一種快速加解密方法及網(wǎng)關(guān)的制作方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種快速加解密方法及網(wǎng)關(guān)����,涉及通信【技術(shù)領(lǐng)域】,用以提高網(wǎng)關(guān)對(duì)報(bào)文的加解密速度�����。該方法包括:在接收到報(bào)文時(shí)�����,根據(jù)所述報(bào)文的安全策略索引標(biāo)識(shí)組信息查找是否存儲(chǔ)有與所述標(biāo)識(shí)組信息具有映射關(guān)系的安全關(guān)聯(lián)SA信息及路由信息���;如果是�����,則執(zhí)行快速加解密過(guò)程����,直接根據(jù)查找到的所述SA信息對(duì)所述報(bào)文進(jìn)行加解密,并根據(jù)所述路由信息進(jìn)行發(fā)送���;如果否�,則執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程��。
【專(zhuān)利說(shuō)明】—種快速加解密方法及網(wǎng)關(guān)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】����,特別涉及一種加速加解密方法及網(wǎng)關(guān)。
【背景技術(shù)】
[0002]隨著人們對(duì)公網(wǎng)上信息傳輸?shù)陌踩缘闹匾暼找嫣嵘?���,?duì)數(shù)據(jù)安全傳輸?shù)囊笕找嫣岣撸鞣N安全技術(shù)都得到了迅猛發(fā)展�����。在通信系統(tǒng)中,為了確保業(yè)務(wù)的安全性���,基站通過(guò)IPSec通道與網(wǎng)關(guān)建立安全連接����。傳統(tǒng)應(yīng)用中�����,更多的是考慮傳輸?shù)陌踩?���,但是隨著3G�、4G網(wǎng)絡(luò)的快速發(fā)展,在保證安全性的前提下提高安全網(wǎng)關(guān)的處理速度使之不成為整個(gè)網(wǎng)絡(luò)發(fā)展的瓶頸已經(jīng)越來(lái)越重要��。當(dāng)基站與安全網(wǎng)關(guān)建立加密信道并且通信時(shí)����,報(bào)文需要分步驟,分別查找用于決定報(bào)文處理結(jié)果的安全策略(SP)信息�����、加解密所需要的安全關(guān)聯(lián)(SA)信息和轉(zhuǎn)發(fā)所需的路由信息,這種傳統(tǒng)模式的加解密流程比較繁雜�����,容易影響系統(tǒng)數(shù)據(jù)的傳輸速率����。
[0003]在傳統(tǒng)的加密和解密處理流程的實(shí)際應(yīng)用情境中,經(jīng)常會(huì)出現(xiàn)大量報(bào)文需要經(jīng)過(guò)網(wǎng)關(guān)加解密的情況�����,這樣加解密數(shù)據(jù)的處理會(huì)給網(wǎng)關(guān)帶來(lái)較大的壓力��,導(dǎo)致網(wǎng)關(guān)處理能力不能滿足需求�,容易出現(xiàn)丟包現(xiàn)象,通信會(huì)出現(xiàn)中斷����、語(yǔ)音質(zhì)量差或者數(shù)據(jù)中斷的問(wèn)題。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例提供了一種快速加解密方法及網(wǎng)關(guān)��,用以提高網(wǎng)關(guān)對(duì)報(bào)文的加解密速度�����。
[0005]本發(fā)明提供了一種快速加解密方法,該方法包括:
[0006]在接收到報(bào)文時(shí)�,根據(jù)所述報(bào)文的標(biāo)識(shí)組信息查找是否存儲(chǔ)有與所述標(biāo)識(shí)組信息具有映射關(guān)系的安全關(guān)聯(lián)SA信息及路由信息;
[0007]如果是�����,則執(zhí)行快速加解密過(guò)程�����,直接根據(jù)查找到的所述SA信息對(duì)所述報(bào)文進(jìn)行加解密����,并根據(jù)所述路由信息進(jìn)行發(fā)送;
[0008]如果否�,則執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程。
[0009]在本發(fā)明上述技術(shù)方案中����,提供了一種快速加解密的方法��,將SA信息和路由信息關(guān)聯(lián)儲(chǔ)存���,即讓標(biāo)識(shí)組信息與SA信息和路由信息直接建立映射關(guān)系���,這樣在對(duì)報(bào)文進(jìn)行加密或解密時(shí)����,僅需根據(jù)標(biāo)識(shí)組信息查找一次即可找到所需的SA信息和路由信息����,明顯加快了報(bào)文的處理速度,提升了處理效率��。
[0010]在本發(fā)明上述技術(shù)方案的基礎(chǔ)上����,優(yōu)選地,在所述標(biāo)準(zhǔn)加密過(guò)程或解密過(guò)程完成后�����,該方法還包括:
[0011]將生成的所述SA信息和所述路由信息建立關(guān)聯(lián)關(guān)系����,并與所述標(biāo)識(shí)組信息建立對(duì)應(yīng)的映射關(guān)系。
[0012]在本發(fā)明上述技術(shù)方案中���,提供了 一種建立標(biāo)識(shí)組/[目息與關(guān)聯(lián)關(guān)系SA的映射關(guān)系的方法�����,由于經(jīng)過(guò)標(biāo)準(zhǔn)加解密方法處理過(guò)的報(bào)文�,可以得到標(biāo)識(shí)組信息與SP信息、SA信息和路由信息的對(duì)應(yīng)關(guān)系,所以可以根據(jù)這些對(duì)應(yīng)關(guān)系將SA信息和路由信息儲(chǔ)存����,并與標(biāo)識(shí)組信息建立映射關(guān)系,這樣在下一次具有該標(biāo)識(shí)組信息的報(bào)文到來(lái)時(shí)�����,可以直接提取對(duì)應(yīng)的SA信息和路由信息直接處理����,不用再次進(jìn)行標(biāo)準(zhǔn)加解密流程。
[0013]在本發(fā)明上述技術(shù)方案的基礎(chǔ)上����,優(yōu)選地,該方法還包括對(duì)建立的所述關(guān)聯(lián)關(guān)系設(shè)置了更新周期���,在每周期開(kāi)始時(shí)刪除上一周期建立的所有所述關(guān)聯(lián)關(guān)系。
[0014]本發(fā)明上述技術(shù)方案為了保證建立的關(guān)聯(lián)關(guān)系及映射關(guān)系的正確性����,所以設(shè)定了一個(gè)更新周期�,也可稱(chēng)為老化時(shí)間�,這樣保證每個(gè)建立的關(guān)聯(lián)關(guān)系都僅使用一段時(shí)間,避免由于SA信息或路由信息的變動(dòng)導(dǎo)致原建立的關(guān)聯(lián)關(guān)系錯(cuò)誤導(dǎo)致的報(bào)文加解密流程錯(cuò)誤����,保證了關(guān)聯(lián)關(guān)系的及時(shí)更新。
[0015]本發(fā)明提供了一種快速加解密網(wǎng)關(guān)����,該網(wǎng)關(guān)包括:
[0016]接收端口,用于接收?qǐng)?bào)文���;
[0017]處理器��,用于根據(jù)所述報(bào)文的標(biāo)識(shí)組信息向存儲(chǔ)器查找是否存儲(chǔ)有與所述標(biāo)識(shí)組信息具有映射關(guān)系的安全關(guān)聯(lián)SA信息及路由信息�;
[0018]如果是��,則執(zhí)行快速加解密過(guò)程�����,直接根據(jù)查找到的所述SA信息對(duì)所述報(bào)文進(jìn)行加解密;
[0019]如果否�����,則執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程����;
[0020]存儲(chǔ)器,用于存儲(chǔ)標(biāo)識(shí)組信息����、安全關(guān)聯(lián)SA信息及路由信息;
[0021]發(fā)送端口���,用于將加解密完成的報(bào)文根據(jù)所述路由信息進(jìn)行發(fā)送�����。
[0022]在本發(fā)明上述實(shí)施例中��,提供了一種能夠?qū)崿F(xiàn)快速加解密的網(wǎng)關(guān)�����,相比于傳統(tǒng)網(wǎng)關(guān)�����,本發(fā)明實(shí)施例中的處理器內(nèi)部提前存儲(chǔ)了多個(gè)SA信息和路由信息��,并與不同的標(biāo)識(shí)組信息建立了映射關(guān)系�,這樣在接收到報(bào)文時(shí)���,可以根據(jù)報(bào)文的標(biāo)識(shí)組信息判斷是否能夠執(zhí)行快速加解密過(guò)程��,符合條件的報(bào)文快速完成加解密�����,對(duì)不符合條件的再執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程���。
[0023]本發(fā)明實(shí)施例,通過(guò)提前儲(chǔ)存SA信息和路由信息與報(bào)文的標(biāo)識(shí)組信息的映射關(guān)系�����,從而在接收到報(bào)文時(shí)�,根據(jù)報(bào)文的標(biāo)識(shí)組信息判斷該報(bào)文是否可以進(jìn)行快速加解密流程。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0024]圖1為本發(fā)明實(shí)施例提供的一種快速加解密方法的方法流程示意圖���;
[0025]圖2為本發(fā)明實(shí)施例提供的一種快速加解密網(wǎng)關(guān)的裝置結(jié)構(gòu)示意圖���;
[0026]圖3為本發(fā)明實(shí)施例提供的一種快速加解密方法的詳細(xì)實(shí)施例流程示意圖�。
【具體實(shí)施方式】
[0027]傳統(tǒng)的安全網(wǎng)關(guān)實(shí)施方案�����,在加密或者解密處理的時(shí)候要首先對(duì)報(bào)文進(jìn)行處理才能獲取相關(guān)的信息��,在加解密處理的時(shí)候每一個(gè)報(bào)文都要查找SP信息來(lái)對(duì)相應(yīng)的SA信息進(jìn)行校驗(yàn)���,在發(fā)包的時(shí)候每一次都要查找路由表來(lái)發(fā)送�,流程繁雜而且大量的查找消耗大量的時(shí)間��。大量用戶在線進(jìn)行語(yǔ)音通信或者有大量的數(shù)據(jù)業(yè)務(wù)時(shí)����,這會(huì)對(duì)網(wǎng)關(guān)的負(fù)荷非常大,較容易出現(xiàn)超負(fù)荷工作����,導(dǎo)致語(yǔ)音數(shù)據(jù)出現(xiàn)丟包、下載速度慢����,用戶體驗(yàn)較差�����。
[0028]本發(fā)明實(shí)施例提供了一種快速加解密方法及網(wǎng)關(guān),用以提高網(wǎng)關(guān)對(duì)報(bào)文的加解密速度���。本發(fā)明總體來(lái)說(shuō)�,主要是在充分了解了傳統(tǒng)網(wǎng)關(guān)加解密處理流程的基礎(chǔ)上���,實(shí)現(xiàn)了一種保障了安全網(wǎng)關(guān)的安全性能�����,同時(shí)改善了網(wǎng)關(guān)對(duì)多制式處理的支持���、降低了安全網(wǎng)關(guān)處理大量數(shù)據(jù)時(shí)的丟包率、大大提升安全網(wǎng)關(guān)的處理能力進(jìn)而提高了整個(gè)網(wǎng)關(guān)的處理性能的方法���。經(jīng) 申請(qǐng)人:的實(shí)際測(cè)試�����,本發(fā)明對(duì)安全網(wǎng)關(guān)處理速度的改善非常明顯�,可以將安全網(wǎng)關(guān)處理加解密數(shù)據(jù)報(bào)文的速度提升10倍左右。
[0029]首先�����,為了更加凸顯本發(fā)明的優(yōu)勢(shì)�����,先對(duì)現(xiàn)有的傳統(tǒng)加解密過(guò)程進(jìn)行介紹:
[0030]( I )�,所述標(biāo)準(zhǔn)加密過(guò)程包括:
[0031]根據(jù)所述報(bào)文的源IP信息和目的IP信息查找所述報(bào)文的安全策略SP信息,具體地�,根據(jù)所述報(bào)文的源IP信息和目的IP信息可以確定出報(bào)文方向,根據(jù)報(bào)文方向可以迅速的查找到對(duì)應(yīng)的SP信息����;
[0032]根據(jù)所述SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行加密;
[0033]如果是���,則根據(jù)所述SP信息查找對(duì)應(yīng)的SA信息���;
[0034]根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行加密;
[0035]根據(jù)所述報(bào)文中包含的目的IP查找路由表獲取路由信息����;
[0036]根據(jù)所述路由信息發(fā)送加密完成的所述報(bào)文�����。
[0037](2)���,所述標(biāo)準(zhǔn)解密過(guò)程包括:
[0038]根據(jù)所述報(bào)文的SPI標(biāo)識(shí)和協(xié)議信息查找所述報(bào)文的SA信息,與標(biāo)準(zhǔn)加密過(guò)程相同的是���,在查找SA信息時(shí),也需要報(bào)文方向才能準(zhǔn)確的查找出SA信息��;
[0039]根據(jù)所述SA信息查找SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行解密�;
[0040]如果是,則根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行解密�;
[0041]根據(jù)所述報(bào)文中包含的目的IP查找路由表獲取路由信息;
[0042]根據(jù)所述路由信息發(fā)送解密完成的所述報(bào)文�����。
[0043]通過(guò)上述的標(biāo)準(zhǔn)加密過(guò)程和標(biāo)準(zhǔn)解密過(guò)程�����,可以明顯看出傳統(tǒng)加解密過(guò)程中,需要分別����、分步驟的依次查找SP信息、路由信息和SA信息�,這樣對(duì)每一個(gè)報(bào)文均進(jìn)行多步驟的查詢過(guò)程在系統(tǒng)壓力很大的時(shí)候有可能會(huì)造成系統(tǒng)的癱瘓,造成報(bào)文的丟失���。
[0044]針對(duì)這種情況��,本發(fā)明實(shí)施例提供了一種快速加解密方法���,如圖1所示,該方法包括:
[0045]S101�����,在接收到報(bào)文時(shí)����,根據(jù)所述報(bào)文的標(biāo)識(shí)組信息查找是否存儲(chǔ)有與所述標(biāo)識(shí)組信息具有映射關(guān)系的安全關(guān)聯(lián)SA信息及路由信息;
[0046]S102����,如果是��,則執(zhí)行快速加解密過(guò)程��,直接根據(jù)查找到的所述SA信息對(duì)所述報(bào)文進(jìn)行加解密���,并根據(jù)所述路由信息進(jìn)行發(fā)送;
[0047]S103,如果否�����,則執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程�。
[0048]在本發(fā)明上述實(shí)施例中,提供了一種快速加解密的方法��,將SA信息和路由信息關(guān)聯(lián)儲(chǔ)存��,即讓標(biāo)識(shí)組信息與SA信息和路由信息直接建立映射關(guān)系��,這樣在對(duì)報(bào)文進(jìn)行加密或解密時(shí)��,僅需根據(jù)標(biāo)識(shí)組信息查找一次即可找到所需的SA信息和路由信息���,明顯加快了報(bào)文的處理速度,提升了處理效率。
[0049]簡(jiǎn)單說(shuō)明一下上面提及的標(biāo)識(shí)組信息�,該信息一般包括源IP信息、目的IP信息����、源端口信息、目的端口信息�����、協(xié)議信息及安全策略索引SPI標(biāo)識(shí)�。這些信息可以輔助網(wǎng)關(guān)知曉該報(bào)文是否需要加解密和報(bào)文的去向等。上面所述的根據(jù)標(biāo)識(shí)組信息查找映射關(guān)系的意思是與該標(biāo)識(shí)組信息內(nèi)所有信息具有映射關(guān)系的SA信息和路由信息���。[0050]簡(jiǎn)單來(lái)說(shuō)���,本發(fā)明方法其實(shí)是在設(shè)置兩條報(bào)文的處理流程,對(duì)符合快速處理?xiàng)l件的報(bào)文快速處理�,對(duì)不符合條件的按照傳統(tǒng)方法處理??焖偬幚?xiàng)l件即是否能夠查找到與該報(bào)文的標(biāo)識(shí)組信息存在映射關(guān)系的SA信息和路由信息。
[0051]對(duì)本發(fā)明建立的映射關(guān)系進(jìn)行進(jìn)一步解釋?zhuān)趥鹘y(tǒng)過(guò)程中���,SP信息和SA信息是一一對(duì)應(yīng)的關(guān)系����,而標(biāo)識(shí)組信息內(nèi)的各項(xiàng)標(biāo)識(shí)在標(biāo)準(zhǔn)流程中與SP信息、SA信息和路由信息建立出映射關(guān)系的���,在實(shí)際操作中��,需要注意的是����,存儲(chǔ)的SA信息和路由信息所對(duì)應(yīng)的SPIh息應(yīng)是需要解密或加密的息內(nèi)容���。
[0052]可以理解的是����,本發(fā)明中儲(chǔ)存的SA信息和路由信息的條數(shù)可以根據(jù)需要進(jìn)行設(shè)置�����,當(dāng)然�����,本發(fā)明在使用時(shí)�����,可能會(huì)出現(xiàn)根據(jù)有些報(bào)文的標(biāo)識(shí)組信息找不到存在映射關(guān)系的SA信息�����,那么對(duì)于這些報(bào)文���,就可以利用上述傳統(tǒng)的�、標(biāo)準(zhǔn)加解密方法進(jìn)行處理�����,優(yōu)選地��,在所述標(biāo)準(zhǔn)加密過(guò)程或解密過(guò)程完成后����,該方法還包括:
[0053]將生成的所述SA信息和所述路由信息建立關(guān)聯(lián)關(guān)系,并與所述標(biāo)識(shí)組信息建立對(duì)應(yīng)的映射關(guān)系����。
[0054]在本發(fā)明上述實(shí)施例中,提供了 一種建立標(biāo)識(shí)組信息與關(guān)聯(lián)關(guān)系的映射關(guān)系的實(shí)施例��,由于經(jīng)過(guò)標(biāo)準(zhǔn)加解密方法處理過(guò)的報(bào)文,可以得到標(biāo)識(shí)組信息與SP信息�����、SA信息和路由信息的對(duì)應(yīng)關(guān)系��,所以可以根據(jù)這些對(duì)應(yīng)關(guān)系將SA信息和路由信息儲(chǔ)存��,并與標(biāo)識(shí)組信息建立映射關(guān)系���,這樣在下一次具有該標(biāo)識(shí)組信息的報(bào)文到來(lái)時(shí)��,可以直接提取對(duì)應(yīng)的SA信息和路由信息直接處理����,不用再次進(jìn)行標(biāo)準(zhǔn)加解密流程���。
[0055]優(yōu)選地����,該方法還包括對(duì)建立的所述關(guān)聯(lián)關(guān)系設(shè)置了更新周期�����,在每周期開(kāi)始時(shí)刪除上一周期建立的所有所述關(guān)聯(lián)關(guān)系��。
[0056]在本發(fā)明實(shí)施例中���,可以理解的是����,儲(chǔ)存時(shí)����,可以將SA信息與路由信息綁定存儲(chǔ)形成關(guān)聯(lián)關(guān)系,讓關(guān)聯(lián)關(guān)系與標(biāo)識(shí)組信息建立映射關(guān)系����;
[0057]同樣,存儲(chǔ)時(shí)���,可以將SA信息與路由信息分別儲(chǔ)存�����,分別于標(biāo)識(shí)組信息建立映射關(guān)系����。由于本發(fā)明是在實(shí)際使用時(shí),是直接通過(guò)標(biāo)識(shí)組信息查找存儲(chǔ)的SA信息和路由信息����,略過(guò)了 SP信息的查找和通過(guò)SP信息查找SA信息的過(guò)程,所以本發(fā)明實(shí)施例為了保證建立的關(guān)聯(lián)關(guān)系及映射關(guān)系的正確性��,所以設(shè)定了一個(gè)更新周期�,也可稱(chēng)為老化時(shí)間,這樣保證每個(gè)建立的關(guān)聯(lián)關(guān)系都僅使用一段時(shí)間��,避免由于SA信息或路由信息的變動(dòng)導(dǎo)致原建立的關(guān)聯(lián)關(guān)系錯(cuò)誤導(dǎo)致的報(bào)文加解密流程錯(cuò)誤����,保證了關(guān)聯(lián)關(guān)系的及時(shí)更新。
[0058]對(duì)應(yīng)上述方法����,本發(fā)明還提供了一種快速加解密網(wǎng)關(guān),如圖2所示���,該網(wǎng)關(guān)包括:
[0059]接收端口 I�,用于接收?qǐng)?bào)文��;
[0060]處理器2�,用于根據(jù)所述報(bào)文的標(biāo)識(shí)組信息向存儲(chǔ)器查找是否存儲(chǔ)有與所述標(biāo)識(shí)組信息具有映射關(guān)系的安全關(guān)聯(lián)SA信息及路由信息��;
[0061]如果是,則執(zhí)行快速加解密過(guò)程�,直接根據(jù)查找到的所述SA信息對(duì)所述報(bào)文進(jìn)行加解密;
[0062]如果否�,則執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程;
[0063]存儲(chǔ)器3�����,用于存儲(chǔ)標(biāo)識(shí)組信息��、安全關(guān)聯(lián)SA信息及路由信息����;
[0064]發(fā)送端口 4,用于將加解密完成的報(bào)文根據(jù)所述路由信息進(jìn)行發(fā)送�����。
[0065]在本發(fā)明上述實(shí)施例中��,提供了一種能夠?qū)崿F(xiàn)快速加解密的網(wǎng)關(guān)��,相比于傳統(tǒng)網(wǎng)關(guān)���,本發(fā)明實(shí)施例中的處理器內(nèi)部提前存儲(chǔ)了多個(gè)SA信息和路由信息����,并與不同的標(biāo)識(shí)組信息建立了映射關(guān)系,這樣在接收到報(bào)文時(shí)�����,可以根據(jù)報(bào)文的標(biāo)識(shí)組信息判斷是否能夠執(zhí)行快速加解密過(guò)程���,符合條件的報(bào)文快速完成加解密��,對(duì)不符合條件的再執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程��。
[0066]在本發(fā)明上述實(shí)施例的基礎(chǔ)上�,一般地���,所述處理器進(jìn)行的標(biāo)準(zhǔn)加密過(guò)程包括:
[0067]根據(jù)所述報(bào)文的源IP信息和目的IP信息查找所述報(bào)文的安全策略SP信息���;
[0068]根據(jù)所述SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行加密;
[0069]如果是���,則根據(jù)所述SP信息查找對(duì)應(yīng)的SA信息�;
[0070]根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行加密;
[0071]根據(jù)所述報(bào)文中包含的目的IP查找路由表獲取路由信息��;
[0072]根據(jù)所述路由信息發(fā)送加密完成的所述報(bào)文���。
[0073]在本發(fā)明上述實(shí)施例的基礎(chǔ)上,一般地����,所述處理器進(jìn)行的標(biāo)準(zhǔn)解密過(guò)程包括:
[0074]根據(jù)所述報(bào)文的SPI標(biāo)識(shí)和協(xié)議信息查找所述報(bào)文的SA信息;
[0075]根據(jù)所述SA信息查找SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行解密�;
[0076]如果是,則根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行解密��;
[0077]根據(jù)所述報(bào)文中包含的目的IP查找路由表獲取路由信息��;
[0078]根據(jù)所述路由信息發(fā)送解密完成的所述報(bào)文�。
[0079]在本發(fā)明上述實(shí)施例的基礎(chǔ)上,優(yōu)選地��,所述處理器在所述標(biāo)準(zhǔn)加密過(guò)程或解密過(guò)程完成后�,將生成的所述SA信息和所述路由信息建立關(guān)聯(lián)關(guān)系,并與所述標(biāo)識(shí)組信息建立對(duì)應(yīng)的映射關(guān)系�。
[0080]在本發(fā)明上述實(shí)施例的基礎(chǔ)上,一般地,該網(wǎng)關(guān)還包括定時(shí)器����,用于周期性的通知處理器在每周期開(kāi)始時(shí)刪除上一周期建立的所有所述關(guān)聯(lián)關(guān)系。
[0081]為了更清楚的理解本發(fā)明提供的快速加解密網(wǎng)關(guān)的工作過(guò)程�����,如圖3所示���,現(xiàn)在以網(wǎng)關(guān)一次對(duì)報(bào)文的加密過(guò)程為例���,進(jìn)行詳細(xì)解釋:
[0082]S201,網(wǎng)關(guān)的接收端口接收到報(bào)文�����,根據(jù)檢查報(bào)文頭發(fā)現(xiàn)是需要加密的報(bào)文�;
[0083]S202,處理器根據(jù)該報(bào)文的標(biāo)識(shí)組信息查找已經(jīng)儲(chǔ)存的映射關(guān)系中是否存在于所述標(biāo)識(shí)組信息存在對(duì)應(yīng)的關(guān)聯(lián)關(guān)系���;
[0084]S203��,如果是��,處理器則按照查找到的所述關(guān)聯(lián)關(guān)系中的SA信息和路由信息對(duì)所述報(bào)文進(jìn)行加密過(guò)程�����,并通過(guò)發(fā)送端口將加密完成的報(bào)文根據(jù)路由信息發(fā)送���;
[0085]S204���,如果否,處理器根據(jù)所述報(bào)文的源IP信息和目的IP信息查找所述報(bào)文的安全策略SP信息����;
[0086]S205�����,根據(jù)所述SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行加密�;
[0087]S206,如果是�����,則根據(jù)所述SP信息查找對(duì)應(yīng)的SA信息����;
[0088]S207�����,如果否����,根據(jù)所述SP信息的指示丟棄所述報(bào)文或轉(zhuǎn)發(fā)給另外的網(wǎng)關(guān)或網(wǎng)元;
[0089]S208���,根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行加密���;
[0090]S209,根據(jù)所述報(bào)文中包含的目的IP查找路由表獲取路由信息��;
[0091]S210����,根據(jù)所述路由信息發(fā)送加密完成的所述報(bào)文;
[0092]S211���,處理器將上述路由信息和SA信息建立關(guān)聯(lián)關(guān)系�����,并與所述標(biāo)識(shí)組信息形成映射關(guān)系����。[0093]通過(guò)上述實(shí)施例,詳細(xì)的介紹了一次網(wǎng)關(guān)對(duì)報(bào)文的加密過(guò)程�����,通過(guò)上述流程可以看出���,如果走快速加密流程的話�,該流程在S203就已經(jīng)結(jié)束了��,走標(biāo)準(zhǔn)加密流程需要S205-S209至少4個(gè)步驟��,明顯過(guò)程繁瑣����,在服務(wù)器需要大量處理報(bào)文的情況下�,非常可能會(huì)造成系統(tǒng)癱瘓�����,報(bào)文時(shí)延過(guò)長(zhǎng)等不良后果,所以本發(fā)明通過(guò)優(yōu)化流程的方式�,讓本發(fā)明方法及網(wǎng)關(guān)可以在實(shí)際工作中較大的提高服務(wù)器的工作效率。
[0094]本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白����,本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)���、或計(jì)算機(jī)程序產(chǎn)品�����。因此���,本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例�、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且�����,本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤(pán)存儲(chǔ)器和光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式�����。
[0095]本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))�����、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的���。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框�����、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合�����?���?商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)�����、專(zhuān)用計(jì)算機(jī)��、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器���,使得通過(guò)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置��。
[0096]這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中���,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能�。
[0097]這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理�����,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟�����。
[0098]顯然����,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣��,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)���,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)��。
【權(quán)利要求】
1.一種快速加解密方法�����,其特征在于��,該方法包括: 在接收到報(bào)文時(shí)����,根據(jù)所述報(bào)文的標(biāo)識(shí)組信息查找是否存儲(chǔ)有與所述標(biāo)識(shí)組信息具有映射關(guān)系的安全關(guān)聯(lián)SA信息及路由信息; 如果是��,則執(zhí)行快速加解密過(guò)程����,直接根據(jù)查找到的所述SA信息對(duì)所述報(bào)文進(jìn)行加解密,并根據(jù)所述路由信息進(jìn)行發(fā)送�; 如果否,則執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程��。
2.如權(quán)利要求1所述的方法���,其特征在于�����,所述報(bào)文的標(biāo)識(shí)組信息包括源IP信息��、目的IP信息��、源端口信息��、目的端口信息�、協(xié)議信息及安全策略索引SPI標(biāo)識(shí)���。
3.如權(quán)利要求2所述的方法�����,其特征在于���,所述標(biāo)準(zhǔn)加密過(guò)程包括: 根據(jù)所述報(bào)文的源IP信息和目的IP信息查找所述報(bào)文的安全策略SP信息; 根據(jù)所述SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行加密�; 如果是,則根據(jù)所述SP信息查找對(duì)應(yīng)的SA信息����; 根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行加密; 根據(jù)所述報(bào)文中包含的目的IP查找路由表獲取路由信息; 根據(jù)所述路由信息發(fā)送加密完成的所述報(bào)文����。
4.如權(quán)利要求2所述`的方法,其特征在于���,所述標(biāo)準(zhǔn)解密過(guò)程包括: 根據(jù)所述報(bào)文的SPI標(biāo)識(shí)和協(xié)議信息查找所述報(bào)文的SA信息���; 根據(jù)所述SA信息查找SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行解密; 如果是��,則根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行解密��; 根據(jù)所述報(bào)文中包含的目的IP查找路由表獲取路由信息���; 根據(jù)所述路由信息發(fā)送解密完成的所述報(bào)文��。
5.如權(quán)利要求3或4所述的方法��,其特征在于��,在所述標(biāo)準(zhǔn)加密過(guò)程或解密過(guò)程完成后����,該方法還包括: 將生成的所述SA信息和所述路由信息建立關(guān)聯(lián)關(guān)系,并與所述標(biāo)識(shí)組信息建立對(duì)應(yīng)的映射關(guān)系�����。
6.如權(quán)利要求5所述的方法��,其特征在于��,該方法還包括對(duì)建立的所述關(guān)聯(lián)關(guān)系設(shè)置了更新周期�����,在每周期開(kāi)始時(shí)刪除上一周期建立的所有所述關(guān)聯(lián)關(guān)系�。
7.一種快速加解密網(wǎng)關(guān)�,其特征在于,該網(wǎng)關(guān)包括: 接收端口��,用于接收?qǐng)?bào)文��; 處理器����,用于根據(jù)所述報(bào)文的標(biāo)識(shí)組信息向存儲(chǔ)器查找是否存儲(chǔ)有與所述標(biāo)識(shí)組信息具有映射關(guān)系的安全關(guān)聯(lián)SA信息及路由信息; 如果是�����,則執(zhí)行快速加解密過(guò)程,直接根據(jù)查找到的所述SA信息對(duì)所述報(bào)文進(jìn)行加解密�����; 如果否����,則執(zhí)行標(biāo)準(zhǔn)加解密過(guò)程; 存儲(chǔ)器�����,用于存儲(chǔ)標(biāo)識(shí)組信息�、安全關(guān)聯(lián)SA信息及路由信息; 發(fā)送端口����,用于將加解密完成的報(bào)文根據(jù)所述路由信息進(jìn)行發(fā)送。
8.如權(quán)利要求7所述的網(wǎng)關(guān)�����,其特征在于�����,所述報(bào)文的標(biāo)識(shí)組信息包括源IP信息、目的IP信息�����、源端口信息��、目的端口信息���、協(xié)議信息及安全策略索引SPI標(biāo)識(shí)。
9.如權(quán)利要求8所述的網(wǎng)關(guān)����,其特征在于,所述處理器進(jìn)行的標(biāo)準(zhǔn)加密過(guò)程包括:根據(jù)所述報(bào)文的源IP信息和目的IP信息查找所述報(bào)文的安全策略SP信息�; 根據(jù)所述SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行加密; 如果是��,則根據(jù)所述SP信息查找對(duì)應(yīng)的SA信息��; 根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行加密�����; 根據(jù)所述報(bào)文中包含的目的IP查找路由表獲取路由信息; 根據(jù)所述路由信息發(fā)送加密完成的所述報(bào)文��。
10.如權(quán)利要求8所述的網(wǎng)關(guān)�,其特征在于,所述處理器進(jìn)行的標(biāo)準(zhǔn)解密過(guò)程包括: 根據(jù)所述報(bào)文的SPI標(biāo)識(shí)和協(xié)議信息查找所述報(bào)文的SA信息���; 根據(jù)所述SA信息查找SP信息判斷是否需要對(duì)所述報(bào)文進(jìn)行解密�; 如果是����,則根據(jù)所述SA信息對(duì)所述報(bào)文進(jìn)行解密; 根據(jù)所述報(bào)文中包含 的目的IP查找路由表獲取路由信息����; 根據(jù)所述路由信息發(fā)送解密完成的所述報(bào)文。
11.如權(quán)利要求9或10所述的網(wǎng)關(guān)�,其特征在于,所述處理器在所述標(biāo)準(zhǔn)加密過(guò)程或解密過(guò)程完成后�,將生成的所述SA信息和所述路由信息建立關(guān)聯(lián)關(guān)系,并與所述標(biāo)識(shí)組信息建立對(duì)應(yīng)的映射關(guān)系��。
12.如權(quán)利要求11所述的網(wǎng)關(guān)���,其特征在于��,該網(wǎng)關(guān)還包括定時(shí)器��,用于周期性的通知處理器在每周期開(kāi)始時(shí)刪除上一周期建立的所有所述關(guān)聯(lián)關(guān)系���。
【文檔編號(hào)】H04L12/66GK103780605SQ201410007586
【公開(kāi)日】2014年5月7日 申請(qǐng)日期:2014年1月7日 優(yōu)先權(quán)日:2014年1月7日
【發(fā)明者】李劍榮, 張海泉, 余筱, 謝小梅 申請(qǐng)人:京信通信系統(tǒng)(中國(guó))有限公司