一种删除因特网协议安全安全联盟的方法和设备

技术领域

本申请涉及通信技术领域，特别涉及一种删除因特网协议安全安全联盟的方法和 设备。

背景技术

因特网协议安全（IP Security，IPsec）是互联网工程任务组（IETF）制定的三层 隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码 学的安全保证，是一种传统的实现三层虚拟专用网络（Virtual Private Network，VPN） 的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据，并在IP 层提供了以下安全服务：数据机密性（Confidentiality）、数据完整性（Data Integrity）、 数据来源认证（Data Authentication）和防重放（Anti-Replay）。

IPsec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够 确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据 进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。

IPsec在两个端点之间提供安全通信，端点被称为IPsec对等体。安全联盟（SA） 是通信对等体间对某些要素的约定，例如，使用哪种协议，是AH协议，还是ESP协 议，或者两者结合使用。协议的封装模式，如传输模式、隧道模式；加密算法、特定 流中保护数据的共享密钥以及密钥的生存周期等。

IPsec可通过因特网密钥交换（IKE）协商建立SA共分两个阶段。第一阶段，通 信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个因特网安全 联盟和密钥管理协议（ISAKMP）SA，例如主模式（Main Mode）和野蛮模式（Aggressive  Mode）两种IKE交换方法。第一阶段，用在第一阶段建立的安全隧道为IPsec协商安 全服务，即为IPsec协商具体的SA，建立用于最终的IP数据安全传输的IPsec SA。

IPsec是一种对等体到对等体的技术，要在IPsec对等体之间建立IPsec会话，它 们之间必须有IP连接性，由于路由选择问题、对等体重启等原因，对等体之间可能失 去了IP连接性，IKE和IPsec通常都无法感知这一点，在生命周期到来之前，对等体 之间的IKE和IPsec SA将一直存在，IPsec会话的中断将引发黑洞，导致数据流丢失， 对等体需要尽快发现这个黑洞，主要原因在于会话的一方继续往不可达的对等体的数 据流进行加密操作，这将大大浪费宝贵的CPU资源，其次，由于无法检测到对等体的 故障，备用对等体也无法激活。

通常情况下，两台设备之间建立一个IKE SA，但是会建立很多IPsec SA以便针对 不同的流量采取不同的保护策略，也就是在每台设备上，存在一个IKE SA以及从属 于该IKE SA的很多IPsec SA。在这种情况下，在一端设备上，可以通过命令行将与 另一端设备关联的所有IPsec SA删除。

在IPsec SA较少的情况下，使用这种方式发送删除消息，可以达到让对端也删除 IPsec SA的目的，但是，如果存在大量IPsec SA的情况下，由于本端设备的发送缓冲 区大小有限，可能会丢失发送的删除消息，同样，由于接收方的接收缓冲区大小有限， 对端可能会丢失收到的消息，导致两端的IPsec SA不一致。两端的IPsec SA不一致就 会导致黑洞问题。

发明内容

有鉴于此，本申请提供一种删除因特网协议安全安全联盟的方法和设备，能够 在保证通信两端的IPsec SA一致时，降低CPU资源的占用以及网络带宽的负担。

为解决上述技术问题，本发明的技术方案是这样实现的：

一种删除因特网协议安全安全联盟IPsec SA的方法，应用于通过IPsec提供安全 通信的两个设备中的任一设备，包括：

该设备需要删除任一因特网密钥交换安全联盟IKE SA对应的满足第一预设条件 的IPsec SA时，向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的 报文，并删除本地该IKE SA对应的满足第一预设条件的IPsec SA；

该设备接收到对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的 IPsec SA的报文时，在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。

一种设备，可应用于通过因特网协议安全IPsec提供安全通信的网络中，所述设 备包括：收发单元和删除单元；

所述收发单元，用于需要删除任一IKE SA对应的满足第一预设条件的因特网协 议安全安全联盟IPsec SA时，向对端设备发送删除该因特网密钥交换安全联盟IKE SA 对应的满足第一预设条件IPsec SA的报文；接收对端设备发送的删除已建立的IKE SA 对应的满足第一预设条件的IPsec SA的报文；

所述删除单元，用于当需要删除任一IKE SA对应的满足第一预设条件的IPsec SA 时，删除本地该IKE SA对应的满足第一预设条件的IPsec SA；当所述收发单元接收 到对端设备发送的，删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报 文时，在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。

综上所述，本申请通过在本端设备需要删除某一IKE SA对应的满足预设条件 的IPsec SA时，向对端设备发送删除该IKE SA对应的满足预设条件的IPsec SA 的报文，并删除本地满足预设条件的所有IPsec SA；本端设备接收到对端设备发 送的删除某一IKE SA对应的满足预设条件的IPsec SA的报文时，删除该IKE SA 对应的满足预设条件的所有IPsec SA。能够在保证通信两端的IPsec SA一致时， 降低CPU资源的占用以及网络带宽的负担。

附图说明

图1为本发明实施例一中删除IPsec SA的方法流程示意图；

图2为本发明实施例二中删除IPsec SA的方法流程示意图；

图3为ISAKMP头的格式示意图；

图4为本发明实施例二中给出的一种实现第一扩展类型的载荷的格式示意图；

图5为本发明实施例三中删除IPsec SA的方法流程示意图；

图6为删除载荷的格式示意图；

图7为本发明实施例四中设备删除IPsec SA的方法流程示意图；

图8为本发明实施例三中第二扩展类型载荷格式示意图；

图9为本发明实施例五中删除IKE SA的方法流程示意图；

图10为本发明具体实施例中应用于上述技术的设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例， 对本发明所述方案作进一步地详细说明。

本发明具体实施例中提出一种删除IPsec SA的方法，应用于通过IPsec提供安全 通信的两个设备中的任一设备。该设备在需要删除任一IKE SA对应的满足第一预设 条件的IPsec SA时，向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA 的报文，使对端设备删除该IKE SA对应的满足第一预设条件IPsec SA，并删除本地 该IKE SA对应的满足第一预设条件的IPsec SA。能够在保证通信两端的IPsec SA一 致时，降低CPU资源的占用以及网络带宽的负担。

实施例一

参见图1，图1为本发明实施例一中删除IPsec SA的方法流程示意图。具体步骤 为：

步骤101，设备需要删除任一IKE SA对应的满足第一预设条件的IPsec SA时，向 对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的报文，并删除本地 该IKE SA对应的满足第一预设条件的IPsec SA。

本步骤中任一IKE SA对应的满足第一预设条件的IPsec SA可以为该IKE SA对应 的所有IPsec SA，也可以为该IKE SA对应的部分IPsec SA。

在现有实现中当需要删除某个IKE SA对应的一个以上IPsec SA时，需发送与 IPsec SA个数相同的报文，使对端删除对应的IPsec SA；而本发明具体实施例中通过 发送一个报文，通知对端删除满足第一预设条件的所有IPsec SA。对端设备在接收到 该报文时，根据报文内容删除该IKE SA对应的满足第一预设条件的IPsec SA。

步骤102，该设备接收到对端设备发送的，删除已建立的IKE SA对应的满足第一 预设条件的IPsec SA的报文时，在本地删除该IKE SA对应的满足第一预设条件的 IPsec SA。

实施例二

参见图2，图2为本发明实施例二中删除IPsec SA的方法流程示意图。具体步骤 为：

步骤201，设备需要删除任一IKE SA对应的满足第一预设条件的IPsec SA时，向 对端设备发送报文，该报文包括：ISAKMP头和第一扩展类型的载荷，在ISAKMP头 中的下一载荷的类型填充为第一扩展类型，该第一扩展类型定义为删除IKE SA对应 的满足第一预设条件的IPsec SA；在第一扩展类型的载荷中携带第一预设条件。

本步骤中向对端发送的删除任一IKE SA对应的满足第一预设条件的IPsec SA报 文时，通过ISAKMP头和第一扩展类型的载荷组成该报文。

参见图3，图3为ISAKMP头的格式示意图。本实施例的实现需将下一载荷的类 型填充为第一扩展类型，并定义为删除IKE SA对应的满足第一预设条件的IPsec SA。 第一扩展类型的值可以为128到255范围内的任一数值。这个范围内的值是RFC2408 中定义的私有用途取值。

参见图4，图4为本发明实施例二中给出的一种实现第一扩展类型的载荷的格式 示意图。图4中，为了对端设备能够接收解析该报文中的第一扩展载荷，其中的下一 载荷（Next Payload）、预留（RESERVED）、载荷长度（Payload Length）和描述范围 （DOI）字段同删除载荷的格式及内容，可以通过TLV方式携带第一预设条件，如标 识为1到10的IPsec SA填充到Value字段中。

步骤202，该设备删除本地该IKE SA对应的满足第一预设条件的IPsec SA。

步骤203，该设备接收到对端设备发送的报文，获取该报文的ISAKMP头中的下 一个载荷的类型，若获得的下一个载荷的类型为第一扩展类型，确定删除IKE SA对 应的满足第一预设条件的IPsec SA，则从接收报文的ISAKMP头中获得IKE SA，第 一扩展类型的载荷中获得第一预设条件，根据获得的第一预设条件以及IKE SA，在本 地查找到该IKE SA对应的满足第一预设条件的所有IPsec SA，并删除。

本步骤中从接收报文的ISAKMP头中获得IKE SA包括：在ISAKMP头中的Cookie 字段中查询到IKE SA，进而获知需要删除该IKE SA对应的IPsec SA。两端设备通过 IKE协商建立IPsec SA时，会在两端都维护IKE SA对应的所有IPsec SA。因此在获 得IKE SA后，再在该IKE SA对应的IPsec SA中查找满足预设条件的IPsec SA。

本实施例中通过新增加一个载荷类型来实现发一个报文就能够删除需要删除的 IPsec SA，不受缓冲区大小的限制，能够在保证通信两端的IPsec SA一致时，降低CPU 资源的占用以及网络带宽的负担，进而避免黑洞的产生。

实施例三

以设备需要删除某一IKE SA的所有IPsec SA为例，详细描述本发明具体实施例 中如何删除IPsec SA。

参见图5，图5为本发明实施例三中删除IPsec SA的方法流程示意图。具体步骤 为：

步骤501，设备需要删除任一IKE SA的所有IPsec SA时，向对端设备发送报文， 该报文包括：ISAKMP头和Delete载荷；其中在Delete载荷中配置安全参数索引（SPI） 值和SPI个数，表明该SPI是删除IKE SA对应的所有IPsec SA。

本步骤中向对端设备发送的报文同现有向对端设备发送的报文一样，包含 ISAKMP头和Delete载荷。参见图6，图6为删除载荷的格式示意图。本发明实施例 三中不修改该载荷中的字段信息，只是在Delete载荷中配置SPI值和SPI个数同现有 实现不同，来表明该SPI是删除IKE SA对应的所有IPsec SA。

在具体实现时，如SPI值配置为0，SPI个数配置为1。因为SPI值为0是系统保 留的，因此可以利用这个字段来实现。

步骤502，该设备删除本地该IKE SA对应的所有IPsec SA。

步骤503，该设备接收到对端设备发送的报文，若根据该报文的Delete载荷中SPI 值和SPI个数，确定删除IKE SA的所有IPsec SA时，从接收报文的ISAKMP头中获 得IKE SA，在本地查找到该IKE SA对应的所有IPsec SA，并删除。

该设备接收到对端设备发送的报文时，当该报文携带的是删除载荷，且载荷中SPI 值为0，SPI个数为1时，确定删除IKE SA的所有IPsec SA。

实施例四

以设备需要删除某一IKE SA的所有IPsec SA为例，详细描述本发明具体实施例 中如何删除IPsec SA。

参见图7，图7为本发明实施例四中设备删除IPsec SA的方法流程示意图。具体 步骤为：

步骤701，设备需要删除任一IKE SA的所有IPsec SA时，向对端设备发送报文， 该报文包括：ISAKMP头和第二扩展类型的载荷，在ISAKMP头中的下一载荷的类型 填充为第二扩展类型，该第二扩展类型定义为删除IKE SA的所有IPsec SA。

本实施例中通过新增第二扩展类型载荷来实现删除指定的IKE SA对应的所有 IPsec SA。参见图8，图8为本发明实施例三中第二扩展类型载荷格式示意图。图8 中的Next Payload（1字节）：下一个载荷类型，这里已经是最后一个载荷，所以填充 NONE，取值为0；Reserved（1字节）：保留字段，填充0；Payload Length（2字节）： 该载荷的长度，取值为8；DOI（4字节）：对应IPsec DOI，取值为1。同图6中删除 载荷类型的部分内容一致。该第二扩展类型载荷内容的增加只是为了保持在报文格式 上的完整。第二扩展类型的取值在128到255范围内即可，并且不同于已用于其他载 荷类型的数值即可。

步骤702，该设备删除本地该IKE SA对应的所有IPsec SA。

步骤703，该设备接收到对端设备发送的报文，获的该报文的ISAKMP头中的下 一个载荷的类型，若获得的下一载荷的类型为第二扩展类型，确定删除IKE SA的所 有IPsec SA，则从接收报文的ISAKMP头中获得IKE SA，在本地查找到该IKE SA对 应的所有IPsec SA，并删除。

实施例五

本实施例中详细描述如何删除满足第二预设条件的IKE SA。

参见图9，图9为本发明实施例五中删除IKE SA的方法流程示意图。具体步骤为：

步骤901，设备需要删除满足第二预设条件的IKE SA时，向对端设备发送删除满 足第二预设条件的IKE SA的报文，该报文包括：ISAKMP头和第三扩展类型的载荷， 在ISAKMP头中的下一载荷的类型填充为第三扩展类型，该第三扩展类型定义为删除 满足第二预设条件的IKE SA；在第三扩展类型的载荷中携带第二预设条件。

在具体实现中，本实施例中第三扩展类型的载荷可以采用如图4中的载荷格式， 不同之处仅是通过新增字段填充第二预设条件。第三扩展类型的取值在128到255范 围内即可，并且不同于已用于其他载荷类型的数值即可。

步骤902，该设备删除本地满足第二预设条件的IKE SA。

步骤903，该设备接收到对端设备发送报文时，获得该报文的ISAKMP头中的下 一载荷类型，若获得的下一载荷类型为第三扩展类型，确定删除满足第二预设条件的 IKE SA，则从接收报文的第三扩展类型的载荷中获得第二预设条件，在本地查找到满 足获得的第二预设条件的所有IKE SA，并删除。

如果满足第二预设条件的IKE SA为两端设备建立的所有IKE SA，还可以通过定 义具体的载荷类型来实现即可，这里不再赘述。

本发明具体实施例中基于同样的发明构思，还提出一种设备，可应用于通过IPsec 提供安全通信的网络中。参见图10，图10为本发明具体实施例中应用于上述技术的 设备的结构示意图。该设备包括：收发单元1001和删除单元1002。

收发单元1001，用于需要删除任一IKE SA对应的满足第一预设条件的IPsec SA 时，向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的报文；接收 对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文。

删除单元1002，用于当需要删除任一IKE SA对应的满足第一预设条件的IPsec SA 时，删除本地该IKE SA对应的满足第一预设条件的IPsec SA；当收发单元1001接收 到对端设备发送的，删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报 文时，在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。

较佳地，

收发单元1001，用于向对端设备发送的删除该IKE SA对应的满足第一预设条件 的IPsec SA的报文，包括：ISAKMP头和第一扩展类型的载荷，在ISAKMP头中的下 一载荷的类型填充为第一扩展类型，该第一扩展类型定义为删除IKE SA对应的满足 第一预设条件的IPsec SA；在第一扩展类型的载荷中携带所述第一预设条件。

删除单元1002，用于获得所述收发单元接收的报文的ISAKMP头中的下一个载荷 的类型，若获得的下一个载荷的类型为第一扩展类型，确定删除IKE SA对应的满足 第一预设条件的IPsec SA，则从接收报文的ISAKMP头中获得IKE SA，第一扩展类 型的载荷中获得所述第一预设条件，根据获得的第一预设条件以及IKE SA，在本地查 找到该IKE SA对应的满足第一预设条件的所有IPsec SA，并删除。

较佳地，

收发单元1001，用于当所述满足第一预设条件的IPsec SA为所有的IPsec SA时， 向对端设备发送的删除该IKE SA对应的满足第一预设条件的IPsec SA的报文，包括 ISAKMP头和Delete载荷；其中在Delete载荷中配置SPI值和SPI个数，表明该SPI 是删除IKE SA对应的所有IPsec SA。

删除单元1002，用于根据该报文的Delete载荷中SPI值和SPI个数，若确定 删除IKE SA的所有IPsec SA，从接收报文的ISAKMP头中获得IKE SA，在本地 查找到该IKE SA对应的所有IPsec SA，并删除。

较佳地，

收发单元1001，用于当所述满足第一预设条件的IPsec SA为所有的IPsec SA 时，向对端设备发送的删除该IKE SA对应的满足预设条件的IPsec SA的报文，包 括ISAKMP头和第二扩展类型的载荷，在ISAKMP头中的下一载荷的类型填充为 第二扩展类型，该第二扩展类型定义为删除IKE SA的所有IPsec SA。

删除单元1002，用于从收发单元1001接收报文的ISAKMP头中获取下一个载 荷的类型，若获取的下一载荷类型为第二扩展类型的载荷，确定删除满足条件的 IKE SA的所有IPsec SA，则从接收报文的ISAKMP头中获得IKE SA，在本地查 找到该IKE SA对应的所有IPsec SA，并删除。

较佳地，

收发单元1001，进一步用于需要删除满足第二预设条件的IKE SA时，向对端 设备发送删除满足第二预设条件的IKE SA的报文，发送的报文包括：ISAKMP头 和第三扩展类型的载荷，在ISAKMP头中的下一载荷的类型填充为第三扩展类型， 该第三扩展类型定义为删除满足第二预设条件的IKE SA；在第三扩展类型的载荷 中携带第二预设条件；接收对端设备发送的删除满足第二预设条件的IKE SA的报 文。

删除单元1002，进一步用于需要删除满足第二预设条件的IKE SA时，删除本 地满足第二预设条件的IKE SA；当收发单元1001接收到对端设备发送的删除满 足第二预设条件的IKE SA的报文时，获取报文的ISAKMP头中的下一载荷类型， 若获取的下一载荷类型为第三扩展类型，确定删除满足第二预设条件的IKE SA， 则从接收报文的第三扩展类型的载荷中获得第二预设条件，在本地查找到满足获得 的第二预设条件的所有IKE SA，并删除。

上述实施例的单元可以集成于一体，也可以分离部署；可以合并为一个单元， 也可以进一步拆分成多个子单元。

综上所述，本发明具体实施例中在本端设备需要删除某一IKE SA对应的满足 预设条件的IPsec SA时，向对端设备发送删除该IKE SA对应的满足预设条件的 IPsec SA的报文，使对端设备删除该IKE SA对应的满足预设条件的所有IPsec SA， 并删除本地满足预设条件的所有IPsec SA；本端设备接收到对端设备发送的删除 某一IKE SA对应的满足预设条件的IPsec SA的报文时，删除该IKE SA对应的满 足预设条件的所有IPsec SA。能够在保证通信两端的IPsec SA一致时，降低CPU 资源的占用以及网络带宽的负担，避免黑洞的产生。

本发明的具体实施例中还给出通过复用现有删除单个IPsec SA的报文，通过 修改SPI值和SPI个数来实现删除某一IKE SA对应的满足预设条件的所有IPsec SA的技术方案；以及通过扩展载荷类型实现删除某一IKE SA对应的满足预设条 件的所有IPsec SA的技术方案。

本发明的具体实施例中还给出了删除满足预设条件的IKE SA的技术方案。

通过本发明提出的具体技术方案，在通信设备的两端无论某一IKE SA存在少 量或大量关联的IPsec SA的情况下，一端删除IPsec SA或IKE SA时，确保另一 段删除对应的IPsec SA或IKE SA，从而保证通信两端的IPsec SA和IKE SA一致， 避免了黑洞的产生。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。 凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含 在本发明的保护范围之内。