一种公网与私网进行数据通信的方法和安全插卡.pdf

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(10)申请公布号CN102055755A

(43)申请公布日2011.05.11

(21)申请号CN200910236739.1

(22)申请日2009.10.29

(71)申请人杭州华三通信技术有限公司

地址310053浙江省杭州市高新技术产业开发区之江科技工业园六和路310号华为杭

州生产基地

(72)发明人温卫真

(74)专利代理机构北京银龙知识产权代理有限公司

代理人张敬强

(51)Int.CI

H04L29/06

H04L29/12

H04L12/56

H04L12/02

权利要求说明书说明书幅图

(54)发明名称

一种公网与私网进行数据通信的方

法和安全插卡

(57)摘要

本发明提供一种公网与私网进行数

据通信的方法和安全插卡。所述方法包

括：根据公网报文对应的重定向上下文确

定入接口信息，根据私网报文对应的重定

向上下文确定出接口(私网接口)信息，并

将确定的出入接口信息保存到会话表项

中。如此，在利用安全插卡对报文进行网

络地址转换时，不需要交换机对报文进行

二次重定向，安全插卡就能获取到私网接

口信息，并实施有效的安全策略，充分保

证了业务的完整性和网络安全。

法律状态

法律状态公告日法律状态信息法律状态

权利要求说明书

1.一种公网与私网进行数据通信的方法，所述公网与私网通过交换机连接，所述交

换机将公网报文和私网报文重定向到安全插卡，其特征在于，所述方法包括：

所述安全插卡将接收到的公网报文的目的地址转换为私网地址；

当所述安全插卡中不存在与所述公网报文对应的会话表项时，根据所述私网地址从

所述安全插卡中的私网地址与私网接口的对应关系表中查找对应的私网接口，并建

立入接口为所述公网报文对应的重定向上下文中的入接口、出接口为查找到的私网

接口的会话表项；若查找不到私网接口，则建立入接口为所述重定向上下文中的入

接口、出接口为无效值的会话表项；

所述安全插卡接收到对所述公网报文进行回应的私网报文时，若对应的会话表项中

的出接口为无效值，则在所述对应关系表中增加一个私网地址为所述私网报文的源

地址、私网接口为所述私网报文对应的重定向上下文中的入接口的表项，并删除所

述出接口为无效值的会话表项、丢弃所述私网报文。

2.如权利要求1所述的方法，其特征在于，还包括：

当所述安全插卡中存在与所述公网报文对应的会话表项时，或者，为所述公网报文

建立会话表项后，根据所述公网报文对应的会话表项确定出入接口对；

根据确定的出入接口对匹配安全策略；

根据匹配到的安全策略对所述公网报文进行安全策略处理后回送到所述交换机。

3.如权利要求2所述的方法，其特征在于，还包括：

若匹配不到安全策略，则直接将所述公网报文回送到所述交换机。

4.如权利要求1所述的方法，其特征在于，还包括：

所述安全插卡接收到对所述公网报文进行回应的私网报文时，若对应的会话表项中

的出接口为有效值，则将所述私网报文的源地址转换为公网地址，并根据所述对应

的会话表项确定出入接口对；

根据确定的出入接口对匹配安全策略；

根据匹配到的安全策略对所述私网报文进行安全策略处理后回送到所述交换机。

5.如权利要求4所述的方法，其特征在于，还包括：

若匹配不到安全策略，则直接将所述私网报文回送到所述交换机。

6.一种安全插卡，应用于公网与私网进行数据通信的系统中，所述公网与私网通过

交换机连接，所述交换机将公网报文和私网报文重定向到所述安全插卡，其特征在

于，包括：

目的地址转换模块，用于将接收到的公网报文的目的地址转换为私网地址；

会话管理模块，用于当所述安全插卡中不存在与所述公网报文对应的会话表项时，

根据所述私网地址从所述安全插卡中的私网地址与私网接口的对应关系表中查找对

应的私网接口，并建立入接口为所述公网报文对应的重定向上下文