基于多核网络处理器P4080的IPSec协议研究与实现

论文摘要

随着Internet的迅速发展,它所带来的网络安全问题也越来越突出。IPSec作为一种能够无缝接入IP、保证网络层安全的协议套件,在安全领域具有重要的地位。另一方面,网络带宽的高速增长,又对IPSec的实现提出了新的挑战。而以P4080为代表的新一代网络处理器,其多核处理+数据通道协处理的架构模式既能够具有类似于通用处理器的可编程性、扩展性,又能够提供接近于ASIC的性能,必将具有广泛的应用前景,也将会是IPSec实现的主流平台。本文即设计实现了基于网络处理器P4080平台的IPSec协议。首先,根据RFC2401、RFC2406等文档对IPSec提出的背景、工作原理、数据封装格式以及协议处理流程等进行了广泛深入的学习。其次,介绍了P4080的硬件架构,指出了P4080在网络处理方面所具有的结构特点,如高频多核处理、高速片内互联、帧管理器和队列管理器等数据通道加速协处理。再次,详细阐述了IPSec协议在P4080上实现时的设计流程,包括开发环境的搭建、软件模块划分以及各个模块的设计思路。除了协议本身的流程设计外,重点解决了如何调用帧管理器、队列管理器、缓存区管理器以减少分组处理过程中的软件开销,以及如何配置安全引擎使之能够完成安全处理中最复杂的加解密、认证、封装与解封装工作。最后,对本设计的功能和性能进行了测试。对测试结果的分析,表明本设计成功实现了IPSec所要求的加解密、认证、抗重放功能,同时在性能方面达到了G bit级以太网的线速处理,证明了设计的优越性。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 IPSec提出的背景

1.2 网络处理器出现的动机与目的

1.3 研究内容

1.4 工作安排

第二章 IPSec介绍

2.1 IPSec的体系架构

2.2 IPSec模式

2.2.1 传输模式

2.2.2 隧道模式

2.3 IPSec封装格式

2.3.1 AH格式

2.3.2 ESP格式

2.3.3 抗重放功能中的滑动窗口接收机制

2.3.4 关于ICV的计算

2.4 安全关联与安全策略

2.4.1 安全关联

2.4.2 安全策略

2.5 因特网密钥交换

2.5.1 IKE的两阶段协商

2.5.2 IKE中的交换模式

2.6 IPSec DOI

2.7 加解密/认证算法简介

2.7.1 认证算法

2.7.2 加解密算法

2.8 本章小节

第三章 IPSec实现中的硬件资源研究

3.1 P4080的架构组成

3.1.1 处理器

3.1.2 高速片内互联结构

3.1.3 数据通道加速架构

3.2 帧处理范例

3.3 在IPSec中的应用

3.3.1 IPSec中的处理器资源分配

3.3.2 DPAA在IPSec实现中的作用

3.4 本章小结

第四章 IPSec软件实现设计

4.1 P4080的软件系统架构

4.1.2 Bootloader

4.1.3 Hypervisor

4.1.4 Linux与LWE

4.1.5 设备树

4.2 开发环境搭建

4.2.1 LTIB的配置

4.2.2 启动文件烧写

4.2.3 监控窗口

4.3 软件总体设计

4.4 IPSec处理控制模块

4.4.2 P4080平台下帧的接收与发送

4.4.3 入向处理

4.4.4 出向处理

4.4.5 嵌套隧道

4.5 SPD的设计与实现

4.5.1 路由表

4.5.2 扩展SPD

4.6 SADB的设计与实现

4.7 SEC配置单元

4.7.1 SEC的配置

4.7.2 SEC的调用

4.7.3 SEC的封装与解封装过程

4.8 QoS模块设计

4.9 控制平面设计

4.9.1 静态配置模块

4.9.2 IKE模块设计

4.10 本章小结

第五章 IPSec实现系统的测试

5.1 功能测试

5.1.1 测试环境搭建与启动

5.1.2 封装功能测试

5.1.3 解封装功能测试

5.2 性能测试

5.2.1 前提与假设

5.2.2 不同帧长度下的吞吐率

5.2.3 不同隧道数下的吞吐率

5.3 本章小结

第六章总结与展望

致谢

参考文献

个人简历及攻读硕士学位期间的研究成果

基于多核网络处理器P4080的IPSec协议研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢