[发明专利]基于网络处理器的高速安全虚拟专用网通道及其实现方法

权利要求书

1、基于网络处理器的高速安全虚拟专用网通道，其特征在于：包括微引擎簇、内核模块、至少一个SRAM存储单元及SRAM存储控制器、至少一个DRAM存储单元及DRAM存储控制器、MSF模块、哈希单元；2个所述微引擎簇依次连接，且各个微引擎簇分别由8个微引擎依次连接组成；所述2个微引擎簇、内核、MSF、哈希单元分别与PCI总线连接；各个SRAM存储单元、DRAM存储单元相应通过SRAM存储控制器、DRAM存储控制器分别与PCI总线连接，所述PCI总线与上位机的管理系统模块连接。

2、根据权利要求1所示基于网络处理器的高速安全虚拟专用网通道，其特征在于：所述网络处理器采用IXP2850。

3、根据权利要求1所示基于网络处理器的高速安全虚拟专用网通道，其特征在于：所述微引擎包括接口微模块I、安全关联微模块、加解密微模块、协议处理微模块、IKE微模块；所述内核模块包括初始化微模块、接口微模块II、管理微模块、异常情况处理微模块；

所述初始化微模块与所述接口微模块I、安全关联微模块、加解密微模块、协议处理微模块、IKE微模块、接口微模块II、管理微模块、异常情况处理微模块分别连接；所述接口微模块I与接口微模块II、安全关联微模块、协议处理微模块、IKE微模块分别连接；所述接口微模块II与管理微模块、异常情况处理微模块分别连接；

所述安全关联微模块与协议处理微模块、IKE微模块、管理微模块、加解密微模块、SRAM存储单元、DRAM存储单元连接；所述协议处理微模块与管理微模块、IKE微模块、加解密微模块、SRAM存储控制器、DRAM存储控制器相连接；所述管理微模块与IKE微模块、SRAM存储控制器、DRAM存储控制器及上位机的管理系统模块相连接。

4、权利要求1～3任一项所述基于网络处理器的高速安全虚拟专用网通道的实现方法，其特征在于包括如下步骤：

(1)建立系统并进行初始化配置；

(2)当网络处理器接收到合法的VPN数据分组，将分组重组并存储于所述DRAM中，在所述SRAM生成相应的分组描述符，记录分组在所述DRAM的存储参数，所述存储参数包括存储位置、接收端口、协议类型，接口微模块I通过辨识接收端口、协议类型，将VPN数据包传递给协议处理微模块等待处理；

(3)协议处理微模块接收到接口程序传递过来的信号和分组描述符之后，根据分组描述符对读取分组报头，对关键字位进行解析，将分组分为进入分组、外出分组和IKE分组三类进行处理；所述对进入分组的处理包括ESPi、Ahi的处理，所述对外出分组的处理包括ESPo、Aho的处理；

(4)所述接口微模块II获取分组存储地址指针，一方面根据上位机的管理系统的需求将不同类型分组转发至异常情况处理微模块或者直接传递转发进入网络，另一方面根据微引擎模块的请求将不同类型分组转发至异常情况处理微模块处理或者管理微模块进行上传至上位机管理系统，然后接口微模块II将存储地址指针存放于指定存储空间以待提取使用；

(5)异常情况处理微模块响应微引擎模块的请求，对异常情况进行处理，读取各类分组报头，进行分类处理，并将分组传递转发进入网络；

(6)管理微模块响应上位机管理系统要求，生成IKE请求，发送至微引擎IKE微模块；接收微引擎的上传日志，以及各类处理信号，并按时通过约定通信机制传递给上位机的管理系统模块；接收管理系统的信息，解析系统命令，并执行安全策略修改、服务状态列表修改的主动操作。