【摘要】：隨著100Gbps主干網(wǎng)的建成和單通道10Gbps高速通信接口普及，大數(shù)據(jù)時(shí)代下安全可控的高性能網(wǎng)絡(luò)安全設(shè)備成為保障網(wǎng)絡(luò)信息安全的基石�，F(xiàn)狀是網(wǎng)絡(luò)安全設(shè)備的性能遠(yuǎn)遠(yuǎn)落后于高速網(wǎng)絡(luò)安全的需求。自主研發(fā)設(shè)備中的核心芯片單通道10Gbps在線網(wǎng)絡(luò)安全處理器已十分迫切。 論文設(shè)計(jì)實(shí)現(xiàn)了一種單通道10Gbps在線網(wǎng)絡(luò)安全處理器，集成了10Gbps以太網(wǎng)數(shù)據(jù)傳輸、IPSec網(wǎng)絡(luò)安全協(xié)議處理和密碼算法運(yùn)算。提出了一種新型單通道10Gps在線網(wǎng)絡(luò)安全處理器結(jié)構(gòu)，解決了單通道10Gbps高速數(shù)據(jù)傳輸和網(wǎng)絡(luò)安全協(xié)議處理中的一系列關(guān)鍵技術(shù)。 提出了一種基于流水線的交叉開關(guān)雙總線數(shù)據(jù)傳輸通路，解決了傳統(tǒng)共享總線數(shù)據(jù)傳輸瓶頸，傳輸速率達(dá)到16Gbps，并通過改進(jìn)交叉開關(guān)中的iSLIP調(diào)度算法，實(shí)現(xiàn)了對(duì)可變長度以太網(wǎng)數(shù)據(jù)包的高效調(diào)度，片上資源利用率達(dá)到86.6%；提出了一種基于中斷的共享式緩存加分布式緩存的高速數(shù)據(jù)緩沖和隊(duì)列調(diào)度機(jī)制，大幅降低了單通道10Gbps在線數(shù)據(jù)收發(fā)中的丟包率，并實(shí)現(xiàn)了對(duì)可變長度數(shù)據(jù)包的均衡分配；提出了一種數(shù)據(jù)庫快速在線查找方法，并通過優(yōu)化數(shù)據(jù)庫存儲(chǔ)格式減少了查表步驟，使得查表速度達(dá)到11.9Gbps，滿足了10Gbps高速查表需求，同時(shí)省去了TCAM存儲(chǔ)單元，減小了功耗和面積；提出了一種密碼算法片外可擴(kuò)展策略，實(shí)現(xiàn)了片外專用密碼算法可替代片內(nèi)通用密碼算法的功能。 論文完成了單通道10Gbps在線網(wǎng)絡(luò)安全處理器整個(gè)結(jié)構(gòu)的硬件設(shè)計(jì)和仿真驗(yàn)證，并基于SMIC65nm CMOS工藝，對(duì)結(jié)構(gòu)中的核心部分進(jìn)行了流片驗(yàn)證，該芯片主要集成了單通道10Gbps高速串口，16個(gè)IPSec AH協(xié)議處理模塊，16個(gè)HMAC-SHA-1認(rèn)證算法模塊及控制器，芯片面積2.4x3.1mm2，規(guī)模370萬門。在自主設(shè)計(jì)的測(cè)試平臺(tái)上完成了芯片測(cè)試，測(cè)試結(jié)果表明，單通道10Gbps高速串口在10Gbps傳輸速率及PRBS27-1前提下，誤碼率達(dá)到10-13；IPSec協(xié)議處理與密碼算法組成的異質(zhì)多核部分在200MHz工作頻率下，IPSec AH協(xié)議傳輸模式下的數(shù)據(jù)吞吐率能夠滿足10Gbps在線網(wǎng)絡(luò)安全處理器的要求。另外，對(duì)所有關(guān)鍵子模塊完成了FPGA功能驗(yàn)證。綜合測(cè)試驗(yàn)證結(jié)果，本論文設(shè)計(jì)的單通道10Gbps在線網(wǎng)絡(luò)安全處理器結(jié)構(gòu)設(shè)計(jì)是正確和可行的，并且能夠滿足10Gbps以太網(wǎng)在線網(wǎng)絡(luò)安全的應(yīng)用要求。
【圖文】：

實(shí)現(xiàn)上述技術(shù)的網(wǎng)絡(luò)安全設(shè)備主要有防火墻，路由器，入侵檢測(cè)/防御系統(tǒng)（IDS:Intrusion Detection Systems/IPS: Intrusion Prevention System）等。圖1.1 網(wǎng)絡(luò)安全技術(shù)體系網(wǎng)絡(luò)安全保障體系通過核心網(wǎng)，接入網(wǎng)和局域網(wǎng)三個(gè)層面構(gòu)建，網(wǎng)絡(luò)安全設(shè)備作為網(wǎng)絡(luò)安全硬件解決方案部署在上述三個(gè)層面，形成層次化防護(hù)來保障網(wǎng)絡(luò)信息的安全。圖 1.2 展示了一個(gè)由網(wǎng)絡(luò)安全設(shè)備構(gòu)架的典型網(wǎng)絡(luò)安全保障體系。體系中根據(jù)網(wǎng)絡(luò)安全設(shè)備在網(wǎng)絡(luò)互連中的位置，，分為核心網(wǎng)安全設(shè)備（幀中繼，ATM，高速信道等安全設(shè)備），接入安全設(shè)備（IP 安全設(shè)備，防火墻），局域網(wǎng)安全設(shè)備（安全服務(wù)器，安全終端?

切性的機(jī)遇，開發(fā)和制造具有自主知識(shí)產(chǎn)權(quán)的高性能網(wǎng)絡(luò)安全處理器，不但是國家戰(zhàn)略層面對(duì)網(wǎng)絡(luò)安全的需要，更是網(wǎng)絡(luò)安全市場(chǎng)的需求。圖1.2 典型網(wǎng)絡(luò)安全保障體系表 1.1 網(wǎng)絡(luò)安全設(shè)備應(yīng)用需求網(wǎng)絡(luò)安全的實(shí)施通常通過三種方式，第一種是將網(wǎng)絡(luò)安全技術(shù)應(yīng)用到通用操作應(yīng)用層面網(wǎng)絡(luò)安全設(shè)備需求應(yīng)用領(lǐng)域性能 靈活性局域網(wǎng) 低 高 安全服務(wù)器，安全終端接入網(wǎng) 中 中 防火墻，IP 安全設(shè)備核心網(wǎng) 高 低 核心路由器
【學(xué)位授予單位】：清華大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP332;TN915.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前6條

1 孫寧;張興明;朱珂;;IPSec安全策略數(shù)據(jù)庫研究及其硬件實(shí)現(xiàn)方案[J];電信科學(xué);2008年03期

2 李鳴亞;鄒曉峰;;對(duì)AES算法硬件實(shí)現(xiàn)的面積優(yōu)化的研究[J];電腦知識(shí)與技術(shù)(學(xué)術(shù)交流);2007年22期

3 謝孝青;高琳;;基于結(jié)構(gòu)共享和多級(jí)流水線的AES算法硬件實(shí)現(xiàn)[J];電子科技;2009年03期

4 ;多核技術(shù)開創(chuàng)萬兆安全新時(shí)代[J];計(jì)算機(jī)安全;2008年12期

5 柯向東 ,黃建華;基于TCAM的IPSec快速查找技術(shù)[J];微計(jì)算機(jī)信息;2005年14期

6 姚W

本文編號(hào)：2694789