一種IPSec公鑰交互方法、節(jié)點(diǎn)和DNS服務(wù)器的制造方法
【專利摘要】本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法、節(jié)點(diǎn)和DNS服務(wù)器,涉及通信領(lǐng)域,能夠解決額外引入設(shè)備造成系統(tǒng)結(jié)構(gòu)復(fù)雜化、維護(hù)及管理操作不便的問題。其方法為:請(qǐng)求端節(jié)點(diǎn)查詢自身所在域的第一DNS服務(wù)器確定目標(biāo)端節(jié)點(diǎn)所在域的第二DNS服務(wù)器,進(jìn)而查詢獲取存儲(chǔ)在第二DNS服務(wù)器中的目標(biāo)端節(jié)點(diǎn)的公鑰信息,并向目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行公鑰交互;目標(biāo)端節(jié)點(diǎn)查詢第二DNS服務(wù)器確定請(qǐng)求端節(jié)點(diǎn)所在域的第一DNS服務(wù)器,進(jìn)而查詢獲取存儲(chǔ)在第一DNS服務(wù)器中請(qǐng)求端節(jié)點(diǎn)的公鑰信息,最后完成節(jié)點(diǎn)間IPSec公鑰的交互。本發(fā)明實(shí)施例用于實(shí)現(xiàn)節(jié)點(diǎn)間IPSec公鑰的交互。
【專利說明】—種IPSec公鑰交互方法、節(jié)點(diǎn)和DNS服務(wù)器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,尤其涉及一種IPSec公鑰交互方法、節(jié)點(diǎn)和DNS服務(wù)器。
【背景技術(shù)】
[0002]IPSec (Internet Protocol Security,互聯(lián)網(wǎng)安全協(xié)定)是通過對(duì) IP (InternetProtocol,互聯(lián)網(wǎng)協(xié)議)的分組進(jìn)行加密和認(rèn)證來保護(hù)IP的網(wǎng)絡(luò)傳輸協(xié)議族,用以提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPSec中包括IKE(Internet Key Exchange,互聯(lián)網(wǎng)密鑰交換)協(xié)議,該IKE協(xié)議用以動(dòng)態(tài)地建立和維護(hù)SA (Security Associat1n,安全聯(lián)盟)以實(shí)現(xiàn)密鑰的安全交互,SA為用來建立兩個(gè)主機(jī)間安全通信的一組參數(shù),可適用于較復(fù)雜和安全性要求較高的網(wǎng)絡(luò)。
[0003]IKE協(xié)議執(zhí)行兩個(gè)階段的操作,第一階段通信雙方建立一個(gè)通過公鑰交互進(jìn)行身份認(rèn)證和安全保護(hù)的隧道,稱為ISAKMP (Internet Security Associat1n andKey Management Protocol,互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議)SA,以便第二階段使用ISAKMP SA建立IPSec隧道?,F(xiàn)有技術(shù)中,在IKE協(xié)議第一階段,常采用PKI (Public KeyInfrastructure,公鑰基礎(chǔ)設(shè)施)/CA (Certificate Authority,認(rèn)證中心)證書驗(yàn)證技術(shù)。該技術(shù)通過網(wǎng)絡(luò)中部署的一個(gè)或多個(gè)PKI系統(tǒng)服務(wù)器,在由第三方可信任機(jī)構(gòu)提供的CA將各通信方的公鑰與簽發(fā)的各數(shù)字證書進(jìn)行捆綁后,對(duì)各證書進(jìn)行相應(yīng)存儲(chǔ);在根據(jù)IKE協(xié)議發(fā)起通信雙發(fā)的公鑰交互時(shí),通信各端設(shè)備根據(jù)自身預(yù)置的各PKI系統(tǒng)服務(wù)器地址,訪問相應(yīng)的PKI系統(tǒng)服務(wù)器獲取通信對(duì)端所對(duì)應(yīng)的證書,或?qū)胗赏獠咳斯げ僮鞣绞?如磁盤、電子郵件等),從相應(yīng)的PKI系統(tǒng)服務(wù)器取得的所需證書;進(jìn)而根據(jù)獲得的證書中包含的通信對(duì)端公鑰完成交互認(rèn)證。
[0004]由于PKI系統(tǒng)對(duì)公鑰進(jìn)行維護(hù),無需用戶手動(dòng)輸入,保證了通信雙方身份認(rèn)證的真實(shí)性和正確性,且PKI系統(tǒng)使用的密鑰類型為具有抗否認(rèn)性的非對(duì)稱密鑰,可適應(yīng)不同應(yīng)用場景。然而,采用PKI/CA證書驗(yàn)證技術(shù),需要額外部署PKI系統(tǒng)并在各通信端設(shè)備中預(yù)置各PKI系統(tǒng)服務(wù)器地址,且當(dāng)某一通信端設(shè)備未預(yù)置對(duì)端所對(duì)應(yīng)的PKI系統(tǒng)服務(wù)器地址或該P(yáng)KI系統(tǒng)服務(wù)器離線時(shí),還需要人工操作才能實(shí)現(xiàn)通信對(duì)端證書的導(dǎo)入。導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,為系統(tǒng)維護(hù)及管理操作造成不便。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的實(shí)施例提供一種IPSec公鑰交互方法、節(jié)點(diǎn)和DNS服務(wù)器,用以解決額外引入設(shè)備造成系統(tǒng)結(jié)構(gòu)復(fù)雜化、維護(hù)及管理操作不便的問題。
[0006]為達(dá)到上述目的,本發(fā)明的實(shí)施例采用如下技術(shù)方案:
[0007]第一方面,提供一種IPSec公鑰交互方法,包括:
[0008]請(qǐng)求端節(jié)點(diǎn)根據(jù)目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第一域名系統(tǒng)DNS服務(wù)器,獲取表示第二 DNS服務(wù)器地址的第一地址信息,所述第一 DNS服務(wù)器為所述請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,所述第二 DNS服務(wù)器為所述目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器;
[0009]所述請(qǐng)求端節(jié)點(diǎn)根據(jù)所述第一地址信息,向所述第二 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括所述目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第二 DNS服務(wù)器中記錄了所述目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系;
[0010]在所述第二 DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息查詢獲取所述目標(biāo)端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,所述請(qǐng)求端節(jié)點(diǎn)接收所述目標(biāo)端節(jié)點(diǎn)的公鑰信息;
[0011]所述請(qǐng)求端節(jié)點(diǎn)向所述目標(biāo)端節(jié)點(diǎn)發(fā)送申請(qǐng)信息,所述申請(qǐng)信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述申請(qǐng)信息用于向所述目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互;
[0012]在所述目標(biāo)端節(jié)點(diǎn)根據(jù)所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息從所述第一 DNS服務(wù)器獲取所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息后,所述請(qǐng)求端節(jié)點(diǎn)通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與所述目標(biāo)端節(jié)點(diǎn)完成公鑰的交互。
[0013]第二方面,提供一種IPSec公鑰交互方法,包括:
[0014]目標(biāo)端節(jié)點(diǎn)接收請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息,所述申請(qǐng)信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述申請(qǐng)信息用于申請(qǐng)進(jìn)行與所述請(qǐng)求端節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互;
[0015]所述目標(biāo)端節(jié)點(diǎn)根據(jù)所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第二域名系統(tǒng)DNS服務(wù)器,獲取表示第一 DNS服務(wù)器地址的第二地址信息,所述第一 DNS服務(wù)器為所述請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,所述第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器;
[0016]所述目標(biāo)端節(jié)點(diǎn)根據(jù)所述第二地址信息,向所述第一 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第一 DNS服務(wù)器中記錄了所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系;
[0017]在所述第一 DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息查詢獲取所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,所述目標(biāo)端節(jié)點(diǎn)接收所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息;
[0018]所述目標(biāo)端節(jié)點(diǎn)通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與所述請(qǐng)求端節(jié)點(diǎn)完成公鑰的交互。
[0019]第三方面,提供一種IPSec公鑰交互方法,包括:
[0020]域名系統(tǒng)DNS服務(wù)器接收第一節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括第二節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第二節(jié)點(diǎn)為所述DNS服務(wù)器所在域內(nèi)節(jié)點(diǎn),當(dāng)所述第一節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn)時(shí),所述第二節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn),或,當(dāng)所述第一節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn)時(shí),所述第二節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn);
[0021 ] 所述DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息以及所述DNS服務(wù)器中記錄的所述第二節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系,查詢獲取所述第二節(jié)點(diǎn)的公鑰信息;
[0022]所述DNS服務(wù)器向所述第一節(jié)點(diǎn)發(fā)送所述第二節(jié)點(diǎn)的公鑰信息,以便所述第一節(jié)點(diǎn)獲取所述第二節(jié)點(diǎn)的公鑰信息。
[0023]第四方面,提供一種IPSec公鑰交互請(qǐng)求端節(jié)點(diǎn),包括:
[0024]獲取單元,用于根據(jù)目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第一域名系統(tǒng)DNS服務(wù)器,獲取表示第二 DNS服務(wù)器地址的第一地址信息,所述第一 DNS服務(wù)器為所述請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,所述第二 DNS服務(wù)器為所述目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器;
[0025]請(qǐng)求單元,用于根據(jù)所述第一地址信息,向所述第二 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括所述目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第二 DNS服務(wù)器中記錄了所述目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系;
[0026]接收單元,用于在所述第二 DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息查詢獲取所述目標(biāo)端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,接收所述目標(biāo)端節(jié)點(diǎn)的公鑰信息;
[0027]申請(qǐng)單元,用于向所述目標(biāo)端節(jié)點(diǎn)發(fā)送申請(qǐng)信息,所述申請(qǐng)信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述申請(qǐng)信息用于向所述目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互;
[0028]交互單元,用于在所述目標(biāo)端節(jié)點(diǎn)根據(jù)所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息從所述第一DNS服務(wù)器獲取所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息后,通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與所述目標(biāo)端節(jié)點(diǎn)完成公鑰的交互。
[0029]第五方面,提供一種IPSec公鑰交互目標(biāo)端節(jié)點(diǎn),包括:
[0030]響應(yīng)單元,用于接收請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息,所述申請(qǐng)信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述申請(qǐng)信息用于申請(qǐng)進(jìn)行與所述請(qǐng)求端節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互;
[0031]獲取單元,用于根據(jù)所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第二域名系統(tǒng)DNS服務(wù)器,獲取表示第一 DNS服務(wù)器地址的第二地址信息,所述第一 DNS服務(wù)器為所述請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,所述第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器;
[0032]請(qǐng)求單元,用于根據(jù)所述第二地址信息,向所述第一 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第一 DNS服務(wù)器中記錄了所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系;
[0033]接收單元,用于在所述第一 DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息查詢獲取所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,接收所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息;
[0034]交互單元,用于通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與所述請(qǐng)求端節(jié)點(diǎn)完成公鑰的交互。
[0035]第六方面,提供一種IPSec公鑰DNS服務(wù)器,包括:
[0036]接收單元,用于接收第一節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括第二節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第二節(jié)點(diǎn)為所述DNS服務(wù)器所在域內(nèi)節(jié)點(diǎn),當(dāng)所述第一節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn)時(shí),所述第二節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn),或,當(dāng)所述第一節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn)時(shí),所述第二節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn);
[0037]查詢單元,用于根據(jù)所述公鑰請(qǐng)求信息以及所述DNS服務(wù)器中記錄的所述第二節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系,查詢獲取所述第二節(jié)點(diǎn)的公鑰信息;
[0038]發(fā)送單元,用于向所述第一節(jié)點(diǎn)發(fā)送所述第二節(jié)點(diǎn)的公鑰信息,以便所述第一節(jié)點(diǎn)獲取所述第二節(jié)點(diǎn)的公鑰信息。
[0039]可見,本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法、節(jié)點(diǎn)和DNS服務(wù)器,首先由請(qǐng)求端節(jié)點(diǎn)通過查詢自身所在域的第一 DNS服務(wù)器確定目標(biāo)端節(jié)點(diǎn)所在域的第二 DNS服務(wù)器,進(jìn)而查詢獲取第二 DNS服務(wù)器中存儲(chǔ)的目標(biāo)端節(jié)點(diǎn)的公鑰信息,并向目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行公鑰交互;而后,在目標(biāo)端節(jié)點(diǎn)查詢第二 DNS服務(wù)確定第一 DNS服務(wù)器,再查詢獲取第一 DNS服務(wù)器中存儲(chǔ)的請(qǐng)求端節(jié)點(diǎn)的公鑰信息后,完成節(jié)點(diǎn)間IPSec公鑰的交互。這樣,通過使用網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中現(xiàn)有的DNS服務(wù)器對(duì)公鑰進(jìn)行存儲(chǔ),查詢自身所在域的DNS服務(wù)器確定存儲(chǔ)了對(duì)端節(jié)點(diǎn)的公鑰信息的DNS服務(wù)器地址,進(jìn)而獲取對(duì)端節(jié)點(diǎn)的公鑰信息,避免了現(xiàn)有技術(shù)中采用PKI/CA證書驗(yàn)證技術(shù)時(shí)需要額外部署設(shè)備且需要在各節(jié)點(diǎn)中預(yù)置各PKI系統(tǒng)服務(wù)器地址導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,為系統(tǒng)維護(hù)及管理操作造成不便的問題。因此,本發(fā)明相對(duì)于現(xiàn)有技術(shù),在進(jìn)行公鑰交互時(shí)無需額外引入設(shè)備,簡化了維護(hù)及管理操作。
【專利附圖】
【附圖說明】
[0040]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0041]圖1為本發(fā)明實(shí)施例提供的IPSec交互方法所基于系統(tǒng)的結(jié)構(gòu)示意圖;
[0042]圖2為本發(fā)明實(shí)施例提供的一種IPSec公鑰交互方法的流程示意圖一;
[0043]圖3為本發(fā)明實(shí)施例提供的一種IPSec公鑰交互方法的流程示意圖二 ;
[0044]圖4為本發(fā)明實(shí)施例提供的一種IPSec公鑰交互方法的流程示意圖三;
[0045]圖5為本發(fā)明實(shí)施例提供的一種IPSec公鑰交互方法的流程示意圖四;
[0046]圖6為本發(fā)明實(shí)施例提供的一種請(qǐng)求端節(jié)點(diǎn)的結(jié)構(gòu)示意圖;
[0047]圖7為本發(fā)明實(shí)施例提供的一種目標(biāo)端節(jié)點(diǎn)的結(jié)構(gòu)示意圖;
[0048]圖8為本發(fā)明實(shí)施例提供的一種DNS服務(wù)器的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0049]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0050]圖1為本發(fā)明實(shí)施例提供的IPSec (Internet Protocol Security,互聯(lián)網(wǎng)安全協(xié)定)公鑰交互方法所基于的系統(tǒng)結(jié)構(gòu)示意圖。參見圖1,該系統(tǒng)包括:網(wǎng)絡(luò)信息中心001、與網(wǎng)絡(luò)信息中心001相連的第一 DNS (Domain Name System,域名系統(tǒng))服務(wù)器002、第一 DNS服務(wù)器002所在域(Domain)內(nèi)一個(gè)或多個(gè)請(qǐng)求端節(jié)點(diǎn)設(shè)備003、與網(wǎng)絡(luò)信息中心001相連的第二 DNS服務(wù)器004、第二 DNS服務(wù)器004所在域內(nèi)一個(gè)或多個(gè)目標(biāo)端節(jié)點(diǎn)設(shè)備005。各節(jié)點(diǎn)設(shè)備之間、與DNS服務(wù)器之間都通過網(wǎng)絡(luò)連接。
[0051]其中,請(qǐng)求端節(jié)點(diǎn)設(shè)備003為節(jié)點(diǎn)間建立IPSec隧道的發(fā)起端,目標(biāo)端節(jié)點(diǎn)設(shè)備005為節(jié)點(diǎn)間建立IPSec隧道的響應(yīng)端。第一 DNS服務(wù)器002為所在域中的請(qǐng)求端節(jié)點(diǎn)設(shè)備003提供地址解析服務(wù),同時(shí)還存儲(chǔ)了建立IPSec隧道時(shí)請(qǐng)求端節(jié)點(diǎn)設(shè)備003的公鑰信息;第二 DNS服務(wù)器004為所在域中的目標(biāo)端節(jié)點(diǎn)設(shè)備005提供地址解析服務(wù),同時(shí)還存儲(chǔ)了建立IPSec隧道時(shí)目標(biāo)端節(jié)點(diǎn)設(shè)備005的公鑰信息
[0052]本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法,基于請(qǐng)求端節(jié)點(diǎn)側(cè),如圖2所示,包括:
[0053]S101、請(qǐng)求端節(jié)點(diǎn)根據(jù)目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第一域名系統(tǒng)DNS服務(wù)器,獲取表不第二 DNS服務(wù)器地址的第一地址信息。
[0054]其中,目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息為請(qǐng)求端節(jié)點(diǎn)從來自用戶操作或系統(tǒng)設(shè)定觸發(fā)的業(yè)務(wù)指示中獲取的,可以為目標(biāo)端節(jié)點(diǎn)的IPdnternetP1tocol,網(wǎng)際協(xié)議)地址、域名信息或節(jié)點(diǎn)名稱;第一 DNS服務(wù)器為請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器。
[0055]在一種實(shí)現(xiàn)方式下,第一 DNS服務(wù)器與第二 DNS服務(wù)器可以為同一個(gè)DNS服務(wù)器。
[0056]S102、請(qǐng)求端節(jié)點(diǎn)根據(jù)第一地址信息,向第二 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息。
[0057]其中,公鑰請(qǐng)求信息包括目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,第二 DNS服務(wù)器中記錄了目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系。
[0058]S103、在第二 DNS服務(wù)器根據(jù)公鑰請(qǐng)求信息查詢獲取目標(biāo)端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,請(qǐng)求端節(jié)點(diǎn)接收目標(biāo)端節(jié)點(diǎn)的公鑰信息。
[0059]S104、請(qǐng)求端節(jié)點(diǎn)向目標(biāo)端節(jié)點(diǎn)發(fā)送申請(qǐng)信息。
[0060]其中,申請(qǐng)信息包括請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,該申請(qǐng)信息用于向目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互;請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息可以為請(qǐng)求端節(jié)點(diǎn)的IP地址、域名信息或節(jié)點(diǎn)名稱。
[0061]S105、在目標(biāo)端節(jié)點(diǎn)根據(jù)請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息從第一 DNS服務(wù)器獲取請(qǐng)求端節(jié)點(diǎn)的公鑰信息后,請(qǐng)求端節(jié)點(diǎn)通過互聯(lián)網(wǎng)密鑰交換IKE(Internet Key Exchange,互聯(lián)網(wǎng)密鑰交換)協(xié)議與目標(biāo)端節(jié)點(diǎn)完成公鑰的交互。
[0062]本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法,首先請(qǐng)求端節(jié)點(diǎn)通過查詢自身所在域的第一 DNS服務(wù)器獲取目標(biāo)端節(jié)點(diǎn)所在域的第二 DNS服務(wù)器的地址,而后查詢第二 DNS服務(wù)器,獲取第二 DNS服務(wù)器中存儲(chǔ)的目標(biāo)端節(jié)點(diǎn)的公鑰信息,并向目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行公鑰交互,最后,在目標(biāo)端節(jié)點(diǎn)獲取自身的公鑰信息后,完成IPSec公鑰的交互。這樣,通過使用網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中現(xiàn)有的DNS服務(wù)器對(duì)公鑰進(jìn)行存儲(chǔ),查詢自身所在域的DNS服務(wù)器確定存儲(chǔ)了對(duì)端節(jié)點(diǎn)的公鑰信息的DNS服務(wù)器地址,進(jìn)而獲取對(duì)端節(jié)點(diǎn)的公鑰信息,解決了現(xiàn)有技術(shù)中額外部署設(shè)備導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,維護(hù)及管理不便的問題,簡化了維護(hù)及管理操作。
[0063]本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法,基于目標(biāo)端節(jié)點(diǎn)側(cè),如圖3所示,包括:
[0064]S201、目標(biāo)端節(jié)點(diǎn)接收請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息。
[0065]其中,申請(qǐng)信息包括請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,申請(qǐng)信息用于申請(qǐng)進(jìn)行與請(qǐng)求端節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互;請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息可以為請(qǐng)求端節(jié)點(diǎn)的IP地址、域名信息或節(jié)點(diǎn)名稱。
[0066]S202、目標(biāo)端節(jié)點(diǎn)根據(jù)請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第二域名系統(tǒng)DNS服務(wù)器,獲取表不第一 DNS服務(wù)器地址的第二地址信息。
[0067]其中,第一 DNS服務(wù)器為請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器。
[0068]在一種實(shí)現(xiàn)方式下,第一 DNS服務(wù)器與第二 DNS服務(wù)器可以為同一個(gè)DNS服務(wù)器。
[0069]S203、目標(biāo)端節(jié)點(diǎn)根據(jù)第二地址信息,向第一 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息。
[0070]其中,公鑰請(qǐng)求信息包括請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,第一 DNS服務(wù)器中記錄了請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系。
[0071]S204、在第一 DNS服務(wù)器根據(jù)公鑰請(qǐng)求信息查詢獲取請(qǐng)求端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,目標(biāo)端節(jié)點(diǎn)接收請(qǐng)求端節(jié)點(diǎn)的公鑰信息。
[0072]S205、目標(biāo)端節(jié)點(diǎn)通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與請(qǐng)求端節(jié)點(diǎn)完成公鑰的交互。
[0073]本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法,首先目標(biāo)端節(jié)點(diǎn)在接收到請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息后查詢自身所在域的第二 DNS服務(wù)器,獲取請(qǐng)求端節(jié)點(diǎn)所在域的第一DNS服務(wù)器的地址,而后查詢第一 DNS服務(wù)器,獲取第一 DNS服務(wù)器中存儲(chǔ)的請(qǐng)求端節(jié)點(diǎn)的公鑰信息,最后,完成與請(qǐng)求端節(jié)點(diǎn)間IPSec公鑰的交互。這樣,通過使用網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中現(xiàn)有的DNS服務(wù)器對(duì)公鑰進(jìn)行存儲(chǔ),查詢自身所在域的DNS服務(wù)器確定存儲(chǔ)了對(duì)端節(jié)點(diǎn)的公鑰信息的DNS服務(wù)器地址,進(jìn)而獲取對(duì)端節(jié)點(diǎn)的公鑰信息,解決了現(xiàn)有技術(shù)中額外部署設(shè)備導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,維護(hù)及管理不便的問題,簡化了維護(hù)及管理操作。
[0074]本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法,基于DNS服務(wù)器,如圖4所示,包括:
[0075]S301、DNS服務(wù)器接收第一節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息。
[0076]其中,公鑰請(qǐng)求信息包括第二節(jié)點(diǎn)的標(biāo)識(shí)信息,第二節(jié)點(diǎn)為DNS服務(wù)器所在域內(nèi)節(jié)點(diǎn)。第二節(jié)點(diǎn)的標(biāo)識(shí)信息可以為該第二節(jié)點(diǎn)的IP地址、域名信息或節(jié)點(diǎn)名稱。
[0077]當(dāng)?shù)谝还?jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn)時(shí),第二節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn),或,當(dāng)?shù)谝还?jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn)時(shí),第二節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn)。
[0078]在一種實(shí)現(xiàn)方式下,第一節(jié)點(diǎn)可以為該DNS服務(wù)器所在域內(nèi)節(jié)點(diǎn)。
[0079]S302、DNS服務(wù)器根據(jù)公鑰請(qǐng)求信息以及DNS服務(wù)器中記錄的第二節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系,查詢獲取第二節(jié)點(diǎn)的公鑰信息。
[0080]S303.DNS服務(wù)器向第一節(jié)點(diǎn)發(fā)送第二節(jié)點(diǎn)的公鑰信息,以便第一節(jié)點(diǎn)獲取第二節(jié)點(diǎn)的公鑰信息。
[0081]本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法,首先DNS服務(wù)器接收第一節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息,而后根據(jù)公鑰請(qǐng)求信息指示的第二節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢獲取自身存儲(chǔ)的第二節(jié)點(diǎn)的標(biāo)識(shí)信息對(duì)應(yīng)的公鑰信息,最后,將該公鑰信息發(fā)送至第一節(jié)點(diǎn),以便第一節(jié)點(diǎn)在接收后,完成與第二節(jié)點(diǎn)間IPSec公鑰的交互。這樣,通過使用網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中現(xiàn)有的DNS服務(wù)器對(duì)公鑰進(jìn)行存儲(chǔ),查詢自身所在域的DNS服務(wù)器確定存儲(chǔ)了對(duì)端節(jié)點(diǎn)的公鑰信息的DNS服務(wù)器地址,進(jìn)而獲取對(duì)端節(jié)點(diǎn)的公鑰信息,解決了現(xiàn)有技術(shù)中額外部署設(shè)備導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,維護(hù)及管理不便的問題,簡化了維護(hù)及管理操作。
[0082]為了使本領(lǐng)域技術(shù)人員能夠更清楚地理解本發(fā)明實(shí)施例提供的技術(shù)方案,下面通過具體的實(shí)施例,對(duì)本發(fā)明實(shí)施例提供的另一種IPSec公鑰交互方法進(jìn)行詳細(xì)說明,如圖5所示,該方法包括:
[0083]S401、請(qǐng)求端節(jié)點(diǎn)查詢第一 DNS服務(wù)器獲取第一地址信息。
[0084]具體的,請(qǐng)求端節(jié)點(diǎn)在接收到指示需要建立自身與目標(biāo)端節(jié)點(diǎn)之間的IPSec隧道時(shí),進(jìn)行請(qǐng)求端節(jié)點(diǎn)與目標(biāo)端節(jié)點(diǎn)間的IPSec公鑰交互,根據(jù)目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,通過查詢自身所在域的第一 DNS服務(wù)器獲取目標(biāo)端節(jié)點(diǎn)所在域的第二 DNS服務(wù)器的地址。
[0085]其中,請(qǐng)求端節(jié)點(diǎn)、目標(biāo)端節(jié)點(diǎn)可以為接入互聯(lián)網(wǎng)(Internet)中的一種網(wǎng)絡(luò)設(shè)備,具體可以為移動(dòng)終端、PC (Personal Computer,個(gè)人計(jì)算機(jī))、平板電腦等,且該網(wǎng)絡(luò)設(shè)備具有一個(gè)網(wǎng)絡(luò)中唯一的標(biāo)識(shí);第一 DNS服務(wù)器為請(qǐng)求端節(jié)點(diǎn)所在域的域名解析服務(wù)器,為當(dāng)前網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中已部署,負(fù)責(zé)處理包括請(qǐng)求端節(jié)點(diǎn)在內(nèi)的所在域中所有網(wǎng)絡(luò)設(shè)備的域名解析服務(wù);第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的域名解析服務(wù)器,為當(dāng)前網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中已部署,負(fù)責(zé)處理包括目標(biāo)端節(jié)點(diǎn)在內(nèi)的所在域中所有網(wǎng)絡(luò)設(shè)備的域名解析服務(wù);第一地址信息用于表示第二 DNS服務(wù)器的地址。且上述列舉的請(qǐng)求端節(jié)點(diǎn)、目標(biāo)端節(jié)點(diǎn)的設(shè)備類型僅為示例性的,包括但不限于此。
[0086]示例性的,請(qǐng)求端節(jié)點(diǎn)接收到用戶操作或系統(tǒng)設(shè)定觸發(fā)的業(yè)務(wù)指示,建立請(qǐng)求端節(jié)點(diǎn)與目標(biāo)端節(jié)點(diǎn)之間的IPSec隧道,根據(jù)采用IKE協(xié)議進(jìn)行協(xié)商的方式,首先需要進(jìn)行請(qǐng)求端節(jié)點(diǎn)與目標(biāo)端節(jié)點(diǎn)間的IPSec公鑰交互。其中,業(yè)務(wù)指示中包含了目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息。且該業(yè)務(wù)指示可以為一個(gè)預(yù)設(shè)格式的指令,也可以為一個(gè)預(yù)設(shè)格式的消息,此處不做限定。
[0087]值得一提的,目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息可以為目標(biāo)端節(jié)點(diǎn)的IP地址、域名信息或節(jié)點(diǎn)名稱,如1.1.1.1、www.baidu.com、Aisina.com.cn等,且上述列舉的標(biāo)識(shí)信息類型僅為示例性的,包括但不限于此。
[0088]請(qǐng)求端節(jié)點(diǎn)根據(jù)設(shè)備自身預(yù)設(shè)存儲(chǔ)的第一DNS服務(wù)器的地址信息(如服務(wù)器的IP地址),向第一 DNS服務(wù)器提交域名解析請(qǐng)求。
[0089]其中,上述請(qǐng)求端節(jié)點(diǎn)中預(yù)設(shè)存儲(chǔ)的DNS服務(wù)器地址,可以由運(yùn)營商統(tǒng)一設(shè)定,例如:當(dāng)作為請(qǐng)求端節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備使用北京電信ADSL(Asymmetric Digital SubscriberLine,非對(duì)稱數(shù)字用戶環(huán)路)寬帶接入Internet時(shí),電信為其分配的DNS服務(wù)器地址可以為219.141.140.10 (北京市電信DNS服務(wù)器IP地址);上述請(qǐng)求端節(jié)點(diǎn)提交的域名解析請(qǐng)求包括目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息。
[0090]第一 DNS服務(wù)器在接收到請(qǐng)求后,先查詢服務(wù)器本地的緩存,若能夠查詢到相應(yīng)記錄,則直接向請(qǐng)求端節(jié)點(diǎn)返回查詢的結(jié)果;或者,若沒有所需的記錄,則第一 DNS服務(wù)器根據(jù)域名解析的層級(jí)結(jié)構(gòu),遞歸形式把請(qǐng)求逐級(jí)發(fā)給上級(jí)的根域名服務(wù)器、頂級(jí)域名服務(wù)器等,進(jìn)而由某一級(jí)域名服務(wù)器確定目標(biāo)端節(jié)點(diǎn)所在域,獲取該域?qū)?yīng)的域名服務(wù)器信息,并將結(jié)果返回給第一 DNS服務(wù)器,第一 DNS服務(wù)器將返回的查詢結(jié)果保存到緩存,并將結(jié)果返回給請(qǐng)求端節(jié)點(diǎn),即請(qǐng)求端節(jié)點(diǎn)獲取了表示第二 DNS服務(wù)器地址的第一地址信息。
[0091]值得一提的,若請(qǐng)求端節(jié)點(diǎn)與目標(biāo)端節(jié)點(diǎn)位于Internet中的同一個(gè)域內(nèi),貝U第一DNS服務(wù)器與第二 DNS服務(wù)器可以為同一個(gè)DNS服務(wù)器,此種場景下,第一 DNS服務(wù)器在接收到請(qǐng)求端節(jié)點(diǎn)提交的請(qǐng)求后,不通過上級(jí)域名服務(wù)器直接確定并反饋?zhàn)陨淼姆?wù)器地址信息,以便請(qǐng)求端節(jié)點(diǎn)將自身同時(shí)認(rèn)定為第二 DNS服務(wù)器,從而完成后續(xù)處理操作。
[0092]S402、請(qǐng)求端節(jié)點(diǎn)向第二 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息。
[0093]具體的,請(qǐng)求端節(jié)點(diǎn)在獲取了第一地址信息后,根據(jù)第一地址信息中指示的第二DNS服務(wù)器的地址,向第二 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息。
[0094]其中,該公鑰請(qǐng)求信息中包括目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,該公鑰請(qǐng)求信息用于指示第二 DNS服務(wù)器根據(jù)信息中攜帶的標(biāo)識(shí)信息進(jìn)行查詢,以確定目標(biāo)端節(jié)點(diǎn)對(duì)應(yīng)的公鑰信肩、O
[0095]值得一提的,本發(fā)明的實(shí)施例對(duì)上述公鑰請(qǐng)求信息中目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息的類型不做限定,可以為IP地址、域名信息或節(jié)點(diǎn)名稱等,且該標(biāo)識(shí)信息具有唯一性,即在Internet中不存在具有相同標(biāo)識(shí)信息的網(wǎng)絡(luò)設(shè)備,以便第二 DNS服務(wù)器可以通過該唯一的標(biāo)識(shí)信息確定相應(yīng)的唯一的公鑰信息。
[0096]S403、請(qǐng)求端節(jié)點(diǎn)從第二 DNS服務(wù)器獲取目標(biāo)端節(jié)點(diǎn)的公鑰信息。
[0097]具體的,第二 DNS服務(wù)器在接收到請(qǐng)求端節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息后,根據(jù)公鑰請(qǐng)求信息中目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息查詢獲取目標(biāo)端的公鑰信息,并向請(qǐng)求端節(jié)點(diǎn)返回查詢結(jié)果,以便請(qǐng)求端節(jié)點(diǎn)接收獲取目標(biāo)端節(jié)點(diǎn)的公鑰信息。
[0098]其中,第二 DNS服務(wù)器中存儲(chǔ)有公鑰信息數(shù)據(jù)庫文件,該數(shù)據(jù)庫文件中記錄了服務(wù)器所在域中,包括目標(biāo)端節(jié)點(diǎn)在內(nèi)的一種或多種節(jié)點(diǎn)的標(biāo)識(shí)信息所對(duì)應(yīng)的公鑰信息。
[0099]值得一提的,上述公鑰信息數(shù)據(jù)庫文件可以存儲(chǔ)在DNS服務(wù)器中的區(qū)(Zone)文件中;各公鑰信息可以為用戶或服務(wù)運(yùn)營商預(yù)先統(tǒng)一進(jìn)行設(shè)定的,以保證公鑰信息在交互過程中正確可用,且各標(biāo)識(shí)信息與各公鑰信息之間的對(duì)應(yīng)方式可以為一一對(duì)應(yīng),也可以為多個(gè)標(biāo)識(shí)信息對(duì)應(yīng)同一個(gè)公鑰信息,具體的公鑰信息內(nèi)容及對(duì)應(yīng)方式,可以根據(jù)應(yīng)用場景的需求或用戶使用的需求采用不同的設(shè)定,具體此處不做限定。由于各公鑰信息為用戶或服務(wù)運(yùn)營商預(yù)先統(tǒng)一進(jìn)行設(shè)定及維護(hù),無需用戶在使用時(shí)手動(dòng)輸入設(shè)定,保證了公鑰信息的可靠性,即保證了通信雙方身份認(rèn)證的真實(shí)性和正確性。
[0100]示例性的,第二 DNS服務(wù)器根據(jù)從公鑰請(qǐng)求信息中獲取的標(biāo)識(shí)信息,查詢服務(wù)器中存儲(chǔ)的公鑰信息數(shù)據(jù)庫文件;進(jìn)而,根據(jù)數(shù)據(jù)庫文件中指示的標(biāo)識(shí)信息與公鑰信息之間的對(duì)應(yīng)關(guān)系,確定目標(biāo)端節(jié)點(diǎn)對(duì)應(yīng)的公鑰信息;而后,將確定的公鑰信息發(fā)送給請(qǐng)求端節(jié)點(diǎn),在請(qǐng)求端節(jié)點(diǎn)成功接收后完成目標(biāo)端節(jié)點(diǎn)公鑰信息的獲取。
[0101]值得一提的,上述DNS服務(wù)器中存儲(chǔ)的各節(jié)點(diǎn)所對(duì)應(yīng)的公鑰,類型可以為對(duì)稱密鑰,也可以為非對(duì)稱密鑰,此處不做限定。且當(dāng)為非對(duì)稱密鑰時(shí),具有抗否認(rèn)性,協(xié)議消息可穿透防火墻,不僅可用于內(nèi)部網(wǎng)絡(luò),還可適應(yīng)多種不同的應(yīng)用場景。
[0102]S404、請(qǐng)求端節(jié)點(diǎn)向目標(biāo)端節(jié)點(diǎn)發(fā)送申請(qǐng)信息。
[0103]具體的,請(qǐng)求端節(jié)點(diǎn)在獲取目標(biāo)端節(jié)點(diǎn)的公鑰信息后,向目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行節(jié)點(diǎn)間IPSec公鑰的交互。
[0104]示例性的,請(qǐng)求端節(jié)點(diǎn)根據(jù)目標(biāo)端節(jié)點(diǎn)的IP地址,向目標(biāo)端節(jié)點(diǎn)發(fā)送申請(qǐng)信息。其中,目標(biāo)端節(jié)點(diǎn)的IP地址,可以作為目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息直接從接收到的業(yè)務(wù)指示中獲取,也可以根據(jù)目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息查詢第一 DNS服務(wù)器獲取;上述申請(qǐng)信息中可以包括請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,以便目標(biāo)端節(jié)點(diǎn)根據(jù)請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息響應(yīng)建立請(qǐng)求端節(jié)點(diǎn)發(fā)起的請(qǐng)求。
[0105]值得一提的,上述申請(qǐng)信息可以為用于申請(qǐng)建立節(jié)點(diǎn)間IPSec隧道的請(qǐng)求信息,在建立節(jié)點(diǎn)間IPSec隧道的實(shí)現(xiàn)過程中,需使用IKE協(xié)議執(zhí)行兩個(gè)階段的操作,第一階段為通信雙方建立一個(gè)通過公鑰交互進(jìn)行身份認(rèn)證和安全保護(hù)的隧道ISAKMP SA,第二階段為使用ISAKMP SA建立IPSec隧道。目標(biāo)端節(jié)點(diǎn)接收到該申請(qǐng)建立節(jié)點(diǎn)間IPSec隧道的請(qǐng)求信息,即可執(zhí)行后續(xù)操作獲取請(qǐng)求端節(jié)點(diǎn)的公鑰信息以便完成公鑰交互。
[0106]S405、目標(biāo)端節(jié)點(diǎn)查詢第二 DNS服務(wù)器獲取第二地址信息。
[0107]具體的,目標(biāo)端節(jié)點(diǎn)在接收到請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息后,根據(jù)請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,通過查詢自身所在域的第二 DNS服務(wù)器獲取請(qǐng)求端節(jié)點(diǎn)所在域的第一 DNS服務(wù)器的地址。
[0108]其中,第二地址信息用于表示第一 DNS服務(wù)器的地址;請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息可以為請(qǐng)求端節(jié)點(diǎn)的IP地址、域名信息或節(jié)點(diǎn)名稱等,且上述列舉的標(biāo)識(shí)信息類型僅為示例性的,包括但不限于此。
[0109]示例性的,在本發(fā)明實(shí)施例中,由于目標(biāo)端節(jié)點(diǎn)查詢第二 DNS服務(wù)器獲取第二地址信息的基本流程與本實(shí)施例中前述請(qǐng)求端節(jié)點(diǎn)側(cè)的處理流程對(duì)應(yīng)相同,此處不再贅述。
[0110]S406、目標(biāo)端節(jié)點(diǎn)向第一 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息。
[0111]具體的,目標(biāo)端節(jié)點(diǎn)在獲取了第二地址信息后,根據(jù)第二地址信息中指示的第一DNS服務(wù)器的地址,向第一 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息。
[0112]其中,該公鑰請(qǐng)求信息中包括請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,該公鑰請(qǐng)求信息用于指示第一 DNS服務(wù)器根據(jù)信息中攜帶的標(biāo)識(shí)信息進(jìn)行查詢,以確定請(qǐng)求端節(jié)點(diǎn)對(duì)應(yīng)的公鑰信肩、O
[0113]值得一提的,上述公鑰請(qǐng)求信息中請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息具有唯一性,即在Internet中不存在具有相同標(biāo)識(shí)信息的網(wǎng)絡(luò)設(shè)備,以便第一 DNS服務(wù)器可以通過該唯一的標(biāo)識(shí)信息確定相應(yīng)的唯一的公鑰信息。
[0114]S407、目標(biāo)端節(jié)點(diǎn)從第一 DNS服務(wù)器獲取請(qǐng)求端節(jié)點(diǎn)的公鑰信息。
[0115]具體的,第一 DNS服務(wù)器在接收到目標(biāo)端節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息后,根據(jù)公鑰請(qǐng)求信息中請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息查詢獲取請(qǐng)求端的公鑰信息,并向目標(biāo)端節(jié)點(diǎn)返回查詢結(jié)果,以便目標(biāo)端節(jié)點(diǎn)接收獲取目標(biāo)端節(jié)點(diǎn)的公鑰信息,進(jìn)行后續(xù)的公鑰交互。
[0116]值得一提的,第一 DNS服務(wù)器查詢獲取請(qǐng)求端節(jié)點(diǎn)的公鑰信息的流程、公鑰信息在第一 DNS服務(wù)器中的存儲(chǔ)形式及對(duì)應(yīng)方式等都與前述第二 DNS服務(wù)器對(duì)應(yīng)相同,僅在公鑰信息數(shù)據(jù)庫文件中包含的內(nèi)容方面,根據(jù)DNS服務(wù)器所在域的不同存在相應(yīng)區(qū)別,此處不再贅述。
[0117]S408、請(qǐng)求端節(jié)點(diǎn)與目標(biāo)端節(jié)點(diǎn)完成公鑰信息的交互。
[0118]具體的,在目標(biāo)端節(jié)點(diǎn)通過查詢第一 DNS服務(wù)器獲取請(qǐng)求端節(jié)點(diǎn)的公鑰信息后,響應(yīng)請(qǐng)求端節(jié)點(diǎn)進(jìn)行IPsec公鑰交互的請(qǐng)求。
[0119]示例性的,在請(qǐng)求端節(jié)點(diǎn)、目標(biāo)端節(jié)點(diǎn)都獲取了對(duì)端的公鑰信息后,利用對(duì)端的公鑰加密并交互身份信息和/或輔助信息,其中,身份信息為節(jié)點(diǎn)使用對(duì)端公鑰加密自身身份(ID)獲取的,輔助信息為節(jié)點(diǎn)使用對(duì)端公鑰加密當(dāng)前時(shí)間(Nonce)獲取的;且加密方式可以為僅對(duì)數(shù)據(jù)部分進(jìn)行加密,報(bào)頭部分仍為明文形式。
[0120]各端節(jié)點(diǎn)通過使用自身的公鑰對(duì)接收到的信息進(jìn)行解密,重新構(gòu)建數(shù)據(jù)的哈希(Hash)值,對(duì)另一端加了密的身份及當(dāng)前時(shí)間進(jìn)行校驗(yàn),若校驗(yàn)無誤,則完成公鑰信息的交互,身份認(rèn)證完成。
[0121]進(jìn)一步的,在完成上述流程,建立ISAKMP SA后,可使用ISAKMP SA建立業(yè)務(wù)所需的IPSec隧道。
[0122]值得一提的,在本發(fā)明實(shí)施例中,請(qǐng)求端節(jié)點(diǎn)與目標(biāo)端節(jié)點(diǎn)可以為相同結(jié)構(gòu)的通信設(shè)備,即同一個(gè)通信設(shè)備在不同的應(yīng)用場景下,既可以作為請(qǐng)求端節(jié)點(diǎn)向其它節(jié)點(diǎn)發(fā)起節(jié)點(diǎn)間IPSec公鑰的交互請(qǐng)求,也可以作為目標(biāo)端節(jié)點(diǎn)響應(yīng)其它節(jié)點(diǎn)發(fā)起的節(jié)點(diǎn)間IPSec公鑰交互請(qǐng)求,具體的實(shí)現(xiàn)方式根據(jù)具體應(yīng)用場景的差異而存在不同,此處不做限定。
[0123]本發(fā)明實(shí)施例提供一種IPSec公鑰交互方法,首先由請(qǐng)求端節(jié)點(diǎn)查詢自身所在域的第一 DNS服務(wù)器獲取目標(biāo)端節(jié)點(diǎn)所在域的第二 DNS服務(wù)器的地址,進(jìn)而查詢獲取第二 DNS服務(wù)器中存儲(chǔ)的目標(biāo)端節(jié)點(diǎn)的公鑰信息,并向目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行公鑰交互;而后,目標(biāo)端節(jié)點(diǎn)在接收到請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息后查詢自身所在域的第二 DNS服務(wù)器,獲取請(qǐng)求端節(jié)點(diǎn)所在域的第一 DNS服務(wù)器的地址,進(jìn)而查詢獲取第一 DNS服務(wù)器中存儲(chǔ)的請(qǐng)求端節(jié)點(diǎn)的公鑰信息;最后,請(qǐng)求端節(jié)點(diǎn)與目標(biāo)端節(jié)點(diǎn)完成節(jié)點(diǎn)間IPSec公鑰的交互。這樣,通過使用網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中現(xiàn)有的DNS服務(wù)器對(duì)公鑰進(jìn)行存儲(chǔ),查詢自身所在域的DNS服務(wù)器確定存儲(chǔ)了對(duì)端節(jié)點(diǎn)的公鑰信息的DNS服務(wù)器地址,進(jìn)而獲取對(duì)端節(jié)點(diǎn)的公鑰信息,解決了現(xiàn)有技術(shù)中額外部署設(shè)備且需要在各節(jié)點(diǎn)中預(yù)置各PKI系統(tǒng)服務(wù)器地址導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,維護(hù)及管理不便的問題,簡化了維護(hù)及管理操作。
[0124]本發(fā)明實(shí)施例提供一種請(qǐng)求端節(jié)點(diǎn)01,該請(qǐng)求端節(jié)點(diǎn)01可以為一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備,也可以為內(nèi)置于任一現(xiàn)有網(wǎng)絡(luò)設(shè)備中的一個(gè)功能模塊,如圖6所示,該請(qǐng)求端節(jié)點(diǎn)01包括:
[0125]獲取單元011,用于根據(jù)目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第一域名系統(tǒng)DNS服務(wù)器,獲取表不第二 DNS服務(wù)器地址的第一地址信息。
[0126]其中,第一 DNS服務(wù)器為請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器。
[0127]請(qǐng)求單元012,用于根據(jù)第一地址信息,向第二 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息。
[0128]其中,公鑰請(qǐng)求信息包括目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,第二 DNS服務(wù)器中記錄了目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系。
[0129]接收單元013,用于在第二 DNS服務(wù)器根據(jù)公鑰請(qǐng)求信息查詢獲取目標(biāo)端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,接收目標(biāo)端節(jié)點(diǎn)的公鑰信息;
[0130]申請(qǐng)單元014,用于向目標(biāo)端節(jié)點(diǎn)發(fā)送申請(qǐng)信息。
[0131]其中,申請(qǐng)信息包括請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,申請(qǐng)信息用于向目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互。
[0132]交互單元015,用于在目標(biāo)端節(jié)點(diǎn)根據(jù)請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息從第一 DNS服務(wù)器獲取請(qǐng)求端節(jié)點(diǎn)的公鑰信息后,通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與目標(biāo)端節(jié)點(diǎn)完成公鑰的交互。
[0133]需說明的是,其中虛線表示單元之間可以具備連接關(guān)系,也可以不具備直接的連接關(guān)系,比如接收單元013和申請(qǐng)單元014都是用于與裝置外的設(shè)備進(jìn)行交互的,接收單元013可以在獲取目標(biāo)端節(jié)點(diǎn)的公鑰信息之后通知申請(qǐng)單元014,也可以沒有通知,由節(jié)點(diǎn)設(shè)備進(jìn)行統(tǒng)一調(diào)控。
[0134]可選的,上述第一 DNS服務(wù)器與上述第二 DNS服務(wù)器可以為同一個(gè)DNS服務(wù)器。
[0135]本發(fā)明實(shí)施例提供一種請(qǐng)求端節(jié)點(diǎn),首先通過查詢自身所在域的第一 DNS服務(wù)器獲取目標(biāo)端節(jié)點(diǎn)所在域的第二 DNS服務(wù)器的地址,而后查詢第二 DNS服務(wù)器,獲取第二 DNS服務(wù)器中存儲(chǔ)的目標(biāo)端節(jié)點(diǎn)的公鑰信息,并向目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行公鑰交互,最后,在目標(biāo)端節(jié)點(diǎn)獲取自身的公鑰信息后,完成IPSec公鑰的交互。這樣,通過使用網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中現(xiàn)有的DNS服務(wù)器對(duì)公鑰進(jìn)行存儲(chǔ),查詢自身所在域的DNS服務(wù)器確定存儲(chǔ)了對(duì)端節(jié)點(diǎn)的公鑰信息的DNS服務(wù)器地址,進(jìn)而獲取對(duì)端節(jié)點(diǎn)的公鑰信息,解決了現(xiàn)有技術(shù)中額外部署設(shè)備導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,維護(hù)及管理不便的問題,簡化了維護(hù)及管理操作。
[0136]本發(fā)明實(shí)施例還提供一種目標(biāo)端節(jié)點(diǎn)02,該目標(biāo)端節(jié)點(diǎn)02可以為一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備,也可以為內(nèi)置于任一現(xiàn)有網(wǎng)絡(luò)設(shè)備中的一個(gè)功能模塊,如圖7所示,該目標(biāo)端節(jié)點(diǎn)02包括:
[0137]響應(yīng)單元021,用于接收請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息。
[0138]其中,申請(qǐng)信息包括請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,該申請(qǐng)信息用于申請(qǐng)進(jìn)行與請(qǐng)求端節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互。
[0139]獲取單元022,用于根據(jù)請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第二域名系統(tǒng)DNS服務(wù)器,獲取表不第一 DNS服務(wù)器地址的第二地址信息。
[0140]其中,第一 DNS服務(wù)器為請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器。
[0141]請(qǐng)求單元023,用于根據(jù)第二地址信息,向第一 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息。
[0142]其中,公鑰請(qǐng)求信息包括請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,第一 DNS服務(wù)器中記錄了請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系。
[0143]接收單元024,用于在第一 DNS服務(wù)器根據(jù)公鑰請(qǐng)求信息查詢獲取請(qǐng)求端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,接收請(qǐng)求端節(jié)點(diǎn)的公鑰信息;
[0144]交互單元025,用于通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與請(qǐng)求端節(jié)點(diǎn)完成公鑰的交互。
[0145]可選的,上述第一 DNS服務(wù)器與上述第二 DNS服務(wù)器可以為同一個(gè)DNS服務(wù)器。
[0146]本發(fā)明實(shí)施例提供一種目標(biāo)端節(jié)點(diǎn),首先在接收到請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息后查詢自身所在域的第二 DNS服務(wù)器,獲取請(qǐng)求端節(jié)點(diǎn)所在域的第一 DNS服務(wù)器的地址,而后查詢第一 DNS服務(wù)器,獲取第一 DNS服務(wù)器中存儲(chǔ)的請(qǐng)求端節(jié)點(diǎn)的公鑰信息,最后,完成與請(qǐng)求端節(jié)點(diǎn)間IPSec公鑰的交互。這樣,通過使用網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中現(xiàn)有的DNS服務(wù)器對(duì)公鑰進(jìn)行存儲(chǔ),查詢自身所在域的DNS服務(wù)器確定存儲(chǔ)了對(duì)端節(jié)點(diǎn)的公鑰信息的DNS服務(wù)器地址,進(jìn)而獲取對(duì)端節(jié)點(diǎn)的公鑰信息,解決了現(xiàn)有技術(shù)中額外部署設(shè)備導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,維護(hù)及管理不便的問題,簡化了維護(hù)及管理操作。
[0147]本發(fā)明實(shí)施例還提供一種DNS服務(wù)器03,如圖8所示,該DNS服務(wù)器03包括:
[0148]接收單元031,用于接收第一節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息。
[0149]其中,公鑰請(qǐng)求信息包括第二節(jié)點(diǎn)的標(biāo)識(shí)信息,第二節(jié)點(diǎn)為DNS服務(wù)器所在域內(nèi)節(jié)點(diǎn)。
[0150]當(dāng)?shù)谝还?jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn)時(shí),第二節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn),或,當(dāng)?shù)谝还?jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn)時(shí),第二節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn)。
[0151]查詢單元032,用于根據(jù)公鑰請(qǐng)求信息以及DNS服務(wù)器中記錄的第二節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系,查詢獲取第二節(jié)點(diǎn)的公鑰信息;
[0152]發(fā)送單元033,用于向第一節(jié)點(diǎn)發(fā)送第二節(jié)點(diǎn)的公鑰信息,以便第一節(jié)點(diǎn)獲取第二節(jié)點(diǎn)的公鑰信息。
[0153]本發(fā)明實(shí)施例提供一種DNS服務(wù)器,首先接收第一節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息,而后根據(jù)公鑰請(qǐng)求信息指示的第二節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢獲取自身存儲(chǔ)的第二節(jié)點(diǎn)的標(biāo)識(shí)信息對(duì)應(yīng)的公鑰信息,最后,將該公鑰信息發(fā)送至第一節(jié)點(diǎn),以便第一節(jié)點(diǎn)在接收后,完成與第二節(jié)點(diǎn)間IPSec公鑰的交互。這樣,通過使用網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中現(xiàn)有的DNS服務(wù)器對(duì)公鑰進(jìn)行存儲(chǔ),查詢自身所在域的DNS服務(wù)器確定存儲(chǔ)了對(duì)端節(jié)點(diǎn)的公鑰信息的DNS服務(wù)器地址,進(jìn)而獲取對(duì)端節(jié)點(diǎn)的公鑰信息,解決了現(xiàn)有技術(shù)中額外部署設(shè)備導(dǎo)致系統(tǒng)結(jié)構(gòu)復(fù)雜化,維護(hù)及管理不便的問題,簡化了維護(hù)及管理操作。
[0154]在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的系統(tǒng),設(shè)備和方法,可以通過其它的方式實(shí)現(xiàn)。例如,以上所描述的設(shè)備實(shí)施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。
[0155]另外,在本發(fā)明各個(gè)實(shí)施例中的設(shè)備和系統(tǒng)中,各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理包括,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。且上述的各單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。
[0156]實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括:U盤、移動(dòng)硬盤、ROM (Read Only Memory,只讀存儲(chǔ)器)、RAM(Random Access Memory,隨機(jī)存取存儲(chǔ)器)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。
[0157]以上所述,僅為本發(fā)明的【具體實(shí)施方式】,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。
【權(quán)利要求】
1.一種IPSec公鑰交互方法,其特征在于,包括: 請(qǐng)求端節(jié)點(diǎn)根據(jù)目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第一域名系統(tǒng)DNS服務(wù)器,獲取表示第二DNS服務(wù)器地址的第一地址信息,所述第一 DNS服務(wù)器為所述請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,所述第二 DNS服務(wù)器為所述目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器; 所述請(qǐng)求端節(jié)點(diǎn)根據(jù)所述第一地址信息,向所述第二 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括所述目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第二 DNS服務(wù)器中記錄了所述目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系; 在所述第二 DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息查詢獲取所述目標(biāo)端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,所述請(qǐng)求端節(jié)點(diǎn)接收所述目標(biāo)端節(jié)點(diǎn)的公鑰信息; 所述請(qǐng)求端節(jié)點(diǎn)向所述目標(biāo)端節(jié)點(diǎn)發(fā)送申請(qǐng)信息,所述申請(qǐng)信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述申請(qǐng)信息用于向所述目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互; 在所述目標(biāo)端節(jié)點(diǎn)根據(jù)所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息從所述第一 DNS服務(wù)器獲取所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息后,所述請(qǐng)求端節(jié)點(diǎn)通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與所述目標(biāo)端節(jié)點(diǎn)完成公鑰的交互。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于, 所述第一 DNS服務(wù)器與所述第二 DNS服務(wù)器為同一個(gè)DNS服務(wù)器。
3.一種IPSec公鑰交互方法,其特征在于,包括: 目標(biāo)端節(jié)點(diǎn)接收請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息,所述申請(qǐng)信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述申請(qǐng)信息用于申請(qǐng)進(jìn)行與所述請(qǐng)求端節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互; 所述目標(biāo)端節(jié)點(diǎn)根據(jù)所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第二域名系統(tǒng)DNS服務(wù)器,獲取表示第一 DNS服務(wù)器地址的第二地址信息,所述第一 DNS服務(wù)器為所述請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,所述第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器; 所述目標(biāo)端節(jié)點(diǎn)根據(jù)所述第二地址信息,向所述第一 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第一 DNS服務(wù)器中記錄了所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系; 在所述第一 DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息查詢獲取所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,所述目標(biāo)端節(jié)點(diǎn)接收所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息; 所述目標(biāo)端節(jié)點(diǎn)通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與所述請(qǐng)求端節(jié)點(diǎn)完成公鑰的交互。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于, 所述第一 DNS服務(wù)器與所述第二 DNS服務(wù)器為同一個(gè)DNS服務(wù)器。
5.一種IPSec公鑰交互方法,其特征在于,包括: 域名系統(tǒng)DNS服務(wù)器接收第一節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括第二節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第二節(jié)點(diǎn)為所述DNS服務(wù)器所在域內(nèi)節(jié)點(diǎn),當(dāng)所述第一節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn)時(shí),所述第二節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn),或,當(dāng)所述第一節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn)時(shí),所述第二節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn); 所述DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息以及所述DNS服務(wù)器中記錄的所述第二節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系,查詢獲取所述第二節(jié)點(diǎn)的公鑰信息; 所述DNS服務(wù)器向所述第一節(jié)點(diǎn)發(fā)送所述第二節(jié)點(diǎn)的公鑰信息,以便所述第一節(jié)點(diǎn)獲取所述第二節(jié)點(diǎn)的公鑰信息。
6.—種IPSec公鑰交互請(qǐng)求端節(jié)點(diǎn),其特征在于,包括: 獲取單元,用于根據(jù)目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第一域名系統(tǒng)DNS服務(wù)器,獲取表示第二 DNS服務(wù)器地址的第一地址信息,所述第一 DNS服務(wù)器為所述請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,所述第二 DNS服務(wù)器為所述目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器; 請(qǐng)求單元,用于根據(jù)所述第一地址信息,向所述第二 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括所述目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第二 DNS服務(wù)器中記錄了所述目標(biāo)端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系; 接收單元,用于在所述第二 DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息查詢獲取所述目標(biāo)端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,接收所述目標(biāo)端節(jié)點(diǎn)的公鑰信息; 申請(qǐng)單元,用于向所述目標(biāo)端節(jié)點(diǎn)發(fā)送申請(qǐng)信息,所述申請(qǐng)信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述申請(qǐng)信息用于向所述目標(biāo)端節(jié)點(diǎn)申請(qǐng)進(jìn)行節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互; 交互單元,用于在所述目標(biāo)端節(jié)點(diǎn)根據(jù)所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息從所述第一 DNS服務(wù)器獲取所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息后,通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與所述目標(biāo)端節(jié)點(diǎn)完成公鑰的交互。
7.根據(jù)權(quán)利要求6所述的節(jié)點(diǎn),其特征在于, 所述第一 DNS服務(wù)器與所述第二 DNS服務(wù)器為同一個(gè)DNS服務(wù)器。
8.—種IPSec公鑰交互目標(biāo)端節(jié)點(diǎn),其特征在于,包括: 響應(yīng)單元,用于接收請(qǐng)求端節(jié)點(diǎn)發(fā)送的申請(qǐng)信息,所述申請(qǐng)信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述申請(qǐng)信息用于申請(qǐng)進(jìn)行與所述請(qǐng)求端節(jié)點(diǎn)間的互聯(lián)網(wǎng)安全協(xié)定IPSec公鑰交互; 獲取單元,用于根據(jù)所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,查詢第二域名系統(tǒng)DNS服務(wù)器,獲取表示第一 DNS服務(wù)器地址的第二地址信息,所述第一 DNS服務(wù)器為所述請(qǐng)求端節(jié)點(diǎn)所在域的DNS服務(wù)器,所述第二 DNS服務(wù)器為目標(biāo)端節(jié)點(diǎn)所在域的DNS服務(wù)器; 請(qǐng)求單元,用于根據(jù)所述第二地址信息,向所述第一 DNS服務(wù)器發(fā)送公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第一 DNS服務(wù)器中記錄了所述請(qǐng)求端節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系; 接收單元,用于在所述第一 DNS服務(wù)器根據(jù)所述公鑰請(qǐng)求信息查詢獲取所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息并反饋發(fā)送后,接收所述請(qǐng)求端節(jié)點(diǎn)的公鑰信息; 交互單元,用于通過互聯(lián)網(wǎng)密鑰交換IKE協(xié)議與所述請(qǐng)求端節(jié)點(diǎn)完成公鑰的交互。
9.根據(jù)權(quán)利要求8所述的節(jié)點(diǎn),其特征在于, 所述第一 DNS服務(wù)器與所述第二 DNS服務(wù)器為同一個(gè)DNS服務(wù)器。
10.一種IPSec公鑰交互DNS服務(wù)器,其特征在于,包括: 接收單元,用于接收第一節(jié)點(diǎn)發(fā)送的公鑰請(qǐng)求信息,所述公鑰請(qǐng)求信息包括第二節(jié)點(diǎn)的標(biāo)識(shí)信息,所述第二節(jié)點(diǎn)為所述DNS服務(wù)器所在域內(nèi)節(jié)點(diǎn),當(dāng)所述第一節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn)時(shí),所述第二節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn),或,當(dāng)所述第一節(jié)點(diǎn)為目標(biāo)端節(jié)點(diǎn)時(shí),所述第二節(jié)點(diǎn)為請(qǐng)求端節(jié)點(diǎn); 查詢單元,用于根據(jù)所述公鑰請(qǐng)求信息以及所述DNS服務(wù)器中記錄的所述第二節(jié)點(diǎn)的標(biāo)識(shí)信息與公鑰信息的對(duì)應(yīng)關(guān)系,查詢獲取所述第二節(jié)點(diǎn)的公鑰信息; 發(fā)送單元,用于向所述第一節(jié)點(diǎn)發(fā)送所述第二節(jié)點(diǎn)的公鑰信息,以便所述第一節(jié)點(diǎn)獲取所述第二節(jié)點(diǎn)的公鑰信息。
【文檔編號(hào)】H04L9/30GK104243150SQ201410450144
【公開日】2014年12月24日 申請(qǐng)日期:2014年9月5日 優(yōu)先權(quán)日:2014年9月5日
【發(fā)明者】白曉媛, 王光全, 夏俊杰, 馬錚, 賈亦辰, 朱安南, 唐磊, 高楓, 俞播 申請(qǐng)人:中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司