失效对等体检测方法、IPsec对等体和网络设备

摘要

本发明实施例提供一种失效对等体检测方法、IPsec对等体和网络设备，该方法包括：第一IPsec对等体根据检测触发条件确定各入站IPsec SA中是否存在至少一个待检测IPsec SA；若存在，第一IPsec对等体向第二IPsec对等体发送分别与每个待检测IPsec SA对应的失效对等体检测DPD消息，每个DPD消息采用与IKE SA对应的加密密钥进行加密且其中包括待检测IPsec SA的标识信息；第一IPsec对等体根据接收到的DPD响应信息确定各待检测IPsec SA是否异常。第一IPsec对等体能够根据及时准确地确定各待检测IPsec SA的状态，以提高IPsec对等体间通信的可靠性。

说明书

技术领域

本发明实施例涉及无线通信技术领域，尤其涉及一种失效对等体检测方法、IPsec对等体和网络设备。

背景技术

为了保证通信对等体间的通信安全性，一种普遍的方式是通信对等体间采用因特网协议安全(Internet Protocol Security,IPsec)协议，此时，该通信对等体称之为IPsec对等体。IPsec协议的使用需要因特网密钥交换(Internet Key Exchange,IKE)协议的支持，即需要通过IKE来建立IPsec对等体通信时对IP数据包进行加密所需的IPsec安全联盟(IPsec Security Association,IPsec SA)对应的加密密钥。简单来说，IKE是分为两个阶段来建立IPsec SA，第一阶段是通信对等体间的对等IKE间协商建立一个安全传输通道IKE SA，第二阶段是基于该IKE SA为IPsec对等体建立实际加密数据包所需的IPsec SA。

由于IKE协议是基于UDP协议的，即具有无连接的特性，从而，当通信对等体中的一方如PEER2突然网络闪断导致另一方对等体比如PEER1到达该PEER2的链路不可达，此时，由于无连接的特性，PEER1不知道该不可达的情况，从而使得其仍然基于与PEER2间的IKE SA进行数据报文的发送，但是此时的数据报文发送动作其实是无效的，因为不能到达目的地。为了避免IPsec对等体间进行上述无效的数据通信，现有技术中采用了一种失效对等体检测(Dead Peer Detection，DPD)机制来进行IPsec对等体间IKE SA是否异常的检测。简单描述该DPD机制如下：假设PEER1在空闲定时器的计时结束时，仍未收到对等体PEER2发送的加密数据报文则启动DPD，向PEER2发送DPD检测消息(are u there)。如果PEER1在另一预设设定的时间段内都没有收到PEER2反馈的确认响应，则确定与PEER2间的IKE SA异常，从而重新协商IKE SA。

但是，在实际应用中，IPsec对等体间往往存在着多个通信进程或者 说是多个业务，各个业务分别对应着不同的IPsec SA，而这些IPsec SA可能是对应同一个IKE SA的，即IKE SA与IPsec SA存在着一对多的对应关系。事实上，PEER1和PEER2之间可能存在多个IPsec SA，当传输链路异常例如传输闪断，可能出现PEER1和PEER2之间部分IPsec SA正常，部分IPsec SA异常。但是，基于上述现有的DPD机制，在该情况下，由于存在正常的部分IPsec SA，PEER1的DPD检测结果为与PEER2间的IKE SA正常，无法实现针对IPsec SA的检测，从而PEER1仍采用与PEER2间已经异常的IPsec SA进行相对应业务的通信而导致通信失败，从而使得PEER1会错误地采取相应的处理策略，比如业务托管，导致通信可靠性大大降低。

发明内容

有鉴于此，本发明实施例提供了一种失效对等体检测方法、IPsec对等体和网络设备，用以克服现有DPD方式中无法实现针对IPsec对等体间的Ipsec SA的检测，从而容易导致IPsec对等体间通信可靠性较低的缺陷。

第一方面，本发明实施例提供了一种失效对等体检测方法，包括：

第一因特网协议安全IPsec对等体根据检测触发条件确定各入站IPsec SA中是否存在至少一个待检测IPsec SA；

当存在时，则所述第一IPsec对等体向第二IPsec对等体发送分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；其中，所述各入站IPsec SA为所述第一IPsec对等体与所述第二IPsec对等体通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述第二IPsec对等体向所述第一IPsec对等体发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

所述第一IPsec对等体根据在第一预设时间内接收到的DPD响应信息确定所述每个待检测IPsec SA是否异常。

在第一方面的第一种可能的实现方式中，所述第一IPsec对等体根据检测触发条件确定各入站IPsec SA中是否存在至少一个待检测IPsec SA，包括：

所述第一IPsec对等体确定每个入站IPsec SA对应的空闲定时器计时是否达到第二预设时间；

当达到所述第二预设时间时，所述第一IPsec对等体都未接收到所述第二IPsec对等体采用所述入站IPsec SA进行加密的数据报文，则所述第一IPsec对等体确定所述入站IPsec SA为一个待检测IPsec SA。

结合第一方面或第一方面的第一种可能的实现方式中，在第一方面的第二种可能的实现方式中，所述第一IPsec对等体根据在第一预设时间内接收到的DPD响应信息确定所述每个待检测IPsec SA是否异常，包括：

当所述第一IPsec对等体在第一预设时间内接收到至少一个DPD响应信息时，则所述第一IPsec对等体确定所述待检测IPsec SA中与所述至少一个DPD响应信息中分别携带的IPsec SA标识信息相一致的各IPsec SA为正常的，并确定所述待检测IPsec SA中的其他IPsec SA为异常的；

或者，所述第一IPsec对等体根据在第一预设时间内接收到的DPD响应信息确定所述每个待检测IPsec SA是否异常，包括：

当所述第一IPsec对等体在第一预设时间内未接收到DPD响应信息时，则所述第一IPsec对等体确定所述每个待检测IPsec SA都为异常的。

第二方面，本发明实施例提供了一种失效对等体检测方法，包括：

第二IPsec对等体接收第一IPsec对等体发送的分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；

其中，所述DPD消息为所述第一IPsec对等体根据检测触发条件确定各入站IPsec SA中存在至少一个待检测IPsec SA时发送的；其中，所述各入站IPsec SA为所述第一IPsec对等体与所述第二IPsec对等体通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述第二IPsec对等体向所述第一IPsec对等体发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

所述第二IPsec对等体解析获得每个所述DPD消息中包含的待检测IPsec SA的标识信息，并确定每个待检测IPsec SA是否有效；

当存在有效的待检测IPsec SA时，则所述第二IPsec对等体在第一预设时间内向所述第一IPsec对等体发送与有效的待检测IPsec SA分别对应的 DPD响应信息，以使所述第一IPsec对等体根据各DPD响应信息确定所述每个待检测IPsec SA是否异常。

第三方面，本发明实施例提供了一种IPsec对等体，包括：

确定模块，用于根据检测触发条件确定各入站IPsec SA中是否存在至少一个待检测IPsec SA；

发送模块，用于在所述确定模块确定存在至少一个待检测IPsec SA时，向另一IPsec对等体发送分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；其中，所述各入站IPsec SA为所述IPsec对等体与所述另一IPsec对等体通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述另一IPsec对等体向所述IPsec对等体发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

所述确定模块还用于根据在第一预设时间内接收到的DPD响应信息确定所述每个待检测IPsec SA是否异常。

在第三方面的第一种可能的实现方式中，所述确定模块还用于：

确定每个入站IPsec SA对应的空闲定时器计时是否达到第二预设时间；

当达到所述第二预设时间时，所述IPsec对等体都未接收到所述另一IPsec对等体采用所述入站IPsec SA进行加密的数据报文，则确定所述入站IPsec SA为一个待检测IPsec SA。

结合第三方面或第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述确定模块还用于：

当所述IPsec对等体在第一预设时间内接收到至少一个DPD响应信息时，则确定所述待检测IPsec SA中与所述至少一个DPD响应信息中分别携带的IPsec SA标识信息相一致的各IPsec SA为正常的，并确定所述待检测IPsec SA中的其他IPsec SA为异常的；

或者，所述确定模块还用于：

当所述IPsec对等体在第一预设时间内未接收到DPD响应信息时，则确定所述每个待检测IPsec SA都为异常的。

第四方面，本发明实施例提供了另一种IPsec对等体，包括：

接收模块，用于接收另一IPsec对等体发送的分别与每个待检测IPsec  SA对应的失效对等体检测DPD消息；

其中，所述DPD消息为所述另一IPsec对等体根据检测触发条件确定各入站IPsec SA中存在至少一个待检测IPsec SA时发送的；其中，所述各入站IPsec SA为所述另一IPsec对等体与所述IPsec对等体通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述IPsec对等体向所述另一IPsec对等体发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

处理模块，用于解析获得每个所述DPD消息中包含的待检测IPsec SA的标识信息，并确定每个待检测IPsec SA是否有效；

发送模块，用于当所述处理模块确定存在有效的待检测IPsec SA时，则在第一预设时间内向所述另一IPsec对等体发送与有效的待检测IPsec SA分别对应的DPD响应信息，以使所述另一IPsec对等体根据各DPD响应信息确定所述每个待检测IPsec SA是否异常。

第五方面，本发明实施例提供了一种网络设备，包括：

存储器、发射器以及处理器，所述存储器、所述发射器和所述处理器通过总线连接；其中，所述存储器用于存储一组程序代码，所述处理器调用所述存储器中存储的程序代码，以根据检测触发条件确定各入站IPsec SA中是否存在至少一个待检测IPsec SA，并在确定存在至少一个待检测IPsec SA时，向所述发射器发送控制指令；

所述发射器，用于根据所述控制指令向另一网络设备发送分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；其中，所述各入站IPsec SA为所述网络设备与所述另一网络设备通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述另一网络设备向所述网络设备发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

所述处理器还用于根据在第一预设时间内接收到的DPD响应信息确定所述每个待检测IPsec SA是否异常。

在第五方面的第一种可能的实现方式中，所述处理器还用于：

确定每个入站IPsec SA对应的空闲定时器计时是否达到第二预设时间；

当达到所述第二预设时间时，所述网络设备都未接收到所述另一网络设备采用所述入站IPsec SA进行加密的数据报文，则确定所述入站IPsec SA为一个待检测IPsec SA。

结合第五方面或第五方面的第一种可能的实现方式，在第五方面的第二种可能的实现方式中，所述的网络设备还包括：

接收器，所述接收器连接在所述总线上，所述接收器用于接收所述另一网络设备在第一预设时间内发送的至少一个DPD响应信息；

所述处理器还用于确定所述待检测IPsec SA中与所述至少一个DPD响应信息中分别携带的IPsec SA标识信息相一致的各IPsec SA为正常的，并确定所述待检测IPsec SA中的其他IPsec SA为异常的；

或者，所述处理器还用于：

当所述接收器在第一预设时间内未接收到DPD响应信息时，则确定所述每个待检测IPsec SA都为异常的。

第六方面，本发明实施例提供了另一种网络设备，包括：

存储器、发射器、接收器以及处理器，所述存储器、所述发射器、所述接收器和所述处理器通过总线连接；

所述接收器，用于接收另一网络设备发送的分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；

其中，所述DPD消息为所述另一网络设备根据检测触发条件确定各入站IPsec SA中存在至少一个待检测IPsec SA时发送的；其中，所述各入站IPsec SA为所述另一网络设备与所述网络设备通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述网络设备向所述另一网络设备发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

所述存储器用于存储一组程序代码，所述处理器调用所述存储器中存储的程序代码，以解析获得每个所述DPD消息中包含的待检测IPsec SA的标识信息，并确定每个待检测IPsec SA是否有效，并在确定存在有效的待检测IPsec SA时，向所述发射器发送控制指令；

所述发射器，用于在第一预设时间内向所述另一网络设备发送与有效的待检测IPsec SA分别对应的DPD响应信息，以使所述另一网络设备根据各 DPD响应信息确定所述每个待检测IPsec SA是否异常。

本发明实施例提供的失效对等体检测方法、IPsec对等体和网络设备，第一IPsec对等体确定各入站IPsec SA中是否存在至少一个满足检测触发条件的待检测IPsec SA后，向第二IPsec对等体发送分别与每个待检测IPsec SA对应的失效对等体检测DPD消息，并且，每个DPD消息采用各待检测IPsec SA所共同基于的IKE SA所对应的加密密钥进行加密。由于每个DPD消息中携带有其所针对的待检测IPsec SA的标识信息，从而可以使得第二IPsec对等体在解析得到各待检测IPsec SA的标识信息后，能够实现对各待检测IPsec SA是否异常的确定，从而第一IPsec对等体能够根据第二IPsec对等体反馈的DPD响应信息及时准确地确定各待检测IPsec SA的状态，以便针对异常IPsec SA进行及时地修复，以提高IPsec对等体间通信的可靠性。

附图说明

图1为本发明实施例提供的失效对等体检测方法的流程图；

图2为与图1所示实施例对应的检测原理示意图；

图3为现有DPD方法的检测原理示意图；

图4为图1所示实施例中DPD消息的结构示意图；

图5为本发明另一实施例提供的失效对等体检测方法的流程图；

图6为本发明实施例提供的IPsec对等体的结构示意图；

图7为本发明另一实施例提供的IPsec对等体的结构示意图；

图8为本发明实施例提供的网络设备的结构示意图；

图9为本发明另一实施例提供的网络设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明实施例提供的失效对等体检测方法的流程图，首先，结 合图2介绍本实施例所述的DPD方法所依据的主要原理。图2为与图1所示实施例对应的检测原理示意图，如图2所示，在两个IPsec对等体即图2中的PEER1和PEER2之间，存在着多个IPsec SA，比如图2中示出的三个，分别为SA1、SA2和SA3。以一个实际的应用场景为例，假设PEER1为增强型基站eNodeB，其通过作为PEER2的完全网关(Security Gateway,SeGW)与其他设备进行通信，该其他设备比如可以是核心网设备如移动性管理实体(Mobility Management Entity,MME)，网络管理设备、另一基站等，不做具体限制。假设图2中的SA1、SA2和SA3分别代表eNodeB与SeGW分别进行信令、业务和维护协商所产生的IPsec SA。在实际应用时，由于网络闪断比如PEER1到PEER2的传输链路异常或PEER2故障，有可能导致PEER1与PEER2间的一对IPsec SA正常，其他IPsec SA异常。

仍以上述举例的应用场景为例，eNodeB要和核心网设备如MME、网络管理设备、基站等多种设备之间建立连接，如果eNodeB到MME之间不可达(如图2，例如对应SA1)，但是eNodeB到网络管理设备之间可达(如图2，例如对应SA2)，eNodeB到另一基站之间可达(如图2，例如对应SA3)。

此时，基于现有技术中的DPD方式，eNodeB到SeGW之间的DPD检测是正常的，因为即使MME不可达，但是其它设备是可达的，对于eNodeB来讲，是无法得知某个IPsec SA是异常的，如图3所示，图3为现有DPD方法的检测原理示意图，现有的DPD方法中，虽然PEER1与PEER2间有多个IPsec SA，但仅有一个DPD检测路径，无法获知具体哪个IPsec SA异常。此时基于PEER的现有DPD检测结果指示正常，而实际上eNodeB的业务或维护却是异常的，导致eNodeB会因此进行业务托管或反馈业务异常。

为此，如图2所示，本发明实施例提供的所述方法是为了实现检测出PEER1与PEER2间的每个IPsec SA的状态是否异常的目的。其主要思想是：PEER1与PEER2间的每一对IPsec SA的状态都是相互独立的，比如当PEER1需要检测与PEER2间的每一对IPsec SA状态的时侯，在每一对IPsec SA上发送相互独立的DPD消息(are u there)，从而可以快速精确地检测出PEER1与PEER2之间是否有IPsec SA异常。仍以上述举例来说，eNodeB可以精确地检测出与SeGW之间的分别用于信令，业务和维护的SA1、SA2 和SA3哪个是异常的，从而基于该精确检测结果，对于异常IPsec SA，可以进行快速的修复，避免造成eNodeB的托管，造成事故。

以下将描述本实施例提供的基于IPsec SA的DPD方法的详细过程，如图1所示，该方法包括：

步骤101、第一IPsec对等体根据检测触发条件确定各入站IPsec SA中是否存在至少一个待检测IPsec SA，若存在，则执行步骤102，否则结束。

步骤102、第一IPsec对等体向第二IPsec对等体发送分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；

其中，所述各入站IPsec SA为所述第一IPsec对等体与所述第二IPsec对等体通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述第二IPsec对等体向所述第一IPsec对等体发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

步骤103、第一IPsec对等体根据在第一预设时间内接收到的DPD响应信息确定所述每个待检测IPsec SA是否异常。

本实施例中，第一IPsec对等体以PEER1代表，比如可以是eNodeB；第二IPsec对等体以PEER2代表比如可以是SeGW，并以图2中所示为例，假设PEER1与PEER2间存在SA1、SA2和SA3三个入站IPsec SA，并如上述举例中，假设SA1、SA2和SA3分别代表eNodeB与SeGW分别进行信令、业务和维护协商所产生的入站IPsec SA。也就是说，SeGW采用SA1对向eNodeB发送的信令消息进行加密，SeGW采用SA2对向eNodeB发送的业务数据进行加密，SeGW采用SA3对向eNodeB发送的维护消息进行加密。并且，上述三个入站IPsec SA都是基于同一IKE SA生成的。对等体间进行IKE SA协商以建立IPsec SA的过程为现有技术，本实施例不赘述。

值得说明的是，PEER1与PEER2间不但存在入站IPsec SA，还会存在出站IPsec SA，即PEER1与PEER2间的双向数据通信所采用的IPsec SA是不同的。本实施例中，以PEER1作为检测方法的执行主体为例进行说明，可以理解的是，对于PEER2作为执行主体时的情况与之类似，不重复说明。另外，可以理解的是，对于PEER1来说，其无需检测出站方向，即无需检测出站IPsec SA，因为如果PEER1比如出现故障而导致当前的出站IPsec SA无效，那么其 自身会重新进行新的出站IPsec SA的协商建立过程，因此，PEER1仅是需要检测入站IPsec SA。

为了实现PEER1能够检测确定与PEER2间各入站IPsec SA的状态，并且尽量降低检测所导致的开销，PEER1首先需要确定什么时候启动检测。本实施例中设置有检测触发条件，只有PEER1根据该检测触发条件确定各入站IPsec SA中存在至少一个待检测IPsec SA时，才启动检测即向PEER2发送DPD消息。

PEER1可以采用如下方式来确定各入站IPsec SA中是否存在至少一个待检测IPsec SA：

PEER1确定每个入站IPsec SA对应的空闲定时器计时是否达到第二预设时间；

若达到所述第二预设时间时，PEER1都未接收到PEER2采用某入站IPsec SA进行加密的数据报文，则PEER1确定该入站IPsec SA为一个待检测IPsec SA。

具体来说，每个入站IPsec SA都对应有一个空闲定时器，该空闲定时器的作用是用于判断是否需要发起DPD消息。举例来说，以SA1为例，如果在某时刻PEER1接收到PEER2采用SA1进行加密发送的数据报文，那么在其接收到该数据报文的时候，重置SA1对应的空闲定时器，从此刻开始计时，如果在预设时间内都没有再接收到PEER2采用SA1进行加密发送的数据报文，则PEER1确定该SA1为一个待检测的IPsec SA，需要向PEER2发送针对该SA1的DPD消息以检测SA1是否异常。值得说明的是，每个入站IPsec SA对应的空闲定时器所采用的定时时长即预设时间的长度可以是相同的或不同的。

对于上述SA1、SA2和SA3，假设PEER1根据接收到的数据报文的解析结果表明，在分别对应的空闲计时器计时结束时，PEER1确定需要对SA2和SA3进行检测。

此时，PEER1需向PEER2发送两条DPD消息，该两条DPD消息分别与SA2和SA3对应，假设用于检测SA2状态的为DPD消息2，用于检测SA3状态的为DPD消息3。本实施例中，DPD消息采用如图4所示的结构，其中，安全参数索引(Security Parameter Index，SPI)字段用于唯一标识每个IPsec SA，假设SA2的标识为SPI2，SA3的标识为SPI3。由于在DPD消息的SPI字段中 具有唯一标识当前DPD消息所对应的IPsec SA，从而在PEER2接收到该DPD消息时，能够识别出该DPD消息是用于检测哪个IPsec SA的，以实现PEER2对对应IPsec SA状态的确定。另外，本实施例中，每个DPD消息都是被加密发送的，即密文发送，具体来说，对DPD消息加密所使用的加密密钥是生成各入站IPsec SA时所基于的IKE SA所对应的密钥，即在第一协商阶段所生成的加密密钥。

在图4所示的消息结构中，下一载荷和保留字段都被置为零，解释域被置为IPsec-DoI，协议号字段置为互联网安全关联和密钥管理协议(Internet Security Association and Key Management Protocol，ISAKMP)的协议号；通知消息类型字段被置为R-U-THERE，用于描述该DPD消息的作用，即用于进行IPsec SA状态的检测；通知消息数据域被置为DPD消息的序列号。

当PEER1将DPD消息2和DPD消息3发送给PEER2后，PEER2解析获得每个DPD消息中包含的待检测IPsec SA的标识信息，即分别从DPD消息2和DPD消息3中解析出待检测的SA2和SA3，进而PEER2确定SA2和SA3是否有效，简单来说，PEER2确定SA2和SA3是否有效即是确定本地是否存在SA2和SA3。假设PEER2本地查询确定存在SA2，而不存在SA3，则PEER2向PEER1反馈针对SA2的DPD响应信息(are u there ack)，即反馈确认响应，由于SA3不存在，则不反馈针对SA3的DPD响应信息。从而PEER1在一定第一预设时间内如果接收到了PEER2反馈的DPD响应信息，比如上述的针对SA2的DPD响应信息，则确定各DPD响应信息中携带的IPsec SA标识所对应的IPsec SA为正常的，从而确定待检测IPsec SA中未被携带于DPD响应信息中的IPsec SA为异常的，比如上述的SA3。从而，PEER1会删除异常的IPsec SA，如SA3，并启动重新协商建立新的IPsec SA的过程。可以理解的是，上述举例中，如果PEER2在预设时间内没有反馈针对SA2和SA3的DPD响应信息，即PEER1没有接收到任何DPD响应信息，则说明SA2和SA3都不存在，启动重新协商过程。

值得说明的是，在实际应用中，上述第二预设时间的长度一般远大于第一预设时间长度。并且，在一种可选的实施方式中，PEER1如果在第一预设时间内没有接收到PEER2反馈的DPD响应信息，假设没有接收到针对SA2的DPD响应信息，则可以重新发送DPD消息2，仿佛进行预设次数比 如3次，如果执行了3次后都没有接收到针对SA2的DPD响应信息，则确定SA2异常。

图5为本发明另一实施例提供的失效对等体检测方法的流程图，如图5所示，该方法包括：

步骤201、第二IPsec对等体接收第一IPsec对等体发送的分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；

其中，所述DPD消息为所述第一IPsec对等体根据检测触发条件确定各入站IPsec SA中存在至少一个待检测IPsec SA时发送的；其中，所述各入站IPsec SA为所述第一IPsec对等体与所述第二IPsec对等体通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述第二IPsec对等体向所述第一IPsec对等体发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

步骤202、第二IPsec对等体解析获得每个所述DPD消息中包含的待检测IPsec SA的标识信息，并确定每个待检测IPsec SA是否有效，若存在有效的待检测IPsec SA，则执行步骤203，否则结束。

步骤203、第二IPsec对等体在第一预设时间内向所述第一IPsec对等体发送与有效的待检测IPsec SA分别对应的DPD响应信息，以使所述第一IPsec对等体根据各DPD响应信息确定所述每个待检测IPsec SA是否异常。

本实施例中，第一IPsec对等体以PEER1代表，第二IPsec对等体以PEER2代表，本实施例所适用的应用场景与图1所示方法实施例中举例的情景相同，主要是从PEER2的角度来说明其在接收到PEER1发送的各DPD消息后，所进行的处理步骤，其具体实现方式也可参照图1所述实施例中的描述，不重复说明。

上述实施例中，第一IPsec对等体确定各入站IPsec SA中是否存在至少一个满足检测触发条件的待检测IPsec SA后，向第二IPsec对等体发送分别与每个待检测IPsec SA对应的失效对等体检测DPD消息，并且，每个DPD消息采用各待检测IPsec SA所共同基于的IKE SA所对应的加密密钥进行加密，以保证DPD消息的安全性。由于每个DPD消息中携带有其所针对的待检测IPsec SA的标识信息，从而可以使得第二IPsec对等体在解析得到各待检 测IPsec SA的标识信息后，能够实现对各待检测IPsec SA是否异常的确定，从而第一IPsec对等体能够根据第二IPsec对等体反馈的DPD响应信息及时准确地确定各待检测IPsec SA的状态，以便针对异常IPsec SA进行及时地修复，以提高IPsec对等体间通信的可靠性。

图6为本发明实施例提供的IPsec对等体的结构示意图，如图6所示，该IPsec对等体包括：

确定模块11，用于根据检测触发条件确定各入站IPsec SA中是否存在至少一个待检测IPsec SA；

发送模块12，用于在所述确定模块11确定存在至少一个待检测IPsec SA时，向另一IPsec对等体发送分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；其中，所述各入站IPsec SA为所述IPsec对等体与所述另一IPsec对等体通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述另一IPsec对等体向所述IPsec对等体发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

所述确定模块11还用于根据在第一预设时间内接收到的DPD响应信息确定所述每个待检测IPsec SA是否异常。

具体来说，所述确定模块11用于：

确定每个入站IPsec SA对应的空闲定时器计时是否达到第二预设时间；

若达到所述第二预设时间时，所述IPsec对等体都未接收到所述另一IPsec对等体采用所述入站IPsec SA进行加密的数据报文，则确定所述入站IPsec SA为一个待检测IPsec SA。

进一步地，所述确定模块11还用于：

若所述IPsec对等体在第一预设时间内接收到至少一个DPD响应信息，则确定所述待检测IPsec SA中与所述至少一个DPD响应信息中分别携带的IPsec SA标识信息相一致的各IPsec SA为正常的，并确定所述待检测IPsec SA中的其他IPsec SA为异常的；

或者可选的，所述确定模块11还用于：

若所述IPsec对等体在第一预设时间内未接收到DPD响应信息，则确定所述每个待检测IPsec SA都为异常的。

本实施例的IPsec对等体可以用于执行图1所示方法实施例中第一IPsec对等体的技术方案，其实现原理和技术效果类似，此处不再赘述。

图7为本发明另一实施例提供的IPsec对等体的结构示意图，如图7所示，该IPsec对等体包括：

接收模块21，用于接收另一IPsec对等体发送的分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；

其中，所述DPD消息为所述另一IPsec对等体根据检测触发条件确定各入站IPsec SA中存在至少一个待检测IPsec SA时发送的；其中，所述各入站IPsec SA为所述另一IPsec对等体与所述IPsec对等体通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述IPsec对等体向所述另一IPsec对等体发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

处理模块22，用于解析获得每个所述DPD消息中包含的待检测IPsec SA的标识信息，并确定每个待检测IPsec SA是否有效；

发送模块23，用于若所述处理模块22确定存在有效的待检测IPsec SA，则在第一预设时间内向所述另一IPsec对等体发送与有效的待检测IPsec SA分别对应的DPD响应信息，以使所述另一IPsec对等体根据各DPD响应信息确定所述每个待检测IPsec SA是否异常。

本实施例的IPsec对等体可以用于执行图1或图5所示方法实施例中第二IPsec对等体的技术方案，其实现原理和技术效果类似，此处不再赘述。

图8为本发明实施例提供的网络设备的结构示意图，如图8所示，该网络设备包括：

存储器31、发射器32以及处理器33，所述存储器31、所述发射器32和所述处理器33通过总线连接；其中，所述存储器31用于存储一组程序代码，所述处理器33调用所述存储器31中存储的程序代码，以根据检测触发条件确定各入站IPsec SA中是否存在至少一个待检测IPsec SA，并在确定存在至少一个待检测IPsec SA时，向所述发射器32发送控制指令；

所述发射器32，用于根据所述控制指令向另一网络设备发送分别与每个 待检测IPsec SA对应的失效对等体检测DPD消息；其中，所述各入站IPsec SA为所述网络设备与所述另一网络设备通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述另一网络设备向所述网络设备发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

所述处理器33还用于根据在第一预设时间内接收到的DPD响应信息确定所述每个待检测IPsec SA是否异常。

进一步地，所述处理器33还用于：

确定每个入站IPsec SA对应的空闲定时器计时是否达到第二预设时间；

若达到所述第二预设时间时，所述网络设备都未接收到所述另一网络设备采用所述入站IPsec SA进行加密的数据报文，则确定所述入站IPsec SA为一个待检测IPsec SA。

进一步地，所述网络设备还包括：

接收器34，所述接收器34连接在所述总线上，所述接收器34用于接收所述另一网络设备在第一预设时间内发送的至少一个DPD响应信息；

相应的，所述处理器33还用于确定所述待检测IPsec SA中与所述至少一个DPD响应信息中分别携带的IPsec SA标识信息相一致的各IPsec SA为正常的，并确定所述待检测IPsec SA中的其他IPsec SA为异常的；

或者可选的，所述处理器33还用于：

若所述接收器在第一预设时间内未接收到DPD响应信息，则确定所述每个待检测IPsec SA都为异常的。

本实施例的网络设备中与图6所示的IPsec对等体对应，该网络设备例如可以是基站、安全网关、服务器等设备。

图9为本发明另一实施例提供的网络设备的结构示意图，如图9所示，该网络设备包括：

存储器41、发射器42、接收器43以及处理器44，所述存储器41、所述发射器42、所述接收器43和所述处理器44通过总线连接；

所述接收器43，用于接收另一网络设备发送的分别与每个待检测IPsec SA对应的失效对等体检测DPD消息；

其中，所述DPD消息为所述另一网络设备根据检测触发条件确定各入站 IPsec SA中存在至少一个待检测IPsec SA时发送的；其中，所述各入站IPsec SA为所述另一网络设备与所述网络设备通过预先协商确定的IKE SA生成的，所述入站IPsec SA用于对从所述网络设备向所述另一网络设备发送的各对应数据报文进行加密；所述DPD消息中包括与所述DPD消息对应的待检测IPsec SA的标识信息，所述DPD消息采用与所述IKE SA对应的加密密钥进行加密；

所述存储器41用于存储一组程序代码，所述处理器44调用所述存储器41中存储的程序代码，以解析获得每个所述DPD消息中包含的待检测IPsec SA的标识信息，并确定每个待检测IPsec SA是否有效，并在确定存在有效的待检测IPsec SA时，向所述发射器42发送控制指令；

所述发射器42，用于在第一预设时间内向所述另一网络设备发送与有效的待检测IPsec SA分别对应的DPD响应信息，以使所述另一网络设备根据各DPD响应信息确定所述每个待检测IPsec SA是否异常。

本实施例的网络设备中与图7所示的IPsec对等体对应，该网络设备例如可以是基站、安全网关、服务器等设备。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。