(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111581073.0 (22)申请日 2021.12.2 2 (71)申请人 中国电子科技 集团公司第三十 研究 所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 胡炜　单金良　李文　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 陈法君 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/568(2022.01) H04L 69/22(2022.01) (54)发明名称 一种网络 数据小包高速IPsec处理方法及系 统 (57)摘要 本发明公开了一种网络数据小包高速IPsec 处理方法， 所述网络数据小包高速IPsec处理方 法包括对数据外出方向进行处理和对数据入方 向进行处理； 当设备进行用户网络数据外出方向 处理时， 对多个相同数据流的用户业务原始短报 文进行组合， 合并为单个网络数据长报文， 再进 行安全封装、 数据保护处理， 处理完毕后由协议 处理单元通过INBOUND接口进行发送； 当设备进 行网络业务数据入方向处理时， 先完成解封装、 数据解保护处理， 然后对长报文拆 分还原为原始 用户业务短报文， 再由协议处理单元通过 OUTBOUND接口进行 发送。 通过本处理方法设置优 化了数据报文传输流程， 提升了效率， 从而克服 了传统技 术中网络数据包处 理性能低的问题。 权利要求书2页 说明书5页 附图2页 CN 114553461 A 2022.05.27 CN 114553461 A 1.一种网络数据小包高速IPsec处理方法， 其特征在于， 所述网络数据小包高速IPsec 处理方法包括对数据外出 方向进行处 理和对数据入方向进行处 理； 当设备进行用户网络数据外出方向处理时， 对多个相同数据流的用户业务原始短报文 进行组合， 合并为单个网络数据长报文， 再进行安全封装、 数据保护处理， 处理完毕后由协 议处理单元通过INBOUND接口进行发送； 当设备进行网络业务数据入方向处理时， 先完成解封装、 数据解保护处理， 然后对长报 文拆分还原为原 始用户业 务短报文， 再由协议处 理单元通过OU TBOUND接口进行发送。 2.如权利要求1所述的网络数据小包高速IPsec处理方法， 其特征在于， 所述数据外出 方向处理包括： a.在接收到OUTBOUND接口发送来的网络数据业务原始数据报文后， 依据报文头信息对 报文进行安全策略匹配以及分类； b.针对匹配成功的报文， 提取并生成数据流标示fl owid， 依据fl owid进行排序和缓存； c.当同一fl owid缓冲报文数据总长 达到预设临界值后， 将多个报文组合 为1个长报文； d.将组合后报文 进行安全封装、 数据保护处 理； e.将安全处 理后报文 进行路由查找处 理后通过I NBOUND接口进行发送。 3.如权利要求2所述的网络数据小包高速IPsec处理方法， 其特征在于， 步骤a中， 报文 头信息包括源地址、 目的地址、 源端口、 目的端口、 协议和Q os标签信息 。 4.如权利要求2所述的网络数据小包高速IPsec处理方法， 其特征在于， 步骤c中， 预设 临界值默认为1.4 k字节。 5.如权利要求2所述的网络数据小包高速IPsec处理方法， 其特征在于， 步骤c中， 组合 的长报文的长度不超过网络 MTU。 6.如权利要求1所述的网络数据小包高速IPsec处理方法， 其特征在于， 数据入方向处 理包括： 1)通过INBOUND接口接受到网络数据后， 进行 策略匹配、 安全联盟查找处 理； 2)进行报文解封装、 数据解保护、 数据验证处 理； 3)判断报文是否进行组合， 若进行了组合， 则进行报文拆分， 将长报文还原为原始短报 文； 若未进行组合， 则保持报文不变； 4)将处理后原始报文通过OU TBOUND接口进行发送。 7.一种网络数据小包高速IPsec处理系统， 其特征在于， 所述网络数据小包高速IPsec 处理系统包括： 协议处理单元、 安全处理单元、 INBOUD接口和OUTBOUND接口， 所述INBOUD接 口和OUTBOUND接口分别与协议处 理单元相连， 所述协议处 理单元还与安全处 理单元相连； 其中， 所述协议处 理单元内设有报文组合模块和报文拆分模块； 当系统进行用户网络数据外出方向处理时， 由报文组合模块对多个相同数据流的用户 业务原始短报文进行组合， 合并为单个网络数据长报文， 再交由安全处理单元进行安全封 装、 数据保护处 理， 处理完毕后由协议处 理单元通过INBOUND接口进行发送； 当系统进行网络业务数据入方向处理时， 先由安全处理单元完成解封装、 数据解保护 处理， 然后由报文拆分模块对长报文拆分还原为原始用户业务短报文， 再 由协议处理单元 通过OUTBOUND接口进行发送。 8.如权利要求7所述网络数据小包高速IPsec处理系统， 其特征在于， 当系统进行用户权　利　要　求　书 1/2 页 2 CN 114553461 A 2网络数据外出 方向处理时， 协议处理单元接受到OUTBOUND接口发送来的网络数据业务原始数据报文后， 依据报文 头信息对报文 进行安全策略匹配以及分类； 针对匹配成功的报文， 提取并生成数据流标示fl owid， 依据fl owid进行排序和缓存； 当同一flowid缓冲报文数据总长达到预设临界值后， 由报文组合模块将多个报文组合 为1个长报文； 将组合后报文发送安全处 理模块进行安全封装、 数据保护处 理； 业务处理完成后， 报文传递给协议处 理单元； 协议处理单元将安全处理后报文进行路由查找等网络处理后通过INBOUND接口进行发 送。 9.如权利要求8所述网络数据小包高速IPsec处理系统， 其特征在于， 报文头信息包括 源地址、 目的地址、 源端口、 目的端口、 协议和Q os标签信息 。 10.如权利要求7所述网络数据小包高速IPsec处理系统， 其特征在于， 当系统进行网络 业务数据入方向处 理时， 协议处理单元通过INBOUND接口接受到网络数据后， 进行策略匹配、 安全联盟查找处 理； 协议处理单元调度安全处 理单元进行报文解封装、 数据解保护、 数据验证处 理； 协议处理单元接受到安全处理单元处理成功后的网络数据业务原始报文后， 判断报文 是否进行组合， 若进 行了组合， 则由报文拆分模块进 行报文拆分， 将 长报文还原 为原始短报 文； 若未进行组合， 则保持报文不变； 协议处理单元将处理后原始报文通过OU TBOUND接口进行发送。权　利　要　求　书 2/2 页 3 CN 114553461 A 3