专利名称:一种互联网协议安全链路保护方法和装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及互联网协议安全链路保护方法和装置。
背景技术:
IPSec (IP Security,互联网协议安全)给出了应用于IP层上网络数据安全的一 整套体系结构,包括网络认证协议、封装安全载荷协议、密钥管理协议和用于网络认证及加 密的一些算法等。IPSec在原本开放、脆弱的IP网络架构上提供了较强的安全特性被广泛 应用于企业网、电信网、Internet等领域。IPSec可用于对一段IP (Internet Protocol,互联网协议)链路实施加密、认证等 安全保护,在建立IPSec链路过程中,因为需要进行认证算法/加密算法协商、封装模式协 商、交换密钥等一系列复杂交互,会导致链路建立时间较长(通常> IOs)。因此,一旦IPSec 链路出现故障,重新建立链路会导致超过IOs的中断时间,即将会出现较长的中断时间,从 而无法满足快速可靠性切换要求。
发明内容
本发明实施例提供了一种互联网协议安全链路保护方法和装置,以减小因互联网 协议安全链路中断而导致的数据传输中断的时间,从而实现互联网协议安全链路的快速倒换。本发明实施例采用以下技术方案本发明实施例提供了一种互联网协议安全链路保护方法,包括当检测到第一主用IPSec链路故障时,更新所述第一主用IPSec链路关联的一对 安全关联 SA (Security Association,安全关联);根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性,从IPSec本端 节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路 中选择第二主用IPSec链路,通过所述第二主用IPSec链路向远端传输需要安全保护的出 站报文。本发明实施例提供了一种互联网协议安全链路保护装置,包括更新模块,用于当检测到第一主用IPSec链路故障时,更新所述第一主用IPSec链 路关联的一对安全关联SA ;选择模块,用于根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属 性,从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多 条单向IPSec链路中选择第二主用IPSec链路;传输模块,通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文。本发明实施例提供的技术方案中,通过在检测到主用IPSec链路故障时,更新所 述主用IPSec链路关联的一对SA,并根据IPSec本端节点维护的与IPSec链路关联的SA 的优先级属性,从预先建立的多条IPSec链路中重新选出一条继续作为主用的IPSec链路,通过所述重新选择的主用IPSec链路向远端传输需要安全保护的出站报文,避免了重建 IPSec链路或者重新协商安全参数,从而实现IPSec链路快速倒换,本发明实施例中IPSec 链路主备故障倒换时间可以做到毫秒级,同时由于对远端IPSec节点并无特性要求,因此 具有很好的兼容性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其它的附图。图1为本发明实施例提供的互联网协议安全链路保护方法的一种应用场景示意 图;图2本发明实施例提供的一种互联网协议安全链路保护方法的流程图;图3为本发明实施例提供的互联网协议安全链路保护方法的一种应用场景示意 图;图4为本发明实施例提供的在图3的应用场景中IPSec策略设置原理示意图;图5为本发明实施例提供的互联网协议安全链路保护方法的另一种应用场景示 意图;图6为本发明实施例提供的在图5的应用场景中IPSec策略设置原理示意图;图7为本发明实施例提供的一种互联网协议安全链路保护装置的结构示意图;图8为本发明实施例提供的另一种互联网协议安全链路保护装置的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它 实施例,都属于本发明保护的范围。如图2所示,本发明实施例提供一种互联网协议安全链路保护方法,可以应用于 如图1所示的组网环境下,该方法可以包括201、当检测到第一主用IPSec链路故障时,更新所述第一主用IPSec链路关联的 一对安全关联SA ;具体的,步骤201中更新所述第一主用IPSec链路关联的一对安全关联SA,可以包 括删除所述第一主用IPSec链路对应的一对安全关联SA或修改所述第一主用IPSec链路 对应的该对SA的优先级属性,修改后的优先级属性使得该对SA不会成为优选条目。202、根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性,从IPSec 本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec 链路中选择第二主用IPSec链路,通过所述第二主用IPSec链路向远端传输需要安全保护 的出站报文。在一种实现下,其中选择第二主用IPSec链路的过程具体包括,比较IPSec本端节点维护的与IPSec链路关联的SA的优先级属性;从所述分别指向远端不同可用节点的多条 单向IPSec链路中,确定优先级属性最高的SA关联的IPSec链路为第二主用IPSec链路。 需要说明的是,当优选结果不唯一就负载均衡,即通过第二主用IPSec链路(多条)以负载 均衡的方式向远端传输需要安全保护的出站报文。需要说明的是,前述涉及的第一和第二仅仅为了方便描述以区别两者而已,不代 表顺序。为了便于描述本发明实施例的方案,下面结合图1对下文将要涉及的IPSec技术 体系中的一些主要对象先进行说明如图1所示,为本发明实施例互联网协议安全链路保护方法的应用场景示意图, 其中,IPSec本端节点和IPSec远端节点,例如可以是支持IPSec功能的网关设备、接入设 备、主机设备、终端设备等;IPSec链路,指的是两端IPSec实体之间建立的一条IPSec逻辑通道,该通道受到 IPSec机制的保护(例如加密、认证、隧道封装等);IPSec ACL(Access Control List,访问控制列表),指的是在IPSec节点设备上配 置的,用于筛选出哪些数据流量(即出站报文)需要被IPSec保护的过滤列表;可以理解的 是,通过IPSec ACL,数据流被分成需要安全保护的报文和不需要安全保护的报文。针对需 要安全保护的报文,通过IPsec链路来进行传输。Security Proposal (安全提议),其配置在IPSec节点设备上,用于设定IPSec链 路将要使用怎样的安全参数,例如,加密算法、认证算法、隧道模式等;互联网协议安全策略(IPSec Policy),其配置在IPSec节点设备上,IPSecPolicy 在配置时会关联IPSec ACL和Security Proposal,并最终被应用绑定到IPSec节点设备的 出接口上;IPSec SA(Security Association,安全关联),其被维护在IPSec节点设备上, 当IPSec Policy发生作用(产生动作),根据Security Proposal的设定,与对端节点协 商出合适的链路安全参数后,并在IPSec节点设备里生成SA,SA是成对出现的,分别用于 出站(Outbound)方向和入站(Inbound)方向,分别负责Outbound方向的数据安全封装和 Inbound方向的IPSec报文解封装。简单来说,一条IPSec链路,在其一端的节点设备上就 会对应着一对SA。在一种实现下,本发明实施例的互联网协议安全链路保护方法进一步包括在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路,所述 IPSec链路包括具有不同优先级属性的、传输方向分别指向远端不同可用节点的单向 IPSec链路。具体的过程包括,配置多条IPSec Policy,将所述多条IPSec Policy绑定到同一 IPSec ACL,其中 所述多条IPSec Policy分别指定远端的不同可用节点,且具有不同的优先级属性;当首发出站报文欲从IPSec本端节点的出接口发出时,命中(或匹配)到一 IPSec ACL后触发关联的多条IPSec Policy同时动作,生成多对SA及建立对应的多条IPSec链 路,其中每对SA具有从对应的IPSec Policy继承的优先级属性,不同IPSec链路具有不同 的优先级属性。相应的,系统初始化时,所述方法还包括
6
根据具有从对应的IPSec Policy继承的优先级属性的多对SA中,选择优先级属 性最高的一对SA所对应的IPSec链路作为第一主用IPSec链路,通过所述第一主用IPSec 链路向远端传输所述需要安全保护的首发出站报文。可见,本发明实施例提供的技术方案中,通过在检测到当前主用IPSec链路故障 时,更新所述主用IPSec链路关联的一对SA,并根据IPSec本端节点维护的与IPSec链路 关联的SA的优先级属性,从预先建立的多条IPSec链路中重新选出一条继续作为主用的 IPSec链路,通过所述重新选择的主用IPSec链路向远端传输需要安全保护的出站报文,避 免了重建IPSec链路或者重新协商安全参数,从而实现IPSec链路快速倒换,本发明实施例 中IPSec链路主备故障倒换时间可以做到毫秒级,同时由于对远端IPSec节点并无特性要 求,因此具有很好的兼容性。下面结合具体的应用场景来详细描述本发明实施例的方法如图3所示,为本发明实施例的互联网协议安全链路保护方法的一种应用场景示 意图,在所述应用场景中,本端设备是一台业务终端Client,远端设备是两台(或更多) IPSec网关设备IPSecGW,所述IPSecGW可以为支持IPSec功能的防火墙。此种应用场景较 为广泛,例如远程办公人员通过Internet接入到公司内部网络,即为此种场景。其具体实 施步骤如下1、业务终端 Client 配置 IPSec ACL(Access Control List,访问控制列表),用于 匹配Client端发起的、需要由IPSec链路保护的流量(相应的,远端IPSecGW上也需要配 置 IPSec ACL);2、业务终端Client配置IPSec Proposal,用于指定IPSec链路安全参数(相应 的,远端SecGW上也需要配置IPSec Proposal);3、业务终端Client配置多条IPSec Policy (IPSec策略),所述Policy绑定相同 的IPSec ACL和IPSec Proposal,且分别指定远端的多台IPSec网关设备(相应的,远端每 台IPSecGW上仅需配置一条IPSec Policy,绑定IPSec ACL和IPSec Proposal,指向本端 业务终端Client即可);4、业务终端Client的出接口上同时绑定这多条IPSec Policy,并为所述IPSec Policy指定不同的优先级(相应的,远端SecGW也将IPSec Policy绑定到出接口上),如 图4所示,在业务终端IPSec Client出接口上同时绑定了两个IPSecPolicy,分别为IPSec Policyl 和 IPSec Policy2,其中为 IPSec Policyl 指定的优先级为 100,为 IPSec Policy2 指定的优先级为80 ;5、当业务终端Client试图从出接口向远端IPSec网关设备发送报文时,首先将 报文信息交给IPSec ACL进行筛选比对,如果与所述IPSec ACL相匹配(即命中IPSec ACL),就会触发多条与所述ACL绑定IPSec Policy同时动作,在业务终端Client上生成 多对IPSec SA(相应的,远端每台IPSecGW也会生成SA);每对SA也具备优先级属性,其优 先级直接在初始化生成SA的阶段从相应的IPSecPolicy继承过来;即相当于在业务终端 Client与远端多个IPSec网关设备之间建立了具有不同优先级属性的多条IPSec链路;6、业务终端Client从Outbound方向的多条IPSec链路中,选择优先级最高的一 对SA所对应的IPSec链路作为当前主用链路(称为第一主用链路),其余为备用IPSec链 路,并在所述第一主用链路上对出站报文进行安全保护和有效转发(如果优选结果不唯一
7就负载均衡);而对于远端某个IPSec网关设备发送过来的入站IPSec报文,匹配对应于所 述IPSec网关的SA对其进行IPSec解封装即可;需要说明的是,可以利用DPD、KeepAlive 等机制实现对业务终端与远端IPSec网关设备之间的Outbound方向的多条IPSec链路进 行通断检测和长期保活;7、当检测到第一主用IPSec链路故障时,删除业务终端上维护的第一主用IPSec 链路对应的一对SA或降低所述SA的优先级,优先级降低的幅度以确保所述第一主用IPSec 链路不会再被选为主用;并比较业务终端上维护的与IPSec链路关联的SA的优先级属性; 从Outbound方向的IPSec链路中,确定优先级属性最高的SA关联的IPSec链路为第二主 用IPSec链路,并通过所述第二主用IPSec链路向远端继续传输出站报文;当检测到某一备用IPSec链路故障时,删除所述备用IPSec链路对应的一对SA或 降低所述SA的优先级,以确保当第一主用IPSec链路故障时,所述备用IPSec链路不会被 选为第二主用IPSec链路;8、当主用IPSec链路故障时,远端的IPSec网关通过故障检测和联动机制触发内 部网络拓扑信息收敛,从而可确保整个系统端到端可靠性故障倒换一致性和报文来回路径 的一致性。可见,本发明实施例中,业务终端Client发起的流量在穿越IP网络时希望由 IPSec来保护,通过IPSec网关转发进入Internal Network的过程中,业务终端Client与 多台可用的远端IPSec网关之间同时建立起多条IPSec链路,从业务终端Client发起的业 务流量会优选其中一条IPSec链路进行传输,一旦该IPSec链路发生故障,业务终端Client 更新所述IPSec链路关联的一对SA,并根据业务终端Client维护的与IPSec链路关联的 SA的优先级属性,从预先建立的多条IPSec链路中选出一条继续作为主用的IPSec链路,从 而实现IPSec链路快速倒换,可以做到毫秒级。同时由于对远端IPSec节点并无特性要求, 因此具有很好的兼容性。如图5所示,为本发明实施例的互联网协议安全链路保护方法的另一种应用场景 示意图,在所述应用场景中,本端设备是一台网关,远端设备是两台(可以更多)IPSec网关 设备,所述IPSec网关设备可以为支持IPSec功能的防火墙。此种应用场景也较为广泛,例 如分支机构网络和总部网络之间通过Internet搭建安全隧道,实现多个分布式网络之间 的异地协同,即为此种场景。其具体实施步骤如下1'、本端网关设备上配置IPSec ACL,用于匹配从本端网络发起的,去往远端网络 的,需要由IPSec保护的流量(相应的,远端IPSecGW上也需要配置IPSecACL);2'、本端网关设备上配置IPSec Proposal,用于指定IPSec链路安全参数(相应 的,远端IPSecGW上也需要配置IPSec Proposal);3'、本端网关设备上配置多条IPSec Policy,所述Policy绑定相同的IPSecACL 和IPSec Proposal,且分别指定远端的多台IPSec网关(相应的,远端每台SecGW上仅需配 置一条IPSec Policy,绑定IPSec ACL和IPSec Proposal,指向本端网关设备即可);4'、在本端网关设备的出接口上同时绑定这多条IPSec Policy,并为所述IPSec Policy指定不同的优先级(相应的,远端SecGW也将Policy绑定到出接口上),如图6所 示,在本端网关设备出接口上同时绑定了两个IPSec Policy,分别为IPSec Policyl和 IPSec Policy2,其中为IPSec Policyl指定的优先级为100,为IPSec Policy2指定的优先级为80 ;5'、当本端网关设备出接口向远端IPSec网关转发本端网络欲发往远端网络的 报文时,首先将报文信息交给IPSec ACL进行筛选比对,如果与IPSec ACL相匹配,触发与 所述IPSec ACL关联的多条IPSec Policy同时动作,在本端网关设备上建立起多对IPSec SA(相应的,远端每台IPSecGW也会生成SA);每对SA也具备优先级属性,其优先级直接在 初始化建立SA的阶段从相应的IPSec Policy继承过来;即相当于在本端网关设备与远端 多个IPSec网关之间建立了 Outbound方向、具有不同优先级属性的多条IPSec链路;6'、本端网关设备从Outbound方向的多条IPSec链路中,选择优先级最高的一 对SA所对应的IPSec链路作为当前主用链路(称为第一主用链路),其余为备用IPSec链 路,并在所述第一主用链路上对由本端网关设备转发的出站报文进行安全保护和有效转发 (如果优选结果不唯一就负载均衡);而对于远端某个IPSec网关发送过来的入站IPSec报 文,匹配对应于所述IPSec网关的SA对其进行IPSec解封装即可;需要说明的是,可以利用 DPD、KeepAlive等机制实现对本端网关设备与远端IPSec网关设备之间的Outbound方向 的多条IPSec链路进行通断检测和长期保活;7'、当检测到第一主用IPSec链路故障时,删除本端网关设备上维护的第一主用 IPSec链路对应的一对SA或降低所述SA的优先级,优先级降低的幅度以确保所述第一主用 IPSec链路不会再被选为主用;并比较本端网关设备上维护的与IPSec链路关联的SA的优 先级属性;从Outbound方向的IPSec链路中,确定优先级属性最高的SA关联的IPSec链路 为第二主用IPSec链路,并通过所述第二主用IPSec链路向远端继续传输出站报文;当检测到某一备用IPSec链路故障时,删除所述备用IPSec链路对应的一对SA或 降低所述SA的优先级,以确保当第一主用IPSec链路故障时,所述备用IPSec链路不会被 选为第二主用IPSec链路;8'、当主用IPSec链路故障时,远端的IPSec网关通过故障检测和联动机制触发 内部网络拓扑信息收敛,从而可确保整个系统端到端可靠性故障倒换一致性和报文来回路 径的一致性。可见,本发明实施例提供的技术方案中,本端网关设备连接着本端网络,本端网络 向远端网络发起的流量,在经过IP网络时需要由IPSec机制保护,这些流量由本端网关 设备进行IPSec封装并转发给远端IPSecGW,再由远端IPSecGW进行IPSec解封装并转发 进入远端网络的过程中,本端网关设备与多台可用的远端IPSec网关之间同时建立起多条 IPSec链路,从本端网络发起去往远端网络的业务流量会优选其中一条IPSec链路进行传 输,一旦该IPSec链路发生故障,本端网关设备更新所述IPSec链路关联的一对SA,并根据 本端网关设备维护的与IPSec链路关联的SA的优先级属性,从预先建立的多条IPSec链路 中选出一条继续作为主用的IPSec链路,从而实现IPSec链路快速倒换,可以做到毫秒级。 同时由于对远端IPSec节点并无特性要求,因此具有很好的兼容性。如图7所示,本发明实施例提供了一种互联网协议安全链路保护装置,包括更新模块701,用于当检测到第一主用IPSec链路故障时,更新所述第一主用 IPSec链路关联的一对安全关联SA ;具体可以为删除所述第一主用IPSec链路对应的一对 安全关联SA或修改所述第一主用IPSec链路对应的该对SA的优先级属性,修改后的优先 级属性使得该对SA不会成为优选条目。
9
选择模块702,用于根据IPSec本端节点维护的与IPSec链路关联的SA的优先级 属性,从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的 多条单向IPSec链路中重新选择第二主用IPSec链路;传输模块703,用于通过所述第二主用IPSec链路向远端传输需要安全保护的出 站报文。在一种实现下,所述选择模块702具体包括比较单元,用于比较IPSec本端节点维护的与IPSec链路关联的SA的优先级属 性;确定单元,用于从所述分别指向远端不同可用节点的多条单向IPSec链路中,确 定优先级属性最高的SA关联的IPSec链路为第二主用IPSec链路。可见,在本发明实施例提供的互联网协议安全链路保护装置中,通过在检测到主 用IPSec链路故障时,更新所述主用IPSec链路关联的一对SA,并根据IPSec本端节点维 护的与IPSec链路关联的SA的优先级属性,从预先建立的多条IPSec链路中重新选出一条 继续作为主用的IPSec链路,通过所述重新选择的主用IPSec链路向远端传输需要安全保 护的出站报文,避免了重建IPSec链路或者重新协商安全参数,从而实现IPSec链路快速倒 换,本发明实施例中IPSec链路主备故障倒换时间可以做到毫秒级,同时由于对远端IPSec 节点并无特性要求,因此具有很好的兼容性。如图8所示,本发明实施例提供又一种互联网协议安全链路保护装置,除包括上 述更新模块701、选择模块702和传输模块703外,还包括链路建立模块801,用于在IPSec本端节点与远端不同可用节点之间建立对应的 多条IPSec链路,所述IPSec链路包括具有不同优先级属性的、传输方向分别指向远端不 同可用节点的单向IPSec链路。在一种实现下,所述链路建立模块801,具体包括绑定单元,用于将配置的多个IPSec Policy绑定同一 IPSecACL,其中所述多条 IPSec Policy分别指定远端的不同可用节点,且具有不同的优先级属性;生成单元,用于当首发出站报文欲从IPSec本端节点的出接口发出时,命中到一 IPSecACL后触发关联的多个IPSec Policy同时动作,生成多对SA及对应的多条IPSec链 路,其中每对SA具有从对应的IPSec Policy继承的优先级属性。以及,相应的,系统初始化时,选择模块702进一步用于根据具有从对应的IPSec Policy继承的优先级属性的多对SA中,选择优先级属性最高的一对SA所对应的IPSec链 路作为第一主用IPSec链路;传输模块703进一步用于通过所述第一主用IPSec链路向远端传输所述需要安全 保护的首发出站报文。可见,本发明实施例提供的互联网协议安全链路保护装置,通过在检测到主用 IPSec链路故障时,更新所述主用IPSec链路关联的一对SA,并根据IPSec本端节点维护的 与IPSec链路关联的SA的优先级属性,从预先建立的多条IPSec链路中重新选出一条继续 作为主用的IPSec链路,通过所述重新选择的主用IPSec链路向远端传输需要安全保护的 出站报文,避免了重建IPSec链路或者重新协商安全参数,从而实现IPSec链路快速倒换, 本发明实施例中IPSec链路主备故障倒换时间可以做到毫秒级,同时由于对远端IPSec节点并无特性要求,因此具有很好的兼容性。需要指出的是,本发明实施例提供的互联网协议安全链路保护装置,可以应用于 网关设备或客户终端设备当中,凡是本领域技术人员根据本发明实施例所提供的内容在不 付出创造性劳动的前提下而获得的其他实施例,都应当属于本发明的保护范围之内。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
权利要求
一种互联网协议安全链路保护方法,其特征在于,包括当检测到第一主用IPSec链路故障时,更新所述第一主用IPSec链路关联的一对安全关联SA;根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性,从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中选择第二主用IPSec链路,通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文。
2.根据权利要求1所述的互联网协议安全链路保护方法,其特征在于,所述方法进一 步包括在IPSec本端节点与远端不同可用节点之间建立对应的多条IPSec链路,所述IPSec 链路包括具有不同优先级属性的、传输方向分别指向远端不同可用节点的单向IPSec链路。
3.根据权利要求1所述的互联网协议安全链路保护方法,其特征在于,所述更新所述 第一主用IPSec链路关联的一对安全关联SA,包括删除所述第一主用IPSec链路对应的一对安全关联SA或修改所述第一主用IPSec链 路对应的该对SA的优先级属性,修改后的优先级属性使得该对SA不会成为优选条目。
4.根据权利要求2所述的互联网协议安全链路保护方法,其特征在于,所述在IPSec本 端节点与远端不同可用节点之间建立对应的多条IPSec链路,包括将配置的多个互联网协议安全策略IPSec Policy绑定同一互联网协议安全访问控制 列表IPSecACL,其中所述多条IPSec Policy分别指定远端的不同可用节点,且具有不同的 优先级属性;当首发出站报文欲从IPSec本端节点的出接口发出时,命中到一 IPSecACL后触发关联 的多个IPSec Policy同时动作,生成多对SA及对应的多条IPSec链路,其中每对SA具有 从对应的IPSec Policy继承的优先级属性。
5.根据权利要求4所述的互联网协议安全链路保护方法,其特征在于,所述当检测到 第一主用IPSec链路故障时,更新所述第一主用IPSec链路关联的一对安全关联SA的步骤 之前,进一步包括根据具有从对应的IPSec Policy继承的优先级属性的多对SA中,选择优先级属性最 高的一对SA所对应的IPSec链路作为第一主用IPSec链路,通过所述第一主用IPSec链路 向远端传输所述需要安全保护的首发出站报文。
6.根据权利要求1所述的互联网协议安全链路保护方法,其特征在于,所述根据IPSec 本端节点维护的与IPSec链路关联的SA的优先级属性,从IPSec本端节点与远端不同可用 节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中重新选择第二主用 IPSec链路,包括比较IPSec本端节点维护的与IPSec链路关联的SA的优先级属性;从所述分别指向远端不同可用节点的多条单向IPSec链路中,确定优先级属性最高的 SA关联的IPSec链路为第二主用IPSec链路。
7.—种互联网协议安全链路保护装置,其特征在于,包括更新模块,用于当检测到第一主用IPSec链路故障时,更新所述第一主用IPSec链路关联的一对安全关联SA ;选择模块,用于根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性,从 IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向 IPSec链路中选择第二主用IPSec链路;传输模块,通过所述第二主用IPSec链路向远端传输需要安全保护的出站报文。
8.根据权利要求7所述的互联网协议安全链路保护装置,其特征在于,还包括链路建立模块,用于在IPSec本端节点与远端不同可用节点之间建立对应的多条 IPSec链路,所述IPSec链路包括具有不同优先级属性的、传输方向分别指向远端不同可 用节点的单向IPSec链路。
9.根据权利要求7所述的互联网协议安全链路保护装置,其特征在于,所述更新模块 具体用于删除所述第一主用IPSec链路对应的一对安全关联SA或修改所述第一主用IPSec 链路对应的该对SA的优先级属性,修改后的优先级属性使得该对SA不会成为优选条目。
10.根据权利要求8所述的互联网协议安全链路保护装置,其特征在于,所述链路建立 模块包括绑定单元,用于将配置的多个互联网协议安全策略IPSec Policy绑定同一互联网协议 安全访问控制列表IPSec ACL,其中所述多条IPSec Policy分别指定远端的不同可用节点, 且具有不同的优先级属性;生成单元,用于当首发出站报文欲从IPSec本端节点的出接口发出时,命中到一 IPSecACL后触发关联的多个IPSec Policy同时动作,生成多对SA及对应的多条IPSec链 路,其中每对SA具有从对应的IPSec Policy继承的优先级属性。
11.根据权利要求10所述的互联网协议安全链路保护装置,其特征在于,所述选择模 块包括比较单元,用于比较IPSec本端节点维护的与IPSec链路关联的SA的优先级属性;确定单元,用于从所述分别指向远端不同可用节点的多条单向IPSec链路中,确定优 先级属性最高的SA关联的IPSec链路为第二主用IPSec链路。
全文摘要
本发明实施例公开了一种互联网协议安全链路保护方法和装置,涉及通信技术领域。所述互联网协议安全链路保护方法包括当检测第一主用IPSec链路故障时,更新第一主用IPSec链路关联的一对SA;根据IPSec本端节点维护的与IPSec链路关联的SA的优先级属性,从IPSec本端节点与远端不同可用节点之间建立的、分别指向远端不同可用节点的多条单向IPSec链路中选择第二主用IPSec链路,通过其向远端传输需要安全保护的出站报文,从而避免了重建IPSec链路或者重新协商安全参数,从而实现IPSec链路快速倒换,本发明实施例中IPSec链路主备故障倒换时间可以做到毫秒级,同时由于对远端IPSec节点并无特性要求,因此具有很好的兼容性。
文档编号H04L12/24GK101931610SQ200910148299
公开日2010年12月29日 申请日期2009年6月22日 优先权日2009年6月22日
发明者周靓 申请人:华为技术有限公司