本发明专利技术公开了一种数据加解密的方法及装置,涉及互联网技术领域,解决了现有的VPN在内核态进行数据包加解密的机制降低了加解密数据包收发的效率的问题。本发明专利技术的方法包括:建立网络安全协议IPsec连接后,获得IPsec连接对应的加解密算法与数据包封装方式;判断加解密算法与数据包封装方式是否符合预设加解密条件,预设加解密条件为符合网卡加解密的加解密算法以及数据包封装方式;若满足预设加解密条件,则将IPsec连接对应的数据包发送给网卡进行加解密处理。本发明专利技术应用于VPN中数据包加解密的过程中。
【技术实现步骤摘要】
本专利技术涉及互联网
,尤其涉及一种数据加解密的方法及装置。
技术介绍
虚拟专用网络(VirtualPrivateNetwork,VPN)技术是指在公用网络上为用户建立的直接连接到虚拟的专用网络,它主要的功能是在公用网络上建立专用网络。为了保证端与端之间数据传输的安全性,通常需要VPN对传输的数据进行加密。而网络安全协议(InternetProtocolSecurity,IPSec)用以提供公用网络和专用网络的端对端的加密和验证服务。为了提高VPN中数据包收发的效率,可以基于DPDK技术平台进行数据包的收发,DPDK是一种进行快速数据包处理的库和驱动程序。基于DPDK技术进行的数据包收发的实现在用户态,而采用IPSec协议来实现的VPN技术中,数据包的加解密通常情况下都在内核态,因此在使用DPDK技术进行收发需要加解密的数据包时需要将用户态的需要加解密的数据包交给内核态进行加解密,完成后再返回给用户态的DPDK,使DPDK将数据包发送出去。由上述加解密的数据包收发的过程可以看到,现有的VPN在内核态进行数据包加解密的机制使加解密的数据包在用户态与内核态之间反复的交互,降低了加解密数据包收发的效率。
技术实现思路
鉴于上述问题,本专利技术提供一种数据加解密的方法及装置,用以解决现有VPN在内核态进行数据包加解密的机制降低了加解密数据包收发的效率的问题。为解决上述技术问题,一方面,本专利技术提供了一种数据加解密的方法,所述方法包括:建立网络安全协议IPsec连接后,获得所述IPsec连接对应的加解密算法与数据包封装方式;判断所述加解密算法与所述数据包封装方式是否符合预设加解密条件,所述预设加解密条件为符合网卡加解密的加解密算法以及数据包封装方式;若满足预设加解密条件,则将所述IPsec连接对应的数据包发送给网卡进行加解密处理。可选的,若满足预设加解密条件,所述方法进一步包括:为所述IPsec连接对应的会话信息上增加网卡加密标识以及网卡解密标识。可选的,在将所述IPsec连接对应的数据包发送给网卡进行加密处理之前,所述方法进一步包括:根据所述网卡加密标识设置发送描述符IPsec有效位、与所述数据包对应的IPsec连接对应的安全联盟SA连接序号、加密有效位以及所述数据包对应的IPsec连接的类型,以使所述网卡接收到数据包后根据所述发送描述符IPsec有效位、与所述数据包对应的IPsec连接对应的SA连接序号、加密有效位以及所述数据包对应的IPsec连接的类型确定是否可以对数据包进行加密处理,SA连接序号与IPsec连接一一对应。可选的,所述方法进一步包括:在建立IPsec连接后,获取加解密需要的安全关联信息,以使网卡根据所述安全关联信息对数据包进行加解密;将所述安全关联信息对应写入网卡中,所述安全关联信息与IPsec连接一一对应。可选的,所述将所述安全关联信息对应写入网卡中,包括:将安全参数索引SPI、密钥、目的网间协议IP地址以及盐值SaltValue写入网卡中,以使网卡根据密钥以及SaltValue对数据包进行加密,根据安全参数索引SPI、密钥以及目的IP地址对数包进行解密。可选的,所述方法进一步包括:根据接收描述符上的已解密标识为数据包添加已解密标识,所述接收描述符上的已解密标识是由网卡对数据包解密之后设置的;判断数据包上的已解密标识与所述会话信息上的网卡解密标识是否匹配;若匹配,则确定数据包已被网卡成功解密。可选的,所述将安全参数索引SPI、密钥、目的IP地址以及盐值SaltValue写入网卡中,包括:根据对应的SA连接序号将所述安全参数索引SPI对应的写入SPI参数表中;根据对应的SA连接序号将所述密钥对应的写入密钥表中;根据对应的SA连接序号将所述目的IP地址对应的写入IP地址表中;根据对应的SA连接序号将所述SaltValue对应的写入盐值表中。可选的,所述方法进一步包括:通过应用程序接口开启网卡的加解密功能。可选的,所述方法进一步包括:在所述IPsec连接断开后,将网卡中对应所述IPsec连接的安全关联信息删除。可选的,所述方法进一步包括:若不满足预设加解密条件,则将所述IPsec连接对应的数据包发送给内核进行加解密处理。另一方面,本专利技术提供了一种数据加解密的装置,所述装置包括:获得单元,用于建立网络安全协议IPsec连接后,获得所述IPsec连接对应的加解密算法与数据包封装方式;判断单元,用于判断所述加解密算法与所述数据包封装方式是否符合预设加解密条件,所述预设加解密条件为符合网卡加解密的加解密算法以及数据包封装方式;网卡发送单元,用于若满足预设加解密条件,则将所述IPsec连接对应的数据包发送给网卡进行加解密处理。可选的,所述装置进一步包括:增加单元,用于若满足预设加解密条件,为所述IPsec连接对应的会话信息上增加网卡加密标识以及网卡解密标识。可选的,所述装置进一步包括:设置单元,用于在将所述IPsec连接对应的数据包发送给网卡进行加密处理之前,根据所述网卡加密标识设置发送描述符IPsec有效位、与所述数据包对应的IPsec连接对应的安全联盟SA连接序号、加密有效位以及所述数据包对应的IPsec连接的类型,以使所述网卡接收到数据包后根据所述发送描述符IPsec有效位、与所述数据包对应的IPsec连接对应的SA连接序号、加密有效位以及所述数据包对应的IPsec连接的类型确定是否可以对数据包进行加密处理,SA连接序号与IPsec连接一一对应。可选的,所述装置进一步包括:获取单元,用于在建立IPsec连接后,获取加解密需要的安全关联信息,以使网卡根据所述安全关联信息对数据包进行加解密;写入单元,用于将所述安全关联信息对应写入网卡中,所述安全关联信息与IPsec连接一一对应。可选的,所述写入单元用于:将安全参数索引SPI、密钥、目的网间协议IP地址以及盐值SaltValue写入网卡中,以使网卡根据密钥以及SaltValue对数据包进行加密,根据安全参数索引SPI、密钥以及目的IP地址对数包进行解密。可选的,所述装置进一步包括:添加单元,用于根据接收描述符上的已解密标识为数据包添加已解密标识,所述接收描述符上的已解密标识是由网卡对数据包解密之后设置的;匹配单元,用于判断数据包上的已解密标识与所述会话信息上的网卡解密标识是否匹配;确定单元,用于若匹配,则确定数据包已被网卡成功解密。可选的,所述写入单元包括:第一写入模块,用于根据对应的SA连接序号将所述安全参数索引SPI对应的写入SPI参数表中;第二写入模块,用于根据对应的SA连接序号将所述密钥对应的写入密钥表中;第三写入模块,用于根据对应的SA连接序号将所述目的IP地址对应的写入IP地址表中;第四写入模块,用于根据对应的SA连接序号将所述SaltValue对应的写入盐值表中。可选的,所述装置进一步包括:开启单元,用于通过应用程序接口开启网卡的加解密功能。可选的,所述装置进一步包括:删除单元,用于在所述IPsec连接断开后,将网卡中对应所述IPsec连接的安全关联信息删除。可选的,所述装置进一步包括:内核发送单元,用于若不满足预设加解密条件,则将所述IPsec连接对应的数据包发送给内核进行加解密处理。借由上述技术方案,本专利技术提供的数据加解密的方本文档来自技高网...
【技术保护点】
一种数据加解密的方法,其特征在于,所述方法包括:建立网络安全协议IPsec连接后,获得所述IPsec连接对应的加解密算法与数据包封装方式;判断所述加解密算法与所述数据包封装方式是否符合预设加解密条件,所述预设加解密条件为符合网卡加解密的加解密算法以及数据包封装方式;若满足预设加解密条件,则将所述IPsec连接对应的数据包发送给网卡进行加解密处理。
【技术特征摘要】
1.一种数据加解密的方法,其特征在于,所述方法包括:建立网络安全协议IPsec连接后,获得所述IPsec连接对应的加解密算法与数据包封装方式;判断所述加解密算法与所述数据包封装方式是否符合预设加解密条件,所述预设加解密条件为符合网卡加解密的加解密算法以及数据包封装方式;若满足预设加解密条件,则将所述IPsec连接对应的数据包发送给网卡进行加解密处理。2.根据权利要求1所述的方法,其特征在于,若满足预设加解密条件,所述方法进一步包括:为所述IPsec连接对应的会话信息上增加网卡加密标识以及网卡解密标识。3.根据权利要求2所述的方法,其特征在于,在将所述IPsec连接对应的数据包发送给网卡进行加密处理之前,所述方法进一步包括:根据所述网卡加密标识设置发送描述符IPsec有效位、与所述数据包对应的IPsec连接对应的安全联盟SA连接序号、加密有效位以及所述数据包对应的IPsec连接的类型,以使所述网卡接收到数据包后根据所述发送描述符IPsec有效位、与所述数据包对应的IPsec连接对应的SA连接序号、加密有效位以及所述数据包对应的IPsec连接的类型确定是否可以对数据包进行加密处理,SA连接序号与IPsec连接一一对应。4.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:在建立IPsec连接后,获取加解密需要的安全关联信息,以使网卡根据所述安全关联信息对数据包进行加解密;将所述安全关联信息对应写入网卡中,所述安全关联信息与IPsec连接一一对应。5.根据权利要求4所述的方法,其特征在于,所述将所述安全关联信息对应写入网卡中,包括:将安全参数索引SPI、密钥、目的网间协议IP地址以及盐值SaltValu...
【专利技术属性】
技术研发人员:杨枭,党丽娜,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。