(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211228174.4 (22)申请日 2022.10.09 (71)申请人 中国电子科技 集团公司第三十 研究 所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 郭栋　陈世康　罗晋　梁嬿良　 姜鹏博　高洋洋　谭觅　朱建明　 陈敏　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 管高峰 (51)Int.Cl. H04L 9/40(2022.01) G06F 9/455(2006.01) (54)发明名称 解决虚拟机迁移与IPsec机制冲突的方法、 设备及介质 (57)摘要 本发明公开了一种解决虚拟机迁移与IPsec 机制冲突的方法、 设备及介质， 其中方法包括以 下步骤： 业务发起方的IPsec网关与虚拟私有云 VPC内其它的IPsec网关通过因特网密钥交换协 议IKE协商建立协商安全联盟即IKE  SA； 在IKE   SA的保护下， 业务发起方的IPsec网关将选定的 IPsec SA信息发送到其它的IPsec网关以建立 IPsec SA， 使虚拟机在不同的IPsec网关所保护 的物理机之间迁移时业务能够自动恢复。 本发明 具有业务不中断、 无需调整配置等优点， 实现了 在IPsec环境下的虚拟机动态迁移， 适合在虚拟 私有云中应用。 权利要求书1页 说明书4页 附图3页 CN 115296939 A 2022.11.04 CN 115296939 A 1.一种解决虚拟机 迁移与IPsec 机制冲突的方法， 其特 征在于， 包括以下步骤： S1. 业务发起方的IPsec网关与虚拟私有云VPC内其它的IPsec网关通过因特网密钥交 换协议IKE协商建立协商安全联盟即IKE  SA； S2. 在IKE SA的保护下， 业务发起方的IPsec网关将选定的IPsec  SA信息发送到其它 的IPsec网关以建立IPsec  SA， 使虚拟 机在不同的IPsec网关所保护的物理机 之间迁移时业 务能够自动恢复。 2.根据权利要求1所述的解决虚拟机迁移与IPsec机制冲突的方法， 其特征在于， 步骤 S1之前还 包括以下步骤： IPsec网关预留SPI段， 不做 自动分配； 业务发起方的IPsec网关生成业务密钥， 从预留 的SPI段中选取一个未使用的SPI值， 指定报文封装模式为传输模式， 指定使用的认证算法 及加密算法， 建立外出 方向IPsec  SA。 3.根据权利要求1所述的解决虚拟机迁移与IPsec机制冲突的方法， 其特征在于， 步骤 S2中， 其它的IPsec网关收到业务发起方发送的IPsec  SA信息后， 能够建立进入方向IPsec   SA， 从而使业务发起方的IPsec网关能够与VPC中其它的IPsec网关建立具有相同的SPI及密 钥的IPsec  SA。 4.根据权利要求3所述的解决虚拟机迁移与IPsec机制冲突的方法， 其特征在于， 步骤 S2中， 当接收业务的虚拟 机迁移到其它物理机上后， 业务发起方的IPsec网关加密后的报文 将被转发至新的IPsec网关。 5.根据权利要求3所述的解决虚拟机迁移与IPsec机制冲突的方法， 其特征在于， 步骤 S2中， 新的IPsec网关通过检索报文 中的SPI能够找到之前建立的进入方 向IPsec SA， 实现 对报文的解密。 6.根据权利要求1所述的解决虚拟机迁移与IPsec机制冲突的方法， 其特征在于， 所述 IPsec SA信息包括S PI、 密钥、 封装 模式、 安全协议、 认证算法和 加密算法。 7.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处理器执行所述计算机程序时实现权利要求1 ‑6任一项所述的解决虚拟机迁移与 IPsec机制冲突的方法的步骤。 8.一种计算机可读存储介质， 存储有计算机程序， 其特征在于， 所述计算机程序被处理 器执行时实现权利要求1 ‑6任一项所述的解决虚拟机 迁移与IPsec 机制冲突的方法的步骤。权　利　要　求　书 1/1 页 2 CN 115296939 A 2解决虚拟机迁移与IPsec机制冲突的方 法、 设备及介质 技术领域 [0001]本发明涉及云计算技术领域， 尤其涉及一种解决虚拟机迁移与IPsec机制冲突的 方法、 设备及 介质。 背景技术 [0002]目前， 在云数据中心内， 虚拟机在不同物理机间进行迁移的情况时有发生， 为保证 虚拟机持续 提供服务， 要求在其迁移前后自身的IP地址和MAC地址保持不变。 [0003]IP网络普遍采用IPsec技术对数据在网络传输时提供加密保护。 在实际应用中， 因 为标准IPsec机制需要将IPsec网关与被 保护的主机或子网进行绑定， 所以在IPsec环 境下， 虚拟机维持地址不变进行动态迁移、 无需人工干预即能持续提供服务的需求无法得到满 足， 虚拟机迁移后需要对涉及与该虚拟机通信提供保护的所有IPsec网关进行安全策 略调 整， 在大规模网络中， 所涉及的配置工作量大且容易出错， 因此急需一种解决虚拟机迁移与 IPsec机制冲突的办法， 以满足虚拟机灵活迁移的需求。 目前， 尚未发现涉及该方法 的相关 研究。 发明内容 [0004]针对云数据中心VPC内采用IPsec技术进行网络层数据保护的环境下， 虚拟机迁移 后的用户业务无法自动恢复、 安全策略调整工作量大且容易出错等问题， 本发明提出一种 解决虚拟机 迁移与IPsec 机制冲突的方法、 设备及 介质。 [0005]本发明采用的技 术方案如下： 一种解决虚拟机 迁移与IPsec 机制冲突的方法， 包括以下步骤： S1. 业务发起方的IPsec网关与虚拟私有云VPC内其它的IPsec网关通过因特网密 钥交换协议 IKE协商建立协商安全联盟即IKE  SA； S2. 在IKE SA的保护 下， 业务发起方的IPsec网关将选定的IPsec  SA信息发送到 其它的IPsec网关以建立IPsec  SA， 使虚拟 机在不同的IPsec网关所保护的物理机 之间迁移 时业务能够自动恢复。 [0006]进一步地， 步骤S1之前还 包括以下步骤： IPsec网关预留SPI段， 不做自动分配； 业务发起方的IPsec网关生成业务密钥， 从 预留的SPI段中选取一个未使用的SPI值， 指定报文封装模式为传输模式， 指定使用的认证 算法及加密算法， 建立外出 方向IPsec  SA。 [0007]进一步地， 步骤S2中， 其它的IPsec网关收到业务发起方发送的IPsec  SA信息后， 能够建立进入方向IPsec  SA， 从而使业务发起方的IPsec网关能够与VPC中其它的IPsec网 关建立具有相同的S PI及密钥的IPsec  SA。 [0008]进一步地， 步骤S2中， 当接收业务的虚拟机迁移到其它物理机上后， 业务发起方的 IPsec网关加密后的报文将被转发至新的IPsec网关。 [0009]进一步地， 步骤S2中， 新的IPsec网关通过检索报文中的SPI能够找到之前建立的说　明　书 1/4 页 3 CN 115296939 A 3