一种利用DSP处理IPSEC安全协议中加/解密的系统.pdf

一种利用DSP处理IPSec安全协议中加/解密的系统
                             技术领域

    本发明属于一种计算机网络IPsec(IP安全)协议中加/解密系统，具体地讲是一种利用DSP处理IPsec安全协议中加/解密的系统。

                             背景技术

    IPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：1)保护IP数据包安全；2)为抵御网络攻击提供防护措施。。由于IPsec协议要求对数据进行加密和验证，其中涉及很大的运算量，如果用软件方式实现，将使CPU把大量的资源的用于计算，而不能进行对系统资源的调度及对协议的分析和高层处理，这样势必会导致系统性能的下降，难以达到高速处理数据的目的。

                             发明内容

    本发明的目的是利用DSP(数字信号处理器)其运算能力可达2400MIPS，其拥有大容量的片内存储器和大范围的寻址能力，把通用的微处理器与DSP联合使用，用微处理来完成对系统资源的管理和对IPsec协议的分析处理，而把加/解密和验证这样需要大运算量的工作交由DSP完成。这样微处理器和DSP就可以各取所长，提高系统的性能，提供一种利用DSP处理IPsec安全协议中加/解密的系统，以克服上述的不足。

    为了实现上述目的，本发明由一款通信处理器及外围电路构成，其特点是：在通信处理器上通过总线转换器还连接有一个DSP加/解密芯片，DSP加/解密芯片上连接有加解密卡；

    上述通信处理器上还连接有至少一个以上地PCI插槽。

    目前的VPN安全网关普遍采用的是工控机加加密卡的方式，使用这种方法成本比较高，对加密卡也不易升级。本发明则采用了摩托罗拉公司的64位微控制器MPC8250和TI公司的DSP处理器TMS320C6202来实现，可以通过烧写flash的方法来更新DSP的加密算法，具有较高的灵活性，同时还可以外扩国秘办的加密卡，完成特殊的加密要求；目前的VPN网关大多采用Linux操作系统，通过纯软件方式或专用加/解密芯片来完成加/解密。本发明则采用可WindRiver公司的VxWorks操作系统，并对其协议栈进行了裁减，把其中的加/解密部分分离出来交由DSP处理，在外扩了加密卡的情况下，还可由加密卡来实现特殊的加密运算。

                             附图说明

    图1为本发明硬件结构框图。

    图2为本发明总体硬件框图。

    图3为本发明软件结构框图。

    图4为本发明DSP加/解密芯片与通信处理器连接框图。

    图5为本发明的软件流程图。

                             具体实施方式

    下面结合附图和实施例对本发明作进一步的描述，但该实施例不应理解为对本发明的限制。

    本发明的通信处理器采用MPC8250，MPC8250是摩托罗拉公司专为通信和网络系统设计的一款32通信处理器，内部集成了多个用于网络和通信功能的外设控制器。其为摩托罗拉公司的下一代通信处理器中的主流产品，在设备操作的各方面都提供了更高的性能，包括更强的的灵活性、可扩展能力和更高的集成度。VxWorks操作系统是美国WindRiver(风河)公司于1983年设计开发的一种嵌入式实时操作系统(RTOS)，具有工业领导地位的高性能实时操作系统内核，具有先进的网络功能。VxWorks的开放式结构和对工业标准的支持，使得开发人员易于设计高效的嵌入式系统，并可以很小的工作量移植到其它不同的处理器上。其具有良好的可靠性、实时性和可裁减性，能在相同的硬件条件下获得更好的性能。本发明的定点DSP(数字信号处理器)处理器采用TMS320C6202，TMS320C6202是TI(德州仪器)公司推出的32位定点DSP处理器，芯片内部集成了2个乘法器和6个算术运算单元，且它们是高度正交的，使得在一个周期内最大能支持8条32位的指令，其运算能力可达2400MIPS。其拥有大容量的片内存储器和大范围的寻址能力，片内最多集成了512KB程序存储器和512KB数据存储器，并拥有32位外部存储器界面。

    本发明选择的微控制器是摩托罗拉公司的MPC8250，这款芯片是专门为通信系统设计的，具有较高的性能和较低的功耗。其内部集成了高性能的G2(603e)微处理器和多个外设控制器，内部的系统接口单元(SIU)提供了一个灵活的存储控制器，能方便的与用户定义的存储设备和外设相连接。内部集成了三个高性能的通信通道，可以支持10/100以太网，Transparent和HDLC。使用MPC8250不需要其他的外设控制器，能够获得更高的性能、更好的稳定性和更低的功耗，满足本发明设计的需要。在其上运行VxWorks实时嵌入式操作系统，完成VPN系统实现、网络通讯、系统监控等任务。

    本发明DSP选用的是TI公司的定点DSP芯片TMS320C6202，该DSP内部集成了2个乘法器和6个算术运算单元，最高运算速度可达2400MIPS。其上运行的是运行的是TI的CCS实时开发系统，完成数据包的加解密算法处理及传递等工作。

    本发明使用的操作系统是WindRiver公司的嵌入式实时操作系统VxWorks，该公司同时提供了IPsec/IKE的源代码。该系统是以软件的方式完成对数据的加密，本项目的思路是使用硬件进行信息的加解密及校验处理。因此，需要对windriver公司的该套软件的总体框架进行相应的调整，使之适合本发明的硬件系统。主要的工作内容是分离其软件实现的密码算法部分，提取出接口函数，便于编写硬件驱动程序，达到用硬件实现密码算法的目的。

    本发明DSP使用的是扩展总线，MPC8250所使用的是603总线，两种总线的工作方式、适配逻辑、速度和优先级都不相同，要使其能够通信，则需要进行逻辑转换。如何使两种总线能够快速、有效、可靠的传递数据，也是本发明需要考虑的问题。本发明对两种总线的逻辑变换是使用FPGA来完成的。

    在软件方式下，VxWorks的TCP/IP协议栈同BSD的相同，是用mbuf这种方式来处理数据的，所有的数据都在操作系统的内部堆栈处理。现在由DSP对数据进行加解密运算和验证运算，因此需要把数据从操作系统的内存区拷贝到DSP的内存区。能否有效的改进操作系统协议栈，减少数据的搬移量，将对系统性能产生决定性的影响。

    如图2所示本发明VPN母板模块框图总体：

    ·32位MPC8250通讯处理器，外部频率66MHz，内部频率133MHz，通讯处理模块频率133MHz，带PCI主机桥(或Local Bus)。

    ·在60X总线上有64MByte，未缓存的SDRAM。用MPC8250上面的SDRAM控制器1驱动。最大支持128MByte的SDRAM(需要更换板上的内存片)。

    ·在60X总线上有8MByte的Flash。最大支持16MByte的Flash。用MPC8250上的GPCM控制器驱动，最大支持16MByte(需要更换板上的Flash片)，+3.3V编程。

    ·支持通过JTAG快速下载

    ·一个LOCAL BUS自定义插槽(当不用PCI接口时)。

    ·PCI总线支持PCI2.2规范

    ·32位，3.3V支持2PCI插槽。

    ·PCI总线支持25-66MHz @ 3.3V器件

    ·3个100MHz以太网口。在FCC1，FCC2，FCC3上有100/10-Base-T端口，用带MII接口的Level-One LXT972驱动。

    ·在SMC1和SMC2上支持双RS232接口。

    ·ATX标准电源供电，或其他开关电源。

    ·32bit TMS320C6202信号处理器，外频66MHz，内部频率133MHz，带扩展总线(Exp Bus)。

    ·在扩展总线上有16MByte，未缓存的SDRAM(需要可更换内存片)。

    ·60X总线与扩展总线逻辑转换接口(FPGA)。

    如图1所示本发明VPN子板的模块框图总体：

    ·在多通道缓冲串口上有随机函数发生器，加密芯片(国密办提供)

    ·在数据和地址总线上有8MByte的Flash(需要更换板上的Flash片)，+3.3V编程。

    ·加密算法模块与DSP总线逻辑接口(FPGA)。

    如图4所示本发明DSP和POWER PC间的连接方式：

    XPC8250将需要加密的数据放入SDRAM中，并通过和FPGA相连的控制总线通知FPGA数据以发送。FPGA得到控制信号后，读取SDRAM中的数据，完成相应的逻辑转换把数据送达TMI320C6202/加密卡。TMI320C6202/加密卡完成需要的加解密工作后，把加/解密后的数据返回给FPGA，由FPGA完成逻辑转换，数据送到SDRAM，控制信号送给XPC8250，XPC8250从SDRAM中读取由DSP处理后的数据，最后完成相应的协议操作。在外扩了专用加密子卡后，则可绕过DSP，直接由加密子卡来完成对数据的加/解密。

    如图3所示本发明软件总体设计：

    IPSec安全网关对IP报文的接收、转发和发送处理的整个过程如图所示。当安全网关的网卡接收的数据报时，通过中断触发内核的中断处理程序，将网卡接收的数据报传送到内核空间，然后再通过IP层预处理程序将数据报转换为IP包。此时，本发明将IP包传送到IPSec进入策略处理模块。该模块将决定哪些包可以进入安全网关，哪些包需要丢弃。对于允许进入网关的IP包，将送回到路由处理模块。路由处理根据IP头决定IP包是发送到本机还是继续转发。对于发送到本机的IP包，首先经过内核对IP包的处理，如：分片重组、选项处理等等。然后重组的IP包传送到IPSec进入处理模块。IPSec进入处理模块将对IPSec包和非IPSec包进行区分，对于发往本机的非IPSec包将直接传送到传输层处理模块；对于IPSec包将进行认证或解密等IPSec处理，并剥去IPSec头。处理完后，将重新组装成IP包发回到IP层预处理模块。这样该IP包将重新通过路由来决定发往何处。对于转发的IP包，首先进行转发处理，如：决定下一跳、减少TTL、对某些特殊情况发送ICMP包。然后，将IP包传送到外出IPSec外出处理模块。IPSec处理将根据策略区分IPSec包、非IPSec包以及包发往何处。对于IPSec包将丢弃。对于发往内部网的非IPSec包，直接将包传送给发送处理模块，发往内部网。对于发往外部网的IP包，将根据策略进行认证或加密等IPSec处理，最后将处理过的IP包传送到发送处理模块。对于从安全网关传输层发送的报文，首先进行本地的IP包处理，构建IP包。然后对IP包进行路由，决定IP包的出口。路由之后将IP包传送到IPSec外出处理模块。IPSec外出处理将根据策略决定那些包需要进行IPSec处理。对于不需要处理的IP包，直接传送到发送处理模块。对于需要进行IPSec处理的IP包，将根据策略进行认证或加密等IPSec处理，然后将IPSec包重新发回到路由处理模块，决定IPSec包将发往何处，IPSec外出处理将通过策略将处理过的IP包直接传送到发送处理模块。发送处理模块将进行分片等处理，最后将包发送到网卡。

    本发明的主要技术指标与功能如下：

    ·通信处理能力：

    ·VPN(虚拟专用网)并发连接数：

    ·支持MD5、SHA-1 hash算法，支持DES、3DES加密算法，支持专用

      加密算法

    ·3个100Base-TX(RJ45口)

    ·VPN实现方式：IPsec

    ·路由功能：静态路由

    ·配置方式：用户配置程序、Telnet、控制台