国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      分布式IPSec處理的方法

      文檔序號(hào):7628325閱讀:299來(lái)源:國(guó)知局
      專利名稱:分布式IPSec處理的方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及Internet安全領(lǐng)域,特別涉及分布式IPSec處理的方法。
      背景技術(shù)
      IPSec(因特網(wǎng)協(xié)議安全)是由IETF(Internet Engineering Task Force)定義的一套在網(wǎng)絡(luò)層提供IP(因特網(wǎng)協(xié)議)安全性的協(xié)議,由一系列RFC文檔組成。其中RFC2401定義IPSec的基本結(jié)構(gòu);RFC2402定義IPSec的AH(驗(yàn)證頭);RFC2406定義IPSec的ESP(封裝安全載荷);RFC2409定義IPSec的IKE(因特網(wǎng)密鑰交換)。
      圖1描述IPSec協(xié)議基本結(jié)構(gòu)。
      IPSec協(xié)議包括AH、ESP、IKE等。
      ESP(101)封裝安全載荷為IP載荷提供數(shù)據(jù)加密和驗(yàn)證的功能。AH(102)認(rèn)證頭為IP頭提供數(shù)據(jù)完整性和驗(yàn)證的功能。數(shù)據(jù)加密(103)和驗(yàn)證算法(104)由SA(安全相關(guān))指定。IKE(105)密匙交換為IPSec協(xié)議生成密匙。SPD(安全策略數(shù)據(jù)庫(kù))(106)決定兩個(gè)實(shí)體之間能否通訊及通訊轉(zhuǎn)碼方式。解釋域(DOI)用來(lái)組合相關(guān)協(xié)議,通過(guò)使用ISAKMP協(xié)商安全連接。
      圖2基于IPSec的VPN(虛擬專用網(wǎng)絡(luò))原理主機(jī)A(201)和主機(jī)B(204)之間通過(guò)Internet進(jìn)行通訊。IPSec網(wǎng)關(guān)A(202)和IPSec網(wǎng)關(guān)B(203)分別是主機(jī)A(201)和主機(jī)B(204)接入Internet出口路由器。網(wǎng)關(guān)之間通過(guò)IKE(206)動(dòng)態(tài)協(xié)商主機(jī)A、B通訊所需要的SA(207、208)安全策略,并通過(guò)將IP報(bào)文封裝成IPSec報(bào)文(205)實(shí)現(xiàn)安全通信。IPSec可以和L2TP(層2隧道協(xié)議)、PPTP(點(diǎn)到點(diǎn)隧道協(xié)議)等技術(shù)一起使用,常稱其為IPSec VPN。
      在基于IPSec的VPN實(shí)現(xiàn)中,IPSec Router必須在完成路由轉(zhuǎn)發(fā)、地址轉(zhuǎn)換的同時(shí),處理IPSec加密,解密及驗(yàn)證工作。而IPSec Router在網(wǎng)絡(luò)中往往處于接入和匯聚層,需要同時(shí)支持大量用戶,因此轉(zhuǎn)發(fā)任務(wù)極為繁重,往往會(huì)處于瓶頸地位。
      與此同時(shí),IPSec加密、解密及驗(yàn)證算法又極為耗時(shí),因此系統(tǒng)負(fù)擔(dān)遠(yuǎn)遠(yuǎn)大于普通IP轉(zhuǎn)發(fā)。
      目前主要的IPSec Router實(shí)現(xiàn)方法,都存在以下問(wèn)題1.基于CPU軟件轉(zhuǎn)發(fā)的IPSec Router運(yùn)行效率低、處理能力低。
      2.基于硬件ASIC加速或網(wǎng)絡(luò)處理器實(shí)現(xiàn)IPSec轉(zhuǎn)發(fā)的IPSec Router處理能力有一定提升,但受到硬件性能限制,仍然存在實(shí)現(xiàn)復(fù)雜、可擴(kuò)展性差,以及設(shè)備不能實(shí)現(xiàn)隨IPSec用戶流量增長(zhǎng)同步升級(jí)。

      發(fā)明內(nèi)容
      本發(fā)明的目的是提供一種分部式IPSec處理的方法。
      為實(shí)現(xiàn)上述目的,一種分布式IPSec處理的方法,包括步驟(1)多個(gè)母卡根據(jù)IP報(bào)文內(nèi)容生成Flow ID,并根據(jù)Flow ID進(jìn)行負(fù)荷分擔(dān)運(yùn)算,將IPSec轉(zhuǎn)發(fā)任務(wù)分擔(dān)至多個(gè)協(xié)處理子卡;(2)協(xié)處理子卡接收母卡轉(zhuǎn)發(fā)的待加密IP原始報(bào)文和待解密IPSec報(bào)文,進(jìn)行IPSec處理后轉(zhuǎn)發(fā)至母卡;(3)母卡和協(xié)處理子卡之間通過(guò)板間通訊交互信息。
      本發(fā)明將IPSec協(xié)議移植至由M個(gè)母卡和N個(gè)協(xié)處理子卡組成的M×N分布式計(jì)算結(jié)構(gòu)中,通過(guò)母卡及協(xié)處理子卡的分布式計(jì)算實(shí)現(xiàn)高性能IPSec轉(zhuǎn)發(fā)。高效實(shí)現(xiàn)IPSec高速轉(zhuǎn)發(fā),實(shí)現(xiàn)高度冗余、可靠性高,支持系統(tǒng)容量平滑升級(jí),可擴(kuò)展性好,物理邏輯簡(jiǎn)單,實(shí)現(xiàn)方便。


      圖1是IPSec協(xié)議組成;圖2是IPSec VPN;圖3是IPSec M×N分布式轉(zhuǎn)發(fā)結(jié)構(gòu);圖4是IPSec OutBound報(bào)文處理流程;圖5是IPSec InBound報(bào)文處理流程。
      具體實(shí)施例方式
      本發(fā)明將IPSec協(xié)議實(shí)現(xiàn)移植至由M個(gè)母卡和N個(gè)協(xié)處理子卡組成的M×N分布式計(jì)算結(jié)構(gòu)中,母卡及協(xié)處理子卡通過(guò)分布式計(jì)算共同完成IPSec轉(zhuǎn)發(fā),設(shè)計(jì)方法如下1.母卡和協(xié)處理子卡共同完成IPSec轉(zhuǎn)發(fā)任務(wù)。
      2.母卡中IPSec報(bào)文處理流程為接收IPSec協(xié)議棧Inbound、Outbound兩個(gè)方向的報(bào)文流;分析報(bào)文頭,查找SPD策略數(shù)據(jù)庫(kù),為報(bào)文進(jìn)行流分類,并分配唯一流標(biāo)簽;根據(jù)流標(biāo)簽,進(jìn)行負(fù)荷分擔(dān)計(jì)算,將報(bào)文流分擔(dān)到各自協(xié)處理子卡;協(xié)處理子卡處理完畢報(bào)文將由母卡匯總后輸出。
      3.協(xié)處理子卡IPSec報(bào)文處理流程為接收IPSec報(bào)文,查找SADB安全聯(lián)盟數(shù)據(jù)庫(kù),進(jìn)行報(bào)文加解密計(jì)算,處理完畢后轉(zhuǎn)發(fā)給母卡。
      4.母卡至少需要實(shí)現(xiàn)IPSec協(xié)議棧(全部),SPD數(shù)據(jù)庫(kù),SADB數(shù)據(jù)庫(kù),網(wǎng)絡(luò)管理,IKE,板間通訊及其他上層應(yīng)用。
      5.子卡至少需要實(shí)現(xiàn)IPSec高速轉(zhuǎn)發(fā),SPD數(shù)據(jù)庫(kù)(本卡相關(guān)部分),SADB數(shù)據(jù)庫(kù)(本卡相關(guān)部分),IKE(可選),板間通訊及其他。
      6.板間通訊特指母卡、子卡間傳遞信息的通道。主要用于SPD數(shù)據(jù)庫(kù),SADB數(shù)據(jù)庫(kù)信息和管理信息傳遞。
      7.所有子卡配置完全相同,彼此透明,不需要知道其他子卡存在。通過(guò)子卡增減實(shí)現(xiàn)轉(zhuǎn)發(fā)能力的平滑升級(jí)。
      圖3描述分布式IPSec轉(zhuǎn)發(fā)結(jié)構(gòu)系統(tǒng)可以由M個(gè)母卡和N個(gè)協(xié)處理子卡組成M×N分布式轉(zhuǎn)發(fā)結(jié)構(gòu)。
      301 Outbound方向主機(jī)向IPSec gateway發(fā)送待加密IP原始報(bào)文。接收Inbound方向已解密IP原始報(bào)文。
      302母卡接收Outbound方向主機(jī)發(fā)送待加密IP原始報(bào)文,經(jīng)過(guò)SPD查找(強(qiáng)制實(shí)現(xiàn))和IKE協(xié)商(可選實(shí)現(xiàn))后,獲取該報(bào)文對(duì)應(yīng)的信息,生成Flow ID;接收Inbound方向Internet發(fā)送待解密IPSec報(bào)文,經(jīng)過(guò)報(bào)文頭分析,生成Flow ID;根據(jù)Flow ID母卡進(jìn)行負(fù)荷分擔(dān)計(jì)算,將報(bào)文轉(zhuǎn)發(fā)至某協(xié)處理子卡進(jìn)行IPSec處理。母卡同時(shí)收集Inbound方向各個(gè)協(xié)處理子卡解密完畢的IP原始報(bào)文,發(fā)送給相應(yīng)主機(jī);收集Outbound方向各個(gè)協(xié)處理子卡加密完畢IPSec報(bào)文,發(fā)送給Internet。負(fù)荷分擔(dān)算法必須滿足SPD項(xiàng)或者SA項(xiàng)對(duì)應(yīng)的數(shù)據(jù)流固定分擔(dān)至單塊子卡,如此各個(gè)子卡之間保持透明,不需要通過(guò)板間通訊交換信息。
      303協(xié)處理子卡接收母卡轉(zhuǎn)發(fā)的待加密IP原始報(bào)文和待解密IPSec報(bào)文,進(jìn)行IPSec處理,處理后轉(zhuǎn)發(fā)至母卡。
      304協(xié)理子卡和母卡之間通過(guò)板間通訊交互信息,比如SPD數(shù)據(jù)、SADB數(shù)據(jù)、統(tǒng)計(jì)信息和其他配置信息的交互。SPD數(shù)據(jù)信息需要由母卡下發(fā)至所有協(xié)處理子卡,IKE協(xié)商生成SA以及手工配置SA需要存儲(chǔ)在母卡和轉(zhuǎn)發(fā)相關(guān)協(xié)處理子卡中。協(xié)處理子卡中SPD數(shù)據(jù)庫(kù)必須以母卡SPD數(shù)據(jù)庫(kù)為準(zhǔn),及時(shí)更新。協(xié)處理子卡中SADB數(shù)據(jù)庫(kù)必須以母卡SADB數(shù)據(jù)庫(kù)為準(zhǔn),及時(shí)更新;但可以只保留本協(xié)處理子卡IPSec轉(zhuǎn)發(fā)需要部分。協(xié)處理子卡中IKE協(xié)商后,新生成的SA,必須及時(shí)上報(bào),刷新母卡SADB數(shù)據(jù)庫(kù)。
      圖4描述IPSec OutBound報(bào)文處理流程401主機(jī)301向母卡302發(fā)送的原始IP報(bào)文。
      402分析報(bào)文頭,查找母卡SPD數(shù)據(jù)庫(kù),決定轉(zhuǎn)發(fā)策略。
      403SPD查找結(jié)果為丟棄,丟棄該報(bào)文。
      404根據(jù)SPD查找結(jié)果,繼續(xù)查找SADB,存在有效SA項(xiàng)則繼續(xù),否則啟動(dòng)IKE。IKE功能即可以由協(xié)處理子卡或母卡實(shí)現(xiàn),因此為可選實(shí)現(xiàn)。
      405啟動(dòng)IKE協(xié)商,生成SA。該項(xiàng)功能也可以由協(xié)處理子卡完成,因此為可選實(shí)現(xiàn)。
      406獲取SA參數(shù)。為可選實(shí)現(xiàn)。
      407根據(jù)SPD查找和SADB查找結(jié)果,生成Flow ID。
      408根據(jù)Flow ID進(jìn)行負(fù)荷分擔(dān)計(jì)算,將指定報(bào)文流分擔(dān)至特定協(xié)處理子卡。
      409分擔(dān)后的報(bào)文,轉(zhuǎn)發(fā)至協(xié)處理子卡。
      410協(xié)處理子卡接收?qǐng)?bào)文。
      411重新查找SPD數(shù)據(jù)庫(kù),查找轉(zhuǎn)發(fā)策略。
      412根據(jù)SPD查找結(jié)果,繼續(xù)查找SADB,存在有效SA項(xiàng)則繼續(xù),否則啟動(dòng)IKE。IKE功能即可以由協(xié)處理子卡或母卡實(shí)現(xiàn),因此為可選實(shí)現(xiàn)。如母卡已經(jīng)實(shí)現(xiàn)IKE,一定存在有效SA項(xiàng),因此不會(huì)出發(fā)IKE過(guò)程。
      413啟動(dòng)IKE協(xié)商,生成SA。
      414獲取SA參數(shù)。
      415正常的IPSec轉(zhuǎn)發(fā)處理。
      416如果支持NAT穿越,此處進(jìn)行NAT報(bào)文頭處理。
      417報(bào)文分段處理。
      418將處理完畢報(bào)文,重新匯聚到母卡。
      419母卡將報(bào)文轉(zhuǎn)發(fā)至Internet。
      圖5描述IPSec InBound報(bào)文處理流程501母卡從Internet接收IPSec報(bào)文。
      502如果需要,進(jìn)行IP報(bào)文重組。
      503如果需要,進(jìn)行NAT穿越處理,剝?nèi)AT穿越封裝的報(bào)文頭。
      504分析報(bào)文頭,解析出SPI等信息。
      505生成Flow ID506根據(jù)Flow ID進(jìn)行負(fù)荷分擔(dān)計(jì)算,將指定報(bào)文流分擔(dān)至特定協(xié)處理子卡。
      507分擔(dān)后的報(bào)文,轉(zhuǎn)發(fā)至協(xié)處理子卡。
      508協(xié)處理子卡接收?qǐng)?bào)文。
      509分析報(bào)文頭,解析出SPI等信息。
      510根據(jù)SPI等信息,查找SADB數(shù)據(jù)庫(kù),成功則繼續(xù)。
      511查找SADB失敗,丟棄該報(bào)文。
      512讀取SADB中對(duì)應(yīng)SA信息。
      513根據(jù)SA進(jìn)行IPSec處理。
      514IPSec處理發(fā)生錯(cuò)誤,丟棄該報(bào)文。
      515查找SPD數(shù)據(jù)庫(kù),驗(yàn)證SPD策略和SA是否相符。
      516策略不相符,丟棄該報(bào)文。
      517是否存在嵌套的下一層IPSec報(bào)文頭,有則返回508進(jìn)一步處理。
      518將處理完畢報(bào)文,重新匯聚到母卡。
      519母卡將報(bào)文轉(zhuǎn)發(fā)至主機(jī)。
      權(quán)利要求
      1.一種分布式IPSec處理的方法,包括步驟(1)多個(gè)母卡根據(jù)IP報(bào)文內(nèi)容生成Flow ID,并根據(jù)Flow ID進(jìn)行負(fù)荷分擔(dān)運(yùn)算,將IPSec轉(zhuǎn)發(fā)任務(wù)分擔(dān)至多個(gè)協(xié)處理子卡;(2)協(xié)處理子卡接收母卡轉(zhuǎn)發(fā)的待加密IP原始報(bào)文和待解密IPSec報(bào)文,進(jìn)行IPSec處理后轉(zhuǎn)發(fā)至母卡;(3)母卡和協(xié)處理子卡之間通過(guò)板間通訊交互信息。
      2.根據(jù)權(quán)利要求1所述的方法,其特征在于所述交互信息包括SPD數(shù)據(jù)、SADB數(shù)據(jù)、統(tǒng)計(jì)信息及其它配置信息。
      3.根據(jù)權(quán)利要求1所述的方法,其特征在于所述多個(gè)子卡之間保持透明。
      4.根據(jù)權(quán)利要求2所述的方法,其特征在于用于IPSec OutBound報(bào)文處理,所述生成Flow ID包括步驟進(jìn)行報(bào)文重組;分析報(bào)文頭,查找母卡SPD數(shù)據(jù)庫(kù),決定轉(zhuǎn)發(fā)策略;根據(jù)SPD查找結(jié)果,繼續(xù)查找SADB;啟動(dòng)IKE協(xié)商,生成SA;根據(jù)SPD查找和SADB查找結(jié)果,生成Flow ID。
      5.根據(jù)權(quán)利要求2所述的方法,其特征在于用于IPSec OutBound報(bào)文處理,所述協(xié)處理子卡的處理包括步驟重新查找SPD數(shù)據(jù)庫(kù),查找轉(zhuǎn)發(fā)策略;根據(jù)SPD查找結(jié)果,繼續(xù)查找SADB;啟動(dòng)IKE協(xié)商,生成SA參數(shù);進(jìn)行正常的IPSec轉(zhuǎn)發(fā)處理;將處理完畢報(bào)文重新匯聚到母卡。
      6.根據(jù)權(quán)利要求4或5所述的方法,其特征在于所述步驟啟動(dòng)IKE協(xié)商,生成SA可由母卡或協(xié)處理子卡實(shí)現(xiàn)。
      7.根據(jù)權(quán)利要求2所述的方法,其特征在于用于IPSec InBound報(bào)文處理,所述生成Flow ID包括步驟進(jìn)行IP報(bào)文重組;分析報(bào)文頭,解析出SPI燈信息;生成Flow ID。
      8.根據(jù)權(quán)利要求2所述的方法,其特征在于用于IPSec InBound報(bào)文處理,所述協(xié)處理子卡的處理包括步驟分析報(bào)文頭,解析出SPI等信息;根據(jù)SPI等信息,查找SADB數(shù)據(jù)庫(kù),讀取SADB中對(duì)應(yīng)的SA信息;根據(jù)SA進(jìn)行IPSec處理;查找SPD數(shù)據(jù)庫(kù),驗(yàn)證SPD策略和SA是否相符;將處理完畢報(bào)文重新匯聚到母卡。
      9.根據(jù)權(quán)利要求1所述的方法,其特征在于所選擇的負(fù)荷分擔(dān)算法滿足SPD項(xiàng)或SA項(xiàng)對(duì)應(yīng)的數(shù)據(jù)流固定分擔(dān)至單塊子卡。
      10.根據(jù)權(quán)利要求1所述的方法,其特征在于協(xié)處理子卡中SPD數(shù)據(jù)庫(kù)必須以母卡SPD數(shù)據(jù)庫(kù)為準(zhǔn),及時(shí)更新。
      11.根據(jù)權(quán)利要求10所述的方法,其特征在于可以只保留協(xié)處理子卡IPSec轉(zhuǎn)發(fā)需要部分。
      12.根據(jù)權(quán)利要求5所述的方法,其特征在于所述協(xié)處理子卡中IKE協(xié)商后,新生成的SA必須及時(shí)上報(bào),刷新母卡SADB數(shù)據(jù)庫(kù)。
      全文摘要
      一種分布式IPSec處理的方法,包括步驟多個(gè)母卡根據(jù)IP報(bào)文內(nèi)容生成Flow ID,并根據(jù)Flow ID進(jìn)行負(fù)荷分擔(dān)運(yùn)算,將IPSec轉(zhuǎn)發(fā)任務(wù)分擔(dān)至多個(gè)協(xié)處理子卡;協(xié)處理子卡接收母卡轉(zhuǎn)發(fā)的待加密IP原始報(bào)文和待解密IPSec報(bào)文,進(jìn)行IPSec處理后轉(zhuǎn)發(fā)至母卡;母卡和協(xié)處理子卡之間通過(guò)板間通訊交互信息。本發(fā)明將IPSec協(xié)議移植至由M個(gè)母卡和N個(gè)協(xié)處理子卡組成的M×N分布式計(jì)算結(jié)構(gòu)中,通過(guò)母卡及協(xié)處理子卡的分布式計(jì)算實(shí)現(xiàn)高性能IPSec轉(zhuǎn)發(fā)。高效實(shí)現(xiàn)IPSec高速轉(zhuǎn)發(fā),實(shí)現(xiàn)高度冗余、可靠性高,支持系統(tǒng)容量平滑升級(jí),可擴(kuò)展性好,物理邏輯簡(jiǎn)單,實(shí)現(xiàn)方便。
      文檔編號(hào)H04L12/56GK1984131SQ20051012647
      公開(kāi)日2007年6月20日 申請(qǐng)日期2005年12月14日 優(yōu)先權(quán)日2005年12月14日
      發(fā)明者賈紅升, 譚敏強(qiáng), 張育斌 申請(qǐng)人:北京三星通信技術(shù)研究有限公司, 三星電子株式會(huì)社
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1