IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明提供了一種IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)����,包括:內(nèi)網(wǎng)GMAC模塊、數(shù)據(jù)進(jìn)入緩存模塊����、IPSec協(xié)議封裝處理模塊、SA匹配模塊����、加密模塊、認(rèn)證模塊�、報(bào)文分片模塊、數(shù)據(jù)外出緩存模塊���、外網(wǎng)GMAC模塊�。本發(fā)明通過(guò)一種硬件來(lái)實(shí)現(xiàn)對(duì)在IPv6環(huán)境下的網(wǎng)絡(luò)層IP數(shù)據(jù)報(bào)進(jìn)行IPSec協(xié)議外出處理,提供了IP數(shù)據(jù)報(bào)源點(diǎn)鑒別��、數(shù)據(jù)完整性和保密性�����,有效的提高了基于軟件的IPSec協(xié)議外出處理速率�����,將CPU在處理過(guò)程中完全釋放出來(lái)�。
【專(zhuān)利說(shuō)明】IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全數(shù)據(jù)處理【技術(shù)領(lǐng)域】,特別涉及一種IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)��。
【背景技術(shù)】
[0002]隨著因特網(wǎng)的飛速發(fā)展�,人們對(duì)它的依賴(lài)程度也越來(lái)越高,網(wǎng)絡(luò)信息可以便宜和快速地傳遞��。從而在如此一個(gè)信息化的時(shí)代�����,網(wǎng)絡(luò)信息的安全問(wèn)題成為人們關(guān)注的焦點(diǎn)����,這不僅僅涉及到人們的個(gè)人隱私和財(cái)物信息�����,也關(guān)系到各類(lèi)公司的機(jī)密信息�,最為重要的是關(guān)系到一個(gè)國(guó)家的主權(quán)�����、安全和發(fā)展���。“信息戰(zhàn)”已經(jīng)成為現(xiàn)代戰(zhàn)爭(zhēng)中一種重要的手段�����,因此���,網(wǎng)絡(luò)信息安全已經(jīng)成為各國(guó)����、各部門(mén)以及各行業(yè)必須得到保證的領(lǐng)域�。目前互聯(lián)網(wǎng)建立在IP協(xié)議(Internet protocol)基礎(chǔ)上,而IP包本身不繼承任何安全措施,外界很容易偽造出IP包的地址���、修改其內(nèi)容,重播以及攔截并查看IP包的內(nèi)容�。為了保證IP數(shù)據(jù)報(bào)的安全,因特網(wǎng)工程部(IETF)設(shè)計(jì)了一組協(xié)議^——IPSec (IP Security)����。IPSec提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制�����,為上層協(xié)議提供安全保證�����。它定義了一套默認(rèn)的����、強(qiáng)制實(shí)施的算法,以確保不同的實(shí)施方案相互可以共通�����,提供了 IP數(shù)據(jù)報(bào)源點(diǎn)鑒別���、數(shù)據(jù)完整性和保密性等特點(diǎn)��。IPSec協(xié)議涉及大量數(shù)據(jù)的安全計(jì)算�����,隨著計(jì)算機(jī)網(wǎng)絡(luò)帶寬的不斷提高��,采用軟件實(shí)現(xiàn)IPSec協(xié)議處理占用大量的CPU資源�����,使得網(wǎng)絡(luò)設(shè)備負(fù)載明顯提高和吞吐量的顯著下降�����,導(dǎo)致服務(wù)器����、網(wǎng)關(guān)���、路由器和交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)備的處理性能大大下降��。而且在更大地址空間的新版本的IPv6環(huán)境下數(shù)據(jù)量的處理更為巨大���。因此�����,針對(duì)目前基于軟件的IPSec協(xié)議外出處理���,有必要提出一種IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng),以有效提高數(shù)據(jù)的處理效率�,更大空間釋放CPU資源。
【發(fā)明內(nèi)容】
[0003]針對(duì)上述技術(shù)問(wèn)題����,本發(fā)明提供一種IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng),以有效提高數(shù)據(jù)的處理效率�,更大空間釋放CPU資源。
[0004]為了解決上述技術(shù)問(wèn)題���,本發(fā)明提供了一種IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)�,內(nèi)網(wǎng)GMAC模塊�、數(shù)據(jù)進(jìn)入緩存模塊、IPSec協(xié)議封裝處理模塊����、SA匹配模塊�����、加密模塊�、認(rèn)證模塊���、報(bào)文分片模塊����、數(shù)據(jù)外出緩存模塊���、外網(wǎng)GMAC模塊���。
[0005]本發(fā)明通過(guò)一種硬件來(lái)實(shí)現(xiàn)對(duì)在IPv6環(huán)境下的網(wǎng)絡(luò)層IP數(shù)據(jù)報(bào)進(jìn)行IPSec協(xié)議外出處理����,提供了 IP數(shù)據(jù)報(bào)源點(diǎn)鑒別、數(shù)據(jù)完整性和保密性��,有效的提高了基于軟件的IPSec協(xié)議外出處理速率����,將CPU在處理過(guò)程中完全釋放出來(lái)����。
[0006]本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出�,這些將從下面的描述中變得明顯,或通過(guò)本發(fā)明的實(shí)踐了解到�。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0007]圖1為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖; 圖2為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)不意圖���;
圖3為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中數(shù)據(jù)進(jìn)入緩存模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖�����;
圖4為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖�����;
圖5為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中IPSec協(xié)議封裝處理模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖�����;
圖6為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖�����;
圖7為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中SA匹配模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖��;
圖8為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖��;
圖9為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中加密模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖���;
圖10為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖���;
圖11為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中認(rèn)證模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖;
圖12為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖���;
圖13為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中報(bào)文分片模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖����;
圖14為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖�����;
圖15為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中IPSec封裝處理控制子模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0008]下面詳細(xì)描述本發(fā)明的實(shí)施方式���,所述實(shí)施方式的示例在附圖中示出,其中自始至終相同或類(lèi)似的標(biāo)號(hào)表示相同或類(lèi)似的元件或具有相同或類(lèi)似功能的元件。下面通過(guò)參考附圖描述的實(shí)施方式是示例性的�,僅用于解釋本發(fā)明,而不能解釋為對(duì)本發(fā)明的限制���。
[0009]圖1為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖��。如圖1所示�,IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)100包括:內(nèi)網(wǎng)GMAC模塊101�����、數(shù)據(jù)進(jìn)入緩存模塊102���、IPSec協(xié)議封裝處理模塊103���、SA匹配模塊104、加密模塊105���、認(rèn)證模塊106���、報(bào)文分片模塊107、數(shù)據(jù)外出緩存模塊108���、外網(wǎng)GMAC模塊109�����。內(nèi)網(wǎng)GMAC模塊101�����,其連接內(nèi)部網(wǎng)絡(luò)的PC機(jī)或路由等網(wǎng)絡(luò)設(shè)備以進(jìn)行通信�,其中所述通信包括:接收從PC機(jī)或路由等網(wǎng)絡(luò)設(shè)備發(fā)送過(guò)來(lái)的物理層比特?cái)?shù)據(jù)流,在接收完一幀數(shù)據(jù)后���,檢查該幀是否有效����,若有效則解封掉數(shù)據(jù)幀的頭尾變成網(wǎng)絡(luò)層IP報(bào)文����,將IP報(bào)文發(fā)送至數(shù)據(jù)進(jìn)入緩存模塊102 ;數(shù)據(jù)進(jìn)入緩存模塊102,其連接所述內(nèi)網(wǎng)GMAC模塊101�,用于將從所述內(nèi)網(wǎng)GMAC模塊101發(fā)送過(guò)來(lái)的IP報(bào)文,用乒乓操作方式將報(bào)文寫(xiě)入數(shù)據(jù)存儲(chǔ)單元�����,以緩存待IPSec協(xié)議處理的IP報(bào)文��。例如�,內(nèi)網(wǎng)GMAC模塊101發(fā)送過(guò)來(lái)的待IPSec協(xié)議安全處理的IP報(bào)文,數(shù)據(jù)進(jìn)入緩存模塊102用乒乓操作的方式將該IP報(bào)文寫(xiě)入數(shù)據(jù)存儲(chǔ)單元����,這樣緩存IP報(bào)文數(shù)據(jù),這樣���,可以實(shí)現(xiàn)減少I(mǎi)PSec協(xié)議封裝處理模塊讀取待IPSec協(xié)議安全處理的IP報(bào)文時(shí)間�,提高了數(shù)據(jù)處理速率���。IPSec協(xié)議封裝處理模塊103���,其連接所述數(shù)據(jù)進(jìn)入緩存模塊102、SA匹配模塊104��、加密模塊105和驗(yàn)證證模塊106����,用于從數(shù)據(jù)進(jìn)入緩存模塊102讀取一個(gè)完整的IP包存入存儲(chǔ)裝置、向SA匹配模塊104發(fā)送IP頭信息���、從SA匹配模塊104讀取過(guò)來(lái)的SA相關(guān)參數(shù)信息并根據(jù)其中一部分信息判斷選擇IPSec協(xié)議處理方式��、將明文數(shù)據(jù)發(fā)送給加密模塊105并從其模塊獲取密文數(shù)據(jù)����、將待驗(yàn)證數(shù)據(jù)發(fā)送給驗(yàn)證模塊106并從其模塊獲取驗(yàn)證完的數(shù)據(jù)和產(chǎn)生與各個(gè)交互模塊的相關(guān)控制信號(hào),最后將待封裝的數(shù)據(jù)封裝在一個(gè)完整IP包中�����,發(fā)送至報(bào)文分片模塊109��。例如����,IPSec協(xié)議封裝處理模塊103,接收到數(shù)據(jù)進(jìn)入緩存模塊102發(fā)送過(guò)了的一個(gè)完整的IP報(bào)文包���,存入存儲(chǔ)裝置中�����,并提取IP報(bào)文中IP頭信息數(shù)據(jù)�,發(fā)送給SA匹配模塊104,然后根據(jù)SA匹配模塊104處理完回傳回來(lái)的該IP報(bào)文需要IPSec協(xié)議安全處理對(duì)應(yīng)的SA相關(guān)信息參數(shù)�����,并根據(jù)其中一部分信息判斷選擇=IPSec協(xié)議處理是采用AH協(xié)議還是ESP協(xié)議��;處理模式是采用傳輸模式還是隧道模式�;加密算法類(lèi)型是采用AES-CBC算法�、3DES算法還是NULL ;驗(yàn)證算法類(lèi)型是采用HMAC-SHA1-96算法、AES-XCBC-MAC-96算法還是NULL�。根據(jù)加密算法密鑰的長(zhǎng)度和IP報(bào)文頭中載荷長(zhǎng)度的信息計(jì)算出符合加密模塊105的數(shù)據(jù)位寬要求需要填充項(xiàng)的長(zhǎng)度,載荷數(shù)據(jù)中填充項(xiàng)可以全部用O做為填充的數(shù)據(jù)�。當(dāng)采用ESP協(xié)議時(shí),并根據(jù)處理模式���,則將待加密的明文數(shù)據(jù)包封裝好發(fā)送給加密模塊105�,加密完成后將密文和其他待驗(yàn)證數(shù)據(jù)封裝好發(fā)送給認(rèn)證模塊106 �����;當(dāng)采用AH協(xié)議則將需要待認(rèn)證數(shù)據(jù)封裝好發(fā)送給認(rèn)證模塊106�����,最后將IP頭����、SA匹配模塊發(fā)送過(guò)來(lái)的部分信息�、加密完成的密文數(shù)據(jù)和認(rèn)證模塊得到的認(rèn)證數(shù)據(jù)封裝在一個(gè)完整IP包中����,發(fā)送至報(bào)文分片模塊109。這樣�,就實(shí)現(xiàn)了對(duì)該IP報(bào)文進(jìn)行IPSec協(xié)議安全處理。SA匹配模塊104���,其連接所述IPSec協(xié)議封裝處理模塊103��,用于接收IPSec協(xié)議封裝處理模塊103發(fā)送過(guò)來(lái)IP包中IP頭的數(shù)據(jù)信息��,根據(jù)其中部分信息選擇該IP包需要進(jìn)行安全保護(hù)的SA信息����,并將其SA信息發(fā)送給IPSec協(xié)議封裝處理模塊103�。例如,一個(gè)IP報(bào)文需要IPSec協(xié)議安全處理����,則IPSec協(xié)議封裝處理模塊103提取出IPSec頭部的信息發(fā)送給SA匹配模塊104,SA匹配模塊104將IP頭部中〈SPI,目的地址�,協(xié)議>三元組信息提取出來(lái)與SA信息存儲(chǔ)單元進(jìn)行匹配,匹配成功后則將該IP報(bào)文需要IPSec協(xié)議安全處理所用的SA信息發(fā)送給IPSec協(xié)議封裝處理模塊103���。加密模塊105��,其連接所述IPSec協(xié)議封裝處理模塊103���,用于接收IPSec協(xié)議封裝處理模塊103發(fā)送過(guò)來(lái)的明文數(shù)據(jù)�����、加密算法模式和密鑰數(shù)據(jù)���,將明文進(jìn)行加密����,并將加密完的密文數(shù)據(jù)回傳給IPSec協(xié)議封裝處理模塊103����。例如,一個(gè)待加密的明文數(shù)據(jù)����,根據(jù)IPSec協(xié)議封裝處理模塊103轉(zhuǎn)發(fā)SA信息中加密類(lèi)型和加密密鑰以及加密密鑰的長(zhǎng)度�,根據(jù)加密類(lèi)型選擇是AES加密算法還是3DES加密算法����,以及根據(jù)處理后實(shí)際位寬的密鑰對(duì)明文數(shù)據(jù)用加密算法進(jìn)行處理,力口密完將密文發(fā)送給IPSec協(xié)議封裝處理模塊103����。認(rèn)證模塊106,其連接所述IPSec協(xié)議封裝處理模塊103��,用于接收IPSec協(xié)議封裝處理模塊103發(fā)送過(guò)來(lái)的待認(rèn)證處理數(shù)據(jù)���、加密算法模式和密鑰數(shù)據(jù),將待認(rèn)證處理的數(shù)據(jù)進(jìn)行認(rèn)證算法處理�,并將認(rèn)證處理后的數(shù)據(jù)回傳給IPSec協(xié)議封裝處理模塊103。例如���,一個(gè)待認(rèn)證處理的數(shù)據(jù)����,根據(jù)IPSec協(xié)議封裝處理模塊103轉(zhuǎn)發(fā)SA信息中認(rèn)證算法類(lèi)型和認(rèn)證算法密鑰以及認(rèn)證算法密鑰的長(zhǎng)度�,根據(jù)認(rèn)證算法類(lèi)型選擇是HMAC-SHA1-96認(rèn)證算法和AES-XCBC-MAC-96認(rèn)證算法���,以及根據(jù)處理后實(shí)際位寬的認(rèn)證算法密鑰對(duì)待認(rèn)證處理的數(shù)據(jù)進(jìn)行用認(rèn)證算法處理�����,處理完將哈希值發(fā)送給IPSec協(xié)議封裝處理模塊103����。報(bào)文分片模塊107�����,其連接所述IPSec協(xié)議封裝處理模塊103�����,用于接收IPSec協(xié)議封裝處理模塊103發(fā)送過(guò)來(lái)的IP數(shù)據(jù)報(bào),根據(jù)MTU的值對(duì)IP數(shù)據(jù)報(bào)進(jìn)行分片處理�����。例如�,一個(gè)已經(jīng)經(jīng)過(guò)IPSec協(xié)議安全處理的IP報(bào)文�,根據(jù)最大傳送單元(MTU)將該報(bào)文包進(jìn)行分片處理���,將IP首部中的一些必要的部分提取出來(lái)復(fù)制到所有的分片中,IP報(bào)文中的載荷數(shù)據(jù)根據(jù)MTU值進(jìn)行分片����,最后將與一個(gè)數(shù)據(jù)報(bào)的分片有關(guān)的字段:標(biāo)識(shí)、標(biāo)志和分片偏移組裝進(jìn)各個(gè)分片�����。數(shù)據(jù)外出緩存模塊108���,其連接所述報(bào)文分片模塊107,用于將報(bào)文分片模塊107發(fā)送過(guò)來(lái)的分片后的IP報(bào)文�,用乒乓操作方式將報(bào)文寫(xiě)入數(shù)據(jù)存儲(chǔ)單元��,以緩存發(fā)送給外網(wǎng)GMAC模塊的IP報(bào)文����。例如,分片模塊107發(fā)送過(guò)來(lái)的已經(jīng)分片完的IPSec協(xié)議安全處理后的IP報(bào)文���,數(shù)據(jù)外出緩存模塊108用乒乓操作的方式將該IP報(bào)文寫(xiě)入數(shù)據(jù)存儲(chǔ)單元�,這樣緩存IP報(bào)文數(shù)據(jù)����,這樣,可以實(shí)現(xiàn)減少外網(wǎng)GMAC模塊讀取IP報(bào)文時(shí)間�,提高了數(shù)據(jù)處理速率。外網(wǎng)GMAC模塊109�����,其連接所述數(shù)據(jù)外出緩存模塊108�����,用于接收數(shù)據(jù)外出緩存模塊108發(fā)送過(guò)來(lái)的IP報(bào)文���,在數(shù)據(jù)段頭尾加上一些控制信息,組成一個(gè)以太網(wǎng)數(shù)據(jù)幀�����,并將該數(shù)據(jù)幀以比特?cái)?shù)據(jù)流的形式發(fā)送到物理層����。
[0010]圖2為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖。如圖2所示�,IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)200包括:內(nèi)網(wǎng)GMAC模塊201、數(shù)據(jù)進(jìn)入緩存模塊202�����、IPSec協(xié)議封裝處理模塊203�����、SA匹配模塊204����、加密模塊205、認(rèn)證模塊206��、報(bào)文分片模塊207�、數(shù)據(jù)外出緩存模塊208、外網(wǎng)GMAC模塊209 ����;其中內(nèi)網(wǎng)GMAC模塊201、數(shù)據(jù)進(jìn)入緩存模塊202�����、IPSec協(xié)議封裝處理模塊203、SA匹配模塊204�、加密模塊205、認(rèn)證模塊206�、報(bào)文分片模塊207、數(shù)據(jù)外出緩存模塊208����、外網(wǎng)GMAC模塊209可以分別和圖1中所示的內(nèi)網(wǎng)GMAC模塊101、數(shù)據(jù)進(jìn)入緩存模塊102���、IPSec協(xié)議封裝處理模塊103��、SA匹配模塊104��、加密模塊105�����、認(rèn)證模塊106、報(bào)文分片模塊107����、數(shù)據(jù)外出緩存模塊108�����、外網(wǎng)GMAC模塊109具有相同的結(jié)構(gòu)�,這里不再過(guò)多的闡述其具體的技術(shù)內(nèi)容����。
[0011]如圖2所示,數(shù)據(jù)進(jìn)入緩存模塊202進(jìn)一步地包括:輸入數(shù)據(jù)選擇器2021�、數(shù)據(jù)存儲(chǔ)單元2022、數(shù)據(jù)存儲(chǔ)單元2023����、輸出數(shù)據(jù)選擇器2024。
[0012]其中����,輸入數(shù)據(jù)選擇器2021,用于根據(jù)選擇信號(hào)將IP報(bào)文數(shù)據(jù)存入第一數(shù)據(jù)存儲(chǔ)單元或第二數(shù)據(jù)存儲(chǔ)單元�����;例如�,根據(jù)選擇信號(hào)在第一個(gè)緩沖周期,將內(nèi)網(wǎng)GMAC模塊201發(fā)送過(guò)來(lái)的IP報(bào)文數(shù)據(jù)緩存到第一數(shù)據(jù)存儲(chǔ)單元,在第二個(gè)緩沖周期����,將內(nèi)網(wǎng)GMAC模塊201發(fā)送過(guò)來(lái)的IP報(bào)文數(shù)據(jù)緩存到第二數(shù)據(jù)存儲(chǔ)單元。
[0013]數(shù)據(jù)存儲(chǔ)單元2022和數(shù)據(jù)存儲(chǔ)單元2023�,用于緩存內(nèi)網(wǎng)GMAC模塊201發(fā)送過(guò)的待IPSec處理的IP報(bào)文數(shù)據(jù)。例如�����,可以采用隨機(jī)存取存儲(chǔ)器RAM或先進(jìn)先出存儲(chǔ)器FIFO等數(shù)據(jù)存儲(chǔ)單元���,數(shù)據(jù)存儲(chǔ)單元2022和數(shù)據(jù)存儲(chǔ)單元2023的數(shù)據(jù)深度和數(shù)據(jù)寬度可以根據(jù)數(shù)據(jù)要求配置���。
[0014]輸出數(shù)據(jù)選擇器2024,用于根據(jù)選擇信號(hào)將IP報(bào)文數(shù)據(jù)輸出到IPSec協(xié)議封裝處理模塊203���。例如��,根據(jù)選擇信號(hào)�,在第二個(gè)緩沖周期���,將第一數(shù)據(jù)存儲(chǔ)單元緩存的第一個(gè)周期的IP報(bào)文數(shù)據(jù)送到IPSec協(xié)議封裝處理模塊203被處理���,在第三個(gè)緩沖周期,通過(guò)選擇信號(hào)再次切換���,將第二數(shù)據(jù)存儲(chǔ)單元緩存的第二個(gè)周期的IP報(bào)文數(shù)據(jù)送到IPSec協(xié)議封裝處理模塊203被處理��。
[0015]圖3為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中數(shù)據(jù)進(jìn)入緩存模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖����;
如圖3所示����,數(shù)據(jù)進(jìn)入緩存模塊300進(jìn)一步地包括:輸入數(shù)據(jù)選擇器301、數(shù)據(jù)存儲(chǔ)單元302����、數(shù)據(jù)存儲(chǔ)單元303、輸出數(shù)據(jù)選擇器304�����。在實(shí)施實(shí)例中具體操作為���,當(dāng)IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)初始化后��,在第一個(gè)緩沖周期�,將內(nèi)網(wǎng)GMAC模塊發(fā)送過(guò)來(lái)的IP報(bào)文數(shù)據(jù)緩存到第一數(shù)據(jù)存儲(chǔ)單元302,在第二個(gè)緩沖周期��,根據(jù)選擇信號(hào)的切換��,輸入數(shù)據(jù)選擇器301將內(nèi)網(wǎng)GMAC模塊發(fā)送過(guò)來(lái)的IP報(bào)文數(shù)據(jù)緩存到第二數(shù)據(jù)存儲(chǔ)單元303����,與此同時(shí),將第一數(shù)據(jù)存儲(chǔ)單元302緩存的第一個(gè)周期的IP報(bào)文數(shù)據(jù)通過(guò)輸出數(shù)據(jù)選擇器304的選擇��,送到IPSec協(xié)議封裝處理模塊被處理�。在第三個(gè)緩沖周期,通過(guò)輸入數(shù)據(jù)選擇器301的選擇信號(hào)再次切換�,將內(nèi)網(wǎng)GMAC模塊發(fā)送過(guò)來(lái)的IP報(bào)文數(shù)據(jù)緩存到第一數(shù)據(jù)存儲(chǔ)單元302,與此同時(shí)���,將第二數(shù)據(jù)存儲(chǔ)單元303緩存的第二個(gè)周期的IP報(bào)文數(shù)據(jù)通過(guò)輸出數(shù)據(jù)選擇器304的選擇信號(hào)切換��,送到IPSec協(xié)議封裝處理模塊被處理����。如此循環(huán)����,周而復(fù)始����,根據(jù)選擇信號(hào)���,按節(jié)拍、相互配合地切換����,將內(nèi)網(wǎng)GMAC模塊發(fā)送過(guò)來(lái)的IP報(bào)文數(shù)據(jù)沒(méi)有時(shí)間停頓地送到IPSec協(xié)議很準(zhǔn)處理模塊被運(yùn)算處理,從而實(shí)現(xiàn)對(duì)IP報(bào)文數(shù)據(jù)乒乓操作��,從而提高數(shù)據(jù)的處理速率�。
[0016]圖4為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖。如圖4所示��,IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)400包括:內(nèi)網(wǎng)GMAC模塊401�、數(shù)據(jù)進(jìn)入緩存模塊402、IPSec協(xié)議封裝處理模塊403���、SA匹配模塊404���、加密模塊405����、認(rèn)證模塊406�、報(bào)文分片模塊407、數(shù)據(jù)外出緩存模塊408�����、外網(wǎng)GMAC模塊409 ��;其中內(nèi)網(wǎng)GMAC模塊401���、數(shù)據(jù)進(jìn)入緩存模塊402�、IPSec協(xié)議封裝處理模塊403�����、SA匹配模塊404����、加密模塊405、認(rèn)證模塊406����、報(bào)文分片模塊407����、數(shù)據(jù)外出緩存模塊408��、外網(wǎng)GMAC模塊409可以分別和圖1中所示的內(nèi)網(wǎng)GMAC模塊101�����、數(shù)據(jù)進(jìn)入緩存模塊102���、IPSec協(xié)議封裝處理模塊103、SA匹配模塊104����、加密模塊105、認(rèn)證模塊106�、報(bào)文分片模塊107、數(shù)據(jù)外出緩存模塊108����、外網(wǎng)GMAC模塊109具有相同的結(jié)構(gòu),這里不再過(guò)多的闡述其具體的技術(shù)內(nèi)容���。
[0017]如圖4所示�����,IPSec協(xié)議封裝處理模塊403進(jìn)一步地包括:IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元4031��、SA信息存儲(chǔ)單元4032���、IPSec封裝處理控制子模塊4033����、密文數(shù)據(jù)存儲(chǔ)單元4034�、認(rèn)證后數(shù)據(jù)存儲(chǔ)單元4035、IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元4036��。
[0018]其中����,IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元4031,用于存儲(chǔ)待IPSec協(xié)議處理的整個(gè)IP包���,可由IPSec封裝處理控制子模塊進(jìn)行讀取其中的數(shù)據(jù)�。例如�,IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元4031存儲(chǔ)內(nèi)網(wǎng)GMAC模塊401發(fā)送過(guò)來(lái)經(jīng)過(guò)數(shù)據(jù)進(jìn)入數(shù)據(jù)緩存模塊402緩存的一個(gè)完整的IP報(bào)文包,以待IPSec封裝處理控制子模塊403讀取�。
[0019]SA信息存儲(chǔ)單元4032��,用于存儲(chǔ)待IPSec協(xié)議處理的IP包對(duì)應(yīng)的SA信息�����,SA信息包括:安全參數(shù)索引SP1����、IPSec協(xié)議類(lèi)型�����、處理模式���、目的IP地址、源IP地址��、序列號(hào)����、加密算法初始化向量IV、IV長(zhǎng)度�、加密算法類(lèi)型、加密算法密鑰�、加密算法密鑰長(zhǎng)度����、認(rèn)證算法類(lèi)型�、認(rèn)證算法密鑰和認(rèn)證算法密鑰長(zhǎng)度等信息。例如��,SA信息存儲(chǔ)單元4032存儲(chǔ)SA匹配模塊404模塊發(fā)送過(guò)來(lái)待IPSec協(xié)議安全處理的IP報(bào)文所對(duì)應(yīng)的SA參數(shù)信息��,包括:安全參數(shù)索引SP1�、IPSec協(xié)議類(lèi)型、處理模式�����、目的IP地址�、源IP地址、序列號(hào)�����、加密算法初始化向量IV�、IV長(zhǎng)度、加密算法類(lèi)型�����、加密算法密鑰、加密算法密鑰長(zhǎng)度��、認(rèn)證算法類(lèi)型����、認(rèn)證算法密鑰和認(rèn)證算法密鑰長(zhǎng)度等信息。
[0020]IPSec封裝處理控制子模塊4033��,用于對(duì)整個(gè)IP報(bào)文的IPSec協(xié)議處理進(jìn)行控制����,計(jì)算IP報(bào)文填充項(xiàng)的長(zhǎng)度,發(fā)送SA匹配模塊IP報(bào)文頭信息���,根據(jù)SA匹配模塊發(fā)送回來(lái)的SA信息判斷IPSec處理所采用的協(xié)議和處理時(shí)模式��,從而對(duì)需要加密的明文進(jìn)行封裝,對(duì)待認(rèn)證處理的數(shù)據(jù)進(jìn)行封裝��,對(duì)需要加密的明文進(jìn)行協(xié)調(diào)IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元�、SA信息存儲(chǔ)單元、密文數(shù)據(jù)存儲(chǔ)單元���、認(rèn)證后數(shù)據(jù)存儲(chǔ)單元和IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元五個(gè)存儲(chǔ)裝置工作以及產(chǎn)生IPSec協(xié)議封裝處理模塊之外交互模塊的相關(guān)控制信號(hào)�。例如,一個(gè)待IPSec協(xié)議安全處理的IP報(bào)文�����,IPSec封裝處理控制子模塊4033從IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元4031中讀取IP報(bào)文中IP頭頭信息���,發(fā)送給SA匹配模塊404�����,然后等SA匹配模塊404處理完�����,從SA信息存儲(chǔ)單元4032中讀取該IP報(bào)文需要IPSec協(xié)議安全處理對(duì)應(yīng)的SA相關(guān)信息參數(shù)�,并根據(jù)其中一部分信息判斷選擇=IPSec協(xié)議處理是采用AH協(xié)議還是ESP協(xié)議���;處理模式是采用傳輸模式還是隧道模式�;加密算法類(lèi)型是采用AES-CBC算法���、3DES算法還是NULL ;驗(yàn)證算法類(lèi)型是采用HMAC-SHA1-96算法����、AES-XCBC-MAC-96算法還是NULL。根據(jù)加密算法密鑰的長(zhǎng)度和IP報(bào)文頭中載荷長(zhǎng)度的信息計(jì)算出符合加密模塊405的數(shù)據(jù)位寬要求需要填充項(xiàng)的長(zhǎng)度�,載荷數(shù)據(jù)中填充項(xiàng)可以全部用O做為填充的數(shù)據(jù)。當(dāng)采用ESP協(xié)議時(shí)���,并根據(jù)處理模式���,則將待加密的明文數(shù)據(jù)包封裝好發(fā)送給加密模塊405,加密完成后將密文和其他待驗(yàn)證數(shù)據(jù)封裝好發(fā)送給認(rèn)證模塊406 ;當(dāng)采用AH協(xié)議則將需要待認(rèn)證數(shù)據(jù)封裝好發(fā)送給認(rèn)證模塊406���,最后讀取IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元4031中IP頭信息���、讀取SA信息存儲(chǔ)模塊4032中SA部分信息包括:安全參數(shù)索引SPI,序列號(hào)���,初始化向量��、讀取密文數(shù)據(jù)存儲(chǔ)單元4034中加密完成的密文數(shù)據(jù)和讀取認(rèn)證后數(shù)據(jù)存儲(chǔ)單元4035中認(rèn)證數(shù)據(jù)封裝在一個(gè)完整IP包存儲(chǔ)到IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元4036中�,并根據(jù)交互模塊的控制信號(hào)適時(shí)地發(fā)送給報(bào)文分片模塊407���。
[0021]密文數(shù)據(jù)存儲(chǔ)單元4034,用于存儲(chǔ)加密模塊發(fā)送過(guò)來(lái)的已經(jīng)加密完成的密文包,可有IPSec封裝處理控制子模塊進(jìn)行讀取其中的數(shù)據(jù)�����。例如��,密文數(shù)據(jù)存儲(chǔ)單元4034存儲(chǔ)待加密數(shù)據(jù)經(jīng)過(guò)加密模塊405加密完成后的密文數(shù)據(jù)��,以待IPSec封裝處理控制子模塊4033讀取����。
[0022]認(rèn)證后數(shù)據(jù)存儲(chǔ)單元4035,用于緩存認(rèn)證模塊發(fā)送過(guò)來(lái)的已經(jīng)認(rèn)證處理后的哈希值�����,可由IPSec封裝處理控制子模塊進(jìn)行讀取其中的數(shù)據(jù)���。例如����,認(rèn)證后數(shù)據(jù)存儲(chǔ)單元4035存儲(chǔ)待認(rèn)證處理數(shù)據(jù)經(jīng)過(guò)認(rèn)證模塊406認(rèn)證處理完成后的認(rèn)證數(shù)據(jù)���,以待IPSec封裝處理控制子模塊4033讀取�����。
[0023]IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元4036�����,用于存儲(chǔ)IPSec封裝處理后的完整的一個(gè)IP數(shù)據(jù)包���,發(fā)送給報(bào)文分片模塊�����。例如���,IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元4036存儲(chǔ)IPSec協(xié)議處理后的報(bào)文數(shù)據(jù),以待IPSec封裝處理控制子模塊4033讀取�����。
[0024]圖5為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中IPSec協(xié)議封裝處理模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖�; 如圖5所示,IPSec協(xié)議封裝處理模塊500進(jìn)一步包括=IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元501����、SA信息存儲(chǔ)單元502�、IPSec封裝處理控制子模塊503��、密文數(shù)據(jù)存儲(chǔ)單元504��、認(rèn)證后數(shù)據(jù)存儲(chǔ)單元505�����、IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元506�����。在實(shí)施實(shí)例中具體操作為�,IPSec協(xié)議封裝處理模塊500���,一個(gè)待IPSec協(xié)議安全處理的IP報(bào)文���,IPSec封裝處理控制子模塊503從IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元501中讀取IP報(bào)文中IP頭頭信息,發(fā)送給SA匹配模塊502���,然后等SA匹配成功后��,從SA信息存儲(chǔ)單元502中讀取該IP報(bào)文需要IPSec協(xié)議安全處理對(duì)應(yīng)的SA相關(guān)信息參數(shù)����,并根據(jù)其中一部分信息判斷選擇=IPSec協(xié)議處理是采用AH協(xié)議還是ESP協(xié)議;處理模式是采用傳輸模式還是隧道模式�����;加密算法類(lèi)型是采用AES-CBC算法、3DES算法還是NULL ;驗(yàn)證算法類(lèi)型是采用HMAC-SHA1-96算法�����、AES-XCBC-MAC-96算法還是NULL�����。根據(jù)加密算法密鑰的長(zhǎng)度和IP報(bào)文頭中載荷長(zhǎng)度的信息計(jì)算出符合加密處理的數(shù)據(jù)位寬要求需要填充項(xiàng)的長(zhǎng)度,載荷數(shù)據(jù)中填充項(xiàng)可以全部用O做為填充的數(shù)據(jù)。當(dāng)采用ESP協(xié)議時(shí)���,并根據(jù)處理模式��,則將待加密的明文數(shù)據(jù)包封裝好發(fā)送給加密模塊���,加密完成后將密文和其他待驗(yàn)證數(shù)據(jù)封裝好發(fā)送給認(rèn)證模塊;當(dāng)采用AH協(xié)議則將需要待認(rèn)證數(shù)據(jù)封裝好發(fā)送給認(rèn)證模塊���,最后讀取IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元501中IP頭信息�、讀取SA信息存儲(chǔ)模塊502中SA部分信息包括:安全參數(shù)索引SPI��,序列號(hào)�����,初始化向量、讀取密文數(shù)據(jù)存儲(chǔ)單元504中加密完成的密文數(shù)據(jù)和讀取認(rèn)證后數(shù)據(jù)存儲(chǔ)單元505中認(rèn)證數(shù)據(jù)封裝在一個(gè)完整IP包存儲(chǔ)到IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元506中���,并根據(jù)交互模塊的控制信號(hào)適時(shí)地發(fā)送給報(bào)文分片模塊��。這樣,就實(shí)現(xiàn)了對(duì)該IP報(bào)文進(jìn)行IPSec協(xié)議安全處理���。
[0025]圖6為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖。如圖4所示�,IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)600包括:內(nèi)網(wǎng)GMAC模塊601、數(shù)據(jù)進(jìn)入緩存模塊602��、IPSec協(xié)議封裝處理模塊603����、SA匹配模塊604�����、加密模塊605、認(rèn)證模塊606���、報(bào)文分片模塊607��、數(shù)據(jù)外出緩存模塊608、外網(wǎng)GMAC模塊609 �;其中內(nèi)網(wǎng)GMAC模塊601����、數(shù)據(jù)進(jìn)入緩存模塊602、IPSec協(xié)議封裝處理模塊603、SA匹配模塊604���、加密模塊605、認(rèn)證模塊606����、報(bào)文分片模塊607�����、數(shù)據(jù)外出緩存模塊608�、外網(wǎng)GMAC模塊609可以分別和圖1中所示的內(nèi)網(wǎng)GMAC模塊101�����、數(shù)據(jù)進(jìn)入緩存模塊102、IPSec協(xié)議封裝處理模塊103��、SA匹配模塊104�����、加密模塊105��、認(rèn)證模塊106���、報(bào)文分片模塊107����、數(shù)據(jù)外出緩存模塊108�����、外網(wǎng)GMAC模塊109具有相同的結(jié)構(gòu)����,這里不再過(guò)多的闡述其具體的技術(shù)內(nèi)容�。
[0026]如圖6所示�����,SA匹配模塊604進(jìn)一步地包括:SA匹配控制子模塊6041��、SAD配置模塊6042���、SAD CAM子模塊6043����、SA參數(shù)信息存儲(chǔ)子模塊6044。
[0027]其中����,SA匹配控制子模塊6041�,用于控制整個(gè)SA匹配模塊604工作��,接收IPSec協(xié)議封裝處理模塊603發(fā)送過(guò)來(lái)的IP報(bào)文頭信息����,并從IP頭中提取出SP1、源地址和目的地址,將〈SPI�,目的地址�����,協(xié)議 > 組成的三元組信息發(fā)送給SAD CAM子模塊6043����。例如,接收到IPSec協(xié)議封裝處理模塊603發(fā)送過(guò)來(lái)的待IPSec協(xié)議安全處理的IP報(bào)文頭信息���,從IP頭中提取出SP1����、源地址和目的地址�����,將〈SPI����,目的地址,協(xié)議 > 組成的三元組信息發(fā)送給SAD CAM子模塊6043進(jìn)行匹配���。
[0028]SAD配置子模塊6042���,用于手工配置SAD CAM子模塊和SA參數(shù)信息存儲(chǔ)子模塊當(dāng)中的數(shù)據(jù)��,可以固化其中的一部分的默認(rèn)信息和用隨機(jī)數(shù)發(fā)生器產(chǎn)生其中一部分的隨機(jī)信息�����。例如����,SA匹配控制子模塊604初始化時(shí)�,SAD配置模塊6042向SAD CAM模塊6043和SA參數(shù)信息存儲(chǔ)子模塊6044中寫(xiě)入一部分的默認(rèn)SA信息和可以用隨機(jī)數(shù)發(fā)生器產(chǎn)生其中的另一部分隨機(jī)SA信息。
[0029]SAD CAM子模塊6043�����,用于存儲(chǔ)IP報(bào)文頭信息中〈SPI�,目的地址,協(xié)議 > 組成的三元組信息��,在寫(xiě)模式時(shí)��,接收SAD配置子模塊6042對(duì)其中的RAM進(jìn)行寫(xiě)操作�����,更新其三元組信息��。在匹配模式時(shí)�,根據(jù)SA匹配控制模6041塊發(fā)送過(guò)來(lái)的〈SPI,目的地址��,協(xié)議 > 三元組信息進(jìn)行匹配����,發(fā)送其匹配成功的地址以及匹配成功標(biāo)志。例如���,一個(gè)待IPSec協(xié)議安全處理的IP報(bào)文���,在初始化的時(shí)候,SAD CAM處于寫(xiě)模式����,接收SAD配置模塊6042對(duì)其中的存儲(chǔ)裝置進(jìn)行寫(xiě)操作,寫(xiě)入三元組信息��。初始化結(jié)束后�����,SAD CAM處于匹配模式,根據(jù)SA匹配控制子模塊發(fā)送過(guò)來(lái)的〈SPI���,目的地址����,協(xié)議 > 三元組信息進(jìn)行匹配�����,發(fā)送其匹配成功的地址以及匹配成功標(biāo)志��。
[0030]SA參數(shù)信息存儲(chǔ)子模塊6044�����,用于存儲(chǔ)一系列SA參數(shù)數(shù)據(jù)����,在手工配置時(shí),通過(guò)SAD配置模塊6042把SA參數(shù)信息寫(xiě)入SA參數(shù)信息存儲(chǔ)子模塊�。例如,存儲(chǔ)一系列SA參數(shù)數(shù)據(jù)�����,在手工配置時(shí),通過(guò)SAD配置模塊6042把SA參數(shù)信息寫(xiě)入SA參數(shù)信息存儲(chǔ)子模塊�。SA參數(shù)信息包括:安全參數(shù)索引SP1、IPSec協(xié)議類(lèi)型���、處理模式、目的IP地址、源IP地址��、序列號(hào)�����、加密算法初始化向量IV、IV長(zhǎng)度��、加密算法類(lèi)型�、加密算法密鑰�����、加密算法密鑰長(zhǎng)度、認(rèn)證算法類(lèi)型�、認(rèn)證算法密鑰和認(rèn)證算法密鑰長(zhǎng)度等信息���。
[0031]圖7為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中SA匹配模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖;
如圖7所示���,SA匹配模塊700進(jìn)一步包括:SA匹配控制子模塊701�����、SAD配置模塊702�、SAD CAM子模塊703�����、SA參數(shù)信息存儲(chǔ)子模塊704���。在實(shí)施實(shí)例中具體操作為,在SA匹配模塊700初始化的時(shí)候,SAD配置模塊702向SAD CAM模塊703和SA參數(shù)信息存儲(chǔ)子模塊704中寫(xiě)入一部分的默認(rèn)SA信息和可以用隨機(jī)數(shù)發(fā)生器產(chǎn)生其中的另一部分隨機(jī)SA信息。SA參數(shù)信息包括:安全參數(shù)索引SP1、IPSec協(xié)議類(lèi)型��、處理模式、目的IP地址、源IP地址���、序列號(hào)���、加密算法初始化向量IV��、IV長(zhǎng)度�、加密算法類(lèi)型、加密算法密鑰�����、加密算法密鑰長(zhǎng)度��、認(rèn)證算法類(lèi)型����、認(rèn)證算法密鑰和認(rèn)證算法密鑰長(zhǎng)度等信息。初始化后����,SA匹配控制子模塊701接收IPSec協(xié)議封裝處理模塊發(fā)送過(guò)來(lái)IP包中IP報(bào)文頭數(shù)據(jù)�����,并將IP頭部中〈SPI���,目的地址�,協(xié)議 > 三元組信息提取出來(lái)發(fā)送給SAD CAM子模塊703進(jìn)行匹配��,匹配成功后�,SAD CAM子模塊發(fā)送其匹配成功的地址以及匹配成功標(biāo)志�,SA參數(shù)信息存儲(chǔ)子模塊704根據(jù)SAD CAM子模塊703發(fā)送過(guò)來(lái)匹配成功的標(biāo)志和匹配地址,找到改地址中存儲(chǔ)的SA信息以待IPSec協(xié)議封裝處理模塊讀取����,SA參數(shù)信息包括:安全參數(shù)索引SP1�、IPSec協(xié)議類(lèi)型����、處理模式�、目的IP地址、源IP地址、序列號(hào)����、加密算法初始化向量IV�����、IV長(zhǎng)度��、加密算法類(lèi)型����、加密算法密鑰��、加密算法密鑰長(zhǎng)度���、認(rèn)證算法類(lèi)型�、認(rèn)證算法密鑰和認(rèn)證算法密鑰長(zhǎng)度等信息�。
[0032]圖8為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖。如圖8所示,IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)800包括:內(nèi)網(wǎng)GMAC模塊801���、數(shù)據(jù)進(jìn)入緩存模塊802、IPSec協(xié)議封裝處理模塊803�、SA匹配模塊804�����、加密模塊805���、認(rèn)證模塊806、報(bào)文分片模塊807、數(shù)據(jù)外出緩存模塊808���、外網(wǎng)GMAC模塊809 ����;其中內(nèi)網(wǎng)GMAC模塊801��、數(shù)據(jù)進(jìn)入緩存模塊802��、IPSec協(xié)議封裝處理模塊803���、SA匹配模塊804��、加密模塊805�����、認(rèn)證模塊806、報(bào)文分片模塊807�����、數(shù)據(jù)外出緩存模塊808��、外網(wǎng)GMAC模塊809可以分別和圖1中所示的內(nèi)網(wǎng)GMAC模塊101�����、數(shù)據(jù)進(jìn)入緩存模塊102����、IPSec協(xié)議封裝處理模塊103、SA匹配模塊104�����、加密模塊105、認(rèn)證模塊106��、報(bào)文分片模塊107、數(shù)據(jù)外出緩存模塊108���、外網(wǎng)GMAC模塊109具有相同的結(jié)構(gòu)��,這里不再過(guò)多的闡述其具體的技術(shù)內(nèi)容�����。
[0033]如圖8所示���,加密模塊805進(jìn)一步地包括:加密算法選擇器8051���、密鑰處理子模塊8052��、拼接數(shù)據(jù)模塊8053���、拼接數(shù)據(jù)模塊8054����、AES子模塊8055��、3DES子模塊8056、密文選擇器8057���、解拼接數(shù)據(jù)子模塊8058�。
[0034]其中,加密算法選擇器8051���,用于根據(jù)加密算法類(lèi)型的控制信號(hào)選擇AES子模塊和3DES子模塊兩條通路中其中一條����。例如����,加密模塊805接收到IPSec協(xié)議封裝處理模塊803發(fā)送過(guò)來(lái)的明文數(shù)據(jù)和加密算法類(lèi)型的控制信號(hào),加密算法選擇器8051根據(jù)其加密算法類(lèi)型的控制信號(hào)����,將明文數(shù)據(jù)轉(zhuǎn)發(fā)通向給AES子模塊和3DES子模塊兩條通路其中一條。
[0035]密鑰處理子模塊8052,用于根據(jù)IPSec協(xié)議處理模塊發(fā)送過(guò)來(lái)的定義好位寬格式的最大長(zhǎng)度的加密密鑰和實(shí)際該加密密鑰的長(zhǎng)度得出實(shí)際位寬的加密密鑰�����。例如,根據(jù)接收到的SA參數(shù)信息中加密算法密鑰和加密算法密鑰長(zhǎng)度��,取出該長(zhǎng)度位寬的加密密鑰���。
[0036]拼接數(shù)據(jù)模塊8053和拼接數(shù)據(jù)模塊8054,用于將按總線寬度的明文拼接成符合加密位寬的數(shù)據(jù)�。例如��,接收到總線位寬的明文數(shù)據(jù)先暫存下來(lái)等到符合加密算法需要的位寬明文數(shù)據(jù)��,一起拼接成符合位寬的明文發(fā)送給AES子模塊或3DES子模塊。
[0037]AES子模塊8055���,用于對(duì)明文數(shù)據(jù)用AES算法處理�����,得出密文數(shù)據(jù)���。例如���,接收到一個(gè)待加密的明文數(shù)據(jù)����,在該模塊用AES算法對(duì)明文數(shù)據(jù)進(jìn)行加密處理��,處理結(jié)束將密文數(shù)據(jù)送出去���。
[0038]3DES子模塊8056,用于對(duì)明文數(shù)據(jù)用3DES算法處理,得出密文數(shù)據(jù)��。例如���,接收到一個(gè)待加密的明文數(shù)據(jù)����,在該模塊用3DES算法對(duì)明文數(shù)據(jù)進(jìn)行加密處理����,處理結(jié)束將密文數(shù)據(jù)送出去�����。
[0039]密文選擇器8057����,用于根據(jù)加密算法類(lèi)型的控制信號(hào)選擇AES子模塊和3DES子模塊兩條通路中其中一條的密文。例如,密文選擇器8057根據(jù)其加密算法類(lèi)型的控制信號(hào),將AES子模塊和3DES子模塊兩條通路其中一條通路的密文數(shù)據(jù)轉(zhuǎn)發(fā)出去。
[0040]解拼接數(shù)據(jù)子模塊8058,用于將密文數(shù)據(jù)解分為符合總線寬度的密文數(shù)據(jù)。例如,接收密文數(shù)據(jù)后���,解拼接數(shù)據(jù)子模塊8058將密文數(shù)據(jù)解拼接成符合總線寬度的密文數(shù)據(jù)發(fā)送給IPSec協(xié)議封裝處理模塊�。
[0041]圖9為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中加密模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖;
如圖9所示�����,加密模塊900包括:加密算法選擇器901�、密鑰處理子模塊902���、拼接數(shù)據(jù)模塊903�����、拼接數(shù)據(jù)模塊904�����、AES子模塊905��、3DES子模塊906���、密文選擇器907、解拼接數(shù)據(jù)子模塊908�����。在實(shí)施實(shí)例中具體操作為���,加密算法選擇器901接收到按總線寬度的明文數(shù)據(jù)和加密算法類(lèi)型的控制信號(hào)����,根據(jù)其加密算法類(lèi)型的控制信號(hào),將按總線寬度的明文數(shù)據(jù)轉(zhuǎn)發(fā)通向給AES子模塊905和3DES子模塊906兩條通路其中一條���,在到達(dá)AES子模塊905或3DSE模塊906之前先經(jīng)過(guò)拼接數(shù)據(jù)模塊903或拼接數(shù)據(jù)模塊904�,拼接數(shù)據(jù)模塊將總線位寬的明文數(shù)據(jù)先暫存下來(lái)等到符合加密算法需要的位寬明文數(shù)據(jù)�,一起拼接成符合位寬的明文發(fā)送給AES子模塊905或3DES子模塊906,用AES算法加密處理完或用3DES算法處理完�����,將密文數(shù)據(jù)發(fā)送給密文選擇器907���,密文選擇器907根據(jù)其加密算法類(lèi)型的控制信號(hào)����,將AES子模塊和3DES子模塊兩條通路其中一條通路的密文數(shù)據(jù)轉(zhuǎn)發(fā)給解拼接數(shù)據(jù)子模塊908�����,解拼接數(shù)據(jù)子模塊908再將密文數(shù)據(jù)解拼接成符合總線寬度的密文數(shù)據(jù)發(fā)送給IPSec協(xié)議封裝處理模塊�。
[0042]圖10為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖。如圖10所示����,IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)1000包括:內(nèi)網(wǎng)GMAC模塊1001���、數(shù)據(jù)進(jìn)入緩存模塊1002、IPSec協(xié)議封裝處理模塊1003�、SA匹配模塊1004���、加密模塊1005����、認(rèn)證模塊1006����、報(bào)文分片模塊1007、數(shù)據(jù)外出緩存模塊1008��、夕卜網(wǎng)GMAC模塊1009 ;其中內(nèi)網(wǎng)GMAC模塊1001�����、數(shù)據(jù)進(jìn)入緩存模塊1002�����、IPSec協(xié)議封裝處理模塊1003、SA匹配模塊1004�、加密模塊1005、認(rèn)證模塊1006��、報(bào)文分片模塊1007���、數(shù)據(jù)外出緩存模塊1008�����、外網(wǎng)GMAC模塊1009可以分別和圖1中所示的內(nèi)網(wǎng)GMAC模塊101��、數(shù)據(jù)進(jìn)入緩存模塊102��、IPSec協(xié)議封裝處理模塊103�����、SA匹配模塊104����、加密模塊105��、認(rèn)證模塊106、報(bào)文分片模塊107���、數(shù)據(jù)外出緩存模塊108�、外網(wǎng)GMAC模塊109具有相同的結(jié)構(gòu)����,這里不再過(guò)多的闡述其具體的技術(shù)內(nèi)容。
[0043]如圖10所示���,認(rèn)證模塊1006進(jìn)一步地包括:哈希算法選擇器10061、認(rèn)證密鑰處理子模塊10062����、拼接數(shù)據(jù)模塊10063、拼接數(shù)據(jù)模塊10064�����、HMAC-SHA1-96子模塊10065��、AES-XCBC-MAC-96子模塊10066��、哈希值選擇器10067����、哈希值處理子模塊10068�。
[0044]其中�,哈希算法選擇器10061,用于根據(jù)認(rèn)證算法類(lèi)型的控制信號(hào)選擇HMAC-SHA1-96子模塊和AES-XCBC-MAC-96子模塊兩條通路中其中一條����。例如,認(rèn)證模塊1006接收到IPSec協(xié)議封裝處理模塊1003發(fā)送過(guò)來(lái)的待認(rèn)證數(shù)據(jù)和哈希算法類(lèi)型的控制信號(hào)����,哈希算法選擇器10061根據(jù)其哈希算法類(lèi)型的控制信號(hào),將待認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)通向給HMAC-SHA1-96子模塊和AES-XCBC-MAC-96子模塊兩條通路其中一條���。
[0045]認(rèn)證密鑰處理子模塊10062��,用于根據(jù)IPSec協(xié)議處理模塊發(fā)送過(guò)來(lái)的定義好位寬格式的最大長(zhǎng)度的認(rèn)證密鑰和實(shí)際該認(rèn)證密鑰的長(zhǎng)度得出實(shí)際位寬的認(rèn)證密鑰�����。根據(jù)接收到的SA參數(shù)信息中認(rèn)證算法密鑰和認(rèn)證算法密鑰長(zhǎng)度����,取出該長(zhǎng)度位寬的認(rèn)證處理密鑰�����。
[0046]拼接數(shù)據(jù)模塊10063和拼接數(shù)據(jù)模塊10064,用于將按總線寬度的待認(rèn)證數(shù)據(jù)拼接成符合認(rèn)證算法模塊的位寬數(shù)據(jù)���。例如�����,接收到總線位寬的待認(rèn)證數(shù)據(jù)先暫存下來(lái)等到符合哈希算法需要的位寬待認(rèn)證數(shù)據(jù)���,一起拼接成符合位寬的待認(rèn)證數(shù)據(jù)發(fā)送給HMAC-SHA1-96 子模塊和 AES-XCBC-MAC-96 子模塊。
[0047]HMAC-SHA1-96子模塊10065���,用于對(duì)待認(rèn)證數(shù)據(jù)用HMAC-SHA1-96算法處理,得出認(rèn)證算法出后的數(shù)據(jù)����。例如,接收到一個(gè)待認(rèn)證處理的數(shù)據(jù)�����,在該模塊用HMAC-SHA1-96算法對(duì)待認(rèn)證數(shù)據(jù)進(jìn)行哈希處理����,處理結(jié)束將哈希值送出去�����。
[0048]AES-XCBC-MAC-96 子模塊 10066����,用于對(duì)待認(rèn)證數(shù)據(jù)用 AES-XCBC-MAC-96 算法處理�,得出認(rèn)證算法出后的數(shù)據(jù)。例如��,接收到一個(gè)待認(rèn)證處理的數(shù)據(jù)�,在該模塊用HMAC-SHA1-96算法對(duì)待認(rèn)證數(shù)據(jù)進(jìn)行哈希處理,處理結(jié)束將哈希值送出去�����。
[0049]哈希值選擇器10067���,用于根據(jù)哈希算法類(lèi)型的控制信號(hào)選擇HMAC-SHA1-96子模塊和AES-XCBC-MAC-96子模塊兩條通路中其中一條的哈希值��。例如����,哈希值選擇器10067根據(jù)其哈希算法類(lèi)型的控制信號(hào),將HMAC-SHA1-96子模塊和AES-XCBC-MAC-96子模塊兩條通路其中一條通路的哈希值轉(zhuǎn)發(fā)出去�����。
[0050]哈希值處理子模塊10068����,用于將哈希算法模塊發(fā)送過(guò)來(lái)的160bit哈希值提取前96位bit作為最終的認(rèn)證數(shù)據(jù),并將該數(shù)據(jù)解分為符合總線寬度的認(rèn)證數(shù)據(jù)����。例如,接收到160bit的哈希值后����,提取前96位bit的哈希值數(shù)據(jù)作為最終的認(rèn)證數(shù)據(jù),并將該哈希值數(shù)據(jù)解分為符合總線寬度的認(rèn)證數(shù)據(jù)����。
[0051]圖11為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中認(rèn)證模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖����;
如圖11所示,認(rèn)證模塊1100進(jìn)一步地包括:哈希算法選擇器1101���、認(rèn)證密鑰處理子模塊1102����、拼接數(shù)據(jù)模塊1103、拼接數(shù)據(jù)模塊1104���、HMAC-SHA1-96子模塊1105�����、AES-XCBC-MAC-96子模塊1106�、哈希值選擇器1107���、哈希值處理子模塊1108����。在實(shí)施實(shí)例中具體操作為����,哈希算法選擇器1101接收到按總線寬度的待認(rèn)證數(shù)據(jù)和哈希算法類(lèi)型的控制信號(hào),根據(jù)其哈希算法類(lèi)型的控制信號(hào)�,將按總線寬度的待認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)通向給HMAC-SHA1-96子模塊1105和AES-XCBC-MAC-96子模塊1106兩條通路其中一條,在到達(dá)HMAC-SHA1-96子模塊1105和AES-XCBC-MAC-96子模塊1106之前先經(jīng)過(guò)拼接數(shù)據(jù)模塊1103或拼接數(shù)據(jù)模塊1104�,拼接數(shù)據(jù)模塊將總線位寬的待認(rèn)證數(shù)據(jù)先暫存下來(lái)等到符合哈希算法需要的位寬待認(rèn)證數(shù)據(jù)���,一起拼接成符合位寬的待認(rèn)證數(shù)據(jù)發(fā)送給HMAC-SHA1-96子模塊1105和AES-XCBC-MAC-96子模塊1106,用HMAC-SHA1-96哈希算法處理完或用AES-XCBC-MAC-96哈希算法處理完���,將哈希值發(fā)送給哈希值選擇器1107����,哈希值選擇器1107根據(jù)其哈希算法類(lèi)型的控制信號(hào)��,將HMAC-SHA1-96子模塊1105和AES-XCBC-MAC-96子模塊1106兩條通路其中一條通路的哈希值數(shù)據(jù)轉(zhuǎn)發(fā)給哈希值處理子模塊1108���,哈希值處理子模塊1108接收到160bit的哈希值后�,提取前96位bit的哈希值數(shù)據(jù)作為最終的認(rèn)證數(shù)據(jù)���,并將該哈希值數(shù)據(jù)解分為符合總線寬度的認(rèn)證數(shù)據(jù)���。
[0052]圖12為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖。如圖12所示�,IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)1200包括:內(nèi)網(wǎng)GMAC模塊1201、數(shù)據(jù)進(jìn)入緩存模塊1202��、IPSec協(xié)議封裝處理模塊1203���、SA匹配模塊1204����、加密模塊1205�、認(rèn)證模塊1206、報(bào)文分片模塊1207�����、數(shù)據(jù)外出緩存模塊1208�����、夕卜網(wǎng)GMAC模塊1209 ;其中內(nèi)網(wǎng)GMAC模塊1201�����、數(shù)據(jù)進(jìn)入緩存模塊1202����、IPSec協(xié)議封裝處理模塊1203、SA匹配模塊1204���、加密模塊1205���、認(rèn)證模塊1206��、報(bào)文分片模塊1207�����、數(shù)據(jù)外出緩存模塊1208��、外網(wǎng)GMAC模塊1209可以分別和圖1中所示的內(nèi)網(wǎng)GMAC模塊101�����、數(shù)據(jù)進(jìn)入緩存模塊102���、IPSec協(xié)議封裝處理模塊103、SA匹配模塊104�����、加密模塊105�、認(rèn)證模塊106、報(bào)文分片模塊107�����、數(shù)據(jù)外出緩存模塊108、外網(wǎng)GMAC模塊109具有相同的結(jié)構(gòu)���,這里不再過(guò)多的闡述其具體的技術(shù)內(nèi)容。
[0053]如圖12所示����,報(bào)文分片模塊1207進(jìn)一步地包括:報(bào)文數(shù)據(jù)存儲(chǔ)子模塊12071、分片模塊12072��。
[0054]其中���,報(bào)文數(shù)據(jù)存儲(chǔ)子模塊12071�,用于存儲(chǔ)整個(gè)IPSec協(xié)議處理完成的IP報(bào)文包���,以待分片模塊讀取��。例如���,報(bào)文數(shù)據(jù)存儲(chǔ)子模塊12071存儲(chǔ)IPSec協(xié)議封裝處理模塊1203發(fā)送過(guò)來(lái)已經(jīng)經(jīng)過(guò)IPSec協(xié)議安全處理的一個(gè)完整的IP報(bào)文包,以待分片模塊12072讀取��。
[0055]分片模塊12072,用于根據(jù)最大傳送單元(MTU)將IPSec協(xié)議處理完成的IP報(bào)文包進(jìn)行分片處理��,將IP首部中的一些必要的部分提取出來(lái)復(fù)制到所有的分片中�,IP報(bào)文中的載荷數(shù)據(jù)根據(jù)MTU值進(jìn)行分片,最后將與一個(gè)數(shù)據(jù)報(bào)的分片有關(guān)的字段:標(biāo)識(shí)�、標(biāo)志和分片偏移組裝進(jìn)各個(gè)分片。例如��,從報(bào)文數(shù)據(jù)存儲(chǔ)子模塊12071中讀取已經(jīng)經(jīng)過(guò)IPSec協(xié)議安全處理的IP報(bào)文�����,根據(jù)最大傳送單元(MTU)將該報(bào)文包進(jìn)行分片處理���,將IP首部中的一些必要的部分提取出來(lái)復(fù)制到所有的分片中����,IP報(bào)文中的載荷數(shù)據(jù)根據(jù)MTU值進(jìn)行分片�,最后將與一個(gè)數(shù)據(jù)報(bào)的分片有關(guān)的字段:標(biāo)識(shí)、標(biāo)志和分片偏移組裝進(jìn)各個(gè)分片�����。
[0056]圖13為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中報(bào)文分片模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖�;
如圖13所示�����,報(bào)文分片模塊1300進(jìn)一步地包括:報(bào)文數(shù)據(jù)存儲(chǔ)子模塊1301��、分片模塊1302�����。在實(shí)施實(shí)例中具體操作為,首先報(bào)文數(shù)據(jù)存儲(chǔ)子模塊1301將IPSec協(xié)議封裝處理模塊發(fā)送過(guò)來(lái)已經(jīng)經(jīng)過(guò)IPSec協(xié)議安全處理的一個(gè)完整的IP報(bào)文包存儲(chǔ)下來(lái)�����,以待分片模塊1307讀取���。分片模塊1307根據(jù)最大傳送單元(MTU)將該報(bào)文包進(jìn)行分片處理����,將IP首部中的一些必要的部分提取出來(lái)復(fù)制到所有的分片中����,IP報(bào)文中的載荷數(shù)據(jù)根據(jù)MTU值進(jìn)行分片,最后將與一個(gè)數(shù)據(jù)報(bào)的分片有關(guān)的字段:標(biāo)識(shí)�、標(biāo)志和分片偏移組裝進(jìn)各個(gè)分片�����。
[0057]圖14為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的另一個(gè)【具體實(shí)施方式】的結(jié)構(gòu)示意圖�;
如圖14所示�,IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)1200包括:內(nèi)網(wǎng)GMAC模塊1401、數(shù)據(jù)進(jìn)入緩存模塊1402����、IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元14031、SA信息存儲(chǔ)單元14032����、IPSec封裝處理控制子模塊14033、密文數(shù)據(jù)存儲(chǔ)單元14034��、認(rèn)證后數(shù)據(jù)存儲(chǔ)單元14035����、IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元14036、SA匹配模塊1404����、加密模塊1405、認(rèn)證模塊1406����、報(bào)文分片模塊1407�����、數(shù)據(jù)外出緩存模塊1408��、外網(wǎng)GMAC模塊1409 ;其中內(nèi)網(wǎng)GMAC模塊1401����、數(shù)據(jù)進(jìn)入緩存模塊1402��、IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元14031�����、SA信息存儲(chǔ)單元14032�、IPSec封裝處理控制子模塊14033����、密文數(shù)據(jù)存儲(chǔ)單元14034、認(rèn)證后數(shù)據(jù)存儲(chǔ)單元14035�����、IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元14036、SA匹配模塊1404�、加密模塊1405、認(rèn)證模塊1206�����、報(bào)文分片模塊1407�、數(shù)據(jù)外出緩存模塊1408、外網(wǎng)GMAC模塊1409可以分別和圖4中所示的內(nèi)網(wǎng)GMAC模塊401���、數(shù)據(jù)進(jìn)入緩存模塊402����、IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元4031�、SA信息存儲(chǔ)單元4032、IPSec封裝處理控制子模塊4033�����、密文數(shù)據(jù)存儲(chǔ)單元4034���、認(rèn)證后數(shù)據(jù)存儲(chǔ)單元4035�����、IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元4036�����、SA匹配模塊404����、加密模塊405、認(rèn)證模塊406�����、報(bào)文分片模塊407�����、數(shù)據(jù)外出緩存模塊408�、外網(wǎng)GMAC模塊409具有相同的結(jié)構(gòu)�,這里不再過(guò)多的闡述其具體的技術(shù)內(nèi)容。
[0058]如圖14所示��,IPSec封裝處理控制子模塊14033包括=IPSec協(xié)議處理主控子模塊140331���、計(jì)算填充項(xiàng)長(zhǎng)度子模塊140332��、封裝明文子模塊140333�、封裝認(rèn)證數(shù)據(jù)模塊140334。
[0059]其中��,IPSec協(xié)議處理主控子模塊140331���,用于對(duì)IPSec協(xié)議封裝處理控制模塊14033中各個(gè)模塊進(jìn)行協(xié)調(diào)工作控制���,發(fā)送SA匹配模塊1404IP報(bào)文頭信息,根據(jù)SA匹配模塊1404發(fā)送回來(lái)的SA信息判斷IPSec處理所采用的協(xié)議和處理時(shí)模式����,將相關(guān)信息發(fā)送給計(jì)算填充項(xiàng)模塊140332、封裝明文子模塊140333和封裝待認(rèn)證數(shù)據(jù)子模塊140334��,以及最后封裝經(jīng)過(guò)IPSec協(xié)議處理的報(bào)文�����。例如�,一個(gè)待IPSec協(xié)議安全處理的IP報(bào)文,IPSec封裝處理主控模塊140331從IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元14031中讀取IP報(bào)文中IP頭頭信息����,發(fā)送給SA匹配模塊1404��,然后等SA匹配模塊1404處理完���,從SA信息存儲(chǔ)單元14032中讀取該IP報(bào)文需要IPSec協(xié)議安全處理對(duì)應(yīng)的SA相關(guān)信息參數(shù),并根據(jù)其中一部分信息判斷選擇=IPSec協(xié)議處理是采用AH協(xié)議還是ESP協(xié)議�����;處理模式是采用傳輸模式還是隧道模式�;加密算法類(lèi)型是采用AES-CBC算法、3DES算法還是NULL ;驗(yàn)證算法類(lèi)型是采用HMAC-SHA1-96算法�����、AES-XCBC-MAC-96算法還是NULL�。IPSec協(xié)議處理主控子模塊140331將從SA信息存儲(chǔ)單元14032中讀取該IP報(bào)文需要IPSec協(xié)議安全處理對(duì)應(yīng)的SA相關(guān)信息參數(shù)中加密算法密鑰的長(zhǎng)度和從IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元14031中讀取IP報(bào)文中IP頭頭信息中IP報(bào)文頭中載荷長(zhǎng)度的信息發(fā)送給計(jì)算填充項(xiàng)長(zhǎng)度子模塊140332,等計(jì)算填充項(xiàng)長(zhǎng)度子模塊140332處理完����,接收該模塊發(fā)送回來(lái)的符合加密模塊1405的數(shù)據(jù)位寬要求需要填充項(xiàng)的長(zhǎng)度��,IPSec封裝處理主控模塊140331將該長(zhǎng)度信息和SA信息中協(xié)議類(lèi)型和處理模式轉(zhuǎn)發(fā)給封裝明文子模塊140333�。當(dāng)加密完成后IPSec協(xié)議處理主控子模塊140331將接收到的密文和其他待驗(yàn)證數(shù)據(jù)轉(zhuǎn)發(fā)發(fā)送給封裝待認(rèn)證數(shù)據(jù)子模塊140334。最后IPSec協(xié)議處理主控子模塊140331讀取IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元14031中IP頭信息��、讀取SA信息存儲(chǔ)模塊14032中SA部分信息包括:安全參數(shù)索引SPI,序列號(hào)�����,初始化向量���、讀取密文數(shù)據(jù)存儲(chǔ)單元14034中加密完成的密文數(shù)據(jù)和讀取認(rèn)證后數(shù)據(jù)存儲(chǔ)單元14035中認(rèn)證數(shù)據(jù)封裝在一個(gè)完整IP包存儲(chǔ)到IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元14036中�����,并根據(jù)交互模塊的控制信號(hào)適時(shí)地發(fā)送給報(bào)文分片模塊1407���。
[0060]計(jì)算填充項(xiàng)長(zhǎng)度子模塊140332,用于根據(jù)IPSec協(xié)議處理主控子模塊140331發(fā)送過(guò)來(lái)的IP頭中載荷長(zhǎng)度信息計(jì)算出需要填充數(shù)據(jù)的長(zhǎng)度��。例如��,計(jì)算填充項(xiàng)長(zhǎng)度子模塊140332接收IPSec協(xié)議處理主控子模塊140331發(fā)送過(guò)來(lái)的IP頭中載荷長(zhǎng)度信息���,根據(jù)其信息計(jì)算出需要填充數(shù)據(jù)的長(zhǎng)度����,然后再轉(zhuǎn)發(fā)給IPSec協(xié)議處理主控子模塊140331。
[0061]封裝明文子模塊140333���,用于對(duì)需要加密的明文進(jìn)行封裝���,發(fā)送給加密模塊1405。例如���,封裝明文子模塊140333接收IPSec協(xié)議處理主控子模塊140331發(fā)送過(guò)來(lái)的待封裝的明文數(shù)據(jù)進(jìn)行封裝��,然后發(fā)送給加密模塊1405�。
[0062]封裝待認(rèn)證數(shù)據(jù)子模塊140334��,用于對(duì)待認(rèn)證處理的數(shù)據(jù)進(jìn)行封裝���,發(fā)送給認(rèn)證模塊1406����。例如��,封裝明文子模塊140334接收IPSec協(xié)議處理主控子模塊140331發(fā)送過(guò)來(lái)的待認(rèn)證的數(shù)據(jù)進(jìn)行封裝�����,然后發(fā)送給認(rèn)證模塊1406����。
[0063]圖15為本發(fā)明提供的IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)的一個(gè)具體實(shí)施實(shí)例中IPSec封裝處理控制子模塊的【具體實(shí)施方式】的結(jié)構(gòu)示意圖;
如圖15所示�,IPSec封裝處理控制子模塊1500包括=IPSec協(xié)議處理主控子模塊1501、計(jì)算填充項(xiàng)長(zhǎng)度子模塊1502��、封裝明文子模塊1503�、封裝認(rèn)證數(shù)據(jù)模塊1504。在實(shí)施實(shí)例中具體操作為�,一個(gè)待IPSec協(xié)議安全處理的IP報(bào)文,IPSec封裝處理主控模塊1501從IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元中讀取IP報(bào)文中IP頭頭信息�,發(fā)送給SA匹配模塊,然后等SA匹配模塊處理完���,從SA信息存儲(chǔ)單元中讀取該IP報(bào)文需要IPSec協(xié)議安全處理對(duì)應(yīng)的SA相關(guān)信息參數(shù)���,并根據(jù)其中一部分信息判斷選擇=IPSec協(xié)議處理是采用AH協(xié)議還是ESP協(xié)議;處理模式是采用傳輸模式還是隧道模式��;加密算法類(lèi)型是采用AES-CBC算法��、3DES算法還是NULL ;驗(yàn)證算法類(lèi)型是采用HMAC-SHA1-96算法�、AES-XCBC-MAC-96算法還是NULL��。IPSec協(xié)議處理主控子模塊1501將從SA信息存儲(chǔ)單元中讀取該IP報(bào)文需要IPSec協(xié)議安全處理對(duì)應(yīng)的SA相關(guān)信息參數(shù)中加密算法密鑰的長(zhǎng)度和從IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元中讀取IP報(bào)文中IP頭頭信息中IP報(bào)文頭中載荷長(zhǎng)度的信息發(fā)送給計(jì)算填充項(xiàng)長(zhǎng)度子模塊1502���,計(jì)算填充項(xiàng)長(zhǎng)度子模塊1502接收IPSec協(xié)議處理主控子模塊1501發(fā)送過(guò)來(lái)的IP頭中載荷長(zhǎng)度信息,根據(jù)其信息計(jì)算出需要填充數(shù)據(jù)的長(zhǎng)度��,然后再轉(zhuǎn)發(fā)給IPSec協(xié)議處理主控子模塊1501����,IPSec封裝處理主控模塊1501將該長(zhǎng)度信息和SA信息中協(xié)議類(lèi)型和處理模式轉(zhuǎn)發(fā)給封裝明文子模塊1503。封裝明文子模塊1503接收IPSec協(xié)議處理主控子模塊1501發(fā)送過(guò)來(lái)的待封裝的明文數(shù)據(jù)進(jìn)行封裝�,然后發(fā)送給加密模塊。當(dāng)加密完成后IPSec協(xié)議處理主控子模塊1501將接收到的密文和其他待驗(yàn)證數(shù)據(jù)轉(zhuǎn)發(fā)發(fā)送給封裝待認(rèn)證數(shù)據(jù)子模塊1504�。最后IPSec協(xié)議處理主控子模塊1501接收到認(rèn)證數(shù)據(jù),再讀取IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元中IP頭信息���、讀取SA信息存儲(chǔ)模塊中SA部分信息包括:安全參數(shù)索引SPI�����,序列號(hào)�����,初始化向量��、讀取密文數(shù)據(jù)存儲(chǔ)單元中加密完成的密文數(shù)據(jù)和讀取認(rèn)證后數(shù)據(jù)存儲(chǔ)單元中認(rèn)證數(shù)據(jù)封裝在一個(gè)完整IP包存儲(chǔ)到IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元中���,并根據(jù)交互模塊的控制信號(hào)適時(shí)地發(fā)送給報(bào)文分片模塊。
[0064]本發(fā)明提供了一種IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)��,通過(guò)采用數(shù)據(jù)進(jìn)入緩存模塊����、數(shù)據(jù)外出緩存模塊實(shí)現(xiàn)數(shù)據(jù)寫(xiě)入和讀出的乒乓操作,提高硬件IPSec協(xié)議外出處理效率�����。本發(fā)明提供了一種IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)��,通過(guò)IPSec協(xié)議外出處理實(shí)現(xiàn)都采用硬件結(jié)構(gòu)模塊�����,包括:內(nèi)網(wǎng)GMAC模塊��、數(shù)據(jù)進(jìn)入緩存模塊����、IPSec協(xié)議封裝處理模塊�、SA匹配模塊����、加密模塊、認(rèn)證模塊��、報(bào)文分片模塊�����、數(shù)據(jù)外出緩存模塊�����、外網(wǎng)GMAC模塊�,有效的提高了基于軟件的IPSec協(xié)議外出處理速率,將CPU在處理過(guò)程中完全釋放出來(lái)�����。
[0065]以上所述僅是本發(fā)明的部分實(shí)施方式��,應(yīng)當(dāng)指出�,對(duì)于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下���,還可以做出若干改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍����。
【權(quán)利要求】
1.一種IPv6下IPSec協(xié)議外出處理硬件實(shí)現(xiàn)系統(tǒng)�,其特征在于,包括: 內(nèi)網(wǎng)GMAC模塊��,其連接內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備以進(jìn)行通信�,其中:所述通信包括:內(nèi)網(wǎng)GMAC模塊接收從網(wǎng)絡(luò)設(shè)備發(fā)送過(guò)來(lái)的物理層比特?cái)?shù)據(jù)流,在接收完一幀數(shù)據(jù)后檢查該幀是否有效�,若有效則解封掉數(shù)據(jù)幀的頭尾變成網(wǎng)絡(luò)層IP報(bào)文,將IP報(bào)文發(fā)送至數(shù)據(jù)進(jìn)入緩存模塊����; 數(shù)據(jù)進(jìn)入緩存模塊,其連接所述內(nèi)網(wǎng)GMAC模塊�,用于將從所述內(nèi)網(wǎng)GMAC模塊發(fā)送過(guò)來(lái)的IP報(bào)文,用乒乓操作方式將報(bào)文寫(xiě)入數(shù)據(jù)存儲(chǔ)單元��,以緩存待IPSec協(xié)議處理的IP報(bào)文����; IPSec協(xié)議封裝處理模塊���,其連接所述數(shù)據(jù)進(jìn)入緩存模塊、SA匹配模塊��、加密模塊和驗(yàn)證證模塊���,用于從數(shù)據(jù)進(jìn)入緩存模塊讀取一個(gè)完整的IP包存入存儲(chǔ)裝置���、向SA匹配模塊發(fā)送IP頭信息、從SA匹配模塊讀取過(guò)來(lái)的SA相關(guān)參數(shù)信息并根據(jù)其中一部分信息判斷選擇IPSec協(xié)議處理方式�����、將明文數(shù)據(jù)發(fā)送給加密模塊并從其模塊獲取密文數(shù)據(jù)�����、將待驗(yàn)證數(shù)據(jù)發(fā)送給驗(yàn)證模塊并從其模塊獲取驗(yàn)證完的數(shù)據(jù)和產(chǎn)生與各個(gè)交互模塊的相關(guān)控制信號(hào)���,隨后將待封裝的數(shù)據(jù)封裝在一個(gè)完整IP包中�����,發(fā)送至報(bào)文分片模塊���; SA匹配模塊���,其連接所述IPSec協(xié)議封裝處理模塊,用于接收IPSec協(xié)議封裝處理模塊發(fā)送過(guò)來(lái)IP包中IP頭的數(shù)據(jù)信息�,根據(jù)其中部分信息選擇該IP包需要進(jìn)行安全保護(hù)的SA信息,并將其SA信息發(fā)送給IPSec協(xié)議封裝處理模塊����; 加密模塊����,其連接所述IPSec協(xié)議封裝處理模塊,用于接收IPSec協(xié)議封裝處理模塊發(fā)送過(guò)來(lái)的明文數(shù)據(jù)�、加密算法模式和密鑰數(shù)據(jù),將明文進(jìn)行加密,并將加密完的密文數(shù)據(jù)回傳給IPSec協(xié)議封裝處理模塊; 認(rèn)證模塊����,其連接所述IPSec協(xié)議封裝處理模塊,用于接收IPSec協(xié)議封裝處理模塊發(fā)送過(guò)來(lái)的待認(rèn)證處理數(shù)據(jù)����、加密算法模式和密鑰數(shù)據(jù)��,將待認(rèn)證處理的數(shù)據(jù)進(jìn)行認(rèn)證算法處理��,并將認(rèn)證處理后的數(shù)據(jù)回傳給IPSec協(xié)議封裝處理模塊�����; 報(bào)文分片模塊��,其連接所述IPSec協(xié)議封裝處理模塊��,用于接收IPSec協(xié)議封裝處理模塊發(fā)送過(guò)來(lái)的IP數(shù)據(jù)報(bào)��,根據(jù)MTU的值對(duì)IP數(shù)據(jù)報(bào)進(jìn)行分片處理�; 數(shù)據(jù)外出緩存模塊���,其連接所述報(bào)文分片模塊�����,用于將報(bào)文分片模塊發(fā)送過(guò)來(lái)的分片后的IP報(bào)文���,用乒乓操作方式將報(bào)文寫(xiě)入數(shù)據(jù)存儲(chǔ)單元����,以緩存發(fā)送給外網(wǎng)GMAC模塊的IP報(bào)文���; 外網(wǎng)GMAC模塊��,其連接所述數(shù)據(jù)外出緩存模塊�,用于接收數(shù)據(jù)外出緩存模塊發(fā)送過(guò)來(lái)的IP報(bào)文��,在數(shù)據(jù)段頭尾加上一些控制信息��,組成一個(gè)以太網(wǎng)數(shù)據(jù)幀��,并將該數(shù)據(jù)幀以比特?cái)?shù)據(jù)流的形式發(fā)送到物理層�����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其特征在于,所述數(shù)據(jù)進(jìn)入緩存模塊包括: 輸入數(shù)據(jù)選擇器���,用于根據(jù)選擇信號(hào)將IP報(bào)文數(shù)據(jù)存入第一數(shù)據(jù)存儲(chǔ)單元或第二數(shù)據(jù)存儲(chǔ)單兀���; 第一和第二數(shù)據(jù)存儲(chǔ)單元�����,用于緩存內(nèi)網(wǎng)GMAC模塊發(fā)送過(guò)的待IPSec處理的IP報(bào)文數(shù)據(jù)��; 輸出數(shù)據(jù)選擇器�����,用于根據(jù)選擇信號(hào)將IP報(bào)文數(shù)據(jù)輸出到IPSec協(xié)議封裝處理模塊�����; 通過(guò)輸入數(shù)據(jù)選擇器�,兩個(gè)數(shù)據(jù)存儲(chǔ)單元����,輸出數(shù)據(jù)選擇器以及選擇信號(hào)實(shí)現(xiàn)對(duì)發(fā)送IP報(bào)文進(jìn)行乒乓操作,從而提高數(shù)據(jù)處理速度���。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于����,所述IPSec協(xié)議封裝處理模塊包括: IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元�����,用于存儲(chǔ)待IPSec協(xié)議處理的整個(gè)IP包����,可由IPSec封裝處理控制子模塊進(jìn)行讀取其中的數(shù)據(jù)�����; SA信息存儲(chǔ)單元�,用于存儲(chǔ)待IPSec協(xié)議處理的IP包對(duì)應(yīng)的SA信息,其中:所述SA信息包括:安全參數(shù)索引SP1��、IPSec協(xié)議類(lèi)型�、處理模式、目的IP地址��、源IP地址�、序列號(hào)、力口密算法初始化向量IV����、IV長(zhǎng)度、加密算法類(lèi)型����、加密算法密鑰、加密算法密鑰長(zhǎng)度�、認(rèn)證算法類(lèi)型、認(rèn)證算法密鑰和認(rèn)證算法密鑰長(zhǎng)度信息�; IPSec封裝處理控制子模塊,用于對(duì)整個(gè)IP報(bào)文的IPSec協(xié)議處理進(jìn)行控制�,計(jì)算IP報(bào)文填充項(xiàng)的長(zhǎng)度,發(fā)送SA匹配模塊IP報(bào)文頭信息�,根據(jù)SA匹配模塊發(fā)送回來(lái)的SA信息判斷IPSec處理所采用的協(xié)議和處理時(shí)模式,從而對(duì)需要加密的明文進(jìn)行封裝�����,對(duì)待認(rèn)證處理的數(shù)據(jù)進(jìn)行封裝�,對(duì)需要加密的明文進(jìn)行協(xié)調(diào)IPSec處理前報(bào)文數(shù)據(jù)存儲(chǔ)單元、SA信息存儲(chǔ)單元���、密文數(shù)據(jù)存儲(chǔ)單元�����、認(rèn)證后數(shù)據(jù)存儲(chǔ)單元和IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元的工作以及產(chǎn)生IPSec協(xié)議封裝處理模塊之外交互模塊的相關(guān)控制信號(hào)��; 密文數(shù)據(jù)存儲(chǔ)單元����,用于存儲(chǔ)加密模塊發(fā)送過(guò)來(lái)的已經(jīng)加密完成的密文包,可有IPSec封裝處理控制子模塊進(jìn)行讀取其中的數(shù)據(jù)����; 認(rèn)證后數(shù)據(jù)存儲(chǔ)單元,用于緩存認(rèn)證模塊發(fā)送過(guò)來(lái)的已經(jīng)認(rèn)證處理后的哈希值���,可由IPSec封裝處理控制子模塊進(jìn)行讀取其中的數(shù)據(jù)����; IPSec處理后報(bào)文數(shù)據(jù)存儲(chǔ)單元�,用于存儲(chǔ)IPSec封裝處理后的完整的一個(gè)IP數(shù)據(jù)包,發(fā)送給報(bào)文分片模塊�。
4.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于�,所述SA匹配模塊包括: SA匹配控制子模塊,用于控制整個(gè)SA匹配模塊工作����,接收IPSec協(xié)議封裝處理模塊發(fā)送過(guò)來(lái)的IP報(bào)文頭信息,并從IP頭中提取出安全參數(shù)索引SP1、源地址和目的地址���,將〈SPI,目的地址����,協(xié)議 > 組成的三元組信息發(fā)送給SAD CAM子模塊; SAD配置子模塊�,用于手工配置SAD CAM子模塊和SA參數(shù)信息存儲(chǔ)子模塊當(dāng)中的數(shù)據(jù),可以固化其中的一部分的默認(rèn)信息和用隨機(jī)數(shù)發(fā)生器產(chǎn)生其中一部分的隨機(jī)信息�; SAD CAM子模塊,用于存儲(chǔ)IP報(bào)文頭信息中〈SPI�����,目的地址�,協(xié)議〉組成的三元組信息,在寫(xiě)模式時(shí)�����,接收SAD配置子模塊對(duì)其中的RAM進(jìn)行寫(xiě)操作��,更新其三元組信息���,在匹配模式時(shí)�,根據(jù)SA匹配控制子模塊發(fā)送過(guò)來(lái)的〈.SPI,目的地址,協(xié)議〉三元組信息進(jìn)行匹配�,發(fā)送其匹配成功的地址以及匹配成功標(biāo)志; SA參數(shù)信息存儲(chǔ)子模塊��,用于存儲(chǔ)一系列SA參數(shù)數(shù)據(jù)����,在手工配置時(shí),通過(guò)SAD配置模塊把SA參數(shù)信息寫(xiě)入SA參數(shù)信息存儲(chǔ)子模塊�����。
5.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述加密模塊包括: 加密算法選擇器���,用于根據(jù)加密算法類(lèi)型的控制信號(hào)選擇AES子模塊和3DES子模塊兩條通路中其中一條�; 密鑰處理子模塊�,用于根據(jù)IPSec協(xié)議處理模塊發(fā)送過(guò)來(lái)的定義好位寬格式的最大長(zhǎng)度的加密密鑰和實(shí)際該加密密鑰的長(zhǎng)度得出實(shí)際位寬的加密密鑰; 兩個(gè)拼接數(shù)據(jù)子模塊�����,用于將按總線寬度的明文拼接成符合加密位寬的數(shù)據(jù); AES子模塊���,用于對(duì)明文數(shù)據(jù)用AES算法處理��,得出密文數(shù)據(jù); 3DES子模塊���,用于對(duì)明文數(shù)據(jù)用3DES算法處理����,得出密文數(shù)據(jù)�; 密文選擇器,用于根據(jù)加密算法類(lèi)型的控制信號(hào)選擇AES子模塊和3DES子模塊兩條通路中其中一條的密文�; 解拼接數(shù)據(jù)子模塊,用于將密文數(shù)據(jù)解分為符合總線寬度的密文數(shù)據(jù)���。
6.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其特征在于,所述認(rèn)證模塊包括: 哈希算法選擇器�,用于根據(jù)認(rèn)證算法類(lèi)型的控制信號(hào)選擇HMAC-SHA1-96子模塊和AES-XCBC-MAC-96子模塊兩條通路中其中一條; 認(rèn)證密鑰處理子模塊,用于根據(jù)IPSec協(xié)議處理模塊發(fā)送過(guò)來(lái)的定義好位寬格式的最大長(zhǎng)度的認(rèn)證密鑰和實(shí)際該認(rèn)證密鑰的長(zhǎng)度得出實(shí)際位寬的認(rèn)證密鑰�; 兩個(gè)拼接數(shù)據(jù)子模塊,用于將按總線寬度的待認(rèn)證數(shù)據(jù)拼接成符合認(rèn)證算法模塊的位寬數(shù)據(jù)����; HMAC-SHA1-96子模塊,用于對(duì)待認(rèn)證數(shù)據(jù)用HMAC-SHA1-96算法處理���,得出認(rèn)證算法出后的數(shù)據(jù)����; AES-XCBC-MAC-96子模塊�����,用于對(duì)待認(rèn)證數(shù)據(jù)用AES-XCBC-MAC-96算法處理��,得出認(rèn)證算法出后的數(shù)據(jù)�����; 哈希值選擇器�,用于根據(jù)哈希算法類(lèi)型的控制信號(hào)選擇HMAC-SHA1-96子模塊和AES-XCBC-MAC-96子模塊兩條通路中其中一條的哈希值; 哈希值處理子模塊����,用于將哈希算法模塊發(fā)送過(guò)來(lái)的160bit哈希值提取前96位bit作為最終的認(rèn)證數(shù)據(jù)��,并將該數(shù)據(jù)解分為符合總線寬度的認(rèn)證數(shù)據(jù)��。
7.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其特征在于���,所述報(bào)文分片模塊包括: 報(bào)文數(shù)據(jù)存儲(chǔ)子模塊,用于存儲(chǔ)整個(gè)IPSec協(xié)議處理完成的IP報(bào)文包��,以待分片模塊讀?�?��; 分片子模塊,用于根據(jù)最大傳送單元MTU將IPSec協(xié)議處理完成的IP報(bào)文包進(jìn)行分片處理��,將IP首部中的一些必要的部分提取出來(lái)復(fù)制到所有的分片中�����,IP報(bào)文中的載荷數(shù)據(jù)根據(jù)MTU值進(jìn)行分片�����,最后將與一個(gè)數(shù)據(jù)報(bào)的分片有關(guān)的字段:標(biāo)識(shí)、標(biāo)志和分片偏移組裝進(jìn)各個(gè)分片��。
8.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于,所述數(shù)據(jù)輸出緩存模塊包括: 輸入數(shù)據(jù)選擇器����,用于根據(jù)選擇信號(hào)將分片完的IP報(bào)文數(shù)據(jù)存入第一數(shù)據(jù)存儲(chǔ)單元或第二數(shù)據(jù)存儲(chǔ)單元; 兩個(gè)數(shù)據(jù)存儲(chǔ)單元�����,用于緩存輸入的IP報(bào)文數(shù)據(jù)�����; 輸出數(shù)據(jù)選擇器���,用于根據(jù)選擇信號(hào)將分片完的IP報(bào)文數(shù)據(jù)輸出到外網(wǎng)GMAC模塊�;通過(guò)輸入數(shù)據(jù)選擇器�,兩個(gè)數(shù)據(jù)存儲(chǔ)單元,輸出數(shù)據(jù)選擇器以及選擇信號(hào)實(shí)現(xiàn)對(duì)發(fā)送分片完的IP報(bào)文進(jìn)行乒乓操作�����。
9.根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于�,所述IPSec封裝處理控制子模塊包括: IPSec協(xié)議處理主控子模塊,用于對(duì)IPSec協(xié)議封裝處理控制模塊中各個(gè)模塊進(jìn)行協(xié)調(diào)工作控制���,發(fā)送SA匹配模塊IP報(bào)文頭信息�����,根據(jù)SA匹配模塊發(fā)送回來(lái)的SA信息判斷IPSec處理所采用的協(xié)議和處理時(shí)模式����,將相關(guān)信息發(fā)送給計(jì)算填充項(xiàng)模塊���、封裝明文子模塊和封裝待認(rèn)證數(shù)據(jù)子模塊,以及最后封裝經(jīng)過(guò)IPSec協(xié)議處理的報(bào)文�; 計(jì)算填充項(xiàng)長(zhǎng)度子模塊,用于根據(jù)IPSec協(xié)議處理主控子模塊發(fā)送過(guò)來(lái)的IP頭中載荷長(zhǎng)度信息計(jì)算出需要填充數(shù)據(jù)的長(zhǎng)度����;封裝明文子模塊,用于對(duì)需要加密的明文進(jìn)行封裝���,發(fā)送給加密模塊���;封裝待認(rèn)證數(shù)據(jù)子模塊���,用于對(duì)待認(rèn)證處理的數(shù)據(jù)進(jìn)行封裝,發(fā)送給認(rèn)證模塊�����。
【文檔編號(hào)】H04L29/06GK104394148SQ201410697250
【公開(kāi)日】2015年3月4日 申請(qǐng)日期:2014年11月26日 優(yōu)先權(quán)日:2014年11月26日
【發(fā)明者】李冰, 張龍飛, 郭新, 史俊達(dá), 劉勇, 趙霞 申請(qǐng)人:東南大學(xué)