[发明专利]加解密卡及加密方法和解密方法

说明书

技术领域

本发明涉及一种加解密技术，尤其涉及一种应用于IP安全协议技术中的加解密卡及加密方法和解密方法。

背景技术

IP安全(IP Security，以下简称：IPSec)协议族是互联网工程任务组(Internet Engineering Task Force，简称：IETF)制定的一系列协议，它为IP数据报提供了高质量、可互操作、基于密码学的安全性策略，为IP层或IP层之上提供了保护。特定的通信双方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

现有IPSec主要通过认证头(Authentication Header，简称：AH)协议和封装安全载荷(Encapsulating Security Payload，简称：ESP)协议这两个安全协议来实现上述目标。并且还可以通过因特网密钥交换(Internet KeyExchange，简称：IKE)协议为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务，以简化IPSec的使用和管理。

现有的上述IPSec协议族也经常被应用于IPSec虚拟私有网络(VirtualPrivate Network，以下简称：VPN)中。IPSec VPN的性能与密码算法的性能密切相关。IPSec常用的密码算法，如数据加密标准(Data Encryption Standard，简称：DES)、3DES、高级加密标准(Advanced Encryption Standard，简称：AES)等都需要大量的计算密集性操作，对系统性能提出了很高的要求。因此，很多厂商均推出了基于硬件加速的IPSec加密卡。

用于上述IPSec VPN的加密卡主要分为用于低端设备的加密卡和用于高端设备的加密卡。其中，用于低端设备的加密卡一般通过系统PCI总线将加密芯片连接到系统，由主CPU参与加解密运算。因此，加解密运算过程会受限于系统PCI总线带宽性能的限制，使系统整体的加解密性能较低，影响加解密运算的速度，并且，也增加了系统主CPU的负担。

另外，用于高端设备的加密卡一般通过网络处理器进行报文转发，网络处理器将数据通过千兆以太网(Gigabit Ethernet，简称：GE)接口等高速接口与加密芯片连接，确保加解密所需的带宽。这种方案可以提高IPSec的吞吐量，但是，IKE协商仍然需要在主CPU上完成，因此，仍然需要占用主CPU大量的处理时间，对大量并发的IPSec协商仍然是瓶颈。

另外，采用现有IPSec加密技术进行加密后的加密报文在隧道中进行传输时很容易产生大量分片。这是由于在对原始报文进行加密后，由于加密报文中增加了认证头等附加信息，因此使得加密报文的数据长度更长。当在隧道中进行传输的IP报文超过一定长度时，根据现有技术，会对其进行分片，使得原本不需要进行分片的原始报文，经加密成为加密报文后产生了大量的分片。由于分片的存在，在隧道的另一端需要进行报文重组，以恢复分片前的加密报文。根据现有技术，报文重组仍然是由系统的主CPU完成的，因此在加解密吞吐量要求较高的网络中，通过CPU进行重组的加密性能是难以保证的。另外，虽然网络处理器也可以完成报文重组，但是网络处理器的指令空间非常有限，报文重组会占用网络处理器的宝贵的指令空间，使设备功能的扩展将会受到严重制约。

另外，为了解决报文重组的问题，现有技术中也可以采用IPSec路径最大传输单位(Path Maximum Transfer Unit，以下简称：PMTU)发现机制对IPSec的加密报文分片问题进行规避。但是，现有标准并没有强制规定PMTU的实现，因此，PMTU发现机制尚未被所有厂商采用，使得不同厂商的设备之间进行互通仍然可能存在问题。

发明内容

本发明实施例提供了一种加解密卡，以便于在现有报文重组及加解密过程减少对系统主CPU的大量资源的占用。

本发明实施例提供的加解密卡，与网络处理器相连，该加解密卡包括：

专用CPU，用于与对端设备进行密钥协商；

加解密芯片，用于根据由专用CPU协商确定的密钥对待加密报文进行加密，并对经过报文重组后的已加密报文进行解密；

报文处理单元，用于将由加解密芯片加密的已加密报文和解密后的明文发送给所述网络处理器。

本发明实施例还提供了一种加密方法，其中包括：

专用CPU与对端设备进行密钥协商；

加解密芯片根据由专用CPU协商确定的密钥对待加密报文进行加密；