[发明专利]一种IPsec数据处理方法、终端及存储介质

说明书

本申请涉及一种IPsec数据处理方法、终端及存储介质，属于网络安全的技术领域，其方法包括：获取当前数据流的第一个数据包；记录第一个数据包的五元组信息，获得会话五元组；查找SA；基于会话五元组建立会话；将SA记录到会话中；获取当前数据流的后续数据包；记录后续数据包的五元组信息，获得后续五元组；判断后续五元组与会话五元组是否匹配；若是，则提取会话中的SA；基于SA对后续数据包进行加密或解密。本申请具有提高IPsec加密或解密的速度，降低IPsec协议栈处理数据包的开销的效果。

技术领域

本申请涉及网络安全的技术领域，尤其是涉及一种IPsec数据处理方法、终端及存储介质。

背景技术

目前IPsec作为一种在IP层对数据进行加密认证的网络传输协议在网络安全领域发挥越来越重要的作用。IPsec协议对数据的保护主要通过认证头(AH)、封装安全载荷（ESP）、安全关联（SA）、秘钥协议（IKE）四部分来完成。

随着不同多样化的应用场景的出现，以及网络数据量吞吐的增加，IPsec隧道增多，IPsec加解密的效率成为了限制性能的主要因素。虽然可以通过一些硬件加解密机制来提升IPsec加解密的效率，但是这一方面增加了硬件成本，另一方面这种做法并没降低IPsec协议栈处理数据包的开销。

发明内容

为了降低IPsec协议栈处理数据包的开销，本申请提供一种IPsec数据处理方法、终端及存储介质。

第一方面，本申请提供一种IPsec数据处理方法，采用如下的技术方案：

一种IPsec数据处理方法，包括：

获取当前数据流的第一个数据包；

记录所述第一个数据包的五元组信息，获得会话五元组；

查找SA；

基于所述会话五元组建立会话；

将所述SA记录到所述会话中；

获取当前数据流的后续数据包；

记录所述后续数据包的五元组信息，获得后续五元组；

判断所述后续五元组与所述会话五元组是否匹配；

若是，则提取所述会话中的SA；

基于所述SA对所述后续数据包进行加密或解密。

通过采用上述技术方案，记录当前数据流的第一个数据包的五元组信息，获得会话五元组，然后根据会话五元组建立会话，然后查找与第一个数据包匹配的SA，并将SA记录到会话上，方式较为简便。然后获取当前数据流后续的数据，即后续数据包，并根据后续数据包的五元组信息获取后续五元组，当后续五元组与会话五元组匹配时，提取当前会话上的SA，然后通过提取到的SA对数据流中通过的后续数据包进行加密或者解密，不需要每次处理数据包的时候都重新查找SA，从而能提高IPsec加密或解密的速度，降低IPsec协议栈处理数据包的开销。

作为优选，所述查找SA的方式对于解密方向是基于三元组查找，对于加密方向是基于路由信息查找。

通过采用上述技术方案，通过三元组和路由信息查找SA较为方便快捷，能够提高查找效率。

作为优选，所述提取所述会话中的SA之前还包括：

根据所述后续五元组获取哈希值；

获取哈希表；

所述哈希表包括相互关联的预设哈希值和预设会话；

将所述哈希值与所述预设哈希值进行匹配，并获得匹配结果；

当所述匹配结果为匹配成功时，获取所述哈希表中相应的所述预设会话；

将所述预设会话作为所述会话。

通过采用上述技术方案，根据后续

五元组获取哈希值，然后获取哈希表，并将哈希值与哈希表中的预设哈希值进行匹配，当匹配成功之后获取哈希表中的预设会话，然后将预设会话作为会话。进而能够有效的提高会话获取的准确性。