本发明专利技术公开了一种IPSec SA的检测方法及装置,该方法包括:基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;通过与所述IPSec SA对端设备之间的IPSec SA加密所述探测报文后发送给所述IPSec SA对端设备;确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文;若在第一检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文,则确定与所述IPSec SA对端设备之间的IPSec SA故障。该方案可以实现检测IPSec SA的状态,避免IPSec SA出现单通故障。
【技术实现步骤摘要】
IPSecSA的检测方法及装置
本专利技术涉及通信
,尤指一种互联网协议安全(InternetProtocolSecurity,IPSec)安全联盟(SecurityAssociation,SA)的检测方法及装置。
技术介绍
IPSec在互联网协议(InternetProtocol,IP)层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPSec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。IPSec能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。密钥交换(InternetKeyExchange,IKE)是一种密钥管理协议标准,需要与IPSec一起使用。IKE活动在(UserDatagramProtocol,UDP)层上,提供安全的密钥交换和管理机制。虽然IPSec可以单独使用,但IKE能使IPSec更灵活、易于配置,且有更高的安全性。安全联盟(SecurityAssociation,SA)是为特定数据流提供安全服务的一个逻辑连接,这个安全服务的参数包括特定的安全协议、安全算法、密钥、以及数据流描述。有IKESA和IPSecSA两种,其中:IKESA可以称为IPSec一阶段SA,用于保护IKE协商阶段的数据安全;IPSecSA可以称为IPSec二阶段SA,对数据提供IPSec保护功能,既可以由用户手工配置建立连接,又可以由IKE协商建立用于IPSec数据流量的安全保护。死亡对端检测(DeadPeerDetection,DPD)用于检测IPSec对端设备是否存在和可通信,通过定期向IPSec对端设备发送DPD探测报文,根据IPSec对端设备是否对探测报文进行回复判断IPSec对端设备是否存在。DPD同IKESA进行关联,当DPD探测发现IPSec对端设备不存在时,就会删除SA并重新尝试建立新的IKESA和IPSECSA,避免出现隧道阻塞。IPSec动态加密映射(IPSecDynamicCryptoMap,IPSecDCM)是指IPSec汇聚端动态的学习加密映射条目,并建立SA的方式。可以在不配置IPSec对等体的IP地址、以及加密访问控制列表(AccessControlList,ACL)时仍然可以正常进行IKE协商。当IPSec接入端设备使用了动态方式获取IP地址时,IPSec汇聚端需要使用动态加密映射的方式来匹配。IPSec动态加密映射接受任何IPSec对等体发起的IKE协商,当IPSec对等体通过验证时,动态学习接入端的加密映射条目(加密ACL),建立SA。使用动态加密映射,可以有效的减少IPSec汇聚端设备的配置量。IPSec动态接入的方式广泛用于总部和分支结构之间的IPSec隧道的建立。为了节省开支,分支机构大多不会采用固定IP地址的专线接入互联网,而是使用以太网上运行点对点协议(Point-to-PointProtocolOverEthernet,PPPOE)拨号等方式使用运营商分配的动态IP地址接入互联网。动态加密映射由于不知道对等体IP地址,因此不能主动发起IKE协商,需要接入设备主动发起IKE协商。在使用动态加密映射方式建立IPSec隧道(IKESA和IPSecSA)时,有可能出现以下情况:当汇聚端(即使用动态加密映射方式的一方)IPSecSA异常删除,IKESA正常;接入端(即发起IKE协商的一方)IPSecSA和IKESA都正常,当接入端通过IPSecSA发送加密流量,汇聚端由于IPSecSA不存在而不能解密。而原有的DPD探测方式只能探测IKE对等体是否存在,并不能探测IPSecSA对等体是否正常,当双方的IKESA存在时,DPD探测报文探测正常。并且,汇聚端由于使用的是动态映射方式,不会主动去发起建立IPSecSA的协商,只会等待接入端主动发起IKE协商。当出现这种情况后,只有等待接入端的IPSecSA超时,或者手工主动清除接入端的IPSecSA隧道,使其主动发起IKE协商重新建立IPSec隧道。在接入端重新发起IKE协商之前,IPSec隧道流量都会出现接入端一直在发,而汇聚端没有回复的单通故障。因此,目前亟需一种现有的IPSecSA的检测方法来检测IPSecSA的状态,避免IPSecSA出现单通故障。
技术实现思路
本专利技术实施例提供一种IPSecSA的检测方法及装置,用以解决现有技术中存在的无法检测IPSecSA的状态,IPSecSA出现单通故障的问题。根据本专利技术实施例,提供一种IPSecSA的检测方法,包括:基于IPSecSA对端设备发送的历史数据报文的五元组信息构建探测报文;通过与所述IPSecSA对端设备之间的IPSecSA加密所述探测报文后发送给所述IPSecSA对端设备;确定在第一检测时长内是否通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSecSA对端设备发送的加密后的所述探测报文;若在第一检测时长内未通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSecSA对端设备发送的加密后的所述探测报文,则确定与所述IPSecSA对端设备之间的IPSecSA故障。具体的,基于IPSecSA对端设备发送的历史数据报文的五元组信息构建探测报文,具体包括:随机获取IPSecSA对端设备之前通过与所述IPSecSA对端设备之间的IPSecSA发送的一个数据报文,得到历史数据报文;获取所述历史数据报文的五元组信息包括的源互联网协议IP地址、目的IP地址、源端口、目的端口和协议类型;构建携带所述源IP地址、所述目的IP地址、所述源端口、所述目的端口和所述协议类型的探测报文。可选的,还包括:若确定第二检测时长到期或者在第三检测时长内未通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSecSA对端设备发送的数据报文,则执行所述基于IPSecSA对端设备发送的历史数据报文的五元组信息构建探测报文的步骤。可选的,确定与所述IPSecSA对端设备之间的IPSecSA故障之前,还包括:将在所述第一检测时长内所述探测报文的发送次数加1;确定加1后的发送次数是否超过设定次数;若确定加1后的发送次数超过所述设定次数,则执行所述确定与所述IPSecSA对端设备之间的IPSecSA故障的步骤。可选的,还包括:若确定加1后的发送次数未超过设定次数,则执行所述确定在第一检测时长内是否通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSecSA对端设备发送的加密后的所述探测报文的步骤。根据本专利技术实施例,还提供一种IPSecSA的检测装置,包括:构建模块,用于基于IPSecSA对端设备发送的历史数据报文的五元组信息构建探测报文;加密模块,用于通过与所述IPSecSA对端设备之间的IPSecSA加密所述探测报文后发送给所述IPSecSA对端设备;第一确定模块,用于确定在第一检测时长内是否通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSecSA对端设备发送的加密后的所述探测报文;第二确定模块,用于若在第一检测时长内未通过与所述IPSecSA对端设备之间的IPSecSA本文档来自技高网...
【技术保护点】
1.一种互联网协议安全IPSec安全联盟SA的检测方法,其特征在于,包括:基于IPSec SA对端设备发送的历史数据报文的五元组信息构建探测报文;通过与所述IPSec SA对端设备之间的IPSec SA加密所述探测报文后发送给所述IPSec SA对端设备;确定在第一检测时长内是否通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文;若在第一检测时长内未通过与所述IPSec SA对端设备之间的IPSec SA接收到所述IPSec SA对端设备发送的加密后的所述探测报文,则确定与所述IPSec SA对端设备之间的IPSec SA故障。
【技术特征摘要】
1.一种互联网协议安全IPSec安全联盟SA的检测方法,其特征在于,包括:基于IPSecSA对端设备发送的历史数据报文的五元组信息构建探测报文;通过与所述IPSecSA对端设备之间的IPSecSA加密所述探测报文后发送给所述IPSecSA对端设备;确定在第一检测时长内是否通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSecSA对端设备发送的加密后的所述探测报文;若在第一检测时长内未通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSecSA对端设备发送的加密后的所述探测报文,则确定与所述IPSecSA对端设备之间的IPSecSA故障。2.如权利要求1所述的方法,其特征在于,基于IPSecSA对端设备发送的历史数据报文的五元组信息构建探测报文,具体包括:随机获取IPSecSA对端设备之前通过与所述IPSecSA对端设备之间的IPSecSA发送的一个数据报文,得到历史数据报文;获取所述历史数据报文的五元组信息包括的源互联网协议IP地址、目的IP地址、源端口、目的端口和协议类型;构建携带所述源IP地址、所述目的IP地址、所述源端口、所述目的端口和所述协议类型的探测报文。3.如权利要求1所述的方法,其特征在于,还包括:若确定第二检测时长到期或者在第三检测时长内未通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSecSA对端设备发送的数据报文,则执行所述基于IPSecSA对端设备发送的历史数据报文的五元组信息构建探测报文的步骤。4.如权利要求1-3任一所述的方法,其特征在于,确定与所述IPSecSA对端设备之间的IPSecSA故障之前,还包括:将在所述第一检测时长内所述探测报文的发送次数加1;确定加1后的发送次数是否超过设定次数;若确定加1后的发送次数超过所述设定次数,则执行所述确定与所述IPSecSA对端设备之间的IPSecSA故障的步骤。5.如权利要求4所述的方法,其特征在于,还包括:若确定加1后的发送次数未超过设定次数,则执行所述确定在第一检测时长内是否通过与所述IPSecSA对端设备之间的IPSecSA接收到所述IPSec...
【专利技术属性】
技术研发人员:朱天明,
申请(专利权)人:锐捷网络股份有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。