專利名稱:一種數(shù)據(jù)報文處理方法、系統(tǒng)及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,具體涉及一種數(shù)據(jù)報文處理方法、系統(tǒng)及設(shè)備���。
背景技術(shù):
互聯(lián)網(wǎng)協(xié)議(Internet Protocol,簡稱IP)是傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(Transmission Control Protocol/Internet Protocol,簡稱 TCP/IP)族中最為核心的協(xié)議�,它提供不可靠�����、無連接的服務(wù)�。由于IP協(xié)議缺乏一定的安全保障,所以在轉(zhuǎn)發(fā)數(shù)據(jù)報文時�,需要對數(shù)據(jù)報文進行加密。其中����,互聯(lián)網(wǎng)協(xié)議安全性(Internet Protocol Security,簡稱IPSEC)協(xié)議是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),包含認(rèn)證頭(authentication header,簡稱AH)協(xié)議和封裝安全載荷(encapsulating security payload,簡稱ESP)協(xié)議等,通過使用加密的安全服務(wù)以確保在IP協(xié)議網(wǎng)絡(luò)上進行保密而安全的通訊,為保護網(wǎng)絡(luò)數(shù)據(jù)報文通 信而提供的安全協(xié)議族��,主要是針對數(shù)據(jù)報文通過公共網(wǎng)絡(luò)時的數(shù)據(jù)安全性��、有效性���、完整性和合法性等問題而進行的加密和認(rèn)證����。IPSEC包括傳輸模式和隧道模式兩種數(shù)據(jù)包加密封裝方式,其中����,傳輸模式只對有效載荷加密��,也就是保持IP報頭不變�,在IP報頭與有效載荷之間插入一個AH報頭或ESP報頭,用來加密保護有效載荷���;在隧道模式中�����,要對整個數(shù)據(jù)報文加密�����,再通過AH報頭或ESP報頭將整個數(shù)據(jù)報文封裝起來�,封裝后的數(shù)據(jù)報文再用新的IP報頭進行封裝����。在IPSEC傳輸模式轉(zhuǎn)發(fā)數(shù)據(jù)報文過程中����,在進入接口時先對數(shù)據(jù)報文配置源IP地址���,然后查找路由表獲取數(shù)據(jù)報文類型���、加密算法等信息對數(shù)據(jù)報文進行加密,加密后的數(shù)據(jù)報文通過配置有IPSEC策略的接口轉(zhuǎn)發(fā)出去��。而在IPSEC隧道模式轉(zhuǎn)發(fā)數(shù)據(jù)報文過程中����,數(shù)據(jù)報文進入到接口后,對數(shù)據(jù)報文配置源IP地址��,查找理由表獲取數(shù)據(jù)報文的類型����、加密算法等信息,先對數(shù)據(jù)報文進行加密��,然后對加密后的數(shù)據(jù)報文進行隧道封裝�,封裝后的數(shù)據(jù)報文再次查找路由表,獲取目的地址��,通過配置有IPSEC策略的接口將數(shù)據(jù)報文轉(zhuǎn)發(fā)出去。從上述可以看出�,無論IPSEC傳輸模式還是IPSEC隧道模式,每次轉(zhuǎn)發(fā)數(shù)據(jù)報文時�����,都需要查找路由表對數(shù)據(jù)報文加密��,而且IPSEC隧道模式中����,更要兩次查找路由表���。由于查找路由表時效低���,影響了轉(zhuǎn)發(fā)數(shù)據(jù)報文的速度,降低了 IPSEC通信效率��。
發(fā)明內(nèi)容
針對上述缺陷��,本發(fā)明實施例提供了一種數(shù)據(jù)報文處理方法����、系統(tǒng)及設(shè)備���,可以提高IPSEC通信效率。本發(fā)明第一方面提供了一種數(shù)據(jù)報文處理方法�����,包括根據(jù)數(shù)據(jù)報文的信息查找加密流表����,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密,得到加密數(shù)據(jù)報文����;其中,所述加密流表中包含加密信息���;根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表�,并根據(jù)所述轉(zhuǎn)發(fā)流表�,通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信肩��、O在第一種可能的實現(xiàn)方式中����,所述加密信息中包括加密類型�����、加密算法���、密鑰和密鑰長度,相應(yīng)地��,所述根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密��,得到加密數(shù)據(jù)報文�,具體包括根據(jù)所述加密流表的加密信息對所述數(shù)據(jù)報文進行加密,得到加密數(shù)據(jù)報文��;所述轉(zhuǎn)發(fā)信息中包括源IP地址��、目的IP地址和出接口信息�����,相應(yīng)地�,根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表���,并根據(jù)所述轉(zhuǎn)發(fā)流表�,通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信息���,具體包括根據(jù)所述數(shù)據(jù)報文的源IP地址或目的IP地址查找轉(zhuǎn)發(fā)流表�,且根據(jù)所述轉(zhuǎn)發(fā)流表的轉(zhuǎn)發(fā)信息�����,通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文�����。結(jié)合第一方面��,在第二種可能的實現(xiàn)方式中�,所述加密流表中還包括擴展頭、有效載荷長度�����、安全協(xié)議驗證索引�、序列號和數(shù)據(jù)鑒權(quán)信息,相應(yīng)地��,所述根據(jù)數(shù)據(jù)報文的信息查找加密流表,具體包括根據(jù)所述數(shù)據(jù)報文的序列號查找加密流表。 結(jié)合第一方面��,或第一方面的第一種或第二種可能的實現(xiàn)方式��,在第三種可能的實現(xiàn)方式中,在IPSEC隧道模式下���,所述轉(zhuǎn)發(fā)信息還包括隧道源IP地址和隧道目的IP地址���,相應(yīng)地,所述根據(jù)所述轉(zhuǎn)發(fā)流表,通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文,具體包括根據(jù)所述轉(zhuǎn)發(fā)流表,對所述加密數(shù)據(jù)報文進行隧道封裝;通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)經(jīng)過隧道封裝的所述加密數(shù)據(jù)報文�����。結(jié)合第一方面�����,或第一方面的任一種可能的實現(xiàn)方式,在第四種可能的實現(xiàn)方式中,在轉(zhuǎn)發(fā)所述數(shù)據(jù)報文所屬數(shù)據(jù)流的首個數(shù)據(jù)報文時��,根據(jù)所述首個數(shù)據(jù)報文的特征��,收集加密信息動態(tài)并行建立所述加密流表,收集轉(zhuǎn)發(fā)信息建立所述轉(zhuǎn)發(fā)流表。本發(fā)明第二方面提供一種數(shù)據(jù)報文處理方法�,包括通過配置有IP協(xié)議安全性IPSEC策略的接口接收加密數(shù)據(jù)報文�;根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表��,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密���,其中,所述解密流表中包含解密信息��。在第一種可能的實現(xiàn)方式中�,所述解密流表還包括擴展頭��、有效載荷長度、安全協(xié)議驗證索引�、序列號和數(shù)據(jù)鑒權(quán)���,相應(yīng)地����,所述根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表,具體包括根據(jù)所述加密數(shù)據(jù)報文的序列號查找解密流表�����。結(jié)合第二方面或第二方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中�,在IPSEC隧道模式下,在根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表之前,還包括根據(jù)所述加密數(shù)據(jù)報文的信息查找解封裝流表��,并根據(jù)所述解封裝流表對所述加密數(shù)據(jù)報文進行解封裝�,其中��,所述解封裝流表中包含解封裝信息�����。結(jié)合第二方面的第一種可能的實現(xiàn)方式�,在第三種可能的實現(xiàn)方式中,所述解密信息中包括解密類型�、解密算法��、密鑰和密鑰長度����;所述解封裝信息包括隧道源IP地址�����、隧道目的IP地址�����、源IP地址、目的IP地址����。結(jié)合第二方面,或第二方面的任一種可能的實現(xiàn)方式����,在第四種可能的實現(xiàn)方式中,在接收到所述加密數(shù)據(jù)報文所屬數(shù)據(jù)流的首個加密數(shù)據(jù)報文時�,根據(jù)所述首個加密數(shù)據(jù)報文的特征���,收集解密信息動態(tài)并行建立所述解密流表�����,收集解封裝信息建立所述解封裝流表�。
本發(fā)明第三方面提供了一種通訊設(shè)備����,包括加密單元���,用于根據(jù)數(shù)據(jù)報文的信息查找加密流表����,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密���,得到加密數(shù)據(jù)報文;其中��,所述加密流表中包含加密信息�����;轉(zhuǎn)發(fā)單元��,用于根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表,并根據(jù)所述轉(zhuǎn)發(fā)流表,通過配置有IP協(xié)議安全性IPSEC策略的接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文���,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信息���。在第一種可能的實現(xiàn)方式中,在IPSEC隧道模式下����,所述轉(zhuǎn)發(fā)信息包括隧道源IP地址和隧道目的IP地址�,相應(yīng)地����,所述轉(zhuǎn)發(fā)單元具體用于根據(jù)所述轉(zhuǎn)發(fā)流表�����,對所述加密數(shù)據(jù)報文進行隧道封裝;通過配置有IPSEC策略的接口轉(zhuǎn)發(fā)經(jīng)過隧道封裝的所述加密數(shù)據(jù)報文。本發(fā)明第四方面還提供了一種通訊設(shè)備���,包括接收單元�����,用于通過配置有IP協(xié) 議安全性IPSEC策略的接口接收加密數(shù)據(jù)報文�����;解密單元����,用于根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表�,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密�,其中���,所述解密流表中包含解密信息���。在第一種可能的實現(xiàn)方式中��,所述通訊設(shè)備還包括所述通訊設(shè)備還包括解封裝單元�����,用于在IPSEC隧道模式下�����,在根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表之前���,根據(jù)所述加密數(shù)據(jù)報文的信息查找解封裝流表�����,并根據(jù)所述解封裝流表對所述加密數(shù)據(jù)報文進行解封裝�,其中,所述解封裝流表中包含解封裝信息�����。本發(fā)明第五方面還提供了一種數(shù)據(jù)報文處理系統(tǒng)����,包括如第三方面或第三方面的第一種可能的實現(xiàn)方式所述的加密端設(shè)備和如第四方面或第四方面的第一種可能的實現(xiàn)方式所述的解密端設(shè)備。從以上技術(shù)方案可以看出����,本發(fā)明實施例具有以下優(yōu)點本發(fā)明實施例提供的數(shù)據(jù)報文處理中,加密端設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)報文所屬數(shù)據(jù)流的首個數(shù)據(jù)報文時����,根據(jù)該數(shù)據(jù)報文的特征收集加密信息動態(tài)并行建立了加密流表,且收集轉(zhuǎn)發(fā)信息建立轉(zhuǎn)發(fā)流表����,從而在后續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)流的數(shù)據(jù)報文時�,可以通過數(shù)據(jù)報文的信息查找加密流表對數(shù)據(jù)報文進行加密�,得到加密數(shù)據(jù)報文,然后查找轉(zhuǎn)發(fā)流表轉(zhuǎn)發(fā)數(shù)據(jù)報文�����,解決了現(xiàn)有技術(shù)中每次轉(zhuǎn)發(fā)數(shù)據(jù)報文都要查找路由表的缺陷���,提高了加密和轉(zhuǎn)發(fā)速度��,同樣地�����,在解密端設(shè)備中����,也可以在接收到數(shù)據(jù)流的首個加密數(shù)據(jù)報文時���,根據(jù)該加密數(shù)據(jù)報文的特征收集解密信息建立解密流表,對后續(xù)接收到的該數(shù)據(jù)流的加密數(shù)據(jù)報文���,可以直接通過加密數(shù)據(jù)報文的信息查找解密流表解密����,減少查找路由表的時間,提高解密速度����,進而提高IPSEC通信效率。
為了更清楚地說明本發(fā)明實施例的技術(shù)方案�,下面將對本發(fā)明實施例中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖�����。圖I為本發(fā)明實施例提供的一種數(shù)據(jù)報文處理方法基本流程圖�����;圖2為本發(fā)明實施例提供的一種數(shù)據(jù)報文處理方法另一基本流程圖3為本發(fā)明實施例提供的一種數(shù)據(jù)報文處理方法另一基本流程圖����;圖4_a為本發(fā)明實施例提供的一種通訊設(shè)備基本結(jié)構(gòu)圖;圖4_b為本發(fā)明實施例提供的一種通訊設(shè)備另一基本結(jié)構(gòu)圖;圖5_a為本發(fā)明實施例提供的一種通訊設(shè)備另一基本結(jié)構(gòu)圖�;圖5_b為本發(fā)明實施例提供的一種通訊設(shè)備另一基本結(jié)構(gòu)圖;圖6_a為本發(fā)明實施例提供的一種數(shù)據(jù)報文處理系統(tǒng)的基本結(jié)構(gòu)圖��;圖6_b為本發(fā)明實施例提供的一種數(shù)據(jù)報文處理系統(tǒng)的另一基本結(jié)構(gòu)圖����;圖7為本發(fā)明實施例提供的一種數(shù)據(jù)報文處理設(shè)備的基本結(jié)構(gòu)圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚��、完整地描述�����,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例�����,而不是全部的實施例?���;诒景l(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍����。本發(fā)明實施例提供了一種數(shù)據(jù)報文處理方法,可以快速地處理IPSEC通信中的數(shù)據(jù)報文�����,提高加密���、轉(zhuǎn)發(fā)的速度�,該方法包括根據(jù)數(shù)據(jù)報文的信息查找加密流表����,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密���,得到加密數(shù)據(jù)報文;其中���,所述加密流表中包含加密信息;根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表�����,并根據(jù)所述轉(zhuǎn)發(fā)流表,通過配置有IP協(xié)議安全性IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文�����,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信息��。其中�,根據(jù)轉(zhuǎn)發(fā)的數(shù)據(jù)流的首個數(shù)據(jù)報文的特征�����,例如數(shù)據(jù)報文所包含的源IP地址�����、目的IP地址��、端口號等信息����,收集加密信息和轉(zhuǎn)發(fā)信息分別建立加密流表和轉(zhuǎn)發(fā)流表�����,后續(xù)收到該數(shù)據(jù)流的數(shù)據(jù)報文直接查找加密流表進行加密����,得到加密數(shù)據(jù)報文,然后再查找轉(zhuǎn)發(fā)流表轉(zhuǎn)發(fā)該加密數(shù)據(jù)報文�,實現(xiàn)快速加密和轉(zhuǎn)發(fā),提高IPSEC通信效率����。另一方面,本發(fā)明實施例還提供了一種數(shù)據(jù)報文處理方法���,對接收的加密數(shù)據(jù)報文實現(xiàn)快速解密���,提高IPSEC通信效率�,該方法包括通過配置有IPSEC策略的接口接收加密數(shù)據(jù)報文;根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密,其中�����,所述解密流表中包含解密信息��。其中����,根據(jù)接收到的數(shù)據(jù)流的首個加密數(shù)據(jù)報文的特征�����,例如加密數(shù)據(jù)報文所包含的源IP地址��、目的IP地址等信息,收集對加密數(shù)據(jù)報文解密所需要的解密信息建立解密流表��,后續(xù)解密接收到的該數(shù)據(jù)流的加密數(shù)據(jù)報文時,通過查找解密流表實現(xiàn)快速解密�����,提高解密速度���,提高IPSEC通信效率���。本發(fā)明實施例所提供的技術(shù)方案針對于IPSEC傳輸模式和IPSEC隧道模式中的數(shù)據(jù)報文處理,其中�����,IPSEC傳輸模式可以用于主機之間,IPSEC隧道模式可以用在網(wǎng)關(guān)到網(wǎng)關(guān)、服務(wù)器到網(wǎng)關(guān)�、服務(wù)器到服務(wù)器等網(wǎng)絡(luò)設(shè)備之間�。另外地�����,本發(fā)明實施例中的數(shù)據(jù)報文包括IP報文��、網(wǎng)絡(luò)控制消息協(xié)議(internetcontrol message protocol,簡稱 ICMP)報文或地址解析協(xié)議(address resolutionprotocol,簡稱ARP)報文等�����。以下分別詳細(xì)介紹IPSEC傳輸模式和IPSEC隧道模式的工作情況����,如圖I所示�,該方法包括
110���、根據(jù)數(shù)據(jù)報文的信息查找加密流表�,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密�����,得到加密數(shù)據(jù)報文;其中�,所述加密流表中包含加密信息;其中�����,在轉(zhuǎn)發(fā)數(shù)據(jù)報文前�����,加密端設(shè)備和解密端設(shè)備就安全策略(securityassociation���,簡稱SA)進行協(xié)商�����,如果轉(zhuǎn)發(fā)數(shù)據(jù)報文的接口所在設(shè)備為TCP/IP協(xié)議中的第三層設(shè)備時���,通過為該接口配置的IP地址發(fā)起就SA的協(xié)商;如果接口所在設(shè)備為TCP/IP協(xié)議中的第二層設(shè)備時����,通過該設(shè)備的管理IP地址發(fā)起就SA的協(xié)商,在協(xié)商中確定SA�����,其中包括加解密類型、加解密算法�����,密鑰����、密鑰長度、密鑰使用期限�。加密流表是在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時,根據(jù)所述首個數(shù)據(jù)報文的特征����,例如源IP地址、目的IP地址��、協(xié)議號��、源端口或目的端口等信息�����,結(jié)合協(xié)商的SA內(nèi)容�����,收集加密時所需要的加密信息建立的���。并且根據(jù)數(shù)據(jù)報文特征�����,可以檢測數(shù)據(jù)報文是否需要經(jīng)過隧道處理����。優(yōu)選地�,所述加密信息包括加密類型、加密算法�、密鑰和密鑰長度。
可選地���,根據(jù)加密信息所建立的加密流表中還包括擴展頭��、有效載荷長度��、安全協(xié)議驗證索引����、序列號和數(shù)據(jù)鑒權(quán)信息,其中����,擴展頭為加密數(shù)據(jù)報文提供了增加在數(shù)據(jù)報文中的協(xié)議報頭,如AH報頭或ESP報頭����;而加密流表中序列號可以為數(shù)據(jù)報文中所包含的序列號?��?梢岳斫獾氖?���,建立加密流表時�,將數(shù)據(jù)流的首個數(shù)據(jù)報文中的信息提取出來與建立的加密流表建立了對應(yīng)關(guān)系。在后續(xù)加密該數(shù)據(jù)流的數(shù)據(jù)報文時�,根據(jù)數(shù)據(jù)報文的序列號,如果沒有查找到與該數(shù)據(jù)報文的序列號相匹配的加密流表時�,如果是數(shù)據(jù)流的首個數(shù)據(jù)報文,則收集加密信息建立加密流表��,并按照現(xiàn)有技術(shù)中的加密方法加密數(shù)據(jù)報文���,即查找路由表��,根據(jù)在路由表中查找到的加密信息加密數(shù)據(jù)報文�。其中�,建立加密流表的方法可以通過利用多核CPU實現(xiàn)并行動態(tài)建立,比如在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時����,可以在多核CPU的其中一個核上獨立根據(jù)加密信息并行建立加密流表,后續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)流的數(shù)據(jù)報文時���,根據(jù)數(shù)據(jù)報文的信息查找加密流表�,在硬件加密引擎中快速加密數(shù)據(jù)報文��。當(dāng)然地���,除了上述所提到的建立方法�,還可以通過其他方法來建立加密流表以實現(xiàn)本發(fā)明的目的��,在此并不作限定����。如果根據(jù)數(shù)據(jù)報文的序列號查找到匹配的加密流表,根據(jù)加密流表中的內(nèi)容�,力口密數(shù)據(jù)報文����。其中�,如果不需要經(jīng)過IPSEC隧道封裝處理,數(shù)據(jù)報文將以IPSEC傳輸模式轉(zhuǎn)發(fā)�����,數(shù)據(jù)報文無需經(jīng)過IPSEC隧道封裝處理�����,則在IPSEC加密引擎中利用加密信息中的加密算法和密鑰�����,對數(shù)據(jù)報文的有效載荷部分進行加密���,并在數(shù)據(jù)報文的IP報頭和加密后的有效載荷之間加入加密流表中的擴展頭�,如AH報頭或ESP報頭�;然后還可以在加密數(shù)據(jù)報文的有效載荷后加上數(shù)據(jù)鑒權(quán)信息,對數(shù)據(jù)報文提供身份驗證��、完整性與抗重播保護等。如果需要經(jīng)過IPSEC隧道封裝處理�����,數(shù)據(jù)報文將以IPSEC隧道模式轉(zhuǎn)發(fā)����,則在IPSEC加密引擎中�,利用加密信息對整個數(shù)據(jù)報文進行加密,并在IP報頭外增加擴展頭����,如AH報頭或ESP報頭;加密的數(shù)據(jù)報文進入隧道處理模塊�,將加入擴展頭的整個數(shù)據(jù)報文用新的IP報頭進行隧道封裝,新IP報頭中包括隧道源IP地址和隧道目的IP地址���,然后還可以在加密數(shù)據(jù)報文的有效載荷后加上數(shù)據(jù)鑒權(quán)信息��,對數(shù)據(jù)報文提供身份驗證��、完整性與抗重播保護�。120���、根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表�,并根據(jù)所述轉(zhuǎn)發(fā)流表,通過配置有IP協(xié)議安全性IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文����,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信肩、O其中�����,轉(zhuǎn)發(fā)流表如同加密流表一樣�,是在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時,收集轉(zhuǎn)發(fā)信息建立的��。在轉(zhuǎn)發(fā)首個數(shù)據(jù)報文時����,根據(jù)所述首個數(shù)據(jù)報文的特征,包括源IP地址���、目的IP地址����、協(xié)議號�、源端口或目的端口等信息,收集轉(zhuǎn)發(fā)數(shù)據(jù)報文時所需要的轉(zhuǎn)發(fā)信息建立的。優(yōu)選地��,在IPSEC傳輸模式下���,該轉(zhuǎn)發(fā)信息包括源IP地址����、目的IP地址�����、端口號和出接口信息��,而在IPSEC隧道模式下�,該轉(zhuǎn)發(fā)信息包括隧道源IP地址��、隧道目的IP地址����、源IP地址、目的IP地址�����、端口號和出接口信息。其中����,可以根據(jù)數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表,尤其可以根據(jù)數(shù)據(jù)報文中的IP地址查找轉(zhuǎn)發(fā)流表���,該IP地址可以是源IP地址或目的IP地址�����,如果是在IPSEC隧道模式中��,也可以是隧道源IP地址���、隧道目的IP地址。如果沒有找到匹配的IP地址的轉(zhuǎn)發(fā)流表�����,則收集轉(zhuǎn)發(fā)信息建立轉(zhuǎn)發(fā)流表��,同時查找路由表���,按照現(xiàn)有技術(shù)中的轉(zhuǎn)發(fā)方法將此次的數(shù)據(jù)報文轉(zhuǎn)發(fā)出去����。如果找到匹配的IP地址的轉(zhuǎn)發(fā)流表,根據(jù)轉(zhuǎn)發(fā)流表中的信息��,通過該出接 口將加密數(shù)據(jù)報文發(fā)給目的IP地址所在的解密端設(shè)備�,該出接口配置有IPSEC策略?�?梢岳斫獾氖?,當(dāng)檢測到IPSEC隧道,數(shù)據(jù)報文以IPSEC隧道模式轉(zhuǎn)發(fā)��,在數(shù)據(jù)報文加密后���,對加密數(shù)據(jù)報文進行隧道封裝,如圖2所示�,上述120具體包括210、根據(jù)數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表�����,根據(jù)所述轉(zhuǎn)發(fā)流表����,對所述加密數(shù)據(jù)報文進行隧道封裝��;220��、通過有IPSEC策略的出接口轉(zhuǎn)發(fā)經(jīng)過隧道封裝的所述加密數(shù)據(jù)報文�����。其中���,IPSEC隧道模式數(shù)據(jù)報文加密是在IPSEC加密引擎中完成,之后進入隧道處理模塊進行隧道封裝�,封裝后的數(shù)據(jù)報文根據(jù)轉(zhuǎn)發(fā)流表,通過出接口發(fā)給隧道目的IP地址所在的解密端設(shè)備���,其中�����,該出接口配置有IPSEC策略��,封裝是用新的IP報頭�,其中包括隧道源IP地址和隧道目的IP地址����,將整個數(shù)據(jù)報文保護起來��。本發(fā)明實施例提供的數(shù)據(jù)報文的加密方法�,在IPSEC傳輸模式下����,在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時,收集加密信息建立轉(zhuǎn)發(fā)流表�,收集轉(zhuǎn)發(fā)信息建立轉(zhuǎn)發(fā)流表。在后續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)流的數(shù)據(jù)報文時�,根據(jù)數(shù)據(jù)報文的信息查找加密流表,根據(jù)加密流表中的內(nèi)容在IPSEC加密引擎中快速加密�����,再通過IP地址查找轉(zhuǎn)發(fā)流表快速轉(zhuǎn)發(fā)�����,提高IPSEC通信效率���。在IPSEC隧道模式中,在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時����,同樣收集加密信息建立加密流表��,收集轉(zhuǎn)發(fā)信息建立轉(zhuǎn)發(fā)流表����。后續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)流的數(shù)據(jù)報文時���,查找加密流表在IPSEC加密引擎中對數(shù)據(jù)報文進行加密��,得到加密數(shù)據(jù)報文����,之后該加密數(shù)據(jù)報文進入隧道處理模塊���,查找轉(zhuǎn)發(fā)流表先對數(shù)據(jù)報文進行隧道封裝再轉(zhuǎn)發(fā)�,提高IPSEC通信效率��。以上詳細(xì)介紹了數(shù)據(jù)報文加密轉(zhuǎn)發(fā)過程�,下面以數(shù)據(jù)報文解密為基礎(chǔ),進一步介紹本發(fā)明技術(shù)方案��,如圖3所示�����,該方法包括310、通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的接口接收加密數(shù)據(jù)報文�����;320���、根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表��,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密��,其中��,所述解密流表中包含解密信息�����。其中�����,在解密端設(shè)備接收加密數(shù)據(jù)報文之前,解密端設(shè)備就SA和加密端設(shè)備協(xié)商達成一致����,確定了 SA中的內(nèi)容�,包括加解密類型��、加解密算法��,密鑰�����、密鑰長度���、密鑰使用期限���。
解密流表是在接收到數(shù)據(jù)流的首個加密數(shù)據(jù)報文時,根據(jù)所述首個加密數(shù)據(jù)報文的特征����,獲取解密信息動態(tài)并行建立的,其建立方法可參閱上述加密流表的建立方法����,在此不再贅述。優(yōu)選地����,解密信息包括解密類型�、解密算法�����、密鑰和密鑰長度����。優(yōu)選地,所述解密流表中還可以包括擴展頭����、有效載荷長度、安全協(xié)議驗證索引���、序列號和數(shù)據(jù)鑒權(quán)信息�����??梢岳斫獾氖?,在IPSEC傳輸模式下,接收到加密數(shù)據(jù)報文�,根據(jù)加密數(shù)據(jù)報文中的信息查找解密流表����,在IPSEC解密引擎中�,解除增加在加密數(shù)據(jù)報文的IP報頭和有效載荷之間的擴展頭�����,利用密鑰和解密算法對加密數(shù)據(jù)報文進行解密獲得原數(shù)據(jù)報文�,進而提高IPSEC通信效率。而在IPSEC隧道模式下����,數(shù)據(jù)報文經(jīng)過了隧道處理,在接收到加密數(shù)據(jù)報文后���,首 先根據(jù)加密數(shù)據(jù)報文的信息查找包含有解封裝信息的解封裝流表�����,在隧道處理模塊中先解除加密數(shù)據(jù)報文封裝的新的IP報頭�;優(yōu)選地���,解封裝信息可以包括隧道源IP地址����、隧道目的IP地址、源IP地址���、目的IP地址�、端口號��。在解除隧道封裝后��,再查找解密流表����,在IPSEC解密引擎中解除擴展頭再解密,獲得原數(shù)據(jù)報文��,提高IPSEC通信效率��。為了能夠快速地解封裝���,在接收到數(shù)據(jù)流的首個加密數(shù)據(jù)報文時�,收集解封裝信息建立解封裝流表����,同時再收集解密信息建立解密流表�,能夠快速地解密���。如圖4-a所示,本發(fā)明實施例還提供了一種通訊設(shè)備��,可包括加密單元410和轉(zhuǎn)發(fā)單元420 �;其中,加密單元410�,用于根據(jù)數(shù)據(jù)報文的信息查找加密流表,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密��,得到加密數(shù)據(jù)報文�;其中,所述加密流表中包含加密信息�;轉(zhuǎn)發(fā)單元420,用于根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表����,并根據(jù)所述轉(zhuǎn)發(fā)流表,通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文�����,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信息����。其中�����,加密單元410在轉(zhuǎn)發(fā)數(shù)據(jù)報文時�,根據(jù)數(shù)據(jù)報文的信息查找加密流表����,對數(shù)據(jù)報文進行加密,得到加密數(shù)據(jù)報文�。加密流表是在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時,收集加密信息建立的�����。轉(zhuǎn)發(fā)單元420查找轉(zhuǎn)發(fā)流表轉(zhuǎn)發(fā)加密的數(shù)據(jù)報文���,轉(zhuǎn)發(fā)流表也是在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時���,收集轉(zhuǎn)發(fā)信息建立的。對于IPSEC傳輸模式��,加密單元410查找加密流表對數(shù)據(jù)報文進行加密�����,得到加密數(shù)據(jù)報文,轉(zhuǎn)發(fā)單元420查找轉(zhuǎn)發(fā)流表轉(zhuǎn)發(fā)該加密數(shù)據(jù)報文�����,實現(xiàn)快速加密和轉(zhuǎn)發(fā)����,提高IPSEC通信效率��。而在IPSEC隧道模式下��,如圖4-b所示����,該通訊設(shè)備還包括封裝單元430,在加密單元410查找到加密流表對數(shù)據(jù)報文進行加密后��,再查找轉(zhuǎn)發(fā)流表��,封裝單元430對加密數(shù)據(jù)報文進行隧道封裝��,之后轉(zhuǎn)發(fā)單元420將封裝的加密數(shù)據(jù)報文轉(zhuǎn)發(fā)出去�����,實現(xiàn)快速加密、隧道封裝和轉(zhuǎn)發(fā)�����,提高IPSEC通信效率����。如圖5-a所示,本發(fā)明實施例還提供了一種通訊設(shè)備��,可包括接收單元510和解密單元520 ���;其中�����,接收單元510����,用于通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的接口接收加密數(shù)據(jù)報文���;解密單元520����,用于根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密�,其中,所述解密流表中包含解密信息����。
其中,接收單元510接收到加密數(shù)據(jù)報文�����,查找解密流表對數(shù)據(jù)報文進行解密����,提高解密速度����。解密流表是在接收數(shù)據(jù)流的首個加密數(shù)據(jù)報文時,根據(jù)所述首個加密數(shù)據(jù)報文的特征�����,收集解密信息建立的����;后續(xù)在接收到該數(shù)據(jù)流的加密數(shù)據(jù)報文時���,解密單元520可以通過查找解密流表解密數(shù)據(jù)報文,實現(xiàn)快速解密��,提高IPSEC通信效率����。而在IPSEC隧道模式下,如圖5-b所示���,該通訊設(shè)備還包括解封裝單元530�����,在接收單元510接收到加密數(shù)據(jù)報文后���,解封裝單元530先查找解封裝流表,將封裝在加密數(shù)據(jù)報文外部的IP報頭解除���,然后解密單元520查找解密流表����,對加密數(shù)據(jù)報文解密,實現(xiàn)快速解封裝和解密����,提高IPSEC通信效率。參閱圖6_a����,本發(fā)明實施例還提供了一種數(shù)據(jù)報文處理系統(tǒng),可包括加密端設(shè)備610和解密端設(shè)備620�����,其中�,所述加密端設(shè)備可以如圖4-a和圖4_b所示,所述解密端設(shè)備可以如圖5-a和圖5-b所不��。本發(fā)明實施例提供的數(shù)據(jù)報文處理系統(tǒng)中�����,在IPSEC傳輸模式下�,加密端設(shè)備610通過在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時�����,收集加密信息建立加密流表����,收集轉(zhuǎn)發(fā)信息建立轉(zhuǎn) 發(fā)流表�,在后續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)流的數(shù)據(jù)報文時����,加密單元410根據(jù)數(shù)據(jù)報文的信息查找加密流表對數(shù)據(jù)報文進行加密�,得到了加密數(shù)據(jù)報文�,轉(zhuǎn)發(fā)單元420根據(jù)數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表,通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)該加密數(shù)據(jù)報文��,可以實現(xiàn)數(shù)據(jù)報文的快速加密和轉(zhuǎn)發(fā)���。而解密端設(shè)備620中的接收單元510通過配置有IPSEC策略的接口接收加密數(shù)據(jù)報文后�����,解密單元520根據(jù)加密數(shù)據(jù)報文的信息查找解密流表對加密數(shù)據(jù)報文進行解密����,得到原來的數(shù)據(jù)報文�,可以實現(xiàn)加密數(shù)據(jù)報文的快速解密,從而提高IPSEC通信效率。另外地���,在IPSEC隧道模式下���,加密端設(shè)備610通過在轉(zhuǎn)發(fā)數(shù)據(jù)流的首個數(shù)據(jù)報文時,收集加密信息建立加密流表����,收集轉(zhuǎn)發(fā)信息建立轉(zhuǎn)發(fā)流表,其中�,轉(zhuǎn)發(fā)信息中還包含有隧道源IP地址和隧道目的IP地址,在后續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)流的數(shù)據(jù)報文時���,加密單元410查找加密流表對數(shù)據(jù)報文進行加密����,得到加密數(shù)據(jù)報文�����,封裝單元430查找轉(zhuǎn)發(fā)流表對加密數(shù)據(jù)報文進行隧道封裝��,后由轉(zhuǎn)發(fā)單元420根據(jù)數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表��,通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)經(jīng)過隧道封裝的加密數(shù)據(jù)報文�����,可以實現(xiàn)數(shù)據(jù)報文的快速加密和轉(zhuǎn)發(fā)����。而解密端設(shè)備620中的接收單元510通過配置有IPESC策略的接口接收加密數(shù)據(jù)報文,解封裝單元530根據(jù)加密數(shù)據(jù)報文的信息查找解封裝流表對加密數(shù)據(jù)報文進行隧道封裝解除���,然后解密單元520再查找解密流表對數(shù)據(jù)報文進行解密���,得到原來的數(shù)據(jù)報文,可以實現(xiàn)加密數(shù)據(jù)報文的快速解密��,從而提高IPSEC通信效率���。參閱圖7����,本發(fā)明實施例還提供了一種數(shù)據(jù)報文處理設(shè)備�����,可包括存儲器710和至少一個處理器720 (圖7中以一個處理器為例)。本發(fā)明實施例的一些實施例中���,存儲器710和處理器720可通過總線或其它方式連接����,其中�,圖7以通過總線連接為例。其中�����,處理器720執(zhí)行以下步驟根據(jù)數(shù)據(jù)報文的信息查找加密流表���,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密�,得到加密數(shù)據(jù)報文�����;其中�����,所述加密流表中包含加密信息�����;根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表�����,并根據(jù)所述轉(zhuǎn)發(fā)流表�,通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信息���?���;蛘?,通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的接口接收加密數(shù)據(jù)報文;根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表����,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密,其中�,所述解密流表中包含解密信息。在本發(fā)明一些實施例中��,處理器720還可以執(zhí)行以下步驟根據(jù)所述轉(zhuǎn)發(fā)流表����,對所述加密數(shù)據(jù)報文進行隧道封裝����;通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的出接口轉(zhuǎn)發(fā)經(jīng)過隧道封裝的所述加密數(shù)據(jù)報文��。在本發(fā)明一些實施例中�����,處理器720還可以執(zhí)行以下步驟在轉(zhuǎn)發(fā)所述數(shù)據(jù)報文所屬數(shù)據(jù)流的首個數(shù)據(jù)報文時��,根據(jù)所述首個數(shù)據(jù)報文的特征�,收集加密信息動態(tài)并行建立所述加密流表,收集轉(zhuǎn)發(fā)信息建立所述轉(zhuǎn)發(fā)流表���。在本發(fā)明一些實施例中���,處理器720還用于根據(jù)所述加密數(shù)據(jù)報文的信息查找解封裝流表,并根據(jù)所述解封裝流表對所述加密數(shù)據(jù)報文進行解封裝����,其中,所述解封裝流表中包含解封裝信息�。
在本發(fā)明一些實施例中�,處理器720還用于在接收到所述加密數(shù)據(jù)報文所屬數(shù)據(jù)流的首個加密數(shù)據(jù)報文時��,根據(jù)所述首個加密數(shù)據(jù)報文的特征����,收集解密信息動態(tài)并行建立所述解密流表�,收集解封裝信息建立所述解封裝流表。在本發(fā)明一些實施例中���,存儲器710可用于存儲加密信息�、轉(zhuǎn)發(fā)信息以及根據(jù)加密信息建立的加密流表�����,和根據(jù)轉(zhuǎn)發(fā)信息建立的轉(zhuǎn)發(fā)流表��。在本發(fā)明一些實施例中�,存儲器710還可用于存儲解密信息、解封裝信息以及根據(jù)解密信息建立的解密流表���,和根據(jù)解封裝信息建立的解封裝流表����。在發(fā)明一些實施例中,該數(shù)據(jù)報文處理設(shè)備還可以包括輸入裝置和輸出裝置�����。本發(fā)明實施例所提供的數(shù)據(jù)報文處理設(shè)備可以是路由器�、服務(wù)器等,還可以是其它通訊設(shè)備��。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成���,所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中�����,上述提到的存儲介質(zhì)可以是只讀存儲器���,磁盤或光盤等。以上對本發(fā)明所提供的一種數(shù)據(jù)報文處理方法�、系統(tǒng)及設(shè)備進行了詳細(xì)介紹,對于本領(lǐng)域的一般技術(shù)人員���,依據(jù)本發(fā)明實施例的思想�����,在具體實施方式
及應(yīng)用范圍上均會有改變之處�,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制���。
權(quán)利要求
1.一種數(shù)據(jù)報文處理方法��,其特征在于�����,包括 根據(jù)數(shù)據(jù)報文的信息查找加密流表,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密���,得到加密數(shù)據(jù)報文��;其中�,所述加密流表中包含加密信息�; 根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表,并根據(jù)所述轉(zhuǎn)發(fā)流表��,通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文��,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信息。
2.根據(jù)權(quán)利要求I所述的方法����,其特征在于, 所述加密信息中包括加密類型���、加密算法�����、密鑰和密鑰長度����,相應(yīng)地�,所述根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密,得到加密數(shù)據(jù)報文���,具體包括 根據(jù)所述加密流表的加密信息對所述數(shù)據(jù)報文進行加密����,得到加密數(shù)據(jù)報文����; 所述轉(zhuǎn)發(fā)信息中包括源IP地址�、目的IP地址和出接口信息�,相應(yīng)地,根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表����,并根據(jù)所述轉(zhuǎn)發(fā)流表,通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文具體包括 根據(jù)所述數(shù)據(jù)報文的源IP地址或目的IP地址查找轉(zhuǎn)發(fā)流表���,且根據(jù)所述轉(zhuǎn)發(fā)流表的轉(zhuǎn)發(fā)信息����,通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文����。
3.根據(jù)權(quán)利要求I或2所述的方法�����,其特征在于��,所述加密流表中還包括擴展頭�����、有效載荷長度、安全協(xié)議驗證索引����、序列號和數(shù)據(jù)鑒權(quán)信息,相應(yīng)地�,所述根據(jù)數(shù)據(jù)報文的信息查找加密流表,具體包括 根據(jù)所述數(shù)據(jù)報文的序列號查找加密流表���。
4.根據(jù)權(quán)利要求I至3任一項所述的方法����,其特征在于��,在IPSEC隧道模式下��,所述轉(zhuǎn)發(fā)信息還包括隧道源IP地址和隧道目的IP地址���,相應(yīng)地�,所述根據(jù)所述轉(zhuǎn)發(fā)流表�����,通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文���,具體包括 根據(jù)所述轉(zhuǎn)發(fā)流表�,對所述加密數(shù)據(jù)報文進行隧道封裝; 通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)經(jīng)過隧道封裝的所述加密數(shù)據(jù)報文��。
5.根據(jù)權(quán)利要求I至4任一項所述的方法�����,其特征在于����,在轉(zhuǎn)發(fā)所述數(shù)據(jù)報文所屬數(shù)據(jù)流的首個數(shù)據(jù)報文時,根據(jù)所述首個數(shù)據(jù)報文的特征��,收集加密信息動態(tài)并行建立所述加密流表��,收集轉(zhuǎn)發(fā)信息建立所述轉(zhuǎn)發(fā)流表�。
6.一種數(shù)據(jù)報文處理方法,其特征在于����,包括 通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的接口接收加密數(shù)據(jù)報文��; 根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表����,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密����,其中���,所述解密流表中包含解密信息��,所述解密信息包括解密類型���、解密算法、密鑰和密鑰長度�����。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述解密流表還包括擴展頭���、有效載荷長度�����、安全協(xié)議驗證索引��、序列號和數(shù)據(jù)鑒權(quán)�,相應(yīng)地,所述根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表��,具體包括 根據(jù)所述加密數(shù)據(jù)報文的序列號查找解密流表��。
8.根據(jù)權(quán)利要求6或7所述的方法��,其特征在于���,在IPSEC隧道模式下����,在根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表之前����,所述方法還包括 根據(jù)所述加密數(shù)據(jù)報文的信息查找解封裝流表,并根據(jù)所述解封裝流表對所述加密數(shù)據(jù)報文進行解封裝�,其中,所述解封裝流表中包含解封裝信息�����;所述解封裝信息包括隧道源IP地址����、隧道目的IP地址、源IP地址��、目的IP地址��。
9.根據(jù)權(quán)利要求6至8任一項所述的方法�,其特征在于,在接收到所述加密數(shù)據(jù)報文所屬數(shù)據(jù)流的首個加密數(shù)據(jù)報文時��,根據(jù)所述首個加密數(shù)據(jù)報文的特征�����,收集解密信息動態(tài)并行建立所述解密流表���,收集解封裝信息建立所述解封裝流表����。
10.一種通訊設(shè)備����,其特征在于���,包括 加密單元,用于根據(jù)數(shù)據(jù)報文的信息查找加密流表�,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密,得到加密數(shù)據(jù)報文�����;其中�,所述加密流表中包含加密信息; 轉(zhuǎn)發(fā)單元���,用于根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表���,并根據(jù)所述轉(zhuǎn)發(fā)流表,通過互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文���,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā) 信息���。
11.根據(jù)權(quán)利要求10所述的通訊設(shè)備,其特征在于�����,在IPSEC隧道模式下,所述轉(zhuǎn)發(fā)信息包括隧道源IP地址和隧道目的IP地址�����,相應(yīng)地����,所述轉(zhuǎn)發(fā)單元具體用于 根據(jù)所述轉(zhuǎn)發(fā)流表�����,對所述加密數(shù)據(jù)報文進行隧道封裝��;通過配置有IPSEC策略的出接口轉(zhuǎn)發(fā)經(jīng)過隧道封裝的所述加密數(shù)據(jù)報文�。
12.—種通訊設(shè)備,其特征在于�,包括 接收單元,用于通過配置有互聯(lián)網(wǎng)協(xié)議IP安全性IPSEC策略的接口接收加密數(shù)據(jù)報文��; 解密單元�,用于根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密����,其中��,所述解密流表中包含解密信息�。
13.根據(jù)權(quán)利要求12所述的通訊設(shè)備���,其特征在于��,所述通訊設(shè)備還包括 解封裝單元����,用于在IPSEC隧道模式下�,在根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表之前,根據(jù)所述加密數(shù)據(jù)報文的信息查找解封裝流表��,并根據(jù)所述解封裝流表對所述加密數(shù)據(jù)報文進行解封裝����,其中,所述解封裝流表中包含解封裝信息����。
14.一種數(shù)據(jù)報文處理系統(tǒng),其特征在于�,包括如權(quán)利要求l(Tll任一項所述的加密端設(shè)備和如權(quán)利要求12-13任一項所述的解密端設(shè)備����。
全文摘要
本發(fā)明實施例公開了一種數(shù)據(jù)報文處理方法���、系統(tǒng)及設(shè)備�,可以提高IPSEC通信效率���,該方法包括根據(jù)數(shù)據(jù)報文的信息查找加密流表,并根據(jù)所述加密流表對所述數(shù)據(jù)報文進行加密�����,得到加密數(shù)據(jù)報文��;其中�����,所述加密流表中包含加密信息����;根據(jù)所述數(shù)據(jù)報文的信息查找轉(zhuǎn)發(fā)流表,并根據(jù)所述轉(zhuǎn)發(fā)流表�,通過配置有IP協(xié)議安全性IPSEC策略的出接口轉(zhuǎn)發(fā)所述加密數(shù)據(jù)報文�,所述轉(zhuǎn)發(fā)流表中包含轉(zhuǎn)發(fā)信息��。通過配置有IP協(xié)議安全性IPSEC策略的接口接收加密數(shù)據(jù)報文��;根據(jù)所述加密數(shù)據(jù)報文的信息查找解密流表�,并根據(jù)所述解密流表對所述加密數(shù)據(jù)報文進行解密,其中����,所述解密流表中包含解密信息。
文檔編號H04L29/06GK102882789SQ201210345568
公開日2013年1月16日 申請日期2012年9月17日 優(yōu)先權(quán)日2012年9月17日
發(fā)明者連續(xù), 薛康 申請人:華為技術(shù)有限公司