技術領域

本發明涉及通信技術領域，尤其涉及一種刪除Child?SA的方法和設備。

背景技術

IPsec（IP?security，IP安全）是IETF（Internet?Engineering?Task?Force，互聯網工程任務組）制定的三層隧道加密協議，它為Internet上傳輸的數據提供了高質量的、可互操作的、基于密碼學的安全保證，是一種傳統的實現三層VPN（Virtual?Private?Network，虛擬專用網）的安全技術。

特定的通信方之間通過建立IPsec隧道來傳輸用戶的私有數據，并在IP層提供以下安全服務：

數據機密性（Confidentiality）：IPsec發送方在通過網絡傳輸包前對包進行加密；

數據完成性（Data?Integrity）：IPsec接收方對發送方發送來的包進行認證，以確保數據在傳輸過程中沒有被篡改；

數據來源認證（Data?Authentication）：IPsec接收方可以認證IPsec報文的發送方是否合法；

防重放（Anti-Replay）：IPsec接收方可檢測并拒絕接收過時或重復的報文。

IPsec提供了兩種安全機制：認證和加密。認證機制使IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否被篡改。加密機制通過對數據進行加密運算來保證數據的機密性，以防數據在傳輸過程中被竊聽。

IPsec在兩個端點之間提供安全通信，端點被稱為IPsec對等體。SA是通信對等體間對某些要素的約定，例如，使用哪種協議（AH（Authentication?Header，認證頭協議）、ESP（Encapsulating?Security?Payload，封裝安全載荷）、或兩者結合使用）、協議的封裝模式（傳輸模式和隧道模式）、加密算法、特定流中保護數據的共享密鑰以及密鑰的生存周期等。IPsec可通過IKE（Internet?Key?Exchange，互聯網密鑰交換協議）協商建立SA。其中，IPsec與IKE的關系示意圖可以如圖1所示。

IKE有兩個協議，IKEv1和IKEv2，IKEv2協商IKE?SA和IPsec?SA（在IKEv2中，也稱為Child（子）SA，以下均稱為Child?SA）包括兩個交換：IKE_SA_INIT（Initial，初始）和IKE_AUTH（Authentication，認證）。其中，IKE_SA_INIT交換完成加密算法、Nonce（隨機數）、DH（Diffie-Hellman，Diffie-Hellman）值等信息的協商；IKE_AUTH交換完成身份認證、證書的協商。兩次交換完成后，協商出一個IKE?SA和一對Child?SA（入方向Child?SA和出方向Child?SA），協商一方的入方向Child?SA和另一方的出方向Child?SA對應，該SA使用安全協議（AH或ESP）、目的地址以及SPI（Security?ParameterIndex，安全參數索引）作為索引。其中，IKE_SA_INIT交換和IKE_AUTH交換過程的示意圖可以分別如圖2A和圖2B所示。

其中，IKE_SA_INIT交換過程中，Initiator（發起方）向Responder（響應方）發送的報文中可以包括以下字段：HDR為報文頭，SAi1，KE（Key?Exchange，密鑰交換）i、N（Nonce，隨機數）i；Responder（響應方）向Initiator（發起方）返回的報文中可以包括以下字段：HDR，SAr1，KEr，Nr，[CERTREQ（Certificate?Request，證書請求）]。

IKE_SA_AUTH交換過程中，SK{*}表示對參數*進行密鑰加密，TS為流信息。

在協商過程以及協商完成后，協商雙方可以通過INFORMATIONAL消息交換控制信息，INFORMATIONAL消息交換過程可以如圖2C所示。其中，CP為配置載荷（Configuration?Payload）。

在協商完Child?SA后，協商雙方可以手動刪除該SA，此時需要通知對端也刪除對應的Child?SA。

根據以上描述可以看出，協商雙方（以A端和B端為例）有一對Child?SA：入方向Child?SA和出方向Child?SA，協議一方，如A端，主動刪除Child?SA的流程如圖3所示，包括：

步驟301、A端刪除入方向Child?SA。

步驟302、A端構造刪除入方向SA的消息（刪除消息）給B端，并啟動重傳定時器。