[发明专利]一种报文处理的方法及装置

说明书

技术领域

本申请涉及通信技术领域，特别是涉及一种报文处理的方法及装置。

背景技术

随着信息技术的快速发展，网络应用正在从传统、小型业务系统逐渐向大型、关键业务系统扩展。网络所承载的数据应用也日益增加，呈现复杂化、多元化趋势。为了提高数据传输的安全性，人们在通信网络中设置了具有安全防护功能的传输设备，即防火墙设备。防火墙设备除了可以识别恶意报文以外，还可以对需要传输的重要业务报文进行加密处理。

防火墙设备中配置有访问控制列表(英文：Access Control List，简称：ACL)和加密策略。ACL中包含有对业务报文的识别规则，识别规则通常由五元组信息构成，即源地址、目的地址、源端口号、目的端口号和协议。防火墙设备接收到业务报文后，获取业务报文的五元组信息。如果该业务报文的五元组信息与ACL中的五元组信息相匹配，则基于配置的加密策略对该业务报文进行加密，然后将加密后的业务报文再发送给其他传输设备。

例如，ACL的识别规则定义为：源地址范围为10.10.10.0/24，目的地址范围为30.30.30.0/24，如果业务报文的源地址在10.10.10.0/24范围内且目的地址在30.30.30.0/24范围内，则对该业务报文进行加密，否则，不对该报文加密。

基于现有技术的方案，防火墙设备也可对传输层之上的应用层报文进行保护。防火墙设备对应用层报文进行保护时，是对全部的应用层报文均进行了保护，也即是，对于不涉及保护的应用层报文也都进行了加密保护，这造成了防火墙设备资源的大量浪费。

发明内容

本申请实施例的目的在于提供一种报文处理的方法和装置，以实现细粒度的应用层报文识别，从而只对特定的部分应用层报文进行加密保护，避免了传输设备的资源浪费。具体技术方案如下：

第一方面，本申请实施例提供了一种报文处理的方法，所述方法应用于第一传输设备，所述方法包括：

接收待传输的业务报文，所述业务报文包括应用层信息；

当所述第一传输设备的访问控制列表ACL包含的识别信息中，存在与所述应用层信息相匹配的识别信息时，基于预设的加密策略，对所述业务报文进行加密处理；

向第二传输设备发送加密后的业务报文。

可选的，所述基于预设的加密策略，对所述业务报文进行加密处理，包括：

根据所述第一传输设备的ACL中与所述应用层信息相匹配的识别信息，确定对应的加密策略；

基于确定出的加密策略，对所述业务报文进行加密处理。

可选的，所述方法还包括：

向所述第二传输设备发送协商请求，所述协商请求中携带有所述ACL包含的识别信息；

接收所述第二传输设备发送的协商响应消息，所述协商响应消息中携带有所述第二传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息；

生成所述第二传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息对应的加密策略。

可选的，所述方法还包括：

接收第三传输设备发送的协商请求；

如果所述协商请求中携带有所述第三传输设备的ACL中的识别信息，且所述第一传输设备的ACL中存在所述识别信息，则向所述第三传输设备发送协商响应消息，所述协商响应消息中携带有所述第三传输设备的ACL和所述第一传输设备的ACL中共同包含的识别信息。

可选的，所述当所述第一传输设备的访问控制列表ACL包含的识别信息中，存在与所述应用层信息相匹配的识别信息时，基于预设的加密策略，对所述业务报文进行加密处理之前，还包括：

在预设的特征库中，确定与所述应用层信息相匹配的特征项；

如果所述特征项对应的安全检测结果为通过，则判断所述第一传输设备的ACL包含的识别信息中，是否存在与所述应用层信息相匹配的识别信息。

第二方面，本申请实施例提供了一种报文处理的装置，所述装置应用于第一传输设备，所述装置包括：

第一接收模块，用于接收待传输的业务报文，所述业务报文包括应用层信息；

加密模块，用于当所述第一传输设备的访问控制列表ACL包含的识别信息中，存在与所述应用层信息相匹配的识别信息时，基于预设的加密策略，对所述业务报文进行加密处理；

第一发送模块，用于向第二传输设备发送加密后的业务报文。

可选的，所述加密模块，具体用于：

根据所述第一传输设备的ACL中与所述应用层信息相匹配的识别信息，确定对应的加密策略；