(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211188325.8 (22)申请日 2022.09.28 (71)申请人 芯启源 （南京） 半导体科技有限公司 地址 210046 江苏省南京市南京经济技 术 开发区兴智路 兴智科技园A栋7层 (72)发明人 刘成天　王世泓　张远超　卢笙　 陈盈安　 (74)专利代理 机构 上海光华专利事务所(普通 合伙) 31219 专利代理师 徐秋平 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 IPSec加解密卸载 方法 (57)摘要 本发明提供一种IPSec加解密卸载方法， 包 括以下步骤： 构建智能网卡的驱动程序， 基于所 述驱动程序提供安全 联盟至所述智能网卡， 获取 IPSec报文并设置 所述IPSec报文的元数据； 在所 述智能网卡上设置网卡微引擎， 基于所述网卡微 引擎接收所述IPSec报文、 所述元数据和所述安 全联盟， 根据所述元数据获取所述IPSec报文对 应的安全联盟， 基于所述安全联盟对所述IPSec 报文进行加解密。 本发明的IPSec加解密卸载方 法能够基于智能网卡实现IPSec加解密的高性能 卸载。 权利要求书2页 说明书7页 附图2页 CN 115529180 A 2022.12.27 CN 115529180 A 1.一种IP Sec加解密卸载 方法， 其特 征在于， 包括以下步骤： 构建智能网卡的驱动程序， 基于所述驱动程序提供安全联盟至所述智能网卡， 获取 IPSec报文并设置所述 IPSec报文的元 数据； 在所述智能网卡上设置网卡微引擎， 基于所述网卡微引擎接收所述IPSec报文、 所述元 数据和所述安全联盟， 根据所述元数据获取所述IPSec报文对应的安全联盟， 基于所述安全 联盟对所述 IPSec报文进行加解密。 2.根据权利要求1所述的IPSec加解密卸载方法， 其特征在于， 对于需要加密的IPSec报 文， 所述元数据包括IPSec报文 标识、 安全联盟索引和防攻击序列号； 对于需要解密的IPSec 报文， 所述元 数据包括P Sec报文标识、 安全联盟索引和解密成功失败结果。 3.根据权利要求1所述的IPSec加解密卸载方法， 其特征在于， 所述驱动程序包括上下 文管理单 元、 安全联盟管理单 元和报文管理单 元； 所述安全联盟管理单 元用于获取并存 储所述安全联盟； 所述上下文管理单 元用于提供 所述安全联盟至所述智能网卡； 所述报文管理单 元用于获取IP Sec报文并设置IP Sec报文的元 数据。 4.根据权利要求3所述的IPSec加解密卸载方法， 其特征在于， 所述安全联盟管理单元 获取所述安全联盟通过以下任一方式： 1） 基于用户主机设置所述安全联盟到Linux内核XFRM模块， 基于所述XFRM模块将安全 联盟经由所述上 下文管理单 元传送至所述 安全联盟单 元； 2） 在Linux用户态基于iproute2套件手动设置安全联盟到Linux内核XFRM模块， 基于所 述XFRM模块将安全联盟经由所述上 下文管理单 元传送至所述 安全联盟单 元； 3） 在Linux用户态基于调试工具针对网络接口直接配置所述安全联盟至所述安全联盟 管理单元。 5.根据权利要求1所述的IPSec加解密卸载方法， 其特征在于， 所述网卡微引擎包括配 置管理单 元、 IPSec协议处 理单元和加解密引擎管理单 元； 所述配置管理单 元用于从所述驱动程序中卸载并存 储所述安全联盟； 所述IPSec协议处理单元用于接收所述IPSec报文和所述元数据， 根据所述元数据从所 述配置管理单 元获取所述IPSec报文对应的安全联盟； 所述加解密引擎管理单 元基于所述 安全联盟对所述 IPSec报文进行加解密。 6.根据权利要求5所述的IPSec加解密卸载方法， 其特征在于， 所述IPSec协议处理单元 根据所述 IPSec报文的传输方向确定采用 用于加密的安全联盟或用于解密的安全联盟。 7.根据权利要求5所述的IPSec加解密卸载方法， 其特征在于， 所述加解密引擎管理单 元包括DMA输入 模块、 SRAM、 加解密模块和DMA输出模块； 所述DMA输入 模块用于将位于DRAM中的IP Sec报文基于DMA方式传送至所述SRAM； 所述加解密模块用于读取所述SRAM中的IPSec报文进行加解密， 并将加解密后的IPSec 报文存储至所述SRAM； 所述DMA输出模块用于将所述加解密后的IP Sec报文基于DMA方式传送至所述DRAM 。 8.根据权利要求7所述的IPSec加解密卸载方法， 其特征在于， 所述DMA输入模块、 所述 SRAM、 所述加解密模块和所述DMA输出模块采用并行处 理模式。 9.根据权利要求1所述的IPSec加解密卸载方法， 其特征在于， 还包括基于所述网卡微权　利　要　求　书 1/2 页 2 CN 115529180 A 2引擎对所述 安全联盟进行 更新； 基于所述网卡 微引擎对所述 安全联盟进行 更新包括以下步骤： 当需要对IP Sec报文进行加解密时， 获取 所述安全联盟的生存时长； 当所述生存时长大于老化时间阈值时， 所述网卡自动丢弃 所述IPSec报文； 当所述生存时长不大于所述老化时间阈值时， 将所述IPSec报文 的数据长度累加至报 文字节总数； 若所述报文字节总数大于报文字节数阈值， 所述网卡自动丢弃所述IPSec报 文， 设置所述安全联盟为无效状态并获取更新的安全联盟， 否则基于所述安全联盟进行所 述IPSec报文的加解密。 10.根据权利要求1所述的IPSec加解密卸载方法， 其特征在于， 所述安全联盟还包括 IPSec封装模式和IPSec封装协议， 以分别实现隧道模式的封装解封装和ESP协议的封装解 封装。权　利　要　求　书 2/2 页 3 CN 115529180 A 3