專利名稱:網(wǎng)絡(luò)安全處理裝置及其方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����。
背景技術(shù):
目前,接入IP(網(wǎng)際協(xié)議)網(wǎng)絡(luò)的用戶日益增多�,為此,保證網(wǎng)絡(luò)通信的安全便成為了通信網(wǎng)絡(luò)中需要解決的重要問題�����。目前�����,在IP網(wǎng)絡(luò)安全中���,較多地采用了因特網(wǎng)網(wǎng)絡(luò)安全協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)安全�����,安全認(rèn)證技術(shù)包括兩種安全協(xié)議�����,即認(rèn)證頭協(xié)議和封裝安全載荷協(xié)議�����,這兩種協(xié)議和互聯(lián)網(wǎng)密鑰交換協(xié)議共同使用便可以達(dá)到保證網(wǎng)絡(luò)通信安全可靠的目的��。對數(shù)據(jù)的完整性和數(shù)據(jù)來源的驗(yàn)證��,即如果報(bào)文被篡改或不是特定的對象發(fā)出���,認(rèn)證將不會(huì)通過;所述的ESP協(xié)議提供的功能是對報(bào)文載荷的加密和認(rèn)證����;目前所采用的綁定的操作就是對同一個(gè)IP報(bào)文使用ESP和AH協(xié)議進(jìn)行處理,從而使得可以同時(shí)對IP報(bào)文進(jìn)行加密和認(rèn)證�,充分地保證了網(wǎng)絡(luò)中傳輸?shù)膱?bào)文的安全性和保密性。 數(shù)據(jù)包中是通過建立安全聯(lián)盟(SA)承載相應(yīng)的SA數(shù)據(jù)���,SA是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來的一種協(xié)定�����,SA承載的數(shù)據(jù)定義了用來保護(hù)數(shù)據(jù)包安全的IPSec協(xié)議�����、加解密/認(rèn)證算法��、密鑰以及密鑰的有效存在時(shí)間等�。對于接收方,通過數(shù)據(jù)包頭信息包含的IP目的地址�����、IP安全協(xié)議類型和SPI中查找對應(yīng)的SA數(shù)據(jù)���,根據(jù)SA數(shù)據(jù)的內(nèi)容�����,對IP數(shù)據(jù)報(bào)文進(jìn)行加密和認(rèn)證���,以保證數(shù)據(jù)的保密性和可靠性、完整性�。因特網(wǎng)密鑰交換是最為重要的部分�����,在用保護(hù)一個(gè)IP數(shù)據(jù)包之前����。 因?qū)?bào)文進(jìn)行加密和認(rèn)證需要較大的運(yùn)算量����,所以在對安全性能要求較高的通信系統(tǒng)中�,通常使用專門設(shè)計(jì)的網(wǎng)絡(luò)安全處理器對在網(wǎng)絡(luò)中傳輸?shù)幕趨f(xié)議實(shí)現(xiàn)的報(bào)文進(jìn)行處理。在進(jìn)行IP報(bào)文的加密和認(rèn)證處理時(shí)�,網(wǎng)絡(luò)安全處理器需要把IP數(shù)據(jù)報(bào)文和報(bào)文的SA數(shù)據(jù)均讀到處理器內(nèi)部,識別IP報(bào)文后����,根據(jù)報(bào)文對應(yīng)的SA數(shù)據(jù)對報(bào)文進(jìn)行處理,并更新SA數(shù)據(jù)中的部分內(nèi)容�,然后將處理完成的數(shù)據(jù)報(bào)文發(fā)送出去。
發(fā)明內(nèi)容
由于現(xiàn)有技術(shù)所存在的問題�,本發(fā)明的目的是提供一種網(wǎng)絡(luò)安全處理裝置及其方法,以克服現(xiàn)有技術(shù)所存在的問題�,實(shí)現(xiàn)對數(shù)據(jù)報(bào)文的加密和認(rèn)證過程更為簡便,且不影響主機(jī)的系統(tǒng)性能�。 本發(fā)明為實(shí)現(xiàn)上述目的�����,本發(fā)明提供了一種網(wǎng)絡(luò)安全處理裝置��,包括輸入緩存模塊接收到需要進(jìn)行加密和認(rèn)證處理的數(shù)據(jù)報(bào)文和相應(yīng)的SA安全關(guān)聯(lián)數(shù)據(jù)����,并進(jìn)行緩存后發(fā)送給包頭處理模塊��;包頭處理模塊接收數(shù)據(jù)報(bào)文和SA數(shù)據(jù)��,并對數(shù)據(jù)報(bào)文的頭進(jìn)行處理后隨SA數(shù)據(jù)一同發(fā)送給加解密/Hash單元�����。
本發(fā)明的有益效果 在通信的雙方在進(jìn)行協(xié)商之后���,主機(jī)將協(xié)商的SA數(shù)據(jù)存放與主內(nèi)存中����,也就是SA數(shù)據(jù)和系統(tǒng)共享內(nèi)存���;在收到數(shù)據(jù)報(bào)文發(fā)現(xiàn)需要進(jìn)行加密處理時(shí)�,通過報(bào)文描述符的方式把數(shù)據(jù)報(bào)文和SA數(shù)據(jù)通知DMA模塊;DMA模塊根據(jù)描述符的信息���,通過DMA方式將SA數(shù)據(jù)通過PCI總錢讀到輸入緩存中進(jìn)行緩存�,然后將數(shù)據(jù)報(bào)文通過通用網(wǎng)絡(luò)安全處理器接著將
SA數(shù)據(jù)和數(shù)據(jù)報(bào)文從輸入緩存中讀出��,并由包頭處理模塊對報(bào)文進(jìn)行頭處理��; 如果是對數(shù)據(jù)報(bào)文進(jìn)行綁定處理時(shí)�,則在第二次進(jìn)行SA數(shù)據(jù)和數(shù)據(jù)報(bào)文的讀取 過程中,需要根據(jù)數(shù)據(jù)將數(shù)據(jù)報(bào)文從輸入緩存中讀出����,并依次進(jìn)行如下的處理�;單元對報(bào)文 進(jìn)行加密或認(rèn)證處理,處理后發(fā)送給包尾處理模塊�;包尾處理模塊根據(jù)加解密單元處理完 成的結(jié)果進(jìn)行報(bào)文的尾部處理,并把處理完成的數(shù)據(jù)報(bào)文放在輸出緩存中進(jìn)行援存�;對于 處理完成的數(shù)據(jù)報(bào)文,DMA模塊將數(shù)據(jù)報(bào)文通過通用數(shù)據(jù)總線返回給主機(jī)��;同時(shí)��,DMA模塊 在回寫完成數(shù)據(jù)之后��,再通過通用數(shù)據(jù)總線更新主機(jī)內(nèi)存中SA數(shù)據(jù)的內(nèi)容,完成一次包處 理過程���。如果需要處理綁定的處理����,即如果要支持綁定的處理���,數(shù)據(jù)報(bào)文要通過數(shù)據(jù)總線進(jìn) 出芯片多次���,這必將導(dǎo)致系統(tǒng)性能的降低。
圖1為本發(fā)明的流程圖����。
具體實(shí)施例方式
本發(fā)明的輸入緩存模塊和輸出緩存模塊分別通過DMA模塊和通用數(shù)據(jù)總線與主 機(jī)內(nèi)存相連,并通過DMA模塊和內(nèi)存總線與本地存儲(chǔ)器相連���。輸入緩存模塊與包頭處理模 塊間還連接設(shè)置有壓縮處理模塊���,該模塊接收輸入緩存發(fā)來的數(shù)據(jù)報(bào)文并進(jìn)行壓縮處理后 發(fā)送給包頭處理模塊;處理模塊與所述的輸出緩存模塊間連接設(shè)置有解壓處理模塊��,該模 塊接收包尾處理模塊發(fā)來的數(shù)據(jù)報(bào)文�����,并進(jìn)行解壓縮處理后發(fā)送給輸出緩存模塊。接收數(shù) 據(jù)報(bào)文和SA數(shù)據(jù)��,并一次性為數(shù)據(jù)報(bào)文插入用于綁定的處理的安全頭�,同時(shí)隨SA數(shù)據(jù)一同 發(fā)送給加解密/Hash單元。接收包頭處理模塊發(fā)來的數(shù)據(jù)報(bào)文和SA數(shù)據(jù)�,并根據(jù)SA進(jìn)行 相應(yīng)的加解密和/或認(rèn)證處理后給AH處理模塊;AH處理模塊接收ESP處理模塊發(fā)來的數(shù) 據(jù)報(bào)文和SA數(shù)據(jù)�����,并根據(jù)SA數(shù)據(jù)進(jìn)行相應(yīng)的運(yùn)算處理后發(fā)送給包尾處理模塊���。SA數(shù)據(jù)通 過系統(tǒng)的通用數(shù)據(jù)總線和網(wǎng)絡(luò)安全處理裝置下發(fā)到本地存儲(chǔ)器中��,并將接收的數(shù)據(jù)報(bào)文保 存于系統(tǒng)主機(jī)內(nèi)存中��;網(wǎng)絡(luò)安全處理裝置將通過通用數(shù)據(jù)總線調(diào)用系統(tǒng)主機(jī)內(nèi)存中的數(shù)據(jù) 報(bào)文,并通過內(nèi)存總線調(diào)用本地存儲(chǔ)器中的SA數(shù)據(jù)�;網(wǎng)絡(luò)安全處理裝置根據(jù)調(diào)用獲得的SA 數(shù)據(jù)和數(shù)據(jù)報(bào)文進(jìn)行相應(yīng)的網(wǎng)絡(luò)安全處理。
權(quán)利要求
網(wǎng)絡(luò)安全處理裝置及其方法����,其特征在于輸入緩存模塊接收到需要進(jìn)行加密和認(rèn)證處理的數(shù)據(jù)報(bào)文和相應(yīng)的SA安全關(guān)聯(lián)數(shù)據(jù)�,并進(jìn)行緩存后發(fā)送給包頭處理模塊����;包頭處理模塊接收數(shù)據(jù)報(bào)文和SA數(shù)據(jù),并對數(shù)據(jù)報(bào)文的頭進(jìn)行處理后隨SA數(shù)據(jù)一同發(fā)送給加解密/Hash單元�����。
全文摘要
網(wǎng)絡(luò)安全處理裝置及其方法涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����。發(fā)明的目的是提供一種網(wǎng)絡(luò)安全處理裝置及其方法,實(shí)現(xiàn)對數(shù)據(jù)報(bào)文的加密和認(rèn)證過程更為簡便�,且不影響主機(jī)的系統(tǒng)性能。本發(fā)明提供了一種網(wǎng)絡(luò)安全處理裝置��,包括輸入緩存模塊接收到需要進(jìn)行加密和認(rèn)證處理的數(shù)據(jù)報(bào)文和相應(yīng)的SA安全關(guān)聯(lián)數(shù)據(jù)���,并進(jìn)行緩存后發(fā)送給包頭處理模塊�;包頭處理模塊接收數(shù)據(jù)報(bào)文和SA數(shù)據(jù)��,并對數(shù)據(jù)報(bào)文的頭進(jìn)行處理后隨SA數(shù)據(jù)一同發(fā)送給加解密/Hash單元�。
文檔編號H04L29/06GK101741827SQ20081022868
公開日2010年6月16日 申請日期2008年11月11日 優(yōu)先權(quán)日2008年11月11日
發(fā)明者劉芳 申請人:劉芳