本发明专利技术公开了一种多子网的组网方法、装置、存储介质及计算机设备,该方法包括:为第一子网对的两个子网之间建立通信隧道,并配置第一子网对的两个子网之间的通信密钥;获得配置数据,并将配置数据保存为第一连接表,第一连接表中至少包括:第一子网对的两个子网的IP;将第一连接表中的第一子网对的两个子网的IP替换为第二子网对的两个子网的IP,得到第二子网对的复用连接表;根据第二子网对的复用连接表,配置第二子网对的两个子网之间的通信密钥。本发明专利技术通过建立连接表,并对连接表中出去子网以外的内容进行直接复用,使一阶段的隧道建立与二阶段的密钥配置过程分离,在快速进行子网组建的基础上,使两端均可以发起协商。
【技术实现步骤摘要】
一种多子网的组网方法、装置、存储介质及计算机设备
本专利技术涉及网络安全
,特别是涉及一种多子网的组网方法、装置、存储介质及计算机设备。
技术介绍
Internet协议安全性(IPSec,InternetProtocolSecurity)是一种开放标准的框架结构,通过使用加密的安全服务以确保在Interne协议(IP)网络上进行保密而安全的通讯。IPSec隧道协商分为两个阶段:第一阶段协商为对对方的身份进行认证,并且为第二阶段的协商提供一条安全可靠的隧道(IPSectunnel)。第二阶段主要产生真正可以用来加密数据流的秘钥。用户配置的隧道完成第一阶段和第二阶段协商后,会对其保护子网流上的数据提供加密,来保证数据的完整性和可靠性,隧道建立如图1所示。在实际使用时,常存在需要保护多个子网的情况,此时就需要为每个子网按上述方式建立一条隧道,管理员配置时效率较低,可操作性较差。现有技术在解决上述问题时,通过在中心端配置一条一对多隧道,并分别进行多次二阶段配置,如图2所示,即可与分支端多条子网连接,但由于分支端子网无法进行主动协商,造成分支端子网局限性增强。
技术实现思路
本专利技术提供一种多子网的组网方法、装置、存储介质及计算机设备,用以解决现有技术使分支端子网无法进行主动协商,造成分支端子网局限性增强的问题。为解决上述技术问题,一方面,本专利技术提供一种多子网的组网方法,包括:获取待配置的子网对中的第一子网对,为所述第一子网对的两个子网之间建立通信隧道,并配置所述第一子网对的两个子网之间的通信密钥;根据所述第一子网对的两个子网之间的通信密钥的配置过程,获得配置数据,并将所述配置数据保存为第一连接表,其中,所述第一连接表中至少包括:所述第一子网对的两个子网的IP;将所述第一连接表中的第一子网对的两个子网的IP替换为待配置的子网对中的第二子网对的两个子网的IP,得到所述第二子网对的复用连接表;根据所述第二子网对的复用连接表,配置所述第二子网对的两个子网之间的通信密钥。进一步,将所述第一连接表中的第一子网对的两个子网的IP替换为所述第二子网对的两个子网的IP,得到所述第二子网对的复用连接表之前,还包括:为所述第二子网对建立二阶段策略;将所述二阶段策略关联至所述第一子网对的两个子网之间的通信隧道。进一步,根据所述第二子网对的复用连接表,建立所述第二子网对的两个子网之间的通信密钥,包括:复用所述第一子网对的两个子网之间的通信隧道;根据所述第二子网对的复用连接表,建立所述第二子网对的两个子网之间的通信密钥。进一步,所述第一连接表中至少包括:所述第一子网对的两个子网的IP、加密策略、身份认证策略、协商策略、完整性验证算法、Diffie-Hellman算法。另一方面,本专利技术还提供一种多子网的组网装置,其特征在于,包括:配置模块,用于获取待配置的子网对中的第一子网对,为所述第一子网对的两个子网之间建立通信隧道,并配置所述第一子网对的两个子网之间的通信密钥;连接表建立模块,用于根据所述第一子网对的两个子网之间的通信密钥的配置过程,获得配置数据,并将所述配置数据保存为第一连接表,其中,所述第一连接表中至少包括:所述第一子网对的两个子网的IP;替换模块,用于将所述第一连接表中的第一子网对的两个子网的IP替换为待配置的子网对中的第二子网对的两个子网的IP,得到所述第二子网对的复用连接表;复用模块,用于根据所述第二子网对的复用连接表,配置所述第二子网对的两个子网之间的通信密钥。进一步,还包括:策略建立模块,用于为所述第二子网对建立二阶段策略;关联模块,用于将所述二阶段策略关联至所述第一子网对的两个子网之间的通信隧道。进一步,所述复用模块,具体用于:复用所述第一子网对的两个子网之间的通信隧道;根据所述第二子网对的复用连接表,建立所述第二子网对的两个子网之间的通信密钥。进一步,所述第一连接表中至少包括:所述第一子网对的两个子网的IP、加密策略、身份认证策略、协商策略、完整性验证算法、Diffie-Hellman算法。另一方面,本专利技术还提供一种存储介质,存储介质上存储有计算机程序,程序被处理器执行时实现上述多子网的组网方法。另一方面,本专利技术还提供一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现上述多子网的组网方法。本专利技术通过建立连接表,并对连接表中出去子网以外的内容进行直接复用,使一阶段的隧道建立与二阶段的密钥配置过程分离,在快速进行子网组建的基础上,使两端均可以发起协商,并且在网络瘫痪时,通过复用连接表的方式可以减少一阶段的协商次数,达到快速恢复子网组建的效果。附图说明图1是现有技术中IPSec单子网隧道建立示意图;图2是现有技术中IPSec多子网隧道建立示意图;图3是本专利技术第一实施例中多子网的组网方法的流程图;图4是本专利技术第二实施例中多子网的组网装置的结构示意图;图5是本专利技术第二实施例中另一种多子网的组网装置的结构示意图。具体实施方式为了解决现有技术使分支端子网无法进行主动协商,造成分支端子网局限性增强的问题,本专利技术提供了一种多子网的组网方法、装置、存储介质及计算机设备,以下结合附图以及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不限定本专利技术。本专利技术的第一实施例提供了一种多子网的组网方法,可以应用于中心端或分支端中的任意一端,其流程图如图3所示,主要包括步骤S101至S104:S101,获取待配置的子网对中的第一子网对,为第一子网对的两个子网之间建立通信隧道,并配置第一子网对的两个子网之间的通信密钥;S102,根据第一子网对的两个子网之间的通信密钥的配置过程,获得配置数据,并将配置数据保存为第一连接表;S103,将第一连接表中的第一子网对的两个子网的IP替换为待配置的子网对中的第二子网对的两个子网的IP,得到第二子网对的复用连接表;S104,根据第二子网对的复用连接表,建立第二子网对的两个子网之间的通信密钥。在本实施例中,一个子网为中心端的子网,另一个子网为分支端子网,上述两个子网之间需要建立隧道以进行数据传输的子网被称为一个子网对。在进行多子网的组网时,中心端和分支端各有多个子网需要进行隧道建立,即相当于存在多个待配置的子网对。在进行多子网的组网时,首先在所有待配置的子网对中选取第一子网对,直接进行一对一的安全通信隧道建立以及传输时通信密钥的配置,即完成一次完整的一阶段配置和二阶段配置。随后,根据第一子网对的二阶段配置过程,获得配置完成后的配置数据,并将配置数据进行保存,得到第一连接表。具体地,第一连接表的内容至少包括:第一子网对的两个子网的IP,还包括进行二阶段协商所用的子网间通信使用的加密策略、身份认证策略、协商策略、完整性验证算法、Diffie-Hellman算法等。对于待配置的子网对中除了第一子网对以外的第二子网对,以第一连接表作为模板,将第一连接表中的第一子网对的两个子网的IP替换为第二子网对的两个子网的IP,而其余内容不变,即得到第二子网对的复用连接表,也可以称为第二连接表。在进行第二子网对的二阶段配置时,直接根据第二连接表的具体内容,进行第二子网对的子网之间的通信密钥的配置即可。进一步地,在将第一连接表中本文档来自技高网...
【技术保护点】
1.一种多子网的组网方法,其特征在于,包括:获取待配置的子网对中的第一子网对,为所述第一子网对的两个子网之间建立通信隧道,并配置所述第一子网对的两个子网之间的通信密钥;根据所述第一子网对的两个子网之间的通信密钥的配置过程,获得配置数据,并将所述配置数据保存为第一连接表,其中,所述第一连接表中至少包括:所述第一子网对的两个子网的IP;将所述第一连接表中的第一子网对的两个子网的IP替换为待配置的子网对中的第二子网对的两个子网的IP,得到所述第二子网对的复用连接表;根据所述第二子网对的复用连接表,配置所述第二子网对的两个子网之间的通信密钥。
【技术特征摘要】
1.一种多子网的组网方法,其特征在于,包括:获取待配置的子网对中的第一子网对,为所述第一子网对的两个子网之间建立通信隧道,并配置所述第一子网对的两个子网之间的通信密钥;根据所述第一子网对的两个子网之间的通信密钥的配置过程,获得配置数据,并将所述配置数据保存为第一连接表,其中,所述第一连接表中至少包括:所述第一子网对的两个子网的IP;将所述第一连接表中的第一子网对的两个子网的IP替换为待配置的子网对中的第二子网对的两个子网的IP,得到所述第二子网对的复用连接表;根据所述第二子网对的复用连接表,配置所述第二子网对的两个子网之间的通信密钥。2.如权利要求1所述的组网方法,其特征在于,将所述第一连接表中的第一子网对的两个子网的IP替换为所述第二子网对的两个子网的IP,得到所述第二子网对的复用连接表之前,还包括:为所述第二子网对建立二阶段策略;将所述二阶段策略关联至所述第一子网对的两个子网之间的通信隧道。3.如权利要求2所述的组网方法,其特征在于,根据所述第二子网对的复用连接表,建立所述第二子网对的两个子网之间的通信密钥,包括:复用所述第一子网对的两个子网之间的通信隧道;根据所述第二子网对的复用连接表,建立所述第二子网对的两个子网之间的通信密钥。4.如权利要求1至3中任一项所述的组网方法,其特征在于,所述第一连接表中至少包括:所述第一子网对的两个子网的IP、加密策略、身份认证策略、协商策略、完整性验证算法、Diffie-Hellman算法。5.一种多子网的组网装置,其特征在于,包括:配置模块,用于获取待配置的子网对中的第一子网对,为所述第一子...
【专利技术属性】
技术研发人员:付恒涛,万志宇,李金国,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。