[发明专利]一种网络设备及探测方法

说明书

本申请提供一种网络设备，用于作为IPsec对等体时探测对端对等体是否正常，所述网络设备通过发送包括探测标志的IPsec SA探测报文发送给对端IPsec对等体。接收并解析对端IPsec对等体返回的IPsec SA响应报文后，确认对端对等体的IPsec SA正常，本申请同时提供确认对方对等体的IPsec是否正常的探测方法。

技术领域

本申请涉及三层隧道加密协议IPsec，尤其是涉及IPsec SA探测的技术。

背景技术

IPsec（IP Security）是IETF制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN（Virtual Private Network，虚拟专用网络）的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据，并在IP层提供了以下安全服务：

·数据机密性（Confidentiality）：IPsec发送方在通过网络传输包前对包进行加密。

·数据完整性（Data Integrity）：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。

·数据来源认证（Data Authentication）：IPsec在接收端可以认证发送IPsec报文的发送端是否合法。

·防重放（Anti-Replay）：IPsec接收方可检测并拒绝接收过时或重复的报文。

IPsec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。

IPsec在两个端点之间提供安全通信，端点被称为IPsec对等体。SA是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。IPsec可通过IKE协商建立SA。

IKE使用了两个阶段为IPsec进行密钥协商并建立SA：

(1)第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个ISAKMP SA，例如主模式（Main Mode）和野蛮模式（Aggressive Mode）两种IKE交换方法。

(2)第二阶段，用在第一阶段建立的安全隧道为IPsec协商安全服务，即为IPsec协商具体的SA，建立用于最终的IP数据安全传输的IPsec SA。

IPsec是一种对等体到对等体的技术，要在IPsec对等体之间建立IPsec会话，它们之间必须有IP连接性，由于路由选择问题、对等体重启等原因，对等体之前可能失去了IP连接性，IKE和IPsec通常都无法感知这一点，在生命周期到来之前，对等体之间的IKE和IPsecSA将一直存在，IPsec会话的中断将引发“黑洞”，导致数据流丢失，对等体需要尽快发现这个“黑洞”，主要原因在于会话的一方继续往不可达的对等体的数据流进行加密操作，这将大大浪费宝贵的CPU资源，其次，由于无法检测到对等体的故障，备用对等体也无法激活。

DPD（Dead Peer Detection）通过检测与IPsec SA对应的IKE SA的状态，来确定IPsec SA的状态。主动探测方发送R-U-THERE消息，被探测方收到该消息后，回应R-U-THER-ACK消息，主动探测方收到该报文后，认为对端在线。这两条消息都是ISAKMP的宣告负载，都是使用IKE SA加密的。

DPD探测不一定精确，由于DPD报文是使用IKE SA保护的，如果对端IKE SA不存在，但是IPsec SA存在，DPD探测会失败。

发明内容