[发明专利]一种对报文进行互联网协议安全性IPSec处理的方法和装置

权利要求书

1.一种对报文进行互联网协议安全性IPSec处理的方法，用于对网络地址 转换NAT设备接收的报文进行IPSec处理，其特征在于，所述NAT设备包括会 话管理模块、数据缓存和IPSec处理模块，所述NAT设备接收到内网发往外网 的报文时，所述NAT设备对该报文进行IPSec处理包括以下步骤：

所述会话管理模块获取待发送的报文的会话信息，将获取的会话信息和会 话索引表中记录的会话信息进行匹配；

在所述会话匹配成功后，所述会话管理模块判断所述报文的会话信息在所 述会话索引表中对应的策略有效位是否已经置位；

如果所述策略有效位已经置位，所述会话管理模块在所述数据缓存存储的 报文管理字段中记录所述报文的会话信息标识，并对所述会话信息标识对应的 会话有效位进行置位，并将所述报文转发给所述IPSec处理模块；如果所述策略 有效位没有置位，所述会话管理模块也将所述报文转发给所述IPSec处理模块；

所述IPSec处理模块判断所述报文的会话信息标识是否包含在所述报文管 理字段中且对应的会话有效位已经置位；

如果所述报文的会话信息标识包含在所述报文管理字段中且所述对应的会 话有效位已经置位，所述IPSec处理模块在所述会话索引表中查找所述报文的会 话信息对应的策略信息，并根据所述查找到的策略信息对所述报文进行IPSec 处理；

如果所述报文的会话信息标识没有包含在所述报文管理字段中且所述报文 的会话信息标识对应的会话有效位没有置位，所述IPSec处理模块从安全策略数 据库中查找所述报文对应的安全策略，如果查找到，则添加所述会话索引表中 所述报文的会话信息对应的策略信息，并对所述报文进行IPSec处理。

2.如权利要求1所述的方法，其特征在于，如果所述IPSec处理模块从所述 安全策略数据库中没有查找到对应的安全策略，那么将所述会话信息标识记录 在报文管理字段中，并且将对应的会话有效位不进行置位，并且对所述报文进 行丢弃/绕过处理；当同一个流的下一报文进入到IPSec处理模块后，IPSec处理 模块根据会话有效位没有置位这一信息直接将报文进行丢弃/绕过处理。

3.如权利要求1所述的方法，其特征在于，所述NAT网关设备接收外网 发往内网的报文时，所述NAT设备对该外网发往内网的报文进行IPSec处理包 括以下步骤：

所述IPSec处理模块对所述外网发往内网的报文进行解析，获取所述外网发 往内网的报文的会话信息，并判断所述外网发往内网的报文的会话信息是否包 含在所述会话索引表中；如果所述外网发往内网的报文的会话信息包含在所述 会话索引表中，所述IPSec处理模块将所述外网发往内网的报文直接转发到所述 NAT网关设备的下一模块；如果所述外网发往内网的报文的会话信息没有包含 在所述会话索引表中，所述IPSec处理模块从安全策略数据库中查找所述外网发 往内网的报文对应的安全策略，并判断所述外网发往内网的报文能否通过所述 安全策略的验证。

4.如权利要求1所述的方法，其特征在于，还包括：

所述IPSec处理模块添加安全策略；

所述会话管理模块清除所述会话索引表中的所有会话信息对应的策略信息 和策略有效位。

5.如权利要求1所述的方法，其特征在于，还包括：

所述IPSec处理模块删除安全策略；

所述会话管理模块查找所述会话索引表，获取与所述删除的安全策略相关 的会话信息；

所述会话管理模块在所述会话索引表中清除所述相关会话信息对应的所有 策略信息和策略有效位。