CN104243150A - 一种IPSec公钥交互方法、节点和DNS服务器 - Google Patents
一种IPSec公钥交互方法、节点和DNS服务器 Download PDFInfo
- Publication number
- CN104243150A CN104243150A CN201410450144.7A CN201410450144A CN104243150A CN 104243150 A CN104243150 A CN 104243150A CN 201410450144 A CN201410450144 A CN 201410450144A CN 104243150 A CN104243150 A CN 104243150A
- Authority
- CN
- China
- Prior art keywords
- end node
- dns server
- pki
- public key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种IPSec公钥交互方法、节点和DNS服务器,涉及通信领域,能够解决额外引入设备造成系统结构复杂化、维护及管理操作不便的问题。其方法为:请求端节点查询自身所在域的第一DNS服务器确定目标端节点所在域的第二DNS服务器,进而查询获取存储在第二DNS服务器中的目标端节点的公钥信息,并向目标端节点申请进行公钥交互;目标端节点查询第二DNS服务器确定请求端节点所在域的第一DNS服务器,进而查询获取存储在第一DNS服务器中请求端节点的公钥信息,最后完成节点间IPSec公钥的交互。本发明实施例用于实现节点间IPSec公钥的交互。
Description
技术领域
本发明涉及通信领域,尤其涉及一种IPSec公钥交互方法、节点和DNS服务器。
背景技术
IPSec(Internet Protocol Security,互联网安全协定)是通过对IP(Internet Protocol,互联网协议)的分组进行加密和认证来保护IP的网络传输协议族,用以提供公用和专用网络的端对端加密和验证服务。IPSec中包括IKE(Internet Key Exchange,互联网密钥交换)协议,该IKE协议用以动态地建立和维护SA(Security Association,安全联盟)以实现密钥的安全交互,SA为用来建立两个主机间安全通信的一组参数,可适用于较复杂和安全性要求较高的网络。
IKE协议执行两个阶段的操作,第一阶段通信双方建立一个通过公钥交互进行身份认证和安全保护的隧道,称为ISAKMP(InternetSecurity Association and Key Management Protocol,互联网安全关联和密钥管理协议)SA,以便第二阶段使用ISAKMP SA建立IPSec隧道。现有技术中,在IKE协议第一阶段,常采用PKI(Public KeyInfrastructure,公钥基础设施)/CA(Certificate Authority,认证中心)证书验证技术。该技术通过网络中部署的一个或多个PKI系统服务器,在由第三方可信任机构提供的CA将各通信方的公钥与签发的各数字证书进行捆绑后,对各证书进行相应存储;在根据IKE协议发起通信双发的公钥交互时,通信各端设备根据自身预置的各PKI系统服务器地址,访问相应的PKI系统服务器获取通信对端所对应的证书,或导入由外部人工操作方式(如磁盘、电子邮件等),从相应的PKI系统服务器取得的所需证书;进而根据获得的证书中包含的通信对端公钥完成交互认证。
由于PKI系统对公钥进行维护,无需用户手动输入,保证了通信双方身份认证的真实性和正确性,且PKI系统使用的密钥类型为具有抗否认性的非对称密钥,可适应不同应用场景。然而,采用PKI/CA证书验证技术,需要额外部署PKI系统并在各通信端设备中预置各PKI系统服务器地址,且当某一通信端设备未预置对端所对应的PKI系统服务器地址或该PKI系统服务器离线时,还需要人工操作才能实现通信对端证书的导入。导致系统结构复杂化,为系统维护及管理操作造成不便。
发明内容
本发明的实施例提供一种IPSec公钥交互方法、节点和DNS服务器,用以解决额外引入设备造成系统结构复杂化、维护及管理操作不便的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种IPSec公钥交互方法,包括:
请求端节点根据目标端节点的标识信息,查询第一域名系统DNS服务器,获取表示第二DNS服务器地址的第一地址信息,所述第一DNS服务器为所述请求端节点所在域的DNS服务器,所述第二DNS服务器为所述目标端节点所在域的DNS服务器;
所述请求端节点根据所述第一地址信息,向所述第二DNS服务器发送公钥请求信息,所述公钥请求信息包括所述目标端节点的标识信息,所述第二DNS服务器中记录了所述目标端节点的标识信息与公钥信息的对应关系;
在所述第二DNS服务器根据所述公钥请求信息查询获取所述目标端节点的公钥信息并反馈发送后,所述请求端节点接收所述目标端节点的公钥信息;
所述请求端节点向所述目标端节点发送申请信息,所述申请信息包括所述请求端节点的标识信息,所述申请信息用于向所述目标端节点申请进行节点间的互联网安全协定IPSec公钥交互;
在所述目标端节点根据所述请求端节点的标识信息从所述第一DNS服务器获取所述请求端节点的公钥信息后,所述请求端节点通过互联网密钥交换IKE协议与所述目标端节点完成公钥的交互。
第二方面,提供一种IPSec公钥交互方法,包括:
目标端节点接收请求端节点发送的申请信息,所述申请信息包括所述请求端节点的标识信息,所述申请信息用于申请进行与所述请求端节点间的互联网安全协定IPSec公钥交互;
所述目标端节点根据所述请求端节点的标识信息,查询第二域名系统DNS服务器,获取表示第一DNS服务器地址的第二地址信息,所述第一DNS服务器为所述请求端节点所在域的DNS服务器,所述第二DNS服务器为目标端节点所在域的DNS服务器;
所述目标端节点根据所述第二地址信息,向所述第一DNS服务器发送公钥请求信息,所述公钥请求信息包括所述请求端节点的标识信息,所述第一DNS服务器中记录了所述请求端节点的标识信息与公钥信息的对应关系;
在所述第一DNS服务器根据所述公钥请求信息查询获取所述请求端节点的公钥信息并反馈发送后,所述目标端节点接收所述请求端节点的公钥信息;
所述目标端节点通过互联网密钥交换IKE协议与所述请求端节点完成公钥的交互。
第三方面,提供一种IPSec公钥交互方法,包括:
域名系统DNS服务器接收第一节点发送的公钥请求信息,所述公钥请求信息包括第二节点的标识信息,所述第二节点为所述DNS服务器所在域内节点,当所述第一节点为请求端节点时,所述第二节点为目标端节点,或,当所述第一节点为目标端节点时,所述第二节点为请求端节点;
所述DNS服务器根据所述公钥请求信息以及所述DNS服务器中记录的所述第二节点的标识信息与公钥信息的对应关系,查询获取所述第二节点的公钥信息;
所述DNS服务器向所述第一节点发送所述第二节点的公钥信息,以便所述第一节点获取所述第二节点的公钥信息。
第四方面,提供一种IPSec公钥交互请求端节点,包括:
获取单元,用于根据目标端节点的标识信息,查询第一域名系统DNS服务器,获取表示第二DNS服务器地址的第一地址信息,所述第一DNS服务器为所述请求端节点所在域的DNS服务器,所述第二DNS服务器为所述目标端节点所在域的DNS服务器;
请求单元,用于根据所述第一地址信息,向所述第二DNS服务器发送公钥请求信息,所述公钥请求信息包括所述目标端节点的标识信息,所述第二DNS服务器中记录了所述目标端节点的标识信息与公钥信息的对应关系;
接收单元,用于在所述第二DNS服务器根据所述公钥请求信息查询获取所述目标端节点的公钥信息并反馈发送后,接收所述目标端节点的公钥信息;
申请单元,用于向所述目标端节点发送申请信息,所述申请信息包括所述请求端节点的标识信息,所述申请信息用于向所述目标端节点申请进行节点间的互联网安全协定IPSec公钥交互;
交互单元,用于在所述目标端节点根据所述请求端节点的标识信息从所述第一DNS服务器获取所述请求端节点的公钥信息后,通过互联网密钥交换IKE协议与所述目标端节点完成公钥的交互。
第五方面,提供一种IPSec公钥交互目标端节点,包括:
响应单元,用于接收请求端节点发送的申请信息,所述申请信息包括所述请求端节点的标识信息,所述申请信息用于申请进行与所述请求端节点间的互联网安全协定IPSec公钥交互;
获取单元,用于根据所述请求端节点的标识信息,查询第二域名系统DNS服务器,获取表示第一DNS服务器地址的第二地址信息,所述第一DNS服务器为所述请求端节点所在域的DNS服务器,所述第二DNS服务器为目标端节点所在域的DNS服务器;
请求单元,用于根据所述第二地址信息,向所述第一DNS服务器发送公钥请求信息,所述公钥请求信息包括所述请求端节点的标识信息,所述第一DNS服务器中记录了所述请求端节点的标识信息与公钥信息的对应关系;
接收单元,用于在所述第一DNS服务器根据所述公钥请求信息查询获取所述请求端节点的公钥信息并反馈发送后,接收所述请求端节点的公钥信息;
交互单元,用于通过互联网密钥交换IKE协议与所述请求端节点完成公钥的交互。
第六方面,提供一种IPSec公钥DNS服务器,包括:
接收单元,用于接收第一节点发送的公钥请求信息,所述公钥请求信息包括第二节点的标识信息,所述第二节点为所述DNS服务器所在域内节点,当所述第一节点为请求端节点时,所述第二节点为目标端节点,或,当所述第一节点为目标端节点时,所述第二节点为请求端节点;
查询单元,用于根据所述公钥请求信息以及所述DNS服务器中记录的所述第二节点的标识信息与公钥信息的对应关系,查询获取所述第二节点的公钥信息;
发送单元,用于向所述第一节点发送所述第二节点的公钥信息,以便所述第一节点获取所述第二节点的公钥信息。
可见,本发明实施例提供一种IPSec公钥交互方法、节点和DNS服务器,首先由请求端节点通过查询自身所在域的第一DNS服务器确定目标端节点所在域的第二DNS服务器,进而查询获取第二DNS服务器中存储的目标端节点的公钥信息,并向目标端节点申请进行公钥交互;而后,在目标端节点查询第二DNS服务确定第一DNS服务器,再查询获取第一DNS服务器中存储的请求端节点的公钥信息后,完成节点间IPSec公钥的交互。这样,通过使用网络系统结构中现有的DNS服务器对公钥进行存储,查询自身所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址,进而获取对端节点的公钥信息,避免了现有技术中采用PKI/CA证书验证技术时需要额外部署设备且需要在各节点中预置各PKI系统服务器地址导致系统结构复杂化,为系统维护及管理操作造成不便的问题。因此,本发明相对于现有技术,在进行公钥交互时无需额外引入设备,简化了维护及管理操作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的IPSec交互方法所基于系统的结构示意图;
图2为本发明实施例提供的一种IPSec公钥交互方法的流程示意图一;
图3为本发明实施例提供的一种IPSec公钥交互方法的流程示意图二;
图4为本发明实施例提供的一种IPSec公钥交互方法的流程示意图三;
图5为本发明实施例提供的一种IPSec公钥交互方法的流程示意图四;
图6为本发明实施例提供的一种请求端节点的结构示意图;
图7为本发明实施例提供的一种目标端节点的结构示意图;
图8为本发明实施例提供的一种DNS服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的IPSec(Internet Protocol Security,互联网安全协定)公钥交互方法所基于的系统结构示意图。参见图1,该系统包括:网络信息中心001、与网络信息中心001相连的第一DNS(Domain Name System,域名系统)服务器002、第一DNS服务器002所在域(Domain)内一个或多个请求端节点设备003、与网络信息中心001相连的第二DNS服务器004、第二DNS服务器004所在域内一个或多个目标端节点设备005。各节点设备之间、与DNS服务器之间都通过网络连接。
其中,请求端节点设备003为节点间建立IPSec隧道的发起端,目标端节点设备005为节点间建立IPSec隧道的响应端。第一DNS服务器002为所在域中的请求端节点设备003提供地址解析服务,同时还存储了建立IPSec隧道时请求端节点设备003的公钥信息;第二DNS服务器004为所在域中的目标端节点设备005提供地址解析服务,同时还存储了建立IPSec隧道时目标端节点设备005的公钥信息
本发明实施例提供一种IPSec公钥交互方法,基于请求端节点侧,如图2所示,包括:
S101、请求端节点根据目标端节点的标识信息,查询第一域名系统DNS服务器,获取表示第二DNS服务器地址的第一地址信息。
其中,目标端节点的标识信息为请求端节点从来自用户操作或系统设定触发的业务指示中获取的,可以为目标端节点的IP(InternetProtocol,网际协议)地址、域名信息或节点名称;第一DNS服务器为请求端节点所在域的DNS服务器,第二DNS服务器为目标端节点所在域的DNS服务器。
在一种实现方式下,第一DNS服务器与第二DNS服务器可以为同一个DNS服务器。
S102、请求端节点根据第一地址信息,向第二DNS服务器发送公钥请求信息。
其中,公钥请求信息包括目标端节点的标识信息,第二DNS服务器中记录了目标端节点的标识信息与公钥信息的对应关系。
S103、在第二DNS服务器根据公钥请求信息查询获取目标端节点的公钥信息并反馈发送后,请求端节点接收目标端节点的公钥信息。
S104、请求端节点向目标端节点发送申请信息。
其中,申请信息包括请求端节点的标识信息,该申请信息用于向目标端节点申请进行节点间的互联网安全协定IPSec公钥交互;请求端节点的标识信息可以为请求端节点的IP地址、域名信息或节点名称。
S105、在目标端节点根据请求端节点的标识信息从第一DNS服务器获取请求端节点的公钥信息后,请求端节点通过互联网密钥交换IKE(Internet Key Exchange,互联网密钥交换)协议与目标端节点完成公钥的交互。
本发明实施例提供一种IPSec公钥交互方法,首先请求端节点通过查询自身所在域的第一DNS服务器获取目标端节点所在域的第二DNS服务器的地址,而后查询第二DNS服务器,获取第二DNS服务器中存储的目标端节点的公钥信息,并向目标端节点申请进行公钥交互,最后,在目标端节点获取自身的公钥信息后,完成IPSec公钥的交互。这样,通过使用网络系统结构中现有的DNS服务器对公钥进行存储,查询自身所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址,进而获取对端节点的公钥信息,解决了现有技术中额外部署设备导致系统结构复杂化,维护及管理不便的问题,简化了维护及管理操作。
本发明实施例提供一种IPSec公钥交互方法,基于目标端节点侧,如图3所示,包括:
S201、目标端节点接收请求端节点发送的申请信息。
其中,申请信息包括请求端节点的标识信息,申请信息用于申请进行与请求端节点间的互联网安全协定IPSec公钥交互;请求端节点的标识信息可以为请求端节点的IP地址、域名信息或节点名称。
S202、目标端节点根据请求端节点的标识信息,查询第二域名系统DNS服务器,获取表示第一DNS服务器地址的第二地址信息。
其中,第一DNS服务器为请求端节点所在域的DNS服务器,第二DNS服务器为目标端节点所在域的DNS服务器。
在一种实现方式下,第一DNS服务器与第二DNS服务器可以为同一个DNS服务器。
S203、目标端节点根据第二地址信息,向第一DNS服务器发送公钥请求信息。
其中,公钥请求信息包括请求端节点的标识信息,第一DNS服务器中记录了请求端节点的标识信息与公钥信息的对应关系。
S204、在第一DNS服务器根据公钥请求信息查询获取请求端节点的公钥信息并反馈发送后,目标端节点接收请求端节点的公钥信息。
S205、目标端节点通过互联网密钥交换IKE协议与请求端节点完成公钥的交互。
本发明实施例提供一种IPSec公钥交互方法,首先目标端节点在接收到请求端节点发送的申请信息后查询自身所在域的第二DNS服务器,获取请求端节点所在域的第一DNS服务器的地址,而后查询第一DNS服务器,获取第一DNS服务器中存储的请求端节点的公钥信息,最后,完成与请求端节点间IPSec公钥的交互。这样,通过使用网络系统结构中现有的DNS服务器对公钥进行存储,查询自身所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址,进而获取对端节点的公钥信息,解决了现有技术中额外部署设备导致系统结构复杂化,维护及管理不便的问题,简化了维护及管理操作。
本发明实施例提供一种IPSec公钥交互方法,基于DNS服务器,如图4所示,包括:
S301、DNS服务器接收第一节点发送的公钥请求信息。
其中,公钥请求信息包括第二节点的标识信息,第二节点为DNS服务器所在域内节点。第二节点的标识信息可以为该第二节点的IP地址、域名信息或节点名称。
当第一节点为请求端节点时,第二节点为目标端节点,或,当第一节点为目标端节点时,第二节点为请求端节点。
在一种实现方式下,第一节点可以为该DNS服务器所在域内节点。
S302、DNS服务器根据公钥请求信息以及DNS服务器中记录的第二节点的标识信息与公钥信息的对应关系,查询获取第二节点的公钥信息。
S303、DNS服务器向第一节点发送第二节点的公钥信息,以便第一节点获取第二节点的公钥信息。
本发明实施例提供一种IPSec公钥交互方法,首先DNS服务器接收第一节点发送的公钥请求信息,而后根据公钥请求信息指示的第二节点的标识信息,查询获取自身存储的第二节点的标识信息对应的公钥信息,最后,将该公钥信息发送至第一节点,以便第一节点在接收后,完成与第二节点间IPSec公钥的交互。这样,通过使用网络系统结构中现有的DNS服务器对公钥进行存储,查询自身所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址,进而获取对端节点的公钥信息,解决了现有技术中额外部署设备导致系统结构复杂化,维护及管理不便的问题,简化了维护及管理操作。
为了使本领域技术人员能够更清楚地理解本发明实施例提供的技术方案,下面通过具体的实施例,对本发明实施例提供的另一种IPSec公钥交互方法进行详细说明,如图5所示,该方法包括:
S401、请求端节点查询第一DNS服务器获取第一地址信息。
具体的,请求端节点在接收到指示需要建立自身与目标端节点之间的IPSec隧道时,进行请求端节点与目标端节点间的IPSec公钥交互,根据目标端节点的标识信息,通过查询自身所在域的第一DNS服务器获取目标端节点所在域的第二DNS服务器的地址。
其中,请求端节点、目标端节点可以为接入互联网(Internet)中的一种网络设备,具体可以为移动终端、PC(Personal Computer,个人计算机)、平板电脑等,且该网络设备具有一个网络中唯一的标识;第一DNS服务器为请求端节点所在域的域名解析服务器,为当前网络系统结构中已部署,负责处理包括请求端节点在内的所在域中所有网络设备的域名解析服务;第二DNS服务器为目标端节点所在域的域名解析服务器,为当前网络系统结构中已部署,负责处理包括目标端节点在内的所在域中所有网络设备的域名解析服务;第一地址信息用于表示第二DNS服务器的地址。且上述列举的请求端节点、目标端节点的设备类型仅为示例性的,包括但不限于此。
示例性的,请求端节点接收到用户操作或系统设定触发的业务指示,建立请求端节点与目标端节点之间的IPSec隧道,根据采用IKE协议进行协商的方式,首先需要进行请求端节点与目标端节点间的IPSec公钥交互。其中,业务指示中包含了目标端节点的标识信息。且该业务指示可以为一个预设格式的指令,也可以为一个预设格式的消息,此处不做限定。
值得一提的,目标端节点的标识信息可以为目标端节点的IP地址、域名信息或节点名称,如1.1.1.1、www.baidu.com、Asina.com.cn等,且上述列举的标识信息类型仅为示例性的,包括但不限于此。
请求端节点根据设备自身预设存储的第一DNS服务器的地址信息(如服务器的IP地址),向第一DNS服务器提交域名解析请求。
其中,上述请求端节点中预设存储的DNS服务器地址,可以由运营商统一设定,例如:当作为请求端节点的网络设备使用北京电信ADSL(Asymmetric Digital Subscriber Line,非对称数字用户环路)宽带接入Internet时,电信为其分配的DNS服务器地址可以为219.141.140.10(北京市电信DNS服务器IP地址);上述请求端节点提交的域名解析请求包括目标端节点的标识信息。
第一DNS服务器在接收到请求后,先查询服务器本地的缓存,若能够查询到相应记录,则直接向请求端节点返回查询的结果;或者,若没有所需的记录,则第一DNS服务器根据域名解析的层级结构,递归形式把请求逐级发给上级的根域名服务器、顶级域名服务器等,进而由某一级域名服务器确定目标端节点所在域,获取该域对应的域名服务器信息,并将结果返回给第一DNS服务器,第一DNS服务器将返回的查询结果保存到缓存,并将结果返回给请求端节点,即请求端节点获取了表示第二DNS服务器地址的第一地址信息。
值得一提的,若请求端节点与目标端节点位于Internet中的同一个域内,则第一DNS服务器与第二DNS服务器可以为同一个DNS服务器,此种场景下,第一DNS服务器在接收到请求端节点提交的请求后,不通过上级域名服务器直接确定并反馈自身的服务器地址信息,以便请求端节点将自身同时认定为第二DNS服务器,从而完成后续处理操作。
S402、请求端节点向第二DNS服务器发送公钥请求信息。
具体的,请求端节点在获取了第一地址信息后,根据第一地址信息中指示的第二DNS服务器的地址,向第二DNS服务器发送公钥请求信息。
其中,该公钥请求信息中包括目标端节点的标识信息,该公钥请求信息用于指示第二DNS服务器根据信息中携带的标识信息进行查询,以确定目标端节点对应的公钥信息。
值得一提的,本发明的实施例对上述公钥请求信息中目标端节点的标识信息的类型不做限定,可以为IP地址、域名信息或节点名称等,且该标识信息具有唯一性,即在Internet中不存在具有相同标识信息的网络设备,以便第二DNS服务器可以通过该唯一的标识信息确定相应的唯一的公钥信息。
S403、请求端节点从第二DNS服务器获取目标端节点的公钥信息。
具体的,第二DNS服务器在接收到请求端节点发送的公钥请求信息后,根据公钥请求信息中目标端节点的标识信息查询获取目标端的公钥信息,并向请求端节点返回查询结果,以便请求端节点接收获取目标端节点的公钥信息。
其中,第二DNS服务器中存储有公钥信息数据库文件,该数据库文件中记录了服务器所在域中,包括目标端节点在内的一种或多种节点的标识信息所对应的公钥信息。
值得一提的,上述公钥信息数据库文件可以存储在DNS服务器中的区(Zone)文件中;各公钥信息可以为用户或服务运营商预先统一进行设定的,以保证公钥信息在交互过程中正确可用,且各标识信息与各公钥信息之间的对应方式可以为一一对应,也可以为多个标识信息对应同一个公钥信息,具体的公钥信息内容及对应方式,可以根据应用场景的需求或用户使用的需求采用不同的设定,具体此处不做限定。由于各公钥信息为用户或服务运营商预先统一进行设定及维护,无需用户在使用时手动输入设定,保证了公钥信息的可靠性,即保证了通信双方身份认证的真实性和正确性。
示例性的,第二DNS服务器根据从公钥请求信息中获取的标识信息,查询服务器中存储的公钥信息数据库文件;进而,根据数据库文件中指示的标识信息与公钥信息之间的对应关系,确定目标端节点对应的公钥信息;而后,将确定的公钥信息发送给请求端节点,在请求端节点成功接收后完成目标端节点公钥信息的获取。
值得一提的,上述DNS服务器中存储的各节点所对应的公钥,类型可以为对称密钥,也可以为非对称密钥,此处不做限定。且当为非对称密钥时,具有抗否认性,协议消息可穿透防火墙,不仅可用于内部网络,还可适应多种不同的应用场景。
S404、请求端节点向目标端节点发送申请信息。
具体的,请求端节点在获取目标端节点的公钥信息后,向目标端节点申请进行节点间IPSec公钥的交互。
示例性的,请求端节点根据目标端节点的IP地址,向目标端节点发送申请信息。其中,目标端节点的IP地址,可以作为目标端节点的标识信息直接从接收到的业务指示中获取,也可以根据目标端节点的标识信息查询第一DNS服务器获取;上述申请信息中可以包括请求端节点的标识信息,以便目标端节点根据请求端节点的标识信息响应建立请求端节点发起的请求。
值得一提的,上述申请信息可以为用于申请建立节点间IPSec隧道的请求信息,在建立节点间IPSec隧道的实现过程中,需使用IKE协议执行两个阶段的操作,第一阶段为通信双方建立一个通过公钥交互进行身份认证和安全保护的隧道ISAKMP SA,第二阶段为使用ISAKMP SA建立IPSec隧道。目标端节点接收到该申请建立节点间IPSec隧道的请求信息,即可执行后续操作获取请求端节点的公钥信息以便完成公钥交互。
S405、目标端节点查询第二DNS服务器获取第二地址信息。
具体的,目标端节点在接收到请求端节点发送的申请信息后,根据请求端节点的标识信息,通过查询自身所在域的第二DNS服务器获取请求端节点所在域的第一DNS服务器的地址。
其中,第二地址信息用于表示第一DNS服务器的地址;请求端节点的标识信息可以为请求端节点的IP地址、域名信息或节点名称等,且上述列举的标识信息类型仅为示例性的,包括但不限于此。
示例性的,在本发明实施例中,由于目标端节点查询第二DNS服务器获取第二地址信息的基本流程与本实施例中前述请求端节点侧的处理流程对应相同,此处不再赘述。
S406、目标端节点向第一DNS服务器发送公钥请求信息。
具体的,目标端节点在获取了第二地址信息后,根据第二地址信息中指示的第一DNS服务器的地址,向第一DNS服务器发送公钥请求信息。
其中,该公钥请求信息中包括请求端节点的标识信息,该公钥请求信息用于指示第一DNS服务器根据信息中携带的标识信息进行查询,以确定请求端节点对应的公钥信息。
值得一提的,上述公钥请求信息中请求端节点的标识信息具有唯一性,即在Internet中不存在具有相同标识信息的网络设备,以便第一DNS服务器可以通过该唯一的标识信息确定相应的唯一的公钥信息。
S407、目标端节点从第一DNS服务器获取请求端节点的公钥信息。
具体的,第一DNS服务器在接收到目标端节点发送的公钥请求信息后,根据公钥请求信息中请求端节点的标识信息查询获取请求端的公钥信息,并向目标端节点返回查询结果,以便目标端节点接收获取目标端节点的公钥信息,进行后续的公钥交互。
值得一提的,第一DNS服务器查询获取请求端节点的公钥信息的流程、公钥信息在第一DNS服务器中的存储形式及对应方式等都与前述第二DNS服务器对应相同,仅在公钥信息数据库文件中包含的内容方面,根据DNS服务器所在域的不同存在相应区别,此处不再赘述。
S408、请求端节点与目标端节点完成公钥信息的交互。
具体的,在目标端节点通过查询第一DNS服务器获取请求端节点的公钥信息后,响应请求端节点进行IPsec公钥交互的请求。
示例性的,在请求端节点、目标端节点都获取了对端的公钥信息后,利用对端的公钥加密并交互身份信息和/或辅助信息,其中,身份信息为节点使用对端公钥加密自身身份(ID)获取的,辅助信息为节点使用对端公钥加密当前时间(Nonce)获取的;且加密方式可以为仅对数据部分进行加密,报头部分仍为明文形式。
各端节点通过使用自身的公钥对接收到的信息进行解密,重新构建数据的哈希(Hash)值,对另一端加了密的身份及当前时间进行校验,若校验无误,则完成公钥信息的交互,身份认证完成。
进一步的,在完成上述流程,建立ISAKMP SA后,可使用ISAKMP SA建立业务所需的IPSec隧道。
值得一提的,在本发明实施例中,请求端节点与目标端节点可以为相同结构的通信设备,即同一个通信设备在不同的应用场景下,既可以作为请求端节点向其它节点发起节点间IPSec公钥的交互请求,也可以作为目标端节点响应其它节点发起的节点间IPSec公钥交互请求,具体的实现方式根据具体应用场景的差异而存在不同,此处不做限定。
本发明实施例提供一种IPSec公钥交互方法,首先由请求端节点查询自身所在域的第一DNS服务器获取目标端节点所在域的第二DNS服务器的地址,进而查询获取第二DNS服务器中存储的目标端节点的公钥信息,并向目标端节点申请进行公钥交互;而后,目标端节点在接收到请求端节点发送的申请信息后查询自身所在域的第二DNS服务器,获取请求端节点所在域的第一DNS服务器的地址,进而查询获取第一DNS服务器中存储的请求端节点的公钥信息;最后,请求端节点与目标端节点完成节点间IPSec公钥的交互。这样,通过使用网络系统结构中现有的DNS服务器对公钥进行存储,查询自身所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址,进而获取对端节点的公钥信息,解决了现有技术中额外部署设备且需要在各节点中预置各PKI系统服务器地址导致系统结构复杂化,维护及管理不便的问题,简化了维护及管理操作。
本发明实施例提供一种请求端节点01,该请求端节点01可以为一个独立的网络设备,也可以为内置于任一现有网络设备中的一个功能模块,如图6所示,该请求端节点01包括:
获取单元011,用于根据目标端节点的标识信息,查询第一域名系统DNS服务器,获取表示第二DNS服务器地址的第一地址信息。
其中,第一DNS服务器为请求端节点所在域的DNS服务器,第二DNS服务器为目标端节点所在域的DNS服务器。
请求单元012,用于根据第一地址信息,向第二DNS服务器发送公钥请求信息。
其中,公钥请求信息包括目标端节点的标识信息,第二DNS服务器中记录了目标端节点的标识信息与公钥信息的对应关系。
接收单元013,用于在第二DNS服务器根据公钥请求信息查询获取目标端节点的公钥信息并反馈发送后,接收目标端节点的公钥信息;
申请单元014,用于向目标端节点发送申请信息。
其中,申请信息包括请求端节点的标识信息,申请信息用于向目标端节点申请进行节点间的互联网安全协定IPSec公钥交互。
交互单元015,用于在目标端节点根据请求端节点的标识信息从第一DNS服务器获取请求端节点的公钥信息后,通过互联网密钥交换IKE协议与目标端节点完成公钥的交互。
需说明的是,其中虚线表示单元之间可以具备连接关系,也可以不具备直接的连接关系,比如接收单元013和申请单元014都是用于与装置外的设备进行交互的,接收单元013可以在获取目标端节点的公钥信息之后通知申请单元014,也可以没有通知,由节点设备进行统一调控。
可选的,上述第一DNS服务器与上述第二DNS服务器可以为同一个DNS服务器。
本发明实施例提供一种请求端节点,首先通过查询自身所在域的第一DNS服务器获取目标端节点所在域的第二DNS服务器的地址,而后查询第二DNS服务器,获取第二DNS服务器中存储的目标端节点的公钥信息,并向目标端节点申请进行公钥交互,最后,在目标端节点获取自身的公钥信息后,完成IPSec公钥的交互。这样,通过使用网络系统结构中现有的DNS服务器对公钥进行存储,查询自身所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址,进而获取对端节点的公钥信息,解决了现有技术中额外部署设备导致系统结构复杂化,维护及管理不便的问题,简化了维护及管理操作。
本发明实施例还提供一种目标端节点02,该目标端节点02可以为一个独立的网络设备,也可以为内置于任一现有网络设备中的一个功能模块,如图7所示,该目标端节点02包括:
响应单元021,用于接收请求端节点发送的申请信息。
其中,申请信息包括请求端节点的标识信息,该申请信息用于申请进行与请求端节点间的互联网安全协定IPSec公钥交互。
获取单元022,用于根据请求端节点的标识信息,查询第二域名系统DNS服务器,获取表示第一DNS服务器地址的第二地址信息。
其中,第一DNS服务器为请求端节点所在域的DNS服务器,第二DNS服务器为目标端节点所在域的DNS服务器。
请求单元023,用于根据第二地址信息,向第一DNS服务器发送公钥请求信息。
其中,公钥请求信息包括请求端节点的标识信息,第一DNS服务器中记录了请求端节点的标识信息与公钥信息的对应关系。
接收单元024,用于在第一DNS服务器根据公钥请求信息查询获取请求端节点的公钥信息并反馈发送后,接收请求端节点的公钥信息;
交互单元025,用于通过互联网密钥交换IKE协议与请求端节点完成公钥的交互。
可选的,上述第一DNS服务器与上述第二DNS服务器可以为同一个DNS服务器。
本发明实施例提供一种目标端节点,首先在接收到请求端节点发送的申请信息后查询自身所在域的第二DNS服务器,获取请求端节点所在域的第一DNS服务器的地址,而后查询第一DNS服务器,获取第一DNS服务器中存储的请求端节点的公钥信息,最后,完成与请求端节点间IPSec公钥的交互。这样,通过使用网络系统结构中现有的DNS服务器对公钥进行存储,查询自身所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址,进而获取对端节点的公钥信息,解决了现有技术中额外部署设备导致系统结构复杂化,维护及管理不便的问题,简化了维护及管理操作。
本发明实施例还提供一种DNS服务器03,如图8所示,该DNS服务器03包括:
接收单元031,用于接收第一节点发送的公钥请求信息。
其中,公钥请求信息包括第二节点的标识信息,第二节点为DNS服务器所在域内节点。
当第一节点为请求端节点时,第二节点为目标端节点,或,当第一节点为目标端节点时,第二节点为请求端节点。
查询单元032,用于根据公钥请求信息以及DNS服务器中记录的第二节点的标识信息与公钥信息的对应关系,查询获取第二节点的公钥信息;
发送单元033,用于向第一节点发送第二节点的公钥信息,以便第一节点获取第二节点的公钥信息。
本发明实施例提供一种DNS服务器,首先接收第一节点发送的公钥请求信息,而后根据公钥请求信息指示的第二节点的标识信息,查询获取自身存储的第二节点的标识信息对应的公钥信息,最后,将该公钥信息发送至第一节点,以便第一节点在接收后,完成与第二节点间IPSec公钥的交互。这样,通过使用网络系统结构中现有的DNS服务器对公钥进行存储,查询自身所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址,进而获取对端节点的公钥信息,解决了现有技术中额外部署设备导致系统结构复杂化,维护及管理不便的问题,简化了维护及管理操作。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另外,在本发明各个实施例中的设备和系统中,各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。且上述的各单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:U盘、移动硬盘、ROM(Read Only Memory,只读存储器)、RAM(Random Access Memory,随机存取存储器)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种IPSec公钥交互方法,其特征在于,包括:
请求端节点根据目标端节点的标识信息,查询第一域名系统DNS服务器,获取表示第二DNS服务器地址的第一地址信息,所述第一DNS服务器为所述请求端节点所在域的DNS服务器,所述第二DNS服务器为所述目标端节点所在域的DNS服务器;
所述请求端节点根据所述第一地址信息,向所述第二DNS服务器发送公钥请求信息,所述公钥请求信息包括所述目标端节点的标识信息,所述第二DNS服务器中记录了所述目标端节点的标识信息与公钥信息的对应关系;
在所述第二DNS服务器根据所述公钥请求信息查询获取所述目标端节点的公钥信息并反馈发送后,所述请求端节点接收所述目标端节点的公钥信息;
所述请求端节点向所述目标端节点发送申请信息,所述申请信息包括所述请求端节点的标识信息,所述申请信息用于向所述目标端节点申请进行节点间的互联网安全协定IPSec公钥交互;
在所述目标端节点根据所述请求端节点的标识信息从所述第一DNS服务器获取所述请求端节点的公钥信息后,所述请求端节点通过互联网密钥交换IKE协议与所述目标端节点完成公钥的交互。
2.根据权利要求1所述的方法,其特征在于,
所述第一DNS服务器与所述第二DNS服务器为同一个DNS服务器。
3.一种IPSec公钥交互方法,其特征在于,包括:
目标端节点接收请求端节点发送的申请信息,所述申请信息包括所述请求端节点的标识信息,所述申请信息用于申请进行与所述请求端节点间的互联网安全协定IPSec公钥交互;
所述目标端节点根据所述请求端节点的标识信息,查询第二域名系统DNS服务器,获取表示第一DNS服务器地址的第二地址信息,所述第一DNS服务器为所述请求端节点所在域的DNS服务器,所述第二DNS服务器为目标端节点所在域的DNS服务器;
所述目标端节点根据所述第二地址信息,向所述第一DNS服务器发送公钥请求信息,所述公钥请求信息包括所述请求端节点的标识信息,所述第一DNS服务器中记录了所述请求端节点的标识信息与公钥信息的对应关系;
在所述第一DNS服务器根据所述公钥请求信息查询获取所述请求端节点的公钥信息并反馈发送后,所述目标端节点接收所述请求端节点的公钥信息;
所述目标端节点通过互联网密钥交换IKE协议与所述请求端节点完成公钥的交互。
4.根据权利要求3所述的方法,其特征在于,
所述第一DNS服务器与所述第二DNS服务器为同一个DNS服务器。
5.一种IPSec公钥交互方法,其特征在于,包括:
域名系统DNS服务器接收第一节点发送的公钥请求信息,所述公钥请求信息包括第二节点的标识信息,所述第二节点为所述DNS服务器所在域内节点,当所述第一节点为请求端节点时,所述第二节点为目标端节点,或,当所述第一节点为目标端节点时,所述第二节点为请求端节点;
所述DNS服务器根据所述公钥请求信息以及所述DNS服务器中记录的所述第二节点的标识信息与公钥信息的对应关系,查询获取所述第二节点的公钥信息;
所述DNS服务器向所述第一节点发送所述第二节点的公钥信息,以便所述第一节点获取所述第二节点的公钥信息。
6.一种IPSec公钥交互请求端节点,其特征在于,包括:
获取单元,用于根据目标端节点的标识信息,查询第一域名系统DNS服务器,获取表示第二DNS服务器地址的第一地址信息,所述第一DNS服务器为所述请求端节点所在域的DNS服务器,所述第二DNS服务器为所述目标端节点所在域的DNS服务器;
请求单元,用于根据所述第一地址信息,向所述第二DNS服务器发送公钥请求信息,所述公钥请求信息包括所述目标端节点的标识信息,所述第二DNS服务器中记录了所述目标端节点的标识信息与公钥信息的对应关系;
接收单元,用于在所述第二DNS服务器根据所述公钥请求信息查询获取所述目标端节点的公钥信息并反馈发送后,接收所述目标端节点的公钥信息;
申请单元,用于向所述目标端节点发送申请信息,所述申请信息包括所述请求端节点的标识信息,所述申请信息用于向所述目标端节点申请进行节点间的互联网安全协定IPSec公钥交互;
交互单元,用于在所述目标端节点根据所述请求端节点的标识信息从所述第一DNS服务器获取所述请求端节点的公钥信息后,通过互联网密钥交换IKE协议与所述目标端节点完成公钥的交互。
7.根据权利要求6所述的节点,其特征在于,
所述第一DNS服务器与所述第二DNS服务器为同一个DNS服务器。
8.一种IPSec公钥交互目标端节点,其特征在于,包括:
响应单元,用于接收请求端节点发送的申请信息,所述申请信息包括所述请求端节点的标识信息,所述申请信息用于申请进行与所述请求端节点间的互联网安全协定IPSec公钥交互;
获取单元,用于根据所述请求端节点的标识信息,查询第二域名系统DNS服务器,获取表示第一DNS服务器地址的第二地址信息,所述第一DNS服务器为所述请求端节点所在域的DNS服务器,所述第二DNS服务器为目标端节点所在域的DNS服务器;
请求单元,用于根据所述第二地址信息,向所述第一DNS服务器发送公钥请求信息,所述公钥请求信息包括所述请求端节点的标识信息,所述第一DNS服务器中记录了所述请求端节点的标识信息与公钥信息的对应关系;
接收单元,用于在所述第一DNS服务器根据所述公钥请求信息查询获取所述请求端节点的公钥信息并反馈发送后,接收所述请求端节点的公钥信息;
交互单元,用于通过互联网密钥交换IKE协议与所述请求端节点完成公钥的交互。
9.根据权利要求8所述的节点,其特征在于,
所述第一DNS服务器与所述第二DNS服务器为同一个DNS服务器。
10.一种IPSec公钥交互DNS服务器,其特征在于,包括:
接收单元,用于接收第一节点发送的公钥请求信息,所述公钥请求信息包括第二节点的标识信息,所述第二节点为所述DNS服务器所在域内节点,当所述第一节点为请求端节点时,所述第二节点为目标端节点,或,当所述第一节点为目标端节点时,所述第二节点为请求端节点;
查询单元,用于根据所述公钥请求信息以及所述DNS服务器中记录的所述第二节点的标识信息与公钥信息的对应关系,查询获取所述第二节点的公钥信息;
发送单元,用于向所述第一节点发送所述第二节点的公钥信息,以便所述第一节点获取所述第二节点的公钥信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410450144.7A CN104243150A (zh) | 2014-09-05 | 2014-09-05 | 一种IPSec公钥交互方法、节点和DNS服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410450144.7A CN104243150A (zh) | 2014-09-05 | 2014-09-05 | 一种IPSec公钥交互方法、节点和DNS服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104243150A true CN104243150A (zh) | 2014-12-24 |
Family
ID=52230562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410450144.7A Pending CN104243150A (zh) | 2014-09-05 | 2014-09-05 | 一种IPSec公钥交互方法、节点和DNS服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243150A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017036003A1 (zh) * | 2015-09-01 | 2017-03-09 | 中国互联网络信息中心 | 一种可信网络身份管理和验证系统和方法 |
| CN107967273A (zh) * | 2016-10-19 | 2018-04-27 | 华为技术有限公司 | 数据获取方法、数据节点及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1350382A (zh) * | 2001-11-29 | 2002-05-22 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
| CN101322348A (zh) * | 2005-12-06 | 2008-12-10 | 微软公司 | 封装地址组成部分 |
| CN101883042A (zh) * | 2009-05-05 | 2010-11-10 | 华为技术有限公司 | 层次化路由架构的映射方法及系统和域名服务器 |
-
2014
- 2014-09-05 CN CN201410450144.7A patent/CN104243150A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1350382A (zh) * | 2001-11-29 | 2002-05-22 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
| CN101322348A (zh) * | 2005-12-06 | 2008-12-10 | 微软公司 | 封装地址组成部分 |
| CN101883042A (zh) * | 2009-05-05 | 2010-11-10 | 华为技术有限公司 | 层次化路由架构的映射方法及系统和域名服务器 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017036003A1 (zh) * | 2015-09-01 | 2017-03-09 | 中国互联网络信息中心 | 一种可信网络身份管理和验证系统和方法 |
| CN107967273A (zh) * | 2016-10-19 | 2018-04-27 | 华为技术有限公司 | 数据获取方法、数据节点及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
| US9923724B2 (en) | Method and apparatus for installing profile | |
| US8195944B2 (en) | Automated method for securely establishing simple network management protocol version 3 (SNMPv3) authentication and privacy keys | |
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US10862859B2 (en) | Highly available DHCP service by running DHCP servers on a blockchain network | |
| EP3748928A1 (en) | Method and system for apparatus awaiting network configuration to access hot spot network apparatus | |
| CN106656547B (zh) | 一种更新家电设备网络配置的方法和装置 | |
| KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
| US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
| CN102255983B (zh) | 实体标识符分配系统、溯源、认证方法及服务器 | |
| CN102984045B (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| CN103780711A (zh) | 接入类型智能判定的地址分配方法、系统及aaa系统 | |
| CN106535089B (zh) | 机器对机器虚拟私有网络 | |
| US20130086634A1 (en) | Grouping Multiple Network Addresses of a Subscriber into a Single Communication Session | |
| CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
| US10594682B2 (en) | Obtaining data for connection to a device via a network | |
| CN101697522A (zh) | 虚拟专用网组网方法及通信系统以及相关设备 | |
| CN109788528B (zh) | 接入点及其上网业务开通方法和系统 | |
| US20160105407A1 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
| US20130183934A1 (en) | Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device | |
| CN104243150A (zh) | 一种IPSec公钥交互方法、节点和DNS服务器 | |
| CN104270368A (zh) | 认证方法、认证服务器和认证系统 | |
| EP3235188B1 (en) | Method for resolving a host name, related system and computer program product | |
| CN110198540B (zh) | Portal认证方法及装置 | |
| CN102215275B (zh) | 业务处理方法及系统、机顶盒 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141224 |