CN116346769A - 一种业务交互方法、装置、业务系统、电子设备及介质 - Google Patents

一种业务交互方法、装置、业务系统、电子设备及介质 Download PDF

Info

Publication number
CN116346769A
CN116346769A CN202310457485.6A CN202310457485A CN116346769A CN 116346769 A CN116346769 A CN 116346769A CN 202310457485 A CN202310457485 A CN 202310457485A CN 116346769 A CN116346769 A CN 116346769A
Authority
CN
China
Prior art keywords
target
branch
equipment
service message
headquarter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310457485.6A
Other languages
English (en)
Inventor
王之云
祖静
范雪俭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202310457485.6A priority Critical patent/CN116346769A/zh
Publication of CN116346769A publication Critical patent/CN116346769A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

本申请实施例提供一种业务交互方法、装置、业务系统、电子设备及介质,用于实现多个分支设备之间进行业务交互;方法应用于分支设备;多个分支设备分别与总部设备建立有互联网安全协议IPSec隧道;方法包括:获取待发送的第一业务报文;根据第一业务报文的目的地址,确定接收第一业务报文的目标分支设备,并获取目标分支设备的关键信息;利用关键信息对第一业务报文进行封装,得到目标业务报文;通过总部设备向目标分支设备发送目标业务报文。上述过程分支设备之间无需建立IPSec隧道,分支设备之间在不知道对方公网IP地址时也能实现业务交互。且分支设备之间的业务交互无需进行多次协商,为分支设备节约了内存和资源,提升了设备性能。

Description

一种业务交互方法、装置、业务系统、电子设备及介质
技术领域
本申请涉及通信技术领域,具体而言,涉及一种业务交互方法、装置、业务系统、电子设备及介质。
背景技术
IPSec(Internet Protocol Security,网络协议安全)协议是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇。
随着企业信息化程度提高,企业总部与各地分支之间基于IPSec协议的VPN技术进行组网。各地分支可以分别与企业总部建立IPSec隧道。在这样的组网模式下,分支与总部可以随时通过建立的IPSec隧道进行业务交互。但若各个分支之间也存在交互需求,就需要在各个分支之间也建立IPSec隧道,显然,这会耗费较多的计算机资源。
发明内容
本申请实施例的目的在于提供一种业务交互方法、装置、业务系统、电子设备及介质,用以实现分支之间进行业务交互的技术效果。
本申请实施例第一方面提供了一种业务交互方法,所述方法用于实现多个分支设备之间进行业务交互;所述方法应用于所述分支设备;多个所述分支设备分别与总部设备建立有互联网安全协议IPSec隧道;所述方法包括:
获取待发送的第一业务报文;
根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;
利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;
通过所述总部设备向所述目标分支设备发送所述目标业务报文。
在上述实现过程中,业务发起方所在分支的分支设备可以利用目标分支设备的关键信息对第一业务报文进行封装,使得封装后的目标业务报文符合IPSec隧道收发报文的格式。最后利用总部设备与目标分支设备之间所建立的IPSec隧道传输目标业务报文。上述过程分支设备之间无需建立IPSec隧道,分支设备之间在不知道对方公网IP地址时也能实现业务交互。且分支设备之间的业务交互无需进行多次协商,为分支设备节约了内存和资源,提升了设备性能。
进一步地,所述IPSec隧道的建立过程包括以下步骤:
创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;
与所述总部设备建立IPSec隧道;
向所述总部设备发送注册信息,所述注册信息包括所述分支设备的公网地址与配置的接口地址,以使所述总部设备利用所述注册信息、以及针对所述分支设备生成的安全联盟SA信息进行注册。
在上述实现过程中,各分支设备通过向总部设备进行信息注册,使得总部设备能够将各分支设备的公网地址、接口地址与SA信息形成映射关系,以便于后续分支设备向总部设备查询其他分支设备的关键信息。
进一步地,所述方法还包括:
获取多个所述分支设备配置的接口地址,并利用获取的接口地址进行路由配置;
所述根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息,包括:
根据所述目的地址进行路由查找,确定所述目标分支设备的IPSec隧道接口的目标接口地址;
根据所述目标接口地址获取所述目标分支设备的关键信息。
在上述实现过程中,当组网中各个设备完成配置IPSec隧道接口的接口地址后,分支设备利用其他分支设备配置的接口地址来进行路由配置,使得在接收到分支上用户设备发送的第一业务报文时,可以通过查找路由的方式得知该第一业务报文的下一跳地址,由此得知接收该第一业务报文的目标分支设备。并根据下一跳地址来获取目标分支设备的关键信息,以对第一业务报文进行封装,使得分支设备之间不建立IPSec隧道也能实现业务交互。
进一步地,所述根据所述目标接口地址获取所述目标分支设备的关键信息,包括:
根据所述目标接口地址在本地查询所述目标分支设备的关键信息;或者
向所述总部设备发送携带所述目标接口地址的请求信息;接收所述总部设备根据所述目标接口地址返回的目标分支设备的关键信息。
在上述实现过程中,在各分支设备向总部设备进行信息注册,以及分支设备通过路由查找获取到目标分支设备目标接口地址的基础上,分支设备可以向总部设备请求目标分支设备的关键信息,或者在本地查询之前从总部设备获取的已存储在本地的关键信息。使得分支设备能够利用关键信息对第一业务报文进行封装,从而实现了分支设备之间无需建立IPSec隧道也能进行业务交互。
进一步地,所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息,所述目标SA信息是所述总部设备针对所述目标分支设备生成的;
所述利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文,包括:
利用所述目标SA信息中的加密信息对所述第一业务报文进行加密;
利用所述目标公网地址封装加密后的第一业务报文,得到目标业务报文。
在上述实现过程中,通过利用总部设备针对目标分支设备生成的目标SA信息中的加密信息对第一业务报文进行加密,利用目标公网地址对加密后第一业务报文进行封装,使得分支设备可以利用总部设备的身份来实现与目标分支设备的业务交互,而分支设备之间无需建立IPSec隧道。
进一步地,所述方法还包括:
接收所述目标分支设备发送的第二业务报文;
利用所述目标SA信息中的解密信息对所述第二业务报文进行解密。
在上述实现过程中,对于目标分支设备返回的第二业务报文,分支设备可以利用目标SA信息中的解密信息来进行解密,由此实现了分支设备之间业务报文互发,实现业务交互。
进一步地,所述方法还包括:
响应于满足预设条件,删除所述关键信息。
在上述实现过程中,通过删除存储的关键信息,避免占用较多的内存资源。
本申请实施例第二方面提供了一种业务交互方法,所述方法用于实现多个分支设备之间进行业务交互;多个所述分支设备分别与总部设备建立有IPSec隧道;所述方法应用于所述总部设备,所述方法包括:
响应于接收到分支设备发送的第三业务报文,获取所述第三业务报文的目的地址;所述第三业务报文是所述分支设备封装后的报文;
若所述目的地址指向所述总部设备,解封装所述第三业务报文;
若所述目的地址指向目标分支设备,则将所述第三业务报文转发至所述目标分支设备。
在上述实现过程中,多个分支设备与总部设备之间建立有IPSec隧道,当分支设备之间需要进行业务交互时,业务发起方所在分支的分支设备通过封装业务报文得到第三业务报文,使得第三业务报文符合IPSec隧道收发报文的格式。总部设备根据第三报文目的地址所指向的设备分别做出不同的处理。在目的地址指向目标分支设备的情况下,总部设备起到了报文转发的功能,从而在分支设备之间无需建立IPSec隧道的情况下,也能实现分支设备之间的业务交互。
进一步地,所述IPSec隧道的建立过程包括以下步骤:
创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;
针对多个所述分支设备中的每个,生成与所述分支设备对应的SA信息,并与所述分支设备建立IPSec隧道;
响应于接收到分支设备发送的注册信息,利用所述注册信息与所述分支设备对应的SA信息进行注册;所述注册信息包括所述分支设备的公网地址与配置的接口地址。
在上述实现过程中,在建立IPSec隧道时,总部设备将各分支设备发送的注册信息进行注册,从而将各分支设备的公网地址、接口地址与SA信息形成映射关系并存储,以便于后续总部设备为分支设备提供查询其他分支设备关键信息的功能。
进一步地,所述方法还包括:
响应于接收到分支设备发送的请求信息,获取所述请求信息携带的目标接口地址;
获取所述目标接口地址所指示的目标分支设备的关键信息;所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息;所述目标SA信息是所述总部设备针对所述目标分支设备生成的;
向所述分支设备返回所述关键信息。
在上述实现过程中,总部设备通过查找预存的映射关系,为分支设备提供查询其他分支设备关键信息的功能,使得分支设备能够利用关键信息对第一业务报文进行封装,从而实现了分支设备之间无需建立IPSec隧道也能进行业务交互。
本申请实施例第三方面提供了一种业务系统,所述业务系统包括总部设备、以及多个分别与所述总部设备建立有IPSec隧道的分支设备;
所述分支设备,用于获取待发送的第一业务报文;以及
根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;以及
利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;以及
将所述目标业务报文发送至所述总部设备;
所述总部设备,用于根据所述目标业务报文的目的地址,将所述目标业务报文发送至所述目标分支设备。
本申请实施例第四方面提供了一种业务交互装置,所述装置用于实现多个分支设备之间进行业务交互;所述装置应用于所述分支设备;多个所述分支设备分别与总部设备建立有互联网安全协议IPSec隧道;所述装置包括:
第一报文获取模块,用于获取待发送的第一业务报文;
关键信息获取模块,用于根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;
封装模块,用于利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;
发送模块,用于通过所述总部设备向所述目标分支设备发送所述目标业务报文。
本申请实施例第五方面提供了一种业务交互装置,所述装置用于实现多个分支设备之间进行业务交互;多个所述分支设备分别与总部设备建立有IPSec隧道;所述装置应用于所述总部设备,所述装置包括:
第二报文获取模块,用于响应于接收到分支设备发送的第三业务报文,获取所述第三业务报文的目的地址;所述第三业务报文是所述分支设备封装后的报文;
解封装模块,用于若所述目的地址指向所述总部设备,解封装所述第三业务报文;
转发模块,用于若所述目的地址指向目标分支设备,则将所述第三业务报文转发至所述目标分支设备。
本申请实施例第六方面提供了一种电子设备,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器调用所述可执行指令时实现第一方面或第二方面任一所述方法的操作。
本申请实施例第七方面提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令被处理器执行时实现第一方面或第二方面任一所述方法的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种业务系统的示意图;
图2为本申请实施例提供的一种业务交互方法的流程示意图;
图3为本申请实施例提供的另一种业务交互方法的流程示意图;
图4为本申请实施例提供的另一种业务交互方法的流程示意图;
图5为本申请实施例提供的另一种业务交互方法的流程示意图;
图6为本申请实施例提供的另一种业务交互方法的流程示意图;
图7为本申请实施例提供的另一种业务交互方法的流程示意图;
图8为本申请实施例提供的另一种业务交互方法的流程示意图;
图9为本申请实施例提供的另一种业务交互方法的流程示意图;
图10为本申请实施例提供的一种业务交互装置的结构框图;
图11为本申请实施例提供的另一种业务交互装置的结构框图;
图12为本申请实施例提供的一种电子设备的硬件结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
随着企业信息化程度提高,企业总部与各地分支之间基于IPSec协议的VPN技术进行组网。各地分支可以分别与企业总部建立IPSec隧道。在这样的组网模式下,分支与总部可以随时通过建立的IPSec隧道进行业务交互。但若各个分支之间也存在交互需求,就需要在各个分支之间也建立IPSec隧道。
两端建立IPSec隧道的前提是知道对端的IP地址。例如,若两端均连入公网,则需要知道对端的公网IP地址才能建立IPSec隧道。但对于各个分支来说,第一,由于各个分支之间互相不知道对方的公网IP地址,导致IPSec隧道建立较困难。第二,IPSec隧道的建立需要手动配置隧道,增加了配置难度。第三,建立IPSec隧道时分支设备之间需要多次协商,当分支数量较多时,若每个分支都与其他分支分别建立IPSec隧道,会导致耗费分支设备较多的内存与计算资源。
可见,分支之间虽然可通过建立IPSec隧道进行业务交互,但存在着上述难建立、耗费资源多的缺陷。为此,本申请提供了一种业务交互方法,用以分支之间无需建立IPSec隧道也能实现业务交互。
如图1所示,业务系统100为本申请提供的一种业务交互方法的应用场景。业务系统100包括总部设备110与多个分支设备。分支设备是指分支上的网关设备,总部设备是指总部上的网关设备。例如网关设备包括但不限于路由器等具有网关功能的网络中间设备。分支上除了分支设备以外还包括一个或一个以上的用户设备。用户设备可以通过分支设备访问互联网、与总部或其他分支上的用户设备进行数据交互。同理,总部中除了总部设备以外还包括一个或一个以上的用户设备。用户设备可以通过总部设备访问互联网、与分支上的用户设备进行数据交互。
参见图1,业务系统100包括分支设备121与分支设备122。分支设备121与分支设备122分别和总部设备110建立有IPSec隧道。其中,IPSec隧道的建立过程在下文展开。
分支设备121与该分支上的用户设备131通信连接,用户设备131可以通过分支设备121访问互联网、与总部的用户设备133和/或其他分支上的用户设备132进行数据交互。
分支设备122与该分支上的用户设备132通信连接,用户设备132可以通过分支设备122访问互联网、与总部的用户设备133和/或其他分支上的用户设备131进行数据交互。
总部设备110与总部的用户设备133通信连接,用户设备133可以通过总部设备110访问互联网、与分支上的用户设备131和/或用户设备132进行数据交互。
图1中示出两个分支设备,以及每个分支设备分别对应一个用户设备作为示例性的例子,当然,业务系统100可以包括两个或两个以上的分支设备,每个分支设备也可以对应一个或一个以上的用户设备。图1示出的例子不能对分支设备以及用户设备的数量构成限制。
本申请第一方面提供的一种业务交互方法,应用于如图1所示的任一分支设备,例如应用于分支设备121或分支设备122。图2示出了第一方面提供的一种业务交互方法的流程示意图,包括以下步骤:
步骤210:获取待发送的第一业务报文;
步骤220:根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;
步骤230:利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;
步骤240:通过所述总部设备向所述目标分支设备发送所述目标业务报文。
以分支设备121作为上述方法的执行主体作为例子进行描述,当然,分支设备122也可以作为上述方法的执行主体,本申请在此不做限制。
分支设备121获取待发送的第一业务报文。第一业务报文可以是分支设备121所在分支上的用户设备,例如用户设备131,向分支设备121发送的。用户设备131通过分支设备121向其他用户设备发送业务报文。
第一业务报文携带有目的地址。目的地址是指接收第一业务报文的设备的IP地址。示例性地,若第一业务报文是用户设备131向用户设备132发送的报文,则第一业务报文的目标地址为用户设备132的IP地址。通常地,某一分支上的所有用户设备可以组成私网,如图1所示的用户设备132在私网内,其IP地址为私网IP 192.168.3.0。因此,示例性地,第一报文携带的目的地址可以是私网IP地址。
分支设备121可以根据第一业务报文的目标地址,确定目标分支设备,并获取目标分支设备的关键信息。
其中,所述接收第一业务报文的目标分支设备,是指目标分支设备接收了第一业务报文后,根据第一业务报文的目的地址将第一业务报文转发至该目的地址所指示的设备。也即,目标分支设备是第一业务报文在传输过程中经过的网络中间设备。而所述根据第一报文的目的地址,确定目标分支设备,可以是:确定第一业务报文的目标地址指示的设备所在的目标分支,确定目标分支的分支设备为目标分支设备。或者可以是:确定第一业务报文的目标地址指示的设备对应的分支设备为目标分支设备。
如在上述例子中,第一业务报文的目标地址为用户设备132的私网IP地址。则根据第一业务报文的目标地址,可知接收第一业务报文的目标分支设备为分支设备122。第一业务报文通过分支设备122转发至用户设备132。
在确定目标分支设备后,可以获取目标分支设备的关键信息,并利用获取的关键信息对第一业务报文进行封装,得到目标业务报文。封装后的目标业务报文符合IPSec隧道收发报文的格式。如此,关键信息包括封装报文所需的所有信息。
最后,目标业务报文通过总部设备发送至目标分支设备。其中,总部设备可以起到报文转发的作用,在接收到分支设备发送的目标业务报文后,将该目标业务报文转发至目标分支设备。示例性地,总部设备利用与目标分式设备之间建立的IPSec隧道将目标业务报文发送至目标分支设备。
目标分支设备接收到目标业务报文后,可以解封装目标业务报文,得到第一业务报文。然后将第一业务报文发送至第一业务报文目的地址所指示的设备。如在上述例子中,分支设备122可以根据解封装后的第一业务报文的目的地址,将第一业务报文发送至用户设备132。
可见,本申请提供的一种业务交互方法,当分支设备之间需要进行业务交互时,业务发起方所在分支的分支设备可以利用目标分支设备的关键信息对第一业务报文进行封装,使得封装后的目标业务报文符合IPSec隧道收发报文的格式。最后利用总部设备与目标分支设备之间所建立的IPSec隧道传输目标业务报文。上述过程分支设备之间无需建立IPSec隧道,分支设备之间在不知道对方公网IP地址时也能实现业务交互。且分支设备之间的业务交互无需进行多次协商,为分支设备节约了内存和资源,提升了设备性能。
关于IPSec隧道的建立,在一些实施例中,包括如图3所示的步骤:
步骤310:创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;
步骤320:与所述总部设备建立IPSec隧道。
示例性地,上述步骤310-步骤320可以在分支设备之间进行业务交互前执行。
各个分支设备分别与总部设备建立IPSec隧道时,首先从整体上规划组网中所有设备的IPSec隧道接口(也即IPSec虚拟Tunnel接口)。具体地,各个分支设备与总部设备分别创建IPSec隧道接口,然后分别配置IPSec隧道接口的接口地址。接口地址即IP地址,在同一组网中是唯一的。示例性地,接口地址可以是固定的逻辑私网IP地址。
如图1所示,总部设备110的IPSec隧道接口的接口地址为1.1.1.1;分支设备121的IPSec隧道接口的接口地址为1.1.1.2;分支设备122的IPSec隧道接口的接口地址为1.1.1.3。
在完成配置接口地址后,各个分支设备可以与总部设备建立IPSec隧道。其中,分支设备与总部设备IPSec隧道建立时所进行的协商、认证等过程可以参考相关技术,本申请在此不进行展开。
在建立IPSec隧道后,所有到达IPSec隧道接口的报文都将进行IPSec保护,也即进行基于ipsec协议的加密转发。
在一些实施例中,在图3所示实施例的基础上,本申请提供的一种业务交互方法,还包括步骤:获取多个所述分支设备配置的接口地址,并利用获取的接口地址进行路由配置。
其中,该步骤可以在分支设备与总部设备建立IPSec隧道时执行,也可以在执行步骤220前完成执行。
在各个分支设备与总部设备分别完成接口地址的配置后,可以将组网中所有设备所配置的接口地址进行汇总,并分发至组网中的所有设备,以使组网中所有设备都能得知组网中其他设备的接口地址。随后,分支设备可以利用获得的其他分支设备的接口地址进行路由配置。其中,可以将获取的接口地址配置为下一跳地址。也即在路由配置中,所配置的下一跳地址为分支设备的接口地址。
如此,上述步骤220中目标分支设备的确定与关键信息的获取,可以包括如图4所示的步骤:
步骤221:根据所述目的地址进行路由查找,确定所述目标分支设备的IPSec隧道接口的目标接口地址;
步骤222:根据所述目标接口地址获取所述目标分支设备的关键信息。
在进行路由配置时,记录了每个目标地址对应的下一跳地址。因此在获取到第一业务报文后,可以根据第一业务报文的目的地址进行路由查找,查找出该目的地址对应的下一跳地址,得到的下一跳地址即目标分支设备的IPSec隧道接口的目标接口地址。而该下一跳地址指示的分支设备即为目标分支设备。最后,利用目标接口地址可以获取到目标分支设备的关键信息。
以图1作为例子,分支设备121获取到分支设备122配置的接口地址1.1.1.3后,针对目的地址为用户设备132的私网IP地址192.168.3.0,可以配置其下一跳为分支设备122的接口地址1.1.1.3。
如此,当接收到目的地址为192.168.3.0的第一业务报文后,根据第一报文的目的地址进行路由查找,可以确定第一业务报文的下一跳地址为1.1.1.3。该地址为分支设备122的IPSec隧道接口的接口地址,由此可以确定分支设备122为目标分支设备,接口地址1.1.1.3为目标接口地址。最后,根据目标接口地址1.1.1.3可以获取目标分支设备122的关键信息。
可见在本实施例中,当组网中各个设备完成配置IPSec隧道接口的接口地址后,分支设备利用其他分支设备配置的接口地址来进行路由配置,使得在接收到分支上用户设备发送的第一业务报文时,可以通过查找路由的方式得知该第一业务报文的下一跳地址,由此得知接收该第一业务报文的目标分支设备。并根据下一跳地址来获取目标分支设备的关键信息,以对第一业务报文进行封装,使得分支设备之间不建立IPSec隧道也能实现业务交互。
关于IPSec隧道的建立,在一些实施例中,在图3所示实施例的基础上,IPSec隧道的建立过程还包括以下步骤:
向所述总部设备发送注册信息,所述注册信息包括所述分支设备的公网地址与配置的接口地址,以使所述总部设备利用所述注册信息、以及针对所述分支设备生成的安全联盟SA信息进行注册。
在建立IPSec隧道时,IPSec对等体(即运行IPSec协议的两个设备)之间会建立安全联盟(Security Association,SA)。SA是IPSec对等体间对某些要素的协定,其描述了对等体间如何利用安全服务(例如加密)进行安全的通信,具体确定了如何对报文进行处理。这些要素包括对等体间使用何种安全协议、需要保护的数据流特征、数据的封装模式、协议采用的加密和验证算法、用于数据安全转换和传输的密钥、以及SA的生存周期等。
其中,SA是单向的逻辑连接,通常成对建立,包括入站(Inbound)SA和出站(Outbound)SA。入站SA用于处理接收到的数据包,而出站SA则用于处理待发送的数据包。因此,对等体中的每一方分别建立一对SA。
以图1中分支设备122与总部设备110作为IPSec对等体为例。在建立IPSec隧道时,总部设备110针对分支设备122建立SA1对,包括Inbound SA_X与Outbound SA_Y。相应地,分支设备122针对总部设备110建立SA2对,包括Inbound SA_Y与Outbound SA_X。一般情况下,当总部设备110通过IPSec隧道向分支设备122发送数据包时,待发送的数据包利用Outbound SA_Y进行处理。而分支设备122接收到总部设备110发送的数据包后,利用Inbound SA_Y进行处理。反之,当分支设备122通过IPSec隧道向总部设备110发送数据包时,待发送的数据包利用Outbound SA_X进行处理。而总部设备110接收到分支设备122发送的数据包后,利用Inbound SA_X进行处理。
如上所述,总部设备分别与多个分支设备建立IPSec隧道。如此,总部设备会分别与每个分支设备建立SA,并针对每个分支设备分别生成SA信息。可知,总部设备存储有多个SA信息,每个SA信息是针对不同分支设备且由总部设备生成的。
在本实施例中,在建立IPSec隧道时,各个分支设备还会向总部设备发送注册信息。其中,注册信息包括分支设备的公网地址与配置的接口地址。所述公网地址即公网的IP地址。如图1中总部设备110的公网地址为10.0.0.1;分支设备121的公网地址为20.0.0.1;分支设备122的公网地址为30.0.0.1。
当总部设备接收到某分支设备发送的注册信息时,会利用接收的注册信息以及针对该分支设备生成的SA信息进行注册。所谓注册,例如可以是存储注册信息与SA信息的映射关系,也即存储该分支设备的接口地址、公网地址与SA信息的映射关系。如此,当多个分支设备均在总部设备进行注册时,最终总部设备可以获取到包括多条映射关系的映射表。
继续以图1为例,分支设备122可以向总部设备110发送注册信息,包括公网地址30.0.0.1与接口地址1.1.1.3。总部设备110可以利用注册信息以及针对分支设备122生成的SA1信息,也即上述包括Inbound SA_X与Outbound SA_Y的SA1信息,进行注册。例如生成分支设备122的注册信息与SA1信息的映射关系,得到“公网地址30.0.0.1-接口地址1.1.1.3-SA1信息”的映射关系。同理,当分支设备121向总部设备110进行信息注册时,总部设备110最终可以得到“公网地址20.0.0.1-接口地址1.1.1.2-SA3信息”的映射关系。其中,SA3信息是总部设备110针对分支设备121生成的SA信息。
在本实施例中,各分支设备通过向总部设备进行信息注册,使得总部设备能够将各分支设备的公网地址、接口地址与SA信息形成映射关系,以便于后续分支设备向总部设备查询其他分支设备的关键信息。
在上文提供的实施例的基础上,关于关键信息的获取过程,在一些实施例中,步骤222关键信息的获取可以包括:
向所述总部设备发送携带所述目标接口地址的请求信息;接收所述总部设备根据所述目标接口地址返回的目标分支设备的关键信息。
当分支设备需要利用目标分支设备的关键信息对第一业务报文进行封装时,分支设备可以向总部设备发送请求信息。请求信息用于向总部设备请求返回目标分支设备的关键信息。其中,由于分支设备在者步骤221中确定了目标分支设备的IPSec隧道接口的目标接口地址,因此可以将目标接口地址携带在请求信息中。
总部设备接收到携带目标接口地址的请求信息后,可以根据目标接口地址查询映射关系,得到与目标接口地址对应的关键信息。其中,关键信息包括目标分支设备的目标公网地址与目标SA信息。可知,目标公网地址实际上是目标分支设备在向总部设备进行注册时包括在向总部设备发送的注册信息中。目标SA信息是总部设备针对目标分支设备生成的。最后,总部设备将根据目标接口地址查询到的目标分支设备的目标公网地址与目标SA信息作为关键信息向分支设备返回。
在本实施例中,在各分支设备向总部设备进行信息注册,以及分支设备通过路由查找获取到目标分支设备目标接口地址的基础上,分支设备可以向总部设备请求目标分支设备的关键信息。使得分支设备能够利用关键信息对第一业务报文进行封装,从而实现了分支设备之间无需建立IPSec隧道也能进行业务交互。
考虑到分支设备之间一次业务交互可能会涉及多次业务报文收发,为了避免多次向总部设备请求同一目标分支设备的关键信息,分支设备可以将从总部设备获取到的关键信息存储在本地。如此,关于关键信息的获取过程,在一些实施例中,步骤222关键信息的获取可以包括:
根据所述目标接口地址在本地查询所述目标分支设备的关键信息。
由于某一分支设备可能同时与多个目标分支设备进行业务交互,因此分支设备在存储关键信息时,可以存储其他分支设备IPSec隧道接口的接口地址与其关键信息的映射关系。如此,当需要获取目标分支设备的关键信息时,可以根据目标分支设备IPSec隧道接口的目标接口地址、以及预存的映射关系查询目标分支设备的关键信息。
可选地,在需要获取目标分支设备的关键信息时,可以首先根据目标接口地址在本地查询关键信息。若在本地未查询到,再利用目标接口地址向总部设备请求目标分支设备的关键信息,并在本地存储目标接口地址与获取的关键信息的映射关系。
继续以上文举例作为例子,当分支设备121需要获取目标分支设备122的关键信息时,首先可以根据目标接口地址1.1.1.3在本地查询目标分支设备122的关键信息。若查询得到,则利用关键信息对第一业务报文进行封装。若未在本地查询到,则分支设备121向总部设备110发送携带目标接口地址1.1.1.3的请求信息。
由于总部设备110存储有“公网地址30.0.0.1-接口地址1.1.1.3-SA1信息”的映射关系,因此根据请求信息中的目标接口地址1.1.1.3,可以查询到对应的公网地址30.0.0.1与SA1信息。随后总部设备110可以将查询到的公网地址30.0.0.1与SA1信息作为关键信息返回至分支设备121。
分支设备121在接收到总部设备110返回的关键信息后,可以存储“接口地址1.1.1.3-关键信息”的映射关系。如此,在后续分支设备121再次需要使用目标分支设备122的关键信息时,便可在根据目标接口地址1.1.1.3在本地查询到相应的关键信息。
在本实施例中,分支设备通过将从总部设备获取的关键信息存储在本地,使得在分支设备需要重复使用目标分支设备的关键信息时可以直接从本地获取,避免了反复向总部设备请求关键信息,提高了第一业务报文的封装效率。
在一些实施例中,当组网中分支设备较多时,若某一分支设备持久化存储着其他分支设备的关键信息,则会占用较多的内存资源。为此,基于上述任意实施例提供的一种业务交互方法,还包括步骤:响应于满足预设条件,删除所述关键信息。
其中,预设条件可以由本领域技术人员根据实际情况进行设定。例如预设条件可以包括但不限于:达到关键信息的生存周期、关键信息的剩余存储空间小于预设阈值、结束分支设备与目标分支设备间交互中的一项或多项。
关于第一业务报文的封装过程,在一些实施例中,如上所述,关键信息包括目标分支设备的目标公网地址与目标SA信息。其中,目标SA信息是总部设备针对目标分支设备生成。如此,步骤230中封装过程包括如图5所示的步骤:
步骤231:利用所述目标SA信息中的加密信息对所述第一业务报文进行加密;
步骤232:利用所述目标公网地址封装加密后的第一业务报文,得到目标业务报文。
如上所述,SA信息中包括了对等体间传输数据协议采用的加密和验证算法、密钥等信息。因此分支设备在获取到包括目标公网地址与目标SA信息的关键信息后,首先可以利用目标SA信息中的加密信息对第一业务报文进行加密。然后再利用目标公网地址封装加密后的第一业务报文,得到目标业务报文。其中,可以利用目标公网地址生成新的IP头,加密后第一业务报文与新的IP头组成目标业务报文。
从上述封装过程可知,分支设备利用了总部设备针对目标分支设备生成的目标SA信息中的加密信息对第一业务报文进行加密。因此相应地,当目标分支设备接收到总部设备转发的目标业务报文时,可以使用其针对总部设备生成的SA信息中的解密信息进行解密。
如在上述例子中,分支设备121利用了总部设备110针对目标分支设备122生成的SA1信息中的加密信息(即Outbound SA_Y)对第一业务报文进行加密。则目标分支设备122可以利用其针对总部设备生成的SA2信息中的解密信息(即Inbound SA_Y)进行解密。
从目标分支设备的角度来看,当目标分支设备接收业务报文时,不管该业务报文是由总部设备生成的,还是由其他分支设备生成的,目标分支设备都是使用相同的方法来解封装与解密业务报文。实际上,当分支设备要向目标分支设备发送第一业务报文时,可以认为分支设备是利用了总部设备的身份,或者说“假装”成总部设备来实现与目标分支设备的业务交互。也正因如此,分支设备在加密第一业务报文时,使用的是总部设备针对目标分支设备生成的SA信息。
如在上述例子中,分支设备121利用了总部设备110的身份,“假装”成总部设备110来与分支设备122进行业务交互。由于总部设备110向分支设备122发送业务报文时,使用的是SA1信息中的加密信息对业务报文进行加密,因此当分支设备121利用总部设备110的身份,“假装”成总部设备110来向分支设备122发送第一业务报文时,使用的同样是SA1信息中的加密信息对第一业务报文进行加密。
可见本实施例中通过利用总部设备针对目标分支设备生成的目标SA信息中的加密信息对第一业务报文进行加密,利用目标公网地址对加密后第一业务报文进行封装,使得分支设备可以利用总部设备的身份来实现与目标分支设备的业务交互,而分支设备之间无需建立IPSec隧道。
在一些实施例中,在分支设备向目标分支设备发送目标业务报文后,可能会接收到目标分支设备返回的第二业务报文。如此,基于上述任意实施例提供的一种业务交互方法,还包括如图6所示的步骤:
步骤610:接收所述目标分支设备发送的第二业务报文;
步骤620:利用所述目标SA信息中的解密信息对所述第二业务报文进行解密。
当目标分支设备针对目标业务报文反馈第二业务报文时,会利用目标分支设备针对总部设备生成的SA信息中的加密信息对第二业务报文进行加密。如此,分支设备可以相应地使用目标SA信息,也即总部设备针对目标分支设备生成的SA信息,中的解密信息对第二业务报文进行解密。
如在上述例子中,当目标分支设备122针对目标业务报文反馈第二业务报文时,会使用目标分支设备122针对总部设备110生成的SA2信息中的加密信息(即Outbound SA_X)对第二业务报文进行加密。因此相应地,分支设备121可以使用SA1信息中的解密信息(即Inbound SA_X)对加密后的第二业务报文进行解密。
在本实施例中,对于目标分支设备返回的第二业务报文,分支设备可以利用目标SA信息中的解密信息来进行解密,由此实现了分支设备之间业务报文互发,实现业务交互。
本申请第二方面提供的一种业务交互方法,应用于如图1所示的总部设备110。该方法用于实现多个分支设备之间进行业务交互。多个分支设备,例如分支设备121与分支设备122,分别与总部设备110建立有IPSec隧道。
图7示出了第二方面提供的一种业务交互方法的流程示意图,包括以下步骤:
步骤710:响应于接收到分支设备发送的第三业务报文,获取所述第三业务报文的目的地址;
其中,所述第三业务报文是所述分支设备封装后的报文;
步骤721:若所述目的地址指向所述总部设备,解封装所述第三业务报文;
步骤722:若所述目的地址指向目标分支设备,则将所述第三业务报文转发至所述目标分支设备。
当总部设备接收到某一分支设备发送的第三业务报文时,需要区分第三业务报文是总部设备与该分支设备之间交互的业务报文,还是该分支设备与其他分支设备之间交互的业务报文。
总部设备可以根据第三业务报文的目的地址进行区分。其中,由于第三业务报文是分支设备封装后的报文,那么第三业务报文符合IPSec隧道收发报文的格式。因此,第三业务报文的目的地址可以是封装后的目的地址,也即新IP头中的公网地址。
若目的地址指向总部设备,例如目的地址为总部设备的公网地址,说明第三业务报文是总部设备与该分支设备之间交互的业务报文。如此总部设备可以解封装第三业务报文。
若目的地址指向其他分支设备,例如目的地址为其他分支设备的公网地址,说明第三业务报文是分支设备之间交互的业务报文。此时,第三业务报文也即上文实施例所述的由分支设备对第一业务报文封装后得到的目标业务报文。而第三业务报文目的地址所指向的其他分支设备,也即上文实施例所述的目标分支设备。此时,总部设备起到报文转发的作用,可以将第三业务报文转发至目的地址指向的目标分支设备。示例性地,总部设备利用与目标分式设备之间建立的IPSec隧道将目标业务报文发送至目标分支设备。
可见,本申请提供的一种业务交互方法,多个分支设备与总部设备之间建立有IPSec隧道,当分支设备之间需要进行业务交互时,业务发起方所在分支的分支设备通过封装业务报文得到第三业务报文,使得第三业务报文符合IPSec隧道收发报文的格式。总部设备根据第三报文目的地址所指向的设备分别做出不同的处理。在目的地址指向目标分支设备的情况下,总部设备起到了报文转发的功能,从而在分支设备之间无需建立IPSec隧道的情况下,也能实现分支设备之间的业务交互。
关于IPSec隧道的建立,在一些实施例中,包括如图8所示的步骤:
步骤810:创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;
步骤820:针对多个所述分支设备中的每个,生成与所述分支设备对应的SA信息,并与所述分支设备建立IPSec隧道;
步骤830:响应于接收到分支设备发送的注册信息,利用所述注册信息与所述分支设备对应的SA信息进行注册。
其中,所述注册信息包括所述分支设备的公网地址与配置的接口地址。
示例性地,上述步骤810-步骤830可以在分支设备之间进行业务交互前执行。
各个分支设备分别与总部设备建立IPSec隧道时,首先从整体上规划组网中所有设备的IPSec隧道接口。具体地,各个分支设备与总部设备分别创建IPSec隧道接口,然后分别配置IPSec隧道接口的接口地址。
随后,由于总部设备与多个分支设备中每个都建立对应的IPSec隧道,因此针对每个分支设备,总部设备生成与该分支设备对应的SA信息,也即上文所说的总部设备针对该分支设备生成的SA信息,并与每个分支设备建立IPSec隧道。其中,分支设备与总部设备IPSec隧道建立时所进行的协商、认证等过程可以参考相关技术,本申请在此不进行展开。
在建立IPSec隧道后,所有到达IPSec隧道接口的报文都将进行IPSec保护,也即进行基于ipsec协议的加密转发。
随后,总部设备响应于接收到某分支设备发送的注册信息,会利用接收的注册信息以及针对该分支设备生成的SA信息进行注册。注册信息包括该分支设备的公网地址与配置的接口地址。所谓注册,例如可以是存储注册信息与SA信息的映射关系,也即存储该分支设备的接口地址、公网地址与SA信息的映射关系。如此,当多个分支设备均在总部设备进行注册时,最终总部设备可以获取到包括多条映射关系的映射表。
在本实施例中,在建立IPSec隧道时,总部设备将各分支设备发送的注册信息进行注册,从而将各分支设备的公网地址、接口地址与SA信息形成映射关系并存储,以便于后续总部设备为分支设备提供查询其他分支设备关键信息的功能。
在一些实施例中,在图8所示实施例的基础上,上述方法还包括如图9所示的步骤:
步骤910:响应于接收到分支设备发送的请求信息,获取所述请求信息携带的目标接口地址;
步骤920:获取所述目标接口地址所指示的目标分支设备的关键信息;
其中,所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息;所述目标SA信息是所述总部设备针对所述目标分支设备生成的;
步骤930:向所述分支设备返回所述关键信息。
示例性地,上述步骤910-930可以在完成建立总部设备与分支设备之间的IPSec隧道后执行。
当分支设备需要利用目标分支设备的关键信息对第一业务报文进行封装时,会向总部设备发送请求信息。请求信息用于向总部设备请求返回目标分支设备的关键信息。请求信息中携带了目标分支设备的目标接口地址。
而总部设备在步骤830中进行了信息注册,存储有多个分支设备的接口地址、公网地址与SA信息的映射关系。因此总部设备在接收到分支设备发送的请求信息后,可以将从请求信息中获取的目标接口地址与预存的映射关系进行匹配,得到与目标接口地址对应的关键信息。该关键信息包括目标分支设备的目标公网地址与目标SA信息。最后向分支设备返回匹配得到的关键信息。
在本实施例中,总部设备通过查找预存的映射关系,为分支设备提供查询其他分支设备关键信息的功能,使得分支设备能够利用关键信息对第一业务报文进行封装,从而实现了分支设备之间无需建立IPSec隧道也能进行业务交互。
本申请第三方面提供的一种业务系统,包括总部设备、以及多个分别与总部设备建立有IPSec隧道的分支设备。作为其中一个实施例,可以是如图1所示的业务系统100。
其中,所述分支设备用于获取待发送的第一业务报文;以及
根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;以及
利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;以及
将所述目标业务报文发送至所述总部设备;
所述总部设备,用于根据所述目标业务报文的目的地址,将所述目标业务报文发送至所述目标分支设备。
在一些实施例中,所述分支设备还用于:
创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;以及
与所述总部设备建立IPSec隧道;以及
向所述总部设备发送注册信息,所述注册信息包括所述分支设备的公网地址与配置的接口地址,以使所述总部设备利用所述注册信息、以及针对所述分支设备生成的安全联盟SA信息进行注册。
在一些实施例中,所述分支设备还用于:
获取多个所述分支设备配置的接口地址,并利用获取的接口地址进行路由配置;
根据所述目的地址进行路由查找,确定所述目标分支设备的IPSec隧道接口的目标接口地址;
根据所述目标接口地址获取所述目标分支设备的关键信息。
在一些实施例中,所述分支设备具体用于:
根据所述目标接口地址在本地查询所述目标分支设备的关键信息;或者
向所述总部设备发送携带所述目标接口地址的请求信息;接收所述总部设备根据所述目标接口地址返回的目标分支设备的关键信息。
在一些实施例中,所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息,所述目标SA信息是所述总部设备针对所述目标分支设备生成的;所述分支设备具体用于:
利用所述目标SA信息中的加密信息对所述第一业务报文进行加密;
利用所述目标公网地址封装加密后的第一业务报文,得到目标业务报文。
在一些实施例中,所述分支设备还用于:
接收所述目标分支设备发送的第二业务报文;
利用所述目标SA信息中的解密信息对所述第二业务报文进行解密。
在一些实施例中,所述分支设备还用于:
响应于满足预设条件,删除所述关键信息。
在一些实施例中,所述总部设备还用于:
创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;以及
针对多个所述分支设备中的每个,生成与所述分支设备对应的SA信息,并与所述分支设备建立IPSec隧道;以及
响应于接收到分支设备发送的注册信息,利用所述注册信息与所述分支设备对应的SA信息进行注册;所述注册信息包括所述分支设备的公网地址与配置的接口地址。
在一些实施例中,所述总部设备还用于:
响应于接收到分支设备发送的请求信息,获取所述请求信息携带的目标接口地址;以及
获取所述目标接口地址所指示的目标分支设备的关键信息;所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息;所述目标SA信息是所述总部设备针对所述目标分支设备生成的;以及
向所述分支设备返回所述关键信息。
上述系统中各个设备的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本申请第四方面提供的一种业务交互装置,用于实现多个分支设备之间进行业务交互;所述装置应用于所述分支设备;多个所述分支设备分别与总部设备建立有互联网安全协议IPSec隧道。如图10所示,一种业务交互装置1000包括:
第一报文获取模块1010,用于获取待发送的第一业务报文;
关键信息获取模块1020,用于根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;
封装模块1030,用于利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;
发送模块1040,用于通过所述总部设备向所述目标分支设备发送所述目标业务报文。
在一些实施例中,一种业务交互装置1000还包括隧道建立模块,用于:
创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;
与所述总部设备建立IPSec隧道;
向所述总部设备发送注册信息,所述注册信息包括所述分支设备的公网地址与配置的接口地址,以使所述总部设备利用所述注册信息、以及针对所述分支设备生成的安全联盟SA信息进行注册。
在一些实施例中,一种业务交互装置1000还包括路由配置模块,用于:
获取多个所述分支设备配置的接口地址,并利用获取的接口地址进行路由配置;
关键信息获取模块1020具体用于:
根据所述目的地址进行路由查找,确定所述目标分支设备的IPSec隧道接口的目标接口地址;
根据所述目标接口地址获取所述目标分支设备的关键信息。
在一些实施例中,关键信息获取模块1020具体用于:
根据所述目标接口地址在本地查询所述目标分支设备的关键信息;或者
向所述总部设备发送携带所述目标接口地址的请求信息;接收所述总部设备根据所述目标接口地址返回的目标分支设备的关键信息。
在一些实施例中,所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息,所述目标SA信息是所述总部设备针对所述目标分支设备生成的;封装模块1030具体用于:
利用所述目标SA信息中的加密信息对所述第一业务报文进行加密;
利用所述目标公网地址封装加密后的第一业务报文,得到目标业务报文。
在一些实施例中,一种业务交互装置1000还包括接收模块,用于:
接收所述目标分支设备发送的第二业务报文;
利用所述目标SA信息中的解密信息对所述第二业务报文进行解密。
在一些实施例中,一种业务交互装置1000还包括删除模块,用于:
响应于满足预设条件,删除所述关键信息。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本申请第五方面提供的一种业务交互装置,用于实现多个分支设备之间进行业务交互;多个所述分支设备分别与总部设备建立有IPSec隧道;所述装置应用于所述总部设备。如图11所示,一种业务交互装置1100包括:
第二报文获取模块1110,用于响应于接收到分支设备发送的第三业务报文,获取所述第三业务报文的目的地址;所述第三业务报文是所述分支设备封装后的报文;
解封装模块1120,用于若所述目的地址指向所述总部设备,解封装所述第三业务报文;
转发模块1130,用于若所述目的地址指向目标分支设备,则将所述第三业务报文转发至所述目标分支设备。
在一些实施例中,一种业务交互装置1100还包括建立模块,用于:
创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;
针对多个所述分支设备中的每个,生成与所述分支设备对应的SA信息,并与所述分支设备建立IPSec隧道;
响应于接收到分支设备发送的注册信息,利用所述注册信息与所述分支设备对应的SA信息进行注册;所述注册信息包括所述分支设备的公网地址与配置的接口地址。
在一些实施例中,一种业务交互装置1100还包括查询模块,用于:
响应于接收到分支设备发送的请求信息,获取所述请求信息携带的目标接口地址;
获取所述目标接口地址所指示的目标分支设备的关键信息;所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息;所述目标SA信息是所述总部设备针对所述目标分支设备生成的;
向所述分支设备返回所述关键信息。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
基于上述第一方面、第二方面任意实施例所述的一种业务交互方法,本申请第六方面还提供了如图12所示的一种电子设备的结构示意图。如图12,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述第一方面任意实施例所述的一种业务交互方法、和/或上述第二方面任意实施例所述的一种业务交互方法。
在一些实施例中,一种电子设备可以是分支设备,例如是如图1所示的分支设备121或分支设备122。分支设备中的处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述第一方面任意实施例所述的一种业务交互方法
在一些实施例中,一种电子设备可以是总部设备,例如是如图1所示的总部设备110。总部设备中的处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述第二方面任意实施例所述的一种业务交互方法
本申请第七方面还提供了一种计算机存储介质,存储介质存储有计算机程序,计算机程序被处理器执行时可用于执行上述第一方面任意实施例所述的一种业务交互方法、和/或上述第二方面任意实施例所述的一种业务交互方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (15)

1.一种业务交互方法,其特征在于,所述方法用于实现多个分支设备之间进行业务交互;所述方法应用于所述分支设备;多个所述分支设备分别与总部设备建立有互联网安全协议IPSec隧道;所述方法包括:
获取待发送的第一业务报文;
根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;
利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;
通过所述总部设备向所述目标分支设备发送所述目标业务报文。
2.根据权利要求1所述的方法,其特征在于,所述IPSec隧道的建立过程包括以下步骤:
创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;
与所述总部设备建立IPSec隧道;
向所述总部设备发送注册信息,所述注册信息包括所述分支设备的公网地址与配置的接口地址,以使所述总部设备利用所述注册信息、以及针对所述分支设备生成的安全联盟SA信息进行注册。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取多个所述分支设备配置的接口地址,并利用获取的接口地址进行路由配置;
所述根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息,包括:
根据所述目的地址进行路由查找,确定所述目标分支设备的IPSec隧道接口的目标接口地址;
根据所述目标接口地址获取所述目标分支设备的关键信息。
4.根据权利要求3所述的方法,其特征在于,所述根据所述目标接口地址获取所述目标分支设备的关键信息,包括:
根据所述目标接口地址在本地查询所述目标分支设备的关键信息;或者
向所述总部设备发送携带所述目标接口地址的请求信息;接收所述总部设备根据所述目标接口地址返回的目标分支设备的关键信息。
5.根据权利要求2所述的方法,其特征在于,所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息,所述目标SA信息是所述总部设备针对所述目标分支设备生成的;
所述利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文,包括:
利用所述目标SA信息中的加密信息对所述第一业务报文进行加密;
利用所述目标公网地址封装加密后的第一业务报文,得到目标业务报文。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收所述目标分支设备发送的第二业务报文;
利用所述目标SA信息中的解密信息对所述第二业务报文进行解密。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于满足预设条件,删除所述关键信息。
8.一种业务交互方法,其特征在于,所述方法用于实现多个分支设备之间进行业务交互;多个所述分支设备分别与总部设备建立有IPSec隧道;所述方法应用于所述总部设备,所述方法包括:
响应于接收到分支设备发送的第三业务报文,获取所述第三业务报文的目的地址;所述第三业务报文是所述分支设备封装后的报文;
若所述目的地址指向所述总部设备,解封装所述第三业务报文;
若所述目的地址指向目标分支设备,则将所述第三业务报文转发至所述目标分支设备。
9.根据权利要求8所述的方法,其特征在于,所述IPSec隧道的建立过程包括以下步骤:
创建IPSec隧道接口,并配置所述IPSec隧道接口的接口地址;
针对多个所述分支设备中的每个,生成与所述分支设备对应的SA信息,并与所述分支设备建立IPSec隧道;
响应于接收到分支设备发送的注册信息,利用所述注册信息与所述分支设备对应的SA信息进行注册;所述注册信息包括所述分支设备的公网地址与配置的接口地址。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
响应于接收到分支设备发送的请求信息,获取所述请求信息携带的目标接口地址;
获取所述目标接口地址所指示的目标分支设备的关键信息;所述关键信息包括所述目标分支设备的目标公网地址和目标SA信息;所述目标SA信息是所述总部设备针对所述目标分支设备生成的;
向所述分支设备返回所述关键信息。
11.一种业务系统,其特征在于,所述业务系统包括总部设备、以及多个分别与所述总部设备建立有IPSec隧道的分支设备;
所述分支设备,用于获取待发送的第一业务报文;以及
根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;以及
利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;以及
将所述目标业务报文发送至所述总部设备;
所述总部设备,用于根据所述目标业务报文的目的地址,将所述目标业务报文发送至所述目标分支设备。
12.一种业务交互装置,其特征在于,所述装置用于实现多个分支设备之间进行业务交互;所述装置应用于所述分支设备;多个所述分支设备分别与总部设备建立有互联网安全协议IPSec隧道;所述装置包括:
第一报文获取模块,用于获取待发送的第一业务报文;
关键信息获取模块,用于根据所述第一业务报文的目的地址,确定接收所述第一业务报文的目标分支设备,并获取所述目标分支设备的关键信息;
封装模块,用于利用所述关键信息对所述第一业务报文进行封装,得到目标业务报文;
发送模块,用于通过所述总部设备向所述目标分支设备发送所述目标业务报文。
13.一种业务交互装置,其特征在于,所述装置用于实现多个分支设备之间进行业务交互;多个所述分支设备分别与总部设备建立有IPSec隧道;所述装置应用于所述总部设备,所述装置包括:
第二报文获取模块,用于响应于接收到分支设备发送的第三业务报文,获取所述第三业务报文的目的地址;所述第三业务报文是所述分支设备封装后的报文;
解封装模块,用于若所述目的地址指向所述总部设备,解封装所述第三业务报文;
转发模块,用于若所述目的地址指向目标分支设备,则将所述第三业务报文转发至所述目标分支设备。
14.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器调用所述可执行指令时实现权利要求1-7、或权利要求8-10任一所述方法的操作。
15.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,所述计算机指令被处理器执行时实现权利要求1-7、或权利要求8-10任一所述方法的步骤。
CN202310457485.6A 2023-04-25 2023-04-25 一种业务交互方法、装置、业务系统、电子设备及介质 Pending CN116346769A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310457485.6A CN116346769A (zh) 2023-04-25 2023-04-25 一种业务交互方法、装置、业务系统、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310457485.6A CN116346769A (zh) 2023-04-25 2023-04-25 一种业务交互方法、装置、业务系统、电子设备及介质

Publications (1)

Publication Number Publication Date
CN116346769A true CN116346769A (zh) 2023-06-27

Family

ID=86884263

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310457485.6A Pending CN116346769A (zh) 2023-04-25 2023-04-25 一种业务交互方法、装置、业务系统、电子设备及介质

Country Status (1)

Country Link
CN (1) CN116346769A (zh)

Similar Documents

Publication Publication Date Title
US11522838B2 (en) Secure end-to-end transport through in intermediary nodes
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
US8346949B2 (en) Method and system for sending a message through a secure connection
CN108769292B (zh) 报文数据处理方法及装置
EP3171539B1 (en) Transparent encryption in a content centric network
CN101420423A (zh) 网络系统
WO2019129201A1 (en) Session management for communications between a device and a dtls server
CN109981820B (zh) 一种报文转发方法及装置
CN106878278B (zh) 一种报文处理方法及装置
WO2015131609A1 (zh) 一种实现L2TP over IPsec接入的方法
US9473466B2 (en) System and method for internet protocol security processing
WO2017185978A1 (zh) 一种报文解析方法及设备
JP2009518955A (ja) アドレスコンポーネントのカプセル化
CN106161386B (zh) 一种实现IPsec分流的方法和装置
CN113347198B (zh) Arp报文处理方法、装置、网络设备及存储介质
CN114142995B (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN110832806B (zh) 针对面向身份的网络的基于id的数据面安全
CN112217769B (zh) 基于隧道的数据解密方法、加密方法、装置、设备和介质
CN117254976A (zh) 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备
CN114039812B (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
US7864770B1 (en) Routing messages in a zero-information nested virtual private network
WO2022166979A1 (zh) 报文处理方法、客户端设备、服务器端设备和计算机可读介质
Burgstaller et al. Anonymous communication in the browser via onion-routing
CN116346769A (zh) 一种业务交互方法、装置、业务系统、电子设备及介质
CN114143038A (zh) 面向区块链中继通信网络的密钥安全分发方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination