[发明专利]基于IPSecVPN的通信方法、装置与系统

说明书

技术领域

本公开涉及IPv6网络，特别地，涉及一种基于IPSec（Internet Protocol Security）VPN（Virtual Private Network，虚拟专用网）的通信方法、装置与系统。

背景技术

IPSec VPN技术是一种在通信两端进行报文加密以防止报文被截获、篡改的安全保密技术。

一般情况下，IPSec VPN的通信建立包括如下几个过程：

第一阶段：协商阶段，该阶段一般采用ISAKMP（Internet Security Association and Key Management Protocol，Internet安全连接和密钥管理协议）协议来完成共享密钥、加密算法与认证机制的协商。

第二阶段：在ISAKMP保护机制的基础上，建立IPSec SA（Security Association，安全联盟）阶段，SA包含了通信所需要的安全密钥与具体的IPSec类型，其中，具体的IPSec类型为AH（Authentication Head，认证头）或者ESP（Encapsulating Security Payload，封装安全载荷）等。

第三阶段：在随后的通信过程中将按照协商的各种算法、认证机制、加密密钥等对通信报文进行加密。

由此可见，IPSec VPN的安全性完全取决于加密算法的强度，一旦加密算法出现问题或者密钥交互被攻击，就有可能导致通信被监听。此外，在网络中如果对整个IPSec VPN的通信过程进行监听，并将所有报文保存下来，通过字典攻击、暴力破解等方法也有可能对整个通信过程进行解密。

综上所述，目前现有的IPSec VPN技术存在一定的安全漏洞。

发明内容

本公开鉴于以上问题中的至少一个提出了新的技术方案。

本公开在其一个方面提供了一种基于IPSec VPN的通信方法，其可以提升IPv6网络中的IPSec VPN的安全性。

本公开在其另一方面提供了一种基于IPSec VPN的通信装置，其可以提升IPv6网络中的IPSec VPN的安全性。

本公开在其又一方面提供了一种基于IPSec VPN的通信系统，其可以提升IPv6网络中的IPSec VPN的安全性。

根据本公开，提供一种基于IPSec VPN的通信方法，包括：

在安全联盟建立过程中，通信发起方定义多个第一IPv6地址并利用多个第一IPv6地址形成IPv6地址列表；

将IPv6地址列表发送至通信接收方；

接收通信接收方反馈的IPv6地址列表，反馈的IPv6地址列表中增加了通信接收方根据多个第一IPv6地址生成的多个第二IPv6地址，利用多个第二IPv6地址与多个第一IPv6地址在反馈的IPv6地址列表中形成多个IPv6地址对；

利用反馈的IPv6地址列表中的多个IPv6地址对建立多个通信连接；

动态选择反馈的IPv6地址列表中的任一个IPv6地址对进行通信。

在本公开的一些实施例中，多个第一IPv6地址具有相同的地址前缀，不同的接口地址；多个第二IPv6地址具有相同的地址前缀，不同的接口地址。

在本公开的一些实施例中，动态选择反馈的IPv6地址列表中的任一个IPv6地址对的方式包括按通信时间的不同进行选择、按发送报文的大小进行选择、按约定的随机码的不同进行选择、以及按累计字节数量进行选择。

在本公开的一些实施例中，通信接收方根据多个第一IPv6地址的个数生成与多个第一IPv6地址个数相同的多个第二IPv6地址。

根据本公开，还提供了一种基于IPSec VPN的通信装置，包括：

IPv6地址列表形成单元，用于在安全联盟建立过程中定义多个第一IPv6地址，并利用多个第一IPv6地址形成IPv6地址列表；

地址列表发送单元，用于将IPv6地址列表发送至通信接收方；

地址列表接收单元，用于接收通信接收方反馈的IPv6地址列表，反馈的IPv6地址列表中增加了通信接收方根据多个第一IPv6地址生成的多个第二IPv6地址，利用多个第二IPv6地址与多个第一IPv6地址在反馈的IPv6地址列表中形成多个IPv6地址对；

通信连接建立单元，用于利用反馈的IPv6地址列表中的多个IPv6地址对建立多个通信连接；

地址对选择单元，用于动态选择反馈的IPv6地址列表中的任一个IPv6地址对进行通信。