CN103051636A - 一种数据报文的传输方法和设备 - Google Patents
一种数据报文的传输方法和设备 Download PDFInfo
- Publication number
- CN103051636A CN103051636A CN2012105917412A CN201210591741A CN103051636A CN 103051636 A CN103051636 A CN 103051636A CN 2012105917412 A CN2012105917412 A CN 2012105917412A CN 201210591741 A CN201210591741 A CN 201210591741A CN 103051636 A CN103051636 A CN 103051636A
- Authority
- CN
- China
- Prior art keywords
- destination device
- ipsec
- source device
- security strategy
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据报文的传输方法和设备,涉及通信领域,能够保证IPSec安全策略的细粒度,节省加密资源。该方法包括:获取第一设备与第二设备之间的控制报文;通过解析所述控制报文,获得数据通道信息;根据所述数据通道信息获得所述目的设备的IP地址和端口号;根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略;根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
Description
技术领域
本发明涉及通信领域,尤其涉及一种数据报文的传输方法和设备。
背景技术
互联网协议安全(Internet Protocol Security,IPSec)是互联网工程任务组(Internet Engineering Task Force,IETF)制定的一个IP层安全框架协议。IPSec为在未提供安全保护的网络环境中传输的敏感数据提供了保护,保证了端对端通信数据的私有性、完整性、真实性和防重放攻击。
在端对端通信中,为了保证通信的安全性,在通信系统中每端都建有防火墙。IPSec是一种两端的防火墙在建立隧道后,在隧道的保护下对端对端通信的报文进行处理的技术。隧道是端对端通信时,两个防火墙根据互联网密钥交换协议(Internet Key Exchange,简称I KE)协商生成的。
实际应用中,防火墙中存储有IPSec安全策略数据库(SecurityPolicy DataBase,简称SPDB),IPSec安全策略数据库中包括有多条IPSec安全策略,每条IPSec安全策略包括对应的5元组信息。其中5元组信息中包括:源IP地址、源端口、目的IP地址、目的端口、协议类型。在端对端通信中,为了保证通信的安全性,防火墙对端对端通信的每个报文都要进行IPSec安全策略的匹配,只有通过匹配的报文才会进行加密或解密。
多通道协议包括文件传输协议(FileTransfer Protocol,FTP)、信令控制协议(Session Initiation Protocol,SIP)。网络设备(例如客户端与服务器)利用多通道协议进行端对端通信时,源设备与目的设备间通信的控制报文中携带有数据通道信息,该数据通道信息中包括目的设备的IP地址和端口号。由于目的设备的端口号不确定,因此,控制报文每次携带的数据通道信息不确定。现有技术中,防火墙为了保证源设备与目的设备进行数据通信时的数据报文能够加密,在配置IPSec安全策略时,采用在SPDB中预先存储控制报文可能携带的目的设备的端口号的范围对应的IPSec安全策略。这样,在端对端通信时,导致大量原本不需要进行IPSec加密处理的数据报文也可能通过IPSec隧道被加密,而需要进行IPSec加密的数据报文可能无法通过IPSec隧道进行加密,无法保证IPSec安全策略的细粒度,浪费了加密资源。
发明内容
本发明的实施例提供一种数据报文的传输方法和设备,保证了IPSec安全策略的细粒度,节省了加密资源。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供了一种数据报文的传输方法,包括:
获取第一设备与第二设备之间的控制报文;
通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息;
根据所述数据通道信息获得所述目的设备的IP地址和端口号;
根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略;
根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
结合第一方面,在第一方面的第一种可能的实现方式中,所述根据所述目的设备的IP地址和端口号确定所述源设备与目的设备之间的数据通道的IPSec安全策略包括:
根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述通过解析所述控制报文获得数据通道信息包括:
利用应用协议报文检测ASPF技术解析所述控制报文,获得数据通道信息。
结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文包括:
根据所述IPSec安全策略,生成第一IPSec隧道;
通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,还包括:
在数据报文传输完成后,删除所述IPSec安全策略和所述第一IPSec隧道。
结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第五种可能的实现方式中,所述根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文包括:
根据所述IPSec安全策略确定第二IPSec隧道,所述第二IPSec隧道为传输所述控制报文的IPSec隧道;
通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
结合第一方面的第五种可能的实现方式,在第一方面的第六种可能的实现方式中,还包括:
在数据报文传输完成后,删除所述IPSec安全策略。
第二方面,一种数据报文的传输设备,其特征在于,包括:
获取单元,用于获取第一设备与第二设备之间的控制报文;
解析单元,用于通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息;
获得单元,用于根据所述数据通道信息获得所述目的设备的IP地址和端口号;
确定单元,用于根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略;
传输单元,用于根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
结合第二方面,在第二方面的第一种可能的实现方式中,所述确定单元,具体用于根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述解析单元,具体用于利用ASPF技术解析所述控制报文,获得数据通道信息。
结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述传输单元,具体用于根据所述IPSec安全策略建立第一IPSec隧道,并通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第四种可能的实现方式中,所述传输单元,具体用于根据所述IPSec安全策略确定第二IPSec隧道,所述第二IPSec隧道为传输所述控制报文的IPSec隧道,并通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
结合第二方面的第三种可能的实现方式或第二方面的第四种可能的实现方式,在第二方面的第五种可能的实现方式中,还包括:
删除单元,用于在数据报文传输完成后,删除所述IPSec安全策略。
第三方面,提供了一种通信系统,包括源设备、目的设备以及如权利要求8-13任一项所述的传输设备,其中,所述源设备与所述目的设备通过所述数据报文的传输设备建立的IPSec隧道传输数据报文。
本发明实施例提供的一种数据报文的传输方法和设备,获取第一设备与第二设备之间的控制报文,通过解析所述控制报文,获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息,根据所述数据通道信息获得所述目的设备的IP地址和端口号,根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略,并根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。从而能够根据在源设备与目的设备通信过程中的数据报文的传输需求动态的确定源设备与目的设备之间的数据通道的IPSec安全策略,而无需在初始配置IPSec安全策略时,通过在SPDB中预先存储的控制报文可能携带的所有目的设备的端口号的范围对应的IPSec安全策略建立的IPSec隧道来传输数据报文。保证了源设备与目的设备进行数据通信时,数据通道IPSec安全策略的细粒度,节省了加密资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种数据报文的传输方法的应用场景图;
图2为本发明实施例提供的一种数据报文的传输方法的流程示意图;
图3为本发明实施例提供的另一种数据报文的传输方法的流程示意图;
图4为本发明实施例提供的一种控制通道和数据通道的IPSec安全策略与IPSec隧道的对应关系的示意图;
图5为本发明实施例提供的另一种控制通道和数据通道的IPSec安全策略与IPSec隧道的对应关系的示意图;
图6为本发明实施例提供的一种数据报文传输方法的信令图;
图7为本发明实施例提供的一种数据报文的传输设备的结构示意图;
图8为本发明实施例提供的另一种数据报文的传输设备的结构示意图;
图9为本发明实施例提供的又一种数据报文的传输设备的结构示意图;
图10为本发明实施例提供的另一种通信系统示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一、
如图1所示,为本发明实施例提供的一种数据报文的传输方法的应用场景图,其中,该通信系统包括客户端A、服务器C、防火墙B1以及防火墙B 2。所述防火墙B1可以是独立的设备,也可以与所述客户端A为同一设备。所述防火墙B2可以是独立的设备,也可以与所述服务器C为同一设备。其中,客户端A与服务器C利用多通道协议进行通信,在防火墙B1和防火墙B2之间建立有IPSec隧道,用于传输客户端A与服务器C之间的控制报文以及数据报文,以保障客户端A与服务器C之间的数据安全。
本发明实施例提供一种数据报文的传输方法,如图2所示,该方法可以由图1中的防火墙B1或防火墙B2来执行,该方法包括:
201、获取第一设备与第二设备之间的控制报文。
示例性的,以源设备端的防火墙为该方法的执行主体来进行描述。当第一设备与第二设备进行通信时,第一设备与第二设备之间通信的报文都要经过该源设备端的防火墙进行处理。因此,该源设备端的防火墙可以获取所述第一设备与第二设备之间的控制报文。
202、通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息。
当所述第一设备与所述第二设备进行通信时,所述源设备端的防火墙可以获取所述第一设备与第二设备之间的控制报文。在获取所述第一设备与第二设备之间的控制报文后,所述源设备端的防火墙对所述控制报文进行解析。当所述第一设备与第二设备通过之间的控制报文协商并确定源设备与目的设备之间的数据通道信息时,所述第一设备与第二设备之间的控制报文中携带有数据通道信息。此时,所述源设备端的防火墙解析所述控制报文,可以获得源设备与目的设备之间的数据通道信息。
其中,所述源设备可以包括客户端或服务器,所述目的设备也可以包括客户端或服务器,所述目的设备可以为第二设备也可以为第三方设备。
203、根据所述数据通道信息获得所述目的设备的IP地址和端口号。
所述数据通道信息中包括目的设备的IP地址和端口号。所述源设备端的防火墙获取所述数据通道信息后,可以获得所述目的设备的IP地址和端口号。
204、根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略。
根据所述目的设备的IP地址和端口号可以确定所述源设备与目的设备之间的数据通道的IPSec安全策略。一条IPSEC安全策略包括一组五元组信息,所述五元组信息中包括:源IP地址、源设备端口号、目的IP地址、目的端口号和协议号。
由于源设备和目的设备之间进行数据通信时,所述源设备的端口号是源设备在发送数据报文的时候才确定的,因此,在确定IPSec安全策略时,所述源设备的端口号可以是不确定的。只有目的设备的IP地址和端口号是确定的,源设备的数据报文才能够发送至目的设备,因此,所述IPSec安全策略中的目的IP地址和目的端口号必须是确定的。因此,实际应用中,当获得所述目的设备的IP地址和端口号后,所述源设备端的防火墙可以根据源设备的IP地址发送数据报文的端口号以及预设的协议类型确定五元组信息,并根据确定的五元组信息生成IPSec安全策略。
205、根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
由于一条IPSec安全策略要对应一条IPSec隧道,因此,在确定所述源设备与目的设备之间的数据通道的IPSec安全策略,并存储所述IPSec安全策略至SPDB后,需要根据所述IPSec安全策略确定IPSec隧道。IPSec隧道用于保护两个IP地址或两个IP子网之间的通信。
在所述源设备向所述目的设备发送数据报文时,所述IPSec隧道用于传输所述源设备与所述目的设备之间的数据报文。
本发明实施例提供的一种数据报文的传输方法通过获取第一设备与第二设备之间的控制报文,通过解析所述控制报文获得数据通道信息,根据所述数据通道信息获得所述目的设备的IP地址和端口号,根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的安全IPSec安全策略,根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。从而能够根据在源设备与目的设备通信过程中的数据报文的传输需求动态的确定源设备与目的设备之间的数据通道的IPSec安全策略,而无需在初始配置IPSec安全策略时,通过在SPDB中预先存储的控制报文可能携带的所有目的设备的端口号的范围对应的IPSec安全策略建立的IPSec隧道来传输数据报文。保证了源设备与目的设备进行数据通信时,数据通道IPSec安全策略的细粒度,节省了加密资源。
实施例二、
本发明实施例提供一种数据报文的传输方法,如图3所示,包括:
301、获取第一设备与第二设备之间的控制报文。
示例性的,以源设备端的防火墙为该方法的执行主体来进行描述。当第一设备与第二设备进行通信时,第一设备与第二设备之间通信的报文都要经过该源设备端的防火墙进行处理。因此,该源设备端的防火墙可以获取所述第一设备与第二设备之间的控制报文。
本发明实施例以第一设备为客户端,第二设备为服务器为例描述。在端对端进行数据通信时,客户端首先需要与服务器建立连接。在客户端与服务器建立连接时,客户端可以主动向服务器发出请求消息,请求服务器允许所述客户端向服务器或另一客户端发送数据报文,或请求服务器允许服务器向所述客户端发送数据报文。之后,客户端与服务器之间通过在控制通道发送报文,协商是否建立连接以及是否确定源设备与目的设备的数据通道信息。在所述客户端与服务器建立连接的过程中,或建立连接后,所述客户端与所述服务器通过两者之间的控制报文协商源设备与目的设备进行数据通信的数据通道信息。所述客户端与服务器之间的每个控制报文都经过部署于源设备端的防火墙,因此,所述源设备端的防火墙能够获得所述客户端与服务器之间通信的每个控制报文。
302、利用应用协议报文检测ASPF技术解析所述控制报文,获得数据通道信息。
当所述第一设备与所述第二设备进行通信时,所述源设备端的防火墙可以获取所述第一设备与第二设备之间的控制报文。在获取所述第一设备与第二设备之间的控制报文后,所述源设备端的防火墙可以利用应用报文深度检测(Application Specific Packet Filter,简称ASPF)技术对所述控制报文进行解析。当所述第一设备与第二设备通过之间的控制报文协商并确定源设备与目的设备之间的数据通道信息时,所述第一设备与第二设备之间的控制报文中携带有数据通道信息。此时,所述源设备端的防火墙解析所述控制报文,可以获得源设备与目的设备之间的数据通道信息。
303、根据所述数据通道信息获得所述目的设备的IP地址和端口号。
所述数据通道信息中包括目的设备的IP地址和/或端口号。所述源设备端的防火墙获取所述数据通道信息后,可以获得所述目的设备的IP地址和端口号。
举例来说,当客户端向服务器发送请求消息时,所述数据通道信息与所述客户端的请求消息指示的请求内容有关。当所述客户端请求服务器允许所述客户端向所述服务器发送数据报文时,所述数据通道信息为所述服务器分配的所述服务器的IP地址和端口号。当所述客户端请求服务器允许所述客户端向另一客户端发送数据报文时,所述数据通道信息为所述服务器获得的另一客户端的IP地址和端口号。当所述客户端请求所述服务器允许所述服务器向所述客户端发送数据报文时,所述数据通道信息为所述客户端分配的所述客户端的IP地址和端口号。
其中,所述源设备可以包括客户端或服务器,所述目的设备也可以包括客户端或服务器,所述目的设备可以为第二设备也可以为第三方设备。
304、根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。
通常一条IPSec安全策略由五元组信息来确定。所述五元组信息中包括:源IP地址、源设备端口号、目的IP地址、目的端口号和协议号。
由于源设备和目的设备之间进行数据通信时,所述源设备的端口号是源设备在发送数据报文的时候才确定的,因此,在确定IPSec安全策略时,所述源设备的端口号可以是不确定的。只有目的设备的IP地址和端口号是确定的,源设备的数据报文才能够发送至目的设备,因此,所述IPSec安全策略中的目的IP地址和目的端口号必须是确定的。因此,实际应用中,当获得所述目的设备的IP地址和端口号后,所述源设备端的防火墙可以根据源设备的IP地址发送数据报文的端口号以及预设的协议类型确定五元组信息,并根据确定的五元组信息生成IPSec安全策略。
在源设备与目的设备之间进行数据通信时,源设备端的防火墙和目的设备防火墙都需要确定IPSec安全策略。由于源设备端的防火墙和目的设备防火墙是两个对等体。因此,所述源设备端的防火墙确定的IPSec安全策略中的五元组中目的IP地址为目的设备的I P地址,目的端口号为目的设备的端口号,源IP地址为源设备的IP地址,源设备端口号为源设备的端口号。所述目的防火墙确定的IPSec安全策略中的五元组中源IP地址为目的设备的IP地址,源设备端口号为目的设备的端口号,目的IP地址为源设备的IP地址,目的端口号为目的设备的端口号。
所述源设备端的防火墙根据所述第一设备与第二设备之间的控制报文,也可以获得所述源设备与目的设备进行数据通信时使用的协议类型。
所述协议类型具体可以是:传输控制协议(Transmission ControlProtocol,TCP)、用户数据包协议(User Datagram Protocol,UDP)等。
举例来说,如表1所述的IPSec安全策略表,其中,SP1表示一条IPSec安全策略的名称,源IP地址为192.168.0.1/32,源设备端口号为“any”,表示源设备端口号为任一端口号,目的IP地址为19.49.10.10/32,目的端口号为22787,协议类型为传输控制协议(Transmission Control Protocol,简称TCP)。
表1
305、根据所述IPSec安全策略,生成第一IPSec隧道。
在确定所述IPSec安全策略之后,根据所述IPSec安全策略,以及加密算法、认证算法等其它参数生成第一IPSec隧道。在生成所述第一IPSec隧道后,绑定所述IPSec安全策略和所述第一IPSec隧道。
如图4所示,图4为控制通道和数据通道的IPSec安全策略与IPSec隧道的对应关系。其中,SP1表示所述第一设备与第二设备之间的控制通道的IPSec安全策略,IPSec1表示SP1对应的IPSec隧道,SP2表示所述数据通道的IPSec安全策略,IPSec2表示SP2对应的IPSec隧道。当所述源设备与目的设备进行控制报文的通信时,可以通过IPSec1对该源设备与目的设备之间通信的控制报文进行加密传输当所述源设备与目的设备进行数据报文的通信时,可以通过IPSec2对该源设备与目的设备之间通信的数据报文进行加密传输。当然可以理解的是,当所述源设备与所述目的设备的其他端口进行数据报文的传输时,还可以根据所述目的设备的目的IP地址和目的端口号分别确定与上述SP1和SP2不同的IPSec安全策略(例如,SP3、SP4等等),并根据确定的不同的IPSec安全策略建立对应的IPSec隧道(例如,IPSec3、IPSec4等等),并根据建立的不同的IPSec隧道传输数据报文。
306、通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
在所述源设备端的防火墙确定所述第一IPSec隧道后,当所述源设备向所述目的设备发送数据报文时,所述IPSec隧道用于传输所述源设备与所述目的设备之间的数据报文。
具体的,在源设备向目的设备发送数据报文时,源设备端的防火墙判断该数据报文中包含的信息是否与源设备端的防火墙中存储的IPSec安全策略匹配。当该数据报文中包含的信息与源设备端的防火墙中存储的IPSec安全策略匹配时,该数据报文才能够通过匹配的IPSec安全策略对应的IPSec隧道进行加密,并发送至目的设备防火墙。当该数据报文中包含的信息与源设备端的防火墙中存储的IPSec安全策略不匹配时,源设备端的防火墙丢弃该数据报文。当该加密的数据报文到达目的设备防火墙后,目的设备防火墙对该报文进行解密,判断解密后的数据报文包含的信息是否与目的防火墙中存储的IPSec安全策略反向匹配。当该解密后的数据报文中包含的信息与目的设备防火墙中存储的IPSec安全策略反向匹配时,目的设备防火墙对该解密后的数据报文转发至目的设备。当该解密后的数据报文中包含的信息与目的设备防火墙中存储的IPSec安全策略不反向匹配时,目的设备防火墙丢弃该解密后的数据报文。
307、在数据报文传输完成后,删除所述IPSec安全策略和所述第一IPSec隧道。
为了节省存储资源,在数据报文传输完成后,删除所述IPSec安全策略和所述第一IPSec隧道。
可选的,为了实现隧道复用,节约隧道资源,在根据所述目的设备的I P地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略之后,还可以根据所述IPSec安全策略确定第二IPSec隧道,并绑定所述IPSec安全策略和所述第二IPSec隧道。通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。并在数据报文传输完成后,删除所述IPSec安全策略。其中,所述第二IPSec隧道为传输所述控制报文的IPSec隧道。
如图5所示,为控制通道和数据通道的IPSec安全策略与IPSec隧道的对应关系示意图。其中,SP1为IPSec安全策略1,表示所述第一设备与第二设备之间的控制通道的IPSec安全策略;SP2为IPSec安全策略2,表示所述数据通道的IPSec安全策略;IPSec1表示SP1和SP2对应的IPSec隧道,也就是说,将IPSec安全策略1以及IPSec安全策略2均与同一个IPSec隧道(即IPSec1)进行绑定,使得命中IPSec安全策略1以及IPSec安全策略2的报文均通过同一个IPSec隧道(即IPSec1)进行传输,以实现隧道的复用,节省隧道资源。当然,可以理解的是,在实现隧道策略与隧道绑定时,需要按照一定的规则进行,例如,可以将与同一个源设备的相关的多个IPSec安全策略与同一个IPSec隧道进行绑定,即该源设备向不同目的设备发送的报文都经过同一个IPSec隧道进行发送。
本发明实施例中的方法,不仅能够根据在源设备与目的设备通信过程中的数据报文的传输需求动态的确定源设备与目的设备之间的数据通道的IPSec安全策略,而无需在初始配置IPSec安全策略时,通过在SPDB中预先存储的控制报文可能携带的所有目的设备的端口号的范围对应的IPSec安全策略建立的IPSec隧道来传输数据报文。而且还能实现隧道复用,更进一步的节省了加密资源。下面结合客户端请求服务器与服务器通信为例描述本发明实施例所述的数据报文的传输方法。
以客户端A请求服务器C向服务器C发送数据报文为例进行说明。如图6所示,包括:
601、客户端A通过控制通道经过防火墙B1和B2向服务器C发送报文,请求服务器C分配服务器C的IP地址和端口号。
防火墙B1接收到所述报文后,首先判断该报文中包含的客户端的IP地址、服务器的IP地址和端口号的信息是否能够与存储的SPDB中的IPSec安全策略匹配。若该报文包含的信息确定的IPSec安全策略与SPDB中的IPSec安全策略SP1匹配,该报文通过该IPSec安全策略SP1的IPSec隧道进行加密,并发送至防火墙B2。
当该加密的报文到达防火墙B2时,防火墙B2首先解密该报文,然后判断该解密的报文中包含信息是否能够与存储的SPDB中的IPSec安全策略反向匹配。若该解密的报文携带的信息能够与SPDB中的IPSec安全策略反向匹配,防火墙B2将该解密后的报文发送至服务器。
602、服务器C接收到客户端A发送的报文后,为所述客户端A分配IP地址和端口号。
当服务器C接收客户端A发送的报文后,服务器C与客户端A之间通信的具体过程是本发明技术领域人员所熟知的技术,本发明实施例在此不再赘述。
603、服务器C通过控制通道向防火墙B2发送包含分配的IP地址和端口号的数据通道信息。
604、防火墙B2获取客户端A和服务器C之间的控制报文。
605、防火墙B2解析所述控制报文,获得数据通道信息。
606、防火墙B2根据所述数据通道信息获得所述分配的IP地址和端口号。
607、防火墙B2根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述客户端A和服务器C之间的数据通道的IPSec安全策略。
608、防火墙B2根据所述IPSec安全策略,生成第一IPSec隧道。
609、防火墙B2通过控制通道向防火墙B1发送包含分配的IP地址和端口号的数据通道信息。
610、防火墙B1获取客户端A和服务器C之间的控制报文。
611、防火墙B1解析所述控制报文,获得数据通道信息。
612、防火墙B1根据所述数据通道信息获得所述分配的IP地址和端口号。
613、防火墙B1根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述客户端A和服务器C之间的数据通道的IPSec安全策略。
614、防火墙B1根据所述IPSec安全策略,生成第一IPSec隧道。
615、防火墙B1通过控制通道向客户端A发送包含分配的IP地址和端口号的数据通道信息。
其中,步骤604-608、以及610-614的具体过程与本发明实施例中步骤201-205的过程相同,本发明实施例在此不再赘述。
616、所述客户端A经由防火墙B1、第一IPSec隧道、防火墙B2向所述服务器C发送数据报文。
617、在数据报文传输完成后,防火墙B1和B2删除所述IPSec安全策略和所述第一IPSec隧道。
步骤616和617的详细过程,参照本发明实施例中步骤206和207所述,本发明实施例在此不再赘述。
本发明实施例提供一种数据报文的传输方法,通过获取第一设备与第二设备之间的控制报文,利用ASPF技术解析所述控制报文,获得数据通道信息,根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略,根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。从而通过动态确定源设备与目的设备之间的数据通道的IPSec安全策略,保证了源设备与目的设备进行数据通信时,数据通道IPSec安全策略的细粒度,节省了加密资源。
实施例三、
本发明实施例提供一种数据报文的传输设备,如图7所示,该数据报文的传输设备70包括:获取单元71、解析单元72、获得单元73、确定单元74、传输单元75。
所述获取单元71,用于获取第一设备与第二设备之间的控制报文。
当第一设备与第二设备进行通信时,第一设备与第二设备之间通信的报文都要经过所述获取单元71进行处理。因此,所述获取单元71可以获取所述第一设备与第二设备之间的控制报文。
所述解析单元72,用于通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息,其中,所述源设备为第一设备。
当所述第一设备与所述第二设备进行通信时,所述解析单元72可以获取所述第一设备与第二设备之间的控制报文。在所述获取单元71获取所述第一设备与第二设备之间的控制报文后,所述解析单元72对所述控制报文进行解析。当所述第一设备与第二设备通过之间的控制报文协商并确定源设备与目的设备之间的数据通道信息时,所述第一设备与第二设备之间的控制报文中携带有数据通道信息。此时,所述解析单元72解析所述控制报文,可以获得源设备与目的设备之间的数据通道信息。
所述解析单元72,具体用于利用ASPF技术解析所述控制报文,获得数据通道信息。
当所述第一设备与所述第二设备进行通信时,所述解析单元72可以获取所述第一设备与第二设备之间的控制报文。在所述获取单元71获取所述第一设备与第二设备之间的控制报文后,所述解析单元72可以利用应用报文深度检测(Application Specific Packet Filter,简称ASPF)技术对所述控制报文进行解析。当所述第一设备与第二设备通过之间的控制报文协商并确定源设备与目的设备之间的数据通道信息时,所述第一设备与第二设备之间的控制报文中携带有数据通道信息。此时,所述解析单元72解析所述控制报文,可以获得源设备与目的设备之间的数据通道信息。
所述获得单元73,用于根据所述数据通道信息获得所述目的设备的IP地址和端口号。
所述数据通道信息中包括目的设备的IP地址和端口号。所述获取单元71获取所述数据通道信息后,所述获得单元73可以获得所述目的设备的IP地址和端口号。
所述确定单元74,用于根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略。
根据所述目的设备的IP地址和端口号,所述确定单元74可以确定所述源设备与目的设备之间的数据通道的IPSec安全策略。一条IPSEC安全策略包括一组五元组信息,所述五元组信息中包括:源IP地址、源设备端口号、目的IP地址、目的端口号和协议号。
由于源设备和目的设备之间进行数据通信时,所述源设备的端口号是源设备在发送数据报文的时候才确定的,因此,在所述确定单元74确定IPSec安全策略时,所述源设备的端口号可以是不确定的。只有目的设备的IP地址和端口号是确定的,源设备的数据报文才能够发送至目的设备,因此,所述IPSec安全策略中的目的IP地址和目的端口号必须是确定的。因此,实际应用中,当所述获得单元73获得所述目的设备的IP地址和端口号后,所述确定单元74可以根据源设备的IP地址发送数据报文的端口号以及预设的协议类型确定五元组信息,并根据确定的五元组信息生成IPSec安全策略。
所述确定单元74,具体用于根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。
所述确定单元74根据所述第一设备与第二设备之间的控制报文,也可以确定所述源设备与目的设备进行数据通信时使用的协议类型。
所述协议类型具体可以是:传输控制协议(Transmission ControlProtocol,TCP)、用户数据包协议(User Datagram Protocol,UDP)等。
所述传输单元75,用于根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
由于一条IPSec安全策略要对应一条IPSec隧道,因此,在确定所述源设备与目的设备之间的数据通道的IPSec安全策略,并存储所述IPSec安全策略至SPDB后,所述传输单元75需要根据所述IPSec安全策略确定IPSec隧道。IPSec隧道用于保护两个IP地址或两个IP子网之间的通信。
在所述源设备向所述目的设备发送数据报文时,所述传输单元75用于传输所述源设备与所述目的设备之间的数据报文。
在一种情形下,所述传输单元75,具体用于根据所述IPSec安全策略,生成第一IPSec隧道,并通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
具体的,在所述确定单元74确定所述IPSec安全策略之后,所述传输单元75根据所述IPSec安全策略,以及加密算法、认证算法等其它参数生成第一IPSec隧道。并绑定所述IPSec安全策略和所述第一IPSec隧道。当所述源设备与目的设备进行数据通信时,可以通过所述第一IPSec隧道对该源设备与目的设备之间通信的数据报文进行加密传输。
在另一种情形下,如图8所示,所述传输设备70还可以包括:
删除单元76,用于在数据报文传输完成后,删除所述IPSec安全策略。
为了节省存储资源,在数据报文传输完成后,所述删除单元76删除所述IPSec安全策略和所述第一IPSec隧道。
在又一种情形下,为了实现隧道复用,节约隧道资源,所述传输单元75,具体用于根据所述IPSec安全策略确定第二IPSec隧道,所述第二IPSec隧道为传输所述控制报文的IPSec隧道,并通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
具体的,在确定单元74根据所述目的设备的IP地址和端口号确定所述源设备与目的设备之间的数据通道的IPSec安全策略之后,传输单元75可以根据所述IPSec安全策略确定第二IPSec隧道,并绑定所述IPSec安全策略和所述第二IPSec隧道。通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。并在数据报文传输完成后,删除所述IPSec安全策略。其中,所述第二IPSec隧道为传输所述控制报文的IPSec隧道。
本发明实施例提供一种数据报文的传输设备,不仅能够根据在源设备与目的设备通信过程中的数据报文的传输需求动态的确定源设备与目的设备之间的数据通道的IPSec安全策略,而无需在初始配置IPSec安全策略时,通过在SPDB中预先存储的控制报文可能携带的所有目的设备的端口号的范围对应的IPSec安全策略建立的IPSec隧道来传输数据报文。而且还能实现隧道复用,更进一步的节省了加密资源。
实施例四、
图9为本发明实施例提供的一种数据报文的传输设备的物理结构示意图,该数据报文的传输设备可以是一台防火墙或其他能够实现数据传输的设备。如图7所示,所述数据报文的传输设备90包括:
处理器(processor)910,通信接口(CommunicationsInterface)9720,存储器(memory)930,通信总线940。
处理器910、通信接口920以及存储器930通过通信总线940完成相互间的通信。
通信接口920,用于与网元通信,比如源设备或目的设备等。
处理器910,用于执行程序932,具体可以执行上述图2至图3所示的方法实施例中的相关步骤。
具体地,程序932可以包括程序代码,所述程序代码包括计算机操作指令。
处理器910可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器930,用于存放程序932。存储器930可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序932中各功能模块的具体实现可以参见上述图7-8所示实施例中的相应模块的描述,在此不再赘述。
本发明实施例提供一种数据报文的传输设备,不仅能够根据在源设备与目的设备通信过程中的数据报文的传输需求动态的确定源设备与目的设备之间的数据通道的IPSec安全策略,而无需在初始配置IPSec安全策略时,通过在SPDB中预先存储的控制报文可能携带的所有目的设备的端口号的范围对应的IPSec安全策略建立的IPSec隧道来传输数据报文。而且还能实现隧道复用,更进一步的节省了加密资源。
实施例五、
本发明实施例提供一种通信系统,如图10所示,该通信系统包括:源设备101、目的设备102、数据报文的传输设备105,其中,所述源设备101与所述目的设备102通过所述数据报文的传输设备建立的IPSec隧道传输数据报文,所述数据报文的传输设备105包括上述实施例中描述的数据报文的传输设备。
具体的,图10以源设备101为第一设备,目的设备102为第二设备为例,描述该通信系统。
所述源设备101,用于与所述第二设备进行通信,协商所述源设备与所述目的设备之间的数据通道信息,并通过所述数据传输设备向所述目的设备发送数据报文。
所述目的设备102,用于与所述第一设备进行通信,协商所述源设备与所述目的设备之间的数据通道信息,并通过所述数据传输设备确定的IPSec隧道接收所述源设备发送的数据报文。
所述数据报文的传输设备103,用于获取第一设备与第二设备之间的控制报文,通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息,根据所述数据通道信息获得所述目的设备的IP地址和端口号,根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略,根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
所述数据报文的传输设备103,还用于在数据报文传输完成后,删除所述IPSec安全策略。
具体对所述数据报文的传输设备105的详细描述可以参见上述实施例中描述的数据报文的传输设备,在此不再赘述。
本发明实施例提供的通信系统能够根据在源设备与目的设备通信过程中的数据报文的传输需求动态的确定源设备与目的设备之间的数据通道的IPSec安全策略,而无需在初始配置IPSec安全策略时,通过预先存储的控制报文可能携带的所有目的设备的端口号的范围对应的IPSec安全策略建立的IPSec隧道来传输数据报文。保证了源设备与目的设备进行数据通信时,数据通道IPSec安全策略的细粒度,节省了加密资源。
需要说明的是,所属本领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的通信系统的具体工作过程及描述,可以参考实施例一、二方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的连接可以是通过一些接口,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的设备中,各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。且上述的各单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read 0nly Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (14)
1.一种数据报文的传输方法,其特征在于,包括:
获取第一设备与第二设备之间的控制报文;
通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息;
根据所述数据通道信息获得所述目的设备的IP地址和端口号;
根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的互联网协议安全IPSec安全策略;
根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略包括:
根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。
3.根据权利要求1或2所述的方法,其特征在于,所述通过解析所述控制报文获得数据通道信息包括:
利用应用协议报文检测ASPF技术解析所述控制报文,获得数据通道信息。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文包括:
根据所述IPSec安全策略,生成第一IPSec隧道;
通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
5.根据权利要求4所述的方法,其特征在于,还包括:
在数据报文传输完成后,删除所述IPSec安全策略和所述第一IPSec隧道。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述IPSec安全策略确定的IPSec隧道传输所述源设备与所述目的设备之间的数据报文包括:
根据所述IPSec安全策略确定第二IPSec隧道,所述第二IPSec隧道为传输所述控制报文的IPSec隧道;
通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
7.根据权利要求6所述的方法,其特征在于,还包括:
在数据报文传输完成后,删除所述IPSec安全策略。
8.一种数据报文的传输设备,其特征在于,包括:
获取单元,用于获取第一设备与第二设备之间的控制报文;
解析单元,用于通过解析所述控制报文获得数据通道信息,所述数据通道信息为源设备与目的设备之间的数据通道信息;
获得单元,用于根据所述数据通道信息获得所述目的设备的IP地址和端口号;
确定单元,用于根据所述目的设备的IP地址和端口号,确定所述源设备与目的设备之间的数据通道的IPSec安全策略;
传输单元,用于根据所述IPSec安全策略建立的IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
9.根据权利要求8所述的传输设备,其特征在于,
所述确定单元,具体用于根据预设的传输协议类型、所述源设备的IP地址和端口号以及所述目的设备的IP地址和端口号确定所述源设备和所述目的设备之间的数据通道的IPSec安全策略。
10.根据权利要求8或9所述的传输设备,其特征在于,
所述解析单元,具体用于利用ASPF技术解析所述控制报文,获得数据通道信息。
11.根据权利要求8-10任一项所述的传输设备,其特征在于,
所述传输单元,具体用于根据所述IPSec安全策略建立第一IPSec隧道,并通过所述第一IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
12.根据权利要求8-10任一项所述的传输设备,其特征在于,
所述传输单元,具体用于根据所述IPSec安全策略确定第二IPSec隧道,所述第二IPSec隧道为传输所述控制报文的IPSec隧道,并通过所述第二IPSec隧道传输所述源设备与所述目的设备之间的数据报文。
13.根据权利要求11或12所述的传输设备,其特征在于,还包括:
删除单元,用于在数据报文传输完成后,删除所述IPSec安全策略。
14.一种通信系统,其特征在于,包括源设备、目的设备以及如权利要求8-13任意一项所述的数据报文的传输设备,其中,所述源设备与所述目的设备通过所述数据报文的传输设备建立的IPSec隧道传输数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210591741.2A CN103051636B (zh) | 2012-12-31 | 2012-12-31 | 一种数据报文的传输方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210591741.2A CN103051636B (zh) | 2012-12-31 | 2012-12-31 | 一种数据报文的传输方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051636A true CN103051636A (zh) | 2013-04-17 |
| CN103051636B CN103051636B (zh) | 2017-06-06 |
Family
ID=48064135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210591741.2A Active CN103051636B (zh) | 2012-12-31 | 2012-12-31 | 一种数据报文的传输方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051636B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924157A (zh) * | 2018-07-25 | 2018-11-30 | 杭州迪普科技股份有限公司 | 一种基于IPSec VPN的报文转发方法及装置 |
| CN108989342A (zh) * | 2018-08-23 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种数据传输的方法及装置 |
| CN109981820A (zh) * | 2019-03-29 | 2019-07-05 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
| CN110519282A (zh) * | 2019-08-30 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
| CN110677426A (zh) * | 2019-09-30 | 2020-01-10 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
| CN110891025A (zh) * | 2019-10-31 | 2020-03-17 | 上海众链科技有限公司 | 获取应用程序对端目的地址的系统、方法、智能终端及计算机可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1540940A (zh) * | 2003-11-04 | 2004-10-27 | 深圳市深信服电子科技有限公司 | 多路复用vpn隧道的连接方法 |
| CN1777174A (zh) * | 2004-11-15 | 2006-05-24 | 中兴通讯股份有限公司 | 因特网安全协议高速处理ip分片的方法 |
| CN1913527A (zh) * | 2005-08-11 | 2007-02-14 | 国际商业机器公司 | 处理过滤规则的装置和方法 |
| CN101079799A (zh) * | 2006-05-25 | 2007-11-28 | 李�浩 | 一种基于硬件加速的动态端口控制装置 |
| CN101299665A (zh) * | 2008-05-19 | 2008-11-05 | 华为技术有限公司 | 报文处理方法、系统及装置 |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN102255909A (zh) * | 2011-07-11 | 2011-11-23 | 北京星网锐捷网络技术有限公司 | 监控会话流的方法及装置 |
| CN102572932A (zh) * | 2010-12-14 | 2012-07-11 | 中兴通讯股份有限公司 | 一种实现家庭基站网络资源区分管理控制的方法和系统 |
-
2012
- 2012-12-31 CN CN201210591741.2A patent/CN103051636B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1540940A (zh) * | 2003-11-04 | 2004-10-27 | 深圳市深信服电子科技有限公司 | 多路复用vpn隧道的连接方法 |
| CN1777174A (zh) * | 2004-11-15 | 2006-05-24 | 中兴通讯股份有限公司 | 因特网安全协议高速处理ip分片的方法 |
| CN1913527A (zh) * | 2005-08-11 | 2007-02-14 | 国际商业机器公司 | 处理过滤规则的装置和方法 |
| CN101079799A (zh) * | 2006-05-25 | 2007-11-28 | 李�浩 | 一种基于硬件加速的动态端口控制装置 |
| CN101299665A (zh) * | 2008-05-19 | 2008-11-05 | 华为技术有限公司 | 报文处理方法、系统及装置 |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN102572932A (zh) * | 2010-12-14 | 2012-07-11 | 中兴通讯股份有限公司 | 一种实现家庭基站网络资源区分管理控制的方法和系统 |
| CN102255909A (zh) * | 2011-07-11 | 2011-11-23 | 北京星网锐捷网络技术有限公司 | 监控会话流的方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924157A (zh) * | 2018-07-25 | 2018-11-30 | 杭州迪普科技股份有限公司 | 一种基于IPSec VPN的报文转发方法及装置 |
| CN108924157B (zh) * | 2018-07-25 | 2021-04-27 | 杭州迪普科技股份有限公司 | 一种基于IPSec VPN的报文转发方法及装置 |
| CN108989342A (zh) * | 2018-08-23 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种数据传输的方法及装置 |
| CN108989342B (zh) * | 2018-08-23 | 2021-02-05 | 新华三信息安全技术有限公司 | 一种数据传输的方法及装置 |
| CN109981820A (zh) * | 2019-03-29 | 2019-07-05 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
| CN109981820B (zh) * | 2019-03-29 | 2022-04-22 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
| CN110519282A (zh) * | 2019-08-30 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
| CN110677426A (zh) * | 2019-09-30 | 2020-01-10 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
| CN110677426B (zh) * | 2019-09-30 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
| CN110891025A (zh) * | 2019-10-31 | 2020-03-17 | 上海众链科技有限公司 | 获取应用程序对端目的地址的系统、方法、智能终端及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051636B (zh) | 2017-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Velmurugadass et al. | Enhancing Blockchain security in cloud computing with IoT environment using ECIES and cryptography hash algorithm | |
| JP2023022116A5 (zh) | ||
| EP3195557B1 (en) | Establishing trust between two devices | |
| CN103051636A (zh) | 一种数据报文的传输方法和设备 | |
| US9742560B2 (en) | Key management in secure network enclaves | |
| US20170180123A1 (en) | Discovery of secure network enclaves | |
| CN104662551A (zh) | 在网络环境中对加密的数据的检查 | |
| CN106209739A (zh) | 云存储方法及系统 | |
| CN1332552A (zh) | 使用本地ip地址和不可转换端口地址的局域网的网络地址转换网关 | |
| CN104468095A (zh) | 一种数据传输方法及装置 | |
| CN110944012B (zh) | 抗协议分析数据安全传输方法、系统、信息数据处理终端 | |
| RU2012122190A (ru) | Способ и устройство для безопасной передачи данных | |
| US20180115535A1 (en) | Blind En/decryption for Multiple Clients Using a Single Key Pair | |
| US10841840B2 (en) | Processing packets in a computer system | |
| CN105812322A (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
| Job et al. | A modified secure version of the Telegram protocol (MTProto) | |
| Apiecionek et al. | Multi path transmission control protocols as a security solution | |
| CN105721505A (zh) | 一种数据安全传输方法、装置及系统 | |
| CN109246124B (zh) | 一种加密信息的主动防御方法 | |
| RU2586840C1 (ru) | Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем | |
| CN107483197B (zh) | 一种vpn网络终端密钥分发方法及装置 | |
| CN108573162A (zh) | 数据拷贝系统、方法及装置 | |
| RU2472217C1 (ru) | Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты) | |
| Kleberger et al. | An in-depth analysis of the security of the connected repair shop | |
| CN105122774B (zh) | 控制对reload网络中的资源的写入访问 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |