一种快速加解密方法及网关的制作方法

一种快速加解密方法及网关的制作方法
【专利摘要】本发明公开了一种快速加解密方法及网关，涉及通信【技术领域】，用以提高网关对报文的加解密速度。该方法包括：在接收到报文时，根据所述报文的安全策略索引标识组信息查找是否存储有与所述标识组信息具有映射关系的安全关联SA信息及路由信息；如果是，则执行快速加解密过程，直接根据查找到的所述SA信息对所述报文进行加解密，并根据所述路由信息进行发送；如果否，则执行标准加解密过程。
【专利说明】—种快速加解密方法及网关
【技术领域】
[0001]本发明涉及通信【技术领域】，特别涉及一种加速加解密方法及网关。
【背景技术】
[0002]随着人们对公网上信息传输的安全性的重视日益提升，对数据安全传输的要求日益提高，各种安全技术都得到了迅猛发展。在通信系统中，为了确保业务的安全性，基站通过IPSec通道与网关建立安全连接。传统应用中，更多的是考虑传输的安全性，但是随着3G、4G网络的快速发展，在保证安全性的前提下提高安全网关的处理速度使之不成为整个网络发展的瓶颈已经越来越重要。当基站与安全网关建立加密信道并且通信时，报文需要分步骤，分别查找用于决定报文处理结果的安全策略(SP)信息、加解密所需要的安全关联(SA)信息和转发所需的路由信息，这种传统模式的加解密流程比较繁杂，容易影响系统数据的传输速率。
[0003]在传统的加密和解密处理流程的实际应用情境中，经常会出现大量报文需要经过网关加解密的情况，这样加解密数据的处理会给网关带来较大的压力，导致网关处理能力不能满足需求，容易出现丢包现象，通信会出现中断、语音质量差或者数据中断的问题。

【发明内容】

[0004]本发明实施例提供了一种快速加解密方法及网关，用以提高网关对报文的加解密速度。
[0005]本发明提供了一种快速加解密方法，该方法包括:
[0006]在接收到报文时，根据所述报文的标识组信息查找是否存储有与所述标识组信息具有映射关系的安全关联SA信息及路由信息；
[0007]如果是，则执行快速加解密过程，直接根据查找到的所述SA信息对所述报文进行加解密，并根据所述路由信息进行发送；
[0008]如果否，则执行标准加解密过程。
[0009]在本发明上述技术方案中，提供了一种快速加解密的方法，将SA信息和路由信息关联储存，即让标识组信息与SA信息和路由信息直接建立映射关系，这样在对报文进行加密或解密时，仅需根据标识组信息查找一次即可找到所需的SA信息和路由信息，明显加快了报文的处理速度，提升了处理效率。
[0010]在本发明上述技术方案的基础上，优选地，在所述标准加密过程或解密过程完成后，该方法还包括:
[0011]将生成的所述SA信息和所述路由信息建立关联关系，并与所述标识组信息建立对应的映射关系。
[0012]在本发明上述技术方案中，提供了 一种建立标识组/[目息与关联关系SA的映射关系的方法，由于经过标准加解密方法处理过的报文，可以得到标识组信息与SP信息、SA信息和路由信息的对应关系,所以可以根据这些对应关系将SA信息和路由信息储存，并与标识组信息建立映射关系，这样在下一次具有该标识组信息的报文到来时，可以直接提取对应的SA信息和路由信息直接处理，不用再次进行标准加解密流程。
[0013]在本发明上述技术方案的基础上，优选地，该方法还包括对建立的所述关联关系设置了更新周期，在每周期开始时删除上一周期建立的所有所述关联关系。
[0014]本发明上述技术方案为了保证建立的关联关系及映射关系的正确性，所以设定了一个更新周期，也可称为老化时间，这样保证每个建立的关联关系都仅使用一段时间，避免由于SA信息或路由信息的变动导致原建立的关联关系错误导致的报文加解密流程错误，保证了关联关系的及时更新。
[0015]本发明提供了一种快速加解密网关，该网关包括:
[0016]接收端口，用于接收报文；
[0017]处理器，用于根据所述报文的标识组信息向存储器查找是否存储有与所述标识组信息具有映射关系的安全关联SA信息及路由信息；
[0018]如果是，则执行快速加解密过程，直接根据查找到的所述SA信息对所述报文进行加解密；
[0019]如果否，则执行标准加解密过程；
[0020]存储器，用于存储标识组信息、安全关联SA信息及路由信息；
[0021]发送端口，用于将加解密完成的报文根据所述路由信息进行发送。
[0022]在本发明上述实施例中，提供了一种能够实现快速加解密的网关，相比于传统网关，本发明实施例中的处理器内部提前存储了多个SA信息和路由信息，并与不同的标识组信息建立了映射关系，这样在接收到报文时，可以根据报文的标识组信息判断是否能够执行快速加解密过程，符合条件的报文快速完成加解密，对不符合条件的再执行标准加解密过程。
[0023]本发明实施例，通过提前储存SA信息和路由信息与报文的标识组信息的映射关系，从而在接收到报文时，根据报文的标识组信息判断该报文是否可以进行快速加解密流程。
【专利附图】

【附图说明】
[0024]图1为本发明实施例提供的一种快速加解密方法的方法流程示意图；
[0025]图2为本发明实施例提供的一种快速加解密网关的装置结构示意图；
[0026]图3为本发明实施例提供的一种快速加解密方法的详细实施例流程示意图。
【具体实施方式】
[0027]传统的安全网关实施方案，在加密或者解密处理的时候要首先对报文进行处理才能获取相关的信息，在加解密处理的时候每一个报文都要查找SP信息来对相应的SA信息进行校验，在发包的时候每一次都要查找路由表来发送，流程繁杂而且大量的查找消耗大量的时间。大量用户在线进行语音通信或者有大量的数据业务时，这会对网关的负荷非常大，较容易出现超负荷工作，导致语音数据出现丢包、下载速度慢，用户体验较差。
[0028]本发明实施例提供了一种快速加解密方法及网关，用以提高网关对报文的加解密速度。本发明总体来说，主要是在充分了解了传统网关加解密处理流程的基础上，实现了一种保障了安全网关的安全性能，同时改善了网关对多制式处理的支持、降低了安全网关处理大量数据时的丢包率、大大提升安全网关的处理能力进而提高了整个网关的处理性能的方法。经 申请人:的实际测试，本发明对安全网关处理速度的改善非常明显，可以将安全网关处理加解密数据报文的速度提升10倍左右。
[0029]首先，为了更加凸显本发明的优势，先对现有的传统加解密过程进行介绍:
[0030]( I )，所述标准加密过程包括:
[0031]根据所述报文的源IP信息和目的IP信息查找所述报文的安全策略SP信息，具体地，根据所述报文的源IP信息和目的IP信息可以确定出报文方向，根据报文方向可以迅速的查找到对应的SP信息；
[0032]根据所述SP信息判断是否需要对所述报文进行加密；
[0033]如果是，则根据所述SP信息查找对应的SA信息；
[0034]根据所述SA信息对所述报文进行加密；
[0035]根据所述报文中包含的目的IP查找路由表获取路由信息；
[0036]根据所述路由信息发送加密完成的所述报文。
[0037](2)，所述标准解密过程包括:
[0038]根据所述报文的SPI标识和协议信息查找所述报文的SA信息，与标准加密过程相同的是，在查找SA信息时，也需要报文方向才能准确的查找出SA信息；
[0039]根据所述SA信息查找SP信息判断是否需要对所述报文进行解密；
[0040]如果是，则根据所述SA信息对所述报文进行解密；
[0041]根据所述报文中包含的目的IP查找路由表获取路由信息；
[0042]根据所述路由信息发送解密完成的所述报文。
[0043]通过上述的标准加密过程和标准解密过程，可以明显看出传统加解密过程中，需要分别、分步骤的依次查找SP信息、路由信息和SA信息，这样对每一个报文均进行多步骤的查询过程在系统压力很大的时候有可能会造成系统的瘫痪，造成报文的丢失。
[0044]针对这种情况，本发明实施例提供了一种快速加解密方法，如图1所示，该方法包括:
[0045]S101，在接收到报文时，根据所述报文的标识组信息查找是否存储有与所述标识组信息具有映射关系的安全关联SA信息及路由信息；
[0046]S102，如果是，则执行快速加解密过程，直接根据查找到的所述SA信息对所述报文进行加解密，并根据所述路由信息进行发送；
[0047]S103,如果否，则执行标准加解密过程。
[0048]在本发明上述实施例中，提供了一种快速加解密的方法，将SA信息和路由信息关联储存，即让标识组信息与SA信息和路由信息直接建立映射关系，这样在对报文进行加密或解密时，仅需根据标识组信息查找一次即可找到所需的SA信息和路由信息，明显加快了报文的处理速度，提升了处理效率。
[0049]简单说明一下上面提及的标识组信息，该信息一般包括源IP信息、目的IP信息、源端口信息、目的端口信息、协议信息及安全策略索引SPI标识。这些信息可以辅助网关知晓该报文是否需要加解密和报文的去向等。上面所述的根据标识组信息查找映射关系的意思是与该标识组信息内所有信息具有映射关系的SA信息和路由信息。[0050]简单来说，本发明方法其实是在设置两条报文的处理流程，对符合快速处理条件的报文快速处理，对不符合条件的按照传统方法处理。快速处理条件即是否能够查找到与该报文的标识组信息存在映射关系的SA信息和路由信息。
[0051]对本发明建立的映射关系进行进一步解释，在传统过程中，SP信息和SA信息是一一对应的关系，而标识组信息内的各项标识在标准流程中与SP信息、SA信息和路由信息建立出映射关系的，在实际操作中，需要注意的是，存储的SA信息和路由信息所对应的SPIh息应是需要解密或加密的息内容。
[0052]可以理解的是，本发明中储存的SA信息和路由信息的条数可以根据需要进行设置，当然，本发明在使用时，可能会出现根据有些报文的标识组信息找不到存在映射关系的SA信息，那么对于这些报文，就可以利用上述传统的、标准加解密方法进行处理，优选地，在所述标准加密过程或解密过程完成后，该方法还包括:
[0053]将生成的所述SA信息和所述路由信息建立关联关系，并与所述标识组信息建立对应的映射关系。
[0054]在本发明上述实施例中，提供了 一种建立标识组信息与关联关系的映射关系的实施例，由于经过标准加解密方法处理过的报文，可以得到标识组信息与SP信息、SA信息和路由信息的对应关系，所以可以根据这些对应关系将SA信息和路由信息储存，并与标识组信息建立映射关系，这样在下一次具有该标识组信息的报文到来时，可以直接提取对应的SA信息和路由信息直接处理，不用再次进行标准加解密流程。
[0055]优选地，该方法还包括对建立的所述关联关系设置了更新周期，在每周期开始时删除上一周期建立的所有所述关联关系。
[0056]在本发明实施例中，可以理解的是，储存时，可以将SA信息与路由信息绑定存储形成关联关系，让关联关系与标识组信息建立映射关系；
[0057]同样，存储时，可以将SA信息与路由信息分别储存，分别于标识组信息建立映射关系。由于本发明是在实际使用时，是直接通过标识组信息查找存储的SA信息和路由信息，略过了 SP信息的查找和通过SP信息查找SA信息的过程，所以本发明实施例为了保证建立的关联关系及映射关系的正确性，所以设定了一个更新周期，也可称为老化时间，这样保证每个建立的关联关系都仅使用一段时间，避免由于SA信息或路由信息的变动导致原建立的关联关系错误导致的报文加解密流程错误，保证了关联关系的及时更新。
[0058]对应上述方法，本发明还提供了一种快速加解密网关，如图2所示，该网关包括:
[0059]接收端口 I，用于接收报文；
[0060]处理器2，用于根据所述报文的标识组信息向存储器查找是否存储有与所述标识组信息具有映射关系的安全关联SA信息及路由信息；
[0061]如果是，则执行快速加解密过程，直接根据查找到的所述SA信息对所述报文进行加解密；
[0062]如果否，则执行标准加解密过程；
[0063]存储器3，用于存储标识组信息、安全关联SA信息及路由信息；
[0064]发送端口 4，用于将加解密完成的报文根据所述路由信息进行发送。
[0065]在本发明上述实施例中，提供了一种能够实现快速加解密的网关，相比于传统网关，本发明实施例中的处理器内部提前存储了多个SA信息和路由信息，并与不同的标识组信息建立了映射关系，这样在接收到报文时，可以根据报文的标识组信息判断是否能够执行快速加解密过程，符合条件的报文快速完成加解密，对不符合条件的再执行标准加解密过程。
[0066]在本发明上述实施例的基础上，一般地，所述处理器进行的标准加密过程包括:
[0067]根据所述报文的源IP信息和目的IP信息查找所述报文的安全策略SP信息；
[0068]根据所述SP信息判断是否需要对所述报文进行加密；
[0069]如果是，则根据所述SP信息查找对应的SA信息；
[0070]根据所述SA信息对所述报文进行加密；
[0071]根据所述报文中包含的目的IP查找路由表获取路由信息；
[0072]根据所述路由信息发送加密完成的所述报文。
[0073]在本发明上述实施例的基础上，一般地，所述处理器进行的标准解密过程包括:
[0074]根据所述报文的SPI标识和协议信息查找所述报文的SA信息；
[0075]根据所述SA信息查找SP信息判断是否需要对所述报文进行解密；
[0076]如果是，则根据所述SA信息对所述报文进行解密；
[0077]根据所述报文中包含的目的IP查找路由表获取路由信息；
[0078]根据所述路由信息发送解密完成的所述报文。
[0079]在本发明上述实施例的基础上，优选地，所述处理器在所述标准加密过程或解密过程完成后，将生成的所述SA信息和所述路由信息建立关联关系，并与所述标识组信息建立对应的映射关系。
[0080]在本发明上述实施例的基础上，一般地，该网关还包括定时器，用于周期性的通知处理器在每周期开始时删除上一周期建立的所有所述关联关系。
[0081]为了更清楚的理解本发明提供的快速加解密网关的工作过程，如图3所示，现在以网关一次对报文的加密过程为例，进行详细解释:
[0082]S201，网关的接收端口接收到报文，根据检查报文头发现是需要加密的报文；
[0083]S202，处理器根据该报文的标识组信息查找已经储存的映射关系中是否存在于所述标识组信息存在对应的关联关系；
[0084]S203，如果是，处理器则按照查找到的所述关联关系中的SA信息和路由信息对所述报文进行加密过程，并通过发送端口将加密完成的报文根据路由信息发送；
[0085]S204，如果否，处理器根据所述报文的源IP信息和目的IP信息查找所述报文的安全策略SP信息；
[0086]S205，根据所述SP信息判断是否需要对所述报文进行加密；
[0087]S206，如果是，则根据所述SP信息查找对应的SA信息；
[0088]S207，如果否，根据所述SP信息的指示丢弃所述报文或转发给另外的网关或网元;
[0089]S208，根据所述SA信息对所述报文进行加密；
[0090]S209，根据所述报文中包含的目的IP查找路由表获取路由信息；
[0091]S210，根据所述路由信息发送加密完成的所述报文；
[0092]S211，处理器将上述路由信息和SA信息建立关联关系，并与所述标识组信息形成映射关系。[0093]通过上述实施例，详细的介绍了一次网关对报文的加密过程，通过上述流程可以看出，如果走快速加密流程的话，该流程在S203就已经结束了，走标准加密流程需要S205-S209至少4个步骤，明显过程繁琐，在服务器需要大量处理报文的情况下，非常可能会造成系统瘫痪，报文时延过长等不良后果，所以本发明通过优化流程的方式，让本发明方法及网关可以在实际工作中较大的提高服务器的工作效率。
[0094]本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
[0095]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0096]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0097]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0098]显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种快速加解密方法，其特征在于，该方法包括: 在接收到报文时，根据所述报文的标识组信息查找是否存储有与所述标识组信息具有映射关系的安全关联SA信息及路由信息； 如果是，则执行快速加解密过程，直接根据查找到的所述SA信息对所述报文进行加解密，并根据所述路由信息进行发送； 如果否，则执行标准加解密过程。
2.如权利要求1所述的方法，其特征在于，所述报文的标识组信息包括源IP信息、目的IP信息、源端口信息、目的端口信息、协议信息及安全策略索引SPI标识。
3.如权利要求2所述的方法，其特征在于，所述标准加密过程包括: 根据所述报文的源IP信息和目的IP信息查找所述报文的安全策略SP信息； 根据所述SP信息判断是否需要对所述报文进行加密； 如果是，则根据所述SP信息查找对应的SA信息； 根据所述SA信息对所述报文进行加密； 根据所述报文中包含的目的IP查找路由表获取路由信息； 根据所述路由信息发送加密完成的所述报文。
4.如权利要求2所述`的方法，其特征在于，所述标准解密过程包括: 根据所述报文的SPI标识和协议信息查找所述报文的SA信息； 根据所述SA信息查找SP信息判断是否需要对所述报文进行解密； 如果是，则根据所述SA信息对所述报文进行解密； 根据所述报文中包含的目的IP查找路由表获取路由信息； 根据所述路由信息发送解密完成的所述报文。
5.如权利要求3或4所述的方法，其特征在于，在所述标准加密过程或解密过程完成后，该方法还包括: 将生成的所述SA信息和所述路由信息建立关联关系，并与所述标识组信息建立对应的映射关系。
6.如权利要求5所述的方法，其特征在于，该方法还包括对建立的所述关联关系设置了更新周期，在每周期开始时删除上一周期建立的所有所述关联关系。
7.一种快速加解密网关，其特征在于，该网关包括: 接收端口，用于接收报文； 处理器，用于根据所述报文的标识组信息向存储器查找是否存储有与所述标识组信息具有映射关系的安全关联SA信息及路由信息； 如果是，则执行快速加解密过程，直接根据查找到的所述SA信息对所述报文进行加解密； 如果否，则执行标准加解密过程； 存储器，用于存储标识组信息、安全关联SA信息及路由信息； 发送端口，用于将加解密完成的报文根据所述路由信息进行发送。
8.如权利要求7所述的网关，其特征在于，所述报文的标识组信息包括源IP信息、目的IP信息、源端口信息、目的端口信息、协议信息及安全策略索引SPI标识。
9.如权利要求8所述的网关，其特征在于，所述处理器进行的标准加密过程包括:根据所述报文的源IP信息和目的IP信息查找所述报文的安全策略SP信息； 根据所述SP信息判断是否需要对所述报文进行加密； 如果是，则根据所述SP信息查找对应的SA信息； 根据所述SA信息对所述报文进行加密； 根据所述报文中包含的目的IP查找路由表获取路由信息； 根据所述路由信息发送加密完成的所述报文。
10.如权利要求8所述的网关，其特征在于，所述处理器进行的标准解密过程包括: 根据所述报文的SPI标识和协议信息查找所述报文的SA信息； 根据所述SA信息查找SP信息判断是否需要对所述报文进行解密； 如果是，则根据所述SA信息对所述报文进行解密； 根据所述报文中包含 的目的IP查找路由表获取路由信息； 根据所述路由信息发送解密完成的所述报文。
11.如权利要求9或10所述的网关，其特征在于，所述处理器在所述标准加密过程或解密过程完成后，将生成的所述SA信息和所述路由信息建立关联关系，并与所述标识组信息建立对应的映射关系。
12.如权利要求11所述的网关，其特征在于，该网关还包括定时器，用于周期性的通知处理器在每周期开始时删除上一周期建立的所有所述关联关系。
【文档编号】H04L12/66GK103780605SQ201410007586
【公开日】2014年5月7日 申请日期:2014年1月7日 优先权日:2014年1月7日
【发明者】李剑荣, 张海泉, 余筱, 谢小梅 申请人:京信通信系统（中国）有限公司