CN109617717A - IPSec SA的检测方法及装置 - Google Patents
IPSec SA的检测方法及装置 Download PDFInfo
- Publication number
- CN109617717A CN109617717A CN201811452282.3A CN201811452282A CN109617717A CN 109617717 A CN109617717 A CN 109617717A CN 201811452282 A CN201811452282 A CN 201811452282A CN 109617717 A CN109617717 A CN 109617717A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- opposite equip
- probe messages
- sent
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPSec SA的检测方法及装置,该方法包括:基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;通过与所述IPSec SA对端设备之间的IPSec SA加密所述探测报文后发送给所述IPSec SA对端设备;确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文;若在第一检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文,则确定与所述IPSec SA对端设备之间的IPSec SA故障。该方案可以实现检测IPSec SA的状态,避免IPSec SA出现单通故障。
Description
技术领域
本发明涉及通信技术领域,尤指一种互联网协议安全(Internet ProtocolSecurity,IPSec)安全联盟(Security Association,SA)的检测方法及装置。
背景技术
IPSec在互联网协议(Internet Protocol,IP)层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPSec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。IPSec能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。
密钥交换(Internet Key Exchange,IKE)是一种密钥管理协议标准,需要与IPSec一起使用。IKE活动在(User Datagram Protocol,UDP)层上,提供安全的密钥交换和管理机制。虽然IPSec可以单独使用,但IKE能使IPSec更灵活、易于配置,且有更高的安全性。
安全联盟(Security Association,SA)是为特定数据流提供安全服务的一个逻辑连接,这个安全服务的参数包括特定的安全协议、安全算法、密钥、以及数据流描述。有IKESA和IPSec SA两种,其中:IKE SA可以称为IPSec一阶段SA,用于保护IKE协商阶段的数据安全;IPSec SA可以称为IPSec二阶段SA,对数据提供IPSec保护功能,既可以由用户手工配置建立连接,又可以由IKE协商建立用于IPSec数据流量的安全保护。
死亡对端检测(Dead Peer Detection,DPD)用于检测IPSec对端设备是否存在和可通信,通过定期向IPSec对端设备发送DPD探测报文,根据IPSec对端设备是否对探测报文进行回复判断IPSec对端设备是否存在。DPD同IKE SA进行关联,当DPD探测发现IPSec对端设备不存在时,就会删除SA并重新尝试建立新的IKE SA和IPSEC SA,避免出现隧道阻塞。
IPSec动态加密映射(IPSec Dynamic Crypto Map,IPSec DCM)是指IPSec汇聚端动态的学习加密映射条目,并建立SA的方式。可以在不配置IPSec对等体的IP地址、以及加密访问控制列表(Access Control List,ACL)时仍然可以正常进行IKE协商。
当IPSec接入端设备使用了动态方式获取IP地址时,IPSec汇聚端需要使用动态加密映射的方式来匹配。IPSec动态加密映射接受任何IPSec对等体发起的IKE协商,当IPSec对等体通过验证时,动态学习接入端的加密映射条目(加密ACL),建立SA。使用动态加密映射,可以有效的减少IPSec汇聚端设备的配置量。IPSec动态接入的方式广泛用于总部和分支结构之间的IPSec隧道的建立。为了节省开支,分支机构大多不会采用固定IP地址的专线接入互联网,而是使用以太网上运行点对点协议(Point-to-Point Protocol OverEthernet,PPPOE)拨号等方式使用运营商分配的动态IP地址接入互联网。
动态加密映射由于不知道对等体IP地址,因此不能主动发起IKE协商,需要接入设备主动发起IKE协商。在使用动态加密映射方式建立IPSec隧道(IKE SA和IPSec SA)时,有可能出现以下情况:当汇聚端(即使用动态加密映射方式的一方)IPSec SA异常删除,IKESA正常;接入端(即发起IKE协商的一方)IPSec SA和IKE SA都正常,当接入端通过IPSec SA发送加密流量,汇聚端由于IPSec SA不存在而不能解密。而原有的DPD探测方式只能探测IKE对等体是否存在,并不能探测IPSec SA对等体是否正常,当双方的IKE SA存在时,DPD探测报文探测正常。并且,汇聚端由于使用的是动态映射方式,不会主动去发起建立IPSec SA的协商,只会等待接入端主动发起IKE协商。当出现这种情况后,只有等待接入端的IPSecSA超时,或者手工主动清除接入端的IPSec SA隧道,使其主动发起IKE协商重新建立IPSec隧道。在接入端重新发起IKE协商之前,IPSec隧道流量都会出现接入端一直在发,而汇聚端没有回复的单通故障。
因此,目前亟需一种现有的IPSec SA的检测方法来检测IPSec SA的状态,避免IPSec SA出现单通故障。
发明内容
本发明实施例提供一种IPSec SA的检测方法及装置,用以解决现有技术中存在的无法检测IPSec SA的状态,IPSec SA出现单通故障的问题。
根据本发明实施例,提供一种IPSec SA的检测方法,包括:
基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;
通过与所述IPSec SA对端设备之间的IPSec SA加密所述探测报文后发送给所述IPSec SA对端设备;
确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文;
若在第一检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文,则确定与所述IPSec SA对端设备之间的IPSec SA故障。
具体的,基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文,具体包括:
随机获取IPSec SA对端设备之前通过与所述IPSec SA对端设备之间的IPSec SA发送的一个数据报文,得到历史数据报文;
获取所述历史数据报文的五元组信息包括的源互联网协议IP地址、目的IP地址、源端口、目的端口和协议类型;
构建携带所述源IP地址、所述目的IP地址、所述源端口、所述目的端口和所述协议类型的探测报文。
可选的,还包括:
若确定第二检测时长到期或者在第三检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的数据报文,则执行所述基于IPSecSA对端设备发送的历史数据报文的五元组信息构建探测报文的步骤。
可选的,确定与所述IPSec SA对端设备之间的IPSec SA故障之前,还包括:
将在所述第一检测时长内所述探测报文的发送次数加1;
确定加1后的发送次数是否超过设定次数;
若确定加1后的发送次数超过所述设定次数,则执行所述确定与所述IPSec SA对端设备之间的IPSec SA故障的步骤。
可选的,还包括:
若确定加1后的发送次数未超过设定次数,则执行所述确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文的步骤。
根据本发明实施例,还提供一种IPSec SA的检测装置,包括:
构建模块,用于基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;
加密模块,用于通过与所述IPSec SA对端设备之间的IPSec SA加密所述探测报文后发送给所述IPSec SA对端设备;
第一确定模块,用于确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文;
第二确定模块,用于若在第一检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文,则确定与所述IPSec SA对端设备之间的IPSec SA故障。
可选的,所述构建模块,具体用于:
随机获取IPSec SA对端设备之前通过与所述IPSec SA对端设备之间的IPSec SA发送的一个数据报文,得到历史数据报文;
获取所述历史数据报文的五元组信息包括的源互联网协议IP地址、目的IP地址、源端口、目的端口和协议类型;
构建携带所述源IP地址、所述目的IP地址、所述源端口、所述目的端口和所述协议类型的探测报文。
可选的,还包括:
转向模块,用于若确定第二检测时长到期或者在第三检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的数据报文,则转向所述构建模块。
可选的,所述第一确定模块,还用于:
将在所述第一检测时长内所述探测报文的发送次数加1;
确定加1后的发送次数是否超过设定次数;
若确定加1后的发送次数超过所述设定次数,则执行所述确定与所述IPSec SA对端设备之间的IPSec SA故障的步骤。
可选的,所述第一确定模块,还用于:
若确定加1后的发送次数未超过设定次数,则执行所述确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文的步骤。
本发明有益效果如下:
本发明实施例提供的一种IPSec SA的检测方法及装置,通过基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;通过与所述IPSec SA对端设备之间的IPSec SA加密所述探测报文后发送给所述IPSec SA对端设备;确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文;若在第一检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文,则确定与所述IPSec SA对端设备之间的IPSec SA故障。该方案中,基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文,然后发送给IPSec SA对端设备,由于探测报文的五元组信息与IPSecSA对端设备发送的历史数据报文的五元组信息相同,最终探测报文会被返回,因此,可以根据是否接收到该探测报文确定与IPSec SA对端设备之间的IPSec SA是否故障,从而可以实现检测IPSec SA的状态,避免IPSec SA出现单通故障。
附图说明
图1为本发明实施例中一种IPSec SA的检测方法的流程图;
图2为本发明实施例中一种IPSec SA的检测装置的结构示意图。
具体实施方式
针对现有技术中存在的无法检测IPSec SA的状态,IPSec SA出现单通故障的问题,本发明实施例提供一种IPSec SA的检测方法,应用在与其他网络设备建立IPSec SA的网络设备中,其他网络设备均可定义为IPSec SA对端网络,该网络设备可以同时与多个IPSec SA对端设备建立多个IPSec SA,每个IPSec SA都可以采用该IPSec SA的检测方法。该方法的流程如图1所示,执行步骤如下:
S11:基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文。
与IPSec SA对端设备建立IPSec SA后,会通过该IPSec SA与IPSec SA对端设备传输数据报文,可以基于IPSec SA对端设备之前发送的数据报文的五元组信息构建探测报文,IPSec SA对端设备之前发送的数据报文定义为历史数据报文。
S12:通过与IPSec SA对端设备之间的IPSec SA加密探测报文后发送给IPSec SA对端设备。
S13:确定在第一检测时长内是否通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的加密后的探测报文。
可以设定第一检测时长,然后在第一检测时长内来检测是否通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的加密后的探测报文,其中,第一检测时长可以根据实际需要进行设定。
S14:若在第一检测时长内未通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的加密后的探测报文,则确定与IPSec SA对端设备之间的IPSec SA故障。
该方案中,基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文,然后发送给IPSec SA对端设备,由于探测报文的五元组信息与IPSec SA对端设备发送的历史数据报文的五元组信息相同,最终探测报文会被返回,因此,可以根据是否接收到该探测报文确定与IPSec SA对端设备之间的IPSec SA故障,从而可以实现检测IPSec SA的状态,避免IPSec SA出现单通故障。
具体的,上述S11中基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文,实现过程具体包括:
随机获取IPSec SA对端设备之前通过与IPSec SA对端设备之间的IPSec SA发送的一个数据报文,得到历史数据报文;
获取历史数据报文的五元组信息包括的源IP地址、目的IP地址、源端口、目的端口和协议类型;
构建携带源IP地址、目的IP地址、源端口、目的端口和协议类型的探测报文。
在本实施例中历史数据报文的五元组信息包括源IP地址、目的IP地址、源端口、目的端口和协议类型,可以将其直接应用在探测报文中。
其中,可以直接将历史数据报文作为探测报文,由于历史数据报文中的数据部分通常数据量比较大,为了减少IPSec SA的传输压力,还可以重新构建新的探测报文,新的探测报文的五元组信息使用历史数据报文的五元组信息,数据部分进行简化处理即可,从而可以减小探测报文的数据量,减轻IPSec SA的传输压力。
可选的,上述方法还包括:
若确定第二检测时长到期或者在第三检测时长内未通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的数据报文,则执行上述S11。
可以定期检测与IPSec SA对端设备之间的IPSec SA是否异常,例如设置第二检测时长来定期检测,在第二检测时长到期后,执行上述S11;也可以在一定时间内未通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的数据报文后再检测与IPSec SA对端设备之间的IPSec SA是否异常,其中一定时间可以定义为第三检测时长,若在第三检测时长内未通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的数据报文,说明与IPSec SA对端设备之间的IPSec SA可能故障,则执行上述S11。其中,第二检测时长和第三检测时长可以根据实际需要进行设定。
可选的,上述S14中的确定与IPSec SA对端设备之间的IPSec SA故障之前,还包括:
将在第一检测时长内探测报文的发送次数加1;
确定加1后的发送次数是否超过设定次数;
若确定加1后的发送次数超过设定次数,则执行上述S14中的确定与IPSec SA对端设备之间的IPSec SA故障的步骤。
为了更加准确地确定与IPSec SA对端设备之间的IPSec SA是否故障,还可以统计在第一检测时长内探测报文的发送次数,在第一检测时长内通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的加密后的探测报文,就可以将在第一检测时长内探测报文的发送次数加1。还可以设置一个设定次数,确定加1后的发送次数是否超过设定次数,若确定加1后的发送次数未超过设定次数,则执行上述S13;只有在确定加1后的发送次数超过设定次数后,才执行上述S14中的确定与IPSec SA对端设备之间的IPSec SA故障的步骤,从而实现更加准确地确定与IPSec SA对端设备之间的IPSec SA故障。
基于同一发明构思,本发明实施例提供一种IPSec SA的检测装置,该装置的结构如图2所示,包括:
构建模块21,用于基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;
加密模块22,用于通过与IPSec SA对端设备之间的IPSec SA加密探测报文后发送给IPSec SA对端设备;
第一确定模块23,用于确定在第一检测时长内是否通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的加密后的探测报文;
第二确定模块24,用于若在第一检测时长内未通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的加密后的探测报文,则确定与IPSec SA对端设备之间的IPSec SA故障。
该方案中,基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文,然后发送给IPSec SA对端设备,由于探测报文的五元组信息与IPSec SA对端设备发送的历史数据报文的五元组信息相同,最终探测报文会被返回,因此,可以根据是否接收到该探测报文确定与IPSec SA对端设备之间的IPSec SA故障,从而可以实现检测IPSec SA的状态,避免IPSec SA出现单通故障。
可选的,上述构建模块21,具体用于:
随机获取IPSec SA对端设备之前通过与IPSec SA对端设备之间的IPSec SA发送的一个数据报文,得到历史数据报文;
获取历史数据报文的五元组信息包括的源IP地址、目的IP地址、源端口、目的端口和协议类型;
构建携带源IP地址、目的IP地址、源端口、目的端口和协议类型的探测报文。
可选的,还包括:
转向模块,用于若确定第二检测时长到期或者在第三检测时长内未通过与IPSecSA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的数据报文,则转向构建模块。
可选的,上述第一确定模块23,还用于:
将在第一检测时长内探测报文的发送次数加1;
确定加1后的发送次数是否超过设定次数;
若确定加1后的发送次数超过设定次数,则执行确定与IPSec SA对端设备之间的IPSec SA故障的步骤。
可选的,上述第一确定模块23,还用于:
若确定加1后的发送次数未超过设定次数,则执行确定在第一检测时长内是否通过与IPSec SA对端设备之间的IPSec SA接收到IPSec SA对端设备发送的加密后的探测报文的步骤。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种互联网协议安全IPSec安全联盟SA的检测方法,其特征在于,包括:
基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;
通过与所述IPSec SA对端设备之间的IPSec SA加密所述探测报文后发送给所述IPSecSA对端设备;
确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文;
若在第一检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文,则确定与所述IPSec SA对端设备之间的IPSec SA故障。
2.如权利要求1所述的方法,其特征在于,基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文,具体包括:
随机获取IPSec SA对端设备之前通过与所述IPSec SA对端设备之间的IPSec SA发送的一个数据报文,得到历史数据报文;
获取所述历史数据报文的五元组信息包括的源互联网协议IP地址、目的IP地址、源端口、目的端口和协议类型;
构建携带所述源IP地址、所述目的IP地址、所述源端口、所述目的端口和所述协议类型的探测报文。
3.如权利要求1所述的方法,其特征在于,还包括:
若确定第二检测时长到期或者在第三检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的数据报文,则执行所述基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文的步骤。
4.如权利要求1-3任一所述的方法,其特征在于,确定与所述IPSec SA对端设备之间的IPSec SA故障之前,还包括:
将在所述第一检测时长内所述探测报文的发送次数加1;
确定加1后的发送次数是否超过设定次数;
若确定加1后的发送次数超过所述设定次数,则执行所述确定与所述IPSec SA对端设备之间的IPSec SA故障的步骤。
5.如权利要求4所述的方法,其特征在于,还包括:
若确定加1后的发送次数未超过设定次数,则执行所述确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文的步骤。
6.一种IPSec SA的检测装置,其特征在于,包括:
构建模块,用于基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;
加密模块,用于通过与所述IPSec SA对端设备之间的IPSec SA加密所述探测报文后发送给所述IPSec SA对端设备;
第一确定模块,用于确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文;
第二确定模块,用于若在第一检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文,则确定与所述IPSec SA对端设备之间的IPSec SA故障。
7.如权利要求6所述的装置,其特征在于,所述构建模块,具体用于:
随机获取IPSec SA对端设备之前通过与所述IPSec SA对端设备之间的IPSec SA发送的一个数据报文,得到历史数据报文;
获取所述历史数据报文的五元组信息包括的源互联网协议IP地址、目的IP地址、源端口、目的端口和协议类型;
构建携带所述源IP地址、所述目的IP地址、所述源端口、所述目的端口和所述协议类型的探测报文。
8.如权利要求6所述的装置,其特征在于,还包括:
转向模块,用于若确定第二检测时长到期或者在第三检测时长内未通过与所述IPSecSA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的数据报文,则转向所述构建模块。
9.如权利要求6-8任一所述的装置,其特征在于,所述第一确定模块,还用于:
将在所述第一检测时长内所述探测报文的发送次数加1;
确定加1后的发送次数是否超过设定次数;
若确定加1后的发送次数超过所述设定次数,则执行所述确定与所述IPSec SA对端设备之间的IPSec SA故障的步骤。
10.如权利要求9所述的装置,其特征在于,所述第一确定模块,还用于:
若确定加1后的发送次数未超过设定次数,则执行所述确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811452282.3A CN109617717A (zh) | 2018-11-30 | 2018-11-30 | IPSec SA的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811452282.3A CN109617717A (zh) | 2018-11-30 | 2018-11-30 | IPSec SA的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109617717A true CN109617717A (zh) | 2019-04-12 |
Family
ID=66006521
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811452282.3A Pending CN109617717A (zh) | 2018-11-30 | 2018-11-30 | IPSec SA的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109617717A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
| CN101908986A (zh) * | 2010-08-12 | 2010-12-08 | 杭州华三通信技术有限公司 | 一种链路故障的检测方法和设备 |
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
| CN103716196A (zh) * | 2012-09-28 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种网络设备及探测方法 |
| CN106533881A (zh) * | 2016-11-10 | 2017-03-22 | 锐捷网络股份有限公司 | Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统 |
| CN106559325A (zh) * | 2015-09-25 | 2017-04-05 | 华为技术有限公司 | 路径检测方法和装置 |
| CN111010319A (zh) * | 2019-12-20 | 2020-04-14 | 锐捷网络股份有限公司 | 基于vsf的链路检测方法及装置 |
-
2018
- 2018-11-30 CN CN201811452282.3A patent/CN109617717A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
| CN101908986A (zh) * | 2010-08-12 | 2010-12-08 | 杭州华三通信技术有限公司 | 一种链路故障的检测方法和设备 |
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
| CN103716196A (zh) * | 2012-09-28 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种网络设备及探测方法 |
| CN106559325A (zh) * | 2015-09-25 | 2017-04-05 | 华为技术有限公司 | 路径检测方法和装置 |
| CN106533881A (zh) * | 2016-11-10 | 2017-03-22 | 锐捷网络股份有限公司 | Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统 |
| CN111010319A (zh) * | 2019-12-20 | 2020-04-14 | 锐捷网络股份有限公司 | 基于vsf的链路检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11102226B2 (en) | Dynamic security method and system based on multi-fusion linkage response | |
| CN101299665B (zh) | 报文处理方法、系统及装置 | |
| CN101795271B (zh) | 网络安全打印系统及打印方法 | |
| CN102685119A (zh) | 数据发送/接收方法及装置、传输方法及系统、服务器 | |
| CN108702371A (zh) | 用于产生用于安全验证的动态ipv6地址的系统、设备和方法 | |
| CN103491072A (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| CN104837150B (zh) | IPv6无线传感网安全测试系统 | |
| CN105162787A (zh) | 外网终端访问厂商设备或内网终端的方法和装置 | |
| CN104717205A (zh) | 基于报文重构的工控防火墙控制方法 | |
| CN202759475U (zh) | 数据发送装置、数据接收装置、数据传输系统以及服务器 | |
| CN101197828B (zh) | 一种安全arp的实现方法及网络设备 | |
| US20090031395A1 (en) | Security system for wireless networks | |
| CN105516062A (zh) | 一种实现L2TP over IPsec接入的方法 | |
| US8386783B2 (en) | Communication apparatus and communication method | |
| CN101427545A (zh) | 防篡改地建立密钥的方法和系统 | |
| US11368485B2 (en) | Method, apparatuses and computer program product for monitoring an encrypted connection in a network | |
| CN109104385A (zh) | 一种防止macsec安全通道故障的方法和装置 | |
| CN103139201A (zh) | 一种网络策略获取方法及数据中心交换机 | |
| CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
| CN103338440B (zh) | 认证系统中的认证方法及设备端 | |
| CN109617717A (zh) | IPSec SA的检测方法及装置 | |
| CN103139189A (zh) | 一种IPSec隧道共用方法、系统及设备 | |
| EP4181431A1 (en) | Service transmission method and apparatus, network device, and storage medium | |
| CN105207991A (zh) | 数据加密方法及系统 | |
| Glanzer et al. | Increasing security and availability in KNX networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190412 |