CN114050921A - 一种fpga实现的基于udp的高速加密数据传输系统 - Google Patents

Abstract

本发明公开了一种FPGA实现的基于UDP的高速加密数据传输系统，通过隧道建立及维持模块布置中心端和分支端，建立并维持专属的网络隧道；明文数据再封装及加密模块在网络隧道内从设备的明文网口筛选出原IP数据包，将原IP数据包的IP首部信息及数据部分作为新数据包的UDP数据部分，进行加密，打上预设标签后发送到外网；密文数据解封装及解密模块，筛选出系统加密后的数据包，解封装后送去解密模块解密，解密后得到原数据包发送到内网。本发明在通信双方建立起高穿透性的安全隧道，保证了数据传输路径的安全；在FPGA中实现对数据的处理和加解密，摆脱了对CPU性能的依赖，保证了数据在传输过程中的安全和传输速度的高性能。

Description

一种FPGA实现的基于UDP的高速加密数据传输系统

技术领域

本发明涉及网络安全通信领域，特别涉及一种FPGA实现的基于UDP的高速加密数据传输系统。

背景技术

在互联网高速发展的今天，实现异地网络的相互连通，对远程办公是非常关键的。虚拟专用网络(VPN)可以在通信的两端之间建立一条“隧道”，在不安全的互联网络中提供一个专用的安全路径，既实现了异地组网，也实现了安全的传输路径。对于很多企业来讲，使用VPN搭建远程办公系统虽然很高效，但是也同样带来了安全防护能力薄弱的问题。所以数据加密传输也成为实现安全远程办公的关键问题。建立加密的VPN通道是在互联网环境下实现安全通信的不二之选。

当前多数安全网关是具有构建隧道和加密传输功能的，如IPsec VPN或者 SSLVPN，都在构建隧道的基础上实现了通讯数据的加密。但IPSec VPN的网络穿透性不强，传输速度慢，虽然有发明提出通过IPSec网关加UDP封装的方式解决此问题，但此方式数据处理流程复杂，IPSec VPN已经将数据重新封装，还需要再次进行UDP封装，且此方式会进一步影响数据传输速度；SSL VPN也同样面临数据传输速度慢的问题。这类安全网关数据传输速率较低，是因为他们基于虚拟网卡或软件算法加解密的技术实现的，主流网关性能都是最高单网口400Mbps左右的速度，更高性能的设备几乎没有。这主要因为用软件实现加解密的过程，无法做到很高的性能。要提高性能，需配置高性能的CPU，设计成本会大幅提高，另外软件系统安全性也相对较低。

发明内容

本发明的主要目的在于提供一种FPGA实现的基于UDP的高速加密数据传输系统，可解决进行加密数据高速传输及构建穿透性强的安全隧道的问题。

为实现上述目的，本发明采取的技术方案为：

本发明实施例提供一种FPGA实现的基于UDP的高速加密数据传输系统，包括：

隧道建立及维持模块，用于布置中心端和至少一个分支端，所述中心端的外网IP和映射端口已知；由所述分支端以预设时间间隔向所述中心端发送 UDP格式的心跳包，在双方之间建立并维持专属的网络隧道；

明文数据再封装及加密模块，用于在所述网络隧道内从设备的明文网口筛选出原IP数据包，解析后重新封装为UDP数据包；根据配置信息和隧道信息生成IP首部信息，和UDP首部信息，并将原IP数据包的IP首部信息及数据部分作为新数据包的UDP数据部分，对新数据包UDP数据内容进行加密，将加密后数据包打上预设标签后发送到外网；

密文数据解封装及解密模块，用于根据自定义的预设标签内容筛选出系统加密后的数据包，将该数据包解封装后，送去解密模块解密，解密后得到原数据包，然后将该数据包发送到内网。

进一步地，所述隧道建立及维持模块，包括：

部署单元，用于布置中心端和至少一个分支端，所述中心端的外网IP和映射端口已知；并构建隧道表，所述隧道表包括：对端的外网IP，外网映射端口，对端内网网段，掩码位数和密钥存放指示；

注册单元，用于分支端在中心端注册，中心端向分支端下发隧道信息及分配给分支端的密钥信息；

配置单元，用于所述中心端与分支端系统中明文网口IP、密文网口IP、端口和网关的配置；

建立通讯单元，用于分支端根据所述隧道信息以预设时间间隔向所述中心端的外网IP及外网映射端口发送UDP格式的心跳包；所述心跳包包括分支端的内网网段以及掩码位数；所述中心端接收到所述心跳包，解析出内网网段以及掩码位数，并在所述隧道表中进行匹配，查找对应的隧道信息，将对端的外网IP及外网映射端口填入，完成通讯建立。

进一步地，所述明文数据再封装及加密模块，包括：

接收查询单元，用于接收明文网口的原IP数据包，解析后根据目的IP进行隧道表查询；

判断读取单元，用于根据查询结果判断所述目的IP所在的对端内网网段，并读取该网段对应的隧道信息；

再封装单元，用于根据所述隧道信息及配置信息构造新的IP头部信息及 UDP头部信息，将原IP数据包的IP头部信息和数据部分作为新数据包的数据部分，实现将原有通信IP进行隐藏；

判断单元，用于判断所述新数据包长度是否超过系统设置的MTU值，当超过时，则对该数据包进行分片处理；

加密发送单元，用于对所述新数据包UDP数据内容进行加密，将加密后数据包打上预设标签后发送到外网。

进一步地，所述加密发送单元，包括：

加密子单元，用于根据SM4算法对数据内容进行加密，再根据SM3算法进行校验和计算；或用于根据SM4-GCM算法对数据内容进行加密，并得到密文数据的哈希值；

发送子单元，用于对密文网口设置的网关进行ARP请求，建立密文口 ARP列表，根据密文网口以及网关MAC地址，重新生成新的MAC首部，形成标准的以太网数据包，然后将密文数据包从密文网口发出。

进一步地，所述密文数据解封装及解密模块，包括：

接收筛选单元，用于从对端系统密文网口接收网络数据包，根据自定义的预设标签内容筛选出系统加密后的数据包，将该数据包的IP头部信息及 UDP头部信息剥除，将数据部分送去解密；

解密单元，用于进行SM3算法的验证，确定数据包的有效性；再根据SM4 算法进行数据解密，得到原IP数据包；或用于解密时根据SM4-GCM算法先验证哈希值，验证通过后，再进行数据解密，得到原IP数据包；

发送单元，用于根据目的IP进行ARP请求，得到内网主机的MAC地址，建立明文口ARP列表；根据明文网口的MAC地址，重新生成新的MAC首部，形成标准的以太网数据包，通过明文口发送到内网中。

与现有技术相比，本发明具有优势如下：

本发明实施例提供的FPGA实现的基于UDP的高速加密数据传输系统，将原有IP协议的数据包重新封装为UDP协议，并通过UDP协议的心跳包进行隧道构建及保持，在通信双方建立起高穿透性的安全隧道，保证了数据传输路径的安全；另外在FPGA中实现对数据的处理和加解密，摆脱了对CPU 性能的依赖，保证了数据在传输过程中的安全和传输速度的高性能。本系统可以防止数据被第三方窃听或篡改，另外该系统通过UDP协议进行异地组网，构建隧道的穿透性强，且系统具备了硬件平台的高性能和高安全性，数据传输性能最高达到100MBps。

附图说明

图1为本发明实施例提供的FPGA实现的基于UDP的高速加密数据传输系统的框图；

图2为本发明实施例提供的隧道建立及维持模块的框图；

图3为本发明实施例提供的明文数据再封装及加密模块的框图；

图4为本发明实施例提供的密文数据解封装及解密模块的框图；

图5为本发明实施例提供的中心端与分支端建立隧道的工作流程图；

图6为本发明实施例提供的明文数据的重新封装和加密工作流程图；

图7为本发明实施例提供的密文数据解封装和解密的工作流程图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”“前端”、“后端”、“两端”、“一端”、“另一端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“设置有”、“连接”等，应做广义理解，例如“连接”，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

本发明利用FPGA的特性进行数据的高速加解密，保证数据的安全，然后将数据包重新封装为UDP数据包，顺利进行网络地址转换(Network Address Translation，NAT)穿透的同时构建安全虚拟专用网络。

本发明提供的一种FPGA实现的基于UDP的高速加密数据传输系统，参照图1所示，包括：

隧道建立及维持模块，用于布置中心端和至少一个分支端，所述中心端的外网IP和映射端口已知；由所述分支端以预设时间间隔向所述中心端发送 UDP格式的心跳包，在双方之间建立专属的网络隧道。该系统涉及两端，需要成对使用，并要求至少一端的外网IP和映射端口是已知的，布置在此侧的系统被称为中心端，另外一端被称为分支端。由分支端以固定时间间隔向中心端发送UDP格式的心跳包，中心端通过心跳包可以获得分支端的外网IP 地址及映射端口，通过该信息在双方之间建立专属的网络隧道。

明文数据再封装及加密模块，用于在网络隧道内从设备的明文网口筛选出原IP数据包，解析后重新封装为UDP数据包；根据配置信息和隧道信息生成IP首部信息，和UDP首部信息，并将原IP数据包的IP首部信息及数据部分作为新数据包的UDP数据部分，对新数据包UDP数据内容进行加密，将加密后数据包打上预设标签后发送到外网。预设标签比如用于存放厂商信息，设备ID，以及密钥更新时需要的部分参数(比如主要是密钥的有效性标志，以及新、旧密钥的选择参数)等信息，便于密文网口数据解析和初步识别。该模块中，算法加密相对独立，比如可采用SM3和SM4组合、或采用 SM4-GCM算法，当然也可以支持更换其他算法，解密时采用对应的解密算法即可，本公开实施例对此不做限定。

密文数据解封装及解密模块，用于根据自定义的预设标签内容筛选出系统加密后的数据包，将该数据包解封装后，送去解密模块解密，采用与加密时相对应的解密算法，解密后得到原数据包，然后将该数据包发送到内网。

其中，隧道建立及维持模块，参照图2所示，包括：

部署单元，用于布置中心端和至少一个分支端，所述中心端的外网IP和映射端口已知；并构建隧道表，所述隧道表包括：对端的外网IP，外网映射端口，对端内网网段，掩码位数和密钥存放指示；

注册单元，用于分支端在中心端注册，中心端向分支端下发隧道信息及分配给分支端的密钥信息；

配置单元，用于所述中心端与分支端系统中明文网口IP、密文网口IP、端口和网关的配置；建立通讯单元，用于分支端根据所述隧道信息以预设时间间隔向所述中心端的外网IP及外网映射端口发送UDP格式的心跳包；所述心跳包包括分支端的内网网段以及掩码位数；所述中心端接收到所述心跳包，解析出内网网段以及掩码位数，并在所述隧道表中进行匹配，查找对应的隧道信息，将对端的外网IP及外网映射端口填入，完成通讯建立。

明文数据再封装及加密模块，参照图3所示，包括：

接收查询单元，用于接收明文网口的原IP数据包，解析后根据目的IP进行隧道表查询；

判断读取单元，用于根据查询结果判断所述目的IP所在的对端内网网段，并读取该网段对应的隧道信息；

再封装单元，用于根据所述隧道信息及配置信息构造新的IP头部信息及 UDP头部信息，将原IP数据包的IP头部信息和数据部分作为新数据包的数据部分；

判断单元，用于判断所述新数据包长度是否超过系统设置的MTU值，当超过时，则对该数据包进行分片处理；

加密发送单元，用于对所述新数据包UDP数据内容进行加密，将加密后数据包打上预设标签后发送到外网。该加密发送单元，包括：

加密子单元，用于根据SM4算法对数据内容进行加密，再根据SM3算法进行校验和计算；或用于根据SM4-GCM算法对数据内容进行加密，并得到密文数据的哈希值；

发送子单元，用于对密文网口设置的网关进行ARP请求，建立密文口 ARP列表，根据密文网口以及网关MAC地址，重新生成新的MAC首部，形成标准的以太网数据包，然后将密文数据包从密文网口发出。

本实施例中，预设标签内容只是用于数据的初步筛选，可采用多种加密方式。比如根据SM4算法对数据内容进行加密，再根据SM3算法进行校验和计算，真正起数据内容检查和防篡改作用的是SM3算法。即使偶尔有错误的网络数据包符合根据预设标签设置的过滤条件，但数据包不可能通过SM3算法的数据校验，所以错误的数据包不会访问到内网主机。

再比如：根据SM4-GCM算法对数据内容进行加密，在对数据加密的同时，也对数据做了哈希运算，解密时通过哈希值的验证，实现数据的防篡改。

密文数据解封装及解密模块，参照图4所示，包括：

接收筛选单元，用于从对端系统密文网口接收网络数据包，根据自定义的预设标签内容筛选出系统加密后的数据包；

解密单元，用于进行SM3算法的验证，确定数据包的有效性；再根据SM4 算法进行数据解密，得到原IP数据包；或解密时根据SM4-GCM算法先验证哈希值，验证通过后，再进行数据解密，得到原IP数据包；

发送单元，用于根据目的IP进行ARP请求，得到内网主机的MAC地址，建立明文口ARP列表；根据明文网口的MAC地址，重新生成新的MAC首部，形成标准的以太网数据包，通过明文口发送到内网中。

下面通过具体实施例来详细描述本发明的技术方案：

参照图5所示，该系统涉及两端，需要成对使用，并要求至少一端的外网IP和映射端口是已知的，布置在已知外网IP与端口一端的系统被称为中心端，另外一端被称为分支端。支持多种部署场景，如一个中心端对应多个分支端，也可以进行分级部署，其中的中心端系统可以同时作为下级系统中心端与上级系统分支端。

构建的隧道表包括五个元素：对端的外网IP，外网映射端口，对端内网网段，掩码位数，密钥存放指示。前四个元素用于构造隧道，第五个元素用于查找对应密钥。因不同分支端的密钥信息是不同的，所以要根据密钥存放指示去密钥存储区拿取某一分支端所对应的密钥信息。

如图5所示，部署完成后，分支端需要在中心端进行注册，中心端向分支端下发隧道信息及密钥信息，注册时在中心端会将自己的外网IP，端口，及分配给分支端的密钥一并下发；然后分别进行中心端与分支端系统的配置，如明文、密文网口IP，端口，网关等信息。

分支端根据隧道信息，会按照固定时间间隔向中心端的外网IP及外网映射端口发送心跳包，心跳包中包含分支端的对端内网网段以及掩码位数。中心端收到数据包，筛选到该心跳包之后，解析出数据包携带信息，中心端在隧道表中根据对端内网网段和掩码位数进行查找。匹配到该条隧道信息之后，将外网IP及外网映射端口填入。这时中心端与分支端都有了完整的隧道信息，就可以建立通讯了。

另外，心跳包每隔固定时间间隔发送一次，可以保持分支端在外网的映射端口，从而起到维护隧道的作用。

以杂凑算法SM3以及分组密码算法SM4为例，明文重新封装及加密过程如图6所示，设备的明文网口，首先筛选出IP数据包，解析后根据目的IP进行隧道表查询，判断该IP是在哪个网段内，并将对应的隧道信息读取出来，根据隧道信息及配置信息构造新的IP头部信息及UDP头部信息，将原数据包的IP头部信息和数据部分作为新数据包的数据部分，判断新数据包长度是否超过系统设置的MTU值，如果超过，则对该数据包进行分片处理，然后对UDP数据内容进行加密，根据SM4算法对数据内容进行加密，再根据SM3 算法进行校验和计算，然后对密文网口设置的网关进行地址解析协议(Address Resolution Protocol，ARP)请求，得到回复后，建立密文口ARP列表，根据密文网口以及网关MAC地址，重新生成新的MAC首部，形成标准的以太网数据包，然后将密文数据包从密文网口发出。

经过多层网络设备发送到对端所在的外网IP与端口，经过NAT穿透后到达对端系统。

同样，以杂凑算法SM3以及分组密码算法SM4为例，密文解封装及解密过程如图7所示，对端系统密文网口，收到数据包后，首先根据自定义字段进行数据包的过滤，筛选出需要的密文数据包，然后将该数据包进行解密，首先进行SM3算法的验证，确定数据包没有被篡改，然后再根据SM4算法进行数据解密，解密后得到原IP数据包，根据目的IP进行ARP请求，得到内网主机的MAC地址，建立明文口ARP列表，然后根据明文网口的MAC地址，重新生成新的MAC首部，形成标准的以太网数据包，通过明文口发送到内网中。

本实施例中，上述加密的具体实施过程如下：

FPGA解析收到的以太网数据包，FPGA解析收到的以太网数据包后，根据目的IP去进行隧道表查询，获得对端的外网IP和映射端口，以便构造新的 IP首部和UDP首部信息，将原有数据的IP首部信息和数据部分进行加密。

对IP头部和数据区进行整体加密，加密前因为加密模块的要求，首先进行128位对齐，增加第一自定义字段，即对齐时补充的数据，每包数据的第一自定义字段长度不一；同时增加第二自定义字段，内容为原数据的真实长度和其他数据参数等信息，用于解密时校验数据有效性的一个判断依据。加密模块可采用杂凑算法SM3以及分组密码算法SM4；也可以采用SM4-GCM 算法，而算法加密模块相对独立，也可以支持更换其他算法，解密时采用对应的解密算法即可。

加密后的数据，增加第三自定义字段，当采用杂凑算法SM3以及分组密码算法SM4时，第三自定义字段内容为SM3之后算出的HMAC值，增加第四自定义字段，用于存放厂商信息，设备ID，以及密钥更新时需要的部分参数等信息，便于密文网口数据解析识别，同时作为一个数据有效性的判断依据和密钥更新时的验证信息。

密文数据加上各个自定义字段的数据，计算总长度，若超过MTU值(最大传输单元)，则启动拆包模块，将数据包按照拆包规则进行分片处理，然后再将分片后的数据包依次进行加密处理，确保密文数据包长度不会超过当前网络的MTU值；将数据分成多个包进行发送。组包时根据配置信息和隧道信息生成新的IP头和UDP头部信息，将加密后的内容作为新数据包的UDP数据部分，然后根据密文口的ARP协议获得MAC列表，以及密文口的配置信息，生成新的MAC首部信息。将原有数据包完全加密处理，实现了对双方内网主机IP的隐藏，建立起安全的虚拟专用网络(VPN)。

密文数据解密过程：FPGA解析收到的以太网数据包，缓存第三自定义字段、第四自定义字段，通过对第四自定义字段初步过滤的密文数据，根据第四自定义字段进行初步筛选，然后将不合格数据包丢弃，将合格数据包的MAC 首部、IP首部、UDP首部剥除掉，将UDP数据部分进行解密处理；采用杂凑算法SM3计算，配合第三自定义字段的HMAC，进一步验证数据的正确性，同时采用分组密码算法SM4整体解密，得到第一自定义字段，第二自定义字段，验证各个字段数据的有效性；

通过有效性和正确性验证后的数据，就是原有数据包的IP首部信息和数据部分，然后根据明文口的ARP协议获得MAC列表，以及明文口的配置信息，生成新的MAC首部信息，组成完整数据包。将该数据组包后发送向内网主机。两端内网主机的IP在设备之间通信时被隐藏掉，只有设备后的可信网络环境中才能看到对端主机的IP，在双方主机之间建立了专属的虚拟网络 (VPN)保证了内网主机不被攻击。

以上显示和描述了本发明的基本原理和主要特征。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (5)

1.一种FPGA实现的基于UDP的高速加密数据传输系统，其特征在于，包括：

隧道建立及维持模块，用于布置中心端和至少一个分支端，所述中心端的外网IP和映射端口已知；由所述分支端以预设时间间隔向所述中心端发送UDP格式的心跳包，在双方之间建立并维持专属的网络隧道；

明文数据再封装及加密模块，用于在所述网络隧道内从设备的明文网口筛选出原IP数据包，解析后重新封装为UDP数据包；根据配置信息和隧道信息生成IP首部信息，和UDP首部信息，并将原IP数据包的IP首部信息及数据部分作为新数据包的UDP数据部分，对新数据包UDP数据内容进行加密，将加密后数据包打上预设标签后发送到外网；

密文数据解封装及解密模块，用于根据自定义的预设标签内容筛选出系统加密后的数据包，将该数据包解封装后，送去解密模块解密，解密后得到原数据包，然后将该数据包发送到内网。

2.根据权利要求1所述的一种FPGA实现的基于UDP的高速加密数据传输系统，其特征在于，所述隧道建立及维持模块，包括：

部署单元，用于布置中心端和至少一个分支端，所述中心端的外网IP和映射端口已知；并构建隧道表，所述隧道表包括：对端的外网IP，外网映射端口，对端内网网段，掩码位数和密钥存放指示；

注册单元，用于分支端在中心端注册，中心端向分支端下发隧道信息及分配给分支端的密钥信息；

配置单元，用于所述中心端与分支端系统中明文网口IP、密文网口IP、端口和网关的配置；

建立通讯单元，用于分支端根据所述隧道信息以预设时间间隔向所述中心端的外网IP及外网映射端口发送UDP格式的心跳包；所述心跳包包括分支端的内网网段以及掩码位数；所述中心端接收到所述心跳包，解析出内网网段以及掩码位数，并在所述隧道表中进行匹配，查找对应的隧道信息，将对端的外网IP及外网映射端口填入，完成通讯建立。

3.根据权利要求2所述的一种FPGA实现的基于UDP的高速加密数据传输系统，其特征在于，所述明文数据再封装及加密模块，包括：

接收查询单元，用于接收明文网口的原IP数据包，解析后根据目的IP进行隧道表查询；

判断读取单元，用于根据查询结果判断所述目的IP所在的对端内网网段，并读取该网段对应的隧道信息；

再封装单元，用于根据所述隧道信息及配置信息构造新的IP头部信息及UDP头部信息，将原IP数据包的IP头部信息和数据部分作为新数据包的数据部分，实现将原有通信IP进行隐藏；

判断单元，用于判断所述新数据包长度是否超过系统设置的MTU值，当超过时，则对该数据包进行分片处理；

加密发送单元，用于对所述新数据包UDP数据内容进行加密，将加密后数据包打上预设标签后发送到外网。

4.根据权利要求3所述的一种FPGA实现的基于UDP的高速加密数据传输系统，其特征在于，所述加密发送单元，包括：

加密子单元，用于根据SM4算法对数据内容进行加密，再根据SM3算法进行校验和计算；或用于根据SM4-GCM算法对数据内容进行加密，并得到密文数据的哈希值；

发送子单元，用于对密文网口设置的网关进行ARP请求，建立密文口ARP列表，根据密文网口以及网关MAC地址，重新生成新的MAC首部，形成标准的以太网数据包，然后将密文数据包从密文网口发出。

5.根据权利要求4所述的一种FPGA实现的基于UDP的高速加密数据传输系统，其特征在于，所述密文数据解封装及解密模块，包括：

接收筛选单元，用于从对端系统密文网口接收网络数据包，根据自定义的预设标签内容筛选出系统加密后的数据包，将该数据包的IP头部信息及UDP头部信息剥除，将数据部分送去解密；

解密单元，用于进行SM3算法的验证，确定数据包的有效性；再根据SM4算法进行数据解密，得到原IP数据包；或用于解密时根据SM4-GCM算法先验证哈希值，验证通过后，再进行数据解密，得到原IP数据包；

发送单元，用于根据目的IP进行ARP请求，得到内网主机的MAC地址，建立明文口ARP列表；根据明文网口的MAC地址，重新生成新的MAC首部，形成标准的以太网数据包，通过明文口发送到内网中。

Images