WO2023169270A1

WO2023169270A1 - 报文处理方法及电子设备

Info

Publication number: WO2023169270A1
Application number: PCT/CN2023/078954
Authority: WO
Inventors: 张先国
Original assignee: 阿里巴巴（中国）有限公司
Priority date: 2022-03-08
Filing date: 2023-03-01
Publication date: 2023-09-14
Also published as: CN115065735A

Abstract

本公开实施例公开了一种报文处理方法及电子设备，所述方法应用于第一交换机，所述方法包括：获取第一报文，对第一报文进行解析以获取第一五元组信息；响应于第一报文包括第一报文标签，发送第一报文，第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取；接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥；响应于第二秘钥与第一秘钥匹配，转发第二报文。该方案可以在确保第一交换机所转发的报文属于通过该第一交换机建立的会话的前提下，减少了内存负载，降低了转发报文的时延，从而改善了用户体验。

Description

报文处理方法及电子设备

本申请要求于2022年03月08日提交中国专利局、申请号为202210220453.X、申请名称为“报文处理方法及电子设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本公开涉及网络技术领域，具体涉及报文处理方法及电子设备。

背景技术

随着计算机技术的不断发展，近年来虚拟私有云(VPC，Virtua Private Coud)技术开始逐渐应用于网络部署中，VPC是一种基于虚拟化技术实现的私有云平台，其可以将网络、安全、存储、计算等一系列虚拟资源进行组合，供用户按需使用，提供安全便捷的IT服务应用。其中，VPC服务供应商可以给每个用户提供一张自定义的网络，在这张自定义的网络中，需要给用户提供网络中的各种实体，例如虚拟交换机等。

其中，处于对网络安全的需要，虚拟交换机在工作时，可以根据已建立的会话对自身的会话表进行更新，其中会话表可以用于保存对应报文的五元组信息，该对应报文可以理解为通过该虚拟交换机建立的会话所属的报文，当虚拟交换机收到报文时，可以根据收到的报文的五元组信息在会话表中进行查询，以确定收到的报文是否属于为通过该虚拟交换机建立的会话，若确定，则可以转发该报文。

但是，随着虚拟化技术的不断发展，迁移到虚拟私有云的用户也越来越多。当虚拟专有云的用户量达到相当大的规模时，虚拟交换机的会话表的数据量也会变得非常大，当虚拟交换机在会话表中进行数据查询时，会急剧增加内存存储存会话表的负载，使查找速度较低，增加了转发报文时的时延，从而损害了用户的产品使用体验。

发明内容

为了解决相关技术中的问题，本公开实施例提供了报文处理方法及电子设备。

第一方面，本公开实施例中提供了一种报文处理方法，其中，所述方法应用于第一交换机，所述方法包括：

获取第一报文，对第一报文进行解析以获取第一五元组信息；

响应于第一报文包括第一报文标签，发送第一报文，第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取；

接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥；

响应于第二秘钥与第一秘钥匹配，转发第二报文。

在本公开的一个实现方式中，响应于第一报文包括第一报文标签，发送第一报文，包括：

响应于第一五元组信息与第一访问控制列表匹配，且第一报文包括第一报文标签，发送第一报文。

在本公开的一个实现方式中，响应于第一报文包括第一报文标签，发送第一报文之前，所述方法还包括：

检查第一报文是否包括第一报文标签，以获取第一检查结果；

响应于第一报文包括第一报文标签，发送第一报文，包括：

响应于根据第一检查结果确定第一报文包括第一报文标签，发送第一报文。

在本公开的一个实现方式中，接收第二报文之前，所述方法还包括：

响应于根据第一检查结果确定第一报文不包括第一报文标签，将第一报文标签插入第一报文，并发送插入第一报文标签后的第一报文。

在本公开的一个实现方式中，获取第一报文，包括：

接收第一会话端发送的第一报文：

方法还包括：

发送第一报文标识更新信息，第一报文标识更新信息用于指示第一五元组信息以及第一交换机与第一报文标签之间的对应关系。

第二方面，本公开实现方式中提供了一种报文处理方法，其中，所述方法应用于第一会话端，所述方法包括：

响应于第一会话端与第二会话端之间的目标会话已建立，获取属于目标会话的第一待发送报文的第一五元组信息，并确定用于将第一会话端接入网络的第一交换机；

获取与第一五元组信息以及第一交换机对应的第一报文标签，并将第一报文标签插入第一待发送报文中，以获取第一报文；

发送第一报文。

在本公开的一个实现方式中，获取与第一五元组信息以及第一交换机对应的第一报文标签之前，方法还包括：

接收第一交换机发送的第一报文标识更新信息，并根据第一报文标识更新信息对第一报文标识数据库进行更新，第一报文标识更新信息用于指示第一五元组信息以及第一交换机与第一报文标签之间的对应关系；

获取与第一五元组信息以及第一交换机对应的第一报文标签，包括：

根据第一五元组信息以及与第一交换机对应的标识在第一报文标识数据库中进行查询，以获取第一报文标签。

在本公开的一个实现方式中，获取与第一五元组信息以及第一交换机对应的第一报文标签，包括：

接收第一交换机转发的第二报文，并对第二报文进行解析，以获取第二报文的第二五元组信息；

响应于第二五元组信息的源信息与第一五元组信息的目的信息匹配，且第二五元组信息的目的信息与第一五元组信息的源信息匹配，将第二报文中的第二报文标签确定为第一报文标签。

第三方面，本公开实现方式中提供了一种报文处理方法，其中，所述方法应用于第二交换机，所述方法包括：

接收第一报文，并对第一报文进行解析以获取第一五元组信息以及第一报文中的第一报文标签；

根据第一五元组信息以及第一报文标签获取第一秘钥；

获取第二报文，并对第二报文进行解析获取第二报文的第二五元组信息；

响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且第二报文包括第二报文标签，发送第二报文，第二报文标签为根据第一秘钥以及第二五元组信息获取。

在本公开的一个实现方式中，响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且第二报文包括第二报文标签，发送第二报文，包括：

响应于第二五元组信息与第二访问控制列表匹配、第二五元组信息中的目的信息与第一五元组信息中的源信息匹配、且第二报文包括第二报文标签，发送第二报文。

在本公开的一个实现方式中，响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且第二报文包括第二报文标签，发送第二报文之前，所述方法还包括：

检查第二报文是否包括第二报文标签，以获取第二检查结果；

响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且第二报文包括第二报文标签，发送第二报文，包括：

响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且根据第二检查结果确定第二报文包括第二报文标签，发送第二报文。

在本公开的一个实现方式中，所述方法还包括：

响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且根据第二检查结果确定第二报文不包括第二报文标签，将第二报文标签插入第二报文，并发送插入第二报文标签后的第二报文。

在本公开的一个实现方式中，获取第二报文，包括：

接收第二会话端发送的第二报文：

方法还包括：

发送第二报文标识更新信息，第二报文标识更新信息用于指示第二五元组信息以及第一交换机与第二报文标签之间的对应关系。

第四方面，本公开实现方式中提供了一种报文处理方法，其中，所述方法应用于第二会话端，所述方法包括：

响应于第一会话端与第二会话端之间的目标会话已建立，获取第一会话端发送的第一报文；

确定用于将第一会话端接入网络的第一交换机，并获取属于目标会话的第二待发送报文的第二五元组信息；

获取与第二五元组信息以及第一交换机对应的第二报文标签，并将第二报文标签插入第二待发送报文中，以获取第二报文；

发送第二报文。

在本公开的一个实现方式中，获取与第二五元组信息以及第一交换机对应的第二报文标签之前，方法还包括：

接收第二交换机发送的第二报文标识更新信息，并根据第二报文标识更新信息对第二报文标识数据库进行更新，第二报文标识更新信息用于指示第二五元组信息以及第一交换机与第二报文标签之间的对应关系；

获取与第二五元组信息以及第一交换机对应的第二报文标签，包括：

根据第一五元组信息以及与第一交换机对应的标识在第二报文标识数据库中进行查询，以获取第二报文标签。

在本公开的一个实现方式中，获取第一会话端发送的第一报文，包括：

接收第二会话端转发的第一报文；

对第一报文进行解析，以获取第一报文的第一五元组信息；

响应于第二五元组信息的目的信息与第一五元组信息的源信息匹配，且第二五元组信息的源信息与第一五元组信息的目的信息匹配，将第一报文中的第一报文标签确定为第二报文标签。

第五方面，本公开实现方式中提供了一种报文处理装置，所述装置包括：

第一报文获取模块，被配置为获取第一报文，对第一报文进行解析以获取第一五元组信息；

第一报文发送模块，被配置为响应于第一报文包括第一报文标签，发送第一报文，第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取；

第一报文接收模块，被配置为接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥；

第一报文转发模块，被配置为响应于第二秘钥与第一秘钥匹配，转发第二报文。

第六方面，本公开实现方式中提供了一种报文处理装置，所述装置包括：

第一五元组获取模块，被配置为响应于第一会话端与第二会话端之间的目标会话已建立，获取属于目标会话的第一待发送报文的第一五元组信息，并确定用于将第一会话端接入网络的第一交换机；

第一标签插入模块，被配置为获取与第一五元组信息以及第一交换机对应的第一报文标签，并将第一报文标签插入第一待发送报文中，以获取第一报文；

第二报文发送模块，被配置为发送第一报文。

第七方面，本公开实现方式中提供了一种报文处理装置，所述装置包括：

第二报文接收模块，被配置为接收第一报文，并对第一报文进行解析以获取第一五元组信息以及第一报文中的第一报文标签；

第一秘钥获取模块，被配置为根据第一五元组信息以及第一报文标签获取第一秘钥；

第二五元组获取模块，被配置为获取第二报文，并对第二报文进行解析获取第二报文的第二五元组信息；

第三报文发送模块，被配置为响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且第二报文包括第二报文标签，发送第二报文，第二报文标签为根据第一秘钥以及第二五元组信息获取。

第八方面，本公开实现方式中提供了一种报文处理装置，所述装置包括：

第二报文获取模块，被配置为响应于第一会话端与第二会话端之间的目标会话已建立，获取第一会话端发送的第一报文；

第三五元组获取模块，被配置为确定用于将第一会话端接入网络的第一交换机，并获取属于目标会话的第二待发送报文的第二五元组信息；

第二标签插入模块，被配置为获取与第二五元组信息以及第一交换机对应的第二报文标签，并将第二报文标签插入第二待发送报文中，以获取第二报文；

第四报文发送模块，被配置为发送第二报文。

第九方面，本公开实现方式中提供了一种电子设备，包括存储器和至少一个处理器；存储器用于存储一条或多条计算机指令，一条或多条计算机指令被至少一个处理器执行以实现第一方面至第四方面中任一实现方式所述的方法步骤。

第十方面，本公开实现方式中提供了一种计算机可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现第一方面至第四方面中任一实现方式所述的方法步骤。

第十一方面，本公开实现方式中提供了一种计算机程序产品，包括计算机指令，该计算机指令被处理器执行时实现如第一方面至第四方面中任一实现方式所述的方法步骤。

本公开实施例提供的技术方案可以包括以下有益效果：

根据本公开实施例提供的技术方案，通过获取第一报文，对第一报文进行解析以获取第一五元组信息，并响应于第一报文包括第一报文标签，发送第一报文。其中第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取，因此接收第一报文的第二交换机可以根据该第一报文获取第一五元组信息以及第一报文标签，从而基于该第一五元组信息以及第一报文标签获取第一报文标签，第二交换机可以根据该第一报文标签确定该第一报文是经那个交换机发送的。当第二交换机发送第二报文时，第二交换机可以确保第二报文包括根据第二秘钥以及第二报文的第二五元组信息获取的第二报文标签，其中若第二报文与第一报文属于同一会话，则可以使第二秘钥与第一秘钥匹配。第一交换机通过接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥，当第二秘钥与第一秘钥匹配时，可以确定该第二报文与之前通过第一交换机发送的报文属于同一会话，因此响应于第二秘钥与第一秘钥匹配，转发第二报文。在上述过程中，由于在第一交换机处未基于会话表进行查询，因此上述方案在确保第一交换机所转发的报文属于通过该第一交换机建立的会话的前提下，减少了内存负载，降低了转发报文的时延，从而改善了用户体验。

根据本公开实施例提供的技术方案，通过响应于第一五元组信息与第一访问控制列表匹配，且第一报文包括第一报文标签，发送第一报文，可以确保经第一交换机所转发的报文安全性较高。

根据本公开实施例提供的技术方案，通过检查第一报文是否包括第一报文标签，以获取第一检查结果，并响应于根据第一检查结果确定第一报文包括第一报文标签，发送第一报文，可以在第一报文已包括第一报文标签时，加快发送第一报文的速度，降低了发送报文的时延，改善了用户体验。

根据本公开实施例提供的技术方案，通过响应于根据第一检查结果确定第一报文不包括第一报文标签，将第一报文标签插入第一报文，并发送插入第一报文标签后的第一报文，可以确保经第一交换机所发送的第一报文均包括第一报文标签，避免因第一交换机所发送的第一报文不包括第一报文标签，而导致接收该第一报文的交换机无法确定该第一报文是通过那个交换机所发送的。

根据本公开实施例提供的技术方案，当第一报文为第一会话端发送的时，为了确保第一会话端能够使其发送的第一报文均包括第一报文标签，通过发送用于指示第一五元组信息以及第一交换机与第一报文标签之间的对应关系的第一报文标识更新信息，可以使第一会话端可以根据该第一报文标识更新信息获知第一五元组信息以及第一交换机与第一报文标签之间的对应关系，在需要发送第一报文时，可以基于第一报文的第一五元组信息，以及用于发送该第一报文的第一交换机，获取第一报文标签，并将第一报文标签插入第一报文，从而确保第一会话端所发送的第一报文均包括第一报文标签。

根据本公开实施例提供的技术方案，通过响应于第一会话端与第二会话端之间的目标会话已建立，获取属于目标会话的第一待发送报文的第一五元组信息，并确定用于将第一会话端接入网络的第一交换机。获取与第一五元组信息以及第一交换机对应的第一报文标签，并将第一报文标签插入第一待发送报文中，以获取第一报文，发送第一报文，可以使第一交换机能够收到包括第一报文标签的第一报文，以便于第一交换机可以对第一报文进行解析以获取第一五元组信息，并响应于第一报文包括第一报文标签，发送第一报文。其中第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取，因此接收第一报文的第二交换机可以根据该第一报文获取第一五元组信息以及第一报文标签，从而基于该第一五元组信息以及第一报文标签获取第一报文标签，第二交换机可以根据该第一报文标签确定该第一报文是经那个交换机发送的。当第二交换机发送第二报文时，第二交换机可以确保第二报文包括根据第二秘钥以及第二报文的第二五元组信息获取的第二报文标签，其中若第二报文与第一报文属于同一会话，则可以使第二秘钥与第一秘钥匹配。第一交换机通过接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥，当第二秘钥与第一秘钥匹配时，可以确定该第二报文与之前通过第一交换机发送的报文属于同一会话，因此响应于第二秘钥与第一秘钥匹配，转发第二报文。在上述过程中，由于在第一交换机处未基于会话表进行查询，因此上述方案在确保第一交换机所转发的报文属于通过该第一交换机建立的会话的前提下，减少了内存负载，降低了转发报文的时延，从而改善了用户体验。

根据本公开实施例提供的技术方案，通过接收第一交换机发送的第一报文标识更新信息，并根据第一报文标识更新信息对第一报文标识数据库进行更新，根据第一五元组信息以及与第一交换机对应的标识在第一报文标识数据库中进行查询，以获取第一报文标签，可以确保所获取的第一报文标签是基于第一交换机所指示的、第一五元组信息以及第一交换机与第一报文标签之间的对应关系获取的，确保接收该第一报文的交换机可以基于该第一报文标签确定该第一报文是通过那个交换机所发送的。

根据本公开实施例提供的技术方案，通过接收第一交换机转发的第二报文，并对第二报文进行解析，以获取第二报文的第二五元组信息，响应于第二五元组信息的源信息与第一五元组信息的目的信息匹配，且第二五元组信息的目的信息与第一五元组信息的源信息匹配，即确定第二报文与第一报文属于目标会话时，将第二报文中的第二报文标签确定为第一报文标签。其中，第二报文中的第二报文标签，可以为第二交换机基于目标报文标签算法，将第二五元组信息以及第一秘钥代入进行计算获取的，并且，基于目标报文标签算法将第二五元组信息以及第一秘钥代入进行计算获取的报文标签与第一五元组信息以及第一秘钥代入进行计算获取的报文标签可以相同，因此在满足上述条件时，可以直接将第二报文中的第二报文标签确定为第一报文标签，加快了获取第一报文标签的速度。

根据本公开实施例提供的技术方案，通过接收第一报文，并对第一报文进行解析以获取第一五元组信息以及第一报文中的第一报文标签。其中第一报文为第一交换机响应于第一报文包括第一报文标签发送的，其中第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取，因此接收第一报文的第二交换机可以根据第一五元组信息以及第一报文标签获取第一秘钥，并获取第二报文，并对第二报文进行解析获取第二报文的第二五元组信息，响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，即确定第二报文与第一报文属于同一会话，且第二报文包括第二报文标签，发送第二报文，第二报文标签为根据第一秘钥以及第二五元组信息获取。第一交换机通过接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥，当第二秘钥与第一秘钥匹配时，可以确定该第二报文与之前通过第一交换机发送的报文属于同一会话，因此响应于第二秘钥与第一秘钥匹配，转发第二报文。在上述过程中，由于在第一交换机处未基于会话表进行查询，因此上述方案在确保第一交换机所转发的报文属于通过该第一交换机建立的会话的前提下，减少了内存负载，降低了转发报文的时延，从而改善了用户体验。

根据本公开实施例提供的技术方案，通过响应于第二五元组信息与第二访问控制列表匹配、第二五元组信息中的目的信息与第一五元组信息中的源信息匹配、且第二报文包括第二报文标签，发送第二报文，可以确保经第二交换机所转发的报文安全性较高。

根据本公开实施例提供的技术方案，通过检查第二报文是否包括第二报文标签，以获取第二检查结果，并响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且根据第二检查结果确定第二报文包括第二报文标签，发送第二报文，可以在第二报文已包括第二报文标签时，加快发送第二报文的速度，降低了发送报文的时延，改善了用户体验。

根据本公开实施例提供的技术方案，通过响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且根据第二检查结果确定第二报文不包括第二报文标签，将第二报文标签插入第二报文，并发送插入第二报文标签后的第二报文，可以确保经第二交换机所发送的第二报文均包括第二报文标签，避免因第二交换机所发送的第二报文不包括第二报文标签，而导致接收该第二报文的交换机无法确定该第二报文与通过那个交换机发送的报文属于同一会话。

根据本公开实施例提供的技术方案，当第二报文为第二会话端发送的时，为了确保第二会话端能够使其发送的第二报文均包括第二报文标签，通过发送用于指示第二五元组信息以及第一交换机与第二报文标签之间的对应关系的第二报文标识更新信息，可以使第二会话端可以根据该第二报文标识更新信息获知第二五元组信息以及第一交换机与第二报文标签之间的对应关系，在需要发送第二报文时，可以基于第二报文的第二五元组信息，以及用于发送与该第二报文属于同一会话的第一报文的第一交换机，获取第二报文标签，并将第二报文标签插入第二报文，从而确保第二会话端所发送的第二报文均包括第二报文标签。

根据本公开实施例提供的技术方案，通过响应于第一会话端与第二会话端之间的目标会话已建立，获取第一会话端发送的第一报文；确定用于将第一会话端接入网络的第一交换机，并获取属于目标会话的第二待发送报文的第二五元组信息；获取与第二五元组信息以及第一交换机对应的第二报文标签，并将第二报文标签插入第二待发送报文中，以获取第二报文；发送第二报文。上述方案可以使第二交换机能够收到包括第二报文标签的第二报文，从而确保第二交换机所发送的第二报文包括第二报文标签。其中，由于第二报文标签与第二五元组信息以及第一交换机对应，因此第一交换机通过接收第二报文，对第二报文进行解析可以获取第二五元组信息以及第二报文中的第二报文标签，根据第二报文标签以及第二五元组信息可以获取第二秘钥，当第二秘钥与第一秘钥匹配时，可以确定该第二报文与之前通过第一交换机发送的报文属于同一会话，因此响应于第二秘钥与第一秘钥匹配，转发第二报文。在上述过程中，由于在第一交换机处未基于会话表进行查询，因此上述方案在确保第一交换机所转发的报文属于通过该第一交换机建立的会话的前提下，减少了内存负载，降低了转发报文的时延，从而改善了用户体验。

根据本公开实施例提供的技术方案，通过接收第二交换机发送的第二报文标识更新信息，并根据第二报文标识更新信息对第二报文标识数据库进行更新，根据第二五元组信息以及与第一交换机对应的标识在第二报文标识数据库中进行查询，以获取第二报文标签，可以确保所获取的第二报文标签是基于第一交换机所指示的、第二五元组信息以及第一交换机与第二报文标签之间的对应关系获取的，确保接收该第二报文的交换机可以基于该第二报文标签确定该第二报文是通过那个交换机所发送的。

根据本公开实施例提供的技术方案，通过接收第二会话端转发的第一报文；对第一报文进行解析，以获取第一报文的第一五元组信息；响应于第二五元组信息的目的信息与第一五元组信息的源信息匹配，且第二五元组信息的源信息与第一五元组信息的目的信息匹配，即确定第二报文与第一报文均属于目标会话时，将第一报文中的第一报文标签确定为第二报文标签。其中，第一报文中的第一报文标签，可以为第一交换机基于目标报文标签算法，将第一五元组信息以及第一秘钥代入进行计算获取的，并且，基于目标报文标签算法将第二五元组信息以及第一秘钥代入进行计算获取的报文标签与第一五元组信息以及第一秘钥代入进行计算获取的报文标签可以相同，因此在满足上述条件时，可以直接将第一报文中的第一报文标签确定为第二报文标签，加快了获取第二报文标签的速度。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

结合附图，通过以下非限制性实施方式的详细描述，本公开的其它特征、目的和优点将变得更加明显。在附图中：

图1示出根据本公开一实施方式的报文处理系统的示意性结构框图。

图2示出根据本公开一实施方式的报文处理方法的流程图。

图3示出根据本公开一实施方式的报文处理方法的流程图。

图4示出根据本公开一实施方式的报文处理方法的流程图。

图5示出根据本公开一实施方式的报文处理方法的流程图。

图6示出根据本公开一实施方式的报文处理装置的结构框图。

图7示出根据本公开一实施方式的报文处理装置的结构框图。

图8示出根据本公开一实施方式的报文处理装置的结构框图。

图9示出根据本公开一实施方式的报文处理装置的结构框图。

图10示出根据本公开一实施方式的电子设备的结构框图。

图11是适于用来实现根据本公开一实施方式的方法的计算机系统的结构示意图。

具体实施方式

下文中，将参考附图详细描述本公开的示例性实施方式，以使本领域技术人员可容易地实现它们。此外，为了清楚起见，在附图中省略了与描述示例性实施方式无关的部分。

在本公开中，应理解，诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的标签、数字、步骤、行为、部件、部分或其组合的存在，并且不欲排除一个或多个其他标签、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。

另外还需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的标签可以相互组合。下面将参考附图并结合实施例来详细说明本公开。

为了确保虚拟交换机所转发的报文是否属于通过该虚拟交换机建立的会话，本公开发明人考虑了如下方案：相关技术中，虚拟交换机在工作时，可以根据已建立的会话对自身的会话表进行更新，其中会话表可以用于保存对应报文的五元组信息，该对应报文可以理解为通过该虚拟交换机建立的会话所属的报文，当虚拟交换机收到报文时，可以根据收到的报文的五元组信息在会话表中进行查询，以确定收到的报文是否属于为通过该虚拟交换机建立的会话，若确定，则可以转发收到的报文。此方案的缺点：近年来，随着虚拟化技术的不断发展，迁移到虚拟私有云的用户也越来越多。当虚拟专有云的用户量达到相当大的规模时，虚拟交换机的会话表的数据量也会变得非常大，当虚拟交换机在会话表中进行数据查询时，会急剧增加内存存储存会话表的负载，使查找速度较低，增加了转发报文的时延，从而损害了用户的产品使用体验。

考虑以上方案的缺点，本公开发明人提出了新的方案：该方案应用于第一交换机，通过获取第一报文，对第一报文进行解析以获取第一五元组信息，并响应于第一报文包括第一报文标签，发送第一报文。其中第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取，因此接收第一报文的第二交换机可以根据该第一报文获取第一五元组信息以及第一报文标签，从而基于该第一五元组信息以及第一报文标签获取第一报文标签，第二交换机可以根据该第一报文标签确定该第一报文是经那个交换机发送的。当第二交换机发送第二报文时，第二交换机可以确保第二报文包括根据第二秘钥以及第二报文的第二五元组信息获取的第二报文标签，其中若第二报文与第一报文属于同一会话，则可以使第二秘钥与第一秘钥匹配。第一交换机通过接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥，当第二秘钥与第一秘钥匹配时，可以确定该第二报文与之前通过第一交换机发送的报文属于同一会话，因此响应于第二秘钥与第一秘钥匹配，转发第二报文。在上述过程中，由于在第一交换机处未基于会话表进行查询，因此上述方案在确保第一交换机所转发的报文属于通过该第一交换机建立的会话的前提下，减少了内存负载，降低了转发报文的时延，从而改善了用户体验。

为了解决上述问题，本公开提出报文处理方法及电子设备。

图1示出根据本公开一实施方式的报文处理系统的示意性结构框图，如图1所述，报文处理系统包括第一会话端101、第一交换机102、第二交换机103以及第二会话端104。

其中，第一会话端101，用于将发往网络的报文发送到第一交换机102，并通过第一交换机102接收属于第一会话端101的来自网络的报文。第一会话端101可以为虚拟机(Virtual Machine，VM)，也可以为物理机。

第一交换机102，用于将第一会话端101发往网络的报文转发到网络，将属于第一会话端101的来自网络的报文转发到第一会话端101，并对第一会话端101的报文进行管理。第一交换机102可以为交换机(Switch)，也可以为虚拟交换机(virtual switch)。

第二交换机103，用于将属于第二会话端104的来自网络的报文转发到第二会话端104，将第二会话端104发往网络的报文转发到网络，并对第二会话端104的报文进行管理。第二交换机103可以为交换机，也可以为虚拟交换机。

第二会话端104，用于通过第二交换机103接收属于第二会话端104的来自网络的报文，并将发往网络的报文发送到第二交换机103。第二会话端104可以为虚拟机，也可以为物理机。

其中，虚拟机，可以被理解为运行在虚拟化平台的虚拟化层。示例性的，在云计算平台，虚拟机可以是在集群服务器上通过所述虚拟化技术划分出来的一个或多个独立主机(即云主机)或者一个或多个独立服务器(即云服务器)；在其他虚拟化系统或者平台中，虚拟机可以是一个或者多个物理主机上采用所述虚拟化技术实现的一个或多个虚拟主机，或者可以是一个或者多个物理服务器上采用所述虚拟化技术实现的一个或多个虚拟专用服务器。

物理机，可以理解为是相对于虚拟机而言对实体计算机的命名。物理机可以提供给虚拟机以硬件环境。

交换机，可以理解为用于数据中转的网络设备，交换机可以为接入自身的任意两个网络节点提供的传输通道。

虚拟交换机，可以理解为基于物理机虚拟得到虚拟机后，可以为该虚拟机虚拟出属于相应的虚拟交换机，虚拟机可通过该虚拟交换机与其他虚拟机或物理机进行通信。

图2示出根据本公开一实施方式的报文处理方法的流程图，该方法应用于第一交换机，如图2所示，报文处理方法包括步骤S101、S102、S103、S104。

在步骤S101中，获取第一报文，对第一报文进行解析以获取第一五元组信息。

在步骤S102中，响应于第一报文包括第一报文标签，发送第一报文，第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取。

在步骤S103中，接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥。

在步骤S104中，响应于第二秘钥与第一秘钥匹配，转发第二报文。

在本公开的一个实施例中，第一报文可以理解为，第一会话端发往网络的报文，其中第一报文可以为向第二会话端发送的报文，第一会话端与第二会话端之间建立了目标会话(Session)，第一报文属于该目标会话。

在本公开的一个实施例中，获取第一报文，可以为接收第一会话端发送的报文，也可以为接收其他装置或系统转发的第一报文。

在本公开的一个实施例中，第一五元组信息可以理解为用于指示第一报文的五元组，其中五元组包括源IP地址(Source IP)、源端口(Source Port)、目的IP地址(Destination IP)、目的端口(Destination Port)以及传输层协议。

在本公开的一个实施例中，第一报文包括第一报文标签，可以理解为第一报文标签位于第一报文的至少一个字段中。示例性的，第一报文为基于互联网协议版本6(Internet Protocol Version 6，IPV6)的报文时，第一报文标签可以位于第一报文的二层报文与三层报文之间的字段中，该字段可以为流标签(flow label)字段。或者，第一报文为基于互联网协议版本4(Internet Protocol Version 4，IPV4)的报文时，第一报文标签可以位于第一报文的多协议标签交换(Multi-Protocol Label Switching，MPLS)字段。

在本公开的一个实施例中，第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取，可以理解为，根据预先获取的报文标签计算算法，代入第一秘钥以及第一五元组信息进行计算，以获取该第一报文标签；或者，也可以理解为获取预先训练得到的报文标签模型，并将第一秘钥以及第一五元组信息输入该报文标签模型，以获取该报文标签模型输出的第一报文标签。

在本公开的一个实施例中，发送第一报文，可以理解为根据第一五元组信息发送该第一报文。

在本公开的一个实施例中，第二报文，可以理解为第二会话端发往网络的报文，其中第二报文可以为向第一会话端发送的报文，且第二报文属于第一会话端与第二会话端之间建立的目标会话。

在本公开的一个实施例中，第二五元组信息可以理解为用于指示第二报文的五元组。

在本公开的一个实施例中，第二报文包括第二报文标签，可以理解为第二报文标签位于第二报文的至少一个字段中。示例性的，第二报文为基于IPV6协议的报文时，第二报文标签可以位于第二报文的二层报文与三层报文之间的字段中，该字段可以为flow label字段。或者，第二报文为基于IPV4协议的报文时，第二报文标签可以位于第二报文的多协议标签交换字段。

在本公开的一个实施例中，根据第二报文标签以及第二五元组信息获取第二秘钥，可以理解为根据预先获取的秘钥计算算法，代入第二报文标签以及第二五元组信息进行计算，以获取该第二秘钥；或者，也可以理解为获取预先训练得到的秘钥模型，并将第二报文标签以及第二五元组信息输入该秘钥模型，以获取该秘钥模型输出的第二秘钥。

在本公开的一个实施例中，第二秘钥与第一秘钥匹配，可以理解为第二秘钥与第一秘钥相同；也可以理解为，基于秘钥匹配算法，代入第二秘钥与第一秘钥进行计算，根据该计算结果确定第二秘钥与第一秘钥是否匹配。

在本公开的一个实施例中，转发第二报文，可以理解为根据第二五元组信息转发该第二报文。

在本公开的一个实施例中，当第二秘钥与第一秘钥不匹配时，可以不转发该第二报文，丢弃该第二报文。

在本公开的一个实施例中，在步骤S104中，响应于第一报文包括第一报文标签，发送第一报文，可以通过如下步骤实现：

在本公开的一个实施例中，第一访问控制列表，可以被理解为可以包括被允许转发的报文的五元组信息中的至少一部分，例如，第一访问控制列表可以包括被允许转发的报文的五元组信息中的源IP以及源端口等。或者，第一访问控制列表也可以被理解为可以包括需要被丢弃的报文的五元组信息中的至少一部分，例如第一访问控制列表可以包括需要被丢弃的报文的五元组信息中的源IP以及源端口等。

在本公开的一个实施例中，当第一访问控制列表包括被允许转发的报文的五元组信息中的至少一部分时，第一五元组信息与第一访问控制列表匹配，可以理解为第一访问控制列表包括第一五元组信息中的至少一部分或全部信息。当第一访问控制列表包括需要被丢弃的报文的五元组信息中的至少一部分，第一五元组信息与第一访问控制列表匹配，可以理解为第一访问控制列表不包括第一五元组信息中的任一部分信息。

在本公开的一个实现方式中，在步骤S104中，响应于第一报文包括第一报文标签，发送第一报文之前，所述方法还包括如下步骤：

检查第一报文是否包括第一报文标签，以获取第一检查结果。

在步骤S104中，响应于第一报文包括第一报文标签，发送第一报文，可以通过如下步骤实现：

在本公开的一个实现方式中，检查第一报文是否包括第一报文标签，以获取第一检查结果，可以理解为读取第一报文中对应字段的内容，并根据所读取的内容与第一交换机根据第一秘钥以及第一五元组信息获取的第一报文标签进行对比，当二者相同时，则确定第一报文包括第一报文标签。

在本公开的一个实现方式中，在步骤S103中，接收第二报文之前，所述方法还包括如下步骤：

在本公开的一个实现方式中，将第一报文标签插入第一报文，可以理解为将第一报文标签插入第一报文的对应字段中，以获取插入第一报文标签后的第一报文。

在本公开的一个实现方式中，在步骤S101中，获取第一报文，可以通过如下步骤实现：

接收第一会话端发送的第一报文：

方法还包括如下步骤：

图3示出根据本公开一实施方式的报文处理方法的流程图，该方法应用于第一会话端，如图3所示，报文处理方法包括步骤S201、S202、S203。

在步骤S201中，响应于第一会话端与第二会话端之间的目标会话已建立，获取属于目标会话的第一待发送报文的第一五元组信息，并确定用于将第一会话端接入网络的第一交换机。

在步骤S202中，获取与第一五元组信息以及第一交换机对应的第一报文标签，并将第一报文标签插入第一待发送报文中，以获取第一报文。

在步骤S203中，发送第一报文。

在本公开的一个实现方式中，第一待发送报文，可以理解为第一会话端需要发往网络的报文。

在本公开的一个实现方式中，第一五元组信息可以理解为用于指示第一待发送报文的五元组，其中五元组包括源IP地址、源端口、目的IP地址、目的端口以及传输层协议。

在本公开的一个实现方式中，获取属于目标会话的第一待发送报文的第一五元组信息，可以理解为通过对第一待发送报文进行解析，以获取该第一五元组信息。

在本公开的一个实施例中，获取与第一五元组信息以及第一交换机对应的第一报文标签，可以理解为，根据第一五元组信息以及第一交换机对应的标签进行查询，以获取与第一五元组信息以及第一交换机对应的第一报文标签。

在本公开的一个实施例中，第一报文标签插入第一待发送报文中，可以理解为将第一报文标签插入待发送报文的至少一个字段中，以获取第一报文。示例性的，第一待发送报文为基于IPV6协议的报文时，第一报文标签可以插入第一待发送报文的二层报文与三层报文之间的字段中，以获取第一报文，该字段可以为flow label字段。或者，第一待发送报文为基于IPV4协议的报文时，第一报文标签可以插入第一待发送报文的MPLS字段，以获取第一报文。

在本公开的一个实现方式中，第一报文可以理解为，可以通过第一交换机发往网络的报文，其中第一报文可以为向第二会话端发送的报文，且第一报文属于该目标会话。

在本公开的一个实施例中，发送第一报文，可以理解为向第一交换机发送该第一报文，以便于第一交换机转发该第一报文。

在本公开的一个实现方式中，获取与第一五元组信息以及第一交换机对应的第一报文标签之前，方法还包括如下步骤：

在本公开的一个实施例中，第一报文标识数据库可以理解为，用于指示属于已建立的会话的报文的五元组信息以及用于转发报文的交换机对应的标识与报文标签之间的对应关系。

在本公开的一个实施例中，根据第一报文标识更新信息对第一报文标识数据库进行更新，可以为根据第一报文标识更新信息在第一报文标识数据库中进行检索，以确定第一报文标识数据库是否包括用于指示第一五元组信息、第一交换机对应的标识与第一报文标签存在对应关系的信息，当确定第一报文标识数据库未包括所检索的信息时，在第一报文标识数据库中添加用于指示第一五元组信息、第一交换机对应的标识与第一报文标签存在对应关系的信息。

在本公开的一个实现方式中，获取与第一五元组信息以及第一交换机对应的第一报文标签，包括如下步骤：

在本公开的一个实施例中，第二五元组信息的源信息与第一五元组信息的目的信息匹配，可以理解为第二五元组信息的源IP与第一五元组信息的目的IP相同；或第二五元组信息的源IP与第一五元组信息的目的IP相同，且第二五元组信息的源端口与第一五元组信息的目的端口相同。

在本公开的一个实施例中，第二五元组信息的目的信息与第一五元组信息的源信息匹配，可以理解为第二五元组信息的目的IP与第一五元组信息的源IP相同；或第二五元组信息的目的IP与第一五元组信息的源IP相同，且第二五元组信息的目的端口与第一五元组信息的源端口相同。

在本公开的一个实施例中，第二报文标签可以位于第二报文的至少一个字段中。示例性的，第二报文为基于IPV6协议的报文时，第二报文标签可以位于第二报文的二层报文与三层报文之间的字段中，该字段可以为flow label字段。或者，第二报文为基于IPV4协议的报文时，第二报文标签可以位于第二报文的多协议标签交换字段。

图4示出根据本公开一实施方式的报文处理方法的流程图，该方法应用于第二交换机，如图4所示，报文处理方法包括步骤S301、S302、S303、S304。

在步骤S301中，接收第一报文，并对第一报文进行解析以获取第一五元组信息以及第一报文中的第一报文标签。

在步骤S302中，根据第一五元组信息以及第一报文标签获取第一秘钥。

在步骤S303中，获取第二报文，并对第二报文进行解析获取第二报文的第二五元组信息。

在步骤S304中，响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且第二报文包括第二报文标签，发送第二报文，第二报文标签为根据第一秘钥以及第二五元组信息获取。

在本公开的一个实施例中，第一报文可以理解为，第一会话端通过第一交换机发往网络的报文，其中第一报文可以为向第二会话端发送的报文，第一会话端与第二会话端之间建立了目标会话，第一报文属于该目标会话。

在本公开的一个实施例中，第一五元组信息可以理解为用于指示第一报文的五元组，其中五元组包括源IP地址、源端口、目的IP地址、目的端口以及传输层协议。

在本公开的一个实施例中，第一报文标签可以位于第一报文的至少一个字段中。示例性的，第一报文为基于IPV6协议的报文时，第一报文标签可以位于第一报文的二层报文与三层报文之间的字段中，该字段可以为flow label字段。或者，第一报文为基于IPV4协议的报文时，第一报文标签可以位于第一报文的MPLS字段。

在本公开的一个实施例中，第一报文标签可以为根据与第一交换机对应的第一秘钥以及第一五元组信息获取，具体的，可以根据预先获取的报文标签计算算法，代入第一秘钥以及第一五元组信息进行计算，以获取该第一报文标签；或者，也可以理解为获取预先训练得到的报文标签模型，并将第一秘钥以及第一五元组信息输入该报文标签模型，以获取该报文标签模型输出的第一报文标签。

在本公开的一个实施例中，根据第一五元组信息以及第一报文标签获取第一秘钥，可以理解为，根据预先获取的秘钥计算算法，代入第一五元组信息以及第一报文标签进行计算，以获取该第一秘钥；或者，也可以理解为获取预先训练得到的秘钥模型，并将第一五元组信息以及第一报文标签输入该秘钥模型，以获取该秘钥模型输出的第一秘钥。

在本公开的一个实施例中，获取第二报文，可以为接收第二会话端发送的报文，也可以为接收其他装置或系统转发的第二报文。

在本公开的一个实施例中，第二报文包括第二报文标签，可以理解为第二报文标签位于第二报文的至少一个字段中。示例性的，第二报文为基于IPV6协议的报文时，第二报文标签可以位于第二报文的二层报文与三层报文之间的字段中，该字段可以为flow label字段。或者，第二报文为基于IPV4协议的报文时，第二报文标签可以位于第二报文的MPLS字段。

在本公开的一个实施例中，第二报文标签为根据第一秘钥以及第二五元组信息获取，可以理解为，根据预先获取的报文标签计算算法，代入第一秘钥以及第二五元组信息进行计算，以获取该第二报文标签；或者，也可以理解为获取预先训练得到的报文标签模型，并将第一秘钥以及第二五元组信息输入该报文标签模型，以获取该报文标签模型输出的第二报文标签。

在本公开的一个实施例中，发送第二报文，可以理解为根据第二五元组信息发送该第二报文。

在本公开的一个实施例中，第二访问控制列表，可以被理解为可以包括被允许转发的报文的五元组信息中的至少一部分，例如，第二访问控制列表可以包括被允许转发的报文的五元组信息中的源IP以及源端口等。或者，第二访问控制列表也可以被理解为可以包括需要被丢弃的报文的五元组信息中的至少一部分，例如第二访问控制列表可以包括需要被丢弃的报文的五元组信息中的源IP以及源端口等。

在本公开的一个实施例中，当第二访问控制列表包括被允许转发的报文的五元组信息中的至少一部分时，第二五元组信息与第二访问控制列表匹配，可以理解为第二访问控制列表包括第二五元组信息中的至少一部分或全部信息。当第二访问控制列表包括需要被丢弃的报文的五元组信息中的至少一部分，第二五元组信息与第一访问控制列表匹配，可以理解为第二访问控制列表不包括第二五元组信息中的任一部分信息。

在本公开的一个实现方式中，检查第二报文是否包括第二报文标签，以获取第二检查结果，可以理解为读取第二报文中对应字段的内容，并根据所读取的内容与第二交换机根据第一秘钥以及第二五元组信息获取的第二报文标签进行对比，当二者相同时，则确定第二报文包括第二报文标签。

在本公开的一个实现方式中，所述方法还包括：

在本公开的一个实现方式中，将第二报文标签插入第二报文，可以理解为将第二报文标签插入第二报文的对应字段中，以获取插入第二报文标签后的第二报文。

在本公开的一个实现方式中，获取第二报文，包括：

接收第二会话端发送的第二报文：

方法还包括：

图5示出根据本公开一实施方式的报文处理方法的流程图，该方法应用于第二会话端，如图5所示，报文处理方法包括步骤S401、S402、S403、S404。

在步骤S401中，响应于第一会话端与第二会话端之间的目标会话已建立，获取第一会话端发送的第一报文。

在步骤S402中，确定用于将第一会话端接入网络的第一交换机，并获取属于目标会话的第二待发送报文的第二五元组信息。

在步骤S403中，获取与第二五元组信息以及第一交换机对应的第二报文标签，并将第二报文标签插入第二待发送报文中，以获取第二报文。

在步骤S404中，发送第二报文。

在本公开的一个实施例中，第一报文可以理解为，由第一会话端发往网络的报文，其中第一报文可以属于目标会话。

在本公开的一个实现方式中，确定用于将第一会话端接入网络的第一交换机，可以理解为对第一会话进行解析以获取第一五元组信息，根据该根据第一五元组信息进行查询，以确定用于将第一会话端接入网络的第一交换机。其中，第一五元组信息可以理解为用于指示第一待发送报文的五元组，其中五元组包括源IP地址、源端口、目的IP地址、目的端口以及传输层协议。

在本公开的一个实现方式中，第二五元组信息可以理解为用于指示第二待发送报文的五元组。

在本公开的一个实现方式中，获取属于目标会话的第二待发送报文的第二五元组信息，可以理解为通过对第二待发送报文进行解析，以获取该第二五元组信息。

在本公开的一个实现方式中，获取与第二五元组信息以及第一交换机对应的第二报文标签，可以理解为，根据第二五元组信息以及第一交换机对应的标签进行查询，以获取与第二五元组信息以及第一交换机对应的第二报文标签。

在本公开的一个实施例中，第二报文标签插入第二待发送报文中，可以理解为将第二报文标签插入待发送报文的至少一个字段中，以获取第二报文。示例性的，第二待发送报文为基于IPV6协议的报文时，第二报文标签可以插入第二待发送报文的二层报文与三层报文之间的字段中，以获取第二报文，该字段可以为flow label字段。或者，第二待发送报文为基于IPV4协议的报文时，第二报文标签可以插入第二待发送报文的MPLS字段，以获取第二报文。

在本公开的一个实现方式中，第二报文可以理解为，可以通过第二交换机发往网络的报文，其中第二报文可以为向第一会话端发送的报文，且第二报文属于该目标会话。

在本公开的一个实施例中，第二报文标识数据库可以理解为，用于指示属于已建立的会话的报文的五元组信息、用于转发与该报文属于同一个会话的报文的交换机对应的标识与报文标签之间的对应关系。

在本公开的一个实施例中，根据第二报文标识更新信息对第二报文标识数据库进行更新，可以为根据第二报文标识更新信息在第二报文标识数据库中进行检索，以确定第二报文标识数据库是否包括用于指示第二五元组信息、第一交换机对应的标识与第二报文标签存在对应关系的信息，当确定第二报文标识数据库未包括所检索的信息时，在第二报文标识数据库中添加用于指示第二五元组信息、第一交换机对应的标识与第二报文标签存在对应关系的信息。

接收第二会话端转发的第一报文；

对第一报文进行解析，以获取第一报文的第一五元组信息；

在本公开的一个实施例中，第一五元组信息可以理解为用于指示第一报文的五元组。

在本公开的一个实施例中，第一报文标签可以位于第一报文的至少一个字段中。示例性的，第一报文为基于IPV6协议的报文时，第一报文标签可以位于第一报文的二层报文与三层报文之间的字段中，该字段可以为flow label字段。或者，第一报文为基于IPV4协议的报文时，第一报文标签可以位于第二报文的多协议标签交换字段。

以下参照图6描述根据本公开一实施方式的报文处理装置。图6示出根据本公开一实施方式的报文处理装置的结构框图。

如图6所示，报文处理装置200包括：

第一报文获取模块201，被配置为获取第一报文，对第一报文进行解析以获取第一五元组信息；

第一报文发送模块202，被配置为响应于第一报文包括第一报文标签，发送第一报文，第一报文标签为根据与第一交换机对应的第一秘钥以及第一五元组信息获取；

第一报文接收模块203，被配置为接收第二报文，对第二报文进行解析以获取第二五元组信息以及第二报文中的第二报文标签，并根据第二报文标签以及第二五元组信息获取第二秘钥；

第一报文转发模块204，被配置为响应于第二秘钥与第一秘钥匹配，转发第二报文。

本领域技术人员可以理解，参照图6描述的技术方案的可以与参照上述描述的任一实施例结合，从而具备上述描述的任一实施例所实现的技术效果。具体内容可以参照上述实施例的描述，其具体内容在此不再赘述。

以下参照图7描述根据本公开一实施方式的报文处理装置。图7示出根据本公开一实施方式的报文处理装置的结构框图。

如图7所示，报文处理装置300包括：

第一五元组获取模块301，被配置为响应于第一会话端与第二会话端之间的目标会话已建立，获取属于目标会话的第一待发送报文的第一五元组信息，并确定用于将第一会话端接入网络的第一交换机；

第一标签插入模块302，被配置为获取与第一五元组信息以及第一交换机对应的第一报文标签，并将第一报文标签插入第一待发送报文中，以获取第一报文；

第二报文发送模块303，被配置为发送第一报文。

本领域技术人员可以理解，参照图7描述的技术方案的可以与参照上述描述的任一实施例结合，从而具备上述描述的任一实施例所实现的技术效果。具体内容可以参照上述实施例的描述，其具体内容在此不再赘述。

以下参照图8描述根据本公开一实施方式的报文处理装置。图8示出根据本公开一实施方式的报文处理装置的结构框图。

如图8所示，报文处理装置400包括：

第二报文接收模块401，被配置为接收第一报文，并对第一报文进行解析以获取第一五元组信息以及第一报文中的第一报文标签；

第一秘钥获取模块402，被配置为根据第一五元组信息以及第一报文标签获取第一秘钥；

第二五元组获取模块403，被配置为获取第二报文，并对第二报文进行解析获取第二报文的第二五元组信息；

第三报文发送模块404，被配置为响应于第二五元组信息中的目的信息与第一五元组信息中的源信息匹配，且第二报文包括第二报文标签，发送第二报文，第二报文标签为根据第一秘钥以及第二五元组信息获取。

本领域技术人员可以理解，参照图8描述的技术方案的可以与参照上述描述的任一实施例结合，从而具备上述描述的任一实施例所实现的技术效果。具体内容可以参照上述实施例的描述，其具体内容在此不再赘述。

以下参照图9描述根据本公开一实施方式的报文处理装置。图9示出根据本公开一实施方式的报文处理装置的结构框图。

如图9所示，报文处理装置500包括：

第二报文获取模块501，被配置为响应于第一会话端与第二会话端之间的目标会话已建立，获取第一会话端发送的第一报文；

第三五元组获取模块502，被配置为确定用于将第一会话端接入网络的第一交换机，并获取属于目标会话的第二待发送报文的第二五元组信息；

第二标签插入模块503，被配置为获取与第二五元组信息以及第一交换机对应的第二报文标签，并将第二报文标签插入第二待发送报文中，以获取第二报文；

第四报文发送模块504，被配置为发送第二报文。

本领域技术人员可以理解，参照图9描述的技术方案的可以与参照上述描述的任一实施例结合，从而具备上述描述的任一实施例所实现的技术效果。具体内容可以参照上述实施例的描述，其具体内容在此不再赘述。

图10示出根据本公开一实施方式的电子设备的结构框图。

本公开实施方式还提供了一种电子设备，如图10所示，包括至少一个处理器601；以及与至少一个处理器601通信连接的存储器602；其中，存储器602存储有可被至少一个处理器601执行的指令，指令被至少一个处理器601执行以实现上述任一种报文处理方法中的步骤：

如图11所示，计算机系统700包括处理单元701，其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行上述附图所示的实施方式中的各种处理。在RAM703中，还存储有系统700操作所需的各种程序和数据。CPU701、ROM702以及RAM703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。

以下部件连接至I/O接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。其中，所述处理单元701可实现为CPU、GPU、TPU、FPGA、NPU等处理单元。

特别地，根据本公开的实施方式，上文参考附图描述的方法可以被实现为计算机软件程序。示例性的，本公开的实施方式包括一种计算机程序产品，其包括有形地包含在及其可读介质上的计算机程序，所述计算机程序包含用于执行附图中的方法的程序代码。在这样的实施方式中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。示例性的，本公开的实施方式包括一种可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现用于执行附图中的方法的程序代码。

附图中的流程图和框图，图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。示例性的，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。

作为另一方面，本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施方式中所述节点中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。示例性的上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims

一种报文处理方法，其中，所述方法应用于第一交换机，所述方法包括：

获取第一报文，对所述第一报文进行解析以获取第一五元组信息；

响应于所述第一报文包括第一报文标签，发送所述第一报文，所述第一报文标签为根据与第一交换机对应的第一秘钥以及所述第一五元组信息获取；

接收第二报文，对所述第二报文进行解析以获取第二五元组信息以及所述第二报文中的第二报文标签，并根据所述第二报文标签以及所述第二五元组信息获取第二秘钥；

响应于所述第二秘钥与所述第一秘钥匹配，转发所述第二报文。
根据权利要求1所述的报文处理方法，其中，所述响应于所述第一报文包括第一报文标签，发送所述第一报文，包括：

响应于所述第一五元组信息与第一访问控制列表匹配，且所述第一报文包括第一报文标签，发送所述第一报文。
根据权利要求1所述的报文处理方法，其中，所述响应于所述第一报文包括第一报文标签，发送所述第一报文之前，所述方法还包括：

检查所述第一报文是否包括所述第一报文标签，以获取第一检查结果；

所述响应于所述第一报文包括所述第一报文标签，发送所述第一报文，包括：

响应于根据所述第一检查结果确定所述第一报文包括所述第一报文标签，发送所述第一报文。
根据权利要求3所述的报文处理方法，其中，所述接收第二报文之前，所述方法还包括：

响应于根据所述第一检查结果确定所述第一报文不包括所述第一报文标签，将所述第一报文标签插入所述第一报文，并发送插入所述第一报文标签后的第一报文。
根据权利要求4所述的报文处理方法，其中，所述获取第一报文，包括：

接收第一会话端发送的第一报文：

所述方法还包括：

发送第一报文标识更新信息，所述第一报文标识更新信息用于指示所述第一五元组信息以及所述第一交换机与所述第一报文标签之间的对应关系。
一种报文处理方法，其中，所述方法应用于第一会话端，所述方法包括：

响应于所述第一会话端与第二会话端之间的目标会话已建立，获取属于所述目标会话的第一待发送报文的第一五元组信息，并确定用于将所述第一会话端接入网络的第一交换机；

获取与所述第一五元组信息以及所述第一交换机对应的第一报文标签，并将所述第一报文标签插入所述第一待发送报文中，以获取所述第一报文；

发送所述第一报文。
一种报文处理方法，其中，所述方法应用于第二交换机，所述方法包括：

接收第一报文，并对所述第一报文进行解析以获取所述第一五元组信息以及所述第一报文中的第一报文标签；

根据所述第一五元组信息以及所述第一报文标签获取第一秘钥；

获取第二报文，并对所述第二报文进行解析获取所述第二报文的第二五元组信息；

响应于所述第二五元组信息中的目的信息与所述第一五元组信息中的源信息匹配，且所述第二报文包括第二报文标签，发送所述第二报文，所述第二报文标签为根据所述第一秘钥以及所述第二五元组信息获取。
根据权利要求7所述的报文处理方法，其中，所述响应于所述第二五元组信息中的目的信息与所述第一五元组信息中的源信息匹配，且所述第二报文包括第二报文标签，发送所述第二报文，包括：

响应于所述第二五元组信息与第二访问控制列表匹配、所述第二五元组信息中的目的信息与所述第一五元组信息中的源信息匹配、且所述第二报文包括第二报文标签，发送所述第二报文。
根据权利要求7所述的报文处理方法，其中，所述响应于所述第二五元组信息中的目的信息与所述第一五元组信息中的源信息匹配，且所述第二报文包括第二报文标签，发送所述第二报文之前，所述方法还包括：

检查所述第二报文是否包括所述第二报文标签，以获取第二检查结果；

所述响应于所述第二五元组信息中的目的信息与所述第一五元组信息中的源信息匹配，且所述第二报文包括第二报文标签，发送所述第二报文，包括：

响应于所述第二五元组信息中的目的信息与所述第一五元组信息中的源信息匹配，且根据所述第二检查结果确定所述第二报文包括所述第二报文标签，发送所述第二报文。
根据权利要求9所述的报文处理方法，其中，所述方法还包括：

响应于所述第二五元组信息中的目的信息与所述第一五元组信息中的源信息匹配，且根据所述第二检查结果确定所述第二报文不包括所述第二报文标签，将所述第二报文标签插入所述第二报文，并发送插入所述第二报文标签后的第二报文。
根据权利要求10所述的报文处理方法，其中，所述获取第二报文，包括：

接收第二会话端发送的第二报文：

所述方法还包括：

发送第二报文标识更新信息，所述第二报文标识更新信息用于指示所述第二五元组信息以及所述第一交换机与所述第二报文标签之间的对应关系。
一种报文处理方法，其中，所述方法应用于第二会话端，所述方法包括：

响应于第一会话端与所述第二会话端之间的目标会话已建立，获取所述第一会话端发送的第一报文；

确定用于将所述第一会话端接入网络的第一交换机，并获取属于所述目标会话的第二待发送报文的第二五元组信息；

获取与所述第二五元组信息以及所述第一交换机对应的第二报文标签，并将所述第二报文标签插入所述第二待发送报文中，以获取所述第二报文；

发送所述第二报文。
一种电子设备，其中，包括存储器和至少一个处理器；其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述至少一个处理器执行以实现权利要求1-12任一项所述的方法步骤。