[发明专利]一种报文处理方法和装置

说明书

本申请提供一种报文处理方法和装置，该方法应用于GD VPN中的本端GM，包括：接收GD VPN中的对端GM发送的报文，报文中包括序列号；查询与该报文匹配的快转表项，该快转表项中增加了用于指示抗重放窗口的区间和已接收序列号的新字段；结合快转表项的新字段和该报文包括的序列号，对该报文进行抗重放检测；如果该报文通过抗重放检测，则解封装该报文，并在解封装成功后更新该快转表项；如果该报文没有通过抗重放检测，则丢弃该报文。这样接收端即使无法识别报文来自于哪个GM，也可以根据与该报文唯一对应的快转表项实现GD VPN中的报文抗重放功能。

技术领域

本申请涉及通信技术领域，尤其涉及一种报文处理方法和装置。

背景技术

因特网协议安全(IP Security，IPsec)是IETF制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层虚拟专用网络(Virtual Private Network，VPN)的安全技术。

传统的IPsec VPN一般支持基于窗口的抗重放技术，即IPsec接收方可检测并拒绝接收过时或重复的报文，这类过时或重复的报文常被称为重放报文。IPsec通过滑动窗口(抗重放窗口)机制检测重放报文。如果收到的报文的序列号与已经解封装过的报文序列号相同，或收到的报文的序列号出现得较早，即已经超过了抗重放窗口的范围，则认为该报文为重放报文，直接将重放报文放弃。

但研究发现，传统IPsec VPN的抗重放技术只适用于IPsec VPN，不适用于组域虚拟专用网络(Group Domain VPN，GD VPN)的各组成员(Group Member，GM)之间。

发明内容

有鉴于此，本申请提供一种报文处理方法和装置，能够让GD VPN的GM之间支持抗重放技术。

具体地，本申请是通过如下技术方案实现的：

本申请第一方面，提供了一种报文处理方法，所述方法应用于GD VPN中的本端GM，所述方法包括：

接收GD VPN中的对端GM发送的第一报文，所述第一报文中包括序列号；

查询与所述第一报文匹配的第一快转表项，所述第一快转表项中增加了用于指示抗重放窗口的区间和已接收序列号的新字段；

根据所述第一快转表项中的新字段确定出抗重放窗口的区间和已接收序列号，并结合所述抗重放窗口的区间、已接收序列号以及所述第一报文包括的序列号，对所述第一报文进行抗重放检测；

如果所述第一报文通过抗重放检测，则解封装所述第一报文，并在解封装成功后更新所述第一快转表项；

如果所述第一报文没有通过抗重放检测，则丢弃所述第一报文。

本申请第二方面，提供了一种报文处理装置，所述装置应用于GD VPN中的本端GM，所述装置包括：

接收单元，用于接收GD VPN中的对端GM发送的第一报文，所述第一报文中包括序列号；

查询单元，用于查询与所述第一报文匹配的第一快转表项，所述第一快转表项中增加了用于指示抗重放窗口的区间和已接收序列号的新字段；

抗重放检测单元，用于根据所述第一快转表项中的新字段确定出抗重放窗口的区间和已接收序列号，并结合所述抗重放窗口的区间、已接收序列号以及所述第一报文包括的序列号，对所述第一报文进行抗重放检测；

报文处理单元，用于在所述第一报文通过抗重放检测时解封装所述第一报文；在所述第一报文没有通过抗重放检测时丢弃所述第一报文；

表项处理单元，用于在所述第一报文解封装成功后更新所述第一快转表项。