亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

IPSec轉(zhuǎn)發(fā)的方法

文檔序號(hào):7628324閱讀:1197來(lái)源:國(guó)知局
專利名稱:IPSec轉(zhuǎn)發(fā)的方法
技術(shù)領(lǐng)域
本發(fā)明涉及Internet安全領(lǐng)域,特別涉及IPSEC轉(zhuǎn)發(fā)的方法。
背景技術(shù)
因特網(wǎng)協(xié)議安全(IPSec),是由IETF(Internet Engineering Task Force)定義的一套在網(wǎng)絡(luò)層提供因特網(wǎng)協(xié)議(IP)安全性的協(xié)議,由一系列RFC文檔組成。其中RFC2401定義IPSec的基本結(jié)構(gòu);RFC2402定義IPSec的驗(yàn)證頭(AH);RFC2406定義IPSec的封裝安全載荷(ESP);RFC2409定義IPSec的因特網(wǎng)密鑰交換(IKE)。
圖1描述IPSec協(xié)議基本結(jié)構(gòu)。
IPSec協(xié)議包括AH、ESP、IKE等。
ESP(101)封裝安全載荷為IP載荷提供數(shù)據(jù)加密和驗(yàn)證的功能。AH(102)認(rèn)證頭為IP頭提供數(shù)據(jù)完整性和驗(yàn)證的功能。數(shù)據(jù)加密(103)和驗(yàn)證算法(104)由安全相關(guān)(SA)指定。IKE(105)密匙交換為IPSec協(xié)議生成密匙。安全策略數(shù)據(jù)庫(kù)(SPD)(106)決定兩個(gè)實(shí)體之間能否通訊及通訊轉(zhuǎn)碼方式。解釋域(DOI)用來(lái)組合相關(guān)協(xié)議,通過(guò)使用ISAKMP協(xié)商安全連接。
在IPSec協(xié)議實(shí)現(xiàn)中,IPSec設(shè)備必須在完成路由轉(zhuǎn)發(fā)、地址轉(zhuǎn)換等任務(wù)同時(shí),處理IPSec加密、解密及驗(yàn)證工作,轉(zhuǎn)發(fā)任務(wù)極為繁重,往往會(huì)處于瓶頸地位。
當(dāng)設(shè)備硬件能力有限,轉(zhuǎn)發(fā)能力不足時(shí),只能對(duì)無(wú)法處理的報(bào)文進(jìn)行簡(jiǎn)單丟棄。如此處理,將重要和不重要的信息一并丟棄,不符合通信網(wǎng)絡(luò)對(duì)于服務(wù)質(zhì)量的要求。我們希望能夠?qū)IFO、PRIO、CQ、WFQ、CAR等隊(duì)列調(diào)度機(jī)制引入IPSec轉(zhuǎn)發(fā),根據(jù)不同流量類型進(jìn)行差別服務(wù),提高IPSec設(shè)備在高負(fù)荷運(yùn)行狀態(tài)下的轉(zhuǎn)發(fā)性能。
如此,需要解決的技術(shù)問(wèn)題是
1.能否對(duì)報(bào)文流進(jìn)行服務(wù)類型分類。眾所周知,IP報(bào)文內(nèi)容在IPSec加密后,報(bào)文頭等信息在轉(zhuǎn)發(fā)前已經(jīng)無(wú)法讀出,而我們希望在轉(zhuǎn)發(fā)前獲取這些信息。
2.實(shí)現(xiàn)必須簡(jiǎn)單,對(duì)現(xiàn)有IPSec協(xié)議改動(dòng)最小,并嚴(yán)格保證協(xié)議一致性。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種改進(jìn)IPSec轉(zhuǎn)發(fā)功能的方法。
為實(shí)現(xiàn)上述目的,一種IPSec轉(zhuǎn)發(fā)的方法,包括步驟a)在SPD數(shù)據(jù)庫(kù)、SADB數(shù)據(jù)庫(kù)中針對(duì)每個(gè)具體數(shù)據(jù)項(xiàng),增加服務(wù)類型域。
b)系統(tǒng)在IPSec處理時(shí),根據(jù)該服務(wù)類型域,實(shí)現(xiàn)隊(duì)列調(diào)度。
本發(fā)明能夠根據(jù)不同流量類型進(jìn)行區(qū)別處理。防止系統(tǒng)高負(fù)荷運(yùn)行狀態(tài)下,系統(tǒng)丟棄關(guān)鍵流量,導(dǎo)致網(wǎng)絡(luò)性能迅速惡化。通過(guò)隊(duì)列調(diào)度機(jī)制,根據(jù)不同流量類型分配系統(tǒng)資源,實(shí)現(xiàn)差別服務(wù),保證通信質(zhì)量。


圖1是IPSec協(xié)議組成;圖2是Outbound轉(zhuǎn)發(fā)流程;圖3是Inbound轉(zhuǎn)發(fā)流程。
具體實(shí)施例方式
本發(fā)明就IPSec報(bào)文轉(zhuǎn)發(fā)提出一種新穎的隊(duì)列調(diào)度方法,解決方案如下1.在SPD數(shù)據(jù)庫(kù)、SADB數(shù)據(jù)庫(kù)的數(shù)據(jù)項(xiàng)中,增加服務(wù)類型域;2.SPD數(shù)據(jù)庫(kù)服務(wù)類型域可以手工配置,或者根據(jù)某些轉(zhuǎn)發(fā)策略決定,如參考IPv4 TOS;3.SADB數(shù)據(jù)庫(kù)服務(wù)類型域在轉(zhuǎn)發(fā)過(guò)程中,查找SPD數(shù)據(jù)庫(kù),并根據(jù)SPD數(shù)據(jù)庫(kù)中服務(wù)類型域進(jìn)行刷新;該域僅僅借用SADB數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ),不參與IKE協(xié)商。不涉及RFC2407相關(guān)DOI內(nèi)容;
4.報(bào)文轉(zhuǎn)發(fā)時(shí),查找SPD數(shù)據(jù)庫(kù)、SADB數(shù)據(jù)庫(kù)得到服務(wù)類型域,并根據(jù)服務(wù)類型域進(jìn)入相應(yīng)調(diào)度隊(duì)列,等待隊(duì)列調(diào)度;5.調(diào)度算法可以為FIFO、PRIO、CQ、WFQ、CAR或其他算法。
圖2描述IPSec OutBound報(bào)文處理流程201IPSec轉(zhuǎn)發(fā)原始IP報(bào)文。
202分析報(bào)文頭,查找SPD數(shù)據(jù)庫(kù),決定轉(zhuǎn)發(fā)策略。
203SPD查找得到服務(wù)類型域值,待205查找SADB時(shí),為SADB服務(wù)類型域賦值。
204根據(jù)服務(wù)類型域值,將報(bào)文打入相應(yīng)調(diào)度隊(duì)列。
205根據(jù)SPD查找結(jié)果,繼續(xù)查找SADB,存在有效SA項(xiàng)則繼續(xù),否則啟動(dòng)IKE。
206啟動(dòng)IKE協(xié)商,生成SA。
207獲取SA參數(shù)。為可選實(shí)現(xiàn)。
208隊(duì)列中報(bào)文得到調(diào)度,進(jìn)行IPSec轉(zhuǎn)發(fā)處理。
209如果支持NAT穿越,此處進(jìn)行NAT報(bào)文頭處理。
210報(bào)文分段處理。
211報(bào)文轉(zhuǎn)發(fā)至Internet。
圖3描述IPSec InBound報(bào)文處理流程301從Internet接收IPSec報(bào)文,必要時(shí)進(jìn)行報(bào)文重組。
302如果需要,進(jìn)行NAT穿越處理,剝?nèi)AT穿越封裝的報(bào)文頭。
303分析報(bào)文頭,解析出SPI等信息。
304查找SADB中對(duì)應(yīng)SA信息。
305IPSec處理發(fā)生錯(cuò)誤,丟棄該報(bào)文。
306獲取SA參數(shù),包括服務(wù)類型域。如未賦值,取缺省值。
307根據(jù)服務(wù)類型域值,將報(bào)文打入相應(yīng)調(diào)度隊(duì)列。
308隊(duì)列中報(bào)文得到調(diào)度,進(jìn)行后續(xù)IPSec處理。
309策略不相符或報(bào)文錯(cuò)誤,丟棄該報(bào)文。
310查找SPD數(shù)據(jù)庫(kù),驗(yàn)證SPD策略和SA是否相符。
311根據(jù)SPD數(shù)據(jù)庫(kù),刷新SADB服務(wù)類型域。
312是否存在嵌套的下一層IPSec報(bào)文頭,有則返回508進(jìn)一步處理。
313報(bào)文轉(zhuǎn)發(fā)。
權(quán)利要求
1.一種IPSec轉(zhuǎn)發(fā)的方法,包括步驟a)在SPD數(shù)據(jù)庫(kù)、SADB數(shù)據(jù)庫(kù)中針對(duì)每個(gè)具體數(shù)據(jù)項(xiàng),增加服務(wù)類型域。b)系統(tǒng)在IPSec處理時(shí),根據(jù)該服務(wù)類型域,實(shí)現(xiàn)隊(duì)列調(diào)度。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于所述對(duì)列調(diào)度包括,對(duì)于IPSecOutBound報(bào)文分析報(bào)文頭,查找SPD數(shù)據(jù)庫(kù),決定轉(zhuǎn)發(fā)策略;查找SPD得到服務(wù)類型域值;根據(jù)服務(wù)類型域,將報(bào)文打入相應(yīng)調(diào)度對(duì)列。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于所述對(duì)列調(diào)度包括,對(duì)于IPSecInBound報(bào)文分析報(bào)文頭,解析出SPI信息;查找SADB中對(duì)應(yīng)的SA信息;如果IPSec處理發(fā)生錯(cuò)誤,丟棄該報(bào)文;獲取SA參數(shù),包括服務(wù)類型域;根據(jù)服務(wù)類型域,將報(bào)文打入相應(yīng)調(diào)度對(duì)列。
4.根據(jù)權(quán)利要求2或3所述的方法,其特征在于還包括根據(jù)SPD查找結(jié)果,繼續(xù)查找SADB,為SADB服務(wù)類型域賦值。
5.根據(jù)權(quán)利要求2或3所述的方法,其特征在于所述報(bào)文得到調(diào)度后才能繼續(xù)IPSec處理。
6.根據(jù)權(quán)利要求2或3所述的方法,其特征在于采用FIFO、PRIO、CQ、WFQ、CAR或其他算法為調(diào)度算法。
全文摘要
一種IPSec轉(zhuǎn)發(fā)的方法,包括步驟在SPD數(shù)據(jù)庫(kù)、SADB數(shù)據(jù)庫(kù)中針對(duì)每個(gè)具體數(shù)據(jù)項(xiàng),增加服務(wù)類型域。系統(tǒng)在IPSec處理時(shí),根據(jù)該服務(wù)類型域,實(shí)現(xiàn)隊(duì)列調(diào)度。本發(fā)明能夠根據(jù)不同流量類型進(jìn)行區(qū)別處理。防止系統(tǒng)高負(fù)荷運(yùn)行狀態(tài)下,系統(tǒng)丟棄關(guān)鍵流量,導(dǎo)致網(wǎng)絡(luò)性能迅速惡化。通過(guò)隊(duì)列調(diào)度機(jī)制,根據(jù)不同流量類型分配系統(tǒng)資源,實(shí)現(xiàn)差別服務(wù),保證通信質(zhì)量。
文檔編號(hào)H04L12/56GK1984130SQ20051012647
公開(kāi)日2007年6月20日 申請(qǐng)日期2005年12月14日 優(yōu)先權(quán)日2005年12月14日
發(fā)明者賈紅升, 譚敏強(qiáng), 楊武學(xué) 申請(qǐng)人:北京三星通信技術(shù)研究有限公司, 三星電子株式會(huì)社
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1