[发明专利]通信方法及装置

权利要求书

1.一种通信方法，其特征在于，所述方法应用于第一分支设备，所述第一分支设备接入中心设备，并与所述中心设备建立第一IPSec隧道，所述方法包括；

通过所述第一IPSec隧道，向所述中心设备发送第一报文，所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息，以使得所述中心设备根据所述第二分支设备的身份信息，确定已与所述第二分支设备建立第二IPSec隧道时，通过所述第二IPSec隧道，向所述第二分支设备发送第二报文，所述第二报文包括所述第一分支设备生成的公钥；

通过所述第一IPSec隧道，接收所述中心设备转发的由所述第二分支设备发送的第三报文，所述第三报文为所述第二分支设备利用所述公钥计算出私钥且利用所述私钥验证通过所述第一分支设备与所述第二分支设备交互的全部报文后，向所述中心设备发送；

若利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述全部报文，则生成第一IPSec SA。

2.根据权利要求1所述的方法，其特征在于，所述通过所述第一IPSec隧道，向所述中心设备发送第一报文之前，所述方法还包括：

与所述第二分支设备进行IKE安全策略协商；

当所述IKE安全策略协商成功后，生成所述公钥。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

通过所述第一IPSec隧道，接收所述中心设备发送的第四报文，所述第四报文为所述中心设备根据所述第二分支设备的身份信息，确定出未与所述第二分支设备建立所述第二IPSec隧道时发送；

根据所述第四报文，与所述第二分支设备进行密钥协商。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

通过所述第一IPSec隧道，向所述中心设备发送第五报文，所述第五报文通过所述私钥进行加密，以使得所述中心设备通过所述第二IPSec隧道，向所述第二分支设备转发所述第五报文，所述第二分支设备利用计算出的私钥对所述第五报文进行解密处理且对所述第一分支设备的身份认证成功后，生成第二IPSec SA。

5.根据权利要求3所述的方法，其特征在于，所述第一报文、所述第四报文由所述第一IPSec隧道对应的密钥进行加解密处理；所述第二报文由所述第二IPSec隧道对应的密钥进行加解密处理。

6.一种通信方法，其特征在于，所述方法应用于第二分支设备，所述第二分支设备接入中心设备，并与所述中心设备建立第二IPSec隧道，所述方法包括；

通过所述第二IPSec隧道，接收所述中心设备发送的第二报文，所述第二报文包括第一分支设备生成的公钥；

利用所述公钥计算出的私钥验证所述第一分支设备与所述第二分支设备交互的全部报文通过后，通过所述第二IPSec隧道，向所述中心设备发送第三报文，所述第三报文通过所述私钥进行加密，以使得所述中心设备通过与所述第一分支设备建立的第一IPSec隧道向所述第一分支设备转发所述第三报文，所述第一分支设备利用所述公钥计算出的私钥可对所述第三报文进行解密处理且验证通过所述第一分支设备与所述第二分支设备交互的全部报文后，生成第一IPSec SA。

7.根据权利要求6所述的方法，其特征在于，所述通过所述第二IPSec隧道，接收所述中心设备发送的第二加密报文之前，所述方法还包括：

与所述第一分支设备进行IKE安全策略协商。

8.根据权利要求6所述的方法，其特征在于，所述方法还包括：

通过所述第二IPSec隧道，接收所述中心设备转发的由所述第一分支设备发送的第五报文，所述第五报文为所述第一分支设备利用计算出的私钥进行加密后得到；

若所述私钥可对所述第五报文进行解密处理且对所述第一分支设备身份的身份认证成功，则生成第二IPSec SA。

9.根据权利要求6所述的方法，其特征在于，所述第二报文由所述第二IPSec隧道对应的密钥进行加解密处理。