CN105991562A - IPSec加速方法、装置及系统 - Google Patents
IPSec加速方法、装置及系统 Download PDFInfo
- Publication number
- CN105991562A CN105991562A CN201510059986.4A CN201510059986A CN105991562A CN 105991562 A CN105991562 A CN 105991562A CN 201510059986 A CN201510059986 A CN 201510059986A CN 105991562 A CN105991562 A CN 105991562A
- Authority
- CN
- China
- Prior art keywords
- module
- ike
- data forwarding
- message
- link setup
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
- H04L41/0273—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using web services for network management, e.g. simple object access protocol [SOAP]
- H04L41/0286—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using web services for network management, e.g. simple object access protocol [SOAP] for search or classification or discovery of web services providing management functionalities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Abstract
本发明实施例提供一种IPSec加速方法、装置及系统。该方法包括:IKE模块基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文;该IKE模块发送所述IKE建链会话报文给对端设备,与对端设备建立SA;该IKE模块发送所述SA给数据转发模块,其中,IKE模块与数据转发模块为分立的模块。本发明实施例分立设置IKE模块和数据转发模块,这样,IKE模块和数据转发模块可部署于不同的设备,从而可提高IPSec速度。
Description
技术领域
本发明实施例涉及网络安全技术,尤其涉及一种因特网安全协议(英文:Internet Protocol Security,简称:IPSec)加速方法、装置及系统。
背景技术
随着网络业务的迅速发展,对网络信息安全的要求越来越高,互联网工程任务组(英文:Internet Engineering Task Force,简称:IETF)开发了IPSec来保证通信的安全性。
其中,IPSec的工作流程分为两个阶段:
第一阶段:互联网密钥交换(英文:Internet Key Exchange Protocol,简称:IKE)建链。IKE建链为IPSec提供自动协商交换密钥,建立安全联盟(英文:Security Association,简称:SA)的服务。IKE建链包括IKESA载荷交换,密钥交换(英文:Key Exchange,简称:KE)载荷和伪随机信息(英文:Nonce)载荷交换,通信双方计算共享密钥参数、身份认证;以及IPSec SA载荷交换,协商IPSec SA的验证算法和加密算法等。
第二阶段:数据转发。将因特网协议(英文:Internet Protocol,简称:IP)报文进行加/解密、加/解封装等处理后再转发。
现有技术中,运行在linux操作系统平台下的开源产品Openswan的密匙(英文:key)管理工具pluto在IKE建链时,单线程单状态机在用户态处理IKE建链的全部工作,即处理完一个IKE建链的所有报文后,才能接收处理下一个IKE建链的报文,从而导致pluto负担重,建链速度慢。另外,IKE建链与数据转发由单个虚拟机(英文:Virtual Machine,简称:VM)或者主机完成,因虚拟机或主机的处理能力有限,因此,进一步影响IKE建链,且存在数据转发慢的问题。
发明内容
本发明实施例提供一种IPSec加速方法、装置及系统,以解决现有IPSec中IKE建链及数据转发速度慢的问题。
第一方面,本发明实施例提供一种互联网安全协议IPSec加速方法,包括:
互联网密钥交换IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略生成IKE建链会话报文;
所述IKE模块发送所述IKE建链会话报文给对端设备,与所述对端设备建立安全联盟SA;
所述IKE模块发送所述SA给数据转发模块,其中,所述IKE模块与所述数据转发模块为分立的模块。
根据第一方面,在第一方面的第一种可能的实现方式中,所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述IKE模块基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文,包括:
所述IKE模块基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,生成所述IKE建链会话报文。
根据第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述IKE模块发送所述SA给数据转发模块,包括:
所述IKE模块采用远程直接数据存取RDMA或预设协议,将所述SA写入所述数据转发模块。
根据第一方面或第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述IKE模块发送所述SA给数据转发模块,包括:
所述IKE模块采用远程直接数据存取RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
第二方面,本发明实施例提供一种互联网安全协议IPSec加速方法,包括:
互联网密钥交换IKE模块接收IKE建链会话报文;
所述IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略,与所述IKE建链会话报文的发送设备建立安全联盟SA;
所述IKE模块发送所述SA给数据转发模块,其中,所述IKE模块与所述数据转发模块为分立的模块。
根据第二方面,在第二方面的第一种可能的实现方式中,所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述IKE模块基于IPSec配置参数及SPD中的安全策略,与所述IKE建链会话报文的发送设备建立SA,包括:
所述IKE模块基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,与所述IKE建链会话报文的发送设备建立SA。
根据第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述IKE模块发送所述SA给数据转发模块,包括:
所述IKE模块采用远程直接数据存取RDMA或预设协议,将所述SA写入所述数据转发模块。
根据第二方面或第二方面的第一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述IKE模块发送所述SA给数据转发模块,包括:
所述IKE模块采用远程直接数据存取RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
第三方面,本发明实施例提供一种互联网安全协议IPSec加速方法,包括:
数据转发模块接收数据报文,所述数据转发模块部署在加速卡的现场可编程门阵列FPGA芯片上;
所述数据转发模块根据安全联盟SA,对所述数据报文进行并行运算加/解密算法及认证方式,得到目标报文;
所述数据转发模块转发所述目标报文。
根据第三方面,在第三方面的第一种可能的实现方式中,所述数据转发模块根据SA,对所述数据报文进行并行运算加/解密算法及认证方式,得到目标报文之前,还包括:
所述数据转发模块接受互联网密钥交换IKE模块写入所述SA的操作,其中,所述写入所采用的写入方式为远程直接数据存取RDMA或预设协议,所述数据转发模块与所述IKE模块为分立的模块。
第四方面,本发明实施例提供一种互联网密钥交换IKE模块,包括:
处理单元和发送单元,其中,所述发送单元包括第一发送子单元和第二发送子单元;
所述处理单元,用于基于互联网安全协议IPSec配置参数及安全策略数据库SPD中的安全策略生成IKE建链会话报文;
所述第一发送子单元,用于发送所述IKE建链会话报文给对端设备,所述IKE模块通过所述IKE建链会话报文与所述对端设备建立安全联盟SA;
所述第二发送子单元,用于发送所述SA给数据转发模块,其中,所述IKE模块与所述数据转发模块为分立的模块。
根据第四方面,在第四方面的第一种可能的实现方式中,所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述处理单元具体用于:基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,生成所述IKE建链会话报文。
根据第四方面或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述第二发送子单元具体用于:采用远程直接数据存取RDMA或预设协议,将所述SA写入所述数据转发模块。
根据第四方面或第四方面的第一种可能的实现方式,在第四方面的第三种可能的实现方式中,所述第二发送子单元具体用于:采用远程直接数据存取RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
第五方面,本发明实施例提供一种互联网密钥交换IKE模块,包括:
接收单元,用于接收IKE建链会话报文;
处理单元,用于基于互联网安全协议IPSec配置参数及安全策略数据库SPD中的安全策略,与所述IKE建链会话报文的发送设备建立安全联盟SA;
发送单元,用于发送所述SA给所述数据转发模块,其中,所述IKE模块与所述数据转发模块为分立的模块。
根据第五方面,在第五方面的第一种可能的实现方式中,所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述处理单元具体用于:基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,与所述IKE建链会话报文的发送设备建立安全联盟SA。
根据第五方面或第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,所述发送单元具体用于:采用远程直接数据存取RDMA或预设协议,将所述SA写入所述数据转发模块。
根据第五方面或第五方面的第一种可能的实现方式,在第五方面的第三种可能的实现方式中,所述发送单元具体用于:采用远程直接数据存取RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
第六方面,本发明实施例提供一种数据转发模块,所述数据转发模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述数据转发模块包括:
接收单元,用于接收数据报文;
处理单元,用于根据安全联盟SA,对所述数据报文进行并行运算加/解密算法及认证方式,得到目标报文;
发送单元,用于转发所述目标报文。
根据第六方面,在第六方面的第一种可能的实现方式中,所述数据转发模块还包括存储单元:
所述存储单元,用于接受互联网密钥交换IKE模块写入所述SA的操作,其中,所述写入所采用的写入方式为远程直接数据存取RDMA或预设协议,所述数据转发模块与所述IKE模块为分立的模块。
第七方面,本发明实施例提供一种互联网安全协议IPSec加速系统,包括:
如第四方面任一项所述的IKE模块和如第六方面任一项所述的数据转发模块;或者
如第五方面任一项所述的IKE模块和如第六方面任一项所述的数据转发模块;或者
如第四方面任一项所述的IKE模块、如第五方面任一项所述的IKE模块和如第六方面任一项所述的数据转发模块。
本发明实施例IPSec加速方法、装置及系统,通过IKE模块实现IKE建链,通过数据转发模块实现数据报文转发,其中,IKE模块与数据转发模块相互独立,可分别部署于不同的设备中,因此,其性能互不影响,可提高IPSec速度及灵活性,解决现有IPSec存在的IKE建链速度慢及数据转发慢的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明IPSec加速方法实施例一的流程图;
图2为本发明IPSec加速系统实施例一中IKE模块采用PDMA将SA/安全策略写入数据转发模块的示例图;
图3为本发明IPSec加速方法实施例二的流程图;
图4为本发明IPSec加速方法实施例三的流程图;
图5为本发明IKE模块实施例一的结构示意图;
图6为本发明IKE模块实施例二的结构示意图;
图7为本发明数据转发模块实施例一的结构示意图;
图8为本发明IPSec加速系统实施例一的结构示意图;
图9为本发明IPSec加速系统实施例二的结构示意图;
图10示出本发明IPSec加速方法实施例四的流程图;
图11示出本发明IPSec加速方法实施例五的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的基本思想是将IKE建链和数据转发逻辑分离,且物理无限定部署,例如可以在不同设备,例如加速卡、虚拟机、服务器、集群等,可分别加速IKE建链速度及数据转发能力,同时,兼顾高性能和灵活性。
图1为本发明IPSec加速方法实施例一的流程图。本发明实施例提供一种IPSec加速方法,该方法可以由任意执行IPSec加速方法的装置来执行,该装置可以通过软件和/或硬件实现。如图1所示,该方法包括:
S101、IKE模块基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文。
其中,SPD即安全策略数据库(英文:Security Policy Database,简称:SPD)。在SPD中,包含至少一条安全策略(英文:Security Policy,简称:SP),安全策略决定了为一个数据报文提供的安全服务。其中,安全策略包括需要进行保护的数据报文的特征;如何保护数据报文,例如,保护数据报文所采用的加密算法等数据报文处理方法;及,数据报文的收发端信息等。
IPSec配置参数包括但不限于以下参数:网关IP地址、子网设备IP地址、IPSec工作模式(type)、封装格式、IKE SA及IKE SA的生命周期等参数。其中,IPSec工作模式包括隧道模式(tunnel)和传输模式。
S102、IKE模块发送上述IKE建链会话报文给对端设备,与该对端设备建立SA。
IKE模块根据SPD确定接收上述IKE建链会话报文的设备作为对端设备,并将该IKE建链会话报文发送给该对端设备,触发与对端设备的IKE协商,获得SA。
具体地,由于IKE建链包括两个阶段,分别为第一阶段的IKE协商以及第二阶段的IKE协商,因此,这里的SA包括IKE SA以及IPSec SA。其中,第一阶段的IKE协商生成IKE SA,第二阶段的IKE协商生成IPSec SA。第二阶段的IKE协商是在IKE SA的保护下进行的。
S103、IKE模块发送上述SA给数据转发模块,其中,IKE模块与数据转发模块为分立的模块。
该实施例中,IKE模块与数据转发模块是分立的,即相互独立,因此,这两个模块可以集成在同一设备中,也可以分别部署于不同的设备中,也即这两个模块是逻辑分离,且物理无限定部署的。
由上述步骤可知,IKE模块可完成IKE建链,获得SA。另外,数据转发模块根据该SA进行数据报文的转发(数据转发)。
现有技术中,IKE建链与数据转发都由单个虚拟机或者物理机完成,导致IPSec速度慢。
本发明实施例通过将用于实现IKE建链和数据转发的功能的模块进行逻辑分离,即通过IKE模块实现IKE建链,通过数据转发模块实现数据报文转发,其中,IKE模块与数据转发模块相互独立,以加速IPSec会话的建立;还可以增强IPSec处理的灵活性。上述有益效果尤其在高密接入场景的无线局域网(英文:Wireless Local Area Networks,简称:WLAN)中较明显。
在上述实施例的基础上,一种实现方式中,IKE模块可以部署在加速卡的现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)芯片上。在该实现方式中,S101可以包括:IKE模块基于IPSec配置参数及SPD中的安全策略,采用蒙哥马利(Montgomery)算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼(英文:diffie hellman,简称:DH)密钥值,生成IKE建链会话报文。其中,上述大数例如为1024比特(bit)或2048比特,等等。将IKE模块部署在加速卡的FPGA芯片上,减短大数生成及计算DH密钥值所消耗的时长等。
补充说明的是,在Gx8072处理器中,由MiCA模块完成处理IKE建链和数据报文转发工作。MiCA模块具有40Gbps IPSec/安全套接层(英文:SecureSockets Layer,简称:SSL)协议处理能力。其中,IPSec的所有工作均交付给MiCA模块完成。实际场景中若只需要IPSec功能,则MiCA模块的其他特性均属多余,从而造成资源的浪费,增加成本。另外,MiCA模块处理IPSec,其中,IKE建链速度和数据报文转发带宽能力为固定值,也是无法按需扩展的。本发明实施例将IKE模块部署在FPGA芯片,IKE建链速度可根据需求变化,实现按需扩展。
该实现方式中,IKE模块部署在加速设备中。其中,上述如加速卡的FPGA芯片仅为其中一种示例,本发明不以此为限制。
进一步地,S103可以包括:IKE模块采用远程直接数据存取(英文:RemoteDirect Memory Access,简称:RDMA)或预设协议,将所述SA写入数据转发模块。例如,将所述SA写入数据转发模块的内存中。或者,S103可以包括:IKE模块采用RDMA或预设协议,将所述SA写入控制模块,通过该控制模块转发所述SA给数据转发模块。可选地,IKE模块还可以采用RDMA或预设协议,将所述安全策略写入数据转发模块。其中,IKE模块采用RDMA写数据转发模块的内存的方式来传输SA,传输速率可达到20Gbps以上。
其中,对于上述预设协议,本发明不限制其具体种类。例如,可使用任意私有或公开协议在IKE模块和数据转发模块之间传输SA。
如图2所示,以RDMA为例,说明IKE模块11如何将SA/安全策略写入数据转发模块12,其中,IKE模块11包括处理器(例如CPU)111、与处理器111连接的存储器(例如RAM)(未示出)和网络适配器(Network InterfaceCard,简称:NIC)112;数据转发模块12包括处理器(例如CPU)121、与处理器121连接的存储器(例如随机存取存储器RAM)(未示出)和NIC 122。其中,网络适配器又称为网卡或网络接口卡。RDMA的过程如下:
S201、处理器111采用总线和接口标准(PCI-E),将IKE模块11内设到的存储器中的SA/安全策略写入NIC 112。
其中,写入NIC 112的数据包括存储SA/安全策略的内存起始地址,SA/安全策略的长度等。
需要说明的是,该实施例以RDMA为例说明模块之间的数据传输,所以采用PCI-E总线接口;如果采用其他的预设协议,例如私有协议,本发明不限制总线接口的类型,可以是PCI-E总线接口,也可以是其他的。
S202、NIC 112发送RDMA写请求给NIC 122。
其中,RDMA写请求携带上述SA/安全策略。RDMA写请求对应的函数例如为:Write(local_buf,size,remote_addr),local_buf,用于表示NIC 112中缓存SA/安全策略的位置,size用于表示SA/安全策略的长度,remote_addr用于表示远程目的地址,即SA/安全策略在NIC 122中的写入地址。
S203、处理器121采用PCIe直接内存存取(Direct Memory Access,简称:DMA),将NIC 122中的SA/安全策略写入数据转发模块12中的存储器。
现有技术中,pluto从用户态写SA到内核态耗时较长。而本实施例中,IKE模块采用RDMA将SA快速移动到远程的数据转发模块中,而不对操作系统造成影响,这样就不会过用到多少计算机的处理功能。RDMA消除了外部存储器复制和文本交换操作,因而能解放内存带宽和中央处理器(英文:Central Processing Unit,简称:CPU)周期用于改进应用系统性能。
对应上述实施例中IKE模块发出IKE建链会话报文给对端设备,与该对端设备建立SA,以下说明对端设备侧的相应流程。
图3为本发明IPSec加速方法实施例二的流程图。本发明实施例提供一种IPSec加速方法,该方法可以由任意执行IPSec加速方法的装置(该实施例以IKE模块为例说明)来执行,该装置可以通过软件和/或硬件实现。如图3所示,该方法包括:
S301、IKE模块接收IKE建链会话报文。
S302、IKE模块基于IPSec配置参数及SPD中的安全策略,与上述IKE建链会话报文的发送设备建立SA。
S303、IKE模块发送所述SA给数据转发模块,其中,IKE模块与数据转发模块为分立的模块。
其中,图3所示实施例与图1所示实施例互为对端流程,其中,图1所示实施例为发起IKE协商的一端,图3所示实施例为响应IKE协商的一端,因此,其实现原理和技术效果类似,此处不再赘述。
可选地,IKE模块部署在加速卡的FPGA芯片上。S302可以包括:IKE模块基于IPSec配置参数及SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,与所述IKE建链会话报文的发送设备建立SA。
一种实施例中,S303可以包括:IKE模块采用RDMA或预设协议,将上述SA写入数据转发模块。
另一种实施例中,S303可以包括:IKE模块采用RDMA或预设协议,将上述SA写入控制模块,通过控制模块转发该SA给数据转发模块。
对应上述实施例中IKE模块将SA发送给数据转发模块,以下说明数据转发模块一侧的处理流程。
图4为本发明IPSec加速方法实施例三的流程图。本发明实施例提供一种IPSec加速方法,该方法可以由任意执行IPSec加速方法的装置(该实施例以数据转发模块为例说明)来执行,该装置可以通过软件和/或硬件实现。如图4所示,该方法包括:
S401、数据转发模块接收数据报文,该数据转发模块部署在加速卡的FPGA芯片上。
S402、数据转发模块根据SA,对上述数据报文进行并行运算加/解密算法及认证方式,得到目标报文。
S403、数据转发模块转发所述目标报文。
一种场景中,数据转发模块接收子网设备发送的第一数据报文,根据上述SA,对第一数据报文进行加密及封装处理后转发给对端设备。
另一种场景中,数据转发模块接收上述对端设备发送的第二数据报文,根据所述SA,对第二数据报文进行解密及解封装处理后,转发给上述子网设备。
其中,该子网设备是基于集成数据转发模块的设备所服务的局域网设备;对端设备包括所述局域网外的、与基于集成数据转发模块的设备进行通信的设备;所述数据报文包括第一数据报文和第二数据报文;所述目标报文包括上述对第一数据报文进行加密及封装处理后的报文及对第二数据报文进行解密及解封装处理后的报文。
该实施例与现有技术的区别包括:本发明中的数据转发模块部署在加速卡的FPGA芯片上。这样,可实现数据转发模块快速处理封装安全载荷(英文:Encapsulation Security Payload,简称:ESP)协议报文,或认证头(英文:Authentication Header,简称:AH)协议报文,从而减少耗时,加快IPSec的数据转发处理,从而实现IPSec加速。也就是说,ESP协议报文和AH协议报文包含于所述数据报文。
在上述实施例中,S402之前,该IPSec加速方法还可以包括:数据转发模块接受IKE模块写入所述SA的操作,其中,所述写入所采用的写入方式为RDMA或预设协议,数据转发模块与IKE模块为分立的模块。
本发明实施例通过将用于实现IKE建链和数据转发的功能的模块进行逻辑分离,即通过IKE模块实现IKE建链,通过数据转发模块实现数据报文转发,其中,IKE模块与数据转发模块相互独立,以加速IPSec会话的建立;还可以增强IPSec处理的灵活性。上述有益效果尤其在高密接入场景的WLAN中较明显。且,现有技术中,pluto从用户态写SA到内核态耗时较长。而本实施例中,IKE模块采用RDMA将SA快速移动到远程的数据转发模块中,而不对操作系统造成影响,这样就不会过用到多少计算机的处理功能。RDMA消除了外部存储器复制和文本交换操作,因而能解放内存带宽和CPU周期用于改进应用系统性能。
图5为本发明IKE模块实施例一的结构示意图。本发明实施例提供一种IKE模块,该模块可以通过软件和/或硬件实现。如图5所示,IKE模块50包括:处理单元51和发送单元52,其中,发送单元52包括第一发送子单元521和第二发送子单元522。
其中,处理单元51用于基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文。第一发送子单元521用于发送所述IKE建链会话报文给对端设备,IKE模块50通过所述IKE建链会话报文与所述对端设备建立SA。第二发送子单元522用于发送所述SA给数据转发模块(未示出),其中,IKE模块50与数据转发模块为分立的模块。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
可选地,IKE模块50部署在加速卡的FPGA芯片上。处理单元51可以具体用于:基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,生成所述IKE建链会话报文。
进一步地,第二发送子单元522可以具体用于:采用RDMA或预设协议,将所述SA写入所述数据转发模块。或者,第二发送子单元522可以具体用于:采用RDMA或预设协议,将所述SA写入控制模块(未示出),通过所述控制模块转发所述SA给所述数据转发模块。
图6为本发明IKE模块实施例二的结构示意图。本发明实施例提供一种IKE模块,该模块可以通过软件和/或硬件实现。如图6所示,IKE模块60包括:接收单元61、处理单元62和发送单元63。
其中,接收单元61用于接收IKE建链会话报文。处理单元62用于基于IPSec配置参数及SPD中的安全策略,与所述IKE建链会话报文的发送设备建立SA。发送单元63用于发送所述SA给数据转发模块(未示出),其中,所述IKE模块与所述数据转发模块为分立的模块。
本实施例的装置,可以用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,IKE模块60可部署在加速卡的FPGA芯片上。处理单元62可以具体用于:基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,与所述IKE建链会话报文的发送设备建立SA。
其中,发送单元63可以具体用于:采用RDMA或预设协议,将所述SA写入所述数据转发模块。或者,发送单元63可以具体用于:采用RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
图7为本发明数据转发模块实施例一的结构示意图。本发明实施例提供一种数据转发模块,该模块可以通过软件和/或硬件实现,该模块部署在加速卡的FPGA芯片上。如图7所示,数据转发模块70包括:接收单元71、处理单元72和发送单元73。
其中,接收单元71用于接收数据报文。处理单元72用于根据SA,对所述数据报文进行并行运算加/解密算法及认证方式,得到目标报文。发送单元73用于转发所述目标报文。
本实施例的装置,可以用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
可选地,数据转发模块70还可以包括存储单元(未示出)。该存储单元用于接受IKE模块写入所述SA的操作,其中,所述写入所采用的写入方式为RDMA或预设协议,所述数据转发模块与所述IKE模块为分立的模块。
图8为本发明IPSec加速系统实施例一的结构示意图。本发明实施例提供一种IPSec加速系统。如图8所示,该IPSec加速系统80包括:IKE模块81和数据转发模块82。IKE模块81和数据转发模块82分别独立部署在不同的加速设备(未示出)中。其中,IKE模块81和数据转发模块82之间的连接可以为有线连接或无线连接(例如网络连接)。
其中,IKE模块81用于IKE建链。数据转发模块82用于转发数据报文。
具体地,当IPSec加速系统80作为IPSec的主动端(发起端)时,IKE模块81具体用于基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文,发送该IKE建链会话报文给对端设备,与对端设备建立SA;以及,发送该SA给数据转发模块82。该情况下,数据转发模块82用于接收子网设备发送的第一数据报文,根据上述SA,对第一数据报文进行加密及封装处理后转发给上述对端设备;及,接收上述对端设备发送的第二数据报文,根据所述SA,对第二数据报文进行解密及解封装处理后,转发给上述子网设备,其中,该子网设备是基于集成数据转发模块82的设备所服务的局域网设备。
当IPSec加速系统80作为IPSec的被动端(非发起端)时,IKE模块81具体用于接收IKE建链会话报文;基于IPSec配置参数及SPD中的安全策略,与IKE建链会话报文的发送设备建立SA;以及,发送SA给数据转发模块82。数据转发模块82用于接收上述发送设备发送的第一数据报文,根据上述SA,对第一数据报文进行解密及解封装处理后,转发给子网设备;及,接收该子网设备发送的第二数据报文,根据SA,对第二数据报文进行加密及封装处理后转发给上述发送设备,其中,该子网设备是基于集成数据转发模块82的设备所服务的局域网设备。
对于第一数据报文和第二数据报文中的每一个,本领域技术人员可以将其理解为ESP协议报文,或AH协议报文等。还需说明的是,在本发明任一实施例中,“第一”和“第二”仅为区分不同的数据报文,并非用于指代第一个数据报文和第二数据报文。
现有技术中,IKE建链与数据转发都由单个虚拟机或者物理机完成,导致IPSec速度慢。本发明实施例通过将用于实现IKE建链和数据转发的功能的模块进行逻辑分离,即通过IKE模块实现IKE建链,通过数据转发模块实现数据报文转发,其中,IKE模块与数据转发模块相互独立,分别部署在不同的加速设备中,以加速IPSec会话的建立,例如,减短大数生成及计算DH密钥值所消耗的时长等;还可以增强IPSec处理的灵活性。上述有益效果尤其在高密接入场景的WLAN中较明显。
在上述实施例中,数据转发模块82可用于数据报文AH认证计算等,其具体功能可参考现有技术中如Linux内核对数据报文的处理,此处不再赘述。
图9为本发明IPSec加速系统实施例二的结构示意图。如图9所示,在图8所示实施例的基础上,IPSec加速系统90还可以包括分类模块91。其中,分类模块91可用于:接收报文;检索预设的分类策略,分发该报文,该接收和分发的报文包括上述IKE建链会话报文和数据报文。
具体地,分类模块91检索预设的分类策略,例如访问控制列表(AccessControl List,简称:ACL)规则,该ACL规则包括有报文的源IP,源端口,目的IP,目的端口和协议号。其中,目的地址为IKE模块及目的端口号为500或4500的报文发送到IKE模块;目的地址为数据转发模块的报文发送到数据转发模块。参考图9,该示例具体体现到ACL中,可以表示为以下内容:
条件1:目的IP=IKE模块及目的端口号=500的报文,动作1:从第2端口转发到IKE模块81;
条件2:目的IP=IKE模块及目的端口号=4500的报文,动作2:从第2端口转发到IKE模块81;
条件3:目的IP=IPSEC保护子网设备IP的报文,动作3:从第3端口转发到数据转发模块82。
进一步地,IPSec加速系统90还可以包括控制模块92。控制模块92可用于发送IPSec配置参数给IKE模块81。可选地,控制模块92还可以用于:发送上述预设的分类策略给分类模块91。另外,分类模块91将上述未提及的报文上报给控制模块92处理。
基于图9所示结构实施例,下面采用几个具体的实施例,对本发明实施例IPSec加速方法进行详细说明。
一种实施例中,IKE模块81维护SA数据库和安全策略数据库。图10示出本发明IPSec加速方法实施例四的流程图。如图10所示,该方法包括:
S1001、控制模块92发送预设的分类策略给分类模块91。
S1002、控制模块92发送IPSec配置参数给IKE模块81。
其中,S1001和S1002为可选步骤。
S1003、分类模块91接收报文。
S1004、分类模块91根据预设的分类策略,确定该报文的接收端。若报文的目的地址为IKE模块81及端口号为500或4500,将执行S1005至1007;若报文的目的地址为数据转发模块82,则执行S1008至S1009;其它报文发送给控制模块92,由控制模块92进行处理,例如丢弃该报文等。
S1005、分类模块91发送报文给IKE模块81。
该步骤中,报文可以理解为IKE建链会话报文。
S1006、IKE模块81通过该报文与对端设备建立SA。
S1007、IKE模块81发送SA/安全策略给数据转发模块82。
S1008、分类模块91发送报文给数据转发模块82。
该步骤中,报文可以理解为数据报文,例如上述第一数据报文和第二数据报文。
S1009、数据转发模块82根据已建立的SA,转发该报文。
具体地,数据转发模块82接收对端设备(例如上述发送设备)发送的第一数据报文,根据上述SA,对第一数据报文进行解密及解封装处理后,转发给子网设备。或者,接收子网设备发送的第二数据报文,根据SA,对第二数据报文进行加密及封装处理后转发给对端设备。其中,该子网设备是基于集成数据转发模块82的设备所服务的局域网设备。
上述实施例中,IKE模块81维护SA数据库和安全策略数据库。
另一种实施例中,控制模块92维护SA数据库和安全策略数据库。图11示出本发明IPSec加速方法实施例五的流程图。如图11所示,该方法包括:
S111、控制模块92发送预设的分类策略给分类模块91。
S112、控制模块92发送IPSec配置参数给IKE模块81。
其中,S111和S112为可选步骤。
S113、分类模块91接收报文。
S114、分类模块91根据预设的分类策略,确定该报文的接收端。若报文的目的地址为IKE模块81及端口号为500或4500,将执行S115至S118;若报文的目的地址为数据转发模块82,则执行S119至S120;其它报文发送给控制模块92,由控制模块92进行处理,例如丢弃该报文等。
S115、分类模块91发送报文给IKE模块81。
该步骤中,报文可以理解为IKE建链会话报文。
S116、IKE模块81通过该报文与对端设备建立SA。
S117、IKE模块81发送SA给控制模块92。
S118、控制模块92发送SA给数据转发模块82。
S119、分类模块91发送报文给数据转发模块82。
该步骤中,报文可以理解为数据报文,例如上述第一数据报文和第二数据报文。
S120、数据转发模块82根据已建立的SA,转发该报文。
该实施例中,IKE模块81首先将SA发送给控制模块92,再由控制模块92将SA发送给数据转发模块82,通过控制模块92管理SA数据库。
其中,不同模块之间数据的传输,比如SA在IKE模块81和数据转发模块82之间的传输,或,SA在IKE模块81和控制模块92之间的传输,或,SA在控制模块92和数据转发模块82之间的传输,都可以采用RDMA和/或预设协议,但本发明不以此为限。
还需说明的是,本发明实施例的IPSec加速系统至少可以包括以下三种类型:类型一,如图5所示的IKE模块和如图7所示的数据转发模块;类型二,如图6所示的IKE模块和如图7所示的数据转发模块;类型三,如图5所示的IKE模块、如图6所示的IKE模块和如图7所示的数据转发模块。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (21)
1.一种互联网安全协议IPSec加速方法,其特征在于,包括:
互联网密钥交换IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略生成IKE建链会话报文;
所述IKE模块发送所述IKE建链会话报文给对端设备,与所述对端设备建立安全联盟SA;
所述IKE模块发送所述SA给数据转发模块,其中,所述IKE模块与所述数据转发模块为分立的模块。
2.根据权利要求1所述的方法,其特征在于,所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述IKE模块基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文,包括:
所述IKE模块基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,生成所述IKE建链会话报文。
3.根据权利要求1或2所述的方法,其特征在于,所述IKE模块发送所述SA给数据转发模块,包括:
所述IKE模块采用远程直接数据存取RDMA或预设协议,将所述SA写入所述数据转发模块。
4.根据权利要求1或2所述的方法,其特征在于,所述IKE模块发送所述SA给数据转发模块,包括:
所述IKE模块采用远程直接数据存取RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
5.一种互联网安全协议IPSec加速方法,其特征在于,包括:
互联网密钥交换IKE模块接收IKE建链会话报文;
所述IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略,与所述IKE建链会话报文的发送设备建立安全联盟SA;
所述IKE模块发送所述SA给数据转发模块,其中,所述IKE模块与所述数据转发模块为分立的模块。
6.根据权利要求5所述的方法,其特征在于,所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述IKE模块基于IPSec配置参数及SPD中的安全策略,与所述IKE建链会话报文的发送设备建立SA,包括:
所述IKE模块基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,与所述IKE建链会话报文的发送设备建立SA。
7.根据权利要求5或6所述的方法,其特征在于,所述IKE模块发送所述SA给数据转发模块,包括:
所述IKE模块采用远程直接数据存取RDMA或预设协议,将所述SA写入所述数据转发模块。
8.根据权利要求5或6所述的方法,其特征在于,所述IKE模块发送所述SA给数据转发模块,包括:
所述IKE模块采用远程直接数据存取RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
9.一种互联网安全协议IPSec加速方法,其特征在于,包括:
数据转发模块接收数据报文,所述数据转发模块部署在加速卡的现场可编程门阵列FPGA芯片上;
所述数据转发模块根据安全联盟SA,对所述数据报文进行并行运算加/解密算法及认证方式,得到目标报文;
所述数据转发模块转发所述目标报文。
10.根据权利要求9所述的方法,其特征在于,所述数据转发模块根据SA,对所述数据报文进行并行运算加/解密算法及认证方式,得到目标报文之前,还包括:
所述数据转发模块接受互联网密钥交换IKE模块写入所述SA的操作,其中,所述写入所采用的写入方式为远程直接数据存取RDMA或预设协议,所述数据转发模块与所述IKE模块为分立的模块。
11.一种互联网密钥交换IKE模块,其特征在于,包括:处理单元和发送单元,其中,所述发送单元包括第一发送子单元和第二发送子单元;
所述处理单元,用于基于互联网安全协议IPSec配置参数及安全策略数据库SPD中的安全策略生成IKE建链会话报文;
所述第一发送子单元,用于发送所述IKE建链会话报文给对端设备,所述IKE模块通过所述IKE建链会话报文与所述对端设备建立安全联盟SA;
所述第二发送子单元,用于发送所述SA给数据转发模块,其中,所述IKE模块与所述数据转发模块为分立的模块。
12.根据权利要求11所述的IKE模块,其特征在于,所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述处理单元具体用于:
基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,生成所述IKE建链会话报文。
13.根据权利要求11或12所述的IKE模块,其特征在于,所述第二发送子单元具体用于:
采用远程直接数据存取RDMA或预设协议,将所述SA写入所述数据转发模块。
14.根据权利要求11或12所述的IKE模块,其特征在于,所述第二发送子单元具体用于:
采用远程直接数据存取RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
15.一种互联网密钥交换IKE模块,其特征在于,包括:
接收单元,用于接收IKE建链会话报文;
处理单元,用于基于互联网安全协议IPSec配置参数及安全策略数据库SPD中的安全策略,与所述IKE建链会话报文的发送设备建立安全联盟SA;
发送单元,用于发送所述SA给所述数据转发模块,其中,所述IKE模块与所述数据转发模块为分立的模块。
16.根据权利要求15所述的IKE模块,其特征在于,所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述处理单元具体用于:基于所述IPSec配置参数及所述SPD中的安全策略,采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算,生成大数及计算迪菲-赫尔曼密钥值,与所述IKE建链会话报文的发送设备建立安全联盟SA。
17.根据权利要求15或16所述的IKE模块,其特征在于,所述发送单元具体用于:采用远程直接数据存取RDMA或预设协议,将所述SA写入所述数据转发模块。
18.根据权利要求15或16所述的IKE模块,其特征在于,所述发送单元具体用于:采用远程直接数据存取RDMA或预设协议,将所述SA写入控制模块,通过所述控制模块转发所述SA给所述数据转发模块。
19.一种数据转发模块,其特征在于,所述数据转发模块部署在加速卡的现场可编程门阵列FPGA芯片上,所述数据转发模块包括:
接收单元,用于接收数据报文;
处理单元,用于根据安全联盟SA,对所述数据报文进行并行运算加/解密算法及认证方式,得到目标报文;
发送单元,用于转发所述目标报文。
20.根据权利要求19所述的数据转发模块,其特征在于,所述数据转发模块还包括存储单元:
所述存储单元,用于接受互联网密钥交换IKE模块写入所述SA的操作,其中,所述写入所采用的写入方式为远程直接数据存取RDMA或预设协议,所述数据转发模块与所述IKE模块为分立的模块。
21.一种互联网安全协议IPSec加速系统,其特征在于,包括:
如权利要求11-14任一项所述的IKE模块和如权利要求19或20所述的数据转发模块;或者
如权利要求15-18任一项所述的IKE模块和如权利要求19或20所述的数据转发模块;或者
如权利要求11-14任一项所述的IKE模块、如权利要求15-18任一项所述的IKE模块和如权利要求19或20所述的数据转发模块。
Priority Applications (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510059986.4A CN105991562B (zh) | 2015-02-05 | 2015-02-05 | IPSec加速方法、装置及系统 |
| EP15880958.2A EP3247074B1 (en) | 2015-02-05 | 2015-10-30 | Ipsec acceleration method, device and system |
| ES15880958T ES2866103T3 (es) | 2015-02-05 | 2015-10-30 | Método, dispositivo, y sistema de aceleración de IPSec |
| JP2017541359A JP6617984B2 (ja) | 2015-02-05 | 2015-10-30 | IPSecアクセラレーション方法、装置およびシステム |
| EP21156711.0A EP3886366B1 (en) | 2015-02-05 | 2015-10-30 | Ipsec acceleration method, apparatus, and system |
| PCT/CN2015/093381 WO2016124016A1 (zh) | 2015-02-05 | 2015-10-30 | IPSec加速方法、装置及系统 |
| PT158809582T PT3247074T (pt) | 2015-02-05 | 2015-10-30 | Método, dispositivo e sistema de aceleração ipsec |
| US15/670,736 US11063812B2 (en) | 2015-02-05 | 2017-08-07 | Ipsec acceleration method, apparatus, and system |
| US17/351,994 US11729042B2 (en) | 2015-02-05 | 2021-06-18 | IPSec acceleration method, apparatus, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510059986.4A CN105991562B (zh) | 2015-02-05 | 2015-02-05 | IPSec加速方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105991562A true CN105991562A (zh) | 2016-10-05 |
| CN105991562B CN105991562B (zh) | 2019-07-23 |
Family
ID=56563408
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510059986.4A Active CN105991562B (zh) | 2015-02-05 | 2015-02-05 | IPSec加速方法、装置及系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US11063812B2 (zh) |
| EP (2) | EP3886366B1 (zh) |
| JP (1) | JP6617984B2 (zh) |
| CN (1) | CN105991562B (zh) |
| ES (1) | ES2866103T3 (zh) |
| PT (1) | PT3247074T (zh) |
| WO (1) | WO2016124016A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106909527A (zh) * | 2017-02-19 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种系统加速方法及装置 |
| CN107172072A (zh) * | 2017-06-09 | 2017-09-15 | 中国电子科技集团公司第四十研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
| CN108494744A (zh) * | 2018-03-07 | 2018-09-04 | 杭州迪普科技股份有限公司 | 一种IPsec VPN客户端报文处理方法及装置 |
| CN108924157A (zh) * | 2018-07-25 | 2018-11-30 | 杭州迪普科技股份有限公司 | 一种基于IPSec VPN的报文转发方法及装置 |
| CN109428852A (zh) * | 2017-07-18 | 2019-03-05 | 中兴通讯股份有限公司 | 通信隧道端点地址分离方法、终端、ePDG及存储介质 |
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11196726B2 (en) | 2019-03-01 | 2021-12-07 | Cisco Technology, Inc. | Scalable IPSec services |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838590A (zh) * | 2005-03-21 | 2006-09-27 | 松下电器产业株式会社 | 在会话起始协议信号过程提供因特网密钥交换的方法及系统 |
| CN101697522A (zh) * | 2009-10-16 | 2010-04-21 | 深圳华为通信技术有限公司 | 虚拟专用网组网方法及通信系统以及相关设备 |
| US20110228934A1 (en) * | 2010-03-18 | 2011-09-22 | Fujitsu Limited | Communication device and communication method |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000020490A (ja) | 1998-07-01 | 2000-01-21 | Fujitsu Ltd | 遠隔手続き呼出し機構またはオブジェクトリクエストブローカ機構を有する計算機、データ転送方法、および転送方法記憶媒体 |
| JP3603830B2 (ja) * | 2001-09-28 | 2004-12-22 | 日本電気株式会社 | セキュリティゲートウェイ装置 |
| US7536548B1 (en) * | 2002-06-04 | 2009-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing multi-tier-security for network data exchange with industrial control components |
| JP3992579B2 (ja) * | 2002-10-01 | 2007-10-17 | 富士通株式会社 | 鍵交換代理ネットワークシステム |
| US7350233B1 (en) * | 2003-09-12 | 2008-03-25 | Nortel Networks Limited | Fast re-establishment of communications for virtual private network devices |
| JP2006041684A (ja) * | 2004-07-23 | 2006-02-09 | Sony Corp | 暗号処理装置および暗号処理方法 |
| US7783880B2 (en) * | 2004-11-12 | 2010-08-24 | Microsoft Corporation | Method and apparatus for secure internet protocol (IPSEC) offloading with integrated host protocol stack management |
| US20080137863A1 (en) * | 2006-12-06 | 2008-06-12 | Motorola, Inc. | Method and system for using a key management facility to negotiate a security association via an internet key exchange on behalf of another device |
| US8141126B2 (en) * | 2007-01-24 | 2012-03-20 | International Business Machines Corporation | Selective IPsec security association recovery |
| EP1956755A1 (en) * | 2007-02-08 | 2008-08-13 | Matsushita Electric Industrial Co., Ltd. | Network controlled overhead reduction of data packets by route optimization procedure |
| US7904711B2 (en) * | 2007-10-24 | 2011-03-08 | Harris Corporation | Scaleable architecture to support high assurance internet protocol encryption (HAIPE) |
| US8272046B2 (en) * | 2007-11-13 | 2012-09-18 | Cisco Technology, Inc. | Network mobility over a multi-path virtual private network |
| EP2166724A1 (en) * | 2008-09-23 | 2010-03-24 | Panasonic Corporation | Optimization of handovers to untrusted non-3GPP networks |
| JP4850884B2 (ja) * | 2008-10-02 | 2012-01-11 | 株式会社日立製作所 | べき乗剰余演算器 |
| US8892789B2 (en) * | 2008-12-19 | 2014-11-18 | Netapp, Inc. | Accelerating internet small computer system interface (iSCSI) proxy input/output (I/O) |
| JP2011077931A (ja) * | 2009-09-30 | 2011-04-14 | Canon Inc | IPsec通信方法および装置 |
| US20110113236A1 (en) * | 2009-11-02 | 2011-05-12 | Sylvain Chenard | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism |
-
2015
- 2015-02-05 CN CN201510059986.4A patent/CN105991562B/zh active Active
- 2015-10-30 EP EP21156711.0A patent/EP3886366B1/en active Active
- 2015-10-30 WO PCT/CN2015/093381 patent/WO2016124016A1/zh active Application Filing
- 2015-10-30 JP JP2017541359A patent/JP6617984B2/ja active Active
- 2015-10-30 EP EP15880958.2A patent/EP3247074B1/en active Active
- 2015-10-30 ES ES15880958T patent/ES2866103T3/es active Active
- 2015-10-30 PT PT158809582T patent/PT3247074T/pt unknown
-
2017
- 2017-08-07 US US15/670,736 patent/US11063812B2/en active Active
-
2021
- 2021-06-18 US US17/351,994 patent/US11729042B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838590A (zh) * | 2005-03-21 | 2006-09-27 | 松下电器产业株式会社 | 在会话起始协议信号过程提供因特网密钥交换的方法及系统 |
| CN101697522A (zh) * | 2009-10-16 | 2010-04-21 | 深圳华为通信技术有限公司 | 虚拟专用网组网方法及通信系统以及相关设备 |
| US20110228934A1 (en) * | 2010-03-18 | 2011-09-22 | Fujitsu Limited | Communication device and communication method |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106909527A (zh) * | 2017-02-19 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种系统加速方法及装置 |
| CN107172072A (zh) * | 2017-06-09 | 2017-09-15 | 中国电子科技集团公司第四十研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
| CN107172072B (zh) * | 2017-06-09 | 2020-11-06 | 中国电子科技集团公司第四十一研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
| CN109428852A (zh) * | 2017-07-18 | 2019-03-05 | 中兴通讯股份有限公司 | 通信隧道端点地址分离方法、终端、ePDG及存储介质 |
| CN109428852B (zh) * | 2017-07-18 | 2023-09-15 | 中兴通讯股份有限公司 | 通信隧道端点地址分离方法、终端、ePDG及存储介质 |
| CN108494744A (zh) * | 2018-03-07 | 2018-09-04 | 杭州迪普科技股份有限公司 | 一种IPsec VPN客户端报文处理方法及装置 |
| CN108494744B (zh) * | 2018-03-07 | 2021-08-24 | 杭州迪普科技股份有限公司 | 一种IPsec VPN客户端报文处理方法及装置 |
| CN108924157A (zh) * | 2018-07-25 | 2018-11-30 | 杭州迪普科技股份有限公司 | 一种基于IPSec VPN的报文转发方法及装置 |
| CN108924157B (zh) * | 2018-07-25 | 2021-04-27 | 杭州迪普科技股份有限公司 | 一种基于IPSec VPN的报文转发方法及装置 |
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11063812B2 (en) | 2021-07-13 |
| EP3247074A1 (en) | 2017-11-22 |
| EP3886366B1 (en) | 2023-12-06 |
| WO2016124016A1 (zh) | 2016-08-11 |
| JP2018504645A (ja) | 2018-02-15 |
| PT3247074T (pt) | 2021-03-24 |
| US20170359214A1 (en) | 2017-12-14 |
| EP3247074A4 (en) | 2017-12-06 |
| US11729042B2 (en) | 2023-08-15 |
| EP3886366A1 (en) | 2021-09-29 |
| ES2866103T3 (es) | 2021-10-19 |
| JP6617984B2 (ja) | 2019-12-11 |
| CN105991562B (zh) | 2019-07-23 |
| EP3247074B1 (en) | 2021-02-17 |
| US20210314214A1 (en) | 2021-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105991562A (zh) | IPSec加速方法、装置及系统 | |
| EP3603003B1 (en) | Hardware-accelerated secure communication management | |
| US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
| JP2022023942A (ja) | クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ | |
| US20170063808A1 (en) | Systems and methods for offloading ipsec processing to an embedded networking device | |
| CN105556403B (zh) | 限制工业控制中的通信 | |
| JP2018139448A5 (zh) | ||
| JP5746446B2 (ja) | ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード | |
| CN108418817A (zh) | 一种加密方法及装置 | |
| CN107181716A (zh) | 一种基于国家商用密码算法的网络安全通信系统及方法 | |
| WO2020186694A1 (zh) | 一种虚拟专用网络的通信方法及相关装置 | |
| CN102761494A (zh) | 一种ike协商处理方法及装置 | |
| CN113055269A (zh) | 虚拟专用网络数据的传输方法及装置 | |
| CN102170434A (zh) | 一种基于多核处理器实现ipsec的方法及其装置 | |
| CN112019418B (zh) | 基于野蛮模式的IPSec隧道建立方法及其装置 | |
| CN111835613B (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
| JP2004328359A (ja) | パケット処理装置 | |
| CN101227480A (zh) | 一种安全的传输多维地址协议数据分组的方法和装置以及系统 | |
| KR101755620B1 (ko) | 네트워크 장비 및 그 제어 방법 | |
| CN105554030A (zh) | 一种安全云存储方法 | |
| CN117118636A (zh) | IPv6国密安全网卡 | |
| JP2019145889A (ja) | スイッチングハブ及び制御通信ネットワークシステム | |
| Tan et al. | A 10 Gbit/s IPSec Gateway Implementation | |
| CN104486363A (zh) | 一种云安全保障系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |