[发明专利]一种对数据包进行加解密处理的方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种对数据包进行加解密处理的方法。

背景技术

 PSEC VPN设备接入网络时可以采用两种部署模式：网关部署模式和网桥部署模式。在网关部署模式中，IPSEC VPN设备内外网接口路由不同，作为路由器或NAT转换设备，实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。在网桥部署模式中，IPSEC VPN作为网桥设备接入到路由器（防火墙）和交换机（后端业务）之间，透明转发除VPN报文之外所有数据。网桥工作在数据链路层，根据MAC地址来转发帧，IPSEC协议工作在传输层，采用网桥模式部署的IPSEC VPN设备对所有目的地址非本地的数据包均进行转发，导致在网桥模式下难以对数据包进行加解密处理，如果在数据链路层单独实现对数据帧进行加解密处理又非常复杂。

发明内容

针对上述的网桥模式下难以对数据包进行加解密处理的技术问题，本发明公开了一种对数据包进行加解密处理的方法。

本发明的目的通过下述技术方案来实现：

一种对数据包进行加解密处理的方法，其具体包含以下步骤：

步骤1，物理网卡接收以太帧，判断以太帧接收的网卡是否属于桥设备，如是，则将以太帧提交到桥协议栈，如否，则将以太帧提交到IP协议栈；

步骤2，桥协议栈识别以太帧，如果以太帧为单播帧，则识别以太帧的属性，非单播帧则由桥协议栈直接处理；

步骤3，当以太帧的属性为IP数据包时，判断IP协议栈中该桥接口是否配置了IP地址，是，则修改以太帧描述符属性，并提交该数据包到IP协议栈，否则将以太帧提交桥协议栈处理；当以太帧的属性为802.1Q数据帧时，判断IP协议栈中是否存在接收该数据帧的子接口，有则继续判断IP协议栈中该桥接口是否配置了IP地址，是，则修改以太帧描述符属性，并提交该数据包到IP协议栈，否则将以太帧提交桥协议栈进行处理；

步骤4，将提交到IP协议栈的数据包进行加解密处理后，IP协议栈根据路由表把该处理后的IP数据包提交给网桥接口，网桥接口通过物理网卡转发处理后的IP数据帧。

更进一步地，上述步骤2中桥协议栈识别以太帧具体为：桥协议栈中的数据甄别器根据以太帧中的目的MAC地址识别出数据帧为多播帧、组播帧还是单播帧。

更进一步地，上述步骤2中桥协议栈对非单播帧的处理具体为:如果以太帧为多播帧或者组播帧，则直接通过桥协议栈进行广播、转发或者本地接收。

本发明的有益效果：通过桥协议栈识别出IP数据帧，并将IP数据包提交给上层（传输层）进行VPN加解密处理，利用链路层和传输层对数据帧不同的处理方式，实现IPSEC VPN设备在网桥模式下利用IP协议栈对数据帧进行加解密处理，简化了IPSEC VPN设备在网桥模式下的开发难度，增加了IPSEC VPN设备的网络适应能力。 

附图说明

图1 为本发明的对数据包进行加解密处理的方法流程图。

具体实施方式

如说明书附图1所示的本发明的对数据包进行加解密处理的方法流程图。本发明公开了一种对数据包进行加解密处理的方法，其具体包含以下步骤：

步骤1，物理网卡接收以太帧，判断以太帧接收的网卡是否属于桥设备，如是，则将以太帧提交到桥协议栈，如否，则将以太帧提交到IP协议栈；

步骤2，桥协议栈识别以太帧，如果以太帧为单播帧，则识别以太帧的属性，非单播帧则由桥协议栈直接进行处理；

步骤3，当以太帧的属性为IP数据包时，判断IP协议栈中该桥接口是否配置了IP地址，是，则修改以太帧描述符属性，并提交该数据包到IP协议栈，否则将以太帧提交桥协议栈处理；当以太帧的属性为802.1Q数据帧时，判断IP协议栈中是否存在接收该数据帧的子接口，有则继续判断IP协议栈中该桥接口是否配置了IP地址，是，则修改以太帧描述符属性，并提交该数据包到IP协议栈，否则将以太帧提交桥协议栈进行处理；

步骤4，将提交到IP协议栈的数据包进行加解密处理后，IP协议栈根据路由表把该处理后的IP数据包提交给网桥接口，网桥接口通过物理网卡转发处理后的IP数据帧。