[发明专利]一种基于企业级路由器的融合隧道加密传输方法

说明书

本发明是一种基于企业级路由器的融合隧道加密传输方法，包括：设计LSN业务板级ACL策略组的下发、IPSec安全策略隧道的下发、国密业务板卡的负载均衡处理、国密业务板卡的主备切换选板流程处理；在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR时进行SR及IPSec报文头封装，国密板卡将原始报文进行加密，后由出接口业务板发送至对端路由设备。本发明使同一路由接口同一方向相同ACL元素可多次进行流策略处理，实现了基于IPSec安全策略利用SR隧道进行LSN业务国密安全传输的方案，有效解决用户对高速传输网络自主可控安全保护的诉求。

技术领域

本发明属于数据通信、隧道加密技术领域，具体的说是涉及一种基于企业级路由器的融合隧道加密传输方法。

背景技术

近年来，个人和企事业单位的隐私及内部数据时有泄露，使得全社会对网络安全的重视上升到一个新的高度。在国家政策法规层面，对广域网、城域网、局域网等通信网络中的网络架构、通信传输、可信验证等安全控制提出了更高的要求。

路由器设备应用于链路级传输保护，部署简单、运维统一。相对于外挂在网络中的密码机等设备，路由器设备可以集成网络数据路由转发、数据加解密等功能，不改变现有网络架构，业务可灵活匹配来满足对全部或部分网络数据的加密。

目前在金融、安防、政府、涉密等行业中，通过现有虚拟专用网络(VPN) 专线等网络架构可一定程度上保证数据安全，但对于截获、篡改等手段仍缺乏防护。路由器设备作为网络既有节点，新增国密能力，可有效支撑网络改造升级。

随着分段路由技术的大规模应用以及企业自主可控安全传输需求的迅速提升，传统的ACL匹配隧道传输功能已逐渐无法满足LSN业务的隧道加密传输需求。当前的路由设备同一业务板在报文转发的流程中通过优先级匹配 ACL，在同接口同方向转发的流程中只能匹配一次ACL规则，否则不同ACL 规则中可能存在匹配相同元素造成冲突。LSN业务及IPsec业务在处理流程中都需进行ACL流策略处理，难以实现两种业务的叠加传输处理。

发明内容

为了解决上述问题，本发明提供了一种基于企业路由器的融合隧道加密传输方案，在现有纵向网、城域网、局域网等架构上，配合国密业务板卡及 LSN业务板卡，通过分布式板级的异步ACL匹配处理，在设备间建立基于 IPSec策略的LSN业务国密加密隧道，可有效解决用户对高速传输网络自主可控安全保护的诉求。

为了达到上述目的，本发明是通过以下技术方案实现的：

本发明是一种基于企业级路由器的融合隧道加密传输方法，该方法包括如下步骤：

步骤1：用户在路由设备完成接口板ACL策略及LSN业务板级ACL策略组的下发，具体包括如下步骤：

步骤1-1：在路由器的用户视图下配置板级ACL策略，根据ACL版本、 ACL组索引号、路由器的接口索引从LSN转换策略ACL组的软件表中判断配置是否已经生效；

步骤1-2：接口级ACL判断指定的LSN业务板卡是否有效，若有效则下发报文流量重定向到业务板卡，若无效则继续判断备用业务板卡是否有效，如果备用业务板卡亦无效则不下发硬件板级ACL策略组，报文的SIP不做处理，按原始SIP的报文进行普通转发；

步骤1-3：LSN业务板添加板级ACL策略：在ACL策略中添加流动作应用，当报文SIP匹配对应的访问控制规则引流到LSN业务板卡时，对报文不同的SIP进行转换处理，当路由接口配置ACL重定向策略时生效。

步骤2：用户在路由设备完成国密业务板级ACL组及IPSec安全策略隧道的下发，IPSec安全策略隧道的下发具体包括如下步骤：

步骤2-1：在互联的路由器上创建全局IPSec隧道，设置下发叠加隧道类型为SR，配置时获取隧道对应的索引值，查询隧道的软件信息，如果不存在则创建新的融合隧道；