因特网安全协议安全联盟的建立方法及装置

摘要

本发明实施例提供一种因特网安全协议安全联盟的建立方法及装置。本发明实施例通过在IKE协商过程中，将VRF标识携带在协商报文中，作为需要所保护流量的特征的一部分交换，例如，第一协商报文携带第一逻辑设备的VRF标识，第二协商报文携带第二逻辑设备的VRF标识，从而根据不同VRF标识进行IKE协商以建立IPSec SA，这样可以对不同VRF标识的流量，根据安全策略选择不同的IPSec SA进行加密，以实现运营商基于VRF标识为不同逻辑设备提供IP地址空间可独立规划的，提供完全隔离的IPSec保护功能，以实现不同公司的流量的区分；另外，采用一个IP地址保护多个公司的流量，可以节省公共网络IP地址资源。

说明书

技术领域

本发明实施例涉及通信技术，尤其涉及一种因特网安全协议安全联盟的建立方法及装置。

背景技术

随着通信技术的发展，信息安全越来越受到人们的关注。例如，在公共网络传输信息时，采用因特网安全协议(英文：InternetProtocolSecurity，简称：IPSec)来提高企业在使用公共网络的安全性。

现有技术中，当数据报文在设备内部转发时，首先进行安全策略数据库(英文：SecurityPolicyDatabase，简称：SPD)查找；若发现此数据报文需要进行IPSec保护，则根据查找到的安全策略，查找相应的安全联盟(英文：SecurityAssociation，简称：SA)；如果SA还没有建立，则触发因特网密钥交换(英文：InternetKeyExchange，简称：IKE)进行协商；IKE首先建立第一阶段的安全联盟，即IKESA；在第一阶段建立的安全联盟的保护下协商第二阶段的安全联盟，通信两端协商需要保护的流量，建立IPSecSA；使用IPSecSA保护通信数据。

在目前公共网络网络协议(英文：InternetProtocol，简称：IP)地址资源紧缺的情况下，运营商在安全设备上都只分配一个公共网络IP地址用来在互联网上传输流量，因此，两台安全设备之间只能建立一条IPSec隧道，其中，以下采用A和B表示上述两台安全设备。然而，为了保护同时租用A和B的不同公司的流量，并且实现安全隔离，运营商需要为每个公司在两个安全设备之间各建立一条IPSec隧道，这样会导致公共网络IP地址的浪费。

另外，每条IPSec隧道所保护的流量五元组信息，即源IP、目的IP、协议号、源端口和目的端口五项数据，可能是完全相同的。这时，若A将需要保护的流量的五元组信息发送到B，B无法根据这些五元组信息确定这个需要保护的流量是哪一公司的。因此，若采用上述现有技术建立IPSecSA，还可能导致无法区分不同公司的流量。

发明内容

本发明实施例提供一种因特网安全协议安全联盟的建立方法及装置，以解决采用现有技术建立IPSecSA所导致的无法区分不同公司的流量的问题。

第一方面，本发明实施例提供一种因特网安全协议IPSec安全联盟SA的建立方法，包括：

第一设备根据安全策略数据库SPD，确定作为对端设备的第二设备，其中，所述SPD包括第一逻辑设备的虚拟路由转发VRF标识，所述第一逻辑设备是基于所述第一设备的资源通过虚拟化技术获得的；

第一设备触发与所述第二设备的第一阶段的因特网密钥交换IKE协商，获得IKESA；

在所述IKESA的保护下，所述第一设备发送第一协商报文给所述第二设备，所述第一协商报文携带所述第一逻辑设备的VRF标识；

所述第一设备接收所述第二设备发送的第二协商报文，所述第二协商报文是所述第一协商报文的响应报文，所述第二协商报文携带第二逻辑设备的VRF标识，所述第二逻辑设备是基于所述第二设备的资源通过虚拟化技术获得的；

所述第一设备判断所述第二逻辑设备的VRF标识与所述第一逻辑设备的VRF标识是否相同；

若相同，所述第一设备与所述第二设备建立IPSecSA。

根据第一方面，在第一方面的第一种可能的实现方式中，所述第一设备根据SPD，确定作为对端设备的第二设备，包括：

所述第一设备接收所述第一逻辑设备发送的数据报文，所述数据报文携带所述第一逻辑设备的VRF标识；

所述第一设备从所述数据报文中获取所述第一逻辑设备的VRF标识；

所述第一设备判断所述SPD中的安全策略中是否包含所述第一逻辑设备的VRF标识；

基于所述SPD中的安全策略中包含所述第一逻辑设备的VRF标识的判断结果，确定所述数据报文的接收设备作为所述第二设备。

根据第一方面，在第一方面的第二种可能的实现方式中，所述第一设备根据SPD，确定作为对端设备的第二设备，包括：

所述第一设备读取所述SPD中的安全策略，判断所述SPD中的安全策略中是否包含所述第一逻辑设备的VRF标识；

基于所述SPD中的安全策略中包含所述第一逻辑设备的VRF标识的判断结果，确定包含所述第一逻辑设备的VRF标识的安全策略中的接收设备为所述第二设备。

根据第一方面、第一方面的第一种至第二种可能的实现方式中任意一种，在第一方面的第三种可能的实现方式中，所述第一设备触发与所述第二设备的第一阶段的IKE协商，获得IKESA，包括：

所述第一设备采用IKE协议，发送第三协商报文给所述第二设备，所述第三协商报文携带第一供应商身份标识VendorID载荷，所述第一VendorID载荷用于指示所述第一设备支持VRF标识交换能力；

所述第一设备接收所述第二设备发送的第四协商报文，所述第四协商报文携带第二VendorID载荷，所述第二VendorID载荷用于指示所述第二设备支持VRF标识交换能力；

所述第一设备确定所述第四协商报文中包括所述第二VendorID载荷，与所述第二设备建立所述IKESA。

根据第一方面、第一方面的第一种至第三种可能的实现方式中任意一种，在第一方面的第四种可能的实现方式中，所述第一设备与所述第二设备建立IPSecSA之后，所述方法还包括：

所述第一设备保存包含所述第一逻辑设备的VRF标识的安全策略与所述IPSecSA之间的关联关系。

第二方面，本发明实施例提供一种因特网安全协议IPSec安全联盟SA的建立方法，包括：

第二设备采用因特网密钥交换IKE协议，与第一设备进行第一阶段的IKE协商，获得IKESA；

在所述IKESA的保护下，所述第二设备接收所述第一设备发送的第一协商报文，所述第一协商报文携带第一逻辑设备的虚拟路由转发VRF标识，所述第一逻辑设备是基于所述第一设备的资源通过虚拟化技术获得的；

所述第二设备根据所述第一逻辑设备的VRF标识，生成第二协商报文，所述第二协商报文携带第二逻辑设备的VRF标识，所述第二逻辑设备是基于所述第二设备的资源通过虚拟化技术获得的；

所述第二设备发送所述第二协商报文给所述第一设备；

所述第二设备与所述第一设备建立IPSecSA。

根据第二方面，在第二方面的第一种可能的实现方式中，所述第二设备采用IKE协议，与第一设备进行第一阶段的IKE协商，获得IKESA，包括：

所述第二设备采用所述IKE协议，接收所述第一设备发送的第三协商报文，所述第三协商报文携带第一供应商身份标识VendorID载荷，所述第一VendorID载荷用于指示所述第一设备支持VRF标识交换能力；

所述第二设备发送第四协商报文给所述第一设备，所述第四协商报文携带第二VendorID载荷，所述第二VendorID载荷用于指示所述第二设备支持VRF标识交换能力；

所述第二设备与所述第一设备建立所述IKESA。

根据第二方面或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述第二设备根据所述第一逻辑设备的VRF标识，生成第二协商报文，包括：

所述第二设备从所述第一协商报文中获取所述第一逻辑设备的VRF标识；

所述第二设备判断所述第二设备的安全策略数据库SPD中的安全策略中是否包含与所述第一逻辑设备的VRF标识相同的VRF标识；

所述第二设备基于所述SPD的安全策略中包含与所述第一逻辑设备的VRF标识相同的VRF标识的判断结果，确定第二逻辑设备的VRF标识，所述第二逻辑设备的VRF标识与所述第一逻辑设备的VRF标识相同，所述第二逻辑设备是基于所述第二设备的资源通过虚拟化技术获得的；

所述第二设备生成所述第二协商报文，所述第二协商报文携带所述第二逻辑设备的VRF标识。

根据第二方面、第二方面的第一种至第二种可能的实现方式中任意一种，在第二方面的第三种可能的实现方式中，所述第二设备与所述第一设备建立IPSecSA之后，所述方法还包括：

所述第二设备保存包含所述第二逻辑设备的VRF标识的安全策略与所述IPSecSA之间的关联关系。

第三方面，本发明实施例提供一种因特网安全协议IPSec安全联盟SA的建立装置，包括：

确定模块，用于根据安全策略数据库SPD，确定作为对端设备的第二设备，其中，所述SPD包括第一逻辑设备的虚拟路由转发VRF标识，所述第一逻辑设备是基于所述IPSecSA的建立装置的资源通过虚拟化技术获得的；

IKESA建立模块，用于触发与所述第二设备的第一阶段的因特网密钥交换IKE协商，获得IKESA；

发送模块，用于在所述IKESA的保护下，发送第一协商报文给所述第二设备，所述第一协商报文携带所述第一逻辑设备的VRF标识；

接收模块，用于接收所述第二设备发送的第二协商报文，所述第二协商报文是所述第一协商报文的响应报文，所述第二协商报文携带第二逻辑设备的VRF标识，所述第二逻辑设备是基于所述第二设备的资源通过虚拟化技术获得的；

判断模块，用于判断所述第二逻辑设备的VRF标识与所述第一逻辑设备的VRF标识是否相同；

IPSecSA建立模块，用于基于所述判断模块输出的判断结果为相同，与所述第二设备建立IPSecSA。

根据第三方面，在第三方面的第一种可能的实现方式中，所述确定模块具体用于：

接收所述第一逻辑设备发送的数据报文，所述数据报文携带所述第一逻辑设备的VRF标识；

从所述数据报文中获取所述第一逻辑设备的VRF标识；

判断所述SPD中的安全策略中是否包含所述第一逻辑设备的VRF标识；

基于所述SPD中的安全策略中包含所述第一逻辑设备的VRF标识的判断结果，确定所述数据报文的接收设备作为所述第二设备。

根据第三方面，在第三方面的第二种可能的实现方式中，所述确定模块具体用于：

读取所述SPD中的安全策略，判断所述SPD中的安全策略中是否包含所述第一逻辑设备的VRF标识；

基于所述SPD中的安全策略中包含所述第一逻辑设备的VRF标识的判断结果，确定包含所述第一逻辑设备的VRF标识的安全策略中的接收设备为所述第二设备。

根据第三方面、第三方面的第一种至第二种可能的实现方式中任意一种，在第三方面的第三种可能的实现方式中，所述IKESA建立模块具体用于：

采用IKE协议，发送第三协商报文给所述第二设备，所述第三协商报文携带第一供应商身份标识VendorID载荷，所述第一VendorID载荷用于指示所述IPSecSA的建立装置支持VRF标识交换能力；

接收所述第二设备发送的第四协商报文，所述第四协商报文携带第二VendorID载荷，所述第二VendorID载荷用于指示所述第二设备支持VRF标识交换能力；

确定所述第四协商报文中包括所述第二VendorID载荷，与所述第二设备建立所述IKESA。

根据第三方面、第三方面的第一种至第三种可能的实现方式中任意一种，在第三方面的第四种可能的实现方式中，所述装置还包括存储模块，其中，

所述存储模块，用于保存包含所述第一逻辑设备的VRF标识的安全策略与所述IPSecSA建立模块建立的所述IPSecSA之间的关联关系。

第四方面，本发明实施例提供一种因特网安全协议IPSec安全联盟SA的建立装置，包括：

IKESA建立模块，用于采用因特网密钥交换IKE协议，与第一设备进行第一阶段的IKE协商，获得IKESA；

接收模块，用于在所述IKESA的保护下，接收所述第一设备发送的第一协商报文，所述第一协商报文携带第一逻辑设备的虚拟路由转发VRF标识，所述第一逻辑设备是基于所述第一设备的资源通过虚拟化技术获得的；

报文生成模块，用于根据所述第一逻辑设备的VRF标识，生成第二协商报文，所述第二协商报文携带第二逻辑设备的VRF标识，所述第二逻辑设备是基于所述第二设备的资源通过虚拟化技术获得的；

发送模块，用于发送第二协商报文给所述第一设备；

IPSecSA建立模块，用于与所述第一设备建立IPSecSA。

根据第四方面，在第四方面的第一种可能的实现方式中，所述IKESA建立模块具体用于：

采用所述IKE协议，接收所述第一设备发送的第三协商报文，所述第三协商报文携带第一供应商身份标识VendorID载荷，所述第一VendorID载荷用于指示所述第一设备支持VRF标识交换能力；

发送第四协商报文给所述第一设备，所述第四协商报文携带第二VendorID载荷，所述第二VendorID载荷用于指示所述IPSecSA的建立装置支持VRF标识交换能力；

与所述第一设备建立所述IKESA。

根据第四方面或第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，所述报文生成模块具体用于：

从所述第一协商报文中获取所述第一逻辑设备的VRF标识；

判断所述IPSecSA的建立装置的安全策略数据库SPD中的安全策略中是否包含与所述第一逻辑设备的VRF标识相同的VRF标识；

基于所述SPD的安全策略中包含与所述第一逻辑设备的VRF标识相同的VRF标识的判断结果，确定第二逻辑设备的VRF标识，所述第二逻辑设备的VRF标识与所述第一逻辑设备的VRF标识相同，所述第二逻辑设备是基于所述IPSecSA的建立装置的资源通过虚拟化技术获得的；

生成所述第二协商报文，所述第二协商报文携带所述第二逻辑设备的VRF标识。

根据第四方面、第四方面的第一种至第二种可能的实现方式中任意一种，在第四方面的第三种可能的实现方式中，所述装置还包括：存储模块，其中，

所述存储模块，用于保存包含所述第二逻辑设备的VRF标识的安全策略与所述IPSecSA建立模块建立的所述IPSecSA之间的关联关系。

本发明实施例通过在IKE协商过程中，将VRF标识携带在协商报文中，作为需要所保护流量的特征的一部分交换，例如，第一协商报文携带第一逻辑设备的VRF标识，第二协商报文携带第二逻辑设备的VRF标识，从而将现有技术中根据不同IP地址进行IKE协商以建立IPSecSA的处理方法，更新为本发明实施例的根据不同VRF标识进行IKE协商以建立IPSecSA，这样，可以对不同VRF标识的流量，根据安全策略选择不同的IPSecSA进行加密，以实现在目前公共网络IP地址紧缺的情况下，运营商基于VRF标识为不同逻辑设备提供IP地址空间可独立规划的，提供完全隔离的IPSec保护功能，以实现不同公司的流量的区分。另外，本发明实施例采用一个IP地址保护多个公司的流量，从而可以节省公共网络IP地址资源。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明应用场景示例图；

图2为本发明IPSecSA的建立方法实施例一的流程图；

图3为本发明IPSecSA的建立方法实施例二的流程图；

图4为本发明IPSecSA的建立装置实施例一的结构示意图；

图5为本发明IPSecSA的建立装置实施例二的结构示意图；

图6为本发明IPSecSA的建立装置实施例三的结构示意图；

图7为本发明IPSecSA的建立装置实施例四的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

IPSec作为三层隧道协议，是由互联网工程任务组(英文：InternetEngineeringTaskForce，简称：IETF)制定的一系列协议，它为互联网协议(英文：InternetProtocol，简称：IP)数据报文提供高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报文在网络上传输时的私有性、完整性、真实性和防重放。

在IPSec隧道中进行有规则的数据保护，而这种保护规则是基于访问控制列表(英文：AccessControlList，简称：ACL)实现的，ACL中定义了需要保护的数据报文的类型，主要通过五元组，即源IP、目的IP、协议号、源端口和目的端口五项数据进行限制。

IKE是建立在由因特网安全联盟和密钥管理协议(英文：InternetSecurityAssociationandKeyManagementProtocol，简称：ISAKMP)定义的框架上。它能够为IPSec提供自动协商交换密钥、建立安全联盟的服务，以简化IPSec的使用和管理。IKE具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份及建立IPSec安全联盟。

IKE使用了两个阶段为IPSec进行密钥协商并建立安全联盟：第一阶段，通信各方彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建立了一个ISAKMP安全联盟，即ISAKMPSA，也可称为IKESA；第二阶段，用在第一阶段建立的IKESA为IPSec协商安全服务，即为IPSec协商第二阶段的安全联盟，建立IPSecSA，其中IPSec保护的数据流的协商即在此阶段完成。IPSecSA用于最终的IP数据报文安全传送。

例如，有两家公司：C和D，C和D在北京和上海都有各自的分支，且C和D独立部署了自己的私有网络。因为要穿越因特网，C和D都需要在各自的分支之间进行可靠的IPSec保护的通信，每个公司在两地都租用了运营商安全设备(例如，采用E表示该运营商位于北京的安全设备，采用F表示该运营商位于上海的安全设备)的一个接口，运营商为每个公司分配了一个虚拟路由转发(英文：VirtualRouteForward，简称：VRF)对每个公司的流量进行隔离保护。

如前所述，为了保护各公司的流量并且实现安全隔离，运营商需要为C和D在E和F之间各建立一条IPSec隧道，且每条IPSec隧道就保护的五元组而言，可能是完全相同的。这时，若E将需要保护的流量的五元组信息发送到F，F可能无法根据这些五元组信息确定这个需要保护的流量是C还是D的。

对此，可能有以下几种不同的解决方案：

第一种方案，组网规划保证C和D使用不同的IP地址空间。每个公司使用的IP地址空间可以由运营商统一规划，但这样会给运营商的多租户运营和虚拟化运营带来困难。如果运营商给C和D分别分配了一个虚拟设备，那么C和D的不能独立规划自己的IP地址空间和路由，则虚拟化程度不附合当前信息技术(英文：InformationTechnology，简称：IT)虚拟化的趋势。

第二种方案，C和D使用独立的IP地址空间和路由转发，运营商使用网络地址转换(英文：NetworkAddressTranslation，简称：NAT)技术，将两个公司的流量转换成不同的公网地址空间，当前的NAT技术已经是比较成熟，可以集成在设备内部，同时开启NAT应用层网关(英文：(ApplicationLayerGateways，简称：ALG)功能。这种做法一方面增加了网络拓扑和运营管理的复杂性，同时增加了系统的处理开销；另一方面新的应用协议层出不穷，可能导致NATALG无法识别，甚至一些协议设计上与NAT是不兼容的，如认证头(英文：AuthenticationHeader，简称：AH)协议等。

第三种方案，C和D使用独立的IP地址空间和路由转发，E不做改动，F为每个公司分配一个独立的公共网络IP地址来区分两个公司的流量。这样做的代价也是显而易见的，耗费了运营商本来就紧缺的公共网络IP地址资源。

本发明实施例为解决上述问题，提供一种IPSec安全联盟SA的建立方法及装置，以实现在目前公共网络IP地址紧缺的情况下，运营商为虚拟的逻辑设备提供IP地址空间可独立规划的，提供完全隔离的IPSec保护功能，以实现不同公司的流量的区分；同时，简化运营商的网络拓扑和运维成本。既保证每个虚拟化的逻辑设备的IP地址空间的独立规划，不存在NAT带来的一些兼容性问题和效率降低问题，还可以节省公共网络IP地址资源。

图1为本发明应用场景示例图。如图1所示，设备11和设备21为C的通信设备，其中，设备11的IP地址为192.168.1.0/24，设备21的IP地址为192.168.2.0/24；设备12和设备22为D的通信设备，其中，设备12的IP地址为192.168.1.0/24，设备22的IP地址为192.168.2.0/24；同一公司的通信设备通过安全设备13、网络100及安全设备23进行通信。安全设备13与安全设备23之间建立IPSec隧道，IPsec隧道本地端点属于前虚拟路由转发(英文：FrontVRF，简称：FVRF)。内网，例如，设备11与安全设备13，或设备12与安全设备23，需要保护的IP数据报文的源地址和目的地址属于内部虚拟路由转发(英文：InternalVRF，简称：IVRF)。

图2为本发明IPSecSA的建立方法实施例一的流程图。本发明实施例提供一种IPSecSA的建立方法，该方法可以由IPSecSA的建立装置或防火墙、安全网关、路由器等支持IPSec功能的网络设备执行，其中，IPSecSA的建立装置可以独立设置，也可以集成在其它安全设备之中。如图2所示，该方法包括：

S201、第一设备根据安全策略数据库(英文：SecurityPolicyDatabase，简称：SPD)，确定作为对端设备的第二设备。

其中，SPD包括第一逻辑设备的VRF标识，该第一逻辑设备可以是基于第一设备的资源通过虚拟化技术获得的。

具体地，SPD中包含安全策略。每一个安全策略包括需要进行保护的数据报文的特征，其中，数据报文的特征包括VRF标识；如何保护数据报文，例如，保护数据报文所采用的加密算法等数据报文处理方法；及，数据报文的收发端信息等。

现有技术中，VRF标识为一个路由实例的标识，代表的是一个IP地址空间，不同的VRF标识可以实现路由的隔离。在本发明实施例中，扩展VRF标识的概念，可以认为VRF标识表示的是逻辑设备，该逻辑设备是由一台物理设备，该实施例中为第一设备，虚拟出来的多个逻辑上完全独立的设备中的一个，也就是说VRF标识属于虚拟系统(英文：VirtualSystem，简称：VSYS)的概念。

S202、第一设备触发与第二设备的第一阶段的IKE协商，获得IKESA。

S203、在上述IKESA保护下，第一设备发送第一协商报文给第二设备。

其中，该第一协商报文携带第一逻辑设备的VRF标识。

S204、第一设备接收第二设备发送的第二协商报文。

其中，该第二协商报文是第一协商报文的响应报文。该第二协商报文携带第二逻辑设备的VRF标识，第二逻辑设备是基于第二设备的资源通过虚拟化技术获得的。

S205、第一设备判断第二逻辑设备的VRF标识与第一逻辑设备的VRF标识是否相同。

具体地，若相同，执行S206；若不同，流程结束。

S206、第一设备与第二设备建立IPSecSA。

其中，每个IPsecSA与两个VRF相关联。其中，建立IPsecSA的本地端点属于FVRF，例如图1中安全设备13和安全设备23，而内网需要保护的IP数据报文的源地址和目的地址属于IVRF，如图1中的设备11与设备21，及设备12与设备22所示。一个或多个IPSecSA可以终止在同一接口。所有这些IPSecSA的FVRF是一样的，被设置为被该接口上配置的VRF。但这些IPSecSA的IVRF可以是不同的，依赖于安全策略中定义的需要保护流量的VRF标识，也就是ACL绑定的VRF标识。

需要注意的是，现有技术中，上述IVRF和FVRF都是设备内部的概念，不会传递到其它的网络设备上，例如，第一逻辑设备的VRF标识仅存在于第一逻辑设备和第一设备之间，不会被传递给第二设备或第二逻辑设备。其中，“第一”和“第二”仅为区别进行IKE协商的两个设备，这两个设备可以都为安全网关或其它支持IPSec功能的网络设备，本发明不予限制。

本发明实施例通过在IKE协商过程中，将VRF标识携带在协商报文中，作为需要所保护流量的特征的一部分交换，例如，第一协商报文携带第一逻辑设备的VRF标识，第二协商报文携带第二逻辑设备的VRF标识，从而将现有技术中根据不同IP地址进行IKE协商以建立IPSecSA的处理方法，更新为本发明实施例的在现有技术根据IP地址进行IKE协商的基础上，还根据不同VRF标识进行IKE协商以建立IPSecSA，这样，可以对不同VRF标识的流量，根据安全策略选择不同的IPSecSA进行加密，以实现在目前公共网络IP地址紧缺的情况下，运营商基于VRF标识为不同逻辑设备提供IP地址空间可独立规划的，提供完全隔离的IPSec保护功能，以实现不同公司的流量的区分。另外，本发明实施例采用一个IP地址保护多个公司的流量，从而可以节省公共网络IP地址资源。

在上述实施例中，S201可以通过多种方式实现。

一种实现方式中，第一设备通过数据报文确定第二设备。具体地，S201可以包括：第一设备接收第一逻辑设备发送的数据报文，该数据报文携带第一逻辑设备的VRF标识；第一设备从数据报文中获取第一逻辑设备的VRF标识；第一设备判断SPD中的安全策略中是否包含第一逻辑设备的VRF标识；基于SPD中的安全策略中包含第一逻辑设备的VRF标识的判断结果，确定数据报文的接收设备作为第二设备。

另一种实现方式中，第一设备根据其已存储的SPD确定第二设备。具体地，S201可以包括：第一设备读取SPD中的安全策略，判断SPD中的安全策略中是否包含第一逻辑设备的VRF标识；基于SPD中的安全策略中包含第一逻辑设备的VRF标识的判断结果，确定包含第一逻辑设备的VRF标识的安全策略中的接收设备为第二设备。

在上述基础上，S202可以包括：第一设备采用IKE协议，发送第三协商报文给第二设备，该第三协商报文携带第一供应商身份标识(英文：VendorIDentity，简称：VendorID)载荷，该第一VendorID载荷用于指示第一设备支持VRF标识交换能力；第一设备接收第二设备发送的第四协商报文，第四协商报文携带第二VendorID载荷，第二VendorID载荷用于指示第二设备支持VRF标识交换能力；第一设备确定第四协商报文中包括第二VendorID载荷，与第二设备建立IKESA。

具体地，在第一设备与第二设备在第一阶段的协商中，双方交换扩展能力，查看对方是否支持预定义的VendorID载荷的扩展，该VendorID载荷用于指示本端支持VRF标识交换能力，建立IKESA，从而可提高IKE协商成功的概率。

在第二阶段的协商中，在第一阶段的协商所建立的IKESA保护下，第一设备与第二设备交换VRF标识，对不同的VRF标识分别建立IPSecSA。IKE协商完成后，对于不同VRF标识的流量，根据安全策略选择不同的IPSecSA进行加密，对端设备解密后，交给相应的VRF标识对应的设备处理。

在上述实施例的基础上，S206之后，该IPSecSA的建立方法还可以包括：第一设备保存包含第一逻辑设备的VRF标识的安全策略与IPSecSA之间的关联关系。这样，第一设备在接收到数据报文之后，可以读取已存储的上述关联关系，确定该数据报文所需的IPSecSA，并采用该IPSecSA对该数据报文提供IPSec保护。

与图2所示实施例相对应，对端设备，即第二设备，与第一设备进行交互的流程如图3所示。

图3所示方案提供一种IPSecSA的建立方法，该方法可以由IPSecSA的建立装置或防火墙、安全网关、路由器等支持IPSec功能的网络设备执行，其中，IPSecSA的建立装置可以独立设置，也可以集成在其它安全设备之中。如图3所示，该方法包括：

S301、第二设备采用IKE协议，与第一设备进行第一阶段的IKE协商，获得IKESA。

S302、在上述IKESA保护下，第二设备接收第一设备发送的第一协商报文。

其中，第一协商报文携带第一逻辑设备的VRF标识，第一逻辑设备是基于第一设备的资源通过虚拟化技术获得的。

S303、第二设备根据第一逻辑设备的VRF标识，生成第二协商报文。

其中，第二协商报文携带第二逻辑设备的VRF标识。第二逻辑设备是基于第二设备的资源通过虚拟化技术获得的。

S304、第二设备发送第二协商报文给第一设备。

其中，第二协商报文携带匹配信息。

S305、第二设备与第一设备建立IPSecSA。

因图3所示实施例为图2所示实施例的对端实施例，因此，该实施例中步骤的执行及对步骤中术语的解释可参考图2所示实施例，此处不再赘述。

本发明实施例通过在IKE协商过程中，将VRF标识携带在协商报文中，作为需要保护流量特征的一部分交换，例如，第一协商报文携带第一逻辑设备的VRF标识，第二协商报文携带第二逻辑设备的VRF标识，从而将现有技术中根据不同IP地址进行IKE协商以建立IPSecSA的处理方法，更新为本发明实施例的根据不同VRF标识进行IKE协商以建立IPSecSA，这样，可以对不同VRF标识的流量，根据安全策略选择不同的IPSecSA进行加密，以实现在目前公共网络IP地址紧缺的情况下，运营商基于VRF标识为不同逻辑设备提供IP地址空间可独立规划的，提供完全隔离的IPSec保护功能，以实现不同公司的流量的区分。另外，本发明实施例采用一个IP地址保护多个公司的流量，从而可以节省公共网络IP地址资源。同时，本发明实施例还可以简化运营商的网络拓扑和运维成本。

进一步地，S301可以包括：第二设备采用IKE协议，接收第一设备发送的第三协商报文，第三协商报文携带第一VendorID载荷，第一VendorID载荷用于指示第一设备支持VRF标识交换能力；第二设备发送第四协商报文给第一设备，第四协商报文携带第二VendorID载荷，第二VendorID载荷用于指示第二设备支持VRF标识交换能力；第二设备与第一设备建立IKESA。

可选地，S303可以包括：第二设备从第一协商报文中获取第一逻辑设备的VRF标识；第二设备判断第二设备的SPD中的安全策略中是否包含与第一逻辑设备的VRF标识相同的VRF标识；第二设备基于SPD的安全策略中包含与第一逻辑设备的VRF标识相同的VRF标识的判断结果，确定第二逻辑设备的VRF标识，第二逻辑设备的VRF标识与第一逻辑设备的VRF标识相同，第二逻辑设备是基于第二设备的资源通过虚拟化技术获得的；第二设备生成第二协商报文，第二协商报文携带第二逻辑设备的VRF标识。

在上述实施例的基础上，S305之后，该IPSecSA的建立方法还可以包括：第二设备保存包含第二逻辑设备的VRF标识的安全策略与IPSecSA之间的关联关系。这样，第二设备在接收到数据报文之后，可以读取已存储的上述关联关系，确定该数据报文所需的IPSecSA，并采用该IPSecSA对该数据报文提供IPSec保护。

以下通过具体实施例，对图2和图3所示方法实施例的技术方案进行详细说明。

参照图1，在安全设备13上分别为C和D使用的VRF独立设置VRFID，在安全设备23上也分别为C和D使用的VRF独立设置VRFID，保证不同公司对应的VRFID是唯一的，两台安全设备上同一公司对应的VRFID要保持一致。其中，安全设备13作为上述第一设备，安全设备23作为上述第二设备，设备11作为上述第一逻辑设备，设备21作为上述第二逻辑设备。

当安全设备13接收到设备11的数据报文，该数据报文继承设备11与安全设备13之间交互的接口的VRF标识。安全设备13查找其已存储的SPD，在SPD中匹配到上述数据报文携带的VRF标识，则确定此数据报文需要进行IPSec保护，触发与数据报文的接收设备进行IKE协商。或者，安全设备13遍历其已存储的SPD，若确定该SPD中任一VRF标识对应的数据报文需要进行IPSec保护，触发IKE协商。

安全设备13和安全设备23使用IKE协议，协商第一阶段的安全联盟。如果安全设备13支持交换VRF，采用IKE协议，发送第三协商报文给安全设备23，该第三协商报文携带第一VendorID载荷，第一VendorID载荷用于指示安全设备13支持VRF标识交换能力。如果安全设备23也支持VRF交换，则安全设备23采用IKE协议，接收安全设备13发送的第三协商报文之后，发送第四协商报文给安全设备13，该第四协商报文携带第二VendorID载荷，第二VendorID载荷用于指示安全设备23支持VRF标识交换能力。安全设备13接收安全设备23发送的第四协商报文，并确定第四协商报文中包括第二VendorID载荷，双方完成VRF交换的扩展能力，建立IKESA。

若上述第一阶段的协商过程中，安全设备13或安全设备23任一方不具备VRF标识交换能力；第二阶段的协商不会交换VRF标识，按照现有技术进行协商。也就是说，若第三协商报文不包括第一VendorID载荷和/或第四协商报文不包括第二VendorID载荷，则在第二阶段的协商过程所使用的协商报文中不包括所述VRF标识。

在上述基础上，安全设备13和安全设备23都支持VRF标识交换，则安全设备13在IKESA保护下，发送第一协商报文给安全设备23，该第一协商报文携带设备11的VRF标识。对应地，安全设备23在IKESA保护下，接收安全设备13发送的第一协商报文；根据设备11的VRF标识，查找IPSec的SPD，匹配到安全策略，该安全策略包括设备21的VRF标识；发送第二协商报文给安全设备13，该第二协商报文携带匹配信息，匹配信息包括安全策略。此时，安全设备13接收安全设备23发送的第二协商报文，并确定该第二协商报文中包括设备21的VRF标识。安全设备13与安全设备23建立IPSecSA。

例如，通过上述方式，安全设备13与安全设备23为设备11和设备21之间传输的流量建立保护此流量的第一IPSecSA；同理，安全设备13与安全设备23为设备12和设备22之间传输的流量建立保护此流量的第二IPSecSA。

安全设备13传输的设备11和设备21之间的流量根据安全策略选择第一IPSecSA进行加密，安全设备23使用第一IPSecSA解密，确定第一IPSecSA保护的流量为设备11和设备21之间的流量，在安全设备23的第一VRF中转发给设备21处理。

相应的，安全设备13传输的设备12和设备22之间的流量根据安全策略选择第二IPSecSA进行加密，安全设备23使用第二IPSecSA解密，确定第二IPSecSA保护的流量为设备12和设备22之间的流量，在安全设备23的第二VRF中转发给设备22处理。另外，安全设备23发送数据报文到安全设备13的处理流程与上述流程类似，此处不再赘述。

本发明实施例为运营商提供了一种节约公共网络IP地址资源的IPSec虚拟化应用场景的解决方案。虚拟的逻辑设备的IP地址空间可独立规划，完全隔离，保证逻辑设备的高度虚拟化；同时简化运营商的网络拓扑和降低运维成本，节省公共网络的IP地址资源。

图4为本发明IPSecSA的建立装置实施例一的结构示意图。如图4所示，IPSecSA的建立装置40包括：确定模块41、IKESA建立模块42、发送模块43、接收模块44、判断模块45和IPSecSA建立模块46。

其中，确定模块41用于根据SPD，确定作为对端设备的第二设备，其中，SPD包括第一逻辑设备的VRF标识，第一逻辑设备是基于IPSecSA的建立装置40的资源通过虚拟化技术获得的。IKESA建立模块42用于触发与第二设备的第一阶段的IKE协商，获得IKESA。发送模块43用于在IKESA的保护下，发送第一协商报文给第二设备，第一协商报文携带第一逻辑设备的VRF标识。接收模块44用于接收所述第二设备发送的第二协商报文，该第二协商报文是上述第一协商报文的响应报文，第二协商报文携带第二逻辑设备的VRF标识，第二逻辑设备是基于第二设备的资源通过虚拟化技术获得的。判断模块45用于判断第二逻辑设备的VRF标识与第一逻辑设备的VRF标识是否相同。IPSecSA建立模块46用于基于判断模块45输出的判断结果为相同，与第二设备建立IPSecSA。

本实施例的装置，可以用于执行图2所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

在上述实施例中，一种实现方式中，确定模块41可具体用于：接收第一逻辑设备发送的数据报文，数据报文携带第一逻辑设备的VRF标识；从数据报文中获取第一逻辑设备的VRF标识；判断SPD中的安全策略中是否包含第一逻辑设备的VRF标识；基于SPD中的安全策略中包含第一逻辑设备的VRF标识的判断结果，确定数据报文的接收设备作为第二设备。

另一种实现方式中，确定模块41可具体用于：读取SPD中的安全策略，判断SPD中的安全策略中是否包含第一逻辑设备的VRF标识；基于SPD中的安全策略中包含第一逻辑设备的VRF标识的判断结果，确定包含第一逻辑设备的VRF标识的安全策略中的接收设备为第二设备。

可选地，IKESA建立模块42可具体用于：采用IKE协议，发送第三协商报文给第二设备，该第三协商报文携带第一VendorID载荷，该第一VendorID载荷用于指示IPSecSA的建立装置40支持VRF标识交换能力；接收第二设备发送的第四协商报文，该第四协商报文携带第二VendorID载荷，第二VendorID载荷用于指示第二设备支持VRF标识交换能力；确定第四协商报文中包括第二VendorID载荷，与第二设备建立IKESA。

进一步地，IPSecSA的建立装置40还可以包括存储模块(未示出)。其中，存储模块可以用于保存包含第一逻辑设备的VRF标识的安全策略与IPSecSA建立模块46建立的IPSecSA之间的关联关系。从而，IPSecSA的建立装置40在接收到数据报文之后，可以读取已存储的上述关联关系，确定该数据报文所需的IPSecSA，并采用该IPSecSA对该数据报文提供IPSec保护。

其中，若第三协商报文不包括第一VendorID载荷和/或第四协商报文不包括第二VendorID载荷，则在第二阶段的协商过程所使用的协商报文中不包括VRF标识。

在本发明任一实施例中，第一设备和第二设备可以为安全网关或防火墙等支持IPSec功能的网络设备。

图5为本发明IPSecSA的建立装置实施例二的结构示意图。如图5所示，IPSecSA的建立装置50包括：IKESA建立模块51、接收模块52、报文生成模块53、发送模块54和IPSecSA建立模块55。

其中，IKESA建立模块51用于采用IKE协议，与第一设备进行第一阶段的IKE协商，获得IKESA。接收模块52用于在IKESA的保护下，接收第一设备发送的第一协商报文，该第一协商报文携带第一逻辑设备的VRF标识，第一逻辑设备是基于第一设备的资源通过虚拟化技术获得的。报文生成模块53用于根据第一逻辑设备的VRF标识，生成第二协商报文，该第二协商报文携带第二逻辑设备的VRF标识，第二逻辑设备是基于IPSecSA的建立装置50的资源通过虚拟化技术获得的。发送模块54用于发送第二协商报文给第一设备。IPSecSA建立模块55用于与第一设备建立IPSecSA。

本实施例的装置，可以用于执行图3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

在上述基础上，IKESA建立模块51可具体用于：采用IKE协议，接收第一设备发送的第三协商报文，该第三协商报文携带第一VendorID载荷，第一VendorID载荷用于指示第一设备支持VRF标识交换能力；发送第四协商报文给第一设备，该第四协商报文携带第二VendorID载荷，第二VendorID载荷用于指示IPSecSA的建立装置50支持VRF标识交换能力；与第一设备建立IKESA。

若第三协商报文不包括第一VendorID载荷，和/或，第四协商报文不包括第二VendorID载荷，则在第二阶段的协商过程所使用的协商报文中不包括VRF标识。

可选地，报文生成模块53可具体用于：从第一协商报文中获取第一逻辑设备的VRF标识；判断IPSecSA的建立装置50的SPD中的安全策略中是否包含与上述第一逻辑设备的VRF标识相同的VRF标识；基于SPD的安全策略中包含与第一逻辑设备的VRF标识相同的VRF标识的判断结果，确定第二逻辑设备的VRF标识，该第二逻辑设备的VRF标识与第一逻辑设备的VRF标识相同，第二逻辑设备是基于IPSecSA的建立装置50的资源通过虚拟化技术获得的；生成第二协商报文，其中，第二协商报文携带第二逻辑设备的VRF标识。

进一步地，IPSecSA的建立装置50还可以包括：存储模块(图中未示出)。其中，该存储模块可以用于保存包含第二逻辑设备的VRF标识的安全策略与IPSecSA建立模块55建立的IPSecSA之间的关联关系。从而，IPSecSA的建立装置50在接收到数据报文之后，可以读取已存储的上述关联关系，确定该数据报文所需的IPSecSA，并采用该IPSecSA对该数据报文提供IPSec保护。

本发明实施例通过在IKE协商过程中，将VRF标识携带在协商报文中，作为需要保护流量特征的一部分交换，例如，第一协商报文携带第一逻辑设备的VRF标识，第二协商报文携带第二逻辑设备的VRF标识，从而将现有技术中根据不同IP地址进行IKE协商以建立IPSecSA的处理方法，更新为本发明实施例的根据不同VRF标识进行IKE协商以建立IPSecSA，这样，可以对不同VRF标识的流量，根据安全策略选择不同的IPSecSA进行加密，以实现在目前公共网络IP地址紧缺的情况下，运营商基于VRF标识为不同逻辑设备提供IP地址空间可独立规划的，提供完全隔离的IPSec保护功能，以实现不同公司的流量的区分。另外，本发明实施例采用一个IP地址保护多个公司的流量，从而可以节省公共网络IP地址资源。同时，本发明实施例还可以简化运营商的网络拓扑和运维成本。

图6为本发明IPSecSA的建立装置实施例三的结构示意图。如图6所示，本实施例提供的IPSecSA的建立装置100包括：处理器1001、存储器1002、通信接口1003和通信总线1004。其中，处理器1001、存储器1002、通信接口1003三者之间通过通信总线1004相连，通信接口1003为IPSecSA的建立装置100进行网络通信的接口。具体地，存储器1002存储执行指令，当IPSecSA的建立装置100运行时，处理器1001与存储器1002之间通信，处理器1001调用存储器1002中的执行指令，用于执行以下操作：

根据SPD，确定作为对端设备的第二设备，其中，SPD包括第一逻辑设备的VRF标识，第一逻辑设备是基于IPSecSA的建立装置100的资源通过虚拟化技术获得的；

触发与第二设备的第一阶段的IKE协商，获得IKESA；

在IKESA的保护下，通过通信接口1003发送第一协商报文给第二设备，第一协商报文携带第一逻辑设备的VRF标识；

通过通信接口1003接收第二设备发送的第二协商报文，该第二协商报文是上述第一协商报文的响应报文，该第二协商报文携带第二逻辑设备的VRF标识，第二逻辑设备是基于第二设备的资源通过虚拟化技术获得的；

判断第二逻辑设备的VRF标识与第一逻辑设备的VRF标识是否相同；

若相同，与第二设备建立IPSecSA。

本实施例的装置，可以用于执行图2所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

一种实现方式中，处理器1001执行根据SPD，确定作为对端设备的第二设备时，具体操作可细化为：接收第一逻辑设备发送的数据报文，数据报文携带第一逻辑设备的VRF标识；从数据报文中获取第一逻辑设备的VRF标识；判断SPD中的安全策略中是否包含第一逻辑设备的VRF标识；基于SPD中的安全策略中包含第一逻辑设备的VRF标识的判断结果，确定数据报文的接收设备作为第二设备。

另一种实现方式中，处理器1001执行根据SPD，确定作为对端设备的第二设备时，具体操作可细化为：读取SPD中的安全策略，判断SPD中的安全策略中是否包含第一逻辑设备的VRF标识；基于SPD中的安全策略中包含第一逻辑设备的VRF标识的判断结果，确定包含第一逻辑设备的VRF标识的安全策略中的接收设备为第二设备。

进一步地，处理器1001执行触发与第二设备的第一阶段的IKE协商，获得IKESA时，具体操作可细化为：采用IKE协议，通过通信接口1003发送第三协商报文给第二设备，第三协商报文携带第一VendorID载荷，第一VendorID载荷用于指示第一设备支持VRF标识交换能力；通过通信接口1003接收第二设备发送的第四协商报文，该第四协商报文携带第二VendorID载荷，第二VendorID载荷用于指示第二设备支持VRF标识交换能力；确定该第四协商报文中包括第二VendorID载荷，与第二设备建立IKESA。

更进一步地，存储器1002还用于保存包含第一逻辑设备的VRF标识的安全策略与IPSecSA之间的关联关系。

图7为本发明IPSecSA的建立装置实施例四的结构示意图。如图7所示，本实施例提供的IPSecSA的建立装置200包括：处理器2001、存储器2002通信接口2003和通信总线2004。其中，处理器2001、存储器2002、通信接口2003三者之间通过通信总线2004相连，通信接口2003为IPSecSA的建立装置200进行网络通信的接口。具体地，存储器2002存储执行指令，当IPSecSA的建立装置200运行时，处理器2001与存储器2002之间通信，处理器2001调用存储器2002中的执行指令，用于执行以下操作：

采用IKE协议，与第一设备进行第一阶段的IKE协商，获得IKESA；

在IKESA的保护下，通过通信接口2003接收第一设备发送的第一协商报文，该第一协商报文携带第一逻辑设备的VRF标识，第一逻辑设备是基于第一设备的资源通过虚拟化技术获得的；

根据上述第一逻辑设备的VRF标识，生成第二协商报文，该第二协商报文携带第二逻辑设备的VRF标识，第二逻辑设备是基于IPSecSA的建立装置200的资源通过虚拟化技术获得的；

通过通信接口2003发送第二协商报文给第一设备；

与第一设备建立IPSecSA。

本实施例的装置，可以用于执行图3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

在上述实施例中，处理器2001执行采用IKE协议，与第一设备进行第一阶段的IKE协商，获得IKESA时，具体操作可细化为：采用IKE协议，通过通信接口2003接收第一设备发送的第三协商报文，该第三协商报文携带第一VendorID载荷，第一VendorID载荷用于指示第一设备支持VRF标识交换能力；通过通信接口2003发送第四协商报文给第一设备，该第四协商报文携带第二VendorID载荷，第二VendorID载荷用于指示IPSecSA的建立装置200支持VRF标识交换能力；与第一设备建立IKESA。

可选地，处理器2001执行根据第一逻辑设备的VRF标识，生成第二协商报文时，具体操作可细化为：从第一协商报文中获取第一逻辑设备的VRF标识；判断IPSecSA的建立装置200的SPD中的安全策略中是否包含与第一逻辑设备的VRF标识相同的VRF标识；基于SPD的安全策略中包含与第一逻辑设备的VRF标识相同的VRF标识的判断结果，确定第二逻辑设备的VRF标识，其中，第二逻辑设备的VRF标识与第一逻辑设备的VRF标识相同，第二逻辑设备是基于IPSecSA的建立装置200的资源通过虚拟化技术获得的；生成上述第二协商报文，该第二协商报文携带第二逻辑设备的VRF标识。

在上述实施例的基础上，存储器2002还可以用于保存包含第二逻辑设备的VRF标识的安全策略与IPSecSA之间的关联关系。

在本申请所提供的几个实施例中，应该理解到，所揭示的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元或模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或模块可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。