專利名稱::分布式報(bào)文傳輸安全保護(hù)裝置和方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),特別涉及基于IP安全(IPSecurity,IPSec)的一種分布式報(bào)文傳輸安全保護(hù)裝置和方法。
背景技術(shù):
:IPSec是一種三層隧道加密協(xié)議,用于為兩個(gè)端點(diǎn)之間傳輸?shù)膱?bào)文提供高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保護(hù)。其中,進(jìn)行報(bào)文傳輸?shù)膬蓚€(gè)端點(diǎn)稱為IPSec對(duì)等體,IPSec對(duì)等體之間的連接可以稱為IPSec隧道。具體來(lái)說(shuō),IPSec對(duì)等體之間傳輸報(bào)文的安全保護(hù)是基于安全聯(lián)盟(SecurityAssociation,SA)來(lái)實(shí)現(xiàn)的。SA為IPSec對(duì)等體間對(duì)某些要素的約定,例如,IPSec對(duì)等體間使用哪種安全協(xié)議、協(xié)議的封裝模式、加密算法、特定流中受保護(hù)報(bào)文的共享密鑰以及密鑰的生存周期等。SA是單向的,如果在兩個(gè)IPSec對(duì)等體之間通過(guò)一個(gè)IPSec隧道實(shí)現(xiàn)雙向才艮文傳輸,則需要在IPSec對(duì)等體的每個(gè)端點(diǎn)上均建立兩個(gè)相互關(guān)聯(lián)的SA,一個(gè)入方向SA用于對(duì)入方向的報(bào)文加密,一個(gè)出方向SA用于對(duì)出方向的報(bào)文解密。其中,入方向是指進(jìn)入IPSec隧道的方向,而出方向是指從IPSec隧道輸出的方向。實(shí)際應(yīng)用中,SA的建立可以通過(guò)兩種協(xié)商方式實(shí)現(xiàn),一種是手工配置方式,一種是互聯(lián)網(wǎng)密鑰交換協(xié)議(InternetKeyExchange,IKE)。圖1為現(xiàn)有IPSec隧道組網(wǎng)4莫型示意圖。如圖1所示,以IPSec對(duì)等體為兩個(gè)網(wǎng)關(guān)Rl和R2為例,Rl和R2分別作為IPSec隧道的起點(diǎn)和終點(diǎn),Rl和R2之間通過(guò)手工配置或IKE協(xié)商建立SA。主機(jī)A將需要發(fā)送給主機(jī)B的入方向報(bào)文發(fā)送給R1;Rl作為發(fā)送方,先利用入方向SA的SA信息對(duì)來(lái)自主機(jī)A的入方向報(bào)文進(jìn)行加密等入方向IPSec處理,再將處理后的才艮文通過(guò)IPSec隧道傳輸給R2;R2作為接收方,從IPSec隧道接收到加密后的報(bào)文后,利用出方向SA的SA信息對(duì)該報(bào)文進(jìn)行解密、完整性驗(yàn)證等出方向IPSec處理,同時(shí),還可以進(jìn)行發(fā)送方是否合法、防重力欠等出方向IPSec處理,并將處理后的出方向報(bào)文發(fā)送給主機(jī)B。這樣,R1和R2即作為報(bào)文傳輸安全保護(hù)裝置,實(shí)現(xiàn)了對(duì)報(bào)文傳輸?shù)陌踩Wo(hù)?,F(xiàn)有報(bào)文傳輸安全保護(hù)裝置通常包括多個(gè)接口單元,IPSec處理是由接口單元所在的處理板來(lái)完成的,其中,接口單元所在的處理板通常稱為接口板,接口板設(shè)置有能夠?qū)崿F(xiàn)IPSec處理的功能單元。不同的接口單元對(duì)應(yīng)不同的IPSec隧道,通過(guò)不同IPSec隧道傳輸?shù)膱?bào)文則分別在不同的接口板上進(jìn)行IPSec處理,即實(shí)現(xiàn)分布式安全保護(hù)。圖2為現(xiàn)有IPSec隧道組網(wǎng)模型中分布式報(bào)文傳輸安全保護(hù)裝置的結(jié)構(gòu)示意圖。如圖2所示,以如圖1所示的IPSec隧道組網(wǎng)模型為例,作為分布式報(bào)文傳輸安全保護(hù)裝置的網(wǎng)關(guān)Rl至少包括主控板l、接口板A和接口板B。接口板A和接口板B上分別設(shè)置了兩個(gè)接口單元Al和A2、Bl和B2,主控板1與接口板A和接口板B通過(guò)交換網(wǎng)連接;作為分布式報(bào)文傳輸安全保護(hù)裝置的網(wǎng)關(guān)R2至少包括主控板2、接口板C和接口板D。接口板C和接口板D上分別設(shè)置了兩個(gè)接口單元CI和C2、D1和D2,主控板2與接口板C和接口板D通過(guò)交換網(wǎng)連接。以下舉例il明網(wǎng)關(guān)Rl和R2的內(nèi)部工作原理對(duì)于入方向,假設(shè)網(wǎng)關(guān)R1的接口板A上的接口單元Al接收到一個(gè)入方向報(bào)文,則接口板A查找轉(zhuǎn)發(fā)表;如果判斷出該入方向報(bào)文需要從接口板B的接口單元B1發(fā)送,則接口板A將該入方向報(bào)文轉(zhuǎn)發(fā)給接口板B。此時(shí),如果網(wǎng)關(guān)Rl上尚未建立SA,則接口板B丟棄來(lái)自接口板A的入方向報(bào)文,并請(qǐng)求主控板創(chuàng)建SA;主控板在發(fā)起IKE協(xié)商建立SA后,將對(duì)應(yīng)的入方向SA的SA信息發(fā)送給接口板B,以供接口板B下一次接收到入方向報(bào)文后能夠進(jìn)行入方向IPSec處理。如果網(wǎng)關(guān)R1上已建立了SA,則接口板B利用其存儲(chǔ)的入方向SA的SA信息對(duì)來(lái)自接口板A的入方向報(bào)文進(jìn)行加密等入方向IPSec處理,并通過(guò)接口單元Bl發(fā)送到該接口單元對(duì)應(yīng)的IPSec隧道。對(duì)于出方向,假設(shè)網(wǎng)關(guān)R2的接口板D上的接口單元Dl接收到來(lái)自IPSec隧道的出方向沖艮文,即網(wǎng)關(guān)Rl通過(guò)接口單元B1和該接口單元對(duì)應(yīng)的IPSec隧道發(fā)送的報(bào)文,如果網(wǎng)關(guān)R2上尚未建立SA,則接口板D丟棄該報(bào)文,并請(qǐng)求主控板2創(chuàng)建SA,主控板2在發(fā)起IKE協(xié)商建立SA后,將對(duì)應(yīng)的出方向SA的SA信息發(fā)送給接口板D;如果網(wǎng)關(guān)R2上已建立了SA,則接口板D利用其存儲(chǔ)的出方向SA的SA信息對(duì)來(lái)自IPSec隧道的報(bào)文進(jìn)行解密等出方向IPSec處理。同理,網(wǎng)關(guān)Rl和R2中的其它接口單元對(duì)應(yīng)其他IPSec隧道,也可以按照上述原理對(duì)入方向或出方向報(bào)文進(jìn)行IPSec處理。由上述分布式報(bào)文傳輸安全保護(hù)裝置可見(jiàn),當(dāng)需要通過(guò)某個(gè)接口單元所對(duì)應(yīng)的IPSec隧道進(jìn)行入方向或出方向的才艮文傳輸時(shí),只能由該4妄口單元所在的接口板進(jìn)行對(duì)應(yīng)的IPSec處理。這樣,實(shí)現(xiàn)了按接口分擔(dān)IPSec處理。然而,在某些組網(wǎng)環(huán)境下,當(dāng)同一個(gè)接口單元上有大量的IPSec隧道存在時(shí),對(duì)經(jīng)過(guò)所有這些IPSec隧道的報(bào)文進(jìn)行IPSec處理都只能依靠一塊接口板,會(huì)使得IPSec處理的效率大大降低。以如圖2所示的現(xiàn)有IPSec隧道組網(wǎng)模型中分布式報(bào)文傳輸安全保護(hù)裝置為例,網(wǎng)關(guān)R1的接口板A上的接口單元Al連續(xù)接收到多個(gè)入方向報(bào)文,則接口板A查找轉(zhuǎn)發(fā)表;如果判斷出接收到的每個(gè)入方向報(bào)文均需要從接口板B的接口單元B1發(fā)送,則接口板A將連續(xù)接收到的多個(gè)入方向報(bào)文轉(zhuǎn)發(fā)給接口板B,在網(wǎng)關(guān)Rl上已建立了SA的情況下,由接口板B對(duì)接收到的多個(gè)報(bào)文進(jìn)行入方向IPSec處理。而此時(shí),4妄口板A卻可能處于空閑狀態(tài)。接口板B通過(guò)接口單元Bl將入方向IPSec處理后的才艮文發(fā)送到IPSec隧道,該IPSec隧道的對(duì)端接口為網(wǎng)關(guān)R2的接口板D上的接口單元Dl。網(wǎng)關(guān)R2的接口板D上的接口單元Dl接收到來(lái)自IPSec隧道的出方向報(bào)文,在網(wǎng)關(guān)R2上已建立了SA的情況下,接口板D利用其存儲(chǔ)的出方向SA的SA信息對(duì)來(lái)自IPSec隧道的報(bào)文進(jìn)行出方向IPSec處理。而此時(shí),接口板C卻可能處于空閑狀態(tài)??梢?jiàn),現(xiàn)有分布式報(bào)文傳輸安全處理裝置不能有效分擔(dān)IPSec處理,從而造成了IPSec處理效率不高。
發(fā)明內(nèi)容有鑒于此,本發(fā)明提供了一種分布式報(bào)文傳輸安全保護(hù)裝置和方法,能夠有效分擔(dān)IPSec處理,從而提高IPSec處理效率。本發(fā)明提供的一種分布式報(bào)文傳輸安全保護(hù)裝置,包括主控板、與主控板相連的多個(gè)接口單元、以及與主控板相連的多個(gè)處理板,其中,所述主控板,針對(duì)各接口單元上的互聯(lián)網(wǎng)安全I(xiàn)PSec隧道建立對(duì)應(yīng)的安全聯(lián)盟SA,并根據(jù)預(yù)設(shè)規(guī)則將建立SA得到的SA信息發(fā)送給各處理板,處理板存儲(chǔ)接收到的SA信息;所述接口單元將接收到的報(bào)文發(fā)送給所述主控板,所述主控板將接收到的需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板;所述處理板,利用存儲(chǔ)的SA信息,對(duì)來(lái)自主控板的報(bào)文進(jìn)行IPSec處理。所述主控板中進(jìn)一步包括根據(jù)不同SA信息建立的重定向表;所述需要進(jìn)行IPSec處理的報(bào)文,是根據(jù)查找所述重定向表的結(jié)果,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性所匹配的SA信息的處理板的。所述重定向表包括根據(jù)不同入方向SA的SA信息建立的入方向重定向表、和根據(jù)不同出方向SA的SA信息建立的出方向重定向表;如果所述主控板通過(guò)接口單元接收到的報(bào)文為入方向報(bào)文,則該報(bào)文是依據(jù)查找由對(duì)應(yīng)入方向SA的SA信息建立的重定向表的結(jié)果,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性所匹配的SA信息的處理板的;如果所述主控板通過(guò)所述至少一個(gè)接口單元接收到的報(bào)文為出方向報(bào)文,則該報(bào)文是依據(jù)查找由對(duì)應(yīng)出方向SA的SA信息建立的重定向表的結(jié)果,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性所匹配的SA信息的處理板的。所述入方向重定向表中包括入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系;查找入方向重定向表的結(jié)果為入方向報(bào)文特性對(duì)應(yīng)的處理板標(biāo)識(shí);或者包括根據(jù)入方向SA的SA信息中的訪問(wèn)控制列表ACL規(guī)則號(hào),從預(yù)設(shè)ACL表中查找得到的五元組,以及該入方向SA的SA信息中的接口索引;或者包括入方向SA的SA信息中的接口索引;或者包括入方向SA的SA信息中的隧道對(duì)端IP和接口索引;其中,接口索引和隧道對(duì)端IP是根據(jù)所述接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表得到的。所述入方向報(bào)文特性包括入方向SA信息中的SA保護(hù)流五元組和接口索引;其中,接口索引是根據(jù)所述接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表得到的。所述出方向重定向表中包括出方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系;查找由出方向重定向表的結(jié)果為出方向報(bào)文特性對(duì)應(yīng)的處理板標(biāo)識(shí);所述出方向重定向表中的出方向報(bào)文特性,是根據(jù)出方向SA的SA信息確定的。所述出方向的報(bào)文特性包括對(duì)應(yīng)的出方向SA信息中的安全索引、隧道本端IP、安全協(xié)議類型。所述處理板標(biāo)識(shí)為處理板板號(hào);所述入方向重定向表中的處理板板號(hào),是根據(jù)所述入方向重定向表的數(shù)量對(duì)所述處理板的數(shù)量取模后的結(jié)果確定的;所述出方向重定向表中的處理板板號(hào),為對(duì)應(yīng)的入方向重定向表中的處理板板號(hào);其中,該出方向重定向表對(duì)應(yīng)的出方向SA,與所述對(duì)應(yīng)的入方向重定向表對(duì)應(yīng)的入方向SA相關(guān)if關(guān)。所述接口單元為所述主控板上的物理接口,或者為獨(dú)立于所述主控板的功能單元。所述主控板、處理板和接口單元位于同一物理實(shí)體內(nèi)部;或者,所述主控板、處理板和接口單元中的任意兩者分別位于不同物理實(shí)體內(nèi)部。該報(bào)文傳輸安全保護(hù)裝置為網(wǎng)關(guān)。本發(fā)明提供的一種分布式報(bào)文傳輸安全保護(hù)方法,包括主控板針對(duì)各接口單元上的互聯(lián)網(wǎng)安全I(xiàn)PSec隧道建立對(duì)應(yīng)的安全聯(lián)盟SA,并根據(jù)預(yù)設(shè)規(guī)則將建立SA得到的SA信息發(fā)送給各處理板,處理板存儲(chǔ)接收到的SA信息;接口單元將接收到的報(bào)文發(fā)送給主控板,主控板將接收到的需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板;處理板利用其存儲(chǔ)的SA信息,對(duì)來(lái)自主控板的報(bào)文進(jìn)行互聯(lián)網(wǎng)安全I(xiàn)PSec處理。所述將建立SA得到的SA信息發(fā)送給各處理板之前,該方法進(jìn)一步包括根據(jù)SA信息建立并存儲(chǔ)重定向表;所述將建立SA得到的SA信息發(fā)送給各處理板為根據(jù)查找由SA信息建立的重定向表的結(jié)果,將需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板。所述根據(jù)SA信息建立并存儲(chǔ)重定向表包括根據(jù)入方向SA的SA信息建立并存儲(chǔ)入方向重定向表,且才艮據(jù)出方向SA的SA信息建立出方向重定向表;如果所述需要進(jìn)行IPSec處理的報(bào)文為入方向報(bào)文,則所述需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該才艮文的4艮文特性匹配的SA信息的處理板為查找入方向重定向表,根據(jù)查找結(jié)果,將該報(bào)文發(fā)送給存儲(chǔ)著與該入方向報(bào)文的報(bào)文特性匹配的SA信息的處理板;如果所述需要進(jìn)行IPSec處理的報(bào)文為出方向報(bào)文,則所述需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板為查找出方向重定向表,根據(jù)查找結(jié)果將該報(bào)文發(fā)送給存儲(chǔ)著與該出方向報(bào)文的報(bào)文特性匹配的SA信息的處理板。所述根據(jù)入方向SA的SA信息建立入方向重定向表為根據(jù)入方向SA的SA信息確定入方向報(bào)文特性,建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系;所述查找由入方向重定向表的結(jié)果為入方向報(bào)文特性對(duì)應(yīng)的處理板標(biāo)識(shí)。所述建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為根據(jù)入方向SA的SA信息中的訪問(wèn)控制列表ACL規(guī)則號(hào),從預(yù)設(shè)ACL表中查找得到五元組;建立查找得到的五元組和該入方向SA的SA信息中的接口索引,與處理板標(biāo)識(shí)的映射關(guān)系;所述查找入方向重定向表為根據(jù)接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的接口索引;根據(jù)接收到的入方向報(bào)文中的五元組的全部或部分元素,以及該^艮文對(duì)應(yīng)的接口索引查找所述入方向重定向表。所述建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為建立入方向SA的SA信息中的接口索引與處理板標(biāo)識(shí)的映射關(guān)系;所述查找入方向重定向表為根據(jù)接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的接口索引;根據(jù)該報(bào)文對(duì)應(yīng)的接口索引查找所述入方向重定向表。所述建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為建立對(duì)應(yīng)的入方向SA的SA信息中的隧道對(duì)端IP和接口索引,與處理板標(biāo)識(shí)的映射關(guān)系;所述查找入方向重定向表為根據(jù)接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的接口索引和隧道對(duì)端IP;根據(jù)該報(bào)文對(duì)應(yīng)的4妄口索引和隧道對(duì)端IP查找所述入方向重定向表。所述建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為建立入方向SA信息中的SA保護(hù)流五元組和接口索引,與處理板標(biāo)識(shí)的映射關(guān)系;所述查找入方向重定向表為根據(jù)接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的接口索引;根據(jù)接收到的入方向報(bào)文中的五元組的全部或部分元素,以及該報(bào)文對(duì)應(yīng)的接口索引查找所述入方向重定向表。所述根據(jù)出方向SA的SA信息建立出方向重定向表為根據(jù)出方向SA的SA信息確定出方向報(bào)文特性,建立出方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系;所述查找出方向重定向表的結(jié)果為出方向報(bào)文特性對(duì)應(yīng)的處理板標(biāo)識(shí)。所述建立出方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為建立對(duì)應(yīng)的出方向SA信息中的安全索引、隧道本端IP、安全協(xié)議類型,與處理板標(biāo)識(shí)的映射關(guān)系;所述查找出方向重定向表為據(jù)接收到的出方向報(bào)文中的安全索引、隧道本端IP、安全協(xié)議類型,查找出方向重定向表。所述處理板標(biāo)識(shí)為處理板板號(hào);所述入方向重定向表中的處理板板號(hào),是根據(jù)所述入方向重定向表的數(shù)量對(duì)所述處理板的數(shù)量取模后的結(jié)果確定的;所述出方向重定向表中的處理板板號(hào),為對(duì)應(yīng)的入方向重定向表中的處理板板號(hào);其中,該出方向重定向表對(duì)應(yīng)的出方向SA,與所述對(duì)應(yīng)的入方向重定向表對(duì)應(yīng)的入方向SA相關(guān)聯(lián)。由上述技術(shù)方案可見(jiàn),主控板按照預(yù)設(shè)規(guī)則,將各SA信息分配給多個(gè)處理板,從而使得接收并存儲(chǔ)SA信息的各處理板均可實(shí)現(xiàn)IPSec處理,從而實(shí)現(xiàn)了將IPSec處理分擔(dān)到多個(gè)處理板,因此,當(dāng)在同一個(gè)接口上有大量的IPSec隧道存在時(shí),對(duì)經(jīng)過(guò)所有IPSec隧道的報(bào)文進(jìn)行IPSec處理不會(huì)只依靠該接口所在的一塊處理板,而是分配給不同的處理板來(lái)完成,使得多塊處理板有效地分擔(dān)了與多個(gè)SA對(duì)應(yīng)的IPSec處理,從而提高了IPSec處理的效率。圖l為現(xiàn)有IPSec隧道組網(wǎng)模型示意圖。圖2為現(xiàn)有IPSec隧道組網(wǎng)模型中分布式報(bào)文傳輸安全保護(hù)裝置的結(jié)構(gòu)示意圖。圖3為本發(fā)明實(shí)施例中分布式報(bào)文傳輸安全保護(hù)裝置的示例性結(jié)構(gòu)圖。圖5為本發(fā)明實(shí)施例中創(chuàng)建入方向重定向表的示意圖。圖6為本發(fā)明實(shí)施例中入方向重定向過(guò)程的示意圖。圖7為本發(fā)明實(shí)施例中創(chuàng)建出方向重定向表的示意圖。圖8為本發(fā)明實(shí)施例中出方向重定向過(guò)程的示意圖。圖9為本發(fā)明實(shí)施例中分布式報(bào)文傳輸安全保護(hù)過(guò)程1的流程圖。圖10為本發(fā)明實(shí)施例中分布式報(bào)文傳輸安全保護(hù)過(guò)程2的流程圖。具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉實(shí)施例,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。本發(fā)明中,主控板并不總是將各接口單元上的IPSec隧道所對(duì)應(yīng)的SA信息發(fā)送給該接口單元所在的處理板,而是按照均衡分擔(dān)的原則,將針對(duì)各接口單元上的IPSec隧道所建立的SA的SA信息,根據(jù)各處理板當(dāng)時(shí)業(yè)務(wù)處理情況,分別發(fā)送給比較空閑的各處理板;具體實(shí)現(xiàn)為各接口單元首先將接收到的報(bào)文發(fā)送給主控板,由主控板在判斷出該報(bào)文需要進(jìn)行IPSec處理后,將該報(bào)文對(duì)應(yīng)的SA信息發(fā)送給當(dāng)時(shí)比較空閑的處理板,由該處理板對(duì)后續(xù)發(fā)送過(guò)來(lái)的報(bào)文進(jìn)行IPSec相應(yīng)的處理。這樣,當(dāng)在同一個(gè)接口單元上有大量的IPSec隧道存在時(shí),對(duì)經(jīng)過(guò)所有這些IPSec隧道的報(bào)文進(jìn)行IPSec處理不會(huì)只依靠該接口單元所在的一塊處理板,而是根據(jù)各處理板當(dāng)時(shí)業(yè)務(wù)的處理情況,分配給不同的處理板來(lái)完成,使得各處理板有效地分擔(dān)了IPSec處理,從而提高了IPSec處理的效率。上述處理板可以為接口單元所在的處理板,即接口板;由于分布式報(bào)文傳輸安全保護(hù)裝置中,通常還包括用于會(huì)話業(yè)務(wù)處理等業(yè)務(wù)處理的業(yè)務(wù)板,因此,上述處理板也可以為業(yè)務(wù)板。實(shí)際應(yīng)用中,只需在業(yè)務(wù)板上增加一個(gè)現(xiàn)有能夠?qū)崿F(xiàn)IPSec處理的功能單元即可。圖3為本發(fā)明實(shí)施例中分布式報(bào)文傳輸安全保護(hù)裝置的示例性結(jié)構(gòu)圖。如圖3所示,本實(shí)施例中的分布式報(bào)文傳輸安全保護(hù)裝置可以包括主控板、接口單元和處理板。主控板,針對(duì)各接口單元上的IPSec隧道建立SA,并按照預(yù)設(shè)規(guī)則將建立SA得到的SA信息發(fā)送給各處理板,例如可以按照輪詢、哈希(Hash)運(yùn)算等基于均蘅原則的方式將SA信息分配給各處理板,處理板存儲(chǔ)接收到的SA信息。接口單元將接收到的報(bào)文發(fā)送給主控板,主控板將需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性所匹配的SA信息的處理板。通常情況下,SA信息中包括訪問(wèn)控制列表(AccessControlList,ACL)規(guī)則號(hào)、接口索引、隧道對(duì)端IP、SA保護(hù)流五元組。因此,主控斧反可以從報(bào)文中提取相應(yīng)的報(bào)文特性,并根據(jù)上述信息,判斷出與接收到的報(bào)文的報(bào)文特性匹配的SA信息。實(shí)際應(yīng)用中,主控板中還存儲(chǔ)著預(yù)先設(shè)置的安全策略。其中,安全策略規(guī)定不同報(bào)文對(duì)應(yīng)的安全服務(wù)(包括安全協(xié)議類型、加密/認(rèn)證算法以及封裝模式);安全策略中還包括用于描述報(bào)文特性的訪問(wèn)控制列表ACL規(guī)則表。ACL規(guī)則表中包含了該安全策略保護(hù)的報(bào)文流的五元組信息(包括源/目的IP、源/目的端口號(hào)以及IP層承載的協(xié)議類型)以及對(duì)該報(bào)文進(jìn)行何種動(dòng)作(是應(yīng)用IPSec保護(hù)還是丟棄)。主控板在接收到報(bào)文后,根據(jù)存儲(chǔ)的預(yù)設(shè)安全策略判斷是否應(yīng)當(dāng)對(duì)接收到的報(bào)文應(yīng)用IPSec保護(hù),如果根據(jù)報(bào)文的目的IP地址查找轉(zhuǎn)發(fā)表所確定的接口單元綁定了預(yù)設(shè)的安全策略,則判斷需要對(duì)該報(bào)文進(jìn)行IPSec處理,并將該報(bào)文發(fā)送給存儲(chǔ)著對(duì)應(yīng)SA信息的處理板。相同或不同設(shè)置的安全策略可以與不同的接口單元綁定。處理板利用所存儲(chǔ)的SA信息,對(duì)來(lái)自主控板的報(bào)文進(jìn)行IPSec處理。其中,對(duì)于需要通過(guò)IPSec隧道發(fā)送的報(bào)文,IPSec處理為加密、封裝等處理;對(duì)于從IPSec隧道接收到的報(bào)文,IPSec處理為解密、解封裝等處理。如果處理板中存儲(chǔ)著多個(gè)SA信息,則處理板也可以根據(jù)報(bào)文的報(bào)文特性選^t奪出匹配的SA信息,并利用匹配的SA信息對(duì)報(bào)文進(jìn)行IPSec處理。由上述裝置可見(jiàn),主控板按照預(yù)設(shè)規(guī)則,將各SA信息分配給多個(gè)處理板,從而使得接收并存儲(chǔ)SA信息的各處理板均可實(shí)現(xiàn)IPSec處理,從而實(shí)現(xiàn)了將IPSec處理分擔(dān)到多個(gè)處理板,因此,當(dāng)在同一個(gè)接口上有大量的IPSec隧道存在時(shí),對(duì)經(jīng)過(guò)所有IPSec隧道的報(bào)文進(jìn)行IPSec處理不會(huì)只依靠該接口所在的一塊處理板,而是分配給不同的處理板來(lái)完成,使得多塊處理板有效地分擔(dān)了與多個(gè)SA對(duì)應(yīng)的IPSec處理,從而提高了IPSec處理的效率。實(shí)際應(yīng)用中,主控板和處理板可以通過(guò)交換網(wǎng)相連;接口單元可以為主控板上的物理接口,也可以為處理板上的物理接口、還可以為獨(dú)立于主控板或獨(dú)立于處理板的功能單元;如果接口單元為獨(dú)立于主控板或獨(dú)立于處理板的功能單元,則接口單元也可以通過(guò)交換網(wǎng)與主控板相連;如果接口單元為獨(dú)立于主控板的功能單元,則接口單元還可以通過(guò)交換網(wǎng)與處理板相連,再由處理板通過(guò)另一個(gè)交換網(wǎng)與主控板相連。在本發(fā)明實(shí)施例中的分布式報(bào)文傳輸安全保護(hù)裝置中,主控板、處理板和接口單元可以位于同一物理實(shí)體內(nèi);或者,主控板、處理板和接口單元中的任意兩者分別位于不同的物理實(shí)體內(nèi)。在完成對(duì)應(yīng)的IPSec處理之后,處理板可以將處理后的報(bào)文發(fā)送給主控板,由主控板將來(lái)自處理板的報(bào)文通過(guò)對(duì)應(yīng)的接口單元發(fā)送,實(shí)現(xiàn)了報(bào)文的傳輸。如圖3所示的報(bào)文傳輸安全保護(hù)裝置可以為網(wǎng)關(guān)。如圖4所示,本實(shí)施例中的分布式報(bào)文傳輸安全保護(hù)方法包括步驟401,主控板針對(duì)各接口單元上的IPSec隧道建立對(duì)應(yīng)的SA,并才艮據(jù)預(yù)設(shè)規(guī)則將建立SA得到的SA信息發(fā)送給各處理板。步驟402,處理板存儲(chǔ)主控板發(fā)送的SA信息。步驟403,接口單元將接收到的報(bào)文發(fā)送給主控板,主控板將需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性所匹配的SA信息的處理板。本步驟中,主控板可先根據(jù)存儲(chǔ)的預(yù)設(shè)安全策略,判斷是否應(yīng)對(duì)接收到的才艮文進(jìn)行IPSec處理,如果應(yīng)對(duì)該報(bào)文進(jìn)行IPSec處理,才繼續(xù)執(zhí)行本步驟,否則,結(jié)束本流程,丟棄接收到的報(bào)文或通過(guò)其他路由轉(zhuǎn)發(fā)方式轉(zhuǎn)發(fā)接收到的報(bào)文。步驟404,處理板利用存儲(chǔ)的SA信息,對(duì)主控板發(fā)送的報(bào)文進(jìn)行IPSec處理。本步驟中,對(duì)于需要通過(guò)IPSec隧道發(fā)送的才艮文,IPSec處理為加密、封裝等處理;對(duì)于從IPSec隧道接收到的報(bào)文,IPSec處理為解密、解封裝等處理。如果處理板中存儲(chǔ)著多個(gè)SA信息,則處理板也可以根據(jù)報(bào)文的報(bào)文特性選擇出匹配的SA信息,并利用匹配的SA信息對(duì)報(bào)文進(jìn)行IPSec處理。由上述流程可見(jiàn),主控板按照預(yù)設(shè)規(guī)則,將各SA信息分配給多個(gè)處理板,從而使得接收并存儲(chǔ)SA信息的各處理板均可實(shí)現(xiàn)IPSec處理,從而實(shí)現(xiàn)了將IPSec處理分擔(dān)到多個(gè)處理板,因此,當(dāng)在同一個(gè)接口上有大量的IPSec隧道存在時(shí),對(duì)經(jīng)過(guò)所有IPSec隧道的^艮文進(jìn)行IPSec處理不會(huì)只依靠該接口所在的同一塊處理板,而是分配給不同的處理板來(lái)完成,使得多塊處理板有效地分擔(dān)了與多個(gè)SA對(duì)應(yīng)的IPSec處理,從而提高了IPSec處理的效率。在步驟404之后,處理板可以將處理后的報(bào)文發(fā)送給主控板,由主控板將來(lái)自處理板的報(bào)文通過(guò)對(duì)應(yīng)的接口單元發(fā)送,實(shí)現(xiàn)了報(bào)文的傳輸。本發(fā)明實(shí)施例中,考慮到IPSec的防重放特性,較佳地應(yīng)保證同一個(gè)入方向SA或一個(gè)出方向SA對(duì)應(yīng)的所有IPSec處理分配給同一個(gè)處理板。例如,在入方向上,如果同一個(gè)SA對(duì)應(yīng)的IPSec處理分布在不同的處理板上進(jìn)行,就有可能由于序列號(hào)的不同步,使得兩塊處理板進(jìn)行IPSec處理后的報(bào)文具有相同的序列號(hào),違背了同一個(gè)SA對(duì)應(yīng)的報(bào)文序列號(hào)為單調(diào)遞增的特性;而且,在出方向上,如果同一個(gè)SA對(duì)應(yīng)的IPSec處理分布在不同的處理板上,就有可能會(huì)造成兩塊處理板上同一SA對(duì)應(yīng)的防重放窗口位置不一樣,導(dǎo)致在出方向上接收的報(bào)文被錯(cuò)誤丟棄。因此,本實(shí)施例在主控板將同一個(gè)SA的SA信息只發(fā)送給一塊處理板,而不會(huì)將同一個(gè)SA的SA信息發(fā)送給多塊處理板,并在將不同SA的SA信息分配給各處理板之前,先根據(jù)不同SA的SA信息建立并存儲(chǔ)對(duì)應(yīng)的重定向表,再根據(jù)建立并存儲(chǔ)的重定向表,將后續(xù)接收到的需要IPSec處理、且報(bào)文特性與同一SA信息匹配的所有報(bào)文,發(fā)送給同一塊處理板進(jìn)行相應(yīng)的IPSec處理。下面,對(duì)本實(shí)施例中的重定向表進(jìn)行詳細(xì)說(shuō)明。本實(shí)施例中,建立的重定向表包括根據(jù)不同入方向SA的SA信息建立的入方向重定向表、和根據(jù)不同出方向SA的SA信息建立的出方向重定向表。如果主控板通過(guò)至少一個(gè)接口單元接收到的報(bào)文為入方向報(bào)文,則主控板查找對(duì)應(yīng)入方向SA的SA信息建立的重定向表,將查找重定向表的結(jié)果,發(fā)送給存儲(chǔ)著該SA信息的處理板;如果主控板通過(guò)至少一個(gè)接口單元接收到的報(bào)文為出方向報(bào)文,則主控板查找對(duì)應(yīng)出方向SA的SA信息建立的重定向表,將查找重定向表的結(jié)果,發(fā)送給存儲(chǔ)著該SA信息的處理板。其中,入方向的重定向表的結(jié)構(gòu)可以如表1所示。<table>tableseeoriginaldocumentpage20</column></row><table>表中,將入方向報(bào)文特性作為關(guān)鍵字,包括五元組信息(源IP、目的IP、源端口、目的端口、協(xié)i義類型)、以及應(yīng)用了IPSec處理的接口索引,其中,目的IP可替換為隧道對(duì)端IP;查表結(jié)果即為入方向報(bào)文特性對(duì)應(yīng)的處理板板號(hào)等標(biāo)識(shí)。通常情況下,SA信息中包括ACL規(guī)則號(hào)、接口索引、隧道對(duì)端IP、SA保護(hù)流五元組。因此,主控板可從上述信息中獲取對(duì)應(yīng)的關(guān)鍵字。實(shí)際應(yīng)用中,關(guān)鍵字也可以不全包括五元組中的所有信息和接口索引,而是只包括五元組中所有信息與接口索引中的一個(gè)或多個(gè)的組合。在建立了入方向SA之后,主控板能夠從入方向SA的SA信息中獲取對(duì)應(yīng)的入方向報(bào)文特性,將獲取的入方向報(bào)文特性作為關(guān)鍵字,并確定該關(guān)鍵字對(duì)應(yīng)的處理板標(biāo)識(shí),即可建立類似于表1所示的重定向表,并將建立重定向表對(duì)應(yīng)的入方向SA信息發(fā)送給與處理板標(biāo)識(shí)對(duì)應(yīng)的處理板。其中,如果處理板標(biāo)識(shí)為處理板板號(hào),則較佳地,可以將當(dāng)前已建立的入方向重定向表的數(shù)量對(duì)所述處理板的數(shù)量取模,根據(jù)取模后的結(jié)果確定每個(gè)入方向重定向表中的處理板板號(hào),即與不同入方向SA對(duì)應(yīng)的處理板板號(hào),從而能夠?qū)⒉煌琒A對(duì)應(yīng)的IPSec處理較為均勻地分配給所有的處理板。例如,假設(shè)處理板的數(shù)量為10,當(dāng)前建立的重定向表為已建立的第1個(gè)重定向表,即重定向表的總數(shù)為1,則l對(duì)10取模的結(jié)果(即1除以10的余數(shù))為1,根據(jù)取模后的結(jié)果確定第1個(gè)重定向表中的處理板板號(hào)為1。依此類推,每建立一個(gè)重定向表,均按照上述方式確定該重定向表中的處理板板號(hào),假設(shè)當(dāng)前建立的重定向表為已建立的第53個(gè)重定向表,即重定向表的總數(shù)為53,則53對(duì)IO取模的結(jié)果(即53除以IO的余數(shù))為3,根據(jù)取模后的結(jié)果確定第53個(gè)重定向表中的處理板板號(hào)為3。可見(jiàn),在處理板的數(shù)量為IO的情況下,建立的第i個(gè)重定向表中的處理板板號(hào)為i的個(gè)位,從而實(shí)現(xiàn)了將不同SA對(duì)應(yīng)的IPSec處理均勻地分配給所有的處理板。實(shí)際應(yīng)用中,也可以采用例如隨機(jī)分配等其他方式,確定每個(gè)入方向重定向表中的處理板標(biāo)識(shí),以盡可能地將所有入方向SA對(duì)應(yīng)的IPSec處理平均分配給所有處理板。這樣,在后續(xù)通過(guò)接口單元接收到入方向報(bào)文后,從入方向報(bào)文中直接或者間接獲取對(duì)應(yīng)的入方向報(bào)文特性,并根據(jù)獲取的入方向報(bào)文特性查找入方向重定向表,獲得對(duì)應(yīng)的處理板標(biāo)識(shí),再將該報(bào)文發(fā)送給與該處理板標(biāo)識(shí)對(duì)應(yīng)的處理^1即可。實(shí)際應(yīng)用中,可選擇不同的入方向報(bào)文特性作為關(guān)鍵字建立入方向重定向表,并從接收到的入方向報(bào)文中獲取對(duì)應(yīng)的入方向報(bào)文特性,查找對(duì)應(yīng)的入方向重定向表,再將入方向報(bào)文發(fā)送到存儲(chǔ)著對(duì)應(yīng)SA信息的處理板。也就是說(shuō),本發(fā)明實(shí)施例中,可以基于不同方式將不同SA對(duì)應(yīng)的IPSec處理分配給不同的處理板。以下,對(duì)基于不同方式分配IPSec處理、及對(duì)應(yīng)的入方向重定向表的建立過(guò)程舉例說(shuō)明。本實(shí)施例中可以基于如下四種方式重定向分配IPSec處理按照ACL規(guī)則分配、按照接口索引分配、按照隧道對(duì)端IP分配、按照SA保護(hù)流五元組分配。圖5為本發(fā)明實(shí)施例中創(chuàng)建入方向重定向表的示意圖。如圖5所示,如果按照ACL規(guī)則分配,即主控板根據(jù)IPSec安全策略中引用的ACL規(guī)則,將不同SA對(duì)應(yīng)的IPSec處理分配給不同的處理板,則主控板提取入方向SA的SA信息中的ACL規(guī)則號(hào),依此查找ACL表,獲得該ACL規(guī)則保護(hù)的五元組信息,然后提取該五元組和SA信息中的接口索引,作為入方向重定向表的關(guān)鍵字。而作為查表結(jié)果的處理板標(biāo)識(shí),以處理板標(biāo)識(shí)為處理板板號(hào)為例,則可以根據(jù)入方向重定向表的個(gè)數(shù)對(duì)處理板總數(shù)取模的結(jié)果來(lái)確定處理板板號(hào);也可以隨機(jī)確定。這樣,建立的入方向重定向表中,作為關(guān)鍵字的入方向報(bào)文特性包括根據(jù)對(duì)應(yīng)的入方向SA的SA信息中的ACL規(guī)則號(hào),從預(yù)設(shè)ACL表中查找得到的五元組,以及該入方向SA的SA信息中的接口索引。如圖5所示,如果按照接口索引分配,即主控板根據(jù)不同的接口索引,將不同SA對(duì)應(yīng)的IPSec處理分配給不同的處理板,則主控板提取入方向SA的SA信息中的接口索引,作為入方向重定向表的關(guān)鍵字。而作為查表結(jié)果的處理板標(biāo)識(shí),以處理板標(biāo)識(shí)為處理板板號(hào)為例,則可以根據(jù)入方向重定向表的個(gè)數(shù)對(duì)處理板總數(shù)取模的結(jié)果來(lái)確定處理板板號(hào);也可以隨機(jī)確定。這樣,建立的入方向重定向表中,作為關(guān)鍵字的入方向報(bào)文特性包括對(duì)應(yīng)的入方向SA的SA信息中的接口索引。如圖5所示,如果按照隧道對(duì)端IP分配,即主控板將具有相同隧道對(duì)端IP的所有入方向報(bào)文分配給同一塊處理板,則主控板提取入方向SA的SA信息中的隧道對(duì)端IP和接口索引,作為入方向重定向表的關(guān)鍵字。而作為查表結(jié)果的處理板標(biāo)識(shí),以處理板標(biāo)識(shí)為處理板板號(hào)為例,則可以根據(jù)入方向重定向表的個(gè)數(shù)對(duì)處理板總數(shù)取模的結(jié)果來(lái)確定處理板板號(hào);也可以隨才幾確定。對(duì)于按照隧道對(duì)端IP分配方式,如果本端和對(duì)端之間有多條IPSec隧道,則需要通過(guò)這些IPSec隧道傳輸?shù)乃腥敕较驁?bào)文都由同一塊處理板處理。如果本端和多個(gè)對(duì)端之間有各自的IPSec隧道,則需要通過(guò)這些IPSec隧道傳輸?shù)乃腥敕较驁?bào)文將分擔(dān)到多塊處理板處理。這樣,建立的入方向重定向表中,作為關(guān)鍵字的入方向報(bào)文特性包括對(duì)應(yīng)的入方向SA的SA信息中的隧道對(duì)端IP和接口索引。如圖5所示,如果按照SA保護(hù)流五元組分配,即同一個(gè)SAl義對(duì)應(yīng)一條數(shù)據(jù)流中的所有報(bào)文,則主控板提取入方向SA的SA信息中的SA保護(hù)流五元組和接口索引,作為入方向重定向表的關(guān)鍵字。而作為查表結(jié)果的處理板標(biāo)識(shí),以處理板標(biāo)識(shí)為處理板板號(hào)為例,則可以根據(jù)入方向重定向表的個(gè)數(shù)對(duì)處理板總數(shù)取模的結(jié)果來(lái)確定處理板板號(hào);也可以隨機(jī)確定。這樣,建立的入方向重定向表中,作為關(guān)鍵字的入方向報(bào)文特性包括對(duì)應(yīng)的入方向SA信息中的SA保護(hù)流五元組和4妄口索引。實(shí)際應(yīng)用中,可以根據(jù)需要的負(fù)載分擔(dān)粒度,選擇不同的分配方式并建立對(duì)應(yīng)的入方向重定向表。其中,由于按照接口索引分配IPSec處理,是將同一接口上需要進(jìn)行的所有入方向報(bào)文的入方向IPSec處理分配給同一塊處理板,因而該方式的分擔(dān)粒度是最粗的;而由于按照SA保護(hù)流五元組分配,只將一條數(shù)據(jù)流對(duì)應(yīng)的所有入方向報(bào)文的入方向IPSec處理分配給一塊處理板,因而該方式的分擔(dān)粒度是最細(xì)的。對(duì)于上述各種分配IPSec處理的方式、及建立的對(duì)應(yīng)入方向重定向表,性,并作為關(guān)鍵字從重定向表中查找到對(duì)應(yīng)的處理板標(biāo)識(shí)。圖6為本發(fā)明實(shí)施例中入方向重定向過(guò)程的示意圖。如圖6所示,如果建立的入方向重定向表對(duì)應(yīng)的IPSec處理的分配方式為按照ACL規(guī)則分配,則主控板先根據(jù)接口單元接收到的入方向報(bào)文中的目的IP,查找預(yù)設(shè)轉(zhuǎn)發(fā)表確定該入方向報(bào)文對(duì)應(yīng)的接口索引,再根據(jù)接收到的入方向才艮文中的五元組和該入方向l艮文對(duì)應(yīng)的接口索引查找入方向重定向表,從而獲得對(duì)應(yīng)的處理板標(biāo)識(shí),并將該入方向l艮文發(fā)送給與該處理板標(biāo)識(shí)對(duì)應(yīng)的處理4反。實(shí)際應(yīng)用中,主控板也可以不提取入方向報(bào)文的五元組中的所有元素,而是只提取任意一個(gè)或部分元素,并根據(jù)提取出的一個(gè)或部分元素、以及入方向報(bào)文對(duì)應(yīng)的接口索引來(lái)查找入方向重定向表,也能夠獲得對(duì)應(yīng)的處理板標(biāo)識(shí)。如圖6所示,如果建立的入方向重定向表對(duì)應(yīng)的IPSec處理的分配方式為按照接口索引分配,則主控板先根據(jù)通過(guò)接口單元接收到的入方向報(bào)文中的目的IP,查找預(yù)設(shè)轉(zhuǎn)發(fā)表確定該入方向報(bào)文對(duì)應(yīng)的接口索引,再根據(jù)接收到的入方向報(bào)文對(duì)應(yīng)的接口索引查找所述入方向重定向表,從而獲得對(duì)應(yīng)的處理板標(biāo)識(shí),并將該入方向報(bào)文發(fā)送給與該處理板標(biāo)識(shí)對(duì)應(yīng)的處理板。如圖6所示,如果建立的入方向重定向表對(duì)應(yīng)的IPSec處理的分配方式為按照隧道對(duì)端IP分配,則主控板先根據(jù)接口單元接收到的入方向報(bào)文中的目的IP,查找預(yù)設(shè)轉(zhuǎn)發(fā)表確定該入方向報(bào)文對(duì)應(yīng)的接口索引和該入方向報(bào)文的下一跳IP,再根據(jù)接收到的入方向報(bào)文對(duì)應(yīng)的接口索引和下一跳IP查找入方向重定向表,從而獲得對(duì)應(yīng)的處理板標(biāo)識(shí),并將該入方向報(bào)文發(fā)送給與該處理板標(biāo)識(shí)乂于應(yīng)的處理板。其中,入方向才艮文對(duì)應(yīng)的下一跳IP可相當(dāng)于IPSec隧道的對(duì)端IP。以如圖1所示的IPSec隧道組網(wǎng)模型為例,入方向報(bào)文從主機(jī)A發(fā)往主機(jī)B,該入方向才艮文的目的IP為主才幾B的IP地址,而對(duì)于Rl來(lái)說(shuō),隧道對(duì)端IP為R2的IP地址,因此,Rl查找轉(zhuǎn)發(fā)表中的下一浪LIP為R2的IP地址。如圖6所示,如果建立的入方向重定向表對(duì)應(yīng)的IPSec處理的分配方式為按照SA保護(hù)流五元組分配,則主控板先根據(jù)接口單元接收到的入方向報(bào)文中的目的IP,查找預(yù)設(shè)轉(zhuǎn)發(fā)表確定該入方向報(bào)文對(duì)應(yīng)的接口索引,再根據(jù)接收到的入方向l艮文中的五元組和該l艮文對(duì)應(yīng)的4妄口索引查找所述入方向重定向表,/人而獲得對(duì)應(yīng)的處理板標(biāo)識(shí),并將該入方向報(bào)文發(fā)送給與該處理板標(biāo)識(shí)對(duì)應(yīng)的處理4反。其中,入方向才艮文中的五元組可對(duì)應(yīng)SA保護(hù)流五元組。實(shí)際應(yīng)用中,主控板也可以不提取入方向才艮文的五元組中的所有元素,而是只提取任意一個(gè)或部分元素,并根據(jù)提取出的一個(gè)或部分元素、以及入方向報(bào)文對(duì)應(yīng)的接口索引來(lái)查找入方向重定向表,也能夠獲得對(duì)應(yīng)的處理板標(biāo)識(shí)。可見(jiàn),本發(fā)明實(shí)施例中可根據(jù)所需的負(fù)載分擔(dān)粒度,選擇多種方式建立入方向重定向表,并根據(jù)建立的入方向重定向表,將入方向報(bào)文分配給不同處理板進(jìn)行對(duì)應(yīng)的入方向IPSec處理,從而實(shí)現(xiàn)多種IPSec處理的分配方式,進(jìn)而提高了本發(fā)明技術(shù)方案的靈活性和通用性。在建立入方向重定向表的同時(shí),還建立出方向重定向表。本實(shí)施例中,出方向的重定向表結(jié)構(gòu)可以如表2所示。關(guān)<table>tableseeoriginaldocumentpage25</column></row><table>)表2如表2所示的出方向重定向表中,作為關(guān)^l建字的出方向報(bào)文特性可以包括安全參數(shù)索引、隧道本端IP和安全協(xié)議類型。通常情況下,SA由一個(gè)三元組來(lái)唯一標(biāo)識(shí),這個(gè)三元組包括安全參數(shù)索引(SecurityParameterIndex,SPI)、目的IP和安全協(xié)議類型。因此,主控板可從上述信息中獲取安全參數(shù)索引、安全協(xié)議類型、以及相當(dāng)于隧道本端IP的目的IP。在建立了出方向SA之后,主控板能夠從出方向SA的SA信息中獲取對(duì)應(yīng)的出方向報(bào)文特性,將獲取的出方向報(bào)文特性作為關(guān)鍵字,并確定該關(guān)4建字對(duì)應(yīng)的處理板標(biāo)識(shí),即可建立類似表2所示的重定向表,并將建立重定向表對(duì)應(yīng)的出方向SA信息發(fā)送給處理板標(biāo)識(shí)對(duì)應(yīng)的處理板。其中,如果處理板標(biāo)識(shí)為處理板板號(hào),則可以根據(jù)出方向重定向表的數(shù)量對(duì)所述處理板的數(shù)量取模,根據(jù)取模后的結(jié)果確定每個(gè)出方向重定向表中的處理板板號(hào),或者按照例如隨機(jī)分配等其他方式,確定每個(gè)出方向重定向表中的處理板標(biāo)識(shí),以盡可能地將所有出方向SA對(duì)應(yīng)的IPSec處理平均分配給所有處理板。但是,由于例如會(huì)話等數(shù)據(jù)流為雙向數(shù)據(jù)流,因此,為了避免在處理IPSec隧道承載會(huì)話雙向數(shù)據(jù)流時(shí)存在的狀態(tài)同步復(fù)雜、系統(tǒng)帶寬消耗量大等問(wèn)題出現(xiàn),本實(shí)施例中,較佳地,將相互關(guān)聯(lián)的入方向SA和出方向SA對(duì)應(yīng)的IPSec處理分配給一塊處理4反。也就是說(shuō),可以先根據(jù)入方向SA的SA信息建立入方向重定向表,再將該入方向重定向表中的處理板標(biāo)識(shí)作為對(duì)應(yīng)的出方向重定向表中的處理才反標(biāo)識(shí),其中,該出方向重定向表對(duì)應(yīng)的出方向SA,與7于應(yīng)的入方向重定向表對(duì)應(yīng)的入方向SA相關(guān)耳關(guān)。這樣,在后續(xù)通過(guò)接口單元接收到出方向報(bào)文后,從出方向報(bào)文中獲取對(duì)應(yīng)的出方向報(bào)文特性,并根據(jù)獲取的出方向報(bào)文特性查找出方向重定向表,獲得對(duì)應(yīng)的處理板標(biāo)識(shí),再將該報(bào)文發(fā)送給與該處理板標(biāo)識(shí)對(duì)應(yīng)的處理板即可。而且,如果相互關(guān)聯(lián)的入方向SA和出方向SA在入方向重定向表和出方向重定向表中,處理板標(biāo)識(shí)相同,則可以保證將相互關(guān)聯(lián)的入方向SA和出方向SA對(duì)應(yīng)的IPSec處理分配給一塊處理才反J人而能夠解決在處理IPSec隧道承載雙向數(shù)據(jù)流時(shí)存在的狀態(tài)同步復(fù)雜、系統(tǒng)帶寬消耗量大等問(wèn)題。圖7為本發(fā)明實(shí)施例中創(chuàng)建出方向重定向表的示意圖。如圖7所示,從出方向SA的SA信息中提取出安全索引、隧道本端IP和安全協(xié)議類型作為出方向重定向表中的關(guān)鍵字,并將對(duì)應(yīng)的入方向重定向表中的處理板標(biāo)識(shí)作為該出方向重定向表中的處理^^反標(biāo)識(shí)即可。圖8為本發(fā)明實(shí)施例中出方向重定向過(guò)程的示意圖。如圖8所示,主控板從接口單元接收到的出方向報(bào)文中,提取出安全索引、目的IP和安全協(xié)議類型,并將提取出的出方向報(bào)文特性作為關(guān)鍵字,查找出方向重定向表,即可確定對(duì)應(yīng)的處理斧反標(biāo)識(shí),并將該出方向報(bào)文發(fā)送癥合與該處理板標(biāo)識(shí)對(duì)應(yīng)的處理板。這樣,由于入方向重定向表已經(jīng)保i正了同一個(gè)入方向SA對(duì)應(yīng)的入方向IPSec處理分配在一塊處理板上,因此將入方向重定向表中作為查表結(jié)果的處理板標(biāo)識(shí)復(fù)制到相應(yīng)出方向重定向表中,即可保證出方向上同一個(gè)出方向SA對(duì)應(yīng)的出方向IPSec處理也分配在該處理板上。實(shí)際應(yīng)用中,由于出方向SA的SA信息中,也包含了與入方向SA的SA信息中相同的接口索引、ACL規(guī)則號(hào)、隧道對(duì)端IP、SA保護(hù)流五元組信息。因此,本實(shí)施例中,也可根據(jù)不同的負(fù)載分擔(dān)粒度,從出方向SA的SA信息中提取接口索引、ACL規(guī)則號(hào)、隧道對(duì)端IP、SA保護(hù)流五元組信息中的一個(gè)或多個(gè)的任意組合,作為入方向重定向表中的關(guān)鍵字??梢?jiàn),上述實(shí)施例中可根據(jù)所需的負(fù)載分擔(dān)粒度,選擇多種方式建立重定向表,并根據(jù)建立的重定向表將報(bào)文分配給不同業(yè)務(wù)板進(jìn)行對(duì)應(yīng)的IPSec處理,從而實(shí)現(xiàn)多種IPSec處理的分配方式,進(jìn)而提高了本發(fā)明技術(shù)方案的靈活性和通用性。而且,上述實(shí)施例還能夠保證相互關(guān)聯(lián)的入方向SA和出方向SA分別對(duì)應(yīng)的入方向重定向表和出方向重定向表中,業(yè)務(wù)板標(biāo)識(shí)相同,從而保證將相互關(guān)Jf關(guān)的入方向SA和出方向SA對(duì)應(yīng)的IPSec處理分配給一塊業(yè)務(wù)+反,進(jìn)而能夠解決在處理IPSec隧道承載雙向數(shù)據(jù)流時(shí)存在的狀態(tài)同步復(fù)雜、系統(tǒng)帶寬消耗量大等問(wèn)題。以上是分別對(duì)本發(fā)明實(shí)施例中的報(bào)文傳輸安全裝置和方法、以及重定向表的建立過(guò)程和報(bào)文重定向過(guò)程的詳細(xì)說(shuō)明。下面,結(jié)合報(bào)文傳輸過(guò)程的實(shí)例,對(duì)上述技術(shù)方案進(jìn)行整體說(shuō)明。圖9為本發(fā)明實(shí)施例中分布式報(bào)文傳輸安全保護(hù)過(guò)程1的流程圖。如圖9所示,以入方向IPSec處理的過(guò)程為例,本實(shí)施例中對(duì)于入方向的分布式報(bào)文傳輸安全保護(hù)過(guò)程包括步驟901,主控板通過(guò)接口單元1接收到入方向報(bào)文。步驟902,主控板查找轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的出接口為接口單元2。本步驟中,入方向報(bào)文對(duì)應(yīng)的出接口是根據(jù)查找轉(zhuǎn)發(fā)表得到的接口索引確定的;如果建立的入方向重定向表對(duì)應(yīng)的IPSec處理的分配方式為4妄照隧道對(duì)端IP分配,則查找轉(zhuǎn)發(fā)表的結(jié)果中除了對(duì)應(yīng)的接口索引之外,進(jìn)一步包括該入方向報(bào)文的下一跳IP。本步驟中,在確定該入方向報(bào)文對(duì)應(yīng)的出接口為接口單元2之后,主控板可根據(jù)多種方式判斷該入方向報(bào)文是否需要進(jìn)行IPSec處理,如果判斷出該入方向報(bào)文需要進(jìn)行IPSec處理才執(zhí)行步驟903,否則,丟棄報(bào)文、或通過(guò)其他方法重定向到對(duì)應(yīng)的處理板進(jìn)行相應(yīng)的業(yè)務(wù)處理,并結(jié)束本流程。步驟903,主控板查找已建立并存儲(chǔ)的入方向重定向表,如果未得到任何匹配的查表結(jié)果,則執(zhí)行步驟904,如果得到匹配的查表結(jié)果,則執(zhí)行步驟907。本步驟中,未得到任何匹配的查表結(jié)果即為從入方向報(bào)文中提取的關(guān)鍵字,與所有已建立的入方向重定向表中的關(guān)^:字均不匹配。步驟904,丟棄該入方向報(bào)文,并發(fā)起IKE協(xié)商建立對(duì)應(yīng)的SA。步驟905,根據(jù)建立的對(duì)應(yīng)SA的SA信息建立入方向重定向表和出方向重定向表,并將該SA信息發(fā)送給對(duì)應(yīng)的處理板。本步驟中,可以*接照如前所述的任何一種方式建立重定向表。步驟卯6,接收到SA信息的處理板保存該SA信息,用于后續(xù)的IPSec處理,并結(jié)束本流程。步驟907,將該入方向報(bào)文發(fā)送給與查找入方向重定向表的結(jié)果對(duì)應(yīng)的處理板。步驟908,接收到入方向報(bào)文的處理板利用存儲(chǔ)的入方向SA的SA信息,對(duì)該入方向才艮文進(jìn)行入方向IPSec處理。步驟909,處理板將入方向IPSec處理后的入方向才艮文發(fā)送給主控板。步驟910,主控板將入方向IPSec處理后的入方向才艮文通過(guò)接口單元2發(fā)送,并結(jié)束本流程??梢?jiàn),對(duì)于入方向的報(bào)文傳輸安全保護(hù),本發(fā)明能夠?qū)⒉煌敕较騍A對(duì)應(yīng)的入方向IPSec處理分配給不同的處理板,且分配給不同處理4反的入方向IPSec處理不受接口限制,當(dāng)在同一個(gè)接口上有大量的IPSec隧道存在時(shí),對(duì)經(jīng)過(guò)所有IPSec隧道的報(bào)文進(jìn)行的入方向IPSec處理不會(huì)只依靠一塊接口板,而是分配給不同的處理板來(lái)完成,使得多塊處理板有效地分擔(dān)了與多個(gè)入方向SA對(duì)應(yīng)的入方向IPSec處理,從而提高了IPSec處理的效率。圖10為本發(fā)明實(shí)施例中分布式報(bào)文傳輸安全保護(hù)過(guò)程2的流程圖。如圖IO所示,以出方向IPSec處理的過(guò)程為例,本實(shí)施例中對(duì)于出方向的分布式報(bào)文傳輸安全保護(hù)過(guò)程包括步驟1001,主控板通過(guò)接口單元l接收到出方向才艮文。步驟1002,主控板提取出方向報(bào)文中的出方向報(bào)文特性。本步驟中,主控板在提取出方向報(bào)文中的出方向報(bào)文特性之前,先判斷該出方向報(bào)文目的IP是否為隧道本端IP,如果是,則提取出方向報(bào)文中的出方向報(bào)文特性然后執(zhí)行步驟1003,否則,直接丟棄報(bào)文、或通過(guò)其他方法重定向到對(duì)應(yīng)的處理板進(jìn)行相應(yīng)的業(yè)務(wù)處理,并結(jié)束本流程。步驟1003,主控板查找已建立并存儲(chǔ)的出方向重定向表,如果未查找到任何匹配的查表結(jié)果,則執(zhí)行步驟1004,如果查找到匹配的查表結(jié)果,則執(zhí)行步驟1007。本步驟中,未查找到任何匹配的查表結(jié)果即為從出方向報(bào)文中提取的關(guān)鍵字,與所有已建立的出方向重定向表中的關(guān)鍵字均不匹配。步驟1004,丟棄該出方向報(bào)文,并發(fā)起IKE協(xié)商建立對(duì)應(yīng)的SA。步驟1005,根據(jù)建立的對(duì)應(yīng)SA的SA信息建立入方向重定向表和出方向重定向表,并將該SA信息發(fā)送給對(duì)應(yīng)的處理板。本步驟中,可以按照如前所述的任何一種方式建立重定向表。步驟1006,接收到SA信息的處理板保存該SA信息,用于后續(xù)的IPSec處理,并結(jié)束本流程。步驟1007,將該出方向報(bào)文發(fā)送給與查找出方向重定向表的結(jié)果對(duì)應(yīng)的處理板。步驟1008,接收到出方向報(bào)文的處理板利用存儲(chǔ)的出方向SA的SA信息,對(duì)該出方向報(bào)文進(jìn)行出方向IPSec處理。步驟1009,處理板#4居出方向IPSec處理后的才艮文的目的IP,查找轉(zhuǎn)發(fā)表,確定該報(bào)文的出接口為接口單元2。并通知主控板該才艮文的出接口為接口單元2。步驟1011,主控板將出方向IPSec處理后的出方向報(bào)文通過(guò)接口單元2發(fā)送,并結(jié)束本流程??梢?jiàn),對(duì)于出方向的報(bào)文傳輸安全保護(hù),本發(fā)明能夠?qū)⒉煌龇较騍A對(duì)應(yīng)的出方向IPSec處理分配給不同的處理板,且分配給不同處理板的出方向IPSec處理不受接口限制,當(dāng)在同一個(gè)接口上有大量的IPSec隧道存在時(shí),對(duì)經(jīng)過(guò)所有IPSec隧道的報(bào)文進(jìn)行的出方向IPSec處理不會(huì)只依靠一塊接口板,而是分配給不同的處理板來(lái)完成,使得多塊處理板有效地分擔(dān)了與多個(gè)出方向SA對(duì)應(yīng)的出方向IPSec處理,/人而提高了IPSec處理的效率。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換以及改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1、一種報(bào)文傳輸安全保護(hù)裝置,其特征在于,包括主控板、與主控板相連的多個(gè)接口單元、以及與主控板相連的多個(gè)處理板,其中,所述主控板,針對(duì)各接口單元上的互聯(lián)網(wǎng)安全I(xiàn)PSec隧道建立對(duì)應(yīng)的安全聯(lián)盟SA,并根據(jù)預(yù)設(shè)規(guī)則將建立SA得到的SA信息發(fā)送給各處理板,處理板存儲(chǔ)接收到的SA信息;所述接口單元將接收到的報(bào)文發(fā)送給所述主控板,所述主控板將接收到的需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板;所述處理板,利用存儲(chǔ)的SA信息,對(duì)來(lái)自主控板的報(bào)文進(jìn)行IPSec處理。2、如權(quán)利要求l所述的裝置,其特征在于,所述主控板中進(jìn)一步包括根據(jù)不同SA信息建立的重定向表;所述需要進(jìn)行IPSec處理的報(bào)文,是根據(jù)查找所述重定向表的結(jié)果,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性所匹配的SA信息的處理板的。3、如權(quán)利要求2所述的裝置,其特征在于,所述重定向表包括:根據(jù)不同入方向SA的SA信息建立的入方向重定向表、和根據(jù)不同出方向SA的SA信息建立的出方向重定向表;如果所述主控板通過(guò)接口單元接收到的報(bào)文為入方向報(bào)文,則該報(bào)文是依據(jù)查找由對(duì)應(yīng)入方向SA的SA信息建立的重定向表的結(jié)果,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性所匹配的SA信息的處理板的;如杲所述主控板通過(guò)所述至少-個(gè)接口單元接收到的報(bào)文為山方向報(bào)文,則該報(bào)文是依據(jù)查找由對(duì)應(yīng)出方向SA的SA信息建立的重定向表的結(jié)果,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性所匹配的SA信息的處理板的。4、如權(quán)利要求3所述的裝置,其特征在于,所述入方向重定向表中包括入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系;查找入方向重定向表的結(jié)果為入方向報(bào)文特性對(duì)應(yīng)的處理板標(biāo)識(shí);其中,所述入方向重定向表中的入方向報(bào)文特性是根據(jù)入方向SA的SA信息確定的。5、如權(quán)利要求4所述的裝置,其特征在于,所述入方向報(bào)文特性包括根據(jù)入方向SA的SA信息中的訪問(wèn)控制列表ACL規(guī)則號(hào),從預(yù)設(shè)ACL表中查找得到的五元組,以及該入方向SA的SA信息中的接口索引;或者包括入方向SA的SA信息中的接口索引;或者包括入方向SA的SA信息中的隧道對(duì)端IP和接口索引;或者包括入方向SA信息中的SA保護(hù)流五元組和4妄口索引;其中,接口索引是根據(jù)所述接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表得到的。6、如權(quán)利要求3所述的裝置,其特征在于,所述出方向重定向表中包括出方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系;查找由出方向重定向表的結(jié)果為出方向"^艮文特性對(duì)應(yīng)的處理板標(biāo)識(shí);所述出方向重定向表中的出方向報(bào)文特性,是根據(jù)出方向SA的SA信息確定的。7、如權(quán)利要求6所述的裝置,其特征在于,所述出方向的報(bào)文特性包括對(duì)應(yīng)的出方向SA信息中的安全索引、隧道本端IP、安全協(xié)_漢類型。8、如權(quán)利要求4至7中任意一項(xiàng)所述的裝置,其特征在于,所述處理板標(biāo)識(shí)為處理板板號(hào);所述入方向重定向表中的處理板板號(hào),是根據(jù)所述入方向重定向表的數(shù)量對(duì)所迷處理板的數(shù)量取模后的結(jié)果確定的;所述出方向重定向表中的處理板板號(hào),為對(duì)應(yīng)的入方向重定向表中的處理板板號(hào);其中,該出方向重定向表對(duì)應(yīng)的出方向SA,與所述對(duì)應(yīng)的入方向重定向表對(duì)應(yīng)的入方向SA相關(guān)聯(lián)。9、如權(quán)利要求l所述的裝置,其特征在于,所述接口單元為所述主控板上的物理接口,或者為獨(dú)立于所述主控板的功能單元。10、如4又利要求1所述的裝置,其特征在于,所述主控板、處理^反和接口單元位于同一物理實(shí)體內(nèi)部;或者,所述主控板、處理板和接口單元中的任意兩者分別位于不同物理實(shí)體內(nèi)部。11、如權(quán)利要求1所述的裝置,其特征在于,該報(bào)文傳輸安全保護(hù)裝置為網(wǎng)關(guān)。12、一種報(bào)文傳輸安全保護(hù)方法,其特征在于,包括主控板針對(duì)各接口單元上的互聯(lián)網(wǎng)安全I(xiàn)PSec隧道建立對(duì)應(yīng)的安全聯(lián)盟SA,并根據(jù)預(yù)設(shè)規(guī)則將建立SA得到的SA信息發(fā)送給各處理板,處理板存儲(chǔ)接收到的SA信息;接口單元將接收到的報(bào)文發(fā)送給主控板,主控板將接收到的需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板;處理板利用其存儲(chǔ)的SA信息,對(duì)來(lái)自主控板的報(bào)文進(jìn)行互聯(lián)網(wǎng)安全I(xiàn)PSec處理。13、如權(quán)利要求12所述的方法,其特征在于,所述將建立SA得到的SA信息發(fā)送給各處理板之前,該方法進(jìn)一步包括根據(jù)SA信息建立并存儲(chǔ)重定向表;所述將建立SA得到的SA信息發(fā)送給各處理板為根據(jù)查找由SA信息建立的重定向表的結(jié)果,將需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板。14、如權(quán)利要求13所述的方法,其特征在于,所述根據(jù)SA信息建立并存儲(chǔ)重定向表包括根據(jù)入方向SA的SA信息建立并存儲(chǔ)入方向重定向表,且根據(jù)出方向SA的SA信息建立出方向重定向表;如杲所述需要進(jìn)行IPSec處理的報(bào)文為入方向報(bào)文,則所迷需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板為查找入方向重定向表,根據(jù)查找結(jié)果,將該報(bào)文發(fā)送給存儲(chǔ)著與該入方向報(bào)文的報(bào)文特性匹配的SA信息的處理板;如果所述需要進(jìn)行IPSec處理的報(bào)文為出方向報(bào)文,則所述需要進(jìn)行IPSec處理的報(bào)文,發(fā)送給存儲(chǔ)著與該報(bào)文的報(bào)文特性匹配的SA信息的處理板為查找出方向重定向表,根據(jù)查找結(jié)果將該報(bào)文發(fā)送給存儲(chǔ)著與該出方向報(bào)文的報(bào)文特性匹配的SA信息的處理板。15、如權(quán)利要求14所述的方法,其特征在于,所述根據(jù)入方向SA的SA信息建立入方向重定向表為根據(jù)入方向SA的SA信息確定入方向報(bào)文特性,建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系;所述查找由入方向重定向表的結(jié)果為入方向報(bào)文特性對(duì)應(yīng)的處理板標(biāo)識(shí)。16、如權(quán)利要求15所述的方法,其特征在于,所述建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為根據(jù)入方向SA的SA信息中的訪問(wèn)控制列表ACL規(guī)則號(hào),從預(yù)設(shè)ACL表中查找得到五元組;建立查找得到的五元組和該入方向SA的SA信息中的接口索引,與處理板標(biāo)識(shí)的映射關(guān)系;所述查找入方向重定向表為根據(jù)接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的接口索引;根據(jù)接收到的入方向報(bào)文中的五元組的全部或部分元素,以及該報(bào)文對(duì)應(yīng)的接口索引查找所述入方向重定向表;或者,所述建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為建立入方向SA的SA信息中的接口索引與處理板標(biāo)識(shí)的映射關(guān)系;所述查找入方向重定向表為根據(jù)接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的接口索引;根據(jù)該報(bào)文對(duì)應(yīng)的接口索引查找所述入方向重定向表;或者,所述建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為建立對(duì)應(yīng)的入方向SA的SA信息中的隧道對(duì)端IP和接口索引,與處理板標(biāo)識(shí)的映射關(guān)系;所述查找入方向重定向表為根據(jù)接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的接口索引和隧道對(duì)端IP;根據(jù)該才艮文對(duì)應(yīng)的接口索引和隧道對(duì)端IP查找所述入方向重定向表;或者,所述建立入方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系為建立入方向SA信息中的SA保護(hù)流五元組和接口索引,與處理板標(biāo)識(shí)的映射關(guān)系;所述查找入方向重定向表為根據(jù)接收到的入方向報(bào)文中的目的IP查找預(yù)設(shè)轉(zhuǎn)發(fā)表,確定該入方向報(bào)文對(duì)應(yīng)的接口索引;根據(jù)接收到的入方向報(bào)文中的五元組的全部或部分元素,以及該報(bào)文對(duì)應(yīng)的接口索引查找所述入方向重定向表。17、如權(quán)利要求14中任意一項(xiàng)所述的方法,其特征在于,所述根據(jù)出方向SA的SA信息建立出方向重定向表為根據(jù)出方向SA的SA信息確定出方向報(bào)文特性,建立出方向報(bào)文特性與處理板標(biāo)識(shí)的映射關(guān)系;所述查找出方向重定向表的結(jié)果為出方向報(bào)文特性對(duì)應(yīng)的處理板標(biāo)識(shí)。18、如權(quán)利要求17所述的方法,其特征在于,所述建立出方向"^艮文特性與處理板標(biāo)識(shí)的映射關(guān)系為建立對(duì)應(yīng)的出方向SA信息中的安全索引、隧道本端IP、安全協(xié)議類型,與處理板標(biāo)識(shí)的映射關(guān)系;所述查找出方向重定向表為據(jù)接收到的出方向報(bào)文中的安全索引、隧道本端IP、安全協(xié)議類型,查找出方向重定向表。19、如權(quán)利要求15至18中任意一項(xiàng)所述的方法,其特征在于,所述處理板標(biāo)識(shí)為處理板板號(hào);所述入方向重定向表中的處理板板號(hào),是根據(jù)所述入方向重定向表的數(shù)量對(duì)所述處理板的數(shù)量取^t后的結(jié)果確定的;所述出方向重定向表中的處理板板號(hào),為對(duì)應(yīng)的入方向重定向表中的處理板板號(hào);其中,該出方向重定向表對(duì)應(yīng)的出方向SA,與所述對(duì)應(yīng)的入方向重定向表對(duì)應(yīng)的入方向SA相關(guān)聯(lián)。全文摘要本發(fā)明公開了一種分布式報(bào)文傳輸安全保護(hù)裝置和方法。本發(fā)明中,主控板按照預(yù)設(shè)規(guī)則,將各SA信息分配給多個(gè)處理板,從而使得接收并存儲(chǔ)SA信息的各處理板均可實(shí)現(xiàn)IPSec處理,從而實(shí)現(xiàn)了將IPSec處理分擔(dān)到多個(gè)處理板,因此,當(dāng)在同一個(gè)接口上有大量的IPSec隧道存在時(shí),對(duì)經(jīng)過(guò)所有IPSec隧道的報(bào)文進(jìn)行IPSec處理不會(huì)只依靠該接口所在的一塊處理板,而是分配給不同的處理板來(lái)完成,使得多塊處理板有效地分擔(dān)了與多個(gè)SA對(duì)應(yīng)的IPSec處理,從而提高了IPSec處理的效率。文檔編號(hào)H04L12/46GK101106450SQ20071012036公開日2008年1月16日申請(qǐng)日期2007年8月16日優(yōu)先權(quán)日2007年8月16日發(fā)明者常向青,煒鄭申請(qǐng)人:杭州華三通信技術(shù)有限公司