(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221090420 0.4 (22)申请日 2022.07.29 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 牟瑞涛　王强　曲胜超　 (74)专利代理 机构 北京开阳星知识产权代理有 限公司 1 1710 专利代理师 祝乐芳 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) H04L 61/5007(2022.01)H04L 61/5061(2022.01) (54)发明名称 报文转板处 理方法及装置 (57)摘要 本公开提供一种报文转板处理方法及 装置， 涉及边界安全技术领域。 该方法包括： 获取第一 请求报文的特征信息； 确定第二业务板槽位号； 若第二业务板槽位号与第一业务板槽位号不一 致， 则第一业务板将第一请求报文的特征信息发 送给第二业务板， 以使第二业务板创建报文转板 信息表； 将第一请求报文发送给资源服务器； 接 收资源服务器发送的第一响应报文； 根据第二五 元组信息查询报文转板信息表； 若第二五元组信 息命中报文转板信息表的任一条第一响应报文 的五元组信息， 则根据报文转板信息表对应的表 项信息， 将第一响应报文转板发送至第一业务 板， 以使第一请求报文和第一响应报文均由第一 业务板处理。 采用本方法能够保证SSLVPN会话的 完整性。 权利要求书2页 说明书11页 附图3页 CN 115277213 A 2022.11.01 CN 115277213 A 1.一种报文转板处理方法， 其特征在于， 应用于网络安全设备， 所述网络安全设备包 括： 一个交换板以及至少两个业 务板； 所述方法包括： 获取第一请求报文的特征信息； 第一请求报文的特征信息包括： 第一五元组信息以及 第一业务板槽位号； 所述第一五元 组信息包括： 第一源IP、 第一目的IP、 第一源端口、 第一目 的端口以及第一传输协 议； 所述第一业务板槽位号为所述第一请求报文被哈希分流后对应 的业务板槽位号； 基于所述第一源IP、 以及所述第一目的IP确定第二业务板槽位号； 所述第二业务板槽 位号为负责处 理第一响应报文的业 务板槽位号； 若所述第二业务板槽位号与 所述第一业务板槽位号不一致， 则第 一业务板将所述第 一 请求报文的特征信息发送给第二业务板， 以使 所述第二业务板基于所述第一请求报文的特 征信息创建报文转板信息表； 所述报文转板信息表由至少一条第一响应报文的五元组信息 以及至少一个第一 业务板槽位号组成； 将所述第一请求报文发送给资源服 务器； 接收所述资源服务器发送的第一响应报文； 所述第一响应报文携带有第二五元组信 息； 所述第二五元 组信息包括： 第二源IP、 第二目的IP、 第二源端口、 第二目的端口以及第二 传输协议； 根据所述第二五元组信息查询所述报文转板信息表； 若所述第二五元组信息命中所述报文转板信息表的任一条第一响应报文的五元组信 息， 则根据所述报文转板信息表对应的表项信息， 将所述第一响应报文转板发送至第一业 务板， 以使所述第一请求报文和所述第一响应报文均由所述第一 业务板处理。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述第一源IP、 以及所述第一目 的IP确定第二 业务板槽位号， 包括： 根据所述第一源IP、 以及所述第一目的IP转换 得到第二源IP、 第二目的IP； 根据所述第二源IP、 第二目的IP进行哈希分流， 获取第二 业务板槽位号。 3.根据权利要求1所述的方法， 其特征在于， 在第 一业务板将所述第 一请求报文的特征 信息发送给第二 业务板之后， 所述方法还 包括： 通过所述第一 业务板将所述第一请求报文发送给资源服 务器。 4.根据权利要求1所述的方法， 其特 征在于， 所述获取第一请求报文的特 征信息， 包括： 接收客户端发送的第一隧道报文； 所述第一 隧道报文包括： 外层源IP、 外层目的IP、 内 层源IP、 内层目的IP； 基于所述第一隧道报文进行解密， 获取外层源IP、 外层目的IP、 内层源IP、 内层目的IP、 内层源端口、 内层目的端口、 内层 传输协议以及第一请求报文； 确定所述 内层源IP为所述第一请求报文的第一源IP、 所述内层目的IP为所述第一请求 报文的第一目的IP、 所述内层 源端口为第一源端口、 所述内层目的端口为第一目的端口、 所 述内层传输协议 为第一传输协议； 获取所述第一请求报文的第一 业务板槽位号； 根据所述第一源IP、 所述第一目的IP、 所述第一源端 口、 所述第一目的端 口、 所述第一 传输协议、 以及所述第一 业务板槽位号， 确定第一请求报文的特 征信息。 5.根据权利要求4所述的方法， 其特征在于， 所述获取所述第 一请求报文的第 一业务板权　利　要　求　书 1/2 页 2 CN 115277213 A 2槽位号， 包括： 根据所述外层源IP、 以及所述外层目的IP进行哈希分流， 获取所述第一请求报文 的第 一业务板槽位号。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 若所述第二业务板槽位号与 所述第一业务板槽位号一致， 则将所述第 一请求报文直接 发送给资源服 务器。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 若所述第二五元组信息未命中所述报文转板信息表的任一条第一响应报文的五元组 信息， 则在第二 业务板对所述第一响应报文 进行处理。 8.一种报文转板处 理装置， 其特 征在于， 包括： 特征信息获取模块， 用于获取第一请求报文的特征信息； 第一请求报文的特征信息包 括： 第一请求报文的第一 五元组信息以及第一业务板槽位号； 所述第一 五元组信息包括： 第 一源IP、 第一目的IP、 第一源端口、 第一目的端口以及第一传输协议； 所述第一业务板槽位 号为所述第一请求报文被哈希分流后对应的业 务板槽位号； 业务板槽位号确定模块， 用于基于所述第一源IP、 以及所述第一目的IP确定第二业务 板槽位号； 所述第二 业务板槽位号为负责处 理第一响应报文的业 务板槽位号； 转板信息表创建模块， 用于若所述第二业务板槽位号与所述第一业务板槽位号不一 致， 则第一业务板将所述第一请求报文的特征信息发送给第二业务板， 以使所述第二业务 板基于所述第一请求报文的特征信息创建报文转板信息表； 所述报文转板信息表由至少一 条第一响应报文的五元组信息以及至少一个第一 业务板槽位号组成； 请求报文发送模块， 用于将所述第一请求报文发送给资源服 务器； 响应报文接收模块， 用于接收所述资源服务器发送的第一响应报文； 所述第一响应报 文携带有第二五元 组信息； 所述第二 五元组信息包括： 第二源IP、 第二目的IP、 第二源端口、 第二目的端口以及第二传输协议； 信息查询模块， 用于根据所述第二五元组信息查询所述报文转板信息表； 转板发送模块， 用于若所述第 二五元组信 息命中所述报文转板信 息表的任一条第 一响 应报文的五元组信息， 则根据所述报文转板信息表对应的表项信息， 将所述第一响应报文 转板发送至第一业务板， 以使 所述第一请求报文和所述第一响应报文均由所述第一业务板 处理。 9.一种电子设备， 包括存储器和 处理器， 所述存储器存储有计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述报文转板处 理方法。 10.一种计算机可读存储介质， 其特征在于， 其上存储有计算机程序， 计算机程序被处 理器执行时实现权利要求1至7中任一项所述的报文转板处 理方法。权　利　要　求　书 2/2 页 3 CN 115277213 A 3