技術領域

本發明涉及通信安全技術領域，尤其涉及一種實現IPSec隧道故障檢測的方法。

背景技術

IPSec(Intetnet?Protocol?Security)協議族是IETF(Internet?Engineering?Task?Force)制定的一系列協議，為IP數據報提供了高質量的、可互操作的、基于密碼學的安全性。IPSec對網絡上傳輸的IP報文進行加密和認證，保證對端收到的報文的合法性和正確性，且即使被網絡上的其它用戶偵聽到也無法知道報文的真實內容。攻擊防范就是檢測出多種類型的網絡攻擊，并能采取相應的措施保護內網免受惡意攻擊，保證內部網絡及系統的正常運行。

特定的通信方之間在IP層通過加密與數據源驗證等方式，來保證數據報在網絡上傳輸時的私有性、完整性、真實性和防重放。私有性(Confidentiality)：對用戶數據進行加密保護，用密文的形式傳送；完整性(Data?integrity)：對接收的數據進行驗證，以判定報文是否被篡改；真實性(Data?Authentication)：驗證數據源，以保證數據來自真實的發送者；防重放(Anti-replay)：防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊，即接收方會拒絕舊的或重復的數據包。

IPSec通過AH(Authentication?Header)和ESP(Encapsulating?Security?Payload)兩個安全協議實現了上述目標。為簡化IPSec的使用和管理，IPSec還可以通過IKE(Internet?Key?Exchange)進行自動協商交換密鑰，建立和維護安全聯盟的服務。

在無線LTE(Long?Term?Evolution)環境下，eNodeB接入數據核心承載網的典型模式是eNodeB通過租用線路接入承載網路由器，承載網基于MPLS/VPN(Multiprotocol?Label?Switching/Virtual?Private?Network)相連，aGW(Access?Gateway)也接入到核心承載網絡，通過這種組網方式，eNodeB可以通過運營商的承載網和aGW互通。

但這種組網一個比較大的問題就是eNodeB接入承載網路由器的線路安全難以得到保證，特別是運營商從成本的角度考慮采用其它網絡運營商的租用線路或者是直接利用Internet接入的情況下，安全性問題就更為嚴重。用戶接入時，eNodeB會通過GTP協議傳遞用戶IMSI(International?Mobile?Subscriber?Identification?Number)、鑒權信息等大量敏感信息，隨著各種移動業務的開展，會有大量的用戶身份、密碼、帳號等信息通過GTP協議傳送，這些信息如果沒有加密保護的話，很容易對用戶的安全帶來巨大的隱患。

解決這些問題目前IP網絡采用的主要技術是IPSec。電信級網絡對傳輸有高可靠性要求，如果鏈路出現故障，需要快速發現故障并進行切換等恢復操作，保證業務不出現中斷。而在使用IPSec的安全組網場景下，現有協議提供的保活功能無法保證快速發現故障。現有的IPSec隧道故障檢測使用RFC3706中提供的DPD(Dead?Peer?Detection)功能，完成對端狀態的檢查。DPD分為輪詢模式和流量觸發模式，目前常用的是流量觸發模式，即在一定時間內收不到對端的加密報文后，發起DPD檢測，經過一定次數重傳后仍未得到對端響應則認為鏈路故障。但是DPD檢測速度比較慢，正常情況下發現鏈路故障的時間須在1分鐘以上，滿足不了電信級的快速檢測需求。

發明內容

本發明實施例提供一種實現IPSec隧道故障檢測的方法、裝置及系統，實現部署IPSec加密場景下鏈路故障的快速檢測。

為了實現解決上述技術問題，本發明實施例提供如下技術方案：

本發明實施例提供一種在IPSec隧道中建立雙向轉發檢測BFD的方法，該方法包括：

向對端發送密鑰交換協議IKE隧道的創建請求報文，所述IKE隧道的創建請求報文中攜帶建立BFD會話的請求消息；

接收對端發送的IKE隧道的創建確認報文，所述IKE隧道的創建確認報文中包含建立BFD會話的確認消息；

向對端發送IPSec隧道的創建請求報文，所述IPSec隧道的創建請求報文中攜帶IKE通知載荷，所述IKE通知載荷包含BFD會話的配置信息；

接收對端發送的IPSec隧道的創建確認報文，所述IPSec隧道的創建確認報文中包含所述IKE通知載荷的確認消息。