未被记录为“空闲”的GM2、GM3发出IPSec SA更新报文;
若GM1收到了KS发送的IPSec SA更新报文,则将该报文中的IPSec SA信息保存到SAD中,同时以该IPSec SA信息中的流信息更新自身使能了GDOI类型的IPSec策略的接口的IPSec ACL中的流信息。
或者,若GM1发现自身使能了GDOI类型的IPSec策略的接口上要发出的或者收到的报文与该接口的IPSec ACL匹配上,但是在SAD中没有查找到自身的IPSec SA信息,则向KS发起GDOI注册请求,以从KS获取到IPSec SA信息,并将获取到的IPSec SA信息保存到SAD中,并以该IPSecSA信息中的流信息更新自身使能了GDOI类型的IPSec策略的接口的IPSecACL中的流信息,使用该IPSec SA信息对该接口上发出或收到的流量进行保护。
从以上实施例可以看出,本发明的优点如下:
1)GM不用保留“无用”的IPSec SA信息,且在不需要“无用”的IPSec SA信息时,不会从KS接收到IPSec SA更新报文,减轻了GM的负担。
2)在GM不需要IPSec SA信息时,KS无需向GM发送IPSec SA更新报文,减轻了KS的负担。
图5为本发明一实施例提供的IPSec SA维护装置的组成示意图,应用于GDVPN中的GM上,该装置主要包括:
第一模块:当本GM接收到KS发来的IPSec SA信息时,启动本GM的SA空闲定时器,保存该IPSec SA信息,并以该IPSec SA信息中的流信息更新本GM上使能了GDOI类型的IPSec策略的接口的IPSec ACL。
第二模块:当在本GM的SA空闲定时器计时期间,从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上,则删除本GM的IPSec SA信息,并向KS发送IPSec SA信息删除通告报文。
其中,第二模块进一步用于,在本GM的SA空闲定时器计时期间,当从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时,重新启动该定时器;或者,在该定时器计时期间,若发现从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上,则在该定时器超时时,重新启动该定时器
其中,第二模块在删除本GM的IPSec SA信息之后进一步用于,当接收到KS发来的更新的IPSec SA信息时,保存该IPSec SA信息,并以该IPSecSA信息中的流信息更新本GM上使能了GDOI类型的IPSec策略的接口的IPSec ACL,同时,重新启动本GM的SA空闲定时器,其中,更新的IPSecSA信息为:KS发现IPSec SA信息的更新周期到来,且发现本次要发出的IPSec SA信息中的流信息有更新时,向本GM发出的。
其中,第二模块在删除本GM的IPSec SA信息之后进一步用于,当发现从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时,向KS请求IPSec SA信息,保存请求到的IPSec SA信息,并以该IPSec SA信息中的流信息更新该接口的IPSecACL,同时,重新启动本GM的SA空闲定时器。
本实施例装置可基于上述图3所示实施例方法步骤来实现对IPSec SA信息的维护,其具体实现过程可参见上述方法实施例的说明,在此不再赘述。
图6为本发明又一实施例提供的IPSec SA维护装置的组成示意图,应用于GDVPN中的KS上,该装置主要包括:
第一模块:从本KS的接口接收到GM发来的IPSec SA信息删除通告报文,在该接口上将该GM的状态标记为“空闲”。
第二模块:当本KS要发出更新的IPSec安全联盟SA信息时,查看本KS上标记的各GM的状态,若有任何GM被标记为“空闲”,则判断本次要发出的IPSec SA信息中的流信息是否有更新,若有更新,则删除各具有“空闲”标记的GM上的“空闲”标记,并向所有GM发出更新的IPSec SA信息,若没有更新,则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。
第三模块:从本KS接收到GM发来的组解释域GDOI注册请求,向该GM发送IPSec SA信息,且若发现该GM被标记为“空闲”,则删除该“空闲”标记。
本实施例装置可基于上述图4所示实施例方法步骤来实现对IPSec SA信息的维护,其具体实现过程可参见上述方法实施例的说明,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种IP安全联盟维护方法,应用于组域虚拟专网GDVPN中,其特征在于,组成员GM上配置有安全联盟SA空闲定时器,该方法包括:
当GM接收到密钥服务器KS发来的IPSec SA信息时,启动自身的SA空闲定时器,保存所述IPSec SA信息,并以所述IPSec SA信息中的流信息更新自身使能了组解释域GDOI类型的IPSec策略的接口的IPSec访问控制列表ACL,所述IPSec SA信息包括:加密信息和流信息;
当在所述定时器计时期间,从所述接口发出的或者收到的报文中没有任何报文与所述接口的IPSec ACL匹配上,则GM删除所述IPSec SA信息,并向KS发送IPSec SA信息删除通告报文。
2.根据权利要求1所述的方法,其特征在于,所述GM启动自身的SA空闲定时器之后进一步包括:
在所述定时器计时期间,当所述GM发现从所述接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上时,重新启动所述定时器;
或者,在所述定时器计时期间,若所述GM发现从所述接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上,则GM在所述定时器超时时,重新启动所述定时器。
3.根据权利要求1所述的方法,其特征在于,所述删除所述IPSec SA信息之后进一步包括:
当GM接收到KS发来的更新的IPSec SA信息时,保存该IPSec SA信息,并以该IPSec SA信息中的流信息更新所述接口的IPSec ACL,同时,重新启动自身的SA空闲定时器,
其中,所述更新的IPSec SA信息为:KS发现IPSec SA信息的更新周期到来,且发现本次要发出的IPSec SA信息中的流信息有更新时,向所述GM发出的。
4.根据权利要求1所述的方法,其特征在于,所述删除所述IPSec SA信息之后进一步包括:
当从所述接口发出的或者收到的报文中有报文与所述接口的IPSecACL匹配上时,GM向KS请求IPSec SA信息,保存请求到的IPSec SA信息,并以该IPSec SA信息中的流信息更新所述接口的IPSec ACL,同时,重新启动自身的SA空闲定时器。
5.一种IP安全联盟维护方法,应用于组域虚拟专网GDVPN中,其特征在于,该方法包括:
密钥服务器KS接收到组成员GM发来的IP安全IPSec信息删除通告报文,将所述GM的状态标记为“空闲”;
当所述KS要发出更新的IPSec安全联盟SA信息时,查看自身标记的各GM的状态,若有任何GM被标记为“空闲”,则判断本次要发出的IPSec SA信息中的流信息是否有更新,若有更新,则删除各具有“空闲”标记的GM上的“空闲”标记,并向所有GM发出更新的IPSec SA信息,若没有更新,则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。
6.根据权利要求5所述的方法,其特征在于,所述方法进一步包括:
所述KS接收到GM发来的组解释域GDOI注册请求,向该GM发送IPSec SA信息,且若发现该GM被标记为“空闲”,则删除该“空闲”标记。
7.一种IP安全联盟维护装置,应用于组域虚拟专网GDVPN中的组成员GM上,其特征在于,该装置包括:
第一模块:当本GM接收到密钥服务器KS发来的IPSec SA信息时,启动本GM的SA空闲定时器,保存所述IPSec SA信息,并以所述IPSec SA信息中的流信息更新本GM上使能了组解释域GDOI类型的IPSec策略的接口的IPSec访问控制列表ACL;
第二模块:当在本GM的SA空闲定时器计时期间,从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上,则删除本GM的IPSec SA信息,并向KS发送IPSec SA信息删除通告报文。
8.根据权利要求7所述的装置,其特征在于,所述第二模块进一步用于,
在本GM的SA空闲定时器计时期间,当从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时,重新启动所述定时器;或者,
在所述定时器计时期间,若发现从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上,则在该定时器超时时,重新启动该定时器。
9.根据权利要求7所述的装置,其特征在于,所述第二模块在删除本GM的IPSec SA信息之后进一步用于,
当接收到KS发来的更新的IPSec SA信息时,保存该IPSec SA信息,并以该IPSec SA信息中的流信息更新本GM上使能了GDOI类型的IPSec策略的接口的IPSec ACL,同时,重新启动本GM的SA空闲定时器,
其中,所述更新的IPSec SA信息为:KS发现IPSec SA信息的更新周期到来,且发现本次要发出的IPSec SA信息中的流信息有更新时,向本GM发出的。
10.根据权利要求7所述的装置,其特征在于,所述第二模块在删除本GM的IPSec SA信息之后进一步用于,
当发现从本GM上使能了GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时,向KS请求IPSec SA信息,保存请求到的IPSec SA信息,并以该IPSec SA信息中的流信息更新该接口的IPSec ACL,同时,重新启动本GM的SA空闲定时器。
11.一种IP安全联盟维护装置,应用于组域虚拟专网GDVPN中的密钥服务器KS上,其特征在于,该装置包括:
第一模块:从本KS接收到组成员GM发来的IP安全IPSec SA信息删除通告报文,将该GM的状态标记为“空闲”;
第二模块:当本KS要发出更新的IPSec安全联盟SA信息时,查看本KS上标记的各GM的状态,若有任何GM被标记为“空闲”,则判断本次要发出的IPSec SA信息中的流信息是否有更新,若有更新,则删除各具有“空闲”标记的GM上的“空闲”标记,并向所有GM发出更新的IPSecSA信息,若没有更新,则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。
12.根据权利要求11所述的装置,其特征在于,所述装置进一步包括:
第三模块:从本KS接收到GM发来的组解释域GDOI注册请求,向该GM发送IPSec SA信息,且若发现该GM被标记为“空闲”,则删除该“空闲”标记。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410193446.0A CN103973687B (zh) | 2014-05-08 | 2014-05-08 | Ip安全联盟维护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410193446.0A CN103973687B (zh) | 2014-05-08 | 2014-05-08 | Ip安全联盟维护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103973687A true CN103973687A (zh) | 2014-08-06 |
| CN103973687B CN103973687B (zh) | 2017-07-14 |
Family
ID=51242733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410193446.0A Active CN103973687B (zh) | 2014-05-08 | 2014-05-08 | Ip安全联盟维护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103973687B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270350A (zh) * | 2014-09-19 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种密钥信息的传输方法和设备 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN105763557A (zh) * | 2016-04-07 | 2016-07-13 | 烽火通信科技股份有限公司 | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 |
| CN108322361A (zh) * | 2018-01-24 | 2018-07-24 | 杭州迪普科技股份有限公司 | 一种IPSec VPN隧道内业务流量统计方法及装置 |
| WO2022001705A1 (zh) * | 2020-06-28 | 2022-01-06 | 中兴通讯股份有限公司 | 一种支持tcp动态迁移的方法、装置、设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101692637A (zh) * | 2009-09-23 | 2010-04-07 | 东南大学 | 一种组播密钥管理方法 |
| CN102970293A (zh) * | 2012-11-20 | 2013-03-13 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
| US8429400B2 (en) * | 2007-06-21 | 2013-04-23 | Cisco Technology, Inc. | VPN processing via service insertion architecture |
| CN103107950A (zh) * | 2013-01-28 | 2013-05-15 | 杭州华三通信技术有限公司 | 一种删除因特网协议安全安全联盟的方法和设备 |
| US8547874B2 (en) * | 2005-06-30 | 2013-10-01 | Cisco Technology, Inc. | Method and system for learning network information |
-
2014
- 2014-05-08 CN CN201410193446.0A patent/CN103973687B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8547874B2 (en) * | 2005-06-30 | 2013-10-01 | Cisco Technology, Inc. | Method and system for learning network information |
| US8429400B2 (en) * | 2007-06-21 | 2013-04-23 | Cisco Technology, Inc. | VPN processing via service insertion architecture |
| CN101692637A (zh) * | 2009-09-23 | 2010-04-07 | 东南大学 | 一种组播密钥管理方法 |
| CN102970293A (zh) * | 2012-11-20 | 2013-03-13 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
| CN103107950A (zh) * | 2013-01-28 | 2013-05-15 | 杭州华三通信技术有限公司 | 一种删除因特网协议安全安全联盟的方法和设备 |
Non-Patent Citations (3)
| Title |
|---|
| CISCO SYSTEMS, INC. SAN JOSE: "IPsec Security Association Idle Timers", 《CISCO IOS SECURITY CONFIGURATION GUIDE: SECURE CONNECTIVITY RLEASE 12.4T》 * |
| 杭州华三通信技术有限公司: "H3C SR6600/SR6600-X路由器安全配置指导", 《H3C SR6600/SR6600-X路由器安全配置指导》 * |
| 肖波: "基于IPSec协议的安全联盟设计及其应用", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270350A (zh) * | 2014-09-19 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种密钥信息的传输方法和设备 |
| CN104270350B (zh) * | 2014-09-19 | 2018-10-09 | 新华三技术有限公司 | 一种密钥信息的传输方法和设备 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN105591926B (zh) * | 2015-12-11 | 2019-06-07 | 新华三技术有限公司 | 一种流量保护方法及装置 |
| CN105763557A (zh) * | 2016-04-07 | 2016-07-13 | 烽火通信科技股份有限公司 | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 |
| CN105763557B (zh) * | 2016-04-07 | 2019-01-22 | 烽火通信科技股份有限公司 | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 |
| CN108322361A (zh) * | 2018-01-24 | 2018-07-24 | 杭州迪普科技股份有限公司 | 一种IPSec VPN隧道内业务流量统计方法及装置 |
| CN108322361B (zh) * | 2018-01-24 | 2020-08-04 | 杭州迪普科技股份有限公司 | 一种IPSec VPN隧道内业务流量统计方法及装置 |
| WO2022001705A1 (zh) * | 2020-06-28 | 2022-01-06 | 中兴通讯股份有限公司 | 一种支持tcp动态迁移的方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103973687B (zh) | 2017-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102117584B1 (ko) | 로컬 디바이스 인증 | |
| EP3269079B1 (en) | Systems and methods for organizing devices in a policy hierarchy | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| WO2016061819A1 (zh) | 一种访问资源的方法及装置 | |
| US9344434B2 (en) | GET VPN group member registration | |
| CN103973687A (zh) | Ip安全联盟维护方法及装置 | |
| CN104348914B (zh) | 一种防篡改系统文件同步系统及其方法 | |
| JP2006040274A (ja) | 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 | |
| US10785196B2 (en) | Encryption key management of client devices and endpoints within a protected network | |
| US20230059173A1 (en) | Password concatenation for secure command execution in a secure network device | |
| JP4915182B2 (ja) | 情報の管理方法及び情報処理装置 | |
| Sicari et al. | Internet of Things: Security in the keys | |
| US20230012373A1 (en) | Directory server providing tag enforcement and network entity attraction in a secure peer-to-peer data network | |
| CN102546184A (zh) | 传感网内消息安全传输或密钥分发的方法和系统 | |
| CN106411962A (zh) | 一种结合用户侧访问控制和云端访问控制的数据存储方法 | |
| CN112307116A (zh) | 基于区块链的数据访问控制方法、装置及设备 | |
| CN109039615A (zh) | 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质 | |
| CN103401751A (zh) | 因特网安全协议隧道建立方法和装置 | |
| CN107135226B (zh) | 基于socks5的传输层代理通信方法 | |
| US11582201B1 (en) | Establishing and maintaining trusted relationship between secure network devices in secure peer-to-peer data network based on obtaining secure device identity containers | |
| US11949717B2 (en) | Distributed security in a secure peer-to-peer data network based on real-time navigator protection of network devices | |
| US11870899B2 (en) | Secure device access recovery based on validating encrypted target password from secure recovery container in trusted recovery device | |
| US20220417252A1 (en) | Distributed security in a secure peer-to-peer data network based on real-time guardian protection of network devices | |
| US20220399995A1 (en) | Identity management system establishing two-way trusted relationships in a secure peer-to-peer data network | |
| US11171786B1 (en) | Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |