随着网络传输速率的不断提高,用传统的软件方式来实现IPSec的各项安全功能会使系统的负荷和资源占用率增加,并且不能满足速度上的要求。 针对这一问题,本文在对国内外IPSec安全产品进行分析研究的基础上,提出了芯片级的IPSec安全实现方案——IPSec安全协处理器。 论文首先对IPSec安全体系的功能模型进行深入分析,重点研究了所涉及的有限域的基本运算和基于有限域密码算法。在上述工作的基础上,分析并给出了基于硬件专有模块和指令集扩展技术的IPSec安全协处理器的整体结构。 然后,论文重点研究了AES算法专用模块和可使普通处理器同时执行基于有限域GF(p)和GF(2~m)的RSA和ECC涉及的关键技术的硬件实现方法。对于AES算法,在研究有限域变换的基础上,采用组合逻辑替代RAM查表的方法实现SubBytes变换,并在其内部实现了三级流水线。基于流水线的SubBytes变换实现使密钥扩展模块可以同步地为当前加/解密轮变换提供密钥,并可分别处理128、192、256密钥长度的情况。我们还给出了AES模块的总体设计框架,并在Altera EP20KE系列的FPGA上对充分流水设计的AES-128模块进行了综合仿真验证,给出了仿真、验证试验的结果。对于RSA和ECC算法,为了使普通处理器可同时支持RSA和ECC算法,给出多项式乘法指令--MULGF2的格式,并研究了其硬件实现基础--双域乘法单元模块。然后分析了FIOS和FIPS这两种Multiple-Precision Montgomery算法利用普通乘法累加单元(MAC)实现的弊端,提出了相应的改进方案,最后分析了增强的MAC单元对算法性能的影响。 文章最后对本文的研究工作做出总结并指出今后进一步研究的方向。