CN108809642A - 一种基于fpga的多通道数据万兆加密认证高速传输实现方法 - Google Patents
一种基于fpga的多通道数据万兆加密认证高速传输实现方法 Download PDFInfo
- Publication number
- CN108809642A CN108809642A CN201810611878.7A CN201810611878A CN108809642A CN 108809642 A CN108809642 A CN 108809642A CN 201810611878 A CN201810611878 A CN 201810611878A CN 108809642 A CN108809642 A CN 108809642A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- receiving process
- thousand mbit
- online
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Abstract
本发明公开了一种基于FPGA的多通道数据万兆加密认证高速传输实现方法,包括如下步骤:(1)以太网数据收发处理模块根据配置要求,内部形成64位/8位的十条数据并行传输通道;(2)利用以太网数据收发处理模块作为数据分发平台,配置与密钥协商单元进行身份认证与密钥协商操作,实时获取会话密钥信息并同步发送给对称加解密单元;(3)对称加解密单元对网络报文数据进行加解密操作,通过千兆网口发送给万兆以太网数据收发处理模块。本发明利用以太网在线数据多通道分发处理机制创建多条数据传输链路,增强并发处理能力,同时通过多个加密单元并行运算,用以提高身份认证效率与数据加解密速率。
Description
技术领域
本发明涉及一种基于FPGA的多通道数据万兆加密认证高速传输实现方法,属于网络安全技术领域。
背景技术
随着电网系统D5000在国内各级调度中心广泛部署,智能变电站远程控制系统、地县调度一体化系统逐步落地使用,其对纵向数据传输通道带宽提出了更高要求。基于SM1与SM2算法,目前主流纵向加密认证装置最高带宽密文数据吞吐率大约为1000Mbit/s。为了进一步提高数据加解密速率与安全性,满足现场业务需求,高性能万兆纵向加密认证装置应运而生。
在两个不同局域网之间交换数据最常用的安全策略是使用纵向加密认证装置,即身份认证与数据加解密方式进行业务交互。传统纵向加密认证装置根据网络带宽与数据传输吞吐率要求,分为百兆型、千兆型纵向加密认证装置,其基本结构都由一个带有双网口的控制主板和一个数据加解密模块组成。当前市场万兆型加密认证装置基本都采用CPCI-E结构,硬件架构主要包括两个主控板槽和八个加密卡槽,首先CPU对网络数据进行管控与分配,然后依据CPCI-E标准转发数据进行加解密处理,因此,数据加解密速率与整机运行效率完全取决于主板CPU性能。此种架构对CPU性能要求较高,软件上需要使用负载均衡技术实现资源动态合理分配,开发深度可控性有限,硬件上需由非X86指令集的多核、主频不得低于1.5GHz的CPU支持,硬件生产成本较高,应用场景单一,不宜推广市场化。
发明内容
针对现有技术存在的不足,本发明目的是提供一种基于FPGA的多通道数据万兆加密认证高速传输实现方法,利用以太网在线数据多通道分发处理机制创建多条数据传输链路,增强并发处理能力,同时通过多个加密单元并行运算,用以提高身份认证效率与数据加解密速率,为新型万兆型加密认证装置设计提供理论依据。
为了实现上述目的,本发明是通过如下的技术方案来实现:
本发明的一种基于FPGA的多通道数据万兆加密认证高速传输实现方法,具体包括如下步骤:
(1)配置万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块的网络报文过滤参数,同时,配置与密钥协商单元完成身份认证与对称密钥生成任务;
(2)根据数据传输方向,通过所述万兆以太网第一在线数据收发处理模块的万兆以太网物理接口SFP+获取网络数据报文,依据配置参数(即IP报文协议号,IP地址,MAC地址,报文类型)生成防护准则进行报文过滤解析处理;
(3)根据所述万兆以太网第一在线数据收发处理模块内部10选1分发机制,将业务报文发送至异步FIFO缓存,直至通过千兆网口传输到对应的对称加解密单元或者配置与密钥协商单元;
(4)业务数据报文进行加密处理后,对称加解密单元将加密数据定向传输至所述万兆以太网第二在线数据收发处理模块的千兆网口;
(5)所述万兆以太网第二在线数据收发处理模块将加密数据采集到相应FIFO缓存通道,进行数据并发传输,然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网;
(6)根据数据传输方向,通过所述万兆以太网第二在线数据收发处理模块的万兆以太网物理接口SFP+获取网络数据报文,依据配置参数生成防护准则进行报文过滤解析处理;
(7)根据所述万兆以太网第二在线数据收发处理模块内部10选1分发机制,将业务报文发送至异步FIFO缓存,直至通过千兆网口传输到对应的对称加解密单元或者配置与密钥协商单元;
(8)业务数据报文进行加密处理后,对称加解密单元将加密数据定向传输至所述万兆以太网第一在线数据收发处理模块的千兆网口;
(9)所述万兆以太网第一在线数据收发处理模块将加密数据采集到相应FIFO缓存通道,进行数据并发传输,然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网;
(10)根据步骤(2)、(3)、(4)、(5)可实现数据单向多通道数据加解密传输操作,根据步骤(6)、(7)、(8)、(9)可实现反向多通道数据加解密传输。
步骤(1)中,所述配置与密钥协商单元具体采用的是千兆型配置与密钥协商单元。
步骤(1)中,所述万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块对外物理接口符合IEEE Standard 802.3-2012规范,实现对所述对称加解密单元均衡分发网络报文,同时能够对所述配置与密钥协商单元定向转发密钥协商报文。
步骤(1)中,所述万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块内部单向单个数据通道至少需要4096字节缓存空间,同时满足异步时序读写功能。
单个万兆以太网在线数据收发处理模块具有1个万兆网口和10个千兆网口,内部FPGA逻辑架构中每个数据通道异步FIFO缓存空间不得低于4KB,通过万兆网口与业务端设备进行通信,通过千兆网口与对称加解密单元、配置与密钥协商单元通信。
步骤(3)中,所述对称加解密单元具体采用的是九个千兆型对称加解密单元。
步骤(4)中,依据电力系统专用纵向加密认证装置技术规范,具有三个千兆网口,其中两个分别与万兆以太网第一在线数据收发处理模块、万兆以太网第二在线数据收发处理模块对接,一个与对称加解密单元进行数据通信;所述配置与密钥协商单元支持SM2算法,实现身份认证与会话密钥生成,自适应协商更新会话密钥并同步到各个对称加解密单元。
本发明摒弃了现有万兆加密装置对CPU高额资源要求的思路,利用FPGA芯片作为数据收发处理模块核心器件,降低了硬件生产成本,使得数据加解密更高效。本发明结合FPGA乒乓操作方法的优点并克服单通道串行方式传输方法的缺点,以万兆在线数据均衡分发作为核心机制,并依靠对称加密与协商单元阵列完成身份认证与数据加解密操作。本发明方法的实现步骤如下:
本发明方法主要包括两个万兆以太网数据收发处理模块、千兆型数据对称加解密单元、千兆型配置与密钥协商单元。本发明在硬件电路方面设计主要涉及两方面,一方面,千兆型数据对称加解密单元、千兆型配置与密钥协商单元主要采用南瑞纵向加密认证装置(千兆型),其硬件结构中SM1算法芯片采用北京宏思电子技术有限责任公司的SSX30-D密码芯片,SM2算法芯片采用北京华大信安科技有限公司的IS32U320A密码芯片,硬件电路设计无需做过多修改,只需调整内部软件架构,另一方面,万兆以太网数据收发处理模块以XILINX公司的XC7K325T-2FFG900作为核心芯片,该芯片是BGA900封装,1.0MM间距,扇出信号较多,需要1V、1.2V、1.8V、1.5V、2.5V、3.3V等多种电平标准支持。基于XILINX公司的VIVADO软件,该模块内部逻辑程序设计包括:10G MAC定制IP核设计、1G MAC定制IP核设计、异步FIFO IP核设计、万兆数据过滤逻辑处理设计、千兆数据过滤逻辑处理设计、万兆数据收发逻辑处理设计、千兆数据收发逻辑处理设计。
万兆以太网在线数据收发处理模块实现
单个万兆以太网数据收发处理模块具有1个万兆网口和10个千兆网口,内部FPGA逻辑架构中每个数据通道异步FIFO缓存空间不得低于4KB,通过万兆网口与业务端设备进行通信,通过千兆网口与对称加解密单元、配置与密钥协商单元通信。参见图2,以万兆网口作为接收端,模块内部万兆以太网数据逻辑处理单元基于AXI总线协议从FPGA芯片万兆IP核获取数据,并按照用户配置要求对网络数据包进行解析、环回、丢包、均衡分发等操作,然后以156.25MHz作为工作频率,按照异步FIFO工作时序将数据包写入相应存储区,形成10个不同的并行数据通道;同时模块内部另外一个千兆以太网数据逻辑处理单元实时根据不同通道的FIFO数据状态,以125MHz作为工作频率,通过千兆网口依次将数据按需均衡发送至对称加解密单元以及配置与协商单元。参见图2,以万兆网口作为发送端,模块内部千兆以太网数据逻辑处理单元动态自适应从千兆网口获取网络数据包,并进行网络报文过滤操作,以保证数据对称加解密单元具有足够数据缓冲空间从而正常工作,模块内部万兆以太网数据逻辑处理单元依次从不同数据通道的FIFO缓存区读取数据通过万兆网口发送出去,实现模块内部每个数据通道的吞吐量相当。
万兆以太网在线数据身份认证与数据加解密处理
数据对称加解密单元具有三个千兆网口并具有国密算法SM1加解密功能,配置与密钥协商单元具有三个千兆网口并具有国密算法SM2加解密功能,工作方式都可设置为明文透传模式、路由模式、桥接模式,符合电力专用纵向加密认证装置技术规范。配置与密钥协商单元首先与用户设备完成身份认证操作,然后实时协商出对称密钥并通过千兆网口向数据对称加密单元推送,保证对称密钥的动态更新以防被窃取,数据对称加解密单元将加解密操作后的数据实时传输至万兆以太网数据收发处理模块。
为了降低生产成本,万兆以太网数据收发处理模块的核心器件选择具有GTP/GTX接口的FPGA芯片,内部Block RAM资源丰富,无需外部SRAM芯片,简化模块硬件架构设计。带有GTP/GTX接口的FPGA芯片内部可以实现可配置的万兆以太网接口和千兆以太网接口,分别采用标准的SFP+与RJ45硬件连接方式,提高了产品的普适性。
为了提高万兆接口数据传输效率,采用FPGA的乒乓操作设计方法,实现64位/8位交叉转换,万兆以太网数据收发处理模块内部以156.25MHz作为时钟频率,将单通道的64位数据位宽转化为10个通道的8位数据位宽进行分发处理;以125MHz作为时钟频率,对8位数据位宽进行千兆以太网标准传输,具有解决瞬时爆发数据的传输能力,满足数据传输的完整性和高速性要求。
使用本发明可显著提高现有电力纵向加密认证装置的业务数据加解密速率,改变了传统单通道串行业务数据处理模式。与现有万兆型加密认证装置相比,使用本发明还可降低生产成本,替代高性能CPU处理器,利用FPGA芯片解决数据有效分发,降低了分发机制对资源的过高要求,实现万兆以太网在线数据加解密操作并行执行。本发明基于FPGA开发,可利用资源丰富,功能扩展性较强,安全稳定性高,有利于在电力行业纵向加密业务拓展。
附图说明
图1为带有加解密功能的万兆以太网在线数据多通道收发处理流程图。
图2为万兆以太网在线数据收发处理模块的FPGA逻辑功能框图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参见图1,本发明是一种基于FPGA的多通道数据万兆加密认证高速传输实现方法,具体操作步骤如下:
(1)配置万兆以太网在线数据收发处理模块1与2的网络报文过滤参数,同时,配置与密钥协商单元完成身份认证与对称密码生成任务,否则,本发明无法正常工作。
(2)以图1从左往右作为数据传输方向,通过万兆以太网在线数据收发处理模块1的万兆以太网物理接口SFP+获取网络数据报文,依据配置参数生成防护准则进行报文过滤解析处理。
(3)根据万兆以太网在线数据收发处理模块1内部10选1分发机制,将业务报文发送至某个异步FIFO缓存,直至通过千兆网口传输到对应的数据对称加密单元或者配置与密钥协商单元。
(4)业务数据报文进行相关加密处理后,数据对称加解密单元将加密数据定向传输至万兆以太网在线数据收发处理模块2的千兆网口。
(5)万兆以太网在线数据收发处理模块2将加密数据采集到相应FIFO缓存通道,进行数据并发传输,然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网。
(6)以图1从右往左作为数据传输方向,通过万兆以太网在线数据收发处理模块2的万兆以太网物理接口SFP+获取网络数据报文,依据配置参数生成防护准则进行报文过滤解析处理。
(7)根据万兆以太网在线数据收发处理模块2内部10选1分发机制,将业务报文发送至某个异步FIFO缓存,直至通过千兆网口传输到对应的数据对称加密单元或者配置与密钥协商单元。
(8)业务数据报文进行相关加密处理后,数据对称加解密单元将加密数据定向传输至万兆以太网在线数据收发处理模块1的千兆网口。
(9)万兆以太网在线数据收发处理模块1将加密数据采集到相应FIFO缓存通道,进行数据并发传输,然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网。
(10)根据(2)、(3)、(4)、(5)步骤可实现数据单向多通道数据加解密传输操作,(6)、(7)、(8)、(9)可实现反向多通道数据加解密传输。
依据此实施方案搭建测试平台,利用南瑞Netkeeper-2000千兆纵向加密认证装置作为数据对称加解密单元以及协商与密钥协商单元,以XILINX公司KC705开发板来实现万兆以太网在线数据多通道收发功能,经测试在包长为1024字节的测试条件下,得出明文传输的速度可以达到8Gbps,密文传输的速度可以达到5.5Gbps,与传统电力专用纵向加密认证装置相比,速度有明显提升。
本发明结合FPGA乒乓操作方法的优点并克服单通道串行方式传输方法的缺点,以万兆在线数据均衡分发作为核心机制,并依靠对称加密与协商单元阵列完成身份认证与数据加解密操作。本发明方法的实现步骤如下:
本发明方法主要包括两个万兆以太网数据收发处理模块、千兆型数据对称加解密单元、千兆型配置与密钥协商单元。本发明在硬件电路方面设计主要涉及两方面,一方面,千兆型数据对称加解密单元、千兆型配置与密钥协商单元主要采用南瑞纵向加密认证装置(千兆型),其硬件结构中SM1算法芯片采用北京宏思电子技术有限责任公司的SSX30-D密码芯片,SM2算法芯片采用北京华大信安科技有限公司的IS32U320A密码芯片,硬件电路设计无需做过多修改,只需调整内部软件架构,另一方面,万兆以太网数据收发处理模块以XILINX公司的XC7K325T-2FFG900作为核心芯片,该芯片是BGA900封装,1.0MM间距,扇出信号较多,需要1V、1.2V、1.8V、1.5V、2.5V、3.3V等多种电平标准支持。基于XILINX公司的VIVADO软件,该模块内部逻辑程序设计包括:10G MAC定制IP核设计、1G MAC定制IP核设计、异步FIFO IP核设计、万兆数据过滤逻辑处理设计、千兆数据过滤逻辑处理设计、万兆数据收发逻辑处理设计、千兆数据收发逻辑处理设计。
万兆以太网在线数据收发处理模块实现
单个万兆以太网数据收发处理模块具有1个万兆网口和10个千兆网口,内部FPGA逻辑架构中每个数据通道异步FIFO缓存空间不得低于4KB,通过万兆网口与业务端设备进行通信,通过千兆网口与对称加解密单元、配置与密钥协商单元通信。参见图2,以万兆网口作为接收端,模块内部万兆以太网数据逻辑处理单元基于AXI总线协议从FPGA芯片万兆IP核获取数据,并按照用户配置要求对网络数据包进行解析、环回、丢包、均衡分发等操作,然后以156.25MHz作为工作频率,按照异步FIFO工作时序将数据包写入相应存储区,形成10个不同的并行数据通道;同时模块内部另外一个千兆以太网数据逻辑处理单元实时根据不同通道的FIFO数据状态,以125MHz作为工作频率,通过千兆网口依次将数据按需均衡发送至对称加解密单元以及配置与协商单元。参见图2,以万兆网口作为发送端,模块内部千兆以太网数据逻辑处理单元动态自适应从千兆网口获取网络数据包,并进行网络报文过滤操作,以保证数据对称加解密单元具有足够数据缓冲空间从而正常工作,模块内部万兆以太网数据逻辑处理单元依次从不同数据通道的FIFO缓存区读取数据通过万兆网口发送出去,实现模块内部每个数据通道的吞吐量相当。
万兆以太网在线数据身份认证与数据加解密处理
数据对称加解密单元具有三个千兆网口并具有国密算法SM1加解密功能,配置与密钥协商单元具有三个千兆网口并具有国密算法SM2加解密功能,工作方式都可设置为明文透传模式、路由模式、桥接模式,符合电力专用纵向加密认证装置技术规范。配置与密钥协商单元首先与用户设备完成身份认证操作,然后实时协商出对称密钥并通过千兆网口向数据对称加密单元推送,保证对称密钥的动态更新以防被窃取,数据对称加解密单元将加解密操作后的数据实时传输至万兆以太网数据收发处理模块。
为了降低生产成本,万兆以太网数据收发处理模块的核心器件选择具有GTP/GTX接口的FPGA芯片,内部Block RAM资源丰富,无需外部SRAM芯片,简化模块硬件架构设计。带有GTP/GTX接口的FPGA芯片内部可以实现可配置的万兆以太网接口和千兆以太网接口,分别采用标准的SFP+与RJ45硬件连接方式,提高了产品的普适性。
为了提高万兆接口数据传输效率,采用FPGA的乒乓操作设计方法,实现64位/8位交叉转换,万兆以太网数据收发处理模块内部以156.25MHz作为时钟频率,将单通道的64位数据位宽转化为10个通道的8位数据位宽进行分发处理;以125MHz作为时钟频率,对8位数据位宽进行千兆以太网标准传输,具有解决瞬时爆发数据的传输能力,满足数据传输的完整性和高速性要求。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (7)
1.一种基于FPGA的多通道数据万兆加密认证高速传输实现方法,其特征在于,具体包括如下步骤:
(1)配置万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块的网络报文过滤参数,同时,配置与密钥协商单元完成身份认证与对称密钥生成任务;
(2)根据数据传输方向,通过所述万兆以太网第一在线数据收发处理模块的万兆以太网物理接口SFP+获取网络数据报文,依据配置参数生成防护准则进行报文过滤解析处理;
(3)根据所述万兆以太网第一在线数据收发处理模块内部10选1分发机制,将业务报文发送至异步FIFO缓存,直至通过千兆网口传输到对应的对称加解密单元或者配置与密钥协商单元;
(4)业务数据报文进行加密处理后,对称加解密单元将加密数据定向传输至所述万兆以太网第二在线数据收发处理模块的千兆网口;
(5)所述万兆以太网第二在线数据收发处理模块将加密数据采集到相应FIFO缓存通道,进行数据并发传输,然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网;
(6)根据数据传输方向,通过所述万兆以太网第二在线数据收发处理模块的万兆以太网物理接口SFP+获取网络数据报文,依据配置参数生成防护准则进行报文过滤解析处理;
(7)根据所述万兆以太网第二在线数据收发处理模块内部10选1分发机制,将业务报文发送至异步FIFO缓存,直至通过千兆网口传输到对应的对称加解密单元或者配置与密钥协商单元;
(8)业务数据报文进行加密处理后,对称加解密单元将加密数据定向传输至所述万兆以太网第一在线数据收发处理模块的千兆网口;
(9)所述万兆以太网第一在线数据收发处理模块将加密数据采集到相应FIFO缓存通道,进行数据并发传输,然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网;
(10)根据步骤(2)、(3)、(4)、(5)可实现数据单向多通道数据加解密传输操作,根据步骤(6)、(7)、(8)、(9)可实现反向多通道数据加解密传输。
2.根据权利要求1所述的基于FPGA的多通道数据万兆加密认证高速传输实现方法,其特征在于,步骤(1)中,所述配置与密钥协商单元具体采用的是千兆型配置与密钥协商单元。
3.根据权利要求1所述的基于FPGA的多通道数据万兆加密认证高速传输实现方法,其特征在于,步骤(1)中,所述万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块对外物理接口符合IEEE Standard 802.3-2012规范,实现对所述对称加解密单元均衡分发网络报文,同时能够对所述配置与密钥协商单元定向转发密钥协商报文。
4.根据权利要求1所述的基于FPGA的多通道数据万兆加密认证高速传输实现方法,其特征在于,步骤(1)中,所述万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块内部单向单个数据通道至少需要4096字节缓存空间,同时满足异步时序读写功能。
5.根据权利要求1所述的基于FPGA的多通道数据万兆加密认证高速传输实现方法,其特征在于,单个万兆以太网在线数据收发处理模块具有1个万兆网口和10个千兆网口,内部FPGA逻辑架构中每个数据通道异步FIFO缓存空间不得低于4KB,通过万兆网口与业务端设备进行通信,通过千兆网口与对称加解密单元、配置与密钥协商单元通信。
6.根据权利要求1所述的基于FPGA的多通道数据万兆加密认证高速传输实现方法,其特征在于,步骤(3)中,所述对称加解密单元具体采用的是九个千兆型对称加解密单元。
7.根据权利要求1所述的基于FPGA的多通道数据万兆加密认证高速传输实现方法,其特征在于,步骤(4)中,依据电力系统专用纵向加密认证装置技术规范,具有三个千兆网口,其中两个分别与万兆以太网第一在线数据收发处理模块、万兆以太网第二在线数据收发处理模块对接,一个与对称加解密单元进行数据通信;所述配置与密钥协商单元支持SM2算法,实现身份认证与会话密钥生成,自适应协商更新会话密钥并同步到各个对称加解密单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810611878.7A CN108809642B (zh) | 2018-06-14 | 2018-06-14 | 一种基于fpga的多通道数据万兆加密认证高速传输实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810611878.7A CN108809642B (zh) | 2018-06-14 | 2018-06-14 | 一种基于fpga的多通道数据万兆加密认证高速传输实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108809642A true CN108809642A (zh) | 2018-11-13 |
| CN108809642B CN108809642B (zh) | 2021-04-27 |
Family
ID=64086035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810611878.7A Active CN108809642B (zh) | 2018-06-14 | 2018-06-14 | 一种基于fpga的多通道数据万兆加密认证高速传输实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108809642B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109831781A (zh) * | 2018-12-20 | 2019-05-31 | 福建聚实新能源科技有限公司 | 一种基于无线网络的加密透传终端、通信系统及通信方法 |
| CN109861974A (zh) * | 2018-12-25 | 2019-06-07 | 南瑞集团有限公司 | 一种数据加密传输装置及方法 |
| CN111181956A (zh) * | 2019-12-27 | 2020-05-19 | 南京国电南自电网自动化有限公司 | 应用于继电保护装置的无线多业务数据加密系统及方法 |
| CN111884798A (zh) * | 2020-07-22 | 2020-11-03 | 全球能源互联网研究院有限公司 | 一种电力业务量子加密系统 |
| CN112511318A (zh) * | 2021-02-07 | 2021-03-16 | 浙江地芯引力科技有限公司 | 一种多通道安全芯片的并行保密通信方法及其系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100111307A1 (en) * | 2008-10-31 | 2010-05-06 | Nortel Networks Limited | Controlling session keys through in-band signaling |
| CN102111263A (zh) * | 2011-02-21 | 2011-06-29 | 山东中孚信息产业股份有限公司 | 一种数据流加密的方法 |
| US20110212761A1 (en) * | 2010-02-26 | 2011-09-01 | Igt | Gaming machine processor |
| CN102420752A (zh) * | 2011-11-28 | 2012-04-18 | 曙光信息产业(北京)有限公司 | 一种10Gbps流量下的动态分流装置 |
| CN107911354A (zh) * | 2017-11-07 | 2018-04-13 | 北京航空航天大学 | 一种复合并行数据加密方法 |
-
2018
- 2018-06-14 CN CN201810611878.7A patent/CN108809642B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100111307A1 (en) * | 2008-10-31 | 2010-05-06 | Nortel Networks Limited | Controlling session keys through in-band signaling |
| US20110212761A1 (en) * | 2010-02-26 | 2011-09-01 | Igt | Gaming machine processor |
| CN102111263A (zh) * | 2011-02-21 | 2011-06-29 | 山东中孚信息产业股份有限公司 | 一种数据流加密的方法 |
| CN102420752A (zh) * | 2011-11-28 | 2012-04-18 | 曙光信息产业(北京)有限公司 | 一种10Gbps流量下的动态分流装置 |
| CN107911354A (zh) * | 2017-11-07 | 2018-04-13 | 北京航空航天大学 | 一种复合并行数据加密方法 |
Non-Patent Citations (2)
| Title |
|---|
| 刘振钧: "基于FPGA的万兆网的IPsec ESP协议设计与实现", 《通信技术》 * |
| 谢善益主编: "纵向加密认证装置的设计与实现", 《电力二次系统安全防护设备技术》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109831781A (zh) * | 2018-12-20 | 2019-05-31 | 福建聚实新能源科技有限公司 | 一种基于无线网络的加密透传终端、通信系统及通信方法 |
| CN109861974A (zh) * | 2018-12-25 | 2019-06-07 | 南瑞集团有限公司 | 一种数据加密传输装置及方法 |
| CN111181956A (zh) * | 2019-12-27 | 2020-05-19 | 南京国电南自电网自动化有限公司 | 应用于继电保护装置的无线多业务数据加密系统及方法 |
| CN111884798A (zh) * | 2020-07-22 | 2020-11-03 | 全球能源互联网研究院有限公司 | 一种电力业务量子加密系统 |
| CN112511318A (zh) * | 2021-02-07 | 2021-03-16 | 浙江地芯引力科技有限公司 | 一种多通道安全芯片的并行保密通信方法及其系统 |
| CN112511318B (zh) * | 2021-02-07 | 2021-05-07 | 浙江地芯引力科技有限公司 | 一种多通道安全芯片的并行保密通信方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108809642B (zh) | 2021-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108809642A (zh) | 一种基于fpga的多通道数据万兆加密认证高速传输实现方法 | |
| CN101114903B (zh) | 一种吉比特无源光网络系统中高级加密标准加密装置及其实现方法 | |
| CN101969376B (zh) | 一种具有语义安全的自适应加密系统及方法 | |
| US8949578B2 (en) | Sharing of internal pipeline resources of a network processor with external devices | |
| CN109274647B (zh) | 分布式可信内存交换方法及系统 | |
| CN108306853A (zh) | 一种支持区块链和iot无线通讯的智能数据采集器及加密通讯方法 | |
| CN101977152A (zh) | 一种适合于重构的高性能片上网络系统 | |
| CN103346878B (zh) | 一种基于fpga高速串行io的保密通信方法 | |
| CN107832248A (zh) | 一种带有加解密功能的数据摆渡模块及其数据处理方法 | |
| EP3709593B1 (en) | Data distribution method and related apparatuses | |
| CN109150829B (zh) | 软件定义云网络可信数据分发方法、可读存储介质和终端 | |
| WO2019085815A1 (zh) | 一种处理灵活以太网的数据的方法及相关设备 | |
| CN107483173A (zh) | 一种视频混沌保密通信设备及方法 | |
| CN110602107B (zh) | 基于Zynq的网络密码机及网络数据加解密方法 | |
| CN108900518B (zh) | 可信的软件定义云网络数据分发系统 | |
| CN110768982A (zh) | 一种基于国产soc的网络安全互联装置 | |
| CN109861974A (zh) | 一种数据加密传输装置及方法 | |
| CN106713149A (zh) | 路由器的子卡和线卡板 | |
| CN104967482B (zh) | 基于光纤通信的多通道io同步控制系统及方法 | |
| CN107395338A (zh) | 基于非线性标称矩阵的视频混沌保密通信设备及方法 | |
| CN209731290U (zh) | 一种IPSec VPN子卡以及运用IPSec VPN子卡的量子加密通信系统 | |
| KR100680025B1 (ko) | 멀티세션 고속암복호화 처리 장치 및 방법 | |
| Salazar-García et al. | Plasticnet+: Extending multi-fpga interconnect architecture via gigabit transceivers | |
| RU224749U1 (ru) | Высокоскоростное средство криптографической защиты информации | |
| CN111600705B (zh) | 一种基于自协商机制的隔离卡 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |