软硬件协同加密的安全通信实现方法及网络设备与流程

本申请涉及通信，尤其是涉及一种软硬件协同加密的安全通信实现方法及网络设备。

背景技术：

1、ipsec（internet protocol security，互联网安全协议）是使用密码学保护ip层通信的安全保密架构，是一个协议簇，通过对ip协议的分组进行加密和认证来保护ip协议的网络传输协议簇（一些相互关联的协议集合）。ipsec可以实现以下4项功能：数据保密性，ipsec发送端将网络包加密后发送。数据完整性， ipsec接收端验证网络包，以确保网络包传输时没有被改变。数据认证，ipsec接收端鉴别网络包的发送起源。反重放，ipsec接收端检查并拒绝重放网络包。

2、ipsec主要由以下协议组成：认证头（ah，authentication header），是ipsec的封装模式，为网络包提供无连接数据完整性、消息认证以及防重放攻击保护。封装安全载荷（esp，encapsulating security payload），是ipsec的封装模式，为网络包提供保密性、数据源认证、无连接完整性、防重放和传输流（traffic-flow）保密性。安全关联（sa，securityassociation），提供算法和数据包，提供ah操作和esp操作所需的参数。因特网密钥交换协议（ike，internet key exchange），用于建立sa的通信协议，用于esp/ah封装所需对称秘钥的生存和交换。

3、在ipsec的处理过程中，需要采用sa信息对网络包进行ipsec安全保护，然而，网络包的ipsec安全保护过程需要消耗大量处理器资源，占用资源较高。

技术实现思路

1、有鉴于此，本申请提出一种软硬件协同加密的安全通信实现方法及网络设备，能够减少ipsec安全保护过程消耗的处理器资源，节省资源开销。

2、本申请提供一种软硬件协同加密的安全通信实现方法，应用于网络设备，所述网络设备包括xfrm模块和pl硬件模块，所述方法包括：

3、所述xfrm模块获取第一网络包对应的报文标识信息和sa信息，并在映射表中记录所述报文标识信息与所述sa信息之间的对应关系；

4、所述xfrm模块在接收到第一网络包之后，通过所述第一网络包的报文标识信息查询所述映射表，得到所述报文标识信息对应的sa信息；在所述第一网络包中封装所述sa信息，将封装后的第一网络包发送给所述pl硬件模块；

5、所述pl硬件模块在接收到封装后的第一网络包之后，从封装后的第一网络包中解析出所述sa信息，并基于所述sa信息对第一网络包进行ipsec安全保护，得到安全保护后的第一网络包，并发送所述安全保护后的第一网络包。

6、本申请提供一种网络设备，所述网络设备包括：

7、xfrm模块，用于获取第一网络包对应的报文标识信息和sa信息，并在映射表中记录所述报文标识信息与所述sa信息之间的对应关系；

8、以及，在接收到第一网络包之后，通过所述第一网络包的报文标识信息查询所述映射表，得到所述报文标识信息对应的sa信息；在所述第一网络包中封装所述sa信息，将封装后的第一网络包发送给pl硬件模块；

9、pl硬件模块，用于在接收到封装后的第一网络包之后，从封装后的第一网络包中解析出所述sa信息，基于所述sa信息对第一网络包进行ipsec安全保护，得到安全保护后的第一网络包，并发送所述安全保护后的第一网络包。

10、由以上技术方案可见，本申请实施例中，通过软硬件协同实现ipsec处理过程，即通过软件实现xfrm模块，通过硬件实现pl硬件模块，将ipsec处理过程中消耗大量资源的操作（基于sa信息对网络包进行ipsec安全保护）放置到pl硬件模块完成，而剩余操作放置到xfrm模块完成，从而能够减少ipsec安全保护过程消耗的处理器资源（xfrm模块使用的是处理器资源），节省资源开销，能够利用pl硬件模块的高性能计算，降低处理器资源的负载。

技术特征：

1.一种软硬件协同加密的安全通信实现方法，其特征在于，应用于网络设备，所述网络设备包括xfrm模块和pl硬件模块，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，

3.根据权利要求1所述的方法，其特征在于，pl硬件模块基于所述sa信息对第一网络包进行ipsec安全保护，得到安全保护后的第一网络包，包括：

4.根据权利要求1所述的方法，其特征在于，所述xfrm模块获取第一网络包对应的报文标识信息和sa信息之后，还包括：所述xfrm模块将所述报文标识信息和所述sa信息发送给所述pl硬件模块，所述pl硬件模块在映射表中记录所述报文标识信息与所述sa信息之间的对应关系；

5.根据权利要求4所述的方法，其特征在于，pl硬件模块基于所述sa信息对所述第二网络包进行ipsec安全保护，得到安全保护后的第二网络包，包括：

6.根据权利要求5所述的方法，其特征在于，

7.根据权利要求4所述的方法，其特征在于，所述xfrm模块将所述报文标识信息和所述sa信息发送给所述pl硬件模块，所述pl硬件模块在映射表中记录所述报文标识信息与所述sa信息之间的对应关系，包括：

8.一种网络设备，其特征在于，所述网络设备包括：

9.根据权利要求8所述的网络设备，其特征在于，

10.根据权利要求8所述的网络设备，其特征在于，所述xfrm模块，还用于将所述报文标识信息和所述sa信息发送给所述pl硬件模块；所述pl硬件模块，还用于在映射表中记录所述报文标识信息与所述sa信息的对应关系；

技术总结本申请提供一种软硬件协同加密的安全通信实现方法及网络设备，该方法包括：XFRM模块在接收到第一网络包之后，通过第一网络包的报文标识信息查询映射表，得到报文标识信息对应的SA信息；在第一网络包中封装SA信息，将封装后的第一网络包发送给PL硬件模块；PL硬件模块在接收到封装后的第一网络包之后，从封装后的第一网络包中解析出SA信息，基于SA信息对第一网络包进行IPSec安全保护，得到安全保护后的第一网络包。通过本申请的技术方案，能够减少IPSec安全保护过程消耗的处理器资源，节省资源开销。技术研发人员：王滨,王丁磊,张海宾,陈加栋,谢瀛辉受保护的技术使用者：杭州海康威视数字技术股份有限公司技术研发日：技术公布日：2024/7/25