一种AH报文的转发方法及系统.pdf

上传人：大师****2

文档编号：472245

上传时间：2018-02-18

格式：PDF

页数：11

大小：1.13MB

《一种AH报文的转发方法及系统.pdf》由会员分享，可在线阅读，更多相关《一种AH报文的转发方法及系统.pdf（11页完整版）》请在专利查询网上搜索。

1、10申请公布号CN104052668A43申请公布日20140917CN104052668A21申请号201410236438X22申请日20140529H04L12/741201301H04L29/0620060171申请人汉柏科技有限公司地址300384天津市西青区华苑产业区海泰西18号西3楼104室72发明人陈海滨于立洋章敏王禹王智民74专利代理机构北京天奇智新知识产权代理有限公司11340代理人谢磊54发明名称一种AH报文的转发方法及系统57摘要本发明公开了一种AH报文的转发方法及系统，以解决AH报文转发过程中首先需要查找PSECSA并对AH报文解封装再查找快速转发表并进行二次匹配和转。

2、发两个步骤而不能有效缩短AH报文转发时间的问题。所述转发方法包括接收AH报文后，查找与当前AH报文相对应的快速转发表是否存在；若存在，根据快速转发表对当前AH报文进行相应的处理和转发；若不存在，则根据当前的AH报文创建快速转发表，并对当前AH报文进行相应的处理和转发。通过快速转发表的创建，对与创建快速转发表的AH报文相对应的其他AH报文直接进行相应的处理，从而省去了重复查找或二次匹配的过程，有效缩短了AH报文的转发时间。51INTCL权利要求书2页说明书6页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书6页附图2页10申请公布号CN104052668ACN1040。

3、52668A1/2页21一种AH报文的转发方法，其特征在于，所述方法包括接收当前AH报文；查找与所述当前AH报文相对应的快速转发表是否存在；若存在，则根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发，其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；若不存在，则根据所述当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。2根据权利要求1所述的转发方法，其特征在于，所述AH报文至少包括第二层IP头；所述查找与所述当前AH报文相对应的快速转发表是否存在的步骤进一步包括当所述当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五。

4、元组相同时，则根据之前的AH报文所创建的快速转发表为与当前AH报文相对应的快速转发表；所述根据所查找到的快速转发表对当前AH报文进行相应的处理和转发的步骤进一步包括对所述当前AH报文进行与之前的AH报文相同的处理和转发。3根据权利要求1或2所述的转发方法，其特征在于，所述AH报文还包括第一层IP头和AH协议头；所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤进一步包括根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSECSA记录到所述根据当前AH报文所创建的快速转发表中；通过所述IPSECSA对所述当前AH报文进行解封装并丢弃所述。

5、当前AH报文的第一层IP头和AH协议头；以及根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。4根据权利要求3所述的转发方法，其特征在于，所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤还包括根据所述AH报文的第二层IP头的IP五元组查找网络地址转换NAT功能配置，根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据AH报文所创建的快速转发表中。5根据权利要求3所述的转发方法，其特征在于，所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处。

6、理和转发的步骤还包括根据所述AH报文的第二层IP头的IP五元组查找验证、授权和记账AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据AH报文所创建的快速转发表中。6一种AH报文的转发系统，其特征在于，所述系统包括报文接收单元，用于接收当前AH报文；快转表查找单元，用于查找与所述当前AH报文相对应的快速转发表是否存在，若存权利要求书CN104052668A2/2页3在，则将所述当前AH报文发送至报文处理单元，若不存在，则将所述当前AH报文发送至快转表创建单元；报文处理单元，用于根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发，其中。

7、，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；快转表创建单元，用于根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。7根据权利要求6所述的转发系统，其特征在于，所述AH报文至少包括第二层IP头；所述快转表查找单元通过下述方式查找与所述当前AH报文相对应的快速转发表当所述当前AH报文的第二层IP头的IP五元组，与之前的AH报文的第二层IP头的IP五元组相同时，则根据之前的AH报文所创建的快速转发表为与当前AH报文相对应的快速转发表；所述报文处理单元对当前AH报文进行相应的处理和转发包括对所述当前AH报文进行与之前的AH报文相同的处理和转发。8根据权利要求。

8、6或7所述的转发系统，其特征在于，所述AH报文包括第一层IP头和AH协议头；所述快转表创建单元还执行下述操作根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSECSA记录到所述根据当前AH报文所创建的快速转发表中；通过所述IPSECSA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；以及根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。9根据权利要求8所述的转发系统，其特征在于，所述快转表创建单元还执行下述操作根据所述当前AH报文的第二层IP头的IP五元组查找网。

9、络地址转换NAT功能配置，并根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据当前AH报文所创建的快速转发表中。10根据权利要求8所述的转发系统，其特征在于，所述快转表创建单元还执行下述操作根据所述当前AH报文的第二层IP头的IP五元组查找验证、授权和记账AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据当前AH报文所创建的快速转发表中。权利要求书CN104052668A1/6页4一种AH报文的转发方法及系统技术领域0001本发明属于计算机网络通信技术领导域，具体涉及一种AH报文的转发方法及系统。背景技术00。

10、02因特网协议安全性INTERNETPROTOCOLSECURITY,IPSEC是基于INTERNET工程任务组的一种开放标准的安全框架，通过数据包筛选及受信任通讯的实施来防御网络攻击。IPSEC数据报文分为AHAUTHENTICATIONHEADER报文和ESPENCAPSULATINGSECURITYPAYLOAD报文。其中，AH报文仅对报文进行认证和封装，不进行加密，在转发的过程中可以看到AH报文的内层IP头。0003当前，多核网络设备通常采用快速转发表的方式来转发报文，以减少报文转发路径的查找时间和业务匹配的转换时间。在AH报文的转发过程中，首先，需要通过AH报文中的安全参数索引SPI。

11、、安全协议类型和IP目的地址，查找到IPSEC安全联盟IPSECSECURITYASSOCIATION,IPSECSA,通过IPSECSA对AH报文进行解封装；其次，根据解封装后的AH报文查找相应的快速转发表进行二次匹配，实现对AH报文的处理和转发。0004现有技术中，AH报文的转发过程需要经过查找IPSECSA并对AH报文解封装，以及查找快速转发表进行二次匹配并转发两个步骤，因而不能有效的缩短报文处理和转发的整体时间。发明内容0005本发明的目的是提供一种AH报文的转发方法和系统，通过对查找IPSECSA并解封装AH报文和查找快速转发表并转发AH报文两个步骤的整合，有效的缩短报文处理和转发的。

12、整体时间。0006根据本发明的一个方面，提供一种AH报文的转发方法，包括接收当前AH报文；查找与所述当前AH报文相对应的快速转发表是否存在；若存在，则根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发，其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；若不存在，则根据所述当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。0007其中，所述AH报文至少包括第二层IP头；0008所述查找与所述当前AH报文相对应的快速转发表是否存在的步骤进一步包括当所述当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组相同时，则根据之前。

13、的AH报文所创建的快速转发表为与当前AH报文相对应的快速转发表；0009所述根据所查找到的快速转发表对当前AH报文进行相应的处理和转发的步骤进一步包括对所述当前AH报文进行与之前的AH报文相同的处理和转发。0010其中，所述AH报文还包括第一层IP头和AH协议头；说明书CN104052668A2/6页50011所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤进一步包括根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSECSA记录到所述根据当前AH报文所创建的快速转发表中；0012通过所述IPSECSA对所述当前AH报文进行解封装并。

14、丢弃所述当前AH报文的第一层IP头和AH协议头；以及根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。0013其中，所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤还包括根据所述AH报文的第二层IP头的IP五元组查找网络地址转换NAT功能配置，根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据AH报文所创建的快速转发表中。0014其中，所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤还包括根据所述AH报文的第二层IP头的。

15、IP五元组查找验证、授权和记账AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据AH报文所创建的快速转发表中。0015根据本发明的另一方，提供了一种AH报文的转发系统，所述系统包括报文接收单元，用于接收当前AH报文；快转表查找单元，用于查找与所述当前AH报文相对应的快速转发表是否存在，若存在，则将所述当前AH报文发送至报文处理单元，若不存在，则将所述当前AH报文发送至快转表创建单元；报文处理单元，用于根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发，其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；快转表创建单。

16、元，用于根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。0016其中，所述AH报文至少包括第二层IP头；所述快转表查找单元通过下述方式查找与所述当前AH报文相对应的快速转发表当所述当前AH报文的第二层IP头的IP五元组，与之前的AH报文的第二层IP头的IP五元组相同时，则根据之前的AH报文所创建的快速转发表为与当前AH报文相对应的快速转发表；所述报文处理单元对当前AH报文进行相应的处理和转发包括对所述当前AH报文进行与之前的AH报文相同的处理和转发。0017其中，所述AH报文包括第一层IP头和AH协议头；所述快转表创建单元还执行下述操作根据当前AH报文的AH协议头的I。

17、P三元组查找IPSEC安全联盟SA，将所述IPSECSA记录到所述根据当前AH报文所创建的快速转发表中；通过所述IPSECSA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；以及根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。0018进一步，所述快转表创建单元还执行下述操作根据所述当前AH报文的第二层IP头的IP五元组查找网络地址转换NAT功能配置，并根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据当前AH报文所创建的快速转发表中。0019进一步，所述快。

18、转表创建单元还执行下述操作根据所述当前AH报文的第二层IP头的IP五元组查找验证、授权和记账AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据当前AH报文所创建的快速转发表中。0020根据本发明的AH报文的转发方法及系统，首先查找与当前AH报文相对应的快速说明书CN104052668A3/6页6转发表是否存在；若存在，根据所查找到的快速转发表对当前AH报文进行相应的处理和转发，这里查找到的快速转发表为根据之前的AH报文所创建的快速转发表；若不存在，则根据当前的AH报文创建快速转发表，并根据所创建的快速转发表对所述当前AH报文进行相应的处理和转。

19、发。通过快速转发表的创建，对与之前创建快速转发表的AH报文相关联的当前的AH报文直接进行相应的处理，从而省去了重复查找或二次匹配的过程，有效缩短了AH报文的转发时间。附图说明0021图1是本发明优选实施例的AH报文转发的原理示意图；0022图2是根据本发明优选实施例的AH报文转发方法流程图；0023图3是根据本发明优选实施例的根据AH报文创建快速转发表流程图；0024图4是根据本发明优选实施例的AH报文处理后的报文结构示意图；0025图5是根据本发明优选实施例的AH报文转发系统结构示意图。具体实施方式0026为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明。

20、进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。0027图1是本发明优选实施例的AH报文转发的原理示意图。0028如图1所示，AH报文的报文结构包括MAC头、第一层IP头、AH协议头、第二层IP头、DATA数据。其中SRC表示IP报文的源IP地址，DST表示IP报文的目的IP地址。通常，AH报文对报文头只进行认证和封装，不进行加密，因此在报文转发的过程可以看到AH报文内层的第一层IP头、AH协议头、第二层IP头，也可以对内层的第一层IP头、AH协议头、第二层IP头进行处理。AH协议头的I。

21、P三元组是查找IPSECSA的关键元素，第二层IP头的IP五元组是对AH报文如何进行转发的关键元素，对具有相同第二层IP头的IP五元组的AH报文可以进行相同的转发，并且转发过程与第一层IP头关系不大。0029基于上述原理，本发明的技术方案可以直接过滤掉第一层IP头，对具有相同第二层IP头的IP五元组的AH报文使用相同的IPSEC进行解封装处理和转发。将具有相同第二层IP头的IP五元组的AH报文中的其中一个所查找到的IPSEC及转发信息记录在所创建的快速转发表中，对其余AH报文进行相同的处理，则可以大幅缩短AH报文的转发时间。0030这里，AH协议头的IP三元组包括安全参数索引SPI、安全协议类。

22、型和IP目的地址；第二层IP头的P五元组包括源IP地址、目的IP地址、协议类型、源端口号、目的端口号。0031图2是根据本发明优选实施例的AH报文转发方法流程示意图。0032如图2所示，本发明实施例的AH报文转发方法包括如下步骤0033步骤S1接收当前AH报文；0034步骤S2查找与所述当前AH报文相对应的快速转发表简称快转表是否存在；若存在，则转入步骤S3；若不存在，则转入步骤S4；说明书CN104052668A4/6页70035步骤S3根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发；其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；0036步骤S4根据所述。

23、当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。0037这里，AH报文可以是网内转发的AH报文，也可以是网内到网外或网外到网内转发的AH报文。0038步骤S2中，查找与所述当前AH报文相对应的快速转发表是否存在，具体为当所述当前AH报文的第二层IP头的IP五元组，与之前的AH报文的第二层IP头的IP五元组相同时，则将根据之前的AH报文所创建的快速转发表作为与当前AH报文相对应的快速转发表。在本技术领域中，AH报文数据信息包括用于处理报文的快速转发表，通常存放在本地的AH数据库中，从而可以在AH数据库中根据SESSION规则查找快速转发表，在此不再赘述。0039相应的，步骤。

24、S3中，根据所查找到的快速转发表对当前AH报文进行相应的处理和转发，具体为对所述当前AH报文进行与之前的AH报文相同的处理和转发。0040这里，根据之前的AH报文创建快速转发表，包括0041步骤S21，根据之前的AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSECSA记录到所述根据之前的AH报文所创建的快速转发表中；0042步骤S22，通过所述IPSECSA对所述之前的AH报文进行解封装并丢弃所述之前的AH报文的第一层IP头和AH协议头；0043步骤S23，根据所述之前的AH报文的第二层IP头的IP五元组及对应的根据之前的AH报文所创建的快速转发表中的规则对所述之前的A。

25、H报文进行转发。0044这一创建过程发生在接收当前AH报文并查找IPSECSA之前，也就是说，在接收当前AH报文之前这一快速转发表已经被创建。创建之时，所述之前的AH报文，即为创建之时的当前AH报文。0045相应的，步骤S3中对所述当前AH报文进行与之前的AH报文相同的处理和转发，包括0046步骤S31，通过快速转发表中记录的IPSECSA对当前AH报文进行解封装并丢弃当前AH报文的第一层IP头和AH协议头；0047步骤S32，对当前AH报文进行与之前的AH报文相同的转发。0048图3是根据本发明优选实施例的根据AH报文创建快速转发表流程图。0049如图3所示，上述技术方案中所述步骤S4中根据。

26、当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发，包括0050步骤S41，根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSECSA记录到所述根据当前AH报文所创建的快速转发表中；0051步骤S42，通过所述IPSECSA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；0052步骤S43，根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。0053这里，根据当前AH报文创建快速转发表的过程与根据之前的AH报文创建快速转说明书CN10405266。

27、8A5/6页8发表的原理相同，不同之处在于创建时机不同。图3所示的根据当前AH报文创建快速转发表，也是为了在之后所接收的AH报文中，对与所述当前AH报文具有相同的第二层IP头的IP五元组的AH报文，进行相同的解封装处理和转发，即为其查找相应的快速转发表提供资源。也就是说，这里用于创建快速转发表的AH报文，可以是当前AH报文，也可以是之前的AH报文，两者的区别仅在于创建时机不同。0054另外，根据AH报文创建快速转发表，并对所述AH报文进行相应的处理和转发，进一步包括下述步骤0055根据所述AH报文的第二层IP头的IP五元组查找网络地址转换NETWORKADDRESSTRANSLATION,NA。

28、T功能配置，并根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据AH报文所创建的快速转发表中；和/或，0056根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发，还包括根据所述AH报文的第二层IP头的IP五元组查找验证、授权和记账ANTHENTICATION、AUTHORIZATION、ACCOUNTING,AAA功能配置，并根据所述AAA配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据AH报文所创建的快速转发表中。0057相应的，对图3中步骤S3所述当前AH报文进行与之前的AH报文相同的处理和转发，进一步包括下述步骤0。

29、058根据所查找到的快速转发表中所记录的NAT转换，对所述当前AH报文进行与之前的AH报文相同的NAT转换和/或，0059根据所查找到的快速转发表中所记录的AAA认证，对所述当前AH报文进行与之前的AH报文相同的AAA认证。0060图4是根据本发明优选实施例的AH报文处理后的报文结构示意图。0061如图4所示，在本发明实施例中，在创建快速转发表的过程中，通过所述IPSECSA对所述AH报文进行解封装并丢弃所述AH报文的第一层IP头和AH协议头，则去除了第一层IP头的AH报文结构依次包括MAC头、第二层IP头、DATA数据。由于去除了第一层IP头和AH协议头，避免了第一层IP头的IP五元组和AH。

30、协议头的干扰，直接对第二层IP头的IP五元组进行匹配，从而减少了报文转发的时间。0062图5是根据本发明优选实施例的AH报文转发系统结构示意图。0063如图5所示，本发明实施例的AH报文转发系统，包括0064报文接收单元1，用于接收当前AH报文。0065快转表查找单元2，用于查找与所述当前AH报文相对应的快速转发表是否存在；若存在，则将所述当前AH报文发送至报文处理单元3；若不存在，则将所述当前AH报文发送至快转表创建单元4。这里，AH报文数据信息包括用于处理报文的快速转发表，都存放在本地的AH数据库中，从而在AH数据库中根据SESSION规则查找快速转发表，此为现有技术，在此不再赘述。报文处。

31、理单元3，用于根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发；其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表。0066快转表创建单元4，用于根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。说明书CN104052668A6/6页90067具体来说，报文接收单元1在接收到当前AH报文后，将所接收的AH报文发送给快转表查找单元2。0068快转表查找单元2与快转表创建单元4可进行在交互，在快转表创建单元4所创建的快速转发表中进行查找；具体的，对所接收的当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组进行比较，。

32、若当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组相同时，查找到根据所述之前的AH报文所创建的快速转发表，即为与当前AH报文相对应的快速转发表。0069这里，创建快速转发表时，根据创建时的AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSECSA记录到所创建的快速转发表中；同时，通过所述IPSECSA对创建时的AH报文进行解封装并丢弃AH报文的第一层IP头和AH协议头；并根据创建时的AH报文的第二层IP头的IP五元组及对应有快速转发表中的规则对创建时的AH报文进行转发。0070此时，将当前AH报文发送至报文处理单元3。快速转发表记录有创建时。

33、的AH报文相对应的IPSECSA。因此，在查找到相对应的快速转发表后，报文处理单元3可以直接利用快速转发表中的IPSECSA，对当前AH报文进行解封装，并丢弃第一层IP头和AH协议头，同时，对所述当前AH报文进行与之前的AH报文相同的转发。0071若当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组不相同时，即不存在与当前AH报文相对应的快速转发表时，将当前AH报文发送到快转表创建单元4。0072快转表创建单元4根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发，具体为根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述。

34、IPSECSA记录到所述根据当前AH报文所创建的快速转发表中；通过所述IPSECSA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。0073优选的，快转表创建单元4还可以执行下述操作0074根据所述当前AH报文的第二层IP头的IP五元组查找NAT功能配置，并根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据当前AH报文所创建的快速转发表中；和/或，0075根据所述当前AH报文的第二层IP头的IP五元组查找AA。

35、A功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据当前AH报文所创建的快速转发表中。0076应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。说明书CN104052668A1/2页10图1图2说明书附图CN104052668A102/2页11图3图4图5说明书附图CN104052668A11。

摘要
申请专利号：	CN201410236438.X	申请日：	2014.05.29
公开号：	CN104052668A	公开日：	2014.09.17
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 12/741申请日:20140529\|\|\|公开
IPC分类号：	H04L12/741(2013.01)I; H04L29/06	主分类号：	H04L12/741
申请人：	汉柏科技有限公司
发明人：	陈海滨; 于立洋; 章敏; 王禹; 王智民
地址：	300384 天津市西青区华苑产业区海泰西18号西3楼104室
优先权：
专利代理机构：	北京天奇智新知识产权代理有限公司 11340	代理人：	谢磊
PDF完整版下载：	PDF下载

内容摘要

本发明公开了一种AH报文的转发方法及系统，以解决AH报文转发过程中首先需要查找PSEC SA并对AH报文解封装再查找快速转发表并进行二次匹配和转发两个步骤而不能有效缩短AH报文转发时间的问题。所述转发方法包括：接收AH报文后，查找与当前AH报文相对应的快速转发表是否存在；若存在，根据快速转发表对当前AH报文进行相应的处理和转发；若不存在，则根据当前的AH报文创建快速转发表，并对当前AH报文进行相应的处理和转发。通过快速转发表的创建，对与创建快速转发表的AH报文相对应的其他AH报文直接进行相应的处理，从而省去了重复查找或二次匹配的过程，有效缩短了AH报文的转发时间。

权利要求书

1.  一种AH报文的转发方法，其特征在于，所述方法包括：
接收当前AH报文；
查找与所述当前AH报文相对应的快速转发表是否存在；
若存在，则根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发，其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；
若不存在，则根据所述当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。

2.  根据权利要求1所述的转发方法，其特征在于，
所述AH报文至少包括第二层IP头；
所述查找与所述当前AH报文相对应的快速转发表是否存在的步骤进一步包括：
当所述当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组相同时，则根据之前的AH报文所创建的快速转发表为与当前AH报文相对应的快速转发表；
所述根据所查找到的快速转发表对当前AH报文进行相应的处理和转发的步骤进一步包括：
对所述当前AH报文进行与之前的AH报文相同的处理和转发。

3.  根据权利要求1或2所述的转发方法，其特征在于，
所述AH报文还包括第一层IP头和AH协议头；
所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤进一步包括：
根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSEC SA记录到所述根据当前AH报文所创建的快速转发表中；
通过所述IPSEC SA对所述当前AH报文进行解封装并丢弃所述当前AH 报文的第一层IP头和AH协议头；以及
根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。

4.  根据权利要求3所述的转发方法，其特征在于，所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤还包括：
根据所述AH报文的第二层IP头的IP五元组查找网络地址转换NAT功能配置，根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据AH报文所创建的快速转发表中。

5.  根据权利要求3所述的转发方法，其特征在于，所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤还包括：
根据所述AH报文的第二层IP头的IP五元组查找验证、授权和记账AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据AH报文所创建的快速转发表中。

6.  一种AH报文的转发系统，其特征在于，所述系统包括：
报文接收单元，用于接收当前AH报文；
快转表查找单元，用于查找与所述当前AH报文相对应的快速转发表是否存在，若存在，则将所述当前AH报文发送至报文处理单元，若不存在，则将所述当前AH报文发送至快转表创建单元；
报文处理单元，用于根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发，其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；
快转表创建单元，用于根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。

7.  根据权利要求6所述的转发系统，其特征在于，
所述AH报文至少包括第二层IP头；
所述快转表查找单元通过下述方式查找与所述当前AH报文相对应的快速转发表：
当所述当前AH报文的第二层IP头的IP五元组，与之前的AH报文的第二层IP头的IP五元组相同时，则根据之前的AH报文所创建的快速转发表为与当前AH报文相对应的快速转发表；
所述报文处理单元对当前AH报文进行相应的处理和转发包括：对所述当前AH报文进行与之前的AH报文相同的处理和转发。

8.  根据权利要求6或7所述的转发系统，其特征在于，
所述AH报文包括第一层IP头和AH协议头；
所述快转表创建单元还执行下述操作：
根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSEC SA记录到所述根据当前AH报文所创建的快速转发表中；
通过所述IPSEC SA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；以及
根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。

9.  根据权利要求8所述的转发系统，其特征在于，所述快转表创建单元还执行下述操作：
根据所述当前AH报文的第二层IP头的IP五元组查找网络地址转换NAT功能配置，并根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据当前AH报文所创建的快速转发表中。

10.  根据权利要求8所述的转发系统，其特征在于，所述快转表创建单元还执行下述操作：
根据所述当前AH报文的第二层IP头的IP五元组查找验证、授权和记账AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据当前AH报文所创建的快速转发表中。

说明书

一种AH报文的转发方法及系统
技术领域
本发明属于计算机网络通信技术领导域，具体涉及一种AH报文的转发方法及系统。
背景技术
因特网协议安全性(Internet Protocol Security,IPSEC)是基于Internet工程任务组的一种开放标准的安全框架，通过数据包筛选及受信任通讯的实施来防御网络攻击。IPSEC数据报文分为AH(Authentication Header)报文和ESP(Encapsulating Security Payload)报文。其中，AH报文仅对报文进行认证和封装，不进行加密，在转发的过程中可以看到AH报文的内层IP头。
当前，多核网络设备通常采用快速转发表的方式来转发报文，以减少报文转发路径的查找时间和业务匹配的转换时间。在AH报文的转发过程中，首先，需要通过AH报文中的安全参数索引SPI、安全协议类型和IP目的地址，查找到IPSEC安全联盟(IPSEC Security Association,IPSEC SA),通过IPSEC SA对AH报文进行解封装；其次，根据解封装后的AH报文查找相应的快速转发表进行二次匹配，实现对AH报文的处理和转发。
现有技术中，AH报文的转发过程需要经过查找IPSEC SA并对AH报文解封装，以及查找快速转发表进行二次匹配并转发两个步骤，因而不能有效的缩短报文处理和转发的整体时间。
发明内容
本发明的目的是提供一种AH报文的转发方法和系统，通过对查找IPSECSA并解封装AH报文和查找快速转发表并转发AH报文两个步骤的整合，有效的缩短报文处理和转发的整体时间。
根据本发明的一个方面，提供一种AH报文的转发方法，包括：接收当前AH报文；查找与所述当前AH报文相对应的快速转发表是否存在；若存在，则根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发，其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；若不存在，则根据所述当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。
其中，所述AH报文至少包括第二层IP头；
所述查找与所述当前AH报文相对应的快速转发表是否存在的步骤进一步包括：当所述当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组相同时，则根据之前的AH报文所创建的快速转发表为与当前AH报文相对应的快速转发表；
所述根据所查找到的快速转发表对当前AH报文进行相应的处理和转发的步骤进一步包括：对所述当前AH报文进行与之前的AH报文相同的处理和转发。
其中，所述AH报文还包括第一层IP头和AH协议头；
所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤进一步包括：根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSEC SA记录到所述根据当前AH报文所创建的快速转发表中；
通过所述IPSEC SA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；以及根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。
其中，所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤还包括：根据所述AH报文的第二层IP头的IP五元组查找网络地址转换NAT功能配置，根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据AH报文所创建的快速转发表中。
其中，所述根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发的步骤还包括：根据所述AH报文的第二层IP头的IP五元组查找验证、授权和记账AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据AH报文所创建的快速转发表中。
根据本发明的另一方，提供了一种AH报文的转发系统，所述系统包括：报文接收单元，用于接收当前AH报文；快转表查找单元，用于查找与所述当前AH报文相对应的快速转发表是否存在，若存在，则将所述当前AH报文发送至报文处理单元，若不存在，则将所述当前AH报文发送至快转表创建单元；报文处理单元，用于根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发，其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；快转表创建单元，用于根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。
其中，所述AH报文至少包括第二层IP头；所述快转表查找单元通过下述方式查找与所述当前AH报文相对应的快速转发表：当所述当前AH报文的第二层IP头的IP五元组，与之前的AH报文的第二层IP头的IP五元组相同时，则根据之前的AH报文所创建的快速转发表为与当前AH报文相对应的快速转发表；所述报文处理单元对当前AH报文进行相应的处理和转发包括：对所述当前AH报文进行与之前的AH报文相同的处理和转发。
其中，所述AH报文包括第一层IP头和AH协议头；所述快转表创建单元还执行下述操作：根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSEC SA记录到所述根据当前AH报文所创建的快速转发表中；通过所述IPSEC SA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；以及根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。
进一步，所述快转表创建单元还执行下述操作：根据所述当前AH报文的第二层IP头的IP五元组查找网络地址转换NAT功能配置，并根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据当前AH报文所创建的快速转发表中。
进一步，所述快转表创建单元还执行下述操作：根据所述当前AH报文的第二层IP头的IP五元组查找验证、授权和记账AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据当前AH报文所创建的快速转发表中。
根据本发明的AH报文的转发方法及系统，首先查找与当前AH报文相对应的快速转发表是否存在；若存在，根据所查找到的快速转发表对当前AH报文进行相应的处理和转发，这里查找到的快速转发表为根据之前的AH报文所创建的快速转发表；若不存在，则根据当前的AH报文创建快速转发表，并根据所创建的快速转发表对所述当前AH报文进行相应的处理和转发。通过快速转发表的创建，对与之前创建快速转发表的AH报文相关联的当前的AH报文直接进行相应的处理，从而省去了重复查找或二次匹配的过程，有效缩短了AH报文的转发时间。
附图说明
图1是本发明优选实施例的AH报文转发的原理示意图；
图2是根据本发明优选实施例的AH报文转发方法流程图；
图3是根据本发明优选实施例的根据AH报文创建快速转发表流程图；
图4是根据本发明优选实施例的AH报文处理后的报文结构示意图；
图5是根据本发明优选实施例的AH报文转发系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
图1是本发明优选实施例的AH报文转发的原理示意图。
如图1所示，AH报文的报文结构包括：Mac头、第一层IP头、AH协议头、第二层IP头、DATA数据。其中src表示IP报文的源IP地址，dst表示IP报文的目的IP地址。通常，AH报文对报文头只进行认证和封装，不进行加密，因此在报文转发的过程可以看到AH报文内层的第一层IP头、AH协议头、第二层IP头，也可以对内层的第一层IP头、AH协议头、第二层IP头进行处理。AH协议头的IP三元组是查找IPSEC SA的关键元素，第二层IP头的IP五元组是对AH报文如何进行转发的关键元素，对具有相同第二层IP头的IP五元组的AH报文可以进行相同的转发，并且转发过程与第一层IP头关系不大。
基于上述原理，本发明的技术方案可以直接过滤掉第一层IP头，对具有相同第二层IP头的IP五元组的AH报文使用相同的IPSEC进行解封装处理和转发。将具有相同第二层IP头的IP五元组的AH报文中的其中一个所查找到的IPSEC及转发信息记录在所创建的快速转发表中，对其余AH报文进行相同的处理，则可以大幅缩短AH报文的转发时间。
这里，AH协议头的IP三元组包括：安全参数索引SPI、安全协议类型和IP目的地址；第二层IP头的P五元组包括：源IP地址、目的IP地址、协议类型、源端口号、目的端口号。
图2是根据本发明优选实施例的AH报文转发方法流程示意图。
如图2所示，本发明实施例的AH报文转发方法包括如下步骤：
步骤S1：接收当前AH报文；
步骤S2：查找与所述当前AH报文相对应的快速转发表(简称快转表) 是否存在；若存在，则转入步骤S3；若不存在，则转入步骤S4；
步骤S3：根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发；其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表；
步骤S4：根据所述当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。
这里，AH报文可以是网内转发的AH报文，也可以是网内到网外或网外到网内转发的AH报文。
步骤S2中，查找与所述当前AH报文相对应的快速转发表是否存在，具体为：当所述当前AH报文的第二层IP头的IP五元组，与之前的AH报文的第二层IP头的IP五元组相同时，则将根据之前的AH报文所创建的快速转发表作为与当前AH报文相对应的快速转发表。在本技术领域中，AH报文数据信息包括用于处理报文的快速转发表，通常存放在本地的AH数据库中，从而可以在AH数据库中根据session规则查找快速转发表，在此不再赘述。
相应的，步骤S3中，根据所查找到的快速转发表对当前AH报文进行相应的处理和转发，具体为：对所述当前AH报文进行与之前的AH报文相同的处理和转发。
这里，根据之前的AH报文创建快速转发表，包括：
步骤S21，根据之前的AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSEC SA记录到所述根据之前的AH报文所创建的快速转发表中；
步骤S22，通过所述IPSEC SA对所述之前的AH报文进行解封装并丢弃所述之前的AH报文的第一层IP头和AH协议头；
步骤S23，根据所述之前的AH报文的第二层IP头的IP五元组及对应的根据之前的AH报文所创建的快速转发表中的规则对所述之前的AH报文进行转发。
这一创建过程发生在接收当前AH报文并查找IPSEC SA之前，也就是说，在接收当前AH报文之前这一快速转发表已经被创建。创建之时，所述之前的AH报文，即为创建之时的当前AH报文。
相应的，步骤S3中对所述当前AH报文进行与之前的AH报文相同的处理和转发，包括：
步骤S31，通过快速转发表中记录的IPSEC SA对当前AH报文进行解封装并丢弃当前AH报文的第一层IP头和AH协议头；
步骤S32，对当前AH报文进行与之前的AH报文相同的转发。
图3是根据本发明优选实施例的根据AH报文创建快速转发表流程图。
如图3所示，上述技术方案中所述步骤S4中根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发，包括：
步骤S41，根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSEC SA记录到所述根据当前AH报文所创建的快速转发表中；
步骤S42，通过所述IPSEC SA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；
步骤S43，根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。
这里，根据当前AH报文创建快速转发表的过程与根据之前的AH报文创建快速转发表的原理相同，不同之处在于创建时机不同。图3所示的根据当前AH报文创建快速转发表，也是为了在之后所接收的AH报文中，对与所述当前AH报文具有相同的第二层IP头的IP五元组的AH报文，进行相同的解封装处理和转发，即为其查找相应的快速转发表提供资源。也就是说，这里用于创建快速转发表的AH报文，可以是当前AH报文，也可以是之前的AH报文，两者的区别仅在于创建时机不同。
另外，根据AH报文创建快速转发表，并对所述AH报文进行相应的处理和转发，进一步包括下述步骤：
根据所述AH报文的第二层IP头的IP五元组查找网络地址转换(Network Address Translation,NAT)功能配置，并根据所述NAT功能配置对所述AH 报文进行NAT转换，并将所述NAT转换记录在所述根据AH报文所创建的快速转发表中；和/或，
根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发，还包括：根据所述AH报文的第二层IP头的IP五元组查找验证、授权和记账(Anthentication、Authorization、Accounting,AAA)功能配置，并根据所述AAA配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据AH报文所创建的快速转发表中。
相应的，对图3中步骤S3所述当前AH报文进行与之前的AH报文相同的处理和转发，进一步包括下述步骤：
根据所查找到的快速转发表中所记录的NAT转换，对所述当前AH报文进行与之前的AH报文相同的NAT转换和/或，
根据所查找到的快速转发表中所记录的AAA认证，对所述当前AH报文进行与之前的AH报文相同的AAA认证。
图4是根据本发明优选实施例的AH报文处理后的报文结构示意图。
如图4所示，在本发明实施例中，在创建快速转发表的过程中，通过所述IPSEC SA对所述AH报文进行解封装并丢弃所述AH报文的第一层IP头和AH协议头，则去除了第一层IP头的AH报文结构依次包括：Mac头、第二层IP头、DATA数据。由于去除了第一层IP头和AH协议头，避免了第一层IP头的IP五元组和AH协议头的干扰，直接对第二层IP头的IP五元组进行匹配，从而减少了报文转发的时间。
图5是根据本发明优选实施例的AH报文转发系统结构示意图。
如图5所示，本发明实施例的AH报文转发系统，包括：
报文接收单元1，用于接收当前AH报文。
快转表查找单元2，用于查找与所述当前AH报文相对应的快速转发表是否存在；若存在，则将所述当前AH报文发送至报文处理单元3；若不存在，则将所述当前AH报文发送至快转表创建单元4。这里，AH报文数据信息包括用于处理报文的快速转发表，都存放在本地的AH数据库中，从而在AH数据库中根据session规则查找快速转发表，此为现有技术，在此不再赘述。报文处理单元3，用于根据所查找到的快速转发表对所述当前AH报文进行相应的处理和转发；其中，所述查找到的快速转发表为根据之前的AH报文所创建的快速转发表。
快转表创建单元4，用于根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发。
具体来说，报文接收单元1在接收到当前AH报文后，将所接收的AH报文发送给快转表查找单元2。
快转表查找单元2与快转表创建单元4可进行在交互，在快转表创建单元4所创建的快速转发表中进行查找；具体的，对所接收的当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组进行比较，若当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组相同时，查找到根据所述之前的AH报文所创建的快速转发表，即为与当前AH报文相对应的快速转发表。
这里，创建快速转发表时，根据创建时的AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSEC SA记录到所创建的快速转发表中；同时，通过所述IPSEC SA对创建时的AH报文进行解封装并丢弃AH报文的第一层IP头和AH协议头；并根据创建时的AH报文的第二层IP头的IP五元组及对应有快速转发表中的规则对创建时的AH报文进行转发。
此时，将当前AH报文发送至报文处理单元3。快速转发表记录有创建时的AH报文相对应的IPSEC SA。因此，在查找到相对应的快速转发表后，报文处理单元3可以直接利用快速转发表中的IPSEC SA，对当前AH报文进行解封装，并丢弃第一层IP头和AH协议头，同时，对所述当前AH报文进行与之前的AH报文相同的转发。
若当前AH报文的第二层IP头的IP五元组与之前的AH报文的第二层IP头的IP五元组不相同时，即不存在与当前AH报文相对应的快速转发表时，将当前AH报文发送到快转表创建单元4。
快转表创建单元4根据当前AH报文创建快速转发表，并对所述当前AH报文进行相应的处理和转发，具体为：根据当前AH报文的AH协议头的IP三元组查找IPSEC安全联盟SA，将所述IPSEC SA记录到所述根据当前AH报文所创建的快速转发表中；通过所述IPSEC SA对所述当前AH报文进行解封装并丢弃所述当前AH报文的第一层IP头和AH协议头；根据所述当前AH报文的第二层IP头的IP五元组及对应的根据当前AH报文所创建的快速转发表中的规则对所述当前AH报文进行转发。
优选的，快转表创建单元4还可以执行下述操作：
根据所述当前AH报文的第二层IP头的IP五元组查找NAT功能配置，并根据所述NAT功能配置对所述AH报文进行NAT转换，并将所述NAT转换记录在所述根据当前AH报文所创建的快速转发表中；和/或，
根据所述当前AH报文的第二层IP头的IP五元组查找AAA功能配置，并根据所述AAA功能配置对所述AH报文进行AAA认证，并将所述AAA认证记录在所述根据当前AH报文所创建的快速转发表中。
应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。