3 基于SoC的IPSec實現(xiàn)技術(shù)
3.1 基本結(jié)構(gòu)
以SoC實現(xiàn)IPSec的多協(xié)議模塊包括:①IPSec協(xié)議輸入、輸出引擎��,是通過協(xié)議解析,決定數(shù)據(jù)流程的處理�����;②安全關(guān)聯(lián)����、密鑰交換��、密碼算法等���,其中,安全關(guān)聯(lián)模塊為其直接提供所需參數(shù)����,密鑰交換模塊用于IKE自動管理的SAD���,算法模塊是實現(xiàn)IP數(shù)據(jù)加解密和認(rèn)證的基本模塊�����;③接口模塊,是IPSec與IPV4/IPv6協(xié)議的接口界面�。SoC中的CPU核,實施系統(tǒng)管理�����、策略管理和密鑰管理等功能����。
基于SoC的IPSec協(xié)議結(jié)構(gòu)如圖3所示��。
IPSec的主體部分是多協(xié)議處理的硬件模塊���。在SoC設(shè)計過程中,應(yīng)通過優(yōu)化設(shè)計�����,以滿足IPSec的功能和性能要求��;采用片上操作系統(tǒng),以滿足設(shè)計的靈活性����、可繼承性和可復(fù)用性等IP特性�����;結(jié)合CPU的結(jié)構(gòu)�、性能和指令系統(tǒng)��,進(jìn)行軟硬件系統(tǒng)設(shè)計�,以達(dá)到各個模塊之間的通信�、傳輸和控制等一體化設(shè)計�。
基于SoC的IPSec芯片結(jié)構(gòu)如圖4所示。
圖4中IPSec協(xié)議的IKE密鑰交換�����、策略管理���、SAD手工注入由實時操作系統(tǒng)來處理��,而IPSec輸入輸出引擎的協(xié)議解析��、安全策略庫(SAD�����、SPD)��、密鑰快速查找(CAM)����、加解密算法���、GMAC通信接口等由硬件模塊構(gòu)造��。通信接口實現(xiàn)以太網(wǎng)鏈路幀的接收�、發(fā)送���、校驗等功能����。芯片中還應(yīng)設(shè)計看門狗�����,用于防止系統(tǒng)死機(jī)���;另外��,要設(shè)計跟蹤模塊��,用于系統(tǒng)軟硬件調(diào)試。
綜上所述�,在實現(xiàn)IPSec協(xié)議的SoC芯片中,主要協(xié)議棧處理都由硬件模塊實現(xiàn)���,CPu負(fù)責(zé)管理調(diào)度和密鑰配置。
3.2 功能實現(xiàn)
(1)lPSec協(xié)議的輸出與輸入引擎處理
對于輸出數(shù)據(jù)包��,IPSec協(xié)議輸出引擎先調(diào)用策略管理模塊�,查詢SPD��,確定數(shù)據(jù)包應(yīng)使用的安全策略���。根據(jù)策略管理模塊的指示,協(xié)議引擎對該數(shù)據(jù)包作出如下3種可能的處理:
���、偃绱嬖谟行У腟A,則取出相應(yīng)的參數(shù)�,將數(shù)據(jù)包封裝(包括加密�����、驗證�,添加IPSec頭和IP頭等)����,然后發(fā)送。
��、谌缟形唇A�,策略管理模塊啟動或觸發(fā)IKE協(xié)商�。協(xié)商成功后��,按①中的步驟處理���;不成功則應(yīng)將數(shù)據(jù)包丟棄,并記錄出錯信息���。
�、廴绱嬖赟A但無效,策略管理模塊將此信息向IKE通告�,請求協(xié)商新的SA�,協(xié)商成功后按①中的步驟處理,不成功則應(yīng)將數(shù)據(jù)包丟棄�。
對于輸入數(shù)據(jù)包�����,IPSec協(xié)議引擎先調(diào)用策略管理模塊���,查詢SAD。如得到有效的SA���,則對數(shù)據(jù)包進(jìn)行解封(還原)���,再查詢SPD��,驗證為該數(shù)據(jù)包提供的安全保護(hù)是否與策略配置的相符��。如相符��,則將還原后的數(shù)據(jù)包交給TCP層或轉(zhuǎn)發(fā)。如不相符��,或要求應(yīng)用IPSec但未建立SA��,或SA無效�����,則將數(shù)據(jù)包丟棄,并記錄出錯信息����。
