基于SoC的IPSec协议实现技术

　　①对于该数据结构能够有效地进行查询，得到确切的或者基于选择符的匹配结果，包括源地址、目的地址、协议和SPI。 

　　②能够为选择符保存通配、范围或确切的值。 

　　③隐藏指向SADB和SPDB的指针，保证两个结构间的同步。 

　　④对SA/SP条目进行排序保存，以便匹配查找一直能快速完成。 

　　采用硬件设计技术通常是提高协议处理速度的好方法。其中，CAM(Content_Addressable Memory)是按内容寻址存储器，是由控制和匹配两大部分组成的。通过控制部分，可以把需要写进CAM中的数据通过SPDB和SADB管理模块写进CAM中，供查找时使用。在匹配口可以输入数据，找出该匹配数据所在地址并返回。在实际设计中，SADB或SPDB数据库内容连续存储在RAM空间中。CAM中写入需要查找的匹配输入项三元组等，匹配输出是32位作为查询SADB和SPDB在RAM中的地址，这种匹配方法一次查询只需几个时钟周期即可完成。在SADB和SPDB规模很大时系统的查询速度不会降低。目前CAM的匹配速度很快，查找速度可以达到1亿次/s，而在一个1000Mb/s的网络口上每秒连续传最大包的个数为1000×1024×1024/(8×96)=1 365 330，完全满足系统查找的需要。匹配成功即可查找出对应的数据库中起始地址，大大节省了查表的时间，提高IPSec处理的效率。

　　(3)密码算法的实现 

　　在IPSec实现过程中涉及了一系列的密码运算，其中包括实现AH和ESP的加密算法和认证算法，实现IKE所需要的密钥交换算法以及密钥生成算法。为获得较高的密码运算效率，可以采用流水线技术设计专门的密码运算协处理器；设计硬件随机数发生器，为密码设备产生消息密钥；设计密钥安全控制器，以保护密钥安全。

　　(4)其余功能的实现 

　　IKE密钥交换、策略管理、SAD手工注入和硬件初始化(如SPD和SAD的管理)等由实时操作系统实现。

　　结语 

　　本文介绍了基于Soc的IPSec协议实现技术，适用于千兆位VPN设备等高端应用。至于速度要求不高的低端应用，SoC中可以由CPU实现协议处理，而密码算法由硬件实现，以降低硬件规模和设计成本，使设备获得较高的性价比。总之，以SoC构筑安全平台，是提高安全产品安全性、可靠性和时效性的有效途径。