CN1492317A - 一种利用DSP处理IPSec安全协议中加/解密的系统 - Google Patents
一种利用DSP处理IPSec安全协议中加/解密的系统 Download PDFInfo
- Publication number
- CN1492317A CN1492317A CNA031253350A CN03125335A CN1492317A CN 1492317 A CN1492317 A CN 1492317A CN A031253350 A CNA031253350 A CN A031253350A CN 03125335 A CN03125335 A CN 03125335A CN 1492317 A CN1492317 A CN 1492317A
- Authority
- CN
- China
- Prior art keywords
- enciphering
- dsp
- deciphering
- ipsec
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种利用DSP处理IPsec安全协议中加/解密的系统,由一款通信处理器及外围电路构成,其特点是:在通信处理器上通过总线转换器还连接有一个DSP加/解密芯片,DSP加/解密芯片上连接有加解密卡;上述通信处理器上还连接有至少一个以上的PCI插槽。本发明则采用了摩托罗拉公司的64位微控制器MPC8250和TI公司的DSP处理器TMS320C6202来实现,可以通过烧写flash的方法来更新DSP的加密算法,具有较高的灵活性,同时还可以外扩国秘办的加密卡,完成特殊的加密要求。
Description
技术领域
本发明属于一种计算机网络IPsec(IP安全)协议中加/解密系统,具体地讲是一种利用DSP处理IPsec安全协议中加/解密的系统。
背景技术
IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:1)保护IP数据包安全;2)为抵御网络攻击提供防护措施。。由于IPsec协议要求对数据进行加密和验证,其中涉及很大的运算量,如果用软件方式实现,将使CPU把大量的资源的用于计算,而不能进行对系统资源的调度及对协议的分析和高层处理,这样势必会导致系统性能的下降,难以达到高速处理数据的目的。
发明内容
本发明的目的是利用DSP(数字信号处理器)其运算能力可达2400MIPS,其拥有大容量的片内存储器和大范围的寻址能力,把通用的微处理器与DSP联合使用,用微处理来完成对系统资源的管理和对IPsec协议的分析处理,而把加/解密和验证这样需要大运算量的工作交由DSP完成。这样微处理器和DSP就可以各取所长,提高系统的性能,提供一种利用DSP处理IPsec安全协议中加/解密的系统,以克服上述的不足。
为了实现上述目的,本发明由一款通信处理器及外围电路构成,其特点是:在通信处理器上通过总线转换器还连接有一个DSP加/解密芯片,DSP加/解密芯片上连接有加解密卡;
上述通信处理器上还连接有至少一个以上的PCI插槽。
目前的VPN安全网关普遍采用的是工控机加加密卡的方式,使用这种方法成本比较高,对加密卡也不易升级。本发明则采用了摩托罗拉公司的64位微控制器MPC8250和TI公司的DSP处理器TMS320C6202来实现,可以通过烧写flash的方法来更新DSP的加密算法,具有较高的灵活性,同时还可以外扩国秘办的加密卡,完成特殊的加密要求;目前的VPN网关大多采用Linux操作系统,通过纯软件方式或专用加/解密芯片来完成加/解密。本发明则采用可WindRiver公司的VxWorks操作系统,并对其协议栈进行了裁减,把其中的加/解密部分分离出来交由DSP处理,在外扩了加密卡的情况下,还可由加密卡来实现特殊的加密运算。
附图说明
图1为本发明硬件结构框图。
图2为本发明总体硬件框图。
图3为本发明软件结构框图。
图4为本发明DSP加/解密芯片与通信处理器连接框图。
图5为本发明的软件流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步的描述,但该实施例不应理解为对本发明的限制。
本发明的通信处理器采用MPC8250,MPC8250是摩托罗拉公司专为通信和网络系统设计的一款32通信处理器,内部集成了多个用于网络和通信功能的外设控制器。其为摩托罗拉公司的下一代通信处理器中的主流产品,在设备操作的各方面都提供了更高的性能,包括更强的的灵活性、可扩展能力和更高的集成度。VxWorks操作系统是美国WindRiver(风河)公司于1983年设计开发的一种嵌入式实时操作系统(RTOS),具有工业领导地位的高性能实时操作系统内核,具有先进的网络功能。VxWorks的开放式结构和对工业标准的支持,使得开发人员易于设计高效的嵌入式系统,并可以很小的工作量移植到其它不同的处理器上。其具有良好的可靠性、实时性和可裁减性,能在相同的硬件条件下获得更好的性能。本发明的定点DSP(数字信号处理器)处理器采用TMS320C6202,TMS320C6202是TI(德州仪器)公司推出的32位定点DSP处理器,芯片内部集成了2个乘法器和6个算术运算单元,且它们是高度正交的,使得在一个周期内最大能支持8条32位的指令,其运算能力可达2400MIPS。其拥有大容量的片内存储器和大范围的寻址能力,片内最多集成了512KB程序存储器和512KB数据存储器,并拥有32位外部存储器界面。
本发明选择的微控制器是摩托罗拉公司的MPC8250,这款芯片是专门为通信系统设计的,具有较高的性能和较低的功耗。其内部集成了高性能的G2(603e)微处理器和多个外设控制器,内部的系统接口单元(SIU)提供了一个灵活的存储控制器,能方便的与用户定义的存储设备和外设相连接。内部集成了三个高性能的通信通道,可以支持10/100以太网,Transparent和HDLC。使用MPC8250不需要其他的外设控制器,能够获得更高的性能、更好的稳定性和更低的功耗,满足本发明设计的需要。在其上运行VxWorks实时嵌入式操作系统,完成VPN系统实现、网络通讯、系统监控等任务。
本发明DSP选用的是TI公司的定点DSP芯片TMS320C6202,该DSP内部集成了2个乘法器和6个算术运算单元,最高运算速度可达2400MIPS。其上运行的是运行的是TI的CCS实时开发系统,完成数据包的加解密算法处理及传递等工作。
本发明使用的操作系统是WindRiver公司的嵌入式实时操作系统VxWorks,该公司同时提供了IPsec/IKE的源代码。该系统是以软件的方式完成对数据的加密,本项目的思路是使用硬件进行信息的加解密及校验处理。因此,需要对windriver公司的该套软件的总体框架进行相应的调整,使之适合本发明的硬件系统。主要的工作内容是分离其软件实现的密码算法部分,提取出接口函数,便于编写硬件驱动程序,达到用硬件实现密码算法的目的。
本发明DSP使用的是扩展总线,MPC8250所使用的是603总线,两种总线的工作方式、适配逻辑、速度和优先级都不相同,要使其能够通信,则需要进行逻辑转换。如何使两种总线能够快速、有效、可靠的传递数据,也是本发明需要考虑的问题。本发明对两种总线的逻辑变换是使用FPGA来完成的。
在软件方式下,VxWorks的TCP/IP协议栈同BSD的相同,是用mbuf这种方式来处理数据的,所有的数据都在操作系统的内部堆栈处理。现在由DSP对数据进行加解密运算和验证运算,因此需要把数据从操作系统的内存区拷贝到DSP的内存区。能否有效的改进操作系统协议栈,减少数据的搬移量,将对系统性能产生决定性的影响。
如图2所示本发明VPN母板模块框图总体:
·32位MPC8250通讯处理器,外部频率66MHz,内部频率133MHz,通讯处理模块频率133MHz,带PCI主机桥(或Local Bus)。
·在60X总线上有64MByte,未缓存的SDRAM。用MPC8250上面的SDRAM控制器1驱动。最大支持128MByte的SDRAM(需要更换板上的内存片)。
·在60X总线上有8MByte的Flash。最大支持16MByte的Flash。用MPC8250上的GPCM控制器驱动,最大支持16MByte(需要更换板上的Flash片),+3.3V编程。
·支持通过JTAG快速下载
·一个LOCAL BUS自定义插槽(当不用PCI接口时)。
·PCI总线支持PCI2.2规范
·32位,3.3V支持2PCI插槽。
·PCI总线支持25-66MHz @ 3.3V器件
·3个100MHz以太网口。在FCC1,FCC2,FCC3上有100/10-Base-T端口,用带MII接口的Level-One LXT972驱动。
·在SMC1和SMC2上支持双RS232接口。
·ATX标准电源供电,或其他开关电源。
·32bit TMS320C6202信号处理器,外频66MHz,内部频率133MHz,带扩展总线(Exp Bus)。
·在扩展总线上有16MByte,未缓存的SDRAM(需要可更换内存片)。
·60X总线与扩展总线逻辑转换接口(FPGA)。
如图1所示本发明VPN子板的模块框图总体:
·在多通道缓冲串口上有随机函数发生器,加密芯片(国密办提供)
·在数据和地址总线上有8MByte的Flash(需要更换板上的Flash片),+3.3V编程。
·加密算法模块与DSP总线逻辑接口(FPGA)。
如图4所示本发明DSP和POWER PC间的连接方式:
XPC8250将需要加密的数据放入SDRAM中,并通过和FPGA相连的控制总线通知FPGA数据以发送。FPGA得到控制信号后,读取SDRAM中的数据,完成相应的逻辑转换把数据送达TMI320C6202/加密卡。TMI320C6202/加密卡完成需要的加解密工作后,把加/解密后的数据返回给FPGA,由FPGA完成逻辑转换,数据送到SDRAM,控制信号送给XPC8250,XPC8250从SDRAM中读取由DSP处理后的数据,最后完成相应的协议操作。在外扩了专用加密子卡后,则可绕过DSP,直接由加密子卡来完成对数据的加/解密。
如图3所示本发明软件总体设计:
IPSec安全网关对IP报文的接收、转发和发送处理的整个过程如图所示。当安全网关的网卡接收的数据报时,通过中断触发内核的中断处理程序,将网卡接收的数据报传送到内核空间,然后再通过IP层预处理程序将数据报转换为IP包。此时,本发明将IP包传送到IPSec进入策略处理模块。该模块将决定哪些包可以进入安全网关,哪些包需要丢弃。对于允许进入网关的IP包,将送回到路由处理模块。路由处理根据IP头决定IP包是发送到本机还是继续转发。对于发送到本机的IP包,首先经过内核对IP包的处理,如:分片重组、选项处理等等。然后重组的IP包传送到IPSec进入处理模块。IPSec进入处理模块将对IPSec包和非IPSec包进行区分,对于发往本机的非IPSec包将直接传送到传输层处理模块;对于IPSec包将进行认证或解密等IPSec处理,并剥去IPSec头。处理完后,将重新组装成IP包发回到IP层预处理模块。这样该IP包将重新通过路由来决定发往何处。对于转发的IP包,首先进行转发处理,如:决定下一跳、减少TTL、对某些特殊情况发送ICMP包。然后,将IP包传送到外出IPSec外出处理模块。IPSec处理将根据策略区分IPSec包、非IPSec包以及包发往何处。对于IPSec包将丢弃。对于发往内部网的非IPSec包,直接将包传送给发送处理模块,发往内部网。对于发往外部网的IP包,将根据策略进行认证或加密等IPSec处理,最后将处理过的IP包传送到发送处理模块。对于从安全网关传输层发送的报文,首先进行本地的IP包处理,构建IP包。然后对IP包进行路由,决定IP包的出口。路由之后将IP包传送到IPSec外出处理模块。IPSec外出处理将根据策略决定那些包需要进行IPSec处理。对于不需要处理的IP包,直接传送到发送处理模块。对于需要进行IPSec处理的IP包,将根据策略进行认证或加密等IPSec处理,然后将IPSec包重新发回到路由处理模块,决定IPSec包将发往何处,IPSec外出处理将通过策略将处理过的IP包直接传送到发送处理模块。发送处理模块将进行分片等处理,最后将包发送到网卡。
本发明的主要技术指标与功能如下:
·通信处理能力:
·VPN(虚拟专用网)并发连接数:
·支持MD5、SHA-1 hash算法,支持DES、3DES加密算法,支持专用
加密算法
·3个100Base-TX(RJ45口)
·VPN实现方式:IPsec
·路由功能:静态路由
·配置方式:用户配置程序、Telnet、控制台
Claims (4)
1、一种利用DSP处理IPsec安全协议中加/解密的系统,由一款通信处理器及外围电路构成,其特征在于:在通信处理器上通过总线转换器还连接有一个DSP加/解密芯片,DSP加/解密芯片上连接有加解密卡。
2、如权利要求1所述的利用DSP处理IPsec安全协议中加/解密的系统,其特征在于:通信处理器上还连接有至少一个以上的PCI插槽。
3、如权利要求1所述的利用DSP处理IPsec安全协议中加/解密的系统,其特征在于:通信处理器是摩托罗拉公司的MPC8250。
4、如权利要求1所述的利用DSP处理IPsec安全协议中加/解密的系统,其特征在于:DSP选用的是TI公司的定点DSP芯片TMS320C6202。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA031253350A CN1492317A (zh) | 2003-08-27 | 2003-08-27 | 一种利用DSP处理IPSec安全协议中加/解密的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA031253350A CN1492317A (zh) | 2003-08-27 | 2003-08-27 | 一种利用DSP处理IPSec安全协议中加/解密的系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1492317A true CN1492317A (zh) | 2004-04-28 |
Family
ID=34239607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA031253350A Pending CN1492317A (zh) | 2003-08-27 | 2003-08-27 | 一种利用DSP处理IPSec安全协议中加/解密的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1492317A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102999731A (zh) * | 2012-11-20 | 2013-03-27 | 成都卫士通信息产业股份有限公司 | 一种基于双核处理器的安全通信方法及系统 |
| CN104038399A (zh) * | 2013-03-08 | 2014-09-10 | 成都艺创科技有限公司 | 基于dsp的总线适配器 |
| CN105610790A (zh) * | 2015-12-17 | 2016-05-25 | 武汉邮电科学研究院 | IPSec加密卡与CPU协同的用户面数据处理方法 |
| CN105704122A (zh) * | 2016-01-08 | 2016-06-22 | 北京北方烽火科技有限公司 | 一种路由加密系统 |
| CN106507349A (zh) * | 2016-10-13 | 2017-03-15 | 山东康威通信技术股份有限公司 | 一种软硬件结合的嵌入式终端加密系统及加密方法 |
| CN109460680A (zh) * | 2018-10-30 | 2019-03-12 | 天津津航计算技术研究所 | 一种基于pci总线的硬件加解密实现方法及硬件加密板卡 |
-
2003
- 2003-08-27 CN CNA031253350A patent/CN1492317A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102999731A (zh) * | 2012-11-20 | 2013-03-27 | 成都卫士通信息产业股份有限公司 | 一种基于双核处理器的安全通信方法及系统 |
| CN102999731B (zh) * | 2012-11-20 | 2015-09-30 | 成都卫士通信息产业股份有限公司 | 一种基于双核处理器的安全通信方法及系统 |
| CN104038399A (zh) * | 2013-03-08 | 2014-09-10 | 成都艺创科技有限公司 | 基于dsp的总线适配器 |
| CN105610790A (zh) * | 2015-12-17 | 2016-05-25 | 武汉邮电科学研究院 | IPSec加密卡与CPU协同的用户面数据处理方法 |
| CN105610790B (zh) * | 2015-12-17 | 2019-01-18 | 武汉邮电科学研究院有限公司 | IPSec加密卡与CPU协同的用户面数据处理方法 |
| CN105704122A (zh) * | 2016-01-08 | 2016-06-22 | 北京北方烽火科技有限公司 | 一种路由加密系统 |
| CN105704122B (zh) * | 2016-01-08 | 2018-12-18 | 北京北方烽火科技有限公司 | 一种路由加密系统 |
| CN106507349A (zh) * | 2016-10-13 | 2017-03-15 | 山东康威通信技术股份有限公司 | 一种软硬件结合的嵌入式终端加密系统及加密方法 |
| CN106507349B (zh) * | 2016-10-13 | 2019-12-10 | 山东康威通信技术股份有限公司 | 一种软硬件结合的嵌入式终端加密系统及加密方法 |
| CN109460680A (zh) * | 2018-10-30 | 2019-03-12 | 天津津航计算技术研究所 | 一种基于pci总线的硬件加解密实现方法及硬件加密板卡 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11824683B2 (en) | Data processing unit for compute nodes and storage nodes | |
| Han et al. | PacketShader: a GPU-accelerated software router | |
| US11703933B2 (en) | Remote register updates | |
| EP1896943B1 (en) | Offload stack for network, block and file input and output | |
| US7685254B2 (en) | Runtime adaptable search processor | |
| CN1702593A (zh) | 安全芯片 | |
| CN102724035B (zh) | 一种加密卡的加解密方法 | |
| US20090217369A1 (en) | Method and system for processing packet flows, and computer program product therefor | |
| US20050108518A1 (en) | Runtime adaptable security processor | |
| CN101040256A (zh) | 用于多核处理器的存储指令排序 | |
| Li et al. | DHL: Enabling flexible software network functions with FPGA acceleration | |
| JP2003216591A (ja) | セキュリティ・コプロセッサのためのインターフェース | |
| WO2019083991A1 (en) | SYSTEMS AND METHODS FOR DATA ENCRYPTION AND DECREASING BASED ON PROGRAMMABLE MATERIAL | |
| US20020116644A1 (en) | Adapter card for wirespeed security treatment of communications traffic | |
| CN1492317A (zh) | 一种利用DSP处理IPSec安全协议中加/解密的系统 | |
| CN111903103A (zh) | 使用加密存储器技术的安全虚拟机迁移 | |
| CN210274109U (zh) | 一种支持加密功能的以太网卡装置 | |
| CN102314563A (zh) | 一种计算机硬件体系结构 | |
| CN1405687A (zh) | 高速信息安全处理器 | |
| CN215378951U (zh) | 一种便携式vpn设备及远程访问系统 | |
| CN211378050U (zh) | 一种pcie防火墙 | |
| CN1209705C (zh) | 支持软件安全在线升级的网络设备的产品映象设计方法 | |
| EP1049292A2 (en) | System and method for network monitoring | |
| CN2615756Y (zh) | 一种高速信息安全处理器 | |
| Huang et al. | Research on high-speed network data stream capture based on multi-queue NIC and multi-core processor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |