CN111669374A - 一种IPsec VPN单条隧道软件加解密性能扩展方法 - Google Patents

一种IPsec VPN单条隧道软件加解密性能扩展方法 Download PDF

Info

Publication number
CN111669374A
CN111669374A CN202010449924.5A CN202010449924A CN111669374A CN 111669374 A CN111669374 A CN 111669374A CN 202010449924 A CN202010449924 A CN 202010449924A CN 111669374 A CN111669374 A CN 111669374A
Authority
CN
China
Prior art keywords
message
cpu
ipsec vpn
encryption
plaintext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010449924.5A
Other languages
English (en)
Other versions
CN111669374B (zh
Inventor
兰星
范渊
吴永越
郑学新
刘韬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu DBAPPSecurity Co Ltd
Original Assignee
Chengdu DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu DBAPPSecurity Co Ltd filed Critical Chengdu DBAPPSecurity Co Ltd
Priority to CN202010449924.5A priority Critical patent/CN111669374B/zh
Publication of CN111669374A publication Critical patent/CN111669374A/zh
Application granted granted Critical
Publication of CN111669374B publication Critical patent/CN111669374B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种IPsec VPN单条隧道软件加解密性能扩展方法,报文转发引擎支持多CPU并行化处理报文转发业务,若当前CPU的利用率超过90%,且存在利用率低于50%的CPU,则获取第一个不超过50%的CPU,并作为目的CPU,将报文发送到目的CPU的共享队列中,进行明文报文加密处理;若明文的hash不归属本CPU的报文,则将加密报文发送到原来CPU的共享队列,从CPU共享队列中获取加密报文。本发明实现纯软件化,当其中一个CPU上IPsec VPN报文加解密负载太高时,则将加解密报文指针传入其它空闲CPU进行加解密处理,达到提升单条IPsec VPN隧道性能的目的。

Description

一种IPsec VPN单条隧道软件加解密性能扩展方法
技术领域
本发明属于数据通信领域,具体涉及一种IPsec VPN单条隧道软件加解密性能扩展方法。
背景技术
传统的数据转发设备,比如路由器和防火墙等网关设备,主要产品形态是软硬件一体的,软件与硬件绑定在一起,因此性能是固化的,客户购买过程中根据自己的性能参数需要选购产品型号。而IPsec VPN作为网关设备的核心功能,其性能表现也是客户选择该产品的一个重要考量。IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force(IETF)定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。如图1所示,它的主要的使用场景是总部与分支,分支与分支的互联互通。
如图2所示,从封装方式可以看到,整个报文进行了加密处理,而相应的对端则需要对该报文进行解密处理。而其中根据统计,64B数据包加密操作大约占用于数据包处理的周期的50%,1280B数据包加密操作占到了数据包处理周期的78%。因此如何提升整个报文处理过程中的加解密性能是提升整个ipsec VPN性能的关键。现有技术中ipsec VPN加解密的典型解决方案主要包括以下两类:
1、采用硬件加速技术进行(如FPGA,加密卡等)
专利申请号为201910736381.2的一种网络安全IPsec的加速处理方法及系统,该方法包括:逻辑线卡的FPGA在收到IPSec报文后,利用IPSec报文的转发信息查询流表;如果流表中有IPSec报文的转发信息,逻辑线卡的FPGA确定用于处理IPSec报文的线卡;如果用于处理IPSec报文的线卡为辅助线卡,所述逻辑线卡的FPGA将IPSec报文发送给辅助线卡的CPU,由所述辅助线卡的CPU内的加密引擎对所述IPSec报文进行加密处理或者解密处理,并由所述辅助线卡的CPU将加密处理或者解密处理后的IPSec报文发送给所述逻辑线卡的FPGA。本发明实施例中,可以提高加密引擎的使用效率,提升IPSec整体处理性能。
2、在转发引擎中划分单独的加解密线程或者进程
专利申请号为201210264843.3的一种实现IPSEC VPN加解密处理的方法及装置:采用三个内核线程共享对网卡输入的数据进行异步处理,同时几个线程(模块)还可同时并行工作,从而实现数据报文的处理率及协处理器的利用效率的大幅提高。本发明主要包括数据加解密处理线程、数据加解密处理线程、数据发送处理线程,通过数据接收处理线程将网卡接收到未经加密协处理器处理的数据报文经生产者指针存入环形缓冲队列,并触发数据加解密处理线程工作等完成本设计,本发明主要应用于IPSEC VPN数据处理领域。
然而,第一种通过硬件实现进行硬件加解密,这种方案优势在于可以充分利用硬件的高效性,达到较高的加解密性能,但是其成本很高,同时硬件带有一定的定制性,所以不是一个普适的方案。第二种是通过软件上通过将加解密作为独立的处理单元,通过启动多个相应的软件处理单元来达到加解密的性能扩展,但是作为报文转发引擎的一个处理单元,在部署过程中需要单独占用CPU资源,如果没有ipsec VPN相关业务则该处理单元占用着资源但是不做任何处理,资源浪费严重。
发明内容
本发明的目的在于提供一种IPsec VPN单条隧道软件加解密性能扩展方法,本发明基于数据转发引擎并行化处理,纯软件化,每个数据转发引擎在一个CPU上进行全流程处理,数据的接收转发以及ipsec VPN业务的加解密单元也作为整个流程的一个处理过程,在没有ipsec VPN业务处理时,其它业务可以正常执行。本发明不对其它数据转发业务产生影响,于此同时当其中一个CPU上IPsec VPN报文加解密负载太高,则将加解密报文指针传入其它空闲CPU的加解密处理过程,从而达到提升单条IPsec VPN隧道性能的目的。
本发明主要通过以下技术方案实现:一种IPsec VPN单条隧道软件加解密性能扩展方法,报文转发引擎支持多CPU并行化处理报文转发业务,若当前CPU的利用率超过90%,且存在利用率低于50%的CPU,则获取列表中第一个不超过50%的CPU,并作为跨CPU报文的目的CPU,将报文发送到目的CPU的共享队列中,目的CPU处理程序从共享内存中获取明文报文,进行明文报文加密处理;若明文的hash不归属本CPU的报文,则将加密报文发送到原来CPU的共享队列,从CPU共享队列中获取加密报文。
本发明在使用过程中,获取所有CPU利用率,若当前CPU的利用率超过90%,则判断是否存在利用率低于50%的CPU,若存在,则获取列表中第一个不超过50%的CPU,并作为跨CPU报文的目的CPU,将报文发送到目的CPU的共享队列中,目的CPU处理程序从共享内存中获取明文报文,进行明文报文加密处理,然后判断明文的hash值判断是否为归属本CPU的报文,如果不是,则加密报文目的CPU为hash计算出来的CPU,将加密报文发送到原来CPU的共享队列,从CPU共享队列中获取加密报文,进入本CPU的加密报文增加ipsec包头开始的ipsec VPN的后续处理过程,并最终将报文发出。
为了更好地实现本发明,进一步的,还包括CPU监控模块,用于实时获取当前各个CPU利用率。
为了更好地实现本发明,进一步的,所述报文转发引擎接收报文,并对报文进行解码,然后查询路由以找到出接口,对比报文重新封装帧头,报文从出接口发送出去。
为了更好地实现本发明,进一步的,报文接收采用DPDK的用户态接收模式,网卡接收报文之后根据报文头部的五元组进行hash,然后分配个不同的转发CPU的队列。
为了更好地实现本发明,进一步的,所述报文转发引擎中嵌入有ipsec VPN隧道,所述ipsec VPN隧道包括发送端和接收端。
为了更好地实现本发明,进一步的,所述发送端接收明文报文并进行解析,查询路由以找到出接口,若出接口为ipsec VPN隧道接口,则明文报文进行加密处理,并对加密报文增加ipsec包头,加密报文重新查找路由并找到出接口,加密报文重新封装帧头,加密报文从出接口发送。
为了更好地实现本发明,进一步的,所述接收端接收加密报文,接口为ipsec VPN接口,加密报文去隧道包头,解密报文获取明文原始报文,明文报文查询路由获取出接口,明文报文重新封装帧头,明文报文从出接口发送。
为了更好地实现本发明,进一步的,若当前CPU利用率小于90%则对明文进行加解密,按照原始ipsec VPN报文处理并发送出去。
单条IPsec VPN隧道的报文头部是相同的,意味着其原目的地址和端口以及协议都是相同的,所以其只会hash到一个CPU上,因此只能在这个CPU上进行加解密操作,而对于报文的加密密操作性能损耗非常严重,这就是单条IPsec VPN隧道性能形成瓶颈的根本原因,它无法通过增加并行化化转发处理过程来进行线性扩展。如果通过分包的方式将单条隧道的报文hash到不同的CPU上,也可以突破这种瓶颈,但是由于隧道报文处理需要保序,否则将出现后续处理的丢包以及重传,性能反而会降低,达不到性能提升的效果,反而会对客户业务产生影响。本发明将通过在当前架构中增加跨CPU的包传递机制,以及CPU负载监控机制,将单个CPU的报文加解密负载分担到其它空闲CPU中,已达到加解密性能扩展的目的。
本发明的有益效果:
(1)本发明基于数据转发引擎并行化处理,纯软件化,每个数据转发引擎在一个CPU上进行全流程处理,数据的接收转发以及ipsec VPN业务的加解密单元也作为整个流程的一个处理过程,在没有ipsec VPN业务处理时,其它业务可以正常执行。
(2)本发明不对其它数据转发业务产生影响,于此同时当其中一个CPU上IPsecVPN报文加解密负载太高,则将加解密报文指针传入其它空闲CPU的加解密处理过程,从而达到提升单条IPsec VPN隧道性能的目的。
(3)本发明通过在ipsec VPN的加解密基础上增加相应的负载监控以及报文转向空闲CPU进行加解密处理的机制,打破原有的ipsec VPN单条隧道性能的瓶颈,使其具备了横向扩展的能力,同时对原有的转发流程的侵入性修改降低,对系统稳定性和性能影响小。
附图说明
图1为IPSec VPN使用场景示意图;
图2为隧道模式下的IPSec VPN报文封装原理图;
图3为报文转发流程示意图;
图4为多CPU并行化报文处理引擎的基本架构图;
图5为IPsec VPN隧道发送端的处理流程图;
图6为IPsec VPN隧道接收端的处理流程图;
图7为本发明的处理流程图;
图8为CPU负载监控机制原理图。
具体实施方式
实施例1:
一种IPsec VPN单条隧道软件加解密性能扩展方法,在并行化数据报文转发引擎对于单条IPsec VPN隧道报文处理流程,通过增加并行化CPU负载监控、报文转CPU进行加解密,从而达到扩展单条隧道的加解密性能,并且单条隧道的性能可以随着并行化CPU的增加进行线性扩展。
1、数据报文转发引擎:该组件是报文转发的核心组件,如图3所示,数据报文转发引擎主要作为实现设备或者软件对数据报文转发的处理需求。整个报文转发引擎支持多CPU并行化处理报文转发业务,这个是本发明的前提之一。
2、报文接收过程中的分包:由于转发引擎并行化处理,并且每个处理都是等同的。如图4所示,报文接收采用DPDK的用户态接收模式,网卡接收报文之后根据报文头部的五元组进行hash,然后分配个不同的转发CPU的队列,从而完成分包的处理。在这个架构下新增功能只需要在报文转发基本过程中增加相应的功能处理模块即可。
3、IPsec VPN隧道处理模块:ipsec VPN隧道作为数据转发引擎的一个功能模块,嵌入到数据转发引擎的处理过程中,如图5、图6所示,其基本处理逻辑主要分发送端和接收端。该模块提供ipsec VPN报文转发处理过程,除了基本的转发过程之外,在处理过程中增加了对于明文报文的加密过程以及对密文的解密过程。
因为单条IPsec VPN隧道的报文头部是相同的,意味着其原目的地址和端口以及协议都是相同的,所以其只会hash到一个CPU上,因此只能在这个CPU上进行加解密操作,而对于报文的加密密操作性能损耗非常严重,这就是单条IPsec VPN隧道性能形成瓶颈的根本原因,它无法通过增加并行化化转发处理过程来进行线性扩展。如果通过分包的方式将单条隧道的报文hash到不同的CPU上,也可以突破这种瓶颈,但是由于隧道报文处理需要保序,否则将出现后续处理的丢包以及重传,性能反而会降低,达不到性能提升的效果,反而会对客户业务产生影响。
本发明将通过在当前架构中增加跨CPU的包传递机制,以及CPU负载监控机制,将单个CPU的报文加解密负载分担到其它空闲CPU中,已达到加解密性能扩展的目的。
如图7、图8所示,隧道报文加密的步骤如下:
Step1:系统启动后,CPU监控模块一直在监控各个CPU的利用率并记录,有更新则直接更新。
Step2:某条明文流量包接收,通过hash分包到CPU0上进行处理,通过路由查找发现起出接口为ipsec VPN接口,则进入IPsec VPN的处理流程;
Step3:获取当前所有的CPU的利用率,判断当前CPU利用率是否超过90%;如果是则进入step4;如果不是则进入step5;
Step4:对明文进行加解密,然后按照原始ipsec VPN报文处理流程处理并最终发送出去。
Step5:判断是否存在低于50%的利用率的CPU,如果不存在,进入step4;如果存在,则获取查找中第一个获取到的CPU作为跨CPU报文的目的CPU。
Step6:将报文发送到目的CPU的共享队列。
Step7:目的CPU处理程序从共享内存中获取明文报文,进行明文报文加密处理,然后判断该明文的hash值判断是否为归属本CPU的报文,如果不是则该加密报文目的CPU为hash计算出来的CPU,将加密报文发送到原来CPU的共享队列;
Step8:本CPU共享队列中获取加密报文,进入本CPU的加密报文增加ipsec包头开始的ipsec VPN的后续处理过程,并最终将报文发出。
本发明基于通用的CPU进行处理,通过在现有的ipsec VPN的加解密基础上增加相应的负载监控以及报文转向空闲CPU进行加解密处理的机制,打破原有的ipsec VPN单条隧道性能的瓶颈,使其具备了横向扩展的能力,同时对原有的转发流程的侵入性修改降低,对系统稳定性和性能影响小。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。

Claims (8)

1.一种IPsec VPN单条隧道软件加解密性能扩展方法,其特征在于,报文转发引擎支持多CPU并行化处理报文转发业务,若当前CPU的利用率超过90%,且存在利用率低于50%的CPU,则获取列表中第一个不超过50%的CPU,并作为跨CPU报文的目的CPU,将报文发送到目的CPU的共享队列中,目的CPU处理程序从共享内存中获取明文报文,进行明文报文加密处理;若明文的hash不归属本CPU的报文,则将加密报文发送到原来CPU的共享队列,从CPU共享队列中获取加密报文。
2.根据权利要求1所述的一种IPsec VPN单条隧道软件加解密性能扩展方法,其特征在于,还包括CPU监控模块,用于实时获取当前各个CPU利用率。
3.根据权利要求2所述的一种IPsec VPN单条隧道软件加解密性能扩展方法,其特征在于,所述报文转发引擎接收报文,并对报文进行解码,然后查询路由以找到出接口,对比报文重新封装帧头,报文从出接口发送出去。
4.根据权利要求3所述的一种IPsec VPN单条隧道软件加解密性能扩展方法,其特征在于,报文接收采用DPDK的用户态接收模式,网卡接收报文之后根据报文头部的五元组进行hash,然后分配个不同的转发CPU的队列。
5.根据权利要求4所述的一种IPsec VPN单条隧道软件加解密性能扩展方法,其特征在于,所述报文转发引擎中嵌入有ipsec VPN隧道,所述ipsec VPN隧道包括发送端和接收端。
6.根据权利要求5所述的一种IPsec VPN单条隧道软件加解密性能扩展方法,其特征在于,所述发送端接收明文报文并进行解析,查询路由以找到出接口,若出接口为ipsec VPN隧道接口,则明文报文进行加密处理,并对加密报文增加ipsec包头,加密报文重新查找路由并找到出接口,加密报文重新封装帧头,加密报文从出接口发送。
7.根据权利要求5所述的一种IPsec VPN单条隧道软件加解密性能扩展方法,其特征在于,所述接收端接收加密报文,接口为ipsec VPN接口,加密报文去隧道包头,解密报文获取明文原始报文,明文报文查询路由获取出接口,明文报文重新封装帧头,明文报文从出接口发送。
8.根据权利要求1所述的一种IPsec VPN单条隧道软件加解密性能扩展方法,其特征在于,若当前CPU利用率小于90%则对明文进行加解密,按照原始ipsec VPN报文处理并发送出去。
CN202010449924.5A 2020-05-25 2020-05-25 一种IPsec VPN单条隧道软件加解密性能扩展方法 Active CN111669374B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010449924.5A CN111669374B (zh) 2020-05-25 2020-05-25 一种IPsec VPN单条隧道软件加解密性能扩展方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010449924.5A CN111669374B (zh) 2020-05-25 2020-05-25 一种IPsec VPN单条隧道软件加解密性能扩展方法

Publications (2)

Publication Number Publication Date
CN111669374A true CN111669374A (zh) 2020-09-15
CN111669374B CN111669374B (zh) 2022-05-27

Family

ID=72384474

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010449924.5A Active CN111669374B (zh) 2020-05-25 2020-05-25 一种IPsec VPN单条隧道软件加解密性能扩展方法

Country Status (1)

Country Link
CN (1) CN111669374B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113032798A (zh) * 2021-01-29 2021-06-25 新华三信息安全技术有限公司 一种文件加解密的方法、设备和存储介质
CN113079077A (zh) * 2021-03-30 2021-07-06 郑州信大捷安信息技术股份有限公司 基于队列实现的dpdk架构下隧道报文对称rss处理方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546617A (zh) * 2011-12-29 2012-07-04 汉柏科技有限公司 多核多线程系统中IPSec转发的方法
CN102811169A (zh) * 2012-07-24 2012-12-05 成都卫士通信息产业股份有限公司 采用哈希算法进行多核并行处理的vpn实现方法及系统
CN102932141A (zh) * 2012-09-27 2013-02-13 汉柏科技有限公司 多加解密芯片并行处理报文加解密的保序方法及系统
CN103049336A (zh) * 2013-01-06 2013-04-17 浪潮电子信息产业股份有限公司 一种基于哈希的网卡软中断负载均衡方法
US20150052599A1 (en) * 2013-08-15 2015-02-19 Mocana Corporation Gateway device for terminating a large volume of vpn connections
CN105630731A (zh) * 2015-12-24 2016-06-01 曙光信息产业(北京)有限公司 一种多cpu环境下网卡数据处理方法和装置
CN106341404A (zh) * 2016-09-09 2017-01-18 西安工程大学 基于众核处理器的IPSec VPN系统及加解密处理方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546617A (zh) * 2011-12-29 2012-07-04 汉柏科技有限公司 多核多线程系统中IPSec转发的方法
CN102811169A (zh) * 2012-07-24 2012-12-05 成都卫士通信息产业股份有限公司 采用哈希算法进行多核并行处理的vpn实现方法及系统
CN102932141A (zh) * 2012-09-27 2013-02-13 汉柏科技有限公司 多加解密芯片并行处理报文加解密的保序方法及系统
CN103049336A (zh) * 2013-01-06 2013-04-17 浪潮电子信息产业股份有限公司 一种基于哈希的网卡软中断负载均衡方法
US20150052599A1 (en) * 2013-08-15 2015-02-19 Mocana Corporation Gateway device for terminating a large volume of vpn connections
CN105630731A (zh) * 2015-12-24 2016-06-01 曙光信息产业(北京)有限公司 一种多cpu环境下网卡数据处理方法和装置
CN106341404A (zh) * 2016-09-09 2017-01-18 西安工程大学 基于众核处理器的IPSec VPN系统及加解密处理方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113032798A (zh) * 2021-01-29 2021-06-25 新华三信息安全技术有限公司 一种文件加解密的方法、设备和存储介质
CN113079077A (zh) * 2021-03-30 2021-07-06 郑州信大捷安信息技术股份有限公司 基于队列实现的dpdk架构下隧道报文对称rss处理方法及系统
CN113079077B (zh) * 2021-03-30 2022-04-08 郑州信大捷安信息技术股份有限公司 基于队列实现的dpdk架构下隧道报文对称rss处理方法及系统

Also Published As

Publication number Publication date
CN111669374B (zh) 2022-05-27

Similar Documents

Publication Publication Date Title
US7774593B2 (en) Encrypted packet, processing device, method, program, and program recording medium
US7631116B2 (en) Method and system for packet encryption
EP1192782B1 (en) Classification engine in a cryptography acceleration chip
WO2017173806A1 (zh) 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统
US9219709B2 (en) Multi-wrapped virtual private network
US20020191604A1 (en) Application-specific information-processing method, system, and apparatus
CN111669374B (zh) 一种IPsec VPN单条隧道软件加解密性能扩展方法
JP2004524768A (ja) ネットワークアプリケーション用に保護処理機能を分配するシステム及び方法
US6983382B1 (en) Method and circuit to accelerate secure socket layer (SSL) process
CN112699397B (zh) 基于虚拟环境下的软件加解密方法和系统
CN111800436B (zh) IPSec隔离网卡设备及安全通信方法
US10951520B2 (en) SDN, method for forwarding packet by SDN, and apparatus
CN113810397B (zh) 协议数据的处理方法及装置
CN111988211B (zh) 网络设备的报文分流方法和装置
CN109905310B (zh) 数据传输方法、装置、电子设备
Liu et al. Secure Video Streaming with Lightweight Cipher PRESENT in an SDN Testbed.
CN106209401A (zh) 一种传输方法及装置
CN114039795B (zh) 软件定义路由器及基于该软件定义路由器的数据转发方法
Liu et al. An ICN-based Secure Task Cooperation Scheme in Challenging Wireless Edge Networks
US11956160B2 (en) End-to-end flow control with intermediate media access control security devices
CN103220273A (zh) 一种cpu快速转发报文的方法及系统
JP2004180234A (ja) 暗号パケット処理装置
US20240106647A1 (en) Methods and systems of a packet orchestration to provide data encryption at the ip layer, utilizing a data link layer encryption scheme
US20210092103A1 (en) In-line encryption of network data
HanPing et al. Research and Design for IPSec Architecture on Kernel

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant