基于TCP/IP卸载引擎的量子密钥分发片上系统技术方案

本实用新型专利技术公开了一种基于TCP/IP卸载引擎的量子密钥分发片上系统，其包括量子域和网络域。量子域用于进行有关量子密钥的数据处理，其包括通过AHB总线实现数据连接的量子密钥分发数据处理引擎模块和CPU子系统。网络域仅用于数据通过以太网的传输，其包括TCP/IP模块和MAC模块。TCP/IP模块被设置成连接量子域的AHB总线和/或量子密钥分发数据处理引擎模块。MAC模块被设置成通过GMII或RGMII与物理层芯片PHY连接。TCP/IP模块和MAC模块利用硬件描述语言在RTL代码层级上集成为一体，形成可综合的RTL代码级的IP，并借助该IP实现网络域。

【技术实现步骤摘要】
基于TCP/IP卸载引擎的量子密钥分发片上系统
本技术涉及量子通信领域，具体涉及一种基于TCP/IP卸载引擎(TOE)的量子密钥分发片上系统(QKD-SOC)。
技术介绍
量子密钥分发(QKD)系统需要在收发光子设备两端通过网络进行多次数据交互传输，最终在两端提炼出安全的量子密钥。目前普遍采用基于以太网技术的商用网络来达到数据交互的目的。现实的商用网络基本上都是以太网，各个设备的商用TCP/IP协议栈都是开放且通过软件实现的。现有量子密钥分发系统无论什么样的产品形态都是采用商用网络芯片或模组来获得网络功能，由网络芯片或模组来处理TCP/IP协议数据，QKD控制系统负责发送数据给网络芯片或从网络芯片读出数据。TCP/IP的四层模型自上而下包括应用层、传输层、网络层和网络接口层，网络设备依据网络模型由软硬件逐一实现各个层次功能，最低的网络接口层基本是由硬件实现，上三层协议基本都是通过软件实现，而传输层与网络层作为中间层在所有网络设备中必不可少，在大多数实际系统中无论基于什么样的CPU与操作系统，都是将它们合并实现，构成为操作系统的一部分，统称为TCP/IP协议栈(ProtocolStack)。软件运行TCP/IP协议存在几个方面问题：1)随着以太网速达到每秒吉比特(Gbps)，协议处理越发成为CPU不堪承受的负担。接收端无序字段拼接、严重消耗资源的数据存储备份、频繁的中断处理等等都严重消耗CPU时钟周期。在网络数据传输速率与CPU时钟周期差距逐渐变大趋势下，人们自然想到将部分或全部协议处理变为由硬件电路实现，而不再是软件来执行，可以大大减轻CPU处理TCP/IP协议的负载，提高协议处理速率，此即TCP/IP卸载引擎(TCP/IPOffloadEngine，简称TOE)技术。2)易于被攻击：由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP协议族是目前使用最广泛的网络互连协议，TCP/IP协议是建立在可信的环境之下，鉴于网络互连缺乏对安全方面的考虑，因此是黑客实施网络攻击的重点目标。网络的开放性，TCP/IP协议完全公开，连接的主机基于互相信任的原则等等性质使网络更加不安全。3)TCP/IP协议本身及守护进程有安全问题：a)TCP协议安全问题——TCP协议把通过连接而传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生，产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间RTT。已知上次连接的ISN和RTT，很容易就能预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接，并预测到目标主机的TCP序列号，攻击者就能伪造有害数据包，使之被目标主机接受。b)IP协议安全问题——IP协议在互连网络之间提供无连接的数据包传输。IP协议根据IP头中的目的地址项来发送IP数据包。也就是说，IP接收IP包时，对IP头中提供的源地址不作任何检查，并且认为IP头中的源地址即为发送该包的目的IP地址。这样，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵，其中最重要的就是利用IP欺骗引起的各种攻击。通常量子通信片上系统(SOC)会在片内嵌入CPU用以提炼量子密钥，在这过程中有大量中间数据在内部进行处理，从安全角度要求对这些数据进行保护。如果在这一架构下依然采用软件来完成TCP/IP协议处理，不但大大加重片内CPU运行负载，而且攻击者可能会通过TCP/IP协议编辑加入攻击软件停留于SOC内，引导CPU去输出量子密钥数据，从而达到窃密的目的。现有技术中针对TOE技术也提出了一些解决方案。例如，图1示出了现有技术的一种基于TCP协议的TOE系统，其通过硬件方式替代了传统处理器加操作系统实现的TCP/IP协议栈，避免了网络协议处理过程对CPU资源的占用，并且提出利用FPGA并行处理机制来解决网络延迟的动态平衡问题。然而，这种TOE系统并不能够完全满足量子通信片上系统(SOC)对于网络载荷数据传输速率以及安全性方面的要求。
技术实现思路
针对现有技术的上述问题，本技术提出一种基于TCP/IP卸载引擎(TOE)的量子密钥分发片上系统，其中在量子通信片上系统架构的基础上在网络端用硬件电路来实现TCP/IP协议。借助该方案，不仅能够如现有TOE系统那样使协议处理独立于CPU运行，还可以一定程度上实现网络协议数据的扁平化执行，减少协议数据在软、硬件之间来回次数，提高量子密钥分发片上系统在联网时的网络载荷数据传输速率，同时在片上系统上实现协议数据与量子数据域物理隔离，确保量子密钥分发片上系统的安全性以及通信速率。本技术的基于TCP/IP卸载引擎的量子密钥分发片上系统可以包括量子域和网络域。所述量子域用于进行有关量子密钥的数据处理，其包括量子密钥分发数据处理引擎模块和CPU子系统，量子密钥分发数据处理引擎模块和CPU子系统通过AHB总线实现数据连接。所述网络域仅用于数据通过以太网的传输，其包括TCP/IP模块和MAC模块，所述TCP/IP模块被设置成连接所述量子域中的AHB总线和/或量子密钥分发数据处理引擎模块，所述MAC模块被设置成通过GMII或RGMII与物理层芯片PHY连接。所述TCP/IP模块和所述MAC模块利用硬件描述语言在RTL代码层级上集成为一体，形成可综合的RTL代码级的IP，并借助所述IP实现所述网络域。进一步地，所述TCP/IP模块包括总线接口电路、TCP处理模块、UDP处理模块、ICMP处理模块、IP处理模块和ARP处理模块；所述MAC模块包括MAC控制器；在所述TCP/IP模块中，所述TCP处理模块、所述UDP处理模块、所述ICMP处理模块、以及所述ARP处理模块与所述IP处理模块形成连接；所述ARP处理模块和所述IP处理模块通过多路器与所述MAC控制器形成连接。更进一步地，所述MAC控制器、所述TCP处理模块和所述UDP处理模块被设置成借助APB从机接口由外部进行配置。更进一步地，所述IP处理模块被设置经由所述TCP处理模块和所述UDP处理模块中的至少一个通过所述总线接口电路借助AHB从机接口与所述量子域中的AHB总线连接，或者通过所述总线接口电路连接所述量子域中的量子密钥分发数据处理引擎模块。更进一步地，所述MAC控制器通过所述GMII或RGMII与所述物理层芯片PHY连接。更进一步地，所述TCP处理模块被设置用于提供标准的检验和计算、TCP连接的建立和关闭、TCP的最大报文段、TCP的数据收发选项、TCP的确认与重传、TCP的乱序重组以及TCP的滑动窗口功能；并且/或者，所述TCP处理模块具有最高为244Mbps的传输速率。更进一步地，所述ICMP处理模块具有ping应答功能。更进一步地，所述UDP处理模块被设置用于实现UDP校验和计算使能、UDP接收/发送窗口缓存机制；并本文档来自技高网...

【技术保护点】
1.一种基于TCP/IP卸载引擎的量子密钥分发片上系统，其特征在于，包括量子域和网络域；/n所述量子域用于进行有关量子密钥的数据处理，其包括量子密钥分发数据处理引擎模块和CPU子系统，量子密钥分发数据处理引擎模块和CPU子系统通过AHB总线实现数据连接；/n所述网络域仅用于数据通过以太网的传输，其包括TCP/IP模块和MAC模块，所述TCP/IP模块被设置成连接所述量子域中的AHB总线和/或量子密钥分发数据处理引擎模块，所述MAC模块被设置成通过GMII或RGMII与物理层芯片PHY连接；/n其中，所述TCP/IP模块和所述MAC模块利用硬件描述语言在RTL代码层级上集成为一体，形成可综合的RTL代码级的IP，并借助所述IP实现所述网络域。/n

【技术特征摘要】
1.一种基于TCP/IP卸载引擎的量子密钥分发片上系统，其特征在于，包括量子域和网络域；
所述量子域用于进行有关量子密钥的数据处理，其包括量子密钥分发数据处理引擎模块和CPU子系统，量子密钥分发数据处理引擎模块和CPU子系统通过AHB总线实现数据连接；
所述网络域仅用于数据通过以太网的传输，其包括TCP/IP模块和MAC模块，所述TCP/IP模块被设置成连接所述量子域中的AHB总线和/或量子密钥分发数据处理引擎模块，所述MAC模块被设置成通过GMII或RGMII与物理层芯片PHY连接；
其中，所述TCP/IP模块和所述MAC模块利用硬件描述语言在RTL代码层级上集成为一体，形成可综合的RTL代码级的IP，并借助所述IP实现所述网络域。


2.根据权利要求1所述的基于TCP/IP卸载引擎的量子密钥分发片上系统，其特征在于，所述TCP/IP模块包括总线接口电路、TCP处理模块、UDP处理模块、ICMP处理模块、IP处理模块和ARP处理模块；
所述MAC模块包括MAC控制器；
在所述TCP/IP模块中，所述TCP处理模块、所述UDP处理模块、所述ICMP处理模块、以及所述ARP处理模块与所述IP处理模块形成连接；
所述ARP处理模块和所述IP处理模块通过多路器与所述MAC控制器形成连接。


3.根据权利要求2所述的基于TCP/IP卸载引擎的量子密钥分发片上系统，其特征在于，所述MAC控制器、所述TCP处理模块和所述UDP处理模块被设置成借助APB从机接口由外部进行配置。


4.根据权利要求2所述的基于TCP/IP卸载引擎的量子密钥分发片上系统，其特征在于，所述IP处理模块被设置经由所述TCP处理模块和所述UDP处理模块中的至少一个通过...

【专利技术属性】
技术研发人员：杨灿美，彭文溢，钟晓东，
申请(专利权)人：科大国盾量子技术股份有限公司，
类型：新型
国别省市：安徽;34