CN112699397B - 基于虚拟环境下的软件加解密方法和系统 - Google Patents
基于虚拟环境下的软件加解密方法和系统 Download PDFInfo
- Publication number
- CN112699397B CN112699397B CN202110089325.1A CN202110089325A CN112699397B CN 112699397 B CN112699397 B CN 112699397B CN 202110089325 A CN202110089325 A CN 202110089325A CN 112699397 B CN112699397 B CN 112699397B
- Authority
- CN
- China
- Prior art keywords
- data
- service
- protocol
- ipsec
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012545 processing Methods 0.000 claims abstract description 94
- 230000011664 signaling Effects 0.000 claims abstract description 37
- 230000003993 interaction Effects 0.000 claims abstract description 9
- 230000006798 recombination Effects 0.000 claims abstract description 7
- 238000005215 recombination Methods 0.000 claims abstract description 7
- 230000008569 process Effects 0.000 claims description 25
- 238000005516 engineering process Methods 0.000 claims description 10
- 238000004891 communication Methods 0.000 abstract description 7
- 238000011161 development Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
- G06F8/42—Syntactic analysis
- G06F8/427—Parsing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及通信技术领域,具体涉及一种基于虚拟环境下的软件加解密方法和系统,方法包括以下步骤:S1、在用户态通过DPDK将所有对外接口上的数据根据IP报文的协议类型完成数据初步分类和重组,并根据解析结果进行信令数据和业务数据的分离;S2、将信令数据通过内核发送给用户态,以完成IPSec的信令交互以及IPSec的SA协商和链路建立;S3、在用户态通过Netlink接口和PF_KEY接口镜像提取链路的Sa/Sp/Route信息并进行链路信息配置;S4、最后在用户态根据数据流向对业务数据进行加密和解密处理以及路由转发。本发明大幅度的提高IPSec的系统处理能力,实现高性能的IPSec数据处理,满足IPSec处理的云虚拟化趋势。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种基于虚拟环境下的软件加解密方法和系统。
背景技术
“Internet协议安全性(IPSec)” 是一种由IETF设计的端到端的确保IP层通信安全的机制,是一种开放式框架结构。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet KeyExchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。IKE协议是UDP之上的一个应用层协议,属于ipsec的信令协议。网络上两个通信端通过IKE协议的协商为IPSec建立SA(SecurityAssociation),并把建立的参数及生成的密钥交给IPSec。协商内容包括包括采用何种IPSec协议(AH还是ESP)、运行模式(传输模式还是隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等,从而决定了保护什么、如何保护以及谁来保护,SA是构成IPSec的基础。AH和ESP两个协议都使用IKE建立的SA来对IP报文加密或认证进行处理,从而保护对通信数据进行加密保护,确保数据在Internet上的可靠通讯,而IKE的主要功能就是在通信双方协商SA。
IKE和IPSec的关系如图3所示,常见的Windows、Linux系统目前已经支持IPSec协议族,使用操作系统中IPSec功能时,一般是通过内核软件的方式实现数据的加解密。由于复杂的加密/解密、认证算法会占用大量的CPU资源,从而影响系统的整体运行效率,无法用于多用户、大容量的数据处理。为了满足越来越高的处理速率,并降低传统软件方式下系统资源开销,IPSec中的加解密功能也可以通过专用的加密卡来实现。加密卡通常由专用的硬件芯片例如FPGA、专用芯片来实现,将复杂的加解密算法处理在专用的硬件上进行,从而提高了设备的处理效率。通过加密卡对数据进行加/解密处理的过程是:处理器将需要加/解密处理的数据发给加密卡,加密卡对数据进行处理,然后加密卡将处理后的数据发送回处理器,再由处理器进行后续转发处理。
采用专用的加解密硬件来实现数据加解密处理器时候,往往需要有相应的专用配套硬件来配合。综合成本相对较高,配置上也缺乏灵活性,不能满足加解密协议算法的无关性原则且无法实现虚拟云化处理。Intel® QuickAssist Technology协议处理方案可以实现服务器的加解密处理,也可以将设备透给虚拟设备使用,但是对应的成本较高,且软硬件技术设计上也较复杂。
综上所述,现有技术具有以下缺点:(1)高性能的数据加解密处理需要专用硬件设备配合,实现成本高,配置不灵活。(2)专用硬件的可扩展性差,实现周期长。(3)内核软件处理效率低,对于大规模加解密数据的处理不及时,延时比较大。
也就是说,目前的操作系统不能满足大流量数据的加解密要求;专用的加解密硬件又无法满足虚拟化要求;协处理器硬件设备成本高,技术复杂。因此,需要对现有技术的加解密方法进行改进,以实现高速安全的数据加解密服务,减少数据加解密对硬件设备的依赖。
发明内容
本发明克服现有技术存在的不足,所要解决的技术问题为:提供一种基于虚拟环境下的软件加解密方法和系统,利用DPDK技术,实现高速安全数据加解密服务,减少数据加解密对硬件设备的依赖。
为了解决上述技术问题,本发明采用的技术方案为:一种基于虚拟环境下的软件加解密方法,包括以下步骤:
S1、利用DPDK技术在用户态将所有对外接口上的数据根据IP报文的协议类型完成数据初步分类和重组,并根据解析结果进行信令数据和业务数据的分离;
S2、将信令数据通过内核发送给用户态协议处理进程,以完成IPSec的信令交互以及IPSec的SA协商和链路建立;
S3、在用户态通过Netlink接口和PF_KEY 接口镜像提取链路的Sa/Sp/Route信息并进行链路信息配置;
S4、最后在用户态的业务处理模块中根据数据流向对业务数据进行加密和解密处理以及路由转发。
所述步骤S2中,用户态协议处理通过支持IKEv2协议的StrongSwan后台进程实现,用户态通过DPDK提供的数据平面库来收发数据包。
所述的一种基于虚拟环境下的软件加解密方法,还包括以下步骤:
S5、根据业务流量动态部署和调整业务处理模块的规模,根据根据CPU核的占用情况及系统负载情况动态调整业务处理模块与CPU核的绑定。
所述步骤S4的具体步骤为:对业务数据进行解密处理时,根据报文的源端口、协议号、ESP报文头信息结合信令配置信息调用Crypto API库对密文数据进行解密操作,再对还原的明文数据进行路由转发;
对业务数据进行加密处理时,根据数据源端口和dip信息,结合信令配置表项,调用Crypto API库对策略符合的明文数据进行加密处理和封装处理后再进行路由转发。
本发明还提供了一种基于虚拟环境下的软件加解密系统,包括:
NIC#0端口和NIC#1端口:分别用于传输密文数据和明文数据;
DPDK模块:用于提供数据平面库来收发数据包;
FWD模块:用于根据IP报文的协议类型完成数据初步分类、重组功能,并根据解析结果进行信令数据和业务数据的分离,并将信令数据通过内核发送至协议建立模块;
协议建立模块:完成IPSec的信令交互以及IPSec的SA协商和链路建立;
配置管理模块:用于通过Netlink接口和PF_KEY 接口镜像提取处理链路的Sa/Sp/Route信息后,并将链路信息配置到业务处理模块;
业务处理模块:用于根据数据流向对业务数据进行加密处理和解密处理。
所述协议建立模块具体为支持IKEv2协议的StrongSwan后台进程。
所述系统布置在数据云中的各个数据中心。
所述业务处理模块包括:
加密模块:用于根据数据源端口和dip信息,结合信令配置表项,调用Crypto API库对策略符合的明文数据进行加密处理和封装处理;
解密模块:用于根据报文的源端口、协议号、ESP报文头信息结合信令配置信息调用Crypto API库对密文数据进行解密操作。
所述业务处理模块通过软件进程实现业务数据的加密处理和解密处理,软件进程的数量根据业务量大小进行动态调整;所述业务处理模块与CPU核的绑定根据CPU核的占用情况及系统负载情况进行动态调整。
本发明与现有技术相比具有以下有益效果:本发明在不改变组网的情况下,结合Linux内核和Intel® DPDK技术,通过软件实现数据的加解密处理,可以很方便的虚拟化运行。其具有以下优点:
(1)不需要专用硬件设备,利用DPDK技术,软件实现高速IPSec数据处理;
(2)具备NFV网络的特点,易扩展,实现周期短;
(3)支持动态部署,通过增加进程的方式提升加解密的吞吐量。
附图说明
图1为本发明实施例提供的一种基于虚拟环境下的软件加解密系统的结构示意图,图中的箭头方向表示数据处理中的数据流向;
图2为本发明实施例提供的系统在云产品中的部署位置图;
图3为现有技术中IKE和IPSec的关系示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例;基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种基于虚拟环境下的软件加解密方法和系统,其在虚拟网络设备下,使用DPDK技术,在用户态完成IPSec数据处理。本发明的软件加解密方法主要包括IPSec中信令和业务数据处理的分离,IKE协议的部署,DPDK用户态数据报文的解析以及多进程的多实例的业务数据处理过程。
如图1所示,为本发明实施例的数据处理流程图,端口NIC#0传输的是密文数据,端口NIC#1传输的是明文数据。本发明的加解密方法具体包括以下步骤:
S1、在用户态将所有对外接口上的数据通过FWD模块,FWD模块根据IP报文的协议类型完成数据初步分类和重组,并根据解析结果进行信令数据和业务数据的分离;
本实施例中,用户态通过DPDK提供的数据平面库来收发数据包。Intel® DPDK全称Intel Data Plane Development Kit,是Intel提供的数据平面开发工具集,为Intelarchitecture(IA)处理器架构下用户空间高效的数据包处理提供库函数和驱动的支持,专注于网络应用中数据包的高性能处理。
S2、将信令数据通过KNI接口发送至内核,然后内核通过PF_KEY发送给用户态协议处理的StrongSwan进程,以完成IPSec的信令交互以及IPSec的SA的协商链路建立,用户态协议处理通过支持IKEv2协议的StrongSwan后台进程实现IPSec的信令交互以及IPSec的SA的协商链路建立。StrongSwan是linux平台下的IPSec开源软件包,侧重于IPSec中IKEv2协议的实现。IKEv2(RFC 4306)是IKEv2的第二个版本,它在安全性和功能上都有很大的增强,简化了协议的交互过程。支持 IKE(Internet Key Exchange,因特网密钥交换),可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过IKE 建立和维护SA 的服务,简化了IPsec 的使用和管理。 所有使用 IP 协议进行数据传输的应用系统和服务都可以使用IPsec,而不必对这些应用系统和服务本身做任何修改。对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP 数据包的安全性,可以有效防范网络攻击。
S3、在用户态,配置管理模块(TPL)通过Netlink接口和PF_KEY 接口镜像提取链路的Sa/Sp/Route信息并进行链路信息配置,将其配置到业务处理模块CRYPTO中;
S4、最后,用户态的业务处理模块CRYPTO根据数据流向对业务数据进行加密和解密处理以及路由转发。具体地,对业务数据进行解密处理时,根据报文的源端口、协议号、ESP报文头信息结合信令配置信息调用Crypto API库对密文数据进行解密操作,再对还原的明文数据进行路由转发;对业务数据进行加密处理时,根据数据源端口和dip信息,结合信令配置表项,调用Crypto API库对策略符合的明文数据进行加密处理和封装处理后再进行路由转发。
参见图1,本发明实施例还提供了一种基于虚拟环境下的软件加解密系统,包括:
NIC#0端口和NIC#1端口:分别用于传输密文数据和明文数据;
DPDK模块:用于提供物理接口上收发数据包的数据平面库;
FWD模块:用于根据IP报文的协议类型完成数据初步分类、重组功能,并根据解析结果进行信令数据和业务数据的分离,并将信令数据通过内核发送至协议处理模块;
协议处理模块:完成IPSec的信令交互以及IPSec的SA协商和链路建立;所述协议建立模块具体为支持IKEv2协议的StrongSwan后台进程;
配置管理模块(TPL):用于通过Netlink接口和PF_KEY 接口镜像提取处理链路的Sa/Sp/Route信息后,并将链路信息配置到业务处理模块;
业务处理模块(CRYPTO):用于根据数据流向对业务数据进行加密处理和解密处理。
进一步地,所述业务处理模块包括:
加密模块:用于根据数据源端口和dip信息,结合信令配置表项,调用Crypto API库对策略符合的明文数据进行加密处理和封装处理;
解密模块:用于根据报文的源端口、协议号、ESP报文头信息结合信令配置信息调用Crypto API库对密文数据进行解密操作。
如图2所示,本发明实施例提供的一种基于虚拟环境下的软件加解密系统,可以方便的部署在各种云类产品中使用,使用时可以具体设置在数据云中的各个数据中心,图中,VM表示虚拟机VirtualMachine。
本发明使用DPDK技术,应用程序是运行在用户空间上,利用DPDK提供的数据平面库来收发数据包,绕过了Linux内核协议栈对数据包处理过程。程序通过DPDK调度和CryptoAPI完成数据的加解密处理,将原占用资源比较多的业务处理资源从内核处理中解放出来,数据的加解密处理不再耗费内核资源。也就是说,本申请中,将数据加解密的业务处理功能从内核中分离出来,在用户态以用户进程的方式呈现,数据的加解密处理不再占用内核的处理资源。
本实施例中,所述业务处理模块通过软件进程实现业务数据的加密处理和解密处理,软件进程的数量根据业务量大小进行动态调整;所述业务处理模块与CPU核的绑定根据CPU核的占用情况及系统负载情况进行动态调整。本发明在核调度算法做了以下处理,可以根据业务大小动态调整处理核资源,即:可在业务量小时达到节能效果又可以在业务量大时最大化使用资源。业务处理模块可以根据需要进行动态的增加和减少,业务模块的表现形式为软件的一个进程,很方便进行动态加载。业务进程和具体CPU物理核的绑定关系,也可以根据实际使用情况进行动态的调整。
本发明通过外部密文和明文数据端口分离,减少了内部重复的分类开销。从而提升了方案的整体处理性能。
综上所述,本发明提供了一种基于虚拟环境下的软件加解密方法和系统,可以设置在虚拟网络设备上,其使用DPDK技术(数据平面开发套件(DPDK, Data PlaneDevelopment Kit))和内核IPSec功能,并采用新的数据调度并发处理流程,实现系统对多加解密单元的处理,大幅度的提高IPSec的系统处理能力,实现高性能的IPSec数据处理,满足IPSec处理的云虚拟化趋势。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (9)
1.一种基于虚拟环境下的软件加解密方法,其特征在于,包括以下步骤:
S1、利用DPDK技术在用户态将所有对外接口上的数据根据IP报文的协议类型完成数据初步分类和重组,并根据解析结果进行信令数据和业务数据的分离;
S2、将信令数据通过内核发送给用户态协议处理进程,以完成IPSec的信令交互以及IPSec的SA协商和链路建立;
S3、在用户态通过Netlink接口和PF_KEY 接口镜像提取链路的Sa/Sp/Route信息并进行链路信息配置;
S4、最后在用户态的业务处理模块中根据数据流向对业务数据进行加密和解密处理以及路由转发。
2.根据权利要求1所述的一种基于虚拟环境下的软件加解密方法,其特征在于,所述步骤S2中,用户态协议处理通过支持IKEv2协议的StrongSwan后台进程实现,用户态通过DPDK提供的数据平面库来收发数据包。
3.根据权利要求1所述的一种基于虚拟环境下的软件加解密方法,其特征在于,还包括以下步骤:
S5、根据业务流量动态部署和调整业务处理模块的规模,根据根据CPU核的占用情况及系统负载情况动态调整业务处理模块与CPU核的绑定。
4.根据权利要求1所述的一种基于虚拟环境下的软件加解密方法,其特征在于,所述步骤S4的具体步骤为:对业务数据进行解密处理时,根据报文的源端口、协议号、ESP报文头信息结合信令配置信息调用Crypto API库对密文数据进行解密操作,再对还原的明文数据进行路由转发;
对业务数据进行加密处理时,根据数据源端口和dip信息,结合信令配置表项,调用Crypto API库对策略符合的明文数据进行加密处理和封装处理后再进行路由转发。
5.一种基于虚拟环境下的软件加解密系统,其特征在于,包括:
NIC#0端口和NIC#1端口:分别用于传输密文数据和明文数据;
DPDK模块:用于提供数据平面库来收发数据包;
FWD模块:用于根据IP报文的协议类型完成数据初步分类、重组功能,并根据解析结果进行信令数据和业务数据的分离,并将信令数据通过内核发送至协议建立模块;
协议建立模块:完成IPSec的信令交互以及IPSec的SA协商和链路建立;
配置管理模块:用于通过Netlink接口和PF_KEY 接口镜像提取处理链路的Sa/Sp/Route信息后,并将链路信息配置到业务处理模块;
业务处理模块:用于根据数据流向对业务数据进行加密处理和解密处理。
6.根据权利要求5所述的一种基于虚拟环境下的软件加解密系统,其特征在于,所述协议建立模块具体为支持IKEv2协议的StrongSwan后台进程。
7.根据权利要求5所述的一种基于虚拟环境下的软件加解密系统,其特征在于,所述系统布置在数据云中的各个数据中心。
8.根据权利要求5所述的一种基于虚拟环境下的软件加解密系统,其特征在于,所述业务处理模块包括:
加密模块:用于根据数据源端口和dip信息,结合信令配置表项,调用Crypto API库对策略符合的明文数据进行加密处理和封装处理;
解密模块:用于根据报文的源端口、协议号、ESP报文头信息结合信令配置信息调用Crypto API库对密文数据进行解密操作。
9.根据权利要求5所述的一种基于虚拟环境下的软件加解密系统,其特征在于,所述业务处理模块通过软件进程实现业务数据的加密处理和解密处理,软件进程的数量根据业务量大小进行动态调整;所述业务处理模块与CPU核的绑定根据CPU核的占用情况及系统负载情况进行动态调整。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110089325.1A CN112699397B (zh) | 2021-01-22 | 2021-01-22 | 基于虚拟环境下的软件加解密方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110089325.1A CN112699397B (zh) | 2021-01-22 | 2021-01-22 | 基于虚拟环境下的软件加解密方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112699397A CN112699397A (zh) | 2021-04-23 |
CN112699397B true CN112699397B (zh) | 2023-11-14 |
Family
ID=75515931
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110089325.1A Active CN112699397B (zh) | 2021-01-22 | 2021-01-22 | 基于虚拟环境下的软件加解密方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112699397B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113688411A (zh) * | 2021-08-24 | 2021-11-23 | 北京鼎普科技股份有限公司 | 一种基于Netlink技术的国产操作系统文件透明加解密系统 |
CN113810397B (zh) * | 2021-09-09 | 2023-04-18 | 山石网科通信技术股份有限公司 | 协议数据的处理方法及装置 |
CN117640289A (zh) * | 2023-11-27 | 2024-03-01 | 长扬科技(北京)股份有限公司 | 基于用户态WireGuard协议的网关架构和设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109150688A (zh) * | 2018-10-22 | 2019-01-04 | 网宿科技股份有限公司 | IPSec VPN数据传输方法及装置 |
KR20190107978A (ko) * | 2018-03-13 | 2019-09-23 | (주) 시스메이트 | 멀티 코어 프로세서 및 범용 네트워크 컨트롤러 하이브리드 구조의 네트워크 인터페이스 카드 |
CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
-
2021
- 2021-01-22 CN CN202110089325.1A patent/CN112699397B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190107978A (ko) * | 2018-03-13 | 2019-09-23 | (주) 시스메이트 | 멀티 코어 프로세서 및 범용 네트워크 컨트롤러 하이브리드 구조의 네트워크 인터페이스 카드 |
CN109150688A (zh) * | 2018-10-22 | 2019-01-04 | 网宿科技股份有限公司 | IPSec VPN数据传输方法及装置 |
CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
Non-Patent Citations (1)
Title |
---|
基于IPSec环境下实现虚拟私网技术的应用;濮荣强;南京邮电学院学报(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112699397A (zh) | 2021-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112699397B (zh) | 基于虚拟环境下的软件加解密方法和系统 | |
EP3603003B1 (en) | Hardware-accelerated secure communication management | |
CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
US10250571B2 (en) | Systems and methods for offloading IPSEC processing to an embedded networking device | |
JP2019528604A (ja) | 仮想マルチパスデータトランスポートのためのシステム及び方法 | |
US20020184487A1 (en) | System and method for distributing security processing functions for network applications | |
US11539747B2 (en) | Secure communication session resumption in a service function chain | |
WO2016172035A1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
JP6511194B2 (ja) | 高速且つスケーラブルなデータベースクラスタ通信経路 | |
US20190372948A1 (en) | Scalable flow based ipsec processing | |
JP6617984B2 (ja) | IPSecアクセラレーション方法、装置およびシステム | |
WO2012126432A2 (zh) | 数据传输的方法、设备和系统 | |
CN111669374B (zh) | 一种IPsec VPN单条隧道软件加解密性能扩展方法 | |
CN111835613B (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
CN113810397B (zh) | 协议数据的处理方法及装置 | |
CN112636913B (zh) | 一种密钥共享的组网方法 | |
CN109194558B (zh) | 隧道报文认证转发方法及系统 | |
EP4346255A1 (en) | Encrypted satellite communications | |
US20240106647A1 (en) | Methods and systems of a packet orchestration to provide data encryption at the ip layer, utilizing a data link layer encryption scheme | |
CN110601950B (zh) | 一种基于dtls协议的vpn网关系统和实现方法 | |
US20220038443A1 (en) | Methods and systems of a packet orchestration to provide data encryption at the ip layer, utilizing a data link layer encryption scheme | |
US20230403148A1 (en) | Computer and Network Interface Controller Securely Offloading Encryption Keys and RDMA Encryption Processing to the Network Interface Controller | |
Pismenny et al. | Securitization of cloud, edge and IoT communications through hardware accelerations/offloadings | |
Song et al. | Research on High Performance IPSec VPN Technology Based on National Cryptographic Algorithms | |
CN117254976A (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |