技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)協(xié)議安全技術(shù)領(lǐng)域，特別涉及一種基于多核處理器實(shí)現(xiàn)IPSEC（Internet?Protocol?Security，因特網(wǎng)協(xié)議安全）的方法及其裝置。

背景技術(shù)

隨著通信網(wǎng)絡(luò)的全I(xiàn)P化和扁平化的發(fā)展，以及無(wú)線通信網(wǎng)絡(luò)中的BS（Base?Station，基站）與GW（Gateway，網(wǎng)關(guān)）、AP（Access?Pointer，接入點(diǎn)）與AC（Access?Controller，接入控制單元）之間數(shù)據(jù)的傳輸采用共同網(wǎng)絡(luò)的趨勢(shì)越來(lái)越明顯，故BS與GW之間、AP與AC之間需要增加IPSEC協(xié)議來(lái)確保數(shù)據(jù)機(jī)密性和完整性。

IPSEC協(xié)議主要由IKE（Internet?Key?Exchange，?密鑰交換協(xié)議），AH（Authentication?Header，認(rèn)證頭）和ESP（Encapsulated?Security?Payload，封裝安全載荷）構(gòu)成。其中IKE協(xié)議負(fù)責(zé)完成密鑰的交互，AH保證數(shù)據(jù)的完整性，ESP確保數(shù)據(jù)的機(jī)密性和完整性。

現(xiàn)有實(shí)現(xiàn)IPSEC的技術(shù)，一般采用基于單核處理器的軟件方式實(shí)現(xiàn)，該種方式中的所有IPSEC協(xié)議的處理都以軟件方式實(shí)現(xiàn)，而使用所述單核處理器負(fù)責(zé)所有工作運(yùn)作，這種方式雖然有結(jié)構(gòu)簡(jiǎn)單的優(yōu)點(diǎn)，但其卻使得所述單核處理器負(fù)荷過(guò)重，特別是當(dāng)數(shù)據(jù)傳輸過(guò)程需要加解密運(yùn)算時(shí)，大部分處理器資源被加解密運(yùn)算占用，從而限制了處理器對(duì)數(shù)據(jù)的轉(zhuǎn)發(fā)速率和轉(zhuǎn)發(fā)容量。

發(fā)明內(nèi)容

本發(fā)明提出一種基于多核處理器實(shí)現(xiàn)IPSEC的裝置及其方法，要解決的技術(shù)問(wèn)題是，提高數(shù)據(jù)的轉(zhuǎn)發(fā)速率和轉(zhuǎn)發(fā)容量，實(shí)現(xiàn)數(shù)據(jù)的大規(guī)模轉(zhuǎn)發(fā)。

本發(fā)明提出一種用多核處理器實(shí)現(xiàn)IPSEC協(xié)議的裝置，該裝置包括：IKE協(xié)議處理模塊、AH/ESP協(xié)議處理模塊和共享內(nèi)存；所述AH/ESP協(xié)議處理模塊與所述IKE協(xié)議處理模塊，均分別包含所述多核處理器的至少一個(gè)核；

所述AH/ESP協(xié)議處理模塊，用于接收本地端發(fā)送的明文非IKE數(shù)據(jù)，根據(jù)該明文非IKE數(shù)據(jù)通過(guò)共享內(nèi)存機(jī)制查詢所述共享內(nèi)存中是否有相應(yīng)的安全策略SP和安全關(guān)聯(lián)SA，若是，則根據(jù)所述安全策略SP和所述安全關(guān)聯(lián)SA，對(duì)該明文非IKE數(shù)據(jù)進(jìn)行加密處理并發(fā)送到異地端；

接收所述異地端發(fā)送的數(shù)據(jù)，判斷該數(shù)據(jù)的類別并進(jìn)行相應(yīng)處理：若判定該數(shù)據(jù)為密文數(shù)據(jù)，則根據(jù)該數(shù)據(jù)通過(guò)共享內(nèi)存機(jī)制查詢所述共享內(nèi)存中是否有相應(yīng)的安全策略SP和安全關(guān)聯(lián)SA，若是，則根據(jù)所述安全策略SP和所述安全關(guān)聯(lián)SA，對(duì)該密文數(shù)據(jù)進(jìn)行解密處理并發(fā)送到所述本地端；若判定該數(shù)據(jù)為明文IKE數(shù)據(jù)，則將該明文IKE數(shù)據(jù)轉(zhuǎn)發(fā)到所述IKE協(xié)議處理模塊；

接收所述IKE協(xié)議處理模塊發(fā)送的IKE回應(yīng)包，并將該IKE回應(yīng)包發(fā)送到所述異地端；

所述IKE協(xié)議處理模塊，用于接收所述AH/ESP協(xié)議處理模塊轉(zhuǎn)發(fā)的所述明文IKE數(shù)據(jù)，根據(jù)該數(shù)據(jù)通過(guò)共享內(nèi)存機(jī)制向所述共享內(nèi)存發(fā)送IKE協(xié)議處理指令，通過(guò)共享內(nèi)存機(jī)制接收所述共享內(nèi)存發(fā)送的處理結(jié)果，并根據(jù)該處理結(jié)果向所述AH/ESP協(xié)議處理模塊發(fā)送所述IKE回應(yīng)包；

所述共享內(nèi)存，用于存儲(chǔ)所述安全策略SP和所述安全關(guān)聯(lián)SA，通過(guò)共享內(nèi)存機(jī)制接收所述IKE協(xié)議處理模塊發(fā)送的IKE協(xié)議處理指令，并根據(jù)該指令進(jìn)行處理，通過(guò)共享內(nèi)存機(jī)制將所述處理結(jié)果發(fā)送到所述IKE協(xié)議處理模塊。

一種基于多核處理器實(shí)現(xiàn)IPSEC的方法，包括以下步驟：

接收本地端發(fā)送的明文非IKE數(shù)據(jù)，根據(jù)該明文非IKE數(shù)據(jù)通過(guò)共享內(nèi)存機(jī)制查詢共享內(nèi)存中是否有相應(yīng)的安全策略SP和安全關(guān)聯(lián)SA，若是，則根據(jù)所述安全策略SP和所述安全關(guān)聯(lián)SA，對(duì)該數(shù)據(jù)進(jìn)行加密處理并發(fā)送到異地端；和或

接收所述異地端發(fā)送的數(shù)據(jù)，判斷該數(shù)據(jù)的類別并進(jìn)行相應(yīng)的處理，具體包括：

若判定該數(shù)據(jù)為密文數(shù)據(jù)，則根據(jù)該密文數(shù)據(jù)通過(guò)共享內(nèi)存機(jī)制查詢所述共享內(nèi)存中是否有相應(yīng)的安全策略SP和安全關(guān)聯(lián)SA，若是，則根據(jù)所述安全策略SP和所述安全關(guān)聯(lián)SA，對(duì)該數(shù)據(jù)進(jìn)行解密處理并發(fā)送到所述本地端；

若判定該數(shù)據(jù)為明文IKE數(shù)據(jù)，則根據(jù)該明文IKE數(shù)據(jù)通過(guò)共享內(nèi)存機(jī)制向所述共享內(nèi)存發(fā)送IKE協(xié)議處理指令；根據(jù)所述IKE協(xié)議處理指令通過(guò)共享內(nèi)存機(jī)制對(duì)所述共享內(nèi)存中的所述相應(yīng)的安全策略SP和安全關(guān)聯(lián)SA進(jìn)行處理，并根據(jù)處理結(jié)果向所述異地端發(fā)送IKE回應(yīng)包。