[发明专利]一种桥接传输加密的方法

权利要求书

1.一种桥接传输加密的方法，其特征在于，包括以下步骤：

步骤1：有两个需要加密的内部网络，在各自的现有上下游设备之间，插入加密设备；

步骤2：本端加密设备1与远端加密设备2，通过ISAKMP协商，得到加密联盟SA，建立隧道接口；

步骤3：在隧道接口上配置到达远端内部网络的路由，通过该路由选路找到目标网络的SA；

步骤4：加密设备通过ingress接口和egress接口，分别与上下游设备连接，接口工作在桥接模式，现有上下游设备配置不做修改；

步骤5：加密设备从ingress接口收包后，查找路由，若出接口伪隧道接口，找到对应的SA，对报文进行传输模式加密，加密IP层以上的内容，IP层及以下的内容不作改变，然后进行ESP或AH封装，从egress接口发出去，查不到路由或非IP报文直接从egress接口发出去；

步骤6：加密设备从egress接口收包后，若当前报文有ESP或AH封装，则取封装头部的SPI查找SA进行解密，解密后从ingress接口发出去，其余报文直接从ingress接口发出去。

2.根据权利要求1所述的桥接传输加密的方法，其特征在于：上游设备为网关，下游设备为交换机。

3.根据权利要求1所述的桥接传输加密的方法，其特征在于：步骤2中的加密设备可结合量子网关，获取量子密钥进行量子加密。

4.根据权利要求3所述的桥接传输加密的方法，其特征在于，步骤2包括以下步骤：

步骤21：在两端加密设备旁部署量子网关，量子网关通过专用光纤连接，作为量子信道分发量子密钥；

步骤22：加密设备从量子网关获取量子密钥作为SA；

步骤23：加密设备使用量子密钥SA对报文进行加解密。

5.根据权利要求1所述的桥接传输加密的方法，其特征在于：步骤5加密时ESP或AH封装会增加报文长度，当超过egress接口MTU时，需要对报文进行分片，接收时需要重组。

6.根据权利要求5所述的桥接传输加密的方法，其特征在于，步骤5包括以下步骤：

步骤51：从ingress接口收包后，若原始报文是分片包，需要对报文进行重组后，再进行加密；

步骤52：从ingress接口收包并加密后，对加密报文进行ESP或AH封装，若封装后的报文超过egress接口MTU后，需要对报文进行分片；

步骤53：从egress接口收包后，若当前报文有ESP或AH封装，且是分片包，需要对报文进行重组，然后进行解密。

7.根据权利要求1所述的桥接传输加密的方法，其特征在于：有至少3台加密设备时，需要两两之间进行IKE协商，建立伪隧道接口，并配置目标网段的路由。

8.根据权利要求1所述的桥接传输加密的方法，其特征在于：1台加密设备可以设置至少1对桥接接口，可实现至少1组桥接链路同时加密的需求。

9.根据权利要求1所述的桥接传输加密的方法，其特征在于：加密设备可以配置ACL，加密时根据ACL筛选指定的流量进行加密。