本发明专利技术提供了一种因特网协议安全安全联盟协商方法,该方法包括:当本端设备的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商;所述本端设备将协商出的IPsec SA存储到安全联盟数据库SAD中。基于同样的发明专利技术构思,本申请还提出一种装置,能够预先协商IPsec SA,以降低数据流的丢包率,以及降低大量IPsec并发协商对设备造成的冲击。
【技术实现步骤摘要】
一种因特网协议安全安全联盟协商方法和装置
本专利技术涉及通信
,特别涉及一种因特网协议安全安全联盟协商方法和装置。
技术介绍
因特网协议安全(IP Security, IPsec)是互联网工程任务组(InternetEngineering Task Force, IETF)制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层虚拟专用网络(VirtualPrivate Network, VPN)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。 现有实现中,一个设备的接口上若应用IPsec策略,在接收到ACL中配置的感兴趣流时,才触发IPsec安全联盟(Security Associat1n, SA)协商;而进行IPsec SA协商时,无论使用主模式(Main Mode)还是野蛮模式(Aggressive Mode)都需要一定时间,在IPsecSA协商期间,相关流量都会由于匹配不到SA被丢弃。
技术实现思路
有鉴于此,本申请提供一种因特网协议安全安全联盟协商方法和装置,以解决接收到数据流才触发IPsec SA协商而导致的数据流的丢包率高的问题。 为解决上述技术问题,本申请的技术方案是这样实现的: 一种因特网协议安全IPsec安全联盟SA协商方法,该方法包括: 当本端设备的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商; 所述本端设备将协商出的IPsec SA存储到安全联盟数据库SAD中。 一种因特网协议安全IPsec安全联盟SA协商装置,该装置包括:协商单元和存储单元; 所述协商单元,用于当装置的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商; 所述存储单元,用于将所述协商单元中协商出的IPsec SA存储到安全联盟数据库SAD 中。 由上面的技术方案可知,本申请中当接口上应用IPsec策略时,立即开始IPsecSA的协商。当后续有流量到达时,可以直接使用已协商完成的IPsecSA进行流量的转发,从而能够预先协商IPsec SA,以降低数据流的丢包率,以及降低大量IPsec并发协商对设备造成的冲击。 【附图说明】 图1为本申请实施例中IPsec SA协商方法流程不意图; 图2为本申请实施例中数据流处理流程示意图; 图3为本申请实施例中应用于上述技术的IPsec SA协商装置结构示意图。 【具体实施方式】 为了使本专利技术的目的、技术方案及优点更加清楚明白,下面结合附图并据实施例,对本专利技术的技术方案进行详细说明。 参见图1,图1为本申请实施例中IPsec SA协商方法流程示意图。具体步骤为: 步骤101,当本端设备的接口上应用IPsec策略时,针对ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商。 本申请的具体实现中在接口上应用IPsec策略时,就触发IPsec SA的协商,而不会等到接收到需要通过该接口发送的数据流时,才开始触发IPsec SA的协商。 本端设备无论选择主模式协商还是野蛮模式协商,协商过程同现有实现。 本端设备如果通过接口上应用触发IPsec SA协商时,由于不需要对报文进行处理,因此,在协商完成IPsec SA后,没必要进行老化处理,因此,在这种情况下的IPsec SA协商的过程中,将发送的协商报文中的老化时间字段填充为不设置老化时间的标识,即表示该协商过程中协商出的IPsec SA不需要老化。 在具体实现时,可以在老化时间字段中填充0,用于作为不设置老化时间的标识;也可以填充设备两端约定的不设置老化时间的标识。 其中的IPsec策略同现有实现,包括老化时间,算法,地址等信息。 步骤102,本端设备将协商出的IPsec SA存储到SAD中。 本实施例中将预先协商出的IPsec SA存储到SAD中,以备后续接收到元组信息与ACL中配置的流信息匹配的数据流时,进行封装并转发。 下面结合附图,详细说明本申请实施例中接收到数据流后的处理过程。 参见图2,图2为本申请实施例中数据流处理流程示意图。具体步骤包括: 步骤201,本端设备接收到数据流。 步骤202,本端设备根据该数据流的元组信息在ACL中匹配对应的流信息时,根据匹配到的流信息在SAD中查找对应的IPsec SA。 本端设备接收到数据流时,先需根据该数据流的元组信息在ACL中进行匹配。 具体的,ACL的流信息预先配置,可以包括如下五个参数信息中的任意一个或任意组合:协议(IP、UDP、TCP等)、源IP地址、目的IP地址、源端口号和目的端口号。 根据ACL中的流信息包括的信息选择数据流的元组信息中的相应信息进行匹配。例如,ACL的流信息包括:源IP地址和目的IP地址这两个参数信息,那么选择数据流的元组信息中的该数据流的源IP地址和目的IP地址进行匹配。又如,ACL的流信息包括:源IP地址、目的IP地址、源端口号和目的端口号这四个参数信息,那么选择数据流的元组信息中的该数据流的源IP地址、目的IP地址、源端口号和目的端口号进行匹配。 如果根据该数据流的元组信息在ACL中匹配到对应的流信息,说明需要通过IPsec封装进行加密发送;如果未匹配到,则直接发送,同现有实现。 步骤203,当未查找到对应的IPsec SA时,本端设备确定是否正在针对匹配到的流信息进行IPsec SA协商,如果是,执行步骤204 ;否则,执行步骤205。 本步骤中当未查找到对应的IPsec SA时,直接将数据流丢弃,但是,不同于现有实现直接触发IPsec SA协商,而是需要先确定是否正在协商对应的IPsec SA。 步骤204,本端设备在针对匹配到的流信息进行IPsec SA协商成功时,将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该SA设置匹配到的流信息对应的IPsec策略中的老化时间,执行步骤209。 本步骤中,虽然当前的IPsec SA协商过程是由接口上应用IPsec策略触发的,但是,当前已有接收到过相应的流量,因此,为了安全直接将老化时间设置为对应IPsec策略中的老化时间。 步骤205,本终端设备开始IPsec SA协商,在IPsec SA协商成功,将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该IPsec SA设置匹配到的流信息对应的IPsec策略中的老化时间,执行步骤209。 本步骤的IPsec SA协商由数据流触发开始的,具体实现同现有实现。 步骤206,当查找到对应的IPsee SA时,本端设备对该数据流进行IPsee封装并发送给与本终端设备协商出查找到的对应IPsec SA的对端设备。 步骤207,本端设备确定查找到的对应IPsec SA是否设置老化时间,本文档来自技高网...
【技术保护点】
一种因特网协议安全IPsec安全联盟SA协商方法,其特征在于,该方法包括:当本端设备的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商;所述本端设备将协商出的IPsec SA存储到安全联盟数据库SAD中。
【技术特征摘要】
1.一种因特网协议安全IPsec安全联盟SA协商方法,其特征在于,该方法包括: 当本端设备的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商; 所述本端设备将协商出的IPsec SA存储到安全联盟数据库SAD中。2.根据权利要求1所述的方法,其特征在于,所述根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商的过程中,所述本端设备发送的协商报文中的老化时间字段填充为不设置老化时间的标识。3.根据权利要求1或2所述的方法,其特征在于,所述方法进一步包括: 所述本端设备接收到数据流时,若根据该数据流的元组信息在ACL中匹配到对应的流信息,则根据匹配到的流信息在SAD中查找对应的IPsec SA ; 当未查找到对应的IPsec SA时,所述本端设备确定是否正在针对匹配到的流信息进行IPsec SA协商,如果是,在针对匹配到的流信息进行IPsec SA协商成功时,将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该IPsec SA设置匹配到的流信息对应的IPsec策略中的老化时间;否则,开始IPsec SA协商,在IPsec SA协商成功,将通过所述匹配到的流信息协商出的对应IPsec SA存储到SAD中时,并为该IPsec SA设置匹配到的流信息对应的IPsec策略中的老化时间。4.根据权利要求3所述的方法,其特征在于, 当查找到对应的IPsec SA时,所述本端设备对该数据流进行IPsec封装并发送给与本终端设备协商出查找到的对应IPsec SA的对端设备; 若所述本端设备确定查找到的对应IPsec SA未设置老化时间,则为该IPsec SA设置所述匹配到的流信息对应的IPsec策略中的老化时间。5.一种因特网协议安全IPsec安全联盟SA协商装置,其特征在于,该装置包括:协商单元和存储单元; 所述协商单元,用于当...
【专利技术属性】
技术研发人员:田浩博,张太博,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。