專利名稱:一種數(shù)據(jù)分路傳輸方法及裝置、系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種數(shù)據(jù)分路傳輸方法及裝置、系統(tǒng)。
背景技術(shù):
IPSec (IP Security,因特網(wǎng)協(xié)議安全)是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的三層隧道加密協(xié)議。IPSec在IP層對IP報文提供安全服務(wù)。在IPSec協(xié)議中定義了如何在IP數(shù)據(jù)包中增加字段來保證IP包的完整性、私有性和真實性,以及如何加密數(shù)據(jù)包。使用IPSec,數(shù)據(jù)就可以安全地在公網(wǎng)上傳輸。如圖I所示為現(xiàn)有技術(shù)中應(yīng)用IPsec的系統(tǒng)結(jié)構(gòu)示意圖,源設(shè)備、安全網(wǎng)關(guān)和目的設(shè)備之間通過公網(wǎng)IP進行通信,支持IPsec客戶端協(xié)議的源設(shè)備與安全網(wǎng)關(guān)(至少支持IPSec服務(wù)器側(cè)協(xié)議)之間建立IPSec隧道用于安全數(shù)據(jù)傳輸,數(shù)據(jù)通過安全網(wǎng)關(guān)路由到目 的設(shè)備。然而,當源設(shè)備和安全網(wǎng)關(guān)的接口(物理端口或者IP地址)只有一個,目的設(shè)備至少為兩個時,如目的設(shè)備I和目的設(shè)備2,由于源設(shè)備發(fā)送到目的設(shè)備I的數(shù)據(jù)I和源設(shè)備發(fā)送的目的設(shè)備2的數(shù)據(jù)2均通過IPsec隧道傳輸?shù)桨踩W(wǎng)關(guān),安全網(wǎng)關(guān)無法識別數(shù)據(jù)I和數(shù)據(jù)2的去向,此時,數(shù)據(jù)1、2只能發(fā)送的一個目的設(shè)備上,而無法分路,也即,對于上述應(yīng)用場景,源設(shè)備與多個目的設(shè)備間無法實現(xiàn)端到端的數(shù)據(jù)隔離。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種數(shù)據(jù)分路傳輸方法及裝置、系統(tǒng),能夠?qū)崿F(xiàn)源設(shè)備與多個目的設(shè)備間端到端的數(shù)據(jù)隔離。為了解決上述技術(shù)問題,本發(fā)明實施例的技術(shù)方案如下源設(shè)備向安全網(wǎng)關(guān)請求因特網(wǎng)協(xié)議安全IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址;所述源設(shè)備獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息;所述源設(shè)備根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向所述安全網(wǎng)關(guān)傳輸,以使所述安全網(wǎng)關(guān)將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。一種數(shù)據(jù)分路傳輸方法,包括安全網(wǎng)關(guān)接收源設(shè)備對IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址的請求;所述安全網(wǎng)關(guān)為所述IPsec隧道中至少兩條邏輯隧道分別分配私網(wǎng)IP地址,并向所述源設(shè)備反饋所述至少兩條邏輯隧道的私網(wǎng)IP地址;所述安全網(wǎng)關(guān)接收所述源設(shè)備通過不同邏輯隧道發(fā)送的數(shù)據(jù)流;所述安全網(wǎng)關(guān)根據(jù)所述至少兩條邏輯隧道的私網(wǎng)IP地址識別接收到的數(shù)據(jù)流,并根據(jù)至少兩條邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系信息將識別出的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。一種通信設(shè)備,包括地址請求單元,用于向安全網(wǎng)關(guān)請求IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址;地址接收單元,用于獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息;數(shù)據(jù)隔離單元,用于根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向安全網(wǎng)關(guān)傳輸,以使所述安全網(wǎng)關(guān)將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。一種安全網(wǎng)關(guān),包括
請求接收單元,用于接收源設(shè)備對IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址的請求;地址分配單元,用于為所述IPsec隧道中至少兩條邏輯隧道分別分配私網(wǎng)IP地址,并向所述源設(shè)備反饋所述至少兩條邏輯隧道的私網(wǎng)IP地址;數(shù)據(jù)接收單元,用于接收所述源設(shè)備通過不同邏輯隧道發(fā)送的數(shù)據(jù)流;數(shù)據(jù)分流單元,用于根據(jù)所述至少兩條邏輯隧道的私網(wǎng)IP地址識別接收到的數(shù)據(jù)流,并根據(jù)至少兩條邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系信息將識別出的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。一種數(shù)據(jù)分路傳輸系統(tǒng),包括源設(shè)備、安全網(wǎng)關(guān)和至少兩個目的設(shè)備,其中,所述源設(shè)備,用于向所述安全網(wǎng)關(guān)請求IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址;獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息;根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向所述安全網(wǎng)關(guān)傳輸,以使所述安全網(wǎng)關(guān)將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。本發(fā)明實施例通過在IPsec隧道中建立多條邏輯隧道,從而可以使源設(shè)備將發(fā)送至不同目的設(shè)備的數(shù)據(jù)流通過不同的邏輯隧道進行傳輸,并由安全網(wǎng)關(guān)進行數(shù)據(jù)的分流,最終發(fā)送至對應(yīng)的目的設(shè)備,實現(xiàn)了數(shù)據(jù)端到端的分路安全傳輸,如將業(yè)務(wù)流和數(shù)據(jù)流分路傳輸,即保障數(shù)據(jù)安全性又保障了數(shù)據(jù)隔離,可以更好的支撐組網(wǎng),而且,本方法實現(xiàn)了節(jié)省外部資源,如IP地址,端口等,可以更加合理的利用現(xiàn)有設(shè)備實現(xiàn)端到端的安全傳輸,該方法實現(xiàn)簡單,本方案均可采用標準的協(xié)議完成。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖I是現(xiàn)有技術(shù)中應(yīng)用IPsec的系統(tǒng)結(jié)構(gòu)示意圖;圖2本發(fā)明實施例一種數(shù)據(jù)分路傳輸方法流程圖;圖3a是本發(fā)明實施例另一種數(shù)據(jù)分路傳輸方法流程圖;圖3b是圖3a所示實施例中端到端數(shù)據(jù)分路傳輸示意圖4是圖3a所示實施例中源設(shè)備和安全網(wǎng)關(guān)進行IPSec隧道協(xié)商的示意圖;圖5是圖3a所示實施例中源設(shè)備和安全網(wǎng)關(guān)進行IKE_SA_AUTH交換的示意圖;圖6是圖3a所示實施例中源設(shè)備和安全網(wǎng)關(guān)進行CREATE_CHILD_SA交換的示意圖;圖7是本發(fā)明實施例一種通信設(shè)備的結(jié)構(gòu)示意圖;圖8是本發(fā)明實施例一種安全網(wǎng)關(guān)的結(jié)構(gòu)示意圖;圖9是本發(fā)明實施例另一種安全網(wǎng)關(guān)的結(jié)構(gòu)示意圖;圖10是本發(fā)明實施例一種數(shù)據(jù)分路傳輸系統(tǒng)結(jié)構(gòu)示意圖。
具體實施方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。下面結(jié)合附圖和實施例,對本發(fā)明的技術(shù)方案進行描述。參見圖2,為本發(fā)明實施例一種數(shù)據(jù)分路傳輸方法流程圖。該方法可以包括步驟201,源設(shè)備向安全網(wǎng)關(guān)請求IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址。在源設(shè)備與安全網(wǎng)關(guān)基于IKEv2的IPSec隧道協(xié)商過程中,或者在建立了源設(shè)備與安全網(wǎng)關(guān)之間的IPsec隧道之后,源設(shè)備可以通過與安全網(wǎng)關(guān)之間的交換消息或通過源設(shè)備與安全網(wǎng)關(guān)協(xié)商的其它新增的交互消息,向安全網(wǎng)關(guān)請求該IPsec隧道中邏輯隧道的私網(wǎng)IP地址,當然,源設(shè)備也可以向其它中間網(wǎng)元請求該邏輯隧道的私網(wǎng)IP地址,例如網(wǎng)管等。其中該邏輯隧道的數(shù)目至少為兩個,以實現(xiàn)至少兩組數(shù)據(jù)流的隔離,該請求中還可以攜帶其它信息例如所需要分配的私網(wǎng)IP地址的網(wǎng)段等信息。步驟202,源設(shè)備獲得至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對
應(yīng)關(guān)系信息。源設(shè)備獲得邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備之間對應(yīng)關(guān)系的方法有多種,其中,源設(shè)備所獲得的邏輯隧道的私網(wǎng)IP地址可以是由安全網(wǎng)關(guān)或網(wǎng)管來分配并發(fā)送給源設(shè)備的。邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系也可以是由源設(shè)備在請求邏輯隧道的私網(wǎng)IP地址時預(yù)先指定的,也可以是由安全網(wǎng)關(guān)或網(wǎng)管根據(jù)需要分配后,將該對應(yīng)關(guān)系告知源設(shè)備的。例如,可以是源設(shè)備在發(fā)起邏輯隧道私網(wǎng)IP地址請求時,該請求中包含了各目的設(shè)備所需要對應(yīng)的邏輯隧道的私網(wǎng)IP地址的網(wǎng)段,由安全網(wǎng)關(guān)根據(jù)指定的網(wǎng)段來分配私網(wǎng)IP地址,則源設(shè)備在接收到分配的私網(wǎng)IP地址后,也即獲得了邏輯隧道的私網(wǎng)IP地址與目的設(shè)備之間的對應(yīng)關(guān)系。該對應(yīng)關(guān)系可以進一步由源設(shè)備告知安全網(wǎng)關(guān),當然也可以是由源設(shè)備和安全網(wǎng)關(guān)預(yù)先協(xié)商指定網(wǎng)段所對應(yīng)的目的設(shè)備,在安全網(wǎng)關(guān)接收到源設(shè)備指定的網(wǎng)段并據(jù)此分配私網(wǎng)IP地址后,即可獲得上述對應(yīng)關(guān)系。再例如,還可以是源設(shè)備在發(fā)起邏輯隧道私網(wǎng)IP地址的請求時,由安全網(wǎng)關(guān)分配私網(wǎng)IP地址,并建立各邏輯隧道的私網(wǎng)IP地址與對端目的設(shè)備之間的對應(yīng)關(guān)系,然后由安全網(wǎng)關(guān)將邏輯隧道的私網(wǎng)IP地址及其與目的設(shè)備之間的對應(yīng)關(guān)系發(fā)送至源設(shè)備。再例如,還可以是源設(shè)備在發(fā)起邏輯隧道私網(wǎng)IP地址的請求時,由安全網(wǎng)關(guān)分配私網(wǎng)IP地址,由網(wǎng)管分配邏輯隧道的私網(wǎng)IP地址與目的設(shè)備之間的對應(yīng)關(guān)系,然后由該網(wǎng)關(guān)將該對應(yīng)關(guān)系發(fā)送至源設(shè)備和安全網(wǎng)關(guān)。當然還可以有其它情況,此處不再一一列舉。每條邏輯隧道之間的私網(wǎng)IP地址不同,進一步的,可以處于不同的網(wǎng)段。邏輯隧道的私網(wǎng)IP地址與目的設(shè)備的對應(yīng)關(guān)系,例如邏輯隧道I—私網(wǎng)IP地址I—目的設(shè)備I邏輯隧道2—私網(wǎng)IP地址2—目的設(shè)備2...... 該對應(yīng)關(guān)系可以拆分為多個列表進行存儲,其具體存儲形式不作限定,只要在安全網(wǎng)關(guān)中包含上述對應(yīng)關(guān)系即可。步驟203,源設(shè)備根據(jù)該對應(yīng)關(guān)系信息,將發(fā)送至各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向安全網(wǎng)關(guān)傳輸。源設(shè)備根據(jù)接收到的邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系信息,確定各數(shù)據(jù)流對應(yīng)的邏輯隧道,例如,源設(shè)備要發(fā)送至目的設(shè)備I的數(shù)據(jù)流I要發(fā)送至私網(wǎng)IP地址I對應(yīng)的邏輯隧道I中,源設(shè)備要發(fā)送至目的設(shè)備2的數(shù)據(jù)流要發(fā)送至私網(wǎng)IP地址2對應(yīng)的邏輯隧道2中等。在確定好數(shù)據(jù)流對應(yīng)的邏輯隧道后,源設(shè)備根據(jù)各邏輯隧道的私網(wǎng)IP地址將各數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,例如,將數(shù)據(jù)流I映射到邏輯隧道I中,將數(shù)據(jù)流2映射到邏輯隧道2中。該將數(shù)據(jù)流映射到對應(yīng)的邏輯隧道的過程即為對發(fā)送數(shù)據(jù)進行隔離的過程,具體的映射過程可以是在數(shù)據(jù)中插入對應(yīng)的邏輯隧道的私網(wǎng)IP地址。在數(shù)據(jù)流映射完成后,源設(shè)備即將各數(shù)據(jù)流通過不同的邏輯隧道發(fā)送至安全網(wǎng)關(guān)。安全網(wǎng)關(guān)在接收到各邏輯隧道的數(shù)據(jù)流后,根據(jù)邏輯隧道的私網(wǎng)IP地址,具體的也即數(shù)據(jù)流中插入的邏輯隧道的私網(wǎng)IP地址即可識別各數(shù)據(jù)流,進而根據(jù)各邏輯隧道的私網(wǎng)IP地址與目的設(shè)備的對應(yīng)關(guān)系,將識別出的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備,例如將接收到攜帶私網(wǎng)IP地址I的數(shù)據(jù)流也即由邏輯隧道I傳輸?shù)臄?shù)據(jù)流,根據(jù)邏輯隧道I的私網(wǎng)IP地址與目的設(shè)備I的對應(yīng)關(guān)系,將該數(shù)據(jù)流發(fā)送至目的設(shè)備1,從而完成數(shù)據(jù)由源設(shè)備到目的設(shè)備的端到端數(shù)據(jù)分路傳輸。至于安全網(wǎng)關(guān)獲得邏輯隧道私網(wǎng)IP地址與目的設(shè)備的對應(yīng)關(guān)系的過程可以如步驟202中所述。本發(fā)明實施例通過在IPsec隧道中建立多條邏輯隧道,從而可以使源設(shè)備將發(fā)送至不同目的設(shè)備的數(shù)據(jù)流通過不同的邏輯隧道進行傳輸,并由安全網(wǎng)關(guān)進行數(shù)據(jù)的分流,最終發(fā)送至對應(yīng)的目的設(shè)備,實現(xiàn)了數(shù)據(jù)端到端的分路安全傳輸,如將業(yè)務(wù)流和數(shù)據(jù)流分路傳輸,即保障數(shù)據(jù)安全性又保障了數(shù)據(jù)隔離,可以更好的支撐組網(wǎng),而且,本方法實現(xiàn)了節(jié)省外部資源,如IP地址,端口等,可以更加合理的利用現(xiàn)有設(shè)備實現(xiàn)端到端的安全傳輸,該方法實現(xiàn)簡單,本方案均可采用標準的協(xié)議完成。參見圖3a,為本發(fā)明實施例另一種數(shù)據(jù)分路傳輸方法流程圖。本實施例中端到端數(shù)據(jù)分路傳輸示意圖如圖3b所示,以在IPsec隧道中建立兩條邏輯隧道為例進行說明,該方法可以包括
步驟301,源設(shè)備和安全網(wǎng)關(guān)通過IKE_SA_INIT交換建立一對IKE SA。在源設(shè)備與安全網(wǎng)關(guān)基于IKEv2的IPSec隧道協(xié)商過程中,如圖4所示,通過IKE_SA_INIT交換和IKE_SA_AUTH交換,完成一對IKE SA和一對IPSec SA的建立,進而通過CREATE_CHILD_SA交換,完成另外一對IPSecSA的建立,通過上述協(xié)商,源設(shè)備和安全網(wǎng)關(guān)即可完成IPSec隧道的建立。本發(fā)明實施例中基于上述隧道建立過程,針對IKE_SA_AUTH和CREATE_CHILD_SA兩條交換進行了調(diào)整,用于創(chuàng)建多條IPSec邏輯隧道,在本步驟中,通過IKE_SA_INIT交換建立一對IKE SA的過程未調(diào)整,與現(xiàn)有技術(shù)相同,此處不再贅述。步驟302,源設(shè)備向安全網(wǎng)關(guān)發(fā)送第一交換信息,該交換信息中包括獲得IPsec隧道中第一條邏輯隧道的私網(wǎng)IP地址的請求及指定的該第一條邏輯隧道的私網(wǎng)IP地址所屬的網(wǎng)段。 本步驟中可以對現(xiàn)有技術(shù)中的IKE_SA_AUTH交換信息進行調(diào)整作為第一交換信息,如圖5所示,源設(shè)備通過該交換消息向安全網(wǎng)關(guān)請求IPsec隧道中第一條邏輯隧道的私網(wǎng)IP地址。具體的,該交換消息中可以攜帶CP和TSr載荷,其中,CP載荷表示需要獲取IP地址;TSr載荷表示希望在對應(yīng)的哪個網(wǎng)段獲取地址;其余載荷根據(jù)需要攜帶,圖5僅為示例。步驟303,源設(shè)備向安全網(wǎng)關(guān)發(fā)送第二交換信息,交換信息中包括獲得IPsec隧道中第二條邏輯隧道的私網(wǎng)IP地址的請求及指定的第二條邏輯隧道的私網(wǎng)IP地址所屬的網(wǎng)段。本步驟中可以對Informational exchange和CREATE_CHILD_SA交換信息進行調(diào)整作為第二交換信息,如圖6所示,源設(shè)備通過該交換消息向安全網(wǎng)關(guān)請求IPsec隧道中第二條邏輯隧道的私網(wǎng)IP地址。具體的,Informational exchange和CREATE_CHILD_SA交換消息中可以分別攜帶CP和TSr載荷,其中,CP載荷表示需要獲取IP地址;TSr載荷表示希望在對應(yīng)的哪個網(wǎng)段獲取地址;其余載荷根據(jù)需要攜帶,圖6僅為示例。其中,源設(shè)備所指定的各邏輯隧道的私網(wǎng)IP地址屬于不同網(wǎng)段,而不同的網(wǎng)段即對應(yīng)不同的邏輯隧道和不同的目的設(shè)備,例如源設(shè)備指定的第一網(wǎng)段的私網(wǎng)IP地址是對應(yīng)目的設(shè)備I的,指定的第二網(wǎng)段的私網(wǎng)IP地址是對應(yīng)目的設(shè)備2的。本實施例中,該指定網(wǎng)段與目的設(shè)備的對應(yīng)關(guān)系可以是預(yù)先由源設(shè)備與安全網(wǎng)關(guān)協(xié)商好的;在其它實施例中,也可以是在后續(xù)安全網(wǎng)關(guān)根據(jù)指定網(wǎng)段分配私網(wǎng)IP地址,源設(shè)備獲得私網(wǎng)IP地址后,由其將邏輯隧道的私網(wǎng)IP與目的設(shè)備的對應(yīng)關(guān)系告知安全網(wǎng)關(guān)。步驟304,安全網(wǎng)關(guān)接收到源設(shè)備的交換消息后,為IPsec隧道中的邏輯隧道分別分配私網(wǎng)IP地址,并建立各邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系信息。安全網(wǎng)關(guān)根據(jù)IKE_SA_AUTH交換信息中指定的第一條邏輯隧道的私網(wǎng)IP地址所屬的網(wǎng)段,也即根據(jù)IKE_SA_AUTH交換信息中的TSr載荷,為第一條邏輯隧道分配私網(wǎng)IP地址,并根據(jù)預(yù)先由源設(shè)備與安全網(wǎng)關(guān)協(xié)商好的指定網(wǎng)段與目的設(shè)備的對應(yīng)關(guān)系,建立第一條邏輯隧道的私網(wǎng)IP地址與第一目的設(shè)備的對應(yīng)關(guān)系信息;安全網(wǎng)關(guān)根據(jù)Informational exchange和CREATE_CHILD_SA交換信息中指定的第二條邏輯隧道的私網(wǎng)IP地址所屬的網(wǎng)段,也即根據(jù)交換信息中的TSr載荷,為第二條邏輯隧道分配私網(wǎng)IP地址,并根據(jù)預(yù)先由源設(shè)備與安全網(wǎng)關(guān)協(xié)商好的指定網(wǎng)段與目的設(shè)備的對應(yīng)關(guān)系,建立第二條邏輯隧道的私網(wǎng)IP地址與第二目的設(shè)備的對應(yīng)關(guān)系信息。安全網(wǎng)關(guān)可 以在接收到步驟302的請求后即為第一條邏輯隧道分配私網(wǎng)IP地址,在接收到步驟303的請求后再為第二條邏輯隧道分配私網(wǎng)IP地址,也還可以在接收到所有的請求后,統(tǒng)一為各邏輯隧道分配私網(wǎng)IP地址,并建立邏輯隧道的私網(wǎng)IP地址與目的設(shè)備的對應(yīng)關(guān)系信息。通過上述過程,源設(shè)備和安全網(wǎng)關(guān)即可完成兩條邏輯隧道的建立,之后源設(shè)備便可以將數(shù)據(jù)映射到不同的邏輯隧道上進行端到端的安全傳輸了。在其它實施例中,如果需要建立第三條乃至更多條的邏輯隧道時,可以重復上述建立第二條邏輯隧道的過程即可,也即步驟303,安全網(wǎng)關(guān)重復分配私網(wǎng)IP地址。步驟305,源設(shè)備根據(jù)各邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息,將發(fā)送至各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向安全網(wǎng)關(guān)傳輸。源設(shè)備在接收到安全網(wǎng)關(guān)發(fā)送的兩條邏輯隧道的私網(wǎng)IP地址,并進一步根據(jù)預(yù)先指定的網(wǎng)段,獲知邏輯隧道的私網(wǎng)IP地址與目的設(shè)備的對應(yīng)關(guān)系后,將發(fā)送至不同目的設(shè)備的數(shù)據(jù)映射到對應(yīng)的邏輯隧道中,該映射過程與前述實施例中的步驟203類似,此處不再贅述。步驟306,安全網(wǎng)關(guān)接收源設(shè)備通過不同邏輯隧道發(fā)送的數(shù)據(jù)流。步驟307,安全網(wǎng)關(guān)根據(jù)數(shù)據(jù)中的邏輯隧道的私網(wǎng)IP地址識別接收到的數(shù)據(jù)流,并根據(jù)兩條邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系信息將識別出的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。本發(fā)明實施例通過在IPsec隧道中建立多條邏輯隧道,從而可以使源設(shè)備將發(fā)送至不同目的設(shè)備的數(shù)據(jù)流通過不同的邏輯隧道進行傳輸,并由安全網(wǎng)關(guān)進行數(shù)據(jù)的分流,最終發(fā)送至對應(yīng)的目的設(shè)備,實現(xiàn)了數(shù)據(jù)端到端的分路安全傳輸,如將業(yè)務(wù)流和數(shù)據(jù)流分路傳輸,即保障數(shù)據(jù)安全性又保障了數(shù)據(jù)隔離,可以更好的支撐組網(wǎng),而且,本方法實現(xiàn)了節(jié)省外部資源,如IP地址,端口等,可以更加合理的利用現(xiàn)有設(shè)備實現(xiàn)端到端的安全傳輸,該方法實現(xiàn)簡單,本方案均可采用標準的協(xié)議完成。以上是對本發(fā)明方法實施例的描述,下面對實現(xiàn)上述方法的裝置和系統(tǒng)進行介紹。參見圖7所示,為本發(fā)明實施例一種通信設(shè)備的結(jié)構(gòu)示意圖。該通信設(shè)備可以包括地址請求單元701,用于請求IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址。地址接收單元702,用于獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息。數(shù)據(jù)隔離單元703,用于根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向安全網(wǎng)關(guān)傳輸,以使所述安全網(wǎng)關(guān)將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。在該通信設(shè)備與安全網(wǎng)關(guān)基于IKEv2的IPSec隧道協(xié)商過程中,或者在建立了源設(shè)備與安全網(wǎng)關(guān)之間的IPsec隧道之后,該通信設(shè)備的地址請求單元701可以通過與安全網(wǎng)關(guān)之間的交換消息或通過源設(shè)備與安全網(wǎng)關(guān)協(xié)商的其它新增的交互消息等方式,向安全網(wǎng)關(guān)請求該IPsec隧道中邏輯隧道的私網(wǎng)IP地址,其中該邏輯隧道的數(shù)目至少為兩個,以實現(xiàn)至少兩組數(shù)據(jù)流的隔離,地址接收單元702獲得至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息,獲得邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備之間對應(yīng)關(guān)系的方法有多種,其中,所獲得的邏輯隧道的私網(wǎng)IP地址可以是由安全網(wǎng)關(guān)或網(wǎng)管來分配并發(fā)送給該地址接收單元702的,邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系也可以是由地址請求單元701在請求邏輯隧道的私網(wǎng)IP地址時預(yù)先指定的,也可以是由安全網(wǎng)關(guān)或網(wǎng)管根據(jù)需要分配后,將該對應(yīng)關(guān)系告知地址接收單元702的。數(shù)據(jù)隔離單元703確定各數(shù)據(jù)流對應(yīng)的邏輯隧道,在確定好數(shù)據(jù)流對應(yīng)的邏輯隧道后,根據(jù)各邏輯隧道的私網(wǎng)IP地址將各數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,該將數(shù)據(jù)流映射到對應(yīng)的邏輯隧道的過程即為對發(fā)送數(shù)據(jù)進行隔離的過程,在數(shù)據(jù)流映射完成后,即將各數(shù)據(jù)流通過不同的邏輯隧道發(fā)送至安全網(wǎng)關(guān)。安全網(wǎng)關(guān)在接收到各邏輯隧道的數(shù)據(jù)流后,根據(jù)邏輯隧道的私網(wǎng)IP地址即可識別各數(shù)據(jù)流,進而根據(jù)各邏輯隧道的私網(wǎng)IP地址與目的設(shè)備的對應(yīng)關(guān)系,將識別出的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。本發(fā)明實施例中的通信設(shè)備通過上述單元實現(xiàn)了數(shù)據(jù)端到端的分路安全傳輸,如 將業(yè)務(wù)流和數(shù)據(jù)流分路傳輸,即保障數(shù)據(jù)安全性又保障了數(shù)據(jù)隔離,可以更好的支撐組網(wǎng),而且,本方法實現(xiàn)了節(jié)省外部資源,如IP地址,端口等,可以更加合理的利用現(xiàn)有設(shè)備實現(xiàn)端到端的安全傳輸,該方法實現(xiàn)簡單,本方案均可采用標準的協(xié)議完成。在本發(fā)明的另一實施例中,該通信設(shè)備中的地址請求單元還可以進一步包括第一請求子單元,用于當所述邏輯隧道為兩條時,通過第一交換信息如IKE_SA_AUTH交換信息向所述安全網(wǎng)關(guān)請求獲得第一條邏輯隧道的私網(wǎng)IP地址。第二請求子單元,用于當所述邏輯隧道為兩條時,通過第二交換信息如Informational exchange和CREATE_CHILD_SA交換信息向所述安全網(wǎng)關(guān)請求獲得第二條邏輯隧道的私網(wǎng)IP地址。第一交換信息與第二交換信息中包含所請求私網(wǎng)IP地址的指定網(wǎng)段,各邏輯隧道的私網(wǎng)IP地址屬于不同網(wǎng)段。參見圖8,為本發(fā)明實施例一種安全網(wǎng)關(guān)的結(jié)構(gòu)示意圖。該安全網(wǎng)關(guān)可以包括請求接收單元801,用于接收源設(shè)備對IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址的請求;地址分配單元802,用于為所述IPsec隧道中至少兩條邏輯隧道分別分配私網(wǎng)IP地址,并向所述源設(shè)備反饋所述至少兩條邏輯隧道的私網(wǎng)IP地址;數(shù)據(jù)接收單元803,用于接收源設(shè)備通過不同邏輯隧道發(fā)送的數(shù)據(jù)流;數(shù)據(jù)分流單元804,用于根據(jù)所述至少兩條邏輯隧道的私網(wǎng)IP地址識別接收到的數(shù)據(jù)流,并根據(jù)至少兩條邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系信息將識別出的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。請求接收單元801在接收到源設(shè)備對IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址的請求后,由地址分配單元802為邏輯隧道分別分配私網(wǎng)IP地址,并將上述信息反饋至源設(shè)備,源設(shè)備根據(jù)上述信息將不同數(shù)據(jù)流映射到各自的邏輯隧道后傳輸至安全網(wǎng)關(guān),由數(shù)據(jù)接收單元803接收數(shù)據(jù)流,并由數(shù)據(jù)分流單元804對數(shù)據(jù)流進行識別,并分流至對應(yīng)的目的設(shè)備中。本發(fā)明實施例中的安全網(wǎng)關(guān)通過上述單元實現(xiàn)了數(shù)據(jù)端到端的分路安全傳輸,如將業(yè)務(wù)流和數(shù)據(jù)流分路傳輸,即保障數(shù)據(jù)安全性又保障了數(shù)據(jù)隔離,可以更好的支撐組網(wǎng),而且,本方法實現(xiàn)了節(jié)省外部資源,如IP地址,端口等,可以更加合理的利用現(xiàn)有設(shè)備實現(xiàn)端到端的安全傳輸,該方法實現(xiàn)簡單,本方案均可采用標準的協(xié)議完成。參見圖9,為本發(fā)明實施例另一種安全網(wǎng)關(guān)的結(jié)構(gòu)示意圖。該安全網(wǎng)關(guān)也可以包括請求接收單元901,地址分配單元902,數(shù)據(jù)接收單元903和數(shù)據(jù)分流單元904。其中,請求接收單元901可以進一步包括 第一接收子單元9011,用于當所述邏輯隧道為兩條時,接收所述源設(shè)備發(fā)送的用以請求獲得第一條邏輯隧道的私網(wǎng)IP地址的第一交換信息如IKE_SA_AUTH交換信息;第二接收子單元9012,用于當所述邏輯隧道為兩條時,接收所述源設(shè)備發(fā)送的用以請求獲得第二條邏輯隧道的私網(wǎng)IP地址的第二交換信息如Informational exchange和CREATE_CHILD_SA交換信息。其中,第一交換信息與第二交換信息中包含所請求私網(wǎng)IP地址的指定網(wǎng)段。各邏輯隧道的私網(wǎng)IP地址屬于不同網(wǎng)段。地址分配單元902,具體用于根據(jù)第一交換信息與第二交換信息中包含的所請求私網(wǎng)IP地址的指定網(wǎng)段,為IPsec隧道中的兩條邏輯隧道分別分配私網(wǎng)IP地址。數(shù)據(jù)接收單元903和數(shù)據(jù)分流單元904分別與前述實施例中的數(shù)據(jù)接收單元803和數(shù)據(jù)分流單元804類似,此處不再贅述。本發(fā)明實施例中的安全網(wǎng)關(guān)通過上述單元實現(xiàn)了數(shù)據(jù)端到端的分路安全傳輸,如將業(yè)務(wù)流和數(shù)據(jù)流分路傳輸,即保障數(shù)據(jù)安全性又保障了數(shù)據(jù)隔離,可以更好的支撐組網(wǎng),而且,本方法實現(xiàn)了節(jié)省外部資源,如IP地址,端口等,可以更加合理的利用現(xiàn)有設(shè)備實現(xiàn)端到端的安全傳輸,該方法實現(xiàn)簡單,本方案均可采用標準的協(xié)議完成。參見圖10,為本發(fā)明實施例一種數(shù)據(jù)分路傳輸系統(tǒng)結(jié)構(gòu)示意圖。該系統(tǒng)可以包括源設(shè)備1001,安全網(wǎng)關(guān)1002和至少兩個目的設(shè)備1003。其中,源設(shè)備1001,用于向安全網(wǎng)關(guān)1002請求至少兩條邏輯隧道的私網(wǎng)IP地址;獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備1003間的對應(yīng)關(guān)系信息;根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備1003的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向所述安全網(wǎng)關(guān)1002傳輸,以使所述安全網(wǎng)關(guān)1002將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備1003。該系統(tǒng)實現(xiàn)了數(shù)據(jù)端到端的分路安全傳輸,如將業(yè)務(wù)流和數(shù)據(jù)流分路傳輸,即保障數(shù)據(jù)安全性又保障了數(shù)據(jù)隔離,可以更好的支撐組網(wǎng),而且,本方法實現(xiàn)了節(jié)省外部資源,如IP地址,端口等,可以更加合理的利用現(xiàn)有設(shè)備實現(xiàn)端到端的安全傳輸,該方法實現(xiàn)簡單,本方案均可采用標準的協(xié)議完成。以上所述的本發(fā)明實施方式,并不構(gòu)成對本發(fā)明保護范圍的限定。任何在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進等,均應(yīng)包含在本發(fā)明的權(quán)利要求保護范圍之內(nèi)。
權(quán)利要求
1.一種數(shù)據(jù)分路傳輸方法,其特征在于,包括 源設(shè)備向安全網(wǎng)關(guān)請求因特網(wǎng)協(xié)議安全IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址; 所述源設(shè)備獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息; 所述源設(shè)備根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向所述安全網(wǎng)關(guān)傳輸,以使所述安全網(wǎng)關(guān)將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,當所述邏輯隧道為兩條時,所述源設(shè)備向安全網(wǎng)關(guān)請求IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址,包括 所述源設(shè)備通過第一交換信息向所述安全網(wǎng)關(guān)請求獲得第一條邏輯隧道的私網(wǎng)IP地址; 所述源設(shè)備通過第二交換信息向所述安全網(wǎng)關(guān)請求第二條邏輯隧道的私網(wǎng)IP地址。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述第一交換信息與所述第二交換信息中包含所請求私網(wǎng)IP地址的指定網(wǎng)段。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述各邏輯隧道的私網(wǎng)IP地址屬于不同網(wǎng)段。
5.一種數(shù)據(jù)分路傳輸方法,其特征在于,包括 安全網(wǎng)關(guān)接收源設(shè)備對IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址的請求;所述安全網(wǎng)關(guān)為所述IPsec隧道中至少兩條邏輯隧道分別分配私網(wǎng)IP地址,并向所述源設(shè)備反饋所述至少兩條邏輯隧道的私網(wǎng)IP地址; 所述安全網(wǎng)關(guān)接收所述源設(shè)備通過不同邏輯隧道發(fā)送的數(shù)據(jù)流; 所述安全網(wǎng)關(guān)根據(jù)所述至少兩條邏輯隧道的私網(wǎng)IP地址識別接收到的數(shù)據(jù)流,并根據(jù)至少兩條邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系信息將識別出的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,當所述邏輯隧道為兩條時,所述安全網(wǎng)關(guān)接收源設(shè)備對所述IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址的請求,包括 所述安全網(wǎng)關(guān)接收所述源設(shè)備發(fā)送的用以請求獲得第一條邏輯隧道的私網(wǎng)IP地址的第一交換信息; 所述安全網(wǎng)關(guān)接收所述源設(shè)備發(fā)送的用以請求獲得第二條邏輯隧道的私網(wǎng)IP地址的第二交換信息。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述第一交換信息與所述第二交換信息中包含所請求私網(wǎng)IP地址的指定網(wǎng)段。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述安全網(wǎng)關(guān)為所述IPsec隧道中至少兩條邏輯隧道分別分配私網(wǎng)IP地址,具體為 所述安全網(wǎng)關(guān)根據(jù)所述第一交換信息與所述第二交換信息中包含的所請求私網(wǎng)IP地址的指定網(wǎng)段,為所述IPsec隧道中的兩條邏輯隧道分別分配私網(wǎng)IP地址。
9.一種通信設(shè)備,其特征在于,包括 地址請求單元,用于向安全網(wǎng)關(guān)請求IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址;地址接收單元,用于獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息; 數(shù)據(jù)隔離單元,用于根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向安全網(wǎng)關(guān)傳輸,以使所述安全網(wǎng)關(guān)將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。
10.根據(jù)權(quán)利要求9所述的通信設(shè)備,其特征在于,所述地址請求單元包括 第一請求子單元,用于當所述邏輯隧道為兩條時,通過第一交換信息向所述安全網(wǎng)關(guān)請求獲得第一條邏輯隧道的私網(wǎng)IP地址; 第二請求子單元,用于當所述邏輯隧道為兩條時,通過第二交換信息向所述安全網(wǎng)關(guān)請求第二條邏輯隧道的私網(wǎng)IP地址。
11.一種安全網(wǎng)關(guān),其特征在于,包括 請求接收單元,用于接收源設(shè)備對IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址的請求; 地址分配單元,用于為所述IPsec隧道中至少兩條邏輯隧道分別分配私網(wǎng)IP地址,并向所述源設(shè)備反饋所述至少兩條邏輯隧道的私網(wǎng)IP地址; 數(shù)據(jù)接收單元,用于接收所述源設(shè)備通過不同邏輯隧道發(fā)送的數(shù)據(jù)流; 數(shù)據(jù)分流單元,用于根據(jù)所述至少兩條邏輯隧道的私網(wǎng)IP地址識別接收到的數(shù)據(jù)流,并根據(jù)至少兩條邏輯隧道的私網(wǎng)IP地址與各目的設(shè)備間的對應(yīng)關(guān)系信息將識別出的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。
12.根據(jù)權(quán)利要求11所述的安全網(wǎng)關(guān),其特征在于,所述請求接收單元包括 第一接收子單元,用于當所述邏輯隧道為兩條時,接收所述源設(shè)備發(fā)送的用以請求獲得第一條邏輯隧道的私網(wǎng)IP地址的第一交換信息; 第二接收子單元,用于當所述邏輯隧道為兩條時,接收所述源設(shè)備發(fā)送的用以請求獲得第二條邏輯隧道的私網(wǎng)IP地址的第二交換信息。
13.根據(jù)權(quán)利要求12所述的安全網(wǎng)關(guān),其特征在于,所述第一交換信息與所述第二交換信息中包含所請求私網(wǎng)IP地址的指定網(wǎng)段。
14.根據(jù)權(quán)利要求13所述的安全網(wǎng)關(guān),其特征在于, 所述地址分配單元,具體用于根據(jù)所述第一交換信息與所述第二交換信息中包含的所請求私網(wǎng)IP地址的指定網(wǎng)段,為所述IPsec隧道中的兩條邏輯隧道分別分配私網(wǎng)IP地址。
15.一種數(shù)據(jù)分路傳輸系統(tǒng),其特征在于,包括源設(shè)備、安全網(wǎng)關(guān)和至少兩個目的設(shè)備,其中, 所述源設(shè)備,用于向所述安全網(wǎng)關(guān)請求IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址;獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息;根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并向所述安全網(wǎng)關(guān)傳輸,以使所述安全網(wǎng)關(guān)將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。
全文摘要
一種端數(shù)據(jù)分路傳輸方法,包括源設(shè)備向安全網(wǎng)關(guān)請求因特網(wǎng)協(xié)議安全IPsec隧道中至少兩條邏輯隧道的私網(wǎng)IP地址;所述源設(shè)備獲得所述至少兩條邏輯隧道的私網(wǎng)IP地址及其與各目的設(shè)備間的對應(yīng)關(guān)系信息;所述源設(shè)備根據(jù)所述對應(yīng)關(guān)系信息,將發(fā)送至所述各目的設(shè)備的數(shù)據(jù)流映射到對應(yīng)的邏輯隧道中,并傳輸至安全網(wǎng)關(guān),以使所述安全網(wǎng)關(guān)將接收到的數(shù)據(jù)流發(fā)送至對應(yīng)的目的設(shè)備。該方法實現(xiàn)了數(shù)據(jù)端到端的分路安全傳輸。
文檔編號H04L29/06GK102742247SQ201180001855
公開日2012年10月17日 申請日期2011年9月19日 優(yōu)先權(quán)日2011年9月19日
發(fā)明者嚴衛(wèi)平, 席輝 申請人:華為技術(shù)有限公司