本发明专利技术公开了一种ipsec隧道恢复方法、装置及可读存储介质,其中方法包括,在ipsec隧道协商进程启动后,通过ipsec隧道协商进程检测指定数据库中是否包含目标隧道数据,其中所述指定数据库中记录有ipsec隧道协商成功的历史数据;在指定数据库中存在目标隧道数据,且,存在与所述目标隧道数据相关的查询数据的情况下,根据所述查询数据创建所述目标隧道对应的结构体;基于所创建的结构体恢复ipsec协商。本公开的方法可以按需基于所创建的结构体恢复ipsec协商,由于指定数据库中记录有ipsec隧道协商成功的历史数据,因此只需要一台网关设备即可进行ipsec隧道状态的快速恢复,同时还解决了现有技术中状态同步失败时隧道重新协商导致业务数据丢包问题。导致业务数据丢包问题。导致业务数据丢包问题。
【技术实现步骤摘要】
一种ipsec隧道恢复方法、装置及可读存储介质
[0001]本专利技术涉及信息安全
,尤其涉及一种ipsec隧道恢复方法、装置及可读存储介质。
技术介绍
[0002]互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
[0003]IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:
[0004]数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。
[0005]数据完整性(Data Integrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
[0006]数据来源认证(Data Authentication):IPsec在接收端可以认证发送IPsec报文的发送端是否合法。
[0007]防重放(Anti
‑
Replay):IPsec接收方可检测并拒绝接收过时或重复的报文。
[0008]SA:安全联盟是构成IPSec的基础。SA是两个通信实体经协商建立起来的一种协定。SA决定了用来保护数据包安全的IPSec协议、转码方式、密钥以及密钥的有效存在时间等。
[0009]SADB:安全关联数据库(Security Associations Database)用于存放与SA关联的所有状态数据的存储结构。
[0010]SPDB:安全策略数据库(Security Policy Database)指明所有IP数据报文应使用何种安全服务,以及如何获得这些服务的数据结构。SPDB通常是一个有序的结构,用访问控制列表来描述数据流特性。
[0011]现有的技术中隧道恢复依赖于两台设备的互为备份,隧道异常时需要两台设备进行主备切换。主备防火墙状态同步需要时间,若同步链路有问题则会导致同步不成功,ipsec隧道需要重新协商,进而导致业务数据的丢包。
技术实现思路
[0012]本专利技术实施例提供一种ipsec隧道恢复方法、装置及可读存储介质,用以实现仅用一台设备完成ipsec隧道状态的快速恢复,同时解决现有技术中状态同步失败时隧道重新协商导致业务数据丢包问题。
[0013]本专利技术实施例提供一种ipsec隧道恢复方法,包括:
[0014]在ipsec隧道协商进程启动后,通过ipsec隧道协商进程检测指定数据库中是否包
含目标隧道数据,其中所述指定数据库中记录有ipsec隧道协商成功的历史数据;
[0015]在指定数据库中存在目标隧道数据,且,存在与所述目标隧道数据相关的查询数据的情况下,根据所述查询数据创建所述目标隧道对应的结构体;
[0016]基于所创建的结构体恢复ipsec协商。
[0017]在一些实施例中,所述历史数据的获取方式包括:
[0018]通过所述ipsec隧道协商进程,定时保存协商成功历史中的各条隧道数据的IKE SA数据和IPSEC SA数据,并保持内核SADB数据库和SPDB数据库中的策略不变。
[0019]在一些实施例中,所述历史数据的获取方式还包括:
[0020]计算各条隧道数据的摘要信息,并将计算获得的各摘要信息与各条隧道信息一并保存。
[0021]在一些实施例中,根据所述查询数据创建所述目标隧道对应的结构体之前,还包括:
[0022]在指定数据库中存在目标隧道数据的情况下,根据相应的摘要信息进行数据完整性验证。
[0023]在一些实施例中,确定所述指定数据库中存在与所述目标隧道数据相关的查询数据的方式包括:
[0024]在指定数据库中存在目标隧道数据的情况下,基于所述IKE SA数据和IPSEC SA数据获取对应的查询数据。
[0025]在一些实施例中,还包括在ipsec隧道协商进程启动的同时,启动monitor监控进程;
[0026]所述monitor监控进程被配置为定时检测所述ipsec隧道协商进程是否在运行;
[0027]在检测到所述ipsec隧道协商进程未在运行的情况下,调用指定接口以启动协商进程。
[0028]本专利技术实施例还提供一种ipsec隧道恢复装置,包括处理器,所述处理器被配置为:
[0029]在ipsec隧道协商进程启动后,通过ipsec隧道协商进程检测指定数据库中是否包含目标隧道数据,其中所述指定数据库中包括有ipsec隧道协商成功的历史数据;
[0030]在指定数据库中存在目标隧道数据,且,存在与所述目标隧道数据相关的查询数据的情况下,根据所述查询数据创建所述目标隧道对应的结构体;
[0031]基于所创建的结构体恢复ipsec协商。
[0032]本专利技术实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现本公开各实施例所述的ipsec隧道恢复方法的步骤。
[0033]本专利技术实施例在指定数据库中存在目标隧道数据,且,存在与所述目标隧道数据相关的查询数据的情况下,根据查询数据创建目标隧道对应的结构体,从而可以按需基于所创建的结构体恢复ipsec协商,由于指定数据库中记录有ipsec隧道协商成功的历史数据,因此只需要一台网关设备即可进行ipsec隧道状态的快速恢复,同时还解决了现有技术中状态同步失败时隧道重新协商导致业务数据丢包问题。
[0034]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,
而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0035]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0036]图1为本公开的ipsec隧道恢复方法的基本流程图;
[0037]图2为本公开的ipsec隧道恢复方法的总流程;
[0038]图3为本公开的ipsec隧道恢复方法的交互示意图。
具体实施方式
[0039]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0040]IPsec具有以下优点:
[0041]支持IKE(Internet Ke本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种ipsec隧道恢复方法,其特征在于,包括:在ipsec隧道协商进程启动后,通过ipsec隧道协商进程检测指定数据库中是否包含目标隧道数据,其中所述指定数据库中记录有ipsec隧道协商成功的历史数据;在指定数据库中存在目标隧道数据,且,存在与所述目标隧道数据相关的查询数据的情况下,根据所述查询数据创建所述目标隧道对应的结构体;基于所创建的结构体恢复ipsec协商。2.如权利要求1所述的ipsec隧道恢复方法,其特征在于,所述历史数据的获取方式包括:通过所述ipsec隧道协商进程,定时保存协商成功历史中的各条隧道数据的IKE SA数据和IPSEC SA数据,并保持内核SADB数据库和SPDB数据库中的策略不变。3.如权利要求2所述的ipsec隧道恢复方法,其特征在于,所述历史数据的获取方式还包括:计算各条隧道数据的摘要信息,并将计算获得的各摘要信息与各条隧道信息一并保存。4.如权利要求3所述的ipsec隧道恢复方法,其特征在于,根据所述查询数据创建所述目标隧道对应的结构体之前,还包括:在指定数据库中存在目标隧道数据的情况下,根据相应的摘要信息进行数据完整性验证。5.如权利要求2所述的ipsec隧道恢复方法,其特征在于,确定...
【专利技术属性】
技术研发人员:石亚磊,王耀杰,施德军,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。