[发明专利]IPsec的实现方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种IPsec的实现方法及装置。

背景技术

网络协议安全(Internet Protocol Security，IPsec)是国际互联网工程任务组(The Internet Engineering Task Force，IETF)制定的三层隧道加密协议，是一种传统的实现三层虚拟专用网络(Virtual Private Network，VPN)的安全技术。IPsec通过在特定通信方之间(例如：两个安全网关之间)建立通道(该通道通常称为IPsec隧道)，来保护通信双方之间传输的用户数据，能够为互联网上传输的数据提供高质量的、基于密码学的安全保证。

随着网络的发展和对设备功能性要求的提高，集中式设备往往难以满足实际的需求，因此分布式处理架构应运而生。在分布式处理架构下，网络中的设备通常包括一个主控板(Main Processing Unit，MPU)和多个业务板(Line interface Processing Unit，LPU)，主控板用于进行业务板的业务配置和管理，业务板用于处理不同的业务。在分布式处理架构下实现IPsec时，通过接口配置能够使得每个LPU均能实现IPsec功能。实际应用中可能存在的问题为，如果请求报文经过设备时，在LPU1上做了IPsec业务，生成了IPsec安全联盟(Security Association，SA)表项，与请求报文对应的响应报文却由LPU2接收，则由于LPU2没有该响应报文对应的IPsec SA信息，导致LPU2将响应报文丢弃。

为了解决上述问题，现有技术中提供的解决方案为：每个LPU均保存网络中所有LPU生成的IPsec SA表项。这样，当LPU接收到响应报文时，通过查找其保存的IPsec SA表项，能够确定用于处理该响应报文的LPU，并将响应报文透传至查找到的LPU进行处理。然而，这种实现方案要求每个LPU上都保存整个网络中的所有LPU的所有IPsec SA表项，这将占用LPU较大的内存，尤其是，当网络中LPU的数量和IPsec SA表项较多时，内存开销线性增加，极大影响LPU的性能。

发明内容

本发明提供一种IPsec的实现方法及装置，以解决现有技术中存在的每个LPU上都保存整个网络中的所有LPU的所有IPsec SA表项，占用LPU较大的内存的问题。

为满足上述目的，本发明采用如下技术方案：

第一方面，本发明提供网络协议安全IPsec的实现方法，包括：第一业务板接收对端设备发送的响应报文；获取所述响应报文中携带的指定字段的取值，所述指定字段的取值用于表示业务板的标识；根据所述指定字段的取值，确定用于处理所述响应报文的目标业务板，所述预设关系表包括所述指定字段的取值与业务板标识的对应关系；如果所述目标业务板为第二业务板，则向所述第二业务板透传所述响应报文，以便于所述第二业务板对所述响应报文进行IPsec解封装操作。

第二方面，本发明提供一种网络协议安全IPsec的实现装置，所述装置应用于第一业务板，所述装置包括：接收模块，用于接收对端设备发送的响应报文；处理模块，用于获取所述响应报文中携带的指定字段的取值，所述指定字段的取值用于表示业务板的标识；根据所述指定字段的取值，确定用于处理所述响应报文的目标业务板，所述预设关系表包括所述指定字段的取值与业务板标识的对应关系；发送模块，用于当所述目标业务板为第二业务板，向所述第二业务板透传所述响应报文，以便于所述第二业务板对所述响应报文进行IPsec解封装操作。

本发明提供的IPsec的实现方法及装置，第一业务板接收响应报文后，获取响应报文中携带的指定字段的取值，通过该指定字段的取值，能够确定用于处理该响应报文的目标业务板，并且当该目标业务板为第二业务板也即其他业务板时，将该响应报文发送至第二业务板处理，与现有技术中每个LPU均保存网络中所有LPU生成的IPsec SA表项，当接收到响应报文时，通过查找其保存的IPsec SA表项，确定用于处理该响应报文的LPU相比，本发明中，LPU能够根据响应报文中携带的指定字段的取值确定用于处理该响应报文的目标业务板，而不需要保存网络中所有LPU生成的IPsec SA表项，能够减少IPsec SA表项占用LPU的内存，进而提高LPU的性能。

附图说明