一種網(wǎng)絡(luò)設(shè)備及探測(cè)方法
【專利摘要】本申請(qǐng)?zhí)峁┮环N網(wǎng)絡(luò)設(shè)備�����,用于作為IPsec對(duì)等體時(shí)探測(cè)對(duì)端對(duì)等體是否正常����,所述網(wǎng)絡(luò)設(shè)備通過發(fā)送包括探測(cè)標(biāo)志的IPsec?SA探測(cè)報(bào)文發(fā)送給對(duì)端IPsec對(duì)等體。接收并解析對(duì)端IPsec對(duì)等體返回的IPsec?SA響應(yīng)報(bào)文后,確認(rèn)對(duì)端對(duì)等體的IPsec?SA正常��,本申請(qǐng)同時(shí)提供確認(rèn)對(duì)方對(duì)等體的IPsec是否正常的探測(cè)方法�����。
【專利說明】一種網(wǎng)絡(luò)設(shè)備及探測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及三層隧道加密協(xié)議IPsec�,尤其是涉及IPsec SA探測(cè)的技術(shù)����。
【背景技術(shù)】
[0002]IPsec (IP Security)是IETF制定的三層隧道加密協(xié)議,它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的�、可互操作的、基于密碼學(xué)的安全保證�����,是一種傳統(tǒng)的實(shí)現(xiàn)三層VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))的安全技術(shù)�。特定的通信方之間通過建立IPsec隧道來傳輸用戶的私有數(shù)據(jù),并在IP層提供了以下安全服務(wù):
[0003].數(shù)據(jù)機(jī)密性(Confidentiality):IPsec發(fā)送方在通過網(wǎng)絡(luò)傳輸包前對(duì)包進(jìn)行加
[0004].數(shù)據(jù)完整性(Data Integrity):1Psec接收方對(duì)發(fā)送方發(fā)送來的包進(jìn)行認(rèn)證����,以確保數(shù)據(jù)在傳輸過程中沒有被篡改。
[0005].數(shù)據(jù)來源認(rèn)證(Data Authentication):1Psec在接收端可以認(rèn)證發(fā)送IPsec報(bào)文的發(fā)送端是否合法���。
[0006].防重放(Ant1-R印lay):IPsec接收方可檢測(cè)并拒絕接收過時(shí)或重復(fù)的報(bào)文��。
[0007]IPsec提供了兩種安全機(jī)制:認(rèn)證和加密��。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭篡改��。加密機(jī)制通過對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算來保證數(shù)據(jù)的機(jī)密性�,以防數(shù)據(jù)在傳輸過程中被竊聽。
[0008]IPsec在兩個(gè)端點(diǎn)之間提供安全通信�,端點(diǎn)被稱為IPsec對(duì)等體。SA是通信對(duì)等體間對(duì)某些要素的約定����,例如,使用哪種協(xié)議(AH����、ESP還是兩者結(jié)合使用)、協(xié)議的封裝模式(傳輸模式和隧道模式)�、加密算法、特定流中保護(hù)數(shù)據(jù)的共享密鑰以及密鑰的生存周期等�����。IPsec可通過IKE協(xié)商建立SA����。
[0009]IKE使用了兩個(gè)階段為IPsec進(jìn)行密鑰協(xié)商并建立SA:
[0010](1)第一階段����,通信各方彼此間建立了一個(gè)已通過身份認(rèn)證和安全保護(hù)的通道�,即建立一個(gè)ISAKMP SA,例如主模式(Main Mode)和野蠻模式(Aggressive Mode)兩種IKE交換方法���。
[0011](2)第二階段��,用在第一階段建立的安全隧道為IPsec協(xié)商安全服務(wù)�,即為IPsec協(xié)商具體的SA,建立用于最終的IP數(shù)據(jù)安全傳輸?shù)腎Psec SA�。
[0012]IPsec是一種對(duì)等體到對(duì)等體的技術(shù),要在IPsec對(duì)等體之間建立IPsec會(huì)話,它們之間必須有IP連接性,由于路由選擇問題��、對(duì)等體重啟等原因�����,對(duì)等體之前可能失去了IP連接性�����,IKE和IPsec通常都無法感知這一點(diǎn)���,在生命周期到來之前�����,對(duì)等體之間的IKE和IPsec SA將一直存在��,IPsec會(huì)話的中斷將引發(fā)“黑洞”���,導(dǎo)致數(shù)據(jù)流丟失��,對(duì)等體需要盡快發(fā)現(xiàn)這個(gè)“黑洞”����,主要原因在于會(huì)話的一方繼續(xù)往不可達(dá)的對(duì)等體的數(shù)據(jù)流進(jìn)行加密操作���,這將大大浪費(fèi)寶貴的CPU資源��,其次��,由于無法檢測(cè)到對(duì)等體的故障�����,備用對(duì)等體也無法激活���。
[0013]DPD (Dead Peer Detection)通過檢測(cè)與 IPsec SA 對(duì)應(yīng)的 IKE SA 的狀態(tài)���,來確定IPsec SA的狀態(tài)。主動(dòng)探測(cè)方發(fā)送R-U-THERE消息����,被探測(cè)方收到該消息后,回應(yīng)R-U-THER-ACK消息���,主動(dòng)探測(cè)方收到該報(bào)文后,認(rèn)為對(duì)端在線��。這兩條消息都是ISAKMP的宣告負(fù)載�,都是使用IKE SA加密的。
[0014]DPD探測(cè)不一定精確��,由于DH)報(bào)文是使用IKE SA保護(hù)的����,如果對(duì)端IKE SA不存在,但是IPsec SA存在��,DH)探測(cè)會(huì)失敗���。
【發(fā)明內(nèi)容】
[0015]有鑒于此�����,本申請(qǐng)?zhí)峁┮环N網(wǎng)絡(luò)設(shè)備��,用于作為IPsec對(duì)等體時(shí)探測(cè)對(duì)端對(duì)等體是否正常���,所述網(wǎng)絡(luò)設(shè)備包括封裝模塊����、發(fā)送模塊和接收模塊�����,所述封裝模塊用于將包括有探測(cè)標(biāo)志的報(bào)文封裝成IPsec SA探測(cè)報(bào)文����,所述發(fā)送模塊用于將包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文發(fā)送給對(duì)端IPsec對(duì)等體使對(duì)端對(duì)等體返回響應(yīng)報(bào)文,所述接收模塊用于接收并解析對(duì)端IPsec對(duì)等體返回的IPsec SA響應(yīng)報(bào)文后����,確認(rèn)對(duì)端對(duì)等體IPsec SA正常。所述計(jì)數(shù)模塊用于在所述發(fā)送模塊發(fā)送包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文時(shí)開始計(jì)時(shí)����,如果計(jì)時(shí)到期后依然沒有收到對(duì)端對(duì)等體的回復(fù)時(shí)��,通知發(fā)送模塊重新發(fā)送所述探測(cè)報(bào)文�����,并啟動(dòng)重傳計(jì)數(shù)��,如果重傳超過預(yù)定次數(shù)��,則認(rèn)為對(duì)端對(duì)等體IPsec不存在��。
[0016]基于同樣的發(fā)明思想��,本申請(qǐng)?zhí)峁┯忠环N網(wǎng)絡(luò)設(shè)備,用于響應(yīng)對(duì)端對(duì)等體發(fā)送的包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文�����,所述網(wǎng)絡(luò)設(shè)備包括解析模塊和封裝模塊�����,所述解析模塊用于解封裝收到的IPsec SA報(bào)文�,判斷如果所述報(bào)文包括探測(cè)標(biāo)志�,則確認(rèn)收到報(bào)文為探測(cè)報(bào)文���,判斷如果所述報(bào)文不包括探測(cè)標(biāo)志����,則確認(rèn)收到的報(bào)文為IPsec SA數(shù)據(jù)報(bào)文��,封裝模塊用于將解析后的IPsec SA探測(cè)報(bào)文重新封裝成響應(yīng)消息發(fā)送給探測(cè)方���。
[0017]基于同樣的發(fā)明思想���,本申請(qǐng)還提供一種探測(cè)方法,用于檢測(cè)對(duì)端IPsec對(duì)等體IPsec是否正常,所述方法包括:
[0018]A IPsec對(duì)等體將包括探測(cè)標(biāo)志報(bào)文封裝成的IPsec SA探測(cè)報(bào)文����;
[0019]B將包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文發(fā)送給對(duì)端IPsec對(duì)等體使其返回響應(yīng)報(bào)文;
[0020]C接收并解析對(duì)端IPsec對(duì)等體返回IPsec SA響應(yīng)報(bào)文���;
[0021]D在發(fā)送包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文時(shí)開始計(jì)時(shí)��,如果計(jì)時(shí)到期后依然沒有收到對(duì)端對(duì)等體的回復(fù)時(shí)����,返回步驟C重新發(fā)送所述探測(cè)報(bào)文,并啟動(dòng)重傳計(jì)數(shù)�,如果重傳超過預(yù)定次數(shù),則認(rèn)為對(duì)端對(duì)等體不存在���。
[0022]基于同樣的發(fā)明思想����,本申請(qǐng)還提供一種探測(cè)方法���,用于響應(yīng)對(duì)端對(duì)等體發(fā)送的包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文�,所述方法包括:
[0023]A解封裝收到的IPsec SA報(bào)文��,判斷如果所述報(bào)文包括探測(cè)標(biāo)志�,則確認(rèn)收到報(bào)文為探測(cè)報(bào)文,執(zhí)行步驟B ;判斷如果所述報(bào)文不包括探測(cè)標(biāo)志���,則確認(rèn)收到的報(bào)文為IPsec SA數(shù)據(jù)報(bào)文,執(zhí)行步驟C;
[0024]B將解析后的IPsec SA探測(cè)報(bào)文重新封裝成響應(yīng)消息發(fā)送給探測(cè)方��;
[0025]C進(jìn)行正常的解密處理���。
[0026]通過本申請(qǐng)的設(shè)計(jì)�,可以通過發(fā)送經(jīng)特殊處理的IPsec SA探測(cè)報(bào)文來檢測(cè)對(duì)端對(duì)等體的IPsec是否正常,該技術(shù)方案對(duì)于報(bào)文的改動(dòng)小�,設(shè)備兼容性好?��!緦@綀D】
【附圖說明】
[0027]圖1是本申請(qǐng)?zhí)峁┑囊环N網(wǎng)絡(luò)設(shè)備圖�����。
[0028]圖2是本申請(qǐng)?zhí)峁┑牧硪环N網(wǎng)絡(luò)設(shè)備圖�����。
[0029]圖3是本申請(qǐng)?zhí)峁┑囊环N實(shí)施方法流程圖�����。
[0030]圖4是本申請(qǐng)?zhí)峁┑挠忠环N實(shí)施方法流程圖����。
[0031]圖5是本申請(qǐng)一種實(shí)施例在AH傳輸模式下的報(bào)文封裝示意圖��。
[0032]圖6是本申請(qǐng)?zhí)峁┮环N實(shí)施例時(shí)使用的報(bào)文格式圖��。
[0033]圖7是本申請(qǐng)一種實(shí)施例在AH隧道模式下的報(bào)文封裝示意圖。
[0034]圖8是本申請(qǐng)又一種實(shí)施例在AH傳輸模式下的報(bào)文封裝示意圖��。
[0035]圖9是本申請(qǐng)又一種實(shí)施例在ESP隧道模式下的報(bào)文封裝示意圖����。
【具體實(shí)施方式】
[0036]本申請(qǐng)?zhí)峁┮环N網(wǎng)絡(luò)設(shè)備,用于作為IPsec對(duì)等體時(shí)探測(cè)對(duì)端對(duì)等體IPsec是否正常��,如圖1所示����,所述網(wǎng)絡(luò)設(shè)備包括封裝模塊、發(fā)送模塊���、接收模塊����、計(jì)數(shù)模塊��,所述封裝模塊用于將包括有探測(cè)標(biāo)志的報(bào)文封裝成IPsec SA探測(cè)報(bào)文����,其中,所述探測(cè)報(bào)文的載荷內(nèi)容可以為經(jīng)IPsecSA加密認(rèn)證操作的序列號(hào)�,該序列號(hào)的作用是可以進(jìn)一步使對(duì)等體確認(rèn)收到的IPsec SA報(bào)文為響 應(yīng)報(bào)文,提高確認(rèn)對(duì)端對(duì)等體IPsec SA存活的可靠性����,在實(shí)際使用中,所述探測(cè)報(bào)文的載荷也可以為任意內(nèi)容�����,只要本端對(duì)等體收到響應(yīng)報(bào)文后�,可以確認(rèn)所述響應(yīng)報(bào)文的載荷內(nèi)容為經(jīng)過與本端IPsec SA對(duì)應(yīng)的IPsec SA加密且本端可以正常解密,即可以確定對(duì)端對(duì)等體的IPsec SA能夠正常工作���,這里的確認(rèn)IPsec SA是否對(duì)應(yīng)是根據(jù)收到的響應(yīng)報(bào)文頭部中相關(guān)字段即可確認(rèn)��,此為現(xiàn)有技術(shù)��,在此不多作贅述���;所述探測(cè)標(biāo)志為預(yù)先配置或者經(jīng)雙方協(xié)商確定;所述發(fā)送模塊用于將包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文發(fā)送給對(duì)端IPsec對(duì)等體使其回復(fù)響應(yīng)報(bào)文�����,所述接收模塊用于接收并解析對(duì)端IPsec對(duì)等體返回的IPsec SA響應(yīng)報(bào)文后����,確認(rèn)對(duì)端對(duì)等體IPsec SA正常���,其中,所述響應(yīng)報(bào)文的載荷可以為與發(fā)送報(bào)文相同的序列號(hào)���,這樣便于發(fā)送探測(cè)報(bào)文的對(duì)等體方便的判斷收到的IPsec SA報(bào)文為對(duì)端對(duì)等體響應(yīng)的報(bào)文��,當(dāng)然也可以為對(duì)端對(duì)等體任意生成的序列號(hào)或者其他任意內(nèi)容�����,只要為對(duì)應(yīng)的IPsec SA加密的IPsec SA報(bào)文�,收到后本端可以正常解密即可證明對(duì)端對(duì)等體是IPsec SA正常存活的�;所述計(jì)數(shù)模塊用于在所述發(fā)送模塊發(fā)送包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文時(shí)開始計(jì)時(shí),如果計(jì)時(shí)到期后依然沒有收到對(duì)端對(duì)等體的回復(fù)時(shí)����,通知發(fā)送模塊重新發(fā)送所述探測(cè)報(bào)文,并啟動(dòng)重傳計(jì)數(shù)��,如果重傳超過預(yù)定次數(shù)����,則認(rèn)為對(duì)端對(duì)等體不存在�����。
[0037]其中,上述IPsec SA探測(cè)報(bào)文是IPsec SA加密數(shù)據(jù)報(bào)文����,在IPsec/IKE的組網(wǎng)環(huán)境中,正常情況下��,IKE SA用來維護(hù)控制通道�����,例如發(fā)送通知消息等���,IPsec SA用來維護(hù)數(shù)據(jù)通道��,例如加解密數(shù)據(jù)報(bào)文等��,而本申請(qǐng)使用IPsecSA報(bào)文來完成探測(cè)的目的�����,也就是使用數(shù)據(jù)通道來實(shí)現(xiàn)控制消息的功能�,這種做法可以更加精確的判斷IPsec SA是否存在。
[0038]在本申請(qǐng)?zhí)峁┑囊粋€(gè)實(shí)施例中��,所述探測(cè)報(bào)文的載荷內(nèi)容是隨機(jī)產(chǎn)生的序列號(hào)���,該序列號(hào)使用IPsec SA執(zhí)行加密認(rèn)證操作發(fā)送給對(duì)端���,對(duì)端解析該報(bào)文,可以選擇將報(bào)文中的序列號(hào)加密后回填到響應(yīng)報(bào)文的載荷中�,也可以選擇隨機(jī)生成新的序列號(hào)加密后填寫到響應(yīng)報(bào)文的載荷中,作為響應(yīng)消息發(fā)給主動(dòng)探測(cè)方����,便可以使探測(cè)方知曉,所述報(bào)文為探測(cè)報(bào)文的響應(yīng)報(bào)文���,從而實(shí)現(xiàn)確認(rèn)對(duì)端對(duì)等體認(rèn)存活的目的���。
[0039]考慮到網(wǎng)絡(luò)實(shí)時(shí)狀況的因素,一段時(shí)間內(nèi)����,如果探測(cè)方在沒有收到被探測(cè)方的回應(yīng)時(shí),可以重傳探測(cè)報(bào)文����,當(dāng)重傳次數(shù)達(dá)到上限時(shí)(例如3次)��,認(rèn)為對(duì)端IPsecSA不存在���,本地可以刪除該IPsec SA。
[0040]請(qǐng)參考圖2�����,從探測(cè)響應(yīng)的角度來看����,本發(fā)明的網(wǎng)絡(luò)設(shè)備還可用于響應(yīng)對(duì)端對(duì)等體發(fā)送的包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文�,所述網(wǎng)絡(luò)設(shè)備包括解析模塊和封裝模塊,這里的封裝模塊與圖1中的封裝模塊可以設(shè)計(jì)在一起���,從軟件角度來說可以是一個(gè)功能模塊在收發(fā)兩個(gè)方向上的不同處理���。所述解析模塊用于解封裝收到的IPsec SA報(bào)文,判斷如果所述報(bào)文包括探測(cè)標(biāo)志��,則確認(rèn)收到報(bào)文為探測(cè)報(bào)文��,判斷如果所述報(bào)文不包括探測(cè)標(biāo)志,則確認(rèn)收到的報(bào)文為IPsec SA數(shù)據(jù)報(bào)文���,封裝模塊用于將解析后的IPsec SA探測(cè)報(bào)文重新封裝成響應(yīng)消息發(fā)送給探測(cè)方����,本申請(qǐng)還提供一種網(wǎng)絡(luò)設(shè)備�����,用于接收對(duì)端對(duì)等體發(fā)送的包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文�,所述網(wǎng)絡(luò)設(shè)備包括解析模塊和封裝模塊,所述解析模塊用于解封裝收到的IPsec SA報(bào)文���,根據(jù)其包括探測(cè)標(biāo)志確認(rèn)收到報(bào)文為探測(cè)報(bào)文�,封裝模塊用于將解析后的IPsec SA探測(cè)報(bào)文重新封裝成響應(yīng)消息發(fā)送給探測(cè)方��,其中�����,所述響應(yīng)報(bào)文的載荷內(nèi)容為經(jīng)與探測(cè)報(bào)文對(duì)應(yīng)的IPsecSA加密認(rèn)證操作的序列號(hào)�����,所述序列號(hào)可以與探測(cè)報(bào)文的序列號(hào)一致,也可以為任意生成的新的序列號(hào)����,當(dāng)然,所述載荷內(nèi)容也可以為任意的內(nèi)容�。
[0041]本申請(qǐng)?zhí)峁┮环N方法,利用包括有探測(cè)標(biāo)志的IPsecSA探測(cè)報(bào)文來檢測(cè)對(duì)端對(duì)等體IPsec是否正常�,如圖3所示,該方法包括:
[0042]步驟11�����,IPsec對(duì)等體將包括探測(cè)標(biāo)志報(bào)文封裝成的IPsecSA探測(cè)報(bào)文����,所述報(bào)文的載荷內(nèi)容是經(jīng)IPsec SA執(zhí)行加密認(rèn)證操作序列號(hào)�。此步驟由封裝模塊執(zhí)行。
[0043]步驟13��,將包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文發(fā)送給對(duì)端IPsec對(duì)等體��。此步驟由發(fā)送模塊執(zhí)行���。
[0044]步驟15,接收并解析對(duì)端IPsec對(duì)等體返回的包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文后����,確認(rèn)對(duì)端對(duì)等體IPsec SA正常。此步驟由接收模塊執(zhí)行����。
[0045]步驟17,在發(fā)送包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文時(shí)開始計(jì)時(shí)��,如果計(jì)時(shí)到期后依然沒有收到對(duì)端對(duì)等體的回復(fù)時(shí)���,返回步驟15重新發(fā)送所述探測(cè)報(bào)文���,并啟動(dòng)重傳計(jì)數(shù),如果重傳超過預(yù)定次數(shù)��,則認(rèn)為對(duì)端對(duì)等體不存在���。此步驟由計(jì)時(shí)模塊執(zhí)行�。
[0046]以上描述的是探測(cè)報(bào)文的發(fā)送過程����,請(qǐng)參考圖4從響應(yīng)對(duì)端對(duì)等體發(fā)送的包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文來看,所述方法則可以進(jìn)一步包括:
[0047]步驟21解封裝收到的IPsec SA報(bào)文,判斷如果所述報(bào)文包括探測(cè)標(biāo)志�,則確認(rèn)收到報(bào)文為探測(cè)報(bào)文,執(zhí)行步驟23 ;判斷如果所述報(bào)文不包括探測(cè)標(biāo)志����,則確認(rèn)收到的報(bào)文為IPsec SA數(shù)據(jù)報(bào)文,執(zhí)行步驟25 ;此步驟由解析模塊執(zhí)行���。
[0048]步驟23將解析后的IPsec SA探測(cè)報(bào)文重新封裝成響應(yīng)消息發(fā)送給探測(cè)方�����;此步驟由封裝模塊執(zhí)行�。
[0049]步驟25進(jìn)行正常的解密處理�����。
[0050]其中����,所述響應(yīng)報(bào)文的載荷內(nèi)容是經(jīng)過與探測(cè)報(bào)文對(duì)應(yīng)的IPsec SA執(zhí)行加密認(rèn)證的序列號(hào)�,所述序列號(hào)可以與探測(cè)報(bào)文的序列號(hào)一致,也可以為任意生成的新的序列號(hào)��,當(dāng)然,所述載荷內(nèi)容也可以為任意的內(nèi)容���。[0051]在實(shí)際使用中���,IPsec有兩種工作模式,一種方式是傳輸(transport)模式�����,在該方式下�,只是傳輸層數(shù)據(jù)被用來計(jì)算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面�����。通常���,傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊�����,或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊��。另一種是隧道(tunnel)模式����,在該模式下,用戶的整個(gè)IP數(shù)據(jù)包被用來計(jì)算AH或ESP頭����,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。通常�,隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通訊。
[0052]本申請(qǐng)?zhí)峁┮环N實(shí)施方式��,在此實(shí)施例中�����,經(jīng)兩端對(duì)等體協(xié)商確定用于標(biāo)識(shí)探測(cè)報(bào)文的探測(cè)標(biāo)志為特定的協(xié)議號(hào)��,如圖5所示��,封裝前報(bào)文格式為IPlHdr+Inner Data�,其中該Inner Data的協(xié)議號(hào)為255,這個(gè)協(xié)議號(hào)為特定的號(hào)碼�,為預(yù)先配置或者經(jīng)過雙方對(duì)等體協(xié)商后確定����,不會(huì)和已經(jīng)分配的協(xié)議號(hào)沖突,實(shí)現(xiàn)過程中,可以采用任意一個(gè)特定的協(xié)議號(hào)來替代這里的協(xié)議號(hào)255����,使用協(xié)議號(hào)255僅為示例性說明。
[0053]以傳輸模式AH封裝為例�,經(jīng)過IPsec加封裝的處理后,報(bào)文結(jié)構(gòu)如圖6所示:IPlHdr+AH頭+Inner Data���,其中�����,IPlHdr的協(xié)議字段為51����,標(biāo)識(shí)下一個(gè)協(xié)議類型為AH�,IP頭的源地址和目的地址就是協(xié)商出的IPsec SA的隧道起始點(diǎn)與終結(jié)點(diǎn)地址,AH中的下一個(gè)頭字段(Next Header)為特定協(xié)議號(hào)255�����,標(biāo)識(shí)AH封裝的數(shù)據(jù)為IPsec SA探測(cè)數(shù)據(jù)����,InnerData內(nèi)容為序列號(hào)����。IPsec對(duì)等體將包括特定的協(xié)議號(hào)的報(bào)文按照AH封裝模式封裝好后發(fā)送給對(duì)端對(duì)等體��。
[0054]對(duì)端IPsec對(duì)等體即被探測(cè)方收到該報(bào)文后���,在IPsec SA能夠正常工作的情況下��,將進(jìn)入IPsec解封裝流程����,獲取原始報(bào)文IP lHdr+Inner Data后����,獲取IP上層數(shù)據(jù)對(duì)應(yīng)的協(xié)議號(hào)255,表明該數(shù)據(jù)為IPsec SA探測(cè)數(shù)據(jù)��,解析數(shù)據(jù)字段獲取序列號(hào)后�����,重新封裝成IPsec SA響應(yīng)報(bào)文����,將所述序列號(hào)回填,構(gòu)造回應(yīng)的Inner Data,發(fā)往探測(cè)方�。
[0055]如果協(xié)商的IPsec SA為隧道模式,處理方式和傳輸模式類似�,IPsec封裝后的報(bào)文格式如圖7所示:
[0056]IP2Hdr+AH 頭 +IPlHdr 頭 +Inner Data
[0057]其中,IP2Hdr為外層IP頭�����,源目的地址分別為隧道起始點(diǎn)以及終結(jié)點(diǎn)的地址�,IPlHdr為內(nèi)層IP頭,其源地址和目的地址符合IPsec SA保護(hù)的流信息的范圍即可�����,內(nèi)層IPlHdr的下一個(gè)協(xié)議號(hào)為255�����。
[0058]在正常情況下�,發(fā)送報(bào)文從對(duì)等體的接口上發(fā)送報(bào)文,該接口上如果配置了 IPsec策略(策略中就包括ACL)���,如果報(bào)文五元組信息和配置的ACL匹配����,就會(huì)做IPsec封裝,而本申請(qǐng)構(gòu)造的報(bào)文是一個(gè)特殊的IPsec SA探測(cè)報(bào)文����,繞過上面匹配ACL的過程,直接走物理層發(fā)送���。
[0059]接收方收到報(bào)文后�,根據(jù)三元組查找SA�,進(jìn)行解封裝,解封裝完畢后���,檢查協(xié)議號(hào)為255時(shí)���,確認(rèn)為對(duì)端發(fā)送的探測(cè)報(bào)文,不能再匹配接口下的IPsec策略�����,將序列號(hào)回填�,封裝成IPsec SA響應(yīng)報(bào)文,直接走物理層發(fā)送,返回給對(duì)端對(duì)等體。
[0060]本申請(qǐng)?zhí)峁┯忠环N實(shí)施方式����,此實(shí)施例中���,經(jīng)兩端對(duì)等體協(xié)商后確定用來標(biāo)識(shí)探測(cè)報(bào)文的探測(cè)標(biāo)志為反填的IP地址,以AH傳輸模式為例��,如圖8所示�����,封裝前IP報(bào)文為IPin IP的報(bào)文��,IP2Hdr中源目的地址為協(xié)商出的IPsec SA的隧道起始點(diǎn)以及終結(jié)點(diǎn)地址���,IPlHdr中源目的地址為IP2Hdr中源目的地址的反填。所謂反填��,舉例來說�,如果IP2Hdr源地址為1.1.1.1,目的地址為2.2.2.2�����,那么IPlHdr中反填的結(jié)果為源地址為2.2.2.2�����,目的地址為1.1.1.1。
[0061]接收方收到該報(bào)文后�,進(jìn)入解封裝流程,查找到SA后����,由于是傳輸模式的SA,只會(huì)去掉AH頭部�����,在去掉AH頭補(bǔ)之前�,檢查AH頭下一個(gè)載荷類型是否為IP并且源目的地址為隧道兩網(wǎng)關(guān)地址的反填,將獲取到的AH頭部后的兩個(gè)IP地址與IKE SA中對(duì)應(yīng)的網(wǎng)關(guān)地址做比較���,如果正好相反�����,就表明為地址反填�,則將IP2Hdr也去掉���,恢復(fù)為內(nèi)層報(bào)文(IPlHdr+InnerData),由于地址反填了����,此時(shí)接收方判定該報(bào)文為探測(cè)報(bào)文,根據(jù)IPlHdr可以查找到回應(yīng)的路由是到發(fā)送方的����,所以,再將該數(shù)據(jù)(IPlHdr+InnerData)再次走加封裝轉(zhuǎn)發(fā)流程發(fā)送給發(fā)送方���,封裝后的報(bào)文中,兩個(gè)IP地址一致��,都是源目的地址為隧道兩網(wǎng)關(guān)的地址����,發(fā)送方接收到IPlHdr+AHHdr+InnerData后,執(zhí)行解封裝流程�,發(fā)現(xiàn)兩個(gè)IP地址都一樣,可以確認(rèn)為對(duì)端的響應(yīng)報(bào)文���,更新被探測(cè)SA的狀態(tài)為可用�。
[0062]隧道模式下�,以ESP為例,如圖9所示�,其中,
[0063]IP2Hdr中源目的地址為協(xié)商出的IPsec SA的隧道起始點(diǎn)以及終結(jié)點(diǎn)地址,IPlHdr中源目的地址為IP2Hdr中源目的地址的反填��。
[0064]接收方收到該報(bào)文后�,進(jìn)入解封裝流程,查找到SA后����,將IP2Hdr以及ESP Hdr砍掉,恢復(fù)為原始報(bào)文(IPlHdr+InnerData),由于地址反填了���,此時(shí)接收方判定該報(bào)文為探測(cè)報(bào)文����,根據(jù)IPlHdr可以查找到回應(yīng)的路由是到發(fā)送方的��,所以��,再將該數(shù)據(jù)(IPlHdr+InnerData)再次走加封裝轉(zhuǎn)發(fā)流程發(fā)送給發(fā)送方��,其中����,IPlHdr和IP2Hdr的源地址都是被探測(cè)方網(wǎng)關(guān)地址、目的地址為探測(cè)方網(wǎng)關(guān)地址�����。
[0065]發(fā)送方接收到IP2Hdr+ESP Hdr+IPlHdr+InnerData+ESP Tail 后,執(zhí)行解封裝流程�,發(fā)現(xiàn)IPlHdr和IP2Hdr的源地址都是被探測(cè)方網(wǎng)關(guān)地址、目的地址為探測(cè)方網(wǎng)關(guān)地址��,可以確認(rèn)該報(bào)文為對(duì)端的響應(yīng)報(bào)文�,更新被探測(cè)SA的狀態(tài)為可用。
[0066]通過本申請(qǐng)的設(shè)計(jì)����,可以通過發(fā)送經(jīng)特殊處理的IPsec SA探測(cè)報(bào)文來檢測(cè)對(duì)端對(duì)等體的IPsec是否正常,該技術(shù)方案對(duì)于報(bào)文的改動(dòng)小����,設(shè)備兼容性好��。
[0067]以上所述僅為本申請(qǐng)的較佳實(shí)施例而已�,并不用以限制本申請(qǐng),凡在本申請(qǐng)的精神和原則之內(nèi)���,所做的任何修改���、等同替換����、改進(jìn)等���,均應(yīng)包括在本申請(qǐng)保護(hù)的范圍之內(nèi)����。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)設(shè)備�����,用于作為IPsec對(duì)等體時(shí)探測(cè)對(duì)端對(duì)等體是否正常�,其特征在于,所述網(wǎng)絡(luò)設(shè)備包括封裝模塊����、發(fā)送模塊和接收模塊,所述封裝模塊���,用于將包括探測(cè)標(biāo)志的報(bào)文封裝成IPsec SA探測(cè)報(bào)文��;所述發(fā)送模塊���,用于將包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文發(fā)送給對(duì)端IPsec對(duì)等體使其返回響應(yīng)報(bào)文���,所述接收模塊,用于接收并解析對(duì)端IPsec對(duì)等體返回的IPsec SA響應(yīng)報(bào)文后���,確認(rèn)對(duì)端對(duì)等體IPsec SA正常�。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備���,其特征在于�,進(jìn)一步包括計(jì)數(shù)模塊����,所述計(jì)數(shù)模塊用于在所述發(fā)送模塊發(fā)送包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文時(shí)開始計(jì)時(shí),如果計(jì)時(shí)到期后依然沒有收到對(duì)端對(duì)等體的回復(fù)時(shí)���,通知發(fā)送模塊重新發(fā)送所述探測(cè)報(bào)文��,并啟動(dòng)重傳計(jì)數(shù),如果重傳超過預(yù)定次數(shù)�����,則認(rèn)為對(duì)端對(duì)等體IPsec不存在��。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其特征在于��,所述探測(cè)標(biāo)志為預(yù)先配置或者經(jīng)雙方對(duì)等體協(xié)商確定���。所述探測(cè)報(bào)文的載荷內(nèi)容為經(jīng)IPsec SA加密認(rèn)證操作的序列號(hào)�����。
4.如權(quán)利要求1-3任一所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于�����,所述探測(cè)標(biāo)志用于標(biāo)識(shí)所述報(bào)文為探測(cè)報(bào)文����,使收到報(bào)文的對(duì)端對(duì)等體返回響應(yīng)報(bào)文�����,所述探測(cè)標(biāo)志為特定的協(xié)議號(hào)或者是反填的源IP地址和目的IP地址�。
5.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備���,其特征在于,還包括解析模塊所述解析模塊用于解封裝從對(duì)端收到的IPsec SA報(bào)文����,并在該報(bào)文包括探測(cè)標(biāo)志時(shí)確認(rèn)收到報(bào)文為探測(cè)報(bào)文,并在該報(bào)文不包括探測(cè)標(biāo)志確認(rèn)收到的報(bào)文為IPsec SA數(shù)據(jù)報(bào)文��;所述封裝模塊用于將解析后的IPsec SA探測(cè)報(bào)文重新封裝成響應(yīng)發(fā)送給對(duì)端��。
6.一種探測(cè)方法���,用于檢測(cè)對(duì)端IPsec對(duì)等體IPsec是否正常���,其特征在于,所述方法包括如下步驟:步驟A�����、IPsec對(duì)等體將包括探測(cè)標(biāo)志報(bào)文封裝成的IPsec SA探測(cè)報(bào)文�;步驟B����、將包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文發(fā)送給對(duì)端IPsec對(duì)等體使其返回響應(yīng)報(bào)文����;步驟C���、接收并解析對(duì)端IPsec對(duì)等體返回的IPsec SA響應(yīng)報(bào)文后�����,確認(rèn)對(duì)端對(duì)等體IPsec SA 正常����。
7.如權(quán)利要求6所述的方法�,其特征在于,所述方法進(jìn)一步包括:步驟D����、在發(fā)送包括探測(cè)標(biāo)志的IPsec SA探測(cè)報(bào)文時(shí)開始計(jì)時(shí),如果計(jì)時(shí)到期后依然沒有收到對(duì)端對(duì)等體的響應(yīng)報(bào)文時(shí)�����,返回步驟C重新發(fā)送所述探測(cè)報(bào)文��,并啟動(dòng)重傳計(jì)數(shù),如果重傳超過預(yù)定次數(shù)����,則認(rèn)為對(duì)端對(duì)等體不存在。
8.如權(quán)利要求7所述的方法����,其特征在于,所述探測(cè)標(biāo)志為預(yù)先配置或者經(jīng)雙方對(duì)等體協(xié)商確定��,用于標(biāo)識(shí)所述報(bào)文為探測(cè)報(bào)文��;所述探測(cè)標(biāo)志為特定的協(xié)議號(hào)或者是反填的源IP地址和目的IP地址�。
9.如權(quán)利要求6所述的方法,其特征在于�,所述方法還包括如下步驟:步驟E、解封裝收到的IPsec SA報(bào)文���,判斷如果所述報(bào)文包括探測(cè)標(biāo)志����,則確認(rèn)收到報(bào)文為探測(cè)報(bào)文��,執(zhí)行步驟F ;判斷如果所述報(bào)文不包括探測(cè)標(biāo)志����,則確認(rèn)收到的報(bào)文為IPsec SA數(shù)據(jù)報(bào)文,執(zhí)行步驟G;步驟F���、將解析后的IPsec SA探測(cè)報(bào)文重新封裝成響應(yīng)消息發(fā)送給探測(cè)方��;步驟G�、進(jìn)行正常的解密處理�。
10.如權(quán)利要求9所述的方法,其特征在于����,所述響應(yīng)報(bào)文的載荷內(nèi)容是經(jīng)過與探測(cè)報(bào)文對(duì)應(yīng)的IPsec SA執(zhí) 行加密認(rèn)證的序列號(hào)。
【文檔編號(hào)】H04L12/26GK103716196SQ201210372170
【公開日】2014年4月9日 申請(qǐng)日期:2012年9月28日 優(yōu)先權(quán)日:2012年9月28日
【發(fā)明者】楊超 申請(qǐng)人:杭州華三通信技術(shù)有限公司