本发明属于dpd探测领域,涉及ipsec技术,具体是基于ipsec的dpd探测系统。
背景技术:
ipsec是三层隧道加密协议,是实现三层vpn(virtualprivatenetwork,虚拟专用网络)的安全技术,且ipsec在两个端点之间提供安全通信,两个端点被称为ipsec对等体,分别为ipsec发起方和ipsec响应方;进一步的,ipsec用于在ip层提供以下安全服务:(1)数据机密性:ipsec发送方在通过网络传输报文前对报文进行加密;(2)数据完整性:ipsec响应方对接收报文进行认证,以确保报文在传输过程中没有被篡改;(3)数据来源认证:ipsec响应方可以认证发送ipsec报文的ipsec发送方是否合法;(4)防重放:ipsec响应方可以检测并拒绝接收过时或者重复的报文。为了实现上述安全服务,ipsec提供了认证和加密等两种安全机制;认证机制使ip通信的响应方能够确认报文发送方的真实身份以及报文在传输过程中是否遭篡改;加密机制通过对报文进行加密运算来保证报文的机密性,防止报文在传输过程中被窃听。
此外,sa(securityassociation,安全联盟)是ipsec对等体之间对某些要素的约定;如使用哪种协议(ah(authenticationheader,验证头)、esp(encapsulatingsecuritypayload,封装安全载荷)等)、使用哪种协议封装模式(传输模式、隧道模式等)、使用哪种加密算法等;进一步的,ipsec对等体之间可以通过ike(internetkeyexchange,internet密钥交换)协商建立sa信息,如图1所示,为ipsec与ike的关系示意图;ike通过以下阶段为ipsec进行密钥协商并建立sa;第一阶段,ipsec发起方和ipsec响应方之间建立一个isakmp(internetsecurityassociationandkeymanagementprotocol,internet安全关联和密钥管理协议)sa,该sa为用于进行ike协商的sa(简称为ikesa);第二阶段,利用第一阶段的ikesa为ipsec协商具体的sa,该sa为用于ip数据安全传输的sa(简称为ipsecsa)。
为了在ipsec对等体之间建立ipsec会话,ipsec对等体之间需要有ip连接性,但由于路由选择、对等体重启等原因,ipsec对等体之间可能失去了ip连接性,从而导致ipsec会话的一端继续向不可达的ipsec对端发送进行加密操作的数据流,浪费了cpu(centralprocessingunit,中央处理单元)资源。
但是当前,针对dpd探测仅仅局限于探测技术本身,没有给出优化做法,也没有相应的数据统计,和根据大数据进行统一分析;为了解决这一技术缺陷,现提供一种解决方案。
技术实现要素:
本发明的目的在于提供基于ipsec的dpd探测系统。
本发明的目的可以通过以下技术方案实现:
基于ipsec的dpd探测系统,包括dpd探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元;
其中,所述dpd探测设备与区域划分单元通信连接,所述区域划分单元与数据跟随单元通信连接,所述数据跟随单元与数据回馈单元通信连接,所述数据回馈单元与处理器通信连接,所述处理器上通信连接有决策单元,所述管理单元与处理器信号连接;所述处理器与显示单元、存储单元均为通信连接;
所述dpd探测设备用于检测被探测设备是否存在,具体检测方法如下:
步骤一:在所述dpd探测设备上存在多个安全关联密钥管理协议安全联盟ikesa时,所述dpd探测设备选择所述多个ikesa中最后协商的ikesa,通过选择的ikesa对dpd探测请求报文进行加密处理,并将加密处理后的dpd探测请求报文发送给所述被探测设备;
如果所述dpd探测设备接收到所述被探测设备返回的经过ikesa加密处理的dpd探测响应报文,则利用自身存在的ikesa对所述dpd探测响应报文进行解密处理;如果解密成功,则确定所述被探测设备存在;如果解密不成功或者所述dpd探测设备没有接收到所述被探测设备返回的dpd探测响应报文,则确定所述被探测设备不存在;
步骤二:所述dpd探测设备在将加密处理后的dpd探测请求报文发送给所述被探测设备之后,为所述dpd探测请求报文启动重传定时器;
所述dpd探测设备在解密成功时,检查所述dpd探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测设备存在;
所述dpd探测设备在合法性检查不通过、或解密不成功、或没有接收到dpd探测响应报文时,如果所述重传定时器超时,则向所述被探测设备重新发送加密处理后的dpd探测请求报文,并启动所述重传定时器;并进入确认分析步骤,确认分析步骤具体为:
s1:将dpd探测设备向所述被探测设备发送dpd探测请求报文的次数标记为c;
s2:将重传定时器的倒计时时间标记为dt,c=1...n;dt表示对应第c次发送dpd探测请求报文时重传定时器的倒计时时间;其中t的取值等于c;初始的重传定时器的倒计时时间为d1;
s3:当第一次dpd探测设备在合法性检查不通过、或解密不成功、或没有接收到dpd探测响应报文时,如果所述重传定时器超时,则向所述被探测设备重新发送加密处理后的dpd探测请求报文;将该次发送报文标记为第二次发送报文,即为此时的c=2;
s4:当c≠1时,重传定时器每次倒计时的时间dt=(d1*c)/x1 d1;
s5:当检测到满足dt≥2d1时,产生终点信号;
s6:在产生终点信号之前,若没有收到合法性检查通过的dpd探测响应报文,则表示被探测设备不存在。
进一步地,所述dpd探测设备删除自身存在的所述多个ikesa,并删除自身存在的所述多个ikesa对应的ipsecsa。
进一步地,所述dpd探测设备用于在检测到被探测设备不存在时产生未检测信息,未检测信息包括未检测信号、对应时间戳和所属间设备,所属间设备指代在为检测到被探测设备不存在时的dpd探测设备和被探测设备;所述dpd探测设备用于将未检测信息传输到区域划分单元,所述区域划分单元接收dpd探测设备传输的未检测信息,所述区域划分单元还用于对受控设备进行区域划分,具体划分步骤为:
步骤一:首先获取到受控区域所有的dpd探测设备和被探测设备;
步骤二:以指定面积的矩形覆盖所有受控区域,针对边缘区域,若边缘区域的面积大于正常区域面积一般则将其划分为新的区域,否则合并到任意相邻的平行区域;
步骤三:得到受控分区组si,i=1...m;
步骤四:将对应的每个受控分区组的未检测信息标记为wij,i=1...m,j=1...p;wij表示为受控分区i的未检测信息j;
所述区域划分单元用于将未检测信息wij和受控分区组si传输到数据跟随单元,所述数据跟随单元用于将未检测信息wij和受控分区组si传输到数据回馈单元,所述数据回馈单元接收到数据跟随单元传输的未检测信息wij和受控分区组si,并对二者进行回馈分析,回馈分析的具体步骤为:
s010:获取到所有的未检测信息wij;
s020:进行时段划分,从初始检测时段开始,每间隔t1时段划分为一个时间组段,得到若干个时间组段hl,l=1...o;t1为预设值;
s030:进行区段分析,区段分析的具体步骤为:
s031:任选一受控分区组si;
s032:获取到该受控分区组si的所有未检测信息wij;
s033:根据未检测信息wij的时间戳,得到各个时间组段hl出现未检测信息的次数,将其标记为ril;
s034:当l≤x2时,计算ril的平均值,将其标记为组段均值pd;
s035:根据公式计算稳值wi,
s036:根据公式计算效值qi,q=pd/wi;
s037:当l>x2时,计算近x2组ril的平均值,将其标记为选中组段均值px;近x2组指代时间段位hl,l=o-x2 1...o的时间段;
根据公式计算得到对应受控分区组si的稳值wi,
根据公式计算得到对应受控分区组si的效值qi,q=px/wi;
s038:任选下一受控分区组si;
s039:重复步骤s032-s038,直到对所有的受控分区组si计算完毕;
s039:得到所有的效值qi;
所述数据回馈单元用于将受控分区组si对应的效值qi传输到处理器,所述处理器接收数据回馈单元传输的受控分区组si和对应的效值qi,并将其传输到决策单元,所述决策单元用于对受控分区组si和对应的效值qi进行决策操作,具体操作如下:
ss1:将效值qi低于x3的对应受控分区标记为惯性损伤区域;
ss2:获取到qi低于x3的对应受控分区占所有受控分区组的比例,当该比例大于等于x4时,产生大损信号;
所述决策单元用于在产生惯性损伤区域和大损信号时将二者返回到处理器,所述处理器在接收到决策单元传输的惯性损伤区域时,驱动显示单元显示“存在经常损伤区域,请核查该区域”字眼。
进一步地,所述处理器在接收到决策单元传输的大损信号时,驱动显示单元显示“大部分区域均不稳定,请彻底清查”字眼。
进一步地,所述处理器还用于将惯性损伤区域和大损信号打上时间戳传输到存储单元进行存储。
进一步地,所述管理单元用于录入所有的预设值x1、x2、x3、x4和t1。
本发明的有益效果:
本发明通过dpd探测设备进行探测,对设备的响应情况进行反应,并在第一次没有做出相关响应时,会自动通过相应的规则进行重传定时器进行倒计时,且随着每次倒计时次数的增多,单次计时时间则也会随之变长,当满足一定条件时,还未检测到相应的合法回应,则判定出错;
之后通过对出错次数、出错时间即为本申请中的未检测信息,对其进行跟随分析,首先进行相应的区域划分,之后根据数据跟随单元和相应的数据回馈单元,在指定时间段内的未检测信息情况进行分析,得到各个区域的设备使用安全情况,是否需要局域性的核查分析,还是进行彻底的分析;给出合理的建议,而且还能针对性的对各个单独区域进行评价监控,本发明简单有效,且易于实用。
附图说明
为了便于本领域技术人员理解,下面结合附图对本发明作进一步的说明。
图1为本发明ipsec与ike的关系示意图;
图2为本发明的系统框图。
具体实施方式
如图2所示,基于ipsec的dpd探测系统,包括dpd探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元;
其中,所述dpd探测设备与区域划分单元通信连接,所述区域划分单元与数据跟随单元通信连接,所述数据跟随单元与数据回馈单元通信连接,所述数据回馈单元与处理器通信连接,所述处理器上通信连接有决策单元,所述管理单元与处理器信号连接;所述处理器与显示单元、存储单元均为通信连接;
所述dpd探测设备用于检测被探测设备是否存在,具体检测方法如下:
步骤一:在所述dpd探测设备上存在多个安全关联密钥管理协议安全联盟ikesa时,所述dpd探测设备选择所述多个ikesa中最后协商的ikesa,通过选择的ikesa对dpd探测请求报文进行加密处理,并将加密处理后的dpd探测请求报文发送给所述被探测设备;
如果所述dpd探测设备接收到所述被探测设备返回的经过ikesa加密处理的dpd探测响应报文,则利用自身存在的ikesa对所述dpd探测响应报文进行解密处理;如果解密成功,则确定所述被探测设备存在;如果解密不成功或者所述dpd探测设备没有接收到所述被探测设备返回的dpd探测响应报文,则确定所述被探测设备不存在;
步骤二:所述dpd探测设备在将加密处理后的dpd探测请求报文发送给所述被探测设备之后,为所述dpd探测请求报文启动重传定时器;
所述dpd探测设备在解密成功时,检查所述dpd探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测设备存在;
所述dpd探测设备在合法性检查不通过、或解密不成功、或没有接收到dpd探测响应报文时,如果所述重传定时器超时,则向所述被探测设备重新发送加密处理后的dpd探测请求报文,并启动所述重传定时器;并进入确认分析步骤,确认分析步骤具体为:
s1:将dpd探测设备向所述被探测设备发送dpd探测请求报文的次数标记为c;
s2:将重传定时器的倒计时时间标记为dt,c=1...n;dt表示对应第c次发送dpd探测请求报文时重传定时器的倒计时时间;其中t的取值等于c;初始的重传定时器的倒计时时间为d1;
s3:当第一次dpd探测设备在合法性检查不通过、或解密不成功、或没有接收到dpd探测响应报文时,如果所述重传定时器超时,则向所述被探测设备重新发送加密处理后的dpd探测请求报文;将该次发送报文标记为第二次发送报文,即为此时的c=2;
s4:当c≠1时,重传定时器每次倒计时的时间dt=(d1*c)/x1 d1;
s5:当检测到满足dt≥2d1时,产生终点信号;
s6:在产生终点信号之前,若没有收到合法性检查通过的dpd探测响应报文,则表示被探测设备不存在;
其中,所述dpd探测设备删除自身存在的所述多个ikesa,并删除自身存在的所述多个ikesa对应的ipsecsa。
所述dpd探测设备用于在检测到被探测设备不存在时产生未检测信息,未检测信息包括未检测信号、对应时间戳和所属间设备,所属间设备指代在为检测到被探测设备不存在时的dpd探测设备和被探测设备;所述dpd探测设备用于将未检测信息传输到区域划分单元,所述区域划分单元接收dpd探测设备传输的未检测信息,所述区域划分单元还用于对受控设备进行区域划分,具体划分步骤为:
步骤一:首先获取到受控区域所有的dpd探测设备和被探测设备;
步骤二:以指定面积的矩形覆盖所有受控区域,针对边缘区域,若边缘区域的面积大于正常区域面积一般则将其划分为新的区域,否则合并到任意相邻的平行区域;
步骤三:得到受控分区组si,i=1...m;
步骤四:将对应的每个受控分区组的未检测信息标记为wij,i=1...m,j=1...p;wij表示为受控分区i的未检测信息j;
所述区域划分单元用于将未检测信息wij和受控分区组si传输到数据跟随单元,所述数据跟随单元用于将未检测信息wij和受控分区组si传输到数据回馈单元,所述数据回馈单元接收到数据跟随单元传输的未检测信息wij和受控分区组si,并对二者进行回馈分析,回馈分析的具体步骤为:
s010:获取到所有的未检测信息wij;
s020:进行时段划分,从初始检测时段开始,每间隔t1时段划分为一个时间组段,得到若干个时间组段hl,l=1...o;t1为预设值;
s030:进行区段分析,区段分析的具体步骤为:
s031:任选一受控分区组si;
s032:获取到该受控分区组si的所有未检测信息wij;
s033:根据未检测信息wij的时间戳,得到各个时间组段hl出现未检测信息的次数,将其标记为ril;
s034:当l≤x2时,计算ril的平均值,将其标记为组段均值pd;
s035:根据公式计算稳值wi,
s036:根据公式计算效值qi,q=pd/wi;
s037:当l>x2时,计算近x2组ril的平均值,将其标记为选中组段均值px;近x2组指代时间段位hl,l=o-x2 1...o的时间段;
根据公式计算得到对应受控分区组si的稳值wi,
根据公式计算得到对应受控分区组si的效值qi,q=px/wi;
s038:任选下一受控分区组si;
s039:重复步骤s032-s038,直到对所有的受控分区组si计算完毕;
s039:得到所有的效值qi;
所述数据回馈单元用于将受控分区组si对应的效值qi传输到处理器,所述处理器接收数据回馈单元传输的受控分区组si和对应的效值qi,并将其传输到决策单元,所述决策单元用于对受控分区组si和对应的效值qi进行决策操作,具体操作如下:
ss1:将效值qi低于x3的对应受控分区标记为惯性损伤区域;
ss2:获取到qi低于x3的对应受控分区占所有受控分区组的比例,当该比例大于等于x4时,产生大损信号;
所述决策单元用于在产生惯性损伤区域和大损信号时将二者返回到处理器,所述处理器在接收到决策单元传输的惯性损伤区域时,驱动显示单元显示“存在经常损伤区域,请核查该区域”字眼。
所述处理器在接收到决策单元传输的大损信号时,驱动显示单元显示“大部分区域均不稳定,请彻底清查”字眼。
所述处理器还用于将惯性损伤区域和大损信号打上时间戳传输到存储单元进行存储。
所述管理单元用于录入所有的预设值x1、x2、x3、x4和t1。
基于ipsec的dpd探测系统,在工作时,首先通过dpd探测设备进行探测,对设备的响应情况进行反应,并在第一次没有做出相关响应时,会自动通过相应的规则进行重传定时器进行倒计时,且随着每次倒计时次数的增多,单次计时时间则也会随之变长,当满足一定条件时,还未检测到相应的合法回应,则判定出错;
之后通过对出错次数、出错时间即为本申请中的未检测信息,对其进行跟随分析,首先进行相应的区域划分,之后根据数据跟随单元和相应的数据回馈单元,在指定时间段内的未检测信息情况进行分析,得到各个区域的设备使用安全情况,是否需要局域性的核查分析,还是进行彻底的分析;给出合理的建议,而且还能针对性的对各个单独区域进行评价监控,本发明简单有效,且易于实用。
以上内容仅仅是对本发明结构所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
1.基于ipsec的dpd探测系统,其特征在于,包括dpd探测设备、区域划分单元、数据跟随单元、数据回馈单元、处理器、显示单元、存储单元、管理单元和决策单元;
其中,所述dpd探测设备与区域划分单元通信连接,所述区域划分单元与数据跟随单元通信连接,所述数据跟随单元与数据回馈单元通信连接,所述数据回馈单元与处理器通信连接,所述处理器上通信连接有决策单元,所述管理单元与处理器信号连接;所述处理器与显示单元、存储单元均为通信连接;
所述dpd探测设备用于检测被探测设备是否存在,具体检测方法如下:
步骤一:在所述dpd探测设备上存在多个安全关联密钥管理协议安全联盟ikesa时,所述dpd探测设备选择所述多个ikesa中最后协商的ikesa,通过选择的ikesa对dpd探测请求报文进行加密处理,并将加密处理后的dpd探测请求报文发送给所述被探测设备;
如果所述dpd探测设备接收到所述被探测设备返回的经过ikesa加密处理的dpd探测响应报文,则利用自身存在的ikesa对所述dpd探测响应报文进行解密处理;如果解密成功,则确定所述被探测设备存在;如果解密不成功或者所述dpd探测设备没有接收到所述被探测设备返回的dpd探测响应报文,则确定所述被探测设备不存在;
步骤二:所述dpd探测设备在将加密处理后的dpd探测请求报文发送给所述被探测设备之后,为所述dpd探测请求报文启动重传定时器;
所述dpd探测设备在解密成功时,检查所述dpd探测响应报文的合法性;如果合法性检查通过,则停止所述重传定时器,确定所述被探测设备存在;
所述dpd探测设备在合法性检查不通过、或解密不成功、或没有接收到dpd探测响应报文时,如果所述重传定时器超时,则向所述被探测设备重新发送加密处理后的dpd探测请求报文,并启动所述重传定时器;并进入确认分析步骤,确认分析步骤具体为:
s1:将dpd探测设备向所述被探测设备发送dpd探测请求报文的次数标记为c;
s2:将重传定时器的倒计时时间标记为dt,c=1...n;dt表示对应第c次发送dpd探测请求报文时重传定时器的倒计时时间;其中t的取值等于c;初始的重传定时器的倒计时时间为d1;
s3:当第一次dpd探测设备在合法性检查不通过、或解密不成功、或没有接收到dpd探测响应报文时,如果所述重传定时器超时,则向所述被探测设备重新发送加密处理后的dpd探测请求报文;将该次发送报文标记为第二次发送报文,即为此时的c=2;
s4:当c≠1时,重传定时器每次倒计时的时间dt=(d1*c)/x1 d1;
s5:当检测到满足dt≥2d1时,产生终点信号;
s6:在产生终点信号之前,若没有收到合法性检查通过的dpd探测响应报文,则表示被探测设备不存在。
2.根据权利要求1所述的基于ipsec的dpd探测系统,其特征在于,所述dpd探测设备删除自身存在的多个ikesa,并删除自身存在的多个ikesa对应的ipsecsa。
3.根据权利要求1所述的基于ipsec的dpd探测系统,其特征在于,所述dpd探测设备用于在检测到被探测设备不存在时产生未检测信息,未检测信息包括未检测信号、对应时间戳和所属间设备,所属间设备指代在为检测到被探测设备不存在时的dpd探测设备和被探测设备;所述dpd探测设备用于将未检测信息传输到区域划分单元,所述区域划分单元接收dpd探测设备传输的未检测信息,所述区域划分单元还用于对受控设备进行区域划分,具体划分步骤为:
步骤一:首先获取到受控区域所有的dpd探测设备和被探测设备;
步骤二:以指定面积的矩形覆盖所有受控区域,针对边缘区域,若边缘区域的面积大于正常区域面积一般则将其划分为新的区域,否则合并到任意相邻的平行区域;
步骤三:得到受控分区组si,i=1...m;
步骤四:将对应的每个受控分区组的未检测信息标记为wij,i=1...m,j=1...p;wij表示为受控分区i的未检测信息j;
所述区域划分单元用于将未检测信息wij和受控分区组si传输到数据跟随单元,所述数据跟随单元用于将未检测信息wij和受控分区组si传输到数据回馈单元,所述数据回馈单元接收到数据跟随单元传输的未检测信息wij和受控分区组si,并对二者进行回馈分析,回馈分析的具体步骤为:
s010:获取到所有的未检测信息wij;
s020:进行时段划分,从初始检测时段开始,每间隔t1时段划分为一个时间组段,得到若干个时间组段hl,l=1...o;t1为预设值;
s030:进行区段分析,区段分析的具体步骤为:
s031:任选一受控分区组si;
s032:获取到该受控分区组si的所有未检测信息wij;
s033:根据未检测信息wij的时间戳,得到各个时间组段hl出现未检测信息的次数,将其标记为ril;
s034:当l≤x2时,计算ril的平均值,将其标记为组段均值pd;
s035:根据公式计算稳值wi,
s036:根据公式计算效值qi,q=pd/wi;
s037:当l>x2时,计算近x2组ril的平均值,将其标记为选中组段均值px;近x2组指代时间段位hl,l=o-x2 1...o的时间段;
根据公式计算得到对应受控分区组si的稳值wi,
根据公式计算得到对应受控分区组si的效值qi,q=px/wi;
s038:任选下一受控分区组si;
s039:重复步骤s032-s038,直到对所有的受控分区组si计算完毕;
s039:得到所有的效值qi;
所述数据回馈单元用于将受控分区组si对应的效值qi传输到处理器,所述处理器接收数据回馈单元传输的受控分区组si和对应的效值qi,并将其传输到决策单元,所述决策单元用于对受控分区组si和对应的效值qi进行决策操作,具体操作如下:
ss1:将效值qi低于x3的对应受控分区标记为惯性损伤区域;
ss2:获取到qi低于x3的对应受控分区占所有受控分区组的比例,当该比例大于等于x4时,产生大损信号;
所述决策单元用于在产生惯性损伤区域和大损信号时将二者返回到处理器,所述处理器在接收到决策单元传输的惯性损伤区域时,驱动显示单元显示“存在经常损伤区域,请核查该区域”字眼。
4.根据权利要求3所述的基于ipsec的dpd探测系统,其特征在于,所述处理器在接收到决策单元传输的大损信号时,驱动显示单元显示“大部分区域均不稳定,请彻底清查”字眼。
5.根据权利要求3所述的基于ipsec的dpd探测系统,其特征在于,所述处理器还用于将惯性损伤区域和大损信号打上时间戳传输到存储单元进行存储。
6.根据权利要求3所述的基于ipsec的dpd探测系统,其特征在于,所述管理单元用于录入所有的预设值x1、x2、x3、x4和t1。
技术总结