基于ipsec的多保护子网的协商方法、装置及电子设备与流程

1.本技术涉及网络通信领域，特别涉及一种基于ipsec的多保护子网的协商方法、装置及电子设备。


背景技术：

2.ipsec隧道可以基于ipsec协议实现本端与对端之间的安全通信，其中在利用ipsec隧道进行通信的过程中，本端的每个保护子网均需要与对端相应的保护子网进行二阶段协商。而对于具有多保护子网的通信，目前采取的通信方案仍是本端的保护子网一对一与对端的保护子网进行ipsec二阶段协商的方式，即每条保护子网均需要进行一次ipsec二阶段协商，对于ipsec隧道数量多和/或保护子网数量多的应用场景，则需要进行大量二阶段协商，非常浪费系统资源尤其是内存资源。


技术实现要素：

3.本技术实施例的目的在于提供一种基于ipsec的多保护子网的协商方法、装置及电子设备，该方法能够减少本端的第一保护子网的二阶段协商次数，从而节省系统资源，提高通信效率。
4.为了实现上述目的，本技术提供了一种基于ipsec的多保护子网的协商方法，应用于本端，包括：
5.配置用于与对端通信的ipsec隧道，其中包括在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，所述第一主保护子网与所述对端的第二主保护子网相对应；
6.将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商；
7.将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定用于在所述ipsec隧道中进行数据加密和解密的第一密钥；
8.基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构；
9.基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信。
10.作为可选，所述在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，包括：
11.确定所有的所述第一保护子网的稳定性；
12.基于所述稳定性，从所有的所述第一保护子网中确定出一所述第一主保护子网。
13.作为可选，所述将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商，包括：
14.通过第一保护子网的第一阶段协商，对所述对端进行验证，生成第二密钥；
15.在验证通过的情况下，基于第二密钥为所述第二阶段协商提供保护。
16.作为可选，所述基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构，包括：
17.将所有的网段信息存储在所述路由结构中，和/或，将所述第一保护子网与所述第二保护子网的对应关系存储在所述路由结构中；
18.将所述路由结构发送到所述本端的内核中。
19.作为可选，所述方法还包括：
20.将所述第一密钥发送到所述本端的内核中；
21.将所述路由结构与所述第一密钥绑定。
22.作为可选，所述方法还包括：
23.将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定包含有通信参数的第二阶段状态结构；
24.相应的，所述基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信，包括：
25.基于第二阶段状态结构、所述路由结构和所述第一密钥，建立所述ipsec通信。
26.作为可选，所述方法还包括：
27.当修改或删除所述第一主保护子网的情况下，重新建立所述ipsec隧道；
28.当修改或删除非第一主保护子网之外的其他第一保护子网的情况下，对所述路由结构进行调整。
29.本技术实施例还提供了一种基于ipsec的多保护子网的协商装置，应用于本端，包括：
30.建立模块，其配置为配置用于与对端通信的ipsec隧道，其中包括在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，所述第一主保护子网与所述对端的第二主保护子网相对应；
31.第一协商模块，其配置为将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商；
32.第二协商模块，其配置为将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定用于在所述ipsec隧道中进行数据加密和解密的第一密钥；
33.第一处理模块，其配置为基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构；
34.第二处理模块，其配置为基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信。
35.本技术实施例还提供了一种电子设备，包括：存储器和处理器，所述存储器中存储有可执行程序，所述处理器执行所述可执行程序以实现如上所述的方法的步骤。
36.本技术实施例还提供了一种存储介质，所述存储介质承载有一个或者多个计算机程序，所述一个或者多个计算机程序被处理器执行实现如上所述的方法的步骤。
37.本技术实施例的该协商方法能够基于第一主保护子网的二阶段协商的操作，确定出用于在ipsec隧道中进行数据加密和解密的第一密钥，从而使得非第一主保护子网的其他第一保护子网无需再进行第二阶段协商，便能够利用第一密钥与对端的相应的第二保护子网进行ipsec通信，从而节省了系统资源特别是内存资源，提高了通信效率。
附图说明
38.图1为本技术实施例的基于ipsec的多保护子网的协商方法的流程图；
39.图2为本技术实施例的图1中步骤s100的一个实施例的流程图；
40.图3为本技术实施例的图1中步骤s200的一个实施例的流程图；
41.图4为本技术实施例的图1中步骤s400的一个实施例的流程图；
42.图5为本技术实施例的协商方法的一个具体实施例的流程图；
43.图6为本技术实施例的基于ipsec的多保护子网的协商装置的结构框图；
44.图7为本技术实施例的电子设备的结构框图；
45.附图标记说明
46.101-建立模块；102-第一协商模块；103-第二协商模块；104-第一处理模块；105-第二处理模块；201-处理器；202-存储器。
具体实施方式
47.此处参考附图描述本技术的各种方案以及特征。
48.应理解的是，可以对此处申请的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本技术的范围和精神内的其他修改。
49.包含在说明书中并构成说明书的一部分的附图示出了本技术的实施例，并且与上面给出的对本技术的大致描述以及下面给出的对实施例的详细描述一起用于解释本技术的原理。
50.通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本技术的这些和其它特性将会变得显而易见。
51.还应当理解，尽管已经参照一些具体实例对本技术进行了描述，但本领域技术人员能够确定地实现本技术的很多其它等效形式。
52.当结合附图时，鉴于以下详细说明，本技术的上述和其他方面、特征和优势将变得更为显而易见。
53.此后参照附图描述本技术的具体实施例；然而，应当理解，所申请的实施例仅仅是本技术的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本技术模糊不清。因此，本文所申请的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本技术。
54.本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本技术的相同或不同实施例中的一个或多个。
55.本技术实施例的一种基于ipsec的多保护子网的协商方法，其中ipsec(internet protocol security)为互联网安全协议。该方法应用于本端，该协商方法包括构建本端与对端进行通信的ipsec隧道，其中包括在ipsec隧道存储的多个第一保护子网中确定出一个第一主保护子网，而其他的第一保护子网为非第一主保护子网。在本端与对端通过ipsec隧道进行通信的过程中需要进行二阶段协商，包括第一阶段协商和第二阶段协商。本技术中可以将属于本端的第一保护子网与对端中相对应的第二保护子网进行第一阶段协商。而在
进行第二阶段协商时，仅需要将第一主保护子网与对端的第二主保护子网进行第二阶段协商得到第一密钥，无需其他第一保护子网再进行第二阶段协商的操作。而其他第一保护子网可以使用第一密钥实现通过ipsec隧道与对端相应的第二保护子网的ipsec通信。节省了系统资源，提高了通信效率。
56.下面结合附图对本技术的该协商方法进行详细的说明，图1为本技术实施例的基于ipsec的多保护子网的协商方法的流程图，如图1所示，该方法应用于本端的设备，包括如下步骤：
57.s100，配置用于与对端通信的ipsec隧道，其中包括在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，所述第一主保护子网与所述对端的第二主保护子网相对应。
58.示例性的，本端为第一设备，其可以通过ipsec隧道与对端的第二设备进行ipsec通信，在进行ipsec通信之前，需要对本端的ipsec隧道进行配置，包括对ipsec隧道中存储第一保护子网的配置以及其他参数的配置。
59.ipsec隧道中存储了本端的第一保护子网的相关信息。本实施例中将所有的第一保护子网划分为第一主保护子网和非第一主保护子网。从所有的第一保护子网中选择一个作为第一主保护子网。相应的，也可以在对端的所有的第二保护子网中确定出一个第二主保护子网，其中第一主保护子网与第二主保护子网相对应，两者可以进行二阶段协商的操作。
60.s200，将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商。
61.示例性的，将ipsec隧道存储的本端的所有第一保护子网均进行第一阶段协商的操作，具体可以是将第一保护子网与对端的与其相对应的第二保护子网进行第一阶段协商。
62.例如，将第一主保护子网与第二主保护子网进行第一阶段协商，将非第一主保护子网与对端的相应的第二保护子网也进行第一阶段协商。第一阶段协商可以将本端和对端进行相互的验证，包括创建一个通信信道(isakmp sa)，并对该通信信道进行认证，为双方进一步的ike通信提供加密性及数据源认证服务。
63.s300，将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定用于在所述ipsec隧道中进行数据加密和解密的第一密钥。
64.示例性的，本实施例仅将第一主保护子网与对端的第二主保护子网进行第二阶段协商，而无需将本端的其他第一保护子网实施第二阶段协商的操作。从而节省了协商时间，降低了系统资源的消耗。
65.在第一主保护子网与对端的第二主保护子网进行第二阶段协商后，根据协商结果确定出第一密钥。该第一密钥用于本端与对端在ipsec隧道中进行通信时的数据加密和解密。在一个实施例中，第一密钥可以是安全联盟(security association，sa)，sa可以用于建立ipsec隧道的通信双方对隧道参数的约定，包括隧道两端的ip地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、加密密钥、共享密钥以及生存周期等一系列参数。
66.当然，在第一主保护子网与所述第二主保护子网进行第二阶段协商后，还可以确定出其他通信信息，以为第一主保护子网之外的其他第一保护子网与对端中相对应的第二
保护子网的ipsec通信所使用。
67.s400，基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构。
68.示例性的，本端的每个第一保护子网均具有其网段信息，网段信息也能够表明该第一保护子网的身份。例如1.1.1.1至1.1.2.1等。可以基于该网段信息构建ipsec隧道的路由结构，如将所有的网段信息存储在路由结构中，从而使得路由结构在被使用时能够基于该网段信息来进行针对第一保护子网的路由操作。
69.本实施例中，路由结构可以是eroute结构，eroute结构可以是在ipsec协商成功之后自动添加的一条目的地址为ipsec隧道的对端的第二保护子网且出接口为ipsec口的路由，其可以用于在收到明文包后，将其中的报文发送给ipsec口，进行加密处理。
70.s500，基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信。
71.示例性的，本端的第一主保护子网之外的其他第一保护子网无需进行第二阶段协商。但是其他第一保护子网仍旧需要与对端的相对应的第二保护子网进行ipsec通信。本实施例中其他第一保护子网可以使用第一密钥，在ipsec隧道中建立其与对端的相对应的第二保护子网的ipsec通信，从而使得该ipsec通信符合ipsec的安全规定，保证ipsec通信的安全性。
72.此外，在与相对应的第二保护子网进行ipsec通信过程中，可以利用路由结构中记录的路由信息来实现相应的路由操作，进而实现本端所有的第一保护子网与对端的相对应的第二保护子网进行ipsec通信。
73.整个ipsec通信过程只需要第一主保护子网进行一次二阶段协商，下发一次eroute结构和第一密钥sa，对于非第一主保护子网的其他第一保护子网，不需要进行三个报文的二阶段协商，在pluto(ipsec后台进程)中也不需要创建state结构以及在内核中不需要创建和管理过多的第一密钥sa结构。
74.本技术实施例的该协商方法能够基于第一主保护子网的二阶段协商的操作，确定出用于在ipsec隧道中进行数据加密和解密的第一密钥，从而使得非第一主保护子网的其他第一保护子网无需再进行第二阶段协商，便能够利用第一密钥与对端的相应的第二保护子网进行ipsec通信，从而节省了系统资源特别是内存资源，提高了通信效率。
75.在本技术的一个实施例中，所述在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，如图2所示，包括以下步骤：
76.s110，确定所有的所述第一保护子网的稳定性。
77.示例性的，ipsec隧道中存储的本端一侧的第一保护子网为多个，每个第一保护子网运行稳定性，内容稳定性以及使用的粘连性。基于运行稳定性和/或使用粘连性可以确定第一保护子网的稳定性。
78.例如，一个第一保护子网的内容一般情况下不会被修改，则其内容稳定性较高，进而可以确定该第一保护子网的稳定性较高。
79.s120，基于所述稳定性，从所有的所述第一保护子网中确定出一所述第一主保护子网。
80.示例性的，当一个第一保护子网的稳定性较高，则可以选择该第一保护子网为第一主保护子网。从而避免在第一主保护子网被修改或删除后，其他第一保护子网不能使用
第一主保护子网获取的第一密钥，需要重新建立ipsec隧道的问题。
81.在一个实施例中，可以基于稳定性，确定出一第一主保护子网，再确定出预备第一主保护子网。从而如果第一主保护子网不能工作，则可以将预备第一主保护子网确定为第一主保护子网，从而节省时间，提高处理效率。
82.在本技术的一个实施例中，所述将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商，如图3所示，包括以下步骤：
83.s210，通过第一保护子网的第一阶段协商，对所述对端进行验证，生成第二密钥；
84.s220，在验证通过的情况下，基于第二密钥为所述第二阶段协商提供保护。
85.示例性的，第一阶段协商具有主模式(main mode)和野蛮模式(aggressive mode)这2种ike交换方法。第一阶段协商过程中第一保护子网与对端的第二保护子网之间建立一个已通过身份认证和安全保护的通道，当针对对端的验证通过后，生成用于为第二阶段协商(ipsec第二阶段协商)提供数据保护的第二密钥isakmp sa。第二密钥isakmp sa合法则本端的第一保护子网可以实施与相应的第二保护子网的第二阶段协商。提高了数据安全性。
86.在本技术的一个实施例中，所述基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构，如图4所示，包括以下步骤：
87.s410，将所有的网段信息存储在所述路由结构中，和/或，将所述第一保护子网与所述第二保护子网的对应关系存储在所述路由结构中；
88.示例性的，第二阶段协商过程中第一主保护子网将在连接中查找第二主保护子网，然后进行两个主保护子网之间的第二阶段协商，创建一个存储结构即路由结构，存储协商过程中的动态信息存储在路由结构中(eroute结构)，包括：将所有第一保护子网的网段信息，以及第一保护子网与第二保护子网的对应关系存储在路由结构中。从而路由结构在工作时可以利用上述的网段信息，以及对应关系来实施路由。
89.s420，将所述路由结构发送到所述本端的内核中。
90.示例性的，本端和对端均具有各自的内核，内核可以是设备的核可以由软件和/或硬性构建。本实施例中将路由结构和/或第一密钥发送到本端的内核中，从而内核可以不对其他第一保护子网进行第二阶段协商的操作，并且基于网段信息以及第一保护子网与相应的第二保护子网的对应关系，确定ipsec隧道的路由结构，以在使用ipsec隧道后可以建立第一保护子网与相应的第二保护子网之间ipsec通信。
91.在本技术的一个实施例中，如图5所示，所述方法还包括以下内容：
92.s500，将所述第一密钥发送到所述本端的内核中；
93.s600，将所述路由结构与所述第一密钥绑定。
94.示例性的，在第一主保护子网的第二阶段协商王城后，得到第一密钥sa，可以将第一密钥以及路由结构(eroute结构)发送到本端的内核中，并将路由结构与第一密钥绑定，在使用路由结构建立非第一主保护子网与的其他第一保护子网与相应的第二保护子网，并使用第一密钥进行ipsec通信。
95.在本技术的一个实施例中，所述方法还包括以下步骤：
96.将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定包含有通信参数的第二阶段状态结构；
97.相应的，所述基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信，包括：
98.基于第二阶段状态结构、所述路由结构和所述第一密钥，建立所述ipsec通信。
99.示例性的，第一主保护子网与第二主保护子网进行第二阶段协商后可以确定第一主保护子网的第二阶段状态结构，第二阶段状态结构包含有第一保护子网与第二保护子网进行ipsec通信所使用到的通信参数。从而第一主保护子网可以使用该通信参数与第二主保护子网进行ipsec通信。而其他的非第一主保护子网的其他第一保护子网也具有各自的状态结构，其他第一保护子网在与相对应的第二保护子网进行ipsec通信时，可以利用第二阶段状态结构中的通信参数，并利用路由结构和所述第一密钥，实现与相对应的第二保护子网进行ipsec通信。
100.在本技术的一个实施例中，所述方法还包括以下步骤：
101.当修改或删除所述第一主保护子网的情况下，重新建立所述ipsec隧道；
102.当修改或删除非第一主保护子网之外的其他第一保护子网的情况下，对所述路由结构进行调整。
103.示例性的，本端的第一主保护子网与对端的第二主保护子网进行二阶段协商并得到相应的第一密钥，如果修改或删除第一主保护子网。则确定的ipsec隧道的路由结构、第一密钥以及相应的二阶段状态结构均不能正常生成。则需要重新建立ipsec隧道，重新确定第一主保护子网。
104.如果修改或删除非第一主保护子网之外的其他第一保护子网，则ipsec隧道继续建立，可以仅删除路由结构eroute结构上对应的网段信息，而不会影响其他网段业务。调整后的路由结构可以继续使用。
105.基于同样的发明构思，本技术实施例还提供了一种基于ipsec的多保护子网的协商装置，应用于本端，如图6所示，包括：
106.建立模块101，其配置为配置用于与对端通信的ipsec隧道，其中包括在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，所述第一主保护子网与所述对端的第二主保护子网相对应。
107.示例性的，本端为第一设备，其可以通过ipsec隧道与对端的第二设备进行ipsec通信，在进行ipsec通信之前，建立模块101需要对本端的ipsec隧道进行配置，包括对ipsec隧道中存储第一保护子网的配置以及其他参数的配置。
108.ipsec隧道中存储了本端的第一保护子网的相关信息。本实施例中建立模块101将所有的第一保护子网划分为第一主保护子网和非第一主保护子网。从所有的第一保护子网中选择一个作为第一主保护子网。相应的，对端也可以在所有的第二保护子网中确定出一个第二主保护子网，其中第一主保护子网与第二主保护子网相对应，两者可以进行二阶段协商的操作。
109.第一协商模块102，其配置为将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商。
110.示例性的，第一协商模块102将ipsec隧道存储的本端的所有第一保护子网均进行第一阶段协商的操作，具体可以是将第一保护子网与对端的与其相对应的第二保护子网进行第一阶段协商。
111.例如，第一协商模块102将第一主保护子网与第二主保护子网进行第一阶段协商，将非第一主保护子网与对端的相应的第二保护子网也进行第一阶段协商。第一阶段协商可以将本端和对端进行相互的验证，包括创建一个通信信道(isakmp sa)，并对该通信信道进行认证，为双方进一步的ike通信提供加密性及数据源认证服务。
112.第二协商模块103，其配置为将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定用于在所述ipsec隧道中进行数据加密和解密的第一密钥。
113.示例性的，本实施例第二协商模块103仅将第一主保护子网与对端的第二主保护子网进行第二阶段协商，而无需将本端的其他第一保护子网实施第二阶段协商的操作。从而节省了协商时间，降低了系统资源的消耗。
114.第二协商模块103在第一主保护子网与对端的第二主保护子网进行第二阶段协商后，根据协商结果确定出第一密钥。该第一密钥用于本端与对端在ipsec隧道中进行通信时的数据加密和解密。在一个实施例中，第一密钥可以是安全联盟(security association，sa)，sa可以用于建立ipsec隧道的通信双方对隧道参数的约定，包括隧道两端的ip地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、加密密钥、共享密钥以及生存周期等一系列参数。
115.当然，第二协商模块103在第一主保护子网与所述第二主保护子网进行第二阶段协商后，还可以确定出其他通信信息，以为第一主保护子网之外的其他第一保护子网与对端中相对应的第二保护子网的ipsec通信所使用。
116.第一处理模块104，其配置为基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构。
117.示例性的，本端的每个第一保护子网均具有其网段信息，网段信息也能够表明该第一保护子网的身份。例如1.1.1.1至1.1.2.1等。第一处理模块104可以基于该网段信息构建ipsec隧道的路由结构，如将所有的网段信息存储在路由结构中，从而使得路由结构在被使用时能够基于该网段信息来进行针对第一保护子网的路由操作。
118.本实施例中，路由结构可以是eroute结构，eroute结构可以是在ipsec协商成功之后自动添加的一条目的地址为ipsec隧道的对端的第二保护子网且出接口为ipsec口的路由，其可以用于在收到明文包后，将其中的报文发送给ipsec口，进行加密处理。
119.第二处理模块105，其配置为基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信。
120.示例性的，本端的第一主保护子网之外的其他第一保护子网无需进行第二阶段协商。但是其他第一保护子网仍旧需要与对端的相对应的第二保护子网进行ipsec通信。本实施例中第二处理模块105基于所述路由结构和所述第一密钥，通过ipsec隧道建立其他第一保护子网与对端的相对应的第二保护子网的ipsec通信，从而使得该ipsec通信符合ipsec的安全规定，保证ipsec通信的安全性。
121.此外，在与相对应的第二保护子网进行ipsec通信过程中，第二处理模块105可以利用路由结构中记录的路由信息来实现相应的路由操作，进而实现本端所有的第一保护子网与对端的相对应的第二保护子网进行ipsec通信。
122.整个ipsec通信过程只需要第一主保护子网进行一次二阶段协商，下发一次
eroute结构和第一密钥sa，对于非第一主保护子网的其他第一保护子网，不需要进行三个报文的二阶段协商，在pluto(ipsec后台进程)中也不需要创建state结构以及在内核中不需要创建和管理过多的第一密钥sa结构。
123.在本技术的一个实施例中，建立模块101进一步配置为：
124.确定所有的所述第一保护子网的稳定性；
125.基于所述稳定性，从所有的所述第一保护子网中确定出一所述第一主保护子网。
126.在本技术的一个实施例中，第一协商模块102进一步配置为：
127.通过第一保护子网的第一阶段协商，对所述对端进行验证，生成第二密钥；
128.在验证通过的情况下，基于第二密钥为所述第二阶段协商提供保护。
129.在本技术的一个实施例中，第一处理模块104进一步配置为：
130.将所有的网段信息存储在所述路由结构中，和/或，将所述第一保护子网与所述第二保护子网的对应关系存储在所述路由结构中；
131.将所述路由结构发送到所述本端的内核中。
132.在本技术的一个实施例中，第一处理模块104进一步配置为：
133.将所述第一密钥发送到所述本端的内核中；
134.将所述路由结构与所述第一密钥绑定。
135.在本技术的一个实施例中，第二协商模块103进一步配置为：
136.将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定包含有通信参数的第二阶段状态结构；
137.相应的，第二处理模块105进一步配置为：
138.基于第二阶段状态结构、所述路由结构和所述第一密钥，建立所述ipsec通信。
139.在本技术的一个实施例中，第二处理模块105进一步配置为：
140.当修改或删除所述第一主保护子网的情况下，重新建立所述ipsec隧道；
141.当修改或删除非第一主保护子网之外的其他第一保护子网的情况下，对所述路由结构进行调整。
142.本技术实施例还提供了一种电子设备，如图7所示，包括：存储器202和处理器201，所述存储器202中存储有可执行程序，所述处理器201执行所述可执行程序以实现如上所述方法的步骤。
143.本技术实施例还提供了一种存储介质，所述存储介质承载有一个或者多个计算机程序，所述一个或者多个计算机程序被处理器执行实现如上所述的方法的步骤。
144.上述处理器201可以是通用处理器、数字信号处理器、专用集成电路(application-specific integrated circuit，asic)，可编程逻辑器件(programmable logic device，pld)或其组合。上述pld可以是复杂可编程逻辑器件(complex programmable logic device，cpld)，现场可编程逻辑门阵列(field-programmable gate array，fpga)，通用阵列逻辑(generic array logic,简称gal)或其任意组合。通用处理器可以是微处理器或者任何常规的处理器等。
145.上述存储器202可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器202是计算机可读介质的示例。
146.本实施例中的存储介质可以是电子设备/系统中所包含的；也可以是单独存在，而未装配入电子设备/系统中。上述存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本技术实施例的方法。
147.根据本技术的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
148.以上实施例仅为本技术的示例性实施例，不用于限制本技术，本技术的保护范围由权利要求书限定。本领域技术人员可以在本技术的实质和保护范围内，对本技术做出各种修改或等同替换，这种修改或等同替换也应视为落在本技术的保护范围内。

技术特征：
1.一种基于ipsec的多保护子网的协商方法，其特征在于，应用于本端，包括：配置用于与对端通信的ipsec隧道，其中包括在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，所述第一主保护子网与所述对端的第二主保护子网相对应；将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商；将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定用于在所述ipsec隧道中进行数据加密和解密的第一密钥；基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构；基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信。2.根据权利要求1所述的方法，其特征在于，所述在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，包括：确定所有的所述第一保护子网的稳定性；基于所述稳定性，从所有的所述第一保护子网中确定出一所述第一主保护子网。3.根据权利要求1所述的方法，其特征在于，所述将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商，包括：通过第一保护子网的第一阶段协商，对所述对端进行验证，生成第二密钥；在验证通过的情况下，基于第二密钥为所述第二阶段协商提供保护。4.根据权利要求1所述的方法，其特征在于，所述基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构，包括：将所有的网段信息存储在所述路由结构中，和/或，将所述第一保护子网与所述第二保护子网的对应关系存储在所述路由结构中；将所述路由结构发送到所述本端的内核中。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：将所述第一密钥发送到所述本端的内核中；将所述路由结构与所述第一密钥绑定。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定包含有通信参数的第二阶段状态结构；相应的，所述基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信，包括：基于第二阶段状态结构、所述路由结构和所述第一密钥，建立所述ipsec通信。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：当修改或删除所述第一主保护子网的情况下，重新建立所述ipsec隧道；当修改或删除非第一主保护子网之外的其他第一保护子网的情况下，对所述路由结构进行调整。8.一种基于ipsec的多保护子网的协商装置，其特征在于，应用于本端，包括：建立模块，其配置为配置用于与对端通信的ipsec隧道，其中包括在所述ipsec隧道存储的第一保护子网中确定出第一主保护子网，所述第一主保护子网与所述对端的第二主保护子网相对应；
第一协商模块，其配置为将所述第一保护子网与所述对端中相对应的第二保护子网进行第一阶段协商；第二协商模块，其配置为将所述第一主保护子网与所述第二主保护子网进行第二阶段协商，确定用于在所述ipsec隧道中进行数据加密和解密的第一密钥；第一处理模块，其配置为基于所述第一保护子网的网段信息，确定所述ipsec隧道的路由结构；第二处理模块，其配置为基于所述路由结构和所述第一密钥，建立所述本端的所述第一主保护子网之外的其他第一保护子网与所述对端中相对应的第二保护子网的ipsec通信。9.一种电子设备，其特征在于，包括：存储器和处理器，所述存储器中存储有可执行程序，所述处理器执行所述可执行程序以实现如权利要求1至7任意一项所述的方法的步骤。10.一种存储介质，其特征在于，所述存储介质承载有一个或者多个计算机程序，所述一个或者多个计算机程序被处理器执行实现如权利要求1至7任意一项所述的方法的步骤。

技术总结
本申请公开了一种基于ipsec的多保护子网的协商方法、装置及电子设备，该方法应用于本端，包括：配置用于与对端通信的ipsec隧道，其中包括在ipsec隧道存储的第一保护子网中确定出第一主保护子网；将第一保护子网与对端中相对应的第二保护子网进行第一阶段协商；将第一主保护子网与第二主保护子网进行第二阶段协商，确定用于在ipsec隧道中进行数据加密和解密的第一密钥；基于第一保护子网的网段信息，确定ipsec隧道的路由结构；基于路由结构和第一密钥，建立本端的第一主保护子网之外的其他第一保护子网与对端中相对应的第二保护子网的ipsec通信。该方法减少了第一保护子网的二阶段协商次数，节省了系统资源。节省了系统资源。节省了系统资源。


技术研发人员：王之云 祖静 范雪俭
受保护的技术使用者：北京天融信科技有限公司 北京天融信软件有限公司
技术研发日：2023.06.29
技术公布日：2023/8/13