IPSec是一种三层隧道加密协议，用于为两个端点之间传输的报文提供 高质量的、可互操作的、基于密码学的安全保护。
其中，进行报文传输的两个端点称为IPSec对等体，IPSec对等体之间 的连接可以称为IPSec隧道。
具体来说，IPSec对等体之间传输报文的安全保护是基于安全联盟 (Security Association，SA)来实现的。SA为IPSec对等体间对某些要素的 约定，例如，IPSec对等体间使用哪种安全协议、协议的封装模式、加密算 法、特定流中受保护报文的共享密钥以及密钥的生存周期等。SA是单向的， 如果在两个IPSec对等体之间通过一个IPSec隧道实现双向报文传输，则需 要在IPSec对等体的每个端点上均建立两个相互关联的SA，一个入方向SA 用于对入方向的报文加密，一个出方向SA用于对出方向的报文解密。其中， 入方向是指进入IPSec隧道的方向，而出方向是指从IPSec隧道输出的方向。
实际应用中，SA的建立可以通过两种协商方式实现，一种是手工配置 方式，一种是互联网密钥交换协议(Internet Key Exchange，IKE)。
图1为现有IPSec隧道组网模型示意图。如图1所示，以IPSec对等体 为两个网关R1和R2为例，R1和R2分别作为IPSec隧道的起点和终点， R1和R2之间通过手工配置或IKE协商建立SA。主机A将需要发送给主机 B的入方向报文发送给R1；R1作为发送方，先利用入方向SA的SA信息 对来自主机A的入方向报文进行加密等入方向IPSec处理，再将处理后的报 文通过IPSec隧道传输给R2；R2作为接收方，从IPSec隧道接收到加密后 的报文后，利用出方向SA的SA信息对该报文进行解密、完整性验证等出 方向IPSec处理，同时，还可以进行发送方是否合法、防重放等出方向IPSec 处理，并将处理后的出方向报文发送给主机B。这样，R1和R2即作为报文 传输安全保护装置，实现了对报文传输的安全保护。
现有报文传输安全保护装置通常包括多个接口单元，IPSec处理是由接 口单元所在的处理板来完成的，其中，接口单元所在的处理板通常称为接口 板，接口板设置有能够实现IPSec处理的功能单元。不同的接口单元对应不 同的IPSec隧道，通过不同IPSec隧道传输的报文则分别在不同的接口板上 进行IPSec处理，即实现分布式安全保护。
图2为现有IPSec隧道组网模型中分布式报文传输安全保护装置的结构 示意图。如图2所示，以如图1所示的IPSec隧道组网模型为例，作为分布 式报文传输安全保护装置的网关R1至少包括：主控板1、接口板A和接口 板B。接口板A和接口板B上分别设置了两个接口单元A1和A2、B1和 B2，主控板1与接口板A和接口板B通过交换网连接；作为分布式报文传 输安全保护装置的网关R2至少包括：主控板2、接口板C和接口板D。接 口板C和接口板D上分别设置了两个接口单元C1和C2、D1和D2，主控 板2与接口板C和接口板D通过交换网连接。
以下举例说明网关R1和R2的内部工作原理：
对于入方向，假设网关R1的接口板A上的接口单元A1接收到一个入 方向报文，则接口板A查找转发表；如果判断出该入方向报文需要从接口 板B的接口单元B1发送，则接口板A将该入方向报文转发给接口板B。
此时，如果网关R1上尚未建立SA，则接口板B丢弃来自接口板A的 入方向报文，并请求主控板创建SA；主控板在发起IKE协商建立SA后， 将对应的入方向SA的SA信息发送给接口板B，以供接口板B下一次接收 到入方向报文后能够进行入方向IPSec处理。如果网关R1上已建立了SA， 则接口板B利用其存储的入方向SA的SA信息对来自接口板A的入方向报 文进行加密等入方向IPSec处理，并通过接口单元B1发送到该接口单元对 应的IPSec隧道。
对于出方向，假设网关R2的接口板D上的接口单元D1接收到来自 IPSec隧道的出方向报文，即网关R1通过接口单元B1和该接口单元对应的 IPSec隧道发送的报文，如果网关R2上尚未建立SA，则接口板D丢弃该报 文，并请求主控板2创建SA，主控板2在发起IKE协商建立SA后，将对 应的出方向SA的SA信息发送给接口板D；如果网关R2上已建立了SA， 则接口板D利用其存储的出方向SA的SA信息对来自IPSec隧道的报文进 行解密等出方向IPSec处理。
同理，网关R1和R2中的其它接口单元对应其他IPSec隧道，也可以 按照上述原理对入方向或出方向报文进行IPSec处理。
由上述分布式报文传输安全保护装置可见，当需要通过某个接口单元所 对应的IPSec隧道进行入方向或出方向的报文传输时，只能由该接口单元所 在的接口板进行对应的IPSec处理。这样，实现了按接口分担IPSec处理。
然而，在某些组网环境下，当同一个接口单元上有大量的IPSec隧道存 在时，对经过所有这些IPSec隧道的报文进行IPSec处理都只能依靠一块接 口板，会使得IPSec处理的效率大大降低。
以如图2所示的现有IPSec隧道组网模型中分布式报文传输安全保护装 置为例，网关R1的接口板A上的接口单元A1连续接收到多个入方向报文， 则接口板A查找转发表；如果判断出接收到的每个入方向报文均需要从接 口板B的接口单元B 1发送，则接口板A将连续接收到的多个入方向报文转 发给接口板B，在网关R1上已建立了SA的情况下，由接口板B对接收到 的多个报文进行入方向IPSec处理。而此时，接口板A却可能处于空闲状态。
接口板B通过接口单元B1将入方向IPSec处理后的报文发送到IPSec 隧道，该IPSec隧道的对端接口为网关R2的接口板D上的接口单元D1。网 关R2的接口板D上的接口单元D1接收到来自IPSec隧道的出方向报文， 在网关R2上已建立了SA的情况下，接口板D利用其存储的出方向SA的 SA信息对来自IPSec隧道的报文进行出方向IPSec处理。而此时，接口板C 却可能处于空闲状态。
可见，现有分布式报文传输安全处理装置不能有效分担IPSec处理，从 而造成了IPSec处理效率不高。

有鉴于此，本发明提供了一种分布式报文传输安全保护装置和方法，能 够有效分担IPSec处理，从而提高IPSec处理效率。
本发明提供的一种分布式报文传输安全保护装置，包括：主控板、与主 控板相连的多个接口单元、以及与主控板相连的多个处理板，其中，
所述主控板，针对各接口单元上的互联网安全IPSec隧道建立对应的安 全联盟SA，并按照均衡分担的原则将建立SA得到的SA信息发送给各处理 板、且同一个SA的SA信息只发送给同一个处理板，处理板存储接收到的 SA信息；
所述主控板还根据入方向SA的SA信息建立入方向重定向表、根据出 方向SA的SA信息建立出方向重定向表；如果所述主控板通过接口单元接 收到的需要进行IPSec处理的报文为入方向报文，则依据查找由对应入方向 SA的SA信息建立的入方向重定向表的结果，将该报文发送给存储着与该 报文的报文特性所匹配的SA信息的处理板；如果所述主控板通过接口单元 接收到的需要进行IPSec处理的报文为出方向报文，则依据查找由对应出方 向SA的SA信息建立的出方向重定向表的结果，将该报文发送给存储着与 该报文的报文特性匹配的SA信息的处理板；
所述处理板，利用存储的SA信息，对来自主控板的报文进行IPSec处 理。
所述入方向重定向表中包括入方向报文特性与处理板标识的映射关系； 查找由对应入方向SA的SA信息建立的入方向重定向表的结果为入方向报 文特性对应的处理板标识；
或者包括：根据入方向SA的SA信息中的访问控制列表ACL规则号， 从预设ACL表中查找得到的五元组，以及该入方向SA的SA信息中的接口 索引；
或者包括：入方向SA的SA信息中的接口索引；
或者包括：入方向SA的SA信息中的隧道对端IP和接口索引；
其中，接口索引和隧道对端IP是根据所述接收到的入方向报文中的目 的IP查找预设转发表得到的。
所述入方向报文特性包括：入方向SA信息中的SA保护流五元组和接 口索引；
其中，接口索引是根据所述接收到的入方向报文中的目的IP查找预设 转发表得到的。
所述出方向重定向表中包括出方向报文特性与处理板标识的映射关系； 查找由对应出方向SA的SA信息建立的出方向重定向表的结果为出方向报 文特性对应的处理板标识；
所述出方向重定向表中的出方向报文特性，是根据出方向SA的SA信 息确定的。
所述出方向的报文特性包括：对应的出方向SA信息中的安全参数索引、 隧道本端IP、安全协议类型。
所述处理板标识为处理板板号；
所述入方向重定向表中的处理板板号，是根据所述入方向重定向表的数 量对所述处理板的数量取模后的结果确定的；
所述出方向重定向表中的处理板板号，为对应的入方向重定向表中的处 理板板号；其中，该出方向重定向表对应的出方向SA，与所述对应的入方 向重定向表对应的入方向SA相关联。
所述接口单元为所述主控板上的物理接口，或者为独立于所述主控板的 功能单元。
所述主控板、处理板和接口单元位于同一物理实体内部；
或者，所述主控板、处理板和接口单元中的任意两者分别位于不同物理 实体内部。
该报文传输安全保护装置为网关。
本发明提供的一种分布式报文传输安全保护方法，包括：
主控板针对各接口单元上的互联网安全IPSec隧道建立对应的安全联盟 SA，并按照均衡分担的原则将建立SA得到的SA信息发送给各处理板、且 同一个SA的SA信息只发送给同一个处理板，处理板存储接收到的SA信 息；
主控板根据入方向SA的SA信息建立入方向重定向表、根据出方向SA 的SA信息建立出方向重定向表；如果主控板通过接口单元接收到的需要进 行IPSec处理的报文为入方向报文，则依据查找由对应入方向SA的SA信 息建立的入方向重定向表的结果，将该报文发送给存储着与该报文的报文特 性所匹配的SA信息的处理板；如果主控板通过接口单元接收到的需要进行 IPSec处理的报文为出方向报文，则依据查找由对应出方向SA的SA信息建 立的出方向重定向表的结果，将该报文发送给存储着与该报文的报文特性匹 配的SA信息的处理板；
处理板利用其存储的SA信息，对来自主控板的报文进行互联网安全 IPSec处理。
所述根据入方向SA的SA信息建立入方向重定向表为：根据入方向SA 的SA信息确定入方向报文特性，建立入方向报文特性与处理板标识的映射 关系；
所述查找由对应入方向SA的SA信息建立的入方向重定向表的结果为 入方向报文特性对应的处理板标识。
所述建立入方向报文特性与处理板标识的映射关系为：根据入方向SA 的SA信息中的访问控制列表ACL规则号，从预设ACL表中查找得到五元 组；建立查找得到的五元组和该入方向SA的SA信息中的接口索引，与处 理板标识的映射关系；
所述查找由对应入方向SA的SA信息建立的入方向重定向表为：根据 接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应 的接口索引；根据接收到的入方向报文中的五元组的全部或部分元素，以及 该报文对应的接口索引查找所述入方向重定向表。
所述建立入方向报文特性与处理板标识的映射关系为：建立入方向SA 的SA信息中的接口索引与处理板标识的映射关系；
所述查找由对应入方向SA的SA信息建立的入方向重定向表为：根据 接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应 的接口索引；根据该报文对应的接口索引查找所述入方向重定向表。
所述建立入方向报文特性与处理板标识的映射关系为：建立对应的入方 向SA的SA信息中的隧道对端IP和接口索引与处理板标识的映射关系；
所述查找由对应入方向SA的SA信息建立的入方向重定向表为：根据 接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应 的接口索引和隧道对端IP；根据该报文对应的接口索引和隧道对端IP查找 所述入方向重定向表。
所述建立入方向报文特性与处理板标识的映射关系为：建立入方向SA 信息中的SA保护流五元组和接口索引与处理板标识的映射关系；
所述查找由对应入方向SA的SA信息建立的入方向重定向表为：根据 接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应 的接口索引；根据接收到的入方向报文中的五元组的全部或部分元素，以及 该报文对应的接口索引查找所述入方向重定向表。
所述根据出方向SA的SA信息建立出方向重定向表为：根据出方向SA 的SA信息确定出方向报文特性，建立出方向报文特性与处理板标识的映射 关系；
所述查找由对应出方向SA的SA信息建立的出方向重定向表的结果为 出方向报文特性对应的处理板标识。
所述建立出方向报文特性与处理板标识的映射关系为：建立对应的出方 向SA信息中的安全参数索引、隧道本端IP、安全协议类型与处理板标识的 映射关系；
所述查找由对应出方向SA的SA信息建立的出方向重定向表为：据接 收到的出方向报文中的安全参数索引、隧道本端IP、安全协议类型，查找出 方向重定向表。
所述处理板标识为处理板板号；
所述入方向重定向表中的处理板板号，是根据所述入方向重定向表的数 量对所述处理板的数量取模后的结果确定的；
所述出方向重定向表中的处理板板号，为对应的入方向重定向表中的处 理板板号；其中，该出方向重定向表对应的出方向SA，与所述对应的入方 向重定向表对应的入方向SA相关联。
由上述技术方案可见，主控板按照预设规则，将各SA信息分配给多个 处理板，从而使得接收并存储SA信息的各处理板均可实现IPSec处理，从 而实现了将IPSec处理分担到多个处理板，因此，当在同一个接口上有大量 的IPSec隧道存在时，对经过所有IPSec隧道的报文进行IPSec处理不会只 依靠该接口所在的一块处理板，而是分配给不同的处理板来完成，使得多块 处理板有效地分担了与多个SA对应的IPSec处理，从而提高了IPSec处理 的效率。

图1为现有IPSec隧道组网模型示意图。
图2为现有IPSec隧道组网模型中分布式报文传输安全保护装置的结构 示意图。
图3为本发明实施例中分布式报文传输安全保护装置的示例性结构图。
图4为本发明实施例中分布式报文传输安全保护方法的示例性流程图。
图5为本发明实施例中创建入方向重定向表的示意图。
图6为本发明实施例中入方向重定向过程的示意图。
图7为本发明实施例中创建出方向重定向表的示意图。
图8为本发明实施例中出方向重定向过程的示意图。
图9为本发明实施例中分布式报文传输安全保护过程1的流程图。
图10为本发明实施例中分布式报文传输安全保护过程2的流程图。

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举 实施例，对本发明进一步详细说明。
本发明中，主控板并不总是将各接口单元上的IPSec隧道所对应的SA 信息发送给该接口单元所在的处理板，而是按照均衡分担的原则，将针对各 接口单元上的IPSec隧道所建立的SA的SA信息，根据各处理板当时业务 处理情况，分别发送给比较空闲的各处理板；具体实现为：各接口单元首先 将接收到的报文发送给主控板，由主控板在判断出该报文需要进行IPSec处 理后，将该报文对应的SA信息发送给当时比较空闲的处理板，由该处理板 对后续发送过来的报文进行IPSec相应的处理。
这样，当在同一个接口单元上有大量的IPSec隧道存在时，对经过所有 这些IPSec隧道的报文进行IPSec处理不会只依靠该接口单元所在的一块处 理板，而是根据各处理板当时业务的处理情况，分配给不同的处理板来完成， 使得各处理板有效地分担了IPSec处理，从而提高了IPSec处理的效率。
上述处理板可以为接口单元所在的处理板，即接口板；由于分布式报文 传输安全保护装置中，通常还包括用于会话业务处理等业务处理的业务板， 因此，上述处理板也可以为业务板。实际应用中，只需在业务板上增加一个 现有能够实现IPSec处理的功能单元即可。
图3为本发明实施例中分布式报文传输安全保护装置的示例性结构图。 如图3所示，本实施例中的分布式报文传输安全保护装置可以包括：主控板、 接口单元和处理板。
主控板，针对各接口单元上的IPSec隧道建立SA，并按照预设规则将 建立SA得到的SA信息发送给各处理板，例如可以按照轮询、哈希(Hash) 运算等基于均蘅原则的方式将SA信息分配给各处理板，处理板存储接收到 的SA信息。
接口单元将接收到的报文发送给主控板，主控板将需要进行IPSec处理 的报文，发送给存储着与该报文的报文特性所匹配的SA信息的处理板。
通常情况下，SA信息中包括：访问控制列表(Access Control List，ACL) 规则号、接口索引、隧道对端IP、SA保护流五元组。因此，主控板可以从 报文中提取相应的报文特性，并根据上述信息，判断出与接收到的报文的报 文特性匹配的SA信息。
实际应用中，主控板中还存储着预先设置的安全策略。其中，安全策略 规定不同报文对应的安全服务(包括安全协议类型、加密/认证算法以及封 装模式)；安全策略中还包括用于描述报文特性的访问控制列表ACL规则 表。ACL规则表中包含了该安全策略保护的报文流的五元组信息(包括源/ 目的IP、源/目的端口号以及IP层承载的协议类型)以及对该报文进行何种 动作(是应用IPSec保护还是丢弃)。主控板在接收到报文后，根据存储的 预设安全策略判断是否应当对接收到的报文应用IPSec保护，如果根据报文 的目的IP地址查找转发表所确定的接口单元绑定了预设的安全策略，则判 断需要对该报文进行IPSec处理，并将该报文发送给存储着对应SA信息的 处理板。相同或不同设置的安全策略可以与不同的接口单元绑定。
处理板利用所存储的SA信息，对来自主控板的报文进行IPSec处理。
其中，对于需要通过IPSec隧道发送的报文，IPSec处理为加密、封装 等处理；对于从IPSec隧道接收到的报文，IPSec处理为解密、解封装等处 理。如果处理板中存储着多个SA信息，则处理板也可以根据报文的报文特 性选择出匹配的SA信息，并利用匹配的SA信息对报文进行IPSec处理。
由上述装置可见，主控板按照预设规则，将各SA信息分配给多个处理 板，从而使得接收并存储SA信息的各处理板均可实现IPSec处理，从而实 现了将IPSec处理分担到多个处理板，因此，当在同一个接口上有大量的 IPSec隧道存在时，对经过所有IPSec隧道的报文进行IPSec处理不会只依 靠该接口所在的一块处理板，而是分配给不同的处理板来完成，使得多块处 理板有效地分担了与多个SA对应的IPSec处理，从而提高了IPSec处理的 效率。
实际应用中，主控板和处理板可以通过交换网相连；接口单元可以为主 控板上的物理接口，也可以为处理板上的物理接口、还可以为独立于主控板 或独立于处理板的功能单元；如果接口单元为独立于主控板或独立于处理板 的功能单元，则接口单元也可以通过交换网与主控板相连；如果接口单元为 独立于主控板的功能单元，则接口单元还可以通过交换网与处理板相连，再 由处理板通过另一个交换网与主控板相连。
在本发明实施例中的分布式报文传输安全保护装置中，主控板、处理板 和接口单元可以位于同一物理实体内；或者，主控板、处理板和接口单元中 的任意两者分别位于不同的物理实体内。
在完成对应的IPSec处理之后，处理板可以将处理后的报文发送给主控 板，由主控板将来自处理板的报文通过对应的接口单元发送，实现了报文的 传输。
如图3所示的报文传输安全保护装置可以为网关。
图4为本发明实施例中分布式报文传输安全保护方法的示例性流程图。 如图4所示，本实施例中的分布式报文传输安全保护方法包括：
步骤401，主控板针对各接口单元上的IPSec隧道建立对应的SA，并根 据预设规则将建立SA得到的SA信息发送给各处理板。
步骤402，处理板存储主控板发送的SA信息。
步骤403，接口单元将接收到的报文发送给主控板，主控板将需要进行 IPSec处理的报文，发送给存储着与该报文的报文特性所匹配的SA信息的 处理板。
本步骤中，主控板可先根据存储的预设安全策略，判断是否应对接收到 的报文进行IPSec处理，如果应对该报文进行IPSec处理，才继续执行本步 骤，否则，结束本流程，丢弃接收到的报文或通过其他路由转发方式转发接 收到的报文。
步骤404，处理板利用存储的SA信息，对主控板发送的报文进行IPSec 处理。
本步骤中，对于需要通过IPSec隧道发送的报文，IPSec处理为加密、 封装等处理；对于从IPSec隧道接收到的报文，IPSec处理为解密、解封装 等处理。如果处理板中存储着多个SA信息，则处理板也可以根据报文的报 文特性选择出匹配的SA信息，并利用匹配的SA信息对报文进行IPSec处 理。
由上述流程可见，主控板按照预设规则，将各SA信息分配给多个处理 板，从而使得接收并存储SA信息的各处理板均可实现IPSec处理，从而实 现了将IPSec处理分担到多个处理板，因此，当在同一个接口上有大量的 IPSec隧道存在时，对经过所有IPSec隧道的报文进行IPSec处理不会只依 靠该接口所在的同一块处理板，而是分配给不同的处理板来完成，使得多块 处理板有效地分担了与多个SA对应的IPSec处理，从而提高了IPSec处理 的效率。
在步骤404之后，处理板可以将处理后的报文发送给主控板，由主控板 将来自处理板的报文通过对应的接口单元发送，实现了报文的传输。
本发明实施例中，考虑到IPSec的防重放特性，较佳地应保证同一个入 方向SA或一个出方向SA对应的所有IPSec处理分配给同一个处理板。
例如，在入方向上，如果同一个SA对应的IPSec处理分布在不同的处 理板上进行，就有可能由于序列号的不同步，使得两块处理板进行IPSec处 理后的报文具有相同的序列号，违背了同一个SA对应的报文序列号为单调 递增的特性；而且，在出方向上，如果同一个SA对应的IPSec处理分布在 不同的处理板上，就有可能会造成两块处理板上同一SA对应的防重放窗口 位置不一样，导致在出方向上接收的报文被错误丢弃。
因此，本实施例在主控板将同一个SA的SA信息只发送给一块处理板， 而不会将同一个SA的SA信息发送给多块处理板，并在将不同SA的SA信 息分配给各处理板之前，先根据不同SA的SA信息建立并存储对应的重定 向表，再根据建立并存储的重定向表，将后续接收到的需要IPSec处理、且 报文特性与同一SA信息匹配的所有报文，发送给同一块处理板进行相应的 IPSec处理。
下面，对本实施例中的重定向表进行详细说明。
本实施例中，建立的重定向表包括：根据不同入方向SA的SA信息建 立的入方向重定向表、和根据不同出方向SA的SA信息建立的出方向重定 向表。
如果主控板通过至少一个接口单元接收到的报文为入方向报文，则主控 板查找对应入方向SA的SA信息建立的重定向表，将查找重定向表的结果， 发送给存储着该SA信息的处理板；
如果主控板通过至少一个接口单元接收到的报文为出方向报文，则主控 板查找对应出方向SA的SA信息建立的重定向表，将查找重定向表的结果， 发送给存储着该SA信息的处理板。
其中，入方向的重定向表的结构可以如表1所示。

表1
如表1所示的入方向重定向表中，将入方向报文特性作为关键字，包括： 五元组信息(源IP、目的IP、源端口、目的端口、协议类型)、以及应用 了IPSec处理的接口索引，其中，目的IP可替换为隧道对端IP；查表结果 即为入方向报文特性对应的处理板板号等标识。
通常情况下，SA信息中包括：ACL规则号、接口索引、隧道对端IP、 SA保护流五元组。因此，主控板可从上述信息中获取对应的关键字。
实际应用中，关键字也可以不全包括五元组中的所有信息和接口索引， 而是只包括五元组中所有信息与接口索引中的一个或多个的组合。
在建立了入方向SA之后，主控板能够从入方向SA的SA信息中获取 对应的入方向报文特性，将获取的入方向报文特性作为关键字，并确定该关 键字对应的处理板标识，即可建立类似于表1所示的重定向表，并将建立重 定向表对应的入方向SA信息发送给与处理板标识对应的处理板。
其中，如果处理板标识为处理板板号，则较佳地，可以将当前已建立的 入方向重定向表的数量对所述处理板的数量取模，根据取模后的结果确定每 个入方向重定向表中的处理板板号，即与不同入方向SA对应的处理板板号， 从而能够将不同SA对应的IPSec处理较为均匀地分配给所有的处理板。
例如，假设处理板的数量为10，当前建立的重定向表为已建立的第1 个重定向表，即重定向表的总数为1，则1对10取模的结果(即1除以10 的余数)为1，根据取模后的结果确定第1个重定向表中的处理板板号为1。
依此类推，每建立一个重定向表，均按照上述方式确定该重定向表中的 处理板板号，假设当前建立的重定向表为已建立的第53个重定向表，即重 定向表的总数为53，则53对10取模的结果(即53除以10的余数)为3， 根据取模后的结果确定第53个重定向表中的处理板板号为3。
可见，在处理板的数量为10的情况下，建立的第i个重定向表中的处 理板板号为i的个位，从而实现了将不同SA对应的IPSec处理均匀地分配 给所有的处理板。
实际应用中，也可以采用例如随机分配等其他方式，确定每个入方向重 定向表中的处理板标识，以尽可能地将所有入方向SA对应的IPSec处理平 均分配给所有处理板。
这样，在后续通过接口单元接收到入方向报文后，从入方向报文中直接 或者间接获取对应的入方向报文特性，并根据获取的入方向报文特性查找入 方向重定向表，获得对应的处理板标识，再将该报文发送给与该处理板标识 对应的处理板即可。
实际应用中，可选择不同的入方向报文特性作为关键字建立入方向重定 向表，并从接收到的入方向报文中获取对应的入方向报文特性，查找对应的 入方向重定向表，再将入方向报文发送到存储着对应SA信息的处理板。也 就是说，本发明实施例中，可以基于不同方式将不同SA对应的IPSec处理 分配给不同的处理板。
以下，对基于不同方式分配IPSec处理、及对应的入方向重定向表的建 立过程举例说明。
本实施例中可以基于如下四种方式重定向分配IPSec处理：按照ACL 规则分配、按照接口索引分配、按照隧道对端IP分配、按照SA保护流五元 组分配。
图5为本发明实施例中创建入方向重定向表的示意图。
如图5所示，如果按照ACL规则分配，即主控板根据IPSec安全策略 中引用的ACL规则，将不同SA对应的IPSec处理分配给不同的处理板，则 主控板提取入方向SA的SA信息中的ACL规则号，依此查找ACL表，获 得该ACL规则保护的五元组信息，然后提取该五元组和SA信息中的接口 索引，作为入方向重定向表的关键字。而作为查表结果的处理板标识，以处 理板标识为处理板板号为例，则可以根据入方向重定向表的个数对处理板总 数取模的结果来确定处理板板号；也可以随机确定。
这样，建立的入方向重定向表中，作为关键字的入方向报文特性包括： 根据对应的入方向SA的SA信息中的ACL规则号，从预设ACL表中查找 得到的五元组，以及该入方向SA的SA信息中的接口索引。
如图5所示，如果按照接口索引分配，即主控板根据不同的接口索引， 将不同SA对应的IPSec处理分配给不同的处理板，则主控板提取入方向SA 的SA信息中的接口索引，作为入方向重定向表的关键字。而作为查表结果 的处理板标识，以处理板标识为处理板板号为例，则可以根据入方向重定向 表的个数对处理板总数取模的结果来确定处理板板号；也可以随机确定。
这样，建立的入方向重定向表中，作为关键字的入方向报文特性包括： 对应的入方向SA的SA信息中的接口索引。
如图5所示，如果按照隧道对端IP分配，即主控板将具有相同隧道对 端IP的所有入方向报文分配给同一块处理板，则主控板提取入方向SA的 SA信息中的隧道对端IP和接口索引，作为入方向重定向表的关键字。而作 为查表结果的处理板标识，以处理板标识为处理板板号为例，则可以根据入 方向重定向表的个数对处理板总数取模的结果来确定处理板板号；也可以随 机确定。
对于按照隧道对端IP分配方式，如果本端和对端之间有多条IPSec隧 道，则需要通过这些IPSec隧道传输的所有入方向报文都由同一块处理板处 理。如果本端和多个对端之间有各自的IPSec隧道，则需要通过这些IPSec 隧道传输的所有入方向报文将分担到多块处理板处理。
这样，建立的入方向重定向表中，作为关键字的入方向报文特性包括： 对应的入方向SA的SA信息中的隧道对端IP和接口索引。
如图5所示，如果按照SA保护流五元组分配，即同一个SA仅对应一 条数据流中的所有报文，则主控板提取入方向SA的SA信息中的SA保护 流五元组和接口索引，作为入方向重定向表的关键字。而作为查表结果的处 理板标识，以处理板标识为处理板板号为例，则可以根据入方向重定向表的 个数对处理板总数取模的结果来确定处理板板号；也可以随机确定。
这样，建立的入方向重定向表中，作为关键字的入方向报文特性包括： 对应的入方向SA信息中的SA保护流五元组和接口索引。
实际应用中，可以根据需要的负载分担粒度，选择不同的分配方式并建 立对应的入方向重定向表。其中，由于按照接口索引分配IPSec处理，是将 同一接口上需要进行的所有入方向报文的入方向IPSec处理分配给同一块处 理板，因而该方式的分担粒度是最粗的；而由于按照SA保护流五元组分配， 只将一条数据流对应的所有入方向报文的入方向IPSec处理分配给一块处理 板，因而该方式的分担粒度是最细的。
对于上述各种分配IPSec处理的方式、及建立的对应入方向重定向表， 主控板均可从接收到的入方向报文中直接或间接获取对应的入方向报文特 性，并作为关键字从重定向表中查找到对应的处理板标识。
图6为本发明实施例中入方向重定向过程的示意图。
如图6所示，如果建立的入方向重定向表对应的IPSec处理的分配方式 为按照ACL规则分配，则主控板先根据接口单元接收到的入方向报文中的 目的IP，查找预设转发表确定该入方向报文对应的接口索引，再根据接收到 的入方向报文中的五元组和该入方向报文对应的接口索引查找入方向重定 向表，从而获得对应的处理板标识，并将该入方向报文发送给与该处理板标 识对应的处理板。
实际应用中，主控板也可以不提取入方向报文的五元组中的所有元素， 而是只提取任意一个或部分元素，并根据提取出的一个或部分元素、以及入 方向报文对应的接口索引来查找入方向重定向表，也能够获得对应的处理板 标识。
如图6所示，如果建立的入方向重定向表对应的IPSec处理的分配方式 为按照接口索引分配，则主控板先根据通过接口单元接收到的入方向报文中 的目的IP，查找预设转发表确定该入方向报文对应的接口索引，再根据接收 到的入方向报文对应的接口索引查找所述入方向重定向表，从而获得对应的 处理板标识，并将该入方向报文发送给与该处理板标识对应的处理板。
如图6所示，如果建立的入方向重定向表对应的IPSec处理的分配方式 为按照隧道对端IP分配，则主控板先根据接口单元接收到的入方向报文中 的目的IP，查找预设转发表确定该入方向报文对应的接口索引和该入方向报 文的下一跳IP，再根据接收到的入方向报文对应的接口索引和下一跳IP查 找入方向重定向表，从而获得对应的处理板标识，并将该入方向报文发送给 与该处理板标识对应的处理板。
其中，入方向报文对应的下一跳IP可相当于IPSec隧道的对端IP。以 如图1所示的IPSec隧道组网模型为例，入方向报文从主机A发往主机B， 该入方向报文的目的IP为主机B的IP地址，而对于R1来说，隧道对端IP 为R2的IP地址，因此，R1查找转发表中的下一跳IP为R2的IP地址。
如图6所示，如果建立的入方向重定向表对应的IPSec处理的分配方式 为按照SA保护流五元组分配，则主控板先根据接口单元接收到的入方向报 文中的目的IP，查找预设转发表确定该入方向报文对应的接口索引，再根据 接收到的入方向报文中的五元组和该报文对应的接口索引查找所述入方向 重定向表，从而获得对应的处理板标识，并将该入方向报文发送给与该处理 板标识对应的处理板。其中，入方向报文中的五元组可对应SA保护流五元 组。
实际应用中，主控板也可以不提取入方向报文的五元组中的所有元素， 而是只提取任意一个或部分元素，并根据提取出的一个或部分元素、以及入 方向报文对应的接口索引来查找入方向重定向表，也能够获得对应的处理板 标识。
可见，本发明实施例中可根据所需的负载分担粒度，选择多种方式建立 入方向重定向表，并根据建立的入方向重定向表，将入方向报文分配给不同 处理板进行对应的入方向IPSec处理，从而实现多种IPSec处理的分配方式， 进而提高了本发明技术方案的灵活性和通用性。
在建立入方向重定向表的同时，还建立出方向重定向表。本实施例中， 出方向的重定向表结构可以如表2所示。


表2
如表2所示的出方向重定向表中，作为关键字的出方向报文特性可以包 括：安全参数索引、隧道本端IP和安全协议类型。
通常情况下，SA由一个三元组来唯一标识，这个三元组包括：安全参 数索引(Security Parameter Index，SPI)、目的IP和安全协议类型。因此， 主控板可从上述信息中获取安全参数索引、安全协议类型、以及相当于隧道 本端IP的目的IP。
在建立了出方向SA之后，主控板能够从出方向SA的SA信息中获取 对应的出方向报文特性，将获取的出方向报文特性作为关键字，并确定该关 键字对应的处理板标识，即可建立类似表2所示的重定向表，并将建立重定 向表对应的出方向SA信息发送给处理板标识对应的处理板。
其中，如果处理板标识为处理板板号，则可以根据出方向重定向表的数 量对所述处理板的数量取模，根据取模后的结果确定每个出方向重定向表中 的处理板板号，或者按照例如随机分配等其他方式，确定每个出方向重定向 表中的处理板标识，以尽可能地将所有出方向SA对应的IPSec处理平均分 配给所有处理板。
但是，由于例如会话等数据流为双向数据流，因此，为了避免在处理 IPSec隧道承载会话双向数据流时存在的状态同步复杂、系统带宽消耗量大 等问题出现，本实施例中，较佳地，将相互关联的入方向SA和出方向SA 对应的IPSec处理分配给一块处理板。
也就是说，可以先根据入方向SA的SA信息建立入方向重定向表，再 将该入方向重定向表中的处理板标识作为对应的出方向重定向表中的处理 板标识，其中，该出方向重定向表对应的出方向SA，与对应的入方向重定 向表对应的入方向SA相关联。
这样，在后续通过接口单元接收到出方向报文后，从出方向报文中获取 对应的出方向报文特性，并根据获取的出方向报文特性查找出方向重定向 表，获得对应的处理板标识，再将该报文发送给与该处理板标识对应的处理 板即可。而且，如果相互关联的入方向SA和出方向SA在入方向重定向表 和出方向重定向表中，处理板标识相同，则可以保证将相互关联的入方向 SA和出方向SA对应的IPSec处理分配给一块处理板，从而能够解决在处理 IPSec隧道承载双向数据流时存在的状态同步复杂、系统带宽消耗量大等问 题。
图7为本发明实施例中创建出方向重定向表的示意图。如图7所示，从 出方向SA的SA信息中提取出安全索引、隧道本端IP和安全协议类型作为 出方向重定向表中的关键字，并将对应的入方向重定向表中的处理板标识作 为该出方向重定向表中的处理板标识即可。
图8为本发明实施例中出方向重定向过程的示意图。如图8所示，主控 板从接口单元接收到的出方向报文中，提取出安全索引、目的IP和安全协 议类型，并将提取出的出方向报文特性作为关键字，查找出方向重定向表， 即可确定对应的处理板标识，并将该出方向报文发送给与该处理板标识对应 的处理板。
这样，由于入方向重定向表已经保证了同一个入方向SA对应的入方向 IPSec处理分配在一块处理板上，因此将入方向重定向表中作为查表结果的 处理板标识复制到相应出方向重定向表中，即可保证出方向上同一个出方向 SA对应的出方向IPSec处理也分配在该处理板上。
实际应用中，由于出方向SA的SA信息中，也包含了与入方向SA的 SA信息中相同的接口索引、ACL规则号、隧道对端IP、SA保护流五元组 信息。因此，本实施例中，也可根据不同的负载分担粒度，从出方向SA的 SA信息中提取接口索引、ACL规则号、隧道对端IP、SA保护流五元组信 息中的一个或多个的任意组合，作为入方向重定向表中的关键字。
可见，上述实施例中可根据所需的负载分担粒度，选择多种方式建立重 定向表，并根据建立的重定向表将报文分配给不同业务板进行对应的IPSec 处理，从而实现多种IPSec处理的分配方式，进而提高了本发明技术方案的 灵活性和通用性。
而且，上述实施例还能够保证相互关联的入方向SA和出方向SA分别 对应的入方向重定向表和出方向重定向表中，业务板标识相同，从而保证将 相互关联的入方向SA和出方向SA对应的IPSec处理分配给一块业务板， 进而能够解决在处理IPSec隧道承载双向数据流时存在的状态同步复杂、系 统带宽消耗量大等问题。
以上是分别对本发明实施例中的报文传输安全装置和方法、以及重定向 表的建立过程和报文重定向过程的详细说明。下面，结合报文传输过程的实 例，对上述技术方案进行整体说明。
图9为本发明实施例中分布式报文传输安全保护过程1的流程图。如图 9所示，以入方向IPSec处理的过程为例，本实施例中对于入方向的分布式 报文传输安全保护过程包括：
步骤901，主控板通过接口单元1接收到入方向报文。
步骤902，主控板查找转发表，确定该入方向报文对应的出接口为接口 单元2。
本步骤中，入方向报文对应的出接口是根据查找转发表得到的接口索引 确定的；如果建立的入方向重定向表对应的IPSec处理的分配方式为按照隧 道对端IP分配，则查找转发表的结果中除了对应的接口索引之外，进一步 包括该入方向报文的下一跳IP。
本步骤中，在确定该入方向报文对应的出接口为接口单元2之后，主控 板可根据多种方式判断该入方向报文是否需要进行IPSec处理，如果判断出 该入方向报文需要进行IPSec处理才执行步骤903，否则，丢弃报文、或通 过其他方法重定向到对应的处理板进行相应的业务处理，并结束本流程。
步骤903，主控板查找已建立并存储的入方向重定向表，如果未得到任 何匹配的查表结果，则执行步骤904，如果得到匹配的查表结果，则执行步 骤907。
本步骤中，未得到任何匹配的查表结果即为从入方向报文中提取的关键 字，与所有已建立的入方向重定向表中的关键字均不匹配。
步骤904，丢弃该入方向报文，并发起IKE协商建立对应的SA。
步骤905，根据建立的对应SA的SA信息建立入方向重定向表和出方 向重定向表，并将该SA信息发送给对应的处理板。
本步骤中，可以按照如前所述的任何一种方式建立重定向表。
步骤906，接收到SA信息的处理板保存该SA信息，用于后续的IPSec 处理，并结束本流程。
步骤907，将该入方向报文发送给与查找入方向重定向表的结果对应的 处理板。
步骤908，接收到入方向报文的处理板利用存储的入方向SA的SA信 息，对该入方向报文进行入方向IPSec处理。
步骤909，处理板将入方向IPSec处理后的入方向报文发送给主控板。
步骤910，主控板将入方向IPSec处理后的入方向报文通过接口单元2 发送，并结束本流程。
可见，对于入方向的报文传输安全保护，本发明能够将不同入方向SA 对应的入方向IPSec处理分配给不同的处理板，且分配给不同处理板的入方 向IPSec处理不受接口限制，当在同一个接口上有大量的IPSec隧道存在时， 对经过所有IPSec隧道的报文进行的入方向IPSec处理不会只依靠一块接口 板，而是分配给不同的处理板来完成，使得多块处理板有效地分担了与多个 入方向SA对应的入方向IPSec处理，从而提高了IPSec处理的效率。
图10为本发明实施例中分布式报文传输安全保护过程2的流程图。如 图10所示，以出方向IPSec处理的过程为例，本实施例中对于出方向的分 布式报文传输安全保护过程包括：
步骤1001，主控板通过接口单元1接收到出方向报文。
步骤1002，主控板提取出方向报文中的出方向报文特性。
本步骤中，主控板在提取出方向报文中的出方向报文特性之前，先判断 该出方向报文目的IP是否为隧道本端IP，如果是，则提取出方向报文中的 出方向报文特性然后执行步骤1003，否则，直接丢弃报文、或通过其他方 法重定向到对应的处理板进行相应的业务处理，并结束本流程。
步骤1003，主控板查找已建立并存储的出方向重定向表，如果未查找 到任何匹配的查表结果，则执行步骤1004，如果查找到匹配的查表结果， 则执行步骤1007。
本步骤中，未查找到任何匹配的查表结果即为从出方向报文中提取的关 键字，与所有已建立的出方向重定向表中的关键字均不匹配。
步骤1004，丢弃该出方向报文，并发起IKE协商建立对应的SA。
步骤1005，根据建立的对应SA的SA信息建立入方向重定向表和出方 向重定向表，并将该SA信息发送给对应的处理板。
本步骤中，可以按照如前所述的任何一种方式建立重定向表。
步骤1006，接收到SA信息的处理板保存该SA信息，用于后续的IPSec 处理，并结束本流程。
步骤1007，将该出方向报文发送给与查找出方向重定向表的结果对应 的处理板。
步骤1008，接收到出方向报文的处理板利用存储的出方向SA的SA信 息，对该出方向报文进行出方向IPSec处理。
步骤1009，处理板根据出方向IPSec处理后的报文的目的IP，查找转 发表，确定该报文的出接口为接口单元2。
步骤1010，处理板将出方向IPSec处理后的出方向报文发送给主控板， 并通知主控板该报文的出接口为接口单元2。
步骤1011，主控板将出方向IPSec处理后的出方向报文通过接口单元2 发送，并结束本流程。
可见，对于出方向的报文传输安全保护，本发明能够将不同出方向SA 对应的出方向IPSec处理分配给不同的处理板，且分配给不同处理板的出方 向IPSec处理不受接口限制，当在同一个接口上有大量的IPSec隧道存在时， 对经过所有IPSec隧道的报文进行的出方向IPSec处理不会只依靠一块接口 板，而是分配给不同的处理板来完成，使得多块处理板有效地分担了与多个 出方向SA对应的出方向IPSec处理，从而提高了IPSec处理的效率。
以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范 围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等， 均应包含在本发明的保护范围之内。