一种因特网协议安全安全联盟协商方法和装置制造方法
【专利摘要】本发明提供了一种因特网协议安全安全联盟协商方法,该方法包括:当本端设备的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商;所述本端设备将协商出的IPsec SA存储到安全联盟数据库SAD中。基于同样的发明构思,本申请还提出一种装置,能够预先协商IPsec SA,以降低数据流的丢包率,以及降低大量IPsec并发协商对设备造成的冲击。
【专利说明】一种因特网协议安全安全联盟协商方法和装置
【技术领域】
[0001]本发明涉及通信【技术领域】,特别涉及一种因特网协议安全安全联盟协商方法和装置。
【背景技术】
[0002]因特网协议安全(IP Security, IPsec)是互联网工程任务组(InternetEngineering Task Force, IETF)制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层虚拟专用网络(VirtualPrivate Network, VPN)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
[0003]现有实现中,一个设备的接口上若应用IPsec策略,在接收到ACL中配置的感兴趣流时,才触发IPsec安全联盟(Security Associat1n, SA)协商;而进行IPsec SA协商时,无论使用主模式(Main Mode)还是野蛮模式(Aggressive Mode)都需要一定时间,在IPsecSA协商期间,相关流量都会由于匹配不到SA被丢弃。
【发明内容】
[0004]有鉴于此,本申请提供一种因特网协议安全安全联盟协商方法和装置,以解决接收到数据流才触发IPsec SA协商而导致的数据流的丢包率高的问题。
[0005]为解决上述技术问题,本申请的技术方案是这样实现的:
[0006]一种因特网协议安全IPsec安全联盟SA协商方法,该方法包括:
[0007]当本端设备的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商;
[0008]所述本端设备将协商出的IPsec SA存储到安全联盟数据库SAD中。
[0009]一种因特网协议安全IPsec安全联盟SA协商装置,该装置包括:协商单元和存储单元;
[0010]所述协商单元,用于当装置的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商;
[0011]所述存储单元,用于将所述协商单元中协商出的IPsec SA存储到安全联盟数据库SAD 中。
[0012]由上面的技术方案可知,本申请中当接口上应用IPsec策略时,立即开始IPsecSA的协商。当后续有流量到达时,可以直接使用已协商完成的IPsecSA进行流量的转发,从而能够预先协商IPsec SA,以降低数据流的丢包率,以及降低大量IPsec并发协商对设备造成的冲击。
【专利附图】
【附图说明】
[0013]图1为本申请实施例中IPsec SA协商方法流程不意图;
[0014]图2为本申请实施例中数据流处理流程示意图;
[0015]图3为本申请实施例中应用于上述技术的IPsec SA协商装置结构示意图。
【具体实施方式】
[0016]为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图并据实施例,对本发明的技术方案进行详细说明。
[0017]参见图1,图1为本申请实施例中IPsec SA协商方法流程示意图。具体步骤为:
[0018]步骤101,当本端设备的接口上应用IPsec策略时,针对ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商。
[0019]本申请的具体实现中在接口上应用IPsec策略时,就触发IPsec SA的协商,而不会等到接收到需要通过该接口发送的数据流时,才开始触发IPsec SA的协商。
[0020]本端设备无论选择主模式协商还是野蛮模式协商,协商过程同现有实现。
[0021]本端设备如果通过接口上应用触发IPsec SA协商时,由于不需要对报文进行处理,因此,在协商完成IPsec SA后,没必要进行老化处理,因此,在这种情况下的IPsec SA协商的过程中,将发送的协商报文中的老化时间字段填充为不设置老化时间的标识,即表示该协商过程中协商出的IPsec SA不需要老化。
[0022]在具体实现时,可以在老化时间字段中填充0,用于作为不设置老化时间的标识;也可以填充设备两端约定的不设置老化时间的标识。
[0023]其中的IPsec策略同现有实现,包括老化时间,算法,地址等信息。
[0024]步骤102,本端设备将协商出的IPsec SA存储到SAD中。
[0025]本实施例中将预先协商出的IPsec SA存储到SAD中,以备后续接收到元组信息与ACL中配置的流信息匹配的数据流时,进行封装并转发。
[0026]下面结合附图,详细说明本申请实施例中接收到数据流后的处理过程。
[0027]参见图2,图2为本申请实施例中数据流处理流程示意图。具体步骤包括:
[0028]步骤201,本端设备接收到数据流。
[0029]步骤202,本端设备根据该数据流的元组信息在ACL中匹配对应的流信息时,根据匹配到的流信息在SAD中查找对应的IPsec SA。
[0030]本端设备接收到数据流时,先需根据该数据流的元组信息在ACL中进行匹配。
[0031]具体的,ACL的流信息预先配置,可以包括如下五个参数信息中的任意一个或任意组合:协议(IP、UDP、TCP等)、源IP地址、目的IP地址、源端口号和目的端口号。
[0032]根据ACL中的流信息包括的信息选择数据流的元组信息中的相应信息进行匹配。例如,ACL的流信息包括:源IP地址和目的IP地址这两个参数信息,那么选择数据流的元组信息中的该数据流的源IP地址和目的IP地址进行匹配。又如,ACL的流信息包括:源IP地址、目的IP地址、源端口号和目的端口号这四个参数信息,那么选择数据流的元组信息中的该数据流的源IP地址、目的IP地址、源端口号和目的端口号进行匹配。
[0033]如果根据该数据流的元组信息在ACL中匹配到对应的流信息,说明需要通过IPsec封装进行加密发送;如果未匹配到,则直接发送,同现有实现。
[0034]步骤203,当未查找到对应的IPsec SA时,本端设备确定是否正在针对匹配到的流信息进行IPsec SA协商,如果是,执行步骤204 ;否则,执行步骤205。
[0035]本步骤中当未查找到对应的IPsec SA时,直接将数据流丢弃,但是,不同于现有实现直接触发IPsec SA协商,而是需要先确定是否正在协商对应的IPsec SA。
[0036]步骤204,本端设备在针对匹配到的流信息进行IPsec SA协商成功时,将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该SA设置匹配到的流信息对应的IPsec策略中的老化时间,执行步骤209。
[0037]本步骤中,虽然当前的IPsec SA协商过程是由接口上应用IPsec策略触发的,但是,当前已有接收到过相应的流量,因此,为了安全直接将老化时间设置为对应IPsec策略中的老化时间。
[0038]步骤205,本终端设备开始IPsec SA协商,在IPsec SA协商成功,将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该IPsec SA设置匹配到的流信息对应的IPsec策略中的老化时间,执行步骤209。
[0039]本步骤的IPsec SA协商由数据流触发开始的,具体实现同现有实现。
[0040]步骤206,当查找到对应的IPsee SA时,本端设备对该数据流进行IPsee封装并发送给与本终端设备协商出查找到的对应IPsec SA的对端设备。
[0041]步骤207,本端设备确定查找到的对应IPsec SA是否设置老化时间,如果是,执行步骤209 ;否则,执行步骤208。
[0042]本步骤中确定查找到的对应IPsec SA是否设置老化时间,即协商出该IPsec SA的IPsec SA协商过程由数据流触发还是由接口上应用的IPsec策略触发,如果为接口上应用的IPsec策略触发协商的,则需要为该IPsec SA设置对应IPsec策略的中的老化时间。
[0043]步骤208,本端设备为该IPsec SA设置所述匹配到的流信息对应的IPsec策略中的老化时间。
[0044]步骤209,结束本流程。
[0045]基于同样的发明构思,本申请还提出一种IPsec SA协商装置。参见图3,图3为本申请实施例中应用于上述技术的IPsec SA协商装置结构示意图。该装置包括:协商单元301和存储单元302 ;
[0046]协商单元301,用于当装置的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商;
[0047]存储单元302,用于将协商单元301中协商出的IPsec SA存储到安全联盟数据库SAD 中。
[0048]较佳地,
[0049]协商单元301,具体用于根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商的过程中,将发送的协商报文中的老化时间字段填充为不设置老化时间的标识。
[0050]较佳地,该装置还包括:接收单元301和查找单元302 ;
[0051]接收单元303,用于接收数据流;
[0052]查找单元304,用于当接收单元303接收到数据流时,若根据该数据流的元组信息在ACL中匹配到对应的流信息,则根据匹配到的流信息在SAD中查找对应的IPsec SA ;
[0053]协商单元301,进一步用于当查找单元304未查找到对应的IPsec SA时,确定是否正在针对匹配到的流信息进行IPsec SA协商,如果是,在针对匹配到的流信息进行IPsecSA协商成功时,并触发存储单元302将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该SA设置匹配到的流信息对应的IPsec策略中的老化时间;否则,开始IPsec SA协商,在IPsec SA协商成功,并触发存储单元302将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该SA设置匹配到的流信息对应的IPsec策略中的老化时间。
[0054]较佳地,该装置进一步包括:发送单元305 ;
[0055]发送单元305,用于当查找单元304查找到对应的IPsec SA时,对该数据流进行IPsec封装并发送给与本终端设备协商出查找到的对应IPsec SA的对端设备;
[0056]存储单元302,进一步用于若确定查找单元304查找到的对应IPsec SA未设置老化时间,则为该IPsec SA设置所述匹配到的流信息对应的IPsec策略中的老化时间。
[0057]上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单元。
[0058]综上所述,本申请通过当接口上应用IPsec策略时,立即开始IPsec SA的协商。当后续有流量到达时,可以直接使用已协商完成的IPsec SA进行流量的转发,从而能够预先协商IPsec SA,以降低数据流的丢包率,以及大量IPsec并发协商对设备造成的冲击。
[0059]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【权利要求】
1.一种因特网协议安全IPsec安全联盟SA协商方法,其特征在于,该方法包括: 当本端设备的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商; 所述本端设备将协商出的IPsec SA存储到安全联盟数据库SAD中。
2.根据权利要求1所述的方法,其特征在于,所述根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商的过程中,所述本端设备发送的协商报文中的老化时间字段填充为不设置老化时间的标识。
3.根据权利要求1或2所述的方法,其特征在于,所述方法进一步包括: 所述本端设备接收到数据流时,若根据该数据流的元组信息在ACL中匹配到对应的流信息,则根据匹配到的流信息在SAD中查找对应的IPsec SA ; 当未查找到对应的IPsec SA时,所述本端设备确定是否正在针对匹配到的流信息进行IPsec SA协商,如果是,在针对匹配到的流信息进行IPsec SA协商成功时,将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该IPsec SA设置匹配到的流信息对应的IPsec策略中的老化时间;否则,开始IPsec SA协商,在IPsec SA协商成功,将通过所述匹配到的流信息协商出的对应IPsec SA存储到SAD中时,并为该IPsec SA设置匹配到的流信息对应的IPsec策略中的老化时间。
4.根据权利要求3所述的方法,其特征在于, 当查找到对应的IPsec SA时,所述本端设备对该数据流进行IPsec封装并发送给与本终端设备协商出查找到的对应IPsec SA的对端设备; 若所述本端设备确定查找到的对应IPsec SA未设置老化时间,则为该IPsec SA设置所述匹配到的流信息对应的IPsec策略中的老化时间。
5.一种因特网协议安全IPsec安全联盟SA协商装置,其特征在于,该装置包括:协商单元和存储单元; 所述协商单元,用于当装置的接口上应用IPsec策略时,针对访问控制列表ACL中配置的每一条流信息,根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA 协商; 所述存储单元,用于将通过所述协商单元中协商出的IPsec SA存储到安全联盟数据库SAD 中。
6.根据权利要求5所述的装置,其特征在于, 所述协商单元,具体用于根据该流信息对应的IPsec策略,与通过该接口相连的对端设备进行IPsec SA协商的过程中,将发送的协商报文中的老化时间字段填充为不设置老化时间的标识。
7.根据权利要求5或6所述的装置,其特征在于,该装置进一步包括:接收单元和查找单元; 所述接收单元,用于接收数据流; 所述查找单元,用于当所述接收单元接收到数据流时,若根据该数据流的元组信息在ACL中匹配到对应的流信息,则根据匹配到的流信息在SAD中查找对应的IPsec SA ; 所述协商单元,进一步用于当所述查找单元未查找到对应的IPsec SA时,确定是否正在针对匹配到的流信息进行IPsec SA协商,如果是,在针对匹配到的流信息进行IPsecSA协商成功时,并触发所述存储单元将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该SA设置匹配到的流信息对应的IPsec策略中的老化时间;否则,开始IPsec SA协商,在IPsec SA协商成功,并触发所述存储单元将通过所述匹配到的流信息协商出的IPsec SA存储到SAD中时,并为该SA设置匹配到的流信息对应的IPsec策略中的老化时间。
8.根据权利要求7所述的装置,其特征在于,该装置进一步包括:发送单元; 所述发送单元,用于当所述查找单元查找到对应的IPsec SA时,对该数据流进行IPsec封装并发送给与本终端设备协商出查找到的对应IPsec SA的对端设备; 所述存储单元,进一步用于若确定所述查找单元查找到的对应IPsec SA未设置老化时间,则为该IPsec SA设置所述匹配到的流信息对应的IPsec策略中的老化时间。
【文档编号】H04L29/06GK104333554SQ201410634796
【公开日】2015年2月4日 申请日期:2014年11月12日 优先权日:2014年11月12日
【发明者】田浩博, 张太博 申请人:杭州华三通信技术有限公司