论文部分内容阅读
IPSec协议是TCP/IP协议的网络层安全标准,也是VPN网络的重要实现技术,被广泛应用于路由器、防火墙产品以及Windows等主流操作系统中。IPSec安全网关主要处于VPN网络中企业内部网络与Internet的连接边缘,是企业通信网络的安全屏障,也是通信流量主要汇集之处,因而需要高速的数据处理能力。IPSec安全网关的实现主要有软件实现和专用硬件实现两种方法,其中软件实现灵活可变,但效率较低,无法适应目前越来越高的网络传输速率;传统ASIC专用硬件实现虽然能够达到较高的系统效率,但缺乏灵活性,不能满足IPSec协议的算法无关性原则,并且在特定算法出现严重安全性缺陷时,无法及时进行改进或替换。本文研究的高性能可重构安全网关系统设计实现技术属于可重构硬件实现方法,通过将FPGA可重构计算平台引入高性能安全网关的设计中,使得安全网关的设计既能满足高性能处理的要求,又能实现IPSec协议算法无关性的需要。
论文文专门针对IPSec协议处理的需要设计了优化的硬件处理结构,其中采用了FPGA可重构芯片实现核心的加密认证算法,采用网络处理器技术实现对网络数据分组的高速分类派发,采用三元组内容寻址存储器实现高速数据分组匹配查找功能,采用嵌入式微处理器完成IPSec安全关联的建立维护以及用户安全策略的管理。
论文的主要研究内容集中于IPSec协议簇中ESP协议加密功能的高性能可重构设计与实现技术。并针对目前广泛使用的三重DES算法和AES加密算法设计了专用的加密算法处理芯片结构,采用循环展开、轮间流水线、轮内流水线、和混合流水线等技术优化加密算法处理芯片的设计。同时,本文还对各种加密算法处理芯片实现方法的性能、逻辑资源消耗、以及系统结构效率进行了定量评价。通过仿真实验,3DES算法的最高实现速率达到6973.2Mb/s,AES算法混合流水线结构的实现速率达到了27.1Gb/s,是目前关于AES算法实现报道中最高的性能。
最后,论文还对IPSec协议簇中AH协议的认证码生成技术作了一定探讨,从安全性、实现效率等方面总结了目前常用认证码生成技术,特别针对可重构计算平台的实现性能,分析了各种认证码生成技术的适用性。