本發(fā)明實施例涉及通信領域,尤其涉及一種英特網協(xié)議安全IPSec協(xié)議加密方法和網絡設備。
背景技術:
網絡越來越普遍,隨之而來的網絡安全問題備受關注,例如客戶端遭受的重播攻擊:發(fā)送端向接收端發(fā)送了一個網絡之間互連的協(xié)議(Internet Protocol,簡稱IP)報文,若該IP報文被惡意用戶捕獲,惡意用戶向接收端在重復發(fā)送該IP報文,造成網絡應用會受到不斷重播的數據包的轟炸。英特網協(xié)議安全(Internet Protocol Security,簡稱IPSec)協(xié)議的出現解決了這個問題,IPSec協(xié)議中定義了一個序列號(Sequence Number,簡稱SN)字段,用于記錄該IP報文的序列號,任何發(fā)送端在必須保證同一組SA信息下,發(fā)送報文時SN是唯一的,例如,接收端接收了序列號為5的IP報文,當再次接收到序列號為5的IP報文時,拒絕接收該重復發(fā)送的報文。
現有技術中,單核設備單個轉發(fā)線程時,報文按照序列串行依次封裝、發(fā)送,接收端收到的IPSec封裝報文的序列號不會出現亂序情況。對于多核異構網絡設備,例如,即數字信號處理(Digital Signal Process,簡稱DSP)技術+進階精簡指令集機器(Advanced Reduced Instruction Set Computer Machine,簡稱ARM)、DSP+精簡指令集架構的中央處理器(Performance Optimization With Enhanced RISC-Performance Computing,簡稱POWERPC)等多核異構的集成芯片中,通常使用DSP作業(yè)務處理,使用POWERPC或ARM核運行Linux操作系統(tǒng)作為控制業(yè)務;對于POWERPC或ARM核處理的控制面數據,通常采用集成芯片的中央處理器(Central Processing Unit,簡稱CPU)核運行軟件加密程序進行加密,而DSP核處理的用戶面數據通常采用硬加密模塊進行加密。由于多核異構網絡設備在處理數據時多個線程并行處理報文,發(fā)送IP報文時是在不同的加密模塊進行加密的,容易導致接收端收到的IPSec協(xié)議封裝的IP報文的序列號出現亂序,容易導致該IP報文被認定為重放報文,而被錯誤的丟棄。
現有技術中,為了解決多核異構網絡設備中IP報文的序列號不保序的問題,采用在多核異構網絡設備中進行多核之間共享內存,但是異構CPU之間的同步和互斥的額外處理非常麻煩,加大了程序設計的復雜度。因此,亟需一種IPSec加密的方法,以有效解決現有技術中多核異構網絡設備發(fā)送的IP報文序列號不保序的問題。
技術實現要素:
本發(fā)明實施例提供一種英特網協(xié)議安全IPSec協(xié)議加密方法和網絡設備,用于有效解決現有技術中多核異構網絡設備發(fā)送的IP報文序列號無法保序的問題。
本發(fā)明實施例提供一種英特網協(xié)議安全IPSec協(xié)議加密方法,適用于包括至少一個對控制面數據進行處理的控制面處理器核和至少一個對用戶面數據進行處理的用戶面處理器核的多核異構網絡設備,該方法包括:網絡設備通過控制面處理器核獲取第一IP報文;網絡設備在通過控制面處理器核確定第一IP報文為需進行加密的第一IP報文的情況下,且網絡設備在根據第一IP報文的信息確定第一IP報文需進行硬加密的情況下:網絡設備通過硬件加密模塊為第一IP報文分配序列號,并進行硬加密,得到加密后第一IP報文;網絡設備通過網卡發(fā)送加密后第一IP報文。
本發(fā)明實施例提供一種用于英特網協(xié)議安全IPSec協(xié)議加密的網絡設備,包括至少一個對控制面數據進行處理的控制面處理器核和至少一個對用戶面數據進行處理的用戶面處理器核,該網絡設備包括:控制面處理器核,用于獲取第一IP報文;硬件加密模塊,用于在通過控制面處理器核確定第一IP報文為需進行加密的第一IP報文的情況下,且在通過控制面處理器核確定第一IP報文需進行硬加密的情況下:為第一IP報文分配序列號,并進行硬加密,得到加密后第一IP報文;網卡,用于發(fā)送加密后第一IP報文。
本發(fā)明實施例中,由于網絡設備通過控制面處理器核獲取第一IP報文;網絡設備在通過控制面處理器核確定第一IP報文為需進行加密的第一IP報文的情況下,且根據第一IP報文的信息確定第一IP報文需進行硬加密的情況下:網絡設備通過硬件加密模塊為第一IP報文分配序列號,并進行硬加密,得到加密后第一IP報文;網絡設備通過網卡發(fā)送加密后第一IP報文??梢?,本發(fā)明實施例中,對需進行加密的報文進行進一步的處理,將需進行加密、且需進行硬加密的報文通過硬件加密模塊進行加密,也就是說,本發(fā)明實施例中僅通過一個加密模塊對報文進行加密,如此,本發(fā)明實施例中可保證報文的序列號保序的目的,避免了像現有技術中通過兩個加密模塊對報文進行加密所導致的報文的序列號不保序的問題。
附圖說明
為了更清楚地說明本發(fā)明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡要介紹。
圖1為本發(fā)明實施例提供的一種英特網協(xié)議安全IPSec協(xié)議加密系統(tǒng)的架構示意圖;
圖2為本發(fā)明實施例提供的一種英特網協(xié)議安全IPSec協(xié)議加密方法的流程示意圖;
圖3為本發(fā)明實施例提供的在另一種英特網協(xié)議安全IPSec協(xié)議加密方法的流程示意圖;
圖4為本發(fā)明實施例提供的一種用于英特網協(xié)議安全IPSec協(xié)議加密的網絡設備的結構示意圖。
具體實施方式
為了使本發(fā)明的目的、技術方案及有益效果更加清楚明白,以下結合附圖及實施例,對本發(fā)明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
圖1示例性示出了本發(fā)明實施例適用的一種英特網協(xié)議安全IPSec協(xié)議加密系統(tǒng)架構示意圖,該系統(tǒng)架構適用于包括至少一個對控制面數據進行處理的控制面處理器核和至少一個對用戶面數據進行處理的用戶面處理器核的多核異構網絡設備;如圖1所示,該系統(tǒng)架構100包括控制面處理器核110、用戶面處理器核120、硬件加密模塊130和網卡140;控制面處理器核110包括網絡協(xié)議棧111、網卡驅動112;網絡協(xié)議棧111連接網卡驅動112;可選地,控制面處理器核110可連接用戶面處理器核120,也可以連接網卡140;進一步地,控制面處理器核110可以通過網卡驅動112連接用戶面處理器核120,也可以通過網卡驅動112連接網卡140;可選地,用戶面處理器核120連接硬件加密模塊130,也可以連接網卡140;硬件加密模塊130連接網卡140;其中,控制面處理器核110用于處理控制面數據,用戶面處理器核120用于處理用戶面數據??蛇x地,控制面處理器核110可以為POWERPC核,也可以為ARM核;可選地,用戶面處理器核120可以為DSP核。
本發(fā)明實施例中,一方面,控制面處理器核110中的網絡協(xié)議棧111處理控制面數據得到的第一IP報文,通過網卡驅動112確定第一IP報文是否需要加密,通過核間通信技術將需要進行加密的第一IP報文發(fā)送至用戶面處理器核120,再通過用戶面處理器核120發(fā)送至硬件加密模塊130進行加密并分配序列號,之后通過網卡140將加密后第一IP報文發(fā)送出去;另一方面,用戶面處理器核120處理的用戶面數據得到的第二IP報文,發(fā)送至硬件加密模塊130進行加密并分配序列號,之后通過網卡140將加密后第一IP報文發(fā)送出去。
圖2示例性示出了本發(fā)明實施例提供的一種英特網協(xié)議安全IPSec協(xié)議加密方法的流程示意圖。
基于圖1所示的系統(tǒng)架構,如圖2所示,本發(fā)明實施例提供的一種英特網協(xié)議安全IPSec協(xié)議加密方法,適用于包括至少一個對控制面數據進行處理的控制面處理器核和至少一個對用戶面數據進行處理的用戶面處理器核的多核異構網絡設備,該方法包括以下步驟:
步驟S201:網絡設備通過控制面處理器核獲取第一IP報文;
步驟S202:網絡設備在通過控制面處理器核確定第一IP報文為需進行加密的第一IP報文的情況下,且網絡設備在根據第一IP報文的信息確定第一IP報文需進行硬加密的情況下:網絡設備通過硬件加密模塊為第一IP報文分配序列號,并進行硬加密,得到加密后第一IP報文;
步驟S203:網絡設備通過網卡發(fā)送加密后第一IP報文。
基于上述實施例,在步驟S201中,可選地,第一IP報文可為控制面處理器核處理的控制面數據進行封裝得到的IP報文。
基于上述實施例,在步驟S202中,可選地,第一IP報文的信息包括:報文中的源IP地址和目的IP地址;可選地,控制面處理器核可以為運行Linux操作系統(tǒng)的核;確定第一IP報文是否需要進行加密有多種方式,一種可選的方式為控制面處理器核中的網絡協(xié)議棧確定第一IP報文是否需要進行加密;在確定第一IP報文是否需要進行加密的情況下,將第一IP報文發(fā)送至網卡驅動;網卡驅動對需要加密的IP報文進行是否需要硬加密的判斷;在第一IP報文需要硬加密的情況下,將需要硬加密的第一IP報文通過核間通信(Inter-Processsor Communication,簡稱IPC)技術發(fā)送至用戶面處理器核,再通過硬件加密模塊為第一IP報文分配序列號并進行硬加密。
基于上述實施例,在步驟S203中,硬件加密模塊將加密后第一IP報文通過網卡發(fā)送出去。
本發(fā)明實施例中,由于網絡設備通過控制面處理器核獲取第一IP報文;網絡設備在通過控制面處理器核確定第一IP報文為需進行加密的第一IP報文的情況下,且根據第一IP報文的信息確定第一IP報文需進行硬加密的情況下:網絡設備通過硬件加密模塊為第一IP報文分配序列號,并進行硬加密,得到加密后第一IP報文;網絡設備通過網卡發(fā)送加密后第一IP報文??梢?,本發(fā)明實施例中,對需進行加密的報文進行進一步的處理,將需進行加密、且需進行硬加密的報文通過硬件加密模塊進行加密,也就是說,本發(fā)明實施例中僅通過一個加密模塊對報文進行加密,如此,本發(fā)明實施例中可保證報文的序列號保序的目的,避免了像現有技術中通過兩個加密模塊對報文進行加密所導致的報文的序列號不保序的問題。
可選地,網絡設備根據第一IP報文的信息確定第一IP報文需進行硬加密,需要滿足以下兩種情況中的任一種:第一種,網絡設備在確定第一IP報文為隧道模式的情況下,且確定第一IP報文中的源IP地址為基于IPSec協(xié)議進行協(xié)商的IP地址,則確定第一IP報文需進行硬加密;第二種,網絡設備在確定第一IP報文為傳輸模式的情況下,獲取云端服務器中預設的處于保護狀態(tài)的IP地址集合,在確定第一IP報文中的目的IP地址為IP地址集合中的一個的情況下,確定第一IP報文需進行硬加密。
本發(fā)明實施例中,可選地,第一IP報文的信息包括:報文中的源IP地址和目的IP地址;舉個例子,兩個網絡設備分別為客戶端和云端服務器,其中,客戶端的IP地址為IP11,云端服務器的IP地址為IP21,客戶端和云端服務器開始通信之前,先建立IPSec鏈路進行收發(fā)報文,以客戶端向云端服務器發(fā)送第一IP報文為例:
針對上述實施例中的第一種情況:在隧道模式的情況下,客戶端和云端服務器之間建立IPSec隧道,并基于IPSec協(xié)議協(xié)商發(fā)送報文的IP地址,客戶端基于IPSec協(xié)議的協(xié)商IP地址為IP12,云端服務器基于IPSec協(xié)議的協(xié)商IP地址為IP22,在客戶端向云端服務器發(fā)送需要加密的第一IP報文時,將第一報文中源IP地址設為IP12;客戶端在確定第一報文中的源IP地址為IP12,則確定第一IP報文需進行硬加密。
針對上述實施例中的第二種情況:在傳輸模式的情況下,客戶端和云端服務器之間建立IPSec鏈路,云端服務器中預設了處于保護狀態(tài)的IP地址集合:IP31、IP32、IP33、IP34、IP35、IP36,IP地址集合中每個IP地址對應一個網絡設備;客戶端和IP地址集合中的一個網絡設備進行通信,首先獲取IP地址集合,在客戶端向云端服務器發(fā)送需要加密的第一IP報文時,例如,將客戶端的網絡協(xié)議棧將第一IP報文中的目的IP地址設為IP34,則客戶端中的網卡驅動確定第一IP報文中的目的IP地址IP34在IP地址集合:IP31、IP32、IP33、IP34、IP35、IP36中,則確定第一IP報文需進行硬加密。
可選地,網絡設備在確定第一IP報文不需進行硬加密包括兩種情況:第一種情況,網絡設備在確定第一IP報文為隧道模式的情況下,且確定第一IP報文中的源IP地址不為基于IPSec協(xié)議進行協(xié)商的IP地址,確定第一IP報文不需要進行硬加密;第二種情況,網絡設備在確定第一IP報文為傳輸模式的情況下,獲取云端服務器中預設的處于保護狀態(tài)的IP地址集合,在確定第一IP報文中的目的IP地址不為IP地址集合中的任一個的情況下,確定第一IP報文不需要進行硬加密。
本發(fā)明實施例中,可選地,可通過網卡驅動對第一IP報文的信息進行確定,進而確定第一IP報文是否需要硬加密,如此,可以有效確定出需要硬加密的IP報文,并發(fā)送至硬件加密模塊進行加密,進而避免了第一IP報文直接在控制面處理器核上進行軟加密帶來的發(fā)送報文序列號不保序的問題。
可選地,網絡設備通過控制面處理器核獲取第一IP報文之后,還包括:網絡設備在通過控制面處理器核確定第一IP報文為不需進行加密的第一IP報文的情況下:網絡設備通過網卡發(fā)送第一IP報文??蛇x地,控制面處理器核確定第一IP報文為不需進行加密的第一IP報文時,通過普通IP報文的發(fā)送接口將第一IP報文發(fā)送至網卡驅動;如此,不需要進行加密的IP報文直接通過網卡發(fā)送出去,避免了將不需要加密的第一IP報文發(fā)送至網卡驅動造成的資源浪費。
可選地,網絡設備在確定第一IP報文為需進行加密的第一IP報文的情況之后,還包括:網絡設備在根據第一IP報文的信息確定第一IP報文不需進行硬加密的情況下:網絡設備通過網卡發(fā)送第一IP報文??蛇x地,可通過網卡驅動確定第一IP報文是否需要進行硬加密,將不需要進行硬加密的第一IP報文直接發(fā)送至網卡,如此,避免了將不需要進行硬加密的第一IP報文發(fā)送至用戶面處理器核而造成的資源浪費。
可選地,英特網協(xié)議安全IPSec協(xié)議加密方法還包括:網絡設備通過用戶面處理器核獲取第二IP報文;網絡設備在根據第二IP報文的信息確定第二IP報文需進行硬加密的情況下:網絡設備通過硬件加密模塊為第二IP報文分配序列號,并進行硬加密,得到加密后第二IP報文;網絡設備通過網卡發(fā)送加密后第二IP報文。
本發(fā)明實施例中,可選地,用戶面處理器核處理的用戶面數據得到第二IP報文;在第二IP報文需要硬加密的情況下,將需要硬加密的第二IP報文發(fā)送至硬件加密模塊進行硬加密;在第二IP報文不需要硬加密的情況下,將第二IP報文通過網卡發(fā)送出去;因此,控制面處理器核的需要硬加密的第一IP報文和用戶面處理器核的需要加密的第二IP報文都發(fā)送至硬件加密模塊進行加密,如此,多核異構網絡設備向外發(fā)送的加密IP報文都通過硬件加密模塊分配序列號并進行硬加密,一方面,避免了多核異構網絡設備中多線程并行加密IP報文導致的序列號不保序的問題;另一方面,多核異構網絡設備中多核之間不需要做任何共享內存或其他互斥、同步操作,避免了資源互斥問題。
可選地,通過控制面處理器核確定第一IP報文為需進行加密的第一IP報文,包括:網絡設備確定出預設的安全策略路由;其中,安全策略路由中包括至少一個IP地址;網絡設備在確定第一IP報文中的目的IP地址屬于至少一個IP地址中的一個的情況下,確定第一IP報文為需進行加密的第一IP報文。
可選地,控制面處理器核包括Linux操作系統(tǒng)的網絡協(xié)議棧;本發(fā)明通過對網絡協(xié)議棧進行修改,確定需要加密的第一IP報文;可選地,網絡協(xié)議棧預設安全策略路由包括至少一個IP地址對應的安全策略路由;例如,預設安全策略路由中,IP地址為192.168.10.15到192.168.10.30對應一個安全路由,若第一IP報文中的目的IP地址為192.168.10.25,則網絡協(xié)議棧根據安全策略路由找到IP地址為192.168.10.25對應的安全路由,則確定該第一IP報文為需進行加密的第一IP報文。如此,網絡設備通過控制面處理器可以確定第一IP報文是否需要加密,進而將需要加密的報文發(fā)送至網卡驅動,進而避免了將需要加密的第一IP報文在控制面處理器核進行軟加密,進而避免CPU消耗過多資源進行軟加密,達到了提升了系統(tǒng)性能的效果。
可選地,本發(fā)明提供一種可選的實現對控制面處理器核上的第一IP報文進行硬加密的方法;控制面處理器核以ARM核為例,用戶面處理器核以DSP核為例:在ARM核中網絡協(xié)議棧中設置xfrm_lookup函數,該xfrm_lookup函數用于識別需要IPSec協(xié)議進行加密封裝處理,并返回第一IP報文所需要使用的發(fā)送接口;例如,在網絡協(xié)議棧發(fā)送第一IP報文時,通過xfrm_lookup函數確定出第一IP報文中的IP地址對應的安全策略,則確定第一IP報文需要加密,則將該第一IP報文通過普通IP報文發(fā)送接口發(fā)送至網卡驅動程序;網卡驅動程序確定第一IP報文是否需要進行硬加密,若是需要硬加密,則將需要進行硬加密的第一IP報文通過IPC技術發(fā)送至DSP核;DSP核將第一IP報文發(fā)送至硬件加密模塊分配序列號,并進行硬加密;同時,對于DSP核上處理的需要進行硬加密的第二IP報文,DSP核將需要進行硬加密的第二IP報文也發(fā)送至硬件加密模塊分配序列號,并進行硬加密;如此,保證了核異構網絡設備發(fā)出的IP報文都是經過硬件加密模塊進行分配序列號,并進行硬加密,達到了在多核異構網絡設備的單線程加密IP報文的效果,使得硬加密的IP報文的序列號報文有序增長,避免報文被對端的抗重播機制所丟棄的問題。
為了更清楚的介紹上述方法流程,本發(fā)明實施例提供以下示例。
圖3示例性示出了本發(fā)明實施例提供的另一種英特網協(xié)議安全IPSec協(xié)議加密方法的流程示意圖,基于圖1所示的系統(tǒng)架構,如圖3所示,本發(fā)明實施例提供的另一種英特網協(xié)議安全IPSec協(xié)議加密方法,適用于包括至少一個對控制面數據進行處理的控制面處理器核和至少一個對用戶面數據進行處理的用戶面處理器核的多核異構網絡設備,該方法包括以下步驟:
步驟S301:網絡設備通過控制面處理器核獲取第一IP報文;
步驟S302:網絡設備在控制面處理器核確定第一IP報文中的目的IP地址是否屬于預設的安全策略路由中的至少一個IP地址中的一個;若是,則執(zhí)行步驟S303;若否,則執(zhí)行步驟S313;
步驟S303:網絡設備通過網絡協(xié)議棧確定第一IP報文為需進行加密的第一IP報文;
步驟S304:網絡設備通過網卡驅動確定第一IP報文為隧道模式或傳輸模式;若是隧道模式,執(zhí)行步驟S305;若是傳輸模式,執(zhí)行步驟S306;
步驟S305:網絡設備通過網卡驅動確定第一IP報文中的源IP地址是否為基于IPSec協(xié)議進行協(xié)商的IP地址;若是,則執(zhí)行步驟S307;若否,則執(zhí)行步驟S313;
步驟S306:網絡設備獲取云端服務器中預設的處于保護狀態(tài)的IP地址集合,確定第一IP報文中的目的IP地址是否為IP地址集合中的一個;若是,則執(zhí)行步驟S307;若否,則執(zhí)行步驟S313;
步驟S307:網絡設備確定第一IP報文需進行硬加密;
步驟S308:通過控制面處理器核中的網卡驅動將第一IP報文發(fā)送至用戶面處理器核;
步驟S309:網絡設備通過用戶面處理器核獲取第二IP報文;
步驟S310:網絡設備在根據第二IP報文的信息確定第二IP報文是否需進行硬加密;若是,則執(zhí)行步驟S311;若否,則執(zhí)行步驟S314;
步驟S311:網絡設備通過用戶面處理器核將第一IP報文和第二IP報文發(fā)送至硬件加密模塊;
步驟S312:網絡設備通過硬件加密模塊分別為第一IP報文和第二IP報文分配序列號,并分別進行硬加密,得到加密后第一IP報文和加密后第二IP報文;
步驟S313:通過網卡驅動將第一IP報文發(fā)送至網卡;
步驟S314:網絡設備通過網卡將第一IP報文和加密后第二IP報文發(fā)送出去。
從上述內容可以看出:由于網絡設備通過控制面處理器核獲取第一IP報文;網絡設備在通過控制面處理器核確定第一IP報文為需進行加密的第一IP報文的情況下,且根據第一IP報文的信息確定第一IP報文需進行硬加密的情況下:網絡設備通過硬件加密模塊為第一IP報文分配序列號,并進行硬加密,得到加密后第一IP報文;網絡設備通過網卡發(fā)送加密后第一IP報文;而且,用戶面處理器核處理的第二IP報文也通過至硬件加密模塊分配序列號并統(tǒng)一進行硬加密;可見,本發(fā)明實施例中,對需進行加密的報文進行進一步的處理,將需進行加密、且需進行硬加密的報文通過硬件加密模塊進行加密,也就是說,本發(fā)明實施例中僅通過一個加密模塊對報文進行加密,如此,本發(fā)明實施例中可保證報文的序列號保序的目的,避免了像現有技術中通過兩個加密模塊對報文進行加密所導致的報文的序列號不保序的問題;而且,在抗重播檢測過程中避免了IP報文被丟棄的問題,增加了數據的安全性。進一步,本發(fā)明實施例中的方法避免了第一IP報文在控制面處理器核進行軟加密造成的系統(tǒng)性能的下降的問題,多核異構網絡設備中多核之間不需要做任何共享內存或其他互斥、同步操作,避免了資源互斥問題,大大簡化了程序設計。
圖4示例性示出了本發(fā)明實施例提供的一種用于英特網協(xié)議安全IPSec協(xié)議加密的網絡設備的結構示意圖。
基于相同構思,本發(fā)明實施例提供的一種用于英特網協(xié)議安全IPSec協(xié)議加密的網絡設備,用于執(zhí)行上述方法流程,如圖4所示,該用于英特網協(xié)議安全IPSec協(xié)議加密的網絡設備400包括控制面處理器核401、硬件加密模塊403和網卡404,還包括用戶面處理器核402;其中:
控制面處理器核401,用于獲取第一IP報文;
硬件加密模塊403,用于在通過所述控制面處理器核401確定所述第一IP報文為需進行加密的第一IP報文的情況下,且在通過所述控制面處理器核401確定所述第一IP報文需進行硬加密的情況下:為所述第一IP報文分配序列號,并進行硬加密,得到加密后第一IP報文;
網卡404,用于發(fā)送所述加密后第一IP報文。
可選地,所述控制面處理器核401,用于:在確定所述第一IP報文為隧道模式的情況下,且確定所述第一IP報文中的源IP地址為基于IPSec協(xié)議進行協(xié)商的IP地址,則確定所述第一IP報文需進行硬加密;在確定所述第一IP報文為傳輸模式的情況下,獲取云端服務器中預設的處于保護狀態(tài)的IP地址集合,在確定所述第一IP報文中的目的IP地址為所述IP地址集合中的一個的情況下,確定所述第一IP報文需進行硬加密。
可選地,所述網卡404,還用于:在通過所述控制面處理器核401確定所述第一IP報文不需進行硬加密的情況下:發(fā)送所述第一IP報文。
可選地,所述網卡404,還用于:在通過所述控制面處理器核401確定所述第一IP報文為不需進行加密的第一IP報文的情況下:所述網絡設備通過網卡404發(fā)送所述第一IP報文。
可選地,所述網絡設備還包括:用戶面處理器核402,用于獲取第二IP報文;
所述硬件加密模塊403,還用于:在通過所述用戶面處理器核402確定所述第二IP報文需進行硬加密的情況下:為所述第二IP報文分配序列號,并進行硬加密,得到加密后第二IP報文;所述網卡404,還用于:發(fā)送所述加密后第二IP報文。
可選地,所述控制面處理器核401,用于:確定出預設的安全策略路由;其中,所述安全策略路由中包括至少一個IP地址;在確定所述第一IP報文中的目的IP地址屬于所述至少一個IP地址中的一個的情況下,確定所述第一IP報文為需進行加密的第一IP報文。
從上述內容可以看出:由于網絡設備通過控制面處理器核獲取第一IP報文;網絡設備在通過控制面處理器核確定第一IP報文為需進行加密的第一IP報文的情況下,且根據第一IP報文的信息確定第一IP報文需進行硬加密的情況下:網絡設備通過硬件加密模塊為第一IP報文分配序列號,并進行硬加密,得到加密后第一IP報文;網絡設備通過網卡發(fā)送加密后第一IP報文;而且,用戶面處理器核處理的第二IP報文也通過至硬件加密模塊分配序列號并統(tǒng)一進行硬加密;可見,本發(fā)明實施例中,對需進行加密的報文進行進一步的處理,將需進行加密、且需進行硬加密的報文通過硬件加密模塊進行加密,也就是說,本發(fā)明實施例中僅通過一個加密模塊對報文進行加密,如此,本發(fā)明實施例中可保證報文的序列號保序的目的,避免了像現有技術中通過兩個加密模塊對報文進行加密所導致的報文的序列號不保序的問題;而且,在抗重播檢測過程中避免了IP報文被丟棄的問題,增加了數據的安全性。進一步,本發(fā)明實施例中的方法避免了第一IP報文在控制面處理器核進行軟加密造成的系統(tǒng)性能的下降的問題,多核異構網絡設備中多核之間不需要做任何共享內存或其他互斥、同步操作,避免了資源互斥問題,大大簡化了程序設計。
本領域內的技術人員應明白,本發(fā)明的實施例可提供為方法、或計算機程序產品。因此,本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產品的形式。
本發(fā)明是參照根據本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器,使得通過計算機或其他可編程數據處理設備的處理器執(zhí)行的指令產生用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些計算機程序指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計算機程序指令也可裝載到計算機或其他可編程數據處理設備上,使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產生計算機實現的處理,從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
盡管已描述了本發(fā)明的優(yōu)選實施例,但本領域內的技術人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例作出另外的變更和修改。所以,所附權利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。
顯然,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內,則本發(fā)明也意圖包含這些改動和變型在內。