管控IPSEC隧道数据按需分配的方法、系统、终端及存储介质技术方案

本申请涉及一种管控IPSEC隧道数据按需分配的方法、系统、终端及存储介质，属于IPSEC隧道管控领域，其方法包括获取数据包；基于预设的打标规则为各个所述数据包增加识别标签；在所述识别标签符合预设的加密条件时，将对应的所述数据包传输至IPSEC隧道进行加密；否则，将对应的所述数据包传输至其他传输路径，不经过所述IPSEC隧道进行加密。通过对每个数据包增加识别标签，依此判断各个数据包是否需要进行IPSEC隧道的加密步骤，有助于对已经加密过的数据包进行精确的传输控制。本申请具有IPSEC隧道的管控精度高和管控灵活性高的效果。隧道的管控精度高和管控灵活性高的效果。隧道的管控精度高和管控灵活性高的效果。

【技术实现步骤摘要】
管控IPSEC隧道数据按需分配的方法、系统、终端及存储介质


[0001]本专利技术涉及IPSEC隧道管控领域，尤其是涉及一种管控IPSEC隧道数据按需分配的方法、系统、终端及存储介质。

技术介绍

[0002]IPSEC是一种开放标准的框架结构，通过使用加密的安全服务以确保数据包在Internet协议网络上进行保密而安全的通讯。在两个子网需要通信时，利用IPSEC在两个子网间建立IPSEC隧道，数据包通过IPSEC隧道流转。在流转过程中，通过IPSEC隧道的安全策略模块查找数据包相应的加解密策略，而后利用IPSEC隧道的加解密模块进行加解密过程。
[0003]相关技术中，数据包通常在网络层进行隧道加解密工作，而在实际应用中，专利技术人发现，在不同网关的通信过程中，部分数据包需要经过IPSEC隧道的加解密，部分数据包不需要经过IPSEC隧道的加解密，例如数据包已经经过了加密过程，对于不需要进行IPSEC隧道加密的数据包，同样经过了IPSEC的安全策略模块和加解密模块，致使IPSEC隧道的控制精度较低。

技术实现思路

[0004]为了便于提高IPSEC隧道的管控精度，本专利技术提供一种管控IPSEC隧道数据按需分配的方法、系统、终端及存储介质。
[0005]第一方面，本申请提供的一种管控IPSEC隧道数据按需分配的方法采用如下的技术方案：一种管控IPSEC隧道数据按需分配的方法，包括：获取数据包；基于预设的打标规则为各个所述数据包增加识别标签；在所述识别标签符合预设的加密条件时，将对应的所述数据包传输至IPSEC隧道进行加密；否则，将对应的所述数据包传输至其他传输路径，不经过所述IPSEC隧道进行加密。
[0006]通过采用上述技术方案，获取到数据包后，先为数据包增加识别标签，而后在数据包传输前，对数据包携带的识别标签进行判断，若符合加密条件，则将对应的数据包传输至对应的IPSEC隧道中，进行加密；若不符合加密条件，则不经过IPSEC隧道进行加密，有助于对已经加密过的数据包进行精确的传输控制，即管控了进入IPSEC隧道的数据包类型，便于提高IPSEC隧道的管控精度。
[0007]可选的，预设有赋值表，所述赋值表包含若干五元组阈值组和与所述五元组阈值组对应的所述识别标签；所述五元组阈值组包括源地址阈值、目的地址阈值、协议类型阈值、目的端口阈值和源端口阈值；所述基于预设的打标规则为各个所述数据包增加识别标签的步骤包括：
获取所述数据包的五元组数据；所述五元组数据包括源地址、目的地址、协议类型、目的端口和源端口；在所述五元组数据与所述赋值表中的任一所述五元组阈值组对应时，调取对应的所述识别标签；将调取的所述识别标签赋予对应的所述数据包。
[0008]通过采用上述技术方案，利用传输层中的五元组信息对数据包进行识别标签的赋予，一方面，赋值表中的五元组阈值组便于修改，从而便于提高IPSEC隧道的配置灵活性，可以更便捷的控制数据包的传输走向；另一方面，由于数据包传输途径控制更为灵活，从而有助于减少已经进行过加密的数据包进入IPSEC隧道中的概率，降低IPSEC隧道的负载。
[0009]可选的，所述赋值表为Netfilter NAT表，所述五元组阈值组和所述识别标签存储在所述Netfilter NAT表的PREROUTING链中。
[0010]通过采用上述技术方案，应用Netfilter NAT表技术，便于保证每个数据包只匹配一次规则，即每个数据包不易出现携带两个识别标签的情况，一方面有助于保证数据包的有序传输，不易丢包；另一方面有助于降低识别标签的赋予压力。
[0011]可选的，判断所述五元组数据与所述五元组阈值组对应的步骤包括：判断所述源地址是否符合所述源地址阈值、所述目的地址是否符合所述目的地址阈值、所述协议类型是否符合所述协议类型阈值、所述目的端口是否符合所述目的端口阈值以及所述源端口是否符合所述源端口阈值；若均符合，则视对应的所述五元组数据与对应的所述五元组阈值组对应；否则，视为不对应。
[0012]可选的，在所述赋值表中的所述五元组阈值组和/或所述识别标签变化时，删除与发生变化的所述五元组阈值组或所述识别标签相关的所述数据包的所述识别标签，并基于改变后的所述五元组阈值组和/或所述识别标签为所述数据包增加新的所述识别标签。
[0013]通过采用上述技术方案，在五元组阈值组和/或识别标签发生变化时，将相关数据包的识别标签进行更新，有助于提高管控精度。
[0014]可选的，在所述识别标签符合预设的加密条件时之前，还包括：判断所述数据包携带的所述识别标签是否为预设的识别阈值；若是，则视所述识别标签符合所述加密条件；否则，视所述识别标签不符合所述加密条件。
[0015]通过采用上述技术方案，通过设置识别阈值的方式，判断数据包是否需要进行IPSEC隧道加密，便于减少资源占用，有助于提高数据包管控效率。
[0016]第二方面，本申请提供的一种管控IPSEC隧道数据按需分配的系统采用如下的技术方案：一种管控IPSEC隧道数据按需分配的系统，包括获取模块，用于获取数据包；打标模块，用于基于预设的打标规则为各个所述数据包增加识别标签；和处理模块，用于判断所述识别标签是否符合预设的加密条件；在所述识别标签符合预设的加密条件时，将对应的所述数据包传输至IPSEC隧道进行加密；否则，将对应的所述数据包传输至其他传输路径，不经过所述IPSEC隧道进行加密。
[0017]通过采用上述技术方案，通过对数据包进行打标的方式，对各个数据包进行标记。
在数据包携带的标记，即识别标签符合预设的加密条件时，将数据包传输至IPSEC隧道进行加密，否则越过IPSEC隧道的加密步骤，便于精确控制哪些数据包需要进行IPSEC隧道的加密，哪些数据包不需要，提高了IPSEC隧道的管控精度。
[0018]可选的，所述系统还包括数据库，预存有赋值表，所述赋值表包含若干五元组阈值组和与所述五元组阈值组对应的所述识别标签；所述五元组阈值组包括源地址阈值、目的地址阈值、协议类型阈值、目的端口阈值和源端口阈值；所述打标模块包括抓取子模块，用于获取所述数据包的五元组数据；所述五元组数据包括源地址、目的地址、协议类型、目的端口和源端口；和调取子模块，用于在所述五元组数据与所述赋值表中的任一所述五元组阈值组对应时，调取对应的所述识别标签，并将调取的所述识别标签赋予对应的所述数据包。
[0019]通过采用上述技术方案，数据包的五元组数据属于通过传输层判断数据包是否需要进行IPSEC隧道，相较于相关技术中IPSEC隧道的管控，便于将IPSEC隧道的管控精确到每个数据包。
[0020]第三方面，本申请提供的一种智能终端采用如下的技术方案：一种智能终端，包括存储器和处理器，所述存储器中存储有管控IPSEC隧道数据按需分配的程序，所述处理器用于在执行管控IPSEC隧道数据按需分配的程序时采用上述任一项方法。
[0021]通过采用上述技术方案，能够储存并处理相应的程序，便于提高I本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种管控IPSEC隧道数据按需分配的方法，其特征在于，包括：获取数据包；基于预设的打标规则为各个所述数据包增加识别标签；在所述识别标签符合预设的加密条件时，将对应的所述数据包传输至IPSEC隧道进行加密；否则，将对应的所述数据包传输至其他传输路径，不经过所述IPSEC隧道进行加密。2.根据权利要求1所述的一种管控IPSEC隧道数据按需分配的方法，其特征在于，预设有赋值表，所述赋值表包含若干五元组阈值组和与所述五元组阈值组对应的所述识别标签；所述五元组阈值组包括源地址阈值、目的地址阈值、协议类型阈值、目的端口阈值和源端口阈值；所述基于预设的打标规则为各个所述数据包增加识别标签的步骤包括：获取所述数据包的五元组数据；所述五元组数据包括源地址、目的地址、协议类型、目的端口和源端口；在所述五元组数据与所述赋值表中的任一所述五元组阈值组对应时，调取对应的所述识别标签；将调取的所述识别标签赋予对应的所述数据包。3.根据权利要求2所述的一种管控IPSEC隧道数据按需分配的方法，其特征在于：所述赋值表为Netfilter NAT表，所述五元组阈值组和所述识别标签存储在所述Netfilter NAT表的PREROUTING链中。4.根据权利要求2或3所述的一种管控IPSEC隧道数据按需分配的方法，其特征在于，判断所述五元组数据与所述五元组阈值组对应的步骤包括：判断所述源地址是否符合所述源地址阈值、所述目的地址是否符合所述目的地址阈值、所述协议类型是否符合所述协议类型阈值、所述目的端口是否符合所述目的端口阈值以及所述源端口是否符合所述源端口阈值；若均符合，则视对应的所述五元组数据与对应的所述五元组阈值组对应；否则，视为不对应。5.根据权利要求2或3所述的一种管控IPSEC隧道数据按需分配的方法，其特征在于，在所述赋值表中的所述五元组阈值组和/或所述识别标签变化时，删除与发生变化的所述五元组阈值组或所述识别标签相关的所述数据包的所述识别标签，并基于改变...

【专利技术属性】
技术研发人员：国占飞，万志宇，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：