一種組域虛擬專用網絡中報文處理方法和裝置的制造方法
【技術領域】
[0001] 本發(fā)明涉及通信技術領域，特別涉及一種組域虛擬專用網絡中報文處理方法和裝 置。
【背景技術】
[0002] 因特網協(xié)議安全（IPSecurity，IPsec)是IETF制定的三層隧道加密協(xié)議，它為互 聯(lián)網上傳輸的數據提供了高質量的、基于密碼學的安全保證，是一種傳統(tǒng)的實現三層虛擬 專用網絡（VirtualPrivateNetwork，VPN)的安全技術。IPsec通過在特定通信方之間，如 兩個安全網關之間建立"通道"，來保護通信方之間傳輸的用戶數據，該通道通常稱為IPsec 隧道。
[0003] 重放報文，通常是指設備再次接收到的已經被IPsec處理過的報文。為了抗重放 已處理的報文，提出了基于報文計數的抗重放（Counter-basedanti-replay，CBAR)實現方 案。IPsec通過滑動窗口，即抗重放窗口機制檢測重放報文。如果收到的報文的序列號與已 經解封裝過的報文序列號相同，或收到的報文的序列號出現得較早，即已經超過了抗重放 窗口的范圍，則認為該報文為重放報文，直接將重放報文丟棄。
[0004] 但是這種實現中，組域虛擬專用網絡（GroupDomainVPN，⑶VPN)中，如果不同組 成員（Groupmember，GM)設備，如GM設備1和GM設備2都需要向GM設備3發(fā)送報文，且 GM設備1先發(fā)送了一個序列號為1的報文到GM設備3后，GM設備2又向GM設備3發(fā)送一 個序列號為〇的報文；GM設備3在接收到GM設備1發(fā)送的序列號為1的報文處理后，再接 收到GM設備2發(fā)送的序列號為0的報文時，確定該報文為重放報文，會將其丟棄。

【發(fā)明內容】

[0005] 有鑒于此，本申請?zhí)峁┮环N組域虛擬專用網絡中報文處理方法和裝置，以解決在 抗重放過程中丟棄有用報文的問題。
[0006] 為解決上述技術問題，本申請的技術方案是這樣實現的：
[0007] 一種組域虛擬專用網絡中報文處理方法，應用于組成員GM上，該方法包括：
[0008] 該GM設備接收到其它GM設備發(fā)送的報文時，根據接收到的報文攜帶的GM唯一標 識在本地匹配基于報文計數的抗重放CBAR表項；所述其它GM設備發(fā)送的報文攜帶GM唯一 標識和序列號，所述GM唯一標識為發(fā)送該報文的GM設備的GM唯一標識；
[0009] 當未匹配到CBAR表項時，解封裝處理接收到的報文，并生成所述GM唯一標識對應 的CBAR表項；
[0010] 當匹配到CBAR表項時，根據所述報文攜帶的序列號，以及匹配到的CBAR表項進行 CBAR檢測；若檢測確定接收到的報文為重放報文，則丟棄所述報文；否則，解封裝處理接收 到的報文并更新匹配到的CBAR表項。
[0011] 一種組域虛擬專用網絡中報文處理裝置，應用于組成員GM中，該裝置包括：
[0012] 收發(fā)單元，用于接收其它GM設備發(fā)送的報文；
[0013] 匹配單元，用于根據所述收發(fā)單元接收到的報文攜帶的GM唯一標識在本地匹配 基于報文計數的組抗重放CBAR表項；所述其它GM設備發(fā)送的報文攜帶GM唯一標識和序列 號，所述GM唯一標識為發(fā)送該報文的GM設備的GM唯一標識；
[0014] 處理單元，用于當所述匹配單元未匹配到CBAR表項時，解封裝處理接收到的報 文，并生成所述GM唯一標識對應的CBAR表項；當所述匹配單元匹配到CBAR表項時，根據所 述報文攜帶的序列號，以及匹配到的CBAR表項進行CBAR檢測；若檢測確定接收到的報文為 重放報文，則丟棄所述報文；否則，解封裝處理接收到的報文并更新匹配到的CBAR表項。
[0015] 由上面的技術方案可知，本申請中在組域VPN(GroupDomainVPN，⑶VPN)中的GM 設備上增加抗重放功能，相對于現有實現的CBAR檢測實現抗重放，本申請實施例中還引入 了GM唯一標識來識別發(fā)送報文的GM設備，從而實現⑶VPN中的報文抗重放，能夠在不丟棄 有用報文的基礎上降低資源的消耗。
【附圖說明】
[0016] 圖1為本申請實施例中發(fā)送的報文的結構示意圖；
[0017] 圖2為本申請實施例中組域虛擬專用網絡中報文處理方法流程圖；
[0018] 圖3為本申請實施例中⑶VPN組網示意圖；
[0019] 圖4為GM設備1向GM設備2發(fā)送的報文的結構示意圖；
[0020] 圖5為本申請實施例中應用于上述技術的裝置結構示意圖。
【具體實施方式】
[0021] 為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白，下面結合附圖并舉例，對本 發(fā)明的技術方案進行詳細說明。
[0022] 本申請實施例中提供一種組域虛擬專用網絡中報文處理方案，在⑶VPN中的GM設 備上增加抗重放功能，相對于現有實現的CBAR檢測實現抗重放，本申請實施例中還引入了 GM唯一標識來識別發(fā)送報文的GM設備從而實現⑶VPN中的報文抗重放。
[0023] 本申請實施例中引入的GM唯一標識為發(fā)送該報文的GM設備的GM唯一標識；可以 是GM設備的媒體訪問控制（MAC)地址、因特網協(xié)議（IP)地址，設備標識、GM注冊地址等。
[0024] 本申請具體實現時，可以在需要應用本申請的設備上增加本申請?zhí)峁┑目怪胤殴?能，可以靈活配置開啟該功能或關閉該功能。為了描述方便，本申請實施例中的抗重放功能 稱為基于報文計數的組抗重放（GroupCounter-basedanti-replay，GCBAR)功能。
[0025] 當開啟本申請?zhí)峁┑目怪胤殴δ蹽CBAR功能，GM設備在發(fā)送報文時，需在報文中 攜帶GM唯一標識和發(fā)送該報文的序列號；至于序列號的具體值，可以按現有實現中向目的 GM設備發(fā)送的報文條數確定；該GM接收到其它GM設備發(fā)送的報文時，需要根據報文中攜 帶的GM唯一標識和序列號進行CBAR檢測，進一步根據檢測結果確定如何處理接收到的報 文。
[0026] 參見圖1，圖1為本申請實施例中發(fā)送的報文的結構示意圖。在發(fā)送報文時，圖 1中將GM唯一標識和序列號攜帶在所述報文的封裝安全載荷（EncapsulateSecurity Payload，ESP)頭和內層IP頭之間。
[0027] 當未開啟本申請?zhí)峁┑目怪胤殴δ蹽CBAR功能時，發(fā)送報文時不攜帶GM唯一標識 和序列號，若使用現有的抗重放功能，則僅攜帶序列號；在接收到其它GM設備發(fā)送的報文 時，若報文中攜帶序列號，僅根據現有實現CBAR檢測實現抗重放。
[0028] 下面結合附圖，詳細說明本申請實施例中在接收端和發(fā)送端均開啟本申請?zhí)峁┑?抗重放功能時，如何實現報文的抗重放處理。
[0029] 參見圖2,圖2為本申請實施例中組域虛擬專用網絡中報文處理方法流程圖。具體 步驟為：
[0030] 步驟201，任一GM設備接收到其它GM設備發(fā)送的報文時，根據接收到的報文攜帶 的GM唯一標識在本地匹配CBAR表項。
[0031] 為了防止網絡攻擊報文，在步驟201中任一GM設備接收到其它GM設備發(fā)送的報 文時，根據接收到的報文攜帶的GM唯一標識在本地匹配CBAR表項之前，進一步包括：
[0032] 該GM設備根據ESP尾中的校驗碼