[发明专利]IPv6下IPSec协议外出处理硬件实现系统

摘要

本发明提供了一种IPv6下IPSec协议外出处理硬件实现系统，包括内网GMAC模块、数据进入缓存模块、IPSec协议封装处理模块、SA匹配模块、加密模块、认证模块、报文分片模块、数据外出缓存模块、外网GMAC模块。本发明通过一种硬件来实现对在IPv6环境下的网络层IP数据报进行IPSec协议外出处理，提供了IP数据报源点鉴别、数据完整性和保密性，有效的提高了基于软件的IPSec协议外出处理速率，将CPU在处理过程中完全释放出来。

主权项

一种IPv6下IPSec协议外出处理硬件实现系统，其特征在于，包括：内网GMAC模块，其连接内部网络的网络设备以进行通信，其中：所述通信包括：内网GMAC模块接收从网络设备发送过来的物理层比特数据流，在接收完一帧数据后检查该帧是否有效，若有效则解封掉数据帧的头尾变成网络层IP报文，将IP报文发送至数据进入缓存模块；数据进入缓存模块，其连接所述内网GMAC模块，用于将从所述内网GMAC模块发送过来的IP报文，用乒乓操作方式将报文写入数据存储单元，以缓存待IPSec协议处理的IP报文；IPSec协议封装处理模块，其连接所述数据进入缓存模块、SA匹配模块、加密模块和验证模块，用于从数据进入缓存模块读取一个完整的IP包存入存储装置、向SA匹配模块发送IP头信息、从SA匹配模块读取过来的SA相关参数信息并根据其中一部分信息判断选择IPSec协议处理方式、将明文数据发送给加密模块并从其模块获取密文数据、将待验证数据发送给验证模块并从其模块获取验证完的数据和产生与各个交互模块的相关控制信号，随后将待封装的数据封装在一个完整IP包中，发送至报文分片模块；SA匹配模块，其连接所述IPSec协议封装处理模块，用于接收IPSec协议封装处理模块发送过来IP包中IP头的数据信息，根据其中部分信息选择该IP包需要进行安全保护的SA信息，并将其SA信息发送给IPSec协议封装处理模块；加密模块，其连接所述IPSec协议封装处理模块，用于接收IPSec协议封装处理模块发送过来的明文数据、加密算法模式和密钥数据，将明文进行加密，并将加密完的密文数据回传给IPSec协议封装处理模块；认证模块，其连接所述IPSec协议封装处理模块，用于接收IPSec协议封装处理模块发送过来的待认证处理数据、加密算法模式和密钥数据，将待认证处理的数据进行认证算法处理，并将认证处理后的数据回传给IPSec协议封装处理模块；报文分片模块，其连接所述IPSec协议封装处理模块，用于接收IPSec协议封装处理模块发送过来的IP数据报，根据MTU的值对IP数据报进行分片处理；数据输出缓存模块，其连接所述报文分片模块，用于将报文分片模块发送过来的分片后的IP报文，用乒乓操作方式将报文写入数据存储单元，以缓存发送给外网GMAC模块的IP报文；外网GMAC模块，其连接所述数据输出缓存模块，用于接收数据输出缓存模块发送过来的IP报文，在数据段头尾加上一些控制信息，组成一个以太网数据帧，并将该数据帧以比特数据流的形式发送到物理层；进一步地，所述数据进入缓存模块包括：输入数据选择器，用于根据选择信号将IP报文数据存入第一数据存储单元或第二数据存储单元；其中，根据选择信号在第一个缓冲周期，将内网GMAC模块发送过来的IP报文数据缓存到第一数据存储单元，在第二个缓冲周期，将内网GMAC模块发送过来的IP报文数据缓存到第二数据存储单元；第一和第二数据存储单元，用于缓存内网GMAC模块发送过的待IPSec处理的IP报文数据；其中，第一和第二数据存储单采用随机存取存储器RAM或先进先出存储器FIFO数据存储单元，第一和第二数据存储单的数据深度和数据宽度根据数据要求配置；输出数据选择器，用于根据选择信号将IP报文数据输出到IPSec协议封装处理模块；其中，输出数据选择器根据选择信号，在第二个缓冲周期，将第一数据存储单元缓存的第一个周期的IP报文数据送到IPSec协议封装处理模块被处理，在第三个缓冲周期，通过选择信号再次切换，将第二数据存储单元缓存的第二个周期的IP报文数据送到IPSec协议封装处理模块被处理；通过输入数据选择器，两个数据存储单元，输出数据选择器以及选择信号实现对发送IP报文进行乒乓操作，从而提高数据处理速度。