基于FPGA和DSP的国密加密安全视频数据交换卡及交换方法与流程

本发明属于网络设备技术领域，尤其是涉及一种基于fpga和dsp的国密加密安全视频数据交换卡及交换方法。

背景技术：

近年来，特别在专网(如公安信息网等)为了实现关联业务互联互通，做到内部网络与其它多个外部网络之间的视频流、视频信令等多种数据安全交换传输，加强信息资源共享和综合应用能力，同时保证数据交换及自身网络的高度安全，广泛应用了带物理隔离网闸的数据交换服务器。采用网络隔离技术来对付各种网络危害。网闸与交换服务器间采用tcp/ip通信，网闸内部可对数据进行防病毒、入侵检测等一系列安全处理。计算机网络的快速发展到目前已经取得了巨大的成功。特别在电子商务、电子政务等网络技术的应用和推广给人们的生活带来了极大方便，也为社会创造了巨大的财富。但与此同时，网络也给人们带来各种各样的安全威胁，如：数据窃取、数据篡改、网络攻击等，特别是一些重要的网络遭受攻击后，会对社会产生严重危害，给国家造成巨大损失。为了避免网络攻击造成信息泄露等损失，越来越多的政府部门、企业单位开始采用各种网络安全工具、设备来保护自己的网络。

目前视频等数据交换服务器与网络的连接普遍采用网卡，网卡的性能高低对于网络通讯来说至关重要，随着通讯技术的不断发展，服务器及其网卡性能也在不断提升。但面对不断增涨的大数据量交换、高并发等应用，现有tcp/ip软硬件架构和应用高cpu消耗的缺点导致服务器应用程序运行速度慢，数据交换传输效率低的问题日趋突出。具体来讲，当前我们国内主要的跨网络视频等数据交换采用的方法基本有以下几类：a、通过中间件进行跨网络视频等数据交换。b、通过数据库自身工具、数据库代理进行数据交换。c、利用文件进行数据交换。以上的数据交换方法，设备间数据传输的网络接口主要采用网卡，传输协议一般采用tcp/ip协议。

例如，跨网络视频等数据交换系统主要由外网交换服务器、隔离网闸、内网交换服务器组成(如图1)。交换服务器与内外网络连接方式、隔离网闸与交换服务器连接方式主要采用网卡，传输协议采用tcp/ip协议，隔离网闸主要采用asic网络控制芯片进行数据传输控制。在数据交换系统中采用的网卡，主要实现计算机在网络上进行通讯的硬件，其本身不具有加密、并行计算、用户数据存储、安全视频数据和特定文件格式传输等等功能。万兆光纤网卡的原理框图如图2。

传统的视频等数据交换服务器之间或与网闸之间的典型数据传输，如图1，服务器发送的数据经应用层软件的缓存→操作系统tcp/ip协议栈缓存→驱动层的缓存→网卡的缓存，最后通过网络传输到接收端服务器，接收端则通过反方向的层层解析后才能得到发送端发过来的数据。在网络体系结构中的应用层、传输层、网络层数据传输都要消耗大量cpu资源。

例如：外网交换服务器向网闸发送数据。网闸服务器收到数据后其内核首先接收并解析数据包报头，确定数据属于其应用程序a，然后唤醒应用程序a，随后应用程序a执行系统调用到内核，最后复制数据从内核自己的缓存到应用程序a提供的缓存中。这个过程意味着大多数网络通信必须至少在系统的主内存总线上复制两次，一次主机网卡将数据放入内核提供的缓存，另一次内核将数据移动到应用程序的缓存，这个过程中计算机必须执行多个上下文切换导致数据交换处理效率低下，可控制性差。

上述以太网数据交换技术中，网络数据接口主要采用网卡，并基于tcp/ip协议进行通讯。在应用中一般会暴露出以下缺点。1、传输效率问题：当网络传输流量较高时，特别是达到几千兆乃至万兆的流量时，单位时间内需处理的数据量就越多，tcp/ip协议栈高cpu资源消耗的特点会使服务器系统出现极高的cpu负荷，导致服务器处理速度及数据交换传输的效率大大降低。目前为了提高数据交换的效率，常用方法主要是提高系统硬件性能，采用更高性能的服务器及网络设备，但代价是要对系统进行一定程度的改造，对于一些大型系统而言，其成本是非常巨大的。2、数据安全性问题：当前我们国内主要的数据交换的方法还是存在一些安全隐患的：a、采用中间件进行数据交换，由于网闸上打开的端口和中间件软件报文格式都是业界熟知的、公开的、非常容易被攻击。b、采用数据库自身工具、数据库代理进行数据交换的话，除了存在上述中间件方式的问题外，采用数据库协议几乎是百分之百不加密的，所以关键网络系统和敏感数据交换中，是不建议采用此方式的。c、利用文件进行数据交换，相比以上几种方式相对安全一些，但利用文件进行数据交换，还需要配套其它的安全手段，因为文件本身作为数据传输介质，还是存在被攻击的可能，特别是文件中可能夹杂病毒或者木马。d、近期，由公安部牵头制定的gb35114国家标准(《公共安全视频监控联网信息安全技术要求》)得到通过，即将实施。这是国内外第一个关于视频监控联网信息安全方面的纯技术类标准。而早期发展的传统视频数据交换系统还不符合安全视频数据交换传输的要求。3、可扩展性、可控性差：现有技术的视频数据交换系统中，交换服务器与网闸、交换服务器与数据库服务器间一般都采用私有的通讯协议和接口。所以不同品牌设备、软件不能实现快速对接，同时由于协议、接口差异大而需大量时间进行兼容性修改和调试。

针对现有技术的缺点，需要一种新技术、新方法来降低视频等数据交换对服务器cpu资源的消耗，提高视频等数据交换效率、兼容性和良好的可扩展性，研制一种更安全的数据交换方式来实现安全数据交换，保障用户在当前最为安全的方式下，实现不同网络或不同安全域之间的视频等数据交换。以优化、解决现有数据交换方法所存在的问题。因此，设计出一种数据交换传输效果好的交换卡显得尤为必要和迫切。

技术实现要素：

本发明的目的是针对上述问题，提供一种硬件架构简单，提高数据交换效果的基于fpga和dsp的国密加密安全视频数据交换卡。

本发明的另一个目的是针对上述问题，提供一种易于实施，实现更安全的数据交换方式的基于fpga和dsp的国密加密安全数据交换方法。

为达到上述目的，本发明采用了下列技术方案：本基于fpga和dsp的国密加密安全视频数据交换卡，包括pcb电路板，所述的pcb电路板上设有时钟产生和管理模块以及电源转换和管理模块，所述的pcb电路板上设有fpga芯片，所述的fpga芯片上连接有fpga外围电路，所述的pcb电路板上设有若干分别和fpga芯片相连的sfp+万兆光接口以及至少一个和fpga芯片相连的pci-e总线接口，所述的fpga芯片连接有至少两个dsp处理器，所述的dsp处理器上连接有dsp外围电路。

本发明用于替代原有方案中的普通网卡，充分发挥fpga芯片并行处理的优势、dsp适合并行加密算法的特点、专用电路的数据安全保障、通用文件格式兼容性、支持gb35114等安全标准视频流等，提高了以太网数据交换服务器工作效率，大大降低数据交换对服务器cpu资源的消耗。另一方面，采用fpga、dma、dsp国密算法进行交换数据的加密、解密，以大大提高数据交换的安全性能。可选择对视频等数据是否进行双重加密，以满足不同需求。本发明支持sip、psip、gb28181、gb35114等信令数据的交换传输，支持h.264、h.263、mp4、svav等格式视频流的交换传输。以实现最新的安全视频监控联网信息的交换传输。本发明中支持采用的特有文件格式主要有，xml,即可扩展标记语言，json轻量级的数据交换格式，xml和json都是数据交换格式，适合不同应用系统间数据的共享和交互。相比传统的数据交换而言，接口的兼容性和可扩展性更强，同时由于采用fpga、dma、dsp加密等技术又保证了数据交换的安全性。此方案中采用的fpga芯片具有并行处理的优势,运算高效，采用fpga结构设计的板卡属于专用电路，可以提高数据交换的安全性。在实现相同功能的前提下，其结构简单，可靠性强并且具有更高的灵活性和运算速度。与目前系统中采用的网卡或其它专用芯片方案不同，fpga具有高速并行处理优势的同时，还具有更强的灵活性和扩展性，可根据今后需要，对fpga直接编程，进行功能修改、增加以及升级操作。此方案中采用dma，此技术不需要依赖cpu的大量中断负载，安全数据交换的发送端应用软件将要发送的数据通过私有接口写入dma的内存空间，fpga通过dma直接从内存中读取数据发送。dma技术提供了计算机内存的直接访问方法，而不涉及其操作系统的tcp/ip协议的层层协议栈。这种方法具有低cpu利用率、低延迟的特征，从而实现数据交换网络的高吞吐量。此方案中采用了dsp技术，充分利用dsp数字信号处理强、算法强、并行执行等优势，相对其它器件从处理速度、灵活性方面更适合实现各种国密算法。与fpga间采用高可靠、高性能的串行srio接口，支持dma传输、多点传输，多速率选择，单通道速率可达5gbps。

在上述的基于fpga和dsp的国密加密安全视频数据交换卡中，所述的fpga芯片上连接有四组sfp+万兆光接口，且每一组sfp+万兆光接口分别和设置在pcb电路板上的光纤连接指示灯和光纤速率指示灯相对应。

在上述的基于fpga和dsp的国密加密安全视频数据交换卡中，所述的fpga外围电路包括分别和fpga芯片相连的flash存储模块、eeprom存储模块、sdram内存模块组、板卡温度监控模块、调试接口、复位模块、串口模块、扩展i/o接口、信息指示灯组、参数设置开关组以及fpga程序加密模块。

在上述的基于fpga和dsp的国密加密安全视频数据交换卡中，所述的fpga芯片连接有两组dsp处理器，且所述的dsp处理器分别通过srio接口以及iic/spi接口和fpga芯片相连。

在上述的基于fpga和dsp的国密加密安全视频数据交换卡中，所述的dsp外围电路包括设置在分别和dsp处理器相连的dsp外围信息指示灯组、dsp外围eeprom存储模块、dsp外围flash存储模块、dsp外围sdram内存模块、dsp外围真随机数发生模块、dsp外围调试接口以及dsp外围复位模块。

在上述的基于fpga和dsp的国密加密安全视频数据交换卡中，所述的时钟产生和管理模块包括晶体振荡器、多路时钟发生器及外围器件；所述的电源转换和管理模块包括降压型dc/dc转换器和低压差线性稳压器。

在上述的基于fpga和dsp的国密加密安全视频数据交换卡中，所述的pcb电路板上设有与电源转换和管理模块相连的电源指示灯以及与dsp处理器相连的microusb接口。

在上述的基于fpga和dsp的国密加密安全视频数据交换卡中，所述的pci-e总线接口采用pci-egen2x8及以上接口或pci-egen3x4及以上接口。

上述的基于fpga和dsp的国密加密安全视频数据交换卡的基于fpga和dsp的国密加密安全数据交换方法如下所述：

本基于fpga和dsp的国密加密安全数据交换方法，包括以下步骤：

s1、数据发送:fpga芯片采用dma技术经pci-e总线接口从服务器内存读取应用层需发送的数据，然后经dsp处理器加密后回传给fpga通过板卡的sfp+万兆光接口发送到网络上；

s2、数据接收:fpga芯片从sfp+万兆光接口接收来自网络的数据，根据应用层的指令进行数据过滤、单双向通讯的控制后，对符合接收要求的数据经过dsp处理器解密后经fpga芯片的pci-e总线接口采用dma技术写到服务器的内存中，供服务器应用程序通过私有接口读取。

在上述的基于fpga和dsp的国密加密安全数据交换方法中，在步骤s1中的dsp处理器加密包括：fpga芯片通过pci-e总线接口获取需加密传输的数据，并确认符合传输的数据经srio接口发送给dsp处理器,dsp处理器采用已公开的国密加密算法、密钥进行数据包的并行加密，完成加密后发送给fpga芯片经sfp+万兆光接口向目标网络进行传输；在步骤s2中的dsp处理器解密包括：解密方面，fpga芯片通过sfp+万兆光接口收到的数据，经确认符合传输要求后，通过srio接口发送给dsp处理器,dsp处理器通过数据交换前认证所获取的密钥进行解密数据，并将解密后的数据经srio接口发给fpga芯片，fpga芯片通过pci-e总线接口采用dma方法传给服务器的应用程序。对于已加密的视频等数据，交换卡可设置不对数据进行双重加密，直接由fpga进行高速转发。

与现有的技术相比，本基于fpga和dsp的国密加密安全视频数据交换卡及交换方法的优点在于：本发明采用专用电路算法实现特定数据文件格式传输方式的思路，独创性的将fpga、dsp、dma、万兆光纤数据传输、dsp国密算法、支持安全视频流及数据交换格式多种关键技术有机的结合在一张安全视频数据交换卡上，fpga作为其核心运算处理器，充分利用其硬件并行处理、运算高效的优势，结合dma高速、超低延时、极低cpu使用率的特点，并嵌入了dsp加密卡技术，支持国密算法。支持安全视频流、视频信令和xml、json数据交换格式，然后通过万兆光纤接口进行单向或双向数据的高速传输，可完全支持现有单向光闸和隔离网闸的功能，并提供更全面的功能和更高的效率及安全性能。通过在交换卡中采用这些方法，使交换卡的控制集中、结构简单、传输高效、数据格式兼容、文件扩展性好、数据交换安全可靠等特点。即做到了数据交换格式的兼容性和可扩展性，又不失良好的安全性能。

采用此方法的交换卡能适合不同应用系统间数据的共享和交互。相比传统的数据交换而言，接口的兼容性和可扩展性更强，同时由于采用fpga、dma、加密等技术又保证了数据交换的安全性。所以在应用系统中采用此交换卡不仅能提高数据交换的效率，提升应用系统中服务器cpu的处理能力，也在保证信息安全性的同时，使交换卡具有更高的灵活性和可靠性。

在交换卡中，fpga可以实现对交换数据的单向、双向通讯的控制。采用fpga内部硬件电路实现硬件隔离，并可对数据包进行过滤、分析功能，能达到原有数据交换系统中网卡和单向光闸、隔离网闸的功能，所以在合适的应用场景下安全视频数据交换卡完全可以同时替换掉原有视频数据交换系统中的网卡和光闸或网闸设备，降低了系统成本和部署难度。此发明方法属于专用开发电路，可根据功能需求进行修改扩展，而传统数据交换中采用的网卡则为通用件，无法进行功能的修改和扩展，只能通过一些寄存器进行有限的设置选择。

附图说明

图1为传统跨网络数据交换系统的结构示意图；

图2为本发明中传统万兆光纤网卡的原理框图；

图3为本发明中的结构框图；

图中，pcb电路板1、sfp+万兆光接口11、光纤连接指示灯111、光纤速率指示灯112、pci-e总线接口12、srio接口13、iic/spi接口14、电源指示灯15、microusb接口16、时钟产生和管理模块2、晶体振荡器21、多路时钟发生器22、外围器件23、电源转换和管理模块3、降压型dc/dc转换器31、低压差线性稳压器32、fpga芯片4、fpga外围电路5、flash存储模块51、eeprom存储模块52、sdram内存模块组53、板卡温度监控模块54、调试接口55、复位模块56、串口模块57、扩展i/o接口58、信息指示灯组59、参数设置开关组591、fpga程序加密模块592、dsp处理器6、dsp外围电路7、dsp外围信息指示灯组71、dsp外围eeprom存储模块72、dsp外围flash存储模块73、dsp外围sdram内存模块74、dsp外围真随机数发生模块75、dsp外围调试接口76、dsp外围复位模块77。

具体实施方式

下面结合附图和具体实施方式对本发明做进一步详细的说明。

如图3所示，本基于fpga和dsp的国密加密安全视频数据交换卡，包括pcb电路板1，pcb电路板1作为电子元器件及电气连接的载体，是重要的电子部件，本发明设计的pcb为满足超大规模集成电路及小型化器件的应用，采用高密度多叠层pcb设计，对于高频差分信号(如10g、pci-e)及单端信号(sdram等)为确保信号传输的功率及质量，分别对两类信号做阻抗匹配设计。为提高元器件贴片焊接质量、提高信号传输质量及焊盘抗氧化能力，设计采用沉金工艺。pcb电路板1上设有时钟产生和管理模块2以及电源转换和管理模块3，优选地，这里的时钟产生和管理模块2包括晶体振荡器21、多路时钟发生器22及外围器件23；设计由频率稳定度好、温度频差小的晶体振荡器、多路时钟发生器及外围器件组成，由此模块产生fpga及dsp所需的所有时钟信号。多路时钟发生器22可将低频晶体振荡器的时钟转换成高频时钟，并支持多路输出及输出时钟频率的配置产生所需的不同时钟，切换多种工作模式。所述的电源转换和管理模块3包括降压型dc/dc转换器31和低压差线性稳压器32，采用降压型dc/dc(直流电源转换)和ldo(低压差线性稳压器)转换电路将输入的+12v、+3.3v逐级的转换成板卡所需的各类直流电源。并给主板电源led指示电路、fpga散热风扇接口电路供电。其中，这里的pcb电路板1上设有fpga芯片4，fpga芯片4上连接有fpga外围电路5，pcb线路板1上设有若干分别和fpga芯片4相连的sfp+万兆光接口11以及至少一个和fpga芯片4相连的pci-e总线接口12，fpga芯片4连接有至少两个dsp处理器6，dsp处理器6上连接有dsp外围电路7。

这里的pcb电路板1上设有与电源转换和管理模块3相连的电源指示灯15,用于指示交换卡是否有供电。将pci-e或外接电源接口供电电源经分压、限流后驱动led指示灯。以及microusb接口16,设计用于连接管理员权限的usb装备，如：u盾。实现与密钥的交互访问，完成身份认证及密码管理功能，如：密钥的销毁、备份等。

其中，这里的pci-e总线接口12采用pci-egen2接口或pci-egen3接口。采用gen2.0或gen3.0标准设计，根据光接口总速率的要求，pci-e接口位宽设计为gen2.0为x8及以上，

gen3.0为x4及以上。此接口通过金手指与服务器pci-e槽位对接，应用程序发送、接收的数据、管理配置数据将通过此接口与交换卡进行交互。另外交换卡的电源也通过此接口提供。

本发明用于替代原有方案中的普通网卡，充分发挥fpga芯片并行处理的优势、dsp适合并行加密算法的特点、专用电路的数据安全保障、通用文件格式兼容性、支持gb35114等安全标准视频流等，提高了以太网数据交换服务器工作效率，大大降低数据交换对服务器cpu资源的消耗。另一方面，采用fpga、dma、dsp国密算法进行交换数据的加密、解密，以大大提高数据交换的安全性能。可选择对视频等数据是否进行双重加密，以满足不同需求。本发明支持sip、psip、gb28181、gb35114等信令数据的交换传输，支持h.264、h.263、mp4、svav等格式视频流的交换传输。以实现最新的安全视频监控联网信息的交换传输。本发明中支持采用的特有文件格式主要有，xml,即可扩展标记语言，json轻量级的数据交换格式，xml和json都是数据交换格式，适合不同应用系统间数据的共享和交互。

其中，fpga是现场可编程门阵列的简称，fpga的应用领域最初为通信领域，但近些年，随着信息产业和微电子技术的发展，fpga技术已经成为信息产业最热门的技术之一，应用范围遍及航空航天、广播、通讯、医疗、安防、汽车电子、测量测试、消费类市场等多个热门领域。并随着工艺的进步和技术的发展，向更多、更广泛的应用领域扩展。fpga主要优势是可编程灵活性高,相比定制asic而言开发周期短,并行计算效率高等。

dsp是数字信号处理的简称，随着通信技术的飞速发展，dsp已经成为信号与信息处理领域十分重要的技术。dsp的诸多特点使它特别适合实现数字信号的算法。现在通信领域中许多产品都与dsp密切联系，例如：gsm、cdma、modem、可视电话、图像处理、数据加密等，同时也在仪器仪表、机电控制、军事、医学等领域都有广泛应用。dsp技术特点如：a)支持并行运算；b)运算高效，单指令周期即可完成一次乘法和加法；c)程序和数据空间分开，可同时访问指令和数据；d)片内具有快速ram，提高了数据读写速度；e)硬件支持多总线哈佛结构，支持流水线操作，取指、译码和执行等操作可以重叠执行，提高了数据处理能力。f)具有独立的硬件乘法器，极大的提高了信号处理算法的速度。

dma是直接存储器存取技术的简称。用dma传输数据时,在高速i/o设备与存储器之间,直接开辟高速的数据传输通道,cpu不需要直接参与数据交换,而是通过dma的一种专门接口逻辑电路即dma控制器来负责管理,采用dma技术可以大大提高i/o接口的速度。

其中，万兆光纤数据传输技术：随着桌面pc机和服务器的网络连接不断向快速以太网和千兆以太网升级,导致数据中心服务器等通讯设备对带宽的需求越来越高，这些都促使万兆光纤数据传输技术的迅猛发展，其市场份额不断扩大。然而由于高昂的成本，目前万兆光纤的应用并没有像预测的那样在市场上迅速蔓延。在这个背景下，一种新的光收发器方案脱颖而出。具备高端口密度、低成本的sfp+光模块的出现可以为企业用户提供比以往技术性价比更高的万兆以太网解决方案。

国密算法是国家密码局制定标准的一系列算法，主要用于涉密内容及敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如：用于企业门禁管理、企业内部的各类敏感信息的传输加密、存储加密，防止非法第三方获取信息内容，也可用于各种安全认证、网上银行、数字签名等。国密算法包括了对称加密算法、椭圆曲线非对称加密算法、杂凑算法。具体包括sm1(算法不公开)、sm2、sm3、sm4、sm7(算法不公开)、sm9等。

国标gb35114：gb35114-2017《公共安全视频监控联网信息安全技术要求》，规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求，包括公共安全视频监控联网信息安全系统的互联结构、证书和密匙要求、基本功能要求、性能要求等技术要求。适用于公共安全领域视频监控系统的信息安全方案设计、系统检测、验收以及与之相关的设备研发与检测。gb35114对推动视频监控信息安全意义重大。

对于数据交换格式：xml和json是当前比较流行的数据交换格式，xml拥有跨平台、跨语言、易扩展的优势，json则是一种轻量级数据交换格式，易于阅读和编写，同时也易于机器解析和生成。

相比传统的数据交换而言，接口的兼容性和可扩展性更强，同时由于采用fpga、dma、dsp加密等技术又保证了数据交换的安全性。此方案中采用的fpga芯片具有并行处理的优势,运算高效，采用fpga结构设计的板卡属于专用电路，可以提高数据交换的安全性。在实现相同功能的前提下，其结构简单，可靠性强并且具有更高的灵活性和运算速度。与目前系统中采用的网卡或其它专用芯片方案不同，fpga具有高速并行处理优势的同时，还具有更强的灵活性和扩展性，可根据今后需要，对fpga直接编程，进行功能修改、增加以及升级操作。此方案中采用dma，此技术不需要依赖cpu的大量中断负载，安全数据交换的发送端应用软件将要发送的数据通过私有接口写入dma的内存空间，fpga通过dma直接从内存中读取数据发送。dma技术提供了计算机内存的直接访问方法，而不涉及其操作系统的tcp/ip协议的层层协议栈。这种方法具有低cpu利用率、低延迟的特征，从而实现数据交换网络的高吞吐量。此方案中采用了dsp技术，充分利用dsp数字信号处理强、算法强、并行执行等优势，相对其它器件从处理速度、灵活性方面更适合实现各种国密算法。与fpga间采用高可靠、高性能的串行srio接口，支持dma传输、多点传输，多速率选择，单通道速率可达5gbps。

其中，fpga芯片4在外设的配合下实现的主要功能：用于sfp+万兆光纤接口数据收发、数据单双向通讯的硬件控制、数据过滤、配合dsp处理器进行数据加密的传输、pci-e数据传输、实现dma功能、内存控制、存储器读写、板卡信息指示等功能。fpga的高速接口具有全双工通讯功能，一方面采用dma技术经pci-e从服务器内存读取应用层需发送的数据，然后经dsp处理器加密后通过板卡的光口发送到网络上。另一方面，fpga从光口接收来自网络的数据，根据应用层的指令进行数据过滤、单双向通讯的控制后，对符合接收要求的数据经过dsp解密后经fpga的pci-e接口采用dma技术写到本服务器的内存中，供服务器应用程序通过私有接口读取。

优选地，本实施例中的fpga芯片4上连接有四组sfp+万兆光接口11，且每一组sfp+万兆光接口11分别和设置在pcb电路板1上的光纤连接指示灯111和光纤速率指示灯112相对应。这里的4组sfp+万兆光接口及指示灯：用于安装sfp+万兆光模块，并通过光纤连接外部目标设备，以实现网络通讯的功能。每个sfp+万兆光接口11均对应有1个光纤连接指示灯和1个光纤速率指示灯。光纤连接指示灯111用于指示光口收、发链路连接是否正常，常亮表示正常，不亮表示异常。光纤速率指示灯112用于指示光纤实时传输的速率，常亮表示速率大于等于9gbps，闪烁表示速率在9gbps以下，不亮表示无数据传输。

其中，这里的fpga外围电路5包括分别和fpga芯片4相连的flash存储模块51、eeprom存储模块52、sdram内存模块组53、板卡温度监控模块54、调试接口55、复位模块56、串口模块57、扩展i/o接口58、信息指示灯组59、参数设置开关组591以及fpga程序加密模块592。

这里的flash存储模块51:设计用于存放fpga的配置代码，主要由于大多数fpga处理器是基于sram结构的，而sram单元中的数据在掉电后就会丢失，因此交换卡上电后，要由配置电路将正确的数据自动加载到fpga的sram中，配置完成后fpga处理器就能正常运行。

eeprom存储模块52：设计采用iic或spi接口的eeprom芯片及外围器件组成，用于存储交换卡软硬件版本、唯一序列号、工作参数等数据。

sdram内存模块组53:设计由多组内存芯片等器件组成，用于缓存接收、发送的数据，根据速率及fpga对数据处理的要求不同，设计采用不同容量及速率的内存。

板卡温度监控模块54：设计由数字接口的温度芯片及外围器件组成，实现对交换卡实时温度的采集，fpga通过硬件接口读取到温度值，可根据用户的设置对特定温度做出反应，如调整交换卡散热风扇转速、降低传输处理速度、告警等。

调试接口55：设计由标准的jtag接口及外围器件组成，电脑连接仿真器通过此设计接口可实现对fpga处理器在线调试、仿真、配置文件下载等功能。

复位模块56：设计由复位按钮和外围器件组成，用于交换卡在不断电的情况下，重新启动fpga运行。

串口模块57：设计将fpga的i/o口隔离后引出，用于用户通过此接口获取交换卡启动信息、参数信息、调试信息等。

扩展i/o接口58：设计将fpga的离散i/o口经隔离后，引出到统一的接口上，作为备用设计接口，主要用于扩展与外部模块进行i/o通讯之用。

板卡信息指示灯组59:设计多个led指示灯，包括1个fpga程序正常运行指示闪烁，多个运行状态指示灯。如：收到大量错误包、传输异常等问题时点亮对应的led指示灯。

参数设置开关组591:由多位开关组成，主要用于选择供给fpga的各类时钟频率，设置板卡硬件地址等作用。

fpga程序加密模块592：设计由“安全哈希算法”存储器(简称加密芯片)及外围器件组成。主要实现fpga程序的知识产权保护，防止代码的非法拷贝。fpga正式工作前都需要完成与加密芯片的身份鉴别(指令问答)，通过后用户设计功能才能正常运行。

进一步地，这里的fpga芯片4连接有两组dsp处理器6，且dsp处理器6分别通过srio接口13以及iic/spi接口14和fpga芯片4相连。两组dsp处理器6功能类似，下面以1组为单位进行说明。dsp处理器在外设的配合下，设计实现交换数据的加、解密功能。加密方面，fpga通过pci-e接口获取需加密传输的数据，并确认符合传输的数据经srio接口发送给dsp,dsp采用已公开的国密加密算法、密钥进行数据包的并行加密，完成加密后发送给fpga经sfp+万兆光口向目标网络进行传输。解密方面，fpga通过sfp+万兆光纤接口收到的数据，经确认符合传输要求后，通过srio接口发送给dsp,dsp通过数据交换前认证所获取的密钥进行解密数据，并将解密后的数据经srio接口发给fpga，fpga则通过pci-e接口采用dma方法传给服务器的应用程序。对于已加密的视频等数据，交换卡可设置不对数据进行双重加密，直接由fpga进行高速转发。

优选地，这里的dsp外围电路7包括设置在分别和dsp处理器6相连的dsp外围信息指示灯组71、dsp外围eeprom存储模块72、dsp外围flash存储模块73、dsp外围sdram内存模块74、dsp外围真随机数发生模块75、dsp外围调试接口76以及dsp外围复位模块77。

这里的dsp外围信息指示灯组71：设计多个led指示灯，包括1个dsp程序正常运行指示闪烁，多个运行状态指示灯。如：收到大量错误包、密钥等问题时点亮对应的led指示灯。dsp外围eeprom存储模块72：设计采用iic或spi接口的eeprom芯片及外围器件组成，用于存储密钥、软件版本等数据。dsp外围flash存储模块73：设计采用nor或nandflash芯片加外围器件组成，主要用于存储dsp的启动代码。dsp外围sdram内存模块74：设计采用内存芯片加外围器件组成，主要用于数据包接收、发送的缓存。dsp外围真随机数发生模块75：设计采用物理噪声源芯片加外围器件组成，用于产生真随机数序列，供密钥产生过程使用。dsp外围调试接口76：设计由标准的jtag接口及外围器件组成，电脑连接仿真器通过此设计接口可实现对dsp处理器在线调试、仿真、程序下载等功能。dsp外围复位模块77：设计由复位按钮和外围器件组成，用于交换卡在不断电的情况下，重新启动dsp运行。

本实施例中的基于fpga和dsp的国密加密安全视频数据交换方法，包括以下步骤：s1、数据发送:fpga芯片4采用dma技术经pci-e总线接口12从服务器内存读取应用层需发送的数据，然后经dsp处理器6加密后回传给fpga并通过板卡的sfp+万兆光接口11发送到网络上；s2、数据接收:fpga芯片4从sfp+万兆光接口11接收来自网络的数据，根据应用层的指令进行数据过滤、单双向通讯的控制后，对符合接收要求的数据经过dsp处理器6解密后经fpga芯片4的pci-e总线接口12采用dma技术写到服务器的内存中，供服务器应用程序通过私有接口读取。

在步骤s1中的dsp处理器6加密包括：fpga芯片4通过pci-e总线接口12获取需加密传输的数据，并确认符合传输的数据经srio接口13发送给dsp处理器6,dsp处理器6采用已公开的国密加密算法、密钥进行数据包的并行加密，完成加密后发送给fpga芯片4经sfp+万兆光接口11向目标网络进行传输；在步骤s2中的dsp处理器6解密包括：解密方面，fpga芯片4通过sfp+万兆光接口11收到的数据，经确认符合传输要求后，通过srio接口13发送给dsp处理器6,dsp处理器6通过数据交换前认证所获取的密钥进行解密数据，并将解密后的数据经srio接口13发给fpga芯片4，fpga芯片4通过pci-e总线接口12采用dma方法传给服务器的应用程序。对于已加密的视频等数据，交换卡可设置不对数据进行双重加密，直接由fpga进行高速转发。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

尽管本文较多地使用了pcb电路板1、sfp+万兆光接口11、光纤连接指示灯111、光纤速率指示灯112、pci-e总线接口12、srio接口13、iic/spi接口14、电源指示灯15、microusb接口16、时钟产生和管理模块2、晶体振荡器21、多路时钟发生器22、外围器件23、电源转换和管理模块3、降压型dc/dc转换器31、低压差线性稳压器32、fpga芯片4、fpga外围电路5、flash存储模块51、eeprom存储模块52、sdram内存模块组53、板卡温度监控模块54、调试接口55、复位模块56、串口模块57、扩展i/o接口58、信息指示灯组59、参数设置开关组591、fpga程序加密模块592、dsp处理器6、dsp外围电路7、dsp外围信息指示灯组71、dsp外围eeprom存储模块72、dsp外围flash存储模块73、dsp外围sdram内存模块74、dsp外围真随机数发生模块75、dsp外围调试接口76、dsp外围复位模块77等术语，但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质；把它们解释成任何一种附加的限制都是与本发明精神相违背的。