(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221084395 3.9 (22)申请日 2022.07.18 (71)申请人 中安云科 科技发展 （山 东） 有限公司 地址 250000 山东省济南市中国 （山 东） 自 由贸易试验区济南片区经十路7000号 汉峪金谷A7-4栋1768 (72)发明人 褚学礼　刘磊　 (74)专利代理 机构 济南光启专利代理事务所 (普通合伙) 37292 专利代理师 宁初明 (51)Int.Cl. H04L 12/46(2006.01) G06F 9/50(2006.01) (54)发明名称 一种高性能IPsec VPN CPU负载均衡方法 (57)摘要 本发明公开了一种高性能IPsec  VPN CPU负 载均衡方法， 涉及信息安全技术领域， 具体一种 高性能IPsec  VPN CPU负载均衡 方法， 所述IPsec   VPN CPU负载均衡方法包括有网卡接收模块， 所 述网卡接收模块包括有拷贝单元和接收单元， 且 接收单元采用中断的方式， 所述网卡接收模块单 向信号连接有中断处理模块。 该高性能IPsec   VPN CPU负载均衡方法， 通过网卡接收模 块、 中断 处理模块、 CPU核获取模块和数据处理模块之间 的配合， 针对传统IPsecVPN 设备在隧道数量较少 时无法充分利用多核CPU的优势进行负载均衡的 缺陷， 对linux网络转发机制进行了优 化处理， 从 而实现在单隧道时也能充分利用多核CPU优势进 行负载均衡 。 权利要求书1页 说明书4页 附图2页 CN 115225430 A 2022.10.21 CN 115225430 A 1.一种高性能IPsec  VPN CPU负载均衡方法， 其特征在于： 所述IPsec  VPN CPU负载均 衡方法包括有网卡接 收模块， 所述网卡接 收模块包括有拷贝单元和接 收单元， 且接 收单元 采用中断的方式， 所述网卡接 收模块单向信号连接有中断处理模块， 所述中断处理模块远 离网卡接收装置的一端单向信号连接有CPU核获取模块， 所述循环获取模块单向信号连接 有包处理模块， 所述包处 理模块单向信号连接有数据处 理模块。 2.根据权利要求1所述的一种高性能IPsec  VPN CPU负载均衡方法， 其特征在于： 所述 拷贝单元由网卡接收网络数据包， 通过DMA拷贝的方式至系统内存。 3.根据权利要求1所述的一种高性能IPsec  VPN CPU负载均衡方法， 其特征在于： 所述 接收单元通过中断的方式通知CPU数据包已接收完成。 4.根据权利要求1所述的一种高性能IPsec  VPN CPU负载均衡方法， 其特征在于： 所述 中断处理模块对系统收到中断后执行中断处理程序将网络包放入待处理队列， 系统获取 CPU核编号， 将相应处 理任务放入队列。 5.根据权利要求1所述的一种高性能IPsec  VPN CPU负载均衡方法， 其特征在于： 所述 CPU核获取模块中CPU 核编号采用循环获取的方式。 6.根据权利要求1所述的一种高性能IPsec  VPN CPU负载均衡方法， 其特征在于： 所述 包处理模块是对n个CPU核， 从0 –(n‑1)范围内循环获取， 将所有的包处理任务平摊至所有 CPU核， 系统轮训队列数据并进入 包处理程序。 7.根据权利要求1所述的一种高性能IPsec  VPN CPU负载均衡方法， 其特征在于： 所述 数据处理模块中各CPU 核可并行处 理未按地址、 端口进行CPU分配的网络数据包。权　利　要　求　书 1/1 页 2 CN 115225430 A 2一种高性能IPsec  VPN CPU负载均衡方 法 技术领域 [0001]本发明涉及信息安全技 术领域， 具体为 一种高性能IPsec  VPN CPU负载均衡方法。 背景技术 [0002]IPsec VPN是虚拟转用网络(Virtu al Private Network， 以下简称VPN)的一种实 现方式， 是指在公用网络上建立专用网络， 进行加密通讯， VPN可通过服务器、 硬件、 软件等 多种方式实现， 其中， 在VPN设备中最为关键的技术就是加密， 加密速度直接影响VPN设备的 性能， IPSEC  VPN安全网关能够为各类业务系统提供高性能的、 多任务并行处理的加密传 输、 身份验证等核心安全认证服务， 实现局域网互联、 远程接入、 加密通信等， 支持SM1、 S M2、 SM3、 SM4等多种密码算法， 保证传输信息的机密性、 完整性和有效性， 同时提供安全、 完善的 密钥管理机制， 自身具备较强的安全防护能力， 安全网关全面支持PKI信息安全基础设施， 提供包括加密传输、 身份验证等核心安全认证服务， 并可以通过负载均衡技术、 IPSEC技术 等技术， 在不改变网络结构和应用模式的情况下， 实现对目前所有网络层以上应用的完全 支持。 [0003]然而传统VPN设备常受linux内核转发机制的制约很难达到较高性能， 这是由于 linux中对 数据转发的处理依据是对源目地址， 源目端口号进行hash运算， 然后分配给相应 的CPU处理， 这在处理一般高并发的网络应用时有很好的CPU负载均衡作用， 但在IPsec  VPN 应用中， 隧道两端的用户数不确定， 最少为一对， 此时两端的源目地址、 源目端口就始终是 相同的， 此时再利用源目地址、 端口号等信息进行CPU负载分配则会出现严重的不均衡， 从 而制约IPsec  VPN整体的转发性能。 发明内容 [0004]本发明提供了一种高性能IPsec  VPN CPU负载均衡方法， 解决了上述背景技术所 提出的问题。 [0005]为实现以上目的， 本发明通过以下技术方案予以实现： 一种高性能IPsec  VPN CPU 负载均衡方法， 所述IPsec  VPN CPU负载均衡方法包括有网卡接收模块， 所述网卡接收模块 包括有拷贝单元和接 收单元， 且接 收单元采用中断的方式， 所述网卡接 收模块单向信号连 接有中断处理模块， 所述中断处理模块远离网卡接收装置的一端单向信号连接有CPU核获 取模块， 所述循环获取模块单向信号连接有包处理模块， 所述包处理模块单向信号连接有 数据处理模块。 [0006]可选的， 所述拷贝单 元由网卡接收网络数据包， 通过DMA拷贝的方式至系统内存。 [0007]可选的， 所述接收单 元通过中断的方式通知CPU数据包已接收完成。 [0008]可选的， 所述中断处理模块对系统收到中断后执行中断处理程序将网络包放入待 处理队列， 系统获取CPU 核编号， 将相应处 理任务放入队列。 [0009]可选的， 所述CPU 核获取模块中CPU 核编号采用循环获取的方式。 [0010]可选的， 所述包处理模块是对n个CPU核， 从0 –(n‑1)范围内循环获取， 将所有的包说　明　书 1/4 页 3 CN 115225430 A 3