(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211147194.9 (22)申请日 2022.09.21 (65)同一申请的已公布的文献号 申请公布号 CN 115242552 A (43)申请公布日 2022.10.25 (73)专利权人 北京中科网威信息技 术有限公司 地址 100094 北京市海淀区中关村软件园 （二期） 中兴通大厦B座2层 (72)发明人 陈海涛　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 李文清 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 WO 201404041 1 A1,2014.0 3.20 WO 2022057490 A1,202 2.03.24 WO 2022033340 A1,202 2.02.17 WO 2011054259 A1,201 1.05.12 CN 103780469 A,2014.0 5.07 WO 2022127586 A1,202 2.06.23 CN 10149 9972 A,20 09.08.05 CN 109981820 A,2019.07.0 5 审查员 于峰 (54)发明名称 基于IPSEC的报文转发方法及装置 (57)摘要 本发明提供一种基于IPSEC的报文转发方法 及装置， 涉及通信技术领域， 该方法包括： 基于进 入协议栈的第一报文， 确定转发会话消息； 调用 目标函数， 结合转发会话消息对第一报文进行处 理， 获取第二报文； 通过目标接口将第二报文转 发至目的地址。 本发明提供的基于IPSEC的报文 转发方法及装置， 基于第一报文确定转发会话消 息， 通过转发会话消息触发目标函数在转发会话 中对普通报文的封装操作后， 仍在本次转发会话 进行封装报文的转发。 实现对普通报文的封装操 作只进入一次IP协议栈， 能减少封装报文二次入 栈的转发会话创建操作， 简化报文转发的函数调 用的复杂度， 降低报文转发时延和增加吞吐会话 量， 有效避免CPU资源浪费， 提升报文转发性能。 权利要求书2页 说明书9页 附图2页 CN 115242552 B 2022.12.13 CN 115242552 B 1.一种基于IP SEC的报文转发方法， 其特 征在于， 包括： 基于进入协议栈的第一报文， 确定转发会话消息； 调用目标函数， 结合所述 转发会话消息对所述第一报文 进行处理， 获取第二报文； 通过目标接口将所述第二报文转发至目的地址； 其中， 所述目标函数用于将所述第 一报文经加密封装得到所述第 二报文作为转发会话 的挂载点， 触发直接将所述第二报文进行转发出栈的操作； 所述 目标接口是基于所述第二 报文确定的； 所述基于进入协议栈的第一报文， 确定转发会话消息， 包括： 基于所述第一报文， 获取报文标识信息； 基于所述报文标识信息进行哈希查找， 获取 所述转发会话消息； 所述基于所述报文标识信息进行哈希查找， 获取 所述转发会话消息， 包括： 在确定所述报文标识信息未匹配到转发会话的情况下， 创建第一目标转发会话， 并激 活所述挂载点； 基于所述报文标识信息进行策略匹配， 获取第一转发会话消息， 并将所述第一转发会 话消息作为所述 转发会话消息； 所述调用目标函数， 结合所述转发会话消息对所述第 一报文进行处理， 获取第 二报文， 包括： 通过所述第 一转发会话消息触发目标函数进行挂载处理， 所述目标函数的挂载处理执 行以下步骤： 基于目标报文内容和所述第一 转发会话消息， 获取 所述第二报文； 在确定所述挂载点处于激活状态的情况下， 从所述目标函数中获取所述第 一转发会话 消息， 以供在所述第一目标转发会话中转发所述第二报文； 其中， 所述目标报文内容是基于所述第一报文确定的。 2.根据权利要求1所述的基于IPSEC的报文转发方法， 其特征在于， 所述基于所述报文 标识信息进行 策略匹配， 获取第一 转发会话消息， 包括： 基于所述报文标识信息进行安全策略匹配， 获取安全策略信息； 基于所述安全策略信 息进行安全联盟匹配， 将匹配到的安全联盟信 息存储至所述第 一 转发会话消息的结构体中。 3.根据权利要求1所述的基于IPSEC的报文转发方法， 其特征在于， 所述基于所述报文 标识信息进行哈希查找， 获取 所述转发会话消息， 还 包括： 在确定所述报文标识信 息匹配到转发会话的情况下， 将匹配到的转发会话作为第 二目 标转发会话， 以及获取所述第二 目标转发会话对应的第二转发会话消息， 并将所述第二转 发会话消息作为所述 转发会话消息 。 4.根据权利 要求3所述的基于IPSEC的报文转发方法， 其特征在于， 所述调用目标函数， 结合所述 转发会话消息对所述第一报文 进行处理， 获取第二报文， 包括： 基于目标报文内容和所述第二 转发会话消息， 调用所述目标函数， 获取 所述第二报文； 通过所述第二目标转发会话对所述第二报文 进行转发； 其中， 所述目标报文内容是基于所述第一报文确定的。 5.一种基于IP SEC的报文转发装置， 其特 征在于， 包括：权　利　要　求　书 1/2 页 2 CN 115242552 B 2转发会话消息获取模块， 用于基于进入协议栈的第一报文， 确定转发会话消息； 会话应用模块， 用于调用目标函数， 结合所述转发会话消息对所述第 一报文进行处理， 获取第二报文； 报文转发模块， 用于通过目标接口将所述第二报文转发至目的地址； 其中， 所述目标函数用于将所述第 一报文经加密封装得到所述第 二报文作为转发会话 的挂载点， 触发直接将所述第二报文进行转发出栈的操作； 所述 目标接口是基于所述第二 报文确定的； 所述转发会话消息获取模块包括标识信息获取 单元和会话 查找单元； 所述标识信息获取 单元， 用于基于第一报文， 获取报文标识信息； 所述会话 查找单元， 用于基于报文标识信息进行哈希查找， 获取转发会话消息； 所述会话 查找单元包括新建会话子单 元和第一 转发会话消息获取子单 元； 所述新建会话子单元， 用于在确定报文标识信息未匹配到转发会话的情况下， 创建第 一目标转发会话， 并激活挂载点； 所述第一转发会话消息获取子单元， 用于基于报文标识信息进行策略匹配， 获取第一 转发会话消息， 并将第一 转发会话消息作为 转发会话消息； 所述会话应用模块， 具体用于通过第一转发会话消息触发目标函数进行挂载处理， 目 标函数的挂载处 理执行以下步骤： 基于目标报文内容和第一 转发会话消息， 获取第二报文； 在确定挂载点处于激活状态的情况下， 从目标函数中获取第一转发会话消息， 以供在 第一目标转发会话 转发第二报文； 其中， 目标报文内容是基于第一报文确定的。 6.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至4任一项所 述基于IP SEC的报文转发方法。 7.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1至4任一项所述基于IP SEC的报文转发方法。权　利　要　求　书 2/2 页 3 CN 115242552 B 3