CN106341404A - 基于众核处理器的IPSec VPN***及加解密处理方法 - Google Patents
基于众核处理器的IPSec VPN***及加解密处理方法 Download PDFInfo
- Publication number
- CN106341404A CN106341404A CN201610813840.9A CN201610813840A CN106341404A CN 106341404 A CN106341404 A CN 106341404A CN 201610813840 A CN201610813840 A CN 201610813840A CN 106341404 A CN106341404 A CN 106341404A
- Authority
- CN
- China
- Prior art keywords
- module
- ipsec
- encryption
- packet
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于众核处理器的IPSec VPN***,包括加密***和解密***,包括收报文模块、限速模块、入口防火墙模块、IPSec策略检索模块、IPSec加封装模块、加密模块、解密模块、出口防火墙、解封装、增加以太网头模块、再封装模块、IP数据包转发模块和报文发送模块等。还公开了使用该IPSec VPN加解密***的加密方法和解密方法。本发明的IPSec VPN***不仅能够保证连接用户间数据传输的安全,还满足高速网络流量的实时在线处理能力。本发明的识别***可应用于各种众核处理器,均能实现对高速网络流量进行安全传输的目的。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于众核处理器的IPSec VPN***(高速网络数据流量传输的网络安全***),还涉及使用上述IPSec VPN***对高速网络流量进行加解密处理的方法。
背景技术
随着网络技术的广泛应用,TCP/IP网络协议自身暴露的安全问题直接威胁着IP数据包在开放的互联网上传输的安全,成为限制未来网络应用发展的重要原因。网络安全问题主要包括两方面:一方面,TCP/IP网络协议自身并不提供可靠的身份验证与加密技术,无法保证数据在传输过程中的完整性;另一方面,TCP/IP网络协议缺乏可靠的信息完整性验证手段和控制资源分配机制。这些问题已经威胁到了互联网用户的利益。虚拟专用网(Virtual Private Network,简称VPN)技术是互联网环境下保证信息安全的一种重要手段,它通过在一个公用网络中建立一条安全、专用的虚拟通道,将两个异地的网络连接起来,构成逻辑上的虚拟子网,采用加解密、身份认证、完整性校验、访问控制等技术保证连接用户间数据传输的安全。
同样,随着光纤通信的迅速发展,网络带宽也不断增加,这就对大多数网络安全设备的处理能力提出了更高的要求。为了满足对万兆高速网络流量的实时处理能力,众核技术及众核处理器也得到迅速发展和广泛应用。
发明内容
本发明的目的是提供一种基于众核处理器的IPSec VPN***,解决现有 IPSecVPN***缺乏满足对万兆高速网络流量的实时处理能力的问题。
本发明的另一目的是提供上述***的加密方法和解密方法。
本发明所采用的技术方案是,一种基于众核处理器的IPSec VPN加密***,包括依次连接的收报文模块、限速模块、入口防火墙模块、IPSec策略检索模块、IPSec加封装模块、加密模块、再封装模块、IP数据包转发模块和报文发送模块。
相对应的,基于众核处理器的IPSec VPN解密***,包括依次连接的收报文模块、限速模块、入口防火墙模块、IPSec策略检索模块、IPSec解封装模块、解密模块、出口防火墙、解封装、增加以太网头模块、IP数据包转发模块和报文发送模块。
本发明所采用的另一个技术方案是,采用上述IPSec VPN加密***的加密方法,包括以下步骤:
通过收报文模块接收报文,并实现报文从mPIPE到多核Tile CPU的负载均衡,得到原始网络数据;限速模块根据加密流表的限速规则对报文进行流量整形,丢弃不符合限速规则的流报文;通过入口防火墙模块根据加密流表的访问控制规则对报文进行过滤;IPSec策略检索模块对内网口进入的数据包按照五元组进行匹配,检索对应的加密参数;IPSec加封装模块根据IPSec隧道模式下ESP协议对数据包进行加封装;加密模块对数据包进行加密;通过再封装模块对加密后的数据增加新的IP头和以太网报文头;IP数据包转发模块根据IP数据包中目的IP地址信息查询路由表,得到发送接口、下一跳IP地址对应的MAC地址;通过报文发送模块将数据包发送至外网。
相对应的,采用上述IPSec VPN解密***的解密方法,通过收报文模块接收报文,并实现报文从mPIPE到多核Tile CPU的负载均衡,得到原始网络 数据;限速模块根据加密流表的限速规则对报文进行流量整形,丢弃不符合限速规则的流报文;通过入口防火墙模块根据加密流表的访问控制规则对报文进行过滤;IPSec策略检索模块对外网口进入的数据包按照五元组进行匹配,检索对应的解密参数;IPSec解封装模块根据IPSec隧道模式下ESP协议对数据包进行解封装;解密模块对数据包进行解密;通过出口防火墙模块根据解密流表的访问控制规则对解密后的明文数据报文进行过滤;通过解封装、增加以太网头模块还原出原始报文,添加新的以太网包头;IP数据包转发模块根据IP数据包中目的IP地址信息查询路由表,得到发送接口、下一跳IP地址对应的MAC地址;通过报文发送模块将数据包接口发送至内网。
本发明的有益效果是,本发明的基于众核网络处理器的IPSec VPN***不仅能够保证连接用户间数据传输的安全,还满足高速网络流量的实时在线处理能力。本发明的识别***可应用于各种众核处理器,均能实现对高速网络流量进行安全传输的目的。
附图说明
图1是本发明***的总体架构图;
图2 mPIPE负载均衡的示意图;
图3是IPSec加密处理流程(内网口到外网口);
图4是IPSec解密处理流程(外网口到内网口);
图5是密文数据包格式;
图6是IPSec解密前封装;
图7是明文数据包格式;
图8是IPSec加密前封装;
图9路由表结构;
图10安全关联表结构;
图11***测试图;
图12加密前明文数据格式;
图13解密后数据格式。
图中,1.收报文模块,2.限速模块,3.防火墙模块,4.IPSec策略检索模块,5.IPSec协议封装模块,6.加解密协处理器,7.外网口出口防火墙模块,8.解封装、增加以太网头模块,9.加密后报文再封装模块,10.IP数据包转发模块,11.报文发送模块。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步的详细说明,但本发明并不限于这些实施方式。
下面以源IP地址10.0.0.1源端口1-1023、目的IP地址40.55.28.112、目的端口1-1024、包长128B的TCP报文为例,对本发明的基于众核网络处理器的IPSec VPN***进行详细介绍,整个处理流程如图1所示。
本发明的基于众核处理器的IPSec VPN***包括加密***和解密***,该***的硬件由主处理器芯片和加解密协处理器芯片组成。
主处理芯片为一片众核网络处理器,此处理器总计有36个核,这些核被划分用来处理控制平面和数据平面业务。其中,主处理器数据平面运行在的ZOL特定的CPU上,负责快路径数据处理,包括PSec封装/解封装、IP数据包转发、IPSec策略检索等;主处理器控制平面运行在普通的Linux核上,负责IKE协商交换、控制报文收发等慢路径报文处理和设备的配置管理等功能。
主处理芯片根据处理流程分为加密流程和解密流程,加密流程是从内网收到报文,进行封装加密处理发送到外网;解密流程是把从外网收到的包进 行解封装,解密处理以达到数据包进过外网是端到端安全传输的。
加解密协处理芯片为一片众核网络处理器,处理器总计有36个核,加解密协处理芯片主要负责报文加解密运算和报文保序等工作,这些核被分为控制平面CPU、加解密CPU和流保序CPU。其中,加解密协处理器控制平面CPU运行在普通的Linux核上,负责设备的配置管理等功能;加解密协处理器加解密CPU运行在ZOL特性的CPU上,负责对报文进行AES软件加解密和MD5完整性校验;加解密协处理器流保序CPU运行在ZOL特性的CPU上,负责对加解密之后的报文进行软件保序处理。
本实施例使用的众核处理器为Tilera Gx-36处理器(处理器分四个相同处理单元,每个单元都是36核),该处理器能够提供高性能的处理能力,满足对万兆网络数据的实时处理需求,其主要包括多核智能可编程数据包引擎(multicore ProgrammableIntelligent PacketEngine,mPIPE)和核心处理单元Tile。核智能可编程数据包引擎主要负责数据包的分类和负载均衡,将数据包按照制定的模式送往相对应的处理器进行处理。
Tilera Gx-36处理器是一种iMesh架构的处理器,这是一种改良的矩阵式结构,可以实现两两组件之间同时无冲突通信,本发明选择Tilera Gx36款多核网络处理器作为硬件平台,它在一个芯片上集成了36个tile处理器,每个处理器主频达到1.2GHZ,拥有32K的指令Cache和32K的数据Cache、256K的二级Cache和36个核共享的9M三级Cache,可以支持对万兆网络带宽的处理能力。
(一)加密
如图3所示,本实施例的IPSec VPN***中,加密***包括依次连接的收报文模块1、限速模块2、入口防火墙模块3、IPSec策略检索模块4、IPSec 加封装模块5、加解密协处理器6、再封装模块9、IP数据包转发模块10、报文发送模块11。
采用该加密***对高速网络流量进行加密处理的方法为:
步骤1,内网口收报文
通过收报文模块1接收报文,并实现报文从mPIPE到多核Tile CPU的负载均衡,得到原始网络数据。如图2所示,具体包括:
步骤1-2,mPIPE分类
根据mPIPE中设置的规则,判断捕获的数据包是送往控制平面还是数据平面;对于控制报文由运行在控制平面的Linux***内核协议栈负责处理,用户空间的数据报文则绕过Linux内核协议栈,直接由负责数据平面高速处理。
步骤1-2,mPIPE负载均衡
根据数据包的五元组和VLAN号等信息来决定由哪一个Tile CPU将接收和处理这个数据包。本发明采用静态流绑定的方法,将五元组和VLAN号Hash结果相同的流的数据包送往同一个Tile CPU进行处理。
步骤2,流量控制
流量控制就是在接收到数据包的Tile CPU中,限速模块2根据加密前流表(流表1)中的限速规则对报文进行流量整形,丢弃不符合限速规则的流报文。对一条流的收报文送访问控制列表进行检索,并获得相应的特征配置,并下发到流表表项,利用流表表项中的流量特征进行流量控制。如对于源IP为10.0.0.1的数据包,限速规则为--sip 10.0.0.2--smsk 255.0.0.0--rate 10000。
步骤3,报文过滤
报文过滤分两个部分,第一是通过访问控制列表模块,第二是通过防火墙模块,如下对这两个模块进行说明:
在内网口入口对每条流进行带宽限制,丢弃不符合限速规则的流报文;并对每条流的首报文送访问控制列表模块(访问控制列表模块为已***初始化时创建的模块,用于对进来的报文进行管控,报文过滤就是对不符合规则的报文丢弃处理)进行防火墙访问控制规则匹配,按照匹配结果创建流表,后续报文查流表,根据流表中此流对应的规则对报文进行快速处理(丢弃/转发)。
通过入口防火墙模块3对一条流的收报文送访问控制列表进行防火墙规则匹配,按照匹配结果创建流表,并设置相应的转发规则,后续报文通过查询流表得到相应的规则,并对报文进行过滤(丢弃/转发)。
步骤4,策略检索
对内网口进入的数据包,通过IPSec策略检索模块4,对过滤后的明文数据包按照五元组(SIP、DIP、Protocol、SPORT、DPORT)进行策略检索,去检索对应的加密参数SA(SPI、加密密钥、Hash密钥、SEQ),如图10所示。
步骤5,加封装
对于待加密的数据包,数据包如图7所示,IPSec加封装模块5根据IPSec隧道模式下ESP对密文数据包进行加封装处理,添加加密信息(EKey,Hkey,SPI和SEQ)到报文头部,处理后报文格式如图8所示。
步骤6,加密处理
封装后的报文通过加解密协处理器6进行加密。
步骤7,再封装
通过再封装模块9对加密后的数据增加新的IP头和以太网报文头。
步骤8,IP数据包转发
通过IP数据包转发模块10,根据IP数据包中目的IP地址信息查询路由 表,如图9,得到发送接口、下一跳IP地址对应的MAC地址,然后对数据包进行二层头信息封装,为发往外网口做准备。
步骤9,报文发送
通过报文发送模块11将数据包从步骤8得到的接口发送至外网。
(二)解密
如图4所示,本实例的IPSec VPN***中,解密***包括依次连接的收报文模块1、限速模块2、入口防火墙模块3、IPSec策略检索模块4、IPSec解封装模块5、加解密协处理器6、出口防火墙7、解封装、增加以太网头模块8、IP数据包转发模块10、报文发送模块11。
采用该解密***对高速网络流量进行解密处理的方法为:
步骤1,外网口收报文
通过收报文模块1接收报文,并实现报文从mPIPE到多核Tile CPU的负载均衡,得到原始网络数据(从发送方内网发出来未加密封装的报文)。具体包括:
步骤1-2,mPIPE分类
根据mPIPE中设置的规则,判断捕获的数据包是送往控制平面还是数据平面;对于控制报文由运行在控制平面的Linux***内核协议栈负责处理,用户空间的数据报文则绕过Linux内核协议栈,直接由负责数据平面高速处理。
步骤1-2,mPIPE负载均衡
根据数据包的五元组和VLAN号等信息来决定由哪一个Tile CPU将接收和处理这个数据包。本发明采用静态流绑定的方法,将五元组和VLAN号Hash结果相同的流的数据包送往同一个Tile CPU进行处理。
步骤2,流量控制
在接收到数据包的Tile CPU中,限速模块2根据加密流表(流表1)中的限速规则对报文进行流量整形,丢弃不符合限速规则的流报文。对一条流的收报文送访问控制列表进行检索,并获得相应的特征配置,并下发到流表表项,利用流表表项中的流量特征进行流量控制。
步骤3,报文过滤
通过入口防火墙模块3对一条流的收报文送访问控制列表进行防火墙规则匹配,按照匹配结果创建流表(加密前流表,流表1),并设置相应的转发规则,后续报文通过查询流表得到相应的规则,并对报文进行过滤(丢弃/转发)。
步骤4,策略检索
通过IPSec策略检索模块4,对过滤后的明文数据包按照五元组(SIP、DIP、Protocol、SPORT、DPORT)进行策略检索,去检索对应的解密参数(解密密钥,SPI,鉴权码等)。
步骤5,解封装
对于待解密的数据包,数据包格式如图5所示,IPSec解封装模块5根据IPSec隧道模式下ESP对密文数据包进行解封装处理,添加解密信息(EKey、HKey)到报文尾部,处理后报文格式如图6所示。
步骤6,解密处理
封装后的报文通过加解密协处理器6进行解密。
步骤7,策略管控
通过出口防火墙模块7根据解密后流表(流表2)中的访问控制规则对解密后的明文数据报文进行过滤。
步骤8,增加以太网包头
通过解封装、增加以太网头模块8还原出原始报文,添加新的以太网包头。
步骤9,IP数据包转发
IP数据包转发模块10根据IP数据包中目的IP地址信息查询路由表,得到发送接口、下一跳IP地址对应的MAC地址,然后对数据包进行二层头信息封装,为发往内网口做准备。
步骤10,报文发送
通过报文发送模块11将数据包从步骤8得到的接口发送至内网。
为了验证基于Tilera众核网络处理器的IPSec VPN***的是否满足设计之初的要求,本发明中对整个***的测试分别从功能测试和性能测试两方面进行,最后对测试数据进行分析。基于Tilera众核网络处理器的IPSec VPN***的测试环境设备连接如图11所示,包括两个Tilera Gx36众核处理平台、一个外网设备与一个内网设备,本发明中用TileraGx36模拟外网设备与内网设备,外网设备与SubnetA相连,内网设备与SubnetB相连,加解密协处理器与基于Tilera Gx36的IPSec VPN设备通过光模块进行连接,外网设备与内网设备通过基于Tilera Gx36的IPSec VPN设备进行安全连接。四台设备均采用Tilera Gx36众核网络处理平台,每个Tilera Gx36都是36核Tilera处理器,每个Tile CPU主频高达1.2GHz,每个CPU包含32KB私有一级指令缓存和32KB私有一级数据缓存,256KB私有的二级缓存和高达26MB的共享缓存设备,每个众核网络处理平台使用8G的DDR3内存,内存的访问速度为1333MT/s。设备间通过光模块进行连接,满足10Gbps数据的传输能力。为了模拟真实网络环境与提高测试的准确度,***分别对不同包长度(64B、256B、1518B)、不同协议类型(TCP、UDP)的IP报文进行测试,从每秒比特 (bitpersecond,bps)方面进行测试分析。(所有设备通过交换机相连)
功能测试主要是分析和验证***的业务逻辑是否正确,本发明中主要给出IPSec协议封装功能的测试,测试包括IPSec协议封装、IPSec策略检索、加解密、IP数据包转发等模块的业务逻辑处理是否正确。测试主要分为加密流程与解密流程,最后对加解密前后的数据进行对比,从而验证***的可行性。
(一)加密流程
在测试过程中,预先设备好防火墙、带宽限制、QoS、安全策略等规则,然后启动程序进行功能测试,在***中数据的流向如下:
(1)连接SubnetB内网的内网设备通过发包器以10Gbps的速率发出长度为64B的UDP报文。
(2)基于TileraGx36的IPSecVPN***从XUAI口通过mPIPE捕获网数据包,然后进行内网口限速、防火墙、IPSec策略检索、加密前封装处理,最后将封装后的数据包发送给加解密协处理器。
(3)加解密协处理器从XUAI口通过mPIPE捕获网络数据包,然后对数据进行加密处理,最后将加密后的数据包通过XUAI口发送给主处理器。
(4)主处理器从XUAI口通过mPIPE捕获网络数据包,经过加密后报文在封装、IPSec数据包转发模块处理后,将密文数据发送至连接SubnetA外网的外网设备。
内网设备发送给主处理器加密的IP数据包的pcap数据如图12所示:
(二)解密流程
在测试过程中,预先设备好防火墙、带宽限制、QoS、安全策略等规则,然后启动程序进行功能测试,在***中数据的流向如下:
(1)连接SubnetA外网的外网设备通过发包器以10Gbps的速率发出加密后IPSec报文。
(2)主处理器从XUAI口通过mPIPE捕获网数据包,然后进行外网口限速、防火墙、IPSec策略检索、解密前封装处理,最后将封装好的数据包发送给加解密协处理器。
(3)加解密协处理器从XUAI口通过mPIPE捕获网络数据包,然后对数据进行解密处理,最后将解密后的数据包通过XUAI口发送给主处理器。
(4)主处理器从XUAI口通过mPIPE捕获网络数据包,经过出网口防火墙、解封装与增加以太网包头、IPSec数据包转发模块处理处理后,将密文数据发送至连接SubnetB内网的内网设备。
经过解密后,主处理器发给内网设备的数据报文格式如图13所示:
从图12和图13所示,对同一明文数据分别进行加密与解密处理后,报文的封装格式相同,符合预期目标,可以证明***业务逻辑的正确。
在性能测试中,主要测试数据包长度对***处理能力的影响,是否可以达到预先设计提出的对不同长度数据包40Gbps的处理能力。测试环境如图11所示,本发明采用在10K条流的网络环境下,分别对加密方向和解密方向对不同报长度(64B、128B、196B、1518B)的数据包进行测试,测试结果如表1所示。
表1不同包长下***吞吐量
由表1所示,在解密方向和解密方向,对于不同长度(64B、128B、196B、1518B)的IP数据包,***均可以满足40Gbps的处理能力。
本发明以上描述只是部分实施例,但是本发明并不局限于上述的具体实施方式。上述的具体实施方式是示意性的,并不是限制性的。凡是采用本发明的装置和方法,在不脱离本发明宗旨和权利要求所保护的范围情况下,所有具体拓展均属本发明的保护范围之内。
Claims (4)
1.一种基于众核处理器的IPSec VPN加密***,其特征在于,包括依次连接的收报文模块、限速模块、入口防火墙模块、IPSec策略检索模块、IPSec加封装模块、加密模块、再封装模块、IP数据包转发模块和报文发送模块。
2.一种基于众核处理器的IPSec VPN解密***,其特征在于,包括依次连接的收报文模块、限速模块、入口防火墙模块、IPSec策略检索模块、IPSec解封装模块、解密模块、出口防火墙、解封装、增加以太网头模块、IP数据包转发模块和报文发送模块。
3.一种采用权利要求1所述的IPSec VPN加密***的加密方法,其特征在于,包括以下步骤:
通过收报文模块接收报文,并实现报文从mPIPE到多核Tile CPU的负载均衡,得到原始网络数据;限速模块根据加密流表的限速规则对报文进行流量整形,丢弃不符合限速规则的流报文;通过入口防火墙模块根据加密流表的访问控制规则对报文进行过滤;IPSec策略检索模块对内网口进入的数据包按照五元组进行匹配,检索对应的加密参数;IPSec加封装模块根据IPSec隧道模式下ESP协议对数据包进行加封装;加密模块对数据包进行加密;通过再封装模块对加密后的数据增加新的IP头和以太网报文头;IP数据包转发模块根据IP数据包中目的IP地址信息查询路由表,得到发送接口、下一跳IP地址对应的MAC地址;通过报文发送模块将数据包发送至外网。
4.一种采用权利要求2所述的IPSec VPN解密***的解密方法,其特征在于,包括以下步骤:
通过收报文模块接收报文,并实现报文从mPIPE到多核Tile CPU的负载均衡,得到原始网络数据;限速模块根据加密流表的限速规则对报文进行流量整形,丢弃不符合限速规则的流报文;通过入口防火墙模块根据加密流表的访问控制规则对报文进行过滤;IPSec策略检索模块对外网口进入的数据包按照五元组进行匹配,检索对应的解密参数;IPSec解封装模块根据IPSec隧道模式下ESP协议对数据包进行解封装;解密模块对数据包进行解密;通过出口防火墙模块根据解密流表的访问控制规则对解密后的明文数据报文进行过滤;通过解封装、增加以太网头模块还原出原始报文,添加新的以太网包头;IP数据包转发模块根据IP数据包中目的IP地址信息查询路由表,得到发送接口、下一跳IP地址对应的MAC地址;通过报文发送模块将数据包接口发送至内网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610813840.9A CN106341404A (zh) | 2016-09-09 | 2016-09-09 | 基于众核处理器的IPSec VPN***及加解密处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610813840.9A CN106341404A (zh) | 2016-09-09 | 2016-09-09 | 基于众核处理器的IPSec VPN***及加解密处理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106341404A true CN106341404A (zh) | 2017-01-18 |
Family
ID=57822944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610813840.9A Pending CN106341404A (zh) | 2016-09-09 | 2016-09-09 | 基于众核处理器的IPSec VPN***及加解密处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106341404A (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107749826A (zh) * | 2017-09-15 | 2018-03-02 | 深圳市盛路物联通讯技术有限公司 | 一种数据包转发方法及*** |
| WO2018130079A1 (zh) * | 2017-01-11 | 2018-07-19 | 京信通信***(中国)有限公司 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
| CN109145620A (zh) * | 2018-08-13 | 2019-01-04 | 北京奇安信科技有限公司 | 数据流分流处理方法及装置 |
| CN110138553A (zh) * | 2019-05-10 | 2019-08-16 | 郑州信大捷安信息技术股份有限公司 | 一种IPSec VPN网关数据包处理装置及方法 |
| CN110191084A (zh) * | 2019-03-27 | 2019-08-30 | 青岛海信电子设备股份有限公司 | IPsec数据封装、接收方法以及装置 |
| CN110430111A (zh) * | 2019-06-26 | 2019-11-08 | 厦门网宿有限公司 | 一种OpenVPN的数据传输方法及VPN服务器 |
| CN110535742A (zh) * | 2019-08-06 | 2019-12-03 | 杭州迪普科技股份有限公司 | 报文转发方法、装置、电子设备及机器可读存储介质 |
| CN111147344A (zh) * | 2019-12-16 | 2020-05-12 | 武汉思为同飞网络技术股份有限公司 | 一种虚拟专用网络实现方法、装置、设备及介质 |
| CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN111565131A (zh) * | 2020-04-22 | 2020-08-21 | 烽火通信科技股份有限公司 | 一种家庭网关cpu测速方法及*** |
| CN111669374A (zh) * | 2020-05-25 | 2020-09-15 | 成都安恒信息技术有限公司 | 一种IPsec VPN单条隧道软件加解密性能扩展方法 |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| WO2022022512A1 (zh) * | 2020-07-31 | 2022-02-03 | 华为技术有限公司 | 传输报文的方法和电子设备 |
| CN114115099A (zh) * | 2021-11-08 | 2022-03-01 | 浙江高信技术股份有限公司 | 支持网络安全的plc*** |
| CN114448681A (zh) * | 2022-01-04 | 2022-05-06 | 珠海横琴能源发展有限公司 | 一种能源站用户数据无线通信***及实验平台 |
| CN114785536A (zh) * | 2022-02-28 | 2022-07-22 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN115333859A (zh) * | 2022-10-11 | 2022-11-11 | 三未信安科技股份有限公司 | 一种基于芯片方案的IPsec协议报文加密及解密方法 |
| CN116938642A (zh) * | 2023-08-08 | 2023-10-24 | 中安云科科技发展(山东)有限公司 | 一种高性能边缘安全网关实现方法 |
| CN117896182A (zh) * | 2024-03-14 | 2024-04-16 | 麒麟软件有限公司 | Linux网络通信安全管控方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045159A (zh) * | 2010-12-30 | 2011-05-04 | 北京锐安科技有限公司 | 一种解密处理方法及其设备 |
| CN102057631A (zh) * | 2008-06-09 | 2011-05-11 | 微软公司 | 数据中心互连和流量工程 |
| CN102447627A (zh) * | 2011-12-05 | 2012-05-09 | 上海顶竹通讯技术有限公司 | 报文封装和解封装的装置及方法 |
-
2016
- 2016-09-09 CN CN201610813840.9A patent/CN106341404A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102057631A (zh) * | 2008-06-09 | 2011-05-11 | 微软公司 | 数据中心互连和流量工程 |
| CN102045159A (zh) * | 2010-12-30 | 2011-05-04 | 北京锐安科技有限公司 | 一种解密处理方法及其设备 |
| CN102447627A (zh) * | 2011-12-05 | 2012-05-09 | 上海顶竹通讯技术有限公司 | 报文封装和解封装的装置及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王建: "众核网络处理器下IPSec VPN***的设计与实现", 《西安工程大学学报》 * |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018130079A1 (zh) * | 2017-01-11 | 2018-07-19 | 京信通信***(中国)有限公司 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
| CN107749826B (zh) * | 2017-09-15 | 2021-10-08 | 深圳市盛路物联通讯技术有限公司 | 一种数据包转发方法及*** |
| CN107749826A (zh) * | 2017-09-15 | 2018-03-02 | 深圳市盛路物联通讯技术有限公司 | 一种数据包转发方法及*** |
| CN109145620A (zh) * | 2018-08-13 | 2019-01-04 | 北京奇安信科技有限公司 | 数据流分流处理方法及装置 |
| CN110191084A (zh) * | 2019-03-27 | 2019-08-30 | 青岛海信电子设备股份有限公司 | IPsec数据封装、接收方法以及装置 |
| CN110138553A (zh) * | 2019-05-10 | 2019-08-16 | 郑州信大捷安信息技术股份有限公司 | 一种IPSec VPN网关数据包处理装置及方法 |
| CN110138553B (zh) * | 2019-05-10 | 2022-08-19 | 郑州信大捷安信息技术股份有限公司 | 一种IPSec VPN网关数据包处理装置及方法 |
| CN110430111A (zh) * | 2019-06-26 | 2019-11-08 | 厦门网宿有限公司 | 一种OpenVPN的数据传输方法及VPN服务器 |
| CN110430111B (zh) * | 2019-06-26 | 2022-07-26 | 厦门网宿有限公司 | 一种OpenVPN的数据传输方法及VPN服务器 |
| CN110535742A (zh) * | 2019-08-06 | 2019-12-03 | 杭州迪普科技股份有限公司 | 报文转发方法、装置、电子设备及机器可读存储介质 |
| CN110535742B (zh) * | 2019-08-06 | 2022-03-01 | 杭州迪普科技股份有限公司 | 报文转发方法、装置、电子设备及机器可读存储介质 |
| CN111147344B (zh) * | 2019-12-16 | 2021-12-24 | 武汉思为同飞网络技术股份有限公司 | 一种虚拟专用网络实现方法、装置、设备及介质 |
| CN111147344A (zh) * | 2019-12-16 | 2020-05-12 | 武汉思为同飞网络技术股份有限公司 | 一种虚拟专用网络实现方法、装置、设备及介质 |
| CN111147382B (zh) * | 2019-12-31 | 2021-09-21 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN111565131A (zh) * | 2020-04-22 | 2020-08-21 | 烽火通信科技股份有限公司 | 一种家庭网关cpu测速方法及*** |
| CN111565131B (zh) * | 2020-04-22 | 2022-04-08 | 烽火通信科技股份有限公司 | 一种家庭网关cpu测速方法及*** |
| CN111669374B (zh) * | 2020-05-25 | 2022-05-27 | 成都安恒信息技术有限公司 | 一种IPsec VPN单条隧道软件加解密性能扩展方法 |
| CN111669374A (zh) * | 2020-05-25 | 2020-09-15 | 成都安恒信息技术有限公司 | 一种IPsec VPN单条隧道软件加解密性能扩展方法 |
| CN111800436B (zh) * | 2020-07-29 | 2022-04-08 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| WO2022022512A1 (zh) * | 2020-07-31 | 2022-02-03 | 华为技术有限公司 | 传输报文的方法和电子设备 |
| CN114115099B (zh) * | 2021-11-08 | 2024-01-02 | 浙江高信技术股份有限公司 | 支持网络安全的plc*** |
| CN114115099A (zh) * | 2021-11-08 | 2022-03-01 | 浙江高信技术股份有限公司 | 支持网络安全的plc*** |
| CN114448681A (zh) * | 2022-01-04 | 2022-05-06 | 珠海横琴能源发展有限公司 | 一种能源站用户数据无线通信***及实验平台 |
| CN114785536A (zh) * | 2022-02-28 | 2022-07-22 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN115333859A (zh) * | 2022-10-11 | 2022-11-11 | 三未信安科技股份有限公司 | 一种基于芯片方案的IPsec协议报文加密及解密方法 |
| CN116938642A (zh) * | 2023-08-08 | 2023-10-24 | 中安云科科技发展(山东)有限公司 | 一种高性能边缘安全网关实现方法 |
| CN117896182A (zh) * | 2024-03-14 | 2024-04-16 | 麒麟软件有限公司 | Linux网络通信安全管控方法、装置及存储介质 |
| CN117896182B (zh) * | 2024-03-14 | 2024-06-07 | 麒麟软件有限公司 | Linux网络通信安全管控方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106341404A (zh) | 基于众核处理器的IPSec VPN***及加解密处理方法 | |
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入*** | |
| CN100389400C (zh) | 虚拟专用网(vpn)和防火墙的集成*** | |
| US11032190B2 (en) | Methods and systems for network security universal control point | |
| CN100594690C (zh) | 一种安全网关中进行安全策略统一处理的方法及装置 | |
| CN1823496B (zh) | 交换机端口分析仪 | |
| US20200045023A1 (en) | Network guard unit for industrial embedded system and guard method | |
| EP2357763B1 (en) | Methods apparatuses for crossing virtual firewall to transmit and receive data | |
| US6854063B1 (en) | Method and apparatus for optimizing firewall processing | |
| CN102882789B (zh) | 一种数据报文处理方法、***及设备 | |
| CN107682370B (zh) | 创建用于嵌入的第二层数据包协议标头的方法和*** | |
| CN104394148B (zh) | IPv6下IPSec协议外出处理硬件实现*** | |
| JP2002504285A (ja) | 仮想専用網を実現する装置 | |
| CN107852359A (zh) | 安全***、通信控制方法 | |
| CN102148727B (zh) | 网络设备性能测试方法及*** | |
| CN104767752A (zh) | 一种分布式网络隔离***及方法 | |
| US20100138909A1 (en) | Vpn and firewall integrated system | |
| EP3720075B1 (en) | Data transmission method and virtual switch | |
| CN108881302A (zh) | 工业以太网与blvds总线互联通讯装置及工业控制*** | |
| CN105827665A (zh) | 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 | |
| CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
| CN105812322B (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
| CN104168257A (zh) | 基于非网络方式的数据隔离装置及其方法与*** | |
| CN107612679A (zh) | 一种基于国密算法的安全以太网桥加扰终端 | |
| Luo et al. | Security analysis of the TSN backbone architecture and anomaly detection system design based on IEEE 802.1 Qci |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170118 |