[发明专利]一种IPsec加速装置及实现方法

说明书

本公开提供了一种IPsec加速装置及实现方法，包括SA LIST模块、IPsec加速器模块、SM4及AES模块、SM3及SHA‑1模块、DATA FIFO模块、MASTER模块、ARBITER模块和SLAVE模块；所述IPsec加速器模块用于从读回的描述符中读取出有效的SA指针，根据SA指针检索SA LIST模块，从中选出当前数据包的操作信息，利用硬件根据选择的操作信息自动为数据包增添头部，对加密算法进行选择，对数据包进行校验和计算并将校验和写入对应的地址中；本公开用硬件的方式处理IPsec流程中的一部分操作，减轻了CPU的负载，达到了一种加速的效果。

技术领域

本公开涉及IPsec加速计算领域，特别涉及一种IPsec加速装置及实现方法。

背景技术

本部分的陈述仅仅是提供了与本公开相关的背景技术，并不必然构成现有技术。

随着生活的不断发展，网络技术在我们日常生活中扮演的角色也越来越重要，与我们的生活息息相关。但是在这样的一个网络大环境下如何保证传输信息的机密性是一个很大的问题，IPsec是我们目前常采用的一种安全机制。

本公开发明人发现，目前市场上的大部分产品都是由软件来处理IPsec，这样的做法会增加CPU的负载，信息的处理速度依赖于CPU的性能。

发明内容

为了解决现有技术的不足，本公开提供了一种IPsec加速装置及实现方法，用硬件的方式处理IPsec流程中的一部分操作，减轻了CPU的负载，达到了一种加速的效果。

为了实现上述目的，本公开采用如下技术方案：

本公开第一方面提供了一种IPsec加速装置。

一种IPsec加速装置，包括SA LIST模块、IPsec加速器模块、SM4及AES模块、SM3及SHA-1模块、DATA FIFO模块、MASTER模块、ARBITER模块和SLAVE模块；

所述MASTER模块用于发送端读回描述符，根据读回的描述符中的地址取回要进行IPsec加速处理的数据，IPsec加速处理完成之后，将状态写回描述符；用于接收端读回描述符，根据读回的描述符中的地址将已经经过处理的IPsec数据搬到相对应的位置，将状态写回描述符；SLAVE模块用于与网络接口进行数据交换，所述DATA FIFO模块用于存放MASTER模块读取回来的数据包、经过IPsec加速处理完的数据包以及经过SLAVE模块传输进来的数据包；

SM4及AES模块用于对发送端数据进行加密，对接收端数据进行解密操作；SM3及SHA-1模块对发送端数据进行认证，对接收端数据进行完整性检查；所述ARBITER模块用于处理发送端多个描述符环和接收端多个描述符环之间的处理优先级；

所述SA LIST模块用于存放IPsec加速需要用到的参数，所述IPsec加速器模块用于从读回的描述符中读取出有效的SA指针，根据SA指针检索SA LIST模块，从中选出当前数据包的操作信息，利用硬件根据选择的操作信息自动为数据包增添头部，对加密算法进行选择，对数据包进行校验和计算并将校验和写入对应的地址中。

作为可能的一些实现方式，所述SA LIST模块中至少存储有序列号、AH认证算法选择、AH认证密钥、ESP加密及认证选择、ESP加密算法选择、ESP加密密钥、ESP认证算法选择、ESP认证密钥、ESP IV值、模式选择、协议选择、PMTU、SPI和目的IP地址。

作为可能的一些实现方式，IPsec加速器模块还用于根据PMTU将大的数据包分解成符合PMTU大小的数据包，硬件根据选择的信息自动为数据包增添头部。

作为进一步的限定，IPsec加速器模块选择加密算法，至少包括认证算法、数据填充、验证数据的填充。