[发明专利]以太网IPSec安全数据库查找装置及方法

权利要求书

1.一种以太网IPSec安全数据库查找装置，其特征在于,包括接收模块、处理单元、SPD存储单元、SAD存储单元和IPSec安全数据库查找模块，其中所述SPD存储单元存储安全策略，所述SAD存储单元存储安全联盟，所述处理单元配置所述SPD存储单元和所述SPD存储单元中的安全数据库，所述接收模块接收来自以太网的数据帧并解封装成IP数据包，所述IPSec安全数据库查找模块对所述接收模块解封装的IP数据包进行选择符提取和压缩处理，并将压缩后的字符作为所述SPD存储单元的输入地址，所述SPD存储单元根据所述输入地址输出安全策略并交由所述IPSec安全数据库查找模块进行解析，从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址，所述SAD存储单元根据所述输入地址输出安全联盟并交由所述IPSec安全数据库查找模块进行解析，以产生用于IPSec协议处理的任务描述符。

2.如权利要求1所述的以太网IPSec安全数据库查找装置，其特征在于,还包括IPSec协议处理模块，所述IPSec协议处理模块用于根据任务描述符进行协议处理。

3.如权利要求2所述的以太网IPSec安全数据库查找装置，其特征在于,所述处理单元为32位嵌入式CPU，所述接收模块、所述IPSec安全数据库查找模块、所述32位嵌入式CPU和所述IPSec协议处理模块通过32位系统总线相连，所述系统总线为交叉互联结构的数据传输架构。

4.如权利要求3所述的以太网IPSec安全数据库查找装置，其特征在于,所述32位嵌入式CPU作为主设备，所述接收模块作为从设备，所述IPSec安全数据库查找模块和所述IPSec协议处理模块既作为主设备又作为从设备挂接到所述系统总线上。

5.一种以太网IPSec安全数据库查找方法，其特征在于,包括以下步骤：

a.处理单元配置安全数据库，将安全策略写入SPD存储单元中，将安全联盟写入SAD存储单元中；

b.接收模块从以太网中接收数据帧并解封装成IP数据包；

c.IPSec安全数据库查找模块对接收模块解封装的IP数据包进行选择符提取；

d.IPSec安全数据库查找模块对提取的选择符进行数据压缩，将压缩后的数据作为地址信号输入SPD存储单元进行安全策略查询,SPD存储单元输出安全策略；

e.IPSec安全数据库查找模块对输出的安全策略进行解析，对于要进行IPSec协议处理的IP数据包，从安全策略中获取SAD存储单元的地址信号输入SPD存储单元进行安全联盟查询，SAD存储单元输出安全联盟；

f.IPSec安全数据库查找模块对安全联盟进行解析，产生任务描述符。

6.如权利要求5所述的以太网IPSec安全数据库查找方法，其特征在于,还包括以下步骤：

g．IPSec协议处理模块接收任务描述符进行协议处理。

7.如权利要求5或6所述的以太网IPSec安全数据库查找方法，其特征在于,所述接收模块在接收完数据帧头和IP数据包头之后、接收完全部IP数据包之前，将接收模块中的状态寄存器置高，所述IPSec安全数据库查找模块通过查询所述状态寄存器来查询是否有新的IP数据包，当IPSec安全数据库查找模块读完状态寄存器后，接收模块的状态寄存器清零以表示可以接收下一个数据包。

8.如权利要求5或6所述的以太网IPSec安全数据库查找方法，其特征在于,处理单元定期更新SPD存储单元中和SAD存储单元中的安全数据库。

9.一种用于实现以太网IPSec安全数据库查找的方法，其特征在于,包括以下步骤：

从接收模块中的IP数据包提取选择符；

对选择符进行压缩处理以得到SPD存储单元的输入地址；

对SPD存储单元输出的安全策略进行解析，从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址；

对SAD存储单元输出的安全联盟进行解析以产生用于IPSec协议处理的任务描述符。

10.一种用于实现以太网IPSec安全数据库查找的装置，其特征在于,包括：

选择符提取模块，用于从接收模块中的IP数据包提取选择符；

压缩模块，用于对选择符进行压缩处理以得到SPD存储单元的输入地址；

策略解析模块，用于对SPD存储单元输出的安全策略进行解析，从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址；

描述符生成模块，用于对SAD存储单元输出的安全联盟进行解析以产生用于IPSec协议处理的任务描述符。