本發明提供了一種組域虛擬專用網絡中報文處理方法，該方法包括：GM設備接收到其它GM設備發送的報文時，根據接收到的報文攜帶的GM唯一標識在本地匹配CBAR表項；當未匹配到CBAR表項時，解封裝處理接收到的報文，并生成所述GM唯一標識對應的CBAR表項；當匹配到CBAR表項時，根據所述報文攜帶的序列號，以及匹配到的CBAR表項進行CBAR檢測；若檢測確定接收到的報文為重放報文，則丟棄所述報文；否則，解封裝處理接收到的報文并更新匹配到的CBAR表項。基于同樣的發明構思，本申請還提出一種組域虛擬專用網絡中報文處理裝置，能夠在不丟棄有用報文的基礎上降低資源的消耗。

技術領域

本發明涉及通信技術領域，特別涉及一種組域虛擬專用網絡中報文處理方法和裝置。

背景技術

因特網協議安全(IP Security，IPsec)是IETF制定的三層隧道加密協議，它為互聯網上傳輸的數據提供了高質量的、基于密碼學的安全保證，是一種傳統的實現三層虛擬專用網絡(Virtual Private Network，VPN)的安全技術。IPsec通過在特定通信方之間，如兩個安全網關之間建立“通道”，來保護通信方之間傳輸的用戶數據，該通道通常稱為IPsec隧道。

重放報文，通常是指設備再次接收到的已經被IPsec處理過的報文。為了抗重放已處理的報文，提出了基于報文計數的抗重放(Counter-based anti-replay，CBAR)實現方案。IPsec通過滑動窗口，即抗重放窗口機制檢測重放報文。如果收到的報文的序列號與已經解封裝過的報文序列號相同，或收到的報文的序列號出現得較早，即已經超過了抗重放窗口的范圍，則認為該報文為重放報文，直接將重放報文丟棄。

但是這種實現中，組域虛擬專用網絡(Group Domain VPN，GDVPN)中，如果不同組成員(Group member，GM)設備，如GM設備1和GM設備2都需要向GM設備3發送報文，且GM設備1先發送了一個序列號為1的報文到GM設備3后，GM設備2又向GM設備3發送一個序列號為0的報文；GM設備3在接收到GM設備1發送的序列號為1的報文處理后，再接收到GM設備2發送的序列號為0的報文時，確定該報文為重放報文，會將其丟棄。

發明內容

有鑒于此，本申請提供一種組域虛擬專用網絡中報文處理方法和裝置，以解決在抗重放過程中丟棄有用報文的問題。

為解決上述技術問題，本申請的技術方案是這樣實現的：

一種組域虛擬專用網絡中報文處理方法，應用于組成員GM上，該方法包括：

該GM設備接收到其它GM設備發送的報文時，根據接收到的報文攜帶的GM唯一標識在本地匹配基于報文計數的抗重放CBAR表項；所述其它GM設備發送的報文攜帶GM唯一標識和序列號，所述GM唯一標識為發送該報文的GM設備的GM唯一標識；

當未匹配到CBAR表項時，解封裝處理接收到的報文，并生成所述GM唯一標識對應的CBAR表項；

當匹配到CBAR表項時，根據所述報文攜帶的序列號，以及匹配到的CBAR表項進行CBAR檢測；若檢測確定接收到的報文為重放報文，則丟棄所述報文；否則，解封裝處理接收到的報文并更新匹配到的CBAR表項。

一種組域虛擬專用網絡中報文處理裝置，應用于組成員GM中，該裝置包括：

收發單元，用于接收其它GM設備發送的報文；

匹配單元，用于根據所述收發單元接收到的報文攜帶的GM唯一標識在本地匹配基于報文計數的組抗重放CBAR表項；所述其它GM設備發送的報文攜帶GM唯一標識和序列號，所述GM唯一標識為發送該報文的GM設備的GM唯一標識；