專利名稱:一種多源安全關聯建立方法及系統的制作方法
技術領域:
本發明涉及信息安全技術領域,特別涉及一種多源安全關聯建立方法及系統。
背景技術:
由于計算機通信網絡存在著諸如信息偽造、篡改、重放、竊聽等安全隱患,為了保障網絡安全性,IPsec (Internet Protocol Security, IP安全協議)應運而生。1995年8月,IETF (Internet Engineering Task Force,因特網工程任務組)發布了 IPsecl.O,歷經15年的不斷摸索和完善,到目前為止已經形成了一套較為成熟完整、可同時支持IPv4和IPv6的安全協議族,主要用來為IP層網絡通信提供安全服務。IPsec最常用于VPN(VirtualPrivate Network,虛擬專用網),也用于其它協議如MIPv6、OSPF> HIP、SCTP等保護數據流 量。IPsec 協議族主要包括 AH (Authentication Header,認證頭)、ESP (EncapsulatingSecurity Payload,封裝安全載荷)、IKE( Internet Key Exchange,互聯網密鑰交換協議)、PKI (Public Key Infrastructure,公共密鑰基礎設施)等協議,這些內容在RFC4306等標準中得到完整體現。每一項協議都包含了豐富的內容,協議之間既可以單獨使用,也可以相互配合以完成更為復雜的功能。經過多年的發展與整合,對于IPsec協議本身的設計、改進和優化擴展工作已日趨成熟,目前的IPsec研究主要集中于HA(HighAbility,高可用性)協議支持問題。系統高可用性即災備及容錯技術,在自然災難、技術災難和人為災難等直接威脅到了信息系統的功能和性能時,若要中斷服務器,并切換至備用的服務器上進行維修和恢復,所付出的成本和帶來的損失與影響是巨大的。為此,IPsec的高可用性備份技術應運而生,它多是實現在網關上,依托于計算機的災備技術衍生而來,稱為HA VPN,即高可用性VPN。HA VPN通過配置通信雙方的軟硬件,使得其中的一端因為某種原因發生故障無法保證業務正常運行時,另一端能夠起來再建立一條IPsec連接,保證業務正常運行。當前的災備及容錯技術主要包括服務器集群技術、雙機熱備份技術和單機容錯技術,容錯級別依次由低到高。雙機熱備分技術是指兩臺配置完全相同的服務器彼此設為備機,當某一臺服務器出現故障時,另一臺服務器可以在短時間內將故障服務器的應用接管過來,這種方法對服務器的性能要求比較高,在進行雙機互備的軟件設計方面,其維護成本也高;單機容錯技術是指對系統中所有硬件進行備份,包括CPU、內存和1/0總線等的冗余備份,在發生故障時能夠自動分離故障模塊,進行模塊調換,對損壞的部件進行維護,故障消除后系統會自動重新同步運行,這種方法對系統配置要求高,成本也高;而服務器集群由多臺相對獨立的主機組成,在實現負載均衡,保證整體性能的同時,對集群內的機器沒有上述嚴格要求,因此使用比較方便,應用更加廣泛。在服務器集群技術中,通常所有成員可共享一個IP,使用配置某種協議或硬件的接口來完成,例如使用映射服務器或通過使用任播地址,對端只需要在認證數據庫配置一個IP地址即可設置完全備份服務器,將經過的數據流同時復制到另一臺機器,來實現同步映射實時切換。基于服務器或者網關的集群而建立多個備份網關或者服務器以進行災備及容錯是目前主要的研究方向,多臺服務器及網關之間的互為備份可以實現多源安全機制,提高整個系統的可用性。有文獻提出了一種基于IPsec的高性能VPN系統并行體系結構,稱為并行IPsec VPN(Parallel IPsec VPN,簡稱PVPN),采用流水線并行處理算法,將CPU與加密卡分為兩個功能部件,使其重疊運行,流水作業,從而實現并行操作與系統的多加密卡并行處理;PVPN采用Compact PCI硬件平臺,構建多機并行體系,提高了 IPsec VPN的處理性能。其中還設計了一個適用于PVPN系統的負載均衡算法,能夠有效將加解密報文均勻分發到CPU處理板上,使用集群互備模式,防止CPU處理板發生故障,從而提高了整個系統的高可用性。還有文獻提出了一種高可用的雙機冗余備份HA-VPN系統、多路聚合和負載均衡的MA-VPN系統、TCP中繼和廣域網加速的WA-VPN系統,從設備冗余、鏈路冗余、數據冗余等不同層面的高可用技術來提高IPsec VPN的可用性。現有技術中,有文獻引入了一種實現安全聯盟備份和切換的方法。在有IP安全協議(IPsec)備份連接的情況下,使主通訊實體與備份通訊實體同時與通信對端建立SA(Security Association,安全關聯)。當主通訊實體或主連接發生故障時,備份通訊實體的IKEv2通知源通信實體其對端通訊實體地址發生變化,源通訊實體獲知地址變更后,更新本·地SA的對端地址,源通訊實體用戶流量切換到備份連接上,完成SA的備份和切換。但本方法要求備份節點與源節點物理距離較近,造成備份節點的冗余度較高。在實現本發明的過程中,發明人發現現有技術至少存在以下問題現有技術中的安全備份方案,通過硬件或架構改進來實現IPsec協議的多源安全功能,存在著安全性不高、對硬件要求過高、節點冗余度過高等問題,無法適應現有的網絡集群條件下對于安全備份的要求,無法實現現有網關等安全關聯的多源備份和切換功能,對IKE通信機制下的通信安全有很大的影響。
發明內容
為了解決現有技術的問題,本發明實施例提供了一種多源安全關聯建立方法及系統。所述技術方案如下一種多源安全關聯建立方法,所述方法包括在IKEV2通信中,IKE_AUTH消息協商過程中,網關在發送消息中攜帶標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i ;其中,所述標志位載荷Hai用以確認本條發送消息攜帶多源安全關聯信息;所述N為備份網關的數量;所述N[IPi]為備份網關的IP地址;所述TS2i為每個備份網關所保護的流量;終端在返回消息中攜帶標志位確認載荷HAr以及N個流量選擇符載荷TSr ;其中,所述標志位確認載荷HAr用以標識所述終端確認建立多源安全關聯;所述N個流量選擇符載荷TSr分別對應接收到的所述備份網關所保護的流量,用以確認所述終端已根據所述每個備份網關所保護的流量建立流量保護。所述方法還包括網關在接收到所述返回消息后,生成自身以及所有備份網關與終端之間通信IKESA,并向所有備份網關發送已生成的IKE SA。所述方法還包括網關向任一備份網關發送控制消息啟用切換,向終端發送SA退出消息,在處理完與備份網關之間數據窗口的數據后刪除SA,并通知終端刪除SA ;或者備份網關在預設時間間隔內沒有收到網關發送的數據處理序號,通知終端刪除與網關的SA,并啟動備份網關的SA進行數據通信,恢復網關未處理的數據。所述備份網關在預設時間間隔內沒有收到網關發送的數據處理序號后,還包括備份網關向網關發送確認請求;若網關響應,則繼續監聽;否則,所述備份網關向終端發送INFORMATIONAL交換消息,所述INFORMATIONAL交換消息至少攜帶發生故障的標志位、備份網關的身份信息以及報文類型;終端響應INFORMATIONAL交換消息,刪除與網關的SA,啟動與所述備份網關的安全聯盟,完成切換。
所述方法還包括網關采用計數字段進行發包統計,更新字段中的加密數據包的數據處理序號并發送給備份網關,通知備份網關此時網關已處理的數據包個數;備份網關在預設時間間隔內沒有收到網關發送的數據處理序號后而完成切換后,終端根據備份網關最后一次收到的數據處理序號進行數據重傳。所述終端記錄自身處理的數據包個數,與所述備份網關最后一次收到的數據處理序號進行比較,根據數值較小的計數值進行數據重傳。一種多源安全關聯建立系統,所述系統包括終端、網關以及至少一個備份網關,其中,所述網關,用于在發送消息中攜帶標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i ;其中,所述標志位載荷Hai用以確認本條發送消息攜帶多源安全關聯信息;所述N為備份網關的數量;所述N[IPi]為備份網關的IP地址;所述TS2i為每個備份網關所保護的流量;所述終端,用于在返回消息中攜帶標志位確認載荷HAr以及N個流量選擇符載荷TSr ;其中,所述標志位確認載荷HAr用以標識所述終端確認建立多源安全關聯;所述N個流量選擇符載荷TSr分別對應接收到的所述備份網關所保護的流量,用以確認所述終端已根據所述每個備份網關所保護的流量建立流量保護;所述備份網關,用于在所述網關發生故障時,與所述終端繼續進行數據傳輸。所述網關還用于在接收到所述返回消息后,生成自身以及所有備份網關與終端之間通信IKE SA,并向所有備份網關發送已生成的IKE SA。所述網關還用于向任一備份網關發送控制消息啟用切換,向終端發送SA退出消息,在處理完與備份網關之間數據窗口的數據后刪除SA,并通知終端刪除SA。所述備份網關還用于在預設時間間隔內沒有收到網關發送的數據處理序號,通知所述終端刪除與所述網關的SA,并啟動備份網關的SA進行數據通信,恢復所述網關未處理的數據。本發明實施例提供的技術方案帶來的有益效果是通過在IKE_AUTH消息協商過程中,擴展現有的協議,增加標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i,來將備份網關的地址以及流量選擇信息發送給終端,終端確認后建立與備份網關的關聯,在網關發生故障的時候,自動切換到備份網關繼續數據傳輸。本發明提出的協商多個SA的方法和增強的可靠數據傳輸機制,通過對現有的IPsec進行功能拓展,增加了身份載荷和流量選擇載荷以建立多個備份IKE SA,通信一端發送計數狀態來解決切換間產生一定程度的丟包問題,保證了加密數據流的實時無縫切換,進一步增強了 IPsec的安全性能。
為了更清楚地說明本發明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。圖I是現有技術中IKEv2密鑰交換過程示意圖;圖2是現有技術中流量選擇器載荷包格式示意圖;圖3是本發明實施例一提供的多源安全關聯建立方法原理流程圖; 圖4是本發明實施例一提供的擴展IKEv2密鑰交換過程示意圖;圖5是本發明實施例一提供的INFORMATIONAL消息交換過程示意圖;圖6是本發明實施例二提供的多源安全關聯建立方法示意圖;圖7是本發明實施例二提供的數據補償機制示意圖;圖8是本發明實施例二提供的應用場景示意圖;圖9是本發明實施例三提供的多源安全關聯建立系統示意圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明實施方式作進一步地詳細描述。本發明實施例是基于對現有的IKEv2 (Internet Key Exchange Version 2,互聯網密鑰交換協議第二版)在協議層面上進行修改而實現多源安全的建立的,現有的IKEv2協議中交換過程如圖I所示。IKE通信總是從IKE_SA_INIT和IKE_AUTH交換開始的(相當于IKEvl的第一階段)。初始交換通常包含四條報文,其中HDR中包括SPI (Security Parameters Index,安全參數索引)、版本號以及各種類型的標志;SAil載荷包含了發起方為建立IKE_SA所支持的加密算法;KE (Key Exchange,密鑰交換)載荷包含發起方的Diffie-Hellman值;Ni表示發起方的nonce (當前時間);[CERTREQ]為可選的載荷,表明可包含一個可選的證書請求載荷。第一對報文(IKE_SA_INIT)協商加密算法,交換nonce并進行Diffie-Hellman交換;第二對報文(IKE_AUTH)認證第一對報文,交換身份信息和證書并建立第一個CHILD_SA。一部分報文利用IKE_SA_INIT交換中確定的密鑰進行加密和完整性保護,所以通信雙方的身份對竊聽者是隱藏的,并且所有報文中的所有域都是經過認證的。在第2條消息中,響應方從發起方提供的選項中選擇一套加密算法并且在SArl載荷中表示出來,通過KEr載荷完成Diffie-Hellman交換,并在Nr載荷中發送它自己的nonce。此時協商中每一端都會生成SKEYSEED (密鑰種子),并從中生成IKE_SA的所有密鑰,接下來的所有報文全部(除了頭部)都會被加密并受到完整性保護。用來加密和進行完整性保護的所有密鑰都來自于密鑰種子,它們被稱為SK_e (加密)和SK_a (認證,又名完整性保護),單獨的SK_e和SK_a是單向計算的。使用DH值除了生成保護IKE_SA的密鑰SK_e和SK_a之外,還生成了其它密鑰SK_d (被用來產生CHILD_SA階段需要的加密材料)。符號SK表明括號中的這些載荷是經過加密和完整性保護(使用本方向的SK_e和SK_a)的。在第3條消息中,發起方在IDi載荷中聲稱自己的身份,使用AUTH載荷證明對IDi相關秘密信息的認識并保護第一條消息內容的完整性。發起方在CERT載荷中還發送本身的證書,在CERTREQ載荷中發送一系列信任的內容(anchor)。若發起方包含CERT載荷,則所提供的第一個證書必須包含用來證明AUTH域的公共密鑰。可選的IDr載荷使發起方能夠指定它想與之通信的對方的眾多身份中的一個,這對響應方在同一個IP地址上具有多個主機身份的情況下很有用。TS稱為流量選擇器載荷,分為接收方和響應方兩種類型的包(載荷類型分別為44和45),允許對端為IPsec安全服務的處理識別數據流,其格式如圖2所示。其中,TS數代表提供的流量選擇器的數目;保留位在發送端要清0,而接收端則忽略;流量選擇器位可以包括一個或多個流量選擇器;C標志位如果設置為0,則響應方不能識別流量選擇器載荷時跳過該載荷,如果設置為1,則響應方不能識別流量選擇器載荷時拒絕整個報文。·在第4條消息中,響應方驗證ID載荷中的名稱與產生AUTH載荷的密鑰是否相符合,并在IDr載荷中聲稱自己的身份,可選地發送一個或多個證書(用包含公鑰的證書再次檢驗首次所列出的AUTH),用AUTH載荷認證他的身份并保護第二條消息的完整性,通過附加域來完成CHILD_SA的協商,并通過TSr載荷確認建立連接的主機地址與端口。本發明實施例實質上是在IKEv2通信中,IKE_AUTH消息協商過程中,對于協商雙方所攜帶標志位和實際數據的修改而建立起多源安全機制,在之后出現通信問題時,可以根據已經建立的安全機制,快速的切換至備份網關繼續進行通信。實施例一參見圖3,為本發明實施例一提供的多源安全關聯建立方法原理流程圖,具體如下步驟10,在IKEv2通信中,IKE_AUTH消息協商過程中,網關在發送消息中攜帶標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i。本實施例實質上是一種基于IKEv2的建立多源安全關聯建立的方案,需要擴展修改IKEv2的第三、四條消息,也即需要擴展IKE_AUTH消息協商過程。發送方(網關)在第三條消息中至少增加HAi載荷、N[IPi]載荷和N個TS2i載荷,N為大于I的自然數。其中,HAi是一個標志位載荷,用以確認本條發送消息攜帶多源安全關聯信息。除了本機的IDi載荷,發起方在第3條消息中添加一個新建的通告載荷N[IPi]通知響應方(終端)本端備份網關的IP地址;同時,TS2i載荷表示備份網關的流量選擇符,即該網關所保護的流量,當存在多個備份網關時,則相應的存在多個流量選擇器載荷。在主機網關發生故障時,備份網關可使用同步接收到的載荷通過驗證,繼續進行IPsec通信。步驟20,終端在返回消息中攜帶標志位確認載荷HAr以及N個流量選擇符載荷TSr。相應的,終端接收到請求,驗證IDi載荷中的名稱后,在返回的第四條消息中,除了用IDr載荷中聲明自己的身份,增加了對支持擴展IKEv2交換過程的HAr (標志位確認載荷),并發送與所請求個數相同流量選擇符載荷,即TSr載荷。標志位確認載荷HAr用以標識所述終端確認建立多源安全關聯。流量選擇符載荷TSr分別對應接收到的備份網關所保護的流量,用以確認終端已根據每個備份網關所保護的流量建立流量保護。在此之后,網關在接收到終端返回的消息后,確認終端是否支持多源安全關聯,也就是確認HAr的內容。如果支持,則建立自身與終端之間的安全關聯(SA),同時,生成終端與所有的備份網關之間的SA并分別發送給各個備份網關。各個備份網關保存與終端的SA,以備在網關與終端通信出現問題的時候,及時通過與終端的SA建立安全通信。至此,多源安全關聯機制建立完成。具體消息流程如圖4所示。進一步的,網關在接收到返回消息后,生成自身以及所有備份網關與終端之間通信IKE SA,并向所有備份網關發送已生成的IKE SA。網關收到第4條消息后,同時生成網關與終端、備份網關與終端之間通信IKE SA及CHILD_SA,并同時返回所生成的兩個CHILD_ SA的SPI。隨后網關與終端進行IPsec通信,并向備份網關發送已生成的IKE SA,以備進行故障轉移使用。如果是多臺備份主機,則生成多個CHILD_SA和TS載荷,每個載荷與備份主機列表中的元素一一對應。進一步的,網關向任一備份網關發送控制消息啟用切換,向終端發送SA退出消息,在處理完與備份網關之間數據窗口的數據后刪除SA,并通知終端刪除SA ;或者備份網關在預設時間間隔內沒有收到網關發送的數據處理序號,通知終端刪除與網關的SA,并啟動備份網關的SA進行數據通信,恢復網關未處理的數據。具體來說,在需要啟用備份SA時,可通過兩種方式進行切換切換方式I :網關發送啟動備份網關的控制消息給備份網關,并發送SA退出消息到終端。此時,網關在處理完與備份網關之間定義的數據窗口的數據后刪除SA,并通知終端刪除SA及發送啟動控制信息。切換方式2 :備份網關在定義的時間間隔內沒有收到網關發送的數據處理序號,即認為網關產生故障,則通知終端刪除與網關的SA,并啟動與備份網關的SA進行數據通信,恢復網關未處理的數據。具體實施中,可將上述兩種方法互相結合使用,至少包括以下情況當網關負載過高或即將發生故障時,可采用切換方式1,由網關主動通知終端進行處理,終端接收到網關的通知后啟動與備份網關的安全關聯;當網關發生故障或網關與終端的連接斷開時,可采用切換方式2與數據補償機制,由備份網關檢測到故障并通知終端,建立新的安全關聯。具體的,這里所述的數據補償機制,是指加密通信過程中,網關采用計數字段進行發包統計,定期更新字段中的加密數據包數量并發送給備份網關,通知備份網關此時網關已處理的數據包個數;備份網關在定義的時間間隔內沒有收到主通信主機發送的處理數據包個數,則向網關發送確認請求,若網關響應則繼續正常工作,若沒有響應,備份網關請求使用其與終端建立IPsec連接。備份網關和終端使用之前協商好的IKE SA繼續進行加密通信,終端根據備份網關最后一次收到的計數值與已處理的數據包個數進行比較,根據較小的計數值進行數據重傳,完成無縫切換。本實施例采用INFORMATIONAL交換傳遞故障信息,該信息至少包括備份網關IP,發生故障的標志位,以及報文類型。其交換過程如圖5所示。INFORMATIONAL交換中的報文包含0個或多個通告(Notification)、刪除(Delete)和配置(Configuration)載荷。發送方為了確定報文在網絡中是否丟失并且重發報文,要求接收方必須對INFORMATIONAL交換發出響應,響應可以是不包含載荷的報文。有時為了告訴通信的另一端讓其證明仍然活躍,INFORMATIONAL交換的請求報文也可以不包括任何載荷。實施例二本發明實施例提供了一種具體的多源安全關聯建立方法,參見圖6,具體如下
主機I與網關I以及網關2組成本系統,網關I為主網關,網關2為備份網關。網關I與主機I之間進行IKE協商。網關2為可信主機且使用固定IP,網關I可直接向網關2發送認證信息,若網關2不可信,則網關I向網關2發送加密認證信息,加密算法可以用現有加密算法,如簽名算法等一種或幾種。具體實現包括如下步驟網關I向主機I發送第三條消息時,除了網關I的身份,還包括網關2的IP地址等身份信息。其中,網關2可以選取一臺或多臺主機。網關I除了發送原有協商信息外,還將網關2的IP地址等身份信息封裝在載荷中發送到主機1,具體包括N[IPi]、流量選擇符TS2i及HAi載荷,用來標志集群策略啟動。如果接收到第4條消息的HAr載荷中確認標志位為1,則表示對端支持并發策略,可建立多個SA,若確認標志位為0,則表示對端不支持該策略,建立單個SA。如果采用多臺主機,建立多個SA,則第二臺主機地址改為備份機列表。若主機I支持并發策略,向網關I發送的第四條消息中包含HAr載荷、網關2的流量選擇符。網關I收到第4條消息后,同時生成網關I與主機I、網關2與主機I之間通信IKE SA及CHILD_SA,并同時返回所生成的兩個CHILD_SA的SPI。隨后網關I與主機I進行IPsec通信,并向網關2發送已生成的IKE SA,以備進行故障轉移使用。如果是多臺備份主機,則生成多個CHILD_SA和TS載荷,每個載荷與備份主機列表中的兀素對應。建立好多個安全關聯后,依據不同的情況執行多源安全關聯建立切換,并采用數據補償機制實現無縫切換。多源安全關聯建立切換至少包括負載均衡切換和故障切換兩種,啟用備份安全聯盟時,可通過兩種方式進行切換方式一,網關I向網關2發送控制消息啟用多源安全聯盟切換,同時向主機I發送SA退出消息,觸發主機I采用網關2的安全聯盟,完成切換;方式二,如果網關2在定義的時間間隔內沒有收到主通信主機發送的數據處理序號時,則向網關I發送確認請求,若網關I響應則繼續正常工作,若沒有響應,則網關2向主機I發送INFORMATIONAL交換消息,消息至少包含發生故障的標志位,網關2的身份信息,該消息通知主機I刪除與網關I的SA,并啟動與網關2上的安全聯盟進行數據通信,重新發送網關2未處理的數據。數據補償機制,如圖7所示,具體實現包括如下步驟加密通信過程中,網關I采用計數字段進行發包統計,定期更新字段中的加密數據包數量并發送給網關2,通知網關2此時網關I已處理的數據包個數;
網關2在定義的時間間隔內沒有收到主通信主機發送的處理數據包個數,則向網關I發送確認請求,若網關I響應則繼續正常工作,若沒有響應,網關2請求使用其與主機I建立IPsec連接。網關2和主機I使用之前協商好的IKE SA繼續進行加密通信,主機I根據網關2最后一次收到的計數值與已處理的數據包個數進行比較,根據較小的計數值進行數據重傳,完成無縫切換。具體來說,網關I向主機I發送了 n個數據包,并周期性的發送已處理的數據包個數n給網關2。當網關I和主機I之間發生故障,部分數據丟失的時候,網關2未接收到周期性處理狀態值,向網關I發送確認消息無響應了,確認故障發生。此時,主機I已處理數據包個數為n+m,網關2需要啟動IPsec,并通知主機最后收到的數據包個數n,主機I將n+m與n比較,從n個數據包開始重傳,補償丟失的數據。具體實施中可將上述方法互相結合使用,至少 包括以下情況當網關I負載過高或即將發生故障時,可采用切換方式1,由網關I主動通知主機I進行處理,主機I接收到網關I的通知后啟動與網關2的安全關聯;當網關I發生故障或網關I與主機I的連接斷開時,可采用切換方式2與數據補償機制,由網關2檢測到故障并通知主機I,建立新的安全關聯。參見圖8,為本實施例應用場景,本實施例使用場景為內部域或遠程接入的網關作為集群成員。主機I通過網關集群與其它節點通信,網關集群包括多個網關。各集群成員擁有不同的IP地址,負責不同的業務。網關I在與主機I建立交換時,將備份網關的IP地址等身份信息封裝在載荷中發給對端,通知對端在多路SA的情況下,可使用該SA進行繼續通信,當該網關I發生故障時,可實現多路SA的無縫切換。實施例三參見圖9,本發明實施例提供了一種多源安全關聯建立系統,系統包括終端、網關以及至少一個備份網關,具體如下網關用于在發送消息中攜帶標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i ;其中,標志位載荷Hai用以確認本條發送消息攜帶多源安全關聯信息;N為備份網關的數量;N[IPi]為備份網關的IP地址;TS2i為每個備份網關所保護的流量。終端用于在返回消息中攜帶標志位確認載荷HAr以及N個流量選擇符載荷TSr ;其中,標志位確認載荷HAr用以標識終端確認建立多源安全關聯;N個流量選擇符載荷TSr分別對應接收到的備份網關所保護的流量,用以確認終端已根據每個備份網關所保護的流量建立流量保護。備份網關用于在網關發生故障時,與終端繼續進行數據傳輸。較佳地,網關還用于在接收到所述返回消息后,生成自身以及所有備份網關與終端之間通信IKE SA,并向所有備份網關發送已生成的IKE SA。較佳地,網關還用于向任一備份網關發送控制消息啟用切換,向終端發送SA退出消息,在處理完與備份網關之間數據窗口的數據后刪除SA,并通知終端刪除SA。較佳地,備份網關還用于在預設時間間隔內沒有收到網關發送的數據處理序號,通知所述終端刪除與所述網關的SA,并啟動備份網關的SA進行數據通信,恢復所述網關未處理的數據。需要說明的是上述實施例提供的多源安全關聯建立系統在觸發多源安全關聯建立業務時,僅以上述各功能模塊的劃分進行舉例說明,實際應用中,可以根據需要而將上述功能分配由不同的功能模塊完成,即將系統設備的內部結構劃分成不同的功能模塊,以完成以上描述的全部或者部分功能。另外,上述實施例提供的多源安全關聯建立系統與多源安全關聯建立方法實施例屬于同一構思,其具體實現過程詳見方法實施例,這里不再贅述。綜上所述,本發明實施例通過在IKE_AUTH消息協商過程中,擴展現有的協議,增加標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i,來將備份網關的地址以及流量選擇信息發送給終端,終端確認后建立與備份網關的關聯,在網關發生故障的時候,自動切換到備份網關繼續數據傳輸。本發明提出的協商多個SA的方法和增強的可靠數據傳輸機制,通過對現有的IPsec進行功能拓展,增加了身份載荷和流量選擇載荷以建立多個備份IKE SA,通信一端發送計數狀態來解決切換間產生一定程度的丟包問題,保證了加密數據流的實時無縫切換,進一步增強了 IPsec的安全性能。上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
本領域普通技術人員可以理解實現上述實施例的全部或部分步驟可以通過硬件來完成,也可以通過程序來指令相關的硬件完成,所述的程序可以存儲于一種計算機可讀存儲介質中,上述提到的存儲介質可以是只讀存儲器,磁盤或光盤等。以上所述僅為本發明的較佳實施例,并不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護范圍之內。
權利要求
1.一種多源安全關聯建立方法,其特征在于,所述方法包括 在IKEv2通信中,IKE_AUTH消息協商過程中,網關在發送消息中攜帶標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i ;其中,所述標志位載荷Hai用以確認本條發送消息攜帶多源安全關聯信息;所述N為備份網關的數量;所述N[IPi]為備份網關的IP地址;所述TS2i為每個備份網關所保護的流量; 終端在返回消息中攜帶標志位確認載荷HAr以及N個流量選擇符載荷TSr ;其中,所述標志位確認載荷HAr用以標識所述終端確認建立多源安全關聯;所述N個流量選擇符載荷TSr分別對應接收到的所述備份網關所保護的流量,用以確認所述終端已根據所述每個備份網關所保護的流量建立流量保護。
2.如權利要求I所述的方法,其特征在于,所述方法還包括 網關在接收到所述返回消息后,生成自身以及所有備份網關與終端之間通信IKE SA, 并向所有備份網關發送已生成的IKE SA。
3.如權利要求I所述的方法,其特征在于,所述方法還包括 網關向任一備份網關發送控制消息啟用切換,向終端發送SA退出消息,在處理完與備份網關之間數據窗口的數據后刪除SA,并通知終端刪除SA ;或者 備份網關在預設時間間隔內沒有收到網關發送的數據處理序號,通知終端刪除與網關的SA,并啟動備份網關的SA進行數據通信,恢復網關未處理的數據。
4.如權利要求3所述的方法,其特征在于,所述備份網關在預設時間間隔內沒有收到網關發送的數據處理序號后,還包括 備份網關向網關發送確認請求;若網關響應,則繼續監聽;否則,所述備份網關向終端發送INFORMATIONAL交換消息,所述INFORMATIONAL交換消息至少攜帶發生故障的標志位、備份網關的身份信息以及報文類型; 終端響應INFORMATIONAL交換消息,刪除與網關的SA,啟動與所述備份網關的安全聯盟,完成切換。
5.如權利要求3或4所述的方法,其特征在于,所述方法還包括 網關采用計數字段進行發包統計,更新字段中的加密數據包的數據處理序號并發送給備份網關,通知備份網關此時網關已處理的數據包個數; 備份網關在預設時間間隔內沒有收到網關發送的數據處理序號后而完成切換后,終端根據備份網關最后一次收到的數據處理序號進行數據重傳。
6.如權利要求5所述的方法,其特征在于,所述終端記錄自身處理的數據包個數,與所述備份網關最后一次收到的數據處理序號進行比較,根據數值較小的計數值進行數據重傳。
7.一種多源安全關聯建立系統,其特征在于,所述系統包括終端、網關以及至少一個備份網關,其中, 所述網關,用于在發送消息中攜帶標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i ;其中,所述標志位載荷Hai用以確認本條發送消息攜帶多源安全關聯信息;所述N為備份網關的數量;所述N[IPi]為備份網關的IP地址;所述TS2i為每個備份網關所保護的流量; 所述終端,用于在返回消息中攜帶標志位確認載荷HAr以及N個流量選擇符載荷TSr ;其中,所述標志位確認載荷HAr用以標識所述終端確認建立多源安全關聯;所述N個流量選擇符載荷TSr分別對應接收到的所述備份網關所保護的流量,用以確認所述終端已根據所述每個備份網關所保護的流量建立流量保護; 所述備份網關,用于在所述網關發生故障時,與所述終端繼續進行數據傳輸。
8.如權利要求7所述的系統,其特征在于,所述網關還用于在接收到所述返回消息后,生成自身以及所有備份網關與終端之間通信IKE SA,并向所有備份網關發送已生成的IKESA。
9.如權利要求7所述的系統,其特征在于,所述網關還用于向任一備份網關發送控制消息啟用切換,向終端發送SA退出消息,在處理完與備份網關之間數據窗口的數據后刪除SA,并通知終端刪除SA。
10.如權利要求7所述的系統,其特征在于,所述備份網關還用于在預設時間間隔內沒有收到網關發送的數據處理序號,通知所述終端刪除與所述網關的SA,并啟動備份網關的SA進行數據通信,恢復所述網關未處理的數據。
全文摘要
本發明公開了一種多源安全關聯建立方法,屬于信息安全技術領域。所述方法包括在IKEv2通信中,IKE_AUTH消息協商過程中,網關在發送消息中攜帶標志位載荷Hai、通告載荷N[IPi]和N個流量選擇符載荷TS2i;終端在返回消息中攜帶標志位確認載荷HAr以及N個流量選擇符載荷TSr。本發明通過對現有的IPsec進行功能拓展,增加了身份載荷和流量選擇載荷以建立多個備份IKE SA,通信一端發送計數狀態來解決切換間產生一定程度的丟包問題,保證了加密數據流的實時無縫切換,進一步增強了IPsec的安全性能。
文檔編號H04L29/12GK102970277SQ201210376750
公開日2013年3月13日 申請日期2012年9月29日 優先權日2012年9月29日
發明者周立, 鄒昕, 魯松, 張良, 關建峰, 許長橋, 張能, 張宏科 申請人:國家計算機網絡與信息安全管理中心, 北京郵電大學