IPSec加速方法、装置及系统制造方法及图纸

本发明专利技术实施例提供一种IPSec加速方法、装置及系统。该方法包括：IKE模块基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文；该IKE模块发送所述IKE建链会话报文给对端设备，与对端设备建立SA；该IKE模块发送所述SA给数据转发模块，其中，IKE模块与数据转发模块为分立的模块。本发明专利技术实施例分立设置IKE模块和数据转发模块，这样，IKE模块和数据转发模块可部署于不同的设备，从而可提高IPSec速度。

【技术实现步骤摘要】

本专利技术实施例涉及网络安全技术，尤其涉及一种因特网安全协议(英文：Internet Protocol Security，简称：IPSec)加速方法、装置及系统。
技术介绍
随着网络业务的迅速发展，对网络信息安全的要求越来越高，互联网工程任务组(英文：Internet Engineering Task Force，简称：IETF)开发了IPSec来保证通信的安全性。其中，IPSec的工作流程分为两个阶段：第一阶段：互联网密钥交换(英文：Internet Key Exchange Protocol，简称：IKE)建链。IKE建链为IPSec提供自动协商交换密钥，建立安全联盟(英文：Security Association，简称：SA)的服务。IKE建链包括IKE SA载荷交换，密钥交换(英文：Key Exchange，简称：KE)载荷和伪随机信息(英文：Nonce)载荷交换，通信双方计算共享密钥参数、身份认证；以及IPSec SA载荷交换，协商IPSec SA的验证算法和加密算法等。第二阶段：数据转发。将因特网协议(英文：Internet Protocol，简称：IP)报文进行加/解密、加/解封装等处理后再转发。现有技术中，运行在linux操作系统平台下的开源产品Openswan的密匙(英文：key)管理工具pluto在IKE建链时，单线程单状态机在用户态处理IKE建链的全部工作，即处理完一个IKE建链的所有报文后，才能接收处理下一个IKE建链的报文，从而导致pluto负担重，建链速度慢。另外，IKE建链与数据转发由单个虚拟机(英文：Virtual Machine，简称：VM)或者主机完成，因虚拟机或主机的处理能力有限，因此，进一步影响IKE建链，且存在数据转发慢的问题。
技术实现思路
本专利技术实施例提供一种IPSec加速方法、装置及系统，以解决现有IPSec中IKE建链及数据转发速度慢的问题。第一方面，本专利技术实施例提供一种互联网安全协议IPSec加速方法，包括：互联网密钥交换IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略生成IKE建链会话报文；所述IKE模块发送所述IKE建链会话报文给对端设备，与所述对端设备建立安全联盟SA；所述IKE模块发送所述SA给数据转发模块，其中，所述IKE模块与所述数据转发模块为分立的模块。根据第一方面，在第一方面的第一种可能的实现方式中，所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上，所述IKE模块基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文，包括：所述IKE模块基于所述IPSec配置参数及所述SPD中的安全策略，采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算，生成大数及计算迪菲-赫尔曼密钥值，生成所述IKE建链会话报文。根据第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述IKE模块发送所述SA给数据转发模块，包括：所述IKE模块采用远程直接数据存取RDMA或预设协议，将所述SA写入所述数据转发模块。根据第一方面或第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述IKE模块发送所述SA给数据转发模块，包括：所述IKE模块采用远程直接数据存取RDMA或预设协议，将所述SA写入控制模块，通过所述控制模块转发所述SA给所述数据转发模块。第二方面，本专利技术实施例提供一种互联网安全协议IPSec加速方法，包括：互联网密钥交换IKE模块接收IKE建链会话报文；所述IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略，与所述IKE建链会话报文的发送设备建立安全联盟SA；所述IKE模块发送所述SA给数据转发模块，其中，所述IKE模块与所
述数据转发模块为分立的模块。根据第二方面，在第二方面的第一种可能的实现方式中，所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上，所述IKE模块基于IPSec配置参数及SPD中的安全策略，与所述IKE建链会话报文的发送设备建立SA，包括：所述IKE模块基于所述IPSec配置参数及所述SPD中的安全策略，采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算，生成大数及计算迪菲-赫尔曼密钥值，与所述IKE建链会话报文的发送设备建立SA。根据第二方面或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述IKE模块发送所述SA给数据转发模块，包括：所述IKE模块采用远程直接数据存取RDMA或预设协议，将所述SA写入所述数据转发模块。根据第二方面或第二方面的第一种可能的实现方式，在第二方面的第三种可能的实现方式中，所述IKE模块发送所述SA给数据转发模块，包括：所述IKE模块采用远程直接数据存取RDMA或预设协议，将所述SA写入控制模块，通过所述控制模块转发所述SA给所述数据转发模块。第三方面，本专利技术实施例提供一种互联网安全协议IPSec加速方法，包括：数据转发模块接收数据报文，所述数据转发模块部署在加速卡的现场可编程门阵列FPGA芯片上；所述数据转发模块根据安全联盟SA，对所述数据报文进行并行运算加/解密算法及认证方式，得到目标报文；所述数据转发模块转发所述目标报文。根据第三方面，在第三方面的第一种可能的实现方式中，所述数据转发模块根据SA，对所述数据报文进行并行运算加/解密算法及认证方式，得到目标报文之前，还包括：所述数据转发模块接受互联网密钥交换IKE模块写入所述SA的操作，其中，所述写入所采用的写入方式为远程直接数据存取RDMA或预设协议，所述数据转发模块与所述IKE模块为分立的模块。第四方面，本专利技术实施例提供一种互联网密钥交换IKE模块，包括：处理单元和发送单元，其中，所述发送单元包括第一发送子单元和第二发送子单元；所述处理单元，用于基于互联网安全协议IPSec配置参数及安全策略数据库SPD中的安全策略生成IKE建链会话报文；所述第一发送子单元，用于发送所述IKE建链会话报文给对端设备，所述IKE模块通过所述IKE建链会话报文与所述对端设备建立安全联盟SA；所述第二发送子单元，用于发送所述SA给数据转发模块，其中，所述IKE模块与所述数据转发模块为分立的模块。根据第四方面，在第四方面的第一种可能的实现方式中，所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上，所述处理单元具体用于：基于所述IPSec配置参数及所述SPD中的安全策略，采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算，生成大数及计算迪菲-赫尔曼密钥值，生成所述IKE建链会话报文。根据第四方面或第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，所述第二发送子单元具体用于：采用远程直接数据存取RDMA或预设协议，将所述SA写入所述数据转发模块。根据第四方面或第四方面的第一种可能的实现方式，在第四方面的第三种可能的实现方式中，所述第二发送子单元具体用于：采用远程直接数据存取RDMA或预设协议，将所述SA写入控制模块，通过所述控制模块转发所述SA给所述数据转发模块。第五方面，本专利技术实施例提供一种互联网密钥交换IKE模块，包括：接收单元，用于接收IKE建链会话报文；处理单元，用于基于互联网安本文档来自技高网...

【技术保护点】
一种互联网安全协议IPSec加速方法，其特征在于，包括：互联网密钥交换IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略生成IKE建链会话报文；所述IKE模块发送所述IKE建链会话报文给对端设备，与所述对端设备建立安全联盟SA；所述IKE模块发送所述SA给数据转发模块，其中，所述IKE模块与所述数据转发模块为分立的模块。

【技术特征摘要】
1.一种互联网安全协议IPSec加速方法，其特征在于，包括：互联网密钥交换IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略生成IKE建链会话报文；所述IKE模块发送所述IKE建链会话报文给对端设备，与所述对端设备建立安全联盟SA；所述IKE模块发送所述SA给数据转发模块，其中，所述IKE模块与所述数据转发模块为分立的模块。2.根据权利要求1所述的方法，其特征在于，所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上，所述IKE模块基于IPSec配置参数及SPD中的安全策略生成IKE建链会话报文，包括：所述IKE模块基于所述IPSec配置参数及所述SPD中的安全策略，采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算，生成大数及计算迪菲-赫尔曼密钥值，生成所述IKE建链会话报文。3.根据权利要求1或2所述的方法，其特征在于，所述IKE模块发送所述SA给数据转发模块，包括：所述IKE模块采用远程直接数据存取RDMA或预设协议，将所述SA写入所述数据转发模块。4.根据权利要求1或2所述的方法，其特征在于，所述IKE模块发送所述SA给数据转发模块，包括：所述IKE模块采用远程直接数据存取RDMA或预设协议，将所述SA写入控制模块，通过所述控制模块转发所述SA给所述数据转发模块。5.一种互联网安全协议IPSec加速方法，其特征在于，包括：互联网密钥交换IKE模块接收IKE建链会话报文；所述IKE模块基于IPSec配置参数及安全策略数据库SPD中的安全策略，与所述IKE建链会话报文的发送设备建立安全联盟SA；所述IKE模块发送所述SA给数据转发模块，其中，所述IKE模块与所述数据转发模块为分立的模块。6.根据权利要求5所述的方法，其特征在于，所述IKE模块部署在加速卡的现场可编程门阵列FPGA芯片上，所述IKE模块基于IPSec配置参数及
\tSPD中的安全策略，与所述IKE建链会话报文的发送设备建立SA，包括：所述IKE模块基于所述IPSec配置参数及所述SPD中的安全策略，采用蒙哥马利算法并行处理IKE会话建链所需要的幂模运算，生成大数及计算迪菲-赫尔曼密钥值，与所述IKE建链会话报文的发送设备建立SA。7.根据权利要求5或6所述的方法，其特征在于，所述IKE模块发送所述SA给数据转发模块，包括：所述IKE模块采用远程直接数据存取RDMA或预设协议，将所述SA写入所述数据转发模块。8.根据权利要求5或6所述的方法，其特征在于，所述IKE模块发送所述SA给数据转发模块，包括：所述IKE模块采用远程直接数据存取RDMA或预设协议，将所述SA写入控制模块，通过所述控制模块转发所述SA给所述数据转发模块。9.一种互联网安全协议IPSec加速方法，其特征在于，包括：数据转发模块接收数据报文，所述数据转发模块部署在加速卡的现场可编程门阵列FPGA芯片上；所述数据转发模块根据安全联盟SA，对所述数据报文进行并行运算加/解密算法及认证方式，得到目标报文；所述数据转发模块转发所述目标报文。10.根据权利要求9所述的方法，其特征在于，所述数据转发模块根据SA，对所述数据报文进行并行运算加/解密算法及认证方式，得到目标报文之前，还包括：所述数据转发模块接受互联网密钥交换IKE模块写入所述SA的操作，其中，所述写入所采用的写入方式为远程直接数据存取RDMA或预设协议，所述数据转发模块与所述IKE模块为分立的模块。11.一种互联网密钥交换IKE模块，其特征在于，包括：处理单元和发送单元，其中，所述发送单元包...

【专利技术属性】
技术研发人员：谢于明，胡新宇，赵宇萍，杨凡，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44