CN114785536B - 一种报文处理方法及装置 - Google Patents

Abstract

本申请提供了一种报文处理方法及装置，涉及通信技术领域。该方法应用于IPsec加密处理器中，该方法为：接收网络设备发送的网络报文；利用所述网络设备对应的加密套件对所述网络报文进行加密处理，得到加密报文；将所述加密报文发送给所述网络设备，以使所述网络设备通过IPsec通道转发所述加密报文。由此，通过将IPsec协商和加密分别由网络设备和IPsec加密处理器处理，提升了网络IPsec吞吐/加密能力；在网络变更/扩容时，IPsec加密能力不再受传统防火墙、交换机等单台设备能力的限制，也可以应对大流量的加密处理，提升了IPsec的加密能力，同时也减轻了网络设备的处理压力。

Description

一种报文处理方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种报文处理方法及装置。

背景技术

IPsec(IP Security，IP安全)是IETF制定的三层隧道加密协议，它为互联网上传输的数据提供了高质量的、基于密码学的安全保证，是一种传统的实现三层VPN(VirtualPrivate Network，虚拟专用网络)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”，来保护通信方之间传输的用户数据，该通道通常称为IPsec隧道。

目前IPsec的协商和加密功能都集成在单台设备上，加密能力分散到各个防火墙FW、交换机等网络设备上，单台设备加密能力受限。在网络环境中，各个设备的转发、加密等性能相互独立，无法共享加密能力而且受制于成本限制；此外，单台设备加密能力有限；尤其当局域网出口侧有大流量需要加密时，设备加密能力极其容易达到上限，造成网络环境拥塞、丢包，进而影响网络质量。而且目前当网络出口需要扩容以提升IPsec吞吐时，只能采购新的防火墙/网络设备来实现，然而这样会增加网络建设和维护成本，同时会降低网络弹性。

因此，如何提升IPsec的加密处理能力，进而提升IPsec的吞吐能力是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种报文处理方法及装置，用以提升IPsec的加密处理能力，进而提升IPsec的吞吐能力。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种报文处理方法，应用于互联网协议安全IPsec加密处理器中，所述方法，包括：

接收网络设备发送的网络报文；

利用所述网络设备对应的加密套件对所述网络报文进行加密处理，得到加密报文；

将所述加密报文发送给所述网络设备，以使所述网络设备通过IPsec通道转发所述加密报文。

可选地，所述IPsec加密处理器中的加密套件为按照下述方法获取到的：

接收所述网络设备的注册请求，所述注册请求包括所述网络设备的加密套件；

记录所述网络设备的加密套件。

可选地，本实施例提供的报文处理方法，还包括：

接收网络设备发送的加密套件更新请求，所述加密套件更新请求中包括新的加密套件；

将记录的所述网络设备的加密套件更新为所述新的加密套件。

可选地，所述IPsec加密处理器为与所述网络设备相连的专用硬件设备，或者，所述IPsec加密处理器由服务器上的软件实现，所述服务器与所述网络设备相连。

可选地，所述IPsec加密处理器通过设定的统一接口与网络设备交互。

根据本申请的第二方面，提供一种报文处理装置，设置于互联网协议安全IPsec加密处理器中，所述装置，包括：

第一接收模块，用于接收网络设备发送的网络报文；

加密模块，用于利用所述网络设备对应的加密套件对所述网络报文进行加密处理，得到加密报文；

发送模块，用于将所述加密报文发送给所述网络设备，以使所述网络设备通过IPsec通道转发所述加密报文。

可选地，本实施例提供的报文处理装置，还包括：

第二接收模块，用于接收所述网络设备的注册请求，所述注册请求包括所述网络设备的加密套件；

记录模块，用于记录所述网络设备的加密套件。

可选地，本实施例提供的报文处理装置，还包括：

第三接收模块，用于接收网络设备发送的加密套件更新请求，所述加密套件更新请求中包括新的加密套件；

更新模块，用于将记录的所述网络设备的加密套件更新为所述新的加密套件。

可选地，所述IPsec加密处理器为与所述网络设备相连的专用硬件设备，或者，所述IPsec加密处理器由服务器上的软件实现，所述服务器与所述网络设备相连。

可选地，所述IPsec加密处理器通过设定的统一接口与网络设备交互。

根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

本申请实施例的有益效果：

本申请实施例提供的报文处理方法及装置中，IP加密处理器会接收到网络设备发送的网络报文；然后利用网络设备对应的加密套件对所述网络报文进行加密处理，得到加密报文；再将所述加密报文发送给所述网络设备，以使所述网络设备通过IPsec通道转发所述加密报文。这样一来，通过将IPsec协商和加密分别由网络设备和IPsec加密处理器处理，提升了网络IPsec吞吐/加密能力；在网络变更/扩容时，IPsec加密能力不再受传统防火墙、交换机等单台设备能力的限制，也可以应对大流量的加密处理，提升了IPsec的加密能力，同时也减轻了网络设备的处理压力。

附图说明

图1是本申请实施例提供的一种报文处理方法的流程示意图；

图2是本申请实施例提供的网络设备与IP加密处理器的连接关系示意图；

图3是本申请实施例提供的一种报文处理装置的结构示意图；

图4是本申请实施例提供的一种实施报文处理方法的电子设备的硬件结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请提供的报文处理方法进行详细地说明。

参见图1，图1是本申请提供的一种报文处理方法的流程图，该方法应用于IPsec加密处理器中，该IPsec加密处理器实施上述方法时，可按照如下所示步骤实施：

S101、接收网络设备发送的网络报文。

本步骤中，上述网络设备为使用IPsec协议的设备，该网络设备可以但不限于为网关设备，例如防火墙设备等等。

具体地，为了提升网络设备的IPsec吞吐能力，同时减轻网络设备的处理压力，网络设备会将IPsec协商和加密处理进行分离，即，网络设备继续执行IKE/IPsec协商工作，然后加密工作由与网络设备相连的IPsec加密处理器来执行。基于此原理，网络设备会将IPsec相关的需要加密的网络报文发送给IPsec加密处理器。

S102、利用所述网络设备对应的加密套件对所述网络报文进行加密处理，得到加密报文。

本步骤中，IPsec加密处理器在接收到网络设备的网络报文后，就可以从本地获取该网络设备对应的加密套件，然后由IPsec加密处理器利用该网络设备的加密套件执行网络报文的加密，从而就可以得到能够在IPsec通道传输的加密报文。

可选地，上述网络设备的加密套件可以为预先配置到IPsec加密处理中的，不同的网络设备对应的加密套件可以相同也可以不同。为了方便维护，可以在IPsec加密处理器中记录网络设备的设备标识与加密套件之间的对应关系，而该对应关系属于动态更新的，当网络设备的加密套件有更新时，在更新IPsec加密处理器中的加密套件的同时，也会同步更新网络设备的设备标识与加密套件之间的对应关系。

可选地，上述IPsec加密处理器中的加密套件还可以为按照下述方法获取到的：接收网络设备的注册请求，该注册请求包括网络设备的加密套件；记录所述网络设备的加密套件。

具体地，网络设备可以向IPsec加密处理器发送注册请求，在该注册请求中携带网络设备的加密套件，这样IPsec加密处理器就可以记录该网络设备的加密套件。

此外，由于不同的网络设备对应的加密套件可以相同也可以不同，为了方便维护，网络设备的注册请求中会携带网络设备的设备标识，这样IPsec加密处理器就可以记录网络设备的设备标识与加密套件的对应关系，以维护网络设备的加密套件。

在此基础上，当接收到网络设备发送的网络报文时，网络设备同时会向IPsec发送该网络设备的设备标识，这样，IPsec加密处理器在获取到网络报文和网络设备的设备标识时，就可以基于该设备标识和IPsec加密处理器记录的对应关系中，确定该设备标识对应的加密套件；然后就可以利用加密套件对网络报文进行加密处理，得到上述加密报文。

需要说明的是，上述加密套件可以但不限于包括认证算法、加密算法和加密密钥等。

可选地，基于上述任一实施例，本实施例提供的报文处理方法，还可以包括下述流程：接收网络设备发送的加密套件更新请求，所述加密套件更新请求中包括新的加密套件；将记录的所述网络设备的加密套件更新为所述新的加密套件。

具体地，网络设备中的加密套件可能因IPsec协商发生变更的情况，当网络设备确认加密套件更新时，网络设备会向IPsec加密处理器发送加密套件更新请求，该更新请求中携带新的加密套件。这样，IPsec加密处理器就可以从更新请求中解析出新的加密套件，然后利用新的加密套件替换IPsec加密处理器中记录的该网络设备的加密套件，从而达到了加密套件更新的目的，进而实现能够利用最新的加密套件加密网络报文的目的。

此外，该加密套件更新请求中还可以携带该网络设备的设备标识，然后利用该设备标识查询设备标识与加密套件之间对应关系中与该设备标识对应的加密套件，然后利用更新请求中的新的加密套件更新查询到的加密套件。从而达到了加密套件更新的目的，进而实现能够利用最新的加密套件加密网络报文的目的。

值得注意的是，上述设备标识为用于唯一标识网络设备的标识，不同的网络设备对应的设备标识不同。例如，可以但不限于用网络设备的硬件标识作为设备标识来标识该网络设备。

S103、将所述加密报文发送给所述网络设备，以使所述网络设备通过IPsec通道转发所述加密报文。

本步骤中，IP加密处理器在按照步骤S102对网络报文加密后，就可以将加密报文发送给网络设备，这样也就实现了IPsec协商和网络报文的加密，进而网络设备就可以通过协商的IPsec通道发送该加密报文。

可选地，上述IPsec加密处理器为与网络设备相连的专用硬件设备，参考图2所示；或者，上述IPsec加密处理器由服务器上的软件实现，且服务器与所述网络设备相连，也请参考图2所示。

通过设置上述专用硬件设备或服务器上软件实现IPsec加密处理器的功能，以执行IPsec的加密工作，为局域网中需要加密能力的网络设备提供高性能IPsec加密能力。这种处理方式改变了传统通过增加防火墙、VPN设备等网络单元数量以提升局域网关键出口的加密性能。当局域网需要变更或者扩容IPsec吞吐时直接外接上述专用硬件设备或IPsec加密处理器，不需要采购传统防火墙等网络设备，方可为网络增加弹性的加密能力。

可选地，上述IPsec加密处理器通过设定的统一接口与网络设备交互。

具体地，IPsec加密处理器会对网络设备提供统一接口，网络设备通过该统一接口可以实现网络设备的注册、网络报文的发送、加密套件的更新等操作。即：有加密需求的网络设备会向IPsec加密处理器发起注册请求，即通过统一接口将包含加密套件的注册请求发送给IPsec加密处理器，注册完成后，IPsec加密处理器可以向网络设备发送注册成功的消息，也可以不发注册成功的消息。当不发注册成功的消息时，网络设备可以在发送注册请求后，开始计时，待计时时间达到设定时间时，确认注册成功。然后，网络设备就可以向IPsec加密处理器发送需要加密的网络报文，IP加密处理器就可以利用该网络设备对应的加密套件对该网络设备进行加密处理，然后再将加密得到的加密报文返回到网络设备。这样，网络设备也就得到了加密的网络报文，进而就可以在IPsec通道发送该加密报文。由此，通过将IPsec协商和加密分别由网络设备和IPsec加密处理器处理，提升了网络IPsec吞吐/加密能力；在网络变更/扩容时，IPsec加密能力不再受传统防火墙、交换机等单台设备能力的限制，也可以应对大流量的加密处理，提升了IPsec的加密能力，同时也减轻了网络设备的处理压力。

基于同一发明构思，本申请还提供了与上述报文处理方法对应的报文处理装置。该报文处理装置的实施具体可以参考上述对报文处理方法的描述，此处不再一一论述。

参见图3，图3是本申请一示例性实施例提供的一种报文处理装置，设置于互联网协议安全IPsec加密处理器中，所述装置，包括：

第一接收模块301，用于接收网络设备发送的网络报文；

加密模块302，用于利用所述网络设备对应的加密套件对所述网络报文进行加密处理，得到加密报文；

发送模块303，用于将所述加密报文发送给所述网络设备，以使所述网络设备通过IPsec通道转发所述加密报文。

可选地，本实施例提供的报文处理装置，还包括：

第二接收模块(图中未示出)，用于接收所述网络设备的注册请求，所述注册请求包括所述网络设备的加密套件；

记录模块(图中未示出)，用于记录所述网络设备的加密套件。

可选地，本实施例提供的报文处理装置，还包括：

第三接收模块(图中未示出)，用于接收网络设备发送的加密套件更新请求，所述加密套件更新请求中包括新的加密套件；

更新模块(图中未示出)，用于将记录的所述网络设备的加密套件更新为所述新的加密套件。

可选地，所述IPsec加密处理器为与所述网络设备相连的专用硬件设备，或者，所述IPsec加密处理器由服务器上的软件实现，所述服务器与所述网络设备相连。

可选地，所述IPsec加密处理器通过设定的统一接口与网络设备交互。

通过提供上述任一实施例提供的报文处理装置，将IPsec协商和加密分别由网络设备和IPsec加密处理器处理，提升了网络IPsec吞吐/加密能力；在网络变更/扩容时，IPsec加密能力不再受传统防火墙、交换机等单台设备能力的限制，也可以应对大流量的加密处理，提升了IPsec的加密能力，同时也减轻了网络设备的处理压力。

基于同一发明构思，本申请实施例提供了一种电子设备，该电子设备可以为上述专用硬件设备或服务器。如图4所示，该电子设备包括处理器401和机器可读存储介质402，机器可读存储介质402存储有能够被处理器401执行的计算机程序，处理器401被计算机程序促使执行本申请任一实施例所提供的报文处理方法。此外，该电子设备还包括通信接口403和通信总线404，其中，处理器401，通信接口403，机器可读存储介质402通过通信总线404完成相互间的通信。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

另外，本申请实施例提供了一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例所提供的报文处理方法。

对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (8)

1.一种报文处理方法，其特征在于，应用于互联网协议安全IPsec加密处理器中，所述方法，包括：

接收网络设备发送的网络报文；

利用所述网络设备对应的加密套件对所述网络报文进行加密处理，得到加密报文；

将所述加密报文发送给所述网络设备，以使所述网络设备通过IPsec通道转发所述加密报文；

其中，所述IPsec加密处理器为与所述网络设备相连的专用硬件设备，或者，所述IPsec加密处理器由服务器上的软件实现，所述服务器与所述网络设备相连。

2.根据权利要求1所述的方法，其特征在于，所述IPsec加密处理器中的加密套件为按照下述方法获取到的：

接收所述网络设备的注册请求，所述注册请求包括所述网络设备的加密套件；

记录所述网络设备的加密套件。

3.根据权利要求2所述的方法，其特征在于，还包括：

接收网络设备发送的加密套件更新请求，所述加密套件更新请求中包括新的加密套件；

将记录的所述网络设备的加密套件更新为所述新的加密套件。

4.根据权利要求1～3任一所述的方法，其特征在于，所述IPsec加密处理器通过设定的统一接口与网络设备交互。

5.一种报文处理装置，其特征在于，设置于互联网协议安全IPsec加密处理器中，所述装置，包括：

第一接收模块，用于接收网络设备发送的网络报文；

加密模块，用于利用所述网络设备对应的加密套件对所述网络报文进行加密处理，得到加密报文；

发送模块，用于将所述加密报文发送给所述网络设备，以使所述网络设备通过IPsec通道转发所述加密报文；

其中，所述IPsec加密处理器为与所述网络设备相连的专用硬件设备，或者，所述IPsec加密处理器由服务器上的软件实现，所述服务器与所述网络设备相连。

6.根据权利要求5所述的装置，其特征在于，还包括：

第二接收模块，用于接收所述网络设备的注册请求，所述注册请求包括所述网络设备的加密套件；

记录模块，用于记录所述网络设备的加密套件。

7.根据权利要求6所述的装置，其特征在于，还包括：

第三接收模块，用于接收网络设备发送的加密套件更新请求，所述加密套件更新请求中包括新的加密套件；

更新模块，用于将记录的所述网络设备的加密套件更新为所述新的加密套件。

8.根据权利要求5～7任一所述的装置，其特征在于，所述IPsec加密处理器通过设定的统一接口与网络设备交互。