本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域，具體而言，涉及一種IPSec隧道的安全聯(lián)盟查找方法及裝置。

背景技術(shù)：

目前IPSec保護(hù)路由協(xié)議的實(shí)現(xiàn)通常有以下兩種做法：1、在配置具體的路由協(xié)議時(shí)，同時(shí)配置該條路由協(xié)議所用到的IPSec隧道的SPI值、IPSec協(xié)議、加密算法、加密密鑰、哈希算法以及哈希算法密鑰，以上配置有以下缺點(diǎn)：1、配置冗長(zhǎng)且重復(fù)；2、配置不可復(fù)用性，如果設(shè)備中各個(gè)接口上的路由協(xié)議都需要相同屬性的IPSec隧道保護(hù)，則每個(gè)接口上都要完完整整的配置一遍，修改IPSec隧道中某個(gè)屬性時(shí)，各個(gè)接口上的IPSec隧道配置都要逐一修改。2、采用傳統(tǒng)的IPSec隧道保護(hù)路由協(xié)議報(bào)文，路由協(xié)議報(bào)文也屬于IP報(bào)文的一種，所以沒(méi)有對(duì)路由協(xié)議業(yè)務(wù)進(jìn)行特別區(qū)分，同樣是需要IPSec保護(hù)的路由協(xié)議報(bào)文，需根據(jù)報(bào)文的五元組信息查找安全策略SP以后，根據(jù)SP關(guān)聯(lián)的安全聯(lián)盟SA進(jìn)行加密保護(hù)，存在以下缺點(diǎn)：1、通常情況下兩臺(tái)路由器之間會(huì)建立多條路由鄰居，例如OSPF，一臺(tái)路由器可以同時(shí)屬于不同的OSPF域，每個(gè)OSPF域里的路由鄰居控制報(bào)文都需要IPSec隧道保護(hù)，由于五元組信息一樣，所以都查找到同一條安全策略SP，以及用關(guān)聯(lián)的同一個(gè)安全聯(lián)盟SA進(jìn)行保護(hù)，而不能做到不同OSPF域里的鄰居控制報(bào)文由不同的安全聯(lián)盟SA保護(hù)；2、當(dāng)路由協(xié)議所涉及到的地址調(diào)整以后，為了使調(diào)整后的路由協(xié)議控制報(bào)文還能得到IPSec隧道的保護(hù)，需要同時(shí)修改所對(duì)應(yīng)的安全策略SP，在大量配置中可能會(huì)由于疏忽導(dǎo)致沒(méi)有及時(shí)同步更新，導(dǎo)致路由鄰居斷掉的問(wèn)題發(fā)生。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供一種IPSec隧道的安全聯(lián)盟查找方法及裝置，以改善上述的問(wèn)題。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案如下：

第一方面，本發(fā)明實(shí)施例提供了一種IPSec隧道的安全聯(lián)盟查找方法，所述方法包括：

創(chuàng)建數(shù)組,所述數(shù)組包括至少一個(gè)數(shù)組單元，所述數(shù)組單元包括數(shù)組元素及與數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)；

將業(yè)務(wù)對(duì)象與對(duì)應(yīng)的IPSec隧道進(jìn)行關(guān)聯(lián)；

將具有與所述IPSec隧道所對(duì)應(yīng)的安全聯(lián)盟的數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至所述業(yè)務(wù)對(duì)象；

當(dāng)業(yè)務(wù)對(duì)象發(fā)送需要所述IPSec隧道保護(hù)的報(bào)文時(shí)，根據(jù)所述數(shù)組下標(biāo)找到對(duì)應(yīng)的所述數(shù)組元素，并獲取數(shù)組元素中建立的安全聯(lián)盟。

進(jìn)一步地，當(dāng)所述數(shù)組元素中已經(jīng)建立所述安全聯(lián)盟時(shí)，將所述數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至所述業(yè)務(wù)對(duì)象。

進(jìn)一步地，當(dāng)所述數(shù)組元素中沒(méi)有建立所述安全聯(lián)盟時(shí)，在一個(gè)空余的數(shù)組元素上建立所述安全聯(lián)盟，將所述數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至所述業(yè)務(wù)對(duì)象。

進(jìn)一步地，所述方法還包括：根據(jù)所述安全聯(lián)盟對(duì)所述報(bào)文加密。

進(jìn)一步地，所述方法還包括：當(dāng)所述業(yè)務(wù)對(duì)象不需要所述IPSec隧道保護(hù)時(shí)，解除所述業(yè)務(wù)對(duì)象與所述IPSec隧道的關(guān)聯(lián)，刪除所述業(yè)務(wù)對(duì)象中保留的數(shù)組下標(biāo)，保留所述數(shù)組元素中的安全聯(lián)盟或者當(dāng)所述業(yè)務(wù)對(duì)象不再需要所述IPSec隧道保護(hù)時(shí)，刪除所述IPSec隧道以及所述數(shù)組元素中與所述IPSec隧道對(duì)應(yīng)的安全聯(lián)盟。

第二方面，本發(fā)明實(shí)施例提供了一種IPSec隧道的安全聯(lián)盟查找裝置，所述裝置包括：

創(chuàng)建模塊，用于創(chuàng)建數(shù)組，所述數(shù)組包括至少一個(gè)數(shù)組單元，所述數(shù)組單元包括數(shù)組元素及與數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)；

關(guān)聯(lián)模塊，用于將業(yè)務(wù)對(duì)象與對(duì)應(yīng)的IPSec隧道進(jìn)行關(guān)聯(lián)；

發(fā)送模塊，用于將具有與所述IPSec隧道所對(duì)應(yīng)的安全聯(lián)盟的數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至所述業(yè)務(wù)對(duì)象；

查找模塊，用于當(dāng)業(yè)務(wù)對(duì)象發(fā)送需要所述IPSec隧道保護(hù)的報(bào)文時(shí)，根據(jù)所述數(shù)組下標(biāo)找到對(duì)應(yīng)的所述數(shù)組元素，并獲取數(shù)組元素中建立的安全聯(lián)盟。

進(jìn)一步地，當(dāng)所述數(shù)組元素中已經(jīng)建立所述安全聯(lián)盟時(shí)，所述發(fā)送模塊將所述數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至所述業(yè)務(wù)對(duì)象。

進(jìn)一步地，所述IPSec隧道的安全聯(lián)盟查找裝置還包括建立模塊，用于當(dāng)所述數(shù)組元素中沒(méi)有建立所述安全聯(lián)盟時(shí)，在一個(gè)空余的數(shù)組元素上建立所述安全聯(lián)盟，將所述數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至所述業(yè)務(wù)對(duì)象。

進(jìn)一步地，所述裝置還包括加密模塊，用于根據(jù)所述安全聯(lián)盟對(duì)所述報(bào)文加密。

進(jìn)一步地，所述裝置還包括解綁模塊，用于當(dāng)所述業(yè)務(wù)對(duì)象不需要所述IPSec隧道保護(hù)時(shí)，解除所述業(yè)務(wù)對(duì)象與所述IPSec隧道的關(guān)聯(lián)，刪除所述業(yè)務(wù)對(duì)象中保留的數(shù)組下標(biāo)，保留所述數(shù)組元素中的安全聯(lián)盟；或刪除模塊，用于當(dāng)所述業(yè)務(wù)對(duì)象不再需要所述IPSec隧道保護(hù)時(shí)，刪除所述IPSec隧道以及所述數(shù)組元素中與所述IPSec隧道對(duì)應(yīng)的安全聯(lián)盟。

本發(fā)明提供的IPSec隧道的安全聯(lián)盟查找方法及裝置，通過(guò)建立數(shù)組，將業(yè)務(wù)對(duì)象與數(shù)組建立關(guān)聯(lián)后，以數(shù)組的下標(biāo)作為ID在數(shù)組的元素中查找數(shù)組下標(biāo)對(duì)應(yīng)的元素，該元素包括需要的安全聯(lián)盟。代替了現(xiàn)有技術(shù)中依靠傳統(tǒng)的報(bào)文五元組信息定位安全策略，再根據(jù)安全策略找到所關(guān)聯(lián)的安全聯(lián)盟的繁瑣和不可擴(kuò)展的方式，簡(jiǎn)潔了隧道配置命令，需要修改IPSec隧道屬性時(shí)，直接在數(shù)組中修改即可，相較于傳統(tǒng)方式中在各個(gè)接口上的IPSec隧道配置逐一修改更加方便快捷。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，應(yīng)當(dāng)理解，以下附圖僅示出了本發(fā)明的某些實(shí)施例，因此不應(yīng)被看作是對(duì)范圍的限定，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他相關(guān)的附圖。

圖1是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找方法的流程圖。

圖2是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找方法的另一實(shí)施方式的流程圖。

圖3是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找方法的另一實(shí)施方式的流程圖。

圖4是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找方法的另一實(shí)施方式的流程圖。

圖5是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找裝置的功能模塊架構(gòu)示意圖。

圖6是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找裝置的另一實(shí)施方式的功能模塊架構(gòu)示意圖。

圖7是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找裝置的另一實(shí)施方式的功能模塊架構(gòu)示意圖。

圖8是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找裝置的另一實(shí)施方式的功能模塊架構(gòu)示意圖。

圖標(biāo)：200-IPSec隧道的安全聯(lián)盟查找裝置；201-創(chuàng)建模塊；202-關(guān)聯(lián)模塊；203-發(fā)送模塊；204-查找模塊；205-建立模塊；206-加密模塊；207-解綁模塊；208-刪除模塊。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。通常在此處附圖中描述和示出的本發(fā)明實(shí)施例的組件可以以各種不同的配置來(lái)布置和設(shè)計(jì)。因此，以下對(duì)在附圖中提供的本發(fā)明的實(shí)施例的詳細(xì)描述并非旨在限制要求保護(hù)的本發(fā)明的范圍，而是僅僅表示本發(fā)明的選定實(shí)施例。基于本發(fā)明的實(shí)施例，本領(lǐng)域技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

請(qǐng)參照?qǐng)D1，是本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找方法的流程圖。該方法可應(yīng)用于路由器或交換機(jī)等進(jìn)行數(shù)據(jù)交換的設(shè)備。

該IPSec隧道的安全聯(lián)盟查找方法包括以下步驟：

步驟S101，創(chuàng)建數(shù)組，該數(shù)組包括至少一個(gè)數(shù)組單元，數(shù)組單元包括數(shù)組元素及與數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)。

數(shù)組是相同數(shù)據(jù)類型的元素按一定順序排列的集合，在本實(shí)施例中，數(shù)組中的數(shù)組元素將被寫入IPSec隧道的安全聯(lián)盟，安全聯(lián)盟是通信雙方建立的一種協(xié)定，決定了用來(lái)保護(hù)數(shù)據(jù)的協(xié)議、轉(zhuǎn)碼方式、密鑰以及密鑰有效期。

步驟S102，將業(yè)務(wù)對(duì)象與對(duì)應(yīng)的IPSec隧道進(jìn)行關(guān)聯(lián)。

本實(shí)施例中提及的業(yè)務(wù)對(duì)象是需要IPSec隧道進(jìn)行保護(hù)的帶了IP頭的業(yè)務(wù)，例如自上而下的上層業(yè)務(wù)，如OSPF(Open Shortest Path First，開放式最短路徑優(yōu)先)路由協(xié)議、RIPng(Routing Information Protocol next generation，下一代路由信息協(xié)議)，或者超文本傳輸協(xié)議(Http，Hyper Text Transfer Protocol)。關(guān)聯(lián)的方式，可以是將IPSec隧道的隧道名與業(yè)務(wù)對(duì)象進(jìn)行綁定。該IPSec隧道可以預(yù)先配置好后再和業(yè)務(wù)對(duì)象進(jìn)行綁定，本發(fā)明實(shí)施例提供的方法提供松耦合的配置機(jī)制，還可以先根據(jù)業(yè)務(wù)對(duì)象的業(yè)務(wù)需要綁定一條還沒(méi)有配置的IPSec隧道，IPSec隧道的名稱業(yè)務(wù)可以自行定義。IPSec隧道配置時(shí)，主要配置使用的協(xié)議、算法、密鑰以及封裝形式。

步驟S103，將具有與IPSec隧道所對(duì)應(yīng)的安全聯(lián)盟的數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至所述業(yè)務(wù)對(duì)象。

每一條IPSec隧道在生成之后，需要在數(shù)組中建立與該IPSec隧道對(duì)應(yīng)的安全聯(lián)盟，以便于在業(yè)務(wù)對(duì)象需要發(fā)送協(xié)議時(shí)，直接在數(shù)組中尋找與該IPSec隧道對(duì)應(yīng)的安全聯(lián)盟進(jìn)行加密，容易理解的，數(shù)組元素中建立的安全聯(lián)盟和IPSec隧道中的安全聯(lián)盟相同。如果數(shù)組元素中已經(jīng)建立與IPSec隧道對(duì)應(yīng)的安全聯(lián)盟，則將建立該安全聯(lián)盟的數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至業(yè)務(wù)對(duì)象，該數(shù)組下標(biāo)可以理解為一個(gè)綁定ID，將業(yè)務(wù)對(duì)象和安全聯(lián)盟綁定。如果數(shù)組元素中沒(méi)有建立與IPSec隧道對(duì)應(yīng)的安全聯(lián)盟，則需要先在數(shù)組中空余的數(shù)組元素上建立與IPSec隧道對(duì)應(yīng)的安全聯(lián)盟，具體的，在數(shù)組中按照順序找到第一個(gè)還沒(méi)有建立IPSec隧道內(nèi)容的數(shù)組元素，在此數(shù)組元素上根據(jù)需要建立IPSec隧道的安全聯(lián)盟，然后再將建立安全聯(lián)盟的數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至與IPSec隧道關(guān)聯(lián)的業(yè)務(wù)對(duì)象。

步驟S104，當(dāng)業(yè)務(wù)對(duì)象發(fā)送需要IPSec隧道保護(hù)的報(bào)文時(shí)，根據(jù)數(shù)組下標(biāo)找到對(duì)應(yīng)的數(shù)組元素，并獲取數(shù)組元素中建立的安全聯(lián)盟。

業(yè)務(wù)對(duì)象在發(fā)送報(bào)文時(shí)，將數(shù)組下標(biāo)添加到報(bào)文中，通過(guò)數(shù)組下標(biāo)可以在數(shù)組中定位到該數(shù)組下標(biāo)對(duì)應(yīng)的數(shù)組元素，從而獲取該數(shù)組元素中建立的安全聯(lián)盟，可以理解，該安全聯(lián)盟即為與業(yè)務(wù)對(duì)象關(guān)聯(lián)的IPSec隧道的安全聯(lián)盟。業(yè)務(wù)對(duì)象在發(fā)送報(bào)文時(shí)，不再需要依靠傳統(tǒng)的五元組信息定位安全策略，再根據(jù)安全策略找到相關(guān)的安全聯(lián)盟，而是通過(guò)綁定ID(數(shù)組下標(biāo))在數(shù)組中查找安全聯(lián)盟，避免了業(yè)務(wù)對(duì)象采用五元組信息查找安全策略的繁瑣和不可擴(kuò)展性，為像OSPF/RIPng等路由協(xié)議五元組相同，又需要不同IPSec隧道保護(hù)不同控制報(bào)文的應(yīng)用業(yè)務(wù)提供了方便。

請(qǐng)參照?qǐng)D2，找到需要的安全聯(lián)盟后，本發(fā)明實(shí)施例提供的方法還可以包括步驟S105，根據(jù)安全聯(lián)盟對(duì)所述報(bào)文加密。

請(qǐng)參照?qǐng)D3，本發(fā)明實(shí)施例提供的方法還可以包括步驟S106，當(dāng)業(yè)務(wù)對(duì)象不需要IPSec隧道保護(hù)時(shí)，解除業(yè)務(wù)對(duì)象與IPSec隧道的關(guān)聯(lián)，刪除業(yè)務(wù)對(duì)象中的數(shù)組下標(biāo)，保留數(shù)組元素中的安全聯(lián)盟。

業(yè)務(wù)對(duì)象解除與IPSec隧道的關(guān)聯(lián)后，業(yè)務(wù)對(duì)象中的數(shù)組下標(biāo)也被刪除，但是數(shù)組中的安全聯(lián)盟依舊被保留，不會(huì)被刪除，當(dāng)業(yè)務(wù)對(duì)象再次需要該安全聯(lián)盟對(duì)應(yīng)的IPSec隧道保護(hù)時(shí)，將業(yè)務(wù)對(duì)象與對(duì)應(yīng)的IPSec隧道再次關(guān)聯(lián)起來(lái)，直接將安全聯(lián)盟所在的數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至業(yè)務(wù)對(duì)象。

請(qǐng)參照?qǐng)D4，本發(fā)明實(shí)施例提供的方法還可以包括步驟S107，當(dāng)業(yè)務(wù)對(duì)象不再需要IPSec隧道保護(hù)時(shí)，刪除IPSec隧道以及數(shù)組元素中與IPSec隧道對(duì)應(yīng)的安全聯(lián)盟。

當(dāng)IPSec隧道被刪除時(shí)，數(shù)組中與該IPSec隧道對(duì)應(yīng)的安全聯(lián)盟即沒(méi)有存在的意義，將會(huì)被刪除。此時(shí)，業(yè)務(wù)對(duì)象在發(fā)送報(bào)文時(shí)，通過(guò)數(shù)組下標(biāo)在數(shù)組中將找不到對(duì)應(yīng)的安全聯(lián)盟。

綜上，本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找方法，通過(guò)建立中間對(duì)象——數(shù)組，在數(shù)組中建立與IPSec隧道對(duì)應(yīng)的安全聯(lián)盟，通過(guò)數(shù)組下標(biāo)快速查找數(shù)組元素中的安全聯(lián)盟的方式，代替了現(xiàn)有技術(shù)中依靠傳統(tǒng)的報(bào)文五元組信息定位安全策略，再根據(jù)安全策略找到所關(guān)聯(lián)的安全聯(lián)盟的繁瑣和不可擴(kuò)展的方式，簡(jiǎn)潔了隧道配置命令，需要修改IPSec隧道屬性時(shí)，直接在數(shù)組中修改即可，相較于傳統(tǒng)方式中在各個(gè)接口上的IPSec隧道配置逐一修改更加方便快捷。

請(qǐng)參照?qǐng)D5，本發(fā)明實(shí)施例還提供了一種IPSec隧道的安全聯(lián)盟查找裝置200，該裝置可以應(yīng)用于路由器或交換機(jī)等進(jìn)行數(shù)據(jù)交換的設(shè)備。該IPSec隧道的安全聯(lián)盟查找裝置200包括創(chuàng)建模塊201、關(guān)聯(lián)模塊202、發(fā)送模塊203和查找模塊204。

其中，創(chuàng)建模塊201用于創(chuàng)建數(shù)組，該數(shù)組包括至少一個(gè)數(shù)組單元，數(shù)組單元包括數(shù)組元素及與數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)。

在本實(shí)施例中，創(chuàng)建模塊201可用于執(zhí)行IPSec隧道的安全聯(lián)盟查找方法的步驟S101。

關(guān)聯(lián)模塊202用于將業(yè)務(wù)對(duì)象與對(duì)應(yīng)的IPSec隧道進(jìn)行關(guān)聯(lián)。

在本實(shí)施例中，關(guān)聯(lián)模塊202可用于執(zhí)行步驟S102。

發(fā)送模塊203，用于將具有與所述IPSec隧道所對(duì)應(yīng)的安全聯(lián)盟的數(shù)組元素對(duì)應(yīng)的數(shù)組下標(biāo)發(fā)送至所述業(yè)務(wù)對(duì)象。

在本實(shí)施例中，發(fā)送模塊203可用于執(zhí)行步驟S103。

查找模塊204，用于當(dāng)業(yè)務(wù)對(duì)象發(fā)送需要IPSec隧道保護(hù)的報(bào)文時(shí)，根據(jù)所述數(shù)組下標(biāo)找到對(duì)應(yīng)的所述數(shù)組元素，并獲取數(shù)組元素中建立的安全聯(lián)盟。

在本實(shí)施例中，查找模塊204可用于執(zhí)行步驟S104。

請(qǐng)參照?qǐng)D6，本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找裝置200還可以包括建立模塊205、加密模塊206。其中，建立模塊205用于在數(shù)組元素中沒(méi)有建立與IPSec隧道對(duì)應(yīng)的安全聯(lián)盟時(shí)，在數(shù)組中空余的數(shù)組元素上建立與IPSec隧道對(duì)應(yīng)的安全聯(lián)盟。加密模塊206用于根據(jù)安全聯(lián)盟對(duì)報(bào)文加密。加密模塊206可用于執(zhí)行步驟S105。

請(qǐng)參照?qǐng)D7，本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找裝置200還可以包括解綁模塊207，用于當(dāng)業(yè)務(wù)對(duì)象不需要IPSec隧道保護(hù)時(shí)，解除業(yè)務(wù)對(duì)象與IPSec隧道的關(guān)聯(lián)，刪除業(yè)務(wù)對(duì)象中的數(shù)組下標(biāo)，保留數(shù)組元素中的安全聯(lián)盟。在本實(shí)施例中，解綁模塊207可用于執(zhí)行步驟S106。

請(qǐng)參照?qǐng)D8，本發(fā)明實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找裝置200還可以包括刪除模塊208，用于當(dāng)業(yè)務(wù)對(duì)象不再需要所述IPSec隧道保護(hù)時(shí)，刪除IPSec隧道以及數(shù)組元素中與IPSec隧道對(duì)應(yīng)的安全聯(lián)盟。在本實(shí)施例中，刪除模塊208可用以執(zhí)行步驟S107。

由于在本實(shí)施例提供的IPSec隧道的安全聯(lián)盟查找方法中已經(jīng)詳細(xì)介紹了方法的各流程，此處對(duì)IPSec隧道的安全聯(lián)盟查找裝置200的各功能模塊不再贅述。

綜上所述，本發(fā)明實(shí)施例提供了一種IPSec隧道的安全聯(lián)盟查找方法及裝置，通過(guò)建立數(shù)組，將業(yè)務(wù)對(duì)象與數(shù)組建立關(guān)聯(lián)，以數(shù)組的下標(biāo)作為ID在數(shù)組的元素中查找數(shù)組下標(biāo)對(duì)應(yīng)的數(shù)組元素，該數(shù)組元素包括需要的安全聯(lián)盟。代替了現(xiàn)有技術(shù)中依靠傳統(tǒng)的報(bào)文五元組信息定位安全策略，再根據(jù)安全策略找到所關(guān)聯(lián)的安全聯(lián)盟的繁瑣和不可擴(kuò)展的方式，簡(jiǎn)潔了隧道配置命令，需要修改IPSec隧道屬性時(shí)，直接在數(shù)組中修改即可，為路由協(xié)議五元組相同，又需要不同IPSec隧道保護(hù)不同控制報(bào)文的應(yīng)用業(yè)務(wù)提供了方便。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。

在本申請(qǐng)所提供的實(shí)施例中，應(yīng)該理解到，所揭露的裝置和方法，也可以通過(guò)其它的方式實(shí)現(xiàn)。以上所描述的裝置實(shí)施例僅僅是示意性的，例如，附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個(gè)實(shí)施例的裝置、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的體系架構(gòu)、功能和操作。在這點(diǎn)上，流程圖或框圖中的每個(gè)方框可以代表一個(gè)模塊、程序段或代碼的一部分，所述模塊、程序段或代碼的一部分包含一個(gè)或多個(gè)用于實(shí)現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意，在有些作為替換的實(shí)現(xiàn)方式中，方框中所標(biāo)注的功能也可以以不同于附圖中所標(biāo)注的順序發(fā)生。例如，兩個(gè)連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行，它們有時(shí)也可以按相反的順序執(zhí)行，這依所涉及的功能而定。也要注意的是，框圖和/或流程圖中的每個(gè)方框、以及框圖和/或流程圖中的方框的組合，可以用執(zhí)行規(guī)定的功能或動(dòng)作的專用的基于硬件的系統(tǒng)來(lái)實(shí)現(xiàn)，或者可以用專用硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能模塊可以集成在一起形成一個(gè)獨(dú)立的部分，也可以是各個(gè)模塊單獨(dú)存在，也可以兩個(gè)或兩個(gè)以上模塊集成形成一個(gè)獨(dú)立的部分。

以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。