一种对报文进行互联网协议安全性IPSec处理的方法和装置

摘要

本发明公开了一种对报文进行IPSec处理的方法，应用于包括NAT设备的网络系统，该NAT设备根据报文的会话信息查找预先设置的会话索引表和报文管理字段，获取该报文对应的安全策略，并根据获取的安全策略对报文进行IPSec处理，减轻了中央处理器的处理负担，且实施简单，成本低，能够在不改变硬件的前提下，提高对报文的IPSec处理能力，尤其是大流量、多隧道的复杂网络环境中对报文的IPSec处理能力。本发明同样公开了一种应用上述方法的NAT网关设备。

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及对报文进行互联网协议安全性IPSec处理的方法和装置。

背景技术

随着网络技术的发展和网络影响的扩大，网络数据安全变得日益重要，很多应用场景对数据传输都有极高的安全要求，如公司总部和分支点的机要数据传输，银行网点之间的数据通信，以及政府部门之间的通信等。

IPSec(Internet Protocol Security，互联网协议安全性)是IETF(the InternetEngineering Task Force，互联网工程任务组)制定的一种三层隧道加密协议，为互联网上传输的数据提供高质量的、可互操作的、基于密码学的安全保证，支持加密、防重放和完整性认证等功能，广泛应用于VPN(Virtual PrivateNetwork，虚拟专用网络)组网。IPSec作为数据处理引擎，在实现时一般内嵌在三层协议栈中，数据在三层转发的过程中，如果需要进行IPSec处理，则进入IPSec引擎，通过匹配策略实施IPSec处理。

在现有的IPSec引擎实施方式中，将SP(Security Policy，安全策略)和SA(Security Association，安全联盟)集中管理，分别存储到SPDB(SecurityPolicy Database，安全策略数据库)和SADB(Security Association Database，安全联盟数据库)两个数据管理模块中。其中，SA是通信对等体间对某些要素的约定，例如，使用的协议类型、协议的封装模式(传输模式和隧道模式)、加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等；SP则用于规定对数据流采用的安全措施。

报文从设备中转发出去时，IPSec引擎提取报文信息，并根据报文信息从SPDB中查找SP，按照SP定义的策略和记录的SA信息实施IPSec处理。第一次IPSec处理完成后，IPSec引擎循环往复地对处理后的报文进行策略匹配处理，直到所有可应用的策略实施完毕。报文进入设备时，如果该报文为IPSec报文，则进入IPSec引擎，进行解报文、防重放和策略验证等处理。

由于上述IPSec引擎是基于报文实现的，每个报文从设备中转发出去时，都要经过合法性检查、策略内容提取、策略查找和策略实施过程；每个报文进入设备时，都要进行策略验证等过程，实现方式较为繁琐，在多隧道、大流量的环境下，导致IPSec软件处理性能损失严重。

现有技术中还提出了一种基于独立会话机制的引擎实现，数据包首次匹配IPSec策略后创建IPSec会话，并根据策略匹配结果创建IPSec会话表项，该会话表项中记录了报文的五元组(源IP地址、目的IP地址、协议号、源端口、目的端口)和匹配的IPSec隧道。后续数据流根据报文的五元组查找会话表项，如果找到匹配的会话表项，则根据会话表项中的隧道信息进行IPSec处理；如果没有找到匹配的会话表项，则按照原有的IPSec处理流程处理，即从接口下查找策略组和策略信息，再查找匹配的隧道进行IPSec处理。

然而，在NAT(Net Address Translation，网络地址转换)组网环境中，由于NAT网关设备中已经存在会话管理模块，如果同一个数据流在IPSec引擎中再创建会话，会导致会话过多，消耗大量的缓存资源，导致性能损耗。

发明内容

本发明提供了一种对报文进行互联网协议安全性IPSec处理的方法和装置，用于提高IPSec处理能力。

本发明提供了一种对报文进行互联网协议安全性IPSec处理的方法，用于对网络地址转换NAT设备接收的报文进行IPSec处理，所述NAT设备包括会话管理模块、数据缓存和IPSec处理模块，所述NAT设备接收到内网发往外网的报文时，所述NAT设备对该报文进行IPSec处理包括以下步骤：

所述会话管理模块获取待发送的报文的会话信息，将获取的会话信息和会话索引表中记录的会话信息进行匹配；

在所述会话匹配成功后，所述会话管理模块判断所述报文的会话信息在所述会话索引表中对应的策略有效位是否已经置位；

如果所述策略有效位已经置位，所述会话管理模块在所述数据缓存存储的报文管理字段中记录所述报文的会话信息标识，并对所述会话信息标识对应的会话有效位进行置位，并将所述报文转发给所述IPSec处理模块；如果所述策略有效位没有置位，所述会话管理模块也将所述报文转发给所述IPSec处理模块；

所述IPSec处理模块判断所述报文的会话信息标识是否包含在所述报文管理字段中且对应的会话有效位已经置位；

如果所述报文的会话信息标识包含在所述报文管理字段中且所述对应的会话有效位已经置位，所述IPSec处理模块在所述会话索引表中查找所述报文的会话信息对应的策略信息，并根据所述查找到的策略信息对所述报文进行IPSec处理；

如果所述报文的会话信息标识没有包含在所述报文管理字段中且所述报文的会话信息标识对应的会话有效位没有置位，所述IPSec处理模块从安全策略数据库中查找所述报文对应的安全策略，如果查找到，则添加所述会话索引表中所述报文的会话信息对应的策略信息，并对所述报文进行IPSec处理。

优选地，如果所述IPSec处理模块从所述安全策略数据库中没有查找到对应的安全策略，那么将所述会话信息标识记录在报文管理字段中，并且将对应的会话有效位不进行置位，并且对所述报文进行丢弃/绕过处理；当同一个流的下一报文进入到IPSec处理模块后，IPSec处理模块根据会话有效位没有置位这一信息直接将报文进行丢弃/绕过处理。

优选地，所述NAT网关设备接收外网发往内网的报文时，所述NAT设备对该报文进行IPSec处理包括以下步骤：

所述IPSec处理模块对所述报文进行解析，获取所述报文的会话信息，并判断所述报文的会话信息是否包含在所述会话索引表中；如果所述报文的会话信息包含在所述会话索引表中，所述IPSec处理模块将所述报文直接转发到所述NAT网关设备的下一模块；如果所述报文的会话信息没有包含在所述会话索引表中，所述IPSec处理模块从安全策略数据库中查找所述报文对应的安全策略，并判断所述报文能否通过所述安全策略的验证。

优选地，所述的方法，还包括：

所述IPSec处理模块添加安全策略；

所述会话管理模块清除所述会话索引表中的所有会话信息对应的策略信息和策略有效位。

优选地，所述的方法，还包括：

所述IPSec处理模块删除安全策略；

所述会话管理模块查找所述会话索引表，获取与所述删除的安全策略相关的会话信息；

所述会话管理模块在所述会话索引表中清除所述相关会话信息对应的所有策略信息和策略有效位。

本发明提供了一种网络地址转换NAT网关设备，用于对自身接收或发送的报文进行互联网协议安全性IPSec处理，包括会话管理模块、数据缓存和IPSec处理模块，所述NAT设备接收到内网发往外网的报文时，

所述会话管理模块，与所述IPSec处理模块连接，用于获取待发送的报文的会话信息，将获取的会话信息和自身存储的会话索引表中记录的会话信息进行匹配；在所述会话匹配成功后，判断所述报文的会话信息在预先配置的会话索引表中对应的策略有效位是否已经置位；在所述策略有效位已经置位时，在报文管理字段中记录所述报文的会话信息标识，并对所述会话信息标识对应的会话有效位进行置位，并将所述报文转发给所述IPSec处理模块；如果所述策略有效位没有置位，也将所述报文转发给所述IPSec处理模块；

所述数据缓存，与所述会话管理模块连接，用于存储所述报文管理字段，并接受所述会话管理模块的设置；

所述IPSec处理模块，与所述数据缓存连接，用于存储安全策略，判断所述报文的会话信息标识是否包含在所述数据缓存存储的报文管理字段中且对应的会话有效位已经置位；当所述报文的会话信息标识包含在所述报文管理字段中且所述对应的会话有效位已经置位，在所述会话索引表中查找所述报文的会话信息对应的策略信息，并根据所述查找到的策略信息对所述报文进行IPSec处理；当所述报文的会话信息标识没有包含在所述报文管理字段中且所述报文的会话信息标识对应的会话有效位没有置位，从安全策略数据库中查找所述报文对应的安全策略，如果查找到，则添加所述会话索引表中所述报文的会话信息对应的策略信息，并对所述报文进行IPSec处理。

优选地，所述IPSec处理模块，还用于在从所述安全策略数据库中没有查找到对应的安全策略时，将所述会话信息标识记录在报文管理字段中，并且将对应的会话有效位不进行置位，并且对所述报文进行丢弃/绕过处理；当同一个流的下一报文进入到IPSec处理模块后，根据会话有效位没有置位这一信息直接将报文进行丢弃/绕过处理。

优选地，所述NAT网关设备接收外网发往内网的报文时，

所述IPSec处理模块，还用于对所述报文进行解析，获取所述报文的会话信息，并判断所述报文的会话信息是否包含在所述会话索引表中；如果所述报文的会话信息包含在所述会话索引表中，将所述报文直接转发到所述NAT网关设备的下一模块；如果所述报文的会话信息没有包含在所述会话索引表中，从安全策略数据库中查找所述报文对应的安全策略，并判断所述报文能否通过所述安全策略的验证。

优选地，所述IPSec处理模块，还用于添加安全策略；

所述会话管理模块，还用于在所述IPSec处理模块添加安全策略后，清除所述会话索引表中的所有会话信息对应的策略信息和策略有效位。

优选地，所述IPSec处理模块，还用于删除安全策略；

所述会话管理模块，还用于在所述IPSec处理模块删除安全策略后，查找所述会话索引表，获取与所述IPSec处理模块删除的安全策略相关的会话信息，在所述会话索引表中清除所述相关会话信息对应的所有策略信息和策略有效位。

与现有技术相比，本发明具有以下优点：在包括NAT设备的网络系统中，由NAT设备根据报文的会话信息查找预先设置的会话索引表和报文管理字段，获取对该报文对应的安全策略，并根据该安全策略对报文进行IPSec处理，而无需对每个报文都进行合法性检查、策略内容提取、策略查找和策略实施，从而，减轻了中央处理器的处理负担，且实施简单，成本低，能够在不改变硬件的前提下，提高对报文的IPSec处理能力，尤其是大流量、多隧道的复杂网络环境中对报文的IPSec处理能力。

附图说明

图1为本发明中的一种NAT网关设备结构示意图；

图2为本发明中的一种出报文处理流程图；

图3为本发明中的一种入报文处理流程图；

图4为本发明中的一种添加安全策略流程图；

图5为本发明中的一种删除安全策略流程图。

具体实施方式

本发明提供的技术方案中，其核心思想为在包括NAT设备的网络系统中，NAT设备接收到内网发往外网的报文时，根据该报文的会话信息查找预先设置的会话索引表，根据该报文的会话信息在会话索引表中对应的策略有效位判断该报文的会话信息对应的策略信息是否有效，如果判断结果为有效，则在报文管理字段中记录该报文的会话信息标识，并对该会话信息标识对应的会话有效位进行置位，再根据该报文管理字段的相关信息在会话索引表中查找该报文的会话信息对应的策略信息，并根据查找到的策略信息对该报文进行IPSec处理；如果判断结果为无效，则判断该报文的会话信息标识是否包含在报文管理字段中且对应的会话有效位已经置位。

当报文的会话信息标识在包含在报文管理字段中且对应的会话有效位已经置位，则在会话索引表中查找报文的会话信息对应的策略信息，并根据查找到的策略信息对该报文进行IPSec处理；当报文的会话信息标识没有包含在报文管理字段中或报文的会话信息标识对应的会话有效位没有置位，则从安全策略数据库中查找该报文对应的安全策略，添加会话索引表中该报文的会话信息对应的策略信息，并对该报文进行IPSec处理。

另外，NAT网关设备接收外网发往内网的报文时，对该报文进行解析，获取该报文的会话信息，并判断该报文的会话信息是否包含在会话索引表中；如果报文的会话信息包含在会话索引表中，则不再对该报文进行IPSec处理；如果报文的会话信息没有包含在会话索引表中，则从安全策略数据库中查找该报文对应的安全策略，并判断该报文能否通过安全策略的验证。

本发明通过查找会话索引表和报文管理字段，获取报文的会话信息对应的策略信息，并按照该策略信息对应的安全策略对报文进行IPSec处理，无需对每个接收到的报文都进行合法性检查、策略内容提取、策略查找和策略实施，从而简化了对报文的IPSec处理流程。

下面将结合本发明中的附图，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，为本发明中的一种NAT网关设备结构示意图，用于对自身接收或发送的报文进行IPSec处理，包括会话管理模块110、数据缓存120和IPSec处理模块130，其中，

会话管理模块110，与IPSec处理模块130连接，用于在NAT设备接收到内网发往外网的报文时，获取待发送的报文的会话信息，将获取的会话信息和自身存储的会话索引表中记录的会话信息进行匹配；在所述会话匹配成功后，判断所述报文的会话信息在预先配置的会话索引表中对应的策略有效位是否已经置位；在所述策略有效位已经置位时，在报文管理字段中记录所述报文的会话信息标识，并对所述会话信息标识对应的会话有效位进行置位，并将所述报文转发给所述IPSec处理模块130；如果所述策略有效位没有置位，也将所述报文转发给所述IPSec处理模块130。

上述会话管理模块110，还用于在IPSec处理模块130添加安全策略后，清除会话索引表中的所有会话信息对应的安全策略和策略有效位；在IPSec处理模块130删除安全策略后，查找所述会话索引表，获取与所述删除的安全策略相关的会话信息，在所述会话索引表中清除所述相关会话信息对应的所有策略信息和策略有效位。

数据缓存120，与会话管理模块110连接，用于存储报文管理字段，并接受会话管理模块110的设置。

IPSec处理模块130，与数据缓存120连接，用于存储安全策略，判断所述报文的会话信息标识是否包含在数据缓存120存储的报文管理字段中且对应的会话有效位已经置位；当所述报文的会话信息标识包含在所述报文管理字段中且所述对应的会话有效位已经置位，在所述会话索引表中查找所述报文的会话信息对应的策略信息，并根据所述查找到的策略信息对所述报文进行IPSec处理；当所述报文的会话信息标识没有包含在所述报文管理字段中且所述报文的会话信息标识对应的会话有效位没有置位，从安全策略数据库中查找所述报文对应的安全策略，如果查找到，则添加所述会话索引表中所述报文的会话信息对应的策略信息，并对所述报文进行IPSec处理。

上述IPSec处理模块130，还用于在从安全策略数据库中没有查找到对应的安全策略时，将所述会话信息标识记录在报文管理字段中，并且将对应的会话有效位不进行置位，并且对所述报文进行丢弃/绕过处理；当同一个流的下一报文进入到IPSec处理模块130后，根据会话有效位没有置位这一信息直接将报文进行丢弃/绕过处理。

上述IPSec处理模块130，还用于在NAT网关设备接收外网发往内网的报文时，对所述报文进行解析，获取所述报文的会话信息，并判断所述报文的会话信息是否包含在所述会话索引表中；如果所述报文的会话信息包含在所述会话索引表中，将所述报文直接转发到所述NAT网关设备的下一模块；如果所述报文的会话信息没有包含在所述会话索引表中，从安全策略数据库中查找所述报文对应的安全策略，并判断所述报文能否通过所述安全策略的验证。

上述IPSec处理模块130，还用于添加安全策略和删除安全策略。

基于上述NAT网关设备的结构，本发明中的对报文进行IPSec处理的方法包括出报文处理流程、入报文处理流程、添加安全策略流程和删除安全策略流程，以下结合应用场景对上述流程进行详细、具体的描述。

如图2所示，为本发明中的一种出报文处理流程图，所谓的出报文处理是指内网访问外网的报文经过NAT设备时，NAT设备对其进行的有关IPSec的处理。该处理流程包括以下步骤：

步骤201，会话管理模块获取待发送的报文的会话信息，将获取的会话信息和会话索引表中记录的会话信息进行匹配。如果会话匹配成功，则执行步骤203；如果会话匹配失败，则执行步骤202。

其中，会话索引表存储在会话管理模块中，是对已有会话信息表的一个扩展，在已有会话信息表的基础上增加各会话对应的策略信息以及表示该策略信息是否有效的策略有效位。如表1所示，会话索引表包括会话信息、策略信息和策略有效位。

表1会话索引表

  会话信息  策略信息  策略有效位

具体地，会话信息用于进行会话匹配，包括报文的五元组信息，即源IP地址、目的IP地址、协议号、源端口、目的端口，报文经过会话管理模块时，会话管理模块提取报文的会话信息，并根据该报文的会话信息查找会话索引表，对该报文进行会话匹配。如果报文的会话信息包含在会话索引表中，则会话匹配成功；如果报文的会话信息没有包含在会话索引表中，则会话匹配失败。

步骤202，会话管理模块将报文的会话信息添加到会话索引表中。

具体地，当会话匹配失败时，会话管理模块将报文的会话信息添加到会话索引表的会话信息中，该会话信息对应的策略信息为空，对应的策略有效位没有置位。

需要说明的是，执行完本步骤后，可以继续执行步骤205，即会话管理模块将报文转发给IPSec处理模块。

步骤203，会话管理模块根据会话索引表中的报文会话信息对应的策略有效位，判断报文的会话信息中记录的策略信息是否有效。如果报文的会话信息中记录的策略信息有效，则执行步骤204；如果报文的会话信息中记录的策略信息无效，则执行步骤205。

如表1所示，会话索引表中还包括策略信息和策略有效位，该策略信息用于查找对应的安全策略，可以为该会话信息对应的策略表项的地址；该策略有效位用于标识对应的策略信息是否有效，可以为自定义的整型数据。如果会话索引表中的策略有效位已经置位，则表示该策略有效位对应的策略信息有效；如果会话索引表中的策略有效位没有置位，则表示该策略有效位对应的策略信息无效。

步骤204，会话管理模块设置数据缓存中的报文管理字段。

其中，报文管理字段如表2所示，包括会话信息标识和会话有效位。

表2报文管理字段

  会话信息标识  会话有效位

其中，报文管理字段中的会话信息标识即是会话索引表中各会话的简明标识，可以为会话信息的地址；会话信息标识对应的会话有效位用于标识对应的会话信息是否有效，可以为自定义的整型数据。如果报文管理字段中的会话有效位已经置位，则表示该会话信息标识对应的会话信息有效；如果报文管理字段中的会话有效位没有置位，则表示该会话信息标识对应的会话信息无效。

具体地，如果报文的会话信息在预先配置的会话索引表中对应的策略有效位已经置位，会话管理模块从会话索引表中获取该报文的会话信息标识，将该会话信息标识记录到报文管理字段中，并对该会话信息标识对应的会话有效位进行置位，以便于对报文进行IPSec处理。

步骤205，会话管理模块将报文转发给IPSec处理模块。

具体地，当报文对应的路由表项包含指向IPSec处理模块的路由时，该报文从会话管理模块进入IPSec处理模块。

步骤206，IPSec处理模块根据数据缓存中的报文管理字段，判断报文的会话信息是否有效。如果报文的会话信息有效，则执行步骤209；如果报文的会话信息无效，则执行步骤207。

具体地，报文进入IPSec处理模块后，IPSec处理模块查找数据缓存中的报文管理字段，判断报文的会话信息标识在报文管理字段中对应的会话有效位是否已经置位，如果报文管理字段中的会话有效位已经置位，则表示该会话信息标识对应的会话信息有效；如果报文管理字段中的会话有效位没有置位，则表示该会话信息标识对应的会话信息无效。

步骤207，IPSec处理模块对报文进行安全策略匹配，判断是否存在与该报文匹配的安全策略，如果存在与该报文匹配的安全策略，则执行步骤208；如果不存在与该报文匹配的安全策略，则执行步骤210。

具体地，安全策略存储在IPSec处理模块的安全策略数据库中，包括对保护方法和对通信特性的描述，其中，对通信特性的描述用于限定应用该安全策略的数据流的属性，包括目标IP地址、源IP地址、名字、上层协议、源端口、目标端口以及数据敏感级；保护方法用于定义对数据流采用的安全措施，包括丢弃、绕过以及应用。

当报文的会话信息无效时，IPSec处理模块提取报文的属性信息，例如目标IP地址和源IP地址等信息，并根据提取的属性信息从安全策略数据库中查找该报文对应的安全策略。

步骤208，IPSec处理模块添加/更新会话索引表中报文的会话信息对应的策略信息，将该安全策略信息对应的策略有效位置位，并对该报文进行IPSec处理。

具体地，IPSec处理模块可以将查找到的安全策略的地址添加到会话信息对应的策略信息中。

步骤209，IPSec处理模块根据会话索引表中报文的会话信息对应的策略信息，对报文进行IPSec处理。

具体地，IPSec处理模块根据报文的会话信息对应的策略信息查找相应的安全策略，该安全策略中包含对报文的保护方法，包括丢弃、绕过以及应用。其中，丢弃表示不让接收到的报文进入或不让待发送的报文外出；绕过表示不对一个待发送的报文应用安全服务，也不指望一个接收到的报文进行了保密处理，应用表示对待发送的报文和接收到的报文应用安全服务，并指向一个或一套安全联盟，表示将该安全联盟应用于上述报文。

其中，安全联盟是通信对等体间对某些要素的约定，例如，使用的协议类型、协议的封装模式(传输模式和隧道模式)、加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。

步骤210，IPSec处理模块将报文的会话信息标识记录在报文管理字段中，并且将对应的会话有效位不进行置位，并且对该报文进行丢弃/绕过处理；当同一个流的下一报文进入到IPSec处理模块后，IPSec处理模块根据会话有效位没有置位这一信息直接将报文进行丢弃/绕过处理。

本发明通过以上应用场景提供了NAT网关设备在对待内网访问外网的报文的IPSec处理流程，此外，外网的报文进入内网时，NAT设备收到该报文时，对其进行IPSec处理的流程如图3所示。这个过程可以称其为入报文处理流程。

如图3所示，为本发明中的一种入报文处理流程图，包括以下步骤：

步骤301，报文进入IPSec处理模块。

具体地，当报文对应的路由表项包含指向IPSec处理模块的路由时，该报文进入IPSec处理模块。

步骤302，IPSec处理模块解析接收到的报文，获取报文的会话信息。

具体地，IPSec处理模块接收报文之后，对该报文进行解析，包括认证、解密等操作，得到报文的报文头，并根据该报文头获取该报文的会话信息。

步骤303，IPSec处理模块判断报文的会话信息是否包含在会话索引表中。如果报文的会话信息没有包含在会话索引表中，则执行步骤305；如果报文的会话信息包含在会话索引表中，则执行步骤304。

步骤304，IPSec处理模块将报文直接转发到NAT网关设备的下一模块。

具体地，如果报文的会话信息包含在会话管理模块的会话索引表中，表明IPSec处理模块已经处理过与该报文具有同样会话信息的报文，则IPSec处理模块结束对该报文的IPSec处理，直接将该报文转发出去。

其中，具有相同会话信息的报文属于同一条数据流，IPSec处理模块对同一条数据流的第一个报文进行安全策略验证，如果该报文通过安全策略验证，则将该报文的会话信息添加到会话索引表中；对于同一条数据流的后续报文，IPSec处理模块不再处理，而是直接转发到下一模块。

步骤305，IPSec处理模块对报文进行安全策略验证，如果该报文通过验证，则执行步骤306；如果该报文未通过验证，则执行步骤307。

具体地，IPSec处理模块提取报文的属性信息，例如目标IP地址和源IP地址等信息，并根据提取的属性信息从安全策略数据库中查找该报文对应的安全策略，并判断该报文能否通过该安全策略的验证，如果该报文对应的安全策略为丢弃，则该报文未通过验证；如果该报文对应的安全策略为绕过，则该报文通过验证；如果该报文对应的安全策略为应用且该报文符合该安全策略指向的安全联盟，则该报文通过验证；如果该报文对应的安全策略为应用且该报文不符合该安全策略指向的安全联盟，则该报文未通过验证。

步骤306，IPSec处理模块将报文转发到NAT网关设备的下一模块，并将该报文的会话信息添加到会话索引表中。

进一步地，IPSec处理模块还可以将会话信息对应的策略信息添加到会话索引表中，并将该策略信息对应的策略有效位置位。

步骤307，IPSec处理模块对报文进行丢弃处理。

在本发明中的NAT设备对报文进行IPSec处理的过程中，用户可以更新安全策略，包括添加安全策略和删除安全策略，对安全策略的更新会影响已有的会话信息对应的策略信息和策略有效位，具体流程请参见图4和图5。

如图4所示，为本发明中的一种添加安全策略流程图，包括以下步骤：

步骤401，IPSec处理模块向安全策略数据库添加安全策略。

步骤402，会话管理模块清除会话索引表中的所有会话信息对应的策略信息和策略有效位。

具体地，由于新添加的安全策略会引起新的数据处理行为，因此需要先由会话管理模块将所有会话信息中的原有策略信息和策略有效位清除，再由IPSec处理模块按照出报文处理流程，执行步骤206至步骤208，向会话索引表中添加新添加的安全策略对应的策略信息，并设置对应的策略有效位。

如图5所示，为本发明中的一种删除安全策略流程图，包括以下步骤：

步骤501，IPSec处理模块删除安全策略数据库中存储的安全策略。

步骤502，会话管理模块查找会话索引表，获取与删除的安全策略相关的会话信息。

步骤503，会话管理模块在会话索引表中清除相关会话信息对应的所有策略信息和策略有效位。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备(可以是手机，个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。