[发明专利]一种IPsec VPN客户端报文处理方法及装置

说明书

本申请提供一种IPsec VPN客户端报文处理方法，其特征在于，配置第一进程、第二进程：第一进程指定代理参数后启动第二进程，告知第二进程，通过所指定的代理参数代理转发第二进程的控制报文；第一进程启动第二进程成功后，第一进程通过第一内部端口定时向第二进程发送控制通道代理消息；第二进程接收控制通道代理消息，将本地创建的与本地IP相关的Socket与第一内部端口建立映射，并且启动与服务器的协商，在与服务器协商成功后，将协商所产生的安全联盟数据通过第二内部端口同步给第一进程；第一进程获取第二进程同步的安全联盟数据，在接收到服务器发送的数据报文的情况下，根据所述安全联盟数据对接收的数据报文进行处理。

技术领域

本申请涉及通信技术领域，尤其涉及一种IPsec VPN客户端报文处理方法及装置。

背景技术

IPsec VPN是一种采用IPsec协议来实现远程接入的VPN技术，通常通过IKE协议实现用户身份认证以及IPsec VPN隧道的建立。IKE协议通常由独立的进程运行，而用户业务则由其它进程负责处理，为方便表述，运行IKE协议的进程称之为IKE Server进程，负责处理用户业务的进程称之为VPN Client进程。现有的IPsec VPN客户端收发报文的处理流程大致如下：IKE Server进程接收VPN服务器所发出的数据报文，将数据报文解密后通过内部端口(如4502)转发给VPN Client进程；VPN Client进程将通过内部端口接收的解密数据报文转发给虚拟网卡，VPN Client进程接收虚拟网卡返回的响应报文，将所述响应报文通过内部端口(如4501)转发给IKE Server进程；IKE Server进程将所述响应报文封装后发送给VPN服务器。由于现有技术方案中控制通道的控制报文和数据通道的数据报文共用同一个UDP通道，即数据报文需要先由IKE Server进程接收再转发给VPN Client进程，VPN Client进程的响应报文需由IKE Server进程转发给服务器，使得数据报文需要在IKE Server进程和VPN Client进程之间来回传输，造成了用户数据报文处理缓慢的问题。

发明内容

有鉴于此，本申请提供一种IPsec VPN客户端报文处理方法及装置。

具体地，本申请是通过如下技术方案实现的：

一种IPsec VPN客户端报文处理方法，配置第一进程、第二进程：

第一进程指定代理参数后启动第二进程，告知所述第二进程，通过所指定的代理参数代理转发第二进程的控制报文；

第一进程启动第二进程成功后，第一进程通过第一内部端口定时向第二进程发送控制通道代理消息；

所述第二进程接收控制通道代理消息，将本地创建的与本地IP相关的Socket与第一内部端口建立映射，并且启动与服务器的协商，在与所述服务器协商成功后，将协商所产生的安全联盟数据通过第二内部端口同步给第一进程，所述映射用于将与服务器协商所产生的控制报文发给第一进程；

第一进程获取所述第二进程同步的安全联盟数据，在接收到服务器发送的数据报文的情况下，根据所述安全联盟数据对接收的数据报文进行处理。

一种IPsec VPN客户端报文处理装置，所述装置包括：

配置单元，用于配置第一进程、第二进程，所述第一进程用于收发用户数据报文以及控制报文，所述第二进程用于运行IKE协议：

告知单元，用于第一进程指定代理参数后启动第二进程，告知所述第二进程，通过所指定的代理参数代理转发第二进程的控制报文；

消息发送单元，用于第一进程启动第二进程成功后，第一进程通过第一内部端口定时向第二进程发送控制通道代理消息；