一种隧道报文解析方法及装置的制造方法

一种隧道报文解析方法及装置的制造方法
【专利摘要】本发明提供一种隧道报文解析方法及装置，该方法应用于网络安全设备，所述方法包括：收到隧道报文后，获取所述隧道报文的第一特征值；根据所述第一特征值查找所述隧道报文对应的解析策略；根据所述解析策略解析所述隧道报文，从而可以快速有效的解析大量的隧道报文，实现网络安全防护。
【专利说明】
-种隧道报文解析方法及装置
技术领域
[0001] 本发明设及通信技术领域，尤其设及一种隧道报文解析方法及装置。
【背景技术】
[0002] 隧道技术是一种通过互联网络基础设施在网络之间传递数据的方式。使用隧道传 递的报文可W是不同协议的数据报文，隧道协议可将运些不同协议的数据报文重新封装在 新的报文头中发送。
[0003] 由于网络安全设备常常需要获取到用户的真实信息W及记录用户的网络活动，如 IP五元组信息、发送邮件的内容、论坛上发布的信息、访问的网址信息等，才能够实现网络 安全防护。然而目前网络中运用隧道技术的越来越多，如GRE隧道，PPOE隧道，6to4隧道， capwap隧道等，给安全防护造成极大阻碍，因此在网络安全防护过程中如何快速有效的解 析大量的隧道报文成为亟待解决的问题。

【发明内容】

[0004] 有鉴于此，本发明提供一种隧道报文解析方法及装置来解决网络安全设备无法快 速解析隧道报文的问题。 阳〇化]具体地，本发明是通过如下技术方案实现的：
[0006] 一种隧道报文解析方法，所述方法应用于网络安全设备，所述方法包括：
[0007] 收到隧道报文后，获取所述隧道报文的第一特征值；
[0008] 根据所述第一特征值查找所述隧道报文对应的解析策略；
[0009] 根据所述解析策略解析所述隧道报文。
[0010] 进一步的，所述解析策略包括MC头偏移长度；
[0011] 所述根据所述第一特征值查找所述隧道报文对应的解析策略，包括：
[0012] 查找与所述第一特征值相同的MC头偏移长度所属的解析策略。
[0013] 进一步的，所述隧道报文还包括第二特征值和第=特征值，所述解析策略还包括 协议特征和IP头偏移长度，所述方法还包括：
[0014] 判断所述隧道报文的第二特征值和第=特征值是否分别与所述协议特征和IP头 偏移长度相同，若相同，则根据所述解析策略解析所述隧道报文。
[0015] 进一步的，所述根据所述解析策略解析所述隧道报文，包括：
[0016] 根据所述解析策略中的IP头偏移长度剥离所述隧道报文的隧道封装，获取所述 隧道报文中的数据内容。
[0017] 进一步的，所述方法还包括：
[0018] 若根据所述隧道报文的第一特征值未查找所述隧道报文对应的解析策略，或者所 述隧道报文的第二特征值和第S特征值与所述协议特征和IP头偏移长度不相同，则将所 述隧道报文丢弃。
[0019] 基于相同的构思，本发明还特征一种隧道报文解析装置，所述装置应用于网络安 全设备，所述装置包括：
[0020] 特征获取单元，用于收到隧道报文后，获取所述隧道报文的第一特征值；
[0021] 策略查找单元，用于根据所述第一特征值查找所述隧道报文对应的解析策略；
[0022] 报文解析单元，用于根据所述解析策略解析所述隧道报文。
[0023] 进一步的，所述解析策略包括MC头偏移长度；
[0024] 所述策略查找单元，具体用于查找与所述第一特征值相同的MAC头偏移长度所属 的解析策略。
[00巧]进一步的，所述隧道报文还包括第二特征值和第=特征值，所述解析策略还包括 协议特征和IP头偏移长度，所述装置还包括：
[00%] 策略验证单元，用于判断所述隧道报文的第二特征值和第=特征值是否分别与所 述协议特征和IP头偏移长度相同，若相同，则根据所述解析策略解析所述隧道报文。
[0027] 进一步的，所述报文解析单元，具体用于根据所述解析策略中的IP头偏移长度剥 离所述隧道报文的隧道封装，获取所述隧道报文中的数据内容。
[0028] 进一步的，所述装置还包括：
[0029] 报文丢弃单元，用于在根据所述隧道报文的第一特征值未查找所述隧道报文对应 的解析策略，或者所述隧道报文的第二特征值和第=特征值与所述协议特征和IP头偏移 长度不相同时，将所述隧道报文丢弃。
[0030] 由此可见，本发明可W通过隧道报文中的第一特征值来查找该隧道报文对应的解 析策略，然后根据该解析策略对该隧道报文进行解析，从而可W快速有效的解析大量的隧 道报文，实现网络安全防护。
【附图说明】
[0031] 图1是本发明一种示例性实施方式中的一种隧道报文解析方法的处理流程图；
[0032] 图2是本发明一种示例性实施方式中的另一种隧道报文解析的处理流程图；
[0033] 图3a是本发明一种实施例中的一种隧道报文不意图；
[0034] 图3b是本发明一种实施例中的另一种隧道报文示意图；
[0035] 图4是本发明一种示例性实施方式中的隧道报文解析装置所在的网络安全设备 的硬件结构图；
[0036] 图5是本发明一种示例性实施方式中的一种隧道报文解析装置的逻辑结构图。
【具体实施方式】
[0037] 为了解决现有技术存在的问题，本发明提供一种隧道报文解析方法及装置，可W 通过隧道报文中的第一特征值来查找该隧道报文对应的解析策略，然后根据该解析策略对 该隧道报文进行解析，从而可W快速有效的解析大量的隧道报文，实现网络安全防护。
[0038] 请参考图1，是本发明一种示例性实施方式中的一种隧道报文解析方法的处理流 程图，所述方法应用于网络安全设备，所述方法包括：
[0039] 步骤101、收到隧道报文后，获取所述隧道报文的第一特征值；
[0040] 在本实施例中，当网络安全设备收到流经的隧道报文时，可W获取该隧道报文对 应的第一特征值。
[0041] 步骤102、根据所述第一特征值查找所述隧道报文对应的解析策略；
[0042] 在本实施例中，该网络安全设备可W根据获取到的该第一特征值，在本地预设的 解析策略中查找该隧道报文对应的解析策略。
[0043] 步骤103、根据所述解析策略解析所述隧道报文。
[0044] 在本实施例中，网络安全设备找到该隧道报文对应的解析策略后，可根据该解析 策略解析该隧道报文的隧道封装，从而获取该隧道报文中的数据内容，并进行安全防护。
[0045] 由此可见，本发明可W通过隧道报文中的第一特征值来查找该隧道报文对应的解 析策略，然后根据该解析策略对该隧道报文进行解析，从而可W快速有效的解析大量的隧 道报文，实现网络安全防护。
[0046] 在本发明可选的实施例中，管理员可W预先在该网络安全设备上配置用于解析隧 道报文的解析策略，其中每个解析策略中可包括MC头偏移长度。该网络安全设备获取隧 道报文的第一特征值，也就是获取该隧道报文的MC头偏移长度。之后网络安全设备可W 遍历本地所有预设的解析策略，查找与所述第一特征值相同的MC头偏移长度所属的解析 策略。由于每个隧道协议对应的MC头偏移长度都不同，因此利用MC头偏移长度来查找 对应的解析策略可W提高解析效率。更进一步的，所述隧道报文还包括第二特征值和第= 特征值，所述解析策略还对应包括协议特征和IP头偏移长度，所述第二特征值相当于该隧 道报文的协议特征，所述第=特征值相当于该隧道报文的IP头偏移长度。在本发明可选的 实施例中，该网络安全设备查找到对应的解析策略后，可W进一步判断所述隧道报文的第 二特征值与该解析策略中的协议特征是否相同，需要说明的是，该协议特征通常包括协议 特征长度W及协议特征内容，该网络安全设备可W先对该隧道报文的协议特征长度进行比 较，若长度相同再比较协议特征内容，协议特征长度和协议特征内容均相同时，可认为该第 二特征值验证成功。该第二特征值验证成功后，该网络安全设备再对该第=特征值与该解 析策略中的IP头偏移长度进行比较，若比较结果为相同，则说明该第S特征值验证成功。 经过对所述解析策略的验证，可W进一步提高解析隧道报文的准确性和成功率。
[0047] 此外，若该网络安全设备根据第一特征值未查找所述隧道报文对应的解析策略， 或者第二特征值和第S特征值与所述协议特征和IP头偏移长度的比较结果不相同，则可 认为该隧道报文无法进行隧道解析，因此可将该隧道报文丢弃，从而避免影响该网络安全 设备的正常工作。
[0048] 在本发明可选的实施例中，该网络安全设备可W根据上述解析策略中的IP头偏 移长度来剥离隧道报文的隧道封装，然后获取所述隧道报文中的数据内容，从而进行安全 防护。
[0049] 为使本发明的目的、技术方案及优点更加清楚明白，请参见图2的隧道报文解析 的处理流程图，对本发明所述方案作进一步地详细说明，处理流程如下：
[0050] 步骤201、接收隧道报文；
[0051] 假设本实施例中的网络安全设备收到的隧道报文如图3a所示。
[0052] 步骤202、判断是否存在与该隧道报文的MC头偏移长度相匹配的解析策略，若是 则转步骤203,否则转步骤207 ;
[0053] 管理员可W根据对常用的隧道报文的统计化及W往的经验值，总结出常用的隧道 协议。然后根据常用的隧道协议在该网络安全设备上预先为每个隧道协议配置对应的解析 策略，用于解析该隧道协议创建的隧道报文。解析策略一般可包括:MAC头偏移长度、协议 特征及长度、IP头偏移长度等特征值。假设管理员预先配置了=个解析策略，分别为解析 策略A、解析策略B和解析策略C，具体解析策略的内容如表1所示。
[0054]
阳化5] 表1
[0056] 该网络安全设备获取该隧道报文后，遍历表1中的解析策略，查找与该隧道报文 的MC头偏移长度相同的解析策略。根据图3a可知，该隧道报文的MC头偏移长度为12字 节。假设表1中的Cl为12字节，那么可认为Cl对应的解析策略C与该隧道报文相匹配， 则初步选择解析策略C来解析该隧道报文。
[0057] 步骤203、判断获取的解析策略是否与该隧道报文的协议特征长度相匹配，若是则 转步骤204,否则转步骤207 ;
[0058] 初步选择解析策略C后，该网络安全设备可W根据解析策略C中的协议特征长度 C2获取该隧道报文的协议特征并判断该协议特征长度与C2是否相同。若获取协议特征成 功且该协议特征长度与C2相同，则认为该解析策略C与该隧道报文的协议特征长度相匹 配。
[0059] 步骤204、判断获取的解析策略是否与该隧道报文的协议特征相匹配，若是则转步 骤205,否则转步骤207 ;
[0060] 获取该隧道报文的协议特征后，该网络安全设备可W进一步判断解析策略C中的 特征C与该隧道报文的协议特征是否相同。根据图3a阴影标记可知该隧道报文的协议特 征为0x8864,假设特征C也是0x8864,那么则认为解析策略C与该隧道报文的协议特征相 匹配。
[0061] 步骤205、判断获取的解析策略是否与该隧道报文的IP头偏移长度相匹配，若是 则转步骤206,否则转步骤207 ;
[0062] 该网络安全设备可W更进一步判断解析策略C中的IP头偏移长度C3与该隧道报 文的IP头偏移长度是否相同。根据图3b阴影标记可知该隧道报文的IP头偏移长度为22， 假设C3也是22,那么则认为解析策略C与该隧道报文相匹配。
[0063] 步骤206、根据解析策略C解析该隧道报文，并结束；
[0064] 通过上述过程证明该解析策略C与该隧道报文相匹配后，可W根据该解析策略C 中的IP头偏移长度剥离该隧道报文的隧道封装，从而获取该隧道报文中的数据信息，W使 该网络安全设备根据该数据信息进行安全防护。 阳0化]步骤207、丢弃该隧道报文，并结束。
[0066] 若网络安全设备在上述验证过程中发现有任一项不匹配时，则可认为该隧道报文 无法进行报文解析，因此丢弃该隧道报文。
[0067] 由此可见，本发明可W通过隧道报文中的第一特征值来查找该隧道报文对应的解 析策略，然后根据该解析策略对该隧道报文进行解析，从而可W快速有效的解析大量的隧 道报文，实现网络安全防护。
[0068] 基于相同的构思，本发明还提供一种隧道报文解析装置，所述装置可W通过软件 实现，也可W通过硬件或者软硬件结合的方式实现。W软件实现为例，本发明的隧道报文解 析装置作为一个逻辑意义上的装置，是通过其所在网络安全设备的CPU将存储器中对应的 计算机程序指令读取后运行而成。
[0069] 请参考图4及图5,是本发明一种示例性实施方式中的一种隧道报文解析装置 500,所述装置应用于网络安全设备，所述装置基本运行环境包括CPU,存储器W及其他硬 件，从逻辑层面上来看，所述装置500包括：
[0070] 特征获取单元501，用于收到隧道报文后，获取所述隧道报文的第一特征值；
[0071] 策略查找单元502,用于根据所述第一特征值查找所述隧道报文对应的解析策 略；
[0072] 报文解析单元503,用于根据所述解析策略解析所述隧道报文。
[0073] 可选的，所述解析策略包括MC头偏移长度；
[0074] 所述策略查找单元502,具体用于查找与所述第一特征值相同的MC头偏移长度 所属的解析策略。
[00巧]可选的，所述隧道报文还包括第二特征值和第=特征值，所述解析策略还包括协 议特征和IP头偏移长度，所述装置还包括：
[0076] 策略验证单元504,用于判断所述隧道报文的第二特征值和第=特征值是否分别 与所述协议特征和IP头偏移长度相同，若相同，则根据所述解析策略解析所述隧道报文。
[0077] 可选的，所述报文解析503单元，具体用于根据所述解析策略中的IP头偏移长度 剥离所述隧道报文的隧道封装，获取所述隧道报文中的数据内容。
[0078] 可选的，所述装置还包括：
[0079] 报文丢弃单元505,用于在根据所述隧道报文的第一特征值未查找所述隧道报文 对应的解析策略，或者所述隧道报文的第二特征值和第=特征值与所述协议特征和IP头 偏移长度不相同时，将所述隧道报文丢弃。
[0080] 由此可见，本发明可W通过隧道报文中的第一特征值来查找该隧道报文对应的解 析策略，然后根据该解析策略对该隧道报文进行解析，从而可W快速有效的解析大量的隧 道报文，实现网络安全防护。
[0081] W上所述仅为本发明的较佳实施例而已，并不用W限制本发明，凡在本发明的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【主权项】
1. 一种隧道报文解析方法，其特征在于，所述方法应用于网络安全设备，所述方法包 括： 收到隧道报文后，获取所述隧道报文的第一特征值； 根据所述第一特征值查找所述隧道报文对应的解析策略； 根据所述解析策略解析所述隧道报文。2. 根据权利要求1所述的方法，其特征在于，所述解析策略包括MAC头偏移长度； 所述根据所述第一特征值查找所述隧道报文对应的解析策略，包括： 查找与所述第一特征值相同的MAC头偏移长度所属的解析策略。3. 根据权利要求1所述的方法，其特征在于，所述隧道报文还包括第二特征值和第三 特征值，所述解析策略还包括协议特征和IP头偏移长度，所述方法还包括： 判断所述隧道报文的第二特征值和第三特征值是否分别与所述协议特征和IP头偏移 长度相同，若相同，则根据所述解析策略解析所述隧道报文。4. 根据权利要求3所述的方法，其特征在于，所述根据所述解析策略解析所述隧道报 文，包括： 根据所述解析策略中的IP头偏移长度剥离所述隧道报文的隧道封装，获取所述隧道 报文中的数据内容。5. 根据权利要求1或3所述的方法，其特征在于，所述方法还包括： 若根据所述隧道报文的第一特征值未查找所述隧道报文对应的解析策略，或者所述隧 道报文的第二特征值和第三特征值与所述协议特征和IP头偏移长度不相同，则将所述隧 道报文丢弃。6. -种隧道报文解析装置，其特征在于，所述装置应用于网络安全设备，所述装置包 括： 特征获取单元，用于收到隧道报文后，获取所述隧道报文的第一特征值； 策略查找单元，用于根据所述第一特征值查找所述隧道报文对应的解析策略； 报文解析单元，用于根据所述解析策略解析所述隧道报文。7. 根据权利要求6所述的装置，其特征在于，所述解析策略包括MAC头偏移长度； 所述策略查找单元，具体用于查找与所述第一特征值相同的MAC头偏移长度所属的解 析策略。8. 根据权利要求6所述的装置，其特征在于，所述隧道报文还包括第二特征值和第三 特征值，所述解析策略还包括协议特征和IP头偏移长度，所述装置还包括： 策略验证单元，用于判断所述隧道报文的第二特征值和第三特征值是否分别与所述协 议特征和IP头偏移长度相同，若相同，则根据所述解析策略解析所述隧道报文。9. 根据权利要求8所述的装置，其特征在于，所述报文解析单元，具体用于根据所述解 析策略中的IP头偏移长度剥离所述隧道报文的隧道封装，获取所述隧道报文中的数据内 容。10. 根据权利要求6或8所述的装置，其特征在于，所述装置还包括： 报文丢弃单元，用于在根据所述隧道报文的第一特征值未查找所述隧道报文对应的解 析策略，或者所述隧道报文的第二特征值和第三特征值与所述协议特征和IP头偏移长度 不相同时，将所述隧道报文丢弃。
【文档编号】H04L12/911GK105939304SQ201510320652
【公开日】2016年9月14日
【申请日】2015年6月11日
【发明人】张晓东
【申请人】杭州迪普科技有限公司