CN103139222B - 一种ipsec隧道数据传输方法及装置 - Google Patents
一种ipsec隧道数据传输方法及装置 Download PDFInfo
- Publication number
- CN103139222B CN103139222B CN201310086778.4A CN201310086778A CN103139222B CN 103139222 B CN103139222 B CN 103139222B CN 201310086778 A CN201310086778 A CN 201310086778A CN 103139222 B CN103139222 B CN 103139222B
- Authority
- CN
- China
- Prior art keywords
- data
- message
- module
- heading
- security strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通讯领域数据传输,尤其是涉及一种IPSEC隧道数据传输方法及装置。本发明提供一种IPSEC隧道数据传输方法及装置,提供一种IPSEC隧道数据传输方法及装置,通过将同一类IP报文合并经过协处理器进行压缩处理等,封装为一个IPSEC隧道模式数据通过外网网卡发送;通过对分片IP报文数据重组后通过协处理器进行解压缩等,将其拆分各个不同原始IP报文并通过内网网卡发送,可以极大的提高IPSEC隧道的数据传输性能。本发明通过网卡、网络数据接收装置、网络数据发送装置进行数据处理。本发明主要应用于IPSEC隧道数据传输领域。
Description
技术领域
本发明涉及通讯领域数据传输,尤其是涉及一种IPSEC隧道数据传输方法及装置。
背景技术
目前,IPSEC协议作为网络层的主要安全手段,已经被绝大多数的安全网关类设备所支持。IPSEC协议隧道模式要求发送端网关设备对每一个IP报文都要经过安全策略(SP)检索、加密、加认证、封装的处理,然后再将新的IP报文经过路由发送出去。IPSEC的IP报文格式如图1所示。市场上支持IPSEC的安全网关设备通常采用的是通用工控平台结合硬件协处理器的架构。在这种架构中,网卡每接受一个IP报文就会触发一次中断和PCI总线的数据传输,送去协处理器又会经历一次PCI总线的数据传输,协处理器处理完毕后再触发一次中断和数据在PCI总线的传输,然后再经历一次PCI总线的 数据传输从网卡发送出去。对一个IP报文的处理就会占用两次中断和四次PCI总线,这样一来,对于以大量小数据量的IP报文为特征的业务,处理和传输效率就会很低。传统处理模型如图1所示。
表1即示出了一台采用百兆加密芯片(协处理器)的虚拟专用网络(VirtualPrivate Network,VPN)设备在采用IPSEC隧道传统处理方法时的部分性能指标,其中可见64字节小数据量的IP报文的处理效率(即吞吐率)还不到1518字节大包的30%。
表1
发明内容
本发明所要解决的技术问题是:针对现有技术中存在的小数据量IP报文过多占用CPU中断和PCI总线资源,从而导致对IPSEC小数据量IP报文的处理效率很低,且总线资源和中央处理器的开销过大的问题,提供一种IPSEC隧道数据传输方法及装置,通过将同一类IP报文合并经过协处理器进行压缩处理等,封装为一个IPSEC隧道模式数据通过外网网卡发送;通过对分片IP报文数据重组后通过协处理器进行解压缩等,将其拆分各个不同原始IP报文并通过内网网卡发送,可以极大的提高IPSEC隧道的数据传输性能,对于64字节等小数据量IP报文的吞吐率甚至超过明文传输的效率,具有很好的推广价值。
本发明采用的技术方案如下:
一种IPSEC隧道数据传输方法包括下述步骤:
步骤1:网卡接收端接收内网发送的IP报文,并通过网络数据发送装置进行数据打包、加密、封装后输出;
步骤2:网络数据接收装置进行数据解密、解封装、拆包后通过网卡输出端输出。
进一步地,所述步骤1中网络数据发送装置进行数据打包、加密、封装的具体过程是:
步骤11:网卡接收端接收内网发送的IP报文,第一数据接收模块根据安全策略表分类存储IP报文,同时定时器及累加器模块中累加器或定时器进行IP报文数据长度监控,第一数据接收模块为不同的安全策略建立对应的缓冲区;
步骤12:当其中一个累加器溢出或者定时器清零时,则第一数据接收模块将对应缓冲区全部IP报文输出至数据重组模块并将对应缓存区清空;否则第一数据接收模块继续接收IP报文;
步骤13:当数据重组模块接收到第一数据接收模块发送的IP报文,则将IP报文合并为重组IP数据包并将重组IP数据包发送给第一协处理器进行压缩、加密并通过数据重组模块将第一协处理器处理的重组IP数据包发送给第一数据发送模块后输出,其中加密后合并的数据包经过封装为同一个IPSEC隧道模式的重组IP数据包。
进一步地,所述步骤11中第一数据接收模块根据安全策略中分类存储IP报文的具体过程是:
步骤111:第一数据接收模块根据接收到IP报文与安全策略列表中的安全策略进行匹配,其中IP报文包括源IP地址Sip-A、目的IP地址Dip-A、源端口地址Sport-A、目的端口地址Dport-A、传输协议号Protocol-A的五元组信息,安全策略包括安全策略源IP地址Sip-1、源地址掩码Smask-1、目的IP地址Dip-1、目的地址掩码Dmask-1、源端口范围Sport_range-1、目的端口范围Dport_range-1、传输协议号Protocol-1;
步骤112:若第一数据接收模块接收到的IP报文与安全策略列表中某一个安全策略进行匹配满足Sip-A&Smask-1=Sip-1,Dip-A&Dmask-1=Dip-1, Protocol-A=Protocol-1,Sport-ASport_range-1,Dport-A Dport_range-1(Dport-A在Dport_range-1范围内),即IP报文的五元组信息与安全策略表同一个安全策略相匹配,则为同类型IP报文,否则为不同类型IP报文,然后将同类型IP报文按接收顺序暂存入对应的同一个缓冲区;同时通过累加器进行数据长度计算,将累加器结果与数据接收装置设置的阈值进行比较,若累加器长度超过阈值,则将累加器清零,将缓冲区的n个原始IP报文数据取出并将缓冲区清空,或者定时器清零时会触发中断,导致缓冲区中IP报文被取出并将缓冲区清空,所述n>0。
进一步地,所述步骤13中IP报文合并为重组IP数据包具体步骤是:数据重组模块接收第一数据接收模块输出的n个原始IP报文,并将n个原始IP报文依次连接为一个数据段,然后加上新IP报文头、ESP报文头、合并报文头、ESP报文尾、ESP认证尾,所述重组IP数据包数据格式是:新IP报文头+ESP报文头+合并报文头+n个原始IP报文+ESP报文尾+ESP认证尾,其中新IP报文头包括新的源IP地址、目的IP地址,合并报文头包括合并后报文长度、合并的报文数目, 所述n>0。
进一步地,所述步骤2中网络数据接收装置进行数据解密、解封装、拆包后通过网卡输出端输出的具体过程是:
步骤21:第二数据接收装置接收第一数据发送模块发送的IPSEC隧道模式重组IP数据包发送给第二协处理器进行解压缩、解密处理后再通过第二数据接收模块进行解封装处理输出;
步骤22:数据拆分模块接收第二数据接收模块的重组IP数据包后将其逐一拆分成不同的原始IP报文后通过第二数据发送模块经路由寻径后通过网卡输出端转发出去。
进一步地,所述步骤22中数据拆分模块工作过程是:数据拆分模块根据接收到的重组IP数据包的合并报文头所记录的总长度和报文总数,结合每个原始IP报文头,将该数据包逐一分拆成各个不同的原始IP报文,按照IP报文对应的安全策略表的安全策略逐一进行路由寻径处理,合法IP报文经路由寻径后转发出去。
一种IPSEC隧道数据传输装置包括网卡,用于IP报文的数据接收或发送;
网络数据发送装置,用于将网卡接收到内网数据进行数据打包、加密、封装后输出;
网络数据接收装置,用于接收网络数据发送装置输出的数据包,并进行数据解密、解封装、拆包后通过网卡输出端输出。
进一步地,所述网络数据发送装置包括第一数据接收模块、数据重组模块、定时器及累加器模块、数据发送模块、第一协处理器,所述网卡接收到的IP数据包通过第一数据接收模块进行存储,并同时通过定时器及累加器模块对第一数据接收模块接收IP报文进行监控,第一数据接收模块输出数据通过数据重组模块进行打包重组后发送至第一协处理器进行加密、封装后通过数据数据重组模块发送给数据发送模块进行输出,其中定时器及累加器模块包括定时器、累加器,所述一个累加器溢出或者定时器清零时,则第一数据接收模块将对应缓冲区全部IP报文输出至数据重组模块并将对应缓存区清空;否则第一数据接收模块继续接收该缓冲区同类型IP报文,所述同类型IP报文判断过程是:第一数据接收模块根据接收到IP报文的源IP地址、目的IP地址、源端口地址、目的端口地址、传输层协议的五元组信息,与安全策略表中每个安全策略进行信息匹配,若IP报文数据的五元组信息与安全策略表某个安全策略相匹配,则为同类型IP报文,否则为不同类型IP报文。
进一步地,所述数据重组模块进行IP报文数据重组的具体过程是:首先在缓冲区中取出的n个同类型原始IP报文依次连接为一个数据段,然后加上新IP报文头、ESP报文头、合并报文头、ESP报文尾、ESP认证尾,所述重组IP数据的格式是新IP报文头+ESP报文头+合并报文头+n个IP报文+ESP报文尾+ESP认证尾,其中新的IP报文头包括新的源IP地址、目的IP地址,合并报文头包括合并后报文长度、合并的报文数目, n>0。
进一步地,所述网络数据接收装置包括第二数据接收模块、数据拆分模块、第二数据发送模块、第二协处理器,所述第二数据接收模块接收第一数据发送模块数据,并通过第二协处理器解密、解封装后再通过第二数据接收模块发送至数据拆分模块,数据拆分模块对第二数据接收模块发送的数据进行拆分处理后通过第二数据发送模块进行路由寻径处理,合法报文经路由寻径后转发出去,其中数据拆分模块进行数据拆分的具体过程是:数据拆分模块根据接收到的重组IP数据包的合并报文头所记录的总长度和报文总数,结合每个原始IP报文头,将该数据包逐一分拆成各个不同的原始IP报文,按照IP报文对应的安全策略表逐一进行路由寻径处理,合法IP报文经路由寻径后转发出去。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1)通过第一数据接收装置将小数据量的IP报文进行分类存储,数据重组模块将小数据量的IP报文进行数据重组,通过协处理器进行重组IP数据包数据的压缩、封装等大大降低了CPU终端、PCI总线资源开销、提高了IPSEC小数据量IP报文的处理效率。
2)通过数据拆分模块对数据根据合并报文头所记录的总长度和报文总数,结合每个原始IP报文头,将该数据包逐一分拆成各个不同的原始IP报文。提高数据的拆分效率。
3)本发明相比于现有技术,可以极大的提高IPSEC隧道的数据传输性能,对于64字节等小数据报文的吞吐率甚至超过明文传输的效率,具有很好的推广价值.
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是现有的IPSEC的IP报文封装格式;
图2是本发明实施例提供的IPSEC的IP报文封装格式;
图3是本发明网络数据发送装置原理框图;
图4是本发明网络数据接收装置原理框图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本发明的相关说明
1、本发明装置工作原理:一种IPSEC隧道数据传输装置包括网卡,用于IP报文的数据接收或发送;
网络数据发送装置,用于将网卡接收到内网数据进行数据打包、加密、封装后输出;
网络数据接收装置,用于接收网络数据发送装置输出的数据包,并进行数据解密、解封装、拆包后通过网卡输出端输出。
2、第一数据接收模块工作过程:通过为每一同类型的IP报文(同类型的IP报文中每个IP报文都与安全策略表同一个安全策略相匹配,一个IP报文与一个安全策略表安全策略相匹配的具体过程如下:对于第一数据接收模块接收的IP报文包括源IP地址Sip-A、目的IP地址Dip-A、源端口地址Sport-A、目的端口地址Dport-A、传输协议号Protocol-A的五元组信息,安全策略列表中的一个安全策略包括安全策略源IP地址Sip-1、源地址掩码Smask-1、目的IP地址Dip-1、目的地址掩码Dmask-1、源端口范围Sport_range-1、目的端口范围Dport_range-1、传输协议号Protocol-1,若此IP报文需要与安全策略列表中某一个安全策略进行查询匹配需要满足以下条件:Sip-A&Smask-1=Sip-1,Dip-A&Dmask-1=Dip-1,Protocol-A=Protocol-1,Sport-ASport_range-1,Dport-A Dport_range-1。)建立独立的缓冲区,对n个同类型原始IP报文在一定时间和长度范围之内合并组成大报文来进行压缩、加密等安全处理并作为整体的IPSEC报文发送到网络,从而可以极大地减少占用CPU中断和PCI总线资源带来的开销,实现IPSEC数据报文的处理效率及协处理器的利用效率的大幅提高, 所述n>0。
3、数据重组模块工作过程是:(第一数据接收模块将其缓冲区中同一类数据报文合并为重组IP数据包),将缓冲区中取出的n个同类型原始IP报文依次连接为一个数据段,如图2所示,所述重组IP数据包格式为:新IP报文头+ESP报文头+合并报文头+n个原始IP报文+ESP报文尾+ESP认证尾,其中新IP报文头包括新的源IP、目的IP,合并报文头包括合并后总报文长度和被合并的报文数。其中新报文头按照传输协议进行定义。ESP报文头指的是按照RFC2406规范所构造的ESP协议首部。合并报文头包括所记录的总长度和报文总长度。所述n个同类型原始IP报文不经过去除包头包尾的处理,将其直接当做数据依次连接为一个数据段。ESP报文尾指的是按照RFC2406规范所构造的ESP协议尾部。ESP认证尾是指的是按照RFC2406规范所构造的ESP协议认证数据, 所述n>0,所述原始IP报文包括原始IP报文头+原始IP负载,其中原始IP负载是指原始IP报文除去报文头以外的部分,用于承载用户数据。
4、第一数据发送模块工作过程是:将数据重组模块输出的数据发送至网络数据接收装置中的第二数据接收装置。
5、第二数据接收装置工作过程是:接收第一数据发送模块输出的重组IP数据包(所述重组IP数据包是经过加密、封装后的数据)并将IP数据包通过第二协处理器进行解密、解封装后发送至数据拆分模块。
6、数据拆分模块具体工作过程是:按照如图3所示的报文结构,根据合并报文头所记录的总长度和报文总数,结合每个原始IP报文头,将该数据包逐一分拆成各个不同的原始IP报文。
7、第二数据发送模块工作过程是:将数据拆分模块输出的数据按照IP报文对应的安全策略表逐一进行路由寻径处理,然后通过网卡输出端输出。
8、第一数据接收模块、第一数据发送模块、数据重组模块、定时器及累加器模块、第二数据接收模块、数据拆分模块、第二数据发送模块都是通过处理器进行编程实现的。其中累加器和定时器也可以是处理器自带的硬件模块实现。
9、定时器及累加器模块包括定时器、累加器。定时器与累加器进行报文数据长度监控具体过程是:当检测到数据接收模块接收到IP报文那个时刻开始。定时器启动倒计时,累加器进行累加,当数据接收装置中的缓存区存储数据到定时器与累加器设定的阈值后,定时器重新置位,累加器清零。
10、第一协处理器进行加密处理。加密方法有:支持AES等国际标准算法和国家主管部门发布的国有商用密码算法,可以是软件加密实现,也可以是硬件加密模块。
11、第二协处理器进行解密处理。解密方法有:支持AES等国际标准算法和国家主管部门发布的国有商用密码算法,可以是软件解密实现,也可以是硬件解密模块。。
实施例一:一种IPSEC隧道数据传输方法包括下述步骤:
步骤1:网卡接收端接收内网发送的IP报文,并通过网络数据发送装置进行数据打包、加密、封装后输出;
步骤2:网络数据接收装置进行数据解密、解封装、拆包后通过网卡输出端输出。
实施例二:在实施例一基础上,如图3所示,所述步骤1中网络数据发送装置进行数据打包、加密、封装的具体过程是:
步骤11:网卡接收端接收内网发送的IP报文,第一数据接收模块根据安全策略表分类存储IP报文,同时定时器及累加器模块中累加器或定时器进行IP报文数据长度监控,第一数据接收模块为不同的安全策略建立对应的缓冲区;
步骤12:当其中一个累加器溢出或者定时器清零时,则第一数据接收模块将对应缓冲区全部IP报文输出至数据重组模块并将对应缓存区清空;否则第一数据接收模块继续接收IP报文;
步骤13:当数据重组模块接收到第一数据接收模块发送的IP报文,则将IP报文合并为重组IP数据包并将重组IP数据包发送给第一协处理器进行压缩、加密并通过数据重组模块将第一协处理器处理的重组IP数据包发送给第一数据发送模块后输出,其中加密后合并的数据包经过封装为同一个IPSEC隧道模式的重组IP数据包。
实施例三:在实施例一或二基础上,所述步骤11中第一数据接收模块根据安全策略中分类存储IP报文的具体过程是:
步骤111:第一数据接收模块根据接收到IP报文的源IP地址、目的IP地址、源端口地址、目的端口范围、传输层协议的五元组信息,与安全策略表中安全策略进行匹配;
步骤112:若IP报文的五元组信息与安全策略表同一个安全策略相匹配,则为同类型IP报文,否则为不同类型IP报文,然后将同类型IP报文按接收顺序暂存入对应的同一个缓冲区;同时通过累加器进行数据长度计算,将累加器结果与数据接收装置设置的阈值进行比较,若累加器长度超过阈值,则将累加器清零,将缓冲区的n个IP报文数据取出并将缓冲区清空,或者定时器清零时会触发中断,导致缓冲区中IP报文被取出并将缓冲区清空,所述n>0。
实施例四:在实施例一、二或三基础上,所述步骤13中IP报文合并为重组IP数据包具体步骤是:数据重组模块接收第一数据接收模块输出的n个IP报文,并将n个IP报文依次连接为一个数据段,然后加上新IP报文头、ESP报文头、合并报文头、ESP报文尾、ESP认证尾,所述重组IP数据包数据格式是:新IP报文头+ESP报文头+合并报文头+n个IP报文+ESP报文尾+ESP认证尾,其中新IP报文头包括新的源IP地址、目的IP地址,合并报文头包括合并后报文长度、合并的报文数目, 所述n>0。
实施例五:在实施例一至四之一基础上,如图4所示,所述步骤2中网络数据接收装置进行数据解密、解封装、拆包后通过网卡输出端输出的具体过程是:
步骤21:第二数据接收装置接收第一数据发送模块发送的IPSEC隧道模式重组IP数据包发送给第二协处理器进行解压缩、解密处理后再通过第二数据接收模块进行解封装处理输出;
步骤22:数据拆分模块接收第二数据接收模块的重组IP数据包后将其逐一拆分成不同的原始IP报文后通过第二数据发送模块经路由寻径后通过网卡输出端转发出去。
实施例六:在实施例五基础上,所述步骤22中数据拆分模块工作过程是:数据拆分模块根据接收到的重组IP数据包的合并报文头所记录的总长度和报文总数,结合每个原始IP报文头,将该数据包逐一分拆成各个不同的原始IP报文,按照IP报文对应的安全策略表的安全策略逐一进行路由寻径处理,合法IP报文经路由寻径后转发出去。
实施例七:一种IPSEC隧道数据传输装置包括网卡,用于IP报文的数据接收或发送;
网络数据发送装置,用于将网卡接收到内网数据进行数据打包、加密、封装后输出;
网络数据接收装置,用于接收网络数据发送装置输出的数据包,并进行数据解密、解封装、拆包后通过网卡输出端输出。
实施例八,在实施例七基础上,所述网络数据发送装置包括第一数据接收模块、数据重组模块、定时器及累加器模块、数据发送模块、第一协处理器,所述网卡接收到的IP数据包通过第一数据接收模块进行存储,并同时通过定时器及累加器模块对第一数据接收模块接收IP报文进行监控,第一数据接收模块输出数据通过数据重组模块进行打包重组后发送至第一协处理器进行加密、封装后通过数据数据重组模块发送给数据发送模块进行输出,其中定时器及累加器模块包括定时器、累加器,所述一个累加器溢出或者定时器清零时,则第一数据接收模块将对应缓冲区全部IP报文输出至数据重组模块并将对应缓存区清空;否则第一数据接收模块继续接收该缓冲区同类型IP报文,所述同类型IP报文判断过程是:第一数据接收模块根据接收到IP报文的源IP地址、目的IP地址、源端口地址、目的端口地址、传输层协议的五元组信息,与安全策略表中每个安全策略进行信息匹配,若IP报文数据的五元组信息与安全策略表某个安全策略相匹配,则为同类型IP报文,否则为不同类型IP报文。
实施例九,在实施例八基础上,所述数据重组模块进行IP报文数据重组的具体过程是:首先在缓冲区中取出的n个同类型IP报文依次连接为一个数据段,然后加上新IP报文头、ESP报文头、合并报文头、ESP报文尾、ESP认证尾,所述重组IP数据的格式是新IP报文头+ESP报文头+合并报文头+n个IP报文+ESP报文尾+ESP认证尾,其中新的IP报文头包括新的源IP地址、目的IP地址,合并报文头包括合并后报文长度、合并的报文数目, n>0。
实施例十:在实施例八或九基础上,所述网络数据接收装置包括第二数据接收模块、数据拆分模块、第二数据发送模块、第二协处理器,所述第二数据接收模块接收第一数据发送模块数据,并通过第二协处理器解密、解封装后再通过第二数据接收模块发送至数据拆分模块,数据拆分模块对第二数据接收模块发送的数据进行拆分处理后通过第二数据发送模块进行路由寻径处理,合法报文经路由寻径后转发出去,其中数据拆分模块进行数据拆分的具体过程是:数据拆分模块根据接收到的重组IP数据包的合并报文头所记录的总长度和报文总数,结合每个原始IP报文头,将该数据包逐一分拆成各个不同的原始IP报文,按照IP报文对应的安全策略表逐一进行路由寻径处理,合法IP报文经路由寻径后转发出去。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (7)
1.一种IPSEC隧道数据传输方法,其特征在于包括下述步骤:
步骤1:网卡接收端接收内网发送的IP报文,并通过网络数据发送装置进行数据打包、加密、封装后输出;
步骤2:网络数据接收装置进行数据解密、解封装、拆包后通过网卡输出端输出;所述步骤1中网络数据发送装置进行数据打包、加密、封装的具体过程是:
步骤11:网卡接收端接收内网发送的IP报文,第一数据接收模块根据安全策略表分类存储IP报文,同时定时器及累加器模块中累加器或定时器进行IP报文数据长度监控,第一数据接收模块为不同的安全策略建立对应的缓冲区;
步骤12:当其中一个累加器溢出或者定时器清零时,则第一数据接收模块将对应缓冲区全部IP报文输出至数据重组模块并将对应缓存区清空;否则第一数据接收模块继续接收IP报文;
步骤13:当数据重组模块接收到第一数据接收模块发送的IP报文,则将IP报文合并为重组IP数据包并将重组IP数据包发送给第一协处理器进行压缩、加密并通过数据重组模块将第一协处理器处理的重组IP数据包发送给第一数据发送模块后输出,其中加密后合并的数据包经过封装为同一个IPSEC隧道模式的重组IP数据包;所述步骤11中第一数据接收模块根据安全策略表分类存储IP报文的具体过程是:
步骤111:第一数据接收模块根据接收到IP报文与安全策略列表中的安全策略进行匹配,其中IP报文包括源IP地址Sip-A、目的IP地址Dip-A、源端口地址Sport-A、目的端口地址Dport-A、传输协议号Protocol-A的五元组信息,安全策略包括安全策略源IP地址Sip-1、源地址掩码Smask-1、目的IP地址Dip-1、目的地址掩码Dmask-1、源端口范围Sport_range-1、目的端口范围Dport_range-1、传输协议号Protocol-1;
步骤112:若第一数据接收模块接收到的IP报文与安全策略列表中某一个安全策略进行匹配满足Sip-A&Smask-1=Sip-1,Dip-A&Dmask-1=Dip-1, Protocol-A=Protocol-1,Sport-A Sport_range-1,Dport-A Dport_range-1,即IP报文的五元组信息与安全策略表同一个安全策略相匹配,则为同类型IP报文,否则为不同类型IP报文,然后将同类型IP报文按接收顺序暂存入对应的同一个缓冲区;同时通过累加器进行数据长度计算,将累加器结果与数据接收装置设置的阈值进行比较,若累加器长度超过阈值,则将累加器清零,将缓冲区的n个原始IP报文数据取出并将缓冲区清空,或者定时器清零时会触发中断,导致缓冲区中IP报文被取出并将缓冲区清空,所述n>0。
2.根据权利要求1所述的一种IPSEC隧道数据传输方法,其特征在于;所述步骤13中IP报文合并为重组IP数据包具体步骤是:数据重组模块接收第一数据接收模块输出的n个原始IP报文,并将n个原始IP报文依次连接为一个数据段,然后加上新IP报文头、ESP报文头、合并报文头、ESP报文尾、ESP认证尾,所述重组IP数据包数据格式是:新IP报文头+ESP报文头+合并报文头+n个原始IP报文+ESP报文尾+ESP认证尾,其中新IP报文头包括新的源IP地址、目的IP地址,合并报文头包括合并后报文长度、合并的报文数目, 所述n>0。
3.根据权利要求1所述的一种IPSEC隧道数据传输方法,其特征在于所述步骤2中网络数据接收装置进行数据解密、解封装、拆包后通过网卡输出端输出的具体过程是:
步骤21:第二数据接收装置接收第一数据发送模块发送的IPSEC隧道模式重组IP数据包发送给第二协处理器进行解压缩、解密处理后再通过第二数据接收模块进行解封装处理输出;
步骤22:数据拆分模块接收第二数据接收模块的重组IP数据包后将其逐一拆分成不同的原始IP报文后通过第二数据发送模块经路由寻径后通过网卡输出端转发出去。
4.根据权利要求3所述的一种IPSEC隧道数据传输方法,其特征在于所述步骤22中数据拆分模块工作过程是:数据拆分模块根据接收到的重组IP数据包的合并报文头所记录的总长度和报文总数,结合每个原始IP报文头,将该数据包逐一分拆成各个不同的原始IP报文,按照IP报文对应的安全策略表的安全策略逐一进行路由寻径处理,合法IP报文经路由寻径后转发出去。
5.基于权利要求1所述IPSEC隧道数据传输方法的IPSEC隧道数据传输装置,其特征在于包括网卡,用于IP报文的数据接收或发送;
网络数据发送装置,用于将网卡接收到内网数据进行数据打包、加密、封装后输出;
网络数据接收装置,用于接收网络数据发送装置输出的数据包,并进行数据解密、解封装、拆包后通过网卡输出端输出;所述网络数据发送装置包括第一数据接收模块、数据重组模块、定时器及累加器模块、数据发送模块、第一协处理器,所述网卡接收到的IP数据包通过第一数据接收模块进行存储,并同时通过定时器及累加器模块对第一数据接收模块接收IP报文进行监控,第一数据接收模块输出数据通过数据重组模块进行打包重组后发送至第一协处理器进行加密、封装后通过数据重组模块发送给数据发送模块进行输出,其中定时器及累加器模块包括定时器、累加器,所述一个累加器溢出或者定时器清零时,则第一数据接收模块将对应缓冲区全部IP报文输出至数据重组模块并将对应缓存区清空;否则第一数据接收模块继续接收该缓冲区同类型IP报文,所述同类型IP报文判断过程是:第一数据接收模块根据接收到IP报文的源IP地址、目的IP地址、源端口地址、目的端口地址、传输层协议的五元组信息,与安全策略表中每个安全策略进行信息匹配,若IP报文数据的五元组信息与安全策略表某个安全策略相匹配,则为同类型IP报文,否则为不同类型IP报文。
6.根据权利要求5所述的IPSEC隧道数据传输装置,其特征在于所述数据重组模块进行IP报文数据重组的具体过程是:首先在缓冲区中取出的n个同类型原始IP报文依次连接为一个数据段,然后加上新IP报文头、ESP报文头、合并报文头、ESP报文尾、ESP认证尾,所述重组IP数据的格式是新IP报文头+ESP报文头+合并报文头+n个原始IP报文+ESP报文尾+ESP认证尾,其中新的IP报文头包括新的源IP地址、目的IP地址,合并报文头包括合并后报文长度、合并的报文数目, n>0。
7.根据权利要求5所述的IPSEC隧道数据传输装置,其特征在于所述网络数据接收装置包括第二数据接收模块、数据拆分模块、第二数据发送模块、第二协处理器,所述第二数据接收模块接收第一数据发送模块数据,并通过第二协处理器解密、解封装后再通过第二数据接收模块发送至数据拆分模块,数据拆分模块对第二数据接收模块发送的数据进行拆分处理后通过第二数据发送模块进行路由寻径处理,合法报文经路由寻径后转发出去,其中数据拆分模块进行数据拆分的具体过程是:数据拆分模块根据接收到的重组IP数据包的合并报文头所记录的总长度和报文总数,结合每个原始IP报文头,将该数据包逐一分拆成各个不同的原始IP报文,按照IP报文对应的安全策略表逐一进行路由寻径处理,合法IP报文经路由寻径后转发出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310086778.4A CN103139222B (zh) | 2013-03-19 | 2013-03-19 | 一种ipsec隧道数据传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310086778.4A CN103139222B (zh) | 2013-03-19 | 2013-03-19 | 一种ipsec隧道数据传输方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103139222A CN103139222A (zh) | 2013-06-05 |
| CN103139222B true CN103139222B (zh) | 2016-12-28 |
Family
ID=48498527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310086778.4A Active CN103139222B (zh) | 2013-03-19 | 2013-03-19 | 一种ipsec隧道数据传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103139222B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348925A (zh) * | 2013-07-30 | 2015-02-11 | 中兴通讯股份有限公司 | 一种处理原始ip报文的方法和相应装置 |
| CN104639471B (zh) * | 2013-11-06 | 2018-08-24 | 航天信息股份有限公司 | 一种报文分包处理的方法 |
| CN107094144B (zh) * | 2014-01-29 | 2021-01-19 | 上海数字电视国家工程研究中心有限公司 | 基带帧的封装方法及解封装方法 |
| CN103973802A (zh) * | 2014-05-19 | 2014-08-06 | 浪潮电子信息产业股份有限公司 | 一种基于数据压缩融合的网卡驱动设计方法 |
| CN105592030B (zh) * | 2014-11-18 | 2019-06-07 | 华为技术有限公司 | Ip报文处理方法及装置 |
| CN104506318B (zh) * | 2014-12-05 | 2018-05-25 | 中国科学院信息工程研究所 | 基于Trivium算法的数据传输加密和解密的方法 |
| CN106559838B (zh) * | 2015-09-24 | 2019-12-06 | 大唐移动通信设备有限公司 | 业务处理优化方法及装置 |
| CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
| CN106921665B (zh) * | 2017-03-06 | 2020-09-11 | 北京东土军悦科技有限公司 | 一种报文处理方法及网络设备 |
| CN107454116A (zh) * | 2017-10-10 | 2017-12-08 | 郑州云海信息技术有限公司 | 单隧道模式下IPsec ESP协议的优化方法及装置 |
| CN107896222A (zh) * | 2017-12-04 | 2018-04-10 | 山东渔翁信息技术股份有限公司 | 一种数据处理方法及系统 |
| CN108322403B (zh) * | 2018-01-31 | 2022-03-25 | 杭州迪普科技股份有限公司 | 一种Netflow流量分流方法及装置 |
| CN109902204A (zh) * | 2019-01-16 | 2019-06-18 | 北京左江科技股份有限公司 | 一种内容模糊查找方法 |
| CN109756505A (zh) * | 2019-01-16 | 2019-05-14 | 北京左江科技股份有限公司 | 一种对终端设备透明的tcp/ip网络传输报文重组方法 |
| CN111083208B (zh) * | 2019-12-03 | 2022-10-28 | 华为技术有限公司 | 网络结构、网络中网元之间的报文发送方法及接收方法 |
| CN111127209A (zh) * | 2019-12-31 | 2020-05-08 | 中国银行股份有限公司 | 一种基于swift报文的交易处理方法及装置 |
| CN112134914B (zh) * | 2020-02-10 | 2021-08-06 | 北京天德科技有限公司 | 一种基于密码学的分布式安全存储策略 |
| CN111614463B (zh) * | 2020-04-30 | 2023-04-14 | 网络通信与安全紫金山实验室 | 一种基于IPsec封装功能的密钥更新方法及装置 |
| CN111935017B (zh) * | 2020-10-14 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 跨网络的应用调用方法、装置及路由设备 |
| CN114143050B (zh) * | 2021-11-23 | 2023-09-08 | 广东电网有限责任公司 | 一种视频数据加密系统 |
| CN114553461A (zh) * | 2021-12-22 | 2022-05-27 | 中国电子科技集团公司第三十研究所 | 一种网络数据小包高速IPsec处理方法及系统 |
| CN114785866A (zh) * | 2022-04-25 | 2022-07-22 | 北京兴竹同智信息技术股份有限公司 | 一种绿通查验综合数据交互方法、系统、接口及存储介质 |
| CN116166830B (zh) * | 2023-04-21 | 2023-08-11 | 北京象帝先计算技术有限公司 | 数据处理系统、电子组件、电子设备及数据处理方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1612501A (zh) * | 2003-10-27 | 2005-05-04 | 三星电子株式会社 | 利用复帧传送数据 |
| CN101605136A (zh) * | 2009-07-28 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 |
| CN101771597A (zh) * | 2008-12-26 | 2010-07-07 | 中国科学院沈阳自动化研究所 | 一种用于现场级工业无线网络的多报文聚合传输方法 |
| CN101796779A (zh) * | 2007-09-04 | 2010-08-04 | 思科技术公司 | 聚合数据帧的生成 |
| CN101990238A (zh) * | 2010-11-05 | 2011-03-23 | 中国科学院声学研究所 | 一种传感器网络数据聚合的实现方法 |
| CN102118819A (zh) * | 2010-12-28 | 2011-07-06 | 清华大学 | 属性相关的数据聚合方法 |
-
2013
- 2013-03-19 CN CN201310086778.4A patent/CN103139222B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1612501A (zh) * | 2003-10-27 | 2005-05-04 | 三星电子株式会社 | 利用复帧传送数据 |
| CN101796779A (zh) * | 2007-09-04 | 2010-08-04 | 思科技术公司 | 聚合数据帧的生成 |
| CN101771597A (zh) * | 2008-12-26 | 2010-07-07 | 中国科学院沈阳自动化研究所 | 一种用于现场级工业无线网络的多报文聚合传输方法 |
| CN101605136A (zh) * | 2009-07-28 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 |
| CN101990238A (zh) * | 2010-11-05 | 2011-03-23 | 中国科学院声学研究所 | 一种传感器网络数据聚合的实现方法 |
| CN102118819A (zh) * | 2010-12-28 | 2011-07-06 | 清华大学 | 属性相关的数据聚合方法 |
Non-Patent Citations (1)
| Title |
|---|
| IPsec安全协议——AH和ESP在LINUX上实现的研究;钟小玲;《中国优秀硕士学位论文全文数据库》;20021215;正文第7-18页,第50-54页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103139222A (zh) | 2013-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103139222B (zh) | 一种ipsec隧道数据传输方法及装置 | |
| US7774593B2 (en) | Encrypted packet, processing device, method, program, and program recording medium | |
| TWI499342B (zh) | 網路卸載方法與系統 | |
| JP5074558B2 (ja) | IPSecを用いたネットワーク処理 | |
| US9531689B1 (en) | System and method for encryption of network data | |
| DE112005000523B4 (de) | Zwei parallele Maschinen für Hochgeschwindigkeitssende-IPSEC-Verarbeitung | |
| TWI616083B (zh) | 進行資料傳輸的方法和設備 | |
| CN104394148B (zh) | IPv6下IPSec协议外出处理硬件实现系统 | |
| TW201539995A (zh) | 一種在雙連接系統中處理用戶設備端rlc/pdcp實體的方法與設備 | |
| CN101513009A (zh) | 在报头压缩信道中包入服务质量指示 | |
| CN104067562A (zh) | 用于第二层多网络链路隧道的协议 | |
| CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
| US20170359448A1 (en) | Methods and systems for creating protocol header for embedded layer two packets | |
| CN106878138A (zh) | 一种报文传输方法和装置 | |
| WO2014117688A1 (zh) | 一种数据传输方法和相关装置 | |
| CN106453160A (zh) | 一种北斗数据传输方法及系统 | |
| CN109714292A (zh) | 传输报文的方法与装置 | |
| US10498669B2 (en) | Communication system, switch, controller, ancillary data management apparatus, data forwarding method, and program | |
| CN107787570A (zh) | 轻量传送协议 | |
| CN101502041A (zh) | 加密装置、解密装置、加密方法以及解密方法 | |
| CN102638328B (zh) | 一种数据传输的方法及装置 | |
| CN110620762A (zh) | 基于rdma的数据传输方法、网卡、服务器及介质 | |
| CN105873038A (zh) | 一种lte基站用户面数据安全处理方法 | |
| CN107094144A (zh) | 基带帧的封装方法及解封装方法 | |
| Abolade et al. | Overhead effects of data encryption on TCP throughput across IPSEC secured network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: 610041, No. 8, pioneering Road, hi tech Zone, Sichuan, Chengdu Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
| CP03 | Change of name, title or address |