CN111262823B - 一种安全网关及其数据处理方法 - Google Patents
一种安全网关及其数据处理方法 Download PDFInfo
- Publication number
- CN111262823B CN111262823B CN201811462984.XA CN201811462984A CN111262823B CN 111262823 B CN111262823 B CN 111262823B CN 201811462984 A CN201811462984 A CN 201811462984A CN 111262823 B CN111262823 B CN 111262823B
- Authority
- CN
- China
- Prior art keywords
- unit
- data
- data packet
- processing
- fpga
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种安全网关,包括中央处理器模块,中央处理器模块包括通过内部通信总线相连接的ARM处理器和FPGA;ARM处理器,分别与安全模块、存储模块和通讯接口模块连接,用于处理包括握手协商、密钥管理和策略管理的网络数据;FPGA,分别与网络接口模块、程序接口模块连接,用于业务数据的高速处理;FPGA中包括协议解析单元、搜索单元、SNAT转换单元、校验计算单元、加解密单元、DMA单元和数据封装单元。另外,本发明还提供一种应用上述安全网关的数据处理方法。本发明使数据能够被高速和有效处理,且数据在传输的过程中能够保证安全传输和处理。
Description
技术领域
本发明涉及安全网关技术领域,具体涉及一种安全网关及其数据处理方法。
背景技术
随着现在网络技术的快速发展,在工业控制领域、小型企业、家庭等应用场景中,网络互联已经成为人们访问各种网络数据资源的一种方式,例如VPN网关是通过VPN技术可以实现不同的网络互联,是总部与分支机构网络互通的最好形式,在家、酒店、外出等移动办公人员通过VPN网关接入内部网络,访问内部网络的数据资源,方便内部信息的共享。
然而,在网络互联的各种应用场景中,如何保证数据资源在远程传输中面临的安全和数据的高效处理问题,是目前急需解决的重要问题,使得用户通过外网访问内网数据以及内网数据传输到外网的过程中均是安全传输,且不被非法分子恶意窃取和篡改等;此外,数据在传输的过程中能够实现数据的高速和有效处理。
为了解决上述所存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的在于针对现有技术中存在的不足,从而提供一种安全网关及其数据处理方法,使得数据不但能够被高速和有效处理,而且数据在传输的过程中能够保证安全传输和处理。
为达到上述目的,本发明采用的技术方案如下:
一种安全网关,包括:中央处理器模块,所述中央处理器模块包括通过内部通信总线相连接的ARM处理器和FPGA;
所述ARM处理器,分别与安全模块、存储模块和通讯接口模块连接,用于处理包括握手协商、密钥管理和策略管理的网络数据;所述安全模块用于所述ARM处理器进行握手协商和密钥管理;所述存储模块用于所述网络数据的存储;所述通讯接口模块用于与外接设备的通信;
所述FPGA,分别与网络接口模块、程序接口模块连接,用于业务数据的高速处理;所述网络接口模块包括内部网络接口模块和外部网络接口模块;所述网络接口模块用于接收待处理的IP数据包和发送处理后的IP数据包;所述程序接口模块用于程序更新调试;
所述FPGA中包括协议解析单元、搜索单元、SNAT转换单元、校验计算单元、加解密单元、DMA单元和数据封装单元;所述搜索单元包括会话搜索单元、路由搜索单元;所述协议解析单元用于对所述网络接口模块接收的IP数据包进行协议解析处理;所述会话搜索单元用于对所述协议解析处理后的IP数据包进行会话信息查找;所述SNAT转换单元用于对IP数据包的网络地址进行转换;所述加解密单元用于对所述会话搜索单元、所述SNAT转换单元处理后的IP数据包进行加解密处理;所述数据封装单元用于对所述加解密处理后的IP数据包进行封装处理;所述校验计算单元用于对所述搜索单元、所述SNAT转换单元处理的IP数据包和所述封装处理后的IP数据包进行校验运算;所述路由搜索单元用于对校验运算后的IP数据包进行路由信息查找;所述DMA单元用于所述ARM处理器与所述FPGA之间的信息交互。
基于上述,所述内部通信总线包括AXI_HP总线和AXI_GP总线;所述AXI_HP总线包括2个AXI_HP接口,用于在高速通信时,通过所述FPGA中的DMA单元完成所述FPGA与所述ARM处理器之间的数据传输;所述AXI_GP总线用于提供所述FPGA与所述ARM处理器之间的配置数据接口。
基于上述,所述安全模块为安全芯片,所述存储模块包括DDR,所述通讯接口模块包括USB通讯接口和UART通讯接口,所述网络接口模块为以太网PHY,所述程序接口模块为JTAG接口。
基于上述,所述FPGA还包括流量控制单元、主控接口单元和合路单元,所述流量控制单元用于数据的流量拥塞控制,所述主控接口单元用于所述ARM处理器对所述FPGA内部进行表项配置,所述合路单元用于将所述FPGA处理的数据和所述ARM处理器处理的数据进行数据合路处理。
本发明还提供一种应用所述安全网关的数据处理方法,所述数据处理方法包括内网数据到外网数据的处理、外网数据到内网数据的处理、ARM处理器与FPGA之间的数据处理;
所述内网数据到外网数据的处理的具体步骤包括:
步骤S1,FPGA通过内部网络接口模块将接收到的IP数据包传输至协议解析单元进行处理后,再将所述IP数据包传输至会话搜索单元、SNAT转换单元进行处理;
步骤S2,将处理后的所述IP数据包传输至加解密单元进行加密运算;
步骤S3,将加密运算后的所述IP数据包传输至数据封装单元进行所述IP数据包密文封装;
步骤S4,将密文封装后的所述IP数据包传输至校验计算单元进行运算后再传输至路由搜索单元进行路由查找,若查找到所述IP数据包的路由信息,则将运算后的所述IP数据包传输至合路单元;否则,丢弃所述IP数据包;
步骤S5,所述合路单元将所述FPGA处理后的所述IP数据包和ARM处理器处理后的网络数据合路后传输至外部网络接口。
基于上述,所述外网数据到内网数据的处理的具体步骤包括:
步骤1,FPGA通过外部网络接口模块将接收到的IP数据包传输至协议解析单元进行处理后,再将所述IP数据包传输至会话搜索单元进行会话查找,若查找到所述IP数据包的会话信息,则将所述IP数据包传输至加解密单元进行解密运算;若未查找到所述IP数据包的会话信息,当判断为包括握手协商、密钥管理和策略管理的网络数据,则将所述网络数据通过DMA单元传输至ARM处理器进行处理;否则,将所述IP数据包丢弃;
步骤2,将解密运算后的所述IP数据包传输至数据封装单元进行所述IP数据包明文封装;
步骤3,将明文封装后的所述IP数据包传输至校验计算单元进行运算后再传输至路由搜索单元、SNAT转换单元进行处理;
步骤4,所述合路单元将处理后的所述IP数据包和ARM处理器处理后的所述网络数据传输至内部网络接口。
基于上述,所述ARM处理器与FPGA之间的数据处理具体包括:
ARM处理器以轮询方式通过DMA单元将存储模块中的数据传输至FPGA;以及ARM处理器以轮询方式将FPGA中DMA单元的数据传输至存储模块。
基于上述,所述ARM处理器与FPGA之间的数据处理还包括表项配置阶段,具体包括:ARM处理器通过主控接口单元配置FPGA内部的路由表、ARP表、会话表和会话路由表;所述路由表联合所述ARP表进行所述路由搜索得到IP数据包的路由信息,所述会话表联合所述会话路由表进行所述会话搜索得到IP数据包的会话信息。
基于上述,所述步骤S1中将所述IP数据包传输至会话搜索单元、SNAT转换单元进行处理具体包括:
若在所述会话搜索单元、SNAT转换单元中能够查找到所述IP数据包的会话信息和网络地址转换信息,则将所述IP数据包传输至校验计算单元进行运算;若未查找到所述IP数据包的会话信息,当判断为包括握手协商、密钥管理和策略管理的网络数据,则将所述网络数据通过DMA单元传输至ARM处理器进行处理;否则,丢弃所述IP数据包。
基于上述,所述步骤3中将所述IP数据包传输至路由搜索单元、SNAT转换单元进行处理具体包括:
若在所述路由搜索单元、SNAT转换单元中能够查找到所述IP数据包的路由信息和网络地址转换信息,则将所述IP数据包传输至校验计算单元进行运算并将运算后的所述IP数据包传输至所述合路单元;否则,丢弃所述IP数据包。
本发明具有突出的实质性特点和显著的进步,具体的说:
(1)通过使用ARM处理器和FPGA协同处理数据的方式,ARM处理器用于处理包括握手协商、密钥管理和策略管理的网络数据,FPGA用于业务数据的高速处理,能够保证数据高速且有效的处理;
(2)ARM处理器通过安全模块能够进行网络数据的安全处理,FPGA通过加解密单元能够进行业务IP数据包的加解密传输,能够保证数据的传输安全;
(3)通过FPGA内部的各种逻辑单元,能够保证数据的有效分析、计算、封装等处理。
附图说明
图1为本发明安全网关的结构框图。
图2为本发明安全网关中FPGA的结构框图。
具体实施方式
为了使本发明能够更加清楚,下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
DMA:(Direct Memory Access),即直接存储器存取,是一种快速传送数据的机制。数据传递可以从适配卡到内存,从内存到适配卡或从一段内存到另一段内存。
DDR:双倍速率同步动态随机存储器,则是一个时钟周期内传输两次数据,它能够在时钟的上升期和下降期各传输一次数据,因此称为双倍速率同步动态随机存储器。内部是一个存储阵列,通过指定行和列来进行寻址。
SNAT转换:是源地址转换,其作用是将IP数据包的源地址转换成另外一个地址。内部地址要访问公网上的服务时,内部地址会主动发起连接,由网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
AXI-GP接口:是通用的AXI接口,包括两个32位主设备接口和两个32位从设备接口,用过该接口可以访问PS中的片内外设。PS:处理系统,就是与FPGA无关的ARM的SOC的部分。
AXI-HP接口:是高性能/带宽的标准的接口,PL模块作为主设备连接。主要用于PL访问PS上的存储器。PL:可编程逻辑,就是FPGA部分。
如图1和图2所示,一种安全网关,包括:中央处理器模块,所述中央处理器模块包括通过内部通信总线相连接的ARM处理器和FPGA;
所述ARM处理器,分别与安全模块、存储模块和通讯接口模块连接,用于处理包括握手协商、密钥管理和策略管理的网络数据;所述安全模块用于所述ARM处理器进行握手协商和密钥管理;所述存储模块用于所述网络数据的存储;所述通讯接口模块用于与外接设备的通信;
所述FPGA,分别与网络接口模块、程序接口模块连接,用于业务数据的高速处理;所述网络接口模块包括内部网络接口模块和外部网络接口模块;所述网络接口模块用于接收待处理的IP数据包和发送处理后的IP数据包;所述程序接口模块用于程序更新调试;
所述FPGA中包括协议解析单元、搜索单元、SNAT转换单元、校验计算单元、加解密单元、DMA单元和数据封装单元;所述搜索单元包括会话搜索单元、路由搜索单元;所述协议解析单元用于对所述网络接口模块接收的IP数据包进行协议解析处理;所述会话搜索单元用于对所述协议解析处理后的IP数据包进行会话信息查找;所述SNAT转换单元用于对IP数据包的网络地址进行转换;所述加解密单元用于对所述会话搜索单元、所述SNAT转换单元处理后的IP数据包进行加解密处理;所述数据封装单元用于对所述加解密处理后的IP数据包进行封装处理;所述校验计算单元用于对所述搜索单元、所述SNAT转换单元处理的IP数据包和所述封装处理后的IP数据包进行校验运算;所述路由搜索单元用于对校验运算后的IP数据包进行路由信息查找;所述DMA单元用于所述ARM处理器与所述FPGA之间的信息交互。
具体的,所述内部通信总线包括AXI_HP总线和AXI_GP总线;所述AXI_HP总线包括2个AXI_HP接口,用于在高速通信时,通过所述FPGA中的DMA单元完成所述FPGA与所述ARM处理器之间的数据传输;所述AXI_GP总线用于提供所述FPGA与所述ARM处理器之间的配置数据接口。
具体的,所述安全模块为安全芯片,所述存储模块包括DDR,所述通讯接口模块包括USB通讯接口和UART通讯接口,所述网络接口模块为以太网PHY,所述程序接口模块为JTAG接口。
具体的,所述FPGA还包括流量控制单元、主控接口单元和合路单元,所述流量控制单元用于数据的流量拥塞控制,所述主控接口单元用于所述ARM处理器对所述FPGA内部进行表项配置,所述合路单元用于将所述FPGA处理的数据和所述ARM处理器处理的数据进行数据合路处理。
本发明还提供一种应用所述安全网关的数据处理方法,所述数据处理方法包括内网数据到外网数据的处理、外网数据到内网数据的处理、ARM处理器与FPGA之间的数据处理;
所述内网数据到外网数据的处理的具体步骤包括:
步骤S1,FPGA通过内部网络接口模块将接收到的IP数据包传输至协议解析单元进行处理后,再将所述IP数据包传输至会话搜索单元、SNAT转换单元进行处理;
步骤S2,将处理后的所述IP数据包传输至加解密单元进行加密运算;
步骤S3,将加密运算后的所述IP数据包传输至数据封装单元进行所述IP数据包密文封装;
步骤S4,将密文封装后的所述IP数据包传输至校验计算单元进行运算后再传输至路由搜索单元进行路由查找,若查找到所述IP数据包的路由信息,则将运算后的所述IP数据包传输至合路单元;否则,丢弃所述IP数据包;
步骤S5,所述合路单元将所述FPGA处理后的所述IP数据包和ARM处理器处理后的网络数据合路后传输至外部网络接口。
具体的,所述外网数据到内网数据的处理的具体步骤包括:
步骤1,FPGA通过外部网络接口模块将接收到的IP数据包传输至协议解析单元进行处理后,再将所述IP数据包传输至会话搜索单元进行会话查找,若查找到所述IP数据包的会话信息,则将所述IP数据包传输至加解密单元进行解密运算;若未查找到所述IP数据包的会话信息,当判断为包括握手协商、密钥管理和策略管理的网络数据,则将所述网络数据通过DMA单元传输至ARM处理器进行处理;否则,将所述IP数据包丢弃;
步骤2,将解密运算后的所述IP数据包传输至数据封装单元进行所述IP数据包明文封装;
步骤3,将明文封装后的所述IP数据包传输至校验计算单元进行运算后再传输至路由搜索单元、SNAT转换单元进行处理;
步骤4,所述合路单元将处理后的所述IP数据包和ARM处理器处理后的所述网络数据传输至内部网络接口。
具体的,所述ARM处理器与FPGA之间的数据处理具体包括:
ARM处理器以轮询方式通过DMA单元将存储模块中的数据传输至FPGA;以及ARM处理器以轮询方式将FPGA中DMA单元的数据传输至存储模块。
具体的,所述ARM处理器与FPGA之间的数据处理还包括表项配置阶段,具体包括:ARM处理器通过主控接口单元配置FPGA内部的路由表、ARP表、会话表和会话路由表;所述路由表联合所述ARP表进行所述路由搜索得到IP数据包的路由信息,所述会话表联合所述会话路由表进行所述会话搜索得到IP数据包的会话信息。
具体的,所述步骤S1中将所述IP数据包传输至会话搜索单元、SNAT转换单元进行处理具体包括:
若在所述会话搜索单元、SNAT转换单元中能够查找到所述IP数据包的会话信息和网络地址转换信息,则将所述IP数据包传输至校验计算单元进行运算;若未查找到所述IP数据包的会话信息,当判断为包括握手协商、密钥管理和策略管理的网络数据,则将所述网络数据通过DMA单元传输至ARM处理器进行处理;否则,丢弃所述IP数据包。
具体的,所述步骤3中将所述IP数据包传输至路由搜索单元、SNAT转换单元进行处理具体包括:
若在所述路由搜索单元、SNAT转换单元中能够查找到所述IP数据包的路由信息和网络地址转换信息,则将所述IP数据包传输至校验计算单元进行运算并将运算后的所述IP数据包传输至所述合路单元;否则,丢弃所述IP数据包。
本发明通过使用ARM处理器和FPGA协同处理数据的方式,ARM处理器用于处理包括握手协商、密钥管理和策略管理的网络数据,FPGA用于业务数据的高速处理,能够保证数据高速且有效的处理;ARM处理器通过安全模块能够进行网络数据的安全处理,FPGA通过加解密单元能够进行业务IP数据包的加解密传输,能够保证数据的传输安全;通过FPGA内部的各种逻辑单元,能够保证数据的有效分析、计算、封装等处理。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员在不脱离本发明技术方案的精神下,对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (6)
1.一种安全网关,其特征在于,包括:中央处理器模块,所述中央处理器模块包括通过内部通信总线相连接的ARM处理器和FPGA;
所述ARM处理器,分别与安全模块、存储模块和通讯接口模块连接,用于处理包括握手协商、密钥管理和策略管理的网络数据;所述安全模块用于所述ARM处理器进行握手协商和密钥管理;所述存储模块用于所述网络数据的存储;所述通讯接口模块用于与外接设备的通信;
所述FPGA,分别与网络接口模块、程序接口模块连接,用于业务数据的高速处理;所述网络接口模块包括内部网络接口模块和外部网络接口模块;所述网络接口模块用于接收待处理的IP数据包和发送处理后的IP数据包;所述程序接口模块用于程序更新调试;
所述FPGA中包括协议解析单元、搜索单元、SNAT转换单元、校验计算单元、加解密单元、DMA单元、数据封装单元和合路单元;所述搜索单元包括会话搜索单元、路由搜索单元;所述协议解析单元用于对所述网络接口模块接收的IP数据包进行协议解析处理;所述会话搜索单元用于对所述协议解析处理后的IP数据包进行会话信息查找;所述SNAT转换单元用于对IP数据包的网络地址进行转换;所述加解密单元用于对所述会话搜索单元、所述SNAT转换单元处理后的IP数据包进行加解密处理;所述数据封装单元用于对所述加解密处理后的IP数据包进行封装处理;所述校验计算单元用于对所述搜索单元、所述SNAT转换单元处理的IP数据包和所述封装处理后的IP数据包进行校验运算;所述路由搜索单元用于对校验运算后的IP数据包进行路由信息查找;所述DMA单元用于所述ARM处理器与所述FPGA之间的信息交互;所述合路单元用于将所述FPGA处理的数据和所述ARM处理器处理的数据进行数据合路处理;
应用所述安全网关的数据处理方法,包括内网数据到外网数据的处理、外网数据到内网数据的处理、所述ARM处理器与所述FPGA之间的数据处理;
所述内网数据到外网数据的处理的具体步骤包括:
步骤S1,所述FPGA通过所述内部网络接口模块将接收到的IP数据包传输至所述协议解析单元进行处理后,再将所述IP数据包传输至所述会话搜索单元、所述SNAT转换单元进行处理;
所述步骤S1中将所述IP数据包传输至会话搜索单元、SNAT转换单元进行处理具体包括:
若在所述会话搜索单元、所述SNAT转换单元中能够查找到所述IP数据包的会话信息和网络地址转换信息,则将所述IP数据包传输至所述校验计算单元进行运算;若未查找到所述IP数据包的会话信息,当判断为包括握手协商、密钥管理和策略管理的网络数据,则将所述网络数据通过DMA单元传输至ARM处理器进行处理;否则,丢弃所述IP数据包;
步骤S2,将处理后的所述IP数据包传输至所述加解密单元进行加密运算;
步骤S3,将加密运算后的所述IP数据包传输至所述数据封装单元进行所述IP数据包密文封装;
步骤S4,将密文封装后的所述IP数据包传输至所述校验计算单元进行运算后再传输至所述路由搜索单元进行路由查找,若查找到所述IP数据包的路由信息,则将运算后的所述IP数据包传输至所述合路单元;否则,丢弃所述IP数据包;
步骤S5,所述合路单元将所述FPGA处理后的所述IP数据包和所述ARM处理器处理后的所述网络数据合路后传输至所述外部网络接口;
所述外网数据到内网数据的处理的具体步骤包括:
步骤1所述FPGA所述外部网络接口模块将接收到的IP数据包传输至所述协议解析单元进行处理后,再将所述IP数据包传输至所述搜索单元进行会话查找,若查找到所述IP数据包的会话信息,则将所述IP数据包传输至所述加解密单元进行解密运算;若未查找到所述IP数据包的会话信息,当判断为包括握手协商、密钥管理和策略管理的网络数据,则将所述网络数据通过所述DMA单元传输至所述ARM处理器进行处理;否则,将所述IP数据包丢弃;
步骤2,将解密运算后的所述IP数据包传输至所述数据封装单元进行所述IP数据包明文封装;
步骤3,将明文封装后的所述IP数据包传输至所述校验计算单元进行运算后再传输至所述路由搜索单元、所述SNAT转换单元进行处理;
所述步骤3中将所述IP数据包传输至路由搜索单元、SNAT转换单元进行处理具体包括:
若在所述路由搜索单元、SNAT转换单元中能够查找到所述IP数据包的路由信息和网络地址转换信息,则将所述IP数据包传输至校验计算单元进行运算,并将运算后的所述IP数据包传输至所述合路单元;否则,丢弃所述IP数据;
步骤4,所述合路单元将处理后的所述IP数据包和所述ARM处理器处理后的所述网络数据传输至所述内部网络接口。
2.根据权利要求1所述的安全网关,其特征在于,所述内部通信总线包括AXI_HP总线和AXI_GP总线;所述AXI_HP总线包括2个AXI_HP接口,用于在高速通信时,通过所述FPGA中的DMA单元完成所述FPGA与所述ARM处理器之间的数据传输;所述AXI_GP总线用于提供所述FPGA与所述ARM处理器之间的配置数据接口。
3.根据权利要求1所述的安全网关,其特征在于,所述安全模块为安全芯片,所述存储模块包括DDR,所述通讯接口模块包括USB通讯接口和UART通讯接口,所述网络接口模块为以太网PHY,所述程序接口模块为JTAG接口。
4.根据权利要求1所述的安全网关,其特征在于,所述FPGA还包括流量控制单元和主控接口单元,所述流量控制单元用于数据的流量拥塞控制,所述主控接口单元用于所述ARM处理器对所述FPGA内部进行表项配置。
5.根据权利要求1所述的安全网关,其特征在于,所述ARM处理器与FPGA之间的数据处理具体包括:
所述ARM处理器以轮询方式通过所述DMA单元将存储模块中的数据传输至所述FPGA;以及所述ARM处理器以轮询方式将所述FPGA中所述DMA单元的数据传输至存储模块。
6.根据权利要求5所述的安全网关,其特征在于,所述ARM处理器与所述FPGA之间的数据处理还包括表项配置阶段,具体包括:所述ARM处理器通过主控接口单元配置所述FPGA内部的路由表、ARP表、会话表和会话路由表;所述路由表联合所述ARP表进行所述路由搜索得到IP数据包的路由信息,所述会话表联合所述会话路由表进行所述会话搜索得到IP数据包的会话信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811462984.XA CN111262823B (zh) | 2018-12-03 | 2018-12-03 | 一种安全网关及其数据处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811462984.XA CN111262823B (zh) | 2018-12-03 | 2018-12-03 | 一种安全网关及其数据处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111262823A CN111262823A (zh) | 2020-06-09 |
| CN111262823B true CN111262823B (zh) | 2022-04-15 |
Family
ID=70948390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811462984.XA Active CN111262823B (zh) | 2018-12-03 | 2018-12-03 | 一种安全网关及其数据处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111262823B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756627A (zh) * | 2020-06-24 | 2020-10-09 | 广东电网有限责任公司电力科学研究院 | 一种电力监控系统的云平台安全接入网关 |
| CN112422416A (zh) * | 2020-10-12 | 2021-02-26 | 江西山水光电科技股份有限公司 | 网关设备及其控制方法 |
| CN112910932B (zh) * | 2021-04-30 | 2021-07-20 | 北京数盾信息科技有限公司 | 一种数据处理方法、装置及系统 |
| CN114340051B (zh) * | 2021-12-24 | 2023-10-24 | 郑州中科集成电路与系统应用研究院 | 一种基于高速传输接口的便携式网关 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594627A (zh) * | 2012-03-12 | 2012-07-18 | 华中科技大学 | 一种基于fpga的千兆以太网现场总线通信装置 |
| CN103139058A (zh) * | 2013-01-28 | 2013-06-05 | 公安部第一研究所 | 一种物联网安全接入网关 |
| CN105449861A (zh) * | 2015-12-14 | 2016-03-30 | 国网山西省电力公司大同供电公司 | 基于iec61850的绝缘在线同步无线监测网关装置 |
| CN105959308A (zh) * | 2016-06-30 | 2016-09-21 | 中电长城网际系统应用有限公司 | 一种内网ip数据包管理方法、装置及系统 |
| CN107204917A (zh) * | 2016-03-16 | 2017-09-26 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
| CN107911287A (zh) * | 2017-10-17 | 2018-04-13 | 安徽电信器材贸易工业有限责任公司 | 一种智能网关 |
| CN108111821A (zh) * | 2018-01-10 | 2018-06-01 | 深圳羚羊极速科技有限公司 | 一种集成互联网视频接入网关及边缘计算的设备 |
| CN108898033A (zh) * | 2018-06-15 | 2018-11-27 | 中国电子科技集团公司第五十二研究所 | 一种基于fpga的数据加解密系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8332925B2 (en) * | 2006-08-08 | 2012-12-11 | A10 Networks, Inc. | System and method for distributed multi-processing security gateway |
-
2018
- 2018-12-03 CN CN201811462984.XA patent/CN111262823B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594627A (zh) * | 2012-03-12 | 2012-07-18 | 华中科技大学 | 一种基于fpga的千兆以太网现场总线通信装置 |
| CN103139058A (zh) * | 2013-01-28 | 2013-06-05 | 公安部第一研究所 | 一种物联网安全接入网关 |
| CN105449861A (zh) * | 2015-12-14 | 2016-03-30 | 国网山西省电力公司大同供电公司 | 基于iec61850的绝缘在线同步无线监测网关装置 |
| CN107204917A (zh) * | 2016-03-16 | 2017-09-26 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
| CN105959308A (zh) * | 2016-06-30 | 2016-09-21 | 中电长城网际系统应用有限公司 | 一种内网ip数据包管理方法、装置及系统 |
| CN107911287A (zh) * | 2017-10-17 | 2018-04-13 | 安徽电信器材贸易工业有限责任公司 | 一种智能网关 |
| CN108111821A (zh) * | 2018-01-10 | 2018-06-01 | 深圳羚羊极速科技有限公司 | 一种集成互联网视频接入网关及边缘计算的设备 |
| CN108898033A (zh) * | 2018-06-15 | 2018-11-27 | 中国电子科技集团公司第五十二研究所 | 一种基于fpga的数据加解密系统 |
Non-Patent Citations (2)
| Title |
|---|
| Design and Implementation of an Enhanced VPN Isolation Gateway;Lin Shaofeng;《2017 International Conference on Robots & Intelligent System (ICRIS)》;20171109;全文 * |
| 孙伟峰.一种增强型VPN安全隔离网关设计与实现.《中国电子科学研究院学报 》.2015, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111262823A (zh) | 2020-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111262823B (zh) | 一种安全网关及其数据处理方法 | |
| CN100594690C (zh) | 一种安全网关中进行安全策略统一处理的方法及装置 | |
| CN100358280C (zh) | 一种网络安全装置及其实现方法 | |
| CN113194097B (zh) | 一种安全网关的数据处理方法、装置及安全网关 | |
| CN110061989B (zh) | 一种数据采集网关全隔离方法 | |
| CN108462956A (zh) | 发现设备后即刻连接的方法和电子设备 | |
| CN112910932B (zh) | 一种数据处理方法、装置及系统 | |
| WO2023179715A1 (zh) | 数据通道构建方法及装置 | |
| WO2015103848A1 (zh) | 一种实现Wifi访问网络的方法、系统及终端 | |
| CN110505244A (zh) | 远程隧道访问技术网关以及服务器 | |
| CN116647425B (zh) | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 | |
| CN113645258A (zh) | 数据传输方法、装置、存储介质、处理器及电子设备 | |
| CN113556340B (zh) | 一种便携式vpn终端、数据处理方法及存储介质 | |
| CN103973677A (zh) | 一种IPv6到PROFIBUS的协议转换装置 | |
| CN101026597A (zh) | 一种家庭网关 | |
| CN110995726B (zh) | 一种基于内嵌arm的fpga芯片的网络隔离系统 | |
| CN113094762B (zh) | 一种数据处理方法、装置及签名验签服务器 | |
| CN109873769A (zh) | 一种基于5g通信的智能路由器 | |
| WO2019210614A1 (zh) | 实现页面功能复用的方法及装置 | |
| CN206004692U (zh) | 一种加密工业以太网交换机 | |
| CN102075529B (zh) | 开放式楼宇自控网络协议转化装置及转化方法 | |
| CN112910646A (zh) | 一种服务器密码机的数据处理方法、装置及服务器密码机 | |
| Zhou et al. | Design of the embedded gateway for 4G and PROFIBUS-DP based on FPGA | |
| CN118199862B (zh) | 基于fpga和cpu协同的协商热备处理方法及系统 | |
| KR100628320B1 (ko) | VPN IPsec 가속 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Security Gateway and Its Data Processing Method Effective date of registration: 20230412 Granted publication date: 20220415 Pledgee: China Construction Bank Corporation Zhengzhou Jinshui sub branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: Y2023980037751 |