[发明专利]提升IPsec性能和防窃听安全性

权利要求书

1.一种网元(NE)，其特征在于，包括：

存储器设备，用于存储指令；以及

处理器，用于通过如下方式执行所述指令：

将数据流的第一多个数据包划分为第一多个子流；以及

使所述第一多个子流经由网络传输至第二NE，

其中所述第一多个子流使用包括多个并行子SA的第一因特网协议安全协议(IPsec)安全联盟(SA)集群进行传输，所述多个并行子SA中的每个子SA针对所述第一多个子流中的每个子流独立建立。

2.根据权利要求1所述的NE，其特征在于，所述多个并行子SA中的第一子SA与第二子SA经过不同的网络路径。

3.根据权利要求1所述的NE，其特征在于，所述多个并行子SA中的第一子SA与第二子SA经过相同的网络路径。

4.根据权利要求1所述的NE，其特征在于，所述子SA不是嵌套的。

5.根据权利要求1所述的NE，其特征在于，所述数据流的所述数据包通过使用选择算法在所述第一多个子SA之间分发。

6.根据权利要求5所述的NE，其特征在于，所述选择算法包括轮询选择算法、随机选择算法或其组合。

7.根据权利要求1所述的NE，其特征在于，所述多个子SA中的每个包括安全参数指标(SPI)，以及所述每个子SA SPI包括不同于其他每个子SA SPI的值。

8.根据权利要求1所述的NE，其特征在于，所述处理器进一步用于经由第二IPsec SA集群接收来自所述第二NE的第二多个子流。

9.根据权利要求8所述的NE，其特征在于，所述第二多个子流包括第二多个数据包，以及所述处理器进一步用于通过使用防重放位图在所述第二多个数据包上执行防重放功能来执行所述指令。

10.根据权利要求1所述的NE，其特征在于，所述第一多个数据包每个都包括序列号，以及所述序列号基于与数据包相关联的所述子流确定，而非基于所述数据流确定。

11.一种网元(NE)，其特征在于，包括：

处理器，用于使用因特网密钥交换协议(IKE)或IKE版本2(IKEv2)在所述NE和第二NE之间创建包括第一多个并行子SA的因特网协议安全协议(IPsec)安全联盟(SA)集群，

其中所述第一多个并行子SA是单向的，以及

所述第一多个并行子SA用于在同一方向传输第一多个数据包，

所述第一多个并行子SA中的每个子SA针对与所述第一多个数据包相关联的多个子流中的一个子流独立建立。

12.根据权利要求11所述的NE，其特征在于，所述处理器进一步用于在通信会话期间经由网络使用所述第一多个并行子SA将所述第一多个数据包传输到所述第二NE。

13.根据权利要求12所述的NE，其特征在于，所述处理器进一步用于在所述通信会话期间经由所述网络接收来自所述第二NE的第二多个数据包，以及所述第二多个数据包经由包括第二多个并行子SA的第二IPsec SA集群接收。

14.根据权利要求13所述的NE，其特征在于，所述第二多个并行子SA是单向的，所述第二多个并行子SA用于在公共方向传输数据包，以及所述第二多个并行子SA用于在与所述第一多个并行子SA相反的方向传输数据包。

15.根据权利要求13所述的NE，其特征在于，在数据库中对所述第一多个并行子SA的查找并行执行，所述第一多个数据包的序列号并行生成，所述第二多个数据包的防重放检查并行执行，或其组合。

16.根据权利要求11所述的NE，其特征在于，所述处理器进一步用于通过处理saCount属性创建所述SA集群，以及与所述saCount属性相关联的值指示所述SA集群中第一多个并行子SA的数目。

17.根据权利要求11所述的NE，其特征在于，所述处理器进一步用于通过处理selectSA属性创建所述SA集群，以及与所述selectSA属性相关联的值指示用于选择传输与所述第一多个数据包相关联的子流的子SA的选择算法。