【技术实现步骤摘要】
一种IPsec隧道处理方法及装置
[0001]本申请涉及通信
,尤其涉及一种IPsec隧道处理方法及装置。
技术介绍
[0002]IPsec(IP security,IP安全)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
[0003]IPsec协议不是一个单独的协议,它为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。SA(Security Association,安全联盟)是...
【技术保护点】
【技术特征摘要】
1.一种IPsec隧道处理方法,其特征在于,包括:在进行二阶段的IPsec协商之前,检查本地当前的各个IPsec隧道的地址信息;若存在地址信息相同的至少两个第一目标IPsec隧道,则判断所述至少两个目标IPsec隧道的保护数据流的动作是否相同;若存在保护数据流的动作相同的至少两个第二目标IPsec隧道,则判断所述至少两个第二目标IPsec隧道的保护数据流的地址信息是否符合合并条件;若满足合并条件,则对所述至少两个第二目标IPsec隧道进行合并处理。2.根据权利要求1所述的方法,其特征在于,判断所述至少两个第二目标IPsec隧道的保护数据流的地址信息是否符合合并条件,包括:若所述至少两个第二目标IPsec隧道的保护数据流的网段属于包含关系,或者所述至少两个第二目标IPsec隧道的保护数据流的网段属于连续的网段,则确定满足合并条件;若不为包含关系且不为连续的网段,则确定不满足合并条件。3.根据权利要求2所述的方法,其特征在于,所述保护数据流的地址信息包括地址范围;则按照下述方法确定所述至少两个第二目标IPsec隧道的保护数据流的网段属于包含关系:当所述至少两个第二目标IPsec隧道的保护流的地址范围存在交集时,确定每个第二目标IPsec隧道的网段的掩码值;基于各第二目标IPsec隧道的保护数据流确定出掩码值,确定所述至少两个第二目标IPsec隧道的保护数据流的网段是否属于包含关系。4.根据权利要求1所述的方法,其特征在于,所述IPsec隧道的地址信息包括本端地址和对端地址;按照下述方法确定存在地址信息相同的至少两个第一目标IPsec隧道:若所述IPsec隧道中至少两个第一目标IPsec隧道的本端地址相同,且对端地址相同,则确定存在地址信息相同的至少两个第一目标IPsec隧道。5.根据权利要求1所述的方法,其特征在于,对所述至少两个第二目标IPsec隧道进行合并处理,包括:对所述至少两个第二目标IPsec隧道的网段进行合并处理。6.一种IPsec隧道处理装置,其特征在于,包括:检查模块,用于在...
【专利技术属性】
技术研发人员:李园园,姜腾飞,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。