国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于NetFPGA的IPSecVPN實(shí)現(xiàn)系統(tǒng)及方法

      文檔序號(hào):7576901閱讀:202來源:國知局
      專利名稱:基于NetFPGA的IPSecVPN實(shí)現(xiàn)系統(tǒng)及方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及基于NetFPGA的IPkc VPN實(shí)現(xiàn)系統(tǒng)及方法。
      背景技術(shù)
      IPSec協(xié)議是因特網(wǎng)安全工程組IETF1998年著手制定的一套開放標(biāo)準(zhǔn)網(wǎng)絡(luò)安全 協(xié)議,將密碼技術(shù)應(yīng)用在網(wǎng)絡(luò)層,以提供發(fā)送、接收端的數(shù)據(jù)的認(rèn)證、完整性、存取控制、以 及機(jī)密性等安全服務(wù)。高層的應(yīng)用協(xié)議也可以直接或間接地使用這些安全服務(wù)。因此, IPSec協(xié)議常常配置在路由器、防火墻、主機(jī)和通信鏈路上,以實(shí)現(xiàn)VPN網(wǎng)絡(luò)中的安全隧道 功能,從而實(shí)現(xiàn)安全防護(hù)的功能。IPSec協(xié)議可在終端主機(jī)、網(wǎng)關(guān)/路由器或者兩者間同時(shí)進(jìn)行實(shí)施和配置主機(jī)實(shí) 施IPSec主要用于確保傳輸層的通信安全;路由器上實(shí)施IPkc,主要用于確保網(wǎng)絡(luò)層的通 信安全。主機(jī)實(shí)施的實(shí)現(xiàn)方式有集成方式、“堆棧中的塊"方式。(1)集成方式把IPSec集成到IP協(xié)議的原始實(shí)現(xiàn),需要處理系統(tǒng)內(nèi)核,IPSec層 需要網(wǎng)絡(luò)層的服務(wù)構(gòu)建IP首部,適用于在主機(jī)和安全網(wǎng)關(guān)上實(shí)現(xiàn)。(2)“堆棧中的塊"方式把IPSec作為一個(gè)"契子"插入在協(xié)議堆棧的網(wǎng)絡(luò)層 與數(shù)據(jù)鏈路層之間實(shí)施,不需要處理IP源碼,使用于對(duì)原有系統(tǒng)的升級(jí),通常在主機(jī)上實(shí) 現(xiàn)。路由器實(shí)施的實(shí)現(xiàn)方式有原始方式、“線纜中的塊"方式。(1)原始實(shí)施它等同于在主機(jī)上進(jìn)行的操作系統(tǒng)集成實(shí)施方案,在這種情況下, IPSec是集成在路由器軟件中實(shí)現(xiàn)的。(2)“線纜中的塊"方式該方式是在特定硬件設(shè)備中實(shí)現(xiàn)IPkc,然后將這個(gè)設(shè) 備接入路由器或者主機(jī)中實(shí)現(xiàn)IPSec功能。一般這個(gè)設(shè)備直接接入路由器的物理接口,不 運(yùn)行路由算法,只是附著在路由器設(shè)備上用來保障數(shù)據(jù)包的安全。在路由器上實(shí)施IPSec協(xié)議,對(duì)路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)能力有著嚴(yán)重的依賴關(guān)系。 路由器通常能夠以盡可能快的速度轉(zhuǎn)發(fā)IP數(shù)據(jù)包。而目前在路由器上實(shí)施IPSec的這兩種 方案,均存在各自的問題。原始方式由于使用路由軟件來實(shí)現(xiàn)IPSec進(jìn)行加解密操作等一 系列復(fù)雜操作時(shí),會(huì)耗費(fèi)大量的系統(tǒng)資源;影響數(shù)據(jù)包的轉(zhuǎn)發(fā)處理速度,對(duì)于較大流量的網(wǎng) 絡(luò),容易造成網(wǎng)絡(luò)堵塞,轉(zhuǎn)發(fā)慢等問題?!熬€纜中的塊"方式雖然能夠較快地利用硬件完成 IPSec復(fù)雜的操作,但是"線纜中的塊"方式不能作為一種長期方案來使用,因?yàn)椴豢赡茏?一個(gè)設(shè)備連接路由器的每個(gè)接口,若要完成完整的保護(hù),則配備與路由器接口等量的“線 纜中的塊"方式的設(shè)備,將會(huì)大幅度增加路由器的功耗和成本。

      發(fā)明內(nèi)容
      本發(fā)明的目的在于,針對(duì)現(xiàn)有在路由器上通過原始方式或者"線纜中的塊" 方式實(shí)現(xiàn)的IPkc VPN導(dǎo)致的數(shù)據(jù)包轉(zhuǎn)發(fā)效率低,處理速度慢的不足,提出了一種基于NetFPGA (Net Field Programmable GateArray,網(wǎng)絡(luò)可編程門陣列)的 IPkc VPN 實(shí)現(xiàn)系 統(tǒng)及方法° 本發(fā)明依據(jù) RFC3746 (L. Yang, R. Dantu, Τ. Anderson, R. Gopal. Forwarding and Control ElementSeparation (ForCES)Framework, IETF rfc, April, 2004)的^5 , 由 器的控制層面添加IKE動(dòng)態(tài)密鑰管理模塊,安全關(guān)聯(lián)數(shù)據(jù)庫映射模塊和安全策略數(shù)據(jù)庫, 用于動(dòng)態(tài)管理密鑰、安全關(guān)聯(lián)和安全策略;在轉(zhuǎn)發(fā)層面充分利用NetFPGA開發(fā)板的模塊化 可重用思想,在原有NetFPGA的標(biāo)準(zhǔn)路由器架構(gòu)中,增加了兩個(gè)獨(dú)立設(shè)計(jì)的IPSec輸入和輸 出處理模塊。該方案既能硬件實(shí)現(xiàn)數(shù)據(jù)流的路由轉(zhuǎn)發(fā)功能,又能硬件實(shí)現(xiàn)IPkc VPN所要 求的大部分計(jì)算功能,例如安全(解)封裝載荷和完整性認(rèn)證,能夠有效地兼顧數(shù)據(jù)流的轉(zhuǎn) 發(fā)性能和IPSec協(xié)議處理性能。本發(fā)明的技術(shù)方案如下一種基于NetFPGA的IPkc VPN實(shí)現(xiàn)系統(tǒng),該系統(tǒng)包括控制層面和轉(zhuǎn)發(fā)層面,所述 的控制層面和轉(zhuǎn)發(fā)層面之間通過PCI總線進(jìn)行連接。所述的控制層面包括OSPF動(dòng)態(tài)路由協(xié)議模塊用于運(yùn)行管理OSPF動(dòng)態(tài)路由協(xié)議,完成對(duì)路由表的實(shí) 時(shí)動(dòng)態(tài)地更新,并調(diào)用硬件映射模塊將路由表映射進(jìn)NetFPGA硬件平臺(tái)的內(nèi)容可尋址存儲(chǔ) 器;IKE動(dòng)態(tài)密鑰管理模塊用于完成路由器間的安全關(guān)聯(lián)的動(dòng)態(tài)管理,處理通信實(shí) 體的配置信息,協(xié)商相應(yīng)的安全關(guān)聯(lián)和安全策略,并輸出至安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù) 據(jù)庫映射模塊;為IKE兩個(gè)階段的交換生成偽隨機(jī)序列和密鑰交換載荷的Diffie-Hellman 密鑰材料;根據(jù)IKE模塊協(xié)商好的安全關(guān)聯(lián),獲取安全封裝載荷或完整性認(rèn)證信息中加密 算法、認(rèn)證算法的信息,調(diào)用密鑰生成子模塊生成密鑰,調(diào)用硬件映射模塊映射到密鑰的內(nèi) 容可尋址存儲(chǔ)器;安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫映射模塊用于更新安全策略數(shù)據(jù)庫和安全關(guān) 聯(lián)數(shù)據(jù)庫,調(diào)用硬件映射模塊,將安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫鏡像映射入在NetFPGA 硬件平臺(tái)相應(yīng)的內(nèi)容可尋址存儲(chǔ)器;硬件映射管理模塊調(diào)用設(shè)備1/0管理函數(shù)ioctl的讀寄存器函數(shù)readRegO和 寫寄存器函數(shù)writeRegO,將用戶控制平臺(tái)的路由表、安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫、 密鑰庫映射入NetFPGA硬件平臺(tái)的內(nèi)容可尋址存儲(chǔ)器;所述的轉(zhuǎn)發(fā)層面包括內(nèi)容可尋址存儲(chǔ)器查詢模塊定義并分配內(nèi)容可尋址存儲(chǔ)器寄存器用于存儲(chǔ)路由 表、安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫、密鑰庫,實(shí)現(xiàn)對(duì)各個(gè)模塊的接口 ;輸入隊(duì)列處理模塊完成對(duì)多個(gè)網(wǎng)口的接收隊(duì)列進(jìn)行調(diào)度,輪詢處理數(shù)據(jù)包;IPSec輸入處理模塊完成對(duì)來自對(duì)端子網(wǎng)的已經(jīng)經(jīng)過IPSec安全封裝載荷封裝 認(rèn)證處理的數(shù)據(jù)包進(jìn)行IPkc的安全封裝載荷的解封裝或完整性驗(yàn)證等操作;路由表查詢轉(zhuǎn)發(fā)模塊完成對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)路由的查詢,獲取下一跳的IP地址和 輸出端口等信息;IPSec輸出處理模塊完成對(duì)來自本地子網(wǎng)尚未進(jìn)行IPSec封裝處理的數(shù)據(jù)包進(jìn) 行安全封裝載荷封裝或完整性認(rèn)證等IPSec處理操作;輸出隊(duì)列處理模塊完成將輸入的數(shù)據(jù)包存儲(chǔ)進(jìn)靜態(tài)隨機(jī)存儲(chǔ)器,實(shí)現(xiàn)一個(gè)輪詢機(jī)制來為數(shù)據(jù)的輸出提供調(diào)度服務(wù)。進(jìn)一步,所述的PCI總線包含有DMA直接訪問寄存器和寄存器組。一種基于NetFPGA的IPkc VPN實(shí)現(xiàn)方法,該方法包括下面幾個(gè)階段階段一建立安全關(guān)聯(lián)和安全策略的動(dòng)態(tài)管理階段,在控制層面調(diào)用系統(tǒng)的IKE 協(xié)議進(jìn)程來實(shí)現(xiàn)安全關(guān)聯(lián)的動(dòng)態(tài)管理,完成安全關(guān)聯(lián)數(shù)據(jù)庫和安全策略數(shù)據(jù)庫的動(dòng)態(tài)更 新;根據(jù)安全關(guān)聯(lián)的相應(yīng)信息,生成符合要求的密鑰,進(jìn)而更新密鑰數(shù)據(jù)庫;階段二 建立硬件鏡像映射實(shí)現(xiàn)階段,調(diào)用設(shè)備I/O管理函數(shù)ioctl,實(shí)現(xiàn)將安全 關(guān)聯(lián)數(shù)據(jù)庫和安全策略數(shù)據(jù)庫映射進(jìn)NetFPGA上相應(yīng)的內(nèi)容可尋址存儲(chǔ)器和隨機(jī)存儲(chǔ)器 寄存器里;階段三建立IPSec數(shù)據(jù)包輸入處理階段,數(shù)據(jù)包在轉(zhuǎn)發(fā)層面實(shí)現(xiàn)硬件訪問安全 策略數(shù)據(jù)庫、安全關(guān)聯(lián)數(shù)據(jù)庫和密鑰的內(nèi)容可尋址存儲(chǔ)器,對(duì)已經(jīng)實(shí)施IPSec保護(hù)的數(shù)據(jù) 流,進(jìn)行解封裝、數(shù)據(jù)完整性認(rèn)證等操作;階段四建立IPSec數(shù)據(jù)包輸出處理階段,數(shù)據(jù)包在轉(zhuǎn)發(fā)層面實(shí)現(xiàn)硬件訪問安全 策略數(shù)據(jù)庫、安全關(guān)聯(lián)數(shù)據(jù)庫和密鑰的內(nèi)容可尋址存儲(chǔ)器,進(jìn)行IPSec協(xié)議的處理。進(jìn)一步,所述的階段一實(shí)現(xiàn)的具體步驟如下步驟1在控制層面調(diào)用IKE協(xié)議進(jìn)程,完成IKE第一階段的交換,在路由器間協(xié)商 建立ISAKMP安全關(guān)聯(lián);步驟2在第一階段建立的ISAKMP安全關(guān)聯(lián)的安全保護(hù)下,通過快速模式完成IKE 第二階段的交換,通信對(duì)等實(shí)體協(xié)商IPSec安全關(guān)聯(lián)的各項(xiàng)特征,并為其生成密鑰,動(dòng)態(tài)更 新安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫和密鑰庫。進(jìn)一步,所述的階段二實(shí)現(xiàn)的具體步驟如下步驟1在NetFPGA上定義并開辟安全關(guān)聯(lián)寄存器組,分配安全關(guān)聯(lián)寄存器組的地 址空間,調(diào)用設(shè)備I/O管理函數(shù)ioctl的讀寄存器函數(shù)readRegO讀取安全關(guān)聯(lián)寄存器組 的內(nèi)容,將存儲(chǔ)于主機(jī)內(nèi)存的安全關(guān)聯(lián)數(shù)據(jù)庫映射到安全關(guān)聯(lián)寄存器組;步驟2在NetFPGA上定義開辟安全策略寄存器組,分配安全策略寄存器組的地址 空間,調(diào)用設(shè)備I/O管理函數(shù)ioctl的讀寄存器函數(shù)readRegO讀取安全策略寄存器組的 內(nèi)容,將存儲(chǔ)于主機(jī)內(nèi)存的安全策略映射到安全策略寄存器組;步驟3在NetFPGA上定義開辟密鑰寄存器組,分配密鑰寄存器組的地址空間,調(diào)用 設(shè)備1/0管理函數(shù)ioctl的讀寄存器函數(shù)readRegO讀取密鑰寄存器組的內(nèi)容,將存儲(chǔ)于 主機(jī)內(nèi)存的密鑰庫映射到密鑰寄存器組。進(jìn)一步,所述的階段三實(shí)現(xiàn)的具體步驟如下步驟1調(diào)用數(shù)據(jù)包協(xié)議分析模塊進(jìn)行判斷將UDP類型、端口號(hào)500的IKE更新包 和TCP類型、端口號(hào)89的OSPF更新包轉(zhuǎn)送給主機(jī)的協(xié)議進(jìn)程處理;將包含IPSec首部的數(shù) 據(jù)流,進(jìn)入步驟2的IPSec輸入處理模塊;其他類型的IP數(shù)據(jù)流,跳過階段三的處理,進(jìn)入 階段四的處理;步驟2調(diào)用IPSec輸入處理模塊,提取出目的IP地址、協(xié)議類型、安全參數(shù)索引, 查詢安全策略數(shù)據(jù)庫獲取安全策略,若存在,獲取該安全策略所對(duì)應(yīng)的安全關(guān)聯(lián)在內(nèi)容可 尋址存儲(chǔ)器的存儲(chǔ)地址;若不存在相應(yīng)的安全策略,則直接跳過IPSec輸入處理階段,進(jìn)入 輸出端口 ;
      步驟3根據(jù)步驟2獲取的安全關(guān)聯(lián)的存儲(chǔ)地址,查詢安全關(guān)聯(lián)數(shù)據(jù)庫,獲取相應(yīng)的 安全關(guān)聯(lián)信息,讀取IPSec協(xié)議模式、安全封裝載荷和完整性認(rèn)證信息及安全關(guān)聯(lián)參數(shù);步驟4根據(jù)安全封裝載荷和完整性認(rèn)證信息及安全關(guān)聯(lián)參數(shù),獲取諸如解密算法 和認(rèn)證算法、密鑰、初始值等參數(shù)信息;硬件訪問密鑰內(nèi)容可尋址存儲(chǔ)器寄存器獲取對(duì)應(yīng)的 密鑰;步驟5根據(jù)步驟4所獲得的信息,從安全封裝載荷中分離出加密載荷,調(diào)用解密 集成模塊,處理密文字段,獲取相應(yīng)的明文;步驟6調(diào)用認(rèn)證算法模塊,對(duì)步驟5的輸出的明文狀態(tài)的數(shù)據(jù),進(jìn)行數(shù)據(jù)完整性的 驗(yàn)證;步驟7IP數(shù)據(jù)包重構(gòu),傳輸模式下,修正原有IP首部的相關(guān)字段;隧道模式下,移 除IPSec添加的IP首部和安全封裝載荷首部或完整性認(rèn)證首部,還原加密載荷的IP首部。進(jìn)一步,所述的階段四實(shí)現(xiàn)的具體步驟如下步驟1調(diào)用IPSec輸出處理模塊,獲取目的IP地址和協(xié)議,檢索安全策略數(shù)據(jù)庫, 獲得安全關(guān)聯(lián)在內(nèi)容可尋址存儲(chǔ)器的存儲(chǔ)地址;若未存在安全關(guān)聯(lián),則調(diào)用IKE協(xié)議進(jìn)程 建立安全關(guān)聯(lián);步驟2根據(jù)步驟2獲取的安全關(guān)聯(lián)的存儲(chǔ)地址,查詢安全關(guān)聯(lián)數(shù)據(jù)庫,獲取相應(yīng)的 安全關(guān)聯(lián)信息,讀取IPSec協(xié)議模式、安全封裝載荷和完整性認(rèn)證信息及安全關(guān)聯(lián)參數(shù);步驟3根據(jù)安全封裝載荷和完整性認(rèn)證信息及安全關(guān)聯(lián)參數(shù),獲取諸如加密算法 和認(rèn)證算法、密鑰、初始值等參數(shù)信息;硬件訪問密鑰的內(nèi)容可尋址存儲(chǔ)器獲取對(duì)應(yīng)的密 鑰; 步驟4調(diào)用加密集成模塊,根據(jù)步驟3所獲得的信息,傳輸模式下,對(duì)IP數(shù)據(jù)包的 傳輸層及以上數(shù)據(jù)進(jìn)行加密;隧道模式下,對(duì)IP數(shù)據(jù)包的網(wǎng)絡(luò)層及以上的數(shù)據(jù)進(jìn)行加密;步驟5調(diào)用認(rèn)證算法模塊,對(duì)步驟4的輸出數(shù)據(jù)進(jìn)行數(shù)據(jù)完整性的驗(yàn)證;步驟6IP數(shù)據(jù)包重構(gòu),傳輸模式下,修正原有IP首部的相關(guān)字段;隧道模式下,重 新生成各個(gè)IP首部字段,重新構(gòu)建IP首部。本發(fā)明的有益效果如下提供一種在基于NetFPGA的路由器上實(shí)現(xiàn)IPkc VPN的 方法,優(yōu)先地將IPkc VPN的輸入處理和輸出處理從主機(jī)系統(tǒng)中移至NetFPGA上實(shí)現(xiàn),并實(shí) 現(xiàn)了轉(zhuǎn)發(fā)功能,能夠很好的提高數(shù)據(jù)包的IPSec處理速度和路由轉(zhuǎn)發(fā)速度。該方法結(jié)合IPkc VPN技術(shù),充分利用NetFPGA的硬件模塊化可重用特點(diǎn),實(shí)現(xiàn)了 IPSec在基于NetFPGA的路由器上的運(yùn)用,提高了 IPkc VPN實(shí)施的靈活性和高速性,能夠 使得路由器實(shí)施IPkc VPN更加高速,更加高效的加密、認(rèn)證等安全保障。


      圖1 本發(fā)明在網(wǎng)絡(luò)中部署的拓?fù)鋱D;圖2 本發(fā)明的系統(tǒng)架構(gòu)示意圖;圖3 本發(fā)明的數(shù)據(jù)包處理流程圖。
      具體實(shí)施例方式下面結(jié)合附圖和具體的實(shí)施方案對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述
      如圖1為本發(fā)明在網(wǎng)絡(luò)中部署的拓?fù)鋱D,實(shí)施例在如圖1所示的拓?fù)渲?,進(jìn)行基于 NetFPGA的IPkc VPN實(shí)施方案,本實(shí)施方案是在對(duì)應(yīng)于兩個(gè)通信子網(wǎng)的路由器間,建立一 條高效、高速的IPkc-VPN隧道,以保護(hù)兩個(gè)通信子網(wǎng)間的通信。圖2為本發(fā)明的系統(tǒng)架構(gòu)示意圖,在具體實(shí)施中,設(shè)計(jì)了如圖2的系統(tǒng)架構(gòu)來實(shí)現(xiàn) IPSec VPN的保護(hù)。路由器上的IPkc VPN實(shí)施包括控制層面的軟件部署和基于NetFPGA 的轉(zhuǎn)發(fā)層面的硬件模塊部署。本發(fā)明利用集成于NetFPGA的四個(gè)千兆網(wǎng)卡進(jìn)行數(shù)據(jù)包的 發(fā)送與接收;將接收到的IP數(shù)據(jù)包,送入隊(duì)列緩存中,添加相關(guān)的控制信息,等待輸入判定 器的輪詢調(diào)用;進(jìn)入IPSec輸入處理模塊,對(duì)于已有IPSec首部的數(shù)據(jù)包進(jìn)行處理,其他的 數(shù)據(jù)包查詢安全策略數(shù)據(jù)庫選擇丟棄或者繞過此模塊的處理;進(jìn)入路由表查詢模塊,獲取 數(shù)據(jù)包的轉(zhuǎn)發(fā)輸出端口 ;進(jìn)入IPSec輸出處理模塊,查詢安全策略數(shù)據(jù)庫選擇丟棄、繞過 IPSec服務(wù)或者應(yīng)用IPSec服務(wù);進(jìn)入輸出緩存隊(duì)列模塊,對(duì)數(shù)據(jù)包進(jìn)行控制信息的移除等 處理,送入網(wǎng)卡模塊并發(fā)送至以太網(wǎng)。利用控制層面的軟件實(shí)現(xiàn)安全關(guān)聯(lián)動(dòng)態(tài)管理、路由表 的動(dòng)態(tài)更新,并映射入NetFPGA相應(yīng)的內(nèi)容可尋址存儲(chǔ)器,主要包括的模塊硬件映射管理 模塊、OSPF路由協(xié)議模塊、安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫映射模塊、IKE動(dòng)態(tài)密鑰管理 模塊。控制層面各模塊功能如下IKE模塊完成路由器間的安全關(guān)聯(lián)的動(dòng)態(tài)管理,處理通信實(shí)體的配置信息,協(xié)商 相關(guān)的安全關(guān)聯(lián)和安全策略,并輸出至安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫映射模塊;安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫映射模塊更新安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù) 據(jù)庫,調(diào)用硬件映射模塊,將安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫鏡像映射入在NetFPGA硬 件平臺(tái)相應(yīng)的內(nèi)容可尋址存儲(chǔ)器;密鑰管理模塊為IKE兩個(gè)階段的交換生成偽隨機(jī)序列和密鑰交換載荷作為 Diffie-Hellman密鑰材料;根據(jù)IKE模塊協(xié)商好的安全關(guān)聯(lián),獲取安全封裝載荷或完整性 認(rèn)證信息中加密算法、認(rèn)證算法的信息,調(diào)用密鑰生成子模塊生成密鑰,調(diào)用硬件映射模塊 映射到密鑰的內(nèi)容可尋址存儲(chǔ)器;OSPF路由協(xié)議模塊運(yùn)行管理OSPF動(dòng)態(tài)路由協(xié)議,完成對(duì)路由表的實(shí)時(shí)更新,并 調(diào)用硬件映射模塊將路由表映射進(jìn)NetFPGA硬件平臺(tái)的內(nèi)容可尋址存儲(chǔ)器;硬件映射管理模塊調(diào)用設(shè)備I/O管理函數(shù)ioctl的讀寄存器函數(shù)readRegO和 寫寄存器函數(shù)writeRegO,將用戶控制平臺(tái)的路由表、安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫、 密鑰庫映射入NetFPGA硬件平臺(tái)的內(nèi)容可尋址存儲(chǔ)器。利用NetFPGA硬件平臺(tái)實(shí)現(xiàn)轉(zhuǎn)發(fā)層面的數(shù)據(jù)包路由轉(zhuǎn)發(fā)和IPSec輸入輸出處理等 操作,主要包括的模塊有內(nèi)容可尋址存儲(chǔ)器查詢模塊、輸入隊(duì)列處理模塊、IPSec輸入處理 模塊、路由表查詢轉(zhuǎn)發(fā)模塊、IPSec輸出處理模塊和輸出隊(duì)列處理模塊。NetFPGA硬件平臺(tái)各模塊功能如下內(nèi)容可尋址存儲(chǔ)器查詢模塊定義并分配內(nèi)容可尋址存儲(chǔ)器寄存器用于存儲(chǔ)路由 表、安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫、密鑰庫,實(shí)現(xiàn)對(duì)各個(gè)模塊的接口 ;輸入隊(duì)列處理模塊完成對(duì)多個(gè)網(wǎng)口的接收隊(duì)列進(jìn)行調(diào)度,輪詢處理數(shù)據(jù)包;IPSec輸入處理模塊完成對(duì)來自對(duì)端子網(wǎng)已經(jīng)經(jīng)過IPSec封裝認(rèn)證處理的數(shù)據(jù) 包進(jìn)行IPkc的安全封裝載荷的解封裝或完整性驗(yàn)證等操作;
      路由表查詢轉(zhuǎn)發(fā)模塊完成對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)路由的查詢,獲取下一跳地址和輸出 端口等信息;IPSec輸出處理模塊完成對(duì)來自本地子網(wǎng)的尚未進(jìn)行IPSec封裝處理的數(shù)據(jù)包 進(jìn)行安全封裝載荷封裝或完整性認(rèn)證等IPSec處理操作;輸出隊(duì)列處理模塊完成將輸入的數(shù)據(jù)包存儲(chǔ)進(jìn)靜態(tài)隨機(jī)存儲(chǔ)器,實(shí)現(xiàn)一個(gè)輪詢 機(jī)制來為數(shù)據(jù)的輸出提供調(diào)度服務(wù)。圖3為本發(fā)明的數(shù)據(jù)包處理流程圖,本發(fā)明的數(shù)據(jù)包處理流程如下(1)通過NetFPGA硬件平臺(tái)的4個(gè)千兆網(wǎng)卡獲得的數(shù)據(jù)包,首先在隊(duì)列緩存中進(jìn)行 幀重組,送入輸入判定器,執(zhí)行輪詢機(jī)制從各個(gè)網(wǎng)口讀入數(shù)據(jù)包。(2)首先對(duì)經(jīng)輸入判斷器讀入的數(shù)據(jù)包,進(jìn)行協(xié)議的簡單分析。如果是UDP類型、端口號(hào)500的IKE更新包和TCP類型、端口號(hào)89的OSPF更新包, 直接通過PCI總線的直接存取存儲(chǔ)器DMA,轉(zhuǎn)送到用戶控制平臺(tái),進(jìn)行安全關(guān)聯(lián)的動(dòng)態(tài)管理 和OSPF動(dòng)態(tài)路由表的更新,并調(diào)用硬件映射管理模塊,將更新后的數(shù)據(jù)庫,諸如OSPF路由 表、安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫和密鑰庫,映射入NetFPGA硬件平臺(tái)的內(nèi)容可尋址存 儲(chǔ)器和隨機(jī)存儲(chǔ)器;如果是如ICMP數(shù)據(jù)包及其他類型IP包,則繼續(xù)在NetFPGA上進(jìn)行處理。(3)判斷IP首部的協(xié)議字段。若協(xié)議號(hào)不等于0x32或0x33,則直接跳至(7),進(jìn)入路由表查詢轉(zhuǎn)發(fā)模塊;若協(xié)議號(hào)等于0x32則IPSec類型為安全封裝載荷,或者協(xié)議號(hào)等于0x33則IPSec 類型為完整性認(rèn)證,說明存在IPSec首部,則進(jìn)入IPSec輸入處理模塊。提取目的IP地址、 協(xié)議號(hào)和安全參數(shù)索引,構(gòu)建選擇符,查詢安全關(guān)聯(lián)數(shù)據(jù)庫對(duì)應(yīng)的內(nèi)容可尋址存儲(chǔ)器。若存 在相應(yīng)的安全策略,若為丟棄,則放棄對(duì)此數(shù)據(jù)包的處理;若為繞過,則直接跳至(7),進(jìn)入 路由表查詢轉(zhuǎn)發(fā)模塊。若策略為應(yīng)用,則根據(jù)提供的存儲(chǔ)地址,查詢安全關(guān)聯(lián)數(shù)據(jù)庫對(duì)應(yīng)的內(nèi)容可尋址 存儲(chǔ)器,獲取相應(yīng)的安全關(guān)聯(lián);得到安全關(guān)聯(lián)的IPSec協(xié)議模式,包括隧道模式和傳輸模 式;得到安全封裝載荷信息,如加密算法、密鑰、初始值、密鑰生存周期等參數(shù);完整性認(rèn)證 信息,如認(rèn)證算法、密鑰、初始值、密鑰生存周期等參數(shù)。(4)采用的是安全封裝載荷協(xié)議封裝首先驗(yàn)證安全封裝載荷頭的完整性,若完 整性錯(cuò)誤,直接丟棄此包;若正確,則根據(jù)(3)獲取的安全封裝載荷信息,查詢密鑰對(duì)應(yīng)的 內(nèi)容可尋址存儲(chǔ)器得到密鑰,調(diào)用密碼模塊,對(duì)安全封裝載荷進(jìn)行解密,獲得包含有填充數(shù) 據(jù)的偽明文;而后,根據(jù)填充長度字段,將偽明文的填充部分去除,獲得明文。(5)采用的是完整性認(rèn)證協(xié)議計(jì)算整個(gè)IP首部的完整值,并與完整性認(rèn)證首部 的認(rèn)證數(shù)據(jù)進(jìn)行比較,若錯(cuò)誤,直接丟棄此包;若正確,則去除完整性認(rèn)證首部,修正IP首 部的協(xié)議字段和校驗(yàn)和等字段。(6)若IPSec協(xié)議模式為傳輸模式,修正原有IP首部的相關(guān)字段;若為隧道模式, 移除IPSec添加的IP首部和安全封裝載荷首部或完整性認(rèn)證首部,還原加密載荷的IP首 部。(7)進(jìn)入路由查詢轉(zhuǎn)發(fā)模塊。根據(jù)進(jìn)入的IP數(shù)據(jù)包的目的IP地址查詢路由表對(duì) 應(yīng)的內(nèi)容可尋址存儲(chǔ)器,獲取并輸出該數(shù)據(jù)包的下一跳IP地址和輸出端口,供輸出隊(duì)列使用。(8)將路由查詢轉(zhuǎn)發(fā)模塊處理的數(shù)據(jù)包送入IPSec輸出處理模塊處理。獲取目的IP地址和協(xié)議,查詢安全策略數(shù)據(jù)庫對(duì)應(yīng)的內(nèi)容可尋址存儲(chǔ)器,獲得安 全關(guān)聯(lián)的存儲(chǔ)地址,再根據(jù)此存儲(chǔ)地址查詢安全關(guān)聯(lián)數(shù)據(jù)庫對(duì)應(yīng)的內(nèi)容可尋址存儲(chǔ)器,獲 取安全關(guān)聯(lián);若未存在安全關(guān)聯(lián),則調(diào)用IKE協(xié)議進(jìn)程為這類連接創(chuàng)建安全關(guān)聯(lián);獲取相應(yīng)的安全關(guān)聯(lián)信息,讀取IPSec協(xié)議模式、安全封裝載荷和完整性認(rèn)證信 息等相關(guān)的安全關(guān)聯(lián)參數(shù);根據(jù)安全封裝載荷和完整性認(rèn)證信息及相關(guān)安全參數(shù)索引,獲取諸如加密算法 和認(rèn)證算法、密鑰、初始值等參數(shù)信息;硬件訪問密鑰對(duì)應(yīng)的可尋址存儲(chǔ)器來獲取對(duì)應(yīng)的密 鑰;根據(jù)選擇的密鑰特性,設(shè)置填充字段和填充長度字段,然后調(diào)用密鑰模塊,進(jìn)行加密操 作;若選擇的IPSec協(xié)議模式為傳輸模式,對(duì)IP數(shù)據(jù)包的傳輸層及以上數(shù)據(jù)進(jìn)行加密 或認(rèn)證;若為隧道模式,對(duì)IP數(shù)據(jù)包的網(wǎng)絡(luò)層及以上的數(shù)據(jù)進(jìn)行加密或認(rèn)證;調(diào)用完整性校驗(yàn)算法模塊,對(duì)經(jīng)完整性認(rèn)證或安全封裝載荷的輸出數(shù)據(jù)進(jìn)行數(shù)據(jù) 完整值的計(jì)算;利用相關(guān)的參數(shù)值完成IP數(shù)據(jù)包的重構(gòu)傳輸模式下,修正原有IP首部的相關(guān)字 段;隧道模式下,重新生成各個(gè)IP首部字段,重新構(gòu)建IP首部。(9)調(diào)用輸出隊(duì)列模塊,將輸入的數(shù)據(jù)包存儲(chǔ)進(jìn)靜態(tài)隨機(jī)存儲(chǔ)器,實(shí)現(xiàn)一個(gè)輪詢機(jī) 制來為數(shù)據(jù)包進(jìn)行存儲(chǔ),去除相關(guān)的控制首部,修正IP首部的相關(guān)字段值,送入輸出緩沖 隊(duì)列,等待送到指定的輸出網(wǎng)口。
      權(quán)利要求
      1.一種基于NetFPGA的IPkc VPN實(shí)現(xiàn)系統(tǒng),其特征在于該系統(tǒng)包括控制層面和轉(zhuǎn) 發(fā)層面,所述的控制層面和轉(zhuǎn)發(fā)層面之間通過PCI總線進(jìn)行連接,所述的控制層面包括OSPF動(dòng)態(tài)路由協(xié)議模塊用于運(yùn)行管理OSPF動(dòng)態(tài)路由協(xié)議,完成對(duì)路由表的實(shí)時(shí)動(dòng)態(tài) 地更新,并調(diào)用硬件映射模塊將路由表映射進(jìn)NetFPGA硬件平臺(tái)的內(nèi)容可尋址存儲(chǔ)器;IKE動(dòng)態(tài)密鑰管理模塊用于完成路由器間的安全關(guān)聯(lián)的動(dòng)態(tài)管理,處理通信實(shí)體的 配置信息,協(xié)商相關(guān)的安全關(guān)聯(lián)和安全策略,并輸出至安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫 映射模塊;為IKE兩個(gè)階段的交換生成偽隨機(jī)序列和密鑰交換載荷的Diffie-Hellman密鑰 材料;根據(jù)IKE模塊協(xié)商好的安全關(guān)聯(lián),獲取安全封裝載荷或完整性認(rèn)證信息中加密算法、 認(rèn)證算法的信息,調(diào)用密鑰生成子模塊生成密鑰,調(diào)用硬件映射模塊映射到密鑰的內(nèi)容可 尋址存儲(chǔ)器;安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫映射模塊用于更新安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù) 據(jù)庫,調(diào)用硬件映射模塊,將安全策略數(shù)據(jù)庫和安全關(guān)聯(lián)數(shù)據(jù)庫鏡像映射入在NetFPGA硬 件平臺(tái)相應(yīng)的內(nèi)容可尋址存儲(chǔ)器;硬件映射管理模塊調(diào)用設(shè)備I/O管理函數(shù)ioctl的讀寄存器函數(shù)readRegO和寫寄 存器函數(shù)writeRegO,將用戶控制平臺(tái)的路由表、安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫、密鑰 庫映射入NetFPGA硬件平臺(tái)的內(nèi)容可尋址存儲(chǔ)器; 所述的轉(zhuǎn)發(fā)層面包括內(nèi)容可尋址存儲(chǔ)器查詢模塊定義并分配內(nèi)容可尋址存儲(chǔ)器用于存儲(chǔ)路由表、安全關(guān) 聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫、密鑰庫,實(shí)現(xiàn)對(duì)各個(gè)模塊的接口 ;輸入隊(duì)列處理模塊完成對(duì)多個(gè)網(wǎng)口的接收隊(duì)列進(jìn)行調(diào)度,輪詢處理數(shù)據(jù)包; IPSec輸入處理模塊完成對(duì)來自對(duì)端子網(wǎng)的已經(jīng)經(jīng)過IPSec安全封裝載荷封裝認(rèn)證 處理的數(shù)據(jù)包進(jìn)行IPkc的安全封裝載荷的解封裝或完整性驗(yàn)證等操作;路由表查詢轉(zhuǎn)發(fā)模塊完成對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)路由的查詢,獲取下一跳的IP地址和輸出 端口等信息;IPSec輸出處理模塊完成對(duì)來自本地子網(wǎng)尚未進(jìn)行IPSec封裝處理的數(shù)據(jù)包進(jìn)行安 全封裝載荷封裝或完整性認(rèn)證等IPSec處理操作;輸出隊(duì)列處理模塊完成將輸入的數(shù)據(jù)包存儲(chǔ)進(jìn)靜態(tài)隨機(jī)存儲(chǔ)器,實(shí)現(xiàn)一個(gè)輪詢機(jī)制 來為數(shù)據(jù)的輸出提供調(diào)度服務(wù)。
      2.如權(quán)利要求1所述的一種基于NetFPGA的IPkcVPN實(shí)現(xiàn)系統(tǒng),其特征在于所述 的PCI總線包含有DMA直接訪問寄存器和寄存器組。
      3.一種基于NetFPGA的IPkc VPN實(shí)現(xiàn)方法,其特征在于該方法包括下面幾個(gè)階段 階段一建立安全關(guān)聯(lián)和安全策略的動(dòng)態(tài)管理階段,在控制層面調(diào)用系統(tǒng)的IKE協(xié)議進(jìn)程來實(shí)現(xiàn)安全關(guān)聯(lián)的動(dòng)態(tài)管理,完成安全關(guān)聯(lián)數(shù)據(jù)庫和安全策略數(shù)據(jù)庫的動(dòng)態(tài)更新;根 據(jù)安全關(guān)聯(lián)的參數(shù)信息,生成符合要求的密鑰,進(jìn)而更新密鑰數(shù)據(jù)庫;階段二 建立硬件鏡像映射實(shí)現(xiàn)階段,調(diào)用設(shè)備I/O管理函數(shù)ioctl,實(shí)現(xiàn)將安全關(guān)聯(lián) 數(shù)據(jù)庫和安全策略數(shù)據(jù)庫映射進(jìn)在NetFPGA上相應(yīng)的內(nèi)容可尋址存儲(chǔ)器和隨機(jī)存儲(chǔ)器寄 存器里;階段三建立IPSec數(shù)據(jù)包輸入處理階段,數(shù)據(jù)包在轉(zhuǎn)發(fā)層面實(shí)現(xiàn)硬件訪問安全策略數(shù)據(jù)庫、安全關(guān)聯(lián)數(shù)據(jù)庫和密鑰的內(nèi)容可尋址存儲(chǔ)器,對(duì)已經(jīng)實(shí)施IPSec保護(hù)的數(shù)據(jù)流,進(jìn) 行解封裝、數(shù)據(jù)完整性認(rèn)證等操作;階段四建立IPSec數(shù)據(jù)包輸出處理階段,數(shù)據(jù)包在轉(zhuǎn)發(fā)層面實(shí)現(xiàn)硬件訪問安全策略 數(shù)據(jù)庫、安全關(guān)聯(lián)數(shù)據(jù)庫和密鑰的內(nèi)容可尋址存儲(chǔ)器,進(jìn)行IPSec協(xié)議的處理。
      4.如權(quán)利要求3所述的一種基于NetFPGA的IPkcVPN實(shí)現(xiàn)方法,其特征在于所述 的階段一實(shí)現(xiàn)的具體步驟如下步驟1 在控制層面調(diào)用IKE協(xié)議進(jìn)程,完成IKE第一階段的交換,在路由器間協(xié)商建 立ISAKMP安全關(guān)聯(lián);步驟2 在第一階段建立的ISAKMP安全關(guān)聯(lián)的安全保護(hù)下,通過快速模式完成IKE第 二階段的交換,通信對(duì)等實(shí)體協(xié)商IPSec安全關(guān)聯(lián)的各項(xiàng)特征,并為其生成密鑰,動(dòng)態(tài)更新 安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫和密鑰庫。
      5.如權(quán)利要求3所述的一種基于NetFPGA的IPkcVPN實(shí)現(xiàn)方法,其特征在于所述 的階段二實(shí)現(xiàn)的具體步驟如下步驟1在NetFPGA上定義并開辟安全關(guān)聯(lián)寄存器組,分配安全關(guān)聯(lián)寄存器組的地址空 間,調(diào)用設(shè)備I/O管理函數(shù)ioctl的讀寄存器函數(shù)readRegO讀取安全關(guān)聯(lián)寄存器組的內(nèi) 容,將存儲(chǔ)于主機(jī)內(nèi)存的安全關(guān)聯(lián)數(shù)據(jù)庫映射到安全關(guān)聯(lián)寄存器組;步驟2在NetFPGA上定義開辟安全策略寄存器組,分配安全策略寄存器組的地址空間, 調(diào)用設(shè)備I/O管理函數(shù)ioctl的讀寄存器函數(shù)readRegO讀取安全策略寄存器組的內(nèi)容, 將存儲(chǔ)于主機(jī)內(nèi)存的安全策略映射到安全策略寄存器組;步驟3在NetFPGA上定義開辟密鑰寄存器組,分配密鑰寄存器組的地址空間,調(diào)用設(shè)備 I/O管理函數(shù)ioctl的讀寄存器函數(shù)readRegO讀取密鑰寄存器組的內(nèi)容,將存儲(chǔ)于主機(jī)內(nèi) 存的密鑰庫映射到密鑰寄存器組。
      6.如權(quán)利要求3所述的一種基于NetFPGA的IPkcVPN實(shí)現(xiàn)方法,其特征在于所述 的階段三實(shí)現(xiàn)的具體步驟如下步驟1調(diào)用數(shù)據(jù)包協(xié)議分析模塊進(jìn)行判斷將UDP類型、端口號(hào)500的IKE更新包和 TCP類型、端口號(hào)89的OSPF更新包轉(zhuǎn)送給主機(jī)系統(tǒng)的協(xié)議進(jìn)程處理;將包含IPSec首部的 數(shù)據(jù)流,進(jìn)入步驟2的IPSec輸入處理模塊;其他的IP數(shù)據(jù)流,跳過階段三的處理,進(jìn)入階 段四的處理;步驟2調(diào)用IPSec輸入處理模塊,提取出目的IP地址、協(xié)議類型、安全參數(shù)索引,查詢 安全策略數(shù)據(jù)庫獲取安全策略,若存在,獲取該安全策略所對(duì)應(yīng)的安全關(guān)聯(lián)在內(nèi)容可尋址 存儲(chǔ)器的存儲(chǔ)地址;若不存在相應(yīng)的安全策略,則直接跳過IPSec輸入處理階段,進(jìn)入輸出 端□;步驟3根據(jù)步驟2獲取的安全關(guān)聯(lián)的存儲(chǔ)地址,查詢安全關(guān)聯(lián)數(shù)據(jù)庫,獲取相應(yīng)的安全 關(guān)聯(lián)信息,讀取IPSec協(xié)議模式、安全封裝載荷和完整性認(rèn)證信息及安全關(guān)聯(lián)參數(shù);步驟4根據(jù)安全封裝載荷和完整性認(rèn)證信息及安全關(guān)聯(lián)參數(shù),獲取諸如解密算法和認(rèn) 證算法、密鑰、初始值等參數(shù)信息;硬件訪問密鑰內(nèi)容可尋址存儲(chǔ)器寄存器獲取對(duì)應(yīng)的密 鑰;步驟5根據(jù)步驟4所獲得的信息,從安全封裝載荷中分離出加密載荷,調(diào)用解密集成模 塊,處理密文字段,獲取相應(yīng)的明文;步驟6調(diào)用認(rèn)證算法模塊,對(duì)步驟5的輸出的明文狀態(tài)的數(shù)據(jù),進(jìn)行數(shù)據(jù)完整性的驗(yàn)證;步驟7IP數(shù)據(jù)包重構(gòu),傳輸模式下,修正原有IP首部的相關(guān)字段;隧道模式下,移除 IPSec添加的IP首部和安全封裝載荷首部或完整性認(rèn)證首部,還原加密載荷的IP首部。
      7.如權(quán)利要求3所述的一種基于NetFPGA的IPkc VPN實(shí)現(xiàn)方法,其特征在于所述 的階段四實(shí)現(xiàn)的具體步驟如下步驟1調(diào)用IPSec輸出處理模塊,獲取目的IP地址和協(xié)議,檢索安全策略數(shù)據(jù)庫,獲得 安全關(guān)聯(lián)在內(nèi)容可尋址存儲(chǔ)器的存儲(chǔ)地址;若未存在安全關(guān)聯(lián),則調(diào)用IKE協(xié)議進(jìn)程建立 安全關(guān)聯(lián);步驟2根據(jù)步驟1獲取的安全關(guān)聯(lián)的存儲(chǔ)地址,查詢安全關(guān)聯(lián)數(shù)據(jù)庫,獲取相應(yīng)的安全 關(guān)聯(lián)信息,讀取IPSec協(xié)議模式、安全封裝載荷和完整性認(rèn)證信息及安全關(guān)聯(lián)參數(shù);步驟3根據(jù)安全封裝載荷和完整性認(rèn)證信息及安全關(guān)聯(lián)參數(shù),獲取諸如加密算法和認(rèn) 證算法、密鑰、初始值等參數(shù)信息;硬件訪問密鑰的內(nèi)容可尋址存儲(chǔ)器獲取對(duì)應(yīng)的密鑰;步驟4調(diào)用加密集成模塊,根據(jù)步驟3所獲得的信息,傳輸模式下,對(duì)IP數(shù)據(jù)包的傳輸 層及以上數(shù)據(jù)進(jìn)行加密;隧道模式下,對(duì)IP數(shù)據(jù)包的網(wǎng)絡(luò)層及傳輸層和應(yīng)用層的數(shù)據(jù)進(jìn)行 加密;步驟5調(diào)用認(rèn)證算法模塊,對(duì)步驟4的輸出數(shù)據(jù)進(jìn)行數(shù)據(jù)完整性的驗(yàn)證; 步驟6IP數(shù)據(jù)包重構(gòu),傳輸模式下,修正原有IP首部的相關(guān)字段;隧道模式下,重新生 成各個(gè)IP首部字段,重新構(gòu)建IP首部。
      全文摘要
      本發(fā)明涉及一種基于NetFPGA的IPSec VPN實(shí)現(xiàn)系統(tǒng)及方法,本發(fā)明在路由器的控制層面添加IKE模塊,安全關(guān)聯(lián)數(shù)據(jù)庫映射模塊和安全策略數(shù)據(jù)庫,密鑰管理模塊,用于動(dòng)態(tài)管理密鑰、安全關(guān)聯(lián)和安全策略;在轉(zhuǎn)發(fā)層面充分利用NetFPGA開發(fā)板的模塊化可重用思想,在原有NetFPGA的標(biāo)準(zhǔn)路由器架構(gòu)中,增加了兩個(gè)獨(dú)立設(shè)計(jì)的IPSec輸入和輸出處理模塊。該方案既能硬件實(shí)現(xiàn)數(shù)據(jù)流的路由轉(zhuǎn)發(fā)功能,又能硬件實(shí)現(xiàn)IPSec VPN所要求的大部分計(jì)算功能,例如安全解封裝載荷和完整性認(rèn)證,能夠有效地兼顧數(shù)據(jù)流的轉(zhuǎn)發(fā)性能和IPSec協(xié)議處理性能。
      文檔編號(hào)H04L12/46GK102065021SQ20111003134
      公開日2011年5月18日 申請(qǐng)日期2011年1月28日 優(yōu)先權(quán)日2011年1月28日
      發(fā)明者任飛, 劉穎, 周華春, 張宏科, 易李, 湯春玲, 洪毅清 申請(qǐng)人:北京交通大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1