基于ipsec協議的隧道模式esp硬件封裝裝置的制造方法

基于ipsec協議的隧道模式esp硬件封裝裝置的制造方法
【技術領域】
[0001]本發明涉及網絡數據安全領域，尤其涉及一種基于IPSEC協議的隧道模式ESP硬件封裝裝置。
【背景技術】
[0002]隨著計算機網絡技術的發展，我們利用網絡技術進行工作生活越來越快捷方便，如今的社會已經離不開網絡，但隨之而來的網絡安全問題也不得不引起社會的關注，近些年來，網絡安全問題日益突出和多樣化，黑客利用網絡對公司、政府進行數據截取，讓公司、政府蒙受巨大損失，同時也使個人信息安全受到威脅。為了提高網絡信息傳輸的安全，互聯網工程任務組(IETF)在1988年提出了針對網絡層的IPSEC (IP Security)協議，來彌補IP數據包本身不繼承安全措施的缺點。
[0003]隨著下一代網際協議IPV6的發展，市場上已形成！IPV4網際協議向IPV6網際協議過渡的格局，提出一種既能在IPV4協議上實施，又能兼容IPV6協議實施IPSEC協議的方式，才能滿足市場需求。在實施IPSEC協議過程中，影響其實施速度的因素在于IPSEC數據包的封裝速度，目前市場上大多采用軟件方式進行IPSEC數據包封裝，實施速度相對較慢，嚴重影響IPSEC數據包封裝傳輸速度，因此有必要提供一種基于IPSEC協議硬件實現對數據包封裝，優化硬件傳輸模式，可以在軟件基礎上大幅提高速度，同時也使數據傳輸變得更加安全。
[0004]目前針對IPSEC協議實施場景大體可分為3類:1.Site to Site (站點到站點或者網管到網管)2.End to End (端到端或者PC到PC) 3.End to Site (端到站點或者PC到網關)，而如今對于每個子網下PC機數量龐大，每次實施End to End模式下IPSEC協議，都會在相應PC機上實施一次，耗費太多時間，因此選用Site to Site模式下實施IPSEC協議可提升相應傳輸速度。在Site to Site模式下，IPSEC協議實施條件是在隧道模式下傳輸，因此有必要提供一種基于IPSEC協議的隧道模式ESP硬件封裝裝置。

【發明內容】

[0005]本發明所要解決的技術問題在于克服現有技術不足，提供一種基于IPSEC協議的隧道模式ESP硬件封裝裝置，可實現高效安全的數據包封裝。
[0006]本發明基于IPSEC協議的隧道模式ESP硬件封裝裝置，包括通過總線連接并使用乒乓模式工作的多個隧道模式ESP封裝單元，所述隧道模式ESP封裝單元包括:
數據解析模塊，用于接收經過SA匹配后的數據包，對數據包進行解析并按照解析結果將數據送至相應的后續模塊；
一組加密模塊，用于根據數據解析模塊所解析出的SA匹配策略對IP數據報文段進行相應的加密；
IPV4頭重組模塊，用于為使用IPV4協議傳輸的數據包組裝外部新IP頭；
IPV6頭重組模塊，用于為使用IPV6協議傳輸的數據包組裝外部新IP頭； 數據暫存模塊，用于暫時存儲處理的數據，包括:IPV4或IPV6重組的新IP頭、安全參數索引、序列號、初始化向量、認證算法密鑰、新m)P頭、原始IP頭；
數據組裝模塊，用于將數據暫存模塊及各加密模塊所發送的分散數據組裝成標準的IPSEC數據包；
認證模塊，用于對數據進行身份驗證和消息認證，并將認證后數據送到下層分片處理；
IP首部校驗和模塊，用于重新計算認證模塊在認證過程中所修改的外部新IP頭的首部校驗和，并將計算出的首部校驗和填充到外部新IP頭的相應位置。
[0007]進一步地，所述數據解析模塊包括:字段解析判斷模塊、關鍵字段存儲模塊、緩存模塊，其中:
所述字段解析判斷模塊，用于對上層所傳輸數據進行解析，包括:同步幀中同步字段解析、數據長度解析、解釋域幀解析；所述解釋域幀解析包括:封裝模式解析、網絡地址轉換字段解析、加密協議類型解析、路徑最大傳輸單元解析、加密算法類型解析、認證算法類型解析、處理序列號溢出解析、網際協議版本解析；
所述關鍵字段存儲模塊，用于存儲解析出的關鍵字段數據；
所述緩存模塊，用于緩存經過字段解析判斷模塊處理的數據，供后續模塊讀取。
[0008]進一步地，所述數據組裝模塊包括:排序重組模塊、數據存儲模塊，緩存模塊，其中:
所述排序重組模塊，用于根據所采用協議版本將接收到的數據排序組裝成相應標準格式，然后排序發送；IPV4協議數據的標準格式為:外部IPV4新頭I I新UDP頭| |認證算法密鑰I Iesp首部11原始ip頭I Itcp首部I Itcp數據部分I Iesp尾部，IPV6協議數據的標準格式為:外部IPV6新頭11新UDP頭11認證算法密鑰I Iesp首部11原始ip頭11有效載荷I Iesp尾部；
所述數據存儲模塊，用于存儲前后順序不一致的數據幀，以及需要修改的字段；
所述緩存模塊，用于緩存經過排序后的數據幀，供后續模塊讀取。
[0009]優選地，所述一組加密模塊至少包括AES加密模塊和3DES&DES加密模塊。
[0010]優選地，所述認證模塊可對數據進行MD5或SHAl認證。
[0011]優選地，從數據解析模塊發送到加密模塊的數據格式包括:起始位、初始化向量IV位、ESP加密算法密鑰位、IP數據報文位、填充位、以及結束位；其中，起始位包括:起始位字段、加/解密字段、加密類型字段、加密模式字段、數據包總長度字段；填充位包括:填充字段、填充長度字段、下一個頭字段；結束位包括:結束位字段和長度驗證字段。
[0012]優選地，從數據解析模塊發送到數據暫存模塊的數據格式包括:起始位、解釋域字位、目的地址位、安全參數索引、序列號位、初始化向量位、認證算法密鑰位、新UDP頭位、原始IP頭、結束位；其中，起始位包括:起始位字段和數據包總長度字段；解釋域字位包括:封裝模式位、NAT位、協議類型位、技術類型位、傳輸協議位、加密算法編號位、認證算法編號位、IV標識位；結束位包括:結束位字段和長度驗證字段。
[0013]優選地，數據組裝模塊組裝后的數據格式包括:起始位、外部IP新頭幀、新UDP頭位、認證算法密鑰、安全參數索引、序列號、初始化向量、加密數據部分、結束位。
[0014]相比現有技術，本發明具有以下有益效果: 本發明將要封裝的數據包進行分段處理，通過改變每段的數據格式，添加起始位或長度校驗字段，實現安全高效的數據封裝；本發明采用掛接多個封裝模塊實現乒乓操作模式，進一步提尚了封裝速度。
【附圖說明】
[0015]圖1為本發明隧道模式ESP硬件封裝裝置的總體結構及原理示意圖。
[0016]圖2為本發明隧道模式ESP硬件封裝裝置中數據解析模塊的一種具體結構。
[0017]圖3為數據解析模塊從SA安全聯盟所接收的數據格式。
[0018]圖4為數據解析模塊發送到加密模塊的數據格式。
[0019]圖5為數據解析模塊發送到數據暫存模塊的數據格式。
[0020]圖6為本發明隧道模式ESP硬件封裝裝置中數據組裝模塊的一種具體結構。
[0021]圖7為采用IPV4傳輸協議的數據經數據組裝模塊組裝后的數據格式。
[0022]圖8為采用IPV6傳輸協議的數據經數據組裝模塊組裝后的數據格式。
【具體實施方式】
[0023]下面結合附圖對本發明的技術方案進行詳細說明:
圖1顯示了本發明基于IPSEC協議的隧道模式ESP硬件封裝裝置的總體結構及原理。由于封裝需要時間，封裝速度小于SA發送數據的速度，因此本發明采用多個隧道模式E