[发明专利]一种因特网协议安全隧道切换方法、装置及传输系统

说明书

本申请要求于2011年12月31日提交中国专利局、申请号为201110459548.9、发明名称为“一种因特网协议安全隧道切换方法、装置及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机应用领域，特别是涉及一种因特网协议安全隧道切换的方法、装置及传输系统。

背景技术

因特网协议安全性(IPsec，Internet Protocol Security)，是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯，因此，因特网协议安全IPsec隧道在IP网络上数据的安全传输有着广泛的应用。在实际应用的过程中，为了提高数据传输的可靠性，需要将因特网协议安全IPsec隧道进行备份和切换。

当前因特网协议安全IPsec隧道的备份和切换有双机备份和单机双接口备份两种方式。在进行双机备份时，参见图1，需要两台设备的两个接口分别充当主链路和备份链路的角色，如图中的A接口和B接口两个接口，与隧道接收端分别建立A隧道和B隧道，当其中一台设备或链路故障时，导致一条隧道不可用时，流量被切换到另一台设备上，因特网协议安全IPsec隧道可以通过双机热备的方式或者流量切换后由流量触发的方式实现隧道的切换和备份，从而由另一条隧道传输数据。但是，这种备份的方式必须要同时提供两台设备才能保证因特网协议安全IPsec隧道的成功备份，不适用于中小型网络。

因此，在中小型网络中常见的是单机备份方式。参见图2，在这种方式中，至少需要一台设备的A、B两个接口进行备份，其中所述两个接口一般为以太接口和3G接口，先由其中一个接口，如A接口和隧道接收端建立一条IPSEC隧道，在该条因特网协议安全IPsec隧道down，即不可用时，由对端失效检测模块(DPD，Dead-Peer Detection)检测后，拆除该条因特网协议安全IPSEC隧道，再由另外一个接口，即B接口和所述隧道接收端建立一条因特网协议安全IPsec隧道以传输数据，从而完成了因特网协议安全IPsec隧道的备份和切换。

但是，发明人进过研究发现，在这种方式中，由于两条五元组相同的隧道不能同时建立，这就导致只有当其中一条因特网协议安全IPsec隧道被拆除时，另一条因特网协议安全IPsec隧道才能建立，这就导致隧道在切换过程包括：隧道故障探测、隧道拆除、新隧道重建三个阶段，导致数据的传输过程存在断流，这就延长了数据的传输时间，同时对有些稳定性要求较高的业务，隧道断流过程造成的业务中断会造成极大损失。

发明内容

有鉴于此，本发明的目的在于提供一种因特网协议安全隧道切换方法、装置及传输系统，以解决现有技术中因特网协议安全隧道在切换过程中造成的断流的问题，具体实施方案如下：

一种因特网协议安全隧道切换方法，包括：

建立第一因特网协议安全IPsec隧道，所述第一IPsec隧道用第一隧道标识进行标识，所述第一隧道标识通过第一IPsec隧道的协商报文发送给接收端，以使接收端识别第一IPsec隧道；

检测传输数据的第一IPsec隧道是否可用；

当检测到所述第一IPsec隧道不可用时，在拆除所述第一IPsec隧道之前，协商建立第二IPsec隧道，并将传输数据切换到所述第二IPsec隧道，其中，所述第二IPsec隧道用第二隧道标识进行标识，所述第二隧道标识通过第二IPsec隧道的协商报文发送给接收端，以使接收端识别第二IPsec隧道。

一种因特网协议安全隧道切换装置，包括：

隧道建立模块，用于建立第一因特网协议安全IPsec隧道，所述第一IPsec隧道用第一隧道标识进行标识，所述第一隧道标识通过第一IPsec隧道的协商报文发送给接收端，以使接收端识别第一IPsec隧道；

隧道检测模块，检测传输数据的第一IPsec隧道是否可用；

隧道切换模块，当所述隧道检测模块检测到所述第一IPsec隧道不可用时，在拆除所述第一IPsec隧道之前，协商建立第二IPsec隧道，并将传输数据切换到所述第二IPsec隧道，其中，所述第二IPsec隧道用第二隧道标识进行标识，所述第二隧道标识通过第二IPsec隧道的协商报文发送给接收端，以使接收端识别第二IPsec隧道。