对转发报文加密的方法和设备、及报文转发的方法和设备的制作方法

对转发报文加密的方法和设备、及报文转发的方法和设备的制作方法
【专利摘要】本发明提供了对转发报文加密的方法和设备、及报文转发的方法和设备，以解决IPSEC网络设备中报文转发流程繁琐、用时长的问题。所述方法包括：通过在网络设备与交换机的物理接口中设置至少一个VLAN子接口，并在所述VLAN子接口中配置IPSEC遂道功能，IPSEC功能配置完成后，在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道，通过协商建立的所述IPSEC遂道对所述报文进行加密。这一加密方法不需要对报文进行ACL规则匹配，简化了转发流程，节省了转发时间，在不增加硬件成本的前提下增加了IPSEC遂道的吞吐量，提升了用户体验，节约了成本。
【专利说明】对转发报文加密的方法和设备、及报文转发的方法和设备

【技术领域】
[0001] 本发明属于通信【技术领域】，具体涉及对转发报文加密的方法和设备、及报文转发 的方法和设备。

【背景技术】
[0002] 因特网协议安全性（Internet Protocol Security, IPSEC)是基于 Internet 工 程任务组的一种开放标准的安全框架，通过数据包筛选及受信任通讯的实施来防御网络攻 击。基于此，在因特网的报文转发的过程中，需要保证报文的安全性，在报文转发前对报文 进行加密处理，在报文转发后对报文进行解密处理，以完成报文的安全转发。
[0003] 当前，对报文的转发流程如下：在转发端，首先匹配报文的ACL规则；匹配完成后 判断是否有可用的IPSEC遂道；若有，则利用IPSEC遂道对报文进行加密，加密后进行转 发；若没有，触发建立IPSEC遂道，利用建立后的IPSEC遂道对报文进行加密和转发；在接 收端，首先判断所接收的报文的类型，当判断所接收的报文为加密报文后，在安全关联数据 (Security Association Data Base，SADB)库中查找 IPSEC 安全联盟（IPSEC Security Association，IPSEC SA)，利用IPSEC SA对报文进行解密，完成报文的转发流程。这一转发 流程复杂繁琐，所需转发时间较长，降低了用户体验。


【发明内容】

[0004] 本发明的目的是提供一种对转发报文加密的方法和设备、及报文转发的方法和设 备，简化报文转发流程，节省报文转发时间。
[0005] 根据本发明的一个方面，提供了一种对转发报文加密的方法，所述方法包括：
[0006] 在网络设备与交换机的物理接口中设置至少一个VLAN子接口，并在所述VLAN子 接口中配置IPSEC遂道功能；在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂 道；通过协商建立的所述IPSEC遂道对所述报文进行加密。
[0007] 上述方案中，所述在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道的 步骤进一步包括：
[0008] 用于报文转发和报文接收的VLAN子接口配置完IPSEC功能后，触发报文转发VLAN 子接口与报文接收VLAN子接口建立IPSEC遂道的协商；若协商失败，则每隔预设时间进行 再次协商；协商完成后，建立IPSEC遂道。
[0009] 上述方案中，所述通过协商建立的所述IPSEC遂道对所述报文进行加密的步骤进 一步包括：通过建立IPSEC遂道的协商中所获得的密码对所述报文进行加密。
[0010] 根据本发明的另一个方面，还提供了一种对转发报文加密的设备，所述设备包 括：
[0011] 接口配置模块，用于在网络设备与交换机的物理接口中设置至少一个VLAN子接 口，并在所述VLAN子接口中配置IPSEC遂道功能；
[0012] 遂道建立模块，与接口配置模块连接，用于在报文转发和报文接收的VLAN子接口 间协商建立IPSEC遂道；
[0013] 报文加密模块，与遂道建立模块连接，用于接收到报文后，通过所述IPSEC遂道对 所述报文进行加密。
[0014] 上述方案中，所述设备还包括：
[0015] 触发模块，与接口配置模块和遂道建立模块连接，用于在VLAN子接口配置完 IPSEC遂道功能后，触发所述遂道建立模块进行建立IPSEC遂道的协商；
[0016] 遂道路建立模块具体用于：在报文转发VLAN子接口和报文接收VLAN的接口间进 行建立IPSEC遂道的协商；若协商失败，则每隔预设时间进行再次协商；协商完成后，建立 IPSEC遂道。
[0017] 上述方案中，所述报文加密模块具体用于：通过建立IPSEC遂道的协商中所获得 的密码对所述报文进行加密。
[0018] 根据本发明的再一个方面，还提供了一种报文转发的方法，所述方法包括：
[0019] 在第一网络设备与第一交换机的物理接口中设置至少一个第一网络设备VLAN子 接口，并在所述第一网络设备VLAN子接口中配置IPSEC遂道功能；在第二网络设备与第 二交换机的物理接口中设置至少一个第二网络设备VLAN子接口，并在所述第二网络设备 VLAN子接口中配置IPSEC遂道功能；
[0020] 在第一网络设备VLAN子接口与第二网络设备VLAN子接口间协商建立IPSEC遂 道；
[0021] 第一网络设备接收报文后，选择一个第一网络设备VLAN子接口，通过协商建立的 所述IPSEC遂道对所述报文进行加密，并将报文通过IPSEC遂道传输至第二网络设备VLAN 子接口；通过所述IPSEC遂道对所述报文进行解密。
[0022] 上述方案中，所述通过协商建立的所述IPSEC遂道对所述报文进行加密的步骤进 一步包括：通过建立IPSEC遂道的协商中所获得的密码对所述报文进行加密；所述通过所 述IPSEC遂道对所述报文进行解密的步骤进一步包括：通过建立IPSEC遂道的协商中所获 得IPSEC SA对所述报文进行解密。
[0023] 根据本发明的又一个方面，还提供了一种报文转发的设备，所述设备包括：
[0024] 接口配置模块，用于第一网络设备与第一交换机的物理接口中设置至少一个第一 网络设备VLAN子接口，并在所述第一网络设备VLAN子接口中配置IPSEC遂道功能；在第二 网络设备与第二交换机的物理接口中设置至少一个第二网络设备VLAN子接口，并在所述 第二网络设备VLAN子接口中配置IPSEC遂道功能；
[0025] 遂道建立模块，用于在第一网络设备VLAN子接口与第二网络设备VLAN子接口间 协商建立IPSEC遂道；
[0026] 接口选择模块，用于第一网络设备接收报文后，选择一个第一网络设备VLAN子接 口作为报文的转发接口；同时选择相应的第二网络设备VLAN子接口作为接收接口；
[0027] 报文加密传输模块，用于通过协商建立的所述IPSEC遂道对所述报文进行加密， 并将报文通过IPSEC遂道从第一网络设备VLAN子接口传输至第二网络设备VLAN子接口；
[0028] 报文解密模块，用于通过所述IPSEC遂道对所述报文进行解密。
[0029] 上述方案中，所述报文加密传输模块具体用于：通过建立IPSEC遂道的协商中所 获得的密码对所述报文进行加密；所述报文解密模块还执行以下操作：通过建立IPSEC遂 道的协商中所获得IPSEC SA对所述报文进行解密。
[0030] 本发明提供了一种对转发报文加密的方法和设备、及报文转发的方法和设备，通 过在网络设备与交换机的物理接口中设置至少一个VLAN子接口，并在所述VLAN子接口中 配置IPSEC遂道功能，IPSEC功能配置完成后，在报文转发和报文接收的VLAN子接口间协 商建立IPSEC遂道，通过协商建立的所述IPSEC遂道对所述报文进行加密。这一加密方法 不需要对报文进行ACL规则匹配，简化了转发流程，节省了转发时间，在不增加硬件成本的 前提下增加了 IPSEC遂道的吞吐量，提升了用户体验，节约了成本。

【专利附图】

【附图说明】
[0031] 图1是根据本发明优选实施例的对转发报文加密的方法流程图；
[0032] 图2是根据本发明优选实施例的对转发报文加密的设备结构示意图；
[0033] 图3是根据本发明优选实施例的报文转发方法的流程图；
[0034] 图4是根据本发明优选实施例的报文转发设备的结构示意图；
[0035] 图5是根据本发明另一优选实施例的报文转发方法的原理示意图。

【具体实施方式】
[0036] 为使本发明的目的、技术方案和优点更加清楚明了，下面结合【具体实施方式】并参 照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发 明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本 发明的概念。
[0037] 图1是根据本发明优选实施例的对转发报文加密的方法流程图。
[0038] 如图1所示，本发明实施例的一种对转发报文加密的方法，包括如下步骤：
[0039] 步骤S101，在网络设备与交换机的物理接口中设置至少一个VLAN子接口，并在所 述VLAN子接口中配置IPSEC遂道功能；
[0040] 步骤S103,在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道；
[0041] 步骤S104,通过协商建立的所述IPSEC遂道对所述报文进行加密。
[0042] 这里的网络设备，可以是带有IPSEC遂道功能的网络设备，如防火墙。
[0043] 在步骤S101中，网络设备与交换机的物理接口，可以是trunk接口；在该物理接口 中设置VLAN子接口，可以设置多个，从而使所转发的报文可以选择合适的接口进行转发， 同时避免造成堵塞。通过在该物理接口设置VLAN子接口，达到了多个VLAN子接口收发报 文都通过一个物理接口实现的目的，从而在进行报文转发时，不需要进行ACL规则的匹配。
[0044] 本发明实施例的对转发报文加密的方法，在步骤S101之后、S103之前，还可以包 括步骤S102,在报文转发和报文接收的VLAN子接口配置完IPSEC功能后，触发在报文转发 和报文接收的VLAN子接口间建立IPSEC遂道的协商。
[0045] 在步骤S103中，在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道；若 协商失败，则每隔预设时间进行再次协商；协商完成后，建立IPSEC遂道。协商过程包括协 商对IPSEC遂道中报文进行加密的密钥或密码，也包括查找并保存所建立的IPSEC遂道的 IPSEC SA。此为现有技术，在此不再赘述。
[0046] 在步骤S103中，对所述报文进行加密，可以通过建立IPSEC遂道的协商中所获得 的密码来进行的。
[0047] 图2是根据本发明优选实施例的对转发报文加密的设备结构示意图。
[0048] 如图2所示，本实施例对转发报文加密的设备包括：
[0049] 接口配置模块11，用于在网络设备与交换机的物理接口中设置至少一个VLAN子 接口，并在所述VLAN子接口中配置IPSEC遂道功能；
[0050] 遂道建立模块13,与接口配置模块11连接，用于在报文转发和报文接收的VLAN子 接口间协商建立IPSEC遂道；
[0051] 报文加密模块14,与遂道建立模块13连接，用于接收到报文后，通过所述IPSEC遂 道对所述报文进行加密。这里的加密，可以通过建立IPSEC遂道的协商中所获得的密码来 进行。
[0052] 还可以包括：触发模块12,与接口配置模块11和遂道建立模块13连接，用于在 VLAN子接口配置完IPSEC遂道功能后，触发所述遂道建立模块13进行建立IPSEC遂道的协 商。
[0053] 相应的，遂道建立模块13,还可以执行以下操作：在触发模块12触发协商后，在报 文转发VLAN子接口和报文接收VLAN的接口间进行建立IPSEC遂道的协商；若协商失败，则 每隔预设时间进行再次协商；协商完成后，建立IPSEC遂道。
[0054] 图3是根据本发明优选实施例的报文转发方法的流程图。
[0055] 如图3所示，本发明优选实施例的报文转发方法。包括如下步骤：
[0056] 步骤S201，在第一网络设备与第一交换机的物理接口中设置至少一个第一网络设 备VLAN子接口，并在所述第一网络设备VLAN子接口中配置IPSEC遂道功能；在第二网络设 备与第二交换机的物理接口中设置至少一个第二网络设备VLAN子接口，并在所述第二网 络设备VLAN子接口中配置IPSEC遂道功能；
[0057] 步骤S202,在第一网络设备VLAN子接口与第二网络设备VLAN子接口间协商建立 IPSEC遂道；
[0058] 步骤S203,第一网络设备接收报文后，选择一个第一网络设备VLAN子接口作为报 文的转发接口；同时选择相应的第二网络设备VLAN子接口作为接收接口；
[0059] 步骤S204,通过协商建立的所述IPSEC遂道对所述报文进行加密，并将报文通过 IPSEC遂道传输至第二网络设备VLAN子接口；通过所述IPSEC遂道对所述报文进行解密。
[0060] 这里的网络设备，可以是带有IPSEC遂道功能的网络设备，如防火墙；网络设备与 交换机的物理接口，可以是trunk接口；在该物理接口中设置VLAN子接口，可以设置多个。 也可以增加触发的步骤。步骤S201至步骤S203与附图1所示的步骤S101、步骤S103和步 骤S104中的情况可以进行同样的变换。
[0061] 在步骤S204中，对所述报文进行解密，可以通过建立IPSEC遂道的协商中所获得 的IPSEC SA来进行。
[0062] 图4是根据本发明优选实施例的报文转发设备的结构示意图。
[0063] 如图4所示，本优选实施例的报文转发设备，包括：
[0064] 接口配置模块21，用于第一网络设备与第一交换机的物理接口中设置至少一个第 一网络设备VLAN子接口，并在所述第一网络设备VLAN子接口中配置IPSEC遂道功能；在第 二网络设备与第二交换机的物理接口中设置至少一个第二网络设备VLAN子接口，并在所 述第二网络设备VLAN子接口中配置IPSEC遂道功能；
[0065] 遂道建立模块22,用于在第一网络设备VLAN子接口与第二网络设备VLAN子接口 间协商建立IPSEC遂道；
[0066] 接口选择模块23,用于第一网络设备接收报文后，选择一个第一网络设备VLAN子 接口作为报文的转发接口；同时选择相应的第二网络设备VLAN子接口作为接收接口； [0067] 报文加密传输模块24,用于通过协商建立的所述IPSEC遂道对所述报文进行加 密，并将报文通过IPSEC遂道从第一网络设备VLAN子接口传输至第二网络设备VLAN子接 Π ；
[0068] 报文解密模块25,用于通过所述IPSEC遂道对所述报文进行解密。
[0069] 还可以包括触发模块，用于与接口配置模块和遂道建立模块连接，用于在VLAN子 接口配置完IPSEC遂道功能后，触发所述遂道建立模块进行建立IPSEC遂道的协商。
[0070] 图5是根据本发明另一优选实施例的报文转发方法的原理示意图。
[0071] 如图5所示，本实施例中，两个带有IPSEC功能的网络设备分别为防火墙Fw a和 Fw b，两个交换机为sw a和sw b。在Fw a和sw a之间设置trunk物理接口，在此物理接 口上设置两个子接口即Fw a-Vlan 1子接口（设IP地址为1. 1. 1. 1)和Fw a-Vlan2子接 口（设IP地址为2. 2. 2. 1);同样，在Fw b和sw b之间设置trunk物理接口，在此物理接 口上设置两个子接口即Fw b-Vlan 1子接口（设IP地址为1. 1. 1. 2)和Fw b-Vlan2子接 口（设IP地址为2. 2. 2. 2);其中，四个子接口都配置IPSEC功能。
[0072] 在四个子接口上配置完IPSEC功能后，触发协商，在Fw a-Vlanl与Fwb-Vlanl之 间进行协商建立IPSEC遂道，建立IP地址从1. 1. 1. 1到1. 1. 1. 2的IPSEC遂道，生成用于 遂道对报文加密的密码，并查找相应的IPSEC SA ;同时，在Fw a-Vlan2与Fw b-Vlan2之间 进行协商建立IPSEC遂道，建立IP地址从2. 2. 2. 1到2. 2. 2. 2的IPSEC遂道，生成用于遂 道对报文加密的密码，并查找相应的IPSEC SA。此时，若协商失败，则每隔预设时间进行再 次协商，直到建立IPSEC遂道。这里的预设时间，根据不同的情况进行选择，例如，可以是一 分钟，也可以是30秒。
[0073] 当Fw a收到需要转发的报文时，可以选择Fw a-Vlanl子接口进行报文的转发。当 发现所选择的接口是Fw a-Vlanl子接口时，继续判断此子接口上是否匹配了 IPSEC隧道， 如果是，则判断是否有生成的IPSEC隧道可以使用，如果是，则对报文直接加密并转发，如 果Fw a-Vlanl配置了 IPSEC隧道但没有生成可以提供报文加解密的IPSEC隧道，那么就将 报文丢弃。
[0074] Fw b-vlanl子接口接收报文后，判断本接口是否配置了 IPSEC隧道，IPSEC隧道是 否有可解密的IPSEC SA，如果是，则直接对报文进行解密；若解密失败则丢弃报文。从而完 成对报文的转发。
[0075] 通过上述过程，报文的加密过程不需要进行ACL匹配，而是直接在IPSEC遂道中进 行加密处理；报文的解密过程也不需要在SADB库是中查找IPSEC SA，而是直接利用所建立 的IPSEC遂道的IPSEC SA进行解密处理，简化了报文转发流程，节省了报文转发时间，在不 增加硬件成本的前提下增加了 IPSEC遂道的吞吐量，提升了用户体验，节约了成本。
[0076] 应当理解的是，本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的 原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何 修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨 在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修 改例。
【权利要求】
1. 一种对转发报文加密的方法，其特征在于，所述方法包括： 在网络设备与交换机的物理接口中设置至少一个VLAN子接口，并在所述VLAN子接口 中配置IPSEC遂道功能； 在报文转发和报文接收的VLAN子接口间协商建立IPSEC遂道； 通过协商建立的所述IPSEC遂道对所述报文进行加密。
2. 根据权利要求1所述的对转发报文加密的方法，其特征在于，所述在报文转发和报 文接收的VLAN子接口间协商建立IPSEC遂道的步骤进一步包括： 用于报文转发和报文接收的VLAN子接口配置完IPSEC功能后，触发报文转发VLAN子 接口与报文接收VLAN子接口建立IPSEC遂道的协商； 若协商失败，则每隔预设时间进行再次协商； 协商完成后，建立IPSEC遂道。
3. 根据权利要求1所述的对转发报文加密的方法，其特征在于，所述通过协商建立的 所述IPSEC遂道对所述报文进行加密的步骤进一步包括：通过建立IPSEC遂道的协商中所 获得的密码对所述报文进行加密。
4. 一种对转发报文加密的设备，其特征在于，所述设备包括： 接口配置模块，用于在网络设备与交换机的物理接口中设置至少一个VLAN子接口，并 在所述VLAN子接口中配置IPSEC遂道功能； 遂道建立模块，与接口配置模块连接，用于在报文转发和报文接收的VLAN子接口间协 商建立IPSEC遂道； 报文加密模块，与遂道建立模块连接，用于接收到报文后，通过所述IPSEC遂道对所述 报文进行加密。
5. 根据权利要求4所述的对转发报文加密的设备，其特征在于，所述设备还包括： 触发模块，与接口配置模块和遂道建立模块连接，用于在VLAN子接口配置完IPSEC遂 道功能后，触发所述遂道建立模块进行建立IPSEC遂道的协商； 遂道路建立模块具体用于：在触发模块触发协商后，在报文转发VLAN子接口和报文接 收VLAN的接口间进行建立IPSEC遂道的协商；若协商失败，则每隔预设时间进行再次协商； 协商完成后，建立IPSEC遂道。
6. 根据权利要求4所述的对转发报文加密的设备，其特征在于，所述报文加密模块具 体用于：通过建立IPSEC遂道的协商中所获得的密码对所述报文进行加密。
7. -种报文转发的方法，其特征在于，所述方法包括： 在第一网络设备与第一交换机的物理接口中设置至少一个第一网络设备VLAN子接 口，并在所述第一网络设备VLAN子接口中配置IPSEC遂道功能；在第二网络设备与第二交 换机的物理接口中设置至少一个第二网络设备VLAN子接口，并在所述第二网络设备VLAN 子接口中配置IPSEC遂道功能； 在第一网络设备VLAN子接口与第二网络设备VLAN子接口间协商建立IPSEC遂道； 第一网络设备接收报文后，选择一个第一网络设备VLAN子接口作为报文的转发接口； 同时选择相应的第二网络设备VLAN子接口作为接收接口； 通过协商建立的所述IPSEC遂道对所述报文进行加密，并将报文通过IPSEC遂道传输 至第二网络设备VLAN子接口；通过所述IPSEC遂道对所述报文进行解密。
8. 根据权利要求7所述的报文转发的方法，其特征在于，所述通过协商建立的所述 IPSEC遂道对所述报文进行加密的步骤进一步包括：通过建立IPSEC遂道的协商中所获得 的密码对所述报文进行加密；所述通过所述IPSEC遂道对所述报文进行解密的步骤进一步 包括：通过建立IPSEC遂道的协商中所获得IPSEC SA对所述报文进行解密。
9. 一种报文转发的设备，其特征在于，所述设备包括： 接口配置模块，用于第一网络设备与第一交换机的物理接口中设置至少一个第一网络 设备VLAN子接口，并在所述第一网络设备VLAN子接口中配置IPSEC遂道功能；在第二网络 设备与第二交换机的物理接口中设置至少一个第二网络设备VLAN子接口，并在所述第二 网络设备VLAN子接口中配置IPSEC遂道功能； 遂道建立模块，用于在第一网络设备VLAN子接口与第二网络设备VLAN子接口间协商 建立IPSEC遂道； 接口选择模块，用于第一网络设备接收报文后，选择一个第一网络设备VLAN子接口作 为报文的转发接口；同时选择相应的第二网络设备VLAN子接口作为接收接口； 报文加密传输模块，用于通过协商建立的所述IPSEC遂道对所述报文进行加密，并将 报文通过IPSEC遂道从第一网络设备VLAN子接口传输至第二网络设备VLAN子接口； 报文解密模块，用于通过所述IPSEC遂道对所述报文进行解密。
10. 根据权利要求9所述的报文转发的设备，其特征在于，所述报文加密传输模块具体 用于：通过建立IPSEC遂道的协商中所获得的密码对所述报文进行加密；所述报文解密模 块具体用于：通过建立IPSEC遂道的协商中所获得IPSEC SA对所述报文进行解密。
【文档编号】H04L12/46GK104092708SQ201410382350
【公开日】2014年10月8日 申请日期:2014年8月6日 优先权日:2014年8月6日
【发明者】陈海滨, 于立洋, 章敏, 王禹, 王智民 申请人:汉柏科技有限公司