报文处理方法及装置.pdf

摘要
申请专利号：	CN201410383883.9	申请日：	2014.08.06
公开号：	CN104168205A	公开日：	2014.11.26
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|著录事项变更IPC(主分类):H04L 12/801变更事项:申请人变更前:杭州华三通信技术有限公司变更后:新华三技术有限公司变更事项:地址变更前:310052 浙江省杭州市滨江区长河路466号变更后:310052 浙江省杭州市滨江区长河路466号\|\|\|实质审查的生效IPC(主分类):H04L 12/801申请日:20140806\|\|\|公开
IPC分类号：	H04L12/801(2013.01)I	主分类号：	H04L12/801
申请人：	杭州华三通信技术有限公司
发明人：	张太博; 马雪娟
地址：	310052 浙江省杭州市滨江区长河路466号
优先权：
专利代理机构：	北京博思佳知识产权代理有限公司 11415	代理人：	林祥
PDF下载：	PDF下载

内容摘要

本发明提供一种报文处理方法及装置，该方法包括：GM设备接收来自GDVPN中的KS的协商报文；在确定出接收协商报文的接口配置有聚合ACL时，将协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全参数索引SPI，添加到接口注册的域在聚合ACL流表内对应的聚合ACL中；根据协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与SPI的对应关系，并根据对应的聚合ACL和对应关系处理接口接收到的数据报文。通过本发明的技术方案，可以有效降低GM设备中存储的TSA对的数量，避免过多的内存占用，有助于提升GM设备的数据报文处理和转发性能。

权利要求书

1.  一种报文处理方法，其特征在于，包括：
组域虚拟专用网络GDVPN中的组成员GM设备接收来自该GDVPN中的密钥服务器KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段；
在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全参数索引SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；
根据所述协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与所述SPI的对应关系，并根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。

2.  如权利要求1所述的方法，其特征在于，所述GM设备通过下述方式确定接收所述协商报文的接口配置有聚合ACL：
所述GM设备根据所述协商报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述协商报文中携带的域标识的IP安全策略；
若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则确定所述接口在聚合ACL流表中配置有聚合ACL。

3.  如权利要求1所述的方法，其特征在于，所述GM设备根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文，具体包括：
所述GM设备在确定所述接口接收到的数据报文命中对应的聚合ACL时，根据对应的聚合ACL中包含的SPI和所述对应关系确定所述SPI对应的TSA对；
按照确定出的TSA对，对所述数据报文进行加解密处理。

4.  如权利要求3所述的方法，其特征在于，所述GM设备通过下述方式确定所述接口接收到的数据报文命中对应的聚合ACL：
所述GM设备在所述接口接收到数据报文时，根据该数据报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述数据报文中携带的域标识的IP安全策略；
若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则在聚合ACL流表中确定对应于确定出的IP安全策略的聚合ACL，并当该聚合ACL中存在匹配于所述数据报文的流信息时，判定所述数据报文命中该聚合ACL。

5.  如权利要求1至4中任一项所述的方法，其特征在于，所述对应关系保存在本地的安全联盟数据库SAD中。

6.  一种报文处理装置，其特征在于，包括：
报文接收单元，接收来自组域虚拟专用网络GDVPN中的密钥服务器KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段；
信息添加单元，在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全参数索引SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；
密钥生成单元，根据所述协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，并建立该TSA对与所述SPI的对应关系；
报文处理单元，根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。

7.  根据权利要求6所述的装置，其特征在于，所述信息添加单元具体用于：
根据所述协商报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述协商报文中携带的域标识的IP安全策略；以及
若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则确定所述接口在聚合ACL流表中配置有聚合ACL。

8.  根据权利要求6所述的装置，其特征在于，所述报文处理单元具体用于：
在确定所述接口接收到的数据报文命中对应的聚合ACL时，根据对应的聚合ACL中包含的SPI和所述对应关系确定所述SPI对应的TSA对，并按照确定出的TSA对，对所述数据报文进行加解密处理。

9.  根据权利要求8所述的装置，其特征在于，所述报文处理单元具体用于：
在所述接口接收到数据报文时，根据该数据报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述数据报文中携带的域标识的IP安全策略；以及
若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则在聚合ACL流表中确定对应于确定出的IP安全策略的聚合ACL，并当该聚合ACL中存在匹配于所述数据报文的流信息时，判定所述数据报文命中该聚合ACL。

10.  根据权利要求6至9中任一项所述的装置，其特征在于，所述对应关系保存在本地的安全联盟数据库SAD中。

说明书

报文处理方法及装置
技术领域
本发明涉及通信技术领域，尤其涉及报文处理方法及装置。
背景技术
GDVPN(Group Domain VPN，组域VPN)是一种实现密钥和策略集中管理的解决方案。与传统的采用点到点的隧道连接的IPSec VPN不同，GDVPN是一种点到多点的无隧道VPN连接(透明模式)。GDVPN实现主要包括三部分：KS(Key Server，密钥服务器)、GM(Group Member，组成员)和GDOI(Group Domain Of Interpretation，组解释域)，KS用于为所有的GM分发加密密钥和IPSec(IP Security，IP安全)策略，GM根据KS分发的加密密钥对流量进行加解密，GDOI协议为用于KS和GM之间的组密钥管理协议。
GM从KS处获取加密密钥的过程主要包括两个阶段：1)第一阶段，GM与KS之间进行协商，具体是由KS通过IKE(Internet key exchange，密钥交换)协议来认证GM，并协商得到IKE SA(IKE Security Association，IKE安全联盟)；2)第二阶段，利用IKE SA建立安全通道，并由KS与GM通过该安全通道进行协商得到IPSec SA，以用于GM对流量进行加解密操作。由于第二阶段的IPSec SA用于对流量进行加解密，因而可以称之为TSA(Traffic SA)。
KS可以创建多个域，每台GM可以加入其中的一个或多个域中。KS会通过上述两个阶段的协商过程，为同一个域中的所有GM生成相同的TSA对(即用于加密的TSA和用于解密的TSA)，以保护该域内的GM之间的私网流量。
然而，KS在生成用于同一个域的TSA对时，是针对该域内的所有GM上配置的所有流信息(即Rule)进行生成的，即TSA对与流信息之间是一一对应的，并且每台GM中需要存储其所处域内的所有流信息(即该域内所有GM中配置的流信息)以及对应的TSA对，导致GM中存储的TSA对的数量会随着流信息数量的增加而增加，不仅会造成GM的查找、转发性能下降，还会占用大量内存，甚至造成内存溢出。
发明内容
有鉴于此，本发明提供一种新的技术方案，可以解决GM设备中存储的TSA对的数量过多而引起性能下降、内存溢出的技术问题。
为实现上述目的，本发明提供技术方案如下：
根据本发明的第一方面，提出了一种报文处理方法，包括：
GDVPN中的GM设备接收来自该GDVPN中的KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段；
在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全参数索引(Security Parameter Index，SPI)，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；
根据所述协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与所述SPI的对应关系，并根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。
根据本发明的第二方面，提出了一种报文处理装置，包括：
报文接收单元，接收来自GDVPN中的KS的协商报文，所述协商报文中包括多个TSA信息段；
信息添加单元，在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；
密钥生成单元，根据所述协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，并建立该TSA对与所述SPI的对应关系；
报文处理单元，根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。
由以上技术方案可见，本发明通过建立聚合ACL，并在聚合ACL与存储的TSA对之间建立基于SPI的关联关系，可以使得GM设备针对每个域仅需存储一个TSA对，有效降低了需要存储的TSA对数量，从而提升GM设备的查找、转发性能，并避免对内存的过量占用。
附图说明
图1示出了根据本发明的一示例性实施例的KS-GM网络结构示意图；
图2示出了根据本发明的一示例性实施例的报文处理方法的示意流程图；
图3示出了根据本发明的一示例性实施例的协商报文的结构示意图；
图4示出了根据本发明的一示例性实施例的TSA信息段的结构示意图；
图5示出了相关技术中存储TSA信息的示意图；
图6示出了相关技术中对数据报文进行处理的示意流程图；
图7示出了根据本发明的一示例性实施例的存储TSA信息的示意图；
图8示出了根据本发明的一示例性实施例的对数据报文进行处理的示意流程图；
图9示出了根据本发明的一示例性实施例的报文处理装置的示意框图。
具体实施方式
请参考图1，图1示出了根据本发明的一示例性实施例的KS-GM网络结构，包括一台KS和100台GM，其中GM1、GM2……GM100分别通过IP网络连接至KS，并加入KS创建的域中。假定对于KS创建的任一个域M1， GM1通过接口Eth1-1和接口Eth1-2分别向KS注册并加入M1中，GM2通过接口Eth2-1向KS注册并加入M1中……GM100通过接口Eth100-1向KS注册并加入M1中。
假定针对所有注册至M1的GM接口，KS总共配置了300条流信息，则每个接口都需要分别接收包含该300条流信息的300个TSA信息段，即300×2＝600个TSA(每条流信息对应于一个TSA对，每个TSA对包含2个TSA，分别用于加密和解密操作)。因此，由于GM2上仅通过接口Eth2-1注册至域M1，则GM2需要存储的对应于域M1的TSA对为600个；同时，由于GM1上分别通过接口Eth1-1和接口Eth1-2注册至域M1，则GM1需要存储的对应于域M1的TSA对为600×2＝1200个，其他GM设备中存储的TSA数量的计算方式类似，此处不再赘述。
同时，由于每台GM上的接口均可以在KS处注册至多个域内，则假定KS处创建了100个域时，各台GM中存储的TSA数量为：若GM2上的接口Eth2-1分别注册至KS处的100个域，则GM2中存储的TSA的数量为600×100＝60000个；若GM1上的接口Eth1-1和接口Eth1-2分别注册至KS处的100个域，则GM1中存储的TSA的数量为1200×100＝120000个。并且，随着GM数量和流信息数量的增加，TSA的数量还会继续增多。
可见，基于背景技术的处理方式，将使得GM中存储的TSA数量极多，不仅会影响GM的处理性能，还会占用大量内存，甚至导致内存溢出。为了解决上述问题，本发明提出了如图2所示的一种报文处理方法，该方法具体应用于GDVPN中的组成员GM设备，使得GM设备可以执行下述处理过程：
步骤202，在与GDVPN中的KS进行GDOI注册的过程中，接收来自KS的协商报文，协商报文中包括多个TSA信息段；
在本实施例中，针对GM设备上的每个接口加入的每个域，KS相应地生成一条协商报文，并通过该协商报文将对应于相应域的TSA信息段通告至GM设备；具体地，比如GM设备上的接口1分别加入了KS创建的域M1和M2，则KS将为GM设备分别生成协商报文1和协商报文2，其中协商报文1中包含应用于域M1的TSA信息段、协商报文2中包含应用于域M2的TSA信息段。
其中，协商报文的示意性结构可参见图3：由于TSA对与KS处配置的流信息之间一一对应，因而假定KS配置了200条流信息时，协商报文中包含200个TSA信息段，每个TSA信息段包含一条流信息，即对应于包含流信息1的TSA信息段1、包含对应于流信息2的TSA信息段2……包含对应于流信息200的TSA信息段200。
具体地，图4示出了每个TSA信息段的示意性结构：TSA信息段中依次包含“Protocol(协议)”、“SRC ID Type(源ID类型)”、“SRC ID Port(源ID端口)”、“SRC ID Data Len(源ID数据长度)”、“SRC Identification Data(源ID数据)”、“DST ID Type(目的ID类型)”、“DST ID Port(目的ID端口)”、“DST ID Data Len(目的ID数据长度)”、“DST Identification Data(目的ID数据)”、“Transform ID(转换ID)”、“SPI(Security Parameter Index，安全参数索引)”、“RFC 2407 SA Attributes(RFC2407文档中的安全联盟属性)”等字段，其中的“Protocol”字段到“DST Identification Data”字段为该TSA信息段包含的流信息。
步骤204，在确定出接收协商报文的接口配置有聚合访问控制列表(Access Control list，ACL)时，将协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的SPI添加到接口注册的域在聚合ACL流表内对应的聚合ACL中；
在本实施例中，若接口配置有聚合ACL，则表明预先为GM设备的该接口做了具体的功能配置，使其配置了聚合ACL功能，而聚合ACL流表中也会配置对应的记录聚合ACL的空间，则可以采用本发明提出的技术方案进行处理，以减少TSA的存储数量，否则可以按照现有技术的方式进行处理。
具体地，可以通过下述方式判定接收到协商报文的接口是否配置有聚合ACL：
首先，确定根据当前接收到的协商报文对应中携带的接口注册的域标识，以及预配置的域标识与IPSec策略之间的对应关系，并获取确定接口相应绑定的IPSec策略。由于KS会针对GM注册的每个域分别下发对应的协商报文，因而假定当前由GM设备上的接口1接收到对应于M1域的协商报文，则GM设备需要获取在接口1上绑定的对应于M1域的IPSec策略。
然后，根据预配置的策略类型与聚合ACL流表之间的对应关系，判断IPSec策略的类型是否对应于聚合ACL流表。GM设备上会预先在策略类型与ACL流表之间建立对应关系，比如一种类型的IPSec策略应用于GDOI，则将这类IPSec策略与聚合ACL流表建立关联，而其他类型的IPSec策略则与现有技术中的普通ACL流表建立关联。因此，针对上述实施例中的接口1上绑定的对应于M1域的IPSec策略，若该IPSec策略为GDOI类型，则可以判断该策略的类型对应于聚合ACL流表或是普通的ACL流表。
最后，当判定确定出的IPSec策略的类型对应于聚合ACL流表时，则确定接口在聚合ACL流表中配置有聚合ACL。比如表1示出了一示例性实施例的聚合ACL流表的示意结构：在聚合ACL流表中，将策略和聚合ACL进行对应存储，比如GM设备中的接口1采用策略1注册至M1域，则根据KS下发的协商报文1在聚合ACL中对应存储策略1和ACL1，而接口1采用策略2注册至M2域时，则根据KS下发的协商报文2在聚合ACL中对应存储策略2和ACL2，当GM设备中的接口2采用策略3注册至M1域时，则根据KS下发的协商报文3在聚合ACL中对应存储策略3和ACL3。

策略1ACL1策略2ACL2策略3ACL3……

表1
步骤206，根据协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与SPI的对应关系，并根据对应的聚合ACL和对应关系处理接口接收到的数据报文。
在本实施例中，获取SPI信息和TSA信息的TSA信息段可以相同，也可以不同。其中，若为同一个TSA信息段，该TSA信息段可以为协商报文中的首个TSA信息段；当然，其他任一TSA信息段均可以应用于本发明的技术方案中。
由上述实施例可知，本发明在GM设备接收到协商报文时，对所有TSA信息段均进行解析并获取其中的流信息，以添加至聚合ACL中，但仅获取任一TSA信息段中的TSA信息，并存储对应生成的TSA对，而无需根据其他TSA信息段中的TSA信息生成TSA对，也不需要存储相应的TSA对。因此，在本发明的技术方案中，针对GM设备上的每个接口加入的每个域，仅需存储一个TSA对，从而有效减少GM设备上存储的TSA对的数量。
同时，本发明通过在聚合ACL中存储SPI、在SPI与TSA对之间建立对应关系，使得GM在仅需存储一个TSA对的情况下，即可当数据报文命中聚合ACL时，获取上述存储的唯一TSA对，以用于对该数据报文的处理。
请参考图5，图5示出了相关技术中存储TSA信息的方式，包括：GM设备在接收到来自KS的协商报文后，分别解析该协商报文中的所有TSA信息段，并获取每个TSA信息段中包含的流信息和TSA信息；将流信息添加至标准ACL流表中，而将TSA信息生成为TSA对并添加至SAD(Security Association Database，安全联盟数据库)中。
由于每个TSA信息段中的流信息和TSA信息均被处理并存储，使得标准ACL流表内的标准ACL中的流信息与SAD中存储的TSA对之间一一对应，比如图5所示的标准ACL中的流信息1对应于SAD中的TSA对1、流信息2对应于TSA对2、流信息3对应于TSA对3……相应地，相关技术中对数据报文进行处理的过程如图6所示，包括：
步骤602，假定GM设备中的数据报文需要从接口1进行转发。
步骤604，根据数据报文携带的域标识，以及预配置的域标识与IPSec策略之间的对应关系，判断接口1在该域内是否绑定了IPSec策略，若已绑定，则转步骤606，否则转步骤618。
步骤606，将需要转发的数据报文转至IPSec模块进行处理。
步骤608，根据接口1绑定的对应于上述域标识的IPSec策略，在标准ACL流表中查找对应的标准ACL。比如表2示出了现有技术中的标准ACL流表的示意性结构，其中将策略与标准ACL之间对应存储：策略1与标准ACL1(未标示)对应存储，且标准ACL1中包含Rule0、Rule1、Rule2和Rule3；策略2与标准ACL2(未标示)对应存储，且标准ACL2中包含Rule0’、Rule1’和Rule2’。因此，假定接口1为上述域标识对应绑定了策略1，则确定接口1当前在标准ACL流表中对应于标准ACL1。

表2
步骤610，将数据报文的转发信息与标准ACL中的Rule进行匹配。具体地，针对接口1绑定的策略1，则可以将当前需要接口1转发的数据报文的转发信息与策略1对应的标准ACL1中的Rule0、Rule1、Rule2和Rule3进行匹配。
步骤612，判断是否存在相匹配的Rule，若存在，则转步骤614，否则转步骤618。
步骤614，根据匹配的Rule，在SAD中查找对应的TSA对。
步骤616，利用查找到的TSA对，对数据报文进行封装处理后，由接口1进行转发。
步骤618，由接口1对数据报文进行明文转发。
需要说明的是，上述流程中以接口1对数据报文的转发为例进行说明，则步骤616中需要利用查找到的TSA对，对数据报文进行加密处理并转发；而对接口1接收到的IPSec封装的数据报文进行处理时，可以根据该数据报文采用的协议号(由报文头部解析得到)，若为AH(Authentication Header，认证报头协议，对应的协议号为51)或ESP(Encapsulate Security Payload，封装安全载荷协议，对应的协议号为50)解析，则交由IPSec模块处理，并利用查找到的TSA对来解密数据报文，若为其他协议或未查找到匹配的TSA对，则丢弃该数据报文。
同时，由于图6所示的处理流程是基于图5所示的结构来实现的，而图5中存储于SAD的TSA对1、TSA对2、TSA对3等均用于同一个域，即这些TSA对实际上都是一样的，使得SAD中存在大量的重复数据。当SAD中存储的TSA对的数量较多时，则步骤614需要花费更多的时间来查找匹配的TSA对，降低了GM对数据报文的处理效率。
对应于图5，图7示出了对应于根据本发明的一示例性实施例的存储TSA信息的方式，该方式与图2所示的报文处理方法是一致的，包括：
假定GM设备上的接口1注册至KS上的域M1，则创建了相应的聚合ACL；同时，针对接口1注册的其他域，以及GM设备上的其他接口对各个域的注册情况，也可以相应地创建聚合ACL。当GM设备接收到来自KS的协商报文时，对所有的TSA信息段进行解析，其中所有TSA信息段中的流信息均被添加至对应的聚合ACL中，但仅将一个TSA信息段中的SPI添加至该聚合ACL中，且仅将一个TSA信息段中的TSA信息生成为TSA对并存储至SAD中，其中在该TSA对与添加至聚合ACL中的SPI建立关联关系。因此，当数据报文与该聚合ACL中的任一流信息1～n匹配时，均可以通过该聚合ACL中存储的SPI查找到SAD中存储的TSA对，而无需为每条流信息分别存储对应的TSA对，其具体处理过程如图8所示，包括：
步骤802，假定GM设备中的数据报文需要从接口1进行转发。
步骤804，根据需要转发的数据报文携带的域标识，以及预配置的域标识与IPSec策略之间的对应关系，判断接口1是否绑定了IPSec策略，若已绑定，则转步骤806，否则转步骤818。
步骤806，将需要转发的数据报文转至IPSec模块进行处理。
步骤808，查找与接口1相匹配的聚合ACL。具体地，确定接口1绑定的对应于上述域标识的IPSec策略，并根据预配置的IPSec策略类型与聚合ACL流表之间的对应关系，确定IPSec策略是否对应于聚合ACL流表。
根据本发明的一示例性实施例，表3示出了聚合ACL流表的具体结构，其中对IPSec策略和聚合ACL之间进行对应存储：策略1与聚合ACL1(未标示)对应存储，聚合ACL1中包含Rule0、Rule1、Rule2和Rule3，且聚合ACL1中还存储有对应的SPI，比如SPI1；策略2与聚合ACL2(未标示)对应存储，聚合ACL2中包含Rule0’、Rule1’和Rule2’，且聚合ACL2中还存储有对应的SPI2。
假定接口1为需要转发的数据报文中携带的域标识相应绑定了策略2，且该策略2的类型对应于聚合ACL流表，则可以确定接口1在聚合ACL流表中对应于聚合ACL2。

表3
步骤810，将数据报文的转发信息与聚合ACL2中的Rule0’、Rule1’和Rule2’等进行匹配。
步骤812，判断是否存在相匹配的Rule，若存在，则转步骤814，否则转步骤818。
步骤814，由于存在匹配的Rule，使得当前聚合ACL2被命中，根据该聚合ACL2中的SPI2，在SAD中查找对应的TSA对。
步骤816，利用查找到的TSA对，对数据报文进行封装处理后，由接口1进行转发。
步骤818，由接口1对数据报文进行明文转发。
需要说明的是，上述流程中以接口1对数据报文的转发为例进行说明，则步骤816中需要利用查找到的TSA对，对数据报文进行加密处理并转发；而对接口1接收到的IPSec封装的数据报文进行处理时，可以根据该数据报文采用的协议号(由报文头部解析得到)，若为AH或ESP解析，则交由IPSec模块处理，并利用查找到的TSA对来解密数据报文，若为其他协议或未查找到匹配的TSA对，则丢弃该数据报文。
同时，由于图8所示的处理流程是基于图7所示的结构来实现的，而图7中将“每条流信息对应于一个TSA对”更新为“每个聚合ACL(通过相应的SPI)对应于一个TSA对”，从而有效降低了SAD中存储TSA对的数量，有助于提升步骤816中查找TSA对的效率，并且避免了对GM内存的过量占用。
具体地，仍以图1所示的网络结构为例进行说明：针对所有注册至M1的GM接口，虽然KS总共配置了300条流信息，但由于这300条流信息均被添加至聚合ACL中，使得每个接口分别存储的对应于该300条流信息的TSA仅为2个。因此，由于GM2上仅通过接口Eth2-1注册至域M1，则GM2需要存储的对应于域M1的TSA对为2个；同时，由于GM1上分别通过接口Eth1-1和接口Eth1-2注册至域M1，则GM1需要存储的对应于域M1的TSA对为2×2＝4个，其他GM设备中存储的TSA数量的计算方式类似，此处不再赘述。
同时，由于每台GM上的接口均可以在KS处注册至多个域内，则假定 KS处创建了100个域时，各台GM中存储的TSA数量为：若GM2上的接口Eth2-1分别注册至KS处的100个域，则GM2中存储的TSA的数量为2×100＝200个，远小于采用相关技术的60000个；若GM1上的接口Eth1-1和接口Eth1-2分别注册至KS处的100个域，则GM1中存储的TSA的数量为4×100＝400个，远小于采用相关技术的120000个。并且，即便加入域M1的GM数量增加、KS为相应GM配置的流信息的数量增加，各台GM中存储TSA的数量也不会增加，从而有效避免了GM的性能下降和内存溢出问题。
对应于上述的报文处理方法，本发明提出了如图9所示的报文处理装置，该报文处理装置可以为GDVPN中的GM设备，该报文处理装置包括：
报文接收单元，接收来自GDVPN中的KS的协商报文，协商报文中包括多个TSA信息段；
信息添加单元，在确定出接收协商报文的接口配置有聚合访问控制列表ACL时，将协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的SPI，添加到接口注册的域在聚合ACL流表内对应的聚合ACL中；
密钥生成单元，根据协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，并建立该TSA对与SPI的对应关系；
报文处理单元，根据对应的聚合ACL和对应关系处理接口接收到的数据报文。
可选的，信息添加单元具体用于：
根据协商报文中携带的接口注册的域标识，以及预配置的域标识与IPSec策略之间的对应关系，确定接口绑定的对应于所述协商报文中携带的域标识的IPSec策略；以及
若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IPSec策略的类型对应于聚合ACL流表，则确定接口在聚合ACL流表中配置有聚合ACL。
可选的，报文处理单元具体用于：
在确定接口接收到的数据报文命中对应的聚合ACL时，根据对应的聚合ACL中包含的SPI和对应关系确定SPI对应的TSA对，并按照确定出的TSA对，对数据报文进行加解密处理。
可选的，报文处理单元具体用于：
在接口接收到数据报文时，根据该数据报文中携带的接口注册的域标识，以及预配置的域标识与IPSec策略之间的对应关系，确定接口相应绑定的对应于所述数据报文中携带的域标识的IPSec策略；以及
若根据预配置的IPSec策略类型与聚合ACL流表之间的对应关系，判定确定出的IPSec策略的类型对应于聚合ACL流表，则在聚合ACL流表中确定对应于确定出的IPSec策略的聚合ACL，并当该聚合ACL中存在匹配于数据报文的流信息时，判定数据报文命中该聚合ACL。
可选的，上述TSA对与SPI之间的对应关系保存在本地的SAD中。
因此，本发明通过建立聚合ACL，并在聚合ACL与存储的TSA对之间建立基于SPI的关联关系，可以使得GM设备针对每个域仅需存储一个TSA对，有效降低了需要存储的TSA对数量，从而提升GM设备的查找、转发性能，并避免对内存的过量占用。
以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

资源描述

《报文处理方法及装置.pdf》由会员分享，可在线阅读，更多相关《报文处理方法及装置.pdf（15页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104168205A43申请公布日20141126CN104168205A21申请号201410383883922申请日20140806H04L12/80120130171申请人杭州华三通信技术有限公司地址310052浙江省杭州市滨江区长河路466号72发明人张太博马雪娟74专利代理机构北京博思佳知识产权代理有限公司11415代理人林祥54发明名称报文处理方法及装置57摘要本发明提供一种报文处理方法及装置，该方法包括GM设备接收来自GDVPN中的KS的协商报文；在确定出接收协商报文的接口配置有聚合ACL时，将协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的。

2、安全参数索引SPI，添加到接口注册的域在聚合ACL流表内对应的聚合ACL中；根据协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与SPI的对应关系，并根据对应的聚合ACL和对应关系处理接口接收到的数据报文。通过本发明的技术方案，可以有效降低GM设备中存储的TSA对的数量，避免过多的内存占用，有助于提升GM设备的数据报文处理和转发性能。51INTCL权利要求书2页说明书8页附图4页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图4页10申请公布号CN104168205ACN104168205A1/2页21一种报文处理方法，其特征在于，包括。

3、组域虚拟专用网络GDVPN中的组成员GM设备接收来自该GDVPN中的密钥服务器KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段；在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全参数索引SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；根据所述协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与所述SPI的对应关系，并根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。2如权利要求1所述的方法，其特征在于，所述GM设备通过下述方式确定。

4、接收所述协商报文的接口配置有聚合ACL所述GM设备根据所述协商报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述协商报文中携带的域标识的IP安全策略；若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则确定所述接口在聚合ACL流表中配置有聚合ACL。3如权利要求1所述的方法，其特征在于，所述GM设备根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文，具体包括所述GM设备在确定所述接口接收到的数据报文命中对应的聚合ACL时，根据对应的聚合ACL中包含的SPI和所述对应关系确。

5、定所述SPI对应的TSA对；按照确定出的TSA对，对所述数据报文进行加解密处理。4如权利要求3所述的方法，其特征在于，所述GM设备通过下述方式确定所述接口接收到的数据报文命中对应的聚合ACL所述GM设备在所述接口接收到数据报文时，根据该数据报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述数据报文中携带的域标识的IP安全策略；若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则在聚合ACL流表中确定对应于确定出的IP安全策略的聚合ACL，并当该聚合ACL中存在匹配于所述数据报文的流信。

6、息时，判定所述数据报文命中该聚合ACL。5如权利要求1至4中任一项所述的方法，其特征在于，所述对应关系保存在本地的安全联盟数据库SAD中。6一种报文处理装置，其特征在于，包括报文接收单元，接收来自组域虚拟专用网络GDVPN中的密钥服务器KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段；信息添加单元，在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全参数索引SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；密钥生成单元，根据所述协商报文中的任一TSA信息段所包含的TSA信息生。

7、成一个TSA权利要求书CN104168205A2/2页3对，并建立该TSA对与所述SPI的对应关系；报文处理单元，根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。7根据权利要求6所述的装置，其特征在于，所述信息添加单元具体用于根据所述协商报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述协商报文中携带的域标识的IP安全策略；以及若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则确定所述接口在聚合ACL流表中配置有聚合ACL。8根据权利要求6所述的装置，其特征在于，所。

8、述报文处理单元具体用于在确定所述接口接收到的数据报文命中对应的聚合ACL时，根据对应的聚合ACL中包含的SPI和所述对应关系确定所述SPI对应的TSA对，并按照确定出的TSA对，对所述数据报文进行加解密处理。9根据权利要求8所述的装置，其特征在于，所述报文处理单元具体用于在所述接口接收到数据报文时，根据该数据报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述数据报文中携带的域标识的IP安全策略；以及若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则在聚合ACL流表中确定对应于确定出。

9、的IP安全策略的聚合ACL，并当该聚合ACL中存在匹配于所述数据报文的流信息时，判定所述数据报文命中该聚合ACL。10根据权利要求6至9中任一项所述的装置，其特征在于，所述对应关系保存在本地的安全联盟数据库SAD中。权利要求书CN104168205A1/8页4报文处理方法及装置技术领域0001本发明涉及通信技术领域，尤其涉及报文处理方法及装置。背景技术0002GDVPNGROUPDOMAINVPN，组域VPN是一种实现密钥和策略集中管理的解决方案。与传统的采用点到点的隧道连接的IPSECVPN不同，GDVPN是一种点到多点的无隧道VPN连接透明模式。GDVPN实现主要包括三部分KSKEYSER。

10、VER，密钥服务器、GMGROUPMEMBER，组成员和GDOIGROUPDOMAINOFINTERPRETATION，组解释域，KS用于为所有的GM分发加密密钥和IPSECIPSECURITY，IP安全策略，GM根据KS分发的加密密钥对流量进行加解密，GDOI协议为用于KS和GM之间的组密钥管理协议。0003GM从KS处获取加密密钥的过程主要包括两个阶段1第一阶段，GM与KS之间进行协商，具体是由KS通过IKEINTERNETKEYEXCHANGE，密钥交换协议来认证GM，并协商得到IKESAIKESECURITYASSOCIATION，IKE安全联盟；2第二阶段，利用IKESA建立安全通道。

11、，并由KS与GM通过该安全通道进行协商得到IPSECSA，以用于GM对流量进行加解密操作。由于第二阶段的IPSECSA用于对流量进行加解密，因而可以称之为TSATRAFCSA。0004KS可以创建多个域，每台GM可以加入其中的一个或多个域中。KS会通过上述两个阶段的协商过程，为同一个域中的所有GM生成相同的TSA对即用于加密的TSA和用于解密的TSA，以保护该域内的GM之间的私网流量。0005然而，KS在生成用于同一个域的TSA对时，是针对该域内的所有GM上配置的所有流信息即RULE进行生成的，即TSA对与流信息之间是一一对应的，并且每台GM中需要存储其所处域内的所有流信息即该域内所有GM中配。

12、置的流信息以及对应的TSA对，导致GM中存储的TSA对的数量会随着流信息数量的增加而增加，不仅会造成GM的查找、转发性能下降，还会占用大量内存，甚至造成内存溢出。发明内容0006有鉴于此，本发明提供一种新的技术方案，可以解决GM设备中存储的TSA对的数量过多而引起性能下降、内存溢出的技术问题。0007为实现上述目的，本发明提供技术方案如下0008根据本发明的第一方面，提出了一种报文处理方法，包括0009GDVPN中的GM设备接收来自该GDVPN中的KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段；0010在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文。

13、中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全参数索引SECURITYPARAMETERINDEX，SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；说明书CN104168205A2/8页50011根据所述协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与所述SPI的对应关系，并根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。0012根据本发明的第二方面，提出了一种报文处理装置，包括0013报文接收单元，接收来自GDVPN中的KS的协商报文，所述协商报文中包括多个TSA信息段；0014信息添加单元，在确定出接收所。

14、述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；0015密钥生成单元，根据所述协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，并建立该TSA对与所述SPI的对应关系；0016报文处理单元，根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。0017由以上技术方案可见，本发明通过建立聚合ACL，并在聚合ACL与存储的TSA对之间建立基于SPI的关联关系，可以使得GM设备针对每个域仅需存储一个TSA对，有效降低了需要存储的TSA对。

15、数量，从而提升GM设备的查找、转发性能，并避免对内存的过量占用。附图说明0018图1示出了根据本发明的一示例性实施例的KSGM网络结构示意图；0019图2示出了根据本发明的一示例性实施例的报文处理方法的示意流程图；0020图3示出了根据本发明的一示例性实施例的协商报文的结构示意图；0021图4示出了根据本发明的一示例性实施例的TSA信息段的结构示意图；0022图5示出了相关技术中存储TSA信息的示意图；0023图6示出了相关技术中对数据报文进行处理的示意流程图；0024图7示出了根据本发明的一示例性实施例的存储TSA信息的示意图；0025图8示出了根据本发明的一示例性实施例的对数据报文进行处理。

16、的示意流程图；0026图9示出了根据本发明的一示例性实施例的报文处理装置的示意框图。具体实施方式0027请参考图1，图1示出了根据本发明的一示例性实施例的KSGM网络结构，包括一台KS和100台GM，其中GM1、GM2GM100分别通过IP网络连接至KS，并加入KS创建的域中。假定对于KS创建的任一个域M1，GM1通过接口ETH11和接口ETH12分别向KS注册并加入M1中，GM2通过接口ETH21向KS注册并加入M1中GM100通过接口ETH1001向KS注册并加入M1中。0028假定针对所有注册至M1的GM接口，KS总共配置了300条流信息，则每个接口都需要分别接收包含该300条流信息的3。

17、00个TSA信息段，即3002600个TSA每条流信息对应于一个TSA对，每个TSA对包含2个TSA，分别用于加密和解密操作。因此，由于GM2上仅通过接口ETH21注册至域M1，则GM2需要存储的对应于域M1的TSA对为600个；同时，由于GM1上分别通过接口ETH11和接口ETH12注册至域M1，则GM1需要存储的对应说明书CN104168205A3/8页6于域M1的TSA对为60021200个，其他GM设备中存储的TSA数量的计算方式类似，此处不再赘述。0029同时，由于每台GM上的接口均可以在KS处注册至多个域内，则假定KS处创建了100个域时，各台GM中存储的TSA数量为若GM2上的接。

18、口ETH21分别注册至KS处的100个域，则GM2中存储的TSA的数量为60010060000个；若GM1上的接口ETH11和接口ETH12分别注册至KS处的100个域，则GM1中存储的TSA的数量为1200100120000个。并且，随着GM数量和流信息数量的增加，TSA的数量还会继续增多。0030可见，基于背景技术的处理方式，将使得GM中存储的TSA数量极多，不仅会影响GM的处理性能，还会占用大量内存，甚至导致内存溢出。为了解决上述问题，本发明提出了如图2所示的一种报文处理方法，该方法具体应用于GDVPN中的组成员GM设备，使得GM设备可以执行下述处理过程0031步骤202，在与GDVPN。

19、中的KS进行GDOI注册的过程中，接收来自KS的协商报文，协商报文中包括多个TSA信息段；0032在本实施例中，针对GM设备上的每个接口加入的每个域，KS相应地生成一条协商报文，并通过该协商报文将对应于相应域的TSA信息段通告至GM设备；具体地，比如GM设备上的接口1分别加入了KS创建的域M1和M2，则KS将为GM设备分别生成协商报文1和协商报文2，其中协商报文1中包含应用于域M1的TSA信息段、协商报文2中包含应用于域M2的TSA信息段。0033其中，协商报文的示意性结构可参见图3由于TSA对与KS处配置的流信息之间一一对应，因而假定KS配置了200条流信息时，协商报文中包含200个TSA信。

20、息段，每个TSA信息段包含一条流信息，即对应于包含流信息1的TSA信息段1、包含对应于流信息2的TSA信息段2包含对应于流信息200的TSA信息段200。0034具体地，图4示出了每个TSA信息段的示意性结构TSA信息段中依次包含“PROTOCOL协议”、“SRCIDTYPE源ID类型”、“SRCIDPORT源ID端口”、“SRCIDDATALEN源ID数据长度”、“SRCIDENTICATIONDATA源ID数据”、“DSTIDTYPE目的ID类型”、“DSTIDPORT目的ID端口”、“DSTIDDATALEN目的ID数据长度”、“DSTIDENTICATIONDATA目的ID数据”、“T。

21、RANSFORMID转换ID”、“SPISECURITYPARAMETERINDEX，安全参数索引”、“RFC2407SAATTRIBUTESRFC2407文档中的安全联盟属性”等字段，其中的“PROTOCOL”字段到“DSTIDENTICATIONDATA”字段为该TSA信息段包含的流信息。0035步骤204，在确定出接收协商报文的接口配置有聚合访问控制列表ACCESSCONTROLLIST，ACL时，将协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的SPI添加到接口注册的域在聚合ACL流表内对应的聚合ACL中；0036在本实施例中，若接口配置有聚合ACL，则表明预先为G。

22、M设备的该接口做了具体的功能配置，使其配置了聚合ACL功能，而聚合ACL流表中也会配置对应的记录聚合ACL的空间，则可以采用本发明提出的技术方案进行处理，以减少TSA的存储数量，否则可以按照现有技术的方式进行处理。0037具体地，可以通过下述方式判定接收到协商报文的接口是否配置有聚合ACL0038首先，确定根据当前接收到的协商报文对应中携带的接口注册的域标识，以及预说明书CN104168205A4/8页7配置的域标识与IPSEC策略之间的对应关系，并获取确定接口相应绑定的IPSEC策略。由于KS会针对GM注册的每个域分别下发对应的协商报文，因而假定当前由GM设备上的接口1接收到对应于M1域的协。

23、商报文，则GM设备需要获取在接口1上绑定的对应于M1域的IPSEC策略。0039然后，根据预配置的策略类型与聚合ACL流表之间的对应关系，判断IPSEC策略的类型是否对应于聚合ACL流表。GM设备上会预先在策略类型与ACL流表之间建立对应关系，比如一种类型的IPSEC策略应用于GDOI，则将这类IPSEC策略与聚合ACL流表建立关联，而其他类型的IPSEC策略则与现有技术中的普通ACL流表建立关联。因此，针对上述实施例中的接口1上绑定的对应于M1域的IPSEC策略，若该IPSEC策略为GDOI类型，则可以判断该策略的类型对应于聚合ACL流表或是普通的ACL流表。0040最后，当判定确定出的IP。

24、SEC策略的类型对应于聚合ACL流表时，则确定接口在聚合ACL流表中配置有聚合ACL。比如表1示出了一示例性实施例的聚合ACL流表的示意结构在聚合ACL流表中，将策略和聚合ACL进行对应存储，比如GM设备中的接口1采用策略1注册至M1域，则根据KS下发的协商报文1在聚合ACL中对应存储策略1和ACL1，而接口1采用策略2注册至M2域时，则根据KS下发的协商报文2在聚合ACL中对应存储策略2和ACL2，当GM设备中的接口2采用策略3注册至M1域时，则根据KS下发的协商报文3在聚合ACL中对应存储策略3和ACL3。0041策略1ACL1策略2ACL2策略3ACL30042表10043步骤206，根。

25、据协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与SPI的对应关系，并根据对应的聚合ACL和对应关系处理接口接收到的数据报文。0044在本实施例中，获取SPI信息和TSA信息的TSA信息段可以相同，也可以不同。其中，若为同一个TSA信息段，该TSA信息段可以为协商报文中的首个TSA信息段；当然，其他任一TSA信息段均可以应用于本发明的技术方案中。0045由上述实施例可知，本发明在GM设备接收到协商报文时，对所有TSA信息段均进行解析并获取其中的流信息，以添加至聚合ACL中，但仅获取任一TSA信息段中的TSA信息，并存储对应生成的TSA对，而无需根据其他TSA信息。

26、段中的TSA信息生成TSA对，也不需要存储相应的TSA对。因此，在本发明的技术方案中，针对GM设备上的每个接口加入的每个域，仅需存储一个TSA对，从而有效减少GM设备上存储的TSA对的数量。0046同时，本发明通过在聚合ACL中存储SPI、在SPI与TSA对之间建立对应关系，使得GM在仅需存储一个TSA对的情况下，即可当数据报文命中聚合ACL时，获取上述存储的唯一TSA对，以用于对该数据报文的处理。说明书CN104168205A5/8页80047请参考图5，图5示出了相关技术中存储TSA信息的方式，包括GM设备在接收到来自KS的协商报文后，分别解析该协商报文中的所有TSA信息段，并获取每个TS。

27、A信息段中包含的流信息和TSA信息；将流信息添加至标准ACL流表中，而将TSA信息生成为TSA对并添加至SADSECURITYASSOCIATIONDATABASE，安全联盟数据库中。0048由于每个TSA信息段中的流信息和TSA信息均被处理并存储，使得标准ACL流表内的标准ACL中的流信息与SAD中存储的TSA对之间一一对应，比如图5所示的标准ACL中的流信息1对应于SAD中的TSA对1、流信息2对应于TSA对2、流信息3对应于TSA对3相应地，相关技术中对数据报文进行处理的过程如图6所示，包括0049步骤602，假定GM设备中的数据报文需要从接口1进行转发。0050步骤604，根据数据报文。

28、携带的域标识，以及预配置的域标识与IPSEC策略之间的对应关系，判断接口1在该域内是否绑定了IPSEC策略，若已绑定，则转步骤606，否则转步骤618。0051步骤606，将需要转发的数据报文转至IPSEC模块进行处理。0052步骤608，根据接口1绑定的对应于上述域标识的IPSEC策略，在标准ACL流表中查找对应的标准ACL。比如表2示出了现有技术中的标准ACL流表的示意性结构，其中将策略与标准ACL之间对应存储策略1与标准ACL1未标示对应存储，且标准ACL1中包含RULE0、RULE1、RULE2和RULE3；策略2与标准ACL2未标示对应存储，且标准ACL2中包含RULE0、RULE1。

29、和RULE2。因此，假定接口1为上述域标识对应绑定了策略1，则确定接口1当前在标准ACL流表中对应于标准ACL1。00530054表20055步骤610，将数据报文的转发信息与标准ACL中的RULE进行匹配。具体地，针对接口1绑定的策略1，则可以将当前需要接口1转发的数据报文的转发信息与策略1对应的标准ACL1中的RULE0、RULE1、RULE2和RULE3进行匹配。0056步骤612，判断是否存在相匹配的RULE，若存在，则转步骤614，否则转步骤618。0057步骤614，根据匹配的RULE，在SAD中查找对应的TSA对。0058步骤616，利用查找到的TSA对，对数据报文进行封装处理后。

30、，由接口1进行转发。0059步骤618，由接口1对数据报文进行明文转发。说明书CN104168205A6/8页90060需要说明的是，上述流程中以接口1对数据报文的转发为例进行说明，则步骤616中需要利用查找到的TSA对，对数据报文进行加密处理并转发；而对接口1接收到的IPSEC封装的数据报文进行处理时，可以根据该数据报文采用的协议号由报文头部解析得到，若为AHAUTHENTICATIONHEADER，认证报头协议，对应的协议号为51或ESPENCAPSULATESECURITYPAYLOAD，封装安全载荷协议，对应的协议号为50解析，则交由IPSEC模块处理，并利用查找到的TSA对来解密数据。

31、报文，若为其他协议或未查找到匹配的TSA对，则丢弃该数据报文。0061同时，由于图6所示的处理流程是基于图5所示的结构来实现的，而图5中存储于SAD的TSA对1、TSA对2、TSA对3等均用于同一个域，即这些TSA对实际上都是一样的，使得SAD中存在大量的重复数据。当SAD中存储的TSA对的数量较多时，则步骤614需要花费更多的时间来查找匹配的TSA对，降低了GM对数据报文的处理效率。0062对应于图5，图7示出了对应于根据本发明的一示例性实施例的存储TSA信息的方式，该方式与图2所示的报文处理方法是一致的，包括0063假定GM设备上的接口1注册至KS上的域M1，则创建了相应的聚合ACL；同时。

32、，针对接口1注册的其他域，以及GM设备上的其他接口对各个域的注册情况，也可以相应地创建聚合ACL。当GM设备接收到来自KS的协商报文时，对所有的TSA信息段进行解析，其中所有TSA信息段中的流信息均被添加至对应的聚合ACL中，但仅将一个TSA信息段中的SPI添加至该聚合ACL中，且仅将一个TSA信息段中的TSA信息生成为TSA对并存储至SAD中，其中在该TSA对与添加至聚合ACL中的SPI建立关联关系。因此，当数据报文与该聚合ACL中的任一流信息1N匹配时，均可以通过该聚合ACL中存储的SPI查找到SAD中存储的TSA对，而无需为每条流信息分别存储对应的TSA对，其具体处理过程如图8所示，包括。

33、0064步骤802，假定GM设备中的数据报文需要从接口1进行转发。0065步骤804，根据需要转发的数据报文携带的域标识，以及预配置的域标识与IPSEC策略之间的对应关系，判断接口1是否绑定了IPSEC策略，若已绑定，则转步骤806，否则转步骤818。0066步骤806，将需要转发的数据报文转至IPSEC模块进行处理。0067步骤808，查找与接口1相匹配的聚合ACL。具体地，确定接口1绑定的对应于上述域标识的IPSEC策略，并根据预配置的IPSEC策略类型与聚合ACL流表之间的对应关系，确定IPSEC策略是否对应于聚合ACL流表。0068根据本发明的一示例性实施例，表3示出了聚合ACL流表的。

34、具体结构，其中对IPSEC策略和聚合ACL之间进行对应存储策略1与聚合ACL1未标示对应存储，聚合ACL1中包含RULE0、RULE1、RULE2和RULE3，且聚合ACL1中还存储有对应的SPI，比如SPI1；策略2与聚合ACL2未标示对应存储，聚合ACL2中包含RULE0、RULE1和RULE2，且聚合ACL2中还存储有对应的SPI2。0069假定接口1为需要转发的数据报文中携带的域标识相应绑定了策略2，且该策略2的类型对应于聚合ACL流表，则可以确定接口1在聚合ACL流表中对应于聚合ACL2。0070说明书CN104168205A7/8页100071表30072步骤810，将数据报文的转。

35、发信息与聚合ACL2中的RULE0、RULE1和RULE2等进行匹配。0073步骤812，判断是否存在相匹配的RULE，若存在，则转步骤814，否则转步骤818。0074步骤814，由于存在匹配的RULE，使得当前聚合ACL2被命中，根据该聚合ACL2中的SPI2，在SAD中查找对应的TSA对。0075步骤816，利用查找到的TSA对，对数据报文进行封装处理后，由接口1进行转发。0076步骤818，由接口1对数据报文进行明文转发。0077需要说明的是，上述流程中以接口1对数据报文的转发为例进行说明，则步骤816中需要利用查找到的TSA对，对数据报文进行加密处理并转发；而对接口1接收到的IPSE。

36、C封装的数据报文进行处理时，可以根据该数据报文采用的协议号由报文头部解析得到，若为AH或ESP解析，则交由IPSEC模块处理，并利用查找到的TSA对来解密数据报文，若为其他协议或未查找到匹配的TSA对，则丢弃该数据报文。0078同时，由于图8所示的处理流程是基于图7所示的结构来实现的，而图7中将“每条流信息对应于一个TSA对”更新为“每个聚合ACL通过相应的SPI对应于一个TSA对”，从而有效降低了SAD中存储TSA对的数量，有助于提升步骤816中查找TSA对的效率，并且避免了对GM内存的过量占用。0079具体地，仍以图1所示的网络结构为例进行说明针对所有注册至M1的GM接口，虽然KS总共配置。

37、了300条流信息，但由于这300条流信息均被添加至聚合ACL中，使得每个接口分别存储的对应于该300条流信息的TSA仅为2个。因此，由于GM2上仅通过接口ETH21注册至域M1，则GM2需要存储的对应于域M1的TSA对为2个；同时，由于GM1上分别通过接口ETH11和接口ETH12注册至域M1，则GM1需要存储的对应于域M1的TSA对为224个，其他GM设备中存储的TSA数量的计算方式类似，此处不再赘述。0080同时，由于每台GM上的接口均可以在KS处注册至多个域内，则假定KS处创建了100个域时，各台GM中存储的TSA数量为若GM2上的接口ETH21分别注册至KS处的100说明书CN1041。

38、68205A108/8页11个域，则GM2中存储的TSA的数量为2100200个，远小于采用相关技术的60000个；若GM1上的接口ETH11和接口ETH12分别注册至KS处的100个域，则GM1中存储的TSA的数量为4100400个，远小于采用相关技术的120000个。并且，即便加入域M1的GM数量增加、KS为相应GM配置的流信息的数量增加，各台GM中存储TSA的数量也不会增加，从而有效避免了GM的性能下降和内存溢出问题。0081对应于上述的报文处理方法，本发明提出了如图9所示的报文处理装置，该报文处理装置可以为GDVPN中的GM设备，该报文处理装置包括0082报文接收单元，接收来自GDVP。

39、N中的KS的协商报文，协商报文中包括多个TSA信息段；0083信息添加单元，在确定出接收协商报文的接口配置有聚合访问控制列表ACL时，将协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的SPI，添加到接口注册的域在聚合ACL流表内对应的聚合ACL中；0084密钥生成单元，根据协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，并建立该TSA对与SPI的对应关系；0085报文处理单元，根据对应的聚合ACL和对应关系处理接口接收到的数据报文。0086可选的，信息添加单元具体用于0087根据协商报文中携带的接口注册的域标识，以及预配置的域标识与IPSEC策略之间的对应关。

40、系，确定接口绑定的对应于所述协商报文中携带的域标识的IPSEC策略；以及0088若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IPSEC策略的类型对应于聚合ACL流表，则确定接口在聚合ACL流表中配置有聚合ACL。0089可选的，报文处理单元具体用于0090在确定接口接收到的数据报文命中对应的聚合ACL时，根据对应的聚合ACL中包含的SPI和对应关系确定SPI对应的TSA对，并按照确定出的TSA对，对数据报文进行加解密处理。0091可选的，报文处理单元具体用于0092在接口接收到数据报文时，根据该数据报文中携带的接口注册的域标识，以及预配置的域标识与IPSEC策略之间的对应。

41、关系，确定接口相应绑定的对应于所述数据报文中携带的域标识的IPSEC策略；以及0093若根据预配置的IPSEC策略类型与聚合ACL流表之间的对应关系，判定确定出的IPSEC策略的类型对应于聚合ACL流表，则在聚合ACL流表中确定对应于确定出的IPSEC策略的聚合ACL，并当该聚合ACL中存在匹配于数据报文的流信息时，判定数据报文命中该聚合ACL。0094可选的，上述TSA对与SPI之间的对应关系保存在本地的SAD中。0095因此，本发明通过建立聚合ACL，并在聚合ACL与存储的TSA对之间建立基于SPI的关联关系，可以使得GM设备针对每个域仅需存储一个TSA对，有效降低了需要存储的TSA对数量，从而提升GM设备的查找、转发性能，并避免对内存的过量占用。0096以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。说明书CN104168205A111/4页12图1图2说明书附图CN104168205A122/4页13图3图4图5说明书附图CN104168205A133/4页14图6图7说明书附图CN104168205A144/4页15图8图9说明书附图CN104168205A15。

展开阅读全文