專(zhuān)利名稱(chēng):一種數(shù)據(jù)報(bào)文的傳輸方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種數(shù)據(jù)報(bào)文的傳輸方法和設(shè)備。
背景技術(shù):
互聯(lián)網(wǎng)協(xié)議安全(Internet Protocol Security, IPSec)是互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force, IETF)制定的一個(gè) IP 層安全框架協(xié)議。IPSec 為在未提供安全保護(hù)的網(wǎng)絡(luò)環(huán)境中傳輸?shù)拿舾袛?shù)據(jù)提供了保護(hù),保證了端對(duì)端通信數(shù)據(jù)的私有性、完整性、真實(shí)性和防重放攻擊。在端對(duì)端通信中,為了保證通信的安全性,在通信系統(tǒng)中每端都建有防火墻。IPSec是一種兩端的防火墻在建立隧道后,在隧道的保護(hù)下對(duì)端對(duì)端通信的報(bào)文進(jìn)行處理的技術(shù)。隧道是端對(duì)端通信時(shí),兩個(gè)防火墻根據(jù)互聯(lián)網(wǎng)密鑰交換協(xié)議(Internet KeyExchange,簡(jiǎn)稱(chēng)I KE)協(xié)商生成的。實(shí)際應(yīng)用中,防火墻中存儲(chǔ)有IPSec安全策略數(shù)據(jù)庫(kù)(SecurityPolicyDataBase,簡(jiǎn)稱(chēng)SPDB),IPSec安全策略數(shù)據(jù)庫(kù)中包括有多條IPSec安全策略,每條IPSec安全策略包括對(duì)應(yīng)的5元組信息。其中5元組信息中包括源IP地址、源端口、目的IP地址、目的端口、協(xié)議類(lèi)型。在端對(duì)端通信中,為了保證通信的安全性,防火墻對(duì)端對(duì)端通信的每個(gè)報(bào)文都要進(jìn)行IPSec安全策略的匹配,只有通過(guò)匹配的報(bào)文才會(huì)進(jìn)行加密或解密。多通道協(xié)議包括文件傳輸協(xié)議(FileTransfer Protocol, FTP)、信令控制協(xié)議(Session Initiation Protocol, SIP)。網(wǎng)絡(luò)設(shè)備(例如客戶端與服務(wù)器)利用多通道協(xié)議進(jìn)行端對(duì)端通信時(shí),源設(shè)備與目的設(shè)備間通信的控制報(bào)文中攜帶有數(shù)據(jù)通道信息,該數(shù)據(jù)通道信息中包括目的設(shè)備的IP地址和端口號(hào)。由于目的設(shè)備的端口號(hào)不確定,因此,控制報(bào)文每次攜帶的數(shù)據(jù)通道信息不確定?,F(xiàn)有技術(shù)中,防火墻為了保證源設(shè)備與目的設(shè)備進(jìn)行數(shù)據(jù)通信時(shí)的數(shù)據(jù)報(bào)文能夠加密,在配置IPSec安全策略時(shí),采用在SPDB中預(yù)先存儲(chǔ)控制報(bào)文可能攜帶的目的設(shè)備的端口號(hào)的范圍對(duì)應(yīng)的IPSec安全策略。這樣,在端對(duì)端通信時(shí),導(dǎo)致大量原本不需要進(jìn)行IPSec加密處理的數(shù)據(jù)報(bào)文也可能通過(guò)IPSec隧道被加密,而需要進(jìn)行IPSec加密的數(shù)據(jù)報(bào)文可能無(wú)法通過(guò)IPSec隧道進(jìn)行加密,無(wú)法保證IPSec安全策略的細(xì)粒度,浪費(fèi)了加密資源。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供一種數(shù)據(jù)報(bào)文的傳輸方法和設(shè)備,保證了 IPSec安全策略的細(xì)粒度,節(jié)省了加密資源。為達(dá)到上述目的,本發(fā)明的實(shí)施例采用如下技術(shù)方案第一方面,提供了一種數(shù)據(jù)報(bào)文的傳輸方法,包括獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文;通過(guò)解析所述控制報(bào)文獲得數(shù)據(jù)通道信息,所述數(shù)據(jù)通道信息為源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息;
根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào);根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec安全策略;根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。結(jié)合第一方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述目的設(shè)備的IP地址和端口號(hào)確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略包括根據(jù)預(yù)設(shè)的傳輸協(xié)議類(lèi)型、所述源設(shè)備的IP地址和端口號(hào)以及所述目的設(shè)備的IP地址和端口號(hào)確定所述源設(shè)備和所述目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略。結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式,在第一方面的第二種可能的實(shí)現(xiàn)方式中,所述通過(guò)解析所述控制報(bào)文獲得數(shù)據(jù)通道信息包括利用應(yīng)用協(xié)議報(bào)文檢測(cè)ASPF技術(shù)解析所述控制報(bào)文,獲得數(shù)據(jù)通道信息。結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式或第一方面的第二種可能的實(shí)現(xiàn)方式,在第一方面的第三種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文包括根據(jù)所述IPSec安全策略,生成第一 IPSec隧道;通過(guò)所述第一 IPSec隧道·傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。結(jié)合第一方面的第三種可能的實(shí)現(xiàn)方式,在第一方面的第四種可能的實(shí)現(xiàn)方式中,還包括在數(shù)據(jù)報(bào)文傳輸完成后,刪除所述IPSec安全策略和所述第一 IPSec隧道。結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式或第一方面的第二種可能的實(shí)現(xiàn)方式,在第一方面的第五種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文包括根據(jù)所述IPSec安全策略確定第二 IPSec隧道,所述第二 IPSec隧道為傳輸所述控制報(bào)文的IPSec隧道;通過(guò)所述第二 IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。結(jié)合第一方面的第五種可能的實(shí)現(xiàn)方式,在第一方面的第六種可能的實(shí)現(xiàn)方式中,還包括在數(shù)據(jù)報(bào)文傳輸完成后,刪除所述IPSec安全策略。第二方面,一種數(shù)據(jù)報(bào)文的傳輸設(shè)備,其特征在于,包括獲取單元,用于獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文;解析單元,用于通過(guò)解析所述控制報(bào)文獲得數(shù)據(jù)通道信息,所述數(shù)據(jù)通道信息為源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息;獲得單元,用于根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào);確定單元,用于根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略;傳輸單元,用于根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。結(jié)合第二方面,在第二方面的第一種可能的實(shí)現(xiàn)方式中,所述確定單元,具體用于根據(jù)預(yù)設(shè)的傳輸協(xié)議類(lèi)型、所述源設(shè)備的IP地址和端口號(hào)以及所述目的設(shè)備的IP地址和端口號(hào)確定所述源設(shè)備和所述目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略。結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式,在第二方面的第二種可能的實(shí)現(xiàn)方式中,所述解析單元,具體用于利用ASPF技術(shù)解析所述控制報(bào)文,獲得數(shù)據(jù)通道信
肩、O結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式或第二方面的第二種可能的實(shí)現(xiàn)方式,在第二方面的第三種可能的實(shí)現(xiàn)方式中,所述傳輸單元,具體用于根據(jù)所述IPSec安全策略建立第一 IPSec隧道,并通過(guò)所述第一 IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式或第二方面的第二種可能的實(shí)現(xiàn)方式,在第二方面的第四種可能的實(shí)現(xiàn)方式中,所述傳輸單元,具體用于根據(jù)所述IPSec安全策略確定第二 IPSec隧道,所述第二 IPSec隧道為傳輸所述控制報(bào)文的IPSec隧道,并通過(guò)所述第二 IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。結(jié)合第二方面的第三種可能的實(shí)現(xiàn)方式或第二方面的第四種可能的實(shí)現(xiàn)方式,在第二方面的第五種可能的實(shí)現(xiàn)方式中,還包括刪除單元,用于在數(shù)據(jù)報(bào)文傳輸完成后,刪除所述IPSec安全策略。第三方面,提供了一種通信系統(tǒng),包括源設(shè)備、目的設(shè)備以及如權(quán)利要求8-13任一項(xiàng)所述的傳輸設(shè)備,其中,所述源設(shè)備與所述目的設(shè)備通過(guò)所述數(shù)據(jù)報(bào)文的傳輸設(shè)備建立的IPSec隧道傳輸數(shù)據(jù)報(bào)文。本發(fā)明實(shí)施例提供的一種數(shù)據(jù)報(bào)文的傳輸方法和設(shè)備,獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文,通過(guò) 解析所述控制報(bào)文,獲得數(shù)據(jù)通道信息,所述數(shù)據(jù)通道信息為源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息,根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào),根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec安全策略,并根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。從而能夠根據(jù)在源設(shè)備與目的設(shè)備通信過(guò)程中的數(shù)據(jù)報(bào)文的傳輸需求動(dòng)態(tài)的確定源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略,而無(wú)需在初始配置IPSec安全策略時(shí),通過(guò)在SPDB中預(yù)先存儲(chǔ)的控制報(bào)文可能攜帶的所有目的設(shè)備的端口號(hào)的范圍對(duì)應(yīng)的IPSec安全策略建立的IPSec隧道來(lái)傳輸數(shù)據(jù)報(bào)文。保證了源設(shè)備與目的設(shè)備進(jìn)行數(shù)據(jù)通信時(shí),數(shù)據(jù)通道IPSec安全策略的細(xì)粒度,節(jié)省了加密資源。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實(shí)施例提供的一種數(shù)據(jù)報(bào)文的傳輸方法的應(yīng)用場(chǎng)景圖;圖2為本發(fā)明實(shí)施例提供的一種數(shù)據(jù)報(bào)文的傳輸方法的流程示意圖;圖3為本發(fā)明實(shí)施例提供的另一種數(shù)據(jù)報(bào)文的傳輸方法的流程示意圖4為本發(fā)明實(shí)施例提供的一種控制通道和數(shù)據(jù)通道的IPSec安全策略與IPSec隧道的對(duì)應(yīng)關(guān)系的示意圖;圖5為本發(fā)明實(shí)施例提供的另一種控制通道和數(shù)據(jù)通道的IPSec安全策略與IPSec險(xiǎn)道的對(duì)應(yīng)關(guān)系的不意圖;圖6為本發(fā)明實(shí)施例提供的一種數(shù)據(jù)報(bào)文傳輸方法的信令圖;圖7為本發(fā)明實(shí)施例提供的一種數(shù)據(jù)報(bào)文的傳輸設(shè)備的結(jié)構(gòu)示意圖;圖8為本發(fā)明實(shí)施例提供的另一種數(shù)據(jù)報(bào)文的傳輸設(shè)備的結(jié)構(gòu)示意圖;圖9為本發(fā)明實(shí)施例提供的又一種數(shù)據(jù)報(bào)文的傳輸設(shè)備的結(jié)構(gòu)示意圖;圖10為本發(fā)明實(shí)施例提供的另一種通信系統(tǒng)示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。實(shí)施例一、如圖1所示,為本發(fā)明實(shí)施例提供的一種數(shù)據(jù)報(bào)文的傳輸方法的應(yīng)用場(chǎng)景圖,其中,該通信系統(tǒng)包括客戶端A、服務(wù)器C、防火墻BI以及防火墻B 2。所述防火墻BI可以是獨(dú)立的設(shè)備,也可以與所述客戶端 A為同一設(shè)備。所述防火墻B2可以是獨(dú)立的設(shè)備,也可以與所述服務(wù)器C為同一設(shè)備。其中,客戶端A與服務(wù)器C利用多通道協(xié)議進(jìn)行通信,在防火墻BI和防火墻B2之間建立有IPSec隧道,用于傳輸客戶端A與服務(wù)器C之間的控制報(bào)文以及數(shù)據(jù)報(bào)文,以保障客戶端A與服務(wù)器C之間的數(shù)據(jù)安全。本發(fā)明實(shí)施例提供一種數(shù)據(jù)報(bào)文的傳輸方法,如圖2所示,該方法可以由圖1中的防火墻BI或防火墻B2來(lái)執(zhí)行,該方法包括201、獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文。示例性的,以源設(shè)備端的防火墻為該方法的執(zhí)行主體來(lái)進(jìn)行描述。當(dāng)?shù)谝辉O(shè)備與第二設(shè)備進(jìn)行通信時(shí),第一設(shè)備與第二設(shè)備之間通信的報(bào)文都要經(jīng)過(guò)該源設(shè)備端的防火墻進(jìn)行處理。因此,該源設(shè)備端的防火墻可以獲取所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文。202、通過(guò)解析所述控制報(bào)文獲得數(shù)據(jù)通道信息,所述數(shù)據(jù)通道信息為源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息。當(dāng)所述第一設(shè)備與所述第二設(shè)備進(jìn)行通信時(shí),所述源設(shè)備端的防火墻可以獲取所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文。在獲取所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文后,所述源設(shè)備端的防火墻對(duì)所述控制報(bào)文進(jìn)行解析。當(dāng)所述第一設(shè)備與第二設(shè)備通過(guò)之間的控制報(bào)文協(xié)商并確定源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息時(shí),所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文中攜帶有數(shù)據(jù)通道信息。此時(shí),所述源設(shè)備端的防火墻解析所述控制報(bào)文,可以獲得源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息。其中,所述源設(shè)備可以包括客戶端或服務(wù)器,所述目的設(shè)備也可以包括客戶端或服務(wù)器,所述目的設(shè)備可以為第二設(shè)備也可以為第三方設(shè)備。203、根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào)。
所述數(shù)據(jù)通道信息中包括目的設(shè)備的IP地址和端口號(hào)。所述源設(shè)備端的防火墻獲取所述數(shù)據(jù)通道信息后,可以獲得所述目的設(shè)備的IP地址和端口號(hào)。204、根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略。根據(jù)所述目的設(shè)備的IP地址和端口號(hào)可以確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略。一條IPSEC安全策略包括一組五元組信息,所述五元組信息中包括源IP地址、源設(shè)備端口號(hào)、目的IP地址、目的端口號(hào)和協(xié)議號(hào)。由于源設(shè)備和目的設(shè)備之間進(jìn)行數(shù)據(jù)通信時(shí),所述源設(shè)備的端口號(hào)是源設(shè)備在發(fā)送數(shù)據(jù)報(bào)文的時(shí)候才確定的,因此,在確定IPSec安全策略時(shí),所述源設(shè)備的端口號(hào)可以是不確定的。只有目的設(shè)備的IP地址和端口號(hào)是確定的,源設(shè)備的數(shù)據(jù)報(bào)文才能夠發(fā)送至目的設(shè)備,因此,所述IPSec安全策略中的目的IP地址和目的端口號(hào)必須是確定的。因此,實(shí)際應(yīng)用中,當(dāng)獲得所述目的設(shè)備的IP地址和端口號(hào)后,所述源設(shè)備端的防火墻可以根據(jù)源設(shè)備的IP地址發(fā)送數(shù)據(jù)報(bào)文的端口號(hào)以及預(yù)設(shè)的協(xié)議類(lèi)型確定五元組信息,并根據(jù)確定的五元組信息生成IPSec安全策略。205、根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。由于一條IPSec安全策略要對(duì)應(yīng)一條IPSec隧道,因此,在確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略,并存儲(chǔ)所述IPSec安全策略至SPDB后,需要根據(jù)所述IPSec安全策略確定IPSec隧道。IPSec隧道用于保護(hù)兩個(gè)IP地址或兩個(gè)IP子網(wǎng)之間的通信。在所述源設(shè)備向所述目的設(shè)備發(fā)送數(shù)據(jù)報(bào)文時(shí),所述IPSec隧道用于傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。
本發(fā)明實(shí)施例提供的一種數(shù)據(jù)報(bào)文的傳輸方法通過(guò)獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文,通過(guò)解析所述控制報(bào)文獲得數(shù)據(jù)通道信息,根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào),根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的安全I(xiàn)PSec安全策略,根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。從而能夠根據(jù)在源設(shè)備與目的設(shè)備通信過(guò)程中的數(shù)據(jù)報(bào)文的傳輸需求動(dòng)態(tài)的確定源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略,而無(wú)需在初始配置IPSec安全策略時(shí),通過(guò)在SPDB中預(yù)先存儲(chǔ)的控制報(bào)文可能攜帶的所有目的設(shè)備的端口號(hào)的范圍對(duì)應(yīng)的IPSec安全策略建立的IPSec隧道來(lái)傳輸數(shù)據(jù)報(bào)文。保證了源設(shè)備與目的設(shè)備進(jìn)行數(shù)據(jù)通信時(shí),數(shù)據(jù)通道IPSec安全策略的細(xì)粒度,節(jié)省了加密資源。實(shí)施例二、本發(fā)明實(shí)施例提供一種數(shù)據(jù)報(bào)文的傳輸方法,如圖3所示,包括301、獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文。示例性的,以源設(shè)備端的防火墻為該方法的執(zhí)行主體來(lái)進(jìn)行描述。當(dāng)?shù)谝辉O(shè)備與第二設(shè)備進(jìn)行通信時(shí),第一設(shè)備與第二設(shè)備之間通信的報(bào)文都要經(jīng)過(guò)該源設(shè)備端的防火墻進(jìn)行處理。因此,該源設(shè)備端的防火墻可以獲取所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文。本發(fā)明實(shí)施例以第一設(shè)備為客戶端,第二設(shè)備為服務(wù)器為例描述。在端對(duì)端進(jìn)行數(shù)據(jù)通信時(shí),客戶端首先需要與服務(wù)器建立連接。在客戶端與服務(wù)器建立連接時(shí),客戶端可以主動(dòng)向服務(wù)器發(fā)出請(qǐng)求消息,請(qǐng)求服務(wù)器允許所述客戶端向服務(wù)器或另一客戶端發(fā)送數(shù)據(jù)報(bào)文,或請(qǐng)求服務(wù)器允許服務(wù)器向所述客戶端發(fā)送數(shù)據(jù)報(bào)文。之后,客戶端與服務(wù)器之間通過(guò)在控制通道發(fā)送報(bào)文,協(xié)商是否建立連接以及是否確定源設(shè)備與目的設(shè)備的數(shù)據(jù)通道信息。在所述客戶端與服務(wù)器建立連接的過(guò)程中,或建立連接后,所述客戶端與所述服務(wù)器通過(guò)兩者之間的控制報(bào)文協(xié)商源設(shè)備與目的設(shè)備進(jìn)行數(shù)據(jù)通信的數(shù)據(jù)通道信息。所述客戶端與服務(wù)器之間的每個(gè)控制報(bào)文都經(jīng)過(guò)部署于源設(shè)備端的防火墻,因此,所述源設(shè)備端的防火墻能夠獲得所述客戶端與服務(wù)器之間通信的每個(gè)控制報(bào)文。302、利用應(yīng)用協(xié)議報(bào)文檢測(cè)ASPF技術(shù)解析所述控制報(bào)文,獲得數(shù)據(jù)通道信息。當(dāng)所述第一設(shè)備與所述第二設(shè)備進(jìn)行通信時(shí),所述源設(shè)備端的防火墻可以獲取所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文。在獲取所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文后,所述源設(shè)備端的防火墻可以利用應(yīng)用報(bào)文深度檢測(cè)(Application Specific PacketFilter,簡(jiǎn)稱(chēng)ASPF)技術(shù)對(duì)所述控制報(bào)文進(jìn)行解析。當(dāng)所述第一設(shè)備與第二設(shè)備通過(guò)之間的控制報(bào)文協(xié)商并確定源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息時(shí),所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文中攜帶有數(shù)據(jù)通道信息。此時(shí),所述源設(shè)備端的防火墻解析所述控制報(bào)文,可以獲得源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息。303、根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào)。所述數(shù)據(jù)通道信息中包括目的設(shè)備的IP地址和/或端口號(hào)。所述源設(shè)備端的防火墻獲取所述數(shù)據(jù)通道信息后,可以獲得所述目的設(shè)備的IP地址和端口號(hào)。舉例來(lái)說(shuō),當(dāng)客戶端向服務(wù)器發(fā)送請(qǐng)求消息時(shí),所述數(shù)據(jù)通道信息與所述客戶端的請(qǐng)求消息指示的請(qǐng)求內(nèi)容有關(guān)。當(dāng)所述客戶端請(qǐng)求服務(wù)器允許所述客戶端向所述服務(wù)器發(fā)送數(shù)據(jù)報(bào)文時(shí),所述數(shù)據(jù)通道信息為所述服務(wù)器分配的所述服務(wù)器的IP地址和端口號(hào)。當(dāng)所述客戶端請(qǐng)求服務(wù)器允許所述客戶端向另一客戶端發(fā)送數(shù)據(jù)報(bào)文時(shí),所述數(shù)據(jù)通道信息為所述服務(wù)器獲得的另一客戶端`的IP地址和端口號(hào)。當(dāng)所述客戶端請(qǐng)求所述服務(wù)器允許所述服務(wù)器向所述客戶端發(fā)送數(shù)據(jù)報(bào)文時(shí),所述數(shù)據(jù)通道信息為所述客戶端分配的所述客戶端的IP地址和端口號(hào)。其中,所述源設(shè)備可以包括客戶端或服務(wù)器,所述目的設(shè)備也可以包括客戶端或服務(wù)器,所述目的設(shè)備可以為第二設(shè)備也可以為第三方設(shè)備。304、根據(jù)預(yù)設(shè)的傳輸協(xié)議類(lèi)型、所述源設(shè)備的IP地址和端口號(hào)以及所述目的設(shè)備的IP地址和端口號(hào)確定所述源設(shè)備和所述目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略。通常一條IPSec安全策略由五元組信息來(lái)確定。所述五元組信息中包括源IP地址、源設(shè)備端口號(hào)、目的IP地址、目的端口號(hào)和協(xié)議號(hào)。由于源設(shè)備和目的設(shè)備之間進(jìn)行數(shù)據(jù)通信時(shí),所述源設(shè)備的端口號(hào)是源設(shè)備在發(fā)送數(shù)據(jù)報(bào)文的時(shí)候才確定的,因此,在確定IPSec安全策略時(shí),所述源設(shè)備的端口號(hào)可以是不確定的。只有目的設(shè)備的IP地址和端口號(hào)是確定的,源設(shè)備的數(shù)據(jù)報(bào)文才能夠發(fā)送至目的設(shè)備,因此,所述IPSec安全策略中的目的IP地址和目的端口號(hào)必須是確定的。因此,實(shí)際應(yīng)用中,當(dāng)獲得所述目的設(shè)備的IP地址和端口號(hào)后,所述源設(shè)備端的防火墻可以根據(jù)源設(shè)備的IP地址發(fā)送數(shù)據(jù)報(bào)文的端口號(hào)以及預(yù)設(shè)的協(xié)議類(lèi)型確定五元組信息,并根據(jù)確定的五元組信息生成IPSec安全策略。
在源設(shè)備與目的設(shè)備之間進(jìn)行數(shù)據(jù)通信時(shí),源設(shè)備端的防火墻和目的設(shè)備防火墻都需要確定IPSec安全策略。由于源設(shè)備端的防火墻和目的設(shè)備防火墻是兩個(gè)對(duì)等體。因此,所述源設(shè)備端的防火墻確定的IPSec安全策略中的五元組中目的IP地址為目的設(shè)備的I P地址,目的端口號(hào)為目的設(shè)備的端口號(hào),源IP地址為源設(shè)備的IP地址,源設(shè)備端口號(hào)為源設(shè)備的端口號(hào)。所述目的防火墻確定的IPSec安全策略中的五元組中源IP地址為目的設(shè)備的IP地址,源設(shè)備端口號(hào)為目的設(shè)備的端口號(hào),目的IP地址為源設(shè)備的IP地址,目的端口號(hào)為目的設(shè)備的端口號(hào)。所述源設(shè)備端的防火墻根據(jù)所述第一設(shè)備與第二設(shè)備之間的控制報(bào)文,也可以獲得所述源設(shè)備與目的設(shè)備進(jìn)行數(shù)據(jù)通信時(shí)使用的協(xié)議類(lèi)型。所述協(xié)議類(lèi)型具體可以是傳輸控制協(xié)議(Transmission ControlProtocol,TCP)、用戶數(shù)據(jù)包協(xié)議(User Datagram Protocol, UDP)等。舉例來(lái)說(shuō),如表I所述的IPSec安全策略表,其中,SPl表示一條IPSec安全策略的名稱(chēng),源IP地址為192. 168. O. 1/32,源設(shè)備端口號(hào)為“any”,表示源設(shè)備端口號(hào)為任一端口號(hào),目的IP地址為19. 49. 10. 10/32,目的端口號(hào)為22787,協(xié)議類(lèi)型為傳輸控制協(xié)議(Transmission Control Protocol,簡(jiǎn)稱(chēng) TCP)。表I
權(quán)利要求
1.一種數(shù)據(jù)報(bào)文的傳輸方法,其特征在于,包括 獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文; 通過(guò)解析所述控制報(bào)文獲得數(shù)據(jù)通道信息,所述數(shù)據(jù)通道信息為源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息; 根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào); 根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec安全策略; 根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略包括 根據(jù)預(yù)設(shè)的傳輸協(xié)議類(lèi)型、所述源設(shè)備的IP地址和端口號(hào)以及所述目的設(shè)備的IP地址和端口號(hào)確定所述源設(shè)備和所述目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述通過(guò)解析所述控制報(bào)文獲得數(shù)據(jù)通道信息包括 利用應(yīng)用協(xié)議報(bào)文檢測(cè)ASPF技術(shù)解析所述控制報(bào)文,獲得數(shù)據(jù)通道信息。
4.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法,其特征在于,所述根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文包括 根據(jù)所述IPSec安全策略,生成第一 IPSec隧道; 通過(guò)所述第一 IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,還包括 在數(shù)據(jù)報(bào)文傳輸完成后,刪除所述IPSec安全策略和所述第一 IPSec隧道。
6.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法,其特征在于,所述根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文包括 根據(jù)所述IPSec安全策略確定第二 IPSec隧道,所述第二 IPSec隧道為傳輸所述控制報(bào)文的IPSec隧道; 通過(guò)所述第二 IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,還包括 在數(shù)據(jù)報(bào)文傳輸完成后,刪除所述IPSec安全策略。
8.一種數(shù)據(jù)報(bào)文的傳輸設(shè)備,其特征在于,包括 獲取單元,用于獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文; 解析單元,用于通過(guò)解析所述控制報(bào)文獲得數(shù)據(jù)通道信息,所述數(shù)據(jù)通道信息為源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道信息; 獲得單元,用于根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào); 確定單元,用于根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略; 傳輸單元,用于根據(jù)所述IPSec安全策略建立的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。
9.根據(jù)權(quán)利要求8所述的傳輸設(shè)備,其特征在于,所述確定單元,具體用于根據(jù)預(yù)設(shè)的傳輸協(xié)議類(lèi)型、所述源設(shè)備的IP地址和端口號(hào)以及所述目的設(shè)備的IP地址和端口號(hào)確定所述源設(shè)備和所述目的設(shè)備之間的數(shù)據(jù)通道的IPSec安全策略。
10.根據(jù)權(quán)利要求8或9所述的傳輸設(shè)備,其特征在于, 所述解析單元,具體用于利用ASPF技術(shù)解析所述控制報(bào)文,獲得數(shù)據(jù)通道信息。
11.根據(jù)權(quán)利要求8-10任一項(xiàng)所述的傳輸設(shè)備,其特征在于, 所述傳輸單元,具體用于根據(jù)所述IPSec安全策略建立第一 IPSec隧道,并通過(guò)所述第一 IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。
12.根據(jù)權(quán)利要求8-10任一項(xiàng)所述的傳輸設(shè)備,其特征在于, 所述傳輸單元,具體用于根據(jù)所述IPSec安全策略確定第二 IPSec隧道,所述第二IPSec隧道為傳輸所述控制報(bào)文的IPSec隧道,并通過(guò)所述第二 IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。
13.根據(jù)權(quán)利要求11或12所述的傳輸設(shè)備,其特征在于,還包括 刪除單元,用于在數(shù)據(jù)報(bào)文傳輸完成后,刪除所述IPSec安全策略。
14.一種通信系統(tǒng),其特征在于,包括源設(shè)備、目的設(shè)備以及如權(quán)利要求8-13任意一項(xiàng)所述的數(shù)據(jù)報(bào)文的傳輸設(shè)備,其中,所述源設(shè)備與所述目的設(shè)備通過(guò)所述數(shù)據(jù)報(bào)文的傳輸設(shè)備建立的IPSec隧道傳輸數(shù)據(jù)報(bào)文。
全文摘要
本發(fā)明公開(kāi)了一種數(shù)據(jù)報(bào)文的傳輸方法和設(shè)備,涉及通信領(lǐng)域,能夠保證IPSec安全策略的細(xì)粒度,節(jié)省加密資源。該方法包括獲取第一設(shè)備與第二設(shè)備之間的控制報(bào)文;通過(guò)解析所述控制報(bào)文,獲得數(shù)據(jù)通道信息;根據(jù)所述數(shù)據(jù)通道信息獲得所述目的設(shè)備的IP地址和端口號(hào);根據(jù)所述目的設(shè)備的IP地址和端口號(hào),確定所述源設(shè)備與目的設(shè)備之間的數(shù)據(jù)通道的互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec安全策略;根據(jù)所述IPSec安全策略確定的IPSec隧道傳輸所述源設(shè)備與所述目的設(shè)備之間的數(shù)據(jù)報(bào)文。
文檔編號(hào)H04L29/06GK103051636SQ20121059174
公開(kāi)日2013年4月17日 申請(qǐng)日期2012年12月31日 優(yōu)先權(quán)日2012年12月31日
發(fā)明者黃國(guó)淋 申請(qǐng)人:華為技術(shù)有限公司