一种英特网协议安全IPSec协议加密方法和网络设备技术

本发明专利技术实施例涉及通信技术领域，尤其涉及一种英特网协议安全IPSec协议加密方法和网络设备，用于有效解决现有技术中多核异构网络设备发送的IP报文序列号无法保序的问题。网络设备通过控制面处理器核获取第一IP报文；网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且网络设备在根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网络设备通过网卡发送加密后第一IP报文；进而有效解决现有技术中多核异构网络设备发送的IP报文序列号不保序的问题。

Internet Protocol Security IPSec protocol encryption method and network device

The embodiment of the invention relates to the field of communication technology, especially relates to an internet protocol security IPSec protocol encryption method and network equipment for IP packet sequence number to effectively solve the existing technology in heterogeneous multi-core network equipment can not send order preserving problems. Network equipment through the control plane processor gets the first IP message; network equipment in determining by nuclear control plane processor of the first IP message for the first IP messages encrypted case, and network equipment in the first IP message is determined according to the required hardware encryption first IP message under the condition of network equipment through hardware encryption module for the first IP message distribution sequence, and hard encryption, encrypted after the first IP message; network equipment through the network card to send encrypted first IP message; IP message sequence number and effectively solve the existing technology in heterogeneous multi-core network equipment to send the rank problem.

【技术实现步骤摘要】
一种英特网协议安全IPSec协议加密方法和网络设备
本专利技术实施例涉及通信领域，尤其涉及一种英特网协议安全IPSec协议加密方法和网络设备。
技术介绍
网络越来越普遍，随之而来的网络安全问题备受关注，例如客户端遭受的重播攻击：发送端向接收端发送了一个网络之间互连的协议(InternetProtocol，简称IP)报文，若该IP报文被恶意用户捕获，恶意用户向接收端在重复发送该IP报文，造成网络应用会受到不断重播的数据包的轰炸。英特网协议安全(InternetProtocolSecurity，简称IPSec)协议的出现解决了这个问题，IPSec协议中定义了一个序列号(SequenceNumber，简称SN)字段，用于记录该IP报文的序列号，任何发送端在必须保证同一组SA信息下，发送报文时SN是唯一的，例如，接收端接收了序列号为5的IP报文，当再次接收到序列号为5的IP报文时，拒绝接收该重复发送的报文。现有技术中，单核设备单个转发线程时，报文按照序列串行依次封装、发送，接收端收到的IPSec封装报文的序列号不会出现乱序情况。对于多核异构网络设备，例如，即数字信号处理(DigitalSignalProcess，简称DSP)技术+进阶精简指令集机器(AdvancedReducedInstructionSetComputerMachine，简称ARM)、DSP+精简指令集架构的中央处理器(PerformanceOptimizationWithEnhancedRISC-PerformanceComputing，简称POWERPC)等多核异构的集成芯片中，通常使用DSP作业务处理，使用POWERPC或ARM核运行Linux操作系统作为控制业务；对于POWERPC或ARM核处理的控制面数据，通常采用集成芯片的中央处理器(CentralProcessingUnit，简称CPU)核运行软件加密程序进行加密，而DSP核处理的用户面数据通常采用硬加密模块进行加密。由于多核异构网络设备在处理数据时多个线程并行处理报文，发送IP报文时是在不同的加密模块进行加密的，容易导致接收端收到的IPSec协议封装的IP报文的序列号出现乱序，容易导致该IP报文被认定为重放报文，而被错误的丢弃。现有技术中，为了解决多核异构网络设备中IP报文的序列号不保序的问题，采用在多核异构网络设备中进行多核之间共享内存，但是异构CPU之间的同步和互斥的额外处理非常麻烦，加大了程序设计的复杂度。因此，亟需一种IPSec加密的方法，以有效解决现有技术中多核异构网络设备发送的IP报文序列号不保序的问题。
技术实现思路
本专利技术实施例提供一种英特网协议安全IPSec协议加密方法和网络设备，用于有效解决现有技术中多核异构网络设备发送的IP报文序列号无法保序的问题。本专利技术实施例提供一种英特网协议安全IPSec协议加密方法，适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备，该方法包括：网络设备通过控制面处理器核获取第一IP报文；网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且网络设备在根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网络设备通过网卡发送加密后第一IP报文。本专利技术实施例提供一种用于英特网协议安全IPSec协议加密的网络设备，包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核，该网络设备包括：控制面处理器核，用于获取第一IP报文；硬件加密模块，用于在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且在通过控制面处理器核确定第一IP报文需进行硬加密的情况下：为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网卡，用于发送加密后第一IP报文。本专利技术实施例中，由于网络设备通过控制面处理器核获取第一IP报文；网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网络设备通过网卡发送加密后第一IP报文。可见，本专利技术实施例中，对需进行加密的报文进行进一步的处理，将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密，也就是说，本专利技术实施例中仅通过一个加密模块对报文进行加密，如此，本专利技术实施例中可保证报文的序列号保序的目的，避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍。图1为本专利技术实施例提供的一种英特网协议安全IPSec协议加密系统的架构示意图；图2为本专利技术实施例提供的一种英特网协议安全IPSec协议加密方法的流程示意图；图3为本专利技术实施例提供的在另一种英特网协议安全IPSec协议加密方法的流程示意图；图4为本专利技术实施例提供的一种用于英特网协议安全IPSec协议加密的网络设备的结构示意图。具体实施方式为了使本专利技术的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。图1示例性示出了本专利技术实施例适用的一种英特网协议安全IPSec协议加密系统架构示意图，该系统架构适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备；如图1所示，该系统架构100包括控制面处理器核110、用户面处理器核120、硬件加密模块130和网卡140；控制面处理器核110包括网络协议栈111、网卡驱动112；网络协议栈111连接网卡驱动112；可选地，控制面处理器核110可连接用户面处理器核120，也可以连接网卡140；进一步地，控制面处理器核110可以通过网卡驱动112连接用户面处理器核120，也可以通过网卡驱动112连接网卡140；可选地，用户面处理器核120连接硬件加密模块130，也可以连接网卡140；硬件加密模块130连接网卡140；其中，控制面处理器核110用于处理控制面数据，用户面处理器核120用于处理用户面数据。可选地，控制面处理器核110可以为POWERPC核，也可以为ARM核；可选地，用户面处理器核120可以为DSP核。本专利技术实施例中，一方面，控制面处理器核110中的网络协议栈111处理控制面数据得到的第一IP报文，通过网卡驱动112确定第一IP报文是否需要加密，通过核间通信技术将需要进行加密的第一IP报文发送至用户面处理器核120，再通过用户面处理器核120发送至硬件加密模块130进行加密并分配序列号，之后通过网卡140将加密后第一IP报文发送出去；另一方面，用户面处理器核120处理的用户面数据得到的第二IP报文，发送至硬件加密模块130进行加密并分配序列号，之后通过网卡140将加密后第一IP报文发送出去。图2示例性示出了本发本文档来自技高网...

【技术保护点】
一种英特网协议安全IPSec协议加密方法，其特征在于，适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备，所述方法包括：网络设备通过所述控制面处理器核获取第一IP报文；所述网络设备在通过所述控制面处理器核确定所述第一IP报文为需进行加密的第一IP报文的情况下：所述网络设备在根据所述第一IP报文的信息确定所述第一IP报文需进行硬加密的情况下：所述网络设备通过所述硬件加密模块为所述第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；所述网络设备通过网卡发送所述加密后第一IP报文。

【技术特征摘要】
1.一种英特网协议安全IPSec协议加密方法，其特征在于，适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备，所述方法包括：网络设备通过所述控制面处理器核获取第一IP报文；所述网络设备在通过所述控制面处理器核确定所述第一IP报文为需进行加密的第一IP报文的情况下：所述网络设备在根据所述第一IP报文的信息确定所述第一IP报文需进行硬加密的情况下：所述网络设备通过所述硬件加密模块为所述第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；所述网络设备通过网卡发送所述加密后第一IP报文。2.如权利要求1所述的方法，其特征在于，所述网络设备根据所述第一IP报文的信息确定所述第一IP报文需进行硬加密，包括：所述网络设备在确定所述第一IP报文为隧道模式的情况下，且确定所述第一IP报文中的源IP地址为基于IPSec协议进行协商的IP地址，则确定所述第一IP报文需进行硬加密；所述网络设备在确定所述第一IP报文为传输模式的情况下，获取云端服务器中预设的处于保护状态的IP地址集合，在确定所述第一IP报文中的目的IP地址为所述IP地址集合中的一个的情况下，确定所述第一IP报文需进行硬加密。3.如权利要求1所述的方法，其特征在于，所述网络设备在确定所述第一IP报文为需进行加密的第一IP报文的情况之后，还包括：所述网络设备在根据所述第一IP报文的信息确定所述第一IP报文不需进行硬加密的情况下：所述网络设备通过所述网卡发送所述第一IP报文。4.如权利要求1所述的方法，其特征在于，所述网络设备通过所述控制面处理器核获取第一IP报文之后，还包括：所述网络设备在通过所述控制面处理器核确定所述第一IP报文为不需进行加密的第一IP报文的情况下：所述网络设备通过网卡发送所述第一IP报文。5.如权利要求1至4任一权利要求所述的方法，其特征在于，所述方法还包括：所述网络设备通过所述用户面处理器核获取第二IP报文；所述网络设备在根据所述第二IP报文的信息确定所述第二IP报文需进行硬加密的情况下：所述网络设备通过所述硬件加密模块为所述第二IP报文分配序列号，并进行硬加密，得到加密后第二IP报文；所述网络设备通过网卡发送所述加密后第二IP报文。6.如权利要求1至4任一权利要求所述的方法，其特征在于，所述通过控制面处理器核确定所述第一IP报文为需进行加密的第一IP报文，包括：所述网络设备确定出预设的安全策...

【专利技术属性】
技术研发人员：邹远鹏，刘家晓，刘福元，
申请(专利权)人：京信通信技术广州有限公司，
类型：发明
国别省市：广东,44