一种IPSec公钥交互方法、节点和DNS服务器

本发明涉及通信领域，尤其涉及一种IPSec公钥交互方法、节点 和DNS服务器。

IPSec(Internet Protocol Security，互联网安全协定)是通过对IP (Internet Protocol，互联网协议)的分组进行加密和认证来保护IP 的网络传输协议族，用以提供公用和专用网络的端对端加密和验证服 务。IPSec中包括IKE(Internet Key Exchange，互联网密钥交换)协 议，该IKE协议用以动态地建立和维护SA(Security Association，安 全联盟)以实现密钥的安全交互，SA为用来建立两个主机间安全通 信的一组参数，可适用于较复杂和安全性要求较高的网络。

IKE协议执行两个阶段的操作，第一阶段通信双方建立一个通过 公钥交互进行身份认证和安全保护的隧道，称为ISAKMP(Internet  Security Association and Key Management Protocol，互联网安全关联 和密钥管理协议)SA，以便第二阶段使用ISAKMP SA建立IPSec隧 道。现有技术中，在IKE协议第一阶段，常采用PKI(Public Key  Infrastructure，公钥基础设施)/CA(Certificate Authority，认证中心) 证书验证技术。该技术通过网络中部署的一个或多个PKI系统服务 器，在由第三方可信任机构提供的CA将各通信方的公钥与签发的各 数字证书进行捆绑后，对各证书进行相应存储；在根据IKE协议发 起通信双发的公钥交互时，通信各端设备根据自身预置的各PKI系统 服务器地址，访问相应的PKI系统服务器获取通信对端所对应的证 书，或导入由外部人工操作方式(如磁盘、等)，从相应的 PKI系统服务器取得的所需证书；进而根据获得的证书中包含的通信 对端公钥完成交互认证。

由于PKI系统对公钥进行维护，无需用户手动输入，保证了通信 双方身份认证的真实性和正确性，且PKI系统使用的密钥类型为具有 抗否认性的非对称密钥，可适应不同应用场景。然而，采用PKI/CA 证书验证技术，需要额外部署PKI系统并在各通信端设备中预置各 PKI系统服务器地址，且当某一通信端设备未预置对端所对应的PKI 系统服务器地址或该PKI系统服务器离线时，还需要人工操作才能实 现通信对端证书的导入。导致系统结构复杂化，为系统维护及管理操 作造成不便。

本发明的实施例提供一种IPSec公钥交互方法、节点和DNS服 务器，用以解决额外引入设备造成系统结构复杂化、维护及管理操作 不便的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种IPSec公钥交互方法，包括：

请求端节点根据目标端节点的标识信息，查询第一域名系统DNS 服务器，获取表示第二DNS服务器地址的第一地址信息，所述第一 DNS服务器为所述请求端节点所在域的DNS服务器，所述第二DNS 服务器为所述目标端节点所在域的DNS服务器；

所述请求端节点根据所述第一地址信息，向所述第二DNS服务 器发送公钥请求信息，所述公钥请求信息包括所述目标端节点的标识 信息，所述第二DNS服务器中记录了所述目标端节点的标识信息与 公钥信息的对应关系；

在所述第二DNS服务器根据所述公钥请求信息查询获取所述目 标端节点的公钥信息并反馈发送后，所述请求端节点接收所述目标端 节点的公钥信息；

所述请求端节点向所述目标端节点发送申请信息，所述申请信息 包括所述请求端节点的标识信息，所述申请信息用于向所述目标端节 点申请进行节点间的互联网安全协定IPSec公钥交互；

在所述目标端节点根据所述请求端节点的标识信息从所述第一 DNS服务器获取所述请求端节点的公钥信息后，所述请求端节点通 过互联网密钥交换IKE协议与所述目标端节点完成公钥的交互。

第二方面，提供一种IPSec公钥交互方法，包括：

目标端节点接收请求端节点发送的申请信息，所述申请信息包括 所述请求端节点的标识信息，所述申请信息用于申请进行与所述请求 端节点间的互联网安全协定IPSec公钥交互；

所述目标端节点根据所述请求端节点的标识信息，查询第二域名 系统DNS服务器，获取表示第一DNS服务器地址的第二地址信息， 所述第一DNS服务器为所述请求端节点所在域的DNS服务器，所述 第二DNS服务器为目标端节点所在域的DNS服务器；

所述目标端节点根据所述第二地址信息，向所述第一DNS服务 器发送公钥请求信息，所述公钥请求信息包括所述请求端节点的标识 信息，所述第一DNS服务器中记录了所述请求端节点的标识信息与 公钥信息的对应关系；

在所述第一DNS服务器根据所述公钥请求信息查询获取所述请 求端节点的公钥信息并反馈发送后，所述目标端节点接收所述请求端 节点的公钥信息；

所述目标端节点通过互联网密钥交换IKE协议与所述请求端节 点完成公钥的交互。

第三方面，提供一种IPSec公钥交互方法，包括：

域名系统DNS服务器接收第一节点发送的公钥请求信息，所述 公钥请求信息包括第二节点的标识信息，所述第二节点为所述DNS 服务器所在域内节点，当所述第一节点为请求端节点时，所述第二节 点为目标端节点，或，当所述第一节点为目标端节点时，所述第二节 点为请求端节点；

所述DNS服务器根据所述公钥请求信息以及所述DNS服务器中 记录的所述第二节点的标识信息与公钥信息的对应关系，查询获取所 述第二节点的公钥信息；

所述DNS服务器向所述第一节点发送所述第二节点的公钥信 息，以便所述第一节点获取所述第二节点的公钥信息。

第四方面，提供一种IPSec公钥交互请求端节点，包括：

获取单元，用于根据目标端节点的标识信息，查询第一域名系统 DNS服务器，获取表示第二DNS服务器地址的第一地址信息，所述 第一DNS服务器为所述请求端节点所在域的DNS服务器，所述第二 DNS服务器为所述目标端节点所在域的DNS服务器；

请求单元，用于根据所述第一地址信息，向所述第二DNS服务 器发送公钥请求信息，所述公钥请求信息包括所述目标端节点的标识 信息，所述第二DNS服务器中记录了所述目标端节点的标识信息与 公钥信息的对应关系；

接收单元，用于在所述第二DNS服务器根据所述公钥请求信息 查询获取所述目标端节点的公钥信息并反馈发送后，接收所述目标端 节点的公钥信息；

申请单元，用于向所述目标端节点发送申请信息，所述申请信息 包括所述请求端节点的标识信息，所述申请信息用于向所述目标端节 点申请进行节点间的互联网安全协定IPSec公钥交互；

交互单元，用于在所述目标端节点根据所述请求端节点的标识信 息从所述第一DNS服务器获取所述请求端节点的公钥信息后，通过 互联网密钥交换IKE协议与所述目标端节点完成公钥的交互。

第五方面，提供一种IPSec公钥交互目标端节点，包括：

响应单元，用于接收请求端节点发送的申请信息，所述申请信息 包括所述请求端节点的标识信息，所述申请信息用于申请进行与所述 请求端节点间的互联网安全协定IPSec公钥交互；

获取单元，用于根据所述请求端节点的标识信息，查询第二域名 系统DNS服务器，获取表示第一DNS服务器地址的第二地址信息， 所述第一DNS服务器为所述请求端节点所在域的DNS服务器，所述 第二DNS服务器为目标端节点所在域的DNS服务器；

请求单元，用于根据所述第二地址信息，向所述第一DNS服务 器发送公钥请求信息，所述公钥请求信息包括所述请求端节点的标识 信息，所述第一DNS服务器中记录了所述请求端节点的标识信息与 公钥信息的对应关系；

接收单元，用于在所述第一DNS服务器根据所述公钥请求信息 查询获取所述请求端节点的公钥信息并反馈发送后，接收所述请求端 节点的公钥信息；

交互单元，用于通过互联网密钥交换IKE协议与所述请求端节 点完成公钥的交互。

第六方面，提供一种IPSec公钥DNS服务器，包括：

接收单元，用于接收第一节点发送的公钥请求信息，所述公钥请 求信息包括第二节点的标识信息，所述第二节点为所述DNS服务器 所在域内节点，当所述第一节点为请求端节点时，所述第二节点为目 标端节点，或，当所述第一节点为目标端节点时，所述第二节点为请 求端节点；

查询单元，用于根据所述公钥请求信息以及所述DNS服务器中 记录的所述第二节点的标识信息与公钥信息的对应关系，查询获取所 述第二节点的公钥信息；

发送单元，用于向所述第一节点发送所述第二节点的公钥信息， 以便所述第一节点获取所述第二节点的公钥信息。

可见，本发明实施例提供一种IPSec公钥交互方法、节点和DNS 服务器，首先由请求端节点通过查询自身所在域的第一DNS服务器 确定目标端节点所在域的第二DNS服务器，进而查询获取第二DNS 服务器中存储的目标端节点的公钥信息，并向目标端节点申请进行公 钥交互；而后，在目标端节点查询第二DNS服务确定第一DNS服务 器，再查询获取第一DNS服务器中存储的请求端节点的公钥信息后， 完成节点间IPSec公钥的交互。这样，通过使用网络系统结构中现有 的DNS服务器对公钥进行存储，查询自身所在域的DNS服务器确定 存储了对端节点的公钥信息的DNS服务器地址，进而获取对端节点 的公钥信息，避免了现有技术中采用PKI/CA证书验证技术时需要额 外部署设备且需要在各节点中预置各PKI系统服务器地址导致系统 结构复杂化，为系统维护及管理操作造成不便的问题。因此，本发明 相对于现有技术，在进行公钥交互时无需额外引入设备，简化了维护 及管理操作。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对 实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地， 下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员 来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附 图。

图1为本发明实施例提供的IPSec交互方法所基于系统的结构示 意图；

图2为本发明实施例提供的一种IPSec公钥交互方法的流程示意 图一；

图3为本发明实施例提供的一种IPSec公钥交互方法的流程示意 图二；

图4为本发明实施例提供的一种IPSec公钥交互方法的流程示意 图三；

图5为本发明实施例提供的一种IPSec公钥交互方法的流程示意 图四；

图6为本发明实施例提供的一种请求端节点的结构示意图；

图7为本发明实施例提供的一种目标端节点的结构示意图；

图8为本发明实施例提供的一种DNS服务器的结构示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进 行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的 范围。

图1为本发明实施例提供的IPSec(Internet Protocol Security，互 联网安全协定)公钥交互方法所基于的系统结构示意图。参见图1， 该系统包括：网络信息中心001、与网络信息中心001相连的第一 DNS(Domain Name System，域名系统)服务器002、第一DNS服 务器002所在域(Domain)内一个或多个请求端节点设备003、与网 络信息中心001相连的第二DNS服务器004、第二DNS服务器004 所在域内一个或多个目标端节点设备005。各节点设备之间、与DNS 服务器之间都通过网络连接。

其中，请求端节点设备003为节点间建立IPSec隧道的发起端， 目标端节点设备005为节点间建立IPSec隧道的响应端。第一DNS 服务器002为所在域中的请求端节点设备003提供地址解析服务，同 时还存储了建立IPSec隧道时请求端节点设备003的公钥信息；第二 DNS服务器004为所在域中的目标端节点设备005提供地址解析服 务，同时还存储了建立IPSec隧道时目标端节点设备005的公钥信息

本发明实施例提供一种IPSec公钥交互方法，基于请求端节点侧， 如图2所示，包括：

S101、请求端节点根据目标端节点的标识信息，查询第一域名系 统DNS服务器，获取表示第二DNS服务器地址的第一地址信息。

其中，目标端节点的标识信息为请求端节点从来自用户操作或系 统设定触发的业务指示中获取的，可以为目标端节点的IP(Internet Protocol，网际协议)地址、域名信息或节点名称；第一DNS服务器 为请求端节点所在域的DNS服务器，第二DNS服务器为目标端节点 所在域的DNS服务器。

在一种实现方式下，第一DNS服务器与第二DNS服务器可以为 同一个DNS服务器。

S102、请求端节点根据第一地址信息，向第二DNS服务器发送 公钥请求信息。

其中，公钥请求信息包括目标端节点的标识信息，第二DNS服 务器中记录了目标端节点的标识信息与公钥信息的对应关系。

S103、在第二DNS服务器根据公钥请求信息查询获取目标端节 点的公钥信息并反馈发送后，请求端节点接收目标端节点的公钥信 息。

S104、请求端节点向目标端节点发送申请信息。

其中，申请信息包括请求端节点的标识信息，该申请信息用于向 目标端节点申请进行节点间的互联网安全协定IPSec公钥交互；请求 端节点的标识信息可以为请求端节点的IP地址、域名信息或节点名 称。

S105、在目标端节点根据请求端节点的标识信息从第一DNS服 务器获取请求端节点的公钥信息后，请求端节点通过互联网密钥交换 IKE(Internet Key Exchange，互联网密钥交换)协议与目标端节点完 成公钥的交互。

本发明实施例提供一种IPSec公钥交互方法，首先请求端节点通 过查询自身所在域的第一DNS服务器获取目标端节点所在域的第二 DNS服务器的地址，而后查询第二DNS服务器，获取第二DNS服务 器中存储的目标端节点的公钥信息，并向目标端节点申请进行公钥交 互，最后，在目标端节点获取自身的公钥信息后，完成IPSec公钥的 交互。这样，通过使用网络系统结构中现有的DNS服务器对公钥进 行存储，查询自身所在域的DNS服务器确定存储了对端节点的公钥 信息的DNS服务器地址，进而获取对端节点的公钥信息，解决了现 有技术中额外部署设备导致系统结构复杂化，维护及管理不便的问 题，简化了维护及管理操作。

本发明实施例提供一种IPSec公钥交互方法，基于目标端节点侧， 如图3所示，包括：

S201、目标端节点接收请求端节点发送的申请信息。

其中，申请信息包括请求端节点的标识信息，申请信息用于申请 进行与请求端节点间的互联网安全协定IPSec公钥交互；请求端节点 的标识信息可以为请求端节点的IP地址、域名信息或节点名称。

S202、目标端节点根据请求端节点的标识信息，查询第二域名系 统DNS服务器，获取表示第一DNS服务器地址的第二地址信息。

其中，第一DNS服务器为请求端节点所在域的DNS服务器，第 二DNS服务器为目标端节点所在域的DNS服务器。

在一种实现方式下，第一DNS服务器与第二DNS服务器可以为 同一个DNS服务器。

S203、目标端节点根据第二地址信息，向第一DNS服务器发送 公钥请求信息。

其中，公钥请求信息包括请求端节点的标识信息，第一DNS服 务器中记录了请求端节点的标识信息与公钥信息的对应关系。

S204、在第一DNS服务器根据公钥请求信息查询获取请求端节 点的公钥信息并反馈发送后，目标端节点接收请求端节点的公钥信 息。

S205、目标端节点通过互联网密钥交换IKE协议与请求端节点 完成公钥的交互。

本发明实施例提供一种IPSec公钥交互方法，首先目标端节点在 接收到请求端节点发送的申请信息后查询自身所在域的第二DNS服 务器，获取请求端节点所在域的第一DNS服务器的地址，而后查询 第一DNS服务器，获取第一DNS服务器中存储的请求端节点的公钥 信息，最后，完成与请求端节点间IPSec公钥的交互。这样，通过使 用网络系统结构中现有的DNS服务器对公钥进行存储，查询自身所 在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地 址，进而获取对端节点的公钥信息，解决了现有技术中额外部署设备 导致系统结构复杂化，维护及管理不便的问题，简化了维护及管理操 作。

本发明实施例提供一种IPSec公钥交互方法，基于DNS服务器， 如图4所示，包括：

S301、DNS服务器接收第一节点发送的公钥请求信息。

其中，公钥请求信息包括第二节点的标识信息，第二节点为DNS 服务器所在域内节点。第二节点的标识信息可以为该第二节点的IP 地址、域名信息或节点名称。

当第一节点为请求端节点时，第二节点为目标端节点，或，当第 一节点为目标端节点时，第二节点为请求端节点。

在一种实现方式下，第一节点可以为该DNS服务器所在域内节 点。

S302、DNS服务器根据公钥请求信息以及DNS服务器中记录的 第二节点的标识信息与公钥信息的对应关系，查询获取第二节点的公 钥信息。

S303、DNS服务器向第一节点发送第二节点的公钥信息，以便 第一节点获取第二节点的公钥信息。

本发明实施例提供一种IPSec公钥交互方法，首先DNS服务器 接收第一节点发送的公钥请求信息，而后根据公钥请求信息指示的第 二节点的标识信息，查询获取自身存储的第二节点的标识信息对应的 公钥信息，最后，将该公钥信息发送至第一节点，以便第一节点在接 收后，完成与第二节点间IPSec公钥的交互。这样，通过使用网络系 统结构中现有的DNS服务器对公钥进行存储，查询自身所在域的 DNS服务器确定存储了对端节点的公钥信息的DNS服务器地址，进 而获取对端节点的公钥信息，解决了现有技术中额外部署设备导致系 统结构复杂化，维护及管理不便的问题，简化了维护及管理操作。

为了使本领域技术人员能够更清楚地理解本发明实施例提供的 技术方案，下面通过具体的实施例，对本发明实施例提供的另一种 IPSec公钥交互方法进行详细说明，如图5所示，该方法包括：

S401、请求端节点查询第一DNS服务器获取第一地址信息。

具体的，请求端节点在接收到指示需要建立自身与目标端节点之 间的IPSec隧道时，进行请求端节点与目标端节点间的IPSec公钥交 互，根据目标端节点的标识信息，通过查询自身所在域的第一DNS 服务器获取目标端节点所在域的第二DNS服务器的地址。

其中，请求端节点、目标端节点可以为接入互联网(Internet) 中的一种网络设备，具体可以为移动终端、PC(Personal Computer， 个人计算机)、平板电脑等，且该网络设备具有一个网络中唯一的标 识；第一DNS服务器为请求端节点所在域的域名解析服务器，为当 前网络系统结构中已部署，负责处理包括请求端节点在内的所在域中 所有网络设备的域名解析服务；第二DNS服务器为目标端节点所在 域的域名解析服务器，为当前网络系统结构中已部署，负责处理包括 目标端节点在内的所在域中所有网络设备的域名解析服务；第一地址 信息用于表示第二DNS服务器的地址。且上述列举的请求端节点、 目标端节点的设备类型仅为示例性的，包括但不限于此。

示例性的，请求端节点接收到用户操作或系统设定触发的业务指 示，建立请求端节点与目标端节点之间的IPSec隧道，根据采用IKE 协议进行协商的方式，首先需要进行请求端节点与目标端节点间的 IPSec公钥交互。其中，业务指示中包含了目标端节点的标识信息。 且该业务指示可以为一个预设格式的指令，也可以为一个预设格式的 消息，此处不做限定。

值得一提的，目标端节点的标识信息可以为目标端节点的IP地 址、域名信息或节点名称，如1.1.1.1、www.baidu、Asina 等，且上述列举的标识信息类型仅为示例性的，包括但不限于此。

请求端节点根据设备自身预设存储的第一DNS服务器的地址信 息(如服务器的IP地址)，向第一DNS服务器提交域名解析请求。

其中，上述请求端节点中预设存储的DNS服务器地址，可以由 运营商统一设定，例如：当作为请求端节点的网络设备使用北京电信 ADSL(Asymmetric Digital Subscriber Line，非对称数字用户环路) 宽带接入Internet时，电信为其分配的DNS服务器地址可以为 219.141.140.10(北京市电信DNS服务器IP地址)；上述请求端节 点提交的域名解析请求包括目标端节点的标识信息。

第一DNS服务器在接收到请求后，先查询服务器本地的缓存， 若能够查询到相应记录，则直接向请求端节点返回查询的结果；或者， 若没有所需的记录，则第一DNS服务器根据域名解析的层级结构， 递归形式把请求逐级发给上级的根域名服务器、顶级域名服务器等， 进而由某一级域名服务器确定目标端节点所在域，获取该域对应的域 名服务器信息，并将结果返回给第一DNS服务器，第一DNS服务器 将返回的查询结果保存到缓存，并将结果返回给请求端节点，即请求 端节点获取了表示第二DNS服务器地址的第一地址信息。

值得一提的，若请求端节点与目标端节点位于Internet中的同一 个域内，则第一DNS服务器与第二DNS服务器可以为同一个DNS 服务器，此种场景下，第一DNS服务器在接收到请求端节点提交的 请求后，不通过上级域名服务器直接确定并反馈自身的服务器地址信 息，以便请求端节点将自身同时认定为第二DNS服务器，从而完成 后续处理操作。

S402、请求端节点向第二DNS服务器发送公钥请求信息。

具体的，请求端节点在获取了第一地址信息后，根据第一地址信 息中指示的第二DNS服务器的地址，向第二DNS服务器发送公钥请 求信息。

其中，该公钥请求信息中包括目标端节点的标识信息，该公钥请 求信息用于指示第二DNS服务器根据信息中携带的标识信息进行查 询，以确定目标端节点对应的公钥信息。

值得一提的，本发明的实施例对上述公钥请求信息中目标端节点 的标识信息的类型不做限定，可以为IP地址、域名信息或节点名称 等，且该标识信息具有唯一性，即在Internet中不存在具有相同标识 信息的网络设备，以便第二DNS服务器可以通过该唯一的标识信息 确定相应的唯一的公钥信息。

S403、请求端节点从第二DNS服务器获取目标端节点的公钥信 息。

具体的，第二DNS服务器在接收到请求端节点发送的公钥请求 信息后，根据公钥请求信息中目标端节点的标识信息查询获取目标端 的公钥信息，并向请求端节点返回查询结果，以便请求端节点接收获 取目标端节点的公钥信息。

其中，第二DNS服务器中存储有公钥信息数据库文件，该数据 库文件中记录了服务器所在域中，包括目标端节点在内的一种或多种 节点的标识信息所对应的公钥信息。

值得一提的，上述公钥信息数据库文件可以存储在DNS服务器 中的区(Zone)文件中；各公钥信息可以为用户或服务运营商预先统 一进行设定的，以保证公钥信息在交互过程中正确可用，且各标识信 息与各公钥信息之间的对应方式可以为一一对应，也可以为多个标识 信息对应同一个公钥信息，具体的公钥信息内容及对应方式，可以根 据应用场景的需求或用户使用的需求采用不同的设定，具体此处不做 限定。由于各公钥信息为用户或服务运营商预先统一进行设定及维 护，无需用户在使用时手动输入设定，保证了公钥信息的可靠性，即 保证了通信双方身份认证的真实性和正确性。

示例性的，第二DNS服务器根据从公钥请求信息中获取的标识 信息，查询服务器中存储的公钥信息数据库文件；进而，根据数据库 文件中指示的标识信息与公钥信息之间的对应关系，确定目标端节点 对应的公钥信息；而后，将确定的公钥信息发送给请求端节点，在请 求端节点成功接收后完成目标端节点公钥信息的获取。

值得一提的，上述DNS服务器中存储的各节点所对应的公钥， 类型可以为对称密钥，也可以为非对称密钥，此处不做限定。且当为 非对称密钥时，具有抗否认性，协议消息可穿透防火墙，不仅可用于 内部网络，还可适应多种不同的应用场景。

S404、请求端节点向目标端节点发送申请信息。

具体的，请求端节点在获取目标端节点的公钥信息后，向目标端 节点申请进行节点间IPSec公钥的交互。

示例性的，请求端节点根据目标端节点的IP地址，向目标端节 点发送申请信息。其中，目标端节点的IP地址，可以作为目标端节 点的标识信息直接从接收到的业务指示中获取，也可以根据目标端节 点的标识信息查询第一DNS服务器获取；上述申请信息中可以包括 请求端节点的标识信息，以便目标端节点根据请求端节点的标识信息 响应建立请求端节点发起的请求。

值得一提的，上述申请信息可以为用于申请建立节点间IPSec隧 道的请求信息，在建立节点间IPSec隧道的实现过程中，需使用IKE 协议执行两个阶段的操作，第一阶段为通信双方建立一个通过公钥交 互进行身份认证和安全保护的隧道ISAKMP SA，第二阶段为使用 ISAKMP SA建立IPSec隧道。目标端节点接收到该申请建立节点间 IPSec隧道的请求信息，即可执行后续操作获取请求端节点的公钥信 息以便完成公钥交互。

S405、目标端节点查询第二DNS服务器获取第二地址信息。

具体的，目标端节点在接收到请求端节点发送的申请信息后，根 据请求端节点的标识信息，通过查询自身所在域的第二DNS服务器 获取请求端节点所在域的第一DNS服务器的地址。

其中，第二地址信息用于表示第一DNS服务器的地址；请求端 节点的标识信息可以为请求端节点的IP地址、域名信息或节点名称 等，且上述列举的标识信息类型仅为示例性的，包括但不限于此。

示例性的，在本发明实施例中，由于目标端节点查询第二DNS 服务器获取第二地址信息的基本流程与本实施例中前述请求端节点 侧的处理流程对应相同，此处不再赘述。

S406、目标端节点向第一DNS服务器发送公钥请求信息。

具体的，目标端节点在获取了第二地址信息后，根据第二地址信 息中指示的第一DNS服务器的地址，向第一DNS服务器发送公钥请 求信息。

其中，该公钥请求信息中包括请求端节点的标识信息，该公钥请 求信息用于指示第一DNS服务器根据信息中携带的标识信息进行查 询，以确定请求端节点对应的公钥信息。

值得一提的，上述公钥请求信息中请求端节点的标识信息具有唯 一性，即在Internet中不存在具有相同标识信息的网络设备，以便第 一DNS服务器可以通过该唯一的标识信息确定相应的唯一的公钥信 息。

S407、目标端节点从第一DNS服务器获取请求端节点的公钥信 息。

具体的，第一DNS服务器在接收到目标端节点发送的公钥请求 信息后，根据公钥请求信息中请求端节点的标识信息查询获取请求端 的公钥信息，并向目标端节点返回查询结果，以便目标端节点接收获 取目标端节点的公钥信息，进行后续的公钥交互。

值得一提的，第一DNS服务器查询获取请求端节点的公钥信息 的流程、公钥信息在第一DNS服务器中的存储形式及对应方式等都 与前述第二DNS服务器对应相同，仅在公钥信息数据库文件中包含 的内容方面，根据DNS服务器所在域的不同存在相应区别，此处不 再赘述。

S408、请求端节点与目标端节点完成公钥信息的交互。

具体的，在目标端节点通过查询第一DNS服务器获取请求端节 点的公钥信息后，响应请求端节点进行IPsec公钥交互的请求。

示例性的，在请求端节点、目标端节点都获取了对端的公钥信息 后，利用对端的公钥加密并交互身份信息和/或辅助信息，其中，身 份信息为节点使用对端公钥加密自身身份(ID)获取的，辅助信息为 节点使用对端公钥加密当前时间(Nonce)获取的；且加密方式可以 为仅对数据部分进行加密，报头部分仍为明文形式。

各端节点通过使用自身的公钥对接收到的信息进行解密，重新构 建数据的哈希(Hash)值，对另一端加了密的身份及当前时间进行校 验，若校验无误，则完成公钥信息的交互，身份认证完成。

进一步的，在完成上述流程，建立ISAKMP SA后，可使用 ISAKMP SA建立业务所需的IPSec隧道。

值得一提的，在本发明实施例中，请求端节点与目标端节点可以 为相同结构的通信设备，即同一个通信设备在不同的应用场景下，既 可以作为请求端节点向其它节点发起节点间IPSec公钥的交互请求， 也可以作为目标端节点响应其它节点发起的节点间IPSec公钥交互请 求，具体的实现方式根据具体应用场景的差异而存在不同，此处不做 限定。

本发明实施例提供一种IPSec公钥交互方法，首先由请求端节点 查询自身所在域的第一DNS服务器获取目标端节点所在域的第二 DNS服务器的地址，进而查询获取第二DNS服务器中存储的目标端 节点的公钥信息，并向目标端节点申请进行公钥交互；而后，目标端 节点在接收到请求端节点发送的申请信息后查询自身所在域的第二 DNS服务器，获取请求端节点所在域的第一DNS服务器的地址，进 而查询获取第一DNS服务器中存储的请求端节点的公钥信息；最后， 请求端节点与目标端节点完成节点间IPSec公钥的交互。这样，通过 使用网络系统结构中现有的DNS服务器对公钥进行存储，查询自身 所在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器 地址，进而获取对端节点的公钥信息，解决了现有技术中额外部署设 备且需要在各节点中预置各PKI系统服务器地址导致系统结构复杂 化，维护及管理不便的问题，简化了维护及管理操作。

本发明实施例提供一种请求端节点01，该请求端节点01可以为 一个独立的网络设备，也可以为内置于任一现有网络设备中的一个功 能模块，如图6所示，该请求端节点01包括：

获取单元011，用于根据目标端节点的标识信息，查询第一域名 系统DNS服务器，获取表示第二DNS服务器地址的第一地址信息。

其中，第一DNS服务器为请求端节点所在域的DNS服务器，第 二DNS服务器为目标端节点所在域的DNS服务器。

请求单元012，用于根据第一地址信息，向第二DNS服务器发 送公钥请求信息。

其中，公钥请求信息包括目标端节点的标识信息，第二DNS服 务器中记录了目标端节点的标识信息与公钥信息的对应关系。

接收单元013，用于在第二DNS服务器根据公钥请求信息查询 获取目标端节点的公钥信息并反馈发送后，接收目标端节点的公钥信 息；

申请单元014，用于向目标端节点发送申请信息。

其中，申请信息包括请求端节点的标识信息，申请信息用于向目 标端节点申请进行节点间的互联网安全协定IPSec公钥交互。

交互单元015，用于在目标端节点根据请求端节点的标识信息从 第一DNS服务器获取请求端节点的公钥信息后，通过互联网密钥交 换IKE协议与目标端节点完成公钥的交互。

需说明的是，其中虚线表示单元之间可以具备连接关系，也可 以不具备直接的连接关系，比如接收单元013和申请单元014都是 用于与装置外的设备进行交互的，接收单元013可以在获取目标端 节点的公钥信息之后通知申请单元014，也可以没有通知，由节点设 备进行统一调控。

可选的，上述第一DNS服务器与上述第二DNS服务器可以为同 一个DNS服务器。

本发明实施例提供一种请求端节点，首先通过查询自身所在域的 第一DNS服务器获取目标端节点所在域的第二DNS服务器的地址， 而后查询第二DNS服务器，获取第二DNS服务器中存储的目标端节 点的公钥信息，并向目标端节点申请进行公钥交互，最后，在目标端 节点获取自身的公钥信息后，完成IPSec公钥的交互。这样，通过使 用网络系统结构中现有的DNS服务器对公钥进行存储，查询自身所 在域的DNS服务器确定存储了对端节点的公钥信息的DNS服务器地 址，进而获取对端节点的公钥信息，解决了现有技术中额外部署设备 导致系统结构复杂化，维护及管理不便的问题，简化了维护及管理操 作。

本发明实施例还提供一种目标端节点02，该目标端节点02可以 为一个独立的网络设备，也可以为内置于任一现有网络设备中的一个 功能模块，如图7所示，该目标端节点02包括：

响应单元021，用于接收请求端节点发送的申请信息。

其中，申请信息包括请求端节点的标识信息，该申请信息用于申 请进行与请求端节点间的互联网安全协定IPSec公钥交互。

获取单元022，用于根据请求端节点的标识信息，查询第二域名 系统DNS服务器，获取表示第一DNS服务器地址的第二地址信息。

其中，第一DNS服务器为请求端节点所在域的DNS服务器，第 二DNS服务器为目标端节点所在域的DNS服务器。

请求单元023，用于根据第二地址信息，向第一DNS服务器发 送公钥请求信息。

其中，公钥请求信息包括请求端节点的标识信息，第一DNS服 务器中记录了请求端节点的标识信息与公钥信息的对应关系。

接收单元024，用于在第一DNS服务器根据公钥请求信息查询 获取请求端节点的公钥信息并反馈发送后，接收请求端节点的公钥信 息；

交互单元025，用于通过互联网密钥交换IKE协议与请求端节点 完成公钥的交互。

可选的，上述第一DNS服务器与上述第二DNS服务器可以为同 一个DNS服务器。

本发明实施例提供一种目标端节点，首先在接收到请求端节点发 送的申请信息后查询自身所在域的第二DNS服务器，获取请求端节 点所在域的第一DNS服务器的地址，而后查询第一DNS服务器，获 取第一DNS服务器中存储的请求端节点的公钥信息，最后，完成与 请求端节点间IPSec公钥的交互。这样，通过使用网络系统结构中现 有的DNS服务器对公钥进行存储，查询自身所在域的DNS服务器确 定存储了对端节点的公钥信息的DNS服务器地址，进而获取对端节 点的公钥信息，解决了现有技术中额外部署设备导致系统结构复杂 化，维护及管理不便的问题，简化了维护及管理操作。

本发明实施例还提供一种DNS服务器03，如图8所示，该DNS 服务器03包括：

接收单元031，用于接收第一节点发送的公钥请求信息。

其中，公钥请求信息包括第二节点的标识信息，第二节点为DNS 服务器所在域内节点。

当第一节点为请求端节点时，第二节点为目标端节点，或，当第 一节点为目标端节点时，第二节点为请求端节点。

查询单元032，用于根据公钥请求信息以及DNS服务器中记录 的第二节点的标识信息与公钥信息的对应关系，查询获取第二节点的 公钥信息；

发送单元033，用于向第一节点发送第二节点的公钥信息，以便 第一节点获取第二节点的公钥信息。

本发明实施例提供一种DNS服务器，首先接收第一节点发送的 公钥请求信息，而后根据公钥请求信息指示的第二节点的标识信息， 查询获取自身存储的第二节点的标识信息对应的公钥信息，最后，将 该公钥信息发送至第一节点，以便第一节点在接收后，完成与第二节 点间IPSec公钥的交互。这样，通过使用网络系统结构中现有的DNS 服务器对公钥进行存储，查询自身所在域的DNS服务器确定存储了 对端节点的公钥信息的DNS服务器地址，进而获取对端节点的公钥 信息，解决了现有技术中额外部署设备导致系统结构复杂化，维护及 管理不便的问题，简化了维护及管理操作。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统， 设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实 施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能 划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以 结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

另外，在本发明各个实施例中的设备和系统中，各功能单元可以 集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两 个或两个以上单元集成在一个单元中。且上述的各单元既可以采用硬 件的形式实现，也可以采用硬件加软件功能单元的形式实现。

实现上述方法实施例的全部或部分步骤可以通过程序指令相关 的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中， 该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介 质包括：U盘、移动硬盘、ROM(Read Only Memory，只读存储器)、 RAM(Random Access Memory，随机存取存储器)、磁碟或者光盘 等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并 不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范 围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。 因此，本发明的保护范围应以所述权利要求的保护范围为准。