【摘要】：隨著100Gbps主干網(wǎng)的建成和單通道10Gbps高速通信接口普及，大數(shù)據(jù)時代下安全可控的高性能網(wǎng)絡安全設備成為保障網(wǎng)絡信息安全的基石�，F(xiàn)狀是網(wǎng)絡安全設備的性能遠遠落后于高速網(wǎng)絡安全的需求。自主研發(fā)設備中的核心芯片單通道10Gbps在線網(wǎng)絡安全處理器已十分迫切。 論文設計實現(xiàn)了一種單通道10Gbps在線網(wǎng)絡安全處理器，集成了10Gbps以太網(wǎng)數(shù)據(jù)傳輸、IPSec網(wǎng)絡安全協(xié)議處理和密碼算法運算。提出了一種新型單通道10Gps在線網(wǎng)絡安全處理器結(jié)構(gòu)，解決了單通道10Gbps高速數(shù)據(jù)傳輸和網(wǎng)絡安全協(xié)議處理中的一系列關(guān)鍵技術(shù)。 提出了一種基于流水線的交叉開關(guān)雙總線數(shù)據(jù)傳輸通路，解決了傳統(tǒng)共享總線數(shù)據(jù)傳輸瓶頸，傳輸速率達到16Gbps，并通過改進交叉開關(guān)中的iSLIP調(diào)度算法，實現(xiàn)了對可變長度以太網(wǎng)數(shù)據(jù)包的高效調(diào)度，片上資源利用率達到86.6%；提出了一種基于中斷的共享式緩存加分布式緩存的高速數(shù)據(jù)緩沖和隊列調(diào)度機制，大幅降低了單通道10Gbps在線數(shù)據(jù)收發(fā)中的丟包率，并實現(xiàn)了對可變長度數(shù)據(jù)包的均衡分配；提出了一種數(shù)據(jù)庫快速在線查找方法，并通過優(yōu)化數(shù)據(jù)庫存儲格式減少了查表步驟，使得查表速度達到11.9Gbps，滿足了10Gbps高速查表需求，同時省去了TCAM存儲單元，減小了功耗和面積；提出了一種密碼算法片外可擴展策略，實現(xiàn)了片外專用密碼算法可替代片內(nèi)通用密碼算法的功能。 論文完成了單通道10Gbps在線網(wǎng)絡安全處理器整個結(jié)構(gòu)的硬件設計和仿真驗證，并基于SMIC65nm CMOS工藝，對結(jié)構(gòu)中的核心部分進行了流片驗證，該芯片主要集成了單通道10Gbps高速串口，16個IPSec AH協(xié)議處理模塊，16個HMAC-SHA-1認證算法模塊及控制器，芯片面積2.4x3.1mm2，規(guī)模370萬門。在自主設計的測試平臺上完成了芯片測試，測試結(jié)果表明，單通道10Gbps高速串口在10Gbps傳輸速率及PRBS27-1前提下，誤碼率達到10-13；IPSec協(xié)議處理與密碼算法組成的異質(zhì)多核部分在200MHz工作頻率下，IPSec AH協(xié)議傳輸模式下的數(shù)據(jù)吞吐率能夠滿足10Gbps在線網(wǎng)絡安全處理器的要求。另外，對所有關(guān)鍵子模塊完成了FPGA功能驗證。綜合測試驗證結(jié)果，本論文設計的單通道10Gbps在線網(wǎng)絡安全處理器結(jié)構(gòu)設計是正確和可行的，并且能夠滿足10Gbps以太網(wǎng)在線網(wǎng)絡安全的應用要求。
【圖文】：

實現(xiàn)上述技術(shù)的網(wǎng)絡安全設備主要有防火墻，路由器，入侵檢測/防御系統(tǒng)（IDS:Intrusion Detection Systems/IPS: Intrusion Prevention System）等。圖1.1 網(wǎng)絡安全技術(shù)體系網(wǎng)絡安全保障體系通過核心網(wǎng)，接入網(wǎng)和局域網(wǎng)三個層面構(gòu)建，網(wǎng)絡安全設備作為網(wǎng)絡安全硬件解決方案部署在上述三個層面，形成層次化防護來保障網(wǎng)絡信息的安全。圖 1.2 展示了一個由網(wǎng)絡安全設備構(gòu)架的典型網(wǎng)絡安全保障體系。體系中根據(jù)網(wǎng)絡安全設備在網(wǎng)絡互連中的位置，，分為核心網(wǎng)安全設備（幀中繼，ATM，高速信道等安全設備），接入安全設備（IP 安全設備，防火墻），局域網(wǎng)安全設備（安全服務器，安全終端?

切性的機遇，開發(fā)和制造具有自主知識產(chǎn)權(quán)的高性能網(wǎng)絡安全處理器，不但是國家戰(zhàn)略層面對網(wǎng)絡安全的需要，更是網(wǎng)絡安全市場的需求。圖1.2 典型網(wǎng)絡安全保障體系表 1.1 網(wǎng)絡安全設備應用需求網(wǎng)絡安全的實施通常通過三種方式，第一種是將網(wǎng)絡安全技術(shù)應用到通用操作應用層面網(wǎng)絡安全設備需求應用領域性能 靈活性局域網(wǎng) 低 高 安全服務器，安全終端接入網(wǎng) 中 中 防火墻，IP 安全設備核心網(wǎng) 高 低 核心路由器
【學位授予單位】：清華大學
【學位級別】：博士
【學位授予年份】：2014
【分類號】：TP332;TN915.08

【參考文獻】

相關(guān)期刊論文 前6條

1 孫寧;張興明;朱珂;;IPSec安全策略數(shù)據(jù)庫研究及其硬件實現(xiàn)方案[J];電信科學;2008年03期

2 李鳴亞;鄒曉峰;;對AES算法硬件實現(xiàn)的面積優(yōu)化的研究[J];電腦知識與技術(shù)(學術(shù)交流);2007年22期

3 謝孝青;高琳;;基于結(jié)構(gòu)共享和多級流水線的AES算法硬件實現(xiàn)[J];電子科技;2009年03期

4 ;多核技術(shù)開創(chuàng)萬兆安全新時代[J];計算機安全;2008年12期

5 柯向東 ,黃建華;基于TCAM的IPSec快速查找技術(shù)[J];微計算機信息;2005年14期

6 姚W

本文編號：2694789