專利名稱:一種利用DSP處理IPSec安全協(xié)議中加/解密的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于一種計(jì)算機(jī)網(wǎng)絡(luò)IPsec(IP安全)協(xié)議中加/解密系統(tǒng)���,具體地講是一種利用DSP處理IPsec安全協(xié)議中加/解密的系統(tǒng)�����。
背景技術(shù):
IPSec是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議�,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽和篡改�,可以有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性����。IPSec有兩個(gè)基本目標(biāo)1)保護(hù)IP數(shù)據(jù)包安全;2)為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施�。。由于IPsec協(xié)議要求對(duì)數(shù)據(jù)進(jìn)行加密和驗(yàn)證��,其中涉及很大的運(yùn)算量��,如果用軟件方式實(shí)現(xiàn)����,將使CPU把大量的資源的用于計(jì)算,而不能進(jìn)行對(duì)系統(tǒng)資源的調(diào)度及對(duì)協(xié)議的分析和高層處理�����,這樣勢(shì)必會(huì)導(dǎo)致系統(tǒng)性能的下降��,難以達(dá)到高速處理數(shù)據(jù)的目的�����。
發(fā)明內(nèi)容
本發(fā)明的目的是利用DSP(數(shù)字信號(hào)處理器)其運(yùn)算能力可達(dá)2400MIPS�����,其擁有大容量的片內(nèi)存儲(chǔ)器和大范圍的尋址能力�,把通用的微處理器與DSP聯(lián)合使用,用微處理來(lái)完成對(duì)系統(tǒng)資源的管理和對(duì)IPsec協(xié)議的分析處理�,而把加/解密和驗(yàn)證這樣需要大運(yùn)算量的工作交由DSP完成。這樣微處理器和DSP就可以各取所長(zhǎng)����,提高系統(tǒng)的性能,提供一種利用DSP處理IPsec安全協(xié)議中加/解密的系統(tǒng)���,以克服上述的不足���。
為了實(shí)現(xiàn)上述目的,本發(fā)明由一款通信處理器及外圍電路構(gòu)成�,其特點(diǎn)是在通信處理器上通過(guò)總線轉(zhuǎn)換器還連接有一個(gè)DSP加/解密芯片,DSP加/解密芯片上連接有加解密卡����;上述通信處理器上還連接有至少一個(gè)以上的PCI插槽��。
目前的VPN安全網(wǎng)關(guān)普遍采用的是工控機(jī)加加密卡的方式����,使用這種方法成本比較高�����,對(duì)加密卡也不易升級(jí)����。本發(fā)明則采用了摩托羅拉公司的64位微控制器MPC8250和TI公司的DSP處理器TMS320C6202來(lái)實(shí)現(xiàn),可以通過(guò)燒寫flash的方法來(lái)更新DSP的加密算法����,具有較高的靈活性,同時(shí)還可以外擴(kuò)國(guó)秘辦的加密卡����,完成特殊的加密要求;目前的VPN網(wǎng)關(guān)大多采用Linux操作系統(tǒng)��,通過(guò)純軟件方式或?qū)S眉?解密芯片來(lái)完成加/解密����。本發(fā)明則采用可WindRiver公司的VxWorks操作系統(tǒng),并對(duì)其協(xié)議棧進(jìn)行了裁減�,把其中的加/解密部分分離出來(lái)交由DSP處理,在外擴(kuò)了加密卡的情況下��,還可由加密卡來(lái)實(shí)現(xiàn)特殊的加密運(yùn)算���。
圖1為本發(fā)明硬件結(jié)構(gòu)框圖����。
圖2為本發(fā)明總體硬件框圖�����。
圖3為本發(fā)明軟件結(jié)構(gòu)框圖���。
圖4為本發(fā)明DSP加/解密芯片與通信處理器連接框圖�����。
圖5為本發(fā)明的軟件流程圖���。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的描述����,但該實(shí)施例不應(yīng)理解為對(duì)本發(fā)明的限制�。
本發(fā)明的通信處理器采用MPC8250,MPC8250是摩托羅拉公司專為通信和網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的一款32通信處理器���,內(nèi)部集成了多個(gè)用于網(wǎng)絡(luò)和通信功能的外設(shè)控制器�。其為摩托羅拉公司的下一代通信處理器中的主流產(chǎn)品��,在設(shè)備操作的各方面都提供了更高的性能��,包括更強(qiáng)的的靈活性��、可擴(kuò)展能力和更高的集成度�。VxWorks操作系統(tǒng)是美國(guó)WindRiver(風(fēng)河)公司于1983年設(shè)計(jì)開發(fā)的一種嵌入式實(shí)時(shí)操作系統(tǒng)(RTOS),具有工業(yè)領(lǐng)導(dǎo)地位的高性能實(shí)時(shí)操作系統(tǒng)內(nèi)核�����,具有先進(jìn)的網(wǎng)絡(luò)功能��。VxWorks的開放式結(jié)構(gòu)和對(duì)工業(yè)標(biāo)準(zhǔn)的支持��,使得開發(fā)人員易于設(shè)計(jì)高效的嵌入式系統(tǒng)����,并可以很小的工作量移植到其它不同的處理器上�。其具有良好的可靠性���、實(shí)時(shí)性和可裁減性,能在相同的硬件條件下獲得更好的性能�����。本發(fā)明的定點(diǎn)DSP(數(shù)字信號(hào)處理器)處理器采用TMS320C6202��,TMS320C6202是TI(德州儀器)公司推出的32位定點(diǎn)DSP處理器�,芯片內(nèi)部集成了2個(gè)乘法器和6個(gè)算術(shù)運(yùn)算單元,且它們是高度正交的�,使得在一個(gè)周期內(nèi)最大能支持8條32位的指令,其運(yùn)算能力可達(dá)2400MIPS��。其擁有大容量的片內(nèi)存儲(chǔ)器和大范圍的尋址能力�����,片內(nèi)最多集成了512KB程序存儲(chǔ)器和512KB數(shù)據(jù)存儲(chǔ)器��,并擁有32位外部存儲(chǔ)器界面����。
本發(fā)明選擇的微控制器是摩托羅拉公司的MPC8250����,這款芯片是專門為通信系統(tǒng)設(shè)計(jì)的�,具有較高的性能和較低的功耗。其內(nèi)部集成了高性能的G2(603e)微處理器和多個(gè)外設(shè)控制器�,內(nèi)部的系統(tǒng)接口單元(SIU)提供了一個(gè)靈活的存儲(chǔ)控制器,能方便的與用戶定義的存儲(chǔ)設(shè)備和外設(shè)相連接�。內(nèi)部集成了三個(gè)高性能的通信通道,可以支持10/100以太網(wǎng)�,Transparent和HDLC。使用MPC8250不需要其他的外設(shè)控制器����,能夠獲得更高的性能、更好的穩(wěn)定性和更低的功耗��,滿足本發(fā)明設(shè)計(jì)的需要���。在其上運(yùn)行VxWorks實(shí)時(shí)嵌入式操作系統(tǒng)�����,完成VPN系統(tǒng)實(shí)現(xiàn)����、網(wǎng)絡(luò)通訊、系統(tǒng)監(jiān)控等任務(wù)����。
本發(fā)明DSP選用的是TI公司的定點(diǎn)DSP芯片TMS320C6202,該DSP內(nèi)部集成了2個(gè)乘法器和6個(gè)算術(shù)運(yùn)算單元����,最高運(yùn)算速度可達(dá)2400MIPS��。其上運(yùn)行的是運(yùn)行的是TI的CCS實(shí)時(shí)開發(fā)系統(tǒng)�,完成數(shù)據(jù)包的加解密算法處理及傳遞等工作。
本發(fā)明使用的操作系統(tǒng)是WindRiver公司的嵌入式實(shí)時(shí)操作系統(tǒng)VxWorks���,該公司同時(shí)提供了IPsec/IKE的源代碼�����。該系統(tǒng)是以軟件的方式完成對(duì)數(shù)據(jù)的加密�,本項(xiàng)目的思路是使用硬件進(jìn)行信息的加解密及校驗(yàn)處理�����。因此,需要對(duì)windriver公司的該套軟件的總體框架進(jìn)行相應(yīng)的調(diào)整����,使之適合本發(fā)明的硬件系統(tǒng)。主要的工作內(nèi)容是分離其軟件實(shí)現(xiàn)的密碼算法部分����,提取出接口函數(shù),便于編寫硬件驅(qū)動(dòng)程序��,達(dá)到用硬件實(shí)現(xiàn)密碼算法的目的���。
本發(fā)明DSP使用的是擴(kuò)展總線����,MPC8250所使用的是603總線�����,兩種總線的工作方式��、適配邏輯�����、速度和優(yōu)先級(jí)都不相同,要使其能夠通信�����,則需要進(jìn)行邏輯轉(zhuǎn)換�����。如何使兩種總線能夠快速���、有效����、可靠的傳遞數(shù)據(jù)�,也是本發(fā)明需要考慮的問(wèn)題��。本發(fā)明對(duì)兩種總線的邏輯變換是使用FPGA來(lái)完成的���。
在軟件方式下�����,VxWorks的TCP/IP協(xié)議棧同BSD的相同���,是用mbuf這種方式來(lái)處理數(shù)據(jù)的����,所有的數(shù)據(jù)都在操作系統(tǒng)的內(nèi)部堆棧處理?��,F(xiàn)在由DSP對(duì)數(shù)據(jù)進(jìn)行加解密運(yùn)算和驗(yàn)證運(yùn)算���,因此需要把數(shù)據(jù)從操作系統(tǒng)的內(nèi)存區(qū)拷貝到DSP的內(nèi)存區(qū)。能否有效的改進(jìn)操作系統(tǒng)協(xié)議棧�,減少數(shù)據(jù)的搬移量,將對(duì)系統(tǒng)性能產(chǎn)生決定性的影響�����。
如圖2所示本發(fā)明VPN母板模塊框圖總體·32位MPC8250通訊處理器���,外部頻率66MHz�����,內(nèi)部頻率133MHz���,通訊處理模塊頻率133MHz�,帶PCI主機(jī)橋(或Local Bus)�����。
·在60X總線上有64MByte���,未緩存的SDRAM���。用MPC8250上面的SDRAM控制器1驅(qū)動(dòng)。最大支持128MByte的SDRAM(需要更換板上的內(nèi)存片)�����。
·在60X總線上有8MByte的Flash��。最大支持16MByte的Flash�����。用MPC8250上的GPCM控制器驅(qū)動(dòng)���,最大支持16MByte(需要更換板上的Flash片)����,+3.3V編程�。
·支持通過(guò)JTAG快速下載·一個(gè)LOCAL BUS自定義插槽(當(dāng)不用PCI接口時(shí))。
·PCI總線支持PCI2.2規(guī)范·32位��,3.3V支持2PCI插槽����。
·PCI總線支持25-66MHz @ 3.3V器件·3個(gè)100MHz以太網(wǎng)口。在FCC1��,F(xiàn)CC2�����,F(xiàn)CC3上有100/10-Base-T端口����,用帶MII接口的Level-One LXT972驅(qū)動(dòng)。
·在SMC1和SMC2上支持雙RS232接口��。
·ATX標(biāo)準(zhǔn)電源供電�����,或其他開關(guān)電源。
·32bit TMS320C6202信號(hào)處理器���,外頻66MHz�����,內(nèi)部頻率133MHz��,帶擴(kuò)展總線(Exp Bus)����。
·在擴(kuò)展總線上有16MByte��,未緩存的SDRAM(需要可更換內(nèi)存片)����。
·60X總線與擴(kuò)展總線邏輯轉(zhuǎn)換接口(FPGA)。
如圖1所示本發(fā)明VPN子板的模塊框圖總體·在多通道緩沖串口上有隨機(jī)函數(shù)發(fā)生器��,加密芯片(國(guó)密辦提供)
·在數(shù)據(jù)和地址總線上有8MByte的Flash(需要更換板上的Flash片)�����,+3.3V編程�����。
·加密算法模塊與DSP總線邏輯接口(FPGA)���。
如圖4所示本發(fā)明DSP和POWER PC間的連接方式XPC8250將需要加密的數(shù)據(jù)放入SDRAM中�,并通過(guò)和FPGA相連的控制總線通知FPGA數(shù)據(jù)以發(fā)送���。FPGA得到控制信號(hào)后�,讀取SDRAM中的數(shù)據(jù)����,完成相應(yīng)的邏輯轉(zhuǎn)換把數(shù)據(jù)送達(dá)TMI320C6202/加密卡。TMI320C6202/加密卡完成需要的加解密工作后��,把加/解密后的數(shù)據(jù)返回給FPGA����,由FPGA完成邏輯轉(zhuǎn)換,數(shù)據(jù)送到SDRAM���,控制信號(hào)送給XPC8250�,XPC8250從SDRAM中讀取由DSP處理后的數(shù)據(jù)�����,最后完成相應(yīng)的協(xié)議操作。在外擴(kuò)了專用加密子卡后����,則可繞過(guò)DSP,直接由加密子卡來(lái)完成對(duì)數(shù)據(jù)的加/解密����。
如圖3所示本發(fā)明軟件總體設(shè)計(jì)IPSec安全網(wǎng)關(guān)對(duì)IP報(bào)文的接收、轉(zhuǎn)發(fā)和發(fā)送處理的整個(gè)過(guò)程如圖所示����。當(dāng)安全網(wǎng)關(guān)的網(wǎng)卡接收的數(shù)據(jù)報(bào)時(shí),通過(guò)中斷觸發(fā)內(nèi)核的中斷處理程序��,將網(wǎng)卡接收的數(shù)據(jù)報(bào)傳送到內(nèi)核空間�,然后再通過(guò)IP層預(yù)處理程序?qū)?shù)據(jù)報(bào)轉(zhuǎn)換為IP包。此時(shí)�,本發(fā)明將IP包傳送到IPSec進(jìn)入策略處理模塊。該模塊將決定哪些包可以進(jìn)入安全網(wǎng)關(guān)����,哪些包需要丟棄。對(duì)于允許進(jìn)入網(wǎng)關(guān)的IP包,將送回到路由處理模塊�����。路由處理根據(jù)IP頭決定IP包是發(fā)送到本機(jī)還是繼續(xù)轉(zhuǎn)發(fā)�。對(duì)于發(fā)送到本機(jī)的IP包�����,首先經(jīng)過(guò)內(nèi)核對(duì)IP包的處理�,如分片重組、選項(xiàng)處理等等�����。然后重組的IP包傳送到IPSec進(jìn)入處理模塊��。IPSec進(jìn)入處理模塊將對(duì)IPSec包和非IPSec包進(jìn)行區(qū)分����,對(duì)于發(fā)往本機(jī)的非IPSec包將直接傳送到傳輸層處理模塊;對(duì)于IPSec包將進(jìn)行認(rèn)證或解密等IPSec處理�����,并剝?nèi)PSec頭。處理完后����,將重新組裝成IP包發(fā)回到IP層預(yù)處理模塊。這樣該IP包將重新通過(guò)路由來(lái)決定發(fā)往何處�����。對(duì)于轉(zhuǎn)發(fā)的IP包���,首先進(jìn)行轉(zhuǎn)發(fā)處理����,如決定下一跳���、減少TTL��、對(duì)某些特殊情況發(fā)送ICMP包�����。然后�,將IP包傳送到外出IPSec外出處理模塊���。IPSec處理將根據(jù)策略區(qū)分IPSec包�����、非IPSec包以及包發(fā)往何處�。對(duì)于IPSec包將丟棄。對(duì)于發(fā)往內(nèi)部網(wǎng)的非IPSec包���,直接將包傳送給發(fā)送處理模塊,發(fā)往內(nèi)部網(wǎng)���。對(duì)于發(fā)往外部網(wǎng)的IP包�����,將根據(jù)策略進(jìn)行認(rèn)證或加密等IPSec處理�����,最后將處理過(guò)的IP包傳送到發(fā)送處理模塊��。對(duì)于從安全網(wǎng)關(guān)傳輸層發(fā)送的報(bào)文����,首先進(jìn)行本地的IP包處理,構(gòu)建IP包���。然后對(duì)IP包進(jìn)行路由��,決定IP包的出口。路由之后將IP包傳送到IPSec外出處理模塊���。IPSec外出處理將根據(jù)策略決定那些包需要進(jìn)行IPSec處理�。對(duì)于不需要處理的IP包,直接傳送到發(fā)送處理模塊。對(duì)于需要進(jìn)行IPSec處理的IP包�,將根據(jù)策略進(jìn)行認(rèn)證或加密等IPSec處理��,然后將IPSec包重新發(fā)回到路由處理模塊�����,決定IPSec包將發(fā)往何處��,IPSec外出處理將通過(guò)策略將處理過(guò)的IP包直接傳送到發(fā)送處理模塊�。發(fā)送處理模塊將進(jìn)行分片等處理�,最后將包發(fā)送到網(wǎng)卡���。
本發(fā)明的主要技術(shù)指標(biāo)與功能如下·通信處理能力·VPN(虛擬專用網(wǎng))并發(fā)連接數(shù)·支持MD5���、SHA-1 hash算法����,支持DES����、3DES加密算法,支持專用加密算法·3個(gè)100Base-TX(RJ45口)·VPN實(shí)現(xiàn)方式IPsec·路由功能靜態(tài)路由·配置方式用戶配置程序����、Telnet、控制臺(tái)
權(quán)利要求
1.一種利用DSP處理IPsec安全協(xié)議中加/解密的系統(tǒng)��,由一款通信處理器及外圍電路構(gòu)成����,其特征在于在通信處理器上通過(guò)總線轉(zhuǎn)換器還連接有一個(gè)DSP加/解密芯片�,DSP加/解密芯片上連接有加解密卡�。
2.如權(quán)利要求1所述的利用DSP處理IPsec安全協(xié)議中加/解密的系統(tǒng)�,其特征在于通信處理器上還連接有至少一個(gè)以上的PCI插槽。
3.如權(quán)利要求1所述的利用DSP處理IPsec安全協(xié)議中加/解密的系統(tǒng),其特征在于通信處理器是摩托羅拉公司的MPC8250�����。
4.如權(quán)利要求1所述的利用DSP處理IPsec安全協(xié)議中加/解密的系統(tǒng)��,其特征在于DSP選用的是TI公司的定點(diǎn)DSP芯片TMS320C6202���。
全文摘要
本發(fā)明涉及一種利用DSP處理IPsec安全協(xié)議中加/解密的系統(tǒng)�����,由一款通信處理器及外圍電路構(gòu)成���,其特點(diǎn)是在通信處理器上通過(guò)總線轉(zhuǎn)換器還連接有一個(gè)DSP加/解密芯片,DSP加/解密芯片上連接有加解密卡���;上述通信處理器上還連接有至少一個(gè)以上的PCI插槽�����。本發(fā)明則采用了摩托羅拉公司的64位微控制器MPC8250和TI公司的DSP處理器TMS320C6202來(lái)實(shí)現(xiàn),可以通過(guò)燒寫flash的方法來(lái)更新DSP的加密算法�����,具有較高的靈活性,同時(shí)還可以外擴(kuò)國(guó)秘辦的加密卡����,完成特殊的加密要求。
文檔編號(hào)G06F9/22GK1492317SQ0312533
公開日2004年4月28日 申請(qǐng)日期2003年8月27日 優(yōu)先權(quán)日2003年8月27日
發(fā)明者周祖德, 劉泉, 李方敏, 叢力群, 徐成 申請(qǐng)人:武漢理工大學(xué), 上海寶信軟件股份有限公司