WO2021037216A1

WO2021037216A1 - 一种报文传输方法及设备、计算机存储介质

Info

Publication number: WO2021037216A1
Application number: PCT/CN2020/112165
Authority: WO
Inventors: 王春宁
Original assignee: 华为技术有限公司
Priority date: 2019-08-29
Filing date: 2020-08-28
Publication date: 2021-03-04
Also published as: CN112448918A; US20220174051A1; EP4020915A1; CN112448918B; EP4020915A4

Abstract

本申请公开了一种报文传输方法及装置、计算机存储介质，属于通信技术领域。第一设备获取原始报文的业务类型信息。第一设备基于目标安全联盟，生成原始报文的ESP报文，该ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，业务类型字段中包括业务类型信息。第一设备向第二设备发送ESP报文。第二设备解析业务类型字段，获取原始报文的业务类型信息。第二设备根据业务策略以及原始报文的业务类型信息，对ESP报文执行目标操作。第二设备通过解析ESP报文的业务类型字段即可获取原始报文的业务类型信息，而无需对第一加密部分进行解密，降低了第二设备在确定原始报文的业务类型的过程中的计算开销。

Description

一种报文传输方法及设备、计算机存储介质

本申请要求了2019年8月29日提交的，申请号为201910810004.9，发明名称为“一种报文传输方法及装置、计算机存储介质”的中国申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，特别涉及一种报文传输方法及装置、计算机存储介质。

背景技术

本申请提供了一种报文传输方法及装置、计算机存储介质，可以解决目前设备在确定原始报文的业务类型的过程中计算开销较大的问题。

第一方面，提供了一种报文传输方法，应用于通信网络中。该通信网络中包括第一设备和第二设备，第一设备与第二设备之间建立有目标安全联盟，第一设备为目标安全联盟的发起端，第二设备为目标安全联盟的目的端。该方法包括：

第一设备获取原始报文的业务类型信息。第一设备基于目标安全联盟，生成原始报文的ESP报文，ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，业务类型字段中包括业务类型信息，第一加密部分包括原始报文的数据部分，业务类型字段用于使第二设备根据业务类型信息确定ESP报文的处理。第一设备向第二设备发送ESP报文。

本申请中，由于第一设备生成的ESP报文中包括业务类型字段，该业务类型字段用于使第二设备根据业务类型信息确定ESP报文的处理，因此第二设备通过解析ESP报文的业务类型字段即可获取原始报文的业务类型信息，从而确定对该ESP报文的下一步操作，而无需对第一加密部分进行解密，可以减少第二设备在确定原始报文的业务类型的过程中的解密计算量，进而降低第二设备的计算开销。

可选地，ESP报文还包括分块标识字段，分块标识字段位于报文头与ESP头部之间，分块标识字段用于指示ESP报文中包括业务类型字段。

本申请中，通过在ESP报文的报文头与ESP头部之间添加分块标识字段，指示ESP报文中有业务类型字段，当ESP报文的报文头与ESP头部之间无分块标识字段，表示该ESP报文中无业务类型字段，可以使接收设备兼容处理传统ESP报文和本申请实施例提供的ESP报文，保证设备的兼容性能。

可选地，分块标识字段还用于指示在解密第一加密部分之前获取业务类型字段。

可选地，目标安全联盟的配置中指示在解密第一加密部分之前获取业务类型字段。

可选地，业务类型字段为ESP报文的第二加密部分。当然，ESP报文中的业务类型字段也可以不加密，本申请对此不做限定。

可选地，业务类型信息包括原始报文的优先级、原始报文所属应用程序的标识、发送原始报文的企业的标识、发送原始报文的部门的标识和发送原始报文的用户的标识中的一个或多个。

第二方面，提供了一种报文传输方法，应用于通信网络中。通信网络中包括第一设备和第二设备，第一设备与第二设备之间建立有目标安全联盟，第一设备为目标安全联盟的发起端，第二设备为目标安全联盟的目的端。该方法包括：

第二设备接收第一设备发送的ESP报文，该ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，第一加密部分包括原始报文的数据部分，业务类型字段中包括该原始报文的业务类型信息。第二设备解析业务类型字段，获取原始报文的业务类型信息。第二设备根据业务策略以及原始报文的业务类型信息，对ESP报文执行目标操作。

本申请中，由于ESP报文中包括业务类型字段，第二设备通过解析ESP报文的业务类型字段即可获取原始报文的业务类型信息，进一步根据业务策略和原始报文的业务类型信息对ESP报文执行目标操作，而无需对第一加密部分进行解密，减少了第二设备在确定原始报文的业务类型的过程中的解密计算量，进而降低了第二设备的计算开销。

可选地，目标操作包括以下任意一个：对ESP报文的第一加密部分进行解密，丢弃ESP报文，缓存ESP报文以及转发ESP报文。

可选地，业务类型字段为ESP报文的第二加密部分，在第二设备解析业务类型字段之前，第二设备还基于目标安全联盟中配置的加密算法，对业务类型字段进行解密。

第三方面，提供了一种报文传输装置。所述装置包括多个功能模块，所述多个功能模块相互作用，实现上述第一方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第四方面，提供了一种报文传输装置。所述装置包括多个功能模块，所述多个功能模块相互作用，实现上述第二方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第五方面，提供了一种报文传输装置，所述装置包括：处理器和存储器；

所述存储器，用于存储计算机程序，所述计算机程序包括程序指令；

所述处理器，用于调用所述计算机程序，实现如第一方面任一所述的报文传输方法。

第六方面，提供了一种报文传输装置，所述装置包括：处理器和存储器；

所述处理器，用于调用所述计算机程序，实现如第二方面任一所述的报文传输方法。

第七方面，提供了一种计算机存储介质，所述计算机存储介质上存储有程序指令，当所述程序指令被执行时，实现如第一方面或第二方面任一所述的报文传输方法。

第八方面，提供了一种通信网络，该通信网络中包括第一设备和第二设备。第一设备与第二设备之间建立有目标安全联盟，第一设备为该目标安全联盟的发起端，第二设备为该目标安全联盟的目的端。第一设备包括如第三方面所述的报文传输装置，第二设备包括如第四方面所述的报文传输装置。

本申请提供的技术方案带来的有益效果至少包括：

本申请提供的报文传输方法中，由于第一设备生成的ESP报文中包括业务类型字段，该业务类型字段用于使第二设备根据业务类型信息确定ESP报文的处理，因此第二设备通过解析ESP报文的业务类型字段即可获取原始报文的业务类型信息，进一步根据业务策略和原始报文的业务类型信息对ESP报文执行目标操作，而无需对第一加密部分进行解密，可以减少第二设备在确定原始报文的业务类型的过程中的解密计算量，进而降低第二设备的计算开销。

附图说明

图1是目前采用传输模式封装得到的ESP报文的结构示意图；

图2是目前采用隧道模式封装得到的ESP报文的结构示意图；

图3是本申请实施例提供的一种通信网络的结构示意图；

图4是本申请实施例提供的一种报文传输方法的流程图；

图5是本申请实施例提供的一种ESP报文的结构示意图；

图6是本申请实施例提供的另一种ESP报文的结构示意图；

图7是本申请实施例提供的一种报文传输装置的结构示意图；

图8是本申请实施例提供的另一种报文传输装置的结构示意图；

图9是本申请实施例提供的又一种报文传输装置的结构示意图；

图10是本申请实施例提供的一种报文传输装置的框图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

IPSec安全传输数据的前提是在对等体(即运行IPSec的两个端点)之间成功建立安全联盟(security association，SA)。对等体之间通过安全联盟约定多个要素，包括：对等体间使用的安全协议、报文封装模式、加密算法、验证算法、对等体间的密钥交换方式、对等体间使用的互联网密钥交换(Internet Key Exchange，IKE)协议以及安全联盟的生存周期等。可选地，可以通过手工配置方式建立对等体间的安全联盟，或者，对等体间可以通过IKE自动协商方式建立安全联盟。

安全联盟是单向的逻辑连接，建立有安全联盟的对等体包括发起端和目的端。安全联盟中规定了从发起端发送到目的端的数据采取的保护方式。安全联盟由一个三元组来唯一标识，该三元组中包括安全参数索引(security parameters index，SPI)、目的端的IP地址和使用的安全协议。

安全协议用于提供加密和/或认证等安全服务。安全协议包括AH协议和ESP协议，这两个安全协议均为基于IP的传输层协议。其中，ESP协议的工作原理是在原始报文的数据部分前面添加ESP头部，在原始报文的数据部分后面添加ESP尾部和ESP认证数据字段，并对原始报文的数据部分进行加密，最后封装得到ESP报文。其中，原始报文的数据部分也即是原始报文的有效载荷部分，包括传输层协议头和数据(data)字段。

报文封装模式包括传输模式和隧道模式。本申请实施例分别对传输模式和隧道模式下的ESP报文的结构进行说明。图1是目前采用传输模式封装得到的ESP报文的结构示意图。图2是目前采用隧道模式封装得到的ESP报文的结构示意图。如图1和图2所示，ESP报文包括报文头、ESP头部、负载数据字段、ESP尾部和ESP认证数据字段。负载数据字段用于承载原始报文的内容。如图1所示，在传输模式下，负载数据字段包括原始报文的数据部分；如图2所示，在隧道模式下，负载数据字段包括原始报文的报文头(简称：原始报文头)以及原始报文的数据部分。参见图1和图2，原始报文的数据部分具体包括传输层协议头和数据字段。其中，报文头中定义的传输层协议为ESP协议。ESP报文的完整性验证部分包括ESP头部、负载数据字段和ESP尾部。该ESP报文的加密部分包括负载数据字段和ESP尾部。

在如图1和图2所示的ESP报文中，ESP头部中包括SPI字段和序列号。SPI字段用于承载SPI，SPI用于唯一标识安全联盟。序列号用于唯一标识报文，防止报文重放攻击。ESP尾部中包括填充字段(可选)、填充长度字段和下一头部。填充长度字段用于指示填充字段的长度。下一头部用于指示负载数据字段的负载类型，下一头部中携带有ESP头部的下一个字段的标识。在传输模式下，下一头部中携带传输层协议(TCP协议、UDP协议或ICMP协议)的编号；在隧道模式下，下一头部中携带原始报文的IP协议的编号，设备通过解析原始报文头确定原始报文所采用的传输层协议。其中，SPI字段的长度为32比特。序列号的长度为32比特。负载数据字段为变长字段。填充字段的长度为0～255字节。填充长度字段的长度为8比特。下一头部的长度为8比特。ESP认证数据字段为变长字段，长度为32比特的整数倍，通常为96比特。

当设备接收到如图1或图2所示的ESP报文后，需要确定原始报文的业务类型时，由于原始报文的业务信息承载于负载数据字段，设备需要解析负载数据字段得到业务信息以确定原始报文的业务类型，因此设备需要对ESP报文的加密部分进行整体解密，根据ESP尾部中的下一头部确定负载数据字段的负载类型，再基于该负载类型解析负载数据字段。设备对ESP报文的加密部分整体解密的计算量较高，导致设备的计算开销较大。

示例地，在设备入方向限速场景中，若设备的实际报文接收速率大于设备的最大报文接收速率，则设备需要根据原始报文的业务类型确定该ESP报文的重要程度，并丢弃重要程度较低的ESP报文，以保证重要程度高的ESP报文的优先传输。例如，信令报文的优先级高于多媒体业务报文的优先级，设备可以通过丢弃多媒体业务报文保证信令报文的优先传输。但是，对于设备需要丢弃的ESP报文，设备也需要对ESP报文的加密部分进行整体解密，占用了设备的大量计算能力，造成了设备的性能浪费。

图3是本申请实施例提供的一种通信网络的结构示意图。如图3所示，该通信网络中包括第一设备301和第二设备302。第一设备301与第二设备302之间建立有目标SA。第一设备301为该目标SA的发起端，第二设备302为该目标SA的目的端。该目标SA中配置的安全协议为ESP协议。也即是，该目标SA中规定第一设备301发送到第二设备302的报文采用ESP协议封装保护。本申请实施例中将采用ESP协议封装保护的报文称为ESP报文。

可选地，通信网络可以是城域网络、广域网络或园区网络等。广域网络可以是软件定义广域网络(software defined wild area network，SD-WAN)。第一设备301和第二设备302可以是网络设备，具体可以是路由器或交换机等。

可选地，第一设备301和第二设备302之间可以通过手工配置方式建立目标SA，或者，第一设备301和第二设备302之间可以通过IKE自动协商方式建立目标SA。

图4是本申请实施例提供的一种报文传输方法的流程图。该方法可以应用于如图3所示的通信网络中。如图4所示，该方法包括：

步骤401、第一设备获取原始报文的业务类型信息。

可选地，原始报文可以是TCP报文、UDP报文或ICMP报文。原始报文的业务类型信息包括原始报文的优先级、原始报文所属应用程序的标识、发送原始报文的企业的标识、发送原始报文的部门的标识和发送原始报文的用户的标识中的一个或多个。原始报文的优先级可以采用原始报文头中的差分服务代码点(differentiated services code point，DSCP)字段值表示。原始报文所属应用程序的标识可以采用应用标识(application identification，APP ID)表示。发送原始报文的企业的标识和/或发送原始报文的部门的标识可以采用虚拟专用网络标识(virtual private network identification，VPN ID)表示。发送原始报文的用户的标识可以采用用户的IP地址表示。

原始报文的业务类型信息通常承载于原始报文的数据部分中，原始报文的数据部分包括原始报文的传输层协议头和数据字段。第一设备在接收到原始报文后，对原始报文的数据部分进行解析，以获取原始报文的业务类型信息。

步骤402、第一设备基于目标安全联盟，生成原始报文的ESP报文。

可选地，图5是本申请实施例提供的一种ESP报文的结构示意图。如图5所示，该ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段。业务类型字段中包括原始报文的业务类型信息。第一加密部分包括原始报文的数据部分。原始报文的数据部分承载于第一加密部分的负载数据字段，第一加密部分还包括ESP尾部。该业务类型字段用于使第二设备根据业务类型信息确定ESP报文的处理。

可选地，原始报文的业务类型信息可以采用TLV(type-length-value)编码后承载于ESP报文的业务类型字段中。本申请实施例中，可以将业务类型字段划分为多个子字段，每个子字段作为一个基本信息单元(information element，IE)，用于承载固定的业务类型信息。例如，可以将业务类型字段划分为优先级子字段、应用标识子字段、企业标识子字段、部门标识子字段和用户标识子字段。优先级子字段中携带DSCP字段值，应用标识子字段中携带APP ID，企业标识子字段中携带VPN ID，部门标识子字段中携带VPN ID，用户标识子字段中携带IP地址。

可选地，图6是本申请实施例提供的另一种ESP报文的结构示意图。如图6所示，在如图5所示的ESP报文的基础上，该ESP报文还包括分块标识字段。该分块标识字段位于报文头与ESP头部之间，分块标识字段用于指示ESP报文中包括业务类型字段。

本申请实施例中可以采用0～255之间的某个数值作为分块标识填充在分块标识字段中，例如可以采用数值100作为分块标识填充在分块标识字段中，具体数值可以在目标安全联盟中约定。由于ESP头部中的SPI使用非0～255之间的数值，因此，当采用0～255之间的某个数值作为分块标识时，接收设备(本申请实施例指第二设备)在接收到ESP报文后，可以根据报文头之后的字段值区分位于报文头之后的字段为分块标识字段还是SPI字段。当然，分块标识也可以采用字母或字符串等其它标识表示，本申请实施例对此不做限定。

可选地，当采用如图6所示的ESP报文时，可以在目标安全联盟中协商配置：若ESP报文的报文头与ESP头部之间有分块标识字段，接收设备解析业务类型字段确定ESP报文的业务类型；若ESP报文的报文头与ESP头部之间无分块标识字段，接收设备按照传统方式确定ESP报文的业务类型，即接收设备对加密部分进行整体解密后，再解析负载数据字段，以确定ESP报文的业务类型。

本申请实施例中，通过在ESP报文的报文头与ESP头部之间添加分块标识字段，指示ESP报文中有业务类型字段，当ESP报文的报文头与ESP头部之间无分块标识字段，表示该ESP报文中无业务类型字段，可以使接收设备兼容处理传统ESP报文和本申请实施例提供的ESP报文，保证设备的兼容性能。

可选地，业务类型字段通常位于ESP头部之后。示例地，参见图5和图6，业务类型字段位于ESP头部和第一加密部分之间。当然，业务类型字段也可以位于第一加密部分和ESP认证数据字段之间，本申请实施例对业务类型字段在ESP报文中的具体位置不做限定。业务类型字段的长度以及业务类型字段在ESP报文中的位置可以在目标安全联盟中配置。业务类型字段可以是固定长度的字段，例如业务类型字段的长度可以是4个字节；或者，业务类型字段也可以是变长字段。

可选地，参见图5和图6，业务类型字段可以为ESP报文的第二加密部分。ESP报文中的第一加密部分和第二加密部分均采用目标安全联盟中配置的加密算法进行加密。目标安全联盟中配置的加密算法可以是对称加密算法，包括数据加密标准(data encryption standard，DES)算法、三重数据加密标准(triple data encryption standard，3DES)算法、高级数据加密标准(advanced encryption standard，AES)算法或国产密码算法(SM1)。当然，ESP报文中的业务类型字段也可以不加密，本申请实施例对此不做限定。

可选地，目标安全联盟的配置中可以指示在解密第一加密部分之前获取业务类型字段。或者，在如图6所示的ESP报文中，分块标识字段还可以用于指示在解密第一加密部分之前获取业务类型字段。若业务类型字段为ESP报文的第二加密部分，即业务类型字段为加密字段时，则在解密第一加密部分之前获取业务类型字段，包括：在解密第一加密部分之前对第二加密部分进行解密，以获取业务类型字段。

可选地，在如图5和图6所示的ESP报文中，当目标安全联盟中配置的封装模式为传输模式时，负载数据字段包括原始报文的数据部分。当目标安全联盟中配置的封装模式为隧道模式时，负载数据字段包括原始报文头和原始报文的数据部分。原始报文的数据部分包括传输层协议头和数据字段。本申请实施例提供的ESP报文中除业务类型字段和分块标识字段以外的其它字段的解释和作用可参考IPSec中的相关解释说明，本申请实施例在此不做赘述。另外，在如图5和图6所示的ESP报文中，完整性验证部分可以包括ESP头部、业务类型字段、负载数据字段和ESP尾部。

步骤403、第一设备向第二设备发送ESP报文。

步骤404、第二设备解析ESP报文中的业务类型字段，获取原始报文的业务类型信息。

可选地，当目标安全联盟中规定第一设备向第二设备发送如图5所示的ESP报文时，第二设备接收到第一设备发送的ESP报文后，根据目标安全联盟中配置的业务类型字段的位置以及长度，直接解析ESP报文的业务类型字段，以获取原始报文的业务类型信息。当目标安全联盟中规定第一设备可以向第二设备发送传统ESP报文(图1或图2所示的ESP报文)以及如图6所示的ESP报文时，第二设备接收到第一设备发送的ESP报文后，首先检测位于报文头之后的字段是否为分块标识字段；当确定位于报文头之后的字段为分块标识字段时，第二设备根据目标安全联盟中配置的业务类型字段的位置以及长度，解析ESP报文的业务类型字段，以获取原始报文的业务类型信息；当确定位于报文之后的字段不为分块标识字段时，第二设备按照传统方式确定原始报文的业务类型，即第二设备对ESP报文的加密部分进行整体解密，并解析负载数据字段，以获取原始报文的业务类型信息。

可选地，当业务类型字段为ESP报文的第二加密部分，则在步骤404执行之前，第二设备基于目标安全联盟中配置的加密算法，对业务类型字段进行解密。

本申请实施例中，由于ESP报文中包括业务类型字段，第二设备通过解析ESP报文的业务类型字段即可获取原始报文的业务类型信息，从而确定对该ESP报文的下一步操作，而无需对第一加密部分进行解密。当然，在某些应用场景下，第二设备也可以在解析ESP报文中的业务类型字段的同时，对ESP报文的第一加密部分进行解密，或者，第二设备还可以在解析ESP报文中的业务类型字段之前对ESP报文的第一加密部分进行解密。

步骤405、第二设备根据业务策略以及原始报文的业务类型信息，对ESP报文执行目标操作。

可选地，目标操作包括以下任意一个：对该ESP报文的第一加密部分进行解密，丢弃该 ESP报文，转发(或旁路)该ESP报文，缓存该ESP报文，解封装该ESP报文以获取该原始报文等等。

可选地，通过目标安全联盟的配置或者分块标识字段，来指示第二设备在对ESP报文的第一加密部分进行解密之前，解析ESP报文中的业务类型字段，获取原始报文的业务类型信息。这样，如果通过解析业务类型字段，确定该ESP报文要被丢弃或者转发出去，则可以避免第二设备浪费用于解密第一加密部分的计算量，进而降低第二设备的计算开销。

在设备入方向限速场景中，步骤405的实现过程可以包括：当第二设备的实际报文接收速率大于第二设备的最大报文接收速率时，第二设备丢弃低优先级的ESP报文，缓存中优先级和高优先级的ESP报文。当第二设备上配置的业务策略中指定专门的解密设备对ESP报文进行加解密功能卸载时，第二设备可以将接收到的ESP报文转发至该解密设备。当ESP报文的业务类型字段中携带有原始报文的优先级时，第二设备可以在解析业务类型字段后直接确定该ESP报文的优先级；当ESP报文的业务类型字段中未携带原始报文的优先级时，第二设备可以在解析业务类型字段后，根据原始报文所属的应用程序、发送原始报文的企业、发送原始报文的部门以及发送原始报文的用户中的一个或多个确定该ESP报文的优先级。

示例地，假设业务策略定义为：第二设备的总接口带宽为100Mbps(兆比特每秒)，分配给部门A的接口带宽为40Mbps，分给部门B的接口带宽为60Mbps。部门A的接口带宽中，分配给语音应用的接口带宽为20Mbps，分配给邮件应用的接口带宽为10Mbps，分配给上网应用的接口带宽为10Mbps。其中，语音应用为高优先级应用，邮件应用为中优先级应用，上网应用为低优先级应用。当第二设备的接口收到100Mbps部门A的流量和100Mbps部门B的流量时，第二设备通过40Mbps部门A的流量(丢弃60Mbps部门A的流量)，通过60Mbps部门B的流量(丢弃40Mbps部门B的流量)。对于部门A的流量，若语音应用的流量超过20Mbps或者邮件应用的流量超过10Mbps时，第二设备缓存超出的报文，并在后续流量减小时，发送缓存的报文，通过缓存报文的方式实现消峰填谷；若上网应用的流量超过10Mbps，则第二设备直接丢弃超出的报文。

本申请实施例提供的报文传输方法的步骤先后顺序可以进行适当调整。步骤也可以根据情况进行相应增减。任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本申请的保护范围之内，因此不再赘述。

综上所述，本申请实施例提供的报文传输方法，由于ESP报文中包括业务类型字段，第二设备通过解析ESP报文的业务类型字段即可获取原始报文的业务类型信息，进一步根据业务策略和原始报文的业务类型信息对ESP报文执行目标操作，而无需对第一加密部分进行解密，减少了第二设备在确定原始报文的业务类型的过程中的解密计算量，进而降低了第二设备的计算开销。

图7是本申请实施例提供的一种报文传输装置的结构示意图。可以应用于如图3所示的通信网络中的第一设备301。如图7所示，该装置70包括：

获取模块701，用于获取原始报文的业务类型信息。

生成模块702，用于基于目标安全联盟，生成原始报文的ESP报文，该ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，该业务类型字段中包括业务类型信息，第一加密部分包括原始报文的数据部分，该业务类型字段用于使第二设备根据业务类型信息确定ESP报文的处理。

发送模块703，用于向第二设备发送ESP报文。

可选地，业务类型字段为ESP报文的第二加密部分。

此处未尽之细节可参考图4所示的报文传输方法中的详细描述。

综上所述，本申请实施例提供的报文传输装置，由于第一设备通过生成模块生成的ESP报文中包括业务类型字段，该业务类型字段用于使第二设备根据业务类型信息确定ESP报文的处理，因此第二设备通过解析ESP报文的业务类型字段即可获取原始报文的业务类型信息，进一步根据业务策略和原始报文的业务类型信息对ESP报文执行目标操作，而无需对第一加密部分进行解密，减少了第二设备在确定原始报文的业务类型的过程中的解密计算量，进而降低了第二设备的计算开销。

图8是本申请实施例提供的另一种报文传输装置的结构示意图。可以应用于如图3所示的通信网络中的第二设备302。如图8所示，该装置80包括：

接收模块801，用于接收第一设备发送的ESP报文，该ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，第一加密部分包括原始报文的数据部分，业务类型字段中包括该原始报文的业务类型信息。

解析模块802，用于解析业务类型字段，获取原始报文的业务类型信息。

处理模块803，用于根据业务策略以及原始报文的业务类型信息，对ESP报文执行目标操作。

可选地，业务类型字段为ESP报文的第二加密部分，如图9所示，装置80还包括：

解密模块804，用于基于目标安全联盟中配置的加密算法，对业务类型字段进行解密。

综上所述，本申请实施例提供的报文传输装置，由于ESP报文中包括业务类型字段，第二设备通过解析模块解析ESP报文的业务类型字段即可获取原始报文的业务类型信息，进一步通过处理模块根据业务策略和原始报文的业务类型信息对ESP报文执行目标操作，而无需对第一加密部分进行解密，减少了第二设备在确定原始报文的业务类型的过程中的解密计算量，进而降低了第二设备的计算开销。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图10是本申请实施例提供的一种报文传输装置的框图。该报文传输装置可以是路由器或交换机等。如图10所示，该装置100包括：处理器1001和存储器1002。

存储器1002，用于存储计算机程序，该计算机程序包括程序指令；

处理器1001，用于调用计算机程序，实现如图4所示的报文传输方法中第一设备和/或第二设备执行的步骤。

可选地，装置100还可以包括通信总线1003和通信接口1004。

其中，处理器1001可以是中央处理器(central processing unit，CPU)。处理器1001可以包括一个或者一个以上处理核心，处理器1001通过运行计算机程序执行各种功能应用以及数据处理。处理器1001和存储器1002通过所述通信总线1003相连。

处理器1001还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application specific integrated circuits，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)或其任意组合。可选地，该硬件芯片可用于实现加密/解密操作。

存储器1002可用于存储计算机程序。可选地，存储器可存储操作系统和至少一个功能所需的应用程序单元。操作系统可以是实时操作系统(Real Time eXecutive，RTX)、LINUX、UNIX、WINDOWS或OS X之类的操作系统。

存储器1002可以包括易失性存储器(英文：volatile memory)，例如随机存取存储器(random access memory，RAM)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如快闪存储器(英文：flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器1002还可以包括上述种类的存储器的组合。

通信接口1004可以为多个，通信接口1004用于与其它设备进行通信。通信接口1004可以包括有线通信接口，无线通信接口或其组合。其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为无线局域网(wireless local area network，WLAN)接口，蜂窝网络通信接口或其组合等。

本申请实施例还提供了一种计算机存储介质，所述计算机存储介质上存储有程序指令，当所述程序指令被执行时，实现如图4所示的报文传输方法中第一设备执行的步骤和/或第二设备执行的步骤。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本申请实施例中，术语“第一”、“第二”和“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。术语“至少一个”是指一个或多个，术语“多个”指两个或两个以上，除非另有明确的限定。

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

以上所述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的构思和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种报文传输方法，应用于通信网络中，其特征在于，所述通信网络中包括第一设备和第二设备，所述第一设备与所述第二设备之间建立有目标安全联盟，所述第一设备为所述目标安全联盟的发起端，所述第二设备为所述目标安全联盟的目的端，所述方法包括：

所述第一设备获取原始报文的业务类型信息；

所述第一设备基于所述目标安全联盟，生成所述原始报文的封装安全载荷ESP报文，所述ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，所述业务类型字段中包括所述业务类型信息，所述第一加密部分包括所述原始报文的数据部分，所述业务类型字段用于使所述第二设备根据所述业务类型信息确定所述ESP报文的处理；

所述第一设备向所述第二设备发送所述ESP报文。
根据权利要求1所述的方法，其特征在于，所述ESP报文还包括分块标识字段，所述分块标识字段位于所述报文头与所述ESP头部之间，所述分块标识字段用于指示所述ESP报文中包括所述业务类型字段。
根据权利要求2所述的方法，其特征在于，所述分块标识字段还用于指示在解密所述第一加密部分之前获取所述业务类型字段。
根据权利要求1或2所述的方法，其特征在于，所述目标安全联盟的配置中指示在解密所述第一加密部分之前获取所述业务类型字段。
根据权利要求1至4任一所述的方法，其特征在于，所述业务类型字段为所述ESP报文的第二加密部分。
根据权利要求1至5任一所述的方法，其特征在于，所述业务类型信息包括所述原始报文的优先级、所述原始报文所属应用程序的标识、发送所述原始报文的企业的标识、发送所述原始报文的部门的标识和发送所述原始报文的用户的标识中的一个或多个。
一种报文传输方法，应用于通信网络中，其特征在于，所述通信网络中包括第一设备和第二设备，所述第一设备与所述第二设备之间建立有目标安全联盟，所述第一设备为所述目标安全联盟的发起端，所述第二设备为所述目标安全联盟的目的端，所述方法包括：

所述第二设备接收所述第一设备发送的封装安全载荷ESP报文，所述ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，所述第一加密部分包括原始报文的数据部分，所述业务类型字段中包括所述原始报文的业务类型信息；

所述第二设备解析所述业务类型字段，获取所述原始报文的业务类型信息；

所述第二设备根据业务策略以及所述原始报文的业务类型信息，对所述ESP报文执行目标操作。
根据权利要求7所述的方法，其特征在于，所述目标操作包括以下任意一个：

对所述ESP报文的第一加密部分进行解密，丢弃所述ESP报文，缓存所述ESP报文以及转发所述ESP报文。
根据权利要求7或8所述的方法，其特征在于，所述ESP报文还包括分块标识字段，所述分块标识字段位于所述报文头与所述ESP头部之间，所述分块标识字段用于指示所述ESP报文中包括所述业务类型字段。
根据权利要求9所述的方法，其特征在于，所述分块标识字段还用于指示在解密所述第一加密部分之前获取所述业务类型字段。
根据权利要求7至9任一所述的方法，其特征在于，所述目标安全联盟的配置中指示在解密所述第一加密部分之前获取所述业务类型字段。
根据权利要求7至11任一所述的方法，其特征在于，所述业务类型字段为所述ESP报文的第二加密部分，在所述第二设备解析所述业务类型字段之前，所述方法还包括：

所述第二设备基于所述目标安全联盟中配置的加密算法，对所述业务类型字段进行解密。
一种报文传输装置，应用于通信网络中，其特征在于，所述通信网络中包括第一设备和第二设备，所述第一设备与所述第二设备之间建立有目标安全联盟，所述第一设备为所述目标安全联盟的发起端，所述第二设备为所述目标安全联盟的目的端，所述装置应用于所述第一设备，所述装置包括：

获取模块，用于获取原始报文的业务类型信息；

生成模块，用于基于所述目标安全联盟，生成所述原始报文的封装安全载荷ESP报文，所述ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，所述业务类型字段中包括所述业务类型信息，所述第一加密部分包括所述原始报文的数据部分，所述业务类型字段用于使所述第二设备根据所述业务类型信息确定所述ESP报文的处理；

发送模块，用于向所述第二设备发送所述ESP报文。
根据权利要求13所述的装置，其特征在于，所述ESP报文还包括分块标识字段，所述分块标识字段位于所述报文头与所述ESP头部之间，所述分块标识字段用于指示所述ESP报文中包括所述业务类型字段。
一种报文传输装置，应用于通信网络中，其特征在于，所述通信网络中包括第一设备和第二设备，所述第一设备与所述第二设备之间建立有目标安全联盟，所述第一设备为所述目标安全联盟的发起端，所述第二设备为所述目标安全联盟的目的端，所述装置应用于所述第二设备，所述装置包括：

接收模块，用于接收所述第一设备发送的封装安全载荷ESP报文，所述ESP报文包括报文头、ESP头部、业务类型字段、第一加密部分和ESP认证数据字段，所述第一加密部分包括原始报文的数据部分，所述业务类型字段中包括所述原始报文的业务类型信息；

解析模块，用于解析所述业务类型字段，获取所述原始报文的业务类型信息；

处理模块，用于根据业务策略以及所述原始报文的业务类型信息，对所述ESP报文执行目标操作。
根据权利要求15所述的装置，其特征在于，所述目标操作包括以下任意一个：

对所述ESP报文的第一加密部分进行解密，丢弃所述ESP报文，缓存所述ESP报文以及转发所述ESP报文。
根据权利要求15或16所述的装置，其特征在于，所述ESP报文还包括分块标识字段，所述分块标识字段位于所述报文头与所述ESP头部之间，所述分块标识字段用于指示所述ESP报文中包括所述业务类型字段。
根据权利要求17所述的装置，其特征在于，所述目标安全联盟的配置中或者所述分块标识字段，指示在解密所述第一加密部分之前获取所述业务类型字段。
一种报文传输装置，其特征在于，所述装置包括：处理器和存储器；

所述存储器，用于存储计算机程序；

所述处理器，用于调用所述计算机程序，实现如权利要求1至6任一所述的报文传输方法，或者如权利要求7至12任一所述的报文传输方法。
一种计算机存储介质，其特征在于，所述计算机存储介质上存储有程序指令，当所述程序指令被执行时，实现如权利要求1至6任一所述的报文传输方法，或者如权利要求7至12任一所述的报文传输方法。