[发明专利]实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构

说明书

技术领域

本发明涉及安全传输技术，尤其涉及一种实现IPSec隧道备份的方法和 一种实现IPSec隧道备份的系统，还涉及一种节点设备和一种组网系统。

背景技术

一方面，为了提高网络的可靠性，核心节点(比如服务器)往往通过两 个或者多个出口网关接入运营网络，以便进行负载分担或者在一个出口网关 出现故障时避免业务流中断；这种情况下，多个出口网关互为主备或者负载 分担。

另一方面，为了保证网络通信的可靠性，节点之间往往在通信中提供 IPSec保护。所谓IPSec(IP Security)，是由Intemet工程任务组(IETF)开 发的、在IP层保护节点间通信流量的通用机制，主要通过封装安全载荷(ESP) 和/或验证头(AH)协议来保护流量，保证两个节点(可称为IPSec对等体) 之间通信的私有性(Confidentiality)、完整性(Data Integrity)、真实性(Data Authentiation)和防重放(Anti-replay)，从而为IP层通信提供了高质量、 可互操作的、基于密码学的安全性保证。其中，私有性是指节点数据进行加 密保护，用密文的形式传送；完整性是指节点对接收的数据进行验证，以判 定报文是否被篡改；真实性是指对数据源进行验证，以保证数据来自真实的 发送者；防重放是指防止恶意节点通过重复发送捕获到的数据包所进行的攻 击，即接收节点会拒绝旧的或者重复的数据包。

需要指出，IPSec工作的先决条件是：两个节点间存在安全联盟(Security Association，SA)，由SA对通信要素进行约定，例如，使用哪种协议(AH、 ESP还是两者结合使用)、协议的操作模式(传输模式或隧道模式)、加密 算法(DES或3DES)、特定流中保护数据的共享密钥以及SA的生存周期 等。可以看出，SA是IPSec的基础，也是IPSec的本质；通过节点上成对的 SA，构成节点之间的IPSec隧道，为数据流提供不同级别的IPSec保护。在 现有技术中，SA可以通过以下两种方式生成：一种是手工方式(manual)； 这种方式下生成SA所需的全部信息都必须手工配置，实现起来相当复杂， 同时不能支持IPSec的一些高级特性例如定时密钥更新，因此主要用于通信 对端节点数量较少的节点，或者用于小型静态网络环境中；另一种是IKE(因 特网密钥交换)自动协商方式；这种方式通过IKE自动协商来创建和维护 SA，由于只需要配置好IKE协商SA所需的信息，配置相对简单，因此是目 前生成SA的主要手段，尤其适用于中、大型的动态网络环境。

可见，在核心节点提供有多个出口网关进行冗余备份并且要求通信 IPSec保护的情况下，其它与核心节点通信的节点必须能够提供到每个出口 网关的连接并且每个连接需要具有相同的SA，才能够支持出口网关的平滑 切换；这在现有技术中是通过链路备份的方式实现的，请参考图1：

网关C通过两个业务接口分别构造到服务器的出口网关A和出口网 关B的链路，并在这两个业务接口上和服务器的出口网关上都配置相同 的SA生成策略；这样，网关C与服务器之间通过互为主备的两条链路 通信连接，当选择网关C与出口网关A之间的链路时，或者当选择网关 C与出口网关B之间的链路时，网关C上相应的业务接口和出口网关之 间将分别基于配置的SA生成策略生成相同的SA(图中虚线所示)，从 而既保证了出口网关的切换，也保证了切换后的链路能够提供同样的 IPSec保护。

上述的链路备份的方案虽然简单且容易控制，但是却存在以下缺陷：

第一、需要为每个节点配置双链路/多链路实现到核心节点的接入备份， 这导致成本居高不下，有些用户甚至不得不牺牲网络可靠性和服务质量，仅 采用单链路接入核心节点；

第二、主备链路的切换是在一条链路异常后才开始建立另一条链路， 即连接备用链路的业务接口是从Down状态进入到Up状态，因此需要重 新进行协商以生成SA从而创建新的、具有相同加密策略的IPSec隧道， 这种情况下，即使采用IKE自动协商的方式也必然导致数据流的暂时中 断，无疑降低了网络的可用性，给用户带来了极大的影响。