(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111362963.2 (22)申请日 2021.11.17 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 刘力源　王耀杰　施德军　 (74)专利代理 机构 工业和信息化部电子专利中 心 11010 代理人 田卫平 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) (54)发明名称 一种ipsec协商方法、 网络设备及可读存储 介质 (57)摘要 本公开提出了一种ipsec协商方法、 网络设 备及可读存储介质， ipsec协商方法包括获取对 端对等体发送的请求消息， 所述请求消息中包括 有身份标识； 基于所述身份标识与预设数据链表 中的标识信息进行匹配； 在匹配失败的情况下， 退出协商流程， 基于在预设时延内发送报文信息 的地址确定恶意攻击地址， 并过滤恶意攻击地址 发送的报文信息； 在匹配成功的情况下， 向所述 对端对等体发送响应消息， 以完成ipsec协商。 本 公开的方法能够避免ipsec协商 流程中某一个攻 击地址连续不断发送协商报文而引起的系统崩 溃， 同时通过这种方式进一步降低了系统的负 载， 有效节约了系统资源。 权利要求书1页 说明书5页 附图1页 CN 114124511 A 2022.03.01 CN 114124511 A 1.一种ipsec协商方法， 其特 征在于， 包括如下步骤： 获取对端对等体发送的请求消息， 所述请求消息中包括有 身份标识； 基于所述身份标识与预设数据链 表中的标识信息进行匹配； 在匹配失败的情况下， 退出协商流程， 基于在预设时延内发送报文信息的地址确定恶 意攻击地址， 并过 滤恶意攻击地址发送的报文信息； 在匹配成功的情况 下， 向所述对端对等体发送响应消息， 以完成ipsec协商。 2.如权利要求1所述的ipsec协商方法， 其特征在于， 获取对端对等体发送的请求消息 是基于IPS EC静态隧道完成的， 所述预设数据链表中记录有各对端对等体新建IPS EC静态隧 道的本地身份标识和对端 身份标识。 3.如权利要求1所述的ipsec协商方法， 其特征在于， 所述基于在预设时延内发送写报 文的地址确定恶意 攻击地址包括： 在匹配失败的情况 下， 将对应发送数据包的地址设置为可能攻击地址； 记录从可能攻击地址 接收的报文信息； 在所述预设时延内持续接收到可能攻击地址发送的报文信 息的情况下， 确定该可能攻 击地址为恶意 攻击地址 。 4.如权利要求3所述的ipsec协商方法， 其特征在于， 所述基于在预设时延内发送写报 文的地址确定恶意攻击地址还包括： 将恶意攻击地址加入防火墙黑名单中， 不接 收防火墙 黑名单中的恶意 攻击地址发送的数据。 5.如权利要求1所述的ipsec协商方法， 其特征在于， 所述请求消息以及所述响应消息 还包括有本端的安全联盟SA载荷， 秘钥KE以及n once载荷。 6.如权利要求5所述的ipsec协商方法， 其特征在于， 所述响应消息中还包括有本端的 SA载荷参数的哈希 值， 所述本端的SA载荷参数的哈希 值用于与对端对等体回复消息中的哈 希值进行比对， 在比对一 致的情况 下允许发送消息 。 7.一种网络设备， 其特征在于， 所述网络设备包括存储器和处理器， 所述处理器与 所述 存储器通信连接， 所述存储器上存储有计算机程序， 所述计算机程序被处理器执行时实现 如权利要求1至 6中任一项所述的ipsec协商方法的步骤。 8.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的ipsec协商方 法的步骤。权　利　要　求　书 1/1 页 2 CN 114124511 A 2一种ipsec协商方 法、 网络设备及可读存储介质 技术领域 [0001]本发明涉及通信技术领域， 尤其涉及一种ipsec协商方法、 网络设备及可读存储介 质。 背景技术 [0002]VPN技术利用internet或其他公共互联网络的基础为用户创建 隧道， 采用高强度 的认证、 加密算法保证传输数据的完整性和私密性， 提供了与专用网络一样的安全和功 能 保障。 VPN的主要特点就是安全、 费用低、 灵活性大、 方便管理， VPN可以在远程用户、 商业伙 伴、 公司内部等网络 建立可靠度安全连接， 并保护数据传输的安全性。 而在 诸多的连接中存 在非常多的数据协商包， 也存在各种恶意的协商包进行隧道连接， 而隧道每解析一个数据 协商包就会耗费大量资源。 [0003]现有的技术中响应方接收到发起方的第一个协商报文后需要根据发起方的IP地 址查找连接， 然后在找到的连接中对比隧道信息， 查找连接的过程消耗了大量时间， 并且占 用了系统资源， 如果有某个地址一直给设备发送恶意协商的报文， 系统会一直查找连接， 严 重的情况 下可能造成系统崩溃。 发明内容 [0004]本发明实施例提供一种ipsec协商方法、 网络设备及可读存储介质， 用以对无效的 ipsec协商报文实现过 滤， 节约系统资源。 [0005]本发明实施例提供一种ipsec协商方法， 包括如下步骤： [0006]获取对端对等体发送的请求消息， 所述请求消息中包括有 身份标识； [0007]基于所述身份标识与预设数据链 表中的标识信息进行匹配； [0008]在匹配失败的情况下， 退出协商流程， 基于在预设时延内发送报文信息的地址确 定恶意攻击地址， 并过 滤恶意攻击地址发送的报文信息； [0009]在匹配成功的情况 下， 向所述对端对等体发送响应消息， 以完成ipsec协商。 [0010]在一些实施例中， 获取对端对等体发送的请求消息是基于IPSEC静态隧道完成的， 所述预设数据 链表中记录有 各对端对等体新建IPS EC静态隧道的本地身份标识和对端身份 标识。 [0011]在一些实施例中， 所述基于在预设时延内发送写报文的地址确定恶意攻击地址包 括： [0012]在匹配失败的情况 下， 将对应发送数据包的地址设置为可能攻击地址； [0013]记录从可能攻击地址 接收的报文信息； [0014]在所述预设时延内持续接收到可能攻击地址发送的报文信息的情况下， 确定该可 能攻击地址为恶意 攻击地址 。 [0015]在一些实施例中， 所述基于在预设时延内发送写报文的地址确定恶意攻击地址还 包括： 将恶意攻击地址加入防火墙黑名单中， 不接 收防火墙黑名单中的恶意攻击地址发送说　明　书 1/5 页 3 CN 114124511 A 3