本申请实施例提供了一种报文处理的方法和装置,属于通信技术领域。所述方法应用于第一传输设备,所述方法包括:接收待传输的业务报文,所述业务报文包括应用层信息;当所述第一传输设备的访问控制列表ACL包含的识别信息中,存在与所述应用层信息相匹配的识别信息时,基于预设的加密策略,对所述业务报文进行加密处理;向第二传输设备发送加密后的业务报文。采用本申请实施例提供的一种报文处理的方法和装置,可以实现传输设备对应用层报文的细粒度识别,从而只对特定的部分应用层报文进行加密保护,避免了传输设备的资源浪费。
【技术实现步骤摘要】
一种报文处理的方法及装置
本申请涉及通信
,特别是涉及一种报文处理的方法及装置。
技术介绍
随着信息技术的快速发展,网络应用正在从传统、小型业务系统逐渐向大型、关键业务系统扩展。网络所承载的数据应用也日益增加,呈现复杂化、多元化趋势。为了提高数据传输的安全性,人们在通信网络中设置了具有安全防护功能的传输设备,即防火墙设备。防火墙设备除了可以识别恶意报文以外,还可以对需要传输的重要业务报文进行加密处理。防火墙设备中配置有访问控制列表(英文:AccessControlList,简称:ACL)和加密策略。ACL中包含有对业务报文的识别规则,识别规则通常由五元组信息构成,即源地址、目的地址、源端口号、目的端口号和协议。防火墙设备接收到业务报文后,获取业务报文的五元组信息。如果该业务报文的五元组信息与ACL中的五元组信息相匹配,则基于配置的加密策略对该业务报文进行加密,然后将加密后的业务报文再发送给其他传输设备。例如,ACL的识别规则定义为:源地址范围为10.10.10.0/24,目的地址范围为30.30.30.0/24,如果业务报文的源地址在10.10.10.0/24范围内且目的地址在30.30.30.0/24范围内,则对该业务报文进行加密,否则,不对该报文加密。基于现有技术的方案,防火墙设备也可对传输层之上的应用层报文进行保护。防火墙设备对应用层报文进行保护时,是对全部的应用层报文均进行了保护,也即是,对于不涉及保护的应用层报文也都进行了加密保护,这造成了防火墙设备资源的大量浪费。
技术实现思路
本申请实施例的目的在于提供一种报文处理的方法和装置,以实现细粒度的应用层报文识别,从而只对特定的部分应用层报文进行加密保护,避免了传输设备的资源浪费。具体技术方案如下:第一方面,本申请实施例提供了一种报文处理的方法,所述方法应用于第一传输设备,所述方法包括:接收待传输的业务报文,所述业务报文包括应用层信息;当所述第一传输设备的访问控制列表ACL包含的识别信息中,存在与所述应用层信息相匹配的识别信息时,基于预设的加密策略,对所述业务报文进行加密处理;向第二传输设备发送加密后的业务报文。可选的,所述基于预设的加密策略,对所述业务报文进行加密处理,包括:根据所述第一传输设备的ACL中与所述应用层信息相匹配的识别信息,确定对应的加密策略;基于确定出的加密策略,对所述业务报文进行加密处理。可选的,所述方法还包括:向所述第二传输设备发送协商请求,所述协商请求中携带有所述ACL包含的识别信息;接收所述第二传输设备发送的协商响应消息,所述协商响应消息中携带有所述第二传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息;生成所述第二传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息对应的加密策略。可选的,所述方法还包括:接收第三传输设备发送的协商请求;如果所述协商请求中携带有所述第三传输设备的ACL中的识别信息,且所述第一传输设备的ACL中存在所述识别信息,则向所述第三传输设备发送协商响应消息,所述协商响应消息中携带有所述第三传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息。可选的,所述当所述第一传输设备的访问控制列表ACL包含的识别信息中,存在与所述应用层信息相匹配的识别信息时,基于预设的加密策略,对所述业务报文进行加密处理之前,还包括:在预设的特征库中,确定与所述应用层信息相匹配的特征项;如果所述特征项对应的安全检测结果为通过,则判断所述第一传输设备的ACL包含的识别信息中,是否存在与所述应用层信息相匹配的识别信息。第二方面,本申请实施例提供了一种报文处理的装置,所述装置应用于第一传输设备,所述装置包括:第一接收模块,用于接收待传输的业务报文,所述业务报文包括应用层信息;加密模块,用于当所述第一传输设备的访问控制列表ACL包含的识别信息中,存在与所述应用层信息相匹配的识别信息时,基于预设的加密策略,对所述业务报文进行加密处理;第一发送模块,用于向第二传输设备发送加密后的业务报文。可选的,所述加密模块,具体用于:根据所述第一传输设备的ACL中与所述应用层信息相匹配的识别信息,确定对应的加密策略;基于确定出的加密策略,对所述业务报文进行加密处理。可选的,所述装置还包括:第二发送模块,用于向所述第二传输设备发送协商请求,所述协商请求中携带有所述ACL包含的识别信息;第二接收模块,用于接收所述第二传输设备发送的协商响应消息,所述协商响应消息中携带有所述第二传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息;生成模块,用于生成所述第二传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息对应的加密策略。可选的,所述装置还包括:第三接收模块,用于接收第三传输设备发送的协商请求;第三发送模块,用于如果所述协商请求中携带有所述第三传输设备的ACL中的识别信息,且所述第一传输设备的ACL中存在所述识别信息,则向所述第三传输设备发送协商响应消息,所述协商响应消息中携带有所述第三传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息。可选的,所述装置还包括:匹配模块,用于在预设的特征库中,确定与所述应用层信息相匹配的特征项;判断模块,用于如果所述特征项对应的安全检测结果为通过,则判断所述第一传输设备的ACL包含的识别信息中,是否存在与所述应用层信息相匹配的识别信息。本申请实施例提供的报文处理的方法和装置,第一传输设备接收待传输的业务报文,该业务报文包括应用层信息。当第一传输设备的ACL包含的识别信息中,存在与应用层信息相匹配的识别信息时,基于预设的加密策略,第一传输设备对业务报文进行加密处理,向第二传输设备发送加密后的业务报文。基于本方案,第一传输设备可对应用层的业务报文进行识别,对需要进行加密传输的应用层报文进行加密处理后传输,也即,实现传输设备对应用层报文的细粒度识别,只对特定的部分应用层报文进行加密保护,避免了传输设备的资源浪费。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对本申请实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种报文处理系统框架示意图;图2为本申请实施例提供的一种报文处理的方法流程图;图3为本申请实施例提供的一种传输设备的协商方法流程图;图4为本申请实施例提供的一种报文处理的装置结构示意图;图5为本申请实施例提供的一种报文处理的装置结构示意图;图6为本申请实施例提供的一种报文处理的装置结构示意图;图7为本申请实施例提供的一种报文处理的装置结构示意图图8为本申请实施例提供的一种传输设备的结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。本申请实施例提供了一种本文档来自技高网...
【技术保护点】
一种报文处理的方法,其特征在于,所述方法应用于第一传输设备,所述方法包括:接收待传输的业务报文,所述业务报文包括应用层信息;当所述第一传输设备的访问控制列表ACL包含的识别信息中,存在与所述应用层信息相匹配的识别信息时,基于预设的加密策略,对所述业务报文进行加密处理;向第二传输设备发送加密后的业务报文。
【技术特征摘要】
1.一种报文处理的方法,其特征在于,所述方法应用于第一传输设备,所述方法包括:接收待传输的业务报文,所述业务报文包括应用层信息;当所述第一传输设备的访问控制列表ACL包含的识别信息中,存在与所述应用层信息相匹配的识别信息时,基于预设的加密策略,对所述业务报文进行加密处理;向第二传输设备发送加密后的业务报文。2.根据权利要求1所述的方法,其特征在于,所述基于预设的加密策略,对所述业务报文进行加密处理,包括:根据所述第一传输设备的ACL中与所述应用层信息相匹配的识别信息,确定对应的加密策略;基于确定出的加密策略,对所述业务报文进行加密处理。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:向所述第二传输设备发送协商请求,所述协商请求中携带有所述ACL包含的识别信息;接收所述第二传输设备发送的协商响应消息,所述协商响应消息中携带有所述第二传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息;生成所述第二传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息对应的加密策略。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:接收第三传输设备发送的协商请求;如果所述协商请求中携带有所述第三传输设备的ACL中的识别信息,且所述第一传输设备的ACL中存在所述识别信息,则向所述第三传输设备发送协商响应消息,所述协商响应消息中携带有所述第三传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息。5.根据权利要求1所述的方法,其特征在于,所述当所述第一传输设备的访问控制列表ACL包含的识别信息中,存在与所述应用层信息相匹配的识别信息时,基于预设的加密策略,对所述业务报文进行加密处理之前,还包括:在预设的特征库中,确定与所述应用层信息相匹配的特征项;如果所述特征项对应的安全检测结果为通过,则判断所述第一传输设备的ACL包含的识别信息中,是否存在与所述应用层信息相匹配的识别...
【专利技术属性】
技术研发人员:黄琳,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。