专利名称:网络安全处理装置及其方法
技术领域:
本发明涉及网络通信技术领域。
背景技术:
目前,接入IP(网际协议)网络的用户日益增多,为此,保证网络通信的安全便成为了通信网络中需要解决的重要问题。目前,在IP网络安全中,较多地采用了因特网网络安全协议实现网络安全,安全认证技术包括两种安全协议,即认证头协议和封装安全载荷协议,这两种协议和互联网密钥交换协议共同使用便可以达到保证网络通信安全可靠的目的。对数据的完整性和数据来源的验证,即如果报文被篡改或不是特定的对象发出,认证将不会通过;所述的ESP协议提供的功能是对报文载荷的加密和认证;目前所采用的绑定的操作就是对同一个IP报文使用ESP和AH协议进行处理,从而使得可以同时对IP报文进行加密和认证,充分地保证了网络中传输的报文的安全性和保密性。 数据包中是通过建立安全联盟(SA)承载相应的SA数据,SA是两个通信实体经协商建立起来的一种协定,SA承载的数据定义了用来保护数据包安全的IPSec协议、加解密/认证算法、密钥以及密钥的有效存在时间等。对于接收方,通过数据包头信息包含的IP目的地址、IP安全协议类型和SPI中查找对应的SA数据,根据SA数据的内容,对IP数据报文进行加密和认证,以保证数据的保密性和可靠性、完整性。因特网密钥交换是最为重要的部分,在用保护一个IP数据包之前。 因对报文进行加密和认证需要较大的运算量,所以在对安全性能要求较高的通信系统中,通常使用专门设计的网络安全处理器对在网络中传输的基于协议实现的报文进行处理。在进行IP报文的加密和认证处理时,网络安全处理器需要把IP数据报文和报文的SA数据均读到处理器内部,识别IP报文后,根据报文对应的SA数据对报文进行处理,并更新SA数据中的部分内容,然后将处理完成的数据报文发送出去。
发明内容
由于现有技术所存在的问题,本发明的目的是提供一种网络安全处理装置及其方法,以克服现有技术所存在的问题,实现对数据报文的加密和认证过程更为简便,且不影响主机的系统性能。 本发明为实现上述目的,本发明提供了一种网络安全处理装置,包括输入缓存模块接收到需要进行加密和认证处理的数据报文和相应的SA安全关联数据,并进行缓存后发送给包头处理模块;包头处理模块接收数据报文和SA数据,并对数据报文的头进行处理后随SA数据一同发送给加解密/Hash单元。
本发明的有益效果 在通信的双方在进行协商之后,主机将协商的SA数据存放与主内存中,也就是SA数据和系统共享内存;在收到数据报文发现需要进行加密处理时,通过报文描述符的方式把数据报文和SA数据通知DMA模块;DMA模块根据描述符的信息,通过DMA方式将SA数据通过PCI总钱读到输入缓存中进行缓存,然后将数据报文通过通用网络安全处理器接着将
SA数据和数据报文从输入缓存中读出,并由包头处理模块对报文进行头处理; 如果是对数据报文进行绑定处理时,则在第二次进行SA数据和数据报文的读取 过程中,需要根据数据将数据报文从输入缓存中读出,并依次进行如下的处理;单元对报文 进行加密或认证处理,处理后发送给包尾处理模块;包尾处理模块根据加解密单元处理完 成的结果进行报文的尾部处理,并把处理完成的数据报文放在输出缓存中进行援存;对于 处理完成的数据报文,DMA模块将数据报文通过通用数据总线返回给主机;同时,DMA模块 在回写完成数据之后,再通过通用数据总线更新主机内存中SA数据的内容,完成一次包处 理过程。如果需要处理绑定的处理,即如果要支持绑定的处理,数据报文要通过数据总线进 出芯片多次,这必将导致系统性能的降低。
图1为本发明的流程图。
具体实施例方式
本发明的输入缓存模块和输出缓存模块分别通过DMA模块和通用数据总线与主 机内存相连,并通过DMA模块和内存总线与本地存储器相连。输入缓存模块与包头处理模 块间还连接设置有压縮处理模块,该模块接收输入缓存发来的数据报文并进行压縮处理后 发送给包头处理模块;处理模块与所述的输出缓存模块间连接设置有解压处理模块,该模 块接收包尾处理模块发来的数据报文,并进行解压縮处理后发送给输出缓存模块。接收数 据报文和SA数据,并一次性为数据报文插入用于绑定的处理的安全头,同时随SA数据一同 发送给加解密/Hash单元。接收包头处理模块发来的数据报文和SA数据,并根据SA进行 相应的加解密和/或认证处理后给AH处理模块;AH处理模块接收ESP处理模块发来的数 据报文和SA数据,并根据SA数据进行相应的运算处理后发送给包尾处理模块。SA数据通 过系统的通用数据总线和网络安全处理装置下发到本地存储器中,并将接收的数据报文保 存于系统主机内存中;网络安全处理装置将通过通用数据总线调用系统主机内存中的数据 报文,并通过内存总线调用本地存储器中的SA数据;网络安全处理装置根据调用获得的SA 数据和数据报文进行相应的网络安全处理。
权利要求
网络安全处理装置及其方法,其特征在于输入缓存模块接收到需要进行加密和认证处理的数据报文和相应的SA安全关联数据,并进行缓存后发送给包头处理模块;包头处理模块接收数据报文和SA数据,并对数据报文的头进行处理后随SA数据一同发送给加解密/Hash单元。
全文摘要
网络安全处理装置及其方法涉及网络通信技术领域。发明的目的是提供一种网络安全处理装置及其方法,实现对数据报文的加密和认证过程更为简便,且不影响主机的系统性能。本发明提供了一种网络安全处理装置,包括输入缓存模块接收到需要进行加密和认证处理的数据报文和相应的SA安全关联数据,并进行缓存后发送给包头处理模块;包头处理模块接收数据报文和SA数据,并对数据报文的头进行处理后随SA数据一同发送给加解密/Hash单元。
文档编号H04L29/06GK101741827SQ20081022868
公开日2010年6月16日 申请日期2008年11月11日 优先权日2008年11月11日
发明者刘芳 申请人:刘芳