Vpn業(yè)務(wù)實(shí)現(xiàn)方法、裝置和vpn服務(wù)器的制造方法【專利摘要】本發(fā)明公開了一種VPN業(yè)務(wù)實(shí)現(xiàn)方法、裝置和VPN服務(wù)器,該VPN業(yè)務(wù)實(shí)現(xiàn)方法包括:通過高性能多核處理器平臺(tái)建立控制平面的IPSec隧道及對(duì)用戶配置進(jìn)行管理;通過FPGA對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理,并對(duì)數(shù)據(jù)包進(jìn)行識(shí)別和轉(zhuǎn)發(fā)。本發(fā)明通過將高性能多核處理器平臺(tái)與高性能FPGA平臺(tái)相結(jié)合實(shí)現(xiàn)了高性能的IPSecVPN隧道建立和數(shù)據(jù)包處理,通過高性能FPGA實(shí)現(xiàn)對(duì)數(shù)據(jù)包進(jìn)行加解密以及識(shí)別轉(zhuǎn)發(fā),解決了CPU資源限制以及加解密限制影響系統(tǒng)使用性能的問題,從而大大提高了VPN系統(tǒng)的性能。【專利說明】VPN業(yè)務(wù)實(shí)現(xiàn)方法、裝置和VPN服務(wù)器【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及通信領(lǐng)域,具體來說,涉及一種VPN業(yè)務(wù)實(shí)現(xiàn)方法、裝置和VPN服務(wù)器。【
背景技術(shù):
】[0002]VPN屬于遠(yuǎn)程訪問技術(shù),簡單地說就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò)。例如公司員工出差到外地,他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源,這種訪問就屬于遠(yuǎn)程訪問。VPN技術(shù)可以使外地員工訪問到內(nèi)網(wǎng)資源。其實(shí)現(xiàn)方法為:在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPN服務(wù)器,VPN服務(wù)器有兩塊網(wǎng)卡,一塊連接內(nèi)網(wǎng),一塊連接公網(wǎng)。外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后,通過互聯(lián)網(wǎng)找到VPN服務(wù)器,然后利用VPN服務(wù)器作為跳板進(jìn)入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全,VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。有了數(shù)據(jù)加密,就可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸,就如同專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣。但實(shí)際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路,因此只能稱為虛擬專用網(wǎng)。即:VPN實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。有了VPN技術(shù),用戶無論是在外地出差還是在家中辦公,只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問內(nèi)網(wǎng)資源。[0003]VPN的實(shí)現(xiàn)有很多種方法,常用的有以下四種:[0004]I)VPN服務(wù)器,在大型局域網(wǎng)中,可以在網(wǎng)絡(luò)中心通過搭建VPN服務(wù)器的方法來實(shí)現(xiàn)。[0005]2)軟件VPN,可以通過專用的軟件來實(shí)現(xiàn)VPN。[0006]3)硬件VPN,可以通過專用的硬件來實(shí)現(xiàn)VPN。[0007]4)集成VPN,很多的硬件設(shè)備,如路由器,防火墻等等,都含有VPN功能。[0008]但是,現(xiàn)有技術(shù)難以滿足高性能處理的需求,因?yàn)楝F(xiàn)有基于軟件的實(shí)現(xiàn)的IPSecVPN,受到所用CPU平臺(tái)計(jì)算資源限制,同時(shí)處理非對(duì)稱加解密處理算法和對(duì)稱加密算法的性能有限,難以達(dá)到很高的性能;而硬件的VPN受到加解密芯片自身處理性能限制。[0009]針對(duì)相關(guān)技術(shù)中的問題,目前尚未提出有效的解決方案。【
發(fā)明內(nèi)容】[0010]針對(duì)相關(guān)技術(shù)中的問題,本發(fā)明提出一種VPN業(yè)務(wù)實(shí)現(xiàn)方法、裝置和VPN服務(wù)器。[0011]本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:[0012]根據(jù)本發(fā)明的一個(gè)方面,提供了一種VPN業(yè)務(wù)實(shí)現(xiàn)方法。[0013]該方法包括:[0014]通過高性能多核處理器平臺(tái)建立控制平面的IPSec隧道及對(duì)用戶配置進(jìn)行管理;[0015]通過FPGA對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理,并對(duì)數(shù)據(jù)包進(jìn)行識(shí)別和轉(zhuǎn)發(fā)。[0016]其中,F(xiàn)PGA通過接收的高性能多核處理器平臺(tái)下發(fā)的安全聯(lián)盟信息對(duì)數(shù)據(jù)包進(jìn)行解析并進(jìn)行加密或解密處理,加密或解密過程所使用的密鑰通過國密局認(rèn)證的專用安全芯片中帶有的物理噪聲源產(chǎn)生的真隨機(jī)數(shù)產(chǎn)生。[0017]其中,上述高性能多核處理器平臺(tái)可以為高性能多核x86平臺(tái)。[0018]根據(jù)本發(fā)明的另一方面,提供了一種VPN業(yè)務(wù)實(shí)現(xiàn)裝置。[0019]該裝置包括:主控模塊、FPGA模塊、網(wǎng)絡(luò)模塊;[0020]其中,主控模塊進(jìn)一步包括:[0021]建立單元,用于建立控制平面的IPSec隧道;[0022]管理單元,用于對(duì)用戶配置進(jìn)行管理;[0023]其中,F(xiàn)PGA模塊進(jìn)一步包括:[0024]加解密單元,用于對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理;[0025]識(shí)別轉(zhuǎn)發(fā)單元,用于識(shí)別數(shù)據(jù)包并轉(zhuǎn)發(fā)數(shù)據(jù)包;[0026]網(wǎng)絡(luò)模塊,用于提供帶寬需求。[0027]其中,F(xiàn)PGA模塊進(jìn)一步包括:[0028]接收單元,用于接收主控模塊下發(fā)的安全聯(lián)盟信息;[0029]解析單元,用于根據(jù)接收的安全聯(lián)盟信息解析數(shù)據(jù)包。[0030]其中,加解密單元進(jìn)一步用于通過國密局認(rèn)證的專用安全芯片帶有的物理噪聲源產(chǎn)生的真隨機(jī)數(shù)產(chǎn)生的密鑰對(duì)所述數(shù)據(jù)包進(jìn)行加密處理。[0031]其中,主控模塊可以為高性能多核x86平臺(tái)。[0032]根據(jù)本發(fā)明的又一方面,提供了一種VPN服務(wù)器。[0033]該VPN服務(wù)器包括如上述本發(fā)明另一方面所述的任一VPN業(yè)務(wù)實(shí)現(xiàn)裝置。[0034]本發(fā)明通過將高性能多核處理器平臺(tái)與高性能FPGA平臺(tái)相結(jié)合實(shí)現(xiàn)了高性能的IPSecVPN隧道建立和數(shù)據(jù)包處理,通過高性能FPGA實(shí)現(xiàn)對(duì)數(shù)據(jù)包進(jìn)行加解密以及識(shí)別轉(zhuǎn)發(fā),解決了CPU資源限制以及加解密限制影響系統(tǒng)使用性能的問題,從而大大提高了VPN系統(tǒng)的性能?!緦@綀D】【附圖說明】[0035]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。[0036]圖1是根據(jù)本發(fā)明實(shí)施例的VPN業(yè)務(wù)實(shí)現(xiàn)方法的流程圖;[0037]圖2是根據(jù)本發(fā)明實(shí)施例的VPN業(yè)務(wù)實(shí)現(xiàn)裝置的框圖;[0038]圖3是根據(jù)本發(fā)明實(shí)施例的VPN業(yè)務(wù)實(shí)現(xiàn)裝置的示意圖?!揪唧w實(shí)施方式】[0039]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。[0040]根據(jù)本發(fā)明的實(shí)施例,提供了一種VPN業(yè)務(wù)實(shí)現(xiàn)方法。[0041]如圖1所示,根據(jù)本發(fā)明實(shí)施例的VPN業(yè)務(wù)實(shí)現(xiàn)方法包括:[0042]步驟S101,通過高性能多核處理器平臺(tái)建立控制平面的IPSec隧道及對(duì)用戶配置進(jìn)行管理;[0043]步驟S103,通過FPGA對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理,并對(duì)數(shù)據(jù)包進(jìn)行識(shí)別和轉(zhuǎn)發(fā)。[0044]其中,F(xiàn)PGA通過接收的高性能多核處理器平臺(tái)下發(fā)的安全聯(lián)盟信息對(duì)數(shù)據(jù)包進(jìn)行解析并進(jìn)行加密或解密處理,加密或解密過程所使用的密鑰通過國密局認(rèn)證的專用安全芯片中帶有的物理噪聲源產(chǎn)生的真隨機(jī)數(shù)產(chǎn)生。[0045]其中,上述高性能多核處理器平臺(tái)可以為高性能多核x86平臺(tái)。[0046]其中,在一具體的實(shí)施例中,高性能多核處理器平臺(tái)為高性能多核x86平臺(tái),高性能多核x86平臺(tái)是通過如下方式實(shí)現(xiàn)對(duì)用戶配置進(jìn)行管理的:[0047]首先用戶使用VPN系統(tǒng)提供的登錄認(rèn)證界面登錄,當(dāng)用戶輸入的用戶名、口令、插入個(gè)人身份驗(yàn)證硬件key,進(jìn)行身份認(rèn)證成功后,才允許用戶進(jìn)入對(duì)應(yīng)用戶身份的使用或者管理界面。[0048]管理界面分為設(shè)備管理員界面,賬戶管理員界面,審計(jì)管理員界面。當(dāng)用戶進(jìn)入設(shè)備管理員界面時(shí),高性能多核x86平臺(tái)從設(shè)備管理員控制界面上獲取管理配置的隧道參數(shù),包括對(duì)VPN的隧道建立進(jìn)行配置,獲取網(wǎng)絡(luò)管理配置參數(shù),來配置VPN的網(wǎng)絡(luò)屬性;當(dāng)用戶進(jìn)入賬戶管理員界面時(shí),高性能多核x86平臺(tái)為賬戶管理員提供管理員和隧道用戶賬戶的新建、修改、解鎖、黑名單管理等管理接口;當(dāng)用戶進(jìn)入審計(jì)管理員界面時(shí),高性能多核x86平臺(tái)為審計(jì)管理員提供審計(jì)數(shù)據(jù)的展示、搜索、潛在危害分析,以及審計(jì)報(bào)告生成和展示的接口。[0049]高性能多核x86平臺(tái)將獲取的設(shè)備管理員配置的隧道參數(shù)、網(wǎng)絡(luò)配置參數(shù)等配置參數(shù),寫入到對(duì)應(yīng)的配置文件中,將獲取的數(shù)字證書、密鑰等配置文件,放入到指定的位置,供VPN系統(tǒng)進(jìn)行解析。通過web頁面獲取用戶登錄的信息,把該用戶的IP加入到對(duì)應(yīng)隧道的iptables,使其可以使用選擇的隧道,在獲取該用戶退出信息后,清除相應(yīng)的iptables項(xiàng),禁止該IP繼續(xù)使用該隧道。[0050]如圖2所示,根據(jù)本發(fā)明實(shí)施例的VPN業(yè)務(wù)實(shí)現(xiàn)裝置包括:[0051]主控模塊21、網(wǎng)絡(luò)模塊22、FPGA模塊23;[0052]其中,主控模塊進(jìn)一步包括:[0053]建立單元(未示出),用于建立控制平面的IPSec隧道;[0054]管理單元(未示出),用于對(duì)用戶配置進(jìn)行管理;[0055]其中,F(xiàn)PGA模塊進(jìn)一步包括:[0056]加解密單元(未示出),用于對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理;[0057]識(shí)別轉(zhuǎn)發(fā)單元(未示出),用于識(shí)別數(shù)據(jù)包并轉(zhuǎn)發(fā)數(shù)據(jù)包;[0058]網(wǎng)絡(luò)模塊,用于提供帶寬需求。[0059]其中,F(xiàn)PGA模塊進(jìn)一步包括:[0060]接收單元(未示出),用于接收主控模塊下發(fā)的安全聯(lián)盟信息;[0061]解析單元(未示出),用于根據(jù)接收的安全聯(lián)盟信息解析數(shù)據(jù)包。[0062]其中,加解密單元進(jìn)一步用于通過國密局認(rèn)證的專用安全芯片帶有的物理噪聲源產(chǎn)生的真隨機(jī)數(shù)產(chǎn)生的密鑰對(duì)所述數(shù)據(jù)包進(jìn)行加密處理。[0063]其中,主控模塊可以為高性能多核x86平臺(tái)。[0064]如圖3示出了根據(jù)本發(fā)明實(shí)施例的VPN業(yè)務(wù)實(shí)現(xiàn)裝置的結(jié)構(gòu)示意圖,該裝置將傳統(tǒng)高性能x86平臺(tái)和高性能FPGA相結(jié)合,其由FPGA加速業(yè)務(wù)板、網(wǎng)絡(luò)版、主控板構(gòu)成。[0065]其中,各個(gè)部件的功能如下:[0066]I)主控板:主控板基于高端電信運(yùn)算架構(gòu)(AdvancedTelecomComputingArchitecture,ATCA架構(gòu))刀片服務(wù)器,完成系統(tǒng)管理、設(shè)備監(jiān)控,安全聯(lián)盟協(xié)商,加速卡協(xié)處理等功能。板載Flash,用于存儲(chǔ)Bootloader、卡上系統(tǒng)、卡上應(yīng)用軟件、用戶信息、密鑰信息、本地日志等數(shù)據(jù)。[0067]2)FPGA加速處理板:[0068]FPGA邏輯用于實(shí)現(xiàn)高性能的ESP包處理,CPU通過通用接口將建立的安全聯(lián)盟信息下發(fā)給FPGA,F(xiàn)PGA解析ESP數(shù)據(jù)包,并調(diào)用加解密引擎完成加解密操作。[0069]使用經(jīng)過國密局認(rèn)證的專用安全芯片提供真隨機(jī)數(shù)生成等功能,采用物理噪聲源產(chǎn)生真隨機(jī)數(shù),供IKE中密鑰使用。[0070]3)網(wǎng)絡(luò)板:采用高性能網(wǎng)絡(luò)芯片,滿足高帶寬網(wǎng)絡(luò)交換需求。[0071]此外,上述VPN業(yè)務(wù)實(shí)現(xiàn)裝置可以通過軟件、硬件或者兩者的結(jié)合實(shí)現(xiàn)成為服務(wù)器的部分或者全部。[0072]綜上所述,借助于本發(fā)明的上述技術(shù)方案,本發(fā)明通過將高性能多核處理器平臺(tái)與高性能FPGA平臺(tái)相結(jié)合實(shí)現(xiàn)了高性能的IPSecVPN隧道建立和數(shù)據(jù)包處理,通過高性能FPGA實(shí)現(xiàn)對(duì)數(shù)據(jù)包進(jìn)行加解密以及識(shí)別轉(zhuǎn)發(fā),解決了CPU資源限制以及加解密限制影響系統(tǒng)使用性能的問題,從而大大提高了VPN系統(tǒng)的性能。[0073]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。【權(quán)利要求】1.一種VPN業(yè)務(wù)實(shí)現(xiàn)方法,其特征在于,包括:通過高性能多核處理器平臺(tái)建立控制平面的IPSec隧道及對(duì)用戶配置進(jìn)行管理;通過FPGA對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理,并對(duì)數(shù)據(jù)包進(jìn)行識(shí)別和轉(zhuǎn)發(fā)。2.根據(jù)權(quán)利要求1的所述方法,其特征在于,通過FPGA對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理,包括:接收所述高性能多核處理器平臺(tái)下發(fā)的安全聯(lián)盟信息,根據(jù)接收的所述安全聯(lián)盟信息解析所述數(shù)據(jù)包,對(duì)所述數(shù)據(jù)包進(jìn)行加密或解密處理。3.根據(jù)權(quán)利要求1的所述方法,其特征在于,通過FPGA對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理,進(jìn)一步包括:加密或解密過程所使用的密鑰通過國密局認(rèn)證的專用安全芯片中帶有的物理噪聲源產(chǎn)生的真隨機(jī)數(shù)產(chǎn)生。4.根據(jù)權(quán)利要求1的所述方法,其特征在于,所述高性能多核處理器平臺(tái)為高性能多核x86平臺(tái)。5.一種VPN業(yè)務(wù)實(shí)現(xiàn)裝置,其特征在于,所述裝置包括:主控模塊、FPGA模塊、網(wǎng)絡(luò)模塊;其中,所述主控模塊進(jìn)一步包括:建立單元,用于建立控制平面的IPSec隧道;管理單元,用于對(duì)用戶配置進(jìn)行管理;其中,所述FPGA模塊進(jìn)一步包括:加解密單元,用于對(duì)數(shù)據(jù)包進(jìn)行加密或解密處理;識(shí)別轉(zhuǎn)發(fā)單元,用于識(shí)別數(shù)據(jù)包并轉(zhuǎn)發(fā)數(shù)據(jù)包;所述網(wǎng)絡(luò)模塊,用于提供帶寬需求。6.根據(jù)權(quán)利要求5的所述裝置,其特征在于,所述FPGA模塊進(jìn)一步包括:接收單元,用于接收主控模塊下發(fā)的安全聯(lián)盟信息;解析單元,用于根據(jù)接收的所述安全聯(lián)盟信息解析數(shù)據(jù)包。7.根據(jù)權(quán)利要求5的所述裝置,其特征在于,所述加解密單元進(jìn)一步用于通過國密局認(rèn)證的專用安全芯片帶有的物理噪聲源產(chǎn)生的真隨機(jī)數(shù)產(chǎn)生的密鑰對(duì)所述數(shù)據(jù)包進(jìn)行加密處理。8.根據(jù)權(quán)利要求5的所述裝置,其特征在于,所述主控模塊為高性能多核x86平臺(tái)。9.一種VPN服務(wù)器,其特征在于,包括:所述VPN服務(wù)器包括如權(quán)利要求5至8任一所述的VPN業(yè)務(wù)實(shí)現(xiàn)裝置。【文檔編號(hào)】H04L12/46GK104519055SQ201410768341【公開日】2015年4月15日申請日期:2014年12月11日優(yōu)先權(quán)日:2014年12月11日【發(fā)明者】劉立,劉新春,劉興奎,劉治華,劉朝輝申請人:曙光信息產(chǎn)業(yè)(北京)有限公司