随着入网用户和设备多样性的增加,网络报文暴露的风险随之加大。IPsec协议是国际互联网工程工作组（IETF）提出的IP层安全协议,其业务数据的算法计算密集,计算任务重,只依赖软件实现会大幅降低网络路由器的处理效率。本文使用硬件电路来处理AH协议/ESP协议等业务报文,同时支持包括国密SM4、SM3算法在内的多种算法,极大降低CPU负载的同时提供Gbps以上的吞吐率。本文对IPsec硬件进行数据通路划分,按功能划分了出境通路、入境通路和算法通路三条主数据通路,在上述主通路的基础上根据AH协议、ESP协议要求各自划分协议处理子通路。以算法为边界划分IPsec协议处理部分的功能,使用一种算法调度机制使算法计算与协议处理独立,并提供独立的算法调用接口。将IPsec硬件划分为数据接收与分发部分、快速查找部分、算法调度部分、协议处理部分和密码算法部分。自顶向下地对各部分进行模块划分,对各模块的功能、实现方式、模块互联、数据包格式、数据库定义等做了详细的分析,并且使用Verilog HDL实现了以上各部分。IPsec硬件模块实现了AH协议、ESP协议规定的功能,同时支持128条IPsec隧道处理,支持包括国密SM3,SM4在内的多达19种加密和认证算法。完成设计工作之后,分别展开了模块逻辑仿真与系统逻辑验证,基于Intel Stratix 10平台开展FPGA性能测试、通过与Linux协议栈对通的方式展开系统应用测试。逻辑验证和FPGA测试结果表明,IPsec硬件模块能够支持绝大部分AH协议和ESP协议功能,对IP协议兼容性高,系统稳定性高,在100MHz时钟频率下,硬件模块最大吞吐率超过1800Mbps。应用测试结果表明IPsec硬件模块在Libre Swan软件的配合下,能够完成对TCP、UDP、ICMP等协议的保护。开发成果可直接应用于家庭网关和工业控制网关等设备,为家庭用户、中小企业和工业互联等提供安全防护。