通信方法及装置制造方法及图纸

本申请提供一种通信方法及装置，该方法包括；通过第一IPSec隧道，向中心设备发送第一报文，第一报文包括第一分支设备生成的公钥以及第二分支设备的身份信息，以使得中心设备确定已与第二分支设备建立第二IPSec隧道时，通过第二IPSec隧道，向第二分支设备发送第二报文，第二报文包括第一分支设备生成的公钥；通过第一IPSec隧道，接收中心设备转发的由第二分支设备发送的第三报文，第三报文为第二分支设备利用所述公钥计算出私钥且利用私钥验证通过第一分支设备与第二分支设备交互的全部报文后，向中心设备发送；若利用公钥计算出的私钥可对第三报文进行解密处理且验证通过全部报文，则生成第一IPSec SA。SA。SA。

【技术实现步骤摘要】
通信方法及装置


[0001]本申请涉及通信
，尤其涉及一种通信方法及装置。

技术介绍

[0002]目前，IP安全(英文：IP Security，简称：IPSec)虚拟专用网络(英文：Virtual Private Networks，简称：VPN)可以方便地将处于不同地理位置的网络设备进行连接。常见的组网模式为中心
‑
分支组网。如图1所示，图1为现有中心
‑
分支组网示意图。
[0003]在图1中，中心与分支之间进行IKE协商后，再协商建立IPSec隧道。在进行互联网密钥交换(英文：Internet Key Exchange，简称：IKE)协商中，IKE首先在通信双方之间协商建立一个安全通道(IKE安全联盟(英文：Security Association，简称：SA)，并在此安全通道的保护下协商建立IPSec SA，如此降低手工配置的复杂度，简化IPSec的配置和维护工作。IKE的精髓在于DH(Diffie
‑
Hellman)交换技术，其通过一系列的交换，使得通信双方最终计算出共享密钥。
[0004]在IKE的DH交换过程中，每次计算和产生的结果均不相关的。由于每次IKE SA的建立都运行了DH交换过程，因此，保证每个通过IKE协商建立的IPSec SA所使用的密钥互不相关。
[0005]中心与分支之间建立IPSec隧道后，各分支之间不协商任何隧道。在不同分支之间需要互相访问时，分支与分支之间重新协商并建立动态隧道。在建立隧道过程中，不同分支需要重新执行一遍IKE协商。若IKE协商成功，则再协商建立IPSec隧道。IPSec隧道建立成功后，不同分支之间实现私网流量的加解密发送。
[0006]在上述不同分支之间互访过程中，保留了IKE协商的安全优点。但是，仍不够灵活。在实际使用中，若分支间加密流量较多，则各分支的CPU压力较大，IPSec隧道协商也会比较缓慢；而且，由于IKE的DH交换，也将导致分支间多次握手，消耗更多时间。尤其是在大规模组网中，分支间动态协商IPsec隧道的耗时更多，从而引起中心压力过大(流量从中心转发)、分支间私网流量丢包较多等问题，影响用户的使用。

技术实现思路

[0007]有鉴于此，本申请提供了一种通信方法及装置，用以解决现有不同分支之间IKE协商不灵活；各分支CPU压力较大，IPsec隧道协商缓慢；而且，由于IKE的DH交换，导致分支间多次握手，消耗更多时间的问题。
[0008]第一方面，本申请提供了一种通信方法，所述方法应用于第一分支设备，所述第一分支设备接入中心设备，并与所述中心设备建立第一IPSec隧道，所述方法包括；
[0009]通过所述第一IPSec隧道，向所述中心设备发送第一报文，所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息，以使得所述中心设备根据所述第二分支设备的身份信息，确定已与所述第二分支设备建立第二IPSec隧道时，通过所述第二IPSec隧道，向所述第二分支设备发送第二报文，所述第二报文包括所述第一分支设备生成
的公钥；
[0010]通过所述第一IPSec隧道，接收所述中心设备转发的由所述第二分支设备发送的第三报文，所述第三报文为所述第二分支设备利用所述公钥计算出私钥且利用所述私钥验证通过所述第一分支设备与所述第二分支设备交互的全部报文后，向所述中心设备发送；
[0011]若利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述全部报文，则生成第一IPSec SA。
[0012]第二方面，本申请提供了一种通信方法，所述方法应用于第二分支设备，所述第二分支设备接入中心设备，并与所述中心设备建立第二IPSec隧道，所述方法包括；
[0013]通过所述第二IPSec隧道，接收所述中心设备发送的第二报文，所述第二报文包括第一分支设备生成的公钥；
[0014]利用所述公钥计算出的私钥验证所述第一分支设备与所述第二分支设备交互的全部报文通过后，通过所述第二IPSec隧道，向所述中心设备发送第三报文，所述第三报文通过所述私钥进行加密，以使得所述中心设备通过与所述第一分支设备建立的第一IPSec隧道向所述第一分支设备转发所述第三报文，所述第一分支设备利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述第一分支设备与所述第二分支设备交互的全部报文后，生成第一IPSec SA。
[0015]第三方面，本申请提供了一种通信方法，所述方法应用于中心设备，所述中心设备内接入第一分支设备以及第二分支设备，所述中心设备与所述第一分支设备建立第一IPSec隧道，所述方法包括；
[0016]通过所述第一IPSec隧道，接收所述第一分支设备发送的第一报文，所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息；
[0017]根据所述第二分支设备的身份信息，确定是否与所述第二分支设备建立第二IPSec隧道；
[0018]若是，则通过所述第二IPSec隧道，向所述第二分支设备发送第二报文，所述第二报文包括所述第一分支设备生成的公钥；
[0019]通过所述第二IPSec隧道，接收所述第二分支设备发送的第三报文，所述第三报文为所述第二分支设备利用所述公钥计算出私钥且利用所述私钥验证通过所述第一分支设备与所述第二分支设备交互的全部报文后发送；
[0020]通过所述第一IPSec隧道，向所述第一分支设备转发所述第三报文，以使得所述第一分支设备利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述全部报文后，生成第一IPSec SA。
[0021]第四方面，本申请提供了一种通信装置，所述装置应用于第一分支设备，所述第一分支设备接入中心设备，并与所述中心设备建立第一IPSec隧道，所述装置包括；
[0022]发送单元，用于通过所述第一IPSec隧道，向所述中心设备发送第一报文，所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息，以使得所述中心设备根据所述第二分支设备的身份信息，确定已与所述第二分支设备建立第二IPSec隧道时，通过所述第二IPSec隧道，向所述第二分支设备发送第二报文，所述第二报文包括所述第一分支设备生成的公钥；
[0023]接收单元，用于通过所述第一IPSec隧道，接收所述中心设备转发的由所述第二分
支设备发送的第三报文，所述第三报文为所述第二分支设备利用所述公钥计算出私钥且利用所述私钥验证通过所述第一分支设备与所述第二分支设备交互的全部报文后，向所述中心设备发送；
[0024]生成单元，用于若利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述全部报文，则生成第一IPSec SA。
[0025]第五方面，本申请提供了一种通信装置，所述装置应用于第二分支设备，所述第二分支设备接入中心设备，并与所述中心设备建立第二IPSec隧道，所述装置包括；
[0026]接收单元，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通信方法，其特征在于，所述方法应用于第一分支设备，所述第一分支设备接入中心设备，并与所述中心设备建立第一IPSec隧道，所述方法包括；通过所述第一IPSec隧道，向所述中心设备发送第一报文，所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息，以使得所述中心设备根据所述第二分支设备的身份信息，确定已与所述第二分支设备建立第二IPSec隧道时，通过所述第二IPSec隧道，向所述第二分支设备发送第二报文，所述第二报文包括所述第一分支设备生成的公钥；通过所述第一IPSec隧道，接收所述中心设备转发的由所述第二分支设备发送的第三报文，所述第三报文为所述第二分支设备利用所述公钥计算出私钥且利用所述私钥验证通过所述第一分支设备与所述第二分支设备交互的全部报文后，向所述中心设备发送；若利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述全部报文，则生成第一IPSec SA。2.根据权利要求1所述的方法，其特征在于，所述通过所述第一IPSec隧道，向所述中心设备发送第一报文之前，所述方法还包括：与所述第二分支设备进行IKE安全策略协商；当所述IKE安全策略协商成功后，生成所述公钥。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：通过所述第一IPSec隧道，接收所述中心设备发送的第四报文，所述第四报文为所述中心设备根据所述第二分支设备的身份信息，确定出未与所述第二分支设备建立所述第二IPSec隧道时发送；根据所述第四报文，与所述第二分支设备进行密钥协商。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：通过所述第一IPSec隧道，向所述中心设备发送第五报文，所述第五报文通过所述私钥进行加密，以使得所述中心设备通过所述第二IPSec隧道，向所述第二分支设备转发所述第五报文，所述第二分支设备利用计算出的私钥对所述第五报文进行解密处理且对所述第一分支设备的身份认证成功后，生成第二IPSec SA。5.根据权利要求3所述的方法，其特征在于，所述第一报文、所述第四报文由所述第一IPSec隧道对应的密钥进行加解密处理；所述第二报文由所述第二IPSec隧道对应的密钥进行加解密处理。6.一种通信方法，其特征在于，所述方法应用于第二分支设备，所述第二分支设备接入中心设备，并与所述中心设备建立第二IPSec隧道，所述方法包括；通过所述第二IPSec隧道，接收所述中心设备发送的第二报文，所述第二报文包括第一分支设备生成的公钥；利用所述公钥计算出的私钥验证所述第一分支设备与所述第二分支设备交互的全部报文通过后，通过所述第二IPSec隧道，向所述中心设备发送第三报文，所述第三报文通过所述私钥进行加密，以使得所述中心设备通过与所述第一分支设备建立的第一IPSec隧道向所述第一分支设备转发所述第三报文，所述第一分支设备利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述第一分支设备与所述第二分支设备交互的全部报文后，生成第一IPSec SA。
7.根据权利要求6所述的方法，其特征在于，所述通过所述第二IPSec隧道，接收所述中心设备发送的第二加密报文之前，所述方法还包括：与所述第一分支设备进行IKE安全策略协商。8.根据权利要求6所述的方法，其特征在于，所述方法还包括：通过所述第二IPSec隧道，接收所述中心设备转发的由所述第一分支设备发送的第五报文，所述第五报文为所述第一分支设备利用计算出的私钥进行加密后得到；若所述私钥可对所述第五报文进行解密处理且对所述第一分支设备身份的身份认证成功，则生成第二IPSec SA。9.根据权利要求6所述的方法，其特征在于，所述第二报文由所述第二IPSec隧道对应的密钥进行加解密处理。10.一种通信方法，其特征在于，所述方法应用于中心设备，所述中心设备内接入第一分支设备以及第二分支设备，所述中心设备与所述第一分支设备建立第一IPSec隧道，所述方法包括；通过所述第一IPSec隧道，接收所述第一分支设备发送的第一报文，所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息；根据所述第二分支设备的身份信息，确定是否与所述第二分支设备建立第二IPSec隧道；若是，则通过所述第二IPSec隧道，向所述第二分支设备发送第二报文，所述第二报文包括所述第一分支设备生成的公钥；通过所述第二IPSec隧道，接收所...

【专利技术属性】
技术研发人员：宫元德，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：