專利名稱：網(wǎng)絡(luò)密碼機(jī)的幀組加密方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)密碼機(jī)的幀組數(shù)據(jù)加密方法，確切地說(shuō)是涉及提高千兆網(wǎng)絡(luò)密碼機(jī)處理小數(shù)據(jù)包(指長(zhǎng)度為64字節(jié)的數(shù)據(jù)包)的能力、加速數(shù)據(jù)包在千兆網(wǎng)絡(luò)上傳輸效率的方法。
背景技術(shù)：
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)吞吐率日益提高，帶寬由10M、100M發(fā)展到現(xiàn)在流行的1000M。高速發(fā)展的網(wǎng)絡(luò)帶寬也促使IP加密產(chǎn)品(即在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行加密、認(rèn)證等處理的網(wǎng)絡(luò)產(chǎn)品)的性能，必須不斷地提升才能滿足市場(chǎng)需求。目前，IP加密系列產(chǎn)品已經(jīng)實(shí)現(xiàn)了從10M到1000M，低、中、高端全面覆蓋的一系列產(chǎn)品。但是，由于受千兆密碼機(jī)對(duì)小數(shù)據(jù)包處理能力的限制，它已經(jīng)成為制約IP加密產(chǎn)品進(jìn)一步發(fā)展的瓶頸。
其一傳統(tǒng)的Iinux+工控平臺(tái)的主體架構(gòu)面臨高吞吐率的挑戰(zhàn)從密碼機(jī)目前的技術(shù)現(xiàn)狀來(lái)看，由于主要采用Iinux+X86架構(gòu)工控平臺(tái)的開發(fā)模式，這種基于Intel×86工控平臺(tái)架構(gòu)下的密碼機(jī)，在100Mbps帶寬下的性能可以滿足用戶的需求。但是，隨著千兆網(wǎng)絡(luò)的建設(shè)或升級(jí)，出現(xiàn)的新問(wèn)題是帶寬提高9倍，可是系統(tǒng)總線、接口沒有質(zhì)的提高，而CPU處理能力并沒有提高9倍，對(duì)于要完成數(shù)據(jù)包過(guò)濾、加解密、路由轉(zhuǎn)發(fā)等一系列任務(wù)的網(wǎng)絡(luò)密碼機(jī)來(lái)說(shuō)，這樣的硬件和結(jié)構(gòu)要滿足千兆環(huán)境要求是比較困難的。
其二Intel×86架構(gòu)下PCI總線的帶寬成為密通吞吐率的瓶頸
PCI總線是一種通用的接口總線技術(shù)，以其通用性和靈活性得到廣泛的應(yīng)用，已成為Intel×86平臺(tái)的標(biāo)準(zhǔn)。但實(shí)際應(yīng)用中，尤其是它在處理小數(shù)據(jù)包(指長(zhǎng)度小于128字節(jié)的IP數(shù)據(jù)包)情況下，遠(yuǎn)達(dá)不到2Gbps吞吐量的標(biāo)稱性能；千兆網(wǎng)絡(luò)密碼機(jī)主要構(gòu)成是支持64位PCI總線的PCI-X服務(wù)器平臺(tái)+雙志強(qiáng)CPU2.4G+兩張Intel千兆網(wǎng)卡+兩張千兆加密卡。使用專用設(shè)備對(duì)千兆網(wǎng)絡(luò)密碼機(jī)進(jìn)行了雙向加密傳輸吞吐率測(cè)試。對(duì)于PCI接口的加密卡加密速率測(cè)試表明，兩張加密卡每張卡的加密速率，在數(shù)據(jù)包長(zhǎng)度達(dá)到以太網(wǎng)最大數(shù)據(jù)傳輸長(zhǎng)度1518字節(jié)時(shí)，其加密速率為800Mbps，而數(shù)據(jù)包長(zhǎng)度為64字節(jié)時(shí)的加密速率只能達(dá)到32Mbps。雙向加密傳輸吞吐率全部測(cè)試結(jié)果表明，數(shù)據(jù)包長(zhǎng)度越小吞吐率越低，而對(duì)系統(tǒng)資源占用越大。
其三CPU頻繁的中斷處理壓力成為小數(shù)據(jù)包處理速率難突破的關(guān)鍵中斷是為了提高CPU利用率而生成的技術(shù)。當(dāng)硬件需要得到CPU處理時(shí)而產(chǎn)生的信號(hào)就是中斷。但CPU的處理能力是有限的，它不僅要處理中斷還要處理其它繁重的任務(wù)，在網(wǎng)絡(luò)密碼機(jī)平臺(tái)上CPU的大量時(shí)間都用在處理網(wǎng)卡、加密卡中斷和數(shù)據(jù)包收發(fā)處理上，而CPU優(yōu)先處埋中斷。在高負(fù)荷的網(wǎng)絡(luò)中，網(wǎng)卡、加密卡的中斷非常頻繁，CPU把大量時(shí)間用于處理中斷，數(shù)據(jù)包接收后由于得不到處理而堆積，當(dāng)接收隊(duì)列溢出數(shù)據(jù)包就會(huì)丟失，資源被浪費(fèi)掉，任務(wù)無(wú)法得到執(zhí)行，導(dǎo)致網(wǎng)絡(luò)負(fù)載高情況下網(wǎng)絡(luò)吞吐率降低，這點(diǎn)在小包處理上尤為突出。如何有效降低CPU中斷處理頻率，節(jié)省中斷處理開銷是提高小包加密吞吐率的關(guān)鍵。
現(xiàn)有技術(shù)的缺欠在于(一)目前的軟件對(duì)處理長(zhǎng)度為64字節(jié)至1518字節(jié)的數(shù)據(jù)包，都采用同樣的中斷處理方式，這對(duì)處理大數(shù)據(jù)包是沒有困難的，但對(duì)處理小數(shù)據(jù)包就會(huì)由于過(guò)度頻繁地中斷，而導(dǎo)致吞吐能力嚴(yán)重下降。例如密碼機(jī)全線速傳輸速率為1000Mbps，且大、小數(shù)據(jù)包傳輸速率均為1000Mbps，傳輸一個(gè)數(shù)據(jù)包只產(chǎn)生一個(gè)中斷。當(dāng)采用滿包(1518字節(jié))方式傳送時(shí)，一秒鐘可以傳送0.082M個(gè)數(shù)據(jù)包，而以64字節(jié)小數(shù)據(jù)包傳送時(shí)，一秒鐘需傳送1.953M個(gè)數(shù)據(jù)包，這就意味著在同樣吞吐能力下，傳輸小數(shù)據(jù)包每秒所要產(chǎn)生的中斷數(shù)是大數(shù)據(jù)包中斷數(shù)的24倍。因此，這種軟件處理方式，會(huì)造成小數(shù)據(jù)包中斷處理明顯受工控平臺(tái)性能的制約。
(二)Iinux內(nèi)核中，對(duì)數(shù)據(jù)包接收處理的方法是針對(duì)每個(gè)數(shù)據(jù)包，都要分配存儲(chǔ)空間、再將承載數(shù)據(jù)送到各個(gè)協(xié)議層進(jìn)行處理、之后將數(shù)據(jù)包發(fā)送或丟棄、再釋放存儲(chǔ)空間，這樣頻繁地分配與釋放內(nèi)存，必然導(dǎo)致對(duì)CPU資源利用的巨大浪費(fèi)。

發(fā)明內(nèi)容
本發(fā)明的目的在于針對(duì)目前千兆網(wǎng)絡(luò)密碼機(jī)，對(duì)小數(shù)據(jù)包加密傳輸存在的低效率、浪費(fèi)設(shè)備資源的問(wèn)題，為用戶提供一種可以有效減少加密卡對(duì)數(shù)據(jù)包加密處理的中斷次數(shù)、提高對(duì)小數(shù)據(jù)包加密的速度、減少數(shù)據(jù)包在總線傳輸?shù)念l率、提高設(shè)備資源利用率的網(wǎng)絡(luò)密碼機(jī)的幀組加密方法。
實(shí)現(xiàn)本發(fā)明的目的基本技術(shù)方案是(一)修改Linux操作系統(tǒng)中最小調(diào)度時(shí)鐘周期，或稱修改Linux系統(tǒng)“心跳”；即是保證緩沖數(shù)據(jù)塊能進(jìn)行超時(shí)處理，在重新組合加密數(shù)據(jù)包時(shí)，由于前面到來(lái)的數(shù)據(jù)包需要等待后面到來(lái)的數(shù)據(jù)包，并積累到一定數(shù)量后再送去加或解密處理，這就必須有計(jì)時(shí)裝置進(jìn)行控制，避免前面的數(shù)據(jù)包在后續(xù)數(shù)據(jù)包還未到達(dá)組成數(shù)據(jù)塊時(shí)，就被送去加或解密處理，也用于保證被緩存的數(shù)據(jù)包在一定時(shí)間得不到處理仍然能被發(fā)送，這個(gè)計(jì)時(shí)裝置就是Linux操作系統(tǒng)的“心跳”，現(xiàn)有的Linux操作系統(tǒng)在i386系統(tǒng)上的“心跳”為10ms，這對(duì)控制網(wǎng)絡(luò)數(shù)據(jù)包來(lái)說(shuō)其延時(shí)間隔過(guò)長(zhǎng)，必須將網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)密碼機(jī)的延時(shí)，控制在100μm-1ms內(nèi)，即將Linux操作系統(tǒng)的“心跳”修改為100次/秒-1000次/秒。
(二)重新組合加密小數(shù)據(jù)包為緩沖數(shù)據(jù)塊，減少加密卡中斷次數(shù)；就是PCI加密卡把對(duì)每一個(gè)小數(shù)據(jù)包進(jìn)行一次加或解密的處理過(guò)程，改變成待小數(shù)據(jù)包積累到一定數(shù)量，組成一個(gè)大數(shù)據(jù)塊時(shí)再進(jìn)行一次加密或解密的處理過(guò)程，這就既減少了加密卡的中斷次數(shù)，也減少了PCI總線的傳輸頻度；具體作法是在內(nèi)存中維護(hù)一個(gè)由各先入先出的加解密緩沖區(qū)所組成的加解密緩沖隊(duì)列，該隊(duì)列的長(zhǎng)度依據(jù)平臺(tái)、數(shù)據(jù)加密卡的處理能力和內(nèi)存空間大小來(lái)定，基于百兆的處理能力平臺(tái)，緩沖區(qū)長(zhǎng)度設(shè)置在100-500個(gè)之間較好，在網(wǎng)絡(luò)密碼機(jī)中使用300個(gè)，所有數(shù)據(jù)包都將先被裝入加解密緩沖區(qū)中，然后再送入PCI數(shù)據(jù)加密卡處理。
(三)針對(duì)每臺(tái)網(wǎng)絡(luò)密碼機(jī)可能存在多個(gè)安全通道，即待加解密處理的數(shù)據(jù)包可能以不同的密鑰加解密，加密卡能夠支持的安全通道數(shù)也就是密鑰數(shù)為1024，所以確定數(shù)據(jù)包組裝進(jìn)入同一個(gè)緩沖區(qū)的條件是必須是具有相同密鑰索引keyid的數(shù)據(jù)包，才能組裝到同一個(gè)加密緩沖區(qū)中。
(四)確定加密緩沖區(qū)數(shù)據(jù)塊被輸入PCI加密卡中進(jìn)行加解密的條件①當(dāng)緩沖區(qū)中積累的數(shù)據(jù)包數(shù)目超過(guò)最大值時(shí)，加密緩沖區(qū)的數(shù)據(jù)塊即被輸進(jìn)PCI數(shù)據(jù)加密卡中進(jìn)行加解密，該數(shù)據(jù)包數(shù)目的最大值，由PCI數(shù)據(jù)加密卡的加密能力確定；②當(dāng)緩沖區(qū)中總字節(jié)數(shù)大于最大值時(shí)，加密緩沖區(qū)的數(shù)據(jù)塊即被輸進(jìn)PCI數(shù)據(jù)加密卡中進(jìn)行加解密，該總字節(jié)數(shù)最大值由確定；
③當(dāng)緩沖區(qū)的維持時(shí)間超時(shí)時(shí)，加密緩沖區(qū)的數(shù)據(jù)塊即被輸進(jìn)PCI數(shù)據(jù)加密卡中進(jìn)行加解密，即從緩沖區(qū)裝入第一個(gè)數(shù)據(jù)包開始，如果時(shí)間超過(guò)一定時(shí)間間隔，立即將積累的數(shù)據(jù)包送入到PCI數(shù)據(jù)加密卡，避免存放在緩沖區(qū)中的數(shù)據(jù)包永遠(yuǎn)得不到處理。
(五)引入內(nèi)存回收池技術(shù)。內(nèi)存回收池，是由被PCI數(shù)據(jù)加密卡加解密處理、發(fā)送了數(shù)據(jù)塊后的那些空置緩沖區(qū)所組織成的FIFO先進(jìn)先出隊(duì)列；內(nèi)存回收池技術(shù)是指將緩沖區(qū)中的數(shù)據(jù)塊輸入PCI數(shù)據(jù)加密卡后，該空置的緩沖區(qū)不作內(nèi)存釋放而是直接回收，放入回收池中留作新的緩沖區(qū)，等待裝放后續(xù)處理的新數(shù)據(jù)塊，當(dāng)網(wǎng)卡需要時(shí)再重新取用；這樣，每次作數(shù)據(jù)包內(nèi)存空間分配時(shí)，都先從FIFO隊(duì)列中取，只有FIFO隊(duì)列空了才進(jìn)行內(nèi)存分配。
綜上所述一種網(wǎng)絡(luò)密碼機(jī)的幀組加密方法，其特征是(1)修改Linux操作系統(tǒng)中最小調(diào)度時(shí)鐘周期，或稱修改Linux系統(tǒng)“心跳”，將網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)密碼機(jī)的延時(shí)，由原有的10ms改變?yōu)?00μm-1ms，即將Linux操作系統(tǒng)的“心跳”修改為100次/秒-1000次/秒。
(2)重新組合加密小數(shù)據(jù)包為緩沖數(shù)據(jù)塊；作法是在內(nèi)存中維護(hù)一個(gè)由各先入先出的加解密緩沖區(qū)所組成的加解密緩沖隊(duì)列，該隊(duì)列長(zhǎng)度依據(jù)平臺(tái)、數(shù)據(jù)加密卡的處理能力和內(nèi)存空間大小來(lái)定，基于百兆的處理能力平臺(tái)，緩沖區(qū)長(zhǎng)度設(shè)置在100-500間較好，在網(wǎng)絡(luò)密碼機(jī)中使用300；在內(nèi)存中維護(hù)加解密緩沖區(qū)后，所有待加解密處理的數(shù)據(jù)包，都將先被組裝入加解密緩沖區(qū)，然后才送入PCI數(shù)據(jù)加密卡處理。
(3)各數(shù)據(jù)包被組裝進(jìn)入同一個(gè)緩沖區(qū)的條件是必須具有相同的密鑰索引keyid。
(4)加密緩沖區(qū)中的數(shù)據(jù)塊，輸入PCI數(shù)據(jù)加密卡中進(jìn)行加解密的條件是①當(dāng)緩沖區(qū)中積累的數(shù)據(jù)包數(shù)目超過(guò)最大值時(shí)；該最大值由PCI數(shù)據(jù)加密卡的加密能力確定；②當(dāng)緩沖區(qū)中總字節(jié)數(shù)大于最大值時(shí)；該總字節(jié)數(shù)最大值由確定；③當(dāng)緩沖區(qū)的維持時(shí)間超時(shí)。
(5)將操作系統(tǒng)使用過(guò)后的內(nèi)存空間回收管理，不釋放而是放入回收池中，當(dāng)網(wǎng)卡需要內(nèi)存空間時(shí)就從回收池里獲取。
附加技術(shù)特征是①緩沖區(qū)中組裝的數(shù)據(jù)包個(gè)數(shù)最大值為16；②緩沖區(qū)中容納的數(shù)據(jù)總字節(jié)數(shù)最大值為1800。③每個(gè)緩沖區(qū)的維持時(shí)間是300μs，即將Linux操作系統(tǒng)的“心跳”修改為300次/秒。
本發(fā)明的優(yōu)點(diǎn)在于a、由于修改了Linux系統(tǒng)的“心跳”，將網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)密碼機(jī)的延時(shí)，由原有的10ms改變?yōu)?00μm-1ms，因而大大提高了網(wǎng)絡(luò)密碼機(jī)對(duì)數(shù)據(jù)包的處理能力；b、由于在內(nèi)存維護(hù)有由加密緩沖區(qū)組成的加解密緩沖隊(duì)列，將一定數(shù)量的網(wǎng)絡(luò)數(shù)據(jù)包先組裝到加密緩沖區(qū)中，然后再將這個(gè)緩沖區(qū)的數(shù)據(jù)塊一起送入PCI數(shù)據(jù)加密卡中進(jìn)行加解密處理，從而了有效降低了CPU中斷頻率，節(jié)省了中斷處理開銷，提高了小包加密吞吐率；c、由于操作系統(tǒng)的內(nèi)存管理相當(dāng)復(fù)雜，內(nèi)存的分配和釋放操作會(huì)消耗大量的CPU資源，為了提高網(wǎng)絡(luò)密碼機(jī)的數(shù)據(jù)包處理速度，將數(shù)據(jù)包處理所使用完畢的內(nèi)存空間回收管理，放入回收池中，當(dāng)網(wǎng)卡需要內(nèi)存空間時(shí)就從回收池里提??；由于簡(jiǎn)化了操作，因而大大節(jié)省了系統(tǒng)內(nèi)存分配和釋放的開銷。綜上所述，通過(guò)這些技術(shù)措施，解決了網(wǎng)絡(luò)密碼機(jī)小數(shù)據(jù)包處理的瓶頸，大大提高了千兆網(wǎng)絡(luò)密碼機(jī)處理小數(shù)據(jù)包(指長(zhǎng)度為64字節(jié)的數(shù)據(jù)包)的能力，從而加速了數(shù)據(jù)包在千兆網(wǎng)絡(luò)上傳輸效率。


圖1為本發(fā)明網(wǎng)絡(luò)密碼機(jī)主要模塊及工作原理示意2為本發(fā)明幀組加密模塊工作流程3為采用普通模式與幀組加密模式的數(shù)據(jù)包吞吐率測(cè)試中標(biāo)記圖3縱坐座為吞吐率(1/1000)，橫坐座為數(shù)據(jù)包長(zhǎng)度(字節(jié))。
具體實(shí)施例方式
一種網(wǎng)絡(luò)密碼機(jī)的幀組加密方法，包括(1)修改Linux操作系統(tǒng)中最小調(diào)度時(shí)鐘周期，或稱修改Linux系統(tǒng)“心跳”；在本實(shí)例中，將網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)密碼機(jī)的延時(shí)，由原有的10ms修改為300μm，即將Linux操作系統(tǒng)的“心跳”修改為300次/秒。
(2)重新組合加密小數(shù)據(jù)包為緩沖數(shù)據(jù)塊；在本方案中的作法是在內(nèi)存中維護(hù)一個(gè)由各先入先出的加解密緩沖區(qū)所組成的加解密緩沖隊(duì)列，該隊(duì)列長(zhǎng)度依據(jù)平臺(tái)、數(shù)據(jù)加密卡的處理能力和內(nèi)存空間大小來(lái)定，對(duì)于百兆級(jí)處理能力平臺(tái)，緩沖區(qū)長(zhǎng)度設(shè)置在100-500間較好，在網(wǎng)絡(luò)密碼機(jī)中使用300；在內(nèi)存中維護(hù)加解密緩沖區(qū)后，所有待加解密處理的數(shù)據(jù)包，都將被組裝到加解密緩沖區(qū)中，然后才能送入PCI數(shù)據(jù)加密卡處理。
(3)各數(shù)據(jù)包被組裝進(jìn)入同一個(gè)緩沖區(qū)的條件是必須具有相同的密鑰索引keyid。
(4)加密緩沖區(qū)中的數(shù)據(jù)塊，輸入PCI數(shù)據(jù)加密卡中進(jìn)行加解密的條件是①當(dāng)緩沖區(qū)中積累的數(shù)據(jù)包數(shù)目超過(guò)最大值時(shí)；該最大值由PCI數(shù)據(jù)加密卡的加密能力確定；本實(shí)例針對(duì)現(xiàn)在網(wǎng)絡(luò)密碼機(jī)單張PCI加密卡，該最大值取為16個(gè)小數(shù)椐包(指64字節(jié)的數(shù)據(jù)包)。
②當(dāng)緩沖區(qū)中緩存的數(shù)據(jù)總數(shù)超過(guò)一定大小時(shí)；在本實(shí)例中該數(shù)據(jù)總字節(jié)數(shù)最大值為1800字節(jié)；③當(dāng)緩沖區(qū)的維持時(shí)間超時(shí)；每個(gè)加密緩沖區(qū)有一個(gè)時(shí)間標(biāo)記，加密機(jī)心跳的軟中斷中，會(huì)對(duì)每個(gè)正在使用的緩沖區(qū)的時(shí)間標(biāo)記進(jìn)行檢查，如果超時(shí)數(shù)據(jù)包將被發(fā)送；在本實(shí)例中每個(gè)緩沖區(qū)的維持時(shí)間是300μs。
(5)將操作系統(tǒng)使用過(guò)后的內(nèi)存空間回收管理，不釋放而是放入回收池中，當(dāng)網(wǎng)卡需要內(nèi)存空間時(shí)就從回收池里提取。
性能實(shí)驗(yàn)驗(yàn)證在具有相同硬件平臺(tái)和配件條件下，采用上述技術(shù)措施后，將采用幀組加密模式的吞吐測(cè)試結(jié)果，與沒有采用幀組加密的普通的吞吐率測(cè)試結(jié)果相比較，由圖3的測(cè)試結(jié)果看出數(shù)據(jù)包越小性能提升越高，這是因?yàn)閿?shù)據(jù)包越小采用本發(fā)明的幀組加密方法，其組包數(shù)量越多，節(jié)省cpu的中斷數(shù)越多，數(shù)據(jù)包在網(wǎng)絡(luò)密碼機(jī)上的吞吐性能提升也越高。
權(quán)利要求
1.一種網(wǎng)絡(luò)密碼機(jī)的幀組加密方法，其特征是(1)修改Linux操作系統(tǒng)中最小調(diào)度時(shí)鐘周期，或稱修改Linux系統(tǒng)“心跳”，將網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)密碼機(jī)的延時(shí)，由原有的10ms改變?yōu)?00μm-1ms，即將Linux操作系統(tǒng)的“心跳”修改為100次/秒-1000次/秒。(2)重新組合加密小數(shù)據(jù)包為緩沖數(shù)據(jù)塊；作法是在內(nèi)存中維護(hù)一個(gè)由各先入先出的加解密緩沖區(qū)所組成的加解密緩沖隊(duì)列，該隊(duì)列長(zhǎng)度依據(jù)平臺(tái)、數(shù)據(jù)加密卡的處理能力和內(nèi)存空間大小來(lái)定，基于百兆的處理能力平臺(tái)，緩沖區(qū)長(zhǎng)度設(shè)置在100-500間較好，在網(wǎng)絡(luò)密碼機(jī)中使用300；在內(nèi)存中維護(hù)加解密緩沖區(qū)后，所有待加解密處理的數(shù)據(jù)包，都將先被組裝入加解密緩沖區(qū)，然后才送入PCI數(shù)據(jù)加密卡處理。(3)各數(shù)據(jù)包被組裝進(jìn)入同一個(gè)緩沖區(qū)的條件是必須具有相同的密鑰索引keyid。(4)加密緩沖區(qū)中的數(shù)據(jù)塊，輸入PCI數(shù)據(jù)加密卡中進(jìn)行加解密的條件是①當(dāng)緩沖區(qū)中積累的數(shù)據(jù)包數(shù)目超過(guò)最大值時(shí)；該最大值由PCI數(shù)據(jù)加密卡的加密能力確定；②當(dāng)緩沖區(qū)中總字節(jié)數(shù)大于最大值時(shí)；該總字節(jié)數(shù)最大值由確定；③當(dāng)緩沖區(qū)的維持時(shí)間超時(shí)。(5)將操作系統(tǒng)使用過(guò)后的內(nèi)存空間回收管理，不釋放而是放入回收池中，當(dāng)網(wǎng)卡需要內(nèi)存空間時(shí)就從回收池里提取。
2.按照權(quán)利要求1所述的網(wǎng)絡(luò)密碼機(jī)的幀組加密方法，其特征是緩沖區(qū)中組裝的數(shù)據(jù)包個(gè)數(shù)最大值為16。
3.按照權(quán)利要求1所述的網(wǎng)絡(luò)密碼機(jī)的幀組加密方法，其特征是緩沖區(qū)中容納的數(shù)據(jù)總字節(jié)數(shù)最大值為1800。
4.按照權(quán)利要求1所述的網(wǎng)絡(luò)密碼機(jī)的幀組加密方法，其特征是每個(gè)緩沖區(qū)的維持時(shí)間是300μs，即修改Linux操作系統(tǒng)的心跳為300次/秒。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)密碼機(jī)的幀組加密方法，包括(1)修改Linux操作系統(tǒng)的“心跳”；(2)在內(nèi)存中維護(hù)由加解密緩沖區(qū)組成的加解密緩沖隊(duì)列，待加解密處理的數(shù)據(jù)包，都先被組裝入加解密緩沖區(qū)，然后送入PCI加密卡；(3)各數(shù)據(jù)包被組裝入同一個(gè)緩沖區(qū)條件是有相同的密鑰索引；(4)加密緩沖區(qū)中數(shù)據(jù)塊，輸入PCI加密卡中加解密的條件是①緩沖區(qū)中積累的數(shù)據(jù)包數(shù)目超過(guò)最大值；②緩沖區(qū)中總字節(jié)數(shù)大于最大值；③緩沖區(qū)維持時(shí)間超時(shí)；(5)操作系統(tǒng)使用過(guò)后的內(nèi)存空間不釋放而是放入回收池中，當(dāng)網(wǎng)卡需要時(shí)從回收池中提?。粌?yōu)點(diǎn)是解決了網(wǎng)絡(luò)密碼機(jī)小數(shù)據(jù)包處理的瓶頸，提高了千兆網(wǎng)絡(luò)密碼機(jī)處理小數(shù)據(jù)包的能力，加速了其吞吐效率。
文檔編號(hào)H04L12/56GK1815947SQ20051002028
公開日2006年8月9日 申請(qǐng)日期2005年1月31日 優(yōu)先權(quán)日2005年1月31日
發(fā)明者侯建寧, 賴韜 申請(qǐng)人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司