一种安全联盟备份方法以及装置的制造方法
【专利摘要】本发明提供一种安全联盟备份方法,所述方法包括:与对端设备建立多条VPN会话连接,并协商出分别与所述多条VPN会话连接对应的安全联盟;将所述多条VPN会话连接中的一条与所述主设备绑定,将另外的一条或多条VPN会话连接分别与一个或多个备设备绑定;将协商出的与所述多条VPN会话连接对应的安全联盟备份至所述备设备,以使在所述主设备故障时,由至少一个备设备根据备份的所述备设备的安全联盟,通过与所述备设备绑定的VPN会话连接与所述对端设备交互报文。本发明保证了与对端设备的业务不中断。
【专利说明】
一种安全联盟备份方法以及装置
技术领域
[0001]本发明涉及通信技术领域,尤其涉及一种安全联盟备份方法以及装置。
【背景技术】
[0002]随着远程接入、异地办公等需求的增长,VPN (Virtual Private Network,虚拟专用网络)网关设备的部署也越来越多。现有技术中使用双机备份能够有效提高VPN网关设备的稳定性,即部署多台互为备份的主设备与备设备。
[0003]在双机备份系统中,由VPN网关设备中的主设备处理接收的流量,备设备检测主设备的运行状态。在主设备接收到对端设备发送的流量时,主设备的安全联盟的序号也随之变化(增长)。而备设备由于没有同步接收流量,因此不能与对端设备的安全联盟实时同步。
[0004]在检测到主设备出现故障时,由备设备切换为新的主设备,经由VPN网关设备的流量也将切换到备设备上。然而,由于备设备上安全联盟的序号与对端设备不一致,导致备设备发出的报文在对端设备上进行防重放检查失败,进而造成与对端设备的业务中断。
【发明内容】
[0005]针对现有技术的缺陷,本发明提供了一种安全联盟备份方法以及装置。
[0006]本发明提供一种安全联盟备份方法,应用于双机备份系统中的主设备,所述双机备份系统还包括备设备,所述备设备在主设备故障时接替所述主设备成为新的主设备,其中该方法包括:
[0007]与对端设备建立多条虚拟专用网络VPN会话连接,并协商出分别与所述多条VPN会话连接对应的安全联盟;
[0008]将所述多条VPN会话连接中的一条与所述主设备绑定,将另外的一条或多条VPN会话连接分别与一个或多个备设备绑定;
[0009]将协商出的与所述多条VPN会话连接对应的安全联盟备份至所述备设备,以使在所述主设备故障时,由至少一个备设备根据备份的与所述备设备绑定的VPN会话连接对应的安全联盟,通过与所述备设备绑定的VPN会话连接与所述对端设备交互报文。
[0010]本发明还提供一种安全联盟备份装置,应用于双机备份系统中的主设备,所述双机备份系统还包括备设备,所述备设备在主设备故障时接替所述主设备成为新的主设备,所述装置包括:
[0011]协商单元,用于与对端设备建立多条VPN会话连接,并协商出分别与所述多条VPN会话连接对应的安全联盟;
[0012]绑定单元,用于将所述多条VPN会话连接中的一条与所述主设备绑定,将另外的一条或多条VPN会话连接分别与一个或多个备设备绑定;
[0013]备份单元,用于将协商出的与所述多条VPN会话连接对应的安全联盟备份至所述备设备,以使在所述主设备故障时,由至少一个备设备根据备份的与所述备设备绑定的VPN会话连接对应的安全联盟,通过与所述备设备绑定的VPN会话连接与所述对端设备交互报文。
[0014]本发明提供的安全联盟备份方法以及装置,通过将与对端设备协商出的分别与多条VPN会话连接对应的安全联盟备份至所述备设备,以在主设备故障并由备设备作为新的主设备时,由备设备根据备份的备设备对应的安全联盟,通过与备设备绑定的VPN会话连接与对端设备交互报文。进而保证了与对端设备的业务不中断。
【附图说明】
[0015]图1是本发明实施例所应用的双机备份系统示意图;
[0016]图2是本发明实施例中安全联盟备份方法流程示意图;
[0017]图3是本发明实施例中安全联盟备份装置所在主设备的硬件架构示意图;
[0018]图4为本发明实施例中安全联盟备份装置的逻辑结构示意图。
【具体实施方式】
[0019]为使本申请的目的,技术方案及优点更加清楚明白,以下参照附图对本申请方案做进一步的详细说明。
[0020]为了解决现有技术中存在的问题,本发明提供了一种安全联盟备份方法以及装置。
[0021]图1为本发明所应用的双机备份系统示意图,包括互为备份的主设备以及备设备,以及对端设备。该主设备以及备设备均可以是VPN网关设备。
[0022]请参考图2,为本发明提供的安全联盟备份方法的处理流程示意图,该安全联盟备份方法可应用于双机备份系统中的主设备,该双机备份系统还包括备设备,其中该备设备在主设备故障时接替主设备成为新的主设备。该安全联盟备份方法包括以下步骤:
[0023]步骤201,与对端设备建立多条VPN会话连接,并协商出分别与所述多条VPN会话连接对应的安全联盟;
[0024]在实际应用中,若是多机备份系统,那么该系统中会有一个主设备以及多个备设备,那么主设备可以向对端设备分别发起与主、备设备数量一致的多个VPN会话请求,并相应地建立多条VPN会话连接。若是双机备份系统,通常仅有一个主设备以及一个备设备,那么主设备可以向对端设备分别发起两次VPN会话请求,并相应地建立两条VPN会话连接。该两条或多条VPN会话连接的配置相同,即主设备在理论上可以通过任意一条VPN会话连接将数据报文传输至对端设备。
[0025]以双机备份系统中建立两条VPN会话连接为例,例如所建立两条VPN会话连接为:连接I以及连接2。
[0026]在与对端设备建立两条VPN会话连接后,可以与对端设备协商出分别与两条VPN会话连接对应的安全联盟。其中,该安全联盟包括安全联盟序号、保护数据包的协议、密钥以及密钥有效期等。例如,连接I的安全联盟为LI,安全联盟序号为L1-001,连接2的安全联盟为L2,安全联盟序号为L2-001。
[0027]步骤202,将所述多条VPN会话连接中的一条与所述主设备绑定,将另外的一条或多条VPN会话连接分别与一个或多个备设备绑定;
[0028]将建立的两条VPN会话连接的其中一条(例如连接I)与主设备绑定;将另外一条(例如连接2)与备设备进行绑定。
[0029]步骤203,将协商出的与所述多条VPN会话连接对应的安全联盟备份至所述备设备,以使在所述主设备故障时,由至少一个备设备根据备份的与所述备设备绑定的VPN会话连接对应的安全联盟,通过与所述备设备绑定的VPN会话连接与所述对端设备交互报文。
[0030]本发明实施例在通过协商得到与各VPN会话连接对应的安全联盟后,可以将协商出的与多条VPN会话连接对应的安全联盟均备份至备设备,即,将与连接I对应的安全联盟LI以及与连接2对应的安全联盟L2均备份至备设备。这样一来,一旦备设备检测到主设备出现故障,由备设备切换为新的主设备时,新的主设备可以首先使用原主设备备份过来的与多条VPN会话连接对应的安全联盟中与本设备(即新的主设备)绑定的连接2对应的安全联盟L2(安全联盟序号L2-001)与所述对端设备交互报文,同时,新的主设备重新与对端设备建立多条VPN会话连接,并协商出新的与多条VPN会话连接对应的安全联盟,之后,将其中一条VPN会话连接与新的主设备绑定,将其他的一条或多条VPN会话连接与其他备设备绑定,并根据协商出的与新的主设备绑定的VPN会话连接以及与该VPN会话连接对应的安全联盟与对端设备进行报文交互,进而保证了与对端设备的业务不中断。
[0031]进一步地,该安全联盟序号还包括加封装序号以及解封装序号,本发明上述提及的安全联盟序号可以是该加封装序号。该密钥又包括加密密钥以及解密密钥。
[0032]在主设备运行正常时,主设备可以通过与主设备绑定的连接I以及连接I的安全联盟序号L1-001与对端设备进行数据通信;在备设备切换为新的主设备时,新的主设备可以通过与备设备(新的主设备)绑定的连接2以及连接2的安全联盟序号L2-001与对端设备进行数据通信。而对端设备则可以通过任意一条连接与本端设备进行通信。
[0033]具体地,所述安全联盟包括加封装序号,在通过与所述主设备绑定的VPN会话连接向所述对端设备发送报文时,将所述安全联盟的加封装序号在原有基础上递增;将递增后的加封装序号添加至所述报文中,发送至对端设备。
[0034]例如,在主设备运行正常时,若要向对端设备发送ESP (Encapsulating SecurityPayloads,封装安全载荷协议)或者AH(Authenticat1n Header,认证头)等报文,可以首先将要发送至对端设备的数据内容使用在有效期内的加密密钥进行加封装。假设,与主设备绑定的连接I的安全联盟的加封装序号为“L1-001”,使用在有效期内的加密密钥对报文进行加封装时,还可以将连接I的加封装序号在“L1-001”的基础上递增,例如加1,即递增后的加封装序号为“L1-002”。并将“L1-002”添加至该ESP或者AH报文头部信息的指定字段中,通过与主设备绑定的连接I发送至对端设备,以使对端设备根据该报文头部信息中的安全联盟序号进行防重放攻击检查,并在检查无重放攻击时,处理该报文。
[0035]相应地,由于对端设备可以通过任意一条连接与本端设备进行通信,因此对端设备可以通过任意一条连接接收到对端设备的报文。假设,通过与主设备绑定的连接I接收到对端设备发送的报文时,首先使用在有效期内的解密密钥将所述对端设备发送的报文解封装,以节省CPU资源。之后,获取该报文头部信息中的对端设备的安全联盟序号,并根据该安全联盟序号检查连接I或者连接2对应的安全联盟的解封装序号中是否保存了该安全联盟的序号,以对该报文进行防重放攻击的检查。若检查到与连接I或者与连接2对应的安全联盟的解封装序号中均未保存该安全联盟序号,可以确定该报文不是重放攻击报文,那么将该报文的安全联盟序号保存至与接收该报文的连接对应的解封装序号中,并对该报文进行处理。然而,若接收的报文头部信息中的安全联盟序号与连接I或者与连接2对应的安全联盟保存的解封装序号有重复,说明该报文为重放攻击报文,则不对该报文进行处理。
[0036]同样地,若通过与备设备绑定的连接2接收到对端设备发送的报文时,也可以通过上述方式确定报文是否为重放攻击报文,但是在向对端设备回复回应报文时,仍是通过与主设备绑定的连接I发送回应报文,同时更新连接I上的安全联盟(加封装序号)。
[0037]进一步地,在协商出分别与所述多条VPN会话连接对应的安全联盟时,启动定时器;在到达所述定时器的定时时长时,或者,在所述主设备与对端设备断开所述VPN会话连接时,重新与对端设备建立多条VPN会话连接,并协商出新的与所述多条VPN会话连接对应的安全联盟;将所述多条VPN会话连接中的一条与所述主设备绑定,将另外的多条VPN会话连接中的其中一条与所述备设备绑定;将协商出的新的与所述多条VPN会话连接对应的安全联盟备份至所述备设备。
[0038]具体地,在主设备与对端设备的报文交互过程中,为了防止安全联盟中的密钥被攻击者破解,而降低系统的安全性能,通常为协商出的安全联盟设置有计时时间,在到达该计时时间时,可以与对端设备重新建立多条VPN会话连接,并协商出新的与所述多条VPN会话连接对应的安全联盟,这样一来,可有效避免因安全联盟中的密钥被破解而造成的机密泄漏。
[0039]之后,将协商出的新的与所述多条VPN会话连接对应的安全联盟备同步至备设备,以使备设备在切换为主设备时,可以根据更新后的与原主设备绑定的VPN会话连接对应的安全联盟与对端设备进行报文交互。
[0040]另外,在主设备出现故障,或因其他原因与对端设备断开连接时,可以由备设备切换为新的主设备,新的主设备可以首先使用原主设备备份过来的与多条VPN会话连接对应的安全联盟中与新的主设备绑定的VPN会话连接对应的安全联盟与所述对端设备交互报文,以保证原主设备故障期间与对端设备的报文不中断。
[0041]同时,新的主设备重新与对端设备建立多条VPN会话连接,并协商出新的与多条VPN会话连接对应的安全联盟,之后,将其中一条VPN会话连接与新的主设备绑定,将其他的一条或多条VPN会话连接与其他备设备绑定,并根据协商出的与新的主设备绑定的VPN会话连接以及与该VPN会话连接对应的安全联盟与对端设备进行报文交互,进而保证了整个切换过程中本端设备与对端设备的业务不中断。
[0042]另外,本发明中在多机备份系统时,可以根据主设备以及备设备的数量分别建立对应数量的VPN会话连接,并将VPN会话连接分别绑定至不同的设备,其具体处理流程可以参考上述双机备份系统的处理流程,本发明不再一一列举。
[0043]请参考图3,为本发明安全联盟备份装置所在主设备的硬件架构示意图,其基本硬件环境包括CPU、内存、转发芯片、非易失性存储器以及其他硬件。图4为该安全联盟备份装置的逻辑结构示意图,其从本质上说是一个逻辑装置。在本实施方式中,以软件实现为例,该安全联盟备份装置在逻辑层面上可以包括协商单元401、绑定单元402以及备份单元403,其中:
[0044]协商单元401,用于与对端设备建立多条VPN会话连接,并协商出分别与所述多条VPN会话连接对应的安全联盟;
[0045]绑定单元402,用于将所述多条VPN会话连接中的一条与所述主设备绑定,将另外的一条或多条VPN会话连接分别与一个或多个备设备绑定;
[0046]备份单元403,用于将协商出的与所述多条VPN会话连接对应的安全联盟备份至所述备设备,以使在所述主设备故障时,由至少一个备设备根据备份的与所述备设备绑定的VPN会话连接对应的安全联盟,通过与所述备设备绑定的VPN会话连接与所述对端设备交互报文。
[0047]进一步地,所述装置还可以包括交互单元404,交互单元404用于根据与主设备绑定的VPN会话连接对应的安全联盟,通过与所述主设备绑定的VPN会话连接与所述对端设备交互报文。
[0048]进一步地,所述协商单元401还可以用于在协商出分别与所述多条VPN会话连接对应的安全联盟时,启动定时器;在到达所述定时器的定时时长时,或者,在所述主设备与对端设备断开所述VPN会话连接时,重新与对端设备建立多条VPN会话连接,并协商出新的与所述多条VPN会话连接对应的安全联盟;所述绑定单元402还可以用于将重新建立的多条VPN会话连接中的一条与所述主设备绑定,将另外的多条VPN会话连接中的其中一条与所述备设备绑定;所述备份单元403还可以用于将协商出的新的与所述多条VPN会话连接对应的安全联盟备份至所述备设备。
[0049]进一步地,所述安全联盟包括加封装序号,所述交互单元404具体可以用于在通过与所述主设备绑定的VPN会话连接向所述对端设备发送报文时,将所述安全联盟的加封装序号在原有基础上递增;将递增后的加封装序号添加至所述报文中,发送至对端设备。
[0050]进一步地,所述安全联盟还包括解封装序号,所述交互单元404具体可以用于在通过与所述主设备绑定的VPN会话连接接收到所述对端设备发送的报文时,获取所述对端设备发送的报文中携带的对端设备的安全联盟序号;检查所述对端设备的安全联盟序号是否与所述解封装序号中重复,若否,使用所述对端设备的安全联盟序号更新所述解封装序号。
[0051 ] 从以上各种方法和装置的实施方式中可以看出,本发明提供的安全联盟备份方法以及装置,通过将与对端设备协商出的分别与多条VPN会话连接对应的安全联盟备份至所述备设备,以在主设备故障并由备设备作为新的主设备时,由备设备根据备份的备设备的安全联盟,通过与备设备绑定的VPN会话连接与对端设备交互报文。进而使备设备发送的报文能通过对端设备的防重放攻击检查,保证了与对端设备的业务不中断。
[0052]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1.一种安全联盟备份方法,应用于双机备份系统中的主设备,所述双机备份系统还包括备设备,所述备设备在主设备故障时接替所述主设备成为新的主设备,其特征在于,所述方法包括: 与对端设备建立多条虚拟专用网络VPN会话连接,并协商出分别与所述多条VPN会话连接对应的安全联盟; 将所述多条VPN会话连接中的一条与所述主设备绑定,将另外的一条或多条VPN会话连接分别与一个或多个备设备绑定; 将协商出的与所述多条VPN会话连接对应的安全联盟备份至所述备设备,以使在所述主设备故障时,由至少一个备设备根据备份的与所述备设备绑定的VPN会话连接对应的安全联盟,通过与所述备设备绑定的VPN会话连接与所述对端设备交互报文。2.如权利要求1所述的方法,其特征在于,在协商出分别与所述多条VPN会话连接对应的安全联盟之后,所述方法还包括: 由所述主设备根据与主设备绑定的VPN会话连接对应的安全联盟,通过与所述主设备绑定的VPN会话连接与所述对端设备交互报文。3.如权利要求1所述的方法,其特征在于,所述方法还包括: 在协商出分别与所述多条VPN会话连接对应的安全联盟时,启动定时器; 在到达所述定时器的定时时长时,或者,在所述主设备与对端设备断开所述VPN会话连接时,重新与对端设备建立多条VPN会话连接,并协商出新的与所述多条VPN会话连接对应的安全联盟; 将重新建立的多条VPN会话连接中的一条与所述主设备绑定,将另外的多条VPN会话连接中的其中一条与所述备设备绑定; 将协商出的新的与所述多条VPN会话连接对应的安全联盟备份至所述备设备。4.如权利要求2所述的方法,其特征在于,所述安全联盟包括加封装序号,所述由所述主设备根据与主设备绑定的VPN会话连接对应的安全联盟,通过与所述主设备绑定的VPN会话连接与所述对端设备交互报文具体包括: 在通过与所述主设备绑定的VPN会话连接向所述对端设备发送报文时,将所述安全联盟的加封装序号在原有基础上递增; 将递增后的加封装序号添加至所述报文中,发送至对端设备。5.如权利要求2所述的方法,其特征在于,所述安全联盟包括解封装序号,所述由所述主设备根据与主设备绑定的VPN会话连接对应的安全联盟,通过与所述主设备绑定的VPN会话连接与所述对端设备交互报文具体包括: 在通过与所述主设备绑定的VPN会话连接接收到所述对端设备发送的报文时,获取所述对端设备发送的报文中携带的对端设备的安全联盟序号; 检查所述对端设备的安全联盟序号是否与所述解封装序号中重复,若否,使用所述对端设备的安全联盟序号更新所述解封装序号。6.一种安全联盟备份装置,应用于双机备份系统中的主设备,所述双机备份系统还包括备设备,所述备设备在主设备故障时接替所述主设备成为新的主设备,其特征在于,所述装置包括: 协商单元,用于与对端设备建立多条VPN会话连接,并协商出分别与所述多条VPN会话连接对应的安全联盟; 绑定单元,用于将所述多条VPN会话连接中的一条与所述主设备绑定,将另外的一条或多条VPN会话连接分别与一个或多个备设备绑定; 备份单元,用于将协商出的与所述多条VPN会话连接对应的安全联盟备份至所述备设备,以使在所述主设备故障时,由至少一个备设备根据备份的与所述备设备绑定的VPN会话连接对应的安全联盟,通过与所述备设备绑定的VPN会话连接与所述对端设备交互报文。7.如权利要求6所述的装置,其特征在于,所述装置还包括交互单元,用于: 根据与主设备绑定的VPN会话连接对应的安全联盟,通过与所述主设备绑定的VPN会话连接与所述对端设备交互报文。8.如权利要求6所述的装置,其特征在于,所述协商单元还用于: 在协商出分别与所述多条VPN会话连接对应的安全联盟时,启动定时器;在到达所述定时器的定时时长时,或者,在所述主设备与对端设备断开所述VPN会话连接时,重新与对端设备建立多条VPN会话连接,并协商出新的与所述多条VPN会话连接对应的安全联盟; 所述绑定单元还用于: 将重新建立的多条VPN会话连接中的一条与所述主设备绑定,将另外的多条VPN会话连接中的其中一条与所述备设备绑定; 所述备份单元还用于: 将协商出的新的与所述多条VPN会话连接对应的安全联盟备份至所述备设备。9.如权利要求7所述的装置,其特征在于,所述安全联盟包括加封装序号,所述交互单元具体用于: 在通过与所述主设备绑定的VPN会话连接向所述对端设备发送报文时,将所述安全联盟的加封装序号在原有基础上递增; 将递增后的加封装序号添加至所述报文中,发送至对端设备。10.如权利要求7所述的装置,其特征在于,所述安全联盟还包括解封装序号,所述交互单元具体用于: 在通过与所述主设备绑定的VPN会话连接接收到所述对端设备发送的报文时,获取所述对端设备发送的报文中携带的对端设备的安全联盟序号; 检查所述对端设备的安全联盟序号是否与所述解封装序号中重复,若否,使用所述对端设备的安全联盟序号更新所述解封装序号。
【文档编号】H04L12/24GK105991352SQ201510434327
【公开日】2016年10月5日
【申请日】2015年7月22日
【发明人】孔伟政, 刘宇驰, 王之云
【申请人】杭州迪普科技有限公司