【技术实现步骤摘要】
基于IPSEC的DPD探测系统
本专利技术属于DPD探测领域,涉及IPSEC技术,具体是基于IPSEC的DPD探测系统。
技术介绍
IPsec是三层隧道加密协议,是实现三层VPN(VirtualPrivateNetwork,虚拟专用网络)的安全技术,且IPsec在两个端点之间提供安全通信,两个端点被称为IPsec对等体,分别为IPsec发起方和IPsec响应方;进一步的,IPsec用于在IP层提供以下安全服务:(1)数据机密性:IPsec发送方在通过网络传输报文前对报文进行加密;(2)数据完整性:IPsec响应方对接收报文进行认证,以确保报文在传输过程中没有被篡改;(3)数据来源认证:IPsec响应方可以认证发送IPsec报文的IPsec发送方是否合法;(4)防重放:IPsec响应方可以检测并拒绝接收过时或者重复的报文。为了实现上述安全服务,IPsec提供了认证和加密等两种安全机制;认证机制使IP通信的响应方能够确认报文发送方的真实身份以及报文在传输过程中是否遭篡改;加密机制通过对报文进行加密运算来保证报文的机密性,防止报文在传输过程中被窃听。此外,SA(SecurityAssociation,安全联盟)是IPsec对等体之间对某些要素的约定;如使用哪种协议(AH(AuthenticationHeader,验证头)、ESP(EncapsulatingSecurityPayload,封装安全载荷)等)、使用哪种协议封装模式(传输模式、隧道模式等)、使用哪种加密算法等;进一步的,IPsec对等体之间可以通过IKE ...
【技术保护点】
1.基于IPSEC的DPD探测系统,其特征在于,包括DPD探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元;/n其中,所述DPD探测设备与区域划分单元通信连接,所述区域划分单元与数据跟随单元通信连接,所述数据跟随单元与数据回馈单元通信连接,所述数据回馈单元与处理器通信连接,所述处理器上通信连接有决策单元,所述管理单元与处理器信号连接;所述处理器与显示单元、存储单元均为通信连接;/n所述DPD探测设备用于检测被探测设备是否存在,具体检测方法如下:/n步骤一:在所述DPD探测设备上存在多个安全关联密钥管理协议安全联盟IKESA时,所述DPD探测设备选择所述多个IKESA中最后协商的IKESA,通过选择的IKESA对DPD探测请求报文进行加密处理,并将加密处理后的DPD探测请求报文发送给所述被探测设备;/n如果所述DPD探测设备接收到所述被探测设备返回的经过IKESA加密处理的DPD探测响应报文,则利用自身存在的IKESA对所述DPD探测响应报文进行解密处理;如果解密成功,则确定所述被探测设备存在;如果解密不成功或者所述DPD探测设备没有接收 ...
【技术特征摘要】
1.基于IPSEC的DPD探测系统,其特征在于,包括DPD探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元;
其中,所述DPD探测设备与区域划分单元通信连接,所述区域划分单元与数据跟随单元通信连接,所述数据跟随单元与数据回馈单元通信连接,所述数据回馈单元与处理器通信连接,所述处理器上通信连接有决策单元,所述管理单元与处理器信号连接;所述处理器与显示单元、存储单元均为通信连接;
所述DPD探测设备用于检测被探测设备是否存在,具体检测方法如下:
步骤一:在所述DPD探测设备上存在多个安全关联密钥管理协议安全联盟IKESA时,所述DPD探测设备选择所述多个IKESA中最后协商的IKESA,通过选择的IKESA对DPD探测请求报文进行加密处理,并将加密处理后的DPD探测请求报文发送给所述被探测设备;
如果所述DPD探测设备接收到所述被探测设备返回的经过IKESA加密处理的DPD探测响应报文,则利用自身存在的IKESA对所述DPD探测响应报文进行解密处理;如果解密成功,则确定所述被探测设备存在;如果解密不成功或者所述DPD探测设备没有接收到所述被探测设备返回的DPD探测响应报文,则确定所述被探测设备不存在;
步骤二:所述DPD探测设备在将加密处理后的DPD探测请求报文发送给所述被探测设备之后,为所述DPD探测请求报文启动重传定时器;
所述DPD探测设备在解密成功时,检查所述DPD探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测设备存在;
所述DPD探测设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测设备重新发送加密处理后的DPD探测请求报文,并启动所述重传定时器;并进入确认分析步骤,确认分析步骤具体为:
S1:将DPD探测设备向所述被探测设备发送DPD探测请求报文的次数标记为C;
S2:将重传定时器的倒计时时间标记为Dt,c=1...n;Dt表示对应第C次发送DPD探测请求报文时重传定时器的倒计时时间;其中t的取值等于C;初始的重传定时器的倒计时时间为D1;
S3:当第一次DPD探测设备在合法性检查不通过、或解密不成功、或没有接收到DPD探测响应报文时,如果所述重传定时器超时,则向所述被探测设备重新发送加密处理后的DPD探测请求报文;将该次发送报文标记为第二次发送报文,即为此时的C=2;
S4:当C≠1时,重传定时器每次倒计时的时间Dt=(D1*C)/X1+D1;
S5:当检测到满足Dt≥2D1时,产生终点信号;
S6:在产生终点信号之前,若没有收到合法性检查通过的DPD探测响应报文,则表示被探测设备不存在。
2.根据权利要求1所述的基于IPSEC的DPD探测系统,其特征在于,所述DPD探测设备删除自身存在的多个IKESA,并删除自身存在的多个IKESA对应的IPsecSA。
3.根据权利要求1所述的基于IPSEC的DPD探测系统,其特征在于,所述DPD探测设备用于在检测到被探测设备不存在时产生未检测信息,未检测信息包括未检测信号、对应时间戳和所属间设备,所属间设备指代在为检测到被探测设备不存在时的DPD探测设备和被探测设备;所述DPD探测设备用于将未检测信息传输到区域划分单元,所述区域划分单元接收DPD探测设备传输...
【专利技术属性】
技术研发人员:刘智勇,
申请(专利权)人:珠海市鸿瑞信息技术股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。