技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種基于IPsec（IP?security，IP安全）的報文傳輸方法和設(shè)備。

背景技術(shù)

IPsec是三層隧道加密協(xié)議，用于在IP層提供以下安全服務(wù)：（1）數(shù)據(jù)機密性：發(fā)送方在通過網(wǎng)絡(luò)傳輸報文之前對報文進行加密；（2）數(shù)據(jù)完整性：接收方對接收的報文進行認證，以確保報文在傳輸過程中沒有被篡改；（3）數(shù)據(jù)來源認證：接收方可以認證發(fā)送IPsec報文的發(fā)送方是否合法；（4）防重放：接收方可以檢測并拒絕接收過時或者重復(fù)的報文。

為了實現(xiàn)上述安全服務(wù)，IPsec提供了認證和加密等兩種安全機制；認證機制使IP通信的接收方能夠確認報文發(fā)送方的真實身份以及報文在傳輸過程中是否遭篡改；加密機制通過對報文進行加密運算來保證報文的機密性，防止報文在傳輸過程中被竊聽。其中，IPsec協(xié)議中的AH（Authentication?Header，驗證頭）協(xié)議定義了認證的應(yīng)用方法，ESP（Encapsulating?Security?Payload，封裝安全載荷）協(xié)議定義了加密和可選認證的應(yīng)用方法；在實際進行IP通信時，可以根據(jù)實際安全需求同時使用AH和ESP，或者選擇使用其中一種。

在采用FPGA（Field?Programmable?Gate?Array，現(xiàn)場可編程陣列）作為核心完成報文轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備（如路由器、防火墻）中，需要將由CPU（Central?Processing?Unit，中央處理單元）軟件實現(xiàn)的報文轉(zhuǎn)發(fā)、業(yè)務(wù)處理等移到FPGA上實現(xiàn)高速轉(zhuǎn)發(fā)。其中，F(xiàn)PGA能夠快速處理報文，但是FPGA難以支撐復(fù)雜業(yè)務(wù)，如果在FPGA上實現(xiàn)IPsec算法，則復(fù)雜度極高，需要占用大量FPGA資源，因此現(xiàn)有技術(shù)中不支持在FPGA中進行IPsec處理。

如圖1所示，為IPsec解密處理的示意圖，對于需要進行IPsec解密的流量，CPU不向FPGA下發(fā)入方向流表；FPGA在收到報文后，查找入方向流表失敗，將報文上送CPU處理；CPU在接收到報文后，進行IP轉(zhuǎn)發(fā)處理，即查找轉(zhuǎn)發(fā)信息表，根據(jù)轉(zhuǎn)發(fā)信息判斷出需要進行解封裝處理；之后CPU根據(jù)當(dāng)前配置和報文特征，判斷出報文需要進行IPsec解密，則對報文進行IPsec解密處理；在解密完成后，CPU根據(jù)原始報文進行普通IP轉(zhuǎn)發(fā)，并最終通過FPGA發(fā)送出去。

如圖2所示，為IPsec加密處理的示意圖，對于需要進行IPsec加密的流量，CPU不向FPGA下發(fā)入方向流表；FPGA在收到報文后，查找入方向流表失敗，將報文上送CPU處理；CPU在接收到報文后，進行IP發(fā)送處理，即查找轉(zhuǎn)發(fā)信息表，根據(jù)轉(zhuǎn)發(fā)信息判斷需要進行加封裝處理；之后CPU根據(jù)當(dāng)前配置和報文特征，判斷出報文需要進行IPsec加密，則對報文進行IPsec加密處理；在加密完成后，CPU根據(jù)封裝后報文進行普通IP轉(zhuǎn)發(fā)，并最終通過FPGA發(fā)送出去。

綜上所述，對于需要進行IPsec加密或者IPsec解密處理的報文，相應(yīng)的轉(zhuǎn)發(fā)流程和IPsec業(yè)務(wù)處理流程都需要在CPU上進行處理，F(xiàn)PGA只作為接收和發(fā)送報文的物理通道，從而導(dǎo)致報文的處理受限于CPU的軟件轉(zhuǎn)發(fā)能力，不能利用FPGA高速轉(zhuǎn)發(fā)的性能優(yōu)勢，對報文的處理性能較低。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種基于IPsec的報文傳輸方法和設(shè)備，以充分利用FPGA的高速轉(zhuǎn)發(fā)能力，并提高對報文的處理性能。

為了達到上述目的，本發(fā)明實施例提供一種基于IP安全IPsec的報文傳輸方法，該方法包括：

現(xiàn)場可編程陣列FPGA在獲得需要加密或解密處理的IPsec報文后，利用所述報文中攜帶的轉(zhuǎn)發(fā)信息查詢IPsec流表，所述IPsec流表中記錄有轉(zhuǎn)發(fā)信息和安全聯(lián)盟SA信息的對應(yīng)關(guān)系；

如果所述IPsec流表中有所述轉(zhuǎn)發(fā)信息對應(yīng)的記錄，則所述FPGA從所述IPsec流表中獲得所述轉(zhuǎn)發(fā)信息對應(yīng)的SA信息；

所述FPGA將所述報文和所述SA信息發(fā)送給中央處理單元CPU，并由所述CPU利用所述SA信息對所述報文進行加密或解密處理；

所述FPGA接收來自所述CPU的加密或解密處理后的報文，并發(fā)送所述加密或解密處理后的報文。

所述FPGA利用所述報文中攜帶的轉(zhuǎn)發(fā)信息查詢IPsec流表，之后還包括：