(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111657579.5 (22)申请日 2021.12.3 0 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 王之云　祖静　范雪俭　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 一种ipsec隧道协商方法、 本端设备、 对端设 备及存储介质 (57)摘要 本申请实施例提供一种ipsec隧道协商方 法、 装置、 电子设备及存储介质， 其中， 该方法包 括： 建立与对端设备连接 的ipsec隧道， ipsec隧 道存储一对保护子网结构， 保护子网结构包含多 个保护子网信息； 发送包含多个 保护子网信息的 第一协商报文至对端设备， 以使对端设备根据第 一协商报文返回第二协商报文； 接收第二协商报 文； 根据第二协商报文下发转发表项； 根据转发 表项向对端设备发送第三协商报文。 实施本申请 实施例， 使得发送协商报文的频率变小， 提升协 商速度， 节省内存资源。 权利要求书2页 说明书9页 附图5页 CN 114301704 A 2022.04.08 CN 114301704 A 1.一种ipsec隧道 协商方法， 应用于 本端设备， 其特 征在于， 所述方法包括： 建立与对端设备连接 的ipsec隧道， 所述ipsec隧道存储一对保护子网结构， 所述保护 子网结构包 含多个保护子网信息； 发送包含所述多个保护子网信 息的第一协商报文至所述对端设备， 以使所述对端设备 根据所述第一协商报文返回第二协商报文； 接收所述第二协商报文； 根据所述第二协商报文下发转发表项； 根据所述 转发表项向所述对端设备发送第三协商报文。 2.根据权利要求1所述的ipsec隧道协商方法， 其特征在于， 所述发送包含所述多个保 护子网信息的第一协商报文至所述对端设备的步骤， 包括： 将所述多个保护子网信息进行组装到所述 isakmp报文中； 将所述isakmp报文作为所述第一协商报文发送至所述对端设备。 3.根据权利要求1所述的ipsec隧道协商方法， 其特征在于， 所述根据所述第二协商报 文下发转发表项的步骤， 包括： 获取所述第二协商报文中的协商成功标记； 下发所述协商成功标记对应的保护子网信息的转发表项。 4.根据权利要求1所述的ipsec隧道协商方法， 其特征在于， 所述根据所述转发表项向 所述对端设备发送第三协商报文的步骤， 包括： 将所述转发表项对应的确认信息组装到所述第三协商报文中； 将所述第三协商报文发送至所述对端设备。 5.一种ipsec隧道 协商方法， 应用于对端设备， 其特 征在于， 所述方法包括： 基于与本端设备的ipsec隧道接收发自本端设备的包含多个保护子网信息的第一协商 报文， 所述与本端设备的ipsec隧道存储一对保护子网结构， 所述保护子网结构包含多个保 护子网信息； 对所述多个保护子网信息进行解析， 得到协商成功标记； 根据所述协商成功标记生成第二协商报文； 将所述第二协商报文发送至本端设备， 以使所述本端设备根据 所述第二协商报文返回 第三协商报文； 根据所述协商成功标记下发相应的转发表项。 6.根据权利要求5所述的ipsec隧道协商方法， 其特征在于， 所述对所述第一协商报文 中的多个保护子网信息进行解析， 得到协商成功标记的步骤， 包括： 将所述保护子网以链 表的形式存 储； 依次将所述链 表中的保护子网与ipsec隧道中存 储的保护子网进行匹配； 将所述链 表中匹配成功的保护子网打上 所述协商成功标记。 7.根据权利要求5所述的ipsec隧道协商方法， 其特征在于， 所述根据所述协商成功标 记下发相应的转发表项的步骤之前， 还 包括： 对所述第三协商报文中的确认信息进行确认。 8.一种本端设备， 其特 征在于， 所述设备包括： 建立模块， 用于建立与对端设备连接的ipsec隧道， 所述ipsec隧道存储一对保护子网权　利　要　求　书 1/2 页 2 CN 114301704 A 2结构， 所述保护子网结构包 含多个保护子网信息； 本端发送模块， 用于发送包含所述多个保护子网信息的第一协商报文至所述对端设 备， 以使所述对端设备根据所述第一协商报文返回第二协商报文； 本端接收模块， 用于接收所述第二协商报文； 还用于根据所述转发表项向所述对端设 备发送第三协商报文； 本端下发模块， 用于根据所述第二协商报文下发转发表项。 9.一种对端设备， 其特 征在于， 所述设备包括： 对端接收模块， 用于基于与本端设备的ipsec隧道接收发自本端设备的包含多个保护 子网信息的第一协商报文， 所述与本端设备的ipsec隧道存储一对保护子网结构， 所述保护 子网结构包 含多个保护子网信息； 解析模块， 用于对所述多个保护子网信息进行解析， 得到协商成功标记； 生成模块， 用于根据所述协商成功标记生成第二协商报文； 对端发送模块， 用于将所述第二协商报文发送至本端设备， 以使所述本端设备根据所 述第二协商报文返回第三协商报文； 对端下发模块， 用于根据所述 述协商成功标记下发相应的转发表项。 10.一种计算机可读存储介质， 其特征在于， 其存储有计算机程序， 所述计算机程序被 处理器执行时实现如权利要求1至4中任一项 所述的ipsec隧道协商 方法或5至4中任一项 所 述的ipsec隧道 协商方法。权　利　要　求　书 2/2 页 3 CN 114301704 A 3