3 基于SoC的IPSec實現技術

　　3.1 基本結構 

　　以SoC實現IPSec的多協議模塊包括：①IPSec協議輸入、輸出引擎，是通過協議解析，決定數據流程的處理；②安全關聯、密鑰交換、密碼算法等，其中，安全關聯模塊為其直接提供所需參數，密鑰交換模塊用于IKE自動管理的SAD，算法模塊是實現IP數據加解密和認證的基本模塊；③接口模塊，是IPSec與IPV4/IPv6協議的接口界面。SoC中的CPU核，實施系統管理、策略管理和密鑰管理等功能。 

　　基于SoC的IPSec協議結構如圖3所示。 

　　IPSec的主體部分是多協議處理的硬件模塊。在SoC設計過程中，應通過優化設計，以滿足IPSec的功能和性能要求；采用片上操作系統，以滿足設計的靈活性、可繼承性和可復用性等IP特性；結合CPU的結構、性能和指令系統，進行軟硬件系統設計，以達到各個模塊之間的通信、傳輸和控制等一體化設計。 

　　基于SoC的IPSec芯片結構如圖4所示。 

　　圖4中IPSec協議的IKE密鑰交換、策略管理、SAD手工注入由實時操作系統來處理，而IPSec輸入輸出引擎的協議解析、安全策略庫(SAD、SPD)、密鑰快速查找(CAM)、加解密算法、GMAC通信接口等由硬件模塊構造。通信接口實現以太網鏈路幀的接收、發送、校驗等功能。芯片中還應設計看門狗，用于防止系統死機；另外，要設計跟蹤模塊，用于系統軟硬件調試。 

　　綜上所述，在實現IPSec協議的SoC芯片中，主要協議棧處理都由硬件模塊實現，CPu負責管理調度和密鑰配置。

　　3.2 功能實現

　　(1)lPSec協議的輸出與輸入引擎處理 

　　對于輸出數據包，IPSec協議輸出引擎先調用策略管理模塊，查詢SPD，確定數據包應使用的安全策略。根據策略管理模塊的指示，協議引擎對該數據包作出如下3種可能的處理： 
　　①如存在有效的SA，則取出相應的參數，將數據包封裝(包括加密、驗證，添加IPSec頭和IP頭等)，然后發送。 
　　②如尚未建立SA，策略管理模塊啟動或觸發IKE協商。協商成功后，按①中的步驟處理；不成功則應將數據包丟棄，并記錄出錯信息。 
　　③如存在SA但無效，策略管理模塊將此信息向IKE通告，請求協商新的SA，協商成功后按①中的步驟處理，不成功則應將數據包丟棄。 

　　對于輸入數據包，IPSec協議引擎先調用策略管理模塊，查詢SAD。如得到有效的SA，則對數據包進行解封(還原)，再查詢SPD，驗證為該數據包提供的安全保護是否與策略配置的相符。如相符，則將還原后的數據包交給TCP層或轉發。如不相符，或要求應用IPSec但未建立SA，或SA無效，則將數據包丟棄，并記錄出錯信息。