CN107682284B - 发送报文的方法和网络设备 - Google Patents
发送报文的方法和网络设备 Download PDFInfo
- Publication number
- CN107682284B CN107682284B CN201710653308.XA CN201710653308A CN107682284B CN 107682284 B CN107682284 B CN 107682284B CN 201710653308 A CN201710653308 A CN 201710653308A CN 107682284 B CN107682284 B CN 107682284B
- Authority
- CN
- China
- Prior art keywords
- ike
- network device
- ipsec
- address
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种发送报文的方法和网络设备,应用于第一网络设备和第二网络设备之间进行互联网安全IPsec通信,且第一网络设备上没有IPsec安全联盟SA,第二网络设备上拥有IPsec SA的网络场景中,所述方法包括:第一网络设备接收来自第二网络设备的加密报文;在第一网络设备无法对所述加密报文进行解密的情况下,第一网络设备获得特征信息;在第一网络设备依据所述特征信息获得与所述特征信息相对应的互联网密钥交换IKE SA的情况下,第一网络设备生成信息交换报文,信息交换报文指示第二网络设备删除第二网络设备上的IPsec SA;第一网络设备向第二网络设备发送所述信息交换报文。有助于缩短业务中断时间。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种用于发送报文的方法和网络设备。
背景技术
互联网协议安全(英文:Internet Protocol Security,IPsec)使用中,会协商生成两个安全联盟(英文:Security Association,SA):一个是互联网密钥交换(英文:Internet Key Exchange,IKE)SA,它的作用是建立两个端点间信令协商的SA,所有信令(包括后续IPsec SA的协商)都在IKE SA保护下,加解密后收发;另一个是IPsec SA,它的作用是加解密网络上的用户数据流。
在IKE自动协商IPsec隧道的场景下,可能出现一种故障场景,IKE SA正常工作,但IPsec隧道一端存在IPsec SA,一端不存在IPsec SA的情况下,隧道转发流量会由于在缺失IPsec SA的设备上无法做正常的报文加密和报文解密导致流量中断。当IPsec SA的生存周期快到期时,IPsec隧道的两端通过IKE协商重新建立新的IPsec SA,此时数据流的转发恢复,继续进行通信。但考虑到性能等因素,生存周期通常设置的比较长,造成业务中断时间过长,降低了业务处理效率、进而也降低了用户的业务体验。
发明内容
本发明实施例提供的用于发送报文的方法和网络设备,解决了第一网络设备和第二网络设备之间进行互联网安全IPsec通信,当所述第一网络设备上没有IPsec安全联盟SA,所述第二网络设备上拥有IPsec SA时业务中断时间过长的问题,提高了网络的可靠性和用户的业务体验。
为了解决上述问题,本发明实施例第一方面提供一种用于发送报文的方法,应用于第一网络设备和第二网络设备之间进行互联网安全IPsec通信,且所述第一网络设备上没有IPsec安全联盟SA,所述第二网络设备上拥有IPsec SA的网络场景中,所述方法包括:所述第一网络设备接收来自第二网络设备的加密报文;在所述第一网络设备无法对所述加密报文进行解密的情况下,所述第一网络设备获得特征信息;在所述第一网络设备依据所述特征信息获得与所述特征信息相对应的互联网密钥交换IKE SA的情况下,所述第一网络设备生成信息交换报文,所述信息交换报文指示所述第二网络设备删除所述第二网络设备上的IPsec SA;所述第一网络设备向所述第二网络设备发送所述信息交换报文。
在一种可能的设计中,所述第一网络设备接收来自所述第二网络设备在删除所述IPsec SA之后发送的协商报文,并根据所述协商报文,生成新的IPsec SA对后续收到的加密报文进行解密。
通过所述第一网络设备在无法对所述加密报文进行解密的情况下获得特征信息,并且在依据所述特征信息获得对应的IKE SA的情况下向所述第二网络设备发送所述信息交换报文,触发所述第二网络设备重新发起与所述第一网络设备的新的IPsec SA的协商,而不用等到IPsec SA的生存周期快到期时进行新的IPsec SA协商,从而缩短了业务中断的时间、提高了业务处理效率、提升了用户的体验。
在一种可能的设计中,在所述第一网络设备依据所述特征信息无法获得与所述特征信息相对应的所述IKE SA的情况下,丢弃所述加密报文。
通过丢弃,避免了无用报文在设备里的堆积,节约了设备的存储空间。
在一种可能的设计中,所述特征信息包括IPsec安全参数索引SPI;相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:所述第一网络设备依据所述IPsec SPI与所述IKE SA的映射关系,获得所述IKE SA。
通过IPsec SPI来获得所述IKE SA的方法,使所述第一网络设备能及时、准确地发送信息交换报文,加快了业务恢复的速度。
在一种可能的设计中,所述特征信息包括源IP地址和目的IP地址;相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:所述第一网络设备依据所述源IP地址和所述目的IP地址与所述IKE SA的映射关系,获得所述IKE SA。
通过源IP地址和目的IP地址来获得所述IKE SA信息的方法,在所述第一网络设备不能使用IPsec SPI精确命中IKE SA时,使所述第一网络设备能及时地发送信息交换报文,增强了设备的容错性。
在一种可能的设计中,所述特征信息还包括IKE标识;相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:所述第一网络设备依据所述源IP地址、所述目的IP地址和所述IKE标识与所述IKE SA的映射关系,获得所述IKE SA。
通过源IP地址、目的IP地址和所述IKE标识来获得所述IKE SA信息的方法,在容错性的基础上,又一定程度提高了命中IKE SA的准确性。
在一种可能的设计中,所述特征信息还包括协议号;相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:所述第一网络设备依据所述源IP地址、所述目的IP地址和所述协议号与所述IKE SA的映射关系,获得所述IKE SA。
通过源IP地址、目的IP地址和所述协议号来获得所述IKE SA信息的方法,在容错性的基础上,又进一步提高了命中IKE SA的准确性。
在一种可能的设计中,所述特征信息还包括协议号;相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:所述第一网络设备依据所述源IP地址、所述目的IP地址、所述IKE标识和所述协议号与所述IKE SA的映射关系,获得所述IKE SA。
通过源IP地址、目的IP地址、所述IKE标识和所述协议号来获得所述IKE SA信息的方法,在容错性的基础上,又更进一步提高了命中IKE SA的准确性。
在一种可能的设计中,所述第一网络设备无法对所述加密报文进行解密包括至少下述方式之一:根据所述加密报文中的IPsec安全参数索引SPI无法获得所述IPsec SA;根据所述加密报文中的源IP地址和目的IP地址无法获得所述IPsec SA;以及根据所述加密报文中的所述源IP地址、所述目的IP地址和协议号无法获得所述IPsec SA。
通过两次查找的方式能够增加判断是否能够解密的准确性,第二次查找是对第一次查找结果的校验,可以有效的避免误判。
在一种可能的设计中,所述第一网络设备根据所述目的IP地址与所述IKE标识的映射关系,获得所述IKE标识;所述第一网络设备根据所述目的IP地址和源IP地址与所述IKE标识的映射关系,获得所述IKE标识;所述第一网络设备根据所述目的IP地址、源IP地址和协议号与所述IKE标识的映射关系,获得所述IKE标识;或者所述第一网络设备根据所述目的IP地址、源IP地址、协议号、源端口号和目的端口号与所述IKE标识的映射关系,获得所述IKE标识。
第二方面,本发明提供一种第一网络设备,所述第一网络设备用于执行第一方面或第一方面的任意可能的实现方式中的方法。具体地,所述第一网络设备包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的模块。
第三方面,本发明提供一种第一网络设备,所述第一网络设备包括:处理器、收发器、随机存取存储器、只读存储器以及总线。其中,处理器通过总线分别耦接发送器、随机存取存储器以及只读存储器。其中,当需要运行第一网络设备时,通过固化在只读存储器中的基本输入输出***或者嵌入式***中的bootloader引导***进行启动,引导第一网络设备进入正常运行状态。在第一网络设备进入正常运行状态后,在随机存取存储器中运行应用程序和操作***,使得该处理器执行第一方面或第一方面的任意可能的实现方式中的方法。
第四方面,提供一种第一网络设备,所述第一网络设备包括:中央处理器、转发表项存储器、物理接口网卡、网络转发处理器。所述第一网络设备用于执行第一方面任意可能的实现方式中的方法。具体地,所述第一网络设备包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的模块。
第五方面,本发明提供一种计算机可读介质,包括指令,当其在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其它的附图。
图1a是本发明实施例一种发送报文的应用场景示意图;
图1b是本发明实施例又一种发送报文的应用场景示意图;
图2是本发明实施例中一种用于发送报文的方法的流程示意图;
图3是本发明实施例中一种IKE Header的字段格式示意图;
图4是本发明实施例中一种Delete Payload的字段格式示意图;
图5a是本发明实施例一种第一网络设备的结构示意图;
图5b是本发明实施例另一种第一网络设备的结构示意图;
图5c是本发明实施例又一种第一网络设备的结构示意图;
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方式对本发明实施例作进一步的详细说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在介绍本发明实施例技术方案之前,先对本发明实施例相关的应用场景进行解释说明。本发明应用于在互联网协议(英文:Internet Protocol,IP)网络中通过IPsec进行安全通信的场景中。
IPSec是由国际互联网工程任务组(Internet Engineering Task Force,IETF)制定的用来为支持互联网通信协议第4版(英文:Internet Protocol version 4,Ipv4)和支持互联网通信协议第6版(英文:Internet Protocol version 6,IPv6)提供可互操作的、高质量的、基于加密的安全服务的一套协议。
IPSec提供的安全服务是在IP层提供的,是以标准的方式,对IP层和承载在IP层上的所有协议提供保护。使用IPsec可以保护两个端点之间的通信路径,例如,一对主机之间、一对安全网关之间、一个安全网关与一个主机之间的一条或多条路径。这样IPSec主要用来在互联网(英文:Internet)上构建三层隧道的方式来提供IPSec虚拟专用网(VirtualPrivate Network,VPN)服务,广泛应用在主机、路由器以及安全网关等网络设备上。
IPSec是一个协议族,主要由安全协议、安全协议使用的加密算法和验证算法、以及相关的密钥管理协议构成。IPSec的安全协议有两个:认证头(英文:AuthenticationHeader,AH)和封装安全载荷(英文:Encapsulating Security Payload,ESP),AH和ESP都有两种封装模式:隧道模式和传输模式。密钥管理协议为因特网密钥交换(英文:InternetKey Exchange,IKE)协议。
IPSec通过AH和ESP这两个安全协议来实现安全服务的目标。并且还可以通过IKE协议为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。
与IPsec相关的概念包括数据流、安全联盟(英文:Security Association,SA)、安全策略和隧道等,为了便于对本发明的理解,下面分别简要介绍。
1、数据流
数据流是指由具有相同报文特征值的一组报文构成的流,所述报文特征值包括但不限于:IP报文头中包含的源IP地址、目的IP地址、协议号等;TCP/UDP报文头中包含的源端口号、目的端口号等。该若干个特征值的组合也可以称为N元组(N为大于等于1的正整数),N元组用于标识一条数据流。例如,数据流可以用源IP地址、目的IP地址、协议号、源端口号、目的端口号构成的五元组来标识,也可以用源IP地址、目的IP地址、协议号构成的三元组来标识。IPSec能够对不同的数据流施加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法或密钥。
2、安全联盟(英文:Security Association,SA)
IPSec在两个端点之间提供安全通信,这两个端点被称为IPSec对等体。安全联盟是IPSec对等体之间对某些要素的约定。例如,使用哪种协议(AH、ESP、还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、安全参数索引(Security Parameter Index,SPI)、密码算法、特定数据流中保护数据的共享密钥以及密钥的生存周期等。
安全联盟是单向的。如果有两个主机(A和B)使用ESP进行安全通信,主机A就需要两个SA,一个SA处理外发数据包,另一个SA处理进入的数据包。同样,主机B也需要两个SA。
安全联盟还与协议相关。如果主机A和主机B同时使用AH和ESP进行安全通信,对于主机A就需要四个SA,AH协议的两个SA(出方向和入方向各一个)和ESP协议的两个SA(出方向和入方向各一个)。同样,主机B也需要四个SA。
安全联盟由一个三元组来唯一标识。这个三元组包括:SPI、目的IP地址、安全协议号(AH协议号或ESP协议号)。SPI用于标识具有相同IP地址和相同安全协议的不同SA,是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。SPI可以包括IPsec SPI和IKE SPI,IPsec SPI用于标识一个IPsec SA,IKE SPI用于标识一个IKE SA。
安全联盟具有生存周期。生存周期的计算包括两种方式:
以时间为基准,每隔指定长度的时间就进行更新;
以流量为基准,每传输指定的数据量(字节)就进行更新。
无论哪一种类型的生存周期先到期,安全联盟都会失效。安全联盟快要失效前,IKE将为IPSec协商建立新的安全联盟,这样在旧的安全联盟失效时新的安全联盟就已经准备好。
通常,安全联盟包括IKE SA和IPsec SA。IKE SA负责IPSec SA的建立和维护,起控制作用。IPSec SA负责具体的数据流加密。
3、安全策略(英文:Security Policy)
安全策略是规定对什么样的数据流采用什么样的安全措施,通常由用户手工配置。通过在一个访问控制列表中配置多条规则来实现对数据流的定义,在安全策略中引用这个访问控制列表来确定需要进行保护的数据流。
IPSec端点对于进入或外出的每一份数据报文(即数据包),都可能有三种处理:丢弃、绕过或应用IPSec。第一种处理方式是指数据报文不被处理,只是简单地丢弃。第二种处理方式是指数据报文不需要IPSec保护,而在载荷内增添IP头,然后分发IP数据报文。第三种处理方式是指对数据报文提供IPSec保护,且安全策略必须说明提供的安全服务、应用的协议及使用的算法等。
4、IPsec隧道(英文:tunnel)
IPSec隧道是为了保证IP通信安全,通过在IPsec对等体(或端点)之间建立安全联盟、配置相同的策略,从而建立的一个安全的IP数据包传输的通道,实现了在本端对IP报文加密,在对端解密。
在IKE自动协商IPsec隧道进行通信的场景下,可能出现一种故障场景,例如图1a所示,A端和B端之间建立了IPsec隧道进行正常通信,但此时由于各种原因,引起所述IPsec隧道两端的IKE SA正常工作,所述IPsec隧道一端(如A端)存在IPsec SA,另一端(如B端)不存在IPsec SA。在这种情况下,由于在缺失IPsec SA的B端无法做正常的报文加密和报文解密,会导致所述IPsec隧道无法转发数据流、造成业务中断。引起所述B端原来有IPsec SA,而后来IPsec SA丢失的原因各种各样,例如,对B端网络设备的误操作。
还例如,IPsec隧道使用双机保护的场景。在主设备发生故障的时候,通过虚拟路由冗余协议(英文:Virtual Router Redundancy Protocol,VRRP)实现自动切换,数据流通过备设备转发,保障业务不中断。IPsec SA在主设备协商完成,但对应的IPsec SA协商信息还没有备份到备设备的时候出现主备设备倒换,此时备设备上没有IPsec SA。但倒换前的主设备已经与对端设备完成IPsec隧道协商,而所述对端设备上与主设备之间已经协商完成的IPsec SA是存在的。这样就造成了当网络中的主设备故障时,所述对端设备有IPsecSA,备设备上没有IPSEC SA,没有IPSEC SA的备设备无法完成数据流的加密和解密,导致业务中断。如图1b所示,第一网络设备和第三网络设备之间通过运行VRRP协议形成一个虚拟网络设备(即VRRP备份组,拥有一个虚拟网络IP地址),第一网络设备为备用设备,第三网络设备为主用设备。A端(第二网络设备)和B端(虚拟网络设备)之间建立了IPsec隧道,传送IP数据流,进行安全的通信。在B端的主用设备(第三网络设备)发生故障的时候,通过VRRP协议实现自动切换,数据流通过备用设备转发,从而保障数据流转发不中断。然而,在建立IPsec隧道时,IPsec SA在第二网络设备和主用设备(第三网络设备)上协商完成,当主用设备上的IKE SA信息已经备份到备用设备(第一网络设备)上,而IPsec SA信息还没有备份到备用设备(第一网络设备)上的时候出现主备设备倒换,此时备用设备上还没有IPsec SA。这样就造成了当网络中的主用设备故障时,A端的所述第二网络设备有IPsec SA,备用设备(第一网络设备)上没有IPsec SA(也可以说所述虚拟网络设备上没有IPsec SA),没有IPsec SA的备用设备无法完成数据流的加密和解密,导致所述IPsec隧道无法转发数据流、造成业务中断。
当IPsec SA的生存周期到期前,所述第二网络设备和备用设备之间通过IKE协商重新建立新的IPsec SA,此时数据流的转发恢复,继续通过备用设备进行通信。但这种方式业务的恢复快慢取决于设置的生存周期的长短。因为正常情况下,生存周期设置的太短,会造成频繁的密钥协商,占用设备大量的CPU资源,降低设备的处理性能,所以通常生存周期设置的较长。然而生存周期设置的较长,又会导致业务中断后恢复的时间过长,业务中断时间过长降低了业务处理的效率、也降低了用户的业务体验。
上面描述了本发明涉及的可能的应用场景,下面将基于此对本发明实施例进一步详细说明。
图2为本发明实施例提供的一种发送报文的方法流程示意图。该方法应用于第一网络设备和第二网络设备之间进行互联网安全IPsec通信,且所述第一网络设备上没有IPsec SA,所述第二网络设备上拥有IPsec SA的网络场景中。
在一个示例中,如图1a所示,所述IPsec隧道从A端到B端,B端的第一网络设备上的IPsec SA信息由于误操作等原因丢失,造成所述第一网络设备上没有IPsec SA。
在又一个实例中,如图1b所示,所述IPsec隧道从A端到B端,B端是一个虚拟网络设备,例如通过运行VRRP协议实现对主用设备(第三网络设备)的可靠性保护。当主用设备故障时,如果主用设备上的IPsec SA信息还没有备份到备用设备(所述第一网络设备)上,也会造成所述第一网络设备上没有IPsec SA。
本发明实施例提供的方案包括201、202、203和204部分,下面分别说明。
在201部分,所述第一网络设备接收来自所述第二网络设备的加密报文,对所述加密报文解密。
在一个具体的实施方式中,所述第一网络设备根据所述加密报文中携带的IPsecSPI查找对应IPsec隧道的解密信息,例如,IPsec SA,当查找不到时,则无法进行解密。
在另一个具体的实施方式中,所述第一网络设备根据所述加密报文中携带的源IP地址、目的IP地址、协议号查找对应的IPsec隧道的解密信息,例如,IPsec SA,当查找不到时,则无法进行解密。
在又一个具体的实施方式中,所述第一网络设备首先根据所述加密报文中携带的IPsec SPI查找(第一次查找)对应IPsec隧道的解密信息,例如,IPsec SA;当查找不到时,再继续根据所述加密报文中携带的源IP地址、目的IP地址、协议号查找(第二次查找)对应的IPsec隧道的解密信息;此时,当仍然查找不到时,则确认无法进行解密,当然,如果此时查找到了IPsec隧道的解密信息,则确认可以进行解密。这种两次查找的方式能够增加判断是否能够解密的准确性,第二次查找是对第一次查找结果的校验,可以有效的避免误判。
在202部分,在所述第一网络设备无法对所述加密报文进行解密的情况下,所述第一网络设备获得特征信息。
因为所述第一网络设备上没有IPsec SA(可能的原因参见上文图1a和图1b部分的描述),所以无法对来自第二网络设备的所述加密报文进行相应的IPsec解密。此时,所述第一网络设备根据所述加密报文中携带的信息获取特征信息,所述特征信息与IKE SA有关联关系,用于指示一个IPsec SA,所述第一网络设备根据所述特征信息可以查找到所述特征信息指示的所述IPsec SA所属的IKE SA。所述特征信息可以是IPsec SPI;也可以是源IP地址和目的IP地址,并且进一步包括协议号和/或IKE标识。其中,所述IKE标识用于标识一个网络设备接收IPsec加密报文的入口信息,所述入口信息可以是逻辑接口信息、物理接口信息或者VPN信息。例如,所述IKE标识可以是物理端口标识、逻辑接口的标识、物理接口的接口索引(英文:IFindex)、逻辑接口的接口索引、虚拟专用网(Virtual Private Network,VPN)标识、VPN索引(英文:index)、虚拟路由转发(英文:Virtual Routing Forwarding,VRF)标识(英文:Identifier,ID)等。其中,IKE标识的获取可以有以下几种方式:
1)所述第一网络设备根据所述目的IP地址,查找所述目的IP地址与所述IKE标识的映射关系得到。
2)所述第一网络设备根据所述目的IP地址和源IP地址,查找所述目的IP地址和源IP地址与所述IKE标识的映射关系得到。
3)所述第一网络设备根据所述目的IP地址、源IP地址和协议号,查找所述目的IP地址、源IP地址和协议号与所述IKE标识的映射关系得到。
4)所述第一网络设备根据所述目的IP地址、源IP地址、协议号、源端口号和目的端口号,查找所述目的IP地址、源IP地址、协议号、源端口号和目的端口号与所述IKE标识的映射关系得到。
需要说明的是,在一个具体的实施例中,上述处理都是在所述第一网络设备的转发面(例如,网络设备的接口板卡或转发板卡,执行数据报文的转发相关的功能)进行的。接着,所述第一网络设备的转发面将所述特征信息上送到所述第一网络设备的控制面(例如,网络设备的控制板卡,执行信令协议等控制相关的功能)处理。
所述第一网络设备的控制面针对收到的所述特征信息查找到与之对应的IKE SA信息,所述IKE SA信息包含以下信息中的至少一项:IKE SPI信息、生存周期时间、对应的失效对端检测(英文:Dead Peer Detection,DPD)的探测策略(用于确认对端的IKE SA是否存在的策略)、交换(英文:exchange)密钥信息(即上次交换时存储的秘钥)等。
在一个具体的实施方式中,所述特征信息为IPsec SPI,所述第一网络设备依据所述IPsec SPI与所述IKE SA信息的映射关系(如表1所示),获得所述IKE SA信息。因为IPsecSPI可以精确的代表IPsec隧道,所以用IPsec SPI来获得所述IKE SA信息的方法比较精确,使所述第一网络设备能及时、准确地发送信息交换报文,加快了业务恢复的速度。
表1
| 特征信息 | IKE SA信息 |
| IPsec SPI | IKE SA |
在另一个具体的实施方式中,所述特征信息包括源IP地址和目的IP地址,所述第一网络设备依据所述源IP地址和所述目的IP地址与所述IKE SA信息的映射关系(如表2所示),获得所述IKE SA信息。源IP地址和目的IP地址不能唯一代表IPsec隧道,但当无法使用IPsec SPI获得所述IKE SA信息时,可以用源IP地址和目的IP地址来获得所述IKE SA信息,增强了设备的容错性。
表2
| 特征信息 | IKE SA信息 |
| 源IP地址,目的IP地址 | IKE SA |
在又一个具体的实施方式中,所述特征信息包括源IP地址、目的IP地址和IKE标识,所述第一网络设备依据所述源IP地址、所述目的IP地址和所述IKE标识与所述IKE SA信息的映射关系(如表3所示),获得所述IKE SA信息。这种方式,通过引入所述IKE标识,在容错性的基础上,又一定程度提高了准确性。
表3
| 特征信息 | IKE SA信息 |
| 源IP地址,目的IP地址,IKE标识 | IKE SA |
在又一个具体的实施方式中,所述特征信息包括源IP地址、目的IP地址和协议号,所述第一网络设备依据所述源IP地址、所述目的IP地址和所述协议号与所述IKE SA信息的映射关系(如表4所示),获得所述IKE SA信息。这种方式,通过引入所述协议号,在容错性的基础上,又一定程度提高了准确性。
表4
| 特征信息 | IKE SA信息 |
| 源IP地址,目的IP地址,协议号 | IKE SA |
在又一个具体的实施方式中,所述特征信息包括源IP地址、目的IP地址、IKE标识和协议号,所述第一网络设备依据所述源IP地址、所述目的IP地址、所述IKE标识和所述协议号与所述IKE SA信息的映射关系(如表5所示),获得所述IKE SA信息。这种方式,通过引入所述协议号和所述IKE标识,在容错性的基础上,又进一步提高了准确性。
表5
| 特征信息 | IKE SA信息 |
| 源IP地址,目的IP地址,协议号,IKE标识 | IKE SA |
需要说明的是,上述表1至5所述的任意一项映射关系可以以映射表的形式保存在所述第一网络设备上,可以通过人工的配置建立、运行IKE等协议自动计算生成、或者从其它设备获取,而且该映射关系可以根据实际情况进行更新。
在又一个具体的实施方式中,在所述第一网络设备依据所述特征信息无法获得与所述特征信息相对应的互联网密钥交换IKE SA信息的情况下,丢弃所述加密报文。通过丢弃,避免了无用报文在设备里的堆积,节约了对设备存储空间的占用。
在203部分,在所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA信息的情况下,所述第一网络设备的控制面根据所述IPsec SPI(携带在上述201部分描述的所述加密报文中)生成信息交换(英文:informational exchange)报文,所述信息交换报文指示所述第二网络设备删除所述IPsec SA。
在一个具体实施方式中,所述信息交换报文包含一个标志位和所述IPsec SPI,该标志位用于指示接收到所述信息交换报文的网络设备删除该该网络设备上所述IPsec SPI所对应的IPsec SA。在另一个具体实施方式中,获得了IKE SA信息后,说明IKE协商可以正常工作。在IKE SA协商操作的过程中,IPsec对等体之间需要传递一些特定情况下的错误或通告之类的控制消息,为此,IKE定义了所述信息交换报文。IKE定义的的IKE报文头(英文:IKE Header)格式如图3所示,包括IKE发起端的SPI(英文:IKE SA Initiator’s SPI)字段、IKE响应端的SPI(英文:IKE SA Responder’s SPI)字段、下一个载荷(英文:Next Payload)字段、主要版本(英文:Major Version,MjVer)字段、少数版本(英文:Minor Version,MnVer)、交换类型(英文:Exchange Type)字段、标志(英文:Flags)字段、消息标识(英文:Message ID)字段、长度(英文:Length)字段。
其中,例如,所述第一网络设备将所述Exchange Type字段的值设置为37,代表此报文为信息交换报文,并将所述Next Payload字段的值设置为42,代表在IKE Header后面携带的是一个删除载荷(英文:Delete Payload)。
该Delete Payload字段的格式如图4所示,包括:Next Payload字段、C字段、保留(英文:RESERVED)字段、载荷长度(英文:Payload Length)字段、协议标识(英文:ProtocolID)字段、SPI尺寸(英文:Size)字段、SPI数量(英文:Num of SPIs)字段和SPI(es)字段。所述SPI(es)字段携带上述IPsec SPI。所述信息交换报文用于通告所述第二网络设备将与所述IPsec SPI相对应的IPsec SA删除。
需要说明的是,本发明中有关信息交换报文的细节,请参考国际互联网工程任务组(Internet Engineering Task Force,IETF)发布的征求意见(英文:Request ForComments,RFC)7296,该文档与此相关部分的内容好像整体复制一般以引入的方式并入本文本中,此处为了简洁,不再赘述。
还需要说明的是,IPsec SA和IPsec SA信息在本发明的各个实施例中是同一个意思,可以互相使用。同理,IKE SA和IKE SA信息也可以互相使用。本发明说明书中所述的第一网络设备中的“第一”、第二网络设备中的“第二”和第三网络设备中的“第三”仅仅用于区分不同的网络设备。在本发明的实施例举例中,第二网络设备作为IPsec加密报文的发送端,第一网络设备和第二网络设备作为IPsec加密报文的接收端。
在204部分,所述第一网络设备向所述第二网络设备发送所述信息交换报文。
在一个具体的实施例中,发送所述信息交换报文的可参考上面203部分以及IETF定义的IKE SA协商过程,为了简洁,此处不再赘述。
所述第二网络设备收到所述信息交换报文后,根据所述信息交换报文中携带的所述IPsec SPI找到与所述IPsec SPI相对应的IPsec SA,并将其删除。所述第二网络设备没有了IPsec SA,则会发起新一轮的IPsec SA的协商。所述第二网络设备向所述第一网络设备发送协商报文,所述协商报文用于协商所述新的IPsec SA。
所述第二网络设备接收来自所述第二网络设备在删除所述IPsec SA之后发送的协商报文,并根据所述协商报文,生成所述新的IPsec SA,用所述新的IPsec SA对后续收到的加密报文进行解密。
通过及时、自动地触发所述第二网络设备重新发起与所述第一网络设备的新的IPsec SA的协商,从而缩短了业务中断的时间、提高了业务处理效率、提升了用户的体验。
图5a示出了上述实施例中所涉及的第一网络设备的一种可能的结构示意图。第一网络设备500A包括:中央处理器510、转发表项存储器511、物理接口网卡513、网络转发处理器512和加解密处理器514。控制面执行信令协议等控制相关的功能,转发面执行数据报文的转发相关的功能。在多板卡的设备结构下,控制面是指一块独立的主控板卡,该主控板卡上包括所述中央处理器510;转发面是指一块独立的转发板卡或接口板卡,该转发板卡上包括转发表项存储器511、物理接口网卡513、网络转发处理器512和加解密处理器514。在单板卡的设备结构下,转发面和控制面集成在一块板卡上,包括执行控制管理功能的中央处理器510和执行转发面功能的转发表项存储器511、物理接口网卡513、网络转发处理器512和加解密处理器514。
当第一网络设备500A从物理接口网卡513收到所述第二网络设备发来的加密报文,物理接口网卡513将所述加密报文送到网络转发处理器512,网络转发处理器512根据所述加密报文中的特征信息(与上文图2部分的有关特征信息的相关描述一致,请参考,此处不再赘述)从转发表项存储器511中找不到对应的IPsec SA时(即为无法解密),网络转发处理器512将所述加密报文上送控制面的中央处理器510,中央处理器510根据协商信息构造信息交换报文(携带所述IPsec SPI),并发送给所述第二网络设备,通知所述第二网络设备删除所述IPsec SPI对应的IPsec SA,并重新发起协商创建新的IPsec SA。中央处理器510具体执行上面图2中203部分的功能步骤,网络转发处理器512具体执行上述图2中201、202、204部分的功能步骤,可参考上面相关描述,此处不再赘述。
当第一网络设备500A从物理接口网卡513收到所述第二网络设备发来的新的加密报文,物理接口网卡513将所述新的加密报文送到网络转发处理器512,网络转发处理器512根据所述新的加密报文的特征信息从转发表项存储器511中找到对应的IPsecSA时,网络转发处理器512将所述新的加密报文发送到加解密处理器514进行解密处理,解密后发送到网络转发处理器512,网络转发处理器512根据所述解密后的报文的目的IP查找转发表项存储器511中的转发表进行转发。
本实施例的第一网络设备500A可对应于上述图1a至图4所对应的实施例中的第一网络设备,该第一网络设备500A中的中央处理器510、转发表项存储器511、物理接口网卡513、网络转发处理器512等可以实现图1a至图4所对应的实施例中的第一网络设备所具有的功能和/或所实施的各种步骤,中央处理器510具体执行上面图2中203部分的功能步骤,网络转发处理器512、转发表项存储器511、物理接口网卡513具体执行上述图2中201、202、204部分的功能步骤。详细内容可参考上面相关描述,为了简洁,在此不再赘述。
需要说明的是,在一种可能的设计中,应用于基于控制转发分离的软件定义网络(英文:Software Defined Network,SDN)架构中。所述第一网络设备500A控制面的功能与转发面的功能分离到两个独立的网络设备中,例如,控制器和转发设备。所述控制器包括中央处理器510,所述转发设备包括转发表项存储器511、物理接口网卡513、网络转发处理器512和加解密处理器514等。相应地,上述各器件(中央处理器510、转发表项存储器511、物理接口网卡513、网络转发处理器512和加解密处理器514)分别执行上面图5a中相应各器件所执行的功能和作用,详细内容可参考上面相关描述,为了简洁,在此不再赘述。
图5b示出了上述实施例中所涉及的第一网络设备的又一种可能的结构示意图。第一网络设备500B应用于所述第一网络设备和第二网络设备之间进行互联网安全IPsec通信,且所述第一网络设备上没有IPsec安全联盟SA,所述第二网络设备上拥有IPsec SA的网络场景中,所述第一网络设备包括:处理单元504B、接收单元502B和发送单元506B。
接收单元502B用于接收来自第二网络设备的加密报文。
处理单元504B用于在所述处理单元504B无法对所述加密报文进行解密的情况下,获得特征信息。
其中,所述处理单元504B无法对所述加密报文进行解密包括以下几种情况:
1)所述处理单元504B根据所述加密报文中的IPsec SPI无法获得所述IPsec SA;
2)所述处理单元504B根据所述加密报文中的源IP地址和目的IP地址无法获得所述IPsec SA;
3)所述处理单元504B根据所述加密报文中的所述源IP地址、所述目的IP地址和协议号无法获得所述IPsec SA;或
4)所述处理单元504B根据所述加密报文中的所述IPsec SPI无法获得所述IPsecSA,并且根据所述加密报文中的所述源IP地址、所述目的IP地址和所述协议号也无法获得所述IPsec SA。
在所述处理单元504B依据所述特征信息获得与所述特征信息相对应的IKE SA的情况下,所述处理单元504B还用于生成信息交换报文,所述信息交换报文指示所述第二网络设备删除所述第二网络设备上的IPsec SA。发送单元506B用于向所述第二网络设备发送所述信息交换报文。
在所述处理单元504B依据所述特征信息无法获得与所述特征信息相对应的所述IKE SA的情况下,所述处理单元504B还用于丢弃所述加密报文。
其中,所述处理单元504B依据所述特征信息获得与所述特征信息相对应的IKE SA可以包括以下几种可能的实现方式:
1)所述特征信息包括IPsec安全参数索引SPI。所述处理单元504B依据所述IPsecSPI与所述IKE SA的映射关系,获得所述IKE SA。
2)所述特征信息包括源IP地址和目的IP地址。所述处理单元504B依据所述源IP地址和所述目的IP地址与所述IKE SA的映射关系,获得所述IKE SA。
3)所述特征信息包括源IP地址、目的IP地址和IKE标识。所述处理单元504B依据所述源IP地址、所述目的IP地址和所述IKE标识与所述IKE SA的映射关系,获得所述IKE SA。
4)所述特征信息包括源IP地址、目的IP地址和协议号。所述处理单元504B依据所述源IP地址、所述目的IP地址和所述协议号与所述IKE SA的映射关系,获得所述IKE SA。
5)所述特征信息包括源IP地址、目的IP地址、IKE标识和协议号。所述处理单元504B依据所述源IP地址、所述目的IP地址、IKE标识和所述协议号与所述IKE SA的映射关系,获得所述IKE SA。
其中,所述处理单元504B还用于根据所述目的IP地址与所述IKE标识的映射关系,获得所述IKE标识。
所述接收单元502B,还用于接收来自所述第二网络设备在删除所述IPsec SA之后发送的协商报文。
所述处理单元504B,还用于根据所述协商报文,生成新的IPsec SA对后续收到的加密报文进行解密。
本发明实施例的第一网络设备500B可对应于上述发送报文的方法实施例中的第一网络设备,并且,该第一网络设备500B中的各模块和上述其他操作和/或功能分别为了实现图1a至图4所对应的实施例中的第一网络设备所实施的各种步骤和方法,所述处理单元504B具体执行上面图2中202、203部分的功能步骤,接收单元502B具体执行上述图2中201部分的功能步骤,发送单元506B具体执行上述图2中204部分的功能步骤。详细内容可参考上面相关描述,为了简洁,在此不再赘述。
图5c示出了上述实施例中所涉及的第一网络设备的再一种可能的结构示意图。第一网络设备500C包括:收发器510C、处理器520C、随机存取存储器540C、只读存储器550C以及总线560C。其中,处理器520C通过总线560C分别耦接收发器510C、随机存取存储器540C以及只读存储器550C。其中,当需要运行第一网络设备500C时,通过固化在只读存储器550C中的基本输入输出***或者嵌入式***中的bootloader引导***进行启动,引导第一网络设备500C进入正常运行状态。在第一网络设备500C进入正常运行状态后,在随机存取存储器540C中运行应用程序和操作***,使得:
收发器510C用于接收来自第二网络设备的加密报文。处理器520C用于在所述处理器520C无法对所述加密报文进行解密的情况下,获得特征信息。在所述处理器520C依据所述特征信息获得与所述特征信息相对应的IKE SA的情况下,所述处理器520C还用于生成信息交换报文,所述信息交换报文指示所述第二网络设备删除所述第二网络设备上的IPsecSA。收发器510C还用于向所述第二网络设备发送所述信息交换报文。
在所述处理器520C依据所述特征信息无法获得与所述特征信息相对应的所述IKESA的情况下,所述处理器520C还用于丢弃所述加密报文。
所述收发器510C,还用于接收来自所述第二网络设备在删除所述IPsec SA之后发送的协商报文。
所述处理器520C,还用于根据所述协商报文,生成新的IPsec SA对后续收到的加密报文进行解密。
本发明实施例的第一网络设备500C可对应于上述图1a至图4所对应的实施例中的第一网络设备,并且,该第一网络设备500C中的处理器520C、收发器510C等可以实现图1a至图4所对应的实施例中的第一网络设备所具有的功能和/或所实施的各种步骤和方法。所述处理器520C用于执行图5b所述第一网络设备的处理单元504B的所有操作,所述收发器510C用于执行图5b所述第一网络设备的接收单元502B和发送单元506B的所有操作。所述处理器520C具体执行上面图2中202、203部分的功能步骤,收发器510C具体执行上述图2中201和204部分的功能步骤。详细内容可参考上面相关描述,为了简洁,在此不再赘述。
需要说明的是,本实施例也可以基于通用的物理服务器结合网络功能虚拟化(英文:Network Function Virtualization,NFV)技术实现的第一网络设备,所述第一网络设备为虚拟第一网络设备(如,虚拟路由器或虚拟交换机)。所述虚拟第一网络设备可以是运行有用于发送报文功能的程序的虚拟机(英文:Virtual Machine,VM),所述虚拟机部署在硬件设备上(例如,物理服务器)。虚拟机指通过软件模拟的具有完整硬件***功能的、运行在一个完全隔离环境中的完整计算机***。本领域技术人员通过阅读本申请即可结合NFV技术在通用物理服务器上虚拟出具有上述功能的多个第一网络设备。此处不再赘述。
应理解,本领域技术人员在阅读本申请文件的基础上,可以针对本申请实施例中所描述的可选的特征、步骤或方法进行不需要付出创造性的组合,都属于本申请公开的实施例,只是由于描述或行文的简单没有重复赘述不同组合。
应理解,本领域技术人员在阅读本申请文件的基础上,可以针对本申请实施例中所描述的可选的特征、步骤或方法进行不需要付出创造性的组合,都属于本申请公开的实施例,只是由于描述或行文的简单没有重复赘述不同组合。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (20)
1.一种发送报文的方法,其特征在于,应用于第一网络设备和第二网络设备之间进行互联网安全IPsec通信,且所述第一网络设备上没有IPsec安全联盟SA,所述第二网络设备上拥有IPsec SA的网络场景中,所述方法包括:
所述第一网络设备接收来自第二网络设备的加密报文;
在所述第一网络设备无法对所述加密报文进行解密的情况下,所述第一网络设备获得特征信息;
在所述第一网络设备依据所述特征信息获得与所述特征信息相对应的互联网密钥交换IKE SA的情况下,所述第一网络设备生成信息交换报文,所述信息交换报文指示所述第二网络设备删除所述第二网络设备上的IPsec SA;
所述第一网络设备向所述第二网络设备发送所述信息交换报文。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述第一网络设备接收来自所述第二网络设备在删除所述IPsec SA之后发送的协商报文,并根据所述协商报文,生成新的IPsec SA对后续收到的加密报文进行解密。
3.根据权利要求1所述的方法,其特征在于,还包括:
在所述第一网络设备依据所述特征信息无法获得与所述特征信息相对应的所述IKESA的情况下,丢弃所述加密报文。
4.根据权利要求1至3任一所述的方法,其特征在于,所述特征信息包括IPsec安全参数索引SPI;
相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述第一网络设备依据所述IPsec SPI与所述IKE SA的映射关系,获得所述IKE SA。
5.根据权利要求1至3任一所述的方法,其特征在于,所述特征信息包括源IP地址和目的IP地址;
相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述第一网络设备依据所述源IP地址和所述目的IP地址与所述IKE SA的映射关系,获得所述IKE SA。
6.根据权利要求5所述的方法,其特征在于,所述特征信息还包括IKE标识;
相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述第一网络设备依据所述源IP地址、所述目的IP地址和所述IKE标识与所述IKE SA的映射关系,获得所述IKE SA。
7.根据权利要求5所述的方法,其特征在于,所述特征信息还包括协议号;
相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述第一网络设备依据所述源IP地址、所述目的IP地址和所述协议号与所述IKE SA的映射关系,获得所述IKE SA。
8.根据权利要求6所述的方法,其特征在于,所述特征信息还包括协议号;
相应地,所述第一网络设备依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述第一网络设备依据所述源IP地址、所述目的IP地址、所述IKE标识和所述协议号与所述IKE SA的映射关系,获得所述IKE SA。
9.根据权利要求1至3任一所述的方法,其特征在于,所述第一网络设备无法对所述加密报文进行解密包括至少下述方式之一:
根据所述加密报文中的IPsec安全参数索引SPI无法获得所述IPsec SA;
根据所述加密报文中的源IP地址和目的IP地址无法获得所述IPsec SA;以及
根据所述加密报文中的所述源IP地址、所述目的IP地址和协议号无法获得所述IPsecSA。
10.一种网络设备,用作第一网络设备,其特征在于,应用于所述第一网络设备和第二网络设备之间进行互联网安全IPsec通信,且所述第一网络设备上没有IPsec安全联盟SA,所述第二网络设备上拥有IPsec SA的网络场景中,所述第一网络设备包括:
接收单元,用于接收来自第二网络设备的加密报文;
处理单元,用于在所述处理单元无法对所述加密报文进行解密的情况下,获得特征信息;
所述处理单元,还用于在所述处理单元依据所述特征信息获得与所述特征信息相对应的互联网密钥交换IKE SA的情况下,生成信息交换报文,所述信息交换报文指示所述第二网络设备删除所述第二网络设备上的IPsec SA;
发送单元,用于向所述第二网络设备发送所述信息交换报文。
11.根据权利要求10所述的网络设备,其特征在于,
所述接收单元,还用于接收来自所述第二网络设备在删除所述IPsec SA之后发送的协商报文;
所述处理单元,还用于根据所述协商报文,生成新的IPsec SA对后续收到的加密报文进行解密。
12.根据权利要求10所述的网络设备,其特征在于,
所述处理单元,还用于在所述处理单元依据所述特征信息无法获得与所述特征信息相对应的所述IKE SA的情况下,丢弃所述加密报文。
13.根据权利要求10至12任一所述网络设备,其特征在于,所述特征信息包括IPsec安全参数索引SPI;
相应地,所述处理单元依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述处理单元依据所述IPsec SPI与所述IKE SA的映射关系,获得所述IKE SA。
14.根据权利要求10至12任一所述的网络设备,其特征在于,所述特征信息包括源IP地址和目的IP地址;
相应地,所述处理单元依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述处理单元依据所述源IP地址和所述目的IP地址与所述IKE SA的映射关系,获得所述IKE SA。
15.根据权利要求14所述的网络设备,其特征在于,所述特征信息还包括IKE标识;
相应地,所述处理单元依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述处理单元依据所述源IP地址、所述目的IP地址和所述IKE标识与所述IKE SA的映射关系,获得所述IKE SA。
16.根据权利要求14所述的网络设备,其特征在于,所述特征信息还包括协议号;
相应地,所述处理单元依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述处理单元依据所述源IP地址、所述目的IP地址和所述协议号与所述IKE SA的映射关系,获得所述IKE SA。
17.根据权利要求15所述的网络设备,其特征在于,所述特征信息还包括协议号;
相应地,所述处理单元依据所述特征信息获得与所述特征信息相对应的IKE SA包括:
所述处理单元依据所述源IP地址、所述目的IP地址、所述IKE标识和所述协议号与所述IKE SA的映射关系,获得所述IKE SA。
18.根据权利要求10所述的网络设备,其特征在于,所述处理单元无法对所述加密报文进行解密包括至少下述方式之一:
所述处理单元根据所述加密报文中的IPsec安全参数索引SPI无法获得所述IPsec SA;
所述处理单元根据所述加密报文中的源IP地址和目的IP地址无法获得所述IPsec SA;以及
所述处理单元根据所述加密报文中的所述源IP地址、所述目的IP地址和协议号无法获得所述IPsec SA。
19.一种网络设备,用作第一网络设备,其特征在于,应用于所述第一网络设备和第二网络设备之间进行互联网安全IPsec通信,且所述第一网络设备上没有IPsec安全联盟SA,所述第二网络设备上拥有IPsec SA的网络场景中,所述第一网络设备包括:
收发器,用于接收来自第二网络设备的加密报文;
处理器,用于在所述处理器无法对所述加密报文进行解密的情况下,获得特征信息;
所述处理器,还用于在所述处理器依据所述特征信息获得与所述特征信息相对应的互联网密钥交换IKE SA的情况下,生成信息交换报文,所述信息交换报文指示所述第二网络设备删除所述第二网络设备上的IPsec SA;
所述收发器,还用于向所述第二网络设备发送所述信息交换报文。
20.一种计算机可读介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1至9任意一项所述的方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710653308.XA CN107682284B (zh) | 2017-08-02 | 2017-08-02 | 发送报文的方法和网络设备 |
| EP18840991.6A EP3605976B1 (en) | 2017-08-02 | 2018-08-02 | Message sending method and network device |
| EP21151212.4A EP3866434B1 (en) | 2017-08-02 | 2018-08-02 | Message sending method and network device |
| PCT/CN2018/098212 WO2019024880A1 (zh) | 2017-08-02 | 2018-08-02 | 发送报文的方法和网络设备 |
| US16/710,993 US11277391B2 (en) | 2017-08-02 | 2019-12-11 | Packet sending method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710653308.XA CN107682284B (zh) | 2017-08-02 | 2017-08-02 | 发送报文的方法和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107682284A CN107682284A (zh) | 2018-02-09 |
| CN107682284B true CN107682284B (zh) | 2021-06-01 |
Family
ID=61135001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710653308.XA Active CN107682284B (zh) | 2017-08-02 | 2017-08-02 | 发送报文的方法和网络设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11277391B2 (zh) |
| EP (2) | EP3866434B1 (zh) |
| CN (1) | CN107682284B (zh) |
| WO (1) | WO2019024880A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682284B (zh) * | 2017-08-02 | 2021-06-01 | 华为技术有限公司 | 发送报文的方法和网络设备 |
| US11233778B2 (en) * | 2018-08-15 | 2022-01-25 | Juniper Networks, Inc. | Secure forwarding of tenant workloads in virtual networks |
| US11329966B2 (en) | 2018-08-15 | 2022-05-10 | Juniper Networks, Inc. | System and method for transferring packets between kernel modules in different network stacks |
| CN109802954A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种用于数据传输中对IPSec SA进行删除的方法及装置 |
| US11196726B2 (en) | 2019-03-01 | 2021-12-07 | Cisco Technology, Inc. | Scalable IPSec services |
| US11368298B2 (en) | 2019-05-16 | 2022-06-21 | Cisco Technology, Inc. | Decentralized internet protocol security key negotiation |
| US20200403922A1 (en) * | 2019-06-24 | 2020-12-24 | Vmware, Inc. | Load balancing of l2vpn traffic over multiple ipsec vpn tunnels |
| US11277343B2 (en) | 2019-07-17 | 2022-03-15 | Vmware, Inc. | Using VTI teaming to achieve load balance and redundancy |
| CN110365570B (zh) * | 2019-07-19 | 2021-05-28 | 杭州迪普科技股份有限公司 | IPSec流量转发方法、装置、电子设备 |
| CN112787803B (zh) * | 2019-11-01 | 2023-01-13 | 华为技术有限公司 | 一种安全通信的方法和设备 |
| US11509638B2 (en) | 2019-12-16 | 2022-11-22 | Vmware, Inc. | Receive-side processing for encapsulated encrypted packets |
| CN113438094B (zh) * | 2020-03-23 | 2022-12-13 | 华为技术有限公司 | 一种自动更新手工配置IPSec SA的方法和设备 |
| US11463277B2 (en) | 2020-04-07 | 2022-10-04 | Cisco Technology, Inc. | Dead peer detection across split control plane nodes and data plane nodes of a tunneled communication session |
| CN113691490A (zh) * | 2020-05-19 | 2021-11-23 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
| CN111614692B (zh) * | 2020-05-28 | 2021-06-08 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的入站报文处理方法及装置 |
| CN112235261B (zh) * | 2020-09-26 | 2023-04-07 | 建信金融科技有限责任公司 | 报文加密与解密方法、装置、电子设备及可读存储介质 |
| CN114553633B (zh) * | 2020-11-10 | 2023-06-02 | 华为技术有限公司 | 隧道协商方法及装置 |
| WO2022112646A1 (en) * | 2020-11-25 | 2022-06-02 | Nokia Solutions And Networks Oy | Method and apparatus for reducing redundancy of internet security |
| US11652747B2 (en) | 2020-12-11 | 2023-05-16 | Cisco Technology, Inc. | Maintaining quality of service treatment of packets using security parameter index values |
| US11388225B1 (en) | 2020-12-11 | 2022-07-12 | Cisco Technology, Inc. | Load balancing based on security parameter index values |
| CN113572766A (zh) * | 2021-07-23 | 2021-10-29 | 南方电网数字电网研究院有限公司 | 电力数据传输方法和*** |
| US11991069B2 (en) | 2022-08-11 | 2024-05-21 | Cisco Technology, Inc. | Dynamic aggregate ID based flow metrics aggregation |
| CN117254976B (zh) * | 2023-11-15 | 2024-03-19 | 杭州海康威视数字技术股份有限公司 | 基于VPP的国标IPsec VPN实现方法、装置、***及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845549A (zh) * | 2006-05-17 | 2006-10-11 | 杭州华为三康技术有限公司 | 一种查询IPSec隧道状态的方法 |
| CN101252517A (zh) * | 2007-02-20 | 2008-08-27 | 株式会社理光 | 通信装置、通信方法以及程序 |
| CN102055733A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及*** |
| CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和*** |
| CN103107950A (zh) * | 2013-01-28 | 2013-05-15 | 杭州华三通信技术有限公司 | 一种删除因特网协议安全安全联盟的方法和设备 |
| CN103716196A (zh) * | 2012-09-28 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种网络设备及探测方法 |
| CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2389282B (en) * | 2002-05-30 | 2004-06-30 | Ericsson Telefon Ab L M | Method and apparatus for recovering from the failure and/or reset of an IKE node |
| US7797607B2 (en) * | 2005-12-27 | 2010-09-14 | Lg Electronics, Inc. | DTV transmitter and method of coding main and enhanced data in DTV transmitter |
| JP2015177430A (ja) * | 2014-03-17 | 2015-10-05 | 日本電気株式会社 | トンネルエンドポイント装置、通信装置、通信システム、通信方法及びプログラム |
| CN107682284B (zh) * | 2017-08-02 | 2021-06-01 | 华为技术有限公司 | 发送报文的方法和网络设备 |
-
2017
- 2017-08-02 CN CN201710653308.XA patent/CN107682284B/zh active Active
-
2018
- 2018-08-02 EP EP21151212.4A patent/EP3866434B1/en active Active
- 2018-08-02 WO PCT/CN2018/098212 patent/WO2019024880A1/zh unknown
- 2018-08-02 EP EP18840991.6A patent/EP3605976B1/en active Active
-
2019
- 2019-12-11 US US16/710,993 patent/US11277391B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845549A (zh) * | 2006-05-17 | 2006-10-11 | 杭州华为三康技术有限公司 | 一种查询IPSec隧道状态的方法 |
| CN101252517A (zh) * | 2007-02-20 | 2008-08-27 | 株式会社理光 | 通信装置、通信方法以及程序 |
| CN102055733A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及*** |
| CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和*** |
| CN103716196A (zh) * | 2012-09-28 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种网络设备及探测方法 |
| CN103107950A (zh) * | 2013-01-28 | 2013-05-15 | 杭州华三通信技术有限公司 | 一种删除因特网协议安全安全联盟的方法和设备 |
| CN106487802A (zh) * | 2016-11-07 | 2017-03-08 | 杭州迪普科技股份有限公司 | 基于DPD协议的IPSec SA的异常探测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| Internet Key Exchange Protocol Version 2(IKEv2);C.KAUFMAN等;《IETF》;20141031;第1.4节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US11277391B2 (en) | 2022-03-15 |
| EP3605976A4 (en) | 2020-04-15 |
| EP3866434B1 (en) | 2022-02-23 |
| US20200120078A1 (en) | 2020-04-16 |
| WO2019024880A1 (zh) | 2019-02-07 |
| CN107682284A (zh) | 2018-02-09 |
| EP3605976B1 (en) | 2021-02-24 |
| EP3605976A1 (en) | 2020-02-05 |
| EP3866434A1 (en) | 2021-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107682284B (zh) | 发送报文的方法和网络设备 | |
| US10616379B2 (en) | Seamless mobility and session continuity with TCP mobility option | |
| US11038846B2 (en) | Internet protocol security tunnel maintenance method, apparatus, and system | |
| US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
| US20170063808A1 (en) | Systems and methods for offloading ipsec processing to an embedded networking device | |
| US7630364B2 (en) | Securely managing network element state information in transport-layer associations | |
| US20140095862A1 (en) | Security association detection for internet protocol security | |
| US11711367B2 (en) | Continuing a media access control security (MACsec) key agreement (MKA) session upon a network device becoming temporarily unavailable | |
| CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| CN113852552B (zh) | 一种网络通讯方法、***与存储介质 | |
| CN112887312B (zh) | 一种慢协议报文处理方法及相关装置 | |
| CN109150925B (zh) | IPoE静态认证方法及*** | |
| KR101971995B1 (ko) | 보안을 위한 보안 소켓 계층 복호화 방법 | |
| JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
| JP2017208718A (ja) | 通信装置および通信方法 | |
| US11496438B1 (en) | Methods for improved network security using asymmetric traffic delivery and devices thereof | |
| KR101730405B1 (ko) | 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티 | |
| CN110519253B (zh) | 拟态防御中的虚拟专用网拟态方法 | |
| US20230261990A1 (en) | Methods for exchanging content routing information in exclusive path routing overlay network | |
| WO2023179174A1 (zh) | 一种报文传输方法及相关设备 | |
| EP4221078A1 (en) | Packet processing method and apparatus | |
| CN111327394A (zh) | 一种报文发送方法及装置 | |
| JP2004048586A (ja) | ネットワーク通信システム、ネットワーク通信方法及び認証ラベルサーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |