CN110381034A - 一种报文处理方法、装置、设备及可读存储介质 - Google Patents

一种报文处理方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN110381034A
CN110381034A CN201910555906.2A CN201910555906A CN110381034A CN 110381034 A CN110381034 A CN 110381034A CN 201910555906 A CN201910555906 A CN 201910555906A CN 110381034 A CN110381034 A CN 110381034A
Authority
CN
China
Prior art keywords
message
encrypted data
tcp
encrypted
target hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910555906.2A
Other languages
English (en)
Other versions
CN110381034B (zh
Inventor
王莹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Wave Intelligent Technology Co Ltd
Original Assignee
Suzhou Wave Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Wave Intelligent Technology Co Ltd filed Critical Suzhou Wave Intelligent Technology Co Ltd
Priority to CN201910555906.2A priority Critical patent/CN110381034B/zh
Publication of CN110381034A publication Critical patent/CN110381034A/zh
Application granted granted Critical
Publication of CN110381034B publication Critical patent/CN110381034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种报文处理方法,该方法包括:获取TCP/IP报文,并获取TCP/IP报文对应IPSec实体间的SA;利用SA对TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用目标硬件验证模块对已加密数据进行验证,获得验证结果;结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。该方法可实现多个TCP/IP报文的并行验证计算处理,可避免导致带宽下降。本发明还公开了一种报文处理装置、设备及可读存储介质,具有相应的技术效果。

Description

一种报文处理方法、装置、设备及可读存储介质
技术领域
本发明涉及网络通信技术领域,特别是涉及一种报文处理方法、装置、设备及可读存储介质。
背景技术
IPSec(InternetProtocolSecurity,Internet协议安全性)可以针对用户进行IP级的通信数据包进行加密。IPSEC包含3个重要协议:AH,ESP和IKE,其中,AH:为IP数据包提供3中服务;无连接的数据完整性:通过哈希函数产生的校验来保障;数据源身份认证:通过计算校验码时加入一个共享密钥实现;防止重放攻击:AH报头的序列号可以防止重放攻击。即,网络数据包在网络传输中即便被窃取,也无法查看信息,可有效保证数据在传输层的安全。
但是,IPSec安全协议技术在实现的过程,在进行加密和验证的过程中,加密和验证算法较复杂。TCP/IP网络加上IPSec技术之后,带宽大幅度下降,性能变差。
综上所述,如何有效地解决在TCP/IP网络中应用IPSec导致带宽下降等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种报文处理方法、装置、设备及可读存储介质,采用多个硬件验证模块,提升数据验证效率,以避免出现因IPSec技术导致TCP/IP网络的带宽下降的情况。
为解决上述技术问题,本发明提供如下技术方案:
一种报文处理方法,包括:
获取TCP/IP报文,并获取所述TCP/IP报文对应IPSec实体间的SA;
利用所述SA对所述TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;
从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用所述目标硬件验证模块对所述已加密数据进行验证,获得验证结果;
结合所述验证结果和所述已加密数据对所述TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
优选地,所述利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据,包括:
从多个硬件加密模块中确定出处于空闲状态的所述目标硬件加密模块;
利用所述目标硬件加密模块对所述待加密数据进行加密,获得所述已加密数据。
优选地,所述利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据,包括:
按照所述目标硬件加密模块的加密长度分割所述待加密数据,获得多个待加密数据块;
将多个所述待加密数据块依次发送给所述目标硬件加密模块进行加密处理;
接收所述目标硬件加密模块依次返回的已加密数据块,并将所述已加密数据块进行整合获得所述已加密数据。
优选地,结合所述验证结果和所述已加密数据对所述TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层,包括:
将所述TCP/IP报文中的所述待加密数据替换为所述已加密数据块,并将所述验证结果添加至所述TCP/IP报文中,获得所述安全报文;
为所述安全报文添加MAC报文,并发送给所述MAC层。
优选地,所述利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据,包括:
利用加密算法为AES的目标硬件加密模块对所述待加密数据进行加密处理,获得所述已加密数据。
优选地,利用所述目标硬件验证模块对所述已加密数据进行验证,获得验证结果,包括:
按照MD5算法的验证长度对所述已加密数据进行打包,获得多个待验证数据块;
将所述待验证数据块依次发送给所述目标硬件验证模块对所述待验证数据块进行验证,获得验证结果;
接收所述目标硬件验证模块依次返回的所述验证结果。
优选地,获取所述TCP/IP报文对应IPSec实体间的SA,包括:
利用所述TCP/IP报文确定两个所述IPSec实体;
从数据库中获取两个所述IPSec实体之间的SA。
一种报文处理装置,包括:
报文获取单元,用于获取TCP/IP报文,并获取所述TCP/IP报文对应IPSec实体间的SA;
数据加密单元,用于利用所述SA对所述TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;
数据验证单元,用于从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用所述目标硬件验证模块对所述已加密数据进行验证,获得验证结果;
报文打包单元,用于结合所述验证结果和所述已加密数据对所述TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
一种报文处理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述报文处理方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述报文处理方法的步骤。
应用本发明实施例所提供的方法,获取TCP/IP报文,并获取TCP/IP报文对应IPSec实体间的SA;利用SA对TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用目标硬件验证模块对已加密数据进行验证,获得验证结果;结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
在TCP/IP网络中应用IPSec技术时,当获取到TCP/IP报文时,需相应的的SA。然后利用SA对TCP/IP报文进行报文填充。然后利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,以获得已加密数据。然后,从多个硬件验证模块中确定出一个处于空闲状态的目标硬件验证模块,利用该目标硬件验证模块对已加密数据进行验证,获得验证结果。结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后得到的安全报文发送给MAC层。在对TCP/IP报文采用IPSec技术中的加密和验证进行数据处理时,从多个硬件验证模块中选用空闲状态的目标硬件加密模块对已加密数据进行验证。多个硬件验证模块可同时对多个TCP/IP报文各自对应的已加密数据进行验证,也就是说,对于待进行TPSec处理的TCP/IP报文无需等待上一个TCP/IP报文处理完毕,便可对后续的TCP/IP报文进行IPSec处理。也就是说,实现了多个TCP/IP报文的并行处理,且随着硬件验证模块数量的增多,处理效率会更快。即验证效率得到提升之后,TCP/IP报文的处理效率也得到提升,进一步可避免导致带宽下降。
相应地,本发明实施例还提供了与上述报文处理方法相对应的报文处理装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种报文处理方法的实施流程图;
图2为本发明实施例中一种报文处理装置的结构示意图;
图3为本发明实施例中一种报文处理设备的结构示意图;
图4为本发明实施例中一种报文处理设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
请参考图1,图1为本发明实施例中一种报文处理方法的流程图,该方法包括以下步骤:
S101、获取TCP/IP报文,并获取TCP/IP报文对应IPSec实体间的SA。
其中,SA是两个IPSec实体之间经过协商家里起来的一种协定,其内容包括采用何种IPSec协议(AH还是ESP)、运行模式(传输模式还是隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等。从而决定保护什么、如何保护及谁来保护,即SA是构成IPSec的基础。具体的,SA是通过密钥管理协议在通信双方之间进行协议,协商完毕后,双方都在它们的安全关联数据库(SAD)中存储该SA参数。SA由一个三元组唯一地表示,该三元组包括:安全参数索引SPI、一个用于输出处理的目的IP地址(或用于输出处理的源IP地址)和协议(如AH或ESP)。
在获取到TCP/IP报文之后,可获取与该TCP/IP报文对应的IPSec实体间的SA。
具体的,获取SA的过程,包括:
步骤一、利用TCP/IP报文确定两个IPSec实体;
步骤二、从数据库中获取两个IPSec实体之间的SA。
为便于描述,下面将上述两个步骤结合起来进行说明。
在进行通信之前,可利用先建立IPSec sa,即上文所描述的通信双方进行协议约定。在获得TCP/IP报文时,可从TCP/IP报文中获取通信双方信息,即确定两个IPSec实体,然后从安全管理数据库中获取两个IPSec实体之间的SA参数。
S102、利用SA对TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据。
需要说明的是,由于实现IPSec时,需要对TCP/IP报文中的待保护的数据进行加密处理以及进行验证计算。另外,又因加密处理和验证计算的数据处理长度固定,往往需要对待保护的数据进行数据填充才能实现加密和验证。而利用SA可确定TCP/IP报文总待保护的数据。因而,获得TCP/IP报文和SA之后,便可利用SA对TCP/IP报文进行报文填充。具体的,即对TCP/IP报文中需要被保护的数据进行相应填充,以便满足目标硬件加密模块的数据长度需求。其中目标硬件加密模块可具体为在FPGA芯片上实现相应加密处理的模块。
其中,利用目标硬件模块进行加密处理的实现过程,包括:
步骤一、按照目标硬件加密模块的加密长度分割待加密数据,获得多个待加密数据块;
步骤二、将多个待加密数据块依次发送给目标硬件加密模块进行加密处理;
步骤三、接收目标硬件加密模块依次返回的已加密数据块,并将已加密数据块进行整合获得已加密数据。
为便于描述,下面将上述三个步骤结合起来进行说明。
由于目标硬件加密模块的加密长度固定,因而在发送给目标硬件加密模块进行加密处理之前,还需安全该加密长度将待加密数据分割为多个待加密数据块。然后,将待加密数据块依次发送给目标硬件加密模块进行加密处理,目标硬件加密模块依次对接收到的待加密数据进行加密处理,并将加密处理后的已加密数据块依次返回。接收到已加密数据块之后,可可将多个已建模数据块进行整合,得到与TCP/IP报文对应的已加密数据块。具体的,目标硬件加密模块想加密长度与具体的加密处理算法相关,利用加密算法为AES的目标硬件加密模块对待加密数据进行加密处理,获得已加密数据。此时,数据分割的单位为128比特(bit),相应地,在进行数据填充时,即将待加密数据填充至128比特的整数倍。
优选地,考虑到加密算法对数据进行加密处理的耗时较长,可以设置多个硬件加密模块,当需要进行加密处理时,则可从多个硬件加密模块中确定出处于空闲状态的目标硬件加密模块;利用目标硬件加密模块对待加密数据进行加密,获得已加密数据。需要说明的是,多个硬件加密模块之间无相互关联关系,即各个硬件加密模块之间所进行的加密操作可互不干扰,因而在存在需要对多个TCP/IP报文所对应的待加密数据进行加密时,可各个将TCP/IP报文的待加密数据按照分别发送给多个目标硬件加密模块进行加密处理。例如,若设置了4个硬件加密模块,可令第一个硬件加密模块对第i个TCP/IP报文对应的待加密数据进行加密;对于第二个硬件加密模块对第i+1个TCP/IP报文对应的待加密数据进行加密;对于第三个硬件加密模块对第i+2个TCP/IP报文对应的待加密数据进行加密;对于第四个硬件加密模块对第i+3个TCP/IP报文对应的待加密数据进行加密;此时,若需要对第i+4个TCP/IP报文对应的待加密数据进行加密,可从4个硬件加密模块中选出一个已处于空闲状态的硬件加密模块对第i+4个TCP/IP报文对应的待加密数据进行加密,其中i大于等于1。
S103、从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用目标硬件验证模块对已加密数据进行验证,获得验证结果。
在本发明实施例中,可预先设置多个硬件验证模块,具体的硬件验证模块的数量可大于等于2,例如可为4个。其中,硬件验证模块可具体为在FPGA上实现相应加密算法的模块。
在获得已加密数据之后,便可从多个硬件验证模块中确定出一个处于空闲状态的目标硬件验证模块对该TCP/IP报文所对应的已加密数据进行验证计算。由于IPSec中建议进行验证计算的算法采样MD5,下面以下验证算法为MD5为例,对验证过程进行详细说明:
步骤一、按照MD5算法的验证长度对已加密数据进行打包,获得多个待验证数据块;
步骤二、将待验证数据块依次发送给目标硬件验证模块对待验证数据块进行验证,获得验证结果;
步骤三、接收目标硬件验证模块依次返回的验证结果。
为便于描述,下面将上述三个步骤结合起来进行说明。
MD5(Message-Digest Algorithm)消息摘要算法是HASH函数一种加密算法,一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。由于MD5算法对输入数据的长度要求为512比特,因而在发送已加密数据给目标硬件验证模块进行验证计算时,可将已加密数据进行打包,具体的将已加密数据打包为512比特数据长度的待验证数据块,然后将待验证数据块依次发送给目标硬件验证模块。目标硬件验证模块接收到待验证数据块之后,采用MD5算法进行验证计算,并返回验证结果,即依次返回128位(16字节)的验证结果(即散列值)。需要说明的是,本文所描述的依次发送和依次返回均指按照该数据块在TCP/IP报文中的先后顺序。
S104、结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
完成数据加密和验证之后,便可结合验证结果和已加密数据对TCP/IP报文进行打包处理,然后将打包处理后得到的安全报文发送给MAC层,以便进行报文传输。
其中,对TCP/IP报文的打包可具体,包括:
步骤一、将TCP/IP报文中的待加密数据替换为已加密数据块,并将验证结果添加至TCP/IP报文中,获得安全报文;
步骤二、为安全报文添加MAC报文,并发送给MAC层。
可将,TCP/IP报文的打包过程即在原有TCP/IP报文的技术上添加上经过加密处理和验证处理的处理结果,以在TCP/IP网络中实现IPSec技术,以保障报文传输过程中的安全性和完整性。
需要说明的是,在本发明实施例中对于TCP/IP报文处理的过程中还存在诸如TCP/IP报文的获取方式、报文填充方式和报文打包方式等诸多报文处理细节并未详细说明,具体处理细节可参照现有的TCP/IP协议和IPSec协议的具体定义和实现过程,在此不再一一赘述。
应用本发明实施例所提供的方法,获取TCP/IP报文,并获取TCP/IP报文对应IPSec实体间的SA;利用SA对TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用目标硬件验证模块对已加密数据进行验证,获得验证结果;结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
在TCP/IP网络中应用IPSec技术时,当获取到TCP/IP报文时,需相应的的SA。然后利用SA对TCP/IP报文进行报文填充。然后利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,以获得已加密数据。然后,从多个硬件验证模块中确定出一个处于空闲状态的目标硬件验证模块,利用该目标硬件验证模块对已加密数据进行验证,获得验证结果。结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后得到的安全报文发送给MAC层。在对TCP/IP报文采用IPSec技术中的加密和验证进行数据处理时,从多个硬件验证模块中选用空闲状态的目标硬件加密模块对已加密数据进行验证。多个硬件验证模块可同时对多个TCP/IP报文各自对应的已加密数据进行验证,也就是说,对于待进行TPSec处理的TCP/IP报文无需等待上一个TCP/IP报文处理完毕,便可对后续的TCP/IP报文进行IPSec处理。也就是说,实现了多个TCP/IP报文的并行处理,且随着硬件验证模块数量的增多,处理效率会更快。即验证效率得到提升之后,TCP/IP报文的处理效率也得到提升,进一步可避免导致带宽下降。
实施例二:
相应于上面的方法实施例,本发明实施例还提供了一种报文处理装置,下文描述的报文处理装置与上文描述的报文处理方法可相互对应参照。
参见图2所示,该装置包括以下模块:
报文获取单元101,用于获取TCP/IP报文,并获取TCP/IP报文对应IPSec实体间的SA;
数据加密单元102,用于利用SA对TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;
数据验证单元103,用于从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用目标硬件验证模块对已加密数据进行验证,获得验证结果;
报文打包单元104,用于结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
应用本发明实施例所提供的装置,获取TCP/IP报文,并获取TCP/IP报文对应IPSec实体间的SA;利用SA对TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用目标硬件验证模块对已加密数据进行验证,获得验证结果;结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
在TCP/IP网络中应用IPSec技术时,当获取到TCP/IP报文时,需相应的的SA。然后利用SA对TCP/IP报文进行报文填充。然后利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,以获得已加密数据。然后,从多个硬件验证模块中确定出一个处于空闲状态的目标硬件验证模块,利用该目标硬件验证模块对已加密数据进行验证,获得验证结果。结合验证结果和已加密数据对TCP/IP报文进行打包处理,并将打包处理后得到的安全报文发送给MAC层。在对TCP/IP报文采用IPSec技术中的加密和验证进行数据处理时,从多个硬件验证模块中选用空闲状态的目标硬件加密模块对已加密数据进行验证。多个硬件验证模块可同时对多个TCP/IP报文各自对应的已加密数据进行验证,也就是说,对于待进行TPSec处理的TCP/IP报文无需等待上一个TCP/IP报文处理完毕,便可对后续的TCP/IP报文进行IPSec处理。也就是说,该装置实现了多个TCP/IP报文的并行处理,且随着硬件验证模块数量的增多,处理效率会更快。即验证效率得到提升之后,TCP/IP报文的处理效率也得到提升,进一步可避免导致带宽下降。
在本发明的一种具体实施方式中,数据加密单元102,具体用于从多个硬件加密模块中确定出处于空闲状态的目标硬件加密模块;利用目标硬件加密模块对待加密数据进行加密,获得已加密数据。
在本发明的一种具体实施方式中,数据加密单元102,具体用于按照目标硬件加密模块的加密长度分割待加密数据,获得多个待加密数据块;将多个待加密数据块依次发送给目标硬件加密模块进行加密处理;接收目标硬件加密模块依次返回的已加密数据块,并将已加密数据块进行整合获得已加密数据。
在本发明的一种具体实施方式中,报文打包单元104,用于应用将TCP/IP报文中的待加密数据替换为已加密数据块,并将验证结果添加至TCP/IP报文中,获得安全报文;为安全报文添加MAC报文,并发送给MAC层。
在本发明的一种具体实施方式中,数据加密单元102,具体用于利用加密算法为AES的目标硬件加密模块对待加密数据进行加密处理,获得已加密数据。
在本发明的一种具体实施方式中,数据验证单元103,具体用于按照MD5算法的验证长度对已加密数据进行打包,获得多个待验证数据块;将待验证数据块依次发送给目标硬件验证模块对待验证数据块进行验证,获得验证结果;接收目标硬件验证模块依次返回的验证结果。
在本发明的一种具体实施方式中,报文获取单元101,具体用于利用TCP/IP报文确定两个IPSec实体;从数据库中获取两个IPSec实体之间的SA。
实施例三:
相应于上面的方法实施例,本发明实施例还提供了一种报文处理设备,下文描述的一种报文处理设备与上文描述的一种报文处理方法可相互对应参照。
参见图3所示,该报文处理设备包括:
存储器D1,用于存储计算机程序;
处理器D2,用于执行计算机程序时实现上述方法实施例的报文处理方法的步骤。
具体的,请参考图4,图4为本实施例提供的一种报文处理设备的具体结构示意图,该报文处理设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在报文处理设备301上执行存储介质330中的一系列指令操作。
报文处理设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
上文所描述的报文处理方法中的步骤可以由报文处理设备的结构实现。
实施例四:
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种报文处理方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的报文处理方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。

Claims (10)

1.一种报文处理方法,其特征在于,包括:
获取TCP/IP报文,并获取所述TCP/IP报文对应IPSec实体间的SA;
利用所述SA对所述TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;
从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用所述目标硬件验证模块对所述已加密数据进行验证,获得验证结果;
结合所述验证结果和所述已加密数据对所述TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
2.根据权利要求1所述的报文处理方法,其特征在于,所述利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据,包括:
从多个硬件加密模块中确定出处于空闲状态的所述目标硬件加密模块;
利用所述目标硬件加密模块对所述待加密数据进行加密,获得所述已加密数据。
3.根据权利要求1所述的报文处理方法,其特征在于,所述利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据,包括:
按照所述目标硬件加密模块的加密长度分割所述待加密数据,获得多个待加密数据块;
将多个所述待加密数据块依次发送给所述目标硬件加密模块进行加密处理;
接收所述目标硬件加密模块依次返回的已加密数据块,并将所述已加密数据块进行整合获得所述已加密数据。
4.根据权利要求1所述的报文处理方法,其特征在于,结合所述验证结果和所述已加密数据对所述TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层,包括:
将所述TCP/IP报文中的所述待加密数据替换为所述已加密数据块,并将所述验证结果添加至所述TCP/IP报文中,获得所述安全报文;
为所述安全报文添加MAC报文,并发送给所述MAC层。
5.根据权利要求1所述报文处理方法,其特征在于,所述利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据,包括:
利用加密算法为AES的目标硬件加密模块对所述待加密数据进行加密处理,获得所述已加密数据。
6.根据权利要求1所述的报文处理方法,其特征在于,利用所述目标硬件验证模块对所述已加密数据进行验证,获得验证结果,包括:
按照MD5算法的验证长度对所述已加密数据进行打包,获得多个待验证数据块;
将所述待验证数据块依次发送给所述目标硬件验证模块对所述待验证数据块进行验证,获得验证结果;
接收所述目标硬件验证模块依次返回的所述验证结果。
7.根据权利要求1所述的报文处理方法,其特征在于,获取所述TCP/IP报文对应IPSec实体间的SA,包括:
利用所述TCP/IP报文确定两个所述IPSec实体;
从数据库中获取两个所述IPSec实体之间的SA。
8.一种报文处理装置,其特征在于,包括:
报文获取单元,用于获取TCP/IP报文,并获取所述TCP/IP报文对应IPSec实体间的SA;
数据加密单元,用于利用所述SA对所述TCP/IP报文进行报文填充,并利用目标硬件加密模块对进行报文填充后的待加密数据进行加密,获得已加密数据;
数据验证单元,用于从多个硬件验证模块中确定出一个空闲状态的目标硬件验证模块,并利用所述目标硬件验证模块对所述已加密数据进行验证,获得验证结果;
报文打包单元,用于结合所述验证结果和所述已加密数据对所述TCP/IP报文进行打包处理,并将打包处理后获得的安全报文发送给MAC层。
9.一种报文处理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述报文处理方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述报文处理方法的步骤。
CN201910555906.2A 2019-06-25 2019-06-25 一种报文处理方法、装置、设备及可读存储介质 Active CN110381034B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910555906.2A CN110381034B (zh) 2019-06-25 2019-06-25 一种报文处理方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910555906.2A CN110381034B (zh) 2019-06-25 2019-06-25 一种报文处理方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN110381034A true CN110381034A (zh) 2019-10-25
CN110381034B CN110381034B (zh) 2022-02-22

Family

ID=68249370

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910555906.2A Active CN110381034B (zh) 2019-06-25 2019-06-25 一种报文处理方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN110381034B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116471345A (zh) * 2023-06-19 2023-07-21 中电科网络安全科技股份有限公司 一种数据通信方法、装置、设备及介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571399A (zh) * 2003-07-23 2005-01-26 华为技术有限公司 网络安全处理装置及其方法
CN102331923A (zh) * 2011-10-13 2012-01-25 西安电子科技大学 一种基于多核多线程处理器的功能宏流水线实现方法
CN102546617A (zh) * 2011-12-29 2012-07-04 汉柏科技有限公司 多核多线程系统中IPSec转发的方法
CN102882789A (zh) * 2012-09-17 2013-01-16 华为技术有限公司 一种数据报文处理方法、系统及设备
CN102932141A (zh) * 2012-09-27 2013-02-13 汉柏科技有限公司 多加解密芯片并行处理报文加解密的保序方法及系统
WO2013149041A1 (en) * 2012-03-30 2013-10-03 Huawei Technologies Co., Ltd. Enhancing ipsec performance and security against eavesdropping
CN104104557A (zh) * 2014-06-24 2014-10-15 北京天融信科技股份有限公司 面向IPv6安全网关的深度包检测装置
CN104394148A (zh) * 2014-11-26 2015-03-04 东南大学 IPv6下IPSec协议外出处理硬件实现系统
CN106470166A (zh) * 2015-08-19 2017-03-01 深圳中兴网信科技有限公司 一种数据通信报文的处理方法和装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571399A (zh) * 2003-07-23 2005-01-26 华为技术有限公司 网络安全处理装置及其方法
CN102331923A (zh) * 2011-10-13 2012-01-25 西安电子科技大学 一种基于多核多线程处理器的功能宏流水线实现方法
CN102546617A (zh) * 2011-12-29 2012-07-04 汉柏科技有限公司 多核多线程系统中IPSec转发的方法
WO2013149041A1 (en) * 2012-03-30 2013-10-03 Huawei Technologies Co., Ltd. Enhancing ipsec performance and security against eavesdropping
CN102882789A (zh) * 2012-09-17 2013-01-16 华为技术有限公司 一种数据报文处理方法、系统及设备
CN102932141A (zh) * 2012-09-27 2013-02-13 汉柏科技有限公司 多加解密芯片并行处理报文加解密的保序方法及系统
CN104104557A (zh) * 2014-06-24 2014-10-15 北京天融信科技股份有限公司 面向IPv6安全网关的深度包检测装置
CN104394148A (zh) * 2014-11-26 2015-03-04 东南大学 IPv6下IPSec协议外出处理硬件实现系统
CN106470166A (zh) * 2015-08-19 2017-03-01 深圳中兴网信科技有限公司 一种数据通信报文的处理方法和装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116471345A (zh) * 2023-06-19 2023-07-21 中电科网络安全科技股份有限公司 一种数据通信方法、装置、设备及介质
CN116471345B (zh) * 2023-06-19 2023-10-20 中电科网络安全科技股份有限公司 一种数据通信方法、装置、设备及介质

Also Published As

Publication number Publication date
CN110381034B (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
CN106416124B (zh) 半确定性数字签名生成
CN106797317B (zh) 安全共享密钥共享系统及方法
US10375070B2 (en) Generating cryptographic function parameters from compact source code
US9313026B2 (en) Key negotiation method and apparatus according to SM2 key exchange protocol
CN110784491A (zh) 一种物联网安全管理系统
EP3387576B1 (en) Apparatus and method for certificate enrollment
CN111107094B (zh) 轻量级地面向医疗物联网的大数据共享系统
CN110690961B (zh) 一种量子网络功能虚拟化方法与装置
JP2023531241A (ja) ポスト量子暗号アルゴリズムのtls統合
CN111343164B (zh) 一种应用于电能表的数据加密方法、装置及存储介质
CN110955896A (zh) 一种通过近场通信实现单片机固件安全升级的方法
CN111698238A (zh) 电力物联网终端层设备密钥的管理方法、系统及存储介质
EP3893462A1 (en) Message transmission method and apparatus
KR101596753B1 (ko) 메시지 인증 코드 분할을 통한 순차적 can 패킷 인증 방법 및 그 장치
US20130145149A1 (en) Authentication device, authentication method and computer readable medium
CN109951276A (zh) 基于tpm的嵌入式设备远程身份认证方法
CN114143117A (zh) 数据处理方法及设备
CN112287366A (zh) 数据加密方法、装置、计算机设备和存储介质
CN105162585A (zh) 一种高效且隐私保护的会话密钥协商方法
CN105577370A (zh) 一种应用于客户-服务器环境的认证密钥协商方法
CN113434474B (zh) 基于联邦学习的流量审计方法、设备、存储介质
CN105099671A (zh) 一种身份隐藏且非延展安全的认证密钥协商方法
Mattsson et al. Quantum-resistant cryptography
CN110381034A (zh) 一种报文处理方法、装置、设备及可读存储介质
CN112217646B (zh) 用于实现sm3密码杂凑算法的装置及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant