基于FPGA的安全策略搜索設(shè)計與實現(xiàn)*

吳云軍 溫玉屏 紀 巍 魏 華

（1.火箭軍裝備部駐武漢地區(qū)第二軍事代表室 武漢 430000）（2.武漢船舶通信研究所 武漢 430205）

1 引言

IPSec（IP Security）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的三層隧道加密協(xié)議。IPSec在IP層對IP報文提供安全服務(wù)，并定義了如何在IP數(shù)據(jù)包中增加字段來保證IP包的完整性、私有性和真實性，以及如何加密數(shù)據(jù)包。使用IPsec，數(shù)據(jù)就可以安全地在公網(wǎng)上傳輸。

由于網(wǎng)絡(luò)通信速率越來越高，因此在IPsec協(xié)議實現(xiàn)過程中如何快速地根據(jù)報文特征搜索到相應(yīng)的安全策略是影響高速網(wǎng)絡(luò)數(shù)據(jù)包處理性能的關(guān)鍵技術(shù)。IPsec的安全策略多為范圍匹配，并不是常規(guī)的精確匹配，因此目前在IPsec設(shè)備中的安全策略搜索解決方案多采用TCAM芯片。TCAM芯片是基于內(nèi)容查找匹配地址的存儲器，最初是在交換路由設(shè)備中應(yīng)用，因其高速搜索性能目前廣泛應(yīng)用于網(wǎng)絡(luò)安全系統(tǒng)的硬件防火墻的五元組匹配、入侵檢測、病毒識別中的模式匹配等。但是TCAM解決方案的功耗和成本很高，不適合對體積、功耗和成本非常敏感的微小型IPsec設(shè)備。

針對微小型IPsec設(shè)備體積小、功耗低和成本敏感特點，本文采用并行查找及流水線的思路，提出了一種基于FPGA的安全策略搜索設(shè)計方法，該方法不僅實現(xiàn)簡單且易于擴展，占用很少的邏輯資源可實現(xiàn)1K條以上的范圍安全策略搜索，性能達到1Gbps以上。是安全關(guān)聯(lián)的集合，使用一個或者多個選擇符來確定每一個條目，每個條目指向一個或多個安全關(guān)聯(lián)，每個安全關(guān)聯(lián)由一個安全索引、一個源/目的IP地址組和一個IPSec協(xié)議組成。……