專利名稱:基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)及方法
技術領域:
本發(fā)明涉及網(wǎng)絡信息安全領域,具體是指基于網(wǎng)絡處理器的第二代密鑰交換 系統(tǒng)及方法����。
背景4支術
IPSec是IETF (互聯(lián)網(wǎng)工程任務組)的IPSec工作組定義的應用于IP層上網(wǎng) 絡數(shù)據(jù)安全的 一整套體系結構,包括認證協(xié)議(Authentication Header, AH )�����、封 裝安全載荷協(xié)議(Encapsulating Security Payload, ESP )���、密鑰管理協(xié)議(Internet Key Exchange, IKE)以及用于網(wǎng)絡認證及加密的一些算法等���。IPSec規(guī)定了如 何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換�,向上提供了訪問控制、 數(shù)據(jù)源認證���、數(shù)據(jù)加密等網(wǎng)絡安全服務����。
密鑰管理協(xié)議(IKE)是IPSec協(xié)議族的重要協(xié)議之一��,負責動態(tài)協(xié)商����、管 理安全關聯(lián)(Security Association, SA)�。密鑰管理協(xié)議(IKE )的第一版本(IKEvl ) 定義在RFCs2407����、 2408����、 2409為主的文檔中(RFCs英文全稱為Request For Comments,中文譯名為電腦與通訊技術文件),它使用了 ISAKMP (Internet安 全關聯(lián)和密鑰管理協(xié)議)的語言���,規(guī)范和綜合了 Oakley和SKEME的密鑰交換 方案�,形成獨有的認證加密材料生成技術和共享策略協(xié)商技術�。隨著IPSec在網(wǎng) 絡的大量應用,IKEvl逐漸顯露出一些不足�,協(xié)議描述復雜、分散�,交換效率不 高,防御能力不強��。為此�,IETF自2002年2月開始組織IKEv2的起草工作,并 與2004年9月提交建議成為RFC,至今�,已整合在以RFCs4306為主的文檔中��。
因特網(wǎng)的迅速發(fā)展和推廣應用使人們對它提出不斷增長帶寬和復雜服務的 需求�����。未來的網(wǎng)絡不僅需要更大的帶寬���,還要求它能不斷增加新的服務。為適應 這種不斷發(fā)展的網(wǎng)絡技術��,出現(xiàn)了網(wǎng)絡處理器這種新的微處理器���。網(wǎng)絡處理器是 一種專用于網(wǎng)絡系統(tǒng)的微處理器�,它使得網(wǎng)絡系統(tǒng)能夠具備高性能和靈活性��。 IXA (Internet Exchange Architecture )是原Intel公司開發(fā)的用于因特網(wǎng)數(shù)據(jù)交換 設備的網(wǎng)絡處理器產(chǎn)品系列的系統(tǒng)結構��。IXP2850是IXA新一代網(wǎng)絡處理器�,是 IXP2800的增強型網(wǎng)絡處理器,它在IXP2800的基礎上增加了兩個加密功能部件����, 能夠實現(xiàn)各種加解密功能。在IXP2850上實現(xiàn)IPSec的功能����,是一種提高IPSec
5數(shù)據(jù)傳輸效率的有效解決方案���。隨著IKEv2的推廣,在IXP2850上實現(xiàn)IKEv2 是此類解決方案的必經(jīng)之路����。
發(fā)明內(nèi)容
本發(fā)明的目的就是為了解決上述現(xiàn)有技術中存在的問題����,提出一種基于網(wǎng)絡 處理器的第二代密鑰交換系統(tǒng),本發(fā)明利用多線程輪詢機制���,利用專有的加解密 認證內(nèi)核�,大量縮短數(shù)據(jù)讀�����、寫周期以及加解密認證周期��,能夠與高速路由�����、防 火墻等其他模塊高度集成,實現(xiàn)與網(wǎng)絡對等體間的新一代密鑰交換��。
本發(fā)明的另 一 目的在于提供基于網(wǎng)絡處理器的第二代密鑰交換方法���。 本發(fā)明的目的是通過下述技術方案實現(xiàn)本基于網(wǎng)絡處理器的第二代密鑰交 換系統(tǒng)���,包括網(wǎng)絡處理器、至少 一個SRAM存儲單元以及至少 一個DRAM存儲
連����,所述系統(tǒng)總線與上層管理系統(tǒng)相連。
其中���,所述網(wǎng)絡處理器包括通過網(wǎng)絡處理器總線相互連接的微引擎(ME)���、 內(nèi)核(XScale)、至少一個SRAM存儲控制單元����、至少一個DRAM存儲控制單 元、 一個哈希(HASH)單元以及一個MSF (Media Switch Fabric,多媒體交換 結構)模塊�。
優(yōu)選的,所述網(wǎng)絡處理器采用IXP2850�。
所述SRAM存儲單元容量為32MB,所述DRAM存儲單元容量為256MB�����。
所述內(nèi)核加載有系統(tǒng)管理模塊��、事件處理模塊以及核心安全模塊���。 所述微引擎加載有接口模塊、網(wǎng)絡載荷處理模塊����、信息交換管理模塊�����、IKE 載荷處理模塊以及加解密認證模塊���。
所述SRAM存儲單元加載有安全策略數(shù)據(jù)庫(SPD)�。
所述DRAM存儲單元加載有服務數(shù)據(jù)庫以及安全關聯(lián)數(shù)據(jù)庫(SAD�, Security Association Database )。
以下對內(nèi)核�、微引擎、SRAM存儲單元以及DRAM存儲單元的內(nèi)部單元信 號傳輸����、處理的關聯(lián)做進一步闡述
所述系統(tǒng)管理模塊分別與核心安全模塊��、事件處理模塊相連接���,通過網(wǎng)絡處 理器總線分別與接口模塊、網(wǎng)絡載荷處理模塊���、信息交換管理模塊���、IKE載荷處理模塊以及加解密認證模塊相連接,用于實現(xiàn)以上所連接的各個功能模塊的初始
化�;同時,系統(tǒng)管理模塊通過系統(tǒng)總線與安全策略數(shù)據(jù)庫(SPD)����、服務數(shù)據(jù)庫、 安全關聯(lián)數(shù)據(jù)庫(SAD )相連接���,用于實現(xiàn)以上所連接的各個數(shù)據(jù)庫的數(shù)據(jù)管理����、 曰志記錄等;
所述核心安全模塊通過網(wǎng)絡處理器總線與IKE載荷處理模塊相連接���,通過系 統(tǒng)總線分別與服務數(shù)據(jù)庫�����、安全關聯(lián)數(shù)據(jù)庫(SAD)相連接�,用于實現(xiàn)各類隨機 數(shù)的產(chǎn)生����,D-H (Diffie-Hellman)運算以及密鑰衍生;
所述事件處理模塊通過網(wǎng)絡處理器總線分別與IKE載荷處理模塊���、信息交換 管理模塊相連接����,通過系統(tǒng)總線分別與服務數(shù)據(jù)庫���、安全關聯(lián)數(shù)據(jù)庫(SAD )相 連接,用于實現(xiàn)IKE交換狀態(tài)的計時�����、SA的生存管理、時間窗口的觸發(fā)管理以 及INFORMATION載荷的觸發(fā)�;
所述接口模塊與網(wǎng)絡載荷處理模塊相連接,通過網(wǎng)絡處理器總線與高速路由 器相連接�,用于實現(xiàn)數(shù)據(jù)包的監(jiān)聽接收、發(fā)送��;
所述網(wǎng)絡載荷處理模塊還與信息交換管理模塊相連接�,用于實現(xiàn)IKE包網(wǎng)絡 載荷部分的解封裝和IKE載荷進入網(wǎng)絡前的網(wǎng)絡載荷封裝;
所述信息交換管理模塊還與IKE載荷處理模塊相連接���,通過系統(tǒng)總線分別與 安全策略數(shù)據(jù)庫(SPD)�、服務數(shù)據(jù)庫以及安全關聯(lián)數(shù)據(jù)庫(SAD)相連接��,用 于實現(xiàn)各階段IKE交換信息登記更新和上傳����、響應事件處理模塊以及包過濾;
所述IKE載荷處理模塊還與加解密認證模塊相連接���,通過系統(tǒng)總線分別與安 全策略數(shù)據(jù)庫(SPD)����、服務數(shù)據(jù)庫以及安全關聯(lián)數(shù)據(jù)庫(SAD)相連接�,用于 實現(xiàn)各階段IKE載荷的協(xié)議處理、各階段安全參數(shù)管理以及上述所連接的各個 數(shù)據(jù)庫相關數(shù)據(jù)更新;
所述加解密認證模塊通過系統(tǒng)總線分別與服務數(shù)據(jù)庫�、安全關聯(lián)數(shù)據(jù)庫 (SAD)相連接,用于實現(xiàn)各階段IKE交換加解密認證�����、數(shù)字簽名生成����;
所述安全策略數(shù)據(jù)庫(SPD)通過系統(tǒng)總線與安全關聯(lián)數(shù)據(jù)庫(SAD)相連 接,用于實現(xiàn)安全策略的管理�����、規(guī)則過濾�����、封裝安全載荷(ESP, Encapsulation Security Payload)以及鑒別頭(AH, Authentication Header)的安全策略索�? 1;
所述服務數(shù)據(jù)庫存儲有服務提供列表、服務狀態(tài)列表��,用于實現(xiàn)IKE交換管 理�����、各類臨時參數(shù)管理�;
所述安全關聯(lián)數(shù)據(jù)庫(SAD)還通過系統(tǒng)總線與服務數(shù)據(jù)庫相連接,用于實 現(xiàn)安全關聯(lián)的管理��、封裝安全載荷(ESP, Encapsulation Security Payload)以及鑒別頭(AH, Authentication Header)的安全管理索引��。
基于網(wǎng)絡處理器的第二代密鑰交換方法�����,包括如下步驟
a. 建立系統(tǒng)并進行初始化配置���;
b. 接口模塊監(jiān)聽來自UDP端口的UDP數(shù)據(jù)包��,當接收到UDP數(shù)據(jù)包時����,從該數(shù)據(jù)包的存儲描述符中獲取存儲地址指針�,傳遞給網(wǎng)絡載荷處理模塊,并發(fā)送IP包處理信號給網(wǎng)絡載荷處理模塊����;接口模塊監(jiān)聽來自網(wǎng)絡載荷處理模塊的數(shù)據(jù)包發(fā)送請求信號,并將數(shù)據(jù)包傳遞給高速路由器��;
c. 網(wǎng)絡載荷處理模塊接收來自接口模塊的存儲地址指針和IP包處理信號,對UDP數(shù)據(jù)包進行校驗核對�����、剝離網(wǎng)絡封裝�����,然后提取網(wǎng)絡源地址��、目的地址和端口號等數(shù)據(jù)包解封裝信息并傳遞給信息交換管理模塊����,并發(fā)送數(shù)據(jù)包進入信號給信息交換管理模塊;網(wǎng)絡載荷處理模塊接收來自信息交換管理模塊的數(shù)據(jù)包封裝信號和IKE數(shù)據(jù)包����,對IKE數(shù)據(jù)包進行網(wǎng)絡封裝,傳遞給接口才莫塊���,并向接口模塊發(fā)送數(shù)據(jù)包發(fā)送請求信號��;
d. 信息交換管理模塊接收來自網(wǎng)絡載荷處理模塊的數(shù)據(jù)包解封裝信息和數(shù)據(jù)包進入信號���,與服務提供列表、服務狀態(tài)列表進行參數(shù)比對��、分析�����,對已經(jīng)去除UDP載荷的IKE數(shù)據(jù)包按照不同狀態(tài)進行分類處理��,并傳遞IKE載荷處理信號給IKE載荷管理模塊�����;信息交換管理模塊接收來自IKE載荷管理模塊的數(shù)據(jù)包外出信號��,對IKE數(shù)據(jù)包的交換狀態(tài)進行分析��,在服務狀態(tài)列表中更新記錄���,解開IKE交換鎖�,將IKE數(shù)據(jù)包傳遞給網(wǎng)絡載荷處理模塊����,并發(fā)送建立交換(BE )或者交換(E)信號給事件處理模塊,并向系統(tǒng)管理模塊發(fā)送各類日志更新信號�����,向網(wǎng)絡載荷處理模塊發(fā)送數(shù)據(jù)包封裝信號;
e. IKE載荷處理模塊接收來自信息交換管理模塊的IKE載荷處理信號��,根據(jù)不同交換狀態(tài)��,對IKE數(shù)據(jù)包進行分類處理��;IKE載荷處理模塊接收來自事件處理模塊的相應超時以及超時重啟信號�,構建發(fā)起IKE交換數(shù)據(jù)包、構建發(fā)起CHILE一SA_IKE交換以及構建發(fā)起INFORMATION交換數(shù)據(jù)包��,并發(fā)送數(shù)據(jù)包外出信號給信息交換管理模塊��;IKE載荷處理模塊將涉及密鑰生成的參數(shù)或者參數(shù)生成請求信號傳遞給核心安全模塊���,同時發(fā)送密鑰請求信號給核心安全模塊�����,并從安全核心模塊獲取運算結果�����;IKE載荷處理模塊將需要加解密認證的IKE數(shù)據(jù)包及其涉及的參數(shù)傳遞給加解密認證模塊�����,并發(fā)送密文信號給加解密認證模塊����;
f. 加解密認證模塊接收來自IKE載荷處理模塊的發(fā)送密文信號����,根據(jù)發(fā)送密文信號對IKE數(shù)據(jù)包進行加解密以及認i正處理;
g. 系統(tǒng)管理模塊接收來自管理員的操作命令�,對服務提供列表、SAD以及SPD內(nèi)容進行增加���、修改以及刪除管理�����,并向事件處理模塊發(fā)送處理信號����;系統(tǒng)管理模塊接收其他外接系統(tǒng)關聯(lián)模塊(認證協(xié)議(AH)����、封裝安全載荷協(xié)議(ESP)模塊)的信號���,把相應對象信息傳遞給事件處理模塊,并發(fā)送SA建立信號�;系統(tǒng)管理模塊接收來自信息交換管理模塊各類日志更新信號,提取更新數(shù)據(jù)�,形成日志傳遞給管理員;
h. 事件處理模塊接收來自系統(tǒng)管理模塊的處理信號���、相應對象信息以及SA建立信號�����,并進行分類處理����;事件處理模塊接收來自信息交換管理模塊建立交換
(BE)或者交換(E)信號���,解析相應服務狀態(tài)列表的表項����,更新交換計時�,并對超時事件進行處理,將相應超時信息傳遞給IKE載荷處理模塊,并發(fā)送超時重啟信號給IKE載荷處理模塊���;事件處理模塊接收來自IKE載荷處理模塊的SA成功建立信號����,啟動SA計時�����,并對超時事件進行處理�;事件處理模塊監(jiān)控系統(tǒng)IKE交換狀態(tài)����,當出現(xiàn)殘缺IKE交換頻率超過閥值時,啟動預防DDOS模式���;
i. 核心安全模塊接收來自IKE載荷處理才莫塊的參數(shù)或者參數(shù)生成請求信號�,產(chǎn)生安全參數(shù)索引(SPI, Security Parameters Index )���,產(chǎn)生用于D-H運算的隨機數(shù)并進行D-H運算得到的公鑰KX (或者KY),產(chǎn)生Nonce ,并將運算結果傳遞給IKE載荷處理模塊����;核心安全模塊接收來自IKE載荷處理模塊的密鑰請求信號,完成D-H私鑰運算KXY,生成密鑰種子、進行密鑰材料衍生�,并將結果傳遞給IKE載荷處理模塊。
本發(fā)明相對于現(xiàn)有技術具有以下優(yōu)點
(1 )本發(fā)明利用多線程輪詢機制��,利用專有的加解密認證內(nèi)核����,大量縮短數(shù)據(jù)讀、寫周期以及加解密認證周期�����,能夠與高速路由�、防火墻等其他才莫塊高度集成,實現(xiàn)與網(wǎng)絡對等體間的新一代密鑰交換����;
(2 )本發(fā)明以網(wǎng)絡處理器IXP2850為硬件基礎實現(xiàn)IKEv2密鑰交換協(xié)議,充分利用了微引擎(ME)的高效性和內(nèi)核(XScale)的靈活性,利用專有的加密內(nèi)核����,采用分層處理的方式,達到高效高速處理數(shù)據(jù)��,內(nèi)存要求小���,并具有一定的抵抗重放攻擊能力��,為基于IXP2850具有VPN功能的服務器提供了更有效的安全保密機制����。
圖1是本發(fā)明基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)中的內(nèi)核(XScale)結構示意圖2是本發(fā)明基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)中的微引擎(ME)結構示意圖3是本發(fā)明基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)中的微引擎(ME)、內(nèi)核(XScale)之間的內(nèi)部結構示意圖4是本發(fā)明基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)中的微引擎(ME)�、內(nèi)核(XScale )、 SRAM存儲單元以及DRAM存儲單元之間的結構連接圖5是本發(fā)明基于網(wǎng)絡處理器的第二代密鑰交換方法的流程示意圖���。
具體實施例方式
下面結合實施例及附圖�����,對本發(fā)明作進一步地詳細說明,但本發(fā)明的實施方式不限于此��。實施例
本發(fā)明基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)����,包括網(wǎng)絡處理器、至少一個SRAM存儲單元以及至少一個DRAM存儲單元�,所述SRAM存儲單元以及DRAM存儲單元與網(wǎng)絡處理器通過系統(tǒng)總線相連,所述系統(tǒng)總線與上層管理系統(tǒng)相連����。
其中����,所述網(wǎng)絡處理器包括通過網(wǎng)絡處理器總線相互連接的微引擎(ME)�����、內(nèi)核(XScale )�����、至少一個SRAM存儲控制單元���、至少一個DRAM存儲控制單元����、 一個哈希(HASH)單元以及一個MSF ( Media Switch Fabric,多媒體交換結構)模塊���。
優(yōu)選的�,所述網(wǎng)絡處理器采用IXP2850��。
所述SRAM存儲單元容量為32MB,所述DRAM存儲單元容量為256MB�����。所述SRAM存儲單元加載有安全策略數(shù)據(jù)庫(SPD )。
所述DRAM存儲單元加載有服務數(shù)據(jù)庫以及安全關聯(lián)數(shù)據(jù)庫(SAD���, SecurityAssociation Database )�。
如圖1所示����,所述內(nèi)核加載有系統(tǒng)管理模塊、事件處理模塊以及核心安全模塊�����。
如圖2所示�,所述微引擎加載有接口模塊、網(wǎng)絡載荷處理模塊��、信息交換管理模塊��、IKE載荷處理模塊以及加解密認證模塊���。
以下對內(nèi)核、微引擎��、SRAM存儲單元以及DRAM存儲單元的內(nèi)部單元信號傳輸、處理的關聯(lián)做進一步闡述�����,如圖3���、圖4所示
所述系統(tǒng)管理模塊分別與核心安全模塊���、事件處理模塊相連接,通過網(wǎng)絡處理器總線分別與接口模塊�����、網(wǎng)絡載荷處理模塊���、信息交換管理模塊�����、IKE載荷處理模塊以及加解密認證模塊相連接��,用于實現(xiàn)以上所連接的各個功能模塊的初始化���;同時��,系統(tǒng)管理模塊通過系統(tǒng)總線與安全策略數(shù)據(jù)庫(SPD)���、服務數(shù)據(jù)庫、安全關聯(lián)數(shù)據(jù)庫(SAD )相連接�,用于實現(xiàn)以上所連接的各個數(shù)據(jù)庫的數(shù)據(jù)管理、曰志記錄等�;
所述核心安全模塊通過網(wǎng)絡處理器總線與IKE載荷處理模塊相連接,通過系統(tǒng)總線分別與服務數(shù)據(jù)庫�����、安全關聯(lián)數(shù)據(jù)庫(SAD)相連接��,用于實現(xiàn)各類隨機數(shù)的產(chǎn)生����,D-H (Diffie-Hellman)運算以及密鑰衍生;
所述事件處理模塊通過網(wǎng)絡處理器總線分別與IKE載荷處理模塊�����、信息交換管理模塊相連接��,通過系統(tǒng)總線分別與服務數(shù)據(jù)庫��、安全關聯(lián)數(shù)據(jù)庫(SAD )相連接����,用于實現(xiàn)IKE交換狀態(tài)的計時、SA的生存管理�、時間窗口的觸發(fā)管理以及INFORMATION載荷的觸發(fā);
所述接口模塊與網(wǎng)絡載荷處理模塊相連接��,通過網(wǎng)絡處理器總線與高速路由器相連接�,用于實現(xiàn)數(shù)據(jù)包的監(jiān)聽接收、發(fā)送���;
所述網(wǎng)絡載荷處理模塊還與信息交換管理模塊相連接����,用于實現(xiàn)IKE包網(wǎng)絡載荷部分的解封裝和IKE載荷進入網(wǎng)絡前的網(wǎng)絡載荷封裝���;
所述信息交換管理模塊還與IKE載荷處理模塊相連接���,通過系統(tǒng)總線分別與安全策略數(shù)據(jù)庫(SPD)、服務數(shù)據(jù)庫以及安全關聯(lián)數(shù)據(jù)庫(SAD)相連接����,用于實現(xiàn)各階段IKE交換信息登記更新和上傳���、響應事件處理模塊以及包過濾;
所述IKE載荷處理模塊還與加解密認證模塊相連接�����,通過系統(tǒng)總線分別與安全策略數(shù)據(jù)庫(SPD)��、服務數(shù)據(jù)庫以及安全關聯(lián)數(shù)據(jù)庫(SAD)相連接�,用于實現(xiàn)各階段IKE載荷的協(xié)議處理、各階段安全參數(shù)管理以及上述所連接的各個數(shù)據(jù)庫相關數(shù)據(jù)更新���;
所述加解密認證模塊通過系統(tǒng)總線分別與服務數(shù)據(jù)庫�、安全關聯(lián)數(shù)據(jù)庫(SAD)相連接���,用于實現(xiàn)各階段IKE交換加解密認證��、數(shù)字簽名生成�����;
所述安全策略數(shù)據(jù)庫(SPD)通過系統(tǒng)總線與安全關聯(lián)數(shù)據(jù)庫(SAD)相連接����,用于實現(xiàn)安全策略的管理�、規(guī)則過濾、封裝安全載荷(ESP, EncapsulationSecurity Payload)以及鑒別頭(AH��, Authentication Header)的安全策略索引���;
所述服務數(shù)據(jù)庫存儲有服務提供列表�����、服務狀態(tài)列表���,用于實現(xiàn)IKE交換管理、各類臨時參數(shù)管理����;
所述安全關聯(lián)數(shù)據(jù)庫(SAD)還通過系統(tǒng)總線與服務數(shù)據(jù)庫相連接,用于實 現(xiàn)安全關聯(lián)的管理�、封裝安全載荷(ESP, Encapsulation Security Payload)以及 鑒別頭(AH, Authentication Header)的安全管理索引�。
上述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)的密鑰交換方法,如圖5所示���, 包括如下步驟
a. 建立系統(tǒng)并進行初始化配置���;
b. 接口模塊監(jiān)聽來自端口 500或者4500的UDP數(shù)據(jù)包��,當接收到UDP 數(shù)據(jù)包時���,從該數(shù)據(jù)包的存儲描述符中獲取存儲地址指針,傳遞給網(wǎng)絡載荷處理 模塊�,并發(fā)送IP包處理信號給網(wǎng)絡載荷處理模塊;接口模塊監(jiān)聽來自網(wǎng)絡載荷 處理模塊的數(shù)據(jù)包發(fā)送請求信號���,并將數(shù)據(jù)包傳遞給高速路由器�;
c. 網(wǎng)絡載荷處理才莫塊接收來自接口模塊的存儲地址指針和IP包處理信號�����, 對UDP數(shù)據(jù)包進行校驗核對��、剝離網(wǎng)絡封裝����,然后提取網(wǎng)絡源地址、目的地址 和端口號等數(shù)據(jù)包解封裝信息并傳遞給信息交換管理模塊�,并發(fā)送數(shù)據(jù)包進入信 號給信息交換管理模塊�;網(wǎng)絡載荷處理模塊接收來自信息交換管理模塊的數(shù)據(jù)包 封裝信號和IKE數(shù)據(jù)包���,對IKE數(shù)據(jù)包進行網(wǎng)絡封裝����,傳遞給接口模塊�,并向 接口模塊發(fā)送數(shù)據(jù)包發(fā)送請求信號��;
d. 信息交換管理模塊接收來自網(wǎng)絡載荷處理模塊的數(shù)據(jù)包解封裝信息和數(shù) 據(jù)包進入信號����,與服務提供列表�、服務狀態(tài)列表進行參數(shù)比對����、分析��,對已經(jīng)去 除UDP載荷的IKE數(shù)據(jù)包按照不同狀態(tài)進行分類處理,并傳遞IKE載荷處理信 號給IKE載荷管理模塊���;信息交換管理模塊接收來自IKE載荷管理模塊的數(shù)據(jù) 包外出信號�����,對IKE數(shù)據(jù)包的交換狀態(tài)進行分析����,在服務狀態(tài)列表中更新記錄, 解開IKE交換鎖����,將IKE數(shù)據(jù)包傳遞給網(wǎng)絡載荷處理模塊,并發(fā)送建立交換(BE ) 或者交換(E )信號給事件處理模塊�����,并向系統(tǒng)管理模塊發(fā)送各類日志更新信號���, 向網(wǎng)絡載荷處理模塊發(fā)送數(shù)據(jù)包封裝信號���;
e. IKE載荷處理模塊接收來自信息交換管理模塊的IKE載荷處理信號,根據(jù) 不同交換狀態(tài)����,對IKE數(shù)據(jù)包進行分類處理;IKE載荷處理模塊接收來自事件處 理模塊的相應超時以及超時重啟信號�,構建發(fā)起IKE交換數(shù)據(jù)包、構建發(fā)起 CHILE_SA_IKE交換以及構建發(fā)起INFORMATION交換數(shù)據(jù)包�,并發(fā)送數(shù)據(jù)包 外出信號給信息交換管理模塊����;IKE載荷處理模塊將涉及密鑰生成的參數(shù)或者參 數(shù)生成請求信號傳遞給核心安全模塊�����,同時發(fā)送密鑰請求信號給核心安全模塊�,并從安全核心模塊獲取運算結果;IKE載荷處理模塊將需要加解密認證的IKE數(shù)
據(jù)包及其涉及的參數(shù)傳遞給加解密認證模塊�����,并發(fā)送密文信號給加解密認證模 塊�;
f. 加解密認證模塊接收來自IKE載荷處理模塊的發(fā)送密文信號�,根據(jù)發(fā)送 密文信號對IKE數(shù)據(jù)包進行加解密以及認證處理;
g. 系統(tǒng)管理模塊接收來自管理員的操作命令��,對服務提供列表�����、SAD以及 SPD內(nèi)容進行增加�����、修改以及刪除管理,并向事件處理模塊發(fā)送處理信號���;系統(tǒng) 管理模塊接收其他外接系統(tǒng)關聯(lián)模塊(認證協(xié)議(AH)��、封裝安全載荷協(xié)議(ESP) 模塊)的信號���,把相應對象信息傳遞給事件處理模塊,并發(fā)送SA建立信號�����;系 統(tǒng)管理模塊接收來自信息交換管理模塊各類日志更新信號��,提取更新數(shù)據(jù)�����,形成 日志傳遞給管理員�����;
h. 事件處理模塊接收來自系統(tǒng)管理模塊的處理信號����、相應對象信息以及SA 建立信號����,并進行分類處理�;事件處理模塊接收來自信息交換管理模塊建立交換
(BE)或者交換(E)信號,解析相應服務狀態(tài)列表的表項����,更新交換計時,并 對超時事件進行處理�,將相應超時信息傳遞給IKE載荷處理模塊,并發(fā)送超時 重啟信號給IKE載荷處理模塊��;事件處理模塊接收來自IKE載荷處理模塊的SA 成功建立信號���,啟動SA計時,并對超時事件進行處理�;事件處理^^莫塊監(jiān)控系統(tǒng) IKE交換狀態(tài),當出現(xiàn)殘缺IKE交換頻率超過閥值時��,啟動預防DDOS模式�����;
i. 核心安全模塊接收來自IKE載荷處理模塊的參數(shù)或者參數(shù)生成請求信號�, 產(chǎn)生安全參數(shù)索引(SPI, Security Parameters Index),產(chǎn)生用于D-H運算的隨機 數(shù)并進行D-H運算得到的公鑰KX (或者KY)���,產(chǎn)生Nonce ,并將運算結果傳 遞給IKE載荷處理模塊;核心安全模塊接收來自IKE載荷處理模塊的密鑰請求 信號�,完成D-H私鑰運算KXY,生成密鑰種子�、進行密鑰材料衍生,并將結果 傳遞給IKE載荷處理模塊��。
為了更好實現(xiàn)上述方法�����,以下對上述方法的具體步驟做進一步闡述 1�、步驟a所述的初始化配置,具體包括如下操作
a.l將系統(tǒng)管理模塊�、事件處理模塊、核心安全模塊程序配置于XScale中����; a.2將接口模塊、網(wǎng)絡載荷處理模塊�����、信息交換管理模塊、IKE載荷處理模
塊����、加解密認證模塊配置于ME中;
a.3初始化SRAM存儲單元以及DRAM存儲單元��,分配存儲空間���,于SRAM
存儲單元開辟存儲空間存儲基于SPI HASH運算的安全策略數(shù)據(jù)庫(SPD),于DRAM存儲單元開辟存儲空間存儲服務數(shù)據(jù)庫�����、安全關聯(lián)數(shù)據(jù)庫(SAD);
步驟a.3中所述服務數(shù)據(jù)庫主要存儲服務提供列表����、服務狀態(tài)列表���,其中�����, 服務提供列表基于源地址的HASH運算存儲,由系統(tǒng)管理模塊管理�����,存儲合法 的IKE用戶地址,保留證書存儲空間�����;服務狀態(tài)列表基于源地址的HASH運算 存儲���,包括INIT IKE各階段的參數(shù)�,保留存儲雙方cookie的空間�;
2、步驟d所述信息交換管理模塊接接收來自網(wǎng)絡載荷處理模塊的數(shù)據(jù)包進 入信號��、信息�,與服務提供列表、服務狀態(tài)列表進行參數(shù)比對�����、分析�����,對已經(jīng)去 除UDP載荷的IKE數(shù)據(jù)包數(shù)據(jù)包按照不同狀態(tài)進行分類處理��,具體包括以下操 作
d.l當正常才莫式下,對于進入的IKE數(shù)據(jù)包�����,獲取SPI��、源地址�����、目的地址�����、 FLAG�、 MESSAGE ID、 TYPE參數(shù)
d丄1如果該數(shù)據(jù)包為INIT_SA—IKE發(fā)起包����,于服務提供列表內(nèi)基于源地址 進行HASH運算尋址,如果命中則通過請求���,檢查是否支持并發(fā)IKE��,建立相應 的服務狀態(tài)列表,存儲臨時參數(shù),開啟IKE交換鎖���,向事件處理才莫塊傳遞建立 交換(BE)信號���、信息,向系統(tǒng)管理模塊傳遞建立交換日志更新信號�、信息, 否則丟棄該數(shù)據(jù)包���,向系統(tǒng)管理模塊傳遞非法交換日志更新信號�����、信息�����;
d丄2如果該數(shù)據(jù)包為非INIT—SA—IKE發(fā)起包����,于服務狀態(tài)列表內(nèi)基于源地 址進行HASH運算尋址���,如果命中則檢查IKE交換鎖���,否則丟棄該數(shù)據(jù)包�����,向 系統(tǒng)管理模塊傳遞非法交換日志更新信號��、信息��;如果IKE并未鎖定���,則比對 參數(shù),否則丟棄該數(shù)據(jù)包��,向系統(tǒng)管理模塊傳遞非法交換日志更新信號�、信息; 比對匹配則將該數(shù)據(jù)包以及已獲得參數(shù)�����、相應服務狀態(tài)列表地址傳遞給IKE載 荷處理模塊��,于服務狀態(tài)列表鎖定IKE交換鎖��,將數(shù)據(jù)包傳遞給IKE載荷處理 模塊���,向該模塊發(fā)送IKE載荷處理信號�,向事件處理模塊傳遞交換(E)信號��、 信息���,向系統(tǒng)管理;漠塊傳遞交換日志更新信號�����、信息�,否則丟棄該凝:據(jù)包�����,向系 統(tǒng)管理模塊傳遞非法交換日志更新信號�����、信息�;
d.2 DDOS防御才莫式下,模塊增加cookie參數(shù)檢驗�����,如果匹配則將該包以及 相應服務狀態(tài)列表地址傳遞給IKE載荷處理模塊,發(fā)送信號喚醒IKE載荷處理 模塊線程��,否則丟棄該包�����;
同時���,步驟d所述IKE交換鎖存儲于每個服務狀態(tài)列表相應表項���,當服務提 供列表中支持并發(fā)IKE交換時,同一個對等服務器支持多個IKE交換鎖�����,能夠 區(qū)分并發(fā)IKE�����,并抵擋重復發(fā)包�;
143、步驟e所述IKE載荷處理模塊接收來自信息交換管理模塊的IKE載荷處 理信號���、信息���,根據(jù)不同交換狀態(tài)�,對目標l丈據(jù)包進行分類處理�����,具體包4舌如下 操作
e.l如果該數(shù)據(jù)包是IKE包��,解析載荷頭參數(shù)���,讀取相應服務狀態(tài)列表表項, 獲取現(xiàn)交換階段D-H參^t�����、 Nonce���、載荷頭部參數(shù)
e丄l如果該數(shù)據(jù)包為INIT一SA—IKE發(fā)起包�����,選取有效載荷����,如果該提議載 荷內(nèi)沒有本服務器支持的提議類型,則構造提議無效信息或者提出有效提議并傳 遞給信息交換管理模塊�����,發(fā)送數(shù)據(jù)包外出信號���,丟棄原IKE數(shù)據(jù)包��;否則��,將 INIT—SA—IKE D-H參數(shù)����、Nonce傳遞給核心安全模塊并等待運算結果傳回�����,構造 INIT—SA—IKE響應包�����,將所有有效參數(shù)和INIT—SA存儲于服務狀態(tài)列表相應表 項���,將INIT—SA—IKE響應包傳遞給信息交換管理模塊�,發(fā)送數(shù)據(jù)包外出信號;
e.l.2如果該數(shù)據(jù)包為INIT—SA—IKE響應包�����,讀耳又有效載荷��,如果為提議無 效信息則重新選取提議載荷并重新發(fā)起INIT—SA—IKE請求�;如果為響應方提議 載荷則選取有效載荷;否則����,將INIT—SA—IKE D-H參數(shù)���、Nonce傳遞給核心安 全模塊并等待運算結果傳回����,構造IKE—AUTH發(fā)起包���,由核心安全模塊產(chǎn)生 IKE—AUTH D-H參數(shù)�����、Nonce,將需要加密認證數(shù)據(jù)傳遞以及INIT—SA—IKE密 鑰參數(shù)傳遞加解密認證模塊并等待運算結果傳回����,將所有有效參數(shù)和INIT—SA 存儲于服務狀態(tài)列表相應表項,將IKE—AUTH發(fā)起包傳遞給信息交換管理模塊����, 發(fā)送數(shù)據(jù)包外出信號;
e.1.3如果該數(shù)據(jù)包為IKE—AUTH發(fā)起包��,讀取相應服務狀態(tài)列表參數(shù)�����,將 數(shù)據(jù)包加密部分以及IMT_SA—IKE密鑰參數(shù)傳遞給加解密認證模塊并等待運算 結果傳回�����,如果認證出錯則丟棄該數(shù)據(jù)包并向系統(tǒng)管理模塊傳遞出錯日志更新信 息�����、信號�;否則,將IKE—AUTH D-H參數(shù)���、Nonce傳遞給核心安全模塊并等待 運算結果傳回���,獲取的SA為IKE—SA存儲于SAD,構造IKE—AUTH響應包����,將 需要加密認證數(shù)據(jù)傳遞以及INIT—SA—IKE密鑰參數(shù)傳遞加解密認證模塊并等待 運算結果傳回�,將所有有效參數(shù)和IKE—SA存儲于服務狀態(tài)列表相應表項以備重 傳需求,將IKE一AUTH響應包傳遞給信息交換管理模塊�,發(fā)送數(shù)據(jù)包外出信號;
e.1.4如果該數(shù)據(jù)包為IKE—AUTH響應包�����,讀取相應服務狀態(tài)列表參數(shù)���,將 數(shù)據(jù)包加密部分以及INIT_SA_IKE密鑰參數(shù)傳遞給加解密認證模塊并等待運算 結果傳回,如果認證出錯則丟棄該數(shù)據(jù)包并向系統(tǒng)管理模塊傳遞出錯日志更新信 息����、信號;否則����,將IKE_AUTH D-H參數(shù)、Nonce傳遞給核心安全模塊并等待 運算結果傳回,獲取的SA為IKE_SA存儲于SAD�,將所有有效參數(shù)和IKE—SA存儲于服務狀態(tài)列表相應表項以備重傳需求,發(fā)送數(shù)據(jù)包外出信號�����;
e.1.5如果該數(shù)據(jù)包為CfflLD_SA—IKE發(fā)起包�,讀取相應服務狀態(tài)列表參 數(shù),將數(shù)據(jù)包加密部分以及INIT—SA—IKE密鑰參數(shù)傳遞給加解密認證模塊并等 待運算結果傳回�,如果認證出錯則丟棄該數(shù)據(jù)包并向系統(tǒng)管理模塊傳遞出錯曰志 更新信息、信號��;否則���,將CfflLD_SA D-H參數(shù)�、Nonce傳遞給核心安全模塊 并等待運算結果傳回�,獲取的CHILD—SA為更新的IKE一SA取代原來的SAD相 應表項,構造CfflLD_SA—IKE響應包���,將需要加密認證數(shù)據(jù)傳遞以及 INIT_SA_IKE密鑰參數(shù)傳遞加解密認證模塊并等待運算結果傳回����,將所有有效 參數(shù)和新的IKE_SA存儲于服務狀態(tài)列表相應表項以備重傳需求�,將 CHILD—SAJKE響應包傳遞給信息交換管理模塊��,向事件處理模塊傳遞SA信息��, 發(fā)送SA成功建立信號�����;
e.1.6如果該數(shù)據(jù)包為CHILD—SA—IKE響應包��,讀取相應服務狀態(tài)列表參 數(shù)���,將數(shù)據(jù)包加密部分以及INIT_SA_IKE密鑰參數(shù)傳遞給加解密認證模塊并等 待運算結果傳回,如果認證出錯則丟棄該數(shù)據(jù)包并向系統(tǒng)管理模塊傳遞出錯信 息����、信號;否則����,將CHILD—SA D-H參數(shù)、Nonce傳遞給核心安全模塊并等待 運算結果傳回���,獲取的CHILD_SA為更新的IKE—SA取代原來的SAD相應表項, 將所有有效參數(shù)和新的IKE—SA存儲于服務狀態(tài)列表相應表項以備重傳需求���,發(fā) 送數(shù)據(jù)包外出信號����;
e.2如果該數(shù)據(jù)包是INFORMATION包,解析數(shù)據(jù)報頭�����,讀取相應服務狀態(tài) 列表或者SAD參數(shù)����,將數(shù)據(jù)包加密部分以及所需密鑰參數(shù)傳遞給力。解密認證模 塊并等待運算結果傳回��,解析信息內(nèi)容并執(zhí)行響應�,刪除、創(chuàng)建SA或者修改配 置�,將操作信息、信號傳遞給事件處理模塊�����,構造響應包�,將響應包傳遞給信息 交換管理模塊;
同時���,步驟5.1�����、 5.2當處于DDOS攻擊防御狀態(tài)下��,將增加cookie載荷�����, 并在驗證中要求交換對等服務器提供cookie載荷���,以抵抗重放攻擊���;
3、步驟h所述事件處理模塊接收來自系統(tǒng)管理模塊各類信息����、信號,進行 分類處理���,具體包括如下梯:作
h.l如果接收的信號為服務提供列表刪除信號�����,解析信息����,刪除相應的IKE 計時或者SA計時�,刪除相應的服務狀態(tài)列表表項,刪除相應的SPD表項����,刪除 相應的SAD表項;
11.2如果接收到的信號為SAD刪除信號��,解析信息��,刪除相應的SA計時��;h.3如果接收到的信號為SAD增加信號�,解析信息,增加相應SA計時�����; 同時�����,步驟h所述事件處理模塊接收來自信息交換管理模塊信號、信息���,解 析相應服務狀態(tài)列表的表項��,更新交換計時����,并對超時事件進行處理為每個計 時器以SPI為標記���,當相應交換超時�,向IKE載荷處理模塊發(fā)送超時重傳信息����、 信號,相應交換計時器置零�����,重傳計數(shù)器加一��,所述每個計數(shù)器在下次更新相應 交換計時信號到達時置零�,否則將隨著重傳次數(shù)線性增加,當達到閥值時判定交 換失敗,刪除相應計時器�、計數(shù)器,刪除相應服務狀態(tài)列表表項�����,IKE交換殘缺 i十凄t器力口一�����;
步驟h所述事件處理模塊接收來自IKE載荷處理模塊的信號���、信息,啟動 SA計時����,并對超時事件進行處理為每個計時器以SPI為標記,當相應INIT—SA 超時���,向IKE載荷處理才莫塊傳遞INIT—SA—IKE發(fā)起信號�����、信息�,;當相應IKE—SA 超時�,向IKE載荷處理模塊傳遞CHILD—SA—IKE發(fā)起信號、信息����,刪除相應計 時器,刪除相應SAD表項����。
本發(fā)明的原理是在Intel新一代網(wǎng)絡處理器IXP2850實現(xiàn),可嵌套于基于 網(wǎng)絡處理器IXP2850的虛擬專用網(wǎng)系統(tǒng)�,運用IXP2850專有加解密內(nèi)核,運用 Hash算法對安全參數(shù)索引進行匹配查找�,實現(xiàn)第二代密鑰交換,通過微引擎 (ME)與內(nèi)核(XScale)雙向通信技術進行數(shù)據(jù)庫更新���、日志的維護�。
上述實施例為本發(fā)明較佳的實施方式����,但本發(fā)明的實施方式并不受上述實施 例的限制,其他的任何未背離本發(fā)明的精神實質與原理下所作的改變�、修飾、替 代����、組合�����、簡化����,均應為等效的置換方式���,都包含在本發(fā)明的保護范圍之內(nèi)。
權利要求
1. 基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)����,包括網(wǎng)絡處理器、至少一個SRAM存儲單元以及至少一個DRAM存儲單元����,其特征在于所述網(wǎng)絡處理器包括通過網(wǎng)絡處理器總線相互連接的微引擎、內(nèi)核��、至少一個SRAM存儲控制單元��、至少一個DRAM存儲控制單元��、一個哈希單元以及一個MSF模塊。
2. 根據(jù)權利要求1所述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)�,其特征在 于所述網(wǎng)絡處理器采用IXP2850。
3. 根據(jù)權利要求1所述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)其特征在 于所述SRAM存儲單元容量為32MB��。
4. 根據(jù)權利要求1所述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)其特征在 于所述DRAM存儲單元容量為256MB�。
5. 根據(jù)權利要求1所述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)其特征在 于所述內(nèi)核加載有系統(tǒng)管理模塊、事件處理模塊以及核心安全模塊���,系統(tǒng)管 理模塊分別與事件處理;f莫塊���、核心安全模塊相連接。
6. 根據(jù)權利要求1所述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)其特征在 于所述微引擎加載有接口模塊����、網(wǎng)絡載荷處理模塊、信息交換管理模塊�����、IKE 載荷處理模塊以及加解密認證模塊�,接口模塊依次與網(wǎng)絡載荷處理模塊、信息 交換管理模塊����、IKE載荷處理模塊以及加解密認證模塊相連接�����。
7. 根據(jù)權利要求1所述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)其特征在 于所述SRAM存儲單元加載有安全策略數(shù)據(jù)庫��。
8. 根據(jù)權利要求1所述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)其特征在 于所述DRAM存儲單元加載有服務數(shù)據(jù)庫以及安全關聯(lián)數(shù)據(jù)庫�。
9. 根據(jù)權利要求8所述基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)其特征在 于所述服務數(shù)據(jù)庫存儲有服務提供列表和服務狀態(tài)列表��。
10. —種基于網(wǎng)絡處理器的第二代密鑰交換方法�,其特征在于a. 建立系統(tǒng)并進行初始化配置;b. 接口模塊監(jiān)聽來自UDP端口的UDP數(shù)據(jù)包�,當接收到UDP數(shù)據(jù)包時, 從該數(shù)據(jù)包的存儲描述符中獲取存儲地址指針�,傳遞給網(wǎng)絡載荷處理^t塊���,并 發(fā)送IP包處理信號給網(wǎng)絡載荷處理模塊����;接口模塊監(jiān)聽來自網(wǎng)絡載荷處理模塊 的數(shù)據(jù)包發(fā)送請求信號���,并將數(shù)據(jù)包傳遞給高速路由器�����;C.網(wǎng)絡載荷處理模塊接收來自接口模塊的存儲地址指針和IP包處理信號����,對UDP數(shù)據(jù)包進行校驗核對、剝離網(wǎng)絡封裝�����,然后提取數(shù)據(jù)包解封裝信息并 傳遞給信息交換管理模塊���,并發(fā)送數(shù)據(jù)包進入信號給信息交換管理模塊����;網(wǎng)絡 載荷處理模塊接收來自信息交換管理模塊的數(shù)據(jù)包封裝信號和IKE數(shù)據(jù)包����,對 IKE數(shù)據(jù)包進行網(wǎng)絡封裝,傳遞給接口模塊����,并向接口模塊發(fā)送數(shù)據(jù)包發(fā)送請 求信號;d. 信息交換管理模塊接收來自網(wǎng)絡載荷處理模塊的數(shù)據(jù)包解封裝信息和 數(shù)據(jù)包進入信號�,與服務提供列表、服務狀態(tài)列表進行參數(shù)比對�����、分析,對已 經(jīng)去除UDP載荷的IKE數(shù)據(jù)包按照不同狀態(tài)進行分類處理����,并傳遞IKE載荷 處理信號給IKE載荷管理模塊;信息交換管理模塊接收來自IKE載荷管理才莫塊 的數(shù)據(jù)包外出信號��,對IKE數(shù)據(jù)包的交換狀態(tài)進行分析��,在服務狀態(tài)列表中更 新記錄��,解開IKE交換鎖�����,將IKE數(shù)據(jù)包傳遞給網(wǎng)絡載荷處理模塊�����,并發(fā)送建 立交換或者交換信號給事件處理模塊����,并向系統(tǒng)管理模塊發(fā)送各類日志更新信 號��,向網(wǎng)絡載荷處理模塊發(fā)送數(shù)據(jù)包封裝信號;e. IKE載荷處理模塊接收來自信息交換管理模塊的IKE載荷處理信號��,根 據(jù)不同交換狀態(tài)����,對IKE數(shù)據(jù)包進行分類處理;IKE載荷處理模塊接收來自事 件處理模塊的相應超時以及超時重啟信號�����,構建發(fā)起IKE交換數(shù)據(jù)包�����、構建發(fā) 起CHILE—SA—IKE交換以及構建發(fā)起INFORMATION交換數(shù)據(jù)包�����,并發(fā)送數(shù) 據(jù)包外出信號給信息交換管理模塊�����;IKE載荷處理模塊將涉及密鑰生成的參數(shù) 或者參數(shù)生成請求信號傳遞給核心安全模塊���,同時發(fā)送密鑰請求信號給核心安 全模塊�,并從安全核心模塊獲取運算結果;IKE載荷處理模塊將需要加解密認 證的IKE數(shù)據(jù)包及其涉及的參數(shù)傳遞給加解密認證模塊���,并發(fā)送密文信號給加 解密認證模塊���;f. 加解密認證模塊接收來自IKE載荷處理模塊的發(fā)送密文信號,根據(jù)發(fā)送 密文信號對IKE數(shù)據(jù)包進行加解密以及認證處理����;g. 系統(tǒng)管理模塊接收來自管理員的操作命令,對服務提供列表�、SAD以及 SPD內(nèi)容進行增加、修改以及刪除管理�����,并向事件處理模塊發(fā)送處理信號�;系 統(tǒng)管理模塊接收其他外接系統(tǒng)關聯(lián)模塊的信號,把相應對象信息傳遞給事件處 理模塊��,并發(fā)送SA建立信號�;系統(tǒng)管理模塊接收來自信息交換管理模塊各類 曰志更新信號�����,提取更新數(shù)據(jù),形成日志傳遞給管理員�����;h. 事件處理模塊接收來自系統(tǒng)管理模塊的處理信號��、相應對象信息以及 SA建立信號����,并進行分類處理;事件處理模塊接收來自信息交換管理;f莫塊建立交換或者交換信號���,解析相應服務狀態(tài)列表的表項�����,更新交換計時�����,并對超時事件進行處理���,將相應超時信息傳遞給IKE載荷處理模塊,并發(fā)送超時重啟 信號給IKE載荷處理模塊;事件處理模塊接收來自IKE載荷處理模塊的SA成 功建立信號����,啟動SA計時,并對超時事件進行處理��;事件處理模塊監(jiān)控系統(tǒng) IKE交換狀態(tài)����,當出現(xiàn)殘缺IKE交換頻率超過閥值時,啟動預防DDOS模式�����; i.核心安全模塊接收來自IKE載荷處理模塊的參數(shù)或者參數(shù)生成請求信 號�����,產(chǎn)生安全參數(shù)索引�����,產(chǎn)生用于D-H運算的隨機數(shù)并進行D-H運算得到的 公鑰KX或者KY��,產(chǎn)生Nonce ,并將運算結果傳遞給IKE載荷處理模塊�����;核 心安全模塊接收來自IKE載荷處理模塊的密鑰請求信號����,完成D-H私鑰運算 KXY,生成密鑰種子���、進行密鑰材料衍生�����,并將結果傳遞給IKE載荷處理模塊����。
全文摘要
本發(fā)明為基于網(wǎng)絡處理器的第二代密鑰交換系統(tǒng)及方法����,系統(tǒng)包括網(wǎng)絡處理器、至少一個SRAM存儲單元以及至少一個DRAM存儲單元���,其特征在于所述網(wǎng)絡處理器包括通過網(wǎng)絡處理器總線相互連接的微引擎��、內(nèi)核���、至少一個SRAM存儲控制單元���、至少一個DRAM存儲控制單元、一個哈希單元以及一個MSF模塊�����。本發(fā)明利用多線程輪詢機制��,利用專有的加解密認證內(nèi)核�����,大量縮短數(shù)據(jù)讀��、寫周期以及加解密認證周期���,能夠與高速路由�����、防火墻等其他模塊高度集成���,實現(xiàn)與網(wǎng)絡對等體間的新一代密鑰交換����。
文檔編號H04L9/08GK101478390SQ20091003667
公開日2009年7月8日 申請日期2009年1月15日 優(yōu)先權日2009年1月15日
發(fā)明者劉婷婷, 侃 謝, 謝勝利, 粵 賴 申請人:華南理工大學