[发明专利]一种数据传输方法、装置和系统

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种数据传输方法、装置和系统。

背景技术

网络互连协议安全(IP Security，IPSec)协议族是互联网工程任务组(TheInternet Engineering Task Force，IETF)制定的一系列协议，它为IP数据包提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据包在网络上传输时的私有性、完整性、真实性和防重放。

IPSec为保障IP数据包的安全，定义了一个特殊的方法，它规定了要保护什么通信、如何保护它，以及通信数据发给何人。IPSec可保障主机之间、网络安全网关(如路由器或防火墙)之间，或主机与安全网关之间的数据包的安全。由于受IPSec保护的数据包本身不过是另一种形式的IP包，所以完全可以嵌套提供安全服务，同时在主机之间提供像端到端这样的验证，并通过一个通道，将那些受IPSec保护的数据传送出去(通道本身也通过IPSec受到安全网关的保护)。

IPSec的模式包含传输模式和通道模式。两种模式的区别非常直观，即它们保护的东西不同，传输模式是保护IP载荷，通道模式是保护IP包。

传输模式下，在IP包头和高层协议包头之间插入一个IPsec包头，例如：认证头(Authentication Header，AH)或封装安全负载头(Encapsulating SecurityPayload，ESP)。在这种模式下，IP包头与原始IP分组中的IP包头相同，只是IP协议字段被改为AH(51)或ESP(50)，并重新计算IP包头校验和。

传输模式保护数据包的有效负载、高层协议，IPsec源端点不会修改IP包头中的目标IP地址，原来的IP地址保持明文。传输模式只为高层协议提供安全。这种模式常应用在需要保护的两台主机之间的端到端的连接，而不是有多台主机的两个网关之间的数据流。

在隧道模式下，原始IP分组被封装成一个新的IP数据包，并在内部包头和外部包头之间插入一个IPsec包头(AH或ESP)，原IP地址被当作有效载荷的一部分受到IPsec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。隧道模式提供原始整个IP数据包的安全性。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

对于传输模式的技术方案，只提供了端到端的安全保障，存在安全保护的局限性；

对于隧道模式的技术方案，一方面，增加了IP头，加重网络的负担；另一方面，该方案保护的是IP包，而非载荷，同样存在安全保护的局限性。

发明内容

本发明实施例要解决的问题是提供一种数据传输方法，不会涉及到通道方式下的增加新的IP头的操作，并且，同时实现非端到端的传输模式，以及对载荷数据进行保护的效果。

为达到上述目的，本发明实施例一方面提出一种数据传输方法，包括以下步骤：

接收网络侧发送给用户侧的数据报文，识别所述数据报文的路由是否符合预设的路由规则；

当所述数据报文的路由符合所述路由规则时，根据所述数据报文的类型，处理所述数据报文。

另一方面，本发明实施例还提出一种数据传输装置，包括：

接收模块，用于接收网络侧发送给用户侧的数据报文；

识别模块，用于识别所述接收模块所接收的由所述网络侧发送给所述用户侧的数据报文的路由是否符合预设的路由规则；

处理模块，用于当所述识别模块识别所述数据报文的路由符合所述路由规则时，根据所述数据报文的类型，处理所述数据报文。

另一方面，本发明实施例还提出一种数据传输系统，包括网络侧设备，数据传输装置和用户侧终端：

所述网络侧设备，用于通过所述数据传输装置向所述用户侧终端发送数据报文；

所述数据传输装置，用于接收所述网络侧设备发送给所述用户侧终端的数据报文，识别所述数据报文的路由是否符合预设的路由规则，当所述数据报文的路由符合所述路由规则时，根据所述数据报文的类型，处理所述数据报文；

所述用户侧终端，用于接收所述数据传输装置所处理的数据报文。

通过应用本发明实施例所提出的技术方案，在设备上设置路由规则来拦截数据报文，从而，达到了可以主动的将数据报文进行加解密处理后进行发送，不会涉及到通道方式下的增加新的IP头的操作，同时实现了非端到端的传输模式，以及对载荷数据进行保护的效果。