分布式报文传输安全保护装置和方法

专利名称：：分布式报文传输安全保护装置和方法
技术领域：
：本发明涉及网络安全技术，特别涉及基于IP安全(IPSecurity,IPSec)的一种分布式报文传输安全保护装置和方法。
背景技术：
：IPSec是一种三层隧道加密协议，用于为两个端点之间传输的报文提供高质量的、可互操作的、基于密码学的安全保护。其中，进行报文传输的两个端点称为IPSec对等体，IPSec对等体之间的连接可以称为IPSec隧道。具体来说，IPSec对等体之间传输报文的安全保护是基于安全联盟(SecurityAssociation,SA)来实现的。SA为IPSec对等体间对某些要素的约定，例如，IPSec对等体间使用哪种安全协议、协议的封装模式、加密算法、特定流中受保护报文的共享密钥以及密钥的生存周期等。SA是单向的，如果在两个IPSec对等体之间通过一个IPSec隧道实现双向才艮文传输，则需要在IPSec对等体的每个端点上均建立两个相互关联的SA，一个入方向SA用于对入方向的报文加密，一个出方向SA用于对出方向的报文解密。其中，入方向是指进入IPSec隧道的方向，而出方向是指从IPSec隧道输出的方向。实际应用中，SA的建立可以通过两种协商方式实现，一种是手工配置方式，一种是互联网密钥交换协议(InternetKeyExchange,IKE)。图1为现有IPSec隧道组网4莫型示意图。如图1所示，以IPSec对等体为两个网关Rl和R2为例，Rl和R2分别作为IPSec隧道的起点和终点，Rl和R2之间通过手工配置或IKE协商建立SA。主机A将需要发送给主机B的入方向报文发送给R1;Rl作为发送方，先利用入方向SA的SA信息对来自主机A的入方向报文进行加密等入方向IPSec处理，再将处理后的才艮文通过IPSec隧道传输给R2;R2作为接收方，从IPSec隧道接收到加密后的报文后，利用出方向SA的SA信息对该报文进行解密、完整性验证等出方向IPSec处理，同时，还可以进行发送方是否合法、防重力欠等出方向IPSec处理，并将处理后的出方向报文发送给主机B。这样，R1和R2即作为报文传输安全保护装置，实现了对报文传输的安全保护。现有报文传输安全保护装置通常包括多个接口单元，IPSec处理是由接口单元所在的处理板来完成的，其中，接口单元所在的处理板通常称为接口板，接口板设置有能够实现IPSec处理的功能单元。不同的接口单元对应不同的IPSec隧道，通过不同IPSec隧道传输的报文则分别在不同的接口板上进行IPSec处理，即实现分布式安全保护。图2为现有IPSec隧道组网模型中分布式报文传输安全保护装置的结构示意图。如图2所示，以如图1所示的IPSec隧道组网模型为例，作为分布式报文传输安全保护装置的网关Rl至少包括主控板l、接口板A和接口板B。接口板A和接口板B上分别设置了两个接口单元Al和A2、Bl和B2,主控板1与接口板A和接口板B通过交换网连接；作为分布式报文传输安全保护装置的网关R2至少包括主控板2、接口板C和接口板D。接口板C和接口板D上分别设置了两个接口单元CI和C2、D1和D2，主控板2与接口板C和接口板D通过交换网连接。以下举例il明网关Rl和R2的内部工作原理对于入方向，假设网关R1的接口板A上的接口单元Al接收到一个入方向报文，则接口板A查找转发表；如果判断出该入方向报文需要从接口板B的接口单元B1发送，则接口板A将该入方向报文转发给接口板B。此时，如果网关Rl上尚未建立SA，则接口板B丢弃来自接口板A的入方向报文，并请求主控板创建SA;主控板在发起IKE协商建立SA后，将对应的入方向SA的SA信息发送给接口板B，以供接口板B下一次接收到入方向报文后能够进行入方向IPSec处理。如果网关R1上已建立了SA,则接口板B利用其存储的入方向SA的SA信息对来自接口板A的入方向报文进行加密等入方向IPSec处理，并通过接口单元Bl发送到该接口单元对应的IPSec隧道。对于出方向，假设网关R2的接口板D上的接口单元Dl接收到来自IPSec隧道的出方向冲艮文，即网关Rl通过接口单元B1和该接口单元对应的IPSec隧道发送的报文，如果网关R2上尚未建立SA，则接口板D丢弃该报文，并请求主控板2创建SA,主控板2在发起IKE协商建立SA后，将对应的出方向SA的SA信息发送给接口板D;如果网关R2上已建立了SA,则接口板D利用其存储的出方向SA的SA信息对来自IPSec隧道的报文进行解密等出方向IPSec处理。同理，网关Rl和R2中的其它接口单元对应其他IPSec隧道，也可以按照上述原理对入方向或出方向报文进行IPSec处理。由上述分布式报文传输安全保护装置可见，当需要通过某个接口单元所对应的IPSec隧道进行入方向或出方向的才艮文传输时，只能由该4妄口单元所在的接口板进行对应的IPSec处理。这样，实现了按接口分担IPSec处理。然而，在某些组网环境下，当同一个接口单元上有大量的IPSec隧道存在时，对经过所有这些IPSec隧道的报文进行IPSec处理都只能依靠一块接口板，会使得IPSec处理的效率大大降低。以如图2所示的现有IPSec隧道组网模型中分布式报文传输安全保护装置为例，网关R1的接口板A上的接口单元Al连续接收到多个入方向报文，则接口板A查找转发表；如果判断出接收到的每个入方向报文均需要从接口板B的接口单元B1发送，则接口板A将连续接收到的多个入方向报文转发给接口板B，在网关Rl上已建立了SA的情况下，由接口板B对接收到的多个报文进行入方向IPSec处理。而此时，4妄口板A却可能处于空闲状态。接口板B通过接口单元Bl将入方向IPSec处理后的才艮文发送到IPSec隧道，该IPSec隧道的对端接口为网关R2的接口板D上的接口单元Dl。网关R2的接口板D上的接口单元Dl接收到来自IPSec隧道的出方向报文，在网关R2上已建立了SA的情况下，接口板D利用其存储的出方向SA的SA信息对来自IPSec隧道的报文进行出方向IPSec处理。而此时，接口板C却可能处于空闲状态。可见，现有分布式报文传输安全处理装置不能有效分担IPSec处理，从而造成了IPSec处理效率不高。
发明内容有鉴于此，本发明提供了一种分布式报文传输安全保护装置和方法，能够有效分担IPSec处理，从而提高IPSec处理效率。本发明提供的一种分布式报文传输安全保护装置，包括主控板、与主控板相连的多个接口单元、以及与主控板相连的多个处理板，其中，所述主控板，针对各接口单元上的互联网安全IPSec隧道建立对应的安全联盟SA，并根据预设规则将建立SA得到的SA信息发送给各处理板，处理板存储接收到的SA信息；所述接口单元将接收到的报文发送给所述主控板，所述主控板将接收到的需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板；所述处理板，利用存储的SA信息，对来自主控板的报文进行IPSec处理。所述主控板中进一步包括根据不同SA信息建立的重定向表；所述需要进行IPSec处理的报文，是根据查找所述重定向表的结果，发送给存储着与该报文的报文特性所匹配的SA信息的处理板的。所述重定向表包括根据不同入方向SA的SA信息建立的入方向重定向表、和根据不同出方向SA的SA信息建立的出方向重定向表；如果所述主控板通过接口单元接收到的报文为入方向报文，则该报文是依据查找由对应入方向SA的SA信息建立的重定向表的结果，发送给存储着与该报文的报文特性所匹配的SA信息的处理板的；如果所述主控板通过所述至少一个接口单元接收到的报文为出方向报文，则该报文是依据查找由对应出方向SA的SA信息建立的重定向表的结果，发送给存储着与该报文的报文特性所匹配的SA信息的处理板的。所述入方向重定向表中包括入方向报文特性与处理板标识的映射关系；查找入方向重定向表的结果为入方向报文特性对应的处理板标识；或者包括根据入方向SA的SA信息中的访问控制列表ACL规则号，从预设ACL表中查找得到的五元组，以及该入方向SA的SA信息中的接口索引；或者包括入方向SA的SA信息中的接口索引；或者包括入方向SA的SA信息中的隧道对端IP和接口索引；其中，接口索引和隧道对端IP是根据所述接收到的入方向报文中的目的IP查找预设转发表得到的。所述入方向报文特性包括入方向SA信息中的SA保护流五元组和接口索引；其中，接口索引是根据所述接收到的入方向报文中的目的IP查找预设转发表得到的。所述出方向重定向表中包括出方向报文特性与处理板标识的映射关系；查找由出方向重定向表的结果为出方向报文特性对应的处理板标识；所述出方向重定向表中的出方向报文特性，是根据出方向SA的SA信息确定的。所述出方向的报文特性包括对应的出方向SA信息中的安全索引、隧道本端IP、安全协议类型。所述处理板标识为处理板板号；所述入方向重定向表中的处理板板号，是根据所述入方向重定向表的数量对所述处理板的数量取模后的结果确定的；所述出方向重定向表中的处理板板号，为对应的入方向重定向表中的处理板板号；其中，该出方向重定向表对应的出方向SA，与所述对应的入方向重定向表对应的入方向SA相关if关。所述接口单元为所述主控板上的物理接口，或者为独立于所述主控板的功能单元。所述主控板、处理板和接口单元位于同一物理实体内部；或者，所述主控板、处理板和接口单元中的任意两者分别位于不同物理实体内部。该报文传输安全保护装置为网关。本发明提供的一种分布式报文传输安全保护方法，包括主控板针对各接口单元上的互联网安全IPSec隧道建立对应的安全联盟SA,并根据预设规则将建立SA得到的SA信息发送给各处理板，处理板存储接收到的SA信息；接口单元将接收到的报文发送给主控板，主控板将接收到的需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板；处理板利用其存储的SA信息，对来自主控板的报文进行互联网安全IPSec处理。所述将建立SA得到的SA信息发送给各处理板之前，该方法进一步包括根据SA信息建立并存储重定向表；所述将建立SA得到的SA信息发送给各处理板为根据查找由SA信息建立的重定向表的结果，将需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板。所述根据SA信息建立并存储重定向表包括根据入方向SA的SA信息建立并存储入方向重定向表，且才艮据出方向SA的SA信息建立出方向重定向表；如果所述需要进行IPSec处理的报文为入方向报文，则所述需要进行IPSec处理的报文，发送给存储着与该才艮文的4艮文特性匹配的SA信息的处理板为查找入方向重定向表，根据查找结果，将该报文发送给存储着与该入方向报文的报文特性匹配的SA信息的处理板；如果所述需要进行IPSec处理的报文为出方向报文，则所述需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板为查找出方向重定向表，根据查找结果将该报文发送给存储着与该出方向报文的报文特性匹配的SA信息的处理板。所述根据入方向SA的SA信息建立入方向重定向表为根据入方向SA的SA信息确定入方向报文特性，建立入方向报文特性与处理板标识的映射关系；所述查找由入方向重定向表的结果为入方向报文特性对应的处理板标识。所述建立入方向报文特性与处理板标识的映射关系为根据入方向SA的SA信息中的访问控制列表ACL规则号，从预设ACL表中查找得到五元组；建立查找得到的五元组和该入方向SA的SA信息中的接口索引，与处理板标识的映射关系；所述查找入方向重定向表为根据接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应的接口索引；根据接收到的入方向报文中的五元组的全部或部分元素，以及该^艮文对应的接口索引查找所述入方向重定向表。所述建立入方向报文特性与处理板标识的映射关系为建立入方向SA的SA信息中的接口索引与处理板标识的映射关系；所述查找入方向重定向表为根据接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应的接口索引；根据该报文对应的接口索引查找所述入方向重定向表。所述建立入方向报文特性与处理板标识的映射关系为建立对应的入方向SA的SA信息中的隧道对端IP和接口索引，与处理板标识的映射关系；所述查找入方向重定向表为根据接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应的接口索引和隧道对端IP;根据该报文对应的4妄口索引和隧道对端IP查找所述入方向重定向表。所述建立入方向报文特性与处理板标识的映射关系为建立入方向SA信息中的SA保护流五元组和接口索引，与处理板标识的映射关系；所述查找入方向重定向表为根据接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应的接口索引；根据接收到的入方向报文中的五元组的全部或部分元素，以及该报文对应的接口索引查找所述入方向重定向表。所述根据出方向SA的SA信息建立出方向重定向表为根据出方向SA的SA信息确定出方向报文特性，建立出方向报文特性与处理板标识的映射关系；所述查找出方向重定向表的结果为出方向报文特性对应的处理板标识。所述建立出方向报文特性与处理板标识的映射关系为建立对应的出方向SA信息中的安全索引、隧道本端IP、安全协议类型，与处理板标识的映射关系；所述查找出方向重定向表为据接收到的出方向报文中的安全索引、隧道本端IP、安全协议类型，查找出方向重定向表。所述处理板标识为处理板板号；所述入方向重定向表中的处理板板号，是根据所述入方向重定向表的数量对所述处理板的数量取模后的结果确定的；所述出方向重定向表中的处理板板号，为对应的入方向重定向表中的处理板板号；其中，该出方向重定向表对应的出方向SA,与所述对应的入方向重定向表对应的入方向SA相关联。由上述技术方案可见，主控板按照预设规则，将各SA信息分配给多个处理板，从而使得接收并存储SA信息的各处理板均可实现IPSec处理，从而实现了将IPSec处理分担到多个处理板，因此，当在同一个接口上有大量的IPSec隧道存在时，对经过所有IPSec隧道的报文进行IPSec处理不会只依靠该接口所在的一块处理板，而是分配给不同的处理板来完成，使得多块处理板有效地分担了与多个SA对应的IPSec处理，从而提高了IPSec处理的效率。图l为现有IPSec隧道组网模型示意图。图2为现有IPSec隧道组网模型中分布式报文传输安全保护装置的结构示意图。图3为本发明实施例中分布式报文传输安全保护装置的示例性结构图。图5为本发明实施例中创建入方向重定向表的示意图。图6为本发明实施例中入方向重定向过程的示意图。图7为本发明实施例中创建出方向重定向表的示意图。图8为本发明实施例中出方向重定向过程的示意图。图9为本发明实施例中分布式报文传输安全保护过程1的流程图。图10为本发明实施例中分布式报文传输安全保护过程2的流程图。具体实施例方式为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明进一步详细说明。本发明中，主控板并不总是将各接口单元上的IPSec隧道所对应的SA信息发送给该接口单元所在的处理板，而是按照均衡分担的原则，将针对各接口单元上的IPSec隧道所建立的SA的SA信息，根据各处理板当时业务处理情况，分别发送给比较空闲的各处理板；具体实现为各接口单元首先将接收到的报文发送给主控板，由主控板在判断出该报文需要进行IPSec处理后，将该报文对应的SA信息发送给当时比较空闲的处理板，由该处理板对后续发送过来的报文进行IPSec相应的处理。这样，当在同一个接口单元上有大量的IPSec隧道存在时，对经过所有这些IPSec隧道的报文进行IPSec处理不会只依靠该接口单元所在的一块处理板，而是根据各处理板当时业务的处理情况，分配给不同的处理板来完成，使得各处理板有效地分担了IPSec处理，从而提高了IPSec处理的效率。上述处理板可以为接口单元所在的处理板，即接口板；由于分布式报文传输安全保护装置中，通常还包括用于会话业务处理等业务处理的业务板，因此，上述处理板也可以为业务板。实际应用中，只需在业务板上增加一个现有能够实现IPSec处理的功能单元即可。图3为本发明实施例中分布式报文传输安全保护装置的示例性结构图。如图3所示，本实施例中的分布式报文传输安全保护装置可以包括主控板、接口单元和处理板。主控板，针对各接口单元上的IPSec隧道建立SA,并按照预设规则将建立SA得到的SA信息发送给各处理板，例如可以按照轮询、哈希(Hash)运算等基于均蘅原则的方式将SA信息分配给各处理板，处理板存储接收到的SA信息。接口单元将接收到的报文发送给主控板，主控板将需要进行IPSec处理的报文，发送给存储着与该报文的报文特性所匹配的SA信息的处理板。通常情况下，SA信息中包括访问控制列表(AccessControlList,ACL)规则号、接口索引、隧道对端IP、SA保护流五元组。因此，主控斧反可以从报文中提取相应的报文特性，并根据上述信息，判断出与接收到的报文的报文特性匹配的SA信息。实际应用中，主控板中还存储着预先设置的安全策略。其中，安全策略规定不同报文对应的安全服务(包括安全协议类型、加密/认证算法以及封装模式)；安全策略中还包括用于描述报文特性的访问控制列表ACL规则表。ACL规则表中包含了该安全策略保护的报文流的五元组信息(包括源/目的IP、源/目的端口号以及IP层承载的协议类型)以及对该报文进行何种动作(是应用IPSec保护还是丟弃)。主控板在接收到报文后，根据存储的预设安全策略判断是否应当对接收到的报文应用IPSec保护，如果根据报文的目的IP地址查找转发表所确定的接口单元绑定了预设的安全策略，则判断需要对该报文进行IPSec处理，并将该报文发送给存储着对应SA信息的处理板。相同或不同设置的安全策略可以与不同的接口单元绑定。处理板利用所存储的SA信息，对来自主控板的报文进行IPSec处理。其中，对于需要通过IPSec隧道发送的报文，IPSec处理为加密、封装等处理；对于从IPSec隧道接收到的报文，IPSec处理为解密、解封装等处理。如果处理板中存储着多个SA信息，则处理板也可以根据报文的报文特性选^t奪出匹配的SA信息，并利用匹配的SA信息对报文进行IPSec处理。由上述装置可见，主控板按照预设规则，将各SA信息分配给多个处理板，从而使得接收并存储SA信息的各处理板均可实现IPSec处理，从而实现了将IPSec处理分担到多个处理板，因此，当在同一个接口上有大量的IPSec隧道存在时，对经过所有IPSec隧道的报文进行IPSec处理不会只依靠该接口所在的一块处理板，而是分配给不同的处理板来完成，使得多块处理板有效地分担了与多个SA对应的IPSec处理，从而提高了IPSec处理的效率。实际应用中，主控板和处理板可以通过交换网相连；接口单元可以为主控板上的物理接口，也可以为处理板上的物理接口、还可以为独立于主控板或独立于处理板的功能单元；如果接口单元为独立于主控板或独立于处理板的功能单元，则接口单元也可以通过交换网与主控板相连；如果接口单元为独立于主控板的功能单元，则接口单元还可以通过交换网与处理板相连，再由处理板通过另一个交换网与主控板相连。在本发明实施例中的分布式报文传输安全保护装置中，主控板、处理板和接口单元可以位于同一物理实体内；或者，主控板、处理板和接口单元中的任意两者分别位于不同的物理实体内。在完成对应的IPSec处理之后，处理板可以将处理后的报文发送给主控板，由主控板将来自处理板的报文通过对应的接口单元发送，实现了报文的传输。如图3所示的报文传输安全保护装置可以为网关。如图4所示，本实施例中的分布式报文传输安全保护方法包括步骤401,主控板针对各接口单元上的IPSec隧道建立对应的SA,并才艮据预设规则将建立SA得到的SA信息发送给各处理板。步骤402，处理板存储主控板发送的SA信息。步骤403，接口单元将接收到的报文发送给主控板，主控板将需要进行IPSec处理的报文，发送给存储着与该报文的报文特性所匹配的SA信息的处理板。本步骤中，主控板可先根据存储的预设安全策略，判断是否应对接收到的才艮文进行IPSec处理，如果应对该报文进行IPSec处理，才继续执行本步骤，否则，结束本流程，丢弃接收到的报文或通过其他路由转发方式转发接收到的报文。步骤404,处理板利用存储的SA信息，对主控板发送的报文进行IPSec处理。本步骤中，对于需要通过IPSec隧道发送的才艮文，IPSec处理为加密、封装等处理；对于从IPSec隧道接收到的报文，IPSec处理为解密、解封装等处理。如果处理板中存储着多个SA信息，则处理板也可以根据报文的报文特性选择出匹配的SA信息，并利用匹配的SA信息对报文进行IPSec处理。由上述流程可见，主控板按照预设规则，将各SA信息分配给多个处理板，从而使得接收并存储SA信息的各处理板均可实现IPSec处理，从而实现了将IPSec处理分担到多个处理板，因此，当在同一个接口上有大量的IPSec隧道存在时，对经过所有IPSec隧道的^艮文进行IPSec处理不会只依靠该接口所在的同一块处理板，而是分配给不同的处理板来完成，使得多块处理板有效地分担了与多个SA对应的IPSec处理，从而提高了IPSec处理的效率。在步骤404之后，处理板可以将处理后的报文发送给主控板，由主控板将来自处理板的报文通过对应的接口单元发送，实现了报文的传输。本发明实施例中，考虑到IPSec的防重放特性，较佳地应保证同一个入方向SA或一个出方向SA对应的所有IPSec处理分配给同一个处理板。例如，在入方向上，如果同一个SA对应的IPSec处理分布在不同的处理板上进行，就有可能由于序列号的不同步，使得两块处理板进行IPSec处理后的报文具有相同的序列号，违背了同一个SA对应的报文序列号为单调递增的特性；而且，在出方向上，如果同一个SA对应的IPSec处理分布在不同的处理板上，就有可能会造成两块处理板上同一SA对应的防重放窗口位置不一样，导致在出方向上接收的报文被错误丟弃。因此，本实施例在主控板将同一个SA的SA信息只发送给一块处理板，而不会将同一个SA的SA信息发送给多块处理板，并在将不同SA的SA信息分配给各处理板之前，先根据不同SA的SA信息建立并存储对应的重定向表，再根据建立并存储的重定向表，将后续接收到的需要IPSec处理、且报文特性与同一SA信息匹配的所有报文，发送给同一块处理板进行相应的IPSec处理。下面，对本实施例中的重定向表进行详细说明。本实施例中，建立的重定向表包括根据不同入方向SA的SA信息建立的入方向重定向表、和根据不同出方向SA的SA信息建立的出方向重定向表。如果主控板通过至少一个接口单元接收到的报文为入方向报文，则主控板查找对应入方向SA的SA信息建立的重定向表，将查找重定向表的结果，发送给存储着该SA信息的处理板；如果主控板通过至少一个接口单元接收到的报文为出方向报文，则主控板查找对应出方向SA的SA信息建立的重定向表，将查找重定向表的结果，发送给存储着该SA信息的处理板。其中，入方向的重定向表的结构可以如表1所示。<table>tableseeoriginaldocumentpage20</column></row><table>表中，将入方向报文特性作为关键字，包括五元组信息(源IP、目的IP、源端口、目的端口、协i义类型)、以及应用了IPSec处理的接口索引，其中，目的IP可替换为隧道对端IP;查表结果即为入方向报文特性对应的处理板板号等标识。通常情况下，SA信息中包括ACL规则号、接口索引、隧道对端IP、SA保护流五元组。因此，主控板可从上述信息中获取对应的关键字。实际应用中，关键字也可以不全包括五元组中的所有信息和接口索引，而是只包括五元组中所有信息与接口索引中的一个或多个的组合。在建立了入方向SA之后，主控板能够从入方向SA的SA信息中获取对应的入方向报文特性，将获取的入方向报文特性作为关键字，并确定该关键字对应的处理板标识，即可建立类似于表1所示的重定向表，并将建立重定向表对应的入方向SA信息发送给与处理板标识对应的处理板。其中，如果处理板标识为处理板板号，则较佳地，可以将当前已建立的入方向重定向表的数量对所述处理板的数量取模，根据取模后的结果确定每个入方向重定向表中的处理板板号，即与不同入方向SA对应的处理板板号，从而能够将不同SA对应的IPSec处理较为均匀地分配给所有的处理板。例如，假设处理板的数量为10，当前建立的重定向表为已建立的第1个重定向表，即重定向表的总数为1,则l对10取模的结果(即1除以10的余数)为1,根据取模后的结果确定第1个重定向表中的处理板板号为1。依此类推，每建立一个重定向表，均按照上述方式确定该重定向表中的处理板板号，假设当前建立的重定向表为已建立的第53个重定向表，即重定向表的总数为53，则53对IO取模的结果(即53除以IO的余数)为3，根据取模后的结果确定第53个重定向表中的处理板板号为3。可见，在处理板的数量为IO的情况下，建立的第i个重定向表中的处理板板号为i的个位，从而实现了将不同SA对应的IPSec处理均匀地分配给所有的处理板。实际应用中，也可以采用例如随机分配等其他方式，确定每个入方向重定向表中的处理板标识，以尽可能地将所有入方向SA对应的IPSec处理平均分配给所有处理板。这样，在后续通过接口单元接收到入方向报文后，从入方向报文中直接或者间接获取对应的入方向报文特性，并根据获取的入方向报文特性查找入方向重定向表，获得对应的处理板标识，再将该报文发送给与该处理板标识对应的处理^1即可。实际应用中，可选择不同的入方向报文特性作为关键字建立入方向重定向表，并从接收到的入方向报文中获取对应的入方向报文特性，查找对应的入方向重定向表，再将入方向报文发送到存储着对应SA信息的处理板。也就是说，本发明实施例中，可以基于不同方式将不同SA对应的IPSec处理分配给不同的处理板。以下，对基于不同方式分配IPSec处理、及对应的入方向重定向表的建立过程举例说明。本实施例中可以基于如下四种方式重定向分配IPSec处理按照ACL规则分配、按照接口索引分配、按照隧道对端IP分配、按照SA保护流五元组分配。图5为本发明实施例中创建入方向重定向表的示意图。如图5所示，如果按照ACL规则分配，即主控板根据IPSec安全策略中引用的ACL规则，将不同SA对应的IPSec处理分配给不同的处理板，则主控板提取入方向SA的SA信息中的ACL规则号，依此查找ACL表，获得该ACL规则保护的五元组信息，然后提取该五元组和SA信息中的接口索引，作为入方向重定向表的关键字。而作为查表结果的处理板标识，以处理板标识为处理板板号为例，则可以根据入方向重定向表的个数对处理板总数取模的结果来确定处理板板号；也可以随机确定。这样，建立的入方向重定向表中，作为关键字的入方向报文特性包括根据对应的入方向SA的SA信息中的ACL规则号，从预设ACL表中查找得到的五元组，以及该入方向SA的SA信息中的接口索引。如图5所示，如果按照接口索引分配，即主控板根据不同的接口索引，将不同SA对应的IPSec处理分配给不同的处理板，则主控板提取入方向SA的SA信息中的接口索引，作为入方向重定向表的关键字。而作为查表结果的处理板标识，以处理板标识为处理板板号为例，则可以根据入方向重定向表的个数对处理板总数取模的结果来确定处理板板号；也可以随机确定。这样，建立的入方向重定向表中，作为关键字的入方向报文特性包括对应的入方向SA的SA信息中的接口索引。如图5所示，如果按照隧道对端IP分配，即主控板将具有相同隧道对端IP的所有入方向报文分配给同一块处理板，则主控板提取入方向SA的SA信息中的隧道对端IP和接口索引，作为入方向重定向表的关键字。而作为查表结果的处理板标识，以处理板标识为处理板板号为例，则可以根据入方向重定向表的个数对处理板总数取模的结果来确定处理板板号；也可以随才几确定。对于按照隧道对端IP分配方式，如果本端和对端之间有多条IPSec隧道，则需要通过这些IPSec隧道传输的所有入方向报文都由同一块处理板处理。如果本端和多个对端之间有各自的IPSec隧道，则需要通过这些IPSec隧道传输的所有入方向报文将分担到多块处理板处理。这样，建立的入方向重定向表中，作为关键字的入方向报文特性包括对应的入方向SA的SA信息中的隧道对端IP和接口索引。如图5所示，如果按照SA保护流五元组分配，即同一个SAl义对应一条数据流中的所有报文，则主控板提取入方向SA的SA信息中的SA保护流五元组和接口索引，作为入方向重定向表的关键字。而作为查表结果的处理板标识，以处理板标识为处理板板号为例，则可以根据入方向重定向表的个数对处理板总数取模的结果来确定处理板板号；也可以随机确定。这样，建立的入方向重定向表中，作为关键字的入方向报文特性包括对应的入方向SA信息中的SA保护流五元组和4妄口索引。实际应用中，可以根据需要的负载分担粒度，选择不同的分配方式并建立对应的入方向重定向表。其中，由于按照接口索引分配IPSec处理，是将同一接口上需要进行的所有入方向报文的入方向IPSec处理分配给同一块处理板，因而该方式的分担粒度是最粗的；而由于按照SA保护流五元组分配，只将一条数据流对应的所有入方向报文的入方向IPSec处理分配给一块处理板，因而该方式的分担粒度是最细的。对于上述各种分配IPSec处理的方式、及建立的对应入方向重定向表，性，并作为关键字从重定向表中查找到对应的处理板标识。图6为本发明实施例中入方向重定向过程的示意图。如图6所示，如果建立的入方向重定向表对应的IPSec处理的分配方式为按照ACL规则分配，则主控板先根据接口单元接收到的入方向报文中的目的IP，查找预设转发表确定该入方向报文对应的接口索引，再根据接收到的入方向才艮文中的五元组和该入方向l艮文对应的接口索引查找入方向重定向表，从而获得对应的处理板标识，并将该入方向l艮文发送给与该处理板标识对应的处理4反。实际应用中，主控板也可以不提取入方向报文的五元组中的所有元素，而是只提取任意一个或部分元素，并根据提取出的一个或部分元素、以及入方向报文对应的接口索引来查找入方向重定向表，也能够获得对应的处理板标识。如图6所示，如果建立的入方向重定向表对应的IPSec处理的分配方式为按照接口索引分配，则主控板先根据通过接口单元接收到的入方向报文中的目的IP,查找预设转发表确定该入方向报文对应的接口索引，再根据接收到的入方向报文对应的接口索引查找所述入方向重定向表，从而获得对应的处理板标识，并将该入方向报文发送给与该处理板标识对应的处理板。如图6所示，如果建立的入方向重定向表对应的IPSec处理的分配方式为按照隧道对端IP分配，则主控板先根据接口单元接收到的入方向报文中的目的IP，查找预设转发表确定该入方向报文对应的接口索引和该入方向报文的下一跳IP,再根据接收到的入方向报文对应的接口索引和下一跳IP查找入方向重定向表，从而获得对应的处理板标识，并将该入方向报文发送给与该处理板标识乂于应的处理板。其中，入方向才艮文对应的下一跳IP可相当于IPSec隧道的对端IP。以如图1所示的IPSec隧道组网模型为例，入方向报文从主机A发往主机B,该入方向才艮文的目的IP为主才几B的IP地址，而对于Rl来说，隧道对端IP为R2的IP地址，因此，Rl查找转发表中的下一浪LIP为R2的IP地址。如图6所示，如果建立的入方向重定向表对应的IPSec处理的分配方式为按照SA保护流五元组分配，则主控板先根据接口单元接收到的入方向报文中的目的IP,查找预设转发表确定该入方向报文对应的接口索引，再根据接收到的入方向l艮文中的五元组和该l艮文对应的4妄口索引查找所述入方向重定向表，/人而获得对应的处理板标识，并将该入方向报文发送给与该处理板标识对应的处理4反。其中，入方向才艮文中的五元组可对应SA保护流五元组。实际应用中，主控板也可以不提取入方向才艮文的五元组中的所有元素，而是只提取任意一个或部分元素，并根据提取出的一个或部分元素、以及入方向报文对应的接口索引来查找入方向重定向表，也能够获得对应的处理板标识。可见，本发明实施例中可根据所需的负载分担粒度，选择多种方式建立入方向重定向表，并根据建立的入方向重定向表，将入方向报文分配给不同处理板进行对应的入方向IPSec处理，从而实现多种IPSec处理的分配方式，进而提高了本发明技术方案的灵活性和通用性。在建立入方向重定向表的同时，还建立出方向重定向表。本实施例中，出方向的重定向表结构可以如表2所示。关<table>tableseeoriginaldocumentpage25</column></row><table>)表2如表2所示的出方向重定向表中，作为关^l建字的出方向报文特性可以包括安全参数索引、隧道本端IP和安全协议类型。通常情况下，SA由一个三元组来唯一标识，这个三元组包括安全参数索引(SecurityParameterIndex,SPI)、目的IP和安全协议类型。因此，主控板可从上述信息中获取安全参数索引、安全协议类型、以及相当于隧道本端IP的目的IP。在建立了出方向SA之后，主控板能够从出方向SA的SA信息中获取对应的出方向报文特性，将获取的出方向报文特性作为关键字，并确定该关4建字对应的处理板标识，即可建立类似表2所示的重定向表，并将建立重定向表对应的出方向SA信息发送给处理板标识对应的处理板。其中，如果处理板标识为处理板板号，则可以根据出方向重定向表的数量对所述处理板的数量取模，根据取模后的结果确定每个出方向重定向表中的处理板板号，或者按照例如随机分配等其他方式，确定每个出方向重定向表中的处理板标识，以尽可能地将所有出方向SA对应的IPSec处理平均分配给所有处理板。但是，由于例如会话等数据流为双向数据流，因此，为了避免在处理IPSec隧道承载会话双向数据流时存在的状态同步复杂、系统带宽消耗量大等问题出现，本实施例中，较佳地，将相互关联的入方向SA和出方向SA对应的IPSec处理分配给一块处理4反。也就是说，可以先根据入方向SA的SA信息建立入方向重定向表，再将该入方向重定向表中的处理板标识作为对应的出方向重定向表中的处理才反标识，其中，该出方向重定向表对应的出方向SA,与7于应的入方向重定向表对应的入方向SA相关耳关。这样，在后续通过接口单元接收到出方向报文后，从出方向报文中获取对应的出方向报文特性，并根据获取的出方向报文特性查找出方向重定向表，获得对应的处理板标识，再将该报文发送给与该处理板标识对应的处理板即可。而且，如果相互关联的入方向SA和出方向SA在入方向重定向表和出方向重定向表中，处理板标识相同，则可以保证将相互关联的入方向SA和出方向SA对应的IPSec处理分配给一块处理才反J人而能够解决在处理IPSec隧道承载双向数据流时存在的状态同步复杂、系统带宽消耗量大等问题。图7为本发明实施例中创建出方向重定向表的示意图。如图7所示，从出方向SA的SA信息中提取出安全索引、隧道本端IP和安全协议类型作为出方向重定向表中的关键字，并将对应的入方向重定向表中的处理板标识作为该出方向重定向表中的处理^^反标识即可。图8为本发明实施例中出方向重定向过程的示意图。如图8所示，主控板从接口单元接收到的出方向报文中，提取出安全索引、目的IP和安全协议类型，并将提取出的出方向报文特性作为关键字，查找出方向重定向表，即可确定对应的处理斧反标识，并将该出方向报文发送症合与该处理板标识对应的处理板。这样，由于入方向重定向表已经保i正了同一个入方向SA对应的入方向IPSec处理分配在一块处理板上，因此将入方向重定向表中作为查表结果的处理板标识复制到相应出方向重定向表中，即可保证出方向上同一个出方向SA对应的出方向IPSec处理也分配在该处理板上。实际应用中，由于出方向SA的SA信息中，也包含了与入方向SA的SA信息中相同的接口索引、ACL规则号、隧道对端IP、SA保护流五元组信息。因此，本实施例中，也可根据不同的负载分担粒度，从出方向SA的SA信息中提取接口索引、ACL规则号、隧道对端IP、SA保护流五元组信息中的一个或多个的任意组合，作为入方向重定向表中的关键字。可见，上述实施例中可根据所需的负载分担粒度，选择多种方式建立重定向表，并根据建立的重定向表将报文分配给不同业务板进行对应的IPSec处理，从而实现多种IPSec处理的分配方式，进而提高了本发明技术方案的灵活性和通用性。而且，上述实施例还能够保证相互关联的入方向SA和出方向SA分别对应的入方向重定向表和出方向重定向表中，业务板标识相同，从而保证将相互关Jf关的入方向SA和出方向SA对应的IPSec处理分配给一块业务+反，进而能够解决在处理IPSec隧道承载双向数据流时存在的状态同步复杂、系统带宽消耗量大等问题。以上是分别对本发明实施例中的报文传输安全装置和方法、以及重定向表的建立过程和报文重定向过程的详细说明。下面，结合报文传输过程的实例，对上述技术方案进行整体说明。图9为本发明实施例中分布式报文传输安全保护过程1的流程图。如图9所示，以入方向IPSec处理的过程为例，本实施例中对于入方向的分布式报文传输安全保护过程包括步骤901，主控板通过接口单元1接收到入方向报文。步骤902，主控板查找转发表，确定该入方向报文对应的出接口为接口单元2。本步骤中，入方向报文对应的出接口是根据查找转发表得到的接口索引确定的；如果建立的入方向重定向表对应的IPSec处理的分配方式为4妄照隧道对端IP分配，则查找转发表的结果中除了对应的接口索引之外，进一步包括该入方向报文的下一跳IP。本步骤中，在确定该入方向报文对应的出接口为接口单元2之后，主控板可根据多种方式判断该入方向报文是否需要进行IPSec处理，如果判断出该入方向报文需要进行IPSec处理才执行步骤903,否则，丢弃报文、或通过其他方法重定向到对应的处理板进行相应的业务处理，并结束本流程。步骤903，主控板查找已建立并存储的入方向重定向表，如果未得到任何匹配的查表结果，则执行步骤904,如果得到匹配的查表结果，则执行步骤907。本步骤中，未得到任何匹配的查表结果即为从入方向报文中提取的关键字，与所有已建立的入方向重定向表中的关^:字均不匹配。步骤904，丢弃该入方向报文，并发起IKE协商建立对应的SA。步骤905,根据建立的对应SA的SA信息建立入方向重定向表和出方向重定向表，并将该SA信息发送给对应的处理板。本步骤中，可以*接照如前所述的任何一种方式建立重定向表。步骤卯6，接收到SA信息的处理板保存该SA信息，用于后续的IPSec处理，并结束本流程。步骤907,将该入方向报文发送给与查找入方向重定向表的结果对应的处理板。步骤908,接收到入方向报文的处理板利用存储的入方向SA的SA信息，对该入方向才艮文进行入方向IPSec处理。步骤909,处理板将入方向IPSec处理后的入方向才艮文发送给主控板。步骤910,主控板将入方向IPSec处理后的入方向才艮文通过接口单元2发送，并结束本流程。可见，对于入方向的报文传输安全保护，本发明能够将不同入方向SA对应的入方向IPSec处理分配给不同的处理板，且分配给不同处理4反的入方向IPSec处理不受接口限制，当在同一个接口上有大量的IPSec隧道存在时，对经过所有IPSec隧道的报文进行的入方向IPSec处理不会只依靠一块接口板，而是分配给不同的处理板来完成，使得多块处理板有效地分担了与多个入方向SA对应的入方向IPSec处理，从而提高了IPSec处理的效率。图10为本发明实施例中分布式报文传输安全保护过程2的流程图。如图IO所示，以出方向IPSec处理的过程为例，本实施例中对于出方向的分布式报文传输安全保护过程包括步骤1001,主控板通过接口单元l接收到出方向才艮文。步骤1002,主控板提取出方向报文中的出方向报文特性。本步骤中，主控板在提取出方向报文中的出方向报文特性之前，先判断该出方向报文目的IP是否为隧道本端IP,如果是，则提取出方向报文中的出方向报文特性然后执行步骤1003,否则，直接丢弃报文、或通过其他方法重定向到对应的处理板进行相应的业务处理，并结束本流程。步骤1003，主控板查找已建立并存储的出方向重定向表，如果未查找到任何匹配的查表结果，则执行步骤1004,如果查找到匹配的查表结果，则执行步骤1007。本步骤中，未查找到任何匹配的查表结果即为从出方向报文中提取的关键字，与所有已建立的出方向重定向表中的关键字均不匹配。步骤1004，丢弃该出方向报文，并发起IKE协商建立对应的SA。步骤1005,根据建立的对应SA的SA信息建立入方向重定向表和出方向重定向表，并将该SA信息发送给对应的处理板。本步骤中，可以按照如前所述的任何一种方式建立重定向表。步骤1006,接收到SA信息的处理板保存该SA信息，用于后续的IPSec处理，并结束本流程。步骤1007,将该出方向报文发送给与查找出方向重定向表的结果对应的处理板。步骤1008，接收到出方向报文的处理板利用存储的出方向SA的SA信息，对该出方向报文进行出方向IPSec处理。步骤1009,处理板#4居出方向IPSec处理后的才艮文的目的IP,查找转发表，确定该报文的出接口为接口单元2。并通知主控板该才艮文的出接口为接口单元2。步骤1011,主控板将出方向IPSec处理后的出方向报文通过接口单元2发送，并结束本流程。可见，对于出方向的报文传输安全保护，本发明能够将不同出方向SA对应的出方向IPSec处理分配给不同的处理板，且分配给不同处理板的出方向IPSec处理不受接口限制，当在同一个接口上有大量的IPSec隧道存在时，对经过所有IPSec隧道的报文进行的出方向IPSec处理不会只依靠一块接口板，而是分配给不同的处理板来完成，使得多块处理板有效地分担了与多个出方向SA对应的出方向IPSec处理，/人而提高了IPSec处理的效率。以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应包含在本发明的保护范围之内。权利要求1、一种报文传输安全保护装置，其特征在于，包括主控板、与主控板相连的多个接口单元、以及与主控板相连的多个处理板，其中，所述主控板，针对各接口单元上的互联网安全IPSec隧道建立对应的安全联盟SA，并根据预设规则将建立SA得到的SA信息发送给各处理板，处理板存储接收到的SA信息；所述接口单元将接收到的报文发送给所述主控板，所述主控板将接收到的需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板；所述处理板，利用存储的SA信息，对来自主控板的报文进行IPSec处理。2、如权利要求l所述的装置，其特征在于，所述主控板中进一步包括根据不同SA信息建立的重定向表；所述需要进行IPSec处理的报文，是根据查找所述重定向表的结果，发送给存储着与该报文的报文特性所匹配的SA信息的处理板的。3、如权利要求2所述的装置，其特征在于，所述重定向表包括:根据不同入方向SA的SA信息建立的入方向重定向表、和根据不同出方向SA的SA信息建立的出方向重定向表；如果所述主控板通过接口单元接收到的报文为入方向报文，则该报文是依据查找由对应入方向SA的SA信息建立的重定向表的结果，发送给存储着与该报文的报文特性所匹配的SA信息的处理板的；如杲所述主控板通过所述至少-个接口单元接收到的报文为山方向报文，则该报文是依据查找由对应出方向SA的SA信息建立的重定向表的结果，发送给存储着与该报文的报文特性所匹配的SA信息的处理板的。4、如权利要求3所述的装置，其特征在于，所述入方向重定向表中包括入方向报文特性与处理板标识的映射关系；查找入方向重定向表的结果为入方向报文特性对应的处理板标识；其中，所述入方向重定向表中的入方向报文特性是根据入方向SA的SA信息确定的。5、如权利要求4所述的装置，其特征在于，所述入方向报文特性包括根据入方向SA的SA信息中的访问控制列表ACL规则号，从预设ACL表中查找得到的五元组，以及该入方向SA的SA信息中的接口索引；或者包括入方向SA的SA信息中的接口索引；或者包括入方向SA的SA信息中的隧道对端IP和接口索引；或者包括入方向SA信息中的SA保护流五元组和4妄口索引；其中，接口索引是根据所述接收到的入方向报文中的目的IP查找预设转发表得到的。6、如权利要求3所述的装置，其特征在于，所述出方向重定向表中包括出方向报文特性与处理板标识的映射关系；查找由出方向重定向表的结果为出方向"^艮文特性对应的处理板标识；所述出方向重定向表中的出方向报文特性，是根据出方向SA的SA信息确定的。7、如权利要求6所述的装置，其特征在于，所述出方向的报文特性包括对应的出方向SA信息中的安全索引、隧道本端IP、安全协_汉类型。8、如权利要求4至7中任意一项所述的装置，其特征在于，所述处理板标识为处理板板号；所述入方向重定向表中的处理板板号，是根据所述入方向重定向表的数量对所迷处理板的数量取模后的结果确定的；所述出方向重定向表中的处理板板号，为对应的入方向重定向表中的处理板板号；其中，该出方向重定向表对应的出方向SA，与所述对应的入方向重定向表对应的入方向SA相关联。9、如权利要求l所述的装置，其特征在于，所述接口单元为所述主控板上的物理接口，或者为独立于所述主控板的功能单元。10、如4又利要求1所述的装置，其特征在于，所述主控板、处理^反和接口单元位于同一物理实体内部；或者，所述主控板、处理板和接口单元中的任意两者分别位于不同物理实体内部。11、如权利要求1所述的装置，其特征在于，该报文传输安全保护装置为网关。12、一种报文传输安全保护方法，其特征在于，包括主控板针对各接口单元上的互联网安全IPSec隧道建立对应的安全联盟SA,并根据预设规则将建立SA得到的SA信息发送给各处理板，处理板存储接收到的SA信息；接口单元将接收到的报文发送给主控板，主控板将接收到的需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板；处理板利用其存储的SA信息，对来自主控板的报文进行互联网安全IPSec处理。13、如权利要求12所述的方法，其特征在于，所述将建立SA得到的SA信息发送给各处理板之前，该方法进一步包括根据SA信息建立并存储重定向表；所述将建立SA得到的SA信息发送给各处理板为根据查找由SA信息建立的重定向表的结果，将需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板。14、如权利要求13所述的方法，其特征在于，所述根据SA信息建立并存储重定向表包括根据入方向SA的SA信息建立并存储入方向重定向表，且根据出方向SA的SA信息建立出方向重定向表；如杲所述需要进行IPSec处理的报文为入方向报文，则所迷需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板为查找入方向重定向表，根据查找结果，将该报文发送给存储着与该入方向报文的报文特性匹配的SA信息的处理板；如果所述需要进行IPSec处理的报文为出方向报文，则所述需要进行IPSec处理的报文，发送给存储着与该报文的报文特性匹配的SA信息的处理板为查找出方向重定向表，根据查找结果将该报文发送给存储着与该出方向报文的报文特性匹配的SA信息的处理板。15、如权利要求14所述的方法，其特征在于，所述根据入方向SA的SA信息建立入方向重定向表为根据入方向SA的SA信息确定入方向报文特性，建立入方向报文特性与处理板标识的映射关系；所述查找由入方向重定向表的结果为入方向报文特性对应的处理板标识。16、如权利要求15所述的方法，其特征在于，所述建立入方向报文特性与处理板标识的映射关系为根据入方向SA的SA信息中的访问控制列表ACL规则号，从预设ACL表中查找得到五元组；建立查找得到的五元组和该入方向SA的SA信息中的接口索引，与处理板标识的映射关系；所述查找入方向重定向表为根据接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应的接口索引；根据接收到的入方向报文中的五元组的全部或部分元素，以及该报文对应的接口索引查找所述入方向重定向表；或者，所述建立入方向报文特性与处理板标识的映射关系为建立入方向SA的SA信息中的接口索引与处理板标识的映射关系；所述查找入方向重定向表为根据接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应的接口索引；根据该报文对应的接口索引查找所述入方向重定向表；或者，所述建立入方向报文特性与处理板标识的映射关系为建立对应的入方向SA的SA信息中的隧道对端IP和接口索引，与处理板标识的映射关系；所述查找入方向重定向表为根据接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应的接口索引和隧道对端IP;根据该才艮文对应的接口索引和隧道对端IP查找所述入方向重定向表；或者，所述建立入方向报文特性与处理板标识的映射关系为建立入方向SA信息中的SA保护流五元组和接口索引，与处理板标识的映射关系；所述查找入方向重定向表为根据接收到的入方向报文中的目的IP查找预设转发表，确定该入方向报文对应的接口索引；根据接收到的入方向报文中的五元组的全部或部分元素，以及该报文对应的接口索引查找所述入方向重定向表。17、如权利要求14中任意一项所述的方法，其特征在于，所述根据出方向SA的SA信息建立出方向重定向表为根据出方向SA的SA信息确定出方向报文特性，建立出方向报文特性与处理板标识的映射关系；所述查找出方向重定向表的结果为出方向报文特性对应的处理板标识。18、如权利要求17所述的方法，其特征在于，所述建立出方向"^艮文特性与处理板标识的映射关系为建立对应的出方向SA信息中的安全索引、隧道本端IP、安全协议类型，与处理板标识的映射关系；所述查找出方向重定向表为据接收到的出方向报文中的安全索引、隧道本端IP、安全协议类型，查找出方向重定向表。19、如权利要求15至18中任意一项所述的方法，其特征在于，所述处理板标识为处理板板号；所述入方向重定向表中的处理板板号，是根据所述入方向重定向表的数量对所述处理板的数量取^t后的结果确定的；所述出方向重定向表中的处理板板号，为对应的入方向重定向表中的处理板板号；其中，该出方向重定向表对应的出方向SA，与所述对应的入方向重定向表对应的入方向SA相关联。全文摘要本发明公开了一种分布式报文传输安全保护装置和方法。本发明中，主控板按照预设规则，将各SA信息分配给多个处理板，从而使得接收并存储SA信息的各处理板均可实现IPSec处理，从而实现了将IPSec处理分担到多个处理板，因此，当在同一个接口上有大量的IPSec隧道存在时，对经过所有IPSec隧道的报文进行IPSec处理不会只依靠该接口所在的一块处理板，而是分配给不同的处理板来完成，使得多块处理板有效地分担了与多个SA对应的IPSec处理，从而提高了IPSec处理的效率。文档编号H04L12/46GK101106450SQ20071012036公开日2008年1月16日申请日期2007年8月16日优先权日2007年8月16日发明者常向青,炜郑申请人:杭州华三通信技术有限公司