IPsec自动协商携资源入网的方法和系统及存储介质技术方案

本发明专利技术涉及通信技术领域，具体涉及一种IPsec自动协商携资源入网的方法和系统及存储介质，目的在于提高构建IPsec隧道的效率。本发明专利技术提出的IPsec自动协商携资源入网的方法包括：中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙，以使第一防火墙和第二防火墙进行隧道协商，从而建立第三IPsec隧道。其中，第一IPsec策略包括：第二防火墙的地址；第二IPsec策略包括：第一防火墙的地址。本发明专利技术的自动协商方法提高了IPsec协商的效率，降低了维护成本。降低了维护成本。降低了维护成本。

【技术实现步骤摘要】
IPsec自动协商携资源入网的方法和系统及存储介质


[0001]本专利技术涉及通信
，具体涉及一种IPsec自动协商携资源入网的方法和系统及存储介质。

技术介绍

[0002]互联网安全协议(Intemet Protocol security，IPsec)，是一个协议簇，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇。IPsec依靠密码技术保护各种环境中的通信，包括在专用网中计算机之间的通信链路，公司站点之间的链路，以及拨号用户和公司LAN之间的链路等。
[0003]图1是两台计算机之间通过互联网进行通信的示意图。如图1所示，如果PCI想要和PC2进行加密通信，需要在两台防火墙中间建立IPsec隧道，两台防火墙需要配置各自的IPsec策略来建立IPsec通信。图2是一个中心机构与多个分支机构之间通过公网连接的拓扑环境示意图。如图2所示，分别位于三个分支机构中的计算机PC
‑
A、PC
‑
B、PC
‑
C和分支服务器A、分支服务器B、分支服务器C均通过各自的防火墙接入公网，位于中心机构的中心服务器1、中心服务器2、中心服务器3通过中心防火墙接入公网。在图2的拓扑环境中，如果计算机PC
‑
A想要访问中心服务器和其他分支服务器的资源，需要在分支防火墙A和其他各台防火墙之间都建立一条隧道，当分支机构不断增多时，此时在配置防火墙IPsec策略时，对应关系是1：N的关系，导致防火墙配置非常复杂，人力维护不但效率低，而且成本很高。r/>
技术实现思路

[0004]为了解决现有技术中的上述问题，本专利技术提出了一种IPsec自动协商携资源入网的方法和系统及存储介质，提高了IPsec协商的效率，降低了维护成本。
[0005]本专利技术第一方面，提出了一种IPsec自动协商携资源入网的方法，所述方法包括：
[0006]中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙，以使所述第一防火墙和所述第二防火墙进行隧道协商，从而建立第三IPsec隧道；
[0007]其中，
[0008]所述第一IPsec策略包括：所述第二防火墙的地址；
[0009]所述第二IPsec策略包括：所述第一防火墙的地址；
[0010]所述第一IPsec隧道位于中心端防火墙与第一防火墙之间；
[0011]所述第二IPsec隧道位于所述中心端防火墙与第二防火墙之间；
[0012]所述第一防火墙、所述第二防火墙和所述中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙。
[0013]优选地，在“中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙”之前，所述方法还包括：
[0014]所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址生成所述第一IPsec策略和所述第二IPsec策略。
[0015]优选地，在“所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址生成所述第一IPsec策略和所述第二IPsec策略”之前，所述方法还包括：
[0016]所述中心端服务器接收所述资源请求端发来的协商请求，所述协商请求包括：所述第一防火墙的地址，以及所述资源请求端想要访问的资源响应端的地址；
[0017]根据所述资源响应端的地址，获取所述第二防火墙的地址。
[0018]优选地，“根据所述资源响应端的地址，获取所述第二防火墙的地址”的步骤包括：
[0019]根据所述资源响应端的地址，通过查询预先记录的注册信息获取所述第二防火墙的地址；
[0020]其中，
[0021]所述注册信息包括：所述资源响应端的地址，以及与所述资源响应端的地址绑定的第二防火墙的地址。
[0022]本专利技术的第二方面，提出了另一种IPsec自动协商携资源入网的方法，所述方法包括：
[0023]资源请求端通过预先建立的第一IPsec隧道向中心端服务器发送协商请求，以使所述中心端服务器生成第一IPsec策略和第二IPsec策略，并将所述第一IPsec策略和所述第二IPsec策略分别通过所述第一IPsec隧道和预先建立的第二IPsec隧道发送到第一防火墙和第二防火墙，进而使所述第一防火墙和所述第二防火墙进行隧道协商，建立第三IPsec隧道；
[0024]其中，
[0025]所述协商请求包括：所述第一防火墙的地址，以及所述资源请求端想要访问的资源响应端的地址；
[0026]所述第一IPsec策略包括：所述第二防火墙的地址；
[0027]所述第二IPsec策略包括：所述第一防火墙的地址；
[0028]所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙；
[0029]所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间；
[0030]所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间；
[0031]所述第二防火墙的地址预先记录在存储器中，并与所述资源响应端的地址绑定，能够被所述中心端服务器所获取。
[0032]本专利技术的第三方面，提出了第三种IPsec自动协商携资源入网的方法，所述方法包括：
[0033]第一防火墙通过预先建立的第一IPsec隧道，接收中心端服务器发来的第一IPsec策略；
[0034]根据所述第一IPsec策略与第二防火墙进行隧道协商，从而建立第三IPsec隧道；
[0035]其中，
[0036]所述第二防火墙与所述第一防火墙进行隧道协商时，依据的策略为第二IPsec策略，所述第二IPsec策略为所述第二防火墙通过预先建立的第二IPsec隧道接收的所述中心
端服务器发来的信息；
[0037]所述第一IPsec策略包括：所述第二防火墙的地址；
[0038]所述第二IPsec策略包括：所述第一防火墙的地址；
[0039]所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙；
[0040]所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间；
[0041]所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
[0042]本专利技术的第四方面，提出了第四种IPsec自动协商携资源入网的方法，所述方法包括：
[0043]第二防火墙通过预先建立的第二IPsec隧道，接收中心端服务器发来的第二IPsec策略；
[0044]根据所述第二IPsec策略与第一防火墙进行隧道协商，从而建立第三IPsec隧道；
[0045]其中，
[0046]所述第一防火墙与所述第二防火墙进行协商时，依据的策略为第一IP本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种IPsec自动协商携资源入网的方法，其特征在于，所述方法包括：中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙，以使所述第一防火墙和所述第二防火墙进行隧道协商，从而建立第三IPsec隧道；其中，所述第一IPsec策略包括：所述第二防火墙的地址；所述第二IPsec策略包括：所述第一防火墙的地址；所述第一IPsec隧道位于中心端防火墙与第一防火墙之间；所述第二IPsec隧道位于所述中心端防火墙与第二防火墙之间；所述第一防火墙、所述第二防火墙和所述中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙。2.根据权利要求1所述的IPsec自动协商携资源入网的方法，其特征在于，在“中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙”之前，所述方法还包括：所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址生成所述第一IPsec策略和所述第二IPsec策略。3.根据权利要求2所述的IPsec自动协商携资源入网的方法，其特征在于，在“所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址生成所述第一IPsec策略和所述第二IPsec策略”之前，所述方法还包括：所述中心端服务器接收所述资源请求端发来的协商请求，所述协商请求包括：所述第一防火墙的地址，以及所述资源请求端想要访问的资源响应端的地址；根据所述资源响应端的地址，获取所述第二防火墙的地址。4.根据权利要求3所述的IPsec自动协商携资源入网的方法，其特征在于，“根据所述资源响应端的地址，获取所述第二防火墙的地址”的步骤包括：根据所述资源响应端的地址，通过查询预先记录的注册信息获取所述第二防火墙的地址；其中，所述注册信息包括：所述资源响应端的地址，以及与所述资源响应端的地址绑定的第二防火墙的地址。5.一种IPsec自动协商携资源入网的方法，其特征在于，所述方法包括：资源请求端通过预先建立的第一IPsec隧道向中心端服务器发送协商请求，以使所述中心端服务器生成第一IPsec策略和第二IPsec策略，并将所述第一IPsec策略和所述第二IPsec策略分别通过所述第一IPsec隧道和预先建立的第二IPsec隧道发送到第一防火墙和第二防火墙，进而使所述第一防火墙和所述第二防火墙进行隧道协商，建立第三IPsec隧道；其中，所述协商请求包括：所述第一防火墙的地址，以及所述资源请求端想要访问的资源响应端的地址；所述第一IPsec策略包括：所述第二防火墙的地址；
所述第二IPsec策略包括：所述第一防火墙的地址；所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙；所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间；所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间；所述第二防火墙的地址预先记录在存储器中，并与所述资源响应端的地址绑定，能够被所述中心端服务器所获取。6.一种IPsec自动协商携资源入网的方法，其特征在于，所述方法包括：第一防火墙通过预先建立的第一IPsec隧道，接收中心端服务器发来的第一IPsec策略；根据所述第一IPsec策略与第二防火墙进行隧道协商，从而建立第三IPsec隧道；其中，所述第二防火墙与所述第一防火墙进行隧道协商时，依据的策略为第二IPsec策略，所述第二IPsec策略为所述第二防火墙通过预先建立的第二IPsec隧道接收的所述中心端服务器发来的信息；所述第一IPsec策略包括：所述第二防火墙的地址；所述第二IPsec策略包括：所述第一防火墙的地址；所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙；所述第一IPsec隧道位于所述中心端防火墙与所述第一防火...

【专利技术属性】
技术研发人员：原金森，隋鹤，范鸿雷，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：