[发明专利]基于虚拟环境下的软件加解密方法和系统

说明书

本发明涉及通信技术领域，具体涉及一种基于虚拟环境下的软件加解密方法和系统，方法包括以下步骤：S1、在用户态通过DPDK将所有对外接口上的数据根据IP报文的协议类型完成数据初步分类和重组，并根据解析结果进行信令数据和业务数据的分离；S2、将信令数据通过内核发送给用户态，以完成IPSec的信令交互以及IPSec的SA协商和链路建立；S3、在用户态通过Netlink接口和PF_KEY接口镜像提取链路的Sa/Sp/Route信息并进行链路信息配置；S4、最后在用户态根据数据流向对业务数据进行加密和解密处理以及路由转发。本发明大幅度的提高IPSec的系统处理能力，实现高性能的IPSec数据处理，满足IPSec处理的云虚拟化趋势。

技术领域

本发明涉及通信技术领域，具体涉及一种基于虚拟环境下的软件加解密方法和系统。

背景技术

“Internet协议安全性(IPSec)” 是一种由IETF设计的端到端的确保IP层通信安全的机制，是一种开放式框架结构。IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet KeyExchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。IKE协议是UDP之上的一个应用层协议，属于ipsec的信令协议。网络上两个通信端通过IKE协议的协商为IPSec建立SA（SecurityAssociation），并把建立的参数及生成的密钥交给IPSec。协商内容包括包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定了保护什么、如何保护以及谁来保护，SA是构成IPSec的基础。AH和ESP两个协议都使用IKE建立的SA来对IP报文加密或认证进行处理，从而保护对通信数据进行加密保护，确保数据在Internet上的可靠通讯，而IKE的主要功能就是在通信双方协商SA。

IKE和IPSec的关系如图3所示，常见的Windows、Linux系统目前已经支持IPSec协议族，使用操作系统中IPSec功能时，一般是通过内核软件的方式实现数据的加解密。由于复杂的加密/解密、认证算法会占用大量的CPU资源，从而影响系统的整体运行效率，无法用于多用户、大容量的数据处理。为了满足越来越高的处理速率，并降低传统软件方式下系统资源开销，IPSec中的加解密功能也可以通过专用的加密卡来实现。加密卡通常由专用的硬件芯片例如FPGA、专用芯片来实现，将复杂的加解密算法处理在专用的硬件上进行，从而提高了设备的处理效率。通过加密卡对数据进行加/解密处理的过程是：处理器将需要加/解密处理的数据发给加密卡，加密卡对数据进行处理，然后加密卡将处理后的数据发送回处理器，再由处理器进行后续转发处理。

采用专用的加解密硬件来实现数据加解密处理器时候，往往需要有相应的专用配套硬件来配合。综合成本相对较高，配置上也缺乏灵活性，不能满足加解密协议算法的无关性原则且无法实现虚拟云化处理。Intel® QuickAssist Technology协议处理方案可以实现服务器的加解密处理，也可以将设备透给虚拟设备使用，但是对应的成本较高，且软硬件技术设计上也较复杂。

综上所述，现有技术具有以下缺点：（1）高性能的数据加解密处理需要专用硬件设备配合，实现成本高，配置不灵活。（2）专用硬件的可扩展性差，实现周期长。（3）内核软件处理效率低，对于大规模加解密数据的处理不及时，延时比较大。

也就是说，目前的操作系统不能满足大流量数据的加解密要求；专用的加解密硬件又无法满足虚拟化要求；协处理器硬件设备成本高，技术复杂。因此，需要对现有技术的加解密方法进行改进，以实现高速安全的数据加解密服务，减少数据加解密对硬件设备的依赖。

发明内容