基于IPSEC的DPD探测系统技术方案

本发明专利技术公开了基于IPSEC的DPD探测系统，包括DPD探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元；本发明专利技术通过DPD探测设备进行探测，对设备的响应情况进行反应，并在第一次没有做出相关响应时，会自动通过相应的规则进行重传定时器进行倒计时，且随着每次倒计时次数的增多，单次计时时间则也会随之变长，当满足一定条件时，还未检测到相应的合法回应，则判定出错。

DPD detection system based on IPSec

【技术实现步骤摘要】
基于IPSEC的DPD探测系统
本专利技术属于DPD探测领域，涉及IPSEC技术，具体是基于IPSEC的DPD探测系统。
技术介绍
IPsec是三层隧道加密协议，是实现三层VPN(VirtualPrivateNetwork，虚拟专用网络)的安全技术，且IPsec在两个端点之间提供安全通信，两个端点被称为IPsec对等体，分别为IPsec发起方和IPsec响应方；进一步的，IPsec用于在IP层提供以下安全服务：(1)数据机密性：IPsec发送方在通过网络传输报文前对报文进行加密；(2)数据完整性：IPsec响应方对接收报文进行认证，以确保报文在传输过程中没有被篡改；(3)数据来源认证：IPsec响应方可以认证发送IPsec报文的IPsec发送方是否合法；(4)防重放：IPsec响应方可以检测并拒绝接收过时或者重复的报文。为了实现上述安全服务，IPsec提供了认证和加密等两种安全机制；认证机制使IP通信的响应方能够确认报文发送方的真实身份以及报文在传输过程中是否遭篡改；加密机制通过对报文进行加密运算来保证报文的机密性，防止报文在传输过程中被窃听。此外，SA(SecurityAssociation，安全联盟)是IPsec对等体之间对某些要素的约定；如使用哪种协议(AH(AuthenticationHeader，验证头)、ESP(EncapsulatingSecurityPayload，封装安全载荷)等)、使用哪种协议封装模式(传输模式、隧道模式等)、使用哪种加密算法等；进一步的，IPsec对等体之间可以通过IKE(InternetKeyExchange，Internet密钥交换)协商建立SA信息，如图1所示，为IPsec与IKE的关系示意图；IKE通过以下阶段为IPsec进行密钥协商并建立SA；第一阶段，IPsec发起方和IPsec响应方之间建立一个ISAKMP(InternetSecurityAssociationandKeyManagementProtocol，Internet安全关联和密钥管理协议)SA，该SA为用于进行IKE协商的SA(简称为IKESA)；第二阶段，利用第一阶段的IKESA为IPsec协商具体的SA，该SA为用于IP数据安全传输的SA(简称为IPsecSA)。为了在IPsec对等体之间建立IPsec会话，IPsec对等体之间需要有IP连接性，但由于路由选择、对等体重启等原因，IPsec对等体之间可能失去了IP连接性，从而导致IPsec会话的一端继续向不可达的IPsec对端发送进行加密操作的数据流，浪费了CPU(CentralProcessingUnit，中央处理单元)资源。但是当前，针对DPD探测仅仅局限于探测技术本身，没有给出优化做法，也没有相应的数据统计，和根据大数据进行统一分析；为了解决这一技术缺陷，现提供一种解决方案。
技术实现思路
本专利技术的目的在于提供基于IPSEC的DPD探测系统。本专利技术的目的可以通过以下技术方案实现：基于IPSEC的DPD探测系统，包括DPD探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元；其中，所述DPD探测设备与区域划分单元通信连接，所述区域划分单元与数据跟随单元通信连接，所述数据跟随单元与数据回馈单元通信连接，所述数据回馈单元与处理器通信连接，所述处理器上通信连接有决策单元，所述管理单元与处理器信号连接；所述处理器与显示单元、存储单元均为通信连接；所述DPD探测设备用于检测被探测设备是否存在，具体检测方法如下：步骤一：在所述DPD探测设备上存在多个安全关联密钥管理协议安全联盟IKESA时，所述DPD探测设备选择所述多个IKESA中最后协商的IKESA，通过选择的IKESA对DPD探测请求报文进行加密处理，并将加密处理后的DPD探测请求报文发送给所述被探测设备；如果所述DPD探测设备接收到所述被探测设备返回的经过IKESA加密处理的DPD探测响应报文，则利用自身存在的IKESA对所述DPD探测响应报文进行解密处理；如果解密成功，则确定所述被探测设备存在；如果解密不成功或者所述DPD探测设备没有接收到所述被探测设备返回的DPD探测响应报文，则确定所述被探测设备不存在；步骤二：所述DPD探测设备在将加密处理后的DPD探测请求报文发送给所述被探测设备之后，为所述DPD探测请求报文启动重传定时器；所述DPD探测设备在解密成功时，检查所述DPD探测响应报文的合法性；如果合法性检查通过，则停止所述重传定时器，确定所述被探测设备存在；所述DPD探测设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时，如果所述重传定时器超时，则向所述被探测设备重新发送加密处理后的DPD探测请求报文，并启动所述重传定时器；并进入确认分析步骤，确认分析步骤具体为：S1：将DPD探测设备向所述被探测设备发送DPD探测请求报文的次数标记为C；S2：将重传定时器的倒计时时间标记为Dt，c＝1...n；Dt表示对应第C次发送DPD探测请求报文时重传定时器的倒计时时间；其中t的取值等于C；初始的重传定时器的倒计时时间为D1；S3：当第一次DPD探测设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时，如果所述重传定时器超时，则向所述被探测设备重新发送加密处理后的DPD探测请求报文；将该次发送报文标记为第二次发送报文，即为此时的C＝2；S4：当C≠1时，重传定时器每次倒计时的时间Dt＝(D1*C)/X1+D1；S5：当检测到满足Dt≥2D1时，产生终点信号；S6：在产生终点信号之前，若没有收到合法性检查通过的DPD探测响应报文，则表示被探测设备不存在。进一步地，所述DPD探测设备删除自身存在的所述多个IKESA，并删除自身存在的所述多个IKESA对应的IPsecSA。进一步地，所述DPD探测设备用于在检测到被探测设备不存在时产生未检测信息，未检测信息包括未检测信号、对应时间戳和所属间设备，所属间设备指代在为检测到被探测设备不存在时的DPD探测设备和被探测设备；所述DPD探测设备用于将未检测信息传输到区域划分单元，所述区域划分单元接收DPD探测设备传输的未检测信息，所述区域划分单元还用于对受控设备进行区域划分，具体划分步骤为：步骤一：首先获取到受控区域所有的DPD探测设备和被探测设备；步骤二：以指定面积的矩形覆盖所有受控区域，针对边缘区域，若边缘区域的面积大于正常区域面积一般则将其划分为新的区域，否则合并到任意相邻的平行区域；步骤三：得到受控分区组Si，i＝1...m；步骤四：将对应的每个受控分区组的未检测信息标记为Wij，i＝1...m，j＝1...p；Wij表示为受控分区i的未检测信息j；所述区域划分单元用于将未检测信息Wij和受控分区组Si传输到数据跟随单元，所述数据跟随单元用于将未检测信息Wij和受控分区组Si传输到数据回馈单元，所述数据回本文档来自技高网...

【技术保护点】
1.基于IPSEC的DPD探测系统，其特征在于，包括DPD探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元；/n其中，所述DPD探测设备与区域划分单元通信连接，所述区域划分单元与数据跟随单元通信连接，所述数据跟随单元与数据回馈单元通信连接，所述数据回馈单元与处理器通信连接，所述处理器上通信连接有决策单元，所述管理单元与处理器信号连接；所述处理器与显示单元、存储单元均为通信连接；/n所述DPD探测设备用于检测被探测设备是否存在，具体检测方法如下：/n步骤一：在所述DPD探测设备上存在多个安全关联密钥管理协议安全联盟IKESA时，所述DPD探测设备选择所述多个IKESA中最后协商的IKESA，通过选择的IKESA对DPD探测请求报文进行加密处理，并将加密处理后的DPD探测请求报文发送给所述被探测设备；/n如果所述DPD探测设备接收到所述被探测设备返回的经过IKESA加密处理的DPD探测响应报文，则利用自身存在的IKESA对所述DPD探测响应报文进行解密处理；如果解密成功，则确定所述被探测设备存在；如果解密不成功或者所述DPD探测设备没有接收到所述被探测设备返回的DPD探测响应报文，则确定所述被探测设备不存在；/n步骤二：所述DPD探测设备在将加密处理后的DPD探测请求报文发送给所述被探测设备之后，为所述DPD探测请求报文启动重传定时器；/n所述DPD探测设备在解密成功时，检查所述DPD探测响应报文的合法性；如果合法性检查通过，则停止所述重传定时器，确定所述被探测设备存在；/n所述DPD探测设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时，如果所述重传定时器超时，则向所述被探测设备重新发送加密处理后的DPD探测请求报文，并启动所述重传定时器；并进入确认分析步骤，确认分析步骤具体为：/nS1：将DPD探测设备向所述被探测设备发送DPD探测请求报文的次数标记为C；/nS2：将重传定时器的倒计时时间标记为Dt，c＝1...n；Dt表示对应第C次发送DPD探测请求报文时重传定时器的倒计时时间；其中t的取值等于C；初始的重传定时器的倒计时时间为D1；/nS3：当第一次DPD探测设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时，如果所述重传定时器超时，则向所述被探测设备重新发送加密处理后的DPD探测请求报文；将该次发送报文标记为第二次发送报文，即为此时的C＝2；/nS4：当C≠1时，重传定时器每次倒计时的时间Dt＝(D1*C)/X1+D1；/nS5：当检测到满足Dt≥2D1时，产生终点信号；/nS6：在产生终点信号之前，若没有收到合法性检查通过的DPD探测响应报文，则表示被探测设备不存在。/n...

【技术特征摘要】
1.基于IPSEC的DPD探测系统，其特征在于，包括DPD探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元；
其中，所述DPD探测设备与区域划分单元通信连接，所述区域划分单元与数据跟随单元通信连接，所述数据跟随单元与数据回馈单元通信连接，所述数据回馈单元与处理器通信连接，所述处理器上通信连接有决策单元，所述管理单元与处理器信号连接；所述处理器与显示单元、存储单元均为通信连接；
所述DPD探测设备用于检测被探测设备是否存在，具体检测方法如下：
步骤一：在所述DPD探测设备上存在多个安全关联密钥管理协议安全联盟IKESA时，所述DPD探测设备选择所述多个IKESA中最后协商的IKESA，通过选择的IKESA对DPD探测请求报文进行加密处理，并将加密处理后的DPD探测请求报文发送给所述被探测设备；
如果所述DPD探测设备接收到所述被探测设备返回的经过IKESA加密处理的DPD探测响应报文，则利用自身存在的IKESA对所述DPD探测响应报文进行解密处理；如果解密成功，则确定所述被探测设备存在；如果解密不成功或者所述DPD探测设备没有接收到所述被探测设备返回的DPD探测响应报文，则确定所述被探测设备不存在；
步骤二：所述DPD探测设备在将加密处理后的DPD探测请求报文发送给所述被探测设备之后，为所述DPD探测请求报文启动重传定时器；
所述DPD探测设备在解密成功时，检查所述DPD探测响应报文的合法性；如果合法性检查通过，则停止所述重传定时器，确定所述被探测设备存在；
所述DPD探测设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时，如果所述重传定时器超时，则向所述被探测设备重新发送加密处理后的DPD探测请求报文，并启动所述重传定时器；并进入确认分析步骤，确认分析步骤具体为：
S1：将DPD探测设备向所述被探测设备发送DPD探测请求报文的次数标记为C；
S2：将重传定时器的倒计时时间标记为Dt，c＝1...n；Dt表示对应第C次发送DPD探测请求报文时重传定时器的倒计时时间；其中t的取值等于C；初始的重传定时器的倒计时时间为D1；
S3：当第一次DPD探测设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时，如果所述重传定时器超时，则向所述被探测设备重新发送加密处理后的DPD探测请求报文；将该次发送报文标记为第二次发送报文，即为此时的C＝2；
S4：当C≠1时，重传定时器每次倒计时的时间Dt＝(D1*C)/X1+D1；
S5：当检测到满足Dt≥2D1时，产生终点信号；
S6：在产生终点信号之前，若没有收到合法性检查通过的DPD探测响应报文，则表示被探测设备不存在。


2.根据权利要求1所述的基于IPSEC的DPD探测系统，其特征在于，所述DPD探测设备删除自身存在的多个IKESA，并删除自身存在的多个IKESA对应的IPsecSA。


3.根据权利要求1所述的基于IPSEC的DPD探测系统，其特征在于，所述DPD探测设备用于在检测到被探测设备不存在时产生未检测信息，未检测信息包括未检测信号、对应时间戳和所属间设备，所属间设备指代在为检测到被探测设备不存在时的DPD探测设备和被探测设备；所述DPD探测设备用于将未检测信息传输到区域划分单元，所述区域划分单元接收DPD探测设备传输...

【专利技术属性】
技术研发人员：刘智勇，
申请(专利权)人：珠海市鸿瑞信息技术股份有限公司，
类型：发明
国别省市：广东;44