CN110535834B - 一种网络安全IPsec的加速处理方法及系统 - Google Patents

一种网络安全IPsec的加速处理方法及系统 Download PDF

Info

Publication number
CN110535834B
CN110535834B CN201910736381.2A CN201910736381A CN110535834B CN 110535834 B CN110535834 B CN 110535834B CN 201910736381 A CN201910736381 A CN 201910736381A CN 110535834 B CN110535834 B CN 110535834B
Authority
CN
China
Prior art keywords
hardware
data
sender
packet
pipeline
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910736381.2A
Other languages
English (en)
Other versions
CN110535834A (zh
Inventor
刘刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN201910736381.2A priority Critical patent/CN110535834B/zh
Priority to PCT/CN2019/108933 priority patent/WO2021027035A1/zh
Publication of CN110535834A publication Critical patent/CN110535834A/zh
Application granted granted Critical
Publication of CN110535834B publication Critical patent/CN110535834B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks

Abstract

本发明公开了一种网络安全IPsec的加速处理方法,由于发送方与接收方的密钥交换过程对实时性要求低,所以本申请采用软件运行密钥交换协议;由于发送方与接收方的数据传输过程对实时性要求高,所以本申请采用具有多条流水线的硬件完成数据传输过程,并在此过程中可以多条流水线的方式并行完成不同数据IP包的加解密过程(即采用硬件并行运行网络安全服务协议),从而提高了网络安全IPsec的处理速度,同时减少了软件资源的使用率,且提高了网络带宽。本发明还公开了一种网络安全IPsec的加速处理系统,与上述加速处理方法具有相同的有益效果。

Description

一种网络安全IPsec的加速处理方法及系统
技术领域
本发明涉及服务器网络领域,特别是涉及一种网络安全IPsec的加速处理方法及系统。
背景技术
在服务器网络领域,网络安全越来越重要。目前,通常在软件层面运行IPsec(Internet Protocol Security,互联网安全协议)实现网络安全,即通过软件实现发送方和接收方的密钥交换及传输数据加解密处理。但是,由于软件具有串行执行的特点,导致网络安全IPsec的处理速度较慢,同时占用大量软件资源,且不能有效使用网络带宽。
因此,如何提供一种解决上述技术问题的方案是本领域的技术人员目前需要解决的问题。
发明内容
本发明的目的是提供一种网络安全IPsec的加速处理方法及系统,采用软件运行密钥交换协议,采用硬件并行运行网络安全服务协议,从而提高了网络安全IPsec的处理速度,同时减少了软件资源的使用率,且提高了网络带宽。
为解决上述技术问题,本发明提供了一种网络安全IPsec的加速处理方法,包括:
利用第一发送方软件生成密钥交换IP包,并将所述密钥交换IP包经第一发送方硬件透传至第一接收方硬件;其中,所述密钥交换IP包包括密钥数据及密钥交换双方的第一IP地址;
利用第二发送方软件对传输数据进行IP打包处理得到数据IP包,并将所述数据IP包发送至第二发送方硬件;其中,所述数据IP包包括传输数据及数据传输双方的第二IP地址;
判断所述第一IP地址中是否存在所述第二IP地址;
若是,则在所述第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密所述数据IP包,并将加密后的数据IP包发送至第二接收方硬件,以在所述第二接收方硬件的多条流水线中任一条空闲流水线上,利用所述目标密钥数据解密所述数据IP包;
若否,则将所述数据IP包直接经所述第二发送方硬件透传至所述第二接收方硬件。
优选地,在将所述数据IP包直接经所述第二发送方硬件透传至所述第二接收方硬件之后,所述网络安全IPsec的加速处理方法还包括:
检测所述第二接收方硬件接收的数据IP包的格式;
当所述数据IP包的格式为网络安全服务协议格式时,对所述数据IP包进行丢弃处理。
优选地,所述网络安全IPsec的加速处理方法还包括:
为系统中发送方硬件预留用于存储所述发送方硬件的各流水线状态的第一存储空间;
在所述系统运作时,实时将所述发送方硬件的各流水线状态存储至所述第一存储空间;
相应的,所述在所述第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密所述数据IP包的过程,包括:
根据所述第一存储空间当前存储的所述第二发送方硬件的各流水线状态,确定所述第二发送方硬件的空闲流水线;
在所述第二发送方硬件的任一条空闲流水线上,利用所对应的目标密钥数据加密所述数据IP包。
优选地,所述为系统中发送方硬件预留用于存储所述发送方硬件的各流水线状态的第一存储空间;在所述系统运作时,实时将所述发送方硬件的各流水线状态存储至所述第一存储空间的过程,包括:
预先为系统中发送方硬件的各流水线一一设置状态标志位,并将其存储至为所述发送方硬件预留的第一存储空间;
在所述系统运作时,当所述发送方硬件的任一流水线处于工作状态时,将此流水线对应的状态标志位置1;当所述发送方硬件的任一流水线处于空闲状态时,将此流水线对应的状态标志位置0。
优选地,所述网络安全IPsec的加速处理方法还包括:
为系统中接收方硬件预留用于存储所述接收方硬件的各流水线状态的第二存储空间;
在所述系统运作时,实时将所述接收方硬件的各流水线状态存储至所述第二存储空间;
相应的,所述在所述第二接收方硬件的多条流水线中任一条空闲流水线上,利用所述目标密钥数据解密所述数据IP包的过程,包括:
根据所述第二存储空间当前存储的所述第二接收方硬件的各流水线状态,确定所述第二接收方硬件的空闲流水线;
在所述第二接收方硬件的任一条空闲流水线上,利用所述目标密钥数据解密所述数据IP包。
优选地,所述为系统中接收方硬件预留用于存储所述接收方硬件的各流水线状态的第二存储空间;在所述系统运作时,实时将所述接收方硬件的各流水线状态存储至所述第二存储空间的过程,包括:
预先为系统中接收方硬件的各流水线一一设置状态标志位,并将其存储至为所述接收方硬件预留的第二存储空间;
在所述系统运作时,当所述接收方硬件的任一流水线处于工作状态时,将此流水线对应的状态标志位置1;当所述接收方硬件的任一流水线处于空闲状态时,将此流水线对应的状态标志位置0。
优选地,所述网络安全IPsec的加速处理方法还包括:
预先设置系统的密钥到期时间;
从所述系统运作时开始,每隔所述密钥到期时间,均重新执行所述利用第一发送方软件生成密钥交换IP包,并将所述密钥交换IP包经第一发送方硬件透传至第一接收方硬件的步骤。
优选地,发送方软件与发送方硬件之间通过PCIE接口进行数据传输。
为解决上述技术问题,本发明还提供了一种网络安全IPsec的加速处理系统,包括:
密钥交换模块,用于利用第一发送方软件生成密钥交换IP包,并将所述密钥交换IP包经第一发送方硬件透传至第一接收方硬件;其中,所述密钥交换IP包包括密钥数据及密钥交换双方的第一IP地址;
数据传输模块,用于利用第二发送方软件对传输数据进行IP打包处理得到数据IP包,并将所述数据IP包发送至第二发送方硬件;其中,所述数据IP包包括传输数据及数据传输双方的第二IP地址;
判断模块,用于判断所述第一IP地址中是否存在所述第二IP地址;若是,则执行数据加解密模块;若否,则执行透传模块;
所述数据加解密模块,用于在所述第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密所述数据IP包,并将加密后的数据IP包发送至第二接收方硬件,以在所述第二接收方硬件的多条流水线中任一条空闲流水线上,利用所述目标密钥数据解密所述数据IP包;
所述透传模块,用于将所述数据IP包直接经所述第二发送方硬件透传至所述第二接收方硬件。
优选地,所述网络安全IPsec的加速处理系统还包括:
时间设置模块,用于预先设置系统的密钥到期时间;
密钥交换触发模块,用于从所述系统运作时开始,每隔所述密钥到期时间,均重新执行所述密钥交换模块。
本发明提供了一种网络安全IPsec的加速处理方法,由于发送方与接收方的密钥交换过程对实时性要求低,所以本申请采用软件运行密钥交换协议;由于发送方与接收方的数据传输过程对实时性要求高,所以本申请采用具有多条流水线的硬件完成数据传输过程,并在此过程中可以多条流水线的方式并行完成不同数据IP包的加解密过程(即采用硬件并行运行网络安全服务协议),从而提高了网络安全IPsec的处理速度,同时减少了软件资源的使用率,且提高了网络带宽。
本发明还提供了一种网络安全IPsec的加速处理系统,与上述加速处理方法具有相同的有益效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络安全IPsec的加速处理方法的流程图;
图2为本发明实施例提供的一种网络安全IPsec的加速处理系统的结构示意图。
具体实施方式
本发明的核心是提供一种网络安全IPsec的加速处理方法及系统,采用软件运行密钥交换协议,采用硬件并行运行网络安全服务协议,从而提高了网络安全IPsec的处理速度,同时减少了软件资源的使用率,且提高了网络带宽。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参照图1,图1为本发明实施例提供的一种网络安全IPsec的加速处理方法的流程图。
该网络安全IPsec的加速处理方法包括:
步骤S1:利用第一发送方软件生成密钥交换IP包,并将密钥交换IP包经第一发送方硬件透传至第一接收方硬件;其中,密钥交换IP包包括密钥数据及密钥交换双方的第一IP地址。
具体地,系统中不同发送方和接收方之间对数据传输安全性的要求并不相同,对于数据传输安全性要求较高的发送方和接收方,二者之间需对传输数据进行加解密处理;对于数据传输安全性要求较低的发送方和接收方,二者之间无需对传输数据进行加解密处理。可以理解的是,对于数据传输安全性要求较高的发送方和接收方(称为第一发送方和第一接收方),二者在数据传输之前,要进行密钥交换,以为后续加解密传输数据打下基础。
考虑到系统中第一发送方(第一发送方软件+第一发送方硬件)和第一接收方(第一接收方软件+第一接收方硬件)的密钥交换过程对实时性要求低,所以本申请采用第一发送方软件生成包括密钥数据及密钥交换双方的第一IP(Internet Protocol,网络协议)地址的密钥交换IP包(即由软件运行密钥交换协议)。其中,密钥数据用于后续第一发送方和第一接收方之间传输数据的加解密处理;密钥交换双方的第一IP地址包含第一发送方的IP地址和第一接收方的IP地址。
在利用第一发送方软件生成密钥交换IP包之后,将密钥交换IP包发送至第一发送方硬件,以经第一发送方硬件透传至第一接收方硬件,从而完成密钥交换。
步骤S2:利用第二发送方软件对传输数据进行IP打包处理得到数据IP包,并将数据IP包发送至第二发送方硬件;其中,数据IP包包括传输数据及数据传输双方的第二IP地址。
具体地,当系统中的发送方和接收方(称为第二发送方和第二接收方)之间传输数据时,首先利用第二发送方软件对传输数据进行IP打包处理,得到包括传输数据及数据传输双方的第二IP地址的数据IP包;然后将数据IP包发送至第二发送方硬件。其中,数据传输双方的第二IP地址包括第二发送方的第二IP地址和第二接收方的第二IP地址,以为后续判定传输数据是否需要加解密打下基础。
步骤S3:判断第一IP地址中是否存在第二IP地址;若是,则执行步骤S4;若否,则执行步骤S5。
具体地,可以理解的是,若第二发送方和第二接收方属于步骤S1所提及的第一发送方和第一接收方,则后续需要对传输数据进行加解密处理;若第二发送方和第二接收方不属于步骤S1所提及的第一发送方和第一接收方,则后续无需对传输数据进行加解密处理。
基于此,本申请应对第二发送方和第二接收方是否属于步骤S1所提及的第一发送方和第一接收方进行判定,具体是根据IP地址进行判定,若密钥交换双方的第一IP地址中可匹配到数据传输双方的第二IP地址,则第二发送方和第二接收方属于步骤S1所提及的第一发送方和第一接收方;否则,则第二发送方和第二接收方不属于步骤S1所提及的第一发送方和第一接收方。
步骤S4:在第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密数据IP包,并将加密后的数据IP包发送至第二接收方硬件,以在第二接收方硬件的多条流水线中任一条空闲流水线上,利用目标密钥数据解密数据IP包。
具体地,考虑到同一发送方可能要与不同接收方之间传输数据,同一接收方可能也要与不同发送方之间传输数据,且发送方与接收方的数据传输过程对实时性要求高,所以本申请的发送方硬件和接收方硬件均设置为具有多条流水线的硬件,可并行传输多路数据,且可并行对多路数据进行加解密处理(即由硬件并行运行网络安全服务协议)。
可以理解的是,当第二发送方和第二接收方属于步骤S1所提及的第一发送方和第一接收方时,需要对传输数据进行加解密处理。具体地,由于第二发送方和第二接收方进行过密钥交换,所以可以获取到第二发送方和第二接收方对应的密钥交换IP包中的目标密钥数据。当第二发送方向第二接收方传输数据时,从第二发送方硬件的多条流水线中选择一条空闲流水线,并在此空闲流水线上利用所获取的目标密钥数据加密数据IP包,然后将加密后的数据IP包发送至第二接收方硬件。
当第二接收方硬件接收到加密后的数据IP包后,从第二接收方硬件的多条流水线中选择一条空闲流水线,并在此空闲流水线上利用所获取的目标密钥数据解密数据IP包,从而得到传输数据。
步骤S5:将数据IP包直接经第二发送方硬件透传至第二接收方硬件。
具体地,当第二发送方和第二接收方不属于步骤S1所提及的第一发送方和第一接收方时,无需对传输数据进行加解密处理,将数据IP包直接经第二发送方硬件透传至第二接收方硬件即可。
此外,本申请可利用第二发送方硬件判断是否对传输数据进行加密处理,利用第二接收方硬件判断是否对传输数据进行解密处理。对于第二发送方硬件来说,若密钥交换双方的第一IP地址中可匹配到数据传输双方的第二IP地址,则对传输数据进行加密处理,否则直接透传。对于第二接收方硬件来说,其既接收到加密后的数据IP包,又接收到未加密的数据IP包,所以第二接收方硬件先对数据IP包进行拆包得到数据传输双方的第二IP地址,若密钥交换双方的第一IP地址中可匹配到数据传输双方的第二IP地址,则对传输数据进行解密处理,否则不作解密处理。
本发明提供了一种网络安全IPsec的加速处理方法,由于发送方与接收方的密钥交换过程对实时性要求低,所以本申请采用软件运行密钥交换协议;由于发送方与接收方的数据传输过程对实时性要求高,所以本申请采用具有多条流水线的硬件完成数据传输过程,并在此过程中可以多条流水线的方式并行完成不同数据IP包的加解密过程(即采用硬件并行运行网络安全服务协议),从而提高了网络安全IPsec的处理速度,同时减少了软件资源的使用率,且提高了网络带宽。
在上述实施例的基础上:
作为一种可选地实施例,在将数据IP包直接经第二发送方硬件透传至第二接收方硬件之后,网络安全IPsec的加速处理方法还包括:
检测第二接收方硬件接收的数据IP包的格式;
当数据IP包的格式为网络安全服务协议格式时,对数据IP包进行丢弃处理。
进一步地,考虑到在将数据IP包直接经第二发送方硬件透传至第二接收方硬件的过程中,可能会存在错误,导致第二发送方硬件误加密数据IP包并发送至第二接收方硬件,此时第二接收方硬件并不能对接收的数据IP包进行解密处理,所以本申请在将数据IP包直接经第二发送方硬件透传至第二接收方硬件之后,检测第二接收方硬件接收的数据IP包的格式。若数据IP包的格式为普通格式时,说明数据IP包未经过加密,即在将数据IP包直接经第二发送方硬件透传至第二接收方硬件的过程中不存在错误;若数据IP包的格式为网络安全服务协议格式时,说明数据IP包经过加密,即在将数据IP包直接经第二发送方硬件透传至第二接收方硬件的过程中存在错误,则对此数据IP包进行丢弃处理即可。
作为一种可选地实施例,网络安全IPsec的加速处理方法还包括:
为系统中发送方硬件预留用于存储发送方硬件的各流水线状态的第一存储空间;
在系统运作时,实时将发送方硬件的各流水线状态存储至第一存储空间;
相应的,在第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密数据IP包的过程,包括:
根据第一存储空间当前存储的第二发送方硬件的各流水线状态,确定第二发送方硬件的空闲流水线;
在第二发送方硬件的任一条空闲流水线上,利用所对应的目标密钥数据加密数据IP包。
进一步地,本申请可为系统中各发送方硬件预留一个第一存储空间,用来存储各发送方硬件的多条流水线的状态。在系统运作时,实时将各发送方硬件的多条流水线的状态更新至第一存储空间,使第一存储空间保留有各发送方硬件的多条流水线的最新状态。
当从第二发送方硬件的多条流水线中寻找空闲流水线时,可根据第一存储空间当前存储的第二发送方硬件的多条流水线的状态,确定出第二发送方硬件的空闲流水线,以为后续选择空闲流水线加密数据IP包打下基础。
作为一种可选地实施例,为系统中发送方硬件预留用于存储发送方硬件的各流水线状态的第一存储空间;在系统运作时,实时将发送方硬件的各流水线状态存储至第一存储空间的过程,包括:
预先为系统中发送方硬件的各流水线一一设置状态标志位,并将其存储至为发送方硬件预留的第一存储空间;
在系统运作时,当发送方硬件的任一流水线处于工作状态时,将此流水线对应的状态标志位置1;当发送方硬件的任一流水线处于空闲状态时,将此流水线对应的状态标志位置0。
具体地,本申请可为系统中各发送方硬件的多条流水线一一设置状态标志位,并将这些状态标志位存储至为各发送方硬件预留的第一存储空间。在系统运作时,当一发送方硬件的任一流水线处于工作状态时,将此流水线对应的状态标志位置“1”;当一发送方硬件的任一流水线处于空闲状态时,将此流水线对应的状态标志位置“0”,从而根据第一存储空间中存储的状态标志位的取值判定各发送方硬件的多条流水线的状态。
作为一种可选地实施例,网络安全IPsec的加速处理方法还包括:
为系统中接收方硬件预留用于存储接收方硬件的各流水线状态的第二存储空间;
在系统运作时,实时将接收方硬件的各流水线状态存储至第二存储空间;
相应的,在第二接收方硬件的多条流水线中任一条空闲流水线上,利用目标密钥数据解密数据IP包的过程,包括:
根据第二存储空间当前存储的第二接收方硬件的各流水线状态,确定第二接收方硬件的空闲流水线;
在第二接收方硬件的任一条空闲流水线上,利用目标密钥数据解密数据IP包。
进一步地,本申请可为系统中各接收方硬件预留一个第二存储空间,用来存储各接收方硬件的多条流水线的状态。在系统运作时,实时将各接收方硬件的多条流水线的状态更新至第二存储空间,使第二存储空间保留有各接收方硬件的多条流水线的最新状态。
当从第二接收方硬件的多条流水线中寻找空闲流水线时,可根据第二存储空间当前存储的第二接收方硬件的多条流水线的状态,确定出第二接收方硬件的空闲流水线,以为后续选择空闲流水线解密数据IP包打下基础。
作为一种可选地实施例,为系统中接收方硬件预留用于存储接收方硬件的各流水线状态的第二存储空间;在系统运作时,实时将接收方硬件的各流水线状态存储至第二存储空间的过程,包括:
预先为系统中接收方硬件的各流水线一一设置状态标志位,并将其存储至为接收方硬件预留的第二存储空间;
在系统运作时,当接收方硬件的任一流水线处于工作状态时,将此流水线对应的状态标志位置1;当接收方硬件的任一流水线处于空闲状态时,将此流水线对应的状态标志位置0。
具体地,本申请可为系统中各接收方硬件的多条流水线一一设置状态标志位,并将这些状态标志位存储至为各接收方硬件预留的第二存储空间。在系统运作时,当一接收方硬件的任一流水线处于工作状态时,将此流水线对应的状态标志位置“1”;当一接收方硬件的任一流水线处于空闲状态时,将此流水线对应的状态标志位置“0”,从而根据第二存储空间中存储的状态标志位的取值判定各接收方硬件的多条流水线的状态。
作为一种可选地实施例,网络安全IPsec的加速处理方法还包括:
预先设置系统的密钥到期时间;
从系统运作时开始,每隔密钥到期时间,均重新执行利用第一发送方软件生成密钥交换IP包,并将密钥交换IP包经第一发送方硬件透传至第一接收方硬件的步骤。
进一步地,考虑到发送方和接收方在密钥交换一定时间后,二者之间的数据传输安全性会降低,所以本申请提前设置一个密钥到期时间,从系统运作时开始,每隔密钥到期时间,均重新执行利用第一发送方软件生成密钥交换IP包,并将密钥交换IP包经第一发送方硬件透传至第一接收方硬件的步骤,即软件重新产生密钥交换协议,从而提高了系统安全性。
作为一种可选地实施例,发送方软件与发送方硬件之间通过PCIE接口进行数据传输。
具体地,系统的各发送方中,发送方软件与发送方硬件之间可通过但不仅限于PCIE(peripheral component interconnect express,高速串行计算机扩展总线标准)接口进行数据传输,本申请在此不做特别的限定。
请参照图2,图2为本发明实施例提供的一种网络安全IPsec的加速处理系统的结构示意图。
该网络安全IPsec的加速处理系统包括:
密钥交换模块1,用于利用第一发送方软件生成密钥交换IP包,并将密钥交换IP包经第一发送方硬件透传至第一接收方硬件;其中,密钥交换IP包包括密钥数据及密钥交换双方的第一IP地址;
数据传输模块2,用于利用第二发送方软件对传输数据进行IP打包处理得到数据IP包,并将数据IP包发送至第二发送方硬件;其中,数据IP包包括传输数据及数据传输双方的第二IP地址;
判断模块3,用于判断第一IP地址中是否存在第二IP地址;若是,则执行数据加解密模块4;若否,则执行透传模块5;
数据加解密模块4,用于在第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密数据IP包,并将加密后的数据IP包发送至第二接收方硬件,以在第二接收方硬件的多条流水线中任一条空闲流水线上,利用目标密钥数据解密数据IP包;
透传模块5,用于将数据IP包直接经第二发送方硬件透传至第二接收方硬件。
作为一种可选地实施例,网络安全IPsec的加速处理系统还包括:
时间设置模块,用于预先设置系统的密钥到期时间;
密钥交换触发模块,用于从系统运作时开始,每隔密钥到期时间,均重新执行密钥交换模块。
本发明提供的加速处理系统的介绍请参考上述加速处理方法的实施例,本发明在此不再赘述。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (7)

1.一种网络安全IPsec的加速处理方法,其特征在于,包括:
利用第一发送方软件生成密钥交换IP包,并将所述密钥交换IP包经第一发送方硬件透传至第一接收方硬件;其中,所述密钥交换IP包包括密钥数据及密钥交换双方的第一IP地址;
利用第二发送方软件对传输数据进行IP打包处理得到数据IP包,并将所述数据IP包发送至第二发送方硬件;其中,所述数据IP包包括传输数据及数据传输双方的第二IP地址;
判断所述第一IP地址中是否存在所述第二IP地址;
若是,则在所述第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密所述数据IP包,并将加密后的数据IP包发送至第二接收方硬件,以在所述第二接收方硬件的多条流水线中任一条空闲流水线上,利用所述目标密钥数据解密所述数据IP包;
若否,则将所述数据IP包直接经所述第二发送方硬件透传至所述第二接收方硬件;
在将所述数据IP包直接经所述第二发送方硬件透传至所述第二接收方硬件之后,所述网络安全IPsec的加速处理方法还包括:
检测所述第二接收方硬件接收的数据IP包的格式;
当所述数据IP包的格式为网络安全服务协议格式时,对所述数据IP包进行丢弃处理;
预先设置系统的密钥到期时间;
从所述系统运作时开始,每隔所述密钥到期时间,均重新执行所述利用第一发送方软件生成密钥交换IP包,并将所述密钥交换IP包经第一发送方硬件透传至第一接收方硬件的步骤。
2.如权利要求1所述的网络安全IPsec的加速处理方法,其特征在于,所述网络安全IPsec的加速处理方法还包括:
为系统中发送方硬件预留用于存储所述发送方硬件的各流水线状态的第一存储空间;
在所述系统运作时,实时将所述发送方硬件的各流水线状态存储至所述第一存储空间;
相应的,所述在所述第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密所述数据IP包的过程,包括:
根据所述第一存储空间当前存储的所述第二发送方硬件的各流水线状态,确定所述第二发送方硬件的空闲流水线;
在所述第二发送方硬件的任一条空闲流水线上,利用所对应的目标密钥数据加密所述数据IP包。
3.如权利要求2所述的网络安全IPsec的加速处理方法,其特征在于,所述为系统中发送方硬件预留用于存储所述发送方硬件的各流水线状态的第一存储空间;在所述系统运作时,实时将所述发送方硬件的各流水线状态存储至所述第一存储空间的过程,包括:
预先为系统中发送方硬件的各流水线一一设置状态标志位,并将其存储至为所述发送方硬件预留的第一存储空间;
在所述系统运作时,当所述发送方硬件的任一流水线处于工作状态时,将此流水线对应的状态标志位置1;当所述发送方硬件的任一流水线处于空闲状态时,将此流水线对应的状态标志位置0。
4.如权利要求1所述的网络安全IPsec的加速处理方法,其特征在于,所述网络安全IPsec的加速处理方法还包括:
为系统中接收方硬件预留用于存储所述接收方硬件的各流水线状态的第二存储空间;
在所述系统运作时,实时将所述接收方硬件的各流水线状态存储至所述第二存储空间;
相应的,所述在所述第二接收方硬件的多条流水线中任一条空闲流水线上,利用所述目标密钥数据解密所述数据IP包的过程,包括:
根据所述第二存储空间当前存储的所述第二接收方硬件的各流水线状态,确定所述第二接收方硬件的空闲流水线;
在所述第二接收方硬件的任一条空闲流水线上,利用所述目标密钥数据解密所述数据IP包。
5.如权利要求4所述的网络安全IPsec的加速处理方法,其特征在于,所述为系统中接收方硬件预留用于存储所述接收方硬件的各流水线状态的第二存储空间;在所述系统运作时,实时将所述接收方硬件的各流水线状态存储至所述第二存储空间的过程,包括:
预先为系统中接收方硬件的各流水线一一设置状态标志位,并将其存储至为所述接收方硬件预留的第二存储空间;
在所述系统运作时,当所述接收方硬件的任一流水线处于工作状态时,将此流水线对应的状态标志位置1;当所述接收方硬件的任一流水线处于空闲状态时,将此流水线对应的状态标志位置0。
6.如权利要求1所述的网络安全IPsec的加速处理方法,其特征在于,发送方软件与发送方硬件之间通过PCIE接口进行数据传输。
7.一种网络安全IPsec的加速处理系统,其特征在于,包括:
密钥交换模块,用于利用第一发送方软件生成密钥交换IP包,并将所述密钥交换IP包经第一发送方硬件透传至第一接收方硬件;其中,所述密钥交换IP包包括密钥数据及密钥交换双方的第一IP地址;
数据传输模块,用于利用第二发送方软件对传输数据进行IP打包处理得到数据IP包,并将所述数据IP包发送至第二发送方硬件;其中,所述数据IP包包括传输数据及数据传输双方的第二IP地址;
判断模块,用于判断所述第一IP地址中是否存在所述第二IP地址;若是,则执行数据加解密模块;若否,则执行透传模块;
所述数据加解密模块,用于在所述第二发送方硬件的多条流水线中任一条空闲流水线上,利用所对应的目标密钥数据加密所述数据IP包,并将加密后的数据IP包发送至第二接收方硬件,以在所述第二接收方硬件的多条流水线中任一条空闲流水线上,利用所述目标密钥数据解密所述数据IP包;
所述透传模块,用于将所述数据IP包直接经所述第二发送方硬件透传至所述第二接收方硬件;
在将所述数据IP包直接经所述第二发送方硬件透传至所述第二接收方硬件之后,所述透传模块还用于:
检测所述第二接收方硬件接收的数据IP包的格式;
当所述数据IP包的格式为网络安全服务协议格式时,对所述数据IP包进行丢弃处理;
时间设置模块,用于预先设置系统的密钥到期时间;
密钥交换触发模块,用于从所述系统运作时开始,每隔所述密钥到期时间,均重新执行所述密钥交换模块。
CN201910736381.2A 2019-08-09 2019-08-09 一种网络安全IPsec的加速处理方法及系统 Active CN110535834B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910736381.2A CN110535834B (zh) 2019-08-09 2019-08-09 一种网络安全IPsec的加速处理方法及系统
PCT/CN2019/108933 WO2021027035A1 (zh) 2019-08-09 2019-09-29 一种网络安全IPsec的加速处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910736381.2A CN110535834B (zh) 2019-08-09 2019-08-09 一种网络安全IPsec的加速处理方法及系统

Publications (2)

Publication Number Publication Date
CN110535834A CN110535834A (zh) 2019-12-03
CN110535834B true CN110535834B (zh) 2021-11-09

Family

ID=68662396

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910736381.2A Active CN110535834B (zh) 2019-08-09 2019-08-09 一种网络安全IPsec的加速处理方法及系统

Country Status (2)

Country Link
CN (1) CN110535834B (zh)
WO (1) WO2021027035A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535834B (zh) * 2019-08-09 2021-11-09 苏州浪潮智能科技有限公司 一种网络安全IPsec的加速处理方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102724173A (zh) * 2011-07-28 2012-10-10 北京天地互连信息技术有限公司 在MIPv6环境下实现IKEv2协议的系统及方法
CN105704122A (zh) * 2016-01-08 2016-06-22 北京北方烽火科技有限公司 一种路由加密系统
CN106169952A (zh) * 2016-09-06 2016-11-30 杭州迪普科技有限公司 一种英特网密钥管理协议重协商的认证方法及装置
CN107172072A (zh) * 2017-06-09 2017-09-15 中国电子科技集团公司第四十研究所 一种基于FPGA的IPSec数据流高速处理系统及方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE50301796D1 (de) * 2002-11-25 2006-01-05 Siemens Ag Verfahren und Anordnung zum verschlüsselten Übertragen von Kommunikationsdatenströmen über ein paketorientiertes Kommunikationsnetz
CN102263794B (zh) * 2011-08-25 2013-10-23 北京星网锐捷网络技术有限公司 安全性处理方法、装置及处理芯片、网络设备
CN108173652A (zh) * 2018-02-12 2018-06-15 武汉三江航天网络通信有限公司 基于量子密钥分发的IPSec VPN密码机
CN110535834B (zh) * 2019-08-09 2021-11-09 苏州浪潮智能科技有限公司 一种网络安全IPsec的加速处理方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102724173A (zh) * 2011-07-28 2012-10-10 北京天地互连信息技术有限公司 在MIPv6环境下实现IKEv2协议的系统及方法
CN105704122A (zh) * 2016-01-08 2016-06-22 北京北方烽火科技有限公司 一种路由加密系统
CN106169952A (zh) * 2016-09-06 2016-11-30 杭州迪普科技有限公司 一种英特网密钥管理协议重协商的认证方法及装置
CN107172072A (zh) * 2017-06-09 2017-09-15 中国电子科技集团公司第四十研究所 一种基于FPGA的IPSec数据流高速处理系统及方法

Also Published As

Publication number Publication date
WO2021027035A1 (zh) 2021-02-18
CN110535834A (zh) 2019-12-03

Similar Documents

Publication Publication Date Title
KR101593864B1 (ko) 컨텐츠 중심 네트워킹
RU2018129320A (ru) Защищенная и устойчивая к разрывам связь для подводных необитаемых аппаратов
CN112398651B (zh) 一种量子保密通信方法、装置、电子设备以及存储介质
US8464053B2 (en) Systems, methods, and media for retransmitting data using the secure real-time transport protocol
WO2011134807A1 (en) Dynamic encryption and decryption for network communication
CN110138795B (zh) 一种通信过程中的多步混合加解密方法
US20190166042A1 (en) Method for data transmitting, centralized controller, forwarding plane device and communication apparatus
US11558361B2 (en) Communication method between mesh network and cloud server, mesh network system and node device thereof
CN102088441A (zh) 消息中间件的数据加密传输方法和系统
CN113542428B (zh) 车辆数据上传方法、装置、车辆、系统及存储介质
EP3442195A1 (en) Method and device for parsing packet
US11716367B2 (en) Apparatus for monitoring multicast group
US20080133915A1 (en) Communication apparatus and communication method
CN116015980A (zh) 一种udp数据包处理方法、装置、设备及存储介质
CN110535834B (zh) 一种网络安全IPsec的加速处理方法及系统
US10630479B2 (en) Network communication method having function of recovering terminal session
CN114142995A (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN113905012A (zh) 一种通信方法、装置、设备及介质
US10263771B2 (en) Two-way key switching method and implementation device
CN111756698A (zh) 一种消息传递方法、装置、设备和计算机可读存储介质
CN110868246B (zh) 一种信息传输方法及系统
CN108632197B (zh) 一种内容验证方法及设备
CN115567207A (zh) 采用量子密钥分发实现组播数据加解密方法及系统
CN109587163B (zh) 一种dr模式下的防护方法和装置
WO2010124549A1 (zh) 获取公钥的方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant