專利名稱:一種生成安全聯(lián)盟的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊技術(shù)領(lǐng)域,尤其是指一種在GREoverIPSEC組網(wǎng)模式下生 成安全聯(lián)盟SA的方法和裝置。
背景技術(shù):
當(dāng)前企業(yè)分支和企業(yè)中心通過運營商網(wǎng)絡(luò)互聯(lián),通常采用GREoverIPSEC 的組網(wǎng)模式,將IPSEC隧道(IP Security地址安全加密協(xié)議)和GRE隧道(Generic routing Encapsulation通用路由封裝)相結(jié)合使用,分別克服單獨使用GRE和 IPSEC時,GRE不具有加密功能,且要求封裝的公網(wǎng)地址必須是固定的缺點, 以及IPSEC的路由不靈活,需要配置靜態(tài)路由的缺點。
在GREoverIPSEC組網(wǎng)模式中,IPSEC生成SA(安全聯(lián)盟)的劃分依據(jù)是 Access-List(簡稱ACL)規(guī)則,ACL與GRE封裝后的報文相匹配,每條ACL規(guī) 則可以生成一個SA。 ACL規(guī)則與GRE封裝后報文的新IP報頭匹配,新IP 報頭的源地址是本端的loopback地址,目的地址是對端的lo叩back地址,協(xié) 議號是47;而IPSEC創(chuàng)建SA的時候,可以通過五種元素來區(qū)分感興趣的流 源地址、目的地址、協(xié)議號、源端口號和目的端口號,對于企業(yè)總部和特定企 業(yè)分支的通信來說,源地址、目的地址和協(xié)議號都是固定的,因此只能生成一 個SA。
然而,在特殊情況下,企業(yè)中心和企業(yè)分支的私網(wǎng)間存在著多種業(yè)務(wù)的互 通,所需要各種業(yè)務(wù)的保密程度可能不同,不同業(yè)務(wù)所需要的加密協(xié)議和加密 算法不同,因此在該種情況下針對不同業(yè)務(wù)就需要形成不同的SA。
發(fā)明內(nèi)容
本發(fā)明技術(shù)方案的目的在于提供一種在GREoverIPSEC組網(wǎng)模式下生成 安全聯(lián)盟的方法和裝置,采用該方法和裝置,在GREoverIPSEC模式下,不同的業(yè)務(wù)可以生成不同的SA,因此可以使用不同的加密協(xié)議和加密算法對數(shù)據(jù) 流進行傳輸。
為實現(xiàn)上述目的,根據(jù)本發(fā)明具體實施例的一個方面,提供一種生成安全 聯(lián)盟SA的方法,包括步驟一,地址安全加密協(xié)議IPSEC所設(shè)定安全策略 的當(dāng)前安全策略節(jié)點與經(jīng)過封裝后的封裝報文進入匹配,其中所述安全策略的 至少一個安全策略節(jié)點上配置有特定標(biāo)記;步驟二,判斷所述當(dāng)前安全策略節(jié) 點上是否存在所述特定標(biāo)記;若所述判斷結(jié)果為否,則以所述封裝報文的報文 頭中的源和目的地址與所述安全策略節(jié)點所定義的策略少見則進行匹配;若所述 判斷結(jié)果為是,則查找所述封裝報文的封裝前原始報文的報文頭,以所述原始 報文的報文頭中的源和目的地址與所述策略規(guī)則進行匹配;步驟三,根據(jù)所述 匹配成功的結(jié)果,生成相應(yīng)的SA。
優(yōu)選地,上述所述的方法,在所述步驟三之前,還包括步驟判斷所述匹 配是否成功;若所述判斷結(jié)果為是,則執(zhí)行所述步驟三;若所述判斷結(jié)果為否, 則以所述安全策略的下一個安全策略節(jié)點作為當(dāng)前安全策略節(jié)點,返回步驟
優(yōu)選地,上述所述的方法,在所述步驟二中,若所述判斷結(jié)果為是,在查 找所述原始報文的報文頭的步驟之前,還包括步驟判斷當(dāng)前報文是否為經(jīng)過 封裝后的所述封裝報文;若判斷結(jié)果為否,則以所述安全策略的下一個安全策 略節(jié)點作為當(dāng)前安全策略節(jié)點,返回步驟一;若判斷結(jié)果為是,則向下執(zhí)行查 找所述原始報文的報文頭的步驟。
優(yōu)選地,上述所述的方法,所述封裝報文是經(jīng)通用路由封裝GRE隧道進 行封裝之后的報文,所述原始報文是所述GRE隧道進行封裝之前的報文。
優(yōu)選地,上述所述的方法,在所述安全策略中,用以匹配所述原始報文的 安全策略節(jié)點被定義在用以匹配所述封裝報文的安全策略節(jié)點之前。
優(yōu)選地,上述所述的方法,所述封裝報文由報文頭、GRE頭、原始報文 的報文頭和原始報文的凈荷構(gòu)成。
優(yōu)選地,上述所述的方法,根據(jù)所述封裝報文的報文頭長度、所述封裝報 文的總長度字段以及所述GRE頭的標(biāo)志字段,查找所述原始報文的報文頭的 位置。優(yōu)選地,上述所述的方法,所述封裝報文的所述報文頭和所述GRE頭的
格式為固定,采用偏移固定字節(jié)的方法查找所述原始報文的報文頭的位置。
優(yōu)選地,上述所述的方法,所述策略規(guī)則為訪問控制列表ACL規(guī)則。 本發(fā)明具體實施例的另 一方面還提供一種生成安全聯(lián)盟SA的裝置,包括 存儲模塊,用于存儲IPSEC所設(shè)定的安全策略;設(shè)定模塊,與所述存儲模塊 連接,用于將所述存儲模塊所存儲的IPSEC安全策略的至少一個安全策略節(jié) 點上配置特定標(biāo)記;第一判斷模塊,與所述存儲模塊連接,用于判斷與一封裝 報文相匹配的安全策略節(jié)點上是否存在所述特定標(biāo)記;定位模塊,與所述第一 判斷模塊連接,當(dāng)所述第一判斷才莫塊判斷所述安全策略節(jié)點上存在所述特定標(biāo) 記時,所述定位模塊用以確定所述封裝報文的原始報文的報文頭的位置;匹配 模塊,與所述定位模塊、所述第一判斷模塊和所述存儲模塊連接,用于將所述
與所述匹配模塊連接,用于根據(jù)所述匹配模塊的匹配結(jié)果生成安全聯(lián)盟SA并 對所述封裝報文進行加密。
優(yōu)選地,上述所述的裝置,還包括第二判斷模塊,分別與所述第一判斷模 塊、所述定位模塊連4矣,當(dāng)所述第一判斷模塊判斷所述安全策略節(jié)點上存在所 述特定標(biāo)記時,所述第二判斷模塊用于判斷當(dāng)前報文是否為所述封裝報文,并 將所述判斷結(jié)果傳^^至所述定位模塊。
優(yōu)選地,上述所述的裝置,還包括第三判斷模塊,分別與所述匹配模塊、 所述加密模塊連接,用于判斷所述匹配模塊的匹配結(jié)果是否成功,當(dāng)判斷所述 匹配結(jié)果成功時,將所述判斷結(jié)果傳輸至所述加密模塊進行加密。
本發(fā)明具體實施例的其中至少一實施例具有以下的有益效果所述的生成 安全聯(lián)盟SA的方法和裝置,在GREoverIPSEC組網(wǎng)模式下,將IPSEC安全策 略的安全策略節(jié)點所定義的策略規(guī)則與封裝后報文的原始報文頭匹配,由于不 同報文的原始報文頭中的源地址、目的地址和協(xié)議號不同,因此采用原始報文 頭與安全策略節(jié)點的策略規(guī)則匹配時,不同的業(yè)務(wù)可以生成為不同的SA,從 而可以使用不同的加密算法和加密協(xié)議對數(shù)據(jù)流進行傳輸;此外所述方法和裝 置在和QOS (服務(wù)質(zhì)量要求)配合使用的時候,還具有避免IPSEC抗重放丟
圖1為GREoverIPSEC組網(wǎng)模式的聯(lián)結(jié)結(jié)構(gòu)示意圖; 圖2為GRE封裝前、后的IP報文格式的結(jié)構(gòu)示意圖; 圖3為本發(fā)明實施例所述生成安全Jf關(guān)盟SA方法的原理示意圖; 圖4為說明在GREoverIPSEC組網(wǎng)模式下,采用本發(fā)明所述方法一實施例 生成安全聯(lián)盟SA的流程圖5為本發(fā)明實施例所述用于生成安全聯(lián)盟SA的裝置的結(jié)構(gòu)原理示意圖。
具體實施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更力口清楚,下面將結(jié)合附圖及具體實 施例對本發(fā)明進行詳細描述。
本發(fā)明具體實施例所述的生成安全聯(lián)盟SA的方法和裝置是采用IPSEC隧 道技術(shù)和GRE隧道技術(shù)相結(jié)合的GREoverIPSEC組網(wǎng)模式,具體組網(wǎng)結(jié)構(gòu)如 圖1所示。圖1中,在企業(yè)中心網(wǎng)關(guān)1上設(shè)置路由器11,企業(yè)分支網(wǎng)關(guān)2上 設(shè)置路由器21,且分別在企業(yè)分支網(wǎng)關(guān)2和企業(yè)中心網(wǎng)關(guān)1的路由器21和路 由器11上配置Loopback接口 ,如圖1中企業(yè)中心網(wǎng)關(guān)1上的Loopback接口 12,企業(yè)分支網(wǎng)關(guān)2上的Loopback接口 22,且分別配置各自的IP地址。
此外,在企業(yè)中心網(wǎng)關(guān)的路由器11上配置GRE隧道13,并為該GRE隧 道13配置企業(yè)私網(wǎng)地址,GRE隧道13的源地址是本端的Loopback接口 12 的地址,目的地址是對端的Loopback接口 22的地址;在企業(yè)分支網(wǎng)關(guān)2的路 由器21上同樣配置GRE隧道23,該GRE隧道23的源地址是本端的Loopback 接口 22的地址,目的地址是對端的Lo叩back接口 12的地址。
在企業(yè)分支網(wǎng)關(guān)2的路由器21上配置到企業(yè)中心網(wǎng)關(guān)1的路由器11的 IPSEC隧道,并且將IPSEC安全策略配置在路由器21的公網(wǎng)接口 24上,IPSEC 感興趣的流使用IP地址表示源網(wǎng)段是本端的Loopback接口 22的地址,目 的網(wǎng)段是對端的Loopback接口 12的地址;同樣,在企業(yè)中心網(wǎng)關(guān)1的路由器11上配置到企業(yè)分支網(wǎng)關(guān)2路由器21的IPSEC隧道,IPSEC安全策略配置在 路由器11的公網(wǎng)接口 14上,IPSEC感興趣的流為源網(wǎng)段是本端的Loopback 接口 12的地址,目的網(wǎng)段是對端的Loopback接口 22的地址。
在GREoverIPSEC組網(wǎng)模式中,通過GRE隧道與IPSEC加密相結(jié)合,GRE 隧道封裝的數(shù)據(jù)包可被IPSEC加密。如圖2所示為通過GRE封裝的IP報文, 封裝前的報文格式100與封裝后的報文格式200的結(jié)構(gòu)示意圖,IPSec安全策 略通過訪問控制列表(ACL )來匹配感興趣數(shù)據(jù)流,在GREoverIPSEC組網(wǎng)模 式中,就是經(jīng)過GRE封裝后的封裝報文,當(dāng)有數(shù)據(jù)包的報文頭的源和目的地 址匹配到所定義的ACL時,則建立一個安全耳關(guān)盟(SA),為通信雙方建立一條 安全的傳輸通路,事先確定將要采用的安全策略,包括使用的加密算法、密鑰 以及密鑰的生存期等,以此建立IPSec的加密隧道。
在本發(fā)明具體實施例中,所述ACL規(guī)則除能夠與GRE隧道封裝后的新IP 報文頭匹配外,所述的生成安全聯(lián)盟(SA)的方法還可以將ACL規(guī)則與GRE隧 道封裝后的原始IP報文頭相匹配,如圖2所示。當(dāng)ACL規(guī)則與GRE隧道封 裝后的新IP報文頭匹配時,對于企業(yè)總部和特定企業(yè)分支的通信來說,新IP 報文頭的源IP地址、目的IP地址和協(xié)議號都是固定的,因此只能形成一個SA; 而當(dāng)ACL規(guī)則與GRE隧道封裝后的原始IP報文頭相匹配時,由于不同原始 IP報文的IP報文頭中的源IP地址、目的IP地址和協(xié)議號不同,因此若采用 GRE隧道封裝的原始IP報文頭與ACL匹配,則不同的業(yè)務(wù)即可以生成為不 同的SA。
這樣,對于GRE封裝后的通常IP報文,可以采用ACL規(guī)則與GRE隧道 封裝后IP報文的新IP報文頭相匹配形成統(tǒng)一的SA,而當(dāng)特定的業(yè)務(wù)流量需
匹配,單獨形成特定的SA。
法的工作原理如圖3所示,在配置IPSEC的安全策略時,在至少一個安全策 略節(jié)點上配置以特定的標(biāo)記,如配置以通用路由封裝(GRE)的標(biāo)記,例如, 在配置IPSEC的安全策略節(jié)點時,添加指令檢查GRE標(biāo)記,當(dāng)該安全策略節(jié) 點與IP報文進入匹配時,以此指令檢查所述IP報文是否為經(jīng)GRE封裝后的封裝IP報文,若檢查結(jié)果為是,則采用GRE隧道封裝的原始IP報文頭與ACL 規(guī)則進行匹配。
如圖3所示,在步驟S301,所述IP"I艮文經(jīng)過GRE隧道封裝。步驟S302, IPSEC安全策略的一安全策略節(jié)點作為當(dāng)前安全策略節(jié)點與該封裝IP報文進 入匹配。
在步驟S303,判斷所述當(dāng)前安全策略節(jié)點上是否存在GRE標(biāo)記。 當(dāng)步驟S303判斷所迷當(dāng)前安全策略節(jié)點上存在GRE標(biāo)記時,則流程進入
步驟S305;當(dāng)判斷所述當(dāng)前安全策略節(jié)點上不存在所述GRE標(biāo)記時,則流程
進入步驟S304。
在步驟S304,以所述封裝IP報文的新IP報文頭與所述安全策略節(jié)點的 ACL相匹配。
在步驟S305,查找所述封裝IP報文的原始報文的IP報文頭,以原始IP 報文頭與所述當(dāng)前安全策略節(jié)點的ACL規(guī)則進行匹配。
步驟S304和步驟S305在執(zhí)行完成后,流程均進入步驟S306。 在步驟S306,對步驟S305和步驟S304的匹配結(jié)果進行判斷。則流程返回步驟S302, IPSEC安全策略的下一安全策略節(jié)點作為當(dāng)前安全策 略節(jié)點與所述封裝IP報文進入匹配;若步驟S306判斷所述步驟S305或所述 步驟S304的匹配結(jié)果為成功,則流程進入步驟S307。
在步驟S307,依據(jù)所述步驟S304和所述步驟S305的匹配結(jié)果,生成相 應(yīng)的安全聯(lián)盟SA。
如圖2,根據(jù)GRE隧道封裝后報文200的格式,經(jīng)過GRE封裝后的封裝 報文依次由新IP報文頭、GRE頭、原始IP報文頭和凈荷構(gòu)成,因此根據(jù)新 IP報文頭的報文頭長度和報文總長度字段以及GRE頭的標(biāo)志字段,即可以計 算出原始IP報文頭的位置;此外,在特定的實現(xiàn)方式下,可以設(shè)置新IP報文 頭和GRE頭為固定格式字段,這樣可以直接使用偏移固定字節(jié)長度的方法即 能夠確定原始IP報文頭的位置。
根據(jù)本發(fā)明所述生成SA的方法,應(yīng)用于GREoverIPSEC組網(wǎng)模式下,所 傳輸數(shù)據(jù)流中的IP報文與IPSEC安全策略匹配生成SA的具體流程如圖4所示。在本發(fā)明具體實施例中,為了能夠首先進行報文分析,以保證特殊處理的
流量能夠生成特定的SA,所述IPSEC安全策略用以匹配所述原始報文的原始 IP報文頭的安全策略節(jié)點被定義在用以匹配所述封裝后IP報文的新IP報文頭 的安全策略節(jié)點之前。
參閱圖4,所述IPSEC安全策略配置的至少一個安全策略節(jié)點上配置特定 標(biāo)記,在步驟S401,所傳輸數(shù)據(jù)流中的IP報文首先進入第一個安全策略節(jié)點。
在步驟S402,對該當(dāng)前的第一個安全策略節(jié)點上是否存在預(yù)先設(shè)定的特 定標(biāo)記進行判斷。
若步驟S402的判斷結(jié)果為否,則流程進入步驟S404;若步驟S402的判 斷結(jié)果為是,則流程進入步驟S403。
在步驟S403,對所述IP l艮文是否為GRE報文進行判斷。
若步驟S403的判斷結(jié)果為否,則流程進入步驟S406;若步驟S403的判 斷結(jié)果為是,則流程進入步驟S405。
在步驟S404,該第一個安全策略節(jié)點的ACL規(guī)則與所述IP報文的新IP 才艮文頭相匹配。
若在步驟S404中的匹配成功,則流程進入步驟S407;若在步驟S404中 的匹配不成功,則流程進入步驟S406。
在步驟S405,該第一安全策略節(jié)點的ACL規(guī)則與該經(jīng)GRE封裝的IP報 文的原始才艮文的IP導(dǎo)艮文頭相匹配。
若步驟S405中的匹配成功,則流程進入步驟S407;若在步驟S405中的 匹配不成功,則流程進入步驟S406。
在步驟S406,所述IP報文繼續(xù)與下一個安全策略節(jié)點進行匹配。
在步驟S407,依據(jù)所述匹配成功的結(jié)果,生成相應(yīng)的SA。
綜合以上所述,本發(fā)明具體實施例所述的生成SA的方法,可以對具有多 層封裝頭的報文進行加密,進行IPSEC感興趣流匹配的時候,不必一定使用 最外層的報文頭進行匹配,也可以使用內(nèi)層的報文頭進行匹配。
此外,在GREoverIPSEC的組網(wǎng)條件下,若代表不同業(yè)務(wù)的不同IP報文 生成相同的SA,當(dāng)與QOS(服務(wù)質(zhì)量要求)配合使用的時候,因為QOS會將 IPSEC加密后的報文重新排序,因此容易引發(fā)IPSEC的抗重放丟包;而本發(fā)明具體實施例所述生成SA的方法在與QoS配合使用的時候,在進行IPSEC 密封之前將不同的業(yè)務(wù)生成不同的SA,在SA的業(yè)務(wù)分類規(guī)則和QOS的業(yè)務(wù) 分類^見則一致的情況下,也可以解決GREoverIPSEC組網(wǎng)下的IPSEC的抗重 放丟包問題。此外,本發(fā)明具體實施例還提供一種生成安全聯(lián)盟的裝置,如圖5所示, 包括存儲模塊,用于存儲地址安全加密協(xié)議IPSEC所設(shè)定的安全策略;設(shè) 定模塊,與所述存儲模塊連接,用于將所述存儲模塊所存儲的IPSEC安全策 略的至少一個安全策略節(jié)點上配置特定標(biāo)記;第一判斷才莫塊,與所述存儲模塊 連接,用于判斷與一封裝^^艮文相匹配的安全策略節(jié)點上是否存在所述特定標(biāo) 記;定位模塊,與所述第一判斷模塊連接,當(dāng)所述第一判斷模塊判斷所述安全 策略節(jié)點上存在所述特定標(biāo)記時,所述定位才莫塊用以確定所述封裝報文的原始 報文的報文頭的位置;匹配模塊,與所述定位模塊、所述第一判斷模塊和所述 存儲模塊連接,用于依據(jù)所述第一判斷模塊的判斷結(jié)果,將所述存儲模塊保存 的所述安全策略節(jié)點所定義的策略規(guī)則與所述封裝報文的報文頭中的源和目 的地址進行匹配或與所述原始報文的才艮文頭中的源和目的地址進4亍匹配;加密 模塊,與所述匹配模塊連接,用于根椐所述匹配模塊的匹配結(jié)果生成安全聯(lián)盟 SA并對所述封裝報文進行加密。本發(fā)明具體實施例所述的生成安全聯(lián)盟的裝置,還包括第二判斷模塊,輸 入端與所述第一判斷模塊連接,輸出端與所述定位模塊連接,當(dāng)所述第一判斷 模塊判斷所述安全策略節(jié)點上存在所述特定標(biāo)記時,所述第二判斷模塊用于判 斷當(dāng)前報文是否為所述封裝報文,并將所述判斷結(jié)果傳輸至所述定位模塊,當(dāng) 所述判斷結(jié)果為是時,通過定位模塊確定所述封裝報文的原始報文的報文頭的 位置;第三判斷模塊,輸入端與所述匹配模塊連接,輸出端與所述加密模塊連 接,用于判斷所述匹配模塊的匹配結(jié)果是否成功,當(dāng)判斷所述匹配結(jié)果成功時, 將所述判斷結(jié)果傳輸至所述加密模塊進行加密。因此,采用本發(fā)明具體實施例所述的生成安全聯(lián)盟的方法和裝置,可以對 多層報文的報文頭進行加密,在GREoverIPSEC組網(wǎng)條件下,對于企業(yè)中心私 網(wǎng)和企業(yè)分支私網(wǎng)間的通信,不同的業(yè)務(wù)可以形成多個不同的SA,因此可以 保證不同的業(yè)務(wù)可以有不同的加密協(xié)議和加密算法;此外所述方法和裝置在和QOS配合使用的時候,能夠避免IPSEC抗重放丟包的現(xiàn)象。以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通 技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾, 這些改進和潤飾也應(yīng)^L為本發(fā)明的保護范圍.
權(quán)利要求
1.一種生成安全聯(lián)盟SA的方法,其特征在于,包括步驟一,地址安全加密協(xié)議IPSEC所設(shè)定安全策略的當(dāng)前安全策略節(jié)點與經(jīng)過封裝后的封裝報文進入匹配,其中所述安全策略的至少一個安全策略節(jié)點上配置有特定標(biāo)記;步驟二,判斷所述當(dāng)前安全策略節(jié)點上是否存在所述特定標(biāo)記;若所述判斷結(jié)果為否,則以所述封裝報文的報文頭中的源和目的地址與所述安全策略節(jié)點所定義的策略規(guī)則進行匹配;若所述判斷結(jié)果為是,則查找所述封裝報文的封裝前原始報文的報文頭,以所述原始報文的報文頭中的源和目的地址與所述策略規(guī)則進行匹配;步驟三,根據(jù)所述匹配成功的結(jié)果,生成相應(yīng)的SA。
2. 如權(quán)利要求l所述的方法,其特征在于,在所述步驟三之前,還包括 步驟判斷所述匹配是否成功; 若所述判斷結(jié)果為是,則4丸行所述步驟三;若所述判斷結(jié)果為否,則以所述安全策略的下一個安全策略節(jié)點作為當(dāng)前 安全策略節(jié)點,返回步驟一。
3. 如權(quán)利要求1所述的方法,其特征在于,在所述步驟二中,若所述判 斷結(jié)果為是,在查找所述原始報文的報文頭的步驟之前,還包括步驟判斷當(dāng)前報文是否為經(jīng)過封裝后的所述封裝報文; 若判斷結(jié)果為否,則以所述安全策略的下一個安全策略節(jié)點作為當(dāng)前安全 策略節(jié)點,返回步驟一;若判斷結(jié)果為是,則向下執(zhí)行查找所述原始報文的報文頭的步驟。
4. 如權(quán)利要求1或3所述的方法,其特征在于,所述封裝報文是經(jīng)通用 路由封裝GRE隧道進行封裝之后的報文,所述原始報文是所述GRE隧道進行 封裝之前的報文。
5. 如權(quán)利要求1所述的方法,其特征在于,在所述安全策略中,用以匹 配所述原始報文的安全策略節(jié)點被定義在用以匹配所述封裝報文的安全策略節(jié)點之前。
6. 如權(quán)利要求4所述的方法,其特征在于,所述封裝報文由報文頭、GRE 頭、原始報文的報文頭和原始報文的凈荷構(gòu)成。
7. 如權(quán)利要求6所述的方法,其特征在于,根據(jù)所述封裝報文的報文頭 長度、所述封裝才艮文的總長度字段以及所述GRE頭的標(biāo)志字段,查找所述原 始報文的報文頭的位置。
8. 如權(quán)利要求6所述的方法,其特征在于,所述封裝報文的所述報文頭 和所述GRE頭的格式為固定,采用偏移固定字節(jié)的方法查找所述原始^t艮文的 報文頭的位置。
9. 如權(quán)利要求1所述的方法,其特征在于,所述策略規(guī)則為訪問控制列 表ACL規(guī)則。
10. —種生成安全聯(lián)盟SA的裝置,其特征在于,包括 存儲模塊,用于存儲IPSEC所設(shè)定的安全策略;設(shè)定模塊,與所述存儲模塊連接,用于將所述存儲模塊所存儲的IPSEC 安全策略的至少一個安全策略節(jié)點上配置特定標(biāo)記;第一判斷模塊,與所述存儲模塊連接,用于判斷與一封裝報文相匹配的安 全策略節(jié)點上是否存在所述特定標(biāo)記;定位模塊,與所述第一判斷模塊連接,當(dāng)所述第一判斷模塊判斷所述安全 策略節(jié)點上存在所述特定標(biāo)記時,所述定位it塊用以確定所述封裝報文的原始 報文的報文頭的位置;匹配模塊,與所述定位模塊、所述第一判斷模塊和所述存儲模塊連接,用 于將所述安全策略節(jié)點所定義的策略規(guī)則與所述封裝報文的報文頭中的源和 目的地址進行匹配或與所述原始報文的報文頭中的源和目的地址進行匹配;加密模塊,與所述匹配模塊連接,用于根據(jù)所述匹配模塊的匹配結(jié)果生成 安全聯(lián)盟SA,并對所述封裝報文進行加密。
11. 如權(quán)利要求10所述的裝置,其特征在于,還包括第二判斷模塊,分 別與所述第一判斷沖莫塊、所述定位模塊連接,當(dāng)所述第一判斷模塊判斷所述安 全策略節(jié)點上存在所述特定標(biāo)記時,所述第二判斷模塊用于判斷當(dāng)前報文是否 為所述封裝^^艮文,并將所述判斷結(jié)果傳輸至所述定位^t塊。
12.如權(quán)利要求10所述的裝置,其特征在于,還包括第三判斷模塊,分別與所述匹配模塊、所述加密模塊連接,用于判斷所述匹配模塊的匹配結(jié)果是 否成功,當(dāng)判斷所述匹配結(jié)果成功時,將所述判斷結(jié)果傳輸至所述加密模塊進 行加密。
全文摘要
本發(fā)明公開了一種生成安全聯(lián)盟SA的方法和裝置,所述方法包括步驟一,IPSEC所設(shè)定安全策略的當(dāng)前安全策略節(jié)點與經(jīng)過封裝后的封裝報文進入匹配,其中至少一個安全策略節(jié)點上配置有特定標(biāo)記;步驟二,判斷當(dāng)前安全策略節(jié)點上是否存在特定標(biāo)記;若判斷結(jié)果為否,則以封裝報文的報文頭中的源和目的地址與所述安全策略節(jié)點所定義的策略規(guī)則進行匹配;若判斷結(jié)果為是,則查找封裝報文的封裝前原始報文的報文頭,以原始報文的報文頭中的源和目的地址與所述策略規(guī)則進行匹配;步驟三,根據(jù)匹配成功的結(jié)果,生成相應(yīng)SA。采用該方法和裝置,不同的業(yè)務(wù)可以生成不同的SA,因此可以使用不同的加密協(xié)議和加密算法對數(shù)據(jù)流進行傳輸。
文檔編號H04L12/56GK101309273SQ20081011674
公開日2008年11月19日 申請日期2008年7月16日 優(yōu)先權(quán)日2008年7月16日
發(fā)明者任俊峰, 王君菠, 王守唐 申請人:杭州華三通信技術(shù)有限公司