報(bào)文處理方法及裝置制造方法
【專利摘要】本發(fā)明提供一種報(bào)文處理方法及裝置�����,該方法包括:GM設(shè)備接收來自GDVPN中的KS的協(xié)商報(bào)文����;在確定出接收協(xié)商報(bào)文的接口配置有聚合ACL時,將協(xié)商報(bào)文中的所有TSA信息段所包含的流信息和任一TSA信息段所包含的安全參數(shù)索引SPI���,添加到接口注冊的域在聚合ACL流表內(nèi)對應(yīng)的聚合ACL中���;根據(jù)協(xié)商報(bào)文中的任一TSA信息段所包含的TSA信息生成一個TSA對,建立該TSA對與SPI的對應(yīng)關(guān)系����,并根據(jù)對應(yīng)的聚合ACL和對應(yīng)關(guān)系處理接口接收到的數(shù)據(jù)報(bào)文。通過本發(fā)明的技術(shù)方案��,可以有效降低GM設(shè)備中存儲的TSA對的數(shù)量�,避免過多的內(nèi)存占用,有助于提升GM設(shè)備的數(shù)據(jù)報(bào)文處理和轉(zhuǎn)發(fā)性能�����。
【專利說明】報(bào)文處理方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】,尤其涉及報(bào)文處理方法及裝置�����。
【背景技術(shù)】
[0002]⑶VPN(Group Domain VPN��,組域VPN)是一種實(shí)現(xiàn)密鑰和策略集中管理的解決方案��。與傳統(tǒng)的采用點(diǎn)到點(diǎn)的隧道連接的IPSec VPN不同��,⑶VPN是一種點(diǎn)到多點(diǎn)的無隧道VPN連接(透明模式)���。⑶VPN實(shí)現(xiàn)主要包括三部分:KS(Key Server,密鑰服務(wù)器),GM(GroupMember,組成員)和 GDOI (Group Domain Of Interpretat1n,組解釋域)���,KS 用于為所有的GM分發(fā)加密密鑰和IPSec (IP Security, IP安全)策略���,GM根據(jù)KS分發(fā)的加密密鑰對流量進(jìn)行加解密,GDOI協(xié)議為用于KS和GM之間的組密鑰管理協(xié)議�。
[0003]GM從KS處獲取加密密鑰的過程主要包括兩個階段:1)第一階段,GM與KS之間進(jìn)行協(xié)商�����,具體是由KS通過IKE(Internet key exchange,密鑰交換)協(xié)議來認(rèn)證GM,并協(xié)商得到 IKE SA(IKE Security Associat1n, IKE 安全聯(lián)盟);2)第二階段����,利用 IKE SA 建立安全通道,并由KS與GM通過該安全通道進(jìn)行協(xié)商得到IPSec SA,以用于GM對流量進(jìn)行加解密操作����。由于第二階段的IPSec SA用于對流量進(jìn)行加解密,因而可以稱之為TSA(TrafficSA)�。
[0004]KS可以創(chuàng)建多個域,每臺GM可以加入其中的一個或多個域中���。KS會通過上述兩個階段的協(xié)商過程���,為同一個域中的所有GM生成相同的TSA對(即用于加密的TSA和用于解密的TSA),以保護(hù)該域內(nèi)的GM之間的私網(wǎng)流量�����。
[0005]然而���,KS在生成用于同一個域的TSA對時����,是針對該域內(nèi)的所有GM上配置的所有流信息(即Rule)進(jìn)行生成的,即TSA對與流信息之間是一一對應(yīng)的���,并且每臺GM中需要存儲其所處域內(nèi)的所有流信息(即該域內(nèi)所有GM中配置的流信息)以及對應(yīng)的TSA對�,導(dǎo)致GM中存儲的TSA對的數(shù)量會隨著流信息數(shù)量的增加而增加���,不僅會造成GM的查找����、轉(zhuǎn)發(fā)性能下降���,還會占用大量內(nèi)存,甚至造成內(nèi)存溢出���。
【發(fā)明內(nèi)容】
[0006]有鑒于此����,本發(fā)明提供一種新的技術(shù)方案����,可以解決GM設(shè)備中存儲的TSA對的數(shù)量過多而引起性能下降�、內(nèi)存溢出的技術(shù)問題�����。
[0007]為實(shí)現(xiàn)上述目的���,本發(fā)明提供技術(shù)方案如下:
[0008]根據(jù)本發(fā)明的第一方面����,提出了一種報(bào)文處理方法��,包括:
[0009]⑶VPN中的GM設(shè)備接收來自該⑶VPN中的KS的協(xié)商報(bào)文�����,所述協(xié)商報(bào)文中包括多個傳輸安全聯(lián)盟TSA信息段�;
[0010]在確定出接收所述協(xié)商報(bào)文的接口配置有聚合訪問控制列表ACL時,將所述協(xié)商報(bào)文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的安全參數(shù)索引(Security Parameter Index, SPI),添加到所述接口注冊的域在聚合ACL流表內(nèi)對應(yīng)的聚合ACL中����;
[0011]根據(jù)所述協(xié)商報(bào)文中的任一 TSA信息段所包含的TSA信息生成一個TSA對,建立該TSA對與所述SPI的對應(yīng)關(guān)系�,并根據(jù)對應(yīng)的聚合ACL和所述對應(yīng)關(guān)系處理所述接口接收到的數(shù)據(jù)報(bào)文�。
[0012]根據(jù)本發(fā)明的第二方面�,提出了一種報(bào)文處理裝置,包括:
[0013]報(bào)文接收單元��,接收來自GDVPN中的KS的協(xié)商報(bào)文�����,所述協(xié)商報(bào)文中包括多個TSA?目息段;
[0014]信息添加單元���,在確定出接收所述協(xié)商報(bào)文的接口配置有聚合訪問控制列表ACL時�����,將所述協(xié)商報(bào)文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的SPI��,添加到所述接口注冊的域在聚合ACL流表內(nèi)對應(yīng)的聚合ACL中��;
[0015]密鑰生成單元,根據(jù)所述協(xié)商報(bào)文中的任一 TSA信息段所包含的TSA信息生成一個TSA對�,并建立該TSA對與所述SPI的對應(yīng)關(guān)系;
[0016]報(bào)文處理單元��,根據(jù)對應(yīng)的聚合ACL和所述對應(yīng)關(guān)系處理所述接口接收到的數(shù)據(jù)報(bào)文�����。
[0017]由以上技術(shù)方案可見,本發(fā)明通過建立聚合ACL��,并在聚合ACL與存儲的TSA對之間建立基于SPI的關(guān)聯(lián)關(guān)系��,可以使得GM設(shè)備針對每個域僅需存儲一個TSA對�,有效降低了需要存儲的TSA對數(shù)量,從而提升GM設(shè)備的查找���、轉(zhuǎn)發(fā)性能����,并避免對內(nèi)存的過量占用����。
【專利附圖】
【附圖說明】
[0018]圖1示出了根據(jù)本發(fā)明的一示例性實(shí)施例的KS-GM網(wǎng)絡(luò)結(jié)構(gòu)示意圖;
[0019]圖2示出了根據(jù)本發(fā)明的一示例性實(shí)施例的報(bào)文處理方法的示意流程圖��;
[0020]圖3示出了根據(jù)本發(fā)明的一示例性實(shí)施例的協(xié)商報(bào)文的結(jié)構(gòu)示意圖��;
[0021]圖4示出了根據(jù)本發(fā)明的一示例性實(shí)施例的TSA信息段的結(jié)構(gòu)示意圖����;
[0022]圖5不出了相關(guān)技術(shù)中存儲TSA彳目息的不意圖�����;
[0023]圖6示出了相關(guān)技術(shù)中對數(shù)據(jù)報(bào)文進(jìn)行處理的示意流程圖���;
[0024]圖7示出了根據(jù)本發(fā)明的一示例性實(shí)施例的存儲TSA信息的示意圖;
[0025]圖8示出了根據(jù)本發(fā)明的一示例性實(shí)施例的對數(shù)據(jù)報(bào)文進(jìn)行處理的示意流程圖�����;
[0026]圖9示出了根據(jù)本發(fā)明的一示例性實(shí)施例的報(bào)文處理裝置的示意框圖����。
【具體實(shí)施方式】
[0027]請參考圖1,圖1示出了根據(jù)本發(fā)明的一示例性實(shí)施例的KS-GM網(wǎng)絡(luò)結(jié)構(gòu)����,包括一臺KS和100臺GM,其中GM1���、GM2......GM100分別通過IP網(wǎng)絡(luò)連接至KS��,并加入KS創(chuàng)建的域中。假定對于KS創(chuàng)建的任一個域Ml�����,GMl通過接口 Ethl-1和接口 Ethl_2分別向KS注冊并加入Ml中,GM2通過接口 Eth2-1向KS注冊并加入Ml中......GM100通過接口 EthlOO-1
向KS注冊并加入Ml中����。
[0028]假定針對所有注冊至Ml的GM接口,KS總共配置了 300條流信息��,則每個接口都需要分別接收包含該300條流信息的300個TSA信息段����,即300X2 = 600個TSA(每條流信息對應(yīng)于一個TSA對,每個TSA對包含2個TSA���,分別用于加密和解密操作)��。因此��,由于GM2上僅通過接口 Eth2-1注冊至域MlJU GM2需要存儲的對應(yīng)于域Ml的TSA對為600個��;同時��,由于GMl上分別通過接口 Ethl-1和接口 Ethl-2注冊至域Ml JUGMl需要存儲的對應(yīng)于域Ml的TSA對為600X2 = 1200個��,其他GM設(shè)備中存儲的TSA數(shù)量的計(jì)算方式類似����,此處不再贅述。
[0029]同時����,由于每臺GM上的接口均可以在KS處注冊至多個域內(nèi),則假定KS處創(chuàng)建了100個域時�,各臺GM中存儲的TSA數(shù)量為:若GM2上的接口 Eth2_l分別注冊至KS處的100個域,則GM2中存儲的TSA的數(shù)量為600 X 100 = 60000個;若GMl上的接口 Ethl-1和接口Ethl-2分別注冊至KS處的100個域�����,則GMl中存儲的TSA的數(shù)量為1200X100 = 120000個��。并且�����,隨著GM數(shù)量和流信息數(shù)量的增加���,TSA的數(shù)量還會繼續(xù)增多��。
[0030]可見��,基于【背景技術(shù)】的處理方式�,將使得GM中存儲的TSA數(shù)量極多,不僅會影響GM的處理性能�����,還會占用大量內(nèi)存����,甚至導(dǎo)致內(nèi)存溢出�。為了解決上述問題,本發(fā)明提出了如圖2所示的一種報(bào)文處理方法����,該方法具體應(yīng)用于GDVPN中的組成員GM設(shè)備,使得GM設(shè)備可以執(zhí)行下述處理過程:
[0031]步驟202����,在與⑶VPN中的KS進(jìn)行⑶OI注冊的過程中,接收來自KS的協(xié)商報(bào)文���,協(xié)商報(bào)文中包括多個TSA信息段�;
[0032]在本實(shí)施例中��,針對GM設(shè)備上的每個接口加入的每個域�����,KS相應(yīng)地生成一條協(xié)商報(bào)文,并通過該協(xié)商報(bào)文將對應(yīng)于相應(yīng)域的TSA信息段通告至GM設(shè)備�����;具體地���,比如GM設(shè)備上的接口 I分別加入了 KS創(chuàng)建的域Ml和M2����,則KS將為GM設(shè)備分別生成協(xié)商報(bào)文I和協(xié)商報(bào)文2,其中協(xié)商報(bào)文I中包含應(yīng)用于域Ml的TSA信息段���、協(xié)商報(bào)文2中包含應(yīng)用于域M2的TSA信息段���。
[0033]其中,協(xié)商報(bào)文的示意性結(jié)構(gòu)可參見圖3:由于TSA對與KS處配置的流信息之間對應(yīng)���,因而假定KS配置了 200條流信息時,協(xié)商報(bào)文中包含200個TSA信息段,每個
TSA信息段包含一條流信息����,即對應(yīng)于包含流信息I的TSA信息段1、包含對應(yīng)于流信息2的TSA信息段2……包含對應(yīng)于流信息200的TSA信息段200��。
[0034]具體地����,圖4示出了每個TSA信息段的示意性結(jié)構(gòu):TSA信息段中依次包含“Protocol (協(xié)議)”、“SRC ID Type (源 ID 類型)”�����、“SRC ID Port (源 ID 端口)”�、“SRC IDData Len (源 ID 數(shù)據(jù)長度)”�����、“SRC Identificat1n Data (源 ID 數(shù)據(jù))”�����、“DST ID Type (目的 ID 類型)”�、“DST ID Port(目的 ID 端口)”、“DST ID Data Len(目的 ID 數(shù)據(jù)長度)”�、“DST Identificat1n Data(目的 ID 數(shù)據(jù))'“Transform ID(轉(zhuǎn)換 ID),�,、“SPI (SecurityParameter Index,安全參數(shù)索引)”、“RFC 2407 SA Attributes (RFC2407 文檔中的安全聯(lián)盟屬性)”等字段����,其中的“Protocol ”字段到“DST Identificat1n Data”字段為該TSA信息段包含的流信息。
[0035]步驟204�,在確定出接收協(xié)商報(bào)文的接口配置有聚合訪問控制列表(AccessControl list, ACL)時,將協(xié)商報(bào)文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的SPI添加到接口注冊的域在聚合ACL流表內(nèi)對應(yīng)的聚合ACL中�;
[0036]在本實(shí)施例中,若接口配置有聚合ACL�,則表明預(yù)先為GM設(shè)備的該接口做了具體的功能配置,使其配置了聚合ACL功能��,而聚合ACL流表中也會配置對應(yīng)的記錄聚合ACL的空間��,則可以采用本發(fā)明提出的技術(shù)方案進(jìn)行處理�����,以減少TSA的存儲數(shù)量����,否則可以按照現(xiàn)有技術(shù)的方式進(jìn)行處理。
[0037]具體地��,可以通過下述方式判定接收到協(xié)商報(bào)文的接口是否配置有聚合ACL:
[0038]首先����,確定根據(jù)當(dāng)前接收到的協(xié)商報(bào)文對應(yīng)中攜帶的接口注冊的域標(biāo)識�����,以及預(yù)配置的域標(biāo)識與IPSec策略之間的對應(yīng)關(guān)系�����,并獲取確定接口相應(yīng)綁定的IPSec策略�����。由于KS會針對GM注冊的每個域分別下發(fā)對應(yīng)的協(xié)商報(bào)文,因而假定當(dāng)前由GM設(shè)備上的接口 I接收到對應(yīng)于Ml域的協(xié)商報(bào)文�,則GM設(shè)備需要獲取在接口 I上綁定的對應(yīng)于Ml域的IPSec策略。
[0039]然后�,根據(jù)預(yù)配置的策略類型與聚合ACL流表之間的對應(yīng)關(guān)系,判斷IPSec策略的類型是否對應(yīng)于聚合ACL流表���。GM設(shè)備上會預(yù)先在策略類型與ACL流表之間建立對應(yīng)關(guān)系�,比如一種類型的IPSec策略應(yīng)用于⑶01�����,則將這類IPSec策略與聚合ACL流表建立關(guān)聯(lián),而其他類型的IPSec策略則與現(xiàn)有技術(shù)中的普通ACL流表建立關(guān)聯(lián)�。因此,針對上述實(shí)施例中的接口 I上綁定的對應(yīng)于Ml域的IPSec策略���,若該IPSec策略為⑶OI類型���,則可以判斷該策略的類型對應(yīng)于聚合ACL流表或是普通的ACL流表。
[0040]最后��,當(dāng)判定確定出的IPSec策略的類型對應(yīng)于聚合ACL流表時���,則確定接口在聚合ACL流表中配置有聚合ACL�。比如表I示出了一示例性實(shí)施例的聚合ACL流表的示意結(jié)構(gòu):在聚合ACL流表中����,將策略和聚合ACL進(jìn)行對應(yīng)存儲,比如GM設(shè)備中的接口 I采用策略I注冊至Ml域��,則根據(jù)KS下發(fā)的協(xié)商報(bào)文I在聚合ACL中對應(yīng)存儲策略I和ACLl�,而接口I采用策略2注冊至M2域時,則根據(jù)KS下發(fā)的協(xié)商報(bào)文2在聚合ACL中對應(yīng)存儲策略2和ACL2����,當(dāng)GM設(shè)備中的接口 2采用策略3注冊至Ml域時���,則根據(jù)KS下發(fā)的協(xié)商報(bào)文3在聚合ACL中對應(yīng)存儲策略3和ACL3。
[0041]
策略 l|ACLl~
策略2 ACL2~
策略3 ACL3~
[0042]表I
[0043]步驟206���,根據(jù)協(xié)商報(bào)文中的任一 TSA信息段所包含的TSA信息生成一個TSA對���,建立該TSA對與SPI的對應(yīng)關(guān)系,并根據(jù)對應(yīng)的聚合ACL和對應(yīng)關(guān)系處理接口接收到的數(shù)據(jù)報(bào)文�����。
[0044]在本實(shí)施例中���,獲取SPI信息和TSA信息的TSA信息段可以相同����,也可以不同���。其中�����,若為同一個TSA信息段�,該TSA信息段可以為協(xié)商報(bào)文中的首個TSA信息段�;當(dāng)然,其他任一 TSA信息段均可以應(yīng)用于本發(fā)明的技術(shù)方案中。
[0045]由上述實(shí)施例可知����,本發(fā)明在GM設(shè)備接收到協(xié)商報(bào)文時�����,對所有TSA信息段均進(jìn)行解析并獲取其中的流信息,以添加至聚合ACL中,但僅獲取任一 TSA信息段中的TSA信息,并存儲對應(yīng)生成的TSA對�����,而無需根據(jù)其他TSA信息段中的TSA信息生成TSA對,也不需要存儲相應(yīng)的TSA對。因此�,在本發(fā)明的技術(shù)方案中��,針對GM設(shè)備上的每個接口加入的每個域��,僅需存儲一個TSA對����,從而有效減少GM設(shè)備上存儲的TSA對的數(shù)量。
[0046]同時�����,本發(fā)明通過在聚合ACL中存儲SP1�����、在SPI與TSA對之間建立對應(yīng)關(guān)系���,使得GM在僅需存儲一個TSA對的情況下���,即可當(dāng)數(shù)據(jù)報(bào)文命中聚合ACL時,獲取上述存儲的唯一 TSA對��,以用于對該數(shù)據(jù)報(bào)文的處理�����。
[0047]請參考圖5���,圖5示出了相關(guān)技術(shù)中存儲TSA信息的方式���,包括:GM設(shè)備在接收到來自KS的協(xié)商報(bào)文后����,分別解析該協(xié)商報(bào)文中的所有TSA信息段��,并獲取每個TSA信息段中包含的流信息和TSA信息���;將流信息添加至標(biāo)準(zhǔn)ACL流表中��,而將TSA信息生成為TSA對并添加至SAD (Security Associat1n Database,安全聯(lián)盟數(shù)據(jù)庫)中��。
[0048]由于每個TSA信息段中的流信息和TSA信息均被處理并存儲�,使得標(biāo)準(zhǔn)ACL流表內(nèi)的標(biāo)準(zhǔn)ACL中的流信息與SAD中存儲的TSA對之間——對應(yīng)���,比如圖5所示的標(biāo)準(zhǔn)ACL中的流信息I對應(yīng)于SAD中的TSA對1�、流信息2對應(yīng)于TSA對2��、流信息3對應(yīng)于TSA對3……相應(yīng)地��,相關(guān)技術(shù)中對數(shù)據(jù)報(bào)文進(jìn)行處理的過程如圖6所示���,包括:
[0049]步驟602,假定GM設(shè)備中的數(shù)據(jù)報(bào)文需要從接口 I進(jìn)行轉(zhuǎn)發(fā)。
[0050]步驟604��,根據(jù)數(shù)據(jù)報(bào)文攜帶的域標(biāo)識��,以及預(yù)配置的域標(biāo)識與IPSec策略之間的對應(yīng)關(guān)系����,判斷接口 I在該域內(nèi)是否綁定了 IPSec策略,若已綁定����,則轉(zhuǎn)步驟606,否則轉(zhuǎn)步驟 618���。
[0051]步驟606���,將需要轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文轉(zhuǎn)至IPSec模塊進(jìn)行處理。
[0052]步驟608�,根據(jù)接口 I綁定的對應(yīng)于上述域標(biāo)識的IPSec策略,在標(biāo)準(zhǔn)ACL流表中查找對應(yīng)的標(biāo)準(zhǔn)ACL�����。比如表2示出了現(xiàn)有技術(shù)中的標(biāo)準(zhǔn)ACL流表的示意性結(jié)構(gòu)��,其中將策略與標(biāo)準(zhǔn)ACL之間對應(yīng)存儲:策略I與標(biāo)準(zhǔn)ACLl (未標(biāo)示)對應(yīng)存儲,且標(biāo)準(zhǔn)ACLl中包含RuleO����、Rulel、Rule2和Rule3 ;策略2與標(biāo)準(zhǔn)ACL2 (未標(biāo)示)對應(yīng)存儲����,且標(biāo)準(zhǔn)ACL2中包含RuleO’、Rulel’和Rule2’����。因此,假定接口 I為上述域標(biāo)識對應(yīng)綁定了策略1����,則確定接口 I當(dāng)前在標(biāo)準(zhǔn)ACL流表中對應(yīng)于標(biāo)準(zhǔn)ACLl。
[0053]
【權(quán)利要求】
1.一種報(bào)文處理方法,其特征在于,包括: 組域虛擬專用網(wǎng)絡(luò)GDVPN中的組成員GM設(shè)備接收來自該GDVPN中的密鑰服務(wù)器KS的協(xié)商報(bào)文����,所述協(xié)商報(bào)文中包括多個傳輸安全聯(lián)盟TSA信息段; 在確定出接收所述協(xié)商報(bào)文的接口配置有聚合訪問控制列表ACL時�����,將所述協(xié)商報(bào)文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的安全參數(shù)索引SPI����,添加到所述接口注冊的域在聚合ACL流表內(nèi)對應(yīng)的聚合ACL中����; 根據(jù)所述協(xié)商報(bào)文中的任一 TSA信息段所包含的TSA信息生成一個TSA對���,建立該TSA對與所述SPI的對應(yīng)關(guān)系,并根據(jù)對應(yīng)的聚合ACL和所述對應(yīng)關(guān)系處理所述接口接收到的數(shù)據(jù)報(bào)文��。
2.如權(quán)利要求1所述的方法���,其特征在于��,所述GM設(shè)備通過下述方式確定接收所述協(xié)商報(bào)文的接口配置有聚合ACL: 所述GM設(shè)備根據(jù)所述協(xié)商報(bào)文中攜帶的接口注冊的域標(biāo)識���,以及預(yù)配置的域標(biāo)識與IP安全策略之間的對應(yīng)關(guān)系,確定所述接口綁定的對應(yīng)于所述協(xié)商報(bào)文中攜帶的域標(biāo)識的IP安全策略���; 若根據(jù)預(yù)配置的策略類型與聚合ACL流表之間的對應(yīng)關(guān)系�,判定確定出的IP安全策略的類型對應(yīng)于聚合ACL流表��,則確定所述接口在聚合ACL流表中配置有聚合ACL�。
3.如權(quán)利要求1所述的方法���,其特征在于,所述GM設(shè)備根據(jù)對應(yīng)的聚合ACL和所述對應(yīng)關(guān)系處理所述接口接收到的數(shù)據(jù)報(bào)文����,具體包括: 所述GM設(shè)備在確定所述接口接收到的數(shù)據(jù)報(bào)文命中對應(yīng)的聚合ACL時,根據(jù)對應(yīng)的聚合ACL中包含的SPI和所述對應(yīng)關(guān)系確定所述SPI對應(yīng)的TSA對��; 按照確定出的TSA對��,對所述數(shù)據(jù)報(bào)文進(jìn)行加解密處理�。
4.如權(quán)利要求3所述的方法,其特征在于����,所述GM設(shè)備通過下述方式確定所述接口接收到的數(shù)據(jù)報(bào)文命中對應(yīng)的聚合ACL: 所述GM設(shè)備在所述接口接收到數(shù)據(jù)報(bào)文時,根據(jù)該數(shù)據(jù)報(bào)文中攜帶的接口注冊的域標(biāo)識���,以及預(yù)配置的域標(biāo)識與IP安全策略之間的對應(yīng)關(guān)系���,確定所述接口綁定的對應(yīng)于所述數(shù)據(jù)報(bào)文中攜帶的域標(biāo)識的IP安全策略; 若根據(jù)預(yù)配置的策略類型與聚合ACL流表之間的對應(yīng)關(guān)系���,判定確定出的IP安全策略的類型對應(yīng)于聚合ACL流表�����,則在聚合ACL流表中確定對應(yīng)于確定出的IP安全策略的聚合ACL��,并當(dāng)該聚合ACL中存在匹配于所述數(shù)據(jù)報(bào)文的流信息時�����,判定所述數(shù)據(jù)報(bào)文命中該聚合 ACL���。
5.如權(quán)利要求1至4中任一項(xiàng)所述的方法,其特征在于�����,所述對應(yīng)關(guān)系保存在本地的安全聯(lián)盟數(shù)據(jù)庫SAD中�。
6.一種報(bào)文處理裝置,其特征在于����,包括: 報(bào)文接收單元,接收來自組域虛擬專用網(wǎng)絡(luò)GDVPN中的密鑰服務(wù)器KS的協(xié)商報(bào)文�,所述協(xié)商報(bào)文中包括多個傳輸安全聯(lián)盟TSA信息段; 信息添加單元����,在確定出接收所述協(xié)商報(bào)文的接口配置有聚合訪問控制列表ACL時��,將所述協(xié)商報(bào)文中的所有TSA信息段所包含的流信息和任一 TSA信息段所包含的安全參數(shù)索引SPI����,添加到所述接口注冊的域在聚合ACL流表內(nèi)對應(yīng)的聚合ACL中�; 密鑰生成單元,根據(jù)所述協(xié)商報(bào)文中的任一 TSA信息段所包含的TSA信息生成一個TSA對�����,并建立該TSA對與所述SPI的對應(yīng)關(guān)系���; 報(bào)文處理單元�����,根據(jù)對應(yīng)的聚合ACL和所述對應(yīng)關(guān)系處理所述接口接收到的數(shù)據(jù)報(bào)文�����。
7.根據(jù)權(quán)利要求6所述的裝置��,其特征在于���,所述信息添加單元具體用于: 根據(jù)所述協(xié)商報(bào)文中攜帶的接口注冊的域標(biāo)識�,以及預(yù)配置的域標(biāo)識與IP安全策略之間的對應(yīng)關(guān)系�,確定所述接口綁定的對應(yīng)于所述協(xié)商報(bào)文中攜帶的域標(biāo)識的IP安全策略;以及 若根據(jù)預(yù)配置的策略類型與聚合ACL流表之間的對應(yīng)關(guān)系����,判定確定出的IP安全策略的類型對應(yīng)于聚合ACL流表,則確定所述接口在聚合ACL流表中配置有聚合ACL�。
8.根據(jù)權(quán)利要求6所述的裝置,其特征在于����,所述報(bào)文處理單元具體用于: 在確定所述接口接收到的數(shù)據(jù)報(bào)文命中對應(yīng)的聚合ACL時��,根據(jù)對應(yīng)的聚合ACL中包含的SPI和所述對應(yīng)關(guān)系確定所述SPI對應(yīng)的TSA對�,并按照確定出的TSA對,對所述數(shù)據(jù)報(bào)文進(jìn)行加解密處理���。
9.根據(jù)權(quán)利要求8所述的裝置����,其特征在于�����,所述報(bào)文處理單元具體用于: 在所述接口接收到數(shù)據(jù)報(bào)文時,根據(jù)該數(shù)據(jù)報(bào)文中攜帶的接口注冊的域標(biāo)識����,以及預(yù)配置的域標(biāo)識與IP安全策略之間的對應(yīng)關(guān)系,確定所述接口綁定的對應(yīng)于所述數(shù)據(jù)報(bào)文中攜帶的域標(biāo)識的IP安全策略���;以及 若根據(jù)預(yù)配置的策略類型與聚合ACL流表之間的對應(yīng)關(guān)系���,判定確定出的IP安全策略的類型對應(yīng)于聚合ACL流表,則在聚合ACL流表中確定對應(yīng)于確定出的IP安全策略的聚合ACL����,并當(dāng)該聚合ACL中存在匹配于所述數(shù)據(jù)報(bào)文的流信息時,判定所述數(shù)據(jù)報(bào)文命中該聚合 ACL����。
10.根據(jù)權(quán)利要求6至9中任一項(xiàng)所述的裝置,其特征在于����,所述對應(yīng)關(guān)系保存在本地的安全聯(lián)盟數(shù)據(jù)庫SAD中。
【文檔編號】H04L12/801GK104168205SQ201410383883
【公開日】2014年11月26日 申請日期:2014年8月6日 優(yōu)先權(quán)日:2014年8月6日
【發(fā)明者】張?zhí)? 馬雪娟 申請人:杭州華三通信技術(shù)有限公司