一種IPSec配置方法及裝置的制造方法
【專利摘要】本申請(qǐng)?zhí)峁┮环NIPSec配置方法及裝置,該方法包括:在IKE協(xié)商的第1.5階段協(xié)商時(shí)�����,接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文���,所述IKE協(xié)商包括第1階段協(xié)商���、第1.5階段協(xié)商以及第2階段協(xié)商;向所述客戶端設(shè)備發(fā)送根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文���,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息�����,以使所述客戶端設(shè)備根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商���。本申請(qǐng)可大幅降低客戶端設(shè)備配置的復(fù)雜度,同時(shí)�����,提高了網(wǎng)絡(luò)管理員對(duì)服務(wù)器配置的靈活性。
【專利說明】
一種IPSec配置方法及裝置
技術(shù)領(lǐng)域
[0001]本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�,尤其涉及一種IPSec配置方法及裝置。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)運(yùn)用的更為普遍�����,網(wǎng)絡(luò)安全也變得尤為重要���。IPSec (Internet ProtocolSecurity�,網(wǎng)絡(luò)協(xié)議安全性)VPN(Virtual Private Network�����,虛擬專用網(wǎng))是一種采用IPSec協(xié)議實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)�,通常用于在企業(yè)總部的IPSec VPN網(wǎng)關(guān)和各分支機(jī)構(gòu)的IPSec VPN網(wǎng)關(guān)之間建立專用的IPSec隧道,實(shí)現(xiàn)各分支機(jī)構(gòu)與總部之間的安全通信�����。
[0003]但是�����,對(duì)于遠(yuǎn)程接入的個(gè)人(簡(jiǎn)稱遠(yuǎn)程接入者)由于沒有對(duì)應(yīng)的IPSec VPN網(wǎng)關(guān)��,因此�,需要遠(yuǎn)程接入者自行配置IPSec VPN服務(wù)與總部網(wǎng)關(guān)建立隧道。這就要求遠(yuǎn)程接入者了解IPSec VPN管理員的配置�,且IPSec VPN管理員無法靈活的更新配置,在每一次更新后都需要通知遠(yuǎn)程接入者��,以便遠(yuǎn)程接入者重新進(jìn)行配置接入IPSec VPN網(wǎng)絡(luò)�。該IPSec配置方式不夠靈活,且增加了遠(yuǎn)程接入者的配置復(fù)雜度�����。
【發(fā)明內(nèi)容】
[0004]有鑒于此���,本申請(qǐng)?zhí)峁┮环NIPSec配置方法及裝置�����。
[0005]具體地�,本申請(qǐng)是通過如下技術(shù)方案實(shí)現(xiàn)的:
[0006]本申請(qǐng)?zhí)峁┮环N因特網(wǎng)密鑰交換協(xié)議IPSec配置方法�����,應(yīng)用于服務(wù)器上,該方法包括:
[0007]在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)�����,接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文��,所述IKE協(xié)商包括第I階段協(xié)商�、第1.5階段協(xié)商以及第2階段協(xié)商;
[0008]向所述客戶端設(shè)備發(fā)送根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文�����,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息��,以使所述客戶端設(shè)備根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商���。
[0009]本申請(qǐng)還提供一種因特網(wǎng)密鑰交換協(xié)議IPSec配置方法�,應(yīng)用于客戶端設(shè)備上��,該方法包括:
[0010]在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)���,向服務(wù)器發(fā)送配置請(qǐng)求報(bào)文�,所述IKE協(xié)商包括第I階段協(xié)商、第1.5階段協(xié)商以及第2階段協(xié)商�����;
[0011]接收所述服務(wù)器根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文���,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息;
[0012]根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商�����。
[0013]本申請(qǐng)還提供一種因特網(wǎng)密鑰交換協(xié)議IPSec配置裝置��,應(yīng)用于服務(wù)器上����,該裝置包括:
[0014]接收單元,用于在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)���,接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文���,所述IKE協(xié)商包括第I階段協(xié)商、第1.5階段協(xié)商以及第2階段協(xié)商��;
[0015]發(fā)送單元,用于向所述客戶端設(shè)備發(fā)送根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文�,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息,以使所述客戶端設(shè)備根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商����。
[0016]本申請(qǐng)還提供一種因特網(wǎng)密鑰交換協(xié)議IPSec配置裝置,應(yīng)用于客戶端設(shè)備上����,該裝置包括:
[0017]發(fā)送單元,用于在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)����,向服務(wù)器發(fā)送配置請(qǐng)求報(bào)文,所述IKE協(xié)商包括第I階段協(xié)商�、第1.5階段協(xié)商以及第2階段協(xié)商;
[0018]接收單元���,用于接收所述服務(wù)器根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文�,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息���;
[0019]更新單元����,用于根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商。
[0020]由以上描述可以看出���,本申請(qǐng)?jiān)贗KE協(xié)商的第1.5階段協(xié)商時(shí)����,由服務(wù)器將配置信息推送給客戶端設(shè)備���,客戶端設(shè)備根據(jù)該配置信息更新本地的網(wǎng)絡(luò)配置并執(zhí)行后續(xù)協(xié)商過程。本申請(qǐng)可大幅降低客戶端設(shè)備配置的復(fù)雜度���,同時(shí)�����,提高了網(wǎng)絡(luò)管理員對(duì)服務(wù)器配置的靈活性�。
【附圖說明】
[0021]圖1是本申請(qǐng)一示例性實(shí)施例示出的一種IPSec配置方法流程圖��;
[0022]圖2是本申請(qǐng)另一示例性實(shí)施例示出的一種IPSec配置方法流程圖����;
[0023]圖3是本申請(qǐng)一示例性實(shí)施例示出的一種IPSec配置裝置所在設(shè)備的基礎(chǔ)硬件結(jié)構(gòu)示意圖;
[0024]圖4是本申請(qǐng)一示例性實(shí)施例示出的一種IPSec配置裝置的結(jié)構(gòu)示意圖��;
[0025]圖5是本申請(qǐng)另一示例性實(shí)施例示出的一種IPSec配置裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0026]這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說明��,其示例表示在附圖中��。下面的描述涉及附圖時(shí)�����,除非另有表示�,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式�����。相反����,它們僅是與如所附權(quán)利要求書中所詳述的、本申請(qǐng)的一些方面相一致的裝置和方法的例子��。
[0027]在本申請(qǐng)使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的�,而非旨在限制本申請(qǐng)。在本申請(qǐng)和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”��、“所述”和“該”也旨在包括多數(shù)形式���,除非上下文清楚地表示其他含義���。還應(yīng)當(dāng)理解��,本文中使用的術(shù)語“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合�����。
[0028]應(yīng)當(dāng)理解��,盡管在本申請(qǐng)可能采用術(shù)語第一、第二����、第三等來描述各種信息,但這些信息不應(yīng)限于這些術(shù)語�。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如����,在不脫離本申請(qǐng)范圍的情況下,第一信息也可以被稱為第二信息�����,類似地,第二信息也可以被稱為第一信息�。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”��。
[0029]隨著網(wǎng)絡(luò)運(yùn)用的更為普遍�����,網(wǎng)絡(luò)安全也變得尤為重要����。IPSec VPN是一種采用IPSec協(xié)議實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù),通常用于在企業(yè)總部的IPSecVPN網(wǎng)關(guān)和各分支機(jī)構(gòu)的IPSec VPN網(wǎng)關(guān)之間建立專用的IPSec VPN隧道���,實(shí)現(xiàn)各分支機(jī)構(gòu)與總部之間的安全通信��。但是�,對(duì)于沒有IPSec VPN網(wǎng)關(guān)的遠(yuǎn)程接入者需要自行配置IPSec VPN服務(wù)與總部網(wǎng)關(guān)建立隧道����,這就要求遠(yuǎn)程接入者了解IPSec VPN管理員的配置。
[0030]現(xiàn)有IPSec配置方式主要包括:簡(jiǎn)單配置和復(fù)雜配置兩種方式�����。
[0031]簡(jiǎn)單配置是指將一些配置設(shè)置為默認(rèn)值,例如���,IPSec安全提議����,保護(hù)網(wǎng)段全部放通等�,遠(yuǎn)程接入者只需提供一些簡(jiǎn)單的配置信息,例如�����,共享密鑰�、用戶名、密碼等����。但是該配置方式的靈活性比較低����,無法隨意選擇加密、認(rèn)證算法�,且如果將受保護(hù)網(wǎng)段全部放通會(huì)使遠(yuǎn)程接入者只能通過IPSecVPN隧道進(jìn)行通信。
[0032]復(fù)雜配置是指網(wǎng)絡(luò)管理員發(fā)放保護(hù)網(wǎng)段的配置�。網(wǎng)絡(luò)管理員為每一個(gè)遠(yuǎn)程接入者提供安全提議和詳細(xì)的保護(hù)網(wǎng)段的配置���。遠(yuǎn)程接入者根據(jù)提供的詳細(xì)的配置信息進(jìn)行本地配置,以便與總部網(wǎng)關(guān)建立IPSec VPN隧道�����。但是該配置方式的配置復(fù)雜性高���,且網(wǎng)絡(luò)管理員無法靈活更新配置�,在每一次修改配置后都需要通知所有遠(yuǎn)程接入者更改配置�����。
[0033]目前�����,IPSec配置過程主要通過IKE (Internet Key Exchange����,因特網(wǎng)密鑰交換)自動(dòng)協(xié)商完成。IKE為IPSec提供協(xié)商交換密鑰����、建立安全聯(lián)盟的服務(wù)���,能夠簡(jiǎn)化IPSec的使用、管理��、配置和維護(hù)工作����。因此,針對(duì)上述問題��,本申請(qǐng)實(shí)施例提出一種IPSec配置方法�,該方法在IKE協(xié)商的第1.5階段協(xié)商時(shí),由服務(wù)器將配置信息推送給客戶端設(shè)備���,客戶端設(shè)備根據(jù)該配置信息更新本地的網(wǎng)絡(luò)配置并執(zhí)行后續(xù)協(xié)商過程���。
[0034]參見圖1,為本申請(qǐng)IPSec配置方法的一個(gè)實(shí)施例流程圖����,該實(shí)施例從服務(wù)器側(cè)對(duì)IPSec配置過程進(jìn)行描述�����。
[0035]步驟101,在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)�,接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文,所述IKE協(xié)商包括第I階段協(xié)商�����、第1.5階段協(xié)商以及第2階段協(xié)商��。
[0036]本申請(qǐng)仍遵循現(xiàn)有的IKE協(xié)商過程���,通過IKE協(xié)商實(shí)現(xiàn)IPSec配置���。首先,在客戶端設(shè)備上配置第I階段協(xié)商所需信息����,例如,服務(wù)器地址�、共享密鑰、用戶名����、密碼以及IKE安全提議�����。在完成第I階段協(xié)商信息配置后���,客戶端設(shè)備即可向服務(wù)器發(fā)起第I階段協(xié)商。與現(xiàn)有技術(shù)不同的是��,上述配置過程只進(jìn)行了第I階段協(xié)商所需信息的配置����,后續(xù)協(xié)商過程所需信息并沒有配置。
[0037]在完成第I階段協(xié)商后���,進(jìn)入第1.5階段協(xié)商過程(亦可稱為配置模式)���。在該階段協(xié)商中,服務(wù)器接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文后執(zhí)行后續(xù)操作���。
[0038]步驟102�,向所述客戶端設(shè)備發(fā)送根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文���,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息�,以使所述客戶端設(shè)備根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商���。
[0039]在通過步驟101接收到客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文后��,服務(wù)器對(duì)客戶端設(shè)備進(jìn)行身份確認(rèn)(例如����,通過用戶名和密碼進(jìn)行身份驗(yàn)證)��,并為客戶端設(shè)備分配IP (Internet Protocol����,網(wǎng)際協(xié)議)地址,DNS (Domain Name System�,域名系統(tǒng))服務(wù)器,WINS (Windows Internet Name Service�,Windows 網(wǎng)絡(luò)名稱服務(wù))服務(wù)器等。
[0040]除了上述基礎(chǔ)配置信息外�����,本申請(qǐng)還為客戶端設(shè)備提供了更多的服務(wù)器配置信息��,該服務(wù)器配置信息包括后續(xù)執(zhí)行第2階段協(xié)商所需的信息(例如����,IPSec安全提議)以及網(wǎng)絡(luò)配置信息(例如�,是否允許用戶連接VPN訪問外網(wǎng)��;配置用戶可以訪問的保護(hù)網(wǎng)段�����;是否要求客戶端設(shè)備進(jìn)行安全接入檢查等)��。
[0041]在確定了上述配置信息后����,服務(wù)器向客戶端設(shè)備發(fā)送配置響應(yīng)報(bào)文,并在該配置響應(yīng)報(bào)文中攜帶上述配置信息(包括本申請(qǐng)中擴(kuò)展的服務(wù)器配置信息)�。
[0042]從上述描述可以看出,客戶端設(shè)備在第2階段協(xié)商所需信息由服務(wù)器在第1.5階段推送給客戶端設(shè)備��,無需在IKE協(xié)商之前由遠(yuǎn)程接入者在客戶端設(shè)備上進(jìn)行配置����,簡(jiǎn)化了遠(yuǎn)程接入者的配置工作量和難度。同時(shí)�,通過在第1.5階段推送網(wǎng)絡(luò)配置信息,可實(shí)現(xiàn)服務(wù)器對(duì)客戶端設(shè)備的靈活控制�����,并可實(shí)現(xiàn)對(duì)客戶端設(shè)備的復(fù)雜配置。
[0043]服務(wù)器發(fā)送的配置響應(yīng)報(bào)文仍采用現(xiàn)有的報(bào)文結(jié)構(gòu)��,每一配置信息以屬性載荷的形式封裝在報(bào)文中��。屬性載荷由3部分組成:屬性格式�、屬性類型����、屬性值(或數(shù)據(jù)長(zhǎng)度+屬性數(shù)據(jù))。
[0044]以下舉例中���,AF表示屬性格式���,type表示屬性類型,value表示屬性值���,length表示數(shù)據(jù)長(zhǎng)度�����,data表示屬性數(shù)據(jù)�����。
[0045]本申請(qǐng)中每一個(gè)配置信息對(duì)應(yīng)一個(gè)屬性類型�����,例如����,以下是對(duì)基礎(chǔ)配置信息的屬性類型的定義。
[0046]#define INTERNAL_IP4_ADDRESS I
[0047]#define INTERNAL_IP4_NETMASK 2
[0048]#define INTERNAL_IP4_DNS 3
[0049]#define INTERNAL_IP4_NBNS 4
[0050]#define INTERNAL_ADDRESS_EXPIRY 5
[0051]Sdefine INTERNAL_IP4_DHCP 6
[0052]#define APPLICAT10N_VERS10N 7
[0053]#define INTERNAL_IP6_ADDRESS 8
[0054]#define INTERNAL_IP6_NETMASK 9
[0055]Sdefine INTERNAL_IP6_DNS 10
[0056]#define INTERNAL_IP6_NBNS 11
[0057]#define INTERNAL_IP6_DHCP 12
[0058]#define INTERNAL_IP4_SUBNET 13
[0059]#define SUPPORTED_ATTRIBUTES 14
[0060]#define INTERNAL_IP6_SUBNET 15
[0061]以下為本申請(qǐng)擴(kuò)展的服務(wù)器配置信息的屬性類型的定義����。
[0062]Sdefine INTERNAL_IP4_ALL0ff_SUBNET 17/*服務(wù)器給客戶端發(fā)送允許訪問的網(wǎng)段*/
[0063]#define INTERNAL_IS_ALL0ff_0UTNET 18/* 是否允許用戶訪問外網(wǎng) */
[0064]#define INTERNAL_RADIUS_SAFE_CHECK 20/* 客戶端是否進(jìn)行安全檢查 */
[0065]Sdefine INTERNAL_IPSEC_ALG_INFO 23/* 服務(wù)器配置的第 2 階段的 IPSec 安全提議*/
[0066]示例一:服務(wù)器擬配置禁止用戶連接VPN時(shí)訪問外網(wǎng),則在配置響應(yīng)報(bào)文中攜帶如下屬性載荷:AF = I type = 18 (value = 0���,其中���,AF = I表示屬性載荷的第3部分是屬性值;type = 18表示前述定義的INTERNAL_IS_ALL0W_0UTNET�,即是否允許用戶訪問外網(wǎng);value = O表示禁止用戶連接VPN時(shí)訪問外網(wǎng)�,反之,如果value = I表示允許用戶連接VPN時(shí)訪問外網(wǎng)。
[0067]示例二:服務(wù)器配置用戶允許訪問的保護(hù)網(wǎng)段�����,在配置響應(yīng)報(bào)文中攜帶如下屬性載荷:AF = O I type = 17 | length = 211 data = 1.1.1.1/32, 2.2.2.0/24�����,其中��,AF = 0 表示屬性載荷的第3部分是數(shù)據(jù)長(zhǎng)度+屬性數(shù)據(jù)��;type = 17表示前述定義的INTERNAL_IP4_ALL0ff_SUBNET,即服務(wù)器配置用戶允許訪問的保護(hù)網(wǎng)段�����;length = 21表示屬性數(shù)據(jù)的長(zhǎng)度�;data = 1.1.1.1/32�,2.2.2.0/24,表示服務(wù)器配置的允許用戶訪問的網(wǎng)絡(luò)資源是IP地址為1.1.1.1以及網(wǎng)段為2.2.2.0/24的網(wǎng)絡(luò)資源����。客戶端設(shè)備根據(jù)該配置確定用戶訪問網(wǎng)絡(luò)資源的具體權(quán)限?��,F(xiàn)有技術(shù)中該配置在客戶端設(shè)備本地進(jìn)行�����,而本申請(qǐng)通過服務(wù)器推送減少了客戶端設(shè)備的配置操作���。
[0068]示例三:服務(wù)器配置IKE協(xié)商的第2階段協(xié)商的IPSec安全提議�����,在配置響應(yīng)報(bào)文中攜帶如下屬性載荷:AF = O I type = 23 | length =11 data = AES_128:MD5�����,AF = 0 表不屬性載荷的第3部分是數(shù)據(jù)長(zhǎng)度+屬性數(shù)據(jù)����;type = 23表示前述定義的| INTERNAL_IPSEC_ALG_INF0�,即服務(wù)器配置的第2階段的IPSec安全提議;length = 11表示屬性數(shù)據(jù)的長(zhǎng)度�����;data = AES-128:MD5表示第2階段要使用AES-128的加密算法及MD5算法����。通常該配置也是在客戶端設(shè)備上進(jìn)行的���,而本申請(qǐng)通過服務(wù)器推送減少了客戶端設(shè)備的配置操作。
[0069]示例四:服務(wù)器擬配置客戶端設(shè)備進(jìn)行安全檢查�,在配置響應(yīng)報(bào)文中攜帶如下屬性載荷:AF = 11 type = 20 | value = 1,其中��,AF = I表示屬性載荷的第3部分是屬性值;type = 20表示前述定義的INTERNAL_RADIUS_SAFE_CHECK,即客戶端設(shè)備是否進(jìn)行安全檢查;value = I表示要求客戶端設(shè)備進(jìn)行安全檢查,例如����,檢查用戶是否開啟防火墻�,是否存在共享文件夾,病毒庫是否為最新病毒庫等����,反之,如果value = O表示不要求客戶端設(shè)備進(jìn)行安全檢查�����。
[0070]上述給出了本申請(qǐng)主要擴(kuò)展的服務(wù)器配置信息的示例����,通過本申請(qǐng)的配置方法可實(shí)現(xiàn)對(duì)客戶端設(shè)備更加復(fù)雜的配置�?����?蛻舳嗽O(shè)備接收到包含服務(wù)器配置信息的配置響應(yīng)報(bào)文后�,根據(jù)服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商。
[0071]參見圖2�,為本申請(qǐng)IPSec配置方法的另一個(gè)實(shí)施例流程圖,該實(shí)施例從客戶端設(shè)備側(cè)對(duì)IPSec配置過程進(jìn)行描述��。
[0072]步驟201�����,在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)���,向服務(wù)器發(fā)送配置請(qǐng)求報(bào)文�����,所述IKE協(xié)商包括第I階段協(xié)商���、第1.5階段協(xié)商以及第2階段協(xié)商��。
[0073]客戶端設(shè)備在進(jìn)行IKE協(xié)商之前配置第I階段協(xié)商所需信息����,不進(jìn)行后續(xù)協(xié)商所需信息的配置�����??蛻舳嗽O(shè)備向服務(wù)器發(fā)起第I階段協(xié)商,并在完成第I階段協(xié)商后���,進(jìn)入第1.5階段協(xié)商過程�����。在第1.5階段協(xié)商過程中,客戶端設(shè)備向服務(wù)器發(fā)送配置請(qǐng)求報(bào)文���,以請(qǐng)求服務(wù)器提供配置信息����。具體參見步驟101的描述���,在此不再贅述���。
[0074]步驟202���,接收所述服務(wù)器根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息�����。
[0075]步驟203��,根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商�����。
[0076]服務(wù)器接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文后����,將針對(duì)該客戶端設(shè)備設(shè)置的配置信息(包括本申請(qǐng)擴(kuò)展的服務(wù)器配置信息)攜帶在配置響應(yīng)報(bào)文中發(fā)送給客戶端設(shè)備。其中��,該服務(wù)器配置信息包括第2階段協(xié)商所需信息和網(wǎng)絡(luò)配置信息�����,具體參見步驟102的描述,在此不再贅述��。
[0077]客戶端設(shè)備接收配置響應(yīng)報(bào)文后���,從配置響應(yīng)報(bào)文中獲取服務(wù)器配置信息�,即網(wǎng)絡(luò)配置信息和第2階段協(xié)商所需信息�����??蛻舳嗽O(shè)備根據(jù)網(wǎng)絡(luò)配置信息更新本地網(wǎng)絡(luò)配置,例如�����,更新自身可以訪問的網(wǎng)絡(luò)資源���。同時(shí)���,客戶端設(shè)備根據(jù)第2階段協(xié)商所需信息(例如����,IPSec安全提議)與服務(wù)器進(jìn)行第2階段協(xié)商��,以完成整個(gè)IPSec VPN的建立�����。
[0078]由上述描述可以看出���,通過本申請(qǐng)遠(yuǎn)程接入者只需要在客戶端設(shè)備上進(jìn)行簡(jiǎn)單的配置(第I階段協(xié)商所需信息的配置),其它配置由服務(wù)器在協(xié)商過程中推送給客戶端設(shè)備�,因此,本申請(qǐng)簡(jiǎn)化了遠(yuǎn)程接入者的配置操作�����,同時(shí)���,可以由服務(wù)器向客戶端設(shè)備提供更多更復(fù)雜的配置��,提高配置的靈活性���。
[0079]與前述IPSec配置方法的實(shí)施例相對(duì)應(yīng),本申請(qǐng)還提供了 IPSec配置裝置的實(shí)施例�。
[0080]本申請(qǐng)IPSec配置裝置的實(shí)施例可以應(yīng)用在服務(wù)器或客戶端設(shè)備上。裝置實(shí)施例可以通過軟件實(shí)現(xiàn)����,也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)�。以軟件實(shí)現(xiàn)為例�,作為一個(gè)邏輯意義上的裝置,是通過其所在設(shè)備的處理器運(yùn)行存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令形成的����。從硬件層面而言,如圖3所示��,為本申請(qǐng)IPSec配置裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖�,除了圖3所示的處理器、網(wǎng)絡(luò)接口�、以及存儲(chǔ)器之外,實(shí)施例中裝置所在的設(shè)備通常根據(jù)該設(shè)備的實(shí)際功能����,還可以包括其他硬件,對(duì)此不再贅述�。
[0081]請(qǐng)參考圖4,為本申請(qǐng)一個(gè)實(shí)施例中的IPSec配置裝置的結(jié)構(gòu)示意圖����。該IPSec配置裝置包括接收單元401和發(fā)送單元402,其中:
[0082]接收單元401,用于在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)�����,接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文��,所述IKE協(xié)商包括第I階段協(xié)商�����、第1.5階段協(xié)商以及第2階段協(xié)商�����;
[0083]發(fā)送單元402�,用于向所述客戶端設(shè)備發(fā)送根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文����,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息,以使所述客戶端設(shè)備根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商����。
[0084]進(jìn)一步地,
[0085]所述服務(wù)器配置信息包括第2階段協(xié)商所需信息和網(wǎng)絡(luò)配置信息�。
[0086]請(qǐng)參考圖5,為本申請(qǐng)另一個(gè)實(shí)施例中的IPSec配置裝置的結(jié)構(gòu)示意圖。該IPSec配置裝置包括發(fā)送單元501��、接收單元502以及更新單元503����,其中:
[0087]發(fā)送單元501,用于在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)���,向服務(wù)器發(fā)送配置請(qǐng)求報(bào)文��,所述IKE協(xié)商包括第I階段協(xié)商���、第1.5階段協(xié)商以及第2階段協(xié)商;
[0088]接收單元502�,用于接收所述服務(wù)器根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息����;
[0089]更新單元503,用于根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商�����。
[0090]進(jìn)一步地�����,
[0091]所述服務(wù)器配置信息包括第2階段協(xié)商所需信息和網(wǎng)絡(luò)配置信息。
[0092]所述更新單元503����,具體用于根據(jù)所述網(wǎng)絡(luò)配置信息更新本地網(wǎng)絡(luò)配置�;根據(jù)所述第2階段協(xié)商所需信息與所述服務(wù)器進(jìn)行第2階段協(xié)商。
[0093]進(jìn)一步地�����,所述IPSec配置裝置�,還包括:
[0094]配置單元,用于在第I階段協(xié)商之前����,配置第I階段協(xié)商所需信息。
[0095]上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過程���,在此不再贅述��。
[0096]對(duì)于裝置實(shí)施例而言����,由于其基本對(duì)應(yīng)于方法實(shí)施例,所以相關(guān)之處參見方法實(shí)施例的部分說明即可����。以上所描述的裝置實(shí)施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以不是物理單元�����,即可以位于一個(gè)地方�����,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上�����?����?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請(qǐng)方案的目的�。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下��,即可以理解并實(shí)施。
[0097]以上所述僅為本申請(qǐng)的較佳實(shí)施例而已���,并不用以限制本申請(qǐng)�����,凡在本申請(qǐng)的精神和原則之內(nèi)�,所做的任何修改�����、等同替換�����、改進(jìn)等��,均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)����。
【主權(quán)項(xiàng)】
1.一種因特網(wǎng)密鑰交換協(xié)議IPSec配置方法����,應(yīng)用于服務(wù)器上�����,其特征在于����,該方法包括: 在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)��,接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文����,所述IKE協(xié)商包括第I階段協(xié)商、第1.5階段協(xié)商以及第2階段協(xié)商�����; 向所述客戶端設(shè)備發(fā)送根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文�,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息,以使所述客戶端設(shè)備根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商��。2.如權(quán)利要求1所述的方法�,其特征在于: 所述服務(wù)器配置信息包括第2階段協(xié)商所需信息和網(wǎng)絡(luò)配置信息。3.一種因特網(wǎng)密鑰交換協(xié)議IPSec配置方法����,應(yīng)用于客戶端設(shè)備上����,其特征在于��,該方法包括: 在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)�����,向服務(wù)器發(fā)送配置請(qǐng)求報(bào)文�����,所述IKE協(xié)商包括第I階段協(xié)商��、第1.5階段協(xié)商以及第2階段協(xié)商��; 接收所述服務(wù)器根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文����,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息����; 根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商。4.如權(quán)利要求3所述的方法��,其特征在于: 所述服務(wù)器配置信息包括第2階段協(xié)商所需信息和網(wǎng)絡(luò)配置信息。 所述根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商����,包括: 根據(jù)所述網(wǎng)絡(luò)配置信息更新本地網(wǎng)絡(luò)配置; 根據(jù)所述第2階段協(xié)商所需信息與所述服務(wù)器進(jìn)行第2階段協(xié)商�。5.如權(quán)利要求3或4任一所述的方法,其特征在于����,所述方法還包括: 在第I階段協(xié)商之前,配置第I階段協(xié)商所需信息��。6.一種因特網(wǎng)密鑰交換協(xié)議IPSec配置裝置���,應(yīng)用于服務(wù)器上���,其特征在于,該裝置包括: 接收單元�����,用于在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)����,接收客戶端設(shè)備發(fā)送的配置請(qǐng)求報(bào)文�����,所述IKE協(xié)商包括第I階段協(xié)商��、第1.5階段協(xié)商以及第2階段協(xié)商��; 發(fā)送單元�����,用于向所述客戶端設(shè)備發(fā)送根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文���,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息,以使所述客戶端設(shè)備根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商����。7.如權(quán)利要求6所述的裝置��,其特征在于: 所述服務(wù)器配置信息包括第2階段協(xié)商所需信息和網(wǎng)絡(luò)配置信息�。8.一種因特網(wǎng)密鑰交換協(xié)議IPSec配置裝置,應(yīng)用于客戶端設(shè)備上���,其特征在于�,該裝置包括: 發(fā)送單元,用于在因特網(wǎng)密鑰交換IKE協(xié)商的第1.5階段協(xié)商時(shí)�����,向服務(wù)器發(fā)送配置請(qǐng)求報(bào)文��,所述IKE協(xié)商包括第I階段協(xié)商�����、第1.5階段協(xié)商以及第2階段協(xié)商�����; 接收單元��,用于接收所述服務(wù)器根據(jù)所述配置請(qǐng)求報(bào)文回應(yīng)的配置響應(yīng)報(bào)文�,所述配置響應(yīng)報(bào)文中攜帶服務(wù)器配置信息; 更新單元����,用于根據(jù)所述服務(wù)器配置信息更新本地網(wǎng)絡(luò)配置以及進(jìn)行第2階段協(xié)商。9.如權(quán)利要求8所述的裝置�,其特征在于: 所述服務(wù)器配置信息包括第2階段協(xié)商所需信息和網(wǎng)絡(luò)配置信息。 所述更新單元,具體用于根據(jù)所述網(wǎng)絡(luò)配置信息更新本地網(wǎng)絡(luò)配置����;根據(jù)所述第2階段協(xié)商所需信息與所述服務(wù)器進(jìn)行第2階段協(xié)商。10.如權(quán)利要求8或9任一所述的裝置���,其特征在于��,所述裝置還包括: 配置單元��,用于在第I階段協(xié)商之前�,配置第I階段協(xié)商所需信息�。
【文檔編號(hào)】H04L29/06GK105991351SQ201510432076
【公開日】2016年10月5日
【申請(qǐng)日】2015年7月21日
【發(fā)明人】孔偉政, 劉宇馳, 王之云
【申請(qǐng)人】杭州迪普科技有限公司