專利名稱:一種建立隧道的方法�、系統(tǒng)和設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域,特別涉及一種建立隧道的方法����、系統(tǒng)和設備。
背景技術:
IPSec ( Security Architecture for IP network, IP層十辦i義安全結構)十辦i義作為 目前主流的安全協(xié)議��,提供了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構��, 包4舌AH( Authentication Header, ^人i正十辦i義頭)十辦i義、ESP( Encapsulating Security Payload,封裝安全載荷)協(xié)議�、IKE (Internet Key Exchange,因特網(wǎng)密鑰交 換)協(xié)議和用于網(wǎng)絡認證及加密的一些算法等,應用十分廣泛�。大部分商用 VPN (Virtual Private Network,虛擬專用網(wǎng)絡)網(wǎng)關都提供了對IPSec協(xié)議的 支持。
IKE協(xié)議具有一套自保護機制�����,可以在不安全的網(wǎng)絡上安全地分發(fā)密鑰���、 驗證身份��、建立IPSec安全聯(lián)盟���。IKE為IPSec提供了自動協(xié)商交換密鑰、建立 安全聯(lián)盟的服務�,以筒化IPSec的使用和管理。
IKE使用了兩個階段為IPSec進行密鑰協(xié)商并建立安全聯(lián)盟第一階段�����, 通信各方彼此間建立了 一個已通過身份驗證和安全保護的通道����,此階段的交 換建立了一個ISAKMP安全聯(lián)盟�����,即ISAKMP SA (也可稱IKE SA);第二階 段�,用在第一階段建立的安全通道為IPSec協(xié)商安全服務����,即為IPSec協(xié)商具體 的安全聯(lián)盟,建立IPSecSA, IPSec SA用于最終的IP數(shù)據(jù)安全傳送��。
在實現(xiàn)本發(fā)明的過程中�����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術至少存在以下問題
目前主流的IPSec網(wǎng)關架構如單CPU( Central Processing Unit,中央處理器) 集中式架構��,IKE協(xié)商和IPSec加解密都在單個CPU上完成�����,由于全部使用軟 件來實現(xiàn)���,所以這種架構的性能和可擴展性都很低,只適合于低端的設備��。 目前的高端設備大多采用分布式架構,對于IPSec VPN網(wǎng)關��, 一般是將IPSec 業(yè)務分布到各個接口板上處理����,而協(xié)商仍然上送到主控板處理。這種架構的IPSec處理性能和可擴展性都很好���,接口板越多IPSec處理性能越強��。但是ixfe 協(xié)商的性能并不能隨著接口板的增多而增多���,由于協(xié)商在主控板完成,所以 整機的IKE協(xié)商性能就受限于主控板���。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種建立隧道的方法���、系統(tǒng)和設備,以實現(xiàn)在分布式 架構中對IKE協(xié)商性能的擴展�,提高系統(tǒng)對IPsec業(yè)務和IKE協(xié)商的處理能 力。
本發(fā)明實施例一方面提供一種建立隧道的方法��,包括以下步驟
接收需要加密的報文,所述需要加密的報文為根據(jù)分配規(guī)則發(fā)送到指定 的中央處理器CPU中的^t艮文�����;
當所述指定的CPU檢測到所述需要加密的報文所在隧道沒有建立時�����,向 接口板發(fā)送因特網(wǎng)密鑰交換IKE報文���,觸發(fā)隧道協(xié)商�;
接收所述接口板根據(jù)所述分配規(guī)則上送的IKE報文�,建立所述需要加密 的報文所在隧道。
本發(fā)明實施例另一方面提供一種建立隧道的設備��,包括
加密報文接收單元�,用于接收需要加密的報文,所述需要加密的報文為 根據(jù)分配規(guī)則發(fā)送到指定的中央處理器CPU中的報文���;
第一發(fā)送單元���,用于當所述指定的CPU檢測到所述需要加密的報文所在 隧道沒有建立時���,向接口板發(fā)送IKE報文�,觸發(fā)隧道協(xié)商;
建立單元��,用于接收所述接口板根據(jù)所述分配規(guī)則上送的IKE報文����,建 立所述需要加密的報文所在隧道。
本發(fā)明實施例還提供一種建立隧道的系統(tǒng)����,包括接口板和隧道建立設
備,
所述接口板�����,用于向所述隧道建立設備根據(jù)分配規(guī)則發(fā)送報文����;接收所 述隧道建立設備發(fā)送的IKE報文,對所述IKE報文的源����、目的地址進行哈希 值計算,獲得進行隧道協(xié)商的CPU號碼��;向所述隧道建立設備上送IKE報文;
所述隧道建立設備����,用于接收所述接口板根據(jù)所述分配規(guī)則發(fā)送的所述報文;將需要加密的報文根據(jù)所述分配規(guī)則發(fā)送到指定的CPU中�����;當所述指 定的CPU檢測到所述需要加密的報文所在隧道沒有建立時�����,向所述接口板發(fā) 送IKE報文�,觸發(fā)隧道協(xié)商;接收所述接口板根據(jù)所述分配規(guī)則上送的IKE 報文�����,建立所述需要加密的報文所在隧道��。
與現(xiàn)有技術相比���,本發(fā)明實施例具有以下優(yōu)點IPSec業(yè)務全部實現(xiàn)在業(yè) 務板上��,每塊業(yè)務板都具有處理IPSec業(yè)務和進行IKE協(xié)商的能力�,根據(jù)分 配規(guī)則,可以在不同業(yè)務板上實現(xiàn)IKE協(xié)商均衡����,^使用的業(yè)務板越多��,IPSec 業(yè)務和IKE協(xié)商的處理能力越強����,對于大容量VPN網(wǎng)關的實現(xiàn)具有重要的參 考價值。
為了更清楚地說明本發(fā)明實施例的技術方案���,下面將對實施例描述中所 需要使用的附圖作簡單地介紹��,顯而易見地���,下面描述中的附圖僅僅是本發(fā) 明的一些實施例,對于本領域普通技術人員來講����,在不付出創(chuàng)造性勞動的前 提下,還可以4艮據(jù)這些附圖獲得其他的附圖��。
圖1是本發(fā)明實施例提供的建立隧道方法的流程圖����; 圖2是分布式架構中實現(xiàn)IKE協(xié)商的簡要流程圖����; 圖3是本發(fā)明實施例提供的IKE協(xié)商方法的流程圖���; 圖4是本發(fā)明實施例提供的建立隧道的設備結構示意圖�����; 圖5是本發(fā)明實施例提供的建立隧道的系統(tǒng)結構示意圖����。
具體實施例方式
下面將結合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術方案進行 清楚�、完整地描述���,顯然�,所描述的實施例僅僅是本發(fā)明的一部分實施例���, 而不是全部的實施例���?�;诒景l(fā)明中的實施例����,本領域普通技術人員在沒有 做出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護的范圍�����。
本發(fā)明實施例提供一種實現(xiàn)IKE協(xié)商的方法��,包括
步驟S101�、接收需要加密的報文,所述需要加密的報文為根據(jù)分配規(guī)則發(fā)送到指定的中央處理器CPU中的報文��。
其中����,分配規(guī)則具體為根據(jù)從接口板獲取的CPU號將報文發(fā)送到與所
述CPU號對應的CPU中,所述CPU號由所述接口板通過對所述"t艮文的源����、
目的地址哈希計算得到����。
接口板對要發(fā)送報文的源�、目的地址進行哈希計算,獲得該報文的哈希
值�����,然后根據(jù)該哈希值向業(yè)務板發(fā)送該報文���。業(yè)務板接收l艮文后�,查找與該
報文匹配的安全策略�����,獲取其中需要加密的報文��;業(yè)務板獲取需要加密報文
的哈希值所對應的CPU號碼����,然后根據(jù)安全策略將該需要加密的報文發(fā)送到
與所述CPU號碼對應的該指定的CPU中。
其中,安全策略用以維護隧道協(xié)商動態(tài)生成的數(shù)據(jù)流����,檢測業(yè)務板接收
的報文是否需要加密。
另外���,在該步驟之后還可以包括以下步驟
上述指定的CPU檢測需要加密的報文所在隧道是否建立��;
當所述需要加密的報文所在隧道已經(jīng)建立時�,不進行隧道協(xié)商�����。
步驟S102��、當所述指定的CPU檢測到所述報文所在隧道沒有建立時�����,向
接口板發(fā)送IKE報文�,觸發(fā)隧道協(xié)商���。
步驟S103�、接收所述接口板根據(jù)所述分配規(guī)則上送的IKE報文��,建立所
述隧道。
其中�,接口板根據(jù)所述分配規(guī)則上送IKE報文可以包括以下步驟所述 接口板對接收的所述IKE報文的源、目的地址進行哈希值計算�����,獲得進行隧 道協(xié)商的CPU號�����;根據(jù)所述隧道協(xié)商的CPU號上送IKE報文�。
在本發(fā)明實施例提供的建立隧道的方法中,當業(yè)務板接收的報文為IKE 協(xié)商包時���,可以直接向接口板發(fā)送IKE報文進行隧道協(xié)商����;接口板接收該IKE 報文后根據(jù)其源�、目的地址進行哈希計算,得到能進行隧道協(xié)商的CPU號碼����, 業(yè)務板接收接口板上送的IKE報文,建立隧道。
需要說明的是�,上述CPU分布于網(wǎng)關的一個或多個業(yè)務板上,所述CPU 的數(shù)量和所述業(yè)務板的數(shù)量根據(jù)所述網(wǎng)關處理業(yè)務的需求而定�。
通過采用本發(fā)明實施例,可以在業(yè)務板上實現(xiàn)處理IPsec業(yè)務和進行IKE協(xié)商�����,采用本發(fā)明實施例提供的分配規(guī)則�����,可以在不同業(yè)務板上實現(xiàn)IKE協(xié) 商均衡����,從而提高系統(tǒng)IPsec業(yè)務和IKE協(xié)商的處理能力��。
采用本發(fā)明實施例4是供的建立隧道的方法���,可以在分布式架構下����,在業(yè) 務板上實現(xiàn)IKE協(xié)商�,從而實現(xiàn)在隧道協(xié)商的時候,將傳輸報文的隧道分散 在各個CPU上,提高了整機容量和性能�。如圖2為在分布式架構下的簡要處 理流程圖。為了清楚說明本發(fā)明實施例的具體實施方式
����,假設在現(xiàn)有的分布 式架構中安裝三塊業(yè)務板,另外還有一塊主控板��、兩塊接口板��。每塊業(yè)務板 上有兩個處理器CPU,如業(yè)務板上所示的A�、 B。但是需要說明的是��,每塊業(yè) 務板上不是僅有兩個CPU,可以根據(jù)需要在業(yè)務板上增加CPU的數(shù)量�。在圖 2中共有三條數(shù)據(jù)流,其中1號流用于傳輸IP報文����,2號流用于發(fā)送IKE報 文,3號流用于發(fā)送接口板二根據(jù)計算得到的用于進行隧道協(xié)商的IKE報文���。 具體實現(xiàn)IKE協(xié)商����,建立隧道的方法流程圖如圖3所示,包括
步驟S201���、將接收的報文發(fā)送到業(yè)務板�����。
當接口板一收到一個IP包時��,通過對IP報文的源����、目的地址計算哈希值 后����,得到接收該報文的CPU所對應的CPU號碼,然后將該IP報文通過1號 數(shù)據(jù)流發(fā)送到與上述CPU號匹配的CPU上��,在圖2中為業(yè)務板二上的B-CPU����。
步驟S202���、檢測IP報文是否需要加密���。如果該IP報文不需要加密���,則 執(zhí)行步驟S203;如果該IP報文需要加密,則執(zhí)行步驟S204����。
步驟S203、不進行IKE協(xié)商�。
步驟S204、將需要加密的IP報文發(fā)送到指定的CPU中����。 業(yè)務板接收到IP報文后,會查找與該報文匹配的安全策略��,獲取其中需 要加密的報文����;然后,業(yè)務板獲取該需要加密報文所對應的CPU號碼����,該CPU 號碼在步驟S208中產(chǎn)生,根據(jù)匹配的安全策略將該需要加密的報文發(fā)送到與 所述CPU號碼對應的CPU中���,該CPU即是傳輸該需要加密報文的隧道所在 的CPU����。在圖2中示例為業(yè)務板二上的B-CPU通過安全策略匹配,選中了業(yè) 務板一中的A-CPU��,然后將此需要加密的IP報文通過1號數(shù)據(jù)流發(fā)送到 A陽CPU中�。步驟S205、檢測需要加密的報文所在隧道是否建立�����。當該需要加密的IP 報文所在隧道已經(jīng)建立時�����,執(zhí)行步驟S206;當該IP 4艮文所在隧道還未建立時���, 執(zhí)行步驟S207����。
步驟S206��、不進行IKE協(xié)商�����。當該需要加密的IP報文所在隧道已經(jīng)建立 時��,即通過該隧道傳輸上述報文����。 步驟S207、進行隧道協(xié)商��。
當業(yè)務板中的CPU收到一個IP報文后���,先在安全策略單元對此報文進行 安全策略匹配�����,當發(fā)現(xiàn)此報文所在的遂道并沒有建立時�,就會通過2號流發(fā) 送IKE報文進行遂道協(xié)商��。當收到IKE協(xié)商包后�,后續(xù)的響應協(xié)商也會產(chǎn)生 2號流。
步驟S208����、接收上送的IKE報文�����,建立隧道�����。
當接口板二收到目的地址為本機的IKE l艮文時��,^妻口^反二將通過源IP���、 目的IP進行"^合希計算,得到進行IKE協(xié)商的CPU號���,該CPU號所對應的CPU 即為步驟S204中所指定的CPU,用于IP報文入隧道時選4奪對應的CPU進行 加密處理(在圖2中選擇的CPU即為業(yè)務板一中的A-CPU)�����。接口板根據(jù)計 算得到的CPU號將IKE報文上送到A-CPU中�,隧道建立��。
需要說明的是���,同一條遂道的1號流與3號流將會發(fā)送報文到同一個 CPU,這樣才能建立起傳輸需要加密報文的隧道��。只有當處于isakmp方式協(xié) 商時才會存在主動發(fā)起協(xié)商����。而此方式需要配置遂道���,在配置時就可以得到 遂道的源IP與目的IP�,在主控板將可以將此兩個IP的哈希值計算出來將下 發(fā)到所有業(yè)務板中(下發(fā)到所有業(yè)務板的目的是讓1號流能順利找到指定 CPU),這樣可以使得1號流與3號流所選擇的CPU相同�����。另外�����,業(yè)務板和 CPU的數(shù)量并不僅僅限于圖中的幾個����,業(yè)務板和CPU的數(shù)量可以根據(jù)網(wǎng)關處 理數(shù)據(jù)業(yè)務的需要^L情況而定。
通過本發(fā)明實施例�,IPsec業(yè)務可以全部實現(xiàn)在業(yè)務板上,業(yè)務板都具有 處理IPsec業(yè)務和進行IKE協(xié)商的能力�,業(yè)務板上的CPU經(jīng)過IKE協(xié)商建立 發(fā)送加密報文的隧道;由于采用上述分配規(guī)則,根據(jù)不同的IKE報文而計算 得到的哈希值不同����,可以實現(xiàn)IKE協(xié)商在不同業(yè)務板上的均衡。由此可見���,使用的業(yè)務板越多�,越能增強該分布式架構進行IPsec業(yè)務和IKE協(xié)商的處理 能力��。
本發(fā)明實施例還提供一種建立隧道的設備�����,如圖4所示�����,包括
加密報文接收單元10����,用于接收需要加密的報文,所述需要加密的報文 為根據(jù)分配規(guī)則發(fā)送到指定的中央處理器CPU中的報文�����;
第一發(fā)送單元20,用于當所述指定的CPU才企測到所述"fe文所在隧道沒有 建立時,向接口板發(fā)送IKE報文����,觸發(fā)隧道協(xié)商;
建立單元30,用于接收所述接口板根據(jù)所述分配規(guī)則上送的IKE報文���, 建立所述隧道���。
分配規(guī)則具體為根據(jù)從接口板獲取的CPU號將報文發(fā)送到與所述CPU 號對應的CPU中��,所述CPU號由所述接口板通過對所述報文的源��、目的地址 哈希計算得到����。
該設備還可以包括報文接收單元40,用于接收接口板根據(jù)所述分配規(guī) 則發(fā)送的報文���。另外����,該報文接收單元40還用于接收IKE協(xié)商包�����。
另外,該建立隧道的設備中還可以包括安全策略單元50,用于配置所 述安全策略��,維護隧道協(xié)商動態(tài)生成的數(shù)據(jù)流�,檢測報文接收單元40接收的 報文是否需要加密。
該建立隧道的i殳備還可以包括
查找單元60,用于在安全策略單元50查找與所述l艮文匹配的安全策略���,
獲取所述需要加密的報文�����;
獲取單元70,用于獲取接收所述需要加密報文的CPU號碼�; 第二發(fā)送單元80�����,用于將查找單元60獲取的所述需要加密的報文����,根據(jù)
所述安全策略發(fā)送到與獲取單元70所獲取的所述CPU號碼對應的所述指定
的CPU中。
在本發(fā)明實施例中����,該建立隧道的設備為網(wǎng)關上的一個或多個業(yè)務板��, CPU分布于每塊業(yè)務板上����,其中�,CPU的數(shù)量和業(yè)務板的數(shù)量根據(jù)網(wǎng)關處理 業(yè)務的需求而定。
通過本發(fā)明實施例提供的建立隧道的設備�����,可以實現(xiàn)在業(yè)務板處理IPsec業(yè)務和進行IKE協(xié)商���,采用本發(fā)明實施例提供的分配規(guī)則可以在不同業(yè)務板 上實現(xiàn)IKE協(xié)商均衡,從而提高系統(tǒng)IPsec業(yè)務和IKE協(xié)商的處理能力�����。
本發(fā)明實施例還提供一種建立隧道的系統(tǒng)�,如圖5所示,包括隧道建 立設備510和接口板520����,
其中,隧道建立設備510用于接收接口板520根據(jù)分配規(guī)則發(fā)送的報文��; 將需要加密的報文根據(jù)所述分配規(guī)則發(fā)送到指定的CPU中;當所述指定的 CPU檢測到所述報文所在隧道沒有建立時����,向接口板520發(fā)送IKE報文,觸 發(fā)隧道協(xié)商�����;接收接口板520根據(jù)所述分配規(guī)則上送的IKE報文����,建立所述 隧道。
接口板520,用于向隧道建立設備510根據(jù)所述分配規(guī)則發(fā)送所述報文��; 接收隧道建立設備510發(fā)送的所述IKE報文��,對所述IKE報文的源�����、目的地 址進行哈希值計算�,獲得所述進行隧道協(xié)商的CPU號碼;向隧道建立設備510 上送IKE報文����。
其中�����,分配規(guī)則具體為根據(jù)從接口板獲取的CPU號將報文發(fā)送到與所 述CPU號對應的CPU中�����,所述CPU號由所述接口板通過對所述凈艮文的源�����、 目的地址哈希計算得到��。上述CPU位于隧道建立設備510中��,用于接收所述 需要加密的報文����,檢測所述需要加密的報文所在隧道是否建立���。實際上,該 隧道建立設備510為網(wǎng)關上的一個或多個業(yè)務板����,CPU分布于每塊業(yè)務板上�����, CPU的數(shù)量和業(yè)務板的數(shù)量根據(jù)網(wǎng)關處理業(yè)務的需求而定�����。
通過本發(fā)明實施例提供的建立隧道的系統(tǒng)�����,可以在業(yè)務板上實現(xiàn)處理 IPsec業(yè)務和進行IKE協(xié)商��,采用上述分配規(guī)則可以在不同業(yè)務板上實現(xiàn)IKE 協(xié)商均衡���,從而提高系統(tǒng)IPsec業(yè)務和IKE協(xié)商的處理能力。
本領域技術人員可以理解附圖只是一個優(yōu)選實施例的示意圖�,附圖中的 模塊或流程并不一定是實施本發(fā)明所必須的。
本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述 進行分布于實施例的裝置中�,也可以進行相應變化位于不同于本實施例的一 個或多個裝置中。上述實施例的模塊可以合并為一個模塊�,也可以進一步拆 分成多個子模塊。上述本發(fā)明實施例序號僅僅為了描述�,不代表實施例的優(yōu)劣。
通過以上的實施方式的描述��,本領域的技術人員可以清楚地了解到本發(fā) 明,可以通過硬件實現(xiàn)�,也可以借助軟件加必要的通用硬件平臺的方式來實 現(xiàn)?���;谶@樣的理解,本發(fā)明的技術方案可以以軟件產(chǎn)品的形式體現(xiàn)出來�,
該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM, U盤,移 動硬盤等)中�,包括若干指令用以使得一臺計算機設備(可以是個人計算機, 服務器��,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法��。
總之�����,以上所述僅為本發(fā)明的較佳實施例而已���,并非用于限定本發(fā)明的 保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改���、等同替換����、改進 等,均應包含在本發(fā)明的保護范圍之內(nèi)��。
權利要求
1��、一種建立隧道的方法�,其特征在于,包括接收需要加密的報文��,所述需要加密的報文為根據(jù)分配規(guī)則發(fā)送到指定的中央處理器CPU中的報文�����;當所述指定的CPU檢測到所述需要加密的報文所在隧道沒有建立時����,向接口板發(fā)送因特網(wǎng)密鑰交換IKE報文,觸發(fā)隧道協(xié)商�����;接收所述接口板根據(jù)所述分配規(guī)則上送的IKE報文�����,建立所述需要加密的報文所在隧道。
2���、 如權利要求1所述建立隧道的方法����,其特征在于�,所述分配規(guī)則包括根據(jù)從接口板獲:f又的CPU號將報文發(fā)送到與所述CPU號對應的CPU中,所述CPU號由所述接口板通過對所述報文的源���、目的地址哈希計算得到�。
3��、 如權利要求1所述建立隧道的方法�,其特征在于,在所述接收需要加 密的報文之前還包括接收接口板根據(jù)所述分配規(guī)則發(fā)送的報文����。
4、 如權利要求1所述建立隧道的方法���,其特征在于�,還包括 查找與所述報文匹配的安全策略,獲取所述需要加密的報文��; 獲取接收所述需要加密報文的CPU號碼�;將所述需要加密的報文根據(jù)所述安全策略發(fā)送到與所述CPU號碼對應的 所述指定的CPU中��。
5��、 如權利要求4所述建立隧道的方法����,其特征在于,還包括 配置所述安全策略�,以維護隧道協(xié)商動態(tài)生成的數(shù)據(jù)流,4全測接收的才艮文是否需要加密�。
6、 如權利要求1所述建立隧道的方法�,其特征在于,在所述接收需要加 密的報文之后還包括當所述指定的CPU檢測到所述需要加密的報文所在隧道已經(jīng)建立時����,不 進行隧道協(xié)商。
7��、 如權利要求1所述建立隧道的方法��,其特征在于,所述接口板根據(jù)所 述分配規(guī)則上送IKE報文包括所述接口板對接收的所述IKE報文的源�、目的地址進行哈希值計算,獲 得進行隧道協(xié)商的CPU號�����;根據(jù)所述隧道協(xié)商的CPU號上送IKE報文�。
8、 如權利要求1所述建立隧道的方法�����,其特征在于���,還包括 當接收的報文為IKE協(xié)商包時��,向所述接口板發(fā)送IKE報文觸發(fā)隧道協(xié)商�����;接收所述接口才反根據(jù)所述分配規(guī)則上送的IKE才艮文�����,建立隧道�。
9、 如權利要求l-8任一項所述建立隧道的方法����,其特征在于,所述CPU 分布于網(wǎng)關的一個或多個業(yè)務板上�,所述CPU的數(shù)量和所述業(yè)務板的數(shù)量根 據(jù)所述網(wǎng)關處理業(yè)務的需求而定���。
10�����、 一種建立隧道的設備�����,其特征在于��,包括加密報文接收單元�,用于接收需要加密的報文���,所述需要加密的報文為 根據(jù)分配規(guī)則發(fā)送到指定的CPU中的報文���;第一發(fā)送單元��,用于當所述指定的CPU檢測到所述需要加密的報文所在 隧道沒有建立時���,向接口板發(fā)送IKE報文,觸發(fā)隧道協(xié)商�;建立單元,用于接收所述接口板根據(jù)所述分配規(guī)則上送的IKE報文�,建 立所述需要加密的報文所在隧道。
11�、 如權利要求IO所述的設備,其特征在于��,所述分配規(guī)包括根據(jù)從 接口板獲取的CPU號將報文發(fā)送到與所述CPU號對應的CPU中��,所述CPU 號由所述接口板通過對所述報文的源�����、目的地址哈希計算得到�����。
12�����、 如權利要求10所述的設備,其特征在于���,還包括 報文接收單元�,用于接收接口板根據(jù)所述分配規(guī)則發(fā)送的報文�����。
13�、 如權利要求12所述的設備���,其特征在于��,還包括 安全策略單元��,用于配置安全策略�����,維護隧道協(xié)商動態(tài)生成的數(shù)據(jù)流��,檢測所述報文接收單元接收的報文是否需要加密��。
14��、 如權利要求13所述的設備�,其特征在于,還包括查找單元��,用于在所述安全策略單元查找與所述^J艮文匹配的安全策略��,獲取所述需要加密的報文��;獲取單元���,用于獲取接收所述需要加密報文的CPU號碼����; 第二發(fā)送單元����,用于將所述查找單元獲取的所述需要加密的報文,根據(jù)所述安全策略發(fā)送到與所述獲f^單元所獲取的所述CPU號碼對應的所述指定的CPU中���。
15�����、 如權利要求12所述的設備�,其特征在于,所述報文接收單元還用于 接收IKE協(xié)商包�����。
16�、 如權利要求10-15任一項所述的設備,其特征在于����,所述設備為網(wǎng)關 的一個或多個業(yè)務板,所述CPU位于所述業(yè)務板上��,所述CPU的數(shù)量和所述 業(yè)務板的數(shù)量才艮據(jù)所述網(wǎng)關處理業(yè)務的需求而定�。
17����、 一種建立隧道的系統(tǒng),其特征在于��,包括接口板和隧道建立設備�����, 所述接口板����,用于向所述隧道建立設備根據(jù)分配規(guī)則發(fā)送報文��;接收所述隧道建立設備發(fā)送的IKE報文����,對所述IKE報文的源����、目的地址進行哈希 值計算,獲得進行隧道協(xié)商的CPU號碼�;向所述隧道建立設備上送IKE報文; 所述隧道建立設備��,用于接收所述接口板根據(jù)所述分配規(guī)則發(fā)送的所述 報文�;將需要加密的報文根據(jù)所述分配規(guī)則發(fā)送到指定的CPU中;當所述指 定的CPU檢測到所述需要加密的報文所在隧道沒有建立時���,向所述接口板發(fā) 送IKE報文����,觸發(fā)隧道協(xié)商��;接收所述接口板根據(jù)所述分配規(guī)則上送的IKE 報文,建立所述需要加密的報文所在隧道����。
18、 如權利要求17所述的系統(tǒng)�����,其特征在于�,所述CPU位于所述隧道 建立設備中,用于接收所述需要加密的報文�����,檢測所述需要加密的報文所在 隧道是否建立�����。
19���、 如權利要求17所述的系統(tǒng),其特征在于����,所述分配規(guī)則包括根據(jù) 從接口板獲取的CPU號將報文發(fā)送到與所述CPU號對應的CPU中,所述CPU 號由所述接口板通過對所述報文的源、目的地址哈希計算得到�。
全文摘要
本發(fā)明實施例公開了一種建立隧道的方法、系統(tǒng)和設備�����,該方法包括接收需要加密的報文���,所述需要加密的報文為根據(jù)分配規(guī)則發(fā)送到指定的中央處理器CPU中的報文���;當所述指定的CPU檢測到所述需要加密的報文所在隧道沒有建立時,向接口板發(fā)送因特網(wǎng)密鑰交換IKE報文����,觸發(fā)隧道協(xié)商;接收所述接口板根據(jù)所述分配規(guī)則上送的IKE報文���,建立所述需要加密的報文所在隧道�����。通過本發(fā)明實施例�����,可以實現(xiàn)每塊業(yè)務板都具有獨立處理IPsec業(yè)務和進行IKE協(xié)商的能力����,以及在不同業(yè)務板上實現(xiàn)IKE協(xié)商均衡,提高整機容量和系統(tǒng)對IPsec業(yè)務和IKE協(xié)商的處理能力�。
文檔編號H04L29/06GK101442470SQ20081018355
公開日2009年5月27日 申請日期2008年12月18日 優(yōu)先權日2008年12月18日
發(fā)明者擘 馬 申請人:成都市華為賽門鐵克科技有限公司