[发明专利]IP安全联盟维护方法及装置

权利要求书

1.一种IP安全联盟维护方法，应用于组域虚拟专网GDVPN中，其特征在于，组成员GM上配置有安全联盟SA空闲定时器，该方法包括：

当GM接收到密钥服务器KS发来的IPSec SA信息时，启动自身的SA空闲定时器，保存所述IPSec SA信息，并以所述IPSec SA信息中的流信息更新自身使能了组解释域GDOI类型的IPSec策略的接口的IPSec访问控制列表ACL，所述IPSec SA信息包括：加密信息和流信息；

当在所述定时器计时期间，从所述接口发出的或者收到的报文中没有任何报文与所述接口的IPSec ACL匹配上，则GM删除所述IPSec SA信息，并向KS发送IPSec SA信息删除通告报文，以使得：

所述KS接收到所述IPSec SA信息删除通告报文，将所述GM的状态标记为“空闲”，且，

当所述KS要发出更新的IPSec SA信息时，查看自身标记的各GM的状态，若有任何GM被标记为“空闲”，则判断本次要发出的IPSec SA信息中的流信息是否有更新，若有更新，则删除各具有“空闲”标记的GM上的“空闲”标记，并向所有GM发出更新的IPSec SA信息，若没有更新，则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。

2.根据权利要求1所述的方法，其特征在于，所述GM启动自身的SA空闲定时器之后进一步包括：

在所述定时器计时期间，当所述GM发现从所述接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上时，重新启动所述定时器；

或者，在所述定时器计时期间，若所述GM发现从所述接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上，则GM在所述定时器超时时，重新启动所述定时器。

3.根据权利要求1所述的方法，其特征在于，所述删除所述IPSec SA信息之后进一步包括：

当GM接收到KS发来的更新的IPSec SA信息时，保存该IPSec SA信息，并以该IPSec SA信息中的流信息更新所述接口的IPSec ACL，同时，重新启动自身的SA空闲定时器。

4.根据权利要求1所述的方法，其特征在于，所述删除所述IPSec SA信息之后进一步包括：

当从所述接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上时，GM向KS请求IPSec SA信息，保存请求到的IPSec SA信息，并以该IPSec SA信息中的流信息更新所述接口的IPSec ACL，同时，重新启动自身的SA空闲定时器。

5.一种IP安全联盟维护方法，应用于组域虚拟专网GDVPN中，其特征在于，该方法包括：

密钥服务器KS接收到组成员GM发来的IP安全IPSec信息删除通告报文，将所述GM的状态标记为“空闲”；

当所述KS要发出更新的IPSec安全联盟SA信息时，查看自身标记的各GM的状态，若有任何GM被标记为“空闲”，则判断本次要发出的IPSec SA信息中的流信息是否有更新，若有更新，则删除各具有“空闲”标记的GM上的“空闲”标记，并向所有GM发出更新的IPSec SA信息，若没有更新，则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。

6.根据权利要求5所述的方法，其特征在于，所述方法进一步包括：

所述KS接收到GM发来的组解释域GDOI注册请求，向该GM发送IPSec SA信息，且若发现该GM被标记为“空闲”，则删除该“空闲”标记。