[发明专利]用于IP安全/因特网密钥交换安全网关的装置和方法

说明书

背景技术

本发明涉及因特网安全机制。更具体来说且非通过限制方式，本 发明针对用于使用可恢复IP安全/因特网密钥交换安全网关来保障因 特网通信的系统和方法。

本文所使用的简称将具有如下含义：

B-SEG-后备SEG

IKE-因特网密钥交换

IP-因特网协议

IPsec-IP安全

M-SEG-主SEG

PAD-对等认证数据库

SA-安全关联

SAD-安全关联数据库

SADRRQ-SAD恢复请求

SADRRP-SAD恢复回复

SADBRQ-SAD构建请求

SADBRS-SAD构建响应

SADBAck-SAD构建确认

SATP-SA传输协议

SAURP-SA更新回复

SAURQ-SA更新请求

SEG-安全网关

SPD-安全策略数据库

VID-虚拟SEG ID

VIP-虚拟IP

VMAC-虚拟MAC

VRRP-虚拟路由器冗余协议

V-SEG-虚拟安全网关

技术现状的IPsec协议使用标准化数据认证和加密算法对现有IP 版本4和IP版本6标准增加了IP分组的始发地认证 (origination-authentication)和内容保密性(content-confidentiality)。 可以在两个端主机之间建立IPsec保护以保障它们的通信信道，以及 还在两个SEG节点之间建立IPsec保护以保障在内在不安全的网络上 经过的网络间业务。在这两种情况中，端到端IPsec保护依赖于每个 对等节点处单向安全关联(SA)的建立。至少，可以人工方式预先配 置这些SA，这不好扩展。为了缓解配置问题并保护可扩展部署中的 加密密钥，IKE实现通常与IPsec功能一起部署。IKE允许预先描述 每个对等节点之间的SA，从而允许将IPsec SA的实际建立推迟直到 交换业务。可以对IPsec SA施加时间和字节限制，从而限制为其使用 单个密钥的业务的量。一旦这些限制期满，IKE与其对等方重新协商 IPsec SA，并生成用于IPsec加密和认证的全新的密钥。

当启用IPsec/IKE的SEG崩溃时，经IKE动态创建的所有IPsec SA 变得不可使用。不利的是，当协商现有IKE和IPsec SA的设备之一发 生故障时，并不存在一种机制来维护现有的IKE和IPsec SA。尚未存 在一种用于IKE的可恢复性机制(resiliency mechanism)。因此，所有 此类SA被删除并重新协商(如果可能的话)。

图1示出2个SEG 101、102之间的IPsec/IKE 100。假定两个 IPsec/IKE对等方、SEG节点A(SEG-A)101和SEG节点B(SEG-B) 102已在它们之间协商IKE SA和至少一个子IPsec SA。如果SEG-B 102发生故障，则SEG-A 101未立即检测到该故障，并且因此SEG-A 101将继续向SEG-B 102发送数据。因为SEG-B 102已发生故障，所 以它未接收该数据，因此，由SEG-A 101在IPsec SA上发送的所有分 组被黑洞吞噬。当出现此情况时，目前有几个可能的后续事件：

(1)SEG-B 102不重启；

(2)SEG-B 102重启并且SEG-A 101不具有失效对等方检测方案； 或

(3)SEG-B 102重启并且SEG-A 101具有失效对等方检测方案。

如果SEG-B 102不重启，则SEG-A 101无法与SEG-B 102通信， 并且加密的通信将停止。当IPsec SA期满时，SEG-A 101无法协商置 换IPsec SA。在此情况下，SEG-A 101和SEG-B 102之间加密的业务 完全停止。