CN114124511A - 一种ipsec协商方法、网络设备及可读存储介质 - Google Patents

一种ipsec协商方法、网络设备及可读存储介质 Download PDF

Info

Publication number
CN114124511A
CN114124511A CN202111362963.2A CN202111362963A CN114124511A CN 114124511 A CN114124511 A CN 114124511A CN 202111362963 A CN202111362963 A CN 202111362963A CN 114124511 A CN114124511 A CN 114124511A
Authority
CN
China
Prior art keywords
address
ipsec
message
sent
negotiation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111362963.2A
Other languages
English (en)
Inventor
刘力源
王耀杰
施德军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111362963.2A priority Critical patent/CN114124511A/zh
Publication of CN114124511A publication Critical patent/CN114124511A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提出了一种ipsec协商方法、网络设备及可读存储介质,ipsec协商方法包括获取对端对等体发送的请求消息,所述请求消息中包括有身份标识;基于所述身份标识与预设数据链表中的标识信息进行匹配;在匹配失败的情况下,退出协商流程,基于在预设时延内发送报文信息的地址确定恶意攻击地址,并过滤恶意攻击地址发送的报文信息;在匹配成功的情况下,向所述对端对等体发送响应消息,以完成ipsec协商。本公开的方法能够避免ipsec协商流程中某一个攻击地址连续不断发送协商报文而引起的系统崩溃,同时通过这种方式进一步降低了系统的负载,有效节约了系统资源。

Description

一种ipsec协商方法、网络设备及可读存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种ipsec协商方法、网络设备及可读存储介质。
背景技术
VPN技术利用internet或其他公共互联网络的基础为用户创建隧道,采用高强度的认证、加密算法保证传输数据的完整性和私密性,提供了与专用网络一样的安全和功能保障。VPN的主要特点就是安全、费用低、灵活性大、方便管理,VPN可以在远程用户、商业伙伴、公司内部等网络建立可靠度安全连接,并保护数据传输的安全性。而在诸多的连接中存在非常多的数据协商包,也存在各种恶意的协商包进行隧道连接,而隧道每解析一个数据协商包就会耗费大量资源。
现有的技术中响应方接收到发起方的第一个协商报文后需要根据发起方的IP地址查找连接,然后在找到的连接中对比隧道信息,查找连接的过程消耗了大量时间,并且占用了系统资源,如果有某个地址一直给设备发送恶意协商的报文,系统会一直查找连接,严重的情况下可能造成系统崩溃。
发明内容
本发明实施例提供一种ipsec协商方法、网络设备及可读存储介质,用以对无效的ipsec协商报文实现过滤,节约系统资源。
本发明实施例提供一种ipsec协商方法,包括如下步骤:
获取对端对等体发送的请求消息,所述请求消息中包括有身份标识;
基于所述身份标识与预设数据链表中的标识信息进行匹配;
在匹配失败的情况下,退出协商流程,基于在预设时延内发送报文信息的地址确定恶意攻击地址,并过滤恶意攻击地址发送的报文信息;
在匹配成功的情况下,向所述对端对等体发送响应消息,以完成ipsec协商。
在一些实施例中,获取对端对等体发送的请求消息是基于IPSEC静态隧道完成的,所述预设数据链表中记录有各对端对等体新建IPSEC静态隧道的本地身份标识和对端身份标识。
在一些实施例中,所述基于在预设时延内发送写报文的地址确定恶意攻击地址包括:
在匹配失败的情况下,将对应发送数据包的地址设置为可能攻击地址;
记录从可能攻击地址接收的报文信息;
在所述预设时延内持续接收到可能攻击地址发送的报文信息的情况下,确定该可能攻击地址为恶意攻击地址。
在一些实施例中,所述基于在预设时延内发送写报文的地址确定恶意攻击地址还包括:将恶意攻击地址加入防火墙黑名单中,不接收防火墙黑名单中的恶意攻击地址发送的数据。
在一些实施例中,所述请求消息以及所述响应消息还包括有本端的安全联盟SA载荷,秘钥KE以及nonce载荷。
在一些实施例中,所述响应消息中还包括有本端的SA载荷参数的哈希值,所述本端的SA载荷参数的哈希值用于与对端对等体回复消息中的哈希值进行比对,在比对一致的情况下允许发送消息。
本发明实施例还提供一种网络设备,所述网络设备包括存储器和处理器,所述处理器与所述存储器通信连接,所述存储器上存储有计算机程序,所述计算机程序被处理器执行时实现本公开各实施例所述的ipsec协商方法的步骤。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现本公开各实施例所述的ipsec协商方法的步骤。
本发明实施例通过基于所述身份标识与预设数据链表中的标识信息进行匹配;在匹配失败的情况下,退出ipsec协商流程,基于在预设时延内发送报文信息的地址确定恶意攻击地址,并过滤恶意攻击地址发送的报文信息,由此能够避免ipsec协商流程中某一个攻击地址连续不断发送协商报文而引起的系统崩溃,同时通过这种方式进一步降低了系统的负载,有效节约了系统资源。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本公开的ipsec协商方法的基本流程图;
图2为本公开实施例的确定恶意攻击地址的子流程图;
图3为本公开实施例的ipsec协商方法的总流程示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为便于理解本公开首先介绍如下名词含义:
IPSEC协议:由IETF制定的一种网络协议,IPSEC协议是基于IP通信数据安全性的端到端的网络协议,可以保证数据安全性、对数据源进行鉴别,具有抗重放攻击和载荷机密性。
标识:身份认证(类似于秘钥)的一种方式,可以分为本地标识和对端标识。
载荷:是密钥交换过程中通信双方交换消息的载荷格式,是构造秘钥交换协议消息的基本单位。本公开中用到的载荷有SA(安全联盟载荷),NONCE载荷(NI为发起方NONCE载荷,NR为响应方NONCE载荷),身份标识载荷(例如IDii为发起方标识,IDir为响应方标识),KE秘钥。
安全联盟:即SA载荷,两个通信实验体(对等体)经过协商起来的一种协定,SA载荷描述了如何利用安全服务进行通信。安全联盟包括了执行各种网络安全服务所需的所有信息,例如IP层服务(如鉴别头和载荷封装)、传输层和应用层服务或者协商通信的自我保护。
Ike协议:秘钥交换协议,密钥交换协议头部为HDR。在隧道协商过程中未ipsec隧道提供协商交换秘钥以及建立安全联盟的服务。密钥交换包括数据验证、身份验证、身份保护、DH交换和秘钥分发。IKE有主模式和野蛮模式两种密钥交换方式。
对等体:IPSec用于在协商发起方和响应方这两个端之间提供安全的IP通信,通信的两个端称为IPSec对等体。其中,端点可以是网关路由器,也可以是主机,对于接收端主机来说,发送消息的端为对端。
本发明实施例提供一种ipsec协商方法,如图1所示,包括以下具体步骤:
在步骤S101中获取对端对等体发送的请求消息,所述请求消息中包括有身份标识。本示例中所指的身份标识类似于秘钥,可以用于唯一标识各对端对等体。在一些实施例中,获取对端对等体发送的请求消息可以是基于IPSEC静态隧道完成的。
在步骤S102中基于所述身份标识与预设数据链表中的标识信息进行匹配。在一些实施例中,所述预设数据链表中记录有各对等体新建IPSEC静态隧道的本地身份标识和对端身份标识,例如可以把新建的IPSEC静态隧道的本地标识和对端标识都存放在一个结构体链表中,在匹配过程中若对端对等体发送的请求消息中的标识信息无法完成匹配,则可能是无效协商的ip地址,从而通过匹配能够完成无效协商报文的过滤。
在步骤S103中在匹配失败的情况下,退出协商流程,基于在预设时延内发送报文信息的地址确定恶意攻击地址,并过滤恶意攻击地址发送的报文信息。在匹配失败的情况下,退出协商流程可以避免查找连接的过程消耗大量时间,并且能够避免占用系统资源,由此极大提高了系统响应速度。同时基于在预设时延内发送报文信息的地址确定恶意攻击地址,并过滤恶意攻击地址发送的报文信息,能够在一定程度避免了对VPN系统的恶意攻击,进一步减少系统资源的占用。
在步骤S104中在匹配成功的情况下,向所述对端对等体发送响应消息,以完成ipsec协商。具体的ipsec协商可以是连接查找的方式实现,具体在此不做限定。
本公开的方法能够快速过滤无效的ipsec协商报文,尤其适用于野蛮模式隧道协商以及某些地址对VPN网关进行攻击的情况。本公开的方法通过先过滤无效的ipsec协商报文再进行连接查找的方式,减少了对系统资源的占用,减轻了系统的负担。
在一些实施例中,所述基于在预设时延内发送写报文的地址确定恶意攻击地址包括:
在步骤S201中在匹配失败的情况下,将对应发送数据包的地址设置为可能攻击地址。也即可以在本地维护的秘钥的结构体链表中查找发起方发送的发起方(对等体)的身份标识,如果匹配不到相应的身份标识,则直接退出协商过程,并将此时发送的数据包的地址假设为恶意ipsec攻击地址。
在步骤S202中记录从可能攻击地址接收的报文信息。在退出协商流程后开始记录从该地址接收到数据包的时间。然后在步骤S203中在所述预设时延内持续接收到可能攻击地址发送的报文信息的情况下,确定该可能攻击地址为恶意攻击地址。预设时延可以是任意设置的时间,例如3分钟,5分钟,10分钟等,如果某一个地址在预设时延内一直发送写上报文,则可以确定该可能攻击地址为恶意攻击地址。
在一些实施例中,所述基于在预设时延内发送写报文的地址确定恶意攻击地址还包括:将恶意攻击地址加入防火墙黑名单中,不接收防火墙黑名单中的恶意攻击地址发送的数据。也即在确定可能攻击地址为恶意攻击地址的情况下,可以将该恶意攻击地址加入防火墙黑名单中,从而不接收恶意攻击地址发送的数据包,不进行ipsec协商。通过这种方式,当有其他IP地址一直发送野蛮模式协商报文对VPN网关进行攻击时,也可以对这类报文进行过滤,从而减轻系统负担。
在一些实施例中,所获取的对等体发送的请求消息可以是在ipsec协商过程中发起的第一个协商报文。接收方对等体收到报文后可以先比较报文中发起方对等体的标识是否能在本地标识列表中找到,通过这样的方式不仅提高了过滤无效报文的速度,还减小了系统资源浪费。
在一些实施例中,所述请求消息以及所述响应消息还包括有本端的安全联盟SA载荷,秘钥KE以及nonce载荷。示例性的SA载荷可以包括加密算法,散列算法,DH,认证方法,IKE SA寿命等,nonce载荷中NI为发起方NONCE载荷,NR为响应方NONCE载荷。
在一些实施例中,所述响应消息中还包括有本端的SA载荷参数的哈希值,所述本端的SA载荷参数的哈希值用于与对端对等体回复消息中的哈希值进行比对,在比对一致的情况下允许发送消息。也即在本端可以基于本端的SA载荷计算获得SA载荷的哈希值,并将该哈希值通过响应消息发送给对端对等体,本端的SA载荷参数的哈希值用于所述对等体与自身的SA载荷参数的哈希值进行比对,在比对一致的情况下允许对端对等体发送消息至本端。
本公开的方法对无效的ipsec协商报文起到了极大的过滤作用,在预设时延(几分钟)内收到某个ip地址连续不断发送协商报文的情况下,本公开的方法将该地址认定为恶意攻击地址,并将该地址IP加入到黑名单,不在接受该地址的数据包,从而节约了系统资源,减轻了对系统的恶意攻击。
本发明实施例还提供一种ipsec协商方法,应用于ipsec野蛮模式隧道场景,如图3所示,包括如下步骤:
发起方建立IPSEC静态隧道,把新建的隧道的本地标识和对端标识都存放在指定的结构体链表中。
发送方向对等体发送一条包含一组或多组安全联盟,在安全联盟中包括5元组(加密算法,散列算法,DH,认证方法,IKE SA寿命),秘钥KE、nonce载荷以及发送方对等体自身的身份标识。
接收方对等体查看IKE策略消息,并且在秘钥的结构体链表中查找发起方发送的发起方的身份标识,若无法查找到相应的发起方的身份标识,则直接退出协商过程,然后发送的数据包的地址假设为恶意ipsec攻击,并开始记录接收到数据包的时间,如果找到身份标识则向发起方发送一条响应消息。
无法查找到相应的发起方的身份标识的情况下,进一步执行判断步骤,如果接收的假设的恶意ipsec攻击的地址在5分钟内一直发送写上报文,则把该假设地址加入到防火墙黑名单,从而不接收该假设地址的数据。
在成功查找到发起方的身份标识,或者该地址未在预设时延内一直发送写上报文的情况下,接收方给发起方(对端对等体)回复一条响应消息,消息包括安全联盟载荷(加密算法,散列算法,DH,认证方法,IKE SA寿命),秘钥KE、nonce载荷和标识,以及SA载荷相关参数经过计算后的哈希值。
发送方收到接收方回复消息后,计算本端参数的哈希值然后和对端(接收方)发送哈希值比较,如果哈希值一样则发送方可以将消息发送给对端(接收端)。
在ipsec野蛮隧道协商的情况下,发起方给接收方发送第一个协商报文,接收方收到报文后先比较报文中发起方的标识在本地标识列表中能否找到,通过本公开的方法不仅提高了过滤无效报文的速度,还大大减小了系统资源的浪费。
本发明实施例还提供一种网络设备,所述网络设备包括存储器和处理器,所述处理器与所述存储器通信连接,所述存储器上存储有计算机程序,所述计算机程序被处理器执行时实现本公开各实施例所述的ipsec协商方法的步骤。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现本公开各实施例所述的ipsec协商方法的步骤。
要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (8)

1.一种ipsec协商方法,其特征在于,包括如下步骤:
获取对端对等体发送的请求消息,所述请求消息中包括有身份标识;
基于所述身份标识与预设数据链表中的标识信息进行匹配;
在匹配失败的情况下,退出协商流程,基于在预设时延内发送报文信息的地址确定恶意攻击地址,并过滤恶意攻击地址发送的报文信息;
在匹配成功的情况下,向所述对端对等体发送响应消息,以完成ipsec协商。
2.如权利要求1所述的ipsec协商方法,其特征在于,获取对端对等体发送的请求消息是基于IPSEC静态隧道完成的,所述预设数据链表中记录有各对端对等体新建IPSEC静态隧道的本地身份标识和对端身份标识。
3.如权利要求1所述的ipsec协商方法,其特征在于,所述基于在预设时延内发送写报文的地址确定恶意攻击地址包括:
在匹配失败的情况下,将对应发送数据包的地址设置为可能攻击地址;
记录从可能攻击地址接收的报文信息;
在所述预设时延内持续接收到可能攻击地址发送的报文信息的情况下,确定该可能攻击地址为恶意攻击地址。
4.如权利要求3所述的ipsec协商方法,其特征在于,所述基于在预设时延内发送写报文的地址确定恶意攻击地址还包括:将恶意攻击地址加入防火墙黑名单中,不接收防火墙黑名单中的恶意攻击地址发送的数据。
5.如权利要求1所述的ipsec协商方法,其特征在于,所述请求消息以及所述响应消息还包括有本端的安全联盟SA载荷,秘钥KE以及nonce载荷。
6.如权利要求5所述的ipsec协商方法,其特征在于,所述响应消息中还包括有本端的SA载荷参数的哈希值,所述本端的SA载荷参数的哈希值用于与对端对等体回复消息中的哈希值进行比对,在比对一致的情况下允许发送消息。
7.一种网络设备,其特征在于,所述网络设备包括存储器和处理器,所述处理器与所述存储器通信连接,所述存储器上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的ipsec协商方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的ipsec协商方法的步骤。
CN202111362963.2A 2021-11-17 2021-11-17 一种ipsec协商方法、网络设备及可读存储介质 Pending CN114124511A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111362963.2A CN114124511A (zh) 2021-11-17 2021-11-17 一种ipsec协商方法、网络设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111362963.2A CN114124511A (zh) 2021-11-17 2021-11-17 一种ipsec协商方法、网络设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN114124511A true CN114124511A (zh) 2022-03-01

Family

ID=80396238

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111362963.2A Pending CN114124511A (zh) 2021-11-17 2021-11-17 一种ipsec协商方法、网络设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN114124511A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024092655A1 (en) * 2022-11-03 2024-05-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and communication device for communication using ipsec

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022458A (zh) * 2007-03-23 2007-08-22 杭州华为三康技术有限公司 会话的控制方法及控制装置
CN101132406A (zh) * 2007-09-25 2008-02-27 杭州华三通信技术有限公司 一种使用互联网协议安全多隧道的方法及三层设备
CN101499972A (zh) * 2009-03-16 2009-08-05 杭州华三通信技术有限公司 Ip安全报文转发方法及装置
CN102137111A (zh) * 2011-04-20 2011-07-27 北京蓝汛通信技术有限责任公司 一种防御cc攻击的方法、装置和内容分发网络服务器
CN105743843A (zh) * 2014-12-08 2016-07-06 华为技术有限公司 一种防止报文攻击的处理方法及装置
CN105939326A (zh) * 2016-01-18 2016-09-14 杭州迪普科技有限公司 处理报文的方法及装置
CN106330815A (zh) * 2015-06-17 2017-01-11 中兴通讯股份有限公司 Ike协商控制方法、装置和系统
CN108366059A (zh) * 2018-02-07 2018-08-03 迈普通信技术股份有限公司 通信协商方法、响应方设备及发起方设备
CN109639699A (zh) * 2018-12-24 2019-04-16 华为技术有限公司 一种网络管理方法和装置
CN111371549A (zh) * 2020-03-05 2020-07-03 浙江双成电气有限公司 一种报文数据传输方法、装置及系统
CN111865583A (zh) * 2020-07-20 2020-10-30 北京天融信网络安全技术有限公司 隧道协商方法、装置、电子设备及存储介质
CN112187611A (zh) * 2020-09-30 2021-01-05 瑞斯康达科技发展股份有限公司 一种建立业务隧道的方法、存储介质和设备

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022458A (zh) * 2007-03-23 2007-08-22 杭州华为三康技术有限公司 会话的控制方法及控制装置
CN101132406A (zh) * 2007-09-25 2008-02-27 杭州华三通信技术有限公司 一种使用互联网协议安全多隧道的方法及三层设备
CN101499972A (zh) * 2009-03-16 2009-08-05 杭州华三通信技术有限公司 Ip安全报文转发方法及装置
CN102137111A (zh) * 2011-04-20 2011-07-27 北京蓝汛通信技术有限责任公司 一种防御cc攻击的方法、装置和内容分发网络服务器
CN105743843A (zh) * 2014-12-08 2016-07-06 华为技术有限公司 一种防止报文攻击的处理方法及装置
CN106330815A (zh) * 2015-06-17 2017-01-11 中兴通讯股份有限公司 Ike协商控制方法、装置和系统
CN105939326A (zh) * 2016-01-18 2016-09-14 杭州迪普科技有限公司 处理报文的方法及装置
CN108366059A (zh) * 2018-02-07 2018-08-03 迈普通信技术股份有限公司 通信协商方法、响应方设备及发起方设备
CN109639699A (zh) * 2018-12-24 2019-04-16 华为技术有限公司 一种网络管理方法和装置
CN111371549A (zh) * 2020-03-05 2020-07-03 浙江双成电气有限公司 一种报文数据传输方法、装置及系统
CN111865583A (zh) * 2020-07-20 2020-10-30 北京天融信网络安全技术有限公司 隧道协商方法、装置、电子设备及存储介质
CN112187611A (zh) * 2020-09-30 2021-01-05 瑞斯康达科技发展股份有限公司 一种建立业务隧道的方法、存储介质和设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024092655A1 (en) * 2022-11-03 2024-05-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and communication device for communication using ipsec

Similar Documents

Publication Publication Date Title
US8400970B2 (en) System and method for securing a personalized indicium assigned to a mobile communications device
CN102017677B (zh) 通过非3gpp接入网的接入
US7831237B2 (en) Authenticating mobile network provider equipment
CN101606372B (zh) 支持无uicc呼叫
EP2601772B1 (en) Group security in machine-type communication
KR100927944B1 (ko) 무선 통신 시스템에서의 데이터의 최적 전송 방법 및 장치
US20040205211A1 (en) Server, terminal control device and terminal authentication method
JP6067651B2 (ja) デュアルスタック・オペレーションの認可を織り込むための方法および装置
CN114124511A (zh) 一种ipsec协商方法、网络设备及可读存储介质
CN101697522A (zh) 虚拟专用网组网方法及通信系统以及相关设备
KR100964350B1 (ko) IPv6 환경에서의 SEND와 IPSec 협업 기법 및시스템
CN110996295A (zh) 车联网节点身份验证方法和身份区块
CN109547470B (zh) 保护网络空间安全的电子隔离墙方法、装置及系统
CN116017429A (zh) 5g网络加密组网方法、系统、装置及存储介质
CN107888383B (zh) 登录认证方法及装置
CN114268473B (zh) IKEv1协议主模式抵御DDOS攻击的方法、系统、终端及存储介质
CN113115306B (zh) 一种增强LoraWan网络架构安全性的加密方法、系统及存储介质
EP2146534B1 (fr) Authentification d'un terminal
CN103327006A (zh) 多接入网络中的安全方法
KR100596397B1 (ko) 모바일 IPv6 환경에서 라디우스 기반 AAA 서버의세션키 분배 방법
CN115842813A (zh) 通信方法以及相关装置
EP1662745B1 (en) System and method for securing a personal identification number assigned to a mobile communications device
CN116896456A (zh) 通信方法及装置
CN115695525A (zh) 链路建立方法、装置及系统
US20190020628A1 (en) Smart Sender Anonymization in Identity Enabled Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination