CN117201232A - 一种高性能IPSec VPN方法 - Google Patents
一种高性能IPSec VPN方法 Download PDFInfo
- Publication number
- CN117201232A CN117201232A CN202311146752.4A CN202311146752A CN117201232A CN 117201232 A CN117201232 A CN 117201232A CN 202311146752 A CN202311146752 A CN 202311146752A CN 117201232 A CN117201232 A CN 117201232A
- Authority
- CN
- China
- Prior art keywords
- data packet
- ipsec vpn
- encryption
- performance
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000004891 communication Methods 0.000 claims abstract description 18
- 230000007246 mechanism Effects 0.000 claims abstract description 5
- 238000012545 processing Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种高性能IPSec VPN方法,涉及互联网通讯技术领域,该高性能IPSec VPN方法包括以下步骤:步骤一、业务机与对方通信发包,触发IPSec VPN协商机制;步骤二、操作***中运行的IKE模块生成协商数据包与对面IPSec VPN进行协商通信;步骤三、协商完成后生成工作密钥并下发至加密网卡中;步骤四、加密网卡对业务机发出的明文数据进行加密后封包发出;步骤五、对面IPSec VPN收到密文数据包后利用工作密钥进行解密并发出;步骤六、对面业务机收到明文业务数据包则完成一次通信。本发明针对传统IPSec VPN实现方式进行了改进,利用高性能加解密芯片及MPE芯片,将IPSec VPN加密流卸载至卡内实现,跳过内核转发,用较低成本方式实现高性能IPSec。
Description
技术领域
本发明涉及互联网通讯技术领域,具体涉及一种高性能IPSec VPN方法。
背景技术
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force(IETF)定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务,IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准,VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网,VPN用户访问内网资源还需为拨入到UTM25的用户分配一个虚拟的私有IP,使SSL VPN客户端的用户可以像局域网用户一样能正常访问局域网内的资源。导入IPSEC协议原因有两个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据,IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能,另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的互连通,IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
传统IPSec VPN一般利用linux开源内核组件实现,但对于通用性linux操作***内核部分对ip数据包转发性能有限,很难实现高性能IPSec VPN;另一种高性能IPSec VPN则利用数据平面开发套件(DPDK,Data Plane Development Kit)实现,但该方式技术门槛较高,前期研发成本较高。
发明内容
本发明提供一种高性能IPSec VPN方法,以解决上述背景技术中提出的问题。
为解决上述技术问题,本发明所采用的技术方案是:
一种高性能IPSec VPN方法,该高性能IPSec VPN方法包括以下步骤:
步骤一、业务机与对方通信发包,触发IPSec VPN协商机制;
步骤二、操作***中运行的IKE模块生成协商数据包与对面IPSec VPN进行协商通信;
步骤三、协商完成后生成工作密钥并下发至加密网卡中;
步骤四、加密网卡对业务机发出的明文数据进行加密后封包发出;
步骤五、对面IPSec VPN收到密文数据包后利用工作密钥进行解密并发出;
步骤六、对面业务机收到明文业务数据包则完成一次通信。
本发明技术方案的进一步改进在于:所述IPSec VPN(隧道模式)根据数据包形式,分为IKE和ESP两个阶段,IKE阶段主要用于双方设备的密钥协商,ESP阶段则是利用协商出来的密钥对数据包进行加密通信。
本发明技术方案的进一步改进在于:所述IKE阶段不会影响业务数据流量,而ESP阶段则与IPSec整体吞吐率紧密相关,密码设备的加解密速率、网络数据包的转发性能都直接影响IPSec的吞吐率,将密码设备集成到网卡设备中,利用密码芯片的高性能加解密算法直接对数据包进行加解密操作,运算完成后直接从网卡转发至目标机器。
本发明技术方案的进一步改进在于:只有所述IKE阶段需要操作***干预处理,其他业务数据流加解密直接由网卡完成。
本发明技术方案的进一步改进在于:所述步骤三中还包括以下步骤:利用密码芯片的高性能加解密算法直接对数据包进行加解密操作,运算完成后直接从网卡转发至目标机器,省去操作***冗余的协议栈处理。
本发明技术方案的进一步改进在于:所述步骤六中还包括以下步骤:明文数据包收到后仅需要穿过加密网卡,即可实现数据包的加解密及解包封包操作,全部操作仅在同一硬件部件内实现,无需外部数据流转。
由于采用了上述技术方案,本发明相对现有技术来说,取得的技术进步是:
1、本发明提供一种高性能IPSec VPN方法,针对传统IPSec VPN实现方式进行了改进,利用高性能加解密芯片及MPE芯片,将IPSec VPN加密流卸载至卡内实现,跳过内核转发,用较低成本方式实现高性能IPSec。
2、本发明提供一种高性能IPSec VPN方法,通过将密码设备集成到网卡设备中,利用密码芯片的高性能加解密算法直接对数据包进行加解密操作,运算完成后直接从网卡转发至目标机器,省去操作***冗余的协议栈处理,大幅提升了IPSec转发性能。
3、本发明提供一种高性能IPSec VPN方法,本方法的整个过程中,只有IKE阶段需要操作***干预处理,其他业务数据流加解密直接由网卡完成,大幅提升了传输效率。
4、本发明提供一种高性能IPSec VPN方法,本方法明文数据包收到后仅需要穿过加密网卡,即可实现数据包的加解密及解包封包操作,全部操作仅在同一硬件部件内实现,无需外部数据流转,效率较高,极大提升了IPSec VPN整体吞吐性能。
附图说明
图1为本发明的IPSec VPN实施方法流程框图;
图2为本发明的数据包流向框图;
图3为传统IPSec VPN数据流向框图。
具体实施方式
下面结合实施例对本发明做进一步详细说明:
实施例1
如图1-2所示,本发明提供了一种高性能IPSec VPN方法,该高性能IPSec VPN方法包括以下步骤:
步骤一、业务机与对方通信发包,触发IPSec VPN协商机制;
步骤二、操作***中运行的IKE模块生成协商数据包与对面IPSec VPN进行协商通信;
步骤三、协商完成后生成工作密钥并下发至加密网卡中;
步骤四、加密网卡对业务机发出的明文数据进行加密后封包发出,业务机是一种专门用于业务联络和信息传递的移动电话设备,也被称作“对讲机”或“双向无线电通信设备”,它是一种通过无线电信号进行通信的设备,可以实现不同距离内的通话和数据传输;
步骤五、对面IPSec VPN收到密文数据包后利用工作密钥进行解密并发出,密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数,密钥分为对称密钥与非对称密钥,对称密钥加密,又称私钥加密或会话密钥加密算法,即信息的发送方和接收方使用同一个密钥去加密和解密数据,非对称密钥加密***,又称公钥密钥加密,它需要使用不同的密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥;
步骤六、对面业务机收到明文业务数据包则完成一次通信,本方法针对传统IPSecVPN实现方式进行了改进,利用高性能加解密芯片及MPE芯片,将IPSec VPN加密流卸载至卡内实现,跳过内核转发,用较低成本方式实现高性能IPSec。
实施例2
如图1-2所示,在实施例1的基础上,本发明提供一种技术方案:优选的,IPSec VPN(隧道模式)根据数据包形式,分为IKE和ESP两个阶段,IKE阶段主要用于双方设备的密钥协商,ESP阶段则是利用协商出来的密钥对数据包进行加密通信,IKE阶段不会影响业务数据流量,而ESP阶段则与IPSec整体吞吐率紧密相关,密码设备的加解密速率、网络数据包的转发性能都直接影响IPSec的吞吐率,将密码设备集成到网卡设备中,网卡是一块被设计用来允许计算机在计算机网络上进行通讯的计算机硬件,由于其拥有MAC地址,因此属于OSI模型的第1层和2层之间,它使得用户可以通过电缆或无线相互连接,每一个网卡都有一个被称为MAC地址的独一无二的48位串行号,它被写在卡上的一块ROM中,在网络上的每一个计算机都必须拥有一个独一无二的MAC地址,利用密码芯片的高性能加解密算法直接对数据包进行加解密操作,运算完成后直接从网卡转发至目标机器,只有IKE阶段需要操作***干预处理,其他业务数据流加解密直接由网卡完成,由此设计,可大幅度提升传输效率,使用IPSec隧道模式时,IPSec对IP报头和有效负载进行加密,而传输模式只对IP有效负载进行加密,通过将其当作AH或ES有效负载,隧道模式提供对整个IP数据包的保护,使用隧道模式时,会通过AH或ESP报头与其他IP报头来封装整个IP数据包,外部IP报头的IP地址是隧道终结点,封装的IP报头的IP地址是最终源地址与目标地址。
实施例3
如图1-2所示,在实施例1的基础上,本发明提供一种技术方案:优选的,步骤三中还包括以下步骤:利用密码芯片的高性能加解密算法直接对数据包进行加解密操作,运算完成后直接从网卡转发至目标机器,省去操作***冗余的协议栈处理,由此设计,可大幅度提升IPSec的转发性能,芯片密码***的硬件包括集成的EMV认证的读卡器、密码输入装置、EMV(Europay、Mastercard和Visa)移动装置,此外还需要相应的软件服务、软件和硬件集成和技术支持,与非常容易被盗用的磁条卡相比,芯片密码卡更加安全,数据包是TCP/IP协议通信传输中的数据单位,数据包是指在包交换网络里,单个消息被划分为多个数据块,这些数据块称为包,它包含发送者和接收者的地址信息,这些包然后沿着不同的路径在一个或多个网络中传输,并且在目的地重新组合。
实施例4
如图1-2所示,在实施例1的基础上,本发明提供一种技术方案:优选的,步骤六中还包括以下步骤:明文数据包收到后仅需要穿过加密网卡,即可实现数据包的加解密及解包封包操作,明文在通信***中它可能是比特流,如文本、位图、数字化的语音或者数字化的视频图像等,一般可以简单地认为明文是有意义的字符或比特集,或通过某种公开的编码标准就能获得的消息,经过某个加密算法进行作用,将作用后的文字称为密文,对密文来说,若想得到明文,就应通过与加密算法对应的解密算法进行解密,恢复出明文,全部操作仅在同一硬件部件内实现,无需外部数据流转,传统IPSec VPN数据流向如图3所示,需反复几次进出内核协议栈,并与外部密码卡进行加解密通信,效率低下,制约IPSec整体吞吐性能,本方法中数据包流向如图2所示,明文数据包收到后仅需要穿过加密网卡,即可实现数据包的加解密及解包封包操作,全部操作仅在同一硬件部件内实现,无需外部数据流转,效率较高,极大提升了IPSec VPN整体吞吐性能。
上文一般性的对本发明做了详尽的描述,但在本发明基础上,可以对之做一些修改或改进,这对于技术领域的一般技术人员是显而易见的。因此,在不脱离本发明思想精神的修改或改进,均在本发明的保护范围之内。
Claims (6)
1.一种高性能IPSec VPN方法,其特征在于:该高性能IPSec VPN方法包括以下步骤:
步骤一、业务机与对方通信发包,触发IPSec VPN协商机制;
步骤二、操作***中运行的IKE模块生成协商数据包与对面IPSec VPN进行协商通信;
步骤三、协商完成后生成工作密钥并下发至加密网卡中;
步骤四、加密网卡对业务机发出的明文数据进行加密后封包发出;
步骤五、对面IPSec VPN收到密文数据包后利用工作密钥进行解密并发出;
步骤六、对面业务机收到明文业务数据包则完成一次通信。
2.根据权利要求1所述的一种高性能IPSec VPN方法,其特征在于:所述IPSec VPN(隧道模式)根据数据包形式,分为IKE和ESP两个阶段,IKE阶段主要用于双方设备的密钥协商,ESP阶段则是利用协商出来的密钥对数据包进行加密通信。
3.根据权利要求2所述的一种高性能IPSec VPN方法,其特征在于:所述IKE阶段不会影响业务数据流量,而ESP阶段则与IPSec整体吞吐率紧密相关,密码设备的加解密速率、网络数据包的转发性能都直接影响IPSec的吞吐率,将密码设备集成到网卡设备中,利用密码芯片的高性能加解密算法直接对数据包进行加解密操作,运算完成后直接从网卡转发至目标机器。
4.根据权利要求2所述的一种高性能IPSec VPN方法,其特征在于:只有所述IKE阶段需要操作***干预处理,其他业务数据流加解密直接由网卡完成。
5.根据权利要求1所述的一种高性能IPSec VPN方法,其特征在于:所述步骤三中还包括以下步骤:利用密码芯片的高性能加解密算法直接对数据包进行加解密操作,运算完成后直接从网卡转发至目标机器,省去操作***冗余的协议栈处理。
6.根据权利要求1所述的一种高性能IPSec VPN方法,其特征在于:所述步骤六中还包括以下步骤:明文数据包收到后仅需要穿过加密网卡,即可实现数据包的加解密及解包封包操作,全部操作仅在同一硬件部件内实现,无需外部数据流转。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311146752.4A CN117201232A (zh) | 2023-09-06 | 2023-09-06 | 一种高性能IPSec VPN方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311146752.4A CN117201232A (zh) | 2023-09-06 | 2023-09-06 | 一种高性能IPSec VPN方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117201232A true CN117201232A (zh) | 2023-12-08 |
Family
ID=88988112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311146752.4A Pending CN117201232A (zh) | 2023-09-06 | 2023-09-06 | 一种高性能IPSec VPN方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117201232A (zh) |
-
2023
- 2023-09-06 CN CN202311146752.4A patent/CN117201232A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8775790B2 (en) | System and method for providing secure network communications | |
| US7028186B1 (en) | Key management methods for wireless LANs | |
| EP1334600B1 (en) | Securing voice over ip traffic | |
| US7386723B2 (en) | Method, apparatus and system for compressing IPSec-protected IP packets | |
| US20090182668A1 (en) | Method and apparatus to enable lawful intercept of encrypted traffic | |
| EP1953954B1 (en) | Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods | |
| CN110266725B (zh) | 密码安全隔离模块及移动办公安全*** | |
| EP1374533A2 (en) | Facilitating legal interception of ip connections | |
| CN113747434B (zh) | 一种基于IPSec的移动通信安全通信方法及装置 | |
| CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
| CN108966217B (zh) | 一种保密通信方法、移动终端及保密网关 | |
| US7564976B2 (en) | System and method for performing security operations on network data | |
| JP5002830B2 (ja) | 通信モジュール、通信方法、通信プログラム、通信端末、および通信制御装置 | |
| CN117201232A (zh) | 一种高性能IPSec VPN方法 | |
| JP3466204B2 (ja) | 強化変換を使用する強化cmea用の方法および装置 | |
| JP2003244194A (ja) | データ暗号装置及び暗号通信処理方法及びデータ中継装置 | |
| CN113746861A (zh) | 基于国密技术的数据传输加密、解密方法及加解密*** | |
| AU2010245117A1 (en) | Method and apparatus for secure packet transmission | |
| Yeun et al. | Practical implementations for securing voip enabled mobile devices | |
| US7822017B2 (en) | Secure voice signaling gateway | |
| CN112333204B (zh) | 基于tcp ip协议乱序特征码的5g网络传输保密装置 | |
| EP4346255A1 (en) | Encrypted satellite communications | |
| CN117640235A (zh) | 基于IPsec和量子密钥的双重加密方法、加密网关 | |
| CN116938642A (zh) | 一种高性能边缘安全网关实现方法 | |
| CN117062056A (zh) | 一种基于ipsec技术的5g网络业务数据端到端加密方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |