IPsec VPN中硬件加密卡应用研究.docVIP

IPsec VPN中硬件加密卡应用研究 　　摘 要 本文主要讲述了在网络安全产品在IPsec VPN之中应用硬件加密卡来提高产品的吞吐量的方法和步骤。文章中，还介绍了当今流行的硬件加密卡一般框架和硬件组成部分，以及各部分功能。并结合安全产品的特点，讲述了IPsec VPN中IPsec包的主要处理流程。在此基础上，结合硬件加密卡与IPsec处理流程的切合点，概述了硬件加密卡驱动的主要内容。通过硬件加密卡在IPsec VPN中的应用，使得软件加解密和硬件加解密可以完美切换，提高了产品的性能和质量。 　　关键词 IPsec VPN 加密卡 AH ESP 　　随着网络技术的发展，人们的网络安全意识越来越强，对网络安全产品的性能要求也越来越高。尤其是在个人虚拟网VPN的应用，这个问题尤为严重。IPsec VPN作为应用最为普遍的VPN，影响其吞吐量的关键是加解密机制中的算法实现效率太低。为了更好的解决这个问题，在网络安全产品之中应用硬件加密卡的方案应运而生。它以硬件机制实现了算法最为繁琐的加解密流程，这极大的提高了产品的吞吐量，提高了性能。 　　1 IPsec VPN简介 　　IPsec 是现在所使用的一种比较通用的网络安全协议族。VPN是个人虚拟网络，其应用隧道技术在两通信方之间使用公共网络来实现安全的信息传输的一种拓扑结构，VPN并不一定加密。IPsec VPN是将IPsec 协议应用到VPN上，更好的保证了信息的机密性，完整性和不可抵赖性。 　　IPsec VPN是第三层（IP层）的VPN，主要实现是通过IKE协商出IPsec SA，其保存到SADB数据库之中。在由IPsec 处理流程根据所得到的SA中所获得的信息，来对IP数据包进行操作。其中IPsec中主要使用两个协议，AH协议和ESP协议。AH协议主要保证数据的完整性和有效性。而ESP中不但包括了验证算法，还包含了加解密的算法，在加解密的同时保证了数据的完整性。两种协议可以同时使用，也可以单独使用其中一种，但是使用IPsec协议时，禁止两种算法均设置为NULL。IPsec的实施结构图如图1所示[1]。 　　协议中所规定的加解密算法主要是3DES，AES，验证算法主要是MD5和SHA1。对于其中的加解密算法和验证算法，以前大多数的安全设备主要是使用软件的方式实现。主要的原因是当时对安全设备的速度和数据的吞吐量要求并不高，这样完全可以满足要求，但是随着网络安全的发展，这越来越成为制约网络安全产品性能的瓶颈了，迫切需要硬件来实现以提高其吞吐量。 　　2 加密卡的介绍 　　2.1 加密卡的架构 　　所谓的加密卡就是将AES，DES，3DES，MD5，SHA1等加密验证算法使用硬件实现，从而将所有涉及到加解密和验证算法相关的内容直接交给加密卡来实现，从而提高加解密的速度和安全产品的整体性能。有些加密卡为适应网络数据传输的要求，还实现了解压缩功能，将压缩和解压缩算法也用硬件实现，从而提高数据处理速度。加密卡的架构如图2所示。 　　PCI模块：将加密卡挂到安全设备的PCI总线之上，负责处理与其相关的配置控制部分 　　加密卡的控制模块：加密卡各模块之间的控制交互，及模块调度，配置设置存储等 　　加解密模块：以硬件方式实现的加解密算法模块 　　验证模块：以硬件方式实现的验证算法模块 　　解/压缩模块：硬件方式实现的压缩和解压缩算法模块 　　存储模块：存储加密卡的配置和各种设置等信息 　　2.2 加密卡的驱动 　　加密卡的驱动主要包含以下几个部分： 　　1. 数据处理模块 　　实现了驱动的主体功能，主要负责接收配置模块的控制信号，设置加/解密密钥，获取上层传递过来的待处理数据，启动加/解密操作，并返回处理结果的数据地址。 　　2. 配置模块 　　用于对加密卡的参数进行设置，例如，写密钥参量，读写芯片的状态和芯片的标志码，设置DMA控制器和命令寄存器等。 　　3. 信息交互模块 　　加密卡的实时状态，内部数据处理的情况，已经内部资源的使用情况等，通过proc文件系统可以查询[3]，及打印信息接口等。 　　4. 监听控制模块 　　加载加密卡时，就要创建核心进程来驱动加密卡，监听加密卡的加/解密数据端口，等处理完数据包时及时返回，并加入新的待处理数据包，维护加解密队列，提高数据量的吞吐率。 　　3 IPsec处理流程 　　加密卡的驱动要实现加密卡的各功能之间的和谐协调作用，还要保证和上层IPSec处理流程的衔接。IPsec 处理流程分为进入处理和外出处理两种。 　　3.1 IPsec的外出处理 　　当从IP层收到一个传出的IP数据包，首先检查其SPD数据库，查看是否需要进行安全服务处理，若不需要则直接转发，若是需要安全服务，则交由安全服务I