技術領域

本發明涉及通信技術領域,特別是涉及一種基于隧道的報文處理方法和總部網關設備。

背景技術

IPSec(Internet?Protocol?Security，IP安全)協議給出了應用于IP層上網絡數據安全的一整套體系結構，包括網絡認證協議(Authentication?Header，AH)、封裝安全載荷協議(Encapsulating?Security?Payload，ESP)、密鑰管理協議(Internet?Key?Exchange，IKE)和用于網絡認證及加密的一些算法等。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換，向上提供了訪問控制、數據源認證、數據加密等網絡安全服務。

圖1是IPSec組網圖，網關2、3為分支網關，網關1為總部網關。其中，網關2、3連接的私網是相同的，網關2、3互為備份，網關2和網關1建立IPSec隧道1，網關3和網關1建立IPSec隧道2，這兩個IPSec隧道保護的業務流的范圍是相同的，同一時間內，兩個IPSec隧道中僅有一個IPSec隧道處于激活態、另一個IPSec隧道則處于非激活態，激活態和非激活態的確定方法為：網關1根據網關2(或網關3)發送來的業務流的加密報文中的安全參數索引(Security?Parameter?Index，SPI)區分用哪個IPSec隧道對應的入密鑰信息來解密，被使用的入密鑰信息對應的IPSec隧道切換為激活態，未被使用的入密鑰信息對應的IPSec隧道切換為非激活態。當網關1返回加密報文的原始響應報文給網關2(或網關3)時，使用當前處于激活態的IPSec隧道對應的出密鑰信息對原始響應報文進行加密，并通過當前處于激活態的IPSec隧道轉發加密后的原始響應報文。這樣，通過IPSec隧道的激活態和非激活態來保證網關1返回的原始響應報文僅使用一條IPSec隧道對應的出密鑰信息進行加密，且僅通過一條IPSec隧道對加密后的原始響應報文進行轉發，但是這樣存在以下問題：在網關2、3狀態不穩定的情況下，容易造成網關1上兩條隧道的狀態頻繁切換(激活態或非激活態)，同一業務流的加密報文和原始響應報文不能保證使用相同的IPSec隧道對應的入密鑰信息、出密鑰信息加解密，例如，網關1將原本應該發給網關2(因網關3的負載較重分擔到網關2)的業務流的原始響應報文，發給了網關3(因頻繁切換當前處于激活態的IPSec隧道為網關1與網關3之間的IPSec隧道)，這就導致網關3的負載更重，無法實現真正的負載分擔。

為了解決這一問題，現有技術中將網關2、3使用堆疊技術合二為一，這樣網關2、3與網關1只需建立一條隧道，不再有上述問題。然而這種解決方法需改變原有網絡結構，改造難度大，并且很難繼續使用原有設備，設備更換成本高。

發明內容

有鑒于此，本發明提出了一種基于隧道的報文處理方法和總部網關設備，有效解決了現有多隧道組網中不能實現IPSec隧道負載分擔的缺陷。

本發明提出的技術方案是：

一種基于隧道的報文處理方法，該方法包括：

總部網關解密接收到的業務流的加密報文得到原始請求報文，根據原始請求報文的多元組信息查詢預設的隧道關聯表，如果隧道關聯表中沒有與多元組信息匹配的表項，將多元組信息與解密加密報文時使用的入密鑰信息對應的隧道之間的映射關系保存到隧道關聯表中，并發送原始請求報文；

總部網關接收業務流的原始響應報文，根據原始響應報文的多元組信息查詢隧道關聯表，確定與多元組信息匹配的隧道，如果匹配的隧道可用，使用匹配的隧道對應的出密鑰信息對原始響應報文進行加密，并通過匹配的隧道將加密后的原始響應報文發送給加密報文的來源分支網關。

一種總部網關設備，該設備包括：

第一處理模塊，用于解密接收到的業務流的加密報文得到原始請求報文，根據原始請求報文的多元組信息查詢預設的隧道關聯表，如果隧道關聯表中沒有與多元組信息匹配的表項，將多元組信息與解密加密報文時使用的入密鑰信息對應的隧道之間的映射關系保存到隧道關聯表中，并發送原始請求報文；

第二處理模塊，用于接收業務流的原始響應報文，根據原始響應報文的多元組信息查詢隧道關聯表，確定與多元組信息匹配的隧道，如果匹配的隧道可用，使用匹配的隧道對應的出密鑰信息對原始響應報文進行加密，并通過匹配的隧道將加密后的原始響應報文發送給加密報文的來源分支網關。