CN104618211A - 一种基于隧道的报文处理方法和总部网关设备 - Google Patents
一种基于隧道的报文处理方法和总部网关设备 Download PDFInfo
- Publication number
- CN104618211A CN104618211A CN201410851726.6A CN201410851726A CN104618211A CN 104618211 A CN104618211 A CN 104618211A CN 201410851726 A CN201410851726 A CN 201410851726A CN 104618211 A CN104618211 A CN 104618211A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- message
- gateway
- encrypted
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于隧道的报文处理方法和总部网关设备,总部网关解密接收到的业务流的加密报文得到原始请求报文,根据原始请求报文的多元组信息查询预设的隧道关联表,如果隧道关联表中没有与多元组信息匹配的表项,将多元组信息与解密加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到隧道关联表中,并发送原始请求报文;总部网关接收业务流的原始响应报文,根据原始响应报文的多元组信息查询隧道关联表,确定与多元组信息匹配的隧道,如果匹配的隧道可用,使用匹配的隧道对应的出密钥信息对原始响应报文进行加密,并通过匹配的隧道将加密后的原始响应报文发送给加密报文的来源分支网关。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种基于隧道的报文处理方法和总部网关设备。
背景技术
IPSec(Internet Protocol Security,IP安全)协议给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议(Authentication Header,AH)、封装安全载荷协议(Encapsulating Security Payload,ESP)、密钥管理协议(InternetKey Exchange,IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
图1是IPSec组网图,网关2、3为分支网关,网关1为总部网关。其中,网关2、3连接的私网是相同的,网关2、3互为备份,网关2和网关1建立IPSec隧道1,网关3和网关1建立IPSec隧道2,这两个IPSec隧道保护的业务流的范围是相同的,同一时间内,两个IPSec隧道中仅有一个IPSec隧道处于激活态、另一个IPSec隧道则处于非激活态,激活态和非激活态的确定方法为:网关1根据网关2(或网关3)发送来的业务流的加密报文中的安全参数索引(Security Parameter Index,SPI)区分用哪个IPSec隧道对应的入密钥信息来解密,被使用的入密钥信息对应的IPSec隧道切换为激活态,未被使用的入密钥信息对应的IPSec隧道切换为非激活态。当网关1返回加密报文的原始响应报文给网关2(或网关3)时,使用当前处于激活态的IPSec隧道对应的出密钥信息对原始响应报文进行加密,并通过当前处于激活态的IPSec隧道转发加密后的原始响应报文。这样,通过IPSec隧道的激活态和非激活态来保证网关1返回的原始响应报文仅使用一条IPSec隧道对应的出密钥信息进行加密,且仅通过一条IPSec隧道对加密后的原始响应报文进行转发,但是这样存在以下问题:在网关2、3状态不稳定的情况下,容易造成网关1上两条隧道的状态频繁切换(激活态或非激活态),同一业务流的加密报文和原始响应报文不能保证使用相同的IPSec隧道对应的入密钥信息、出密钥信息加解密,例如,网关1将原本应该发给网关2(因网关3的负载较重分担到网关2)的业务流的原始响应报文,发给了网关3(因频繁切换当前处于激活态的IPSec隧道为网关1与网关3之间的IPSec隧道),这就导致网关3的负载更重,无法实现真正的负载分担。
为了解决这一问题,现有技术中将网关2、3使用堆叠技术合二为一,这样网关2、3与网关1只需建立一条隧道,不再有上述问题。然而这种解决方法需改变原有网络结构,改造难度大,并且很难继续使用原有设备,设备更换成本高。
发明内容
有鉴于此,本发明提出了一种基于隧道的报文处理方法和总部网关设备,有效解决了现有多隧道组网中不能实现IPSec隧道负载分担的缺陷。
本发明提出的技术方案是:
一种基于隧道的报文处理方法,该方法包括:
总部网关解密接收到的业务流的加密报文得到原始请求报文,根据原始请求报文的多元组信息查询预设的隧道关联表,如果隧道关联表中没有与多元组信息匹配的表项,将多元组信息与解密加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到隧道关联表中,并发送原始请求报文;
总部网关接收业务流的原始响应报文,根据原始响应报文的多元组信息查询隧道关联表,确定与多元组信息匹配的隧道,如果匹配的隧道可用,使用匹配的隧道对应的出密钥信息对原始响应报文进行加密,并通过匹配的隧道将加密后的原始响应报文发送给加密报文的来源分支网关。
一种总部网关设备,该设备包括:
第一处理模块,用于解密接收到的业务流的加密报文得到原始请求报文,根据原始请求报文的多元组信息查询预设的隧道关联表,如果隧道关联表中没有与多元组信息匹配的表项,将多元组信息与解密加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到隧道关联表中,并发送原始请求报文;
第二处理模块,用于接收业务流的原始响应报文,根据原始响应报文的多元组信息查询隧道关联表,确定与多元组信息匹配的隧道,如果匹配的隧道可用,使用匹配的隧道对应的出密钥信息对原始响应报文进行加密,并通过匹配的隧道将加密后的原始响应报文发送给加密报文的来源分支网关。
综上,本发明提出了一种基于隧道的报文处理方法和总部网关设备,在该方法中,业务流的原始请求报文根据负载分担原则通过分支网关进行加密,并由该分支网关将加密报文发送给总部网关,总部网关对该业务流的加密报文进行解密后,依据解密后得到的该业务流的原始请求报文的多元组信息查询预设的隧道关联表,在未查询到时,将多元组信息与解密使用的入密钥信息对应的IPSec隧道相关联,并将该关联关系保存在隧道关联表中;当该业务流的原始响应报文返回时,总部网关根据返回的该原始响应报文的多元组信息查询隧道关联表,确定总部网关对该业务流的加密报文解密时使用的IPSec隧道,用该确定出的IPSec隧道对应的出密钥信息对返回的原始响应报文进行加密,并通过该确定出的IPSec隧道将加密后的原始响应报文发送给加密报文的来源分支网关,保证了业务流的原始请求报文和原始响应报文都使用相同的IPSec隧道进行传输。由于分支网关发送加密报文给总部网关时是负载分担的,因此总部网关返回加密后的原始响应报文给分支网关时也实现了负载分担。
附图说明
图1为现有技术中IPSec组网图;
图2为本发明技术方案的流程图;
图3为本发明方法实施例一和方法实施例二的IPSec组网图;
图4为本发明方法实施例一的流程图;
图5为本发明方法实施例二的流程图;
图6为本发明实施例总部网关设备的结构图。
具体实施方式
在多隧道组网中,总部网关发送业务流的原始响应报文给分支网关时,根据当前处于激活态的IPSec隧道对应的出密钥信息对该原始响应报文进行加密,并通过当前处于激活态的IPSec隧道将加密后的原始响应报文发送给分支网关,如不作任何改进,在分支网关状态不稳定的情况下,容易造成总部网关与分支网关之间的隧道的状态频繁切换(激活态或非激活态),同一业务流的加密报文和原始响应报文不能保证使用相同的IPSec隧道对应的入密钥信息、出密钥信息加解密,进而导致某个负载过重的分支网关负载更重,无法实现真正的负载分担。
为了解决这一问题,现有技术中将分支网关使用堆叠技术合为一体,分支网关与总部网关之间只建立一条隧道,不再有多隧道无法实现负载分担的问题。然而这种解决方法需改变原有网络结构,改造难度大,并且很难继续使用原有设备,设备更换成本高。
本发明实施例的技术方案是:
本发明应用于包括有总部网关和多个分支网关的组网中,部分分支网关之间互为备份,这些分支网关与总部网关之间建立的隧道所保护的业务流的范围是相同的,如图2所示,该组网中的总部网关执行以下步骤:
步骤201:总部网关解密接收到的业务流的加密报文得到原始请求报文,根据原始请求报文的多元组信息查询预设的隧道关联表,如果该隧道关联表中没有与多元组信息匹配的表项,则将多元组信息与解密加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到隧道关联表中,并发送原始请求报文。
本步骤中,业务流的加密报文为加密报文的来源分支网关对业务流的原始请求报文加密后的报文,由该来源分支网关按照负载分担原则发送给总部网关;总部网关解密加密报文时使用的入密钥信息对应的隧道为总部网关与该来源分支网关之间的IPSec隧道,当总部网关与该来源分支网关之间的IPSec隧道建立好以后,这一IPSec隧道保护的业务流的范围也就确定了,IPSec隧道保护的业务流的范围可以通过网段,和/或IP层之上的协议类型,和/或协议类型的端口号等进行确定。每一IPSec隧道对应相应的入密钥信息和出密钥信息。
步骤202:总部网关接收业务流的原始响应报文,根据原始响应报文的多元组信息查询隧道关联表,确定与多元组信息匹配的隧道,如果匹配的隧道可用,使用匹配的隧道对应的出密钥信息对原始响应报文进行加密,并通过匹配的隧道将加密后的原始响应报文发送给加密报文来源的分支网关。
本步骤中的原始响应报文是对步骤201中的原始请求报文作出的回应报文,与步骤201中的原始请求报文属于同一业务流。
同一业务流的报文(包括原始请求报文和原始响应报文)的多元组信息均相同,具体地,多元组信息可以是五元组信息(适用于传输控制协议(Transmission Control Protocol,TCP)报文、用户数据报协议(User DatagramProtocol,UDP)报文等)或三元组信息(适用于互联网控制报文协议(InternetControl Message Protocol,ICMP)报文)。
如果步骤201中隧道关联表有与原始请求报文的多元组信息匹配的表项,总部网关判断与多元组信息匹配的表项中的隧道与解密业务流的加密报文时使用的入密钥信息对应的隧道是否一致,如果是,不处理该与多元组信息匹配的表项,直接发送解密得到的原始请求报文;否则,将该与多元组信息匹配的表项中的隧道更新为解密业务流的加密报文时使用的入密钥信息对应的隧道,并发送原始请求报文。
步骤202中,总部网关对原始响应报文进行加密时,如果确定出的隧道关联表中匹配的隧道不可用,重新确定一条与隧道关联表中匹配的隧道保护的业务流的范围相同的可用隧道,使用重新确定出的可用隧道对应的出密钥信息对原始响应报文进行加密,并通过重新确定出的可用隧道发送加密后的原始响应报文。
如果网络中存在至少两条可用隧道与隧道关联表中匹配的隧道保护的业务流的范围相同,总部网关使用该至少两条可用隧道中优先级最高的可用隧道对应的出密钥信息对原始响应报文进行加密,并通过优先级最高的可用隧道发送加密后的原始响应报文。
为使本发明的目的、技术方案和优点表达的更加清楚明白,下面结合附图及具体实施例对本发明再作进一步详细的说明。
下面结合具体实施例对上述基于隧道的报文处理方法进行详细说明。
方法实施例一
本实施例采用图3所示的IPSec组网图,如图3所示,网关A为总部网关,网关B、C为互为备份的分支网关,网关B、C连接的私网是相同的,网关B和网关A建立IPSec隧道1,网关C和网关A建立IPSec隧道2,这两个IPSec隧道保护的业务流的范围是相同的。网关B和网关C分别对不同业务流的原始请求报文进行加密并发送给网关A时实行负载分担。
本实施例以网关A对业务流1的加密报文(加密后的原始请求报文)进行解密为例对本发明技术方案进行说明,图4为本方法实施例的流程图,如图4所示,包括以下步骤:
步骤401:网关A接收到业务流1的加密报文,对该加密报文进行解密得到业务流1的原始请求报文,并提取原始请求报文的五元组信息。
本步骤中,网关A收到业务流1的加密报文后,根据该加密报文中的SPI选择相应IPSec隧道对应的入密钥信息进行解密,得到业务流1的原始请求报文,并提取原始请求报文的五元组信息。假设业务流1的原始请求报文是由网关B进行加密并发送给网关A的,则网关B发送给网关A的业务流1的加密报文中的SPI对应的IPSec隧道为IPSec隧道1,则网关A使用IPSec隧道1对应的入密钥信息对业务流1的加密报文进行解密。本实施例用K1表示业务流1原始请求报文的五元组信息。
步骤402:网关A根据业务流1的原始请求报文的五元组信息查询预设的隧道关联表,判断是否能在隧道关联表中查询到与该原始请求报文的五元组信息匹配的表项,如果是,执行步骤403,否则执行步骤406。
本步骤中,隧道关联表记录的是五元组信息与IPSec隧道的映射关系,表示隧道关联表中的五元组信息对应的加密报文(或原始响应报文)是通过五元组信息所在表项中的IPSec隧道对应的入密钥信息(或出密钥信息)由网关A进行解密(或加密)的,如表1所示,五元组信息K2对应的加密报文(或原始响应报文)通过IPSec隧道1对应的入密钥信息(或出密钥信息)由网关A进行解密(或加密);报文信息K6对应的加密报文(或原始响应报文)通过IPSec隧道1对应的入密钥信息(或出密钥信息)由网关A进行解密(或加密);报文信息K5对应的加密报文(或原始响应报文)通过IPSec隧道2对应的入密钥信息(或出密钥信息)由网关A进行解密(或加密)。
表1
| 五元组信息 | 隧道标识 |
| K2 | IPSec隧道1 |
| K6 | IPSec隧道1 |
| K5 | IPSec隧道2 |
步骤403:网关A判断与五元组信息匹配的隧道关联表项记录的是否为IPSec隧道1与K1之间的映射关系,如果是,执行步骤404,否则执行步骤405。
本步骤中,如果隧道关联表中与五元组信息K1匹配的隧道关联表项记录的是K1与IPSec隧道1的映射关系,说明步骤401中网关A接收业务流1的加密报文之前,网关A还接收到过业务流1的其他加密报文,且发送该加密报文的分支网关没有发生变化,也是网关B;如果隧道关联表中与K1匹配的隧道关联表项记录的不是K1与IPSec隧道1的映射关系,假设为K1与IPSec隧道2的映射关系,说明步骤401中网关A接收业务流1的加密报文之前,网关A还接收到过业务流1的其他加密报文,且通过IPSec隧道2对应的入密钥信息进行解密,而步骤401中网关A接收到的业务流1的加密报文的SPI指示网关A通过IPSec隧道1对应的入密钥信息对加密报文进行解密,不是原来的IPSec隧道2对应的入密钥信息,原因可能为网关C故障,或网关C与网关A之间的隧道故障,使得本来由网关C承载的业务流1转到了网关B上。
步骤404:网关A不处理与五元组信息K1匹配的隧道关联表项,发送解密后的业务流1的原始请求报文。
基于步骤403的判断结果,隧道关联表中与五元组信息K1匹配的隧道关联表项记录的是K1与IPSec隧道1的映射关系,与步骤401中网关A解密业务流1的加密报文采用的入密钥信息对应的IPSec隧道一致,则网关A不对隧道关联表进行处理,直接将业务流1的原始请求报文发送出去。
步骤405:网关A更新与五元组信息K1匹配的隧道关联表项,并发送解密后的业务流1的原始请求报文。
基于步骤403的判断结果,隧道关联表中与K1匹配的隧道关联表项记录的不是K1与IPSec隧道1的映射关系,则网关A将与K1匹配的隧道关联表项中的隧道更新为IPSec隧道1。这样做的目的是为了使得隧道关联表中记录业务流报文与解密该业务流报文时使用的入密钥信息对应的IPSec隧道的最新的映射关系,使得总部网关对原始响应报文进行加密时,能够选择之前解密加密报文时使用的入密钥信息对应的IPSec隧道。
更新完隧道关联表后,网关A发送解密后的业务流1的原始请求报文。
步骤406:网关A将业务流1的原始请求报文的五元组信息K1与IPSec隧道1的映射关系记录在隧道关联表中,并发送解密后的业务流1的原始请求报文。
基于步骤402的判断结果,网关A上的隧道关联表中没有与五元组信息K1匹配的表项,则说明这是网关A首次接收到业务流1的加密报文,则将业务流1的五元组信息K1与IPSec隧道1的映射关系记录在隧道关联表中。
更新完隧道关联表后,网关A发送解密后的业务流1的原始请求报文。
方法实施例二
本实施例仍采用图3所示的IPSec组网图,方法实施例一以网关A对业务流1的加密报文进行解密对本发明技术方案进行说明,本实施例在方法实施例一的基础上,以网关A对接收到的返回给加密报文的来源分支网关的业务流1的原始响应报文进行加密对本发明技术方案作进一步说明。图5为本发明实施例的流程图,如图5所示,包括以下步骤:
步骤501:网关A接收业务流1的原始响应报文,根据该原始响应报文的五元组信息查询隧道关联表,确定与该五元组信息匹配的IPSec隧道。
本步骤中,由于同一业务流的五元组信息是相同的,因此网关A接收到的业务流1的原始响应报文的五元组信息仍为K1。网关A根据五元组信息K1查询隧道关联表,确定隧道关联表中与该五元组信息匹配的IPSec隧道。由于方法实施例一中网关A保存的隧道关联表记录的是五元组信息K1与IPSec隧道1的映射关系,因此本步骤确定出的隧道关联表中与五元组信息K1匹配的IPSec隧道为IPSec隧道1。
步骤502:网关A判断IPSec隧道1是否可用,如果是,执行步骤503,否则执行步骤504。
当网关A确定出隧道关联表中与五元组信息K1匹配的IPSec隧道后,需要进一步判断确定出的IPSec隧道是否可用,如果此时IPSec隧道1对应的网关B出现了故障,或者IPSec隧道1本身出现故障,则网关A与网关B之间的IPSec隧道1不可用,网关A无法使用IPSec隧道1对业务流1的原始响应报文传输。
步骤503:网关A使用IPSec隧道1对应的出密钥信息对业务流1的原始响应报文进行加密,并通过IPSec隧道1将加密后的原始响应报文发送给网关B。
基于步骤502的判断结果,IPSec隧道1可用,则网关A使用IPSec隧道1对应的出密钥信息对业务流1的原始响应报文进行加密,并通过IPSec隧道1将加密后的原始响应报文发送给网关B。
这样保证了业务流1的原始请求报文、原始响应报文使用同一条IPSec隧道进行传输。并且,由于业务流1的加密报文的来源分支网关通过IPSec隧道1发送业务流的加密报文到网关A时是负载分担的,因此网关A通过原隧道发往该来源分支网关的业务流的原始响应报文也是负载分担的。
步骤504:网关A确定一条与IPSec隧道1保护的业务流的范围相同的可用IPSec隧道。
基于步骤502的判断结果,IPSec隧道1不可用,无法对返回给业务流1的加密报文的来源分支网关的业务流1的原始响应报文进行传输,因此网关A确定一条与IPSec隧道1保护的业务流的范围相同的可用IPSec隧道,例如,网关A可以根据业务流1的原始响应报文的流信息查询安全联盟数据库(Security Association Database,SADB)得到一条与IPSec隧道1保护的业务流的范围相同的可用IPSec隧道,具体确定过程为现有技术,在此不再详述。如果存在至少两条与IPSec隧道1保护的业务流的范围相同的可用IPSec隧道,则选择优先级最高的可用IPSec隧道。
步骤505:网关A使用确定出的IPSec隧道对应的出密钥信息对业务流1的原始响应报文进行加密,并通过确定出的IPSec隧道将加密后的原始响应报文发送给该隧道对应的分支网关。
方法实施例一和方法实施例二中,业务流的原始请求报文根据负载分担原则通过分支网关进行加密,并由分支网关将加密报文发送给总部网关,总部网关对该业务流的加密报文进行解密,解密后将该业务流的原始请求报文的五元组信息与解密时使用的入密钥信息对应的IPSec隧道之间的映射关系保存(或更新)在预设的隧道关联表中;当该业务流的原始响应报文返回时,总部网关根据返回的该原始响应报文的五元组信息查询隧道关联表,确定与该五元组信息匹配的IPSec隧道,如果该匹配的IPSec隧道可用,用该匹配的IPSec隧道对应的出密钥信息对返回的该业务流的原始响应报文进行加密,并通过该匹配的IPSec隧道将加密后的原始响应报文发送给加密报文的来源分支网关,保证了同一业务流的原始请求报文和原始响应报文都使用相同的IPSec隧道进行传输,由于分支网关发送加密报文给总部网关时是负载分担的,因此总部网关发往加密报文的来源分支网关的加密后的原始响应报文也实现了负载分担。
针对上述方法,本发明还公开一种总部网关设备,图6为本发明总部网关设备的结构图,如图6所示,该设备包括:
第一处理模块601,用于解密接收到的业务流的加密报文得到原始请求报文,根据原始请求报文的多元组信息查询预设的隧道关联表,如果隧道关联表中没有与该多元组信息匹配的表项,将该多元组信息与解密加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到隧道关联表中,并发送原始请求报文;
第二处理模块602,用于接收业务流的原始响应报文,根据原始响应报文的多元组信息查询隧道关联表,确定与该多元组信息匹配的隧道,如果匹配的隧道可用,使用匹配的隧道对应的出密钥信息对原始响应报文进行加密,并通过匹配的隧道将加密后的原始响应报文发送给加密报文的来源分支网关。
如果隧道关联表有与多元组信息匹配的表项,第一处处理模块601进一步用于,判断与多元组信息匹配的表项中的隧道与解密加密报文时使用的入密钥信息对应的隧道是否一致,如果是,不处理与多元组信息匹配的表项,发送原始请求报文;否则,将与多元组信息匹配的表项中的隧道更新为解密加密报文时使用的入密钥信息对应的隧道,并发送原始请求报文。
如果与多元组信息匹配的表项中的隧道不可用,该设备还包括第三处理模块603,用于确定一条与多元组信息匹配的表项中的隧道保护的业务流的范围相同的可用隧道,使用可用隧道对应的出密钥信息对原始响应报文进行加密,并通过可用隧道发送加密后的原始响应报文。
如果存在至少两条可用隧道与多元组信息匹配的表项中的隧道保护的业务流的范围相同,第三处理模块603进一步用于,使用至少两条可用隧道中优先级最高的可用隧道对应的出密钥信息对原始响应报文进行加密,并通过优先级最高的可用隧道发送加密后的原始响应报文。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种基于隧道的报文处理方法,其特征在于,该方法包括:
总部网关解密接收到的业务流的加密报文得到原始请求报文,根据所述原始请求报文的多元组信息查询预设的隧道关联表,如果所述隧道关联表中没有与所述多元组信息匹配的表项,将所述多元组信息与解密所述加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到所述隧道关联表中,并发送所述原始请求报文;
总部网关接收所述业务流的原始响应报文,根据所述原始响应报文的所述多元组信息查询所述隧道关联表,确定与所述多元组信息匹配的隧道,如果所述匹配的隧道可用,使用所述匹配的隧道对应的出密钥信息对所述原始响应报文进行加密,并通过所述匹配的隧道将加密后的所述原始响应报文发送给所述加密报文的来源分支网关。
2.根据权利要求1所述的方法,其特征在于,如果所述隧道关联表有与所述多元组信息匹配的表项,该方法进一步包括:
判断与所述多元组信息匹配的表项中的隧道与解密所述加密报文时使用的入密钥信息对应的隧道是否一致,如果是,不处理与所述多元组信息匹配的表项,发送所述原始请求报文;否则,将与所述多元组信息匹配的表项中的隧道更新为解密所述加密报文时使用的入密钥信息对应的隧道,并发送所述原始请求报文。
3.根据权利要求1所述的方法,其特征在于,如果所述匹配的隧道不可用,该方法进一步包括:
所述总部网关确定一条与所述多元组信息匹配的表项中的隧道保护的业务流的范围相同的可用隧道,使用所述可用隧道对应的出密钥信息对所述原始响应报文进行加密,并通过所述可用隧道发送加密后的所述原始响应报文。
4.根据权利要求3所述的方法,其特征在于,如果存在至少两条可用隧道与所述多元组信息匹配的表项中的隧道保护的业务流的范围相同,该方法进一步包括:
使用所述至少两条可用隧道中优先级最高的可用隧道对应的出密钥信息对所述原始响应报文进行加密,并通过所述优先级最高的可用隧道发送加密后的所述原始响应报文。
5.一种总部网关设备,其特征在于,该设备包括:
第一处理模块,用于解密接收到的业务流的加密报文得到原始请求报文,根据所述原始请求报文的多元组信息查询预设的隧道关联表,如果所述隧道关联表中没有与所述多元组信息匹配的表项,将所述多元组信息与解密所述加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到所述隧道关联表中,并发送所述原始请求报文;
第二处理模块,用于接收所述业务流的原始响应报文,根据所述原始响应报文的所述多元组信息查询所述隧道关联表,确定与所述多元组信息匹配的隧道,如果所述匹配的隧道可用,使用所述匹配的隧道对应的出密钥信息对所述原始响应报文进行加密,并通过所述匹配的隧道将加密后的所述原始响应报文发送给所述加密报文的来源分支网关。
6.根据权利要求5所述的设备,其特征在于,所述第一处理模块进一步用于:
如果所述隧道关联表有与所述多元组信息匹配的表项,判断与所述多元组信息匹配的表项中的隧道与解密所述加密报文时使用的入密钥信息对应的隧道是否一致,如果是,不处理与所述多元组信息匹配的表项,发送所述原始请求报文;否则,将与所述多元组信息匹配的表项中的隧道更新为解密所述加密报文时使用的入密钥信息对应的隧道,并发送所述原始请求报文。
7.根据权利要求5所述的设备,其特征在于,如果所述第二处理模块确定出的所述匹配的隧道不可用,该设备还包括:
第三处理模块,用于确定一条与所述多元组信息匹配的表项中的隧道保护的业务流的范围相同的可用隧道,使用所述可用隧道对应的出密钥信息对所述原始响应报文进行加密,并通过所述可用隧道发送加密后的所述原始响应报文。
8.根据权利要求7所述的设备,其特征在于,所述第三处理模块进一步用于:
如果存在至少两条可用隧道与所述多元组信息匹配的表项中的隧道保护的业务流的范围相同,使用所述至少两条可用隧道中优先级最高的可用隧道对应的出密钥信息对所述原始响应报文进行加密,并通过所述优先级最高的可用隧道发送加密后的所述原始响应报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410851726.6A CN104618211A (zh) | 2014-12-31 | 2014-12-31 | 一种基于隧道的报文处理方法和总部网关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410851726.6A CN104618211A (zh) | 2014-12-31 | 2014-12-31 | 一种基于隧道的报文处理方法和总部网关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104618211A true CN104618211A (zh) | 2015-05-13 |
Family
ID=53152500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410851726.6A Pending CN104618211A (zh) | 2014-12-31 | 2014-12-31 | 一种基于隧道的报文处理方法和总部网关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104618211A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935594A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 基于虚拟可扩展局域网隧道的报文处理方法及装置 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制***有限责任公司 | 一种vpn隧道模式优化方法及*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080168551A1 (en) * | 2007-01-08 | 2008-07-10 | Sungkyunkwan University Foundation For Corporate Collaboration | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof |
| CN102647349A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | Ipsec实现负载分担的方法及*** |
| CN102655476A (zh) * | 2012-04-19 | 2012-09-05 | 华为技术有限公司 | 一种互联网协议流转发方法,及设备 |
| CN102882789A (zh) * | 2012-09-17 | 2013-01-16 | 华为技术有限公司 | 一种数据报文处理方法、***及设备 |
-
2014
- 2014-12-31 CN CN201410851726.6A patent/CN104618211A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080168551A1 (en) * | 2007-01-08 | 2008-07-10 | Sungkyunkwan University Foundation For Corporate Collaboration | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof |
| CN102647349A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | Ipsec实现负载分担的方法及*** |
| CN102655476A (zh) * | 2012-04-19 | 2012-09-05 | 华为技术有限公司 | 一种互联网协议流转发方法,及设备 |
| CN102882789A (zh) * | 2012-09-17 | 2013-01-16 | 华为技术有限公司 | 一种数据报文处理方法、***及设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935594A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 基于虚拟可扩展局域网隧道的报文处理方法及装置 |
| CN104935594B (zh) * | 2015-06-16 | 2018-05-08 | 新华三技术有限公司 | 基于虚拟可扩展局域网隧道的报文处理方法及装置 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN105591926B (zh) * | 2015-12-11 | 2019-06-07 | 新华三技术有限公司 | 一种流量保护方法及装置 |
| CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制***有限责任公司 | 一种vpn隧道模式优化方法及*** |
| CN110535748B (zh) * | 2019-09-09 | 2021-03-26 | 北京科东电力控制***有限责任公司 | 一种vpn隧道模式优化方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
| US8112622B2 (en) | Chaining port scheme for network security | |
| CN102130768B (zh) | 一种具有链路层加解密能力的终端设备及其数据处理方法 | |
| US8104082B2 (en) | Virtual security interface | |
| TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
| US20200162434A1 (en) | Secure and encrypted heartbeat protocol | |
| CN102143487B (zh) | 一种端对端会话密钥协商方法和*** | |
| CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
| JP6214088B2 (ja) | ネットワーク制御システム及び方法 | |
| US20100296395A1 (en) | Packet transmission system, packet transmission apparatus, and packet transmission method | |
| CN101521667A (zh) | 一种安全的数据通信方法及装置 | |
| CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
| CN112187757A (zh) | 多链路隐私数据流转***及方法 | |
| CN113726795A (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| EP3041277A1 (en) | Frame transfer method, related apparatus, and communications system | |
| CN104618211A (zh) | 一种基于隧道的报文处理方法和总部网关设备 | |
| CN111464550B (zh) | 一种用于报文处理设备的https透明防护方法 | |
| KR20140091221A (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
| KR102219018B1 (ko) | 블록체인 기반의 사물인터넷 데이터 전송 방법 | |
| CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
| JP2013077957A (ja) | 中継装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法 | |
| CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
| CN114039795B (zh) | 软件定义路由器及基于该软件定义路由器的数据转发方法 | |
| CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| EP4181431A1 (en) | Service transmission method and apparatus, network device, and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150513 |