本公开涉及一种基于IPSec VPN的通信方法、装置与系统。该方法包括在SA建立过程中,通信发起方定义多个第一IPv6地址并利用这些地址形成IPv6地址列表;将该列表发送至通信接收方;接收通信接收方反馈的IPv6地址列表,反馈的IPv6地址列表中增加了通信接收方根据多个第一IPv6地址生成的多个第二IPv6地址,利用多个第二IPv6地址与多个第一IPv6地址在反馈的IPv6地址列表中形成多个IPv6地址对;利用反馈的IPv6地址列表中的多个IPv6地址对建立多个通信连接;动态选择反馈的IPv6地址列表中的任一个IPv6地址对进行通信。本公开可以提升IPv6网络中的IPSec VPN的安全性。
【技术实现步骤摘要】
基于IPSecVPN的通信方法、装置与系统
本公开涉及IPv6网络,特别地,涉及一种基于IPSec(InternetProtocol Security)VPN(VirtualPrivateNetwork,虚拟专用网)的通信方法、装置与系统。
技术介绍
IPSecVPN技术是一种在通信两端进行报文加密以防止报文被截获、篡改的安全 保密技术。 -般情况下,IPSecVPN的通信建立包括如下几个过程: 第一阶段:协商阶段,该阶段一般采用ISAKMP(InternetSecurityAssociation andKeyManagementProtocol,Internet安全连接和密钥管理协议)协议来完成共享密钥、 加密算法与认证机制的协商。 第二阶段:在ISAKMP保护机制的基础上,建立IPSecSA(SecurityAssociation, 安全联盟)阶段,SA包含了通信所需要的安全密钥与具体的IPSec类型,其中,具体的IPSec 类型为AH(AuthenticationHead,认证头)或者ESP(EncapsulatingSecurityPayload, 封装安全载荷)等。 第三阶段:在随后的通信过程中将按照协商的各种算法、认证机制、加密密钥等对 通信报文进行加密。 由此可见,IPSecVPN的安全性完全取决于加密算法的强度,一旦加密算法出现问 题或者密钥交互被攻击,就有可能导致通信被监听。此外,在网络中如果对整个IPSecVPN 的通信过程进行监听,并将所有报文保存下来,通过字典攻击、暴力破解等方法也有可能对 整个通信过程进行解密。 综上所述,目前现有的IPSecVPN技术存在一定的安全漏洞。
技术实现思路
本公开鉴于以上问题中的至少一个提出了新的技术方案。 本公开在其一个方面提供了一种基于IPSecVPN的通信方法,其可以提升IPv6网 络中的IPSecVPN的安全性。 本公开在其另一方面提供了一种基于IPSecVPN的通信装置,其可以提升IPv6网 络中的IPSecVPN的安全性。 本公开在其又一方面提供了一种基于IPSecVPN的通信系统,其可以提升IPv6网 络中的IPSecVPN的安全性。 根据本公开,提供一种基于IPSecVPN的通信方法,包括: 在安全联盟建立过程中,通信发起方定义多个第一IPv6地址并利用多个第一 IPv6地址形成IPv6地址列表; 将IPv6地址列表发送至通信接收方; 接收通信接收方反馈的IPv6地址列表,反馈的IPv6地址列表中增加了通信接收 方根据多个第一IPv6地址生成的多个第二IPv6地址,利用多个第二IPv6地址与多个第一IPv6地址在反馈的IPv6地址列表中形成多个IPv6地址对; 利用反馈的IPv6地址列表中的多个IPv6地址对建立多个通信连接; 动态选择反馈的IPv6地址列表中的任一个IPv6地址对进行通信。 在本公开的一些实施例中,多个第一IPv6地址具有相同的地址前缀,不同的接口 地址;多个第二IPv6地址具有相同的地址前缀,不同的接口地址。 在本公开的一些实施例中,动态选择反馈的IPv6地址列表中的任一个IPv6地址 对的方式包括按通信时间的不同进行选择、按发送报文的大小进行选择、按约定的随机码 的不同进行选择、以及按累计字节数量进行选择。 在本公开的一些实施例中,通信接收方根据多个第一IPv6地址的个数生成与多 个第一IPv6地址个数相同的多个第二IPv6地址。 根据本公开,还提供了一种基于IPSecVPN的通信装置,包括: IPv6地址列表形成单元,用于在安全联盟建立过程中定义多个第一IPv6地址,并 利用多个第一IPv6地址形成IPv6地址列表; 地址列表发送单元,用于将IPv6地址列表发送至通信接收方; 地址列表接收单元,用于接收通信接收方反馈的IPv6地址列表,反馈的IPv6地址 列表中增加了通信接收方根据多个第一IPv6地址生成的多个第二IPv6地址,利用多个第 二IPv6地址与多个第一IPv6地址在反馈的IPv6地址列表中形成多个IPv6地址对; 通信连接建立单元,用于利用反馈的IPv6地址列表中的多个IPv6地址对建立多 个通信连接; 地址对选择单元,用于动态选择反馈的IPv6地址列表中的任一个IPv6地址对进 行通信。 在本公开的一些实施例中,多个第一IPv6地址具有相同的地址前缀,不同的接口 地址;多个第二IPv6地址具有相同的地址前缀,不同的接口地址。 在本公开的一些实施例中,地址对选择单元动态选择反馈的IPv6地址列表中的 任一个IPv6地址对的方式包括按通信时间的不同进行选择、按发送报文的大小进行选择、 按约定的随机码的不同进行选择、以及按累计字节数量进行选择。 在本公开的一些实施例中,反馈的IPv6地址列表中的多个第一IPv6地址的个数 与多个第二IPv6地址的个数相等。 根据本公开,还提供了一种基于IPSecVPN的通信系统,包括通信发起方设备和通 信接收方设备,其中,通信发起方设备中包含前述实施例中的基于IPSecVPN的通信装置。 在本公开的技术方案中,由于在通信发起方与通信接收方之间建立多个通信连 接,在发送数据报文时可以动态选择反馈的IPv6地址列表中的任一个IPv6地址,使得报 文发送的通道并不固定,进而使得对报文的截获和解密变得更加困难,因此可以显著提升 IPv6网络中的IPSecVPN的安全性。 【附图说明】 此处所说明的附图用来提供对本公开的进一步理解,构成本申请的一部分。在附 图中: 图1是本公开IPv6接口地址跳变技术的实现原理示意图。 图2是本公开一个实施例的基于IPSecVPN的通信方法的流程示意图。 图3是本公开一个实施例的基于IPSecVPN的通信装置的结构示意图。 图4是本公开一个实施例的基于IPSecVPN的通信系统的结构示意图。 【具体实施方式】 下面将参照附图描述本公开。要注意的是,以下的描述在本质上仅是解释性和示 例性的,决不作为对本公开及其应用或使用的任何限制。除非另外特别说明,否则,在实施 例中阐述的部件和步骤的相对布置以及数字表达式和数值并不限制本公开的范围。另外, 本领域技术人员已知的技术、方法和装置可能不被详细讨论,但在适当的情况下意在成为 说明书的一部分。 传统的IPSecVPN中不包含通信地址列表的协商,IPSecVPN的通信也是由一 个SOCKET完成的。本公开下述实施例利用了IPv6的海量地址特性,如图1所示,首先在 IPSecVPN协商机制中引入了通信地址列表协商的方法,然后基于地址列表协商引入了多 组SOCKET实现IPSecVPN通信过程中的地址跳变技术,通过该技术,通信的流量不仅被加 密,而且还被分散到不同的SOCKET中,使得对报文的截获和解密变得更加困难,因此下述 实施例可以显著提升IPv6网络中的IPSecVPN的安全性。 图2是本公开一个实施例的基于IPSecVPN的通信方法的流程示意图。 如图2所示,该实施例可以包括以下步骤: S20本文档来自技高网...
【技术保护点】
一种基于IPSec VPN的通信方法,其特征在于,包括:在安全联盟建立过程中,通信发起方定义多个第一IPv6地址并利用所述多个第一IPv6地址形成IPv6地址列表;将所述IPv6地址列表发送至通信接收方;接收所述通信接收方反馈的IPv6地址列表,所述反馈的IPv6地址列表中增加了所述通信接收方根据所述多个第一IPv6地址生成的多个第二IPv6地址,利用所述多个第二IPv6地址与所述多个第一IPv6地址在所述反馈的IPv6地址列表中形成多个IPv6地址对;利用所述反馈的IPv6地址列表中的多个IPv6地址对建立多个通信连接;动态选择所述反馈的IPv6地址列表中的任一个IPv6地址对进行通信。
【技术特征摘要】
1. 一种基于IPSec VPN的通信方法,其特征在于,包括: 在安全联盟建立过程中,通信发起方定义多个第一 IPv6地址并利用所述多个第一 IPv6地址形成IPv6地址列表; 将所述IPv6地址列表发送至通信接收方; 接收所述通信接收方反馈的IPv6地址列表,所述反馈的IPv6地址列表中增加了所 述通信接收方根据所述多个第一 IPv6地址生成的多个第二IPv6地址,利用所述多个第二 IPv6地址与所述多个第一 IPv6地址在所述反馈的IPv6地址列表中形成多个IPv6地址对; 利用所述反馈的IPv6地址列表中的多个IPv6地址对建立多个通信连接; 动态选择所述反馈的IPv6地址列表中的任一个IPv6地址对进行通信。2. 根据权利要求1所述的基于IPSec VPN的通信方法,其特征在于,所述多个第一 IPv6 地址具有相同的地址前缀,不同的接口地址;所述多个第二IPv6地址具有相同的地址前 缀,不同的接口地址。3. 根据权利要求1所述的基于IPSec VPN的通信方法,其特征在于,所述动态选择所述 反馈的IPv6地址列表中的任一个IPv6地址对的方式包括按通信时间的不同进行选择、按 发送报文的大小进行选择、按约定的随机码的不同进行选择、W及按累计字节数量进行选 择。4. 根据权利要求1所述的基于IPSec VPN的通信方法,其特征在于,所述通信接收方根 据所述多个第一 IPv6地址的个数生成与所述多个第一 IPv6地址个数相同的所述多个第二 IPv6地址。5. -种基于IPSec VPN的通信装置,其特征在于,包括: IPv6地址列表形成单元,用于在安全联盟建立过程中定义多个第一 IPv6地址并...
【专利技术属性】
技术研发人员:陈仲华,张届新,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。