WO2018121528A1

WO2018121528A1 - 报文处理

Info

Publication number: WO2018121528A1
Application number: PCT/CN2017/118627
Authority: WO
Inventors: 周英; 吴文; 晁岳磊
Original assignee: 新华三技术有限公司
Priority date: 2016-12-26
Filing date: 2017-12-26
Publication date: 2018-07-05
Also published as: US20190372899A1; EP3547626A4; CN108243115A; CN108243115B; US10992584B2; EP3547626A1; JP2020503763A; EP3547626B1; JP6824417B2

Abstract

本公开提供一种报文处理方法及装置，其中，根据该方法的示例，接收用户主机发来的HTTPS报文，并根据HTTPS报文的源IP地址和目的IP地址查找与该HTTPS报文匹配的未上线用户会话表项。在查找到未上线用户会话表项的情况下，若判断出该未上线用户会话表项所对应的用户会话尚不具有令牌，则从第一令牌桶中获取令牌，其中，第一令牌桶中的令牌数量根据接入网关设备的CPU处理能力设定。在令牌获取成功时，将该HTTPS报文上送给CPU进行处理。在令牌获取失败时，将该HTTPS报文丢弃。

Description

报文处理

相关申请的交叉引用

本专利申请要求于2016年12月26日提交的、申请号为201611220634.3、发明名称为“报文处理方法及装置”的中国专利申请的优先权，该申请的全文以引用的方式并入本文中。

背景技术

门户(Portal)认证是一种灵活的网络访问控制技术，通过网页(Web)页面获取用户的用户名和密码，对用户进行身份认证，以达到访问控制的目的。用户主机(或Portal客户端)可以使用HTTP(HyperText Transfer Protocol，超文本传输协议)或者HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，基于安全套接层的HTTP)访问外部网络，例如，Internet(互联网)。

当使用HTTPS访问Internet时，用户主机会发出HTTPS报文。BRAS(Broadband Remote Access Server，宽带远程接入服务器)设备接收到该报文后，可判断用户是否已经认证过。若尚未进行Portal认证，则BRAS设备会仿冒用户主机所访问的Web服务器来与用户主机建立TCP(Transmission Control Protocol，传输控制协议)连接和SSL(Secure Socket Layer，安全套接层)连接，并且可向用户主机推送重定向页面，以便用户在该重定向页面中输入用户名和密码。

后续，BRAS设备可与Portal服务器进行交互，使用用户输入的用户名和密码完成对用户的Portal认证，在认证通过后用户上线，用户主机可以正常访问Internet。

附图说明

图1是本公开一示例性实施例示出的报文处理方法的流程图；

图2是本公开另一示例性实施例示出的报文处理方法的流程图；

图3是本公开一示例性实施例示出的硬件层面对HTTPS报文进行匹配的示意图；

图4是本公开一示例性实施例示出的报文处理装置所在接入网关设备的结构示意图；

图5是本公开一示例性实施例示出的接入网关设备的一种结构示意图；

图6是本公开一示例性实施例示出的接入网关设备的另一种结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在基于HTTPS的TCP仿冒过程中，用户主机与BRAS设备之间的报文交互很多。这样，当短时间内有大量用户需要上线时，BRAS设备的CPU处理负担会急剧增加。当超出了CPU的正常处理能力时，就会导致设备瘫痪。为了解决上述问题，本公开以下实施例中提供了一种报文处理方法，以及一种可以应用该方法的报文处理装置。

本公开实施例的方法可以由BRAS设备等接入网关设备来执行。在该方法中，接入网关设备接收用户主机发来的HTTPS报文；查找与该HTTPS报文匹配的未上线用户会话表项；在查找到所述匹配的未上线用户会话表项的情况下，若判断出该未上线用户会话表项所对应的用户会话尚未获取到令牌，则从第一令牌桶中获取令牌，其中，第一令牌桶中的令牌数量根据接入网关设备的CPU处理能力设定；在令牌获取成功时，将该HTTPS报文上送给CPU进行处理，在令牌获取失败时，将该HTTPS报文丢弃。这样，设置了第一令牌桶，第一令牌桶中的令牌数量根据接入网关设备的CPU处理能力来设定，并且，新增了未上线用户会话表项来记录未上线用户的会话信息。可以限制上送CPU的HTTPS报文数量，只有获取到了令牌的用户会话的HTTPS报文才上送给CPU进行处理，而未获取到令牌的用户会话的HTTPS 报文会直接丢弃、而不会上送给CPU进行处理，从而实现了对上送CPU的HTTPS报文的限流。在短时间内有大量用户需要上线时，能够减轻接入网关设备的CPU处理负担，确保CPU实际负荷不会超出正常处理能力。

一种实施例中，可预先设置一个第一令牌桶，第一令牌桶中的令牌数量根据接入网关设备的CPU处理能力来设定，CPU处理能力越大，第一令牌桶中的令牌数量越多。此时，如图1所示，接入网关设备执行的报文处理方法包括以下步骤：

步骤S101，可接收用户主机发来的HTTPS报文，根据该HTTPS报文的源IP地址和目的IP地址，查找匹配的未上线用户会话表项。

本公开实施例中用户会话通过源IP地址和目的IP地址来被标识，一个未上线用户会话表项对应于一个用户会话。

步骤S102，可判断是否查找到了匹配的未上线用户会话表项，若否，则执行步骤S103，若是，则执行步骤S104；

步骤S103，可配置包含该源IP地址和目的IP地址的未上线用户会话表项，之后退出本流程；

假设，步骤S101中接收到的HTTPS报文的源IP地址为IP11，目的IP地址为IP12，则，在步骤S103中配置的未上线用户会话表项可以参见表1所示：

表1

表1中的令牌桶标识ID用于记录用于获取令牌的令牌桶的ID，令牌桶ID的初始值可以为0，也可以为第一令牌桶的ID；令牌ID为用于记录获取到的令牌的ID，令牌ID的初始值可以为0，当令牌ID为0时表示该表项所对应的用户会话尚未获取到令牌。

或者，还可以在表1中设置一个获取标记，用于指示该表项所对应的用户会话是否已经获取到了令牌，该获取标记的初始值可以设置为表示对应用户会话尚未获取到令牌的值。

步骤S104，可判断该未上线用户会话表项所对应的用户会话是否已经获取到了令牌，若尚未获取到令牌，则执行步骤S105，若已经获取到了令牌，则执行步骤S109；

其中，可以采用方式一或方式二来判断未上线用户会话表项所对应的用户会话是否已经获取到了令牌：

方式一、若该表项中的令牌ID为初始值，则确定该表项所对应的用户会话尚未获取到令牌，否则，确定该表项所对应的用户会话已经获取到了令牌；

方式二、通过该表项中的获取标记来判断该表项所对应的用户会话是否已经获取到了令牌。

步骤S105，可从第一令牌桶中获取一个令牌；

步骤S106，可判断令牌获取是否成功，若是，则执行步骤S107，否则，执行步骤S108；

如果第一令牌桶中还存在令牌，则此时可以从第一令牌桶中成功获取到令牌，否则，如果第一令牌桶中不存在令牌，则此时无法从第一令牌桶中获取到令牌。

步骤S107，可将该HTTPS报文上送给CPU进行处理，将该未上线用户会话表项中的令牌ID更新为获取到的令牌的ID，之后退出本流程；

在步骤S107中，如果该未上线用户会话表项中的令牌桶ID为0，则可将该令牌桶ID更新为第一令牌桶的ID；若该表项中还包含获取标记，则可将该获取标记更新为表示对应用户会话已经获取到了令牌的值。

步骤S108，可将该HTTPS报文丢弃，之后退出本流程；

步骤S109，可将该HTTPS报文上送给CPU进行处理，之后退出本流程。

在基于HTTPS的TCP仿冒过程中，接入网关设备每次接收到用户主机发来的HTTPS报文后，均按照如图1所示的方法进行处理。后续，用户Portal认证通过，用户上线，此时会删除源IP地址为用户主机IP地址IP11的未上线用户会话表项，释放这些表项所对应的用户会话获取到的令牌，将释放的令牌回收到第一令牌桶中。

另外，在步骤S103中配置未上线用户会话表项时，还可以开启对应的定时器，以使该定时器开始计时。当该定时器的计时时间到达预定老化时间T时，此时用户仍然没有上线，若该表项所对应的用户会话已经获取到了令牌，则需要释放该令牌，将释放的令牌回收到第一令牌桶中，将该表项中的令牌ID置为初始值，重启该定时器，以使该定时器重新开始计时。另外，在该表项中包含获取标记时，还会将该获取标记更新为表示对应用户会话尚未获取到令牌的值。这样，后续再接收到该用户对话对应的HTTPS报文时需要重新获取令牌。在这种情况下，如以下参照表2所描述的，未上线用户会话表项还可以包括老化时间T。

另一种实施例中，可预先设置一个第一令牌桶和一个第二令牌桶。第一令牌桶中的令牌数量根据接入网关设备的CPU处理能力来设定，CPU处理能力越大，第一令牌桶中的令牌数量越多。第二令牌桶中的令牌数量很少、远少于第一令牌桶中的令牌数量，第二令牌桶中令牌的具体数量可以根据实际情况进行预先设定。第一令牌桶用于限制正常未上线用户会话的数量，第二令牌桶用于限制异常未上线用户会话的数量。此时，如图2所示，接入网关设备执行的报文处理方法包括以下步骤：

步骤S201，接收用户主机发来的HTTPS报文，根据该HTTPS报文的源IP地址和目的IP地址，查找匹配的未上线用户会话表项；

步骤S202，可判断是否查找到了匹配的未上线用户会话表项，若否，则执行步骤S203，若是，则执行步骤S204；

步骤S203，可配置包含该源IP地址和目的IP地址的未上线用户会话表项，之后退出本流程；

假设，步骤S201中接收到的HTTPS报文的源IP地址为IP11，目的IP地址为IP12，则，在步骤S203中配置的未上线用户会话表项可以参见表2所示：

表2

表2中的令牌桶ID用于记录用于获取令牌的令牌桶的ID，令牌桶ID的初始值可以为0，也可以为第一令牌桶的ID；

令牌ID用于记录获取到的令牌的ID，令牌ID的初始值可以为0，当令牌ID为0时表示该表项所对应的用户会话尚未获取到令牌；

SCount用于记录令牌获取成功的次数，每获取到一次令牌，可将SCount的值增加单位量，例如，将SCount的值加1，并且可将FCount的值置为初始值；其中，SCount和FCount的初始值可以为0；

FCount用于记录老化时间T内连续获取令牌失败的次数，每次获取令牌失败，可将FCount的值增加单位量，例如，将FCount的值加1；

老化时间T：在配置如表2所示的未上线用户会话表项时，可开启一个定时器，该定时器的计时总时长为预定老化时间T；当该定时器的计时时间到达T时，释放该表项所对应的用户会话获取到的令牌，将令牌ID置为初始值，将FCount的值置为初始值。

或者，还可以在表2中设置一个获取标记，用于指示该表项所对应的用户会话是否已经获取到了令牌，该获取标记的初始值可以设置为表示对应用户会话尚未获取到令牌的值。

步骤S204，可判断该未上线用户会话表项所对应的用户会话是否已经获取到了令牌，若尚未获取到令牌，则执行步骤S205，若已经获取到了令牌，则执行步骤S211；

其中，可以采用上述方式一或上述方式二来判断未上线用户会话表项所对应的用户会话是否已经获取到了令牌，这里不再赘述。

步骤S205，可判断该未上线用户会话表项中的FCount的值是否达到预定的阈值MAX_F，若是，则执行步骤S206，否则，执行步骤S207；

步骤S206，可丢弃该HTTPS报文，之后退出本流程；

步骤S207，可从第一令牌桶获取一个令牌；

步骤S208，可判断令牌获取是否成功，若是，则执行步骤S209，否则，执行步骤S210；

如果第一令牌桶中还存在令牌，则此时可从第一令牌桶中成功获取到令牌，否则，如果第一令牌桶中不存在令牌，则此时无法从第一令牌桶中获取到令牌。

步骤S209，可将该HTTPS报文上送给CPU进行处理，将该未上线用户会话表项中的令牌ID更新为获取到的令牌的ID，将SCount的值增加单位量，将FCount的值置为初始值，之后退出本流程。

在步骤S209中，如果该未上线用户会话表项中的令牌桶ID为0，则可将该令牌桶ID更新为第一令牌桶的ID；若该表项中还包含获取标记，则可将该获取标记更新为表示对应用户会话已经获取到了令牌的值。

步骤S210，可将该HTTPS报文丢弃，将该未上线用户会话表项中的FCount的值增加单位量，之后退出本流程；

在步骤S210中，如果该未上线用户会话表项中的令牌桶ID为0，则可将该令牌桶ID更新为第一令牌桶的ID。

步骤S211，可将该HTTPS报文上送给CPU进行处理，之后退出本流程。

另外，在本实施例的方法中，在检测到未上线用户会话表项中的SCount的值达到预定的第一阈值MAX_S1时，可认为该表项对应的用户会话为异常未上线用户会话，将用于获取令牌的令牌桶从第一令牌桶修改为第二令牌桶，具体的，可以将未上线用户会话表项中的令牌桶ID修改为第二令牌桶的ID，这样，在如图2所示的步骤S207中就会从第二令牌桶中获取令牌。后续，如果该表项中的SCount的值继续增加，在检测到SCount的值达到预定的第二阈值MAX_S2时，删除该表项，释放该表项所对应的用户会话获取到的令牌，将释放的令牌回收到第二令牌桶中，其中，MAX_S2大于MAX_S1。

若用户Portal认证通过，用户上线，则会删除源IP地址为用户主机IP地址IP11的未上线用户会话表项，释放这些表项所对应的用户会话获取到的令牌。

另外，在步骤S203中配置未上线用户会话表项时，还可以开启定时器，以使该定时器开始计时，当该定时器的计时时间到达预定老化时间T时，此时用户仍然没有上线，若该表项所对应的用户会话已经获取到了令牌，则需要释放该令牌，将释放的令牌回收到对应的令牌桶中，将该表项中的令牌ID置为初始值，将该表项中的FCount的值置为初始值，重启该定时器，以使该定时器重新开始计时。另外，在该表项中包含获取标记时，还会将该获取标记更新为表示对应用户会话尚未获取到令牌的值。这样，后续该用户对话对应的HTTPS报文需要重新获取令牌。

在实际应用场景中，用户主机开机后，其上安装的大量程序可能会自动发出HTTPS报文来请求连接服务器，但是，由于用户并不需要使用这些程序，因此不会输入用户名和密码，从而无法完成Portal认证，这些程序就会一直发出HTTPS报文来请求连接服务器。在这种情况下，用户主机发出的HTTPS报文就会对接入网关设备造成攻击。本公开实施例中采用如图2所示的方法，通过设置一个用于限制正常未上线用户会话数量的第一令牌桶和一个用于限制异常未上线用户会话数量的第二令牌桶，当用户会话获取到令牌的次数达到了MAX_S1时用户仍然没有上线，此时，认为该用户会话为异常未上线用户会话，该会话的HTTPS报文是攻击报文，限制该异常未上线用户会话只能从令牌数量很少的第二令牌桶中获取令牌，进一步限制异常未上线用户会话的流量。

显然，还可以设置三个令牌桶，甚至更多的令牌桶，从而实现更加精细化的限流方式。以设置三个令牌桶为例，除了设置上述第一令牌桶和第二令牌桶以外，还可设置第三令牌桶。第三令牌桶中的令牌数量可以为第一令牌桶中令牌数量的预定百分比，例如，为第一令牌桶中令牌数量的40％。初始时，可从第一令牌桶获取令牌，当检测到接入网关设备的CPU负载超过预定负载阈值时，可将用于获取令牌的令牌桶从第一令牌桶修改为第三令牌桶，从而，可从第三令牌桶中获取令牌。后续，当检测到未上线用户会话表项中的SCount的值达到MAX_S1时，可将用于获取令牌的令牌桶从第三令牌桶修改为第二令牌桶，从而，可从第二令牌桶中获取令牌。

下面通过一个具体实例，对如图2所示的报文处理方法进行详细说明。在本实施例中，在接入网关设备的底层硬件转发层面创建2个令牌桶，分别是令牌桶ID为bucket21的第一令牌桶和令牌桶ID为bucket22的第二令牌桶。第一令牌桶中令牌数量根据接入网关设备的CPU处理能力来设定；第二令牌桶中的令牌数量很少。

接入网关设备上的使能了Portal功能的端口上会固定的下发以下4条规则：

第一条规则Rule1：为免认证规则，该规则用于限定将目的IP地址为Portal服务器或一些免认证的Web服务器的IP地址的HTTP/HTTPS报文，直接转发出去；

第二条规则Rule2：用于限定将目的端口号为80的HTTP报文重定向到CPU；

第三条规则Rule3：用于限定将目的端口号为443的HTTPS报文重定向到CPU；

第四条规则Rule4：用于限定将未命中上述规则Rule1、Rule2和Rule3的报文进行丢弃。

如果用户通过Portal认证，则会下发Portal用户表项，Portal用户表项的匹配顺序在Rule1与Rule2之间，后续，用户主机发出的HTTP/HTTPS报文会根据该Portal用户表项进行转发。本公开实施例中新增的未上线用户会话表项的匹配顺序位于Rule2与Rule3之间，用以对未上线用户主机的HTTPS报文进行限流，确保CPU(301)的实际负荷不会超出正常处理能力，并且保护CPU不受攻击。Rule1、Portal用户表项、Rule2、未上线用户会话表项、Rule3、Rule4的匹配顺序如图3所示。图3只是示意性示出了硬件层面上各个表项的匹配顺序，并不具有限制性。

情况一：接收到未上线用户会话的首个HTTPS报文

假设，该HTTPS报文的源IP地址为10.0.0.2，目的IP地址为https://100.1.1.2，目的端口号为443。

则，接入网关设备在硬件层面接收到该HTTPS报文后，分别与Rule1、Portal用户表项、 Rule2、未上线用户会话表项进行匹配，均没有命中，则继续与Rule3进行匹配，结果为匹配，则可将该HTTPS报文上送给CPU，CPU可在硬件层面中下发一条如表3-1所示的未上线用户会话表项，该表项的匹配顺序在Rule2与Rule3之间。

表3-1

情况二：接收到该未上线用户会话的第二个HTTPS报文

接入网关设备在硬件层面接收到该第二个HTTPS报文后，分别与Rule1、Portal用户表项、Rule2进行匹配，均没有命中，则继续与本地保存的未上线用户会话表项进行匹配，结果命中如表3-1所示的表项，根据该表项中的令牌ID为0，确定该表项所对应的用户会话尚未获取到令牌，则从第一令牌桶bucket21中获取令牌，如果令牌获取成功，假设，获取到的令牌的ID为100，则将该表项中的令牌ID更新为100，将SCount的值加1，将FCount的值清0，继续与Rule3进行匹配，按照Rule3将该HTTPS报文上送给CPU进行处理，此时，表3-1更新为如表3-2所示。

表3-2

如果令牌获取失败，则丢弃该HTTPS报文，将FCount的值加1，此时，表3-1更新为表3-3所示。

表3-3

情况三：接收到该未上线用户会话的后续HTTPS报文

如果在情况二中，获取令牌成功，则硬件层面在接收到后续HTTPS报文后，分别与Rule1、Portal用户表项、Rule2进行匹配，均没有命中，则继续与本地保存的未上线用户会话表项进行匹配，结果命中如表3-2所示的表项，根据该表项中的令牌ID不为0，确定该表项所对应的用户会话已经获取到了令牌，因此，会继续与Rule3进行匹配，按照Rule3将该HTTPS报文上送给CPU进行处理。此时不会对如表3-2所示的未上线用户会话表项进行更新。

这样，在基于HTTPS的TCP仿冒过程完成后，会对用户进行Portal认证，认证通过后，用户上线，CPU会向硬件层面下发Portal用户表项，并通知硬件层面删除源IP地址为10.0.0.2的未上线用户会话表项，释放这些表项所对应的用户会话获取到的令牌，将释放的令牌回收到令牌桶中。

如果在情况二中，获取令牌失败，则硬件层面在接收到后续HTTPS报文后，分别与Rule1、Portal用户表项、Rule2进行匹配，均没有命中，则继续与本地保存的未上线用户会话表项进行匹配，结果命中如表3-3所示的表项，根据该表项中的令牌ID为0，确定该表项所对应的用户会话尚未获取到令牌，因此，会从第一令牌桶bucket21中获取令牌，在令牌获取成功时，假设，获取到的令牌的ID为100，将该表项中的令牌ID更新为100，将SCount的值加1，将FCount的值清0，继续与Rule3进行匹配，按照Rule3将该HTTPS报文上送给CPU进行处理，此时，表3-3更新为如表3-2所示。如果令牌获取依然失败，则丢弃该HTTPS报文，将FCount的值加1，此时，表3-3更新为如表3-4所示。

表3-4

情况四：未上线用户会话表项超时

未上线用户会话表项对应的定时器的计时时间到达T时，将该表项所对应的用户会话获取到的令牌释放，将释放的令牌回收到第一令牌桶bucket21中，将令牌ID置为0，将FCount的值清0，但是，SCount的值保持不变。后续HTTPS报文需要重新获取令牌。

情况五：在多个T时间内用户一直未能上线

经历了多个T时间，用户一直未能上线，未上线用户会话表项中的SCount的值会一直累加，当检测到SCount的值达到MAX_S1时，限制该表项所对应的用户会话只能从第二令牌桶bucket22中获取令牌，将未上线用户会话表项中的令牌桶ID修改为bucket22。由于第二令牌桶bucket22中的令牌数量很少，可以达到限制异常用户上线的目的。

后续，当检测到SCount的值达到MAX_S2时，删除该未上线用户会话表项，其中，MAX_S2大于MAX_S1。

情况六：在一个T时间内用户一直未能上线

如果在一个T时间内一直获取不到令牌，FCount的值会一直增加。在接收到HTTPS报文后，若匹配的未上线用户会话表项中的FCount的值达到了MAX_F，则不允许该表项所对应的用户会话获取令牌，直接丢弃该HTTPS报文。后续，在定时器的计时时间到达T时，将FCount的值清0后，才会允许该表项所对应的用户会话获取令牌。

与前述报文处理方法的实施例相对应，本公开还提供了报文处理装置的实施例。

本公开报文处理装置的实施例可以应用在接入网关设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。

请参考图4，本公开实施例的接入网关设备40中包括以下单元：接收单元401、判断单元402、处理单元403和查找单元404，其中：

接收单元401，用于接收用户主机发来的HTTPS报文；

查找单元404，用于在接收单元401接收到HTTPS报文后，根据HTTPS报文的源IP地址和目的IP地址查找与HTTPS报文匹配的未上线用户会话表项；

判断单元402，用于在查找单元404查找到未上线用户会话表项的情况下，判断该未上线用户会话表项所对应的用户会话是否已经获取到了令牌；

处理单元403，用于若判断单元402判断出该未上线用户会话表项所对应的用户会话尚未获取到令牌，则从第一令牌桶中获取令牌。其中，第一令牌桶中的令牌数量根据接入网关设备的CPU处理能力设定，在令牌获取成功时，将该HTTPS报文上送给CPU进行处理，在令牌获取失败时，将该HTTPS报文丢弃。

如图5所示，上述接入网关设备40中还包括配置单元405，其中：

配置单元405，用于若查找单元404没有查找到与该HTTPS报文匹配的未上线用户会话表项，则配置包含源IP地址和目的IP地址的未上线用户会话表项。

其中，处理单元403，还用于若判断单元402判断出该未上线用户会话表项所对应的用户会话已经获取到了令牌，则将该HTTPS报文上送给CPU进行处理。

其中，处理单元403，还用于在每次令牌获取成功时，将该未上线用户会话表项中的令牌ID更新为获取到的令牌的ID；

判断单元402具体用于通过以下方式判断未上线用户会话表项所对应的用户会话是否已经获取到了令牌：若未上线用户会话表项中的令牌ID为初始值，则判断出未上线用户会话表项所对应的用户会话尚未获取到令牌，否则，判断出未上线用户会话表项所对应的用户会话已经获取到了令牌。

其中，处理单元403，还用于在每次令牌获取成功时，将未上线用户会话表项中的令牌获取成功次数SCount的值增加单位量，将令牌获取失败次数FCount的值置为初始值；在每次令牌获取失败时，将未上线用户会话表项中的FCount的值增加单位量。

如图5所示，上述接入网关设备40中还可以包括：更新单元406，其中：

更新单元406，用于在检测到未上线用户会话表项中的SCount的值达到预定的第一阈值时，将第一令牌桶修改为第二令牌桶，其中，第二令牌桶中的令牌数量远小于第一令牌桶中的令牌数量；还用于在检测到未上线用户会话表项中的SCount的值达到预定的第二阈值时，删除该未上线用户会话表项，其中，第二阈值大于第一阈值。

其中，处理单元403，还用于若判断单元402判断出该未上线用户会话表项中的FCount的值达到了预定阈值，则丢弃该HTTPS报文。

如图5所示，上述接入网关设备40中还可以包括：

计时单元407，还用于在配置未上线用户会话表项时，开启未上线用户会话表项对应的定时器进行计时，当定时器的计时时间到达预定老化时间时，重启该定时器；

处理单元403，还用于当定时器的计时时间到达预定老化时间时，若判断出未上线用户会话表项所对应的用户会话已经获取到了令牌，则将该未上线用户会话表项更新为对应用户会话尚未获取到令牌的状态，将该未上线用户会话表项中的FCount的值置为初始值。

参考图6，图6为本公开实施例的接入网关设备的另一结构示意图。该接入网关设备包括：处理器601、存储有机器可执行指令的机器可读存储介质602。处理器601与机器可读存储介质602可经由系统总线603通信。通过读取并执行机器可读存储介质602中的机器可执行指令，处理器601可执行上文描述的报文处理方法。

本文中提到的机器可读存储介质602可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(Radom Access Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘。

机器可读存储介质602，用于存放接收单元401运行的程序指令、判断单元402运行的程序指令、处理单元403运行的程序指令、查找单元404运行的程序指令、配置单元405运行的程序指令、更新单元406运行的程序指令、计时单元407运行的程序指令。

处理器601，用于执行接收单元401运行的程序指令、判断单元402运行的程序指令、处理单元403运行的程序指令、查找单元404运行的程序指令、配置单元405运行的程序指令、更新单元406运行的程序指令、计时单元407运行的程序指令。处理器601通过执行如上各个单元所运行的程序指令，来实现如上所述的报文处理方法。

在一个示例中，通过读取并执行机器可读存储介质602中的机器可执行指令，处理器601被促使：

接收用户主机发来的基于安全套接层的超文本传输协议HTTPS报文；

根据所述HTTPS报文的源互联网协议IP地址和目的IP地址查找与所述HTTPS报文匹配的未上线用户会话表项，

在查找到所述未上线用户会话表项的情况下，

若判断出所述未上线用户会话表项所对应的用户会话尚不具有令牌，则从第一令牌桶中获取令牌，其中，所述第一令牌桶中的令牌数量根据所述接入网关设备的CPU处理能力设定，

在令牌获取成功时，将所述HTTPS报文上送给CPU进行处理，

在令牌获取失败时，将所述HTTPS报文丢弃。

其中，在未查找到所述未上线用户会话表项的情况下，处理器601还被机器可执行指令促使：

配置包含所述源IP地址和目的IP地址的未上线用户会话表项。

其中，处理器601还被机器可执行指令促使：

若判断出所述未上线用户会话表项所对应的用户会话已经具有令牌，则将所述HTTPS报文上送给CPU进行处理。

其中，处理器601还被机器可执行指令促使：

在每次令牌获取成功时，将所述未上线用户会话表项中的令牌标识ID更新为获取到的令牌的ID；

通过以下方式判断所述未上线用户会话表项所对应的用户会话是否已经具有令牌：

若所述未上线用户会话表项中的令牌ID为初始值，则判断出所述未上线用户会话表项所对应的用户会话尚未获取到令牌，

否则，判断出所述未上线用户会话表项所对应的用户会话已经获取到了令牌。

其中，处理器601还被机器可执行指令促使：

在每次令牌获取成功时，将所述未上线用户会话表项中的令牌获取成功次数SCount的值增加单位量，并将所述未上线用户会话表项中的令牌获取失败次数FCount的值置为初始值；

在每次令牌获取失败时，将所述未上线用户会话表项中的所述FCount的值增加单位量。

其中，处理器601还被机器可执行指令促使：

在检测到所述未上线用户会话表项中的所述SCount的值达到预定的第一阈值时，所述接入网关设备将所述第一令牌桶修改为第二令牌桶，其中，所述第二令牌桶中的令牌数量远小于所述第一令牌桶中的令牌数量；

在检测到所述未上线用户会话表项中的所述SCount的值达到预定的第二阈值时，所述接入网关设备删除该未上线用户会话表项，其中，所述第二阈值大于所述第一阈值。

其中，处理器601还被机器可执行指令促使：

若判断出所述未上线用户会话表项中的所述FCount的值达到了预定阈值，则丢弃所述HTTPS报文。

其中，在配置所述未上线用户会话表项时，处理器601还被所述机器可执行指令促使：

开启所述未上线用户会话表项对应的定时器进行计时；

若当所述定时器的计时时间到达预定老化时间时所述未上线用户会话表项所对应的用户会话已经获取到了令牌，则

将所述未上线用户会话表项更新为对应用户会话尚未获取到令牌的状态，

将所述未上线用户会话表项中的FCount的值置为初始值，并

重启该定时器。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本公开实施例所提供的方法和装置进行了详细介绍，本文中应用了具体个例对本公开的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本公开的方法及其核心思想；同时，对于本领域的一般技术人员，依据本公开的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本公开的限制。

Claims

一种报文处理方法，包括：

接入网关设备接收用户主机发来的基于安全套接层的超文本传输协议HTTPS报文；

所述接入网关设备根据所述HTTPS报文的源互联网协议IP地址和目的IP地址查找与所述HTTPS报文匹配的未上线用户会话表项，

在查找到所述未上线用户会话表项的情况下，

若判断出所述未上线用户会话表项所对应的用户会话尚不具有令牌，则所述接入网关设备从第一令牌桶中获取令牌，其中，所述第一令牌桶中的令牌数量根据所述接入网关设备的CPU处理能力设定，

在令牌获取成功时，所述接入网关设备将所述HTTPS报文上送给CPU进行处理，

在令牌获取失败时，所述接入网关设备将所述HTTPS报文丢弃。
根据权利要求1所述的方法，其中，在未查找到所述未上线用户会话表项的情况下，所述方法还包括：

所述接入网关设备配置包含所述源IP地址和目的IP地址的未上线用户会话表项。
根据权利要求1所述的方法，其中，所述方法还包括：

若判断出所述未上线用户会话表项所对应的用户会话已经具有令牌，则所述接入网关设备将所述HTTPS报文上送给CPU进行处理。
根据权利要求1所述的方法，其中，

在每次令牌获取成功时，所述接入网关设备还将所述未上线用户会话表项中的令牌标识ID更新为获取到的令牌的ID；

通过以下方式判断所述未上线用户会话表项所对应的用户会话是否已经具有令牌：

若所述未上线用户会话表项中的令牌ID为初始值，则所述接入网关设备判断出所述未上线用户会话表项所对应的用户会话尚未获取到令牌，

否则，所述接入网关设备判断出所述未上线用户会话表项所对应的用户会话已经获取到了令牌。
根据权利要求1所述的方法，其中，

在每次令牌获取成功时，所述接入网关设备将所述未上线用户会话表项中的令牌获取成功次数SCount的值增加单位量，并将所述未上线用户会话表项中的令牌获取失败次数FCount的值置为初始值；

在每次令牌获取失败时，所述接入网关设备将所述未上线用户会话表项中的所述FCount的值增加单位量。
根据权利要求5所述的方法，其中，所述方法还包括：

在检测到所述未上线用户会话表项中的所述SCount的值达到预定的第一阈值时，所述接入网关设备将所述第一令牌桶修改为第二令牌桶，其中，所述第二令牌桶中的令牌数量远小于所述第一令牌桶中的令牌数量；

在检测到所述未上线用户会话表项中的所述SCount的值达到预定的第二阈值时，所述接入网关设备删除该未上线用户会话表项，其中，所述第二阈值大于所述第一阈值。
根据权利要求5所述的方法，其中，所述方法还包括：

若判断出所述未上线用户会话表项中的所述FCount的值达到了预定阈值，则所述接入网关设备丢弃所述HTTPS报文。
根据权利要求2所述的方法，其中，配置所述未上线用户会话表项，包括：

开启所述未上线用户会话表项对应的定时器进行计时；

若当所述定时器的计时时间到达预定老化时间时所述未上线用户会话表项所对应的用户会话已经获取到了令牌，则所述接入网关设备

将所述未上线用户会话表项更新为对应用户会话尚未获取到令牌的状态，

将所述未上线用户会话表项中的FCount的值置为初始值，并

重启该定时器。
一种接入网关设备，包括：

处理器；以及

存储有机器可执行指令的非暂时性机器可读存储介质，其中，通过读取并执行所述机器可执行指令，所述处理器被促使：

接收用户主机发来的基于安全套接层的超文本传输协议HTTPS报文；

根据所述HTTPS报文的源互联网协议IP地址和目的IP地址查找与所述HTTPS报文匹配的未上线用户会话表项，

在查找到所述未上线用户会话表项的情况下，

若判断出所述未上线用户会话表项所对应的用户会话尚不具有令牌，则从第一令牌桶中获取令牌，其中，所述第一令牌桶中的令牌数量根据所述接入网关设备的CPU处理能力设定，

在令牌获取成功时，将所述HTTPS报文上送给CPU进行处理，

在令牌获取失败时，将所述HTTPS报文丢弃。
根据权利要求9所述的设备，其中，在未查找到所述未上线用户会话表项的情况下，所述处理器还被所述机器可执行指令促使：

配置包含所述源IP地址和目的IP地址的未上线用户会话表项。
根据权利要求9所述的设备，其中，所述处理器还被所述机器可执行指令促使：

若判断出所述未上线用户会话表项所对应的用户会话已经具有令牌，则将所述HTTPS报文上送给CPU进行处理。
根据权利要求9所述的设备，其中，所述处理器还被所述机器可执行指令促使：

在每次令牌获取成功时，将所述未上线用户会话表项中的令牌ID更新为获取到的令牌的ID；

通过以下方式判断所述未上线用户会话表项所对应的用户会话是否已经具有令牌：

若所述未上线用户会话表项中的令牌ID为初始值，则判断出所述未上线用户会话表项所对应的用户会话尚未获取到令牌，

否则，判断出所述未上线用户会话表项所对应的用户会话已经获取到了令牌。
根据权利要求9所述的设备，其中，所述处理器还被所述机器可执行指令促使：

在每次令牌获取成功时，将所述未上线用户会话表项中的令牌获取成功次数SCount的值增加单位量，并将所述未上线用户会话表项中的令牌获取失败次数FCount的值置为初始值；

在每次令牌获取失败时，将所述未上线用户会话表项中的所述FCount的值增加单位量。
根据权利要求13所述的设备，其中，所述处理器还被所述机器可执行指令促使：

在检测到所述未上线用户会话表项中的所述SCount的值达到预定的第一阈值时，所述接入网关设备将所述第一令牌桶修改为第二令牌桶，其中，所述第二令牌桶中的令牌数量远小于所述第一令牌桶中的令牌数量；

在检测到所述未上线用户会话表项中的所述SCount的值达到预定的第二阈值时，所述接入网关设备删除该未上线用户会话表项，其中，所述第二阈值大于所述第一阈值。
根据权利要求13所述的设备，其中，所述处理器还被所述机器可执行指令促使：

若判断出所述未上线用户会话表项中的所述FCount的值达到了预定阈值，则丢弃所述HTTPS报文。