CN103401751A - 因特网安全协议隧道建立方法和装置 - Google Patents
因特网安全协议隧道建立方法和装置 Download PDFInfo
- Publication number
- CN103401751A CN103401751A CN201310300665XA CN201310300665A CN103401751A CN 103401751 A CN103401751 A CN 103401751A CN 201310300665X A CN201310300665X A CN 201310300665XA CN 201310300665 A CN201310300665 A CN 201310300665A CN 103401751 A CN103401751 A CN 103401751A
- Authority
- CN
- China
- Prior art keywords
- interested
- client
- stream
- server
- stream information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种因特网安全协议隧道建立方法和装置,其中,该方法包括:客户端接收服务器发送的N个感兴趣流信息,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址;所述客户端根据所述N个感兴趣流信息建立N个感兴趣流;所述客户端根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。由于客户端建立了精确的感兴趣流,从而使得客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络,还可以直接访问互联网,实现了IPSEC隧道建立的安全性、通用性和灵活性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种因特网安全协议隧道建立方法和装置。
背景技术
虚拟专用网(Virtual Private Network,简称:VPN)能够利用因特网(Internet)或其它公共互联网络基础设备为用户创造虚拟的逻辑网络,具有与私有网络相同的安全性、易管理性和稳定性。基于因特网安全协议(InternetProtocol Security,简称:IPSEC)来创建VPN是目前应用最广泛的VPN技术。然而对部署IPSEC技术的设备进行配置由于涉及到大量参数而成为一项复杂的任务。
现有技术中,客户端中配置有客户端的标识(Identity,简称:ID)、密码和服务器因特网协议(Internet Protocol,简称:IP)地址,然后客户端与该服务器根据客户端的ID进行协商获得第一阶段配置参数,也就是因特网密钥交换(Internet key exchange,简称:IKE)阶段参数;然后客户端向服务器发送默认的本地至任意(local to any)感兴趣流信息,local为客户端的网络网段地址,any为任何网络地址,并与服务器进行协商获得第二阶段配置参数,也就是IPSEC阶段参数,从而在该客户端与服务器之间成功建立IPSEC隧道。
然而,现有技术该IPSEC隧道对应的感兴趣流为一条local to any的感兴趣流,因此,客户端发送到互联网的数据也满足local to any的感兴趣流规则,会被IPSEC隧道发送至服务器,而不能直接访问互联网;同时每个客户端发送的数据均满足local to any的感兴趣流规则,会被IPSEC隧道发送至服务器,可以访问服务器身后所有需要保护的网络,从而降低了安全性。
发明内容
本发明提供一种因特网安全协议隧道建立方法和装置,用于使得客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络,还可以直接访问互联网,同时实现了IPSEC隧道建立的安全性、通用性和灵活性。
第一方面,本发明实施例提供一种因特网安全协议隧道建立方法,包括:客户端接收服务器发送的N个感兴趣流信息,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址;所述客户端根据所述N个感兴趣流信息建立N个感兴趣流;所述客户端根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
第二方面,本发明实施例提供一种因特网安全协议隧道建立方法,包括:服务器向客户端发送N个感兴趣流信息,以使所述客户端根据所述N个感兴趣流信息建立N个感兴趣流,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址;所述服务器根据M个所述感兴趣流信息对应的M个感兴趣流与所述客户端之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
第三方面,本发明实施例提供一种客户端,包括:接收单元,用于接收服务器发送的N个感兴趣流信息,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器身后的一个网络网段地址;第一建立单元,用于根据所述N个感兴趣流信息建立N个感兴趣流;第二建立单元,用于根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
第四方面,本发明实施例提供一种服务器,其特征在于,包括:发送单元,用于向客户端发送N个感兴趣流信息,以使所述客户端根据所述N个感兴趣流信息建立N个感兴趣流,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址;建立单元,用于根据M个所述感兴趣流信息对应的M个感兴趣流与所述客户端之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
本发明实施例提供的因特网安全协议隧道建立方法和装置,通过客户端接收服务器发送的N个感兴趣流信息,N为大于等于1的整数,N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址,根据N个感兴趣流信息建立N个感兴趣流,并根据M个感兴趣流与服务器之间建立M个IPSEC隧道,M为小于等于N的整数,由于客户端建立了精确的感兴趣流,从而使得客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络,还可以直接访问互联网,同时实现了IPSEC隧道建立的安全性和灵活性。
附图说明
图1为本发明因特网安全协议隧道建立方法实施例一的流程示意图;
图2为本发明因特网安全协议隧道建立方法实施例二的流程示意图;
图3为本发明因特网安全协议隧道建立方法实施例三的流程示意图;
图4为本发明客户端实施例一的结构示意图;
图5为本发明客户端实施例二的结构示意图;
图6为本发明服务器实施例一的结构示意图;
图7为本发明服务器实施例二的结构示意图;
图8为本发明因特网安全协议隧道建立系统实施例的结构示意图。
具体实施方式
图1为本发明因特网安全协议隧道建立方法实施例一的流程示意图,如图1所示,本实施例的方法可以包括:
S101、客户端接收服务器发送的N个感兴趣流信息,N为大于等于1的整数,N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址。
本实施例中,感兴趣流为需要进行保护的数据流,每个感兴趣流均具有对应的感兴趣流信息,感兴趣流信息为需要进行保护的数据的信息,例如可以是客户端的一个网络网段地址和服务器的一个网络网段地址。服务器可以与至少一个客户端进行通信,服务器中配置有与该服务器进行通信的所有客户端对应的感兴趣流信息。本实施例以其中一个客户端为例进行说明,服务器中配置有与该客户端对应的N个感兴趣流信息,其中,N为大于等于1的整数,服务器可以将与该客户端对应的N个感兴趣流信息发送给客户端,相应地,客户端接收服务器发送的N个感兴趣流信息。
S102、客户端根据N个感兴趣流信息建立N个感兴趣流。
本实施例中,客户端根据从服务器接收到的N个感兴趣流信息建立N个感兴趣流,也就是客户端根据每个感兴趣流信息建立与该感兴趣流信息对应的感兴趣流,从而客户端可以建立N个感兴趣流。由于上述N个感兴趣流信息是由服务器下发给客户端的,所以客户端可以精确地建立N个安全的感兴趣流,客户端建立感兴趣流的过程灵活。
S103、客户端根据M个感兴趣流与服务器之间建立M个IPSEC隧道,M为小于等于N的整数。
本实施例中,客户端根据N个感兴趣流信息建立N个感兴趣流之后,可以根据所建立的M个感兴趣流与服务器之间建立M个IPSEC隧道,M为小于等于N的整数,可选地,客户端可以根据所建立的N个感兴趣流与服务器之间建立N个IPSEC隧道,以使客户端与服务器端之间传输的数据报文可以通过上述建立的IPSEC隧道进行传输。在一种可行的实现方式中,在感兴趣流建立好时,客户端预先根据N个感兴趣流与服务器之间建立N个IPSEC隧道;在另一种可行的实现方式中,感兴趣流建立好之后,在客户端向服务器发送的数据报文属于某感兴趣流时,客户端再根据该感兴趣流与服务器之间建立IPSEC隧道,由于客户端根据精确建立的N个感兴趣流与服务器之间建立N个IPSEC隧道,当客户端需要访问服务器身后的与感兴趣流相匹配的网络时,则客户端可以通过IPSEC隧道访问该服务器的网络,当客户端需要访问非服务器的网络时,客户端发送给非服务器的网络的数据不匹配感兴趣流,该发送给非服务器的网络的数据不会被IPSEC隧道传输至服务器,所以客户端可以不通过IPSEC隧道而是直接访问非服务器的网络(例如互联网),从而实现了客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络同时还可以直接访问互联网,解决了现有技术客户端只能访问服务器身后的网络而不能访问互联网的问题,进而解决了现有技术中与服务器通信的每个客户端均可以访问服务器身后的所有网络的问题,提高了安全性。
进一步地,客户端接收服务器发送的N个感兴趣流信息之前,还包括:客户端与服务器之间协商第一阶段配置参数。客户端与服务器之间协商好第一阶段配置参数之后再接收服务器发送的N个感兴趣流信息。
本发明实施例一提供的因特网安全协议隧道建立方法,通过客户端接收服务器发送的N个感兴趣流信息,N为大于等于1的整数,N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址,根据N个感兴趣流信息建立N个感兴趣流,并根据M个感兴趣流与服务器之间建立M个IPSEC隧道,M为小于等于N的整数,由于客户端根据服务器发送的感兴趣流信息建立了精确的感兴趣流,从而使得客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络,还可以直接访问互联网,同时实现了IPSEC隧道建立的安全性、通用性和灵活性。
图2为本发明因特网安全协议隧道建立方法实施例二的流程示意图,如图2所示,本实施例的方法可以包括:
S201、服务器向客户端发送N个感兴趣流信息,以使客户端根据N个感兴趣流信息建立N个感兴趣流,N为大于等于1的整数,N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址。
本实施例中,感兴趣流为需要进行保护的数据流,每个感兴趣流均具有对应的感兴趣流信息,感兴趣流信息为需要进行保护的数据的信息,例如可以是客户端的一个网络网段地址和服务器的一个网络网段地址。服务器可以与至少一个客户端进行通信,服务器中配置有与该服务器进行通信的所有客户端对应的感兴趣流信息。本实施例以其中一个客户端为例进行说明,服务器中配置有与该客户端对应的N个感兴趣流信息,其中,N为大于等于1的整数,服务器可以将与该客户端对应的N个感兴趣流信息发送给客户端,相应地,客户端接收服务器发送的N个感兴趣流信息。客户端根据从服务器接收到的N个感兴趣流信息建立N个感兴趣流,也就是客户端根据每个感兴趣流信息建立与该感兴趣流信息对应的感兴趣流,从而客户端可以建立N个感兴趣流。由于上述N个感兴趣流信息是由服务器下发给客户端的,所以客户端可以精确地建立N个安全的感兴趣流,客户端建立感兴趣流的过程灵活。
S202、服务器根据M个感兴趣流信息对应的M个感兴趣流与客户端之间建立M个IPSEC隧道,M为小于等于N的整数。
本实施例中,客户端根据N个感兴趣流信息建立N个感兴趣流之后,服务器可以根据M个感兴趣流与客户端之间建立M个IPSEC隧道,M为小于等于N的整数,可选地,服务器可以根据N个感兴趣流与客户端之间建立N个IPSEC隧道,以使客户端与服务器端之间传输的数据报文可以通过上述建立的IPSEC隧道进行传输。由于服务器根据精确的M个感兴趣流与客户端之间建立M个IPSEC隧道,实现了客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络同时还可以直接访问互联网,解决了现有技术客户端只能访问服务器身后的网络而不能访问互联网的问题,同时还解决了现有技术中与服务器通信的每个客户端均可以访问服务器身后的所有网络的问题。
进一步地,服务器向客户端发送N个感兴趣流信息之前,还包括:服务器与客户端之间协商第一阶段配置参数。服务器与客户端之间协商好第一阶段配置参数之后再向客户端发送的N个感兴趣流信息。
本发明实施二提供的因特网安全协议隧道建立方法,通过服务器向客户端发送N个感兴趣流信息,以使客户端根据N个感兴趣流信息建立N个感兴趣流,N为大于等于1的整数,N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址,根据M个感兴趣流信息对应的M个感兴趣流与客户端之间建立M个IPSEC隧道,M为小于等于N的整数。由于客户端根据服务器发送的感兴趣流信息建立了精确的感兴趣流,从而使得客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络,还可以直接访问互联网,实现了IPSEC隧道建立的安全性、通用性和灵活性。
图3为本发明因特网安全协议隧道建立方法实施例三的流程示意图,如图3所示,本实施例的方法可以包括:
S301、客户端向服务器发送第一阶段协商报文,第一阶段协商报文包括客户端的ID。
本实施例中,客户端预先配置有预共享密钥认证或证书认证,其中,预共享密钥认证可以包括:服务器IP地址、用户名(可以是客户端的ID)和密码,证书认证可以包括:服务器IP地址、用户名和客户证书。
服务器预先配置的内容既可以保存在专用的服务器上(例如Radius),也可以保存在本地配置库中,对于每一个与服务器进行通信的客户端,在服务器中均进行了预先配置,配置格式如表1所示。
表1中最后一列表示此配置命令可否重复配置,0-1表示不可重复配置,并且0-1表示可配可不配,1表示可配并且只配置一个,0表示不配,不配就使用默认值,n表示可以重复配置,并且可配置多个,如server network就可以配置多个,每一个表示服务器开放给此客户端的一个网络。client network命令既可以配置带掩码的网络地址,也可以配置字符串,字符串就表示用于为客户端分配网络地址的地址池,用于VPN为客户端自动分配网络地址。
本实施例将客户端的所有配置都移到了服务器,然后以客户端用户名来索引,从服务器中获取客户端的配置,客户端的配置为进行IPSEC配置所需的第一阶段配置参数和第二阶段配置参数,第一阶段配置参数包括:加密算法、散列算法、客户ID及密码、Diffie-Hellan组、认证方式、生存时间、数据预失真(Dead Peer Detection,简称:DPD)等可选参数;第二阶段配置参数包括:IPSEC网关地址、感兴趣流信息、IPSEC协议(AH/ESP)、加密算法(例如3DES)、散列算法(例如SHA-1)、IPSEC封装模式(TUNNEL/TRANSPORT)、生存时间、Diffie-Hellman组等可选参数。
首先客户端采用野蛮模式向服务器发送第一阶段协商报文,该第一阶段协商报文中包括有客户端的ID(例如用户名),需要说明的是,上述的野蛮模式与现有技术中标准中的野蛮模式一致,本发明实施例在此不再赘述。
需要说明的是,现有技术中每一个客户端在服务器端都设置有一个如表1所示的配置项,对大型的企业环境,这种方法太冗余,因为所有客户端配置除少数几个不一样外,如key(密钥)、client network(客户端网络)等,其他配置都可能是一模一样的。本发明实施例采用模板的方式,模板就是一套配置,所有配置项跟表1一模一样,客户端只需要引用模板即可,如果模板中的配置跟客户端特定配置相冲突,优先取用客户端特定配置,客户端特定配置是由服务器管理员根据实际应用场景预先配置的。
S302、服务器接收客户端发送的第一阶段协商报文,第一阶段协商报文包括客户端的标识ID;根据客户端的ID,确定客户端的第一阶段配置参数;服务器向客户端发送第一阶段配置参数。
本实施例中,服务器接收客户端发送的第一阶段协商报文,从第一阶段协商报文中获取客户端的ID,从而可以获知是哪个客户端与服务器进行第一阶段协商,然后服务器根据第一阶段协商报文中的客户端的ID,从服务器预先配置的客户端的参数中,获取该客户端的第一阶段配置参数,然后服务器向客户端发送第一阶段配置参数。
S303、客户端接收服务器发送的第一阶段配置参数,客户端向服务器发送认证报文,以与服务器完成协商第一阶段配置参数。
本实施例中,客户端接收服务器发送的第一阶段配置参数,并将该第一阶段配置参数进行保存,然后客户端向服务器发送认证报文,以通知服务器该客户端已完成第一阶段配置参数的协商。
S304、服务器接收客户端发送的认证报文,以与客户端完成协商第一阶段配置参数。
本实施例中,服务器接收客户端发送的认证报文,即可获知客户端已接收第一阶段配置参数,然后服务器根据该认证报文,完成与客户端之间的第一阶段配置参数的协商。
客户端与服务器之间协商第一阶段配置参数可以通过上述的S301-S304来实现。
S305、客户端向服务器发送感兴趣流请求消息。
本实施例中,客户端与服务器完成第一阶段配置参数的协商之后,客户端向服务器发送感兴趣流请求消息,以向服务器请求预先给该客户端配置的感兴趣流信息。
S306、服务器接收客户端发送的感兴趣流请求消息;根据感兴趣流请求消息,确定客户端的N个感兴趣流信息,并向客户端发送N个感兴趣流信息,N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址。
本实施例中,服务器接收客户端发送的感兴趣流请求消息,根据该感兴趣流请求消息确定预先给该客户端配置的N个感兴趣流信息,然后将上述确定的N个感兴趣流信息发送给客户端。
S307、客户端接收服务器发送的N个感兴趣流信息,并根据N个感兴趣流信息建立N个感兴趣流。
本实施例中,S307的具体实现过程可以参见本发明方法实施例一中S101和S102的具体实现过程类似,详细可以参见上述实施例中的相关记载,本发明实施例在此不再赘述。
S308、客户端根据待发送给服务器的数据报文,确定数据报文匹配的感兴趣流,数据报文匹配的感兴趣流为N个感兴趣流中的一个感兴趣流。
本实施例中,当客户端向服务器发送数据报文时,首先判断该数据报文是否属于感兴趣流,也即是否属于上述建立的N个感兴趣流中的一个感兴趣流,若该数据报文不属于感兴趣流,则将数据报文直接发送给服务器,若数据报文属于感兴趣流,则可以确定出该数据报文属于的哪个感兴趣流,也就是该数据报文所匹配的感兴趣流。
S309、客户端判断数据报文匹配的感兴趣流所对应的IPSEC隧道是否建立;若是,则执行S314,若否,则执行S310。
本实施例中,客户端所建立的感兴趣流可以具有一一对应的IPSEC隧道,客户端可以判断数据报文匹配的感兴趣流所对应的IPSEC隧道是否建立,若是,即数据报文匹配的感兴趣流所对应的IPSEC隧道已建立,则客户端执行S314;若否,即数据报文匹配的感兴趣流所对应的IPSEC隧道未建立,则客户端执行S310。,需要说明的是,客户端如何判断数据报文匹配的感兴趣流所对应的IPSEC隧道是否建立与现有技术中一致,本发明实施例在此不再赘述,
S310、客户端向服务器发送第二阶段协商报文,第二阶段协商报文包括N个感兴趣流信息中的一个感兴趣流信息。
本实施例中,客户端待发送给服务器的数据报文匹配的感兴趣流所对应的IPSEC隧道未建立,客户端向服务器发送第二阶段协商报文,该第二阶段协商报文包括该数据报文匹配的感兴趣流的感兴趣流信息,该数据报文匹配的感兴趣流的感兴趣流信息为服务器发送给客户端的N个感兴趣流信息中的一个感兴趣流信息。
S311、服务器接收客户端发送的第二阶段协商报文,根据感兴趣流信息,建立感兴趣流;并确定客户端的第二阶段配置参数,向客户端发送第二阶段配置参数。
本实施例中,服务器接收客户端发送的第二阶段协商报文,获取第二阶段协商报文中的一个感兴趣流信息,然后根据该感兴趣流信息建立感兴趣流。也就是服务器每接收到一个第二阶段协商报文,就根据该第二阶段协商报文中的感兴趣流信息建立感兴趣流,若服务器分别接收到N个第二阶段协商报文,则服务器可以分别建立N个感兴趣流。
S312、客户端接收服务器发送的第二阶段配置参数,并向服务器发送IPSEC隧道建立响应,以与服务器建立IPEC隧道。
本实施例中,客户端接收服务器发送的第二阶段配置参数,并保存该第二阶段配置参数,然后客户端向服务器发送IPSEC隧道建立响应,以与服务器建立IPSE隧道。
S313、服务器接收客户端发送的IPSEC隧道建立响应,以与客户端之间建立IPSEC隧道。
本实施例中,服务器可以接收客户端发送的IPSEC隧道建立响应,以与客户端之间建立IPSEC隧道,也就是服务器每接收到一次IPSEC隧道建立响应,从而服务器可以与客户端之间建立一个IPSEC隧道;若服务器分别接收到N次IPSEC隧道建立响应,则服务器可以分别与客户端之间建立N个IPSEC隧道。
S314、客户端将数据报文通过IPSEC隧道发送给服务器。
S315、服务器通过IPSEC隧道接收客户端发送的数据报文。
本实施例中,客户端建立IPSEC隧道后,则可以将该数据报文通过该IPSEC隧道发送给服务器,相应地,服务器通过IPSEC隧道可以接收客户端发送的数据报文。
或者,客户端判断待发送的数据报文匹配的感兴趣流所对应的IPSEC隧道已建立,则客户端将该数据报文通过该IPSEC隧道发送给服务器,相应地,服务器通过IPSEC隧道可以接收客户端发送的数据报文。
本发明实施例三提供的因特网安全协议隧道建立方法,通过客户端与服务器之间协商第一阶段配置参数,客户端从服务器中获取N个感兴趣流信息,N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址,并建立N个感兴趣流,然后通过数据报文分别触发匹配N个感兴趣流,然后分别与服务器之间协商第二阶段配置参数,从而分别与服务器之间建立N个IPSEC隧道。由于客户端建立了精确的感兴趣流,从而使得客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络,还可以直接访问互联网,由于通过客户端的ID从服务器中获取客户端的配置参数,使得IPSEC配置过程简单,实现了IPSEC隧道建立的安全性、通用性和灵活性,解决了IPSEC客户端配置复杂的问题,同时又不改变IPSEC现有的应用场景。
在本发明因特网安全协议隧道建立方法实施例四中,本发明实施例在图1-图3所示的任意一个因特网安全协议隧道建立方法的基础上,客户端接收服务器发送的N个感兴趣流信息之后,还包括:客户端根据N个感兴趣流信息,建立N个反向路由。具体地,客户端可以根据感兴趣流信息中的服务器身后的网络网段地址建立反向路由,也就是,客户端根据N个感兴趣流信息分别获取服务器的N个网络网段地址,然后确定服务器的N个网络网段地址的下一跳路由为服务器的IP地址,从而完成反向路由的建立过程。进一步,本发明实施例可以解决客户端路由问题,并且可以满足客户端使用不同接口上内、外网的需求。在现有的IPSEC配置方案中,客户端的路由配置是网络管理员的责任,因为他们了解服务器端的网络拓扑。然而本发明提供的实施例,客户端不需要了解服务器端的网络拓扑,甚至不需要网络管理员,所以所有的路由的配置由本发明实施例提供。现有技术采用的是默认路由,这对于使用同一个出接口访问服务器网络和互联网不会有什么问题,但如果在比较复杂的网络环境中,需要采用不同的出接口分别访问服务器网络和互联网时,默认路由一般用于访问互联网,而访问服务器网络的路由就采用本发明实施例提供的反向路由方式。
图4为本发明客户端实施例一的结构示意图,如图4所示,本实施例的客户端可以包括:接收单元11、第一建立单元12和第二建立单元13,其中,接收单元11用于接收服务器发送的N个感兴趣流信息,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址;第一建立单元12用于根据所述N个感兴趣流信息建立N个感兴趣流;第二建立单元13用于根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
本实施例的客户端,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图5为本发明客户端实施例二的结构示意图,如图5所示,本实施例的客户端在图4所示客户端结构的基础上,进一步地,还可以包括:发送单元14,该发送单元14用于向所述服务器发送感兴趣流请求消息。
可选地,本实施例的客户端还可以包括协商单元15,该协商单元15用于向所述服务器发送第一阶段协商报文,所述第一阶段协商报文包括所述客户端的标识ID,接收所述服务器发送的第一阶段配置参数,并向所述服务器发送认证报文,以与所述服务器完成协商第一阶段配置参数。
进一步地,第二建立单元13具体用于向所述服务器发送第二阶段协商报文,所述第二阶段协商报文包括所述N个感兴趣流信息中的一个感兴趣流信息,接收所述服务器发送的第二阶段配置参数,并向所述服务器发送IPSEC隧道建立响应,以与所述服务器建立所述IPEC隧道。
优选地,本实施例的客户端还包括确定单元16和判断单元17,其中,确定单元16用于第二建立单元13向所述服务器发送第二阶段协商报文之前,根据待发送给所述服务器的数据报文,确定所述数据报文匹配的感兴趣流;判断单元17用于判断所述数据报文匹配的感兴趣流所对应的IPSEC隧道是否建立;第二建立单元13具体用于若判断单元17判断所述数据报文匹配的感兴趣流所对应的IPSEC隧道未建立,则向所述服务器发送第二阶段协商报文,所述第二阶段协商报文包括所述数据报文匹配的感兴趣流。
优选地,第一建立单元12还用于根据所述N个感兴趣流信息,建立N个反向路由。
本实施例的客户端,可以用于执行图3所示方法实施例中客户端所执行的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本发明服务器实施例一的结构示意图,如图6所示,本实施例的服务器可以包括:发送单元21和建立单元22,其中,发送单元21用于向所述客户端发送N个感兴趣流信息,以使所述客户端根据所述N个感兴趣流信息建立N个感兴趣流,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址;建立单元22用于根据M个所述感兴趣流信息对应的M个感兴趣流与所述客户端之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
本实施例的服务器,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明服务器实施例二的结构示意图,如图7所示,本实施例的服务器在图6所示装置结构的基础上,进一步地,还可以包括:接收单元23和确定单元24,其中,接收单元23用于发送单元21向所述客户端发送N个感兴趣流信息之前,接收所述客户端发送的感兴趣流请求消息;确定单元24用于根据所述感兴趣流请求消息,确定所述客户端的所述N个感兴趣流信息。
可选地,本实施例的服务器还可以包括:协商单元25,其中,该协商单元25用于接收所述客户端发送的第一阶段协商报文,所述第一阶段协商报文包括所述客户端的标识ID;根据所述客户端的ID,确定所述客户端的所述第一阶段配置参数;向所述客户端发送所述第一阶段配置参数;接收所述客户端发送的认证报文,以与所述客户端完成协商第一阶段配置参数。
本实施例的服务器,可以用于执行图3所示方法实施例中服务器所执行的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本发明因特网安全协议隧道建立系统实施例的结构示意图,如图8所示,本实施例的系统包括:客户端10和服务器20,其中,客户端10可以采用图4或图5所示实施例的结构,其对应地,可以执行图1或图3所示方法实施例中客户端所执行的技术方案,其实现原理和技术效果类似,此处不再赘述。服务器20可以采用图6或图7所示实施例的结构,其对应地,可以执行图2或图3所示方法实施例中服务器所执行的技术方案,其实现原理和技术效果类似,此处不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (14)
1.一种因特网安全协议IPSEC隧道建立方法,其特征在于,包括:
客户端接收服务器发送的N个感兴趣流信息,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括所述客户端的一个网络网段地址和所述服务器的一个网络网段地址;
所述客户端根据所述N个感兴趣流信息建立N个感兴趣流;
所述客户端根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
2.根据权利要求1所述的方法,其特征在于,所述客户端接收服务器发送的N个感兴趣流信息之前,还包括:
所述客户端向所述服务器发送感兴趣流请求消息。
3.根据权利要求1所述的方法,其特征在于,所述客户端根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道,包括:
所述客户端向所述服务器发送第二阶段协商报文,所述第二阶段协商报文包括所述N个感兴趣流信息中的一个感兴趣流信息;
所述客户端接收所述服务器发送的第二阶段配置参数;
所述客户端向所述服务器发送IPSEC隧道建立响应,以与所述服务器建立所述IPEC隧道。
4.根据权利要求3所述的方法,其特征在于,所述客户端向所述服务器发送第二阶段协商报文之前,还包括:所述客户端根据待发送给所述服务器的数据报文,确定所述数据报文匹配的感兴趣流,所述数据报文匹配的感兴趣流为所述N个感兴趣流中的一个感兴趣流;所述客户端判断所述数据报文匹配的感兴趣流所对应的IPSEC隧道是否建立;
所述客户端向所述服务器发送第二阶段协商报文,包括:若客户端判断所述数据报文匹配的感兴趣流所对应的IPSEC隧道未建立,则所述客户端向所述服务器发送第二阶段协商报文,所述第二阶段协商报文包括所述数据报文匹配的感兴趣流。
5.根据权利要求1-4任意一项所述的方法,其特征在于,还包括:
所述客户端根据所述N个感兴趣流信息,建立N个反向路由。
6.一种因特网安全协议IPSEC隧道建立方法,其特征在于,包括:
服务器向客户端发送N个感兴趣流信息,以使所述客户端根据所述N个感兴趣流信息建立N个感兴趣流,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括所述客户端的一个网络网段地址和所述服务器的一个网络网段地址;
所述服务器根据M个所述感兴趣流信息对应的M个感兴趣流与所述客户端之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
7.根据权利要求6所述的方法,其特征在于,所述服务器向客户端发送N个感兴趣流信息之前,还包括:
所述服务器接收所述客户端发送的感兴趣流请求消息;
所述服务器根据所述感兴趣流请求消息,确定所述客户端的所述N个感兴趣流信息。
8.一种客户端,其特征在于,包括:
接收单元,用于接收服务器发送的N个感兴趣流信息,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括所述客户端的一个网络网段地址和所述服务器的一个网络网段地址;
第一建立单元,用于根据所述N个感兴趣流信息建立N个感兴趣流;
第二建立单元,用于根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
9.根据权利要求8所述的客户端,其特征在于,还包括:
发送单元,用于向所述服务器发送感兴趣流请求消息。
10.根据权利要求8所述的客户端,其特征在于,所述第二建立单元具体用于向所述服务器发送第二阶段协商报文,所述第二阶段协商报文包括所述N个感兴趣流信息中的一个感兴趣流信息,接收所述服务器发送的第二阶段配置参数,并向所述服务器发送IPSEC隧道建立响应,以与所述服务器建立所述IPEC隧道。
11.根据权利要求10所述的客户端,其特征在于,还包括:
确定单元,用于所述第二建立单元向所述服务器发送第二阶段协商报文之前,根据待发送给所述服务器的数据报文,确定所述数据报文匹配的感兴趣流,所述数据报文匹配的感兴趣流为所述N个感兴趣流中的一个感兴趣流;
判断单元,用于判断所述数据报文匹配的感兴趣流所对应的IPSEC隧道是否建立;
所述第二建立单元具体用于若所述判断单元判断所述数据报文匹配的感兴趣流所对应的IPSEC隧道未建立,则向所述服务器发送第二阶段协商报文,所述第二阶段协商报文包括所述数据报文匹配的感兴趣流。
12.根据权利要求8-11任意一项所述的客户端,其特征在于,所述第一建立单元还用于根据所述N个感兴趣流信息,建立N个反向路由。
13.一种服务器,其特征在于,包括:
发送单元,用于向客户端发送N个感兴趣流信息,以使所述客户端根据所述N个感兴趣流信息建立N个感兴趣流,所述N为大于等于1的整数,所述N个感兴趣流信息分别包括所述客户端的一个网络网段地址和所述服务器的一个网络网段地址;
建立单元,用于根据M个所述感兴趣流信息对应的M个感兴趣流与所述客户端之间建立M个IPSEC隧道,所述M为小于等于所述N的整数。
14.根据权利要求13所述的服务器,其特征在于,还包括:
接收单元,用于所述发送单元向所述客户端发送N个感兴趣流信息之前,接收所述客户端发送的感兴趣流请求消息;
确定单元,用于根据所述感兴趣流请求消息,确定所述客户端的所述N个感兴趣流信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310300665.XA CN103401751B (zh) | 2013-07-17 | 2013-07-17 | 因特网安全协议隧道建立方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310300665.XA CN103401751B (zh) | 2013-07-17 | 2013-07-17 | 因特网安全协议隧道建立方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103401751A true CN103401751A (zh) | 2013-11-20 |
| CN103401751B CN103401751B (zh) | 2016-08-10 |
Family
ID=49565280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310300665.XA Active CN103401751B (zh) | 2013-07-17 | 2013-07-17 | 因特网安全协议隧道建立方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103401751B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591748A (zh) * | 2015-09-21 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
| WO2016106589A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
| CN105763318A (zh) * | 2016-01-29 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种预共享密钥获取、分配方法及装置 |
| CN107431669A (zh) * | 2015-10-26 | 2017-12-01 | 华为技术有限公司 | 协商对象的选择方法、响应发现消息的方法、相关装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100454921C (zh) * | 2006-03-29 | 2009-01-21 | 华为技术有限公司 | 一种数字版权保护方法及系统 |
| CN101645898A (zh) * | 2009-09-11 | 2010-02-10 | 中兴通讯股份有限公司 | 一种重建IPSec链路的方法及网络设备 |
| CN101697522A (zh) * | 2009-10-16 | 2010-04-21 | 深圳华为通信技术有限公司 | 虚拟专用网组网方法及通信系统以及相关设备 |
| US20110016309A1 (en) * | 2009-07-17 | 2011-01-20 | Hitachi, Ltd. | Cryptographic communication system and gateway device |
| CN101404606B (zh) * | 2008-08-01 | 2012-01-04 | 上海顶竹通讯技术有限公司 | 报文的隧道封装结构以及网络隧道的管理方法 |
| US8356346B2 (en) * | 2010-01-30 | 2013-01-15 | Fatpipe, Inc. | VPN secure sessions with dynamic IP addresses |
-
2013
- 2013-07-17 CN CN201310300665.XA patent/CN103401751B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100454921C (zh) * | 2006-03-29 | 2009-01-21 | 华为技术有限公司 | 一种数字版权保护方法及系统 |
| CN101404606B (zh) * | 2008-08-01 | 2012-01-04 | 上海顶竹通讯技术有限公司 | 报文的隧道封装结构以及网络隧道的管理方法 |
| US20110016309A1 (en) * | 2009-07-17 | 2011-01-20 | Hitachi, Ltd. | Cryptographic communication system and gateway device |
| CN101645898A (zh) * | 2009-09-11 | 2010-02-10 | 中兴通讯股份有限公司 | 一种重建IPSec链路的方法及网络设备 |
| CN101697522A (zh) * | 2009-10-16 | 2010-04-21 | 深圳华为通信技术有限公司 | 虚拟专用网组网方法及通信系统以及相关设备 |
| US8356346B2 (en) * | 2010-01-30 | 2013-01-15 | Fatpipe, Inc. | VPN secure sessions with dynamic IP addresses |
Non-Patent Citations (1)
| Title |
|---|
| 蒋建锋: ""IPSec VPN的工程应用对比研究"", 《科技信息》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016106589A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
| CN105591748A (zh) * | 2015-09-21 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
| CN105591748B (zh) * | 2015-09-21 | 2019-02-19 | 新华三技术有限公司 | 一种认证方法和装置 |
| CN107431669A (zh) * | 2015-10-26 | 2017-12-01 | 华为技术有限公司 | 协商对象的选择方法、响应发现消息的方法、相关装置 |
| US10972356B2 (en) | 2015-10-26 | 2021-04-06 | Huawei Technologies Co., Ltd. | Method for selecting negotiation counterpart, method for responding to discovery message, and related apparatus |
| CN105763318A (zh) * | 2016-01-29 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种预共享密钥获取、分配方法及装置 |
| CN105763318B (zh) * | 2016-01-29 | 2018-09-04 | 新华三技术有限公司 | 一种预共享密钥获取、分配方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103401751B (zh) | 2016-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100596062C (zh) | 分布式报文传输安全保护装置和方法 | |
| CN106790420B (zh) | 一种多会话通道建立方法和系统 | |
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| US20230421394A1 (en) | Secure authentication of remote equipment | |
| CN107005569A (zh) | 端对端服务层认证 | |
| CN101711031B (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
| WO2009082889A1 (fr) | Procédé de négociation pour échange de clés internet et dispositif et système associés | |
| CN103597774A (zh) | 提供机器到机器服务的方法和装置 | |
| CN106031120B (zh) | 密钥管理 | |
| CN103259768A (zh) | 一种消息认证方法、系统和装置 | |
| CN102761494A (zh) | 一种ike协商处理方法及装置 | |
| CN103401751A (zh) | 因特网安全协议隧道建立方法和装置 | |
| CN103684958A (zh) | 提供弹性vpn服务的方法、系统和vpn服务中心 | |
| CN113114665A (zh) | 数据的传输方法和装置、存储介质、电子装置 | |
| CN110519259B (zh) | 云平台对象间通讯加密配置方法、装置及可读存储介质 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| CN109525514A (zh) | 一种信息传输方法及信息传输装置 | |
| CN102647432A (zh) | 一种认证信息传输方法、装置及认证中间件 | |
| CN105981028B (zh) | 通信网络上的网络元件认证 | |
| CN109391650B (zh) | 一种建立会话的方法及装置 | |
| CN102469063B (zh) | 路由协议安全联盟管理方法、装置及系统 | |
| CN109450849B (zh) | 一种基于区块链的云服务器组网方法 | |
| WO2020151010A1 (zh) | 可移动平台的通信方法、设备、系统及存储介质 | |
| CN104468194B (zh) | 一种网络设备的兼容方法及转发服务器 | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |