[发明专利]在线网络安全处理器和处理方法

说明书

技术领域

本发明涉及高速网络的信息安全技术，特别是涉及一种在线网络安全处理器和处理方法。

背景技术

网络固有的开放性成为网络信息安全的隐患。电信、政府、金融方面的网络应用对安全性有很高的要求。云计算、三网融合、移动互联网、物联网等新兴业务大量涌现，网络上的敏感信息和涉密信息越来越多。10Gbps高速网络的迅速普及和40G/100Gbps标准的推出，使得高速网络下的安全问题的需求越来越迫切。

网络安全协议通过身份认证，数据完整性和机密性来保障网络信息安全解决网络中信息安全，是一种有效和主流的保护信息安全的措施。IP层一般认为是网络传输中最容易控制的一层，对系统的安全性影响最大，因此基于IP层的安全协议IPSec已经得到了广泛的应用。目前实现IPSec网络安全协议的方法有基于软件协议栈实现和基于硬件的实现方式。基于软件方式实现比较灵活，系统的二次开发支持能力较强，缺点是速度慢，系统开销大，无法适应高速网络安全的要求；有效的解决方案是硬件化/芯片化实现网络安全协议，也就是网络安全处理器。

目前网络安全处理器的实现方式有通用处理器+ASIC、网络处理器+安全模块和网络安全处理器SoC三种架构。

通用处理器+ASIC架构是目前最普遍采用的方式，其中ASIC主要实现安全协议中的密码算法。通用处理器完成数据包的处理和管理控制。这种网络安全处理器架构的缺点是占用通用处理器大量资源，无法满足高速网络下大数据量的处理。

网络处理器+安全模块架构中，网络处理器主要功能涉及加速包处理任务,流量认知，深度包处理，安全功能则通过集成的安全模块实现。这种网络安全处理器架构通常采用多核设计，设计复杂，成本高。

网络安全处理器SoC架构中，采用单一芯片实现数据传输、协议处理和密码运算三部分功能。数据传输采用在线模式；芯片上集成嵌入式CPU，软硬件结合，满足高速网络安全需求。这种架构在三种方式中是性价比最好的实现方式。

第02145032.3号中国专利“高速信息安全处理器”采用PCI总线接口作为数据传输接口，系统灵活性差，总线传输效率低下，无法满足高速网络数据传输要求。

第03140366.2号中国专利“网络通信安全处理器及其数据处理方法”提供了一种网络安全处理器设计架构，该架构可以实现网络数据的IPSec协议处理，但是该专利存在以下不足：一是系统完全用硬件实现，可扩展性差。二是数据包在处理过程中需要两次读取操作，不但造成资源浪费，并且影响数据包处理效率。三是多通道安全处理引擎中的安全参数解析器和安全处理微程序模块和算法模块之间为点对点数据流方式，数据传输效率较低，影响系统的性能，无法满足高速网络需求。

发明内容

本发明的目的在于提供一种在线网络安全处理器和处理方法，可以满足高速网络信息安全应用，数据处理和传输效率高，有效提升系统的性能。

为实现上述目的，本发明采用以下技术方案：

一种在线网络安全处理器，包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分，所述安全协议处理部分用于IP数据包的IPSec安全协议处理，所述安全算法运算部分用于IP数据包的验证和加解密运算，

所述数据传输及安全数据库查表部分包括包处理模块、处理单元、SPD存储单元、SAD存储单元、安全数据库查表模块和以太网接口，所述SPD存储单元用于存储安全策略，所述SAD存储单元用于存储安全联盟，所述处理单元用于配置所述SPD存储单元和所述SPD存储单元中的安全数据库，所述包处理模块用于接收来自以太网接口的数据帧并解封装成IP数据包，所述安全数据库查表模块用于对所述发送模块解封装的IP数据包进行选择符提取和压缩处理，并将压缩后的字符作为所述SPD存储单元的输入地址，所述SPD存储单元根据所述输入地址输出安全策略并交由所述安全数据库查表模块进行解析，从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址，所述SAD存储单元根据所述输入地址输出安全联盟并交由所述安全数据库查表模块进行解析，以产生用于IPSec协议处理的任务描述符，包处理模块对完成IPSec协议处理的数据包进行封装后发送数据帧。

所述包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接，形成交叉互联传输架构。

一种在线网络安全处理器，包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分，所述安全协议处理部分用于IP数据包的IPSec安全协议处理，所述安全算法运算部分用于IP数据包的验证和加解密运算，