CN100440774C - 硬件加密卡与网络协议栈的绑定方法 - Google Patents
硬件加密卡与网络协议栈的绑定方法 Download PDFInfo
- Publication number
- CN100440774C CN100440774C CNB021281041A CN02128104A CN100440774C CN 100440774 C CN100440774 C CN 100440774C CN B021281041 A CNB021281041 A CN B021281041A CN 02128104 A CN02128104 A CN 02128104A CN 100440774 C CN100440774 C CN 100440774C
- Authority
- CN
- China
- Prior art keywords
- hardware encryption
- network
- protocol stack
- card
- network protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明公开了一种在网络安全设备上利用硬件加密卡与系统的TCP/IP网络协议栈进行绑定的方法,将网络系统的TCP/IP网络协议栈作为内核线程并对应分配给在驱动程序中加入了对应内核线程启动代码的硬件加密卡,本发明能支持多个加密卡并行处理,实现密了码卡间的负载均衡,提高了IP层密码设备的效率,增强了密码机在互联网上的安全性,使密码机只有在加密卡正常运转的情况下才能收发网络数据。
Description
技术领域:
本发明涉及网络安全技术,特别是涉及一种在网络安全设备上利用加密卡与系统的TCP/IP网络协议栈进行绑定的方法,以实现高速网络环境下的多加密卡负载均衡及对系统协议栈的控制。
背景技术:
IP层密码设备是一种对IP包进行安全处理(如IPSEC安全处理等)的密码设备,它位于需要保护的局域网的交换机与路由器之间,实现对局域网数据在广域网上传输的安全保护。由于IP层密码设备的安全处理速率受制于加密卡速率,因此,目前的IP层密码设备大多只能支持单个加密卡,其处理能力低,且由于系统的TCP/IP协议栈与硬件加密卡未建立起绑定关系,因此,IP密码机在互联网上的安全性也不是十分可靠。
发明内容:
本发明的目的旨在克服现有技术的不足,提供一种在网络安全设备上利用加密卡与系统的TCP/IP网络协议栈进行绑定的方法,以实现高速网络环境下的多加密卡间负载均衡及对系统协议栈的控制。
本发明的具体技术方案如下:
本发明的特征在于:将网络系统的TCP/IP网络协议栈作为内核线程并对应分配给在驱动程序中加入了对应内核线程启动代码的硬件加密卡。
本发明所述的内核线程是指将系统的整个网络协议栈处理成为在内核运行的一个任务即线程来对待。
本发明所述的内核网络代码与硬件加密卡启动代码一一对应,每块硬件加密卡的启动均同时启动一个内核线程。
本发明每块硬件加密卡均从系统内核中提取网络处理代码,并设置有与对应的每个内核线程唯一的ID号。
本发明所述的内核线程的同一任务队列中同时设置有多个内核线程启动代码和硬件加密卡启动代码。
本发明所述的加密卡对TCP/IP网络协议栈进行控制。
本发明所述的硬件加密卡工作方式包括单块独立工作方式和多块同时并行工作方式。
本发明所述的内核网络代码为内核线程,由net_bh()内核函数实现的,在每块加密卡启动时均启动一个内核线程,启动该内核线程是调用的加密卡的驱动程序中的kernel_threa()函数,每个线程有个唯一的ID号,与相应的硬件加密卡设备号对应,从而建立起了加密卡与系统的TCP/IP网络协议栈的绑定。
本发明所述的硬件加密卡正常运行后才启动相应线程的启动代码,并能实现密码卡间的负载均衡,大大提高了IP层密码设备的处理能力及整体加密处理效率,同时,由于系统的TCP/IP协议栈与硬件加密卡建立了绑定关系,大大地增强了密码机在互联网上的安全性,使密码机只有在加密卡正常运转的情况下才能收发网络数据。
具体实施方式:
实施例1:
本发明的特征在于:将网络系统的TCP/IP网络协议栈作为内核线程并对应分配给在驱动程序中加入了对应内核线程启动代码的硬件加密卡。
本发明所述的内核线程是指将系统的整个网络协议栈处理成为在内核运行的一个任务即线程来对待。
本发明所述的内核网络代码与硬件加密卡启动代码一一对应,每块硬件加密卡的启动均同时启动一个内核线程。
本发明每块硬件加密卡均从系统内核中提取网络处理代码,并设置有与对应的每个内核线程唯一的ID号。
本发明所述的内核线程的同一任务队列中同时设置有多个内核线程启动代码和硬件加密卡启动代码。
本发明所述的加密卡对TCP/IP网络协议栈进行控制。
本发明所述的硬件加密卡工作方式包括单块独立工作方式和多块同时并行工作方式。
实施例2:
本发明所述的内核网络代码为内核线程,在每块加密卡启动时均启动一个内核线程,其处理代码为:
kernel_threa(net_bh,(vlid*)&ssfdevid[cards_found],0),其中net_bh为从系统内核提取的网络处理代码,ssfdevid[cars_found]为相应的加密卡的ID号。每个线程有个唯一的ID号,与相应的硬件加密卡设备号对应,从而建立起了加密卡与系统的TCP/IP网络协议栈的绑定。
本发明可以支持多个加密卡并行处理,并能实现密码卡间的负载均衡,大大提高了IP层密码设备的处理能力及整体加密处理效率,同时,由于系统的TCP/IP协议栈与硬件加密卡建立起了绑定关系,大大地增强了密码机在互联网上的安全性,使密码机只有在加密卡正常运转的情况下才能收发网络数据。
Claims (3)
1、硬件加密卡与网络协议栈的绑定方法,其特征在于:将网络系统的TCP/IP网络协议栈作为内核线程,每块硬件加密卡的启动均同时启动一个内核线程,每块硬件加密卡均从系统内核中提取网络处理代码,并设置有与对应的每个内核线程唯一的ID号,内核网络代码与硬件加密卡启动代码一一对应,从而建立了加密卡与系统的TCP/IP网络协议栈的绑定。
2、根据权利要求1所述的硬件加密卡与网络协议栈的绑定方法,其特征在于:所述内核线程的同一任务队列中,同时设置有多个内核线程启动代码和硬件加密卡启动代码。
3、根据权利要求1所述的硬件加密卡与网络协议栈的绑定方法,其特征在于:所述的硬件加密卡工作方式,包括单块独立工作方式和多块同时并行工作方式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021281041A CN100440774C (zh) | 2002-12-26 | 2002-12-26 | 硬件加密卡与网络协议栈的绑定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021281041A CN100440774C (zh) | 2002-12-26 | 2002-12-26 | 硬件加密卡与网络协议栈的绑定方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1512705A CN1512705A (zh) | 2004-07-14 |
CN100440774C true CN100440774C (zh) | 2008-12-03 |
Family
ID=34231226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB021281041A Expired - Fee Related CN100440774C (zh) | 2002-12-26 | 2002-12-26 | 硬件加密卡与网络协议栈的绑定方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100440774C (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8332636B2 (en) * | 2007-10-02 | 2012-12-11 | International Business Machines Corporation | Secure policy differentiation by secure kernel design |
CN101291213B (zh) * | 2008-05-30 | 2010-07-14 | 天栢宽带网络科技(上海)有限公司 | 一种阵列加密机 |
CN110417791A (zh) * | 2019-08-02 | 2019-11-05 | 成都卫士通信息产业股份有限公司 | 一种密码设备及处理网络数据方法、装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006002422A (ja) * | 2004-06-17 | 2006-01-05 | Matsushita Electric Ind Co Ltd | 浴室用洗い場 |
-
2002
- 2002-12-26 CN CNB021281041A patent/CN100440774C/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006002422A (ja) * | 2004-06-17 | 2006-01-05 | Matsushita Electric Ind Co Ltd | 浴室用洗い場 |
Non-Patent Citations (1)
Title |
---|
006002422A1 2006.12.01 |
Also Published As
Publication number | Publication date |
---|---|
CN1512705A (zh) | 2004-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19741246C2 (de) | Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken | |
CN101527716B (zh) | 用于以太网接收的工业控制设备的网络安全模块 | |
CN101179583B (zh) | 一种防止用户假冒上网的方法及设备 | |
EP1877899B1 (en) | Method and system for processing packet flows, and computer program product therefor | |
CN101345689B (zh) | 一种ip安全业务的实现方法、装置和通信设备 | |
CN101286995B (zh) | 一种远程控制方法和远程控制系统 | |
CN1552149A (zh) | 用于卸载对多个网络业务流的密码处理的技术 | |
CN1332552A (zh) | 使用本地ip地址和不可转换端口地址的局域网的网络地址转换网关 | |
CN102291441A (zh) | 一种防范SYN Flood攻击的方法及安全代理装置 | |
CN101051891A (zh) | 一种安全网关中进行安全策略统一处理的方法及装置 | |
CN1863048B (zh) | 用户与接入设备间因特网密钥交换协商方法 | |
CN106230771A (zh) | 基于多核处理器的工业控制系统工业防火墙 | |
WO2006123443A1 (ja) | データ処理システム | |
CN102377740A (zh) | 一种工业访问控制方法及装置 | |
CN100440774C (zh) | 硬件加密卡与网络协议栈的绑定方法 | |
CN105095765A (zh) | 移动终端及其处理器系统、一种可信执行方法 | |
CN109862045A (zh) | 一种基于sdn的工业控制系统动态防御方法及装置 | |
CN1268150C (zh) | 在运营的移动无线网和终端设备之间建立连接的方法 | |
Apiecionek et al. | Multi path transmission control protocols as a security solution | |
CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
CN101094235B (zh) | 一种防止地址解析协议攻击的方法 | |
CN105429975B (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
CN102694808A (zh) | Ike远程接入的处理系统及方法 | |
CN102404169A (zh) | 一种利用内容加速卡实现内容检测的装置和方法 | |
CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081203 Termination date: 20151226 |
|
EXPY | Termination of patent right or utility model |