[发明专利]一种IPSec隧道故障检测的方法、装置及系统

说明书

技术领域

本发明涉及通信安全技术领域，尤其涉及一种实现IPSec隧道故障检测的方法。

背景技术

IPSec(Intetnet Protocol Security)协议族是IETF(Internet Engineering Task Force)制定的一系列协议，为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。IPSec对网络上传输的IP报文进行加密和认证，保证对端收到的报文的合法性和正确性，且即使被网络上的其它用户侦听到也无法知道报文的真实内容。攻击防范就是检测出多种类型的网络攻击，并能采取相应的措施保护内网免受恶意攻击，保证内部网络及系统的正常运行。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。私有性(Confidentiality)：对用户数据进行加密保护，用密文的形式传送；完整性(Data integrity)：对接收的数据进行验证，以判定报文是否被篡改；真实性(Data Authentication)：验证数据源，以保证数据来自真实的发送者；防重放(Anti-replay)：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

IPSec通过AH(Authentication Header)和ESP(Encapsulating Security Payload)两个安全协议实现了上述目标。为简化IPSec的使用和管理，IPSec还可以通过IKE(Internet Key Exchange)进行自动协商交换密钥，建立和维护安全联盟的服务。

在无线LTE(Long Term Evolution)环境下，eNodeB接入数据核心承载网的典型模式是eNodeB通过租用线路接入承载网路由器，承载网基于MPLS/VPN(Multiprotocol Label Switching/Virtual Private Network)相连，aGW(Access Gateway)也接入到核心承载网络，通过这种组网方式，eNodeB可以通过运营商的承载网和aGW互通。

但这种组网一个比较大的问题就是eNodeB接入承载网路由器的线路安全难以得到保证，特别是运营商从成本的角度考虑采用其它网络运营商的租用线路或者是直接利用Internet接入的情况下，安全性问题就更为严重。用户接入时，eNodeB会通过GTP协议传递用户IMSI(International Mobile Subscriber Identification Number)、鉴权信息等大量敏感信息，随着各种移动业务的开展，会有大量的用户身份、密码、帐号等信息通过GTP协议传送，这些信息如果没有加密保护的话，很容易对用户的安全带来巨大的隐患。

解决这些问题目前IP网络采用的主要技术是IPSec。电信级网络对传输有高可靠性要求，如果链路出现故障，需要快速发现故障并进行切换等恢复操作，保证业务不出现中断。而在使用IPSec的安全组网场景下，现有协议提供的保活功能无法保证快速发现故障。现有的IPSec隧道故障检测使用RFC3706中提供的DPD(Dead Peer Detection)功能，完成对端状态的检查。DPD分为轮询模式和流量触发模式，目前常用的是流量触发模式，即在一定时间内收不到对端的加密报文后，发起DPD检测，经过一定次数重传后仍未得到对端响应则认为链路故障。但是DPD检测速度比较慢，正常情况下发现链路故障的时间须在1分钟以上，满足不了电信级的快速检测需求。

发明内容

本发明实施例提供一种实现IPSec隧道故障检测的方法、装置及系统，实现部署IPSec加密场景下链路故障的快速检测。

为了实现解决上述技术问题，本发明实施例提供如下技术方案：

本发明实施例提供一种在IPSec隧道中建立双向转发检测BFD的方法，该方法包括：

向对端发送密钥交换协议IKE隧道的创建请求报文，所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息；

接收对端发送的IKE隧道的创建确认报文，所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息；

向对端发送IPSec隧道的创建请求报文，所述IPSec隧道的创建请求报文中携带IKE通知载荷，所述IKE通知载荷包含BFD会话的配置信息；

接收对端发送的IPSec隧道的创建确认报文，所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。