专利名称:一种Ipsec转发的方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种Ipsec转发的方法。
背景技术:
IPkc (因特网协议安全),是由 IETF(Internet Engineering Task Force)定义的一套在网络层提供因特网协议(IP)安全性的协议,其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性、保密性。它由一系列RFC文档组成,其中RFC2401定义IPkc的基本结构;RFC2402定义IPkc的验证头(AH) ;RFC2406定义IPkc的封装安全载荷(ESP) ;RFC2409定义IPSec的因特网密钥交换(IKE)。IPSec协议包括AH、ESP、IKE等。ESP封装安全载荷为IP载荷提供数据加密和验证的功能。AH认证头为IP头提供数据完整性和验证的功能。数据加密和验证算法由安全相关(SA)指定。IKE密钥交换为IPSec协议生成密钥。安全策略数据库(SPD)决定两个实体之间能否通讯及通讯转码方式。解析域(DOI)用来组合相关协议,通过使用ISAKMP协商安全连接。随着互联网的不断发展,以往的网络处理机制已经无法适应网络的发展,于是硬件技术领域出现了多核处理技术。多核处理技术使用多个处理核心共享缓存、存储空间、总线等资源,使得多个处理核心并行计算成为可能,为提高网络数据包处理性能提供了新的解决方案。目前的IPSec技术普遍采用多核cpu加硬件加/解密加速卡的组合方式来对数据进行加解密,cpu主要负责操作系统运行,IPSEC VPN系统的配置和维护,IPSEC VPN隧道协商(IKE),维护SPD数据库(需要加密的报文查找匹配相应的SPD数据项),维护SPD数据库(需要解密的报文查找匹配相应的SPD数据项)。硬件加/解密加速卡主要负责数据的加/解密,硬件加/解密加速卡加密时需要提供需要加密的数据报文和相应的SPD数据项, 硬件加/解密加速卡解密时需要提供需要解密的数据报文和相应的SADB数据项。cpu和硬件加/密卡通过加/解密队列进行数据交互,队列长度一定(例如最多暂存512个待处理的数据)。多核cpu和硬件加解密加速卡形成多对一的架构形式。此架构方式的确定是当多cpu满负荷运转时,会造成多cpu处理报文速度大于单硬件加解密卡,加解密队列满,丢报文的情况。这会在上网高峰期导致高级用户上网速度慢,用户体验差。现有技术通过qos来控制报文处理总量,并分配每个用户的带宽,以保证高级用户的上网体验。但是使用这种方法就需要对无qos功能的网络设备新增qos硬件,增加了成本。并且该方法在流量低的时候仍然为高级用户分配大量带宽,造成了对带宽的浪费。
发明内容
(一)要解决的技术问题本发明要解决的技术问题是提供一种Ipsec转发的方法,其能够提高高级用户的使用体验,并使不带qos功能的网络设备不必再安装qos设备,降低了成本。
( 二)技术方案为解决上述问题,本发明提供了一种Ipsec转发的方法,包括以下步骤A 对SPD数据库、SADB数据库中的每个具体数据项增加服务优先等级;B 根据所述服务优先等级优先处理优先级高的数据项。优选地,所述步骤B包括根据所述服务优先等级向预定的加解密队列中添加需要加密/解密的数据项的步骤。优选地,根据所述服务优先等级向预定的加解密队列中添加需要加密/解密的数据项,进一步包括判断所述加解密队列是否已满;若否,则直接添加加解密数据项;若是,则查找并剔除加解密队列中优先级比当前加解密数据项低的数据项并添加当前加解密数据项,若加解密队列中所有数据项的优先级都高于当前加解密数据项,则丢弃当前加解密数据项。优选地,所述步骤B还包括cpu获取与需要加解密的报文相应的SPD或SADB数据项的步骤。(三)有益效果本发明Ipsec转发的方法根据网络流量状况和用户的优先级的高低,动态地改变不同优先级用户的带宽,能够通过增加高级用户的带宽分布,提高高级用户的使用体验,使用本发明所述的方法不带qos功能的网络设备不必再安装qos设备,降低了成本。
图1为本发明实施方式中所述的一种Ipsec转发的方法的流程图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。如图1所示,本发明所述的一种Ipsec转发的方法,包括以下步骤A 对SPD数据库、SADB数据库中的每个具体数据项增加服务优先等级;B 根据所述服务优先等级优先处理优先级高的数据项。在步骤B中,cpu获取与需要加解密的报文相应的SPD或SADB数据项,而后根据所述服务优先等级向预定的加解密队列中添加需要加密/解密的数据项。具体通过以下步骤实现当所述加解密队列未满时,直接添加加解密数据项;当所述加解密队列已满时若加解密队列中存在优先级比当前加解密数据项低的数据,则剔除优先级比当前加解密数据项低的数据,并添加当前加解密数据项;若加解密队列中所有数据项的优先级都高于当前加解密数据项,则丢弃当前加解密数据项。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
权利要求
1.一种Ipsec转发的方法,其特征在于,包括以下步骤A 对SPD数据库、SADB数据库中的每个具体数据项增加服务优先等级; B 根据所述服务优先等级优先处理优先级高的数据项。
2.如权利要求1所述的Ipsec转发的方法,其特征在于,所述步骤B包括根据所述服务优先等级向预定的加解密队列中添加需要加密/解密的数据项的步骤。
3.如权利要求2所述的Ipsec转发的方法,其特征在于,根据所述服务优先等级向预定的加解密队列中添加需要加密/解密的数据项,进一步包括判断所述加解密队列是否已满;若否,则直接添加加解密数据项;若是,则查找并剔除加解密队列中优先级比当前加解密数据项低的数据项并添加当前加解密数据项,若加解密队列中所有数据项的优先级都高于当前加解密数据项,则丢弃当前加解密数据项。
4.如权利要求1所述的Ipsec转发的方法,其特征在于,所述步骤B还包括cpu获取与需要加解密的报文相应的SPD或SADB数据项的步骤。
全文摘要
本发明公开了一种Ipsec转发的方法,涉及网络安全技术领域,包括以下步骤A对SPD数据库、SADB数据库中的每个具体数据项增加服务优先等级;B根据所述服务优先等级优先处理优先级高的数据项。本发明Ipsec转发的方法根据网络流量状况和用户的优先级的高低,动态地改变不同优先级用户的带宽,能够通过增加高级用户的带宽分布,提高高级用户的使用体验,使用本发明所述的方法不带qos功能的网络设备不必再安装qos设备,降低了成本。
文档编号H04L12/56GK102420769SQ201110444550
公开日2012年4月18日 申请日期2011年12月27日 优先权日2011年12月27日
发明者陈海滨 申请人:汉柏科技有限公司