一种多子网的组网方法、装置、存储介质及计算机设备与流程

本发明涉及网络安全技术领域，特别是涉及一种多子网的组网方法、装置、存储介质及计算机设备。

背景技术

internet协议安全性(ipsec，internetprotocolsecurity)是一种开放标准的框架结构，通过使用加密的安全服务以确保在interne协议(ip)网络上进行保密而安全的通讯。ipsec隧道协商分为两个阶段：第一阶段协商为对对方的身份进行认证，并且为第二阶段的协商提供一条安全可靠的隧道(ipsectunnel)。第二阶段主要产生真正可以用来加密数据流的秘钥。用户配置的隧道完成第一阶段和第二阶段协商后，会对其保护子网流上的数据提供加密，来保证数据的完整性和可靠性，隧道建立如图1所示。

在实际使用时，常存在需要保护多个子网的情况，此时就需要为每个子网按上述方式建立一条隧道，管理员配置时效率较低，可操作性较差。现有技术在解决上述问题时，通过在中心端配置一条一对多隧道，并分别进行多次二阶段配置，如图2所示，即可与分支端多条子网连接，但由于分支端子网无法进行主动协商，造成分支端子网局限性增强。

技术实现要素：

本发明提供一种多子网的组网方法、装置、存储介质及计算机设备，用以解决现有技术使分支端子网无法进行主动协商，造成分支端子网局限性增强的问题。

为解决上述技术问题，一方面，本发明提供一种多子网的组网方法，包括：获取待配置的子网对中的第一子网对，为所述第一子网对的两个子网之间建立通信隧道，并配置所述第一子网对的两个子网之间的通信密钥；根据所述第一子网对的两个子网之间的通信密钥的配置过程，获得配置数据，并将所述配置数据保存为第一连接表，其中，所述第一连接表中至少包括：所述第一子网对的两个子网的ip；将所述第一连接表中的第一子网对的两个子网的ip替换为待配置的子网对中的第二子网对的两个子网的ip，得到所述第二子网对的复用连接表；根据所述第二子网对的复用连接表，配置所述第二子网对的两个子网之间的通信密钥。

进一步，将所述第一连接表中的第一子网对的两个子网的ip替换为所述第二子网对的两个子网的ip，得到所述第二子网对的复用连接表之前，还包括：为所述第二子网对建立二阶段策略；将所述二阶段策略关联至所述第一子网对的两个子网之间的通信隧道。

进一步，根据所述第二子网对的复用连接表，建立所述第二子网对的两个子网之间的通信密钥，包括：复用所述第一子网对的两个子网之间的通信隧道；根据所述第二子网对的复用连接表，建立所述第二子网对的两个子网之间的通信密钥。

进一步，所述第一连接表中至少包括：所述第一子网对的两个子网的ip、加密策略、身份认证策略、协商策略、完整性验证算法、diffie-hellman算法。

另一方面，本发明还提供一种多子网的组网装置，其特征在于，包括：配置模块，用于获取待配置的子网对中的第一子网对，为所述第一子网对的两个子网之间建立通信隧道，并配置所述第一子网对的两个子网之间的通信密钥；连接表建立模块，用于根据所述第一子网对的两个子网之间的通信密钥的配置过程，获得配置数据，并将所述配置数据保存为第一连接表，其中，所述第一连接表中至少包括：所述第一子网对的两个子网的ip；替换模块，用于将所述第一连接表中的第一子网对的两个子网的ip替换为待配置的子网对中的第二子网对的两个子网的ip，得到所述第二子网对的复用连接表；复用模块，用于根据所述第二子网对的复用连接表，配置所述第二子网对的两个子网之间的通信密钥。

进一步，还包括：策略建立模块，用于为所述第二子网对建立二阶段策略；关联模块，用于将所述二阶段策略关联至所述第一子网对的两个子网之间的通信隧道。

进一步，所述复用模块，具体用于：复用所述第一子网对的两个子网之间的通信隧道；根据所述第二子网对的复用连接表，建立所述第二子网对的两个子网之间的通信密钥。

进一步，所述第一连接表中至少包括：所述第一子网对的两个子网的ip、加密策略、身份认证策略、协商策略、完整性验证算法、diffie-hellman算法。

另一方面，本发明还提供一种存储介质，存储介质上存储有计算机程序，程序被处理器执行时实现上述多子网的组网方法。

另一方面，本发明还提供一种计算机设备，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现上述多子网的组网方法。

本发明通过建立连接表，并对连接表中出去子网以外的内容进行直接复用，使一阶段的隧道建立与二阶段的密钥配置过程分离，在快速进行子网组建的基础上，使两端均可以发起协商，并且在网络瘫痪时，通过复用连接表的方式可以减少一阶段的协商次数，达到快速恢复子网组建的效果。

附图说明

图1是现有技术中ipsec单子网隧道建立示意图；

图2是现有技术中ipsec多子网隧道建立示意图；

图3是本发明第一实施例中多子网的组网方法的流程图；

图4是本发明第二实施例中多子网的组网装置的结构示意图；

图5是本发明第二实施例中另一种多子网的组网装置的结构示意图。

具体实施方式

为了解决现有技术使分支端子网无法进行主动协商，造成分支端子网局限性增强的问题，本发明提供了一种多子网的组网方法、装置、存储介质及计算机设备，以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

本发明的第一实施例提供了一种多子网的组网方法，可以应用于中心端或分支端中的任意一端，其流程图如图3所示，主要包括步骤s101至s104：

s101，获取待配置的子网对中的第一子网对，为第一子网对的两个子网之间建立通信隧道，并配置第一子网对的两个子网之间的通信密钥；

s102，根据第一子网对的两个子网之间的通信密钥的配置过程，获得配置数据，并将配置数据保存为第一连接表；

s103，将第一连接表中的第一子网对的两个子网的ip替换为待配置的子网对中的第二子网对的两个子网的ip，得到第二子网对的复用连接表；

s104，根据第二子网对的复用连接表，建立第二子网对的两个子网之间的通信密钥。

在本实施例中，一个子网为中心端的子网，另一个子网为分支端子网，上述两个子网之间需要建立隧道以进行数据传输的子网被称为一个子网对。在进行多子网的组网时，中心端和分支端各有多个子网需要进行隧道建立，即相当于存在多个待配置的子网对。

在进行多子网的组网时，首先在所有待配置的子网对中选取第一子网对，直接进行一对一的安全通信隧道建立以及传输时通信密钥的配置，即完成一次完整的一阶段配置和二阶段配置。随后，根据第一子网对的二阶段配置过程，获得配置完成后的配置数据，并将配置数据进行保存，得到第一连接表。具体地，第一连接表的内容至少包括：第一子网对的两个子网的ip，还包括进行二阶段协商所用的子网间通信使用的加密策略、身份认证策略、协商策略、完整性验证算法、diffie-hellman算法等。

对于待配置的子网对中除了第一子网对以外的第二子网对，以第一连接表作为模板，将第一连接表中的第一子网对的两个子网的ip替换为第二子网对的两个子网的ip，而其余内容不变，即得到第二子网对的复用连接表，也可以称为第二连接表。在进行第二子网对的二阶段配置时，直接根据第二连接表的具体内容，进行第二子网对的子网之间的通信密钥的配置即可。

进一步地，在将第一连接表中的第一子网对的两个子网的ip替换为第二子网对的两个子网的ip，得到第二子网对的复用连接表的步骤之前，还应该包括为第二子网对建立二阶段策略，并将二阶段策略关联至第一子网对的两个子网之间的通信隧道的步骤。通过上述步骤使第二子网对在进行隧道协商时，只需要使第二子网对复用第一子网对的两个子网之间的通信隧道，即可根据第二子网对的复用连接表，建立第二子网对的两个子网之间的通信密钥，而不需要重新进行第二子网对之间的安全隧道建立。

应当了解的是，第二子网对只是待配置的子网对中的一个示例，在实际使用时，应当为待配置的子网对中除了第一子网对以外的所有其他子网均进行与第二子网对相同的组网步骤，使待配置子网对在进行隧道协商时，直接复用已经建立好的安全通信隧道，直接根据对应的复用连接表进行第二阶段协商即可。

本实施例通过建立连接表，并对连接表中出去子网以外的内容进行直接复用，使一阶段的隧道建立与二阶段的密钥配置过程分离，在快速进行子网组建的基础上，使两端均可以发起协商，并且在网络瘫痪时，通过复用连接表的方式可以减少一阶段的协商次数，达到快速恢复子网组建的效果。进一步地，在删除对应的隧道时，只会删除该对子网的二阶段配置内容，对于复用的一阶段安全通信隧道以及其他子网对之间的二阶段配置，则不会存在影响。

在实际使用时，可使用具有ipsec和虚拟专用网络(vpn，virtualprivatenetwork)功能的计算机设备，如vpn、安全认证网关等。并且为了方便用户进行个性化配置，在设备前台还可增加二阶段配置的增删改查功能，对复用连接表中的各项内容进行个性化设置和修改。

本发明的第二实施例提供了一种多子网的组网装置，安装于中心端或分支端中的任意一端，其结构示意图如图4所示，主要包括：配置模块10，用于获取待配置的子网对中的第一子网对，为第一子网对的两个子网之间建立通信隧道，并配置第一子网对的两个子网之间的通信密钥；连接表建立模块20，与配置模块10耦合，用于根据第一子网对的两个子网之间的通信密钥的配置过程，获得配置数据，并将配置数据保存为第一连接表，其中，第一连接表中至少包括：第一子网对的两个子网的ip；替换模块30，与连接表建立模块20耦合，用于将第一连接表中的第一子网对的两个子网的ip替换为待配置的子网对中的第二子网对的两个子网的ip，得到第二子网对的复用连接表；复用模块40，与替换模块30耦合，用于根据第二子网对的复用连接表，配置第二子网对的两个子网之间的通信密钥。

在本实施例中，一个子网为中心端的子网，另一个子网为分支端子网，上述两个子网之间需要建立隧道以进行数据传输的子网被称为一个子网对。在进行多子网的组网时，中心端和分支端各有多个子网需要进行隧道建立，即相当于存在多个待配置的子网对。

在进行多子网的组网时，首先由配置模块10在所有待配置的子网对中选取第一子网对，直接进行一对一的安全通信隧道建立以及传输时通信密钥的配置，即完成一次完整的一阶段配置和二阶段配置。随后，连接表建立模块20根据第一子网对的二阶段配置过程，获得配置完成后的配置数据，并将配置数据进行保存，得到第一连接表。具体地，第一连接表的内容至少包括：第一子网对的两个子网的ip，还包括进行二阶段协商所用的子网间通信使用的加密策略、身份认证策略、协商策略、完整性验证算法、diffie-hellman算法等。

对于待配置的子网对中除了第一子网对以外的第二子网对，以第一连接表作为模板，通过替换模块30将第一连接表中的第一子网对的两个子网的ip替换为第二子网对的两个子网的ip，而其余内容不变，即得到第二子网对的复用连接表，也可以称为第二连接表。在进行第二子网对的二阶段配置时，复用模块40直接根据第二连接表的具体内容，进行第二子网对的子网之间的通信密钥的配置即可。

进一步地，本实施例所提供的组网装置还包括：策略建立模块50，用于为第二子网对建立二阶段策略；关联模块60，用于将二阶段策略关联至第一子网对的两个子网之间的通信隧道，此时的装置结构示意图如图5所示，连接表建立模块20与配置模块10耦合，策略建立模块50与连接表建立模块20耦合，关联模块60与策略建立模块50。策略建立模块50建立二阶段策略，并通过关联模块60将二阶段策略关联至第一子网对的两个子网之间的通信隧道之后，使第二子网对在进行隧道协商时，复用模块40只需要使第二子网对复用第一子网对的两个子网之间的通信隧道，即可根据第二子网对的复用连接表，建立第二子网对的两个子网之间的通信密钥，而不需要重新进行第二子网对之间的安全隧道建立。

应当了解的是，第二子网对只是待配置的子网对中的一个示例，在实际使用时，应当为待配置的子网对中除了第一子网对以外的所有其他子网均进行与第二子网对相同的组网步骤，使待配置子网对在进行隧道协商时，通过复用模块40直接复用已经建立好的安全通信隧道，直接根据对应的复用连接表进行第二阶段协商即可。

本实施例通过建立连接表，并对连接表中出去子网以外的内容进行直接复用，使一阶段的隧道建立与二阶段的密钥配置过程分离，在快速进行子网组建的基础上，使两端均可以发起协商，并且在网络瘫痪时，通过复用连接表的方式可以减少一阶段的协商次数，达到快速恢复子网组建的效果。进一步地，在删除对应的隧道时，只会删除该对子网的二阶段配置内容，对于复用的一阶段安全通信隧道以及其他子网对之间的二阶段配置，则不会存在影响。

本发明第三实施例提供了一种存储介质，存储有计算机程序，计算机程序被处理器执行时实现如下步骤s11至s14：

s11，获取待配置的子网对中的第一子网对，为第一子网对的两个子网之间建立通信隧道，并配置第一子网对的两个子网之间的通信密钥；

s12，根据第一子网对的两个子网之间的通信密钥的配置过程，获得配置数据，并将配置数据保存为第一连接表；

s13，将第一连接表中的第一子网对的两个子网的ip替换为待配置的子网对中的第二子网对的两个子网的ip，得到第二子网对的复用连接表；

s14，根据第二子网对的复用连接表，建立第二子网对的两个子网之间的通信密钥。

在本实施例中，存储介质可以安装在具有ipsec和vpn功能的设备中。由于在第一实施例中已经对多子网的组网方法的具体步骤进行了详细说明，因此，在本实施例中不再赘述。

可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行上述实施例记载的方法步骤。可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

本发明的第四实施例提供了一种计算机设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，计算机程序被处理器执行时实现如下方法步骤：

s21，获取待配置的子网对中的第一子网对，为第一子网对的两个子网之间建立通信隧道，并配置第一子网对的两个子网之间的通信密钥；

s22，根据第一子网对的两个子网之间的通信密钥的配置过程，获得配置数据，并将配置数据保存为第一连接表；

s23，将第一连接表中的第一子网对的两个子网的ip替换为待配置的子网对中的第二子网对的两个子网的ip，得到第二子网对的复用连接表；

s24，根据第二子网对的复用连接表，建立第二子网对的两个子网之间的通信密钥。

在本实施例中，计算机设备可以为具有ipsec和vpn功能的设备，如vpn设备、安全认证网关等。由于在第一实施例中已经对多子网的组网方法进行了详细说明，因此，在本实施例中不再赘述。

尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。