技術領域

本發明涉及通信技術領域，尤其是涉及一種基于IPsec（IP?Security，IP安全）的DPD（Dead?Peer?Detection，死亡對端檢測）探測方法和設備。

背景技術

IPsec是三層隧道加密協議，是實現三層VPN（Virtual?Private?Network，虛擬專用網絡）的安全技術，且IPsec在兩個端點之間提供安全通信，兩個端點被稱為IPsec對等體，分別為IPsec發起方和IPsec響應方；進一步的，IPsec用于在IP層提供以下安全服務：（1）數據機密性：IPsec發送方在通過網絡傳輸報文前對報文進行加密；（2）數據完整性：IPsec響應方對接收報文進行認證，以確保報文在傳輸過程中沒有被篡改；（3）數據來源認證：IPsec響應方可以認證發送IPsec報文的IPsec發送方是否合法；（4）防重放：IPsec響應方可以檢測并拒絕接收過時或者重復的報文。為了實現上述安全服務，IPsec提供了認證和加密等兩種安全機制；認證機制使IP通信的響應方能夠確認報文發送方的真實身份以及報文在傳輸過程中是否遭篡改；加密機制通過對報文進行加密運算來保證報文的機密性，防止報文在傳輸過程中被竊聽。

此外，SA（Security?Association，安全聯盟）是IPsec對等體之間對某些要素的約定；如使用哪種協議（AH（Authentication?Header，驗證頭）、ESP（Encapsulating?Security?Payload，封裝安全載荷）等）、使用哪種協議封裝模式（傳輸模式、隧道模式等）、使用哪種加密算法等；進一步的，IPsec對等體之間可以通過IKE（Internet?Key?Exchange，Internet密鑰交換）協商建立SA信息，如圖1所示，為IPsec與IKE的關系示意圖；IKE通過以下階段為IPsec進行密鑰協商并建立SA；第一階段，IPsec發起方和IPsec響應方之間建立一個ISAKMP（Internet?Security?Association?and?Key?Management?Protocol，Internet安全關聯和密鑰管理協議）?SA，該SA為用于進行IKE協商的SA（簡稱為IKE?SA）；第二階段，利用第一階段的IKE?SA為IPsec協商具體的SA，該SA為用于IP數據安全傳輸的SA（簡稱為IPsec?SA）。

為了在IPsec對等體之間建立IPsec會話，IPsec對等體之間需要有IP連接性，但由于路由選擇、對等體重啟等原因，IPsec對等體之間可能失去了IP連接性，從而導致IPsec會話的一端繼續向不可達的IPsec對端發送進行加密操作的數據流，浪費了CPU（Central?Processing?Unit，中央處理單元）資源。

發明內容

本發明實施例提供一種基于IPsec的DPD探測方法和設備，以及時獲知IPsec對端是否存在，并節省CPU資源。

為了達到上述目的，本發明實施例提供一種基于IPsec的DPD探測方法，應用于包括探測方設備和被探測方設備的IPsec網絡中，該方法包括：

在所述探測方設備上存在多個IKE?SA時，所述探測方設備選擇所述多個IKE?SA中最后協商的IKE?SA，通過選擇的IKE?SA對DPD探測請求報文進行加密處理，并將加密處理后的DPD探測請求報文發送給所述被探測方設備；

如果所述探測方設備接收到所述被探測方設備返回的經過IKE?SA加密處理的DPD探測響應報文，則利用自身存在的IKE?SA對所述DPD探測響應報文進行解密處理；如果解密成功，則確定所述被探測方設備存在；如果解密不成功或者所述探測方設備沒有接收到所述被探測方設備返回的DPD探測響應報文，則確定所述被探測方設備不存在。

所述方法進一步包括：所述探測方設備在將加密處理后的DPD探測請求報文發送給所述被探測方設備后，為所述DPD探測請求報文啟動重傳定時器；

所述探測方設備在解密成功時，檢查所述DPD探測響應報文的合法性；如果合法性檢查通過，則停止所述重傳定時器，確定所述被探測方設備存在；

所述探測方設備在合法性檢查不通過、或解密不成功、或沒有接收到DPD探測響應報文時，如果所述重傳定時器超時，則向所述被探測方設備重新發送加密處理后的DPD探測請求報文，并啟動所述重傳定時器；

如果所述探測方設備向所述被探測方設備發送DPD探測請求報文的次數達到預設次數，且沒有收到合法性檢查通過的DPD探測響應報文，則所述探測方設備確定所述被探測方設備不存在。