本申請提供一種通信方法及裝置，該方法包括；通過第一IPSec隧道，向中心設備發送第一報文，第一報文包括第一分支設備生成的公鑰以及第二分支設備的身份信息，以使得中心設備確定已與第二分支設備建立第二IPSec隧道時，通過第二IPSec隧道，向第二分支設備發送第二報文，第二報文包括第一分支設備生成的公鑰；通過第一IPSec隧道，接收中心設備轉發的由第二分支設備發送的第三報文，第三報文為第二分支設備利用所述公鑰計算出私鑰且利用私鑰驗證通過第一分支設備與第二分支設備交互的全部報文后，向中心設備發送；若利用公鑰計算出的私鑰可對第三報文進行解密處理且驗證通過全部報文，則生成第一IPSec?SA。

技術領域

本申請涉及通信技術領域，尤其涉及一種通信方法及裝置。

背景技術

目前，IP安全(英文：IP?Security，簡稱：IPSec)虛擬專用網絡(英文：VirtualPrivate?Networks，簡稱：VPN)可以方便地將處于不同地理位置的網絡設備進行連接。常見的組網模式為中心-分支組網。如圖1所示，圖1為現有中心-分支組網示意圖。

在圖1中，中心與分支之間進行IKE協商后，再協商建立IPSec隧道。在進行互聯網密鑰交換(英文：Internet?Key?Exchange，簡稱：IKE)協商中，IKE首先在通信雙方之間協商建立一個安全通道(IKE安全聯盟(英文：Security?Association，簡稱：SA)，并在此安全通道的保護下協商建立IPSec?SA，如此降低手工配置的復雜度，簡化IPSec的配置和維護工作。IKE的精髓在于DH(Diffie-Hellman)交換技術，其通過一系列的交換，使得通信雙方最終計算出共享密鑰。

在IKE的DH交換過程中，每次計算和產生的結果均不相關的。由于每次IKE?SA的建立都運行了DH交換過程，因此，保證每個通過IKE協商建立的IPSec?SA所使用的密鑰互不相關。

中心與分支之間建立IPSec隧道后，各分支之間不協商任何隧道。在不同分支之間需要互相訪問時，分支與分支之間重新協商并建立動態隧道。在建立隧道過程中，不同分支需要重新執行一遍IKE協商。若IKE協商成功，則再協商建立IPSec隧道。IPSec隧道建立成功后，不同分支之間實現私網流量的加解密發送。

在上述不同分支之間互訪過程中，保留了IKE協商的安全優點。但是，仍不夠靈活。在實際使用中，若分支間加密流量較多，則各分支的CPU壓力較大，IPSec隧道協商也會比較緩慢；而且，由于IKE的DH交換，也將導致分支間多次握手，消耗更多時間。尤其是在大規模組網中，分支間動態協商IPsec隧道的耗時更多，從而引起中心壓力過大(流量從中心轉發)、分支間私網流量丟包較多等問題，影響用戶的使用。

發明內容

有鑒于此，本申請提供了一種通信方法及裝置，用以解決現有不同分支之間IKE協商不靈活；各分支CPU壓力較大，IPsec隧道協商緩慢；而且，由于IKE的DH交換，導致分支間多次握手，消耗更多時間的問題。

第一方面，本申請提供了一種通信方法，所述方法應用于第一分支設備，所述第一分支設備接入中心設備，并與所述中心設備建立第一IPSec隧道，所述方法包括；

通過所述第一IPSec隧道，向所述中心設備發送第一報文，所述第一報文包括所述第一分支設備生成的公鑰以及第二分支設備的身份信息，以使得所述中心設備根據所述第二分支設備的身份信息，確定已與所述第二分支設備建立第二IPSec隧道時，通過所述第二IPSec隧道，向所述第二分支設備發送第二報文，所述第二報文包括所述第一分支設備生成的公鑰；

通過所述第一IPSec隧道，接收所述中心設備轉發的由所述第二分支設備發送的第三報文，所述第三報文為所述第二分支設備利用所述公鑰計算出私鑰且利用所述私鑰驗證通過所述第一分支設備與所述第二分支設備交互的全部報文后，向所述中心設備發送；