專利名稱:一種設備間安全聯(lián)盟同步方法及裝置的制作方法
技術領域:
本發(fā)明涉及通信網絡技術領域���,尤其涉及一種設備間安全聯(lián)盟(SecurityAssociation, SA)同步方法及裝置�。
背景技術:
IPsec (IP Security, IP 安全)是 IETF (Internet Engineering Task Force,Internet工程任務組)制 定的三層隧道加密協(xié)議�,它為互聯(lián)網上傳輸?shù)臄?shù)據(jù)提供了高質量的���、可互操作的�����、基于密碼學的安全保證��,是一種傳統(tǒng)的實現(xiàn)三層VPN (Virtual PrivateNetwork,虛擬專用網絡)的安全技術�����。IPsec在兩個設備之間提供安全通信�,采用IPsec技術進行通信的設備被稱為IPsec對等體�����。SA是通信對等體間對某些要素的約定,例如��,協(xié)議類型���、協(xié)議的封裝模式���、力口密算法、特定流中保護數(shù)據(jù)的共享密鑰以及密鑰的生存周期等�。IPsec可通過IKE(InternetKey Exchange, Internet密鑰交換協(xié)議)協(xié)商建立SA。由于路由選擇問題�����、對等體重啟等原因�����,對等體之間可能會失去IP連接���,而IKE和IPsec通常都無法感知���,在生命周期到來之前,對等體之間的IKE和IPsec SA將一直存在�����,會話的一方繼續(xù)對數(shù)據(jù)流進行加密,發(fā)送給對端對等體設備����,而對端對等體設備無法正確解密該數(shù)據(jù)流,由此導致數(shù)據(jù)流丟失�����,浪費寶貴的CPU資源�。因此�,亟需一種設備間SA同步方案用以解決上述技術問題。
發(fā)明內容
本發(fā)明提供了一種設備間SA同步方法及設備�,用以解決資源浪費的問題,提高資源的利用率�����。為此�����,本發(fā)明實施例采用如下技術方案
本發(fā)明實施例提供一種設備間SA同步方法��,所述方法包括
IPsec SA對等體設備根據(jù)對端IPsec SA對等體設備發(fā)起的密鑰交換協(xié)議IKE SA協(xié)商請求與所述對端IPsec SA對等體設備進行IKE SA協(xié)商,并在IKE SA協(xié)商過程中接收所述對端IPsec SA對等體設備發(fā)送過來的該對端IPsec SA對等體設備的標識信息�����;其中�����,IPsec SA對等體設備的標識信息固定配置且唯一標識IPsec SA對等體設備�;
所述IPsec SA對等體設備根據(jù)所述對端IPsec SA對等體設備的標識信息,查詢本設備上的IKE SA和IPsec SA�,并刪除查詢到的IKE SA和IPsec SA ;
所述IPsec SA對等體設備在與所述對端設備協(xié)商的IKE SA生效之后�,根據(jù)生效的IKESA,以所述對端IPsec SA對等體設備的標識信息為索引��,建立與所述對端IPsec SA對等體設備間的IPsec SA�,其中,所述IKE SA以所述對端IPsec SA對等體設備的標識信息為索引�。本發(fā)明實施例還提供一種網絡設備,所述網絡設備被配置為IPsec SA對等體設備�����,所述網絡設備包括密鑰交換協(xié)議IKE SA協(xié)商模塊和IPsec SA建立模塊��,所述IKE SA協(xié)商模塊包括
協(xié)商子模塊,用于根據(jù)對端IPsec SA對等體設備發(fā)起的IKE SA協(xié)商請求與所述對端IPsec SA對等體設備進行IKE SA協(xié)商����;
獲取子模塊,用于在IKE SA協(xié)商過程中接收所述對端IPsec SA對等體設備發(fā)送過來的該對端IPsec SA對等體設備的標識信息��;其中�����,IPsec SA對等體設備的標識信息固定配置且唯一標識IPsec SA對等體設備����;
查詢子模塊,用于根據(jù)所述對端IPsec SA對等體設備的標識信息����,查詢本設備上的IKESA 和 IPsec SA ��; 刪除子模塊���,用于刪除所述刪除子模塊查詢到的IKE SA和IPsec SA;
所述IPsec SA建立模塊�����,用于在與所述對端設備協(xié)商的IKE SA生效之后�����,根據(jù)生效的IKE SA�����,以所述對端IPsec SA對等體設備的標識信息為索引���,建立與所述對端IPsec SA對等體設備間的IPsec SA���,其中,所述IKE SA以所述對端IPsec SA對等體設備的標識信息為索引����。與現(xiàn)有技術相比,本發(fā)明的上述實施例具有以下有益技術效果
本發(fā)明實施例提供的設備間SA同步方案�,IPsec SA對等體設備與對端IPsec SA對等體設備進行IKE SA協(xié)商的過程中,接收對端IPsec SA對等體設備發(fā)送過來的該對端IPsecSA對等體設備的標識信息�,根據(jù)該標識信息,查詢到本設備上的IKE SA和IPsec SA后�,進行刪除,并以該標識信息為索引,建立與所述對端IPsec SA對等體設備間的IPsec SA���,解決了設備間數(shù)據(jù)流丟失的問題���,節(jié)約了 CPU資源,提高CPU資源的利用率���,而且��,在IKE SA協(xié)商過程中�����,利用IKE SA協(xié)商報文通知IPsec SA對等體設備刪除無用SA��,不增加設備間額外的報文交互負擔����,節(jié)約帶寬資源����。
圖I為本發(fā)明實施例提供的主模式交換方式下設備間SA同步流程示意 圖2a為現(xiàn)有報文通知載荷結構不意 圖2b為本發(fā)明實施例提供的報文通知載荷結構示意 圖3為本發(fā)明實施例提供的野蠻模式交換方式下設備間SA同步流程示意 圖4為本發(fā)明實施例提供的網絡設備結構示意圖���。
具體實施例方式針對現(xiàn)有技術存在的上述問題��,本發(fā)明實施例提供了一種設備間SA同步方案�,用以解決資源浪費的問題,提高資源的利用率���。下面結合附圖對本發(fā)明實施例進行詳細描述���。IPsec對等體設備間的SA建立過程包括以下兩個階段
第一階段,設備間建立一個通信信道(IKE SA),并對該信道進行身份認證和安全保護��,為雙方進一步的IKE通信提供機密性�����、消息完整性以及消息源認證服務����。在第一階段中有兩種IKE模式交換方式對身份進行保護的主模式(Main Mode)交換方式以及根據(jù)基本ISAKMP (Internet Security Association and Key Management Protocol, Internet 安全關聯(lián)和密鑰管理協(xié)議)文檔制訂的野蠻模式(Aggressive Mode)交換方式。
第二階段���,利用第一階段建立的IKE SA���,為IPsec協(xié)商具體的SA���,建立用于最終的IP數(shù)據(jù)安全傳輸?shù)腎Psec SA。由于IPsec對等體設備重啟����、IP連接中斷、路由選擇等問題���,IPsec對等體設備之間已建立的IPsec SA會失效,需要在IPsec對等體設備之間進行SA同步���,以保證會話的有效性。本發(fā)明實施例提供的SA同步方案�,對建立IKE SA的過程(B卩IPsec協(xié)商并建立SA過程中的第一階段)進行 改進。下面以網絡設備A和網絡設備B互為IPsec對等體為例����,并分別以不同的實施例,對IPsec對等體采用主模式交換方式以及野蠻模式交換方式時����,網絡設備A和網絡設備B之間的SA同步過程進行詳細描述。實施例一
本實施例描述了主模式交換方式下設備間SA同步方案的流程�,如圖I所示,該流程包括以下步驟
步驟101�,網絡設備A向對端網絡設備B發(fā)送第一條報文,用于請求SA參數(shù)交換����,該報文中攜帶有待確認的SA安全策略。步驟102��,網絡設備B根據(jù)接收到的第一條報文�����,向網絡設備A返回第二條報文�����,以確認SA安全策略����,該報文中攜帶有網絡設備B已確認的SA安全策略。上述步驟101-102實現(xiàn)了 SA參數(shù)交換過程��,用于協(xié)商確認有關安全策略�。具體的,網絡設備A將IKE策略發(fā)送給對端的網絡設備B����,網絡設備B查找匹配的策略后返回給網絡設備A��,網絡設備A接收由網絡設備B確認的策略�����,完成SA參數(shù)交換�����。步驟103���,網絡設備A向網絡設備B發(fā)送第三報文,第三報文攜帶有網絡設備A的密鑰生成信息�。步驟104,網絡設備B根據(jù)接收到的第三條報文��,向網絡設備A返回第四條報文����,第四條報文攜帶有網絡設備B的密鑰生成信息。上述步驟103-104實現(xiàn)了密鑰交換過程��,用于在網絡設備A和B之間交換Diffie-Hellman公共值和輔助數(shù)據(jù)(例如隨機數(shù))�����,并生成密鑰信息。具體的����,網絡設備A向網絡設備B發(fā)送網絡設備A的密鑰生成信息����,網絡設備B生成本端密鑰之后,向網絡設備A返回本設備(網絡設備B)的密鑰生成信息��,網絡設備A生成本端密鑰��,從而完成密鑰交換���。步驟105�,網絡設備A向網絡設備B發(fā)送第五條報文��,以進行身份認證和交換數(shù)據(jù)認證��,第五條報文中攜帶有身份信息和SA數(shù)據(jù)�����,該身份信息為網絡設備A的標識信息�����。其中,第五報文的通告(Notification)載荷用于攜帶信息數(shù)據(jù)�,第五報文的通告載荷結構如圖2a所示,包括以下字段下一個載荷(Next Payload)、保留(Reserved)����、載荷長度(Payload Length)、解釋域(Domain of Interpretation)���、協(xié)議 ID (Protocol-ID)��、SIP大小(SPI Size)�����、通告報文類型(Notify Message Type)����、安全參數(shù)索引(SecurityParameter Index, SPI)以及通告數(shù)據(jù)(Notification Data)���。其中����,各字段代表的含義如下
Next Payload (I個8位字節(jié))報文中下一個載荷的載荷類型標識符,如果當前載荷處于報文的最后,此字段為O����。Reserved (I個8位字節(jié))未用,置為O�。
Payload Length (2個8位字節(jié))以8位字節(jié)為單位,當前載荷的長度,包括普通載荷頭����。Domain of Interpretation (4 個 8 位字節(jié))對于 IPsec D0I,此字段值為 I��。Protocol-ID (I個8位字節(jié))用于表示當前通知報文的協(xié)議標識符�。SPI Size (I個8位字節(jié))以8位字節(jié)為單位,由協(xié)議ID所定義的SPI長度�����。Notify Message Type (2個8位字節(jié))用于指定通知消息的類型,如果由DOI指定���,附加文本將放在通知數(shù)據(jù)字段內��。SPI (可變長度)安全參數(shù)索引����,此字段的長度將由SPI大 小字段來決定。Notification Data (可變長度)未用����,置為 O。現(xiàn)有技術中�����,報文通告載荷的Notifycation Data字段未用���,本發(fā)明實施例利用了該字段��,在該字段攜帶為唯一標識網絡設備A且固定配置的標識信息�。優(yōu)選的���,網絡設備A的標識信息可以為設備標識(ID)或者設備的MAC地址(Media Access Control,邏輯地址)�����。Notification Data字段的格式如圖2b所示���,包括下一個載荷(Next Payload)、保留(Reserved)、載荷長度(Payload Length)����、ID 類型(ID Type)、DOI 專用 ID 數(shù)據(jù)(D0ISpecific ID Data)以及標識數(shù)據(jù)(Identification Data)字段,各字段代表的含義如下
ID Type (I個8位字節(jié))用于指定被用的標識類型�;
DOI Specific ID Data (3個8位字節(jié))包含DOI專用標識數(shù)據(jù);
Identification Data (可變長度):此字段的值是DOI專用的����,而且,格式由ID類型字段來指定����。Next Payload���、Reserved和Payload Length字段的含義如前所述,不再贊述����。在本發(fā)明實施例中�����,網絡設備A將通告載荷的Notify Message Type字段值設置為INITIAL-CONTACT��,用以表明該報文為網絡設備A在新建立SA時發(fā)送的報文。網絡設備A將ID Type字段設置為標識信息對應的ID類型�,并在Identification Data字段攜帶網絡設備A的標識信息。步驟106���,網絡設備B接收網絡設備A發(fā)送的第五條報文�����,并根據(jù)該報文的通告載荷獲取網絡設備A的標識信息���。具體的,網絡設備B接收并解析IPsec SA對等體設備A發(fā)送的第五條報文��,根據(jù)該報文的Notify Message Type字段,獲取網絡設備A的標識信息��。即��,若Notify MessageType字段值為INITIAL-CONTACT�����,說明該報文為網絡設備A在重新建立SA過程中發(fā)送的�,則網絡設備B從Notification Data字段的Identification Data字段獲取網絡設備A的標識信息。其中����,報文封裝以及解析過程按照現(xiàn)有技術進行�,在此不再贅述��。步驟107,網絡設備B根據(jù)獲取到的網絡設備A的標識信息����,查詢本設備上的IKESA和IPsec SA,并刪除查詢到的IKE SA和IPsec SA (該IPsec SA是本設備與網絡設備A之間的IPsec SA)ο由于IPsec SA建立之后��,IPsec SA對應的IPsec SA對等體設備之間會分別在本地存儲IPsec SA, BP, IPsec SA對等體設備分別依據(jù)對端IPsec SA對等體設備的標識信息為索引進行存儲���,例如����,在網絡設備設備A上���,以網絡設備B的標識信息為索引,存儲有網絡設備A和B之間的IPsec SA ;在網絡設備B上�����,以網絡設備A的標識信息為索引����,存儲有網絡設備A和B之間的IPsec SA��。
此時���,網絡設備A和B之間的IPsec SA由于網絡設備重啟或IP連接中斷等原因已失效,而網絡設備A與B之間新的IPsec SA尚未建立����,因此,查詢出的IKE SA和IPsecSA即為2個網絡設備之前建立的�����,目前已失效的IKE SA和IPsec SA,網絡設備B刪除無用的SA����。設備B將查詢到的IKE SA和IPsec SA刪除,避免了網絡設備B繼續(xù)通過失效的SA向網絡設備A發(fā)送報文��,節(jié)約了網絡帶寬資源以及CPU資源���。步驟108�,網絡設備B根據(jù)第五條報文��,對網絡設備A的身份和SA數(shù)據(jù)認證通過后,將本端設備的身份信息和SA數(shù)據(jù)攜帶于第六條報文中返回給設備A��,以使網絡設備A進行身份認證和SA數(shù)據(jù)認證���。步驟105和步驟108實現(xiàn)了是身份信息和認證數(shù)據(jù)交換過程�����,用于進行身份認證和對第一階段SA交換數(shù)據(jù)的認證����。至此��,通過主模式交換方式完成了 IKE S A的建立��,IKESA生效��,SA建立過程中的第一階段結束�。在IKE SA建立過程中,是以對端IPsec SA對等體設備的標識信息為索引實現(xiàn)上述參數(shù)交換的���。當SA建立過程中的第一階段結束后,網絡設備A和B之間利用第一階段建立的IKE SA��,為IPsec協(xié)商安全服務,以對端網絡設備的標識信息為索引����,建立用于最終的IP數(shù)據(jù)安全傳輸?shù)腎Psec SA (執(zhí)行第二階段)。至此����,在網絡設備之間的IPsec SA失效之后,網絡設備A與B之間的新的IPsec SA建立完成����,從而實現(xiàn)設備間的SA的同步。實施例二
本實施例描述了野蠻模式交換方式下設備間SA同步方案的流程��,如圖3所示�,該流程包括以下步驟
步驟301,網絡設備A向網絡設備B發(fā)送第一條報文�,以請求確認SA安全策略和進行密鑰交換,該第一條報文攜帶有待確認的SA安全策略和設備A的密鑰生成信息���。步驟302�,IPsec SA對等體B根據(jù)接收到的第一條報文���,向網絡設備A返回第二條報文�,該第二條報文攜帶有網絡設備B確認的SA安全策略和網絡設備B的密鑰生成信息。上述步驟301-302實現(xiàn)了安全策略和密鑰交換過程�����,用于安全策略協(xié)商以及交換Diffie-Hellman公開值和輔助數(shù)據(jù)��。步驟303���,網絡設備A向網絡設備B發(fā)送第三條報文�,用于進行身份認證和SA數(shù)據(jù)認證���,該第三條報文中攜帶有網絡設備A的身份信息和SA數(shù)據(jù)����,用于為發(fā)起方提供在場的證據(jù)����,該身份信息為Psec SA對等體設備A的標識信息。在本實施例中�,標識信息與實施例一中的標識信息相同,固定配置且唯一標識網絡設備A����。步驟304���,網絡設備B接收網絡設備A發(fā)送的第三條報文��,并根據(jù)該第三條報文的通告載荷獲取網絡設備A的標識信息���。步驟305,網絡設備B根據(jù)獲取到的網絡設備A的標識信息�����,查詢本設備上的IKESA和IPsec SA���,并刪除查詢到的IKE SA和IPsec SA。步驟303-305的實現(xiàn)過程如實施例一所述��,在此不再贅述�。在上述步驟303結束之后,IKE SA不會立即生效�����,而是在步驟305結束之后(B卩��,無用的IKE SA和IPsec SA已刪除之后)的條件成立時(例如,時間戳的時間到達時)�����,IKE SA才生效����,從而按照野蠻模式交換方式完成IKE SA的建立,SA建立過程中的第一階段結束�����。
當SA建立過程中的第一階段結束后��,網絡設備A和B之間利用第一階段建立的IKE SA�,為IPsec協(xié)商安全服務,以對端網絡設備的標識信息為索引��,建立用于最終的IP數(shù)據(jù)安全傳輸?shù)腎Psec SA (執(zhí)行第二階段)��。至此����,在網絡設備之間的IPsec SA失效之后,網絡設備A與B之間的新的IPsec SA建立完成��,從而實現(xiàn)設備間的SA的同步。實施例一(主模式交換方式)與實施例二 (野蠻模式交換方式)的主要差別在于�,主模式交換方式交換6條報文,包括3個交換過程SA參數(shù)交換����、密鑰交換以及身份信息和認證數(shù)據(jù)交換�����,適用于對身份保護要求較高的場景����。在實際應用中,一般情況下����,IKE的主模式交換方式適用于兩設備的公網IP固定、且要實現(xiàn)設備之間點對點的環(huán)境���。而野蠻模式交換方式只交換3條報文���,只涉及SA參數(shù)交換和密鑰交換過程,而身份認證信息通過明文傳輸�����,適用于對身份保護要求不高的場景。對于例如ADSL (Asymmetric DigitalSubscriber Line����,非對稱數(shù)字用戶環(huán)路)撥號用戶,其獲得的公網IP不是固定的��,且可能存在NAT (Network Address Translation,網路地址轉換)設備的情況下,采用野蠻模式交換方式作NAT穿越�����。 本發(fā)明實施例提供的設備間SA同步方案���,網絡設備與所述對端IPsec SA對等體設備進行IKE SA協(xié)商的過程中��,接收所述對端IPsec SA對等體設備發(fā)送過來的該對端IPsec SA對等體設備的標識信息�,根據(jù)該標識信息�,查詢到本設備上的IKE SA和IPsec SA后,進行刪除����,并以該標識信息為索引,建立與所述對端IPsec SA對等體設備間的IPsecSA�,解決了設備間數(shù)據(jù)流丟失的問題���,節(jié)約了 CPU資源,提高CPU資源的利用率�,而且,在IKESA協(xié)商過程中�����,利用IKE SA協(xié)商報文通知IPsec SA對等體設備刪除無用SA�����,不增加設備間額外的報文交互負擔���,節(jié)約帶寬資源?��;谙嗤募夹g構思��,本發(fā)明實施例還提供了一種網絡設備����,如圖4所示��,該網絡設備被配置為IPsec SA對等體設備,包括密鑰交換協(xié)議IKE SA協(xié)商模塊41和IPsec SA建立模塊42���,IKE SA協(xié)商模塊41包括
協(xié)商子模塊411���,用于根據(jù)對端IPsec SA對等體設備發(fā)起的IKE SA協(xié)商請求與對端IPsec SA對等體設備進行IKE SA協(xié)商。獲取子模塊412����,用于在IKE SA協(xié)商過程中接收對端IPsec SA對等體設備發(fā)送過來的該對端IPsec SA對等體設備的標識信息;其中���,IPsec SA對等體設備的標識信息固定配置且唯一標識IPsec SA對等體設備����。查詢子模塊413��,用于根據(jù)對端IPsec SA對等體設備的標識信息����,查詢本設備上的 IKE SA 和 IPsec SA。刪除子模塊414���,用于刪除所述查詢子模塊413查詢到的IKE SA和IPsec SA���。IPsec SA建立模塊42��,用于在與所述對端設備協(xié)商的IKE SA生效之后����,根據(jù)生效的IKE SA�,以對端IPsec SA對等體設備的標識信息為索引,建立與對端IPsec SA對等體設備間的IPsec SA�����,其中��,所述IKE SA以所述對端IPsec SA對等體設備的標識信息為索引�。獲取子模塊412具體用于�,在協(xié)商子模塊411根據(jù)對端IPsec SA對等體設備的請求完成SA參數(shù)交換以及密鑰交換之后,接收對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的請求報文����,并獲取該請求報文中攜帶的該對端IPsec SA對等體設備的標識信息。協(xié)商子模塊411具體用于���,接收對端IPsec SA對等體設備發(fā)送的用于請求SA參數(shù)交換的第一條報文��,第一條報文攜帶有SA安全策略�,并根據(jù)第一條報文向對端IPsec SA對等體設備返回第二條報文,第二條報文攜帶有IPsec SA對等體設備已確認的SA安全策略����;以及,接收對端IPsec SA對等體設備發(fā)送的用于請求密鑰交換的第三條報文��,第三條報文攜帶有對端IPsec SA對等體設備的密鑰交換信息����,并根據(jù)第三條報文,向對端IPsecSA對等體設備返回第四條報文��,第四條報文攜帶有IPsec SA對等體設備的密鑰交換信息��;以及����,接收對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的第五條報文,第五條報文攜帶有對端IPsec SA對等體設備的標識信息和SA數(shù)據(jù)�,并根據(jù)第五條報文,向對端IPsec SA對等體設備返回第六條報文����,第六條報文攜帶有IPsec SA對等體設備的身份信息和SA數(shù)據(jù)�����。
獲取子模塊412具體用于��,獲取第五條報文中攜帶的該對端IPsec SA對等體設備的標識信息����。協(xié)商子模塊411具體用于�,接收對端IPsec SA對等體設備發(fā)送的用于請求SA參數(shù)和密鑰交換的第一條報文,第一條報文攜帶有SA安全策略和對端IPsec SA對等體設備的密鑰交換信息����,并根據(jù)第一條報文,向對端IPsec SA對等體設備返回第二條報文��,第二條報文攜帶有IPsec SA對等體設備已確認的SA安全策略和IPsec SA對等體設備的密鑰交換信息���;以及,接收對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的第三條報文����,第三條報文中攜帶有對端IPsec SA對等體設備的標識信息和SA數(shù)據(jù)。獲取子模塊412具體用于��,獲取第三條報文中攜帶的對端IPsec SA對等體設備的標識信息。具體的�,標識信息攜帶于用于請求進行身份認證和SA數(shù)據(jù)認證的請求報文的通告載荷的數(shù)據(jù)字段,且該請求報文的通告載荷的通知消息類型字段的字段值為INITIAL-CONTACT�����。通過以上的實施方式的描述����,本領域的技術人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當然也可以通過硬件�,但很多情況下前者是更佳的實施方式?��;谶@樣的理解�,本發(fā)明的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產品的形式體現(xiàn)出來�����,該計算機軟件產品存儲在一個存儲介質中���,包括若干指令用以使得一臺終端設備(可以是手機�,個人計算機,服務器����,或者網絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法。以上所述僅是本發(fā)明的優(yōu)選實施方式����,應當指出,對于本技術領域的普通技術人員來說��,在不脫離本發(fā)明原理的前提下��,還可以做出若干改進和潤飾��,這些改進和潤飾也應視本發(fā)明的保護范圍���。
權利要求
1.一種設備間安全聯(lián)盟SA同步方法����,其特征在于�,所述方法包括 IPsec SA對等體設備根據(jù)對端IPsec SA對等體設備發(fā)起的密鑰交換協(xié)議IKE SA協(xié)商請求與所述對端IPsec SA對等體設備進行IKE SA協(xié)商,并在IKE SA協(xié)商過程中接收所述對端IPsec SA對等體設備發(fā)送過來的該對端IPsec SA對等體設備的標識信息�;其中,IPsec SA對等體設備的標識信息固定配置且唯一標識IPsec SA對等體設備�; 所述IPsec SA對等體設備根據(jù)所述對端IPsec SA對等體設備的標識信息,查詢本設備上的IKE SA和IPsec SA��,并刪除查詢到的IKE SA和IPsec SA �����; 所述IPsec SA對等體設備在與所述對端設備協(xié)商的IKE SA生效之后����,根據(jù)生效的IKESA,以所述對端IPsec SA對等體設備的標識信息為索引�����,建立與所述對端IPsec SA對等體設備間的IPsec SA�,其中,所述IKE SA以所述對端IPsec SA對等體設備的標識信息為索引�。
2.如權利要求I所述的方法,其特征在于����,所述在IKESA協(xié)商過程中接收所述對端IPsec SA對等體設備發(fā)送過來的該對端IPsec SA對等體設備的標識信息,具體為 所述IPsec SA對等體設備根據(jù)對端IPsec SA對等體設備的請求完成SA參數(shù)交換以及密鑰交換之后�,接收所述對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的請求報文,并獲取所述請求報文中攜帶的該對端IPsec SA對等體設備的標識信肩���、O
3.如權利要求2所述的方法���,其特征在于���,所述IPsecSA對等體設備根據(jù)對端IPsecSA對等體設備的請求完成SA參數(shù)交換以及密鑰交換之后,接收所述對端IPsec SA對等體設備發(fā)送的用于進行身份認證和SA數(shù)據(jù)認證的請求報文��,并獲取所述請求報文中攜帶的該對端IPsec SA對等體設備的標識信息�����,具體包括 所述IPsec SA對等體設備接收所述對端IPsec SA對等體設備發(fā)送的用于請求SA參數(shù)交換的第一條報文��,所述第一條報文攜帶有SA安全策略��;所述IPsec SA對等體設備根據(jù)所述第一條報文向所述對端IPsec SA對等體設備返回第二條報文�����,所述第二條報文攜帶有所述IPsec SA對等體設備已確認的SA安全策略����;所述IPsec SA對等體設備接收所述對端IPsec SA對等體設備發(fā)送的用于請求密鑰交換的第三條報文,所述第三條報文攜帶有所述對端IPsec SA對等體設備的密鑰交換信息���;所述IPsec SA對等體設備根據(jù)所述第三條報文���,向所述對端IPsec SA對等體設備返回第四條報文,所述第四條報文攜帶有所述IPsec SA對等體設備的密鑰交換信息�; 所述IPsec SA對等體設備接收所述對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的第五條報文,所述第五條報文攜帶有所述對端IPsec SA對等體設備的標識信息和SA數(shù)據(jù)�����;所述IPsec SA對等體設備獲取所述第五條報文中攜帶的對端IPsec SA對等體設備的標識信息�; 所述IPsec SA對等體設備根據(jù)所述第五條報文,向所述對端IPsec SA對等體設備返回第六條報文����,所述第六條報文攜帶有所述IPsec SA對等體設備的身份信息和SA數(shù)據(jù)。
4.如權利要求2所述的方法�,其特征在于,所述IPsecSA對等體設備根據(jù)對端IPsecSA對等體設備的請求完成SA參數(shù)交換以及密鑰交換之后�,接收所述對端IPsec SA對等體設備發(fā)送的用于進行身份認證和SA數(shù)據(jù)認證的請求報文,并獲取所述請求報文中攜帶的該對端IPsec SA對等體設備的標識信息��,具體包括所述IPsec SA對等體設備接收所述對端IPsec SA對等體設備發(fā)送的用于請求SA參數(shù)和密鑰交換的第一條報文�����,所述第一條報文攜帶有SA安全策略和所述對端IPsec SA對等體設備的密鑰交換信息; 所述IPsec SA對等體設備根據(jù)所述第一條報文�����,向所述對端IPsec SA對等體設備返回第二條報文���,所述第二條報文攜帶有所述IPsec SA對等體設備已確認的SA安全策略和所述IPsec SA對等體設備的密鑰交換信息���; 所述IPsec SA對等體設備接收所述對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的第三條報文,所述第三條報文攜帶有所述對端IPsec SA對等體設備的標識信息和SA數(shù)據(jù)�����;所述IPsec SA對等體設備獲取所述第三條報文中攜帶的所述對端IPsec SA對等體設備的標識信息��。
5.如權利要求2所述的方法���,其特征在于�,所述標識信息攜帶于所述用于請求進行身份認證和SA數(shù)據(jù)認證的請求報文的通告載荷的數(shù)據(jù)字段���,且所述請求報文的通告載荷的通知消息類型字段的字段值為INITIAL-CONTACT��。
6.一種網絡設備�,所述網絡設備被配置為IPsec SA對等體設備,所述網絡設備包括密鑰交換協(xié)議IKE SA協(xié)商模塊和IPsec SA建立模塊����,其特征在于,所述IKE SA協(xié)商模塊包括 協(xié)商子模塊����,用于根據(jù)對端IPsec SA對等體設備發(fā)起的IKE SA協(xié)商請求與所述對端IPsec SA對等體設備進行IKE SA協(xié)商�����; 獲取子模塊���,用于在IKE SA協(xié)商過程中接收所述對端IPsec SA對等體設備發(fā)送過來的該對端IPsec SA對等體設備的標識信息�����;其中���,IPsec SA對等體設備的標識信息固定配置且唯一標識IPsec SA對等體設備; 查詢子模塊���,用于根據(jù)所述對端IPsec SA對等體設備的標識信息��,查詢本設備上的IKESA 和 IPsec SA ���; 刪除子模塊����,用于刪除所述刪除子模塊查詢到的IKE SA和IPsec SA; 所述IPsec SA建立模塊����,用于在與所述對端設備協(xié)商的IKE SA生效之后,根據(jù)生效的IKE SA��,以所述對端IPsec SA對等體設備的標識信息為索引�����,建立與所述對端IPsec SA對等體設備間的IPsec SA�����,其中���,所述IKE SA以所述對端IPsec SA對等體設備的標識信息為索引��。
7.如權利要求6所述的網絡設備���,其特征在于��,所述獲取子模塊具體用于�����,在所述協(xié)商子模塊根據(jù)對端IPsec SA對等體設備的請求完成SA參數(shù)交換以及密鑰交換之后���,接收所述對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的請求報文,并獲取所述請求報文中攜帶的該對端IPsec SA對等體設備的標識信息���。
8.如權利要求7所述的網絡設備,其特征在于�����, 所述協(xié)商子模塊具體用于���,接收所述對端IPsec SA對等體設備發(fā)送的用于請求SA參數(shù)交換的第一條報文��,所述第一條報文攜帶有SA安全策略�����,并根據(jù)所述第一條報文向所述對端IPsec SA對等體設備返回第二條報文,所述第二條報文攜帶有所述IPsec SA對等體設備已確認的SA安全策略����;以及,接收所述對端IPsec SA對等體設備發(fā)送的用于請求密鑰交換的第三條報文��,所述第三條報文攜帶有所述對端IPsec SA對等體設備的密鑰交換信息��,并根據(jù)所述第三條報文�,向所述對端IPsec SA對等體設備返回第四條報文,所述第四條報文攜帶有所述IPsec SA對等體設備的密鑰交換信息����;以及,接收所述對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的第五條報文�����,所述第五條報文攜帶有所述對端IPsec SA對等體設備的標識信息和SA數(shù)據(jù)���,并根據(jù)所述第五條報文��,向所述對端IPsec SA對等體設備返回第六條報文��,所述第六條報文攜帶有所述IPsec SA對等體設備的身份信息和SA數(shù)據(jù)���; 所述獲取子模塊具體用于�,獲取所述第五條報文中攜帶的該對端IPsec SA對等體設備的標識信息�����。
9.如權利要求7所述的網絡設備��,其特征在于����, 所述協(xié)商子模塊具體用于,接收所述對端IPsec SA對等體設備發(fā)送的用于請求SA參數(shù)和密鑰交換的第一條報文�����,所述第一條報文攜帶有SA安全策略和所述對端IPsec SA對等體設備的密鑰交換信息��,并根據(jù)所述第一條報文��,向所述對端IPsec SA對等體設備返回第二條報文�,所述第二條報文攜帶有所述IPsec SA對等體設備已確認的SA安全策略和所述IPsec SA對等體設備的密鑰交換信息�����;以及,接收所述對端IPsec SA對等體設備發(fā)送的用于請求進行身份認證和SA數(shù)據(jù)認證的第三條報文�����,所述第三條報文中攜帶有所述對端IPsec SA對等體設備的標識信息和SA數(shù)據(jù)���; 所述獲取子模塊具體用于��,獲取所述第三條報文中攜帶的所述對端IPsec SA對等體設備的標識信息����。
10.如權利要求7所述的網絡設備����,其特征在于,所述標識信息攜帶于所述用于請求進行身份認證和SA數(shù)據(jù)認證的請求報文的通告載荷的數(shù)據(jù)字段�,且所述請求報文的通告載荷的通知消息類型字段的字段值為INITIAL-CONTACT。
全文摘要
本發(fā)明公開一種設備間安全聯(lián)盟同步方法及裝置�,該方法包括IPsecSA對等體設備與對端IPsecSA對等體設備進行IKESA協(xié)商的過程中,接收對端IPsecSA對等體設備發(fā)送過來的該對端IPsecSA對等體設備的標識信息����,根據(jù)該標識信息�����,查詢到本設備上的IKESA和IPsecSA后�����,進行刪除��,并以該標識信息為索引�,建立與所述對端IPsecSA對等體設備間的IPsecSA���,解決了設備間數(shù)據(jù)流丟失的問題���,節(jié)約了CPU資源,提高CPU資源的利用率�,而且,在IKESA協(xié)商過程中���,利用IKESA協(xié)商報文通知IPsecSA對等體設備刪除無用SA,不增加設備間額外的報文交互負擔���,節(jié)約帶寬資源����。
文檔編號H04L29/06GK102970293SQ20121047138
公開日2013年3月13日 申請日期2012年11月20日 優(yōu)先權日2012年11月20日
發(fā)明者楊超 申請人:杭州華三通信技術有限公司