一種網際網路協議安全鏈路保護方法和裝置的製作方法

2023-11-06 01:59:17 2

專利名稱：一種網際網路協議安全鏈路保護方法和裝置的製作方法
技術領域：
本發明涉及通信技術領域，尤其涉及網際網路協議安全鏈路保護方法和裝置。
背景技術：
IPSec (IP Security,網際網路協議安全)給出了應用於IP層上網絡數據安全的一 整套體系結構，包括網絡認證協議、封裝安全載荷協議、密鑰管理協議和用於網絡認證及加 密的一些算法等。IPSec在原本開放、脆弱的IP網絡架構上提供了較強的安全特性被廣泛 應用於企業網、電信網、Internet等領域。IPSec可用於對一段IP (Internet Protocol，網際網路協議)鏈路實施加密、認證等 安全保護，在建立IPSec鏈路過程中，因為需要進行認證算法/加密算法協商、封裝模式協 商、交換密鑰等一系列複雜交互，會導致鏈路建立時間較長(通常> IOs)。因此，一旦IPSec 鏈路出現故障，重新建立鏈路會導致超過IOs的中斷時間，即將會出現較長的中斷時間，從 而無法滿足快速可靠性切換要求。

發明內容
本發明實施例提供了一種網際網路協議安全鏈路保護方法和裝置，以減小因網際網路 協議安全鏈路中斷而導致的數據傳輸中斷的時間，從而實現網際網路協議安全鏈路的快速倒換。本發明實施例採用以下技術方案本發明實施例提供了一種網際網路協議安全鏈路保護方法，包括當檢測到第一主用IPSec鏈路故障時，更新所述第一主用IPSec鏈路關聯的一對 安全關聯 SA (Security Association，安全關聯)；根據IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬性，從IPSec本端 節點與遠端不同可用節點之間建立的、分別指向遠端不同可用節點的多條單向IPSec鏈路 中選擇第二主用IPSec鏈路，通過所述第二主用IPSec鏈路向遠端傳輸需要安全保護的出 站報文。本發明實施例提供了一種網際網路協議安全鏈路保護裝置，包括更新模塊，用於當檢測到第一主用IPSec鏈路故障時，更新所述第一主用IPSec鏈 路關聯的一對安全關聯SA ；選擇模塊，用於根據IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬 性，從IPSec本端節點與遠端不同可用節點之間建立的、分別指向遠端不同可用節點的多 條單向IPSec鏈路中選擇第二主用IPSec鏈路；傳輸模塊，通過所述第二主用IPSec鏈路向遠端傳輸需要安全保護的出站報文。本發明實施例提供的技術方案中，通過在檢測到主用IPSec鏈路故障時，更新所 述主用IPSec鏈路關聯的一對SA，並根據IPSec本端節點維護的與IPSec鏈路關聯的SA 的優先級屬性，從預先建立的多條IPSec鏈路中重新選出一條繼續作為主用的IPSec鏈路，通過所述重新選擇的主用IPSec鏈路向遠端傳輸需要安全保護的出站報文，避免了重建 IPSec鏈路或者重新協商安全參數，從而實現IPSec鏈路快速倒換，本發明實施例中IPSec 鏈路主備故障倒換時間可以做到毫秒級，同時由於對遠端IPSec節點並無特性要求，因此 具有很好的兼容性。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可 以根據這些附圖獲得其它的附圖。圖1為本發明實施例提供的網際網路協議安全鏈路保護方法的一種應用場景示意 圖；圖2本發明實施例提供的一種網際網路協議安全鏈路保護方法的流程圖；圖3為本發明實施例提供的網際網路協議安全鏈路保護方法的一種應用場景示意 圖；圖4為本發明實施例提供的在圖3的應用場景中IPSec策略設置原理示意圖；圖5為本發明實施例提供的網際網路協議安全鏈路保護方法的另一種應用場景示 意圖；圖6為本發明實施例提供的在圖5的應用場景中IPSec策略設置原理示意圖；圖7為本發明實施例提供的一種網際網路協議安全鏈路保護裝置的結構示意圖；圖8為本發明實施例提供的另一種網際網路協議安全鏈路保護裝置的結構示意圖。
具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完 整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於 本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其它 實施例，都屬於本發明保護的範圍。如圖2所示，本發明實施例提供一種網際網路協議安全鏈路保護方法，可以應用於 如圖1所示的組網環境下，該方法可以包括201、當檢測到第一主用IPSec鏈路故障時，更新所述第一主用IPSec鏈路關聯的 一對安全關聯SA ；具體的，步驟201中更新所述第一主用IPSec鏈路關聯的一對安全關聯SA，可以包 括刪除所述第一主用IPSec鏈路對應的一對安全關聯SA或修改所述第一主用IPSec鏈路 對應的該對SA的優先級屬性，修改後的優先級屬性使得該對SA不會成為優選條目。202、根據IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬性，從IPSec 本端節點與遠端不同可用節點之間建立的、分別指向遠端不同可用節點的多條單向IPSec 鏈路中選擇第二主用IPSec鏈路，通過所述第二主用IPSec鏈路向遠端傳輸需要安全保護 的出站報文。在一種實現下，其中選擇第二主用IPSec鏈路的過程具體包括，比較IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬性；從所述分別指向遠端不同可用節點的多條 單向IPSec鏈路中，確定優先級屬性最高的SA關聯的IPSec鏈路為第二主用IPSec鏈路。 需要說明的是，當優選結果不唯一就負載均衡，即通過第二主用IPSec鏈路(多條)以負載 均衡的方式向遠端傳輸需要安全保護的出站報文。需要說明的是，前述涉及的第一和第二僅僅為了方便描述以區別兩者而已，不代 表順序。為了便於描述本發明實施例的方案，下面結合圖1對下文將要涉及的IPSec技術 體系中的一些主要對象先進行說明如圖1所示，為本發明實施例網際網路協議安全鏈路保護方法的應用場景示意圖， 其中，IPSec本端節點和IPSec遠端節點，例如可以是支持IPSec功能的網關設備、接入設 備、主機設備、終端設備等；IPSec鏈路，指的是兩端IPSec實體之間建立的一條IPSec邏輯通道，該通道受到 IPSec機制的保護(例如加密、認證、隧道封裝等)；IPSec ACL(Access Control List，訪問控制列表)，指的是在IPSec節點設備上配 置的，用於篩選出哪些數據流量(即出站報文)需要被IPSec保護的過濾列表；可以理解的 是，通過IPSec ACL，數據流被分成需要安全保護的報文和不需要安全保護的報文。針對需 要安全保護的報文，通過IPsec鏈路來進行傳輸。Security Proposal (安全提議)，其配置在IPSec節點設備上，用於設定IPSec鏈 路將要使用怎樣的安全參數，例如，加密算法、認證算法、隧道模式等；網際網路協議安全策略(IPSec Policy)，其配置在IPSec節點設備上，IPSecPolicy 在配置時會關聯IPSec ACL和Security Proposal，並最終被應用綁定到IPSec節點設備的 出接口上；IPSec SA(Security Association，安全關聯)，其被維護在IPSec節點設備上， 當IPSec Policy發生作用(產生動作)，根據Security Proposal的設定，與對端節點協 商出合適的鏈路安全參數後，並在IPSec節點設備裡生成SA，SA是成對出現的，分別用於 出站(Outbound)方向和入站(Inbound)方向，分別負責Outbound方向的數據安全封裝和 Inbound方向的IPSec報文解封裝。簡單來說，一條IPSec鏈路，在其一端的節點設備上就 會對應著一對SA。在一種實現下，本發明實施例的網際網路協議安全鏈路保護方法進一步包括在IPSec本端節點與遠端不同可用節點之間建立對應的多條IPSec鏈路，所述 IPSec鏈路包括具有不同優先級屬性的、傳輸方向分別指向遠端不同可用節點的單向 IPSec鏈路。具體的過程包括，配置多條IPSec Policy，將所述多條IPSec Policy綁定到同一 IPSec ACL，其中 所述多條IPSec Policy分別指定遠端的不同可用節點，且具有不同的優先級屬性；當首發出站報文欲從IPSec本端節點的出接口發出時，命中(或匹配)到一 IPSec ACL後觸發關聯的多條IPSec Policy同時動作，生成多對SA及建立對應的多條IPSec鏈 路，其中每對SA具有從對應的IPSec Policy繼承的優先級屬性，不同IPSec鏈路具有不同 的優先級屬性。相應的，系統初始化時，所述方法還包括
6
根據具有從對應的IPSec Policy繼承的優先級屬性的多對SA中，選擇優先級屬 性最高的一對SA所對應的IPSec鏈路作為第一主用IPSec鏈路，通過所述第一主用IPSec 鏈路向遠端傳輸所述需要安全保護的首發出站報文。可見，本發明實施例提供的技術方案中，通過在檢測到當前主用IPSec鏈路故障 時，更新所述主用IPSec鏈路關聯的一對SA，並根據IPSec本端節點維護的與IPSec鏈路 關聯的SA的優先級屬性，從預先建立的多條IPSec鏈路中重新選出一條繼續作為主用的 IPSec鏈路，通過所述重新選擇的主用IPSec鏈路向遠端傳輸需要安全保護的出站報文，避 免了重建IPSec鏈路或者重新協商安全參數，從而實現IPSec鏈路快速倒換，本發明實施例 中IPSec鏈路主備故障倒換時間可以做到毫秒級，同時由於對遠端IPSec節點並無特性要 求，因此具有很好的兼容性。下面結合具體的應用場景來詳細描述本發明實施例的方法如圖3所示，為本發明實施例的網際網路協議安全鏈路保護方法的一種應用場景示 意圖，在所述應用場景中，本端設備是一臺業務終端Client，遠端設備是兩臺(或更多) IPSec網關設備IPSecGW，所述IPSecGW可以為支持IPSec功能的防火牆。此種應用場景較 為廣泛，例如遠程辦公人員通過Internet接入到公司內部網絡，即為此種場景。其具體實 施步驟如下1、業務終端 Client 配置 IPSec ACL(Access Control List，訪問控制列表)，用於 匹配Client端發起的、需要由IPSec鏈路保護的流量(相應的，遠端IPSecGW上也需要配 置 IPSec ACL)；2、業務終端Client配置IPSec Proposal，用於指定IPSec鏈路安全參數(相應 的，遠端SecGW上也需要配置IPSec Proposal)；3、業務終端Client配置多條IPSec Policy (IPSec策略)，所述Policy綁定相同 的IPSec ACL和IPSec Proposal，且分別指定遠端的多臺IPSec網關設備(相應的，遠端每 臺IPSecGW上僅需配置一條IPSec Policy，綁定IPSec ACL和IPSec Proposal，指向本端 業務終端Client即可)；4、業務終端Client的出接口上同時綁定這多條IPSec Policy，並為所述IPSec Policy指定不同的優先級(相應的，遠端SecGW也將IPSec Policy綁定到出接口上)，如 圖4所示，在業務終端IPSec Client出接口上同時綁定了兩個IPSecPolicy，分別為IPSec Policyl 和 IPSec Policy2，其中為 IPSec Policyl 指定的優先級為 100，為 IPSec Policy2 指定的優先級為80 ；5、當業務終端Client試圖從出接口向遠端IPSec網關設備發送報文時，首先將 報文信息交給IPSec ACL進行篩選比對，如果與所述IPSec ACL相匹配(即命中IPSec ACL)，就會觸發多條與所述ACL綁定IPSec Policy同時動作，在業務終端Client上生成 多對IPSec SA(相應的，遠端每臺IPSecGW也會生成SA)；每對SA也具備優先級屬性，其優 先級直接在初始化生成SA的階段從相應的IPSecPolicy繼承過來；即相當於在業務終端 Client與遠端多個IPSec網關設備之間建立了具有不同優先級屬性的多條IPSec鏈路；6、業務終端Client從Outbound方向的多條IPSec鏈路中，選擇優先級最高的一 對SA所對應的IPSec鏈路作為當前主用鏈路(稱為第一主用鏈路)，其餘為備用IPSec鏈 路，並在所述第一主用鏈路上對出站報文進行安全保護和有效轉發(如果優選結果不唯一
7就負載均衡)；而對於遠端某個IPSec網關設備發送過來的入站IPSec報文，匹配對應於所 述IPSec網關的SA對其進行IPSec解封裝即可；需要說明的是，可以利用DPD、KeepAlive 等機制實現對業務終端與遠端IPSec網關設備之間的Outbound方向的多條IPSec鏈路進 行通斷檢測和長期保活；7、當檢測到第一主用IPSec鏈路故障時，刪除業務終端上維護的第一主用IPSec 鏈路對應的一對SA或降低所述SA的優先級，優先級降低的幅度以確保所述第一主用IPSec 鏈路不會再被選為主用；並比較業務終端上維護的與IPSec鏈路關聯的SA的優先級屬性； 從Outbound方向的IPSec鏈路中，確定優先級屬性最高的SA關聯的IPSec鏈路為第二主 用IPSec鏈路，並通過所述第二主用IPSec鏈路向遠端繼續傳輸出站報文；當檢測到某一備用IPSec鏈路故障時，刪除所述備用IPSec鏈路對應的一對SA或 降低所述SA的優先級，以確保當第一主用IPSec鏈路故障時，所述備用IPSec鏈路不會被 選為第二主用IPSec鏈路；8、當主用IPSec鏈路故障時，遠端的IPSec網關通過故障檢測和聯動機制觸發內 部網絡拓撲信息收斂，從而可確保整個系統端到端可靠性故障倒換一致性和報文來迴路徑 的一致性。可見，本發明實施例中，業務終端Client發起的流量在穿越IP網絡時希望由 IPSec來保護，通過IPSec網關轉發進入Internal Network的過程中，業務終端Client與 多臺可用的遠端IPSec網關之間同時建立起多條IPSec鏈路，從業務終端Client發起的業 務流量會優選其中一條IPSec鏈路進行傳輸，一旦該IPSec鏈路發生故障，業務終端Client 更新所述IPSec鏈路關聯的一對SA,並根據業務終端Client維護的與IPSec鏈路關聯的 SA的優先級屬性，從預先建立的多條IPSec鏈路中選出一條繼續作為主用的IPSec鏈路，從 而實現IPSec鏈路快速倒換，可以做到毫秒級。同時由於對遠端IPSec節點並無特性要求， 因此具有很好的兼容性。如圖5所示，為本發明實施例的網際網路協議安全鏈路保護方法的另一種應用場景 示意圖，在所述應用場景中，本端設備是一臺網關，遠端設備是兩臺(可以更多)IPSec網關 設備，所述IPSec網關設備可以為支持IPSec功能的防火牆。此種應用場景也較為廣泛，例 如分支機構網絡和總部網絡之間通過Internet搭建安全隧道，實現多個分布式網絡之間 的異地協同，即為此種場景。其具體實施步驟如下1'、本端網關設備上配置IPSec ACL，用於匹配從本端網絡發起的，去往遠端網絡 的，需要由IPSec保護的流量(相應的，遠端IPSecGW上也需要配置IPSecACL)；2'、本端網關設備上配置IPSec Proposal，用於指定IPSec鏈路安全參數(相應 的，遠端IPSecGW上也需要配置IPSec Proposal)；3'、本端網關設備上配置多條IPSec Policy，所述Policy綁定相同的IPSecACL 和IPSec Proposal，且分別指定遠端的多臺IPSec網關(相應的，遠端每臺SecGW上僅需配 置一條IPSec Policy，綁定IPSec ACL和IPSec Proposal，指向本端網關設備即可)；4'、在本端網關設備的出接口上同時綁定這多條IPSec Policy，並為所述IPSec Policy指定不同的優先級(相應的，遠端SecGW也將Policy綁定到出接口上)，如圖6所 示，在本端網關設備出接口上同時綁定了兩個IPSec Policy，分別為IPSec Policyl和 IPSec Policy2，其中為IPSec Policyl指定的優先級為100，為IPSec Policy2指定的優先級為80 ；5'、當本端網關設備出接口向遠端IPSec網關轉發本端網絡欲發往遠端網絡的 報文時，首先將報文信息交給IPSec ACL進行篩選比對，如果與IPSec ACL相匹配，觸發與 所述IPSec ACL關聯的多條IPSec Policy同時動作，在本端網關設備上建立起多對IPSec SA(相應的，遠端每臺IPSecGW也會生成SA)；每對SA也具備優先級屬性，其優先級直接在 初始化建立SA的階段從相應的IPSec Policy繼承過來；即相當於在本端網關設備與遠端 多個IPSec網關之間建立了 Outbound方向、具有不同優先級屬性的多條IPSec鏈路；6'、本端網關設備從Outbound方向的多條IPSec鏈路中，選擇優先級最高的一 對SA所對應的IPSec鏈路作為當前主用鏈路(稱為第一主用鏈路)，其餘為備用IPSec鏈 路，並在所述第一主用鏈路上對由本端網關設備轉發的出站報文進行安全保護和有效轉發 (如果優選結果不唯一就負載均衡)；而對於遠端某個IPSec網關發送過來的入站IPSec報 文，匹配對應於所述IPSec網關的SA對其進行IPSec解封裝即可；需要說明的是，可以利用 DPD、KeepAlive等機制實現對本端網關設備與遠端IPSec網關設備之間的Outbound方向 的多條IPSec鏈路進行通斷檢測和長期保活；7'、當檢測到第一主用IPSec鏈路故障時，刪除本端網關設備上維護的第一主用 IPSec鏈路對應的一對SA或降低所述SA的優先級，優先級降低的幅度以確保所述第一主用 IPSec鏈路不會再被選為主用；並比較本端網關設備上維護的與IPSec鏈路關聯的SA的優 先級屬性；從Outbound方向的IPSec鏈路中，確定優先級屬性最高的SA關聯的IPSec鏈路 為第二主用IPSec鏈路，並通過所述第二主用IPSec鏈路向遠端繼續傳輸出站報文；當檢測到某一備用IPSec鏈路故障時，刪除所述備用IPSec鏈路對應的一對SA或 降低所述SA的優先級，以確保當第一主用IPSec鏈路故障時，所述備用IPSec鏈路不會被 選為第二主用IPSec鏈路；8'、當主用IPSec鏈路故障時，遠端的IPSec網關通過故障檢測和聯動機制觸發 內部網絡拓撲信息收斂，從而可確保整個系統端到端可靠性故障倒換一致性和報文來迴路 徑的一致性。可見，本發明實施例提供的技術方案中，本端網關設備連接著本端網絡，本端網絡 向遠端網絡發起的流量，在經過IP網絡時需要由IPSec機制保護，這些流量由本端網關 設備進行IPSec封裝並轉發給遠端IPSecGW，再由遠端IPSecGW進行IPSec解封裝並轉發 進入遠端網絡的過程中，本端網關設備與多臺可用的遠端IPSec網關之間同時建立起多條 IPSec鏈路，從本端網絡發起去往遠端網絡的業務流量會優選其中一條IPSec鏈路進行傳 輸，一旦該IPSec鏈路發生故障，本端網關設備更新所述IPSec鏈路關聯的一對SA，並根據 本端網關設備維護的與IPSec鏈路關聯的SA的優先級屬性，從預先建立的多條IPSec鏈路 中選出一條繼續作為主用的IPSec鏈路，從而實現IPSec鏈路快速倒換，可以做到毫秒級。 同時由於對遠端IPSec節點並無特性要求，因此具有很好的兼容性。如圖7所示，本發明實施例提供了一種網際網路協議安全鏈路保護裝置，包括更新模塊701，用於當檢測到第一主用IPSec鏈路故障時，更新所述第一主用 IPSec鏈路關聯的一對安全關聯SA ；具體可以為刪除所述第一主用IPSec鏈路對應的一對 安全關聯SA或修改所述第一主用IPSec鏈路對應的該對SA的優先級屬性，修改後的優先 級屬性使得該對SA不會成為優選條目。
9
選擇模塊702，用於根據IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級 屬性，從IPSec本端節點與遠端不同可用節點之間建立的、分別指向遠端不同可用節點的 多條單向IPSec鏈路中重新選擇第二主用IPSec鏈路；傳輸模塊703，用於通過所述第二主用IPSec鏈路向遠端傳輸需要安全保護的出 站報文。在一種實現下，所述選擇模塊702具體包括比較單元，用於比較IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬 性；確定單元，用於從所述分別指向遠端不同可用節點的多條單向IPSec鏈路中，確 定優先級屬性最高的SA關聯的IPSec鏈路為第二主用IPSec鏈路。可見，在本發明實施例提供的網際網路協議安全鏈路保護裝置中，通過在檢測到主 用IPSec鏈路故障時，更新所述主用IPSec鏈路關聯的一對SA,並根據IPSec本端節點維 護的與IPSec鏈路關聯的SA的優先級屬性，從預先建立的多條IPSec鏈路中重新選出一條 繼續作為主用的IPSec鏈路，通過所述重新選擇的主用IPSec鏈路向遠端傳輸需要安全保 護的出站報文，避免了重建IPSec鏈路或者重新協商安全參數，從而實現IPSec鏈路快速倒 換，本發明實施例中IPSec鏈路主備故障倒換時間可以做到毫秒級，同時由於對遠端IPSec 節點並無特性要求，因此具有很好的兼容性。如圖8所示，本發明實施例提供又一種網際網路協議安全鏈路保護裝置，除包括上 述更新模塊701、選擇模塊702和傳輸模塊703外，還包括鏈路建立模塊801，用於在IPSec本端節點與遠端不同可用節點之間建立對應的 多條IPSec鏈路，所述IPSec鏈路包括具有不同優先級屬性的、傳輸方向分別指向遠端不 同可用節點的單向IPSec鏈路。在一種實現下，所述鏈路建立模塊801，具體包括綁定單元，用於將配置的多個IPSec Policy綁定同一 IPSecACL，其中所述多條 IPSec Policy分別指定遠端的不同可用節點，且具有不同的優先級屬性；生成單元，用於當首發出站報文欲從IPSec本端節點的出接口發出時，命中到一 IPSecACL後觸發關聯的多個IPSec Policy同時動作，生成多對SA及對應的多條IPSec鏈 路，其中每對SA具有從對應的IPSec Policy繼承的優先級屬性。以及，相應的，系統初始化時，選擇模塊702進一步用於根據具有從對應的IPSec Policy繼承的優先級屬性的多對SA中，選擇優先級屬性最高的一對SA所對應的IPSec鏈 路作為第一主用IPSec鏈路；傳輸模塊703進一步用於通過所述第一主用IPSec鏈路向遠端傳輸所述需要安全 保護的首發出站報文。可見，本發明實施例提供的網際網路協議安全鏈路保護裝置，通過在檢測到主用 IPSec鏈路故障時，更新所述主用IPSec鏈路關聯的一對SA,並根據IPSec本端節點維護的 與IPSec鏈路關聯的SA的優先級屬性，從預先建立的多條IPSec鏈路中重新選出一條繼續 作為主用的IPSec鏈路，通過所述重新選擇的主用IPSec鏈路向遠端傳輸需要安全保護的 出站報文，避免了重建IPSec鏈路或者重新協商安全參數，從而實現IPSec鏈路快速倒換， 本發明實施例中IPSec鏈路主備故障倒換時間可以做到毫秒級，同時由於對遠端IPSec節點並無特性要求，因此具有很好的兼容性。需要指出的是，本發明實施例提供的網際網路協議安全鏈路保護裝置，可以應用於 網關設備或客戶終端設備當中，凡是本領域技術人員根據本發明實施例所提供的內容在不 付出創造性勞動的前提下而獲得的其他實施例，都應當屬於本發明的保護範圍之內。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程，是可以 通過電腦程式來指令相關的硬體來完成，所述的程序可存儲於一計算機可讀取存儲介質 中，該程序在執行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁 碟、光碟、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。以上所述，僅為本發明的具體實施方式
，但本發明的保護範圍並不局限於此，任何 熟悉本技術領域的技術人員在本發明揭露的技術範圍內，可輕易想到變化或替換，都應涵 蓋在本發明的保護範圍之內。因此，本發明的保護範圍應所述以權利要求的保護範圍為準。
權利要求
一種網際網路協議安全鏈路保護方法，其特徵在於，包括當檢測到第一主用IPSec鏈路故障時，更新所述第一主用IPSec鏈路關聯的一對安全關聯SA；根據IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬性，從IPSec本端節點與遠端不同可用節點之間建立的、分別指向遠端不同可用節點的多條單向IPSec鏈路中選擇第二主用IPSec鏈路，通過所述第二主用IPSec鏈路向遠端傳輸需要安全保護的出站報文。
2.根據權利要求1所述的網際網路協議安全鏈路保護方法，其特徵在於，所述方法進一 步包括在IPSec本端節點與遠端不同可用節點之間建立對應的多條IPSec鏈路，所述IPSec 鏈路包括具有不同優先級屬性的、傳輸方向分別指向遠端不同可用節點的單向IPSec鏈路。
3.根據權利要求1所述的網際網路協議安全鏈路保護方法，其特徵在於，所述更新所述 第一主用IPSec鏈路關聯的一對安全關聯SA，包括刪除所述第一主用IPSec鏈路對應的一對安全關聯SA或修改所述第一主用IPSec鏈 路對應的該對SA的優先級屬性，修改後的優先級屬性使得該對SA不會成為優選條目。
4.根據權利要求2所述的網際網路協議安全鏈路保護方法，其特徵在於，所述在IPSec本 端節點與遠端不同可用節點之間建立對應的多條IPSec鏈路，包括將配置的多個網際網路協議安全策略IPSec Policy綁定同一網際網路協議安全訪問控制 列表IPSecACL，其中所述多條IPSec Policy分別指定遠端的不同可用節點，且具有不同的 優先級屬性；當首發出站報文欲從IPSec本端節點的出接口發出時，命中到一 IPSecACL後觸發關聯 的多個IPSec Policy同時動作，生成多對SA及對應的多條IPSec鏈路，其中每對SA具有 從對應的IPSec Policy繼承的優先級屬性。
5.根據權利要求4所述的網際網路協議安全鏈路保護方法，其特徵在於，所述當檢測到 第一主用IPSec鏈路故障時，更新所述第一主用IPSec鏈路關聯的一對安全關聯SA的步驟 之前，進一步包括根據具有從對應的IPSec Policy繼承的優先級屬性的多對SA中，選擇優先級屬性最 高的一對SA所對應的IPSec鏈路作為第一主用IPSec鏈路，通過所述第一主用IPSec鏈路 向遠端傳輸所述需要安全保護的首發出站報文。
6.根據權利要求1所述的網際網路協議安全鏈路保護方法，其特徵在於，所述根據IPSec 本端節點維護的與IPSec鏈路關聯的SA的優先級屬性，從IPSec本端節點與遠端不同可用 節點之間建立的、分別指向遠端不同可用節點的多條單向IPSec鏈路中重新選擇第二主用 IPSec鏈路，包括比較IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬性；從所述分別指向遠端不同可用節點的多條單向IPSec鏈路中，確定優先級屬性最高的 SA關聯的IPSec鏈路為第二主用IPSec鏈路。
7.—種網際網路協議安全鏈路保護裝置，其特徵在於，包括更新模塊，用於當檢測到第一主用IPSec鏈路故障時，更新所述第一主用IPSec鏈路關聯的一對安全關聯SA ；選擇模塊，用於根據IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬性，從 IPSec本端節點與遠端不同可用節點之間建立的、分別指向遠端不同可用節點的多條單向 IPSec鏈路中選擇第二主用IPSec鏈路；傳輸模塊，通過所述第二主用IPSec鏈路向遠端傳輸需要安全保護的出站報文。
8.根據權利要求7所述的網際網路協議安全鏈路保護裝置，其特徵在於，還包括鏈路建立模塊，用於在IPSec本端節點與遠端不同可用節點之間建立對應的多條 IPSec鏈路，所述IPSec鏈路包括具有不同優先級屬性的、傳輸方向分別指向遠端不同可 用節點的單向IPSec鏈路。
9.根據權利要求7所述的網際網路協議安全鏈路保護裝置，其特徵在於，所述更新模塊 具體用於刪除所述第一主用IPSec鏈路對應的一對安全關聯SA或修改所述第一主用IPSec 鏈路對應的該對SA的優先級屬性，修改後的優先級屬性使得該對SA不會成為優選條目。
10.根據權利要求8所述的網際網路協議安全鏈路保護裝置，其特徵在於，所述鏈路建立 模塊包括綁定單元，用於將配置的多個網際網路協議安全策略IPSec Policy綁定同一網際網路協議 安全訪問控制列表IPSec ACL，其中所述多條IPSec Policy分別指定遠端的不同可用節點， 且具有不同的優先級屬性；生成單元，用於當首發出站報文欲從IPSec本端節點的出接口發出時，命中到一 IPSecACL後觸發關聯的多個IPSec Policy同時動作，生成多對SA及對應的多條IPSec鏈 路，其中每對SA具有從對應的IPSec Policy繼承的優先級屬性。
11.根據權利要求10所述的網際網路協議安全鏈路保護裝置，其特徵在於，所述選擇模 塊包括比較單元，用於比較IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬性；確定單元，用於從所述分別指向遠端不同可用節點的多條單向IPSec鏈路中，確定優 先級屬性最高的SA關聯的IPSec鏈路為第二主用IPSec鏈路。
全文摘要
本發明實施例公開了一種網際網路協議安全鏈路保護方法和裝置，涉及通信技術領域。所述網際網路協議安全鏈路保護方法包括當檢測第一主用IPSec鏈路故障時，更新第一主用IPSec鏈路關聯的一對SA；根據IPSec本端節點維護的與IPSec鏈路關聯的SA的優先級屬性，從IPSec本端節點與遠端不同可用節點之間建立的、分別指向遠端不同可用節點的多條單向IPSec鏈路中選擇第二主用IPSec鏈路，通過其向遠端傳輸需要安全保護的出站報文，從而避免了重建IPSec鏈路或者重新協商安全參數，從而實現IPSec鏈路快速倒換，本發明實施例中IPSec鏈路主備故障倒換時間可以做到毫秒級，同時由於對遠端IPSec節點並無特性要求，因此具有很好的兼容性。
文檔編號H04L12/24GK101931610SQ200910148299
公開日2010年12月29日 申請日期2009年6月22日 優先權日2009年6月22日
發明者周靚 申請人:華為技術有限公司