【技术实现步骤摘要】
本申请涉及工业通信领域,尤其涉及一种数据包的加密的方法、装置、存储介质以及电子设备。
技术介绍
1、一般的交换机通常没有专门处理安全相关功能的硬件芯片,为了实现vpn功能,交换机采用了网络协议栈中的安全业务模块。这些模块负责处理vpn连接,但在很大程度上依赖软件层面的运算,vpn功能中采用了软件加密,这意味着安全操作是通过软件进行的,而这样的软件加密通常相对较慢,因此实现的vpn性能较低。一方面,安全业务模块通常属于网络协议栈的一部分,使用内核协议栈可能会导致内核态与用户态之间频繁切换,增加cpu开销。另一方面,纯软件的加密方式相对较容易受到攻击,安全性较低。
技术实现思路
1、本申请提供了一种数据包的加密的方法、装置、存储介质以及电子设备,以解决采用软件加密实现vpn功能导致cpu开销大且安全性较低的技术问题。
2、第一方面,本申请提供了一种数据包的加密的方法,包括:控制安全芯片对多个vpn数据包进行分类,以将上述多个vpn数据包平分至多个队列中;控制数据包处理工具将多个队列的vpn数据包转发至向量包处理引擎,并控制上述向量包处理引擎同时对每一个队列的vpn数据包进行过滤;控制上述数据包处理工具调用硬件加密芯片的应用程序编程接口,以操作上述硬件加密芯片同时对每一个队列的过滤后的vpn数据包进行硬件加密处理;控制上述数据包处理工具将每一个队列的加密后的vpn数据包转发至对应的目的地址。
3、第二方面,本申请提供了一种数据包的加密的装置,包括:第一控制模块,用
4、作为一种可选的示例,上述第一控制模块包括:获取单元,用于获取策略文件,其中,上述策略文件包括流哈希的元数据、队列基准以及策略名,上述元数据为vpn数据包的源地址,上述队列基准为相同流的vpn数据包划分至不同的队列中,上述策略名为队列名称;第一处理单元,用于根据上述策略文件,对上述多个vpn数据包进行流哈希处理,以将相同流的vpn数据包划分至不同的队列中。
5、作为一种可选的示例,上述第一处理单元包括:输入子单元,用于将每一个vpn数据包的源地址输入至哈希函数,得到对应的哈希值;确定子单元,用于在第一vpn数据包的第一哈希值与第二vpn数据包的第二哈希值的差值小于或等于预设值的情况下,将上述第一vpn数据包与上述第二vpn数据包确定为相同流的vpn数据包,其中,上述第一vpn数据包与上述第二vpn数据包为上述多个vpn数据包中的任意两个vpn数据包,划分子单元,用于根据所述策略名以及所述队列基准将所述相同流的vpn数据包划分至不同的队列。
6、作为一种可选的示例,上述第二控制模块包括:第二处理单元,用于将每一个队列的每一个vpn数据包作为当前vpn数据包,对上述当前vpn数据包执行如下操作:获取上述当前vpn数据包的mac地址,并在上述mac地址不是本机mac地址的情况下,将上述当前vpn数据包过滤;获取上述上述当前vpn数据包的业务模块,并在上述业务模块不是加密业务的情况下,将上述当前vpn数据包过滤。
7、作为一种可选的示例,上述装置还包括:处理模块,用于在控制上述数据包处理工具调用硬件加密芯片的应用程序编程接口,以操作上述硬件加密芯片同时对每一个队列的vpn数据包进行硬件加密处理之前,对上述向量包处理引擎的加密流程进行代码重构,以使上述向量包处理引擎在进行加密流程时,可以通过上述数据包处理工具调用上述硬件加密芯片的应用程序编程接口,以操作上述硬件加密芯片同时对每一个队列的过滤后的vpn数据包进行硬件加密处理。
8、作为一种可选的示例,上述装置还包括:加载模块,用于在控制上述数据包处理工具调用硬件加密芯片的应用程序编程接口,以操作上述硬件加密芯片同时对每一个队列的vpn数据包进行硬件加密处理之前,在上述数据包处理工具中加载上述硬件加密芯片的对应的硬件驱动,以使上述向量包处理引擎在进行加密流程时,通过上述数据包处理工具可以调用上述硬件加密芯片的应用程序编程接口,以操作上述硬件加密芯片同时对每一个队列的过滤后的vpn数据包进行硬件加密处理。
9、作为一种可选的示例,上述第三控制模块包括:控制单元,用于控制上述数据包处理工具调用硬件加密芯片的应用程序编程接口,以操作上述硬件加密芯片根据对应的硬件加密函数同时对每一个队列过滤后的的vpn数据包进行硬件加密处理。
10、第三方面,本申请提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被处理器运行时执行上述数据包的加密的方法。
11、第四方面,本申请还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为通过所述计算机程序执行上述的数据包的加密的方法。
12、在本申请实施例中,采用了控制安全芯片对多个vpn数据包进行分类,以将上述多个vpn数据包平分至多个队列中;控制数据包处理工具将多个队列的vpn数据包转发至向量包处理引擎,并控制上述向量包处理引擎同时对每一个队列的vpn数据包进行过滤;控制上述数据包处理工具调用硬件加密芯片的应用程序编程接口,以操作上述硬件加密芯片同时对每一个队列的过滤后的vpn数据包进行硬件加密处理;控制上述数据包处理工具将每一个队列的加密后的vpn数据包转发至对应的目的地址的方法,由于在上述方法中,使用数据包处理工具和向量包处理引擎的架构实现用户态协议栈加高性能转发,在此基础上,使用硬件加密芯片对vpn数据包进行硬件加密,使加密负载从cpu转移到硬件加密芯片上,以通过减少cpu开销来提高vpn性能。并且数据包处理工具中配置多线程多收发队列,实现多核负载分担,实现硬件并行加密,提高了vpn数据包的加密速度,进一步提升了vpn性能,还使用安全芯片实现初步分流,并作为向量包处理引擎的多队列接收数据来源,且安全芯片自带随机数发生器,不易破解,提高了数据传输过程的安全性。从而实现了通过采用硬件和软件协同加密实现减少cpu开销,提高数据传输过程的安全性的目的,进而解决了采用软件加密实现vpn功能导致cpu开销大且安全性较低的技术问题。
本文档来自技高网...【技术保护点】
1.一种数据包的加密的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述控制安全芯片对多个VPN数据包进行分类,以将所述多个VPN数据包平分至多个队列中包括:
3.根据权利要求2所述的方法,其特征在于,所述根据所述策略文件,对所述多个VPN数据包进行流哈希处理,以将相同流的VPN数据包划分至不同的队列中包括:
4.根据权利要求1所述的方法,其特征在于,所述控制所述向量包处理引擎同时对每一个队列的VPN数据包进行过滤包括:
5.根据权利要求1所述的方法,其特征在于,在控制所述数据包处理工具调用硬件加密芯片的应用程序编程接口,以操作所述硬件加密芯片同时对每一个队列的过滤后的VPN数据包进行硬件加密处理之前,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,在控制所述数据包处理工具调用硬件加密芯片的应用程序编程接口,以操作所述硬件加密芯片同时对每一个队列的过滤后的VPN数据包进行硬件加密处理之前,所述方法还包括:
7.根据权利要求1所述的方法,其特征在于,所述控制所述数据包处理工具调
8.一种数据包的加密的装置,其特征在于,包括:
9.一种计算机可读的存储介质,所述计算机可读的存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行所述权利要求1至7任一项中所述的方法。
10.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至7任一项中所述的方法。
...【技术特征摘要】
1.一种数据包的加密的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述控制安全芯片对多个vpn数据包进行分类,以将所述多个vpn数据包平分至多个队列中包括:
3.根据权利要求2所述的方法,其特征在于,所述根据所述策略文件,对所述多个vpn数据包进行流哈希处理,以将相同流的vpn数据包划分至不同的队列中包括:
4.根据权利要求1所述的方法,其特征在于,所述控制所述向量包处理引擎同时对每一个队列的vpn数据包进行过滤包括:
5.根据权利要求1所述的方法,其特征在于,在控制所述数据包处理工具调用硬件加密芯片的应用程序编程接口,以操作所述硬件加密芯片同时对每一个队列的过滤后的vpn数据包进行硬件加密处理之前,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,在控...
【专利技术属性】
技术研发人员:张泽维,
申请(专利权)人:北京东土科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。