扩展安全系统的方法、安全系统及安全处理设备的制作方法

专利名称：扩展安全系统的方法、安全系统及安全处理设备的制作方法
技术领域：
本发明涉及网络通信技术，尤指一种扩展安全系统的方法、 一种安全系 统以及可用于扩展的安全处理设备。
背景技术：
互联网是 一 个世界范围内共享的网络资源，各种各样的信息都在相同的 介质上传输。因此对用户敏感数据的保护是一个不容忽视的问题，尤其在军 事、银行等一些机密要求很高的应用场景下，数据的安全性尤为重要。参见 图1，图1为现有技术中安全处理设备的结构图示意图，包括处理单元和主 控单元构成。其中，处理单元由接口处理单元和业务处理单元组成，接口处 理单元对外可以存在一个或多个接口 ，用于接收报文，并发送经业务处理单 元处理后的报文。业务处理单元接收接口处理单元发送的报文并进行业务处 理，通过接口处理单元发送处理后的报文。主控单元主要用于管理、控制接 口处理单元以及业务处理单元。
随着日益猖獗的病毒、攻击以及滥用所引发的安全问题，安全处理设备 需要处理越来越多的安全业务。随着安全业务的不断增加，单个安全处理设 备的处理能力已经无法满足需求。为了满足日益增长的网络安全需求，安全 处理设备将希望寄托在扩展上。扩展就是将原来的两台或多台安全处理设备 组合成一个安全系统，通过处理性能上的提升处理日益增加的安全问题。 参见图2，图2为现有技术安全系统的扩展示意图。按照如图l所示的 安全系统，各安全处理设备之间没有数据交互。由于现有技术中的扩展只是 将安全处理设备在物理位置上放置在一起，并没有实现安全处理设备之间的 数据交互，导致各安全处理设备各自独立处理报文、以及收/发报文，无法
实现各安全处理设备之间的资源共享、协作处理。
例如，在安全处理设备A连接外网l和内网1,安全处理设备B连接外 网2和内网2的情况下，为了实现将从外网1收到的报文经处理后发送至内 网2的目的，需要在扩展后的安全系统外加一台交换机，用于实现内网l和 内网2之间的通信。这样报文就可以从外网1进入安全处理设备A,经过安 全处理设备A的处理，通过内网1以及新加的交换机进入内网2。又如，在 安全处理设备A当前待处理的报文较多，存在许多报文等待被处理，由于 安全处理设备A和安全处理设备B各自独立工作，因此当前较空闲的安全 处理设备B无法协助安全处理设备A进行处理，较大的影响了整个安全系 统的处理性能，使安全系统的处理性能局限于单个安全处理设备的处理性能 上。综上所述，现有技术中这种安全系统扩展方式没有从真正意义上提高扩 展后安全系统的性能。

发明内容
有鉴于此，本发明提供了一种扩展安全系统的方法，该方法能够使扩展 后的安全系统相对于现有的安全系统具有较高的性能。
为达到上述目的，本发明的技术方案是这样实现的
一种扩展安全系统的方法，组成所述安全系统的各安全处理设备中进一 步包括连接单元；该方法包括以下步骤
收到外部报文的安全处理设备，确定所在安全系统内处理所述收到报文 的安全处理设备；
在自身不为当前所确定的安全处理设备时，将当前外部报文作为待处理
安全处理设备通过自身的连接单元接收所述待处理报文，并处理该报文； 在自身为当前所确定的安全处理设备时，自身处理该报文。 另外，本发明又提供了一种安全系统，该安全系统具有比现有安全系统
较高的性能。
为达到上述目的，本发明的技术方案是这样实现的 一种安全系统，包括多个包含连接单元的安全处理设备； 其中，收到外部报文的安全处理设备，确定所在安全系统内处理所述收 到报文的安全处理设备；在自身不为当前所确定的安全处理设备时，将当前 外部报文作为待处理报文通过自身的连接单元发送至所确定的安全处理设 备；在自身为当前所确定的安全处理设备时，自身处理该报文；
所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文， 并处理该l艮文。
再者，本发明还提供了可用于扩展的安全处理设备，本发明所提供的安 全处理设备可用于扩展安全系统，使扩展后的安全系统相对于现有安全系统 具有较高的性能。
为达到上述目的，本发明的技术方案是这样实现的
本发明提供了一种可用于扩展的安全处理设备，该设备包括连接单元i 至少一个接口单元、和至少一个业务处理单元；其中，任意一个接口单元通, 过所述连接单元与任意一个业务处理单元相连；
所述接口单元在收到来自所在安全系统外部的报文后，确定所在安全系 统内处理所述收到报文的业务处理单元，将所述收到报文作为待处理报文， 发送所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元；
所述连接单元从接口单元收到所述待处理报文以及对应的处理指示；根 据所述处理指示指示的业务处理单元，在所确定的业务处理单元位于其它安 全处理设备内时，将所述待处理报文及对应的处理指示发送至所指示的业务 处理单元所在的安全处理设备，由该业务处理单元处理所述待处理报文；在 所确定的业务处理单元位于自身所在安全处理设备内时，根据所对应的处理 指示将所述待处理报文发送至所确定的业务处理单元；
所述业务处理单元处理收到的待处理报文。
另外，本发明又提供了一种可用于扩展的安全处理设备，该设备包括连 接单元、和至少一个接口单元；其中，任意一个接口单元与所述连接单元相
连；
所述接口单元在收到来自所在安全系统外部的报文后，确定所在安全系 统内处理所述收到报文的业务处理单元，将所述收到报文作为待处理报文，
发送所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元；
所述连接单元从接口单元收到所述待处理报文以及对应的处理指示；根 据所述处理指示，将所述待处理报文及对应的处理指示发送至所指示的业务 处理单元所在的安全处理设备，由该业务处理单元处理所述待处理报文。
再者，本发明还提供了一种可用于扩展的安全处理设备，该设备包括连 接单元和至少一个业务处理单元；
所述连接单元从其它安全处理设备收到待处理报文以及对应的处理指 示；根据所述处理指示指示的业务处理单元，将所述待处理报文及对应的处 理指示发送至所指示的业务处理单元；
所述业务处理单元处理收到的待处理报文。
本发明所提供的一种扩展安全系统的方法，通过在组成安全系统的各安' 全处理设备中进一步包括连接单元；收到外部报文的安全处理设备，确定所* 在安全系统内处理收到报文的安全处理设备；在自身不为当前所确定的安全 处理设备时，将当前外部报文作为待处理报文通过自身的连接单元将其发逸' 至所确定的安全处理设备，所确定的安全处理设备通过自身的连接单元接收 待处理报文，并处理该报文；在自身为当前所确定的安全处理设备时，自身 处理该报文。本发明的技术方案中提供了一种安全系统、以及可用于扩展的 安全处理设备。本发明所提供的技术方案，通过各安全处理设备之间的数据 交互，实现了各安全处理设备的资源共享，从而实现真正意义上提高扩展后 的安全系统的性能。
其中，本发明所提供的安全处理设备可以是包括接口单元、或包括业务 处理单元、或包括接口单元和业务处理单元。因此，本发明的安全处理设备 向安全系统提供了多种扩展的可能。在仅需要扩展接口，则可以使用仅包括 接口单元的安全处理设备；在仅需要增加处理能力，则可以使用仅包括业务
处理单元的安全处理设备，这样能够充分节约系统资源，针对安全系统的扩 展需求在安全系统中增加相应的设备。


图1为现有技术中的安全处理设备结构图； 图2为现有技术中的安全系统结构图； 图3为本发明中的安全系统的基本结构图； 图4本发明中第 一 实施例的安全系统结构图； 图5为本发明中第二实施例的安全系统结构图； 图6为本发明中第三实施例的安全系统结构图。
具体实施例方式
在本发明的技术方案中，通过各安全处理设备之间的数据交互，实现备 安全处理设备之间的资源共享，从而实现真正意义上提高扩展后的安全系统 的性能。本发明的方法的总体流程为，组成安全系统的各安全处理设备中逸 一步包括连接单元；该方法包括以下步骤收到外部报文的安全处理设备； 确定所在安全系统内处理收到报文的安全处理设备；在自身不为当前所确定 的安全处理设备时，将当前外部报文作为待处理报文通过自身的连接单元将 其发送至所确定的安全处理设备，所确定的安全处理设备通过自身的连接单 元接收待处理报文，并处理该报文；在自身为当前所确定的安全处理设备时， 自身处理该报文。
参见图3，图3为本发明中安全系统的基本结构图，包括多个包含连接 单元的安全处理设备。其中，收到外部报文的安全处理设备，确定所在安全 系统内处理收到报文的安全处理设备；在自身不为当前所确定的安全处理设 备时，将当前外部报文作为待处理报文通过自身的连接单元发送至所确定的 安全处理设备；在自身为当前所确定的安全处理设备时，自身处理该报文。 所确定的安全处理设备通过自身的连接单元接收待处理报文，并处理该报 文。
例如，在当前安全系统存在两个安全处理设备A和B，安全处理设备A 内的处理单元在收到报文后，确定该报文需要由安全处理设备B进行处理，
B，由安全处理设备B内的处理单元进行处理；当需要由安全处理设备A处 理，则安全处理设备A自身处理收到的报文。这里的外部报文是指外界发 送给安全系统的报文。
在本发明的技术方案中，各安全处理设备均会连接自身对应的网段，用 来接收、处理来自该网段的报文，以及向该网段发送报文。在处理安全处理 设备处理完收到报文后，还需要发送该处理后报文时，可以根据该待发送报 文的目的IP地址确定发送所述待发送报文的安全处理设备。在自身不为当 前所确定的安全处理设备时，将所述待发送报文通过自身的连接单元发送至 所确定的安全处理设备；所述所确定的安全处理设备通过自身的连接单元接 收所述待发送报文，并根据该报文的目的IP发送该报文。在自身为当前所 确定的安全处理设备时，自身根据所述待发送报文的目的IP发送该报文。
由于本发明的安全系统是由多个安全处理设备组成，因此为了提高报文 的处理效率，可以由一个安全处理设备处理一类的才艮文。在本发明中，将一 种类型的报文称为一种业务流。在本发明的技术方案中，可以根据各安全处 理设备的处理能力确定处理具体业务流的安全处理设备。在确定处理具体业 务流的安全处理设备时，可以在收到该业务流对应流首包时，进行确定。
在本发明所提供的方法中，为了实现对各安全处理设备的统一管理，进 而有效的提高安全系统的性能，可以将安全系统中的一个安全处理设备作为 主控安全处理设备、其他的作为附属安全处理设备。由主控安全处理设备根 据自身以及各附属安全处理设备的处理能力，确定处理具体业务流的安全处 理设备。
具体可以采用如下方式，安全处理设备在从外部收到的报文为流首包 时，依据所述主控安全处理设备的选择，确定处理当前报文的安全处理设备，
并记录所述主控安全处理设备选择的处理当前报文对应业务流的安全处理 设备。安全处理设备从外部收到的报文为非流首包时，在自身记录的安全处 理设备中查找处理该报文对应业务流的安全处理设备，将查找得到的安全处 理设备作为处理当前报文的安全处理设备。
其中，安全处理设备的组成形式可以是以下三种形式构成，其中第一种
为处理单元包括连接单元、至少一个接口单元和至少一个业务处理单元， 其中任意一个接口单元通过连接单元与任意一个业务处理单元相连；其中第 二种为处理单元包括连接单元、以及至少一个接口单元，其中任意一个接 口单元与连接单元相连；第三种是，处理单元包括连接单元、以及至少一个 业务处理单元，其中任意一个业务处理单元与连接单元相连。另外，在本发 明的安全处理设备内还可以进一步包括主控单元和扩展控制接口单元，主要 用来确定报文的业务处理单元。
下面以以上三种处理单元的组成方式为例，描述本发明的三个实施例。 参见图4，图4为本发明第一实施例的结构图。该安全系统具体包括两 个安全处理设备，分别为安全处理设备一和安全处理设备二。这两个安全处 理设备的结构相同，主要包括主控单元、扩展控制接口单元、连接单元、N 个接口单元和N个业务处理单元。其中任意一个接口单元通过连接单元与 任意一个业务处理单元相连。当然，这里的安全处理设备一和安全处理设备 二的接口单元和业务处理单元的数目也不必相等，可以是任意值，这样并不
影响本发明的具体实现。
在安全处理设备一中接口单元从安全系统外部接收到报文，从安全处理 设备一对该报文进行处理的角度来看。接口单元在收到来自所在安全系统外 部的报文后，确定所在安全系统内处理该收到报文的业务处理单元。这里所 指的安全系统内所有业务处理单元既包括安全处理i殳备一中的业务处理单 元1 N，同样也包括安全处理设备二中的业务处理单元N+1 ~2N。该接口 单元将报文、以及描述当前所选业务处理单元的处理指示发送至连接单元。 连接单元根据收到的处理指示，确定所选的业务处理单元位于自身所在安全
处理设备内时，将与该处理指示对应的报文发送至所选处理该报文的业务处
理单元处理，例如①号信号流。在图4中，①号信号流表示报文从安全处理 设备一中的接口单元1收到，通过连接单元发送至安全处理设备一中的业务 处理单元1内进行处理；在处理完成后，业务处理单元1通过安全处理设备 一内的连接单元将处理后的报文发送至接口单元1,接口单元1将报文发送 出去。
连接单元根据处理指示对应的业务处理单元，将报文以及处理指示发送 至该业务处理单元对应的安全处理设备。由该安全处理设备对应的业务处理 单元进行处理，例如在图4中的②和③号信号流。
在图4中，②号信号流表示报文从安全处理设备一 中的接口单元2收到， 通过安全处理设备一和安全处理设备中的连接单元，发送至安全处理设备二 中的业务处理单元N+1内进行处理；在处理完成后，业务处理单元N+1通 过安全处理设备二内的连接单元将处理后的报文发送至安全处理设备二内 的接口单元N+1，接口单元N+l将报文发送出去。③号信号流表示报文从 安全处理设备一中的接口单元2收到，通过安全处理设备一和安全处理设备 二中的连接单元，发送至安全处理设备二中的业务处理单元N+l内进行处 理；在处理完成后，业务处理单元N+l通过安全处理设备二内的连接单j 将处理后的才艮文发送至安全处理设备一 内的接口单元N,接口单元N将报文 发送出去。
这里，本发明所描述的处理指示可以是对应业务处理单元的MAC地址。 如果处理指示是业务处理单元的MAC地址的话，安全处理设备内的连接单 元可以通过维护自身的转发表，根据业务处理单元的MAC地址，将当前待 处理的报文发送至对应的业务处理单元进行处理。
在安全处理设备二接收并处理安全处理设备一发送的报文的角度来看。 安全处理设备二中的连接单元接收安全处理设备一发送的需要处理的报文 和描述处理该报文的业务处理单元的处理指示，根据该处理指示描述的内容 将该才艮文发送至处理该净艮文的业务处理单元。例如在图4中所示的②和③号
信号流。
在安全处理设备二中的业务处理单元处理完安全处理设备一发送过来 的才艮文后，依据当前待发送报文的IP地址确定发送该报文的接口单元，将 处理完的报文以及描述该接口单元的发送指示发送给连接单元。连接单元接 收从业务处理单元发送的报文以及发送指示，根据发送指示，在确定发送指 示描述的接口单元不在自身所在安全处理设备内时，根据发送指示对应的业 务处理单元，将报文以及发送指示发送至该业务处理单元所在的安全处理设 备二，如图4中所示的③号信号流。在确定发送指示描述的接口单元在自身 所在安全处理设备内时，将报文以及发送指示发送至该接口单元发送，如图
4中所示的②和③号信号流。
这里，根据当前待发送报文的IP地址确定发送该报文的接口单元，可 以是根据业务处理单元自身保存的转发表来确定。该转发表中记录着将该报 文发送至目的IP地址的接口单元。该转发表可以是预先配置、也可以是学 习得到。
另外，上面描述的发送指示可以是该接口单元的MAC地址。那么，相 应的连接单元需要维护自身的MAC地址转发表，根据发送当前待发送报文 的接口单元的MAC地址，将该报文发送至该接口单元。
安全处理设备一中的连接单元接收安全处理设备二处理完的报文，以及 描述发送该的发送指示，并将其发送至连接单元。连接单元将收到的报文发 送至发送指示所描述的接口单元，该接口单元发送收到的报文，如上面所描 述的③号信号流。
在本实施例中，接口单元确定处理当前收到报文的业务处理单元的具体 实现，可以借助设备中的主控单元和扩展控制接口单元，具体可以采用如下 技术方案。在以下描述的技术方案中，以安全处理设备一中的接口单元1接 收到报文为例进行介绍。在安全处理设备一中接口单元1收到的报文为流首 包时，接口单元1请求安全处理设备一中的主控单元指示处理该收到报文对 应业务流的业务处理单元；并将安全处理设备一中的主控单元指示的业务处
理单元作为处理所述收到寺艮文的业务处理单元，并记录处理该报文对应业务 流的业务处理单元。在收到报文为非流首包，接口单元查找自身记录的处理 该报文对应业务流的安全处理设备，将查找得到的安全处理设备作为处理当 前报文的安全处理设备。
在安全处理设备一为主控安全处理设备时，安全处理设备一 中的主控单 元接收接口单元l发送的请求，为收到报文对应的业务流选择处理该业务流 的业务处理单元、并向接口单元1指示所选业务处理单元。
在安全处理设备一不为主控安全处理设备时，则表明在图4所示的安全
系统结构中，安全处理设备二为主控安全处理设备。则安全处理设备一中的 主控单元向扩展控制接口单元发送处理所述收到报文对应业务流的请求，并 将所述扩展控制接口单元返回的指示发送至接口单元1。
安全处理设备一中的扩展控制接口单元接收安全处理设备一中主控单 元发送的指示，向安全系统内的主控安全处理设备二发送处理所述收到报文
对应业务流的请求；并将该请求对应的指示发送给所述主控单元。
从安全处理设备二当前确定安全处理设备的过程来看，安全处理设备二 中的扩展控制接口单元接收安全处理设备一发送的选择业务处理单元的请 求，并将该请求发送至所述主控单元；接收主控单元返回的指示，并将该指 示返回给对应的安全处理设备一。安全处理设备二中的主控单元接收从扩展 控制接口单元发送的请求，为当前收到报文的业务流选择处理该业务流的业
务处理单元，并向扩展控制接口单元指示所选业务处理单元。
这里，安全处理设备二中的主控单元选择处理当前报文的业务处理单元 可以采用如下技术方案安全处理设备一和安全处理设备二中的业务处理单 元定期向自身所在的主控单元上报包含自身处理能力的状态信息。安全处理 设备一中的主控单元，定期将收集到的业务处理单元的状态信息，通过扩展 控制接口单元发送给主控安全处理设备二。安全处理设备二中的主控单元接 收自身业务处理单元发送的状态信息、以及从扩展控制接口单元接收安全处 理设备一发送的状态信息；在选择处理业务流的业务处理单元时，在收到该
业务流对应流首包时，根据各业务处理单元的处理能力选择处理业务流的业 务处理单元。
图4所示的安全系统，通过将两个安全处理设备合并，通过共享各自的 接口单元、以及业务处理单元，相对于原来的单个设备，提高了处理性能、 共享了各自的端口，实现了真正意义上的合并。
在一些具体的应用场合中，安全系统需要扩展的有可能仅为接口数量、 或者处理能力，因此为了节约资源，并不一定需要将既包括多个接口单元和 多个业务处理单元的两个安全处理设备组成在一起形成一套安全系统。在仅 需要增加接口数量时，可以采用图5所示的安全系统；在仅需要提高处理能 力可以采用图6所示的安全系统。
参见图5，图5为本发明第二实施例中安全系统的结构图，包括安全处 理设备三和安全处理设备二。其中，安全处理设备二的组成结构与对图4中 所示相同，在此不再详述。安全处理设备三中包括主控单元、扩展控制接口 单元、连接单元、以及多个接口单元，其中任意一个接口单元与连接单元相 连。安全处理设备三中的各接口单元与主控单元相连，用于向主控单元发送 包含自身处理能力的状态信息。
由于安全处理设备三中仅存在接口单元、不存在业务处理单元，因此安 全处理设备三不具备处理报文的能力，仅能接收以及发送报文。具体的信号 流可见参见该图上所示的③号信号流，以及第一实施例中对③号信号流的介 绍。另外，确定处理当前收到报文的业务处理单元的方式，与第一实施例中 介绍的技术方案相同，在此不再详述。
参见图6，图6为本发明第三实施例中安全系统的结构图，包括安全处 理设备一和安全处理设备四。其中，安全处理设备一的组成结构与对图4中 所示相同，在此不再详述。安全处理设备四中包括主控单元、扩展控制接口 单元、连接单元、以及多个业务处理单元，其中任意一个业务处理单元通过 与连接单元相连。安全处理设备四中的各业务处理单元与主控单元相连，向 主控单元发送包含自身处理能力的状态信息。
由于安全处理设备四中仅存在业务处理单元、不存在接口单元，因此安 全处理设备四不具备接收以及发送报文的能力，仅能处理报文。具体的信号 流可见参见该图上所示的②号信号流，以及第一实施例中对②号信号流的介 绍。另外，确定处理当前收到报文的业务处理单元的方式，与第一实施例中 介绍的技术方案相同，在此不再详述。
根据以上图4、 6和7的描述，本领域的技术人员不难根据本发明实施 例所提供的安全处理设备一、安全处理设备三以及安全处理设备四组成包括 三个或三个以上的各种形式的安全系统。如，由2个安全处理设备一、l个 安全处理设备二组成的安全系统；由2个安全处理设备二、1个安全处理设 备三组成的安全系统；以及2个安全处理设备一、1个安全处理设备三和1 个安全处理设备四组成的安全系统，具体组成结构在此不再详述。
另外，在本发明的技术方案中，安全处理设备中的主控单元和扩展控制 接口单元除了可以用来选择处理业务流的业务处理单元外，还可以用来对安 全处理设备中的接口单元和业务处理单元进行初始化配置，例如分配地址。 通常情况下，是由主控安全处理设备来控制整个初始化过程。
这里，确定主控安全处理设备的方法可以有两种，其中一种为，在组建 安全系统时设置作为主控安全处理设备的安全处理设备，可以通过将用于标 识安全处理设备的框号，设置为主控安全处理设备特有的框号，来提示其他 安全处理设备。比如框号为0的安全处理设备为主控安全处理设备。另外一 种为，在安全系统初始化过程种通过广播报文自携商主控安全处理设备。具 体协商的依据可以是每个安全处理设备可以各自生成一个随机数，各安全 处理设备根据随机数的大小来决定哪个安全处理设备为主控安全处理设备。
其中，安全系统内具体的配置过程可以是安全系统中各安全处理设备 在确定的自身角色之后，附属安全处理设备中的主控单元负责收集设备内各 单元物理信息，包括接口单元以及业务处理单元，并负责各单板的启动，将 收集到的物理信息发送给主控安全处理设备内的主控单元。主控安全处理设 备内的主控单元除了需要收到自身各单元的物理信息，还要接收其他各附属
安全处理设备发送的物理信息，主控安全处理设备根据收集到的物理信息获 得对应的配置信息。该获得配置信息的方法可以是交由管理员进行确定，或 者有主控安全处理设备自身生成。
另外，当该安全系统内有新的接口单元和/或业务处理单元加入时，该 接口单元和/或业务处理单元所在的安全处理设备中的主控单元收到该新加 入的接口单元和/或业务处理单元的物理信息，在自身所在安全处理设备为
主控安全处理设备时，根据物理信息得到该新加入的接口单元和/或业务处 理单元的配置信息，并将配置信息发送给当前新加入的接口单元和/或业务 处理单元进行初始化配置。在自身所在安全处理设备不为主控安全处理设备 时，将收集的物理信息发送给主控安全处理设备，将从主控安全处理设备收 到配置信息发送给当前新加入的接口单元和/或业务处理单元进行配置。当 有接口单元和/或业务处理单元拔出时，主控安全处理设备需要根据当前新 拔出的接口单元和/或业务处理单元处理的业务，生成配置信息，用于将该 业务切换到其他接口单元和/或业务处理单元处理。
本发明的安全系统可以是防火墙、IPS系统、或者其他的L4 L7网络系统。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本 发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在 本发明的保护范围之内。
权利要求
1、一种扩展安全系统的方法，其特征在于，组成所述安全系统的各安全处理设备中进一步包括连接单元；该方法包括以下步骤收到外部报文的安全处理设备，确定所在安全系统内处理所述收到报文的安全处理设备；在自身不为当前所确定的安全处理设备时，将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备，所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文，并处理该报文；在自身为当前所确定的安全处理设备时，自身处理该报文。
2、 根据权利要求1所述的方法，其特征在于，该方法进一步包括 处理所述收到报文的安全处理设备需要发送处理后报文时，将所述处理后报文作为待发送报文，根据该待发送报文的目的IP地址确定发送所述待发送报 文的安全处理设备；在自身不为当前所确定的安全处理设备时，将所述待发送报文通过自身的 连接单元发送至所确定的安全处理设备，所述所确定的安全处理设备通过自身 的连接单元接收所述待发送报文，并根据该报文的目的IP发送该报文；在自身为当前所确定的安全处理设备时，自身根据所述待发送报文的目的 IP发送该报文。
3、 根据权利要求l或2所述的方法，其特征在于，该方法进一步包括确定所述安全系统中的主控安全处理设备； 所述确定所在安全系统内处理所述收到^^艮文的安全处理设备为 当所述从外部收到的报文为流首包时，依据所述主控安全处理设备的选择，确定处理当前报文的安全处理设备，并记录所述主控安全处理设备选择的处理当前才艮文对应业务流的安全处理i殳备；当所述从外部收到的报文为非流首包时，在自身记录的安全处理设备中查找处理该报文对应业务流的安全处理设备，将查找得到的安全处理设备作为处 理当前报文的安全处理设备。
4、 根据权利要求3所述的方法，其特征在于，所述安全处理设备中包括至少一个业务处理单元；所述主控安全处理设备选择处理当前报文对应业务流的安全处理设备为 主控安全处理设备选择处理当前报文对应业务流的业务处理单元。
5、 根据权利要求3所述的方法，其特征在于，该方法进一步包括所述安全处理设备内包括扩展控制接口单元；所述主 控安全处理设备通过自身的扩展控制接口单元，接收不为主控安全处理设备的 附属安全处理设备通过各自扩展控制接口单元发送、包含各自处理能力的状态 信息；当所述从外部收到的报文为流首包时，依据所述主控安全处理设备的选择 确定处理当前报文的安全处理设备为所述从外部收到流首包的安全处理设备为主控安全处理设备时，由该安全 处理设备根据自身以及各附属安全处理设备的处理能力，为业务流选择处理其 的安全处理设备；所述从外部收到流首包的安全处理设备为附属安全处理设备时，由安全系 统中的主控安全处理设备根据自身以及各附属安全处理设备的处理能力，为业 务流选择处理其的安全处理设备，并通过自身的扩展控制接口单元向当前接收 所述流首包的安全处理设备指示处理所述流首包对应的安全处理设备；当前接 收所述流首包的安全处理设备确定，主控安全处理设备所指示的安全处理设备 为处理当前报文的安全处理设备。
6、 根据权利要求3所述的方法，其特征在于，所迷确定所述安全系统中的 主控安全处理设备为处理设备；或，根据预先的配置确定所述安全系统中的主控安全处理设备。
7、 一种安全系统，其特征在于，包括多个包含连接单元的安全处理设备； 其中，收到外部报文的安全处理设备，确定所在安全系统内处理所述收到报文的安全处理设备；在自身不为当前所确定的安全处理设备时，将当前外部身为当前所确定的安全处理设备时，自身处理该报文；所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文，并 处理该报文。
8、 根据权利要求7所述的安全系统，其特征在于， 处理所述收到报文的安全处理设备需要发送处理后报文时，将所述处理后报文作为待发送报文，根据该待发送报文的目的IP地址确定发送所述待发送报 文的安全处理设备；在自身不为当前所确定的安全处理设备时，将所述待发送 报文通过自身的连接单元发送至所确定的安全处理设备；在自身为当前所确定 的安全处理设备时，自身根据所述待发送报文的目的IP发送该报文；所述所确定的、发送所述待发送报文的安全处理设备通过自身的连接单元 接收所述待发送报文，并根据该报文的目的IP发送该报文。
9、 根据权利要求7或8所述的安全系统，其特征在于，所述安全系统内的 安全处理设备包括主控安全处理设备和附属安全处理设备；所述从外部收到报文的安全处理设备，在所述收到的报文为流首包时，依 据所述主控安全处理设备的选择，确定处理当前报文的安全处理设备、并记录 所述主控安全处理设备选择的处理当前报文对应业务流的安全处理设备；在所 述收到的报文为非流首包时，在自身记录的安全处理设备中查找处理该报文对 应业务流的安全处理设备，将查找得到的安全处理设备作为处理当前报文的安 全处理设备。
10、 根据权利要求9所述的方法，其特征在于，所述安全处理设备内进一 步包括扩展控制接口单元；所述主控安全处理设备通过自身的扩展控制接口单元，接收附属安全处理 设备通过各自扩展控制接口单元发送、包含各自处理能力的状态信息；并根据 自身以及各附属安全处理设备的处理能力，为业务流选择处理其的安全处理设 备；所述从外部收到流首包的安全处理设备在自身为主控安全处理设备时，由 自身选择处理该流首包对应业务流的安全处理设备；在自身为附属安全处理设 备时，通过扩展控制接口单元接收所述主控安全处理设备，发送的处理当前接 收报文的安全处理设备的指示。
11、 一种可用于扩展的安全处理设备，其特征在于，该设备包括连接单元、 至少一个接口单元、和至少一个业务处理单元；其中，任意一个接口单元通过 所述连接单元与任意一个业务处理单元相连；所述接口单元在收到来自所在安全系统外部的报文后，确定所在安全系统 内处理所述收到报文的业务处理单元，将所述收到报文作为待处理报文，发送 所述待处理"^艮文和描述当前所选业务处理单元的处理指示至连接单元；所述连接单元从接口单元收到所述待处理报文以及对应的处理指示；根据 所述处理指示指示的业务处理单元，在所确定的业务处理单元位于其它安全处 理设备内时，将所述待处理报文及对应的处理指示发送至所指示的业务处理单 元所在的安全处理设备，由该业务处理单元处理所述待处理报文；在所确定的 业务处理单元位于自身所在安全处理设备内时，根据所对应的处理指示将所述 待处理报文发送至所确定的业务处理单元；所述业务处理单元处理收到的待处理报文。
12、 根据权利要求11所述的设备，其特征在于，示，才艮据所述处理指示将所述待处理^^文发送至对应的业务处理单元处理。
13、 根据权利要求11所述的设备，其特征在于，所述业务处理单元需要发送处理后报文时，将所述处理后报文作为待发送 报文，并根据该待发送报文的目的IP地址确定发送所述待发送报文的接口单 元；将所述待发送报文以及描述对应接口单元的发送指示发送至所述连接单元；所述连接单元接收从业务处理单元发送的待发送报文以及发送指示，根据 所述发送指示指示的接口单元，在所指示的接口单元不在自身所在安全处理设备内时，将所述待发送报文以及发送指示发送至所指示的接口单元所在的安全 处理设备，由所确定的接口单元发送所述待发送报文；在所指示的接口单元在自身所在安全处理设备内时，将所述待发送报文发送至所指示的接口单元；所述接口单元发送收到的待发送报文。
14、 根据权利要求13所述的设备，其特征在于，示，根据所述发送指示将当前待发送报文发送至所指示的接口单元发送。
15、 根据权利要求ll、 12或13所述的设备，其特征在于，该设备进一步 包括主控单元和扩展控制接口单元；所述接口单元在所述收到报文为流首包时，请求所在安全处理设备中的主 控单元指示处理所述收到报文对应业务流的业务处理单元；将所述主控单元指 示的业务处理单元作为处理所述收到报文的业务处理单元，并记录处理该报文 对应业务流的业务处理单元；在所述收到报文为非流首包时，接口单元查找处 理该报文对应业务流的业务处理单元，将查找得到的业务处理单元作为处理当 前报文的业务处理单元；所述主控单元在自身所在安全处理设备为主控安全处理设备时，接收接口 单元发送的请求，为所述收到报文对应的业务流选择处理该业务流的业务处痤 单元、并向收到报文的接口单元指示所选业务处理单元；在自身所在安全处理 设备不为主控安全处理设备时，向所述扩展控制接口单元发送处理所述收到报 文对应业务流的请求，将从所述扩展控制接口单元返回的指示发送至接口单元；所述扩展控制接口单元向所在安全系统内的主控安全处理设备发送处理所 述收到报文对应业务流的请求；并将所述主控安全处理返回的、处理当前报文 对应业务流的指示发送至所述主控单元。
16、 根据权利要求15所述的设备，其特征在于，所述扩展控制接口单元在所在安全处理设备为主控安全处理设备时，接收 其它安全处理设备发送的选择业务处理单元的请求、并将该请求发送至所述主 控单元；接收所述主控单元返回的指示，并将该指示返回给对应的安全处理设备；所述主控单元接收从扩展控制接口单元发送的请求，为所述收到报文对应 的业务流选择处理该业务流的业务处理单元、并向所述扩展控制接口单元指示 所选业务处理单元。
17、 根据权利要求15所述的设备，其特征在于，所述业务处理单元定期向主控单元上报包含自身处理能力的状态信息； 所述主控单元在自身所在安全处理设备不为主控安全处理设备时，定期将 收到的状态信息，通过扩展控制接口单元发送给主控安全处理设备；在自身所 在安全处理设备为主控安全处理设备时，从扩展控制接口单元接收其它安全处 理设备发送的状态信息，根据所在安全系统内各业务处理单元状态信息中包含 的处理能力，选择处理当前流首包对应业务流的业务处理单元。
18、 一种可用于扩展的安全处理设备，其特征在于，该设备包括连接单元、 和至少一个接口单元；其中，任意一个接口单元与所述连接单元相连；所述接口单元在收到来自所在安全系统外部的报文后，确定所在安全系统 内处理所述收到报文的业务处理单元，将所述收到报文作为待处理报文，发送 所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元；所述连接单元从接口单元收到所述待处理报文以及对应的处理指示；根据 所述处理指示，将所述待处理"R文及对应的处理指示发送至所指示的业务处理 单元所在的安全处理设备，由该业务处理单元处理所述待处理报文。
19、 根据权利要求18所述的设备，其特征在于，i;示，根据所述发送指示将当前待发送报文发送至所指示的接口单元发送。
20、 根据权利要求18或19所述的设备，其特征在于，该设备进一步包括 主控单元和扩展控制接口单元；所述接口单元在所述收到报文为流首包时，请求所在安全处理设备中的主控单元指示，在所在安全系统中处理所述收到"^艮文对应业务流的业务处理单元； 将所述主控单元指示的业务处理单元作为处理所述收到报文的业务处理单元，并记录处理该报文对应业务流的业务处理单元；在所述收到报文为非流首包时， 接口单元查找所在安全系统内处理该报文对应业务流的业务处理单元，将查找 得到的业务处理单元作为处理当前报文的业务处理单元；所述主控单元在自身所在安全处理设备为所在安全系统中的主控安全处理 设备时，接收接口单元发送的请求，为所述收到报文对应的业务流在所在安全 系统中选择处理该业务流的业务处理单元、并向收到报文的接口单元指示所选 业务处理单元；在自身所在安全处理设备不为主控安全处理设备时，向所述扩 展控制接口单元发送处理所述收到报文对应业务流的请求，将从所述扩展控制 接口单元返回的指示发送至接口单元；所述扩展控制接口单元向所在安全系统内的主控安全处理设备发送处理所 述收到报文对应业务流的请求；并将所述主控安全处理返回的、处理当前报文 对应业务流的指示发送至所述主控单元。
21、 一种可用于扩展的安全处理设备，其特征在于，该设备包括连接单元 和至少一个业务处理单元；所述连接单元从其它安全处理设备收到待处理报文以及对应的处理指示； 根据所述处理指示指示的业务处理单元，将所述待处理报文及对应的处理指示 发送至所指示的业务处理单元；所述业务处理单元处理收到的待处理^^文。
22、 根据权利要求21所述的设备，其特征在于，所述业务处理单元需要发送处理后报文时，将所述处理后报文作为待发送 报文，并根据该待发送报文的目的IP地址确定发送所述待发送报文的接口单 元；将所述待发送报文以及描述对应接口单元的发送指示发送至所述连接单元；所述连接单元接收从业务处理单元发送的待发送报文以及发送指示，根据 所述发送指示指示的接口单元，将所述待发送报文以及发送指示发送至所指示 的接口单元所在的安全处理设备，由所确定的接口单元发送所述待发送报文。
23、 根据权利要求21或22所述的设备，其特征在于，该设备进一步包括 主控单元和扩展控制接口单元；所述业务处理单元定期向主控单元上报包含自身处理能力的状态信息； 所述主控单元在自身所在安全处理设备不为所在安全系统中的主控安全处 理设备时，定期将收到的状态信息，通过扩展控制接口单元发送给主控安全处 理设备；在自身所在安全处理设备为主控安全处理设备时，从扩展控制接口单 元接收其它安全处理设备发送的状态信息，根据所在安全系统内各业务处理单 元状态信息中包含的处理能力，选择处理当前流首包对应业务流的业务处理单 元。
全文摘要
本发明公开了一种扩展安全系统的方法，通过在组成安全系统的各安全处理设备中进一步包括连接单元；收到外部报文的安全处理设备，确定所在安全系统内处理所述收到报文的安全处理设备；在自身不为当前所确定的安全处理设备时，将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备，所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文，并处理该报文；在自身为当前所确定的安全处理设备时，自身处理该报文。另外，本发明还提供了安全系统以及安全处理设备。本发明所提供的技术方案，通过各安全处理设备之间的数据交互，实现了各安全处理设备的资源共享，从而实现真正意义上提高扩展后的安全系统的性能。
文档编号H04L29/06GK101115010SQ20071012133
公开日2008年1月30日 申请日期2007年9月4日 优先权日2007年9月4日
发明者安万全 申请人:杭州华三通信技术有限公司