WO2020134413A1

WO2020134413A1 - 一种数据传输方法、装置、相关设备及存储介质

Info

Publication number: WO2020134413A1
Application number: PCT/CN2019/112548
Authority: WO
Inventors: 毛玉欣; 闫新成; 吴华强; 刘艳昌
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2018-12-28
Filing date: 2019-10-22
Publication date: 2020-07-02
Anticipated expiration: 2021-06-28
Also published as: EP3905623A4; CN111385259A; EP3905623B1; EP3905623A1; CN111385259B

Abstract

本申请公开了一种数据传输方法，装置、相关设备及存储介质。其中，该方法包括：利用数据流的流标识，以及传输所述数据流的网络协议安全(IPSec，Internet Protocol Security)隧道的安全参数索引(SPI，Security Parameter Index)标识，确定虚拟SPI标识；针对所述数据流中的每个加密后的报文，将虚拟SPI标识携带于相应报文中；通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。

Description

一种数据传输方法、装置、相关设备及存储介质

技术领域

本申请涉及网络通信安全技术领域，尤其涉及一种数据传输方法、装置、相关设备及存储介质。

背景技术

目前，在第五代移动通信(5G，the 5th Generation mobile communication technology)网络中，为保证数据传输的安全性，通常会使用IPSec隧道对数据进行完整性保护。目前，为了提高IPSec隧道的处理性能，加密端将数据流通过IPSec隧道传输至解密端后，解密端会按照预设算法将数据流的各报文传输至多个解密单元进行解密处理。

上述方式解密端通过多个解密单元对数据流的各报文进行分别处理，很可能会加剧报文乱序。

发明内容

为解决存在的相关技术问题，在本申请实施例中提供了一种数据传输方法、装置、相关设备及存储介质。

本申请实施例的技术方案是这样实现的：

本申请实施例提供了一种数据传输方法，应用于发送端，所述方法包括：利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识；针对所述数据流中的每个加密后的报文，将虚拟SPI标识携带于相应报文中；通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。

本申请实施例提供了一种数据传输方法，应用于接收端，所述方法包括：接收发送端通过IPSec隧道发送的数据流；所述数据流的各报文中携带有虚拟SPI标识；所述虚拟SPI标识是所述发送端基于所述数据流的流标识以及传输所述数据流的IPSec隧道的SPI标识确定的；利用虚拟SPI标识，将所述数据流的各报文送入同一个解密单元进行解密处理。

本申请实施例提供了一种数据传输装置，应用于发送端，所述装置包括：第一确定单元，设置为利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识；加密单元，设置为针对所述数据流中的每个加密后的报文，将虚拟SPI标识携带于相应报文中；第一传输单元，设置为通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。

本申请实施例提供了一种数据传输装置，应用于接收端，所述装置包括：第一接收单元，设置为接收发送端通过IPSec隧道发送的数据流；所述数据流的各报文中携带有虚拟SPI标识；所述虚拟SPI标识是所述发送端基于所述数据流的流标识以及传输所述数据流的IPSec隧道的SPI标识确定的；第一解密单元，设置为利用虚拟SPI标识，将所述数据流的各报文送入同一个解密单元进行解密处理。

本申请实施例提供了一种数据传输装置，应用于发送端，所述装置包括：第一确定单元，设置为确定数据流的区分标识；还设置为利用数据流的区分标识与子IPSec隧道的SPI标识的映射关系，确定所述数据流传输所使用的子IPSec隧道；第二传输单元，设置为利用确定的子IPSec隧道，向接收端传输所述数据流；通过所述确定的子IPSec隧道将所述数据流传输至所述接收端的与所述子IPSec隧道对应的解密单元进行解密处理。

本申请实施例提供了一种数据传输装置，应用于接收端，所述装置包括：第二接收单元，设置为接收发送端通过子IPSec隧道发送的数据流；第二解密单元，设置为将通过子IPSec隧道传输的所述数据流发送至与所述子IPSec隧道对应的解密单元进行解密处理。

本申请实施例提供了一种发送设备，包括：第一处理器和设置为存储能够在处理器上运行的计算机程序的第一存储器，其中，所述第一处理器设置为运行所述计算机程序时，执行上面所述任一项发送端数据传输方法的步骤。

本申请实施例提供了一种接收设备，包括：第二处理器和设置为存储能够在处理器上运行的计算机程序的第二存储器，其中，所述第一处理器设置为运行所述计算机程序时，执行上面所述任一项接收端数据传输方法的步骤。

本申请实施例提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上面所述任一项数据传输方法的步骤。

本申请实施例提供的数据传输方法、装置、相关设备及存储介质，利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识；针对所述数据流中的每个加密后的报文，将虚拟SPI标识携带于相应报文中；通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。采用本申请实施例的方案，所述发送端将携带有虚拟SPI标识的各报文发送给接收端，这样，所述接收端可以将具有相同虚拟SPI标识的报文送入同一个解密单元进行解密处理。如此，可避免报文乱序问题的发生，同时还能提高IPSec隧道的处理性能。

附图说明

图1为相关技术中IPSec隧道的示意图；

图2为相关技术中通过IPSec隧道进行数据传输的示意图；

图3为相关技术中报文乱序的示意图；

图4为本申请实施例数据传输方法的实现流程示意图一；

图5为本申请实施例数据传输方法的实现流程示意图二；

图6为本申请实施例数据传输方法的实现流程示意图三；

图7为本申请实施例数据传输方法的实现流程示意图四；

图8为本申请实施例确定虚拟SPI标识的示意图；

图9为本申请实施例对报文进行解密的示意图；

图10为本申请实施例通过子IPSec隧道传输数据流的示意图；

图11为本申请实施例数据传输装置的组成结构示意图一；

图12为本申请实施例数据传输装置的组成结构示意图二；

图13为本申请实施例数据传输装置的组成结构示意图三；

图14为本申请实施例数据传输装置的组成结构示意图四；

图15为本申请实施例数据传输装置的组成结构示意图五；

图16为本申请实施例数据传输装置的组成结构示意图六。

具体实施方式

下面结合附图及实施例对本申请再作进一步详细的描述。

目前，为了保证数据传输的安全性以及对数据的完整性进行保护，需要在所述发送端与所述接收端之间建立IPSec隧道。IPSec隧道可以用安全联盟(SA，Security Association)表示。在正式建立IPSec隧道之前，发送端和接收端需要进行协商，以建立SA。由于IPSec隧道是单向的，因此，一个IPSec隧道包括两个SA，每个SA可以使用SPI进行唯一标识。SA约定了隧道两端使用相同的封装模式、加密算法、加密密钥、验证算法、验证密钥。其中，封装模式可以包括封装安全载荷(ESP，Encapsulating Security Payload)、验证头(AH，Authentication Header)；加密算法可以包括数据加密标准(DES，Data Encryption Standard)、数字加密标准3(3DES，Triple DES)、高级加密标准(AES，Advanced Encryption Standard)；验证算法可以包括消息摘要5(MD5，Message Digest 5)、安全哈希算法1(SHA1，Secure Hash Algorithm1)、安全哈希算法2(SHA，Secure Hash Algorithm12)。

这里，IPSec隧道的建立方式可以包括手动建立方式和因特网密钥交换协议(IKE，Internet Key Exchange)动态协商建立方式。

手动建立方式可以包括以下步骤：

步骤1，配置ACL，通过访问控制列表(ACL，Access Control List)定义需要保护的数据流，即ACL包含需要保护的数据流的标识，通常为五元组。

这里，只有ACL定义的数据流才被IPSec隧道保护，其他数据流不受保护。

步骤2，建立IPSec SA。

可选地，配置IPSec安全提议：隧道两端在各自的安全提议中配置相同的封装模式、加密算法、验证算法。配置IPSec安全策略：定义隧道两端使用的地址、SA标识符SPI、加密密钥、验证密钥等等。配置应用IPSec安全策略，建立IPSec隧道，按照ACL策略并通过建立的IPSec隧道对报文传输。

IKE动态协商方式可以包括以下步骤：

步骤1，配置ACL，通过ACL定义被保护的数据流，即ACL包含需要保护的数据流的标识。

这里，如果使用IKEv1，则不协商ACL规则，隧道两端设备配置的ACL规则互为镜像，避免IPSec SA协商失败。如果使用IKEv2，则通过传输选择器(TS，Traffic Selector)载荷实现两端设备的ACL规则协商，最终结果取双方ACL规则的交集。

步骤2，建立IKE SA。

可选地，协商IKE安全提议：配置建立IKE SA时的加密和验证算法，协商消息接收方在自己配置的IKE安全提议中寻找与发送方相匹配的IKE安全提议，如果没有匹配的安全提议则协商失败.配置IKE对等体：配置IKE版本、身份认证和交换模式。建立IPSec SA：可选地，配置IPSec安全提议：隧道两端在各自的安全提议中配置相同的封装模式、加密算法、验证算法。配置IPSec安全策略：定义隧道两端使用的地址、SA标识符SPI、加密密钥、验证密钥等等。配置应用IPSec安全策略，建立IPSec隧道，按照ACL策略并通过建立的IPSec隧道对报文传输。

这里，IKE动态协商建立方式中，增加了IKE SA建立的过程。

需要说明的是，手动建立方式和IKE方式协商方式都必须要求隧道两端所使用的IP地址固定。建立IPSec隧道后，发送端在接收一个数据流后，首先根据ACL判断所述数据流的各报文是否使用IPSec加密，如果需要，则查找对应的SA，利用所述SA将加密后的各报文发送给接收端。接收端对所述数据流的加密后的各报文进行解密，并向报文目的地转发解密后的各报文。

图1是IPSec隧道的示意图，如图1所示，在网关A和网关B之间建立IPSec隧道1(用SA1表示)，用于供网关A发送数据、网关B接收数据；并建立IPSec隧道2(用SA2表示)，用于供网关B发送数据、网关A接收数据。

图2是通过IPSec隧道进行数据传输的示意图，如图2所示，5G网络中的集中单元(CU，Central Unit)所在的数据中心和分布式单元(DU，Distributed Unit)所在的数据中心在非信任网络中进行数据传输时，需要在两个数据中心之间建立IPSec隧道，以对数据进行完整性保护，防止数据被窃取或篡改。此外，无线接入和核心网之间的回传网、业务网络网元和管理域网元之间的管理编排网络也存在数据安全传输的需求。5G网络中，对数据传输的速率存在极高的需求，比如，国际电信联盟(ITU，International Telecommunication Union)定义了单用户峰值速率需达到10-20Gbps，对回传网的数据速率要求更高。如果数据传输路径上需要使用IPSec隧道，则要求IPSec隧道的处理性能也应达到相应要求。

目前，IPSec隧道的处理性能受限于硬件处理性能的局限，如果加密端或解密端分别使用单一处理单元对报文进行加密或解密，IPSec隧道仅能达到数百Mbps的处理性能。如果加密端或解密端分别使用多处理单元或分布式处理单元，加密端将数据流通过IPSec隧道传输至解密端后，解密端会按照预设算法将数据流的各报文传输至多个解密单元进行解密处理。这样，虽然可提升IPSec隧道的处理性能，但分流处理会加剧报文乱序，影响到业务体验。

图3是相关技术中报文乱序的示意图，如图3所示，数据流由报文A、报文B、报文C、报文D组成。网关A接收到数据流后，网关A按照预设算法，将报文A分配给处理单元1进行加密处理，将报文B分配给处理单元2进行加密处理，将报文C分配给处理单元3进行加密处理，将报文D分配给处理单元4进行加密处理，并通过IPSec隧道将加密后的各报文发送给网关B。网关B接收到数据流的各加密报文后，按照预设算法，将加密后的报文A分配给处理单元1进行解密处理，将加密后的报文B分配给处理单元2进行解密处理，将加密后的报文C分配给处理单元3进行解密处理，将加密后的报文D分配给处理单元4进行解密处理。由于每个处理单元接收报文的时序可能不同，每个处理单元对报文的处理方式可能不同，因此，可能会导致报文乱序问题的发生。

基于此，在本申请的各种实施例中，利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识；针对所述数据流中的每个加密后的报文，将虚拟SPI标识携带于相应报文中；通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。

本申请实施例提供一种数据传输方法，应用于发送端，如图4所示，该方法包括：

步骤401：利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识。

其中，IPSec，即IP Security，它是IETF制定的三层隧道加密协议，可以是基于端对端的安全模式，在源IP地址和目的IP地址之间建立信任和安全性。

这里，为了保证数据传输的安全性，可以在所述发送端和接收端之间建立多条IPSec隧道，并用SPI标识进行唯一标识。其中，所述接收端为每条IPSec隧道分配多个解密单元。

实际应用时，为了使所述接收端在对所述数据流的各报文进行解密前，就能够将同一个数据流的各报文送入多个解密单元中的同一个解密单元进行解密处理，可以利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识；所述虚拟SPI标识用于供所述接收端将具有相同虚拟SPI标识的报文送入同一个解密单元进行处理。

这里，在确定虚拟SPI标识之前，所述发送端还需要针对虚拟SPI支持能力与所述接收端进行协商，以确定所述接收端是否具有支持虚拟SPI的能力。

基于此，在一个可选的实施例中，所述利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识之前，所述方法还包括：判断所述接收端是否具有支持虚拟SPI的能力；当确定所述接收端具有支持虚拟SPI的能力时，利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识。

这里，所述发送端与所述接收端关于是否支持虚拟SPI的能力进行协商，协商的过程可以为：所述发送端对所述数据流的IPSec隧道的SPI标识进行设置，比如将SPI标识的最高比特位设置为1，以表征所述发送端具有支持虚拟SPI的能力；所述发送端将设置的SPI标识发送至所述接收端；所述接收端读取所述发送端支持虚拟SPI能力；所述接收端也进行SPI最高位设置，并将设置的SPI标识发送至所述发送端；所述发送端根据所述接收端发送的SPI标识，确定所述接收端是否具有支持虚拟SPI的能力，可选地，如果所述接收端将最高位的取值设置为1，则表示所述接收端具有支持虚拟SPI的能力，如表1所示；如果所述接收端将最高位的取值设置为0，则表示所述接收端不具有支持虚拟SPI的能力，如表2所示。

1

x

0

表1

0

x

表2

这里，在对所述接收端是否具有支持虚拟SPI的能力进行确认之前，所述发送端与所述接收端还需要进行IKE SA、IPSec SA的协商，以确定数据流传输所使用的IPSec隧道，即建立IPSec安全策略，IPSec安全策略包含所述数据流的流标识与IPSec隧道的SPI标识的映射关系。

基于此，在一实施例中，所述利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识之前，所述方法还包括：与所述接收端进行IPSec SA协商；建立IPSec隧道；其中，在建立IPSec隧道的过程中，建立IPSec安全策略，在所述IPSec安全策略中包含所述数据流的流标识和所述IPSec隧道的SPI标识的映射关系。

可选地，为所述数据流建立ACL，ACL中包含所述数据流的流标识，并建立所述数据流的流标识和IPSec隧道的SPI标识的映射关系。

这里，所述发送端与所述接收端进行IPSec SA协商的内容可以包括隧道两端使用的封装模式、加密算法、加密密钥、验证算法、验证密钥等等。

实际应用时，如果所述发送端确定所述接收端具备支持虚拟SPI的能力，则所述发送端向所述接收端传输所述数据流之前，可以将所述数据流的流标识经过哈希得到的哈希值填入SPI标识的字段中，得到虚拟SPI标识。

基于此，在一个可选的实施例中，所述利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识，包括：对所述数据流的流标识进行哈希运算处理，得到哈希值；利用得到的哈希值设置所述SPI标识的字段，得到虚拟SPI标识。

这里，可以利用得到的哈希值，设置所述SPI标识中特定位置的字段。比如，假设所述SPI标识可以用26比特表示，则所述特定位置可以是指26比特中的末四位比特等等。

这里，对所述数据流的流标识进行哈希运算处理，可以得到预设长度的哈希值。流标识不同的数据流，得到的哈希值也不同，对应的虚拟SPI标识也就不同。

实际应用时，所述发送端将所述数据流发送至所述接收端之前，还需要对所述数据流的各报文进行加密。

基于此，在一个可选的实施例中，所述方法还包括：对所述数据流中的每个报文进行加密，得到加密后的各报文。

这里，所述发送端可以按照与所述接收端进行IPSec SA协商时确定的加密算法对所述数据流的各报文进行加密。

步骤402：针对所述数据流中的每个加密后的报文，用虚拟SPI标识封装。

这里，为了提高IPSec隧道的处理性能，所述发送端可以使用多个加密单元对所述数据流的各报文分别进行加密并封装虚拟SPI标识。

步骤403：通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。

本申请实施例提供了一种数据传输方法，应用于接收端，如图5所示，所述方法包括：

步骤501：接收发送端通过IPSec隧道发送的数据流。所述数据流的各报文中携带有虚拟SPI标识。

其中，所述虚拟SPI标识是所述发送端基于所述数据流的流标识以及传输所述数据流的IPSec隧道的SPI标识确定的。

这里，所述发送端和接收端之间可建立多条IPSec隧道，并用SPI标识进行唯一标识。其中，所述接收端为每条IPSec隧道分配多个解密单元。

步骤502：利用虚拟SPI标识，将所述数据流的各报文送入同一个解密单元进行解密处理。

这里，所述接收端利用虚拟SPI标识，将所述数据流的各报文送入多个解密单元中的同一个解密单元进行解密处理。

实际应用时，为了提高IPSec隧道的处理性能，所述接收端可以包括多个解密单元。所述接收端可以根据虚拟SPI标识将具有相同虚拟SPI标识的报文送入同一个解密单元进行解密处理，以避免因为多解密单元处理加剧报文乱序。其中，具有相同虚拟SPI标识的报文，表示属于同一条数据流，由同一个解密单元处理。

基于此，在一个可选的实施例中，所述利用虚拟SPI标识，将所述数据的各报文送入同一个解密单元进行解密处理，包括：将具有相同虚拟SPI标识的报文送入同一个解密单元，以进行解密处理。

可选地，可以将所述数据流的各报文的虚拟SPI标识进行比较，具备相同虚拟SPI标识的各报文送入多个解密单元中的同一个解密单元，以进行解密处理。

采用本申请实施例的方案，所述发送端将携带有虚拟SPI标识的各报文发送至所述接收端，这样，所述接收端可以基于各报文携带的虚拟SPI标识，将具有相同虚拟SPI标识的各报文送入同一个解密单元进行解密处理。如此，可避免因为属于同一IPSec隧道的多个解密单元同时处理报文而加剧报文乱序的发生。

本申请实施例还提供了一种数据传输方法，应用于发送端，如图6所示，所述方法包括：

步骤601：确定数据流的区分标识。

其中，所述数据流的区分标识可以由五元组及以下信息至少之一组成：L2层的信息、L3层的信息、L4层的信息、L5层的信息、L6层的信息、L7层的信息。所述区分标识能够唯一区分所述数据流。

这里，所述五元组可以包括：源IP地址、目的IP地址，源端口号、目的端口号以及协议号。L2至L7层为开放系统互联(OSI，Open System Interconnection)参考模型定义的各层。L2层信息可以包括与链路相关的信息；L3层信息可以包括IP地址；L4层信息可以包括协议信息，比如TCP协议、UDP协议；L5层信息可以包括与会话层相关的信息，比如服务质量参数；L6层信息可以包括数据格式，比如ASCII格式等等；L7层信息可以包括所述数据流的应用类型。所述应用类型包括但不限于HTTP应用类型、RTP应用类型等等。

可选地，可以将五元组放置在前面，将L2层至L7层中至少一个信息放置在后面，得到所述数据流的区分标识。

步骤602：利用数据流的区分标识与子IPSec隧道的SPI标识的映射关系，确定与所述数据流传输所使用的子IPSec隧道。

实际应用时，为了满足5G数据传输速率的需求，可以在所述发送端和接收端之间建立多条子IPSec隧道，并用SPI标识进行唯一标识。一条子IPSec隧道在所述接收端分配一个解密单元。

这里，所述发送端对所述数据流进行传输前，所述发送端与所述接收端还需要进行IKE SA、Child SA的协商，以确定数据流传输所使用的子IPSec隧道，即建立子IPSec安全策略，包含所述数据流的区分标识与子IPSec隧道的SPI标识的映射关系。

基于此，在一个可选的实施例中，所述方法还包括：与所述接收端进行Child SA协商；建立子IPSec隧道；其中，在建立子IPSec隧道的过程中，建立子IPSec隧道安全策略，在所述子IPSec隧道安全策略中包含所述数据流的区分标识和子IPSec隧道的SPI标识的映射关系。

这里，所述发送端与所述接收端进行Child SA协商的内容可以包括隧道两端使用的封装模式、加密算法、加密密钥、验证算法、验证密钥等等。

步骤603：利用确定的子IPSec隧道，向接收端传输所述数据流。

这里，通过所述确定的子IPSec隧道将所述数据流中加密后的各报文传输至所述接收端的与所述子IPSec隧道对应的解密单元进行解密处理。

本申请实施例提供了一种数据传输方法，应用于接收端，如图7所示，所述方法包括：

步骤701：接收发送端通过子IPSec隧道发送的数据流。

其中，所述子IPSec隧道是所述发送端基于所述数据流的区分标识与子IPSec隧道的SPI标识的映射关系确定的。

步骤702：将通过子IPSec隧道传输的所述数据流发送至与所述子IPSec隧道对应的解密单元进行解密处理。

这里，为了满足5G数据传输速率的需求，可以在所述发送端和接收端之间建立多条子IPSec隧道，并用SPI标识进行唯一标识。一条子IPSec隧道在所述接收端分配一个解密单元。

这里，所述发送端与所述接收端关于建立子IPSec隧道进行协商的过程已在上文详述，这里不再赘述。

采用本申请实施例的方案，一条子IPSec隧道在所述接收端分配一个解密单元，这样，所述接收端可以将所述数据流的各报文送入与子IPSec隧道对应的解密单元进行解密处理。如此，可避免因为报文经过IPSec传输引发的报文乱序。另外，所述接收端与所述发送端之间建立多条子IPSec隧道，可以同对多个数据流进行处理，从而提高了IPSec隧道的处理能力，进而能够满足5G数据传输速率的需求。

下面结合应用实施例对本申请再作进一步详细的描述。

应用实施例一

本应用实施例中，接收端通过虚拟SPI标识，将具有相同虚拟SPI标识的GTP报文送入多个解密单元中的同一个解密单元进行解密处理。

另外，本应用实施例中，为一条IPSec隧道在所述接收端分配多个解密单元。发送端用网关A表示，接收端用网关B表示。在5G网络中，以DU侧部署网关A，CU侧部署网关B为例。

GTP协议是电信网络中常用的协议，GTP报文在5G网络的传输过程中对保序有很高要求，如果传输过程中加剧报文乱序，则会导致处理性能下降，甚至严重影响业务体验。所述网关A与所述网关B进行IPSec隧道协商的过程，以及关于是否支持虚拟SPI的能力进行协商的过程可以参考上述描述，在此不再赘述。

图8为网关A使用IPSec隧道发送数据报文之前封装虚拟SPI标识的示意图。在此之前假设网关A和网关B已经经过虚拟SPI能力协商，都支持所述能力。如图8所示，假设有三条GTP数据流，对应的流标识分别用TEID_1、TEID_2、TEID_3表示。网关A接收到GTP数据流后，首先，根据IPSec安全策略确定承载所述GTP数据流的IPSec隧道的SPI标识。第二，网关A对TEID_1使用HASH算法，取末四位哈希值，得出0001，利用0001对TEID_1对应的SPI标识的末四位进行设置，得到虚拟SPI标识(用SPI-1表示)，对属于TEID_1标识的报文进行加密处理后使用SPI-1封装；对TEID_2使用HASH算法，得出哈希值0010，利用哈希值0010对TEID_2对应的SPI标识的末四位进行设置，得到虚拟SPI标识(用SPI-2表示)，对属于TEID_2标识的报文进行加密处理后使用SPI-2封装；对TEID_3使用HASH算法，得出哈希值1001，利用哈希值1001对TEID_3对应的SPI标识的末四位进行设置，得到虚拟SPI标识(用SPI-3表示)，对属于TEID_3标识的报文进行加密处理后使用SPI-3封装。网关A将封装后的上述加密报文发送给网关B。

图9为网关B接收到上述加密报文后进行解密处理的示意图，如图9所示，网关B通过IPSec隧道接收网关A发送的三条GTP数据流，将具有相同虚拟SPI标识的GTP报文分配到同一个解密单元进行解密处理。

可选地，将“0001”的报文A和报文B分配给解密单元1进行解密处理；将“0010”的报文C和报文D分配给解密单元2进行解密处理；将“1001”的报文E分配给解密单元3进行解密处理。每个解密单元对解密后的报文按照目的地址发送给目的地。

这里，每个加密报文均携带虚拟SPI标识，这样，网关B可以将携带相同虚拟SPI标识的加密报文由多个解密单元中同一个解密单元进行处理，能够避免属于同一IPSec隧道的多个解密处理单元同时处理报文，引发乱序加剧的问题，还提高了单IPSec隧道的处理性能。

应用实施例二

本应用实施例中，接收端将接收数据流的各报文送入与子IPSec隧道对应的解密单元进行解密处理。

另外，本应用实施例中，为一条子IPSec隧道在所述接收端分配一个解密单元。发送端用网关A表示，接收端用网关B表示。在5G网络中，以DU侧部署网关A，CU侧部署网关B为例。

所述网关A与所述网关B关于建立子IPSec隧道进行协商的过程参考上述描述，在此不再赘述。网关A和网关B之间部署两条子IPSec隧道(用SA1和SA2表示)，对地址段为10.41.128.0/20的设备与地址段为10.42.144.0/20的设备之间的数据通信进行安全传输保护。其中，数据流的区分标识用五元组及L7层信息表示，数据流的区分标识与两条子IPSec隧道的映射关系为：五元组及HTTP应用类型对应SA1，五元组及RTP应用类型对应SA2。

这里，网关A与网关B进行Child SA1协商，建立子IPSec隧道SA1，协商过程参考IPSec协商过程，协商过程中包括建立所述子IPSec隧道SA1的安全策略，将所述数据流的区分标识，即五元组及HTTP应用类型和SA1的SPI建立映射关系。网关A与网关B进行Child SA2协商，建立子IPSec隧道SA2，协商过程中包括建立所述子IPSec隧道SA2的安全策略，将所述数据流的区分标识，即五元组及RTP应用类型和SA2的SPI建立映射关系。

图10为通过子IPSec隧道传输数据流的示意图，如图10所示，当网关A接收到数据流时，通过深度数据包检测(DPI，Deep Packet Inspection)检测识别所述数据流的报文的应用类型，如果识别的应用类型为HTTP应用类型，则根据安全策略选择SA1，将所述数据流的加密后的各报文发送给网关B；网关 B通过与SA1对应的解密单元对所述数据流的加密后的各报文进行解密处理，并向目的IP地址转发。如果使用DPI检测识别所述数据流的报文的应用类型为RTP应用类型，则根据安全策略选择SA2，将所述数据流的加密后的各报文发送给网关B。网关B通过与SA2对应的解密单元对所述数据流的各报文进行解密处理，并向目的IP地址转发。

这里，通过子IPSec隧道，网关B可以将流标识相同的各报文送入与子IPSec隧道对应的解密单元进行解密处理。如此，可避免因为报文使用IPSec传输引发的报文乱序问题的发生。

另外，通过建立多条子IPSec隧道，同对多个数据流进行处理，从而提高了IPSec隧道的处理能力，进而能够满足5G数据传输速率的需求。

为了实现本申请实施例的方法，本申请实施例还提供了一种数据传输装置，设置在发送端上，如图11所示，包括：

第一确定单元111，设置为利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识；

加密单元112，设置为针对所述数据流中的每个加密后的报文，将虚拟SPI标识携带于相应报文中；

第一传输单元113，设置为通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。

实际应用时，如果所述发送端确定所述接收端具备支持虚拟SPI的能力，则所述发送端向所述接收端传输所述数据流之前，可以将所述数据流的流标识经过哈希得到的哈希值填入SPI的字段中，得到虚拟SPI标识。

所述第一确定单元111，具体设置为：对所述数据流的流标识进行哈希运算处理，得到哈希值；利用得到的哈希值设置所述SPI标识的字段，得到虚拟SPI标识。

基于此，在一个可选的实施例中，所述装置还包括：判断单元，设置为判断所述接收端是否具有支持虚拟SPI的能力；当确定所述接收端具有支持虚拟SPI的能力时，利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识。

基于此，在一个可选的实施例中，所述装置还包括：第一协商单元，设置为与所述接收端进行IPSec SA协商；建立IPSec隧道。

其中，在建立IPSec隧道的过程中，建立IPSec安全策略，在所述IPSec安全策略中包含所述数据流的流标识和所述IPSec隧道的SPI标识的映射关系。

基于此，在一个可选的实施例中，所述加密单元112，具体设置为对所述数据流中的每个报文进行加密，得到加密后的各报文。

实际应用时，所述第一确定单元111、加密单元112、第一传输单元113、判断单元、第一协商单元可由数据传输装置中的处理器实现。

为了实现本申请实施例的方法，本申请实施例还提供了一种数据传输装置，设置在接收端上，如图12所示，包括：

第一接收单元121，设置为接收发送端通过IPSec隧道发送的数据流；所述数据流的各报文中携带有相应的虚拟SPI标识；所述虚拟SPI标识是所述发送端基于所述数据流的流标识以及传输所述数据流的IPSec隧道的SPI标识确定的；

第一解密单元122，设置为利用虚拟SPI标识，将所述数据的各报文送入多个解密单元中的同一个解密单元进行解密处理。

基于此，在一个可选的实施例中，所述第一解密单元122，具体设置为：将具有相同虚拟SPI标识的报文送入同一个解密单元，以进行解密处理。

可选地，所述第一解密单元122，可以将所述数据流的各报文的虚拟SPI标识进行比较，具备相同虚拟SPI标识的各报文送入同一个解密单元，以进行解密处理。

实际应用时，所述第一接收单元121、第一解密单元122可由数据传输装置中的处理器实现。

为了实现本申请实施例的方法，本申请实施例还提供了一种数据传输装置，设置在发送端上，如图13所示，包括：

第二确定单元131，设置为确定数据流的区分标识；还设置为利用数据流的区分标识与子IPSec隧道的SPI标识的映射关系，确定与所述数据流使用的子IPSec隧道；

第二传输单元132，设置为利用确定的子IPSec隧道，向接收端传输所述数据流。

这里，所述五元组可以包括：源IP地址、目的IP地址，源端口号、目的端口号以及协议号。L2至L7层为OSI参考模型定义的各层。L2层信息可以包括与链路相关的信息；L3层信息可以包括IP地址；L4层信息可以包括协议信息，比如TCP协议、UDP协议；L5层信息可以包括与会话层相关的信息，比如服务质量参数；L6层信息可以包括数据格式，比如ASCII格式等等；L7层信息可以包括所述数据流的应用类型。所述应用类型包括但不限于HTTP应用类型、RTP应用类型等等。

基于此，在一个可选的实施例中，所述装置还包括：第二协商单元，设置为与所述接收端进行Child SA协商；建立子IPSec隧道；

其中，在建立子IPSec隧道的过程中，建立子IPSec隧道安全策略，在所述子IPSec隧道安全策略中包含所述数据流的区分标识和子IPSec隧道的SPI标识的映射关系。

这里，通过所述确定的子IPSec隧道将所述数据流传输至所述接收端的与所述子IPSec隧道对应的解密单元进行解密处理。

实际应用时，所述第二确定单元131、第二传输单元132、第二协商单元可由数据传输装置中的处理器实现。

为了实现本申请实施例的方法，本申请实施例还提供了一种数据传输装置，设置在接收端上，如图14所示，包括：

第二接收单元141，设置为接收发送端通过子IPSec隧道发送的数据流。

其中，所述子IPSec隧道是所述发送端基于所述数据流的区分标识与子 IPSec隧道的SPI标识的映射关系确定的。

第二解密单元142，设置为将通过子IPSec隧道传输的所述数据流发送至与所述子IPSec隧道对应的解密单元进行解密处理。

这里，为了满足5G数据传输速率的需求，可以在所述发送端和接收端之间建立多条子IPSec隧道，并用SPI进行唯一标识。一条子IPSec隧道在所述接收端分配一个解密单元。

实际应用时，所述第二接收单元141可由数据传输装置中的通信接口实现。第二解密单元142可由数据传输装置中的处理器实现。

基于上述程序模块的硬件实现，且为了实现本申请实施例发送端侧的方法，本申请实施例还提供了一种发送设备，如图15所示，该智能设备150包括：第一通信接口151、第一处理器152、第一存储器153；其中，

第一通信接口151，能够与其它设备进行信息交互；

第一处理器152，与所述第一通信接口151连接，以实现与无线网络接入设备进行信息交互，设置为运行计算机程序时，执行上述智能设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在第一存储器153上。

当然，实际应用时，智能设备150中的各个组件通过总线系统154耦合在一起。可理解，总线系统154设置为实现这些组件之间的连接通信。总线系统154除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图15中将各种总线都标为总线系统154。

本申请实施例中的第一存储器153设置为存储各种类型的数据以支持智能设备150的操作。这些数据的示例包括：用于在智能设备150上操作的任何计算机程序。

上述本申请实施例揭示的方法可以应用于所述第一处理器152中，或者由所述第一处理器152实现。所述第一处理器152可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过所述第一处理器152中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第一处理器152可以是通用处理器、数字信号处理器(DSP，Digital Signal Processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第一处理器152可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于第一存储器153，所述第一处理器152读取第一存储器153中的信息，结合其硬件完成前述方法的步骤。

在示例性实施例中，发送设备150可以被一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现，用于执行前述方法。

基于上述程序模块的硬件实现，且为了实现本申请实施例接收端侧的方法，如图16所示，该接收设备160包括：

第二通信接口161，能够与其它设备进行信息交互；

第二处理器162，与所述第二通信接口161连接，以实现与智能设备进行信息交互，设置为运行计算机程序时，执行上述无线网络接入设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在所述第二存储器163上。

当然，实际应用时，无线网络接入设备160中的各个组件通过总线系统164耦合在一起。可理解，总线系统164设置为实现这些组件之间的连接通信。总线系统164除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图16中将各种总线都标为总线系统164。

本申请实施例中的第二存储器163设置为存储各种类型的数据以支持无线网络接入设备160的操作。这些数据的示例包括：用于在无线网络接入设备160上操作的任何计算机程序。

上述本申请实施例揭示的方法可以应用于所述第二处理器162中，或者由所述第二处理器162实现。所述第二处理器162可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过所述第二处理器162中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第二处理器162可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第二处理器162可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于第二存储器163，所述第二处理器162读取第二存储器163中的信息，结合其硬件完成前述方法的步骤。

在示例性实施例中，接收设备160可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现，用于执行前述方法。

可以理解，本申请实施例的存储器(第一存储器153、第二存储器163)可以是易失性存储器或者非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random Access Memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

需要说明的是：“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

另外，本申请实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

以上所述，仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。

工业实用性

如上所述，本申请实施例提供的一种数据传输方法、装置、相关设备及存储介质具有以下有益效果：发送端将携带有虚拟SPI标识的各报文发送给接收端，这样，所述接收端可以将具有相同虚拟SPI标识的报文送入同一个解密单元进行解密处理。如此，可避免报文乱序问题的发生，同时还能提高IPSec隧道的处理性能。

Claims

一种数据传输方法，应用于发送端，所述方法包括：

利用数据流的流标识，以及传输所述数据流的网络协议安全IPSec隧道的安全参数索引SPI标识，确定虚拟SPI标识；

针对所述数据流中的每个加密后的报文，将虚拟SPI标识携带于相应报文中；

通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。
根据权利要求1所述的方法，其中，所述利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识，包括：

对所述数据流的流标识进行哈希运算处理，得到哈希值；

利用得到的哈希值设置所述SPI标识的字段，得到虚拟SPI标识。
根据权利要求1所述的方法，其中，所述利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识之前，所述方法还包括：

判断所述接收端是否具有支持虚拟SPI的能力；

当确定所述接收端具有支持虚拟SPI的能力时，利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识。
根据权利要求1所述的方法，其中，所述利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识之前，所述方法还包括：

与所述接收端进行IPsec安全联盟SA协商，建立IPSec隧道；其中，

在建立IPSec隧道的过程中，建立IPSec安全策略，在所述IPSec安全策略中包含所述数据流的流标识和所述IPSec隧道的SPI标识的映射关系。
一种数据传输方法，应用于接收端，所述方法包括：

接收发送端通过IPSec隧道发送的数据流；所述数据流的各报文中携带有虚拟SPI标识；所述虚拟SPI标识是所述发送端基于所述数据流的流标识以及传输所述数据流的IPSec隧道的SPI标识确定的；

利用虚拟SPI标识，将所述数据流的各报文送入同一个解密单元进行解密处理。
根据权利要求5所述的方法，其中，所述利用虚拟SPI标识，将所述数据流的各报文送入同一个解密单元进行解密处理，包括：

将具有相同虚拟SPI标识的报文送入同一个解密单元，以进行解密处理。
一种数据传输方法，应用于发送端，所述方法包括：

确定数据流的区分标识；

利用数据流的区分标识与子IPSec隧道的SPI标识的映射关系，确定所述数据流传输所使用的子IPSec隧道；

利用确定的子IPSec隧道，向接收端传输所述数据流；通过所述确定的子IPSec隧道将所述数据流传输至所述接收端的与所述子IPSec隧道对应的解密单元进行解密处理。
根据权利要求7所述的方法，其中，所述数据流的区分标识由五元组及以下信息至少之一组成：

L2层的信息；L3层的信息；L4层的信息；L5层的信息；L6层的信息；L7层的信息。
根据权利要求7所述的方法，其中，所述方法还包括：

与所述接收端进行子Child SA协商，建立子IPSec隧道；其中，

在建立子IPSec隧道的过程中，建立子IPSec隧道安全策略，在所述子IPSec隧道安全策略中包含所述数据流的区分标识和子IPSec隧道的SPI标识的映射关系。
一种数据传输方法，应用于接收端，所述方法包括：

接收发送端通过子IPSec隧道发送的数据流；

将通过子IPSec隧道传输的所述数据流发送至所述子IPSec隧道对应的解密单元进行解密处理。
根据权利要求10所述的方法，其中，所述方法还包括：

与所述发送端进行Child SA协商，建立子IPSec隧道。
一种数据传输装置，应用于发送端，所述装置包括：

第一确定单元，设置为利用数据流的流标识，以及传输所述数据流的IPSec隧道的SPI标识，确定虚拟SPI标识；

加密单元，设置为针对所述数据流中的每个加密后的报文，将虚拟SPI标识携带于相应报文中；

第一传输单元，设置为通过所述IPSec隧道，向接收端传输所述数据流；所述虚拟SPI标识用于供所述接收端将所述数据流的各报文送入同一个解密单元进行解密处理。
一种数据传输装置，应用于接收端，所述装置包括：

第一接收单元，设置为接收发送端通过IPSec隧道发送的数据流；所述数据流的各报文中携带有虚拟SPI标识；所述虚拟SPI标识是所述发送端基于所述数据流的流标识以及传输所述数据流的IPSec隧道的SPI标识确定的；

第一解密单元，设置为利用虚拟SPI标识，将所述数据流的各报文送入同一个解密单元进行解密处理。
一种数据传输装置，应用于发送端，所述装置包括：

第一确定单元，设置为确定数据流的区分标识；还设置为利用数据流的区分标识与子IPSec隧道的SPI标识的映射关系，确定所述数据流传输所使用的子IPSec隧道；

第二传输单元，设置为利用确定的子IPSec隧道，向接收端传输所述数据流；通过所述确定的子IPSec隧道将所述数据流传输至所述接收端的与所述子IPSec隧道对应的解密单元进行解密处理。
一种数据传输装置，应用于接收端，所述装置包括：

第二接收单元，设置为接收发送端通过子IPSec隧道发送的数据流；

第二解密单元，设置为将通过子IPSec隧道传输的所述数据流发送至与所述子IPSec隧道对应的解密单元进行解密处理。
一种发送设备，包括：第一处理器和设置为存储能够在处理器上运行的计算机程序的第一存储器，

其中，所述第一处理器设置为运行所述计算机程序时，执行权利要求1至4任一项所述方法的步骤，或者，执行权利要求7至9任一项所述方法的步骤。
一种接收设备，包括：第二处理器和设置为存储能够在处理器上运行的计算机程序的第二存储器，

其中，所述第一处理器设置为运行所述计算机程序时，执行权利要求5或6所述方法的步骤，或者，执行权利要求10或11所述方法的步骤。
一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至4任一项所述方法的步骤，或者，执行权利要求5至6任一项所述方法的步骤，或者，执行权利要求7至9任一项所述方法的步骤，或者，执行权利要求10或11所述方法的步骤。