CN102263794B - 安全性处理方法、装置及处理芯片、网络设备 - Google Patents
安全性处理方法、装置及处理芯片、网络设备 Download PDFInfo
- Publication number
- CN102263794B CN102263794B CN 201110245563 CN201110245563A CN102263794B CN 102263794 B CN102263794 B CN 102263794B CN 201110245563 CN201110245563 CN 201110245563 CN 201110245563 A CN201110245563 A CN 201110245563A CN 102263794 B CN102263794 B CN 102263794B
- Authority
- CN
- China
- Prior art keywords
- processing
- ipsec data
- hardware encipher
- hardware
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种安全性处理方法、装置及处理芯片、网络设备,该方法包括:获得需进行安全性处理的IPsec数据的安全性处理方式;若根据安全性处理方式确定出需要对所述IPsec数据进行加密处理后进行认证处理,则获得对所述IPsec数据进行加密处理时的加密算法;根据获得的加密算法,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式;根据获得的加密算法,对所述IPsec数据进行硬件加密处理;根据确定出的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理。采用本发明技术方案,解决了现有技术中存在的对IPsec数据进行认证处理时的处理效率较低的问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种安全性处理方法、装置及处理芯片、网络设备。
背景技术
互联网协议安全性(IPsec,Internet Protocol security)是互联网工程任务组(IETF,Internet Engineering Task Force)制定的三层隧道加密协议,是一种开放标准的框架结构,使用安全性处理机制以确保在IP网络上进行保密及安全的通信。
处理芯片提供了两种对IPsec数据进行安全性处理的机制:加密处理和认证处理,对IPsec数据进行加密处理以及认证处理统称为进行安全性处理。对IPsec数据进行安全性处理时,采用的算法包括数据加密标准(DES,DataEncryption Standard)算法、先进加密标准(AES,Advanced Encryption Standard)算法以及认证(AH,Authentication)算法,其中,DES算法和AES算法为进行加密处理的算法,AH为进行认证处理的算法,此外,也可以先对IPsec数据进行加密,然后再进行认证,此时使用的算法为DES+AH或AES+AH。
由于使用软件加密方式对IPsec数据进行加密会耗费处理芯片较多的处理资源,因此现有技术一般使用硬件加密方式对IPsec数据进行加密,使用硬件认证方式对IPsec数据进行认证,处理芯片提供了对IPsec数据进行硬件加密的硬件加密单元,主要包含硬件DES单元和硬件AES单元,也提供了对IPsec数据进行硬件认证的硬件认证单元,主要为硬件信息摘要执行(MDE,MessageDigest Execution)单元,其中,硬件DES单元使用DES算法对IPsec数据进行加密,硬件AES单元使用AES算法对IPsec数据进行加密,硬件MDE单元使用AH算法对IPsec数据进行认证,硬件加密单元和硬件认证单元统称为硬件安全性处理单元。
现有技术中,对IPsec数据进行安全性处理时,是以串行的方式进行的,图1为处理原理示意图,如图2所示,其具体处理流程如下:
步骤21,处理芯片从IPsec上层处理单元中获取需进行安全性处理的IPsec数据以及对该IPsec数据进行安全性处理时的处理参数,上述处理参数包含安全性处理方式(AES、DES、AH、DES+AH或AES+AH)以及安全性处理密钥,若需要进行加密处理,则安全性处理密钥中包含加密密钥,若需要进行认证处理,则安全性处理密钥中包含认证密钥;
步骤22,处理芯片存储获取的IPsec数据,得到该IPsec数据的存储地址信息;
步骤23,处理芯片将该IPsec数据进行数据描述(PD,Packet Description)处理,生成对应的PD表,PD表中包含该IPsec数据的存储地址信息和上述处理参数(安全性处理方式以及安全性处理密钥);
步骤24,处理芯片将生成的PD表放入PD队列中;
步骤25,每个硬件加密单元(硬件AES单元和硬件DES单元可以统称为硬件加密单元)依次针对PD队列中的每个PD表,分别根据该PD表中的安全性处理方式,判断该PD表对应的IPsec数据是否需要自身进行加密处理;
步骤26,若判断出需要,则硬件加密单元从PD队列中提取出该PD表;
步骤27,硬件加密单元根据PD表中的存储地址信息,提取出对应的IPsec数据;
步骤28,硬件加密单元根据PD表中的加密密钥,对提取出的IPsec数据进行加密处理;
步骤29,硬件加密单元根据PD表中的安全性处理方式,判断该IPsec数据是否需要在加密处理之后进行认证处理,若判断结果为是,则转至步骤210,若判断结果为否,则转至步骤212;
步骤210,硬件加密单元将加密处理后的IPsec数据以及对应的PD表发送给硬件认证单元(硬件MDE单元)进行认证;
步骤211,硬件认证单元根据PD表中的认证密钥,对硬件加密单元发过来的IPsec数据进行认证;
步骤212,硬件加密单元或硬件认证单元产生一个中断,通知上层处理单元提取加密或认证后的IPsec数据;
步骤213,硬件认证单元依次针对PD队列中的每个PD表,分别根据该PD表中的安全性处理方式,判断该PD表对应的IPsec数据是否只需要进行认证处理,即判断PD表中的安全性处理方式是否为AH;
步骤214,若判断结果为是,则硬件认证单元从PD队列中提取出该PD表;
步骤215,硬件认证单元根据PD表中的存储地址信息,提取出对应的IPsec数据;
步骤216,硬件认证单元根据PD表中的认证密钥,对提取出的IPsec数据进行认证处理,然后转至步骤212。
若IPsec数据的安全性处理方式为DES+AH或AES+AH,即先对IPsec数据进行加密处理,然后再进行认证处理,则硬件加密单元对IPsec数据进行硬件加密处理后,均需要将硬件加密处理后的IPsec数据发送给硬件认证单元进行硬件认证处理,硬件认证单元依次对各硬件加密单元发过来的IPsec数据进行硬件认证处理,例如,如图3所示,IPsec数据a的安全性处理方式为AES+AH,IPsec数据b的安全性处理方式为DES+AH,硬件AES单元对IPsec数据a进行硬件加密处理之后,将加密之后的IPsec数据a发送给硬件MDE单元,硬件DES单元对IPsec数据b进行硬件加密处理之后,也将加密之后的IPsec数据b发送给硬件MDE单元,硬件MDE单元要依次针对硬件加密处理后的IPsec数据a和IPsec数据b进行硬件认证处理,从而使得对IPsec数据进行认证处理时的处理效率较低。
发明内容
本发明实施例提供一种安全性处理方法、装置及处理芯片、网络设备,用以解决现有技术中存在的对IPsec数据进行认证处理时的处理效率较低的问题。
本发明实施例技术方案如下:
一种安全性处理方法,该方法包括步骤:获得需进行安全性处理的互联网安全性IPsec数据的安全性处理方式;若根据获得的安全性处理方式确定出需要对所述IPsec数据进行加密处理后进行认证处理,则获得对所述IPsec数据进行加密处理时的加密算法;根据获得的加密算法,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式;根据获得的加密算法,对所述IPsec数据进行硬件加密处理;根据确定出的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理。
一种安全性处理装置,包括:安全性处理方式获得模块,用于获得需进行安全性处理的互联网安全性IPsec数据的安全性处理方式;认证处理确定模块,用于根据安全性处理方式获得模块获得的安全性处理方式,确定出需要对所述IPsec数据进行加密处理后进行认证处理;加密算法获得模块,用于获得对所述IPsec数据进行加密处理时的加密算法;认证处理方式确定模块,用于根据加密算法获得模块获得的加密算法,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式;加密模块,用于根据加密算法获得模块获得的加密算法,对所述IPsec数据进行硬件加密处理;认证模块,用于根据认证处理方式确定模块确定出的认证处理方式,对加密模块进行硬件加密处理后的IPsec数据进行认证处理。
一种处理芯片,包括上述安全性处理装置。
一种网络设备,包括上述处理芯片。
本发明实施例技术方案中,首先获得需进行安全性处理的IPsec数据的安全性处理方式,若根据获得的安全性处理方式确定出需要对所述IPsec数据进行加密处理后进行认证处理,则获得对所述IPsec数据进行加密处理时的加密算法,然后根据获得的加密算法,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式,根据获得的加密算法,对所述IPsec数据进行硬件加密处理,根据确定出的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理。由上可见,本发明实施例技术方案中,预先设置加密算法和认证处理方式之间的对应关系,不同的加密算法对应不同的认证处理方式,由于认证处理只是保证数据的完整性,以确保数据没有被篡改,不需要改变原有的数据,也就是说使用软件认证处理方式进行认证处理不需要耗费处理芯片较多的处理资源,因此对IPsec数据进行安全性处理时,若需要先进行加密处理然后进行认证处理,则采用硬件加密处理方式对IPsec数据进行硬件加密处理,然后再根据相应的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理,也就是说处理芯片可以在对某一IPsec数据进行软件认证处理时,对另一IPsec数据进行硬件认证处理,从而能够有效地提高对IPsec数据进行认证处理时的处理效率。
附图说明
图1为现有技术中,对IPsec数据进行安全性处理的方法原理示意图;
图2为现有技术中,对IPsec数据进行安全性处理的方法流程示意图;
图3为现有技术中,对IPsec数据进行安全性处理时的数据流向示意图;
图4为本发明实施例一中,安全性处理方法流程示意图;
图5为本发明实施例一中,对IPsec数据进行安全性处理的方法原理示意图;
图6为本发明实施例二中,对IPsec数据进行安全性处理时的数据流向示意图;
图7为本发明实施例三中,安全性处理装置结构示意图。
具体实施方式
下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。
实施例一
如图4所示,为本发明实施例一提出的安全性处理方法流程示意图,其具体处理流程如下:
步骤41,获得需进行安全性处理的IPsec数据的安全性处理方式;
处理芯片从IPsec上层处理单元中获取需进行安全性处理的IPsec数据以及对该IPsec数据进行安全性处理时的处理参数,上述处理参数包含安全性处理方式以及安全性处理密钥,若需要进行加密处理,则安全性处理密钥中包含加密密钥,若需要进行认证处理,则安全性处理密钥中包含认证密钥,若需要先进行加密处理,然后再进行认证处理,则安全性处理密钥中既包含加密密钥,也包含认证密钥。
其中,IPsec数据的安全性处理方式可以但不限于包含AES(只采用AES算法对IPsec数据进行加密处理)、DES(只采用DES算法对IPsec数据进行加密处理)、AH(只采用AH算法对IPsec数据进行认证处理)、DES+AH(采用DES算法对IPsec数据进行加密处理后,采用AH算法对IPsec数据进行认证处理)或AES+AH(采用AES算法对IPsec数据进行加密处理后,采用AH算法对IPsec数据进行认证处理)。
处理芯片存储获取到的IPsec数据,得到该IPsec数据的存储地址信息。
步骤42,若根据获得的安全性处理方式确定出需要对所述IPsec数据进行加密处理后进行认证处理,则获得对所述IPsec数据进行加密处理时的加密算法;
若IPsec数据的安全性处理方式为AES或DES,则可以确定出只需要对该IPsec数据进行加密处理,若IPsec数据的安全性处理方式为AH,则可以确定出只需要对该IPsec数据进行认证处理,若IPsec数据的安全性处理方式为DES+AH或AES+AH,则可以确定出需要对该IPsec数据进行加密处理后进行认证处理。
根据IPsec数据的安全性处理方式,还可以进一步确定对IPsec数据进行加密处理时的加密算法,例如,若获得的安全性处理方式为DES+AH,则可以确定出对IPsec数据进行加密处理时的加密算法为DES算法,若获得的安全性处理方式为AES+AH,则可以确定出对IPsec数据进行加密处理时的加密算法为AES算法。
步骤43,根据获得的加密算法,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式;
其中,对IPsec数据进行加密处理时的加密处理方式包括软件加密处理方式和硬件加密处理方式,对IPsec数据进行认证处理时的认证处理方式包括软件认证处理方式和硬件认证处理方式。
现有技术中,若需要先对IPsec数据进行加密处理,然后再进行认证处理,则硬件加密单元对IPsec数据进行硬件加密处理之后,直接将硬件加密处理后的IPsec数据发送给硬件认证单元(硬件MDE单元)进行硬件认证,因此硬件认证单元需要依次对各硬件加密单元发过来的IPsec数据进行硬件认证处理,从而降低了对IPsec数据进行认证处理时的处理效率,对此,本发明实施例一提出,预先设置加密算法和认证处理方式之间的对应关系,不同的加密算法对应不同的认证处理方式,例如,AES算法对应的认证处理方式为软件认证处理方式,DES算法对应的认证处理方式为硬件认证处理方式,安全性处理方式为AES+AH的IPsec数据,由软件认证单元(软件MDE单元)对硬件加密处理后的IPsec数据进行软件认证处理,安全性处理方式为DES+AH的IPsec数据,由硬件认证单元对硬件加密处理后的IPsec数据进行硬件认证处理,由于认证处理只是保证数据的完整性,以确保数据没有被篡改,不需要改变原有的数据,也就是说使用软件认证处理方式进行认证处理不需要耗费处理芯片较多的处理资源,因此可以由软件认证单元对一部分IPsec数据进行软件认证处理,由硬件认证单元对另一部分IPsec数据进行硬件认证处理,由于软件认证单元和硬件认证单元可以并行的对IPsec数据进行认证处理,因此能够有效地提高对IPsec数据进行认证处理时的处理效率。
本发明实施例一中,处理芯片在获得对IPsec数据进行加密处理时的加密算法之后,根据获得的加密算法,在预设的加密算法和认证处理方式之间的对应关系中,确定对所述IPsec数据进行认证处理时的认证处理方式。
步骤44,根据获得的加密算法,对所述IPsec数据进行硬件加密处理;
若步骤42根据获得的安全性处理方式确定出需要对所述IPsec数据进行加密处理后进行认证处理,则处理芯片对IPsec数据进行硬件加密处理之前,先获得IPsec数据的硬件加密处理信息,其中,所述硬件加密处理信息中携带有所述IPsec数据的存储地址信息和对所述IPsec数据进行硬件加密处理所需的加密密钥,然后将获得的硬件加密处理信息放入所述IPsec数据的加密算法(DES算法或AES算法)对应的硬件加密处理队列中,硬件加密单元对IPsec数据进行硬件加密处理时,从对应的硬件加密处理队列中依次提取出各硬件加密处理信息,针对提取出的硬件加密处理信息,分别根据该硬件加密处理信息中携带的存储地址信息,提取出对应的IPsec数据,以及根据该硬件加密处理信息中携带的加密密钥,采用对应的加密算法,对提取出的IPsec数据进行相应的硬件加密处理。
较佳地,可以但不限于根据放入硬件加密处理队列的时间点由先到后的顺序,从所述硬件加密处理队列中依次提取出各硬件加密处理信息。
若步骤42根据获得的安全性处理方式确定出只需要对所述IPsec数据进行加密处理,则处理芯片获得对所述IPsec数据进行加密处理时的加密算法,然后获得该IPsec数据的硬件加密处理信息(包括存储地址信息和加密密钥),将获得的硬件加密处理信息放入与获得的加密算法对应的硬件加密处理队列中,与获得的加密算法对应的硬件加密单元对该IPsec数据进行硬件加密处理时,根据放入硬件加密处理队列的时间点由先到后的顺序,从对应的硬件加密处理队列中依次提取出各硬件加密处理信息,然后针对提取出的硬件加密处理信息,分别根据该硬件加密处理信息中携带的存储地址信息,提取出对应的IPsec数据,以及根据该硬件加密处理信息中携带的加密密钥,采用相应的加密算法对提取出的IPsec数据进行相应的硬件加密处理。
若步骤42根据获得的安全性处理方式确定出只需要对所述IPsec数据进行认证处理,则处理芯片获得该IPsec数据的硬件认证处理信息(包括存储地址信息和认证密钥),将获得的硬件认证处理信息放入硬件认证处理队列中,硬件认证单元对该IPsec数据进行硬件认证处理时,根据放入硬件认证处理队列的时间点由先到后的顺序,从对应的硬件认证处理队列中依次提取出各硬件认证处理信息,然后针对提取出的硬件认证处理信息,分别根据该硬件认证处理信息中携带的存储地址信息,提取出对应的IPsec数据,以及根据该硬件认证处理信息中携带的认证密钥,对提取出的IPsec数据进行相应的硬件认证处理。
其中,上述硬件加密处理信息和硬件认证处理信息可以但不限于为PD表,处理芯片在对IPsec数据进行硬件加密处理或硬件认证处理之前,先对该IPsec数据进行PD处理,生成对应的PD表,该PD表中包含该IPsec数据的存储地址信息和对该IPsec数据进行硬件加密处理所需的加密密钥或对该IPsec数据进行硬件认证处理时所需的认证密钥。
在现有技术中,硬件加密单元和硬件认证单元对应同一个PD队列,因此每个硬件加密单元和硬件认证单元需要依次针对该PD队列中的每个PD表,分别根据该PD表中的安全性处理方式,判断该PD表对应的IPsec数据是否需要自身进行加密处理或认证处理,如图2所示,IPsec数据a的安全性处理方式为AES+AH,对应的硬件加密单元是硬件AES单元,IPsec数据b的安全性处理方式为DES+AH,对应的硬件加密单元是硬件DES单元,在PD队列中,IPsec数据a排在IPsec数据b之前,因此各硬件加密单元和硬件认证单元要先根据IPsec数据a的PD表中的安全性处理方式,判断IPsec数据a是否需要自身进行加密或认证处理,在硬件AES单元提取出该IPsec数据a进行硬件加密处理之后,各硬件加密单元和硬件认证单元再根据IPsec数据b的PD表中的安全性处理方式,判断IPsec数据b是否需要自身进行加密或认证处理,当硬件AES单元还未提取出IPsec数据a进行硬件加密处理时,硬件DES单元就会因为提取不到IPsec数据b而处于闲置状态。由此可见,现有技术中当IPsec数据的安全性处理方式为DES、AES或AH时,硬件DES单元、硬件AES单元和硬件MDE单元需要串行的进行加密处理及认证处理,若每个硬件加密单元和硬件认证单元的处理速率为1Gbps,那么此时处理芯片对IPsec数据进行安全性处理的处理速率就不大于1Gbps,从而使得对IPsec数据进行安全性处理的处理效率较低,同理,当IPsec数据的安全性处理方式为DES+AH或AES+AH时,硬件DES单元和硬件AES单元需要串行的进行加密处理,处理芯片对IPsec数据进行安全性处理的处理速率也不大于1Gbps,使得对IPsec数据进行安全性处理的处理效率较低。
针对上述问题,本发明实施例一提出,各硬件加密单元和硬件认证单元并行的对IPsec数据进行加密处理或认证处理,每个硬件加密单元分别对应一个硬件加密处理队列,硬件认证单元对应一个硬件认证处理队列,处理芯片首先对该IPsec数据进行PD处理,得到对应的PD表,然后将生成的PD表放入对应的硬件加密处理队列或硬件认证处理队列中,例如,IPsec数据的安全性处理方式为DES时,将生成的PD表放入硬件DES单元对应的硬件加密处理队列中,IPsec数据的安全性处理方式为AES时,将生成的PD表放入硬件AES单元对应的硬件加密处理队列中,IPsec数据的安全性处理方式为AH时,将生成的PD表放入硬件MDE单元对应的硬件认证处理队列中,IPsec数据的安全性处理方式为AES+AH时,将生成的PD表放入硬件AES单元对应的硬件加密处理队列中,IPsec数据的安全性处理方式为DES+AH时,将生成的PD表放入硬件DES单元对应的硬件加密处理队列中,各硬件加密单元根据放入硬件加密处理队列的时间点由先到后的顺序,从对应的硬件加密处理队列中依次提取出各PD表,然后针对提取出的PD表,分别根据该PD表中携带的存储地址信息,提取出对应的IPsec数据,然后根据该PD表中携带的加密密钥,采用相应的加密算法对提取出的IPsec数据进行相应的硬件加密处理,各硬件认证单元根据放入硬件认证处理队列的时间点由先到后的顺序,从对应的硬件认证处理队列中依次提取出各PD表,然后针对提取出的PD表,分别根据该PD表中携带的存储地址信息,提取出对应的IPsec数据,然后根据该PD表中携带的认证密钥,对提取出的IPsec数据进行相应的硬件认证处理。由于本发明实施例一中,各硬件加密单元和硬件认证单元并行的对IPsec数据进行加密处理或认证处理,若每个硬件加密单元和硬件认证单元的处理速率为1Gbps,那么此时处理芯片对IPsec数据进行安全性处理的处理速率最大能够达到3Gbps,从而有效地提高了对IPsec数据进行安全性处理的处理效率。
步骤45,根据确定出的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理。
本发明实施例一中,若步骤42根据获得的安全性处理方式确定出只需要对所述IPsec数据进行加密处理(AES或DES)或只需要对所述IPsec数据进行认证处理(AH),则IPsec数据的硬件加密处理信息或硬件认证处理信息中还携带有该IPsec数据的安全性处理方式,相应的硬件加密单元完成硬件加密处理后或相应的硬件认证单元完成硬件认证处理后,根据该IPsec数据的安全性处理方式,确定出不需要再对该IPsec数据进行其它处理,此时可以由相应的硬件加密单元或相应的硬件认证单元产生一个中断,通知上层处理单元提取硬件加密处理后的IPsec数据或硬件认证处理后的IPsec数据,从而完成了对IPsec数据的安全性处理。
若步骤42根据获得的安全性处理方式确定出需要对所述IPsec数据进行加密处理后进行认证处理(AES+AH或DES+AH),则IPsec数据的硬件加密处理信息中不仅携带有该IPsec数据的安全性处理方式,还需要携带有确定出的认证处理方式对应的方式标识,相应的硬件加密单元完成硬件加密处理后,根据该IPsec数据的硬件加密处理信息中携带的安全性处理方式,确定需要对硬件加密处理后的IPsec数据进行认证处理,若该IPsec数据的硬件加密处理信息中携带的方式标识为硬件认证处理方式对应的方式标识,则处理芯片对硬件加密处理后的IPsec数据进行硬件认证处理,若该IPsec数据的硬件加密处理信息中携带的方式标识为软件认证处理方式对应的方式标识,则对硬件加密处理后的IPsec数据进行软件认证处理。
其中,若该IPsec数据的硬件加密处理信息中携带的方式标识为硬件认证处理方式对应的方式标识,则相应的硬件加密单元将该IPsec数据的认证密钥携带在该IPsec数据的硬件加密处理信息中,然后将硬件加密处理后的IPsec数据以及该IPsec数据的硬件加密处理信息发送给硬件认证单元,由硬件认证单元进行硬件认证处理,硬件认证单元根据硬件加密处理信息中携带的认证密钥,对硬件加密处理后的IPsec数据进行硬件认证处理,完成硬件认证处理之后,根据该IPsec数据的安全性处理方式,确定出不需要再对该IPsec数据进行其它处理,此时可以由该硬件认证单元产生一个中断,通知上层处理单元提取硬件认证处理后的IPsec数据,从而完成了对IPsec数据的安全性处理。
若该IPsec数据的硬件加密处理信息中携带的方式标识为软件认证处理方式对应的方式标识,则处理芯片先获得该IPsec数据的软件认证处理信息,所述软件认证处理信息中携带有硬件加密处理后的IPsec数据的存储地址信息和对所述IPsec数据进行认证处理所需的认证密钥,然后将获得的软件认证处理信息放入软件认证处理队列中,对加密处理后的IPsec数据进行软件认证处理时,先从所述软件认证处理队列中依次提取出各软件认证处理信息,然后针对提取出的软件认证处理信息,分别根据该软件认证处理信息中携带的存储地址信息,提取出硬件加密处理后的IPsec数据,以及根据该软件认证处理信息中携带的认证密钥,对提取出的硬件加密后的IPsec数据进行软件认证处理。
较佳地,处理芯片可以但不限于根据放入软件认证处理队列的时间点由先到后的顺序,从软件认证处理队列中依次提取出各软件认证处理信息。
其中,上述软件认证处理信息可以但不限于为成员数据队列(HPQ,HandedPacket Queue)表,处理芯片在对IPsec数据进行软件认证处理之前,先对硬件加密处理后的IPsec数据进行HPQ处理,生成对应的HPQ表,该HPQ表中包含硬件加密处理后的IPsec数据的存储地址信息和对该IPsec数据进行软件认证处理所需的认证密钥,然后将该HPQ表放入软件认证处理队列中,软件认证单元按照放入软件认证处理队列中的时间点由先到后的顺序,依次提取出各HPQ表,根据该HPQ表中携带的存储地址信息,提取出硬件加密处理后的IPsec数据,然后根据该HPQ表中携带的认证密钥,对提取出的IPsec数据进行软件认证处理,然后将完成软件认证处理的IPsec数据发送给上层处理单元,从而完成了对IPsec数据的安全性处理。
此外,IPsec数据的软件认证处理信息中还可以携带有确定出的认证处理方式对应的方式标识,处理芯片根据该软件认证处理信息中携带的认证密钥,对提取出的硬件加密后的IPsec数据进行软件认证处理之前,还包括确定提取出的该软件认证处理信息中携带的方式标识为软件认证处理对应的方式标识。
若步骤42根据获得的安全性处理方式确定出只需要对所述IPsec数据进行加密处理(AES或DES)或只需要对所述IPsec数据进行认证处理(AH),则相应的硬件加密单元完成硬件加密处理后或相应的硬件认证单元完成硬件认证处理后,根据该IPsec数据的安全性处理方式,确定出不需要再对该IPsec数据进行其它处理,则还可以先对硬件加密处理后的IPsec数据进行HPQ处理,生成对应的HPQ表,该HPQ表中包含硬件加密处理后的IPsec数据的存储地址信息,然后将该HPQ表放入软件认证处理队列中,软件认证单元按照放入软件认证处理队列中的时间点由先到后的顺序,依次提取出各HPQ表,根据提取出的HPQ表中携带的存储地址信息,提取出硬件加密处理或硬件认证处理后的IPsec数据,然后确定出提取出的HPQ表中未携带有软件认证处理方式对应的方式标识,软件认证单元直接将提取出的IPsec数据发送给上层处理单元,从而完成了对IPsec数据的安全性处理;
若步骤42根据获得的安全性处理方式确定出对IPsec数据进行加密处理后进行认证处理(AES+AH或DES+AH),且认证处理方式为硬件认证处理方式,则硬件认证单元完成硬件认证处理后,根据该IPsec数据的安全性处理方式,确定出不需要再对该IPsec数据进行其它处理,则对硬件认证处理后的IPsec数据进行HPQ处理,生成对应的HPQ表,该HPQ表中包含硬件认证处理后的IPsec数据的存储地址信息和硬件认证处理方式对应的方式标识,然后将该HPQ表放入软件认证处理队列中,软件认证单元按照放入软件认证处理队列中的时间点由先到后的顺序,依次提取出各HPQ表,根据提取出的HPQ表中携带的存储地址信息,提取出硬件认证处理后的IPsec数据,然后确定出提取出的HPQ表中未携带有软件认证处理方式对应的方式标识,软件认证单元直接将提取出的IPsec数据发送给上层处理单元,从而完成了对IPsec数据的安全性处理。
图5为本发明实施例一中,对IPsec数据进行安全性处理的原理示意图。
由上述处理过程可知,本发明实施例一技术方案中,首先获得需进行安全性处理的IPsec数据的安全性处理方式,若根据获得的安全性处理方式确定出需要对所述IPsec数据进行加密处理后进行认证处理,则获得对所述IPsec数据进行加密处理时的加密算法,然后根据获得的加密算法,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式,根据获得的加密算法,对所述IPsec数据进行硬件加密处理,根据确定出的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理。由上可见,本发明实施例一技术方案中,预先设置加密算法和认证处理方式之间的对应关系,不同的加密算法对应不同的认证处理方式,由于认证处理只是保证数据的完整性,以确保数据没有被篡改,不需要改变原有的数据,也就是说使用软件认证处理方式进行认证处理不需要耗费处理芯片较多的处理资源,因此对IPsec数据进行安全性处理时,若需要先进行加密处理然后进行认证处理,则采用硬件加密处理方式对IPsec数据进行硬件加密处理,然后再根据相应的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理,也就是说处理芯片可以在对某一IPsec数据进行软件认证处理时,对另一IPsec数据进行硬件认证处理,从而能够有效地提高对IPsec数据进行认证处理时的处理效率。
下面给出更为具体的实施方式。
实施例二
如图6所示,IPsec数据a的安全性处理方式为AES+AH,IPsec数据b的安全性处理方式为DES+AH,其中,AES算法对应的认证处理方式为软件认证处理方式,DES算法对应的认证处理方式为硬件认证处理方式。处理芯片对IPsec数据a进行PD处理后,得到对应的PD表,然后将IPsec数据a的PD表放入硬件AES单元对应的硬件加密处理队列中,硬件AES单元按照放入硬件加密处理队列中的时间点由先到后的顺序,依次从硬件加密处理队列中提取出PD表,然后针对提取出的PD表对应的IPsec数据进行硬件加密处理,处理完成后,对硬件加密处理后的IPsec数据进行HPQ处理,生成对应的HPQ表,然后将该HPQ表放入软件认证处理队列中,软件MDE单元按照放入软件认证处理队列中的时间点由先到后的顺序,依次从软件认证处理队列中提取出HPQ表,然后针对提取出的HPQ表对应的IPsec数据进行软件认证处理;处理芯片对IPsec数据b进行PD处理后,得到对应的PD表,然后将IPsec数据b的PD表放入硬件DES单元对应的硬件加密处理队列中,硬件DES单元按照放入硬件加密处理队列中的时间点由先到后的顺序,依次从硬件加密处理队列中提取出PD表,然后针对提取出的PD表对应的IPsec数据进行硬件加密处理,处理完成后,将硬件加密处理后的IPsec数据发送给硬件MDE单元,硬件MDE单元对IPsec数据b进行硬件认证处理。
实施例三
本发明实施例三提供一种安全性处理装置,其结构如图7所示,包括:
安全性处理方式获得模块71,用于获得需进行安全性处理的IPsec数据的安全性处理方式;
认证处理确定模块72,用于根据安全性处理方式获得模块71获得的安全性处理方式,确定出需要对所述IPsec数据进行加密处理后进行认证处理;
加密算法获得模块73,用于获得对所述IPsec数据进行加密处理时的加密算法;
认证处理方式确定模块74,用于根据加密算法获得模块73获得的加密算法,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式;
加密模块75,用于根据加密算法获得模块73获得的加密算法,对所述IPsec数据进行硬件加密处理;
认证模块76,用于根据认证处理方式确定模块74确定出的认证处理方式,对加密模块75进行硬件加密处理后的IPsec数据进行认证处理。
较佳地,认证处理方式确定模块74,具体用于根据加密算法获得模块73获得的加密算法,在预设的加密算法和认证处理方式之间的对应关系中,确定对所述IPsec数据进行认证处理时的认证处理方式。
较佳地,所述安全性处理装置还包括:
加密处理信息获得模块,用于获得所述IPsec数据的硬件加密处理信息,所述硬件加密处理信息中携带有所述IPsec数据的存储地址信息和对所述IPsec数据进行硬件加密处理所需的加密密钥;
加密处理信息放入模块,用于将加密处理信息获得模块获得的硬件加密处理信息放入所述IPsec数据的加密算法对应的硬件加密处理队列中;
加密模块75,具体用于从所述硬件加密处理队列中依次提取出各硬件加密处理信息,针对提取出的硬件加密处理信息,分别根据该硬件加密处理信息中携带的存储地址信息,提取出对应的IPsec数据,根据该硬件加密处理信息中携带的加密密钥,采用该硬件加密处理队列对应的加密算法,对提取出的IPsec数据进行相应的硬件加密处理。
更佳地,加密模块75,具体用于根据放入硬件加密处理队列的时间点由先到后的顺序,从所述硬件加密处理队列中依次提取出各硬件加密处理信息。
更佳地,加密处理信息获得模块获得的所述IPsec数据的硬件加密处理信息中还携带有所述IPsec数据的安全性处理方式以及确定出的认证处理方式对应的方式标识;
认证模块76具体包括:
认证处理确定单元,用于根据所述IPsec数据的硬件加密处理信息中携带的安全性处理方式,确定需要对硬件加密处理后的IPsec数据进行认证处理;
硬件认证单元,用于在所述IPsec数据的硬件加密处理信息中携带的方式标识为硬件认证处理方式对应的方式标识时,对硬件加密处理后的IPsec数据进行硬件认证处理;
软件认证单元,用于在所述IPsec数据的硬件加密处理信息中携带的方式标识为软件认证处理方式对应的方式标识时,对硬件加密处理后的IPsec数据进行软件认证处理。
更佳地,所述安全性处理装置还包括:
认证处理信息获得模块,用于在软件认证单元对硬件加密处理后的IPsec数据进行软件认证处理之前,获得所述IPsec数据的软件认证处理信息,所述软件认证处理信息中携带有硬件加密处理后的IPsec数据的存储地址信息和对所述IPsec数据进行认证处理所需的认证密钥;
认证处理信息放入模块,用于将认证处理信息获得模块获得的软件认证处理信息放入软件认证处理队列中;
软件认证单元,具体用于从所述软件认证处理队列中依次提取出各软件认证处理信息,针对提取出的软件认证处理信息,分别根据该软件认证处理信息中携带的存储地址信息,提取出硬件加密处理后的IPsec数据,以及根据该软件认证处理信息中携带的认证密钥,对提取出的硬件加密后的IPsec数据进行软件认证处理。
更佳地,所述IPsec数据的软件认证处理信息中还携带有确定出的认证处理方式对应的方式标识;
软件认证单元,还用于在根据该软件认证处理信息中携带的认证密钥,对提取出的硬件加密后的IPsec数据进行软件认证处理之前,确定提取出的该软件认证处理信息中携带的方式标识为软件认证处理方式对应的方式标识。
较佳地,软件认证单元,具体用于根据放入软件认证处理队列的时间点由先到后的顺序,从所述软件认证处理队列中依次提取出各软件认证处理信息。
本发明实施例还提供一种处理芯片,至少包括上述安全性处理装置。
本发明实施例还提供一种网络设备,至少包括上述处理芯片,其中,该网络设备可以但不限于为路由器、交换机等设备。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种安全性处理方法,其特征在于,包括:
获得需进行安全性处理的互联网安全性IPsec数据的安全性处理方式;
若根据获得的安全性处理方式确定出需要对所述IPsec数据进行加密处理后进行认证处理,则获得对所述IPsec数据进行加密处理时的加密算法;
根据获得的加密算法,在预设的加密算法和认证处理方式之间的对应关系中,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式;
根据获得的加密算法,对所述IPsec数据进行硬件加密处理;
根据确定出的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理。
2.如权利要求1所述的安全性处理方法,其特征在于,根据获得的加密算法,对所述IPsec数据进行硬件加密处理之前,还包括:
获得所述IPsec数据的硬件加密处理信息,所述硬件加密处理信息中携带有所述IPsec数据的存储地址信息和对所述IPsec数据进行硬件加密处理所需的加密密钥;
将获得的硬件加密处理信息放入所述IPsec数据的加密算法对应的硬件加密处理队列中;
根据获得的加密算法,对所述IPsec数据进行硬件加密处理,具体包括:
从所述硬件加密处理队列中依次提取出各硬件加密处理信息;
针对提取出的硬件加密处理信息,分别根据该硬件加密处理信息中携带的存储地址信息,提取出对应的IPsec数据;以及
根据该硬件加密处理信息中携带的加密密钥,采用该硬件加密处理队列对应的加密算法,对提取出的IPsec数据进行相应的硬件加密处理。
3.如权利要求2所述的安全性处理方法,其特征在于,所述IPsec数据的硬件加密处理信息中还携带有所述IPsec数据的安全性处理方式以及确定出的认证处理方式对应的方式标识;
根据确定出的认证处理方式,对硬件加密处理后的IPsec数据进行认证处理,具体包括:
根据所述IPsec数据的硬件加密处理信息中携带的安全性处理方式,确定需要对硬件加密处理后的IPsec数据进行认证处理;
若所述IPsec数据的硬件加密处理信息中携带的方式标识为硬件认证处理方式对应的方式标识,则对硬件加密处理后的IPsec数据进行硬件认证处理;
若所述IPsec数据的硬件加密处理信息中携带的方式标识为软件认证处理方式对应的方式标识,则对硬件加密处理后的IPsec数据进行软件认证处理。
4.如权利要求3所述的安全性处理方法,其特征在于,对硬件加密处理后的IPsec数据进行软件认证处理之前,还包括:
获得所述IPsec数据的软件认证处理信息,所述软件认证处理信息中携带有硬件加密处理后的IPsec数据的存储地址信息和对所述IPsec数据进行认证处理所需的认证密钥;
将获得的软件认证处理信息放入软件认证处理队列中;
对加密处理后的IPsec数据进行软件认证处理,具体包括:
从所述软件认证处理队列中依次提取出各软件认证处理信息;
针对提取出的软件认证处理信息,分别根据该软件认证处理信息中携带的存储地址信息,提取出硬件加密处理后的IPsec数据;以及
根据该软件认证处理信息中携带的认证密钥,对提取出的硬件加密后的IPsec数据进行软件认证处理。
5.如权利要求4所述的安全性处理方法,其特征在于,所述IPsec数据的软件认证处理信息中还携带有确定出的认证处理方式对应的方式标识;
根据该软件认证处理信息中携带的认证密钥,对提取出的硬件加密后的IPsec数据进行软件认证处理之前,还包括:
确定提取出的该软件认证处理信息中携带的方式标识为软件认证处理方式对应的方式标识。
6.一种安全性处理装置,其特征在于,包括:
安全性处理方式获得模块,用于获得需进行安全性处理的互联网安全性IPsec数据的安全性处理方式;
认证处理确定模块,用于根据安全性处理方式获得模块获得的安全性处理方式,确定出需要对所述IPsec数据进行加密处理后进行认证处理;
加密算法获得模块,用于获得对所述IPsec数据进行加密处理时的加密算法;
认证处理方式确定模块,用于根据加密算法获得模块获得的加密算法,在预设的加密算法和认证处理方式之间的对应关系中,确定对所述IPsec数据进行认证处理时的认证处理方式,认证处理方式包括软件认证处理方式和硬件认证处理方式;
加密模块,用于根据加密算法获得模块获得的加密算法,对所述IPsec数据进行硬件加密处理;
认证模块,用于根据认证处理方式确定模块确定出的认证处理方式,对加密模块进行硬件加密处理后的IPsec数据进行认证处理。
7.如权利要求6所述的安全性处理装置,其特征在于,还包括:
加密处理信息获得模块,用于获得所述IPsec数据的硬件加密处理信息,所述硬件加密处理信息中携带有所述IPsec数据的存储地址信息和对所述IPsec数据进行硬件加密处理所需的加密密钥;
加密处理信息放入模块,用于将加密处理信息获得模块获得的硬件加密处理信息放入所述IPsec数据的加密算法对应的硬件加密处理队列中;
加密模块,具体用于从所述硬件加密处理队列中依次提取出各硬件加密处理信息,针对提取出的硬件加密处理信息,分别根据该硬件加密处理信息中携带的存储地址信息,提取出对应的IPsec数据,根据该硬件加密处理信息中携带的加密密钥,采用该硬件加密处理队列对应的加密算法,对提取出的IPsec数据进行相应的硬件加密处理。
8.如权利要求7所述的安全性处理装置,其特征在于,加密处理信息获得模块获得的所述IPsec数据的硬件加密处理信息中还携带有所述IPsec数据的安全性处理方式以及确定出的认证处理方式对应的方式标识;
认证模块具体包括:
认证处理确定单元,用于根据所述IPsec数据的硬件加密处理信息中携带的安全性处理方式,确定需要对硬件加密处理后的IPsec数据进行认证处理;
硬件认证单元,用于在所述IPsec数据的硬件加密处理信息中携带的方式标识为硬件认证处理方式对应的方式标识时,对硬件加密处理后的IPsec数据进行硬件认证处理;
软件认证单元,用于在所述IPsec数据的硬件加密处理信息中携带的方式标识为软件认证处理方式对应的方式标识时,对硬件加密处理后的IPsec数据进行软件认证处理。
9.如权利要求8所述的安全性处理装置,其特征在于,还包括:
认证处理信息获得模块,用于在软件认证单元对硬件加密处理后的IPsec数据进行软件认证处理之前,获得所述IPsec数据的软件认证处理信息,所述软件认证处理信息中携带有硬件加密处理后的IPsec数据的存储地址信息和对所述IPsec数据进行认证处理所需的认证密钥;
认证处理信息放入模块,用于将认证处理信息获得模块获得的软件认证处理信息放入软件认证处理队列中;
软件认证单元,具体用于从所述软件认证处理队列中依次提取出各软件认证处理信息,针对提取出的软件认证处理信息,分别根据该软件认证处理信息中携带的存储地址信息,提取出硬件加密处理后的IPsec数据,以及根据该软件认证处理信息中携带的认证密钥,对提取出的硬件加密后的IPsec数据进行软件认证处理。
10.如权利要求9所述的安全性处理装置,其特征在于,所述IPsec数据的软件认证处理信息中还携带有确定出的认证处理方式对应的方式标识;
软件认证单元,还用于在根据该软件认证处理信息中携带的认证密钥,对提取出的硬件加密后的IPsec数据进行软件认证处理之前,确定提取出的该软件认证处理信息中携带的方式标识为软件认证处理方式对应的方式标识。
11.一种处理芯片,其特征在于,包括上述权利要求6~10任一权利要求所述的安全性处理装置。
12.一种网络设备,其特征在于,包括权利要求11所述的处理芯片。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110245563 CN102263794B (zh) | 2011-08-25 | 2011-08-25 | 安全性处理方法、装置及处理芯片、网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110245563 CN102263794B (zh) | 2011-08-25 | 2011-08-25 | 安全性处理方法、装置及处理芯片、网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102263794A CN102263794A (zh) | 2011-11-30 |
| CN102263794B true CN102263794B (zh) | 2013-10-23 |
Family
ID=45010248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110245563 Active CN102263794B (zh) | 2011-08-25 | 2011-08-25 | 安全性处理方法、装置及处理芯片、网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102263794B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187198B (zh) * | 2015-08-25 | 2018-05-18 | 东南大学 | 一种用于IPSec协议下的AES算法硬件实现装置 |
| CN106790221B (zh) * | 2017-01-11 | 2020-11-03 | 京信通信系统(中国)有限公司 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
| CN110535834B (zh) * | 2019-08-09 | 2021-11-09 | 苏州浪潮智能科技有限公司 | 一种网络安全IPsec的加速处理方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1607511A (zh) * | 2003-10-14 | 2005-04-20 | 联想(北京)有限公司 | 数据保护方法及保护系统 |
| CN101465727A (zh) * | 2008-12-17 | 2009-06-24 | 成都市华为赛门铁克科技有限公司 | 一种保证通信安全的方法、网络设备、装置和通信系统 |
-
2011
- 2011-08-25 CN CN 201110245563 patent/CN102263794B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1607511A (zh) * | 2003-10-14 | 2005-04-20 | 联想(北京)有限公司 | 数据保护方法及保护系统 |
| CN101465727A (zh) * | 2008-12-17 | 2009-06-24 | 成都市华为赛门铁克科技有限公司 | 一种保证通信安全的方法、网络设备、装置和通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102263794A (zh) | 2011-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shah et al. | Authentication of IoT device and IoT server using secure vaults | |
| EP3529965B1 (en) | System and method for configuring a wireless device for wireless network access | |
| CN102571702B (zh) | 物联网中的密钥生成方法、系统和设备 | |
| CN101917270B (zh) | 一种基于对称密码的弱认证和密钥协商方法 | |
| CN102983965B (zh) | 变电站量子通信模型、量子密钥分发中心及模型实现方法 | |
| CN111371549B (zh) | 一种报文数据传输方法、装置及系统 | |
| EP3460503B1 (en) | Secure wireless ranging | |
| US20170302646A1 (en) | Identity authentication method and apparatus | |
| CN103401678A (zh) | 一种保障物联网数据传输安全的方法 | |
| CN103581173A (zh) | 一种基于工业以太网的数据安全传输方法、系统及装置 | |
| CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
| Seeber et al. | Towards a trust computing architecture for RPL in cyber physical systems | |
| WO2012087692A4 (en) | System and method for secure communications in a communication system | |
| CN113824705B (zh) | 一种Modbus TCP协议的安全加固方法 | |
| CN107181716A (zh) | 一种基于国家商用密码算法的网络安全通信系统及方法 | |
| CN102263794B (zh) | 安全性处理方法、装置及处理芯片、网络设备 | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
| Kornaros et al. | Trustnet: ensuring normal-world and trusted-world can-bus networking | |
| JP2009278565A (ja) | 通信装置および通信システム | |
| CN103281324A (zh) | 一种Android客户端的安全通信方法 | |
| CN208707655U (zh) | 一种配电自动化密钥协商系统 | |
| CN102843375B (zh) | 基于ip协议中的标识控制网络访问的方法 | |
| CN107404476B (zh) | 一种大数据云环境中数据安全的保护方法与装置 | |
| Wang et al. | An information security protocol for automotive ethernet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |