CN103198105A - 以太网IPSec安全数据库查找装置及方法 - Google Patents
以太网IPSec安全数据库查找装置及方法 Download PDFInfo
- Publication number
- CN103198105A CN103198105A CN2013100975083A CN201310097508A CN103198105A CN 103198105 A CN103198105 A CN 103198105A CN 2013100975083 A CN2013100975083 A CN 2013100975083A CN 201310097508 A CN201310097508 A CN 201310097508A CN 103198105 A CN103198105 A CN 103198105A
- Authority
- CN
- China
- Prior art keywords
- storage unit
- ipsec
- module
- security
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种以太网IPSec安全数据库查找装置,其中,处理单元配置安全数据库,接收模块接收来自以太网的数据帧并解封装成IP数据包,IPSec安全数据库查找模块对接收模块解封装的IP数据包进行选择符提取和压缩处理,并将压缩后的字符作为SPD存储单元的输入地址,SPD存储单元输出安全策略并交由IPSec安全数据库查找模块进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址,SAD存储单元输出安全联盟,由IPSec安全数据库查找模块解析产生任务描述符。该装置既可以满足高速查找要求,又可以对安全数据库进行简单灵活地配置。在此还公开一种相应的安全数据库查找方法,以及用于实现以太网IPSec安全数据库查找的装置及方法。
Description
技术领域
本发明涉及以太网安全技术,特别是一种以太网IPSec安全数据库查找装置及方法。
背景技术
由于网络协议本身并不提供安全特性,为了确保网络信息的保密性、完整性和身份认证,1998年互联网工程任务组IETF提出了针对网络层(IP)的IPSec(Internet Protocol Security)协议,作为网络安全的关键技术,IPSec协议已经得到了广泛的应用。在IPSec安全体系中,包括两个数据库,一个是安全策略数据库SPD(Security Policy Database),一个是安全联盟数据库SAD(Security Association Database)。安全策略定义了两个通信实体之间的安全通信特性;在什么模式下使用什么协议;以及如何处理IP包。SPD用来实现对IPSec安全策略的存储和维护,通过选择符(源地址、目的地址、协议、源端口、目的端口)来对SPD进行查找,确定采用哪些安全策略。SA是IPSec的基础,通过它决定保护什么样的数据包、由谁来实行保护和如何保护的问题,是经过通信双方协商建立起来的一种协定。通过创建的安全联盟数据库(SAD)来维护SA记录。
在实现IPSec协议过程中,对每一个输入输出IP包进行处理时都必须进行SPD查找以获取相应的安全策略,查找SAD得到安全联盟。如果查找速度慢,将无法满足高速网络,特别是10Gbps网络以及下一代40Gbps/100Gbps性能要求。因此,对IPSec处理性能而言,采用何种数据库查找方法和装置至关重要。目前实现IPSec查表一般通过软件或硬件的方式。采用纯软件方式实现主要是采用基于Radix树算法和基于Hash表算法的软件查找算法实现,软件方法实现的优点是实现简单,灵活。基于软件实现的匹配算法吞吐速率一般小于1Gbps,无法满足高速网络查表的要求。
采用硬件设计技术是提高查表速度的有效方法。目前硬件查表通常采用FPGA(Field Programmable Gate Array,即现场可编程逻辑门阵列)+TCAM(Ternary Content Access Memory,即三态内容寻址存储器)+SRAM(Static RAM,即静态随机存储器)的硬件查表方法。FPGA完成IP包头关键字的提取和查表请求、管理请求的提交等控制功能;TCAM是按内容寻址存储器,存储安全策略,每条策略对应的执行动作则存储在相应的SRAM中,作为最终的查表结果。这样,由TCAM和SRAM配合完成IPSec报文SPD的查找工作。然后根据安全策略去查找SAD数据库来得到相应的安全联盟。这种硬件实现方式虽然能满足高速查表的要求,但是SPD和SAD数据库可配置性差,并且TCAM存储器成本高、功耗大。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种以太网IPSec安全数据库查找装置及方法,既可以满足高速网络对安全数据库查找性能的要求,又可以对安全数据库进行简单灵活地配置。
为实现上述目的,本发明采用以下技术方案:
一种以太网IPSec安全数据库查找装置,其特征在于,包括接收模块、处理单元、SPD存储单元、SAD存储单元和IPSec安全数据库查找模块,所述SPD存储单元存储安全策略,所述SAD存储单元存储安全联盟,所述处理单元配置所述SPD存储单元和所述SPD存储单元中的安全数据库,所述接收模块接收来自以太网的数据帧并解封装成IP数据包,所述IPSec安全数据库查找模块对所述接收模块解封装的IP数据包进行选择符提取和压缩处理,并将压缩后的字符作为所述SPD存储单元的输入地址,所述SPD存储单元根据所述输入地址输出安全策略并交由所述IPSec安全数据库查找模块进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址,所述SAD存储单元根据所述输入地址输出安全联盟并交由所述IPSec安全数据库查找模块进行解析,以产生用于IPSec协议处理的任务描述符。
可进一步采用以下一些技术方案:
所述装置还包括IPSec协议处理模块,所述IPSec协议处理模块用于根据任务描述符进行协议处理。
所述处理单元为32位嵌入式CPU,所述接收模块、所述IPSec安全数据库查找模块、所述32位嵌入式CPU和所述IPSec协议处理模块通过32位系统总线相连,所述系统总线为交叉互联结构的数据传输架构。
所述32位嵌入式CPU作为主设备,所述接收模块作为从设备,所述IPSec安全数据库查找模块和所述IPSec协议处理模块既作为主设备又作为从设备挂接到所述系统总线上。
SPD存储单元和SAD存储单元优选为SRAM,且物理上可以是在同一个存储器上划分出的两个单元。
一种以太网IPSec安全数据库查找方法,包括以下步骤:
a.处理单元配置安全数据库,将安全策略写入SPD存储单元中,将安全联盟写入SAD存储单元中;
b.接收模块从以太网中接收数据帧并解封装成IP数据包;
c.IPSec安全数据库查找模块对接收模块解封装的IP数据包进行选择符提取;
d.IPSec安全数据库查找模块对提取的选择符进行数据压缩,将压缩后的数据作为地址信号输入SPD存储单元进行安全策略查询,SPD存储单元输出安全策略;
e.IPSec安全数据库查找模块对输出的安全策略进行解析,对于要进行IPSec协议处理的IP数据包,从安全策略中获取SAD存储单元的地址信号输入SPD存储单元进行安全联盟查询,SAD存储单元输出安全联盟;
f.IPSec安全数据库查找模块对安全联盟进行解析,产生任务描述符。
所述方法还包括以下步骤:
g.IPSec协议处理模块接收任务描述符进行协议处理。
所述接收模块在接收完数据帧头和IP数据包头之后、接收完全部IP数据包之前,将接收模块中的状态寄存器置高,所述IPSec安全数据库查找模块通过查询所述状态寄存器来查询是否有新的IP数据包,当IPSec安全数据库查找模块读完状态寄存器后,接收模块的状态寄存器清零以表示可以接收下一个数据包。
处理单元定期更新SPD存储单元中和SAD存储单元中的安全数据库。
一种用于实现以太网IPSec安全数据库查找的方法,包括以下步骤:
从接收模块中的IP数据包提取选择符;
对选择符进行压缩处理以得到SPD存储单元的输入地址;
对SPD存储单元输出的安全策略进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址;
对SAD存储单元输出的安全联盟进行解析以产生用于IPSec协议处理的任务描述符。
一种用于实现以太网IPSec安全数据库查找的装置,包括:
选择符提取模块,用于从接收模块中的IP数据包提取选择符;
压缩模块,用于对选择符进行压缩处理以得到SPD存储单元的输入地址;
策略解析模块,用于对SPD存储单元输出的安全策略进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址;
描述符生成模块,用于对SAD存储单元输出的安全联盟进行解析以产生用于IPSec协议处理的任务描述符。
本发明的有益技术效果:
本发明的以太网IPSec安全数据库查找装置和查找方法,性能可以满足高速以太网IPSec安全数据库查表,它既可以满足高速网络对安全数据库查找性能的要求,又适于通过软件对安全数据库进行配置,解决了目前查表方法和装置存在的缺点。
附图说明
图1为本发明高速以太网IPSec安全数据库查表装置实施例的示意图;
图2为一种用于实现以太网IPSec安全数据库查找的装置及与SPDSRAM和SAD SRAM的关联示意图;
图3高速以太网IPSec安全数据库查表方法实施例的流程示意图。
具体实施方式
以下结合附图对本发明的实施例作详细说明。应该强调的是,下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
参阅图1,在一些实施例里,一种高速以太网IPSec安全数据库查表装置包括接收模块、处理单元、SPD静态随机存储器(SPD SRAM)、SAD静态随机存储器(SAD SRAM)和IPSec安全数据库查找模块,其中,接收模块可缓存数据帧,保存以太网数据帧的MAC帧头,解析IP包头,将数据帧解封装成IP数据包;处理单元优选采用32位嵌入式CPU,其可以配置IPSec安全数据库,优选地,处理单元还用于定期更新IPSec安全数据库;IPSec安全数据库查找模块可完成IPSec安全数据库查找,参见图2,从功能上来说,IPSec安全数据库查找模块可以包括选择符提取模块、Hash压缩模块、策略解析模块和描述符生成模块;SPD SRAM和SAD SRAM分别实现安全策略的存储和安全联盟的存储。
在一些实施例里,一种以太网IPSec安全数据库查找方法包括如下步骤:
步骤一、初始化装置,32位嵌入式CPU首先配置SPD数据库,将安全策略写入SPD查表模块中的SRAM中。
步骤二、接收模块接收到数据后,将模块中的状态寄存器置高,表明有数据需要进行处理。
步骤三、安全数据库查表模块查询接收模块的状态寄存器,如果有新的IP数据包,则对其进行选择符提取,并对选择符进行压缩处理。
步骤四、将压缩后的字符直接作为SPD SRAM的地址输入,SPD SRAM输出即为安全策略。
步骤五、安全数据库查表模块解析安全策略,如果对数据包进行IPSec协议处理,则直接从安全策略中获取相应的安全联盟数据库SAD的输入地址并作为SAD SRAM的地址输入。
步骤六、SAD SRAM的输出既是对该数据包的安全联盟SA。
步骤七、安全数据库查表模块对安全联盟进行解析,产生任务描述符送入下一级进行处理。
安全数据库查表模块完成一次查找,重复步骤三-步骤七。
优选地,在步骤二,接收模块在接收完数据帧头和IP包头后,就可以将状态寄存器置高,不必等到所有的数据帧都接收完毕。
优选地,在步骤三,当安全数据库查表模块读完状态寄存器后,接收模块状态寄存器清零,表示可以接收下一个数据包。
优选地,选择符格式为:IP源地址、IP目的地址、协议类型、源端口号、目的端口号。
优选地,在步骤三,采用Hash压缩函数对选择符进行Hash压缩处理。
优选地,参见后文表1,SPD数据库安全策略数据格式为32位字串:协议类型(1位),数据包的安全策略(3位),SAD数据库地址指针(28位)。
优选地,任务描述符包括对数据包采取的安全措施,包括使用的安全协议的工作模式、认证算法、密码算法等。
根据这种策略的数据库查找方法,查询一次只需9个时钟周期即可完成,在系统时钟为250MHz的情况下,每秒查表次数可达到25Mps(兆个数据包/秒),一个10Gbps以太网每秒连续输入最小包(IPV4包为64字节)的个数为19.5Mps,因此完全满足10Gbps查表速率的需要。
本发明实施例的装置中省去TCAM,大大降低了设备成本和功耗。
本发明实施例中,通过32位嵌入式CPU对安全数据库查表模块中的SPD和SAD SRAM进行配置,并通过定期更新安全数据库,可以显著提高数据库的安全性。
不同实施例中,Hash压缩函数可以根据应用选择不同的Hash函数。
优选的实施例里,SPD SRAM的容量与Hash压缩后数值位数相关联,为2的位数的阶乘。由此,可以通过选择压缩后数值的位数来调整SPD策略的条数,使得该装置具有可配置性。
优选地,本发明中,SPD数据格式中包含SAD数据库的地址指针,当数据包需要进行协议处理时,可直接通过地址指针读取SAD数据库,提高查表速率。
图1所示为本发明安全数据库查表装置的一种优选实施例,接收模块、IPSec安全数据库查找模块、32位嵌入式CPU和IPSec协议处理模块之间通过32位系统总线相连。该系统总线实现交叉互联(Crossbar)结构的数据传输架构。更优选地,嵌入式CPU作为主设备,接收模块作为从设备,IPSec安全数据库查找模块和IPSec协议处理模块既作为主设备又作为从设备挂接到该系统总线上。
图2为一种用于实现以太网IPSec安全数据库查找的装置,如图2所示,该装置包括选择符提取模块、压缩模块、策略解析模块和描述符生成模块,其中:选择符提取模块主要完成对数据包头中相关域的提取形成选择符;压缩模块可以为Hash压缩模块,通过Hash压缩函数将选择符压缩成位数更小的数;策略解析模块对SPD SRAM输出的安全策略进行解析,包括决定对数据包的处理方式:丢弃,绕过或进行协议处理,如果进行协议处理,则读取策略中包含的SAD地址指针并作为SAD SRAM的地址输入;描述符生成模块对SAD SRAM输出的安全联盟进行解析,可以生成一包含对数据包进行何种安全协议、采用何种工作模式、使用哪种安全算法的32位字串。与之该装置相连的SPD SRAM和SAD SRAM分别实现安全策略的存储和安全联盟的存储,SRAM的容量可根据实际应用选择。
表1和表2表示出本发明装置中SPD SRAM的策略的数据格式。如表1所示,数据可以为一32位数,第32位表示对数据包实施的IPSec协议类型,可以是认证头协议(AH)或封装载荷协议(ESP)。其中,第31到29位表示对数据包实施的安全策略,如表2所示,000表示丢弃,010表示绕过,100表示IPSec处理。最后28位存储SAD数据库地址指针。
表1SPD SRAM数据格式(32位)
协议类型(0:AH,1:ESP)(1位) | 安全策略(3位) | SAD地址指针(28位) |
表2编码与安全策略对应表
编码 | 安全策略 |
000 | 丢弃 |
010 | 绕过 |
100 | IPsec处理 |
其他 | 保留 |
图3为本发明方法一个较具体实施例的流程示意图,包括如下步骤:
1、初始化装置,32位嵌入式CPU首先配置SPD和SAD SRAM数据库,将安全策略和安全联盟分别写入安全数据库查表模块中的SPD SRAM和SADSRAM中。
2、接收模块从以太网中接收数据,当接收到数据后,将模块中的状态寄存器置高,表明有数据需要进行处理。
3、安全数据库查表模块中的选择符提取模块查询接收模块的状态寄存器,如果有新的IP数据包,则对其进行选择符提取。
4、Hash压缩模块对提取的选择符进行数据压缩,将压缩后的数据作为地址信号输入SPD SRAM进行策略查询,SPD SRAM输出安全策略。
5、安全数据库查表模块中的策略解析模块对输出的安全策略进行解析,如果对数据包进行IPSec协议处理,则直接从安全策略中获取相应的安全联盟数据库SAD的输入地址并作为SAD SRAM的地址输入进行SAD数据库查询。SAD SRAM的输出既是对该数据包的安全联盟。
7、安全数据库查表模块中的描述符生成模块对安全联盟进行解析,产生任务描述符送入协议处理模块进行处理后续处理。
安全数据库查表模块完成一次查找,重复步骤3-7。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种以太网IPSec安全数据库查找装置,其特征在于,包括接收模块、处理单元、SPD存储单元、SAD存储单元和IPSec安全数据库查找模块,其中所述SPD存储单元存储安全策略,所述SAD存储单元存储安全联盟,所述处理单元配置所述SPD存储单元和所述SPD存储单元中的安全数据库,所述接收模块接收来自以太网的数据帧并解封装成IP数据包,所述IPSec安全数据库查找模块对所述接收模块解封装的IP数据包进行选择符提取和压缩处理,并将压缩后的字符作为所述SPD存储单元的输入地址,所述SPD存储单元根据所述输入地址输出安全策略并交由所述IPSec安全数据库查找模块进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址,所述SAD存储单元根据所述输入地址输出安全联盟并交由所述IPSec安全数据库查找模块进行解析,以产生用于IPSec协议处理的任务描述符。
2.如权利要求1所述的以太网IPSec安全数据库查找装置,其特征在于,还包括IPSec协议处理模块,所述IPSec协议处理模块用于根据任务描述符进行协议处理。
3.如权利要求2所述的以太网IPSec安全数据库查找装置,其特征在于,所述处理单元为32位嵌入式CPU,所述接收模块、所述IPSec安全数据库查找模块、所述32位嵌入式CPU和所述IPSec协议处理模块通过32位系统总线相连,所述系统总线为交叉互联结构的数据传输架构。
4.如权利要求3所述的以太网IPSec安全数据库查找装置,其特征在于,所述32位嵌入式CPU作为主设备,所述接收模块作为从设备,所述IPSec安全数据库查找模块和所述IPSec协议处理模块既作为主设备又作为从设备挂接到所述系统总线上。
5.一种以太网IPSec安全数据库查找方法,其特征在于,包括以下步骤:
a.处理单元配置安全数据库,将安全策略写入SPD存储单元中,将安全联盟写入SAD存储单元中;
b.接收模块从以太网中接收数据帧并解封装成IP数据包;
c.IPSec安全数据库查找模块对接收模块解封装的IP数据包进行选择符提取;
d.IPSec安全数据库查找模块对提取的选择符进行数据压缩,将压缩后的数据作为地址信号输入SPD存储单元进行安全策略查询,SPD存储单元输出安全策略;
e.IPSec安全数据库查找模块对输出的安全策略进行解析,对于要进行IPSec协议处理的IP数据包,从安全策略中获取SAD存储单元的地址信号输入SPD存储单元进行安全联盟查询,SAD存储单元输出安全联盟;
f.IPSec安全数据库查找模块对安全联盟进行解析,产生任务描述符。
6.如权利要求5所述的以太网IPSec安全数据库查找方法,其特征在于,还包括以下步骤:
g.IPSec协议处理模块接收任务描述符进行协议处理。
7.如权利要求5或6所述的以太网IPSec安全数据库查找方法,其特征在于,所述接收模块在接收完数据帧头和IP数据包头之后、接收完全部IP数据包之前,将接收模块中的状态寄存器置高,所述IPSec安全数据库查找模块通过查询所述状态寄存器来查询是否有新的IP数据包,当IPSec安全数据库查找模块读完状态寄存器后,接收模块的状态寄存器清零以表示可以接收下一个数据包。
8.如权利要求5或6所述的以太网IPSec安全数据库查找方法,其特征在于,处理单元定期更新SPD存储单元中和SAD存储单元中的安全数据库。
9.一种用于实现以太网IPSec安全数据库查找的方法,其特征在于,包括以下步骤:
从接收模块中的IP数据包提取选择符;
对选择符进行压缩处理以得到SPD存储单元的输入地址;
对SPD存储单元输出的安全策略进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址;
对SAD存储单元输出的安全联盟进行解析以产生用于IPSec协议处理的任务描述符。
10.一种用于实现以太网IPSec安全数据库查找的装置,其特征在于,包括:
选择符提取模块,用于从接收模块中的IP数据包提取选择符;
压缩模块,用于对选择符进行压缩处理以得到SPD存储单元的输入地址;
策略解析模块,用于对SPD存储单元输出的安全策略进行解析,从中获取是否进行IPSec协议处理的信息和SAD存储单元的输入地址;
描述符生成模块,用于对SAD存储单元输出的安全联盟进行解析以产生用于IPSec协议处理的任务描述符。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2013100975083A CN103198105A (zh) | 2013-03-25 | 2013-03-25 | 以太网IPSec安全数据库查找装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2013100975083A CN103198105A (zh) | 2013-03-25 | 2013-03-25 | 以太网IPSec安全数据库查找装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103198105A true CN103198105A (zh) | 2013-07-10 |
Family
ID=48720663
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2013100975083A Pending CN103198105A (zh) | 2013-03-25 | 2013-03-25 | 以太网IPSec安全数据库查找装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103198105A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104184744A (zh) * | 2014-09-11 | 2014-12-03 | 东南大学 | 基于IPv6的IPSec安全联盟硬件查找装置及方法 |
WO2016165277A1 (zh) * | 2015-04-16 | 2016-10-20 | 中兴通讯股份有限公司 | 一种实现IPsec分流的方法和装置 |
CN107094144A (zh) * | 2014-01-29 | 2017-08-25 | 上海数字电视国家工程研究中心有限公司 | 基带帧的封装方法及解封装方法 |
CN107172072A (zh) * | 2017-06-09 | 2017-09-15 | 中国电子科技集团公司第四十研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262405A (zh) * | 2008-04-11 | 2008-09-10 | 华南理工大学 | 基于网络处理器的高速安全虚拟专用网通道及其实现方法 |
CN101605136A (zh) * | 2009-07-28 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 |
CN102065021A (zh) * | 2011-01-28 | 2011-05-18 | 北京交通大学 | 基于NetFPGA的IPSecVPN实现系统及方法 |
-
2013
- 2013-03-25 CN CN2013100975083A patent/CN103198105A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262405A (zh) * | 2008-04-11 | 2008-09-10 | 华南理工大学 | 基于网络处理器的高速安全虚拟专用网通道及其实现方法 |
CN101605136A (zh) * | 2009-07-28 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 |
CN102065021A (zh) * | 2011-01-28 | 2011-05-18 | 北京交通大学 | 基于NetFPGA的IPSecVPN实现系统及方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107094144A (zh) * | 2014-01-29 | 2017-08-25 | 上海数字电视国家工程研究中心有限公司 | 基带帧的封装方法及解封装方法 |
CN104184744A (zh) * | 2014-09-11 | 2014-12-03 | 东南大学 | 基于IPv6的IPSec安全联盟硬件查找装置及方法 |
WO2016165277A1 (zh) * | 2015-04-16 | 2016-10-20 | 中兴通讯股份有限公司 | 一种实现IPsec分流的方法和装置 |
CN107172072A (zh) * | 2017-06-09 | 2017-09-15 | 中国电子科技集团公司第四十研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
CN107172072B (zh) * | 2017-06-09 | 2020-11-06 | 中国电子科技集团公司第四十一研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100834570B1 (ko) | 실시간 상태 기반 패킷 검사 방법 및 이를 위한 장치 | |
US9154442B2 (en) | Concurrent linked-list traversal for real-time hash processing in multi-core, multi-thread network processors | |
US9081742B2 (en) | Network communications processor architecture | |
US8799507B2 (en) | Longest prefix match searches with variable numbers of prefixes | |
EP2215563B1 (en) | Method and apparatus for traversing a deterministic finite automata (dfa) graph compression | |
WO2018175162A1 (en) | Hardware-accelerated payload filtering in secure communication | |
US20070171911A1 (en) | Routing system and method for managing rule entry thereof | |
US11362948B2 (en) | Exact match and ternary content addressable memory (TCAM) hybrid lookup for network device | |
CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
CN103198105A (zh) | 以太网IPSec安全数据库查找装置及方法 | |
US7937592B2 (en) | Network communication security processor and data processing method | |
CN112118167B (zh) | 一种跨网隧道数据快速传输方法 | |
CN102664815A (zh) | 报文流量的负荷分担方法、装置和系统 | |
CN105556916A (zh) | 网络流的信息统计方法和装置 | |
CN104009984A (zh) | 基于倒排列表的网流索引检索与压缩的方法 | |
Bahrami et al. | An energy efficient data privacy scheme for IoT devices in mobile cloud computing | |
CN106789733A (zh) | 一种提高大规模网络流表查找效率的装置及方法 | |
McHale et al. | Stochastic pre-classification for SDN data plane matching | |
Wellem et al. | A hardware-accelerated infrastructure for flexible sketch-based network traffic monitoring | |
US9137158B2 (en) | Communication apparatus and communication method | |
CN113411380A (zh) | 基于fpga可编程会话表的处理方法、逻辑电路和设备 | |
US9590897B1 (en) | Methods and systems for network devices and associated network transmissions | |
CN109039911B (zh) | 一种基于hash查找方式共享ram的方法及系统 | |
CN101848091B (zh) | 数据查找处理方法及系统 | |
US20220278946A1 (en) | Programmable packet processing pipeline with offload circuitry |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1182503 Country of ref document: HK |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130710 |
|
REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1182503 Country of ref document: HK |