报文处理方法及装置制造方法

报文处理方法及装置制造方法
【专利摘要】本发明提供一种报文处理方法及装置，该方法包括：GM设备接收来自GDVPN中的KS的协商报文；在确定出接收协商报文的接口配置有聚合ACL时，将协商报文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全参数索引SPI，添加到接口注册的域在聚合ACL流表内对应的聚合ACL中；根据协商报文中的任一TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与SPI的对应关系，并根据对应的聚合ACL和对应关系处理接口接收到的数据报文。通过本发明的技术方案，可以有效降低GM设备中存储的TSA对的数量，避免过多的内存占用，有助于提升GM设备的数据报文处理和转发性能。
【专利说明】报文处理方法及装置

【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及报文处理方法及装置。

【背景技术】
[0002]⑶VPN(Group Domain VPN，组域VPN)是一种实现密钥和策略集中管理的解决方案。与传统的采用点到点的隧道连接的IPSec VPN不同，⑶VPN是一种点到多点的无隧道VPN连接(透明模式)。⑶VPN实现主要包括三部分:KS(Key Server，密钥服务器),GM(GroupMember,组成员)和 GDOI (Group Domain Of Interpretat1n,组解释域)，KS 用于为所有的GM分发加密密钥和IPSec (IP Security, IP安全)策略，GM根据KS分发的加密密钥对流量进行加解密，GDOI协议为用于KS和GM之间的组密钥管理协议。
[0003]GM从KS处获取加密密钥的过程主要包括两个阶段:1)第一阶段，GM与KS之间进行协商，具体是由KS通过IKE(Internet key exchange,密钥交换)协议来认证GM,并协商得到 IKE SA(IKE Security Associat1n, IKE 安全联盟)；2)第二阶段，利用 IKE SA 建立安全通道，并由KS与GM通过该安全通道进行协商得到IPSec SA,以用于GM对流量进行加解密操作。由于第二阶段的IPSec SA用于对流量进行加解密，因而可以称之为TSA(TrafficSA)。
[0004]KS可以创建多个域，每台GM可以加入其中的一个或多个域中。KS会通过上述两个阶段的协商过程，为同一个域中的所有GM生成相同的TSA对(即用于加密的TSA和用于解密的TSA)，以保护该域内的GM之间的私网流量。
[0005]然而，KS在生成用于同一个域的TSA对时，是针对该域内的所有GM上配置的所有流信息(即Rule)进行生成的，即TSA对与流信息之间是一一对应的，并且每台GM中需要存储其所处域内的所有流信息(即该域内所有GM中配置的流信息)以及对应的TSA对，导致GM中存储的TSA对的数量会随着流信息数量的增加而增加，不仅会造成GM的查找、转发性能下降，还会占用大量内存，甚至造成内存溢出。


【发明内容】

[0006]有鉴于此，本发明提供一种新的技术方案，可以解决GM设备中存储的TSA对的数量过多而引起性能下降、内存溢出的技术问题。
[0007]为实现上述目的，本发明提供技术方案如下:
[0008]根据本发明的第一方面，提出了一种报文处理方法，包括:
[0009]⑶VPN中的GM设备接收来自该⑶VPN中的KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段；
[0010]在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的安全参数索引(Security Parameter Index, SPI),添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；
[0011]根据所述协商报文中的任一 TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与所述SPI的对应关系，并根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。
[0012]根据本发明的第二方面，提出了一种报文处理装置，包括:
[0013]报文接收单元，接收来自GDVPN中的KS的协商报文，所述协商报文中包括多个TSA?目息段;
[0014]信息添加单元，在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中；
[0015]密钥生成单元，根据所述协商报文中的任一 TSA信息段所包含的TSA信息生成一个TSA对，并建立该TSA对与所述SPI的对应关系；
[0016]报文处理单元，根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。
[0017]由以上技术方案可见，本发明通过建立聚合ACL，并在聚合ACL与存储的TSA对之间建立基于SPI的关联关系，可以使得GM设备针对每个域仅需存储一个TSA对，有效降低了需要存储的TSA对数量，从而提升GM设备的查找、转发性能，并避免对内存的过量占用。

【专利附图】

【附图说明】
[0018]图1示出了根据本发明的一示例性实施例的KS-GM网络结构示意图；
[0019]图2示出了根据本发明的一示例性实施例的报文处理方法的示意流程图；
[0020]图3示出了根据本发明的一示例性实施例的协商报文的结构示意图；
[0021]图4示出了根据本发明的一示例性实施例的TSA信息段的结构示意图；
[0022]图5不出了相关技术中存储TSA彳目息的不意图；
[0023]图6示出了相关技术中对数据报文进行处理的示意流程图；
[0024]图7示出了根据本发明的一示例性实施例的存储TSA信息的示意图；
[0025]图8示出了根据本发明的一示例性实施例的对数据报文进行处理的示意流程图；
[0026]图9示出了根据本发明的一示例性实施例的报文处理装置的示意框图。

【具体实施方式】
[0027]请参考图1，图1示出了根据本发明的一示例性实施例的KS-GM网络结构，包括一台KS和100台GM，其中GM1、GM2......GM100分别通过IP网络连接至KS，并加入KS创建的域中。假定对于KS创建的任一个域Ml，GMl通过接口 Ethl-1和接口 Ethl_2分别向KS注册并加入Ml中，GM2通过接口 Eth2-1向KS注册并加入Ml中......GM100通过接口 EthlOO-1
向KS注册并加入Ml中。
[0028]假定针对所有注册至Ml的GM接口，KS总共配置了 300条流信息，则每个接口都需要分别接收包含该300条流信息的300个TSA信息段，即300X2 = 600个TSA(每条流信息对应于一个TSA对，每个TSA对包含2个TSA，分别用于加密和解密操作)。因此，由于GM2上仅通过接口 Eth2-1注册至域MlJU GM2需要存储的对应于域Ml的TSA对为600个；同时，由于GMl上分别通过接口 Ethl-1和接口 Ethl-2注册至域Ml JUGMl需要存储的对应于域Ml的TSA对为600X2 = 1200个，其他GM设备中存储的TSA数量的计算方式类似，此处不再赘述。
[0029]同时，由于每台GM上的接口均可以在KS处注册至多个域内，则假定KS处创建了100个域时，各台GM中存储的TSA数量为:若GM2上的接口 Eth2_l分别注册至KS处的100个域,则GM2中存储的TSA的数量为600 X 100 = 60000个；若GMl上的接口 Ethl-1和接口Ethl-2分别注册至KS处的100个域，则GMl中存储的TSA的数量为1200X100 = 120000个。并且，随着GM数量和流信息数量的增加，TSA的数量还会继续增多。
[0030]可见，基于【背景技术】的处理方式，将使得GM中存储的TSA数量极多，不仅会影响GM的处理性能，还会占用大量内存，甚至导致内存溢出。为了解决上述问题，本发明提出了如图2所示的一种报文处理方法，该方法具体应用于GDVPN中的组成员GM设备，使得GM设备可以执行下述处理过程:
[0031]步骤202，在与⑶VPN中的KS进行⑶OI注册的过程中，接收来自KS的协商报文，协商报文中包括多个TSA信息段；
[0032]在本实施例中，针对GM设备上的每个接口加入的每个域，KS相应地生成一条协商报文，并通过该协商报文将对应于相应域的TSA信息段通告至GM设备；具体地，比如GM设备上的接口 I分别加入了 KS创建的域Ml和M2，则KS将为GM设备分别生成协商报文I和协商报文2,其中协商报文I中包含应用于域Ml的TSA信息段、协商报文2中包含应用于域M2的TSA信息段。
[0033]其中，协商报文的示意性结构可参见图3:由于TSA对与KS处配置的流信息之间对应，因而假定KS配置了 200条流信息时,协商报文中包含200个TSA信息段,每个
TSA信息段包含一条流信息，即对应于包含流信息I的TSA信息段1、包含对应于流信息2的TSA信息段2……包含对应于流信息200的TSA信息段200。
[0034]具体地，图4示出了每个TSA信息段的示意性结构:TSA信息段中依次包含“Protocol (协议)”、“SRC ID Type (源 ID 类型)”、“SRC ID Port (源 ID 端口)”、“SRC IDData Len (源 ID 数据长度)”、“SRC Identificat1n Data (源 ID 数据)”、“DST ID Type (目的 ID 类型)”、“DST ID Port(目的 ID 端口)”、“DST ID Data Len(目的 ID 数据长度)”、“DST Identificat1n Data(目的 ID 数据)'“Transform ID(转换 ID)，，、“SPI (SecurityParameter Index,安全参数索引)”、“RFC 2407 SA Attributes (RFC2407 文档中的安全联盟属性)”等字段，其中的“Protocol ”字段到“DST Identificat1n Data”字段为该TSA信息段包含的流信息。
[0035]步骤204，在确定出接收协商报文的接口配置有聚合访问控制列表(AccessControl list, ACL)时，将协商报文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的SPI添加到接口注册的域在聚合ACL流表内对应的聚合ACL中；
[0036]在本实施例中，若接口配置有聚合ACL，则表明预先为GM设备的该接口做了具体的功能配置，使其配置了聚合ACL功能，而聚合ACL流表中也会配置对应的记录聚合ACL的空间，则可以采用本发明提出的技术方案进行处理，以减少TSA的存储数量，否则可以按照现有技术的方式进行处理。
[0037]具体地，可以通过下述方式判定接收到协商报文的接口是否配置有聚合ACL:
[0038]首先，确定根据当前接收到的协商报文对应中携带的接口注册的域标识，以及预配置的域标识与IPSec策略之间的对应关系，并获取确定接口相应绑定的IPSec策略。由于KS会针对GM注册的每个域分别下发对应的协商报文，因而假定当前由GM设备上的接口 I接收到对应于Ml域的协商报文，则GM设备需要获取在接口 I上绑定的对应于Ml域的IPSec策略。
[0039]然后，根据预配置的策略类型与聚合ACL流表之间的对应关系，判断IPSec策略的类型是否对应于聚合ACL流表。GM设备上会预先在策略类型与ACL流表之间建立对应关系，比如一种类型的IPSec策略应用于⑶01，则将这类IPSec策略与聚合ACL流表建立关联，而其他类型的IPSec策略则与现有技术中的普通ACL流表建立关联。因此，针对上述实施例中的接口 I上绑定的对应于Ml域的IPSec策略，若该IPSec策略为⑶OI类型，则可以判断该策略的类型对应于聚合ACL流表或是普通的ACL流表。
[0040]最后，当判定确定出的IPSec策略的类型对应于聚合ACL流表时，则确定接口在聚合ACL流表中配置有聚合ACL。比如表I示出了一示例性实施例的聚合ACL流表的示意结构:在聚合ACL流表中，将策略和聚合ACL进行对应存储，比如GM设备中的接口 I采用策略I注册至Ml域，则根据KS下发的协商报文I在聚合ACL中对应存储策略I和ACLl，而接口I采用策略2注册至M2域时，则根据KS下发的协商报文2在聚合ACL中对应存储策略2和ACL2，当GM设备中的接口 2采用策略3注册至Ml域时，则根据KS下发的协商报文3在聚合ACL中对应存储策略3和ACL3。
[0041]
策略 l|ACLl~
策略2 ACL2~
策略3 ACL3~
[0042]表I
[0043]步骤206，根据协商报文中的任一 TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与SPI的对应关系，并根据对应的聚合ACL和对应关系处理接口接收到的数据报文。
[0044]在本实施例中，获取SPI信息和TSA信息的TSA信息段可以相同，也可以不同。其中，若为同一个TSA信息段，该TSA信息段可以为协商报文中的首个TSA信息段；当然，其他任一 TSA信息段均可以应用于本发明的技术方案中。
[0045]由上述实施例可知，本发明在GM设备接收到协商报文时，对所有TSA信息段均进行解析并获取其中的流信息，以添加至聚合ACL中，但仅获取任一 TSA信息段中的TSA信息，并存储对应生成的TSA对，而无需根据其他TSA信息段中的TSA信息生成TSA对，也不需要存储相应的TSA对。因此，在本发明的技术方案中，针对GM设备上的每个接口加入的每个域，仅需存储一个TSA对，从而有效减少GM设备上存储的TSA对的数量。
[0046]同时，本发明通过在聚合ACL中存储SP1、在SPI与TSA对之间建立对应关系，使得GM在仅需存储一个TSA对的情况下，即可当数据报文命中聚合ACL时，获取上述存储的唯一 TSA对，以用于对该数据报文的处理。
[0047]请参考图5，图5示出了相关技术中存储TSA信息的方式，包括:GM设备在接收到来自KS的协商报文后，分别解析该协商报文中的所有TSA信息段，并获取每个TSA信息段中包含的流信息和TSA信息；将流信息添加至标准ACL流表中，而将TSA信息生成为TSA对并添加至SAD (Security Associat1n Database,安全联盟数据库)中。
[0048]由于每个TSA信息段中的流信息和TSA信息均被处理并存储，使得标准ACL流表内的标准ACL中的流信息与SAD中存储的TSA对之间——对应，比如图5所示的标准ACL中的流信息I对应于SAD中的TSA对1、流信息2对应于TSA对2、流信息3对应于TSA对3……相应地，相关技术中对数据报文进行处理的过程如图6所示，包括:
[0049]步骤602，假定GM设备中的数据报文需要从接口 I进行转发。
[0050]步骤604，根据数据报文携带的域标识，以及预配置的域标识与IPSec策略之间的对应关系，判断接口 I在该域内是否绑定了 IPSec策略，若已绑定，则转步骤606，否则转步骤 618。
[0051]步骤606，将需要转发的数据报文转至IPSec模块进行处理。
[0052]步骤608，根据接口 I绑定的对应于上述域标识的IPSec策略，在标准ACL流表中查找对应的标准ACL。比如表2示出了现有技术中的标准ACL流表的示意性结构，其中将策略与标准ACL之间对应存储:策略I与标准ACLl (未标示)对应存储，且标准ACLl中包含RuleO、Rulel、Rule2和Rule3 ;策略2与标准ACL2 (未标示)对应存储，且标准ACL2中包含RuleO’、Rulel’和Rule2’。因此，假定接口 I为上述域标识对应绑定了策略1，则确定接口 I当前在标准ACL流表中对应于标准ACLl。
[0053]

【权利要求】
1.一种报文处理方法,其特征在于,包括: 组域虚拟专用网络GDVPN中的组成员GM设备接收来自该GDVPN中的密钥服务器KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段； 在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的安全参数索引SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中； 根据所述协商报文中的任一 TSA信息段所包含的TSA信息生成一个TSA对，建立该TSA对与所述SPI的对应关系，并根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。
2.如权利要求1所述的方法，其特征在于，所述GM设备通过下述方式确定接收所述协商报文的接口配置有聚合ACL: 所述GM设备根据所述协商报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述协商报文中携带的域标识的IP安全策略； 若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则确定所述接口在聚合ACL流表中配置有聚合ACL。
3.如权利要求1所述的方法，其特征在于，所述GM设备根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文，具体包括: 所述GM设备在确定所述接口接收到的数据报文命中对应的聚合ACL时，根据对应的聚合ACL中包含的SPI和所述对应关系确定所述SPI对应的TSA对； 按照确定出的TSA对，对所述数据报文进行加解密处理。
4.如权利要求3所述的方法，其特征在于，所述GM设备通过下述方式确定所述接口接收到的数据报文命中对应的聚合ACL: 所述GM设备在所述接口接收到数据报文时，根据该数据报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述数据报文中携带的域标识的IP安全策略； 若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则在聚合ACL流表中确定对应于确定出的IP安全策略的聚合ACL，并当该聚合ACL中存在匹配于所述数据报文的流信息时，判定所述数据报文命中该聚合 ACL。
5.如权利要求1至4中任一项所述的方法，其特征在于，所述对应关系保存在本地的安全联盟数据库SAD中。
6.一种报文处理装置，其特征在于，包括: 报文接收单元，接收来自组域虚拟专用网络GDVPN中的密钥服务器KS的协商报文，所述协商报文中包括多个传输安全联盟TSA信息段； 信息添加单元，在确定出接收所述协商报文的接口配置有聚合访问控制列表ACL时，将所述协商报文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的安全参数索引SPI，添加到所述接口注册的域在聚合ACL流表内对应的聚合ACL中； 密钥生成单元，根据所述协商报文中的任一 TSA信息段所包含的TSA信息生成一个TSA对，并建立该TSA对与所述SPI的对应关系； 报文处理单元，根据对应的聚合ACL和所述对应关系处理所述接口接收到的数据报文。
7.根据权利要求6所述的装置，其特征在于，所述信息添加单元具体用于: 根据所述协商报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述协商报文中携带的域标识的IP安全策略；以及 若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则确定所述接口在聚合ACL流表中配置有聚合ACL。
8.根据权利要求6所述的装置，其特征在于，所述报文处理单元具体用于: 在确定所述接口接收到的数据报文命中对应的聚合ACL时，根据对应的聚合ACL中包含的SPI和所述对应关系确定所述SPI对应的TSA对，并按照确定出的TSA对，对所述数据报文进行加解密处理。
9.根据权利要求8所述的装置，其特征在于，所述报文处理单元具体用于: 在所述接口接收到数据报文时，根据该数据报文中携带的接口注册的域标识，以及预配置的域标识与IP安全策略之间的对应关系，确定所述接口绑定的对应于所述数据报文中携带的域标识的IP安全策略；以及 若根据预配置的策略类型与聚合ACL流表之间的对应关系，判定确定出的IP安全策略的类型对应于聚合ACL流表，则在聚合ACL流表中确定对应于确定出的IP安全策略的聚合ACL，并当该聚合ACL中存在匹配于所述数据报文的流信息时，判定所述数据报文命中该聚合 ACL。
10.根据权利要求6至9中任一项所述的装置，其特征在于，所述对应关系保存在本地的安全联盟数据库SAD中。
【文档编号】H04L12/801GK104168205SQ201410383883
【公开日】2014年11月26日 申请日期:2014年8月6日 优先权日:2014年8月6日
【发明者】张太博, 马雪娟 申请人:杭州华三通信技术有限公司