CN115941290A - 数据包处理方法、装置、中心节点及存储介质 - Google Patents
数据包处理方法、装置、中心节点及存储介质 Download PDFInfo
- Publication number
- CN115941290A CN115941290A CN202211429427.4A CN202211429427A CN115941290A CN 115941290 A CN115941290 A CN 115941290A CN 202211429427 A CN202211429427 A CN 202211429427A CN 115941290 A CN115941290 A CN 115941290A
- Authority
- CN
- China
- Prior art keywords
- security policy
- data packet
- ipsec
- forwarded
- central node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 34
- 238000000034 method Methods 0.000 claims description 42
- 238000004891 communication Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种数据包处理方法、装置、中心节点及存储介质。中心节点接收待转发数据包后确定其对应的转发出接口。若存在全局五元组匹配信息与待转发数据包的五元组信息匹配的候选安全策略,则从全部候选安全策略中找到出接口匹配信息与转发出接口匹配的目标安全策略。最后利用目标安全策略对应的IPSec SA对待转发数据包进行处理后通过目标安全策略对应的IPSec隧道进行传输。本方案中安全策略包括了出接口匹配信息,其使得当存在候选安全策略时,能够找到出接口匹配信息与转发出接口唯一相匹配的的目标安全策略,保证了能够利用目标安全策略对应的IPSec SA对待转发数据包进行处理后,再通过对应的IPSec隧道正确转发。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种数据包处理方法、装置、中心节点及存储介质。
背景技术
IPSec(Internet Protocol Security,互联网安全协议)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet网络中传输可能会面临被伪造、窃取或篡改的风险。当通信双方通过IPSec建立一条IPSec隧道并协商出该IPSec隧道对应的IPsec SA(Internet Protocol Security Security Association,互联网安全协议安全联盟),IP数据包通过IPSec隧道进行加密传输,能够有效保证数据在不安全的网络环境中传输的安全性。IPsec SA中包括了通信双方加密传输数据时用到的一些信息。通信双方中的一方可以配置安全策略来限定需要保护的数据流,且绑定了需要保护的数据流对应的IPSec隧道。
对于网络中的中心节点,当该中心节点面临着与大量的分支节点都建立有IPSec隧道时,如何对需要保护的IP数据包进行安全处理及正确转发是需要解决的问题。
发明内容
本发明的目的在于提供一种数据包处理方法、装置、中心节点及存储介质,以改善现有技术存在的问题。
本发明的实施例可以这样实现:
第一方面,本发明提供一种数据包处理方法,应用于中心节点,所述中心节点包括多个出接口,所述中心节点通过一个所述出接口与一个分支节点通信连接,且所述中心节点与每个所述分支节点之间均建立有IPSec隧道;所述中心节点存储有每条所述IPSec隧道对应的安全策略和IPSec SA,所述安全策略包括全局五元组匹配信息和出接口匹配信息;所述方法包括:
接收待转发数据包,并确定出所述待转发数据包对应的转发出接口;
若存在所述全局五元组匹配信息与所述待转发数据包的五元组信息相匹配的候选安全策略,则从全部所述候选安全策略中确定出所述出接口匹配信息与所述转发出接口相匹配的目标安全策略;
利用所述目标安全策略对应的IPSec SA对所述待转发数据包进行处理,并通过所述目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。
在可选的实施方式中,所述方法还包括:
若不存在所述候选安全策略,则直接转发所述待转发数据包。
在可选的实施方式中,所述中心节点维护有本地路由表,所述本地路由表包括目的地址和出接口之间的对应关系;
所述确定出所述待转发数据包对应的转发出接口的步骤,包括:
获得所述待转发数据包的目的IP地址;
根据所述待转发数据包的目的IP地址,从所述本地路由表中查找出所述转发出接口。
在可选的实施方式中,所述中心节点维护有本地路由表,所述本地路由表包括下一跳地址和出接口之间的对应关系;
所述中心节点获得所述IPSec SA的方式,包括:
针对每个分支节点,建立与所述分支节点之间的所述IPSec隧道,并获得所述IPSec隧道对应的IPSec SA;
所述中心节点获得所述安全策略的方式,包括:
针对每个分支节点,根据所述分支节点的IP地址,从所述本地路由表中查找出所述分支节点对应的出接口;
生成所述出接口的出接口匹配信息,得到与所述分支节点关联的所述IPSec隧道对应的安全策略;
其中,所述安全策略包括全局五元组匹配信息和所述出接口匹配信息,所述全局五元组匹配信息是响应用户的配置操作得到的。
在可选的实施方式中,所述方法还包括:
在获得任一所述IPSec隧道对应的IPSec SA后,更新所述IPSec隧道对应的安全策略;或者,
按照预定周期,更新每个所述IPSec隧道对应的安全策略。
在可选的实施方式中,所述更新每个所述IPSec隧道对应的安全策略的步骤包括:
根据所述中心节点的IP地址和每个所述分支节点的IP地址,从所述本地路由表中查找每个所述分支节点对应的出接口;
针对每个所述分支节点,若所述分支节点对应的出接口与所述分支节点关联的所述安全策略中的出接口匹配信息不匹配,则利用所述分支节点对应的出接口更新所述安全策略。
在可选的实施方式中,所述IPSec SA还包括加密秘钥及所述加密秘钥的密钥生存期;所述方法还包括:
当检测到任一所述IPSec隧道对应的所述IPSec SA中的所述密钥生存期结束时,与所述IPSec隧道关联的分支节点重新协商获得新的IPSec SA,并更新所述IPSec隧道对应的安全策略。
第二方面,本发明提供一种数据包处理装置,应用于中心节点,所述中心节点包括多个出接口,所述中心节点通过一个所述出接口与一个分支节点通信连接,且所述中心节点与每个所述分支节点之间均建立有IPSec隧道;所述中心节点存储有每条所述IPSec隧道对应的安全策略和IPSec SA,所述安全策略包括全局五元组匹配信息和出接口匹配信息;所述装置包括:
查找模块,用于接收待转发数据包,并确定出所述待转发数据包对应的转发出接口;
所述查找模块,还用于若存在所述全局五元组匹配信息与所述待转发数据包的五元组信息相匹配的候选安全策略,则从全部所述候选安全策略中确定出所述出接口匹配信息与所述转发出接口相匹配的目标安全策略;
处理模块,用于利用所述目标安全策略对应的IPSec SA对所述待转发数据包进行处理,并通过所述目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。
第三方面,本发明提供一种中心节点,包括:存储器和处理器,所述存储器存储有所述处理器可执行的机器可读指令,当所述中心节点运行时所述处理器执行所述机器可读指令以实现如前述实施方式中任一项所述的数据包处理方法。
第四方面,本发明提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现前述实施方式中任一项所述的数据包处理方法。
与现有技术相比,本发明实施例提供了一种数据包处理方法、装置、中心节点及存储介质,中心节点接收待转发数据包并确定其对应的转发出接口。若存在全局五元组匹配信息与待转发数据包的五元组信息匹配的候选安全策略,则从全部候选安全策略中找到出接口匹配信息与转发出接口匹配的目标安全策略。利用目标安全策略对应的IPSec SA对待转发数据包进行处理后通过目标安全策略对应的IPSec隧道进行传输。其有益效果在于:本方案中安全策略包括了出接口匹配信息,其能够保证在存在候选安全策略时,能够找到出接口匹配信息与转发出接口唯一相匹配的目标安全策略,进一步保证了能够利用目标安全策略对应的IPSec SA对待转发数据包进行处理后,再通过对应的IPSec隧道正确转发。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种应用场景示意图之一。
图2为本发明实施例提供的一种数据包处理方法的流程示意图之一。
图3为本发明实施例提供的一种数据包处理方法的流程示意图之二。
图4为本发明实施例提供的一种应用场景示意图之二。
图5为本发明实施例提供的一种数据包处理装置的结构示意图。
图6为本发明实施例提供的一种中心节点的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
当网络中的中心节点面临着大量的分支节点需要与其建立IPSEC隧道时,如果中心节点针对每个分支节点配置对应的感兴趣流,进而每个分支节点关联的IPSEC隧道都对应自己的安全策略,但是分支节点数量的庞大,会使得配置工作异常地繁琐。
如果采取分类的方式,将相同安全处理方式的数据流划归在一起,不同安全处理方式的数据流分割开,则需要在事先组网时,将相同安全处理方式的数据,尽量安排在相近的网段,然后针对这个网段的分支节点配置感兴趣流,得到对应的安全策略。虽然这种方式适应性地减少了配置工作,但是额外增加了组网工作的负担。
因此,为了便于管理,现有技术的另一种处理方式是在中心节点预先配置统一的感兴趣流(需要通过IPSec隧道传输的流量通常称为“感兴趣流”)。在完成IPSec隧道和IPSec SA的协商之后,针对任一分支节点关联的IPSec隧道,会在该IPSec隧道的安全策略中引用统一的感兴趣流并绑定了该IPSec隧道。
当中心节点接收到IP数据包,会去匹配对应的安全策略。由于现有技术中所有安全策略引用的都是统一的感兴趣流,该IP数据包跟每条安全策略都是匹配的。现有技术会直接将匹配到的第一条安全策略作为IP数据包要用到的安全策略。
若该第一条安全策略刚好是IP数据包的下一跳节点所关联的IPSec隧道的安全策略,那么IP数据包能够加密封装处理后正确地转发给下一跳节点,使得IP数据包能够被正确地发送至目的地。
但是,有很大的概率,第一条安全策略并非是IP数据包的下一跳节点所关联的IPSec隧道的安全策略,那么IP数据包加密封装处理后会通过错误的IPSec隧道发往错误的下一跳节点,使得IP数据包在网络中错误传输而被丢弃。
基于上述技术问题的发现,发明人经过创造性劳动提出下述技术方案以解决或者改善上述问题。需要注意的是,以上现有技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本申请实施例针对上述问题所提出的解决方案,都应该是发明人在发明创造过程中对本申请做出的贡献,而不应当理解为本领域技术人员所公知的技术内容。
发明人通过长期观察调研发现,上述阐述的过程中,正是由于安全策略中只绑定了IPSec隧道,然后IPSec隧道与分支节点相关联。IP数据包匹配到的第一条安全策略后完全无法保证IP数据包能够按照其本身的转发路径进行正确转发。因此,如果要保证IP数据包能发往正确的下一跳分支节点,必须要保证IP数据包匹配到的安全策略中绑定的IPSec隧道与正确的下一跳分支节点是关联的。
利用IP数据包的目的IP地址,可以查找路由表找到IP数据包的出接口(该出接口能够对应其正确的下一跳分支节点),那么只要第一条安全策略中有该出接口的信息,即能够保证第一条安全策略正好是IP数据包的下一跳节点所关联的IPSec隧道的安全策略,从而实现IP数据包的正确转发。
有鉴于此,本发明实施例提供一种数据包处理方法,通过在安全策略中增加出接口匹配信息,其使得当存在候选安全策略时,能够找到出接口匹配信息与转发出接口唯一相匹配的目标安全策略,保证了能够利用目标安全策略对应的IPSec SA对待转发数据包进行处理后,再通过对应的IPSec隧道正确转发。以下通过实施例,并配合所附附图,进行详细说明。
在此,首先对本方案的应用场景进行介绍,请参见图1,图1为本发明实施例提供的一种应用场景示意图。在Internet(因特网)网络中,中心节点与每个分支节点之间均建立有IPSec隧道,例如,中心节点与分支节点1之间建立有IPSec隧道1、与分支节点2之间建立有IPSec隧道2、与分支节点n之间建立有IPSec隧道n。
中心节点与每个分支节点之间均能通过各自关联的IPSec隧道进行IP数据包的加密传输,以保证数据的安全性。相应地,中心节点和各个分支节点均有各自的IP地址,例如,中心节点、分支节点1、分支节点2各自的IP地址分别为:2.2.0.0/16、1.1.1.0/24、1.1.2.0/24。
中心节点可以是但不限于是支持IPSec功能的路由器、网关。每个分支节点可以是但不限于支持IPSec功能的网关、主机等。
需要说明的是,与中心节点建立有IPSec隧道的分支节点数量以实际应用为准,图1所示仅为示例。
请参考图2,图2为本发明实施例提供的一种数据包处理方法的流程示意图,该方法的执行主体可以是上述中心节点,该中心节点包括多个出接口,中心节点通过一个出接口与一个分支节点通信连接,且中心节点与每个分支节点之间均建立有IPSec隧道。该方法包括以下步骤:
S140、接收待转发数据包,并确定出待转发数据包对应的转发出接口。
在本实施例中,待转发数据包可以为中心节点收到的一种IP数据包,在确定出待转发数据包对应的转发出接口后,然后进一步可以对IP数据包进行IPSec安全策略检查,安全策略检查即可以表示以下查找IP数据包对应的目标安全策略的过程。
S150、若存在候选安全策略,则从全部候选安全策略中确定出出接口匹配信息与转发出接口相匹配的目标安全策略。
在本实施例中,中心节点上存储有每条IPSec隧道对应的安全策略和IPSec SA,安全策略包括了全局五元组匹配信息和出接口匹配信息。其中,候选安全策略即为全局五元组匹配信息与待转发数据包的五元组信息相匹配的安全策略。
可以先利用待转发数据包的五元组信息来匹配候选安全策略(为了确定数据是否通过IPSec隧道进行传输),如果能够匹配到候选安全策略,接着会用转发出接口依次跟每条候选安全策略进行匹配,直到找到出接口匹配信息与转发出接口相匹配的目标安全策略。
可以理解,若未匹配到候选安全策略,即不存在待转发数据包对应的候选安全策略,则说明该待转发数据包不需要进行安全处理可以直接转发出去。
S160、利用目标安全策略对应的IPSec SA对待转发数据包进行处理,并通过目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。
其中,IPSec SA是两个IPSec实体(中心节点与分支节点)之间经过协商建立起来的一种协定,内容包括采用何种IPSec协议(AH(Authentication Heeader)或者ESP(encapsulating Security Payload))、运行模式(传输模式或者隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等,从而决定了保护什么、如何保护以及谁来保护。
安全策略(Security Policy,简称SP)是位于SPD(Security Policy Database,安全策略数据库)中的,SPD是中心节点将所有的SP以某种数据结构集中存储的一个列表。IPSec SA是位于SAD(Security Association Database,安全联盟数据库)中的,SAD是中心节点将所有的IPSec SA以某种数据结构集中存储的一个列表。
在本实施例中,在确定待转发数据包对应的目标安全策略之后,可以从SAD查找出对应的IPSec SA,然后基于该IPSec SA对待转发数据包进行加密封装后通过目标安全策略中绑定的IPSec隧道进行传输。
本发明实施例提供的数据包处理方法,在接收待转发数据包后确定其对应的转发出接口。若存在全局五元组匹配信息与待转发数据包的五元组信息匹配的候选安全策略,则从全部候选安全策略中找到出接口匹配信息与转发出接口匹配的目标安全策略。最后利用目标安全策略对应的IPSec SA对待转发数据包进行处理后通过目标安全策略对应的IPSec隧道进行传输。本方案中安全策略包括了出接口匹配信息,其使得当存在候选安全策略时,能够找到出接口匹配信息与转发出接口唯一相匹配的目标安全策略,保证了能够利用目标安全策略对应的IPSec SA对待转发数据包进行处理后,再通过对应的IPSec隧道转发到正确的下一跳分支节点。
在可选的实施方式中,中心节点维护有本地路由表,本地路由表有多条路表项组成,每条路由表项包括目的地址和掩码、下一跳地址、转发信息的形状描述、出接口等内容。对应地,上述步骤S140的子步骤可以包括:
S141、获得待转发数据包的目的IP地址。
S142、根据待转发数据包的目的IP地址,从本地路由表中查找出转发出接口。
可以理解,可以从本地路由表中查找出目的地址与待转发数据包的目的IP地址相同的路由表项,该路由表项中包括的出接口即为待转发数据包的转发出接口。
结合图3,以下对中心节点上的相关配置过程进行介绍。
首先,中心节点获得IPSec SA的过程为:
S110、针对每个分支节点,建立与分支节点之间的IPSec隧道,并获得IPSec隧道对应的IPSec SA。
可以理解,中心节点与分支节点建立起IPSec隧道后,即可与分支节点协商得到该IPSec隧道对应的IPSec SA。并且S110的过程可以采用当前的IPSec隧道建立方式以及IPSec SA的协商方式,在此不做赘述。
接着,中心节点获得安全策略的方式,包括:
S120、针对每个分支节点,根据该分支节点的IP地址,从本地路由表中查找出该分支节点对应的出接口。
针对某个分支节点,可以从本地路由表中查找出下一跳地址与该分支节点的IP地址相同的路由表项,该路由表项中包括的出接口即为该分支节点对应的出接口。
S130、生成该分支节点对应的出接口关联的出接口匹配信息,并得到与该分支节点关联的IPSec隧道对应的安全策略。
在本实施例中,安全策略包括了全局五元组匹配信息和生成的出接口匹配信息。用户可以预先统一配置中心节点的感兴趣流(限定要保护的数据流),感兴趣流即通过数据包的五元组信息进行设置。相应地,全局五元组匹配信息是响应用户的配置操作得到的。
也就是,一条IPSec隧道对应的安全策略中,引用了全局五元组匹配信息和该IPSec隧道关联的分支节点对应的出接口匹配信息。
以下通过一个简单地例子,对中心节点基于用户配置的感兴趣流获得安全策略的过程以及匹配安全策略的过程进行介绍。
结合图4,图4中示出了中心节点、分支节点1、分支节点2各自的IP地址分别为:2.2.0.0/16、1.1.1.0/24、1.1.2.0/24。下表1示出了中心节点更新得到的本地路由表中的部分内容。
表1
目的地址 | 下一跳地址 | 出接口 |
1.1.1.10 | 1.1.1.0/24 | Interface 1 |
1.1.2.10 | 1.1.2.0/24 | Interface 2 |
假设中心节点上统一配置的感兴趣流为一个网段:1.1.0.0/16-2.2.0.0/16,协商得到的IPSec隧道1、IPSec隧道2各自对应的安全联盟为:IPSec SA1、IPSec SA2。
那么,中心节点生成IPSec隧道1、IPSec隧道2各自对应的安全策略的过程如下:
通过查找上述表1,可以确定出:到分支节点1的出接口为Interface 1,到分支节点2的出接口为Interface 2。那么对应地,在IPSec隧道1、IPSec隧道各自对应安全策略中,全局五元组匹配信息和出接口匹配信息限定的相关内容如下:
SP1:2.2.0.0/16-1.1.0.0/16:Interface1;
SP2:2.2.0.0/16-1.1.0.0/16:Interface2。
可以看出,由于感兴趣流是统一配置的,对应地,SP1、SP2各自的全局五元组匹配信息中限定的内容都是一样的,均为2.2.0.0/16-1.1.0.0/16。而SP1、SP2各自的出接口匹配信息中限定的内容是不一样的,前者为Interface1,后者为Interface2。
当中心节点收到数据包P1(源IP地址为2.2.1.10,目的IP地址为1.1.1.10),利用P1的目的IP地址,查找上述表1,可以确定P1的转发出接口为Interface 1,再对数据包P1进行IPSec安全策略检查:先根据P1的五元组信息查找安全策略,会匹配上SP1和SP2这两条候选安全策略,然后使用P1的转发出接口Interface 1跟SP1、SP2中的出接口匹配信息进行比较,会匹配上SP1,SP1即为P1的目标安全策略。由于SP1中绑定了IPSec隧道1,那么基于SP1对应的IPSec SA1对P1进行加密封装后,通过IPSec隧道1转发到分支节点1。
当中心节点收到数据包P2(源IP地址为2.2.1.10,目的IP地址为1.1.2.10),利用P2的目的IP地址,查找上述表1,可以确定P2的转发出接口为Interface 2,再对数据包P2进行IPSec安全策略检查:先根据P2的五元组信息查找安全策略,会匹配上SP1和SP2这两条候选安全策略,然后使用P2的转发出接口Interface 2跟SP1、SP2中的出接口匹配信息进行比较,会匹配上SP2,SP2即为P2的目标安全策略。由于SP2中绑定了IPSec隧道2,那么基于SP2对应的IPSec SA2对P2进行加密封装后,通过IPSec隧道2转发到分支节点2。
需要说明的是,上述举例中,安全策略(SP)的展现形式、感兴趣流配置为一个网段都仅为示例。在实际应用中,安全策略中全局五元组匹配信息限定的内容以实际应用为准,在可选的示例中,全局五元组匹配信息中的感兴趣流可以限定IP地址、端口、协议中任意一种或组合。
在可选的实施方式中,一旦分支节点关联的出接口发生变化,但是安全策略中的出接口匹配信息没有及时更新时,会导致用变化后的转发出接口无法匹配到目标安全策略。所以,需要及时对安全策略中的出接口匹配信息进行更新。
以下为两种安全策略中的出接口匹配信息的更新方式。
第一种、在获得任一IPSec隧道对应的IPSec SA后,更新该IPSec隧道对应的安全策略。
也就是,在每次协商得到一个IPSec隧道对应的IPSec SA后,可以更新一次该IPSec隧道对应的安全策略。
可以理解,一种是在IPSec隧道建立之后协商出对应的IPSec SA,再得到该IPSec隧道对应的安全策略;另一种是在IPSec SA中的密钥生存期结束时,重新协商新的IPSecSA,然后更新一下对应的安全策略:当检测到任一IPSec隧道对应的IPSec SA中的密钥生存期结束时,与IPSec隧道关联的分支节点重新协商获得新的IPSec SA,并更新IPSec隧道对应的安全策略。
第二种、按照预定周期,更新每个IPSec隧道对应的安全策略。
在第二种方式中,预定周期可以按照实际情况进行设置,每过一个预定周期,更新每个IPSec隧道对应的安全策略的方式如下:
(1)根据中心节点的IP地址和每个分支节点的IP地址,从本地路由表中查找每个分支节点对应的出接口;
(2)针对每个分支节点,若该分支节点对应的出接口与分支节点关联的安全策略中的出接口匹配信息不匹配,则利用分支节点对应的出接口更新对应安全策略中的出接口匹配信息。
以下介绍本方案应用的一种特殊场景,其中,Layer Two Tunneling Protocol(第二层隧道协议,简称L2TP)。
在IPSec OVER L2TP场景中,两个通信实体之间,先建立IPSec隧道,然后再IPSec建立的基础上,建立L2TP隧道(类似于IPSec隧道嵌套在L2TP隧道内部)。相应地,安全处理过程中会对数据包加密后先进行IPSEC封装,再进行L2TP封装之后进行传输。
在这种场景下,中心节点的每个IPSec隧道关联的出接口不是物理接口,而是不同的虚拟接口(Virtual-Access),相应地,安全策略中出接口匹配信息也是限定的虚拟接口。这样,根据数据包的五元组信息和查找本地路由表得到的虚拟接口就能唯一地确定一个目标安全策略,以实现对数据包的正确转发。
需要说明的是,上述方法实施例中各个步骤的执行顺序不以附图所示为限制,各步骤的执行顺序以实际应用情况为准。
与现有技术相比,本发明实施例具有以下有益效果:
(1)本方案中,中心节点是统一配置全局应用的IPSec感兴趣流,即针对所有分支节点配置相同的感兴趣流,避免了针对每个分支节点划分精细的网段来配置感兴趣流,精简了中心节点的配置过程。
(2)中心节点基于统一配置的感兴趣流生成全局五元组匹配信息,中心节点可以向每个分支节点下发包括该全局五元组匹配信息的子安全策略,简化了中心节点的管理配置工作。中心节点的安全策略中增加了出接口匹配信息,使得当存在候选安全策略时,能够找到出接口匹配信息与转发出接口唯一相匹配的目标安全策略,保证了能够利用目标安全策略对应的IPSec SA对待转发数据包进行处理后,再通过对应的IPSec隧道转发到正确的下一跳分支节点。
为了执行上述方法实施例及各个可能的实施方式中的相应步骤,下面分别给出一种数据包处理装置的实现方式。
请参见图5,图5示出了本发明实施例提供的数据包处理装置的结构示意图。该装置应用于中心节点,中心节点包括多个出接口,中心节点通过一个出接口与一个分支节点通信连接,且中心节点与每个分支节点之间均建立有IPSec隧道;中心节点存储有每条IPSec隧道对应的安全策略和IPSec SA,安全策略包括全局五元组匹配信息和出接口匹配信息。该数据包处理装置200包括:查找模块220、处理模块230。
查找模块220,用于接收待转发数据包,并确定出待转发数据包对应的转发出接口;
查找模块220,还用于若存在全局五元组匹配信息与待转发数据包的五元组信息相匹配的候选安全策略,则从全部候选安全策略中确定出出接口匹配信息与转发出接口相匹配的目标安全策略;
处理模块230,用于利用目标安全策略对应的IPSec SA对待转发数据包进行处理,并通过目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。
在可选的实施例中,所述处理模块还用于在不存在所述候选安全策略时,直接转发所述待转发数据包。
在可选的实施例中,所述中心节点维护有本地路由表,所述本地路由表包括目的地址和出接口之间的对应关系。查找模块220,具体可以用于:获得所述待转发数据包的目的IP地址;根据所述待转发数据包的目的IP地址,从所述本地路由表中查找出所述转发出接口。
在可选的实施例中,所述中心节点维护有本地路由表,所述本地路由表包括下一跳地址和出接口之间的对应关系。该数据包处理装置200还包括配置模块210,可以用于:针对每个分支节点,建立与所述分支节点之间的所述IPSec隧道,并获得所述IPSec隧道对应的IPSec SA;针对每个分支节点,根据所述分支节点的IP地址,从所述本地路由表中查找出所述分支节点对应的出接口;生成所述出接口的出接口匹配信息,得到与所述分支节点关联的所述IPSec隧道对应的安全策略;其中,所述安全策略包括全局五元组匹配信息和所述出接口匹配信息,所述全局五元组匹配信息是响应用户的配置操作得到的。
在可选的实施例中,处理模块230,还可以用于:在获得任一所述IPSec隧道对应的IPSec SA后,更新所述IPSec隧道对应的安全策略;或者,按照预定周期,更新每个所述IPSec隧道对应的安全策略。
在可选的实施例中,处理模块230,具体可以用于:按照预定周期,根据所述中心节点的IP地址和每个所述分支节点的IP地址,从所述本地路由表中查找每个所述分支节点对应的出接口;针对每个所述分支节点,若所述分支节点对应的出接口与所述分支节点关联的所述安全策略中的出接口匹配信息不匹配,则利用所述分支节点对应的出接口更新所述安全策略。
在可选的实施例中,所述IPSec SA还包括加密秘钥及所述加密秘钥的密钥生存期。处理模块230,具体可以用于:当检测到任一所述IPSec隧道对应的所述IPSec SA中的所述密钥生存期结束时,与所述IPSec隧道关联的分支节点重新协商获得新的IPSec SA,并更新所述IPSec隧道对应的安全策略。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的数据包处理装置200的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
请参见图6,图6为本发明实施例提供的一种中心节点的结构示意图。该中心节点300包括处理器310、存储器320和总线330,处理器310通过总线330与存储器320连接。
存储器320可用于存储软件程序,例如,图6所示的数据包处理装置。其中,存储器320可以是但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(ReadOnly Memory,ROM),闪存存储器(Flash),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。处理器310可以是一种集成电路芯片,具有信号处理能力。
该处理器310可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器320存储有处理器310可执行的机器可读指令。处理器310执行机器可读指令时,实现上述实施例揭示的数据包处理方法。
可以理解,图6所示的结构仅为示意,中心节点300还可以包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时实现上述实施例揭示的数据包处理方法。该可读存储介质可以是但不限于:U盘、移动硬盘、ROM、RAM、PROM、EPROM、EEPROM、FLASH磁碟或者光盘等各种可以存储程序代码的介质。
综上,本发明实施例提供了一种数据包处理方法、装置、中心节点及存储介质,在接收待转发数据包后确定其对应的转发出接口。若存在全局五元组匹配信息与待转发数据包的五元组信息匹配的候选安全策略,则从全部候选安全策略中找到出接口匹配信息与转发出接口匹配的目标安全策略。最后利用目标安全策略对应的IPSec SA对待转发数据包进行处理后通过目标安全策略对应的IPSec隧道进行传输。本方案中安全策略包括了出接口匹配信息,其使得当存在候选安全策略时,能够找到出接口匹配信息与转发出接口唯一相匹配的目标安全策略,保证了能够利用目标安全策略对应的IPSec SA对待转发数据包进行处理后,再通过对应的IPSec隧道转发到正确的下一跳分支节点。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种数据包处理方法,其特征在于,应用于中心节点,所述中心节点包括多个出接口,所述中心节点通过一个所述出接口与一个分支节点通信连接,且所述中心节点与每个所述分支节点之间均建立有IPSec隧道;所述中心节点存储有每条所述IPSec隧道对应的安全策略和IPSec SA,所述安全策略包括全局五元组匹配信息和出接口匹配信息;所述方法包括:
接收待转发数据包,并确定出所述待转发数据包对应的转发出接口;
若存在所述全局五元组匹配信息与所述待转发数据包的五元组信息相匹配的候选安全策略,则从全部所述候选安全策略中确定出所述出接口匹配信息与所述转发出接口相匹配的目标安全策略;
利用所述目标安全策略对应的IPSec SA对所述待转发数据包进行处理,并通过所述目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若不存在所述候选安全策略,则直接转发所述待转发数据包。
3.根据权利要求1所述的方法,其特征在于,所述中心节点维护有本地路由表,所述本地路由表包括目的地址和出接口之间的对应关系;
所述确定出所述待转发数据包对应的转发出接口的步骤,包括:
获得所述待转发数据包的目的IP地址;
根据所述待转发数据包的目的IP地址,从所述本地路由表中查找出所述转发出接口。
4.根据权利要求1所述的方法,其特征在于,所述中心节点维护有本地路由表,所述本地路由表包括下一跳地址和出接口之间的对应关系;
所述中心节点获得所述IPSec SA的方式,包括:
针对每个分支节点,建立与所述分支节点之间的所述IPSec隧道,并获得所述IPSec隧道对应的IPSec SA;
所述中心节点获得所述安全策略的方式,包括:
针对每个分支节点,根据所述分支节点的IP地址,从所述本地路由表中查找出所述分支节点对应的出接口;
生成所述出接口的出接口匹配信息,得到与所述分支节点关联的所述IPSec隧道对应的安全策略;
其中,所述安全策略包括全局五元组匹配信息和所述出接口匹配信息,所述全局五元组匹配信息是响应用户的配置操作得到的。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在获得任一所述IPSec隧道对应的IPSec SA后,更新所述IPSec隧道对应的安全策略;
或者,
按照预定周期,更新每个所述IPSec隧道对应的安全策略。
6.根据权利要求5所述的方法,其特征在于,所述中心节点维护有本地路由表,所述本地路由表包括目的地址和出接口之间的对应关系;所述更新每个所述IPSec隧道对应的安全策略的步骤包括:
根据所述中心节点的IP地址和每个所述分支节点的IP地址,从所述本地路由表中查找每个所述分支节点对应的出接口;
针对每个所述分支节点,若所述分支节点对应的出接口与所述分支节点关联的所述安全策略中的出接口匹配信息不匹配,则利用所述分支节点对应的出接口更新所述安全策略。
7.根据权利要求1所述的方法,其特征在于,所述IPSec SA还包括加密秘钥及所述加密秘钥的密钥生存期;所述方法还包括:
当检测到任一所述IPSec隧道对应的所述IPSec SA中的所述密钥生存期结束时,与所述IPSec隧道关联的分支节点重新协商获得新的IPSec SA,并更新所述IPSec隧道对应的安全策略。
8.一种数据包处理装置,其特征在于,应用于中心节点,所述中心节点包括多个出接口,所述中心节点通过一个所述出接口与一个分支节点通信连接,且所述中心节点与每个所述分支节点之间均建立有IPSec隧道;所述中心节点存储有每条所述IPSec隧道对应的安全策略和IPSec SA,所述安全策略包括全局五元组匹配信息和出接口匹配信息;所述装置包括:
查找模块,用于接收待转发数据包,并确定出所述待转发数据包对应的转发出接口;
所述查找模块,还用于若存在所述全局五元组匹配信息与所述待转发数据包的五元组信息相匹配的候选安全策略,则从全部所述候选安全策略中确定出所述出接口匹配信息与所述转发出接口相匹配的目标安全策略;
处理模块,用于利用所述目标安全策略对应的IPSec SA对所述待转发数据包进行处理,并通过所述目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。
9.一种中心节点,其特征在于,包括:存储器和处理器,所述存储器存储有所述处理器可执行的机器可读指令,当所述中心节点运行时所述处理器执行所述机器可读指令以实现如权利要求1-7中任一项所述的数据包处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7中任一项所述的数据包处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211429427.4A CN115941290A (zh) | 2022-11-15 | 2022-11-15 | 数据包处理方法、装置、中心节点及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211429427.4A CN115941290A (zh) | 2022-11-15 | 2022-11-15 | 数据包处理方法、装置、中心节点及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115941290A true CN115941290A (zh) | 2023-04-07 |
Family
ID=86651469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211429427.4A Pending CN115941290A (zh) | 2022-11-15 | 2022-11-15 | 数据包处理方法、装置、中心节点及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115941290A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763557A (zh) * | 2016-04-07 | 2016-07-13 | 烽火通信科技股份有限公司 | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 |
CN110677426A (zh) * | 2019-09-30 | 2020-01-10 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
CN115118548A (zh) * | 2022-06-28 | 2022-09-27 | 北京天融信网络安全技术有限公司 | 基于虚拟专用网络的网络通信方法、装置及电子设备 |
CN115225414A (zh) * | 2022-09-21 | 2022-10-21 | 北京中科网威信息技术有限公司 | 基于ipsec的加密策略匹配方法、装置及通信系统 |
-
2022
- 2022-11-15 CN CN202211429427.4A patent/CN115941290A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763557A (zh) * | 2016-04-07 | 2016-07-13 | 烽火通信科技股份有限公司 | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 |
CN110677426A (zh) * | 2019-09-30 | 2020-01-10 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
CN115118548A (zh) * | 2022-06-28 | 2022-09-27 | 北京天融信网络安全技术有限公司 | 基于虚拟专用网络的网络通信方法、装置及电子设备 |
CN115225414A (zh) * | 2022-09-21 | 2022-10-21 | 北京中科网威信息技术有限公司 | 基于ipsec的加密策略匹配方法、装置及通信系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10158568B2 (en) | Method and apparatus for service function forwarding in a service domain | |
US11019075B2 (en) | Providing processing and network efficiencies in protecting internet protocol version 6 segment routing packets and functions using security segment identifiers | |
US10749794B2 (en) | Enhanced error signaling and error handling in a network environment with segment routing | |
US8370921B2 (en) | Ensuring quality of service over VPN IPsec tunnels | |
US9516061B2 (en) | Smart virtual private network | |
US7647492B2 (en) | Architecture for routing and IPSec integration | |
US10454818B2 (en) | CCN name chaining | |
US9596300B2 (en) | Technologies for processing data packets in batches | |
WO2021082879A1 (zh) | 传输组播报文的方法和相关装置 | |
CN110912859B (zh) | 发送报文的方法、接收报文的方法及网络设备 | |
US9942159B2 (en) | Method and arrangement for QOS differentiation of VPN traffic across domains | |
US11088992B2 (en) | Context specific keys | |
WO2012026855A1 (en) | Methods and arrangements for secure communication over an ip network | |
US20140115154A1 (en) | Linked Identifiers for Multiple Domains | |
US20140380460A1 (en) | Dynamic Communication Between Secure Endpoints | |
US11297037B2 (en) | Method and network device for overlay tunnel termination and mirroring spanning datacenters | |
CN108989342B (zh) | 一种数据传输的方法及装置 | |
CN111869168B (zh) | 用于传送数据的方法和系统 | |
US9665441B2 (en) | Method and system for packet redundancy removal | |
CN115941290A (zh) | 数据包处理方法、装置、中心节点及存储介质 | |
WO2022166979A1 (zh) | 报文处理方法、客户端设备、服务器端设备和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |