基于众核网络处理器的IPSec VPN系统的研究与实现

作     者：王建 

作者单位：西安工程大学 

学位级别：硕士

导师姓名：陈亮;雒宏礼

授予年度：2016年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：IPSec VPN 并行计算 Tilera众核网络处理器 网络安全 数据包转发 策略检索 

摘      要：自从上世纪八十年代以来,以TCP/IP为基础网络协议的互联网得到迅速发展,该技术对人类日常工作、生活等领域产生了日益广泛的影响。近几年来,随着网络用户的不断增加以及互联网承载信息能力的增强,互联网开始朝着多元化、高速化的方向发展,主干网的带宽已经普遍接近40Gbps。并且在数据的传输过程中,数据的安全极大程度取决于TCP/IP网络协议的安全,因此,网络协议的安全问题成为未来网络应用快速发展的重要因素。虚拟专用网(Virtual Private Network,简称VPN)技术是互联网环境下保证信息安全的一种重要手段,它通过在一个公用网络中建立一条安全、专用的虚拟通道,连接异地的两个网络,构成逻辑上的虚拟子网,然后采用加密、身份认证以及完整性校验、访问控制等技术保证连接用户之间数据的安全传输。本文在陕西省工业攻关项目(2014K05-43)、横向项目(项目编号:2015KJ-333)的支持下,以我国某部队单位高速网络环境下的信息传输安全需求为背景,设计并实现了基于众核网络处理平台的IPSec VPN系统。论文研究工作如下:1.基于Tilera众核处理平台的IPSec VPN系统结构设计。系统采用高性能的Tilera Gx36众核网络处理器作为硬件平台,IPSec VPN系统主要有主处理器和加解密协处理器两大模块。作为系统的核心模块,主处理器负责大部分数据业务逻辑处理,可分为控制平面和数据平面。控制平面负责IKE密钥协商、控制报文收发等慢路径报文处理以及路由表项同步和设备配置等功能;数据平面负责快路径数据包处理,包括策略检索、路由表项管理和数据包封装及高速转发等任务。加解密协处理器负责对报文加解密处理和Hash验证。***数据包封装与高速转发技术研究。IP数据包封装负责对IPSec协议对收发的数据包进行加封装与解封装。本文采用隧道模式下ESP协议封装格式,在主处理器和加解密协处理器获取和发送数据包时完成对数据包的加封装与解封装处理。由于网络设备需要维护的路由表项不断增加,路由表查找成为高速数据包转发的瓶颈。因此本文借鉴基于Hash的前缀长度路由表查找算法在存储和检索上的优势,并结合基于多分支Trie树路由表查找算法的查询效率。这极大的提高了路由表的查询速度和命中率。由实验结果表明,系统对于不同大小负载的数据包均能满足40Gbps的转发速度。***安全策略的存储与检索技术研究。IPSec协议设计中通常会用到SPD和SAD数据库。随着IPSec维护的隧道数目不断增长,SPD和SAD中保存的表项也随之增加,SPD和SAD数据库的存储和检索的效率直接影响系统的性能。因此,本文设计一种基于Hash组织结构的三级表用于存储安全表项,使用基于流表的策略检索方式,只将一条流的首报文送至策略检索模块进行查表处理,并将检索结果添加到流表,对于此流的后续报文直接引用此流表表项中对应的规则字段即可,大幅度减少检索策略规则时查询策略表的次数,提高系统的运行速度。基于Tilera众核处理平台的IPSec VPN系统主要采用IPSec、加解密技术等技术,并负责网络数据报文在公共网络上的安全传输。本文从功能和性能两方面对系统进行测试,结果表明系统逻辑业务正确并满足40Gbps的处理能力,符合设计要求。