本发明专利技术公开了一种串行任务分工实现高性能网络加密的方法。单个网络加密模块因密码运算性能有限,无法满足高并发、大带宽等高性能要求,在大量应用场景中,需要使用负载均衡系统将大量数据分发到多个并行的网络加密模块中进行处理。本方法采用一种串行任务分工机制,让网络数据流量依次串行进入多个网络加密模块,通过一定的判断机制和标记方法让多个网络加密模块共同分担和完成所有网络流量的加密任务。本方法无需传统负载均衡系统即可实现将大量网络数据包均衡的分配到多个网络加密模块中,让网络加密系统拓扑更加精简、易部署,能够解决多种无法部署负载均衡的场景下高性能网络加密瓶颈的问题。能网络加密瓶颈的问题。能网络加密瓶颈的问题。
【技术实现步骤摘要】
一种串行任务分工实现高性能网络加密的方法
[0001]本专利技术涉及一种计算机网络通讯传输加密系统和技术,以及涉及多任务负载均衡处理技术。
技术介绍
[0002]在网络数据加密应用场景中(例如 VPN 加密网关、链路加密机、透明加密网卡等应用场景),单个网络加密模块因密码运算性能有限,无法满足高并发、大带宽等高性能要求。在大部分情况中,需要使用负载均衡系统将大量数据分发到多个并行的网络加密模块中进行处理(参见附图:图1)。
[0003]使用负载均衡系统也存在缺点:需要在网络系统中添加一个专用的负载均衡系统(以及多数情况下需要配套增加交换机),增加较大成本;另外会让网络拓扑结构变得复杂,故障点也会增加;在使用纯透明链路层加密机场景中,链路加密机本身可能没有 IP 地址和 MAC 地址,此时负载均衡器可能难以将数据包根据加密机的地址特征进行分发。
技术实现思路
[0004]针对现有负载均衡系统在网络加密场景下表现出来的不足,本专利技术提供了一种串行任务分工机制,让网络数据流量依次串行进入多个网络加密模块,通过一定的判断机制和标记方法让多个网络加密模块共同分担和完成所有网络流量的加密任务。本方法无需传统负载均衡系统即可实现将大量网络数据包均衡的分配到多个网络加密模块中,让网络加密系统更加精简、易部署;同时也能支持纯透明链路加密模块的多节点高性能协同工作,解决多种无法部署负载均衡的场景下高性能网络加密瓶颈的问题。
[0005]为实现上述目的,本专利技术提供如下技术方案:一种串行任务分工实现高性能网络加密的方法,其特征在于,所述方法至少包含2个网络加密模块,每个网络加密模块至少包含2个网络接口,网络加密模块中还包含数据包判断机制、加密功能、透传功能,以及标记功能;多个网络加密模块之间使用网线串行连接;网络数据能够从串行的多个网络加密模块中的第一个网络加密模块的网络接口中传入,依次穿过所有网络加密模块,从最后一个网络加密模块的网络接口中传出;所述网络加密模块能够使用预置的所述判断机制,对从网路接口中传入的数据包特征进行条件判断;判断的依据包括下列的一种或多种:该数据包是否包含已加密标识、当前所述网络加密模块性能是否达到阈值、根据数据包某种特征进行过滤匹配;符合条件的数据包使用所述加密功能进行处理,然后对加密后的数据包使用所述标记功能进行标记(防止后续所述网络加密模块再次对该数据进行加密)再发送出去;不符合条件的数据包使用所述透传功能直接发送出去;通过设定合理的所述判断机制,多个所述网络加密模块能够协同分工,共同完成所有网络数据包的加密任务。由于加密功能所耗用的系统资源和时间,远远大于透传功能所消耗的系统资源和时间,因此本方法实现了一种类似流水线的分时分工处理机制,达到
整体提升网络加密性能的目的。
[0006]根据一个优选的实施方式,所述的串行任务分工实现高性能网络加密的方法,其特征在于,串行执行任务分工的最后一个所述网络加密模块,采用较其他所述网络加密模块不同的所述判断机制,对所有尚未加密的数据包进行加密,防止未加密数据包透传出去的情况发生。
[0007]根据一个优选的实施方式,所述的串行任务分工实现高性能网络加密的方法,其特征在于,多个所述网络加密模块串行任务分工完成:解密、数字签名、数字签名验证、哈希运算、数据压缩、数据编解码功能中的一个或多个,原理和流程与加密操作类似。
[0008]根据一个优选的实施方式,所述的串行任务分工实现高性能网络加密的方法,其特征在于,不仅适用于网络接口和协议,还包括串行接口和协议、PCI
‑
E 接口和协议等。
[0009]综上所述,本专利技术与现有技术相比具有以下有益效果:(1).无需添加专用的负载均衡系统,增加直接成本和间接成本;(2).简化网络拓扑结构,更易组网;(3).多个网络加密模块可以在物理或逻辑上快速整合,对外表现为一个整体形态,更易推广、销售和部署(4).针对不具备 IP 地址和 MAC 地址的透明链路加密机来讲,大部分负载均衡器无法实现并行任务分工;本专利技术可满足要求(5).对于零部件类型的网络加密模块,如:PCI
‑
E 接口的网络加密卡来讲,额外添加传统负载均衡系统会让产品整机显得非常复杂;本专利技术可支持在多个PCI
‑
E 接口的网络加密卡之间实现串行任务分工,使得整机网路加密性能数倍增强。
附图说明
[0010]图1为传统网络加密场景使用负载均衡系统的示意图。
[0011]图2为本专利技术串行任务分工实现高性能网络加密的方法的示意图。
具体实施方式
[0012]下面结合附图和具体实施例对本专利技术的技术方案做进一步的说明。
[0013]一种串行任务分工实现高性能网络加密的方法,其特征在于,所述方法至少包含2个网络加密模块,每个网络加密模块至少包含2个网络接口,网络加密模块中还包含数据包判断机制、加密功能、透传功能,以及标记功能;多个网络加密模块之间使用网线串行连接;网络数据能够从串行的多个网络加密模块中的第一个网络加密模块的网络接口中传入,依次穿过所有网络加密模块,从最后一个网络加密模块的网络接口中传出;所述网络加密模块能够使用预置的所述判断机制,对从网路接口中传入的数据包特征进行条件判断;判断的依据包括下列的一种或多种:该数据包是否包含已加密标识、当前所述网络加密模块性能是否达到阈值、根据数据包某种特征进行过滤匹配;符合条件的数据包使用所述加密功能进行处理,然后对加密后的数据包使用所述标记功能进行标记(防止后续所述网络加密模块再次对该数据进行加密)再发送出去;不符合条件的数据包使用所述透传功能直接发送出去;通过设定合理的所述判断机制,多个所述网络加密模块能够协同分工,共同完成
所有网络数据包的加密任务。
[0014]实施例1:参见图2所示,系统包含网络加密模块A 和网络加密模块 B,每个网络加密模块分别包含2个网络接口,每隔网络加密模块中还包含数据包判断机制、加密功能、透传功能,以及标记功能;A 和 B之间使用网线串行连接;网络数据能够从A的网络接口中传入,处理后在另外一个网络接口传出,再传入B 的网络接口,处理后在另外一个网络接口传出;网络加密模块A使用预置的所述判断机制,对从网路接口中传入的数据包特征进行条件判断;判断的依据为:该数据包是否存在已加密标识、网络加密模块 A性能是否达到阈值;符合条件的数据包(不存在已加密标识,且本模块性能未达到阈值)使用加密功能进行处理,然后对加密后的数据包使用所述标记功能进行标记(防止后续所述网络加密模块再次对该数据进行加密)再发送出去;不符合条件的数据包(已经加密过了,或本模块当前性能达到阈值)使用所述透传功能直接发送出去;从网络加密模块A 中传出的数据包中,部分经过了加密并打上了标记,部分尚未加密;这些数据包继续传递到网络加密模块 B 中。网络加密模块B 会使用类似的判断机制,对符合条件的数据包进行加密并打上标识,最后所有数据包都将从B 的网络接口中传出来。
[0015]至此,网络加密模块A 和本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种串行任务分工实现高性能网络加密的方法,其特征在于:所述方法至少包含2个网络加密模块,每个网络加密模块至少包含2个网络接口,网络加密模块中还包含数据包判断机制、加密功能、透传功能,以及标记功能;多个网络加密模块之间使用网线串行连接;网络数据能够从串行的多个网络加密模块中的第一个网络加密模块的网络接口中传入,依次穿过所有网络加密模块,从最后一个网络加密模块的网络接口中传出;所述网络加密模块能够使用所述判断机制,对从网路接口中传入的数据包进行条件判断;判断的依据包括下列的一种或多种:该数据包是否包含已加密标识、当前所述网络加密模块性能是否达到阈值、数据包某种特征是否符合过滤规则;符合条件的数据包使用所述加密功能进行处理,然后对加密后的数据包使用所述标记功能进行标记(防止后续所述网络加密模块再次对该数据进行加密)再发送出去;不符合条件的...
【专利技术属性】
技术研发人员:张建国,付晓峰,
申请(专利权)人:北京国领科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。