本发明专利技术公开了一种基于多核网络处理FPGA的硬件平台,包括:协议处理单元,用于完成IP网络的接入、协议解析、数据提取、协议封装;通过多核网络处理器的以太网数据接口接收数据,处理后的数据通过后端FIFO总线接口传输到密码运算单元进行加解密处理。本发明专利技术摈弃传统的“商用CPU主板+PCI/E算法部件”的OEM方式设计,完全自主设计硬件平台,采用“多核网络处理+FPGA”的硬件架构,将通信处理模块、算法运算模块和配置管理模块进行一体化设计,形成一个安全、可靠、稳定的硬件环境,有效防止密码旁路,提高设备的安全可控性和质量稳定性。
A Hardware Platform Based on Multi-core Network Processing FPGA
【技术实现步骤摘要】
一种基于多核网络处理FPGA的硬件平台
本专利技术涉及一种硬件平台,具体是一种基于多核网络处理FPGA的硬件平台。
技术介绍
近年来,我国信息安全产业特别是商用密码产业有了长足的发展,其法规体系逐步趋于完善。国密局陆续指定了一批从事商用密码科研、生产的定点单位和产品销售许可单位,开发生产了一批满足国家部门和行业急需的商用密码产品。国外的产品虽然有的性能指标较高,但都不支持国密算法和国密数据包封装格式,因此并不特别符合国内重要网络信息系统的安全保密要求。而国内的由于所用的硬件(如算法芯片、协处理芯片等)和具体实现的方法及工艺不尽相同,因而在性能指标上各产品之间存在较大差别。在网络信息系统的数据保密安全解决方案中,用户最关心的问题就是数据的安全性和系统的效率性。如果因为安全而明显降低系统的使用、传输性能,用户通常是不愿意接受的。在具有相同安全结构和机制的条件下,速度就成为影响一个产品性能的关键指标。
技术实现思路
本专利技术的目的在于提供一种基于多核网络处理FPGA的硬件平台,以解决上述
技术介绍
中提出的问题。为实现上述目的,本专利技术提供如下技术方案:一种基于多核网络处理FPGA的硬件平台,包括:协议处理单元,用于完成IP网络的接入、协议解析、数据提取、协议封装,通过多核网络处理器的以太网数据接口接收数据,处理后的数据通过后端FIFO总线接口传输到密码运算单元进行加解密处理;密码运算单元由FPGA实现,实现千兆级的数据加解密要求,包括算法的存储、实现和调度处理;FPGA功能逻辑单元包括算法核、封装协议处理和数据收发接口;密码管理单元位于多核网络处理器,对外提供人机操作界面,完成密码资源下载、解析、管理和协商;设备管理单元提供配置管理功能,提供电源管理、散热管理、状态管理服务,对外提供人机接口。作为本专利技术进一步的方案:所述密码运算单元单元采用2片XILINX公司FPGAXC7K160T,1片用于网络通信数据加密处理所需算法实现,1片用于网络通信数据解密处理所需算法实现。作为本专利技术再进一步的方案:所述密码管理单元采用一片多核CPULS1043A处理器,提供硬件运行平台和数据通信接口。与现有技术相比,本专利技术的有益效果是:1.硬件一体化设计:摈弃传统的“商用CPU主板+PCI/E算法部件”的OEM方式设计,完全自主设计硬件平台,采用“多核网络处理+FPGA”的硬件架构,将通信处理模块、算法运算模块和配置管理模块进行一体化设计,形成一个安全、可靠、稳定的硬件环境,有效防止密码旁路,提高设备的安全可控性和质量稳定性;2.密码算法可编程设计:选用高速、大容量FPGA实现算法运算,建立由多个数据运算核组成的运算资源,通过并行处理技术,提升系统整体处理能力,满足高速加密的应用需求。同时,将密码运算和密钥管理在同一芯片内完成,提高设备的安全性和运行稳定性;3.设备通过多核、并行处理技术的设计和应用,在实现系统计算资源的充分合理有效的利用的同时,提升密码系统整体处理能力,解决多通道并行加密问题,满足通信网络高速加密的应用需求。附图说明图1为基于多核网络处理FPGA的硬件平台的多芯片多路算法的流程图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参阅图1,本专利技术实施例中,一种基于多核网络处理FPGA的硬件平台,包括:协议处理单元,用于完成IP网络的接入、协议解析、数据提取、协议封装;通过多核网络处理器的以太网数据接口接收数据,处理后的数据通过后端FIFO总线接口传输到密码运算单元进行加解密处理;密码运算单元由FPGA实现,实现千兆级的数据加解密要求,包括算法的存储、实现和调度处理;FPGA功能逻辑单元包括算法核、封装协议处理和数据收发接口;密码管理单元位于多核网络处理器,对外提供人机操作界面,完成密码资源下载、解析、管理和协商;设备管理单元提供配置管理功能,提供电源管理、散热管理、状态管理服务,对外提供人机接口。所述密码运算单元单元采用2片XILINX公司FPGAXC7K160T,1片用于网络通信数据加密处理所需算法实现,1片用于网络通信数据解密处理所需算法实现。所述密码管理单元采用一片多核CPULS1043A处理器,提供硬件运行平台和数据通信接口。本专利技术采用“多核网络处理器+FPFA”硬件架构,由协议处理单元、密码运算单元、密码管理单元和设备管理单元组成。协议处理单元位于多核网络处理器,主要完成IP网络的接入、协议解析、数据提取、协议封装等功能。通过多核网络处理器的以太网数据接口接收数据,处理后的数据通过后端FIFO总线接口传输到密码运算单元进行加解密处理。密码运算单元由FPGA实现,主要实现千兆级的数据加解密要求,包括算法的存储、实现和调度处理等。单元采用2片XILINX公司FPGAXC7K160T,1片用于网络通信数据加密处理所需算法实现,1片用于网络通信数据解密处理所需算法实现。FPGA功能逻辑单元包括算法核、封装协议处理和数据收发接口等。密码管理单元位于多核网络处理器,为本专利技术管理主机,对外提供人机操作界面,完成密码资源下载、解析、管理和协商等功能。单元硬件为一片多核CPULS1043A处理器,为单元提供硬件运行平台和数据通信接口。单元软件由linux操作系统、密钥管理、密码服务、开机认证和算法加载等模块组成,提供密码、密钥管理服务。设备管理单元位于多核网络处理器,为本专利技术提供配置管理功能,提供电源管理、散热管理、状态管理等服务,对外提供人机接口。单元硬件为一片多核CPULS1043A处理器,为单元提供硬件运行平台和数据通信接口。单元软件由linux操作系统、设备配置管理和系统管理等模块组成,提供设备管理、系统管理和日志审计等功能。本专利技术采取以下措施保障网络通信加密系统的高速、低时延加解密:采用多核处理器进行数据报文处理,通过采用高度优化的并行调度算法最大化地利用了多核CPU的处理能力,提密码机整机的报文处理能力。基于多年的对网络安全的深刻理解,同时深入地研究多核处理器的特点,我们在多核处理器相互之间的兼容性、并行编程、负载均衡以及如何提升多核处理器的整体性能方面进行了大胆的探索和实验,很好地解决了多核并行处理相关的技术难题。我们设计一种改进的JSQ(Join-the-Shortest-Queue)算法,根据核的负载情况动态调整数据在核间的分发。同时将网关的功能模块合理划分,所有核心的处理逻辑都一样,并且每个安全功能都可以在任何一个核上处理,保证同一个数据包在一个CPU核上处理完毕,尽量减少互斥,使得数据在多个核之间处于动态均衡状态,从而实现对数据的高效处理。为实现较高的处理性能,使用多芯片多路算法并行实现密码运算。密码机算法设计充分借鉴并行处理技术的设计理念,建立由多个数据运算核组成的系统运算资源,将高速高容量的业务流按照一定的规律分割成多个子业务流,再通过对系统运算资源分配和使用情况的监控,将各子业务流均衡分配到各个数据运算核中,进行并行处理运算。通过这种并行处理技术,提供系统的整体处理速率,本文档来自技高网...
【技术保护点】
1.一种基于多核网络处理FPGA的硬件平台,其特征在于,包括:协议处理单元,用于完成IP网络的接入、协议解析、数据提取、协议封装,通过多核网络处理器的以太网数据接口接收数据,处理后的数据通过后端FIFO总线接口传输到密码运算单元进行加解密处理;密码运算单元由FPGA实现,实现千兆级的数据加解密要求,包括算法的存储、实现和调度处理;FPGA功能逻辑单元包括算法核、封装协议处理和数据收发接口;密码管理单元位于多核网络处理器,对外提供人机操作界面,完成密码资源下载、解析、管理和协商;设备管理单元提供配置管理功能,提供电源管理、散热管理、状态管理服务,对外提供人机接口。
【技术特征摘要】
1.一种基于多核网络处理FPGA的硬件平台,其特征在于,包括:协议处理单元,用于完成IP网络的接入、协议解析、数据提取、协议封装,通过多核网络处理器的以太网数据接口接收数据,处理后的数据通过后端FIFO总线接口传输到密码运算单元进行加解密处理;密码运算单元由FPGA实现,实现千兆级的数据加解密要求,包括算法的存储、实现和调度处理;FPGA功能逻辑单元包括算法核、封装协议处理和数据收发接口;密码管理单元位于多核网络处理器,对外提供人机操作界面,完成密码资源下载、解析、管理和...
【专利技术属性】
技术研发人员:李元骅,朱云,
申请(专利权)人:北京数盾信息科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。