(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210942071.8 (22)申请日 2022.08.08 (71)申请人 北京国领 科技有限公司 地址 100094 北京市海淀区丰慧中路7号 新 材料创业大厦A座313号 (72)发明人 张建国　王赛　李晓冉　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种使用具备密码功能的网卡实现高速 IPSec的方法 (57)摘要 本发明公开了一种使用具备密码功能的网 卡实现高速IPSec的方法。 常见的IPSec网络加密 系统大多依靠操作系统内核XFRM框架或应用 层 DPDK技术， 同时结合高性能PCI ‑E密码卡、 PCI ‑E 网卡， 实现高速IPSec处理。 本方法使用具备密码 运算功能的网卡， 让耗用大量密码运算资源的 ESP加解密工作在网卡硬件芯片内直接完成， 避 免性能消耗在操作系统内核驱动、 协议栈和中断 过程中， 结合应用层IKE密钥交换服务， 共同实现 性能更高的IP Sec系统。 权利要求书1页 说明书4页 附图2页 CN 115314195 A 2022.11.08 CN 115314195 A 1.一种使用具备密码功能的网卡实现高速IPSec的方法， 其特征在于： 所述方法包含 IPSec IKE认证与协商软件(101)、 网卡(102)， 其中网卡(102)内包含固件程序(103)、 密码 算法模块 （104） 、 SA与策略库(10 5)， 以及2个网口； 流程①所述IPSec  IKE认证与协商软件(101)与其他IPSec系统建立IKE认证和密钥协 商， 协商出SA安全联盟和策略； 流程②所述IPSec  IKE认证与协商软件(101)将SA安全联盟和策略写入所述网卡(102) 中的所述SA与所述策略库(10 5)中； 流程③所述网卡(102)的网 口收到网络数据后， 所述固件程序(103)会根据数据包的地 址信息等特征， 与所述SA与所述策略库(105)进 行匹配， 如满足加密条件则调用所述密码算 法模块 （104） 对数据进行加密与计算校验值； 如满足解密条件则调用所述密码算法模块 （104） 对数据进行解密与核对校验值； 最后将数据包从指定网口发送出去； 最后实现在网卡内完成ES P数据高性能加密/解密、 校验/核对。 2.根据权利要求1所述的一种 使用具备密码功能的网卡实现高速IPSec的方法， 其特征 在于所述网卡(102)可能仅包含1个网口， 或包含多个网口； 数据包可能从任何一个网口传 入， 并从任何一个网口传出； 网口包括以太网电口、 光口等常见网络 接口形式。 3.根据权利要求1所述的一种 使用具备密码功能的网卡实现高速IPSec的方法， 其特征 在于系统主机与网卡之间可能使用不限于PCI ‑E通信接口， 还包括Mini  PCI‑E、 USB、 串口、 I2C、 SATA、 M.2、 闪电等 通信接口。 4.根据权利要求1所述的一种 使用具备密码功能的网卡实现高速IPSec的方法， 其特征 在于系统主机同时连接使用2个或更多所述网卡(102)， 实现多路IP Sec加密服 务。 5.根据权利要求1所述的一种 使用具备密码功能的网卡实现高速IPSec的方法， 其特征 在于IPSec可能使用如下一种或多种密码算法： AES、 RSA、 E CC、 SM1、 SM2、 SM 3、 SM4。权　利　要　求　书 1/1 页 2 CN 115314195 A 2一种使用具备密码功能的网卡实现高 速IPSec的方 法 技术领域 [0001]本发明涉及一种计算机网络通讯传输加密系统和技 术， 尤其涉及IP Sec技术。 背景技术 [0002]IPSec （Internet Protocol Security， 互联网安全协议） 是一种通过对IP协议的 分组进行加密和认证来保护IP协议的网络安全传输协议或安全系统。 其中涉及几个概念： 封装安全载荷 （ESP） ， 提供机密性、 数据 源认证、 无连接完整性、 防重放和有限的传 输流机密性； 安全关联 （SA） ， 提供算法和数据包， 提供ES P操作所需的安全参数。 [0003]密钥协议 （IKE） ， 提供通信双方身份认证和对称密码的协商交换。 [0004]目前主要有两种技 术架构实现高速IP Sec： (1). 如附图2所示， 在系统内核的xfrm层实现ESP模块并维护SA与策略库； 内核中 挂载密码算法模块 （可能是使用软件密码算法， 或是采用PCI ‑E硬件密码加速卡） ； 当应用层软件完成IPSec IKE认证与协商之后， 网络数据通过网卡进入操作系统 内核， 经过驱动程序、 内核协议栈和中断处理， 到达xfrm层ESP代码模块， 匹配SA与策略库； 如满足加密条件则调用密码算法模块对数据进行加密与计算校验值； 如 满足解密条件则调 用密码算法模块对数据进行解密与核对校验值； 处理完毕的数据包， 再次经过内核协议栈、 中断处理以及驱动程序， 到达网卡， 最 后将数据包从网口发送出去。 [0005]上述机制是目前绝大多数IPSec系统采用的实现方法， 标准Linux等操作系统内核 中本身就包含了xfrm层实现ESP的代码， 比较成熟。 但是由于数据包在通过驱动程序、 内核 协议栈和中 断处理这个过程中会耗用相对较多的内核资源， 特别是当有高带宽数据流量需 要进行ESP加密时， 系统内核处 理能力成为 性能瓶颈 。 [0006](2). 为了避免上述内核技术在内核中断处理过程中会耗用相对较多的内核资 源， 业界出现了使用DPDK技术实现IPSec的方法。 DPDK(Data Plane Development Kit， 数据 平面开发套件)是由Intel等多家公司开发， 主要基于Linux系统运行， 用于快速数据包处理 的函数库与驱动集合， 可以极大提高数据 处理性能和吞吐量， 提高数据平面应用程序的工 作效率。 [0007]如附图3所示， 网络数据包从网卡传递到内核驱动和协议栈后， 绕开内核中断等处 理流程， 直接甩到应用层DPDK， 再调用密码算法模块进 行加密， 然后按照类似的路径返回到 内核和网卡， 最后发送出去。 [0008]这种使用DPDK的IPSec实现方法， 相比内核态ESP性能会提升不少， 但仍有不足： 毕 竟数据包还是要通过网卡驱动程序到达内核协议栈， 在经过应用层加密和原路返回到网 卡， 延迟率和加密吞吐率还无法取得极致的性能， 在许多高实时性行业中难以满足 需求； 另 外DPDK框架对于主机操作系统的CPU等 性能要求很高， 资源消耗 也很大。说　明　书 1/4 页 3 CN 115314195 A 3