一种基于FPGA的多通道数据万兆加密认证高速传输实现方法与流程

本发明涉及一种基于fpga的多通道数据万兆加密认证高速传输实现方法，属于网络安全技术领域。

背景技术

随着电网系统d5000在国内各级调度中心广泛部署，智能变电站远程控制系统、地县调度一体化系统逐步落地使用，其对纵向数据传输通道带宽提出了更高要求。基于sm1与sm2算法，目前主流纵向加密认证装置最高带宽密文数据吞吐率大约为1000mbit/s。为了进一步提高数据加解密速率与安全性，满足现场业务需求，高性能万兆纵向加密认证装置应运而生。

在两个不同局域网之间交换数据最常用的安全策略是使用纵向加密认证装置，即身份认证与数据加解密方式进行业务交互。传统纵向加密认证装置根据网络带宽与数据传输吞吐率要求，分为百兆型、千兆型纵向加密认证装置，其基本结构都由一个带有双网口的控制主板和一个数据加解密模块组成。当前市场万兆型加密认证装置基本都采用cpci-e结构，硬件架构主要包括两个主控板槽和八个加密卡槽，首先cpu对网络数据进行管控与分配，然后依据cpci-e标准转发数据进行加解密处理，因此，数据加解密速率与整机运行效率完全取决于主板cpu性能。此种架构对cpu性能要求较高，软件上需要使用负载均衡技术实现资源动态合理分配，开发深度可控性有限，硬件上需由非x86指令集的多核、主频不得低于1.5ghz的cpu支持，硬件生产成本较高，应用场景单一，不宜推广市场化。

技术实现要素：

针对现有技术存在的不足，本发明目的是提供一种基于fpga的多通道数据万兆加密认证高速传输实现方法，利用以太网在线数据多通道分发处理机制创建多条数据传输链路，增强并发处理能力，同时通过多个加密单元并行运算，用以提高身份认证效率与数据加解密速率，为新型万兆型加密认证装置设计提供理论依据。

为了实现上述目的，本发明是通过如下的技术方案来实现：

本发明的一种基于fpga的多通道数据万兆加密认证高速传输实现方法，具体包括如下步骤：

(1)配置万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块的网络报文过滤参数，同时，配置与密钥协商单元完成身份认证与对称密钥生成任务；

(2)根据数据传输方向，通过所述万兆以太网第一在线数据收发处理模块的万兆以太网物理接口sfp+获取网络数据报文，依据配置参数(即ip报文协议号，ip地址，mac地址，报文类型)生成防护准则进行报文过滤解析处理；

(3)根据所述万兆以太网第一在线数据收发处理模块内部10选1分发机制，将业务报文发送至异步fifo缓存，直至通过千兆网口传输到对应的对称加解密单元或者配置与密钥协商单元；

(4)业务数据报文进行加密处理后，对称加解密单元将加密数据定向传输至所述万兆以太网第二在线数据收发处理模块的千兆网口；

(5)所述万兆以太网第二在线数据收发处理模块将加密数据采集到相应fifo缓存通道，进行数据并发传输，然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网；

(6)根据数据传输方向，通过所述万兆以太网第二在线数据收发处理模块的万兆以太网物理接口sfp+获取网络数据报文，依据配置参数生成防护准则进行报文过滤解析处理；

(7)根据所述万兆以太网第二在线数据收发处理模块内部10选1分发机制，将业务报文发送至异步fifo缓存，直至通过千兆网口传输到对应的对称加解密单元或者配置与密钥协商单元；

(8)业务数据报文进行加密处理后，对称加解密单元将加密数据定向传输至所述万兆以太网第一在线数据收发处理模块的千兆网口；

(9)所述万兆以太网第一在线数据收发处理模块将加密数据采集到相应fifo缓存通道，进行数据并发传输，然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网；

(10)根据步骤(2)、(3)、(4)、(5)可实现数据单向多通道数据加解密传输操作，根据步骤(6)、(7)、(8)、(9)可实现反向多通道数据加解密传输。

步骤(1)中，所述配置与密钥协商单元具体采用的是千兆型配置与密钥协商单元。

步骤(1)中，所述万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块对外物理接口符合ieeestandard802.3-2012规范，实现对所述对称加解密单元均衡分发网络报文，同时能够对所述配置与密钥协商单元定向转发密钥协商报文。

步骤(1)中，所述万兆以太网第一在线数据收发处理模块与万兆以太网第二在线数据收发处理模块内部单向单个数据通道至少需要4096字节缓存空间，同时满足异步时序读写功能。

单个万兆以太网在线数据收发处理模块具有1个万兆网口和10个千兆网口，内部fpga逻辑架构中每个数据通道异步fifo缓存空间不得低于4kb，通过万兆网口与业务端设备进行通信，通过千兆网口与对称加解密单元、配置与密钥协商单元通信。

步骤(3)中，所述对称加解密单元具体采用的是九个千兆型对称加解密单元。

步骤(4)中，依据电力系统专用纵向加密认证装置技术规范，具有三个千兆网口，其中两个分别与万兆以太网第一在线数据收发处理模块、万兆以太网第二在线数据收发处理模块对接，一个与对称加解密单元进行数据通信；所述配置与密钥协商单元支持sm2算法，实现身份认证与会话密钥生成，自适应协商更新会话密钥并同步到各个对称加解密单元。

本发明摒弃了现有万兆加密装置对cpu高额资源要求的思路，利用fpga芯片作为数据收发处理模块核心器件，降低了硬件生产成本，使得数据加解密更高效。本发明结合fpga乒乓操作方法的优点并克服单通道串行方式传输方法的缺点，以万兆在线数据均衡分发作为核心机制，并依靠对称加密与协商单元阵列完成身份认证与数据加解密操作。本发明方法的实现步骤如下：

本发明方法主要包括两个万兆以太网数据收发处理模块、千兆型数据对称加解密单元、千兆型配置与密钥协商单元。本发明在硬件电路方面设计主要涉及两方面，一方面，千兆型数据对称加解密单元、千兆型配置与密钥协商单元主要采用南瑞纵向加密认证装置(千兆型)，其硬件结构中sm1算法芯片采用北京宏思电子技术有限责任公司的ssx30-d密码芯片，sm2算法芯片采用北京华大信安科技有限公司的is32u320a密码芯片，硬件电路设计无需做过多修改，只需调整内部软件架构，另一方面，万兆以太网数据收发处理模块以xilinx公司的xc7k325t-2ffg900作为核心芯片，该芯片是bga900封装，1.0mm间距，扇出信号较多，需要1v、1.2v、1.8v、1.5v、2.5v、3.3v等多种电平标准支持。基于xilinx公司的vivado软件，该模块内部逻辑程序设计包括：10gmac定制ip核设计、1gmac定制ip核设计、异步fifoip核设计、万兆数据过滤逻辑处理设计、千兆数据过滤逻辑处理设计、万兆数据收发逻辑处理设计、千兆数据收发逻辑处理设计。

万兆以太网在线数据收发处理模块实现

单个万兆以太网数据收发处理模块具有1个万兆网口和10个千兆网口，内部fpga逻辑架构中每个数据通道异步fifo缓存空间不得低于4kb，通过万兆网口与业务端设备进行通信，通过千兆网口与对称加解密单元、配置与密钥协商单元通信。参见图2，以万兆网口作为接收端，模块内部万兆以太网数据逻辑处理单元基于axi总线协议从fpga芯片万兆ip核获取数据，并按照用户配置要求对网络数据包进行解析、环回、丢包、均衡分发等操作，然后以156.25mhz作为工作频率，按照异步fifo工作时序将数据包写入相应存储区，形成10个不同的并行数据通道；同时模块内部另外一个千兆以太网数据逻辑处理单元实时根据不同通道的fifo数据状态，以125mhz作为工作频率，通过千兆网口依次将数据按需均衡发送至对称加解密单元以及配置与协商单元。参见图2，以万兆网口作为发送端，模块内部千兆以太网数据逻辑处理单元动态自适应从千兆网口获取网络数据包，并进行网络报文过滤操作，以保证数据对称加解密单元具有足够数据缓冲空间从而正常工作，模块内部万兆以太网数据逻辑处理单元依次从不同数据通道的fifo缓存区读取数据通过万兆网口发送出去，实现模块内部每个数据通道的吞吐量相当。

万兆以太网在线数据身份认证与数据加解密处理

数据对称加解密单元具有三个千兆网口并具有国密算法sm1加解密功能，配置与密钥协商单元具有三个千兆网口并具有国密算法sm2加解密功能，工作方式都可设置为明文透传模式、路由模式、桥接模式，符合电力专用纵向加密认证装置技术规范。配置与密钥协商单元首先与用户设备完成身份认证操作，然后实时协商出对称密钥并通过千兆网口向数据对称加密单元推送，保证对称密钥的动态更新以防被窃取，数据对称加解密单元将加解密操作后的数据实时传输至万兆以太网数据收发处理模块。

为了降低生产成本，万兆以太网数据收发处理模块的核心器件选择具有gtp/gtx接口的fpga芯片，内部blockram资源丰富，无需外部sram芯片,简化模块硬件架构设计。带有gtp/gtx接口的fpga芯片内部可以实现可配置的万兆以太网接口和千兆以太网接口，分别采用标准的sfp+与rj45硬件连接方式，提高了产品的普适性。

为了提高万兆接口数据传输效率，采用fpga的乒乓操作设计方法，实现64位/8位交叉转换，万兆以太网数据收发处理模块内部以156.25mhz作为时钟频率，将单通道的64位数据位宽转化为10个通道的8位数据位宽进行分发处理；以125mhz作为时钟频率，对8位数据位宽进行千兆以太网标准传输，具有解决瞬时爆发数据的传输能力，满足数据传输的完整性和高速性要求。

使用本发明可显著提高现有电力纵向加密认证装置的业务数据加解密速率，改变了传统单通道串行业务数据处理模式。与现有万兆型加密认证装置相比，使用本发明还可降低生产成本，替代高性能cpu处理器，利用fpga芯片解决数据有效分发，降低了分发机制对资源的过高要求，实现万兆以太网在线数据加解密操作并行执行。本发明基于fpga开发，可利用资源丰富，功能扩展性较强，安全稳定性高，有利于在电力行业纵向加密业务拓展。

附图说明

图1为带有加解密功能的万兆以太网在线数据多通道收发处理流程图。

图2为万兆以太网在线数据收发处理模块的fpga逻辑功能框图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

参见图1，本发明是一种基于fpga的多通道数据万兆加密认证高速传输实现方法，具体操作步骤如下：

(1)配置万兆以太网在线数据收发处理模块1与2的网络报文过滤参数，同时，配置与密钥协商单元完成身份认证与对称密码生成任务，否则，本发明无法正常工作。

(2)以图1从左往右作为数据传输方向，通过万兆以太网在线数据收发处理模块1的万兆以太网物理接口sfp+获取网络数据报文，依据配置参数生成防护准则进行报文过滤解析处理。

(3)根据万兆以太网在线数据收发处理模块1内部10选1分发机制，将业务报文发送至某个异步fifo缓存，直至通过千兆网口传输到对应的数据对称加密单元或者配置与密钥协商单元。

(4)业务数据报文进行相关加密处理后，数据对称加解密单元将加密数据定向传输至万兆以太网在线数据收发处理模块2的千兆网口。

(5)万兆以太网在线数据收发处理模块2将加密数据采集到相应fifo缓存通道，进行数据并发传输，然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网。

(6)以图1从右往左作为数据传输方向，通过万兆以太网在线数据收发处理模块2的万兆以太网物理接口sfp+获取网络数据报文，依据配置参数生成防护准则进行报文过滤解析处理。

(7)根据万兆以太网在线数据收发处理模块2内部10选1分发机制，将业务报文发送至某个异步fifo缓存，直至通过千兆网口传输到对应的数据对称加密单元或者配置与密钥协商单元。

(8)业务数据报文进行相关加密处理后，数据对称加解密单元将加密数据定向传输至万兆以太网在线数据收发处理模块1的千兆网口。

(9)万兆以太网在线数据收发处理模块1将加密数据采集到相应fifo缓存通道，进行数据并发传输，然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网。

(10)根据(2)、(3)、(4)、(5)步骤可实现数据单向多通道数据加解密传输操作，(6)、(7)、(8)、(9)可实现反向多通道数据加解密传输。

依据此实施方案搭建测试平台，利用南瑞netkeeper-2000千兆纵向加密认证装置作为数据对称加解密单元以及协商与密钥协商单元，以xilinx公司kc705开发板来实现万兆以太网在线数据多通道收发功能，经测试在包长为1024字节的测试条件下，得出明文传输的速度可以达到8gbps，密文传输的速度可以达到5.5gbps，与传统电力专用纵向加密认证装置相比，速度有明显提升。

本发明结合fpga乒乓操作方法的优点并克服单通道串行方式传输方法的缺点，以万兆在线数据均衡分发作为核心机制，并依靠对称加密与协商单元阵列完成身份认证与数据加解密操作。本发明方法的实现步骤如下：

本发明方法主要包括两个万兆以太网数据收发处理模块、千兆型数据对称加解密单元、千兆型配置与密钥协商单元。本发明在硬件电路方面设计主要涉及两方面，一方面，千兆型数据对称加解密单元、千兆型配置与密钥协商单元主要采用南瑞纵向加密认证装置(千兆型)，其硬件结构中sm1算法芯片采用北京宏思电子技术有限责任公司的ssx30-d密码芯片，sm2算法芯片采用北京华大信安科技有限公司的is32u320a密码芯片，硬件电路设计无需做过多修改，只需调整内部软件架构，另一方面，万兆以太网数据收发处理模块以xilinx公司的xc7k325t-2ffg900作为核心芯片，该芯片是bga900封装，1.0mm间距，扇出信号较多，需要1v、1.2v、1.8v、1.5v、2.5v、3.3v等多种电平标准支持。基于xilinx公司的vivado软件，该模块内部逻辑程序设计包括：10gmac定制ip核设计、1gmac定制ip核设计、异步fifoip核设计、万兆数据过滤逻辑处理设计、千兆数据过滤逻辑处理设计、万兆数据收发逻辑处理设计、千兆数据收发逻辑处理设计。

万兆以太网在线数据收发处理模块实现

单个万兆以太网数据收发处理模块具有1个万兆网口和10个千兆网口，内部fpga逻辑架构中每个数据通道异步fifo缓存空间不得低于4kb，通过万兆网口与业务端设备进行通信，通过千兆网口与对称加解密单元、配置与密钥协商单元通信。参见图2，以万兆网口作为接收端，模块内部万兆以太网数据逻辑处理单元基于axi总线协议从fpga芯片万兆ip核获取数据，并按照用户配置要求对网络数据包进行解析、环回、丢包、均衡分发等操作，然后以156.25mhz作为工作频率，按照异步fifo工作时序将数据包写入相应存储区，形成10个不同的并行数据通道；同时模块内部另外一个千兆以太网数据逻辑处理单元实时根据不同通道的fifo数据状态，以125mhz作为工作频率，通过千兆网口依次将数据按需均衡发送至对称加解密单元以及配置与协商单元。参见图2，以万兆网口作为发送端，模块内部千兆以太网数据逻辑处理单元动态自适应从千兆网口获取网络数据包，并进行网络报文过滤操作，以保证数据对称加解密单元具有足够数据缓冲空间从而正常工作，模块内部万兆以太网数据逻辑处理单元依次从不同数据通道的fifo缓存区读取数据通过万兆网口发送出去，实现模块内部每个数据通道的吞吐量相当。

万兆以太网在线数据身份认证与数据加解密处理

数据对称加解密单元具有三个千兆网口并具有国密算法sm1加解密功能，配置与密钥协商单元具有三个千兆网口并具有国密算法sm2加解密功能，工作方式都可设置为明文透传模式、路由模式、桥接模式，符合电力专用纵向加密认证装置技术规范。配置与密钥协商单元首先与用户设备完成身份认证操作，然后实时协商出对称密钥并通过千兆网口向数据对称加密单元推送，保证对称密钥的动态更新以防被窃取，数据对称加解密单元将加解密操作后的数据实时传输至万兆以太网数据收发处理模块。

为了降低生产成本，万兆以太网数据收发处理模块的核心器件选择具有gtp/gtx接口的fpga芯片，内部blockram资源丰富，无需外部sram芯片,简化模块硬件架构设计。带有gtp/gtx接口的fpga芯片内部可以实现可配置的万兆以太网接口和千兆以太网接口，分别采用标准的sfp+与rj45硬件连接方式，提高了产品的普适性。

为了提高万兆接口数据传输效率，采用fpga的乒乓操作设计方法，实现64位/8位交叉转换，万兆以太网数据收发处理模块内部以156.25mhz作为时钟频率，将单通道的64位数据位宽转化为10个通道的8位数据位宽进行分发处理；以125mhz作为时钟频率，对8位数据位宽进行千兆以太网标准传输，具有解决瞬时爆发数据的传输能力，满足数据传输的完整性和高速性要求。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。