CN117640289A - 基于用户态WireGuard协议的网关架构和设备 - Google Patents

基于用户态WireGuard协议的网关架构和设备 Download PDF

Info

Publication number
CN117640289A
CN117640289A CN202311597382.6A CN202311597382A CN117640289A CN 117640289 A CN117640289 A CN 117640289A CN 202311597382 A CN202311597382 A CN 202311597382A CN 117640289 A CN117640289 A CN 117640289A
Authority
CN
China
Prior art keywords
user mode
wireguard
data packet
module
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311597382.6A
Other languages
English (en)
Inventor
薛飞腾
李飞
刘无敌
刘琼
姜海昆
范宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changyang Technology Beijing Co ltd
Original Assignee
Changyang Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changyang Technology Beijing Co ltd filed Critical Changyang Technology Beijing Co ltd
Priority to CN202311597382.6A priority Critical patent/CN117640289A/zh
Publication of CN117640289A publication Critical patent/CN117640289A/zh
Pending legal-status Critical Current

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了基于用户态WireGuard协议的网关架构和设备,涉及网络通信技术领域,该网关架构包括内核和用户态;内核包括物理网卡注册接口和内核驱动模块;物理网卡注册接口用于获取由物理网卡获取的数据包;用户态包括用户态驱动模块;内核驱动模块与用户态驱动模块通信连接,以将数据包由物理网卡直通至用户态;用户态部署有WireGuard协议,并根据WireGuard协议在用户态中生成控制面模块和数据面模块;控制面模块用于协商建立WireGuard隧道;数据面模块用于根据WireGuard隧道实现数据包的传输。本方案提供的网关架构提高了数据平面的转发吞吐量。

Description

基于用户态WireGuard协议的网关架构和设备
技术领域
本发明涉及网络通信技术领域,特别涉及基于用户态WireGuard协议的网关架构和设备。
背景技术
目前基于WireGuard加密隧道协议的网关架构方案,由于WireGuard隧道协议是基于linux内核开发和深度定制,导致数据包的加解密在内核协议栈完成,而网关相当大的一部分工作包括报文识别、网络代理等都是用户态中应用的,因此数据包必须从网卡到内核再拷贝到用户态,如此重复2次才能完成1次转发处理(包括接收和发送)。在功能上不利于各种网关功能应用的拓展,同时由于数据包的多次拷贝也会在整体性能上大打折扣。因此,亟需一种基于用户态WireGuard协议的网关架构。
发明内容
本发明实施例提供了基于用户态WireGuard协议的网关架构和设备,基于该网关架构避免了数据包的多次拷贝处理,显著提高了数据平面的转发吞吐量。
第一方面,本发明实施例提供了一种基于用户态WireGuard协议的网关架构,包括:内核和用户态;
所述内核包括物理网卡注册接口和内核驱动模块;所述物理网卡注册接口用于接收由物理网卡获取的数据包;
所述用户态包括用户态驱动模块;所述内核驱动模块与所述用户态驱动模块通信连接,以将所述数据包由所述物理网卡直通至所述用户态;
所述用户态部署有WireGuard协议,并根据所述WireGuard协议在所述用户态中生成控制面模块和数据面模块;所述控制面模块用于协商建立WireGuard隧道;所述数据面模块用于根据所述WireGuard隧道实现所述数据包的传输。
可选地,所述用户态还包括socket接口、Freebsd用户态协议栈;由所述内核传输的所述数据包经过所述Freebsd用户态协议栈、所述socket接口进行收包处理。
可选地,所述数据面模块包括WireGuard加密单元和WireGuard解密单元;所述WireGuard加密单元用于实现所述数据包的加密处理,所述WireGuard解密单元用于实现所述数据包的解密处理。
可选地,还包括:共享表项,所述共享表项中存储有由所述控制面模块协商出来的配置信息,所述数据面模块用于读取所述配置信息以通过所述WireGuard隧道实现所述数据包的传输。
可选地,所述共享表项为单写多读机制。
可选地,所述用户态还包括socket接口、Freebsd用户态协议栈、代理服务器;由所述内核传输的所述数据包经过所述Freebsd用户态协议栈进行加密处理或解密处理后,通过所述socket接口使所述代理服务器完成收包处理。
可选地,所述用户态还包括业务处理模块和Freebsd用户态协议栈,所述业务处理模块基于所述Freebsd用户态协议栈对所述数据包进行业务处理。
可选地,所述控制面模块包括构建单元、配置单元和添加单元;所述构建单元用于建立虚拟网卡,所述配置单元用于为所述虚拟网卡设置IP地址、监听端口和路由表,所述路由表包括建立连接的服务端、客户端对应的公钥和IP列表;所述添加单元用于根据所述路由表添加服务端和客户端。
第二方面,本发明实施例还提供了一种基于用户态WireGuard协议的网关设备,包括将上述第一方面的基于用户态WireGuard协议的网关架构搭载在服务器上。
本发明实施例提供了基于用户态WireGuard协议的网关架构和设备,该网关架构应用通信连接的位于内核的内核驱动模块与位于用户态的用户态驱动模块,将数据包直接由物理网卡直通到用户态,然后在应用态重构和适配WireGuard协议为控制面模块和数据面模块,并在数据面模块上多线程并发对数据包进行加解密处理,然后再通过网关处理实体完成数据包筛选、识别和清洗等相关业务功能。如此,由于WireGuard协议的各模块都运行在用户态,方便调测功能的同时,也借助通信连接的内核驱动模块和用户态驱动模块实现了零拷贝、免锁队列,从而避免了数据包的多次拷贝处理,提高了数据平面的转发吞吐量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种基于用户态WireGuard协议的网关架构的结构示意图;
图2是本发明一实施例提供的另一种基于用户态WireGuard协议的网关架构的结构示意图;
图3是本发明一实施例提供的又一种基于用户态WireGuard协议的网关架构的结构示意图;
图4是现有技术中的一种基于WireGuard协议的网关架构的结构示意图;
附图标记:10-内核;20-用户态;101-物理网卡注册接口;102-内核驱动模块;201-用户态驱动模块;202-控制面模块;203-数据面模块;204-socket接口;205-WireGuard加密单元;206-WireGuard解密单元;207-代理服务器;208-业务处理模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,本发明实施例提供了一种基于用户态WireGuard协议的网关架构,包括:内核10和用户态20;
内核10包括物理网卡注册接口101和内核驱动模块102;物理网卡注册接口101用于接收由物理网卡获取的数据包;
用户态20包括用户态驱动模块201;内核驱动模块102与用户态驱动模块201通信连接,以将数据包由物理网卡直通至用户态20;
用户态20部署有WireGuard协议,并根据WireGuard协议在用户态中生成控制面模块202和数据面模块203;控制面模块202用于协商建立WireGuard隧道;数据面模块203用于根据WireGuard隧道实现数据包的传输。
本发明实施例中,该网关架构应用通信连接的位于内核的内核驱动模块与位于用户态的用户态驱动模块,将数据包直接从物理网卡直通到用户态,然后在应用态重构和适配WireGuard协议为控制面模块和数据面模块,并在数据面模块上多线程并发对数据包进行加解密处理,然后再通过网关处理实体完成数据包筛选、识别和清洗等相关业务功能。如此,由于WireGuard协议的各模块都运行在用户态,方便调测功能的同时,也借助通信连接的内核驱动模块和用户态驱动模块实现了零拷贝、免锁队列,从而避免了数据包的多次拷贝处理,提高了数据平面的转发吞吐量。同时,该网关架构还支持横向扩展,在需要更多存储量的时候,可以通过多个业务口进行收包。
在本发明中,将原本绑定在内核的WireGuard隧道协议剥离为控制面模块202和数据面模块203,将协商建立WireGuard隧道和利用WireGuard隧道进行数据包的传输分为两部分,使其能全部迁移至用户态,抛弃了传统基于WireGuard隧道的网关架构中加载的Linux内核协议栈。相较于复杂且不方便调试的内核,应用态更方便调试,更方便业务扩展,WireGuard协议迁移到应用态后更方便调测其功能,同时在用户态上可以利用多核多线程并发技术加速数据的转发性能。
在本发明中,借助通信连接的内核驱动模块和用户态驱动模块实现了直接让用户态访问到物理网卡的数据包,无需再经过从物理网卡到内核再拷贝到用户态,如此重复2次才能完成1次转发(接收和发送)处理,从而实现了报文的零拷贝,从而加速了转发处理流程,缩短了处理时延。
在一个更优选的实施方式中,如图2所示,通信连接的内核驱动模块和用户态驱动模块采用数据平面开发工具包DPDK(Data Plane Development Kit),即底层采用DPDK平台使数据报文从物理网卡直通到用户态。
在一个优选的实施方式中,用户态20还包括socket接口204、Freebsd用户态协议栈;由内核10传输的数据包经过Freebsd用户态协议栈、socket接口204进行收包处理。
在本发明中,WireGuard是C语言编写的一个开源3层网络隧道工具,其控制面模块依赖于套接字socket,所以用户态用到了Freebsd开源的用户态协议栈和其提供的PosixSOCKET API。
在一个优选的实施方式中,如图2所示,数据面模块包括WireGuard加密单元205和WireGuard解密单元206;WireGuard加密单元205用于实现数据包的加密处理,WireGuard解密单元206用于实现数据包的解密处理。
本发明不依赖于内核的WireGuard加解密处理,使得数据平面的网关功能处理,变成更加灵活多变的框架,方便使用各种并行框架进行加速,提高网关性能。
在一个优选的实施方式中,如图2所示,还包括:共享表项,共享表项中存储有由控制面模块202协商出来的配置信息,数据面模块203用于读取配置信息以通过WireGuard隧道实现数据包的传输。
在一个优选的实施方式中,共享表项为单写多读机制。
现有WireGuard隧道协议对数据包的加解密均在linux内核协议栈完成,而且需要先通过控制面进行协商,建立通信,并得到一些表项信息(即配置信息),由这些配置信息才能获取加解密的秘钥、索引、时间戳等参数,以在数据传输时基于这些参数完成数据包的加解密和传输。在本发明中,WireGuard加密单元和WireGuard解密单元同样依赖于表项,由WireGuard控制面模块202进行对配置信息的维护和更新,数据面模块203进程只负责读取配置信息,也就是多个进程,通过共享内存,只有一个进程(即控制面模块)能更改配置信息,即为单写多读的共享表项机制,所以进程间因为共享内存的表项查找损耗也较小,性能更好。
在一个优选的实施方式中,如图2所示,用户态20还包括socket接口204、Freebsd用户态协议栈、代理服务器207;由内核10传输的数据包经过Freebsd用户态协议栈进行加密处理或解密处理后,通过socket接口204使代理服务器207完成收包处理。
在一个优选的实施方式中,如图2所示,用户态20还包括业务处理模块208和Freebsd用户态协议栈,业务处理模块208基于Freebsd用户态协议栈对数据包进行业务处理。
具体地,业务处理模块包括但不限于加解密处理之前的L2/3/4解析处理、建流处理等,加解密处理之后的访问控制列表等。
如图2所示,代理服务器可以为Nginx代理服务器,WireGuard加密单元、WireGuard解密单元、业务处理模块的处理均是基于Freebsd用户态协议栈完成的。
在一个具体的实施方式中,在用户态完成数据包的加解密处理之后,快速转交到后端的网关处理实体对数据包进行还包括会话建流、DPI协议识别、IPS数据包安装检测和相关的策略联动等处理,进而缩短了处理时延。
在一个优选的实施方式中,控制面模块202包括构建单元、配置单元和添加单元;构建单元用于建立虚拟网卡,配置单元用于为虚拟网卡设置IP地址、监听端口和路由表,路由表包括建立连接的服务端、客户端对应的公钥和IP列表;添加单元用于根据路由表添加服务端和客户端。
需要说明的是,WireGuard协议是P2P协议,WireGuard隧道的两端是对等的,都可以同时作为客户端和服务端,即两端的机器均被称为Peer:发包时候就是客户端,收包时候就是服务端。路由表记录了所有与虚拟网卡建立隧道的Peer的信息,包括公钥和允许的IP列表两部分,用于正确地加密、解密以及验证所有流经虚拟网卡的网络包。
具体地,控制面模块202通过如下方法协商建立WireGuard隧道:构建单元建立了一张WireGuard类型的虚拟网卡,并通过配置单元设置了IP地址、指定了监听端口和密钥,然后添加单元添加Peer,设置Peer的私钥和允许的IP地址,然后设置客户端Peer的Endpoint(由一个公网IP+一个端口组成),其作用是让WireGuard能够把一个数据包发给正确的Peer,以使客户端能与服务端通信,服务端开启转发,以转发来自客户端的数据包,使两端能够正常通信,建立WireGuard隧道。
如此,当一个向外发送的数据包要通过虚拟网卡时,发现其目的IP地址在Peer A的IP列表中,WireGuard会对这个数据包用与Peer A协商出的密钥(对称)加密,这样Peer A在收到这个包后,才能正确地解密。当一个外面发送过来的数据包要通过虚拟网卡时,也要用与发包的Peer协商出的密钥(对称)解密。
在一个具体的实施方式中,基于用户态WireGuard协议的网关架构中用户态与内核的通信方法包括:
获取物理网卡注册接口的数据包;
将数据包通过内核中的内核驱动模块传输至用户态中的用户态驱动模块;其中,内核驱动模块与用户态驱动模块通信连接;
在用户态中部署WireGuard协议:根据内核WireGuard协议实现,在用户态中生成控制面模块和数据面模块;控制面模块用于协商建立WireGuard隧道;数据面模块用于根据WireGuard隧道实现数据包的传输。
在一个具体的实施方式中,在如图3所示的网关架构中,WireGuard控制面为控制面模块;WireGuard数据面为数据面模块,其中包括WireGuard加密单元和WireGuard解密单元以实现加解密处理;Dpdk pmd驱动接口与Dpdk内核驱动通信连接,流控业务、建流表均为业务处理模块;内核中还包括物理网卡ethx的注册接口;Nginx代理为代理服务器;WireGuard控制面与WireGuard数据面通过共享表项进行通信。WireGuard控制面依赖于用户态中的socket API,基于Freebsd用户态协议栈、Dpdk pmd驱动接口与Dpdk内核驱动的通信连接,协商建立WireGuard隧道,如图3中左一线标示的处理流程;WireGuard数据面基于共享表项使用建立好的WireGuard隧道,数据包从物理网卡注册接口通过DPDK直通到用户态后,经过Freebsd用户态协议栈的建流表即可进行进行加解密处理,便能进行后续的DPI协议识别、IPS安全检测等处理,如图3中右一线标示的处理流程;在该网关架构下支持的Nginx代理服务,同样基于Freebsd协议栈提供的Posix socket API来进行;即从物理网卡直通上来的数据包,经过Freebsd协议栈后,上层Nginx应用即可通过Freebsd提供的socketAPI进行收包处理,如图3中左二线标示的处理流程。
如图4所示,目前基于WireGuard加密隧道协议的网关架构方案中,WireGuard隧道协议在Linux内核协议栈内,加解密处理也是在内核协议栈完成的,因此数据包必须将报文从物理网卡eth0到拷贝到内核,再由内核拷贝到用户态,经标准socket API给到Nginx代理服务器,即如图4中2次箭头标线代表2次报文拷贝操作(其中,2次拷贝还只是一次转发过程的接收方向处理,发送处理则还需要2次拷贝)。然而,从图3所示的处理流程来看,不需要拷贝操作,便能直接使用存储在物理网卡接收队列中的报文数据。
本发明还提供了基于用户态WireGuard协议的网关设备,包括将上述任一实施例的基于用户态WireGuard协议的网关架构搭载在服务器上。
可以理解的是,本发明实施例示意的结构并不构成对一种基于用户态WireGuard协议的网关架构的具体限定。在本发明的另一些实施例中,一种基于用户态WireGuard协议的网关架构可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种基于用户态WireGuard协议的网关架构,其特征在于,包括:内核和用户态;
所述内核包括物理网卡注册接口和内核驱动模块;所述物理网卡注册接口用于接收由物理网卡获取的数据包;
所述用户态包括用户态驱动模块;所述内核驱动模块与所述用户态驱动模块通信连接,以将所述数据包由所述物理网卡直通至所述用户态;
所述用户态部署有WireGuard协议,并根据所述WireGuard协议在所述用户态中生成控制面模块和数据面模块;所述控制面模块用于协商建立WireGuard隧道;所述数据面模块用于根据所述WireGuard隧道实现所述数据包的传输。
2.根据权利要求1所述的网关架构,其特征在于,所述用户态还包括socket接口、Freebsd用户态协议栈;由所述内核传输的所述数据包经过所述Freebsd用户态协议栈、所述socket接口进行收包处理。
3.根据权利要求1所述的网关架构,其特征在于,所述数据面模块包括WireGuard加密单元和WireGuard解密单元;所述WireGuard加密单元用于实现所述数据包的加密处理,所述WireGuard解密单元用于实现所述数据包的解密处理。
4.根据权利要求3所述的网关架构,其特征在于,还包括:共享表项,所述共享表项中存储有由所述控制面模块协商出来的配置信息,所述数据面模块用于读取所述配置信息以通过所述WireGuard隧道实现所述数据包的传输。
5.根据权利要求4所述的网关架构,其特征在于,所述共享表项为单写多读机制。
6.根据权利要求3所述的网关架构,其特征在于,所述用户态还包括socket接口、Freebsd用户态协议栈、代理服务器;由所述内核传输的所述数据包经过所述Freebsd用户态协议栈进行加密处理或解密处理后,通过所述socket接口使所述代理服务器完成收包处理。
7.根据权利要求1所述的网关架构,其特征在于,所述用户态还包括业务处理模块和Freebsd用户态协议栈,所述业务处理模块基于所述Freebsd用户态协议栈对所述数据包进行业务处理。
8.根据权利要求1所述的网关架构,其特征在于,所述控制面模块包括构建单元、配置单元和添加单元;所述构建单元用于建立虚拟网卡,所述配置单元用于为所述虚拟网卡设置IP地址、监听端口和路由表,所述路由表包括建立连接的服务端、客户端对应的公钥和IP列表;所述添加单元用于根据所述路由表添加服务端和客户端。
9.一种基于用户态WireGuard协议的网关设备,其特征在于,包括将权利要求1-8任一项所述的用户态WireGuard隧道的网关架构搭载在服务器上。
CN202311597382.6A 2023-11-27 2023-11-27 基于用户态WireGuard协议的网关架构和设备 Pending CN117640289A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311597382.6A CN117640289A (zh) 2023-11-27 2023-11-27 基于用户态WireGuard协议的网关架构和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311597382.6A CN117640289A (zh) 2023-11-27 2023-11-27 基于用户态WireGuard协议的网关架构和设备

Publications (1)

Publication Number Publication Date
CN117640289A true CN117640289A (zh) 2024-03-01

Family

ID=90022871

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311597382.6A Pending CN117640289A (zh) 2023-11-27 2023-11-27 基于用户态WireGuard协议的网关架构和设备

Country Status (1)

Country Link
CN (1) CN117640289A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699397A (zh) * 2021-01-22 2021-04-23 山西大学 基于虚拟环境下的软件加解密方法和系统
DE102021206755A1 (de) * 2021-06-29 2022-12-29 Siemens Mobility GmbH Verwalten von Schlüsseln für eine sichere Kommunikation zwischen Kommunikationsteilnehmern über einen getrennten Kommunikationskanal
CN115801236A (zh) * 2022-10-28 2023-03-14 深信服科技股份有限公司 一种加密代理方法、加密代理模块、代理设备及存储介质
CN116939054A (zh) * 2023-06-30 2023-10-24 浪潮通信技术有限公司 协议栈实现方法、装置和电子设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699397A (zh) * 2021-01-22 2021-04-23 山西大学 基于虚拟环境下的软件加解密方法和系统
DE102021206755A1 (de) * 2021-06-29 2022-12-29 Siemens Mobility GmbH Verwalten von Schlüsseln für eine sichere Kommunikation zwischen Kommunikationsteilnehmern über einen getrennten Kommunikationskanal
CN115801236A (zh) * 2022-10-28 2023-03-14 深信服科技股份有限公司 一种加密代理方法、加密代理模块、代理设备及存储介质
CN116939054A (zh) * 2023-06-30 2023-10-24 浪潮通信技术有限公司 协议栈实现方法、装置和电子设备

Similar Documents

Publication Publication Date Title
CN110463156B (zh) 安全通信中的硬件加速的有效载荷过滤
US10250571B2 (en) Systems and methods for offloading IPSEC processing to an embedded networking device
US11356418B2 (en) Systems and methods for using unencrypted communication tunnels
US9197616B2 (en) Out-of-band session key information exchange
US10911491B2 (en) Encryption with sealed keys
US9680918B2 (en) Socket application program interface (API) for efficient data transactions
US7716730B1 (en) Cryptographic offload using TNICs
US7631182B1 (en) Secure protocol handshake offload using TNICs
JP2018513498A (ja) 不必要な機能を無効にすることによる向上した仮想化アプリケーション性能
JP5270692B2 (ja) セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム
WO2018130079A1 (zh) 一种英特网协议安全IPSec协议加密方法和网络设备
CN113055269B (zh) 虚拟专用网络数据的传输方法及装置
US9800568B1 (en) Methods for client certificate delegation and devices thereof
US20130339727A1 (en) WAN Optimization Without Required User Configuration for WAN Secured VDI Traffic
CN111131245A (zh) 数据传输方法、装置、电子设备及存储介质
US8670565B2 (en) Encrypted packet communication system
CN113810397B (zh) 协议数据的处理方法及装置
CN117640289A (zh) 基于用户态WireGuard协议的网关架构和设备
US11025728B2 (en) Methods for facilitating secure connections for an operating system kernel and devices thereof
US11722525B2 (en) IPsec processing of packets in SoCs
JP2009207049A (ja) 通信装置
CN117675354A (zh) 一种安全通信方法、系统、电子设备及计算机存储介质
JP4674144B2 (ja) 暗号通信装置および暗号通信方法
CN117354049A (zh) 一种sslvpn数据传输框架
JP6228370B2 (ja) 通信装置、通信方法、及びプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination