專利名稱:硬件加密卡與網(wǎng)絡(luò)協(xié)議棧的綁定方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)�����,特別是涉及一種在網(wǎng)絡(luò)安全設(shè)備上利用加密卡與系統(tǒng)的TCP/IP網(wǎng)絡(luò)協(xié)議棧進(jìn)行綁定的方法��,以實(shí)現(xiàn)高速網(wǎng)絡(luò)環(huán)境下的多加密卡間負(fù)載均衡及對(duì)系統(tǒng)協(xié)議棧的控制��。
背景技術(shù):
IP層密碼設(shè)備是一種對(duì)IP包進(jìn)行安全處理(如IPSEC安全處理等)的密碼設(shè)備,它位于需要保護(hù)的局域網(wǎng)的交換機(jī)與路由器之間���,實(shí)現(xiàn)對(duì)局域網(wǎng)數(shù)據(jù)在廣域網(wǎng)上傳輸?shù)陌踩Wo(hù)�。由于IP層密碼設(shè)備的安全處理速率受制于加密卡速率����,因此,目前的IP層密碼設(shè)備大多只能支持單個(gè)加密卡���,其處理能力低����,且由于系統(tǒng)的TCP/IP協(xié)議棧與硬件加密卡未建立起綁定關(guān)系�,因此,IP密碼機(jī)在互聯(lián)網(wǎng)上的安全性也不是十分可靠�����。
發(fā)明內(nèi)容
本發(fā)明的目的旨在克服現(xiàn)有技術(shù)的不足�,提供一種在網(wǎng)絡(luò)安全設(shè)備上利用加密卡與系統(tǒng)的TCP/IP網(wǎng)絡(luò)協(xié)議棧進(jìn)行綁定的方法,以實(shí)現(xiàn)高速網(wǎng)絡(luò)環(huán)境下的多加密卡間負(fù)載均衡及對(duì)系統(tǒng)協(xié)議棧的控制��。
本發(fā)明的具體技術(shù)方案如下本發(fā)明的特征在于將網(wǎng)絡(luò)系統(tǒng)的TCP/IP網(wǎng)絡(luò)協(xié)議棧作為內(nèi)核線程并對(duì)應(yīng)分配給在驅(qū)動(dòng)程序中加入了對(duì)應(yīng)內(nèi)核線程啟動(dòng)代碼的硬件加密卡���。
本發(fā)明所述的內(nèi)核線程是指將系統(tǒng)的整個(gè)網(wǎng)絡(luò)協(xié)議棧處理成為在內(nèi)核運(yùn)行的一個(gè)任務(wù)即線程來對(duì)待��。
本發(fā)明所述的內(nèi)核網(wǎng)絡(luò)代碼與硬件加密卡啟動(dòng)代碼一一對(duì)應(yīng)�����,每塊硬件加密卡的啟動(dòng)均同時(shí)啟動(dòng)一個(gè)內(nèi)核線程�����。
本發(fā)明每塊硬件加密卡均從系統(tǒng)內(nèi)核中提取網(wǎng)絡(luò)處理代碼�����,并設(shè)置有與對(duì)應(yīng)的每個(gè)內(nèi)核線程唯一的ID號(hào)��。
本發(fā)明所述的內(nèi)核線程的同一任務(wù)隊(duì)列中同時(shí)設(shè)置有多個(gè)內(nèi)核線程啟動(dòng)代碼和硬件加密卡啟動(dòng)代碼�。
本發(fā)明所述的加密卡對(duì)TCP/IP網(wǎng)絡(luò)協(xié)議棧進(jìn)行控制���。
本發(fā)明所述的硬件加密卡工作方式包括單塊獨(dú)立工作方式和多塊同時(shí)并行工作方式����。
本發(fā)明所述的硬件加密卡正常運(yùn)行后才啟動(dòng)相應(yīng)線程的啟動(dòng)代碼�����,,并能實(shí)現(xiàn)密碼卡間的負(fù)載均衡�����,大大提高了IP層密碼設(shè)備的處理能力及整體加密處理效率��,同時(shí)��,由于系統(tǒng)的TCP/IP協(xié)議棧與硬件加密卡建立起了綁定關(guān)系��,大大地增強(qiáng)了密碼機(jī)在互聯(lián)網(wǎng)上的安全性�,使密碼機(jī)只有在加密卡正常運(yùn)轉(zhuǎn)的情況下才能收發(fā)網(wǎng)絡(luò)數(shù)據(jù)。
具體實(shí)施例方式實(shí)施例1本發(fā)明的特征在于將網(wǎng)絡(luò)系統(tǒng)的TCP/IP網(wǎng)絡(luò)協(xié)議棧作為內(nèi)核線程并對(duì)應(yīng)分配給在驅(qū)動(dòng)程序中加入了對(duì)應(yīng)內(nèi)核線程啟動(dòng)代碼的硬件加密卡����。
本發(fā)明所述的內(nèi)核線程是指將系統(tǒng)的整個(gè)網(wǎng)絡(luò)協(xié)議棧處理成為在內(nèi)核運(yùn)行的一個(gè)任務(wù)即線程來對(duì)待。
本發(fā)明所述的內(nèi)核網(wǎng)絡(luò)代碼與硬件加密卡啟動(dòng)代碼一一對(duì)應(yīng)����,每塊硬件加密卡的啟動(dòng)均同時(shí)啟動(dòng)一個(gè)內(nèi)核線程。
本發(fā)明每塊硬件加密卡均從系統(tǒng)內(nèi)核中提取網(wǎng)絡(luò)處理代碼�����,并設(shè)置有與對(duì)應(yīng)的每個(gè)內(nèi)核線程唯一的ID號(hào)。
本發(fā)明所述的內(nèi)核線程的同一任務(wù)隊(duì)列中同時(shí)設(shè)置有多個(gè)內(nèi)核線程啟動(dòng)代碼和硬件加密卡啟動(dòng)代碼�。
本發(fā)明所述的加密卡對(duì)TCP/IP網(wǎng)絡(luò)協(xié)議棧進(jìn)行控制。
本發(fā)明所述的硬件加密卡工作方式包括單塊獨(dú)立工作方式和多塊同時(shí)并行工作方式���。
實(shí)施例2本發(fā)明所述的內(nèi)核網(wǎng)絡(luò)代碼為內(nèi)核線程���,在每塊加密卡啟動(dòng)時(shí)均啟動(dòng)一個(gè)內(nèi)核線程,其處理代碼為kemel_thread(net_bh�����,(void*)&ssfdevid[cards_found]���,0)���,其中net_bh為從系統(tǒng)內(nèi)核提取的網(wǎng)絡(luò)處理代碼����,ssfdevid[cars_found]為相應(yīng)的加密卡的ID號(hào)。每個(gè)線程有個(gè)唯一的ID號(hào)��,與相應(yīng)的硬件加密卡設(shè)備號(hào)對(duì)應(yīng)���,從而建立起了加密卡與系統(tǒng)的TCP/IP網(wǎng)絡(luò)協(xié)議棧的綁定���。
本發(fā)明可以支持多個(gè)加密卡并行處理���,并能實(shí)現(xiàn)密碼卡間的負(fù)載均衡,大大提高了IP層密碼設(shè)備的處理能力及整體加密處理效率�,同時(shí),由于系統(tǒng)的TCP/IP協(xié)議棧與硬件加密卡建立起了綁定關(guān)系�����,大大地增強(qiáng)了密碼機(jī)在互聯(lián)網(wǎng)上的安全性��,使密碼機(jī)只有在加密卡正常運(yùn)轉(zhuǎn)的情況下才能收發(fā)網(wǎng)絡(luò)數(shù)據(jù)�。
權(quán)利要求
1.硬件加密卡與網(wǎng)絡(luò)協(xié)議棧的綁定方法,其特征在于將網(wǎng)絡(luò)系統(tǒng)的TCP/IP網(wǎng)絡(luò)協(xié)議棧作為內(nèi)核線程并對(duì)應(yīng)分配給在驅(qū)動(dòng)程序中加入了對(duì)應(yīng)內(nèi)核線程啟動(dòng)代碼的硬件加密卡����。
2.根據(jù)權(quán)利要求1所述的硬件加密卡與網(wǎng)絡(luò)協(xié)議棧的綁定方法,其特征在于所述的內(nèi)核網(wǎng)絡(luò)代碼與硬件加密卡啟動(dòng)代碼一一對(duì)應(yīng)�����,每塊硬件加密卡的啟動(dòng)均同時(shí)啟動(dòng)一個(gè)內(nèi)核線程����。
3.根據(jù)權(quán)利要求1或2所述的硬件加密卡與網(wǎng)絡(luò)協(xié)議棧的綁定方法�,其特征在于所述的每塊硬件加密卡均從系統(tǒng)內(nèi)核中提取網(wǎng)絡(luò)處理代碼��,并設(shè)置有與對(duì)應(yīng)的每個(gè)內(nèi)核線程唯一的ID號(hào)�。
4.根據(jù)權(quán)利要求1所述的硬件加密卡與網(wǎng)絡(luò)協(xié)議棧的綁定方法,其特征在于所述的內(nèi)核線程的同一任務(wù)隊(duì)列中同時(shí)設(shè)置有多個(gè)內(nèi)核線程啟動(dòng)代碼和硬件加密卡啟動(dòng)代碼���。
5.根據(jù)權(quán)利要求1所述的硬件加密卡與網(wǎng)絡(luò)協(xié)議棧的綁定方法�,其特征在于所述的硬件加密卡工作方式包括單塊獨(dú)立工作方式和多塊同時(shí)并行工作方式��。
全文摘要
本發(fā)明公開了一種在網(wǎng)絡(luò)安全設(shè)備上利用硬件加密卡與系統(tǒng)的TCP/IP網(wǎng)絡(luò)協(xié)議棧進(jìn)行綁定的方法��,將網(wǎng)絡(luò)系統(tǒng)的TCP/IP網(wǎng)絡(luò)協(xié)議棧作為內(nèi)核線程并對(duì)應(yīng)分配給在驅(qū)動(dòng)程序中加入了對(duì)應(yīng)內(nèi)核線程啟動(dòng)代碼的硬件加密卡���,本發(fā)明能支持多個(gè)加密卡并行處理����,實(shí)現(xiàn)密了碼卡間的負(fù)載均衡�����,提高了IP層密碼設(shè)備的效率�,增強(qiáng)了密碼機(jī)在互聯(lián)網(wǎng)上的安全性,使密碼機(jī)只有在加密卡正常運(yùn)轉(zhuǎn)的情況下才能收發(fā)網(wǎng)絡(luò)數(shù)據(jù)�����。
文檔編號(hào)H04L9/00GK1512705SQ0212810
公開日2004年7月14日 申請(qǐng)日期2002年12月26日 優(yōu)先權(quán)日2002年12月26日
發(fā)明者羅俊, 譚興烈, 羅 俊 申請(qǐng)人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司