一种网络数据小包高速IPsec处理方法及系统技术方案

本发明专利技术公开了一种网络数据小包高速IPsec处理方法，所述网络数据小包高速IPsec处理方法包括对数据外出方向进行处理和对数据入方向进行处理；当设备进行用户网络数据外出方向处理时，对多个相同数据流的用户业务原始短报文进行组合，合并为单个网络数据长报文，再进行安全封装、数据保护处理，处理完毕后由协议处理单元通过INBOUND接口进行发送；当设备进行网络业务数据入方向处理时，先完成解封装、数据解保护处理，然后对长报文拆分还原为原始用户业务短报文，再由协议处理单元通过OUTBOUND接口进行发送。通过本处理方法设置优化了数据报文传输流程，提升了效率，从而克服了传统技术中网络数据包处理性能低的问题。了传统技术中网络数据包处理性能低的问题。了传统技术中网络数据包处理性能低的问题。

【技术实现步骤摘要】
一种网络数据小包高速IPsec处理方法及系统


[0001]本专利技术属于数据传输处理领域，尤其涉及一种网络数据小包高速IPsec处理方法及系统。

技术介绍

[0002]随着涉密信息系统的发展，用户网络应用日益增多、网络带宽需求日益增长，部署在网络边界处IPsec VPN设备对整个用户网络数据报文进行安全保护，其性能影响用户网络使用体验。一般而言，IPsec VPN设备的网络数据小包处理性能远远低于其网络数据大包处理性能，而视频会议、VOIP语音等网络应用大量使用了网络数据小包进行业务传输，这也对设备的网络数据小包高速IPsec处理能力提出了更高的要求。
[0003]IPsec VPN设备网络数据报文处理流程一般如图1所示。
[0004](1)数据出方向
[0005]1)用户网络数据原始报文从OUTBOUND接口进入协议处理单元；
[0006]2)协议处理单元对报文进行策略匹配、安全联盟查找、报文封装，再将处理后报文发送安全处理单元进行处理(如安全封装、数据保护等)；
[0007]3)安全处理单元保护处理完成后，通知协议处理单元；
[0008]4)协议处理单元接到通知后从安全处理单元获取到安全处理后报文；
[0009]5)协议处理单元对报文再进行路由查找等网络处理后通过INBOUND接口发送。
[0010](2)数据入方向
[0011]1)用户网络数据报文从INBOUND接口进入协议处理单元；
[0012]2)协议处理单元对报文进行策略匹配、安全联盟查找，再将报文发送安全处理单元进行处理(如解封装、数据解保护等)；
[0013]3)安全处理单元处理完成后，通知协议处理单元；
[0014]4)协议处理单元接到通知后从安全处理单元获取到安全处理后的原始报文；
[0015]5)协议处理报文对原始报文进行路由查找等网络处理后通过OUTBOUND接口发送。
[0016]数据报文的IPsec处理过程中流程较为复杂，涉及多次策略匹配、安全联盟查找、路由处理、安全处理等，所有操作均针对单个报文独立进行，处理开销较大。在相同网络流量情况下，传输网络数据小包的个数数倍于传输网络数据大包的个数。而每个报文均需进行完整IPsec处理，因此，相同网络流量下小包处理开销远远大于大包处理。这使得设备网络数据小包报文处理性能远远低于网络数据大包处理性能。

技术实现思路

[0017]本专利技术的目的在于，为克服现有技术缺陷，提供了一种网络数据小包高速IPsec处理方法，通过本处理方法设置优化了数据报文传输流程，提升了效率，从而克服了传统技术中网络数据包处理性能低的问题。
[0018]本专利技术目的通过下述技术方案来实现：
[0019]一种网络数据小包高速IPsec处理方法，所述网络数据小包高速IPsec处理方法包括对数据外出方向进行处理和对数据入方向进行处理；
[0020]当设备进行用户网络数据外出方向处理时，对多个相同数据流的用户业务原始短报文进行组合，合并为单个网络数据长报文，再进行安全封装、数据保护处理，处理完毕后由协议处理单元通过INBOUND接口进行发送；
[0021]当设备进行网络业务数据入方向处理时，先完成解封装、数据解保护处理，然后对长报文拆分还原为原始用户业务短报文，再由协议处理单元通过OUTBOUND接口进行发送。
[0022]根据一个优选的实施方式，所述数据外出方向处理包括：
[0023]a.在接收到OUTBOUND接口发送来的网络数据业务原始数据报文后，依据报文头信息对报文进行安全策略匹配以及分类；
[0024]b.针对匹配成功的报文，提取并生成数据流标示flowid，依据flowid进行排序和缓存；
[0025]c.当同一flowid缓冲报文数据总长达到预设临界值后，将多个报文组合为1个长报文；
[0026]d.将组合后报文进行安全封装、数据保护处理；
[0027]e.将安全处理后报文进行路由查找处理后通过INBOUND接口进行发送。
[0028]根据一个优选的实施方式，步骤a中，报文头信息包括源地址、目的地址、源端口、目的端口、协议和Qos标签信息。
[0029]根据一个优选的实施方式，步骤c中，预设临界值默认为1.4k字节。
[0030]根据一个优选的实施方式，步骤c中，组合的长报文的长度不超过网络MTU。
[0031]根据一个优选的实施方式，数据入方向处理包括：
[0032]1)通过INBOUND接口接受到网络数据后，进行策略匹配、安全联盟查找处理；
[0033]2)进行报文解封装、数据解保护、数据验证处理；
[0034]3)判断报文是否进行组合，若进行了组合，则进行报文拆分，将长报文还原为原始短报文；若未进行组合，则保持报文不变；
[0035]4)将处理后原始报文通过OUTBOUND接口进行发送。
[0036]另一方面地，本专利技术还公开了：
[0037]一种网络数据小包高速IPsec处理系统，所述网络数据小包高速IPsec处理系统包括：协议处理单元、安全处理单元、INBOUD接口和OUTBOUND接口，所述INBOUD接口和OUTBOUND接口分别与协议处理单元相连，所述协议处理单元还与安全处理单元相连；
[0038]其中，所述协议处理单元内设有报文组合模块和报文拆分模块；
[0039]当系统进行用户网络数据外出方向处理时，由报文组合模块对多个相同数据流的用户业务原始短报文进行组合，合并为单个网络数据长报文，再交由安全处理单元进行安全封装、数据保护处理，处理完毕后由协议处理单元通过INBOUND接口进行发送；
[0040]当系统进行网络业务数据入方向处理时，先由安全处理单元完成解封装、数据解保护处理，然后由报文拆分模块对长报文拆分还原为原始用户业务短报文，再由协议处理单元通过OUTBOUND接口进行发送。
[0041]根据一个优选的实施方式，当系统进行用户网络数据外出方向处理时，
[0042]协议处理单元接受到OUTBOUND接口发送来的网络数据业务原始数据报文后，依据
报文头信息对报文进行安全策略匹配以及分类；
[0043]针对匹配成功的报文，提取并生成数据流标示flowid，依据flowid进行排序和缓存；
[0044]当同一flowid缓冲报文数据总长达到预设临界值后，由报文组合模块将多个报文组合为1个长报文；
[0045]将组合后报文发送安全处理模块进行安全封装、数据保护处理；
[0046]业务处理完成后，报文传递给协议处理单元；
[0047]协议处理单元将安全处理后报文进行路由查找等网络处理后通过INBOUND接口进行发送。
[0048]根据一个优选的实施方式，报文头信息包括源地址、目的地址、源端口、目的端口、协议和Qos标签信息。
[0049]根据一个优选的实施方式，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络数据小包高速IPsec处理方法，其特征在于，所述网络数据小包高速IPsec处理方法包括对数据外出方向进行处理和对数据入方向进行处理；当设备进行用户网络数据外出方向处理时，对多个相同数据流的用户业务原始短报文进行组合，合并为单个网络数据长报文，再进行安全封装、数据保护处理，处理完毕后由协议处理单元通过INBOUND接口进行发送；当设备进行网络业务数据入方向处理时，先完成解封装、数据解保护处理，然后对长报文拆分还原为原始用户业务短报文，再由协议处理单元通过OUTBOUND接口进行发送。2.如权利要求1所述的网络数据小包高速IPsec处理方法，其特征在于，所述数据外出方向处理包括：a.在接收到OUTBOUND接口发送来的网络数据业务原始数据报文后，依据报文头信息对报文进行安全策略匹配以及分类；b.针对匹配成功的报文，提取并生成数据流标示flowid，依据flowid进行排序和缓存；c.当同一flowid缓冲报文数据总长达到预设临界值后，将多个报文组合为1个长报文；d.将组合后报文进行安全封装、数据保护处理；e.将安全处理后报文进行路由查找处理后通过INBOUND接口进行发送。3.如权利要求2所述的网络数据小包高速IPsec处理方法，其特征在于，步骤a中，报文头信息包括源地址、目的地址、源端口、目的端口、协议和Qos标签信息。4.如权利要求2所述的网络数据小包高速IPsec处理方法，其特征在于，步骤c中，预设临界值默认为1.4k字节。5.如权利要求2所述的网络数据小包高速IPsec处理方法，其特征在于，步骤c中，组合的长报文的长度不超过网络MTU。6.如权利要求1所述的网络数据小包高速IPsec处理方法，其特征在于，数据入方向处理包括：1)通过INBOUND接口接受到网络数据后，进行策略匹配、安全联盟查找处理；2)进行报文解封装、数据解保护、数据验证处理；3)判断报文是否进行组合，若进行了组合，则进行报文拆分，将长报文还原为原始短报文；若未进行组合，则保持报文不变；4)将处理后原始报文通过OUTBOUND接口进行发送。7.一种网络数据小包高速IPsec处理系统，其特征在于，所述网络数据小包高速IPsec处理系统包括：协议处理单元、安全处理单元...

【专利技术属性】
技术研发人员：胡炜，单金良，李文，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：