WO2011095097A1 - 安全关联存活检测方法、装置和系统 - Google Patents

Description

安全关联存活检测方法、 装置和系统 本申请要求于 2010年 2月 4日提交中国专利局，申请号为 201010113705.6， 发明名称为"安全关联存活检测方法、 装置和系统"的中国专利申请的优先 权， 其全部内容通过引用结合在本申请中。 技术领域 本发明涉及通信技术领域，更具体地说，涉及一种安全关联存活检测方法、 装置和系统。

背景技术

互联网协议安全性（IPSec， IP Security )是一种开放标准的框架结构， 通 过使用加密的安全服务以确保在互联网协议（ IP , Internnet Protocol )基础上 进行保密而安全的通讯。

在 IPSec框架下， 两个对等体（peer )之间存在两类安全关联。 分别是互联 网密钥交换安全关联 ( IKE SA, Internet Key Exchange Security Association )和 互联网协议安全性安全关联 (IPSec SA, Internnet Protocol Security Association)。 IKE协议报文在 IKE SA的保护下进行传输，而数据报文（ IPSec流量）则在 IPSec SA的保护下进行传输。 这就意味着， 两个对等体只有在两边的 IKE SA和 IPSec SA均存活时才能进行安全的通信。 然而， 由于路由切换或者对等体重启等原 因， 对等体中的一端在正常情况下无法得知对端的 IKE SA和 IPSec SA是否存 活,则仍然会利用本端的 IKE SA和 IPSec S A对需要发送的数据进行加密并发送 给对端， 而对端由于 IKE SA或 IPSec SA不存在而丢弃数据， 造成业务中断， 需 要等到 IKE SA和 IPSec SA自然老化后才能触发协商新的 IKE SA和 IPSec SA,从 而使得业务中断时间过长。

现有技术中， IKE协议本身没有提供检测对等体中 IKE SA和 IPSec SA的 存活状态的机制， 而仅是釆用 IKE通知载荷来查询对等体中 IKE SA和 IPSec SA的存活状态。 比较典型的是一种基于流量的对等体存活检验机制： 对等体 存活检测（ DPD, Dead Peer Detection )， 但是 DPD只能够检测 IKE SA的存活 状态， 而无法检测出 IPSec SA的存活状态， 因此在两个对等体中的一个对等 体 IPSec SA不存在时， 由于另一个对等体并不能了解到这种情况而会继续利 用 IPSec SA发送数据报文， 造成数据丢失， 并浪费大量的 CPU资源和加密卡 资源。

发明内容

本发明实施例提供一种安全关联存活检测方法、装置和系统， 以实现检验

IPSecSA是否存活的功能， 从而能够在需要通信时能够及时触发协商新安全关 联以保证正常通信。

一种安全关联存活检测方法， 包括：

接收第二对等体发送的携带安全协议索引 SPI和协议号的安全关联存活 检测 DTD消息；

依据所述 SPI、 所述协议号和所述 DTD消息的源互联网协议 IP地址查找 与第二对等体中的互联网协议安全关联 IPSec SA相应的第一对等体的 IPSec SA;

将所述查找的结果反馈给第二对等体，以便第二对等体依据所述查找结果 确定所述第一对等体的 IPSec SA的存活情况。

根据本发明实施例的另一个方面，提供一种安全关联存活检测方法，包括： 向第一对等体发送携带安全协议索引 SPI和协议号的安全关联存活检测 DTD消息；

接收所述第一对等体依据所述 SPI、 所述协议号和所述 DTD消息的源 IP 查找与第二对等体的 IPSec SA相应的第一对等体的 IPSec SA后反馈的查找结 果；

依据所述查找结果确定所述第一对等体的 IPSecSA的存活情况。

根据本发明实施例的又一个方面，提供一种安全关联存活检测装置，包括： 第一接收单元，用于接收第二对等体发送的携带安全协议索引 SPI和协议 号的安全关联存活检测 DTD消息；

查找单元， 用于侬据所述 SPI、 所述协议号和所述 DTD消息的源 IP地址 查找与第二对等体的 iPSec SA相应的第一对等体的 IPSec SA;

第一发送单元，用于获取所述查找单元的查找结果并反馈给所述第二对等 体， 以便所述第二对等体依据所述查找结果确定所述第一对等体的 IPSec SA 的存活情况。

根据本发明实施例的另外一个方面，提供一种安全关联存活检测装置， 包 括：

第二发送单元，用于向第一对等体发送携带安全协议索引 SPI和协议号的 安全关联存活检测 DTD消息；

第二接收单元， 用于接收所述第一对等体依据所述 SPI、 所述协议号和所 述 DTD消息的源 IP地址查找与第二对等体的 IPSec SA相应的第一对等体的 IPSec SA后反馈的查找结果，并依据查找结果确定所述第一对等体的 IPSec SA 的存活情况。

才艮据本发明实施例的又一个方面， 提供一种对等体通信系统， 包括： 一种 对等体通信系统， 其特征在于， 包括第一对等体和第二对等体， 所述第一对等 体包括第一安全关联存活检测装置，所述第二对等体包括第二安全关联存活检 测装置， 其中：

所述第二安全关联存活检测装置用于：发送携带安全协议索引 SPI和协议 号的安全关联存活检测 DTD消息， 以及接收所述第一对等体依据所述 SPI、 所述协议号和所述 DTD消息的源 IP地址对与所述第二对等体的 IPSec SA相 应的第一对等体的 IPSec SA进行的查找后反馈的查找结果， 并依据所述查找 结果确定所述第一对等体的 IPSec SA的存活情况； 所述第一安全关联存活检测装置用于：接收所述 DTD消息，依据所述 SPI、 所述协议号和所述 DTD消息的源 IP对与所述第二对等体的 IPSecSA相应的第 一对等体的 IPSecSA进行查找， 并将所迷查找结果反馈给所述第二对等体。

从上述的技术方案可以看出， 本发明实施例公开的方案利用目的 IP、协议 号和 SPI可唯一确定第一对等体的 IPSec SA的特点，将携带协议号和 SPI的 DTD 消息发送给第一对等体， 并依据所述协议号和 SPI和所述 DTD消息的源 IP对与 第二对等体的 IPSec SA相应的第一对等体的 IPSec SA进行查找后的反馈结果， 依据该查找结果即可确定第一对等体的 IPSec SA存活情况，提高了对等体安全 关联存活检测的准确性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地， 下面描 述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不 付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为 DPD消息的格式示意图；

图 2为本发明实施例提出 DTD消息的一种具体结构示意图；

图 3为对等体之间的通信过程示意图；

图 4为本发明实施例一提出的安全关联存活检测方法的流程图； 图 5为本发明实施例一中， Peerl查到与所述目标 IPSec SA相同的 IPSec

SA时， 向 Peer2反馈查找结果的示意图；

图 6为本发明实施例一中， Peerl没有查到与所述目标 IPSec SA相同的 IPSec SA时， 向 Peer2反馈查找结果的示意图；

图 7为本发明实施例二提出的安全关联存活检测方法的流程图； 图 8为本发明实施例三提出的安全关联存活检测方法的流程图； 图 9为本发明实施例四提出的安全关联存活检测方法的流程图； 图 10为本发明实施例五提出的安全关联存活检测方法的流程图； 图 11为本发明实施例六提出的安全关联存活检测方法的实现流程图； 图 12为本发明实施例七提出的安全关联存活检测装置的结构示意图； 图 13为本发明实施例八提出的安全关联存活检测装置的结构示意图； 图 14为本发明实施例九提出的安全关联存活检测装置的结构示意图； 图 15为本发明实施例十提出的安全关联存活检测装置的结构示意图； 图 16为本发明实施例十一提出的安全关联存活检测装置的结构示意图； 图 17为本发明实施例十二提出的对等体通信网络系统的结构示意图； 图 18为本发明实施例十三提出的对等体通信网络系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是 全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

为了引用和清楚起见，先将本文中使用的技术名词、简写或缩写总结如下： SPI: Security Parameter Index, 安全参数索引；

AH/ESP: Authentication Header/ Encapsulating Security Payload, 即认证头 /封装安全载荷； 在本文中又统称为协议号， 所述协议号可包括 AH或 ESP, 或者同时包括两者。

AC : ACKnowledge Character, 确认字符；

NAC : Not ACKnowledge Character, 否定确认字符；

DOI: Domain of interpretation, 解释域；

DTD: Dead Tunnel Detection, 即安全关联存活检测， 也可称为隧道存活 检测， 为本文提出的一种新的技术概念， 下文将重点介绍。

实施例一

本发明实施例提出一种新的技术概念一 DTD , 即安全关联存活检测，一般 用于对等体架构的系统， 因此也可以称为对等体安全关联存活检测， 下面先介 绍改进缘由及过程：

当两个对等体之间有 IPSec流量的时候， 没有必要发送额外的消息来证明 对方 IPSec SA是否存活， 因为 IPSec流量本身就能证明对等体 IPSec SA是存 活的。 但是， 在预设时间（时间长度可以根据实际要求进行设置和调整） 内没 有 IPSec流量发生 (即没有数据交换)时， 对等体安全关联的存活状态是不确定 的， 因此可以发送 DPD消息来检测对端安全关联是否存活。通过发送 DPD消 息检测对端安全关联是否存活的方法存在两种方式，其中一种方式被称为间隔 式 DPD ( DPD Interval ), 即在预设时间内没有 IPSec流量发生时发送 DPD消 息来检测对端是否存活；另外一种方式被称为请求式 DPD ( DPD Ondemand ), 即在预设时间内没有 IPSec 流量发生且存在数据报文需要通过安全关联发送 时， 才进行检测。

DPD消息的格式如图 1 所示， 包括协议标识 Protocol-ID字段、 Cookies 字段、 通知消息类型 Notify Message Type字段和通知数据 Notification Data字 段； 其中：

协议标识 Protocol-ID: 互联网安全关联和密钥管理协议 ( Internet Security Association and Key Management Protocol, ISAKMP)的协议标识；

Cookies尺寸 Cookies Size: 指 ISAKMP cookies的长度， 一般是 16bit; 通 知 消 息 类 型 Notify Message Type ： 被 设 置 成 -U-THERE/R-U-THERE-ACK;

Cookies:发起者和响应者的 cookies;

通知数据 Notification Data: 随机产生的序列号， 用于防重放攻击和防止 伪造保活报文。

所述 DPD 消息还可以包括： 下一载荷 Next Payload 字段， 保留项 RESERVED, 载荷长度 Payload Length字段、 解释域 DOI。

由于采用 DPD检测方式只能够检测 IKE SA存活情况， 而无法检测出 IPSec SA的存活情况， 因此在两个对等体中的其中一个对等体（^ϋ殳为 Α )某 IPSec SA不存在时， 由于另一个对等体（ 支设为 B )并不能了解到这种情况而 继续利用该 IPSec SA发送数据报文， 造成数据丢失（如果这种情况持续一段 时间即产生"数据黑洞"）， 导致通信业务受影响， 且浪费大量的 CPU资源和加 密卡资源， 而 IPSec协议规定， 每条 IPSec SA都有自己的有效期 （生存期）， 各奈 IPSec SA在有效期结束时即被终止（也称为自然老化）， 也就是说， 对等 体 B需要等待该 IPSec SA自然老化后才能与对等体 A重新协商新的 IPSec SA。 因此， 本发明实施例提出了一种新的安全关联存活检测方法。 为了方便描述， 下文将携带协议号和 SPI的安全关联存活检测消息称之为 DTD消息， DTD消 息的形式可以是 IKE报文（下文统称为 IKE通知载荷）， 结构如图 2所示， 包 括协议标识 Protocol-ID字段、 Cookies字段、通知消息类型 Notify Message Type 字段、安全参数索引 SPI(Security Parameter Index)字段、安全参数索引尺寸 SPI Size字段和通知数据 Notification Data字段， 其中：

协议标识 Protocol-ID:被设置成 IPSec的协议号（协议 ID ), 比如， AH或 者 ESP;

安全参数索引尺寸 SPI Size: 是指 IPSec SA的 SPI的长度。

通 知 消 息 类 型 Notify Message Type ： 被 设 置 成 R-U-THERE/R-U-THE E-ACK/ R-U-THERE-NAC ;

安全参数索引 SPI(Security Parameter Index):被设置成 IPSec SA的入方向 安全参数索引 Inbound SPI和出方向安全参数索引 Outbound SPI;

通知数据 Notification Data: 随机产生的序列号， 用于防重放攻击和防止 伪造保活报文。

所述 DTD 消息还可以包括： 下一载荷 Next Payload 字段， 保留项

RESERVED, 载荷长度 Payload Length字段、 解释域 DOI。

以提出 DTD为基 ， 本发明实施例提供了一种安全关联存活检测方法： 如图 3所示， 第一对等体 Peerl和第二对等体 Peer2为网络中的两个对等 体， 均可以作为 DTD消息的发送者和接收者， 在本实施例中， 以 Peerl作为 DTD消息的接收者， peer2作为 DTD消息的发送者为例进行描述， 站在 Peerl 的角度， 安全关联存活检测流程如图 4所示， 包括以下步骤：

步骤 S41、 接收 Peer2发送的携带 SPI和协议号的 DTD消息。

步驟 S42、根据所述 DTD消息的 SPI、所述协议号和源 IP地址查找与 Peer2 的 IPSec SA相应的 Peerl的 IPSec SA。

在步骤 S42中， 可以利用所述 DTD消息的 SPI、 所迷协议号和源 IP地址 三元组确定 Peer2 的 IPSec SA。 然后在 Peerl的所有 IPSec SA中查找与 Peer2 的 IPSec SA相对应的 IPSec SA。

步骤 S43、 将查找结果反馈给 Peer2。

在步驟 S43中，当查询到与所述 Peerl 的 IPSec SA相对应的 IPSec SA时， 以 A-U_THERE-ACK消息作为查找结果发送给 Peer2, 如图 5所示； 否则， 以 A-U_THERE-NACK消息作为查找结果发送给 Peer2,如图 6所示。 Peer2依据 A-U THERE-ACK/ A-U— THERE-NACK消息确定 Peerl端的 IPSec SA存活情 况。

需要说明的是， 以 A-U— THERE- ACK/ A-U— THERE-NACK消息指示查找 结果只是一种实现方式而已，还有其他实现方式，只要能够区分两种结果即可， 本文对此不做限定。

上述实施例中， Peerl利用 Peer2发送的携带协议号和 SPI的 DTD消息对 与 Peer2的 IPSec SA相应的 Peerl的 IPSec SA进行查找，并告知 Peer2查找结 果， 以便 Peer2知悉双方的 IPSec SA存活情况。 从而方便 Peer2根据双方的 IPSec SA存活情况进行相应操作， 例如： 及时删除其所述 Peer2的 IPSec SA 以触发协商新的安全关联， 而无需等待安全关联的自然老化时间， 以加快双方 通信业务的恢复速度， 并且由于无需等待安全关联的自然老化时间， 不存在在 省了 CPU和加密卡资源。 实施例二

本实施例是在上述实施例一的基础上， 更详细地描述接收到 DTD消息后 如何操作并以什么样的形式将查找结杲反馈，流程如图 7所示，包括以下步骤： 步骤 S71、 接收 Peer2发送的 IKE通知载荷。

所述 IKE通知载荷是上述 DTD消息的一种具体形式， 若未经地址转换协 议 NAT变更 IP地址， 则该 IKE通知载荷的源 IP地址就是 Peerl的 IPSec SA 的目的 IP地址， 所述 IKE通知载荷可以仅包括 SPI和协议号。

当然，所述 DTD消息还可以是另外形式的报文，本文对所述 DTD消息的 具体形式不做限定。

步骤 S72、 根据所述 IKE通知载荷的头部信息查找相应的 IKE SA。

具体的，参考上述图 2， IKE通知载荷的头部信息中的 Cookies中包含 IKE SA信息， 因此，可根据所述 IKE头部信息的 cookies查找与 Peer2的 IKE SA 相应的 Peerl的 IKE SA。

步骤 S73、 根据所述查找的结果判断是否查找到与 Peer2的 IKE SA相应 的 Peerl的 IKE SA, 若是， 进入步骤 S74; 否则， 进入步骤 S75。

步骤 S74、利用查找到的 Peerl的 IKE SA对所述 IKE通知载荷进行解密， 获取 SPI和协议号， 进入步骤 S76。

在步骤 S74中， 可以利用 IKE SA对 IKE通知载荷进行解密， 获取相关数 据内容，如 IPSec SA的 Inbound SPI和 Outbound SPI以及协议号等， 然进入步 骤 S76。

步骤 S75、 丢弃所述 IKE通知载荷。

步骤 S76、根据所述 IKE通知载荷的源 IP地址、 SPI和协议号（组成了三 元组，用于确定唯一的 IPSec SA )查找与 Peer2的 IPSec SA相应的 Peerl的 IPSec SA。

步驟 S77、 根据所述查找的结果判断是否查找到所述 Peerl的 IPSec SA, 若是， 进入步骤 S78; 否则， 进入步驟 S79。

步骤 S78、 回应 A-U-THERE-ACK消息。 此消息可以按照上述 IKE通知载荷中的 Notify Message Type字段规定的 通知类型进行设置。

步骤 S79、 回应 A-U-THERE-NACK消息。

此消息也同样可以按照上述 IKE通知载荷中的 Notify Message Type字段 规定的通知类型进行设置。

需要说明的是， 本实施例中， 仅在 Inbound SPI和 Outbound SPI两者都被 查到时， 才确定所述 Peer 1的 IPSec SA被查到。 而如果仅是其中一个查到或 者两个都没查到时， 则确定所述 Peerl的 IPSec SA没有被查到。

本实施例中 Peerl利用 Peer2发送的携带协议号和 SPI的 DTD消息对与 Peer2的 IPSec SA相应的 Peerl的 IPSec SA进行查找，并告知 Peer2查找结果， 以便 Peer2知悉双方的 IPSec SA存活情况。从而提高了对等体安全关联（ SA ) 存活状态检测的一致性， 从而方便 Peer2根据双方的 IPSec SA存活情况进行 相应操作， 例如： 及时删除 Peer2的 IPSec SA以触发协商新的安全关联， 而 无需等待安全关联的自然老化时间， 以加快双方通信业务的恢复速度， 并且由 于无需等待安全关联的自然老化时间，不存在在等待安全关联的自然老化时间 过程中不断发送数据而导致数据丢失的问题， 节省了 CPU和加密卡资源。

实施例三

站在 Peer2的角度（ Peer2为 DTD消息的发送者）， 本实施例提供一种安 全关联存活检测的方法， 所述方法的流程如图 8所示， 包括以下步骤：

步骤 S81、 向 Peerl发送携带 SPI、 协议号的 DTD消息。

步骤 S82、接收 Peerl依据所述 SPI、所述协议号和所述 DTD消息的源 IP 对与 Peer2的 IPSec SA相应的 Peerl的 IPSec SA进行查找后反馈的查找结果。

在步骤 S82中， 所述查找后反馈的查找结果可以是 Peerl依据所述 SPI、 所述协议号和该 DTD消息的源 IP对安全安全关联进行查找后反馈的查找结 果。具体的， Peerl会依据 SPI、协议号和 DTD消息的源 IP确定一个 Peer 1 的 IPSec SA, 在其本端中的所有 IPSec SA中进行查找， 并反馈查找结果。

步骤 S83、 依据所述查找结果确定所述 Peerl的 IPSec SA的存活情况。 在步骤 S83中， 当接收到 A-U-THERE-ACK消息时， 确定存在所述 Peerl 的 IPSec SA， 当接收到 A-U-THERE-NACK消息时， 确定不存在所述 Peerl的 IPSec SA。

本实施例中的 Peer2发送携带协议号和 SPI的 DTD消息给 Peerl,接收 Peerl依据所述 SPI、所述协议号和所述 DTD消息的源 IP查找与 Peer2的 IPSec SA相应的 Peerl的 IPSec SA后反馈的查找结果， 依据所迷查找结果确定所述 依据所迷查找结果确定所述第一对等体的 IPSecSA的存活情况。提高了对等体 安全管理检测的准确性， 也为后续控制操作提供了方便， 例如： 在获知所述 Peerl的 IPSec SA不存在时，可以及时删除所述 Peer2的 IPSec SA以触发协商 新的安全关联， 而无需等待安全关联的自然老化时间， 以加快双方通信业务的 恢复速度， 并且由于无需等待安全关联的自然老化时间， 不存在在等待安全关 联的自然老化时间过程中不断发送数据而导致数据丟失的问题， 节省了 CPU 和加密卡资源。

实施例四

由于 Peer2向 Peerl发送 DTD消息（即启动 DTD检测）可以是定时进行 的， 也可以是在某种情况被触发而进行的， 因此， 本实施例将以通过触发发送 DTD消息来为例对安全关联存活检测的方法进行描述， 如图 9所示， 该方法 可以包括以下步骤：

步骤 S91、 计算 Peer2IPSec SA中没有流量的持续时间。

IPSec SA每次有数据报文转发时， 都会记录最后一次数据报文的转发时 间，因此，计算 IPSec SA中没有流量的持续时间的方式可以是：定时检查 IPSec SA在一段时间内是否有入流量，利用当前时间减去 IPSec SA最后一次使用时 间， 得到的结果就是 IPSec SA中没有流量的持续时间。

计算 IPSec SA中没有流量的持续时间的一种实现方式还可以是： 为每条 IPSec SA分别设置一个计时器， 在对应的 IPSec SA被使用 （即进行数据报文 的转发）时开始计时（其计算的时间为 IPSec SA中没有流量的持续时间）， 于 是， 当计时超过预设门限时启动 DTD检测。 步驟 S92、提取 Peer2的 IPSec SA的 SPI(包括 Inbound SPI和 Outbound SPI ) 以及协议号， 构造 DTD消息。

步骤 S93、 将所述 DTD消息在相应的 IKE SA保护下传输给对端。

将所述 DTD消息在相应的 IKE SA保护下传输的具体实现方式可以是： 将 DTD消息以 IKE通知载荷的形式传输。

步驟 S94-步骤 S95与上述步骤 S82-步驟 S83基本相同， 在此不再赘述。 本实施例在 IPSec SA 中没有流量的持续时间超过预定门限时马上发送 DTD消息以进行安全关联存活检测， 在其他实施例中， 可以是在 IPSec SA中 没有流量的持续时间超过预定门限且所在端存在需要通过 IPSec SA发送的数 据报文时， 才触发发送 DTD消息以进行安全关联存活检测。 显然， 后者更节 省资源，但是在进行安全关联存活检测需要花费一些时间，正常的数据发送只 能等待这段时间过后才能进行， 相比而言， 前者的及时性较优。

实施例五

本实施例在上述实施例四的基 上进行改进，

具体流程如图 10所示， 包括以下步骤：

步骤 S101- S103与上述步骤 S91- S93基本相同， 在此不再赘述； 步骤 S104、 判断预设时间内是否收到对端的反馈结果， 若是， 进入步驟 S105; 否则， 进入步骤 S107;

步骤 S105、 接收 Peerl依据所述 SPI、 所述协议号和所述 DTD消息的源 IP对与 Peer2的 IPSec SA相应的 Peerl的 IPSec SA进行查找后反馈的查找结 果。

步骤 S106、 依据查找结果确定所述 PeerllPSec SA存活情况。

步骤 S 107、 重传所述 DTD消息并记录重传次数。

步骤 S108、当所述重传次数超过预设门限时，确定所述 Peerl的 IPSec SA 不存在。

如果重传次数超过预设门限， 即可认为 Peerl与 Peer2之间的安全关联失 效。 所述预设门限可以根据网络实际情况或者用户需求进行设置和调整。 可以看出，本实施例使用重传的方式来提高通信可靠性， 并且进一步规定 在重传次数超过预定门限时确定所述 Peerl的 IPSec SA不存在， 如此可以及 时触发协商新的安全关联， 以保证通信业务的正常进行， 而无需等待安全关联 的正常老化， 从而提高对等体之间通信的安全性。

需要说明的是， 本文对所述预设时间和 DTD消息的重传次数的具体数值 不做限定， 本文建议在所述预设时间至少是几分钟， 重传次数最少 7、 8次的 情况下才考虑删除 Peer2的 IPSecSA。 并且， 不同的环境可以设定不同规则， 另外， 为了避免网络拥塞更加严重， 可以规定所述各次重传后所述预设时间的 时间长度可以以指数形式增加。 实施例六

本实施例公开了一种依据上述实施例三、四和五的基础上提出一种安全关 联存活检测方法， 所述方法流程如图 11所示， 包括以下步骤：

步骤 SI 11、 向 Peerl发送携带 SPI和协议号的 DTD消息。

步骤 S112、 接收 Peerl依据所述 SPI、 所述协议号和所述 DTD消息的源 IP地址对与 Peer2的 IPSec SA相应的 Peerl的 IPSec SA进行查找后反馈的查 找结果。

具体的， Peerl会依据 SPI、协议号和 DTD消息的源 IP地址确定 Peerl的 IPSec SAIPec SA, 在其与 Peerl的所有 IPSec SA中进行查找， 并反馈查找结 果。

步骤 S113、 依据所述查找结果确定所述 Peerl的 IPSec SA存活情况。 当接收到 Peerl反馈的查找结果是 A-U-THERE-ACK消息时，即可以确定 存在所述 Peerl 的 IPSec SA , 当接收到 Peerl 反馈的查找结果是 A-U-THE E-NACK时， 即可以确定不存在所述 Peerl的 IPSec SA。

步骤 S114、 当确定不存在所述 Peerl的 IPSec SA时， 删除所述 Peer2的 IPSec SA。

删除所述 Peer2的 IPSec SA包括： 删除确定 IPSec SA的相关信息， 如目 的 IP、 SPI、 协议号及其他相关信息。

如果存在所述 Peerl的 IPSec SA时， 则保持所述 Peer2的 IPSec SA有效， 否则， 删除所述 Peer2的 IPSec SA, 以触发协商新的安全关联， 保证双方通信 业务的正常进行。

需要说明的是上述步骤 S114也可以结合在上述实施例四、 五中形成其他 安全关联存活检测方法， 在此不再赘述。

另外， 当确定 Peerl无效（即： 重传 DTD消息次数超过预设门限） 时， 删除本端相应的 IKE SA和 IPSec SA。

根据本发明实施例的方法，依据与 Peer2的 IPSec SA相应的 Peerl的 IPSec SA存活情况进行相应的控制操作， 能够在获知所述 Peerl的的 IPSec SA不存 在时， 及时删除所述 Peer2的 IPSec SA以触发协商新的安全关联， 而无需等 待安全关联的自然老化时间， 以加快双方通信业务的恢复速度， 并且由于无需 等待安全关联的自然老化时间，不存在在等待安全关联的自然老化时间过程中

Peer2不断发送数据而导致数据丢失的问题，減少了 CPU和加密卡的工作时间 和工作次数， 从而节省了 CPU和加密卡资源。 实施例七

本实施例针对上述实施例一和实施例二，提供了一种安全关联存活检测装 置， 其结构如图 12所示， 包括第一接收单元 121、 查找单元 122和第二发送 单元 123 , 其中：

第一接收单元 121 , 用于接收第二对等体发送的携带 SPI和协议号的安全 关联 DTD消息。

查找单元 122, 用于依据所述 DTD消息中的 SPI、 协议号和该 DTD消息 的源 IP查找与第二对等体的 IPSec SA相应的第一对等体的 IPSec SA。

第一发送单元 123， 用于获取所述查找单元的查找结果并反馈给所述第二 对等体， 以便所述第二对等体依据所述查找结果确定所述第一对等体的 IPSec SA的存活情况。 本装置的具体工作流程可参照前文实施例一和实施例二的内 容， 在此不再赘述。

本发明实施例公开的装置利用第二对等体发送的携带协议号和 SPI 的 DTD消息对与第二对等体的 IPSec SA相应的第一对等体的 IPSec SA进行查 找，并告知地二对等体查找结果，以便第二对等体知悉所述第一对等体的 IPSec SA存活情况。 提高了对等体安全关联检测的准确度， 从而方便第二对等体后 续根据所述第一对等体的 IPSec SA存活情况进行相应操作， 例如： 及时删除 其第二对等体相应的 IPSec SA以触发协商新的安全关联， 而无需等待安全关 联的自然老化时间， 以加快双方通信业务的恢复速度， 并且由于无需等待安全 关联的自然老化时间，不存在在等待安全关联的自然老化时间过程中不断发送 数据而导致数据丟失的问题， 节省了 CPU和加密卡资源。

实施例八

本实施例与上述实施例三相对应， 提供了另一种安全关联存活检测装置， 其结构如图 13所示， 包括： 第二发送单元 131和第二接收单元 132， 其中： 第二发送单元 131， 用于向第一对等体发送携带 SPI、 协议号的安全关联 DTD消息。

第二接收单元 132， 用于接收所述第一对等体依据所述 SPI、 所述协议号 和该 DTD消息的源 IP查找与第二对等体的 IPSec SA相应的第一对等体的 IPSec SA后反馈的查找结果，并依据查找结果确定所述第一对等体的 IPSec SA 的存活情况。。

具体工作过程请参照实施例三。

本发明实施例可以存在于对等体中的需要发起安全关联存活检测一端，该 端向第一对等体发送携带协议号和 SPI 的 DTD 消息， 获取第一对等体依据 DTD消息对其第二对等体的 IPSec SA进行查找后反馈的查找结果， 即可获知 该所述第一对等体的 IPSec SA存活情况。 为后续控制操作提供了方便， 例如： 在获知所述第一对等体的 IPSec SA不存在时， 及时删除所述第二对等体相应 的 IPSec SA以触发协商新的安全关联， 而无需等待安全关联的自然老化时间， 以加快双方通信业务的恢复速度， 并且由于无需等待安全关联的自然老化时 间，不存在在等待安全关联的自然老化时间过程中不断发送数据而导致数据丟 失的问题， 节省了 CPU和加密卡资源。 实施例九

本实施例针对上述实施例三，提供了另一种安全关联存活检测装置，其结 构如图 14所示， 包括第二发送单元 131、 第二接收单元 132、 计时单元 143 和触发指示单元 144, 其中：

计时单元 143 , 用于计算没有收到第一对等体的互联网协议安全性 IPSec 流量的持续时间。

触发指示单元 144， 用于当所迷持续时间超过预设门限时， 或者当所述持 续时间超过预设门限且所述装置所在端存在数据报文需要发送时，触发第二发 送单元 131发送所述 DTD消息。

本实施例上述实施例八的基石出上，进一步公开了进行安全关联存活检测的 时机，在 IPSec SA中没有流量的持续时间超过预定门限时马上发送 DTD消息 以进行安全关联检测， 及时性较好。

在其他实施例中， 还可以是在 IPSec SA中没有流量的持续时间超过预定 门限且第二对等体存在需要通过 IPSec SA发送的数据报文时， 才触发发送 DTD消息以进行安全关联检测。 显然， 与上述实施例九相比要更节省资源。

实施例十

本实施例针对上述实施例四和实施例五，提供了另一种安全关联存活检测 装置， 包括第二发送单元 131、 第二接收单元 132、 计时单元 143、 触发指示 单元 144和重发指示单元 155, 其中：

重发指示单元 155用于： 在所述第二发送单元发出 DTD消息后， 所述第 二接收单元没有收到所述对端的响应信息时，指示第二发送单元 131重传所述 DTD消息。

此外， 还可以包括： 计数单元 156和删除指示单元 157， 其中： 计数单元 156, 用于计算所述第二发送单元的重传次数； 删除指示单元 157, 用于在所述重传次数超过预设门限时， 发出删除本与第一对等体的 IKE

SA相应的第二对等体的 IKE SA、 与第一对等体的 IPSec SA相应的第二对等 体的 IPSec SA指示。 本实施例在上述实施例九的基础上进行改进，使用重传的方式来提高通信 可靠性， 并且进一步规定在重传次数超过预定门限时确定所述第一对等体 IPSec SA不存在，如此可以及时触发协商新的安全关联， 以保证通信业务的正 常进行， 而无需等待安全关联的正常老化。

实施例十一

本发明实施例还提供一种安全关联存活检测装置， 包括： 安全关联存活状 态确定单元 161和管理单元 162， 其中：

安全关联存活确定单元 161， 用于向第一对等体发送携带 SPI和协议号的 DTD消息， 以及， 接收所述第一对等体利用所述 SPI、 所述协议号和该 DTD 消息的源 IP与第二对等体的 IPSecSA相应的第一对等体的 IPSecSA进行查找 的查找结果， 并根据查找结果确定所述第一对等体的 IPSec SA的存活状态。

管理单元 162， 用于获取所述安全关联存活确定单元确定的所述第一对等 体的 IPSec SA的存活状态， 当确定与所述第二对等体的 IPSecSA相应的第一 对等体的 IPSecSA相应的 IPSec SA不存在时， 删除所述第二对等体的 IPSec SA。 另外， 还可以确定第一对等体无效时， 删除与第一对等体的 IKE SA相应 的第二对等体的 IKE SA、与第一对等体的 IPSec SA相应的第二对等体的 IPSec SA。

需要说明的是， 安全关联存活确认单元 161的结构可以是上述实施例八、 九和实施例十所提供的安全关联存活检测装置中的任意一个，其具体结构可以 参照图 13、 14和 15。 此外， 本发明实施例七至十一中所述的 DTD消息可以 包括 IKE报文等多种形式。

本实施例公开的安全关联存活检测装置可以设置于两个对等体中的任意 一端， 通过安全关联存活确认单元确认与所述第二对等体的 IPSec SA相应的 第一对等体的 IPSec SA存活情况。 并依据所述第一对等体的 IPSec SA存活情 况进行相应的控制操作， 能够在获知所述第一对等体的 IPSec SA不存在时， 及时删除所述第二对等体的 IPSec SA以触发协商新的安全关联， 而无需等待 安全关联的自然老化时间， 以加快双方通信业务的恢复速度， 并且由于无需等 待安全关联的自然老化时间，不存在在等待安全关联的自然老化时间过程中本 端不断发送数据而导致数据丟失的问题， 节省了 CPU和加密卡资源。

实施例十二

本发明实施例同时还提供一种对等体通信系统， 其结构如图 17所示， 包 括第一对等体 171和第二对等体 172, 第一对等体 171包括第一安全关联存活 检测装置 173， 第二对等体 172包括第二安全关联存活检测装置 174， 其中： 第二安全关联存活检测装置 174用于：发送携带安全协议索引 SPI和协议 号的安全关联存活检测 DTD消息， 以及接收所述第一对等体依据所述 SPI、 所述协议号和所述 DTD消息的源 IP地址对与所述第二对等体的 IPSec SA相 应的第一对等体的 IPSec SA进行的查找后反馈的查找结果， 并依据所述查找 结果确定所述第一对等体的 IPSec SA的存活情况；

第一安全关联存活检测装置 173用于：接收所述 DTD消息，依据所迷 SPI、 所述协议号和所述 DTD消息的源 IP对与所述第二对等体的 IPSecSA相应的第 一对等体的 IPSecSA进行查找， 并将所述查找结果反馈给所述第二对等体。 需要说明的是， 第一安全关联存活检测装置 173可以是上述实施例八、九 和实施例十所提供的安全关联存活检测装置中的任意一个，其具体结构可以参 照图 13、 14和 15。 第二安全关联存活检测装置 174可以是上述实施例七所提 供的安全关联存活检测装置， 具体结构参照图 12。

本实施例公开的系统中的对等体能够发起对对端对等体的安全关联存活 检测， 从而能够获知对端 IPSec SA的存活情况， 提高安全关联存活检测的准 确性。

实施例十三

本发明实施例同时还提供另一种对等体通信系统， 其结构如图 18所示， 包括第一对等体 181和第二对等体 182, 第一对等体 181包括由第一安全关联 存活检测装置 183和管理装置 185 , 第二对等体 182包括第二安全关联存活检 测装置 184, 其中： 第二安全关联存活检测装置 184与上述实施例十二中的同 名装置的功能基本相同，所述安全关联管理装置与上述实施例十一中公开的安 全关联管理装置相同。 此外， 本发明实施例十二至十三中所述的 DTD消息可 以包括 IKE报文等多种形式。

本实施例公开的系统在上述实施例的基础上，进一步增加了安全关联管理 功能， 在获知与所述第二对等体的 IPSec SA相应的第一对等体的的 IPSec SA 不存在时， 及时删除所述第二对等体的 IPSec SA以触发协商新的安全关联， 而无需等待安全关联的自然老化时间， 以加快双方通信业务的恢复速度， 并且 由于无需等待安全关联的自然老化时间，不存在在等待安全关联的自然老化时 间过程中本端不断发送数据而导致数据丟失的问题， 节省了 CPU和加密卡资 源。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明 可借助软件加必需的硬件平台的方式来实现， 当然也可以全部通过硬件来实 施， 但很多情况下前者是更佳的实施方式。基于这样的理解， 本发明的技术方 案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计 算机软件产品可以存储在存储介质中， 如 R0M/RAM、 磁碟、 光盘等， 包括若干 指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等） 执行本发明各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行 限制，尽管参照较佳实施例对本发明进行了详细的说明， 本领域的普通技术人 员应当理解： 其依然可以对本发明的技术方案进行修改或者等同替换， 而这些 修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和 范围。

Claims

权 利 要 求

1、 一种安全关联存活检测方法， 其特征在于， 包括：

接收第二对等体发送的携带安全协议索引 SPI和协议号的安全关联存活 检测 DTD消息；

依据所述 SPI、 所述协议号和所述 DTD消息的源互联网协议 IP地址查找 与第二对等体中的互联网协议安全关联 IPSec SA相应的第一对等体的 IPSec SA;

将所述查找的结果反馈给第二对等体，以便第二对等体依据所述查找结果 确定所迷第一对等体的 IPSec SA的存活情况。

2、 如权利要求 1所述的方法， 其特征在于， 所述 DTD消息包括互联网密 钥协议 IKE报文。

3、 一种安全关联存活检测方法， 其特征在于， 包括：

向第一对等体发送携带安全协议索引 SPI和协议号的安全关联存活检测 DTD消息；

接收所述第一对等体依据所述 SPI、 所述协议号和所述 DTD消息的源 IP 查找与第二对等体的 IPSec SA相应的第一对等体的 IPSec SA后反馈的查找结 果；

依据所述查找结果确定所述第一对等体的 IPSecSA的存活情况。

4、 如权利要求 3所述的方法， 其特征在于， 还包括：

当确定所述第一对等体的 IPSec SA不存在时， 删除所述第二对等体中与 第一对等体的 IPSec SA相应的 IPSec SA。

5、 如权利要求 3所述的方法， 其特征在于， 所述向第一对等体发送携带 安全协议索引 SPI和协议号的安全关联存活检测 DTD消息包括：

当没有收到第一对等体的 IPSec流量的持续时间超过预设门限时， 向所述 第一对等体发送携带安全协议索引 SPI和协议号的安全关联存活检测 DTD消 息。

6、 如权利要求 3所述的方法， 其特征在于， 所述向第一对等体发送携带 安全协议索引 SPI和协议号的安全关联存活检测 DTD消息包括：

当没有收到第一对等体的 IPSec流量的持续时间超过预设门限，且存在数 据报文需要发送时，向所述第一对等体发送所述携带安全协议索引 SPI和协议 号的安全关联存活检测 DTD消息。

7、 如权利要求 3-6任意一项所述的方法， 其特征在于， 所述 DTD消息包 括 IKE报文。

8、 一种安全关联存活检测装置， 其特征在于， 包括：

第一接收单元，用于接收第二对等体发送的携带安全协议索引 SPI和协议 号的安全关联存活检测 DTD消息；

查找单元， 用于侬据所述 SPI、 所述协议号和所述 DTD消息的源 IP地址 查找与第二对等体的 IPSec SA相应的第一对等体的 IPSec SA;

第一发送单元，用于获取所述查找单元的查找结果并反馈给所述第二对等 体， 以便所述第二对等体依据所述查找结果确定所述第一对等体的 IPSec SA 的存活情况。

9、 如权利要求 8所述的装置， 其特征在于， 所述 DTD消息包括 IKE报 文。

10、 一种安全关联存活检测装置， 其特征在于， 包括：

第二发送单元，用于向第一对等体发送携带安全协议索引 SPI和协议号的 安全关联存活检测 DTD消息；

第二接收单元， 用于接收所述第一对等体依据所述 SPI、 所述协议号和所 述 DTD消息的源 IP地址查找与第二对等体的 IPSec SA相应的第一对等体的 IPSec SA后反馈的查找结果，并依据查找结果确定所述第一对等体的 IPSec SA 的存活情况。

11、 如权利要求 10所述的装置， 其特征在于， 还包括：

管理单元， 用于当所述第二接收单元确定所述第一对等体的 IPSec SA不 存在时， 删除所述第二对等体中与第一对等体的 IPSec SA相应的 IPSec SA。

12、 如权利要求 10所述的装置， 其特征在于， 还包括： 计时单元， 用于计算没有收到所述第一对等体的 IPSec流量的持续时间； 触发指示单元， 用于当所述持续时间超过预设门限时，或者当所述持续时 间超过预设门限且第二对等体存在数据报文需要发送时，触发所述第二发送单 元发送所述 DTD消息。

13、 如权利要求 10-12任意一项所述的装置， 其特征在于， 所述 DTD消 息包括 IKE报文。

14、 一种对等体通信系统， 其特征在于， 包括第一对等体和第二对等体， 所述第一对等体包括第一安全关联存活检测装置，所述第二对等体包括第二安 全关联存活检测装置， 其中：

所述第二安全关联存活检测装置用于：发送携带安全协议索引 SPI和协议 号的安全关联存活检测 DTD消息， 以及接收所述第一对等体依据所述 SPI、 所述协议号和所述 DTD消息的源 IP地址对与所述第二对等体的 IPSec SA相 应的第一对等体的 IPSec SA进行的查找后反馈的查找结果， 并依据所述查找 结果确定所述第一对等体的 IPSec SA的存活情况；

所述第一安全关联存活检测装置用于：接收所述 DTD消息，依据所述 SPI、 所述协议号和所述 DTD消息的源 IP对与所述第二对等体的 IPSecSA相应的第 一对等体的 IPSecSA进行查找， 并将所述查找结果反馈给所述第二对等体。

15、 如权利要求 16所述的系统， 其特征在于， 所述第二对等体还包括： 管理装置，用于获取所述第二安全关联存活检测装置的检测结果， 当确定 与所述第二对等体的 IPSec SA相应的第一对等体的 IPSec SA不存在时， 删除 所述第二对等体中与第一对等体的 IPSec SA相应的 IPSec SA。

16、 如权利要求 14或 15所述的系统， 其特征在于， 所述 DTD消息包括 IKE 报文。