基于NetFPGA的IPSecVPN实现系统及方法

摘要

本发明涉及一种基于NetFPGA的IPSec VPN实现系统及方法，本发明在路由器的控制层面添加IKE模块，安全关联数据库映射模块和安全策略数据库，密钥管理模块，用于动态管理密钥、安全关联和安全策略；在转发层面充分利用NetFPGA开发板的模块化可重用思想，在原有NetFPGA的标准路由器架构中，增加了两个独立设计的IPSec输入和输出处理模块。该方案既能硬件实现数据流的路由转发功能，又能硬件实现IPSec VPN所要求的大部分计算功能，例如安全解封装载荷和完整性认证，能够有效地兼顾数据流的转发性能和IPSec协议处理性能。

主权项

一种基于NetFPGA的IPSec VPN实现系统，其特征在于：该系统包括控制层面和转发层面，所述的控制层面和转发层面之间通过PCI总线进行连接，所述的控制层面包括：OSPF动态路由协议模块：用于运行管理OSPF动态路由协议，完成对路由表的实时动态地更新，并调用硬件映射模块将路由表映射进NetFPGA硬件平台的内容可寻址存储器；IKE动态密钥管理模块：用于完成路由器间的安全关联的动态管理，处理通信实体的配置信息，协商相关的安全关联和安全策略，并输出至安全策略数据库和安全关联数据库映射模块；为IKE两个阶段的交换生成伪随机序列和密钥交换载荷的Diffie‑Hellman密钥材料；根据IKE模块协商好的安全关联，获取安全封装载荷或完整性认证信息中加密算法、认证算法的信息，调用密钥生成子模块生成密钥，调用硬件映射模块映射到密钥的内容可寻址存储器；安全策略数据库和安全关联数据库映射模块：用于更新安全策略数据库和安全关联数据库，调用硬件映射模块，将安全策略数据库和安全关联数据库镜像映射入在NetFPGA硬件平台相应的内容可寻址存储器；硬件映射管理模块：调用设备I/O管理函数ioctl的读寄存器函数readReg()和写寄存器函数writeReg()，将用户控制平台的路由表、安全关联数据库、安全策略数据库、密钥库映射入NetFPGA硬件平台的内容可寻址存储器；所述的转发层面包括：内容可寻址存储器查询模块：定义并分配内容可寻址存储器用于存储路由表、安全关联数据库、安全策略数据库、密钥库，实现对各个模块的接口；输入队列处理模块：完成对多个网口的接收队列进行调度，轮询处理数据包；IPSec输入处理模块：完成对来自对端子网的已经经过IPSec安全封装载荷封装认证处理的数据包进行IPSec的安全封装载荷的解封装或完整性验证等操作；路由表查询转发模块：完成对数据包的转发路由的查询，获取下一跳的IP地址和输出端口等信息；IPSec输出处理模块：完成对来自本地子网尚未进行IPSec封装处理的数据包进行安全封装载荷封装或完整性认证等IPSec处理操作；输出队列处理模块：完成将输入的数据包存储进静态随机存储器，实现一个轮询机制来为数据的输出提供调度服务。