技術(shù)領(lǐng)域

本公開涉及IPv6網(wǎng)絡(luò)，特別地，涉及一種基于IPSec（Internet Protocol Security）VPN（Virtual Private Network，虛擬專用網(wǎng)）的通信方法、裝置與系統(tǒng)。

背景技術(shù)

IPSec VPN技術(shù)是一種在通信兩端進(jìn)行報(bào)文加密以防止報(bào)文被截獲、篡改的安全保密技術(shù)。

一般情況下，IPSec VPN的通信建立包括如下幾個(gè)過程：

第一階段：協(xié)商階段，該階段一般采用ISAKMP（Internet Security Association and Key Management Protocol，Internet安全連接和密鑰管理協(xié)議）協(xié)議來完成共享密鑰、加密算法與認(rèn)證機(jī)制的協(xié)商。

第二階段：在ISAKMP保護(hù)機(jī)制的基礎(chǔ)上，建立IPSec SA（Security Association，安全聯(lián)盟）階段，SA包含了通信所需要的安全密鑰與具體的IPSec類型，其中，具體的IPSec類型為AH（Authentication Head，認(rèn)證頭）或者ESP（Encapsulating Security Payload，封裝安全載荷）等。

第三階段：在隨后的通信過程中將按照協(xié)商的各種算法、認(rèn)證機(jī)制、加密密鑰等對(duì)通信報(bào)文進(jìn)行加密。

由此可見，IPSec VPN的安全性完全取決于加密算法的強(qiáng)度，一旦加密算法出現(xiàn)問題或者密鑰交互被攻擊，就有可能導(dǎo)致通信被監(jiān)聽。此外，在網(wǎng)絡(luò)中如果對(duì)整個(gè)IPSec VPN的通信過程進(jìn)行監(jiān)聽，并將所有報(bào)文保存下來，通過字典攻擊、暴力破解等方法也有可能對(duì)整個(gè)通信過程進(jìn)行解密。

綜上所述，目前現(xiàn)有的IPSec VPN技術(shù)存在一定的安全漏洞。

發(fā)明內(nèi)容

本公開鑒于以上問題中的至少一個(gè)提出了新的技術(shù)方案。

本公開在其一個(gè)方面提供了一種基于IPSec VPN的通信方法，其可以提升IPv6網(wǎng)絡(luò)中的IPSec VPN的安全性。

本公開在其另一方面提供了一種基于IPSec VPN的通信裝置，其可以提升IPv6網(wǎng)絡(luò)中的IPSec VPN的安全性。

本公開在其又一方面提供了一種基于IPSec VPN的通信系統(tǒng)，其可以提升IPv6網(wǎng)絡(luò)中的IPSec VPN的安全性。

根據(jù)本公開，提供一種基于IPSec VPN的通信方法，包括：

在安全聯(lián)盟建立過程中，通信發(fā)起方定義多個(gè)第一IPv6地址并利用多個(gè)第一IPv6地址形成IPv6地址列表；

將IPv6地址列表發(fā)送至通信接收方；

接收通信接收方反饋的IPv6地址列表，反饋的IPv6地址列表中增加了通信接收方根據(jù)多個(gè)第一IPv6地址生成的多個(gè)第二IPv6地址，利用多個(gè)第二IPv6地址與多個(gè)第一IPv6地址在反饋的IPv6地址列表中形成多個(gè)IPv6地址對(duì)；

利用反饋的IPv6地址列表中的多個(gè)IPv6地址對(duì)建立多個(gè)通信連接；

動(dòng)態(tài)選擇反饋的IPv6地址列表中的任一個(gè)IPv6地址對(duì)進(jìn)行通信。

在本公開的一些實(shí)施例中，多個(gè)第一IPv6地址具有相同的地址前綴，不同的接口地址；多個(gè)第二IPv6地址具有相同的地址前綴，不同的接口地址。

在本公開的一些實(shí)施例中，動(dòng)態(tài)選擇反饋的IPv6地址列表中的任一個(gè)IPv6地址對(duì)的方式包括按通信時(shí)間的不同進(jìn)行選擇、按發(fā)送報(bào)文的大小進(jìn)行選擇、按約定的隨機(jī)碼的不同進(jìn)行選擇、以及按累計(jì)字節(jié)數(shù)量進(jìn)行選擇。

在本公開的一些實(shí)施例中，通信接收方根據(jù)多個(gè)第一IPv6地址的個(gè)數(shù)生成與多個(gè)第一IPv6地址個(gè)數(shù)相同的多個(gè)第二IPv6地址。

根據(jù)本公開，還提供了一種基于IPSec VPN的通信裝置，包括：

IPv6地址列表形成單元，用于在安全聯(lián)盟建立過程中定義多個(gè)第一IPv6地址，并利用多個(gè)第一IPv6地址形成IPv6地址列表；

地址列表發(fā)送單元，用于將IPv6地址列表發(fā)送至通信接收方；

地址列表接收單元，用于接收通信接收方反饋的IPv6地址列表，反饋的IPv6地址列表中增加了通信接收方根據(jù)多個(gè)第一IPv6地址生成的多個(gè)第二IPv6地址，利用多個(gè)第二IPv6地址與多個(gè)第一IPv6地址在反饋的IPv6地址列表中形成多個(gè)IPv6地址對(duì)；

通信連接建立單元，用于利用反饋的IPv6地址列表中的多個(gè)IPv6地址對(duì)建立多個(gè)通信連接；

地址對(duì)選擇單元，用于動(dòng)態(tài)選擇反饋的IPv6地址列表中的任一個(gè)IPv6地址對(duì)進(jìn)行通信。