技術領域

本發明涉及一種可提高安全協議封包處理效能的方法，主要對欲進行傳輸的封包數據進行判斷，借此以提高安全協議封包的處理效能。

背景技術

請參閱圖1，為現有封包數據的傳輸示意圖。如圖所示，一般而言封包數據可以IP封包或是安全協議封包(IPSec)進行傳送，在以IP封包進行數據的傳送時，由于IP封包本身并不具有任何安全的特性，因此在傳輸的過程中IP封包很有可能被攔截，并被查看或修改IP封包的內容。

安全協議封包是針對位于網絡層的Internet?Protocol所提出的安全性協議，并可有效提高封包數據傳送時的安全性。一般來說安全協議封包主要可使用傳輸模式(Transport?mode)或通道模式(Tunnel?mode)進行傳輸，以傳輸模式進行封包數據的傳輸時，僅需要加密或認證上層協議的數據。例如在同一個局域網絡(LAN)中包括有第一計算機(PC1)111與第三計算機(PC3)115，其中第一計算機111與第三計算機115可直接建立聯機(不必經由路由器或防火墻)，且第一計算機111及第三計算機115具有處理安全協議封包的能力，并可使用安全協議的傳輸模式。

在以通道模式進行安全協議封包的傳輸時，安全協議會加密或認證整個封包，然后在最外面再加上一個新的IP表頭。當安全協議聯機兩端的計算機有一端或兩端不具處理安全協議封包能力，而必須通過具有安全協議能力的路由器或網關器來代為處理安全協議封包時，即必須使用通道模式。

此外，在以通道模式進行安全協議封包的傳輸時，要先在兩個網關器(Gateway)之間建立一條安全協議通道(IPSec?Tunnel)，例如可在第一網關器13與第二網關器15之間建立安全協議通道17，當第一計算機111要將數據傳送至第二計算機113時，第一計算機111會先將封包數據傳送至第一網關器13，而第一網關器13會將封包數據封裝成安全協議封包，并將安全協定封包經由安全協議通道17傳送至第二網關器15。第二網關器15會進一步對所接收的安全協議封包進行解密，以還原成為封包數據并傳送至第二計算機113，借此以完成第一計算機111與第二計算機113之間的數據傳輸。

第一計算機111將封包數據傳送至第一網關器13時，第一網關器13內的Netfilter或防火墻(Firewall)131會接收封包數據，之后再將封包數據交給安全協議模塊(IPSec?Module)133。安全協議模塊133可將封包數據加密封裝為安全協議封包，待封裝完成后安全協議模塊133會在將安全協定封包交給Netfilter或防火墻131，并以Netfilter或防火墻131進行安全協議封包的傳送。

在經過分析后可以發現，網關器13/15在處理安全協議封包時會消耗相當多的時間與資源，例如網關器13/15必須進行安全協議封包的加密或解密。此外，在以網關器13/15接收或發送安全協議封包的過程中，封包數據需要經過安全協議模塊133及Netfilter或防火墻131之間多個接點(例如5個Hook點)，進而影響到安全協定封包的處理效能。

發明內容

本發明的主要目的，在于提供一種可提高安全協議封包處理效能的方法，主要用以對網關器處理安全協議封包的過程進行優化，以降低網關器的負擔及處理的時間，借此有利于提高網關器處理安全協議封包的效率。

本發明的次要目的，在于提供一種可提高安全協議封包處理效能的方法，其中網關器在處理封包數據的過程當中，可使得屬于安全協議通道的封包數據繞開網關器內的Netfilter或防火墻，借此以減少網關器及/或處理器的負擔及處理的時間，并達到提高整體效能的目的。

本發明的又一目的，在于提供一種可提高安全協議封包處理效能的方法，其中網關器可將所接收的封包數據的來源地址(source?address)及/或目的地址(destination?address)及/或安全系數索引(SPI)與安全協議通道表(IPSec?tunneltable)進行比對，借此以判斷該封包數據是否屬于某一安全協議通道。

本發明的又一目的，在于提供一種可提高安全協議封包處理效能的方法，由于安全協議封包本身已是一種加密數據，可在沒有防火墻存在的狀況下進行安全的傳輸，此外亦不需要網絡地址轉換(NAT)進行網絡地址轉換，因此可使得屬于安全協議通道的封裝數據繞開網關器內的Netfilter或防火墻，以提高安全協定封包的處理效能。