(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210905306.6 (22)申请日 2022.07.29 (71)申请人 北京国领 科技有限公司 地址 100094 北京市海淀区丰慧中路7号 新 材料创业大厦A座313号 (72)发明人 张建国　付晓峰　 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1036(2022.01) (54)发明名称 一种串行任务分工实现高性能网络加密的 方法 (57)摘要 本发明公开了一种串行任务分工实现高性 能网络加密的方法。 单个网络加密模块因密码运 算性能有限， 无法满足高并发、 大带宽等高性能 要求， 在大量应用场景中， 需要使用 负载均衡系 统将大量数据分发到多个并行的网络加密模块 中进行处理。 本方法采用一种串行任务分工机 制， 让网络数据流量依次串行进入多个网络加密 模块， 通过一定的判断机制和标记方法让多个网 络加密模块共同分担和完成所有网络流量的加 密任务。 本方法无需传统负载均衡系统即可实现 将大量网络数据包均衡的分配到多个网络加密 模块中， 让网络加密系统拓 扑更加精简、 易部署， 能够解决多种无法部署负载均衡的场景下高性 能网络加密瓶颈的问题。 权利要求书1页 说明书3页 附图1页 CN 115314269 A 2022.11.08 CN 115314269 A 1.一种串行任务分工实现高性 能网络加密的方法， 其特征在于： 所述方法至少包含2个 网络加密 模块， 每个网络加密 模块至少包含2个网络接口， 网络加密 模块中还包含数据包判 断机制、 加密功能、 透传功能， 以及标记功能； 多个网络加密模块之间使用网线串 行连接； 网 络数据能够从串 行的多个网络加密 模块中的第一个网络加密 模块的网络接口中传入， 依次 穿过所有网络加密模块， 从最后一个网络加密模块的网络 接口中传出； 所述网络加密模块能够使用所述判断机制， 对从网路接口中传入的数据包进行条件判 断； 判断的依据包括下列的一种或多种： 该数据包 是否包含已加密标识、 当前所述网络加密 模块性能是否达到阈值、 数据包某种 特征是否符合过滤规则； 符合条件的数据包使用所述 加密功能进行处理， 然后对加密后的数据包使用所述标记功能进行标记 （防止后续所述网 络加密模块再次对该数据进行加密） 再发送出去； 不符合条件的数据包使用所述透传功 能 直接发送出去； 通过设定合理的所述判断机制， 多个所述网络加密模块能够协同分工， 共 同完成所有 网络数据包的加密任务。 2.根据权利要求1所述的串行任务分工实现高性能网络加密的方法， 其特征在于串行 执行任务分工的最后一个所述网络加密模块， 采用不同的所述判断机制， 对所有尚未加密 的数据包进行加密， 防止未加密数据包透传出去的情况发生。 3.根据权利要求1所述的串行任务分工实现高性能网络加密的方法， 其特征在于多个 所述网络加密模块串行任务分工完成： 解密、 数字签名、 数字签名验证、 哈希运算、 数据压 缩、 数据编解码功能中的一个或多个， 原理和流 程与加密操作类似。 4.根据权利要求1所述的串行任务分工实现高性能网络加密的方法， 其特征在于方法 不仅适用于网络 接口和协议， 还 包括串行接口和协议、 PCI ‑E 接口和协议 等。权　利　要　求　书 1/1 页 2 CN 115314269 A 2一种串行任务分工 实现高性能网 络加密的方 法 技术领域 [0001]本发明涉及 一种计算机网络通讯传输加密系统和技术， 以及涉及多任务负 载均衡 处理技术。 背景技术 [0002]在网络数据加密应用场景中 （例如  VPN 加密网关、 链路加密机、 透明加密网卡等 应用场景） ， 单个网络加密模块因密码运算性能有限， 无法满足高并发、 大带宽等高性能要 求。 在大部分情况中， 需要使用负载均衡系统将大量数据分发到多个并行 的网络加密模块 中进行处 理 （参见附图： 图1） 。 [0003]使用负载均衡系统也存在 缺点： 需要在网络系统中添加一个专用的负 载均衡系统 （以及多 数情况下需要配套增加交换机） ， 增加较大成本； 另外会让网络拓扑结构变得复杂， 故障点也会增加； 在使用纯透明链路层加密机场景中， 链路加密机本身可能没有  IP 地址 和 MAC 地址， 此时负载均衡 器可能难以将数据包根据加密机的地址特 征进行分发。 发明内容 [0004]针对现有负 载均衡系统在网络加密场景下表 现出来的不足， 本发明提供了一种串 行任务分工机制， 让网络数据流量依 次串行进入多个网络加密模块， 通过一定的判断机制 和标记方法让多个网络加密模块共同分担和完成所有网络流量的加密 任务。 本方法无需传 统负载均衡系统即可实现将大量网络数据包均衡的分配到多个网络加密 模块中， 让网络加 密系统更加精简、 易部署； 同时也能支持纯透明链路加密模块的多节点高性能协同工作， 解 决多种无法部署 负载均衡的场景 下高性能网络加密瓶颈的问题。 [0005]为实现上述目的， 本发明提供如下技 术方案： 一种串行任务分工实现高性能网络加密的方法， 其特征在于， 所述方法至少包含2 个网络加密模块， 每个网络加密 模块至少包含2个网络接口， 网络加密模块中还包含数据包 判断机制、 加密功能、 透传功能， 以及标记功能； 多个网络加密模块之 间使用网线串 行连接； 网络数据能够从串行的多个网络加密 模块中的第一个网络加密 模块的网络接口中传 入， 依 次穿过所有网络加密模块， 从最后一个网络加密模块的网络 接口中传出； 所述网络加 密模块能够使用预置的所述判断机制， 对 从网路接口中传入的数据包 特征进行条件判断； 判断的依据包括下列的一种或多种： 该数据包是否包含已加密标识、 当 前所述网络加密模块性能是否达到阈值、 根据数据包某种 特征进行过滤匹配； 符合条件的 数据包使用所述加密功能进行处理， 然后对加密后的数据包使用所述标记功能进行标记 （防止后续所述网络加密 模块再次对该数据进行加密） 再发送出去； 不符合条件的数据包使 用所述透传功能直接发送出去； 通过设定合理的所述判断机制， 多个所述网络加密模块能够协同分工， 共同完成 所有网络数据包的加密任务。 由于加密功能所耗用的系统资源和时间， 远远大于透传功 能 所消耗的系统资源和时间， 因此本方法实现了一种类似流水线的分时分工处理机制， 达到说　明　书 1/3 页 3 CN 115314269 A 3