CN111327394B - 一种报文发送方法及装置 - Google Patents
一种报文发送方法及装置 Download PDFInfo
- Publication number
- CN111327394B CN111327394B CN201811543533.9A CN201811543533A CN111327394B CN 111327394 B CN111327394 B CN 111327394B CN 201811543533 A CN201811543533 A CN 201811543533A CN 111327394 B CN111327394 B CN 111327394B
- Authority
- CN
- China
- Prior art keywords
- message
- routing table
- table entry
- detection request
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/0001—Systems modifying transmission characteristics according to link quality, e.g. power backoff
- H04L1/0015—Systems modifying transmission characteristics according to link quality, e.g. power backoff characterised by the adaptation strategy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种报文发送方法及装置,能够使得第二设备即便在解密模块故障时也能够获取到明文报文,提高了数据传输的可靠性。本申请实施例的报文发送方法包括:第一设备向第二设备发送第一检测请求报文,所述第一检测请求报文用于检测所述第二设备解密模块的状态,所述解密模块用于对来自所述第一设备的第一加密报文进行解密,所述第一加密报文为对明文报文进行加密得到的报文;当在第一预设时间段内未接收到与所述第一检测请求报文对应的检测响应报文时,所述第一设备向所述第二设备发送所述明文报文。
Description
技术领域
本申请涉及网络通信领域,尤其涉及一种报文发送方法及装置。
背景技术
为了加强信息传输的安全性,设备之间发送的报文需要进行加密。例如,部署于银行总行的设备和部署于银行分行的设备之间发送的报文可以进行加密传输。若设备包括第一设备和第二设备,那么第一设备在对报文进行加密得到加密报文之后,可以通过向第二设备发送该加密报文。第二设备接收到加密报文之后,对该加密报文进行解密,得到解密后的报文。
但是,传统技术中,若第二设备的、用于对第一设备发送的加密报文进行解密的解密模块发生故障,则第二设备无法对加密报文进行解密,导致第二设备无法获取到解密后的报文。
发明内容
本申请实施例提供了一种报文发送方法及装置,能够使得第二设备即便在解密模块故障时也能够获取到明文报文,提高了数据传输的可靠性。
第一方面,本申请实施例提供一种报文发送方法,该方法可以应用于第一设备。第一设备可以是路由器、交换机或软件定义网络(software defined network,SDN)控制器等设备,本申请实施例不做具体限定。方法包括如下步骤:首先,第一设备向第二设备发送第一检测请求报文。第一检测请求报文用于检测第二设备解密模块的状态。第一检测请求报文可以是第一失效对等体检测(dead peer detect,DPD)请求报文。解密模块用于对来自第一设备的第一加密报文进行解密,第一加密报文为对明文报文进行加密得到的报文。在实际应用中,第二设备的解密模块可以是第二设备中单独的一个处理芯片,例如为灵活插卡通用业务单板。如果解密模块正常工作,则第一设备能够接收到来自第二设备的第一检测请求的检测响应报文;如果解密模块发生故障,则第一设备接收不到来自第二设备的第一检测请求的检测响应报文。当第一设备在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,第一设备向第二设备发送明文报文。在本申请实施例中,当第一设备在第一预设时间段内未接收到来自第二设备的、与第一检测请求报文对应的检测响应报文,则说明第二设备的解密模块故障,所以第一设备就不向第二设备发送第一加密报文,而是直接将明文报文发送给第二设备。相对于传统技术,本申请实施例第一设备能够及时的发现第二设备的解密模块是否发生故障,并且在发生故障时,向第二设备发送不加密的明文报文,因此,第二设备即便在解密模块故障时也能够获取到明文报文,也就相当于获取到了解密后的加密报文,提高了数据传输的可靠性。
可选的,在本申请实施例中,第一设备可以采用不同的方式发送第一加密报文和明文报文。即,第一设备中可以存储有两个路由表项,即第一路由表项和第二路由表项。其中第一路由表项用于第一设备向第二设备发送第一加密报文,第一加密报文为对明文报文进行加密的报文;第二路由表项用于第一设备向第二设备发送明文报文。第一路由表项和第二路由表项的出接口不同。具体的,第一设备向第二设备发送第一检测请求报文包括:第一设备基于第一路由表项向第二设备发送第一检测请求报文,第一路由表项用于第一设备向第二设备发送第一加密报文;第一设备向第二设备发送明文报文包括:第一设备基于第二路由表项向第二设备发送明文报文。
可选的,第一路由表项的出接口为隧道接口,隧道接口为第一设备用于向第二设备发送第一加密报文的隧道的接口。第二路由表项的出接口为第一设备的、从第一设备到第二设备的路径中与下一跳设备的连接的接口。当然,上述两种出接口并不构成对本申请技术方案的限定,本领域技术人员可以根据实际情况自行设计。
可选的,第一设备判断出在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文之后,可以有一个触发动作来触发第一设备向第二设备发送明文报文。具体的,当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,第一设备向第二设备发送明文报文包括:当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,第一设备生成第二检测请求报文。第二检测请求报文可以为第二失效对等体检测DPD请求报文。并将第二检测请求报文中预设字段的值设置为预设值。预设字段可以为保留字段。预设字段的预设值指示第一设备向第二设备发送明文报文;根据第二检测请求报文中预设字段的预设值,第一设备向第二设备发送明文报文。
作为其中一种可能实现的方式,第一路由表项和第二路由表项可以分别设置有对应的优先级,这样能够方便第一设备根据优先级来决定基于哪个表项来发送报文。具体的第一设备基于第二路由表项向第二设备发送明文报文包括:第一设备将第二路由表项的优先级调到第一路由表项的优先级之上,并基于优先级较高的第二路由表项向第二设备发送明文报文。在具体实现时,可以为第一路由表项和第二路由表项分别设置优先级标识位,通过优先级标识位的值来确认第一路由表项和第二路由表项谁的优先级更高。在对优先级进行调整时,也可以通过对优先级标识位的值进行调整从而改变对应路由表项的优先级。
在一些应用场景中,第二设备除了可以接收加密报文并解密之外,它也可以和第一设备一样将报文进行加密,并发送给第一设备。在本申请实施例中,第二设备向第一设备发送的加密报文称为第二加密报文。所以,第二设备中可以包括加密模块。加密模块和解密模块可以在同一个芯片上,也就是说,如果加密模块出现问题,很可能意味着解密模块也出现了问题。那么,第一设备向第二设备发送第一检测请求报文包括:当第一设备在第二预设时间段内未接收到来自第二设备的第二加密报文时,第一设备向第二设备发送第一检测请求报文。也就是说如果第一设备在第二预设时间段内没有接收到第二加密报文,那么有可能第二设备没有需要向第一设备发送的报文,也有可能第二设备的加密模块出现故障。第二设备的加密模块出现故障,则可能意味着第二设备的解密模块也出现故障。所以第一设备可以向第二设备发送第一检测请求报文,如果第一设备接收到了第二设备回复的与第一检测请求报文相对应的检测回应报文,那么就说明第二设备的加密模块和解密模块没有出现故障,只是当前第二设备没有报文需要发送。如果第一设备在第一预设时间段内没有接收到第二设备发送的与第一检测请求报文相对应的检测回应报文,那么认为第二设备的解密模块发生故障,需要直接向第二设备发送明文报文,以保证数据传输的可靠性。
第二方面,本申请实施例还提供了一种报文发送装置,应用于第一设备,装置包括:第一发送单元,用于向第二设备发送第一检测请求报文,第一检测请求报文用于检测第二设备解密模块的状态,解密模块用于对来自第一设备的第一加密报文进行解密,第一加密报文为对明文报文进行加密得到的报文;第二发送单元,用于当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,向第二设备发送明文报文。
可选的,第一发送单元,用于基于第一路由表项向第二设备发送第一检测请求报文,第一路由表项用于第一设备向第二设备发送第一加密报文;
第二发送单元,用于当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,基于第二路由表项向第二设备发送明文报文,第一路由表项的出接口和第二路由表项的出接口不同。
可选的,第一路由表项的出接口为隧道接口,隧道接口为第一设备用于向第二设备发送第一加密报文的隧道的接口;
第二路由表项的出接口为第一设备的、从第一设备到第二设备的路径中与下一跳设备的连接的接口。
可选的,第一检测请求报文为第一失效对等体检测DPD请求报文。
可选的,第二发送单元,用于当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,生成第二检测请求报文,并将第二检测请求报文中预设字段的值设置为预设值,预设字段的预设值指示第一设备向第二设备发送明文报文;根据第二检测请求报文中预设字段的预设值,第一设备向第二设备发送明文报文。
可选的,第二检测请求报文为第二失效对等体检测DPD请求报文。
可选的,预设字段为保留字段。
可选的,第一路由表项和第二路由表项分别具有优先级;
第二发送单元,用于将第二路由表项的优先级调到第一路由表项的优先级之上,并基于优先级较高的第二路由表项向第二设备发送明文报文。
可选的,第一发送单元,用于当第一设备在第二预设时间段内未接收到来自第二设备的第二加密报文时,第一设备向第二设备发送第一检测请求报文。
附图说明
图1为本申请实施例提供的一种报文发送方法的流程图;
图2为本申请实施例提供的银行网络架构示意图;
图3为本申请实施例提供的一种报文发送方法的另外一个流程图;
图4为本申请实施例提供的一种报文发送装置的结构框图;
图5为本申请实施例提供的一种报文发送设备的硬件架构图。
具体实施方式
目前,第一设备没有检测机制检测第二设备的解密模块是否正常还是故障,当第一设备向第二设备发送了加密报文之后,若第二设备的解密模块故障,则无法对加密报文进行解密。但这个情况第一设备并不知晓,所以造成的结果是第二设备无法获取到解密后的报文,从而导致数据传输失败。
为了解决上述技术问题,本申请实施例提供了一种报文发送方法及装置,用于在第二设备的解密模块故障时仍然能够获取到解密后的报文。
下面结合附图详细介绍本申请实施例提供的技术方案。
参见图1,该图为本申请实施例提供的报文发送方法的流程图。
本申请实施例提供的报文发送方法可以应用于第一设备,第一设备可以是路由器、交换机或SDN控制器等设备,本申请实施例不做具体限定。
该报文发送方法具体可以包括如下步骤:
S101:第一设备向第二设备发送第一检测请求报文,第一检测请求报文用于检测第二设备解密模块的状态。
在本申请实施例中,第二设备可以是路由器、交换机或软件定义网络(softwaredefined network,SDN)控制器等设备,本申请实施例不做具体限定。
第一设备向第二设备发送第一检测请求报文,其中第一检测请求报文用于检测第二设备解密模块的状态。解密模块用于对来自第一设备的第一加密报文进行解密,第一加密报文为对明文报文进行加密得到的报文。
在实际应用中,第二设备的解密模块可以是第二设备中单独的一个处理芯片,例如为灵活插卡通用业务单板。如果解密模块正常工作,则第二设备可以向第一设备发送第一检测请求的检测响应报文;如果解密模块发生故障,则第一设备接收不到来自第二设备的第一检测请求的检测响应报文。
在实际应用中,第一设备和第二设备之间的加密传输可以基于互联网协议安全(internet protocol security,IPSec)。那么,第一检测请求报文可以是第一失效对等体检测(dead peer detect,DPD)请求报文。DPD请求报文是其中一种类型的互联网安全连接和密钥管理协议(internet security association and key management protocol,ISAKMP)报文。DPD请求报文可以包括下一跳负载(next payload)字段、保留(reserved)字段、负载长度(payload length)字段等。
如果第二设备的解密模块工作正常,则第二设备向第一设备发送DPD响应报文;如果第二设备的解密模块发生故障,则第一设备接收不到来自第二设备的第一检测请求的检测响应报文。
可选的,为了能够及时的知晓第二设备的解密模块是否发生故障,第一设备可以周期性的向第二设备发送第一检测请求报文,一旦发现第二设备没有回复检测响应报文,则认为第二设备的解密模块发生故障。
S102:当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,第一设备向第二设备发送明文报文。
在本申请实施例中,当第一设备在第一预设时间段内未接收到来自第二设备的、与第一检测请求报文对应的检测响应报文,则说明第二设备的解密模块故障,所以第一设备就不向第二设备发送第一加密报文,而是直接将明文报文发送给第二设备。相对于传统技术,本申请实施例第一设备能够及时的发现第二设备的解密模块是否发生故障,并且在发生故障时,向第二设备发送不加密的明文报文,因此,第二设备即便在解密模块故障时也能够获取到明文报文,也就相当于获取到了解密后的加密报文,保证数据传输的可靠性。
可选的,在本申请实施例中,第一设备可以采用不同的方式发送第一加密报文和明文报文。那么,第一设备中可以存储有两个路由表项,即第一路由表项和第二路由表项。其中第一路由表项用于第一设备向第二设备发送第一加密报文,第一加密报文为对明文报文进行加密的报文;第二路由表项用于第一设备向第二设备发送明文报文。第一路由表项和第二路由表项的出接口不同。例如,第一路由表项的出接口为隧道接口,隧道接口为第一设备用于向第二设备发送第一加密报文的隧道(tunnel)的接口。第二路由表项的出接口为第一设备的、从第一设备到第二设备的路径中与下一跳设备的连接的接口。
参见图2,该图为银行网络架构示意图。在该图中,银行网络架构包括部署在银行总部的个人计算机和/或服务器、部署在银行分支的个人计算机和/或服务器,以及与银行总部的个人计算机和/或服务器相连接的第一路由器,和与银行分支的个人计算机和/或服务器相连接的第二路由器。第一路由器和第二路由器之间通过基于IPSec的隧道连接。同时,第一路由器和第二路由器也可以通过通常在网络中连接的方式连接。第一路由器中可以存储两个路由表项,第一路由表项的出接口为通往第二路由器的隧道的隧道接口,第二路由表项的出接口为从第一路由器到第二路由器的路径中下一跳设备的接口。如果第一路由器和第二路由器直连,那么下一跳设备即为第二路由器,第二路由表项的出接口为第一路由器的、与第二路由器连接的接口。如果第一路由器和第二路由器非直连,中间还有其他路由器,例如第三路由器,且第一路由器和第三路由器直连,那么第二路由表项的出接口为第一路由器的、与第三路由器连接的接口。
本申请实施例不对隧道的类型进行限定,例如为资源预留协议-流量工程(resource reservation protocol-traffic engineering,RSVP-TE)隧道。在通过隧道发送第一加密报文时,可以在第一加密报文中打上隧道的多协议标签交换MPLS流量工程(traffic engineering,TE)标签。
另外,可选的,第一设备判断出在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文之后,可以有一个触发动作来触发第一设备向第二设备发送明文报文,那就是第一设备可以生成第二检测请求报文,并将第二检测请求报文中预设字段的值设置为预设值。预设字段的预设值指示第一设备向第二设备发送明文报文。然后,根据第二检测请求报文中预设字段的预设值,第一设备向第二设备发送明文报文。
同第一检测请求报文类似,第二检测请求报文也可以是DPD请求报文。DPD请求报文的报文格式可以参见上文描述,此处不再赘述。具体的,第二检测请求报文为第二DPD请求报文。第二DPD请求报文中的预设字段可以是上文提到的保留字段。保留字段中指示第一设备向第二设备发送明文报文的值可以是非默认值以外的其他值。默认值为不指示第一设备向第二设备发送明文报文的值。例如,默认值为0,而指示第一设备向第二设备发送明文报文的值可以是1。也就是说,当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,第一设备生成第二DPD请求报文,并将第二DPD请求报文中保留字段的值置为1。当第一设备检测到第二DPD请求报文中保留字段的值为1时,向第二设备发送明文报文。
此外,在实际应用中,可以为第一路由表项和第二路由表项分别设置对应的优先级。若第二设备的解密模块正常运行,那么第一设备可以将第一路由表项的优先级调到第二路由表项的优先级之上,以便能够基于第一路由表项向第二设备发送第一加密报文。而若第二设备的解密模块出现故障,那么第一设备可以将第二路由表项的优先级调到第一路由表项的优先级之上,以便能够基于第二路由表项向第二设备发送明文报文。
在具体实现时,可以为第一路由表项和第二路由表项分别设置优先级标识位,通过优先级标识位的值来确认第一路由表项和第二路由表项谁的优先级更高。在对优先级进行调整时,也可以通过对优先级标识位的值进行调整从而改变对应路由表项的优先级。例如,当第一路由表项的优先级标识位为1,第二路由表项的优先级标识位为0时,说明第一路由表项的优先级高于第二路由表项的优先级。那么,可以通过将第一路由表项的优先级标识位置为0,以及将第二路由表项的优先级标识位置为1,来达到将第二路由表项的优先级调到第一路由表项的优先级之上的目的。
另外,如前文所提,第一设备可以周期性的向第二设备发送第一检测请求报文,以及时的发现第二设备的解密模块是否发生故障。而在一些应用场景中,第二设备除了可以接收加密报文并解密之外,它也可以和第一设备一样将报文进行加密,并发送给第一设备。在本申请实施例中,第二设备向第一设备发送的加密报文称为第二加密报文。所以,第二设备中可以包括加密模块。加密模块和解密模块可以在同一个芯片上,也就是说,如果加密模块出现问题,很可能意味着解密模块也出现了问题。
所以,可选的,当第一设备在第二预设时间段内未接收到来自第二设备的第二加密报文时,第一设备向第二设备发送第一检测请求报文。也就是说如果第一设备在第二预设时间段内没有接收到第二加密报文,那么有可能第二设备没有需要向第一设备发送的报文,也有可能第二设备的加密模块出现故障。第二设备的加密模块出现故障,则可能意味着第二设备的解密模块也出现故障。所以第一设备可以向第二设备发送第一检测请求报文,如果第一设备接收到了第二设备回复的与第一检测请求报文相对应的检测回应报文,那么就说明第二设备的加密模块和解密模块没有出现故障,只是当前第二设备没有报文需要发送。如果第一设备在第一预设时间段内没有接收到第二设备发送的与第一检测请求报文相对应的检测回应报文,那么认为第二设备的解密模块发生故障,需要直接向第二设备发送明文报文,以保证数据传输的可靠性。
上文描述的是当第二设备的解密模块发生故障之后如何处理,当第二设备的解密模块恢复正常之后,第二设备可以向第一设备发送第三检测请求报文,第一设备在接收到第三检测请求报文之后,可以重新基于第一路由表项向第一设备发送第一加密报文。例如,第一设备可以将第一路由表项的优先级重新调到第二路由表项的优先级之上,以便第一设备能够基于第一路由表项向第一设备发送第一加密报文。
若第二设备中还有加密模块,那么当第一设备接收到来自第二设备的第二加密报文之后,可以知晓第二设备的解密模块恢复正常,此时也可以重新基于第一路由表项向第一设备发送第一加密报文。
下面以图2的应用场景为例介绍一下本申请实施例提供的报文发送方法。
参见图3,本申请实施例提供的报文发送方法包括如下步骤:
S201:第一路由器确认在第二预设时间段(例如1分钟)内没有接收到来自第二路由器的第二加密报文。
S202:第一路由器向第二路由器发送第一DPD请求报文,并开始计时。
第一DPD请求报文用于检测第二路由器的解密模块是否故障。
S203:若在计时结束时,第一路由器仍然未接收到第二路由器发送的第一DPD请求报文的DPD响应报文,则第一路由器生成第二DPD请求报文,并在第二DPD请求报文的保留字段的值设置为1。
从开始计时到计时结束之间的时间段为上文中的第一预设时间段,例如为0.5分钟。
S204:第一路由器根据保留字段的值设置为1的第二DPD请求,基于第二路由表项向第二路由器发送明文报文。
第二路由表项的出接口可以是普通的网络接口。
S205:当第一路由器接收到来自第二路由器的第二加密报文之后,基于第一路由表项向第二路由器发送第一加密报文。
第一路由表项的出接口可以是隧道接口。
当第一路由器接收到来自第二路由器的第二加密报文之后,认为第二路由器的解密模块恢复正常,所以可以基于第一路由表项向第二路由器发送第一加密报文。第二路由器在接收到第一加密报文之后,能够利用已经恢复的解密模块进行解密。
S206:若在计时结束之前,第一路由器接收到了第二路由器发送的第一DPD请求报文的DPD响应报文,则第一路由器基于第一路由表项向第二路由器发送第一加密报文。
通过上述步骤可以看出,不管第二路由器的解密模块是否故障,第一路由器都可以向第二路由器发送报文,以保证数据的正常通讯。
参见图4,本申请实施例还提供了一种报文发送装置,应用于第一设备,该第一设备可以实现图所示实施例中第一设备的功能。该第一设备包括第一发送单元401和第二发送单元402。其中,第一发送单元401用于执行图1所示实施例中的S101,第二发送单元402用于执行图1所示实施例中的S102。具体的,
第一发送单元401,用于向第二设备发送第一检测请求报文,第一检测请求报文用于检测第二设备解密模块的状态,解密模块用于对来自第一设备的第一加密报文进行解密,第一加密报文为对明文报文进行加密得到的报文;
第二发送单元402,用于当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,向第二设备发送明文报文。
可选的,第一发送单元401,用于基于第一路由表项向第二设备发送第一检测请求报文,第一路由表项用于第一设备向第二设备发送第一加密报文;
第二发送单元402,用于当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,基于第二路由表项向第二设备发送明文报文,第一路由表项的出接口和第二路由表项的出接口不同。
可选的,第一路由表项的出接口为隧道接口,隧道接口为第一设备用于向第二设备发送第一加密报文的隧道的接口;
第二路由表项的出接口为第一设备的、从第一设备到第二设备的路径中与下一跳设备的连接的接口。
可选的,第一检测请求报文为第一失效对等体检测DPD请求报文。
可选的,第二发送单元402,用于当在第一预设时间段内未接收到与第一检测请求报文对应的检测响应报文时,生成第二检测请求报文,并将第二检测请求报文中预设字段的值设置为预设值,预设字段的预设值指示第一设备向第二设备发送明文报文;根据第二检测请求报文中预设字段的预设值,第一设备向第二设备发送明文报文。
可选的,第二检测请求报文为第二失效对等体检测DPD请求报文。
可选的,预设字段为保留字段。
可选的,第一路由表项和第二路由表项分别具有优先级;
第二发送单元402,用于将第二路由表项的优先级调到第一路由表项的优先级之上,并基于优先级较高的第二路由表项向第二设备发送明文报文。
可选的,第一发送单元401,用于当第一设备在第二预设时间段内未接收到来自第二设备的第二加密报文时,第一设备向第二设备发送第一检测请求报文。
参见图5,本申请实施例还提供了一种报文发送设备500,所述设备为第一网络设备,设备500可以实现图2或图3所示实施例中第一网络设备的功能,所述设备包括存储单元501、处理单元502和通信单元503,
所述存储单元501,用于存储指令;
所述处理单元502,用于执行所述存储单元501中的所述指令,执行上述应用于图2或图3所示实施例中第一网络设备的路由表项的生成方法;
所述通信单元503,用于与第二网络设备进行通信。
存储单元501、处理单元502和通信单元503通过总线504相互连接;总线504可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
上述存储单元501可以是随机存取存储器(random-access memory,RAM)、闪存(flash)、只读存储器(read only memory,ROM)、可擦写可编程只读存储器(erasableprogrammable read only memory,EPROM)、电可擦除可编程只读存储器(electricallyerasable programmable read only memory,EEPROM)、寄存器(register)、硬盘、移动硬盘、CD-ROM或者本领域技术人员知晓的任何其他形式的存储介质。
上述处理单元502例如可以是中央处理器(central processing unit,CPU)、通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路(application-specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gatearray,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
上述通信单元503例如可以是接口卡等,可以为以太(ethernet)接口或异步传输模式(asynchronous transfer mode,ATM)接口。
本申请实施例还提供了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行以上应用于第一设备的报文发送方法。
本申请实施例还提供了一种报文发送系统,该系统包含图4所示实施例中提供的第一设备和第二设备。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (16)
1.一种报文发送方法,其特征在于,所述方法包括:
第一设备向第二设备发送第一检测请求报文,所述第一检测请求报文用于检测所述第二设备解密模块的状态,所述解密模块用于对来自所述第一设备的第一加密报文进行解密,所述解密模块为所述第二设备中独立设置的处理芯片,所述第一加密报文为对明文报文进行加密得到的报文;
当在第一预设时间段内未接收到与所述第一检测请求报文对应的检测响应报文时,所述第一设备向所述第二设备发送所述明文报文;
所述第一设备中包括第一路由表项和第二路由表项,其中,所述第一路由表项用于所述第一设备向所述第二设备发送第一加密报文,所述第二路由表项用于所述第一设备向所述第二设备发送明文报文,所述第一路由表项的出接口和所述第二路由表项的出接口不同,所述第一路由表项的出接口为隧道接口,所述第二路由表项的出接口为所述第一设备的、从所述第一设备到所述第二设备的路径中与下一跳设备的连接的接口。
2.根据权利要求1所述的方法,其特征在于,
所述第一设备向第二设备发送第一检测请求报文包括:
所述第一设备基于第一路由表项向第二设备发送第一检测请求报文。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述第一检测请求报文为第一失效对等体检测DPD请求报文。
4.根据权利要求1-2任一项所述的方法,其特征在于,所述当在第一预设时间段内未接收到与所述第一检测请求报文对应的检测响应报文时,所述第一设备向所述第二设备发送所述明文报文包括:
当在第一预设时间段内未接收到与所述第一检测请求报文对应的检测响应报文时,所述第一设备生成第二检测请求报文,并将所述第二检测请求报文中预设字段的值设置为预设值,所述预设字段的预设值指示所述第一设备向所述第二设备发送明文报文;
根据所述第二检测请求报文中预设字段的预设值,所述第一设备向所述第二设备发送所述明文报文。
5.根据权利要求4所述的方法,其特征在于,所述第二检测请求报文为第二失效对等体检测DPD请求报文。
6.根据权利要求5所述的方法,其特征在于,所述预设字段为保留字段。
7.根据权利要求5-6任一项所述的方法,其特征在于,所述第一路由表项和所述第二路由表项分别具有优先级;
所述第一设备基于第二路由表项向所述第二设备发送所述明文报文包括:
所述第一设备将所述第二路由表项的优先级调到所述第一路由表项的优先级之上,并基于优先级较高的第二路由表项向所述第二设备发送明文报文。
8.根据权利要求1-2任一项所述的方法,其特征在于,所述第一设备向第二设备发送第一检测请求报文包括:
当所述第一设备在第二预设时间段内未接收到来自所述第二设备的第二加密报文时,所述第一设备向第二设备发送第一检测请求报文。
9.一种报文发送装置,其特征在于,应用于第一设备,所述装置包括:
第一发送单元,用于向第二设备发送第一检测请求报文,所述第一检测请求报文用于检测所述第二设备解密模块的状态,所述解密模块用于对来自所述第一设备的第一加密报文进行解密,所述解密模块为所述第二设备中独立设置的处理芯片,所述第一加密报文为对明文报文进行加密得到的报文;
第二发送单元,用于当在第一预设时间段内未接收到与所述第一检测请求报文对应的检测响应报文时,向所述第二设备发送所述明文报文;
所述第一设备中包括第一路由表项和第二路由表项,其中,所述第一路由表项用于所述第一设备向所述第二设备发送第一加密报文,所述第二路由表项用于所述第一设备向所述第二设备发送明文报文,所述第一路由表项的出接口和所述第二路由表项的出接口不同,所述第一路由表项的出接口为隧道接口,所述第二路由表项的出接口为所述第一设备的、从所述第一设备到所述第二设备的路径中与下一跳设备的连接的接口。
10.根据权利要求9所述的装置,其特征在于,
所述第一发送单元,用于基于第一路由表项向第二设备发送第一检测请求报文。
11.根据权利要求9-10任一项所述的装置,其特征在于,所述第一检测请求报文为第一失效对等体检测DPD请求报文。
12.根据权利要求9-10任一项所述的装置,其特征在于,
所述第二发送单元,用于当在第一预设时间段内未接收到与所述第一检测请求报文对应的检测响应报文时,生成第二检测请求报文,并将所述第二检测请求报文中预设字段的值设置为预设值,所述预设字段的预设值指示所述第一设备向所述第二设备发送明文报文;根据所述第二检测请求报文中预设字段的预设值,所述第一设备向所述第二设备发送所述明文报文。
13.根据权利要求12所述的装置,其特征在于,所述第二检测请求报文为第二失效对等体检测DPD请求报文。
14.根据权利要求13所述的装置,其特征在于,所述预设字段为保留字段。
15.根据权利要求13-14任一项所述的装置,其特征在于,所述第一路由表项和所述第二路由表项分别具有优先级;
所述第二发送单元,用于将所述第二路由表项的优先级调到所述第一路由表项的优先级之上,并基于优先级较高的第二路由表项向所述第二设备发送明文报文。
16.根据权利要求9-10任一项所述的装置,其特征在于,
所述第一发送单元,用于当所述第一设备在第二预设时间段内未接收到来自所述第二设备的第二加密报文时,所述第一设备向第二设备发送第一检测请求报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811543533.9A CN111327394B (zh) | 2018-12-17 | 2018-12-17 | 一种报文发送方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811543533.9A CN111327394B (zh) | 2018-12-17 | 2018-12-17 | 一种报文发送方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327394A CN111327394A (zh) | 2020-06-23 |
| CN111327394B true CN111327394B (zh) | 2022-10-11 |
Family
ID=71168552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811543533.9A Active CN111327394B (zh) | 2018-12-17 | 2018-12-17 | 一种报文发送方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327394B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101622851A (zh) * | 2007-01-12 | 2010-01-06 | 艾利森电话股份有限公司 | 用于为高速环境提供对端活跃度的方法和系统 |
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
| CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
| CN103227777A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
| CN106658486A (zh) * | 2015-10-30 | 2017-05-10 | 中国移动通信集团公司 | 一种加密通话的呼叫方法、装置及终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017098666A (ja) * | 2015-11-19 | 2017-06-01 | 富士通株式会社 | 通信装置,及び暗号化通信の異常検出方法 |
-
2018
- 2018-12-17 CN CN201811543533.9A patent/CN111327394B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101622851A (zh) * | 2007-01-12 | 2010-01-06 | 艾利森电话股份有限公司 | 用于为高速环境提供对端活跃度的方法和系统 |
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
| CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
| CN103227777A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN106658486A (zh) * | 2015-10-30 | 2017-05-10 | 中国移动通信集团公司 | 一种加密通话的呼叫方法、装置及终端 |
| CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327394A (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107682284B (zh) | 发送报文的方法和网络设备 | |
| CN107567704B (zh) | 使用带内元数据的网络路径通过验证 | |
| EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
| CN107113239B (zh) | 包混淆和包转发 | |
| US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
| AU2008335604B2 (en) | Method and system for secure exchange of data in a network | |
| CN107016291B (zh) | 计算机测试工具和基于云服务器间安全通信的系统和方法 | |
| US11134066B2 (en) | Methods and devices for providing cyber security for time aware end-to-end packet flow networks | |
| EP3861690B1 (en) | Securing mpls network traffic | |
| CN106487802B (zh) | 基于DPD协议的IPSec SA的异常探测方法及装置 | |
| CN106506354B (zh) | 一种报文传输方法和装置 | |
| EP4047886A1 (en) | Information reporting method and information processing method, and device | |
| EP4270867A1 (en) | Secure communication method, apparatus, and system for dc interconnection | |
| KR20160020866A (ko) | 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법 | |
| CN114844729A (zh) | 一种网络信息隐藏方法及系统 | |
| CN111064668A (zh) | 路由表项的生成方法、装置及相关设备 | |
| US20190281530A1 (en) | X2 service transmission method and network device | |
| CN104219222A (zh) | 交换路径网络中用于中间消息认证的系统和方法 | |
| US11418354B2 (en) | Authentication method, device, and system | |
| CN111327394B (zh) | 一种报文发送方法及装置 | |
| US9729574B2 (en) | Seamless switchover for anti-replay connections in multiple network processor systems | |
| CN114915583A (zh) | 报文处理方法、客户端设备、服务器端设备和介质 | |
| CN108141358B (zh) | 用于在电路装置中产生密钥的方法 | |
| CN114567450A (zh) | 一种协议报文处理方法及装置 | |
| EP4221078A1 (en) | Packet processing method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |