主备切换时更新防重放参数的方法和设备技术

本发明专利技术公开了一种主备切换时更新防重放参数的方法和设备。在主备切换时新的主用设备将ＩＰＳｅｃ?ＳＡ置为无效，向ＩＰＳｅｃ隧道的对端设备获取防重放窗口和防重放序号更新自身ＩＰＳｅｃ?ＳＡ的防重放窗口和防重放序号，并在更新完毕后设置对应ＩＰＳｅｃ?ＳＡ有效进行数据处理，从而使新的主用设备能够获取真实可靠的防重放窗口和防重放序号，保证了数据传输的安全性。

【技术实现步骤摘要】

本专利技术涉及通信领域，尤其涉及一种主备切换时更新防重放参数的方法和设备。
技术介绍
IPSecdP Security，因特网协议安全性)协议是 IETF (Internet Engineering Task Force，Internet工程任务组)制定的一个开放的IP层安全框架协议。IPSec协议是 一个三层隧道协议，对参与IPSec的设备之间传输的IP数据包进行保护和认证，能够为传 输敏感数据提供安全保护。IPSec协议对数据的保护是通过SA (Security Association，安全联盟)来实现 的，IPSec SA决定了如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问 题。IPSec SA是IPSec协议的基础，也是IPSec协议的本质。IPSecSA中定义了通信双方 对某些要素的约定，例如，使用哪种协议、协议的操作模式、密码算法、特定流中保护数据的 共享密钥以及密钥的生存周期等。IPSecSA由一个三元组唯一地标识，该三元组包括安全 参数索引、目的IP地址、以及安全协议。IPSec协议提供了多种安全服务，包括在数据包的机密性、完整性、真实性和放重 放方面的安全服务，其中的防重放功能是IPSec协议的一个重要功能。重放报文是指已经 处理过的报文。IPSec协议通过滑动窗口(抗重放窗口)机制检测重放报文，如果收到报文 的序列号与已经解封装过的报文序列号相同，或报文的序列号出现得较早，即已经超过了 抗重放窗口的范围，则认为该报文为重放报文。由于对重放报文的解封装无实际作用，并且 解封装过程涉及密码学运算，会消耗设备大量的资源，导致业务可用性下降，实际上构成了 拒绝服务攻击，通过使能IPSec抗重放检测功能，将检测到的重放报文在解封装处理之前 丢弃，可以降低设备资源的消耗。IPSec协议的防重放功能主要涉及两个参数防重放序号(Sequence Number Counter)和防重放窗口(Anti-R印lay Window)。其中，防重放序号用于发送IPsec报文时， 填入报文头。防重放序号从1开始递增，每个IPSec报文防重放序号不同。根据RFC 4301 4.4.2. 1.的定义，如图1所示，防重放窗口为一个64位的比特位图，用于接收IPSec报文并 判断IPSec报文是否为重放报文。收到一个特定防重放序号的IPSec报文时，设备将防重 放窗口中相关的比特位置位为1，如果后续再收到一个相同防重放序号的报文，查看防重放 窗口中相关比特位，由于比特位已置位为1，说明这个报文之前已收到过，设备获知该报文 是一个重放报文，将进行防重放处理。如果接收到的IPSec报文的防重放序号在防重放窗 口右边界之外，则防重放窗口右边界滑动到最新的防重放序号处。如果接收到IPSec报文 的防重放序号在防重放窗口左边界之外，表明出现报文乱序的情况，同时也说明这样的报 文在网络上传输时间很长，有被篡改的危险，因此这样的报文也会被丢弃。IPSec协议的防重放功能被广泛采用，包括应用于双机热备。IPSec协议在双机热 备中的应用分为两种方式主备方式和负载分担方式。主备方式是指双机中一台设备作为 主用设备，一台作为备用设备，只有主用设备才能处理IPSec数据流量，当主用设备出现故障时，备用设备升级为主设备，替代原有主用设备进行工作。另外一种方式为负载分担方 式，双机均可处理IPSec数据流量。对于主备方式，IPSec协议需要在双机之间同步IPSec SA信息。主设备IPSec SA生成后，需要将IPSec SA同步到备用设备。IPSec SA处理数据 流量时，防重放窗口和防重放序号会实时更新，这两个参数均需及时同步到备用设备上，以 便备用设备升级为主设备时能正常工作。如果防重放窗口同步不及时，会造成主备切换后 需要新主用设备处理的IPSec报文无法正确判断是否为重放报文，影响其安全性；如果防 重放序号同步不及时，会导致主备切换后新主用设备加封装的IPSec报文填入在分支设备 上看来在已经在防重放窗口左侧的序号，导致IPSec报文可能被丢弃，导致数据转发中断。为了实现IPSec双机热备中同步防重放窗口和防重放序号，现有技术中提供一种 同步防重放窗口和防重放序号的方式，即主用设备每更新一次窗口和序号就向备用设备进 行同步，但是每个报文都需要进行同步的机制对于IPSec转发性能影响巨大，对于双机热 备通道的压力也很大，因此现有技术中对该方式进行改进，定时(例如每隔0.5秒)或是每 隔固定报文数(例如每隔10000隔报文)进行同步，缓解备份压力。为了避免在同步周期之间发生主备切换导致防重放序号还停留在上一次同步值 的情况，在主备切换后，新主设备IPSec SA的防重放序号主动累加一个频率值(如10000)， 防重放窗口由于无法主动累加，因此数值等于上一次同步值，进入新主设备的IPSec报文 会更新防重放窗口。但是，现有技术提供的同步防重放窗口和防重放序号的方式下，由于主备之间的 备份消息可能丢失，主备切换后，新主设备累加一个频率值后的防重放序号可能会在分支 设备的防重放窗口左边界之外，导致新主设备发出的报文在分支设备上无法检测通过，主 备切换后新主设备防重放窗口更新不及时，带来安全隐患，接收到的IPSec报文可能无法 判断是否为重放报文，因此数据传输安全性低。
技术实现思路
本专利技术提供了一种主备切换时更新防重放参数的方法和设备，解决了 IPSec双机 热备中主备切换时数据传输安全性低的问题。本专利技术提供了一种主备切换时更新防重放参数的方法，应用于包括主用设备与备 用设备的系统中，该系统支持因特网协议安全性IPSec协议，当备用设备切换为新主用设 备时，该方法包括所述新主用设备将入方向与出方向的IPSec安全联盟SA设置为无效；所述新主用设备向IPSec隧道的对端设备查询所述对端设备的出方向IPSec SA 防重放序号和入方向IPSec SA防重放窗口右边界；所述新主用设备根据查询到的出方向IPSec SA防重放序号更新所述新主用设备 上所述IPSec隧道的入方向IPSec SA防重放窗口右边界，根据查询到的入方向IPSec SA 防重放窗口右边界更新所述新主用设备上所述IPSec隧道的出方向IPSec SA的防重放序 号；所述新主用设备在入方向IPSec SA的防重放窗口右边界和/或出方向IPSec SA 的防重放序号更新完毕后，设置对应IPSec SA为有效。所述新主用设备通过向IPSec隧道的对端设备发送互联网密钥交换协议IKE查询报文，向IPSec隧道的对端设备查询出方向IPSec SA防重放序号和入方向IPSec SA防重 放窗口右边界，所述IKE查询报文中携带有标识防重放窗口和防重放序号的字段；所述对端设备根据所述字段，查询所述对端设备的出方向IPSec SA防重放序号和 入方向IPSec SA防重放窗口右边界，并将查询到的信息携带于IKE应答报文返回给所述新 主用设备。新主用设备将入方向与出方向的IPSec安全联盟SA设置为无效，包括所述新主用设备将所有IPSec隧道或部分IPSec隧道的入方向与出方向的IPSec SA设置为无效。所述新主用设备将入方向与出方向的IPSec安全联盟SA设置为无效之后，本文档来自技高网...

【技术保护点】
一种主备切换时更新防重放参数的方法，应用于包括主用设备与备用设备的系统中，该系统支持因特网协议安全性ＩＰＳｅｃ协议，其特征在于，当备用设备切换为新主用设备时，该方法包括：所述新主用设备将入方向与出方向的ＩＰＳｅｃ安全联盟ＳＡ设置为无效；所述新主用设备向ＩＰＳｅｃ隧道的对端设备查询所述对端设备的出方向ＩＰＳｅｃＳＡ防重放序号和入方向ＩＰＳｅｃＳＡ防重放窗口右边界；所述新主用设备根据查询到的出方向ＩＰＳｅｃＳＡ防重放序号更新所述新主用设备上所述ＩＰＳｅｃ隧道的入方向ＩＰＳｅｃＳＡ防重放窗口右边界，根据查询到的入方向ＩＰＳｅｃＳＡ防重放窗口右边界更新所述新主用设备上所述ＩＰＳｅｃ隧道的出方向ＩＰＳｅｃＳＡ的防重放序号；所述新主用设备在入方向ＩＰＳｅｃＳＡ的防重放窗口右边界和／或出方向ＩＰＳｅｃＳＡ的防重放序号更新完毕后，设置对应ＩＰＳｅｃＳＡ为有效。

【技术特征摘要】
一种主备切换时更新防重放参数的方法，应用于包括主用设备与备用设备的系统中，该系统支持因特网协议安全性IPSec协议，其特征在于，当备用设备切换为新主用设备时，该方法包括所述新主用设备将入方向与出方向的IPSec安全联盟SA设置为无效；所述新主用设备向IPSec隧道的对端设备查询所述对端设备的出方向IPSec SA防重放序号和入方向IPSec SA防重放窗口右边界；所述新主用设备根据查询到的出方向IPSec SA防重放序号更新所述新主用设备上所述IPSec隧道的入方向IPSec SA防重放窗口右边界，根据查询到的入方向IPSec SA防重放窗口右边界更新所述新主用设备上所述IPSec隧道的出方向IPSec SA的防重放序号；所述新主用设备在入方向IPSec SA的防重放窗口右边界和/或出方向IPSec SA的防重放序号更新完毕后，设置对应IPSec SA为有效。2.如权利要求1所述的方法，其特征在于，所述新主用设备通过向IPSec隧道的对端设 备发送互联网密钥交换协议IKE查询报文，向IPSec隧道的对端设备查询出方向IPSec SA 防重放序号和入方向IPSec SA防重放窗口右边界，所述IKE查询报文中携带有标识防重放 窗口和防重放序号的字段；所述对端设备根据所述字段，查询所述对端设备的出方向IPSec SA防重放序号和入方 向IPSec SA防重放窗口右边界，并将查询到的信息携带于IKE应答报文返回给所述新主用 设备。3.如权利要求1或2所述的方法，其特征在于，新主用设备将入方向与出方向的IPSec 安全联盟SA设置为无效，包括所述新主用设备将所有IPSec隧道或部分IPSec隧道的入方向与出方向的IPSec SA 设置为无效。4.如权利要求1或2所述的方法，其特征在于，所述新主用设备将入方向与出方向的 IPSec安全联盟SA设置为无效之后，所述新主用设备缓存该IPSec SA在入方向上接收到的 数据和出方向上待发送的数据。5.如权利要求1或2所述的方法，其特征在于，还包括主用设备根据配置策略将IPSec SA防重放序号和防重放窗口右边界之外的IPSec SA 信息同步...

【专利技术属性】
技术研发人员：毛昱，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：86[中国|杭州]