本發明提出了一種基于FPGA的IPSec數據流高速處理系統，包括：密鑰協商模塊和FPGA；密鑰協商模塊在主控CPU中以軟件方式完成，FPGA部分包括：輸入處理模塊，輸出處理模塊，SADB模塊，SPDB模塊，加/解密、認證處理模塊，包括：認證處理模塊，ESP加/解密處理模塊，認證處理模塊包括ESP認證處理模塊和AH認證處理模塊。本發明的基于FPGA的IPSec數據流高速處理系統及方法，處理速率高，集成度高，支持算法的擴展。

技術領域

本發明涉及網絡通信領域，特別涉及一種基于FPGA的IPSec數據流高速處理系統，還涉及一種基于FPGA的IPSec數據流高速處理方法。

背景技術

安全性對于網絡通信而言至關重要，IPSec是一套在IP層實現數據安全傳輸的協議框架，其處理流程主要包括密鑰協商，SA(安全關聯)、SP(安全策略)的管理以及AH(認證首部)、ESP(封裝安全載荷)協議處理。其中密鑰協商以及SA、SP的管理由于不是針對每個通信數據報文都需要進行的，因而不是影響IPSec處理速度的關鍵；而AH、ESP協議處理每個通信數據報文都要進行，因此AH、ESP的處理速度是影響IPSec處理速度的瓶頸。

AH為IP報文提供數據完整性、數據原始身份驗證等服務；ESP為IP報文提供機密性、數據源驗證、抗重播以及數據完整性等服務。AH和ESP都是用符合國際標準的加密算法和散列算法，如DES、3DES、AES、MAC-MD5、MAC-SHA等。這些加密和散列算法計算復雜，尋找高速的處理實現方法成為IPSec大規模應用的關鍵。目前，主要可以分為兩種技術路線：基于軟件的形式以及基于硬件的形式。基于軟件的形式有靈活且成本較低的優點，但處理速度低，不能支持高速的加密通信需要；而基于硬件的形式與基于軟件的形式相比，成本較高，但處理速度快，可以滿足高速的加密通信需要。基于硬件的形式主要有專用安全處理芯片，目前也是主流的高速加密通信解決方案，但這類芯片的一個缺點是算法固定，無法支持動態擴展。

發明內容

為解決IPSec數據流高速處理并兼顧算法的可擴展性問題，本發明給出了一種基于FPGA的IPSec數據流高速處理具體實現方法，在關鍵的AH、ESP協議處理上，不需要額外硬件資源配合，即可實現高速的加解密與認證運算，不僅支持DES、3DES、AES、HMAC-MD5、HMAC-SHA1等常見算法，也支持算法的擴展。

本發明的技術方案是這樣實現的：

一種基于FPGA的IPSec數據流高速處理系統，包括：密鑰協商模塊和FPGA；

密鑰協商模塊在主控CPU中以軟件方式完成，FPGA部分包括：輸入處理模塊、輸出處理模塊、SADB模塊、SPDB模塊、加/解密、認證處理模塊；

輸入處理模塊，從輸入數據中提取特征數據，利用這些特征數據對SPDB以及SADB進行搜索，得到輸入數據的處理參數；

輸出處理模塊，對經過AH以及ESP處理的數據進行組合，送給輸出；

SADB模塊，存儲與IPSec數據流處理相關的參數信息；

SPDB模塊，存儲對IP數據報提供何種保護以及具體的保護措施；

加/解密、認證處理模塊，包括：ESP加/解密處理模塊和認證處理模塊；

ESP加/解密處理模塊，根據SADB的搜索結果調用相應的加/解密算法對輸入數據進行計算，得到加/解密后的數據；

認證處理模塊，包括ESP認證處理模塊和AH認證處理模塊，根據SADB的搜索結果調用相應的認證算法對輸入數據進行計算，得到認證結果；

可選地，所述加/解密、認證處理模塊的具體結構包括：