技術領域

本發明涉及以太網安全技術，特別是一種以太網IPSec安全數據庫查找裝置及方法。

背景技術

由于網絡協議本身并不提供安全特性，為了確保網絡信息的保密性、完整性和身份認證，1998年互聯網工程任務組IETF提出了針對網絡層（IP）的IPSec（Internet?Protocol?Security）協議，作為網絡安全的關鍵技術，IPSec協議已經得到了廣泛的應用。在IPSec安全體系中，包括兩個數據庫，一個是安全策略數據庫SPD(Security?Policy?Database)，一個是安全聯盟數據庫SAD（Security?Association?Database）。安全策略定義了兩個通信實體之間的安全通信特性；在什么模式下使用什么協議；以及如何處理IP包。SPD用來實現對IPSec安全策略的存儲和維護，通過選擇符（源地址、目的地址、協議、源端口、目的端口）來對SPD進行查找，確定采用哪些安全策略。SA是IPSec的基礎，通過它決定保護什么樣的數據包、由誰來實行保護和如何保護的問題，是經過通信雙方協商建立起來的一種協定。通過創建的安全聯盟數據庫(SAD)來維護SA記錄。

在實現IPSec協議過程中，對每一個輸入輸出IP包進行處理時都必須進行SPD查找以獲取相應的安全策略，查找SAD得到安全聯盟。如果查找速度慢，將無法滿足高速網絡，特別是10Gbps網絡以及下一代40Gbps/100Gbps性能要求。因此，對IPSec處理性能而言，采用何種數據庫查找方法和裝置至關重要。目前實現IPSec查表一般通過軟件或硬件的方式。采用純軟件方式實現主要是采用基于Radix樹算法和基于Hash表算法的軟件查找算法實現，軟件方法實現的優點是實現簡單，靈活。基于軟件實現的匹配算法吞吐速率一般小于1Gbps，無法滿足高速網絡查表的要求。

采用硬件設計技術是提高查表速度的有效方法。目前硬件查表通常采用FPGA（Field?Programmable?Gate?Array，即現場可編程邏輯門陣列）+TCAM（Ternary?Content?Access?Memory，即三態內容尋址存儲器）+SRAM（Static?RAM，即靜態隨機存儲器）的硬件查表方法。FPGA完成IP包頭關鍵字的提取和查表請求、管理請求的提交等控制功能；TCAM是按內容尋址存儲器，存儲安全策略,每條策略對應的執行動作則存儲在相應的SRAM中,作為最終的查表結果。這樣,由TCAM和SRAM配合完成IPSec報文SPD的查找工作。然后根據安全策略去查找SAD數據庫來得到相應的安全聯盟。這種硬件實現方式雖然能滿足高速查表的要求，但是SPD和SAD數據庫可配置性差，并且TCAM存儲器成本高、功耗大。

發明內容

鑒于上述現有技術所存在的問題，本發明的目的是提供一種以太網IPSec安全數據庫查找裝置及方法，既可以滿足高速網絡對安全數據庫查找性能的要求，又可以對安全數據庫進行簡單靈活地配置。

為實現上述目的，本發明采用以下技術方案：

一種以太網IPSec安全數據庫查找裝置，其特征在于,包括接收模塊、處理單元、SPD存儲單元、SAD存儲單元和IPSec安全數據庫查找模塊，所述SPD存儲單元存儲安全策略，所述SAD存儲單元存儲安全聯盟，所述處理單元配置所述SPD存儲單元和所述SPD存儲單元中的安全數據庫，所述接收模塊接收來自以太網的數據幀并解封裝成IP數據包，所述IPSec安全數據庫查找模塊對所述接收模塊解封裝的IP數據包進行選擇符提取和壓縮處理，并將壓縮后的字符作為所述SPD存儲單元的輸入地址，所述SPD存儲單元根據所述輸入地址輸出安全策略并交由所述IPSec安全數據庫查找模塊進行解析，從中獲取是否進行IPSec協議處理的信息和SAD存儲單元的輸入地址，所述SAD存儲單元根據所述輸入地址輸出安全聯盟并交由所述IPSec安全數據庫查找模塊進行解析，以產生用于IPSec協議處理的任務描述符。

可進一步采用以下一些技術方案：

所述裝置還包括IPSec協議處理模塊，所述IPSec協議處理模塊用于根據任務描述符進行協議處理。

所述處理單元為32位嵌入式CPU，所述接收模塊、所述IPSec安全數據庫查找模塊、所述32位嵌入式CPU和所述IPSec協議處理模塊通過32位系統總線相連，所述系統總線為交叉互聯結構的數據傳輸架構。

所述32位嵌入式CPU作為主設備，所述接收模塊作為從設備，所述IPSec安全數據庫查找模塊和所述IPSec協議處理模塊既作為主設備又作為從設備掛接到所述系統總線上。