【技术实现步骤摘要】
本申请涉及网络安全领域,具体而言本申请实施例涉及一种基于ipsec协议的数据处理方法、系统、介质及电子设备。
技术介绍
1、随着企业数字化转型,传统的网络安全数据模型遭到了彻底的瓦解,传统的网络安全数据模型核心是围绕着物理边界进行的,企业数据中心通过各种各样的网络和安全设备,实现互联互通和安全防护。随着企业数字化转型加速,无数的数据、应用、设备和人从数据中心中独立出来,企业数据中心由1个变成了多个,各个数据中心之间需要建立vpn隧道进行互联互通。ipsec(internet protocol security)是一种用于保护网络通信的协议,它提供了一种安全的方式来传输数据,可以保护数据的机密性、完整性和可用性。ipsec vpn(virtual private network)是一种基于ipsec协议的vpn技术,它可以在公共网络上建立一个安全的私有网络,使得远程用户可以通过公共网络访问私有网络中的资源。
2、数字化和信息技术的发展要求承载应用的服务器和设备需要能够提供更高的网络处理性能,目前常见的解决方案就是增加网络设备的核心数,增强设备的并行处理能。dpdk提供了一系列可以从linux用户空间使用的api,从而提供了一种开销不大的方法来代替传统的linux系统调用。与原有的使用linux内核的网络应用相比,数据包将不再通过内核,而是直接走intel dpdk的专有路径,数据包将从网卡直接到达用户空间,之后交由用户处理,所以使用dpdk,将不能在使用原有的内核协议栈,所有的应用需要重新使用dpdk提供的函数进行重新
技术实现思路
1、本申请实施例的目的在于提供一种基于ipsec协议的数据处理方法、系统、介质及电子设备,采用本申请实施例可以解决ipsec安全网关环境中单条ipsec vpn加密报文的处理性能问题,针对加密的ipsec报文分流处理,解决多核硬件平台架构中ipsec vpn性能瓶颈问题。
2、第一方面,本申请实施例提供一种基于ipsec协议的数据处理方法,应用于基于ipsec协议的系统中,所述数据处理方法包括:若确认数据报文属于ipsec加密报文,则从所述数据报文中获取报文分流标识;根据所述报文分流标识将所述数据报文分流至多个数据处理单元中的一个处理单元上。
3、本申请的一些实施例通过为加密报文添加的报文分流标识对加密后源ip、目的ip以及端口信息相同的数据报文进行分流,以提升系统的对数据的处理能力。
4、在一些实施例中,所述根据所述报文分流标识将所述数据报文分流至多个数据处理单元中的一个处理单元上,包括:将所述数据报文分配至多个网卡队列中的一个网卡队列中;通过被选中的网卡队列将所述数据报文发送至对应的数据处理单元。
5、本申请的一些实施例不用解密加密报文而是直接根据报文分流标识将数据报文分配在相应的网卡队列中,进而通过为各网卡队列设置的数据处理单元对相应数据报文进行解密等数据处理,提升系统数据处理的速度。
6、在一些实施例中,在所述若确认所述数据报文属于ipsec加密报文,则从所述数据报文中获取报文分流标识之前,所述方法还包括:对待发送数据进行加密封装,并在封装过程中添加所述报文分流标识得到所述数据报文。
7、本申请的一些实施例的发送端在加密数据时需要为加密后的数据添加报文分流标识,以使得接收端可在不解密的情况下直接根据报文分流标识对接收的来自于发送端的加密数据进行分流处理,提升数据处理的速度。
8、在一些实施例中,所述在封装过程中添加所述报文分流标识得到所述数据报文,包括:对所述待发送数据携带的源ip地址和目的ip地址进行哈希运算得到哈希运算值;从所述哈希运算值中截取至少部分数据作为所述报文分流标识。
9、本申请的一些实施例通过计算源ip地址和目的ip地址哈希值并截取部分哈希值作为报文分流标识。
10、在一些实施例中,所述从所述哈希运算值中截取至少部分数据作为所述报文分流标识,包括:截取所述哈希运算值的后十六位作为所述报文分流标识。
11、本申请的一些实施例直接从哈希运算值中截取十六位作为报文分流标识。
12、在一些实施例中,所述在封装过程中添加所述报文分流标识得到所述数据报文,还包括:对所述待发送数据进行加密运算得到待传输密文;将所述待传输密文封装在ipsec报文的报文体,并将所述报文分流标识封装在所述ipsec报文的报文头中,得到所述数据报文。
13、本申请的一些实施例通过报文体封装待传输密文,并通过报文头封装报文分流标识,可以在接收端不进行解析的情况下即可根据报文分流标识对待处理报文进行分流。
14、在一些实施例中,所述报文分流标识被存储于隧道外层的所述报文头中的可选择字段。
15、在一些实施例中,在所述根据所述报文分流标识将所述数据报文分流至多个数据处理单元中的一个数据处理单元上之后,所述方法还包括:通过被选中的处理单元对所述数据报文进行报文解密得到所述待发送数据。
16、本申请的一些实施例通过分流后对应的数据处理单元进行数据解密处理。
17、在一些实施例中,所述方法还包括:若确认数据报文属于未加密明文,则根据所述数据报文中的源ip地址和目的ip地址将所述数据报文分流至多个数据处理单元中的一个处理单元上。
18、本申请的一些实施例针对未加密的ipsec报文可以直接根据源ip地址和目的ip地址进行分流,提升分流的处理速度。
19、第二方面,本申请的一些实施例提供一种基于ipsec协议的数据处理系统,所述数据处理系统包括接收端和发送端:所述接收端被配置为:若确认所述数据报文属于ipsec加密报文,则从所述数据报文中获取报文分流标识;根据所述报文分流标识将所述数据报文分流至多个数据处理单元中的一个处理单元上;所述发送端被配置为:对待发送数据进行加密封装,并在封装过程中添加所述报文分流标识得到所述数据报文。
20、第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任意实施例所述的方法。
21、第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任意实施例所述的方法。
本文档来自技高网...【技术保护点】
1.一种基于IPSec协议的数据处理方法,应用于基于IPSec协议的系统中,所述数据处理方法包括:
2.如权利要求1所述的数据处理方法,其特征在于,所述根据所述报文分流标识将所述数据报文分流至多个数据处理单元中的一个处理单元上,包括:
3.如权利要求1所述的数据处理方法,其特征在于,在所述若确认所述数据报文属于IPsec加密报文,则从所述数据报文中获取报文分流标识之前,所述方法还包括:
4.如权利要求3所述的数据处理方法,其特征在于,所述在封装过程中添加所述报文分流标识得到所述数据报文,包括:
5.如权利要求4所述的数据处理方法,其特征在于,
6.如权利要求4或5所述的数据处理方法,其特征在于,
7.如权利要求6所述的数据处理方法,其特征在于,所述报文分流标识被存储于隧道外层的所述报文头中的可选择字段。
8.如权利要求3所述的数据处理方法,其特征在于,在所述根据所述报文分流标识将所述数据报文分流至多个数据处理单元中的一个数据处理单元上之后,所述方法还包括:
9.如权利要求1所述的数据处
10.一种基于IPSec协议的数据处理系统,其特征在于,所述数据处理系统包括接收端和发送端:
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现如权利要求1-9中任意一项权利要求所述的方法。
12.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如权利要求1-9中任意一项权利要求所述的方法。
...【技术特征摘要】
1.一种基于ipsec协议的数据处理方法,应用于基于ipsec协议的系统中,所述数据处理方法包括:
2.如权利要求1所述的数据处理方法,其特征在于,所述根据所述报文分流标识将所述数据报文分流至多个数据处理单元中的一个处理单元上,包括:
3.如权利要求1所述的数据处理方法,其特征在于,在所述若确认所述数据报文属于ipsec加密报文,则从所述数据报文中获取报文分流标识之前,所述方法还包括:
4.如权利要求3所述的数据处理方法,其特征在于,所述在封装过程中添加所述报文分流标识得到所述数据报文,包括:
5.如权利要求4所述的数据处理方法,其特征在于,
6.如权利要求4或5所述的数据处理方法,其特征在于,
7.如权利要求6所述的数据处理方法,其特征在于,所述报文分流标识...
【专利技术属性】
技术研发人员:吴摇摇,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。