[发明专利]基于安全联盟的IPSec报文处理方法及装置

说明书

技术领域

本发明涉及IPSec报文处理技术，尤其涉及一种基于安全联盟(SA，SecurityAssociation)的IPSec报文处理方法及装置。

背景技术

随着通讯技术和网络技术的快速发展，网络信息安全问题显得越来越突出。互联网协议安全性(IPSec，Internet Protocol Security)技术是一种解决信息安全问题的有效途径。其通过在网络路由设备上配置IPSec业务而加密信息，并建立安全的传输通道，使得信息在网络传输过程中安全可靠。

在网络路由设备上，为了加快IPSec业务的处理速度，往往采用多核处理器进行多线程处理。图1为现有多线程IPSec报文处理原理示意图，如图1所示，IPSec报文接收和分发单元将接收到的IPSec报文平均分发到线程1到线程n进行处理，处理完后再将IPSec报文统一发送到保序线程进行IPSec报文的保序，最后再由IPSec报文发送单元发送出去。首先，这种方法由于将保序处理统一到一个线程处理，很容易造成转发性能的瓶颈；其次，这种方法处理IPSec报文，忽略了各个安全联盟之间的影响：为了正常实现抗重放功能，网络设备需要对各IPSec报文的序列号(SN，Sequence Number)进行处理，当同一SA的IPSec报文分发到不同线程进行处理时，会出现几个线程同时修改同一SA的SN的冲突，此时就需要进行互斥访问的操作，造成了转发性能的降低。

发明内容

有鉴于此，本发明的主要目的在于提供一种基于安全联盟的IPSec报文处理方法及装置，不必对各线程处理的IPSec报文进行保序，从而大大提高了IPSec报文的处理效率。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于安全联盟的IPSec报文处理方法，包括：

将IPSec报文按照所述IPSec报文所属的SA分发给各线程；其中，属于同一SA的IPSec报文分发到同一线程；

线程对IPSec报文设置序列号SN并加密，然后发送。

优选地，所述方法还包括：

同一线程能同时处理分属不同SA的IPSec报文。

优选地，所述线程对IPSec报文设置SN具体为：

线程接收到IPSec报文后，对属于同一SA的IPSec报文顺序编号。

优选地，所述方法还包括：

检测出有负荷超出设定的第一阈值的线程时，将该负荷超出设定阈值的线程上的至少一个SA的待发送IPSec报文分发到负荷未达到设定的第二阈值的线程。

一种基于安全联盟的IPSec报文处理方法，包括：

将接收到经前述基于安全联盟的IPSec报文处理方法处理过的IPSec报文按照IPSec报文所属的SA分发给各线程；其中，属于同一SA的IPSec报文分发到同一线程；

在每一队列中按IPSec报文所属的SA分别设置缓存队列，并按IPSec报文的SN缓存所接收到的IPSec报文，对缓存队列中的IPSec报文进行解密。

一种基于安全联盟的IPSec报文处理装置，包括分发单元、一个以上线程处理单元和发送单元，其中：

分发单元，用于将IPSec报文按照所述IPSec报文所属的安全联盟SA分发给各线程；其中，属于同一SA的IPSec报文分发到同一线程；

线程处理单元，用于对IPSec报文设置SN并加密；

发送单元，用于发送处理单元处理后的IPSec报文。

优选地，线程处理单元能同时处理分属不同SA的IPSec报文。

优选地，所述线程处理单元在接收到IPSec报文后，对属于同一SA的IPSec报文顺序编号。

优选地，所述装置还包括：

检测单元，用于检测是否同时存在负荷超出设定的第一阈值的线程处理单元以及负荷未达到设定的第二阈值的线程处理单元，同时存在时通知所述分发单元将该负荷超出设定阈值的线程处理单元中的至少一个SA的待发送IPSec报文分发到负荷未达到设定的第二阈值的线程处理单元。

一种基于安全联盟的IPSec报文处理装置，包括接收单元、分发单元、设置单元、存储单元和处理单元，其中：

接收单元，用于接收所述发送单元发送的IPSec报文；

分发单元，用于将所述接收单元接收的IPSec报文按照IPSec报文所属的SA分发给各线程；其中，属于同一SA的IPSec报文分发到同一线程；

设置单元，用于在每一队列中按IPSec报文所属的SA分别设置缓存队列；

存储单元，用于按IPSec报文所属的SA分别设置缓存队列，