[发明专利]因特网安全协议隧道建立方法和装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种因特网安全协议隧道建立方法和装置。

背景技术

虚拟专用网（Virtual Private Network，简称：VPN）能够利用因特网（Internet）或其它公共互联网络基础设备为用户创造虚拟的逻辑网络，具有与私有网络相同的安全性、易管理性和稳定性。基于因特网安全协议（Internet Protocol Security，简称：IPSEC）来创建VPN是目前应用最广泛的VPN技术。然而对部署IPSEC技术的设备进行配置由于涉及到大量参数而成为一项复杂的任务。

现有技术中，客户端中配置有客户端的标识（Identity，简称：ID）、密码和服务器因特网协议（Internet Protocol，简称：IP）地址，然后客户端与该服务器根据客户端的ID进行协商获得第一阶段配置参数，也就是因特网密钥交换（Internet key exchange，简称：IKE）阶段参数；然后客户端向服务器发送默认的本地至任意（local to any）感兴趣流信息，local为客户端的网络网段地址，any为任何网络地址，并与服务器进行协商获得第二阶段配置参数，也就是IPSEC阶段参数，从而在该客户端与服务器之间成功建立IPSEC隧道。

然而，现有技术该IPSEC隧道对应的感兴趣流为一条local to any的感兴趣流，因此，客户端发送到互联网的数据也满足local to any的感兴趣流规则，会被IPSEC隧道发送至服务器，而不能直接访问互联网；同时每个客户端发送的数据均满足local to any的感兴趣流规则，会被IPSEC隧道发送至服务器，可以访问服务器身后所有需要保护的网络，从而降低了安全性。

发明内容

本发明提供一种因特网安全协议隧道建立方法和装置，用于使得客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络，还可以直接访问互联网，同时实现了IPSEC隧道建立的安全性、通用性和灵活性。

第一方面，本发明实施例提供一种因特网安全协议隧道建立方法，包括：客户端接收服务器发送的N个感兴趣流信息，所述N为大于等于1的整数，所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址；所述客户端根据所述N个感兴趣流信息建立N个感兴趣流；所述客户端根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道，所述M为小于等于所述N的整数。

第二方面，本发明实施例提供一种因特网安全协议隧道建立方法，包括：服务器向客户端发送N个感兴趣流信息，以使所述客户端根据所述N个感兴趣流信息建立N个感兴趣流，所述N为大于等于1的整数，所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址；所述服务器根据M个所述感兴趣流信息对应的M个感兴趣流与所述客户端之间建立M个IPSEC隧道，所述M为小于等于所述N的整数。

第三方面，本发明实施例提供一种客户端，包括：接收单元，用于接收服务器发送的N个感兴趣流信息，所述N为大于等于1的整数，所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器身后的一个网络网段地址；第一建立单元，用于根据所述N个感兴趣流信息建立N个感兴趣流；第二建立单元，用于根据M个所述感兴趣流与所述服务器之间建立M个IPSEC隧道，所述M为小于等于所述N的整数。

第四方面，本发明实施例提供一种服务器，其特征在于，包括：发送单元，用于向客户端发送N个感兴趣流信息，以使所述客户端根据所述N个感兴趣流信息建立N个感兴趣流，所述N为大于等于1的整数，所述N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址；建立单元，用于根据M个所述感兴趣流信息对应的M个感兴趣流与所述客户端之间建立M个IPSEC隧道，所述M为小于等于所述N的整数。

本发明实施例提供的因特网安全协议隧道建立方法和装置，通过客户端接收服务器发送的N个感兴趣流信息，N为大于等于1的整数，N个感兴趣流信息分别包括客户端的一个网络网段地址和服务器的一个网络网段地址，根据N个感兴趣流信息建立N个感兴趣流，并根据M个感兴趣流与服务器之间建立M个IPSEC隧道，M为小于等于N的整数，由于客户端建立了精确的感兴趣流，从而使得客户端通过IPSEC隧道可以访问服务器身后的与感兴趣流相匹配的网络，还可以直接访问互联网，同时实现了IPSEC隧道建立的安全性和灵活性。

附图说明

图1为本发明因特网安全协议隧道建立方法实施例一的流程示意图；