技術領域

本發明涉及通信技術領域，尤其是涉及一種基于IPsec（IP?Security，IP安全）的報文傳輸方法和設備。

背景技術

IPsec是實現三層VPN（Virtual?Private?Network，虛擬專用網）的技術，通過建立IPsec隧道來傳輸數據報文，并在IP層提供以下安全服務：數據機密性（IPsec發送端設備在通過網絡傳輸數據報文之前對數據報文進行加密），數據完整性（IPsec接收端設備對數據報文進行認證，以確保數據報文在傳輸過程中沒有被篡改），數據來源認證（IPsec接收端設備認證IPsec發送端設備是否合法），防重放（IPsec接收端設備檢測并拒絕接收過時或重復的數據報文）。

其中，IPsec提供了兩種安全機制：認證機制和加密機制；認證機制可以使得IPsec接收端設備能夠確認IPsec發送端設備的真實身份以及數據報文在傳輸過程中是否遭到篡改；加密機制通過對數據報文進行加密運算來保證數據報文的機密性，以防止數據報文在傳輸過程中被竊聽。

IPsec包括AH（Authentication?Header，認證頭）和ESP（Encapsulating?Security?Payload，封裝安全載荷）等安全協議，并支持傳輸模式和隧道模式；如圖1所示，在傳輸模式下，數據報文的發送端（主機A，即IPsec發送端設備）和接收端（主機B，即IPsec接收端設備）為數據報文的實際發送端和接收端，通常情況下，傳輸模式用于保護兩臺主機之間的數據報文傳輸過程。

如圖2所示，為傳輸模式下的數據報文封裝示意圖，在ESP封裝（即將數據報文封裝為ESP報文）之前，包括IP頭和內部數據（數據報文頭和數據報文載荷）；在進行ESP封裝之后，包括IP頭、ESP頭、內部數據和ESP尾；如圖3所示，為一種ESP報文的格式示意圖，其中包括ESP頭、內部數據和ESP尾等。

為了防止對ESP報文進行攻擊，IPsec發送端設備在發送ESP報文時，需要在ESP報文中隨機填充TFC（Traffic?Flow?Confidentiality，流信息保密）Padding（填充），且數據報文頭中需要明確內部數據的長度，以使IPsec接收端設備能夠將TFC?Padding從ESP報文中刪除；而現有技術中，大部分協議的數據報文頭中均不會明確內部數據的長度，導致TFC?Padding的應用場景受到限制，即在沒有明確內部數據長度的應用場景下無法使用TFC?Padding技術。

發明內容

本發明實施例提供一種基于IPsec的報文傳輸方法和設備，以提高傳輸模式下，TFC?Padding應用場景的使用范圍。

為達上述目的，本發明實施例提供一種基于IPsec的報文傳輸方法，應用于包括IPsec發送端設備和IPsec接收端設備的網絡中，該方法包括以下步驟：

所述IPsec發送端設備確定待發送給所述IPsec接收端設備的數據報文，所述數據報文中攜帶IP頭、數據報文頭、數據報文載荷；

所述IPsec發送端設備將所述IP頭、數據報文頭、數據報文載荷添加到ESP報文中，并在所述ESP報文中添加TFC?Padding，在所述TFC?Padding的指定字段中添加TFC?Padding的長度或者數據報文頭與數據報文載荷的長度；

所述IPsec發送端設備對所述數據報文頭、數據報文載荷、TFC?Padding、TFC?Padding的長度或者數據報文頭與數據報文載荷的長度進行IPsec處理，并將經過IPsec處理后的ESP報文發送給所述IPsec接收端設備；

由所述IPsec接收端設備利用TFC?Padding的長度或者數據報文頭與數據報文載荷的長度確定TFC?Padding的長度，并利用所述TFC?Padding的長度從所述ESP報文中刪除TFC?Padding，以得到所述數據報文。

所述TFC?Padding的指定字段具體為：

所述TFC?Padding中的最后兩位字節；或者，

所述IPsec發送端設備與所述IPsec接收端設備之間協商的TFC?Padding中的指定位臵的多個字節。

本發明實施例提供一種基于IPsec的報文傳輸方法，應用于包括IPsec發送端設備和IPsec接收端設備的網絡中，該方法包括以下步驟：