本發明公開了一種IPSec SA的檢測方法及裝置，該方法包括：基于IPSec SA對端設備發送的歷史數據報文的五元組信息構建探測報文；通過與所述IPSec SA對端設備之間的IPSec SA加密所述探測報文后發送給所述IPSec SA對端設備；確定在第一檢測時長內是否通過與所述IPSec SA對端設備之間的IPSec SA接收到所述IPSec SA對端設備發送的加密后的所述探測報文；若在第一檢測時長內未通過與所述IPSec SA對端設備之間的IPSec SA接收到所述IPSec SA對端設備發送的加密后的所述探測報文，則確定與所述IPSec SA對端設備之間的IPSec SA故障。該方案可以實現檢測IPSec SA的狀態，避免IPSec SA出現單通故障。

技術領域

本發明涉及通信技術領域，尤指一種互聯網協議安全(Internet ProtocolSecurity，IPSec)安全聯盟(Security Association，SA)的檢測方法及裝置。

背景技術

IPSec在互聯網協議(Internet Protocol，IP)層提供安全服務，它使系統能按需選擇安全協議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。IPSec用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。IPSec能提供的安全服務集包括訪問控制、無連接的完整性、數據源認證、拒絕重發包(部分序列完整性形式)、保密性和有限傳輸流保密性。

密鑰交換(Internet Key Exchange，IKE)是一種密鑰管理協議標準，需要與IPSec一起使用。IKE活動在(User Datagram Protocol，UDP)層上，提供安全的密鑰交換和管理機制。雖然IPSec可以單獨使用，但IKE能使IPSec更靈活、易于配置，且有更高的安全性。

安全聯盟(Security Association，SA)是為特定數據流提供安全服務的一個邏輯連接，這個安全服務的參數包括特定的安全協議、安全算法、密鑰、以及數據流描述。有IKESA和IPSec SA兩種，其中：IKE SA可以稱為IPSec一階段SA，用于保護IKE協商階段的數據安全；IPSec SA可以稱為IPSec二階段SA，對數據提供IPSec保護功能，既可以由用戶手工配置建立連接，又可以由IKE協商建立用于IPSec數據流量的安全保護。

死亡對端檢測(Dead Peer Detection，DPD)用于檢測IPSec對端設備是否存在和可通信，通過定期向IPSec對端設備發送DPD探測報文，根據IPSec對端設備是否對探測報文進行回復判斷IPSec對端設備是否存在。DPD同IKE SA進行關聯，當DPD探測發現IPSec對端設備不存在時，就會刪除SA并重新嘗試建立新的IKE SA和IPSEC SA，避免出現隧道阻塞。

IPSec動態加密映射(IPSec Dynamic Crypto Map，IPSec DCM)是指IPSec匯聚端動態的學習加密映射條目，并建立SA的方式。可以在不配置IPSec對等體的IP地址、以及加密訪問控制列表(Access Control List，ACL)時仍然可以正常進行IKE協商。

當IPSec接入端設備使用了動態方式獲取IP地址時，IPSec匯聚端需要使用動態加密映射的方式來匹配。IPSec動態加密映射接受任何IPSec對等體發起的IKE協商，當IPSec對等體通過驗證時，動態學習接入端的加密映射條目(加密ACL)，建立SA。使用動態加密映射，可以有效的減少IPSec匯聚端設備的配置量。IPSec動態接入的方式廣泛用于總部和分支結構之間的IPSec隧道的建立。為了節省開支，分支機構大多不會采用固定IP地址的專線接入互聯網，而是使用以太網上運行點對點協議(Point-to-Point Protocol OverEthernet，PPPOE)撥號等方式使用運營商分配的動態IP地址接入互聯網。