CN102882789A - 一种数据报文处理方法、系统及设备 - Google Patents
一种数据报文处理方法、系统及设备 Download PDFInfo
- Publication number
- CN102882789A CN102882789A CN2012103455688A CN201210345568A CN102882789A CN 102882789 A CN102882789 A CN 102882789A CN 2012103455688 A CN2012103455688 A CN 2012103455688A CN 201210345568 A CN201210345568 A CN 201210345568A CN 102882789 A CN102882789 A CN 102882789A
- Authority
- CN
- China
- Prior art keywords
- data message
- information
- stream table
- enciphered
- enciphered data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Abstract
本发明实施例公开了一种数据报文处理方法、系统及设备,可以提高IPSEC通信效率,该方法包括:根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有IP协议安全性IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息。通过配置有IP协议安全性IPSEC策略的接口接收加密数据报文;根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种数据报文处理方法、系统及设备。
背景技术
互联网协议(Internet Protocol,简称IP)是传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol,简称TCP/IP)族中最为核心的协议,它提供不可靠、无连接的服务。由于IP协议缺乏一定的安全保障,所以在转发数据报文时,需要对数据报文进行加密。其中,互联网协议安全性(Internet Protocol Security,简称IPSEC)协议是一种开放标准的框架结构,包含认证头(authentication header,简称AH)协议和封装安全载荷(encapsulating security payload,简称ESP)协议等,通过使用加密的安全服务以确保在IP协议网络上进行保密而安全的通讯,为保护网络数据报文通信而提供的安全协议族,主要是针对数据报文通过公共网络时的数据安全性、有效性、完整性和合法性等问题而进行的加密和认证。IPSEC包括传输模式和隧道模式两种数据包加密封装方式,其中,传输模式只对有效载荷加密,也就是保持IP报头不变,在IP报头与有效载荷之间插入一个AH报头或ESP报头,用来加密保护有效载荷;在隧道模式中,要对整个数据报文加密,再通过AH报头或ESP报头将整个数据报文封装起来,封装后的数据报文再用新的IP报头进行封装。
在IPSEC传输模式转发数据报文过程中,在进入接口时先对数据报文配置源IP地址,然后查找路由表获取数据报文类型、加密算法等信息对数据报文进行加密,加密后的数据报文通过配置有IPSEC策略的接口转发出去。
而在IPSEC隧道模式转发数据报文过程中,数据报文进入到接口后,对数据报文配置源IP地址,查找理由表获取数据报文的类型、加密算法等信息,先对数据报文进行加密,然后对加密后的数据报文进行隧道封装,封装后的数据报文再次查找路由表,获取目的地址,通过配置有IPSEC策略的接口将数据报文转发出去。
从上述可以看出,无论IPSEC传输模式还是IPSEC隧道模式,每次转发数据报文时,都需要查找路由表对数据报文加密,而且IPSEC隧道模式中,更要两次查找路由表。由于查找路由表时效低,影响了转发数据报文的速度,降低了IPSEC通信效率。
发明内容
针对上述缺陷,本发明实施例提供了一种数据报文处理方法、系统及设备,可以提高IPSEC通信效率。
本发明第一方面提供了一种数据报文处理方法,包括:
根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;
根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有互联网协议IP安全性IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息。
在第一种可能的实现方式中,所述加密信息中包括加密类型、加密算法、密钥和密钥长度,相应地,所述根据所述加密流表对所述数据报文进行加密,得到加密数据报文,具体包括:根据所述加密流表的加密信息对所述数据报文进行加密,得到加密数据报文;
所述转发信息中包括源IP地址、目的IP地址和出接口信息,相应地,根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息,具体包括:根据所述数据报文的源IP地址或目的IP地址查找转发流表,且根据所述转发流表的转发信息,通过配置有IPSEC策略的出接口转发所述加密数据报文。
结合第一方面,在第二种可能的实现方式中,所述加密流表中还包括扩展头、有效载荷长度、安全协议验证索引、序列号和数据鉴权信息,相应地,所述根据数据报文的信息查找加密流表,具体包括:根据所述数据报文的序列号查找加密流表。
结合第一方面,或第一方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,在IPSEC隧道模式下,所述转发信息还包括隧道源IP地址和隧道目的IP地址,相应地,所述根据所述转发流表,通过配置有IPSEC策略的出接口转发所述加密数据报文,具体包括:
根据所述转发流表,对所述加密数据报文进行隧道封装;
通过配置有IPSEC策略的出接口转发经过隧道封装的所述加密数据报文。
结合第一方面,或第一方面的任一种可能的实现方式,在第四种可能的实现方式中,在转发所述数据报文所属数据流的首个数据报文时,根据所述首个数据报文的特征,收集加密信息动态并行建立所述加密流表,收集转发信息建立所述转发流表。
本发明第二方面提供一种数据报文处理方法,包括:
通过配置有IP协议安全性IPSEC策略的接口接收加密数据报文;
根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息。
在第一种可能的实现方式中,所述解密流表还包括:扩展头、有效载荷长度、安全协议验证索引、序列号和数据鉴权,相应地,所述根据所述加密数据报文的信息查找解密流表,具体包括:根据所述加密数据报文的序列号查找解密流表。
结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,在IPSEC隧道模式下,在根据所述加密数据报文的信息查找解密流表之前,还包括:
根据所述加密数据报文的信息查找解封装流表,并根据所述解封装流表对所述加密数据报文进行解封装,其中,所述解封装流表中包含解封装信息。
结合第二方面的第一种可能的实现方式,在第三种可能的实现方式中,所述解密信息中包括解密类型、解密算法、密钥和密钥长度;
所述解封装信息包括隧道源IP地址、隧道目的IP地址、源IP地址、目的IP地址。
结合第二方面,或第二方面的任一种可能的实现方式,在第四种可能的实现方式中,在接收到所述加密数据报文所属数据流的首个加密数据报文时,根据所述首个加密数据报文的特征,收集解密信息动态并行建立所述解密流表,收集解封装信息建立所述解封装流表。
本发明第三方面提供了一种通讯设备,包括:
加密单元,用于根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;
转发单元,用于根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有IP协议安全性IPSEC策略的接口转发所述加密数据报文,所述转发流表中包含转发信息。
在第一种可能的实现方式中,在IPSEC隧道模式下,所述转发信息包括隧道源IP地址和隧道目的IP地址,相应地,所述转发单元具体用于:
根据所述转发流表,对所述加密数据报文进行隧道封装;通过配置有IPSEC策略的接口转发经过隧道封装的所述加密数据报文。
本发明第四方面还提供了一种通讯设备,包括:接收单元,用于通过配置有IP协议安全性IPSEC策略的接口接收加密数据报文;
解密单元,用于根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息。
在第一种可能的实现方式中,所述通讯设备还包括:所述通讯设备还包括:
解封装单元,用于在IPSEC隧道模式下,在根据所述加密数据报文的信息查找解密流表之前,根据所述加密数据报文的信息查找解封装流表,并根据所述解封装流表对所述加密数据报文进行解封装,其中,所述解封装流表中包含解封装信息。
本发明第五方面还提供了一种数据报文处理系统,包括如第三方面或第三方面的第一种可能的实现方式所述的加密端设备和如第四方面或第四方面的第一种可能的实现方式所述的解密端设备。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例提供的数据报文处理中,加密端设备在转发数据报文所属数据流的首个数据报文时,根据该数据报文的特征收集加密信息动态并行建立了加密流表,且收集转发信息建立转发流表,从而在后续转发该数据流的数据报文时,可以通过数据报文的信息查找加密流表对数据报文进行加密,得到加密数据报文,然后查找转发流表转发数据报文,解决了现有技术中每次转发数据报文都要查找路由表的缺陷,提高了加密和转发速度,同样地,在解密端设备中,也可以在接收到数据流的首个加密数据报文时,根据该加密数据报文的特征收集解密信息建立解密流表,对后续接收到的该数据流的加密数据报文,可以直接通过加密数据报文的信息查找解密流表解密,减少查找路由表的时间,提高解密速度,进而提高IPSEC通信效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种数据报文处理方法基本流程图;
图2为本发明实施例提供的一种数据报文处理方法另一基本流程图;
图3为本发明实施例提供的一种数据报文处理方法另一基本流程图;
图4-a为本发明实施例提供的一种通讯设备基本结构图;
图4-b为本发明实施例提供的一种通讯设备另一基本结构图;
图5-a为本发明实施例提供的一种通讯设备另一基本结构图;
图5-b为本发明实施例提供的一种通讯设备另一基本结构图;
图6-a为本发明实施例提供的一种数据报文处理系统的基本结构图;
图6-b为本发明实施例提供的一种数据报文处理系统的另一基本结构图;
图7为本发明实施例提供的一种数据报文处理设备的基本结构图。
具体实施方式
下面将结合本发明实施例的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种数据报文处理方法,可以快速地处理IPSEC通信中的数据报文,提高加密、转发的速度,该方法包括:根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有IP协议安全性IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息。
其中,根据转发的数据流的首个数据报文的特征,例如数据报文所包含的源IP地址、目的IP地址、端口号等信息,收集加密信息和转发信息分别建立加密流表和转发流表,后续收到该数据流的数据报文直接查找加密流表进行加密,得到加密数据报文,然后再查找转发流表转发该加密数据报文,实现快速加密和转发,提高IPSEC通信效率。
另一方面,本发明实施例还提供了一种数据报文处理方法,对接收的加密数据报文实现快速解密,提高IPSEC通信效率,该方法包括:通过配置有IPSEC策略的接口接收加密数据报文;根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息。
其中,根据接收到的数据流的首个加密数据报文的特征,例如加密数据报文所包含的源IP地址、目的IP地址等信息,收集对加密数据报文解密所需要的解密信息建立解密流表,后续解密接收到的该数据流的加密数据报文时,通过查找解密流表实现快速解密,提高解密速度,提高IPSEC通信效率。
本发明实施例所提供的技术方案针对于IPSEC传输模式和IPSEC隧道模式中的数据报文处理,其中,IPSEC传输模式可以用于主机之间,IPSEC隧道模式可以用在网关到网关、服务器到网关、服务器到服务器等网络设备之间。
另外地,本发明实施例中的数据报文包括IP报文、网络控制消息协议(internet control message protocol,简称ICMP)报文或地址解析协议(addressresolution protocol,简称ARP)报文等。
以下分别详细介绍IPSEC传输模式和IPSEC隧道模式的工作情况,如图1所示,该方法包括:
110、根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;
其中,在转发数据报文前,加密端设备和解密端设备就安全策略(securityassociation,简称SA)进行协商,如果转发数据报文的接口所在设备为TCP/IP协议中的第三层设备时,通过为该接口配置的IP地址发起就SA的协商;如果接口所在设备为TCP/IP协议中的第二层设备时,通过该设备的管理IP地址发起就SA的协商,在协商中确定SA,其中包括加解密类型、加解密算法,密钥、密钥长度、密钥使用期限。
加密流表是在转发数据流的首个数据报文时,根据所述首个数据报文的特征,例如源IP地址、目的IP地址、协议号、源端口或目的端口等信息,结合协商的SA内容,收集加密时所需要的加密信息建立的。并且根据数据报文特征,可以检测数据报文是否需要经过隧道处理。
优选地,所述加密信息包括加密类型、加密算法、密钥和密钥长度。
可选地,根据加密信息所建立的加密流表中还包括扩展头、有效载荷长度、安全协议验证索引、序列号和数据鉴权信息,其中,扩展头为加密数据报文提供了增加在数据报文中的协议报头,如AH报头或ESP报头;而加密流表中序列号可以为数据报文中所包含的序列号。
可以理解的是,建立加密流表时,将数据流的首个数据报文中的信息提取出来与建立的加密流表建立了对应关系。在后续加密该数据流的数据报文时,根据数据报文的序列号,如果没有查找到与该数据报文的序列号相匹配的加密流表时,如果是数据流的首个数据报文,则收集加密信息建立加密流表,并按照现有技术中的加密方法加密数据报文,即查找路由表,根据在路由表中查找到的加密信息加密数据报文。其中,建立加密流表的方法可以通过利用多核CPU实现并行动态建立,比如在转发数据流的首个数据报文时,可以在多核CPU的其中一个核上独立根据加密信息并行建立加密流表,后续转发该数据流的数据报文时,根据数据报文的信息查找加密流表,在硬件加密引擎中快速加密数据报文。当然地,除了上述所提到的建立方法,还可以通过其他方法来建立加密流表以实现本发明的目的,在此并不作限定。
如果根据数据报文的序列号查找到匹配的加密流表,根据加密流表中的内容,加密数据报文。其中,如果不需要经过IPSEC隧道封装处理,数据报文将以IPSEC传输模式转发,数据报文无需经过IPSEC隧道封装处理,则在IPSEC加密引擎中利用加密信息中的加密算法和密钥,对数据报文的有效载荷部分进行加密,并在数据报文的IP报头和加密后的有效载荷之间加入加密流表中的扩展头,如AH报头或ESP报头;然后还可以在加密数据报文的有效载荷后加上数据鉴权信息,对数据报文提供身份验证、完整性与抗重播保护等。如果需要经过IPSEC隧道封装处理,数据报文将以IPSEC隧道模式转发,则在IPSEC加密引擎中,利用加密信息对整个数据报文进行加密,并在IP报头外增加扩展头,如AH报头或ESP报头;加密的数据报文进入隧道处理模块,将加入扩展头的整个数据报文用新的IP报头进行隧道封装,新IP报头中包括隧道源IP地址和隧道目的IP地址,然后还可以在加密数据报文的有效载荷后加上数据鉴权信息,对数据报文提供身份验证、完整性与抗重播保护。
120、根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有IP协议安全性IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息。
其中,转发流表如同加密流表一样,是在转发数据流的首个数据报文时,收集转发信息建立的。在转发首个数据报文时,根据所述首个数据报文的特征,包括源IP地址、目的IP地址、协议号、源端口或目的端口等信息,收集转发数据报文时所需要的转发信息建立的。
优选地,在IPSEC传输模式下,该转发信息包括源IP地址、目的IP地址、端口号和出接口信息,而在IPSEC隧道模式下,该转发信息包括隧道源IP地址、隧道目的IP地址、源IP地址、目的IP地址、端口号和出接口信息。
其中,可以根据数据报文的信息查找转发流表,尤其可以根据数据报文中的IP地址查找转发流表,该IP地址可以是源IP地址或目的IP地址,如果是在IPSEC隧道模式中,也可以是隧道源IP地址、隧道目的IP地址。如果没有找到匹配的IP地址的转发流表,则收集转发信息建立转发流表,同时查找路由表,按照现有技术中的转发方法将此次的数据报文转发出去。如果找到匹配的IP地址的转发流表,根据转发流表中的信息,通过该出接口将加密数据报文发给目的IP地址所在的解密端设备,该出接口配置有IPSEC策略。
可以理解的是,当检测到IPSEC隧道,数据报文以IPSEC隧道模式转发,在数据报文加密后,对加密数据报文进行隧道封装,如图2所示,上述120具体包括:
210、根据数据报文的信息查找转发流表,根据所述转发流表,对所述加密数据报文进行隧道封装;
220、通过有IPSEC策略的出接口转发经过隧道封装的所述加密数据报文。
其中,IPSEC隧道模式数据报文加密是在IPSEC加密引擎中完成,之后进入隧道处理模块进行隧道封装,封装后的数据报文根据转发流表,通过出接口发给隧道目的IP地址所在的解密端设备,其中,该出接口配置有IPSEC策略,封装是用新的IP报头,其中包括隧道源IP地址和隧道目的IP地址,将整个数据报文保护起来。
本发明实施例提供的数据报文的加密方法,在IPSEC传输模式下,在转发数据流的首个数据报文时,收集加密信息建立转发流表,收集转发信息建立转发流表。在后续转发该数据流的数据报文时,根据数据报文的信息查找加密流表,根据加密流表中的内容在IPSEC加密引擎中快速加密,再通过IP地址查找转发流表快速转发,提高IPSEC通信效率。在IPSEC隧道模式中,在转发数据流的首个数据报文时,同样收集加密信息建立加密流表,收集转发信息建立转发流表。后续转发该数据流的数据报文时,查找加密流表在IPSEC加密引擎中对数据报文进行加密,得到加密数据报文,之后该加密数据报文进入隧道处理模块,查找转发流表先对数据报文进行隧道封装再转发,提高IPSEC通信效率。
以上详细介绍了数据报文加密转发过程,下面以数据报文解密为基础,进一步介绍本发明技术方案,如图3所示,该方法包括:
310、通过配置有互联网协议IP安全性IPSEC策略的接口接收加密数据报文;
320、根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息。
其中,在解密端设备接收加密数据报文之前,解密端设备就SA和加密端设备协商达成一致,确定了SA中的内容,包括加解密类型、加解密算法,密钥、密钥长度、密钥使用期限。
解密流表是在接收到数据流的首个加密数据报文时,根据所述首个加密数据报文的特征,获取解密信息动态并行建立的,其建立方法可参阅上述加密流表的建立方法,在此不再赘述。
优选地,解密信息包括解密类型、解密算法、密钥和密钥长度。
优选地,所述解密流表中还可以包括扩展头、有效载荷长度、安全协议验证索引、序列号和数据鉴权信息。
可以理解的是,在IPSEC传输模式下,接收到加密数据报文,根据加密数据报文中的信息查找解密流表,在IPSEC解密引擎中,解除增加在加密数据报文的IP报头和有效载荷之间的扩展头,利用密钥和解密算法对加密数据报文进行解密获得原数据报文,进而提高IPSEC通信效率。
而在IPSEC隧道模式下,数据报文经过了隧道处理,在接收到加密数据报文后,首先根据加密数据报文的信息查找包含有解封装信息的解封装流表,在隧道处理模块中先解除加密数据报文封装的新的IP报头;优选地,解封装信息可以包括隧道源IP地址、隧道目的IP地址、源IP地址、目的IP地址、端口号。在解除隧道封装后,再查找解密流表,在IPSEC解密引擎中解除扩展头再解密,获得原数据报文,提高IPSEC通信效率。为了能够快速地解封装,在接收到数据流的首个加密数据报文时,收集解封装信息建立解封装流表,同时再收集解密信息建立解密流表,能够快速地解密。
如图4-a所示,本发明实施例还提供了一种通讯设备,可包括:加密单元410和转发单元420;
其中,加密单元410,用于根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;
转发单元420,用于根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有互联网协议IP安全性IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息。
其中,加密单元410在转发数据报文时,根据数据报文的信息查找加密流表,对数据报文进行加密,得到加密数据报文。加密流表是在转发数据流的首个数据报文时,收集加密信息建立的。转发单元420查找转发流表转发加密的数据报文,转发流表也是在转发数据流的首个数据报文时,收集转发信息建立的。对于IPSEC传输模式,加密单元410查找加密流表对数据报文进行加密,得到加密数据报文,转发单元420查找转发流表转发该加密数据报文,实现快速加密和转发,提高IPSEC通信效率。而在IPSEC隧道模式下,如图4-b所示,该通讯设备还包括封装单元430,在加密单元410查找到加密流表对数据报文进行加密后,再查找转发流表,封装单元430对加密数据报文进行隧道封装,之后转发单元420将封装的加密数据报文转发出去,实现快速加密、隧道封装和转发,提高IPSEC通信效率。
如图5-a所示,本发明实施例还提供了一种通讯设备,可包括:接收单元510和解密单元520;
其中,接收单元510,用于通过配置有互联网协议IP安全性IPSEC策略的接口接收加密数据报文;
解密单元520,用于根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息。
其中,接收单元510接收到加密数据报文,查找解密流表对数据报文进行解密,提高解密速度。解密流表是在接收数据流的首个加密数据报文时,根据所述首个加密数据报文的特征,收集解密信息建立的;后续在接收到该数据流的加密数据报文时,解密单元520可以通过查找解密流表解密数据报文,实现快速解密,提高IPSEC通信效率。而在IPSEC隧道模式下,如图5-b所示,该通讯设备还包括解封装单元530,在接收单元510接收到加密数据报文后,解封装单元530先查找解封装流表,将封装在加密数据报文外部的IP报头解除,然后解密单元520查找解密流表,对加密数据报文解密,实现快速解封装和解密,提高IPSEC通信效率。
参阅图6-a,本发明实施例还提供了一种数据报文处理系统,可包括:加密端设备610和解密端设备620,其中,所述加密端设备可以如图4-a和图4-b所示,所述解密端设备可以如图5-a和图5-b所示。
本发明实施例提供的数据报文处理系统中,在IPSEC传输模式下,加密端设备610通过在转发数据流的首个数据报文时,收集加密信息建立加密流表,收集转发信息建立转发流表,在后续转发该数据流的数据报文时,加密单元410根据数据报文的信息查找加密流表对数据报文进行加密,得到了加密数据报文,转发单元420根据数据报文的信息查找转发流表,通过配置有IPSEC策略的出接口转发该加密数据报文,可以实现数据报文的快速加密和转发。而解密端设备620中的接收单元510通过配置有IPSEC策略的接口接收加密数据报文后,解密单元520根据加密数据报文的信息查找解密流表对加密数据报文进行解密,得到原来的数据报文,可以实现加密数据报文的快速解密,从而提高IPSEC通信效率。
另外地,在IPSEC隧道模式下,加密端设备610通过在转发数据流的首个数据报文时,收集加密信息建立加密流表,收集转发信息建立转发流表,其中,转发信息中还包含有隧道源IP地址和隧道目的IP地址,在后续转发该数据流的数据报文时,加密单元410查找加密流表对数据报文进行加密,得到加密数据报文,封装单元430查找转发流表对加密数据报文进行隧道封装,后由转发单元420根据数据报文的信息查找转发流表,通过配置有IPSEC策略的出接口转发经过隧道封装的加密数据报文,可以实现数据报文的快速加密和转发。而解密端设备620中的接收单元510通过配置有IPESC策略的接口接收加密数据报文,解封装单元530根据加密数据报文的信息查找解封装流表对加密数据报文进行隧道封装解除,然后解密单元520再查找解密流表对数据报文进行解密,得到原来的数据报文,可以实现加密数据报文的快速解密,从而提高IPSEC通信效率。
参阅图7,本发明实施例还提供了一种数据报文处理设备,可包括:存储器710和至少一个处理器720(图7中以一个处理器为例)。本发明实施例的一些实施例中,存储器710和处理器720可通过总线或其它方式连接,其中,图7以通过总线连接为例。
其中,处理器720执行以下步骤:根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有互联网协议IP安全性IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息。
或者,通过配置有互联网协议IP安全性IPSEC策略的接口接收加密数据报文;根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息。
在本发明一些实施例中,处理器720还可以执行以下步骤:根据所述转发流表,对所述加密数据报文进行隧道封装;通过配置有互联网协议IP安全性IPSEC策略的出接口转发经过隧道封装的所述加密数据报文。
在本发明一些实施例中,处理器720还可以执行以下步骤:在转发所述数据报文所属数据流的首个数据报文时,根据所述首个数据报文的特征,收集加密信息动态并行建立所述加密流表,收集转发信息建立所述转发流表。
在本发明一些实施例中,处理器720还用于根据所述加密数据报文的信息查找解封装流表,并根据所述解封装流表对所述加密数据报文进行解封装,其中,所述解封装流表中包含解封装信息。
在本发明一些实施例中,处理器720还用于在接收到所述加密数据报文所属数据流的首个加密数据报文时,根据所述首个加密数据报文的特征,收集解密信息动态并行建立所述解密流表,收集解封装信息建立所述解封装流表。
在本发明一些实施例中,存储器710可用于存储加密信息、转发信息以及根据加密信息建立的加密流表,和根据转发信息建立的转发流表。
在本发明一些实施例中,存储器710还可用于存储解密信息、解封装信息以及根据解密信息建立的解密流表,和根据解封装信息建立的解封装流表。
在发明一些实施例中,该数据报文处理设备还可以包括输入装置和输出装置。
本发明实施例所提供的数据报文处理设备可以是路由器、服务器等,还可以是其它通讯设备。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种数据报文处理方法、系统及设备进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种数据报文处理方法,其特征在于,包括:
根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;
根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有互联网协议IP安全性IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息。
2.根据权利要求1所述的方法,其特征在于,
所述加密信息中包括加密类型、加密算法、密钥和密钥长度,相应地,所述根据所述加密流表对所述数据报文进行加密,得到加密数据报文,具体包括:
根据所述加密流表的加密信息对所述数据报文进行加密,得到加密数据报文;
所述转发信息中包括源IP地址、目的IP地址和出接口信息,相应地,根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过配置有IPSEC策略的出接口转发所述加密数据报文具体包括:
根据所述数据报文的源IP地址或目的IP地址查找转发流表,且根据所述转发流表的转发信息,通过配置有IPSEC策略的出接口转发所述加密数据报文。
3.根据权利要求1或2所述的方法,其特征在于,所述加密流表中还包括扩展头、有效载荷长度、安全协议验证索引、序列号和数据鉴权信息,相应地,所述根据数据报文的信息查找加密流表,具体包括:
根据所述数据报文的序列号查找加密流表。
4.根据权利要求1至3任一项所述的方法,其特征在于,在IPSEC隧道模式下,所述转发信息还包括隧道源IP地址和隧道目的IP地址,相应地,所述根据所述转发流表,通过配置有IPSEC策略的出接口转发所述加密数据报文,具体包括:
根据所述转发流表,对所述加密数据报文进行隧道封装;
通过配置有IPSEC策略的出接口转发经过隧道封装的所述加密数据报文。
5.根据权利要求1至4任一项所述的方法,其特征在于,在转发所述数据报文所属数据流的首个数据报文时,根据所述首个数据报文的特征,收集加密信息动态并行建立所述加密流表,收集转发信息建立所述转发流表。
6.一种数据报文处理方法,其特征在于,包括:
通过配置有互联网协议IP安全性IPSEC策略的接口接收加密数据报文;
根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息,所述解密信息包括解密类型、解密算法、密钥和密钥长度。
7.根据权利要求6所述的方法,其特征在于,所述解密流表还包括:扩展头、有效载荷长度、安全协议验证索引、序列号和数据鉴权,相应地,所述根据所述加密数据报文的信息查找解密流表,具体包括:
根据所述加密数据报文的序列号查找解密流表。
8.根据权利要求6或7所述的方法,其特征在于,在IPSEC隧道模式下,在根据所述加密数据报文的信息查找解密流表之前,所述方法还包括:
根据所述加密数据报文的信息查找解封装流表,并根据所述解封装流表对所述加密数据报文进行解封装,其中,所述解封装流表中包含解封装信息;
所述解封装信息包括隧道源IP地址、隧道目的IP地址、源IP地址、目的IP地址。
9.根据权利要求6至8任一项所述的方法,其特征在于,在接收到所述加密数据报文所属数据流的首个加密数据报文时,根据所述首个加密数据报文的特征,收集解密信息动态并行建立所述解密流表,收集解封装信息建立所述解封装流表。
10.一种通讯设备,其特征在于,包括:
加密单元,用于根据数据报文的信息查找加密流表,并根据所述加密流表对所述数据报文进行加密,得到加密数据报文;其中,所述加密流表中包含加密信息;
转发单元,用于根据所述数据报文的信息查找转发流表,并根据所述转发流表,通过互联网协议IP安全性IPSEC策略的出接口转发所述加密数据报文,所述转发流表中包含转发信息。
11.根据权利要求10所述的通讯设备,其特征在于,在IPSEC隧道模式下,所述转发信息包括隧道源IP地址和隧道目的IP地址,相应地,所述转发单元具体用于:
根据所述转发流表,对所述加密数据报文进行隧道封装;通过配置有IPSEC策略的出接口转发经过隧道封装的所述加密数据报文。
12.一种通讯设备,其特征在于,包括:
接收单元,用于通过配置有互联网协议IP安全性IPSEC策略的接口接收加密数据报文;
解密单元,用于根据所述加密数据报文的信息查找解密流表,并根据所述解密流表对所述加密数据报文进行解密,其中,所述解密流表中包含解密信息。
13.根据权利要求12所述的通讯设备,其特征在于,所述通讯设备还包括:
解封装单元,用于在IPSEC隧道模式下,在根据所述加密数据报文的信息查找解密流表之前,根据所述加密数据报文的信息查找解封装流表,并根据所述解封装流表对所述加密数据报文进行解封装,其中,所述解封装流表中包含解封装信息。
14.一种数据报文处理系统,其特征在于,包括如权利要求10~11任一项所述的加密端设备和如权利要求12-13任一项所述的解密端设备。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210345568.8A CN102882789B (zh) | 2012-09-17 | 2012-09-17 | 一种数据报文处理方法、系统及设备 |
PCT/CN2013/073925 WO2014040411A1 (zh) | 2012-09-17 | 2013-04-09 | 一种数据报文处理方法、系统及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210345568.8A CN102882789B (zh) | 2012-09-17 | 2012-09-17 | 一种数据报文处理方法、系统及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102882789A true CN102882789A (zh) | 2013-01-16 |
CN102882789B CN102882789B (zh) | 2016-03-30 |
Family
ID=47483939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210345568.8A Expired - Fee Related CN102882789B (zh) | 2012-09-17 | 2012-09-17 | 一种数据报文处理方法、系统及设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102882789B (zh) |
WO (1) | WO2014040411A1 (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014040411A1 (zh) * | 2012-09-17 | 2014-03-20 | 华为技术有限公司 | 一种数据报文处理方法、系统及设备 |
CN103888450A (zh) * | 2014-03-06 | 2014-06-25 | 江苏金陵科技集团有限公司 | 一种Windows平台IPSec处理方法 |
CN104468422A (zh) * | 2014-10-21 | 2015-03-25 | 华为技术有限公司 | 一种数据传输的方法、控制器及转发设备 |
CN104618211A (zh) * | 2014-12-31 | 2015-05-13 | 杭州华三通信技术有限公司 | 一种基于隧道的报文处理方法和总部网关设备 |
CN105141519A (zh) * | 2015-07-24 | 2015-12-09 | 上海红神信息技术有限公司 | 一种基于负载变换的拟态网络节点防护方法 |
CN105656882A (zh) * | 2015-12-25 | 2016-06-08 | 深圳中兴网信科技有限公司 | 软硬件解码方法及装置和软硬件编码方法及装置 |
CN106330649A (zh) * | 2015-06-18 | 2017-01-11 | 杭州华三通信技术有限公司 | 一种跨软件定义网络的数据报文转发方法和装置 |
CN103780605B (zh) * | 2014-01-07 | 2017-05-10 | 京信通信系统(中国)有限公司 | 一种快速加解密方法及网关 |
CN107579932A (zh) * | 2017-10-25 | 2018-01-12 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
CN107872368A (zh) * | 2017-11-22 | 2018-04-03 | 杭州华为数字技术有限公司 | 一种网络节点集群中网关可达性的检测方法、装置及终端 |
CN108337243A (zh) * | 2017-11-02 | 2018-07-27 | 北京紫光恒越网络科技有限公司 | 报文转发方法、装置和转发设备 |
CN108600278A (zh) * | 2018-07-05 | 2018-09-28 | 湖州贝格信息安全科技有限公司 | 非对称加密方法及相关产品 |
CN108777720A (zh) * | 2018-07-05 | 2018-11-09 | 湖州贝格信息安全科技有限公司 | 文件传输方法及相关产品 |
CN109639721A (zh) * | 2019-01-08 | 2019-04-16 | 郑州云海信息技术有限公司 | IPsec报文格式处理方法、装置、设备及存储介质 |
CN110381034A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种报文处理方法、装置、设备及可读存储介质 |
CN110535742A (zh) * | 2019-08-06 | 2019-12-03 | 杭州迪普科技股份有限公司 | 报文转发方法、装置、电子设备及机器可读存储介质 |
CN110808969A (zh) * | 2019-10-28 | 2020-02-18 | 网御安全技术(深圳)有限公司 | 数据传输方法及系统、电子设备、存储介质 |
CN111614691A (zh) * | 2020-05-28 | 2020-09-01 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的出站报文处理方法及装置 |
CN113691490A (zh) * | 2020-05-19 | 2021-11-23 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
CN114465775A (zh) * | 2021-12-31 | 2022-05-10 | 华为技术有限公司 | 安全传输方法及装置 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2574628B (en) * | 2018-06-13 | 2020-12-09 | Arm Ip Ltd | Attestation of processing |
CN115242552B (zh) * | 2022-09-21 | 2022-12-13 | 北京中科网威信息技术有限公司 | 基于ipsec的报文转发方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080168551A1 (en) * | 2007-01-08 | 2008-07-10 | Sungkyunkwan University Foundation For Corporate Collaboration | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof |
CN101299665A (zh) * | 2008-05-19 | 2008-11-05 | 华为技术有限公司 | 报文处理方法、系统及装置 |
CN102075421A (zh) * | 2010-12-30 | 2011-05-25 | 杭州华三通信技术有限公司 | 服务质量处理方法及装置 |
CN102655476A (zh) * | 2012-04-19 | 2012-09-05 | 华为技术有限公司 | 一种互联网协议流转发方法,及设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102882789B (zh) * | 2012-09-17 | 2016-03-30 | 华为技术有限公司 | 一种数据报文处理方法、系统及设备 |
-
2012
- 2012-09-17 CN CN201210345568.8A patent/CN102882789B/zh not_active Expired - Fee Related
-
2013
- 2013-04-09 WO PCT/CN2013/073925 patent/WO2014040411A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080168551A1 (en) * | 2007-01-08 | 2008-07-10 | Sungkyunkwan University Foundation For Corporate Collaboration | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof |
CN101299665A (zh) * | 2008-05-19 | 2008-11-05 | 华为技术有限公司 | 报文处理方法、系统及装置 |
CN102075421A (zh) * | 2010-12-30 | 2011-05-25 | 杭州华三通信技术有限公司 | 服务质量处理方法及装置 |
CN102655476A (zh) * | 2012-04-19 | 2012-09-05 | 华为技术有限公司 | 一种互联网协议流转发方法,及设备 |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014040411A1 (zh) * | 2012-09-17 | 2014-03-20 | 华为技术有限公司 | 一种数据报文处理方法、系统及设备 |
CN103780605B (zh) * | 2014-01-07 | 2017-05-10 | 京信通信系统(中国)有限公司 | 一种快速加解密方法及网关 |
CN103888450B (zh) * | 2014-03-06 | 2017-04-26 | 江苏金陵科技集团有限公司 | 一种Windows平台IPSec处理方法 |
CN103888450A (zh) * | 2014-03-06 | 2014-06-25 | 江苏金陵科技集团有限公司 | 一种Windows平台IPSec处理方法 |
CN104468422A (zh) * | 2014-10-21 | 2015-03-25 | 华为技术有限公司 | 一种数据传输的方法、控制器及转发设备 |
CN104468422B (zh) * | 2014-10-21 | 2018-03-13 | 华为技术有限公司 | 一种数据传输的方法、控制器及转发设备 |
CN104618211A (zh) * | 2014-12-31 | 2015-05-13 | 杭州华三通信技术有限公司 | 一种基于隧道的报文处理方法和总部网关设备 |
CN106330649A (zh) * | 2015-06-18 | 2017-01-11 | 杭州华三通信技术有限公司 | 一种跨软件定义网络的数据报文转发方法和装置 |
CN106330649B (zh) * | 2015-06-18 | 2019-08-02 | 新华三技术有限公司 | 一种跨软件定义网络的数据报文转发方法和装置 |
CN105141519A (zh) * | 2015-07-24 | 2015-12-09 | 上海红神信息技术有限公司 | 一种基于负载变换的拟态网络节点防护方法 |
CN105656882A (zh) * | 2015-12-25 | 2016-06-08 | 深圳中兴网信科技有限公司 | 软硬件解码方法及装置和软硬件编码方法及装置 |
CN107579932A (zh) * | 2017-10-25 | 2018-01-12 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
CN108337243A (zh) * | 2017-11-02 | 2018-07-27 | 北京紫光恒越网络科技有限公司 | 报文转发方法、装置和转发设备 |
CN107872368A (zh) * | 2017-11-22 | 2018-04-03 | 杭州华为数字技术有限公司 | 一种网络节点集群中网关可达性的检测方法、装置及终端 |
CN107872368B (zh) * | 2017-11-22 | 2020-06-16 | 华为技术有限公司 | 一种网络节点集群中网关可达性的检测方法、装置及终端 |
CN108777720A (zh) * | 2018-07-05 | 2018-11-09 | 湖州贝格信息安全科技有限公司 | 文件传输方法及相关产品 |
CN108600278A (zh) * | 2018-07-05 | 2018-09-28 | 湖州贝格信息安全科技有限公司 | 非对称加密方法及相关产品 |
CN109639721B (zh) * | 2019-01-08 | 2022-02-22 | 郑州云海信息技术有限公司 | IPsec报文格式处理方法、装置、设备及存储介质 |
CN109639721A (zh) * | 2019-01-08 | 2019-04-16 | 郑州云海信息技术有限公司 | IPsec报文格式处理方法、装置、设备及存储介质 |
CN110381034A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种报文处理方法、装置、设备及可读存储介质 |
CN110381034B (zh) * | 2019-06-25 | 2022-02-22 | 苏州浪潮智能科技有限公司 | 一种报文处理方法、装置、设备及可读存储介质 |
CN110535742A (zh) * | 2019-08-06 | 2019-12-03 | 杭州迪普科技股份有限公司 | 报文转发方法、装置、电子设备及机器可读存储介质 |
CN110535742B (zh) * | 2019-08-06 | 2022-03-01 | 杭州迪普科技股份有限公司 | 报文转发方法、装置、电子设备及机器可读存储介质 |
CN110808969A (zh) * | 2019-10-28 | 2020-02-18 | 网御安全技术(深圳)有限公司 | 数据传输方法及系统、电子设备、存储介质 |
CN110808969B (zh) * | 2019-10-28 | 2020-08-04 | 网御安全技术(深圳)有限公司 | 数据传输方法及系统、电子设备、存储介质 |
CN113691490A (zh) * | 2020-05-19 | 2021-11-23 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
CN111614691B (zh) * | 2020-05-28 | 2021-06-22 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的出站报文处理方法及装置 |
CN111614691A (zh) * | 2020-05-28 | 2020-09-01 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的出站报文处理方法及装置 |
CN114465775A (zh) * | 2021-12-31 | 2022-05-10 | 华为技术有限公司 | 安全传输方法及装置 |
CN114465775B (zh) * | 2021-12-31 | 2023-10-20 | 华为技术有限公司 | 安全传输方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2014040411A1 (zh) | 2014-03-20 |
CN102882789B (zh) | 2016-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
EP3254418B1 (en) | Packet obfuscation and packet forwarding | |
CN105763557B (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 | |
US9246876B1 (en) | Anti-replay mechanism for group virtual private networks | |
CN101299665B (zh) | 报文处理方法、系统及装置 | |
CN109428867B (zh) | 一种报文加解密方法、网路设备及系统 | |
CN103475478B (zh) | 终端安全防护方法和设备 | |
CN1938980A (zh) | 用于密码加密处理数据的方法和设备 | |
CN106301765B (zh) | 加密和解密芯片及其实现加密和解密的方法 | |
CN101529805A (zh) | 中间设备 | |
CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
CN107181716A (zh) | 一种基于国家商用密码算法的网络安全通信系统及方法 | |
WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
CN111800436B (zh) | IPSec隔离网卡设备及安全通信方法 | |
CN110011786A (zh) | 一种高安全的ip保密通信方法 | |
CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
CN101861712A (zh) | 基于移动因特网协议的服务器的安全方法 | |
CN101521667A (zh) | 一种安全的数据通信方法及装置 | |
CN105656655A (zh) | 一种网络安全管理方法、装置,及系统 | |
CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
CN107645513A (zh) | 一种IPsec内容审计装置及方法 | |
US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
Lee et al. | Design of secure arp on MACsec (802.1 Ae) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160330 Termination date: 20180917 |
|
CF01 | Termination of patent right due to non-payment of annual fee |