專利名稱:網(wǎng)絡(luò)通信安全處理器及其數(shù)據(jù)處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信安全技術(shù)����,更具體的說���,是一種用來實(shí)現(xiàn)在網(wǎng)絡(luò)上進(jìn)行安全通信的數(shù)據(jù)處理器及其數(shù)據(jù)處理方法。
背景技術(shù):
隨著因特網(wǎng)的高速發(fā)展���,IP網(wǎng)絡(luò)逐漸成為人們?nèi)粘9ぷ骱蜕钪斜夭豢缮俚墓ぞ?���,而在IP網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)傳輸?shù)陌踩员WC的需求也日趨強(qiáng)烈�����。眾所周知�����,IP網(wǎng)絡(luò)是個(gè)開放的網(wǎng)絡(luò)��,不采取任何措施就利用IP網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通信是毫無安全性可言的�。為了滿足在IP網(wǎng)上獲得安全通信的需要,互聯(lián)網(wǎng)工程任務(wù)組的IPSec(IP Security���,IP安全)工作組制定了一組基于密碼學(xué)的開放網(wǎng)絡(luò)安全協(xié)議�,總稱IPSec體系結(jié)構(gòu)。IPSec協(xié)議提供了訪問控制�����、無連接的數(shù)據(jù)完整性����、數(shù)據(jù)保密性、數(shù)據(jù)源驗(yàn)證�、防重放攻擊、自動(dòng)密鑰管理等安全服務(wù)��。
目前用于實(shí)現(xiàn)網(wǎng)絡(luò)分組數(shù)據(jù)加密的安全處理器主要有兩種類型一種本身只提供數(shù)據(jù)的加密運(yùn)算功能����,通過8-32位的異步數(shù)據(jù)總線與外界進(jìn)行數(shù)據(jù)通信,需要外接處理器才能夠?qū)崿F(xiàn)IPSec協(xié)議���,例如摩托羅拉公司制造的型號(hào)為MPC180的通信安全處理器���;另一種本身也只提供數(shù)據(jù)加密運(yùn)算功能��,通過PCI總線與外界進(jìn)行數(shù)據(jù)通信����,同樣需要外接處理器才能夠?qū)崿F(xiàn)IPSec協(xié)議�����,例如摩托羅拉公司制造的型號(hào)為MPC190的通信安全處理器��。
由于現(xiàn)有的網(wǎng)絡(luò)通信安全處理器本身只能夠進(jìn)行數(shù)據(jù)的加密運(yùn)算功能��,在實(shí)現(xiàn)IPSec協(xié)議時(shí)�����,加密運(yùn)算所需的密碼和所使用的算法必須由外接的主處理器指定�����,使得主處理器也必須參與到具體的加密運(yùn)算過程中來�����,加大了主處理器的負(fù)擔(dān)���,提高了系統(tǒng)的復(fù)雜度,加大了系統(tǒng)的開發(fā)難度和降低了系統(tǒng)的可靠性��。
對(duì)于使用異步數(shù)據(jù)總線與外界進(jìn)行數(shù)據(jù)通信的安全處理器,對(duì)芯片進(jìn)行一次讀或者寫操作一般需要5個(gè)時(shí)鐘周期左右的時(shí)間���,接口數(shù)據(jù)傳輸速率過慢的先天不足使得芯片無法實(shí)現(xiàn)高速的數(shù)據(jù)處理速度���。對(duì)于使用PCI總線與外界進(jìn)行數(shù)據(jù)通信的安全處理器,表面上看可以達(dá)到一個(gè)較高的數(shù)據(jù)通信速率��,但這種共享式的總線在實(shí)際上應(yīng)用中效率不高�����,尤其當(dāng)系統(tǒng)中存在多個(gè)PCI設(shè)備時(shí)�����,PCI總線的使用效率將大大下降��。這使得實(shí)際應(yīng)用中安全處理器的利用率下降��,系統(tǒng)的數(shù)據(jù)處理速度仍然不高����。對(duì)于采用PCI接口的安全處理器,要求系統(tǒng)必須提供PCI接口���,在這一點(diǎn)上降低了系統(tǒng)結(jié)構(gòu)的靈活性�����。
現(xiàn)有的專利文獻(xiàn)包括專利申請(qǐng)?zhí)枮?1107461.2的中國(guó)專利申請(qǐng)“分組加密芯片及其數(shù)據(jù)的高速加解密方法”和專利號(hào)為6477646的美國(guó)專利“Security chip architecture and implementations for cryptography acceleration”(安全芯片結(jié)構(gòu)和加密加速實(shí)現(xiàn)方法)�����。
第01107461.2號(hào)中國(guó)專利申請(qǐng)存在以下不足一�����、該專利使用PCI總線接口傳輸數(shù)據(jù)��,由于PCI總線是一種共享式的總線��,系統(tǒng)中存在多個(gè)PCI接口時(shí)必然導(dǎo)致總線傳輸效率低下����,接口數(shù)據(jù)傳輸速率受限�;另外,網(wǎng)絡(luò)安全處理系統(tǒng)必須通過PCI總線與網(wǎng)絡(luò)應(yīng)用系統(tǒng)電連接���,也限制了網(wǎng)絡(luò)應(yīng)用系統(tǒng)的組成結(jié)構(gòu)���。二����、在該專利的實(shí)現(xiàn)中�����,網(wǎng)絡(luò)安全協(xié)議的實(shí)現(xiàn)從網(wǎng)絡(luò)安全連接的協(xié)商到每個(gè)數(shù)據(jù)包的加/解密和身份認(rèn)證處理都必須有中央處理器參與控制���,加大了主處理器的負(fù)擔(dān)���,提高了系統(tǒng)的復(fù)雜度,加大了系統(tǒng)的開發(fā)難度并且降低了系統(tǒng)的可靠性����。
第6477646號(hào)美國(guó)專利存在以下不足在該專利中,網(wǎng)絡(luò)安全協(xié)議的實(shí)現(xiàn)從網(wǎng)絡(luò)安全連接的協(xié)商到每個(gè)數(shù)據(jù)包的加/解密和身份認(rèn)證處理都必須有中央處理器參與控制��,加大了主處理器的負(fù)擔(dān)�,提高了系統(tǒng)的復(fù)雜度,加大了系統(tǒng)的開發(fā)難度并且降低了系統(tǒng)的可靠性�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于,提供一種功能獨(dú)立�����、數(shù)據(jù)處理速度高的網(wǎng)絡(luò)通信安全處理器及其數(shù)據(jù)處理方法�����。
本發(fā)明采用以下技術(shù)方案�,本發(fā)明網(wǎng)絡(luò)通信安全處理器包括數(shù)據(jù)通信接口����,其包括若干物理接口,用以連接不同網(wǎng)絡(luò)�,與外界進(jìn)行數(shù)據(jù)通信;安全連接數(shù)據(jù)庫(kù)操作引擎���,用以負(fù)責(zé)安全連接數(shù)據(jù)庫(kù)的使用和維護(hù)���;安全連接數(shù)據(jù)庫(kù),其包括安全策略數(shù)據(jù)庫(kù)和安全連接參數(shù)數(shù)據(jù)庫(kù)�;多通道安全處理引擎,其包括多個(gè)安全處理通道��,用以控制硬件完成安全處理;加密算法運(yùn)算模塊���,用以完成數(shù)據(jù)包的加/解密運(yùn)算���;散列算法運(yùn)算模塊,用以完成數(shù)據(jù)包的散列運(yùn)算�;信息交流接口,用以提供外界操作接口����,接收配置、管理和控制等信息��,對(duì)安全連接數(shù)據(jù)庫(kù)進(jìn)行操作�;其中,所述安全連接數(shù)據(jù)庫(kù)操作引擎與數(shù)據(jù)通信接口�、安全連接數(shù)據(jù)庫(kù)和多通道安全處理引擎電連接;多通道安全處理引擎與安全連接數(shù)據(jù)庫(kù)操作引擎�、數(shù)據(jù)通信接口、加密算法運(yùn)算模塊和散列算法運(yùn)算模塊電連接����;信息交流接口與數(shù)據(jù)通信接口、安全連接數(shù)據(jù)庫(kù)操作引擎電連接。
進(jìn)一步地���,本發(fā)明網(wǎng)絡(luò)通信安全處理器還包括進(jìn)出數(shù)據(jù)包雙口緩存��,用以緩存進(jìn)出該網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)包及其狀態(tài)信息�����;進(jìn)入數(shù)據(jù)包選擇器,用以選擇需要進(jìn)行安全處理的數(shù)據(jù)包�����;發(fā)出數(shù)據(jù)包選擇器�����,用以選擇數(shù)據(jù)包的發(fā)送方向�;安全處理數(shù)據(jù)包雙口緩存,用以緩存進(jìn)行安全處理的數(shù)據(jù)包及其安全處理參數(shù)��;公開密鑰運(yùn)算模塊�����,用以進(jìn)行公開密鑰運(yùn)算��;隨機(jī)數(shù)生成器,用以生成偽隨機(jī)數(shù)��;中央處理器���,用以完成對(duì)該網(wǎng)絡(luò)通信安全處理器的配置和管理�,并完成安全連接的協(xié)商和密鑰交換等高層安全協(xié)議處理功能���;外圍模塊���,包括與中央處理器配套的存儲(chǔ)器接口、RS232通信接口等��;其中����,進(jìn)出數(shù)據(jù)包雙口緩存分別與數(shù)據(jù)通信接口、進(jìn)入數(shù)據(jù)包選擇器和發(fā)出數(shù)據(jù)包選擇器電連接��;進(jìn)入數(shù)據(jù)包選擇器分別與中央處理器��、進(jìn)出數(shù)據(jù)包雙口緩存�、發(fā)出數(shù)據(jù)包選擇器、安全連接數(shù)據(jù)庫(kù)操作引擎和安全處理數(shù)據(jù)包雙口緩存電連接;發(fā)出數(shù)據(jù)包選擇器分別與進(jìn)出數(shù)據(jù)包雙口緩存����、進(jìn)入數(shù)據(jù)包選擇器、中央處理器和多通道安全處理引擎電連接�;安全連接數(shù)據(jù)庫(kù)操作引擎分別與進(jìn)入數(shù)據(jù)包選擇器、中央處理器和安全連接數(shù)據(jù)庫(kù)電連接�;安全處理數(shù)據(jù)包雙口緩存分別與進(jìn)入數(shù)據(jù)包選擇器和多通道安全處理引擎電連接;多通道安全處理引擎分別與發(fā)出數(shù)據(jù)包選擇器�、安全處理數(shù)據(jù)包雙口緩存、加密算法運(yùn)算模塊和散列算法運(yùn)算模塊電連接����;中央處理器分別與數(shù)據(jù)通信接口���、進(jìn)入數(shù)據(jù)包選擇器����、發(fā)出數(shù)據(jù)包選擇器�、安全連接數(shù)據(jù)庫(kù)操作引擎、公開密鑰運(yùn)算模塊�、隨機(jī)數(shù)生成器、信息交流接口和外圍模塊電連接�。
本發(fā)明網(wǎng)絡(luò)通信安全處理器中,物理接口指具體的數(shù)據(jù)通信接口實(shí)體,包括以太網(wǎng)接口�����、POS接口或者其它能夠用于交換數(shù)據(jù)的接口�����;本發(fā)明網(wǎng)絡(luò)通信安全處理器中����,信息交流接口包括PCI總線接口、異步數(shù)據(jù)總線接口或者其它能夠用于交換數(shù)據(jù)的接口����。
利用本發(fā)明網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)處理方法包括以下步驟步驟A.數(shù)據(jù)通信接口接收數(shù)據(jù)包;步驟B.數(shù)據(jù)通信接口把收到的數(shù)據(jù)包發(fā)送到安全連接數(shù)據(jù)庫(kù)操作引擎��;步驟C.安全連接數(shù)據(jù)庫(kù)操作引擎從數(shù)據(jù)包中抽取查表關(guān)鍵字�,查找是否存在相關(guān)的安全策略;步驟D.如果不存在相關(guān)的安全策略����,則把此數(shù)據(jù)包轉(zhuǎn)交給數(shù)據(jù)通信接口發(fā)出,否則執(zhí)行步驟E���;步驟E.如果安全策略是禁止數(shù)據(jù)包通過�,則丟棄此數(shù)據(jù)包,否則運(yùn)行步驟F���;步驟F.查找是否存在可用的安全連接���;步驟G.如果不存在可用的安全連接,則丟棄此數(shù)據(jù)包并利用信息交流接口發(fā)送安全連接建立請(qǐng)求���,否則運(yùn)行步驟H���;步驟H.把至少一個(gè)安全連接參數(shù)和數(shù)據(jù)包交給多通道安全處理引擎;步驟I.多通道安全處理引擎調(diào)用加密算法運(yùn)算模塊和散列算法運(yùn)算模塊完成數(shù)據(jù)包的安全處理�����;步驟J.多通道安全處理引擎把完成安全處理的數(shù)據(jù)包轉(zhuǎn)交給數(shù)據(jù)通信接口����;步驟K.數(shù)據(jù)通信接口發(fā)送數(shù)據(jù)包��。
進(jìn)一步地���,利用本發(fā)明網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)處理方法包括以下步驟步驟a網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)通信接口從網(wǎng)絡(luò)接收數(shù)據(jù)幀���;步驟b網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)通信接口抽取數(shù)據(jù)幀中的數(shù)據(jù)組成數(shù)據(jù)包�,存入進(jìn)出數(shù)據(jù)包雙口緩存中��,并改寫進(jìn)出數(shù)據(jù)包雙口緩存的狀態(tài)信息���;步驟c進(jìn)入數(shù)據(jù)包選擇器根據(jù)數(shù)據(jù)包的信息���,調(diào)用安全連接數(shù)據(jù)庫(kù)操作引擎在安全連接數(shù)據(jù)庫(kù)中查找是否存在相關(guān)的安全策略和安全連接;步驟d進(jìn)入數(shù)據(jù)包選擇器根據(jù)安全連接數(shù)據(jù)庫(kù)操作引擎返回的數(shù)據(jù)����,判斷此數(shù)據(jù)包是否存在安全策略;如果此數(shù)據(jù)包存在安全策略�����,則下一步轉(zhuǎn)入步驟e��,否則轉(zhuǎn)入步驟j�����;步驟e判斷此數(shù)據(jù)包的安全策略是禁止通過還是進(jìn)行安全處理,如果是禁止通過則下一步轉(zhuǎn)入步驟f���,如果是進(jìn)行安全處理則下一步轉(zhuǎn)入步驟g�;步驟f丟棄此數(shù)據(jù)包�����,流程結(jié)束���;步驟g判斷此數(shù)據(jù)包是否存在可用安全連接���,如果不存在則下一步轉(zhuǎn)入步驟o,如果存在則下一步轉(zhuǎn)入步驟h��;步驟h進(jìn)入數(shù)據(jù)包選擇器把此數(shù)據(jù)包及其安全處理參數(shù)存入安全處理數(shù)據(jù)包雙口緩存中���;步驟i多通道安全處理引擎從安全處理數(shù)據(jù)包雙口緩存中取出數(shù)據(jù)包及其安全處理參數(shù)�,啟動(dòng)一個(gè)安全處理通道�,進(jìn)行安全處理�;步驟j數(shù)據(jù)包被轉(zhuǎn)交給發(fā)出數(shù)據(jù)包選擇器;步驟k發(fā)出數(shù)據(jù)包選擇器根據(jù)數(shù)據(jù)包的目的IP地址判斷此數(shù)據(jù)包是否發(fā)給本機(jī)����,如果不是則執(zhí)行步驟m�����,如果是則執(zhí)行步驟l��;步驟l數(shù)據(jù)包被轉(zhuǎn)交給中央處理器進(jìn)行處理���;步驟m數(shù)據(jù)包被存入進(jìn)出數(shù)據(jù)包雙口緩存中,然后被數(shù)據(jù)通信接口拆裝�,組成數(shù)據(jù)幀;步驟n數(shù)據(jù)通信接口發(fā)送數(shù)據(jù)幀�,流程結(jié)束;步驟o對(duì)于需要進(jìn)行安全處理�����,但又不存在安全連接的數(shù)據(jù)包����,其安全策略參數(shù)被轉(zhuǎn)交給中央處理器,請(qǐng)求中央處理器建立相關(guān)的安全連接�����,同時(shí)數(shù)據(jù)包被丟棄;步驟p中央處理器執(zhí)行安全連接協(xié)商程序����,在此過程中可根據(jù)需要調(diào)用隨機(jī)數(shù)生成器生成密鑰和調(diào)用公開密鑰運(yùn)算模塊進(jìn)行密鑰交換,流程結(jié)束���。
與現(xiàn)有技術(shù)相比較�����,本發(fā)明引入了安全連接數(shù)據(jù)庫(kù)�、安全連接數(shù)據(jù)庫(kù)操作引擎和多通道安全處理引擎��,使數(shù)據(jù)包的安全處理主要由網(wǎng)絡(luò)通信安全處理器硬件電路完成�����,一方面保證了數(shù)據(jù)包安全處理的高速能力�,另一方面使中央處理器能夠脫離具體每個(gè)數(shù)據(jù)包的安全處理操作,而專用于完成上層協(xié)議的實(shí)現(xiàn)����,降低了系統(tǒng)開發(fā)的難度和提高了系統(tǒng)的可靠性。
此外,本發(fā)明還提供了標(biāo)準(zhǔn)的高速物理通信接口�,使得接口數(shù)據(jù)傳輸速率不再成為制約數(shù)據(jù)處理速率的瓶頸����;本發(fā)明通過采用標(biāo)準(zhǔn)的物理通信接口,使得網(wǎng)絡(luò)通信安全處理器直接串入受保護(hù)的網(wǎng)絡(luò)與外界大網(wǎng)之間就能實(shí)現(xiàn)網(wǎng)絡(luò)安全協(xié)議���,系統(tǒng)結(jié)構(gòu)設(shè)計(jì)中無需考慮為網(wǎng)絡(luò)通信安全處理器預(yù)留接口����,從而提高了系統(tǒng)設(shè)計(jì)的靈活性��。
圖1是本發(fā)明網(wǎng)絡(luò)通信安全處理器的結(jié)構(gòu)示意圖���;圖2是本發(fā)明的安全連接數(shù)據(jù)庫(kù)操作引擎的結(jié)構(gòu)示意圖�����;圖3是本發(fā)明的安全連接數(shù)據(jù)庫(kù)的結(jié)構(gòu)示意圖�����;圖4是本發(fā)明的多通道安全處理引擎的結(jié)構(gòu)示意圖����;圖5是本發(fā)明數(shù)據(jù)處理方法的流程圖。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明網(wǎng)絡(luò)通信安全處理器及其數(shù)據(jù)處理方法進(jìn)行說明�。
如圖1所示,本發(fā)明的網(wǎng)絡(luò)通信安全處理器(或稱網(wǎng)絡(luò)通信安全處理芯片�,簡(jiǎn)稱芯片,未標(biāo)號(hào))包括數(shù)據(jù)通信接口101���,包括多個(gè)物理接口以連接不同的網(wǎng)絡(luò)���,是網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)出芯片的數(shù)據(jù)通道。在數(shù)據(jù)接收方向上���,把從某個(gè)物理接口收到的數(shù)據(jù)幀去除通信接口的封裝組成數(shù)據(jù)包��,連同數(shù)據(jù)包的狀態(tài)信息一同存入進(jìn)出數(shù)據(jù)包雙口緩存102中���;在數(shù)據(jù)發(fā)送方向上,根據(jù)進(jìn)出數(shù)據(jù)包雙口緩存102中的狀態(tài)信息����,取出數(shù)據(jù)包,加上通信接口封裝����,在相應(yīng)的物理接口發(fā)出�����。物理接口指具體的數(shù)據(jù)通信接口實(shí)體,包括以太網(wǎng)接口��、POS接口或者其它能夠用于交換數(shù)據(jù)的接口�����;進(jìn)出數(shù)據(jù)包雙口緩存102��,用來緩存進(jìn)出芯片的數(shù)據(jù)包及其狀態(tài)信息��,包括數(shù)據(jù)包的長(zhǎng)度和存儲(chǔ)地址等信息��。
進(jìn)入數(shù)據(jù)包選擇器103����,用于把進(jìn)入的數(shù)據(jù)包從進(jìn)出數(shù)據(jù)包雙口緩存102中取出,并轉(zhuǎn)發(fā)到芯片內(nèi)不同模塊�。如果中央處理器113有數(shù)據(jù)包需要發(fā)送,那么它也把數(shù)據(jù)包送入進(jìn)入數(shù)據(jù)包選擇器103中��。進(jìn)入數(shù)據(jù)包選擇器103從進(jìn)出數(shù)據(jù)包雙口緩存102中取出數(shù)據(jù)包,調(diào)用安全連接數(shù)據(jù)庫(kù)操作引擎105�,利用數(shù)據(jù)包的信息(例如源IP地址、目的IP地址�����、名字�、源端口、目的端口����、協(xié)議類型或者安全參數(shù)索引等)在安全連接數(shù)據(jù)庫(kù)106中查找其相關(guān)的安全策略,如果有命中的安全策略�����,則查看此數(shù)據(jù)包的安全策略是禁止數(shù)據(jù)包通過還是進(jìn)行安全處理�����。如果此數(shù)據(jù)包的安全策略是禁止通過��,則丟棄此數(shù)據(jù)包����。如果此數(shù)據(jù)包的安全策略是進(jìn)行安全處理����,則查看是否存在相關(guān)的安全連接�����,如果已存在安全連接則取出安全連接參數(shù)(包括協(xié)議��、運(yùn)用的算法和密鑰等)����,連同數(shù)據(jù)包及其狀態(tài)信息一起存入安全處理數(shù)據(jù)包雙口緩存107中�����;如果查找到了安全策略����,但是發(fā)現(xiàn)還沒有建立安全連接,則丟棄數(shù)據(jù)包并向中央處理器113發(fā)送建立安全連接請(qǐng)求��;如果沒有查到相關(guān)的安全策略�����,說明是個(gè)不需要進(jìn)行安全處理的數(shù)據(jù)包,則轉(zhuǎn)交給發(fā)出數(shù)據(jù)包選擇器104��。
發(fā)出數(shù)據(jù)包選擇器104�����,從進(jìn)入數(shù)據(jù)包選擇器103和多通道安全處理引擎108中收集要發(fā)送的數(shù)據(jù)包�����,判斷其目的IP地址是否本機(jī)的IP地址���,如果是就把此數(shù)據(jù)包轉(zhuǎn)交給中央處理器113��;如果數(shù)據(jù)包的目的IP地址不是本機(jī)的IP地址���,就把此數(shù)據(jù)包連同其狀態(tài)信息一起存入進(jìn)出數(shù)據(jù)包雙口緩存102中。
安全連接數(shù)據(jù)庫(kù)操作引擎105�,負(fù)責(zé)對(duì)安全連接數(shù)據(jù)庫(kù)106進(jìn)行操作和維護(hù),包括檢索����、添加和刪除安全連接數(shù)據(jù)庫(kù)存儲(chǔ)單元數(shù)據(jù)。
安全連接數(shù)據(jù)庫(kù)106�����,包括安全策略數(shù)據(jù)庫(kù)和安全連接參數(shù)數(shù)據(jù)庫(kù)。安全策略數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)包的選擇信息和安全處理策略�。安全連接參數(shù)數(shù)據(jù)庫(kù)保存著已經(jīng)建立的安全連接參數(shù)。
安全處理數(shù)據(jù)包雙口緩存107�����,用來緩存進(jìn)行安全處理的數(shù)據(jù)包及其安全處理參數(shù)和狀態(tài)信息�。
多通道安全處理引擎108,根據(jù)安全處理數(shù)據(jù)包雙口緩存107中的狀態(tài)信息�,讀取安全處理參數(shù),調(diào)用加密算法運(yùn)算模塊109和散列算法運(yùn)算模塊110�,完成對(duì)數(shù)據(jù)包的安全處理���;并把經(jīng)過安全處理過的數(shù)據(jù)包交給發(fā)出數(shù)據(jù)包選擇器104��。
加密算法運(yùn)算模塊109�����,用來完成加/解密運(yùn)算�。
散列算法運(yùn)算模塊110����,用來完成散列運(yùn)算�。
公開密鑰運(yùn)算模塊111��,用來完成公開密鑰算法����。
隨機(jī)數(shù)生成器112,用來生成偽隨機(jī)數(shù)�。
中央處理器113,通過信息交流接口114或者通過數(shù)據(jù)通信接口101與外界交流管理和控制信息��;通過調(diào)用隨機(jī)數(shù)生成器112����、公開密鑰運(yùn)算模塊111和網(wǎng)絡(luò)安全連接數(shù)據(jù)庫(kù)操作引擎105,協(xié)商建立安全連接和管理安全連接數(shù)據(jù)庫(kù)106���,實(shí)現(xiàn)高層網(wǎng)絡(luò)安全協(xié)議��;此外��,中央處理器113還具有對(duì)芯片內(nèi)部各個(gè)模塊進(jìn)行初始化配置和管理的功能����。
信息交流接口114,用以提供芯片與外界的信息交流(包括安全連接數(shù)據(jù)庫(kù)信息)���,不用作數(shù)據(jù)通信接口�。信息交流接口114可以為PCI總線接口�����、異步數(shù)據(jù)總線接口或者其它能夠用于交換數(shù)據(jù)的接口�����。
外圍模塊(或稱其它模塊)115�����,包括與中央處理器113配套的存儲(chǔ)器接口����、RS232通信接口等模塊���。
進(jìn)出數(shù)據(jù)包雙口緩存102分別與數(shù)據(jù)通信接口101����、進(jìn)入數(shù)據(jù)包選擇器103和發(fā)出數(shù)據(jù)包選擇器104電連接;進(jìn)入數(shù)據(jù)包選擇器103分別與中央處理器113����、進(jìn)出數(shù)據(jù)包雙口緩存102、發(fā)出數(shù)據(jù)包選擇器104����、安全連接數(shù)據(jù)庫(kù)操作引擎105和安全處理數(shù)據(jù)包雙口緩存107電連接;發(fā)出數(shù)據(jù)包選擇器104分別與進(jìn)出數(shù)據(jù)包雙口緩存102�����、進(jìn)入數(shù)據(jù)包選擇器103�、中央處理器113和多通道安全處理引擎108電連接;安全連接數(shù)據(jù)庫(kù)操作引擎105分別與進(jìn)入數(shù)據(jù)包選擇器103���、中央處理器113和安全連接數(shù)據(jù)庫(kù)106電連接���;安全處理數(shù)據(jù)包雙口緩存107分別與進(jìn)入數(shù)據(jù)包選擇器103和多通道安全處理引擎108電連接;多通道安全處理引擎108分別與發(fā)出數(shù)據(jù)包選擇器104����、安全處理數(shù)據(jù)包雙口緩存107、加密算法運(yùn)算模塊109和散列算法運(yùn)算模塊110電連接;中央處理器113分別與數(shù)據(jù)通信接口101��、進(jìn)入數(shù)據(jù)包選擇器103��、發(fā)出數(shù)據(jù)包選擇器104����、安全連接數(shù)據(jù)庫(kù)操作引擎105、公開密鑰運(yùn)算模塊111��、隨機(jī)數(shù)生成器112����、信息交流接口114和其它模塊115電連接。
如圖2所示�,安全連接數(shù)據(jù)庫(kù)操作引擎105主要包括以下幾個(gè)部分中央處理器接口寄存器組201,中央處理器113通過中央處理器接口寄存器組201實(shí)現(xiàn)對(duì)安全連接數(shù)據(jù)庫(kù)操作引擎105的操作�;安全連接數(shù)據(jù)庫(kù)操作引擎105通過中央處理器接口寄存器組201向中央處理器113發(fā)送安全連接的建立請(qǐng)求和傳送相關(guān)信息。
進(jìn)入數(shù)據(jù)包選擇器接口寄存器組202��,進(jìn)入數(shù)據(jù)包選擇器103通過進(jìn)入數(shù)據(jù)包選擇器接口寄存器組202查找數(shù)據(jù)包的安全策略和安全連接參數(shù)�。
數(shù)據(jù)庫(kù)操作命令和參數(shù)緩存模塊203,用來緩存來自中央處理器接口寄存器組201和進(jìn)入數(shù)據(jù)包選擇器接口寄存器組202的數(shù)據(jù)庫(kù)操作命令及其參數(shù)��。
數(shù)據(jù)庫(kù)操作命令解析模塊204��,用來對(duì)數(shù)據(jù)庫(kù)操作命令和參數(shù)緩存模塊203的命令進(jìn)行解析并啟動(dòng)數(shù)據(jù)庫(kù)操作微程序模塊205�。
數(shù)據(jù)庫(kù)操作微程序模塊205,用來完成各種數(shù)據(jù)庫(kù)操作命令�,以及負(fù)責(zé)對(duì)安全連接的維護(hù)(包括安全連接的滑動(dòng)窗口的移動(dòng)和老化處理等操作)。
安全連接數(shù)據(jù)庫(kù)接口寄存器組206����,安全連接數(shù)據(jù)庫(kù)操作引擎105通過安全連接數(shù)據(jù)庫(kù)接口寄存器組206對(duì)安全連接數(shù)據(jù)庫(kù)106進(jìn)行具體操作。
數(shù)據(jù)庫(kù)操作結(jié)果回送模塊207����,在數(shù)據(jù)庫(kù)操作命令解析模塊204的控制下,用來刷新中央處理器接口寄存器組201和進(jìn)入數(shù)據(jù)包選擇器接口寄存器組202中的狀態(tài)寄存器組���。
如圖3所示��,安全連接數(shù)據(jù)庫(kù)主要包括以下幾個(gè)部分安全連接數(shù)據(jù)庫(kù)接口寄存器組301���,用作安全連接數(shù)據(jù)庫(kù)操作引擎105的數(shù)據(jù)庫(kù)操作接口寄存器組。
命令和參數(shù)解析模塊302��,對(duì)輸入的命令和參數(shù)進(jìn)行解析��,分析需要進(jìn)行的操作���,并控制后面的操作走向���。
地址計(jì)算模塊303����,根據(jù)查表算法計(jì)算數(shù)據(jù)庫(kù)存儲(chǔ)單元的地址��。
查表關(guān)鍵字讀取模塊304��,通過存儲(chǔ)器接口308����,從外接存儲(chǔ)器(未標(biāo)號(hào))中讀取數(shù)據(jù)庫(kù)存儲(chǔ)單元的查表關(guān)鍵字。
查表關(guān)鍵字比較模塊305���,比較從數(shù)據(jù)庫(kù)存儲(chǔ)單元讀出的查表關(guān)鍵字和來自安全連接數(shù)據(jù)庫(kù)接口寄存器組301的查表關(guān)鍵字�,如果相等則表明找到了正確的數(shù)據(jù)庫(kù)存儲(chǔ)單元��,否則重新計(jì)算數(shù)據(jù)庫(kù)存儲(chǔ)單元的地址����。
數(shù)據(jù)庫(kù)操作模塊306,找到正確的數(shù)據(jù)庫(kù)存儲(chǔ)單元后���,就對(duì)此數(shù)據(jù)庫(kù)存儲(chǔ)單元進(jìn)行數(shù)據(jù)庫(kù)操作��。
查表結(jié)果返回模塊307�,數(shù)據(jù)庫(kù)操作完成后返回查表結(jié)果���。
存儲(chǔ)器接口308��,用作與外接存儲(chǔ)器之間的接口�。
如圖4所示���,多通道安全處理引擎108主要包括以下幾個(gè)部分安全處理數(shù)據(jù)包雙口緩存接口寄存器組401���,多通道安全處理引擎108通過它們實(shí)現(xiàn)對(duì)安全處理數(shù)據(jù)包雙口緩存107的操作,以便從中讀取需要進(jìn)行安全處理的數(shù)據(jù)包及其安全處理參數(shù)�����。
安全處理通道模塊402��,包括多個(gè)安全處理通道a1到an�,安全處理通道由相應(yīng)的安全參數(shù)解析器b1到bn和安全處理微程序模塊c1到cn組成,安全參數(shù)解析器b1到bn對(duì)數(shù)據(jù)包的安全參數(shù)進(jìn)行解析��,并啟動(dòng)相應(yīng)的安全處理微程序模塊c1到cn,調(diào)用加密算法運(yùn)算模塊109和散列算法運(yùn)算模塊110對(duì)數(shù)據(jù)包進(jìn)行安全處理���。
加密算法接口寄存器組403����,安全處理微程序模塊c1到cn通過它們來調(diào)用加密算法運(yùn)算模塊109����。
散列算法接口寄存器組404,安全處理微程序模塊c1到cn通過它們來調(diào)用散列算法運(yùn)算模塊110�。
安全處理通道數(shù)據(jù)包暫存模塊405,用來暫存安全處理通道a1到an在安全處理過程中的數(shù)據(jù)包數(shù)據(jù)�����。
發(fā)出數(shù)據(jù)包選擇器接口寄存器組406�����,安全處理通道a1到an通過它們把經(jīng)過安全處理后的數(shù)據(jù)包轉(zhuǎn)交給發(fā)出數(shù)據(jù)包選擇器104�����。
如圖5所示�,對(duì)于進(jìn)入本發(fā)明網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)包��,其數(shù)據(jù)處理方法流程如下步驟1接收數(shù)據(jù)幀�����,網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)通信接口101提供標(biāo)準(zhǔn)的物理接口�����,用以從大網(wǎng)或其他受保護(hù)的網(wǎng)絡(luò)接收數(shù)據(jù)幀。
步驟2拆封裝組成數(shù)據(jù)包����,網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)通信接口101,接收到各種格式的數(shù)據(jù)幀后�,必須進(jìn)行相應(yīng)的解接口數(shù)據(jù)格式封裝,抽取其中的數(shù)據(jù)組成數(shù)據(jù)包����。數(shù)據(jù)通信接口101在組成一個(gè)完整的數(shù)據(jù)包后就把它存入進(jìn)出數(shù)據(jù)包雙口緩存102中,并改寫進(jìn)出數(shù)據(jù)包雙口緩存102的狀態(tài)信息(包括數(shù)據(jù)包的長(zhǎng)度及其在進(jìn)出數(shù)據(jù)包雙口緩存102中的存儲(chǔ)地址)��。
步驟3查找數(shù)據(jù)包的安全策略和安全連接信息��,進(jìn)入數(shù)據(jù)包選擇器103根據(jù)數(shù)據(jù)包的信息����,調(diào)用安全連接數(shù)據(jù)庫(kù)操作引擎105在安全連接數(shù)據(jù)庫(kù)106中查找是否存在相關(guān)的安全策略和安全連接����。
步驟4判斷數(shù)據(jù)包是否需要安全處理��,進(jìn)入數(shù)據(jù)包選擇器103根據(jù)安全連接數(shù)據(jù)庫(kù)操作引擎105返回的數(shù)據(jù)�����,判斷此數(shù)據(jù)包是否存在安全策略�����。如果此數(shù)據(jù)包存在安全策略����,則下一步轉(zhuǎn)入步驟5,否則轉(zhuǎn)入步驟10����。
步驟5判斷是否禁止通過,判斷此數(shù)據(jù)包的安全策略是禁止通過還是進(jìn)行安全處理�����,如果是禁止通過則下一步轉(zhuǎn)入步驟6,如果是進(jìn)行安全處理則下一步轉(zhuǎn)入步驟7��。
步驟6丟棄此數(shù)據(jù)包��,流程結(jié)束�����。
步驟7判斷是否存在安全連接�,判斷此數(shù)據(jù)包是否存在可用安全連接����,如果不存在則下一步轉(zhuǎn)入步驟15,如果存在則下一步轉(zhuǎn)入步驟8���。
步驟8把此數(shù)據(jù)包及其安全連接參數(shù)存入安全處理數(shù)據(jù)包雙口緩存107中��,進(jìn)入數(shù)據(jù)包選擇器103把此數(shù)據(jù)包及其安全處理參數(shù)存入安全處理數(shù)據(jù)包雙口緩存107中��。
步驟9安全處理�,多通道安全處理引擎108從安全處理數(shù)據(jù)包雙口緩存107中取出數(shù)據(jù)包及其安全處理參數(shù)�����,啟動(dòng)一個(gè)安全處理通道a1到an其中之一,進(jìn)行安全處理����。
步驟10數(shù)據(jù)包被轉(zhuǎn)交給發(fā)出數(shù)據(jù)包選擇器104。
步驟11判斷此數(shù)據(jù)包是否給本機(jī)�,發(fā)出數(shù)據(jù)包選擇器104判斷數(shù)據(jù)包的目的IP地址是否為本機(jī)的IP地址,如果不是本機(jī)IP地址則執(zhí)行步驟13�,如果是本機(jī)IP地址則執(zhí)行步驟12。
步驟12數(shù)據(jù)包轉(zhuǎn)交中央處理器113����,數(shù)據(jù)包被轉(zhuǎn)交給中央處理器113進(jìn)行處理。
步驟13拆數(shù)據(jù)包組成數(shù)據(jù)幀�����,數(shù)據(jù)包被存入進(jìn)出數(shù)據(jù)包雙口緩存102中�,然后被數(shù)據(jù)通信接口101拆分成合適的大小,加上數(shù)據(jù)格式封裝�,組成數(shù)據(jù)幀。
步驟14發(fā)送數(shù)據(jù)幀����,數(shù)據(jù)通信接口101按照接口通信協(xié)議把數(shù)據(jù)幀從相應(yīng)的物理接口發(fā)送出去,流程結(jié)束。
步驟15請(qǐng)求中央處理器113建立安全連接并丟棄數(shù)據(jù)包�,對(duì)于需要進(jìn)行安全處理,但是卻又不存在安全連接的數(shù)據(jù)包���,其安全策略參數(shù)被轉(zhuǎn)交給中央處理器113�,請(qǐng)求中央處理器113建立相關(guān)的安全連接�����,同時(shí)數(shù)據(jù)包被丟棄�。
步驟16建立安全連接,中央處理器113執(zhí)行安全連接協(xié)商程序�,在此過程中可根據(jù)需要調(diào)用隨機(jī)數(shù)生成器112生成密鑰和調(diào)用公開密鑰運(yùn)算模塊111進(jìn)行密鑰交換,流程結(jié)束���。
權(quán)利要求
1.一種網(wǎng)絡(luò)通信安全處理器,包括數(shù)據(jù)通信接口�����,其包括若干物理接口���,用以連接不同網(wǎng)絡(luò)���,與外界進(jìn)行數(shù)據(jù)通信��;加密算法運(yùn)算模塊���,用以完成數(shù)據(jù)包的加/解密運(yùn)算;散列算法運(yùn)算模塊�����,用以完成數(shù)據(jù)包的散列運(yùn)算��;信息交流接口�,用以提供外界操作接口,接收配置���、管理和控制等信息����,對(duì)安全連接數(shù)據(jù)庫(kù)進(jìn)行操作�;其特征在于,該網(wǎng)絡(luò)通信安全處理器還包括安全連接數(shù)據(jù)庫(kù)操作引擎���,用以負(fù)責(zé)安全連接數(shù)據(jù)庫(kù)的使用和維護(hù)�;安全連接數(shù)據(jù)庫(kù),其包括安全策略數(shù)據(jù)庫(kù)和安全連接參數(shù)數(shù)據(jù)庫(kù)��;多通道安全處理引擎��,其包括多個(gè)安全處理通道��,用以控制硬件完成安全處理�����;其中�,所述安全連接數(shù)據(jù)庫(kù)操作引擎與數(shù)據(jù)通信接口、安全連接數(shù)據(jù)庫(kù)和多通道安全處理引擎電連接���;多通道安全處理引擎與安全連接數(shù)據(jù)庫(kù)操作引擎�����、數(shù)據(jù)通信接口�����、加密算法運(yùn)算模塊和散列算法運(yùn)算模塊電連接;信息交流接口與數(shù)據(jù)通信接口���、安全連接數(shù)據(jù)庫(kù)操作引擎電連接���。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)通信安全處理器�,其特征在于����,該網(wǎng)絡(luò)通信安全處理器還包括進(jìn)出數(shù)據(jù)包雙口緩存,用以緩存進(jìn)出該網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)包及其狀態(tài)信息���;進(jìn)入數(shù)據(jù)包選擇器�����,用以選擇需要進(jìn)行安全處理的數(shù)據(jù)包��;發(fā)出數(shù)據(jù)包選擇器��,用以選擇數(shù)據(jù)包的發(fā)送方向��;其中����,進(jìn)出數(shù)據(jù)包雙口緩存分別與數(shù)據(jù)通信接口��、進(jìn)入數(shù)據(jù)包選擇器和發(fā)出數(shù)據(jù)包選擇器電連接;進(jìn)入數(shù)據(jù)包選擇器分別與進(jìn)出數(shù)據(jù)包雙口緩存���、發(fā)出數(shù)據(jù)包選擇器和安全連接數(shù)據(jù)庫(kù)操作引擎電連接�;發(fā)出數(shù)據(jù)包選擇器分別與進(jìn)出數(shù)據(jù)包雙口緩存���、進(jìn)入數(shù)據(jù)包選擇器和多通道安全處理引擎電連接����。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)通信安全處理器����,其特征在于,該網(wǎng)絡(luò)通信安全處理器還包括安全處理數(shù)據(jù)包雙口緩存���,用以緩存進(jìn)行安全處理的數(shù)據(jù)包及其安全處理參數(shù)�����,其中����,安全處理數(shù)據(jù)包雙口緩存分別與進(jìn)入數(shù)據(jù)包選擇器和多通道安全處理引擎電連接���。
4.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)通信安全處理器��,其特征在于�����,該網(wǎng)絡(luò)通信安全處理器還包括公開密鑰運(yùn)算模塊���,用以進(jìn)行公開密鑰運(yùn)算;隨機(jī)數(shù)生成器��,用以生成偽隨機(jī)數(shù)�;中央處理器,用以完成對(duì)該網(wǎng)絡(luò)通信安全處理器的配置和管理�����,并完成安全連接的協(xié)商和密鑰交換等高層安全協(xié)議處理功能��;外圍模塊�,包括與中央處理器配套的存儲(chǔ)器接口、RS232通信接口等��;其中���,中央處理器分別與數(shù)據(jù)通信接口�、進(jìn)入數(shù)據(jù)包選擇器、發(fā)出數(shù)據(jù)包選擇器��、安全連接數(shù)據(jù)庫(kù)操作引擎�����、公開密鑰運(yùn)算模塊���、隨機(jī)數(shù)生成器���、信息交流接口和外圍模塊電連接。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)通信安全處理器��,其特征在于所述數(shù)據(jù)通信接口的物理接口指具體的數(shù)據(jù)通信接口實(shí)體�����,包括以太網(wǎng)接口����、POS接口或者其它能夠用于交換數(shù)據(jù)的接口;所述信息交流接口包括PCI總線接口、異步數(shù)據(jù)總線接口或者其它能夠用于交換數(shù)據(jù)的接口�����。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)通信安全處理器��,其特征在于����,所述安全連接數(shù)據(jù)庫(kù)操作引擎包括中央處理器接口寄存器組��,用以提供中央處理器對(duì)安全連接數(shù)據(jù)庫(kù)操作引擎的操作接口�����,安全連接數(shù)據(jù)庫(kù)操作引擎通過中央處理器接口寄存器組向中央處理器發(fā)送安全連接的建立請(qǐng)求和傳送相關(guān)信息���;進(jìn)入數(shù)據(jù)包選擇器接口寄存器組��,進(jìn)入數(shù)據(jù)包選擇器通過進(jìn)入數(shù)據(jù)包選擇器接口寄存器組查找數(shù)據(jù)包的安全策略和安全連接參數(shù)��;數(shù)據(jù)庫(kù)操作命令和參數(shù)緩存模塊����,用來緩存來自中央處理器接口寄存器組和進(jìn)入數(shù)據(jù)包選擇器接口寄存器組的數(shù)據(jù)庫(kù)操作命令及其參數(shù);數(shù)據(jù)庫(kù)操作命令解析模塊���,用來對(duì)數(shù)據(jù)庫(kù)操作命令和參數(shù)緩存模塊的命令進(jìn)行解析并啟動(dòng)數(shù)據(jù)庫(kù)操作微程序模塊��;數(shù)據(jù)庫(kù)操作微程序模塊��,用來完成各種數(shù)據(jù)庫(kù)操作命令��,以及負(fù)責(zé)對(duì)安全連接的維護(hù)����;安全連接數(shù)據(jù)庫(kù)接口寄存器組�,安全連接數(shù)據(jù)庫(kù)操作引擎通過安全連接數(shù)據(jù)庫(kù)接口寄存器組對(duì)安全連接數(shù)據(jù)庫(kù)進(jìn)行具體操作;數(shù)據(jù)庫(kù)操作結(jié)果回送模塊����,在數(shù)據(jù)庫(kù)操作命令解析模塊的控制下,用來刷新中央處理器接口寄存器組和進(jìn)入數(shù)據(jù)包選擇器接口寄存器組中的狀態(tài)寄存器組�。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)通信安全處理器,其特征在于��,所述安全連接數(shù)據(jù)庫(kù)包括安全連接數(shù)據(jù)庫(kù)接口寄存器組���,用作安全連接數(shù)據(jù)庫(kù)操作引擎的數(shù)據(jù)庫(kù)操作接口寄存器組�����;命令和參數(shù)解析模塊����,對(duì)輸入的命令和參數(shù)進(jìn)行解析,分析需要進(jìn)行的操作�����,并控制后面的操作走向�����;地址計(jì)算模塊���,根據(jù)查表算法計(jì)算數(shù)據(jù)庫(kù)存儲(chǔ)單元的地址;查表關(guān)鍵字讀取模塊�,通過存儲(chǔ)器接口,從外接存儲(chǔ)器中讀取數(shù)據(jù)庫(kù)存儲(chǔ)單元的查表關(guān)鍵字����;查表關(guān)鍵字比較模塊,比較從數(shù)據(jù)庫(kù)存儲(chǔ)單元讀出的查表關(guān)鍵字和來自安全連接數(shù)據(jù)庫(kù)接口寄存器組的查表關(guān)鍵字����,如果相等則表明找到了正確的數(shù)據(jù)庫(kù)存儲(chǔ)單元����,否則重新計(jì)算數(shù)據(jù)庫(kù)存儲(chǔ)單元的地址��;數(shù)據(jù)庫(kù)操作模塊����,找到正確的數(shù)據(jù)庫(kù)存儲(chǔ)單元后,就對(duì)此數(shù)據(jù)庫(kù)存儲(chǔ)單元進(jìn)行數(shù)據(jù)庫(kù)操作����;查表結(jié)果返回模塊,用于數(shù)據(jù)庫(kù)操作完成后返回查表結(jié)果�����;存儲(chǔ)器接口�����,用作與外接存儲(chǔ)器之間的接口��。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)通信安全處理器��,其特征在于,所述多通道安全處理引擎包括安全處理數(shù)據(jù)包雙口緩存接口寄存器組�����,多通道安全處理引擎通過它們實(shí)現(xiàn)對(duì)安全處理數(shù)據(jù)包雙口緩存的操作�����,以便從中讀取需要進(jìn)行安全處理的數(shù)據(jù)包及其安全處理參數(shù)�;安全處理通道模塊,包括多個(gè)安全處理通道����,安全處理通道由相應(yīng)的安全參數(shù)解析器和安全處理微程序模塊組成�,安全參數(shù)解析器對(duì)數(shù)據(jù)包的安全參數(shù)進(jìn)行解析,并啟動(dòng)相應(yīng)的安全處理微程序模塊���,調(diào)用加密算法運(yùn)算模塊和散列算法運(yùn)算模塊對(duì)數(shù)據(jù)包進(jìn)行安全處理���;加密算法接口寄存器組,安全處理微程序模塊通過它們來調(diào)用加密算法運(yùn)算模塊�;散列算法接口寄存器組,安全處理微程序模塊通過它們來調(diào)用散列算法運(yùn)算模塊����;安全處理通道數(shù)據(jù)包暫存模塊���,用來暫存安全處理通道在安全處理過程中的數(shù)據(jù)包數(shù)據(jù);發(fā)出數(shù)據(jù)包選擇器接口寄存器組�,安全處理通道通過它們把經(jīng)過安全處理后的數(shù)據(jù)包轉(zhuǎn)交給發(fā)出數(shù)據(jù)包選擇器。
9.一種利用權(quán)利要求1所述網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)處理方法���,其特征在于�����,包括以下步驟步驟A.數(shù)據(jù)通信接口接收數(shù)據(jù)包�;步驟B.數(shù)據(jù)通信接口把收到的數(shù)據(jù)包發(fā)送到安全連接數(shù)據(jù)庫(kù)操作引擎�;步驟C.安全連接數(shù)據(jù)庫(kù)操作引擎從數(shù)據(jù)包中抽取查表關(guān)鍵字,查找是否存在相關(guān)的安全策略���;步驟D.如果不存在相關(guān)的安全策略����,則把此數(shù)據(jù)包轉(zhuǎn)交給數(shù)據(jù)通信接口發(fā)出����,否則執(zhí)行步驟E��;步驟E.如果安全策略是禁止數(shù)據(jù)包通過�,則丟棄此數(shù)據(jù)包����,否則運(yùn)行步驟F;步驟F.查找是否存在可用的安全連接����;步驟G.如果不存在可用的安全連接,則丟棄此數(shù)據(jù)包并利用信息交流接口發(fā)送安全連接建立請(qǐng)求�����,否則運(yùn)行步驟H�����;步驟H.把至少一個(gè)安全連接參數(shù)和數(shù)據(jù)包交給多通道安全處理引擎����;步驟I.多通道安全處理引擎調(diào)用加密算法運(yùn)算模塊和散列算法運(yùn)算模塊完成數(shù)據(jù)包的安全處理��;步驟J.多通道安全處理引擎把完成安全處理的數(shù)據(jù)包轉(zhuǎn)交給數(shù)據(jù)通信接口����;步驟K.數(shù)據(jù)通信接口發(fā)送數(shù)據(jù)包��。
10.一種利用權(quán)利要求4所述網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)處理方法���,其特征在于,包括以下步驟步驟a網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)通信接口從網(wǎng)絡(luò)接收數(shù)據(jù)幀���;步驟b網(wǎng)絡(luò)通信安全處理器的數(shù)據(jù)通信接口抽取數(shù)據(jù)幀中的數(shù)據(jù)組成數(shù)據(jù)包�,存入進(jìn)出數(shù)據(jù)包雙口緩存中��,并改寫進(jìn)出數(shù)據(jù)包雙口緩存的狀態(tài)信息�;步驟c進(jìn)入數(shù)據(jù)包選擇器根據(jù)數(shù)據(jù)包的信息,調(diào)用安全連接數(shù)據(jù)庫(kù)操作引擎在安全連接數(shù)據(jù)庫(kù)中查找是否存在相關(guān)的安全策略和安全連接���;步驟d進(jìn)入數(shù)據(jù)包選擇器根據(jù)安全連接數(shù)據(jù)庫(kù)操作引擎返回的數(shù)據(jù)�����,判斷此數(shù)據(jù)包是否存在安全策略���;如果此數(shù)據(jù)包存在安全策略,則下一步轉(zhuǎn)入步驟e����,否則轉(zhuǎn)入步驟j���;步驟e判斷此數(shù)據(jù)包的安全策略是禁止通過還是進(jìn)行安全處理,如果是禁止通過則下一步轉(zhuǎn)入步驟f��,如果是進(jìn)行安全處理則下一步轉(zhuǎn)入步驟g����;步驟f丟棄此數(shù)據(jù)包,流程結(jié)束�����;步驟g判斷此數(shù)據(jù)包是否存在可用安全連接���,如果不存在則下一步轉(zhuǎn)入步驟o�,如果存在則下一步轉(zhuǎn)入步驟h�����;步驟h進(jìn)入數(shù)據(jù)包選擇器把此數(shù)據(jù)包及其安全處理參數(shù)存入安全處理數(shù)據(jù)包雙口緩存中�����;步驟i多通道安全處理引擎從安全處理數(shù)據(jù)包雙口緩存中取出數(shù)據(jù)包及其安全處理參數(shù)���,啟動(dòng)一個(gè)安全處理通道����,進(jìn)行安全處理���;步驟j數(shù)據(jù)包被轉(zhuǎn)交給發(fā)出數(shù)據(jù)包選擇器�����;步驟k發(fā)出數(shù)據(jù)包選擇器根據(jù)數(shù)據(jù)包的目的IP地址判斷此數(shù)據(jù)包是否發(fā)給本機(jī)�,如果不是則執(zhí)行步驟m�����,如果是則執(zhí)行步驟l����;步驟l數(shù)據(jù)包被轉(zhuǎn)交給中央處理器進(jìn)行處理;步驟m數(shù)據(jù)包被存入進(jìn)出數(shù)據(jù)包雙口緩存中�,然后被數(shù)據(jù)通信接口拆裝,組成數(shù)據(jù)幀;步驟n數(shù)據(jù)通信接口發(fā)送數(shù)據(jù)幀�,流程結(jié)束;步驟o對(duì)于需要進(jìn)行安全處理��,但又不存在安全連接的數(shù)據(jù)包��,其安全策略參數(shù)被轉(zhuǎn)交給中央處理器�,請(qǐng)求中央處理器建立相關(guān)的安全連接,同時(shí)數(shù)據(jù)包被丟棄���;步驟p中央處理器執(zhí)行安全連接協(xié)商程序�����,在此過程中可根據(jù)需要調(diào)用隨機(jī)數(shù)生成器生成密鑰和調(diào)用公開密鑰運(yùn)算模塊進(jìn)行密鑰交換����,流程結(jié)束��。
全文摘要
本發(fā)明提供一種網(wǎng)絡(luò)通信安全處理器及其數(shù)據(jù)處理方法���,該安全處理器包括數(shù)據(jù)通信接口��,安全連接數(shù)據(jù)庫(kù)操作引擎��,安全連接數(shù)據(jù)庫(kù)���,多通道安全處理引擎,加密運(yùn)算模塊�,散列運(yùn)算模塊以及信息交流接口,所述安全連接數(shù)據(jù)庫(kù)操作引擎與數(shù)據(jù)通信接口�����、安全連接數(shù)據(jù)庫(kù)和多通道安全處理引擎相連接��,多通道安全處理引擎與安全連接數(shù)據(jù)庫(kù)操作引擎�����、數(shù)據(jù)通信接口�、加密運(yùn)算模塊和散列運(yùn)算模塊相連接,信息交流接口與數(shù)據(jù)通信接口�、安全連接數(shù)據(jù)庫(kù)操作引擎相連接。本發(fā)明一方面保證了數(shù)據(jù)包安全處理的高速能力��,另一方面使中央處理器能夠脫離具體每個(gè)數(shù)據(jù)包的安全處理操作�����,而專用于完成上層協(xié)議的實(shí)現(xiàn),降低了系統(tǒng)開發(fā)的難度和提高了系統(tǒng)的可靠性����。
文檔編號(hào)H04L9/00GK1516386SQ0314036
公開日2004年7月28日 申請(qǐng)日期2003年8月26日 優(yōu)先權(quán)日2003年8月26日
發(fā)明者李潔, 潔 李 申請(qǐng)人:中興通訊股份有限公司