CN103188264B - 在线网络安全处理器和处理方法 - Google Patents
在线网络安全处理器和处理方法 Download PDFInfo
- Publication number
- CN103188264B CN103188264B CN201310097523.8A CN201310097523A CN103188264B CN 103188264 B CN103188264 B CN 103188264B CN 201310097523 A CN201310097523 A CN 201310097523A CN 103188264 B CN103188264 B CN 103188264B
- Authority
- CN
- China
- Prior art keywords
- packet
- module
- security
- memory cell
- going out
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种在线网络安全处理器,包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分,所述数据传输及安全数据库查表部分包括包处理模块、处理单元、SPD存储单元、SAD存储单元、安全数据库查表模块和以太网接口,所述SPD存储单元用于存储安全策略,所述SAD存储单元用于存储安全联盟,所述包处理模块用于接收来自以太网接口的数据帧并解封装成IP数据包,所述安全数据库查表模块用于对所述包处理模块解封装的IP数据包进行选择符提取和压缩处理,解析安全联盟,产生用于IPSec协议处理的任务描述符,包处理模块对完成IPSec协议处理的数据包进行封装后发送数据帧。在此还公开了相应的在线网络安全处理方法。本发明能够良好地适应高速网络信息安全应用,数据处理传输效率高。
Description
技术领域
本发明涉及高速网络的信息安全技术,特别是涉及一种在线网络安全处理器和处理方法。
背景技术
网络固有的开放性成为网络信息安全的隐患。电信、政府、金融方面的网络应用对安全性有很高的要求。云计算、三网融合、移动互联网、物联网等新兴业务大量涌现,网络上的敏感信息和涉密信息越来越多。10Gbps高速网络的迅速普及和40G/100Gbps标准的推出,使得高速网络下的安全问题的需求越来越迫切。
网络安全协议通过身份认证,数据完整性和机密性来保障网络信息安全解决网络中信息安全,是一种有效和主流的保护信息安全的措施。IP层一般认为是网络传输中最容易控制的一层,对系统的安全性影响最大,因此基于IP层的安全协议IPSec已经得到了广泛的应用。目前实现IPSec网络安全协议的方法有基于软件协议栈实现和基于硬件的实现方式。基于软件方式实现比较灵活,系统的二次开发支持能力较强,缺点是速度慢,系统开销大,无法适应高速网络安全的要求;有效的解决方案是硬件化/芯片化实现网络安全协议,也就是网络安全处理器。
目前网络安全处理器的实现方式有通用处理器+ASIC、网络处理器+安全模块和网络安全处理器SoC三种架构。
通用处理器+ASIC架构是目前最普遍采用的方式,其中ASIC主要实现安全协议中的密码算法。通用处理器完成数据包的处理和管理控制。这种网络安全处理器架构的缺点是占用通用处理器大量资源,无法满足高速网络下大数据量的处理。
网络处理器+安全模块架构中,网络处理器主要功能涉及加速包处理任务,流量认知,深度包处理,安全功能则通过集成的安全模块实现。这种网络安全处理器架构通常采用多核设计,设计复杂,成本高。
网络安全处理器SoC架构中,采用单一芯片实现数据传输、协议处理和密码运算三部分功能。数据传输采用在线模式;芯片上集成嵌入式CPU,软硬件结合,满足高速网络安全需求。这种架构在三种方式中是性价比最好的实现方式。
第02145032.3号中国专利“高速信息安全处理器”采用PCI总线接口作为数据传输接口,系统灵活性差,总线传输效率低下,无法满足高速网络数据传输要求。
第03140366.2号中国专利“网络通信安全处理器及其数据处理方法”提供了一种网络安全处理器设计架构,该架构可以实现网络数据的IPSec协议处理,但是该专利存在以下不足:一是系统完全用硬件实现,可扩展性差。二是数据包在处理过程中需要两次读取操作,不但造成资源浪费,并且影响数据包处理效率。三是多通道安全处理引擎中的安全参数解析器和安全处理微程序模块和算法模块之间为点对点数据流方式,数据传输效率较低,影响系统的性能,无法满足高速网络需求。
发明内容
本发明的目的在于提供一种在线网络安全处理器和处理方法,可以满足高速网络信息安全应用,数据处理和传输效率高,有效提升系统的性能。
为实现上述目的,本发明采用以下技术方案:
一种在线网络安全处理器,包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分,所述安全协议处理部分用于IP数据包的IPSec安全协议处理,所述安全算法运算部分用于IP数据包的验证和加解密运算,
所述数据传输及安全数据库查表部分包括包处理模块、处理单元、SPD存储单元、SAD存储单元、安全数据库查表模块和以太网接口,所述SPD存储单元用于存储安全策略,所述SAD存储单元用于存储安全联盟,所述处理单元用于配置所述SPD存储单元和所述SAD存储单元中的安全数据库,所述包处理模块用于接收来自以太网接口的数据帧并解封装成IP数据包,所述安全数据库查表模块用于对所述包处理模块解封装的IP数据包进行选择符提取和压缩处理,并将压缩后的字符作为所述SPD存储单元的输入地址,所述SPD存储单元根据所述输入地址输出安全策略并交由所述安全数据库查表模块进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址,所述SAD存储单元根据所述输入地址输出安全联盟并交由所述安全数据库查表模块进行解析,以产生用于IPSec协议处理的任务描述符,包处理模块对完成IPSec协议处理的数据包进行封装后发送数据帧。
所述包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接,形成交叉互联传输架构。
一种在线网络安全处理器,包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分,所述安全协议处理部分用于IP数据包的IPSec安全协议处理,所述安全算法运算部分用于IP数据包的验证和加解密运算,
所述数据传输及安全数据库查表部分包括包处理模块、处理单元、SPD存储单元、SAD存储单元、安全数据库查表模块和以太网接口,所述SPD存储单元用于存储安全策略,所述SAD存储单元用于存储安全联盟,所述处理单元用于配置所述SPD存储单元和所述SAD存储单元中的安全数据库,所述包处理模块用于接收来自以太网接口的数据帧并解封装成IP数据包,所述安全数据库查表模块用于对所述包处理模块解封装的IP数据包进行解析,如果不是IPSec协议包,则直接送回包处理模块,如果是IPSec协议包,则进行选择符提取和压缩处理,并将压缩后的字符作为所述SAD存储单元的输入地址,所述SAD存储单元根据所述输入地址输出安全联盟并交由所述安全数据库查表模块进行解析,以产生用于IPSec协议处理的任务描述符,对于进行完IPSec协议处理的数据包,安全数据库查表模块进行选择符提取和压缩处理,并将压缩后的字符作为所述SPD存储单元的输入地址,所述SPD存储单元根据所述输入地址输出安全策略并交由所述安全数据库查表模块进行解析,从中获取对该数据包的处理,确定数据包是丢弃还是通过,包处理模块对通过的数据包进行封装后发送数据帧。
所述包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接,形成交叉互联传输架构。
一种在线网络安全处理器,包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分,所述安全协议处理器部分用于IP数据包的IPSec安全协议处理,所述安全算法运算部分用于IP数据包的验证和加解密运算,
所述在线网络安全处理器采用双核双总线并行结构,所述数据传输及安全数据库查找部分包括进入部分和外出部分,
所述进入部分包括通过进入总线互连的进入包处理模块、进入处理单元、进入安全数据库查表模块、进入SPD存储单元、进入SAD存储单元和以太网接口,
所述进入SPD存储单元用于存储安全策略,所述进入SAD存储单元用于存储安全联盟,所述进入处理单元用于配置所述进入SPD存储单元和所述进入SPD存储单元中的输入安全数据库,所述进入包处理模块用于接收来自以太网接口的数据帧并解封装成IP数据包,所述进入安全数据库查表模块用于对所述进入包处理模块解封装的IP数据包进行判断,如果不是IPSec协议包,则直接送回进入包处理模块,如果是IPSec协议包,则进行选择符提取和压缩处理,并将压缩后的字符作为所述进入SAD存储单元的输入地址,所述进入SAD存储单元根据所述输入地址输出安全联盟并交由所述进入安全数据库查表模块进行解析,以产生用于IPSec协议处理的任务描述符,对于进行完IPSec协议处理的数据包,进入安全数据库查表模块进行选择符提取和压缩处理,并将压缩后的字符作为所述进入SPD存储单元的输入地址,所述进入SPD存储单元根据所述输入地址输出安全策略并交由所述安全数据库查表模块进行解析,从中获取对数据包的处理,确定数据包是丢弃还是通过,所述进入包处理模块将通过的数据包封装成数据帧并发送到以太网接口,
所述外出部分包括通过外出总线互连的外出包处理模块、外出处理单元、外出安全数据库查表模块、外出SPD存储单元、外出SAD存储单元和以太网接口,
所述外出SPD存储单元用于存储安全策略,所述外出SAD存储单元用于存储安全联盟,所述外出处理单元用于配置所述外出SPD存储单元和所述外出SPD存储单元中的外出安全数据库,所述外出包处理模块用于接收以太网接口的数据帧并解封装成IP数据包,所述外出安全数据库查表模块用于对所述外出包处理模块解封装的IP数据包进行选择符提取和压缩处理,并将压缩后的字符作为所述外出SPD存储单元的输入地址,所述外出SPD存储单元根据所述输入地址输出安全策略并交由所述外出安全数据库查表模块进行解析,从中获取是否进行IPSec协议处理的信息和输出SAD存储单元的输入地址,所述外出SAD存储单元根据所述输入地址输出安全联盟并交由所述外出安全数据库查表模块进行解析,以产生用于IPSec协议处理的任务描述符;所述外出包处理模块将处理后的数据包封装成数据帧并发送到以太网接口;
所述进入包处理模块和所述外出包处理模块均连接所述安全协议处理部分和所述安全算法运算部分。
所述进入包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接,所述外出包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接,形成交叉互联传输架构。
还包括以下接口中的至少一者:
片外算法接口,与所述安全协议处理部分、所述进入总线和所述外出总线相连,所述片外算法接口用于以片外算法替换片内算法;
JTAG调试接口,与所述进入总线和所述外出总线相连,用于嵌入式软件的调试;
SDRAM存储器接口,与所述进入总线和所述外出总线相连,用于外接SDRAM存储器作为系统内存;
静态存储器接口,与所述进入总线和所述外出总线相连,用于外接片外安全联盟数据库存储器;
UART接口,与所述进入总线和所述外出总线相连,用于作为通信接口。
所述数据传输及安全数据库查找部分、安全协议处理部分和安全算法运算部分集成于单一SoC芯片。
一种在线网络安全处理方法,其特征在于,包括从网络侧向本地传输数据的进入处理过程和/或从本地向网络侧传输数据的外出处理过程,
所述进入处理过程包括:
a1.进入处理单元配置进入安全数据库,将安全策略写入进入SPD存储单元中,将安全联盟写入进入SAD存储单元中;
b1.进入包处理模块从以太网接口接收数据帧并解封装成IP数据包;
c1.进入安全数据库查表模块对进入包处理模块解封装的IP数据包进行解析;如果为IPSec数据包,则执行d1,否则执行j1;
d1.进入安全数据库查表模块提取选择符,对提取的选择符进行数据压缩,将压缩后的数据作为地址信号在进入SAD存储单元进行安全联盟查询,进入SAD存储单元输出安全联盟;
e1.进入安全数据库查表模块对安全联盟进行解析,产生任务描述符;
f1.安全协议处理器获得基于描述符的配置信息及对应的安全联盟,并从进入包处理模块读取IP数据包;
g1.安全协议处理器和安全算法处理器协同完成对IP数据包的协议处理和安全运算处理;
h1.进入安全数据库查表模块对处理完的数据包提取选择符,对提取的选择符进行数据压缩,将压缩后的数据作为地址信号在进入SPD存储单元进行安全策略查询,进入SPD存储单元输出安全策略;
i1.进入安全数据库查表模块对输出的安全策略进行解析,决定对数据包的处理,确定数据包是丢弃还是通过;
j1.进入包处理模块将数据包进行封装后发送数据帧到本地;
所述外出处理过程包括:
a2.外出处理单元配置外出安全数据库,将安全策略写入外出SPD存储单元中,将安全联盟写入外出SAD存储单元中;
b2.外出包处理模块从以太网接口接收数据帧并解封装成IP数据包;
c2.外出安全数据库查表模块对外出包处理模块解封装的IP数据包进行选择符提取;
d2.外出安全数据库查表模块对提取的选择符进行数据压缩,将压缩后的数据作为地址信号在外出SPD存储单元进行安全策略查询,外出SPD存储单元输出安全策略;
e2.外出安全数据库查表模块对输出的安全策略进行解析,对于要进行IPSec协议处理的IP数据包,从安全策略中获取外出SAD存储单元的地址信号在外出SAD存储单元进行安全联盟查询,外出SAD存储单元输出安全联盟;
f2.外出安全数据库查表模块对输出的安全联盟进行解析,产生任务描述符;
g2.安全协议处理器获得基于描述符的配置信息及对应的安全联盟,并从外出包处理模块读取IP数据包;
h2.安全协议处理器和安全算法处理器协同完成对外出IP数据包的协议处理和安全运算处理;
i2.外出包处理模块对数据包进行封装后通过外出以太网接口发送数据帧到以太网;
所述进入处理过程和所述外出处理过程使用双总线并行处理,进入包处理模块、进入处理单元、进入安全数据库查表模块、进入SPD、SAD存储单元之间通过进入总线传输数据,进入包处理模块、安全协议处理器、安全算法处理器之间通过高速互连模块传输数据;
外出包处理模块、外出处理单元、外出安全数据库查表模块、外出SPD、SAD存储单元之间通过外出总线传输数据,外出包处理模块、安全协议处理器、安全算法处理器之间通过高速互连模块传输数据。
步骤h2中,安全协议处理器对数据包进行预处理后通过高速互联模块送入安全算法处理器进行数据运算,处理完毕的数据再通过高速互联模块送入安全协议处理器进行数据后处理,完成IPSec协议处理的数据包通过高速互联模块送入外出包处理模块进行数据包封装。
本发明的在线网络安全处理器和处理方法可以满足高速网络信息安全应用,数据传输效率高,有效提升高速网络安全处理的性能,且该在线网络安全处理器和处理方法还具有可扩展性和可配置性。对于数据处理速度要求高、数据计算量大的功能模块用硬件实现,对数据流的控制和数据库查表可用嵌入式CPU通过软件实现。在线网络安全处理器优选采用双核、双总线并行设计架构和基于流水线的高速数据传输通路设计实现高速网络数据的在线安全协议处理,可配置的高速互联模块使得系统可以满足不同的应用需求。另外,片外算法接口可实现片外算法替换片上算法满足不同用户的需求,具有可扩展性。
附图说明
图1为本发明优选实施例的在线网络安全处理器结构图;
图2为本发明一种优选实施例的在线网络安全处理方法流程;
图3为本发明另一种优选实施例的在线网络安全处理方法流程;
图4为本发明一种优选实施例中的高速互联模块。
具体实施方式
以下结合附图对本发明的实施例作详细说明。应该强调的是,下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
在线网络安全处理器包括数据传输及安全数据库查表部分、安全协议处理和安全算法运算三部分。
参阅图1,在一些优选实施例里,安全协议处理部分可以是由IPSec协议处理器阵列构成,安全算法运算部分可以是由安全算法处理器阵列构成,数据传输及安全数据库查表部分可以包括:
进入和/或外出32位嵌入式CPU,完成软件部分的工作,包括配置和更新SPD和SAD数据库,查询进入/外出包处理模块的状态,还可以解析安全数据库查表模块送出的配置信息,以及监控IPSec协议处理模块的运行状态并进行任务分配和调度;
高速以太网接口,完成数据帧的接收和发送,接口设计满足IEEE 802.3标准;
进入和/或外出包处理模块,完成进入/外出数据帧解封装和封装处理,并起到缓冲数据的作用;
进入和/或外出安全数据库查表模块,实现数据包选择符的提取和安全策略数据库的查找,以及安全策略的解析;
进入和/或外出安全策略数据库,由SPD存储单元实现安全联盟的存储;
进入和/或外出安全联盟数据库,由SAD存储单元实现安全联盟的存储;
SAD存储单元和SPD存储单元优选为SRAM,且物理上可以是在同一个存储器上划分出的两个单元;
IPSec协议处理器阵列完成对数据包的IPSec安全协议处理;
安全算法处理器阵列完成数据包的验证和加解密运算。
其中,进入32位嵌入式CPU,高速以太网接口,进入包处理模块,进入安全策略查表模块,IPSec协议处理器阵列,安全算法处理器阵列,进入安全策略数据库、进入安全联盟数据库通过进入总线相连,
其中,外出32位嵌入式CPU,高速以太网接口,外出包处理模块,外出安全策略查表模块,IPSec协议处理器阵列,安全算法处理器阵列,外出安全策略数据库、外出安全联盟数据库通过外出总线相连,
IPSec协议处理器阵列、安全算法处理器阵列、进入和/或外出包处理模块优选通过高速互联模块完成相互间的连接和数据的高速传输。
进一步地,在线网络安全处理器还可具有:
片外算法接口,连接进入和/或外出总线,用以片外算法替换片内算法;
JTAG调试接口,连接进入和/或外出总线,用以嵌入式软件的调试;
SDRAM存储器接口,连接进入和/或外出总线,用以外接SDRAM存储器作为系统内存;
静态存储器接口,连接进入和/或外出总线,用以外接片外安全联盟数据库存储器;
UART,连接进入和/或外出总线,用以通信接口;
使用时,将网线插入基于本发明高速在线网络安全处理器设备的两个高速网络接口,不需要其它辅助设备即可实现网络数据的实时网络安全协议处理。
参见图2,在一些优选实施例里,在线网络安全处理方法的外出数据处理流程包括以下步骤:
1)、系统上电复位,配置片上安全策略数据库和安全联盟数据库;初始化所有接口控制器;
2)、数据帧从高速以太网接口进入外出包处理模块,数据帧头和IP包头保存到外出包处理模块相应的寄存器中。
3)、外出CPU监听外出包处理模块的状态寄存器,如果有效,则通知外出安全数据库查找模块;
4)、外出安全数据库查表模块提取选择符,对提取的选择符进行数据压缩,将压缩后的数据作为地址信号输入外出SPD存储单元进行安全策略查询,外出SPD存储单元输出安全策略;
5)、外出安全数据库查表模块对输出的安全策略进行解析,对于要进行IPSec协议处理的IP数据包,从安全策略中获取外出SAD存储单元的地址信号输入到外出SAD存储单元进行安全联盟查询,外出SAD存储单元输出安全联盟;
6)、外出安全数据库查表模块对输出的安全联盟进行解析,产生任务描述符;
8)、外出CPU或IPSec协议处理器阵列解析任务描述符,根据解析结果查询IPSec协议处理器的状态进行任务分配;
9)、IPSec协议处理器根据外出CPU写入的配置信息到外出安全联盟数据库中读取安全联盟并到外出包处理模块中读取数据包;
10)、IPSec协议处理器对数据包进行预处理后通过高速互联模块送入安全算法模块进行数据运算,
11)、处理完毕的数据再通过高速互联模块送入IPSec协议处理器进行数据后处理。
12)、最后做完IPSec协议处理的数据包通过高速互联模块送入外出包处理模块进行数据包封装
13)、封装后的数据帧从高速以太网接口输出。
参见图3,在一些优选实施例里,在线网络安全处理方法的进入数据处理流程包括以下步骤:
1)、系统上电复位,配置进入安全策略数据库和进入安全联盟数据库;初始化所有接口控制器;
2)、数据帧从高速以太网接口进入包处理模块,数据帧头和IP包头保存到进入包处理模块相应的寄存器中。
3)、进入CPU监听进入包处理模块的状态寄存器,如果有效,则通知进入安全数据库查表模块;
4)、进入安全数据库查表模块对进入包处理模块中数据包进行解析,判断数据包是否是IPSec协议包;如果是,转入步骤5),如果不是,转入步骤13);
5)、进入安全数据库查表模块提取选择符,对提取的选择符进行数据压缩,将压缩后的数据作为地址信号进入SAD存储单元进行安全策略查询,进入SAD存储单元输出安全联盟;
6)、进入安全数据库查表模块对安全联盟进行解析,产生任务描述符;
7)、进入CPU或IPSec协议处理器阵列解析描述符,根据解析结果查询安全协议处理器阵列的状态进行任务分配;
8)、安全协议处理器根据CPU写入的配置信息到进入安全联盟数据库中读取安全联盟并到进入包处理模块中读取数据包;
9)、安全协议处理器对数据包进行预处理后通过高速互联模块送入安全算法模块进行数据运算;
10)、处理完毕的数据再通过高速互联模块送入安全协议处理器进行数据后处理;
11)、进入安全数据库查表模块对处理完的数据包提取选择符,对提取的选择符进行数据压缩,将压缩后的数据作为地址信号输入SPD存储单元进行安全策略查询,进入SPD存储单元输出安全策略;
12)、进入安全数据库查表模块对输出的安全策略进行解析,决定对数据包的处理。
13)、数据包通过高速互联模块送入进入包处理模块进行数据包封装,封装后的数据帧从高速以太网接口输出。
本发明实施例提供的在线网络安全处理器可应用于高速网关、路由器中,在线实现IPSec网络安全协议和安全算法。在线网络安全处理器可将数据传输、协议处理和数据运算集成于单一SoC芯片。可实现10Gbps高速在线IPSec网络安全处理器。
本发明的实施例提供一种片上系统互联架构,采用双嵌入式CPU和双总线的系统架构将输入数据包和输出数据包分开处理,实现数据包高速实时处理。
本发明的实施例基于主流水线加辅助流水线的高速数据流程设计,提高系统性能。
如图2和图3所示,为本发明的基于流水线的高速数据进入和外出处理流程,进入和外出流程均可划分成6部分:数据帧接收,接收数据处理,安全数据库查表,IPSec协议处理,发送数据处理,数据帧发送。每个数据处理之间通过FIFO缓冲,整个数据流程构成一条6级主流水线结构。将安全数据库查表和IPSec协议处理进一步细分,形成两条辅助流水线,提高了系统的数据吞吐率和效率,实现10Gbps数据的实时处理。
本发明的实施例提供一种片上高速互联架构,在安全协议处理器阵列和安全算法处理器阵列以及进入、外出包处理模块间采用交叉互联(Crossbar)传输架构提高系统数据传输效率和系统资源利用率;并且模块数目根据不同的应用需求可进行配置。
本发明的实施例提供一种以片外算法替换片内算法的解决方案,该方案可以满足不同用户在不同场合的特殊需求,使得高速在线网络安全处理器具有可扩展性。
图4为本发明实施例中一种优选的高速互联模块。模块采用基于片上总线协议的交叉开关数据通路传输架构,该架构可实现多个主设备和从设备之间同时传输数据,提高数据的传输效率;设备接口的数量可以根据应用需求进行合理配置,使得设备性能可以根据不同应用场合进行配置。调度器采用多次迭代iSLIP算法实现数据包的高效公平调度。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种在线网络安全处理器,包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分,所述安全协议处理部分用于IP数据包的IPSec安全协议处理,所述安全算法运算部分用于IP数据包的验证和加解密运算,其特征在于,
所述数据传输及安全数据库查表部分包括包处理模块、处理单元、SPD存储单元、SAD存储单元、安全数据库查表模块和以太网接口,所述SPD存储单元用于存储安全策略,所述SAD存储单元用于存储安全联盟,所述处理单元用于配置所述SPD存储单元和所述SAD存储单元中的安全数据库,所述包处理模块用于接收来自以太网接口的数据帧并解封装成IP数据包,所述安全数据库查表模块用于对所述包处理模块解封装的IP数据包进行选择符提取和压缩处理,并将压缩后的字符作为所述SPD存储单元的输入地址,所述SPD存储单元根据所述输入地址输出安全策略并交由所述安全数据库查表模块进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址,所述SAD存储单元根据所述输入地址输出安全联盟并交由所述安全数据库查表模块进行解析,以产生用于IPSec协议处理的任务描述符,包处理模块对完成IPSec协议处理的数据包进行封装后发送数据帧。
2.如权利要求1所述的在线网络安全处理器,其特征在于,所述包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接,形成交叉互联传输架构。
3.一种在线网络安全处理器,包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分,所述安全协议处理部分用于IP数据包的IPSec安全协议处理,所述安全算法运算部分用于IP数据包的验证和加解密运算,其特征在于,
所述数据传输及安全数据库查表部分包括包处理模块、处理单元、SPD存储单元、SAD存储单元、安全数据库查表模块和以太网接口,所述SPD存储单元用于存储安全策略,所述SAD存储单元用于存储安全联盟,所述处理单元用于配置所述SPD存储单元和所述SAD存储单元中的安全数据库,所述包处理模块用于接收来自以太网接口的数据帧并解封装成IP数据包,所述安全数据库查表模块用于对所述包处理模块解封装的IP数据包进行解析,如果不是IPSec协议包,则直接送回包处理模块,如果是IPSec协议包,则进行选择符提取和压缩处理,并将压缩后的字符作为所述SAD存储单元的输入地址,所述SAD存储单元根据所述输入地址输出安全联盟并交由所述安全数据库查表模块进行解析,以产生用于IPSec协议处理的任务描述符,对于进行完IPSec协议处理的数据包,安全数据库查表模块进行选择符提取和压缩处理,并将压缩后的字符作为所述SPD存储单元的输入地址,所述SPD存储单元根据所述输入地址输出安全策略并交由所述安全数据库查表模块进行解析,从中获取对该数据包的处理,确定数据包是丢弃还是通过,包处理模块对通过的数据包进行封装后发送数据帧。
4.如权利要求3所述的在线网络安全处理器,其特征在于,所述包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接,形成交叉互联传输架构。
5.一种在线网络安全处理器,包括数据传输及安全数据库查表部分、安全协议处理部分和安全算法运算部分,所述安全协议处理器部分用于IP数据包的IPSec安全协议处理,所述安全算法运算部分用于IP数据包的验证和加解密运算,其特征在于,
所述在线网络安全处理器采用双核双总线并行结构,所述数据传输及安全数据库查找部分包括进入部分和外出部分,
所述进入部分包括通过进入总线互连的进入包处理模块、进入处理单元、进入安全数据库查表模块、进入SPD存储单元、进入SAD存储单元和以太网接口,
所述进入SPD存储单元用于存储安全策略,所述进入SAD存储单元用于存储安全联盟,所述进入处理单元用于配置所述进入SPD存储单元和所述进入SPD存储单元中的输入安全数据库,所述进入包处理模块用于接收来自以太网接口的数据帧并解封装成IP数据包,所述进入安全数据库查表模块用于对所述进入包处理模块解封装的IP数据包进行判断,如果不是IPSec协议包,则直接送回进入包处理模块,如果是IPSec协议包,则进行选择符提取和压缩处理,并将压缩后的字符作为所述进入SAD存储单元的输入地址,所述进入SAD存储单元根据所述输入地址输出安全联盟并交由所述进入安全数据库查表模块进行解析,以产生用于IPSec协议处理的任务描述符,对于进行完IPSec协议处理的数据包,进入安全数据库查表模块进行选择符提取和压缩处理,并将压缩后的字符作为所述进入SPD存储单元的输入地址,所述进入SPD存储单元根据所述输入地址输出安全策略并交由所述安全数据库查表模块进行解析,从中获取对数据包的处理,确定数据包是丢弃还是通过,所述进入包处理模块将通过的数据包封装成数据帧并发送到以太网接口,
所述外出部分包括通过外出总线互连的外出包处理模块、外出处理单元、外出安全数据库查表模块、外出SPD存储单元、外出SAD存储单元和以太网接口,
所述外出SPD存储单元用于存储安全策略,所述外出SAD存储单元用于存储安全联盟,所述外出处理单元用于配置所述外出SPD存储单元和所述外出SPD存储单元中的外出安全数据库,所述外出包处理模块用于接收以太网接口的数据帧并解封装成IP数据包,所述外出安全数据库查表模块用于对所述外出包处理模块解封装的IP数据包进行选择符提取和压缩处理,并将压缩后的字符作为所述外出SPD存储单元的输入地址,所述外出SPD存储单元根据所述输入地址输出安全策略并交由所述外出安全数据库查表模块进行解析,从中获取是否进行IPSec协议处理的信息和输出SAD存储单元的输入地址,所述外出SAD存储单元根据所述输入地址输出安全联盟并交由所述外出安全数据库查表模块进行解析,以产生用于IPSec协议处理的任务描述符;所述外出包处理模块将处理后的数据包封装成数据帧并发送到以太网接口;
所述进入包处理模块和所述外出包处理模块均连接所述安全协议处理部分和所述安全算法运算部分。
6.如权利要求5所述的在线网络安全处理器,其特征在于,所述进入包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接,所述外出包处理模块、所述安全协议处理部分和所述安全算法运算部分两两之间通过高速互连模块连接,形成交叉互联传输架构。
7.如权利要求5或6所述的在线网络安全处理器,其特征在于,还包括以下接口中的至少一者:
片外算法接口,与所述安全协议处理部分、所述进入总线和所述外出总线相连,所述片外算法接口用于以片外算法替换片内算法;
JTAG调试接口,与所述进入总线和所述外出总线相连,用于嵌入式软件的调试;
SDRAM存储器接口,与所述进入总线和所述外出总线相连,用于外接SDRAM存储器作为系统内存;
静态存储器接口,与所述进入总线和所述外出总线相连,用于外接片外安全联盟数据库存储器;
UART接口,与所述进入总线和所述外出总线相连,用于作为通信接口。
8.如权利要求5或6所述的在线网络安全处理器,其特征在于,所述数据传输及安全数据库查找部分、安全协议处理部分和安全算法运算部分集成于单一SoC芯片。
9.一种在线网络安全处理方法,其特征在于,包括从网络侧向本地传输数据的进入处理过程和/或从本地向网络侧传输数据的外出处理过程,
所述进入处理过程包括:
a1.进入处理单元配置进入安全数据库,将安全策略写入进入SPD存储单元中,将安全联盟写入进入SAD存储单元中;
b1.进入包处理模块从以太网接口接收数据帧并解封装成IP数据包;
c1.进入安全数据库查表模块对进入包处理模块解封装的IP数据包进行解析;如果为IPSec数据包,则执行d1,否则执行j1;
d1.进入安全数据库查表模块提取选择符,对提取的选择符进行数据压缩,将压缩后的数据作为地址信号在进入SAD存储单元进行安全联盟查询,进入SAD存储单元输出安全联盟;
e1.进入安全数据库查表模块对安全联盟进行解析,产生任务描述符;
f1.安全协议处理器获得基于描述符的配置信息及对应的安全联盟,并从进入包处理模块读取IP数据包;
g1.安全协议处理器和安全算法处理器协同完成对IP数据包的协议处理和安全运算处理;
h1.进入安全数据库查表模块对处理完的数据包提取选择符,对提取的选择符进行数据压缩,将压缩后的数据作为地址信号在进入SPD存储单元进行安全策略查询,进入SPD存储单元输出安全策略;
i1.进入安全数据库查表模块对输出的安全策略进行解析,决定对数据包的处理,确定数据包是丢弃还是通过;
j1.进入包处理模块将数据包进行封装后发送数据帧到本地;
所述外出处理过程包括:
a2.外出处理单元配置外出安全数据库,将安全策略写入外出SPD存储单元中,将安全联盟写入外出SAD存储单元中;
b2.外出包处理模块从以太网接口接收数据帧并解封装成IP数据包;
c2.外出安全数据库查表模块对外出包处理模块解封装的IP数据包进行选择符提取;
d2.外出安全数据库查表模块对提取的选择符进行数据压缩,将压缩后的数据作为地址信号在外出SPD存储单元进行安全策略查询,外出SPD存储单元输出安全策略;
e2.外出安全数据库查表模块对输出的安全策略进行解析,对于要进行IPSec协议处理的IP数据包,从安全策略中获取外出SAD存储单元的地址信号在外出SAD存储单元进行安全联盟查询,外出SAD存储单元输出安全联盟;
f2.外出安全数据库查表模块对输出的安全联盟进行解析,产生任务描述符;
g2.安全协议处理器获得基于描述符的配置信息及对应的安全联盟,并从外出包处理模块读取IP数据包;
h2.安全协议处理器和安全算法处理器协同完成对外出IP数据包的协议处理和安全运算处理;
i2.外出包处理模块对数据包进行封装后通过外出以太网接口发送数据帧到以太网;
所述进入处理过程和所述外出处理过程使用双总线并行处理,进入包处理模块、进入处理单元、进入安全数据库查表模块、进入SPD、SAD存储单元之间通过进入总线传输数据,进入包处理模块、安全协议处理器、安全算法处理器之间通过高速互连模块传输数据;
外出包处理模块、外出处理单元、外出安全数据库查表模块、外出SPD、SAD存储单元之间通过外出总线传输数据,外出包处理模块、安全协议处理器、安全算法处理器之间通过高速互连模块传输数据。
10.如权利要求9所述的方法,其特征在于,
步骤h2中,安全协议处理器对数据包进行预处理后通过高速互联模块送入安全算法处理器进行数据运算,处理完毕的数据再通过高速互联模块送入安全协议处理器进行数据后处理,完成IPSec协议处理的数据包通过高速互联模块送入外出包处理模块进行数据包封装。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310097523.8A CN103188264B (zh) | 2013-03-25 | 2013-03-25 | 在线网络安全处理器和处理方法 |
HK13109861.2A HK1182562A1 (zh) | 2013-03-25 | 2013-08-22 | 在線網絡安全處理器和處理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310097523.8A CN103188264B (zh) | 2013-03-25 | 2013-03-25 | 在线网络安全处理器和处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103188264A CN103188264A (zh) | 2013-07-03 |
CN103188264B true CN103188264B (zh) | 2015-08-12 |
Family
ID=48679229
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310097523.8A Expired - Fee Related CN103188264B (zh) | 2013-03-25 | 2013-03-25 | 在线网络安全处理器和处理方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103188264B (zh) |
HK (1) | HK1182562A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106161386B (zh) * | 2015-04-16 | 2020-05-05 | 中兴通讯股份有限公司 | 一种实现IPsec分流的方法和装置 |
CN111031055B (zh) * | 2019-12-19 | 2021-10-12 | 山东方寸微电子科技有限公司 | 一种IPsec加速装置及实现方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1405687A (zh) * | 2002-10-31 | 2003-03-26 | 浙江大学 | 高速信息安全处理器 |
CN1516386A (zh) * | 2003-08-26 | 2004-07-28 | ����ͨѶ�ɷ�����˾ | 网络通信安全处理器及其数据处理方法 |
-
2013
- 2013-03-25 CN CN201310097523.8A patent/CN103188264B/zh not_active Expired - Fee Related
- 2013-08-22 HK HK13109861.2A patent/HK1182562A1/zh not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1405687A (zh) * | 2002-10-31 | 2003-03-26 | 浙江大学 | 高速信息安全处理器 |
CN1516386A (zh) * | 2003-08-26 | 2004-07-28 | ����ͨѶ�ɷ�����˾ | 网络通信安全处理器及其数据处理方法 |
Non-Patent Citations (2)
Title |
---|
"A Configurable IPSec Processor for High Performance In-Line Security Network Processor";YUN NIU 等;《Computational Intelliigence and Security(CIS),2011 Seventh International Conference on》;20111204;第674-678页 * |
牛贇 等."高速在线可扩展网络安全处理器SoC设计与研究".《第十六届计算机工程与工艺年会暨第二届微处理器技术论坛论文集》.2012,第101-105页. * |
Also Published As
Publication number | Publication date |
---|---|
CN103188264A (zh) | 2013-07-03 |
HK1182562A1 (zh) | 2013-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Deri | nCap: Wire-speed packet capture and transmission | |
CN101304322B (zh) | 一种网络设备和报文转发方法 | |
CN108768892A (zh) | 一种基于p4的可编程数据平面交换原型的设计与实现 | |
JP2016510524A (ja) | 通信トラフィック処理アーキテクチャおよび方法 | |
Xu et al. | Demystifying the energy efficiency of network function virtualization | |
CN102647370B (zh) | WiFi网络和ZigBee网络之间的通信方法 | |
CN104852939B (zh) | 一种部署能力接口的方法和系统 | |
CN109992405A (zh) | 一种处理数据报文的方法和网卡 | |
CN106657279B (zh) | 一种网络业务加速方法和设备 | |
CN205983466U (zh) | 一种基于fpga的算法加速卡 | |
CN103106173A (zh) | 多核处理器核间互联的方法 | |
CN107612679A (zh) | 一种基于国密算法的安全以太网桥加扰终端 | |
CN112910932A (zh) | 一种数据处理方法、装置及系统 | |
CN210112025U (zh) | 一种智能网络加速平台 | |
CN103188264B (zh) | 在线网络安全处理器和处理方法 | |
CN115599737A (zh) | 一种异构多核系统、通信方法、芯片、设备及存储介质 | |
Li et al. | The comparison and verification of some efficient packet capture and processing technologies | |
Yan et al. | Open vSwitch Vxlan performance acceleration in cloud computing data center | |
CN114422297A (zh) | 一种多场景虚拟网络流量监控方法、系统、终端及介质 | |
CN208999999U (zh) | 数据处理装置 | |
CN115033407B (zh) | 一种适用于云计算的采集识别流量的系统和方法 | |
CN113094762B (zh) | 一种数据处理方法、装置及签名验签服务器 | |
CN109347818A (zh) | 一种协议可重构万兆通信的文件传输系统 | |
CN208971550U (zh) | 一种基于硬件逻辑电路的协议可重构万兆通信装置 | |
CN202750101U (zh) | 一种以太网消息处理机 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1182562 Country of ref document: HK |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1182562 Country of ref document: HK |
|
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150812 |
|
CF01 | Termination of patent right due to non-payment of annual fee |