本发明专利技术提出了一种IPSec加密卡与CPU协同的用户面数据处理方法,设置CPU、IPSec加密卡以及做数据分流的交换芯片;初始化过程中,CPU在交换芯片与加密卡连接的SGMII端口上禁止MAC地址学习,并进行IKE协商配置到加密卡中,配置ACL规则到交换芯片上,在交换芯片与PHY器件相连的接口上过滤IP协议字段为ESP的报文,强制转发到加密卡上;数据往返过程中,加密卡处理报文加解密。本发明专利技术技术方案能够在基站用户面加解密数据处理过程中,减少资源消耗、提高性能和通用性。由于实现了协议与数据处理分离,既保障了协议的灵活性,又提高了性能,同时避免CPU和IPSec加密卡的IP/MAC地址冲突。
【技术实现步骤摘要】
本专利技术涉及移动通信领域,尤其是涉及为保密而安全的通讯提供一种IPSec加密卡与CPU协同工作的方法。
技术介绍
随着无线通信技术的进步,无线网络设备的不断升级改造,对于LTE(3GPP长期演进技术)基站用户面数据处理要求越来越高。另一方面,网络威胁日益严重,LTE基站所承载的用户数据越来越重要,这就要求用户的数据能够经过加密后密文传输。Internet协议安全性(IPSec)是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。目前通信领域比较成熟的加密方法是采用IPSec标准的加密技术,IPSec标准得到国际上几乎所有主流网络和安全供应商的鼎力支持,并且正在不断丰富完善。LTE基站用户面的数据主要是承载于UDP(用户数据报协议)之上的GTPU(隧道协议)业务,对于GTPU加密报文,传统的处理方式是在LTE控制信道建立完成时,使用开源的IPsec协议(openswan或者strongswan)来与IPSec网关建立一个IPSec隧道,当UE发送数据时,LTE基站先根据LTE协议将用户面数据构造成GTPU报文,GTPU报文再经过加密发送到网络上去。当有数据要发往UE时,LTE基站收到密文信息后,首先进行解密,解密出来的数据再交给LTE协议栈处理。从用户面数据的转发流程来看,涉及到GTPU报文的组装,IPSecIKE协议,用户面数据的加密。目前可选的LTE数据面加密解决方案有以下几种:1)纯软件实现:CPU典型配置:通用CPU实现方法软件实现LTE协议栈软件实现IPSecIKE协议软件实现IPSec加解密算法优点:低成本协议扩展性强问题:CPU资源耗费大数据吞吐量小2)硬件辅助实现:CPU+协处理器典型配置:支持Sec协处理器的CPU(例如PowerPCP4080)实现方法软件实现LTE协议栈软件实现IPSecIKE协议协处理器实现IPSec加解密算法优点:低成本处理灵活问题:接口可扩展性受限于PowerPC平台协处理器的性能受限于PowerPC平台3)硬件实现:加密卡+CPU典型配置:通用CPU,加密卡实现方法软件实现LTE协议栈加密卡实现IPSecIKE协议加密卡实现IPSec加解密算法优点:CPU资源消耗少数据吞吐量大问题:支持IKE协议的加密卡成本高IKE协议可扩展性受限于加密卡由于基站设备处在LTE网络的末端节点,从空口上来的单用户数据量理论上能到达到100M,这就要求基站上行到核心网的业务端口至少千兆网口,LTE基站同时做上下行业务时,如果使用CPU进行软件加解密,即达不到千兆流量的加解密性能,又会影响LTE协议的实时处理,因此纯软件实现的方案1不可行,方案2中,CPU自带IPSec的协处理器的方案,其灵活程度低,且IPSec协处理器的性能与CPU相关,以P4080为例,协处理器的性能为400Mbps,还达不到千兆线速的能力,另外,其协处理器的配置、使用与CPU紧密相关,其通用性不高,因此方案2不可行。如果选择带专门的加密卡的方案,由于加密卡需要能够与对端的IPSec网关进行IKE协商,需要单独设置一个IP,而基站CPU本身也需要一个对外的IP,但是运营商建网设计中,一个基站只能够配置一个IP地址,所以加密卡和CPU之间会存在IP冲突,且带有IKE功能的加密卡成本高,不适合基站这种部署众多的末端设备,因此方案3不可行。
技术实现思路
本专利技术针对现有技术存在的问题,提出了一种基于通用CPU和通用IPSec加密卡的高带宽的数据加解密设计方法,其目的是在LTE基站用户面加密数据处理过程中,解决CPU消耗高,加解密性能低和设计的通用性问题。本专利技术的技术方案提供一种IPSec加密卡与CPU协同的用户面数据处理方法,用于LTE基站用户面数据处理,设置CPU、加密卡以及做数据分流的交换芯片,所述加密卡为IPSec加密卡;CPU通过SMI总线控制交换芯片,通过I2C总线控制和配置加密卡,CPU和加密卡之间通过PCIE接口传递数据,交换芯片与CPU和加密卡之间分别采用SGMII接口传递数据,交换芯片通过RGMII接口连接到PHY器件;初始化过程包括以下子步骤,步骤1.1,LTE系统启动时,CPU通过SMI总线控制交换芯片,在交换芯片与加密卡连接的SGMII端口上禁止MAC地址学习,使得加密卡发出来的IP报文,其MAC地址不会被记录到交换芯片中;步骤1.2,LTE系统获取到IP地址后,CPU通过I2C总线控制加密卡,将CPU上的网口IP地址和MAC地址配置到加密卡的网口上;步骤1.3,LTE系统与安全网关建立IPSec隧道时,CPU与安全网关进行IKE协商;步骤1.4,CPU将步骤1.3协商出来的密钥、SA和加解密算法通过I2C总线配置到加密卡中;步骤1.5,CPU通过SMI总线控制交换芯片,配置ACL规则到交换芯片上,ACL规则包括在交换芯片与PHY器件相连的RGMII接口上过滤IP协议字段为ESP的报文,强制转发到加密卡上;数据往返过程包括以下子步骤,步骤2.1,当一个加密的GTPU报文到达基站时,其MAC地址填充的是CPU和加密卡的MAC地址,则在交换芯片上首先查询访问控制列表ACL,如果匹配到是一个ESP的加密报文,会被转发到加密卡上;步骤2.2,加密卡收到ESP的加密报文后,根据配置的加解密算法和密钥进行解密,然后将解密后的明文放到PCIE指定空间,由PCIE接口发送通知中断doorbell到CPU;步骤2.3,CPU收到通知中断doorbell后,响应中断,从PCIE指定空间读取解密后的GTPU报文,并送给CPU上的LTE协议栈处理;步骤2.4,CPU的LTE协议栈发送用户数据到UE,UE回复用户数据到基站后,CPU将回应消息组装成GTPU报文后,判断是需要向核心网发送的加密报文时,就将GTPU明文放到PCIE对应的发送空间上,向加密卡发送通知中断doorbell;步骤2.5,加密卡收到通知中断doorbell后,从PCIE指定空间读取需要加密的GTPU明文,根据配置的密钥和加解密算法进行加密;步骤2.6,交换芯片从加密卡相连的端口收到步骤2.5所得加密报文后会查询MAC地址表发往核心网。而且,在初始化过程之本文档来自技高网...
【技术保护点】
一种IPSec加密卡与CPU协同的用户面数据处理方法,用于LTE基站用户面数据处理,其特征在于:设置CPU、加密卡以及做数据分流的交换芯片,所述加密卡为IPSec加密卡;CPU通过SMI总线控制交换芯片,通过I2C总线控制和配置加密卡,CPU和加密卡之间通过PCIE接口传递数据,交换芯片与CPU和加密卡之间分别采用SGMII接口传递数据,交换芯片通过RGMII接口连接到PHY器件;初始化过程包括以下子步骤,步骤1.1,LTE系统启动时,CPU通过SMI总线控制交换芯片,在交换芯片与加密卡连接的SGMII端口上禁止MAC地址学习,使得加密卡发出来的IP报文,其MAC地址不会被记录到交换芯片中;步骤1.2,LTE系统获取到IP地址后,CPU通过I2C总线控制加密卡,将CPU上的网口IP地址和MAC地址配置到加密卡的网口上;步骤1.3,LTE系统与安全网关建立IPSec隧道时,CPU与安全网关进行IKE协商;步骤1.4,CPU将步骤1.3协商出来的密钥、SA和加解密算法通过I2C总线配置到加密卡中;步骤1.5,CPU通过SMI总线控制交换芯片,配置ACL规则到交换芯片上,ACL规则包括在交换芯片与PHY器件相连的RGMII接口上过滤IP协议字段为ESP的报文,强制转发到加密卡上;数据往返过程包括以下子步骤,步骤2.1,当一个加密的GTPU报文到达基站时,其MAC地址填充的是CPU和加密卡的MAC地址,则在交换芯片上首先查询访问控制列表ACL,如果匹配到是一个ESP的加密报文,会被转发到加密卡上;步骤2.2,加密卡收到ESP的加密报文后,根据配置的加解密算法和密钥进行解密,然后将解密后的明文放到PCIE指定空间, 由PCIE接口发送通知中断doorbell到CPU;步骤2.3,CPU收到通知中断doorbell后,响应中断,从PCIE指定空间读取解密后的GTPU报文,并送给CPU上的LTE协议栈处理;步骤2.4,CPU的LTE协议栈发送用户数据到UE,UE回复用户数据到基站后,CPU将回应消息组装成GTPU报文后,判断是需要向核心网发送的加密报文时,就将GTPU明文放到PCIE对应的发送空间上,向加密卡发送通知中断doorbell;步骤2.5,加密卡收到通知中断doorbell后,从PCIE指定空间读取需要加密的GTPU明文,根据配置的密钥和加解密算法进行加密;步骤2.6,交换芯片从加密卡相连的端口收到步骤2.5所得加密报文后会查询MAC地址表发往核心网。...
【技术特征摘要】
1.一种IPSec加密卡与CPU协同的用户面数据处理方法,用于LTE基站用户面数据处理,
其特征在于:设置CPU、加密卡以及做数据分流的交换芯片,所述加密卡为IPSec加密卡;
CPU通过SMI总线控制交换芯片,通过I2C总线控制和配置加密卡,CPU和加密卡之间通
过PCIE接口传递数据,交换芯片与CPU和加密卡之间分别采用SGMII接口传递数据,交换芯
片通过RGMII接口连接到PHY器件;
初始化过程包括以下子步骤,
步骤1.1,LTE系统启动时,CPU通过SMI总线控制交换芯片,在交换芯片与加密卡连接的
SGMII端口上禁止MAC地址学习,使得加密卡发出来的IP报文,其MAC地址不会被记录到交换
芯片中;
步骤1.2,LTE系统获取到IP地址后,CPU通过I2C总线控制加密卡,将CPU上的网口IP地
址和MAC地址配置到加密卡的网口上;
步骤1.3,LTE系统与安全网关建立IPSec隧道时,CPU与安全网关进行IKE协商;
步骤1.4,CPU将步骤1.3协商出来的密钥、SA和加解密算法通过I2C总线配置到加密卡
中;
步骤1.5,CPU通过SMI总线控制交换芯片,配置ACL规则到交换芯片上,ACL规则包括在
交换芯片与PHY器件相连的RGMII接口上过滤IP协议字段为ESP的报文,强制转发到加密卡
上;
数据往返过程包括以下子步骤,
步骤2.1,当一个加密的GTPU报文到达基站时,其MAC地址填充的是CPU和加密卡的MAC
地址,则在交换芯片上首先查询访问控制...
【专利技术属性】
技术研发人员:陈辉,湛秀平,王鑫鹏,秦燕婷,
申请(专利权)人:武汉邮电科学研究院,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。