(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211164559.9 (22)申请日 2022.09.23 (71)申请人 中科海川 （北京） 科技有限公司 地址 101106 北京市通州区经济开发区东 区靓丽三街9号-2014 (72)发明人 孙旋　刘玉山　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 李博洋 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/30(2006.01) (54)发明名称 基于SD-WAN的端端协商通信方法、 终端设 备、 服务器 (57)摘要 本发明提供了一种基于SD ‑WAN的端端协商 通信方法、 终端设备、 服务器。 该方法包括： 向密 管中心发送互通域获取请求， 其中互通域获取请 求包括被管设备的设备标识信息； 接收密管中心 反馈的与互通域获取请求相对应的互通域， 并使 用与设备标识信息相对应的对称密钥， 获得解密 后的互通域， 其中， 互通域存储有与各被管设备 相对应的公钥； 基于解密后的互通域中的公钥与 设备标识信息的对应关系， 与公钥对应的被管设 备进行协商通信。 通过实施本发明， 被管设备通 过向密管中心发送互通域请求， 获得互通域， 并 基于互通域中的公钥实现SD ‑WAN中的被管设备 与被管设备间的协商通信， 实现端端协商通信的 批量认证， 从而降低端端协商通信密钥管理的复 杂程度。 权利要求书2页 说明书10页 附图3页 CN 115529128 A 2022.12.27 CN 115529128 A 1.一种基于S D‑WAN的端端协商通信方法， 应用于被管设备侧， 其特 征在于， 包括： 向密管中心发送互通域获取请求， 其中所述互通域获取请求包括所述被管设备的设备 标识信息； 接收所述密管中心反馈的与 所述互通域获取请求相对应的互通域， 并使用与 所述设备 标识信息相对应的对称密钥对所述互通域进 行解密， 获得解密后的互通域， 其中， 所述互通 域存储有与各被管设备相对应的公钥； 基于所述解密后的互通域中的公钥与所述设备标识信 息的对应关系， 与所述公钥对应 的被管设备进行协商通信。 2.根据权利 要求1所述的基于SD ‑WAN的端端协商通信方法， 其特征在于， 所述基于所述 解密后的互通域中的公钥与设备标识信息的对应关系， 与所述公钥对应的被管设备进 行协 商通信， 包括： 基于所述公钥进行 数据加密形成密钥协商数据； 以预先配置的私钥作为所述密钥协商数据的数字签名， 基于所述设备标识信息， 向所 述被管设备发送所述密钥协商数据。 3.根据权利要求1所述的基于S D‑WAN的端端协商通信方法， 其特 征在于， 还 包括： 接收所述密管中心更新的对称密钥和更新的互通 域； 返回执行所述向密管中心发送互通域获取请求， 其中所述互通域获取请求包括所述被 管设备的设备标识信息至所述基于所述解密后的互通域中的公钥与所述设备标识信息的 对应关系， 与所述公钥对应的被管设备进行协商通信的步骤。 4.一种基于S D‑WAN的端端协商通信方法， 应用于密管中心侧， 其特 征在于， 包括： 接收被管设备发送的互通域获取请求， 其中所述互通域获取请求包括所述被管设备的 设备标识信息； 选择与所述设备标识信 息对应的对称密钥对互通域进行加密， 并向所述被管设备发送 加密后的互通 域， 以使所述被管设备 执行以下过程： 接收所述密管中心反馈的与 所述互通域获取请求相对应的互通域， 并使用与 所述设备 标识信息相对应的对称密钥对所述互通域进 行解密， 获得解密后的互通域， 其中， 所述互通 域存储有与各被管设备相对应的公钥； 基于所述解密后的互通域中的公钥与所述设备标识信 息的对应关系， 与所述公钥对应 的被管设备进行协商通信。 5.根据权利 要求4所述的基于SD ‑WAN的端端协商通信方法， 其特征在于， 所述选择与所 述设备标识信息对应的对称密钥对互通 域进行加密， 包括： 基于所述设备 标识信息与所述互通 域的对应关系， 选择互通 域； 根据选择的对称密钥对选择的互通 域进行加密。 6.根据权利 要求5所述的基于SD ‑WAN的端端协商通信方法， 其特征在于， 所述基于所述 设备标识信息与所述互通 域的对应关系， 选择互通 域， 包括： 在所述设备标识信 息对应的设备为风险设备时， 删除所有互通域中与 所述风险设备的 设备标识信息对应的公钥。 7.根据权利 要求6所述的基于SD ‑WAN的端端协商通信方法， 其特征在于， 所述方法还包 括：权　利　要　求　书 1/2 页 2 CN 115529128 A 2在所述互通域发生变动 时， 根据与发生变动的互通域对应的所述设备标识信息， 选择 对称密钥； 基于所述对称密钥对发生变动的互通 域进行加密； 基于所述设备 标识信息， 向所述被管设备发送加密后的变动互通 域。 8.根据权利 要求4‑7中任一项所述的基于SD ‑WAN的端端协商通信方法， 其特征在于， 所 述方法还 包括： 更新所述对称密钥； 基于所述设备 标识信息， 向所述被管设备发送更新后的对称密钥。 9.一种终端设备， 其特 征在于， 包括： 存储器和 处理器， 所述存储器和所述处理器之间互相通信连接， 所述存储器中存储有 计算机指 令， 所述处理器通过执行所述计算机指 令， 从而执行如权利要求 1‑3中任一项 所述 的基于SD‑WAN的端端协商通信方法。 10.一种服 务器， 其特 征在于， 包括： 存储器和 处理器， 所述存储器和所述处理器之间互相通信连接， 所述存储器中存储有 计算机指 令， 所述处理器通过执行所述计算机指 令， 从而执行如权利要求4 ‑8中任一项 所述 的基于SD‑WAN的端端协商通信方法。权　利　要　求　书 2/2 页 3 CN 115529128 A 3