技術領域

本發明涉及計算機領域，特別是涉及一種單隧道模式下IPsec ESP協議的優化方法及裝置。

背景技術

隨著互聯網的發展，互聯網覆蓋的范圍越來越廣泛。但是由于互聯網上存在大量的不可靠的用戶，很多網絡中間的路由被身份未知的人管理著，而數據傳輸過程中需要經過這些路由，因此在互聯網傳輸數據的安全性無法得到保證。

為了保證互聯網數據傳輸安全性，IPSec，全稱Intemet Protocol Security，是由IEIF設計的一種端到端的確保IP層通信安全的機制，它不是一個單獨的協議，而是一系列為IP網絡提供完整安全性的協議和服務的集合。其中封裝安全負載協議IPsec ESP是IPsec體系結構中的一種主要協議，IPsec ESP加密需要保護的數據，并在IPsec ESP的數據部分放置加密信息來提供機密性和完整性。

IPsec根據不同的網絡結構需求提供隧道和傳輸兩種安全模式。其中隧道模式是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。隧道協議將其它協議的數據幀或包重新封裝然后通過隧道發送，通過新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。

然而，對于單隧道模式下的IPsec ESP協議，由于單隧道的加密數據具有唯一的元組信息，網卡接收到該條流的數據包都被分配到了同一個隊列上；為了保證數據處理的可靠性和cache命中率，每條流的數據包會被同一個CPU進行處理。因此，這種方法傳輸的加密數據在到達解密端后，只能由一個CPU進行全部的解密工作，解密效率非常低。

發明內容

本發明的目的是提供一種單隧道模式下IPsec ESP協議的優化方法及裝置，用以解決單隧道模式下解密效率低的問題。

為解決上述技術問題，本發明提供一種單隧道模式下IPsec ESP協議的優化方法，應用于加密端，包括：

確定加密端的原始數據中各個分組數據與目標地址之間的映射關系；

加密各個所述分組數據，得到加密分組數據；

將所述映射關系插入到各個所述加密分組數據，得到傳輸數據；

將所述傳輸數據發送給解密端，以便所述解密端根據所述傳輸數據中所述映射關系，將所述加密分組數據分配到所述解密端中與所述目標地址對應的各個執行設備，所述執行設備進而對所述加密分組數據進行解密。

其中，所述確定加密端的原始數據中各個分組數據與目標地址之間的映射關系包括：

利用hash算法計算所述加密端的所述原始數據中各個所述分組數據與所述目標地址之間的hash值，所述hash值反應所述分組數據與所述目標地址之間的映射關系。

其中，所述分組數據為元組數據。

其中，所述執行設備為CPU。

其中，在所述確定加密端的原始數據中各個分組數據與目標地址之間的映射關系之前，還包括：

在所述加密端和所述解密端建立隧道。

本發明還提供了一種單隧道模式下IPsec ESP協議的優化方法，應用于解密端，包括：

接收加密端發送的傳輸數據，所述傳輸數據包括加密分組數據、分組數據與目標地址之間的映射關系，所述加密分組數據為所述分組數據經過加密得到的；

根據所述映射關系將所述加密分組數據分配到與所述目標地址對應的各個執行設備；

通過所述執行設備對所述加密分組數據進行解密。

其中，所述接收加密端發送的傳輸數據，所述傳輸數據包括加密分組數據、分組數據與目標地址之間的映射關系，所述加密分組數據為所述分組數據經過加密得到的包括：

接收加密端發送的傳輸數據，所述傳輸數據包括加密分組數據、分組數據與目標地址之間對應的hash值，所述加密分組數據為所述分組數據經過加密得到的，所述hash值是所述加密端通過hash算法確定所述原始數據中各個所述分組數據與所述目標地址之間的映射關系得到的；

所述根據所述映射關系將所述加密分組數據分配到與所述目標地址對應的各個執行設備包括：

根據所述hash值將所述加密分組數據分配到與所述目標地址對應的各個執行設備。

另外，本發明還提供了一種單隧道模式下IPsec ESP協議的優化裝置，應用于加密端，，包括：

確定模塊：用于確定加密端的原始數據中各個分組數據與目標地址之間的映射關系；

加密模塊：用于加密各個所述分組數據，得到加密分組數據；

插入模塊：用于將所述映射關系插入到各個所述加密分組數據，得到傳輸數據；