(2)SPDB和SADB實現技術 

　　IPSec協議處理數據報文的過程中需要通過不斷地查詢SADB和SPDB來驗證數據的合法性和取出密鑰進行數據報的加解密處理，因此，對IPSec處理性能而言，如何選擇保存SADB和SPDB的數據結構至關重要。另外由于SA和SP的數量都是動態地變化的，必須選擇合適的存儲結構。如用軟件方法設計一個合理的數據結構進行存儲，在系統的SADB和SPDB規模比較小時SA和SP的查詢速度還可以接受，但隨著SADB和sPDB規模的擴大，系統的查詢能力必然下降。因為在查詢中最好的情況是一次命中，而大多數情況下都不會是一次命中，查詢的效率必然下降，從而影響IPSec協議的處理。要從根本上解決查詢效率的問題必須分析SADB和SPDB的設計要求，才能找到解決方法。

　　SPDB和SADB的設計基于每一個SA對應一條SPD。SA和SPD在各數據庫中具有相同的地址。利用指針互指，只要在其中一個數據庫查找到匹配的字段，就能同時得到兩個數據庫的地址指針。因此，SPDB和SADB的設計應該滿足下列要求： 

　　①對于該數據結構能夠有效地進行查詢，得到確切的或者基于選擇符的匹配結果，包括源地址、目的地址、協議和SPI。 
　　②能夠為選擇符保存通配、范圍或確切的值。 
　　③隱藏指向SADB和SPDB的指針，保證兩個結構間的同步。 
　　④對SA/SP條目進行排序保存，以便匹配查找一直能快速完成。 

　　采用硬件設計技術通常是提高協議處理速度的好方法。其中，CAM(Content_Addressable Memory)是按內容尋址存儲器，是由控制和匹配兩大部分組成的。通過控制部分，可以把需要寫進CAM中的數據通過SPDB和SADB管理模塊寫進CAM中，供查找時使用。在匹配口可以輸入數據，找出該匹配數據所在地址并返回。在實際設計中，SADB或SPDB數據庫內容連續存儲在RAM空間中。CAM中寫入需要查找的匹配輸入項三元組等，匹配輸出是32位作為查詢SADB和SPDB在RAM中的地址，這種匹配方法一次查詢只需幾個時鐘周期即可完成。在SADB和SPDB規模很大時系統的查詢速度不會降低。目前CAM的匹配速度很快，查找速度可以達到1億次/s，而在一個1000Mb/s的網絡口上每秒連續傳最大包的個數為1000×1024×1024/(8×96)=1 365 330，完全滿足系統查找的需要。匹配成功即可查找出對應的數據庫中起始地址，大大節省了查表的時間，提高IPSec處理的效率。

　　(3)密碼算法的實現 

　　在IPSec實現過程中涉及了一系列的密碼運算，其中包括實現AH和ESP的加密算法和認證算法，實現IKE所需要的密鑰交換算法以及密鑰生成算法。為獲得較高的密碼運算效率，可以采用流水線技術設計專門的密碼運算協處理器；設計硬件隨機數發生器，為密碼設備產生消息密鑰；設計密鑰安全控制器，以保護密鑰安全。

　　(4)其余功能的實現 

　　IKE密鑰交換、策略管理、SAD手工注入和硬件初始化(如SPD和SAD的管理)等由實時操作系統實現。

　　結語 

　　本文介紹了基于Soc的IPSec協議實現技術，適用于千兆位VPN設備等高端應用。至于速度要求不高的低端應用，SoC中可以由CPU實現協議處理，而密碼算法由硬件實現，以降低硬件規模和設計成本，使設備獲得較高的性價比。總之，以SoC構筑安全平臺，是提高安全產品安全性、可靠性和時效性的有效途徑。 

　　研發基于自主知識產權的、基于SoC的安全產品，可以充分利用SoC中CPU效率高、硬件可編程能力強，以及芯片規模大、速度快的特點，極大地提高安全產品的性能。該技術不僅對信息安全產品具有重要的實用價值，而且對密碼工程技術具有重要的學術意義。

希望與更多計算機等級考試的網友交流，請進入計算機等級考試論壇

更多信息請訪問：考試吧計算機等級考試欄目