專利名稱::可提高安全協(xié)定封包處理效能的方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種可提高安全協(xié)議封包處理效能的方法���,主要對欲進(jìn)行傳輸?shù)姆獍鼣?shù)據(jù)進(jìn)行判斷���,借此以提高安全協(xié)議封包的處理效能。
背景技術(shù):
:請參閱圖l�����,為現(xiàn)有封包數(shù)據(jù)的傳輸示意圖����。如圖所示��,一般而言封包數(shù)據(jù)可以IP封包或是安全協(xié)議封包(IPSec)進(jìn)行傳送�,在以IP封包進(jìn)行數(shù)據(jù)的傳送時(shí),由于IP封包本身并不具有任何安全的特性��,因此在傳輸?shù)倪^程中IP封包很有可能被攔截,并被查看或修改IP封包的內(nèi)容���。安全協(xié)議封包是針對位于網(wǎng)絡(luò)層的InternetProtocol所提出的安全性協(xié)議����,并可有效提高封包數(shù)據(jù)傳送時(shí)的安全性���。一般來說安全協(xié)議封包主要可使用傳輸模式(Transportmode)或通道模式(Tunnelmode)進(jìn)行傳輸�����,以傳輸模式進(jìn)行封包數(shù)據(jù)的傳輸時(shí)�,僅需要加密或認(rèn)證上層協(xié)議的數(shù)據(jù)����。例如在同一個(gè)局域網(wǎng)絡(luò)(LAN)中包括有第一計(jì)算機(jī)(PCI)111與第三計(jì)算機(jī)(PC3)115,其中第一計(jì)算機(jī)111與第三計(jì)算機(jī)115可直接建立聯(lián)機(jī)(不必經(jīng)由路由器或防火墻)��,且第一計(jì)算機(jī)111及第三計(jì)算機(jī)115具有處理安全協(xié)議封包的能力���,并可使用安全協(xié)議的傳輸模式�。在以通道模式進(jìn)行安全協(xié)議封包的傳輸時(shí),安全協(xié)議會加密或認(rèn)證整個(gè)封包�,然后在最外面再加上一個(gè)新的IP表頭。當(dāng)安全協(xié)議聯(lián)機(jī)兩端的計(jì)算機(jī)有一端或兩端不具處理安全協(xié)議封包能力����,而必須通過具有安全協(xié)議能力的路由器或網(wǎng)關(guān)器來代為處理安全協(xié)議封包時(shí),即必須使用通道模式�。此外,在以通道模式進(jìn)行安全協(xié)議封包的傳輸時(shí)�����,要先在兩個(gè)網(wǎng)關(guān)器(Gateway)之間建立一條安全協(xié)議通道(IPSecT皿nel)��,例如可在第一網(wǎng)關(guān)器13與第二網(wǎng)關(guān)器15之間建立安全協(xié)議通道17�,當(dāng)?shù)谝挥?jì)算機(jī)111要將數(shù)據(jù)傳送至第二計(jì)算機(jī)113時(shí),第一計(jì)算機(jī)111會先將封包數(shù)據(jù)傳送至第一網(wǎng)關(guān)器13�,而第一網(wǎng)關(guān)器13會將封包數(shù)據(jù)封裝成安全協(xié)議封包,并將安全協(xié)定封包經(jīng)由安全協(xié)議通道17傳送至第二網(wǎng)關(guān)器15��。第二網(wǎng)關(guān)器15會進(jìn)一步對所接收的安全協(xié)議封包進(jìn)行解密���,以還原成為封包數(shù)據(jù)并傳送至第二計(jì)算機(jī)113,借此以完成第一計(jì)算機(jī)111與第二計(jì)算機(jī)113之間的數(shù)據(jù)傳輸�。第一計(jì)算機(jī)111將封包數(shù)據(jù)傳送至第一網(wǎng)關(guān)器13時(shí),第一網(wǎng)關(guān)器13內(nèi)的Netfilter或防火墻(Firewall)131會接收封包數(shù)據(jù),之后再將封包數(shù)據(jù)交給安全協(xié)議模塊(IPSecModule)133���。安全協(xié)議模塊133可將封包數(shù)據(jù)加密封裝為安全協(xié)議封包�,待封裝完成后安全協(xié)議模塊133會在將安全協(xié)定封包交給Netfilter或防火墻131���,并以Netfilter或防火墻131進(jìn)行安全協(xié)議封包的傳送��。在經(jīng)過分析后可以發(fā)現(xiàn)���,網(wǎng)關(guān)器13/15在處理安全協(xié)議封包時(shí)會消耗相當(dāng)多的時(shí)間與資源,例如網(wǎng)關(guān)器13/15必須進(jìn)行安全協(xié)議封包的加密或解密�����。此外�,在以網(wǎng)關(guān)器13/15接收或發(fā)送安全協(xié)議封包的過程中,封包數(shù)據(jù)需要經(jīng)過安全協(xié)議模塊133及Netfilter或防火墻131之間多個(gè)接點(diǎn)(例如5個(gè)Hook點(diǎn))�����,進(jìn)而影響到安全協(xié)定封包的4處理效能��。
發(fā)明內(nèi)容本發(fā)明的主要目的���,在于提供一種可提高安全協(xié)議封包處理效能的方法�,主要用以對網(wǎng)關(guān)器處理安全協(xié)議封包的過程進(jìn)行優(yōu)化,以降低網(wǎng)關(guān)器的負(fù)擔(dān)及處理的時(shí)間����,借此有利于提高網(wǎng)關(guān)器處理安全協(xié)議封包的效率。本發(fā)明的次要目的����,在于提供一種可提高安全協(xié)議封包處理效能的方法,其中網(wǎng)關(guān)器在處理封包數(shù)據(jù)的過程當(dāng)中�����,可使得屬于安全協(xié)議通道的封包數(shù)據(jù)繞開網(wǎng)關(guān)器內(nèi)的Netfilter或防火墻���,借此以減少網(wǎng)關(guān)器及/或處理器的負(fù)擔(dān)及處理的時(shí)間���,并達(dá)到提高整體效能的目的。本發(fā)明的又一目的��,在于提供一種可提高安全協(xié)議封包處理效能的方法���,其中網(wǎng)關(guān)器可將所接收的封包數(shù)據(jù)的來源地址(sourceaddress)及/或目的地址(destinationaddress)及/或安全系數(shù)索引(SPI)與安全協(xié)議通道表(IPSectunneltable)進(jìn)行比對��,借此以判斷該封包數(shù)據(jù)是否屬于某一安全協(xié)議通道��。本發(fā)明的又一目的�����,在于提供一種可提高安全協(xié)議封包處理效能的方法���,由于安全協(xié)議封包本身已是一種加密數(shù)據(jù),可在沒有防火墻存在的狀況下進(jìn)行安全的傳輸�,此外亦不需要網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,因此可使得屬于安全協(xié)議通道的封裝數(shù)據(jù)繞開網(wǎng)關(guān)器內(nèi)的Netfilter或防火墻�����,以提高安全協(xié)定封包的處理效能�����。本發(fā)明的又一目的�����,在于提供一種可提高安全協(xié)議封包處理效能的方法�����,其中網(wǎng)關(guān)器在完成封包數(shù)據(jù)的判斷后,會進(jìn)一步對屬于安全協(xié)議通道的封包數(shù)據(jù)進(jìn)行標(biāo)示�����,借此可不用重復(fù)對經(jīng)過判斷的封包數(shù)據(jù)進(jìn)行判斷��。為達(dá)上述目的�����,本發(fā)明提供可提高安全協(xié)議封包處理效能的方法����,包括有以下步驟一計(jì)算機(jī)傳送一封包數(shù)據(jù)至一網(wǎng)關(guān)器;網(wǎng)關(guān)器判斷封包數(shù)據(jù)屬于一安全協(xié)議通道�;封包數(shù)據(jù)繞開網(wǎng)關(guān)器的Netfilter及/或防火墻;以一安全協(xié)議模塊將封包數(shù)據(jù)封裝成為一安全協(xié)議封包及網(wǎng)關(guān)器通過安全協(xié)議通道將安全協(xié)議封包傳送至另一網(wǎng)關(guān)器�����。本發(fā)明還提供另一種可提高安全協(xié)議封包處理效能的方法���,包括有以下步驟一網(wǎng)關(guān)器由廣域網(wǎng)接收一封包數(shù)據(jù)��;網(wǎng)關(guān)器判斷封包數(shù)據(jù)屬于一安全協(xié)議通道���;封包數(shù)據(jù)繞開網(wǎng)關(guān)器的Netfilter及/或防火墻;以一安全協(xié)議模塊將封包數(shù)據(jù)進(jìn)行還原及網(wǎng)關(guān)器將經(jīng)過還原的封包數(shù)據(jù)傳送至一計(jì)算機(jī)���。此外���,本發(fā)明還進(jìn)一步提供一種可提高安全協(xié)議封包處理效能的方法,包括有以下步驟一第一計(jì)算機(jī)傳送一封包數(shù)據(jù)至一第一網(wǎng)關(guān)器��,且封包數(shù)據(jù)屬于一安全協(xié)議通道��;封包數(shù)據(jù)繞開第一網(wǎng)關(guān)器的Netfilter及/或防火墻�;以第一網(wǎng)關(guān)器的一安全協(xié)議模塊將封包數(shù)據(jù)封裝成為一安全協(xié)議封包第一網(wǎng)關(guān)器通過安全協(xié)議通道將安全協(xié)議封包傳送至一第二網(wǎng)關(guān)器;安全協(xié)定封包繞開第二網(wǎng)關(guān)器的Netfilter及/或防火墻�����;以第二網(wǎng)關(guān)器的一安全協(xié)議模塊將安全協(xié)議封包進(jìn)行還原���;及第二網(wǎng)關(guān)器將經(jīng)過還原的安全協(xié)議封包傳送至一第二計(jì)算機(jī)�����。以下結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)描述����,但不作為對本發(fā)明的限定。圖1為現(xiàn)有封包數(shù)據(jù)的傳輸示意圖���;圖2為本發(fā)明封包數(shù)據(jù)一實(shí)施例的傳輸示意圖�;圖3為本發(fā)明可提高安全協(xié)定封包處理效能的方法一實(shí)施例的方法流程示意圖���;圖4為本發(fā)明可提高安全協(xié)定封包處理效能的方法又一實(shí)施例的方法流程示意圖���。其中,附圖標(biāo)記111第一計(jì)算機(jī)113第二計(jì)算機(jī)115第三計(jì)算機(jī)117第四計(jì)算機(jī)13第一網(wǎng)關(guān)器131防火墻133安全協(xié)議模塊15第二網(wǎng)關(guān)器17安全協(xié)議通道211第一計(jì)算機(jī)213第二計(jì)算機(jī)215第三計(jì)算機(jī)217第四計(jì)算機(jī)23第一網(wǎng)關(guān)器231防火墻233安全協(xié)議模塊25第二網(wǎng)關(guān)器251防火墻253安全協(xié)議模塊27安全協(xié)議通道29因特網(wǎng)具體實(shí)施例方式下面結(jié)合附圖對本發(fā)明的結(jié)構(gòu)原理和工作原理作具體的描述請參閱圖2�,為本發(fā)明封包數(shù)據(jù)一實(shí)施例的傳輸示意圖。一般而言計(jì)算機(jī)可通過網(wǎng)關(guān)器并利用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸����,在本發(fā)明實(shí)施例中包括有一第一計(jì)算機(jī)(PC1)211、一第二計(jì)算機(jī)(PC2)213����、一第三計(jì)算機(jī)(PC3)215、一第四計(jì)算機(jī)(PC4)217、一第一網(wǎng)關(guān)器23及一第二網(wǎng)關(guān)器25����,其中第一計(jì)算機(jī)211及第三計(jì)算機(jī)215與第一網(wǎng)關(guān)器23相連接,且第一計(jì)算機(jī)211及第三計(jì)算機(jī)215位于同一個(gè)局域網(wǎng)絡(luò)(LAN)�����,而第二計(jì)算機(jī)213及第四計(jì)算機(jī)217則與第二網(wǎng)關(guān)器25相連接���,且第二計(jì)算機(jī)213及第四計(jì)算機(jī)217位于同一個(gè)局域網(wǎng)絡(luò)。第一計(jì)算機(jī)211及第三計(jì)算機(jī)215可通過第一網(wǎng)關(guān)器23上網(wǎng)��,并進(jìn)行封包數(shù)據(jù)的傳輸�。在本發(fā)明實(shí)施例中,第一網(wǎng)關(guān)器23包括有一Netfilter或防火墻231��,而第二網(wǎng)關(guān)器25亦包括有一Netfilter或防火墻251��,當(dāng)?shù)谝挥?jì)算機(jī)211或第三計(jì)算機(jī)215要進(jìn)行封包數(shù)據(jù)的傳送時(shí)����,例如封包數(shù)據(jù)為一IP封包時(shí),可將封包數(shù)據(jù)傳送至第一網(wǎng)關(guān)器23���,并以第一網(wǎng)關(guān)器23內(nèi)的Netfilter或防火墻231過濾封包數(shù)據(jù)����,或是對封包數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),借此以完成封包數(shù)據(jù)的傳送���。第一網(wǎng)關(guān)器23還包括有一安全協(xié)議模塊(IPSecModule)233�����,而第二網(wǎng)關(guān)器25亦包括有一安全協(xié)議模塊253��,借此可通過第一網(wǎng)關(guān)器23將第一計(jì)算機(jī)211及第三計(jì)算機(jī)215所傳送的封包數(shù)據(jù)封裝成安全協(xié)議封包(IPSecpacket)�����,并通過安全協(xié)議通道27進(jìn)行安全協(xié)議封包的傳送��。例如��,可在第一網(wǎng)關(guān)器23及第二網(wǎng)關(guān)器25之間建立一安全協(xié)議通道27���,借此第一網(wǎng)關(guān)器23可將封包數(shù)據(jù)封裝成安全協(xié)議封包,并經(jīng)由安全協(xié)議通道27將安全協(xié)議封包傳送至第二網(wǎng)關(guān)器25��,而第二網(wǎng)關(guān)器25則可將接收的安全協(xié)議封包進(jìn)行解密還原成封包數(shù)據(jù),并將封包數(shù)據(jù)傳送至第二計(jì)算機(jī)213或第四計(jì)算機(jī)217�����。在本發(fā)明實(shí)施例中����,網(wǎng)關(guān)器23/25在接收到計(jì)算機(jī)211/213/215/217所傳送的封包數(shù)據(jù)后,會進(jìn)一步對封包數(shù)據(jù)進(jìn)行判斷���,若該封包數(shù)據(jù)屬于某一條安全協(xié)議通道(IPSecTunnel)���,便可得知該封包數(shù)據(jù)之后將會被封裝成安全協(xié)議封包�����,并可使得該封包數(shù)據(jù)由Netfilter或防火墻231/251退出�,或使得封包數(shù)據(jù)繞開Netfilter或防火墻231/251,而直接以安全協(xié)議模塊233/253將封包數(shù)據(jù)封裝成為安全協(xié)議封包����,并進(jìn)行安全協(xié)議封包的傳送。例如第一計(jì)算機(jī)211可將封包數(shù)據(jù)傳送至第一網(wǎng)關(guān)器23����,當(dāng)?shù)谝痪W(wǎng)關(guān)器23判斷該封包數(shù)據(jù)屬于安全協(xié)議通道27時(shí)�,便可使得該封包數(shù)據(jù)由Netfilter或防火墻231退出���,并直接以安全協(xié)議模塊233將封包數(shù)據(jù)封裝成為安全協(xié)議封包���,而后再通過安全協(xié)議通道27將安全協(xié)議封包傳送至第二網(wǎng)關(guān)器25。當(dāng)?shù)诙W(wǎng)關(guān)器25判斷該封包數(shù)據(jù)屬于安全協(xié)議通道27時(shí)�����,便可得知該封包數(shù)據(jù)為安全協(xié)議封包�,并可使得該封包數(shù)據(jù)由Netfilter或防火墻251退出,并直接以安全協(xié)議模塊253對封包數(shù)據(jù)進(jìn)行還原�����。安全協(xié)議封包主要是在封包數(shù)據(jù)上封裝一層安全協(xié)議通道���,以完成內(nèi)網(wǎng)數(shù)據(jù)在公網(wǎng)上傳輸?shù)姆椒?�,且在傳輸?shù)倪^程中具有相當(dāng)高的安全性��,因此可不需要Netfilter或網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��,亦可不使用防火墻對封包進(jìn)行過濾�����。在本發(fā)明中判斷屬于安全協(xié)議通道的封包數(shù)據(jù)會繞開網(wǎng)關(guān)器23/25內(nèi)的Netfilter或防火墻231����,借此以減少網(wǎng)關(guān)器23/25及/或微處理器的運(yùn)算量及負(fù)擔(dān),并有利于提高安全協(xié)定封包的處理效能��。請參閱圖3���,為本發(fā)明可提高安全協(xié)定封包處理效能的方法一實(shí)施例的流程示意圖�。請配合參照圖2����,為了提高說明的便利性�,本發(fā)明主要是以第一計(jì)算機(jī)211經(jīng)由第一網(wǎng)關(guān)器23進(jìn)行封包數(shù)據(jù)傳送為說明實(shí)施例,當(dāng)然在實(shí)際應(yīng)用時(shí)亦可通過不同的計(jì)算機(jī)及網(wǎng)關(guān)器進(jìn)行封包數(shù)據(jù)的傳輸��。在通過網(wǎng)絡(luò)進(jìn)行封包數(shù)據(jù)的傳輸時(shí)�,首先可由第一計(jì)算機(jī)211將封包數(shù)據(jù)傳送至第一網(wǎng)關(guān)器23,如步驟31所示���。網(wǎng)關(guān)器在接收計(jì)算機(jī)所傳送的封包數(shù)據(jù)后���,將會進(jìn)一步判斷所接收的封包數(shù)據(jù)是否屬于一安全通道協(xié)議通道����,例如第一網(wǎng)關(guān)器23會判斷第一計(jì)算機(jī)211所傳送的封包數(shù)據(jù)是否屬于安全協(xié)議通道27�,如步驟32所示。在本發(fā)明一實(shí)施例中����,當(dāng)?shù)谝痪W(wǎng)關(guān)器23與第二網(wǎng)關(guān)器25之間建立一條安全協(xié)議通道后,將會以安全協(xié)議通道表(IPSect皿neltable)對所建立的安全協(xié)議通道的屬性進(jìn)行記錄���,例如安全協(xié)議通道表中可記錄安全協(xié)議通道的來源地址(sourceaddress)及/或目的地址(destinationaddress)及/或安全系數(shù)索弓I(SPI)���,借此將可以封包數(shù)據(jù)內(nèi)的來源地址及/或目的地址及/或安全系數(shù)索引與安全協(xié)議通道表進(jìn)行比對。若可以在安全協(xié)議通道表內(nèi)找到一個(gè)安全協(xié)議通道的來源地址及/或目的地址與封包數(shù)據(jù)的來源地址及/或目的地址相同�����,便可得知該封包數(shù)據(jù)是屬于該安全協(xié)議通道�,換言之,該封包數(shù)據(jù)之后將會被封裝成為安全協(xié)議封包�,并可繼續(xù)進(jìn)行步驟34��。反之�����,若無法在安全協(xié)議通道表內(nèi)找到一個(gè)安全協(xié)議通道的來源地址及/或目的地址與封包數(shù)據(jù)的來源地址及/或目的地址相同���,則表示該封包數(shù)據(jù)后續(xù)并不會經(jīng)由安全協(xié)議通道進(jìn)行傳送,并可繼續(xù)進(jìn)行步驟33��。當(dāng)判斷封包數(shù)據(jù)后續(xù)不會經(jīng)由安全協(xié)議通道進(jìn)行傳送時(shí)�����,便需要以第一網(wǎng)關(guān)器23內(nèi)的Netfilter及/或防火墻231對該封包數(shù)據(jù)進(jìn)行處理及傳輸����,如步驟33所示。在此一步驟中���,可以Netfilter或NAT對進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換����,以防火墻過濾封包數(shù)據(jù)的數(shù)據(jù)���,而后再進(jìn)行封包數(shù)據(jù)的傳送����,借此以提高封包數(shù)據(jù)在傳送時(shí)的安全性�����。若封包數(shù)據(jù)是屬于某一安全協(xié)議通道����,例如安全協(xié)議通道27,則可使得該封包數(shù)據(jù)繞開第一網(wǎng)關(guān)器23內(nèi)的Netfilter及/或防火墻231���,如步驟34所示�。一般來說第一計(jì)算機(jī)211在將封包數(shù)據(jù)傳送至第一網(wǎng)關(guān)器23時(shí)�����,會在第一網(wǎng)關(guān)器23的Netfiler及/或防火墻231的入口處對封包數(shù)據(jù)進(jìn)行判斷�,當(dāng)確認(rèn)封包數(shù)據(jù)屬于某一條安全協(xié)議通道27,便進(jìn)一步使得該封包數(shù)據(jù)由Netfiler及/或防火墻231退出���,或繞開Netfiler及/或防火墻231����。對封包數(shù)據(jù)而言第一接點(diǎn)(Hook點(diǎn))通常都是Preinput,因此可在Preinput處對封包數(shù)據(jù)進(jìn)行判斷����。此外亦可依據(jù)判斷的結(jié)果在封包數(shù)據(jù)上設(shè)置一個(gè)標(biāo)志,例如對屬于一安全協(xié)議通道的封裝數(shù)據(jù)上設(shè)置標(biāo)志��,借此其它的接點(diǎn)(Hook點(diǎn))將可由封包數(shù)據(jù)上的標(biāo)志得知該封包數(shù)據(jù)是否屬于一安全協(xié)議通道�����,而不用再花時(shí)間對相同的封包數(shù)據(jù)進(jìn)行判斷�����。當(dāng)封包數(shù)據(jù)繞開Netfilter及/或防火墻231或由Netfilter及/或防火墻231退出后����,將會進(jìn)一步通過安全協(xié)議模塊233將該封包數(shù)據(jù)封裝成為一安全協(xié)議封包,如步驟35所示���。當(dāng)封包數(shù)據(jù)被封裝成為安全協(xié)議封包后����,便可經(jīng)由該安全協(xié)議封包所屬的安全協(xié)議通道進(jìn)行數(shù)據(jù)傳送�,例如第一網(wǎng)關(guān)器23經(jīng)由一安全協(xié)議通道27將安全協(xié)議封包傳送至第二網(wǎng)關(guān)器25,如步驟36所示�����。經(jīng)由上述的步驟將可對封包數(shù)據(jù)進(jìn)行判斷����,使得封包數(shù)據(jù)經(jīng)過Netfilter及/或防火墻231后再進(jìn)行傳輸,或是使得封包數(shù)據(jù)由Netfilter及/或防火墻231退出�,并以安全協(xié)議模塊233將封包數(shù)據(jù)封裝成為安全協(xié)議封包,而后再通過安全協(xié)議通道27進(jìn)行安全協(xié)議封包的傳輸����,借此將可有效提高(第一)網(wǎng)關(guān)器23處理及傳輸安全協(xié)議封包的效能。請參閱圖4��,為本發(fā)明可提高安全協(xié)定封包處理效能的方法又一實(shí)施例的流程示意圖�����。請同時(shí)參閱圖2����,為了提高說明的便利性���,本發(fā)明主要是以第二網(wǎng)關(guān)器25將封包數(shù)據(jù)傳送至第二計(jì)算機(jī)213為說明的實(shí)施例,當(dāng)然在實(shí)際應(yīng)用時(shí)亦可通過不同的計(jì)算機(jī)及網(wǎng)關(guān)器進(jìn)行封包數(shù)據(jù)的傳輸����。網(wǎng)關(guān)器可用以由廣域網(wǎng)接收一封包數(shù)據(jù),例如第二網(wǎng)關(guān)器25可經(jīng)由安全協(xié)議通道27由第一網(wǎng)關(guān)器23接收一安全協(xié)議封包�����,當(dāng)然第二網(wǎng)關(guān)器25亦可由因特網(wǎng)(Internet)29由第一網(wǎng)關(guān)器23或其它裝置接收一封包數(shù)據(jù)�,如步驟41所示。網(wǎng)關(guān)器在接收封包數(shù)據(jù)后可進(jìn)一步判斷該封包數(shù)據(jù)是否屬于一安全協(xié)議通道��,例如第二網(wǎng)關(guān)器25由廣域網(wǎng)(WAN)口接收封包數(shù)據(jù)����,并進(jìn)一步對該封包數(shù)據(jù)進(jìn)行判斷,如步驟42所示��。在本發(fā)明一實(shí)施例中�,可在preinput處判斷所接收的封包數(shù)據(jù)是否屬于安全協(xié)議通道27,例如可將封包數(shù)據(jù)的來源地址及/或目的地址及/或安全系數(shù)索引與安全協(xié)議通道表進(jìn)行比對�����。若可以在安全協(xié)議通道表內(nèi)找到一個(gè)相符合的安全協(xié)議通道,便可得知該封包數(shù)據(jù)是屬于該安全協(xié)議通道��,換言之�,該封包數(shù)據(jù)為安全協(xié)議封包��,并可繼續(xù)進(jìn)行步驟44����。反之,若無法在安全協(xié)議通道表內(nèi)找到一個(gè)符合的安全協(xié)議通道���,則表示該封包數(shù)據(jù)并不屬于也不是經(jīng)由安全協(xié)議通道進(jìn)行傳送�,換言之該封包數(shù)據(jù)不是安全協(xié)議封包����,并可繼續(xù)進(jìn)行步驟43。當(dāng)判斷封包數(shù)據(jù)不是經(jīng)由安全協(xié)議通道所進(jìn)行傳送時(shí)����,便需要以第二網(wǎng)關(guān)器25的Netfilter及/或防火墻251對該封包數(shù)據(jù)進(jìn)行處理及過濾,如步驟43所示��。在此一步驟中,需要以Netfilter或NAT對封包數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����,并以防火墻過濾封包數(shù)據(jù)����,而后再進(jìn)行封包數(shù)據(jù)的傳輸,借此以提高封包數(shù)據(jù)在傳送時(shí)的安全性��。若封包數(shù)據(jù)是屬于某一安全協(xié)議通道��,則可使得該封包數(shù)據(jù)繞開Netfilter及/或防火墻251��,如步驟44所示���。在實(shí)際應(yīng)用時(shí)可在Netfiler及/或防火墻251的入口處對封包數(shù)據(jù)進(jìn)行判斷���,當(dāng)確認(rèn)封包數(shù)據(jù)是屬于某一條安全協(xié)議通道27,便可使得該封包數(shù)據(jù)由Netfiler及/或防火墻251退出�����。例如可在第一接點(diǎn)處對封包數(shù)據(jù)進(jìn)行判斷�,并依據(jù)判斷的結(jié)果在封包數(shù)據(jù)上設(shè)置一個(gè)標(biāo)志,借此其它的接點(diǎn)將可由封包數(shù)據(jù)上的標(biāo)志得知該封包數(shù)據(jù)是否屬于一安全協(xié)議通道�,而不用再花時(shí)間對相同的封包數(shù)據(jù)進(jìn)行判斷。當(dāng)確定第二網(wǎng)關(guān)器25所接收的封包數(shù)據(jù)為安全協(xié)議封包時(shí)����,便可使得安全協(xié)定封包繞開Netfilter及/或防火墻251或由Netfilter及/或防火墻251退出,并進(jìn)一步通過安全協(xié)議模塊253將該安全協(xié)議封包還原成為封包數(shù)據(jù)�����,如步驟45所示����。而后第二網(wǎng)關(guān)器25可將經(jīng)過還原的封包數(shù)據(jù)傳送至第二計(jì)算機(jī)213���,如步驟46所示�。在本發(fā)明實(shí)施例中主要是對網(wǎng)關(guān)器接收安全協(xié)議封包的效能進(jìn)行優(yōu)化��,而圖3實(shí)施例則是對網(wǎng)關(guān)器傳送安全協(xié)議封包的效能進(jìn)行優(yōu)化���,在實(shí)際應(yīng)用時(shí)可將兩者進(jìn)行合并�����,并有利于提高安全協(xié)議封包整體的處理效能���。例如第一計(jì)算機(jī)211可將封包數(shù)據(jù)傳送至第一網(wǎng)關(guān)器23�����,若該封包數(shù)據(jù)屬于一安全協(xié)議通道27���,便可使得該封包數(shù)據(jù)繞開該第一網(wǎng)關(guān)器23的Netfilter及/或防火墻231,并以第一網(wǎng)關(guān)器23內(nèi)的安全協(xié)議模塊231將封包數(shù)據(jù)封裝成為安全協(xié)議封包�����,而后第一網(wǎng)關(guān)器23可通過安全協(xié)議通道27將安全協(xié)議封包傳送至第二網(wǎng)關(guān)器25����。由于該封裝數(shù)據(jù)屬于安全協(xié)議通道27,并為一安全協(xié)定封包����,因而可使得安全協(xié)定封包繞開第二網(wǎng)關(guān)器25的Netfilter及/或防火墻251,并以第二網(wǎng)關(guān)器25的安全協(xié)議模塊253將安全協(xié)議封包進(jìn)行還原�,而后再由第二網(wǎng)關(guān)器25將經(jīng)過還原的安全協(xié)議封包傳送至第二計(jì)算機(jī)215。當(dāng)然�����,本發(fā)明還可有其它多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下����,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�。權(quán)利要求一種可提高安全協(xié)議封包處理效能的方法,其特征在于�����,包括有以下步驟一計(jì)算機(jī)傳送一封包數(shù)據(jù)至一網(wǎng)關(guān)器����;該網(wǎng)關(guān)器判斷該封包數(shù)據(jù)屬于一安全協(xié)議通道��;該封包數(shù)據(jù)繞開該網(wǎng)關(guān)器的Netfilter及/或防火墻��;以一安全協(xié)議模塊將該封包數(shù)據(jù)封裝成為一安全協(xié)議封包及該網(wǎng)關(guān)器通過該安全協(xié)議通道將該安全協(xié)議封包傳送至另一網(wǎng)關(guān)器��。2.根據(jù)權(quán)利要求1所述的可提高安全協(xié)議封包處理效能的方法�,其特征在于,包括有以下步驟將該封包數(shù)據(jù)的來源地址�����、該封包數(shù)據(jù)的目的地址及/或該封包數(shù)據(jù)的安全系數(shù)索引與一安全通道表進(jìn)行比對。3.根據(jù)權(quán)利要求1所述的可提高安全協(xié)議封包處理效能的方法��,其特征在于��,包括有以下步驟標(biāo)示屬于該安全協(xié)議通道的封包數(shù)據(jù)���。4.根據(jù)權(quán)利要求1所述的可提高安全協(xié)議封包處理效能的方法�,其特征在于���,包括有以下步驟將該封包數(shù)據(jù)的來源地址及目的地址與一安全通道表進(jìn)行比對�。5.—種可提高安全協(xié)議封包處理效能的方法���,其特征在于����,包括有以下步驟一網(wǎng)關(guān)器由廣域網(wǎng)接收一封包數(shù)據(jù)�����;該網(wǎng)關(guān)器判斷該封包數(shù)據(jù)屬于一安全協(xié)議通道��;該封包數(shù)據(jù)繞開該網(wǎng)關(guān)器的Netfilter及/或防火墻;以一安全協(xié)議模塊將該封包數(shù)據(jù)進(jìn)行還原及該網(wǎng)關(guān)器將經(jīng)過還原的封包數(shù)據(jù)傳送至一計(jì)算機(jī)���。6.根據(jù)權(quán)利要求5所述的可提高安全協(xié)議封包處理效能的方法�,其特征在于����,包括有以下步驟將該封包數(shù)據(jù)的來源地址、該封包數(shù)據(jù)的目的地址及/或該封包數(shù)據(jù)的安全系數(shù)索引與一安全通道表進(jìn)行比對���。7.根據(jù)權(quán)利要求5所述的可提高安全協(xié)議封包處理效能的方法�����,其特征在于�,包括有以下步驟標(biāo)示屬于該安全協(xié)議通道的封包數(shù)據(jù)���。8.根據(jù)權(quán)利要求5所述的可提高安全協(xié)議封包處理效能的方法,其特征在于��,包括有以下步驟將該封包數(shù)據(jù)的來源地址及目的地址與一安全通道表進(jìn)行比對�。9.一種可提高安全協(xié)議封包處理效能的方法,其特征在于��,包括有以下步驟一第一計(jì)算機(jī)傳送一封包數(shù)據(jù)至一第一網(wǎng)關(guān)器,且該封包數(shù)據(jù)屬于一安全協(xié)議通道����;該封包數(shù)據(jù)繞開該第一網(wǎng)關(guān)器的Netfilter及/或防火墻;以該第一網(wǎng)關(guān)器的一安全協(xié)議模塊將該封包數(shù)據(jù)封裝成為一安全協(xié)議封包該第一網(wǎng)關(guān)器通過該安全協(xié)議通道將該安全協(xié)議封包傳送至一第二網(wǎng)關(guān)器��;該安全協(xié)定封包繞開該第二網(wǎng)關(guān)器的Netfilter及/或防火墻��;以該第二網(wǎng)關(guān)器的一安全協(xié)議模塊將該安全協(xié)議封包進(jìn)行還原����;及該第二網(wǎng)關(guān)器將經(jīng)過還原的安全協(xié)議封包傳送至一第二計(jì)算機(jī)。10.根據(jù)權(quán)利要求9所述的可提高安全協(xié)議封包處理效能的方法�,其特征在于,包括有以下步驟將該封包數(shù)據(jù)的來源地址及目的地址與一安全通道表進(jìn)行比對��;及判斷該封包數(shù)據(jù)是否屬于一安全協(xié)議通道��。11.根據(jù)權(quán)利要求1所述的可提高安全協(xié)議封包處理效能的方法�����,其特征在于�����,包括有以下步驟將該封包數(shù)據(jù)的來源地址、目的地址及安全系數(shù)索引與一安全通道表進(jìn)行比對�;及判斷該封包數(shù)據(jù)是否屬于一安全協(xié)議通道。全文摘要本發(fā)明公開一種可提高安全協(xié)議封包處理效能的方法�,主要對欲進(jìn)行傳輸?shù)姆獍鼣?shù)據(jù)進(jìn)行判斷,以得知該封包數(shù)據(jù)是否屬于安全協(xié)議通道���,若確定傳輸?shù)姆獍鼣?shù)據(jù)屬于某一安全協(xié)議通道����,便可得知該封包數(shù)據(jù)之后將會被封裝成為一安全協(xié)議封包�����,并可使得該封包數(shù)據(jù)不用經(jīng)過網(wǎng)關(guān)器內(nèi)的防火墻及/或Netfilter���,此外亦不需要對該封包數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��,借此將有利于提高安全協(xié)定封包的處理效能�。文檔編號H04L29/06GK101783804SQ20101011370公開日2010年7月21日申請日期2010年2月22日優(yōu)先權(quán)日2010年2月22日發(fā)明者楊海波申請人:建漢科技股份有限公司