[发明专利]交换芯片或NP与CPU协同完成报文IPSEC加密的方法与系统

说明书

本发明公开了一种交换芯片或NP与CPU协同完成报文IPSEC加密的方法与系统，该方法包括以下步骤：从业务接口接收报文，根据报文的目的IP地址查路由表，且若出接口类型是普通接口，将报文进行路由转发；若是IPSEC隧道接口，则根据报文五元组查询ACL并判断是否命中，如未命中则丢弃报文；否则判断安全策略的动作，并根据安全策略的动作对报文进行路由转发、丢弃或封装私有头并发往CPU；CPU接收待加密报文，将根据报文五元组和三元组查询SA信息，若未查到，则丢弃报文；否则根据SA信息对报文进行IPSEC加密并发送至接口板。本发明将输入至CPU处理的报文先经接口板进行筛选，只有安全策略为应用IPSEC的报文才送至CPU中，提升了交换网络带宽利用率，加强了CPU的处理效率。

技术领域

本发明涉及IPSEC加密技术，具体涉及一种交换芯片或NP与CPU协同完成报文IPSEC加密的方法与系统。

背景技术

IPSEC(IP Security，IP(Internet Protocol，因特网协议)安全)是IETF(Internet Engineering Task Force，因特网工程任务组)制定的为保证在Internet上传送数据的安全加密性能的框架协议。主要通过封装安全载荷和或通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯，它在IP层对数据包进行高强度的安全处理，提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务。这些服务是基于IP层的，提供对IP及其上层协议的保护。

目前支持IPSEC功能的分布式设备一般由接口板、业务板和主控板组成。接口板上一般设有交换芯片或NP(网络处理器)等高性能的转发芯片，用于接收和转发数据报文，并通过交换网络将需要进行IPSEC加解密的报文发送到业务板进行处理；业务板用于对报文进行IPSEC加解密，并将处理后的报文发送到接口板；主控板进行路由协议报文和IKE((Internet Key Exchange，因特网密钥交换协议)是IPSec的信令协议)协议报文交互，生成路由和IPSEC相关配置，但不参与具体的数据转发。IPSEC加解密一般是在业务板CPU上实现，CPU可以采用软件加解密算法或内部硬件加解密引擎完成IPSEC加解密功能。图1为目前常用的业务板的IPSEC加密方法，如图1所示，包括以下步骤：业务板CPU收到接口板通过交换网络送来的报文后，根据报文五元组(源IP地址、目的IP地址、源端口、目的端口、安全协议)查询SPD(security policy database，安全策略数据库)，获取并判断安全策略的指示，如安全策略为丢弃，则丢弃该报文；如果安全策略为绕过，则将该报文发回给接口板并进行路由转发；如果安全策略为应用IPSEC，则再根据三元组(SPI(Security Parameter Index，安全参数索引)、目的IP地址、安全协议)查询SA(Security Association，安全联盟)，如果未查到，说明SA还未建立，则丢弃报文；否则根据查到的SA对报文进行加密处理，并将生成的密文发送到接口卡后，进行路由转发。

采用上述的方法实现IPSEC加密功能，存在以下问题：

1)业务板收到接口板通过交换网络送来的报文，待业务板查询SPD后，只对安全策略为应用IPSEC的报文进行加密操作，而其余的报文则丢弃或者发回到接口板并进行路由转发，这样消耗了过多的交换网络带宽。

2)接口板将需要或不需要加密的报文都送到业务板CPU进行处理，增加了CPU负担，导致CPU处理能力降低。

有鉴于此，急需提供一种提升交换网络带宽利用率和业务板CPU的处理效率的IPSEC加密的方法。

发明内容

本发明所要解决的技术问题是接口板通过交换网络将需要或不需要加密的报文都送到业务板CPU进行处理，加了CPU负担和消耗了过多的交换网络带宽，导致CPU处理能力降低的问题。