CN106161386A - 一种实现IPsec分流的方法和装置 - Google Patents
一种实现IPsec分流的方法和装置 Download PDFInfo
- Publication number
- CN106161386A CN106161386A CN201510180550.0A CN201510180550A CN106161386A CN 106161386 A CN106161386 A CN 106161386A CN 201510180550 A CN201510180550 A CN 201510180550A CN 106161386 A CN106161386 A CN 106161386A
- Authority
- CN
- China
- Prior art keywords
- message
- module
- ipsec
- spd
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现IP层协议安全(IPsec)分流的方法和装置,包括:预先关联不同的业务实例模块和对应的安全策略数据库SPD模块;其中,业务实例模块为两个或两个以上;SPD模块为两个或两个以上;还包括:业务实例模块生成报文并发送给与自身关联的SPD模块;SPD模块判断出报文需要进行IPsec处理,将报文和表示报文需要进行IPsec处理的信息发送给认证头协议AH/封装安全载荷协议ESP模块;AH/ESP模块进行对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。通过本发明的方案,在有大量报文时,可以使用不同的SPD模块同时处理不同的报文,从而提高了协议栈处理报文的能力。
Description
技术领域
本发明涉及通信领域,尤指一种实现IP层协议安全(IPsec,InternetProtocol Security)分流的方法和装置。
背景技术
IPsec是因特网工程任务组(IETF,Internet Engineering Task Force)的IPsec小组建立的一组互联网协议(IP,Internet Protocol)安全协议集。IPsec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
IPsec涉及到加解密技术时,会对符合IPsec过滤规则的报文进行加解密处理,这样会消耗较多的CPU资源。为了减少CPU资源的消耗,当前一些大型设备通过使用分布式多IPsec专用业务板的方式来处理IPsec业务。
但在一些小型设备,或缺少IPsec专用业务板的设备上,IPsec业务通常是嵌入在系统协议栈中处理。对于IPsec业务通常是嵌入在系统协议栈中处理的情况,现有的实现IPsec分流的方法大致包括:
图1为现有IPsec出向处理的示意图。如图1所示,当发送报文时,业务实例模块生成报文后,安全策略数据库(SPD,Security Policy Database)选择模块需要根据报文的源IP地址和目的IP地址对报文进行安全策略过滤,如果报文不需要进行IPsec处理,则直接转发通过;如果报文需要丢弃,则直接丢弃;如果报文需要进行IPsec封装,则对报文进行加密,对加密后的报文封装IPsec头后再转发。
图2为现有IPsec入向处理的示意图。如图2所示,当接收报文时,多路分配器根据报文中的协议号判断报文是否是经过IPsec封装的报文,如果是经过IPsec封装的报文,则对报文进行IPsec解封装,对解封装后的报文进行解密,然后对解密后的报文进行策略过滤,将不符合策略的报文丢弃,将符合策略的报文转发给业务实例模块;如果不是经过IPsec封装的报文,则对报文进行策略过滤,将不符合策略的报文丢弃,将符合策略的报文转发给业务实例模块。
现有的实现IPsec分流的方法中,当有大量报文时,策略过滤和加解密过程会降低协议栈处理报文的能力。
发明内容
为了解决上述问题,本发明提出了一种实现IPsec分流的方法和装置,能够提高协议栈处理报文的能力。
为了达到上述目的,本发明提出了一种实现IP层协议安全IPsec分流的方法,预先关联不同的业务实例模块和对应的安全策略数据库SPD模块;其中,业务实例模块为两个或两个以上;SPD模块为两个或两个以上;还包括:
业务实例模块生成报文并发送给与自身关联的SPD模块;
SPD模块判断出报文需要进行IPsec处理,将报文和表示报文需要进行IPsec处理的信息发送给认证头协议AH/封装安全载荷协议ESP模块;
AH/ESP模块对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。
优选地,当所述SPD模块判断出所述报文不需要进行IPsec处理时,该方法还包括:
所述SPD模块将所述报文和表示报文不需要进行IPsec处理的信息发送给所述AH/ESP模块,所述AH/ESP模块转发所述报文,并保存所述SPD模块和所述报文之间的第一对应关系;结束。
优选地,当所述SPD模块判断出所述报文需要丢弃时,该方法还包括:所述SPD模块直接丢弃报文,结束。
优选地,所述AH/ESP模块对报文进行加密包括:
所述AH/ESP模块在预先设置的SP信息和SA索引之间的第二对应关系中,查找所述报文中的SP信息对应的SA索引,根据查找到的SA索引对所述报文进行加密。
优选地,该方法还包括:
当接收报文时,所述AH/ESP模块判断出接收到的报文是经过IPsec封装的报文,对所述接收到的报文进行解封装,根据所述接收到的报文中的SA索引对解封装后的报文进行解密,将所述解密后的报文和表示报文是经过IPsec封装的报文的信息发送给解密后的报文对应的SPD模块;
所述解密后的报文对应的SPD模块判断出所述解密后的报文需要进行IPsec处理,将所述解密后的报文发送给所述解密后的报文对应的业务实例模块。
优选地,当所述报文对应的SPD模块判断出所述解密后的报文不需要进行IPsec处理时,该方法还包括:所述报文对应的SPD模块丢弃所述解密后的报文,结束。
优选地,所述将解密后的报文和表示报文是经过IPsec封装的报文的信息发送给解密后的报文对应的SPD模块包括:
在所述第一对应关系中查找所述报文对应的SPD模块,将所述解密后的报文和所述表示报文是经过IPsec封装的报文的信息发送给查找到的SPD模块。
优选地,该方法还包括:
当接收报文时,所述AH/ESP模块判断出所述接收到的报文不是经过IPsec封装的报文,所述AH/ESP模块将接收到的报文和表示报文不是经过IPsec封装的报文的信息发送给所述接收到的报文对应的SPD模块;
所述接收到的报文对应的SPD模块判断出所述接收到的报文需要进行IPsec处理时,丢弃所述接收到的报文。
优选地,当所述接收到的报文对应的SPD模块判断出所述接收到的报文不需要进行IPsec处理时,该方法还包括:
所述接收到的报文对应的SPD模块将所述接收到的报文发送给所述接收到的报文对应的业务实例模块。
本发明还提出了一种实现IP层协议安全IPsec分流的装置,至少包括:
业务实例模块,用于生成报文并发送给与自身关联的SPD模块;
SPD模块,用于判断出报文需要进行IPsec处理,将报文和表示报文需要进行IPsec处理的信息发送给认证头协议AH/封装安全载荷协议ESP模块;
AH/ESP模块,用于对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系;
其中,业务实例模块为两个或两个以上;SPD模块为两个或两个以上。
优选地,所述SPD模块还用于:
判断出所述报文不需要进行IPsec处理,将所述报文和表示报文不需要进行IPsec处理的信息发送给所述AH/ESP模块;
所述AH/ESP模块还用于:
转发所述报文,并保存所述SPD模块和所述报文之间的第一对应关系,结束。
优选地,所述SPD模块还用于:
判断出所述报文需要丢弃,直接丢弃报文,结束。
优选地,所述AH/ESP模块具体用于:
在预先设置的SP信息和SA索引之间的第二对应关系中,查找所述报文中的SP信息对应的SA索引,根据查找到的SA索引进行对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。
优选地,所述AH/ESP模块还用于:
当接收报文时,判断出接收到的报文是经过IPsec封装的报文,对所述接收到的报文进行解封装,根据所述接收到的报文中的SA索引对解封装后的报文进行解密,将所述解密后的报文和表示报文是经过IPsec封装的报文的信息发送给解密后的报文对应的SPD模块;
所述SPD模块还用于:
判断出所述解密后的报文需要进行IPsec处理,将所述解密后的报文发送给所述解密后的报文对应的业务实例模块。
优选地,所述SPD模块还用于:
判断出所述解密后的报文不需要进行IPsec处理,丢弃所述解密后的报文,结束。
优选地,所述AH/ESP模块还用于:
当接收报文时,判断出所述接收到的报文不是经过IPsec封装的报文,将接收到的报文和表示报文不是经过IPsec封装的报文的信息发送给所述接收到的报文对应的SPD模块;
所述SPD模块还用于:
判断出所述接收到的报文需要进行IPsec处理时,丢弃所述接收到的报文。
优选地,所述SPD模块还用于:
判断出所述接收到的报文不需要进行IPsec处理,将所述接收到的报文发送给所述接收到的报文对应的业务实例模块。
与现有技术相比,本发明提供的技术方案包括:预先关联不同的业务实例模块和对应的安全策略数据库SPD模块;其中,业务实例模块为两个或两个以上;SPD模块为两个或两个以上;业务实例模块生成报文并发送给与自身关联的SPD模块;SPD模块判断出报文需要进行IPsec处理,将报文和表示报文需要进行IPsec处理的信息发送给AH/ESP模块;AH/ESP模块对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。通过本发明的方案,在有大量报文时,可以使用不同的SPD模块同时处理不同的报文,从而提高了协议栈处理报文的能力。
附图说明
下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
图1为现有IPsec出向处理的示意图;
图2为现有IPsec入向处理的示意图;
图3为本发明实现IPsec分流的方法的流程图;
图4为本发明实现IPsec分流的装置的结构组成示意图。
具体实施方式
为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不能用来限制本发明的保护范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的各种方式可以相互组合。
参见图3,本发明提出了一种实现IPsec分流的方法,首先,预先关联不同的业务实例模块和对应的SPD模块。
其中,如何关联业务实例模块和SPD模块属于本领域技术人员的公知常识,并不用于限定本发明的保护范围,这里不再赘述。例如,可以采用套接字(socket)关联业务实例模块和SPD模块。
其中,可以预先设置不同的报文由不同的业务实例模块生成,则在有大量报文时,后续处理中可以使用不同的SPD模块同时处理不同的报文,从而提高协议栈处理报文的能力。
本发明方法包括:
步骤300、业务实例模块生成报文并发送给与自身关联的SPD模块。
其中,业务实例模块为两个或两个以上;SPD模块为两个或两个以上。
本步骤强调的是采用多个业务实例模块来生成报文,不同的业务实例模块可以同时生成不同的报文。例如,各个业务实例模块可以分别生成以传输控制协议(TCP,Transmission Control Protocol)承载的远程登录协议(telnet)报文,以TCP协议承载的文件传输协议(FTP,File Transfer Protocol)报文和因特网控制报文协议(ICMP,Internet Control Message Protocol)报文等等。
步骤301、SPD模块判断出报文需要进行IPsec处理,将报文发送给认证头协议(AH,Authentication Header)/封装安全载荷协议(ESP,EncapsulatingSecurity Payload)模块。
本步骤中,AH/ESP模块是用于实现现有的SPD选择模块中用于封装和加密报文的部分功能、以及多路分配器中用于解封装和解密报文的部分功能的模块。
本步骤中,当SPD模块判断出报文不需要进行IPsec处理时,SPD模块将报文和表示报文不需要进行IPsec处理的信息发送给AH/ESP模块,AH/ESP模块转发报文,并保存SPD模块和报文之间的第一对应关系,并结束。
本步骤中,当SPD模块判断出报文需要丢弃时,SPD模块直接丢弃报文,并结束。
本步骤中,SPD模块如何判断报文是否需要进行IPsec处理、以及判断报文是否需要丢弃属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
步骤302、AH/ESP模块对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。
本步骤中,AH/ESP模块对报文进行加密包括:
AH/ESP模块在预先设置的SP信息和SA索引之间的第二对应关系中,查找报文中的SP信息对应的SA索引,根据查找到的SA索引对报文进行加密。
其中,SP信息包括源IP地址、目的IP地址、协议号。
其中,SP信息还可以包括源端口、目的端口。
其中,SA索引包括密钥、加密算法等。
本步骤中,封装IPsec头时,将查找到的SA索引包含在IPsec头中。
本发明方法还包括:
步骤303、当接收报文时,AH/ESP模块判断出接收到的报文是经过IPsec封装的报文,对接收到的报文进行解封装,根据接收到的报文中的SA索引对解封装后的报文进行解密,将解密后的报文和表示报文是经过IPsec封装的报文的信息发送给解密后的报文对应的SPD模块。
本步骤中,将解密后的报文和表示报文是经过IPsec封装的报文的信息发送给报文对应的SPD模块包括:
在第一对应关系中查找报文对应的SPD模块,将解密后的报文和表示报文是经过IPsec封装的报文的信息发送给查找到的SPD模块。
步骤304、解密后的报文对应的SPD模块判断出解密后的报文需要进行IPsec处理,将解密后的报文发送给解密后的报文对应的业务实例模块。
本步骤中,当报文对应的SPD模块判断出解密后的报文不需要进行IPsec处理时,丢弃解密后的报文,并结束。
当AH/ESP模块判断出接收到的报文不是经过IPsec封装的报文时,该方法还包括:
AH/ESP模块将接收到的报文和表示报文不是经过IPsec封装的报文的信息发送给接收到的报文对应的SPD模块;接收到的报文对应的SPD模块判断出接收到的报文需要进行IPsec处理时,丢弃接收到的报文。
其中,当接收到的报文对应的SPD模块判断出接收到的报文不需要进行IPsec处理时,将接收到的报文发送给接收到的报文对应的业务实例模块。
参见图4,本发明还提出了一种实现IPsec分流的装置,至少包括:
业务实例模块,用于当发送报文时,生成报文并发送给与自身关联的SPD模块;
SPD模块,用于判断出报文需要进行IPsec处理,将报文和表示报文需要进行IPsec处理的信息发送给AH/ESP模块;
AH/ESP模块,用于对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。
其中,业务实例模块为两个或两个以上;SPD模块为两个或两个以上。
本发明的装置中,SPD模块还用于:
判断出报文不需要进行IPsec处理,将报文和表示报文不需要进行IPsec处理的信息发送给AH/ESP模块;
AH/ESP模块还用于:
转发报文,并保存SPD模块和报文之间的第一对应关系,结束。
本发明的装置中,SPD模块还用于:
判断出报文需要丢弃,直接丢弃报文,结束。
本发明的装置中,AH/ESP模块具体用于:
在预先设置的SP信息和SA索引之间的第二对应关系中,查找报文中的SP信息对应的SA索引,根据查找到的SA索引进行对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。
本发明的装置中,AH/ESP模块还用于:
当接收报文时,判断出接收到的报文是经过IPsec封装的报文,对接收到的报文进行解封装,根据接收到的报文中的SA索引对解封装后的报文进行解密,将解密后的报文和表示报文是经过IPsec封装的报文的信息发送给解密后的报文对应的SPD模块;
SPD模块还用于:
判断出解密后的报文需要进行IPsec处理,将解密后的报文发送给解密后的报文对应的业务实例模块。
本发明的装置中,SPD模块还用于:
判断出解密后的报文不需要进行IPsec处理,丢弃解密后的报文。
本发明的装置中,AH/ESP模块还用于:
当接收报文时,判断出接收到的报文不是经过IPsec封装的报文,将接收到的报文和表示报文不是经过IPsec封装的报文的信息发送给接收到的报文对应的SPD模块;
SPD模块还用于:
判断出接收到的报文需要进行IPsec处理时,丢弃接收到的报文。
本发明的装置中,SPD模块还用于:
判断出接收到的报文不需要进行IPsec处理,将接收到的报文发送给接收到的报文对应的业务实例模块。
需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
Claims (17)
1.一种实现IP层协议安全IPsec分流的方法,其特征在于,预先关联不同的业务实例模块和对应的安全策略数据库SPD模块;其中,业务实例模块为两个或两个以上;SPD模块为两个或两个以上;还包括:
业务实例模块生成报文并发送给与自身关联的SPD模块;
SPD模块判断出报文需要进行IPsec处理,将报文和表示报文需要进行IPsec处理的信息发送给认证头协议AH/封装安全载荷协议ESP模块;
AH/ESP模块对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。
2.根据权利要求1所述的方法,其特征在于,当所述SPD模块判断出所述报文不需要进行IPsec处理时,该方法还包括:
所述SPD模块将所述报文和表示报文不需要进行IPsec处理的信息发送给所述AH/ESP模块,所述AH/ESP模块转发所述报文,并保存所述SPD模块和所述报文之间的第一对应关系;结束。
3.根据权利要求1所述的方法,其特征在于,当所述SPD模块判断出所述报文需要丢弃时,该方法还包括:所述SPD模块直接丢弃报文,结束。
4.根据权利要求1所述的方法,其特征在于,所述AH/ESP模块对报文进行加密包括:
所述AH/ESP模块在预先设置的SP信息和SA索引之间的第二对应关系中,查找所述报文中的SP信息对应的SA索引,根据查找到的SA索引对所述报文进行加密。
5.根据权利要求1或2或3所述的方法,其特征在于,该方法还包括:
当接收报文时,所述AH/ESP模块判断出接收到的报文是经过IPsec封装的报文,对所述接收到的报文进行解封装,根据所述接收到的报文中的SA索引对解封装后的报文进行解密,将所述解密后的报文和表示报文是经过IPsec封装的报文的信息发送给解密后的报文对应的SPD模块;
所述解密后的报文对应的SPD模块判断出所述解密后的报文需要进行IPsec处理,将所述解密后的报文发送给所述解密后的报文对应的业务实例模块。
6.根据权利要求5所述的方法,其特征在于,当所述报文对应的SPD模块判断出所述解密后的报文不需要进行IPsec处理时,该方法还包括:所述报文对应的SPD模块丢弃所述解密后的报文,结束。
7.根据权利要求5所述的方法,其特征在于,所述将解密后的报文和表示报文是经过IPsec封装的报文的信息发送给解密后的报文对应的SPD模块包括:
在所述第一对应关系中查找所述报文对应的SPD模块,将所述解密后的报文和所述表示报文是经过IPsec封装的报文的信息发送给查找到的SPD模块。
8.根据权利要求1或2或3所述的方法,其特征在于,该方法还包括:
当接收报文时,所述AH/ESP模块判断出所述接收到的报文不是经过IPsec封装的报文,所述AH/ESP模块将接收到的报文和表示报文不是经过IPsec封装的报文的信息发送给所述接收到的报文对应的SPD模块;
所述接收到的报文对应的SPD模块判断出所述接收到的报文需要进行IPsec处理时,丢弃所述接收到的报文。
9.根据权利要求8所述的方法,其特征在于,当所述接收到的报文对应的SPD模块判断出所述接收到的报文不需要进行IPsec处理时,该方法还包括:
所述接收到的报文对应的SPD模块将所述接收到的报文发送给所述接收到的报文对应的业务实例模块。
10.一种实现IP层协议安全IPsec分流的装置,其特征在于,至少包括:
业务实例模块,用于生成报文并发送给与自身关联的SPD模块;
SPD模块,用于判断出报文需要进行IPsec处理,将报文和表示报文需要进行IPsec处理的信息发送给认证头协议AH/封装安全载荷协议ESP模块;
AH/ESP模块,用于对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系;
其中,业务实例模块为两个或两个以上;SPD模块为两个或两个以上。
11.根据权利要求10所述的装置,其特征在于,所述SPD模块还用于:
判断出所述报文不需要进行IPsec处理,将所述报文和表示报文不需要进行IPsec处理的信息发送给所述AH/ESP模块;
所述AH/ESP模块还用于:
转发所述报文,并保存所述SPD模块和所述报文之间的第一对应关系,结束。
12.根据权利要求10所述的装置,其特征在于,所述SPD模块还用于:
判断出所述报文需要丢弃,直接丢弃报文,结束。
13.根据权利要求10所述的装置,其特征在于,所述AH/ESP模块具体用于:
在预先设置的SP信息和SA索引之间的第二对应关系中,查找所述报文中的SP信息对应的SA索引,根据查找到的SA索引进行对报文进行加密,对加密后的报文封装IPsec头后进行转发,并保存SPD模块和报文之间的第一对应关系。
14.根据权利要求10或11或12所述的装置,其特征在于,所述AH/ESP模块还用于:
当接收报文时,判断出接收到的报文是经过IPsec封装的报文,对所述接收到的报文进行解封装,根据所述接收到的报文中的SA索引对解封装后的报文进行解密,将所述解密后的报文和表示报文是经过IPsec封装的报文的信息发送给解密后的报文对应的SPD模块;
所述SPD模块还用于:
判断出所述解密后的报文需要进行IPsec处理,将所述解密后的报文发送给所述解密后的报文对应的业务实例模块。
15.根据权利要求14所述的装置,其特征在于,所述SPD模块还用于:
判断出所述解密后的报文不需要进行IPsec处理,丢弃所述解密后的报文,结束。
16.根据权利要求10或11或12所述的装置,其特征在于,所述AH/ESP模块还用于:
当接收报文时,判断出所述接收到的报文不是经过IPsec封装的报文,将接收到的报文和表示报文不是经过IPsec封装的报文的信息发送给所述接收到的报文对应的SPD模块;
所述SPD模块还用于:
判断出所述接收到的报文需要进行IPsec处理时,丢弃所述接收到的报文。
17.根据权利要求16所述的装置,其特征在于,所述SPD模块还用于:
判断出所述接收到的报文不需要进行IPsec处理,将所述接收到的报文发送给所述接收到的报文对应的业务实例模块。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510180550.0A CN106161386B (zh) | 2015-04-16 | 2015-04-16 | 一种实现IPsec分流的方法和装置 |
| PCT/CN2015/089869 WO2016165277A1 (zh) | 2015-04-16 | 2015-09-17 | 一种实现IPsec分流的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510180550.0A CN106161386B (zh) | 2015-04-16 | 2015-04-16 | 一种实现IPsec分流的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106161386A true CN106161386A (zh) | 2016-11-23 |
| CN106161386B CN106161386B (zh) | 2020-05-05 |
Family
ID=57126334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510180550.0A Active CN106161386B (zh) | 2015-04-16 | 2015-04-16 | 一种实现IPsec分流的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106161386B (zh) |
| WO (1) | WO2016165277A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107172072A (zh) * | 2017-06-09 | 2017-09-15 | 中国电子科技集团公司第四十研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
| CN113872865A (zh) * | 2021-10-11 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 报文数据分流方法、装置、计算机设备和存储介质 |
| CN113992343A (zh) * | 2021-09-10 | 2022-01-28 | 深圳开源互联网安全技术有限公司 | 一种实现IPsec网络安全协议的装置和方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639721B (zh) * | 2019-01-08 | 2022-02-22 | 郑州云海信息技术有限公司 | IPsec报文格式处理方法、装置、设备及存储介质 |
| CN113691490A (zh) * | 2020-05-19 | 2021-11-23 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750533A (zh) * | 2004-09-15 | 2006-03-22 | 华为技术有限公司 | 一种实现安全联盟备份和切换的方法 |
| CN1984130A (zh) * | 2005-12-14 | 2007-06-20 | 北京三星通信技术研究有限公司 | IPSec转发的方法 |
| US8010990B2 (en) * | 2006-10-26 | 2011-08-30 | Intel Corporation | Acceleration of packet flow classification in a virtualized system |
| KR20120035392A (ko) * | 2010-10-05 | 2012-04-16 | 주식회사 인스프리트 | IPSec 환경에서의 이중화된 암호화서버시스템 및 그 제어방법 |
| CN102420769A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | 一种Ipsec转发的方法 |
| US20130013915A1 (en) * | 2005-09-29 | 2013-01-10 | International Business Machines Corporation | Internet protocol security (ipsec) packet processing for multiple clients sharing a single network address |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2005220270A1 (en) * | 2005-10-10 | 2007-04-26 | Canon Kabushiki Kaisha | A method of efficiently identifying security association information for IPsec processing |
| CN101605136B (zh) * | 2009-07-28 | 2012-09-26 | 杭州华三通信技术有限公司 | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 |
| CN103188264B (zh) * | 2013-03-25 | 2015-08-12 | 清华大学深圳研究生院 | 在线网络安全处理器和处理方法 |
| CN103198105A (zh) * | 2013-03-25 | 2013-07-10 | 清华大学深圳研究生院 | 以太网IPSec安全数据库查找装置及方法 |
-
2015
- 2015-04-16 CN CN201510180550.0A patent/CN106161386B/zh active Active
- 2015-09-17 WO PCT/CN2015/089869 patent/WO2016165277A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750533A (zh) * | 2004-09-15 | 2006-03-22 | 华为技术有限公司 | 一种实现安全联盟备份和切换的方法 |
| US20130013915A1 (en) * | 2005-09-29 | 2013-01-10 | International Business Machines Corporation | Internet protocol security (ipsec) packet processing for multiple clients sharing a single network address |
| CN1984130A (zh) * | 2005-12-14 | 2007-06-20 | 北京三星通信技术研究有限公司 | IPSec转发的方法 |
| US8010990B2 (en) * | 2006-10-26 | 2011-08-30 | Intel Corporation | Acceleration of packet flow classification in a virtualized system |
| KR20120035392A (ko) * | 2010-10-05 | 2012-04-16 | 주식회사 인스프리트 | IPSec 환경에서의 이중화된 암호화서버시스템 및 그 제어방법 |
| CN102420769A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | 一种Ipsec转发的方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107172072A (zh) * | 2017-06-09 | 2017-09-15 | 中国电子科技集团公司第四十研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
| CN107172072B (zh) * | 2017-06-09 | 2020-11-06 | 中国电子科技集团公司第四十一研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
| CN113992343A (zh) * | 2021-09-10 | 2022-01-28 | 深圳开源互联网安全技术有限公司 | 一种实现IPsec网络安全协议的装置和方法 |
| CN113992343B (zh) * | 2021-09-10 | 2022-11-18 | 深圳开源互联网安全技术有限公司 | 一种实现IPsec网络安全协议的装置、方法、电子设备和存储介质 |
| CN113872865A (zh) * | 2021-10-11 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 报文数据分流方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106161386B (zh) | 2020-05-05 |
| WO2016165277A1 (zh) | 2016-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| CN105763557B (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 | |
| CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
| EP2916492B1 (en) | Methods and apparatuses for sending and receiving data across virtual firewalls | |
| US9369550B2 (en) | Protocol for layer two multiple network links tunnelling | |
| CN102932377B (zh) | 一种ip报文过滤方法及装置 | |
| CN106161386A (zh) | 一种实现IPsec分流的方法和装置 | |
| CN106341404A (zh) | 基于众核处理器的IPSec VPN系统及加解密处理方法 | |
| US8745381B2 (en) | Methods, systems, and computer readable media for performing encapsulating security payload (ESP) rehashing | |
| CN106301765B (zh) | 加密和解密芯片及其实现加密和解密的方法 | |
| CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
| WO2015131609A1 (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN102891848B (zh) | 利用IPSec安全联盟进行加密解密的方法 | |
| CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
| CN101572644B (zh) | 一种数据封装方法和设备 | |
| CN103188351A (zh) | IPv6 环境下IPSec VPN 通信业务处理方法与系统 | |
| CN103763194A (zh) | 一种报文转发方法及装置 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
| CN103051636B (zh) | 一种数据报文的传输方法和设备 | |
| CN103457952A (zh) | 一种基于加密引擎的IPSec处理方法和设备 | |
| CN106209401B (zh) | 一种传输方法及装置 | |
| CN105635154A (zh) | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 | |
| CN101783804A (zh) | 可提高安全协定封包处理效能的方法 | |
| CN114039795B (zh) | 软件定义路由器及基于该软件定义路由器的数据转发方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |