LIC安全交換路由協(xié)議的NetFPGA實現(xiàn)(上)

　　本項目中的LIC(Link Interface Code)安全路由協(xié)議是在“一體化可信網(wǎng)絡(luò)”體系架構(gòu)下，設(shè)計的一種新型的路由協(xié)議，數(shù)據(jù)包在進入核心網(wǎng)時，IP包被封裝在LIC報文中，IP包頭的地址、端口號在核心網(wǎng)的傳輸過程中被加密和隱藏起來，以確保核心網(wǎng)絡(luò)的通信安全性。

　　本系統(tǒng)首次對LIC協(xié)議進行了硬件實現(xiàn)，將系統(tǒng)進行了軟件和硬件功能的劃分，硬件部分是系統(tǒng)的主要組成部分，實現(xiàn)了協(xié)議的路由轉(zhuǎn)發(fā)的核心功能。軟件部分主要是對協(xié)議與用戶交互部分界面的開發(fā)及對協(xié)議所需的IP數(shù)據(jù)包的格式進行定義，以配合硬件實現(xiàn)。同時，在原有LIC協(xié)議的基礎(chǔ)上，加入了身份認證、白名單、IP地址加密、端口轉(zhuǎn)換及遠程可重配置等安全機制，并進行了硬件實現(xiàn)。

　　功能與指標(biāo)

　　本項目的主要目的是利用NetFPGA實現(xiàn)路由層安全交換路由協(xié)議，并借助于接入認證、白名單、數(shù)據(jù)加密、不可見端口映射、硬件可重構(gòu)技術(shù)以增強網(wǎng)絡(luò)通信的安全性。

　　需要指出的是，LIC在數(shù)據(jù)轉(zhuǎn)發(fā)過程中，a)采用的是LIC路由，而不是IP地址，故數(shù)據(jù)包報頭中的源、目的IP地址信息在傳輸過程中可以被隱藏或加密，這在IP交換中是做不到的，b) LIC報文的報頭長度和內(nèi)容在傳輸過程中會不斷更新和變化?；谏鲜鰞蓚€原因，網(wǎng)絡(luò)竊聽者在捕獲到LIC的數(shù)據(jù)包后很難分析出數(shù)據(jù)包的源與目的是誰，這在一定程度上大大增強網(wǎng)絡(luò)通信的安全性。此外，路由器的LIC編碼是獨立進行的，因而可以實施一定的策略，定期或隨機地更新和變化路由節(jié)點內(nèi)部的LIC，以進一步提高通信的安全性，而這樣的操作在LIC中并不會引起大的開銷。故，LIC能有效提高網(wǎng)絡(luò)通信的安全性.

　　系統(tǒng)架構(gòu)

　　本系統(tǒng)就是建立在實驗室已有的三臺NetFPGA開發(fā)平臺之上進行實現(xiàn)。NetFPGA是由斯坦福大學(xué)開發(fā)設(shè)計的一個可重用平臺，他的出現(xiàn)使研究人員可以在硬件級別的開發(fā)環(huán)境上搭建Gb/s級的網(wǎng)絡(luò)系統(tǒng)模型，LIC安全交換路由協(xié)議充分利用其適合于網(wǎng)絡(luò)協(xié)議開發(fā)的特性，同時也在最大程度上發(fā)揮NetFPGA路由交換的功能。在這里要說明的是，LIC安全交換路由協(xié)議不僅限于此結(jié)構(gòu)，即使在更大的拓撲中其依然可以正常運行。

　　系統(tǒng)采用了三臺NetFPGA和三臺終端，如圖2所示，R1，R2，R3為NetFPGA節(jié)點，S，T，Q為三臺終端，由于設(shè)備的限制(NetFPGA數(shù)量有限)，但能搭建一個最小的多點網(wǎng)絡(luò)，我們的系統(tǒng)正是建立在這樣一個結(jié)構(gòu)之上的?！　?/p>