[发明专利]可提高安全协定封包处理效能的方法

说明书

技术领域

本发明涉及一种可提高安全协议封包处理效能的方法，主要对欲进行传输的封包数据进行判断，借此以提高安全协议封包的处理效能。

背景技术

请参阅图1，为现有封包数据的传输示意图。如图所示，一般而言封包数据可以IP封包或是安全协议封包(IPSec)进行传送，在以IP封包进行数据的传送时，由于IP封包本身并不具有任何安全的特性，因此在传输的过程中IP封包很有可能被拦截，并被查看或修改IP封包的内容。

安全协议封包是针对位于网络层的Internet Protocol所提出的安全性协议，并可有效提高封包数据传送时的安全性。一般来说安全协议封包主要可使用传输模式(Transport mode)或通道模式(Tunnel mode)进行传输，以传输模式进行封包数据的传输时，仅需要加密或认证上层协议的数据。例如在同一个局域网络(LAN)中包括有第一计算机(PC1)111与第三计算机(PC3)115，其中第一计算机111与第三计算机115可直接建立联机(不必经由路由器或防火墙)，且第一计算机111及第三计算机115具有处理安全协议封包的能力，并可使用安全协议的传输模式。

在以通道模式进行安全协议封包的传输时，安全协议会加密或认证整个封包，然后在最外面再加上一个新的IP表头。当安全协议联机两端的计算机有一端或两端不具处理安全协议封包能力，而必须通过具有安全协议能力的路由器或网关器来代为处理安全协议封包时，即必须使用通道模式。

此外，在以通道模式进行安全协议封包的传输时，要先在两个网关器(Gateway)之间建立一条安全协议通道(IPSec Tunnel)，例如可在第一网关器13与第二网关器15之间建立安全协议通道17，当第一计算机111要将数据传送至第二计算机113时，第一计算机111会先将封包数据传送至第一网关器13，而第一网关器13会将封包数据封装成安全协议封包，并将安全协定封包经由安全协议通道17传送至第二网关器15。第二网关器15会进一步对所接收的安全协议封包进行解密，以还原成为封包数据并传送至第二计算机113，借此以完成第一计算机111与第二计算机113之间的数据传输。

第一计算机111将封包数据传送至第一网关器13时，第一网关器13内的Netfilter或防火墙(Firewall)131会接收封包数据，之后再将封包数据交给安全协议模块(IPSec Module)133。安全协议模块133可将封包数据加密封装为安全协议封包，待封装完成后安全协议模块133会在将安全协定封包交给Netfilter或防火墙131，并以Netfilter或防火墙131进行安全协议封包的传送。

在经过分析后可以发现，网关器13/15在处理安全协议封包时会消耗相当多的时间与资源，例如网关器13/15必须进行安全协议封包的加密或解密。此外，在以网关器13/15接收或发送安全协议封包的过程中，封包数据需要经过安全协议模块133及Netfilter或防火墙131之间多个接点(例如5个Hook点)，进而影响到安全协定封包的处理效能。

发明内容

本发明的主要目的，在于提供一种可提高安全协议封包处理效能的方法，主要用以对网关器处理安全协议封包的过程进行优化，以降低网关器的负担及处理的时间，借此有利于提高网关器处理安全协议封包的效率。

本发明的次要目的，在于提供一种可提高安全协议封包处理效能的方法，其中网关器在处理封包数据的过程当中，可使得属于安全协议通道的封包数据绕开网关器内的Netfilter或防火墙，借此以减少网关器及/或处理器的负担及处理的时间，并达到提高整体效能的目的。

本发明的又一目的，在于提供一种可提高安全协议封包处理效能的方法，其中网关器可将所接收的封包数据的来源地址(source address)及/或目的地址(destination address)及/或安全系数索引(SPI)与安全协议通道表(IPSec tunneltable)进行比对，借此以判断该封包数据是否属于某一安全协议通道。

本发明的又一目的，在于提供一种可提高安全协议封包处理效能的方法，由于安全协议封包本身已是一种加密数据，可在没有防火墙存在的状况下进行安全的传输，此外亦不需要网络地址转换(NAT)进行网络地址转换，因此可使得属于安全协议通道的封装数据绕开网关器内的Netfilter或防火墙，以提高安全协定封包的处理效能。