WO2022166979A1 - 报文处理方法、客户端设备、服务器端设备和计算机可读介质 - Google Patents

Abstract

本公开提供了一种报文处理方法，该报文处理方法应用于客户端设备，客户端设备包括客户端，该报文处理方法包括：响应于从客户端发送至服务器端的第一业务报文，将第一业务报文的源地址替换为客户端对应的加密客户端分段标识；根据加密服务器端分段标识，使用服务器端公钥对第一业务报文的源地址和目的地址进行加密，并向服务器端发送加密后的第一业务报文；以及响应于服务器端发送的第二业务报文，使用客户端私钥对第二业务报文的源地址和目的地址进行解密，并将第二业务报文的目的地址替换为客户端的地址。本公开还提供了一种应用于服务器端设备的报文处理方法、一种客户端设备、一种服务器端设备和一种计算机可读介质。

Description

报文处理方法、客户端设备、服务器端设备和计算机可读介质

相关申请的交叉引用

本公开要求于2021年2月8日提交的中国专利申请NO.202110184521.7的优先权，该中国专利申请的内容通过引用的方式整体合并于此。

技术领域

本公开涉及通信技术领域，特别涉及报文处理方法、客户端设备、服务器端设备和计算机可读介质。

背景技术

作为一种网络转发技术，基于互联网协议第六版的分段路由(Segment Routing IPv6，简称SRv6)架构基于源路由理念进行设计，借助互联网协议第六版(IPv6)的转发机制，通过在其IP扩展头中进行新的扩展来实现IPv6数据包的转发，新增的扩展部分称为分段路由报文头(Segment Routing Header，简称SRH)。分段路由报文头中包含了IPv6地址栈，依靠中间节点顺序对目的地址进行更新操作，从而完成报文在网络中的逐跳转发。

在报文传输过程中，链路中的中间节点可以通过解析报文获得源端和目的端的网元信息，由此，存在第三方通过非正当手段截获报文并利用解析报文的方式获取主机相关信息和服务器相关信息的可能，报文传输的安全性无法得到保证。

公开内容

第一方面，本公开实施例提供了一种报文处理方法，应用于客户端设备，所述客户端设备包括客户端，所述方法包括：

响应于从客户端发送至服务器端的第一业务报文，将所述第一 业务报文的源地址替换为所述客户端对应的加密客户端分段标识，所述第一业务报文的目的地址为所述服务器端对应的加密服务器端分段标识；

根据所述加密服务器端分段标识，使用服务器端公钥对所述第一业务报文的源地址和目的地址进行加密，并向所述服务器端发送加密后的所述第一业务报文；以及

响应于所述服务器端发送的第二业务报文，使用客户端私钥对所述第二业务报文的源地址和目的地址进行解密，并将所述第二业务报文的目的地址替换为所述客户端的地址，所述第二业务报文的目的地址为所述服务器端设备使用客户端公钥加密后的所述加密客户端分段标识。

第二方面，本公开实施例还提供了一种报文处理方法，应用于服务器端设备，所述服务器端设备包括服务器端，所述方法包括：

响应于客户端发送的第一业务报文，使用服务器端私钥对所述第一业务报文的源地址和目的地址进行解密，并将所述第一业务报文的目的地址替换为服务器端的地址，所述第一业务报文的源地址为客户端设备使用服务器端公钥加密后的加密客户端分段标识，所述第一业务报文的目的地址为客户端设备使用服务器端公钥加密后的加密服务器端分段标识；

响应于从所述服务器端发送至所述客户端的第二业务报文，将所述第二业务报文的源地址替换为所述服务器端对应的加密服务器端分段标识，所述第二业务报文的目的地址为所述客户端对应的加密客户端分段标识；以及

根据所述加密客户端分段标识，使用客户端公钥对所述第二业务报文的源地址和目的地址进行加密，并向所述客户端发送加密后的所述第二业务报文。

第三方面，本公开实施例还提供了一种客户端设备，包括：

一个或多个处理器；以及

存储器，配置为存储一个或多个计算机程序；

当所述一个或多个计算机程序被所述一个或多个处理器执行时， 使得所述一个或多个处理器实现如上述第一方面所述的报文处理方法。

第四方面，本公开实施例还提供了一种服务器端设备，包括：

一个或多个处理器；以及

存储器，配置为存储一个或多个计算机程序；

当所述一个或多个计算机程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上述第二方面所述的报文处理方法。

第五方面，本公开实施例还提供了一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述第一方面所述的报文处理方法。

第六方面，本公开实施例还提供了一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述第二方面所述的报文处理方法。

附图说明

图1为本公开实施例提供的一种网络架构的结构示意图；

图2为本公开实施例提供的一种报文处理方法的流程图；

图3为本公开实施例提供的一种报文处理方法的流程图；

图4为本公开实施例提供的一种报文处理方法的流程图；

图5为本公开实施例中步骤S2的一种具体实施方法的流程图；

图6为本公开实施例提供的一种报文处理方法的流程图；

图7为本公开实施例提供的一种报文处理方法的流程图；

图8为本公开实施例提供的一种报文处理方法的流程图；

图9为本公开实施例中步骤S9的一种具体实施方法的流程图；

图10为本公开实施例提供的一种报文处理方法的流程图；

图11为本公开实施例提供的一种报文处理方法的流程图；

图12为本公开实施例提供的一种报文处理方法的流程图；

图13为本公开实施例提供的一种报文处理方法的流程图；

图14为本公开实施例提供的一种客户端设备的结构示意图；

图15为本公开实施例提供的一种服务器端设备的结构示意图；以及

图16为本公开实施例提供的一种计算机可读介质的结构示意图。

具体实施方式

为使本领域的技术人员更好地理解本公开的技术方案，下面结合附图对本公开提供的报文处理方法、客户端设备、服务器端设备和计算机可读介质进行详细描述。

在下文中将参考附图更充分地描述示例实施例，但是所述示例实施例可以以不同形式来体现且不应当被解释为限制性的。提供这些实施例的目的在于使本公开更加透彻和完整，并使本领域技术人员充分理解本公开的范围。

本文所使用的术语仅用于描述特定实施例，且不意欲限制本公开。如本文所使用的，单数形式“一个”和“该”也意欲包括复数形式，除非上下文另外清楚指出。还将理解的是，当本说明书中使用术语“包括”和/或“由……制成”时，指定存在特定特征、整体、步骤、操作、元件和/或组件，但不排除存在或可添加一个或多个其他特征、整体、步骤、操作、元件、组件和/或其群组。

将理解的是，虽然本文可以使用术语第一、第二等来描述各种元素，但这些元素不应当受限于这些术语。这些术语仅用于区分一个元素和另一元素。因此，在不背离本公开的指教的情况下，例如，下文讨论的第一业务报文可称为第二业务报文。

除非另外限定，否则本文所用的所有术语(包括技术术语和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解，诸如在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义，且将不解释为具有理想化或过度形式上的含义，除非本文明确如此限定。

利用本公开所提供的报文处理方法、客户端设备、服务器端设备和计算机可读介质，在业务报文传输过程中，对于客户端设备和服务器端设备中的发送端，对于预备发送的、目的地址为接收端对应的 特定类型的分段标识的业务报文，发送端将其源地址替换为发送端对应的特定类型的分段标识，并根据特定类型的分段标识对该业务报文的源地址和目的地址进行加密后，再对该业务报文进行发送，接收端接收该业务报文并对该业务报文的目的地址进行解密，将该业务报文的目的地址替换为接收端对应的地址，实现了对业务报文的收发双方的网元信息的保护，有效地解决了网络中业务报文传输的安全性问题。

图1为本公开实施例提供的一种网络架构的结构示意图。如图1所示，所述网络架构中包括客户端设备、中间节点、服务器端设备和服务管理控制器。

该网络架构为基于互联网协议第六版的分段路由架构，客户端设备和服务器端设备通过中间节点进行业务报文传递，该中间节点为分段路由节点。具体地，客户端设备包括客户端和客户端网关，客户端为通过客户端网关接入网络并需要与服务器端进行通信的设备，包括个人电脑、平板和移动终端等；服务器端设备包括服务器端和服务器端网关，服务器端可通过服务器端网关接入网络；服务管理控制器为控制层，配置为对服务器端和客户端的业务通信进行管理控制；在一些实施方式中，分段路由节点可包括运营商骨干路由器(Provider)、运营商边缘路由器(Provider Edge，简称PE)、自治系统边界路由器(Autonomous System Boundary Router，简称ASBR)和区域边界路由器(Area Border Router，简称ABR)等。

图2为本公开实施例提供的一种报文处理方法的流程图。如图2所示，所述报文处理方法应用于客户端设备，该方法包括步骤S1至S3。

步骤S1、响应于从客户端发送至服务器端的第一业务报文，将第一业务报文的源地址替换为客户端对应的加密客户端分段标识。

在一些实施方式中，所述客户端设备包括客户端，所述报文处理方法流程由客户端执行；或者，在一些实施方式中，所述客户端设备还包括客户端对应的客户端网关，此时，所述报文处理方法流程可由客户端网关执行。

在步骤S1中，第一业务报文的目的地址为服务器端对应的加密 服务器端分段标识。具体地，在基于互联网协议第六版的分段路由架构中，针对网络地址配置对应的分段标识(Segment ID，简称SID)，该分段标识具备显式的指示作用，是一种网络指令(Instruction)；相应的业务报文经过中间节点时，该中间节点读取携带于业务报文的分段路由报文头中的分段标识以及对应的一系列的指示操作(也称段操作)，根据分段标识和指示操作，完成相应的转发动作以进行业务报文的转发，所述指示操作用于指示数据(例如业务报文)在网络中的路由和传输。

在步骤S1中，加密客户端分段标识和加密服务器端分段标识分别为客户端和服务器端各自预先配置的一种特定类型的分段标识，与现有的其他类型的分段标识不同，该特定类型的分段标识并非用于指示现有的转发动作，而是用于指示加密转发动作，即，加密客户端分段标识和加密服务器端分段标识除了用于指示数据(例如业务报文)在网络中的路由和传输外，还用于指示需要对相应业务报文的源地址和目的地址进行加密，故加密客户端分段标识和加密服务器端分段标识并不表示分段标识自身是加密的，而是用于指代上述的加密转发动作。

在一些实施方式中，可使用类型字段“END.S.DECI”对特定类型的分段标识进行标记。在一些实施方式中，可通过配置方式或者在业务授权过程中基于路由协议建立特定类型的分段标识与对应设备(例如，客户端、服务器端)的地址的映射关系。

步骤S2、根据加密服务器端分段标识使用服务器端公钥对第一业务报文的源地址和目的地址进行加密，并向服务器端发送加密后的第一业务报文。

具体地，根据加密服务器端分段标识所指示的加密转发动作，使用服务器端公钥对第一业务报文的源地址和目的地址进行加密，并向服务器端发送加密后的第一业务报文，该加密后的第一业务报文即表示源地址和目的地址均已被加密的第一业务报文。具体地，在一些实施方式中，对源地址和目的地址的参数部分进行加密。

服务器端公钥属于服务器端的公私钥对，该公私钥对可由服务 器端自行预先配置或由服务管理控制器预先配置并下发至服务器端，客户端设备可提前获取到服务器端公钥。

步骤S3、响应于服务器端发送的第二业务报文，使用客户端私钥对第二业务报文的目的地址进行解密，并将第二业务报文的目的地址替换为客户端的地址。

具体地，第二业务报文的目的地址为服务器端使用客户端公钥加密后的加密客户端分段标识；客户端私钥属于客户端的公私钥对，该公私钥对可由客户端自行预先配置或由服务管理控制器预先配置并下发至客户端，服务器端设备可提前获取到客户端公钥。

在一些实施方式中，所述报文处理方法还包括：使用客户端私钥对第二业务报文的源地址进行解密。

具体地，第二业务报文的源地址为服务器端使用客户端公钥加密后的加密服务器端分段标识。

在一些实施方式中，可由客户端网关对第二业务报文的目的地址进行解密，并将第二业务报文的目的地址替换为客户端的地址后，将第二业务报文发送至客户端。

利用本公开实施例提供的报文处理方法，在业务报文传输过程中，对于预备发送的、目的地址为服务器端对应的特定类型的分段标识的业务报文，客户端设备将其源地址替换为客户端对应的特定类型的分段标识，并根据特定类型的分段标识对该业务报文的源地址和目的地址进行加密后，再向服务器端发送加密后的业务报文；对于服务器端设备返回的业务报文，对该业务报文的目的地址进行解密，并将该业务报文的目的地址替换为客户端对应的地址，实现了对业务报文的收发双方的网元信息的保护，有效地解决了网络中业务报文传输的安全性问题。

图3为本公开实施例提供的一种报文处理方法的流程图。如图3所示，该报文处理方法为基于图2所示报文处理方法的一种实施方式。具体地，该报文处理方法不仅包括上述步骤S1至步骤S3，在步骤S1之前，该报文处理方法还包括步骤S01和步骤S02。下面仅对步骤S01和步骤S02进行详细描述。

步骤S01、响应于从客户端发送至服务器端的业务授权请求，配置加密客户端分段标识，并建立加密客户端分段标识与客户端的地址的映射关系。

具体地，客户端向服务器端发送业务授权请求以预建立业务通信关系。在一些实施方式中，客户端还可向服务管理控制器发送业务授权请求以进行业务授权。

具体地，分段标识包括定位字段(Locator)、功能字段(Function)和可选参数字段(Argument)等；定位字段主要承担路由功能，在分段路由域内唯一；功能字段承担标识设备的功能，如转发功能以及业务功能等；而针对本公开所提供的特定类型的分段标识，在一些实施方式中，可通过将可选参数字段中的至少部分作为引用字段，建立该引用字段与客户端的地址的映射关系，以建立加密客户端分段标识与客户端的地址的映射关系。

在一些实施方式中，所述报文处理方法还包括：通过内部网关协议(Interior Gateway Protocol，简称IGP)针对加密客户端分段标识进行路由发布。

步骤S02、将业务授权请求发送至服务器端，并接收服务器端反馈的业务授权响应。

具体地，业务授权响应包括加密服务器端分段标识，由此，客户端设备获得与服务器端的地址相对应的加密服务器端分段标识，该加密服务器端分段标识在客户端设备侧实际可作为服务器端的地址。

图4为本公开实施例提供的一种报文处理方法的流程图。如图4所示，该报文处理方法为基于图2所示报文处理方法的一种实施方式。具体地，该报文处理方法不仅包括上述步骤S1至步骤S3，还包括步骤S4至步骤S6。下面仅对步骤S4至步骤S6进行详细描述。

步骤S4、建立使用服务器端公钥加密后的加密客户端分段标识与客户端的地址的映射关系，以及建立使用服务器端公钥加密后的加密服务器端分段标识与加密服务器端分段标识的映射关系。

在一些实施方式中，使用服务器端公钥对特定类型的分段标识进行加密的步骤包括：使用服务器端公钥对特定类型的分段标识的引 用字段进行加密。由此，在一些实施方式中，类似于步骤S01，在步骤S4中，建立使用服务器端公钥加密后的分段标识的引用字段与客户端的地址的映射关系，以建立使用服务器端公钥加密后的特定类型的分段标识与客户端的地址的映射关系。

步骤S5、响应于从客户端发送至服务器端的第三业务报文，将第三业务报文的源地址替换为使用服务器端公钥加密后的加密客户端分段标识，将第三业务报文的目的地址替换为使用服务器端公钥加密后的加密服务器端分段标识。

具体地，第三业务报文的目的地址为加密服务器端分段标识；在步骤S5中，客户端设备侧可通过提前建立加密后的特定类型的分段标识与相应地址的映射关系，在进行业务报文发送或转发时，对业务报文的源地址和目的地址进行直接替换，从而减少响应延迟。

步骤S6、向服务器端发送第三业务报文。

图5为本公开实施例中步骤S2的一种具体实施方式的流程图。具体地，客户端设备还包括客户端网关；如图5所示，步骤S2包括步骤S201。

步骤S201、根据客户端网关地址、链路中的中间节点地址和服务器端对应的服务器端网关地址，在第一业务报文外层生成隧道头和分段路由扩展头，并向服务器端网关发送经上述处理后的第一业务报文。

在步骤S201中，由于第一业务报文要经客户端网关和通信链路中的分段路由节点被发送至服务器端，因此，根据客户端网关地址、分段路由节点的地址和服务器端网关地址，对第一业务报文进行外层封装，以为第一业务报文增加隧道头和分段路由扩展头。由此，在前述实施方式的报文处理方法中，业务报文经过分段路由节点时，基于分段路由协议机制对业务报文的目的地址进行替换，而在本实施方式中，在业务报文经隧道外层封装后，业务报文经过分段路由节点时，基于分段路由协议机制对业务报文的外层目的地址进行替换。

由此，本公开实施例提供的报文处理方法可通过隧道技术和设置特定类型的分段标识，对业务报文传输进行保护。

图6为本公开实施例提供的一种报文处理方法的流程图。如图6所示，所述报文处理方法应用于服务器端设备，所述服务器端设备包括服务器端，该报文处理方法包括步骤S7至步骤S9。

步骤S7、响应于客户端发送的第一业务报文，使用服务器端私钥对第一业务报文的目的地址进行解密，并将第一业务报文的目的地址替换为服务器端的地址。

具体地，第一业务报文的源地址为客户端设备使用服务器端公钥加密后的加密客户端分段标识，第一业务报文的目的地址为客户端设备使用服务器端公钥加密后的加密服务器端分段标识；服务器端私钥属于服务器端的公私钥对，该公私钥对可由服务器端自行预先配置或由服务管理控制器预先配置并下发至服务器端，客户端设备可提前获取到服务器端公钥。

在一些实施方式中，所述服务器端设备包括服务器端，所述报文处理方法流程由服务器端执行；或者，在一些实施方式中，所述服务器端设备还包括服务器端对应的服务器端网关，此时，所述报文处理方法流程可由服务器端网关执行。

在一些实施方式中，所述报文处理方法还包括：使用服务器端私钥对第一业务报文的源地址进行解密。

具体地，第一业务报文的源地址为客户端设备使用服务器端公钥加密后的加密客户端分段标识。

在一些实施方式中，所述报文处理方法流程可由服务器端网关执行，从而，可由服务器端网关对第一业务报文的目的地址进行解密，将第一业务报文的目的地址替换为服务器端的地址后，将第一业务报文发送至服务器端。

步骤S8、响应于从服务器端发送至客户端的第二业务报文，将第二业务报文的源地址替换为加密服务器端分段标识。

具体地，第二业务报文的目的地址为客户端对应的加密客户端分段标识。

步骤S9、根据加密客户端分段标识使用客户端公钥对第二业务报文的源地址和目的地址进行加密，并向客户端发送加密后的第二业 务报文。

具体地，根据加密客户端分段标识所指示的加密转发动作，使用客户端公钥对第二业务报文的源地址和目的地址进行加密并向客户端发送加密后的第二业务报文，该加密后的第二业务报文即表示源地址和目的地址均已被加密的第二业务报文；客户端公钥属于客户端的公私钥对，该公私钥对可由客户端自行预先配置或由服务管理控制器预先配置并下发至客户端，服务器端设备可提前获取到客户端公钥。具体地，在一些实施方式中，对源地址和目的地址的参数部分进行加密。

利用本公开实施例提供的报文处理方法，在业务报文传输过程中，对于预备发送的、目的地址为客户端对应的特定类型的分段标识的业务报文，服务器端设备将其源地址替换为服务器端对应的特定类型的分段标识，并根据特定类型的分段标识对该业务报文的源地址和目的地址进行加密后，再向客户端发送加密后的业务报文；对于客户端返回的业务报文，对该业务报文的目的地址进行解密，并将该业务报文的目的地址替换为服务器端对应的地址，实现了对业务报文的收发双方的网元信息的保护，有效地解决了网络中业务报文传输的安全性问题。

图7为本公开实施例提供的一种报文处理方法的流程图。如图7所示，该报文处理方法为基于图6所示报文处理方法的一种实施方式。具体地，该报文处理方法不仅包括步骤S7至步骤S9，在步骤S7之前，该报文处理方法还包括步骤S7a和步骤S7b。下面仅对步骤S7a和步骤S7b进行详细描述。

步骤S7a、响应于从服务器端发送至服务管理控制器的业务注册请求，配置加密服务器端分段标识，并建立加密服务器端分段标识与服务器端的地址的映射关系。

具体地，业务注册请求中可包括服务器标识，如服务ID、服务器ID等。

在一些实施方式中，可通过将加密服务器端分段标识的可选参数字段中的至少部分作为引用字段，来建立该引用字段与服务器端的 地址的映射关系，以建立加密服务器端分段标识与服务器端的地址的映射关系。

步骤S7b、将业务注册请求发送至服务管理控制器，并接收服务管理控制器反馈的业务注册响应。

在步骤S7b中，接收到服务管理控制器反馈的业务注册响应则表示服务器端的业务注册成功。

图8为本公开实施例提供的一种报文处理方法的流程图。如图8所示，该报文处理方法为基于图6所示报文处理方法的一种实施方式。具体地，该报文处理方法不仅包括步骤S7至步骤S9，还包括步骤S10至步骤S12。下面仅对步骤S10至步骤S12进行详细描述。

步骤S10、建立使用客户端公钥加密后的加密客户端分段标识与加密客户端分段标识的映射关系，以及建立使用客户端公钥加密后的加密服务器端分段标识与服务器端的地址的映射关系。

在一些实施方式中，使用客户端公钥对特定类型的分段标识进行加密的步骤包括：使用客户端公钥对特定类型的分段标识的引用字段进行加密。由此，在一些实施方式中，类似于步骤S7a，在步骤S10中，建立使用客户端公钥加密后的分段标识的引用字段与服务器端的地址的映射关系，以建立使用客户端公钥加密后的特定类型的分段标识与服务器端的地址的映射关系。

步骤S11、响应于从服务器端发送至客户端的第四业务报文，将第四业务报文的源地址替换为使用客户端公钥加密后的加密服务器端分段标识，将第四业务报文的目的地址替换为使用客户端公钥加密后的加密客户端分段标识。

具体地，第四业务报文的目的地址为加密客户端分段标识；在步骤S11中，服务器端可通过提前建立加密后的特定类型的分段标识与相应地址的映射关系，在进行业务报文发送或转发时，对业务报文的源地址和目的地址进行直接替换，从而减少响应延迟。

步骤S12、向客户端发送第四业务报文。

图9为本公开实施例中步骤S9的一种具体实施方式的流程图。如图9所示，具体地，服务器端设备还包括服务器端网关；步骤S9 包括步骤S901。

步骤S901、根据服务器端网关地址、链路中的中间节点地址和客户端对应的客户端网关地址，在第二业务报文外层生成隧道头和分段路由扩展头，并向客户端网关发送经上述处理后的第二业务报文。

在步骤S901中，由于第二业务报文要经服务器端网关和通信链路中的分段路由节点被发送至客户端，因此，根据服务器端网关地址、分段路由节点的地址和客户端对应的客户端网关地址，对第二业务报文进行外层封装，以为第二业务报文增加隧道头和分段路由扩展头。由此，在前述实施方式的报文处理方法中，业务报文经过分段路由节点时，基于分段路由协议机制对业务报文的目的地址进行替换，而在本实施方式中，在业务报文经隧道外层封装后，业务报文经过分段路由节点时，基于分段路由协议机制对业务报文的外层目的地址进行替换。

下面结合实际应用对本公开实施例提供的报文处理方法进行详细描述。

图10为本公开实施例提供的一种报文处理方法的流程图。如图10所示，所述报文处理方法应用于客户端设备和服务器端设备经中间节点的交互过程中，客户端设备包括客户端，服务器端设备包括服务器端，中间节点可为一个或多个(图10中仅示出一个)，该报文处理方法包括步骤BZ01至步骤BZ07。

步骤BZ01、服务器端预备向服务管理控制器发送业务注册请求，配置加密服务器端分段标识，并建立加密服务器端分段标识与服务器端的地址的映射关系。

步骤BZ02、服务器端向服务管理控制器发送业务注册请求，业务注册请求包括服务器标识。

步骤BZ03、服务管理控制器保存服务器标识，完成服务器端的业务注册。

步骤BZ04、服务管理控制器向服务器端发送业务注册响应。

步骤BZ05、客户端预备向服务器端发送业务授权请求，配置加密客户端分段标识，并建立加密客户端分段标识与客户端的地址的映 射关系。

步骤BZ06、客户端经由中间节点向服务器端发送业务授权请求。

步骤BZ07、服务器端进行业务授权，并经由中间节点向客户端发送业务授权响应，业务授权响应包括加密服务器端分段标识。

至此，完成服务器端的业务注册和客户端的业务授权。

图11为本公开实施例提供的一种报文处理方法的流程图。如图11所示，所述报文处理方法应用于客户端设备和服务器端设备经中间节点的交互过程中，客户端设备包括客户端，服务器端设备包括服务器端，中间节点可为一个或多个(图11中仅示出一个)，该报文处理方法包括步骤BZ101至步骤BZ4。

步骤BZ101、客户端将预备发送至服务器端的第一业务报文的源地址替换为加密客户端分段标识，第一业务报文的目的地址为服务器端对应的加密服务器端分段标识。

步骤BZ102、客户端基于加密服务器端分段标识指示的加密转发动作，使用服务器端公钥加密第一业务报文的源地址和目的地址，此后，经由中间节点向服务器端发送第一业务报文。

步骤BZ2、服务器端使用服务器端私钥对第一业务报文的源地址和目的地址进行解密，并将第一业务报文的目的地址替换为服务器端的地址。

步骤BZ301、服务器端将预备发送至客户端的第二业务报文的源地址替换为加密服务器端分段标识，第二业务报文的目的地址为加密客户端分段标识。

步骤BZ302、服务器端基于加密客户端分段标识指示的加密转发动作，使用客户端公钥对第二业务报文的源地址和目的地址进行加密，此后，经由中间节点向客户端发送第二业务报文。

步骤BZ4、客户端使用客户端私钥对第二业务报文的源地址和目的地址进行解密，并将第二业务报文的目的地址替换为客户端的地址。

至此，完成客户端和服务器端之间的业务报文的一次相互传递。

图12为本公开实施例提供的一种报文处理方法的流程图。如图12所示，所述报文处理方法应用于客户端设备和服务器端设备经中 间节点的交互过程中，客户端设备包括客户端和客户端网关，服务器端设备包括服务器端和服务器端网关，中间节点可为一个或多个(图12中仅示出一个)，该报文处理方法包括步骤BZ081至步骤BZ0132。

步骤BZ081、服务器端向服务器端网关发送业务注册请求，业务注册请求预备发往服务管理控制器。

步骤BZ082、服务器端网关配置加密服务器端分段标识，并建立加密服务器端分段标识与服务器端的地址的映射关系。

步骤BZ083、服务器端网关向服务管理控制器发送业务注册请求，业务注册请求包括服务器标识。

步骤BZ09、服务管理控制器保存服务器标识，完成服务器端的业务注册。

步骤BZ0101、服务管理控制器向服务器端网关发送业务注册响应。

步骤BZ0102、服务器端网关向服务器端发送业务注册响应。

步骤BZ0111、客户端向客户端网关发送业务授权请求，业务授权请求预备发往服务器端。

步骤BZ0112、客户端网关配置加密客户端分段标识，建立加密客户端分段标识与客户端的地址的映射关系。

步骤BZ0113、客户端网关经由中间节点和服务器端网关向服务器端发送业务授权请求。

步骤BZ012、服务器端进行业务授权，并经由服务器端网关和中间节点向客户端网关发送业务授权响应，业务授权响应包括加密服务器端分段标识。

步骤BZ0131、客户端网关保存加密服务器端分段标识。

步骤BZ0132、客户端网关向客户端发送业务授权响应。

至此，完成服务器端的业务注册和客户端的业务授权。

图13为本公开实施例提供的一种报文处理方法的流程图。如图13所示，所述报文处理方法应用于客户端设备和服务器端设备经中间节点的交互过程中，客户端设备包括客户端和客户端网关，服务器端设备包括服务器端和服务器端网关，中间节点可为一个或多个，该 报文处理方法包括步骤BZ501至步骤BZ802。

步骤BZ501、客户端向客户端网关发送第一业务报文，第一业务报文预备发往服务器端。

步骤BZ502、客户端网关将第一业务报文的源地址替换为对应的加密客户端分段标识。

步骤BZ503、客户端网关基于加密服务器端分段标识指示的加密转发动作，使用服务器端公钥加密第一业务报文的源地址和目的地址，此后，经由中间节点向服务器端网关发送第一业务报文。

步骤BZ601、服务器端网关使用服务器端私钥对第一业务报文的源地址和目的地址进行解密，并将第一业务报文的目的地址替换为服务器端的地址。

步骤BZ602、服务器端网关向服务器端发送经步骤BZ601处理后的第一业务报文。

步骤BZ701、服务器端向服务器端网关发送第二业务报文，第二业务报文预备发往客户端。

步骤BZ702、服务器端网关将第二业务报文的源地址替换为加密服务器端分段标识，第二业务报文的目的地址为加密客户端分段标识。

步骤BZ703、服务器端网关基于加密客户端分段标识指示的加密转发动作，使用客户端公钥对第二业务报文的源地址和目的地址进行加密，此后，经由中间节点向客户端网关发送第二业务报文。

步骤BZ801、客户端网关使用客户端私钥对第二业务报文的源地址和目的地址进行解密，并将第二业务报文的目的地址替换为客户端的地址。

步骤BZ802、客户端网关向客户端发送经步骤BZ801处理后的第二业务报文。

至此，完成客户端和服务器端之间的业务报文的一次相互传递。

图14为本公开实施例提供的一种客户端设备的结构示意图。如图14所示，该客户端设备包括：

一个或多个处理器101；

存储器(装置)102，其上存储有一个或多个计算机程序，当该 一个或多个计算机程序被该一个或多个处理器101执行时，使得该一个或多个处理器101实现如上述实施例中任一的应用于客户端设备的报文处理方法；以及

一个或多个I/O接口103，连接在处理器101与存储器102之间，配置为实现处理器101与存储器102之间的信息交互。

处理器101为具有数据处理能力的器件，其包括但不限于中央处理器(CPU)等；存储器102为具有数据存储能力的器件，其包括但不限于随机存取存储器(RAM，更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)以及闪存(FLASH)；以及I/O接口(读写接口)103连接在处理器101与存储器102之间，能实现处理器101与存储器102之间的信息交互，其包括但不限于数据总线(Bus)等。

在一些实施方式中，处理器101、存储器102和I/O接口103通过总线104相互连接，进而与计算设备的其它组件连接。

在一些实施方式中，客户端设备包括客户端和客户端网关。

图15为本公开实施例提供的一种服务器端设备的结构示意图。如图15所示，该服务器端设备包括：

一个或多个处理器201；

存储器202，其上存储有一个或多个计算机程序，当该一个或多个计算机程序被该一个或多个处理器201执行时，使得该一个或多个处理器201实现如上述实施例中任一的应用于服务器端设备的报文处理方法；以及

一个或多个I/O接口203，连接在处理器201与存储器202之间，配置为实现处理器201与存储器202之间的信息交互。

处理器201为具有数据处理能力的器件，其包括但不限于中央处理器(CPU)等；存储器202为具有数据存储能力的器件，其包括但不限于随机存取存储器(RAM，更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)以及闪存(FLASH)；以及I/O接口(读写接口)203连接在处理器201与存储器202之间，能实现处理器201与存储器202之间的信息交互，其包括但不限于数 据总线(Bus)等。

在一些实施方式中，处理器201、存储器202和I/O接口203通过总线204相互连接，进而与计算设备的其它组件连接。

在一些实施方式中，服务器端设备包括服务器端和服务器端网关。

图16为本公开实施例提供的一种计算机可读介质的结构示意图。该计算机可读介质上存储有计算机程序，该计算机程序被处理器执行时实现如上述实施例中任一的应用于客户端设备的报文处理方法或应用于服务器端设备的报文处理方法。

本领域普通技术人员可以理解，上文中所公开的报文处理方法中的全部或某些步骤、设备/装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器(如中央处理器、数字信号处理器或微处理器)执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

本文已经公开了示例实施例，并且虽然采用了具体术语，但它 们仅用于并仅应当被解释为一般说明性含义，并且不用于限制的目的。在一些实例中，对本领域技术人员显而易见的是，除非另外明确指出，否则，与特定实施例相结合描述的特征、特性和/或元素可单独使用，或可与结合其他实施例描述的特征、特性和/或元件组合使用。因此，本领域技术人员将理解，在不脱离由所附的权利要求阐明的本公开的范围的情况下，可进行各种形式和细节上的改变。

Claims (12)

1. 一种报文处理方法，应用于客户端设备，所述客户端设备包括客户端，所述方法包括：

   响应于从客户端发送至服务器端的第一业务报文，将所述第一业务报文的源地址替换为所述客户端对应的加密客户端分段标识，其中，所述第一业务报文的目的地址为所述服务器端对应的加密服务器端分段标识；

   根据所述加密服务器端分段标识，使用服务器端公钥对所述第一业务报文的源地址和目的地址进行加密，并向所述服务器端发送加密后的所述第一业务报文；以及

   响应于所述服务器端发送的第二业务报文，使用客户端私钥对所述第二业务报文的源地址和目的地址进行解密，并将所述第二业务报文的目的地址替换为所述客户端的地址，其中，所述第二业务报文的目的地址为服务器端设备使用客户端公钥加密后的所述加密客户端分段标识。
2. 根据权利要求1所述的报文处理方法，还包括：

   在所述响应于从客户端发送至服务器端的第一业务报文、将所述第一业务报文的源地址替换为所述客户端对应的加密客户端分段标识之前，响应于从所述客户端发送至所述服务器端的业务授权请求，配置所述加密客户端分段标识，并建立所述加密客户端分段标识与所述客户端的地址的映射关系；以及

   将所述业务授权请求发送至所述服务器端，并接收所述服务器端反馈的业务授权响应；其中，所述业务授权响应包括所述加密服务器端分段标识。
3. 根据权利要求1所述的报文处理方法，还包括：

   建立使用所述服务器端公钥加密后的所述加密客户端分段标识与所述客户端的地址的映射关系，以及建立使用所述服务器端公钥加 密后的所述加密服务器端分段标识与所述加密服务器端分段标识的映射关系；

   响应于从所述客户端发送至所述服务器端的第三业务报文，将所述第三业务报文的源地址替换为使用所述服务器端公钥加密后的所述加密客户端分段标识，将所述第三业务报文的目的地址替换为使用所述服务器端公钥加密后的所述加密服务器端分段标识，其中，所述第三业务报文的目的地址为所述加密服务器端分段标识；以及

   向所述服务器端发送所述第三业务报文。
4. 根据权利要求1所述的报文处理方法，其中，所述客户端设备还包括客户端网关；以及

   所述向所述服务器端发送所述第一业务报文包括：

   根据客户端网关地址、链路中的中间节点地址和所述服务器端对应的服务器端网关地址在所述第一业务报文外层生成隧道头和分段路由扩展头，并向服务器端网关发送经上述处理后的所述第一业务报文。
5. 一种报文处理方法，应用于服务器端设备，所述服务器端设备包括服务器端，所述方法包括：

   响应于客户端发送的第一业务报文，使用服务器端私钥对所述第一业务报文的源地址和目的地址进行解密，并将所述第一业务报文的目的地址替换为服务器端的地址，其中，所述第一业务报文的源地址为客户端设备使用服务器端公钥加密后的加密客户端分段标识，所述第一业务报文的目的地址为客户端设备使用服务器端公钥加密后的加密服务器端分段标识；

   响应于从所述服务器端发送至所述客户端的第二业务报文，将所述第二业务报文的源地址替换为所述服务器端对应的加密服务器端分段标识，其中，所述第二业务报文的目的地址为所述客户端对应的加密客户端分段标识；以及

   根据所述加密客户端分段标识，使用客户端公钥对所述第二业 务报文的源地址和目的地址进行加密，并向所述客户端发送加密后的所述第二业务报文。
6. 根据权利要求5所述的报文处理方法，还包括：

   在所述响应于客户端发送的第一业务报文、使用服务器端私钥对所述第一业务报文的源地址和目的地址进行解密之前，响应于从所述服务器端发送至服务管理控制器的业务注册请求，配置所述加密服务器端分段标识，并建立所述加密服务器端分段标识与所述服务器端的地址的映射关系；以及

   将所述业务注册请求发送至所述服务管理控制器，并接收所述服务管理控制器反馈的业务注册响应。
7. 根据权利要求5所述的报文处理方法，还包括：

   建立使用所述客户端公钥加密后的所述加密客户端分段标识与所述加密客户端分段标识的映射关系，以及建立使用所述客户端公钥加密后的所述加密服务器端分段标识与所述服务器端的地址的映射关系；

   响应于从所述服务器端发送至所述客户端的第四业务报文，将所述第四业务报文的源地址替换为使用所述客户端公钥加密后的所述加密服务器端分段标识，将所述第四业务报文的目的地址替换为使用所述客户端公钥加密后的所述加密客户端分段标识，其中，所述第四业务报文的目的地址为所述加密客户端分段标识；以及

   向所述客户端发送所述第四业务报文。
8. 根据权利要求5所述的报文处理方法，其中，所述服务器端设备还包括服务器端网关；以及

   所述向所述客户端发送所述第二业务报文包括：

   根据服务器端网关地址、链路中的中间节点地址和所述客户端对应的客户端网关地址，在所述第二业务报文外层生成隧道头和分段路由扩展头，并向客户端网关发送经上述处理后的所述第二业务报文。
9. 一种客户端设备，包括：

   至少一个处理器；以及

   存储器，配置为存储至少一个计算机程序；

   当所述至少一个计算机程序被所述至少一个处理器执行时，使得所述至少一个处理器实现如权利要求1至4中任一项所述的报文处理方法。
10. 一种服务器端设备，包括：

    至少一个处理器；以及

    存储器，配置为存储至少一个计算机程序；

    当所述至少一个计算机程序被所述至少一个处理器执行时，使得所述至少一个处理器实现如权利要求5至8中任一项所述的报文处理方法。
11. 一种计算机可读介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的报文处理方法。
12. 一种计算机可读介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求5至8中任一项所述的报文处理方法。

Images