一种用于伪线网络的数据安全发送接收方法、装置及系统的制作方法

专利名称：一种用于伪线网络的数据安全发送接收方法、装置及系统的制作方法
技术领域：
本发明是关于通信技术领域，具体来说是关于一种用于伪线网络的数据 安全发送接收方法、装置及系统。
背景技术：
伪线(PW， Pseudo Wire)是在分组交换网络(PSN ， Packet Switched Networks)中仿真ATM、帧中继、以太网、低速时分复用(TDM ， Time Division Multiplexing)电路和同步光纤网(SONET ， Synchronous Optical Network/同步 数字体系(SDH ， synchronous digital hierarchy)等业务的一种技术，PW通过 在入口封装特定业务的(PDU ， Protocol Data Unit)，然后在入口和出口之 间的路径或隧道上承载这些PDU，管理这些PDU的定时和顺序，来仿真其 他业务的功能。
随着网络安全问题日益严重，单靠设置密码已经无法保证数据在PW传 输过程中的安全性。现在有的网络加密技术是IPSec， IP Sec (Internet协议安
全)是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保 护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击。IPSec采用端对端 加密模式，发送方在数据传输前(即到达网线之前)对数据实施加密，在整个 传输过程中，报文都是以密文方式传输，直到数据到达目的节点，才由接收 端对其进行解密。
对于PW传输技术来说，IP Sec只能保护IP/TCP通信，对于非IP/TCP 报文无法实现加密传输，且IPSec采用端到端处理，如果发送方和接收方有 一方不支持IP Sec就不能实现安全保护功能。

发明内容
为克服现有技术中存在的问题，本发明提供一种用于伪线网络的数据安
7全发送接收方法、装置及系统。
本发明提供一种用于伪线网络的数据安全发送方法，所述的方法包括 接收终端发送的原始报文；根据预先协商的安全属性对接收到的原始报文进 行安全处理，生成安全报文；将生成的安全报文进行伪线封装处理，生成封 装处理后的安全报文；将封装处理后的安全报文通过预先建立的伪线隧道发 送。
本发明还提供一种用于伪线网络的数据安全发送装置，所述的装置包括: 原始报文接收单元，用于接收终端发送的原始报文；安全处理单元，用于根 据预先协商的安全属性对接收到的原始报文进行安全处理，生成安全报文； 伪线封装单元，用于将生成的安全报文进行伪线封装处理，生成封装处理后 的安全报文；安全报文发送单元，用于将封装处理后的安全报文通过预先建 立的伪线隧道发送。
本发明还提供一种用于伪线网络的数据安全接收方法，所述的方法包括-通过预先建立的伪线隧道接收封装处理后的安全报文；将接收到的封装处理 后的安全报文进行伪线解封装处理，生成解封装报文；根据预先协商的安全 属性对生成的解封装报文进行解安全处理，生成原始报文；将生成的原始报 文输出。
本发明还提供一种用于伪线网络的数据安全接收装置，所述的装置包括 安全报文接收单元，用于通过预先建立的伪线隧道接收封装处理后的安全报 文；解封装单元，用于将接收到的封装处理后的安全报文进行伪线解封装处 理，生成解封装报文；解安全处理单元，用于根据预先协商的安全属性对生 成的解封装报文进行解安全处理，生成原始报文；原始报文发送单元，用于 将生成的原始报文输出。
本发明还提供一种用于伪线网络的数据安全收发方法，所述的方法包括 接收终端发送的原始报文；根据预先协商的安全属性对接收到的原始报文进 行安全处理，生成安全报文；将生成的安全报文进行伪线封装处理，生成封装处理后的安全报文；将封装处理后的安全报文通过预先建立的伪线隧道发 送；通过预先建立的伪线隧道接收封装处理后的安全报文；将接收到的封装 处理后的安全报文进行伪线解封装处理，生成解封装报文；根据预先协商的 安全属性对生成的解封装报文进行解安全处理，生成原始报文；将生成的原 始报文输出。
本发明还提供一种用于伪线网络的数据安全收发系统，所述的系统包括 的数据安全接收装置和数据安全发送装置，所述的数据安全发送装置包括 原始报文接收单元，用于接收终端发送的原始报文；安全处理单元，用于根 据预先协商的安全属性对接收到的原始报文进行安全处理，生成安全报文； 伪线封装单元，用于将生成的安全报文进行伪线封装处理，生成封装处理后 的安全报文；安全报文发送单元，用于将封装处理后的安全报文通过预先建 立的伪线隧道发送；所述的数据安全接收装置包括安全报文接收单元，用 于通过预先建立的伪线隧道接收封装处理后的安全报文；解封装单元，用于 将接收到的封装处理后的安全报文进行伪线解封装处理，生成解封装报文； 解安全处理单元，用于根据预先协商的安全属性对生成的解封装报文进行解 安全处理，生成原始报文；原始报文发送单元，用于将生成的原始报文输出。
本发明克服了现有技术PW传输技术信息不安全的问题，实现了在PW 传输转发中的数据的安全保护功能，解决在PW中传输数据进行安全保护处 理的技术空白，且不局限于IP/TCP报文，应用广泛，可以对各种类型的报文 进行安全保护处理。


此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部 分，并不构成对本发明的限定。在附图中
图1是本发明实施例提供的一种用于伪线网络的数据安全发送方法流程
图2是典型PW组网结构图；图3是本发明实施例提供的一种用于伪线网络的数据安全发送装置框
图4是本发明实施例提供的一种用于伪线网络的数据安全接收方法流程
图5是本发明实施例提供的一种用于伪线网络的数据安全接收装置框
图6是本发明实施例提供的一种用于伪线网络的数据安全收发方法流程
图7是本发明实施例提供的一种用于伪线网络的数据安全收发系统框图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式 和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其 说明用于解释本发明，但并不作为对本发明的限定。
本发明实施例提供一种用于伪线网络的数据安全发送接收方法、装置及 系统，以下结合附图对本发明进行详细说明。
在现在广泛使用的PW典型组网中，是没有做基于PW的安全保护技术 对PW中传输的报文进行安全保护处理的，也就是说如果用户的报文是非保 护状态下进入PW的，则在PW中传输时报文是不安全的，完全可以通过流 量镜像等方法窃听到在PW中的报文，通过很简单的技术就可以剥离报文的 PW传输封装，这样用户的原始报文就被非法获取了。
基于现在没有基于PW的安全保护技术，我们提出了具有数据安全属性 的PW网络。以下面的典型PW组网说明在PW建立时如何建立具有数据安 全属性的PW网络。
实施例1
图1是本发明实施例提供的一种用于伪线网络的数据安全发送方法流程图，如图1所示，所述的方法包括-
SlOl，接收终端发送的原始报文。
在本发明实施例中，以典型PW组网说明在PW建立时如何建立具有数 据安全属性的PW网络，图2是典型PW组网结构图，如图2所示，终端201 通过配属链路202 (AC， Attachment Circuit)以及另一终端204的配属链路 203建立与终端204的PW连接，其中，AC202接收终端201发送的原始报 文。
S102,根据预先协商的安全属性对接收到的原始报文进行安全处理，生 成安全报文。所述对接收到的原始报文进行安全处理包括但不限于使用 MD5算法对报文进行加密或使用安全时间戳对报文生存时间进行限制等。
在本发明实施例中，在步骤S102之前，AC202和AC203可以通过协商 建立一伪线隧道，并可以在建立伪线隧道的同时，通过协商得到安全属性， 其中，安全属性包括但不限制加解密属性、权限认证控制属性、时间限制属 性以及防重放属性等。在本发明实施例中，可以通过协商CW(控制字，Control Word)字段，得到安全属性。AC202根据预先协商的安全属性对从终端201 接收到的原始报文进行安全处理，生成安全报文。
S103，将生成的安全报文进行伪线封装处理，生成封装处理后的安全报文。
在本发明实施例中，AC202将生成的安全报文进行伪线封装处理，生成
封装处理后的安全报文。
S104，将封装处理后的安全报文通过预先建立的伪线隧道发送。 在本发明实施例中，AC202还将封装处理后的安全报文通过预先建立的
伪线隧道发送。
在本发明的一实施例中，步骤S102可以包括根据预先协商的安全属 性对接收到的原始报文进行加密处理，使用MD5、 SHA、 3DES、 AES等加 密算法中的一种或多种对原始报文进行加密和鉴权处理，生成安全报文。本发明克服了现有技术PW传输技术信息不安全的问题，实现了在PW 传输转发中的数据的安全保护功能，解决在PW中传输数据进行安全保护处 理的的技术空白，且不局限于IP/TCP报文，应用广泛，可以对现有和以后可 见的各种类型的报文进行安全保护处理。
实施例2
图3是本发明实施例提供的一种用于伪线网络的数据安全发送装置框 图，如图3所示，所述的用于伪线网络的数据安全发送装置包括原始报文接 收单元301、安全处理单元302、伪线封装单元303和安全报文发送单元304， 其中
原始报文接收单元301，用于接收终端发送的原始报文。
在本发明实施例中，结合图2所示，数据安全发送装置可以是AC202, 其中原始报文接收单元301用于接收终端201发送的原始报文。
安全处理单元302，用于根据预先协商的安全属性对接收到的原始报文 进行安全处理，生成安全报文。
在本发明实施例中，数据安全发送装置可以包括安全属性协商单元306， 安全属性协商单元306通过与AC203协商得到安全属性。安全处理单元302 根据安全属性协商单元306协商的安全属性对从终端201接收到的原始报文 进行安全处理，生成安全报文。在本发明的一实施例中，安全属性协商单元 306可以包括CW协商模块，用于通过协商CW字段，得到安全属性。
在本发明的一实施例中，安全处理单元302可以包括加密模块，用于根 据预先协商的安全属性对接收到的原始报文进行加密处理，生成安全报文。
伪线封装单元303，用于将生成的安全报文进行伪线封装处理，生成封 装处理后的安全报文。
在本发明实施例中，伪线封装单元303将安全处理单元302生成的安全 报文进fi^伪线封装处理，生成封装处理后的安全报文。
安全报文发送单元304，用于将封装处理后的安全报文通过预先建立的伪线隧道发送。在本发明实施例中，数据安全发送装置还可以包括伪线隧道建立单元305，伪线隧道建立单元305通过与AC203协商建立伪线隧道，安全报文发 送单元304将伪线封装单元303封装处理后的安全报文通过伪线隧道建立单 元305建立的伪线隧道发送给AC203。本发明克服了现有技术PW传输技术信息不安全的问题，实现了在PW 传输转发中的数据的安全保护功能，解决在PW中传输数据进行安全保护处 理的的技术空白，且不局限于IP/TCP报文，应用广泛，可以对现有和以后可 见的各种类型的报文进行安全保护处理。实施例3图4是本发明实施例提供的一种用于伪线网络的数据安全接收方法流程 图，如图4所示，所述的方法包括S401，通过预先建立的伪线隧道接收封装处理后的安全报文。在本发明实施例中，在步骤S401通过预先建立的伪线隧道接收封装处 理后的安全报文之前，所述的方法可以包括通过协商建立伪线隧道的步骤。 结合图2所示，AC203与AC202通过协商建立伪线隧道，然后AC203通过 建立的伪线隧道从AC202接收封装处理后的安全报文。S402，将接收到的封装处理后的安全报文进行伪线解封装处理，生成解 封装报文。在本发明实施例中，AC203将从AC202接收到的封装处理后的安全报 文进行伪线解封装处理，生成解封装报文。S403，根据预先协商的安全属性对生成的解封装报文进行解安全处理， 生成原始报文。在本发明实施例中，在AC203与AC202通过协商建立伪线隧道的同时， AC203与AC202还可以通过协商得到安全属性，如可以通过协商CW字段 得到安全属性。AC203根据预先协商的安全属性对生成的解封装报文进行解S404，将生成的原始报文输出。在本发明实施例中，AC203将生成的原始报文输出至终端204。在本发明的一实施例中，步骤S403可以是根据预先协商的安全属性对 生成的解封装报文进行解密处理，生成原始报文。本发明克服了现有技术PW传输技术信息不安全的问题，实现了在PW 传输转发中的数据的安全保护功能，解决在PW中传输数据进行安全保护处 理的技术空白，且不局限于IP/TCP报文，应用广泛，可以对现有和以后可见 的各种类型的报文进行安全保护处理。实施例4图5是本发明实施例提供的一种用于伪线网络的数据安全接收装置框 图，如图5所示，所述的装置包括安全报文接收单元501,用于通过预先建立的伪线隧道接收封装处理后 的安全报文。在本发明实施例中，结合图2所示，数据安全接收装置可以是AC203， 其中安全报文接收单元501通过AC203预先建立的伪线隧道接收封装处理后 的安全报文。在本发明实施例中，数据安全接收装置还可以包括伪线隧道建 立单元505，用于使AC203与AC202通过协商建立伪线隧道。解封装单元502，用于将接收到的封装处理后的安全报文进行伪线解封 装处理，生成解封装报文。在本发明实施例中，解封装单元502将从AC202接收到的封装处理后的 安全报文进行伪线解封装处理，生成解封装报文。解安全处理单元503，用于根据预先协商的安全属性对生成的解封装报 文进行解安全处理，生成原始报文。在本发明实施例中，数据安全接收装置可以包括安全属性协商单元506， 用于通过协商得到安全属性，安全属性协商单元506具体可以包括CW协商模块，可以通过协商CW字段得到安全属性。解安全处理单元503根据安全属性协商单元506预先协商的安全属性对解封装单元502生成的解封装报文进行解安全处理，生成原始报文。原始报文发送单元504，用于将生成的原始报文输出。 在本发明实施例中，原始报文发送单元504将解安全处理单元503生成的原始报文输出至终端204。在本发明的一实施例中，解安全处理单元503可以包括解密模块，解密模块根据预先协商的解密属性对生成的解封装报文进行解密处理，生成原始报文。本发明克服了现有技术PW传输技术信息不安全的问题，实现了在PW 传输转发中的数据的安全保护功能，解决在PW中传输数据进行安全保护处 理的的技术空白，且不局限于IP/TCP报文，应用广泛，可以对现有和以后可 见的各种类型的报文进行安全保护处理。实施例5图6是本发明实施例提供的一种用于伪线网络的数据安全收发方法流程 图，如图6所示，所述的方法包括 S601，接收终端发送的原始报文；S602，根据预先协商的安全属性对接收到的原始报文进行安全处理，生 成安全报文；S603，将生成的安全报文进行伪线封装处理，生成封装处理后的安全报文；S604，将封装处理后的安全报文通过预先建立的伪线隧道发送； S605，通过预先建立的伪线隧道接收封装处理后的安全报文； S606，将接收到的封装处理后的安全报文进行伪线解封装处理，生成解 封装报文；S607，根据预先协商的安全属性对生成的解封装报文进行解安全处理，生成原始报文；
S608，将生成的原始报文输出。
本发明克服了现有技术PW传输技术信息不安全的问题，实现了在PW 传输转发中的数据的安全保护功能，解决在PW中传输数据进行安全保护处 理的的技术空白，且不局限于IP/TCP报文，应用广泛，可以对现有和以后可 见的各种类型的报文进行安全保护处理。
实施例6
图7是本发明实施例提供的一种用于伪线网络的数据安全收发系统框 图，如图6所示，所述的系统包括的数据安全接收装置701和数据安全发送 装置702，其中
所述的数据安全发送装置702包括
原始报文接收单元703，用于接收终端发送的原始报文；
安全处理单元704，用于根据预先协商的安全属性对接收到的原始报文 进行安全处理，生成安全报文；
伪线封装单元705，用于将生成的安全报文进行伪线封装处理，生成封 装处理后的安全报文；
安全报文发送单元706，用于将封装处理后的安全报文通过预先建立的 伪线隧道发送；
所述的数据安全接收装置701包括
安全报文接收单元707，用于通过预先建立的伪线隧道接收封装处理后 的安全报文；
解封装单元708，用于将接收到的封装处理后的安全报文进行伪线解封 装处理，生成解封装报文；
解安全处理单元709，用于根据预先协商的安全属性对生成的解封装报 文进行解安全处理，生成原始报文；
原始报文发送单元710，用于将生成的原始报文输出。本发明克服了现有技术PW传输技术信息不安全的问题，实现了在PW 传输转发中的数据的安全保护功能，解决在PW中传输数据进行安全保护处 理的的技术空白，且不局限于IP/TCP报文，应用广泛，可以对现有和以后可 见的各种类型的报文进行安全保护处理。
以上所述的具体实施方式
，对本发明的目的、技术方案和有益效果进行 了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式
而 已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做 的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种用于伪线网络的数据安全发送方法，其特征在于，所述的方法包括接收终端发送的原始报文；根据预先协商的安全属性对接收到的原始报文进行安全处理，生成安全报文；将生成的安全报文进行伪线封装处理，生成封装处理后的安全报文；将封装处理后的安全报文通过预先建立的伪线隧道发送。
2. 如权利要求1所述的一种用于伪线网络的数据安全发送方法，其特征在于，在根据预先协商的安全属性对接收到的原始报文进行安全处理，生成安全报文前，所述的方法还包括通过协商建立所述的伪线隧道。
3. 如权利要求2所述的一种用于伪线网络的数据安全发送方法，其特征在于，在通过协商建立伪线隧道时，所述的方法还包括通过协商得到所述的安全属性。
4. 如权利要求3所述的一种用于伪线网络的数据安全发送方法，其特征在于，所述的通过协商得到所述的安全属性包括通过协商控制字字段，得到所述的安全属性。
5. 如权利要求1所述的一种用于伪线网络的数据安全发送方法，其特征在于，所述的根据预先协商的安全属性对接收到的原始报文进行安全处理，生成安全报文包括根据预先协商的安全属性对接收到的原始报文进行加密处理，生成安全报文。
6. —种用于伪线网络的数据安全发送装置，其特征在于，所述的装置包括原始报文接收单元，用于接收终端发送的原始报文；安全处理单元，用于根据预先协商的安全属性对接收到的原始报文进行安全处理，生成安全报文；伪线封装单元，用于将生成的安全报文进行伪线封装处理，生成封装处理后的安全报文；安全报文发送单元，用于将封装处理后的安全报文通过预先建立的伪线隧道发送。
7. 如权利要求6所述的一种用于伪线网络的数据安全发送装置，其特征在于，所述的装置还包括-伪线隧道建立单元，用于通过协商建立所述的伪线隧道。
8. 如权利要求7所述的一种用于伪线网络的数据安全发送装置，其特征在于，所述的装置还包括-安全属性协商单元，用于通过协商得到所述的安全属性。
9. 如权利要求8所述的一种用于伪线网络的数据安全发送装置，其特征在于，所述的安全属性协商单元包括-控制字协商模块，用于通过协商控制字字段，得到所述的安全属性。
10. 如权利要求6所述的一种用于伪线网络的数据安全发送装置，其特征在于，所述的安全处理单元包括加密模块，用于根据预先协商的安全属性对接收到的原始报文进行加密处理，生成安全报文。
11. 一种用于伪线网络的数据安全接收方法，其特征在于，所述的方法包括通过预先建立的伪线隧道接收封装处理后的安全报文；将接收到的封装处理后的安全报文进行伪线解封装处理，生成解封装报文；根据预先协商的安全属性对生成的解封装报文进行解安全处理，生成原始报文；将生成的原始报文输出。
12. 如权利要求11所述的一种用于伪线网络的数据安全接收方法，其特 征在于，在通过预先建立的伪线隧道接收封装处理后的安全报文前，所述的 方法还包括通过协商建立所述的伪线隧道。
13. 如权利要求12所述的一种用于伪线网络的数据安全接收方法，其特征在于，在通过协商建立伪线隧道时，所述的方法还包括通过协商得到所述的安全属性。
14. 如权利要求13所述的一种用于伪线网络的数据安全接收方法，其特征在于，所述的通过协商得到所述的安全属性包括通过协商控制字字段，得到所述的安全属性。
15. 如权利要求11所述的一种用于伪线网络的数据安全接收方法，其特征在于，所述的根据预先协商的安全属性对生成的解封装报文进行解安全处理，生成原始报文包括根据预先协商的安全属性对生成的解封装报文进行 解解密处理，生成原始报文。
16. —种用于伪线网络的数据安全接收装置，其特征在于，所述的装置包括安全报文接收单元，用于通过预先建立的伪线隧道接收封装处理后的安 全报文；解封装单元，用于将接收到的封装处理后的安全报文进行伪线解封装处理，生成解封装报文；解安全处理单元，用于根据预先协商的安全属性对生成的解封装报文进 行解安全处理，生成原始报文；原始报文发送单元，用于将生成的原始报文输出。
17. 如权利要求16所述的一种用于伪线网络的数据安全接收装置，其特 征在于，所述的装置还包括伪线隧道建立单元，用于通过协商建立所述的伪线隧道。
18. 如权利要求17所述的一种用于伪线网络的数据安全接收装置，其特征在于，所述的装置还包括安全属性协商单元，用于通过协商得到所述的安全属性。
19. 如权利要求18所述的一种用于伪线网络的数据安全接收装置，其特 征在于，所述的安全属性协商单元包括控制字协商模块，用于通过协商控制字字段，得到所述的安全属性。
20. 如权利要求16所述的一种用于伪线网络的数据安全接收装置，其特征在于，所述的解安全处理单元包括解密模块，用于根据预先协商的安全属性对生成的解封装报文进行解密 处理，生成原始报文。
21. —种用于伪线网络的数据安全收发方法，其特征在于，所述的方法 包括-接收终端发送的原始报文；根据预先协商的安全属性对接收到的原始报文进行安全处理，生成安全 报文；将生成的安全报文进行伪线封装处理，生成封装处理后的安全报文； 将封装处理后的安全报文通过预先建立的伪线隧道发送； 通过预先建立的伪线隧道接收封装处理后的安全报文； 将接收到的封装处理后的安全报文进行伪线解封装处理，生成解封装报文；根据预先协商的安全属性对生成的解封装报文进行解安全处理，生成原 始报文；将生成的原始报文输出。
22. —种用于伪线网络的数据安全收发系统，其特征在于，所述的系统 包括的数据安全接收装置和数据安全发送装置，其中所述的数据安全发送装置包括-原始报文接收单元，用于接收终端发送的原始报文；安全处理单元，用于根据预先协商的安全属性对接收到的原始报文进行 安全处理，生成安全报文；伪线封装单元，用于将生成的安全报文进行伪线封装处理，生成封装处 理后的安全报文；安全报文发送单元，用于将封装处理后的安全报文通过预先建立的伪线 隧道发送；所述的数据安全接收装置包括安全报文接收单元，用于通过预先建立的伪线隧道接收封装处理后的安 全报文；解封装单元，用于将接收到的封装处理后的安全报文进行伪线解封装处 理，生成解封装报文；解安全处理单元，用于根据预先协商的安全属性对生成的解封装报文进 行解安全处理，生成原始报文；原始报文发送单元，用于将生成的原始报文输出。全文摘要
本发明是关于一种用于伪线网络的数据安全发送接收方法、装置及系统。所述的数据安全发送方法包括接收终端发送的原始报文；根据预先协商的安全属性对接收到的原始报文进行安全处理，生成安全报文；将生成的安全报文进行伪线封装处理，生成封装处理后的安全报文；将封装处理后的安全报文通过预先建立的伪线隧道发送。本发明克服了现有技术PW传输技术信息不安全的问题，实现了在PW传输转发中的数据的安全保护功能，解决在PW中传输数据进行安全保护处理的的技术空白，且不局限于IP/TCP报文，应用广泛，可以对现有和以后可见的各种类型的报文进行安全保护处理。
文档编号H04L29/06GK101635727SQ20091016807
公开日2010年1月27日 申请日期2009年8月24日 优先权日2009年8月24日
发明者龑 裴 申请人:华为技术有限公司