CN106790221A - 一种英特网协议安全IPSec协议加密方法和网络设备 - Google Patents
一种英特网协议安全IPSec协议加密方法和网络设备 Download PDFInfo
- Publication number
- CN106790221A CN106790221A CN201710021178.8A CN201710021178A CN106790221A CN 106790221 A CN106790221 A CN 106790221A CN 201710021178 A CN201710021178 A CN 201710021178A CN 106790221 A CN106790221 A CN 106790221A
- Authority
- CN
- China
- Prior art keywords
- messages
- network equipment
- processor core
- chain
- hardware encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及通信技术领域,尤其涉及一种英特网协议安全IPSec协议加密方法和网络设备,用于有效解决现有技术中多核异构网络设备发送的IP报文序列号无法保序的问题。网络设备通过控制面处理器核获取第一IP报文;网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下,且网络设备在根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下:网络设备通过硬件加密模块为第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;网络设备通过网卡发送加密后第一IP报文;进而有效解决现有技术中多核异构网络设备发送的IP报文序列号不保序的问题。
Description
技术领域
本发明实施例涉及通信领域,尤其涉及一种英特网协议安全IPSec协议加密方法和网络设备。
背景技术
网络越来越普遍,随之而来的网络安全问题备受关注,例如客户端遭受的重播攻击:发送端向接收端发送了一个网络之间互连的协议(Internet Protocol,简称IP)报文,若该IP报文被恶意用户捕获,恶意用户向接收端在重复发送该IP报文,造成网络应用会受到不断重播的数据包的轰炸。英特网协议安全(Internet Protocol Security,简称IPSec)协议的出现解决了这个问题,IPSec协议中定义了一个序列号(Sequence Number,简称SN)字段,用于记录该IP报文的序列号,任何发送端在必须保证同一组SA信息下,发送报文时SN是唯一的,例如,接收端接收了序列号为5的IP报文,当再次接收到序列号为5的IP报文时,拒绝接收该重复发送的报文。
现有技术中,单核设备单个转发线程时,报文按照序列串行依次封装、发送,接收端收到的IPSec封装报文的序列号不会出现乱序情况。对于多核异构网络设备,例如,即数字信号处理(Digital Signal Process,简称DSP)技术+进阶精简指令集机器(AdvancedReduced Instruction Set Computer Machine,简称ARM)、DSP+精简指令集架构的中央处理器(Performance Optimization With Enhanced RISC-Performance Computing,简称POWERPC)等多核异构的集成芯片中,通常使用DSP作业务处理,使用POWERPC或ARM核运行Linux操作***作为控制业务;对于POWERPC或ARM核处理的控制面数据,通常采用集成芯片的中央处理器(Central Processing Unit,简称CPU)核运行软件加密程序进行加密,而DSP核处理的用户面数据通常采用硬加密模块进行加密。由于多核异构网络设备在处理数据时多个线程并行处理报文,发送IP报文时是在不同的加密模块进行加密的,容易导致接收端收到的IPSec协议封装的IP报文的序列号出现乱序,容易导致该IP报文被认定为重放报文,而被错误的丢弃。
现有技术中,为了解决多核异构网络设备中IP报文的序列号不保序的问题,采用在多核异构网络设备中进行多核之间共享内存,但是异构CPU之间的同步和互斥的额外处理非常麻烦,加大了程序设计的复杂度。因此,亟需一种IPSec加密的方法,以有效解决现有技术中多核异构网络设备发送的IP报文序列号不保序的问题。
发明内容
本发明实施例提供一种英特网协议安全IPSec协议加密方法和网络设备,用于有效解决现有技术中多核异构网络设备发送的IP报文序列号无法保序的问题。
本发明实施例提供一种英特网协议安全IPSec协议加密方法,适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备,该方法包括:网络设备通过控制面处理器核获取第一IP报文;网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下,且网络设备在根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下:网络设备通过硬件加密模块为第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;网络设备通过网卡发送加密后第一IP报文。
本发明实施例提供一种用于英特网协议安全IPSec协议加密的网络设备,包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核,该网络设备包括:控制面处理器核,用于获取第一IP报文;硬件加密模块,用于在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下,且在通过控制面处理器核确定第一IP报文需进行硬加密的情况下:为第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;网卡,用于发送加密后第一IP报文。
本发明实施例中,由于网络设备通过控制面处理器核获取第一IP报文;网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下,且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下:网络设备通过硬件加密模块为第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;网络设备通过网卡发送加密后第一IP报文。可见,本发明实施例中,对需进行加密的报文进行进一步的处理,将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密,也就是说,本发明实施例中仅通过一个加密模块对报文进行加密,如此,本发明实施例中可保证报文的序列号保序的目的,避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为本发明实施例提供的一种英特网协议安全IPSec协议加密***的架构示意图;
图2为本发明实施例提供的一种英特网协议安全IPSec协议加密方法的流程示意图;
图3为本发明实施例提供的在另一种英特网协议安全IPSec协议加密方法的流程示意图;
图4为本发明实施例提供的一种用于英特网协议安全IPSec协议加密的网络设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示例性示出了本发明实施例适用的一种英特网协议安全IPSec协议加密***架构示意图,该***架构适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备;如图1所示,该***架构100包括控制面处理器核110、用户面处理器核120、硬件加密模块130和网卡140;控制面处理器核110包括网络协议栈111、网卡驱动112;网络协议栈111连接网卡驱动112;可选地,控制面处理器核110可连接用户面处理器核120,也可以连接网卡140;进一步地,控制面处理器核110可以通过网卡驱动112连接用户面处理器核120,也可以通过网卡驱动112连接网卡140;可选地,用户面处理器核120连接硬件加密模块130,也可以连接网卡140;硬件加密模块130连接网卡140;其中,控制面处理器核110用于处理控制面数据,用户面处理器核120用于处理用户面数据。可选地,控制面处理器核110可以为POWERPC核,也可以为ARM核;可选地,用户面处理器核120可以为DSP核。
本发明实施例中,一方面,控制面处理器核110中的网络协议栈111处理控制面数据得到的第一IP报文,通过网卡驱动112确定第一IP报文是否需要加密,通过核间通信技术将需要进行加密的第一IP报文发送至用户面处理器核120,再通过用户面处理器核120发送至硬件加密模块130进行加密并分配序列号,之后通过网卡140将加密后第一IP报文发送出去;另一方面,用户面处理器核120处理的用户面数据得到的第二IP报文,发送至硬件加密模块130进行加密并分配序列号,之后通过网卡140将加密后第一IP报文发送出去。
图2示例性示出了本发明实施例提供的一种英特网协议安全IPSec协议加密方法的流程示意图。
基于图1所示的***架构,如图2所示,本发明实施例提供的一种英特网协议安全IPSec协议加密方法,适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备,该方法包括以下步骤:
步骤S201:网络设备通过控制面处理器核获取第一IP报文;
步骤S202:网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下,且网络设备在根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下:网络设备通过硬件加密模块为第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;
步骤S203:网络设备通过网卡发送加密后第一IP报文。
基于上述实施例,在步骤S201中,可选地,第一IP报文可为控制面处理器核处理的控制面数据进行封装得到的IP报文。
基于上述实施例,在步骤S202中,可选地,第一IP报文的信息包括:报文中的源IP地址和目的IP地址;可选地,控制面处理器核可以为运行Linux操作***的核;确定第一IP报文是否需要进行加密有多种方式,一种可选的方式为控制面处理器核中的网络协议栈确定第一IP报文是否需要进行加密;在确定第一IP报文是否需要进行加密的情况下,将第一IP报文发送至网卡驱动;网卡驱动对需要加密的IP报文进行是否需要硬加密的判断;在第一IP报文需要硬加密的情况下,将需要硬加密的第一IP报文通过核间通信(Inter-Processsor Communication,简称IPC)技术发送至用户面处理器核,再通过硬件加密模块为第一IP报文分配序列号并进行硬加密。
基于上述实施例,在步骤S203中,硬件加密模块将加密后第一IP报文通过网卡发送出去。
本发明实施例中,由于网络设备通过控制面处理器核获取第一IP报文;网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下,且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下:网络设备通过硬件加密模块为第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;网络设备通过网卡发送加密后第一IP报文。可见,本发明实施例中,对需进行加密的报文进行进一步的处理,将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密,也就是说,本发明实施例中仅通过一个加密模块对报文进行加密,如此,本发明实施例中可保证报文的序列号保序的目的,避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题。
可选地,网络设备根据第一IP报文的信息确定第一IP报文需进行硬加密,需要满足以下两种情况中的任一种:第一种,网络设备在确定第一IP报文为隧道模式的情况下,且确定第一IP报文中的源IP地址为基于IPSec协议进行协商的IP地址,则确定第一IP报文需进行硬加密;第二种,网络设备在确定第一IP报文为传输模式的情况下,获取云端服务器中预设的处于保护状态的IP地址集合,在确定第一IP报文中的目的IP地址为IP地址集合中的一个的情况下,确定第一IP报文需进行硬加密。
本发明实施例中,可选地,第一IP报文的信息包括:报文中的源IP地址和目的IP地址;举个例子,两个网络设备分别为客户端和云端服务器,其中,客户端的IP地址为IP11,云端服务器的IP地址为IP21,客户端和云端服务器开始通信之前,先建立IPSec链路进行收发报文,以客户端向云端服务器发送第一IP报文为例:
针对上述实施例中的第一种情况:在隧道模式的情况下,客户端和云端服务器之间建立IPSec隧道,并基于IPSec协议协商发送报文的IP地址,客户端基于IPSec协议的协商IP地址为IP12,云端服务器基于IPSec协议的协商IP地址为IP22,在客户端向云端服务器发送需要加密的第一IP报文时,将第一报文中源IP地址设为IP12;客户端在确定第一报文中的源IP地址为IP12,则确定第一IP报文需进行硬加密。
针对上述实施例中的第二种情况:在传输模式的情况下,客户端和云端服务器之间建立IPSec链路,云端服务器中预设了处于保护状态的IP地址集合:IP31、IP32、IP33、IP34、IP35、IP36,IP地址集合中每个IP地址对应一个网络设备;客户端和IP地址集合中的一个网络设备进行通信,首先获取IP地址集合,在客户端向云端服务器发送需要加密的第一IP报文时,例如,将客户端的网络协议栈将第一IP报文中的目的IP地址设为IP34,则客户端中的网卡驱动确定第一IP报文中的目的IP地址IP34在IP地址集合:IP31、IP32、IP33、IP34、IP35、IP36中,则确定第一IP报文需进行硬加密。
可选地,网络设备在确定第一IP报文不需进行硬加密包括两种情况:第一种情况,网络设备在确定第一IP报文为隧道模式的情况下,且确定第一IP报文中的源IP地址不为基于IPSec协议进行协商的IP地址,确定第一IP报文不需要进行硬加密;第二种情况,网络设备在确定第一IP报文为传输模式的情况下,获取云端服务器中预设的处于保护状态的IP地址集合,在确定第一IP报文中的目的IP地址不为IP地址集合中的任一个的情况下,确定第一IP报文不需要进行硬加密。
本发明实施例中,可选地,可通过网卡驱动对第一IP报文的信息进行确定,进而确定第一IP报文是否需要硬加密,如此,可以有效确定出需要硬加密的IP报文,并发送至硬件加密模块进行加密,进而避免了第一IP报文直接在控制面处理器核上进行软加密带来的发送报文序列号不保序的问题。
可选地,网络设备通过控制面处理器核获取第一IP报文之后,还包括:网络设备在通过控制面处理器核确定第一IP报文为不需进行加密的第一IP报文的情况下:网络设备通过网卡发送第一IP报文。可选地,控制面处理器核确定第一IP报文为不需进行加密的第一IP报文时,通过普通IP报文的发送接口将第一IP报文发送至网卡驱动;如此,不需要进行加密的IP报文直接通过网卡发送出去,避免了将不需要加密的第一IP报文发送至网卡驱动造成的资源浪费。
可选地,网络设备在确定第一IP报文为需进行加密的第一IP报文的情况之后,还包括:网络设备在根据第一IP报文的信息确定第一IP报文不需进行硬加密的情况下:网络设备通过网卡发送第一IP报文。可选地,可通过网卡驱动确定第一IP报文是否需要进行硬加密,将不需要进行硬加密的第一IP报文直接发送至网卡,如此,避免了将不需要进行硬加密的第一IP报文发送至用户面处理器核而造成的资源浪费。
可选地,英特网协议安全IPSec协议加密方法还包括:网络设备通过用户面处理器核获取第二IP报文;网络设备在根据第二IP报文的信息确定第二IP报文需进行硬加密的情况下:网络设备通过硬件加密模块为第二IP报文分配序列号,并进行硬加密,得到加密后第二IP报文;网络设备通过网卡发送加密后第二IP报文。
本发明实施例中,可选地,用户面处理器核处理的用户面数据得到第二IP报文;在第二IP报文需要硬加密的情况下,将需要硬加密的第二IP报文发送至硬件加密模块进行硬加密;在第二IP报文不需要硬加密的情况下,将第二IP报文通过网卡发送出去;因此,控制面处理器核的需要硬加密的第一IP报文和用户面处理器核的需要加密的第二IP报文都发送至硬件加密模块进行加密,如此,多核异构网络设备向外发送的加密IP报文都通过硬件加密模块分配序列号并进行硬加密,一方面,避免了多核异构网络设备中多线程并行加密IP报文导致的序列号不保序的问题;另一方面,多核异构网络设备中多核之间不需要做任何共享内存或其他互斥、同步操作,避免了资源互斥问题。
可选地,通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文,包括:网络设备确定出预设的安全策略路由;其中,安全策略路由中包括至少一个IP地址;网络设备在确定第一IP报文中的目的IP地址属于至少一个IP地址中的一个的情况下,确定第一IP报文为需进行加密的第一IP报文。
可选地,控制面处理器核包括Linux操作***的网络协议栈;本发明通过对网络协议栈进行修改,确定需要加密的第一IP报文;可选地,网络协议栈预设安全策略路由包括至少一个IP地址对应的安全策略路由;例如,预设安全策略路由中,IP地址为192.168.10.15到192.168.10.30对应一个安全路由,若第一IP报文中的目的IP地址为192.168.10.25,则网络协议栈根据安全策略路由找到IP地址为192.168.10.25对应的安全路由,则确定该第一IP报文为需进行加密的第一IP报文。如此,网络设备通过控制面处理器可以确定第一IP报文是否需要加密,进而将需要加密的报文发送至网卡驱动,进而避免了将需要加密的第一IP报文在控制面处理器核进行软加密,进而避免CPU消耗过多资源进行软加密,达到了提升了***性能的效果。
可选地,本发明提供一种可选的实现对控制面处理器核上的第一IP报文进行硬加密的方法;控制面处理器核以ARM核为例,用户面处理器核以DSP核为例:在ARM核中网络协议栈中设置xfrm_lookup函数,该xfrm_lookup函数用于识别需要IPSec协议进行加密封装处理,并返回第一IP报文所需要使用的发送接口;例如,在网络协议栈发送第一IP报文时,通过xfrm_lookup函数确定出第一IP报文中的IP地址对应的安全策略,则确定第一IP报文需要加密,则将该第一IP报文通过普通IP报文发送接口发送至网卡驱动程序;网卡驱动程序确定第一IP报文是否需要进行硬加密,若是需要硬加密,则将需要进行硬加密的第一IP报文通过IPC技术发送至DSP核;DSP核将第一IP报文发送至硬件加密模块分配序列号,并进行硬加密;同时,对于DSP核上处理的需要进行硬加密的第二IP报文,DSP核将需要进行硬加密的第二IP报文也发送至硬件加密模块分配序列号,并进行硬加密;如此,保证了核异构网络设备发出的IP报文都是经过硬件加密模块进行分配序列号,并进行硬加密,达到了在多核异构网络设备的单线程加密IP报文的效果,使得硬加密的IP报文的序列号报文有序增长,避免报文被对端的抗重播机制所丢弃的问题。
为了更清楚的介绍上述方法流程,本发明实施例提供以下示例。
图3示例性示出了本发明实施例提供的另一种英特网协议安全IPSec协议加密方法的流程示意图,基于图1所示的***架构,如图3所示,本发明实施例提供的另一种英特网协议安全IPSec协议加密方法,适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备,该方法包括以下步骤:
步骤S301:网络设备通过控制面处理器核获取第一IP报文;
步骤S302:网络设备在控制面处理器核确定第一IP报文中的目的IP地址是否属于预设的安全策略路由中的至少一个IP地址中的一个;若是,则执行步骤S303;若否,则执行步骤S313;
步骤S303:网络设备通过网络协议栈确定第一IP报文为需进行加密的第一IP报文;
步骤S304:网络设备通过网卡驱动确定第一IP报文为隧道模式或传输模式;若是隧道模式,执行步骤S305;若是传输模式,执行步骤S306;
步骤S305:网络设备通过网卡驱动确定第一IP报文中的源IP地址是否为基于IPSec协议进行协商的IP地址;若是,则执行步骤S307;若否,则执行步骤S313;
步骤S306:网络设备获取云端服务器中预设的处于保护状态的IP地址集合,确定第一IP报文中的目的IP地址是否为IP地址集合中的一个;若是,则执行步骤S307;若否,则执行步骤S313;
步骤S307:网络设备确定第一IP报文需进行硬加密;
步骤S308:通过控制面处理器核中的网卡驱动将第一IP报文发送至用户面处理器核;
步骤S309:网络设备通过用户面处理器核获取第二IP报文;
步骤S310:网络设备在根据第二IP报文的信息确定第二IP报文是否需进行硬加密;若是,则执行步骤S311;若否,则执行步骤S314;
步骤S311:网络设备通过用户面处理器核将第一IP报文和第二IP报文发送至硬件加密模块;
步骤S312:网络设备通过硬件加密模块分别为第一IP报文和第二IP报文分配序列号,并分别进行硬加密,得到加密后第一IP报文和加密后第二IP报文;
步骤S313:通过网卡驱动将第一IP报文发送至网卡;
步骤S314:网络设备通过网卡将第一IP报文和加密后第二IP报文发送出去。
从上述内容可以看出:由于网络设备通过控制面处理器核获取第一IP报文;网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下,且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下:网络设备通过硬件加密模块为第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;网络设备通过网卡发送加密后第一IP报文;而且,用户面处理器核处理的第二IP报文也通过至硬件加密模块分配序列号并统一进行硬加密;可见,本发明实施例中,对需进行加密的报文进行进一步的处理,将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密,也就是说,本发明实施例中仅通过一个加密模块对报文进行加密,如此,本发明实施例中可保证报文的序列号保序的目的,避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题;而且,在抗重播检测过程中避免了IP报文被丢弃的问题,增加了数据的安全性。进一步,本发明实施例中的方法避免了第一IP报文在控制面处理器核进行软加密造成的***性能的下降的问题,多核异构网络设备中多核之间不需要做任何共享内存或其他互斥、同步操作,避免了资源互斥问题,大大简化了程序设计。
图4示例性示出了本发明实施例提供的一种用于英特网协议安全IPSec协议加密的网络设备的结构示意图。
基于相同构思,本发明实施例提供的一种用于英特网协议安全IPSec协议加密的网络设备,用于执行上述方法流程,如图4所示,该用于英特网协议安全IPSec协议加密的网络设备400包括控制面处理器核401、硬件加密模块403和网卡404,还包括用户面处理器核402;其中:
控制面处理器核401,用于获取第一IP报文;
硬件加密模块403,用于在通过所述控制面处理器核401确定所述第一IP报文为需进行加密的第一IP报文的情况下,且在通过所述控制面处理器核401确定所述第一IP报文需进行硬加密的情况下:为所述第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;
网卡404,用于发送所述加密后第一IP报文。
可选地,所述控制面处理器核401,用于:在确定所述第一IP报文为隧道模式的情况下,且确定所述第一IP报文中的源IP地址为基于IPSec协议进行协商的IP地址,则确定所述第一IP报文需进行硬加密;在确定所述第一IP报文为传输模式的情况下,获取云端服务器中预设的处于保护状态的IP地址集合,在确定所述第一IP报文中的目的IP地址为所述IP地址集合中的一个的情况下,确定所述第一IP报文需进行硬加密。
可选地,所述网卡404,还用于:在通过所述控制面处理器核401确定所述第一IP报文不需进行硬加密的情况下:发送所述第一IP报文。
可选地,所述网卡404,还用于:在通过所述控制面处理器核401确定所述第一IP报文为不需进行加密的第一IP报文的情况下:所述网络设备通过网卡404发送所述第一IP报文。
可选地,所述网络设备还包括:用户面处理器核402,用于获取第二IP报文;
所述硬件加密模块403,还用于:在通过所述用户面处理器核402确定所述第二IP报文需进行硬加密的情况下:为所述第二IP报文分配序列号,并进行硬加密,得到加密后第二IP报文;所述网卡404,还用于:发送所述加密后第二IP报文。
可选地,所述控制面处理器核401,用于:确定出预设的安全策略路由;其中,所述安全策略路由中包括至少一个IP地址;在确定所述第一IP报文中的目的IP地址属于所述至少一个IP地址中的一个的情况下,确定所述第一IP报文为需进行加密的第一IP报文。
从上述内容可以看出:由于网络设备通过控制面处理器核获取第一IP报文;网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下,且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下:网络设备通过硬件加密模块为第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;网络设备通过网卡发送加密后第一IP报文;而且,用户面处理器核处理的第二IP报文也通过至硬件加密模块分配序列号并统一进行硬加密;可见,本发明实施例中,对需进行加密的报文进行进一步的处理,将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密,也就是说,本发明实施例中仅通过一个加密模块对报文进行加密,如此,本发明实施例中可保证报文的序列号保序的目的,避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题;而且,在抗重播检测过程中避免了IP报文被丢弃的问题,增加了数据的安全性。进一步,本发明实施例中的方法避免了第一IP报文在控制面处理器核进行软加密造成的***性能的下降的问题,多核异构网络设备中多核之间不需要做任何共享内存或其他互斥、同步操作,避免了资源互斥问题,大大简化了程序设计。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种英特网协议安全IPSec协议加密方法,其特征在于,适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备,所述方法包括:
网络设备通过所述控制面处理器核获取第一IP报文;
所述网络设备在通过所述控制面处理器核确定所述第一IP报文为需进行加密的第一IP报文的情况下:
所述网络设备在根据所述第一IP报文的信息确定所述第一IP报文需进行硬加密的情况下:
所述网络设备通过所述硬件加密模块为所述第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;
所述网络设备通过网卡发送所述加密后第一IP报文。
2.如权利要求1所述的方法,其特征在于,所述网络设备根据所述第一IP报文的信息确定所述第一IP报文需进行硬加密,包括:
所述网络设备在确定所述第一IP报文为隧道模式的情况下,且确定所述第一IP报文中的源IP地址为基于IPSec协议进行协商的IP地址,则确定所述第一IP报文需进行硬加密;
所述网络设备在确定所述第一IP报文为传输模式的情况下,获取云端服务器中预设的处于保护状态的IP地址集合,在确定所述第一IP报文中的目的IP地址为所述IP地址集合中的一个的情况下,确定所述第一IP报文需进行硬加密。
3.如权利要求1所述的方法,其特征在于,所述网络设备在确定所述第一IP报文为需进行加密的第一IP报文的情况之后,还包括:
所述网络设备在根据所述第一IP报文的信息确定所述第一IP报文不需进行硬加密的情况下:
所述网络设备通过所述网卡发送所述第一IP报文。
4.如权利要求1所述的方法,其特征在于,所述网络设备通过所述控制面处理器核获取第一IP报文之后,还包括:
所述网络设备在通过所述控制面处理器核确定所述第一IP报文为不需进行加密的第一IP报文的情况下:
所述网络设备通过网卡发送所述第一IP报文。
5.如权利要求1至4任一权利要求所述的方法,其特征在于,所述方法还包括:
所述网络设备通过所述用户面处理器核获取第二IP报文;
所述网络设备在根据所述第二IP报文的信息确定所述第二IP报文需进行硬加密的情况下:
所述网络设备通过所述硬件加密模块为所述第二IP报文分配序列号,并进行硬加密,得到加密后第二IP报文;
所述网络设备通过网卡发送所述加密后第二IP报文。
6.如权利要求1至4任一权利要求所述的方法,其特征在于,所述通过控制面处理器核确定所述第一IP报文为需进行加密的第一IP报文,包括:
所述网络设备确定出预设的安全策略路由;其中,所述安全策略路由中包括至少一个IP地址;
所述网络设备在确定所述第一IP报文中的目的IP地址属于所述至少一个IP地址中的一个的情况下,确定所述第一IP报文为需进行加密的第一IP报文。
7.一种用于英特网协议安全IPSec协议加密的网络设备,其特征在于,包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核,所述网络设备包括:
控制面处理器核,用于获取第一IP报文;
硬件加密模块,用于在通过所述控制面处理器核确定所述第一IP报文为需进行加密的第一IP报文的情况下:在通过所述控制面处理器核确定所述第一IP报文需进行硬加密的情况下:为所述第一IP报文分配序列号,并进行硬加密,得到加密后第一IP报文;
网卡,用于发送所述加密后第一IP报文。
8.如权利要求7所述的网络设备,其特征在于,所述控制面处理器核,用于:
在确定所述第一IP报文为隧道模式的情况下,且确定所述第一IP报文中的源IP地址为基于IPSec协议进行协商的IP地址,则确定所述第一IP报文需进行硬加密;
在确定所述第一IP报文为传输模式的情况下,获取云端服务器中预设的处于保护状态的IP地址集合,在确定所述第一IP报文中的目的IP地址为所述IP地址集合中的一个的情况下,确定所述第一IP报文需进行硬加密。
9.如权利要求7所述的网络设备,其特征在于,所述网卡,还用于:
在通过所述控制面处理器核确定所述第一IP报文不需进行硬加密的情况下:发送所述第一IP报文。
10.如权利要求7所述的网络设备,其特征在于,所述网卡,还用于:
在通过所述控制面处理器核确定所述第一IP报文为不需进行加密的第一IP报文的情况下:所述网络设备通过网卡发送所述第一IP报文。
11.如权利要求7至10任一权利要求所述的网络设备,其特征在于,所述网络设备还包括:
用户面处理器核,用于获取第二IP报文;
所述硬件加密模块,还用于:在通过所述用户面处理器核确定所述第二IP报文需进行硬加密的情况下:为所述第二IP报文分配序列号,并进行硬加密,得到加密后第二IP报文;
所述网卡,还用于:发送所述加密后第二IP报文。
12.如权利要求7至10任一权利要求所述的网络设备,其特征在于,所述控制面处理器核,用于:
确定出预设的安全策略路由;其中,所述安全策略路由中包括至少一个IP地址;
在确定所述第一IP报文中的目的IP地址属于所述至少一个IP地址中的一个的情况下,确定所述第一IP报文为需进行加密的第一IP报文。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710021178.8A CN106790221B (zh) | 2017-01-11 | 2017-01-11 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
| PCT/CN2017/119487 WO2018130079A1 (zh) | 2017-01-11 | 2017-12-28 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710021178.8A CN106790221B (zh) | 2017-01-11 | 2017-01-11 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106790221A true CN106790221A (zh) | 2017-05-31 |
| CN106790221B CN106790221B (zh) | 2020-11-03 |
Family
ID=58949241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710021178.8A Active CN106790221B (zh) | 2017-01-11 | 2017-01-11 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106790221B (zh) |
| WO (1) | WO2018130079A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018130079A1 (zh) * | 2017-01-11 | 2018-07-19 | 京信通信***(中国)有限公司 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
| CN109714292A (zh) * | 2017-10-25 | 2019-05-03 | 华为技术有限公司 | 传输报文的方法与装置 |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN112015564A (zh) * | 2019-05-28 | 2020-12-01 | 普天信息技术有限公司 | 加解密处理方法及装置 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111049758B (zh) * | 2019-11-22 | 2022-12-09 | 东软集团股份有限公司 | 一种实现报文QoS处理的方法、***及设备 |
| CN112543197B (zh) * | 2020-12-04 | 2022-09-06 | 中船重工(武汉)凌久电子有限责任公司 | 一种xfrm框架下对ipsec实现硬件加解密的方法 |
| CN113422753B (zh) * | 2021-02-09 | 2023-06-13 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置、电子设备及计算机存储介质 |
| CN115378764B (zh) * | 2022-08-19 | 2024-04-05 | 山石网科通信技术股份有限公司 | 通信方法、装置、存储介质及电子装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030169877A1 (en) * | 2002-03-05 | 2003-09-11 | Liu Fang-Cheng | Pipelined engine for encryption/authentication in IPSEC |
| US7526641B2 (en) * | 2004-08-04 | 2009-04-28 | Panasonic Corporation | IPsec communication method, communication control apparatus, and network camera |
| CN102023935A (zh) * | 2009-09-22 | 2011-04-20 | 三星电子株式会社 | 具有密钥的数据存储设备及其方法 |
| CN102263794A (zh) * | 2011-08-25 | 2011-11-30 | 北京星网锐捷网络技术有限公司 | 安全性处理方法、装置及处理芯片、网络设备 |
| CN102968399A (zh) * | 2012-10-22 | 2013-03-13 | 华为技术有限公司 | 多核处理器及其管理网口的复用方法 |
| CN104468309A (zh) * | 2014-10-31 | 2015-03-25 | 成都卫士通信息产业股份有限公司 | 一种低速smp与高速密码卡的高效适配方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843235A (zh) * | 2012-09-06 | 2012-12-26 | 汉柏科技有限公司 | 一种报文加/解密方法 |
| US9992223B2 (en) * | 2015-03-20 | 2018-06-05 | Nxp Usa, Inc. | Flow-based anti-replay checking |
| CN106341404A (zh) * | 2016-09-09 | 2017-01-18 | 西安工程大学 | 基于众核处理器的IPSec VPN***及加解密处理方法 |
| CN106790221B (zh) * | 2017-01-11 | 2020-11-03 | 京信通信***(中国)有限公司 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
-
2017
- 2017-01-11 CN CN201710021178.8A patent/CN106790221B/zh active Active
- 2017-12-28 WO PCT/CN2017/119487 patent/WO2018130079A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030169877A1 (en) * | 2002-03-05 | 2003-09-11 | Liu Fang-Cheng | Pipelined engine for encryption/authentication in IPSEC |
| US7526641B2 (en) * | 2004-08-04 | 2009-04-28 | Panasonic Corporation | IPsec communication method, communication control apparatus, and network camera |
| CN102023935A (zh) * | 2009-09-22 | 2011-04-20 | 三星电子株式会社 | 具有密钥的数据存储设备及其方法 |
| CN102263794A (zh) * | 2011-08-25 | 2011-11-30 | 北京星网锐捷网络技术有限公司 | 安全性处理方法、装置及处理芯片、网络设备 |
| CN102968399A (zh) * | 2012-10-22 | 2013-03-13 | 华为技术有限公司 | 多核处理器及其管理网口的复用方法 |
| CN104468309A (zh) * | 2014-10-31 | 2015-03-25 | 成都卫士通信息产业股份有限公司 | 一种低速smp与高速密码卡的高效适配方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018130079A1 (zh) * | 2017-01-11 | 2018-07-19 | 京信通信***(中国)有限公司 | 一种英特网协议安全IPSec协议加密方法和网络设备 |
| CN109714292A (zh) * | 2017-10-25 | 2019-05-03 | 华为技术有限公司 | 传输报文的方法与装置 |
| CN109714292B (zh) * | 2017-10-25 | 2021-05-11 | 华为技术有限公司 | 传输报文的方法与装置 |
| CN112015564A (zh) * | 2019-05-28 | 2020-12-01 | 普天信息技术有限公司 | 加解密处理方法及装置 |
| CN112015564B (zh) * | 2019-05-28 | 2024-05-17 | 普天信息技术有限公司 | 加解密处理方法及装置 |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN111800436B (zh) * | 2020-07-29 | 2022-04-08 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018130079A1 (zh) | 2018-07-19 |
| CN106790221B (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106790221A (zh) | 一种英特网协议安全IPSec协议加密方法和网络设备 | |
| EP3603001B1 (en) | Hardware-accelerated payload filtering in secure communication | |
| US10841243B2 (en) | NIC with programmable pipeline | |
| CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
| JP6858749B2 (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
| US12028378B2 (en) | Secure communication session resumption in a service function chain preliminary class | |
| CN104601550B (zh) | 基于集群阵列的反向隔离文件传输***及其方法 | |
| US20210314214A1 (en) | IPSEC Acceleration Method, Apparatus, and System | |
| CN107342861A (zh) | 一种数据处理方法、装置及*** | |
| CN108964880A (zh) | 一种数据传输方法及装置 | |
| CN110535742A (zh) | 报文转发方法、装置、电子设备及机器可读存储介质 | |
| CN114499913B (zh) | 加密报文的检测方法及防护设备 | |
| US11005732B1 (en) | Methods for improved service chain classification and management and devices thereof | |
| CN109962913A (zh) | 基于安全套接层协议的代理服务器及代理方法 | |
| CN106656484B (zh) | 一种pci密码卡驱动***及其实现方法 | |
| CN106161224A (zh) | 数据交换方法、装置及设备 | |
| CN107819888A (zh) | 一种分配中继地址的方法、装置以及网元 | |
| CN115022012B (zh) | 一种数据传输方法、装置、***、设备及存储介质 | |
| CN109145620A (zh) | 数据流分流处理方法及装置 | |
| CN108462681B (zh) | 一种异构网络的通信方法、设备及*** | |
| CN114611129A (zh) | 一种数据隐私保护方法和*** | |
| CN107343001A (zh) | 数据处理方法及装置 | |
| CN107592294A (zh) | 数据上报方法及装置 | |
| CN106549955A (zh) | 一种实现数据通讯的方法及*** | |
| CN110581888A (zh) | 物联网终端安全会话的管理方法、网关和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180223 Address after: 510663 Shenzhou Road, Guangzhou Science City, Guangzhou, Guangzhou economic and Technological Development Zone, Guangdong Province, No. 10 Applicant after: Comba Telecom System (China) Co., Ltd. Applicant after: Comba Telecom Systems (Guangzhou) Co., Ltd. Applicant after: Jingxin Communication Technology (Guangzhou) Co., Ltd. Applicant after: TIANJIN COMBA TELECOM SYSTEMS CO., LTD. Address before: 510663 Guangdong city of Guangzhou Province Economic and Technological Development Zone Jinbi Road No. 6 Applicant before: Jingxin Communication Technology (Guangzhou) Co., Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200103 Address after: 510663 Shenzhou Road 10, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangzhou, Guangdong Applicant after: Jingxin Communication System (China) Co., Ltd. Address before: 510663 Shenzhou Road, Guangzhou Science City, Guangzhou, Guangzhou economic and Technological Development Zone, Guangdong Province, No. 10 Applicant before: Jingxin Communication System (China) Co., Ltd. Applicant before: Jingxin Communication System (Guangzhou) Co., Ltd. Applicant before: Jingxin Communication Technology (Guangzhou) Co., Ltd. Applicant before: TIANJIN COMBA TELECOM SYSTEMS CO., LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 510663 Shenzhou Road 10, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangzhou, Guangdong Patentee after: Jingxin Network System Co.,Ltd. Address before: 510663 Shenzhou Road 10, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangzhou, Guangdong Patentee before: Comba Telecom System (China) Ltd. |