對等體復活檢測的制作方法
【技術領域】
[0001] 本發明設及一種與失效對等體檢測有關的裝置、方法、系統和計算機程序產品。更 具體而言,本發明設及一種用于對等體復活檢測的裝置、方法、系統和計算機程序產品。
【背景技術】
[0002] 縮略語 3GPP;第S代合作伙伴項目AAA;認證、授權和計費 B抑;雙向轉發檢測 CPU;中央處理單元 DNS;域名服務器 DPD;失效對等體檢測 ePDG;演進的分組數據網關 ESP;封裝安全有效載荷 GGSN;網關GPRS支持節點 GPRS;通用分組無線電服務 GSM;全球移動通信系統 GTP;GPRS隧道協議 化R;歸屬位置寄存器 HSxPA;高速分組接入(X;下行鏈路/上行鏈路) IDi;發起方標識 IKE;互聯網密鑰交換 IP;互聯網協議 IPsec;互聯網協議安全 LTE;長期演進 NAT;網絡地址轉化 PDG;分組數據網關 RFC;請求注解(互聯網工程任務組) Rx;接收SA;安全關聯 SAD;安全關聯數據庫 SIP;會話發起協議 SNS;社交聯網服務 SPD;安全策略數據庫 SPI;安全參數索引 TCP;傳輸控制協議 TTG;隧道終止網關Tx;傳送 UMTS;通用移動電信系統 VPN;虛擬專用網絡 WiFi;無線保真標準 WLAN;無線局域網 WiMAX;全球微波接入互操作性。
[0003] 通過不安全的網絡供應安全通信已經成為對于需要數據源認證、加密和數據完整 性的現代應用的成功的關鍵驅動(化iver)之一。IP安全(IPsec)[RFC4301]是提供用于構 建安全的虛擬專用網絡(VPN)的手段的流行協議套件。IPsec伴隨有源(發起方)和目的地 (響應者)之間的諸如互聯網密鑰交換(IKE)之類的密鑰管理方法。IKE協議當前可W被發現 為現代應用中的兩個版本,版本1 (在[RFC2409]中指定的IKEvl)和版本2 (在[Rrc5996] 中指定的IKEv2)。
[0004] 當兩個對等體與IKE和IPSec通信時,兩個對等體之間的連接性可能意外下降。每 當在網絡連接性中存在中斷時,該種情形就出現。例如,在無線鏈路中的衰落事件或路由問 題或不完整的漫游過程將導致兩個對等體之間連接性的不可用性。在該樣的情況下,可能 發生的是:兩個所設及的對等體之一沒有檢測到中斷事件并且保持相信著到另一對等體的 連接仍然"存活";在該樣的情況下,對等體實際上正在保留浪費內部資源(諸如存儲器和處 理能力)的失效(dead)連接。如果該種情況被外推到具有成千上萬個節點(例如擔當VPN 客戶端)的"現場(live)"環境,則保留對未檢測的失效對等體的連接關聯可W對網絡資源 強加顯著的負擔,并且可W在系統容量、吞吐量和服務質量方面有巨大影響。
[0005] 該問題在包含移動設備的系統中是非常重要的,因為由于由陰影、多路徑傳播、用 戶移動性等引起的衰落事件,無線鏈路固有地是不穩定的。
[0006] 為了解決該樣的問題,已經提出了失效對等體檢測(DPD)算法[RFC3706, RF巧996],其嘗試盡快識別失效對等體并將丟失的資源恢復到網絡元件。
[0007] 本申請參考部署了虛擬專用網絡的任何系統,諸如具有失效對等體檢測擴展(參 見圖1)的IPsec/IKE解決方案。例如,本申請應用于安全網關元件巧起到VPN服務器的 作用)。
[0008] 作為更具體的示例,本申請可W應用于(但不限于)WLAN互通系統中的隧道終 止網關(TTG)和分組數據網關(PDG)的設計,所述WLAN互通系統遵守3GPP標準(諸如 巧GPP23. 234])或者是3GPP標準的適配,如在接下來的章節中所述。在圖2中給出該樣的 系統的示例,圖2示出諾基亞西口子網絡(NokiaSiemensNetwork)的智能WLAN連接性解 決方案。
[0009] 圖3圖示用于包括VPN客戶端和VPN服務器的系統的情況的典型消息流程圖,所 述VPN服務器促進客戶端到互聯網或任何服務的連接。
[0010] 安全連接的建立始于IKE協商,其細節在本申請的范圍之外。
[0011] 通過使用已知為發起方標識(IDi-[RFC2409,RF巧996])的唯一標識來認證每個用 戶。所述唯一標識遍及本申請被引用為IDi;請注意:該唯一標識可能被不同地稱呼,該取 決于應用。
[0012] 每個對等體W失效對等體檢測(DPD--有時被稱為"對等體活力(liveliness) 檢測")消息的形式發布另一對等體的周期性活力檢查。如果對等體在特定超時間隔內接 收到DPD響應,或從另一對等體觀察到諸如業務或信令之類的任何其它活動,則對等體被 認為是"存活"的,并且重新調度DPD活力檢查W在tDPD秒之后發生。重新調度的間隔可 W是固定的(例如tDPD=90秒)或者是根據任何算法(例如取決于中斷概率的估計,諸如在 [Tzvetkov07a,TzvetktovO化,TzvetkovO引中提出的機制)而動態的。
[0013] 在對等體離線而沒有恰當地告知另一對等體的情況下(例如通常是無線電中斷或 網絡故障),如圖3中所示,對等體最初不知道另一"失效"對等體。對等體然后觀察到第一 DPD消息沒有被另一對等體回復,因為發生超時。在該情況下,對等體W固定間隔dDPD或者 自適應的間隔(dDPD(i),其中i=l. .n)開始DPD消息的n次重傳(例如n=7)。作為示例,用于 重傳迭代i的間隔可W采取下列形式: dDPD(i) =C*b" (i-1) 其中i=l,2,..n,c和b是常數,其可W自適應地選擇或者被預定義,該取決于應用場景 (例如c=4,b=l. 8)。
[0014] 在其中"失效"對等體仍然不回復的n次重傳之后,對等體設置dDPDfewurt的最終超 時,所述最終超時一旦期滿,就完成另一對等體確實"失效"并且必須釋放會話的證據,因而 從對等體(例如VPN服務器)釋放出系統資源。類似于先前發布的超時間隔,dDPD(giveup)可W 取要么取動態值要么取恒定值(例如dDPD妃veup)=C*b'n,c=4,b=1.8)〇
[001引 由DPD過程恰當地檢測失效對等體所花的總時間由cIdpdtotal給出,ddpuotal等于由 對等體發送的DPD消息的所有超時的總和。例如,對于所有的重傳i=l,2,. .,n,如果cIdpd(i) 被設置為常數a,并且還等于dDpWgiveup>,則dDPD_TOTAI= (n+1)相。
[0016] W上描述是圖示概念的失效對等體檢測的示例。
[0017] 然而,在如由移動終端遇到的移動性或現實傳播條件的情況下,VPN服務器的該種 典型的DPD行為可能導致問題,如下文中所述。
[001引圖4圖示"強制中斷"的問題,其中VPN客戶端短時段地離線("失效")。
[0019] 參照圖4,在該情況下,假定VPN服務器遵循只允許每個IDi-個活動會話的策略。 在許多實際系統中發現此策略,其中在服務器側的實現復雜性和資源利用通過設計被保持 到最小值。
[0020] 通過使用DPD過程,如在先前的段落中所述,VPN服務器能夠檢測"失效"對等體。
[002。 然而,如果在完成DPD過程之前"失效"對等體復活,則新的IKE協商將由VPN月良 務器拒絕。該是因為復活的對等體將發起新的IKE會話(即具有新的標識參數,諸如SPI[RFC2409,Rrc5906])。復活的對等體然后將進入"強制中斷"時段直到DPD過程完成為止 并且必須在該DPD過程結束之后重試連接。
[0022] 在實際的系統中,該"強制中斷"時段取決于策略可W是大約幾分鐘或幾小時,該 導致非常低的可用性和服務質量的度量,該進而對用戶體驗有嚴重影響。此外,取決于相 對在先前的會話實例上DPD過程的發起的對等體復活時間,對等體需要等待直到DPD過程 完成的時間段對于用戶看似為隨機的。在最實際的情況下,因為該"強制中斷"問題的原因 對移動設備的用戶不明顯,用戶將典型地嘗試若干手動重連,所述重連將被拒絕,直到重連 設曰果在"強制中斷"時段之后重新嘗試連接)或者放棄。因而在現場環境中,預期成千上萬 的用戶將在幾分鐘的"強制中斷"時段期間嘗試若干重連,該將進而增加信令業務(對系統 容量有直接影響),并且還將導致觀察到來自所有用戶的非常低的服務質量W及高度的服 務不可用性。
[0023] 從系統設計者的觀點來看,通過在VPN服務器上恰當地配置DPD過程來影響"強 制中斷"的時段是可能的。通常,可W合期望的是設置低的DPD定時器、低的DPD重傳定時 器W及低量的重傳,該將導致較低的"強制中斷"間隔,但是W高度增加(更頻繁)的信令和 相關聯的較低系統容量W及較高的錯誤檢測概率為代價。此外,具有將對失效對等體的及 時發現和錯誤檢測的低概率進行權衡的平衡的配置的策略,如由[RFC6290 ;附錄A. 4]所推 薦,將不解決在實際現場環境中由成千上萬對等體經歷的"強制中斷"問題。
[0024] 毎個IDi《個會話 用于在實際系統中解決"強制中斷"問題的方法之一是允許每個IDi多個會話 [Cisco2012]〇
[00巧]參照圖5,考慮其中對等體建立VPN連接但后來短時段"失效"的情況。使用DPD過程(諸如在先前段落中所述的一個)檢測失效對等體。對等體一復活,它就嘗試被自動接 受的重連。接受重連,即使請求源自相同的設備和用戶。在該一點上,單獨的對等體在服務 器處已經預留兩倍量的資源(例如為管理安全關聯所預留的存儲器和處理能力)。如果對等 體再次短時段"失效",再次復活并嘗試另一個重連,則將建立新的(第S)會話。
[0026] 因而,在服務器允許每個IDi多個會話的情況下,使用DPD檢測來檢測"失效"會 話。然而,DPD過程在實際配置中可能非常慢,如W上已經描述的。此外,在允許具有相同 IDi的多個會話的系統中,可能的是單個對等體的重連速率(變得"失效"并且之后不久復 活)比VPN服務器側的"失效對等體"檢測和資源釋放的速率快得多。在該情況下,單個對 等體將在VPN服務器(例如數據庫存儲器)上W比先前分配給其自己的"失效"實例的資源