技術領域

本發明涉及網絡通信安全技術領域，尤其涉及一種雙棧IPSec VPN裝置。

背景技術

網絡本身具有的開放性一方面給使得任意用戶都可以接入享用其便利性，另一角度來說網絡通信若不采取安全保護措施就會使得通信數據對任何一個進入網絡的用戶都是可獲取的，通信過程不具備安全性。就目前而言隨著網絡技術的發展和網絡新興業務的大量崛起，特別是在政府、電信、金融和數據通信公司對網絡通信的安全性要求已經達到了一個前所未有的高度，這些機構對保密的信息種類急劇增多。而IPv4地址資源短缺是當前IP網絡面臨的嚴峻問題，業界公認向IPv6遷移是徹底解決IPv4地址耗盡最有效的方法，另一方面IPv4向IPv6遷移又會遇到已經會影響部署好的VPN網絡的問題。另外，隨著高速網絡的普及，10G和40G網絡已經開始普及，100G網絡已經在較為發達的地區開始部署，400G的網絡也正在走出實驗室開始面向應用，如何在如此高速的網絡下保證數據的安全性，也成為了一個非常迫切的問題。

針對網絡安全的問題，因特網工程部（IETF）提出了一組保護IP層數據的安全協議，即為IPSec協議。IPSec協議是一種標準的、健壯的和包容廣泛的機制，協議本身提供了一套默認的、強制實施的安全算法以保證不同的IPSec實現方案可以實現互通，其為IPv4和IPv6的IP層數據提供安全性保證，這種安全性包括數據源認證、數據完整性認證、數據保密性和抗重播保護。

針對未來將長期處于IPv4向IPv6的遷移階段問題，現有的過渡技術包括雙棧技術、隧道技術、NAT-PT技術。雙棧技術即通信的節點是雙協議棧節點，與IPv4節點通信的時候選擇IPv4協議棧，與IPv6節點通信的時候選擇IPv6協議棧。隧道技術即實現了兩個IPv6的站點之間通過IPv4網絡進行通信，包括多種手工隧道技術和自動隧道技術。NAT-PT技術即通過IPv4和IPv6地址之間的相互轉換實現IPv4網絡和IPv6網絡互通。就目前而言，雙棧技術方案最為成熟、適用范圍更寬，是當前全球運營商部署IPv6的主流選擇方案。

把在雙棧網絡技術、IPSec技術和VPN技術的結合使得設備具有很強的適用范圍，可以達到網絡協議遷移、網絡安全性保護和VPN網絡構建的目標。

目前實現雙棧IPSec VPN的實現主要有三種方式，通用處理器+純軟件的方式、通用處理器+硬件算法加速模塊和集成的網絡處理器的實現方式。第一種方式靈活性最大，速度最慢，不適合高速網絡下的應用，第二種靈活較低，CPU仍然負擔很大的數據流，同樣也不適合高速網絡下的應用，第三種靈活性適中，CPU不干預數據流流動，CPU只是用來配置管理操作，總線構架中分為CPU的總線和報文數據流進入和外出的總線三條總線，相互獨立。IPSec協議實現全部硬件電路實現，可擴展性強，速度最高，適合高速網絡場景。

發明內容

本發明所要解決的技術問題在于克服現有技術不足，提供一種雙棧IPSec VPN裝置，可以滿足給下一代IPv4向IPv6高速網絡部署提供安全服務，數據處理和傳輸效率高，可擴展性強。

本發明具體采用以下技術方案解決上述技術問題：

一種雙棧IPSec VPN裝置，包括雙棧VPN處理部分、安全數據庫構建和查找部分、安全協議處理部分、數據流傳輸機制部分和CPU部分；

所述雙棧VPN處理部分，用于雙協議棧的處理、VPN頭的處理，包括外出雙棧VPN預處理模塊、外出VPN管理表和進入雙棧VPN預處理模塊；

所述安全數據庫構建和查找部分，用于完成IPv4和IPv6兩種類型的安全策略數據庫維護、匹配查找和一種類型的安全聯盟數據庫維護、匹配查找；其包括外出雙棧安全處理模塊、數據報文緩存模塊、外出安全數據庫操作接口、外出雙棧安全數據庫模塊、進入雙棧安全處理模塊、進入安全數據庫操作接口和進入雙棧安全數據庫模塊；

所述安全協議處理部分，用于完成IPSec AH和ESP協議的封裝和解封裝處理和對數據報文加密、解密、認證算法處理，其包括IPSec協議處理模塊和算法處理模塊；

所述數據流傳輸機制部分，用于控制進入和外出方向數據流以一定的順序流經不同的模塊和網絡通信接口；內網外出外網的報文數據通過外出雙棧安全處理模塊、外出雙棧VPN預處理模塊處理后，分別將安全參數和VPN參數封裝到原始報文的頭部；外網進入內網的報文數據通過進入雙棧VPN預處理后就會將VPN的頭部信息剝掉，這個剝掉VPN信息的報文通過雙棧安全處理模塊處理后，將安全參數封裝到這個報文頭部；