一種雙棧IPSec VPN裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信安全技術(shù)領(lǐng)域,尤其涉及一種雙棧IPSec VPN裝置���。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)本身具有的開放性一方面給使得任意用戶都可以接入享用其便利性���,另一角度來說網(wǎng)絡(luò)通信若不采取安全保護措施就會使得通信數(shù)據(jù)對任何一個進入網(wǎng)絡(luò)的用戶都是可獲取的,通信過程不具備安全性��。就目前而言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)新興業(yè)務(wù)的大量崛起�����,特別是在政府�、電信、金融和數(shù)據(jù)通信公司對網(wǎng)絡(luò)通信的安全性要求已經(jīng)達到了一個前所未有的高度�����,這些機構(gòu)對保密的信息種類急劇增多。而IPv4地址資源短缺是當前IP網(wǎng)絡(luò)面臨的嚴峻問題���,業(yè)界公認向IPv6迀移是徹底解決IPv4地址耗盡最有效的方法�����,另一方面IPv4向IPv6迀移又會遇到已經(jīng)會影響部署好的VPN網(wǎng)絡(luò)的問題�。另外�,隨著高速網(wǎng)絡(luò)的普及,1G和40G網(wǎng)絡(luò)已經(jīng)開始普及����,100G網(wǎng)絡(luò)已經(jīng)在較為發(fā)達的地區(qū)開始部署,400G的網(wǎng)絡(luò)也正在走出實驗室開始面向應(yīng)用��,如何在如此高速的網(wǎng)絡(luò)下保證數(shù)據(jù)的安全性��,也成為了一個非常迫切的問題����。
[0003]針對網(wǎng)絡(luò)安全的問題�,因特網(wǎng)工程部(IETF)提出了一組保護IP層數(shù)據(jù)的安全協(xié)議,即為IPSec協(xié)議�����。IPSec協(xié)議是一種標準的、健壯的和包容廣泛的機制���,協(xié)議本身提供了一套默認的�、強制實施的安全算法以保證不同的IPSec實現(xiàn)方案可以實現(xiàn)互通���,其為IPv4和IPv6的IP層數(shù)據(jù)提供安全性保證���,這種安全性包括數(shù)據(jù)源認證、數(shù)據(jù)完整性認證��、數(shù)據(jù)保密性和抗重播保護����。
[0004]針對未來將長期處于IPv4向IPv6的迀移階段問題,現(xiàn)有的過渡技術(shù)包括雙棧技術(shù)�����、隧道技術(shù)�����、NAT-PT技術(shù)。雙棧技術(shù)即通信的節(jié)點是雙協(xié)議棧節(jié)點��,與IPv4節(jié)點通信的時候選擇IPv4協(xié)議棧��,與IPv6節(jié)點通信的時候選擇IPv6協(xié)議棧��。隧道技術(shù)即實現(xiàn)了兩個IPv6的站點之間通過IPv4網(wǎng)絡(luò)進行通信�,包括多種手工隧道技術(shù)和自動隧道技術(shù)。NAT-PT技術(shù)即通過IPv4和IPv6地址之間的相互轉(zhuǎn)換實現(xiàn)IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)互通��。就目前而言��,雙棧技術(shù)方案最為成熟�����、適用范圍更寬���,是當前全球運營商部署IPv6的主流選擇方案����。
[0005]把在雙棧網(wǎng)絡(luò)技術(shù)����、IPSec技術(shù)和VPN技術(shù)的結(jié)合使得設(shè)備具有很強的適用范圍,可以達到網(wǎng)絡(luò)協(xié)議迀移����、網(wǎng)絡(luò)安全性保護和VPN網(wǎng)絡(luò)構(gòu)建的目標。
[0006]目前實現(xiàn)雙棧IPSec VPN的實現(xiàn)主要有三種方式�,通用處理器+純軟件的方式、通用處理器+硬件算法加速模塊和集成的網(wǎng)絡(luò)處理器的實現(xiàn)方式��。第一種方式靈活性最大�����,速度最慢��,不適合高速網(wǎng)絡(luò)下的應(yīng)用���,第二種靈活較低�����,CPU仍然負擔很大的數(shù)據(jù)流�����,同樣也不適合高速網(wǎng)絡(luò)下的應(yīng)用��,第三種靈活性適中��,CPU不干預(yù)數(shù)據(jù)流流動��,CPU只是用來配置管理操作��,總線構(gòu)架中分為CPU的總線和報文數(shù)據(jù)流進入和外出的總線三條總線���,相互獨立��。IPSec協(xié)議實現(xiàn)全部硬件電路實現(xiàn)��,可擴展性強����,速度最高�,適合高速網(wǎng)絡(luò)場景。
【發(fā)明內(nèi)容】
[0007]本發(fā)明所要解決的技術(shù)問題在于克服現(xiàn)有技術(shù)不足���,提供一種雙棧IPSec VPN裝置����,可以滿足給下一代IPv4向IPv6高速網(wǎng)絡(luò)部署提供安全服務(wù)�����,數(shù)據(jù)處理和傳輸效率高����,可擴展性強。
[0008]本發(fā)明具體采用以下技術(shù)方案解決上述技術(shù)問題:
一種雙棧IPSec VPN裝置����,包括雙棧VPN處理部分、安全數(shù)據(jù)庫構(gòu)建和查找部分���、安全協(xié)議處理部分���、數(shù)據(jù)流傳輸機制部分和CPU部分;
所述雙棧VPN處理部分�����,用于雙協(xié)議棧的處理�、VPN頭的處理,包括外出雙棧VPN預(yù)處理模塊�、外出VPN管理表和進入雙棧VPN預(yù)處理模塊;
所述安全數(shù)據(jù)庫構(gòu)建和查找部分����,用于完成IPv4和IPv6兩種類型的安全策略數(shù)據(jù)庫維護�、匹配查找和一種類型的安全聯(lián)盟數(shù)據(jù)庫維護����、匹配查找;其包括外出雙棧安全處理模塊����、數(shù)據(jù)報文緩存模塊、外出安全數(shù)據(jù)庫操作接口�����、外出雙棧安全數(shù)據(jù)庫模塊��、進入雙棧安全處理模塊���、進入安全數(shù)據(jù)庫操作接口和進入雙棧安全數(shù)據(jù)庫模塊�;
所述安全協(xié)議處理部分���,用于完成IPSec AH和ESP協(xié)議的封裝和解封裝處理和對數(shù)據(jù)報文加密��、解密����、認證算法處理,其包括IPSec協(xié)議處理模塊和算法處理模塊���;
所述數(shù)據(jù)流傳輸機制部分���,用于控制進入和外出方向數(shù)據(jù)流以一定的順序流經(jīng)不同的模塊和網(wǎng)絡(luò)通信接口 ���;內(nèi)網(wǎng)外出外網(wǎng)的報文數(shù)據(jù)通過外出雙棧安全處理模塊���、外出雙棧VPN預(yù)處理模塊處理后,分別將安全參數(shù)和VPN參數(shù)封裝到原始報文的頭部��;外網(wǎng)進入內(nèi)網(wǎng)的報文數(shù)據(jù)通過進入雙棧VPN預(yù)處理后就會將VPN的頭部信息剝掉���,這個剝掉VPN信息的報文通過雙棧安全處理模塊處理后�����,將安全參數(shù)封裝到這個報文頭部�����;
所述CPU部分�,包括一個CPU和與其搭配工作的總線架構(gòu),用來管理安全數(shù)據(jù)庫和VPN數(shù)據(jù)表以及分析必要的OSI模型定義的運輸層及以上的上層協(xié)議�����,并不干預(yù)正常的報文流量處理���;
其中��,CPU�����、進入安全數(shù)據(jù)庫操作接口���、外出VPN管理表和外出安全數(shù)據(jù)庫操作接口通過片內(nèi)總線相互連接,外網(wǎng)通信接口與外出雙棧安全處理模塊之間通過雙端口緩沖器連接���,外出雙棧安全處理模塊與外出安全數(shù)據(jù)庫操作接口和數(shù)據(jù)報文緩存模塊連接�,外出雙棧安全數(shù)據(jù)庫模塊與外出數(shù)據(jù)庫操作接口連接���,外出雙棧安全處理模塊與外出雙棧VPN預(yù)處理模塊之間通過雙端口緩沖器連接��,外出雙棧VPN預(yù)處理模塊與外出VPN管理表連接�����,外出雙棧VPN預(yù)處理模塊與IPSec協(xié)議處理模塊之間通過雙端口緩沖器連接�����,IPSec協(xié)議處理模塊與算法處理模塊之間通過雙端口緩沖器連接�,IPSec協(xié)議處理模塊與外網(wǎng)通信接口之間通過雙端口緩沖器連接,內(nèi)網(wǎng)通信接口與進入雙棧VPN預(yù)處理模塊之間通過雙端口緩沖器連接��,進入雙棧VPN預(yù)處理模塊與進入雙棧安全處理模塊之間通過雙端口存儲器連接��,進入雙棧安全處理模塊與進入安全數(shù)據(jù)庫操作接口連接�,進入雙棧安全處理模塊與IPSec協(xié)議處理模塊之間通過雙端口緩沖器連接���,IPSec協(xié)議處理模塊與內(nèi)網(wǎng)通信接口之間通過雙端口緩沖器連接�。
[0009]作為其中一個優(yōu)選方案���,所述外出雙棧安全數(shù)據(jù)庫模塊包括:用于存儲安全策略條目的外出安全策略數(shù)據(jù)庫�,用于存儲外出安全聯(lián)盟條目的外出安全聯(lián)盟數(shù)據(jù)庫,以及對兩種數(shù)據(jù)庫的讀寫邏輯轉(zhuǎn)化接口�;
所述外出安全策略數(shù)據(jù)庫包括分別對應(yīng)于IPv4和IPv6的兩個數(shù)據(jù)庫:外出IPv4策略數(shù)據(jù)庫和外出IPv6策略數(shù)據(jù)庫,外出IPv4策略數(shù)據(jù)庫用于匹配查詢IPv4類型報文流量的策略���,外出IPv6策略數(shù)據(jù)庫用于匹配查詢IPv6類型報文流量的策略�����; 所述外出安全聯(lián)盟數(shù)據(jù)庫是一個用來存儲安全聯(lián)盟條目信息的存儲單元��,其所存放的信息包括傳輸模式選擇字段����、采取的協(xié)議類型選擇字段��、序列號溢出處理選擇字段���、加密算法選擇字段��、認證算法選擇字段����、加密IV是否需要選擇字段�����、加密算法密鑰長度字段、認證算法密鑰長度字段�、PMTU字段、安全參數(shù)索引字段和序列號計數(shù)器字段�。
[0010]作為其中另一個優(yōu)選方案,所述算法處理模塊包括加密算法運算器��、解密算法運算器����、認證算法運算器、解認證算法運算器�����;其中�����,在內(nèi)網(wǎng)數(shù)據(jù)包外出外網(wǎng)方向上���,加密算法運算器的輸入接口連接IPSec協(xié)議處理模塊的加密算法處理輸出接口,認證算法運算器的輸入接口連接一個二選一選擇器的輸出接口���,該二選一選擇器的兩個輸入接口分別連接IPSec協(xié)議處理模塊的認證算法處理輸出接口和加密算法運算器的輸出接口����,認證算法運算器的輸出接口連接IPSec協(xié)議處理模塊的認證算法處理結(jié)果輸入接口 ;在外網(wǎng)數(shù)據(jù)包進入內(nèi)網(wǎng)方向上����,解認證算法運算器的輸入接口連接IPSec協(xié)議處理模塊的解認證算法處理結(jié)果輸出接口,解認證算法運算器的輸出接口和解密算法運算器的輸出接口分別連接一個二選一選擇器的兩個輸入接口��,該二選一選擇器的輸出接口連接IPSec協(xié)議處理模塊的算法處理結(jié)果輸入接口���,解認證算法運算器的輸出接口還與解密算法運算器的輸入接口連接���。
[0011]進一步地,所述加/解密算法運算器中包括至少兩種采用不同加/解密算法的加/解密算法運算器�;所述認證/解認證算法運算器中包括至少兩種采用不同認證/解認證算法的認證/解認證算法運算器。
[0012]作為本發(fā)明再一優(yōu)選方案���,所述IPSec協(xié)議處理模塊包括:
IPSec協(xié)議封裝前處理器�,用于分析外出方向報文的安全策略和安全聯(lián)盟信息�,決定報文需要加密運算和認證運算或是只是需要做認證運算處理,然后將該報文發(fā)往相應(yīng)的運算器;
IPSec協(xié)議封裝后處理器����,用于將已經(jīng)過加密運算和/或認證運算器處理過后的報文進行協(xié)議封裝處理�,并將封裝處理結(jié)束的報文寫入與外網(wǎng)通信接口之間的雙端口緩沖器����;抗重播保護器,用于對所接收的進入方向的報文進行抗重播檢測并根據(jù)檢測結(jié)果進行抗重播處理�����;
IPSec協(xié)議解封裝前處理器���,用于分析進入方向報文的安全策略和安全聯(lián)盟信息����,決定報文需要解密運算和解認證