技術領域

本發明涉及通信技術領域，特別涉及報文處理方法、系統及裝置。

背景技術

通常VPN(Virtual?Private?Network，虛擬專用網絡)設備都支持IPSEC(Security?Architecture?for?IP?network，IP層協議安全結構)協議，IPSEC協議是一種為保護網絡數據報文通信而提供的安全協議族，主要是針對數據報文通過公共網絡時的數據安全性、有效性、完整性和合法性等問題而進行的加密和認證。

VPN設備之間的通信通過建立IPSEC隧道，并在IPSEC隧道中進行有規則的數據報文保護，保護規則基于ACL(Access?Control?List，訪問控制列表)規則實現，ACL規則中定義了需要保護的數據報文的類型，該類型通過數據報文的源IP地址、目的IP地址、協議號、源端口或目的端口等屬性進行限制，定義好的每一條ACL規則與相應的IPSEC策略進行綁定，IPSEC策略中定義了IPSEC隧道的信息、協商模式、協議類型、加解密算法等信息。假設VPN設備A通過與VPN設備B之間建立的IPSEC隧道首次向VPN設備B傳輸數據報文，則首先在VPN設備A側對該數據報文進行安全策略的匹配，即通過分析該數據報文的類型獲得對應的ACL規則，通過該ACL規則匹配相應的IPSEC策略，然后根據匹配到的安全策略中的信息通過IKE(Internet?Key?Exchange，網絡密鑰交換)自動進行安全聯盟的協商建立，安全聯盟的協商主要包括密鑰的生成，ACL規則的確認以及雙方的身份認證等，最后應用建立的安全聯盟進行數據報文的傳輸。

發明人在對現有技術的研究過程中發現，現有技術由于通過IPSEC隧道進行保護的數據報文必須定義ACL規則，因此要求設備必須支持ACL功能，限制了IPSEC隧道的應用范圍；由于現有IPSEC隧道主要基于設備的接口IP進行配置，即為傳輸的數據報文配置的源?IP地址為接口IP地址，而由于網絡層的功能限制，僅有三層網絡中的設備接口才能對數據報文配置IP地址，而二層網絡中的設備接口無法配置IP地址，僅能進行轉發，導致現有的數據報文只能在三層網絡設備間傳輸，而無法應用于二層網絡設備。

發明內容

本發明實施例的目的在于提供報文處理方法、系統及裝置，以使應用IPSEC隧道進行傳輸的報文無需進行ACL規則匹配就可應用IPSEC安全策略進行報文傳輸，擴大了IPSEC隧道的應用范圍，使其能夠應用于二層設備。

為實現本發明實施例的目的，本發明實施例提供如下技術方案：

一種報文處理方法，包括：

檢測用于轉發數據報文的接口是否配置有IPSEC策略；

當檢測配置有IPSEC策略，且檢測存在IPSEC隧道時，對數據報文進行加密，所述加密的密碼為通過隧道協商獲得的密碼；

通過配置了IPSEC策略的接口轉發所述加密的數據報文。

一種報文處理方法，包括：

配置了IPSEC策略的接口接收加密數據報文，所述加密數據報文為報文發送方檢測到用于轉發數據報文的接口配置有IPSEC策略，且檢測存在IPSEC隧道時，對數據報文進行加密后，通過配置了IPSEC策略的接口轉發的加密數據報文；

檢測存在IPSEC隧道時，對所述數據報文進行解密，所述解密的密碼為通過隧道協商獲得的密碼。

一種數據報文處理系統，包括：發送端設備和接收端設備，

所述發送端設備，用于檢測用于轉發數據報文的接口是否配置有IPSEC策略，當檢測配置有IPSEC策略，且檢測存在IPSEC隧道時，對數據報文進行加密，所述加密的密碼為與所述接收端設備通過隧道協商獲得的密碼，并通過配置了IPSEC策略的接口轉發所述加密的數據報文；

所述接收端設備，用于通過配置了IPSEC策略的接口接收到所述加密的數據報文并檢測存在IPSEC隧道時，對所述數據報文進行解密，所述秘密的密碼為與所述發送端設備通過隧道協商獲得的密碼。

一種報文處理裝置，包括：

檢測單元，用于檢測轉發數據報文的接口是否配置有IPSEC策略，以及檢測是否存在IPSEC隧道；

加密單元，用于所述檢測單元檢測存在所述IPSEC隧道時，對數據報文進行加密，所述加密的密碼為通過隧道協商獲得的密碼；

轉發單元，用于通過配置了IPSEC策略的接口轉發所述加密的數據報文。

一種報文處理裝置，包括：