[发明专利]以太网IPSec安全数据库查找装置及方法

说明书

技术领域

本发明涉及以太网安全技术，特别是一种以太网IPSec安全数据库查找装置及方法。

背景技术

由于网络协议本身并不提供安全特性，为了确保网络信息的保密性、完整性和身份认证，1998年互联网工程任务组IETF提出了针对网络层（IP）的IPSec（Internet Protocol Security）协议，作为网络安全的关键技术，IPSec协议已经得到了广泛的应用。在IPSec安全体系中，包括两个数据库，一个是安全策略数据库SPD(Security Policy Database)，一个是安全联盟数据库SAD（Security Association Database）。安全策略定义了两个通信实体之间的安全通信特性；在什么模式下使用什么协议；以及如何处理IP包。SPD用来实现对IPSec安全策略的存储和维护，通过选择符（源地址、目的地址、协议、源端口、目的端口）来对SPD进行查找，确定采用哪些安全策略。SA是IPSec的基础，通过它决定保护什么样的数据包、由谁来实行保护和如何保护的问题，是经过通信双方协商建立起来的一种协定。通过创建的安全联盟数据库(SAD)来维护SA记录。

在实现IPSec协议过程中，对每一个输入输出IP包进行处理时都必须进行SPD查找以获取相应的安全策略，查找SAD得到安全联盟。如果查找速度慢，将无法满足高速网络，特别是10Gbps网络以及下一代40Gbps/100Gbps性能要求。因此，对IPSec处理性能而言，采用何种数据库查找方法和装置至关重要。目前实现IPSec查表一般通过软件或硬件的方式。采用纯软件方式实现主要是采用基于Radix树算法和基于Hash表算法的软件查找算法实现，软件方法实现的优点是实现简单，灵活。基于软件实现的匹配算法吞吐速率一般小于1Gbps，无法满足高速网络查表的要求。

采用硬件设计技术是提高查表速度的有效方法。目前硬件查表通常采用FPGA（Field Programmable Gate Array，即现场可编程逻辑门阵列）+TCAM（Ternary Content Access Memory，即三态内容寻址存储器）+SRAM（Static RAM，即静态随机存储器）的硬件查表方法。FPGA完成IP包头关键字的提取和查表请求、管理请求的提交等控制功能；TCAM是按内容寻址存储器，存储安全策略,每条策略对应的执行动作则存储在相应的SRAM中,作为最终的查表结果。这样,由TCAM和SRAM配合完成IPSec报文SPD的查找工作。然后根据安全策略去查找SAD数据库来得到相应的安全联盟。这种硬件实现方式虽然能满足高速查表的要求，但是SPD和SAD数据库可配置性差，并且TCAM存储器成本高、功耗大。

发明内容

鉴于上述现有技术所存在的问题，本发明的目的是提供一种以太网IPSec安全数据库查找装置及方法，既可以满足高速网络对安全数据库查找性能的要求，又可以对安全数据库进行简单灵活地配置。

为实现上述目的，本发明采用以下技术方案：

一种以太网IPSec安全数据库查找装置，其特征在于,包括接收模块、处理单元、SPD存储单元、SAD存储单元和IPSec安全数据库查找模块，所述SPD存储单元存储安全策略，所述SAD存储单元存储安全联盟，所述处理单元配置所述SPD存储单元和所述SPD存储单元中的安全数据库，所述接收模块接收来自以太网的数据帧并解封装成IP数据包，所述IPSec安全数据库查找模块对所述接收模块解封装的IP数据包进行选择符提取和压缩处理，并将压缩后的字符作为所述SPD存储单元的输入地址，所述SPD存储单元根据所述输入地址输出安全策略并交由所述IPSec安全数据库查找模块进行解析，从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址，所述SAD存储单元根据所述输入地址输出安全联盟并交由所述IPSec安全数据库查找模块进行解析，以产生用于IPSec协议处理的任务描述符。

可进一步采用以下一些技术方案：

所述装置还包括IPSec协议处理模块，所述IPSec协议处理模块用于根据任务描述符进行协议处理。

所述处理单元为32位嵌入式CPU，所述接收模块、所述IPSec安全数据库查找模块、所述32位嵌入式CPU和所述IPSec协议处理模块通过32位系统总线相连，所述系统总线为交叉互联结构的数据传输架构。

所述32位嵌入式CPU作为主设备，所述接收模块作为从设备，所述IPSec安全数据库查找模块和所述IPSec协议处理模块既作为主设备又作为从设备挂接到所述系统总线上。