通信協(xié)議的切換方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及通信領(lǐng)域�,具體而言�����,設(shè)及一種通信協(xié)議的切換方法及裝置�。
【背景技術(shù)】
[0002] 虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork,簡稱為VPN)相關(guān)技術(shù)及應(yīng)用VPN技術(shù) 的產(chǎn)品目前市場已經(jīng)非常成熟��,目前使用比較多的VPN產(chǎn)品主要WIP安全協(xié)議(Internet ProtocolSe州rity�,簡稱為IPSec)VPN為主(如圖1所示),通過網(wǎng)絡(luò)密鑰交換(Internet KeyExchange,簡稱為I?��。﹨f(xié)議進(jìn)行秘鑰協(xié)商后生成一個(gè)數(shù)據(jù)加密秘鑰�,并用該個(gè)秘鑰對(duì) 傳輸?shù)臄?shù)據(jù)進(jìn)行封裝和加密�����。
[0003] 當(dāng)然��,需要說明的是,標(biāo)準(zhǔn)的VPN技術(shù)及其產(chǎn)品存在一定的缺陷,正是由于該些缺 陷而導(dǎo)致的漏洞也經(jīng)常被黑客所利用����,比如,在當(dāng)前IPSecVPN產(chǎn)品中,存在主模式和野蠻 模式兩種認(rèn)證方式�����,主模式由于采用了密鑰值iffie-Hellman��,簡稱為DH)交換��,存在無法 抵抗"中間人"攻擊的漏洞,而野蠻模式完全暴露了協(xié)商者的身份���,加密算法也都使用國際 標(biāo)準(zhǔn)的算法,算法都比較公開。另外,IKE的第一階段中由于允許使用預(yù)共享密鑰的身份認(rèn) 證方式�����,而該樣的技術(shù)方案存在安全性低����、技術(shù)落后等問題��,隨著國家對(duì)網(wǎng)絡(luò)信息安全的重 視程度不斷提高�����,對(duì)于設(shè)及國家信息安全W及對(duì)網(wǎng)絡(luò)安全要求高的設(shè)密企業(yè)����,當(dāng)前VPN產(chǎn) 品已經(jīng)無法滿足相關(guān)要求��。
[0004] 針對(duì)VPN產(chǎn)品存在的如上問題��,我國制定了符合我國信息安全標(biāo)準(zhǔn)的《IPSecVPN 技術(shù)規(guī)范》����,此規(guī)范解決了上述問題,但還存在一個(gè)問題就是產(chǎn)品的過度問題���,即目前市場 上兩種產(chǎn)品都存在���,并且兩種產(chǎn)品不可能實(shí)現(xiàn)互通�。
[0005] 針對(duì)相關(guān)技術(shù)中��,市場中支持標(biāo)準(zhǔn)協(xié)議的產(chǎn)品W及支持《IPSecVPN技術(shù)規(guī)范》所 規(guī)定的協(xié)議的產(chǎn)品不能夠?qū)崿F(xiàn)互通的問題�,尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0006] 為了解決上述技術(shù)問題��,本發(fā)明提供了一種通信協(xié)議的切換方法及裝置����。
[0007] 根據(jù)本發(fā)明的一個(gè)方面,提供了一種通信協(xié)議的切換方法,包括���;虛擬專用網(wǎng)絡(luò) VPN網(wǎng)關(guān)設(shè)備在主模式協(xié)商過程中接收來自發(fā)送方的數(shù)據(jù)包���;所述VPN網(wǎng)關(guān)設(shè)備從所述數(shù) 據(jù)包中獲取所述數(shù)據(jù)包的特征信息;所述VPN網(wǎng)關(guān)設(shè)備根據(jù)所述特征信息確定所述發(fā)送方 采用的第一通信協(xié)議;所述VPN網(wǎng)關(guān)設(shè)備將當(dāng)前支持的第二通信協(xié)議切換至所述第一通信 協(xié)議���。
[000引優(yōu)選地,所述VPN網(wǎng)關(guān)設(shè)備從所述數(shù)據(jù)包中獲取所述數(shù)據(jù)包的特征信息�,包括:所 述VPN網(wǎng)關(guān)設(shè)備從所述數(shù)據(jù)包中獲取指定數(shù)據(jù)包的特征信息。
[0009] 優(yōu)選地�,所述VPN網(wǎng)關(guān)設(shè)備從所述數(shù)據(jù)包中獲取指定數(shù)據(jù)包的特征信息��,包括:所 述VPN網(wǎng)關(guān)設(shè)備獲取所述指定數(shù)據(jù)包的內(nèi)容信息�,和/或所述VPN網(wǎng)關(guān)設(shè)備獲取所述指定 數(shù)據(jù)包的格式信息���。
[0010] 優(yōu)選地����,所述VPN網(wǎng)關(guān)設(shè)備獲取所述指定數(shù)據(jù)包的內(nèi)容信息���,包括:所述VPN網(wǎng)關(guān) 設(shè)備獲取所述主模式協(xié)商過程中首個(gè)數(shù)據(jù)包的安全聯(lián)盟(Se州rityassociation,簡稱為SA)載荷信息。
[0011] 優(yōu)選地,當(dāng)所述第一通信協(xié)議包括W下至少之一時(shí)�;標(biāo)準(zhǔn)互聯(lián)網(wǎng)安全協(xié)議IPSec�����、 IPSecVPN技術(shù)規(guī)范所規(guī)定的協(xié)議,根據(jù)所述特征信息確定所述發(fā)送方采用的第一通信協(xié) 議,包括;當(dāng)所述SA載荷信息指示主模式認(rèn)證方式屬性值為1或3時(shí)��,確定所述第一通信協(xié) 議為所述標(biāo)準(zhǔn)IPSec;當(dāng)所述SA載荷信息指示主模式認(rèn)證方式屬性值為10時(shí)���,確定所述第 一通信協(xié)議為IPSecVPN技術(shù)規(guī)范所規(guī)定的協(xié)議���。
[0012] 優(yōu)選地�,所述VPN網(wǎng)關(guān)設(shè)備獲取所述指定數(shù)據(jù)包的格式信息���,包括:所述VPN網(wǎng)關(guān) 設(shè)備獲取所述主模式協(xié)商過程中第=個(gè)數(shù)據(jù)包和/或第四個(gè)數(shù)據(jù)包的格式信息��。
[0013] 根據(jù)本發(fā)明的另一個(gè)方面�����,還提供了一種通信協(xié)議的切換裝置���,應(yīng)用于虛擬專用 網(wǎng)絡(luò)VPN網(wǎng)關(guān)設(shè)備中����,包括:接收模塊,用于在主模式協(xié)商過程中接收來自發(fā)送方的數(shù)據(jù) 包;獲取模塊,用于從所述數(shù)據(jù)包中獲取所述數(shù)據(jù)包的特征信息�����;確定模塊����,用于根據(jù)所述 特征信息確定所述發(fā)送方采用的第一通信協(xié)議�����;切換模塊,用于將當(dāng)前支持的第二通信協(xié) 議切換至所述第一通信協(xié)議。
[0014] 優(yōu)選地����,所述獲取模塊,用于從所述數(shù)據(jù)包中獲取指定數(shù)據(jù)包的特征信息。
[0015] 優(yōu)選地�,所述獲取模塊���,包括�;第一獲取單元���,用于獲取所述指定數(shù)據(jù)包的內(nèi)容信 息�����,和/或第二獲取單元,用于獲取所述指定數(shù)據(jù)包的格式信息。
[0016] 優(yōu)選地���,所述第一獲取單元�,用于獲取所述主模式協(xié)商過程中首個(gè)數(shù)據(jù)包的安全 聯(lián)盟SA載荷信息����。
[0017] 優(yōu)選地�����,所述確定模塊�,用于當(dāng)所述第一通信協(xié)議包括W下至少之一時(shí):標(biāo)準(zhǔn)互聯(lián) 網(wǎng)安全協(xié)議IPSec、IPSecVPN技術(shù)規(guī)范所規(guī)定的協(xié)議時(shí),包括��;第一確定單元���,用于當(dāng)所述 SA載荷信息指示主模式認(rèn)證方式屬性值為1或3時(shí),確定所述第一通信協(xié)議為所述標(biāo)準(zhǔn) IPSec;第二確定單元�,用于當(dāng)所述SA載荷信息指示主模式認(rèn)證方式屬性值為10時(shí)���,確定所 述第一通信協(xié)議為IPSecVPN技術(shù)規(guī)范所規(guī)定的協(xié)議�。
[001引優(yōu)選地����,所述第二獲取單元��,用于獲取所述主模式協(xié)商過程中第=個(gè)數(shù)據(jù)包和/ 或第四個(gè)數(shù)據(jù)包的格式信息����。
[0019] 通過本發(fā)明�����,采用根據(jù)VPN網(wǎng)關(guān)設(shè)備在主協(xié)商過程中數(shù)據(jù)包的特征信息來確定出 VPN網(wǎng)關(guān)設(shè)備需要采用的通信協(xié)議的技術(shù)手段��,解決了相關(guān)技術(shù)中��,市場中支持標(biāo)準(zhǔn)協(xié)議的 產(chǎn)品W及支持《IPSecVPN技術(shù)規(guī)范》所規(guī)定的協(xié)議的產(chǎn)品不能夠?qū)崿F(xiàn)互通的問題�,通過判 斷對(duì)方使用的是標(biāo)準(zhǔn)協(xié)議還是《IPSecVPN技術(shù)規(guī)范》規(guī)定的協(xié)議��,并且根據(jù)對(duì)方使用的協(xié) 議來自動(dòng)切換到對(duì)方支持的協(xié)商協(xié)議�����,W解決當(dāng)前產(chǎn)品的過渡問題��。
【附圖說明】
[0020] 此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解�����,構(gòu)成本申請(qǐng)的一部分�,本發(fā) 明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定���。在附圖中:
[0021] 圖1為相關(guān)技術(shù)中IPSecVPN產(chǎn)品之間通過IPSec通道溝通的示意圖�;
[0022] 圖2是根據(jù)本發(fā)明實(shí)施例的通信協(xié)議的切換方法的流程圖���;
[0023] 圖3為根據(jù)本發(fā)明實(shí)施例的通信協(xié)議的切換裝置的結(jié)構(gòu)框圖��;
[0024] 圖4為根據(jù)本發(fā)明實(shí)施例的通信協(xié)議的切換裝置的另一結(jié)構(gòu)框圖���;
[0025] 圖5為根據(jù)本發(fā)明優(yōu)選實(shí)施例的通信協(xié)議的切換方法的流程圖�����。
【具體實(shí)施方式】
[0026] 下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明�。需要說明的是��,在不沖突的 情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可W相互組合。
[0027] 本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述��,并且����,部分地從說明書中變 得顯而易見�,或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明 書、權(quán)利要求書�、W及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得���。
[002引為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案�,下面將結(jié)合本發(fā)明實(shí)施例中的 附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�,顯然�����,所描述的實(shí)施例僅僅是 本發(fā)明一部分的實(shí)施例����,而不是全部的實(shí)施例�����?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù) 人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范 圍�。
[0029] 在本實(shí)施例中提供了一種通信協(xié)議的切換方法���,圖2是根據(jù)本發(fā)明實(shí)施例的通信 協(xié)議的切換方法的流程圖,如圖2所示���,該流程包括如下步驟:
[0030] 步驟S202,VPN網(wǎng)關(guān)設(shè)備在主模式協(xié)商過程中接收來自發(fā)送方的數(shù)據(jù)包