国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      對等體復(fù)活檢測的制作方法

      文檔序號:8501344閱讀:676來源:國知局
      對等體復(fù)活檢測的制作方法
      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明設(shè)及一種與失效對等體檢測有關(guān)的裝置、方法、系統(tǒng)和計算機(jī)程序產(chǎn)品。更 具體而言,本發(fā)明設(shè)及一種用于對等體復(fù)活檢測的裝置、方法、系統(tǒng)和計算機(jī)程序產(chǎn)品。
      【背景技術(shù)】
      [0002] 縮略語 3GPP;第S代合作伙伴項目AAA;認(rèn)證、授權(quán)和計費 B抑;雙向轉(zhuǎn)發(fā)檢測 CPU;中央處理單元 DNS;域名服務(wù)器 DPD;失效對等體檢測 ePDG;演進(jìn)的分組數(shù)據(jù)網(wǎng)關(guān) ESP;封裝安全有效載荷 GGSN;網(wǎng)關(guān)GPRS支持節(jié)點 GPRS;通用分組無線電服務(wù) GSM;全球移動通信系統(tǒng) GTP;GPRS隧道協(xié)議 化R;歸屬位置寄存器 HSxPA;高速分組接入(X;下行鏈路/上行鏈路) IDi;發(fā)起方標(biāo)識 IKE;互聯(lián)網(wǎng)密鑰交換 IP;互聯(lián)網(wǎng)協(xié)議 IPsec;互聯(lián)網(wǎng)協(xié)議安全 LTE;長期演進(jìn) NAT;網(wǎng)絡(luò)地址轉(zhuǎn)化 PDG;分組數(shù)據(jù)網(wǎng)關(guān) RFC;請求注解(互聯(lián)網(wǎng)工程任務(wù)組) Rx;接收SA;安全關(guān)聯(lián) SAD;安全關(guān)聯(lián)數(shù)據(jù)庫 SIP;會話發(fā)起協(xié)議 SNS;社交聯(lián)網(wǎng)服務(wù) SPD;安全策略數(shù)據(jù)庫 SPI;安全參數(shù)索引 TCP;傳輸控制協(xié)議 TTG;隧道終止網(wǎng)關(guān)Tx;傳送 UMTS;通用移動電信系統(tǒng) VPN;虛擬專用網(wǎng)絡(luò) WiFi;無線保真標(biāo)準(zhǔn) WLAN;無線局域網(wǎng) WiMAX;全球微波接入互操作性。
      [0003] 通過不安全的網(wǎng)絡(luò)供應(yīng)安全通信已經(jīng)成為對于需要數(shù)據(jù)源認(rèn)證、加密和數(shù)據(jù)完整 性的現(xiàn)代應(yīng)用的成功的關(guān)鍵驅(qū)動(化iver)之一。IP安全(IPsec)[RFC4301]是提供用于構(gòu) 建安全的虛擬專用網(wǎng)絡(luò)(VPN)的手段的流行協(xié)議套件。IPsec伴隨有源(發(fā)起方)和目的地 (響應(yīng)者)之間的諸如互聯(lián)網(wǎng)密鑰交換(IKE)之類的密鑰管理方法。IKE協(xié)議當(dāng)前可W被發(fā)現(xiàn) 為現(xiàn)代應(yīng)用中的兩個版本,版本1 (在[RFC2409]中指定的IKEvl)和版本2 (在[Rrc5996] 中指定的IKEv2)。
      [0004] 當(dāng)兩個對等體與IKE和IPSec通信時,兩個對等體之間的連接性可能意外下降。每 當(dāng)在網(wǎng)絡(luò)連接性中存在中斷時,該種情形就出現(xiàn)。例如,在無線鏈路中的衰落事件或路由問 題或不完整的漫游過程將導(dǎo)致兩個對等體之間連接性的不可用性。在該樣的情況下,可能 發(fā)生的是:兩個所設(shè)及的對等體之一沒有檢測到中斷事件并且保持相信著到另一對等體的 連接仍然"存活";在該樣的情況下,對等體實際上正在保留浪費內(nèi)部資源(諸如存儲器和處 理能力)的失效(dead)連接。如果該種情況被外推到具有成千上萬個節(jié)點(例如擔(dān)當(dāng)VPN 客戶端)的"現(xiàn)場(live)"環(huán)境,則保留對未檢測的失效對等體的連接關(guān)聯(lián)可W對網(wǎng)絡(luò)資源 強(qiáng)加顯著的負(fù)擔(dān),并且可W在系統(tǒng)容量、吞吐量和服務(wù)質(zhì)量方面有巨大影響。
      [0005] 該問題在包含移動設(shè)備的系統(tǒng)中是非常重要的,因為由于由陰影、多路徑傳播、用 戶移動性等引起的衰落事件,無線鏈路固有地是不穩(wěn)定的。
      [0006] 為了解決該樣的問題,已經(jīng)提出了失效對等體檢測(DPD)算法[RFC3706, RF巧996],其嘗試盡快識別失效對等體并將丟失的資源恢復(fù)到網(wǎng)絡(luò)元件。
      [0007] 本申請參考部署了虛擬專用網(wǎng)絡(luò)的任何系統(tǒng),諸如具有失效對等體檢測擴(kuò)展(參 見圖1)的IPsec/IKE解決方案。例如,本申請應(yīng)用于安全網(wǎng)關(guān)元件巧起到VPN服務(wù)器的 作用)。
      [0008] 作為更具體的示例,本申請可W應(yīng)用于(但不限于)WLAN互通系統(tǒng)中的隧道終 止網(wǎng)關(guān)(TTG)和分組數(shù)據(jù)網(wǎng)關(guān)(PDG)的設(shè)計,所述WLAN互通系統(tǒng)遵守3GPP標(biāo)準(zhǔn)(諸如 巧GPP23. 234])或者是3GPP標(biāo)準(zhǔn)的適配,如在接下來的章節(jié)中所述。在圖2中給出該樣的 系統(tǒng)的示例,圖2示出諾基亞西口子網(wǎng)絡(luò)(NokiaSiemensNetwork)的智能WLAN連接性解 決方案。
      [0009] 圖3圖示用于包括VPN客戶端和VPN服務(wù)器的系統(tǒng)的情況的典型消息流程圖,所 述VPN服務(wù)器促進(jìn)客戶端到互聯(lián)網(wǎng)或任何服務(wù)的連接。
      [0010] 安全連接的建立始于IKE協(xié)商,其細(xì)節(jié)在本申請的范圍之外。
      [0011] 通過使用已知為發(fā)起方標(biāo)識(IDi-[RFC2409,RF巧996])的唯一標(biāo)識來認(rèn)證每個用 戶。所述唯一標(biāo)識遍及本申請被引用為IDi;請注意:該唯一標(biāo)識可能被不同地稱呼,該取 決于應(yīng)用。
      [0012] 每個對等體W失效對等體檢測(DPD--有時被稱為"對等體活力(liveliness) 檢測")消息的形式發(fā)布另一對等體的周期性活力檢查。如果對等體在特定超時間隔內(nèi)接 收到DPD響應(yīng),或從另一對等體觀察到諸如業(yè)務(wù)或信令之類的任何其它活動,則對等體被 認(rèn)為是"存活"的,并且重新調(diào)度DPD活力檢查W在tDPD秒之后發(fā)生。重新調(diào)度的間隔可 W是固定的(例如tDPD=90秒)或者是根據(jù)任何算法(例如取決于中斷概率的估計,諸如在 [Tzvetkov07a,TzvetktovO化,TzvetkovO引中提出的機(jī)制)而動態(tài)的。
      [0013] 在對等體離線而沒有恰當(dāng)?shù)馗嬷硪粚Φ润w的情況下(例如通常是無線電中斷或 網(wǎng)絡(luò)故障),如圖3中所示,對等體最初不知道另一"失效"對等體。對等體然后觀察到第一 DPD消息沒有被另一對等體回復(fù),因為發(fā)生超時。在該情況下,對等體W固定間隔dDPD或者 自適應(yīng)的間隔(dDPD(i),其中i=l. .n)開始DPD消息的n次重傳(例如n=7)。作為示例,用于 重傳迭代i的間隔可W采取下列形式: dDPD(i) =C*b" (i-1) 其中i=l,2,..n,c和b是常數(shù),其可W自適應(yīng)地選擇或者被預(yù)定義,該取決于應(yīng)用場景 (例如c=4,b=l. 8)。
      [0014] 在其中"失效"對等體仍然不回復(fù)的n次重傳之后,對等體設(shè)置dDPDfewurt的最終超 時,所述最終超時一旦期滿,就完成另一對等體確實"失效"并且必須釋放會話的證據(jù),因而 從對等體(例如VPN服務(wù)器)釋放出系統(tǒng)資源。類似于先前發(fā)布的超時間隔,dDPD(giveup)可W 取要么取動態(tài)值要么取恒定值(例如dDPD妃veup)=C*b'n,c=4,b=1.8)〇
      [001引 由DPD過程恰當(dāng)?shù)貦z測失效對等體所花的總時間由cIdpdtotal給出,ddpuotal等于由 對等體發(fā)送的DPD消息的所有超時的總和。例如,對于所有的重傳i=l,2,. .,n,如果cIdpd(i) 被設(shè)置為常數(shù)a,并且還等于dDpWgiveup>,則dDPD_TOTAI= (n+1)相。
      [0016] W上描述是圖示概念的失效對等體檢測的示例。
      [0017] 然而,在如由移動終端遇到的移動性或現(xiàn)實傳播條件的情況下,VPN服務(wù)器的該種 典型的DPD行為可能導(dǎo)致問題,如下文中所述。
      [001引圖4圖示"強(qiáng)制中斷"的問題,其中VPN客戶端短時段地離線("失效")。
      [0019] 參照圖4,在該情況下,假定VPN服務(wù)器遵循只允許每個IDi-個活動會話的策略。 在許多實際系統(tǒng)中發(fā)現(xiàn)此策略,其中在服務(wù)器側(cè)的實現(xiàn)復(fù)雜性和資源利用通過設(shè)計被保持 到最小值。
      [0020] 通過使用DPD過程,如在先前的段落中所述,VPN服務(wù)器能夠檢測"失效"對等體。
      [002。 然而,如果在完成DPD過程之前"失效"對等體復(fù)活,則新的IKE協(xié)商將由VPN月良 務(wù)器拒絕。該是因為復(fù)活的對等體將發(fā)起新的IKE會話(即具有新的標(biāo)識參數(shù),諸如SPI[RFC2409,Rrc5906])。復(fù)活的對等體然后將進(jìn)入"強(qiáng)制中斷"時段直到DPD過程完成為止 并且必須在該DPD過程結(jié)束之后重試連接。
      [0022] 在實際的系統(tǒng)中,該"強(qiáng)制中斷"時段取決于策略可W是大約幾分鐘或幾小時,該 導(dǎo)致非常低的可用性和服務(wù)質(zhì)量的度量,該進(jìn)而對用戶體驗有嚴(yán)重影響。此外,取決于相 對在先前的會話實例上DPD過程的發(fā)起的對等體復(fù)活時間,對等體需要等待直到DPD過程 完成的時間段對于用戶看似為隨機(jī)的。在最實際的情況下,因為該"強(qiáng)制中斷"問題的原因 對移動設(shè)備的用戶不明顯,用戶將典型地嘗試若干手動重連,所述重連將被拒絕,直到重連 設(shè)曰果在"強(qiáng)制中斷"時段之后重新嘗試連接)或者放棄。因而在現(xiàn)場環(huán)境中,預(yù)期成千上萬 的用戶將在幾分鐘的"強(qiáng)制中斷"時段期間嘗試若干重連,該將進(jìn)而增加信令業(yè)務(wù)(對系統(tǒng) 容量有直接影響),并且還將導(dǎo)致觀察到來自所有用戶的非常低的服務(wù)質(zhì)量W及高度的服 務(wù)不可用性。
      [0023] 從系統(tǒng)設(shè)計者的觀點來看,通過在VPN服務(wù)器上恰當(dāng)?shù)嘏渲肈PD過程來影響"強(qiáng) 制中斷"的時段是可能的。通常,可W合期望的是設(shè)置低的DPD定時器、低的DPD重傳定時 器W及低量的重傳,該將導(dǎo)致較低的"強(qiáng)制中斷"間隔,但是W高度增加(更頻繁)的信令和 相關(guān)聯(lián)的較低系統(tǒng)容量W及較高的錯誤檢測概率為代價。此外,具有將對失效對等體的及 時發(fā)現(xiàn)和錯誤檢測的低概率進(jìn)行權(quán)衡的平衡的配置的策略,如由[RFC6290 ;附錄A. 4]所推 薦,將不解決在實際現(xiàn)場環(huán)境中由成千上萬對等體經(jīng)歷的"強(qiáng)制中斷"問題。
      [0024] 毎個IDi《個會話 用于在實際系統(tǒng)中解決"強(qiáng)制中斷"問題的方法之一是允許每個IDi多個會話 [Cisco2012]〇
      [00巧]參照圖5,考慮其中對等體建立VPN連接但后來短時段"失效"的情況。使用DPD過程(諸如在先前段落中所述的一個)檢測失效對等體。對等體一復(fù)活,它就嘗試被自動接 受的重連。接受重連,即使請求源自相同的設(shè)備和用戶。在該一點上,單獨的對等體在服務(wù) 器處已經(jīng)預(yù)留兩倍量的資源(例如為管理安全關(guān)聯(lián)所預(yù)留的存儲器和處理能力)。如果對等 體再次短時段"失效",再次復(fù)活并嘗試另一個重連,則將建立新的(第S)會話。
      [0026] 因而,在服務(wù)器允許每個IDi多個會話的情況下,使用DPD檢測來檢測"失效"會 話。然而,DPD過程在實際配置中可能非常慢,如W上已經(jīng)描述的。此外,在允許具有相同 IDi的多個會話的系統(tǒng)中,可能的是單個對等體的重連速率(變得"失效"并且之后不久復(fù) 活)比VPN服務(wù)器側(cè)的"失效對等體"檢測和資源釋放的速率快得多。在該情況下,單個對 等體將在VPN服務(wù)器(例如數(shù)據(jù)庫存儲器)上W比先前分配給其自己的"失效"實例的資源
      當(dāng)前第1頁1 2 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1