(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211147189.8 (22)申请日 2022.09.21 (65)同一申请的已公布的文献号 申请公布号 CN 115225414 A (43)申请公布日 2022.10.21 (73)专利权人 北京中科网威信息技 术有限公司 地址 100094 北京市海淀区中关村软件园 （二期） 中兴通大厦B座2层 (72)发明人 陈海涛　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 李文清 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 1529473 A,20 04.09.15 CN 1791098 A,20 06.06.21 US 20193 34880 A1,2019.10.31 WO 2021152349 A1,2021.08.0 5 CN 106850672 A,2017.0 6.13 审查员 陈文静 (54)发明名称 基于IPSEC的加密策略匹配方法、 装置及通 信系统 (57)摘要 本发明提供一种基于IPSEC的加密策略匹配 方法、 装置及通信系统， 涉及通信技术领域， 该方 法包括： 利用待匹配报文在安全 策略链表中进行 匹配， 获取安全策略信息； 在确定当前赋值不为 空的情况下， 基于当前赋值， 确定第一安全联盟 信息。 本发明提供的基于IPSEC的加密策略匹配 方法、 装置及通信系统， 实现通过修改SP和外出 SA的绑定关系， 在成功查找SP后， 就可以直接根 据SP找到外出方向SA， 减少一次SA的五元组匹配 查找流程。 能够减少外出方向外出SA链表的整体 遍历以及每个SA的五元组匹配操作， 减少报文处 理流程消耗时间。 权利要求书2页 说明书10页 附图2页 CN 115225414 B 2022.12.13 CN 115225414 B 1.一种基于IP SEC的加密策略匹配方法， 其特 征在于， 包括： 利用待匹配报文在安全策略链表中进行匹配， 获取安全策略信 息； 其中， 所述安全策略 信息包括第一指 针变量的当前赋值； 所述第一指针变量为安全策略结构 体中指向安全联盟 结构体中与外出 方向对应的安全联盟信息的指针 变量； 在确定所述当前 赋值不为空的情况 下， 基于所述当前 赋值， 确定第一 安全联盟信息； 其中， 所述第一 安全联盟信息为外出 方向对应的安全联盟信息； 在所述获取安全策略信息之后， 还 包括： 在确定所述当前赋值为空 的情况下， 将所述安全策略信 息的第一索引值赋值给所述安 全联盟结构体中的第二索引值， 以在外出安全联盟链 表中插入新的第一 安全联盟信息； 利用所述新的第一安全联盟信 息的第二索引值遍历所述安全策略链表， 直至找出所述 第一索引值与所述第二索引值相同的目标安全策略信息； 将所述目标安全策略信 息赋值给第 二指针变量， 并将所述新的第 一安全联盟信 息赋值 给第一指针 变量进行 赋值更新； 其中， 所述第 二指针变量为所述安全联盟结构体中指向所述安全策略结构体中安全策 略信息的指针 变量。 2.根据权利要求1所述的基于IPSEC的加密策略匹配方法， 其特征在于， 所述将所述安 全策略信息的第一索引值赋值给 所述安全联盟结构体中的第二索引值之后， 还 包括： 基于所述 安全联盟结构体， 获取 方向标识信息； 在确定所述方向标识信息为外出 方向的情况 下， 生成所述 新的第一 安全联盟信息 。 3.根据权利要求2所述的基于IPSEC的加密策略匹配方法， 其特征在于， 所述获取方向 标识信息之后， 还 包括： 在确定所述方向标识信息为进入方向的情况 下， 获取第二 安全联盟信息； 利用所述第二 安全联盟信息对IP Sec加密报文 进行解密； 其中， 所述第二安全联盟信息为进入方向对应的安全联盟信息； 所述IPSec加密报文是 由对端经 过IPSec进行加密转发的报文。 4.根据权利要求1所述的基于IPSEC的加密策略匹配方法， 其特征在于， 所述将所述目 标安全策略信息赋值给第二指 针变量， 并将所述新的第一安全联盟信息赋值给第一指 针变 量进行赋值更新之后， 还 包括： 在确定所述目标安全策略信 息从所述安全策略链表中释放， 以及所述新的第 一安全联 盟信息从所述外出安全联盟链表中释放的情况下， 将所述第一指针变量和所述第二指 针变 量重置为空。 5.根据权利要求1所述的基于IPSEC的加密策略匹配方法， 其特征在于， 所述确定第一 安全联盟信息之后， 还 包括： 基于所述待匹配报文和所述第一 安全联盟信息， 生成目标报文； 通过目标接口将所述目标报文发送至目的地址； 其中， 所述目标接口是根据所述目标报文确定的。 6.一种基于IP SEC的加密策略匹配装置， 其特 征在于， 包括： 安全策略匹配模块， 用于利用待匹配报文在安全策略链表中进行匹配， 获取安全策略 信息； 其中， 所述安全策略信息包括第一指针变量的当前赋值； 所述第一指 针变量为安全策权　利　要　求　书 1/2 页 2 CN 115225414 B 2略结构体中指向安全联盟结构体中与外出 方向对应的安全联盟信息的指针 变量； 安全联盟获取模块， 用于在确定所述当前赋值不为空 的情况下， 基于所述当前赋值， 确 定第一安全联盟信息； 其中， 所述第一 安全联盟信息为外出 方向对应的安全联盟信息； 所述装置还 包括安全联盟创建模块、 遍历 SP模块和绑定模块； 所述安全联盟创建模块， 用于在确定所述当前赋值为空的情况下， 将所述安全策略信 息的第一索引值赋值给所述安全联盟结构 体中的第二索引值， 以在外出安全联盟链表中插 入新的第一 安全联盟信息； 所述遍历SP模块， 用于利用所述新的第一安全联盟信 息的第二索引值遍历所述安全策 略链表， 直至找出 所述第一索引值与所述第二索引值相同的目标安全策略信息； 所述绑定模块， 用于将所述目标安全策略信息赋值给第二指针变量， 并将所述新的第 一安全联盟信息赋值给第一指针 变量进行 赋值更新； 其中， 所述第 二指针变量为所述安全联盟结构体中指向所述安全策略结构体中安全策 略信息的指针 变量。 7.一种通信系统， 其特征在于， 所述通信系统包括第 一网络设备和第 二网络设备， 所述 第一网络设备用于执 行权利要求1 ‑5任一项所述基于IP SEC的加密策略匹配方法。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至5任一项所 述基于IP SEC的加密策略匹配方法。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1至 5任一项所述基于IP SEC的加密策略匹配方法。权　利　要　求　书 2/2 页 3 CN 115225414 B 3