一种以太网控制器安全增强设计方法
【技术领域】
[0001]本发明涉及电子信息领域,涉及一种面向链路层、网络层及传输层协议安全处理的千兆以太网控制器IP核的安全增强设计方法。
【背景技术】
[0002]目前,网络终端设备通常利用专用防护墙软件、杀毒软件或者数据加解密软件实现安全通信,这种方式需要对网络控制器传输的各种协议进行解析和处理,具有占用系统资源、CPU使用率较高的缺点,并且可能由于软件设计漏洞引发安全风险。
【发明内容】
[0003]为了克服现有网络安全防护软件机制的上述缺点,本发明提供基于硬件加解密网络协议的千兆以太网控制器IP核的增强设计方法,其中设计了 AMBA总线接口模块、DMA引擎模块、协议过滤封装模块、数据加解密模块、MAC事务模块、安全管控模块以及PHY接口模块的相互配合。该以太网控制器的数据加解密过程无须系统干预,无系统开销,并能够在保证网络数据安全传输的同时不损失网络链路传输性能。
[0004]根据本发明,提供了一种以太网控制器安全增强设计方法,包括:通过安全管控模块预先配置以太网控制器的工作模式,其中工作模式包括普通模式及加解密模式;使得以太网控制器在普通模式下不进行网络协议的加解密处理。
[0005]优选地,在加解密模式下,使得以太网控制器执行下述操作:
[0006]通过AMBA总线接口模块与外部主机系统进行控制流和数据流通信;
[0007]通过DMA引擎模块分别实现发送和接收方向用于不同总线访问配置的数据的传输;
[0008]通过协议过滤封装模块分别对发送和接收方向的以太网帧数据进行解析和过滤,将需要加解密的链路层或者网络层协议数据发往数据加解密模块,并对返回的数据重新封装;
[0009]通过数据加解密模块采用硬件算法处理数据;
[0010]通过MAC事务模块发送和接收数据缓冲;
[0011]通过PHY接口模块与外部PHY芯片进行数据通信。
[0012]优选地,在加解密模式下的加密过程中,将以太网帧数据从AMBA总线模块经过DMA引擎模块传输至协议过滤封装模块,过滤封装模块对不同类型的以太网帧数据进行协议解析,将需要加密的数据发送至加解密模块,在加解密模块对需要加密的数据加密以形成密文数据后,将密文数据返回协议过滤封装模块以将密文数据重新封装为以太网帧数据形式的密文数据,随后将以太网帧数据形式的密文数据传输至MAC事务模块,并最后通过PHY接口模块将以太网帧数据形式的密文数据发送至PHY芯片。
[0013]优选地,在加解密模式下的解密过程中,PHY接口模块接收来自PHY芯片的以太网帧数据,并将接收的以太网帧数据转发至MAC事务模块,在使得以太网帧数据经过同步处理后将其传输至协议过滤封装模块,协议过滤封装模块对不同类型的帧进行协议解析,将需要解密的数据发送至加解密模块,在加解密模块对需要解密的数据解密以形成明文数据后,将明文数据返回协议过滤封装模块以重新封装为以太网帧数据形式的明文数据,此后将以太网帧数据形式的明文数据经过发送DMA弓I擎模块和AMBA总线模块传输至外部主机系统。
[0014]优选地,工作模式还包括禁用模式,其中太网控制器在禁用模式下仅支持系统10访问而不响应系统发出的其他配置操作。
[0015]优选地,该以太网控制器能够实现以下协议的安全处理:
[0016]链路层的MAC帧协议;
[0017]基于IPv4/IPv6的网络层协议;
[0018]基于IPv4/IPv6的传输层协议。
[0019]优选地,用于不同总线访问配置的数据具有可变数据粒度。
[0020]本发明提供了一种能够实现硬件加解密的千兆以太网控制器IP核。本发明通过硬件设计,对以太网链路层、网络层及传输层的不同协议进行旁路、过滤或加解密处理,加解密过程无须系统干预,不占用系统开销。
【附图说明】
[0021]结合附图,并通过参考下面的详细描述,将会更容易地对本发明有更完整的理解并且更容易地理解其伴随的优点和特征,其中:
[0022]图1示意性地示出了根据本发明优选实施例采用的电路结构图。
[0023]图2示意性地示出了根据本发明优选实施例的以太网帧数据的加密过程。
[0024]图3示意性地示出了根据本发明优选实施例的以太网帧数据的解密过程。
[0025]需要说明的是,附图用于说明本发明,而非限制本发明。注意,表示结构的附图可能并非按比例绘制。并且,附图中,相同或者类似的元件标有相同或者类似的标号。
【具体实施方式】
[0026]为了使本发明的内容更加清楚和易懂,下面结合具体实施例和附图对本发明的内容进行详细描述。
[0027]通过安全管控模块预先配置以太网控制器的工作模式(例如,工作模式包括普通模式、禁用模式及加解密模式)。
[0028]其中,以太网控制器在普通模式下不进行网络协议的加解密处理。
[0029]在存在禁用模式的示例中,可以使得太网控制器在禁用模式下仅支持系统10访问而不响应系统发出的其他配置操作。
[0030]而且,在加解密模式下,以太网控制器通过AMBA总线接口模块与外部主机系统进行控制流和数据流通信,通过DMA引擎模块分别实现发送和接收方向用于不同总线访问配置的数据(数据可具有可变数据粒度)的传输,通过协议过滤封装模块分别对发送和接收方向的以太网帧数据进行解析和过滤,将需要加解密的链路层或者网络层协议数据发往数据加解密模块,并对返回的数据重新封装,通过数据加解密模块采用硬件算法处理数据,通过MAC事务模块发送和接收数据缓冲,而且通过PHY接口模块与外部PHY芯片进行数据通信。
[0031]该以太网控制器能够实现以下协议的安全处理:
[0032](1)链路层的各类MAC帧协议;
[0033](2)基于IPv4/IPv6的各类网络层协议;
[0034](3)基于IPv4/IPv6的各类传输层协议。
[0035]具体地,如图1所示,AMBA总线接口模块1通过AMBA总线连接外部主机系统,对内连接DMA引擎模块2;协议过滤封装模块3在安全管控模块5的配置下切换不同工作模式,在加解密模式下分别对发送、