[发明专利]一种数据报文的传输方法和设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种数据报文的传输方法和设备。

背景技术

互联网协议安全(Internet Protocol Security，IPSec)是互联网工程任务组(Internet Engineering Task Force，IETF)制定的一个IP层安全框架协议。IPSec为在未提供安全保护的网络环境中传输的敏感数据提供了保护，保证了端对端通信数据的私有性、完整性、真实性和防重放攻击。

在端对端通信中，为了保证通信的安全性，在通信系统中每端都建有防火墙。IPSec是一种两端的防火墙在建立隧道后，在隧道的保护下对端对端通信的报文进行处理的技术。隧道是端对端通信时，两个防火墙根据互联网密钥交换协议(Internet Key Exchange，简称I KE)协商生成的。

实际应用中，防火墙中存储有IPSec安全策略数据库(SecurityPolicy DataBase，简称SPDB)，IPSec安全策略数据库中包括有多条IPSec安全策略，每条IPSec安全策略包括对应的5元组信息。其中5元组信息中包括：源IP地址、源端口、目的IP地址、目的端口、协议类型。在端对端通信中，为了保证通信的安全性，防火墙对端对端通信的每个报文都要进行IPSec安全策略的匹配，只有通过匹配的报文才会进行加密或解密。

多通道协议包括文件传输协议(FileTransfer Protocol，FTP)、信令控制协议(Session Initiation Protocol，SIP)。网络设备(例如客户端与服务器)利用多通道协议进行端对端通信时，源设备与目的设备间通信的控制报文中携带有数据通道信息，该数据通道信息中包括目的设备的IP地址和端口号。由于目的设备的端口号不确定，因此，控制报文每次携带的数据通道信息不确定。现有技术中，防火墙为了保证源设备与目的设备进行数据通信时的数据报文能够加密，在配置IPSec安全策略时，采用在SPDB中预先存储控制报文可能携带的目的设备的端口号的范围对应的IPSec安全策略。这样，在端对端通信时，导致大量原本不需要进行IPSec加密处理的数据报文也可能通过IPSec隧道被加密，而需要进行IPSec加密的数据报文可能无法通过IPSec隧道进行加密，无法保证IPSec安全策略的细粒度，浪费了加密资源。

发明内容

本发明的实施例提供一种数据报文的传输方法和设备，保证了IPSec安全策略的细粒度，节省了加密资源。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供了一种数据报文的传输方法，包括：

获取第一设备与第二设备之间的控制报文；

通过解析所述控制报文获得数据通道信息，所述数据通道信息为源设备与目的设备之间的数据通道信息；

根据所述数据通道信息获得所述目的设备的IP地址和端口号；

根据所述目的设备的IP地址和端口号，确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略；

根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。

结合第一方面，在第一方面的第一种可能的实现方式中，所述根据所述目的设备的IP地址和端口号确定所述源设备与目的设备之间的数据通道的IPSec安全策略包括：

根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。

结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述通过解析所述控制报文获得数据通道信息包括：

利用应用协议报文检测ASPF技术解析所述控制报文，获得数据通道信息。

结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文包括：

根据所述IPSec安全策略，生成第一IPSec隧道；

通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。

结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，还包括：

在数据报文传输完成后，删除所述IPSec安全策略和所述第一IPSec隧道。