VXLAN报文处理方法、装置、电子设备及存储介质与流程

本发明涉及数据通信，特别是涉及一种vxlan报文处理方法、一种vxlan报文处理装置、一种电子设备以及一种计算机可读存储介质。

背景技术：

1、随着互联网技术的飞速发展，人们对于网络的需求也越来越高，为解决现阶段大规模云计算数据中心虚拟网络不足的问题，vxlan(virtual extensible local areanetwork，虚拟扩展局域网)应运而生。vxlan是一种网络虚拟化技术，可以改进大型云计算在部署时的扩展问题，是对vlan(virtual local area network，虚拟局域网)的一种扩展。相较于vlan，vxlan功能更为强大，其可以穿透三层网络对二层进行扩展，可通过封装流量并将其扩展到第三层网关，从而解决vms(virtual memory system，虚拟内存系统)的可移植性限制，使其可以访问在外部ip(internet protocol，互联网协议)子网上的服务器。

2、同时，通过vxlan也能够很好地转发组播报文以及广播报文，从而vxlan被广泛地应用于数据中心内部的通信、数据中心之间的通信、异构云之间的通信以及sd-wan pop(software defined-wide area network pop-point-of-presence，软件定义广域网入网点)点之间的通信。进一步地，vxlan是一种nvo3(network virtualization over layer 3，跨三层网络虚拟化)隧道技术，采用将二层报文用udp(user datagram protocol，用户数据报协议)进行封装的报文封装模式，因此，使用vxlan协议，可以将两个分布在不同地理位置的局域网连通成一个虚拟的大二层局域网。

3、目前而言，vxlan隧道的封装或解封装由vtep(vxlan tunnel endpoint,vxlan网络的边缘设备)完成，传统的vxlan协议在原始二层帧外封装一个vxlan协议头、一个外层udp层、一个外层ip层、一个外层以太头，由于vxlan协议自身不具备安全能力，特别是当vxlan应用于数据中心之间通信/或异构云之间通信/sd-wan pop之间通信时，报文的业务数据直接以明文形式暴露在外，针对该问题，当前主流的解决方式是在vxlan隧道外加一层ipsec esp(internet protocol security encapsulating security payload，互联网安全协议的封装安全负载)隧道封装，即在vxlan封装后的外层ip头之外再封装一个esp(encapsulating security payload，封装安全负载)头、一个ip头，再封装一个esp尾，采用该封装方式，虽然能将vxlan载荷进行加密封装，但在处理报文封装与解封装过程中报文封装层次多，处理流程长，导致处理效率低下，大大拉长了报文识别时延。

技术实现思路

1、本发明实施例是提供一种vxlan报文处理方法、装置、电子设备以及计算机可读存储介质，以解决或部分解决现有vxlan协议封装报文处理流程长、处理效率低下的问题。

2、本发明实施例公开了一种vxlan报文处理方法，应用于网络安全设备，所述方法包括：

3、获取第一网络端发送的第一vxlan报文，所述第一vxlan报文包括安全验证字段，所述安全验证字段至少包括内生安全标志位、密钥版本信息以及重放攻击检测字段；

4、若所述内生安全标志位的值为1，则确定所述第一vxlan报文为基于内生安全机制进行封装的第一内生安全封装报文，并根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息；

5、根据所述重放攻击检测字段对所述网络安全设备进行重放攻击检测，若重放攻击检测结果为通过，则采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文；

6、将所述目标业务报文发送至第二网络端。

7、可选地，所述密钥版本信息至少包括第一vxlan标识字段、密钥有效判断标志位、密钥版本字段，所述根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息，包括：

8、通过集中分发方式获取至少一个密钥信息，所述密钥信息用于对报文进行加解密处理；

9、若所述密钥有效判断标志位的值为1，则联合所述第一vxlan标识字段以及所述密钥版本字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。

10、可选地，所述方法还包括：

11、若所述密钥有效判断标志位的值为0，则采用所述第一vxlan标识字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。

12、可选地，所述采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文，包括：

13、根据所述目标密钥信息的加解密算法与加解密模式，计算所述第一内生安全封装报文的vxlan协议头长度，并基于所述vxlan协议头长度确定所述第一内生安全封装报文对应的解密起始位置；

14、采用所述目标密钥信息的加解密算法与加解密模式以及所述解密起始位置对所述第一内生安全封装报文中的加密内容进行解密处理，获得所述第一内生安全封装报文对应的目标业务报文。

15、可选地，所述第一内生安全封装报文中至少包括第一vxlan协议头、外层ip头以及外层udp头，所述采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文，包括：

16、若所述第一内生安全封装报文中包含第一vxlan协议尾，则根据所述目标密钥信息的加解密算法与加解密模式对所述第一vxlan协议尾进行解封装处理；

17、去除所述外层ip头以及所述外层udp头，并采用所述目标密钥信息的加解密算法与加解密模式去除所述第一vxlan协议头，获得所述第一内生安全封装报文对应的目标业务报文。

18、可选地，所述若所述第一内生安全封装报文中包含第一vxlan协议尾，则根据所述目标密钥信息的加解密算法与加解密模式对所述第一vxlan协议尾进行解封装处理，包括：

19、若所述第一内生安全封装报文中包含第一vxlan协议尾，且根据所述目标密钥信息的加解密算法与加解密模式确定所述第一vxlan协议尾包括填充数据字段以及填充长度字段，则去除所述填充数据字段以及所述填充长度字段；

20、若根据所述目标密钥信息的加解密算法与加解密模式确定所述第一vxlan协议尾不包括填充数据字段以及填充长度字段，且所述第一vxlan协议尾包括mac字段，则对所述mac字段进行校验；

21、若校验结果表征校验通过，则去除所述mac字段。

22、可选地，所述方法还包括：

23、若所述内生安全标志位的值为0，则确定所述第一vxlan报文为基于常规vxlan封装方式进行封装的常规封装报文，对所述常规封装报文进行解封装处理，获得对应的常规业务报文；

24、将所述常规业务报文发送至所述第二网络端。

25、可选地，所述获取第一网络端发送的第一vxlan报文，包括：

26、接收第一网络端发送的待处理业务报文，若所述待处理业务报文的目的地址与所述网络安全设备的本机地址一致，所述待处理业务报文的报文类型为udp，所述待处理业务报文的目的端口为vxlan业务端口，则确定所述待处理业务报文为第一vxlan报文。

27、本发明实施例还公开了一种vxlan报文处理方法，应用于网络安全设备，所述方法包括：

28、获取第三网络端发送的待封装业务报文，并确定所述待封装业务报文对应的vxlan隧道，所述vxlan隧道对应第二vxlan标识字段；

29、根据所述第二vxlan标识字段，获取所述待封装业务报文对应的加密密钥信息；

30、根据所述加密密钥信息，采用基于内生安全机制的vxlan协议头格式对所述待封装业务报文进行封装处理；

31、若所述加密密钥信息中的加解密算法不具备认证功能，则采用基于内生安全机制的vxlan协议尾格式对所述待封装业务报文进行封装处理，获得对应的第二内生安全封装报文；

32、对所述第二内生安全封装报文进行vxlan外层封装处理，获得对应的第二vxlan报文，并将所述第二vxlan报文发送至第四网络端。

33、可选地，所述根据所述加密密钥信息，采用基于内生安全机制的vxlan协议头格式对所述待封装业务报文进行封装处理，包括：

34、根据所述加密密钥信息，确定所述待封装业务报文对应的第二vxlan协议头，所述第二vxlan协议头至少包括内生安全标志位、密钥有效判断标志位、序列号有效判断标志位；

35、将所述第二vxlan协议头的内生安全标志位以及密钥有效判断标志位的值均设置为1，并填写所述第二vxlan协议头的密钥版本字段；

36、若确定在对所述第二目标业务报文进行解封装处理时启用重放攻击检测，则将所述序列号有效判断标志位设置为1，并填写所述第二vxlan协议头的vxlan序列号字段；

37、将完成设置的第二vxlan协议头加入所述待封装业务报文，并进行封装处理。

38、可选地，所述采用基于内生安全机制的vxlan协议尾格式对所述待封装业务报文进行封装处理，获得对应的第二内生安全封装报文，包括：

39、根据所述加密密钥信息，确定所述待封装业务报文对应的第二vxlan协议尾，填写所述第二vxlan协议尾的mac字段；

40、若所述加密密钥信息的加解密算法为需进行字段填充的算法，则填写所述第二vxlan协议尾对应的填充数据字段以及填充长度字段；

41、将完成设置的第二vxlan协议尾加入所述待封装业务报文，并进行封装处理，获得对应的第二内生安全封装报文。

42、本发明实施例还公开了一种vxlan报文处理装置，应用于网络安全设备，所述装置包括：

43、第一vxlan报文获取模块，用于获取网络端发送的第一vxlan报文，所述第一vxlan报文包括安全验证字段，所述安全验证字段至少包括内生安全标志位、密钥版本信息以及重放攻击检测字段；

44、第一内生安全封装报文确定模块，用于若所述内生安全标志位的值为1，则确定所述第一vxlan报文为基于内生安全机制进行封装的第一内生安全封装报文，并根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息；

45、解封装处理模块，用于根据所述重放攻击检测字段对所述网络安全设备进行重放攻击检测，若重放攻击检测结果为通过，则采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文；

46、目标业务报文发送模块，用于将所述目标业务报文发送至第二网络端。

47、可选地，所述密钥版本信息至少包括第一vxlan标识字段、密钥有效判断标志位、密钥版本字段，所述第一内生安全封装报文确定模块包括：

48、密钥信息获取模块，用于通过集中分发方式获取至少一个密钥信息，所述密钥信息用于对报文进行加解密处理；

49、目标密钥信息检索模块，用于若所述密钥有效判断标志位的值为1，则联合所述第一vxlan标识字段以及所述密钥版本字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。

50、可选地，所述装置还包括：

51、目标密钥信息检索子模块，用于若所述密钥有效判断标志位的值为0，则采用所述第一vxlan标识字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。

52、可选地，所述解封装处理模块包括：

53、vxlan协议头长度计算模块，用于根据所述目标密钥信息的加解密算法与加解密模式，计算所述第一内生安全封装报文的vxlan协议头长度，并基于所述vxlan协议头长度确定所述第一内生安全封装报文对应的解密起始位置；

54、目标业务报文生成模块，用于采用所述目标密钥信息的加解密算法与加解密模式以及所述解密起始位置对所述第一内生安全封装报文中的加密内容进行解密处理，获得所述第一内生安全封装报文对应的目标业务报文。

55、可选地，所述第一内生安全封装报文中至少包括第一vxlan协议头、外层ip头以及外层udp头，所述解封装处理模块包括：

56、第一vxlan协议尾解封装处理模块，用于若所述第一内生安全封装报文中包含第一vxlan协议尾，则根据所述目标密钥信息的加解密算法与加解密模式对所述第一vxlan协议尾进行解封装处理；

57、第一vxlan协议头去除模块，用于去除所述外层ip头以及所述外层udp头，并采用所述目标密钥信息的加解密算法与加解密模式去除所述第一vxlan协议头，获得所述第一内生安全封装报文对应的目标业务报文。

58、可选地，所述第一vxlan协议尾解封装处理模块包括：

59、加解密算法确定模块，用于若所述第一内生安全封装报文中包含第一vxlan协议尾，且根据所述目标密钥信息的加解密算法与加解密模式确定所述第一vxlan协议尾包括填充数据字段以及填充长度字段，则去除所述填充数据字段以及所述填充长度字段；

60、mac字段校验模块，用于若根据所述目标密钥信息的加解密算法与加解密模式确定所述第一vxlan协议尾不包括填充数据字段以及填充长度字段，且所述第一vxlan协议尾包括mac字段，则对所述mac字段进行校验；

61、mac字段去除模块，用于若校验结果表征校验通过，则去除所述mac字段。

62、可选地，所述装置还包括：

63、常规业务报文生成模块，用于若所述内生安全标志位的值为0，则确定所述第一vxlan报文为基于常规vxlan封装方式进行封装的常规封装报文，对所述常规封装报文进行解封装处理，获得对应的常规业务报文；

64、常规业务报文发送模块，用于将所述常规业务报文发送至所述第二网络端。

65、可选地，所述第一vxlan报文获取模块具体用于：

66、接收第一网络端发送的待处理业务报文，若所述待处理业务报文的目的地址与所述网络安全设备的本机地址一致，所述待处理业务报文的报文类型为udp，所述待处理业务报文的目的端口为vxlan业务端口，则确定所述待处理业务报文为第一vxlan报文。

67、本发明实施例还公开了一种vxlan报文处理装置，应用于网络安全设备，所述装置包括：

68、待封装业务报文获取模块，用于获取第三网络端发送的待封装业务报文，并确定所述待封装业务报文对应的vxlan隧道，所述vxlan隧道对应第二vxlan标识字段；

69、加密密钥信息获取模块，用于根据所述第二vxlan标识字段，获取所述待封装业务报文对应的加密密钥信息；

70、协议头封装模块，用于根据所述加密密钥信息，采用基于内生安全机制的vxlan协议头格式对所述待封装业务报文进行封装处理；

71、第二内生安全封装报文生成模块，用于若所述加密密钥信息中的加解密算法不具备认证功能，则采用基于内生安全机制的vxlan协议尾格式对所述待封装业务报文进行封装处理，获得对应的第二内生安全封装报文；

72、第二vxlan报文生成模块，用于对所述第二内生安全封装报文进行vxlan外层封装处理，获得对应的第二vxlan报文，并将所述第二vxlan报文发送至第四网络端。

73、可选地，所述协议头封装模块包括：

74、第二vxlan协议头确定模块，用于根据所述加密密钥信息，确定所述待封装业务报文对应的第二vxlan协议头，所述第二vxlan协议头至少包括内生安全标志位、密钥有效判断标志位、序列号有效判断标志位；

75、第二vxlan协议头设置模块，用于将所述第二vxlan协议头的内生安全标志位以及密钥有效判断标志位的值均设置为1，并填写所述第二vxlan协议头的密钥版本字段；

76、重放攻击检测启用模块，用于若确定在对所述第二目标业务报文进行解封装处理时启用重放攻击检测，则将所述序列号有效判断标志位设置为1，并填写所述第二vxlan协议头的vxlan序列号字段；

77、第二vxlan协议头封装模块，用于将完成设置的第二vxlan协议头加入所述待封装业务报文，并进行封装处理。

78、可选地，所述第二内生安全封装报文生成模块包括：

79、第二vxlan协议尾确定模块，用于根据所述加密密钥信息，确定所述待封装业务报文对应的第二vxlan协议尾，填写所述第二vxlan协议尾的mac字段；

80、第二vxlan协议尾设置模块，用于若所述加密密钥信息的加解密算法为需进行字段填充的算法，则填写所述第二vxlan协议尾对应的填充数据字段以及填充长度字段；

81、第二vxlan协议尾封装模块，用于将完成设置的第二vxlan协议尾加入所述待封装业务报文，并进行封装处理，获得对应的第二内生安全封装报文。

82、本发明实施例还公开了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，所述处理器、所述通信接口以及所述存储器通过所述通信总线完成相互间的通信；

83、所述存储器，用于存放计算机程序；

84、所述处理器，用于执行存储器上所存放的程序时，实现如本发明实施例所述的方法。

85、本发明实施例还公开了一种计算机可读存储介质，其上存储有指令，当由一个或多个处理器执行时，使得所述处理器执行如本发明实施例所述的方法。

86、本发明实施例包括以下优点：

87、在本发明实施例中，提供了一种基于内生安全机制的vxlan封装协议以及基于内生安全vxlan协议的封装与解封装方法，并采用基于内生安全vxlan协议的封装方法对业务报文进行封装，采用基于内生安全vxlan协议的解封装方法对业务报文进行解封装，从而可以保障vxlan载荷以密文方式传输，同时可保障实施vxlan协议的网络安全设备或装置免受重放攻击，从而不仅解决了传统vxlan协议不具备安全能力的问题，同时可以解决vxlanover ipsec层次过多且vxlan协议头与udp头对链路中间设备不可见的问题，还可以解决网络安全设备不能快速识别报文所属租户的问题，且内生安全的vxlan协议由传统vxlan协议改造而来，能从根本上为vxlan协议赋予业务数据安全的能力，同时又不损失传统vxlan协议的灵活性及其原生优点，如可穿透三层网络对二层进行扩展、可转发组播报文和广播报文、租户信息对链路中设备可见等，更进一步地，本发明所提出的内生安全的vxlan协议还能够与传统vxlan协议兼容，对数据中心、云的平滑升级友好，不仅适用于任何传统vxlan协议场景，还适用于需保障vxlan协议安全的场景，如数据中心内部、数据中心之间的安全通信，尤其是异构云之间的安全通信与sd-wan pop点间的安全通信。