[发明专利]基于FPGA、eBPF协同的数据包加解密方法及系统

说明书

基于FPGA、eBPF协同的数据包加解密方法及系统，该方法通过将策略元组信息配置到eBPF中，将密钥信息配置到FPGA中，将密钥附属信息配置到eBPF中，通过隧道号将密钥附属信息关联策略元组信息；对收到网络数据包根据包头中的协议号字段判断数据包类型：若数据包类型为IP数据包，根据第一解析结果查找所属策略信息，根据匹配到策略信息中的工作模式生成明文ESP数据包并缓存；将待加密认证的数据及密钥信息发送到FPGA执行加密认证操作；若数据包类型为ESP数据包，根据第二解析结果查找所属策略信息，将待解密认证的数据及密钥信息发送到FPGA执行解密认证操作。本发明速度快，减少内核协议栈的参与，安全性高。

技术领域

本发明涉及计算机网络通信技术领域，具体涉及一种基于FPGA、eBPF协同的数据包加解密方法及系统。

背景技术

FPGA是在PAL(可编程阵列逻辑)、GAL(通用阵列逻辑)等可编程器件的基础上进一步发展的产物，是作为专用集成电路(ASIC)领域中的一种半定制电路而出现的。eBPF是将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”；eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行。

目前，基于FPGA的数据包加解密有两种方式：

第一、纯FPGA方式实现，该实现方式速度最快，但由于需要使用TCAM、QDR等专用硬件设备，因此策略数量有上限，且造价高；

第二、内核XFRM框架和FPGA协同实现，该实现方式由XFRM实现TCAM功能，FPGA实现加解密功能，因此策略数量上没有上限，但在数量多的情况下速度会有所下降。如何提供一种新的数据包加解密方案具有现实意义。

发明内容

为此，本发明提供一种基于FPGA、eBPF协同的数据包加解密方法及系统，以解决传统数据包加解密方案存在的性能差和安全性低的问题。

为了实现上述目的，本发明提供如下技术方案：基于FPGA、eBPF协同的数据包加解密方法，包括：

将策略元组信息配置到eBPF中，将密钥信息配置到FPGA中，将密钥附属信息配置到eBPF中，所述密钥附属信息包括隧道号，通过隧道号将密钥附属信息关联策略元组信息；

对收到网络数据包根据包头中的协议号字段判断数据包类型：

若数据包类型为IP数据包，解析IP数据包的包头得到第一解析结果，根据第一解析结果查找所属策略信息，查找成功，根据匹配到策略信息中的工作模式生成明文ESP数据包并缓存；将缓存标识、ESP数据包中待加密认证的数据及密钥信息发送到FPGA；FPGA对待加密认证的数据执行加密认证操作；

若数据包类型为ESP数据包，解析ESP数据包的包头得到第二解析结果，根据第二解析结果查找所属策略信息，查找成功，缓存ESP数据包，并将缓存标识、ESP数据包中待解密认证的数据及密钥信息发送到FPGA；FPGA对待解密认证的数据执行解密认证操作。

作为基于FPGA、eBPF协同的数据包加解密方法优选方案，所述策略元组信息包括隧道号、源IP、目的IP、源端口、目的端口、协议号和工作模式；

所述密钥信息包括密钥标识、加解密密钥、IV值和认证密钥；

所述密钥附属信息还包括密钥在FPGA中的位置信息、密钥SPI、源目的封装IP。

作为基于FPGA、eBPF协同的数据包加解密方法优选方案，若将策略元组信息配置到eBPF中失败，或将密钥信息配置到FPGA中失败，均返回策略配置失败信息；

若通过隧道号将密钥附属信息关联策略元组信息失败，根据密钥在FPGA中的位置信息，通过原始套接字删除配置到FPGA中的密钥信息。