一种删除因特网协议安全安全联盟的方法和设备的制作方法

文档序号:7551498阅读:133来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种删除因特网协议安全安全联盟的方法和设备的制作方法
技术领域
本申请涉及通信技术领域,特别涉及一种删除因特网协议安全安全联盟的方法和设备。
背景技术
因特网协议安全(IP Security,IPsec)是互联网工程任务组(IETF)制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层虚拟专用网络(Virtual Private Network, VPN)的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据,并在IP层提供了以下安全服务:数据机密性(Confidentiality)、数据完整性(Data Integrity)、数据来源认证(Data Authentication)和防重放(Ant1-Replay)。IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。IPsec在两个端点之间提供安全通信,端点被称为IPsec对等体。安全联盟(SA)是通信对等体间对某些要素的约定,例如,使用哪种协议,是AH协议,还是ESP协议,或者两者结合使用。协议的封装模式,如传输模式、隧道模式;加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。IPsec可通过因特网密钥交换(IKE)协商建立SA共分两个阶段。第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个因特网安全联盟和密钥管理协议(ISAKMP) SA,例如主模式(Main Mode)和野蛮模式(Aggressive Mode)两种IKE交换方法。第一阶段,用在第一阶段建立的安全隧道为IPsec协商安全服务,即为IPsec协商具体的SA,建立用于最终的IP数据安全传输的IPsec SA。IPsec是一种对等体到对等体的技术,要在IPsec对等体之间建立IPsec会话,它们之间必须有IP连接性,由于路由选择问题、对等体重启等原因,对等体之间可能失去了IP连接性,IKE和IPsec通常都无法感知这一点,在生命周期到来之前,对等体之间的IKE和IPsec SA将一直存在,IPsec会话的中断将引发黑洞,导致数据流丢失,对等体需要尽快发现这个黑洞,主要原因在于会话的一方继续往不可达的对等体的数据流进行加密操作,这将大大浪费宝贵的CPU资源,其次,由于无法检测到对等体的故障,备用对等体也无法激活。通常情况下,两台设备之间建立一个IKE SA,但是会建立很多IPsec SA以便针对不同的流量采取不同的保护策略,也就是在每台设备上,存在一个IKE SA以及从属于该IKESA的很多IPsec SA。在这种情况下,在一端设备上,可以通过命令行将与另一端设备关联的所有IPsec SA删除。在IPsec SA较少的情况下,使用这种方式发送删除消息,可以达到让对端也删除IPsec SA的目的,但是,如果存在大量IPsec SA的情况下,由于本端设备的发送缓冲区大小有限,可能会丢失发送的删除消息,同样,由于接收方的接收缓冲区大小有限,对端可能会丢失收到的消息,导致两端的IPsec SA不一致。两端的IPsec SA不一致就会导致黑洞问题。

发明内容
有鉴于此,本申请提供一种删除因特网协议安全安全联盟的方法和设备,能够在保证通信两端的IPsec SA 一致时,降低CPU资源的占用以及网络带宽的负担。为解决上述技术问题,本发明的技术方案是这样实现的:一种删除因特网协议安全安全联盟IPsec SA的方法,应用于通过IPsec提供安全通信的两个设备中的任一设备,包括:该设备需要删除任一因特网密钥交换安全联盟IKE SA对应的满足第一预设条件的IPsec SA时,向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的报文,并删除本地该IKE SA对应的满足第一预设条件的IPsec SA ;该设备接收到对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。一种设备,可应用于通过因特网协议安全IPsec提供安全通信的网络中,所述设备包括:收发单元和删除单元;所述收发单元,用于需要删除任一 IKE SA对应的满足第一预设条件的因特网协议安全安全联盟IPsec SA时,向对端设备发送删除该因特网密钥交换安全联盟IKE SA对应的满足第一预设条件IPsec SA的报文;接收对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文;所述删除单元,用于当需要删除任一 IKE SA对应的满足第一预设条件的IPsec SA时,删除本地该IKE SA对应的满足第一预设条件的IPsec SA ;当所述收发单元接收到对端设备发送的,删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。综上所述,本申请通过在本端设备需要删除某一 IKE SA对应的满足预设条件的IPsec SA时,向对端设备发送删除该IKE SA对应的满足预设条件的IPsec SA的报文,并删除本地满足预设条件的所有IPsec SA ;本端设备接收到对端设备发送的删除某一 IKESA对应的满足预设条件的IPsec SA的报文时,删除该IKE SA对应的满足预设条件的所有IPsec SA。能够在保证通信两端的IPsec SA—致时,降低CPU资源的占用以及网络带宽的负担。


图1为本发明实施例一中删除IPsec SA的方法流程示意图;图2为本发明实施例二中删除IPsec SA的方法流程示意图;图3为ISAKMP头的格式示意图;图4为本发明实施例二中给出的一种实现第一扩展类型的载荷的格式示意图;图5为本发明实施例三中删除IPsec SA的方法流程示意图;图6为删除载荷的格式示意图7为本发明实施例四中设备删除IPsec SA的方法流程示意图;图8为本发明实施例三中第二扩展类型载荷格式示意图;图9为本发明实施例五中删除IKE SA的方法流程示意图;图10为本发明具体实施例中应用于上述技术的设备的结构示意图。
具体实施例方式为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案作进一步地详细说明。本发明具体实施例中提出一种删除IPsec SA的方法,应用于通过IPsec提供安全通信的两个设备中的任一设备。该设备在需要删除任一 IKE SA对应的满足第一预设条件的IPsec SA时,向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的报文,使对端设备删除该IKE SA对应的满足第一预设条件IPsec SA,并删除本地该IKE SA对应的满足第一预设条件的IPsec SA0能够在保证通信两端的IPsec SA—致时,降低CPU资源的占用以及网络带宽的负担。实施例一参见图1,图1为本发明实施例一中删除IPsec SA的方法流程示意图。具体步骤为:步骤101,设备需要删除任一 IKE SA对应的满足第一预设条件的IPsec SA时,向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的报文,并删除本地该IKESA对应的满足第一预设条件的IPsec SA。本步骤中任一 IKE SA对应的满足第一预设条件的IPsec SA可以为该IKE SA对应的所有IPsec SA,也可以为该IKE SA对应的部分IPsec SA。在现有实现中当需要删除某个IKE SA对应的一个以上IPsec SA时,需发送与IPsec SA个数相同的报文,使对端删除对应的IPsec SA ;而本发明具体实施例中通过发送一个报文,通知对端删除满足第一预设条件的所有IPsec SA。对端设备在接收到该报文时,根据报文内容删除该IKE SA对应的满足第一预设条件的IPsec SA。步骤102,该设备接收到对端设备发送的,删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsecSA0实施例二参见图2,图2为本发明实施例二中删除IPsec SA的方法流程示意图。具体步骤为:步骤201,设备需要删除任一 IKE SA对应的满足第一预设条件的IPsec SA时,向对端设备发送报文,该报文包括=ISAKMP头和第一扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第一扩展类型,该第一扩展类型定义为删除IKE SA对应的满足第一预设条件的IPsec SA ;在第一扩展类型的载荷中携带第一预设条件。本步骤中向对端发送的删除任一 IKE SA对应的满足第一预设条件的IPsec SA报文时,通过ISAKMP头和第一扩展类型的载荷组成该报文。参见图3,图3为ISAKMP头的格式示意图。本实施例的实现需将下一载荷的类型填充为第一扩展类型,并定义为删除IKE SA对应的满足第一预设条件的IPsec SA。第一扩展类型的值可以为128到255范围内的任一数值。这个范围内的值是RFC2408中定义的私有用途取值。参见图4,图4为本发明实施例二中给出的一种实现第一扩展类型的载荷的格式示意图。图4中,为了对端设备能够接收解析该报文中的第一扩展载荷,其中的下一载荷(Next Payload)、预留(RESERVED)、载荷长度(Payload Length)和描述范围(D0I)字段同删除载荷的格式及内容,可以通过TLV方式携带第一预设条件,如标识为I到10的IPsec SA填充到Value字段中。步骤202,该设备删除本地该IKE SA对应的满足第一预设条件的IPsec SA。步骤203,该设备接收到对端设备发送的报文,获取该报文的ISAKMP头中的下一个载荷的类型,若获得的下一个载荷的类型为第一扩展类型,确定删除IKE SA对应的满足第一预设条件的IPsec SA,则从接收报文的ISAKMP头中获得IKE SA,第一扩展类型的载荷中获得第一预设条件,根据获得的第一预设条件以及IKE SA,在本地查找到该IKE SA对应的满足第一预设条件的所有IPsec SA,并删除。本步骤中从接收报文的ISAKMP头中获得IKE SA包括:在ISAKMP头中的Cookie字段中查询到IKE SA,进而获知需要删除该IKE SA对应的IPsec SA。两端设备通过IKE协商建立IPsec SA时,会在两端都维护IKE SA对应的所有IPsec SA。因此在获得IKE SA后,再在该IKE SA对应的IPsec SA中查找满足预设条件的IPsec SA。本实施例中通过新增加一个载荷类型来实现发一个报文就能够删除需要删除的IPsec SA,不受缓冲区大小的限制,能够在保证通信两端的IPsec SA—致时,降低CPU资源的占用以及网络带宽的负担,进而避免黑洞的产生。实施例三以设备需要删除某一 IKE SA的所有IPsec SA为例,详细描述本发明具体实施例中如何删除IPsec SA。参见图5,图5为本发明实施例三中删除IPsec SA的方法流程示意图。具体步骤为:步骤501,设备需要删除任一 IKE SA的所有IPsec SA时,向对端设备发送报文,该报文包括=ISAKMP头和Delete载荷;其中在Delete载荷中配置安全参数索引(SPI)值和SPI个数,表明该SPI是删除IKE SA对应的所有IPsec SA。本步骤中向对端设备发送的报文同现有向对端设备发送的报文一样,包含ISAKMP头和Delete载荷。参见图6,图6为删除载荷的格式示意图。本发明实施例三中不修改该载荷中的字段信息,只是在Delete载荷中配置SPI值和SPI个数同现有实现不同,来表明该SPI是删除IKE SA对应的所有IPsec SA。在具体实现时,如SPI值配置为0,SPI个数配置为I。因为SPI值为0是系统保留的,因此可以利用这个字段来实现。步骤502,该设备删除本地该IKE SA对应的所有IPsec SA。步骤503,该设备接收到对端设备发送的报文,若根据该报文的Delete载荷中SPI值和SPI个数,确定删除IKE SA的所有IPsec SA时,从接收报文的ISAKMP头中获得IKESA,在本地查找到该IKE SA对应的所有IPsec SA,并删除。
该设备接收到对端设备发送的报文时,当该报文携带的是删除载荷,且载荷中SPI值为0,SPI个数为I时,确定删除IKE SA的所有IPsec SA。实施例四以设备需要删除某一 IKE SA的所有IPsec SA为例,详细描述本发明具体实施例中如何删除IPsec SA。参见图7,图7为本发明实施例四中设备删除IPsec SA的方法流程示意图。具体步骤为:步骤701,设备需要删除任一 IKE SA的所有IPsec SA时,向对端设备发送报文,该报文包括=ISAKMP头和第二扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第二扩展类型,该第二扩展类型定义为删除IKE SA的所有IPsec SA。本实施例中通过新增第二扩展类型载荷来实现删除指定的IKE SA对应的所有IPsec SA。参见图8,图8为本发明实施例三中第二扩展类型载荷格式示意图。图8中的Next Payload (I字节):下一个载荷类型,这里已经是最后一个载荷,所以填充NONE,取值为0 !Reserved (I字节):保留字段,填充0 ;Payload Length (2字节):该载荷的长度,取值为8 ;D0I (4字节):对应IPsec D0I,取值为I。同图6中删除载荷类型的部分内容一致。该第二扩展类型载荷内容的增加只是为了保持在报文格式上的完整。第二扩展类型的取值在128到255范围内即可,并且不同于已用于其他载荷类型的数值即可。步骤702,该设备删除本地该IKE SA对应的所有IPsec SA。步骤703,该设备接收到对端设备发送的报文,获的该报文的ISAKMP头中的下一个载荷的类型,若获得的下一载荷的类型为第二扩展类型,确定删除IKE SA的所有IPsecSA,则从接收报文的ISAKMP头中获得IKE SA,在本地查找到该IKE SA对应的所有IPsecSA,并删除。 实施例五本实施例中详细描述如何删除满足第二预设条件的IKE SA。参见图9,图9为本发明实施例五中删除IKE SA的方法流程示意图。具体步骤为:步骤901,设备需要删除满足第二预设条件的IKE SA时,向对端设备发送删除满足第二预设条件的IKE SA的报文,该报文包括=ISAKMP头和第三扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第三扩展类型,该第三扩展类型定义为删除满足第二预设条件的IKE SA ;在第三扩展类型的载荷中携带第二预设条件。在具体实现中,本实施例中第三扩展类型的载荷可以采用如图4中的载荷格式,不同之处仅是通过新增字段填充第二预设条件。第三扩展类型的取值在128到255范围内即可,并且不同于已用于其他载荷类型的数值即可。步骤902,该设备删除本地满足第二预设条件的IKE SA。步骤903,该设备接收到对端设备发送报文时,获得该报文的ISAKMP头中的下一载荷类型,若获得的下一载荷类型为第三扩展类型,确定删除满足第二预设条件的IKE SA,则从接收报文的第三扩展类型的载荷中获得第二预设条件,在本地查找到满足获得的第二预设条件的所有IKE SA,并删除。如果满足第二预设条件的IKE SA为两端设备建立的所有IKE SA,还可以通过定义具体的载荷类型来实现即可,这里不再赘述。
本发明具体实施例中基于同样的发明构思,还提出一种设备,可应用于通过IPsec提供安全通信的网络中。参见图10,图10为本发明具体实施例中应用于上述技术的设备的结构示意图。该设备包括:收发单元1001和删除单元1002。收发单元1001,用于需要删除任一 IKE SA对应的满足第一预设条件的IPsec SA时,向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的报文;接收对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文。删除单元1002,用于当需要删除任一 IKE SA对应的满足第一预设条件的IPsecSA时,删除本地该IKE SA对应的满足第一预设条件的IPsec SA ;当收发单元1001接收到对端设备发送的,删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。较佳地,收发单元1001,用于向对端设备发送的删除该IKE SA对应的满足第一预设条件的IPsec SA的报文,包括:ISAKMP头和第一扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第一扩展类型,该第一扩展类型定义为删除IKE SA对应的满足第一预设条件的IPsec SA ;在第一扩展类型的载荷中携带所述第一预设条件。删除单元1002,用于获得所述收发单元接收的报文的ISAKMP头中的下一个载荷的类型,若获得的下一个载荷的类型为第一扩展类型,确定删除IKE SA对应的满足第一预设条件的IPsec SA,则从接收报文的ISAKMP头中获得IKE SA,第一扩展类型的载荷中获得所述第一预设条件,根据获得的第一预设条件以及IKE SA,在本地查找到该IKE SA对应的满足第一预设条件的所有IPsec SA,并删除。较佳地,收发单元1001,用于当所述满足第一预设条件的IPsec SA为所有的IPsec SA时,向对端设备发送的删除该IKE SA对应的满足第一预设条件的IPsec SA的报文,包括ISAKMP头和Delete载荷;其中在Delete载荷中配置SPI值和SPI个数,表明该SPI是删除IKE SA对应的所有IPsec SA。删除单元1002,用于根据该报文的Delete载荷中SPI值和SPI个数,若确定删除IKE SA的所有IPsec SA,从接收报文的ISAKMP头中获得IKE SA,在本地查找到该IKE SA对应的所有IPsec SA,并删除。较佳地,收发单元1001,用于当所述满足第一预设条件的IPsec SA为所有的IPsec SA时,向对端设备发送的删除该IKE SA对应的满足预设条件的IPsec SA的报文,包括ISAKMP头和第二扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第二扩展类型,该第二扩展类型定义为删除IKE SA的所有IPsec SA。删除单元1002,用于从收发单元1001接收报文的ISAKMP头中获取下一个载荷的类型,若获取的下一载荷类型为第二扩展类型的载荷,确定删除满足条件的IKE SA的所有IPsec SA,则从接收报文的ISAKMP头中获得IKE SA,在本地查找到该IKE SA对应的所有IPsec SA,并删除。较佳地,收发单元1001,进一步用于需要删除满足第二预设条件的IKE SA时,向对端设备发送删除满足第二预设条件的IKE SA的报文,发送的报文包括=ISAKMP头和第三扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第三扩展类型,该第三扩展类型定义为删除满足第二预设条件的IKE SA ;在第三扩展类型的载荷中携带第二预设条件;接收对端设备发送的删除满足第二预设条件的IKE SA的报文。删除单元1002,进一步用于需要删除满足第二预设条件的IKE SA时,删除本地满足第二预设条件的IKE SA ;当收发单元1001接收到对端设备发送的删除满足第二预设条件的IKE SA的报文时,获取报文的ISAKMP头中的下一载荷类型,若获取的下一载荷类型为第三扩展类型,确定删除满足第二预设条件的IKE SA,则从接收报文的第三扩展类型的载荷中获得第二预设条件,在本地查找到满足获得的第二预设条件的所有IKE SA,并删除。上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单兀。综上所述,本发明具体实施例中在本端设备需要删除某一 IKE SA对应的满足预设条件的IPsec SA时,向对端设备发送删除该IKE SA对应的满足预设条件的IPsec SA的报文,使对端设备删除该IKE SA对应的满足预设条件的所有IPsec SA,并删除本地满足预设条件的所有IPsec SA ;本端设备接收到对端设备发送的删除某一 IKE SA对应的满足预设条件的IPsec SA的报文时,删除该IKE SA对应的满足预设条件的所有IPsec SA。能够在保证通信两端的IPsec SA—致时,降低CPU资源的占用以及网络带宽的负担,避免黑洞的产生。本发明的具体实施例中还给出通过复用现有删除单个IPsec SA的报文,通过修改SPI值和SPI个数来实现删除某一 IKE SA对应的满足预设条件的所有IPsecSA的技术方案;以及通过扩展载荷类型实现删除某一 IKE SA对应的满足预设条件的所有IPsec SA的技术方案。本发明的具体实施例中还给出了删除满足预设条件的IKE SA的技术方案。通过本发明提出的具体技术方案,在通信设备的两端无论某一 IKE SA存在少量或大量关联的IPsec SA的情况下,一端删除IPsec SA或IKE SA时,确保另一段删除对应的IPsec SA或IKE SA,从而保证通信两端的IPsec SA和IKE SA—致,避免了黑洞的产生。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种删除因特网协议安全安全联盟IPsec SA的方法,应用于通过IPsec提供安全通信的两个设备中的任一设备,其特征在于,包括: 该设备需要删除任一因特网密钥交换安全联盟IKE SA对应的满足第一预设条件的IPsec SA时,向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的报文,并删除本地该IKE SA对应的满足第一预设条件的IPsec SA ; 该设备接收到对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsecSA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。
2.根据权利要求1所述的方法,其特征在于,所述向对端设备发送的删除该IKESA对应的满足第一预设条件的IPsec SA的报文,包括:互联网安全联盟和密钥管理协议ISAKMP头和第一扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第一扩展类型,该第一扩展类型定义为删除IKE SA对应的满足第一预设条件的IPsecSA ;在第一扩展类型的载荷携带第一预设条件; 所述该设备接收到对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsec SA,包括: 该设备接收到对端设备发送的报文,获得该报文的ISAKMP头中的下一个载荷的类型,若获得的下一载荷类型为第一扩展类型,确定删除IKE SA对应的满足第一预设条件的IPsec SA,则从接收报文的ISAKMP头中获得IKE SA,第一扩展类型的载荷中获得第一预设条件,根据获得的第一预设条件以及IKE SA,在本地查找到该IKESA对应的满足第一预设条件的所有IPsec SA,并删除。
3.根据权利要求1所述的方法,其特征在于,当所述满足第一预设条件的IPsecSA为所有的IPsec SA时,所述向对端设备发送的删除该IKE SA对应的满足第一预设条件的IPsec SA的报文,包括ISAKMP头和删除Delete载荷;其中在Delete载荷中配置安全参数索引SPI值和SPI个数,表明该SPI是删除IKE SA对应的所有IPsec SA ; 所述该设备接收到对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsec SA,包括: 该设备接收到对端设备发送的报文,若根据该报文的Delete载荷中SPI值和SPI个数,确定删除IKE SA的所有IPsec SA时,从接收报文的ISAKMP头中获得IKE SA,在本地查找到该IKE SA对应的所有IPsec SA,并删除。
4.根据权利要求1所述的方法,其特征在于,当所述满足第一预设条件的IPsecSA为所有的IPsec SA时,所述向对端设备发送的删除该IKE SA对应的满足第一预设条件的IPsec SA的报文,包括:ISAKMP头和第二扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第二扩展类型,该第二扩展类型定义为删除IKE SA的所有IPsec SA; 所述该设备接收到对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsec SA,包括: 该设备接收到对端设备发送的报文,获取该报文的ISAKMP头中的下一个载荷的类型,若获得的下一载荷类型为第二扩展类型,确定删除IKE SA的所有IPsec SA,则从接收报文的ISAKMP头中获得IKE SA,在本地查找到该IKE SA对应的所有IPsecSA,并删除。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述方法进一步包括: 该设备需要删除满足第二预设条件的IKE SA时, 向对端设备发送删除满足第二预设条件的IKE SA的报文,并删除本地满足第二预设条件的IKE SA,其中,发送的报文包括:ISAKMP头和第三扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第三扩展类型,该第三扩展类型定义为删除满足第二预设条件的IKE SA ;在第三扩展类型的载荷中携带第二预设条件; 所述该设备接收到对端设备发送的报文时,获取该报文的ISAKMP头中的下一载荷类型,若获得的下一载荷类型为第三扩展类型,确定删除满足第二预设条件的IKESA,则从接收报文的第三扩展类型的载荷中获得第二预设条件,在本地查找到满足获得的第二预设条件的所有IKE SA,并删除。
6.一种设备,可应用于通过因特网协议安全IPsec提供安全通信的网络中,其特征在于,所述设备包括:收发单元和删除单元; 所述收发单元,用于需要删除任一 IKE SA对应的满足第一预设条件的因特网协议安全安全联盟IPsec SA时,向对端设备发送删除该因特网密钥交换安全联盟IKE SA对应的满足第一预设条件IPsec SA的报文;接收对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文; 所述删除单元,用于当需要删除任一 IKE SA对应的满足第一预设条件的IPsec SA时,删除本地该IKE SA对应的满足第一预设条件的IPsec SA ;当所述收发单元接收到对端设备发送的,删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时,在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。
7.根据权利要求6所述的设备,其特征在于, 所述收发单元,用于向对端设备发送的删除该IKE SA对应的满足第一预设条件的IPsec SA的报文,包括:互联网安全联盟和密钥管理协议ISAKMP头和第一扩展类型的载荷,在ISAKMP头中 的下一载荷的类型填充为第一扩展类型,该第一扩展类型定义为删除IKE SA对应的满足第一预设条件的IPsec SA ;在第一扩展类型的载荷中携带第一预设条件; 所述删除单元,用于获得所述收发单元接收的报文的ISAKMP头中的下一个载荷的类型,若获得的下一个载荷的类型为第一扩展类型,确定删除IKE SA对应的满足第一预设条件的IPsec SA,则从接收报文的ISAKMP头中获得IKE SA,第一扩展类型的载荷中获得第一预设条件,根据获得的第一预设条件以及IKE SA,在本地查找到该IKE SA对应的满足第一预设条件的所有IPsec SA,并删除。
8.根据权利要求6所述的设备,其特征在于, 所述收发单元,用于当所述满足第一预设条件的IPsec SA为所有的IPsec SA时,向对端设备发送的删除该IKE SA对应的满足第一预设条件的IPsec SA的报文,包括ISAKMP头和删除Delete载荷;其中在Delete载荷中配置安全参数索引SPI值和SPI个数,表明该SPI是删除IKE SA对应的所有IPsec SA ; 所述删除单元,用于根据该报文的Delete载荷中SPI值和SPI个数,若确定删除IKESA的所有IPsec SA时,从接收报文的ISAKMP头中获得IKE SA,在本地查找到该IKE SA对应的所有IPsec SA,并删除。
9.根据权利要求6所述的设备,其特征在于, 所述收发单元,用于当所述满足第一预设条件的IPsec SA为所有的IPsec SA时,向对端设备发送的删除该IKE SA对应的满足预设条件的IPsec SA的报文,包括ISAKMP头和第二扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第二扩展类型,该第二扩展类型定义为删除IKE SA的所有IPsec SA ; 所述删除单元,用于从所述收发单元接收报文的ISAKMP头中获取下一个载荷的类型,若获取的下一载荷类型为第二扩展类型的载荷,确定删除满足条件的IKE SA的所有IPsecSA,则从接收报文的ISAKMP头中获得IKE SA,在本地查找到该IKE SA对应的所有IPsecSA,并删除。
10.根据权利要求6-9任意一项所述的设备,其特征在于, 所述收发单元,进一步用于需要删除满足第二预设条件的IKE SA时,向对端设备发送删除满足第二预设条件的IKE SA的报文,发送的报文包括=ISAKMP头和第三扩展类型的载荷,在ISAKMP头中的下一载荷的类型填充为第三扩展类型,该第三扩展类型定义为删除满足第二预设条件的IKE SA ;在第三扩展类型的载荷中携带第二预设条件;接收对端设备发送的删除满足第二预设条件的IKE SA的报文; 所述删除单元,进一步用于需要删除满足第二预设条件的IKE SA时,删除本地满足第二预设条件的IKE SA ;当所述收发单元接收到对端设备发送的删除满足第二预设条件的IKE SA的报文时,获取报文的ISAKMP头中的下一载荷类型,若获取的下一载荷类型为第三扩展类型,确定删除满足第二预设条件的IKE SA,则从接收报文的第三扩展类型的载荷中获得第二预设条件 ,在本地查找到满足获得的第二预设条件的所有IKE SA,并删除。
全文摘要
本申请公开了一种删除因特网协议安全安全联盟(IPsec SA)的方法,该方法包括本端设备需要删除某一IKE SA对应的满足预设条件的IPsec SA时,向对端设备发送删除该IKE SA对应的满足预设条件的IPsec SA的报文,并删除本地满足预设条件的所有IPsec SA;本端设备接收到对端设备发送的删除某一IKE SA对应的满足预设条件的IPsec SA的报文时,删除该IKE SA对应的满足预设条件的所有IPsec SA。基于同样的发明构思,本申请还提出一种设备,能够在保证通信两端的IPsec SA一致时,降低CPU资源的占用以及网络带宽的负担。
文档编号H04L29/06GK103107950SQ201310035528
公开日2013年5月15日 申请日期2013年1月28日 优先权日2013年1月28日
发明者杨超 申请人:杭州华三通信技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:杨超;
  • 技术所有人:杭州华三通信技术有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
因特网协议相关技术
因特网使用的协议是相关技术
因特网的路由选择协议相关技术
五层因特网协议栈相关技术
因特网协议栈相关技术
因特网协议族相关技术
因特网使用的互联协议相关技术
因特网采用的协议是相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2