[发明专利]一种IPSec VPN网关数据包处理装置及方法

权利要求书

1.一种IPSec VPN网关数据包处理装置，其特征在于，包括：

IPSec主模块，用于进行IPSec VPN网关的数据层面和控制层面分离；所述数据层面包括用户态网卡收发数据包，所述控制层面包括IPSec协议的密钥协商；

用户态收发包模块，用于提供所述用户态网卡收发数据包的收包接口和发包接口，并与所述IPSec主模块进行交互实现数据包的收发；

所述数据包的收发通过所述用户态收发包模块采用用户态网卡轮询DMA的连续内存机制进行数据包的收发，具体包括：

步骤1，初始化用户态网卡申请的连续内存和寄存器；

步骤2，申请收包环形队列并从所述连续内存上申请数据包绑定所述收包环形队列；

步骤3，设置所述用户态网卡的收包基地址并启动所述用户态网卡；

步骤4，通过轮询所述收包环形队列并判断当前节点状态是否就绪，若就绪则将所述数据包的地址发送至所述IPSec主模块处理，否则等待下次轮询；

所述数据包的发包具体包括：

步骤S1，初始化用户态网卡申请的连续内存和寄存器；

步骤S2，申请发包环形队列并从所述IPSec主模块读取待发送的数据包及将所述待发送的数据包放置于所述发包环形队列；

步骤S3，通过置位所述用户态网卡的发送寄存器并等待下一个需要发送的数据包。

2.根据权利要求1所述的IPSec VPN网关数据包处理装置，其特征在于，所述数据层面独占绑定第一CPU核，所述控制层面绑定第二CPU核；所述数据层面还包括由所述第一CPU核进行数据包的协议解析、包过滤和NAT功能。

3.根据权利要求1所述的IPSec VPN网关数据包处理装置，其特征在于，所述用户态收发包模块采用用户态网卡轮询DMA的连续内存机制进行数据包的收发，所述连续内存用于用户态网卡DMA进行数据包的直接存储。

4.根据权利要求1所述的IPSec VPN网关数据包处理装置，其特征在于，所述数据包处理装置还包括FPGA加解密模块，用于与所述IPSec主模块进行交互实现数据包的加解密。

5.一种应用权利要求1所述的IPSec VPN网关数据包处理装置的数据包处理方法，其特征在于，所述数据包处理方法包括：

通过所述IPSec主模块进行IPSec VPN网关的数据层面和控制层面分离；所述数据层面包括用户态网卡收发数据包，所述控制层面包括IPSec协议的密钥协商；

通过所述用户态收发包模块与所述IPSec主模块进行交互实现数据包的收发。

6.根据权利要求5所述的数据包处理方法，其特征在于，通过所述IPSec主模块进行IPSec VPN网关的数据层面和控制层面分离具体包括：

将所述数据层面独占绑定第一CPU核及将所述控制层面绑定第二CPU核；

所述IPSec主模块采用所述第二CPU核进行IPSec协议的密钥协商生成共享密钥；

所述IPSec主模块采用所述第一CPU核并通过调用所述用户态收发包模块的收包接口和发包接口进行数据包的收发。

7.根据权利要求6所述的数据包处理方法，其特征在于， 所述数据包处理方法还包括：

通过FPGA加解密模块与所述IPSec主模块进行交互实现数据包的加解密。

8.根据权利要求7所述的数据包处理方法，其特征在于，通过所述FPGA加解密模块与所述IPSec主模块进行交互实现数据包的加解密具体包括：

所述IPSec主模块将所述共享密钥和收发的所述数据包发送至FPGA加解密模块；

所述FPGA加解密模块通过所述共享密钥对收发的所述数据包进行加解密和HMAC计算后返回至所述IPSec主模块。