CN100440774C - 硬件加密卡与网络协议栈的绑定方法 - Google Patents

硬件加密卡与网络协议栈的绑定方法 Download PDF

Info

Publication number
CN100440774C
CN100440774C CNB021281041A CN02128104A CN100440774C CN 100440774 C CN100440774 C CN 100440774C CN B021281041 A CNB021281041 A CN B021281041A CN 02128104 A CN02128104 A CN 02128104A CN 100440774 C CN100440774 C CN 100440774C
Authority
CN
China
Prior art keywords
hardware encryption
network
protocol stack
card
network protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB021281041A
Other languages
English (en)
Other versions
CN1512705A (zh
Inventor
罗俊
谭兴烈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Westone Information Industry Inc
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CNB021281041A priority Critical patent/CN100440774C/zh
Publication of CN1512705A publication Critical patent/CN1512705A/zh
Application granted granted Critical
Publication of CN100440774C publication Critical patent/CN100440774C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

本发明公开了一种在网络安全设备上利用硬件加密卡与系统的TCP/IP网络协议栈进行绑定的方法,将网络系统的TCP/IP网络协议栈作为内核线程并对应分配给在驱动程序中加入了对应内核线程启动代码的硬件加密卡,本发明能支持多个加密卡并行处理,实现密了码卡间的负载均衡,提高了IP层密码设备的效率,增强了密码机在互联网上的安全性,使密码机只有在加密卡正常运转的情况下才能收发网络数据。

Description

硬件加密卡与网络协议栈的绑定方法
技术领域:
本发明涉及网络安全技术,特别是涉及一种在网络安全设备上利用加密卡与系统的TCP/IP网络协议栈进行绑定的方法,以实现高速网络环境下的多加密卡负载均衡及对系统协议栈的控制。
背景技术:
IP层密码设备是一种对IP包进行安全处理(如IPSEC安全处理等)的密码设备,它位于需要保护的局域网的交换机与路由器之间,实现对局域网数据在广域网上传输的安全保护。由于IP层密码设备的安全处理速率受制于加密卡速率,因此,目前的IP层密码设备大多只能支持单个加密卡,其处理能力低,且由于系统的TCP/IP协议栈与硬件加密卡未建立起绑定关系,因此,IP密码机在互联网上的安全性也不是十分可靠。
发明内容:
本发明的目的旨在克服现有技术的不足,提供一种在网络安全设备上利用加密卡与系统的TCP/IP网络协议栈进行绑定的方法,以实现高速网络环境下的多加密卡间负载均衡及对系统协议栈的控制。
本发明的具体技术方案如下:
本发明的特征在于:将网络系统的TCP/IP网络协议栈作为内核线程并对应分配给在驱动程序中加入了对应内核线程启动代码的硬件加密卡。
本发明所述的内核线程是指将系统的整个网络协议栈处理成为在内核运行的一个任务即线程来对待。
本发明所述的内核网络代码与硬件加密卡启动代码一一对应,每块硬件加密卡的启动均同时启动一个内核线程。
本发明每块硬件加密卡均从系统内核中提取网络处理代码,并设置有与对应的每个内核线程唯一的ID号。
本发明所述的内核线程的同一任务队列中同时设置有多个内核线程启动代码和硬件加密卡启动代码。
本发明所述的加密卡对TCP/IP网络协议栈进行控制。
本发明所述的硬件加密卡工作方式包括单块独立工作方式和多块同时并行工作方式。
本发明所述的内核网络代码为内核线程,由net_bh()内核函数实现的,在每块加密卡启动时均启动一个内核线程,启动该内核线程是调用的加密卡的驱动程序中的kernel_threa()函数,每个线程有个唯一的ID号,与相应的硬件加密卡设备号对应,从而建立起了加密卡与系统的TCP/IP网络协议栈的绑定。
本发明所述的硬件加密卡正常运行后才启动相应线程的启动代码,并能实现密码卡间的负载均衡,大大提高了IP层密码设备的处理能力及整体加密处理效率,同时,由于系统的TCP/IP协议栈与硬件加密卡建立了绑定关系,大大地增强了密码机在互联网上的安全性,使密码机只有在加密卡正常运转的情况下才能收发网络数据。
具体实施方式:
实施例1:
本发明的特征在于:将网络系统的TCP/IP网络协议栈作为内核线程并对应分配给在驱动程序中加入了对应内核线程启动代码的硬件加密卡。
本发明所述的内核线程是指将系统的整个网络协议栈处理成为在内核运行的一个任务即线程来对待。
本发明所述的内核网络代码与硬件加密卡启动代码一一对应,每块硬件加密卡的启动均同时启动一个内核线程。
本发明每块硬件加密卡均从系统内核中提取网络处理代码,并设置有与对应的每个内核线程唯一的ID号。
本发明所述的内核线程的同一任务队列中同时设置有多个内核线程启动代码和硬件加密卡启动代码。
本发明所述的加密卡对TCP/IP网络协议栈进行控制。
本发明所述的硬件加密卡工作方式包括单块独立工作方式和多块同时并行工作方式。
实施例2:
本发明所述的内核网络代码为内核线程,在每块加密卡启动时均启动一个内核线程,其处理代码为:
kernel_threa(net_bh,(vlid*)&ssfdevid[cards_found],0),其中net_bh为从系统内核提取的网络处理代码,ssfdevid[cars_found]为相应的加密卡的ID号。每个线程有个唯一的ID号,与相应的硬件加密卡设备号对应,从而建立起了加密卡与系统的TCP/IP网络协议栈的绑定。
本发明可以支持多个加密卡并行处理,并能实现密码卡间的负载均衡,大大提高了IP层密码设备的处理能力及整体加密处理效率,同时,由于系统的TCP/IP协议栈与硬件加密卡建立起了绑定关系,大大地增强了密码机在互联网上的安全性,使密码机只有在加密卡正常运转的情况下才能收发网络数据。

Claims (3)

1、硬件加密卡与网络协议栈的绑定方法,其特征在于:将网络系统的TCP/IP网络协议栈作为内核线程,每块硬件加密卡的启动均同时启动一个内核线程,每块硬件加密卡均从系统内核中提取网络处理代码,并设置有与对应的每个内核线程唯一的ID号,内核网络代码与硬件加密卡启动代码一一对应,从而建立了加密卡与系统的TCP/IP网络协议栈的绑定。
2、根据权利要求1所述的硬件加密卡与网络协议栈的绑定方法,其特征在于:所述内核线程的同一任务队列中,同时设置有多个内核线程启动代码和硬件加密卡启动代码。
3、根据权利要求1所述的硬件加密卡与网络协议栈的绑定方法,其特征在于:所述的硬件加密卡工作方式,包括单块独立工作方式和多块同时并行工作方式。
CNB021281041A 2002-12-26 2002-12-26 硬件加密卡与网络协议栈的绑定方法 Expired - Fee Related CN100440774C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB021281041A CN100440774C (zh) 2002-12-26 2002-12-26 硬件加密卡与网络协议栈的绑定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB021281041A CN100440774C (zh) 2002-12-26 2002-12-26 硬件加密卡与网络协议栈的绑定方法

Publications (2)

Publication Number Publication Date
CN1512705A CN1512705A (zh) 2004-07-14
CN100440774C true CN100440774C (zh) 2008-12-03

Family

ID=34231226

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB021281041A Expired - Fee Related CN100440774C (zh) 2002-12-26 2002-12-26 硬件加密卡与网络协议栈的绑定方法

Country Status (1)

Country Link
CN (1) CN100440774C (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8332636B2 (en) * 2007-10-02 2012-12-11 International Business Machines Corporation Secure policy differentiation by secure kernel design
CN101291213B (zh) * 2008-05-30 2010-07-14 天栢宽带网络科技(上海)有限公司 一种阵列加密机
CN110417791A (zh) * 2019-08-02 2019-11-05 成都卫士通信息产业股份有限公司 一种密码设备及处理网络数据方法、装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006002422A (ja) * 2004-06-17 2006-01-05 Matsushita Electric Ind Co Ltd 浴室用洗い場

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006002422A (ja) * 2004-06-17 2006-01-05 Matsushita Electric Ind Co Ltd 浴室用洗い場

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
006002422A1 2006.12.01

Also Published As

Publication number Publication date
CN1512705A (zh) 2004-07-14

Similar Documents

Publication Publication Date Title
DE19741246C2 (de) Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken
CN101527716B (zh) 用于以太网接收的工业控制设备的网络安全模块
CN101179583B (zh) 一种防止用户假冒上网的方法及设备
EP1877899B1 (en) Method and system for processing packet flows, and computer program product therefor
CN101345689B (zh) 一种ip安全业务的实现方法、装置和通信设备
CN101286995B (zh) 一种远程控制方法和远程控制系统
CN1552149A (zh) 用于卸载对多个网络业务流的密码处理的技术
CN1332552A (zh) 使用本地ip地址和不可转换端口地址的局域网的网络地址转换网关
CN102291441A (zh) 一种防范SYN Flood攻击的方法及安全代理装置
CN101051891A (zh) 一种安全网关中进行安全策略统一处理的方法及装置
CN1863048B (zh) 用户与接入设备间因特网密钥交换协商方法
CN106230771A (zh) 基于多核处理器的工业控制系统工业防火墙
WO2006123443A1 (ja) データ処理システム
CN102377740A (zh) 一种工业访问控制方法及装置
CN100440774C (zh) 硬件加密卡与网络协议栈的绑定方法
CN105095765A (zh) 移动终端及其处理器系统、一种可信执行方法
CN109862045A (zh) 一种基于sdn的工业控制系统动态防御方法及装置
CN1268150C (zh) 在运营的移动无线网和终端设备之间建立连接的方法
Apiecionek et al. Multi path transmission control protocols as a security solution
CN106161386B (zh) 一种实现IPsec分流的方法和装置
CN101094235B (zh) 一种防止地址解析协议攻击的方法
CN105429975B (zh) 一种基于云终端的数据安全防御系统、方法及云终端安全系统
CN102694808A (zh) Ike远程接入的处理系统及方法
CN102404169A (zh) 一种利用内容加速卡实现内容检测的装置和方法
CN104601578A (zh) 一种攻击报文识别方法、装置及核心设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20081203

Termination date: 20151226

EXPY Termination of patent right or utility model