【技術實現(xiàn)步驟摘要】
本專利技術涉及網(wǎng)絡通信,具體涉及一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法及裝置。
技術介紹
1、隨著網(wǎng)絡安全需求的不斷增長,ipsec(internetprotocol?security)已成為保護網(wǎng)絡通信的重要手段。
2、目前,傳統(tǒng)的ipsec實現(xiàn)通常依賴于cpu進行加解密操作,并通過操作系統(tǒng)內核協(xié)議棧處理數(shù)據(jù)包。然而,這種方法在高帶寬、低延遲的應用場景中逐漸暴露出以下顯著的不足:
3、一是數(shù)據(jù)包處理延遲且系統(tǒng)吞吐量低;操作系統(tǒng)內核協(xié)議棧的數(shù)據(jù)包處理引入了額外的上下文切換和系統(tǒng)調用開銷,導致較高的數(shù)據(jù)包處理延遲;cpu在處理大量加密/解密操作時,計算資源會被大量占用,影響整體系統(tǒng)的吞吐量。例如,在10gbps的網(wǎng)絡環(huán)境下,傳統(tǒng)cpu可能無法滿足實時處理的需求。
4、二是安全性較低;在cpu上執(zhí)行加解密操作可能會增加敏感數(shù)據(jù)暴露的風險,尤其是在多任務環(huán)境中,惡意軟件或未授權訪問可能導致密鑰泄露;cpu上的加解密操作容易受到側信道攻擊,如緩存攻擊和時間攻擊,這些攻擊可以利用cpu的微架構特性來竊取密鑰信息。
5、三是可擴展性差;隨著網(wǎng)絡帶寬的不斷提高,傳統(tǒng)cpu的處理能力逐漸成為瓶頸,而升級cpu的成本較高且效果有限。
6、四是能耗較高;cpu在處理大量加密/解密操作時,功耗較高,特別是在數(shù)據(jù)中心等大規(guī)模應用中,能耗問題尤為突出。
7、因此,如何專利技術一種高速ipsec網(wǎng)關優(yōu)化方法,解決ipsec網(wǎng)關設備在高帶寬、低延遲的應用場景中存在明顯
技術實現(xiàn)思路
1、為此,本專利技術提供一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法及裝置,通過結合vpp和fpga技術,解決了現(xiàn)有ipsec網(wǎng)關設備在高帶寬、低延遲應用場景中的性能瓶頸和安全性問題,提供了高效、安全的數(shù)據(jù)加密和解密解決方案。
2、為了實現(xiàn)上述目的,本專利技術提供如下技術方案:一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法,包括:
3、數(shù)據(jù)包通過物理網(wǎng)絡接口傳遞到cpu,cpu中的vpp處理模塊從網(wǎng)卡驅動程序接收到所述數(shù)據(jù)包,并對所述數(shù)據(jù)包進行初步處理;所述vpp處理模塊根據(jù)設定規(guī)則,從初步處理后的所述數(shù)據(jù)包中識別出ipsec處理的數(shù)據(jù)流,形成目標數(shù)據(jù)包;所述vpp處理模塊根據(jù)所述目標數(shù)據(jù)包的安全策略匹配結果,觸發(fā)ike守護進程,進行ike協(xié)商;通過所述ike協(xié)商創(chuàng)建數(shù)據(jù)傳輸安全關聯(lián);所述vpp處理模塊對需要加解密的所述目標數(shù)據(jù)包進行預處理,并將預處理后的所述目標數(shù)據(jù)包通過萬兆網(wǎng)卡芯片/pcie通道傳遞至fpga;
4、fpga根據(jù)接收到的所述目標數(shù)據(jù)包的類型,通過設定加解密算法進行加解密處理;fpga將完成加解密處理的所述目標數(shù)據(jù)包返回cpu;
5、cpu根據(jù)所述目標數(shù)據(jù)包的分片狀態(tài),對所述目標數(shù)據(jù)包進行重組處理;cpu將重組處理后的所述目標數(shù)據(jù)包轉發(fā)至應用程序進行后續(xù)處理。
6、作為一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法的優(yōu)選方案,在所述vpp處理模塊對所述數(shù)據(jù)包進行初步處理的過程中,所述初步處理包括分類和過濾處理。
7、作為一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法的優(yōu)選方案,在所述vpp處理模塊進行ike協(xié)商的過程中,ike協(xié)商過程包括第一ike協(xié)商階段和第二ike協(xié)商階段;
8、在所述第一ike協(xié)商階段中,ipsec網(wǎng)關設備與外部通信設備通過預共享密鑰、數(shù)字證書進行身份驗證,互相認證對方的身份;身份認證完成后,通過設定密鑰交換策略生成共享密鑰;所述vpp處理模塊創(chuàng)建保護通信安全關聯(lián);
9、在所述第二ike協(xié)商階段中,所述vpp處理模塊根據(jù)所述通信安全關聯(lián)構建數(shù)據(jù)傳輸安全關聯(lián);所述vpp處理模塊將所述數(shù)據(jù)傳輸安全關聯(lián)中的密鑰材料分發(fā)給ipsec模塊。
10、作為一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法的優(yōu)選方案,在fpga根據(jù)接收到的所述目標數(shù)據(jù)包的類型,通過設定加解密算法進行加解密處理的過程中,若所述目標數(shù)據(jù)包為出站數(shù)據(jù)包,則fpga使用esp/ah協(xié)議中設定加密算法對所述目標數(shù)據(jù)包進行加密;若所述目標數(shù)據(jù)包為入站數(shù)據(jù)包,則fpga使用esp/ah協(xié)議中設定解密算法對所述目標數(shù)據(jù)包進行解密。
11、作為一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法的優(yōu)選方案,在cpu根據(jù)所述目標數(shù)據(jù)包的分片狀態(tài),對所述目標數(shù)據(jù)包進行重組處理的過程中,若所述目標數(shù)據(jù)包在進行加解密處理之前進行過分片處理,則cpu對所述目標數(shù)據(jù)包進行重組處理;若所述目標數(shù)據(jù)包在進行加解密處理之前未進行過分片處理,則cpu將所述目標數(shù)據(jù)包進行轉發(fā)處理。
12、本專利技術還提供一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化裝置,基于以上一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法,包括:
13、cpu處理單元,用于數(shù)據(jù)包通過物理網(wǎng)絡接口傳遞到cpu,cpu中的vpp處理模塊從網(wǎng)卡驅動程序接收到所述數(shù)據(jù)包,并對所述數(shù)據(jù)包進行初步處理;所述vpp處理模塊根據(jù)設定規(guī)則,從初步處理后的所述數(shù)據(jù)包中識別出ipsec處理的數(shù)據(jù)流,形成目標數(shù)據(jù)包;所述vpp處理模塊根據(jù)所述目標數(shù)據(jù)包的安全策略匹配結果,觸發(fā)ike守護進程,進行ike協(xié)商;通過所述ike協(xié)商創(chuàng)建數(shù)據(jù)傳輸安全關聯(lián);所述vpp處理模塊對需要加解密的所述目標數(shù)據(jù)包進行預處理,并將預處理后的所述目標數(shù)據(jù)包通過萬兆網(wǎng)卡芯片/pcie通道傳遞至fpga;cpu接收到完成加解密處理的所述目標數(shù)據(jù)包后,根據(jù)所述目標數(shù)據(jù)包的分片狀態(tài),對所述目標數(shù)據(jù)包進行重組處理;cpu將重組處理后的所述目標數(shù)據(jù)包轉發(fā)至應用程序進行后續(xù)處理;
14、fpga處理單元,用于fpga根據(jù)接收到的所述目標數(shù)據(jù)包的類型,通過設定加解密算法進行加解密處理;fpga將完成加解密處理的所述目標數(shù)據(jù)包返回cpu。
15、作為一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化裝置的優(yōu)選方案,所述cpu處理單元中,在所述vpp處理模塊對所述數(shù)據(jù)包進行初步處理的過程中,所述初步處理包括分類和過濾處理。
16、作為一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化裝置的優(yōu)選方案,所述cpu處理單元中,在所述vpp處理模塊進行ike協(xié)商的過程中,ike協(xié)商過程包括第一ike協(xié)商階段和第二ike協(xié)商階段;
17、在所述第一ike協(xié)商階段中,ipsec網(wǎng)關設備與外部通信設備通過預共享密鑰、數(shù)字證書進行身份驗證,互相認證對方的身份;身份認證完成后,通過設定密鑰交換策略生成共享密鑰;所述vpp處理模塊創(chuàng)建保護通信安全關聯(lián);
18、在所述第二ike協(xié)商階段中,所述vpp處理模塊根據(jù)所述通信安全關聯(lián)構建數(shù)據(jù)傳輸安全關聯(lián);所述vpp處理模塊將所述數(shù)據(jù)傳輸安本文檔來自技高網(wǎng)...
【技術保護點】
1.一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化方法,其特征在于,包括:
2.根據(jù)權利要求1所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化方法,其特征在于,在所述VPP處理模塊對所述數(shù)據(jù)包進行初步處理的過程中,所述初步處理包括分類和過濾處理。
3.根據(jù)權利要求2所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化方法,其特征在于,在所述VPP處理模塊進行IKE協(xié)商的過程中,IKE協(xié)商過程包括第一IKE協(xié)商階段和第二IKE協(xié)商階段;
4.根據(jù)權利要求3所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化方法,其特征在于,在FPGA根據(jù)接收到的所述目標數(shù)據(jù)包的類型,通過設定加解密算法進行加解密處理的過程中,若所述目標數(shù)據(jù)包為出站數(shù)據(jù)包,則FPGA使用ESP/AH協(xié)議中設定加密算法對所述目標數(shù)據(jù)包進行加密;若所述目標數(shù)據(jù)包為入站數(shù)據(jù)包,則FPGA使用ESP/AH協(xié)議中設定解密算法對所述目標數(shù)據(jù)包進行解密。
5.根據(jù)權利要求4所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化方法,其特征在于
6.一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化裝置,采用權利要求1-5任一項所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化方法,其特征在于,包括:
7.根據(jù)權利要求6所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化裝置,其特征在于,所述CPU處理單元中,在所述VPP處理模塊對所述數(shù)據(jù)包進行初步處理的過程中,所述初步處理包括分類和過濾處理。
8.根據(jù)權利要求7所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化裝置,其特征在于,所述CPU處理單元中,在所述VPP處理模塊進行IKE協(xié)商的過程中,IKE協(xié)商過程包括第一IKE協(xié)商階段和第二IKE協(xié)商階段;
9.根據(jù)權利要求8所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化裝置,其特征在于,所述FPGA處理單元中,在FPGA根據(jù)接收到的所述目標數(shù)據(jù)包的類型,通過設定加解密算法進行加解密處理的過程中,若所述目標數(shù)據(jù)包為出站數(shù)據(jù)包,則FPGA使用ESP/AH協(xié)議中設定加密算法對所述目標數(shù)據(jù)包進行加密;若所述目標數(shù)據(jù)包為入站數(shù)據(jù)包,則FPGA使用ESP/AH協(xié)議中設定解密算法對所述目標數(shù)據(jù)包進行解密。
10.根據(jù)權利要求9所述的一種基于VPP與FPGA相結合的高速IPSec網(wǎng)關優(yōu)化裝置,其特征在于,所述CPU處理單元中,在CPU根據(jù)所述目標數(shù)據(jù)包的分片狀態(tài),對所述目標數(shù)據(jù)包進行重組處理的過程中,若所述目標數(shù)據(jù)包在進行加解密處理之前進行過分片處理,則CPU對所述目標數(shù)據(jù)包進行重組處理;若所述目標數(shù)據(jù)包在進行加解密處理之前未進行過分片處理,則CPU將所述目標數(shù)據(jù)包進行轉發(fā)處理。
...【技術特征摘要】
1.一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法,其特征在于,包括:
2.根據(jù)權利要求1所述的一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法,其特征在于,在所述vpp處理模塊對所述數(shù)據(jù)包進行初步處理的過程中,所述初步處理包括分類和過濾處理。
3.根據(jù)權利要求2所述的一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法,其特征在于,在所述vpp處理模塊進行ike協(xié)商的過程中,ike協(xié)商過程包括第一ike協(xié)商階段和第二ike協(xié)商階段;
4.根據(jù)權利要求3所述的一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法,其特征在于,在fpga根據(jù)接收到的所述目標數(shù)據(jù)包的類型,通過設定加解密算法進行加解密處理的過程中,若所述目標數(shù)據(jù)包為出站數(shù)據(jù)包,則fpga使用esp/ah協(xié)議中設定加密算法對所述目標數(shù)據(jù)包進行加密;若所述目標數(shù)據(jù)包為入站數(shù)據(jù)包,則fpga使用esp/ah協(xié)議中設定解密算法對所述目標數(shù)據(jù)包進行解密。
5.根據(jù)權利要求4所述的一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化方法,其特征在于,在cpu根據(jù)所述目標數(shù)據(jù)包的分片狀態(tài),對所述目標數(shù)據(jù)包進行重組處理的過程中,若所述目標數(shù)據(jù)包在進行加解密處理之前進行過分片處理,則cpu對所述目標數(shù)據(jù)包進行重組處理;若所述目標數(shù)據(jù)包在進行加解密處理之前未進行過分片處理,則cpu將所述目標數(shù)據(jù)包進行轉發(fā)處理。
6.一種基于vpp與fpga相結合的高速ipsec網(wǎng)關優(yōu)化裝置,采用權利要求1-5任...
【專利技術屬性】
技術研發(fā)人員:董瀅綱,毛長芳,汪海洋,郟暉,王彤,
申請(專利權)人:江蘇新質信息科技有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。