【技术实现步骤摘要】
通信方法及装置
[0001]本申请涉及通信
,尤其涉及一种通信方法及装置。
技术介绍
[0002]目前,IP安全(英文:IP Security,简称:IPSec)虚拟专用网络(英文:Virtual Private Networks,简称:VPN)可以方便地将处于不同地理位置的网络设备进行连接。常见的组网模式为中心
‑
分支组网。如图1所示,图1为现有中心
‑
分支组网示意图。
[0003]在图1中,中心与分支之间进行IKE协商后,再协商建立IPSec隧道。在进行互联网密钥交换(英文:Internet Key Exchange,简称:IKE)协商中,IKE首先在通信双方之间协商建立一个安全通道(IKE安全联盟(英文:Security Association,简称:SA),并在此安全通道的保护下协商建立IPSec SA,如此降低手工配置的复杂度,简化IPSec的配置和维护工作。IKE的精髓在于DH(Diffie
‑
Hellman)交换技术,其通过一系列的交换,使得通信双方最终计算出共享密钥。
[0004]在IKE的DH交换过程中,每次计算和产生的结果均不相关的。由于每次IKE SA的建立都运行了DH交换过程,因此,保证每个通过IKE协商建立的IPSec SA所使用的密钥互不相关。
[0005]中心与分支之间建立IPSec隧道后,各分支之间不协商任何隧道。在不同分支之间需要互相访问时,分支与分支之间重新协商并建立动态隧道。在建立隧道过程中,不同 ...
【技术保护点】
【技术特征摘要】
1.一种通信方法,其特征在于,所述方法应用于第一分支设备,所述第一分支设备接入中心设备,并与所述中心设备建立第一IPSec隧道,所述方法包括;通过所述第一IPSec隧道,向所述中心设备发送第一报文,所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息,以使得所述中心设备根据所述第二分支设备的身份信息,确定已与所述第二分支设备建立第二IPSec隧道时,通过所述第二IPSec隧道,向所述第二分支设备发送第二报文,所述第二报文包括所述第一分支设备生成的公钥;通过所述第一IPSec隧道,接收所述中心设备转发的由所述第二分支设备发送的第三报文,所述第三报文为所述第二分支设备利用所述公钥计算出私钥且利用所述私钥验证通过所述第一分支设备与所述第二分支设备交互的全部报文后,向所述中心设备发送;若利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述全部报文,则生成第一IPSec SA。2.根据权利要求1所述的方法,其特征在于,所述通过所述第一IPSec隧道,向所述中心设备发送第一报文之前,所述方法还包括:与所述第二分支设备进行IKE安全策略协商;当所述IKE安全策略协商成功后,生成所述公钥。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:通过所述第一IPSec隧道,接收所述中心设备发送的第四报文,所述第四报文为所述中心设备根据所述第二分支设备的身份信息,确定出未与所述第二分支设备建立所述第二IPSec隧道时发送;根据所述第四报文,与所述第二分支设备进行密钥协商。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:通过所述第一IPSec隧道,向所述中心设备发送第五报文,所述第五报文通过所述私钥进行加密,以使得所述中心设备通过所述第二IPSec隧道,向所述第二分支设备转发所述第五报文,所述第二分支设备利用计算出的私钥对所述第五报文进行解密处理且对所述第一分支设备的身份认证成功后,生成第二IPSec SA。5.根据权利要求3所述的方法,其特征在于,所述第一报文、所述第四报文由所述第一IPSec隧道对应的密钥进行加解密处理;所述第二报文由所述第二IPSec隧道对应的密钥进行加解密处理。6.一种通信方法,其特征在于,所述方法应用于第二分支设备,所述第二分支设备接入中心设备,并与所述中心设备建立第二IPSec隧道,所述方法包括;通过所述第二IPSec隧道,接收所述中心设备发送的第二报文,所述第二报文包括第一分支设备生成的公钥;利用所述公钥计算出的私钥验证所述第一分支设备与所述第二分支设备交互的全部报文通过后,通过所述第二IPSec隧道,向所述中心设备发送第三报文,所述第三报文通过所述私钥进行加密,以使得所述中心设备通过与所述第一分支设备建立的第一IPSec隧道向所述第一分支设备转发所述第三报文,所述第一分支设备利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述第一分支设备与所述第二分支设备交互的全部报文后,生成第一IPSec SA。
7.根据权利要求6所述的方法,其特征在于,所述通过所述第二IPSec隧道,接收所述中心设备发送的第二加密报文之前,所述方法还包括:与所述第一分支设备进行IKE安全策略协商。8.根据权利要求6所述的方法,其特征在于,所述方法还包括:通过所述第二IPSec隧道,接收所述中心设备转发的由所述第一分支设备发送的第五报文,所述第五报文为所述第一分支设备利用计算出的私钥进行加密后得到;若所述私钥可对所述第五报文进行解密处理且对所述第一分支设备身份的身份认证成功,则生成第二IPSec SA。9.根据权利要求6所述的方法,其特征在于,所述第二报文由所述第二IPSec隧道对应的密钥进行加解密处理。10.一种通信方法,其特征在于,所述方法应用于中心设备,所述中心设备内接入第一分支设备以及第二分支设备,所述中心设备与所述第一分支设备建立第一IPSec隧道,所述方法包括;通过所述第一IPSec隧道,接收所述第一分支设备发送的第一报文,所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息;根据所述第二分支设备的身份信息,确定是否与所述第二分支设备建立第二IPSec隧道;若是,则通过所述第二IPSec隧道,向所述第二分支设备发送第二报文,所述第二报文包括所述第一分支设备生成的公钥;通过所述第二IPSec隧道,接收所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。