[发明专利]一种数据流信息确定方法和装置

权利要求书

1.一种数据流信息确定方法，其特征在于，所述方法包括：

第一网络设备接收第二网络设备发送的协商报文，所述协商报文携带第一数据流信息和所述第二网络设备所支持的互联网安全性协议IPsec封装模式，所述第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址；

所述第一网络设备根据所述第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商；

若协商结果为采用传输模式，则所述第一网络设备根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息；其中，根据所述协商报文的报文头确定出的第二数据流信息的源地址为该报文头的目的地址、目的地址为该报文头的源地址；

若协商结果为采用隧道模式，则所述第一网络设备根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息；其中，根据第一数据流信息确定出的第二数据流信息的源地址为该第一数据流信息中的目的地址、目的地址为该第一数据流信息中的源地址。

2.如权利要求1所述的方法，其特征在于，

所述第一网络设备作为响应方时，所述协商报文具体为：所述第二网络设备主动向所述第一网络设备发送的互联网密钥交换IKE协商报文；

所述第一网络设备作为发起方时，所述协商报文具体为：所述第二网络设备在接收到所述第一网络设备发送的IKE协商报文后针对所述第一网络设备发送的IKE协商报文反馈的IKE协商响应报文。

3.权利要求2所述的方法，其特征在于，

若所述第一网络设备作为响应方，所述第二网络设备所支持的IPsec封装模式包括：传输模式和/或隧道模式；

若所述第一网络设备作为发起方，所述第二网络设备所支持的IPsec封装模式包括：传输模式或隧道模式。

4.如权利要求1所述的方法，其特征在于，所述第一网络设备根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息，具体包括：

所述第一网络设备提取所述协商报文的报文头中的源地址和目的地址，将所述报文头中的源地址确定为所述第二数据流信息中的目的地址，将所述报文头中的目的地址确定为所述第二数据流信息中的源地址；

其中，所述报文头中的源地址为所述第二网络设备的经过网络地址转换NAT转换后的公网地址，所述报文头中的目的地址为所述第一网络设备的私网地址。

5.如权利要求1所述的方法，其特征在于，所述第一网络设备根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息，具体包括：

所述第一网络设备提取所述第一数据流信息中的源地址和目的地址，将所述第一数据流信息中的源地址确定为所述第二数据流信息中的目的地址，将所述第一数据流信息中的目的地址确定为所述第二数据流信息中的源地址；

其中，所述第一数据流信息中的源地址为所述第二网络设备的私网地址，所述第一数据流中的目的地址为所述第一网络设备的私网地址。

6.一种数据流信息确定装置，其特征在于，所述装置应用于第一网络设备，所述装置包括：

接收模块，用于接收第二网络设备发送的协商报文，所述协商报文携带第一数据流信息和所述第二网络设备所支持的互联网安全性协议IPsec封装模式，所述第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址；

协商模块，用于根据所述第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商；

第一确定模块，用于当协商结果为采用传输模式时，根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息；其中，根据所述协商报文的报文头确定出的第二数据流信息的源地址为该报文头的目的地址、目的地址为该报文头的源地址；

第二确定模块，用于当协商结果为采用隧道模式时，根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息；其中，根据第一数据流信息确定出的第二数据流信息的源地址为该第一数据流信息中的目的地址、目的地址为该第一数据流信息中的源地址。