WIPO logo
Mobile | Deutsch | English | Español | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Recherche dans les collections de brevets nationales et internationales
World Intellectual Property Organization
Recherche
 
Options de navigation
 
Traduction
 
Options
 
Quoi de neuf
 
Connexion
 
Aide
 
Traduction automatique
1. (WO2017173806) PROCÉDÉ ET SYSTÈME UTILISANT LA COOPÉRATION D'UNE PUCE DE COMMUTATION OU DE NP ET D'UNITÉ CENTRALE POUR EFFECTUER UN CRYPTAGE IPSEC SUR UN PAQUET
Dernières données bibliographiques dont dispose le Bureau international    Formuler une observation

N° de publication :    WO/2017/173806    N° de la demande internationale :    PCT/CN2016/102806
Date de publication : 12.10.2017 Date de dépôt international : 21.10.2016
CIB :
H04L 29/06 (2006.01)
Déposants : FIBERHOME TELECOMMUNICATION TECHNOLOGIES CO.,LTD [CN/CN]; ZHAO, Jingchao No.67 SBI Venture Street,East Lake High-tech Zone Wuhan, Hubei 430074 (CN)
Inventeurs : WANG, Ying; (CN).
RAO, Ji; (CN).
ZHOU, Wantao; (CN).
LI, Xianxian; (CN)
Mandataire : WUHAN ZHI QUAN PATENT AGENCY; ZHANG, Kai Room 2103,21th Floor,Building No.4,Xingguangwuxian,No.727 Luoyu Road,Donghu New Technology District. Wuhan, Hubei 430000 (CN)
Données relatives à la priorité :
201610212912.4 07.04.2016 CN
Titre (EN) METHOD AND SYSTEM USING COOPERATION OF SWITCH CHIP OR NP AND CPU TO PERFORM IPSEC ENCRYPTION ON PACKET
(FR) PROCÉDÉ ET SYSTÈME UTILISANT LA COOPÉRATION D'UNE PUCE DE COMMUTATION OU DE NP ET D'UNITÉ CENTRALE POUR EFFECTUER UN CRYPTAGE IPSEC SUR UN PAQUET
(ZH) 交换芯片或NP与CPU协同完成报文IPSEC加密的方法与系统
Abrégé : front page image
(EN)Disclosed are a method and system using cooperation of a switch chip or an NP and a CPU to perform IPSEC encryption on a packet. The method comprises the following steps: receiving a packet from a service interface; querying a routing table according to a destination IP address of the packet, and if an egress interface is a normal interface, performing route forwarding on the packet; if the egress interface is an IPSEC tunnel interface, querying, according to a 5-tuple of the packet, an ACL, to determine if the packet satisfies an ACL rule; if not, discarding the packet; if so, determining an action of a security policy, and performing route forwarding on the packet, discarding the packet, or encapsulating a private header of the packet and transmitting the packet to a CPU according to the action of the security policy; receiving, by the CPU, a packet to be encrypted, searching for SA information according to the 5-tuple and a packet 3-tuple of the packet; if no SA information is found, discarding the packet; and if the SA information is found, performing, according to the SA information, IPSEC encryption on the packet, and transmitting the same to an interface board. In the invention, a packet is filtered by an interface board before being inputted to a CPU for processing, and only a packet adopting an IPSEC security policy is inputted to the CPU, thereby increasing a bandwidth utilization rate of a switching network, and enhancing processing efficiency of the CPU.
(FR)L'invention concerne un procédé et un système utilisant la coopération d'une puce de commutation ou d'un NP et d'une unité centrale pour effectuer un cryptage IPSEC sur un paquet. Le procédé comprend les étapes consistant à : recevoir un paquet, d'une interface de service; interroger une table de routage d'après une adresse IP de destination du paquet et, si une interface de sortie est une interface normale, effectuer un transfert de route sur le paquet; si l'interface de sortie est une interface de tunnel IPSEC, interroger une ACL, selon une suite de 5 uplets du paquet, afin de déterminer si le paquet satisfait une règle ACL; si tel n'est pas le cas, éliminer le paquet; si tel est le cas, déterminer une action d'une politique de sécurité, et effectuer un transfert de route sur le paquet, éliminer le paquet, ou encapsuler un en-tête privé du paquet et transmettre le paquet à une unité centrale selon l'action de la politique de sécurité; recevoir, par l'unité centrale, un paquet à chiffrer, rechercher des informations SA selon la suite de 5 uplets et une suite de 3 uplets de paquet du paquet; si aucunes informations SA ne sont trouvées, éliminer le paquet; et si les informations SA sont trouvées, effectuer, selon les informations SA, un chiffrement IPSEC sur le paquet et le transmettre à une carte d'interface. Selon l'invention, un paquet est filtré par une carte d'interface avant d'être entré dans une unité centrale en vue d'un traitement, et seul un paquet adoptant une politique de sécurité IPSEC est entré dans l'unité centrale, ce qui améliore un taux d'utilisation de bande passante d'un réseau de commutation ainsi que l'efficacité de traitement de l'unité centrale.
(ZH)本发明公开了一种交换芯片或NP与CPU协同完成报文IPSEC加密的方法与系统该方法包括以下步骤:从业务接口接收报文,根据报文的目的IP地址查路由表,且若出接口类型是普通接口,将报文进行路由转发;若是IPSEC隧道接口,则根据报文五元组查询ACL并判断是否命中,如未命中则丢弃报文;否则判断安全策略的动作,并根据安全策略的动作对报文进行路由转发、丢弃或封装私有头并发往CPU;CPU接收待加密报文,将根据报文五元组和三元组查询SA信息,若未查到,则丢弃报文;否则根据SA信息对报文进行IPSEC加密并发送至接口板。本发明将输入至CPU处理的报文先经接口板进行筛选,只有安全策略为应用IPSEC的报文才送至CPU中,提升了交换网络带宽利用率,加强了CPU的处理效率。
États désignés : AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DJ, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KN, KP, KR, KW, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
Organisation régionale africaine de la propriété intellectuelle (ARIPO) (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Office eurasien des brevets (OEAB) (AM, AZ, BY, KG, KZ, RU, TJ, TM)
Office européen des brevets (OEB) (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
Organisation africaine de la propriété intellectuelle (OAPI) (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG).
Langue de publication : chinois (ZH)
Langue de dépôt : chinois (ZH)