返回
IPsec VPN中硬件加密卡应用探究.doc

IPsec VPN中硬件加密卡应用探究.doc

ID:50427622

大小:69.50 KB

页数:7页

时间:2020-03-09

IPsec VPN中硬件加密卡应用探究.doc_第1页
IPsec VPN中硬件加密卡应用探究.doc_第2页
IPsec VPN中硬件加密卡应用探究.doc_第3页
IPsec VPN中硬件加密卡应用探究.doc_第4页
IPsec VPN中硬件加密卡应用探究.doc_第5页
资源描述:

《IPsec VPN中硬件加密卡应用探究.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IPsecVPN中硬件加密卡应用探究摘要本文主要讲述了在网络安全产品在IPsecVPN之中应用硬件加密卡来提高产品的吞吐量的方法和步骤。文章中,还介绍了当今流行的硬件加密卡一般框架和硬件组成部分,以及各部分功能。并结合安全产品的特点,讲述了IPsecVPN中IPsec包的主要处理流程。在此基础上,结合硬件加密卡与IPsec处理流程的切合点,概述了硬件加密卡驱动的主要内容。通过硬件加密卡在IPsecVPN中的应用,使得软件加解密和硬件加解密可以完美切换,提高了产品的性能和质量。关键词IPsecVPN加密卡AHES

2、P随着网络技术的发展,人们的网络安全意识越来越强,对网络安全产品的性能要求也越来越高。尤其是在个人虚拟网VPN的应用,这个问题尤为严重。IPsecVPN作为应用最为普遍的VPN,影响其吞吐量的关键是加解密机制中的算法实现效率太低。为了更好的解决这个问题,在网络安全产品之中应用硬件加密卡的方案应运而生。它以硬件机制实现了算法最为繁琐的加解密流程,这极大的提高了产品的吞吐量,提高了性能。1IPsecVPN简介IPsec是现在所使用的一种比较通用的网络安全协议族。VPN是个人虚拟网络,其应用隧道技术在两通信方之间使用

3、公共网络来实现安全的信息传输的一种拓扑结构,VPN并不一定加密dPsecVPN是将IPsec协议应用到VPN上,更好的保证了信息的机密性,完整性和不可抵赖性。IPsecVPN是第三层(IP层)的VPN,主要实现是通过IKE协商出IPsecSA,其保存到SADB数据库之中。在由IPsec处理流程根据所得到的SA中所获得的信息,来对IP数据包进行操作。其中IPsec中主要使用两个协议,AH协议和ESP协议。AH协议主要保证数据的完整性和有效性。而ESP中不但包括了验证算法,还包含了加解密的算法,在加解密的同时保证了

4、数据的完整性。两种协议可以同时使用,也可以单独使用其中一种,但是使用IPsec协议时,禁止两种算法均设置为NULL。IPsec的实施结构图如图1所示[1]。协议中所规定的加解密算法主要是3DES,AES,验证算法主要是MD5和SHA1O对于其中的加解密算法和验证算法,以前大多数的安全设备主要是使用软件的方式实现。主要的原因是当时对安全设备的速度和数据的吞吐量要求并不高,这样完全可以满足要求,但是随着网络安全的发展,这越来越成为制约网络安全产品性能的瓶颈了,迫切需要硬件来实现以提高其吞吐量。2加密卡的介绍2.1加

5、密卡的架构所谓的加密卡就是将AES,DES,3DES,MD5,SHA1等加密验证算法使用硬件实现,从而将所有涉及到加解密和验证算法相关的内容直接交给加密卡来实现,从而提高加解密的速度和安全产品的整体性能。有些加密卡为适应网络数据传输的要求,还实现了解压缩功能,将压缩和解压缩算法也用硬件实现,从而提高数据处理速度。加密卡的架构如图2所示。PCI模块:将加密卡挂到安全设备的PCI总线之上,负责处理与其相关的配置控制部分加密卡的控制模块:加密卡各模块之间的控制交互,及模块调度,配置设置存储等加解密模块:以硬件方式实现

6、的加解密算法模块验证模块:以硬件方式实现的验证算法模块解/压缩模块:硬件方式实现的压缩和解压缩算法模块存储模块:存储加密卡的配置和各种设置等信息2.2加密卡的驱动加密卡的驱动主要包含以下几个部分:1.数据处理模块实现了驱动的主体功能,主要负责接收配置模块的控制信号,设置加/解密密钥,获取上层传递过来的待处理数据,1.配置模块用于对加密卡的参数进行设置,例如,写密钥参量,读写芯片的状态和芯片的标志码,设置DMA控制器和命令寄存器等。2.信息交互模块加密卡的实时状态,内部数据处理的情况,已经内部资源的使用情况等,通

7、过proc文件系统可以查询[3],及打印信息接口等。3.监听控制模块加载加密卡时,就要创建核心进程来驱动加密卡,监听加密卡的加/解密数据端口,等处理完数据包时及时返回,并加入新的待处理数据包,维护加解密队列,提高数据量的吞吐率。3IPsec处理流程加密卡的驱动要实现加密卡的各功能之间的和谐协调作用,还要保证和上层IPSec处理流程的衔接。IPsec处理流程分为进入处理和外岀处理两种。3.1IPsec的外出处理当从IP层收到一个传出的IP数据包,首先检查其SPD数据库,查看是否需要进行安全服务处理,若不需要则直接

8、转发,若是需要安全服务,则交由安全服务IPsec统一处理接口,查询是否有已建立的SA,若存在SA,根据SA中的协议进行封包,若不存在,调用IKE协商建立SA,然后进行封包处理,等封包完成后转到下一层处理。具体的IPsec外出处理流程如图3所示:3.2IPsec进入包处理流程当监听到进入的IP数据包含有ESP头或者AH头(也即包含IPsec头)时,将其转到IPsec层统一处理接口之上。I

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。