LIC安全交換路由協議的NetFPGA實現(上)

　　本項目中的LIC(Link Interface Code)安全路由協議是在“一體化可信網絡”體系架構下，設計的一種新型的路由協議，數據包在進入核心網時，IP包被封裝在LIC報文中，IP包頭的地址、端口號在核心網的傳輸過程中被加密和隱藏起來，以確保核心網絡的通信安全性。

　　本系統首次對LIC協議進行了硬件實現，將系統進行了軟件和硬件功能的劃分，硬件部分是系統的主要組成部分，實現了協議的路由轉發的核心功能。軟件部分主要是對協議與用戶交互部分界面的開發及對協議所需的IP數據包的格式進行定義，以配合硬件實現。同時，在原有LIC協議的基礎上，加入了身份認證、白名單、IP地址加密、端口轉換及遠程可重配置等安全機制，并進行了硬件實現。

　　功能與指標

　　本項目的主要目的是利用NetFPGA實現路由層安全交換路由協議，并借助于接入認證、白名單、數據加密、不可見端口映射、硬件可重構技術以增強網絡通信的安全性。

　　需要指出的是，LIC在數據轉發過程中，a)采用的是LIC路由，而不是IP地址，故數據包報頭中的源、目的IP地址信息在傳輸過程中可以被隱藏或加密，這在IP交換中是做不到的，b) LIC報文的報頭長度和內容在傳輸過程中會不斷更新和變化。基于上述兩個原因，網絡竊聽者在捕獲到LIC的數據包后很難分析出數據包的源與目的是誰，這在一定程度上大大增強網絡通信的安全性。此外，路由器的LIC編碼是獨立進行的，因而可以實施一定的策略，定期或隨機地更新和變化路由節點內部的LIC，以進一步提高通信的安全性，而這樣的操作在LIC中并不會引起大的開銷。故，LIC能有效提高網絡通信的安全性.

　　系統架構

　　本系統就是建立在實驗室已有的三臺NetFPGA開發平臺之上進行實現。NetFPGA是由斯坦福大學開發設計的一個可重用平臺，他的出現使研究人員可以在硬件級別的開發環境上搭建Gb/s級的網絡系統模型，LIC安全交換路由協議充分利用其適合于網絡協議開發的特性，同時也在最大程度上發揮NetFPGA路由交換的功能。在這里要說明的是，LIC安全交換路由協議不僅限于此結構，即使在更大的拓撲中其依然可以正常運行。

　　系統采用了三臺NetFPGA和三臺終端，如圖2所示，R1，R2，R3為NetFPGA節點，S，T，Q為三臺終端，由于設備的限制(NetFPGA數量有限)，但能搭建一個最小的多點網絡，我們的系統正是建立在這樣一個結構之上的。