专利名称:IPSec SA协商方法及装置的制作方法
技术领域:
本发明涉及网络安全技术领域,特别涉及一种IPSec SA协商方法及装置。
背景技术:
IPSecCIP Security, IP(Internet Protocol,因特网协议)安全)是IETF(InternetEngineering Task Force,因特网工程任务组)制定的为保证在Internet上传送数据的安全加密性能的框架协议。IPSec是一种三层隧道加密协议,为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN (VirtualPrivate Network,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPSec隧道来传输用户的私有数据,并在IP层提供以下安全服务>数据机密性(Confidentiality) :IPSec发送方在通过网络传输包前对包进行加
r I I O>数据完整性(Data Integrity) :IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。>数据来源认证(Data Authentication) IPSec在接收端可以认证发送IPSec报文的发送端是否合法。>防重放(Anti-R印lay) :IPSec接收方可检测并拒绝接收过时或重复的报文。IPSec包括报文验证头(Authentication Header, AH)协议和封装安全载荷协议(Encapsulating Security Payload, ESP)两个协议,其中,AH可提供数据源验证和数据完整性校验功能,ESP除了可以提供数据验证和完整性校验功能外,还提供对IP报文的加密功能。IKE (Internet Key Exchange,因特网密钥交换协议)是IPSec的信令协议,为IPSec提供了自动协商交换密钥、建立安全联盟(Security Association, SA)的服务,能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。IKE不是在网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。IKE具有一套自保护机制,可以在不安全的网络上安全的分发密钥,验证身份,建立IPSec安全联盟。图I是IPSec与IKE的关系图。图I中,IPSec在两个端点(如图I中的Router A和Router B)之间提供安全通信,端点被称为IPSec对等体。SA是IPSec对等体之间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。IPSec可通过IKE协商建立SA。SA是单向的,在两个对等体之间的双向通信,最少需要两个SA来分别对两个方向的数据流进行安全保护。同时,如果两个对等体希望同时使用AH和ESP来进行安全通信,则每个对等体都会针对每一种协议来构建一个独立的SA。通过IKE协商建立的SA具有生存周期(Life Time)。IKE协商建立的SA的生存周期有以下两种定义方式
>基于时间的生存周期,定义了一个SA从建立到失效的时间;>基于流量的生存周期,定义了一个SA允许处理的最大流量。生存周期到达指定的时间或指定的流量,SA就会失效。SA失效前,IKE将为IPSec协商建立新的SA,这样,在旧的SA失效之前,新的SA就需要准备好。在新的SA开始协商而没有协商好之前,继续使用旧的SA保护通信。在新的SA协商好之后,则采用新的SA保护通信。IKE使用了两个阶段为IPSec进行密钥协商并建立SA,分别称为第一阶段和第二阶段(I)第一阶段在网络上建立IKE SA,为其它协议的协商(第二阶段)提供保护和快速协商。通过协商创建一个通信信道,并对该信道进行认证,为双方进一步的IKE通信提供机密性、消息完整性以及消息源认证服务。主要有主模式(Main Mode)和野蛮模式 (Aggressive Mode)两种 IKE 交换方式。(2)第二阶段在第一阶段中建立的IKE SA的保护下,为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA,采用快速模式(Quick Mode)进行协商。参照RFC2409,对于IKE第二阶段协商,快速模式下的交互过程定义如下Initiator (发起方)Responder (响应方)----------- -----------HDR*,HASH(l), SA, Ni[,KE] [,IDci, IDcr]—— HDR*,HASH (2),SA, Nr[, KE] [, IDci, IDcr]HDR*, HASH (3)—由上可知,快速模式下,通信双方(发起方和响应方)通过3条报文完成IPSec SA的协商第一条报文由发起方发送需要对端协商的所有信息,例如IPSec策略定义的协议(AH、ESP)、加密算法、认证算法等,还包含有可供验证的hash (哈希)摘要;即HDR*,HASH(l), SA, Ni[, KE] [, IDci, IDcr]第二条报文由响应方发送选定的IPSec协议(AH、ESP)、加密算法、认证算法等,包含有可供验证的hash摘要;即HDR*,HASH (2),SA, Nr[,KE] [,IDci, IDcr]第三条报文由发起方发送一条加密了的hash摘要,用以确认协商完成。即HDR*,HASH (3)现有技术在快速模式下进行IPSec SA的协商过程中,IKE协商的发起方是在发送第三条报文后,即刻将协商出的SA下发给IPSec进行数据流保护,而IKE协商的响应方是在收到第三条报文后,将SA下发给IPSec进行数据流保护。这样,就可能导致以下问题在初次协商IPSec SA时,发起方在发送第三条报文后,即刻将协商出的SA下发给IPSec,而响应方是在收到第三条报文后,将SA下发给IPSec。如果第三条报文在网络上传输时有延时或者出现丢包,那么,发起方发送的IPSec加密报文可能会在响应方尚未收到第三条报文的情况下,就已经到达了响应方,而此时响应方尚未将SA下发给IPSec,从而导致响应方的IPSec无法解密IPSec加密报文,导致瞬时流量抖动或流量中断。另外,在SA生命周期超时重新协商SA时,发起方在发送第三条报文后以新SA替换旧SA,响应方在收到第三条报文后以新SA替换旧SA。如果第三条报文在网络上传输时有延时或者出现丢包,那么,发起方使用新SA加密的IPSec加密报文可能会在响应方尚未收到第三条报文的情况下,就已经到达了响应方,而此时响应方尚未将新SA下发给IPSec,从而无法解密发起方使用新SA加密的报文,导致SA重协商过程中的流量抖动或者流量中断。
发明内容
本发明提供了一种IPSec SA协商方法及装置,应用于IKE协商第二阶段的快速模式下的IPSec SA协商过程,旨在解决现有技术在IPSec SA初次协商和重协商过程中,存在 的瞬时流量抖动或者流量中断的问题。本发明的技术方案如下一方面,提供了一种应用于IKE协商第二阶段的IPSec SA协商方法,包括响应方在接收到发起方发来的第一条报文之后,生成并下发本次协商出的SA ;响应方回复第二条报文给发起方;响应方在接收到发起方发来的使用本次协商出的SA加密的IPSec加密报文之后、或者在接收到发起方发来的第三条报文之后,使用本次协商出的SA进行数据流保护,其中,第一条报文、第二条报文和第三条报文是快速模式下,发起方和响应方完成IPSecSA协商所使用的三条报文。另一方面,还提供了一种IPSec SA协商装置,包括接收模块,用于接收发起方发来的第一条报文、第三条报文、以及使用本次协商出的SA加密的IPSec加密报文'Sk生成下发模块,用于在接收模块接收到发起方发来的第一条报文之后,生成并下发本次协商出的SA ;发送模块,用于在SA生成下发模块下发了本次协商出的SA之后,回复第二条报文给发起方;IPSec模块,用于在接收模块接收到发起方发来的使用本次协商出的SA加密的IPSec加密报文之后、或者在接收模块接收到发起方发来的第三条报文之后,使用本次协商出的SA进行数据流保护,其中,第一条报文、第二条报文和第三条报文是因特网密钥交换协议IKE协商第二阶段的快速模式下,完成IPSec SA协商所使用的三条报文。本发明的以上技术方案中,响应方在接收到发起方发来的快速模式第一条报文之后、以及在发送快速模式第二条报文给发起方之前,就生成SA并下发给IPSec,后续,在接收到发起方发来的使用本次协商的SA加密的IPSec报文或者快速模式第三条报文时,生效上述下发的SA,使用该SA进行数据流保护。这样,即使在由于第三条报文传输延迟或者中途丢包、而导致发起方发来的使用本次协商的SA加密的IPSec报文先于第三条报文到达响应方的情况下,响应方也可以正常使用下发的本次协商的SA解密该IPSec报文,可以保证发起方与响应方之间的双向流量不断流。通过改变响应方本次协商出的SA的下发时机以及生效时机,解决了现有技术在IPSec SA初次协商和重协商过程中,存在的瞬时流量抖动或者流量中断的问题。
图I是相关技术中IPSec与IKE的关系图;图2是根据本发明的实施例一的IPSec SA协商方法的流程图;图3是根据本发明的实施例二的初次协商IPSec SA时的交互时序图;图4是根据本发明的实施例三的因SA软超时而重新协商IPSec SA时的交互时序图;图5是根据本发明的实施例四的IPSec SA协商装置的一种结构示意图;图6是根据本发明的实施例四的IPSec SA协商装置的另一种结构示意图。
具体实施方式
实施例一为了解决现有技术在IPSec SA初次协商和重协商过程中,存在的响应方瞬时流量抖动或者流量中断的问题,本发明实施例提供了一种IKE协商第二阶段的快速模式下的IPSec SA协商方法,该方法由协商的响应方执行。如图2所示,包括以下步骤步骤S202,响应方在接收到发起方发来的第一条报文之后,生成并下发本次协商出的SA;在IKE第二阶段协商过程中,首先由协商的发起方发送第一条报文给响应方,其中,携带有需要响应方协商的所有安全参数,例如,IPSec策略定义的协议(AH、ESP)、加密算法、认证算法等,还包含有可供验证的hash摘要。响应方在接收到第一条报文之后,根据第一条报文中携带的需要响应方协商的所有安全参数,选择与自己匹配的安全参数,例如选定的协议类型、加密算法、验证算法等,然后,根据自己选择的安全参数,生成SA并下发给IPSec。由于在接收到第一条报文之后、发送第二条报文之前,响应方实际上已经可以根据自己选取的协议类型、加密算法、验证算法以及密钥材料等生成SA 了,因此,响应方可以在接收到第一条报文之后、发送第二条报文之前就生成并下发SA给IPSec,而无需等到收到了第三条报文之后才下发SA。其中,针对重协商的情况,为了区分本次协商生成的SA与此时正在使用的SAJf本次协商生成的SA称为新SA,而将此时正在使用的SA称为旧SA。步骤S204,响应方回复第二条报文给发起方;在生成并下发了 SA之后,响应方就向发起方回复第二条报文,其中,携带有响应方选择的安全参数,例如选定的协议类型(AH、ESP或两者的结合)、加密算法、验证算法等。发起方在接收到第二条报文之后,就会根据响应方选择的安全参数生成SA,向响应方回复第三条报文,然后,将生成的SA下发给IPSec。步骤S206,响应方在接收到发起方发来的使用本次协商出的SA加密的IPSec加密报文之后、或者在接收到发起方发来的第三条报文之后,使用本次协商出的SA进行数据流保护(包括使用该SA对发起方发来的使用本次协商出的SA加密的IPSec加密报文进行解密和/或使用该SA加密数据流并发送给发起方)。在初次协商时,响应方的IPSec在接收到发起方发来的使用该SA加密的IPSec加密报文之后、或者在接收到该发起方发来的第三条报文之后,使用该SA解密接收到的IPSec加密报文或者加密要发送给发起方的数据流。
在重协商时,响应方的IPSec在接收到该发起方发来的使用新SA加密的IPSec加密报文之后、或者在接收到该发起方发来的第三条报文之后,将旧SA切换为新SA并使用新SA解密接收到的IPSec加密报文或者加密要发送给发起方的数据流。本实施例中的第一条报文、第二条报文和第三条报文是IKE协商第二阶段的快速模式下,发起方和响应方完成IPSec SA协商所使用的三条报文。这三条报文的格式和含义均与现有技术相同,这里不再赘述。本发明实施例中,响应方在接收到发起方发来 的快速模式第一条报文之后、以及在发送快速模式第二条报文给发起方之前,就生成SA并下发给IPSec,后续,在接收到发起方发来的使用本次协商的SA加密的IPSec报文或者快速模式第三条报文时,生效上述下发的SA,使用该SA进行数据流保护。这样,即使在由于第三条报文传输延迟或者中途丢包、而导致发起方发来的使用本次协商的SA加密的IPSec报文先于第三条报文到达响应方的情况下,响应方也可以正常使用下发的本次协商的SA解密该IPSec报文,可以保证发起方与响应方之间的双向流量不断流。通过改变响应方本次协商出的SA的下发时机以及生效时机,解决了现有技术在IPSec SA初次协商和重协商过程中,存在的瞬时流量抖动或者流量中断的问题。另外,由于IKE协商第二阶段的协商过程是受IKE第一阶段协商出的IKE SA保护的,所以本发明实施例并不会降低IKE第二阶段协商的安全性。实施例二如图3所示,在IKE第二阶段协商的快速模式下,发起方和响应方在初次协商IPSec SA时的交互流程可以如下步骤S302,IKE协商的发起方发送第一条报文给协商的响应方;步骤S304,响应方在接收到第一条报文之后,根据报文中携带的安全参数,选择与自己匹配的安全参数,并根据选定的安全参数生成SA ;步骤S306,响应方将生成的SA下发给IPSec ;步骤S308,响应方发送第二条报文给发起方,该报文中携带有响应方在步骤S304中选定的安全参数;步骤S310,发起方在接收到第二条报文之后,根据报文中携带的响应方选定的安全参数,生成SA ;步骤S312,发起方向响应方发送第三条报文,以结束协商过程;步骤S314,发起方将在步骤S310中生成的SA下发给IPSec ;步骤S316,发起方的IPSec使用步骤S314中下发的SA加密数据流,并将加密得到的IPSec加密报文发送给响应方;步骤S318,响应方的IPSec在接收到发起方在步骤S312中发送的第三条报文、或者在接收到发起方在步骤S316中发送的IPSec加密报文后,使在步骤S306中下发的SA生效,并使用该SA解密发起方发来的IPSec加密报文。对于SA的初次协商过程,协商的发起方使用IPSec SA加密的报文到达响应方后,响应方已经在发送快速模式第二条报文之前就已经向IPSec下发了 SA,即使快速模式第三条报文延迟到达响应方或者中途丢包,响应方也可以正常解密IPSec加密报文。实施例三
如图4所示,在IKE第二阶段协商的快速模式下,发起方和响应方在重新协商IPSec SA时的交互流程可以如下步骤S402,旧SA软超时,触发协商的发起方进行IPSec SA的重新协商;步骤S404,发起方发送第一条报文给协商的响应方;步骤S406,响应方在接收到第一条报文之后,根据报文中携带的安全参数,选择与自己匹配的安全参数,并根据选定的安全参数生成新SA ;步骤S408,响应方将生成的新SA下发给IPSec ;步骤S410,响应方发送第二条报文给发起方,该报文中携带有响应方在步骤S406中选定的安全参数;
步骤S412,发起方在接收到第二条报文之后,根据报文中携带的响应方选定的安全参数,生成新SA ;步骤S414,发起方向响应方发送第三条报文,以结束协商过程;步骤S416,发起方将在步骤S412中生成的新SA下发给IPSec,并使用该新SA ;步骤S418,发起方的IPSec使用步骤S416中下发的新SA加密数据流,并将使用新SA加密得到的新IPSec加密报文发送给响应方;为了区分使用旧SA加密得到的IPSec报文与使用新SA加密得到的IPSec报文,将使用旧SA加密得到的IPSec报文称为旧IPSec加密报文,将使用新SA加密得到的IPSec报文称为新IPSec加密报文。步骤S420,响应方的IPSec在接收到发起方在步骤S414中发送的第三条报文、或者在接收到发起方在步骤S418中发送的新IPSec加密报文后,将旧SA切换为在步骤S408中下发的新SA;步骤S422,响应方使用该新SA解密发起方发来的新IPSec加密报文。在步骤S420之前,发起方与响应方之间仍然使用旧SA加密和解密数据流进行通
o对于重协商过程,涉及到新旧SA的切换时机,协商的发起方在发送快速模式第三条报文后下发新SA,并通知IPSec切换旧SA为新SA,使用新SA加密报文,旧SA等待硬超时删除。协商的响应方在发送快速模式第二条报文之前将新SA下发给IPSec,但是并不立即切换旧SA为新SA,因为此时发起方尚未切换新SA,响应方如果有数据流发往发起方,则仍旧使用旧SA加密报文。响应方需要等待如下两个时机中的任何一个满足时才进行新旧SA的切换(I)收到了发起方使用新SA加密的IPSec加密报文;( 2 )收到了快速模式第三条报文。IPSec SA的重协商过程通过采用上述新SA下发时机和新旧SA切换时机,就可以保证发起方和响应方之间的双向流量不断流。实施例四针对上述实施例一和三中的方法,本发明实施例提供了一种IPSec SA协商装置,该装置可以是任意的可以进行IKE协商第二阶段的快速模式下的IPSec SA协商的装置,例如可以是路由器、防火墙、网关设备等。如图5所述,该装置包括接收模块10、SA生成下发模块20、发送模块30和IPSec模块40,其中接收模块10用于接收发起方发来的第一条报文、第三条报文、以及使用本次协商出的SA加密的IPSec加密报文;SA生成下发模块20用于在接收模块10接收到发起方发来的第一条报文之后,生成并下发本次协商出的SA给IPSec模块40 ;发送模块30用于在SA生成下发模块20下发了本次协商出的SA之后,回复第二条报文给发起方;IPSec模块40用于在接收模块10接收到发起方发来的使用该本次协商出的SA加密的IPSec加密报文之后、或者在接收模块10接收到发起方发来的第三条报文之后,使用该本次协商出的SA进行数据流保护,其中,第一条报文、第二条报文和第三条报文是IKE协商第二阶段的快速模式下,完成IPSec SA协商所使用的三条报文。
其中,如图6所示,SA生成下发模块20可以进一步包括匹配模块202、生成模块204以及下发模块206,其中在初次协商IPSec SA时,匹配模块202根据接收模块10接收到的第一条报文中携带的需要本装置协商的所有安全参数,选择与本装置匹配的安全参数;然后,生成模块204根据匹配模块202选择的安全参数,生成SA ;并由下发模块206将生成模块204生成的SA下发给IPSec模块40。在因旧SA超时而重新协商IPSec SA时,为了与旧SA进行区分,生成模块204根据匹配模块202选择的安全参数生成的本次协商出的SA可以称为新SA,下发模块206将生成模块204生成的新SA下发给IPSec模块40。之后,IPSec模块40在接收到发起方发来的使用本次协商出的SA (在重协商时,即为新SA)加密的IPSec加密报文之后、或者在接收到发起方发来的第三条报文之后,使用该SA (在重协商时,即相当于将旧SA切换为新SA,并使用该新SA)进行数据流保护,即解密发起方发来的IPSec加密报文或者加密要发给发起方的报文。综上,本发明以上实施例可以达到以下技术效果响应方在接收到发起方发来的快速模式第一条报文之后、以及在发送快速模式第二条报文给发起方之前,就生成SA并下发给IPSec,后续,在接收到发起方发来的使用本次协商的SA加密的IPSec报文或者快速模式第三条报文时,生效上述下发的SA,使用该SA进行数据流保护。这样,即使在由于第三条报文传输延迟或者中途丢包、而导致发起方发来的使用本次协商的SA加密的IPSec报文先于第三条报文到达响应方的情况下,响应方也可以正常使用下发的本次协商的SA解密该IPSec报文,可以保证发起方与响应方之间的双向流量不断流。通过改变响应方本次协商出的SA的下发时机以及生效时机,解决了现有技术在IPSec SA初次协商和重协商过程中,存在的瞬时流量抖动或者流量中断的问题。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种因特网协议安全IPSec安全联盟SA协商方法,应用于因特网密钥交换协议IKE协商第二阶段,其特征在于,包括 响应方在接收到发起方发来的第一条报文之后,生成并下发本次协商出的SA ; 所述响应方回复第二条报文给所述发起方; 所述响应方在接收到所述发起方发来的使用所述本次协商出的SA加密的IPSec加密报文之后、或者在接收到所述发起方发来的第三条报文之后,使用所述本次协商出的SA进行数据流保护,其中,所述第一条报文、第二条报文和第三条报文是快速模式下,发起方和响应方完成IPSec SA协商所使用的三条报文。
2.根据权利要求I所述的方法,其特征在于,所述生成并下发本次协商出的SA包括 在初次协商IPSec SA时,所述响应方根据所述第一条报文中携带的需要所述响应方协商的所有安全参数,选择与自己匹配的安全参数; 所述响应方根据自己选择的安全参数,生成SA并下发给IPSec。
3.根据权利要求2所述的方法,其特征在于,所述响应方在接收到所述发起方发来的使用所述本次协商出的SA加密的IPSec加密报文之后、或者在接收到所述发起方发来的第三条报文之后,使用所述本次协商出的SA进行数据流保护包括 所述响应方的IPSec在接收到所述发起方发来的使用所述SA加密的IPSec加密报文之后、或者在接收到所述发起方发来的第三条报文之后,使用所述SA进行数据流保护。
4.根据权利要求I所述的方法,其特征在于,所述生成并下发本次协商出的SA包括 在因旧SA超时而重新协商IPSec SA时,所述响应方根据所述第一条报文中携带的需要所述响应方协商的所有安全参数,选择与自己匹配的安全参数; 所述响应方根据自己选择的安全参数,生成新SA并下发给IPSec。
5.根据权利要求4所述的方法,其特征在于,所述响应方在接收到所述发起方发来的使用所述本次协商出的SA加密的IPSec加密报文之后、或者在接收到所述发起方发来的第三条报文之后,使用所述本次协商出的SA进行数据流保护包括 所述响应方的IPSec在接收到所述发起方发来的使用所述新SA加密的IPSec加密报文之后、或者在接收到所述发起方发来的第三条报文之后,将所述旧SA切换为所述新SA ;使用所述新SA进行数据流保护。
6.一种因特网协议安全IPSec安全联盟SA协商装置,其特征在于,包括 接收模块,用于接收发起方发来的第一条报文、第三条报文、以及使用本次协商出的SA加密的IPSec加密报文; SA生成下发模块,用于在所述接收模块接收到发起方发来的第一条报文之后,生成并下发所述本次协商出的SA; 发送模块,用于在所述SA生成下发模块下发了所述本次协商出的SA之后,回复第二条报文给所述发起方; IPSec模块,用于在所述接收模块接收到所述发起方发来的使用所述本次协商出的SA加密的IPSec加密报文之后、或者在所述接收模块接收到所述发起方发来的所述第三条报文之后,使用所述本次协商出的SA进行数据流保护,其中,所述第一条报文、第二条报文和第三条报文是因特网密钥交换协议IKE协商第二阶段的快速模式下,完成IPSec SA协商所使用的三条报文。
7.根据权利要求6所述的装置,其特征在于,所述SA生成下发模块包括 匹配模块,用于在初次协商IPSec SA时,根据所述第一条报文中携带的需要本装置协商的所有安全参数,选择与本装置匹配的安全参数; 生成模块,用于根据所述匹配模块选择的安全参数,生成SA ; 下发模块,用于将所述生成模块生成的SA下发给所述IPSec模块。
8.根据权利要求7所述的装置,其特征在于,所述IPSec模块具体用于在接收到所述发起方发来的使用所述SA加密的IPSec加密报文之后、或者在接收到所述发起方发来的所述第三条报文之后,使用所述SA进行数据流保护。
9.根据权利要求6所述的装置,其特征在于,所述SA生成下发模块包括 匹配模块,用于在因旧SA超时而重新协商IPSec SA时,根据所述第一条报文中携带的需要所述本装置协商的所有安全参数,选择与本装置匹配的安全参数; 生成模块,用于根据所述匹配模块选择的安全参数,生成新SA ; 下发模块,用于将所述生成模块生成的新SA下发给所述IPSec模块。
10.根据权利要求9所述的装置,其特征在于,所述IPSec模块具体用于在所述接收模块接收到所述发起方发来的使用所述新SA加密的IPSec加密报文之后、或者在所述接收模块接收到所述发起方发来的所述第三条报文之后,将所述旧SA切换为所述新SA,并使用所述新SA进行数据流保护。
全文摘要
本发明公开了一种IPSec SA协商方法及装置,其中,方法包括响应方在接收到发起方发来的第一条报文之后,生成并下发本次协商出的SA;响应方回复第二条报文给发起方;响应方在接收到发起方发来的使用本次协商出的SA加密的IPSec加密报文之后、或者在接收到发起方发来的第三条报文之后,使用本次协商出的SA进行数据流保护,其中,第一条报文、第二条报文和第三条报文是快速模式下,发起方和响应方完成IPSec SA协商所使用的三条报文。本发明通过改变响应方本次协商出的SA的下发时机以及生效时机,解决了现有技术在IPSec SA初次协商和重协商过程中,存在的瞬时流量抖动或者流量中断的问题。
文档编号H04L29/06GK102761553SQ201210255520
公开日2012年10月31日 申请日期2012年7月23日 优先权日2012年7月23日
发明者王佩龙 申请人:杭州华三通信技术有限公司