CN102546617A - 多核多线程系统中IPSec转发的方法 - Google Patents
多核多线程系统中IPSec转发的方法 Download PDFInfo
- Publication number
- CN102546617A CN102546617A CN2011104508989A CN201110450898A CN102546617A CN 102546617 A CN102546617 A CN 102546617A CN 2011104508989 A CN2011104508989 A CN 2011104508989A CN 201110450898 A CN201110450898 A CN 201110450898A CN 102546617 A CN102546617 A CN 102546617A
- Authority
- CN
- China
- Prior art keywords
- thread
- message
- formation
- deciphered
- sec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多核多线程系统中IPSec转发的方法,包括以下步骤:A:多线程中的一个线程读取解密后的报文;B:该线程对所读取的解密后的报文重新计算ip五元组,并根据计算结果将解密后的报文放入多个hash分发队列;C:多线程中的其他线程并行处理每个hash分发队列中的报文。本发明多核多线程系统中IPSec转发的方法采用报文分发机制,将报文通过ip五元组重新进行hash计算,不同ip五元组的报文放入不同队列,通过多个CPU协作处理多队列的方法提高整机IPSec报文处理性能。由于多个cpu线程协同处理解密后的报文,速度大于一个cpu线程处理解密后的报文速度,因此本发明根本解决了由于单个cpu线程性能低于加解密芯片处理速度导致ipsec处理慢的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种多核多线程系统中IPSec转发的方法。
背景技术
因特网协议安全(IPSec),是由IETF(Internet Engineering TaskForce)定义的一套在网络层提供因特网协议(IP)安全性的协议,其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性、保密性。它由一系列RFC文档组成,其中RFC2401定义IPSec的基本结构;RFC2402定义IPSec的验证头(AH);RFC2406定义IPSec的封装安全载荷(ESP);RFC2409定义IPSec的因特网密钥交换(IKE)。
IPSec协议包括:AH、ESP、IKE等。ESP封装安全载荷为IP载荷提供数据加密和验证的功能。AH认证头为IP头提供数据完整性和验证的功能。数据加密和验证算法由安全相关(SA)指定。IKE密钥交换为IPSec协议生成密钥。安全策略数据库(SPD)决定两个实体之间能否通讯及通讯转码方式。解析域(DOI)用来组合相关协议,通过使用ISAKMP协商安全连接。
现有的IPsec技术通常采用基于单核处理器的处理方式,加解密芯片将解密后的报文放入解密队列,此时由一个线程处理解密队列,由于线程对解密后的报文要做包括nat、aaa、路由等三层业务,在处理速度上一个加解密芯片的处理速度大于一个cpu处理速度,当加解密芯片满负荷运转时,会导致报文丢包,报文处理瓶颈限制了cpu处理能力。
现有技术通过增加解密队列的队列长度来缓冲由于加解密芯片和cpu处理速度不同导致的丢包,这种方法在网路流量时大时小时能起到一定的缓解作用,但并不能根本解决单个cpu性能低导致的整机处理能力下降的问题。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:提供一种多核多线程系统中IPSec转发的方法,其能够提高整机IPSec报文处理性能。
(二)技术方案
为解决上述问题,本发明提供了一种多核多线程系统中IPSec转发的方法,包括以下步骤:
A:多线程中的一个线程读取解密后的报文;
B:该线程对所读取的解密后的报文重新计算ip五元组,并根据计算结果将解密后的报文放入多个hash分发队列;
C:多线程中的其他线程并行处理每个hash分发队列中的报文。
优选地,所述步骤B中,根据计算结果将解密后的报文放入多个分发hash队列包括:将计算结果中ip五元组不同的报文放入不同的hash分发队列。
优选地,所述步骤C进一步包括:线程分别判断每个hash分发队列是否正在被别的线程处理,如果没有被别的线程处理,且该队列需要被处理,则获取该队列的处理权,并循环处理该队列中的报文,处理完毕后放弃该队列的处理权。
优选地,所述ip五元组为源IP地址,源端口,目的IP地址,目的端口,和传输层协议号。
(三)有益效果
本发明多核多线程系统中IPSec转发的方法采用报文分发机制,将报文通过ip五元组重新进行hash计算,不同ip五元组的报文放入不同队列,通过多个CPU协作处理多队列的方法提高整机IPSec报文处理性能。由于多个cpu线程协同处理解密后的报文,速度大于一个cpu线程处理解密后的报文速度,因此本发明根本解决了由于单个cpu线程性能低于加解密芯片处理速度导致ipsec处理慢的问题。
附图说明
图1为本发明实施方式中所述多核多线程系统中IPSec转发的方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,本发明所述的多核多线程系统中IPSec转发的方法,包括以下步骤:
A:多线程中的一个线程读取解密后的报文;
B:该线程对所读取的解密后的报文重新计算ip五元组,并根据计算结果将解密后的报文放入多个hash分发队列;
本步骤中,将计算结果中ip五元组不同的报文放入不同的hash分发队列。所述ip五元组为源IP地址,源端口,目的IP地址,目的端口,和传输层协议号。
C:多线程中的其他线程并行处理每个hash分发队列中的报文。
本步骤中,线程分别判断每个hash分发队列是否正在被别的线程处理,如果没有被别的线程处理,且该队列需要被处理,则获取该队列的处理权,并循环处理该队列中的报文,处理完毕后放弃该队列的处理权。
该系统包括多个CPU和一个硬件加解密处理器,其中,每个CPU绑定一个线程。本发明采用报文分发机制,将报文再次通过ip五元组进行hash计算,不同ip五元组的报文放入不同队列,通过多个CPU协作处理多队列的方法提高整机IPSec报文处理性能。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种多核多线程系统中IPSec转发的方法,其特征在于,包括以下步骤:
A:多线程中的一个线程读取解密后的报文;
B:该线程对所读取的解密后的报文重新计算ip五元组,并根据计算结果将解密后的报文放入多个hash分发队列;
C:多线程中的其他线程并行处理每个hash分发队列中的报文。
2.如权利要求1所述的多核多线程系统中IPSec转发的方法,其特征在于,所述步骤B中,根据计算结果将解密后的报文放入多个分发hash队列包括:将计算结果中ip五元组不同的报文放入不同的hash分发队列。
3.如权利要求1所述的多核多线程系统中IPSec转发的方法,其特征在于,所述步骤C进一步包括:线程分别判断每个hash分发队列是否正在被别的线程处理,如果没有被别的线程处理,且该队列需要被处理,则获取该队列的处理权,并循环处理该队列中的报文,处理完毕后放弃该队列的处理权。
4.如权利要求1所述的多核多线程系统中IPSec转发的方法,其特征在于,所述ip五元组为源IP地址,源端口,目的IP地址,目的端口,和传输层协议号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104508989A CN102546617A (zh) | 2011-12-29 | 2011-12-29 | 多核多线程系统中IPSec转发的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104508989A CN102546617A (zh) | 2011-12-29 | 2011-12-29 | 多核多线程系统中IPSec转发的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102546617A true CN102546617A (zh) | 2012-07-04 |
Family
ID=46352577
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011104508989A Pending CN102546617A (zh) | 2011-12-29 | 2011-12-29 | 多核多线程系统中IPSec转发的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102546617A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868635A (zh) * | 2012-08-24 | 2013-01-09 | 汉柏科技有限公司 | 多核多线程的报文保序方法及系统 |
| CN103227742A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种IPSec隧道快速处理报文的方法 |
| CN104468309A (zh) * | 2014-10-31 | 2015-03-25 | 成都卫士通信息产业股份有限公司 | 一种低速smp与高速密码卡的高效适配方法 |
| CN105938438A (zh) * | 2015-11-24 | 2016-09-14 | 杭州迪普科技有限公司 | 一种数据报文处理方法及装置 |
| CN109145620A (zh) * | 2018-08-13 | 2019-01-04 | 北京奇安信科技有限公司 | 数据流分流处理方法及装置 |
| CN110381034A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种报文处理方法、装置、设备及可读存储介质 |
| CN111669374A (zh) * | 2020-05-25 | 2020-09-15 | 成都安恒信息技术有限公司 | 一种IPsec VPN单条隧道软件加解密性能扩展方法 |
| CN112702338A (zh) * | 2020-12-22 | 2021-04-23 | 杭州迪普科技股份有限公司 | Ike报文获取方法及装置 |
| CN113032798A (zh) * | 2021-01-29 | 2021-06-25 | 新华三信息安全技术有限公司 | 一种文件加解密的方法、设备和存储介质 |
| CN113726737A (zh) * | 2021-07-26 | 2021-11-30 | 绿盟科技集团股份有限公司 | 一种通信方法、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080148341A1 (en) * | 2006-10-26 | 2008-06-19 | Conor Ferguson | Acceleration of packet flow classification in a virtualized system |
| CN101471784A (zh) * | 2007-12-29 | 2009-07-01 | 北京天融信网络安全技术有限公司 | 一种实现ipsec抗重放攻击的方法 |
-
2011
- 2011-12-29 CN CN2011104508989A patent/CN102546617A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080148341A1 (en) * | 2006-10-26 | 2008-06-19 | Conor Ferguson | Acceleration of packet flow classification in a virtualized system |
| CN101471784A (zh) * | 2007-12-29 | 2009-07-01 | 北京天融信网络安全技术有限公司 | 一种实现ipsec抗重放攻击的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 时向泉: "高性能路由器中NP并行处理及拥塞控制机制研究", 《国防科学技术大学研究生院工学博士论文》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868635A (zh) * | 2012-08-24 | 2013-01-09 | 汉柏科技有限公司 | 多核多线程的报文保序方法及系统 |
| CN102868635B (zh) * | 2012-08-24 | 2016-02-17 | 汉柏科技有限公司 | 多核多线程的报文保序方法及系统 |
| CN103227742A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种IPSec隧道快速处理报文的方法 |
| CN104468309A (zh) * | 2014-10-31 | 2015-03-25 | 成都卫士通信息产业股份有限公司 | 一种低速smp与高速密码卡的高效适配方法 |
| CN104468309B (zh) * | 2014-10-31 | 2018-06-19 | 成都卫士通信息产业股份有限公司 | 一种低速smp与高速密码卡的高效适配方法 |
| CN105938438A (zh) * | 2015-11-24 | 2016-09-14 | 杭州迪普科技有限公司 | 一种数据报文处理方法及装置 |
| CN109145620A (zh) * | 2018-08-13 | 2019-01-04 | 北京奇安信科技有限公司 | 数据流分流处理方法及装置 |
| CN110381034A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种报文处理方法、装置、设备及可读存储介质 |
| CN110381034B (zh) * | 2019-06-25 | 2022-02-22 | 苏州浪潮智能科技有限公司 | 一种报文处理方法、装置、设备及可读存储介质 |
| CN111669374A (zh) * | 2020-05-25 | 2020-09-15 | 成都安恒信息技术有限公司 | 一种IPsec VPN单条隧道软件加解密性能扩展方法 |
| CN111669374B (zh) * | 2020-05-25 | 2022-05-27 | 成都安恒信息技术有限公司 | 一种IPsec VPN单条隧道软件加解密性能扩展方法 |
| CN112702338A (zh) * | 2020-12-22 | 2021-04-23 | 杭州迪普科技股份有限公司 | Ike报文获取方法及装置 |
| CN112702338B (zh) * | 2020-12-22 | 2022-07-01 | 杭州迪普科技股份有限公司 | Ike报文获取方法及装置 |
| CN113032798A (zh) * | 2021-01-29 | 2021-06-25 | 新华三信息安全技术有限公司 | 一种文件加解密的方法、设备和存储介质 |
| CN113726737A (zh) * | 2021-07-26 | 2021-11-30 | 绿盟科技集团股份有限公司 | 一种通信方法、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102546617A (zh) | 多核多线程系统中IPSec转发的方法 | |
| US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| JP2022023942A (ja) | クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ | |
| US8898451B2 (en) | Method and system for monitoring encrypted data transmissions | |
| CN101262405B (zh) | 基于网络处理器的高速安全虚拟专用网系统及其实现方法 | |
| US20060090074A1 (en) | Encryption communication system | |
| WO2018130079A1 (zh) | 一种英特网协议安全IPSec协议加密方法和网络设备 | |
| WO2015131609A1 (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CA3066728A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CN1627682A (zh) | 网络传输中建立连接时动态密码的创建方法 | |
| Kim et al. | A case for smartnic-accelerated private communication | |
| WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
| CN111800436A (zh) | IPSec隔离网卡设备及安全通信方法 | |
| Apiecionek et al. | Multi path transmission control protocols as a security solution | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| CN114143061A (zh) | 基于用户态协议栈实现数据安全可靠传输的方法及系统 | |
| CN116016529A (zh) | IPSec VPN设备负载均衡管理方法和装置 | |
| CN102420769A (zh) | 一种Ipsec转发的方法 | |
| CN1750533A (zh) | 一种实现安全联盟备份和切换的方法 | |
| CN107454116A (zh) | 单隧道模式下IPsec ESP协议的优化方法及装置 | |
| US20210092103A1 (en) | In-line encryption of network data | |
| KR101653956B1 (ko) | 암호화된 트래픽을 모니터링하는 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120704 |