[发明专利]通信方法及装置

说明书

本申请提供一种通信方法及装置，该方法包括；通过第一IPSec隧道，向中心设备发送第一报文，第一报文包括第一分支设备生成的公钥以及第二分支设备的身份信息，以使得中心设备确定已与第二分支设备建立第二IPSec隧道时，通过第二IPSec隧道，向第二分支设备发送第二报文，第二报文包括第一分支设备生成的公钥；通过第一IPSec隧道，接收中心设备转发的由第二分支设备发送的第三报文，第三报文为第二分支设备利用所述公钥计算出私钥且利用私钥验证通过第一分支设备与第二分支设备交互的全部报文后，向中心设备发送；若利用公钥计算出的私钥可对第三报文进行解密处理且验证通过全部报文，则生成第一IPSec SA。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

目前，IP安全(英文：IP Security，简称：IPSec)虚拟专用网络(英文：VirtualPrivate Networks，简称：VPN)可以方便地将处于不同地理位置的网络设备进行连接。常见的组网模式为中心-分支组网。如图1所示，图1为现有中心-分支组网示意图。

在图1中，中心与分支之间进行IKE协商后，再协商建立IPSec隧道。在进行互联网密钥交换(英文：Internet Key Exchange，简称：IKE)协商中，IKE首先在通信双方之间协商建立一个安全通道(IKE安全联盟(英文：Security Association，简称：SA)，并在此安全通道的保护下协商建立IPSec SA，如此降低手工配置的复杂度，简化IPSec的配置和维护工作。IKE的精髓在于DH(Diffie-Hellman)交换技术，其通过一系列的交换，使得通信双方最终计算出共享密钥。

在IKE的DH交换过程中，每次计算和产生的结果均不相关的。由于每次IKE SA的建立都运行了DH交换过程，因此，保证每个通过IKE协商建立的IPSec SA所使用的密钥互不相关。

中心与分支之间建立IPSec隧道后，各分支之间不协商任何隧道。在不同分支之间需要互相访问时，分支与分支之间重新协商并建立动态隧道。在建立隧道过程中，不同分支需要重新执行一遍IKE协商。若IKE协商成功，则再协商建立IPSec隧道。IPSec隧道建立成功后，不同分支之间实现私网流量的加解密发送。

在上述不同分支之间互访过程中，保留了IKE协商的安全优点。但是，仍不够灵活。在实际使用中，若分支间加密流量较多，则各分支的CPU压力较大，IPSec隧道协商也会比较缓慢；而且，由于IKE的DH交换，也将导致分支间多次握手，消耗更多时间。尤其是在大规模组网中，分支间动态协商IPsec隧道的耗时更多，从而引起中心压力过大(流量从中心转发)、分支间私网流量丢包较多等问题，影响用户的使用。

发明内容

有鉴于此，本申请提供了一种通信方法及装置，用以解决现有不同分支之间IKE协商不灵活；各分支CPU压力较大，IPsec隧道协商缓慢；而且，由于IKE的DH交换，导致分支间多次握手，消耗更多时间的问题。

第一方面，本申请提供了一种通信方法，所述方法应用于第一分支设备，所述第一分支设备接入中心设备，并与所述中心设备建立第一IPSec隧道，所述方法包括；

通过所述第一IPSec隧道，向所述中心设备发送第一报文，所述第一报文包括所述第一分支设备生成的公钥以及第二分支设备的身份信息，以使得所述中心设备根据所述第二分支设备的身份信息，确定已与所述第二分支设备建立第二IPSec隧道时，通过所述第二IPSec隧道，向所述第二分支设备发送第二报文，所述第二报文包括所述第一分支设备生成的公钥；

通过所述第一IPSec隧道，接收所述中心设备转发的由所述第二分支设备发送的第三报文，所述第三报文为所述第二分支设备利用所述公钥计算出私钥且利用所述私钥验证通过所述第一分支设备与所述第二分支设备交互的全部报文后，向所述中心设备发送；