專利名稱:一種多源安全關(guān)聯(lián)建立方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域,特別涉及一種多源安全關(guān)聯(lián)建立方法及系統(tǒng)�。
背景技術(shù):
由于計(jì)算機(jī)通信網(wǎng)絡(luò)存在著諸如信息偽造、篡改���、重放����、竊聽等安全隱患�����,為了保障網(wǎng)絡(luò)安全性�,IPsec (Internet Protocol Security, IP安全協(xié)議)應(yīng)運(yùn)而生。1995年8月�����,IETF (Internet Engineering Task Force,因特網(wǎng)工程任務(wù)組)發(fā)布了 IPsecl.O,歷經(jīng)15年的不斷摸索和完善��,到目前為止已經(jīng)形成了一套較為成熟完整���、可同時(shí)支持IPv4和IPv6的安全協(xié)議族�,主要用來為IP層網(wǎng)絡(luò)通信提供安全服務(wù)���。IPsec最常用于VPN(VirtualPrivate Network,虛擬專用網(wǎng)),也用于其它協(xié)議如MIPv6���、OSPF> HIP、SCTP等保護(hù)數(shù)據(jù)流 量��。IPsec 協(xié)議族主要包括 AH (Authentication Header,認(rèn)證頭)、ESP (EncapsulatingSecurity Payload,封裝安全載荷)��、IKE( Internet Key Exchange,互聯(lián)網(wǎng)密鑰交換協(xié)議)����、PKI (Public Key Infrastructure,公共密鑰基礎(chǔ)設(shè)施)等協(xié)議,這些內(nèi)容在RFC4306等標(biāo)準(zhǔn)中得到完整體現(xiàn)。每一項(xiàng)協(xié)議都包含了豐富的內(nèi)容�����,協(xié)議之間既可以單獨(dú)使用����,也可以相互配合以完成更為復(fù)雜的功能。經(jīng)過多年的發(fā)展與整合����,對(duì)于IPsec協(xié)議本身的設(shè)計(jì)、改進(jìn)和優(yōu)化擴(kuò)展工作已日趨成熟�,目前的IPsec研究主要集中于HA(HighAbility,高可用性)協(xié)議支持問題����。系統(tǒng)高可用性即災(zāi)備及容錯(cuò)技術(shù),在自然災(zāi)難��、技術(shù)災(zāi)難和人為災(zāi)難等直接威脅到了信息系統(tǒng)的功能和性能時(shí),若要中斷服務(wù)器�,并切換至備用的服務(wù)器上進(jìn)行維修和恢復(fù),所付出的成本和帶來的損失與影響是巨大的��。為此�����,IPsec的高可用性備份技術(shù)應(yīng)運(yùn)而生�,它多是實(shí)現(xiàn)在網(wǎng)關(guān)上��,依托于計(jì)算機(jī)的災(zāi)備技術(shù)衍生而來�����,稱為HA VPN���,即高可用性VPN����。HA VPN通過配置通信雙方的軟硬件����,使得其中的一端因?yàn)槟撤N原因發(fā)生故障無法保證業(yè)務(wù)正常運(yùn)行時(shí)�����,另一端能夠起來再建立一條IPsec連接�����,保證業(yè)務(wù)正常運(yùn)行�。當(dāng)前的災(zāi)備及容錯(cuò)技術(shù)主要包括服務(wù)器集群技術(shù)���、雙機(jī)熱備份技術(shù)和單機(jī)容錯(cuò)技術(shù)�����,容錯(cuò)級(jí)別依次由低到高����。雙機(jī)熱備分技術(shù)是指兩臺(tái)配置完全相同的服務(wù)器彼此設(shè)為備機(jī)�,當(dāng)某一臺(tái)服務(wù)器出現(xiàn)故障時(shí),另一臺(tái)服務(wù)器可以在短時(shí)間內(nèi)將故障服務(wù)器的應(yīng)用接管過來���,這種方法對(duì)服務(wù)器的性能要求比較高�,在進(jìn)行雙機(jī)互備的軟件設(shè)計(jì)方面���,其維護(hù)成本也高�����;單機(jī)容錯(cuò)技術(shù)是指對(duì)系統(tǒng)中所有硬件進(jìn)行備份�,包括CPU、內(nèi)存和1/0總線等的冗余備份�,在發(fā)生故障時(shí)能夠自動(dòng)分離故障模塊,進(jìn)行模塊調(diào)換�,對(duì)損壞的部件進(jìn)行維護(hù)���,故障消除后系統(tǒng)會(huì)自動(dòng)重新同步運(yùn)行��,這種方法對(duì)系統(tǒng)配置要求高�,成本也高����;而服務(wù)器集群由多臺(tái)相對(duì)獨(dú)立的主機(jī)組成,在實(shí)現(xiàn)負(fù)載均衡��,保證整體性能的同時(shí)��,對(duì)集群內(nèi)的機(jī)器沒有上述嚴(yán)格要求����,因此使用比較方便����,應(yīng)用更加廣泛�。在服務(wù)器集群技術(shù)中,通常所有成員可共享一個(gè)IP�,使用配置某種協(xié)議或硬件的接口來完成,例如使用映射服務(wù)器或通過使用任播地址�,對(duì)端只需要在認(rèn)證數(shù)據(jù)庫配置一個(gè)IP地址即可設(shè)置完全備份服務(wù)器,將經(jīng)過的數(shù)據(jù)流同時(shí)復(fù)制到另一臺(tái)機(jī)器�����,來實(shí)現(xiàn)同步映射實(shí)時(shí)切換����。基于服務(wù)器或者網(wǎng)關(guān)的集群而建立多個(gè)備份網(wǎng)關(guān)或者服務(wù)器以進(jìn)行災(zāi)備及容錯(cuò)是目前主要的研究方向���,多臺(tái)服務(wù)器及網(wǎng)關(guān)之間的互為備份可以實(shí)現(xiàn)多源安全機(jī)制�����,提高整個(gè)系統(tǒng)的可用性��。有文獻(xiàn)提出了一種基于IPsec的高性能VPN系統(tǒng)并行體系結(jié)構(gòu)��,稱為并行IPsec VPN(Parallel IPsec VPN,簡稱PVPN)�,采用流水線并行處理算法,將CPU與加密卡分為兩個(gè)功能部件�����,使其重疊運(yùn)行����,流水作業(yè),從而實(shí)現(xiàn)并行操作與系統(tǒng)的多加密卡并行處理�;PVPN采用Compact PCI硬件平臺(tái)��,構(gòu)建多機(jī)并行體系��,提高了 IPsec VPN的處理性能�。其中還設(shè)計(jì)了一個(gè)適用于PVPN系統(tǒng)的負(fù)載均衡算法,能夠有效將加解密報(bào)文均勻分發(fā)到CPU處理板上���,使用集群互備模式�,防止CPU處理板發(fā)生故障,從而提高了整個(gè)系統(tǒng)的高可用性�����。還有文獻(xiàn)提出了一種高可用的雙機(jī)冗余備份HA-VPN系統(tǒng)����、多路聚合和負(fù)載均衡的MA-VPN系統(tǒng)、TCP中繼和廣域網(wǎng)加速的WA-VPN系統(tǒng)�����,從設(shè)備冗余�����、鏈路冗余�����、數(shù)據(jù)冗余等不同層面的高可用技術(shù)來提高IPsec VPN的可用性?����,F(xiàn)有技術(shù)中���,有文獻(xiàn)引入了一種實(shí)現(xiàn)安全聯(lián)盟備份和切換的方法���。在有IP安全協(xié)議(IPsec)備份連接的情況下�����,使主通訊實(shí)體與備份通訊實(shí)體同時(shí)與通信對(duì)端建立SA(Security Association,安全關(guān)聯(lián))�����。當(dāng)主通訊實(shí)體或主連接發(fā)生故障時(shí),備份通訊實(shí)體的IKEv2通知源通信實(shí)體其對(duì)端通訊實(shí)體地址發(fā)生變化���,源通訊實(shí)體獲知地址變更后,更新本·地SA的對(duì)端地址��,源通訊實(shí)體用戶流量切換到備份連接上��,完成SA的備份和切換�����。但本方法要求備份節(jié)點(diǎn)與源節(jié)點(diǎn)物理距離較近�,造成備份節(jié)點(diǎn)的冗余度較高���。在實(shí)現(xiàn)本發(fā)明的過程中�����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題現(xiàn)有技術(shù)中的安全備份方案���,通過硬件或架構(gòu)改進(jìn)來實(shí)現(xiàn)IPsec協(xié)議的多源安全功能����,存在著安全性不高�、對(duì)硬件要求過高、節(jié)點(diǎn)冗余度過高等問題��,無法適應(yīng)現(xiàn)有的網(wǎng)絡(luò)集群條件下對(duì)于安全備份的要求����,無法實(shí)現(xiàn)現(xiàn)有網(wǎng)關(guān)等安全關(guān)聯(lián)的多源備份和切換功能,對(duì)IKE通信機(jī)制下的通信安全有很大的影響����。
發(fā)明內(nèi)容
為了解決現(xiàn)有技術(shù)的問題,本發(fā)明實(shí)施例提供了一種多源安全關(guān)聯(lián)建立方法及系統(tǒng)�����。所述技術(shù)方案如下一種多源安全關(guān)聯(lián)建立方法,所述方法包括在IKEV2通信中��,IKE_AUTH消息協(xié)商過程中���,網(wǎng)關(guān)在發(fā)送消息中攜帶標(biāo)志位載荷Hai����、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i ;其中�,所述標(biāo)志位載荷Hai用以確認(rèn)本條發(fā)送消息攜帶多源安全關(guān)聯(lián)信息����;所述N為備份網(wǎng)關(guān)的數(shù)量;所述N[IPi]為備份網(wǎng)關(guān)的IP地址��;所述TS2i為每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量���;終端在返回消息中攜帶標(biāo)志位確認(rèn)載荷HAr以及N個(gè)流量選擇符載荷TSr ;其中�,所述標(biāo)志位確認(rèn)載荷HAr用以標(biāo)識(shí)所述終端確認(rèn)建立多源安全關(guān)聯(lián)����;所述N個(gè)流量選擇符載荷TSr分別對(duì)應(yīng)接收到的所述備份網(wǎng)關(guān)所保護(hù)的流量�����,用以確認(rèn)所述終端已根據(jù)所述每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量建立流量保護(hù)。所述方法還包括網(wǎng)關(guān)在接收到所述返回消息后�����,生成自身以及所有備份網(wǎng)關(guān)與終端之間通信IKESA����,并向所有備份網(wǎng)關(guān)發(fā)送已生成的IKE SA。所述方法還包括網(wǎng)關(guān)向任一備份網(wǎng)關(guān)發(fā)送控制消息啟用切換�����,向終端發(fā)送SA退出消息����,在處理完與備份網(wǎng)關(guān)之間數(shù)據(jù)窗口的數(shù)據(jù)后刪除SA�����,并通知終端刪除SA ;或者備份網(wǎng)關(guān)在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)�����,通知終端刪除與網(wǎng)關(guān)的SA��,并啟動(dòng)備份網(wǎng)關(guān)的SA進(jìn)行數(shù)據(jù)通信�,恢復(fù)網(wǎng)關(guān)未處理的數(shù)據(jù)�����。所述備份網(wǎng)關(guān)在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)后��,還包括備份網(wǎng)關(guān)向網(wǎng)關(guān)發(fā)送確認(rèn)請(qǐng)求����;若網(wǎng)關(guān)響應(yīng)��,則繼續(xù)監(jiān)聽����;否則���,所述備份網(wǎng)關(guān)向終端發(fā)送INFORMATIONAL交換消息,所述INFORMATIONAL交換消息至少攜帶發(fā)生故障的標(biāo)志位����、備份網(wǎng)關(guān)的身份信息以及報(bào)文類型;終端響應(yīng)INFORMATIONAL交換消息����,刪除與網(wǎng)關(guān)的SA,啟動(dòng)與所述備份網(wǎng)關(guān)的安全聯(lián)盟���,完成切換。
所述方法還包括網(wǎng)關(guān)采用計(jì)數(shù)字段進(jìn)行發(fā)包統(tǒng)計(jì)��,更新字段中的加密數(shù)據(jù)包的數(shù)據(jù)處理序號(hào)并發(fā)送給備份網(wǎng)關(guān)�,通知備份網(wǎng)關(guān)此時(shí)網(wǎng)關(guān)已處理的數(shù)據(jù)包個(gè)數(shù);備份網(wǎng)關(guān)在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)后而完成切換后�,終端根據(jù)備份網(wǎng)關(guān)最后一次收到的數(shù)據(jù)處理序號(hào)進(jìn)行數(shù)據(jù)重傳。所述終端記錄自身處理的數(shù)據(jù)包個(gè)數(shù)��,與所述備份網(wǎng)關(guān)最后一次收到的數(shù)據(jù)處理序號(hào)進(jìn)行比較��,根據(jù)數(shù)值較小的計(jì)數(shù)值進(jìn)行數(shù)據(jù)重傳��。一種多源安全關(guān)聯(lián)建立系統(tǒng)����,所述系統(tǒng)包括終端���、網(wǎng)關(guān)以及至少一個(gè)備份網(wǎng)關(guān),其中�,所述網(wǎng)關(guān),用于在發(fā)送消息中攜帶標(biāo)志位載荷Hai�、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i ;其中,所述標(biāo)志位載荷Hai用以確認(rèn)本條發(fā)送消息攜帶多源安全關(guān)聯(lián)信息���;所述N為備份網(wǎng)關(guān)的數(shù)量�����;所述N[IPi]為備份網(wǎng)關(guān)的IP地址���;所述TS2i為每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量;所述終端���,用于在返回消息中攜帶標(biāo)志位確認(rèn)載荷HAr以及N個(gè)流量選擇符載荷TSr ;其中��,所述標(biāo)志位確認(rèn)載荷HAr用以標(biāo)識(shí)所述終端確認(rèn)建立多源安全關(guān)聯(lián)����;所述N個(gè)流量選擇符載荷TSr分別對(duì)應(yīng)接收到的所述備份網(wǎng)關(guān)所保護(hù)的流量,用以確認(rèn)所述終端已根據(jù)所述每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量建立流量保護(hù)�;所述備份網(wǎng)關(guān),用于在所述網(wǎng)關(guān)發(fā)生故障時(shí)����,與所述終端繼續(xù)進(jìn)行數(shù)據(jù)傳輸。所述網(wǎng)關(guān)還用于在接收到所述返回消息后����,生成自身以及所有備份網(wǎng)關(guān)與終端之間通信IKE SA���,并向所有備份網(wǎng)關(guān)發(fā)送已生成的IKE SA����。所述網(wǎng)關(guān)還用于向任一備份網(wǎng)關(guān)發(fā)送控制消息啟用切換�,向終端發(fā)送SA退出消息,在處理完與備份網(wǎng)關(guān)之間數(shù)據(jù)窗口的數(shù)據(jù)后刪除SA�����,并通知終端刪除SA�����。所述備份網(wǎng)關(guān)還用于在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào),通知所述終端刪除與所述網(wǎng)關(guān)的SA���,并啟動(dòng)備份網(wǎng)關(guān)的SA進(jìn)行數(shù)據(jù)通信��,恢復(fù)所述網(wǎng)關(guān)未處理的數(shù)據(jù)����。本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果是通過在IKE_AUTH消息協(xié)商過程中����,擴(kuò)展現(xiàn)有的協(xié)議,增加標(biāo)志位載荷Hai�����、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i��,來將備份網(wǎng)關(guān)的地址以及流量選擇信息發(fā)送給終端�,終端確認(rèn)后建立與備份網(wǎng)關(guān)的關(guān)聯(lián),在網(wǎng)關(guān)發(fā)生故障的時(shí)候��,自動(dòng)切換到備份網(wǎng)關(guān)繼續(xù)數(shù)據(jù)傳輸���。本發(fā)明提出的協(xié)商多個(gè)SA的方法和增強(qiáng)的可靠數(shù)據(jù)傳輸機(jī)制�,通過對(duì)現(xiàn)有的IPsec進(jìn)行功能拓展,增加了身份載荷和流量選擇載荷以建立多個(gè)備份IKE SA���,通信一端發(fā)送計(jì)數(shù)狀態(tài)來解決切換間產(chǎn)生一定程度的丟包問題�,保證了加密數(shù)據(jù)流的實(shí)時(shí)無縫切換����,進(jìn)一步增強(qiáng)了 IPsec的安全性能。
為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案����,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附圖��。圖I是現(xiàn)有技術(shù)中IKEv2密鑰交換過程示意圖�����;圖2是現(xiàn)有技術(shù)中流量選擇器載荷包格式示意圖;圖3是本發(fā)明實(shí)施例一提供的多源安全關(guān)聯(lián)建立方法原理流程圖�����; 圖4是本發(fā)明實(shí)施例一提供的擴(kuò)展IKEv2密鑰交換過程示意圖����;圖5是本發(fā)明實(shí)施例一提供的INFORMATIONAL消息交換過程示意圖;圖6是本發(fā)明實(shí)施例二提供的多源安全關(guān)聯(lián)建立方法示意圖����;圖7是本發(fā)明實(shí)施例二提供的數(shù)據(jù)補(bǔ)償機(jī)制示意圖;圖8是本發(fā)明實(shí)施例二提供的應(yīng)用場景示意圖��;圖9是本發(fā)明實(shí)施例三提供的多源安全關(guān)聯(lián)建立系統(tǒng)示意圖�。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述�����。本發(fā)明實(shí)施例是基于對(duì)現(xiàn)有的IKEv2 (Internet Key Exchange Version 2,互聯(lián)網(wǎng)密鑰交換協(xié)議第二版)在協(xié)議層面上進(jìn)行修改而實(shí)現(xiàn)多源安全的建立的,現(xiàn)有的IKEv2協(xié)議中交換過程如圖I所示�。IKE通信總是從IKE_SA_INIT和IKE_AUTH交換開始的(相當(dāng)于IKEvl的第一階段)。初始交換通常包含四條報(bào)文��,其中HDR中包括SPI (Security Parameters Index,安全參數(shù)索引)�、版本號(hào)以及各種類型的標(biāo)志;SAil載荷包含了發(fā)起方為建立IKE_SA所支持的加密算法��;KE (Key Exchange�,密鑰交換)載荷包含發(fā)起方的Diffie-Hellman值;Ni表示發(fā)起方的nonce (當(dāng)前時(shí)間)���;[CERTREQ]為可選的載荷����,表明可包含一個(gè)可選的證書請(qǐng)求載荷��。第一對(duì)報(bào)文(IKE_SA_INIT)協(xié)商加密算法,交換nonce并進(jìn)行Diffie-Hellman交換�����;第二對(duì)報(bào)文(IKE_AUTH)認(rèn)證第一對(duì)報(bào)文���,交換身份信息和證書并建立第一個(gè)CHILD_SA�。一部分報(bào)文利用IKE_SA_INIT交換中確定的密鑰進(jìn)行加密和完整性保護(hù)�����,所以通信雙方的身份對(duì)竊聽者是隱藏的�,并且所有報(bào)文中的所有域都是經(jīng)過認(rèn)證的。在第2條消息中����,響應(yīng)方從發(fā)起方提供的選項(xiàng)中選擇一套加密算法并且在SArl載荷中表示出來,通過KEr載荷完成Diffie-Hellman交換�����,并在Nr載荷中發(fā)送它自己的nonce�。此時(shí)協(xié)商中每一端都會(huì)生成SKEYSEED (密鑰種子),并從中生成IKE_SA的所有密鑰����,接下來的所有報(bào)文全部(除了頭部)都會(huì)被加密并受到完整性保護(hù)。用來加密和進(jìn)行完整性保護(hù)的所有密鑰都來自于密鑰種子����,它們被稱為SK_e (加密)和SK_a (認(rèn)證,又名完整性保護(hù))��,單獨(dú)的SK_e和SK_a是單向計(jì)算的。使用DH值除了生成保護(hù)IKE_SA的密鑰SK_e和SK_a之外����,還生成了其它密鑰SK_d (被用來產(chǎn)生CHILD_SA階段需要的加密材料)。符號(hào)SK表明括號(hào)中的這些載荷是經(jīng)過加密和完整性保護(hù)(使用本方向的SK_e和SK_a)的�����。在第3條消息中�,發(fā)起方在IDi載荷中聲稱自己的身份,使用AUTH載荷證明對(duì)IDi相關(guān)秘密信息的認(rèn)識(shí)并保護(hù)第一條消息內(nèi)容的完整性�。發(fā)起方在CERT載荷中還發(fā)送本身的證書,在CERTREQ載荷中發(fā)送一系列信任的內(nèi)容(anchor)�。若發(fā)起方包含CERT載荷,則所提供的第一個(gè)證書必須包含用來證明AUTH域的公共密鑰��?����?蛇x的IDr載荷使發(fā)起方能夠指定它想與之通信的對(duì)方的眾多身份中的一個(gè)�,這對(duì)響應(yīng)方在同一個(gè)IP地址上具有多個(gè)主機(jī)身份的情況下很有用�����。TS稱為流量選擇器載荷,分為接收方和響應(yīng)方兩種類型的包(載荷類型分別為44和45)�����,允許對(duì)端為IPsec安全服務(wù)的處理識(shí)別數(shù)據(jù)流���,其格式如圖2所示。其中�����,TS數(shù)代表提供的流量選擇器的數(shù)目�����;保留位在發(fā)送端要清0���,而接收端則忽略����;流量選擇器位可以包括一個(gè)或多個(gè)流量選擇器���;C標(biāo)志位如果設(shè)置為0�����,則響應(yīng)方不能識(shí)別流量選擇器載荷時(shí)跳過該載荷�,如果設(shè)置為1,則響應(yīng)方不能識(shí)別流量選擇器載荷時(shí)拒絕整個(gè)報(bào)文��?��!ぴ诘?條消息中�����,響應(yīng)方驗(yàn)證ID載荷中的名稱與產(chǎn)生AUTH載荷的密鑰是否相符合���,并在IDr載荷中聲稱自己的身份,可選地發(fā)送一個(gè)或多個(gè)證書(用包含公鑰的證書再次檢驗(yàn)首次所列出的AUTH)���,用AUTH載荷認(rèn)證他的身份并保護(hù)第二條消息的完整性���,通過附加域來完成CHILD_SA的協(xié)商,并通過TSr載荷確認(rèn)建立連接的主機(jī)地址與端口����。本發(fā)明實(shí)施例實(shí)質(zhì)上是在IKEv2通信中,IKE_AUTH消息協(xié)商過程中���,對(duì)于協(xié)商雙方所攜帶標(biāo)志位和實(shí)際數(shù)據(jù)的修改而建立起多源安全機(jī)制��,在之后出現(xiàn)通信問題時(shí)�,可以根據(jù)已經(jīng)建立的安全機(jī)制���,快速的切換至備份網(wǎng)關(guān)繼續(xù)進(jìn)行通信�����。實(shí)施例一參見圖3�,為本發(fā)明實(shí)施例一提供的多源安全關(guān)聯(lián)建立方法原理流程圖����,具體如下步驟10,在IKEv2通信中���,IKE_AUTH消息協(xié)商過程中��,網(wǎng)關(guān)在發(fā)送消息中攜帶標(biāo)志位載荷Hai����、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i。本實(shí)施例實(shí)質(zhì)上是一種基于IKEv2的建立多源安全關(guān)聯(lián)建立的方案����,需要擴(kuò)展修改IKEv2的第三、四條消息���,也即需要擴(kuò)展IKE_AUTH消息協(xié)商過程�。發(fā)送方(網(wǎng)關(guān))在第三條消息中至少增加HAi載荷�、N[IPi]載荷和N個(gè)TS2i載荷,N為大于I的自然數(shù)��。其中����,HAi是一個(gè)標(biāo)志位載荷,用以確認(rèn)本條發(fā)送消息攜帶多源安全關(guān)聯(lián)信息��。除了本機(jī)的IDi載荷�����,發(fā)起方在第3條消息中添加一個(gè)新建的通告載荷N[IPi]通知響應(yīng)方(終端)本端備份網(wǎng)關(guān)的IP地址����;同時(shí)�,TS2i載荷表示備份網(wǎng)關(guān)的流量選擇符�,即該網(wǎng)關(guān)所保護(hù)的流量��,當(dāng)存在多個(gè)備份網(wǎng)關(guān)時(shí)��,則相應(yīng)的存在多個(gè)流量選擇器載荷��。在主機(jī)網(wǎng)關(guān)發(fā)生故障時(shí)����,備份網(wǎng)關(guān)可使用同步接收到的載荷通過驗(yàn)證,繼續(xù)進(jìn)行IPsec通信�。步驟20,終端在返回消息中攜帶標(biāo)志位確認(rèn)載荷HAr以及N個(gè)流量選擇符載荷TSr�。相應(yīng)的,終端接收到請(qǐng)求�����,驗(yàn)證IDi載荷中的名稱后���,在返回的第四條消息中�,除了用IDr載荷中聲明自己的身份,增加了對(duì)支持?jǐn)U展IKEv2交換過程的HAr (標(biāo)志位確認(rèn)載荷)��,并發(fā)送與所請(qǐng)求個(gè)數(shù)相同流量選擇符載荷��,即TSr載荷�����。標(biāo)志位確認(rèn)載荷HAr用以標(biāo)識(shí)所述終端確認(rèn)建立多源安全關(guān)聯(lián)�����。流量選擇符載荷TSr分別對(duì)應(yīng)接收到的備份網(wǎng)關(guān)所保護(hù)的流量���,用以確認(rèn)終端已根據(jù)每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量建立流量保護(hù)�����。在此之后��,網(wǎng)關(guān)在接收到終端返回的消息后�,確認(rèn)終端是否支持多源安全關(guān)聯(lián)�,也就是確認(rèn)HAr的內(nèi)容。如果支持�����,則建立自身與終端之間的安全關(guān)聯(lián)(SA),同時(shí)�����,生成終端與所有的備份網(wǎng)關(guān)之間的SA并分別發(fā)送給各個(gè)備份網(wǎng)關(guān)���。各個(gè)備份網(wǎng)關(guān)保存與終端的SA,以備在網(wǎng)關(guān)與終端通信出現(xiàn)問題的時(shí)候�,及時(shí)通過與終端的SA建立安全通信。至此���,多源安全關(guān)聯(lián)機(jī)制建立完成�����。具體消息流程如圖4所示��。進(jìn)一步的��,網(wǎng)關(guān)在接收到返回消息后��,生成自身以及所有備份網(wǎng)關(guān)與終端之間通信IKE SA��,并向所有備份網(wǎng)關(guān)發(fā)送已生成的IKE SA�����。網(wǎng)關(guān)收到第4條消息后���,同時(shí)生成網(wǎng)關(guān)與終端��、備份網(wǎng)關(guān)與終端之間通信IKE SA及CHILD_SA��,并同時(shí)返回所生成的兩個(gè)CHILD_ SA的SPI��。隨后網(wǎng)關(guān)與終端進(jìn)行IPsec通信���,并向備份網(wǎng)關(guān)發(fā)送已生成的IKE SA,以備進(jìn)行故障轉(zhuǎn)移使用���。如果是多臺(tái)備份主機(jī)����,則生成多個(gè)CHILD_SA和TS載荷�,每個(gè)載荷與備份主機(jī)列表中的元素一一對(duì)應(yīng)。進(jìn)一步的�����,網(wǎng)關(guān)向任一備份網(wǎng)關(guān)發(fā)送控制消息啟用切換,向終端發(fā)送SA退出消息����,在處理完與備份網(wǎng)關(guān)之間數(shù)據(jù)窗口的數(shù)據(jù)后刪除SA,并通知終端刪除SA ;或者備份網(wǎng)關(guān)在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)��,通知終端刪除與網(wǎng)關(guān)的SA�,并啟動(dòng)備份網(wǎng)關(guān)的SA進(jìn)行數(shù)據(jù)通信,恢復(fù)網(wǎng)關(guān)未處理的數(shù)據(jù)�����。具體來說�,在需要啟用備份SA時(shí)����,可通過兩種方式進(jìn)行切換切換方式I :網(wǎng)關(guān)發(fā)送啟動(dòng)備份網(wǎng)關(guān)的控制消息給備份網(wǎng)關(guān),并發(fā)送SA退出消息到終端��。此時(shí)��,網(wǎng)關(guān)在處理完與備份網(wǎng)關(guān)之間定義的數(shù)據(jù)窗口的數(shù)據(jù)后刪除SA���,并通知終端刪除SA及發(fā)送啟動(dòng)控制信息���。切換方式2 :備份網(wǎng)關(guān)在定義的時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)����,即認(rèn)為網(wǎng)關(guān)產(chǎn)生故障�,則通知終端刪除與網(wǎng)關(guān)的SA,并啟動(dòng)與備份網(wǎng)關(guān)的SA進(jìn)行數(shù)據(jù)通信���,恢復(fù)網(wǎng)關(guān)未處理的數(shù)據(jù)�。具體實(shí)施中����,可將上述兩種方法互相結(jié)合使用,至少包括以下情況當(dāng)網(wǎng)關(guān)負(fù)載過高或即將發(fā)生故障時(shí)���,可采用切換方式1�����,由網(wǎng)關(guān)主動(dòng)通知終端進(jìn)行處理����,終端接收到網(wǎng)關(guān)的通知后啟動(dòng)與備份網(wǎng)關(guān)的安全關(guān)聯(lián);當(dāng)網(wǎng)關(guān)發(fā)生故障或網(wǎng)關(guān)與終端的連接斷開時(shí)���,可采用切換方式2與數(shù)據(jù)補(bǔ)償機(jī)制�����,由備份網(wǎng)關(guān)檢測到故障并通知終端��,建立新的安全關(guān)聯(lián)��。具體的�,這里所述的數(shù)據(jù)補(bǔ)償機(jī)制�,是指加密通信過程中,網(wǎng)關(guān)采用計(jì)數(shù)字段進(jìn)行發(fā)包統(tǒng)計(jì)�����,定期更新字段中的加密數(shù)據(jù)包數(shù)量并發(fā)送給備份網(wǎng)關(guān)��,通知備份網(wǎng)關(guān)此時(shí)網(wǎng)關(guān)已處理的數(shù)據(jù)包個(gè)數(shù)��;備份網(wǎng)關(guān)在定義的時(shí)間間隔內(nèi)沒有收到主通信主機(jī)發(fā)送的處理數(shù)據(jù)包個(gè)數(shù)��,則向網(wǎng)關(guān)發(fā)送確認(rèn)請(qǐng)求�����,若網(wǎng)關(guān)響應(yīng)則繼續(xù)正常工作�����,若沒有響應(yīng)���,備份網(wǎng)關(guān)請(qǐng)求使用其與終端建立IPsec連接��。備份網(wǎng)關(guān)和終端使用之前協(xié)商好的IKE SA繼續(xù)進(jìn)行加密通信�����,終端根據(jù)備份網(wǎng)關(guān)最后一次收到的計(jì)數(shù)值與已處理的數(shù)據(jù)包個(gè)數(shù)進(jìn)行比較�,根據(jù)較小的計(jì)數(shù)值進(jìn)行數(shù)據(jù)重傳���,完成無縫切換�。本實(shí)施例采用INFORMATIONAL交換傳遞故障信息���,該信息至少包括備份網(wǎng)關(guān)IP���,發(fā)生故障的標(biāo)志位���,以及報(bào)文類型。其交換過程如圖5所示����。INFORMATIONAL交換中的報(bào)文包含0個(gè)或多個(gè)通告(Notification)、刪除(Delete)和配置(Configuration)載荷�。發(fā)送方為了確定報(bào)文在網(wǎng)絡(luò)中是否丟失并且重發(fā)報(bào)文,要求接收方必須對(duì)INFORMATIONAL交換發(fā)出響應(yīng)���,響應(yīng)可以是不包含載荷的報(bào)文����。有時(shí)為了告訴通信的另一端讓其證明仍然活躍���,INFORMATIONAL交換的請(qǐng)求報(bào)文也可以不包括任何載荷��。實(shí)施例二本發(fā)明實(shí)施例提供了一種具體的多源安全關(guān)聯(lián)建立方法�,參見圖6�����,具體如下
主機(jī)I與網(wǎng)關(guān)I以及網(wǎng)關(guān)2組成本系統(tǒng)��,網(wǎng)關(guān)I為主網(wǎng)關(guān)���,網(wǎng)關(guān)2為備份網(wǎng)關(guān)��。網(wǎng)關(guān)I與主機(jī)I之間進(jìn)行IKE協(xié)商����。網(wǎng)關(guān)2為可信主機(jī)且使用固定IP���,網(wǎng)關(guān)I可直接向網(wǎng)關(guān)2發(fā)送認(rèn)證信息�����,若網(wǎng)關(guān)2不可信�,則網(wǎng)關(guān)I向網(wǎng)關(guān)2發(fā)送加密認(rèn)證信息�����,加密算法可以用現(xiàn)有加密算法�����,如簽名算法等一種或幾種。具體實(shí)現(xiàn)包括如下步驟網(wǎng)關(guān)I向主機(jī)I發(fā)送第三條消息時(shí)����,除了網(wǎng)關(guān)I的身份,還包括網(wǎng)關(guān)2的IP地址等身份信息��。其中�,網(wǎng)關(guān)2可以選取一臺(tái)或多臺(tái)主機(jī)。網(wǎng)關(guān)I除了發(fā)送原有協(xié)商信息外��,還將網(wǎng)關(guān)2的IP地址等身份信息封裝在載荷中發(fā)送到主機(jī)1�����,具體包括N[IPi]���、流量選擇符TS2i及HAi載荷���,用來標(biāo)志集群策略啟動(dòng)。如果接收到第4條消息的HAr載荷中確認(rèn)標(biāo)志位為1���,則表示對(duì)端支持并發(fā)策略����,可建立多個(gè)SA,若確認(rèn)標(biāo)志位為0,則表示對(duì)端不支持該策略,建立單個(gè)SA�����。如果采用多臺(tái)主機(jī)���,建立多個(gè)SA,則第二臺(tái)主機(jī)地址改為備份機(jī)列表�����。若主機(jī)I支持并發(fā)策略��,向網(wǎng)關(guān)I發(fā)送的第四條消息中包含HAr載荷���、網(wǎng)關(guān)2的流量選擇符�����。網(wǎng)關(guān)I收到第4條消息后���,同時(shí)生成網(wǎng)關(guān)I與主機(jī)I、網(wǎng)關(guān)2與主機(jī)I之間通信IKE SA及CHILD_SA�����,并同時(shí)返回所生成的兩個(gè)CHILD_SA的SPI。隨后網(wǎng)關(guān)I與主機(jī)I進(jìn)行IPsec通信�,并向網(wǎng)關(guān)2發(fā)送已生成的IKE SA,以備進(jìn)行故障轉(zhuǎn)移使用�。如果是多臺(tái)備份主機(jī),則生成多個(gè)CHILD_SA和TS載荷,每個(gè)載荷與備份主機(jī)列表中的兀素對(duì)應(yīng)����。建立好多個(gè)安全關(guān)聯(lián)后,依據(jù)不同的情況執(zhí)行多源安全關(guān)聯(lián)建立切換���,并采用數(shù)據(jù)補(bǔ)償機(jī)制實(shí)現(xiàn)無縫切換��。多源安全關(guān)聯(lián)建立切換至少包括負(fù)載均衡切換和故障切換兩種��,啟用備份安全聯(lián)盟時(shí)�,可通過兩種方式進(jìn)行切換方式一���,網(wǎng)關(guān)I向網(wǎng)關(guān)2發(fā)送控制消息啟用多源安全聯(lián)盟切換����,同時(shí)向主機(jī)I發(fā)送SA退出消息����,觸發(fā)主機(jī)I采用網(wǎng)關(guān)2的安全聯(lián)盟�,完成切換��;方式二�����,如果網(wǎng)關(guān)2在定義的時(shí)間間隔內(nèi)沒有收到主通信主機(jī)發(fā)送的數(shù)據(jù)處理序號(hào)時(shí)��,則向網(wǎng)關(guān)I發(fā)送確認(rèn)請(qǐng)求�,若網(wǎng)關(guān)I響應(yīng)則繼續(xù)正常工作����,若沒有響應(yīng),則網(wǎng)關(guān)2向主機(jī)I發(fā)送INFORMATIONAL交換消息�����,消息至少包含發(fā)生故障的標(biāo)志位����,網(wǎng)關(guān)2的身份信息,該消息通知主機(jī)I刪除與網(wǎng)關(guān)I的SA���,并啟動(dòng)與網(wǎng)關(guān)2上的安全聯(lián)盟進(jìn)行數(shù)據(jù)通信����,重新發(fā)送網(wǎng)關(guān)2未處理的數(shù)據(jù)。數(shù)據(jù)補(bǔ)償機(jī)制���,如圖7所示��,具體實(shí)現(xiàn)包括如下步驟加密通信過程中����,網(wǎng)關(guān)I采用計(jì)數(shù)字段進(jìn)行發(fā)包統(tǒng)計(jì)�����,定期更新字段中的加密數(shù)據(jù)包數(shù)量并發(fā)送給網(wǎng)關(guān)2�,通知網(wǎng)關(guān)2此時(shí)網(wǎng)關(guān)I已處理的數(shù)據(jù)包個(gè)數(shù);
網(wǎng)關(guān)2在定義的時(shí)間間隔內(nèi)沒有收到主通信主機(jī)發(fā)送的處理數(shù)據(jù)包個(gè)數(shù)��,則向網(wǎng)關(guān)I發(fā)送確認(rèn)請(qǐng)求����,若網(wǎng)關(guān)I響應(yīng)則繼續(xù)正常工作,若沒有響應(yīng),網(wǎng)關(guān)2請(qǐng)求使用其與主機(jī)I建立IPsec連接�����。網(wǎng)關(guān)2和主機(jī)I使用之前協(xié)商好的IKE SA繼續(xù)進(jìn)行加密通信�����,主機(jī)I根據(jù)網(wǎng)關(guān)2最后一次收到的計(jì)數(shù)值與已處理的數(shù)據(jù)包個(gè)數(shù)進(jìn)行比較����,根據(jù)較小的計(jì)數(shù)值進(jìn)行數(shù)據(jù)重傳��,完成無縫切換��。具體來說��,網(wǎng)關(guān)I向主機(jī)I發(fā)送了 n個(gè)數(shù)據(jù)包���,并周期性的發(fā)送已處理的數(shù)據(jù)包個(gè)數(shù)n給網(wǎng)關(guān)2�。當(dāng)網(wǎng)關(guān)I和主機(jī)I之間發(fā)生故障����,部分?jǐn)?shù)據(jù)丟失的時(shí)候,網(wǎng)關(guān)2未接收到周期性處理狀態(tài)值,向網(wǎng)關(guān)I發(fā)送確認(rèn)消息無響應(yīng)了��,確認(rèn)故障發(fā)生�����。此時(shí)�,主機(jī)I已處理數(shù)據(jù)包個(gè)數(shù)為n+m,網(wǎng)關(guān)2需要啟動(dòng)IPsec��,并通知主機(jī)最后收到的數(shù)據(jù)包個(gè)數(shù)n���,主機(jī)I將n+m與n比較���,從n個(gè)數(shù)據(jù)包開始重傳,補(bǔ)償丟失的數(shù)據(jù)�。具體實(shí)施中可將上述方法互相結(jié)合使用,至少 包括以下情況當(dāng)網(wǎng)關(guān)I負(fù)載過高或即將發(fā)生故障時(shí)���,可采用切換方式1���,由網(wǎng)關(guān)I主動(dòng)通知主機(jī)I進(jìn)行處理,主機(jī)I接收到網(wǎng)關(guān)I的通知后啟動(dòng)與網(wǎng)關(guān)2的安全關(guān)聯(lián)���;當(dāng)網(wǎng)關(guān)I發(fā)生故障或網(wǎng)關(guān)I與主機(jī)I的連接斷開時(shí)�,可采用切換方式2與數(shù)據(jù)補(bǔ)償機(jī)制,由網(wǎng)關(guān)2檢測到故障并通知主機(jī)I�,建立新的安全關(guān)聯(lián)。參見圖8����,為本實(shí)施例應(yīng)用場景,本實(shí)施例使用場景為內(nèi)部域或遠(yuǎn)程接入的網(wǎng)關(guān)作為集群成員�����。主機(jī)I通過網(wǎng)關(guān)集群與其它節(jié)點(diǎn)通信����,網(wǎng)關(guān)集群包括多個(gè)網(wǎng)關(guān)�����。各集群成員擁有不同的IP地址�����,負(fù)責(zé)不同的業(yè)務(wù)����。網(wǎng)關(guān)I在與主機(jī)I建立交換時(shí)��,將備份網(wǎng)關(guān)的IP地址等身份信息封裝在載荷中發(fā)給對(duì)端�����,通知對(duì)端在多路SA的情況下�����,可使用該SA進(jìn)行繼續(xù)通信�,當(dāng)該網(wǎng)關(guān)I發(fā)生故障時(shí)��,可實(shí)現(xiàn)多路SA的無縫切換�����。實(shí)施例三參見圖9���,本發(fā)明實(shí)施例提供了一種多源安全關(guān)聯(lián)建立系統(tǒng)�,系統(tǒng)包括終端�����、網(wǎng)關(guān)以及至少一個(gè)備份網(wǎng)關(guān),具體如下網(wǎng)關(guān)用于在發(fā)送消息中攜帶標(biāo)志位載荷Hai����、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i ;其中,標(biāo)志位載荷Hai用以確認(rèn)本條發(fā)送消息攜帶多源安全關(guān)聯(lián)信息����;N為備份網(wǎng)關(guān)的數(shù)量;N[IPi]為備份網(wǎng)關(guān)的IP地址���;TS2i為每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量�。終端用于在返回消息中攜帶標(biāo)志位確認(rèn)載荷HAr以及N個(gè)流量選擇符載荷TSr ��;其中�,標(biāo)志位確認(rèn)載荷HAr用以標(biāo)識(shí)終端確認(rèn)建立多源安全關(guān)聯(lián);N個(gè)流量選擇符載荷TSr分別對(duì)應(yīng)接收到的備份網(wǎng)關(guān)所保護(hù)的流量�����,用以確認(rèn)終端已根據(jù)每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量建立流量保護(hù)�����。備份網(wǎng)關(guān)用于在網(wǎng)關(guān)發(fā)生故障時(shí)���,與終端繼續(xù)進(jìn)行數(shù)據(jù)傳輸��。較佳地�,網(wǎng)關(guān)還用于在接收到所述返回消息后�����,生成自身以及所有備份網(wǎng)關(guān)與終端之間通信IKE SA����,并向所有備份網(wǎng)關(guān)發(fā)送已生成的IKE SA。較佳地��,網(wǎng)關(guān)還用于向任一備份網(wǎng)關(guān)發(fā)送控制消息啟用切換����,向終端發(fā)送SA退出消息,在處理完與備份網(wǎng)關(guān)之間數(shù)據(jù)窗口的數(shù)據(jù)后刪除SA�,并通知終端刪除SA。較佳地�����,備份網(wǎng)關(guān)還用于在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)�����,通知所述終端刪除與所述網(wǎng)關(guān)的SA,并啟動(dòng)備份網(wǎng)關(guān)的SA進(jìn)行數(shù)據(jù)通信��,恢復(fù)所述網(wǎng)關(guān)未處理的數(shù)據(jù)��。需要說明的是上述實(shí)施例提供的多源安全關(guān)聯(lián)建立系統(tǒng)在觸發(fā)多源安全關(guān)聯(lián)建立業(yè)務(wù)時(shí)���,僅以上述各功能模塊的劃分進(jìn)行舉例說明�����,實(shí)際應(yīng)用中�����,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成��,即將系統(tǒng)設(shè)備的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊����,以完成以上描述的全部或者部分功能�����。另外�,上述實(shí)施例提供的多源安全關(guān)聯(lián)建立系統(tǒng)與多源安全關(guān)聯(lián)建立方法實(shí)施例屬于同一構(gòu)思,其具體實(shí)現(xiàn)過程詳見方法實(shí)施例��,這里不再贅述�����。綜上所述�����,本發(fā)明實(shí)施例通過在IKE_AUTH消息協(xié)商過程中����,擴(kuò)展現(xiàn)有的協(xié)議,增加標(biāo)志位載荷Hai����、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i,來將備份網(wǎng)關(guān)的地址以及流量選擇信息發(fā)送給終端��,終端確認(rèn)后建立與備份網(wǎng)關(guān)的關(guān)聯(lián)�,在網(wǎng)關(guān)發(fā)生故障的時(shí)候,自動(dòng)切換到備份網(wǎng)關(guān)繼續(xù)數(shù)據(jù)傳輸�����。本發(fā)明提出的協(xié)商多個(gè)SA的方法和增強(qiáng)的可靠數(shù)據(jù)傳輸機(jī)制,通過對(duì)現(xiàn)有的IPsec進(jìn)行功能拓展����,增加了身份載荷和流量選擇載荷以建立多個(gè)備份IKE SA,通信一端發(fā)送計(jì)數(shù)狀態(tài)來解決切換間產(chǎn)生一定程度的丟包問題�,保證了加密數(shù)據(jù)流的實(shí)時(shí)無縫切換,進(jìn)一步增強(qiáng)了 IPsec的安全性能���。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述��,不代表實(shí)施例的優(yōu)劣�。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過硬件來完成�����,也可以通過程序來指令相關(guān)的硬件完成�����,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中����,上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器���,磁盤或光盤等�����。以上所述僅為本發(fā)明的較佳實(shí)施例����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種多源安全關(guān)聯(lián)建立方法,其特征在于,所述方法包括 在IKEv2通信中,IKE_AUTH消息協(xié)商過程中����,網(wǎng)關(guān)在發(fā)送消息中攜帶標(biāo)志位載荷Hai、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i ;其中,所述標(biāo)志位載荷Hai用以確認(rèn)本條發(fā)送消息攜帶多源安全關(guān)聯(lián)信息�����;所述N為備份網(wǎng)關(guān)的數(shù)量��;所述N[IPi]為備份網(wǎng)關(guān)的IP地址��;所述TS2i為每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量��; 終端在返回消息中攜帶標(biāo)志位確認(rèn)載荷HAr以及N個(gè)流量選擇符載荷TSr ;其中����,所述標(biāo)志位確認(rèn)載荷HAr用以標(biāo)識(shí)所述終端確認(rèn)建立多源安全關(guān)聯(lián)��;所述N個(gè)流量選擇符載荷TSr分別對(duì)應(yīng)接收到的所述備份網(wǎng)關(guān)所保護(hù)的流量���,用以確認(rèn)所述終端已根據(jù)所述每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量建立流量保護(hù)�。
2.如權(quán)利要求I所述的方法,其特征在于����,所述方法還包括 網(wǎng)關(guān)在接收到所述返回消息后�����,生成自身以及所有備份網(wǎng)關(guān)與終端之間通信IKE SA, 并向所有備份網(wǎng)關(guān)發(fā)送已生成的IKE SA���。
3.如權(quán)利要求I所述的方法���,其特征在于�����,所述方法還包括 網(wǎng)關(guān)向任一備份網(wǎng)關(guān)發(fā)送控制消息啟用切換,向終端發(fā)送SA退出消息��,在處理完與備份網(wǎng)關(guān)之間數(shù)據(jù)窗口的數(shù)據(jù)后刪除SA�����,并通知終端刪除SA ;或者 備份網(wǎng)關(guān)在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)�����,通知終端刪除與網(wǎng)關(guān)的SA����,并啟動(dòng)備份網(wǎng)關(guān)的SA進(jìn)行數(shù)據(jù)通信�����,恢復(fù)網(wǎng)關(guān)未處理的數(shù)據(jù)�����。
4.如權(quán)利要求3所述的方法��,其特征在于��,所述備份網(wǎng)關(guān)在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)后�����,還包括 備份網(wǎng)關(guān)向網(wǎng)關(guān)發(fā)送確認(rèn)請(qǐng)求;若網(wǎng)關(guān)響應(yīng)�,則繼續(xù)監(jiān)聽;否則��,所述備份網(wǎng)關(guān)向終端發(fā)送INFORMATIONAL交換消息����,所述INFORMATIONAL交換消息至少攜帶發(fā)生故障的標(biāo)志位、備份網(wǎng)關(guān)的身份信息以及報(bào)文類型���; 終端響應(yīng)INFORMATIONAL交換消息���,刪除與網(wǎng)關(guān)的SA,啟動(dòng)與所述備份網(wǎng)關(guān)的安全聯(lián)盟,完成切換��。
5.如權(quán)利要求3或4所述的方法���,其特征在于,所述方法還包括 網(wǎng)關(guān)采用計(jì)數(shù)字段進(jìn)行發(fā)包統(tǒng)計(jì)����,更新字段中的加密數(shù)據(jù)包的數(shù)據(jù)處理序號(hào)并發(fā)送給備份網(wǎng)關(guān),通知備份網(wǎng)關(guān)此時(shí)網(wǎng)關(guān)已處理的數(shù)據(jù)包個(gè)數(shù)�����; 備份網(wǎng)關(guān)在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)后而完成切換后���,終端根據(jù)備份網(wǎng)關(guān)最后一次收到的數(shù)據(jù)處理序號(hào)進(jìn)行數(shù)據(jù)重傳�。
6.如權(quán)利要求5所述的方法,其特征在于��,所述終端記錄自身處理的數(shù)據(jù)包個(gè)數(shù)���,與所述備份網(wǎng)關(guān)最后一次收到的數(shù)據(jù)處理序號(hào)進(jìn)行比較��,根據(jù)數(shù)值較小的計(jì)數(shù)值進(jìn)行數(shù)據(jù)重傳。
7.一種多源安全關(guān)聯(lián)建立系統(tǒng)�,其特征在于���,所述系統(tǒng)包括終端�����、網(wǎng)關(guān)以及至少一個(gè)備份網(wǎng)關(guān)�����,其中, 所述網(wǎng)關(guān)�,用于在發(fā)送消息中攜帶標(biāo)志位載荷Hai�、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i ;其中,所述標(biāo)志位載荷Hai用以確認(rèn)本條發(fā)送消息攜帶多源安全關(guān)聯(lián)信息���;所述N為備份網(wǎng)關(guān)的數(shù)量����;所述N[IPi]為備份網(wǎng)關(guān)的IP地址;所述TS2i為每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量�����; 所述終端�,用于在返回消息中攜帶標(biāo)志位確認(rèn)載荷HAr以及N個(gè)流量選擇符載荷TSr ;其中���,所述標(biāo)志位確認(rèn)載荷HAr用以標(biāo)識(shí)所述終端確認(rèn)建立多源安全關(guān)聯(lián)����;所述N個(gè)流量選擇符載荷TSr分別對(duì)應(yīng)接收到的所述備份網(wǎng)關(guān)所保護(hù)的流量,用以確認(rèn)所述終端已根據(jù)所述每個(gè)備份網(wǎng)關(guān)所保護(hù)的流量建立流量保護(hù)��; 所述備份網(wǎng)關(guān)����,用于在所述網(wǎng)關(guān)發(fā)生故障時(shí),與所述終端繼續(xù)進(jìn)行數(shù)據(jù)傳輸����。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于���,所述網(wǎng)關(guān)還用于在接收到所述返回消息后���,生成自身以及所有備份網(wǎng)關(guān)與終端之間通信IKE SA,并向所有備份網(wǎng)關(guān)發(fā)送已生成的IKESA���。
9.如權(quán)利要求7所述的系統(tǒng)�,其特征在于��,所述網(wǎng)關(guān)還用于向任一備份網(wǎng)關(guān)發(fā)送控制消息啟用切換���,向終端發(fā)送SA退出消息����,在處理完與備份網(wǎng)關(guān)之間數(shù)據(jù)窗口的數(shù)據(jù)后刪除SA,并通知終端刪除SA��。
10.如權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述備份網(wǎng)關(guān)還用于在預(yù)設(shè)時(shí)間間隔內(nèi)沒有收到網(wǎng)關(guān)發(fā)送的數(shù)據(jù)處理序號(hào)�,通知所述終端刪除與所述網(wǎng)關(guān)的SA,并啟動(dòng)備份網(wǎng)關(guān)的SA進(jìn)行數(shù)據(jù)通信���,恢復(fù)所述網(wǎng)關(guān)未處理的數(shù)據(jù)�。
全文摘要
本發(fā)明公開了一種多源安全關(guān)聯(lián)建立方法,屬于信息安全技術(shù)領(lǐng)域����。所述方法包括在IKEv2通信中����,IKE_AUTH消息協(xié)商過程中,網(wǎng)關(guān)在發(fā)送消息中攜帶標(biāo)志位載荷Hai、通告載荷N[IPi]和N個(gè)流量選擇符載荷TS2i�����;終端在返回消息中攜帶標(biāo)志位確認(rèn)載荷HAr以及N個(gè)流量選擇符載荷TSr����。本發(fā)明通過對(duì)現(xiàn)有的IPsec進(jìn)行功能拓展�,增加了身份載荷和流量選擇載荷以建立多個(gè)備份IKE SA��,通信一端發(fā)送計(jì)數(shù)狀態(tài)來解決切換間產(chǎn)生一定程度的丟包問題���,保證了加密數(shù)據(jù)流的實(shí)時(shí)無縫切換,進(jìn)一步增強(qiáng)了IPsec的安全性能。
文檔編號(hào)H04L29/12GK102970277SQ201210376750
公開日2013年3月13日 申請(qǐng)日期2012年9月29日 優(yōu)先權(quán)日2012年9月29日
發(fā)明者周立, 鄒昕, 魯松, 張良, 關(guān)建峰, 許長橋, 張能, 張宏科 申請(qǐng)人:國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心, 北京郵電大學(xué)