CN106161340B - 业务分流方法和系统 - Google Patents
业务分流方法和系统 Download PDFInfo
- Publication number
- CN106161340B CN106161340B CN201510136449.5A CN201510136449A CN106161340B CN 106161340 B CN106161340 B CN 106161340B CN 201510136449 A CN201510136449 A CN 201510136449A CN 106161340 B CN106161340 B CN 106161340B
- Authority
- CN
- China
- Prior art keywords
- board
- resource service
- shunt
- negotiation
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种业务分流方法和系统,所述方法包括:根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表;各接口板根据需要处理的报文的报文类型,选择相应的分流表;所述各接口板根据选择的所述分流表将所述报文分流投递至对应的安全联盟(SA)资源业务板。
Description
技术领域
本发明涉及通信领域,尤其涉及一种适用于不同的IPsec应用场景的业务分流方法和系统。
背景技术
IPsec在保护报文之前,需要先建立安全联盟(SA)。IPsec协议体系包含两个安全处理协议和一个密钥交换协议。两个安全处理协议是IP认证头协议(AH)和IP安全封装载荷协议(ESP),一个密钥交换协议(IKE)是用来建立安全联盟(SA)。
随着IPsec大规模的使用,对高性能处理提出了更高的要求。分布式的形态将IPsec业务交由多个处理器完成,大大提高了处理性能。当前普遍采用的分布式处理技术是采用主控板以及多个接口板和业务板的装置,IPsec相关处理主要交由业务板。另外IPsec支持抗重放功能要求同一个IPsec会话相关业务报文在一个处理器上完成处理。
IPsec业务需要处理的报文有IP报文,IPsec报文(ESP或者AH报文),IKE协商报文。
IPsec工程部署中,对于会话对端,可以分为静态指定和动态变化的使用场景。静态指定方式,对端网络地址以及兴趣流是固定的;动态变化方式,大多使用在动态用户远程接入的场景,用户网络地址以及用户数量都是动态变化的。
对于不同的IPsec应用场景,分布式形态主控板以及多个接口板和业务板如何协同进行IPsec业务处理;如何将具有不同特征的IPsec业务相关的报文分流到一个业务板上是需要解决的问题。
发明内容
本发明提供了一种业务分流方法和系统,解决了不同特征的IPsec业务相关的报文分流的问题。
一种业务分流方法,包括:
根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表;
各接口板根据需要处理的报文的报文类型,选择相应的分流表;
所述各接口板根据选择的所述分流表将所述报文分流投递至对应的安全联盟(SA)资源业务板。
其中,所述分流表包括以下任一种或任意多种:
记录源、目的网络地址和SA资源业务板间的对应关系的IKE分流表,
记录兴趣流匹配模板和SA资源业务板物理地址间对应关系的明文分流表,所述兴趣流匹配模块具体为ACL或为动态接入用户分配的私网地址,
记录安全参数索引(SPI)固定比特位和SA资源业务板的对应关系的密文分流表。
其中,各接口板根据需要处理的报文的报文类型,选择相应的分流表包括:
当所述报文的报文类型为密钥交换协议(IKE)协商报文时,选择IKE分流表;
当所述报文的报文类型为明文报文时,选择明文分流表;
当所述报文的类型为密文报文时,选择密文分流表。
其中,IPsec协商要素为全部接口板生成相同的至少一个分流表包括:
主控板为在线的SA资源业务板的物理地址分配地址比特位;
所述主控板指定会话双方的源、目的地址以及其他IPsec协商要求,使用负载均衡算法,计算出不同源、目的地址的会话的SA资源业务板物理地址;
所述主控板生成分流表并下发至全部接口板。
其中,所述根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表的步骤之后,还包括:
SA资源业务板协商SA表项,记录双方协商后的兴趣流和SA的对应关系。
其中,该方法还包括:
当本端静态指定的兴趣流范围大于双方协商范围时,对于超出协商范围的指定兴趣流,所述接口板将该超出协商范围的指定兴趣流投递到SA资源业务板;
所述SA资源业务板在查询不到所述超出协商范围的指定兴趣流对应的SA时,触发无SA的IPsec协商。
其中,该方法还包括:
所述主控板删除所述分流表并下发至全部接口板,指示所述全部接口板删除所述分流表。
其中,根据动态用户接入信息为全部接口板生成相同的至少一个分流表包括:
主控板为在线的SA资源业务板的物理地址分配地址比特位;
接口板接收动态用户发送的IKE协商请求报文,提取该IKE协商请求报文中的源地址和目的地址,根据所述源地址和目的地址计算出相应会话的SA资源业务板的物理地址,将所述IKE协商请求报文投递至所述SA资源业务板上;
所述SA资源业务板协商获取SA,向所述主控板上报SA资源业务板的物理地址、协商双方的源地址和目的地址以及为用户分配的私网地址;
所述主控板生成分流表并下发至全部接口板。
其中,该方法还包括:
在动态用户下线后,所述SA资源业务板删除该动态用户对应的SA,并通知所述主控板删除该动态用户对应的SA;
所述主控板删除所述分流表,并下发至全部接口板,指示所述全部接口板删除所述分流表。
一种业务分流系统,包括主控板、至少一个接口板和至少一个SA资源业务板;
所述主控板,用于根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表;
所述至少一个接口板,用于根据需要处理的报文的报文类型,选择相应的分流表,并根据选择的所述分流表将所述报文分流投递至对应的所述SA资源业务板。
其中,所述主控板包括:
第一地址比特位分配模块,用于为在线的SA资源业务板的物理地址分配地址比特位;
计算模块,用于指定会话双方的源、目的地址以及其他IPsec协商要求,使用负载均衡算法,计算出不同源、目的地址的会话的SA资源业务板物理地址;
第一分流表生成模块,用于生成分流表并下发至全部接口板。
其中,所述接口板,还用于当本端静态指定的兴趣流范围大于双方协商范围时,对于超出协商范围的指定兴趣流,将该超出协商范围的指定兴趣流投递到SA资源业务板;
所述SA资源业务板,还用于在查询不到所述超出协商范围的指定兴趣流对应的SA时,触发无SA的IPsec协商。
其中,所述主控板包括:
第二地址比特位分配模块,用于为在线的SA资源业务板的物理地址分配地址比特位;
信息接收模块,用于接收所述SA资源业务板向所述主控板上报的SA资源业务板的物理地址、协商双方的源地址和目的地址以及为用户分配的私网地址;
第二分流表生成模块,用于生成分流表并下发至全部接口板。
本发明提供了一种业务分流方法和系统,根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表,各接口板根据需要处理的报文的报文类型,选择相应的分流表,各接口板再根据选择的所述分流表将所述报文分流投递至对应的SA资源业务板。实现了对不同的IPsec业务相关的报文的分流和协同处理,解决了不同特征的IPsec业务相关的报文分流的问题。
附图说明
图1为本发明的实施例一提供的分布式分流装置的结构示意图;
图2为本发明的实施例一中静态指定对端地址方式分流的过程示意图;
图3为本发明的实施例一中动态用户接入分流的过程示意图;
图4为本发明的实施例二提供的一种业务分流方法的流程图;
图5为本发明的实施例三提供的一种业务分流系统的结构示意图;
图6为图5中主控板501的结构示意图。
具体实施方式
下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明的实施例提供了一种业务分流方法和系统。使用不同分流表分流协议安全性(InternetProtocolSecurity Internet,IPsec)业务相关报文到安全关联(Securityassociation,SA)资源业务板,解决了分布式IPsec业务如何分流的问题。
首先结合附图,对本发明的实施例一进行说明。
本发明实施例提供了一种分布式分流装置,采用主控板以及多个接口板和业务板组成。IPsec SA协商在业务板上进行,负责该会话的业务板为SA资源业务板。
根据IPsec业务需要处理的报文类型,在接口板上使用不同的分流表分流至SA资源业务板。即密钥交换协议(InternetKey Exchange Internet,IKE)分流表分流IKE协商报文;明文分流表分流普通IP报文;密文分流表分流密文报文,具体为IPsec的认证头协议(AuthenticationHeader,AH)和封装安全载荷协议(EncapsulatingSecurityPayload,ESP)报文。分流表在接口板上全分布,SA资源业务板只维护IPsec SA信息。
IKE分流表,记录源、目的网络地址和SA资源业务板关系;明文分流表,记录兴趣流匹配模板和SA资源业务板物理地址关系,这里的兴趣流匹配模板可以是访问控制列表(Access Control List,ACL)也可以是给动态接入用户分配的私网地址;密文分流表,记录安全参数索引(SPI)固定比特位和SA资源业务板的对应关系。为加快查询SA资源业务板的速度,在分布式装置业务板上线时即给每个业务板物理地址分配不同比特位表示,该比特位使用在分配给会话对端的SPI的固定比特位中;在密文入向,直接提取出密文中的SPI固定比特位,查询到SA资源业务板进行分流。
对于静态指定对端地址和动态用户接入场景,分流表生成方式不同。
使用本发明,主控板负责配置管理以及生成、删除分流表;接口板负责收发报文,根据不同类型报文查询分流表分发IPsec业务报文至SA资源业务板;SA资源业务板负责IPsec SA协商以及IPsec加密解密处理。
如图1所示,分布式分流装置包含主控板以及多个接口板和业务板,通过板间通信交互报文;主控板上包括配置管理模块,分流管理模块;接口板上包括报文收发模块,分流管理模块;业务板上包括SA协商模块,报文加解密模块。
具体地,主控上的分流管理模块负责:计算业务板地址比特位、静态指定方式负载均衡计算SA资源业务板、生成、删除分流表;接口板上的分流管理模块负责:维护分流表信息以及根据来源报文类型选择不同的分流表投递业务板、动态用户接入方式负载均衡计算SA资源业务板。
图2是静态指定对端地址方式分流的过程:
步骤201、业务板在线后,主控板分流管理模块将不同业务板物理地址分配出地址比特位。
具体地,主控板上的分流管理模块感应到业务板上线,分配出某个数值来表示该业务板物理地址,称为业务板地址比特位;该业务板地址比特位将用于分配给会话对端的安全参数索引(补充英文全称和中文释意。Security Parametres Index,SPI,是用于标识不同通信设备的SA,即对端设备中发来的报文中携带了本端分配给对端使用的SPI,该SPI唯一索引安全关联SA,在本端接收到报文时,解析出SPI可以找到对应的SA。不同会话对应不同的SA,对应不同的SPI)的固定比特位中;
步骤202、IPsec配置管理模块静态指定会话双方的源、目的地址以及配置完整其它IPsec协商要素,分流管理模块使用负载均衡算法,将不同源、目的地址的会话计算出SA资源业务板地址;生成IKE分流表,密文分流表,以及明文分流表下发至全接口板;
具体地,IKE分流表记录会话双方的源、目的地址和SA资源业务板对应关系;密文分流表记录业务板地址比特位和SA资源业务板对应关系;明文分流表记录静态指定的ACL流和SA资源业务板关系。
步骤203、SA资源业务板协商成功SA表项,加解密模块记录双方协商后的兴趣流以及SA。
具体地,SA协商模块,分配SPI时使用SPI的固定比特位作为业务板地址比特位(假如SPI占用4个字节,那么其中1个字节可以直接使用步骤201中分配的比特位(步骤201中的比特位实际上是业务板在位信息),其他3个字节需要按照不同的SA对应不同的值进行分配。SPI分配成功之后,对端设备发来的数据包都携带该SPI,本端收到包时,取出SPI中的这1个字节,查到是应该投递至哪个业务板,即对应步骤204;记录协商兴趣流和SA对应关系。
进一步地,当本端静态指定的兴趣流范围大于双方协商的兴趣流时,对于超出协商范围的指定兴趣流,接口板分流管理模块投递到SA资源业务板,在SA资源业务板加解密模块查询不到流量对应的SA,触发无SA的IPsec协商。
步骤204、在接口板上,IKE协商报文通过IKE分流表投递至SA资源业务板;明文通过查询明文分流表,符合兴趣流匹配模板的投递至SA资源业务板加密;密文提取SPI固定比特位查询密文分流表,投递至SA资源业务板解密。
步骤205、IPsec静态配置删除,主控板分流管理模块删除分流表并下发全接口板。
图3是动态用户接入分流的过程:
步骤301、业务板在线后,主控板分流管理模块将不同业务板物理地址分配出地址比特位。同静态指定方式的步骤1。
步骤302、接口板上接收到动态用户的IKE协商请求报文,分流管理模块提取IKE报文源、目的地址,使用负载均衡算法例如HASH算法计算出该会话的SA资源业务板物理地址;将IKE协商报文投递至SA资源业务板上。
IPsec保护一个包之前,必须先建立一个SA,建立SA的过程就是IKE协商过程。新的动态用户在申请接入时都需要进行协商SA以及分流表计算处理,接入成功申请到私网地址之后,数据流量就按照分流表进行分流处理了。
步骤303、SA资源业务板协商模块协商出SA后,主动上报主控板的分流管理模块,携带SA资源业务板物理地址信息、协商双方的源、目的地址、给用户分配的私网地址。
具体地,SA协商模块,分配SPI时使用SPI的固定比特位作为业务板地址比特位。
步骤304、主控板上的分流管理模块,生成IKE分流表,明文分流表,密文分流表。
具体地,根据SA资源业务板地址以及协商双方的源、目的地址生成IKE分流表;根据SA资源业务板地址以及给用户分配的私网地址生成明文分流表;根据SA资源业务板地址以及SPI固定比特位生成密文分流表。在动态用户接入场景,明文分流表中使用分配给用户的私网地址作为兴趣流匹配模板的分流索引的优点是,节省接口板上ACL的存储条目提升查询速度。
步骤305、在接口板上,IKE协商报文通过IKE分流表投递至SA资源业务板;明文通过查询明文分流表,不同的用户私网地址投递至不同的SA资源业务板加密;密文提取SPI固定特征位查询密文分流表,投递至SA资源业务板解密。
步骤306、动态用户下线,SA资源业务板上SA删除,主动通知主控板分流管理模块。
步骤307、主控板删除分流表并下发全接口板。
下面结合附图,对本发明的实施例二进行说明。
本发明实施例提供了一种业务分流方法,使用该方法完成对不同IPsec报文进行分流处理的流程如图4所示,包括:
步骤401、根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表;
本发明实施例中,所述分流表包括以下任一种或任意多种:
记录源、目的网络地址和SA资源业务板间的对应关系的IKE分流表,
记录兴趣流匹配模板和SA资源业务板物理地址间对应关系的明文分流表,所述兴趣流匹配模块具体为ACL或为动态接入用户分配的私网地址,
记录SPI固定比特位和SA资源业务板的对应关系的密文分流表。
对于静态指定对端地址场景,本步骤具体包括:
1、主控板为在线的SA资源业务板的物理地址分配地址比特位;
2、所述主控板指定会话双方的源、目的地址以及其他IPsec协商要求,使用负载均衡算法,计算出不同源、目的地址的会话的SA资源业务板物理地址;
3、所述主控板生成分流表并下发至全部接口板;
4、SA资源业务板协商SA表项,记录双方协商后的兴趣流和SA的对应关系。
当本端静态指定的兴趣流范围大于双方协商范围时,对于超出协商范围的指定兴趣流,所述接口板将该超出协商范围的指定兴趣流投递到SA资源业务板,所述SA资源业务板在查询不到所述超出协商范围的指定兴趣流对应的SA时,触发无SA的IPsec协商。
对于动态用户接入场景,本步骤具体包括:
1、主控板为在线的SA资源业务板的物理地址分配地址比特位;
2、接口板接收动态用户发送的IKE协商请求报文,提取该IKE协商请求报文中的源地址和目的地址,根据所述源地址和目的地址计算出相应会话的SA资源业务板的物理地址,将所述IKE协商请求报文投递至所述SA资源业务板上;
3、所述SA资源业务板协商获取SA,向所述主控板上报SA资源业务板的物理地址、协商双方的源地址和目的地址以及为用户分配的私网地址;
4、所述主控板生成分流表并下发至全部接口板。
步骤402、各接口板根据需要处理的报文的报文类型,选择相应的分流表;
本步骤具体包括:
当所述报文的报文类型为密钥交换协议(IKE)协商报文时,选择IKE分流表;
当所述报文的报文类型为明文报文时,选择明文分流表;
当所述报文的类型为密文报文时,选择密文分流表。
步骤403、所述各接口板根据选择的所述分流表将所述报文分流投递至对应的SA资源业务板。
主控板还可以删除分流表并控制接口板删除。具体的,对于静态指定对端地址场景,所述主控板删除所述分流表并下发至全部接口板,指示所述全部接口板删除所述分流表;对于动态用户接入场景,在动态用户下线后,所述SA资源业务板删除该动态用户对应的SA,并通知所述主控板删除该动态用户对应的SA,主控板删除所述分流表,并下发至全部接口板,指示所述全部接口板删除所述分流表。
下面结合附图,对本发明的实施例三进行说明。
本发明实施例提供了一种业务分流系统,其结构如图5所示,包括:
主控板501、至少一个接口板502和至少一个SA资源业务板503;
所述主控板501,用于根据IPsec协商要素或者动态用户接入信息为全部接口板502生成相同的至少一个分流表;
所述至少一个接口板502,用于根据需要处理的报文的报文类型,选择相应的分流表,并根据选择的所述分流表将所述报文分流投递至对应的所述SA资源业务板503。
优选的,所述主控板501的结构如图6所示,包括:
第一地址比特位分配模块601,用于为在线的SA资源业务板的物理地址分配地址比特位;
计算模块602,用于指定会话双方的源、目的地址以及其他IPsec协商要求,使用负载均衡算法,计算出不同源、目的地址的会话的SA资源业务板物理地址;
第一分流表生成模块603,用于生成分流表并下发至全部接口板。
优选的,所述接口板502,还用于当本端静态指定的兴趣流范围大于双方协商范围时,对于超出协商范围的指定兴趣流,将该超出协商范围的指定兴趣流投递到SA资源业务板;
所述SA资源业务板503,还用于在查询不到所述超出协商范围的指定兴趣流对应的SA时,触发无SA的IPsec协商。
优选的,所述主控板501还包括:
第二地址比特位分配模块604,用于为在线的SA资源业务板的物理地址分配地址比特位;
信息接收模块605,用于接收所述SA资源业务板向所述主控板上报的SA资源业务板的物理地址、协商双方的源地址和目的地址以及为用户分配的私网地址;
第二分流表生成模块606,用于生成分流表并下发至全部接口板。
本发明的实施例提供了一种业务分流方法和系统,为全部的接口板计算出相同的至少一个分流表,各接口板根据需要处理的报文的报文类型,选择相应的分流表,各接口板再根据选择的所述分流表将所述报文分流投递至对应的SA资源业务板。实现了对不同的IPsec业务相关的报文的分流和协同处理,解决了不同特征的IPsec业务相关的报文分流的问题。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
Claims (10)
1.一种业务分流方法,其特征在于,包括:
根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表;
各接口板根据需要处理的报文的报文类型,选择相应的分流表;
所述各接口板根据选择的所述分流表将所述报文分流投递至对应的安全联盟(SA)资源业务板;
其中,IPsec协商要素为全部接口板生成相同的至少一个分流表包括:
主控板为在线的SA资源业务板的物理地址分配地址比特位;
所述主控板指定会话双方的源、目的地址以及其他IPsec协商要求,使用负载均衡算法,计算出不同源、目的地址的会话的SA资源业务板物理地址;
所述主控板生成分流表并下发至全部接口板;当本端静态指定的兴趣流范围大于双方协商范围时,对于超出协商范围的指定兴趣流,所述接口板将该超出协商范围的指定兴趣流投递到SA资源业务板;
所述SA资源业务板在查询不到所述超出协商范围的指定兴趣流对应的SA时,触发无SA的IPsec协商。
2.根据权利要求1所述的业务分流方法,其特征在于,所述分流表包括以下任一种或任意多种:
记录源、目的网络地址和SA资源业务板间的对应关系的IKE分流表,
记录兴趣流匹配模板和SA资源业务板物理地址间对应关系的明文分流表,所述兴趣流匹配模块具体为ACL或为动态接入用户分配的私网地址,
记录安全参数索引(SPI)固定比特位和SA资源业务板的对应关系的密文分流表。
3.根据权利要求2所述的业务分流方法,其特征在于,各接口板根据需要处理的报文的报文类型,选择相应的分流表包括:
当所述报文的报文类型为密钥交换协议(IKE)协商报文时,选择IKE分流表;
当所述报文的报文类型为明文报文时,选择明文分流表;
当所述报文的类型为密文报文时,选择密文分流表。
4.根据权利要求1所述的业务分流方法,其特征在于,所述根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表的步骤之后,还包括:
SA资源业务板协商SA表项,记录双方协商后的兴趣流和SA的对应关系。
5.根据权利要求1所述的业务分流方法,其特征在于,该方法还包括:
所述主控板删除所述分流表并下发至全部接口板,指示所述全部接口板删除所述分流表。
6.根据权利要求1所述的业务分流方法,其特征在于,根据动态用户接入信息为全部接口板生成相同的至少一个分流表包括:
主控板为在线的SA资源业务板的物理地址分配地址比特位;
接口板接收动态用户发送的IKE协商请求报文,提取该IKE协商请求报文中的源地址和目的地址,根据所述源地址和目的地址计算出相应会话的SA资源业务板的物理地址,将所述IKE协商请求报文投递至所述SA资源业务板上;
所述SA资源业务板协商获取SA,向所述主控板上报SA资源业务板的物理地址、协商双方的源地址和目的地址以及为用户分配的私网地址;
所述主控板生成分流表并下发至全部接口板。
7.根据权利要求6所述的业务分流方法,其特征在于,该方法还包括:
在动态用户下线后,所述SA资源业务板删除该动态用户对应的SA,并通知所述主控板删除该动态用户对应的SA;
所述主控板删除所述分流表,并下发至全部接口板,指示所述全部接口板删除所述分流表。
8.一种业务分流系统,其特征在于,包括主控板、至少一个接口板和至少一个SA资源业务板;
所述主控板,用于根据IPsec协商要素或者动态用户接入信息为全部接口板生成相同的至少一个分流表;
所述至少一个接口板,用于根据需要处理的报文的报文类型,选择相应的分流表,并根据选择的所述分流表将所述报文分流投递至对应的所述SA资源业务板;
所述接口板,还用于当本端静态指定的兴趣流范围大于双方协商范围时,对于超出协商范围的指定兴趣流,将该超出协商范围的指定兴趣流投递到SA资源业务板;
所述SA资源业务板,还用于在查询不到所述超出协商范围的指定兴趣流对应的SA时,触发无SA的IPsec协商。
9.根据权利要求8所述的业务分流系统,其特征在于,所述主控板包括:
第一地址比特位分配模块,用于为在线的SA资源业务板的物理地址分配地址比特位;
计算模块,用于指定会话双方的源、目的地址以及其他IPsec协商要求,使用负载均衡算法,计算出不同源、目的地址的会话的SA资源业务板物理地址;
第一分流表生成模块,用于生成分流表并下发至全部接口板。
10.根据权利要求8所述的业务分流系统,其特征在于,所述主控板包括:
第二地址比特位分配模块,用于为在线的SA资源业务板的物理地址分配地址比特位;
信息接收模块,用于接收所述SA资源业务板向所述主控板上报的SA资源业务板的物理地址、协商双方的源地址和目的地址以及为用户分配的私网地址;
第二分流表生成模块,用于生成分流表并下发至全部接口板。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510136449.5A CN106161340B (zh) | 2015-03-26 | 2015-03-26 | 业务分流方法和系统 |
| PCT/CN2015/088148 WO2016150097A1 (zh) | 2015-03-26 | 2015-08-26 | 业务分流方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510136449.5A CN106161340B (zh) | 2015-03-26 | 2015-03-26 | 业务分流方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106161340A CN106161340A (zh) | 2016-11-23 |
| CN106161340B true CN106161340B (zh) | 2020-06-09 |
Family
ID=56978836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510136449.5A Active CN106161340B (zh) | 2015-03-26 | 2015-03-26 | 业务分流方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106161340B (zh) |
| WO (1) | WO2016150097A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603523A (zh) * | 2016-12-09 | 2017-04-26 | 北京东土军悦科技有限公司 | 一种报文转发方法及网络交换设备 |
| CN108092913B (zh) * | 2017-12-27 | 2022-01-25 | 杭州迪普科技股份有限公司 | 一种报文分流的方法和多核cpu网络设备 |
| CN111355698B (zh) * | 2018-12-24 | 2022-05-20 | 中兴通讯股份有限公司 | 一种传输方法、装置、报文发送端和接收端 |
| CN113507431B (zh) * | 2021-05-17 | 2024-02-09 | 新华三信息安全技术有限公司 | 一种报文管理方法、装置、设备及机器可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761483A (zh) * | 2012-06-29 | 2012-10-31 | 成都卫士通信息产业股份有限公司 | 一种不占用ip地址的隧道实现方法、系统及设备 |
| CN103546497A (zh) * | 2012-07-09 | 2014-01-29 | 杭州华三通信技术有限公司 | 一种分布式防火墙IPSec业务负载分担的方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080267177A1 (en) * | 2007-04-24 | 2008-10-30 | Sun Microsystems, Inc. | Method and system for virtualization of packet encryption offload and onload |
| US20110113236A1 (en) * | 2009-11-02 | 2011-05-12 | Sylvain Chenard | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism |
-
2015
- 2015-03-26 CN CN201510136449.5A patent/CN106161340B/zh active Active
- 2015-08-26 WO PCT/CN2015/088148 patent/WO2016150097A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761483A (zh) * | 2012-06-29 | 2012-10-31 | 成都卫士通信息产业股份有限公司 | 一种不占用ip地址的隧道实现方法、系统及设备 |
| CN103546497A (zh) * | 2012-07-09 | 2014-01-29 | 杭州华三通信技术有限公司 | 一种分布式防火墙IPSec业务负载分担的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106161340A (zh) | 2016-11-23 |
| WO2016150097A1 (zh) | 2016-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100596062C (zh) | 分布式报文传输安全保护装置和方法 | |
| US7860975B2 (en) | System and method for secure sticky routing of requests within a server farm | |
| US7792939B2 (en) | Method and system for obtaining secure shell host key of managed device | |
| KR101320962B1 (ko) | 네트워크 어드레스 변환을 위한 관리 방법 및 관리 장치 | |
| CN106161340B (zh) | 业务分流方法和系统 | |
| CN101729500B (zh) | 一种ip会话标识方法、装置和系统 | |
| CN110059055B (zh) | 一种基于分布式私有云的文件存储及读取方法及装置 | |
| CN109495594B (zh) | 一种数据传输方法、pnf sdn控制器、vnf sdn控制器及系统 | |
| CN102546559A (zh) | 受限网络中端到端传输数据的方法、设备和系统 | |
| CN107046506A (zh) | 一种报文处理方法、流分类器和业务功能实例 | |
| CN102917042A (zh) | 一种实现基于cdn和网络融合的互联网业务的方法及装置 | |
| US20220141191A1 (en) | Secure distribution of configuration to facilitate a privacy-preserving virtual private network system | |
| CN102761494A (zh) | 一种ike协商处理方法及装置 | |
| US20140181279A1 (en) | Virtual Console-Port Management | |
| JPWO2014142258A1 (ja) | 通信システム、制御装置、アドレス割当方法及びプログラム | |
| CN103139201B (zh) | 一种网络策略获取方法及数据中心交换机 | |
| CN107547680B (zh) | 一种数据处理方法及装置 | |
| WO2016000473A1 (zh) | 一种业务访问方法、系统及装置 | |
| US20190124011A1 (en) | Enhanced quality of service management for inter-computing system communication | |
| WO2020029793A1 (zh) | 一种上网行为管理系统、设备及方法 | |
| US10554633B2 (en) | Enhanced packet formating for security inter-computing system communication | |
| CN107483197B (zh) | 一种vpn网络终端密钥分发方法及装置 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| CN110430111B (zh) | 一种OpenVPN的数据传输方法及VPN服务器 | |
| TW201517654A (zh) | 傳輸路徑控制系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |