Vpn业务实现方法、装置和vpn服务器的制造方法【专利摘要】本发明公开了一种VPN业务实现方法、装置和VPN服务器,该VPN业务实现方法包括:通过高性能多核处理器平台建立控制平面的IPSec隧道及对用户配置进行管理;通过FPGA对数据包进行加密或解密处理,并对数据包进行识别和转发。本发明通过将高性能多核处理器平台与高性能FPGA平台相结合实现了高性能的IPSecVPN隧道建立和数据包处理,通过高性能FPGA实现对数据包进行加解密以及识别转发,解决了CPU资源限制以及加解密限制影响系统使用性能的问题,从而大大提高了VPN系统的性能。【专利说明】VPN业务实现方法、装置和VPN服务器【
技术领域:
】[0001]本发明涉及通信领域,具体来说,涉及一种VPN业务实现方法、装置和VPN服务器。【
背景技术:
】[0002]VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。VPN技术可以使外地员工访问到内网资源。其实现方法为:在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源。[0003]VPN的实现有很多种方法,常用的有以下四种:[0004]I)VPN服务器,在大型局域网中,可以在网络中心通过搭建VPN服务器的方法来实现。[0005]2)软件VPN,可以通过专用的软件来实现VPN。[0006]3)硬件VPN,可以通过专用的硬件来实现VPN。[0007]4)集成VPN,很多的硬件设备,如路由器,防火墙等等,都含有VPN功能。[0008]但是,现有技术难以满足高性能处理的需求,因为现有基于软件的实现的IPSecVPN,受到所用CPU平台计算资源限制,同时处理非对称加解密处理算法和对称加密算法的性能有限,难以达到很高的性能;而硬件的VPN受到加解密芯片自身处理性能限制。[0009]针对相关技术中的问题,目前尚未提出有效的解决方案。【
发明内容】[0010]针对相关技术中的问题,本发明提出一种VPN业务实现方法、装置和VPN服务器。[0011]本发明的技术方案是这样实现的:[0012]根据本发明的一个方面,提供了一种VPN业务实现方法。[0013]该方法包括:[0014]通过高性能多核处理器平台建立控制平面的IPSec隧道及对用户配置进行管理;[0015]通过FPGA对数据包进行加密或解密处理,并对数据包进行识别和转发。[0016]其中,FPGA通过接收的高性能多核处理器平台下发的安全联盟信息对数据包进行解析并进行加密或解密处理,加密或解密过程所使用的密钥通过国密局认证的专用安全芯片中带有的物理噪声源产生的真随机数产生。[0017]其中,上述高性能多核处理器平台可以为高性能多核x86平台。[0018]根据本发明的另一方面,提供了一种VPN业务实现装置。[0019]该装置包括:主控模块、FPGA模块、网络模块;[0020]其中,主控模块进一步包括:[0021]建立单元,用于建立控制平面的IPSec隧道;[0022]管理单元,用于对用户配置进行管理;[0023]其中,FPGA模块进一步包括:[0024]加解密单元,用于对数据包进行加密或解密处理;[0025]识别转发单元,用于识别数据包并转发数据包;[0026]网络模块,用于提供带宽需求。[0027]其中,FPGA模块进一步包括:[0028]接收单元,用于接收主控模块下发的安全联盟信息;[0029]解析单元,用于根据接收的安全联盟信息解析数据包。[0030]其中,加解密单元进一步用于通过国密局认证的专用安全芯片带有的物理噪声源产生的真随机数产生的密钥对所述数据包进行加密处理。[0031]其中,主控模块可以为高性能多核x86平台。[0032]根据本发明的又一方面,提供了一种VPN服务器。[0033]该VPN服务器包括如上述本发明另一方面所述的任一VPN业务实现装置。[0034]本发明通过将高性能多核处理器平台与高性能FPGA平台相结合实现了高性能的IPSecVPN隧道建立和数据包处理,通过高性能FPGA实现对数据包进行加解密以及识别转发,解决了CPU资源限制以及加解密限制影响系统使用性能的问题,从而大大提高了VPN系统的性能。【专利附图】【附图说明】[0035]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。[0036]图1是根据本发明实施例的VPN业务实现方法的流程图;[0037]图2是根据本发明实施例的VPN业务实现装置的框图;[0038]图3是根据本发明实施例的VPN业务实现装置的示意图。【具体实施方式】[0039]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。[0040]根据本发明的实施例,提供了一种VPN业务实现方法。[0041]如图1所示,根据本发明实施例的VPN业务实现方法包括:[0042]步骤S101,通过高性能多核处理器平台建立控制平面的IPSec隧道及对用户配置进行管理;[0043]步骤S103,通过FPGA对数据包进行加密或解密处理,并对数据包进行识别和转发。[0044]其中,FPGA通过接收的高性能多核处理器平台下发的安全联盟信息对数据包进行解析并进行加密或解密处理,加密或解密过程所使用的密钥通过国密局认证的专用安全芯片中带有的物理噪声源产生的真随机数产生。[0045]其中,上述高性能多核处理器平台可以为高性能多核x86平台。[0046]其中,在一具体的实施例中,高性能多核处理器平台为高性能多核x86平台,高性能多核x86平台是通过如下方式实现对用户配置进行管理的:[0047]首先用户使用VPN系统提供的登录认证界面登录,当用户输入的用户名、口令、插入个人身份验证硬件key,进行身份认证成功后,才允许用户进入对应用户身份的使用或者管理界面。[0048]管理界面分为设备管理员界面,账户管理员界面,审计管理员界面。当用户进入设备管理员界面时,高性能多核x86平台从设备管理员控制界面上获取管理配置的隧道参数,包括对VPN的隧道建立进行配置,获取网络管理配置参数,来配置VPN的网络属性;当用户进入账户管理员界面时,高性能多核x86平台为账户管理员提供管理员和隧道用户账户的新建、修改、解锁、黑名单管理等管理接口;当用户进入审计管理员界面时,高性能多核x86平台为审计管理员提供审计数据的展示、搜索、潜在危害分析,以及审计报告生成和展示的接口。[0049]高性能多核x86平台将获取的设备管理员配置的隧道参数、网络配置参数等配置参数,写入到对应的配置文件中,将获取的数字证书、密钥等配置文件,放入到指定的位置,供VPN系统进行解析。通过web页面获取用户登录的信息,把该用户的IP加入到对应隧道的iptables,使其可以使用选择的隧道,在获取该用户退出信息后,清除相应的iptables项,禁止该IP继续使用该隧道。[0050]如图2所示,根据本发明实施例的VPN业务实现装置包括:[0051]主控模块21、网络模块22、FPGA模块23;[0052]其中,主控模块进一步包括:[0053]建立单元(未示出),用于建立控制平面的IPSec隧道;[0054]管理单元(未示出),用于对用户配置进行管理;[0055]其中,FPGA模块进一步包括:[0056]加解密单元(未示出),用于对数据包进行加密或解密处理;[0057]识别转发单元(未示出),用于识别数据包并转发数据包;[0058]网络模块,用于提供带宽需求。[0059]其中,FPGA模块进一步包括:[0060]接收单元(未示出),用于接收主控模块下发的安全联盟信息;[0061]解析单元(未示出),用于根据接收的安全联盟信息解析数据包。[0062]其中,加解密单元进一步用于通过国密局认证的专用安全芯片带有的物理噪声源产生的真随机数产生的密钥对所述数据包进行加密处理。[0063]其中,主控模块可以为高性能多核x86平台。[0064]如图3示出了根据本发明实施例的VPN业务实现装置的结构示意图,该装置将传统高性能x86平台和高性能FPGA相结合,其由FPGA加速业务板、网络版、主控板构成。[0065]其中,各个部件的功能如下:[0066]I)主控板:主控板基于高端电信运算架构(AdvancedTelecomComputingArchitecture,ATCA架构)刀片服务器,完成系统管理、设备监控,安全联盟协商,加速卡协处理等功能。板载Flash,用于存储Bootloader、卡上系统、卡上应用软件、用户信息、密钥信息、本地日志等数据。[0067]2)FPGA加速处理板:[0068]FPGA逻辑用于实现高性能的ESP包处理,CPU通过通用接口将建立的安全联盟信息下发给FPGA,FPGA解析ESP数据包,并调用加解密引擎完成加解密操作。[0069]使用经过国密局认证的专用安全芯片提供真随机数生成等功能,采用物理噪声源产生真随机数,供IKE中密钥使用。[0070]3)网络板:采用高性能网络芯片,满足高带宽网络交换需求。[0071]此外,上述VPN业务实现装置可以通过软件、硬件或者两者的结合实现成为服务器的部分或者全部。[0072]综上所述,借助于本发明的上述技术方案,本发明通过将高性能多核处理器平台与高性能FPGA平台相结合实现了高性能的IPSecVPN隧道建立和数据包处理,通过高性能FPGA实现对数据包进行加解密以及识别转发,解决了CPU资源限制以及加解密限制影响系统使用性能的问题,从而大大提高了VPN系统的性能。[0073]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。【权利要求】1.一种VPN业务实现方法,其特征在于,包括:通过高性能多核处理器平台建立控制平面的IPSec隧道及对用户配置进行管理;通过FPGA对数据包进行加密或解密处理,并对数据包进行识别和转发。2.根据权利要求1的所述方法,其特征在于,通过FPGA对数据包进行加密或解密处理,包括:接收所述高性能多核处理器平台下发的安全联盟信息,根据接收的所述安全联盟信息解析所述数据包,对所述数据包进行加密或解密处理。3.根据权利要求1的所述方法,其特征在于,通过FPGA对数据包进行加密或解密处理,进一步包括:加密或解密过程所使用的密钥通过国密局认证的专用安全芯片中带有的物理噪声源产生的真随机数产生。4.根据权利要求1的所述方法,其特征在于,所述高性能多核处理器平台为高性能多核x86平台。5.一种VPN业务实现装置,其特征在于,所述装置包括:主控模块、FPGA模块、网络模块;其中,所述主控模块进一步包括:建立单元,用于建立控制平面的IPSec隧道;管理单元,用于对用户配置进行管理;其中,所述FPGA模块进一步包括:加解密单元,用于对数据包进行加密或解密处理;识别转发单元,用于识别数据包并转发数据包;所述网络模块,用于提供带宽需求。6.根据权利要求5的所述装置,其特征在于,所述FPGA模块进一步包括:接收单元,用于接收主控模块下发的安全联盟信息;解析单元,用于根据接收的所述安全联盟信息解析数据包。7.根据权利要求5的所述装置,其特征在于,所述加解密单元进一步用于通过国密局认证的专用安全芯片带有的物理噪声源产生的真随机数产生的密钥对所述数据包进行加密处理。8.根据权利要求5的所述装置,其特征在于,所述主控模块为高性能多核x86平台。9.一种VPN服务器,其特征在于,包括:所述VPN服务器包括如权利要求5至8任一所述的VPN业务实现装置。【文档编号】H04L12/46GK104519055SQ201410768341【公开日】2015年4月15日申请日期:2014年12月11日优先权日:2014年12月11日【发明者】刘立,刘新春,刘兴奎,刘治华,刘朝辉申请人:曙光信息产业(北京)有限公司