(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221096195 5.8 (22)申请日 2022.08.11 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 王微　石亚磊　王耀杰　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 吕爱霞 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/0805(2022.01) H04L 12/46(2006.01) (54)发明名称 隧道检测的系统、 方法、 装置、 电子设备及存 储介质 (57)摘要 本申请属于通信技术领域， 公开了隧道检测 的系统、 方法、 装置、 电子设备及存储介质， 该方 法包括， 接收源设备发送的隧道探测请求消息； 获取隧道探测请求消息中的源隧道信息； 将本地 存储的IPSec隧道的目标隧道信息与源隧道信息 进行比对， 获得第一比对结果； 将目标IKE协商进 程中的第一隧道状态与 目标安全数据库中的第 二隧道状态进行比对， 获得第二比对结果； 基于 第一比对结果和第二比对结果， 向源设备发送隧 道探测响应消息。 这样， 通过隧道信息以及隧道 状态进行隧道检测， 提高了隧道检测的准确性。 权利要求书4页 说明书13页 附图3页 CN 115314308 A 2022.11.08 CN 115314308 A 1.一种隧道检测的系统， 其特征在于， 包括源设备和目标设备， 所述目标设备中包含目 标密钥交换IKE协商进程、 目标互联网协议安全IPSec安全联盟SA以及目标安全数据库， 所 述源设备中包含源IPSecSA， 所述源设备和所述目标设备之间建立有至少一个IPSec隧道， 每一IPSec隧道对应一对 源IPSecSA和目标IP SecSA； 所述源设备用于： 获取所述IPSec隧道的源隧道信息， 并向所述目标设备发送包含源隧 道信息的隧道探测请求消息， 并接收所述目标设备返回的隧道探测响应消息； 所述目标设备用于： 获取所述隧道探测请求消息中的源隧道信息， 并将本地存储的所 述IPSec隧道的目标隧道信息与所述源隧道信息进 行比对， 获得第一比对结果， 以及将所述 目标IKE协商进程中的第一隧道状态与所述目标安全数据库中的第二隧道状态进行比对， 获得第二比对结果， 并基于所述第一比对结果和所述第二比对结果， 向所述源设备发送所 述隧道探测响应消息， 所述第一隧道状态和所述第二隧道状态均为检测到的所述IPSec隧 道的隧道状态。 2.如权利要求1所述的系统， 其特 征在于， 所述源设备 具体用于： 若确定所述IPSec隧道为多个， 则向所述目标设备发送包含多个IPSec隧道的源隧道信 息的隧道探测请求消息； 接收所述目标设备返回的包 含各IPSec隧道的状态探测结果的隧道探测响应消息 。 3.如权利要求1所述的系统， 其特征在于， 所述源设备中还包含源安全数据库、 源IKE协 商进程以及第一本地数据库； 所述源设备 具体用于： 将所述源IKE协商进程中的源隧道信息， 分别与所述第一本地数据库中的第一隧道信 息以及所述源安全数据库中的第二隧道信息进行比对； 若确定所述第一隧道信息和所述第二隧道信息中的至少一个与所述源 隧道信息不一 致， 则生成 隧道异常信息， 并向所述 目标设备发送包含所述源隧道信息以及所述隧道异常 信息的隧道探测请求消息； 否则， 将包 含所述源隧道信息的隧道探测请求消息发送给 所述目标设备。 4.如权利要求1 ‑3任一项所述的系统， 其特征在于， 所述目标设备中还设置有第 二本地 数据库， 所述目标隧道信息包括所述第二本地数据库中的第三隧道信息和目标安全数据库 中的第四隧道信息， 所述目标设备 具体用于： 对所述隧道探测请求消息进行解密； 获取解密后的所述隧道探测请求消息中包 含的所述源隧道信息； 若确定所述隧道探测请求消息 中未包含所述源隧道信 息的隧道异常信 息， 则将所述源 隧道信息分别与所述第三隧道信息和第四隧道信息进行比对， 获得 所述第一比对结果； 若根据所述第一比对结果， 确定所述源隧道信息与所述目标隧道信息一致， 则将所述 第一隧道状态和所述第二隧道状态进行比对， 获得 所述第二比对结果。 5.如权利要求 4所述的系统， 其特 征在于， 所述目标设备还用于： 若确定所述隧道探测请求消息 中包含所述源隧道信 息对应的隧道异常信 息， 则删除所 述源隧道信息对应的目标IP SecSA， 并基于所述源隧道信息， 再次进行隧道 协商； 若根据所述第一比对结果， 确定所述源隧道信息与所述目标隧道信息不一致， 则基于 所述源隧道信息， 再次进行隧道 协商； 若根据所述第二比对结果， 确定所述第一隧道状态与所述第二隧道状态不一致， 则基权　利　要　求　书 1/4 页 2 CN 115314308 A 2于所述源隧道信息， 再次进行隧道 协商。 6.一种隧道检测的方法， 其特征在于， 应用于目标设备， 所述目标设备中包含目标密钥 交换IKE协商 进程、 目标互联网协议 安全IPSec安全联盟SA以及目标安全数据库， 包括： 接收源设备发送的隧道探测请求消息； 所述隧道探测请求消息中包含有所述源设备和 所述目标设备之间建立的IPSec隧道的源隧道信息， 每一IPSec隧道对应一对源IPSecSA和 目标IPSecSA， 所述源IP SecSA位于所述源设备内； 获取所述隧道探测请求消息中的源隧道信息； 将本地存储的所述IPSec隧道的目标隧道信息与所述源隧道信息进行比对， 获得第一 比对结果； 将所述目标IKE协商进程中的第 一隧道状态与所述目标安全数据库中的第 二隧道状态 进行比对， 获得第二比对结果； 所述第一隧道状态和所述第二隧道状态均为检测到的所述 IPSec隧道的隧道状态； 基于所述第 一比对结果和所述第 二比对结果， 向所述源设备发送所述隧道探测响应消 息。 7.如权利要求6所述的方法， 其特征在于， 所述将本地存储的所述IPSec隧道的目标隧 道信息与所述源隧道信息进行比对， 获得第一比对结果， 包括： 若确定所述IPSec隧道为多个， 则分别将每一IPSec隧道的源隧道信息和目标隧道信息 进行比对， 获得 各IPSec隧道的第一比对结果； 所述将所述目标IKE协商进程中的第一隧道状态与所述目标安全数据库中的第 二隧道 状态进行比对， 获得第二比对结果， 包括： 若确定所述IPSec隧道为多个， 则分别将每一IPSec隧道对应的第一隧道状态和第二隧 道状态进行比对， 获得 各IPSec隧道的第二比对结果。 8.如权利要求6所述的方法， 其特征在于， 所述目标设备中还设置有第二本地数据库， 所述目标隧道信息包括所述第二本地数据库中的第三隧道信息和所述目标安全数据库中 的第四隧道信息， 所述将本地存储的所述IPSec隧道的目标隧道信息与所述源隧道信息进 行比对， 获得第一比对结果， 包括： 对所述隧道探测请求消息进行解密； 获取解密后的所述隧道探测请求消息中包 含的源隧道信息； 若确定所述隧道探测请求消息 中未包含所述源隧道信 息对应的隧道异常信 息， 则将所 述源隧道信息 分别与所述第三隧道信息和所述第四隧道信息进行比对， 获得所述第一比对 结果。 9.如权利要求6 ‑8任一项所述的方法， 其特 征在于， 所述方法还 包括： 若确定所述隧道探测请求消息 中包含所述源隧道信 息对应的隧道异常信 息， 则删除所 述源隧道信息对应的目标IPSecSA， 并基于所述源隧道信息， 再次进行隧道协商， 所述隧道 异常信息表示所述 IPSec隧道异常； 若根据所述第一比对结果， 确定所述源隧道信息与所述目标隧道信息不一致， 则基于 所述源隧道信息， 再次进行隧道 协商； 若根据所述第二比对结果， 确定所述第一隧道状态与所述第二隧道状态不一致， 则基 于所述源隧道信息， 再次进行隧道 协商。权　利　要　求　书 2/4 页 3 CN 115314308 A 3