[发明专利]一种多进程高并发的IPSec VPN隧道实现方法及装置

说明书

技术领域

本发明涉及通信技术领域，涉及一种实现高并发的IPSec VPN隧道的方法。

背景技术

IPSec是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合），用以提供公用和专用网络的端到端加密和验证服务，保障数据的机密性、来源可靠性（认证）、无连接的完整性并提供抗重播服务。IPSec协议族由两大部分组成：（1）密钥交换协议（IKE）；（2）安全报文协议（ESP/AH）。

IPSec VPN即采用IPSec协议来为位于不同物理位置的用户局域网建立安全的VPN(Virtual Private Network，虚拟专用网络)隧道以达到互联互通和保密通讯目的的安全设备。作为端到端的解决方案，多台IPSec VPN之间互联互通所组建的VPN网络一般都规模有限，市面上的IPSec VPN设备最多也就支持数千条的并发隧道。如果要支持更大规模的IPSec VPN组网，需要对IPSec VPN的实现技术进行优化。特别是密钥交换的环节，一个IPSec VPN隧道的建立需要至少经过9次报文交换以及和内核的多次交互过程，如果成千上万的密钥交换行为并发进行，导致系统崩溃。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种高并发的IPSec VPN隧道实现方法，采用本发明提供的方法，可以实现上万条IPSec VPN并发隧道的建立。

本发明提供的多进程高并发的IPSec VPN隧道实现方法，包括：

步骤1：接收IKE 密钥交换数据报文；

步骤2：将接收到的IKE密钥交换报文进行分类，把经过分类的IKE密钥交换报文放入不同的入工作队列；

步骤3：每个入工作队列对应一个协商工作进程以及出工作队列，所述各个协商工作进程按照IKE协议依次处理其对应的入工作队列中的IKE密钥交换报文，并将相应的回应报文放入其对应的出工作队列；

步骤4：不断依次访问各出工作队列，取出回应报文并发送。

优选地，所述各个协商工作进程在各自的CPU或CPU核上运行。

优选地，在所述步骤2中，根据IKE密钥交换报文的对端IP地址对IKE密钥交换报文进行分类。

优选地，对各协商工作进程从0到N-1依次编号，N为协商工作进程总数；在所述步骤2中包含分类步骤A：将接收到的报文的对端IP地址尾字段的8位值对N求余，所得值即为处理该IKE密钥交换报文的协商工作进程编号；分类步骤B：将所述报文送到所述协商工作进程编号对应的协商工作进程中。

优选地，还包括确定各个协商工作进程的工作量的步骤；

所述步骤2还包括，判断接收到的报文是否是IKE密钥交换报文的第一报文，若是，则顺序执行分类步骤A及分类步骤B；否则，则执行分类步骤C；

所述分类步骤A还包括，得到处理某IKE密钥交换报文的协商工作进程编号后，判断所述协商工作进程编号对应的协商工作进程工作量是否大于阈值，若是，将所述协商工作进程编号加1，直到所述协商工作进程编号对应的协商工作进程工作量不大于所述阈值，则将该IKE密钥交换报文的对端IP地址及所述协商工作进程编号写入所述迁移记录表；

所述分类步骤C包括：首先在迁移记录表中查询是否记录有该报文对端IP地址对应的协商工作进程编号：若没有，则顺序执行分类步骤A及分类步骤B，若有，则将该报文送入迁移记录表记录的其对端IP地址对应的协商器的入工作队列。

优选地，确定各个协商工作进程的工作量的方法包括：

计算接收到的IKE密钥交换报文总数；

计算各个协商工作进程处理的IKE密钥交换报文数量；

计算各个协商工作进程处理的IKE密钥交换报文数量对于IKE密钥交换报文总数的比值，所述比值则为各个协商工作进程的工作量。

优选地，所述步骤1、步骤2及步骤4也在各自的CPU或CPU核上运行。

本发明还提供了一种实现多进程高并发的IPSec VPN隧道装置，包括：

接收器，用于接收IKE 密钥交换数据报文；

分类器，用于将接收到的IKE密钥交换报文进行分类，把经过分类的IKE密钥交换报文放入不同的入工作队列；

协商器，每个入工作队列对应一个协商器以及出工作队列，所述各个协商器用于按照IKE协议依次处理其对应的入工作队列中的IKE密钥交换报文，并将相应的回应报文放入其对应的出工作队列；

发送器，用于不断依次访问各出工作队列，取出回应报文并发送。