[发明专利]一种Windows平台IPSec处理方法

权利要求书

1.一种Windows平台IPSec处理方法，其特征在于，该方法包括：

(1)IP数据包的获取，包括获取发送IP数据包和接收IP数据包，所述IP数据包的获取是采用基于NDIS IM框架的方法获取发送IP数据包和接收IP数据包；

(2)判断所获取的IP数据包是否需要进行IPSec处理，判断所获取的IP数据包是否需要进行IPSec处理时，对于发送的数据包，提取其IP数据包头部特征信息查询安全策略数据库，如果查询结果不为空，则该IP数据包需进行IPSec处理；

对于接收的IP数据包：

①首先判断其是否是ESP类型的数据包，若为ESP类型数据包，转②，否则不对该IP数据包进行处理；

②对于ESP类型数据包，根据其IP头部判断该数据包是否是由已经建立的VPN通道的对端发来的IP数据包，若满足条件则转③，否则不对该IP数据包进行处理；

③对于从已建立VPN通道对端发来的IP数据包，根据其IP头部分片信息判断其是否为一个ESP分片数据包，若为ESP分片数据包则转④，否则直接提取该IP数据包的IP头部与ESP头部信息查询安全策略数据库，若查询结果不为空，则该IP数据包需要进行IPSec处理；

④对于ESP分片数据包，将ESP分片数据包放入IP数据包重组模块，待所有ESP分片数据包放入IP数据包重组模块中后，将IP数据包重组模块中所有的ESP分片数据包恢复为一个完整的大数据包，再提取恢复后大数据包的IP头部与ESP头部相关信息查询安全策略数据库，判断其是否需要进行IPSec处理，若查询结果不为空，则该IP数据包需要进行IPSec处理；

对于发送的非TCP协议IP数据包，若经过ESP隧道模式处理后生成的ESP数据包长度超过(MTU_以太网–18字节)，则对生成的ESP数据包进行拆分操作，其中MTU_以太网为以太网的MTU值；

(3)对需要进行IPSec处理的IP数据包进行ESP隧道模式处理，对于发送IP数据包，ESP隧道模式处理包括加密处理，消息验证码计算和数据包封装；对于接收IP数据包，ESP隧道模式处理包括消息验证码校验、数据包解封装与解密处理；所述加密处理和解密处理均使用AES-NI实现的AES算法对IP数据包进行处理。

2.如权利要求1所述的Windows平台IPSec处理方法，其特征在于，在对需要进行IPSec处理的IP数据包进行ESP隧道模式处理之前，对需要进行IPSec处理的IP数据包进行预处理，预处理包括IP头部校验和计算、对于TCP数据包进行MSS值的修改以及TCP头部校验和计算，将TCP数据包头部中的MSS值修改为：(原MSS值-76)；对于非分片的UDP数据包进行UDP头部校验和计算。

3.如权利要求1所述的Windows平台IPSec处理方法，其特征在于，所述IP数据包的获取采用基于NDIS FILTER框架或WFP框架实现的方法获取发送IP数据包和接收IP数据包。

4.如权利要求1所述的Windows平台IPSec处理方法，其特征在于，所述IP数据包的获取采用基于WFP框架的方法获取发送IP数据包和接收IP数据包，且在WFP框架下，在FWPS_LAYER_OUTBOUND_TRANSPORT_V4层或FWPS_LAYER_OUTBOUND_IPPACKET_V4层获取待发送的数据包，FWPS_LAYER_INBOUND_IPPACKET_V4层获取接收的数据包。

5.如权利要求1所述的Windows平台IPSec处理方法，其特征在于，所述IP数据包的获取采用基于WFP框架的方法获取发送IP数据包和接收IP数据包，且在WFP框架下，在FWPS_LAYER_OUTBOUND_IPPACKET_V4层获取发送IP数据包，在FWPS_LAYER_INBOUND_IPPACKET_V4层获取接收IP数据包。

6.如权利要求1所述的Windows平台IPSec处理方法，其特征在于，所述加解密处理采用Intel IPP函数库对数据对IP数据包进行加解密处理。