本发明涉及基于人工智能的物联网技术,具体地说是一种基于fpga多协议安全认证网络交换加速系统及方法。
背景技术:
fpga(field-programmablegatearray),即现场可编程门阵列,是一种主要针对应用或功能要求可进行变成的半导体器件。现已广泛应用于异构加速领域,已经展现出相比通用处理器cpu更好的性能。与cpu和gpu不同,fpga是一种典型的非诺依曼架构,是硬件适配软件的模式,能够根据系统资源和算法特征灵活的调整并行度,达到最优的适配,因此能效比高于cpu和gpu。其功耗低、成本小的特点更是其在很多领域得到了广泛的应用。
近年来,互联网发展迅速,从pc互联网、移动互联网来到物联网时代,万物互联的时代已经到来,移动通信设备、物联网终端设备等各类异构设备连接到互联网,随着通信网络的发展和接入规模的不断扩大,网络通信安全成为大家普遍关注的热点问题。一方面,云端聚集了大量的计算资源为互联设备提供服务,需要提供多种协议连接;另一方面,终端智能化和网联化趋势更加明显,其计算和通信能力不断增强,设备间交互、设备和云端交互,基于各类场景也会需要多种协议连接。传统的专用加密设备可以实现部分安全协议,但无法满足网络个性化的需求,同时在云端无法适应多种场景,并且其功耗太大,也无法满足物联网终端能耗低和实时性的要求,在这种情况下,如何能够高效实时的支持多种安全通信认证方式,满足多场景网络安全应用需求,保证通信的可靠性,并能满足低功耗要求成为一个亟需解决的问题。
技术实现要素:
本发明的技术任务是针对以上不足之处,提供一种基于fpga多协议安全认证网络交换加速系统及方法。
一种基于fpga多协议安全认证网络交换加速系统,包括,
云端中心,配置有fpga加速卡以及eprom存储,所述eprom存储存放安全协议计算程序,该云端中心首先对fpga安全认证协议进行分级,形成基于fpga硬件加速的安全认证协议栈,该协议栈即fpga硬件加速优化程序,然后再将fpga硬件加速优化程序分发下去;
物联网终端,配置有fpga加速卡以及eprom存储,该物联网终端的eprom存储用于接收来自云端中心的fpga硬件加速优化程序,并通过动态实时加载安全协议程序,实现fpga加速卡的硬件加速过程,同时将该过程的具体信息存储在rprom存储中,并定期上传至云端中心,利用云端中心的大数据分析,持续优化fpga安全认证协议栈。
所述云端中心部署有若干个fpga加速卡,对各种网络安全协议进行分析,并结合fpga硬件特点,针对不同安全认证协议生成fpga的硬件加速算法,根据物联网终端的业务安全协议要求,将安全认证协议组成协议栈,分发到各个拥有fpga加速卡的物联网终端。
一种基于fpga多协议安全认证网络交换加速方法,其实现过程为:
一、首先在云端中心对各种网络安全协议进行分析,并结合fpga硬件,针对不同安全认证协议生成fpga的硬件加速算法,根据物联网终端的业务安全协议要求,将安全认证协议组成协议栈,分发到各个拥有fpga加速卡的物联网终端,同时云端中心的网络利用其fpga加速卡进行网络连接安全认证加速;
二、物联网终端接收来自云端中心的fpga硬件加速程序,根据其应用对网络安全个性化的需求,动态选择安全认证协议进行硬件加速,并将加速过程产生的数据存储在eprom存储中;
三、物联网终端定期发送其eprom存储中的数据到云端中心,云端中心持续进行优化分析,重复步骤一、二的过程。
所述各种网络安全认证协议包括tls协议、私有安全协议,并根据密钥强度进行分类,每一类均有对应的算法,该算法包括对称加密算法、非对称加密算法、摘要算法、aead算法。
所述网络安全协议具体分为以下十四类并对应以下算法:
安全级别0:不进行加密、认证以及完整性校验;
安全级别1:利用弱密钥强度的公钥体系,进行身份认证;
安全级别2:利用中密钥强度的公钥体系,进行身份认证;
安全级别3:利用强密钥强度的公钥体系,进行身份认证;
安全级别4:仅使用hash进行完整性校验;
安全级别5:仅使用mac进行完整性校验;
安全级别6:通信数据弱密钥强度对称加密及完整性校验;
安全级别7:通信数据中密钥强度对称加密及完整性校验;
安全级别8:通信数据强密钥强度对称加密及完整性校验;
安全级别9:一次一密弱密钥强度对称加密;
安全级别10:一次一密中密钥强度对称加密;
安全级别11:一次一密强密钥强度对称加密;
安全级别12:一次一密弱密钥强度非对称加密;
安全级别13:一次一密中密钥强度非对称加密;
安全级别14:一次一密强密钥强度非对称加密;
上述安全级别中,用到的对称加密算法包括aes、sm4、gost、salsa20算法,非对称算法包括rsa、ecc、sm2算法,摘要算法包括sha256、sha512、sm3算法,mac采用t-mac、hmac、poly1305算法,加密及完整性结合的aead算法包括aes-gcm、chacha20-poly1305算法。
所述步骤一的具体过程为:
首先在云端中心采集计算资源,收集或实现基于通用fpga的安全协议硬件加速程序;
云端中心针对应用需求和不同fpga硬件情况,进行安全性分级,形成多种算法的硬件加速程序;
云端中心通过云端fpga加速卡加载程序,完成海量测试,保证其可靠性;
云端中心根据历史网络安全协议的使用情况,并结合硬件的加速效率、功耗、时延,形成安全分级的协议栈fpga程序;
物联网终端设备向云端中心请求所需的安全协议栈fpga程序;
云端中心根据物联网终端设备的请求,个性化分发安全协议栈fpga程序,存储到物联网终端设备的本地eprom存储中。
所述步骤二中,物联网终端根据实际需要进行硬件加速前,首先进行安全协议级别确认,该确认过程为:
1)首先物联网终端根据本地实际应用需求情况和fpga硬件加速通信情况,确定安全认证协议;
2)物联网终端请求与其他物联网终端或云端中心进行通信,向对方发送安全认证级别及算法信息;
3)通信接收方确认安全级别,并根据通信安全需求确定并返回给发送方安全协议级别及算法信息,其中接收方指定的安全协议级别必须大于等于发送方的安全协议级别;
4)物联网终端作为通信发起方,接收到对方的安全协议级别及算法信息,如果对方级别大于本地级别,则跳转到步骤5),否则,跳转到步骤6);
5)物联网终端向云端中心请求指定安全级别的协议栈fpga程序,并由云端中心返回,写入到本地eprom中;
6)物联网终端确定协议具体加密和摘要算法,并通知对方。
所述步骤三中,当安全协议级别确认,物联网终端使用fpga加速卡硬件加速安全协议应用,完成端到端的安全通信后,记录本次fpga硬件加速安全通信情况,该记录信息包括功耗、传输速度、数据量、业务情况,然后保存在物联网终端中,并定期上传到云端中心,使云端中心持续优化fpga安全认证协议栈硬件加速程序。
本发明的一种基于fpga多协议安全认证网络交换加速系统及方法和现有技术相比,具有以下有益效果:
本发明的一种基于fpga多协议安全认证网络交换加速系统及方法,在云端和物联网终端中增加fpga加速卡以及eprom安全协议计算程序存储,云端根据端到端业务网络安全要求,并结合实际fpga硬件加速的应用情况,对fpga安全认证协议进行分级,形成基于fpga硬件加速的安全认证协议栈;云端将优化的fpga硬件加速程序分发到设备侧,通过动态实时加载安全协议程序,实现安全认证协议硬件加速,提高网络处理能力,增加数据吞吐量;相比于传统的专用加密设备方式,适应性更强,支持协议更多,在端到端的通信可以实时切换多种安全认证通信协议,并且功耗更低,时延更低,可以满足多场景网络安全应用需求;物联网终端会将终端网络安全认证加速情况定期上传至云端,利用云端大数据分析,持续优化fpga安全认证协议栈硬件加速程序的效率,适用范围广泛,具有很好的推广使用价值。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
附图1是本发明的系统实现示例图。
附图2是本发明方法的实现流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明的方案,下面结合具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如附图1所示,一种基于fpga多协议安全认证网络交换加速系统,云端中心和物联网终端增加fpga加速卡以及eprom安全协议计算程序存储,通过动态实时加载安全协议程序,实现安全认证协议硬件加速,提高网络处理能力,增加数据吞吐量。
其中,所述的云端中心部署多个fpga加速卡,对各种网络安全协议进行分析,并结合fpga硬件特点,针对不同安全认证协议生成fpga的硬件加速算法,根据物联网终端的业务安全协议要求,将安全认证协议组成协议栈,分发到各个拥有fpga的物联网终端,同时云端中心网络利用其fpga加速卡进行网络连接安全认证加速;所述的物联网终与云端进行交互,获取fpga硬件加速程序,根据其应用对网络安全个性化的需求,动态选择安全认证协议进行硬件加速,完成设备与云端、设备与设备之间的安全通信,提高网络处理效率,另外还负责本地安全协议的使用情况记录;所述的eprom存储负责保存来自云端实现安全认证协议栈的fpga硬件加速程序;所述的fpga加速卡负责实现安全认证网络协议的硬件加速。
其结构具体包括,
云端中心,配置有fpga加速卡以及eprom存储,所述eprom存储存放安全协议计算程序,该云端中心首先对fpga安全认证协议进行分级,形成基于fpga硬件加速的安全认证协议栈,该协议栈即fpga硬件加速优化程序,然后再将fpga硬件加速优化程序分发下去;
物联网终端,配置有fpga加速卡以及eprom存储,该物联网终端的eprom存储用于接收来自云端中心的fpga硬件加速优化程序,并通过动态实时加载安全协议程序,实现fpga加速卡的硬件加速过程,同时将该过程的具体信息存储在rprom存储中,并定期上传至云端中心,利用云端中心的大数据分析,持续优化fpga安全认证协议栈。
如附图2所示,一种基于fpga多协议安全认证网络交换加速方法,其实现过程为:
一、首先在云端中心对各种网络安全协议进行分析,并结合fpga硬件,针对不同安全认证协议生成fpga的硬件加速算法,根据物联网终端的业务安全协议要求,将安全认证协议组成协议栈,分发到各个拥有fpga加速卡的物联网终端,同时云端中心的网络利用其fpga加速卡进行网络连接安全认证加速;
二、物联网终端接收来自云端中心的fpga硬件加速程序,根据其应用对网络安全个性化的需求,动态选择安全认证协议进行硬件加速,并将加速过程产生的数据存储在eprom存储中;
三、物联网终端定期发送其eprom存储中的数据到云端中心,云端中心持续进行优化分析,重复步骤一、二的过程。
所述各种网络安全认证协议包括tls协议、私有安全协议,并根据密钥强度进行分类,每一类均有对应的算法,该算法包括对称加密算法、非对称加密算法、摘要算法、aead算法。
所述网络安全协议具体分为以下十四类并对应以下算法:
安全级别0:不进行加密、认证以及完整性校验;
安全级别1:利用弱密钥强度的公钥体系,进行身份认证;
安全级别2:利用中密钥强度的公钥体系,进行身份认证;
安全级别3:利用强密钥强度的公钥体系,进行身份认证;
安全级别4:仅使用hash进行完整性校验;
安全级别5:仅使用mac进行完整性校验;
安全级别6:通信数据弱密钥强度对称加密及完整性校验;
安全级别7:通信数据中密钥强度对称加密及完整性校验;
安全级别8:通信数据强密钥强度对称加密及完整性校验;
安全级别9:一次一密弱密钥强度对称加密;
安全级别10:一次一密中密钥强度对称加密;
安全级别11:一次一密强密钥强度对称加密;
安全级别12:一次一密弱密钥强度非对称加密;
安全级别13:一次一密中密钥强度非对称加密;
安全级别14:一次一密强密钥强度非对称加密;
上述安全级别中,用到的对称加密算法包括aes、sm4、gost、salsa20算法,非对称算法包括rsa、ecc、sm2算法,摘要算法包括sha256、sha512、sm3算法,mac采用t-mac、hmac、poly1305算法,加密及完整性结合的aead算法包括aes-gcm、chacha20-poly1305算法。
本领域技术人员将理解的是,除了使用以上级别和算法之外,根据本发明的实施方式的构造也能够应用于其他算法之上。
所述步骤一的具体过程为:
首先在云端中心采集计算资源,收集或实现基于通用fpga的安全协议硬件加速程序;
云端中心针对应用需求和不同fpga硬件情况,进行安全性分级,形成多种算法的硬件加速程序;
云端中心通过云端fpga加速卡加载程序,完成海量测试,保证其可靠性;
云端中心根据历史网络安全协议的使用情况,并结合硬件的加速效率、功耗、时延,形成安全分级的协议栈fpga程序;
物联网终端设备向云端中心请求所需的安全协议栈fpga程序;
云端中心根据物联网终端设备的请求,个性化分发安全协议栈fpga程序,存储到物联网终端设备的本地eprom存储中。
所述步骤二中,物联网终端根据实际需要进行硬件加速前,首先进行安全协议级别确认,该确认过程为:
1)首先物联网终端根据本地实际应用需求情况和fpga硬件加速通信情况,确定安全认证协议;
2)物联网终端请求与其他物联网终端或云端中心进行通信,向对方发送安全认证级别及算法信息;
3)通信接收方确认安全级别,并根据通信安全需求确定并返回给发送方安全协议级别及算法信息,其中接收方指定的安全协议级别必须大于等于发送方的安全协议级别;
4)物联网终端作为通信发起方,接收到对方的安全协议级别及算法信息,如果对方级别大于本地级别,则跳转到步骤5),否则,跳转到步骤6);
5)物联网终端向云端中心请求指定安全级别的协议栈fpga程序,并由云端中心返回,写入到本地eprom中;
6)物联网终端确定协议具体加密和摘要算法,并通知对方。
所述步骤三中,当安全协议级别确认,物联网终端使用fpga加速卡硬件加速安全协议应用,完成端到端的安全通信后,记录本次fpga硬件加速安全通信情况,该记录信息包括功耗、传输速度、数据量、业务情况,然后保存在物联网终端中,并定期上传到云端中心,使云端中心持续优化fpga安全认证协议栈硬件加速程序。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。