国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于IPsec的DPD探測(cè)方法和設(shè)備的制作方法

      文檔序號(hào):7864222閱讀:2316來源:國知局
      專利名稱:一種基于IPsec的DPD探測(cè)方法和設(shè)備的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其是涉及一種基于IPsec (IP Security, IP安全)的DPD (Dead Peer Detection,死亡對(duì)端檢測(cè))探測(cè)方法和設(shè)備。
      背景技術(shù)
      IPsec是三層隧道加密協(xié)議,是實(shí)現(xiàn)三層VPN (Virtual Private Network,虛擬專用網(wǎng)絡(luò))的安全技術(shù),且IPsec在兩個(gè)端點(diǎn)之間提供安全通信,兩個(gè)端點(diǎn)被稱為IPsec對(duì)等體,分別為IPsec發(fā)起方和IPsec響應(yīng)方;進(jìn)一步的,IPsec用于在IP層提供以下安全服務(wù)
      (I)數(shù)據(jù)機(jī)密性=IPsec發(fā)送方在通過網(wǎng)絡(luò)傳輸報(bào)文前對(duì)報(bào)文進(jìn)行加密;(2)數(shù)據(jù)完整性IPsec響應(yīng)方對(duì)接收?qǐng)?bào)文進(jìn)行認(rèn)證,以確保報(bào)文在傳輸過程中沒有被篡改;(3)數(shù)據(jù)來源認(rèn)證IPsec響應(yīng)方可以認(rèn)證發(fā)送IPsec報(bào)文的IPsec發(fā)送方是否合法;(4)防重放IPsec響應(yīng)方可以檢測(cè)并拒絕接收過時(shí)或者重復(fù)的報(bào)文。為了實(shí)現(xiàn)上述安全服務(wù),IPsec提供了認(rèn)證和加密等兩種安全機(jī)制;認(rèn)證機(jī)制使IP通信的響應(yīng)方能夠確認(rèn)報(bào)文發(fā)送方的真實(shí)身份以及報(bào)文在傳輸過程中是否遭篡改;加密機(jī)制通過對(duì)報(bào)文進(jìn)行加密運(yùn)算來保證報(bào)文的機(jī)密性,防止報(bào)文在傳輸過程中被竊聽。此外,SA(Security Association,安全聯(lián)盟)是IPsec對(duì)等體之間對(duì)某些要素的約定;如使用哪種協(xié)議(AH(Authentication Header,驗(yàn)證頭)、ESP(Encapsulating SecurityPayload,封裝安全載荷)等)、使用哪種協(xié)議封裝模式(傳輸模式、隧道模式等)、使用哪種加密算法等;進(jìn)一步的,IPsec對(duì)等體之間可以通過IKE (Internet Key Exchange, Internet密鑰交換)協(xié)商建立SA信息,如圖I所示,為IPsec與IKE的關(guān)系示意圖;IKE通過以下階段為IPsec進(jìn)行密鑰協(xié)商并建立SA ;第一階段,IPsec發(fā)起方和IPsec響應(yīng)方之間建立一個(gè)ISAKMP (Internet Security Association and Key Management Protocol, Internet 安全關(guān)聯(lián)和密鑰管理協(xié)議)SA,該SA為用于進(jìn)行IKE協(xié)商的SA (簡稱為IKE SA);第二階段,利用第一階段的IKE SA為IPsec協(xié)商具體的SA,該SA為用于IP數(shù)據(jù)安全傳輸?shù)腟A (簡稱為 IPsec SA)ο為了在IPsec對(duì)等體之間建立IPsec會(huì)話,IPsec對(duì)等體之間需要有IP連接性,但由于路由選擇、對(duì)等體重啟等原因,IPsec對(duì)等體之間可能失去了 IP連接性,從而導(dǎo)致IPsec會(huì)話的一端繼續(xù)向不可達(dá)的IPsec對(duì)端發(fā)送進(jìn)行加密操作的數(shù)據(jù)流,浪費(fèi)了 CPU(Central Processing Unit,中央處理單兀)資源。

      發(fā)明內(nèi)容
      本發(fā)明實(shí)施例提供一種基于IPsec的DH)探測(cè)方法和設(shè)備,以及時(shí)獲知IPsec對(duì)端是否存在,并節(jié)省CPU資源。為了達(dá)到上述目的,本發(fā)明實(shí)施例提供一種基于IPsec的DTO探測(cè)方法,應(yīng)用于包括探測(cè)方設(shè)備和被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,該方法包括
      在所述探測(cè)方設(shè)備上存在多個(gè)IKE SA時(shí),所述探測(cè)方設(shè)備選擇所述多個(gè)IKE SA中最后協(xié)商的IKE SA,通過選擇的IKE SA對(duì)DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理,并將加密處理后的Dro探測(cè)請(qǐng)求報(bào)文發(fā)送給所述被探測(cè)方設(shè)備;
      如果所述探測(cè)方設(shè)備接收到所述被探測(cè)方設(shè)備返回的經(jīng)過IKE SA加密處理的Dro探測(cè)響應(yīng)報(bào)文,則利用自身存在的IKE SA對(duì)所述Dro探測(cè)響應(yīng)報(bào)文進(jìn)行解密處理;如果解密成功,則確定所述被探測(cè)方設(shè)備存在;如果解密不成功或者所述探測(cè)方設(shè)備沒有接收到所述被探測(cè)方設(shè)備返回的Dro探測(cè)響應(yīng)報(bào)文,則確定所述被探測(cè)方設(shè)備不存在。所述方法進(jìn)一步包括所述探測(cè)方設(shè)備在將加密處理后的Dro探測(cè)請(qǐng)求報(bào)文發(fā)送給所述被探測(cè)方設(shè)備后,為所述Dro探測(cè)請(qǐng)求報(bào)文啟動(dòng)重傳定時(shí)器;
      所述探測(cè)方設(shè)備在解密成功時(shí),檢查所述Dro探測(cè)響應(yīng)報(bào)文的合法性;如果合法性檢查通過,則停止所述重傳定時(shí)器,確定所述被探測(cè)方設(shè)備存在;
      所述探測(cè)方設(shè)備在合法性檢查不通過、或解密不成功、或沒有接收到Dro探測(cè)響應(yīng)報(bào)文時(shí),如果所述重傳定時(shí)器超時(shí),則向所述被探測(cè)方設(shè)備重新發(fā)送加密處理后的Dro探測(cè)·請(qǐng)求報(bào)文,并啟動(dòng)所述重傳定時(shí)器;
      如果所述探測(cè)方設(shè)備向所述被探測(cè)方設(shè)備發(fā)送Dro探測(cè)請(qǐng)求報(bào)文的次數(shù)達(dá)到預(yù)設(shè)次數(shù),且沒有收到合法性檢查通過的Dro探測(cè)響應(yīng)報(bào)文,則所述探測(cè)方設(shè)備確定所述被探測(cè)方設(shè)備不存在。所述探測(cè)方設(shè)備確定所述被探測(cè)方設(shè)備不存在,之后還包括所述探測(cè)方設(shè)備刪除自身存在的所述多個(gè)IKE SA,并刪除自身存在的所述多個(gè)IKE SA對(duì)應(yīng)的IPsec SA。本發(fā)明實(shí)施例提供一種基于IPsec的DTO探測(cè)方法,應(yīng)用于包括探測(cè)方設(shè)備和被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,該方法包括以下步驟
      所述被探測(cè)方設(shè)備接收來自所述探測(cè)方設(shè)備的經(jīng)過IKE SA加密處理的DH)探測(cè)請(qǐng)求報(bào)文,且所述IKE SA為所述探測(cè)方設(shè)備從自身存在的多個(gè)IKE SA中選擇的最后協(xié)商的IKESA ;
      所述被探測(cè)方設(shè)備利用自身存在的IKE SA對(duì)所述DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行解密處理;如果解密成功,則利用自身存在的IKE SA對(duì)DH)探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理,并將加密處理后的Dro探測(cè)響應(yīng)報(bào)文發(fā)送給所述探測(cè)方設(shè)備;如果解密不成功,則丟棄所述Dro探測(cè)請(qǐng)求報(bào)文。所述方法進(jìn)一步包括所述被探測(cè)方設(shè)備在解密成功時(shí),檢查所述Dro探測(cè)請(qǐng)求報(bào)文的合法性;如果合法性檢查通過,則利用自身存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理;如果合法性檢查不通過,則丟棄所述Dro探測(cè)請(qǐng)求報(bào)文。本發(fā)明實(shí)施例提供一種探測(cè)方設(shè)備,應(yīng)用于包括所述探測(cè)方設(shè)備和被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,所述探測(cè)方設(shè)備包括
      選擇模塊,用于在本設(shè)備上存在多個(gè)IKE SA時(shí),選擇所述多個(gè)IKE SA中最后協(xié)商的IKE SA ;
      處理模塊,用于通過選擇的IKE SA對(duì)Dro探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理;
      發(fā)送模塊,用于將加密處理后的Dro探測(cè)請(qǐng)求報(bào)文發(fā)送給被探測(cè)方設(shè)備;
      確定模塊,用于當(dāng)收到被探測(cè)方設(shè)備返回的經(jīng)過IKE SA加密處理的Dro探測(cè)響應(yīng)報(bào)文時(shí),利用本設(shè)備存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行解密處理;當(dāng)解密成功時(shí),確定所述被探測(cè)方設(shè)備存在;當(dāng)解密不成功或沒有收到被探測(cè)方設(shè)備返回的Dro探測(cè)響應(yīng)報(bào)文時(shí),確定所述被探測(cè)方設(shè)備不存在。所述處理模塊,還用于在將加密處理后的Dro探測(cè)請(qǐng)求報(bào)文發(fā)送給所述被探測(cè)方設(shè)備之后,為所述Dro探測(cè)請(qǐng)求報(bào)文啟動(dòng)重傳定時(shí)器;
      所述確定模塊,進(jìn)一步用于在解密成功時(shí),檢查所述Dro探測(cè)響應(yīng)報(bào)文的合法性;如果合法性檢查通過,則停止所述重傳定時(shí)器,確定所述被探測(cè)方設(shè)備存在;在合法性檢查不通過、或解密不成功、或沒有收到Dro探測(cè)響應(yīng)報(bào)文時(shí),如果所述重傳定時(shí)器超時(shí),則向所述被探測(cè)方設(shè)備重新發(fā)送加密處理后的Dro探測(cè)請(qǐng)求報(bào)文,并啟動(dòng)所述重傳定時(shí)器;如果向所述被探測(cè)方設(shè)備發(fā)送Dro探測(cè)請(qǐng)求報(bào)文的次數(shù)達(dá)到預(yù)設(shè)次數(shù),且沒有收到合法性檢查通過的Dro探測(cè)響應(yīng)報(bào)文,則確定所述被探測(cè)方設(shè)備不存在。還包括刪除模塊,用于在確定所述被探測(cè)方設(shè)備不存在時(shí),刪除本設(shè)備存在的所述多個(gè)IKE SA,并刪除本設(shè)備存在的多個(gè)IKE SA對(duì)應(yīng)的IPsec SA。本發(fā)明實(shí)施例提供一種被探測(cè)方設(shè)備,應(yīng)用于包括探測(cè)方設(shè)備和所述被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,所述被探測(cè)方設(shè)備包括
      接收模塊,用于接收來自所述探測(cè)方設(shè)備的經(jīng)過IKE SA加密處理的DH)探測(cè)請(qǐng)求報(bào)文,且所述IKE SA為所述探測(cè)方設(shè)備從自身存在的多個(gè)IKE SA中選擇的最后協(xié)商的IKESA ;
      處理模塊,用于利用本設(shè)備存在的IKE SA對(duì)所述DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行解密處理;并在解密不成功時(shí),丟棄所述Dro探測(cè)請(qǐng)求報(bào)文;在解密成功時(shí),利用本設(shè)備存在的IKE SA對(duì)DPD探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理;
      發(fā)送模塊,用于將加密處理后的Dro探測(cè)響應(yīng)報(bào)文發(fā)送給探測(cè)方設(shè)備。所述處理模塊,進(jìn)一步用于在解密成功時(shí),檢查Dro探測(cè)請(qǐng)求報(bào)文的合法性;如果合法性檢查通過,則利用本設(shè)備存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理;如果合法性檢查不通過,則丟棄所述Dro探測(cè)請(qǐng)求報(bào)文。與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例至少具有以下優(yōu)點(diǎn)
      本發(fā)明實(shí)施例中,通過使用最后協(xié)商的IKE SA對(duì)Dro探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理,并利用Dro探測(cè)請(qǐng)求報(bào)文來檢測(cè)IPsec對(duì)端是否存在,從而及時(shí)獲知IPsec對(duì)端是否存在,并在IPsec對(duì)端不存在時(shí),停止向不可達(dá)的IPsec對(duì)端發(fā)送進(jìn)行加密操作的數(shù)據(jù)流,以節(jié)省CPU資源。


      圖I是現(xiàn)有技術(shù)中IPsec與IKE的關(guān)系示意圖2是本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景意圖3是本發(fā)明實(shí)施例提供的一種基于IPsec的DH)探測(cè)方法流程示意圖4是本發(fā)明實(shí)施例中IKE頭的格式示意圖5是本發(fā)明實(shí)施例中DH)類型的通知載荷的格式示意圖6是本發(fā)明實(shí)施例提出的一種探測(cè)方設(shè)備的結(jié)構(gòu)示意圖7是本發(fā)明實(shí)施例提出的一種被探測(cè)方設(shè)備的結(jié)構(gòu)示意圖。
      具體實(shí)施例方式
      6
      本發(fā)明實(shí)施例提出一種基于IPsec的DTO探測(cè)方法,該方法應(yīng)用于包括探測(cè)方設(shè)備和被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,探測(cè)方設(shè)備可以為IPsec對(duì)等體中的IPsec發(fā)起方或IPsec響應(yīng)方,相應(yīng)的被探測(cè)方設(shè)備為IPsec對(duì)等體中的IPsec響應(yīng)方或IPsec發(fā)起方;以圖2為本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景示意圖,Device A至IP network的出口地址為I. I. I. 1,在該接口上部署IPsec,Device B至IP network的出口地址為2· 2· 2· 2,在該接口上部署IPsec,因此Device A和Device B為IPsec對(duì)等體,并假設(shè)Device A為探測(cè)方設(shè)備,DeviceB為被探測(cè)方設(shè)備。在圖2所示應(yīng)用場(chǎng)景下,Device A保護(hù)的私網(wǎng)中有主機(jī)H0ST1,Device B保護(hù)的私網(wǎng)中有主機(jī)H0ST2,當(dāng)HOSTl有流量需要發(fā)送給H0ST2時(shí),會(huì)觸發(fā)Device A和Device B之間建立IPsec SA (如IPsec SAl)和IKE SA (如IKE SAl);之后如果Device B重啟,則會(huì)觸發(fā) Device A 和 Device B 之間再次建立 IPsec SA (如 IPsec SA2)和 IKE SA (如 IKESA2);此時(shí),Device A上有IPsec SAl(該IPsec SAl—直存在到被老化刪除)和IPsec SA2,以及IKE SAl (該IKE SAl 一直存在到被老化刪除)和IKE SA2 ;由于Device B重啟之前的 IPsec SA 和 IKE SA 會(huì)被清除,因此 Device B 上只有 IPsec SA2 和 IKE SA2。基于上述應(yīng)用場(chǎng)景,如圖3所示,該方法包括以下步驟
      步驟301,在需要發(fā)送Dro探測(cè)請(qǐng)求報(bào)文時(shí),如果Device A上存在有多個(gè)IKE SA (即多個(gè)與Device B相對(duì)應(yīng)的IKE SAjIKE SAl和IKE SA2),則該Device A選擇多個(gè)IKESA中最后協(xié)商的IKE SA (即Device A上最新的一個(gè)IKE SAjniKE SA2),并通過該選擇的IKE SA對(duì)DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理。本發(fā)明實(shí)施例中,確定需要發(fā)送Dro探測(cè)請(qǐng)求報(bào)文的方式包括但不限于周期性發(fā)送Dro探測(cè)請(qǐng)求報(bào)文或者按需發(fā)送Dro探測(cè)請(qǐng)求報(bào)文。在周期性發(fā)送Dro探測(cè)請(qǐng)求報(bào)文時(shí),Device A將根據(jù)預(yù)設(shè)周期(可以根據(jù)實(shí)際經(jīng)驗(yàn)進(jìn)行設(shè)置)確定是否需要發(fā)送Dro探測(cè)請(qǐng)求報(bào)文。在按需發(fā)送Dro探測(cè)請(qǐng)求報(bào)文時(shí),Device A需要在IPsec有出方向流量時(shí),查看當(dāng)前時(shí)間與最近一次收到Device B流量的時(shí)間之間的時(shí)間差值,如果該時(shí)間差值超過了設(shè)定門限值(該門限值可以根據(jù)實(shí)際經(jīng)驗(yàn)進(jìn)行設(shè)置,需要手動(dòng)配置),則Device A確定需要發(fā)送DH)探測(cè)請(qǐng)求報(bào)文。具體的,為了實(shí)現(xiàn)按需發(fā)送Dro探測(cè)請(qǐng)求報(bào)文,Device A上需要維護(hù)上次從Device B收到正確IPsec SA加密流量時(shí)的時(shí)間戳,記為LastRcvTime ;在HOSTl發(fā)送的流量到達(dá)Device A后,Device A會(huì)使用IPsec SA對(duì)該流量進(jìn)行加密,檢查當(dāng)前時(shí)間與LastRcvTime之間的時(shí)間差值,如果該時(shí)間差值達(dá)到了 DH)探測(cè)間隔(即設(shè)定門限值),則確定需要發(fā)送DH)探測(cè)請(qǐng)求報(bào)文。步驟302, Device A將加密處理后的DF1D探測(cè)請(qǐng)求報(bào)文發(fā)送給Device B。步驟303,Device B在收到經(jīng)過IKE SA加密處理的DB)探測(cè)請(qǐng)求報(bào)文后,利用自身存在的IKE SA對(duì)Dro探測(cè)請(qǐng)求報(bào)文進(jìn)行解密處理。步驟304,如果解密成功,則Device B利用自身存在的IKE SA(如IKE SA2)對(duì)DPD探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理,并將加密處理后的DB)探測(cè)響應(yīng)報(bào)文發(fā)送給Device A ;如果解密不成功,則Device B丟棄DTO探測(cè)請(qǐng)求報(bào)文。本發(fā)明實(shí)施例中,Device A只能通過最后協(xié)商的IKE SA (如IKE SA2)對(duì)DB)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理,而不能通過其它的IKE SA (如IKE SAl)對(duì)DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理。Device A在通過IKE SAl對(duì)DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理時(shí),由于Device B上只存在有IKE SA2,因此Device B利用自身存在的IKE SA對(duì)DTO探測(cè)請(qǐng)求報(bào)文進(jìn)行解密處理時(shí),解密不成功,不會(huì)返回DPD探測(cè)響應(yīng)報(bào)文給Device A,從而導(dǎo)致Device A認(rèn)為DeviceB不存在,導(dǎo)致錯(cuò)誤的探測(cè)結(jié)果。Device A在通過IKE SA2對(duì)DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理時(shí),由于Device B上只存在有IKE SA2,因此Device B利用自身存在的IKE SA對(duì)DTO探測(cè)請(qǐng)求報(bào)文進(jìn)行解密處理時(shí),能夠解密成功,且會(huì)返回DH)探測(cè)響應(yīng)報(bào)文給Device A,不會(huì)導(dǎo)致出現(xiàn)錯(cuò)誤的探測(cè)結(jié)
      果O進(jìn)一步的,Device B在解密成功時(shí),還可以檢查DF1D探測(cè)請(qǐng)求報(bào)文的合法性;如果合法性檢查通過,則Device B需要利用自身存在的IKE SA對(duì)DTO探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理,并執(zhí)行后續(xù)的過程;如果合法性檢查不通過,則Device B需要直接丟棄DTO探測(cè)請(qǐng)求報(bào)文。在一種優(yōu)選的實(shí)施方式中,Device B通過檢查DI3D探測(cè)請(qǐng)求報(bào)文中的序列號(hào)是否為遞增的來進(jìn)行合法性檢查;如果當(dāng)前Dro探測(cè)請(qǐng)求報(bào)文中的序列號(hào)與上一次收到的Dro探測(cè)請(qǐng)求報(bào)文中的序列號(hào)相比是遞增的,則Device B認(rèn)為合法性檢查通過;否則,Device B認(rèn)為合法性檢查不通過。步驟305,如果Device A收到Device B返回的經(jīng)過IKE SA (如IKE SA2)加密處理的Dro探測(cè)響應(yīng)報(bào)文,則利用自身存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行解密處理;如果解密成功,則確定Device B存在;如果解密不成功或沒有收到Device B返回的DTO探測(cè)響應(yīng)報(bào)文,則確定Device B不存在。本發(fā)明實(shí)施例中,由于Device B通過IKE SA2對(duì)DPD探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理,且Device A上存在有IKE SAl和IKE SA2,因此Device A利用自身存在的IKE SA對(duì)DPD探測(cè)響應(yīng)報(bào)文進(jìn)行解密處理時(shí),能夠解密成功。進(jìn)一步的,Device A在解密成功時(shí),還可以檢查DI3D探測(cè)響應(yīng)報(bào)文的合法性;如果合法性檢查通過,則Device A確定Device B存在;如果合法性檢查不通過,則Device B需要忽略該DH)探測(cè)響應(yīng)報(bào)文,即不能利用該DH)探測(cè)響應(yīng)報(bào)文確定Device B存在。在一種優(yōu)選的實(shí)施方式中,Device A通過檢查DI3D探測(cè)響應(yīng)報(bào)文中的序列號(hào)是否為之前本地發(fā)送的序列號(hào)(即Dro探測(cè)請(qǐng)求報(bào)文中的序列號(hào))來進(jìn)行合法性檢查;如果Dro探測(cè)響應(yīng)報(bào)文中的序列號(hào)與之前本地發(fā)送的序列號(hào)相同,則Device A認(rèn)為合法性檢查通過;否則,認(rèn)為合法性檢查不通過。在本發(fā)明實(shí)施例的一種優(yōu)選實(shí)施方式中,Device A在將加密處理后的DI3D探測(cè)請(qǐng)求報(bào)文發(fā)送給Device B之后,需要為DTO探測(cè)請(qǐng)求報(bào)文啟動(dòng)重傳定時(shí)器;DeViCe A在收到Device B返回的DH)探測(cè)響應(yīng)報(bào)文,且對(duì)DH)探測(cè)響應(yīng)報(bào)文解密成功,且DH)探測(cè)響應(yīng)報(bào)文的合法性檢查通過時(shí),則停止該DH)探測(cè)請(qǐng)求報(bào)文對(duì)應(yīng)的重傳定時(shí)器,并確定Device B存在。如果Device A沒有收到Device B返回的DI3D探測(cè)響應(yīng)報(bào)文,或收到Device B返回的DH)探測(cè)響應(yīng)報(bào)文、但對(duì)DH)探測(cè)響應(yīng)報(bào)文解密不成功,或收到Device B返回的DB)探測(cè)響應(yīng)報(bào)文、對(duì)DPD探測(cè)響應(yīng)報(bào)文解密不成功、但DPD探測(cè)響應(yīng)報(bào)文的合法性檢查不通過;則當(dāng)重傳定時(shí)器超時(shí)后,向Device B重新發(fā)送DTO探測(cè)請(qǐng)求報(bào)文(即步驟302),并啟動(dòng)重傳定時(shí)器。
      以此類推,如果Device A向Device B發(fā)送DPD探測(cè)請(qǐng)求報(bào)文的次數(shù)達(dá)到預(yù)設(shè)次數(shù)(如3次,預(yù)設(shè)次數(shù)可以根據(jù)實(shí)際經(jīng)驗(yàn)值進(jìn)行設(shè)置)后,均沒有在重傳定時(shí)器超時(shí)之前,收到Device B返回的解密成功且合法性檢查通過的DPD探測(cè)響應(yīng)報(bào)文,則Device A確定DeviceB不存在。本發(fā)明實(shí)施例中,如果Device A確定Device B不存在,則Device A還需要?jiǎng)h除自身存在的多個(gè)IKE SA (如IKE SAl和IKE SA2),并刪除自身存在的多個(gè)IKE SA對(duì)應(yīng)的IPsec SA(如IPsec SAl和IPsec SA2),從而停止向不可達(dá)的Device B發(fā)送進(jìn)行加密操作的數(shù)據(jù)流,以節(jié)省CPU資源。在上述的實(shí)現(xiàn)過程中,DPD探測(cè)請(qǐng)求報(bào)文以及DH)探測(cè)響應(yīng)報(bào)文中均包括IKE頭和Dro類型的通知載荷;其中,IKE頭的格式可以如圖4所示,Dro類型的通知載荷的格式可以如圖5所示。在圖4中,各個(gè)字段的含義如下(I)Initiator Cookie :發(fā)起方的Cookie,8個(gè)字節(jié);(2) Responder Cookie :響應(yīng)方的 Cookie,8 個(gè)字節(jié);(3) NextPayload :下一個(gè)載荷類型,值為13么腸 _肥乂1'_撤5!1,標(biāo)識(shí)下一個(gè)載荷是加密的;(4)11^虹主版本號(hào),值為1,表明是IKEvl協(xié)議;(5) MnVer :次版本號(hào),值為O ; (6) ExchangeType :協(xié)商類型,此時(shí)值為4,表明是通告載荷;(7) Flags :標(biāo)記;(8) MessageID :消息ID,此時(shí)值為O ; (9) Length :消息長度,包括該頭部長度以及下面的載荷長度。在圖5中,各個(gè)字段的含義如下=(I)NextPayload :下一個(gè)載荷字段,由于該載荷是最后一個(gè)載荷,因此值為O ; (2) Reserverd :保留字段,值為O ; (3) Payload Length 載荷長度;(4) Domain of Interpretation (DOI):解釋域,取值為 I,標(biāo)識(shí) ISAKMP ; (5)Protocol-ID :協(xié)議ID,取值為1,標(biāo)識(shí)ISAKMP ; (6) SPI Size SPI大小,取值為16,兩個(gè)Cookie的長度;(7)Notify Message Type :對(duì)于發(fā)送的DPD探測(cè)請(qǐng)求報(bào)文,該取值為36136,對(duì)于回應(yīng)的DB)探測(cè)響應(yīng)報(bào)文,該取值為36137 ; (8) Security Parameter Index (SPI)兩個(gè)Cookie,共16字節(jié);(9)Notification Data (序列號(hào)XDF1D探測(cè)報(bào)文的序列號(hào),DF1D探測(cè)響應(yīng)報(bào)文中攜帶的值需要與DI3D探測(cè)請(qǐng)求報(bào)文中攜帶的值相同?;谂c上述方法同樣的發(fā)明構(gòu)思,本發(fā)明實(shí)施例中還提供了一種探測(cè)方設(shè)備,應(yīng)用于包括所述探測(cè)方設(shè)備和被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,如圖6所示,所述探測(cè)方設(shè)備包括
      選擇模塊11,用于在本設(shè)備上存在多個(gè)IKE SA時(shí),選擇所述多個(gè)IKE SA中最后協(xié)商的IKE SA ;
      處理模塊12,用于通過選擇IKE SA對(duì)DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理;
      發(fā)送模塊13,用于將加密處理后DH)探測(cè)請(qǐng)求報(bào)文發(fā)送給被探測(cè)方設(shè)備;
      確定模塊14,用于當(dāng)收到被探測(cè)方設(shè)備返回的經(jīng)過IKE SA加密處理的DH)探測(cè)響應(yīng)報(bào)文時(shí),利用本設(shè)備存在的IKE SA對(duì)DH)探測(cè)響應(yīng)報(bào)文進(jìn)行解密處理;當(dāng)解密成功時(shí),確定被探測(cè)方設(shè)備存在;當(dāng)解密不成功或沒有收到被探測(cè)方設(shè)備返回的Dro探測(cè)響應(yīng)報(bào)文時(shí),確定被探測(cè)方設(shè)備不存在。
      所述處理模塊12,還用于在將加密處理后的DH)探測(cè)請(qǐng)求報(bào)文發(fā)送給所述被探測(cè)方設(shè)備之后,為所述Dro探測(cè)請(qǐng)求報(bào)文啟動(dòng)重傳定時(shí)器;
      所述確定模塊14,進(jìn)一步用于在解密成功時(shí),檢查所述Dro探測(cè)響應(yīng)報(bào)文的合法性;如果合法性檢查通過,則停止所述重傳定時(shí)器,確定所述被探測(cè)方設(shè)備存在;在合法性檢查不通過、或解密不成功、或沒有收到Dro探測(cè)響應(yīng)報(bào)文時(shí),如果所述重傳定時(shí)器超時(shí),則向所述被探測(cè)方設(shè)備重新發(fā)送加密處理后的Dro探測(cè)請(qǐng)求報(bào)文,并啟動(dòng)所述重傳定時(shí)器;如果向所述被探測(cè)方設(shè)備發(fā)送Dro探測(cè)請(qǐng)求報(bào)文的次數(shù)達(dá)到預(yù)設(shè)次數(shù),且沒有收到合法性檢查通過的Dro探測(cè)響應(yīng)報(bào)文,則確定所述被探測(cè)方設(shè)備不存在。本發(fā)明實(shí)施例中,該探測(cè)方設(shè)備設(shè)備還包括刪除模塊15,用于在確定所述被探測(cè)方設(shè)備不存在時(shí),刪除本設(shè)備存在的所述多個(gè)IKE SA,并刪除本設(shè)備存在的所述多個(gè)IKESA 對(duì)應(yīng)的 IPsec SA。其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體,也可以分離部署。上述模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊?;谂c上述方法同樣的發(fā)明構(gòu)思,本發(fā)明實(shí)施例中還提供了一種被探測(cè)方設(shè)備,應(yīng)用于包括探測(cè)方設(shè)備和所述被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,如圖7所示,所述被探測(cè)方設(shè)備包括
      接收模塊21,用于接收來自所述探測(cè)方設(shè)備的經(jīng)過IKE SA加密處理的DH)探測(cè)請(qǐng)求報(bào)文,且所述IKE SA為所述探測(cè)方設(shè)備從自身存在的多個(gè)IKE SA中選擇的最后協(xié)商的IKESA ;
      處理模塊22,用于利用本設(shè)備存在的IKE SA對(duì)所述DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行解密處理;并在解密不成功時(shí),丟棄所述DH)探測(cè)請(qǐng)求報(bào)文;在解密成功時(shí),利用本設(shè)備存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理;
      發(fā)送模塊23,用于將加密處理后的Dro探測(cè)響應(yīng)報(bào)文發(fā)送給探測(cè)方設(shè)備。所述處理模塊22,進(jìn)一步用于在解密成功時(shí),檢查DH)探測(cè)請(qǐng)求報(bào)文的合法性;如果合法性檢查通過,則利用本設(shè)備存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理;如果合法性檢查不通過,則丟棄Dro探測(cè)請(qǐng)求報(bào)文。其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體,也可以分離部署。上述模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件,但很多情況下前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。
      上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣。
      以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是,本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
      權(quán)利要求
      1.一種基于IPsec的DH)探測(cè)方法,應(yīng)用于包括探測(cè)方設(shè)備和被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,其特征在于,該方法包括以下步驟在所述探測(cè)方設(shè)備上存在多個(gè)IKE SA時(shí),所述探測(cè)方設(shè)備選擇所述多個(gè)IKE SA中最后協(xié)商的IKE SA,通過選擇的IKE SA對(duì)DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理,并將加密處理后的Dro探測(cè)請(qǐng)求報(bào)文發(fā)送給所述被探測(cè)方設(shè)備;如果所述探測(cè)方設(shè)備接收到所述被探測(cè)方設(shè)備返回的經(jīng)過IKE SA加密處理的Dro探測(cè)響應(yīng)報(bào)文,則利用自身存在的IKE SA對(duì)所述Dro探測(cè)響應(yīng)報(bào)文進(jìn)行解密處理;如果解密成功,則確定所述被探測(cè)方設(shè)備存在;如果解密不成功或者所述探測(cè)方設(shè)備沒有接收到所述被探測(cè)方設(shè)備返回的Dro探測(cè)響應(yīng)報(bào)文,則確定所述被探測(cè)方設(shè)備不存在。
      2.如權(quán)利要求I所述的方法,其特征在于,所述方法進(jìn)一步包括所述探測(cè)方設(shè)備在將加密處理后的Dro探測(cè)請(qǐng)求報(bào)文發(fā)送給所述被探測(cè)方設(shè)備之后,為所述Dro探測(cè)請(qǐng)求報(bào)文啟動(dòng)重傳定時(shí)器;所述探測(cè)方設(shè)備在解密成功時(shí),檢查所述Dro探測(cè)響應(yīng)報(bào)文的合法性;如果合法性檢查通過,則停止所述重傳定時(shí)器,確定所述被探測(cè)方設(shè)備存在;所述探測(cè)方設(shè)備在合法性檢查不通過、或解密不成功、或沒有接收到Dro探測(cè)響應(yīng)報(bào)文時(shí),如果所述重傳定時(shí)器超時(shí),則向所述被探測(cè)方設(shè)備重新發(fā)送加密處理后的Dro探測(cè)請(qǐng)求報(bào)文,并啟動(dòng)所述重傳定時(shí)器;如果所述探測(cè)方設(shè)備向所述被探測(cè)方設(shè)備發(fā)送Dro探測(cè)請(qǐng)求報(bào)文的次數(shù)達(dá)到預(yù)設(shè)次數(shù),且沒有收到合法性檢查通過的Dro探測(cè)響應(yīng)報(bào)文,則所述探測(cè)方設(shè)備確定所述被探測(cè)方設(shè)備不存在。
      3.如權(quán)利要求I或2所述的方法,其特征在于,所述探測(cè)方設(shè)備確定所述被探測(cè)方設(shè)備不存在,之后還包括所述探測(cè)方設(shè)備刪除自身存在的所述多個(gè)IKE SA,并刪除自身存在的所述多個(gè)IKE SA對(duì)應(yīng)的IPsec SA。
      4.一種基于IPsec的DH)探測(cè)方法,應(yīng)用于包括探測(cè)方設(shè)備和被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,其特征在于,該方法包括以下步驟所述被探測(cè)方設(shè)備接收來自所述探測(cè)方設(shè)備的經(jīng)過IKE SA加密處理的DH)探測(cè)請(qǐng)求報(bào)文,且所述IKE SA為所述探測(cè)方設(shè)備從自身存在的多個(gè)IKE SA中選擇的最后協(xié)商的IKESA ;所述被探測(cè)方設(shè)備利用自身存在的IKE SA對(duì)所述DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行解密處理;如果解密成功,則利用自身存在的IKE SA對(duì)DH)探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理,并將加密處理后的Dro探測(cè)響應(yīng)報(bào)文發(fā)送給所述探測(cè)方設(shè)備;如果解密不成功,則丟棄所述Dro探測(cè)請(qǐng)求報(bào)文。
      5.如權(quán)利要求4所述的方法,其特征在于,所述方法進(jìn)一步包括所述被探測(cè)方設(shè)備在解密成功時(shí),檢查所述Dro探測(cè)請(qǐng)求報(bào)文的合法性;如果合法性檢查通過,則利用自身存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理;如果合法性檢查不通過,則丟棄所述Dro探測(cè)請(qǐng)求報(bào)文。
      6.一種探測(cè)方設(shè)備,應(yīng)用于包括所述探測(cè)方設(shè)備和被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,其特征在于,所述探測(cè)方設(shè)備包括選擇模塊,用于在本設(shè)備上存在多個(gè)IKE SA時(shí),選擇所述多個(gè)IKE SA中最后協(xié)商的IKE SA ; 處理模塊,用于通過選擇的IKE SA對(duì)DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理; 發(fā)送模塊,用于將加密處理后的Dro探測(cè)請(qǐng)求報(bào)文發(fā)送給被探測(cè)方設(shè)備; 確定模塊,用于當(dāng)收到被探測(cè)方設(shè)備返回的經(jīng)過IKE SA加密處理的Dro探測(cè)響應(yīng)報(bào)文時(shí),利用本設(shè)備存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行解密處理;當(dāng)解密成功時(shí),確定所述被探測(cè)方設(shè)備存在;當(dāng)解密不成功或沒有收到被探測(cè)方設(shè)備返回的Dro探測(cè)響應(yīng)報(bào)文時(shí),確定所述被探測(cè)方設(shè)備不存在。
      7.如權(quán)利要求6所述的設(shè)備,其特征在于, 所述處理模塊,還用于在將加密處理后的Dro探測(cè)請(qǐng)求報(bào)文發(fā)送給所述被探測(cè)方設(shè)備之后,為所述Dro探測(cè)請(qǐng)求報(bào)文啟動(dòng)重傳定時(shí)器; 所述確定模塊,進(jìn)一步用于在解密成功時(shí),檢查所述Dro探測(cè)響應(yīng)報(bào)文的合法性;如果合法性檢查通過,則停止所述重傳定時(shí)器,確定所述被探測(cè)方設(shè)備存在;在合法性檢查不通過、或解密不成功、或沒有收到Dro探測(cè)響應(yīng)報(bào)文時(shí),如果所述重傳定時(shí)器超時(shí),則向所述被探測(cè)方設(shè)備重新發(fā)送加密處理后的Dro探測(cè)請(qǐng)求報(bào)文,并啟動(dòng)所述重傳定時(shí)器;如果向所述被探測(cè)方設(shè)備發(fā)送Dro探測(cè)請(qǐng)求報(bào)文的次數(shù)達(dá)到預(yù)設(shè)次數(shù),且沒有收到合法性檢查通過的Dro探測(cè)響應(yīng)報(bào)文,則確定所述被探測(cè)方設(shè)備不存在。
      8.如權(quán)利要求6或7所述的設(shè)備,其特征在于,還包括 刪除模塊,用于在確定所述被探測(cè)方設(shè)備不存在時(shí),刪除本設(shè)備存在的所述多個(gè)IKESA,并刪除本設(shè)備存在的所述多個(gè)IKE SA對(duì)應(yīng)的IPsec SA。
      9.一種被探測(cè)方設(shè)備,應(yīng)用于包括探測(cè)方設(shè)備和所述被探測(cè)方設(shè)備的IPsec網(wǎng)絡(luò)中,其特征在于,所述被探測(cè)方設(shè)備包括 接收模塊,用于接收來自所述探測(cè)方設(shè)備的經(jīng)過IKE SA加密處理的Dro探測(cè)請(qǐng)求報(bào)文,且所述IKE SA為所述探測(cè)方設(shè)備從自身存在的多個(gè)IKE SA中選擇的最后協(xié)商的IKESA ; 處理模塊,用于利用本設(shè)備存在的IKE SA對(duì)所述DH)探測(cè)請(qǐng)求報(bào)文進(jìn)行解密處理;并在解密不成功時(shí),丟棄所述Dro探測(cè)請(qǐng)求報(bào)文;在解密成功時(shí),利用本設(shè)備存在的IKE SA對(duì)DPD探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理; 發(fā)送模塊,用于將加密處理后的Dro探測(cè)響應(yīng)報(bào)文發(fā)送給探測(cè)方設(shè)備。
      10.如權(quán)利要求9所述的設(shè)備,其特征在于, 所述處理模塊,進(jìn)一步用于在解密成功時(shí),檢查Dro探測(cè)請(qǐng)求報(bào)文的合法性;如果合法性檢查通過,則利用本設(shè)備存在的IKE SA對(duì)Dro探測(cè)響應(yīng)報(bào)文進(jìn)行加密處理;如果合法性檢查不通過,則丟棄所述Dro探測(cè)請(qǐng)求報(bào)文。
      全文摘要
      本發(fā)明公開了一種基于IPsec的DPD探測(cè)方法和設(shè)備,該方法包括在探測(cè)方設(shè)備上存在多個(gè)與被探測(cè)方設(shè)備相對(duì)應(yīng)的IKESA時(shí),探測(cè)方設(shè)備選擇多個(gè)IKESA中最后協(xié)商的IKESA,通過選擇的IKESA對(duì)DPD探測(cè)請(qǐng)求報(bào)文進(jìn)行加密處理,并將DPD探測(cè)請(qǐng)求報(bào)文發(fā)送給被探測(cè)方設(shè)備;如果探測(cè)方設(shè)備收到DPD探測(cè)響應(yīng)報(bào)文,則對(duì)DPD探測(cè)響應(yīng)報(bào)文進(jìn)行解密處理;如果解密成功,則確定被探測(cè)方設(shè)備存在;如果解密不成功或沒有接收到DPD探測(cè)響應(yīng)報(bào)文,則確定被探測(cè)方設(shè)備不存在。本發(fā)明實(shí)施例中可節(jié)省CPU資源。
      文檔編號(hào)H04L29/06GK102946333SQ20121042651
      公開日2013年2月27日 申請(qǐng)日期2012年10月31日 優(yōu)先權(quán)日2012年10月31日
      發(fā)明者楊超 申請(qǐng)人:杭州華三通信技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1