[发明专利]基于NetFPGA的IPSecVPN实现系统及方法

权利要求书

1.一种基于NetFPGA的IPSec VPN实现系统，其特征在于：该系统包括控制层面和转发层面，所述的控制层面和转发层面之间通过PCI总线进行连接，

所述的控制层面包括：

OSPF动态路由协议模块：用于运行管理OSPF动态路由协议，完成对路由表的实时动态地更新，并调用硬件映射模块将路由表映射进NetFPGA硬件平台的内容可寻址存储器；

IKE动态密钥管理模块：用于完成路由器间的安全关联的动态管理，处理通信实体的配置信息，协商相关的安全关联和安全策略，并输出至安全策略数据库和安全关联数据库映射模块；为IKE两个阶段的交换生成伪随机序列和密钥交换载荷的Diffie-Hellman密钥材料；根据IKE模块协商好的安全关联，获取安全封装载荷或完整性认证信息中加密算法、认证算法的信息，调用密钥生成子模块生成密钥，调用硬件映射模块映射到密钥的内容可寻址存储器；

安全策略数据库和安全关联数据库映射模块：用于更新安全策略数据库和安全关联数据库，调用硬件映射模块，将安全策略数据库和安全关联数据库镜像映射入在NetFPGA硬件平台相应的内容可寻址存储器；

硬件映射管理模块：调用设备I/O管理函数ioctl的读寄存器函数readReg()和写寄存器函数writeReg()，将用户控制平台的路由表、安全关联数据库、安全策略数据库、密钥库映射入NetFPGA硬件平台的内容可寻址存储器；

所述的转发层面包括：

内容可寻址存储器查询模块：定义并分配内容可寻址存储器用于存储路由表、安全关联数据库、安全策略数据库、密钥库，实现对各个模块的接口；

输入队列处理模块：完成对多个网口的接收队列进行调度，轮询处理数据包；

IPSec输入处理模块：完成对来自对端子网的已经经过IPSec安全封装载荷封装认证处理的数据包进行IPSec的安全封装载荷的解封装或完整性验证等操作；

路由表查询转发模块：完成对数据包的转发路由的查询，获取下一跳的IP地址和输出端口等信息；

IPSec输出处理模块：完成对来自本地子网尚未进行IPSec封装处理的数据包进行安全封装载荷封装或完整性认证等IPSec处理操作；

输出队列处理模块：完成将输入的数据包存储进静态随机存储器，实现一个轮询机制来为数据的输出提供调度服务。

2.如权利要求1所述的一种基于NetFPGA的IPSec VPN实现系统，其特征在于：所述的PCI总线包含有DMA直接访问寄存器和寄存器组。

3.一种基于NetFPGA的IPSec VPN实现方法，其特征在于：该方法包括下面几个阶段：

阶段一：建立安全关联和安全策略的动态管理阶段，在控制层面调用系统的IKE协议进程来实现安全关联的动态管理，完成安全关联数据库和安全策略数据库的动态更新；根据安全关联的参数信息，生成符合要求的密钥，进而更新密钥数据库；

阶段二：建立硬件镜像映射实现阶段，调用设备I/O管理函数ioctl，实现将安全关联数据库和安全策略数据库映射进在NetFPGA上相应的内容可寻址存储器和随机存储器寄存器里；

阶段三：建立IPSec数据包输入处理阶段，数据包在转发层面实现硬件访问安全策略数据库、安全关联数据库和密钥的内容可寻址存储器，对已经实施IPSec保护的数据流，进行解封装、数据完整性认证等操作；

阶段四：建立IPSec数据包输出处理阶段，数据包在转发层面实现硬件访问安全策略数据库、安全关联数据库和密钥的内容可寻址存储器，进行IPSec协议的处理。

4.如权利要求3所述的一种基于NetFPGA的IPSec VPN实现方法，其特征在于：所述的阶段一实现的具体步骤如下：

步骤1：在控制层面调用IKE协议进程，完成IKE第一阶段的交换，在路由器间协商建立ISAKMP安全关联；

步骤2：在第一阶段建立的ISAKMP安全关联的安全保护下，通过快速模式完成IKE第二阶段的交换，通信对等实体协商IPSec安全关联的各项特征，并为其生成密钥，动态更新安全关联数据库、安全策略数据库和密钥库。