[发明专利]一种低速SMP与高速密码卡的高效适配方法

说明书

本发明公开了一种低速SMP与高速密码卡的高效适配方法，将IPSec加解密过程分为取报文、IPSec加解密前处理、IPSec加解密后处理、硬件加解密处理、发报文共五个阶段，每个阶段分别由一或两个CPU核心处理；报文被取出后根据加密或解密操作被分别送入到两个队列，由两个CPU核心并行做IPSec加、解密前处理后，再统一送入密码卡中处理，处理后再根据加密或解密操作类型被分别送入到两个队列，由两个CPU核心并行做IPSec后处理。本发明采用加解密流程分段与加解密双队列共同来实现加解密部件和其他功能部件的重叠执行；同时由于无需处理加解密数据流的保序问题，本发明可以大幅度提高设备整机吞吐能力。

技术领域

本发明涉及一种采用硬件密码卡加密的IPSec VPN系统中，多核心低速CPU与高速硬件密码卡高效协同工作的方法。

背景技术

虚拟专用网络(Virtual Private Network，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay(帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

由于保密安全产品的特殊性，国内IPSec VPN产品使用的密码卡采用的是经国家密码管理办公室审批专用的密码芯片，与当前计算机发展水平的CPU处理能力相比，其算法处理速度提升空间比较大，市场逐渐出现一些高速密码芯片，而采用高速密码芯片加密的VPN设备性能瓶颈往往出现在CPU上。因此通过单纯的提高CPU的工作频率已经无法有效的解决高性能IPSec VPN系统的速度要求。为了提高符合国密标准IPSec VPN的性能，我们提出了一种新的用于多核CPU并行处理IPSec VPN的加密方法，通过并行处理来达到提高IPSec VPN设备吞吐率的目标。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种低速SMP与高速密码卡的高效适配方法。

本发明解决其技术问题所采用的技术方案是：一种低速SMP与高速密码卡的高效适配方法，包括如下步骤：

步骤一、将IPSec VPN的报文处理过程分为取报文、IPSec VPN前处理、加解密、IPSec VPN后处理、发报文五个阶段；

步骤二、将IPSec前处理分为IPSec加密前处理与IPSec解密前处理；将IPSec后处理阶段分为IPSec加密后处理与IPSec解密后处理，每种处理分别由一个CPU核心处理；

步骤三、报文被取出后根据加密或解密操作被分别送入到两个队列，由两个CPU核心并行做IPSec前处理后，再统一送入密码卡中处理，处理后再根据加密或解密操作被分别送入到两个队列，由两个CPU核心并行做IPSec后处理。

与现有技术相比，本发明的积极效果是：针对现有国密标准VPN产品中存在的CPU与密码卡负载不均匀的问题，提供一种IPSec VPN设备系统在多核CPU单密码卡环境下并行保序的加解密的方法。国密标准的IPSec VPN产品对数据的加解密运算主要是由密码芯片来进行。由于密码卡采用的这些密码芯片进行加解密操作与系统其他功能部件之间具有极大的独立性。因此，本发明采用加解密流程分段与加解密双队列共同来实现加解密部件和其他功能部件的重叠执行；同时由于无需处理加解密数据流的保序问题，本发明可以大幅度提高设备整机吞吐能力。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1是IPSec VPN的报文处理过程的示意图；

图2是传统的顺序处理方式与时间关系图；