[发明专利]一种删除因特网协议安全安全联盟的方法和设备

说明书

技术领域

本申请涉及通信技术领域，特别涉及一种删除因特网协议安全安全联盟的方法和设备。

背景技术

因特网协议安全（IP Security，IPsec）是互联网工程任务组（IETF）制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层虚拟专用网络（Virtual Private Network，VPN）的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据，并在IP层提供了以下安全服务：数据机密性（Confidentiality）、数据完整性（Data Integrity）、数据来源认证（Data Authentication）和防重放（Anti-Replay）。

IPsec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。

IPsec在两个端点之间提供安全通信，端点被称为IPsec对等体。安全联盟（SA）是通信对等体间对某些要素的约定，例如，使用哪种协议，是AH协议，还是ESP协议，或者两者结合使用。协议的封装模式，如传输模式、隧道模式；加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。

IPsec可通过因特网密钥交换（IKE）协商建立SA共分两个阶段。第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个因特网安全联盟和密钥管理协议（ISAKMP）SA，例如主模式（Main Mode）和野蛮模式（Aggressive Mode）两种IKE交换方法。第一阶段，用在第一阶段建立的安全隧道为IPsec协商安全服务，即为IPsec协商具体的SA，建立用于最终的IP数据安全传输的IPsec SA。

IPsec是一种对等体到对等体的技术，要在IPsec对等体之间建立IPsec会话，它们之间必须有IP连接性，由于路由选择问题、对等体重启等原因，对等体之间可能失去了IP连接性，IKE和IPsec通常都无法感知这一点，在生命周期到来之前，对等体之间的IKE和IPsec SA将一直存在，IPsec会话的中断将引发黑洞，导致数据流丢失，对等体需要尽快发现这个黑洞，主要原因在于会话的一方继续往不可达的对等体的数据流进行加密操作，这将大大浪费宝贵的CPU资源，其次，由于无法检测到对等体的故障，备用对等体也无法激活。

通常情况下，两台设备之间建立一个IKE SA，但是会建立很多IPsec SA以便针对不同的流量采取不同的保护策略，也就是在每台设备上，存在一个IKE SA以及从属于该IKE SA的很多IPsec SA。在这种情况下，在一端设备上，可以通过命令行将与另一端设备关联的所有IPsec SA删除。

在IPsec SA较少的情况下，使用这种方式发送删除消息，可以达到让对端也删除IPsec SA的目的，但是，如果存在大量IPsec SA的情况下，由于本端设备的发送缓冲区大小有限，可能会丢失发送的删除消息，同样，由于接收方的接收缓冲区大小有限，对端可能会丢失收到的消息，导致两端的IPsec SA不一致。两端的IPsec SA不一致就会导致黑洞问题。

发明内容

有鉴于此，本申请提供一种删除因特网协议安全安全联盟的方法和设备，能够在保证通信两端的IPsec SA一致时，降低CPU资源的占用以及网络带宽的负担。

为解决上述技术问题，本发明的技术方案是这样实现的：

一种删除因特网协议安全安全联盟IPsec SA的方法，应用于通过IPsec提供安全通信的两个设备中的任一设备，包括：

该设备需要删除任一因特网密钥交换安全联盟IKE SA对应的满足第一预设条件的IPsec SA时，向对端设备发送删除该IKE SA对应的满足第一预设条件IPsec SA的报文，并删除本地该IKE SA对应的满足第一预设条件的IPsec SA；

该设备接收到对端设备发送的删除已建立的IKE SA对应的满足第一预设条件的IPsec SA的报文时，在本地删除该IKE SA对应的满足第一预设条件的IPsec SA。

一种设备，可应用于通过因特网协议安全IPsec提供安全通信的网络中，所述设备包括：收发单元和删除单元；