本發(fā)明涉及網(wǎng)絡(luò)加密機(jī)ipsecvpn，具體涉及一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配方法及裝置。

背景技術(shù)：

1、在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，黑客可能通過(guò)安全性比較薄弱的網(wǎng)絡(luò)終端作為跳板對(duì)中心主站設(shè)備發(fā)起了tcp非法訪問(wèn)，對(duì)主站設(shè)備造成了破壞和影響；

2、目前，網(wǎng)絡(luò)加密設(shè)備的策略匹配具有局限性，如果需要加密tcp數(shù)據(jù)，按照目前的ipsecvpn技術(shù)需要策略配置為雙向的才能保證tcp業(yè)務(wù)的正常(因?yàn)閠cp業(yè)務(wù)是雙向交互的)。配置為雙向策略后終端側(cè)便可以向主站發(fā)起tcp連接，利用此特性黑客便可以掃描端口發(fā)起對(duì)主站的攻擊。

3、因此，如何發(fā)明一種策略匹配方法，提高網(wǎng)絡(luò)加密機(jī)在復(fù)雜網(wǎng)絡(luò)環(huán)境的安全性和抗攻擊性，成為亟需解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、為此，本發(fā)明提供一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配方法及裝置，能夠提高網(wǎng)絡(luò)加密機(jī)在復(fù)雜網(wǎng)絡(luò)環(huán)境的安全性和抗攻擊性。

2、為了實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配方法，包括：

3、網(wǎng)絡(luò)報(bào)文進(jìn)入ipsec處理單元后，通過(guò)五元組匹配策略對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行五元組匹配處理；若所述網(wǎng)絡(luò)報(bào)文滿足所述五元組匹配策略，則進(jìn)行后續(xù)狀態(tài)策略匹配處理；若所述網(wǎng)絡(luò)報(bào)文未滿足所述五元組匹配策略，則丟棄所述網(wǎng)絡(luò)報(bào)文；

4、對(duì)通過(guò)所述五元組匹配處理的所述網(wǎng)絡(luò)報(bào)文，通過(guò)狀態(tài)匹配策略進(jìn)行所述狀態(tài)策略匹配處理；若所述網(wǎng)絡(luò)報(bào)文未滿足所述狀態(tài)匹配策略，則在結(jié)點(diǎn)加入狀態(tài)hash快表，進(jìn)行后續(xù)報(bào)文狀態(tài)判斷處理；

5、對(duì)所述網(wǎng)絡(luò)報(bào)文的狀態(tài)進(jìn)行所述報(bào)文狀態(tài)判斷處理，若所述網(wǎng)絡(luò)報(bào)文的狀態(tài)不正確，則丟棄所述網(wǎng)絡(luò)報(bào)文；若所述網(wǎng)絡(luò)報(bào)文的狀態(tài)正確，則進(jìn)行后續(xù)操作處理。

6、作為一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配方法的優(yōu)選方案，在通過(guò)所述五元組匹配策略對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行所述五元組匹配處理的過(guò)程中，所述五元組匹配處理的步驟為：

7、對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行五元組匹配；

8、將所述網(wǎng)絡(luò)報(bào)文方向與所述五元組匹配策略方向進(jìn)行比對(duì)，若方向一致，則進(jìn)行后續(xù)狀態(tài)策略匹配處理；若方向不一致，則丟棄所述網(wǎng)絡(luò)報(bào)文。

9、作為一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配方法的優(yōu)選方案，在通過(guò)所述狀態(tài)匹配策略對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行所述狀態(tài)策略匹配處理的過(guò)程中，所述狀態(tài)策略匹配處理的步驟為：

10、將發(fā)出報(bào)文五元組作hash；將收到報(bào)文五元組調(diào)換后作hash，使hash值相同；

11、對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行所述狀態(tài)策略匹配處理；

12、將所述網(wǎng)絡(luò)報(bào)文方向與所述狀態(tài)匹配策略方向進(jìn)行比對(duì)，若方向一致，則進(jìn)行后續(xù)操作處理；若方向不一致，則在結(jié)點(diǎn)加入所述狀態(tài)hash快表，進(jìn)行報(bào)文方向進(jìn)行比對(duì)。

13、作為一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配方法的優(yōu)選方案，在維護(hù)狀態(tài)hash快表的過(guò)程中，將發(fā)出報(bào)文五元組作hash；將收到報(bào)文五元組調(diào)換后作hash，使hash值相同；當(dāng)hash節(jié)點(diǎn)總數(shù)達(dá)到上限時(shí)，將新建立的hash進(jìn)行替換；當(dāng)hash節(jié)點(diǎn)超時(shí)時(shí)，建立連接清理線程，定時(shí)對(duì)超時(shí)節(jié)點(diǎn)進(jìn)行清理。

14、作為一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配方法的優(yōu)選方案，所述hash節(jié)點(diǎn)包括源ip、目的ip、源端口、目的端口、協(xié)議號(hào)、超時(shí)時(shí)間、時(shí)間和連接狀態(tài)信息。

15、本發(fā)明還提供一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配裝置，基于以上一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配方法，包括：

16、五元組匹配處理模塊，用于網(wǎng)絡(luò)報(bào)文進(jìn)入ipsec處理單元后，通過(guò)五元組匹配策略對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行五元組匹配處理；若所述網(wǎng)絡(luò)報(bào)文滿足所述五元組匹配策略，則進(jìn)行后續(xù)狀態(tài)策略匹配處理；若所述網(wǎng)絡(luò)報(bào)文未滿足所述五元組匹配策略，則丟棄所述網(wǎng)絡(luò)報(bào)文；

17、狀態(tài)策略匹配處理模塊，用于對(duì)通過(guò)所述五元組匹配處理的所述網(wǎng)絡(luò)報(bào)文，通過(guò)狀態(tài)匹配策略進(jìn)行所述狀態(tài)策略匹配處理；若所述網(wǎng)絡(luò)報(bào)文未滿足所述狀態(tài)匹配策略，則在結(jié)點(diǎn)加入狀態(tài)hash快表，進(jìn)行后續(xù)報(bào)文狀態(tài)判斷處理；

18、報(bào)文狀態(tài)判斷處理模塊，用于對(duì)所述網(wǎng)絡(luò)報(bào)文的狀態(tài)進(jìn)行所述報(bào)文狀態(tài)判斷處理，若所述網(wǎng)絡(luò)報(bào)文的狀態(tài)不正確，則丟棄所述網(wǎng)絡(luò)報(bào)文；若所述網(wǎng)絡(luò)報(bào)文的狀態(tài)正確，則進(jìn)行后續(xù)操作處理。

19、作為一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配裝置的優(yōu)選方案，所述五元組匹配處理模塊中，五元組匹配處理子模塊包括：

20、五元組匹配子模塊，用于對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行五元組匹配；

21、報(bào)文方向比對(duì)處理第一子模塊，用于將所述網(wǎng)絡(luò)報(bào)文方向與所述五元組匹配策略方向進(jìn)行比對(duì)，若方向一致，則進(jìn)行后續(xù)狀態(tài)策略匹配處理；若方向不一致，則丟棄所述網(wǎng)絡(luò)報(bào)文。

22、作為一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配裝置的優(yōu)選方案，所述狀態(tài)策略匹配處理模塊中，狀態(tài)策略匹配處理子模塊包括：

23、狀態(tài)hash快表維護(hù)子模塊，用于將發(fā)出報(bào)文五元組作hash；將收到報(bào)文五元組調(diào)換后作hash，使hash值相同；

24、狀態(tài)策略匹配處理子模塊，用于對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行所述狀態(tài)策略匹配處理；

25、報(bào)文方向比對(duì)處理第二子模塊，用于將所述網(wǎng)絡(luò)報(bào)文方向與所述狀態(tài)匹配策略方向進(jìn)行比對(duì)，若方向一致，則進(jìn)行后續(xù)操作處理；若方向不一致，則在結(jié)點(diǎn)加入所述狀態(tài)hash快表，進(jìn)行報(bào)文方向進(jìn)行比對(duì)。

26、作為一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配裝置的優(yōu)選方案，所述狀態(tài)策略匹配處理模塊中，在維護(hù)狀態(tài)hash快表的過(guò)程中，將發(fā)出報(bào)文五元組作hash；將收到報(bào)文五元組調(diào)換后作hash，使hash值相同；當(dāng)hash節(jié)點(diǎn)總數(shù)達(dá)到上限時(shí)，將新建立的hash進(jìn)行替換；當(dāng)hash節(jié)點(diǎn)超時(shí)時(shí)，建立連接清理線程，定時(shí)對(duì)超時(shí)節(jié)點(diǎn)進(jìn)行清理。

27、作為一種用于網(wǎng)絡(luò)加密設(shè)備的狀態(tài)策略匹配裝置的優(yōu)選方案，所述狀態(tài)策略匹配處理模塊的所述狀態(tài)hash快表維護(hù)子模塊中，所述hash節(jié)點(diǎn)包括源ip、目的ip、源端口、目的端口、協(xié)議號(hào)、超時(shí)時(shí)間、時(shí)間和連接狀態(tài)信息。

28、本發(fā)明具有如下優(yōu)點(diǎn)：網(wǎng)絡(luò)報(bào)文進(jìn)入ipsec處理單元后，通過(guò)五元組匹配策略對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行五元組匹配處理；若所述網(wǎng)絡(luò)報(bào)文滿足所述五元組匹配策略，則進(jìn)行后續(xù)狀態(tài)策略匹配處理；若所述網(wǎng)絡(luò)報(bào)文未滿足所述五元組匹配策略，則丟棄所述網(wǎng)絡(luò)報(bào)文；所述五元組匹配處理的步驟為：對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行五元組匹配；將所述網(wǎng)絡(luò)報(bào)文方向與所述五元組匹配策略方向進(jìn)行比對(duì)，若方向一致，則進(jìn)行后續(xù)狀態(tài)策略匹配處理；若方向不一致，則丟棄所述網(wǎng)絡(luò)報(bào)文。對(duì)通過(guò)所述五元組匹配處理的所述網(wǎng)絡(luò)報(bào)文，通過(guò)狀態(tài)匹配策略進(jìn)行所述狀態(tài)策略匹配處理；若所述網(wǎng)絡(luò)報(bào)文未滿足所述狀態(tài)匹配策略，則在結(jié)點(diǎn)加入狀態(tài)hash快表，進(jìn)行后續(xù)報(bào)文狀態(tài)判斷處理；所述狀態(tài)策略匹配處理的步驟為：將發(fā)出報(bào)文五元組作hash；將收到報(bào)文五元組調(diào)換后作hash，使hash值相同；對(duì)所述網(wǎng)絡(luò)報(bào)文進(jìn)行所述狀態(tài)策略匹配處理；將所述網(wǎng)絡(luò)報(bào)文方向與所述狀態(tài)匹配策略方向進(jìn)行比對(duì)，若方向一致，則進(jìn)行后續(xù)操作處理；若方向不一致，則在結(jié)點(diǎn)加入所述狀態(tài)hash快表，進(jìn)行報(bào)文方向進(jìn)行比對(duì)。對(duì)所述網(wǎng)絡(luò)報(bào)文的狀態(tài)進(jìn)行所述報(bào)文狀態(tài)判斷處理，若所述網(wǎng)絡(luò)報(bào)文的狀態(tài)不正確，則丟棄所述網(wǎng)絡(luò)報(bào)文；若所述網(wǎng)絡(luò)報(bào)文的狀態(tài)正確，則進(jìn)行后續(xù)操作處理。本發(fā)明能夠提高網(wǎng)絡(luò)加密機(jī)在復(fù)雜網(wǎng)絡(luò)環(huán)境的安全性和抗攻擊性。