[發(fā)明專利]一種設(shè)備間安全聯(lián)盟同步方法及裝置有效
| 申請?zhí)枺?/td> | 201210471384.6 | 申請日: | 2012-11-20 |
| 公開(公告)號: | CN102970293A | 公開(公告)日: | 2013-03-13 |
| 發(fā)明(設(shè)計)人: | 楊超 | 申請(專利權(quán))人: | 杭州華三通信技術(shù)有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京鑫媛睿博知識產(chǎn)權(quán)代理有限公司 11297 | 代理人: | 龔家驊 |
| 地址: | 310053 浙江省杭州市高新技術(shù)產(chǎn)業(yè)*** | 國省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 設(shè)備 安全 聯(lián)盟 同步 方法 裝置 | ||
技術(shù)領(lǐng)域
本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種設(shè)備間安全聯(lián)盟(Security?Association,SA)同步方法及裝置。
背景技術(shù)
IPsec(IP?Security,IP安全)是IETF(Internet?Engineering?Task?Force,Internet工程任務(wù)組)制定的三層隧道加密協(xié)議,它為互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證,是一種傳統(tǒng)的實現(xiàn)三層VPN(Virtual?Private?Network,虛擬專用網(wǎng)絡(luò))的安全技術(shù)。
IPsec在兩個設(shè)備之間提供安全通信,采用IPsec技術(shù)進(jìn)行通信的設(shè)備被稱為IPsec對等體。SA是通信對等體間對某些要素的約定,例如,協(xié)議類型、協(xié)議的封裝模式、加密算法、特定流中保護(hù)數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。IPsec可通過IKE(Internet?Key?Exchange,Internet密鑰交換協(xié)議)協(xié)商建立SA。
由于路由選擇問題、對等體重啟等原因,對等體之間可能會失去IP連接,而IKE和IPsec通常都無法感知,在生命周期到來之前,對等體之間的IKE和IPsec?SA將一直存在,會話的一方繼續(xù)對數(shù)據(jù)流進(jìn)行加密,發(fā)送給對端對等體設(shè)備,而對端對等體設(shè)備無法正確解密該數(shù)據(jù)流,由此導(dǎo)致數(shù)據(jù)流丟失,浪費寶貴的CPU資源。
因此,亟需一種設(shè)備間SA同步方案用以解決上述技術(shù)問題。
發(fā)明內(nèi)容
本發(fā)明提供了一種設(shè)備間SA同步方法及設(shè)備,用以解決資源浪費的問題,提高資源的利用率。
為此,本發(fā)明實施例采用如下技術(shù)方案:
本發(fā)明實施例提供一種設(shè)備間SA同步方法,所述方法包括:
IPsec?SA對等體設(shè)備根據(jù)對端IPsec?SA對等體設(shè)備發(fā)起的密鑰交換協(xié)議IKE?SA協(xié)商請求與所述對端IPsec?SA對等體設(shè)備進(jìn)行IKE?SA協(xié)商,并在IKE?SA協(xié)商過程中接收所述對端IPsec?SA對等體設(shè)備發(fā)送過來的該對端IPsec?SA對等體設(shè)備的標(biāo)識信息;其中,IPsec?SA對等體設(shè)備的標(biāo)識信息固定配置且唯一標(biāo)識IPsec?SA對等體設(shè)備;
所述IPsec?SA對等體設(shè)備根據(jù)所述對端IPsec?SA對等體設(shè)備的標(biāo)識信息,查詢本設(shè)備上的IKE?SA?和IPsec?SA,并刪除查詢到的IKE?SA?和IPsec?SA;
所述IPsec?SA對等體設(shè)備在與所述對端設(shè)備協(xié)商的IKE?SA生效之后,根據(jù)生效的IKE?SA,以所述對端IPsec?SA對等體設(shè)備的標(biāo)識信息為索引,建立與所述對端IPsec?SA對等體設(shè)備間的IPsec?SA,其中,所述IKE?SA以所述對端IPsec?SA對等體設(shè)備的標(biāo)識信息為索引。
本發(fā)明實施例還提供一種網(wǎng)絡(luò)設(shè)備,所述網(wǎng)絡(luò)設(shè)備被配置為IPsec?SA對等體設(shè)備,所述網(wǎng)絡(luò)設(shè)備包括密鑰交換協(xié)議IKE?SA協(xié)商模塊和IPsec?SA建立模塊,所述IKE?SA協(xié)商模塊包括:
協(xié)商子模塊,用于根據(jù)對端IPsec?SA對等體設(shè)備發(fā)起的IKE?SA協(xié)商請求與所述對端IPsec?SA對等體設(shè)備進(jìn)行IKE?SA協(xié)商;
獲取子模塊,用于在IKE?SA協(xié)商過程中接收所述對端IPsec?SA對等體設(shè)備發(fā)送過來的該對端IPsec?SA對等體設(shè)備的標(biāo)識信息;其中,IPsec?SA對等體設(shè)備的標(biāo)識信息固定配置且唯一標(biāo)識IPsec?SA對等體設(shè)備;
查詢子模塊,用于根據(jù)所述對端IPsec?SA對等體設(shè)備的標(biāo)識信息,查詢本設(shè)備上的IKE?SA?和IPsec?SA;
刪除子模塊,用于刪除所述刪除子模塊查詢到的IKE?SA?和IPsec?SA;
所述IPsec?SA建立模塊,用于在與所述對端設(shè)備協(xié)商的IKE?SA生效之后,根據(jù)生效的IKE?SA,以所述對端IPsec?SA對等體設(shè)備的標(biāo)識信息為索引,建立與所述對端IPsec?SA對等體設(shè)備間的IPsec?SA,其中,所述IKE?SA以所述對端IPsec?SA對等體設(shè)備的標(biāo)識信息為索引。
與現(xiàn)有技術(shù)相比,本發(fā)明的上述實施例具有以下有益技術(shù)效果:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于杭州華三通信技術(shù)有限公司,未經(jīng)杭州華三通信技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201210471384.6/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:膜分離制氮機(jī)
- 下一篇:鍋爐煙塵凈化裝置
- 傳感設(shè)備、檢索設(shè)備和中繼設(shè)備
- 簽名設(shè)備、檢驗設(shè)備、驗證設(shè)備、加密設(shè)備及解密設(shè)備
- 色彩調(diào)整設(shè)備、顯示設(shè)備、打印設(shè)備、圖像處理設(shè)備
- 驅(qū)動設(shè)備、定影設(shè)備和成像設(shè)備
- 發(fā)送設(shè)備、中繼設(shè)備和接收設(shè)備
- 定點設(shè)備、接口設(shè)備和顯示設(shè)備
- 傳輸設(shè)備、DP源設(shè)備、接收設(shè)備以及DP接受設(shè)備
- 設(shè)備綁定方法、設(shè)備、終端設(shè)備以及網(wǎng)絡(luò)側(cè)設(shè)備
- 設(shè)備、主設(shè)備及從設(shè)備
- 設(shè)備向設(shè)備轉(zhuǎn)發(fā)
- 詞條同步方法及詞條同步裝置
- 一種全局性能最優(yōu)的多中繼選擇方法
- 登錄狀態(tài)的共享方法、裝置、電子設(shè)備及介質(zhì)
- 一種聯(lián)盟積分結(jié)算方法及裝置
- 一種通過區(qū)塊鏈公鏈管理聯(lián)盟鏈成員的方法
- 聯(lián)盟鏈節(jié)點管理系統(tǒng)以及方法
- 支持插件化接入不同區(qū)塊鏈聯(lián)盟鏈網(wǎng)絡(luò)的系統(tǒng)和方法
- 基于聯(lián)盟交換的5G訪問接入點選擇方法
- 分布式無線網(wǎng)絡(luò)頻譜共享系統(tǒng)及共享方法
- 聯(lián)盟鏈系統(tǒng)及聯(lián)盟鏈系統(tǒng)部署方法
