CN113194097B - 一种安全网关的数据处理方法、装置及安全网关 - Google Patents
一种安全网关的数据处理方法、装置及安全网关 Download PDFInfo
- Publication number
- CN113194097B CN113194097B CN202110479830.7A CN202110479830A CN113194097B CN 113194097 B CN113194097 B CN 113194097B CN 202110479830 A CN202110479830 A CN 202110479830A CN 113194097 B CN113194097 B CN 113194097B
- Authority
- CN
- China
- Prior art keywords
- module
- network data
- data message
- processing
- fpga module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种安全网关的数据处理方法、装置及安全网关,方法包括:网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理。释放了中央处理器CPU的运算能力,缩减了软件的开发难度与周期,提高了安全性和响应能力。
Description
技术领域
本发明涉及计算机技术领域,特别是指一种安全网关的数据处理方法、装置及安全网关。
背景技术
现有技术中,互联网安全协议虚拟专用网IPSec VPN安全网关大多采用通用型或定制型服务器主板、中央处理器CPU模块、外接高速串行计算机扩展总线标准PCI-e密码卡形式组成。服务器主板提供网络接口、CPU模块负责收发网络数据并对其进行解析,PCI-e密码卡对网络数据进行加解密或者签名验签运算。CPU收发网络数据包会消耗大量CPU和系统中断资源,尤其在使用万兆网卡的情况下,万兆网卡满速运行需要至少4核心以上CPU,并且消耗20%左右的CPU资源。CPU调用PCI-e密码卡进行加解密运算,也需要消耗大量CPU资源,进一步加重CPU的运行负担。并且现有的PCI-e密码卡的加解密和签名验签能力普遍不是很高,能达到10Gbps加解密速率的产品屈指可数,无法满足日益增大的网络数据传输需求。
发明内容
本发明要解决的技术问题是如何提供一种安全网关的数据处理方法、装置及安全网关。释放了中央处理器CPU的运算能力,缩减了软件的开发难度与周期,提高了安全性和响应能力。
为解决上述技术问题,本发明的技术方案如下:
本发明提供一种安全网关的数据处理方法,所述方法包括:
网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;
接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理。
可选的,所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理,包括:
所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文进行解析,得到解析结果;
若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,将所述网络数据报文发送至所述算法FPGA模块进行安全运算处理,并接收所述算法FPGA模块返回的运算结果;
若所述解析结果表示所述网络数据报文是不需要进行安全处理的控制数据,将所述控制数据发送至所述CPU处理。
可选的,所述接口FPGA模块通过中转FPGA模块与所述CPU通信连接;
所述接口FPGA模块将所述控制数据通过所述中转FPGA模块发送至所述CPU处理和/或接收所述CPU发送的配置信息;所述配置信息由系统参数配置模块产生并配置给所述CPU。
可选的,所述接口FPGA模块与千兆/万兆网口模块通信连接;
所述接口FPGA模块接收所述千兆/万兆网口模块的网络数据报文,将所述网络数据报文发送给所述IKE业务处理模块,由所述IKE业务处理模块根据网络数据报文进行网络密钥交换协议IKE协商处理;所述IKE协商包括网络密钥交换协议安全联盟IKE SA和互联网安全协议安全联盟IPSec SA;所述网络密钥交换协议安全联盟IKE SA协商过程中的算法包括SM2签名验签算法、SM2加解密算法、SM4加解密算法、SM3杂凑运算算法;所述互联网安全协议安全联盟IPSec SA协商过程中的算法包括SM3杂凑运算算法。
可选的,对所述网络数据报文进行解析,得到解析结果,包括:
对所述网络数据进行解析,获得数据报文的字段信息;所述字段信息包括以下至少一项:前导码字段、MAC字段、IP地址、报文类型头、净荷以及校验字段,所述MAC字段包括源MAC以及目的MAC,所述IP地址包括源IP以及目的IP。
可选的,若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,将所述网络数据报文发送至所述FPGA算法模块进行安全运算处理,包括:
若所述网络数据报文是IP报文,且所述网络数据报文的目的IP地址不是本端口IP地址时,将所述网络数据报文发送至所述FPGA算法模块进行安全运算处理。
可选的,接收所述算法FPGA模块返回的运算结果,包括:
接收所述算法FPGA模块对所述网络数据报文采用预设安全算法进行加密和/或解密的运算结果。
本发明提供一种安全网关的数据处理装置,所述装置包括:
收发模块,用于网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理。
本发明提供一种安全网关,包括:IKE业务处理模块以及底层硬件模块;
网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;
接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理。
本发明提供一种计算机可读存储介质,存储指令,当所述指令在计算机上运行时,使得计算机执行如上述的方法。
本发明的上述方案至少包括以下有益效果:
通过网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理;本发明的方案释放了中央处理器CPU的运算能力,缩减了软件的开发难度与周期,提高了安全性和响应能力,同时可以适应不同网络环境要求。
附图说明
图1是本发明实施例的安全网关的数据处理方法的流程示意图;
图2是本发明实施例的软件模块的示意图;
图3是本发明实施例的安全网关的底层硬件模块的中央处理器CPU和接口FPGA模块的分布式系统架构示意图;
图4是本发明实施例的安全网关的底层硬件模块的算法FPGA模块的结构示意图;
图5是本发明实施例的安全网关的底层硬件模块的接口FPGA模块的结构示意图;
图6是本发明实施例的安全网关的底层硬件模块的接口FPGA模块对数据报文处理的流程示意图;
图7是本发明实施例的安全网关的数据处理装置的模块示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图1所示,本发明的实施例提供一种安全网关的数据处理方法,所述方法包括:
步骤11,网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;
步骤12,接收所述底层硬件模块根据所述控制指令传输的数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理。
如图2所示,该实施例基于底层硬件模块的运行,通过网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令,再接收底层硬件模块根据控制指令传输的网络数据报文进行处理,最终得到的处理结果;释放了中央处理器CPU的运算能力,缩减了软件的开发难度与周期,提高了安全性和响应能力。
如图2和图3所示,本发明一可选的实施例中,步骤12中,所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理,包括:
步骤121,所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文进行解析,得到解析结果;
步骤122,若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,将所述网络数据报文发送至所述算法FPGA模块进行安全运算处理,并接收所述算法FPGA模块返回的运算结果;
步骤123,若所述解析结果表示所述网络数据报文是不需要进行安全处理的控制数据,将所述控制数据发送至所述CPU处理。
本实施例是由CPU与FPGA协同合作的数据处理;通过接口FPGA模块根据接收到的控制指令进行收发和/或解析数据报文,不再需要CPU模块去处理数据包的收发和解析工作,使CPU的运算能力得到了极大的释放,解决了对CPU过分依赖的问题,有效提高了CPU的运算效率。
如图2和图3所示,本发明一可选的实施例中,所述接口FPGA模块通过中转FPGA模块与所述CPU通信连接;
所述接口FPGA模块将所述控制数据通过所述中转FPGA模块发送至所述CPU处理和/或接收所述CPU发送的配置信息;所述配置信息由系统参数配置模块产生给所述CPU。
本实施例中,CPU模块通过PCI-e总线与中转FPGA模块相连,可以通过中转FPGA模块将配置信息发送到接口FPGA模块,也可以通过中转FPGA模块获取系统检测模块的状态。
如图2和图3所示,本发明一可选的实施例中,所述接口FPGA模块与千兆/万兆网口模块通信连接;
所述接口FPGA模块接收所述千兆/万兆网口模块的网络数据报文,将所述网络数据报文发送给所述IKE业务处理模块,由所述IKE业务处理模块根据网络数据报文进行网络密钥交换协议IKE协商处理;所述IKE协商包括网络密钥交换协议安全联盟IKE SA和互联网安全协议安全联盟IPSec SA;所述网络密钥交换协议安全联盟IKE SA协商过程中的算法包括SM2签名验签算法、SM2加解密算法、SM4加解密算法、SM3杂凑运算算法;所述互联网安全协议安全联盟IPSec SA协商过程中的算法包括SM3杂凑运算算法。
本实施例中,接口FPGA模块与前兆/万兆网络模块通信连接,接口FPGA模块可以接收千兆/万兆网口模块的网络数据报文将网络数据报文发送给IKE业务处理模块,进行IKE协商处理,这里的IKE协商处理包括两个阶段IKE SA和IPSec SA,这两个阶段实现了数据信息的交换与协商;
第一阶段IKE SA具体包括算法协商、身份认证与共享密钥交换,具体过程如表1所示:
| 序列 | 发起方 | 方向 | 响应方 |
| 1 | HDR,SA | ——> | |
| 2 | <—— | HDR,SA,CERT_sig_r,CERT_enc_r | |
| 3 | HDR,XCHi,SIGi | ——> | |
| 4 | <—— | HDR,XCHr,SIGr | |
| 5 | HDR*,HASHi | ——> | |
| 6 | <—— | HDR*,HASHr |
表1
表1通过6个信息建立IKE SA,第3步和第4步使用了SM2签名验签、SM2加解密、SM4加解密,第5步和第6步使用了SM4加解密、SM3杂凑运算。IKE业务处理模块在处理这些算法运算时,会通过CPU模块至中转FPGA模块至接口FPGA模块至算法FPGA模块的通信线路调用算法FPGA模块提供的算法,以加速IKE SA的协商过程;
第二阶段IPSec SA具体包括策略协商、保护模式、算法协商和会话密钥交换,具体过程如表2所示:
表2
第二阶段IPSec SA依赖于第一阶段IKE SA,协商IPSec SA的安全策略并衍生会话密钥,通过3个信息建立IPSec SA,表2所有的3个消息中都使用到了SM3杂凑算法,IKE业务处理模块在处理这些SM3杂凑运算时,会通过CPU模块至中转FPGA模块至接口FPGA模块至算法FPGA模块的通信线路调用算法FPGA模块提供的SM3算法,以加速第二阶段协商的过程。
通过上述IKE SA和IPSec SA的协商过程之后,IKE业务处理模块会把协商得到的工作密钥、会话密钥、安全联盟等数据,发送给接口FPGA模块和算法FPGA模块,优选的采用之后的ESP网络数据报文进行处理,软件模块和CPU模块均不再参与。
如图3所示,这里对硬件模块进行说明:
中转FPGA模块,通过PCI-e总线与CPU模块相连,通过UART(UniversalAsynchronous Receiver/Transmitter,通用异步收发传输器)总线与系统检测模块相连,通过RGMII(Reduced Gigabit Media Independent Interface,精简吉比特介质独立接口)总线与接口FPGA相连。中转FPGA模块进行数据的转发,目的是将CPU模块、系统检测模块、接口FPGA模块联系起来,数据可以相互传输。中转FPGA模块实现了将CPU模块、系统检测模块、接口FPGA模块相互联系起来,起到了数据的中转转发的作用,使得数据可以进行交互传输。
需要说明的是,CPU模块为软件运行提供了计算平台,CPU中的软件可以通过中转FPGA模块将配置信息发送到接口FPGA模块,还可以通过中转FPGA模块获取系统检测模块的状态;系统监测模块在具体的实施例中可以用于检测服务器的电源状态、温度等状态,并根据相关状态控制风扇转速、电源通断等,同时外接RTC(Real_Time Clock,实时时钟)时钟芯片以提供时钟相关信息。
接口FPGA模块,通过RGMII总线与物理网口连接,可以同时提供千兆网络接口和万兆网络接口;通过RGMII总线与中转FPGA模块连接,实现与CPU模块的通信;通过SRAM总线与数据安全模块连接,转发CPU模块用户管理、密钥管理的指令给数据安全模块;通过内部高速总线连接算法FPGA模块,两片FPGA之间的通信速率可达40Gbps。接口FPGA模块的主要作用是数据的收发、协议的解析和封装。
接口FPGA模块的工作流程是从接口接收数据,进行网络协议解析,如数据需要算法运算则将数据送到算法FPGA模块,并将运算结果进行封装,将封装后的数据从接口发送出去;如数据是不需要算法运算的配置数据和管理数据,接口FPGA模块会转发到CPU模块进行处理。
算法FPGA模块内部设有SM3/SM4算法IP核集群,通过GPIO(General-purposeinput/output,通用型的输入输出)分别连接SM1/SM2算法协处理器和随机数芯片;算法FPGA模块提供的国密算法可供接口FPGA模块调用,也可供CPU模块调用,具有很大的灵活性,提供了高速的SM3/SM4算法与高速的SM1和SM2算法和真随机数功能,起到了提供随机数和国密SM1/SM2/SM3/SM4算法服务,其中,SM1算法和SM2算法由外部的专用算法芯片提供,可同时挂载多片专用算法芯片以提高SM1和SM2算法的速率,SM1算法最高速率可达9Gbps,SM2算法签名运算最高可达36万次/秒,SM3和SM4算法的速率可达10Gbps以上;另外,需要说明的是,SM3/SM4算法IP核集群是由多个算法IP核组成的,所有的算法IP核相互独立,可以同时运行,提供了极高的SM3/SM4算法速率。
如图4所示,一个具体的实施例1中,算法FPGA模块通过PCI-e总线进行DMA(直接存储访问)的IP Core(Intellectual Property core,中断优先寄存器核,即IP核)与主机交互,通过AXI Stream总线利用软件AXI Stream Interconnect分别连接SM3算法池、SM4算法池以及ARM(Acorn RISC Machine,ARM处理器)的访问接口,最终通过EMC(External MemoryController,外部存储器控制器)与板载ARM交互,这里IP核集群包括多个IP核。
接口FPGA模块通过RGMII总线物理网口,该物理网口优选的可以提供千兆网络接口和万兆网络接口,通过RGMII总线与中转FPGA模块连接,通过SRAM(Static Random-Access Memory,静态随机存取存储器)与数据安全模块连接,通过内部高速Data Bus(数据总线)与算法FPGA模块连接,其通信速率可达40Gbps;实现了接口FPGA模块与CPU之间的通信,还可以转发CPU模块的指令给数据安全模块,数据安全模块由符合规范的安全芯片组成,提供了对敏感数据的安全存储,实现与CPU模块配合完成管理操作,该管理操作包括密钥体系的管理和系统用户的管理;同时还实现了对数据报文的收发和/或解析,对数据报文的解析可以解析到IP层(网络层)和/或TCP/UDP层(Transmission Control Protocol/UserDatagram Protocol,传输控制协议/用户数据报协议),其对数据报文的收发和/或解析的整个过程都不需要CPU参与,减小了CPU运算负担,提高了CPU的运算效率。
如图5所示,一个具体的实施例2中,接口FPGA模块内部进行数据的收发,其核心部分是AXIS_stream_Switch(AXIS总线流交换机)模块,用于接收数据报文,并对数据报文进行解析,并进一步对数据进行高速转发,其外部挂载comE RGMII接口、WX1860 RGMII接口、HSMD 1接口、HSMD2-H2接口、HSH3接口、MCU(Microcontroller Unit,微控制单元)接口、Config Data Operate(配置数据操作)、RGMII接口以及若干ETH Data Depart(以太网数据部),用于AXIS stream格式转换;其中安全密码芯片ACH512通过MCU接口与AXIS_stream_Switch模块连接,DDR Control(Double Data Rate Control,双倍速率控制)通过ConfigData Operate与AXIS_stream_Switch模块连接,ALG FPGA 10G base(万兆以太网的应用层可编程逻辑门器件)通过GMII(Gigabit Medium Independent Interface,千兆媒体独立接口)与RGMII接口连接,ETH PHY#0(以太网物理层#0)和ETH PHY#1(以太网物理层#1)通过ETH Data Depart与AXIS_stream_Switch模块连接,实现了对数据报文的转发。
本实施例的硬件组成部分由中转FPGA模块、接口FPGA模块、算法FPGA模块以及CPU模块以及其他功能性模块共同组成,其中主要由接口FPGA和算法FPGA完成,基本不需要CPU模块参与;接口FPGA模块接收到数据报文后进行协议解析,如果是需要进行安全处理的业务数据,接口FPGA模块会直接把数据报文发送到算法FPGA模块进行安全运算处理,运算完毕后算法FPGA模块会把结果发送到接口FPGA模块进行协议封装,接口FPGA模块将封装好的数据报文从外网发送出去,整个过程不需要CPU模块的参与,仅有少量管理数据或者协商数据需要由接口FPGA模块传递给CPU模块进行处理。这种仅需CPU模块进行少量参与的业务处理方式,隔绝了业务数据和操作系统的联系,很大程度上也隔绝了系统被攻击的可能性,保障了安全性。
其中,步骤121中,对接收到的数据报文进行解析,得到解析结果具体包括:对所述数据进行解析,获得数据报文的字段信息;所述字段信息包括以下至少一项:前导码字段、MAC字段、IP地址、报文类型头、净荷以及校验字段,所述MAC字段包括源MAC以及目的MAC,所述IP地址包括源IP以及目的IP。
本实施例中数据报文的字段信息格式如表3所示:
| Preamble | MAC | IP Header | TCP/UDP header | Payload | CRC |
表3
其中,Preamble是前导码字段,MAC是MAC字段,IP Header是IP地址包括IPV4或者IPV6,TCP/UDP header是报文类型头,Payload是净荷,CRC是校验字段。
如图6所示,本发明一可选的实施例中,若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,将所述网络数据报文发送至所述FPGA算法模块进行安全运算处理,包括:
若所述网络数据报文是IP报文,且所述网络数据报文的目的IP地址不是本端口IP地址时,将所述网络数据报文发送至所述FPGA算法模块进行安全运算处理。
相应的,接收所述算法FPGA模块返回的运算结果,包括:
接收所述算法FPGA模块对所述网络数据报文采用预设安全算法进行加密和/或解密的运算结果;
其中,安全算法包括以下至少一种算法:SM1算法;SM2算法;SM3算法;SM4算法;其中,所述SM3算法的IP核集群与所述SM4算法的IP核集群相互独立。
本实施例中,在接口FPGA模块对网络数据报文进行处理,网络数据报文收发的接口有两种,一种是电口物理PHY模块,在FPGA转换成RGMII接口,另一种是SFP+光模块,其中电口物理PHY模块优选的是1Gbps的电口物理PHY模块,SFP+光模块优选的是10Gbps的SFP+光模块;网络数据报文的传输有两个方向,分别是由内网到外网的方向以及由外网到内网的方向,下面分别从网络数据报文的传输的两个方向进行说明;
1)从内网到外网:
1.1内网的网络数据报文通过ETH Deframer(以太网帧解析)模块对网络数据报文进行解析,其中解析的过程包括:判断网络数据报文的字段信息中的MAC字段是否是本端口的MAC字段;判断网络数据报文是否是IP报文,其中IP报文具体的包括IPV4或IPV6报文,如果是,解析出该网络数据报文的源IP地址和目的IP地址;判断网络数据报文是否是TCP报文或UDP报文,如果是,解析出源端口地址和目的端口地址;最终根据网络数据报文的解析结果,对网络数据报文进行分类,若目的IP地址是本端口的IP地址,则将网络数据报文送入CPU data Fifo(中央处理器数据先进先出)模块,再经由RGMII送入CPU模块进行处理,若目的IP地址不是本端口的IP地址,则将网络数据报文送入process data fifo(数据处理先进先出)模块,由算法FPGA模块进行处理;
1.2网络数据报文还需要经过Gen process command(Gen过程命令)模块根据网络数据报文的五元组信息与Config Data Operate(配置数据操作)模块和DDR接口进行查表决定对本报文的处理方式,并将处理方式协议送入至process data fifo模块中缓存;
1.3在网络数据报文的目的IP地址不是本端口的IP地址的情况下,通过eccryption process(加密处理)模块对数据进行加密的模块,需要说明的是,该模块仅提供接口,具体功能由算法FPGA模块完成;
1.4加密完成后的数据由package framer(封装帧)模块进行组帧,通过Send Datafifo(数据发送先进先出)模块发送到电口物理PHY模块或SFP+光模块,输出到外网,完成对网络数据报文的处理。
2)从外网到内网:
2.1外网的网络数据报文通过ETH Deframer(解析帧)模块对网络数据报文进行解析,若目的IP地址是本端口的IP地址,则将网络数据报文送入CPU data Fifo(CPU数据先进先出)模块,再经由RGMII送入CPU模块进行处理,若目的IP地址不是本端口的IP地址,则将网络数据报文送入process data fifo(处理数据先进先出)模块,由算法FPGA模块进行处理;
2.2在网络数据报文的目的IP地址不是本端口的IP地址的情况下,通过Deccrytion process(解密处理)模块对数据进行加密的模块,需要说明的是,该模块仅提供接口,具体功能由算法FPGA模块完成;
2.3加密完成后的数据由package framer模块进行组帧,发送到电口物理PHY模块或SFP+光模块,输出到内网,完成对网络数据报文的处理。
通过上述网络数据报文经接口FPGA模块进行传输的两个方向,可以实现接口FPGA模块把网络数据报文发送到算法FPGA模块进行安全运算处理的过程;网络数据报文的收发、解析以及安全处理都由硬件模块提供,为了实现安全网关的CPU模块专注于管理服务,进一步减轻CPU模块的运行压力,本实施例还需要运行在CPU模块上的软件模块用于软件与硬件之间的数据通信、系统参数配置、IKE业务处理、用户管理以及密钥管理等工作。
如图2所示,软件模块包括数据通信模块、系统参数配置模块、IKE业务处理模块、用户管理模块以及密钥管理模块;
1)系统参数配置模块,用于配置互联网安全协议虚拟专用网络IPSec VPN安全网关相关的参数,包括接口FPGA模块的外接网口的MAC地址和IP地址、系统本身的MAC地址和IP地址、日志级别及存储位置、IPSec VPN安全网关的隧道相关参数,参数配置完毕后,由CPU模块下发到对应模块进行处理;
2)IKE业务处理模块,用于完成会话密钥的协商,包括IKE SA和IPSec SA两个阶段的信息交换与协商,当完成协商之后,IKE业务处理模块会把协商得到的工作密钥、会话密钥、安全联盟等数据,发送给接口FPGA模块和算法FPGA模块,之后的ESP网络数据包处理,软件和CPU模块均不再参与;
3)用户管理模块,用于IPSec VPN安全网关的各种不同权限的用户的创建、删除、登录、登出的操作,按照国家密码局的相关规范,IPSec VPN安全网关至少需要系统管理员、安全管理员、审计管理员,权限的分割保证了数据和业务的安全性,敏感数据信息将由CPU发送到数据安全模块进行安全的存储和保护,实现即使设备被破坏也不会丢失;
4)密钥管理模块,用于各种对称密钥和非对称密钥的生成、删除、导入、导出、备份、恢复等操作,对于IPSec VPN安全网关来说,密钥的使用和存储的安全性是至关重要的,密钥管理功能由CPU模块和数据安全模块两部分共同完成,CPU模块只负责发送密钥管理指令,数据安全模块负责密钥的安全存储和使用,确保在密钥在整个生命周期内都是安全的,任何人都无法窃取或者破坏密钥数据;
5)数据通信模块,用于软件和硬件之间的数据通信,其通信线路有5条:
a.CPU模块至中转FPGA模块至系统监测模块;
b.CPU模块至中转FPGA模块至接口FPGA模块;
c.CPU模块至中转FPGA模块至接口FPGA模块至千兆/万兆网口;
d.CPU模块至中转FPGA模块至接口FPGA模块至数据安全模块;
e.CPU模块至中转FPGA模块至接口FPGA模块至算法FPGA模块;
其中,a线路是由CPU模块获取系统监测模块状态的数据通路;b线路是由CPU模块进行配置接口FPGA参数的数据通路;c线路是由CPU模块获取不需要算法运算数据包的数据报文通路;d线路是由CPU模块传递用户管理和密钥管理指令到数据安全模块的数据通路;e线路是由CPU模块调用算法FPGA模块所提供的算法的数据通路;
需要说明的是,所有通信线路的数据通信都需要遵循内部定义的通信协议,每个数据包的前16字节为通信协议头,数据包通过源ID和目的ID来完成寻址和路由,其中,通信协议头的格式如表4所示:
| 偏移 | 长度 | 含义 |
| 0 | 1 | 源ID,表示包是从哪里发出 |
| 1 | 1 | 目的ID,表示包要发往哪里 |
| 2 | 2 | 包标识,验证包的正确性 |
| 4 | 2 | 发送数据包长度,16字节整数倍 |
| 6 | 2 | 期望返回数据包长度,16字节整数倍 |
| 8 | 2 | 密钥索引+密钥类型 |
| 10 | 1 | 包类型,表示包的处理方式 |
| 11 | 1 | 通道号,表示调用哪个算法IP核 |
| 12 | 4 | 用户保留 |
表4
本发明的实施例中网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理;释放了中央处理器CPU的运算能力,缩减了软件的开发难度与周期,提高了安全性和响应能力。
如图7所示,本发明的实施例还提供一种安全网关的数据处理装置70,所述装置包括:
收发模块71,用于网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理。
可选的,所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理,包括:
所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文进行解析,得到解析结果;
若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,将所述网络数据报文发送至所述算法FPGA模块进行安全运算处理,并接收所述算法FPGA模块返回的运算结果;
若所述解析结果表示所述网络数据报文是不需要进行安全处理的控制数据,将所述控制数据发送至所述CPU处理。
可选的,所述接口FPGA模块通过中转FPGA模块与所述CPU通信连接;
所述接口FPGA模块将所述控制数据通过所述中转FPGA模块发送至所述CPU处理和/或接收所述CPU发送的配置信息;所述配置信息由系统参数配置模块产生并配置给所述CPU。
可选的,所述接口FPGA模块与千兆/万兆网口模块通信连接;
所述接口FPGA模块接收所述千兆/万兆网口模块的网络数据报文,将所述网络数据报文发送给所述IKE业务处理模块,由所述IKE业务处理模块根据网络数据报文进行网络密钥交换协议IKE协商处理;所述IKE协商包括网络密钥交换协议安全联盟IKE SA和互联网安全协议安全联盟IPSec SA;所述网络密钥交换协议安全联盟IKE SA协商过程中的算法包括SM2签名验签算法、SM2加解密算法、SM4加解密算法、SM3杂凑运算算法;所述互联网安全协议安全联盟IPSec SA协商过程中的算法包括SM3杂凑运算算法。
可选的,对所述网络数据报文进行解析,得到解析结果,包括:
对所述网络数据进行解析,获得数据报文的字段信息;所述字段信息包括以下至少一项:前导码字段、MAC字段、IP地址、报文类型头、净荷以及校验字段,所述MAC字段包括源MAC以及目的MAC,所述IP地址包括源IP以及目的IP。
可选的,若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,将所述网络数据报文发送至所述FPGA算法模块进行安全运算处理,包括:
若所述网络数据报文是IP报文,且所述网络数据报文的目的IP地址不是本端口IP地址时,将所述网络数据报文发送至所述FPGA算法模块进行安全运算处理。
可选的,接收所述算法FPGA模块返回的运算结果,包括:
接收所述算法FPGA模块对所述网络数据报文采用预设安全算法进行加密和/或解密的运算结果。
需要说明的是,该装置是与上述方法对应的装置,上述方法实施例中的所有实现方式均适用于该装置的实施例中,也能达到相同的技术效果。
本发明的实施例还提供一种安全网关,包括:网络密钥交换协议IKE业务处理模块以及底层硬件模块;
IKE业务处理模块向底层硬件模块发送控制指令;
接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的中转现场可编程门阵列FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理。
可选的,所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理,包括:
所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文进行解析,得到解析结果;
若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,将所述网络数据报文发送至所述算法FPGA模块进行安全运算处理,并接收所述算法FPGA模块返回的运算结果;
若所述解析结果表示所述网络数据报文是不需要进行安全处理的控制数据,将所述控制数据发送至所述CPU处理。
可选的,所述接口FPGA模块通过中转FPGA模块与所述CPU通信连接;
所述接口FPGA模块将所述控制数据通过所述中转FPGA模块发送至所述CPU处理和/或接收所述CPU发送的配置信息;所述配置信息由系统参数配置模块产生并配置给所述CPU。
可选的,所述接口FPGA模块与千兆/万兆网口模块通信连接;
所述接口FPGA模块接收所述千兆/万兆网口模块的网络数据报文,将所述网络数据报文发送给所述IKE业务处理模块,由所述IKE业务处理模块根据网络数据报文进行网络密钥交换协议IKE协商处理;所述IKE协商包括网络密钥交换协议安全联盟IKE SA和互联网安全协议安全联盟IPSec SA;所述网络密钥交换协议安全联盟IKE SA协商过程中的算法包括SM2签名验签算法、SM2加解密算法、SM4加解密算法、SM3杂凑运算算法;所述互联网安全协议安全联盟IPSec SA协商过程中的算法包括SM3杂凑运算算法。
可选的,对所述网络数据报文进行解析,得到解析结果,包括:
对所述网络数据进行解析,获得数据报文的字段信息;所述字段信息包括以下至少一项:前导码字段、MAC字段、IP地址、报文类型头、净荷以及校验字段,所述MAC字段包括源MAC以及目的MAC,所述IP地址包括源IP以及目的IP。
可选的,若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,将所述网络数据报文发送至所述FPGA算法模块进行安全运算处理,包括:
若所述网络数据报文是IP报文,且所述网络数据报文的目的IP地址不是本端口IP地址时,将所述网络数据报文发送至所述FPGA算法模块进行安全运算处理。
可选的,接收所述算法FPGA模块返回的运算结果,包括:
接收所述算法FPGA模块对所述网络数据报文采用预设安全算法进行加密和/或解密的运算结果。
需要说明的是,该安全网关是与方法对应的安全网关,上述方法实施例中的所有实现方式均适用于该安全网关的实施例中,也能达到相同的技术效果。
本发明的实施例还提供一种计算机可读存储介质,存储指令,当所述指令在计算机上运行时,使得计算机执行如上所述的方法。上述各方法实施例中的所有实现方式均适用于该实施例中,也能达到相同的技术效果。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
此外,需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行,某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言,能够理解本发明的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种安全网关的数据处理方法,其特征在于,所述方法包括:
网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;
接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的接口FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;
所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理;具体包括:
所述接口FPGA模块判断网络数据报文是否是IP报文,如果是,解析出该网络数据报文的源IP地址和目的IP地址;判断网络数据报文是否是传输控制协议TCP报文或用户数据协议UDP报文,如果是,解析出源端口地址和目的端口地址;若目的IP地址是本端口的IP地址,根据所述控制指令对其接收到的网络数据报文进行解析,得到解析结果;
若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,且所述网络数据报文的目的IP地址不是本端口的IP地址时,将所述网络数据报文发送至所述算法FPGA模块进行安全运算处理,以及接收所述算法FPGA模块返回的运算结果;
若所述解析结果表示所述网络数据报文是不需要进行安全处理的控制数据,将所述控制数据发送至所述CPU进行处理。
2.根据权利要求1所述的安全网关的数据处理方法,其特征在于,所述接口FPGA模块通过中转FPGA模块与所述CPU通信连接;
所述接口FPGA模块将所述控制数据通过所述中转FPGA模块发送至所述CPU处理和/或接收所述CPU发送的配置信息;所述配置信息由系统参数配置模块产生并配置给所述CPU。
3.根据权利要求1所述的安全网关的数据处理方法,其特征在于,所述接口FPGA模块与千兆/万兆网口模块通信连接;
所述接口FPGA模块接收所述千兆/万兆网口模块的网络数据报文,将所述网络数据报文发送给所述IKE业务处理模块,由所述IKE业务处理模块根据网络数据报文进行网络密钥交换协议IKE协商处理;所述IKE协商包括网络密钥交换协议安全联盟IKE SA和互联网安全协议安全联盟IPSec SA;所述网络密钥交换协议安全联盟IKE SA协商过程中的算法包括SM2签名验签算法、SM2加解密算法、SM4加解密算法、SM3杂凑运算算法;所述互联网安全协议安全联盟IPSec SA协商过程中的算法包括SM3杂凑运算算法。
4.根据权利要求1所述的安全网关的数据处理方法,其特征在于,对所述网络数据报文进行解析,得到解析结果,包括:
对所述网络数据进行解析,获得数据报文的字段信息;所述字段信息包括以下至少一项:前导码字段、MAC字段、IP地址、报文类型头、净荷以及校验字段,所述MAC字段包括源MAC以及目的MAC,所述IP地址包括源IP以及目的IP。
5.根据权利要求1所述的安全网关的数据处理方法,其特征在于,接收所述算法FPGA模块返回的运算结果,包括:
接收所述算法FPGA模块对所述网络数据报文采用预设安全算法进行加密和/或解密的运算结果。
6.一种安全网关的数据处理装置,其特征在于,所述装置包括:
收发模块,用于网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;
所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的接口FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理;具体包括:
所述接口FPGA模块判断网络数据报文是否是IP报文,如果是,解析出该网络数据报文的源IP地址和目的IP地址;判断网络数据报文是否是传输控制协议TCP报文或用户数据协议UDP报文,如果是,解析出源端口地址和目的端口地址;若目的IP地址是本端口的IP地址,根据所述控制指令对其接收到的网络数据报文进行解析,得到解析结果;
若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,且所述网络数据报文的目的IP地址不是本端口的IP地址时,将所述网络数据报文发送至所述算法FPGA模块进行安全运算处理,以及接收所述算法FPGA模块返回的运算结果;
若所述解析结果表示所述网络数据报文是不需要进行安全处理的控制数据,将所述控制数据发送至所述CPU进行处理。
7.一种安全网关,其特征在于,包括:网络密钥交换协议IKE业务处理模块以及底层硬件模块;
网络密钥交换协议IKE业务处理模块向底层硬件模块发送控制指令;
接收所述底层硬件模块根据所述控制指令传输的网络数据报文,进行处理得到的处理结果;所述底层硬件模块包括:中央处理器CPU、与所述CPU通信连接的接口FPGA模块以及与所述接口FPGA模块通信连接的算法FPGA模块;所述接口FPGA模块根据所述控制指令对其接收到的网络数据报文发送至所述算法FPGA模块进行安全运算处理或者发送至所述CPU处理;具体包括:
所述接口FPGA模块判断网络数据报文是否是IP报文,如果是,解析出该网络数据报文的源IP地址和目的IP地址;判断网络数据报文是否是传输控制协议TCP报文或用户数据协议UDP报文,如果是,解析出源端口地址和目的端口地址;若目的IP地址是本端口的IP地址,根据所述控制指令对其接收到的网络数据报文进行解析,得到解析结果;
若所述解析结果表示所述网络数据报文是需要进行安全处理的业务数据,且所述网络数据报文的目的IP地址不是本端口的IP地址时,将所述网络数据报文发送至所述算法FPGA模块进行安全运算处理,以及接收所述算法FPGA模块返回的运算结果;
若所述解析结果表示所述网络数据报文是不需要进行安全处理的控制数据,将所述控制数据发送至所述CPU进行处理。
8.一种计算机可读存储介质,其特征在于,存储指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110479830.7A CN113194097B (zh) | 2021-04-30 | 2021-04-30 | 一种安全网关的数据处理方法、装置及安全网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110479830.7A CN113194097B (zh) | 2021-04-30 | 2021-04-30 | 一种安全网关的数据处理方法、装置及安全网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113194097A CN113194097A (zh) | 2021-07-30 |
| CN113194097B true CN113194097B (zh) | 2022-02-11 |
Family
ID=76982977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110479830.7A Active CN113194097B (zh) | 2021-04-30 | 2021-04-30 | 一种安全网关的数据处理方法、装置及安全网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113194097B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114115099B (zh) * | 2021-11-08 | 2024-01-02 | 浙江高信技术股份有限公司 | 支持网络安全的plc系统 |
| CN114338282B (zh) * | 2021-11-16 | 2024-01-26 | 飞诺门阵(北京)科技有限公司 | 安全网关及其数据处理方法 |
| CN114978950B (zh) * | 2022-06-02 | 2023-10-27 | 江苏新质信息科技有限公司 | 基于fpga、cpu协同的网络算法调用方法及系统 |
| CN115766172A (zh) * | 2022-11-09 | 2023-03-07 | 中科驭数(北京)科技有限公司 | 基于dpu和国密的报文转发方法、装置、设备及介质 |
| CN117544951B (zh) * | 2023-12-12 | 2024-06-11 | 中国人民解放军军事科学院系统工程研究院 | 一种5g物联网安全网关 |
| CN117714031B (zh) * | 2024-01-11 | 2024-06-04 | 无锡路通视信网络股份有限公司 | 一种高速数据加密通信方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2004250685A1 (en) * | 2003-06-18 | 2004-12-29 | Ambric, Inc. | Integrated circuit development system |
| CN101222512A (zh) * | 2008-01-25 | 2008-07-16 | 华为技术有限公司 | 加解密卡及加密方法和解密方法 |
| US7848335B1 (en) * | 2005-10-27 | 2010-12-07 | Juniper Networks, Inc. | Automatic connected virtual private network |
| CN105592030A (zh) * | 2014-11-18 | 2016-05-18 | 华为技术有限公司 | Ip报文处理方法及装置 |
| CN206712810U (zh) * | 2017-05-10 | 2017-12-05 | 北京数盾信息科技有限公司 | 一种基于pci‑e总线的高速密码卡 |
| CN109542633A (zh) * | 2018-09-29 | 2019-03-29 | 江苏新质信息科技有限公司 | 一种提高网络数据包加密速度的方法 |
| CN111385259A (zh) * | 2018-12-28 | 2020-07-07 | 中兴通讯股份有限公司 | 一种数据传输方法、装置、相关设备及存储介质 |
| CN111614683A (zh) * | 2020-05-25 | 2020-09-01 | 成都卫士通信息产业股份有限公司 | 一种数据处理方法、装置、系统及一种网卡 |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN112035902A (zh) * | 2020-08-12 | 2020-12-04 | 北京数盾信息科技有限公司 | 一种面向高速高并发应用的加密模组 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989194B (zh) * | 2017-05-31 | 2021-07-09 | 微软技术许可有限责任公司 | 分布式IPSec网关 |
| CN109361655B (zh) * | 2017-11-17 | 2019-08-16 | 华为技术有限公司 | 一种安全保护的方法及装置 |
| CN110086752A (zh) * | 2018-01-26 | 2019-08-02 | 北京数盾信息科技有限公司 | 一种基于多核网络处理fpga的硬件平台 |
-
2021
- 2021-04-30 CN CN202110479830.7A patent/CN113194097B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2004250685A1 (en) * | 2003-06-18 | 2004-12-29 | Ambric, Inc. | Integrated circuit development system |
| US7848335B1 (en) * | 2005-10-27 | 2010-12-07 | Juniper Networks, Inc. | Automatic connected virtual private network |
| CN101222512A (zh) * | 2008-01-25 | 2008-07-16 | 华为技术有限公司 | 加解密卡及加密方法和解密方法 |
| CN105592030A (zh) * | 2014-11-18 | 2016-05-18 | 华为技术有限公司 | Ip报文处理方法及装置 |
| CN206712810U (zh) * | 2017-05-10 | 2017-12-05 | 北京数盾信息科技有限公司 | 一种基于pci‑e总线的高速密码卡 |
| CN109542633A (zh) * | 2018-09-29 | 2019-03-29 | 江苏新质信息科技有限公司 | 一种提高网络数据包加密速度的方法 |
| CN111385259A (zh) * | 2018-12-28 | 2020-07-07 | 中兴通讯股份有限公司 | 一种数据传输方法、装置、相关设备及存储介质 |
| CN111614683A (zh) * | 2020-05-25 | 2020-09-01 | 成都卫士通信息产业股份有限公司 | 一种数据处理方法、装置、系统及一种网卡 |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN112035902A (zh) * | 2020-08-12 | 2020-12-04 | 北京数盾信息科技有限公司 | 一种面向高速高并发应用的加密模组 |
Non-Patent Citations (3)
| Title |
|---|
| FPGA Implementation of Internet Key Exchange Based on Chaotic Cryptosystem;Belqassim Bouteghrine;《2019 10th IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS)》;20191205;全文 * |
| 基于FPGA实现IPSec的优化研究;刘路遥等;《舰船电子工程》;20180120(第01期);全文 * |
| 基于高性能FPGA芯片的千兆网IPSec协议模块;周轶男等;《计算机工程与应用》;20060701(第19期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113194097A (zh) | 2021-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113194097B (zh) | 一种安全网关的数据处理方法、装置及安全网关 | |
| CN109842585B (zh) | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 | |
| CN110999248B (zh) | 使用片上系统(SoC)体系结构的安全通信加速 | |
| CN112910932B (zh) | 一种数据处理方法、装置及系统 | |
| US10095634B2 (en) | In-vehicle network (IVN) device and method for operating an IVN device | |
| US20200356699A1 (en) | Security plugin for a system-on-a-chip platform | |
| US9596075B2 (en) | Transparent serial encryption | |
| US8769257B2 (en) | Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing | |
| US20040139313A1 (en) | Tagging mechanism for data path security processing | |
| CN107046495B (zh) | 用于构建虚拟专用网络的方法、装置和系统 | |
| JP2010259081A (ja) | IPSecを用いたネットワーク処理 | |
| CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
| US20160277358A1 (en) | Flow-Based Anti-Replay Checking | |
| CN107612679B (zh) | 一种基于国密算法的以太网桥加扰终端 | |
| CN113572766A (zh) | 电力数据传输方法和系统 | |
| CN110266725A (zh) | 密码安全隔离模块及移动办公安全系统 | |
| US11563773B2 (en) | Methods, systems, and computer readable media for software-based emulation of media access control security (MACsec) | |
| CN106656484B (zh) | 一种pci密码卡驱动系统及其实现方法 | |
| CN112910646B (zh) | 一种服务器密码机的数据处理方法、装置及服务器密码机 | |
| CN113094762B (zh) | 一种数据处理方法、装置及签名验签服务器 | |
| CN114124416B (zh) | 一种网络之间数据快速交换系统及交换方法 | |
| US11588798B1 (en) | Protocol free encrypting device | |
| CN110995726B (zh) | 一种基于内嵌arm的fpga芯片的网络隔离系统 | |
| WO2023030475A1 (zh) | 报文处理的方法、装置以及系统 | |
| US11956160B2 (en) | End-to-end flow control with intermediate media access control security devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 100000 901, Floor 9, Building 7, Yard 8, Auto Museum East Road, Fengtai District, Beijing Patentee after: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD. Address before: 100094 room 101-502, 5th floor, building 10, yard 3, fengxiu Middle Road, Haidian District, Beijing Patentee before: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD. |
|
| CP02 | Change in the address of a patent holder |