CN106685701B - 断开IPSec VPN连接方法及装置 - Google Patents
断开IPSec VPN连接方法及装置 Download PDFInfo
- Publication number
- CN106685701B CN106685701B CN201611111337.5A CN201611111337A CN106685701B CN 106685701 B CN106685701 B CN 106685701B CN 201611111337 A CN201611111337 A CN 201611111337A CN 106685701 B CN106685701 B CN 106685701B
- Authority
- CN
- China
- Prior art keywords
- spi
- ipsec
- opposite
- vpn connection
- node device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/0836—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability to enhance reliability, e.g. reduce downtime
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种断开IPSec VPN连接方法及装置,所述方法应用于IPSec节点设备,所述方法包括:向对端IPSec节点设备发送携带有第一SPI的删除通知消息;其中,所述第一SPI为本端用于加密发送数据的SPI和对端IPSec节点设备用于解密接收到的数据的SPI;接收对端IPSec节点设备在查找到与所述第一SPI对应的IPSec VPN连接时发送的删除确认消息;判断所述删除确认消息携带的SPI的类型;如果所述删除确认消息携带第二SPI,断开与所述对端IPSec节点设备的IPSec VPN连接;其中,所述第二SPI为本端用于解密接收到的数据的SPI和对端IPSec节点设备用于加密发送的数据的SPI。使用本申请提供的断开IPSec VPN连接方法,可以有效地提高断开IPSec VPN连接的可靠性。
Description
技术领域
本申请涉及计算机通信领域,尤其涉及断开IPSec VPN连接方法及装置。
背景技术
IPSec(IP Security,因特网协议安全性)VPN(Virtual Private Network,虚拟专用网络)连接是基于IPSec协议而建立起来的虚拟连接通信通道,用于保障双方IPSec节点设备之间的通信安全。
在断开IPSec连接时,一方IPSec节点设备可以向对端发送删除通知消息并删除本地的当前连接状态信息。当对端节点设备接收到该删除通知消息后,可以删除该对端节点设备上的当前连接状态信息,从而断开双方IPSec节点设备之间IPSec VPN连接。
然而,在实际应用中,由于网络故障、设备重启等因素,使得上述对端节点设备无法接收到本端节点设备发送的删除通知消息,使得本端节点设备在本地删除了当前连接状态信息,而对端节点设备未删除该对端节点设备上的当前连接状态信息,使得IPSec VPN连接处于“半连接”状态,从而降低了断开IPSec VPN连接的可靠性,影响了双方IPSec节点设备之间的通信。
发明内容
有鉴于此,本申请提供断开IPSec VPN连接方法及装置,用以提高断开IPSec VPN连接的可靠性。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种断开IPSec VPN连接方法,所述方法应用于IPSec节点设备,所述方法包括:
向对端IPSec节点设备发送携带有第一SPI的删除通知消息;其中,所述第一SPI为本端用于加密发送数据的SPI和对端IPSec节点设备用于解密接收到的数据的SPI;
接收对端IPSec节点设备在查找到与所述第一SPI对应的IPSec VPN连接时发送的删除确认消息;
判断所述删除确认消息携带的SPI的类型;
如果所述删除确认消息携带第二SPI,断开与所述对端IPSec节点设备的IPSecVPN连接;其中,所述第二SPI为本端用于解密接收到的数据的SPI和对端IPSec节点设备用于加密发送的数据的SPI。
根据本申请实施例的第二方面,提供一种断开IPSec VPN连接装置,所述装置应用于IPSec节点设备,所述装置包括:
发送单元,用于向对端IPSec节点设备发送携带有第一SPI的删除通知消息;其中,所述第一SPI为本端用于加密发送数据的SPI和对端IPSec节点设备用于解密接收到的数据的SPI;
接收单元,用于接收对端IPSec节点设备在查找到与所述第一SPI对应的IPSecVPN连接时发送的删除确认消息;
判断单元,用于判断所述删除确认消息携带的SPI的类型;
断开单元,用于如果所述删除确认消息携带第二SPI,断开与所述对端IPSec节点设备的IPSec VPN连接;其中,所述第二SPI为本端用于解密接收到的数据的SPI和对端IPSec节点设备用于加密发送的数据的SPI。
本申请实施例提供一种断开IPSec VPN连接的方法,一方面,IPSec节点设备向对端节点设备发送删除通知消息后,可以接收到对端节点设备返回的删除确认消息,使得本端IPSec节点设备可以确定删除通知消息是否成功发送至对端,从而可以有效地防止因两端IPSec VPN连接状态信息不一致而造成的通信中断。另一方面,IPSec节点设备可以通过对端IPSec节点设备返回删除确认消息中携带的SPI类型,确定是否要进行断开IPSec连接的操作,当携带的SPI为第二SPI时,断开与对端的IPSec VPN连接,当携带的SPI为第一SPI时,本端可以删除与该第一SPI对应的SA,而不断开该IPSec VPN连接,以保证对端发送的数据流量的正常传输,从而可以有效地防止断开IPSec VPN连接过程中的丢包现象,因此可以有效地提高断开IPSec VPN连接的可靠性。
附图说明
图1是本申请一示例性实施例示出的一种断开IPSec VPN连接方法的网络架构图;
图2是本申请一示例性实施例示出的一种断开IPSec VPN连接方法的流程图;
图3是本申请一示例性实施例示出的一种断开IPSec VPN连接装置所在设备的硬件结构图;
图4是本申请一示例性实施例示出的一种断开IPSec VPN连接装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,图1是本申请一示例性实施例示出的一种断开IPSec VPN连接方法的网络架构图,在该网络架构中,包括IPSec VPN连接以及IPSec连接两端的节点设备。
其中,上述IPSec VPN连接,通常是指采用IPSec协议来实现远程接入的一种VPN技术,用以提供公用网络和专用网络的端对端加密和验证的服务。
上述IPSec节点设备,通常指建立起IPSec VPN连接的两端的设备。
在上述IPSec VPN连接建立的过程中,通常情况下,两端IPSec节点设备可以基于IKE协议进行协商,建立IPSec节点设备上的SA,并建立IPSec VPN连接。
通常情况下,IKE(Internet Key Exchange,因特网密钥交换)规定了两个协商阶段为IPSec进行密钥协商。第一协商阶段,主要是通过协商,使得通信双方彼此间建立一个已通过身份认证和安全保护的通道,用以进行控制报文的传输,如用以传输删除消息等,通常情况下,会建立ISAKMP(Internet Security Association and Key ManagementProtocol,互联网安全联盟和密钥管理协议)SA(Security Association,安全联盟)。ISAKMP SA主要是用于保护IPSec后续的控制报文。第二阶段主要是在第一阶段建立的安全连接的基础上建立针对最终的IP数据安全传输的IPSec SA。
其中,SA是IPSec的基础,也是IPSec的本质。SA是通信双方(即IPSec节点设备)对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。
通常情况下,SA由一个三元组来唯一标识,这个三元组包括SPI(SecurityParameter Index,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。例如,每个SA都可以有一个SPI唯一标识。
为了实现数据在IPSec VPN连接中的安全传输,通常情况下,两端IPSec SA是成对出现的,例如本端用于加密发送数据的IPSec SA与对端节点设备上的用于解密接收到的数据的IPSec SA是一对IPSec SA。
此外,为了实现双向通信,每个IPSec节点设备至少有两个IPSec SA,一个为本端用于加密的IPSec SA,主要是将本端的需要发送的数据通过IPSec SA加密,发送给对端节点设备;另一个为本端用于解密接收到的数据的IPSec SA,一般使用该用于解密的IPSecSA对接收到的由对端节点设备发送的数据进行解密。
例如,假设A设备和B设备建立IPSec VPN连接,此时为了满足双方之间的双向通信,A设备上存在用于本端加密发送数据的IPSec SA1,以SPI1作为标识,则B设备上存在与A设备对应的用于本端解密接收到的数据的IPSec SA1。为了实现双向通信,A设备上还存在用于本端解密接收到的数据的IPSec SA2,以SPI2作为标识,则B设备上存在与A设备对应的用于本端节点设备加密发送数据的IPSec SA2。
在两端IPSec节点设备结束通信时,可以断开两端IPSec节点设备之间的IPSecVPN连接。
在相关的断开IPSec VPN连接的方法中,当一端IPSec节点设备需要断开IPSecVPN连接时,该IPSec节点设备可以向该IPSec VPN连接的另一端的节点设备发送封装有删除载荷删除通知消息,同时,将本端的IPSec VPN连接的相关信息释放,例如,本端节点设备可以将对应的ISAKMP SA和IPSec SA删除、密钥信息销毁、占用的资源释放等。
在上述IPSec VPN连接的对端节点设备接收到上述删除通知消息后,可以释放本地与IPSec VPN连接有关的信息,以此断开双方之间的IPSec VPN连接。
然而,如果由于网络故障,设备重启等原因,一端IPSec节点设备向对端节点设备发送的删除消息没有成功到达对端,此时,该IPSec节点设备已经释放了所有与该IPSecVPN连接相关的所有信息,而对端节点设备仍然认为IPSec VPN连接正常连接,保留着与该IPSec VPN连接的相关信息。在这种情况下,对端节点设备仍然向本端发送数据,然而本端节点设备已经删除了所有与该IPSec VPN连接的相关信息,所以无法对对端发送的数据进行解密,导致两端通信的失败。因此,使用相关技术中的断开IPSec VPN连接的方法,大大降低了断开IPSec VPN连接的可靠性。
为了解决上述问题,本申请实施例提供一种断开IPSec VPN连接的方法,IPSec节点设备可以向对端节点设备发送携带有第一SPI的删除通知消息,并可以在对端节点设备查找到与所述第一SPI对应的IPSec连接时,接收对端发送的删除确认消息。其中,该第一SPI为本端用于加密发送数据的SPI和对端节点设备用于解密接收到的数据的SPI。IPSec节点设备可以判断删除确认消息携带的SPI的类型。如果该删除确认消息携带第二SPI,断开与该对端节点设备的IPSec连接;其中,上述第二SPI为本端用于解密接收到的数据的SPI和对端节点设备用于加密发送的数据的SPI。
由于在本端IPSec节点设备向对端节点设备发送删除通知消息后,不再立即删除与该IPSec连接有关的信息,而是可以通过对端节点设备返回的删除确认消息中携带SPI类型,来判断是否需要断开与对端节点设备的IPSec连接,从而使本端节点设备可以通过对端节点设备返回的删除确认消息,来确定对端的状态,并确定本端相应的删除操作。因此,使用本申请实施例提供的断开IPSec VPN连接的方法,可以有效地提高断开IPSec VPN连接的可靠性。
参见图2,图2是本申请一示例性实施例示出的一种断开IPSec VPN连接方法的流程图,所述方法应用于IPSec节点设备,所述方法具体包括:
步骤201:向对端节点设备发送携带有第一SPI的删除通知消息;其中,所述第一SPI为本端用于加密发送数据的SPI和对端节点设备用于解密接收到的数据的SPI;
上述第一SPI,是指本端IPSec节点设备用于加密发送数据的SPI和对端IPSec节点设备用于解密接收到的数据的SPI。例如,本端节点设备可以通过第一SPI对所要发送的数据加密,然后将加密后的数据发送给对端IPSec节点设备,由对端IPSec节点设备基于其本地的第一SPI,对从本端接收到的数据进行解密。
上述第二SPI,是指本端IPSec节点设备用于解密接收到的数据的SPI和对端IPSec节点设备用于发送加密数据的SPI。例如,在对端IPSec节点设备向本端IPSec节点设备发送数据时,对端IPSec节点设备可以通过该第二SPI对所要发送的数据进行加密,然后将加密后的数据发送给本端IPSec节点设备,由本端IPSec节点设备通过该第二SPI,对从对端接收到的数据进行解密。
与现有技术不同的是,在本申请实施例提出的断开IPSec VPN连接方法中,一方面,IPSec节点设备向对端节点设备发送删除通知消息后,可以接收到对端节点设备返回的删除确认消息,使得本端IPSec节点设备可以确定删除通知消息是否成功发送至对端,从而可以有效地防止因两端IPSec VPN连接状态信息不一致而造成的通信中断。
另一方面,IPSec节点设备可以通过对端IPSec节点设备返回删除确认消息中携带的SPI类型,确定是否要进行断开IPSec连接的操作,当携带的SPI为第二SPI时,断开与对端的IPSec VPN连接,当携带的SPI为第一SPI时,本端可以删除与该第一SPI对应的SA,而不断开该IPSec VPN连接,以保证对端发送的数据流量的正常传输,从而可以有效地防止断开IPSec VPN连接过程中的丢包现象,因此可以有效地提高断开IPSec VPN连接的可靠性。
下面以本端IPSec节点设备作为断开IPSec VPN连接的主动断开方,对本申请提出的断开IPSec VPN连接方法进行详细地描述。
在实现时,IPSec节点设备可以将上述第一SPI封装至删除载荷,并将该删除载荷组装至删除通知消息中。
参见表1,表1为删除载荷的消息格式,上述节点设备可以将第一SPI写入“安全参数索引(SPI)”一栏,以完成第一SPI的封装。
然后IPSec节点设备可以将ISAKMP消息头、杂凑载荷和删除载荷等组装成该删除通知消息。
表1
在组装该删除通知消息时,如表2所示,IPSec节点设备可以在ISAKMP消息头的下一个载荷字段写入表征杂凑数据的字段,该表征杂凑数据的字段可以参见ISAKMP协议。
表2
然后,IPSec节点设备可以在表3所示的杂凑数据格式中的“下一个载荷”字段写入表征删除载荷的字段,以此来完成删除通知消息的组装。
表3
在完成上述删除通知消息的组装,并将上述第一SPI封装至该删除通知消息后,IPSec节点设备可以将该删除通知消息发送至对端IPSec节点设备。
步骤202:接收对端节点设备在查找到与所述第一SPI对应的IPSec连接时发送的删除确认消息;
在相关的断开IPSec VPN连接方法中,当对端IPSec节点设备接收到本端IPSec节点设备发送的删除通知消息时,不论本地是否有向本端IPSec节点设备发送的数据流量,都要立即在本地删除与该IPSec VPN连接有关的信息,与本端IPSec节点设备断开IPSec VPN连接。
然而,当对端IPSec节点设备有需要向本端IPSec节点设备发送的数据流量时,使用上述相关技术中的断开IPSec VPN连接方法,就可能会造成丢包的发生,影响双方之间的正常通信。
而在本申请实施例中,当对端IPSec节点设备接收到本端IPSec节点设备发送的删除通知消息时,对端IPSec节点设备可以判断该IPSec VPN连接是否空闲,当该IPSec VPN连接空闲时,才断开与本端IPSec节点设备的IPSec VPN连接,否则,对端IPSec节点设备可以先在本地删除第一SPI对应的SA,并将本地所要发送的数据流量都发送至本端时,再断开与本端IPSec节点设备的IPSec VPN连接,从而可以有效地防止断开IPSec VPN连接过程中的丢包现象,保证了双方之间在断开IPSec VPN连接时,双方通信的可靠性。
在实现时,对端IPSec节点设备可以接收本端IPSec节点设备发送的删除通知消息,并可以对该删除通知消息进行解析,获取该删除通知消息中携带的第一SPI。
对端IPSec节点设备可以基于该第一SPI,查找与该第一SPI对应的IPSec VPN连接。在查找到与该第一SPI对应的IPSec VPN连接之后,对端IPSec节点设备可以检查该IPSec VPN连接是否处于空闲状态。
在检查该IPSec VPN连接是否处于空闲状态时,对端IPSec节点设备可以检查该IPSec VPN连接上是否有向上述本端节点设备发送的数据流量,如果该IPSec VPN连接上没有向上述本端节点设备发送的数据流量,则确定该IPSec VPN连接处于空闲状态。如果该IPSec VPN连接上有向上述本端节点设备发送的数据流量,则确定该IPSec VPN连接处于非空闲状态。
当该IPSec VPN连接处于空闲状态时,对端IPSec节点设备可以将第二SPI封装至删除确认消息中,并将该删除确认消息发送至上述本端IPSec节点设备。同时,对端IPSec节点设备可以将与该IPSec VPN连接的相关信息删除,例如可以在本地删除与上述第一SPI、第二SPI分别对应的SA、删除密钥信息以及释放占用的资源等。
当该IPSec VPN连接处于非空闲状态时,对端IPSec节点设备可以将第一SPI封装至删除确认消息中,并将该删除确认消息发送至本端IPSec节点设备。同时,对端IPSec节点设备可以将与该第一SPI对应的SA删除。
当对端IPSec节点设备不再有向本端IPSec节点设备发送的数据流量时,即该IPSec VPN连接空闲时,对端IPSec节点设备可以向本端发送断开该IPSec VPN连接的消息,以断开双方之间的IPSec VPN连接。同时,对端IPSec节点设备可以在本地删除与该IPSecVPN连接相关的信息。
需要说明的是,对端IPSec节点设备将SPI封装至删除确认消息与组装删除确认消息的方法与上述本端IPSec节点设备封装第一SPI和组装删除通知消息的方法相同,并且,删除确认消息的消息格式也与删除通知消息的消息格式相同,在这里,不再赘述。
步骤203:判断所述删除确认消息携带的SPI的类型;
步骤204:如果所述删除确认消息携带第二SPI,断开与所述对端IPSec节点设备的IPSec VPN连接;其中,所述第二SPI为本端用于解密接收到的数据的SPI和对端IPSec节点设备用于加密发送的数据的SPI。
在本申请实施例中,在本端IPSec节点设备接收到对端IPSec节点设备发送的删除确认消息后,可以对该删除确认消息进行解析,获取该删除确认消息中携带的SPI。
本端IPSec节点设备可以判断该SPI的类型,如果该SPI为第二SPI,则确定与对端IPSec节点设备之间的IPSec VPN连接空闲,本端IPSec节点设备可以将该IPSec VPN连接断开,此时,本端IPSec节点设备可以在本地删除该IPSec VPN连接的相关信息,从而断开该IPSec VPN连接。
如果本端IPSec节点设备获取到的SPI为第一SPI时,则可以确定对端IPSec节点设备需要向本端IPSec节点设备发送数据流量,同时,本端IPSec节点设备可以只在本地删除与该第一SPI对应的SA,而不断开与对端IPSec节点设备之间的IPSec VPN连接。此时,该IPSec VPN连接的数据传输是单向数据传输,进一步来说,只是对端IPSec节点设备将数据流量发送至本端IPSec节点设备这一个方向的传输。
当接收到对端IPSec节点设备在没有向本端发送的数据流量时发送的断开连接的消息后,本端IPSec节点设备可以在本地删除与该IPSec VPN连接相关的信息,以断开该IPSec VPN连接。
此外,如果在预设的时间范围内,本端IPSec节点设备未接收到对端IPSec节点设备发送的删除确认消息,本端IPSec节点设备可以开启重传机制。
在实现时,本端IPSec节点设备可以基于预设的周期,周期性地重新发送该删除通知消息。例如,本端IPSec节点设备可以开启定时器,并可以将定时器的超时时长设置为重新发送删除通知消息的周期,比如可以为5s,在本端向对端IPSec节点设备发送删除通知消息后的5秒未收到删除确认消息时,则可以向对端IPSec节点设备重新发送该删除通知消息。
当然,上述本端IPSec节点设备除了可以作为断开IPSec VPN连接的主动断开方,向对端IPSec节点设备发送删除通知消息;还可以作为断开IPSec VPN连接的被动断开方,接收对端断开IPSec VPN连接时发送的删除通知消息。
下面以本端IPSec节点设备作为该断开IPSec VPN连接的被动断开方,对上述断开IPSec VPN连接方法进行详细描述。
在实现时,在断开IPSec VPN连接时,对端IPSec节点设备可以将第二SPI封装至删除通知消息中,并可以将该删除通知消息发送至本端IPSec节点设备。
本端IPSec节点设备在接收到对端IPSec节点设备发送的删除通知消息后,可以对该删除通知消息进行解析,获取该删除通知消息中携带的第二SPI。然后,本端IPSec节点设备可以基于获取到的第二SPI查找与该第二SPI对应的IPSec VPN连接。
在查找到与该第二SPI对应的IPSec VPN连接之后,端IPSec节点设备可以检查该IPSec VPN连接是否处于空闲状态。
在检查该IPSec VPN连接是否处于空闲状态时,本端IPSec节点设备可以检查该IPSec VPN连接上是否有向对端IPSec节点设备发送的数据流量,如果该IPSec VPN连接上没有向对端IPSec节点设备发送的数据流量,则确定该IPSec VPN连接处于空闲状态。如果该IPSec VPN连接上有向对端节点设备发送的数据流量,则确定该IPSec VPN连接处于非空闲状态。
当该IPSec VPN连接处于空闲状态时,本端IPSec节点设备可以将第一SPI封装至删除确认消息中,并将该删除确认消息发送至对端IPSec节点设备。同时,本端IPSec节点设备可以将与该IPSec VPN连接的相关信息删除,例如可以在本地删除与上述第一SPI、第二SPI分别对应的SA、删除密钥信息以及释放占用的资源等。
当该IPSec VPN连接处于非空闲状态时,本端IPSec节点设备可以将第二SPI封装至删除确认消息中,并将该删除确认消息发送至对端IPSec节点设备。同时,本端IPSec节点设备可以将与该第二SPI对应的SA删除。
当本端IPSec节点设备不再有向对端IPSec节点设备发送的数据流量时,即该IPSec VPN连接空闲时,本端IPSec节点设备可以向对端发送断开该IPSec VPN连接的消息,以断开双方之间的IPSec VPN连接。同时,本端IPSec节点设备可以在本地删除与该IPSecVPN连接相关的信息。
当对端IPSec节点设备接收到本端IPSec节点设备发送的删除确认消息后,可以判断该删除确认消息中携带的SPI的类型,如果携带的SPI为第一SPI,对端IPSec节点设备可以断开与该本端IPSec节点设备之间的IPSec VPN连接;如果携带的SPI为第二SPI时,对端IPSec节点设备可以删除与该第二SPI对应的SA,直至接收到上述本端IPSec节点设备在没有向对端发送的数据流量时发送的断开连接的消息后,对端IPSec节点设备可以在本地删除与该IPSec VPN连接相关的信息,以断开该IPSec VPN连接。
本申请实施例提供一种断开IPSec VPN连接的方法,IPSec节点设备可以向对端节点设备发送携带有第一SPI的删除通知消息,并可以在对端节点设备查找到与所述第一SPI对应的IPSec连接时,接收对端发送的删除确认消息。其中,该第一SPI为本端用于加密发送数据的SPI和对端节点设备用于解密接收到的数据的SPI。IPSec节点设备可以判断删除确认消息携带的SPI的类型。如果该删除确认消息携带第二SPI,断开与该对端节点设备的IPSec连接;其中,上述第二SPI为本端用于解密接收到的数据的SPI和对端节点设备用于加密发送的数据的SPI。
一方面,IPSec节点设备向对端节点设备发送删除通知消息后,可以接收到对端节点设备返回的删除确认消息,使得本端IPSec节点设备可以确定删除通知消息是否成功发送至对端;
另一方面,IPSec节点设备可以通过对端IPSec节点设备返回删除确认消息中携带的SPI类型,确定是否要进行断开IPSec连接的操作,当携带的SPI为第二SPI时,断开与对端的IPSec VPN连接,当携带的SPI为第一SPI时,本端可以删除与该第一SPI对应的SA,而不断开该IPSec VPN连接,保证对端发送的数据流量的正常传输,从而可以有效地防止断开IPSec VPN连接过程中的丢包现象,因此可以有效地提高断开IPSec VPN连接的可靠性。
与前述断开IPSec VPN连接方法的实施例相对应,本申请还提供了断开IPSec VPN连接装置的实施例。
本申请断开IPSec VPN连接装置的实施例可以应用在IPSec节点设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在IPSec节点设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请断开IPSec VPN连接装置所在IPSec节点设备的一种硬件结构图,除了图3所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的IPSec节点设备通常根据该断开IPSec VPN连接的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图4,图4是本申请一示例性实施例示出的一种断开IPSec VPN连接装置的框图。所述装置应用于IPSec节点设备,所述装置包括:
发送单元410,用于向对端IPSec节点设备发送携带有第一SPI的删除通知消息;其中,所述第一SPI为本端用于加密发送数据的SPI和对端IPSec节点设备用于解密接收到的数据的SPI;
接收单元420,用于接收对端IPSec节点设备在查找到与所述第一SPI对应的IPSecVPN连接时发送的删除确认消息;
判断单元430,用于判断所述删除确认消息携带的SPI的类型;
断开单元440,用于如果所述删除确认消息携带第二SPI,断开与所述对端IPSec节点设备的IPSec VPN连接;其中,所述第二SPI为本端用于解密接收到的数据的SPI和对端IPSec节点设备用于加密发送的数据的SPI。
在一种可选的实现方式中,所述装置还包括:
删除单元450,用于如果所述删除确认消息携带第一SPI,则删除本端与第一SPI对应的SA。
在另一种可选的实现方式中,所述接收单元420,还用于接收对端IPSec节点设备发送的携带有所述第二SPI的删除通知消息;
所述装置还包括:
查找单元460,用于查找与所述第二SPI对应的IPSec VPN连接;
所述判断单元430,还用于判断与所述第二SPI对应的IPSec VPN连接是否空闲,如果是,向对端IPSec节点设备发送携带有所述第一SPI的删除确认消息,以使对端IPSec节点设备基于所述删除确认消息中携带的第一SPI,断开与本端的IPSec VPN连接。
在另一种可选的实现方式中,所述装置还包括删除单元450,还用于如果否,向对端IPSec节点设备发送携带所述第二SPI的删除确认消息,删除本端IPSec节点设备上的与该第二SPI对应的SA,以使对端IPSec节点设备基于该删除确认消息中携带的所述第二SPI,删除对端IPSec节点设备上的与该第二SPI对应的SA。
在另一种可选的实现方式中,所述发送单元410,还用于如果未接收到对端IPSec节点设备发送的所述删除确认消息,基于预设的周期,周期性地向对端IPSec节点设备重新发送所述删除通知消息。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种断开IPSec VPN连接方法,其特征在于,所述方法应用于IPSec节点设备,所述方法包括:
向对端IPSec节点设备发送携带有第一SPI的删除通知消息;其中,所述第一SPI为本端用于加密发送数据的SPI和对端IPSec节点设备用于解密接收到的数据的SPI;
接收对端IPSec节点设备在查找到与所述第一SPI对应的IPSec VPN连接时,根据所述IPSec VPN连接是否处于空闲状态而发送的删除确认消息;所述根据所述IPSec VPN连接是否处于空闲状态而发送的删除确认消息包括,当所述IPSec VPN连接处于空闲状态时,所述删除确认消息携带第二SPI;
判断所述删除确认消息携带的SPI的类型;
如果所述删除确认消息携带第二SPI,断开与所述对端IPSec节点设备的IPSec VPN连接;其中,所述第二SPI为本端用于解密接收到的数据的SPI和对端IPSec节点设备用于加密发送的数据的SPI。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述删除确认消息携带第一SPI,则删除本端与第一SPI对应的SA。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收对端IPSec节点设备发送的携带有所述第二SPI的删除通知消息;
查找与所述第二SPI对应的IPSec VPN连接;
判断与所述第二SPI对应的IPSec VPN连接是否空闲,如果是,向对端IPSec节点设备发送携带有所述第一SPI的删除确认消息,以使对端IPSec节点设备基于所述删除确认消息中携带的第一SPI,断开与本端的IPSec VPN连接。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
如果否,向对端IPSec节点设备发送携带所述第二SPI的删除确认消息,并删除本端IPSec节点设备上的与该第二SPI对应的SA,以使对端IPSec节点设备基于该删除确认消息中携带的所述第二SPI,删除对端IPSec节点设备上的与该第二SPI对应的SA。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果未接收到对端IPSec节点设备发送的所述删除确认消息,基于预设的周期,周期性地向对端IPSec节点设备重新发送所述删除通知消息。
6.一种断开IPSec VPN连接装置,其特征在于,所述装置应用于IPSec节点设备,所述装置包括:
发送单元,用于向对端IPSec节点设备发送携带有第一SPI的删除通知消息;其中,所述第一SPI为本端用于加密发送数据的SPI和对端IPSec节点设备用于解密接收到的数据的SPI;
接收单元,用于接收对端IPSec节点设备在查找到与所述第一SPI对应的IPSec VPN连接时,根据所述IPSec VPN连接是否处于空闲状态而发送的删除确认消息;所述根据所述IPSec VPN连接是否处于空闲状态而发送的删除确认消息包括,当所述IPSec VPN连接处于空闲状态时,所述删除确认消息携带第二SPI;
判断单元,用于判断所述删除确认消息携带的SPI的类型;
断开单元,用于如果所述删除确认消息携带第二SPI,断开与所述对端IPSec节点设备的IPSec VPN连接;其中,所述第二SPI为本端用于解密接收到的数据的SPI和对端IPSec节点设备用于加密发送的数据的SPI。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
删除单元,用于如果所述删除确认消息携带第一SPI,则删除本端与第一SPI对应的SA。
8.根据权利要求6所述的装置,其特征在于,所述接收单元,还用于接收对端IPSec节点设备发送的携带有所述第二SPI的删除通知消息;
所述装置还包括:
查找单元,用于查找与所述第二SPI对应的IPSec VPN连接;
所述判断单元,还用于判断与所述第二SPI对应的IPSec VPN连接是否空闲,如果是,向对端IPSec节点设备发送携带有所述第一SPI的删除确认消息,以使对端IPSec节点设备基于所述删除确认消息中携带的第一SPI,断开与本端的IPSec VPN连接。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括删除单元,还用于如果否,向对端IPSec节点设备发送携带所述第二SPI的删除确认消息,删除本端IPSec节点设备上的与该第二SPI对应的SA,以使对端IPSec节点设备基于该删除确认消息中携带的所述第二SPI,删除对端IPSec节点设备上的与该第二SPI对应的SA。
10.根据权利要求6所述的装置,其特征在于,所述发送单元,还用于如果未接收到对端IPSec节点设备发送的所述删除确认消息,基于预设的周期,周期性地向对端IPSec节点设备重新发送所述删除通知消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611111337.5A CN106685701B (zh) | 2016-12-06 | 2016-12-06 | 断开IPSec VPN连接方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611111337.5A CN106685701B (zh) | 2016-12-06 | 2016-12-06 | 断开IPSec VPN连接方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106685701A CN106685701A (zh) | 2017-05-17 |
CN106685701B true CN106685701B (zh) | 2019-12-06 |
Family
ID=58867793
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611111337.5A Active CN106685701B (zh) | 2016-12-06 | 2016-12-06 | 断开IPSec VPN连接方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106685701B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
CN103107950A (zh) * | 2013-01-28 | 2013-05-15 | 杭州华三通信技术有限公司 | 一种删除因特网协议安全安全联盟的方法和设备 |
CN103237028A (zh) * | 2013-04-22 | 2013-08-07 | 杭州华三通信技术有限公司 | 一种删除Child SA的方法和设备 |
WO2016187871A1 (en) * | 2015-05-28 | 2016-12-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Multiple pdn connections over untrusted wlan access |
-
2016
- 2016-12-06 CN CN201611111337.5A patent/CN106685701B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102148810A (zh) * | 2010-02-04 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全关联存活检测方法、装置和系统 |
CN103107950A (zh) * | 2013-01-28 | 2013-05-15 | 杭州华三通信技术有限公司 | 一种删除因特网协议安全安全联盟的方法和设备 |
CN103237028A (zh) * | 2013-04-22 | 2013-08-07 | 杭州华三通信技术有限公司 | 一种删除Child SA的方法和设备 |
WO2016187871A1 (en) * | 2015-05-28 | 2016-12-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Multiple pdn connections over untrusted wlan access |
Also Published As
Publication number | Publication date |
---|---|
CN106685701A (zh) | 2017-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3629237B2 (ja) | ノード装置及び通信制御方法 | |
Vanhoef et al. | Release the Kraken: new KRACKs in the 802.11 Standard | |
RU2728893C1 (ru) | Способ реализации безопасности, устройство и система | |
CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
EP2850776B1 (en) | Tls abbreviated session identifier protocol | |
JP5744172B2 (ja) | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ | |
JP4159328B2 (ja) | ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 | |
TWI362859B (zh) | ||
EP1746801A2 (en) | Transmission of packet data over a network with a security protocol | |
US8918634B2 (en) | Network node with network-attached stateless security offload device employing out-of-band processing | |
TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
US8028161B2 (en) | System for negotiating security association on application layer | |
CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
US20190268767A1 (en) | A method for secure link layer connection over wireless local area networks | |
US9185130B2 (en) | Transmission apparatus, reception apparatus, communication system, transmission method, and reception method | |
CN109040059B (zh) | 受保护的tcp通信方法、通信装置及存储介质 | |
US20130219171A1 (en) | Network node with network-attached stateless security offload device employing in-band processing | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
JP2006019975A (ja) | 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム | |
JP2006185194A (ja) | サーバ装置、通信制御方法及びプログラム | |
KR20230039722A (ko) | 사전-공유 키 psk 업데이트 방법 및 장치 | |
CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
CN106685701B (zh) | 断开IPSec VPN连接方法及装置 | |
CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
CN104618211A (zh) | 一种基于隧道的报文处理方法和总部网关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |