一种删除Child SA的方法和设备技术

本发明专利技术公开了一种删除Child?SA的方法和设备，该方法包括：当设备需要删除Child?SA时，所述设备将待删除Child?SA对应的出方向Child?SA设置为不可用，并向对端设备发送携带该待删除Child?SA的安全参数索引SPI和安全协议的删除消息；当所述设备接收到所述对端设备返回的删除响应消息时，所述设备删除所述待删除Child?SA以及该待删除Child?SA对应的出方向Child?SA。在本发明专利技术中，降低了错误删除Child?SA的可能性。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及一种删除Child SA的方法和设备。
技术介绍
IPsec (IP security, IP 安全)是 IETF (Internet Engineering Task Force,互联网工程任务组)制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN (Virtual PrivateNetwork,虚拟专用网)的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据，并在IP层提供以下安全服务:数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密； 数据完成性(Data Integrity):1Psec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改；数据来源认证(Data Authentication):1Psec接收方可以认证IPsec报文的发送方是否合法；防重放(Ant1-R印lay):1Psec接收方可检测并拒绝接收过时或重复的报文。IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。IPsec在两个端点之间提供安全通信，端点被称为IPsec对等体。SA是通信对等体间对某些要素的约定，例如，使用哪种协议(AH (Authentication Header,认证头协议)、ESP (Encapsulating Security Payload,封装安全载荷)、或两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。IPsec可通过IKE (Internet Key Exchange,互联网密钥交换协议)协商建立SA。其中，IPsec与IKE的关系不意图可以如图1所不。IKE 有两个协议，IKEvl 和 IKEv2, IKEv2 协商 IKE SA 和 IPsec SA (在 IKEv2 中，也称为Child (子)SA，以下均称为Child SA)包括两个交换:IKE_SA_INIT (Initial，初始)和 IKE_AUTH (Authentication,认证)。其中，IKE_SA_INIT 交换完成加密算法、Nonce (随机数)、DH (Diffie-Hellman,Diffie-Hellman)值等信息的协商；IKE_AUTH交换完成身份认证、证书的协商。两次交换完成后，协商出一个IKE SA和一对Child SA (入方向Child SA和出方向Child SA)，协商一方的入方向Child SA和另一方的出方向Child SA对应，该SA使用安全协议(AH或ESP)、目的地址以及SPI (Security ParameterIndex,安全参数索引)作为索引。其中，IKE_SA_INIT交换和IKE_AUTH交换过程的示意图可以分别如图2A和图2B所示。其中，IKE_SA_INIT交换过程中，Initiator (发起方)向Responder (响应方)发送的报文中可以包括以下字段:HDR为报文头，SAiI，KE (Key Exchange，密钥交换)1、N(Nonce,随机数)i ；Responder (响应方)向Initiator (发起方)返回的报文中可以包括以下字段:HDR, SArl, KEr, Nr, 。IKE_SA_AUTH交换过程中，SK{*}表示对参数*进行密钥加密，TS为流信息。在协商过程以及协商完成后，协商双方可以通过INFORMATIONAL消息交换控制信息，INFORMATIONAL消息交换过程可以如图2C所示。其中，CP为配置载荷(ConfigurationPayload)。在协商完Child SA后，协商双方可以手动删除该SA，此时需要通知对端也删除对应的 Child SA。根据以上描述可以看出，协商双方(以A端和B端为例)有一对Child SA:入方向Child SA和出方向Child SA，协议一方，如A端，主动删除Child SA的流程如图3所示，包括:步骤301、A端删除入方向Child SA。步骤302、A端构造删除入方向SA的消息(删除消息)给B端，并启动重传定时器。步骤30 3、A端判断是否收到对端的回应消息；若判断为是，则转至步骤305 ;否则，转至步骤304。步骤304、A端判断重传次数是否达到最大值；若判断为是，则转至步骤305 ;否则，再次向B端发送删除消息，转至步骤303。步骤305、A端删除出方向Child SA。在图3所示的处理流程中，A端优先删除了入方向Child SA，如果过在删除消息到达B端之前，B端向A端发送了加密报文，此时，A端根据该加密报文对应的SPI以及安全协议无法获取到对应解密使用的Child SA，这种情况下，A端会向B端发送Child SA删除消息，该消息中包括SPI以及安全协议，以告知本地没有对应的Child SA，要求B端删除，当B端接收到该Child SA删除消息时，可能误删重新建立的Child SA。例如，A端入方向Child SA对应的SPI为I，那么B端对应的出方向ChildSA对应的SPI也是I (二者互为镜像)，安全协议为ESP。假设A端删除了 SPI为I，安全协议为ESP的入方向Child SA，并向B端发送携带该SPI和安全协议的删除消息；B端在接收到该删除消息之前，向A端发送加密报文，该加密报文使用SPI为1，安全协议为ESP的Child SA进行加密操作；B端在接收到该删除消息之后，将本地SPI为1，安全协议为ESP的Child SA删除，同时删除对应的出方向的Child SA ；在有流量需要从B端发送出去的情况下，B端再次触发协商，建立了一对新的Child SA, SPI也是I，安全协议为ESP ； A端接收到B端发送的使用SPI为1，安全协议为ESP的Child SA进行加密操作的加密报文之后，根据SPI和安全协议查询对应的Child SA，并当查询不到时，再次给B发送一个删除消息，该删除消息携带的SPI为1，安全协议为ESP。B端接收到该删除消息之后，将新建立的SPI为1，安全协议为ESP的ChildSA删除，导致删除错误。
技术实现思路
本专利技术提供了一种删除Child SA的方法和设备，以降低错误删除Child SA的可能性。为了达到上述目的，本专利技术提供一种删除子安全联盟Child SA的方法，包括:当设备需要删除Child SA时，所述设备将待删除Child SA对应的出方向ChildSA设置为不可用，并向对端设备发送携带该待删除Child SA的安全参数索引SPI和安全协议的删除消息；当所述设备接收到所述对端设备返回的删除响应消息时，所述设备删除所述待删除Child SA以及该待删除Child SA对应的出方向Child SA ;其中，所述删除响应消息为所述对端设备接收到所述删除消息，并删除该删除消息中携带的SPI和安全协议对应的Child SA，以及该Child本文档来自技高网...

【技术保护点】
一种删除子安全联盟Child?SA的方法，其特征在于，包括：当设备需要删除Child?SA时，所述设备将待删除Child?SA对应的出方向Child?SA设置为不可用，并向对端设备发送携带该待删除Child?SA的安全参数索引SPI和安全协议的删除消息；当所述设备接收到所述对端设备返回的删除响应消息时，所述设备删除所述待删除Child?SA以及该待删除Child?SA对应的出方向Child?SA；其中，所述删除响应消息为所述对端设备接收到所述删除消息，并删除该删除消息中携带的SPI和安全协议对应的Child?SA，以及该Child?SA对应的入方向Child?SA之后向所述设备返回的。

【技术特征摘要】

【专利技术属性】
技术研发人员：杨超，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：