本申请要求于 2011年 12月 31 日提交中国专利局、 申请号为

201110459548.9、 发明名称为"一种因特网协议安全隧道切换方� �、 装置及设 备，，的中国专利申请的优先权，以及要求于 2012年 2月 29日提交中国专利局， 申请号为 201210049832.3、 发明名称为 "一种因特网协议安全隧道切换方法、 装置及传输系统" 的中国专利申请的优先权， 上述两个专利申请的全部内容 通过引用结合在本申请中。 技术领域

本发明涉及计算机应用领域， 特别是涉及一种因特网协议安全隧道切换 的方法、 装置及传输系统。

背景技术

因特网协议安全性 （IPsec, Internet Protocol Security) ,是一种开放标准 的框架结构， 通过使用加密的安全服务以确保在 Internet协议 （IP) 网络上 进行保密而安全的通讯， 因此， 因特网协议安全 IPsec隧道在 IP网络上数据 的安全传输有着广泛的应用。 在实际应用的过程中， 为了提高数据传输的可 靠性， 需要将因特网协议安全 IPsec隧道进行备份和切换。

当前因特网协议安全 IPsec隧道的备份和切换有双机备份和单机双接� �� 备份两种方式。 在进行双机备份时， 参见图 1 , 需要两台设备的两个接口分别 充当主链路和备份链路的角色， 如图中的 A接口和 B接口两个接口， 与隧道 接收端分别建立 A隧道和 B隧道， 当其中一台设备或链路故障时， 导致一条 隧道不可用时， 流量被切换到另一台设备上， 因特网协议安全 IPsec隧道可 以通过双机热备的方式或者流量切换后由流量 触发的方式实现隧道的切换和 备份， 从而由另一条隧道传输数据。 但是， 这种备份的方式必须要同时提供 两台设备才能保证因特网协议安全 IPsec隧道的成功备份， 不适用于中小型 网络。

因此，在中小型网络中常见的是单机备份方式 。参见图 2,在这种方式中， 至少需要一台设备的 A、 B两个接口进行备份，其中所述两个接口一般� �以太 接口和 3G接口， 先由其中一个接口， 如 A接口和隧道接收端建立一条 IPsec 隧道， 在该条因特网协议安全 IPsec隧道 down , 即不可用时， 由对端失效检 测模块（ DPD, Dead-Peer Detection )检测后，拆除该条因特网协议安全 IPsec 隧道， 再由另外一个接口， 即 B接口和所述隧道接收端建立一条因特网协议 安全 IPsec隧道以传输数据， 从而完成了因特网协议安全 IPsec隧道的备份 和切换。

但是， 发明人进过研究发现， 在这种方式中， 由于两条五元组相同的隧 道不能同时建立， 这就导致只有当其中一条因特网协议安全 IPsec隧道被拆 除时， 另一条因特网协议安全 IPsec隧道才能建立， 这就导致隧道在切换过 程包括： 隧道故障探测、 隧道拆除、 新隧道重建三个阶段， 导致数据的传输 过程存在断流， 这就延长了数据的传输时间， 同时对有些稳定性要求较高的 业务， 隧道断流过程造成的业务中断会造成极大损失 。 发明内容

有鉴于此， 本发明的目的在于提供一种因特网协议安全隧 道切换方法、 装置及传输系统， 以解决现有技术中因特网协议安全隧道在切换 过程中造成 的断流的问题， 具体实施方案如下：

一种因特网协议安全隧道切换方法， 包括：

建立第一因特网协议安全 IPsec隧道， 所述第一 IPsec隧道用第一隧道 标识进行标识， 所述第一隧道标识通过第一 IPsec隧道的协商报文发送给接 收端， 以使接收端识别第一 IPsec隧道；

检测传输数据的第一 IPsec隧道是否可用；

当检测到所述第一 IPsec隧道不可用时， 在拆除所述第一 IPsec隧道之 前， 协商建立第二 IPsec隧道， 并将传输数据切换到所述第二 IPsec隧道， 其中， 所述第二 IPsec隧道用第二隧道标识进行标识， 所述第二隧道标识通 过第二 IPsec隧道的协商报文发送给接收端， 以使接收端识别第二 IPsec隧 道。

一种因特网协议安全隧道切换装置， 包括：

隧道建立模块，用于建立第一因特网协议安全 IPsec隧道，所述第一 IPsec 隧道用第一隧道标识进行标识， 所述第一隧道标识通过第一 IPsec隧道的协 商报文发送给接收端， 以使接收端识别第一 IPsec隧道；

隧道检测模块， 检测传输数据的第一 IPsec隧道是否可用；

隧道切换模块， 当所述隧道检测模块检测到所述第一 IPsec隧道不可用 时， 在拆除所述第一 IPsec隧道之前， 协商建立第二 IPsec隧道， 并将传输 数据切换到所述第二 IPsec隧道， 其中， 所述第二 IPsec隧道用第二隧道标 识进行标识， 所述第二隧道标识通过第二 IPsec隧道的协商报文发送给接收 端， 以使接收端识别第二 IPsec隧道。

通过本发明实施例提供的方法， 建立第一因特网协议安全 IPsec隧道， 所述第一 IPsec隧道用第一隧道标识进行标识， 检测传输数据的第一 IPsec 隧道是否可用，当检测到所述第一 IPsec隧道不可用时，在拆除所述第一 IPsec 隧道之前， 协商建立第二 IPsec隧道， 并将传输数据切换到所述第二 IPsec 隧道， 通过本发明实施例的方法， 不需要等待第一 IPsec隧道拆除后， 再建 立第二 IPsec隧道， 从而使数据流切换迅速， 减少了故障间隔时间。

附图说明 为了更清楚地说明本发明实施例或现有技术中 的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简 单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1为现有技术中通过双机进行因特网协议安全� �道切换的示意图； 图 2为现有技术中通过单机进行因特网协议安全� �道切换的示意图； 图 3为本发明实施例公开的因特网协议安全隧道� �换方法的工作流程示 意图；

图 4为本发明实施例公开的又一种因特网协议安� �隧道切换方法的工作 流程示意图；

图 5为本发明实施例公开的因特网协议安全隧道� �换装置的结构示意图。

具体实施方式 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例 , 都属于本发明保护的范围。

本发明实施例提供了一种因特网协议安全隧道 切换方法， 用于解决现有 技术中， 单机设备在建立因特网协议安全隧道时， 出现的传输业务中断、 传 输延时的问题。

本发明实施例一提供了一种因特网协议安全隧 道切换方法， 其工作流程 示意图如图 3所示， 包括以下步骤：

步骤 301、 建立第一因特网协议安全 IPsec隧道， 所述第一 IPsec隧道 用第一隧道标识进行标识；

其中， 所述第一隧道标识通过第一 IPsec隧道的协商报文发送给接收端， 以使接收端识别第一 IPsec隧道；

步骤 302、 检测传输数据的第一 IPsec隧道是否可用；

步骤 303、当检测到所述第一 IPsec隧道不可用时，在拆除所述第一 IPsec 隧道之前， 协商建立第二 IPsec隧道， 并将传输数据切换到所述第二 IPsec 隧道， 所述第二 IPsec隧道用第二隧道标识进行标识；

其中， 所述第二隧道标识通过第二 IPsec隧道的协商报文发送给接收端， 以使接收端识别第二 IPsec隧道。

通过本发明实施例提供的方法， 建立第一因特网协议安全 IPsec隧道， 所述第一 IPsec隧道用第一隧道标识进行标识， 检测传输数据的第一 IPsec 隧道是否可用，当检测到所述第一 IPsec隧道不可用时，在拆除所述第一 IPsec 隧道之前， 协商建立第二 IPsec隧道， 并将传输数据切换到所述第二 IPsec 隧道， 通过本发明实施例的方法， 不需要等待第一 IPsec隧道拆除后， 再建 立第二 IPsec隧道， 从而使数据流切换迅速， 减少了故障间隔时间。

在现有技术中， 由于两条传输数据的 IPsec隧道的五元组相同， 因而不 能同时建立。 当一条 IPsec隧道出现故障不可用时， 必须将其拆除后才能重 建另外一条隧道。 而通过本发明实施例中提供的方法， 在第二 IPsec隧道已 经协商建立好之后， 再拆除所述第一 IPsec隧道， 使得数据在传输过程中， 不再需要经过隧道拆除、 重建的过程， 使数据流几乎在不间断的情况下就能 完成切换。

上述步骤 301和步骤 303中， 为了使得接收端获知隧道标识， 以识别第 一 IPsec隧道和第二 IPsec隧道， 需要通过协商报文将隧道标识发送给接收 端， 接收端通过隧道标识区别不同隧道， 使得可以在第一 IPsec隧道未拆除 之前， 完成第二 IPsec隧道的协商建立过程， 而现有技术中， 由于两条传输 数据的 IPsec隧道的五元组相同， 在第一 IPsec隧道未拆除之前， 无法执行 第二 IPsec隧道的协商建立过程。

其中， 当所述协商报文为 IKEvl 协议报文时， 隧道标识承载于隧道协商 报文发起者认证数据 IDci( ID initiator )和响应者认证数据 IDcr( ID responser ) 字段中； 当所述协商报文为 IKEv2协议报文时， 隧道标识承载于隧道协商报 文流量选择符 TS ( Traffic Selector )字段中。 当然， 也可以釆用其他的方式， 承载隧道标识， 本发明不做具体限定。

步骤 302中， 检测传输数据的第一 IPsec隧道是否可用， 可以包括： 当所述第一 IPsec隧道流量小于预设阔值时， 发送探测报文， 以确定所 述第一 IPsec隧道不可用。 当然， 也可以釆用其他的检测第一 IPsec隧道是 否可用方式， 本发明不做具体限定。

上述步骤 303中， 当所述第一 IPsec隧道不可用时，说明所述第一 IPsec 隧道对应的物理链路发生故障， 所述故障可能是路由器被损坏、 交换机发生 故障或者配置被更改等原因所造成的， 在拆除所述第一 IPsec隧道后， 可以 对损坏的部件或更改的配置等进行维护， 从而修护好所述的物理链路。

上述实施例中， 当所述第一 IPsec隧道或所述第二 IPsec隧道传输数据 时， 根据隧道标识查找对应的 IPsec隧道， 通过对应的 IPsec隧道发送数据。 IPsec 隧道协商建立好之后， 隧道发送端及隧道接收端记录并保存与不同 IPsec隧道对应的隧道标识， 在传输数据时， 在会话发起端根据隧道标识查找 对应的 IPsec隧道， 对数据进行封装， 并通过对应的 IPsec隧道发送数据。 这里还可以验证隧道的可用性， 才能通过隧道标识查找对应的 IPsec隧道， 对于新建立的 IPsec隧道和检测可用的 IPsec隧道可以认为是可用的， 标记 相应的隧道标识为可用状态， 发送数据时， 验证隧道标识是否为可用状态， 当隧道标识为可用状态时， 查找对应的 IPsec隧道， 对数据进行封装， 并通 过对应的 IPsec隧道发送数据。

本发明实施例二提供了一种因特网协议安全隧 道切换方法， 其工作流程 示意图如图 4所示， 包括以下步骤：

步骤 401、 根据不同接口类型， 为所述第一 IPsec隧道和所述第二 IPsec 隧道分配不同隧道标识；

步骤 401 中， 选择两个以上的接口， 便于建立相对应的 IPsec隧道， 以 完成隧道的切换， 在实际应用情况下， 一般选择单台计算机内的两个接口， 并分别为这两个接口分配不同的标识即可； 其中， 所述接口的类型包括： 以 太接口、 3G接口、 wifi接口、 令牌环网接口、 FDDI网接口、 ATM网接口或 无线局域网接口， 所述分配的不同的标识包括隧道标识， 本发明实施例中适 用于上述各接口类型， 根据不同需求， 在实际应用情况下， 可以选择多种接 口类型， 以实现 IPsec隧道的建立， 其中， 在为接口分配隧道标识时， 根据 传输数据的稳定性， 为不同接口分配相对应的隧道标识， 有助于先选择较为 稳定的接口传输数据， 使得数据传输的过程更为稳定， 例如， 当现有接口为 3G接口和以太接口时， 由于以太链路在网络中比较稳定， 所以以太接口的优 先级要高于 3G接口。 步骤 402、 403和 404分别与实施例一中的步骤 301、 302和 303对应， 这里不再赘述。

通过本发明实施例提供的方法， 建立第一因特网协议安全 IPsec隧道， 所述第一 IPsec隧道用第一隧道标识进行标识， 检测传输数据的第一 IPsec 隧道是否可用，当检测到所述第一 IPsec隧道不可用时，在拆除所述第一 IPsec 隧道之前， 协商建立第二 IPsec隧道， 并将传输数据切换到所述第二 IPsec 隧道， 通过本发明实施例的方法， 不需要等待第一 IPsec隧道拆除后， 再建 立第二 IPsec隧道， 从而使数据流切换迅速， 减少了故障间隔时间。

本发明实施例还公开了一种因特网协议安全隧 道切换装置， 如图 5所示， 包括：

隧道建立模块 510, 用于建立第一因特网协议安全 IPsec隧道， 所述第 一 IPsec隧道用第一隧道标识进行标识， 所述第一隧道标识通过第一 IPsec 隧道的协商报文发送给接收端， 以使接收端识别第一 IPsec隧道；

隧道检测模块 520, 用于检测传输数据的第一 IPsec隧道是否可用； 隧道切换模块 530,用于当所述隧道检测模块 520检测到所述第一 IPsec 隧道不可用时， 在拆除所述第一 IPsec隧道之前， 协商建立第二 IPsec隧道， 并将传输数据切换到所述第二 IPsec隧道， 所述第二 IPsec隧道用第二隧道 标识进行标识， 所述第二隧道标识通过第二 IPsec隧道的协商报文发送给接 收端， 以使接收端识别第二 IPsec隧道。

所述因特网协议安全隧道切换装置， 还可以包括：

标识分配模块 540, 用于根据不同接口类型， 为所述第一 IPsec隧道和 所述第二 IPsec隧道分配不同隧道标识。

所述因特网协议安全隧道切换装置， 还可以包括：

发送模块 550, 用于当所述第一 IPsec隧道或所述第二 IPsec隧道传输 数据时， 根据隧道标识查找对应的 IPsec隧道， 通过对应的 IPsec隧道发送 数据。

所述隧道检测模块 520, 包括： 流量检测单元 521 , 用于检测所述第一 IPsec隧道流量是否小于预设阔 值；

发送单元 522, 用于当所述流量检测单元检测出所述第一 IPsec隧道流 量小于预设阔值时， 发送探测报文， 以确定所述第一 IPsec隧道不可用。

本发明实施例还公开了一种因特网协议安全隧 道传输系统， 包括： 发送 端和接收端， 所述发送端和接收端之间通过 IPsec隧道传输数据，

其中， 发送端用于建立与接收端第一 IPsec隧道， 所述第一 IPsec隧道 用第一隧道标识进行标识， 所述第一隧道标识通过第一 IPsec隧道的协商报 文， 被发送给接收端， 以使接收端识别第一 IPsec隧道； 发送端检测传输数 据的第一 IPsec隧道是否可用； 当检测到所述第一 IPsec隧道不可用时， 在 拆除所述第一 IPsec隧道之前， 与接收端协商建立第二 IPsec隧道， 并将传 输数据切换到所述第二 IPsec隧道， 所述第二 IPsec隧道用第二隧道标识进 行标识， 所述第二隧道标识通过第二 IPsec隧道的协商报文发送给接收端， 以使接收端识别第二 IPsec隧道；

接收端用于与发送端协商建立 IPsec隧道， 并通过隧道协商报文， 接收 并保存隧道标识， 接收来自发送端的数据。

通过以上的实施方式的描述， 本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的硬件平台的方式来实现 ， 当然也可以全部通过硬件来 实施， 但很多情况下前者是更佳的实施方式。 基于这样的理解， 本发明的技 术方案对背景技术做出贡献的全部或者部分可 以以软件产品的形式体现出 来， 该计算机软件产品可以存储在存储介质中， 如 ROM/RAM、 磁碟、 光盘 等， 包括若干指令用以使得一台计算机设备（可以 是个人计算机， 服务器， 或者网络设备等）执行本发明各个实施例或者 实施例的某些部分所述的方法。

以上对本发明进行了详细介绍， 本文中应用了具体个例对本发明的原理 及实施方式进行了阐述， 以上实施例的说明只是用于帮助理解本发明的 方法 及其核心思想； 同时， 对于本领域的一般技术人员， 依据本发明的思想， 在 具体实施方式及应用范围上均会有改变之处， 综上所述， 本说明书内容不应 理解为对本发明的限制。