[发明专利]一种多源安全关联建立方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，特别涉及一种多源安全关联建立方法及系统。

背景技术

由于计算机通信网络存在着诸如信息伪造、篡改、重放、窃听等安全隐患，为了保障网络安全性，IPsec（Internet Protocol Security，IP安全协议）应运而生。1995年8月，IETF（Internet Engineering Task Force，因特网工程任务组）发布了IPsec1.0，历经15年的不断摸索和完善，到目前为止已经形成了一套较为成熟完整、可同时支持IPv4和IPv6的安全协议族，主要用来为IP层网络通信提供安全服务。IPsec最常用于VPN（Virtual Private Network，虚拟专用网），也用于其它协议如MIPv6、OSPF、HIP、SCTP等保护数据流量。IPsec协议族主要包括AH（Authentication Header，认证头）、ESP(Encapsulating Security Payload，封装安全载荷)、IKE（Internet Key Exchange,互联网密钥交换协议）、PKI（Public Key Infrastructure，公共密钥基础设施）等协议，这些内容在RFC4306等标准中得到完整体现。每一项协议都包含了丰富的内容，协议之间既可以单独使用，也可以相互配合以完成更为复杂的功能。

经过多年的发展与整合，对于IPsec协议本身的设计、改进和优化扩展工作已日趋成熟，目前的IPsec研究主要集中于HA（HighAbility，高可用性）协议支持问题。系统高可用性即灾备及容错技术，在自然灾难、技术灾难和人为灾难等直接威胁到了信息系统的功能和性能时，若要中断服务器，并切换至备用的服务器上进行维修和恢复，所付出的成本和带来的损失与影响是巨大的。为此，IPsec的高可用性备份技术应运而生，它多是实现在网关上，依托于计算机的灾备技术衍生而来，称为HA VPN，即高可用性VPN。HA VPN通过配置通信双方的软硬件，使得其中的一端因为某种原因发生故障无法保证业务正常运行时，另一端能够起来再建立一条IPsec连接，保证业务正常运行。

当前的灾备及容错技术主要包括服务器集群技术、双机热备份技术和单机容错技术，容错级别依次由低到高。双机热备分技术是指两台配置完全相同的服务器彼此设为备机，当某一台服务器出现故障时，另一台服务器可以在短时间内将故障服务器的应用接管过来，这种方法对服务器的性能要求比较高，在进行双机互备的软件设计方面，其维护成本也高；单机容错技术是指对系统中所有硬件进行备份，包括CPU、内存和I/O总线等的冗余备份，在发生故障时能够自动分离故障模块，进行模块调换，对损坏的部件进行维护，故障消除后系统会自动重新同步运行，这种方法对系统配置要求高，成本也高；而服务器集群由多台相对独立的主机组成，在实现负载均衡，保证整体性能的同时，对集群内的机器没有上述严格要求，因此使用比较方便，应用更加广泛。在服务器集群技术中，通常所有成员可共享一个IP，使用配置某种协议或硬件的接口来完成，例如使用映射服务器或通过使用任播地址，对端只需要在认证数据库配置一个IP地址即可设置完全备份服务器，将经过的数据流同时复制到另一台机器，来实现同步映射实时切换。

基于服务器或者网关的集群而建立多个备份网关或者服务器以进行灾备及容错是目前主要的研究方向，多台服务器及网关之间的互为备份可以实现多源安全机制，提高整个系统的可用性。有文献提出了一种基于IPsec的高性能VPN系统并行体系结构，称为并行IPsec VPN(Parallel IPsec VPN,简称PVPN)，采用流水线并行处理算法，将CPU与加密卡分为两个功能部件，使其重叠运行，流水作业，从而实现并行操作与系统的多加密卡并行处理；PVPN采用Compact PCI硬件平台，构建多机并行体系，提高了IPsec VPN的处理性能。其中还设计了一个适用于PVPN系统的负载均衡算法，能够有效将加解密报文均匀分发到CPU处理板上，使用集群互备模式，防止CPU处理板发生故障，从而提高了整个系统的高可用性。还有文献提出了一种高可用的双机冗余备份HA-VPN系统、多路聚合和负载均衡的MA-VPN系统、TCP中继和广域网加速的WA-VPN系统，从设备冗余、链路冗余、数据冗余等不同层面的高可用技术来提高IPsec VPN的可用性。