[发明专利]一种用于VPN的加解密芯片驱动方法

说明书

技术领域

本发明涉及计算机网络技术领域，特别是涉及一种用于防火墙VPN的Nitrox系列加解密芯片的改进的驱动方法。

背景技术

VPN(Virtual Private Network，虚拟专用网络)是指通过特殊的、加密的通讯协议在Internet上位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，它的主要功能包括：防火墙功能、认证、加密和隧道化。

VPN是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的加密传输通道，以保证数据的安全传输。建立和保持该加密传输通道需要用到一些复杂的加解密算法，如3DES(Triple DES，三重DES)、AES(Advanced Encryption Standard，高级加密标准)等。这些加密算法功能既可以由纯软件来实现，也可以由一些硬件，例如加速芯片来完成。加解密加速芯片可以大大加速VPN的加解密运算速度，从而提高防火墙产品的VPN性能。

图1为Cavium公司的Nitrox系列加解密加速芯片的驱动程序示意图。图中Core部分为内核态驱动部分，NPX指加解密芯片硬件，操作系统相关接口(Operating System Dependent Interface)之上的部分为用户态API(Application Programming Interface，应用程序接口)函数，提供给上层业务，例如IPSec(Internet协议安全性)或SSL(Secure Sockets Layer，安全套接层)协议栈进行调用。

具体地，如图1所示，Nitrox芯片的原有驱动程序的内核态部分可以编译成内核模块，或者直接编译到Linux内核中。这样，在加载模块文件或者内核启动时就会调用该内核态驱动的初始化函数进行包括缓存管理、上下文管理、密匙存储管理等芯片初始化/配置操作；芯片初始化成功后，可以通过打开Linux设备的方式获得芯片的操作权限，使用设备控制接口就可以对芯片进行访问；建立VPN通道时，首先通过协商写入通道的SA(system administrator，超级用户)，调用内核态驱动提供的用户态SA写入接口就可以将SA写入芯片；通道建立后就可以利用内核态驱动提供的用户态报文处理接口对报文进行加解密处理。以上接口都是通过设备控制接口的方式调用Nitrox芯片的原有驱动程序的内核态部分的请求管理(Request Manager)模块对芯片进行访问。在Request Manager模块的处理中，要把报文从用户态内存空间拷贝到内核态内存空间，再交给芯片处理，芯片处理完成后，通过响应管理(Response Manager)模块通知用户态程序，再把报文由内核态内存空间拷贝回用户态内存空间。

对于基于Linux操作系统并且工作在Linux用户态的防火墙产品，若直接使用Nitrox芯片的原有驱动程序，虽然也可以实现防火墙的VPN硬件加解密功能，但经过Nitrox芯片处理的数据报文都要经由Linux内核态再到用户态程序，这样就必须经过一次内核态到用户态的数据报文拷贝。数据报文拷贝增加了处理开销，使得整个系统的VPN吞吐性能大大下降。同时，工作在Linux内核态的驱动程序也存在着调试困难，容易造成操作系统崩溃等弊病。

发明内容

(一)、要解决的技术问题

本发明要解决的技术问题在于如何实现在Linux用户态对加解密芯片进行驱动控制，以提高防火墙系统的VPN转发性能。

(二)、技术方案

为解决上述技术问题，本发明的技术方案提供了一种用于VPN的加解密芯片驱动方法，该方法包括以下步骤：

S1：在Linux用户态通过设备控制接口的方式实现PCI访问接口；

S2：在Linux用户态通过所述PCI访问接口对加解密芯片进行访问，并进行加解密芯片的初始化；

S3：通过在用户态对芯片控制寄存器的直接访问的方式将SA写入加解密芯片，以建立VPN通道；

S4：通过在用户态对芯片控制寄存器的直接访问对报文进行加解密处理。

优选地，所述步骤S1通过为Linux操作系统内核打上用户态驱动补丁来实现。

优选地，所述步骤S2通过设置从芯片控制寄存器到Linux操作系统用户态空间的映射来实现。

(三)、有益效果

根据本发明的技术方案，可以方便地在用户态下对加解密芯片的初始化、加解密运算操作进行调试，提高了防火墙系统的VPN转发性能。

附图说明