[发明专利]一种IPsec隧道的建立方法和设备

权利要求书

1.一种IP安全IPsec隧道的建立方法，该方法应用于包括中心设备和多个分支设备的网络中，其特征在于，所述方法包括以下步骤：

所述中心设备获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息，并记录各第一数据流信息与各身份信息之间的对应关系；所述各第一数据流信息没有交集；

所述中心设备接收来自分支设备的第二数据流信息，利用所述分支设备的身份信息查询所述对应关系，得到所述身份信息对应的第一数据流信息；

当第一数据流信息与第二数据流信息相同时，所述中心设备确定第一数据流信息为分支设备使用的数据流信息，并向分支设备发送第一数据流信息，以使所述分支设备利用所述第一数据流信息与中心设备建立IPsec隧道；

当第一数据流信息与第二数据流信息不同时，所述中心设备确定第一数据流信息为分支设备使用的数据流信息，向分支设备发送第一数据流信息，以使分支设备将自身维护的第二数据流信息修改为第一数据流信息，并利用第一数据流信息与中心设备建立IPsec隧道。

2.如权利要求1所述的方法，其特征在于，所述中心设备获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息的过程，具体包括：

所述中心设备从本地配置中获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息；或者，所述中心设备从指定服务器上获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息。

3.如权利要求1所述的方法，其特征在于，所述中心设备接收来自分支设备的第二数据流信息，利用所述分支设备的身份信息查询所述对应关系，得到所述身份信息对应的第一数据流信息的过程，具体包括：

所述中心设备在互联网密钥交换IKE安全联盟SA建立过程中，获得并记录分支设备的身份信息；所述中心设备在IPsec SA建立过程中，接收来自所述分支设备的第二数据流信息，并利用IKE SA建立过程中记录的分支设备的身份信息查询所述对应关系，得到所述身份信息对应的第一数据流信息。

4.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

当第一数据流信息与第二数据流信息不同时，所述中心设备确定所述分支设备上配置的数据流信息存在配置错误，并提示配置错误的信息。

5.如权利要求1所述的方法，其特征在于，所述中心设备确定第一数据流信息为分支设备使用的数据流信息之后，所述方法进一步包括：

所述中心设备在收到匹配所述第一数据流信息的数据报文后，利用IPsec隧道对所述数据报文进行IPsec保护，并向所述分支设备发送所述数据报文。

6.一种中心设备，应用于包括所述中心设备和多个分支设备的网络中，其特征在于，所述中心设备具体包括：

获取模块，用于获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息，并记录各第一数据流信息与各身份信息之间的对应关系；所述各第一数据流信息没有交集；

查询模块，用于接收来自分支设备的第二数据流信息，利用所述分支设备的身份信息查询所述对应关系，得到所述身份信息对应的第一数据流信息；

处理模块，用于当第一数据流信息与第二数据流信息相同时，确定第一数据流信息为分支设备使用的数据流信息，并向分支设备发送第一数据流信息，以使所述分支设备利用所述第一数据流信息与中心设备建立IP安全IPsec隧道；当第一数据流信息与第二数据流信息不同时，确定第一数据流信息为分支设备使用的数据流信息，向分支设备发送第一数据流信息，以使分支设备将自身维护的第二数据流信息修改为第一数据流信息，并利用第一数据流信息与中心设备建立IPsec隧道。

7.如权利要求6所述的中心设备，其特征在于，

所述获取模块，具体用于在获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息的过程中，从中心设备的本地配置中获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息；或者，从指定服务器上获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息。