[发明专利]一种IPSec VPN网关数据处理方法

权利要求书

1.一种IPSec VPN网关数据处理方法，其特征在于包括：

步骤1：IPSec VPN网关与信息发布服务器建立信息连接；

步骤2：每台IPSec VPN网关与信息发布服务器建立信息连接后，从信息发布服务器获取其他IPSec VPN网关的信息及所保护的网络服务的信息，并生成IPSec策略信息，所述IPSec VPN策略信息是与其他IPSec VPN网关所保护的网络服务的信息一一对应的；

步骤3：当某IPSec VPN网关接收到网络数据包时，该IPSec VPN网关会根据该网络数据包的网络信息、IPSec策略信息以及该IPSec VPN网关的访问权限设置，判断该网络数据包是否该按照ESP协议处理。

2.根据权利要求1所述的一种IPSec VPN网关数据处理方法，其特征在于所述步骤1具体步骤包括：

步骤11：信息发布服务器为所有IPSec VPN网关配置对应的认证信息；

步骤12：所述每台IPSec VPN网关配置信息发布服务的信息，所述信息发布服务的信息包括认证信息及信息发布服务器地址；

步骤13：对应IPSec VPN网关按照与信息服务器规定的认证信息进行认证识别，若认证识别通过，则该IPSec VPN网关将其自身及其所保护的网络服务向信息服务器进行信息注册，然后从信息发布服务器获取其他IPSec VPN网关发布的信息；若认证识别不通过，则该IPSec VPN网关不上传自身及其所保护的网络服务的信息，不获取信息发布服务器发布的其他IPSec VPN网关的信息。

3.根据权利要求2所述的一种IPSec VPN网关数据处理方法，其特征在于还包括步骤13：当IPSec VPN网关发布的信息有变更时，信息发布服务器会向其他认证识别通过的IPSec VPN网关推送发生变更的信息。

4.根据权利要求1所述的一种IPSec VPN网关数据处理方法，其特征在于所述认证识别的过程通过账号/口令鉴别机制或者证书鉴别机制进行。

5.根据权利要求1所述的一种IPSec VPN网关数据处理方法，其特征在于所述IPSec VPN网关自身保护的网络服务包括IPSec VPN网关所在局域网、局域网的服务器、局域网的设备。

6.根据权利要求4所述的一种IPSec VPN网关数据处理方法，其特征在于所述步骤2中每台IPSec VPN网关在启动时，从信息发布服务器获取其他IPSec VPN网关的信息及所保护的网络服务信息的具体步骤包括：

步骤21：IPSec VPN网关获取其他IPSec VPN网关的自身的IP地址和掩码；

步骤22：IPSec VPN网关获取其他IPSec VPN网关所保护的网络服务的信息，网络信息包括：IP地址、IP掩码、协议类型、网络服务端口号；

步骤23： IPSec VPN网关根据获得的其他IPSec VPN网关的所保护的网络服务信息生成对应的IPsec策略信息。

7.根据权利要求1所述的一种IPSec VPN网关数据处理方法，其特征在于所述步骤3具体步骤是：

步骤31：当该IPSec VPN网关接收到网络数据包时，首先根据该数据包的网络信息和该IPSec VPN网关的访问控制策略，判断该数据包是否可以通过该IPSec VPN网关，如果不能通过该IPSec VPN网关，则丢弃该数据包；如果可通过该IPSec VPN网关，则执行步骤32；

步骤32：该IPSec VPN网关会根据网络数据包网络信息，与该IPSec VPN网关生成的IPSec策略信息进行匹配，若不能匹配策略，则丢弃该数据包；若能与IPSec策略信息完全匹配，则将该网络数据包进行按照ESP协议处理：如果该数据包需要ESP封包，则将该将数据包进行ESP封装包处理后，发送给目的IPSec VPN网关；如果该数据包需要ESP解包，则将该数据包验证并解密后，还原原始数据包，并将该原始数据包的网络信息和该IPSec VPN网关的访问控制策略，判断该原始数据包是否可以通过该IPSec VPN网关，如果不能通过该IPSec VPN网关，则丢弃该原始数据包；如果可通过该IPSec VPN网关，则将该原始数据包发送给目标设备或服务器。

8.根据权利要求1至7之一所述的一种IPSec VPN网关数据处理方法，其特征在于所述信息发布服务器集成在IPSec VPN网关或者通过单独的服务器实现。