[发明专利]IP安全报文转发方法及装置

说明书

技术领域

本发明涉及IP安全技术领域，具体涉及IP安全报文转发方法及装置。

背景技术

IP安全(IPSec，IP Security)是国际互联网工程工作组(IETF，Internet Engineering Task Force)制定的三层隧道加密协议，它为因特网上传输的数 据提供了高质量、可互操作、基于密码学的安全保证。IPSec策略启用在实 际接口上，对该接口上转发的特定报文进行加密和封装，并发送到IPSec对 等体(IKE-Peer)，IPSec对等体对该报文进行解封装和解密，再将该报文 按照目的IP进行转发。

IPSec基本配置的实现如下：通过IPSec，对等体之间即：设备及其对端 能够对不同的数据流实施不同的安全保护如：认证、加密或两者同时使用， 数据流的区分通过配置访问控制列表(ACL，Access Control List)来进行； 安全保护所用到的安全协议、认证算法和加密算法、封装模式等通过配置 IPSec提议来进行；数据流和IPSec提议的关联即：定义对何种数据流实施 何种保护、安全联盟(SA，Security Association)的协商方式、对等体IP地 址的设置即：保护路径的起/终点、所需要的密钥和SA的生存周期等通过配 置安全策略来进行；最后在设备接口上实施安全策略即完成了IPSec的配置， 若通过软件实现，则在接口上应用安全策略即可；若通过加密卡实现，则除 了在接口上应用安全策略，还需将安全策略绑定到加密卡上。

图1给出了基于ACL的IPSec组网图，如图1所示，在两端设备：设 备A、B的公网接口上配置IPSec策略，IPSec策略包含3个要素，IPSec对 等体、加密算法、加密ACL。对于设备A的公网接口上转发或者始发的报 文，首先将该报文与已有的IPSEC SA匹配，若匹配到，则使用该IPSec SA 对报文进行加密封装发送到设备B；若未匹配到，则将该报文与加密ACL 匹配，若匹配上，则设备A向设备B发起IPSec SA协商，IPSec SA协商成 功，IPSsec SA建立，使用新建立的IPSec SA对该报文进行加密封装后送到 对端设备A。

为保证SA的成功建立，需要将IPSec对等体上的ACL镜像配置，即保 证两端要保护的数据流范围是镜像的。图2给出了一个镜像配置ACL的示 例图。在建立IPSec SA时，对于要加密的流两端最后要协商成镜像方式， 这样，对于组播和广播报文都不可能建立IPSec SA。因为：对于组播或广播 报文，其目的地址为组播或广播地址，若要ACL镜像配置，则对端设备的 ACL配置的源地址需要为组播或广播地址，这种报文实际上是不存在的； 另外，对于组播或广播报文，即使两端设备完成了ACL镜像配置，组播或 广播报文被送到了对端设备，但是由于两端设备的公网接口不在同一网段， 无法建立邻居关系，因此无法实现路由，也就导致IPSec隧道两端不能启用 动态路由和组播协议。

思科(CISCO)公司提出的静态虚拟隧道接口(VTI，Virtual Tunnel Interface)使用隧道接口，VTI上配置了本端和对端的公网IP地址、加密算 法，并指定接口的封装方式为IPSec封装，设备使用隧道接口上配置的对端 的公网IP地址作为IPSec对等体的地址发起IPSec连接。图3为静态VTI 组网图，如图3所示，设备A的隧道接口上配置的对端公网IP地址为1.2.1.1， 则设备A的VTI上有报文始发或者转发时，检查是否有与VTI上配置的对 端公网IP地址对应的IPSec SA，若有，则使用该IPSec SA对该报文进行加 密封装；若没有，则向设备B发起IPSec SA协商，协商成功IPSec SA建立， 设备A使用建立的IPSEC SA对报文进行加密封装后发送到设备B。

设备A、B上建立的IPSec SA如下：

！

crypto isakmp policy 1

encr 3 des

authentication pre-share

group 2

crypto isakmp key Cisco 12345 address 0.0.0.0 0.0.0.0

crypto IPsec transform-set T1 esp-3des esp-sha-hmac