[发明专利]一种单板级的IPSec主备方法及装置

说明书

技术领域

本发明涉及网络安全通信领域，更具体的，涉及一种单板级的IPSec主 备方法及装置。

背景技术

IPSec(Internet Protocol Security，IP安全协议)是由IETF(Internet Engineering Task Force，互联网工程任务组)定义的一套在IP层提供安全性 的协议通用路由封装，其给出了应用于IP层上网络数据安全的一整套体系结 构，包括AH(Authentication Header，认证报头协议)、ESP(Encapsulating Security Payload，封装安全载荷协议)、IKE(Internet Key Exchange，因特 网密钥交换协议)和用于网络认证及加密的一些算法等。IPsec是目前应用比 较多的一种网络安全协议，规定了如何在对等层之间选择安全协议、确定安 全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安 全服务。

IPSec单板主备技术是设备为了保证在异常情况下提供的一种冗余服务。 现有的单板主备技术中，对于用IPSec进行保护的报文，由于单板的主备倒 换，将导致业务报文被丢弃而中断，现有主备倒换的过程如下：

1)配置设备的单板主备，与交换机连接，通过交换机再同路由器相连；

2)在端口配置绑定IPSec，设置对等端地址为路由器地址；

3)发起业务流量，设备与路由器正常通讯；

4)控制设备单板进行倒换。

此时，会造成业务流中断，这是由于IPSec具有抗重放的功能，而在进 行主备倒换后，主备板的SA(Security Association，安全关联)报文ID号会 不一致，新的主板(即原备板)发送报文的ID号还是主备板进行同步时的 初始ID号，因此，将落在(接收端)抗重放窗口的左边，从而导致报文将 被丢弃；同时，理论上存在对端发送的报文，可能因为落在本端抗重放窗口 的左边而被丢弃。

目前存在一些针对IPSec的冗余技术，但是对于采用单板主备的设备而 言，其应用都有固定缺陷，下面做一个简单的比较：

方案一：多对等端组网，该方案的关键在于配置两块不同的单板，但是 用同一个对等端。该方案的优点是，对于IPSec处理流程改动很小，完全从 配置上解决。但该方案存在以下缺点：需要一套额外的配置，对于IP资源紧 张的用户很难适应；需要配置非对称路由，对用户的要求比较高；如果两端 都要支持冗余的话，需要增加的配置会有一个2ⁿ的增加，针对复杂环境用户 很难配置。

方案二：配置IPSec到隧道接口，该方案的关键在于把对等端配置到环 回接口，完全不用其它配置，用户容易理解并且配置简单。但该方案的缺点 是：实现较为复杂，为了达到不同接口板的信息同步，会带来大量的同步信 息，而且对于这些同步消息的处理要求很高的及时性，在系统上很难保证。

方案三：设备级冗余，该方案的关键点是在用两个设备通过状态机的维 护来实现冗余。其优点是，可实现设备级别的备份，安全可靠。但如同上一 个方案一样，实现较为复杂，要求大量的同步消息，同时还要求配置维护一 台状态机。

综上所述，有必要对现有单板级的IPSec主备方法进行完善和改进。

发明内容

本发明要解决的技术问题是提供一种单板级的IPSec主备方法，能够在 不用中断业务的情况下，顺利将所有业务从主板切换到备板。

为了解决上述问题，本发明提供了一种单板级的IPSec主备方法，包括：

主板在与对端设备进行因特网密钥交换协议IKE协商成功后，将协商的 安全关联SA信息同步到备板；

接收到所述SA信息后，所述备板将发送SA的出向序列号设置为预定 起始值；并将接收SA的入向序列号设置为最小值。

进一步地，所述方法还包括：

进行主备倒换后，新的主板在更新发送SA的出向序列号时，判断所述 出向序列号是否大于预定阈值，如果是，则进行老化操作，同时触发新的SA 协商过程。

进一步地，所述预定起始值为4290000000至4294967296之间的任意整 数。

进一步地，所述最小值为1。

进一步地，所述预定阈值为4280000000至4290000000之间的任意整数。