[发明专利]一种IPSec VPN隧道内业务流量统计方法及装置

权利要求书

1.一种IPSec VPN隧道内业务流量统计方法，其特征在于，应用于网络设备，所述方法包括：

当业务数据报文经过IPSec VPN隧道时，根据预设的安全联盟SA策略中的参数对所述业务数据报文进行加解密处理，所述加解密处理包括加密处理或解密处理；

将每次加密或解密处理的所述业务数据报文的字节数进行记录；

所述当业务数据报文经过IPSec VPN隧道时，根据预设的SA策略中的参数对所述业务数据报文进行加解密处理，包括：

当业务数据报文经过IPSec VPN隧道时，对于接收到的需要解密的业务数据报文，根据报文中携带的安全参数索引SPI值在预设的SA策略链表中查找对应的预设SA策略，根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密；

或

对于接收到的需要加密的业务数据报文，根据报文中携带的五元组信息在预设的SA策略链表中查找对应的预设SA策略，根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密；

当所述网络设备为框式设备时，对于框式设备中业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数，将其追加记录到框式设备的主控板上；

当所述网络设备为盒式设备时，按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数，记录到与盒式设备内核所对应的预先建立的流量信息统计模板；

当所述网络设备为框式设备时，按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数，记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在接收到用户态下的进程下发的流量信息统计请求时，根据所述请求中携带的IPSecVPN隧道信息匹配对应的流量信息统计模板，将匹配到的对应的流量信息统计模板中记录的每次加密或解密处理的所述业务数据报文的字节数返回给用户态下的进程。

3.根据权利要求2所述的方法，其特征在于，所述IPSec VPN隧道信息包括：

IPSec VPN隧道连接名称、与本地建立隧道的对端设备IP地址以及感兴趣流。

4.一种IPSec VPN隧道内业务流量统计装置，其特征在于，应用于网络设备，所述装置包括：

加解密处理单元，用于当业务数据报文经过IPSec VPN隧道时，根据预设的安全联盟SA策略中的参数对所述业务数据报文进行加解密处理，所述加解密处理包括加密处理或解密处理；

字节数记录单元，用于将每次加密或解密处理的所述业务数据报文的字节数进行记录；

所述加解密处理单元具体用于：

当业务数据报文经过IPSec VPN隧道时，对于接收到的需要解密的业务数据报文，根据报文中携带的安全参数索引SPI值在预设的SA策略链表中查找对应的预设SA策略，根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密；

或

对于接收到的需要加密的业务数据报文，根据报文中携带的五元组信息在预设的SA策略链表中查找对应的预设SA策略，根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密；

追加记录单元，用于当所述网络设备为框式设备时，对于框式设备中业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数，将其追加记录到框式设备的主控板上；

字节数读取单元，用于当所述网络设备为盒式设备时，按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数，记录到与盒式设备内核所对应的预先建立的流量信息统计模板，当所述网络设备为框式设备时，按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数，记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板。