CN1750533A - 一种实现安全联盟备份和切换的方法 - Google Patents
一种实现安全联盟备份和切换的方法 Download PDFInfo
- Publication number
- CN1750533A CN1750533A CN 200410077824 CN200410077824A CN1750533A CN 1750533 A CN1750533 A CN 1750533A CN 200410077824 CN200410077824 CN 200410077824 CN 200410077824 A CN200410077824 A CN 200410077824A CN 1750533 A CN1750533 A CN 1750533A
- Authority
- CN
- China
- Prior art keywords
- communication entity
- backup
- main
- source
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现安全联盟(SA)备份和切换的方法。该方法具体实现如下:在有IP安全协议(IPsec)备份连接的情况下,将主通讯实体间实现安全通讯所建立的SA保存在备份通讯实体。当主通讯实体或主连接发生故障时,备份通讯实体的IKEv2通知源通讯实体其对端通讯实体地址发生变化,源通讯实体获知地址变更后,更新本地SA的对端地址,源通讯实体用户流量切换到备份连接上,完成SA的备份和切换。本发明不需要重新创建新的SA,从而极大地提高了备份连接的切换速度。且由于所有的切换工作只限于在IPsec机制本身的范围内完成,简化了系统的设计,提高了可靠性。
Description
技术领域
本发明涉及IP安全协议(IPsec)安全保护技术,尤指一种在需要安全通讯备份的实体间实现安全联盟(SA)备份和切换的方法。
背景技术
为了改善IP的安全性,Internet工程任务组(IETF)开发了IPsec相关协议。IPsec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上层提供访问控制、数据源认证、数据加密等网络安全服务。IPsec组策略用于配置IPsec安全服务,例如Windows 2000的″IPSec策略管理″,就是用于配置IPsec安全服务,配置完成后,称IPsec处于激活状态。
两个需要安全通讯的实体在进行数据交换之前,必须首先建立某种约定,这种约定称为SA,指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,定义了实体间如何使用安全服务(如加密)进行通信。SA由下列元素组成:(1)安全参数索引SPI;(2)目的IP地址;(3)安全协议。SA是一个单向的逻辑连接,也就是说,在一次通讯中,IPsec需要建立两个SA,一个是用于入站通讯的入站SA,另一个是用于出站通讯的出站SA,每个SA有唯一的SPI,当处理接收数据包时,服务器根据SPI值来决定该使用哪种SA。Internet密钥交换协议(IKE)为SA的建立提供了一种方法,IKE建立SA分两个阶段:第一个阶段协商创建一个通信信道(IKESA),用于保护安全协商,并对该信道进行认证,为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务。第二个阶段在IKE SA的保护下协商创建一个或几个IPsec SA通道,用于保护数据,即为数据交换提供IPsec服务。
IPSec的实现需维护两个与SA有关的数据库,安全策略数据库(SPD)和安全联盟数据库(SAD)。SPD是为IPSec实现提供安全策略配置,包括源、目的IP地址、掩码、端口、传输层协议、动作、进出标志、标识符、SA和策略指针。SAD是SA的集合,其内容必须包括目的IP地址、安全协议、SPI、序列号计数器、序列号溢出标志、抗重播窗口、SA的生命期、进出标志、SA状态、IPSec协议模式、加密算法和验证算法相关项目。
IPsec经常应用在网络的边缘,作为保护连接的技术,如在Internet接入中用户设备和接入服务器之间采用IPsec保护用户上网数据;在移动网络中手机和基站之间采用IPsec来保护用户数据。
在一些对通讯可靠性要求比较高的情况下,如企业的Internet接入,一个场所可能通过多个网络连接连接到网络上的不同设备上来提高接入连接的可靠性,其网络示意图参见图1,图1是IPsec作为保护接入连接技术应用在网络的边缘的网络结构示意图。目前,为了提高客户网络边缘设备(CE)201到供应商网络边缘设备(PE)的网络连接的可靠性,采用两个连接,如图2所示,图2是现有技术SA备份和切换的原理图,这里称CE 201为源通讯实体、PE1 202为主通讯实体、PE2 203为备通讯实体。假设CE 201、PE1 202、PE2 203都有处于激活状态的IPsec策略,同时参见图3所示,图3是现有技术实现SA备份和切换的流程图,具体工作步骤如下:
步骤301:CE 201与PE1 202之间通过网络连接连接,组成主连接:CE201与PE2 203之间通过网络备份连接连接,组成备份连接。
步骤302:CE 201上的IPsec驱动程序2013通知IKE 2011开始安全协商。PE1 202的IKE 2021收到请求安全协商通知后,CE 201与PE1 202开始进入在应用层的IKE协商过程:第一阶段建立IKE SA,第二阶段在IKE SA的保护下创建IPsec SA,这样,在主连接上建立了SA,即CE 201与PE1 202之间建立了安全通讯。
当PE1 202或CE 201与PE1 202之间的连接发生故障时,CE 201能通过Heart Beat或keep alive报文信息检测到故障,为了能继续通过PE2 203提供IPsec安全通讯,就需要在备份连接上建立一个SA,目前,有下面两种方法:
一种方法是:
步骤303:CE 201通过Heart Beat或keep alive报文信息检测到故障后,CE 201上的IPsec驱动程序2013通知IKE 2011开始重新安全协商;PE2 203的IKE 2031收到请求安全协商通知后,CE 201与PE2 203开始进入在应用层的IKE协商过程。该过程仍然包括两个阶段:第一阶段建立IKE SA,第二阶段在IKE SA的保护下创建IPsec SA。两个协商阶段的具体过程如下:
第一阶段协商步骤:
1.策略协商,在这一步中,对以下参数值进行协商:
1)加密算法:选择DES或3DES;
2)hash算法:选择MD5或SHA;
3)认证方法:选择证书认证、预置共享密钥认证或Kerberos v5认证;
4)Diffie-Hellman(DH)组的选择,DH组决定DH交换中密钥生成基本信息的长度。
2.DH交换:
在两台通讯实体之间交换一些DH算法生成共享密钥所需要的基本材料信息。DH交换,可以是公开的,也可以受保护。在彼此交换过密钥生成基本信息后,两台通讯实体可以各自生成出完全一样的共享“主密钥”,保护紧接其后的认证过程。
3.认证:
DH交换需要得到进一步认证,如果认证不成功,通信将无法继续下去。“主密钥”结合在第一步中确定的协商算法,对通讯实体和通信信道进行认证。在这一步中,整个待认证的实体载荷,包括实体类型、端口号和协议均由前一步生成的“主密钥”提供机密性和完整性保证。
第二阶段协商步骤:
1.策略协商,双方交换保护需求:
1)使用哪种IPSec协议:AH或ESP;
2)使用哪种hash算法:MD5或SHA;
3)是否要求加密,若是,选择加密算法:3DES或DES。
在上述三方面达成一致后,将建立起两个SA,分别用于入站和出站通信。
2.会话密钥基本信息刷新或交换:
在这一步中,将生成加密IP数据包的“会话密钥”。生成“会话密钥”所使用的基本信息可以和生成第一阶段SA中“主密钥”的相同,也可以不同。如果不做特殊要求,只需要刷新基本信息后,生成新密钥即可。若要求使用不同的基本信息,则在密钥生成之前,首先进行第二轮的DH交换。
3.IKE 2011将SA、密钥和SPI,递交给IPSec驱动程序2013。
从而建立了安全联盟数据库SAD。
这里,第二阶段协商过程与第一阶段协商过程类似,不同之处在于:在第二阶段中,如果响应超时,则自动尝试重新进行第一阶段SA协商。只要第一阶段SA超时,就必须重复第一阶段的协商和认证。
步骤304:这样,CE 201与PE1 202之间的安全通讯在新创建的SA的保护下切换到CE 201与PE2 203之间。
步骤305:该步骤完成数据包的传送,包括两个IPsec驱动程序过程,具体实施如下:
1.CE 201发送端IPsec驱动程序2013的具体执行步骤为:
1)从IKE 2011处获得SA、会话密钥;
2)在IPSec驱动程序2013的SAD数据库中查找相匹配的出站SA,并将SA中的SPI插入IPSec报头;
3)对由CE 201的应用程序经TCP/IP驱动程序2012提交的数据包签名(完整性检查);如果要求机密保护,则另外加密数据包;
4)将数据包随同SPI经备份连接转发至PE2 203,PE3 203收到数据包并提交给IPsec驱动程序2033。
2.PE2 203接收端IPsec驱动程序2033的具体执行步骤为:
1)从IKE 2031处获得会话密钥,SA和SPI;
2)通过目的IP地址和SPI在IPSec驱动程序2033数据库中查找相匹配的入站SA;
3)检查签名,对数据包进行解密;
4)将数据包递交给TCP/IP驱动程序2032,再由TCP/IP驱动程序2032将数据包提交PE2203接收应用程序。
至此,完成一次CE 201向PE2 203的信息发送过程。
另外一种创建SA的方法是:当CE 201检测到故障后,在CE 201端和PE2 203端进行手工配置,即手工完成命令行、网管等的配置。
上面两种方法都是重新创建一个新的SA。通过IKE来创建SA时,SA的协商需要占用比较多的系统资源和一定的时间,如果在切换连接同时协商还可能会导致业务的中断;采用手工配置需要的时间更长,必然会导致业务的中断,如果采用预先配置的方式,这样毫无疑问会加大系统管理的工作量。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现SA备份和切换的方法。该方法能够简化系统的设计,提高切换的速度和可靠性。
为达到上述目的,本发明的一种实现安全联盟备份和切换的方法,具体实现包括如下步骤:
a.源通讯实体与主通讯实体之间通过网络连接组成主连接;源通讯实体与备份通讯实体之间通过网络备份连接组成备份连接;在主连接上建立SA;
b.将主连接上的SA保存到备份通讯实体,具体过程进一步包括:
b1.主通讯实体通过本地网络将SA发送到备份通讯实体;
这里发送是主通讯实体采用保证信息安全传输的方式发送给备通讯实体。
b2.备份通讯实体接收SA并保存。
c.检测到主通讯实体或主连接发生故障,通知备份通讯实体,并将SA保护的流量切换到备份连接上。
步骤c中故障检测是通过源通讯实体或通讯实体根据源通讯实体与主通讯实体间相互发送的Heart Beat报文和/或keep alive报文中的故障信息来进行检测。检测到故障后主通讯实体以通知报文的形式通知备份通讯实体,或源通讯实体将流量切换到备份通讯实体的形式通知备份通讯实体。
步骤c中备份通讯实体获知故障后,进一步包括:备份通讯实体采用IKEv2的地址更新机制通知源通讯实体修改SA的对端地址。
步骤c中在将SA保护的流量切换到备份连接上之前,源通讯实体还需要检测并确定源通讯实体与备份通讯实体间的路径存在并有效。
如果备份通讯实体有两个或两个以上时,当源通讯实体或主连接发生故障后根据源通讯实体和/或主通讯实体本身的选择算法来选择备份通讯实体。
源通讯实体为网络边缘设备,主通讯实体为网络边缘设备,备通讯实体为网络通讯设备。
主通讯实体为移动终端,主通讯实体为基站,备通讯实体为基站。
由上述的技术方案可见,本发明中,由于在备份通讯实体中保存有主连接上的SA信息,同时在源通讯实体与备份通讯实体间建立了备份连接,所以在发生故障时,通过IPsec的地址管理机制,就能很方便地完成SA的迁移,从而高效地实现将安全连接从主连接向备份连接的迁移,而无需重新创建新的SA。本发明的这种实现SA备份和切换的方法,因为不涉及计算强度很大的IKE协商过程,能够极大地提高有IPsec保护的备份连接的切换速度,节约了系统资源。本发明的切换工作只限于在IPsec机制本身的范围内完成,简化了系统的设计,提高了可靠性。
附图说明
图1是IPsec作为保护接入连接技术应用在网络的边缘的网络结构示意图;
图2是现有技术SA备份和切换的原理图;
图3是现有技术实现SA备份和切换的流程图;
图4是本发明应用在网络的边缘的第一较佳实施例原理示意图;
图5是本发明实现SA备份和切换的流程图;
图6是本发明应用在移动网络通讯系统的第二较佳实施例原理示意图。
具体实施方式
本发明的核心思想是:主通讯实体将SA信息发送到备份通讯实体,备份通讯实体将该信息保存在本地,当主通讯实体或主连接发生故障,备份通讯实体的Internet密钥交换协议第二版IKEv2通知源通讯实体发生地址变更,源通讯实体根据备份通讯实体的地址更新本地SA的对端地址为备份通讯实体的地址,将SA保护的流量切换到备份通讯实体间。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举两个较佳实施例,对本发明进一步详细说明。
实施例1:
图4是本发明应用在网络的边缘的第一较佳实施例原理示意图,图4中显示了企业的Internet接入,为了提高客户网络边缘设备(CE)401到供应商网络边缘设备(PE)的网络连接的可靠性,采用两个连接。这里称CE 401为源通讯实体、PE1 402为主通讯实体、PE2 403为备通讯实体,并假设CE401、PE1 402、PE2 403都有处于激活状态的IPsec策略,如图5所示,图5是本发明实现SA备份和切换的流程图,具体工作步骤如下:
步骤501:CE 401与PE1 402之间通过网络连接连接,组成主连接;CE401与PE2 403之间通过网络备份连接连接,组成备份连接。
步骤502:CE 401上的IPsec驱动程序4013通知IKEv2 4011开始安全协商,PE1 402的IKEv2 4021收到请求安全协商通知后,CE 401与PE1 402开始进入在应用层的IKE协商过程:第一阶段建立IKE SA,第二阶段在IKESA的保护下创建IPsec SA;至此,在主连接上建立了SA,即CE 401与PE1402之间实现安全通讯。
步骤503:PE1 402通过本地网络并采用加密方式将CE 401与PE1 402之间建立的SA发送到PE2 403,并保存在PE2 403,这里PE1 402与PE2 403同属供应商网络边缘设备,它们连接在同一个供应商本地网络中。
步骤504:当PE1 402或CE 401和PE1 402的连接发生故障时,PE1 402通过CE 401与PE1 402间相互发送的Heart Beat或keep alive报文信息检测故障,当检测到故障后以通知报文的形式通知PE2 403,PE2 403接到通知后,IKEv2 4031通知CE 401,它的对端通讯地址发生了变化,CE 401根据PE2 403的地址更新本地SA的对端地址,并检查CE 401与PE2 403的路径可达性。该步骤中,Heart Beat或keep alive报文随CE 401与PE1 402之间的数据包而传送,含有PE1 402故障信息和CE 401与PE1 402的连接故障信息。
该步骤的另外一种实现方式是,CE 401通过Heart Beat或keep alive报文信息检测到故障后,将SA保护的流量切换到PE2 403的缓存区,PE2 403检测到流量后,IKEv2 4031通知CE 401,它的对端通讯地址发生了变化,CE 401根据PE2 403的地址更新本地SA的对端地址,并检查CE 401与PE2403的路径可达性。
步骤505:确定该路径确实存在和有效后,将SA保护的流量切换到CE401与PE2 403之间的备份连接上,至此完成了SA的备份和切换,从而实现了CE 401与PE2 403的备份安全通讯。
对应步骤504的另一种实现方式,该步骤在确定该路径确实存在和有效后,完成了SA的备份和切换,从而实现了CE 401与PE2 403的备份安全通讯。
步骤506:该步骤完成数据包的传送,包括两个IPsec驱动程序过程,
具体实施如下:
1.CE 401发送端IPsec驱动程序4013的具体执行步骤为:
1)从IKEv2 4011处获得SA和会话密钥;
2)在IPSec驱动程序4013数据库中查找相匹配的出站SA,并将SA中的SPI插入IPSec报头;
3)对由CE 401的应用程序经TCP/IP驱动程序4012提交的数据包签名(完整性检查);如果要求机密保护,则另外加密数据包;
4)将数据包随同SPI经备份连接转发至PE2 403,PE2 403收到数据包并提交给IPsec驱动程序4033;
2.PE2 403接收端IPsec驱动程序4033的具体执行步骤为:
1)从IKEv2 4031处获得会话密钥,SA和SPI;
2)通过目的IP地址和SPI在IPSec驱动程序4033数据库中查找相匹配的入站SA;
3)检查签名,对数据包进行解密;
4)将数据包递交给TCP/IP驱动程序4032,再由TCP/IP驱动程序4032将数据包提交PE2 403接收应用程序。
至此,完成一次CE 401向PE2 403的信息发送过程。
实施例2:
图6是移动网络中手机(MS)401和基站(BS)之间采用IPsec来保护用户数据的示意图,图6中MS 601称为源通讯实体、BS1 602称为主通讯实体、BS2 603称为备通讯实体。正常情况下,在MS 601和BS1 602之间建立SA,这样在MS 601与BS1 602之间实现安全通讯。同时BS1 602将SA信息发送给BS2 603,BS2 603将该SA信息保存在本地,以供备用。当BS1 602或MS 601和BS1 602的连接发生故障时,BS2 603的IKEv2 607通知MS 601:MS 601的连接的对端地址发生了变化,由正常情况下BS1 602地址变为故障情况下BS2603的地址。MS 601获得地址变更通知后,立即更新本地SA的对端地址为BS2603的地址,并执行路径可路由检查BS2 603的可达性。一旦可达性成立,MS 601的SA用户流量切换到备份连接上。至此,完成了MS 601和BS之间的安全通讯的安全可靠切换。
上述两个实施例中,每个通讯实体的Internet密钥交换协议均采用IKEv2,IKEv2提供了一个IPsec的地址管理机制。该机制允许IPsec两个端点中的一个端点地址发生变化,IKEv2可以通知另一端,另一端根据地址变化的一端更新SA的对端地址。
在实际应用中,对于一些需要高可靠性连接的应用,可以增加备通讯实体的数量。备份连接的选择依赖源通讯实体或主通讯实体本身的选择算法,比如每个备份连接都有一个固定的优先级,当主通讯实体或主连接发生故障时,按从高到低的级别选择备份通讯实体。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1.一种实现安全联盟SA备份和切换的方法,其特征在于,该方法包括如下步骤:
a.源通讯实体与主通讯实体之间通过网络连接组成主连接;源通讯实体与备份通讯实体之间通过网络备份连接组成备份连接;在主连接上建立SA;
b.将主连接上的SA保存到备份通讯实体;
c.检测到主通讯实体或主连接发生故障,通知备份通讯实体,并将SA保护的流量切换到备份连接上。
2.根据权利要求1所述的方法,其特征在于:步骤b中所述的将SA保存到备份通讯实体的过程包括:
b1.主通讯实体通过本地网络将SA发送到备份通讯实体;
b2.备份通讯实体接收SA并保存。
3.根据权利要求2所述的方法,其特征在于:步骤b1中所述的发送是主通讯实体采用保证信息安全传输的方式发送给备通讯实体。
4.根据权利要求1所述的方法,其特征在于:故障检测是通过源通讯实体进行检测或通过主通讯实体进行检测。
5.根据权利要求1或4所述的方法,其特征在于,步骤c中所述的故障是根据源通讯实体与主通讯实体间相互发送的Heart Beat报文和/或keep alive报文中的故障信息来进行检测。
6.根据权利要求1所述的方法,其特征在于:步骤c中所述的检测到故障后通知是主通讯实体以通知报文的形式通知备份通讯实体,或源通讯实体将流量切换到备份通讯实体的形式通知备份通讯实体。
7.根据权利要求1或6所述的方法,其特征在于:步骤c中备份通讯实体获知故障后,进一步包括:备份通讯实体采用IKEv2的地址更新机制通知源通讯实体修改SA的对端地址。
8.根据权利要求1所述的方法,其特征在于:步骤c中所述的将SA保护的流量切换到备份连接上之前进一步包括:源通讯实体检测并确定源通讯实体与备份通讯实体间的路径存在并有效。
9.根据权利要求1所述的方法,其特征在于:所述的备份通讯实体有两个或两个以上时,所述步骤c进一步包括:根据源通讯实体和/或主通讯实体本身的选择算法来选择备份通讯实体。
10.根据权利要求1所述的方法,其特征在于:所述的源通讯实体为网络边缘设备,主通讯实体为网络边缘设备,备通讯实体为网络通讯设备。
11.根据权利要求1所述的方法,其特征在于:所述的主通讯实体为移动终端,主通讯实体为基站,备通讯实体为基站。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100778245A CN100499649C (zh) | 2004-09-15 | 2004-09-15 | 一种实现安全联盟备份和切换的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100778245A CN100499649C (zh) | 2004-09-15 | 2004-09-15 | 一种实现安全联盟备份和切换的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1750533A true CN1750533A (zh) | 2006-03-22 |
| CN100499649C CN100499649C (zh) | 2009-06-10 |
Family
ID=36605794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100778245A Expired - Fee Related CN100499649C (zh) | 2004-09-15 | 2004-09-15 | 一种实现安全联盟备份和切换的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100499649C (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1791098B (zh) * | 2004-12-13 | 2010-12-01 | 华为技术有限公司 | 一种实现安全联盟同步的方法 |
| CN101335985B (zh) * | 2007-06-29 | 2011-05-11 | 华为技术有限公司 | 安全快速切换的方法及系统 |
| CN101442471B (zh) * | 2008-12-31 | 2012-04-18 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网系统 |
| CN102546154A (zh) * | 2011-12-19 | 2012-07-04 | 上海顶竹通讯技术有限公司 | 移动通信网络以及终端的切换方法 |
| CN102891766A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
| CN105991352A (zh) * | 2015-07-22 | 2016-10-05 | 杭州迪普科技有限公司 | 一种安全联盟备份方法以及装置 |
| CN106161386A (zh) * | 2015-04-16 | 2016-11-23 | 中兴通讯股份有限公司 | 一种实现IPsec分流的方法和装置 |
| CN109104385A (zh) * | 2018-10-10 | 2018-12-28 | 盛科网络(苏州)有限公司 | 一种防止macsec安全通道故障的方法和装置 |
| CN109417470A (zh) * | 2016-09-19 | 2019-03-01 | 华为技术有限公司 | 密钥协商方法及装置 |
-
2004
- 2004-09-15 CN CNB2004100778245A patent/CN100499649C/zh not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1791098B (zh) * | 2004-12-13 | 2010-12-01 | 华为技术有限公司 | 一种实现安全联盟同步的方法 |
| CN101335985B (zh) * | 2007-06-29 | 2011-05-11 | 华为技术有限公司 | 安全快速切换的方法及系统 |
| CN101442471B (zh) * | 2008-12-31 | 2012-04-18 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网系统 |
| CN102546154A (zh) * | 2011-12-19 | 2012-07-04 | 上海顶竹通讯技术有限公司 | 移动通信网络以及终端的切换方法 |
| CN102891766A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
| CN102891766B (zh) * | 2012-09-25 | 2015-04-22 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
| CN106161386A (zh) * | 2015-04-16 | 2016-11-23 | 中兴通讯股份有限公司 | 一种实现IPsec分流的方法和装置 |
| CN105991352A (zh) * | 2015-07-22 | 2016-10-05 | 杭州迪普科技有限公司 | 一种安全联盟备份方法以及装置 |
| CN109417470A (zh) * | 2016-09-19 | 2019-03-01 | 华为技术有限公司 | 密钥协商方法及装置 |
| CN109104385A (zh) * | 2018-10-10 | 2018-12-28 | 盛科网络(苏州)有限公司 | 一种防止macsec安全通道故障的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100499649C (zh) | 2009-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9654453B2 (en) | Symmetric key distribution framework for the Internet | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| JP4707992B2 (ja) | 暗号化通信システム | |
| CN102195957B (zh) | 一种资源共享方法、装置及系统 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| US20150067337A1 (en) | Techniques to Classify Virtual Private Network Traffic Based on Identity | |
| EP2767029B1 (en) | Secure communication | |
| CN1790982A (zh) | 基于协商通信实现信任认证的方法及系统 | |
| CN106533894A (zh) | 一种全新的安全的即时通信体系 | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| CN1750533A (zh) | 一种实现安全联盟备份和切换的方法 | |
| CN101442470A (zh) | 一种建立隧道的方法、系统和设备 | |
| WO2016000473A1 (zh) | 一种业务访问方法、系统及装置 | |
| WO2023010880A1 (zh) | 一种数据传输方法及相关设备 | |
| JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| CN1901499A (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
| JP2007267064A (ja) | ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。 | |
| CN109361684B (zh) | 一种vxlan隧道的动态加密方法和系统 | |
| KR20150060050A (ko) | 네트워크 장치 및 네트워크 장치의 터널 형성 방법 | |
| WO2023024540A1 (zh) | 处理报文、获取sa信息的方法、装置、系统及介质 | |
| JP7415799B2 (ja) | 無線基地局装置、無線基地局プログラム、及び無線通信システム | |
| CN113115306B (zh) | 一种增强LoraWan网络架构安全性的加密方法、系统及存储介质 | |
| WO2023236925A1 (zh) | 一种认证方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090610 Termination date: 20170915 |