[发明专利]基于IPv6的IPSec安全联盟硬件查找装置及方法

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于IPv6的IPSec安全联盟硬件查找装置及方法。  

背景技术

随着网络技术的不断革新，网络发展面临着新的挑战和机遇，网络安全的重要性越来越凸显。为了提高网络信息交互的安全性，互联网工程任务组（IETF）于1988年提出了针对网络层的IPSec协议，来弥补网络协议本身不提供安全性的缺点。另一方面，随着互联网用户数量的指数级增长，IPv4协议诸多不足逐渐显现。IETF在1994年推出了下一代网际协议IPv6，经过十余年的发展，IPv6相关技术逐渐成熟，并且已经由试验阶段走向了实用阶段。为了保证IPv6的安全特性，IEFT已规定在IPv6中强制实施IPSec安全协议。 

IPSec体系包括两个重要的数据库：安全联盟数据库（SAD）和安全策略数据库（SPD）。安全联盟数据库存储的安全联盟（SA）是IPSec的基础，其涵盖了IPSec协议处理的诸多重要参数，规定了保护什么样的数据包，谁来保护以及怎么保护等问题。SAD和SPD是IPSec处理过程中需要不断查询访问的两个数据库，对查找速度有很高的要求。目前这两个数据库的实现方式有两种，软件查找和硬件查找。软件查找具有实现简单的特点，但是数据吞吐量受到了限制。 

有鉴于此，针对目前提供了一种软件查找数据库的方法的不足，采用可编程逻辑器件（FPGA）实现安全联盟数据库SAD的硬件查找设计，通过采用CAM加RAM的组合方式，可以在2个时钟周期里输出每条安全联盟SA的内容，大大提高了IPSec处理效率，解决了目前软件查找方法存在的缺点。 

发明内容

本发明要解决的技术问题是基于IPSec的处理流程，提出一种能够高速的实现基于IPv6的IPSec安全联盟查找的硬件实现装置。通过本装置提出了一种CAM加RAM的组合方式实现IPv6下IPSec安全联盟数据库的快速查找的实现方法，以有效的提高IPSec的处理效率，从而满足高速网络性能要求。 

为了解决上述技术问题，本发明公开了一种基于IPv6的IPSec安全联盟硬件查找装置，包括：IP数据包接收模块、压缩模块、CAM查找匹配模块和安全联盟存储模块。其中，IP数据包接收模块用于接收网口传输过来的IPv6数据包，对其进行缓存并对数据包内预制参数进行提取；压缩模块用于对IP数据包接收模块输出的数据进行位宽压缩处理；CAM查找匹配模块用于对压缩后的数据信息进行查找和匹配；安全联盟存储模块用于根据索引地址输出安全联盟信息。 

本发明提供的一种基于IPv6的IPSec安全联盟硬件查找装置的一个实例中，IP数据包接收模块进一步包括：数据缓存子模块和三元组参数提取子模块。其中，数据缓存子模块用于将一个单位长度的数据包存储至缓冲单元中；三元组参数提取子模块用于提取IPv6包中的三元组信息，包括目的IP地址、SPI值和IPSec安全协议类型。 

本发明提供的一种基于IPv6的IPSec安全联盟硬件查找装置的一个实例中，压缩模块采用异或hash算法，通过移位和运算操作来有效的减少拼接的三元组位宽长度。 

本发明提供的一种基于IPv6的IPSec安全联盟硬件查找装置的一个实例中，CAM查找匹配模块进一步包括：异或比较子模块和优先编码子模块。其中，异或比较子模块将压缩模块的输出与配置在存储器中的信息逐位异或，生成若干标志位；优先编码子模块将异或比较子模块生成的标志位进行优先编码，生成安全联盟存储模块的索引地址。 

为了解决上述技术问题，本发明还公开了一种基于IPv6的IPSec安全联盟硬件查找方法，包括以下步骤： 

将配置数据分别写入CAM存储单元和安全联盟SAD存储单元中；

IP数据包接收模块接收IPv6数据包并暂存，并对数据包进行三元组信息提取；

压缩模块对拼接的三元组信息进行hash压缩处理，生成的数据送入CAM查找模块；

CAM查找匹配模块对压缩模块的输出进行解析处理，输出匹配结果和匹配地址；

如果CAM查找结果为“存在”，则驱动安全联盟存储模块输出相应安全联盟内容，如果CAM查找结果为“不存在”，则拉低安全联盟存储模块的读使能信号。