| 发明名称 | IPSEC嵌套策略匹配校验方法 | ||
| 摘要 | 本发明公开了一种IPSEC嵌套策略匹配校验方法,对于多重隧道嵌套的情况,将使用的安全关联以双向链表或者数组的形式按照剥离的先后顺序关联起来,根据数据包的内容,进行策略搜索,每个安全策略对应一个安全关联,进行策略匹配校验。本发明解决了IPSEC多重隧道嵌套应用的策略匹配校验问题,对于多重嵌套的情况,只需要查找一次安全策略数据库,然后,利用策略之间的关联关系,完成所有策略的匹配工作,提高安全策略校验的效率,提高了系统的性能。 | ||
| 申请公布号 | CN1529485A | 申请公布日期 | 2004.09.15 |
| 申请号 | CN200310101968.5 | 申请日期 | 2003.10.20 |
| 申请人 | 中兴通讯股份有限公司 | 发明人 | 陈海彬;陈开渠;丁勇;赵洁;李亚晖;彭志威 |
| 分类号 | H04L29/06;H04L12/56;H04L9/00;H04L9/32 | 主分类号 | H04L29/06 |
| 代理机构 | 北京金硕果知识产权代理事务所 | 代理人 | 张玫 |
| 主权项 | 1.一种IPSEC嵌套策略匹配校验方法,其特征在于,所述方法包括以下步骤:1)对于存在嵌套关系的安全策略,根据多对一的关系,从内层向外层链接起来;2)对于接收到的数据包,在进行剥离IPSEC封装的时候,记录使用的安全关联,并把这些安全关联形成双向链表或者数组,按照剥离的先后顺序关联起来;3)剥离了所有应该剥离的IPSEC封装后,根据数据包的内容,进行策略搜索,查找得到最内层的安全策略PR1,并且记录下最后一个解封装所使用的安全关联SA1,用SAi指向SA1,用PRi指向PR1,SAi为当前的安全关联指向,PRi为当前安全策略指向;4)每个安全策略对应一个安全关联,当前SAi对应的安全策略为PPi,检查PPi与PRi是否相等,如果相等,则该策略匹配,如果不等,表明安全策略校验出错,跳转到步骤7);5)查看SA链表或者数组是否已经处理完毕,如果是,则跳转到步骤6);否则,根据形成的双向链表或者数组,SAi指向回退,SAi指向外一层IPSEC处理使用的SA,安全策略PRi指向外一层的IPSEC安全策略,跳转到步骤4);6)所有的安全策略已经验证通过,策略校验完成;7)策略校验发现不匹配,安全校验返回失败。 | ||
| 地址 | 518057广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法律部 | ||