技術領域

本發明屬于通信領域，具體涉及一種加密卡故障處理方法、裝置與系統。

背景技術

IPSEC(Internet?Protocol?Security)，是通過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸協議族。它是IPv4中的可選協議族，是IPv6中的必選協議族。IPSEC是一個網絡層協議，只負責其下層的網絡安全，并不負責其上層應用的安全。

IPSEC為網絡提供安全保障，一般應用在具有硬件加密模塊的路由器或防火墻上。硬件加密模塊可以分為兩類，一類是處理器內部集成的加密單元，一類是額外配置的硬件加密卡。鑒于性能原因，目前主流的路由器或防火墻等網絡安全產品上，一般都配備不同的硬件加密模塊，同時提供常用的軟加密算法。

不管是哪種硬件加密模塊，加密芯片是其核心器件，所有的加解密操作都需要通過加密芯片來完成。加密芯片也分為專用加密芯片如SSX30D(提供SM1算法)和由FPGA實現的加密芯片。往往在實際使用環境中加密芯片會由于內部邏輯或者外部應用的原因出現錯誤或異常，會導致加密結果錯誤，或芯片停止工作，從而使得上層應用(IPSEC)出現錯誤，嚴重時使數據出現不可恢復的致命結果。

現有技術中，由于目前大多數加密卡并沒有自動錯誤檢測及恢復機制，通常的做法是，當發現上層應用(IPSEC)業務流異常后，一般先清除當前加密隧道，然后嘗試重新協商并建立加密隧道，若仍舊無法恢復，則只能重啟機器。這種情況下，從機器下電到恢復IPSEC業務流還需要一段時間，對實際應用(比如金融客戶)會造成較大的影響。

發明內容

針對現有技術中存在的缺陷，本發明提供一種加密卡故障處理方法、裝置與系統，保障了網絡安全的穩定性，并可以實時檢測加密卡的工作狀態，可以定時自動發送檢測命令，當檢測到出現故障，便可以自動無縫切換到軟加密模塊，并且還可以進行自動復位，若檢測到故障消除后自動切換回硬件加密；對于存在多張加密卡時，還可以在各加密卡間無縫切換。

為達到以上目的，本發明實施例提供一種加密卡故障處理方法，該方法包括：

定時向加密卡發送故障檢測命令；

接收所述加密卡反饋的檢測結果，根據所述檢測結果判斷所述加密卡是否出現故障；

當判斷出所述加密卡出現故障時，發送切換軟加密指令給上層應用軟件，所述切換軟加密指令用于指示所述上層應用軟件啟動軟加密操作；以及

向所述加密卡發送指示所述加密卡復位的復位指令。

本發明實施例還提供一種加密卡故障處理裝置，該裝置包括：

第一發送單元，用于定時向當加密卡發送故障檢測命令；

第一接收單元，用于接收所述加密卡反饋的檢測結果；

第一判斷單元，用于根據所述檢測結果判斷所述加密卡是否出現故障；

第二發送單元，用于當判斷出加密卡出現故障時，發送切換軟加密指令給上層應用軟件，所述切換軟加密指令用于指示所述上層應用軟件啟動軟加密操作；

第三發送單元，用于向所述加密卡發送指示所述加密卡復位的復位指令。

本發明實施例還提供一種加密卡故障處理系統，包括：加密卡及上層應用軟件，還包括：所述的裝置。

本發明實施例還提供一種加密卡故障處理方法，當存在至少一個備用加密卡時，該方法包括：

定時向當前工作的加密卡發送故障檢測命令；

根據返回的檢測結果，判斷當前工作的加密卡是否出現故障；

當判斷出所述當前工作的加密卡出現故障時，選擇所述備用加密卡之一作為更新后的當前工作的加密卡；

發送第二切換指令給上層應用軟件，所述第二切換指令用于指示所述上層應用軟件啟動更新后的當前加密卡執行加密操作；以及，

發送復位指令給所述檢測結果為出現故障的加密卡，所述復位指令用于指示所述出現故障的加密卡執行復位操作。

本發明實施例還提供一種加密卡故障處理裝置，當存在至少一個備用加密卡時，該裝置包括：

第四發送單元，用于定時向當前工作的加密卡發送故障檢測命令；

第二判斷單元，用于根據返回的檢測結果，判斷當前工作的加密卡是否出現故障；

選擇單元，用于當判斷出所述當前工作的加密卡出現故障時，選擇所述備用加密卡之一作為更新后的當前工作的加密卡；

第五發送單元，用于發送第二切換指令給上層應用軟件，所述第二切換指令用于指示所述上層應用軟件啟動更新后的當前加密卡執行加密操作；