[发明专利]一种用于IPSec协议下的AES算法硬件实现装置

说明书

本发明公开了一种用于IPSec协议下的AES算法硬件实现装置。该装置包括：进入控制模块、外出控制模块、时钟生成模块、密钥生成模块、AES算法模块。利用进入控制模块将输入的IPsec数据整合为满足AES运算的数据，利用外出控制模块将完成AES运算的数据拆分为IPsec数据输出，实现了IPSec协议下的AES算法应用；本发明基于模块复用的思想，利用硬件组合逻辑电路可以并行处理的特点，缩短AES运算周期，并通过提前生成子密钥来节约时钟，大幅提高了算法实现效率；本发明可通过对现有硬件AES运算模块进行简单改进即可实现，实现成本低，适用范围广。

技术领域

本发明涉及网络数据流加密技术领域，尤其涉及一种用于IPSec（InternetProtocol Security）协议下的AES算法硬件实现装置。

背景技术

密码学是一门历史非常悠久的学科。自从人类有传输信息的需求开始，加密与破解密码便成为了双方斗智的战场。现代的密码学不仅限于用于军事与金融用途，而是与我们日常生活密切相关。从个人网银转账到上网账户的账号和密码，如何保证个人信息的安全已成为一个受到广泛重视的话题。密码学已经充分融入了我们生活的点点滴滴中。为了应对DES算法暴露出的缺点，1997年的1月，美国国家标准与技术研究院（NIST）为了新算法--高速加密标准（AES）征求建议以替代旧的数据加密标准（DES）。

AES算法的加密模式主要分为两种，无反馈模式和反馈模式，例如电子密码本（ECB，Electronic Code Book）模式和计算器（Counter）模式属于无反馈模式，密码分组链（CBC，Cipher Block Chaining）模式、密码反馈（CFB，Cipher Feedback）模式和输出反馈模式（OFB，Output Feedback）模式则属于反馈模式。

IPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec保护的计算机。IPSec协议是IETF（Internet Engineering Task Force，Internet工程任务组）的IPSec小组建立的一组IP安全协议集。IPSec定义了在网络层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。

由于IPSec协议标准要求必须使用CBC模式进行AES加、解密，所以，为了在IPSec协议下实现AES加密算法，需要一种切实可行的方案来解决这个问题，在能够适应IPSec协议的基础上，可以通过硬件实现来提升处理效率和系统可靠性。

发明内容

本发明所要解决的技术问题在于克服现有技术不足，提供一种用于IPSec协议下的AES算法硬件实现装置，在能够适应IPSec协议的基础上，大幅提升数据加密的效率和可靠性。

本发明具体采用以下技术方案解决上述技术问题：

一种用于IPSec协议下的AES算法硬件实现装置，包括：进入控制模块、外出控制模块、时钟生成模块、密钥生成模块、AES算法模块；

所述进入控制模块用于接收外部输入的符合IPSec协议的数据包，并对所接收的数据包进行以下处理：先从第一个数据包中提取以下信息：密钥使用长度、子数据包个数、工作时钟频率以及运算模式；然后根据所提取的密钥使用长度接收相应数量的密钥子数据包，并将密钥子数据包整合成一个128～256bits长度的密钥后发送给密钥生成模块；再接收相应数量的初始化向量IV的子数据包V1，将其整合成一个128bits的数据并储存；接着依次接收相应数量的待处理数据，将其分别整合成长度为128bits的待处理数据块Pi，并将第一个待处理数据块P1与之前储存的V1异或得到C1，将待处理数据块Pi与AES算法模块对C(i-1)处理后得到的数据进行异或得到Ci，将异或后数据发送给AES算法模块，其中i=2，3，…；当所接收的数据包数量达到所提取的子数据包个数后，开始下一个数据包的处理；