[发明专利]一种对报文进行互联网协议安全性IPSec处理的方法和装置

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及对报文进行互联网协议安全性 IPSec处理的方法和装置。

背景技术

随着网络技术的发展和网络影响的扩大，网络数据安全变得日益重要， 很多应用场景对数据传输都有极高的安全要求，如公司总部和分支点的机要 数据传输，银行网点之间的数据通信，以及政府部门之间的通信等。

IPSec(Internet Protocol Security，互联网协议安全性)是IETF(the Internet Engineering Task Force，互联网工程任务组)制定的一种三层隧道加密协议， 为互联网上传输的数据提供高质量的、可互操作的、基于密码学的安全保证， 支持加密、防重放和完整性认证等功能，广泛应用于VPN(Virtual Private Network，虚拟专用网络)组网。IPSec作为数据处理引擎，在实现时一般内 嵌在三层协议栈中，数据在三层转发的过程中，如果需要进行IPSec处理， 则进入IPSec引擎，通过匹配策略实施IPSec处理。

在现有的IPSec引擎实施方式中，将SP(Security Policy，安全策略)和 SA(Security Association，安全联盟)集中管理，分别存储到SPDB(Security Policy Database，安全策略数据库)和SADB(Security Association Database， 安全联盟数据库)两个数据管理模块中。其中，SA是通信对等体间对某些要 素的约定，例如，使用的协议类型、协议的封装模式(传输模式和隧道模式)、 加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等；SP则用于 规定对数据流采用的安全措施。

报文从设备中转发出去时，IPSec引擎提取报文信息，并根据报文信息从 SPDB中查找SP，按照SP定义的策略和记录的SA信息实施IPSec处理。第 一次IPSec处理完成后，IPSec引擎循环往复地对处理后的报文进行策略匹配 处理，直到所有可应用的策略实施完毕。报文进入设备时，如果该报文为IPSec 报文，则进入IPSec引擎，进行解报文、防重放和策略验证等处理。

由于上述IPSec引擎是基于报文实现的，每个报文从设备中转发出去时， 都要经过合法性检查、策略内容提取、策略查找和策略实施过程；每个报文 进入设备时，都要进行策略验证等过程，实现方式较为繁琐，在多隧道、大 流量的环境下，导致IPSec软件处理性能损失严重。

现有技术中还提出了一种基于独立会话机制的引擎实现，数据包首次匹 配IPSec策略后创建IPSec会话，并根据策略匹配结果创建IPSec会话表项， 该会话表项中记录了报文的五元组(源IP地址、目的IP地址、协议号、源端 口、目的端口)和匹配的IPSec隧道。后续数据流根据报文的五元组查找会话 表项，如果找到匹配的会话表项，则根据会话表项中的隧道信息进行IPSec 处理；如果没有找到匹配的会话表项，则按照原有的IPSec处理流程处理，即 从接口下查找策略组和策略信息，再查找匹配的隧道进行IPSec处理。

然而，在NAT(Net Address Translation，网络地址转换)组网环境中，由 于NAT网关设备中已经存在会话管理模块，如果同一个数据流在IPSec引擎 中再创建会话，会导致会话过多，消耗大量的缓存资源，导致性能损耗。

发明内容

本发明提供了一种对报文进行互联网协议安全性IPSec处理的方法和装置， 用于提高IPSec处理能力。

本发明提供了一种对报文进行互联网协议安全性IPSec处理的方法，用于 对网络地址转换NAT设备接收的报文进行IPSec处理，所述NAT设备包括会话 管理模块、数据缓存和IPSec处理模块，所述NAT设备接收到内网发往外网的 报文时，所述NAT设备对该报文进行IPSec处理包括以下步骤：

所述会话管理模块获取待发送的报文的会话信息，将获取的会话信息和会 话索引表中记录的会话信息进行匹配；

在所述会话匹配成功后，所述会话管理模块判断所述报文的会话信息在所 述会话索引表中对应的策略有效位是否已经置位；