本發明公開了一種密鑰共享的組網方法，通過在用戶網關單元安全接入邊界路由器后，再由安全通道共享已有的用戶網關密鑰，使得每個用戶網關都具備其他用戶網關單元的密鑰，然后用戶網關單元把加密的報文，使用隧道直接封裝加密后的部分，原報文IP頭不加密而是完整地放在隧道IP頭的擴展部分，使得原IP頭信息得以保留，邊界路由器接收到用戶網關的報文后，采取解封而不解密的動作，把原IP頭恢復，根據原IP頭進行路由至目標邊界路由器，邊界路由器重新進行隧道封裝并把報文發至目標用戶網關單元，最后由目標用戶網關解封解密并發至對應的用戶。本發明只需要一次加密和解密，使得邊界路由器的負擔大大減少，并提高了報文轉發效率。

技術領域

本發明涉及云計算網絡技術領域，特別涉及一種密鑰共享的組網方法。

背景技術

互聯網的普及，云計算的浪潮，讓我們越來越離不開網絡環境。隨著移動互聯網的快速發展，各種應用和服務層出不窮，應用開發商和服務提供商等需要快速實施他們的項目或產品，在傳統的IDC數據中心中一般需要布置他們自己或者租用服務器設備并且還需要自己組建復雜的網絡，這其間必定需要大量的時間并且非常容易出錯，也不容易擴展和實現災備。

云計算和虛擬化網絡作為未來的發展方向，將會使得組網和服務部署變得更加簡便，快速部署并分布在不同地點的多個網絡，一般也需要進行相互打通，隨著網絡節點的增加，網絡打通的復雜程序也會倍數增長，目前在云計算的網絡環境下，一般提供用戶使用基于互聯網的IPSEC組網方式，由于每個地方節點需要為很多個用戶提供安全接入組網，往往一個節點的接入設備可能需要提供成千上萬的用戶接入服務，所以如何高效地為用戶提供加密的傳輸成為重點需要解決的問題。

不同地域的私有網絡需要互聯互通，并且需要高效地傳輸，首先需要使用IPSEC安全接入技術，然后在接入邊界路由器到目標邊界路由器之間進行高效的轉發，這個與星型的VPN組網有點相像，不過與星型VPN的中心不同，云計算場景下提供多用戶組網互聯互通下的中心，是由多個地方節點路由器組成的巨大的路由器轉發網，由于用戶加密后的報文，需要先到達中心，再由中心轉達至目標，一般傳統的星型VPN，需要在中心進行一次解密，然后再進行另一次加密，到達目標用戶后，再進行最后一次解密，這其間多了一次加密和解密的過程，由于加解密算法的演進和軟硬件的進步，加解密的消耗變得越來越少了，但是云計算場景下，一個包含安全接入的路由器組成的轉發網，往往需要提供成千上萬個用戶安全接入并傳輸數據，單個用戶額外增加的加解密操作或許可以忽略不計，但是成千上萬個用戶增加的加解密操作，往往會使得邊界路由器不堪重負。

發明內容

本發明為了解決上述問題之一，提供一種密鑰共享的組網方法，通過對用戶網關單元的密鑰進行相互學習及記錄，然后在邊界路由器處只負責接收用戶網關單元的加密報文，只解封而不解密并進行路由轉發，最后送達目標用戶網關單元后，再進行解密操作，使得用戶網關可以專注于數據的安全，讓路由器專注于數據的轉發，減輕了路由器的負擔，提高了報文的轉發效率。

為解決上述技術問題，本發明提供如下技術方案：一種密鑰共享的組網方法，其運行于一種密鑰共享的組網系統上，所述組網系統包括若干用戶網關單元和若干路由器，路由器分為邊界路由器以及轉發路由器，其中，邊界路由器與用戶網關單元連接，轉發路由器連接邊界路由器或者轉發路由器連接另一個轉發路由器；所述一種密鑰共享的組網方法，包括以下步驟：

步驟S1、每個邊界路由器均與其直接連接的用戶網關單元進行密鑰協商，得到邊界路由器自身的密鑰；用戶網關單元將密鑰保存至其本地密鑰表上，以及邊界路由器將密鑰保存至其本地密鑰表上；

步驟S2、每個邊界路由器將其自身的密鑰發送給與其連接的其他邊界路由器或者轉發路由器；此時，將發送密鑰的邊界路由器作為發送邊界路由器；

步驟S3、當其他邊界路由器接收到發送邊界路由器的密鑰后，其他邊界路由器將密鑰保存至其本地密鑰表上；或者，當轉發路由器接收到發送邊界路由器的密鑰后，轉發路由器則將密鑰轉發至與其連接的轉發路由器或者邊界路由器；