[发明专利]一种基于隧道的报文处理方法和总部网关设备

说明书

技术领域

本发明涉及通信技术领域,特别是涉及一种基于隧道的报文处理方法和总部网关设备。

背景技术

IPSec(Internet Protocol Security，IP安全)协议给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议(Authentication Header，AH)、封装安全载荷协议(Encapsulating Security Payload，ESP)、密钥管理协议(Internet Key Exchange，IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

图1是IPSec组网图，网关2、3为分支网关，网关1为总部网关。其中，网关2、3连接的私网是相同的，网关2、3互为备份，网关2和网关1建立IPSec隧道1，网关3和网关1建立IPSec隧道2，这两个IPSec隧道保护的业务流的范围是相同的，同一时间内，两个IPSec隧道中仅有一个IPSec隧道处于激活态、另一个IPSec隧道则处于非激活态，激活态和非激活态的确定方法为：网关1根据网关2(或网关3)发送来的业务流的加密报文中的安全参数索引(Security Parameter Index，SPI)区分用哪个IPSec隧道对应的入密钥信息来解密，被使用的入密钥信息对应的IPSec隧道切换为激活态，未被使用的入密钥信息对应的IPSec隧道切换为非激活态。当网关1返回加密报文的原始响应报文给网关2(或网关3)时，使用当前处于激活态的IPSec隧道对应的出密钥信息对原始响应报文进行加密，并通过当前处于激活态的IPSec隧道转发加密后的原始响应报文。这样，通过IPSec隧道的激活态和非激活态来保证网关1返回的原始响应报文仅使用一条IPSec隧道对应的出密钥信息进行加密，且仅通过一条IPSec隧道对加密后的原始响应报文进行转发，但是这样存在以下问题：在网关2、3状态不稳定的情况下，容易造成网关1上两条隧道的状态频繁切换(激活态或非激活态)，同一业务流的加密报文和原始响应报文不能保证使用相同的IPSec隧道对应的入密钥信息、出密钥信息加解密，例如，网关1将原本应该发给网关2(因网关3的负载较重分担到网关2)的业务流的原始响应报文，发给了网关3(因频繁切换当前处于激活态的IPSec隧道为网关1与网关3之间的IPSec隧道)，这就导致网关3的负载更重，无法实现真正的负载分担。

为了解决这一问题，现有技术中将网关2、3使用堆叠技术合二为一，这样网关2、3与网关1只需建立一条隧道，不再有上述问题。然而这种解决方法需改变原有网络结构，改造难度大，并且很难继续使用原有设备，设备更换成本高。

发明内容

有鉴于此，本发明提出了一种基于隧道的报文处理方法和总部网关设备，有效解决了现有多隧道组网中不能实现IPSec隧道负载分担的缺陷。

本发明提出的技术方案是：

一种基于隧道的报文处理方法，该方法包括：

总部网关解密接收到的业务流的加密报文得到原始请求报文，根据原始请求报文的多元组信息查询预设的隧道关联表，如果隧道关联表中没有与多元组信息匹配的表项，将多元组信息与解密加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到隧道关联表中，并发送原始请求报文；

总部网关接收业务流的原始响应报文，根据原始响应报文的多元组信息查询隧道关联表，确定与多元组信息匹配的隧道，如果匹配的隧道可用，使用匹配的隧道对应的出密钥信息对原始响应报文进行加密，并通过匹配的隧道将加密后的原始响应报文发送给加密报文的来源分支网关。

一种总部网关设备，该设备包括：

第一处理模块，用于解密接收到的业务流的加密报文得到原始请求报文，根据原始请求报文的多元组信息查询预设的隧道关联表，如果隧道关联表中没有与多元组信息匹配的表项，将多元组信息与解密加密报文时使用的入密钥信息对应的隧道之间的映射关系保存到隧道关联表中，并发送原始请求报文；

第二处理模块，用于接收业务流的原始响应报文，根据原始响应报文的多元组信息查询隧道关联表，确定与多元组信息匹配的隧道，如果匹配的隧道可用，使用匹配的隧道对应的出密钥信息对原始响应报文进行加密，并通过匹配的隧道将加密后的原始响应报文发送给加密报文的来源分支网关。