本發(fā)明公開了一種交換芯片或NP與CPU協(xié)同完成報文IPSEC加密的方法與系統(tǒng)，該方法包括以下步驟：從業(yè)務(wù)接口接收報文，根據(jù)報文的目的IP地址查路由表，且若出接口類型是普通接口，將報文進行路由轉(zhuǎn)發(fā)；若是IPSEC隧道接口，則根據(jù)報文五元組查詢ACL并判斷是否命中，如未命中則丟棄報文；否則判斷安全策略的動作，并根據(jù)安全策略的動作對報文進行路由轉(zhuǎn)發(fā)、丟棄或封裝私有頭并發(fā)往CPU；CPU接收待加密報文，將根據(jù)報文五元組和三元組查詢SA信息，若未查到，則丟棄報文；否則根據(jù)SA信息對報文進行IPSEC加密并發(fā)送至接口板。本發(fā)明將輸入至CPU處理的報文先經(jīng)接口板進行篩選，只有安全策略為應(yīng)用IPSEC的報文才送至CPU中，提升了交換網(wǎng)絡(luò)帶寬利用率，加強了CPU的處理效率。

技術(shù)領(lǐng)域

本發(fā)明涉及IPSEC加密技術(shù)，具體涉及一種交換芯片或NP與CPU協(xié)同完成報文IPSEC加密的方法與系統(tǒng)。

背景技術(shù)

IPSEC(IP Security，IP(Internet Protocol，因特網(wǎng)協(xié)議)安全)是IETF(Internet Engineering Task Force，因特網(wǎng)工程任務(wù)組)制定的為保證在Internet上傳送數(shù)據(jù)的安全加密性能的框架協(xié)議。主要通過封裝安全載荷和或通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進行保密而安全的通訊，它在IP層對數(shù)據(jù)包進行高強度的安全處理，提供包括訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、抗重播(replay)保護(序列完整性(sequence integrity)的一個組成部分)、保密性和有限傳輸流保密性在內(nèi)的服務(wù)。這些服務(wù)是基于IP層的，提供對IP及其上層協(xié)議的保護。

目前支持IPSEC功能的分布式設(shè)備一般由接口板、業(yè)務(wù)板和主控板組成。接口板上一般設(shè)有交換芯片或NP(網(wǎng)絡(luò)處理器)等高性能的轉(zhuǎn)發(fā)芯片，用于接收和轉(zhuǎn)發(fā)數(shù)據(jù)報文，并通過交換網(wǎng)絡(luò)將需要進行IPSEC加解密的報文發(fā)送到業(yè)務(wù)板進行處理；業(yè)務(wù)板用于對報文進行IPSEC加解密，并將處理后的報文發(fā)送到接口板；主控板進行路由協(xié)議報文和IKE((Internet Key Exchange，因特網(wǎng)密鑰交換協(xié)議)是IPSec的信令協(xié)議)協(xié)議報文交互，生成路由和IPSEC相關(guān)配置，但不參與具體的數(shù)據(jù)轉(zhuǎn)發(fā)。IPSEC加解密一般是在業(yè)務(wù)板CPU上實現(xiàn)，CPU可以采用軟件加解密算法或內(nèi)部硬件加解密引擎完成IPSEC加解密功能。圖1為目前常用的業(yè)務(wù)板的IPSEC加密方法，如圖1所示，包括以下步驟：業(yè)務(wù)板CPU收到接口板通過交換網(wǎng)絡(luò)送來的報文后，根據(jù)報文五元組(源IP地址、目的IP地址、源端口、目的端口、安全協(xié)議)查詢SPD(security policy database，安全策略數(shù)據(jù)庫)，獲取并判斷安全策略的指示，如安全策略為丟棄，則丟棄該報文；如果安全策略為繞過，則將該報文發(fā)回給接口板并進行路由轉(zhuǎn)發(fā)；如果安全策略為應(yīng)用IPSEC，則再根據(jù)三元組(SPI(Security Parameter Index，安全參數(shù)索引)、目的IP地址、安全協(xié)議)查詢SA(Security Association，安全聯(lián)盟)，如果未查到，說明SA還未建立，則丟棄報文；否則根據(jù)查到的SA對報文進行加密處理，并將生成的密文發(fā)送到接口卡后，進行路由轉(zhuǎn)發(fā)。

采用上述的方法實現(xiàn)IPSEC加密功能，存在以下問題：

1)業(yè)務(wù)板收到接口板通過交換網(wǎng)絡(luò)送來的報文，待業(yè)務(wù)板查詢SPD后，只對安全策略為應(yīng)用IPSEC的報文進行加密操作，而其余的報文則丟棄或者發(fā)回到接口板并進行路由轉(zhuǎn)發(fā)，這樣消耗了過多的交換網(wǎng)絡(luò)帶寬。

2)接口板將需要或不需要加密的報文都送到業(yè)務(wù)板CPU進行處理，增加了CPU負(fù)擔(dān)，導(dǎo)致CPU處理能力降低。

有鑒于此，急需提供一種提升交換網(wǎng)絡(luò)帶寬利用率和業(yè)務(wù)板CPU的處理效率的IPSEC加密的方法。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是接口板通過交換網(wǎng)絡(luò)將需要或不需要加密的報文都送到業(yè)務(wù)板CPU進行處理，加了CPU負(fù)擔(dān)和消耗了過多的交換網(wǎng)絡(luò)帶寬，導(dǎo)致CPU處理能力降低的問題。