本发明专利技术提供了一种数据包处理方法、装置、中心节点及存储介质。中心节点接收待转发数据包后确定其对应的转发出接口。若存在全局五元组匹配信息与待转发数据包的五元组信息匹配的候选安全策略,则从全部候选安全策略中找到出接口匹配信息与转发出接口匹配的目标安全策略。最后利用目标安全策略对应的IPSec SA对待转发数据包进行处理后通过目标安全策略对应的IPSec隧道进行传输。本方案中安全策略包括了出接口匹配信息,其使得当存在候选安全策略时,能够找到出接口匹配信息与转发出接口唯一相匹配的的目标安全策略,保证了能够利用目标安全策略对应的IPSec SA对待转发数据包进行处理后,再通过对应的IPSec隧道正确转发。再通过对应的IPSec隧道正确转发。再通过对应的IPSec隧道正确转发。
【技术实现步骤摘要】
数据包处理方法、装置、中心节点及存储介质
[0001]本专利技术涉及通信
,具体而言,涉及一种数据包处理方法、装置、中心节点及存储介质。
技术介绍
[0002]IPSec(Internet Protocol Security,互联网安全协议)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet网络中传输可能会面临被伪造、窃取或篡改的风险。当通信双方通过IPSec建立一条IPSec隧道并协商出该IPSec隧道对应的IPsec SA(Internet Protocol Security Security Association,互联网安全协议安全联盟),IP数据包通过IPSec隧道进行加密传输,能够有效保证数据在不安全的网络环境中传输的安全性。IPsec SA中包括了通信双方加密传输数据时用到的一些信息。通信双方中的一方可以配置安全策略来限定需要保护的数据流,且绑定了需要保护的数据流对应的IPSec隧道。
[0003]对于网络中的中心节点,当该中心节点面临着与大量的分支节点都建立有IPSec隧道时,如何对需要保护的IP数据包进行安全处理及正确转发是需要解决的问题。
技术实现思路
[0004]本专利技术的目的在于提供一种数据包处理方法、装置、中心节点及存储介质,以改善现有技术存在的问题。
[0005]本专利技术的实施例可以这样实现:
[0006]第一方面,本专利技术提供一种数据包处理方法,应用于中心节点,所述中心节点包括多个出接口,所述中心节点通过一个所述出接口与一个分支节点通信连接,且所述中心节点与每个所述分支节点之间均建立有IPSec隧道;所述中心节点存储有每条所述IPSec隧道对应的安全策略和IPSec SA,所述安全策略包括全局五元组匹配信息和出接口匹配信息;所述方法包括:
[0007]接收待转发数据包,并确定出所述待转发数据包对应的转发出接口;
[0008]若存在所述全局五元组匹配信息与所述待转发数据包的五元组信息相匹配的候选安全策略,则从全部所述候选安全策略中确定出所述出接口匹配信息与所述转发出接口相匹配的目标安全策略;
[0009]利用所述目标安全策略对应的IPSec SA对所述待转发数据包进行处理,并通过所述目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。
[0010]在可选的实施方式中,所述方法还包括:
[0011]若不存在所述候选安全策略,则直接转发所述待转发数据包。
[0012]在可选的实施方式中,所述中心节点维护有本地路由表,所述本地路由表包括目的地址和出接口之间的对应关系;
[0013]所述确定出所述待转发数据包对应的转发出接口的步骤,包括:
[0014]获得所述待转发数据包的目的IP地址;
[0015]根据所述待转发数据包的目的IP地址,从所述本地路由表中查找出所述转发出接口。
[0016]在可选的实施方式中,所述中心节点维护有本地路由表,所述本地路由表包括下一跳地址和出接口之间的对应关系;
[0017]所述中心节点获得所述IPSec SA的方式,包括:
[0018]针对每个分支节点,建立与所述分支节点之间的所述IPSec隧道,并获得所述IPSec隧道对应的IPSec SA;
[0019]所述中心节点获得所述安全策略的方式,包括:
[0020]针对每个分支节点,根据所述分支节点的IP地址,从所述本地路由表中查找出所述分支节点对应的出接口;
[0021]生成所述出接口的出接口匹配信息,得到与所述分支节点关联的所述IPSec隧道对应的安全策略;
[0022]其中,所述安全策略包括全局五元组匹配信息和所述出接口匹配信息,所述全局五元组匹配信息是响应用户的配置操作得到的。
[0023]在可选的实施方式中,所述方法还包括:
[0024]在获得任一所述IPSec隧道对应的IPSec SA后,更新所述IPSec隧道对应的安全策略;或者,
[0025]按照预定周期,更新每个所述IPSec隧道对应的安全策略。
[0026]在可选的实施方式中,所述更新每个所述IPSec隧道对应的安全策略的步骤包括:
[0027]根据所述中心节点的IP地址和每个所述分支节点的IP地址,从所述本地路由表中查找每个所述分支节点对应的出接口;
[0028]针对每个所述分支节点,若所述分支节点对应的出接口与所述分支节点关联的所述安全策略中的出接口匹配信息不匹配,则利用所述分支节点对应的出接口更新所述安全策略。
[0029]在可选的实施方式中,所述IPSec SA还包括加密秘钥及所述加密秘钥的密钥生存期;所述方法还包括:
[0030]当检测到任一所述IPSec隧道对应的所述IPSec SA中的所述密钥生存期结束时,与所述IPSec隧道关联的分支节点重新协商获得新的IPSec SA,并更新所述IPSec隧道对应的安全策略。
[0031]第二方面,本专利技术提供一种数据包处理装置,应用于中心节点,所述中心节点包括多个出接口,所述中心节点通过一个所述出接口与一个分支节点通信连接,且所述中心节点与每个所述分支节点之间均建立有IPSec隧道;所述中心节点存储有每条所述IPSec隧道对应的安全策略和IPSec SA,所述安全策略包括全局五元组匹配信息和出接口匹配信息;所述装置包括:
[0032]查找模块,用于接收待转发数据包,并确定出所述待转发数据包对应的转发出接口;
[0033]所述查找模块,还用于若存在所述全局五元组匹配信息与所述待转发数据包的五
元组信息相匹配的候选安全策略,则从全部所述候选安全策略中确定出所述出接口匹配信息与所述转发出接口相匹配的目标安全策略;
[0034]处理模块,用于利用所述目标安全策略对应的IPSec SA对所述待转发数据包进行处理,并通过所述目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。
[0035]第三方面,本专利技术提供一种中心节点,包括:存储器和处理器,所述存储器存储有所述处理器可执行的机器可读指令,当所述中心节点运行时所述处理器执行所述机器可读指令以实现如前述实施方式中任一项所述的数据包处理方法。
[0036]第四方面,本专利技术提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现前述实施方式中任一项所述的数据包处理方法。
[0037]与现有技术相比,本专利技术实施例提供了一种数据包处理方法、装置、中心节点及存储介质,中心节点接收待转发数据包并确定其对应的转发出接口。若存在全局五元组匹配信息与待转发数据包的五元组信息匹配的候选安全策略,则从全部候选安全策略中找到出接口匹配信息与转发出接口匹配的目标安全策略。利用目标安全策略对应的IPSec SA对待本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据包处理方法,其特征在于,应用于中心节点,所述中心节点包括多个出接口,所述中心节点通过一个所述出接口与一个分支节点通信连接,且所述中心节点与每个所述分支节点之间均建立有IPSec隧道;所述中心节点存储有每条所述IPSec隧道对应的安全策略和IPSec SA,所述安全策略包括全局五元组匹配信息和出接口匹配信息;所述方法包括:接收待转发数据包,并确定出所述待转发数据包对应的转发出接口;若存在所述全局五元组匹配信息与所述待转发数据包的五元组信息相匹配的候选安全策略,则从全部所述候选安全策略中确定出所述出接口匹配信息与所述转发出接口相匹配的目标安全策略;利用所述目标安全策略对应的IPSec SA对所述待转发数据包进行处理,并通过所述目标安全策略对应的IPSec隧道对处理后的待转发数据包进行传输。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若不存在所述候选安全策略,则直接转发所述待转发数据包。3.根据权利要求1所述的方法,其特征在于,所述中心节点维护有本地路由表,所述本地路由表包括目的地址和出接口之间的对应关系;所述确定出所述待转发数据包对应的转发出接口的步骤,包括:获得所述待转发数据包的目的IP地址;根据所述待转发数据包的目的IP地址,从所述本地路由表中查找出所述转发出接口。4.根据权利要求1所述的方法,其特征在于,所述中心节点维护有本地路由表,所述本地路由表包括下一跳地址和出接口之间的对应关系;所述中心节点获得所述IPSec SA的方式,包括:针对每个分支节点,建立与所述分支节点之间的所述IPSec隧道,并获得所述IPSec隧道对应的IPSec SA;所述中心节点获得所述安全策略的方式,包括:针对每个分支节点,根据所述分支节点的IP地址,从所述本地路由表中查找出所述分支节点对应的出接口;生成所述出接口的出接口匹配信息,得到与所述分支节点关联的所述IPSec隧道对应的安全策略;其中,所述安全策略包括全局五元组匹配信息和所述出接口匹配信息,所述全局五元组匹配信息是响应用户的配置操作得到的。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:在获得任一所述IPSec隧道对应的IPSec SA后,更新所述IPSec隧道对应的安全策略;或者,按照预定周期,更新每个所述IPSec隧道对应的安全策略。6...
【专利技术属性】
技术研发人员:骆意,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。