一种基于IPSec安全关联的网络报文路由转发和地址转换方法

摘要

一种基于IPSec安全关联的网络报文路由转发和地址转换方法，把网络报文的地址转换、路由和转发与IPSec处理结合起来。该方法由连接本地网络和外部网络的网关系统实施，对经过网关系统的网络数据流进行三种模式之一的处理。在IPSec路由转发模式中，网关系统对于进入的网络报文，依据是否为IPSec报文、以及IPSec报文使用的安全关联确立目的(本地网络)节点和路由，并转发到目的节点；在IPSec处理及路由模式中，网关系统除了基于安全关联对进入报文做路由转发外，还对外出/进入报文进行IPSec处理；IPSec路由及地址转换模式较IPSec处理及路由模式增加了网络地址转换环节。

主权项

一种基于IPSec安全关联的网络报文路由转发和地址转换方法，由连接本地网络和外部网络的网关系统实施，其特征在于，对经过网关系统的网络数据流进行以下三种模式之一的处理：a.模式A，IPSec路由转发模式：对于从本地网络发送到外部网络的网络报文，即外出的网络报文，所述网关系统按常规方式传送到外部网络；对于从外部网络接收的发往本地网络的网络报文，即进入的网络报文，所述网关系统依据报文是否为IPSec报文以及IPSec报文使用的IPSec安全关联确定报文的本地网络目的节点和路由，并转发到该节点；b.模式B，IPSec处理及路由模式：对于外出的网络报文，所述网关系统首先判定是否需要进行IPSec处理，若不需要处理则直接传送到外部网络，否则先选择适用的IPSec安全关联并应用于原始报文，再把得到的IPSec报文传送到外部网络；对于进入的网络报文，所述网关系统首先检查是否为IPSec报文，若为合法的IPSec报文，则应用IPSec安全关联恢复原始报文，然后依据报文是否为IPSec报文以及IPSec报文使用的安全关联确定报文的本地网络目的节点和路由，并转发到该节点；c.模式C，IPSec路由及地址转换模式：除了完成模式B定义的处理外，模式C还对网络数据流做IP地址转换，对于外出的网络报文，所述网关系统先将报文的源IP地址替换为外部网络IP地址，再按照模式B定义的流程进行可能的IPSec处理和发送；对于进入的网络报文，所述网关系统首先按照模式B定义的流程进行处理，在确立报文的目的节点和路由之后，先将报文的目的IP地址替换为其目的节点的本地网络IP地址，再转发到该节点；采用模式A时，所述网关系统维护一张路由转发表，表中包含路由转发规则的集合，每项规则由一个本地网络节点标识、路由信息、和一个安全参数索引集合定义，其中安全参数索引集合属性为空值时对应于非IPSec报文，对于每个进入的网络报文，所述网关系统通过以下步骤确定路由及转发的目的节点：(1)检查报文是否是IPSec报文，若为IPSec报文，则从报文的各个IPSec报头中获取IPSec安全关联对应的安全参数索引集合，记为SPISet_In，若不是IPSec报文，则将SPISet_In设为空值；(2)使用SPISet_In检索路由转发表，如果找到一条路由转发规则的安全参数索引集合属性值与SPISet_In相同，则把该规则指定的本地网络节点作为报文的目的节点，否则若无法找到匹配的路由转发规则，则丢弃报文；采用模式B和模式C时，所述网关系统维护一个IPSec安全策略库和一个安全关联库，安全策略库中包含IPSec安全策略的集合，每条策略规定对一类网络报文应采取的操作，可为：禁止传输、绕过IPSec、或特定的IPSec处理，安全关联库中包含当前有效的IPSec安全关联集合，每个安全关联属于一个本地网络节点，对于每个外出的网络报文，所述网关系统通过以下步骤进行处理：(1)基于报文信息，包括：本地网络节点、目的IP地址、源端口号、目的端口号、协议、传输方向，从安全策略库中检索匹配的IPSec安全策略；如果是采用模式C，还需要把报文的源IP地址替换为所述网关系统具有的外部网络IP地址；(2)若不存在匹配的IPSec安全策略或策略为绕过IPSec，则跳过步骤(3)直接发送到外部网络，若匹配的策略要求进行IPSec处理，则进入步骤(3)，若匹配的策略为禁止传输，则丢弃报文并终止发送过程；(3)从安全关联库中查找与IPSec安全策略指定的处理方式、以及发出报文的本地网络节点相匹配的IPSec安全关联，先应用于原报文再把得到的IPSec报文发送到外部网络；采用模式B和模式C时，对于每个进入的网络报文，所述网关系统通过以下步骤进行处理并确定转发的目的节点：(1)首先判断报文是否是IPSec报文，若为IPSec报文，则从安全关联库中查找报文使用的IPSec安全关联，如果报文应用了多个安全关联则要求它们所属的本地网络节点一致；(2)若报文不是IPSec报文，则用一个预先设定的本地网络节点作为报文的目的节点，若为IPSec报文但没有匹配的安全关联，则用另一个预设的本地网络节点作为报文的目的节点并在以后的处理过程中视该报文为非IPSec报文，若为IPSec报文并且已经找到匹配的安全关联，就将安全关联所属的本地网络节点作为报文的目的节点；(3)基于报文信息，包括：源IP地址、本地网络节点、源端口号、目的端口号、协议、传输方向，从安全策略库中查找IPSec安全策略，若存在匹配的策略且策略为禁止传输、或者策略规定的IPSec处理方式与报文不兼容，则丢弃报文并终止接收过程，若报文符合策略要求、或不存在匹配的策略，则进入步骤(4)；(4)若报文是IPSec报文并且找到匹配的安全关联，应用安全关联恢复原始报文；如果是采用模式C，本步骤还要把报文的目的IP地址替换为目的节点的本地网络IP地址。