本发明专利技术公开了一种数据报文的传输方法和设备,涉及通信领域,能够保证IPSec安全策略的细粒度,节省加密资源。该方法包括:获取第一设备与第二设备之间的控制报文;通过解析所述控制报文,获得数据通道信息;根据所述数据通道信息获得所述目的设备的IP地址和端口号;根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略;根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
【技术实现步骤摘要】
一种数据报文的传输方法和设备
本专利技术涉及通信领域,尤其涉及一种数据报文的传输方法和设备。
技术介绍
互联网协议安全(InternetProtocolSecurity,IPSec)是互联网工程任务组(InternetEngineeringTaskForce,IETF)制定的一个IP层安全框架协议。IPSec为在未提供安全保护的网络环境中传输的敏感数据提供了保护,保证了端对端通信数据的私有性、完整性、真实性和防重放攻击。在端对端通信中,为了保证通信的安全性,在通信系统中每端都建有防火墙。IPSec是一种两端的防火墙在建立隧道后,在隧道的保护下对端对端通信的报文进行处理的技术。隧道是端对端通信时,两个防火墙根据互联网密钥交换协议(InternetKeyExchange,简称IKE)协商生成的。实际应用中,防火墙中存储有IPSec安全策略数据库(SecurityPolicyDataBase,简称SPDB),IPSec安全策略数据库中包括有多条IPSec安全策略,每条IPSec安全策略包括对应的5元组信息。其中5元组信息中包括:源IP地址、源端口、目的IP地址、目的端口、协议类型。在端对端通信中,为了保证通信的安全性,防火墙对端对端通信的每个报文都要进行IPSec安全策略的匹配,只有通过匹配的报文才会进行加密或解密。多通道协议包括文件传输协议(FileTransferProtocol,FTP)、信令控制协议(SessionInitiationProtocol,SIP)。网络设备(例如客户端与服务器)利用多通道协议进行端对端通信时,源设备与目的设备间通信的控制报文中携带有数据通道信息,该数据通道信息中包括目的设备的IP地址和端口号。由于目的设备的端口号不确定,因此,控制报文每次携带的数据通道信息不确定。现有技术中,防火墙为了保证源设备与目的设备进行数据通信时的数据报文能够加密,在配置IPSec安全策略时,采用在SPDB中预先存储控制报文可能携带的目的设备的端口号的范围对应的IPSec安全策略。这样,在端对端通信时,导致大量原本不需要进行IPSec加密处理的数据报文也可能通过IPSec隧道被加密,而需要进行IPSec加密的数据报文可能无法通过IPSec隧道进行加密,无法保证IPSec安全策略的细粒度,浪费了加密资源。
技术实现思路
本专利技术的实施例提供一种数据报文的传输方法和设备,保证了IPSec安全策略的细粒度,节省了加密资源。为达到上述目的,本专利技术的实施例采用如下技术方案:第一方面,提供了一种数据报文的传输方法,包括:获取第一设备与第二设备之间的控制报文;通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息;根据所述数据通道信息获得所述目的设备的IP地址和端口号;根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略;根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。结合第一方面,在第一方面的第一种可能的实现方式中,所述根据所述目的设备的IP地址和端口号确定所述源设备与目的设备之间的数据通道的IPSec安全策略包括:根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述通过解析所述控制报文获得数据通道信息包括:利用应用协议报文检测ASPF技术解析所述控制报文,获得数据通道信息。结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文包括:根据所述IPSec安全策略,生成第一IPSec隧道;通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,还包括:在数据报文传输完成后,删除所述IPSec安全策略和所述第一IPSec隧道。结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第五种可能的实现方式中,所述根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文包括:根据所述IPSec安全策略确定第二IPSec隧道,所述第二IPSec隧道为传输所述控制报文的IPSec隧道;通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。结合第一方面的第五种可能的实现方式,在第一方面的第六种可能的实现方式中,还包括:在数据报文传输完成后,删除所述IPSec安全策略。第二方面,一种数据报文的传输设备,其特征在于,包括:获取单元,用于获取第一设备与第二设备之间的控制报文;解析单元,用于通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息;获得单元,用于根据所述数据通道信息获得所述目的设备的IP地址和端口号;确定单元,用于根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略;传输单元,用于根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。结合第二方面,在第二方面的第一种可能的实现方式中,所述确定单元,具体用于根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述解析单元,具体用于利用ASPF技术解析所述控制报文,获得数据通道信息。结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述传输单元,具体用于根据所述IPSec安全策略建立第一IPSec隧道,并通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第四种可能的实现方式中,所述传输单元,具体用于根据所述IPSec安全策略确定第二IPSec隧道,所述第二IPSec隧道为传输所述控制报文的IPSec隧道,并通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。结合第二方面的第三种可能的实现方式或第二方面的第四种可能的实现方式,在第二方面的第五种可能的实现方式中,还包括:删除单元,用于在数据报文传输完成后,删除所述IPSec安全策略。第三方面,提供了一种通信系统,包括源设备、目的设备以及如权利要求8-13任一项所述的传输设备,其中,所述源设备与所述目的设备通过所述数据报文的传输设备建立的IPSec隧道传输数据报文。本专利技术实施例提供的一种数据报文的传输方法和设备,获取第一设备与第二设备之间的控制报文,通过解析所述控制报文,获得数据通道信息,所述数据通道信息为源设备与目的设备之本文档来自技高网...
【技术保护点】
一种数据报文的传输方法,其特征在于,包括:获取第一设备与第二设备之间的控制报文;通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息;根据所述数据通道信息获得所述目的设备的IP地址和端口号;根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略;根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
【技术特征摘要】
1.一种数据报文的传输方法,其特征在于,包括:获取第一设备与第二设备之间的控制报文;通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息;根据所述数据通道信息获得所述目的设备的IP地址和端口号;根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略;根据所述IPSec安全策略确定IPSec隧道,所述IPSec隧道用于传输所述源设备与所述目的设备之间的数据报文;通过所述IPSec隧道传输所述源设备与所述目的设备之间的数据报文;所述根据所述IPSec安全策略确定IPSec隧道包括:绑定所述IPSec安全策略与传输所述控制报文的IPSec隧道;所述通过所述IPSec隧道传输所述源设备与所述目的设备之间的数据报文,包括:确认所述数据报文与所述IPSec安全策略匹配,通过与所述IPSec安全策略绑定的传输所述控制报文的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。2.根据权利要求1所述的方法,其特征在于,所述根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略包括:根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。3.根据权利要求1或2所述的方法,其特征在于,所述通过解析所述控制报文获得数据通道信息包括:利用应用协议报文检测ASPF技术解析所述控制报文,获得数据通道信息。4.根据权利要求1所述的方法,其特征在于,还包括:在数据报文传输完成后,删除所述IPSec安全策略。5.一种数据报文的传输设备,其特征在于,包括:获取单元,用于获取第一设备与第二设...
【专利技术属性】
技术研发人员:黄国淋,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。