[发明专利]一种IPsec加速装置及实现方法

权利要求书

1.一种IPsec加速装置，其特征在于，包括SA LIST模块、IPsec加速器模块、SM4及AES模块、SM3及SHA-1模块、DATA FIFO模块、MASTER模块、ARBITER模块和SLAVE模块；

其中SA LIST模块与IPsec加速器模块双向连接；IPsec加速器模块单向连接到SM4及AES模块，然后SM4及AES模块单向连接到SM3及SHA-1模块，SM3及SHA-1模块再单向连接到IPsec加速器模块；DATA FIFO模块与IPsec加速器模块、DATA FIFO模块与MASTER模块、DATAFIFO模块与SLAVE模块之间为双向连接；ARBITER模块与MASTER模块、ARBITER模块与SLAVE模块之间为双向连接；

所述MASTER模块用于发送端读回描述符，根据读回的描述符中的地址取回要进行IPsec加速处理的数据，IPsec加速处理完成之后，将状态写回描述符；用于接收端读回描述符，根据读回的描述符中的地址将已经经过处理的IPsec数据搬到相对应的位置，将状态写回描述符；SLAVE模块用于与网络接口进行数据交换，所述DATA FIFO模块用于存放MASTER模块读取回来的数据包、经过IPsec加速处理完的数据包以及经过SLAVE模块传输进来的数据包；

SM4及AES模块用于对发送端数据进行加密，对接收端数据进行解密操作；SM3及SHA-1模块对发送端数据进行认证，对接收端数据进行完整性检查；所述ARBITER模块用于处理发送端多个描述符环和接收端多个描述符环之间的处理优先级；

所述SA LIST模块用于存放IPsec加速需要用到的参数，所述IPsec加速器模块用于从读回的描述符中读取出有效的SA指针，根据SA指针检索SA LIST模块，从中选出当前数据包的操作信息，利用硬件根据选择的操作信息自动为数据包增添头部，对加密算法进行选择，对数据包进行校验和计算并将校验和写入对应的地址中。

2.如权利要求1所述的IPsec加速装置，其特征在于，所述SA LIST模块中至少存储有序列号、AH认证算法选择、AH认证密钥、ESP加密及认证选择、ESP加密算法选择、ESP加密密钥、ESP认证算法选择、ESP认证密钥、ESPIV值、模式选择、协议选择、PMTU、SPI和目的IP地址。

3.如权利要求1所述的IPsec加速装置，其特征在于，IPsec加速器模块还用于根据PMTU将大的数据包分解成符合PMTU大小的数据包，硬件根据选择的信息自动为数据包增添头部。

4.如权利要求3所述的IPsec加速装置，其特征在于，IPsec加速器模块选择加密算法，至少包括认证算法、数据填充、验证数据的填充。

5.如权利要求1所述的IPsec加速装置，其特征在于，所述SLAVE模块用于将经过IPsec加速处理的数据包传送给网络控制器，网络控制器接收到的数据包通过SLAVE进入到IPsec加速处理模块。

6.一种IPsec加速的实现方法，其特征在于，利用权利要求1-5任一项所述的IPsec加速装置的发送端的发送流程，包括以下步骤：

步骤6-1：外置软件完成描述符的操作，启动IPsec加速装置；

步骤:6-2：MASTER读回描述符，取出SA索引指针，数据包起始地址以及数据包长度；

步骤6-3：IPsec加速器根据索引指针从SA LIST中取出相对应的操作参数；

步骤6-4：根据取出的PMTU确定数据包是否需要进行分包操作；

步骤6-5：从取回的第一个数据包中提取出IP头部和TCP/UDP头部缓存，计算TCP/UDP部分的校验和并填写到相对应的位置，按照SA LIST中相对应的操作参数进行操作，先为数据包增加AH/ESP数据包头，按照不同的传输模式进行处理；

步骤6-6：IPsec数据处理完成，通知网络控制器来将数据取走，更新对应的SA中的序列号和ESP IV值，同时查看是否分包完成，如果完成则结束此次操作，未完成则从步骤6-5继续进行处理。