(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211087355.X (22)申请日 2022.09.07 (71)申请人 北京国领 科技有限公司 地址 100094 北京市海淀区丰慧中路7号 新 材料创业大厦A座313号 (72)发明人 张建国　王赛　付晓峰　 (51)Int.Cl. H04L 41/0663(2022.01) H04L 9/40(2022.01) (54)发明名称 一种IPSEC加密隧道无延迟热 备份的方法 (57)摘要 本发明公开了一种IPSec加密隧道无延迟热 备份的方法。 以往热备份方法都是主机无法正常 工作时备机建立新的IPSec加密隧道并接管服 务； 本方法中主机和备机同时分别采用相同的SA 参数建立各自的IPSec加密隧道， 正常情况下主 机隧道负责提供加密传输服务， 当主机故障时备 机可使用事 先已建好的隧道立即接管服务， 实现 无延迟切换。 权利要求书1页 说明书3页 附图1页 CN 115499297 A 2022.12.20 CN 115499297 A 1.一种IPSEC加密隧道无延迟热备份的方法， 其特征在于： 所述方法包含IPSec主机 （101） 、 IP Sec备机 （102） 、 远程 IPSec服务 （103） 、 本地计算机 （107） 、 远程计算机 （108） ； 所述IPSec主机 （101） 和所述IPSec备机 （102） 之间通过keepalived等软件协议建立相 互之间的状态 监测机制 （106） ， 以实现一台设备出现故障后， 另一台设备立即能够感知并执 行动作； 主机和备机之间还可以通过 所述监测机制 （10 6） 传输其 他安全参数； 所述IPSec主机 （101） 首先与所述远程IPSec服务 （103） 通过IKE协议完成IPSec握手协 商， 协商出一套SA安全 联盟参数并建立IPSec主加密隧道 （104） ； 接下来所述IPSec主机将该 SA安全联盟参数通过所述监测机制 （106） 传递给所述IPSec备机 （102） ； 所述IPSec备机 （102） 无需重新通过IKE协议再次进行IPSec握手协商， 而是直接使用收到的SA安全联盟参 数建立IPSec备用加密隧道 （10 5） ； 正常情况下， 所述IPSec主机 （101） 会作为提供IPSec服务 的设备， 联合所述远程IPSec 服务 （103） ， 共同为本地计算机 （107） 和远程计算机 （108） 提供网络加密服 务； 当所述IPSec主机 （101） 出现故障时， 所述IPSec备机 （102） 可以通过所述监测机制 （106） 迅速感知； 所述IPSec备机 （102） 可以立即使用事先基于相同的SA安全联盟参数建立 的所述备用加密隧道 （105） 接管所有网络数据的加密需求， 实现IPSec网络加密服务的主 备 无缝、 无延迟切换。权　利　要　求　书 1/1 页 2 CN 115499297 A 2一种IPSEC加密隧道无延迟热备 份的方法 技术领域 [0001]本发明涉及一种计算机网络通讯传输加密系统和技术， 尤其涉及IPSec技术和双 机热备份技术。 背景技术 [0002]IPSec （Internet  Protocol  Security， 互联网安全协议） 是一种通过对IP协议的 分组进行加密和认证来保护IP协议的网络安全传输协议或安全系统。 其中涉及几个概念： 封装安全载荷 （ESP） ， 提供机密性、 数据 源认证、 无连接完整性、 防重放和有限的传 输流机密性； 安全关联 （SA） ， 提供算法和数据包， 提供ES P操作所需的安全参数。 [0003]密钥协议 （IKE） ， 提供通信双方身份认证和对称密码的协商交换。 [0004]有时， 如果IPSec系统软件或硬件出现了故障， 将导致加密隧道断开， 影响业务系 统网络传输 。 因此重要IT系统的IP Sec设备通常需要 进行双机热 备份。 [0005]双机热备系统是集群的最小组成单位， 就是将IPSec系统安装成互为备份的两台 色变， 并且在同一时间内只有一台服务器运行。 当其中运行着的一台服务器出现故障无法 启动时， 另一台备份服务器会迅速的自动启动并运行 （一般为数秒~数分钟左右） ， 从而保证 整个网络系统的正常运行。 双机热备的工作机制实际上是为整个网络系统的中心服务器提 供了一种故障自动恢复能力。 [0006]目前IPSec系统常见的方法是采用keepalived软件和VRRP等协议实现两台设备之 间的联动和故障感知， 当发现主机故障时， 备机立即触发启动IKE协商机制， 临时与远程 IPSec服务协商出一套新的SA安全联盟参数。 这种方案简单、 易于理解和实现， 但是缺点也 很明显： 备机重新进行IKE协商一般需要耗费数秒时间， 这会造成网络加密通讯的链路断 开， 无法实现 瞬时无延迟的主 备切换， 仍然会对业务系统网络传输造成影响， 在极为重要应 用场景中也是 无法容忍的。 发明内容 [0007]针对现有IPSec双机热备方法的不足， 本发明提供了一种IPSec加密隧道 无延迟热 备份的方法， IPSec主机和备机同时分别采用相同的SA参数建立各自的IPSec加密隧道， 正 常情况下主机隧道负责提供加密传输服务， 当主机故障时备机可使用事先已建好的隧道立 即接管服 务， 实现无延迟切换。 [0008]为实现上述目的， 本发明提供如下技 术方案： 一种IPSEC加密隧道无延迟热备份的方法， 其特征在于， 所述方法包含IPSec主机 （101） 、 IP Sec备机 （102） 、 远程 IPSec服务 （103） 、 本地计算机 （107） 、 远程计算机 （108） ； 所述IPSec主机 （101） 和所述IPSec备机 （102） 之间通过keepalived等软件协议建 立相互之间的状态 监测机制 （106） ， 以实现一台设备出现故障后， 另一台设备立即能够感知 并执行动作； 主机和备机之间还可以通过 所述监测机制 （10 6） 传输其 他安全参数；说　明　书 1/3 页 3 CN 115499297 A 3