LIC安全交換路由協(xié)議的NetFPGA實現(xiàn)(上)
本項目中的LIC(Link Interface Code)安全路由協(xié)議是在“一體化可信網(wǎng)絡(luò)”體系架構(gòu)下,設(shè)計的一種新型的路由協(xié)議,數(shù)據(jù)包在進(jìn)入核心網(wǎng)時,IP包被封裝在LIC報文中,IP包頭的地址、端口號在核心網(wǎng)的傳輸過程中被加密和隱藏起來,以確保核心網(wǎng)絡(luò)的通信安全性。
本文引用地址:http://2s4d.com/article/142454.htm本系統(tǒng)首次對LIC協(xié)議進(jìn)行了硬件實現(xiàn),將系統(tǒng)進(jìn)行了軟件和硬件功能的劃分,硬件部分是系統(tǒng)的主要組成部分,實現(xiàn)了協(xié)議的路由轉(zhuǎn)發(fā)的核心功能。軟件部分主要是對協(xié)議與用戶交互部分界面的開發(fā)及對協(xié)議所需的IP數(shù)據(jù)包的格式進(jìn)行定義,以配合硬件實現(xiàn)。同時,在原有LIC協(xié)議的基礎(chǔ)上,加入了身份認(rèn)證、白名單、IP地址加密、端口轉(zhuǎn)換及遠(yuǎn)程可重配置等安全機(jī)制,并進(jìn)行了硬件實現(xiàn)。
功能與指標(biāo)
本項目的主要目的是利用NetFPGA實現(xiàn)路由層安全交換路由協(xié)議,并借助于接入認(rèn)證、白名單、數(shù)據(jù)加密、不可見端口映射、硬件可重構(gòu)技術(shù)以增強(qiáng)網(wǎng)絡(luò)通信的安全性。
需要指出的是,LIC在數(shù)據(jù)轉(zhuǎn)發(fā)過程中,a)采用的是LIC路由,而不是IP地址,故數(shù)據(jù)包報頭中的源、目的IP地址信息在傳輸過程中可以被隱藏或加密,這在IP交換中是做不到的,b) LIC報文的報頭長度和內(nèi)容在傳輸過程中會不斷更新和變化?;谏鲜鰞蓚€原因,網(wǎng)絡(luò)竊聽者在捕獲到LIC的數(shù)據(jù)包后很難分析出數(shù)據(jù)包的源與目的是誰,這在一定程度上大大增強(qiáng)網(wǎng)絡(luò)通信的安全性。此外,路由器的LIC編碼是獨立進(jìn)行的,因而可以實施一定的策略,定期或隨機(jī)地更新和變化路由節(jié)點內(nèi)部的LIC,以進(jìn)一步提高通信的安全性,而這樣的操作在LIC中并不會引起大的開銷。故,LIC能有效提高網(wǎng)絡(luò)通信的安全性.
系統(tǒng)架構(gòu)
本系統(tǒng)就是建立在實驗室已有的三臺NetFPGA開發(fā)平臺之上進(jìn)行實現(xiàn)。NetFPGA是由斯坦福大學(xué)開發(fā)設(shè)計的一個可重用平臺,他的出現(xiàn)使研究人員可以在硬件級別的開發(fā)環(huán)境上搭建Gb/s級的網(wǎng)絡(luò)系統(tǒng)模型,LIC安全交換路由協(xié)議充分利用其適合于網(wǎng)絡(luò)協(xié)議開發(fā)的特性,同時也在最大程度上發(fā)揮NetFPGA路由交換的功能。在這里要說明的是,LIC安全交換路由協(xié)議不僅限于此結(jié)構(gòu),即使在更大的拓?fù)渲衅湟廊豢梢哉_\(yùn)行。
系統(tǒng)采用了三臺NetFPGA和三臺終端,如圖2所示,R1,R2,R3為NetFPGA節(jié)點,S,T,Q為三臺終端,由于設(shè)備的限制(NetFPGA數(shù)量有限),但能搭建一個最小的多點網(wǎng)絡(luò),我們的系統(tǒng)正是建立在這樣一個結(jié)構(gòu)之上的?! ?/p>
評論