[发明专利]隧道探测方法、终端设备、系统、计算机设备和存储介质

说明书

本发明公开了一种隧道探测方法，能够根据构造的隧道探测报文对隧道进行探测，该隧道探测方法包括：生成隧道探测报文，其中，所述隧道探测报文携带探测标志和隧道标志，所述探测标志表征所述隧道探测报文用于进行隧道探测；确定与所述隧道标志对应的隧道；将所述隧道探测报文封装入所述隧道并发送至对端设备；根据所述对端设备的响应情况确定对所述隧道的探测结果。本公开还提供了另一种隧道探测方法、两种终端设备、一种隧道探测系统、一种计算机设备和一种计算机可读存储介质。

技术领域

本发明涉及计算机技术领域，具体涉及两种隧道探测方法、两种终端设备、一种隧道探测系统、一种计算机设备和一种计算机可读存储介质。

背景技术

虚拟专用网络(Virtual Private Network，简称为VPN)是指在公用网络上通过隧道技术建立的专用网络，使得企业的各分支机构及远程办公用户能够通过VPN接入企业内部网络并提供通讯的安全性。互联网安全协议(Internet Protocol Security，简称为IPSec)是隧道加密协议，是实现VPN功能而最普遍使用的协议，它能为IP(InternetProtocol)网络通信提供透明的安全服务，保障通信的流量免遭窃听和篡改。

IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括：用于IPSec隧道协商的因特网秘钥交换协议(Internet Key Exchange，简称为IKE)、认证报头(Authentication Header，简称为AH)和用于IPSec隧道内数据包的封装的封装安全载荷(Encapsulating Security Payload，简称为ESP)。

使用IPSec隧道保护流量时分为两个阶段，隧道协商阶段和数据传输阶段。隧道协商阶段使用IKE协议进行隧道的协商，用于在两个IPSec对等体(IPsec协议可以在两个端点之间提供安全通信，两个端点被称为IPsec对等体)间协商建立安全联盟(SecurityAssociation，简称为SA)，其协商过程分为两个阶段，第一阶段协商创建一个IKE SA，主要为通信双方建立一个用于保护后续协商报文交互的SA，为双方进一步的二阶段的协商提供经过认证的安全保密的通信通道，第二阶段协商在已建立的IKE SA的保护下进行，将协商建立一个IPSecSA，这是最终为数据传输而建立的安全联盟。隧道协商完成后，就可用二阶段协商出的IPSec SA根据协商出的封装协议ESP或AH及加密、认证算法和密钥来对进入隧道的数据流量进行封装后在隧道上传输发给对端。即在隧道协商阶段中的数据不通过隧道传输，只有在数据传输阶段的数据才通过隧道传输。

当IPsec对等体之间采用IPSec隧道进行通信时，IPSec对等体之间可能会由于路由问题、对等体设备重启或其他原因导致隧道通信中断，这就需要用到IKE对等体的检测机制，当探测到对端已经不存在时可以重新发起新的协商尽快恢复IPSec通信。

在传统的技术中，检测IPSec对等体失效主要依靠IPSec协议本身提供的DPD(DeadPeer Detection)机制，其中一个IPSec对等体通过发送DPD探测报文来检测另一个IPSec对等体是否存活。

但是，发明人在研究本发明的过程中发现：由于DPD探测报文是基于IPSec协议的协商报文的格式，而IPSec数据报文是使用ESP和AH封装格式，因此DPD探测报文不会在隧道中传输，而IPSec数据报文会在隧道中传输，所以实际上DPD探测报文通并不一定表示IPSec的数据流量就能通，比如隧道中间的运营商屏蔽了对于ESP报文的转发则虽然DPD探测报文能通过但是隧道内的数据流量ESP报文则不通，隧道实际不可用。即现有技术中使用DPD探测报文探测时无法探测隧道的通断。

发明内容

本发明的目的在于提供两种隧道探测方法、两种终端设备、一种隧道探测系统、一种计算机设备和一种计算机可读存储介质，能够根据构造的隧道探测报文对隧道进行探测。