CN110061965B - 更新安全联盟的方法、装置、设备及可读存储介质 - Google Patents

更新安全联盟的方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN110061965B
CN110061965B CN201910189942.1A CN201910189942A CN110061965B CN 110061965 B CN110061965 B CN 110061965B CN 201910189942 A CN201910189942 A CN 201910189942A CN 110061965 B CN110061965 B CN 110061965B
Authority
CN
China
Prior art keywords
ipsec
receiving end
sending
detection information
sending end
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910189942.1A
Other languages
English (en)
Other versions
CN110061965A (zh
Inventor
樊曙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huawei Digital Technologies Co Ltd
Original Assignee
Beijing Huawei Digital Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huawei Digital Technologies Co Ltd filed Critical Beijing Huawei Digital Technologies Co Ltd
Priority to CN201910189942.1A priority Critical patent/CN110061965B/zh
Publication of CN110061965A publication Critical patent/CN110061965A/zh
Application granted granted Critical
Publication of CN110061965B publication Critical patent/CN110061965B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了更新安全联盟的方法、装置、设备及可读存储介质,属于通信技术领域。该方法包括:发送端向接收端发送IPSEC SA的检测信息,接收端用于确认接收端是否存在与检测信息匹配的IPSEC SA,根据确认结果确定是否向发送端发送确认信息;若发送端在参考时间内未接收到接收端发送的确认信息,更新发送端的IPSEC SA。本申请通过确认对等体的IPSEC SA是否丢失,从而根据确认结果确定是否对该对等体以及与该对等体通信的对等体之间的IPSEC SA进行更新,来避免数据传输的中断。实施本申请确认IPSEC SA是否丢失的准确率较高,局限性小,从而保证了对IPSEC SA的及时更新。

Description

更新安全联盟的方法、装置、设备及可读存储介质
技术领域
本申请涉及通信技术领域,特别涉及更新安全联盟的方法、装置、设备及可读存储介质。
背景技术
随着通信技术的发展,因特网安全协议(internet protocol security,IPSEC)被广泛地应用于生活中,以提高数据传输的安全性。应用时,两个需要进行数据传输的对等体之间可以建立因特网密钥交换安全联盟(internet key exchange securityassociation,IKE SA),再基于IKE SA建立因特网协议安全(internet protocolsecurity,IPSEC)安全联盟(security association,SA),从而通过IPSEC SA来实现数据的加密或解密。
可以看出,若一端对等体的IPSEC SA丢失,则该对等体无法继续对数据进行加密(或解密),从而导致数据传输中断。为此,需要提供一种对两个对等体之间的IPSEC SA进行更新的方法,以避免数据传输的中断。
申请内容
本申请实施例提供了一种更新安全联盟的方法、装置、设备及计算机可读存储介质,以解决相关技术存在的问题,技术方案如下:
第一方面,提供了一种更新安全联盟的方法,方法包括:
发送端向接收端发送IPSEC SA的检测信息,接收端用于确认接收端是否存在与检测信息匹配的IPSEC SA,根据确认结果确定是否向发送端发送确认信息;
若发送端在参考时间内未接收到接收端发送的确认信息,更新发送端的IPSECSA。
可选地,发送端向接收端发送IPSEC SA的检测信息,包括:发送端向接收端发送检测报文,检测报文中携带IPSEC SA的检测信息。
可选地,更新发送端的IPSEC SA,包括:删除发送端的IPSEC SA,以在发送端与接收端建立目标IPSEC SA。
可选地,在发送端向接收端发送IPSEC SA的检测信息之前,方法还包括:获取发送端未接收到接收端发送的数据包的时间值;若时间值大于参考阈值,执行发送端向接收端发送检测信息。
可选地,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
第二方面,提供了一种更新安全联盟的方法,方法包括:
接收端接收发送端发送的IPSEC SA的检测信息;
确认接收端是否存在与检测信息匹配的IPSEC SA;
根据确认结果确定是否向发送端发送确认信息。
可选地,根据确认结果确定是否向发送端发送确认信息,包括:若确认结果指示接收端存在与检测信息匹配的IPSEC SA,向发送端发送确认信息,以使发送端在参考时间内接收到接收端发送的确认信息。
可选地,接收端接收发送端发送的IPSEC SA的检测信息,包括:接收发送端发送的检测报文,检测报文中携带IPSEC SA的检测信息。
可选地,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
第三方面,提供了一种更新安全联盟的装置,装置包括:
发送模块,用于发送端向接收端发送IPSEC SA的检测信息,接收端用于确认接收端是否存在与检测信息匹配的IPSEC SA,根据确认结果确定是否向发送端发送确认信息;
更新模块,用于若发送端在参考时间内未接收到接收端发送的确认信息,更新发送端的IPSEC SA。
可选地,发送模块,用于发送端向接收端发送检测报文,检测报文中携带IPSEC SA的检测信息。
可选地,更新模块,用于删除发送端的IPSEC SA,以在发送端与接收端建立目标IPSEC SA。
可选地,装置还包括:获取模块,用于获取发送端未接收到接收端发送的数据包的时间值;若时间值大于参考阈值,执行发送端向接收端发送检测信息。
可选地,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
第四方面,提供了一种更新安全联盟的装置,装置包括:
接收模块,用于接收端接收发送端发送的IPSEC SA的检测信息;
确认模块,用于确认接收端是否存在与检测信息匹配的IPSEC SA;
确定模块,用于根据确认结果确定是否向发送端发送确认信息。
可选地,确定模块,用于若确认结果指示接收端存在与检测信息匹配的IPSEC SA,向发送端发送确认信息,以使发送端在参考时间内接收到接收端发送的确认信息。
可选地,接收模块,用于接收端接收发送端发送的检测报文,检测报文中携带IPSEC SA的检测信息。
可选地,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
第五方面,提供了一种更新安全联盟的设备,设备包括存储器及处理器;存储器中存储有至少一条指令,至少一条指令由处理器加载并执行,以实现本申请第一方面或第一方面的任一种可能的实施方式中的方法。
第六方面,提供了一种更新安全联盟的设备,设备包括存储器及处理器;存储器中存储有至少一条指令,至少一条指令由处理器加载并执行,以实现本申请第二方面或第二方面的任一种可能的实施方式中的方法。
第七方面,提供了另一种通信装置,该装置包括:收发器、存储器和处理器。其中,该收发器、该存储器和该处理器通过内部连接通路互相通信,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,以控制收发器接收信号,并控制收发器发送信号,并且当该处理器执行该存储器存储的指令时,使得该处理器执行第一方面或第一方面的任一种可能的实施方式中的方法。
第八方面,提供了另一种通信装置,该装置包括:收发器、存储器和处理器。其中,该收发器、该存储器和该处理器通过内部连接通路互相通信,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,以控制收发器接收信号,并控制收发器发送信号,并且当该处理器执行该存储器存储的指令时,使得该处理器执行第二方面或第二方面的任一种可能的实施方式中的方法。
可选地,处理器为一个或多个,存储器为一个或多个。
可选地,存储器可以与处理器集成在一起,或者存储器与处理器分离设置。
在具体实现过程中,存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第九方面,提供了一种通信系统,该系统包括上述第三方面或第三方面的任一种可能实施方式中的装置以及第四方面或第四方面中的任一种可能实施方式中的装置;或者,该系统包括上述第五方面或第五方面的任一种可能实施方式中的装置以及第六方面或第六方面中的任一种可能实施方式中的装置。
第十方面,提供了一种计算机程序(产品),计算机程序(产品)包括:计算机程序代码,当计算机程序代码被计算机运行时,使得计算机执行上述各方面中的方法。
第十一方面,提供了一种可读存储介质,可读存储介质存储程序或指令,当程序或指令在计算机上运行时,上述各方面中的方法被执行。
第十二方面,提供了一种芯片,包括处理器,用于从存储器中调用并运行存储器中存储的指令,使得安装有芯片的通信设备执行上述各方面中的方法。
第十三方面,提供另一种芯片,包括:输入接口、输出接口、处理器和存储器,输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连,处理器用于执行存储器中的代码,当代码被执行时,处理器用于执行上述各方面中的方法。
本申请提供的技术方案带来的有益效果至少包括:
本申请在检测到一端对等体的IPSEC SA可能丢失的情况下,对该对等体的IPSECSA是否丢失进行确认,得到确认结果。如果确认结果指示该对等体的IPSEC SA已丢失,则对该对等体以及与该对等体通信的对等体之间的IPSEC SA进行更新,因而避免了数据传输的中断。通过该方法确认IPSEC SA是否丢失的准确率较高,局限性小,从而保证了对IPSEC SA的及时更新。
附图说明
图1为本申请实施例提供的实施环境示意图;
图2为本申请实施例提供的更新安全联盟的方法流程图;
图3为本申请实施例提供的检测报文的结构示意图;
图4为本申请实施例提供的更新安全联盟的方法示意图;
图5为本申请实施例提供的更新安全联盟的方法流程图;
图6为本申请实施例提供的更新安全联盟的装置的结构示意图;
图7为本申请实施例提供的更新安全联盟的装置的结构示意图;
图8为本申请实施例提供的更新安全联盟的装置的结构示意图。
具体实施方式
本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释,而非旨在限定本申请。
随着通信技术的发展,IPSEC被广泛地应用于生活中,以提高两个对等体(peer)之间的数据传输的安全性。采用IPSEC进行数据传输时,作为发送端的对等体按照参考参数对初始数据包进行加密,得到加密后的数据包,该加密后的数据包在因特网(Internet)上传输至作为接收端的对等体,作为接收端的对等体按照相同的参考参数对该加密后的数据包进行解密,将加密后的数据包还原为初始数据包,从而实现了数据的安全传输。
需要说明的是,如图1所示,在采用IPSEC进行数据传输之前,首先需要在两个对等体之间建立IPSEC SA,以提供加密和解密所使用的参考参数。建立时,可以在两个对等体之间建立因特网密钥交换安全联盟(Internet key exchange security association,IKESA),再基于IKE SA建立IPSEC SA,以完成IPSEC SA的建立。
进一步地,若一端对等体的IPSEC SA丢失,则该对等体无法继续对数据包进行加密(或解密),从而导致数据传输的中断。另外,对于进行数据传输的两个对等体,如果是接收数据的对等体的IPSEC SA丢失,那么发送数据的对等体仍会继续对初始数据包进行加密,从而使得发送数据的对等体浪费了中央处理器(central processing unit,CPU)资源。因此,需要提供一种方法对两个对等体之间的IPSEC SA进行更新,来避免数据传输的中断以及对CPU资源的浪费。
为此,本申请实施例提供了一种更新安全联盟的方法,该方法可应用于如图1所示的实施环境中。如图2所示,该方法包括:
步骤201,发送端向接收端发送IPSEC SA的检测信息。
其中,发送端为用于发送检测信息的对等体,接收端为用于接收检测信息的对等体,对等体可以是网管路由器,也可以是终端。需要说明的是,任一对等体均具有发送检测信息和接收检测信息两种功能。当一个对等体用于发送检测信息时,该对等体为发送端,当该对等体用于接收检测信息时,该对等体为接收端。
在本实施例中,对于采用IPSEC进行通信的两端对等体,若检测到其中一端对等体的IPSEC SA可能已丢失的现象,则将该对等体作为接收端,另一端对等体作为发送端。发送端通过采用向接收端发送IPSEC SA的检测信息的方式来触发接收端确认接收端的IPSECSA是否已丢失。
在一种可选的实施方式中,该方法还包括:获取发送端未接收到接收端发送的数据包的时间值;若时间值大于参考阈值,执行发送端向接收端发送检测信息。以进行通信的两端对等体为第一对等体和第二对等体为例,在该实施方式下,若第一对等体在规定时间内未向第二对等体发送数据包,使得第二对等体未接收到数据包的时间值大于参考阈值,则认为第一对等体的IPSEC SA可能丢失。参考阈值可以根据经验设置,也可以后续根据检测情况进行更新,本申请不对参考阈值的数值进行限定。例如,参考阈值可以为2分钟,则当第二对等体未收到第一对等体发送的数据包的时间值大于2分钟时,认为第一对等体的IPSEC SA可能已丢失。因此,可将第一对等体作为接收端,第二对等体作为发送端,从而执行发送端向接收端发送IPSEC SA的检测信息,来触发接收端确认接收端的IPSEC SA是否已丢失。
可选地,对于检测信息的发送方式,发送端可以向接收端发送检测报文(Search),该检测报文中携带IPSEC SA的检测信息,以实现检测信息的发送。当然,无论采用什么方式发送检测信息,当接收端接收到发送端发送的IPSEC SA的检测信息后,才能对接收端的IPSEC SA是否已丢失进行确认。
步骤202,接收端接收发送端发送的IPSEC SA的检测信息。
当发送端向接收端发送检测信息后,接收端对发送端发送的检测信息进行接收。对于检测信息的接收方式,若发送端通过携带IPSEC SA的检测信息的检测报文来发送IPSEC SA的检测信息,则接收端可在接收检测报文后,对该检测报文进行解析,从而实现对IPSEC SA的检测信息的接收。
在接收端接收发送端发送的检测信息后,可进一步确认接收端是否存在与检测信息匹配的IPSEC SA,即对接收端的IPSEC SA是否已丢失进行确认。
步骤203,接收端确认接收端是否存在与检测信息匹配的IPSEC SA。
在接收端接收发送端发送的IPSEC SA的检测信息后,接收端对接收端是否存在与检测信息匹配的IPSEC SA进行确认。
对于检测信息的内容,检测信息可以包括发送端的IPSEC SA的安全参数索引(security parameter index,SPI)、安全联盟序列号(security associationidentification,SA ID)和协议序列号(protocolidentification,Protocol ID)。当通过检测报文来携带上述检测信息时,检测报文的格式可参见图3。其中,通知字段(Notification Data)即为SA ID。
除了SPI、SA ID和Protocol ID以外,该检测报文中还包括下一载荷字段(nextpayload)、保留字段(reserved)、载荷长度(payload length)、解释域(domain ofinterpretation,DOI)、安全参数索引尺寸(security parameter index size,SPI Size)和通知数据类型(notify message type)。其中,下一载荷字段、保留字段及载荷长度的值均为0,DOI用于指示检测报文为IPSEC报文,SPI Size用于指示SPI的长度,通知数据类型用于指示检测报文的数据类型。
需要说明的是,进行通信的两端对等体之间的IPSEC SA建立后,便可以获取到SPI、SA ID以及Protocol ID,并且两端对等体的IPSEC SA的SPI、SA ID以及Protocol ID是相同的。由于检测信息是发送端的IPSEC SA的信息,因此如果接收端存在与该检测信息匹配的IPSEC SA,便可以确认该接收端的IPSEC SA是与发送端的IPSEC SA相对应的。也就是说,该接收端的IPSEC SA与发送端的IPSEC SA提供同样的参考参数,通过该接收端的IPSECSA和发送端的IPSEC SA可以实现数据包的加密及解密。
进一步地,在接收端完成确认后,便可以得到确认结果。可选地,确认结果包括以下两种:第一种确认结果为接收端不存在与检测信息匹配的IPSEC SA,第二种确认结果为接收端存在与检测信息匹配的IPSEC SA。在得到确认结果后,便可以触发接收端根据确认结果确定是否向发送端发送确认信息。
步骤204,接收端根据确认结果确定是否向发送端发送确认信息。
对于两种不同的确认结果,接收端采用不同的方式来进行处理。可选地,接收端根据确认结果确定是否向发送端发送确认信息的方式为:对于第一种确认结果,即接收端不存在与检测信息匹配的IPSEC SA,接收端不向发送端发送确认信息。对于第二种确认结果,即接收端存在与检测信息匹配的IPSEC SA,接收端向发送端发送确认信息,以使发送端在参考时间内接收到该确认信息。例如,参见图4,可以通过发送确认报文(acknowledge,ACK)的方式来对确认结果进行发送。
步骤205,若发送端在参考时间内未接收到接收端发送的确认信息,更新发送端的IPSEC SA。
其中,若发送端在参考时间内未接收到接收端发送的确认消息,则说明接收端不存在与发送端的IPSEC SA相对应的IPSEC SA,因此,需要对发送端的IPSEC SA进行更新,以便于在发送端和接收端之间协商新的IPSEC SA,从而恢复发送端与接收端之间数据传输。相应地,参见图5,如果发送端在参考时间内接收到了接收端发送的确认消息,则说明接收端存在与发送端的IPSEC SA相对应的IPSEC SA,可以直接通过该接收端的IPSEC SA与发送端的IPSEC SA来进行数据传输,不需要对发送端的IPSEC SA进行更新。
需要说明的是,在本实施例中,若发送端在第一次向接收端发送检测信息后,在参考时间内未接收到接收端发送的确认消息,还可以重复向接收端发送检测信息。若在发送了参考数量次的检测信息后,仍未收到接收端发送的确认信息,才认为接收端不存在与发送端的IPSEC SA相对应的IPSEC SA,此时再对发送端的IPSEC SA进行更新。
在一种可选的实施方式中,更新发送端的IPSEC SA的实施方式为:删除发送端的IPSEC SA,以在发送端与接收端建立目标IPSEC SA。其中,若IKE SA存在,可直接基于IKESA建立目标IPSEC SA,若IKE SA不存在,则可以先在发送端与接收端之间建立IKE SA,再基于该IKE SA建立目标IPSEC SA。在完成目标IPSEC SA的建立后,发送端与接收端均存在该目标IPSEC SA,因而可通过该目标IPSEC SA提供的参考参数来对数据进行加密或解密,从而恢复发送端与接收端之间的数据传输。
基于上述分析可以看出,对于进行通信的两个对等体,本申请实施例可以在检测到任意一个对等体的IPSEC SA可能丢失的现象时,确认该对等体的IPSEC SA是否存在。若确认结果指示对等体的IPSEC SA不存在,则可以更新两个对等体的IPSEC SA,从而避免数据传输的中断。
另外,本实施例还适用于任意一个对等体的IPSEC SA残留的情况。仍以进行通信的两个对等体为第一对等体和第二对等体为例,对任意一个对等体的IPSEC SA残留的情况进行说明。在正常情况下,第一对等体的IPSEC SA与第二对等体的IPSEC SA是一对一的。若第一对等体存在一个IPSEC SA,而第二对等体除了存在一个与第一对等体的IPSEC SA相对应的IPSEC SA之外,还存在其他IPSEC SA,即第一对等体的IPSEC SA与第二对等体的IPSECSA是一对多的,则上述其他IPSEC SA就是第二对等体的残留的IPSEC SA。
根据本实施例提供的方法,可将第二对等体作为发送端,将第一对等体作为接收端。则将与第一对等体的IPSEC SA相对应的那个IPSEC SA的信息作为检测信息发送给第一对等体后,可以收到第一对等体返回的确认信息;而将残留的IPSEC SA的信息作为检测信息发送给第一对等体后,由于第一对等体不存在与残留的IPSEC SA相对应的IPSEC SA,因而第一对等体不会向第二对等体返回确认信息。因此,可以对第二对等体的残留的IPSECSA进行更新,如删除第二对等体的残留的IPSEC SA,从而避免残留的IPSEC SA对数据传输造成影响。
相关技术提供一种通过失效对等体检测(dead peer detection,DPD)来更新IPSEC SA的方法。其中,若两个对等体中的一个未接收到数据的时间大于参考阈值,则将该对等体作为发送端,向作为接收端的另一个对等体发送HELLO消息,该HELLO消息用于接收端确认接收端是否存在IKE SA。若接收端存在IKE SA,则向发送端回复确认字符;若接收端不存在IKE SA,则不向发送端回复确认字符。若发送端在参考时长内未接收到接收端回复的确认字符,则作为删除IKE SA以及基于IKE SA建立的IPSEC SA,以在两个对等体之间重新建立IKE SA和IPSEC SA。
可以看出,相关技术通过DPD方法来判断IKE SA是否存在。若IKE SA存在,则认为IPSEC SA也存在。然而,在两端对等体的IKE SA均存在、而一端对等体的IPSEC SA不存在的情况下,采用相关技术提供的方法会将两端对等体的IPSEC SA均判断为存在,因而不对IPSEC SA进行更新,导致数据传输持续中断。在两端对等体的IKE SA均存在,而有一端对等体的IPSEC SA残留的情况下,采用相关技术提供的方法仍会将两端对等体的IPSEC SA均判断为存在,因而不对残留的IPSEC SA进行处理,可能对数据传输造成影响。而对于IKE SA不存在的情况,如不基于IKE SA来建立IPSEC SA、而是通过手动配置的方式来建立IPSEC SA的情况下,DPD方法将不能使用。
因此,相关技术的判断IPSEC SA是否丢失的准确性较低,局限性大,从而导致更新安全联盟的效果差。而相比于相关技术,本实施例提供的方法可以在如下的四种情况下对IPSEC SA进行更新:
第一种情况:两端对等体的IKE SA均存在,而其中一端对等体的IPSEC SA不存在;
第二种情况:两端对等体的IKE SA均存在,而其中一端对等体的IPSEC SA残留;
第三种情况:两端对等体的IKE SA均不存在,而其中一端对等体的IPSEC SA不存在;
第四种情况:两端对等体的IKE SA均不存在,而其中一端对等体的IPSEC SA残留。
综上,本申请在检测到一端对等体的IPSEC SA可能丢失的情况下,对该对等体的IPSEC SA是否丢失进行确认,得到确认结果。如果确认结果指示该对等体的IPSEC SA已丢失,则对该对等体以及与该对等体通信的对等体之间的IPSEC SA进行更新,因而避免了数据传输的中断。通过该方法确认IPSEC SA是否丢失的准确率较高,局限性小,从而保证了对IPSEC SA的及时更新。
基于相同构思,如图6所示,本申请实施例还提供了一种更新安全联盟的装置,该装置包括:
发送模块601,用于发送端向接收端发送IPSEC SA的检测信息,接收端用于确认接收端是否存在与检测信息匹配的IPSEC SA,根据确认结果确定是否向发送端发送确认信息;
更新模块602,用于若发送端在参考时间内未接收到接收端发送的确认信息,更新发送端的IPSEC SA。
可选地,发送模块601,用于发送端向接收端发送检测报文,检测报文中携带IPSECSA的检测信息。
可选地,更新模块602,用于删除发送端的IPSEC SA,以在发送端与接收端建立目标IPSEC SA。
可选地,参见图7,装置还包括:获取模块603,用于获取发送端未接收到接收端发送的数据包的时间值;若时间值大于参考阈值,执行发送端向接收端发送检测信息。
可选地,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
综上,本申请在检测到一端对等体的IPSEC SA可能丢失的情况下,对该对等体的IPSEC SA是否丢失进行确认,得到确认结果。如果确认结果指示该对等体的IPSEC SA已丢失,则对该对等体以及与该对等体通信的对等体之间的IPSEC SA进行更新,因而避免了数据传输的中断。通过该方法确认IPSEC SA是否丢失的准确率较高,局限性小,从而保证了对IPSEC SA的及时更新。
基于相同构思,如图8所示,本申请实施例还提供了一种更新安全联盟的装置,该装置包括:
接收模块801,用于接收端接收发送端发送的因特网安全协议安全联盟IPSEC SA的检测信息;
确认模块802,用于确认接收端是否存在与检测信息匹配的IPSEC SA;
确定模块803,用于根据确认结果确定是否向发送端发送确认信息。
可选地,确定模块803,用于若确认结果指示接收端存在与检测信息匹配的IPSECSA,向发送端发送确认信息,以使发送端在参考时间内接收到接收端发送的确认信息。或者,若确认结果指示接收端不存在与检测信息匹配的IPSEC SA,不向发送端发送确认信息。
可选地,接收模块801,用于接收发送端发送的检测报文,检测报文中携带IPSECSA的检测信息。
可选地,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
综上,本申请在检测到一端对等体的IPSEC SA可能丢失的情况下,对该对等体的IPSEC SA是否丢失进行确认,得到确认结果。如果确认结果指示该对等体的IPSEC SA已丢失,则对该对等体以及与该对等体通信的对等体之间的IPSEC SA进行更新,因而避免了数据传输的中断。通过该方法确认IPSEC SA是否丢失的准确率较高,局限性小,从而保证了对IPSEC SA的及时更新。
应理解的是,上述图6、图7或者图8提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置与方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于相同构思,本申请实施例还提供了一种更新安全联盟的设备,该设备包括存储器及处理器;存储器中存储有至少一条指令,至少一条指令由处理器加载并执行,以实现本申请实施例提供的上述任一种更新安全联盟的方法。
基于相同构思,本申请实施例提供了一种通信装置,该装置包括:收发器、存储器和处理器。其中,该收发器、该存储器和该处理器通过内部连接通路互相通信,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,以控制收发器接收信号,并控制收发器发送信号,并且当该处理器执行该存储器存储的指令时,使得该处理器执行上述任一种可能的实施方式中的方法。
基于相同构思,本申请实施例还提供了一种计算机可读存储介质,存储介质中存储有至少一条指令,指令由处理器加载并执行以实现本申请实施例提供的上述任一种更新安全联盟的方法。
基于相同构思,本申请实施例提供了一种芯片,包括处理器,用于从存储器中调用并运行存储器中存储的指令,使得安装有芯片的通信设备执行上述任一种更新安全联盟的方法。
基于相同构思,本申请实施例提供了一种芯片,包括:输入接口、输出接口、处理器和存储器,输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连,处理器用于执行存储器中的代码,当代码被执行时,处理器用于执行上述任一种更新安全联盟的方法。
应理解的是,上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(advanced RISC machines,ARM)架构的处理器。
进一步地,在一种可选的实施例中,上述存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。
该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用。例如,静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic random access memory,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data dateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。
本申请提供了一种计算机程序,当计算机程序被计算机执行时,可以使得处理器或计算机执行上述方法实施例中对应的各个步骤和/或流程。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk)等。
以上仅为本申请的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (18)

1.一种更新安全联盟的方法,其特征在于,方法包括:
在IPSEC SA残留的情况下,残留有IPSEC SA的发送端向接收端发送因特网协议安全IPSEC安全联盟SA的检测信息,接收端用于确认接收端是否存在与检测信息匹配的IPSECSA,根据确认结果确定是否向发送端发送确认信息,所述残留有IPSEC SA的发送端的IPSEC SA与所述接收端的IPSEC SA是多对一的,所述发送端与所述接收端均存在因特网密钥交换IKE SA,或者,所述发送端与所述接收端均不存在所述IKE SA;
所述发送端删除残留的IPSEC SA,所述残留的IPSEC SA为所述发送端未接收到接收端发送确认信息的IPSEC SA,在IPSEC SA未残留的情况下,所述发送端的IPSEC SA与所述接收端的IPSEC SA是一对一的。
2.根据权利要求1所述的方法,其特征在于,发送端向接收端发送因特网协议安全IPSEC安全联盟SA的检测信息,包括:
发送端向接收端发送检测报文,检测报文中携带IPSEC SA的检测信息。
3.根据权利要求1或2所述的方法,其特征在于,在发送端向接收端发送因特网协议安全IPSEC安全联盟SA的检测信息之前,方法还包括:
获取发送端未接收到接收端发送的数据包的时间值;
若时间值大于参考阈值,执行发送端向接收端发送检测信息。
4.根据权利要求1-3任一所述的方法,其特征在于,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
5.一种更新安全联盟的方法,其特征在于,方法包括:
在IPSEC SA残留的情况下,接收端接收残留有IPSEC SA的发送端发送的因特网安全协议IPSEC安全联盟SA的检测信息,所述残留有IPSEC SA的发送端的IPSEC SA与所述接收端的IPSEC SA是多对一的,所述发送端与所述接收端均存在因特网密钥交换IKE SA,或者,所述发送端与所述接收端均不存在所述IKE SA;
确认接收端是否存在与检测信息匹配的IPSEC SA;
根据确认结果确定是否向发送端发送确认信息,所述发送端用于删除残留的IPSECSA,所述残留的IPSEC SA为所述发送端未接收到接收端发送确认信息的IPSEC SA,在IPSECSA未残留的情况下,所述发送端的IPSEC SA与所述接收端的IPSEC SA是一对一的。
6.根据权利要求5所述的方法,其特征在于,根据确认结果确定是否向发送端发送确认信息,包括:
若确认结果指示接收端存在与检测信息匹配的IPSEC SA,向发送端发送确认信息,以使发送端在参考时间内接收到接收端发送的确认信息。
7.根据权利要求5或6所述的方法,其特征在于,接收端接收发送端发送的因特网安全协议IPSEC安全联盟SA的检测信息,包括:
接收端接收发送端发送的检测报文,检测报文中携带IPSEC SA的检测信息。
8.根据权利要求5-7任一所述的方法,其特征在于,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
9.一种更新安全联盟的装置,其特征在于,装置包括:
发送模块,用于在IPSEC SA残留的情况下,残留有IPSEC SA的发送端向接收端发送因特网协议安全IPSEC安全联盟SA的检测信息,接收端用于确认接收端是否存在与检测信息匹配的IPSEC SA,根据确认结果确定是否向发送端发送确认信息,所述残留有IPSEC SA的发送端的IPSEC SA与所述接收端的IPSEC SA是多对一的,所述发送端与所述接收端均存在因特网密钥交换IKE SA,或者,所述发送端与所述接收端均不存在所述IKE SA;
更新模块,用于所述发送端删除残留的IPSEC SA,所述残留的IPSEC SA为所述发送端未接收到接收端发送的确认信息的IPSEC SA,在IPSEC SA未残留的情况下,所述发送端的IPSEC SA与所述接收端的IPSEC SA是一对一的。
10.根据权利要求9所述的装置,其特征在于,发送模块,用于发送端向接收端发送检测报文,检测报文中携带IPSEC SA的检测信息。
11.根据权利要求9或10所述的装置,其特征在于,装置还包括:
获取模块,用于获取发送端未接收到接收端发送的数据包的时间值;若时间值大于参考阈值,执行发送端向接收端发送检测信息。
12.根据权利要求9-11任一所述的装置,其特征在于,检测信息包括发送端的IPSEC SA的安全参数索引、安全联盟序列号和协议序列号。
13.一种更新安全联盟的装置,其特征在于,装置包括:
接收模块,用于在IPSEC SA残留的情况下,接收端接收残留有IPSEC SA的发送端发送的因特网协议安全IPSEC安全联盟SA的检测信息,所述残留有IPSEC SA的发送端的IPSECSA与所述接收端的IPSEC SA是多对一的,所述发送端与所述接收端均存在因特网密钥交换IKE SA,或者,所述发送端与所述接收端均不存在所述IKE SA;
确认模块,用于确认接收端是否存在与检测信息匹配的IPSEC SA;
确定模块,用于根据确认结果确定是否向发送端发送确认信息,所述发送端用于删除残留的IPSEC SA,所述残留的IPSEC SA为所述发送端未接收到接收端发送确认信息的IPSEC SA,在IPSEC SA未残留的情况下,所述发送端的IPSEC SA与所述接收端的IPSEC SA是一对一的。
14.根据权利要求13所述的装置,其特征在于,确定模块,用于若确认结果指示接收端存在与检测信息匹配的IPSEC SA,向发送端发送确认信息,以使发送端在参考时间内接收到接收端发送的确认信息。
15.根据权利要求13或14所述的装置,其特征在于,接收模块,用于接收端接收发送端发送的检测报文,检测报文中携带IPSEC SA的检测信息。
16.根据权利要求13-15任一所述的装置,其特征在于,检测信息包括发送端的IPSECSA的安全参数索引、安全联盟序列号和协议序列号。
17.一种更新安全联盟的设备,其特征在于,设备包括存储器及处理器;存储器中存储有至少一条指令,至少一条指令由处理器加载并执行,以实现权利要求1-8任一所述的更新安全联盟的方法。
18.一种计算机可读存储介质,其特征在于,存储介质中存储有至少一条指令,指令由处理器加载并执行以实现如权利要求1-8中任一所述的更新安全联盟的方法。
CN201910189942.1A 2019-03-13 2019-03-13 更新安全联盟的方法、装置、设备及可读存储介质 Active CN110061965B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910189942.1A CN110061965B (zh) 2019-03-13 2019-03-13 更新安全联盟的方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910189942.1A CN110061965B (zh) 2019-03-13 2019-03-13 更新安全联盟的方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN110061965A CN110061965A (zh) 2019-07-26
CN110061965B true CN110061965B (zh) 2022-08-26

Family

ID=67316888

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910189942.1A Active CN110061965B (zh) 2019-03-13 2019-03-13 更新安全联盟的方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN110061965B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113438094B (zh) * 2020-03-23 2022-12-13 华为技术有限公司 一种自动更新手工配置IPSec SA的方法和设备
CN111541658B (zh) * 2020-04-14 2024-05-31 许艺明 一种pcie防火墙

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102148810A (zh) * 2010-02-04 2011-08-10 成都市华为赛门铁克科技有限公司 安全关联存活检测方法、装置和系统
CN103107950A (zh) * 2013-01-28 2013-05-15 杭州华三通信技术有限公司 一种删除因特网协议安全安全联盟的方法和设备
CN103188228A (zh) * 2011-12-29 2013-07-03 中兴通讯股份有限公司 一种实现端到端安全防护的方法、安全网关及系统
CN103716196A (zh) * 2012-09-28 2014-04-09 杭州华三通信技术有限公司 一种网络设备及探测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016106589A1 (zh) * 2014-12-30 2016-07-07 华为技术有限公司 失效对等体检测方法、IPsec对等体和网络设备
CN106487802B (zh) * 2016-11-07 2019-09-17 杭州迪普科技股份有限公司 基于DPD协议的IPSec SA的异常探测方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102148810A (zh) * 2010-02-04 2011-08-10 成都市华为赛门铁克科技有限公司 安全关联存活检测方法、装置和系统
CN103188228A (zh) * 2011-12-29 2013-07-03 中兴通讯股份有限公司 一种实现端到端安全防护的方法、安全网关及系统
CN103716196A (zh) * 2012-09-28 2014-04-09 杭州华三通信技术有限公司 一种网络设备及探测方法
CN103107950A (zh) * 2013-01-28 2013-05-15 杭州华三通信技术有限公司 一种删除因特网协议安全安全联盟的方法和设备

Also Published As

Publication number Publication date
CN110061965A (zh) 2019-07-26

Similar Documents

Publication Publication Date Title
JP6901850B2 (ja) コンピュータテストツールとクラウドベースのサーバとの間の安全な通信のためのシステム及び方法
KR20180079324A (ko) 디바이스들 사이의 보안 연관을 위한 인터넷 키 교환 (ike)
CN111355684B (zh) 一种物联网数据传输方法、装置、系统、电子设备及介质
CN110061965B (zh) 更新安全联盟的方法、装置、设备及可读存储介质
WO2018094677A1 (zh) 低功耗蓝牙ble设备、数据更新系统及方法
CN111355695B (zh) 一种安全代理方法和装置
CN109040059B (zh) 受保护的tcp通信方法、通信装置及存储介质
CN107801187A (zh) 加解密方法、装置及系统
US20180176230A1 (en) Data packet transmission method, apparatus, and system, and node device
WO2016008212A1 (zh) 一种终端及检测终端数据交互的安全性的方法、存储介质
WO2023279283A1 (zh) 建立车辆安全通信的方法、车辆、终端及系统
US20210126990A1 (en) Data transmission method, device, and system
EP2540056B1 (en) Method for mitigating on-path attacks in mobile ip network
US7623666B2 (en) Automatic setting of security in communication network system
CN112751866A (zh) 一种网络数据传输方法及系统
CN105162794B (zh) 一种使用约定方式的ipsec密钥更新方法及设备
CN110830421B (zh) 数据传输方法和设备
CN105933140A (zh) 一种智能化跨网络运维监控技术
EP3163839A1 (en) Detecting malicious applications
US9680636B2 (en) Transmission system, transmission method and encrypting apparatus
CN106535137A (zh) 无线网络中链路数据传输控制方法
EP3163929B1 (en) Preventing messaging attacks
CN113132320A (zh) 一种加密传输方法、装置及电子设备
CN110784317A (zh) 一种数据加密的交互方法、装置及系统
US20210258283A1 (en) Document Tracking Method, Gateway Device, and Server

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant