专利名称:一种多源安全关联建立方法及系统的制作方法
技术领域:
本发明涉及信息安全技术领域,特别涉及一种多源安全关联建立方法及系统。
背景技术:
由于计算机通信网络存在着诸如信息伪造、篡改、重放、窃听等安全隐患,为了保障网络安全性,IPsec (Internet Protocol Security, IP安全协议)应运而生。1995年8月,IETF (Internet Engineering Task Force,因特网工程任务组)发布了 IPsecl.O,历经15年的不断摸索和完善,到目前为止已经形成了一套较为成熟完整、可同时支持IPv4和IPv6的安全协议族,主要用来为IP层网络通信提供安全服务。IPsec最常用于VPN(VirtualPrivate Network,虚拟专用网),也用于其它协议如MIPv6、OSPF> HIP、SCTP等保护数据流 量。IPsec 协议族主要包括 AH (Authentication Header,认证头)、ESP (EncapsulatingSecurity Payload,封装安全载荷)、IKE( Internet Key Exchange,互联网密钥交换协议)、PKI (Public Key Infrastructure,公共密钥基础设施)等协议,这些内容在RFC4306等标准中得到完整体现。每一项协议都包含了丰富的内容,协议之间既可以单独使用,也可以相互配合以完成更为复杂的功能。经过多年的发展与整合,对于IPsec协议本身的设计、改进和优化扩展工作已日趋成熟,目前的IPsec研究主要集中于HA(HighAbility,高可用性)协议支持问题。系统高可用性即灾备及容错技术,在自然灾难、技术灾难和人为灾难等直接威胁到了信息系统的功能和性能时,若要中断服务器,并切换至备用的服务器上进行维修和恢复,所付出的成本和带来的损失与影响是巨大的。为此,IPsec的高可用性备份技术应运而生,它多是实现在网关上,依托于计算机的灾备技术衍生而来,称为HA VPN,即高可用性VPN。HA VPN通过配置通信双方的软硬件,使得其中的一端因为某种原因发生故障无法保证业务正常运行时,另一端能够起来再建立一条IPsec连接,保证业务正常运行。当前的灾备及容错技术主要包括服务器集群技术、双机热备份技术和单机容错技术,容错级别依次由低到高。双机热备分技术是指两台配置完全相同的服务器彼此设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,这种方法对服务器的性能要求比较高,在进行双机互备的软件设计方面,其维护成本也高;单机容错技术是指对系统中所有硬件进行备份,包括CPU、内存和1/0总线等的冗余备份,在发生故障时能够自动分离故障模块,进行模块调换,对损坏的部件进行维护,故障消除后系统会自动重新同步运行,这种方法对系统配置要求高,成本也高;而服务器集群由多台相对独立的主机组成,在实现负载均衡,保证整体性能的同时,对集群内的机器没有上述严格要求,因此使用比较方便,应用更加广泛。在服务器集群技术中,通常所有成员可共享一个IP,使用配置某种协议或硬件的接口来完成,例如使用映射服务器或通过使用任播地址,对端只需要在认证数据库配置一个IP地址即可设置完全备份服务器,将经过的数据流同时复制到另一台机器,来实现同步映射实时切换。基于服务器或者网关的集群而建立多个备份网关或者服务器以进行灾备及容错是目前主要的研究方向,多台服务器及网关之间的互为备份可以实现多源安全机制,提高整个系统的可用性。有文献提出了一种基于IPsec的高性能VPN系统并行体系结构,称为并行IPsec VPN(Parallel IPsec VPN,简称PVPN),采用流水线并行处理算法,将CPU与加密卡分为两个功能部件,使其重叠运行,流水作业,从而实现并行操作与系统的多加密卡并行处理;PVPN采用Compact PCI硬件平台,构建多机并行体系,提高了 IPsec VPN的处理性能。其中还设计了一个适用于PVPN系统的负载均衡算法,能够有效将加解密报文均匀分发到CPU处理板上,使用集群互备模式,防止CPU处理板发生故障,从而提高了整个系统的高可用性。还有文献提出了一种高可用的双机冗余备份HA-VPN系统、多路聚合和负载均衡的MA-VPN系统、TCP中继和广域网加速的WA-VPN系统,从设备冗余、链路冗余、数据冗余等不同层面的高可用技术来提高IPsec VPN的可用性。现有技术中,有文献引入了一种实现安全联盟备份和切换的方法。在有IP安全协议(IPsec)备份连接的情况下,使主通讯实体与备份通讯实体同时与通信对端建立SA(Security Association,安全关联)。当主通讯实体或主连接发生故障时,备份通讯实体的IKEv2通知源通信实体其对端通讯实体地址发生变化,源通讯实体获知地址变更后,更新本·地SA的对端地址,源通讯实体用户流量切换到备份连接上,完成SA的备份和切换。但本方法要求备份节点与源节点物理距离较近,造成备份节点的冗余度较高。在实现本发明的过程中,发明人发现现有技术至少存在以下问题现有技术中的安全备份方案,通过硬件或架构改进来实现IPsec协议的多源安全功能,存在着安全性不高、对硬件要求过高、节点冗余度过高等问题,无法适应现有的网络集群条件下对于安全备份的要求,无法实现现有网关等安全关联的多源备份和切换功能,对IKE通信机制下的通信安全有很大的影响。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种多源安全关联建立方法及系统。所述技术方案如下一种多源安全关联建立方法,所述方法包括在IKEV2通信中,IKE_AUTH消息协商过程中,网关在发送消息中携带标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i ;其中,所述标志位载荷Hai用以确认本条发送消息携带多源安全关联信息;所述N为备份网关的数量;所述N[IPi]为备份网关的IP地址;所述TS2i为每个备份网关所保护的流量;终端在返回消息中携带标志位确认载荷HAr以及N个流量选择符载荷TSr ;其中,所述标志位确认载荷HAr用以标识所述终端确认建立多源安全关联;所述N个流量选择符载荷TSr分别对应接收到的所述备份网关所保护的流量,用以确认所述终端已根据所述每个备份网关所保护的流量建立流量保护。所述方法还包括网关在接收到所述返回消息后,生成自身以及所有备份网关与终端之间通信IKESA,并向所有备份网关发送已生成的IKE SA。所述方法还包括网关向任一备份网关发送控制消息启用切换,向终端发送SA退出消息,在处理完与备份网关之间数据窗口的数据后删除SA,并通知终端删除SA ;或者备份网关在预设时间间隔内没有收到网关发送的数据处理序号,通知终端删除与网关的SA,并启动备份网关的SA进行数据通信,恢复网关未处理的数据。所述备份网关在预设时间间隔内没有收到网关发送的数据处理序号后,还包括备份网关向网关发送确认请求;若网关响应,则继续监听;否则,所述备份网关向终端发送INFORMATIONAL交换消息,所述INFORMATIONAL交换消息至少携带发生故障的标志位、备份网关的身份信息以及报文类型;终端响应INFORMATIONAL交换消息,删除与网关的SA,启动与所述备份网关的安全联盟,完成切换。
所述方法还包括网关采用计数字段进行发包统计,更新字段中的加密数据包的数据处理序号并发送给备份网关,通知备份网关此时网关已处理的数据包个数;备份网关在预设时间间隔内没有收到网关发送的数据处理序号后而完成切换后,终端根据备份网关最后一次收到的数据处理序号进行数据重传。所述终端记录自身处理的数据包个数,与所述备份网关最后一次收到的数据处理序号进行比较,根据数值较小的计数值进行数据重传。一种多源安全关联建立系统,所述系统包括终端、网关以及至少一个备份网关,其中,所述网关,用于在发送消息中携带标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i ;其中,所述标志位载荷Hai用以确认本条发送消息携带多源安全关联信息;所述N为备份网关的数量;所述N[IPi]为备份网关的IP地址;所述TS2i为每个备份网关所保护的流量;所述终端,用于在返回消息中携带标志位确认载荷HAr以及N个流量选择符载荷TSr ;其中,所述标志位确认载荷HAr用以标识所述终端确认建立多源安全关联;所述N个流量选择符载荷TSr分别对应接收到的所述备份网关所保护的流量,用以确认所述终端已根据所述每个备份网关所保护的流量建立流量保护;所述备份网关,用于在所述网关发生故障时,与所述终端继续进行数据传输。所述网关还用于在接收到所述返回消息后,生成自身以及所有备份网关与终端之间通信IKE SA,并向所有备份网关发送已生成的IKE SA。所述网关还用于向任一备份网关发送控制消息启用切换,向终端发送SA退出消息,在处理完与备份网关之间数据窗口的数据后删除SA,并通知终端删除SA。所述备份网关还用于在预设时间间隔内没有收到网关发送的数据处理序号,通知所述终端删除与所述网关的SA,并启动备份网关的SA进行数据通信,恢复所述网关未处理的数据。本发明实施例提供的技术方案带来的有益效果是通过在IKE_AUTH消息协商过程中,扩展现有的协议,增加标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i,来将备份网关的地址以及流量选择信息发送给终端,终端确认后建立与备份网关的关联,在网关发生故障的时候,自动切换到备份网关继续数据传输。本发明提出的协商多个SA的方法和增强的可靠数据传输机制,通过对现有的IPsec进行功能拓展,增加了身份载荷和流量选择载荷以建立多个备份IKE SA,通信一端发送计数状态来解决切换间产生一定程度的丢包问题,保证了加密数据流的实时无缝切换,进一步增强了 IPsec的安全性能。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I是现有技术中IKEv2密钥交换过程示意图;图2是现有技术中流量选择器载荷包格式示意图;图3是本发明实施例一提供的多源安全关联建立方法原理流程图; 图4是本发明实施例一提供的扩展IKEv2密钥交换过程示意图;图5是本发明实施例一提供的INFORMATIONAL消息交换过程示意图;图6是本发明实施例二提供的多源安全关联建立方法示意图;图7是本发明实施例二提供的数据补偿机制示意图;图8是本发明实施例二提供的应用场景示意图;图9是本发明实施例三提供的多源安全关联建立系统示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。本发明实施例是基于对现有的IKEv2 (Internet Key Exchange Version 2,互联网密钥交换协议第二版)在协议层面上进行修改而实现多源安全的建立的,现有的IKEv2协议中交换过程如图I所示。IKE通信总是从IKE_SA_INIT和IKE_AUTH交换开始的(相当于IKEvl的第一阶段)。初始交换通常包含四条报文,其中HDR中包括SPI (Security Parameters Index,安全参数索引)、版本号以及各种类型的标志;SAil载荷包含了发起方为建立IKE_SA所支持的加密算法;KE (Key Exchange,密钥交换)载荷包含发起方的Diffie-Hellman值;Ni表示发起方的nonce (当前时间);[CERTREQ]为可选的载荷,表明可包含一个可选的证书请求载荷。第一对报文(IKE_SA_INIT)协商加密算法,交换nonce并进行Diffie-Hellman交换;第二对报文(IKE_AUTH)认证第一对报文,交换身份信息和证书并建立第一个CHILD_SA。一部分报文利用IKE_SA_INIT交换中确定的密钥进行加密和完整性保护,所以通信双方的身份对窃听者是隐藏的,并且所有报文中的所有域都是经过认证的。在第2条消息中,响应方从发起方提供的选项中选择一套加密算法并且在SArl载荷中表示出来,通过KEr载荷完成Diffie-Hellman交换,并在Nr载荷中发送它自己的nonce。此时协商中每一端都会生成SKEYSEED (密钥种子),并从中生成IKE_SA的所有密钥,接下来的所有报文全部(除了头部)都会被加密并受到完整性保护。用来加密和进行完整性保护的所有密钥都来自于密钥种子,它们被称为SK_e (加密)和SK_a (认证,又名完整性保护),单独的SK_e和SK_a是单向计算的。使用DH值除了生成保护IKE_SA的密钥SK_e和SK_a之外,还生成了其它密钥SK_d (被用来产生CHILD_SA阶段需要的加密材料)。符号SK表明括号中的这些载荷是经过加密和完整性保护(使用本方向的SK_e和SK_a)的。在第3条消息中,发起方在IDi载荷中声称自己的身份,使用AUTH载荷证明对IDi相关秘密信息的认识并保护第一条消息内容的完整性。发起方在CERT载荷中还发送本身的证书,在CERTREQ载荷中发送一系列信任的内容(anchor)。若发起方包含CERT载荷,则所提供的第一个证书必须包含用来证明AUTH域的公共密钥。可选的IDr载荷使发起方能够指定它想与之通信的对方的众多身份中的一个,这对响应方在同一个IP地址上具有多个主机身份的情况下很有用。TS称为流量选择器载荷,分为接收方和响应方两种类型的包(载荷类型分别为44和45),允许对端为IPsec安全服务的处理识别数据流,其格式如图2所示。其中,TS数代表提供的流量选择器的数目;保留位在发送端要清0,而接收端则忽略;流量选择器位可以包括一个或多个流量选择器;C标志位如果设置为0,则响应方不能识别流量选择器载荷时跳过该载荷,如果设置为1,则响应方不能识别流量选择器载荷时拒绝整个报文。·在第4条消息中,响应方验证ID载荷中的名称与产生AUTH载荷的密钥是否相符合,并在IDr载荷中声称自己的身份,可选地发送一个或多个证书(用包含公钥的证书再次检验首次所列出的AUTH),用AUTH载荷认证他的身份并保护第二条消息的完整性,通过附加域来完成CHILD_SA的协商,并通过TSr载荷确认建立连接的主机地址与端口。本发明实施例实质上是在IKEv2通信中,IKE_AUTH消息协商过程中,对于协商双方所携带标志位和实际数据的修改而建立起多源安全机制,在之后出现通信问题时,可以根据已经建立的安全机制,快速的切换至备份网关继续进行通信。实施例一参见图3,为本发明实施例一提供的多源安全关联建立方法原理流程图,具体如下步骤10,在IKEv2通信中,IKE_AUTH消息协商过程中,网关在发送消息中携带标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i。本实施例实质上是一种基于IKEv2的建立多源安全关联建立的方案,需要扩展修改IKEv2的第三、四条消息,也即需要扩展IKE_AUTH消息协商过程。发送方(网关)在第三条消息中至少增加HAi载荷、N[IPi]载荷和N个TS2i载荷,N为大于I的自然数。其中,HAi是一个标志位载荷,用以确认本条发送消息携带多源安全关联信息。除了本机的IDi载荷,发起方在第3条消息中添加一个新建的通告载荷N[IPi]通知响应方(终端)本端备份网关的IP地址;同时,TS2i载荷表示备份网关的流量选择符,即该网关所保护的流量,当存在多个备份网关时,则相应的存在多个流量选择器载荷。在主机网关发生故障时,备份网关可使用同步接收到的载荷通过验证,继续进行IPsec通信。步骤20,终端在返回消息中携带标志位确认载荷HAr以及N个流量选择符载荷TSr。相应的,终端接收到请求,验证IDi载荷中的名称后,在返回的第四条消息中,除了用IDr载荷中声明自己的身份,增加了对支持扩展IKEv2交换过程的HAr (标志位确认载荷),并发送与所请求个数相同流量选择符载荷,即TSr载荷。标志位确认载荷HAr用以标识所述终端确认建立多源安全关联。流量选择符载荷TSr分别对应接收到的备份网关所保护的流量,用以确认终端已根据每个备份网关所保护的流量建立流量保护。在此之后,网关在接收到终端返回的消息后,确认终端是否支持多源安全关联,也就是确认HAr的内容。如果支持,则建立自身与终端之间的安全关联(SA),同时,生成终端与所有的备份网关之间的SA并分别发送给各个备份网关。各个备份网关保存与终端的SA,以备在网关与终端通信出现问题的时候,及时通过与终端的SA建立安全通信。至此,多源安全关联机制建立完成。具体消息流程如图4所示。进一步的,网关在接收到返回消息后,生成自身以及所有备份网关与终端之间通信IKE SA,并向所有备份网关发送已生成的IKE SA。网关收到第4条消息后,同时生成网关与终端、备份网关与终端之间通信IKE SA及CHILD_SA,并同时返回所生成的两个CHILD_ SA的SPI。随后网关与终端进行IPsec通信,并向备份网关发送已生成的IKE SA,以备进行故障转移使用。如果是多台备份主机,则生成多个CHILD_SA和TS载荷,每个载荷与备份主机列表中的元素一一对应。进一步的,网关向任一备份网关发送控制消息启用切换,向终端发送SA退出消息,在处理完与备份网关之间数据窗口的数据后删除SA,并通知终端删除SA ;或者备份网关在预设时间间隔内没有收到网关发送的数据处理序号,通知终端删除与网关的SA,并启动备份网关的SA进行数据通信,恢复网关未处理的数据。具体来说,在需要启用备份SA时,可通过两种方式进行切换切换方式I :网关发送启动备份网关的控制消息给备份网关,并发送SA退出消息到终端。此时,网关在处理完与备份网关之间定义的数据窗口的数据后删除SA,并通知终端删除SA及发送启动控制信息。切换方式2 :备份网关在定义的时间间隔内没有收到网关发送的数据处理序号,即认为网关产生故障,则通知终端删除与网关的SA,并启动与备份网关的SA进行数据通信,恢复网关未处理的数据。具体实施中,可将上述两种方法互相结合使用,至少包括以下情况当网关负载过高或即将发生故障时,可采用切换方式1,由网关主动通知终端进行处理,终端接收到网关的通知后启动与备份网关的安全关联;当网关发生故障或网关与终端的连接断开时,可采用切换方式2与数据补偿机制,由备份网关检测到故障并通知终端,建立新的安全关联。具体的,这里所述的数据补偿机制,是指加密通信过程中,网关采用计数字段进行发包统计,定期更新字段中的加密数据包数量并发送给备份网关,通知备份网关此时网关已处理的数据包个数;备份网关在定义的时间间隔内没有收到主通信主机发送的处理数据包个数,则向网关发送确认请求,若网关响应则继续正常工作,若没有响应,备份网关请求使用其与终端建立IPsec连接。备份网关和终端使用之前协商好的IKE SA继续进行加密通信,终端根据备份网关最后一次收到的计数值与已处理的数据包个数进行比较,根据较小的计数值进行数据重传,完成无缝切换。本实施例采用INFORMATIONAL交换传递故障信息,该信息至少包括备份网关IP,发生故障的标志位,以及报文类型。其交换过程如图5所示。INFORMATIONAL交换中的报文包含0个或多个通告(Notification)、删除(Delete)和配置(Configuration)载荷。发送方为了确定报文在网络中是否丢失并且重发报文,要求接收方必须对INFORMATIONAL交换发出响应,响应可以是不包含载荷的报文。有时为了告诉通信的另一端让其证明仍然活跃,INFORMATIONAL交换的请求报文也可以不包括任何载荷。实施例二本发明实施例提供了一种具体的多源安全关联建立方法,参见图6,具体如下
主机I与网关I以及网关2组成本系统,网关I为主网关,网关2为备份网关。网关I与主机I之间进行IKE协商。网关2为可信主机且使用固定IP,网关I可直接向网关2发送认证信息,若网关2不可信,则网关I向网关2发送加密认证信息,加密算法可以用现有加密算法,如签名算法等一种或几种。具体实现包括如下步骤网关I向主机I发送第三条消息时,除了网关I的身份,还包括网关2的IP地址等身份信息。其中,网关2可以选取一台或多台主机。网关I除了发送原有协商信息外,还将网关2的IP地址等身份信息封装在载荷中发送到主机1,具体包括N[IPi]、流量选择符TS2i及HAi载荷,用来标志集群策略启动。如果接收到第4条消息的HAr载荷中确认标志位为1,则表示对端支持并发策略,可建立多个SA,若确认标志位为0,则表示对端不支持该策略,建立单个SA。如果采用多台主机,建立多个SA,则第二台主机地址改为备份机列表。若主机I支持并发策略,向网关I发送的第四条消息中包含HAr载荷、网关2的流量选择符。网关I收到第4条消息后,同时生成网关I与主机I、网关2与主机I之间通信IKE SA及CHILD_SA,并同时返回所生成的两个CHILD_SA的SPI。随后网关I与主机I进行IPsec通信,并向网关2发送已生成的IKE SA,以备进行故障转移使用。如果是多台备份主机,则生成多个CHILD_SA和TS载荷,每个载荷与备份主机列表中的兀素对应。建立好多个安全关联后,依据不同的情况执行多源安全关联建立切换,并采用数据补偿机制实现无缝切换。多源安全关联建立切换至少包括负载均衡切换和故障切换两种,启用备份安全联盟时,可通过两种方式进行切换方式一,网关I向网关2发送控制消息启用多源安全联盟切换,同时向主机I发送SA退出消息,触发主机I采用网关2的安全联盟,完成切换;方式二,如果网关2在定义的时间间隔内没有收到主通信主机发送的数据处理序号时,则向网关I发送确认请求,若网关I响应则继续正常工作,若没有响应,则网关2向主机I发送INFORMATIONAL交换消息,消息至少包含发生故障的标志位,网关2的身份信息,该消息通知主机I删除与网关I的SA,并启动与网关2上的安全联盟进行数据通信,重新发送网关2未处理的数据。数据补偿机制,如图7所示,具体实现包括如下步骤加密通信过程中,网关I采用计数字段进行发包统计,定期更新字段中的加密数据包数量并发送给网关2,通知网关2此时网关I已处理的数据包个数;
网关2在定义的时间间隔内没有收到主通信主机发送的处理数据包个数,则向网关I发送确认请求,若网关I响应则继续正常工作,若没有响应,网关2请求使用其与主机I建立IPsec连接。网关2和主机I使用之前协商好的IKE SA继续进行加密通信,主机I根据网关2最后一次收到的计数值与已处理的数据包个数进行比较,根据较小的计数值进行数据重传,完成无缝切换。具体来说,网关I向主机I发送了 n个数据包,并周期性的发送已处理的数据包个数n给网关2。当网关I和主机I之间发生故障,部分数据丢失的时候,网关2未接收到周期性处理状态值,向网关I发送确认消息无响应了,确认故障发生。此时,主机I已处理数据包个数为n+m,网关2需要启动IPsec,并通知主机最后收到的数据包个数n,主机I将n+m与n比较,从n个数据包开始重传,补偿丢失的数据。具体实施中可将上述方法互相结合使用,至少 包括以下情况当网关I负载过高或即将发生故障时,可采用切换方式1,由网关I主动通知主机I进行处理,主机I接收到网关I的通知后启动与网关2的安全关联;当网关I发生故障或网关I与主机I的连接断开时,可采用切换方式2与数据补偿机制,由网关2检测到故障并通知主机I,建立新的安全关联。参见图8,为本实施例应用场景,本实施例使用场景为内部域或远程接入的网关作为集群成员。主机I通过网关集群与其它节点通信,网关集群包括多个网关。各集群成员拥有不同的IP地址,负责不同的业务。网关I在与主机I建立交换时,将备份网关的IP地址等身份信息封装在载荷中发给对端,通知对端在多路SA的情况下,可使用该SA进行继续通信,当该网关I发生故障时,可实现多路SA的无缝切换。实施例三参见图9,本发明实施例提供了一种多源安全关联建立系统,系统包括终端、网关以及至少一个备份网关,具体如下网关用于在发送消息中携带标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i ;其中,标志位载荷Hai用以确认本条发送消息携带多源安全关联信息;N为备份网关的数量;N[IPi]为备份网关的IP地址;TS2i为每个备份网关所保护的流量。终端用于在返回消息中携带标志位确认载荷HAr以及N个流量选择符载荷TSr ;其中,标志位确认载荷HAr用以标识终端确认建立多源安全关联;N个流量选择符载荷TSr分别对应接收到的备份网关所保护的流量,用以确认终端已根据每个备份网关所保护的流量建立流量保护。备份网关用于在网关发生故障时,与终端继续进行数据传输。较佳地,网关还用于在接收到所述返回消息后,生成自身以及所有备份网关与终端之间通信IKE SA,并向所有备份网关发送已生成的IKE SA。较佳地,网关还用于向任一备份网关发送控制消息启用切换,向终端发送SA退出消息,在处理完与备份网关之间数据窗口的数据后删除SA,并通知终端删除SA。较佳地,备份网关还用于在预设时间间隔内没有收到网关发送的数据处理序号,通知所述终端删除与所述网关的SA,并启动备份网关的SA进行数据通信,恢复所述网关未处理的数据。需要说明的是上述实施例提供的多源安全关联建立系统在触发多源安全关联建立业务时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将系统设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的多源安全关联建立系统与多源安全关联建立方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。综上所述,本发明实施例通过在IKE_AUTH消息协商过程中,扩展现有的协议,增加标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i,来将备份网关的地址以及流量选择信息发送给终端,终端确认后建立与备份网关的关联,在网关发生故障的时候,自动切换到备份网关继续数据传输。本发明提出的协商多个SA的方法和增强的可靠数据传输机制,通过对现有的IPsec进行功能拓展,增加了身份载荷和流量选择载荷以建立多个备份IKE SA,通信一端发送计数状态来解决切换间产生一定程度的丢包问题,保证了加密数据流的实时无缝切换,进一步增强了 IPsec的安全性能。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种多源安全关联建立方法,其特征在于,所述方法包括 在IKEv2通信中,IKE_AUTH消息协商过程中,网关在发送消息中携带标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i ;其中,所述标志位载荷Hai用以确认本条发送消息携带多源安全关联信息;所述N为备份网关的数量;所述N[IPi]为备份网关的IP地址;所述TS2i为每个备份网关所保护的流量; 终端在返回消息中携带标志位确认载荷HAr以及N个流量选择符载荷TSr ;其中,所述标志位确认载荷HAr用以标识所述终端确认建立多源安全关联;所述N个流量选择符载荷TSr分别对应接收到的所述备份网关所保护的流量,用以确认所述终端已根据所述每个备份网关所保护的流量建立流量保护。
2.如权利要求I所述的方法,其特征在于,所述方法还包括 网关在接收到所述返回消息后,生成自身以及所有备份网关与终端之间通信IKE SA, 并向所有备份网关发送已生成的IKE SA。
3.如权利要求I所述的方法,其特征在于,所述方法还包括 网关向任一备份网关发送控制消息启用切换,向终端发送SA退出消息,在处理完与备份网关之间数据窗口的数据后删除SA,并通知终端删除SA ;或者 备份网关在预设时间间隔内没有收到网关发送的数据处理序号,通知终端删除与网关的SA,并启动备份网关的SA进行数据通信,恢复网关未处理的数据。
4.如权利要求3所述的方法,其特征在于,所述备份网关在预设时间间隔内没有收到网关发送的数据处理序号后,还包括 备份网关向网关发送确认请求;若网关响应,则继续监听;否则,所述备份网关向终端发送INFORMATIONAL交换消息,所述INFORMATIONAL交换消息至少携带发生故障的标志位、备份网关的身份信息以及报文类型; 终端响应INFORMATIONAL交换消息,删除与网关的SA,启动与所述备份网关的安全联盟,完成切换。
5.如权利要求3或4所述的方法,其特征在于,所述方法还包括 网关采用计数字段进行发包统计,更新字段中的加密数据包的数据处理序号并发送给备份网关,通知备份网关此时网关已处理的数据包个数; 备份网关在预设时间间隔内没有收到网关发送的数据处理序号后而完成切换后,终端根据备份网关最后一次收到的数据处理序号进行数据重传。
6.如权利要求5所述的方法,其特征在于,所述终端记录自身处理的数据包个数,与所述备份网关最后一次收到的数据处理序号进行比较,根据数值较小的计数值进行数据重传。
7.一种多源安全关联建立系统,其特征在于,所述系统包括终端、网关以及至少一个备份网关,其中, 所述网关,用于在发送消息中携带标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i ;其中,所述标志位载荷Hai用以确认本条发送消息携带多源安全关联信息;所述N为备份网关的数量;所述N[IPi]为备份网关的IP地址;所述TS2i为每个备份网关所保护的流量; 所述终端,用于在返回消息中携带标志位确认载荷HAr以及N个流量选择符载荷TSr ;其中,所述标志位确认载荷HAr用以标识所述终端确认建立多源安全关联;所述N个流量选择符载荷TSr分别对应接收到的所述备份网关所保护的流量,用以确认所述终端已根据所述每个备份网关所保护的流量建立流量保护; 所述备份网关,用于在所述网关发生故障时,与所述终端继续进行数据传输。
8.如权利要求7所述的系统,其特征在于,所述网关还用于在接收到所述返回消息后,生成自身以及所有备份网关与终端之间通信IKE SA,并向所有备份网关发送已生成的IKESA。
9.如权利要求7所述的系统,其特征在于,所述网关还用于向任一备份网关发送控制消息启用切换,向终端发送SA退出消息,在处理完与备份网关之间数据窗口的数据后删除SA,并通知终端删除SA。
10.如权利要求7所述的系统,其特征在于,所述备份网关还用于在预设时间间隔内没有收到网关发送的数据处理序号,通知所述终端删除与所述网关的SA,并启动备份网关的SA进行数据通信,恢复所述网关未处理的数据。
全文摘要
本发明公开了一种多源安全关联建立方法,属于信息安全技术领域。所述方法包括在IKEv2通信中,IKE_AUTH消息协商过程中,网关在发送消息中携带标志位载荷Hai、通告载荷N[IPi]和N个流量选择符载荷TS2i;终端在返回消息中携带标志位确认载荷HAr以及N个流量选择符载荷TSr。本发明通过对现有的IPsec进行功能拓展,增加了身份载荷和流量选择载荷以建立多个备份IKE SA,通信一端发送计数状态来解决切换间产生一定程度的丢包问题,保证了加密数据流的实时无缝切换,进一步增强了IPsec的安全性能。
文档编号H04L29/12GK102970277SQ201210376750
公开日2013年3月13日 申请日期2012年9月29日 优先权日2012年9月29日
发明者周立, 邹昕, 鲁松, 张良, 关建峰, 许长桥, 张能, 张宏科 申请人:国家计算机网络与信息安全管理中心, 北京邮电大学