一种防重放机制中的信息同步方法、装置和系统的制作方法

专利名称：一种防重放机制中的信息同步方法、装置和系统的制作方法
技术领域：
本发明涉及互联网技术领域，尤其涉及一种防重放机制中的信息同步方 法、装置和系统。
背景技术：
IPSec (Internet Protocol Security,互联网协i义安全)是一个工业标准网络 安全协议，为IP (Internet Protocol,互联网协i义)网络通信提供透明的安全 服务，可以保护TCP ( Transmission Control Protocol,传输控制协议)/IP通信 免遭窃听和篡改，有效抵御网络攻击，同时保持易用性，还可以提供访问控 制、无连接的完整性、数据来源验证、防重放和机密性。IPSec协议不是一个 单独的协议，而是应用于IP层上网络数据安全的一整套体系结构，包括AH (Authentication Header,验证头)、ESP (Encapsulating Security Payload，封 装安全载荷协议)、IKE (Internet Key Exchange,密钥管理协议)和用于网络 认证及加密的 一 系列算法。
IPSec的基础为SA ( Security Association，安全联盟)，SA是两个通信实 体协商建立起来的一种协定，决定了用来保护数据包安全的IPSec协议、密 钥以及密钥的有效存在时间。IPSec实施方案会构建一个SADB (Security Association Database,安全联盟数据库)，由该SADB维护IPSec协议和保障 数据包安全的SA记录。SA具有单向性，入方向和出方向各需要配置一个独 立的SA，分别称为入站SA和出站SA; SA还具有协议相关性，AH和ESP 各需要配置一个独立的SA。 SA由手工或自动协商创建，其中，手工方式创 建的SA只能手动删除，协商方式创建的SA既可手动删除，也可以依照时间 或流量为周期自动删除。
作为IPSec的一项重要的安全功能，防重放机制用于检测和拒绝被恶意重 复发送的数据，该机制涉及到防重放序号(Anti-Replay Sequence)和防重放窗口 ( Anti-Replay Windows )，其中，防重放序号为ESP和AH中定义的单向 递增的序列号，该序列号由IPSEC客户端插在ESP头或者AH头中，IPSec 服务器端可以通过检测报文的序列号防止重放攻击，当IPSec服务器端接收到 重复序号或者过期序号的IPSec报文时，则判定该报文为重放报文；IPSec服 务器端根据接收到的IPSec报文滑动防重放窗口 ，如果接收到的IPSec报文落 在防重放窗口左边或者已经收到，则判定该报文为重放报文，防重放窗口的 大小可以配置指定。
在IPSec的实际应用中，需要中心站点和远程节点之间建立IPSec VPN (Virtual Private Network,虚拟专用网络)。为了增强中心站点的可靠性，通 常采用VRRP (Virtual Router Redundancy Protocol,虚拟路由器冗余协议)来 实现中心站点主设备和备^i殳备的切换。VRRP是一种容错协议，可以保证当 主机的下一跳路由器坏掉时，及时地由另一台路由器来代替，从而保持通讯 的连续性和可靠性。VRRP将可以承担网关功能的一组路由器加入到备份组 中，形成一台虛拟路由器，由VRRP的选举机制决定承担转发任务的路由器， 局域网内的主机只需将虚拟路由器配置为缺省网关。VRRP在局域网中的某台 路由器出现故障时，仍然能够提供可靠性高的缺省链路，有效避免单一链路 发生故障后网络中断的问题。
如图1所示，为现有技术中的一种VRRP冗余备份的组网结构示意图。 中心站点由两台VPN网关互为备份组成，其中一台VPN网关作为主设备处 于active状态，另外一台作为备^i殳备处于standby状态，所有的分支节点与 中心站点的主设备建立IPSec VPN， IPSEC主设备将所有分支节点的IPSec会 话信息全部备份到IPSec备份设备上。
现有技术中，IPSec防重放机制根据IPSec处理的报文数进行信息同步， 主设备在接收到一定数量的IPSec报文后，与a设备同步IPSEC入站SA的 防重放窗口和出站SA的防重》t^号。
然而，发明人在实现本发明的过程中，发现现有技术至少存在以下缺陷
当中心站点发生冷故障时，由于主备设备之间无法及时同步防重放信息， 导致冷故障恢复后分支节点与中心站点的防重放信息不同步，中心站点向分支节点发送的正常报文会被分支节点作为重放报文丢弃，进而造成VPN流量 的中断。

发明内容
本发明提供了一种防重放机制中的信息同步方法、装置和系统，可以在中 心站点的冷故障恢复后及时更新防重i文信息。
本发明提供了 一种防重放机制中的信息同步方法，应用于包括主网关设 备、备份网关设备和分支网关设备的网络系统中，所述主网关设备和所述备 份网关设备互为备盼，所述方法包括以下步骤
主备切换前，所述备份网关设备接收来自所述主网关设备的防重放信息；
主备切换后，所述备份网关设备根据所述主备切换前的防重放信息获取 主备切换后出站安全联盟SA的防重放序号；
所述备份网关设备通知所述分支网关设备根据所述主备切换后出站SA 的防重放序号更新防重放窗口 。
优选地，所述主备切换前的防重放信息包括主备切换前出站SA的防重放 序号和出站SA在设定时间内处理报文数的最大值，
所述备份网关设备才艮据主备切换前的防重方文信息获取主备切换后出站SA 的防重放序号，具体为
所述备份网关设备对所述主备切换前出站SA的防重》饼号和所述出站 SA在设定时间内处理报文数的最大值进4亍累加，将所述累加的结果作为所述 主备切换后出站SA的防重》饼号。
优选地，所述备份网关设备通知所述分支网关设备根据所述主备切换后 出站SA的防重放序号更新防重放窗口，具体包括
所述备份网关设备根椐所述主备切换后出站SA的防重^b^号构造防重 放序号通知载荷消息；
所述备份网关设备向所述分支网关设备发送所述防重方t^号通知载荷消 息，使所述分支网关设^^根据所述防重放序号通知载荷消息更新防重放窗口 。
优选地，所述防重放序号更新载荷消息采用密钥管理协议IKE SA保护。本发明还提供了一种网关设备，应用于包括主网关设备、备份网关设备 和分支网关设备的网络系统中，所述主网关设备和所述备份网关设备互为备
份，所述网关设备在所述网络系统中充当主网关设备或备份网关设备，包括
收发模块，用于在所述网关设备充当主网关设备时，向备份网关设备发 送防重放信息，或者在所述网关设备充当备份网关设备时，接收来自主网关 设备的防重放信息；
获取模块，与所述收发模块电性连接，用于根据所述收发模块接收到的 主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号；
通知模块，与所述获取模块电性连接，用于根据所述获取模块获取的主 备切换后出站SA的防重放序号，通知所述分支网关设^^艮据所述主备切换后 出站SA的防重放序号更新防重放窗口。
优选地，所述防重放信息包括主备切换前出站SA的防重放序号和出站 SA在设定时间内处理才艮文数的最大值；
所述网关设备，还包括
监控模块，用于监控出站SA在设定时间内处理报文数的最大值；
所述收发模块，与所述监控模块电性连接，在所述网关设备充当主网关 设备时，具体用于将所述监控模块获取的所述出站SA在设定时间内处理报文 数的最大值同步到所述备份网关设备，并向所述备份网关设备发送防重放控 制消息，所述防重放消息中携带主备切换前出站SA的防重放序号；
所述获f^莫块，具体用于对所述主备切换前出站SA的防重^Uf号和所述出 站SA在设定时间内处理报文数的最大值进行累加，将所述累加的结果作为所述 主备切换后出站SA的防重力t^号。
优选地，所述通知模块，具体用于根据所述主备切换后出站SA的防重放 序号构造防重放序号通知载荷消息，并向所述分支网关设备发送所述防重放 序号通知载荷消息，使所述分支网关设备根据所述防重放序号通知载荷消息 更新防重it窗口。
优选地，所述通知^^莫块，还用于对所述防重i文序号更新载荷消息采用密 钥管理协议IKE SA保护。本发明还提供了 一种防重放机制中的信息同步系统，包括主网关设备、 备份网关设备和分支网关设备，所述主网关设备和所述备份网关设备互为备 份，
所述主网关设备，用于在主备切换前向所述备份网关设备发送防重放信
自
所述备份网关设备，用于在主备切换前接收来自所述主网关设备的防重 放信息，在主备切换后根据所述主备切换前的防重放信息获取主备切换后出
站安全联盟SA的防重放序号，并根据所述主备切换后出站SA的防重放序号 通知所述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重 放窗口；
所述分支网关设备，用于根据所述主备切换后出站SA的防重放序号更新 自身的防重放窗口。
优选地，所述防重放信息包括主备切换前出站SA的防重放序号和出站 SA在设定时间内处理报文数的最大值；
所述主网关设备，具体用于监控出站SA在设定时间内处理报文数的最大 值，将所述出站SA在设定时间内处理报文数的最大值同步到所述备份网关设 备，并向所述备份网关设备发送防重放控制消息，所述防重放消息中携带备 切换前出站SA的防重放序号。
与现有技术相比，本发明具有以下优点
本发明通过IPSEC主备环境下防重放信息的同步，使中心站点在冷故障 恢复后能够及时通告分支节点更新防重放窗口，提高了 IPSEC主备环境下防 重放机制的可靠性。
图1为现有技术中的一种VRRP冗余备份的组网结构示意图； 图2为本发明中的一种防重放机制中的信息同步方法流程图； 图3为本发明中的一种防重放机制中的信息同步应用场景流程图; 图4为本发明中的分支网关设备的防重放窗口的更新示意

图5为本发明中的一种网关设备的结构示意图6为本发明中的一种防重》文才几制中的信息同步系统结构示意图。
具体实施例方式
本发明提供的技术方案中，其核心思想为主网关设备和备份网关设备定 期同步防重放信息，主备切换后备份网关设备根据主备切换前的防重放信息 获取主备切换后出站SA的防重放序号，并通知分支网关设备更新防重放窗 口 。
如图2所示，为本发明中的一种防重力文机制中的信息同步方法流程图，
应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中，主网
关设备和备份网关设备互为备份，该方法包括以下步骤
步骤201，主备切换前，备份网关设备接收来自主网关设备的防重放信息。 其中，主备切换前的防重放信息包括主备切换前出站SA的防重放序号、
入站SA的防重放窗口的初始值和出站SA在设定时间内处理报文数的最大值。
具体地，备份网关设备通过与主网关设备之间的控制通道，定期接收来 自主网关设备的防重放控制消息，该消息中包含SADB中的所有出站SA的 防重放序号和所有入站SA的防重放窗口的起始值。同时，主网关设备还可以 监控出站SA在设定时间内处理报文数的最大值，并将该最大值同步到备份网 关设备。
步骤202,主备切换后，备份网关设备根据主备切换前的防重放信息获取 主备切换后出站SA的防重》饼号。
其中，主备切换后出站SA的防重力饼号为主备切换前出站SA的防重放 序号和出站SA在设定时间内处理报文数的最大值的累加值。^f分网关设备对 主备切换前出站SA的防重i文序号和出站SA在设定时间内处理l艮文数的最大值 进行累力口，将该累加的结果作为主备切换后出站SA的防重放序号。
步骤203,备份网关设备通知分支网关设备根据主备切换后出站SA的防 重放序号更新防重放窗口 。具体地，备份网关设备根据主备切换后出站SA的防重》文序号构造防重放序 号通知载荷消息，并将该防重放序号通知载荷消息发送到分支网关设备，通知 分支网关设备根据主备切换后出站SA的防重放序号更新自身的防重放窗口 。
本发明通过IPSEC主备环境下防重放信息的同步，解决了中心站点在冷故 障恢复后无法及时通告分支节点更新防重放窗口的问题，提高了 IPSEC主备环 境下防重放机制的可靠性。
以下结合具体的应用场景，对本发明中的信息同步方法进行详细、具体的 描述。
如图3所示，为本发明中的一种防重放才几制中的信息同步应用场景^^呈图， 包括以下步骤
步骤301 ，在主网关设备和备份网关设备之间建立并维护控制通道。 其中，控制通道用于同步主网关设备和备除网关设备之间的会活信息，以
及其他的控制消息。
步骤302，主网关设备以Tl为周期向名"f分网关设备发送防重放控制消息。 其中，防重放控制消息用于向名」盼网关设备发布SADB中的出站SA的防
重放序号和入站SA的防重放窗口的起始值。如表1所示，为防重放控制消息的
结构表。
_表1防重j文控制消息的结构表_
Remote Address (IPv4或IPv6 )
Security Parameter Index(es) (SPI) Protocol (AH/ESP/IPCOMP)
Anti画Heplay Sequence/Anti-Heplay Windows的;^始1直Remote Address (IPv4或IPv6 )
Security Parameter Index(es) (SPI) Protocol (AH/ESP/IPCOMP )
Anti-Replay Sequence/ Anti-Replay Windows的起始值
防重放控制消息中，Remote Address、 SPI和Protocol构成SA的三元组信 息，唯一标识一个SA, Anti-Replay Sequence为出站SA的防重力文序号， Anti-Replay Windows的起始值为入站SA防重放窗口的起始值。防重放控制消 息中携带SADB中的所有出站SA的防重放序号和所有入站SA的防重放窗口 的起始值，^始地址开始依次排列。
备P分网关设备接收到防重放控制消息后，首先解析该防重》文控制消息中的 第一个SA，根据第一个SA的三元组信息查找本地的SA，如果第一个SA为入 站SA，则更新该入站SA的防重放窗口的起始值，如果第一个SA为出站SA, 更新该出站SA的防重放序号，然后继续解析防重》文控制消息中的第二个SA， 直到更新完本地SADB中的所有SA的防重放窗口的初始值和防重放序号。
需要说明的是，主网关设^^发送防重放控制消息的周期Tl可以为固定值， 也可以根据用户的需求动态修改，Tl的取值不影响本发明的保护范围。
步骤303,主网关设备监控T2内出站SA处理报文数的最大值M，并将该 最大值M同步到名"f分网关设备。
其中，出站SA处理报文数的最大值M用于表示出站SA在T2内处理报文 的最大能力，T2可以根据经验值设定， 一般为1至2分钟。
需要说明的是，本发明中的T2可以为固定值，也可以才艮据用户的需求动态 修改，T2的取值不影响本发明的保护范围。
步骤304,主网关设备故障时，与备f分网关设备进行主备切换。
具体地，将备份网关设备的状态设置为active状态，将主网关设备设置为 standby状态，名M分网关i更备与所有的分支节点建立IPSec VPN。步骤305，名冲分网关设备计算主备切换后出站SA的防重放序号。 具体地，主备切换后出站SA的防重放序号可以根据以下公式计算得到 SEQUENCE = N + M，
其中，SEQUENCE为主备切换后出站SA的防重》欠序号，N为主备切换前 出站SA的防重》t^号，M为T2分钟内出站SA处理才艮文数的最大值。
步骤306, ^f分网关设备根据主备切换后出站SA的防重》t^号构造防重;^ 序号通知载荷消息。
如表2所示，为防重放序号通知载荷(Anti-Replay Sequence Update Payload) 消息的结构表。按照RFC2408协议的定义要求，扩展私有载荷的范围为128-255之间，因此，可以将防重》丈序号通知载荷定义为150。
表2防重放序号通知载荷消息的结构表 Next Payload Type Value Anti-replay Sequence Update Payload 150
1 2 3
01234567890123456789012345678901 +_+—+-+-+一+一+画+一+_+-+隱+画+画+_+画+—+_+—+-+-+_+_+ +_+—+—+ +_+_+_+-+_+
! Next Payload !RESERVED1 !Payload Length +_+_+_+-+_+_+ +_+_+_+ +_+_+-+-+-+_+-+_+_+—+一+一+-+-+-+-+國+一+-+_+_+
! Domain of Interpretation (DOI) ! +-+_+-+_+-+-+_+-+_+_+_+_+_+-+-+_+_+-+-+-+-+-+-+画+画+-+-+國+-+-+-+-+
! Protocol-Id !SPI Size! RESERVED2 !
+國+國+國+-+-+画+-+一+-+-+-+一+-+-+-+_+國+國+國+國+國+一+腸+國+画+-+_+_+-+一+-+-+
! !
~ Security Parameter Index(es) (SPI) ~
j !
+國+-+一+-+-+-+_+國+國+-+-+画+國+國+-+-+-+國+國+國+國+-+-+國+-+-+-+-+-+-+-+-+! Anti曙replay SequenceLength! RESERVED3 !
+誦+一+國+國+画+画+國+画+國+國+國+誦+一+_+一+—+_+—+_+_+_+_+ + +_+_+—+—+—+_+ + +
! !
~ Anti國replay Sequence ~
! ! +國+-+-+國+画+-+—+—+_+—+—+—+—+_+_+—+_+—+_+_+—+—+陽+一+一+_+一+一+一+一+國+國+
上述防重放序号通知载荷消息中，各字段定义如下
NextPayload:占用1个字节，用于标识下一个载荷的类型，如果当前载荷 为最后一个载荷则为0;
RESERVED1:占用1个字节，用于预留，设置为0;
PayloadLength:占用2个字节，用于标识当前载荷的长度，以字节为单位， 包4舌通用头；
Domain of Interpretation:占用4个字节，对于isakmp则i殳置为0，对于IPSEC 则为设置为1;
Protocol-Id:占用1个字节，对于AH设置为2，对于ESP设置为2，对于 IPCOMP设置为4;
SPISize:占用1个字节，用于标识SPI的长度，以字节为单位； RESERVED2:占用2个字节，用于预留，设置为0;
Security Parameter Index(es):可变长度，用于标识要更新的具体的SA,长度 由SPISize字段确定；
Anti-replay Sequence Length:占用2个字节，用于标识防重》ijf号的长度，
以字节为单位；
RESERVED3:占用2个字节，用于预留，设置为0;
Anti-replay Sequence:可变长度，用于标识新的防重力文序号，长度由 Anti-replay Sequence Length来确定。
步骤307，备份网关设备向分支网关设备发送防重放序号通知载荷消息，通 知分支网关设备更新本地的防重放窗口 。具体地，为保证消息发送的安全性，备份网关设备对防重放序号更新载荷
消息采用IKESA保护。
步骤308，分支网关设备解析接收到的防重放序号通知载荷消息，并根据解 析结果更新本地的防重力文窗口 。
具体地，分支网关设备作为远程节点接收到来自中心站点的防重放序号通 知载荷消息后，首先發〖正该防重放序号通知载荷消息的安全性，按照防重力t^ 号通知载荷的格式解析该消息，并根据该消息中的三元组信息(中心站点IP地 址、协议和SPI)查找本地的SADB是否存在该消息对应的入站SA，如果查找 到对应的入站SA,则提取该消息携带的防重放序号更新该入站SA的防重放窗 口；如果查找不到对应的入站SA，则主动触发IPSEC VPN连接，确保远程节 点和中心站点之间的VPN连通。
如图4所示，为分支网关设备的防重放窗口的更新示意图，其中，假设分 支网关设备的防重》丈窗口的大小为32，分支网关设备接收到的防重放序号通知 载荷消息中的防重^^号为N，则更新后的防重放窗口范围为(N, N+32)。
需要说明的是，分支网关设备的防重放窗口的大小可以由用户根据需要配 置，以上仅以大小为32的防重放窗口举例说明，防重放窗口的最大值可以配置 为1024。
本发明通过IPSEC主备环境下防重放信息的同步，使中心站点在冷故障恢 复后能够及时通告分支节点更新防重放窗口，提高了 IPSEC主备环境下防重放 机制的可靠性。
本发明通过上述实施方式提供了 一种防重放机制中的信息同步方法和应用 场景，以下实施方式还提供了应用上述方法的网关设备。
如图5所示，为本发明中的一种网关设备的结构示意图，应用于包括主网 关设备、名—分网关设备和分支网关设备的网络系统中，主网关设备和备盼网关 i殳备互为^f分，网关设备在网络系统中充当主网关设备或4^分网关设备，包括 4议模块510、监控模块520、获^^莫块530和通知模块540,其中，
4復模块510,用于在网关设备充当主网关设备时，向名"f分网关设备发送防重放信息，或者在网关设备充当备份网关设备时，接收来自主网关设备的防重 放信息。
其中，防重放信息包括主备切换前出站SA的防重放序号和出站SA在设定 时间内处理报文数的最大值。
上述^R^模块510,与监控模块520电性连接，在网关设备充当主网关设备 时，具体用于将监控模块520获取的出站SA在设定时间内处理报文数的最大值 同步到备f分网关i殳备，并向名"除网关设备发送防重》文控制消息，该防重访文消息 中携带主备切换前出站SA的防重放序号，用于向名"除网关设备发布SADB中 的出站SA的防重放序号和入站SA的防重放窗口的起始值。
监控模块520,用于监控出站SA在设定时间内处理报文数的最大值。
其中，出站SA处理报文数的最大值用于表示出站SA在设定时间内处理报 文的最大能力，设定时间可以根据经验值确定， 一般为1至2分钟。
需要说明的是，本发明中的设定时间可以为固定值，也可以才艮据用户的需 求动态修改，设定时间的取值不影响本发明的保护范围。
获^#块530，与M模块510电性连接，用于根据4tiC模块510接收到的 主备切换前的防重放信息获取主备切换后出站SA的防重放序号。
上述获^f莫块530 ，具体用于对主备切换前出站SA的防重》^号和出站SA 在设定时间内处理报文数的最大值进行累加，将该累加的结果作为主备切换后 出站SA的防重放序号。
具体地，主备切4^出站SA的防重;^^号可以根据以下公式计算得到
SEQUENCE = N + M,
其中，SEQUENCE为主备切换后出站SA的防重方t^号，N为主备切换前 出站SA的防重i饼号，M为T2分钟内出站SA处理才艮文数的最大值。
通知模块540,与获f^莫块530电性连4妻，用于根据获^f莫块530获取的主 备切换后出站SA的防重放序号，通知分支网关设备更新防重放窗口 。
上述通知模块540，具体用于根据主备切换后出站SA的防重放序号构造防 重放序号通知载荷消息，并向分支网关设备发送防重放序号通知载荷消息。
上述通知模块540，还用于对防重放序号更新载荷消息采用IKESA保护，以保证消息发送的安全性。
本发明通过IPSEC主备环境下防重放信息的同步，解决了中心站点在冷故 障恢复后无法及时通告分支节点更新防重放窗口的问题，提高了 IPSEC主备环 境下防重放机制的可靠性。
本发明还提供了与上述防重放机制中的信息同步方法和网关设备相对应的 系统。
如图6所示，为本发明中的一种防重放机制中的信息同步系统结构示意图， 包括主网关设备610、备盼网关设备620和分支网关i殳备630，主网关设备610 和备f分网关设备620互为备f分，其中，
主网关设备610，用于在主备切换前向名—分网关设备620发送防重方文信息。
具体地，防重放信息包括主备切换前出站SA的防重》t^号和出站SA在设 定时间内处理报文数的最大值。
上述主网关设备610,具体用于监控出站SA在设定时间内处理报文数的最 大值，将出站SA在设定时间内处理报文数的最大值同步到^f分网关设备，并向 *网关设备620发送防重放控制消息，该防重放消息中携带备切换前出站SA 的防重放序号，用于向名"f分网关设^^发布SADB中的出站SA的防重放序号和 入站SA的防重放窗口的起始值。
备份网关设备620，用于在主备切换前接收来自主网关设备610的防重放信 息，在主备切换后根据主备切换前的防重放信息获取主备切换后出站SA的防重 放序号，并根据主备切换后出站SA的防重放序号通知分支网关设备630更新防 重放窗口。
具体地，备盼网关设备620接收到防重放控制消息后，首先解析该防重放 控制消息中的第一个SA，根据第一个SA的三元组信息查找本地的SA,如果第 一个SA为入站SA,则更新该入站SA的防重放窗口的起始值，如果第一个SA 为出站SA，更新该出站SA的防重放序号，然后继续解析防重放控制消息中的 第二个SA,直到更新完本地SADB中的所有SA的防重放窗口的初始值和防重 麟号。需要说明的是，主网关设备发送防重放控制消息的周期可以为固定值，也 可以根据用户的需求动态修改，该周期的取值不影响本发明的保护范围。
主备切换后出站SA的防重放序号可以根据以下公式计算得到 SEQUENCE = N + M，
其中，SEQUENCE为主备切换后出站SA的防重放序号，N为主备切换前 出站SA的防重^b^号，M为T2分钟内出站SA处理净艮文数的最大值。
备份网关设备620根据主备切换后出站SA的防重放序号构造防重放序号通 知载荷消息，并向分支网关设备630发送防重放序号通知载荷消息。为保证消 息发送的安全性，备份网关设备620还对防重放序号更新载荷消息采用IKESA 保护，以保证消息发送的安全性。
分支网关设备630，用于根据主备切换后出站SA的防重放序号更新自身的 防重放窗口。
具体地，分支网关设备630作为远程节点接收到来自中心站点的防重放序 号通知载荷消息后，首先-3&正该防重^^号通知载荷消息的安全性，按照防重 放序号通知载荷的格式解析该消息，并根据该消息中的三元组信息(中心站点 IP地址、协议和SPI)查找本地的SADB是否存在该消息对应的入站SA，如果 查找到对应的入站SA,则提取该消息携带的防重放序号更新该入站SA的防重 放窗口；如果查找不到对应的入站SA，则主动触发IPSEC VPN连接，确保远 程节点和中心站点之间的VPN连通。
本发明通过IPSEC主备环境下防重放信息的同步，使中心站点在冷故障恢 复后能够及时通告分支节点更新防重放窗口，提高了 IPSEC主备环境下防重放 机制的可靠性。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件， 但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案 本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来， 该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端 设备(可以是手机，个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普 通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润 饰，这些改进和润饰也应视本发明的保护范围。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述 进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一
个或多个装置中。上述实施例的模块可以集成于一体，也可以分离部署；可
以合并为一个才莫块，也可以进一步拆分成多个子才莫块。
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。 以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，
任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种防重放机制中的信息同步方法，应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中，所述主网关设备和所述备份网关设备互为备份，其特征在于，所述方法包括以下步骤主备切换前，所述备份网关设备接收来自所述主网关设备的防重放信息；主备切换后，所述备份网关设备根据所述主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号；所述备份网关设备通知所述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重放窗口。
2、 如权利要求1所述的方法，其特征在于，所述主备切换前的防重放信息 包括主备切换前出站SA的防重i饼号和出站SA在设定时间内处理报文数的最 大值，所述备份网关设备根据主备切换前的防重放信息获取主备切换后出站SA 的防重放序号，具体为所述^P分网关设备对所述主备切换前出站SA的防重^yf号和所述出站SA 在设定时间内处理报文数的最大值进行累加，将所述累加的结果作为所述主备 切换后出站SA的防重放序号。
3、 如权利要求1或2所述的方法，其特征在于，所述备盼网关设备通知所 述分支网关设备根据所述主备切换后出站SA的防重放序号更新防重放窗口 ，具 体包括所述备f分网关设备根据所述主备切换后出站SA的防重》文序号构造防重;^文 序号通知载荷消息；所述备份网关设备向所述分支网关设备发送所述防重放序号通知载荷消 息，使所述分支网关设备根据所述防重放序号通知载荷消息更新防重放窗口 。
4、 如权利要求3所述的方法，其特征在于，所述防重放序号更新载荷消息 采用密钥管理协议IKE SA保护。
5、 一种网关设备，应用于包括主网关设备、名」f分网关设备和分支网关设备的网络系统中，所述主网关设备和所述备盼网关设备互为备f分，其特征在于，所述网关设备在所述网络系统中充当主网关设备或^f分网关设备，包括4嫂模块，用于在所述网关设备充当主网关设备时，向^f分网关设备发送 防重放信息，或者在所述网关设备充当^f分网关设备时，接收来自主网关设备 的防重》文信息；获取模块，与所述收发模块电性连接，用于根据所述收发模块接收到的主 备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号；通知模块，与所述获取模块电性连接，用于根据所述获取模块获取的主备 切换后出站SA的防重放序号，通知所述分支网关设^^艮据所述主备切换后出站 SA的防重》文序号更新防重》文窗口 。
6、 如权利要求5所述的网关设备，其特征在于，所述防重放信息包括主备 切换前出站SA的防重》t^号和出站SA在设定时间内处理报文数的最大值；所述网关设备，还包括监控模块，用于监控出站SA在设定时间内处理报文数的最大值； 所述收发模块，与所述监控模块电性连接，在所述网关设备充当主网关设备时，具体用于将所述监控模块获取的所述出站SA在设定时间内处理报文数的最大值同步到所述备P分网关设备，并向所述备P分网关设^^发送防重》文控制消息，所述防重放消息中携带主备切换前出站SA的防重放序号；所述获^^莫块，具体用于对所述主备切换前出站SA的防重》文序号和所述出站SA在设定时间内处理报文数的最大值进行累力口，将所述累加的结果作为所述主备切换后出站SA的防重放序号。
7、 如权利要求5所述的网关设备，其特征在于，所述通知模块，具体用于根据所述主备切换后出站SA的防重放序号构造防 重放序号通知载荷消息，并向所述分支网关设备发送所述防重放序号通知载荷 消息，使所述分支网关设备根据所述防重放序号通知载荷消息更新防重放窗口。
8、 如权利要求7所述的网关设备，其特征在于，所述通知才莫块，还用于对所述防重放序号更新载荷消息采用密钥管理协议 IKESA保护。
9、 一种防重放机制中的信息同步系统，包括主网关设备、名—分网关设备和 分支网关设备，所述主网关设备和所述备P分网关设备互为备份，其特征在于，所述主网关设备，用于在主备切换前向所述备f分网关设备发送防重放信息； 所述备P分网关设备，用于在主备切换前接收来自所述主网关设备的防重放 信息，在主备切换后根据所述主备切换前的防重放信息获取主备切换后出站安 全联盟SA的防重放序号，并根据所述主备切换后出站SA的防重放序号通知所 述分支网关设^^艮据所述主备切换后出站SA的防重放序号更新防重放窗口 ；所述分支网关i殳备，用于才艮据所述主备切换后出站SA的防重放序号更新自 身的防重放窗口。
10、 如权利要求9所述的系统，其特征在于，所述防重》文信息包括主备切 换前出站SA的防重方饼号和出站SA在设定时间内处理报文数的最大值；所述主网关设备，具体用于监控出站SA在设定时间内处理报文数的最大 值，将所述出站SA在设定时间内处理报文数的最大值同步到所述^f分网关设 备，并向所述^f分网关设备发送防重放控制消息，所述防重放消息中携带主备 切换前出站SA的防重》文序号。
全文摘要
本发明公开了一种防重放机制中的信息同步方法，应用于包括主网关设备、备份网关设备和分支网关设备的网络系统中，所述主网关设备和所述备份网关设备互为备份，所述方法包括以下步骤主备切换前，所述备份网关设备接收来自所述主网关设备的防重放信息；主备切换后，所述备份网关设备根据所述主备切换前的防重放信息获取主备切换后出站安全联盟SA的防重放序号；所述备份网关设备通知所述分支网关设备更新防重放窗口。本发明能够在中心站点冷故障恢复时及时通告分支节点更新防重放窗口，提高了IPSEC主备环境下防重放机制的可靠性。本发明还公开了应用上述方法的网关设备和系统。
文档编号H04L9/00GK101577725SQ200910148649
公开日2009年11月11日 申请日期2009年6月26日 优先权日2009年6月26日
发明者任维春, 王文海 申请人:杭州华三通信技术有限公司