[发明专利]交换芯片或NP与CPU协同完成报文IPSEC加密的方法与系统有效
| 申请号: | 201610212912.4 | 申请日: | 2016-04-07 |
| 公开(公告)号: | CN105763557B | 公开(公告)日: | 2019-01-22 |
| 发明(设计)人: | 王颖;饶冀;周万涛;李先鲜 | 申请(专利权)人: | 烽火通信科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京捷诚信通专利事务所(普通合伙) 11221 | 代理人: | 王卫东 |
| 地址: | 430074 湖北省*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种交换芯片或NP与CPU协同完成报文IPSEC加密的方法与系统,该方法包括以下步骤:从业务接口接收报文,根据报文的目的IP地址查路由表,且若出接口类型是普通接口,将报文进行路由转发;若是IPSEC隧道接口,则根据报文五元组查询ACL并判断是否命中,如未命中则丢弃报文;否则判断安全策略的动作,并根据安全策略的动作对报文进行路由转发、丢弃或封装私有头并发往CPU;CPU接收待加密报文,将根据报文五元组和三元组查询SA信息,若未查到,则丢弃报文;否则根据SA信息对报文进行IPSEC加密并发送至接口板。本发明将输入至CPU处理的报文先经接口板进行筛选,只有安全策略为应用IPSEC的报文才送至CPU中,提升了交换网络带宽利用率,加强了CPU的处理效率。 | ||
| 搜索关键词: | 交换 芯片 np cpu 协同 完成 报文 ipsec 加密 方法 系统 | ||
【主权项】:
1.一种交换芯片或NP与CPU协同完成报文IPSEC加密的方法,其特征在于,包括以下步骤:主控板在收到用户配置或进行IKE协商后,生成安全策略数据库SPD和安全联盟SA,并将这些配置下发到业务板CPU上;同时,根据SPD信息生成权限安全策略ACL,ACL的匹配规则为报文五元组,ACL的安全策略的动作为丢弃、绕过或应用IPSEC,再将生成的ACL下发到接口板的交换芯片或NP上;从业务接口接收报文,根据报文的目的IP地址查路由表,并判断路由表项的出接口类型,若是普通接口,将报文进行路由转发;若是IPSEC隧道接口,则根据报文五元组查询ACL并判断ACL是否命中,如未命中,则丢弃报文;否则判断ACL的安全策略的动作,将动作为应用IPSEC的报文封装私有头,并发往业务板CPU;将动作为绕过的报文进行路由转发;将动作为丢弃的报文丢弃;业务板CPU接收待加密的报文,将根据报文五元组查询SPD且获得对应的SPI,再根据本SIP及报文三元组查询SA信息,并判断是否查到SA信息,若未查到,则丢弃报文;否则根据SA信息对报文进行IPSEC加密并发送至接口板。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于烽火通信科技股份有限公司,未经烽火通信科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610212912.4/,转载请声明来源钻瓜专利网。
- 上一篇:一种量子密钥申请过程中的身份认证方法
- 下一篇:一种BYOD方法及装置
