(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111509910.9 (22)申请日 2021.12.10 (71)申请人 北京天融信网络安全技 术有限公司 地址 100089 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 国占飞　万志宇　 (74)专利代理 机构 北京维正专利代理有限公司 11508 代理人 梁栋 (51)Int.Cl. H04L 12/46(2006.01) H04L 9/40(2022.01) H04L 47/10(2022.01) (54)发明名称 管控IPSEC隧道数据按需分配的方法、 系统、 终端及存 储介质 (57)摘要 本申请涉及一种管控IPSEC隧道数据按需分 配的方法、 系 统、 终端及存储介质， 属于IPSEC隧 道管控领域， 其方法包括获取数据包； 基于预设 的打标规则为各个所述数据包增加识别标签； 在 所述识别标签 符合预设的加密条件时， 将对应的 所述数据包传输至IPSEC隧道进行加密； 否则， 将 对应的所述数据包传输至其他传输路径， 不经过 所述IPSEC 隧道进行加密。 通过对每个数据包增 加识别标签， 依此判断各个数据包 是否需要进行 IPSEC隧道的加密步骤， 有助于对已经加密过的 数据包进行精确的传输控制。 本申请具有IPSEC 隧道的管控精度高和管控灵活性高的效果。 权利要求书2页 说明书6页 附图2页 CN 114301735 A 2022.04.08 CN 114301735 A 1.一种管控IP SEC隧道数据按需分配的方法， 其特 征在于， 包括： 获取数据包； 基于预设的打标规则为各个所述数据包增 加识别标签； 在所述识别标签符合预设的加密条件时， 将对应的所述数据包传输至IPSEC隧道进行 加密； 否则， 将对应的所述数据包传输 至其他传输路径， 不经 过所述IPSEC隧道进行加密。 2.根据权利要求1所述的一种管控IPSEC隧道数据按需分配的方法， 其特征在于， 预设 有赋值表， 所述赋值表包含若干五元组阈值组和与所述五元组阈值组对应的所述识别标 签； 所述五元组阈值组包括源地址阈值、 目的地址阈值、 协议类型阈值、 目的端口阈值和源 端口阈值； 所述基于预设的打标规则为各个所述数据包增 加识别标签的步骤 包括： 获取所述数据包的五元组数据； 所述五元组数据包括源地址、 目的地址、 协议类型、 目 的端口和源端口； 在所述五元组数据与 所述赋值表中的任一所述五元组阈值组对应时， 调取对应的所述 识别标签； 将调取的所述识别标签赋予对应的所述数据包。 3.根据权利要求2所述的一种管控IPSEC隧道数据按需分配的方法， 其特征在于： 所述 赋值表为Netfilter  NAT表， 所述五元组 阈值组和所述识别标签存储在所述Netfilter  NAT 表的PREROU TING链中。 4.根据权利 要求2或3所述的一种管控IPSEC隧道数据按需分配的方法， 其特征在于， 判 断所述五元组数据与所述五元组阈值组对应的步骤 包括： 判断所述源地址是否符合所述源地址阈值、 所述目的地址是否符合所述目的地址阈 值、 所述协议类型是否符合所述协议类型阈值、 所述 目的端口是否符合所述 目的端口阈值 以及所述源端口是否符合所述源端口阈值； 若均符合， 则视对应的所述五元组数据与对应的所述五元组阈值组对应； 否则， 视为 不对应。 5.根据权利 要求2或3所述的一种管控IPSEC隧道数据按需分配的方法， 其特征在于， 在 所述赋值表中的所述五元组阈值组和/或所述识别标签变化时， 删除与发生变化的所述五 元组阈值组或所述识别标签相关的所述数据包的所述识别标签， 并基于改变后的所述五元 组阈值组和/或所述识别标签为所述数据包增 加新的所述识别标签。 6.根据权利要求1所述的一种管控IPSEC隧道数据按需分配的方法， 其特征在于， 在所 述识别标签符合预设的加密条件时之前， 还 包括： 判断所述数据包携带的所述识别标签是否为预设的识别阈值； 若是， 则视所述识别标签符合所述加密条件； 否则， 视所述识别标签不符合所述加密条件。 7.一种管控IPSEC隧道数据按需分配的系统， 其特征在于： 包括获取模块 （1） ， 用于获取 数据包； 打标模块 （2） ， 用于基于预设的打标规则为各个所述数据包增 加识别标签； 和处理模块 （3） ， 用于判断所述识别标签是否符合预设的加密条件； 在所述识别标签符权　利　要　求　书 1/2 页 2 CN 114301735 A 2合预设的加密条件时， 将对应的所述数据包传输至IPSEC隧道进行加密； 否则， 将对应的所 述数据包传输 至其他传输路径， 不经 过所述IPSEC隧道进行加密。 8.根据权利要求7所述的一种管控IPSEC隧道数据按需分配的系 统， 其特征在于： 所述 系统还包括数据库 （4） ， 预存有 赋值表， 所述赋值表包含若干五元 组阈值组和与所述 五元组 阈值组对应的所述识别标签； 所述 五元组阈值组包括源地址阈值、 目的地址阈值、 协议类型 阈值、 目的端口阈值和源端口阈值； 所述打标模块包括抓取子模块 （21） ， 用于获取所述数据包的五元组数据； 所述五元组 数据包括源地址、 目的地址、 协议类型、 目的端口和源端口； 和调取子模块 （22） ， 用于在所述五元组数据与所述赋值表中的任一所述五元组阈值组 对应时， 调取对应的所述识别标签， 并将调取的所述识别标签赋予对应的所述数据包。 9.一种智能终端， 其特征在于： 包括存储器和处理器， 所述存储器中存储有管控IPSEC 隧道数据按需分配的程序， 所述处理器用于在执行管控IPSEC隧道数据按需分配的程序时 采用权利要求1 ‑6中任一项方法。 10.一种存储介质， 其特征在于： 存储有能够被处理器加载并执行如权利要求1 ‑6中任 一种方法的计算机程序。权　利　要　求　书 2/2 页 3 CN 114301735 A 3