单通道10Gbps在线网络安全处理器设计研究与实现

发布时间：2020-06-03 11:56

【摘要】：随着100Gbps主干网的建成和单通道10Gbps高速通信接口普及，大数据时代下安全可控的高性能网络安全设备成为保障网络信息安全的基石。现状是网络安全设备的性能远远落后于高速网络安全的需求。自主研发设备中的核心芯片单通道10Gbps在线网络安全处理器已十分迫切。论文设计实现了一种单通道10Gbps在线网络安全处理器，集成了10Gbps以太网数据传输、IPSec网络安全协议处理和密码算法运算。提出了一种新型单通道10Gps在线网络安全处理器结构，解决了单通道10Gbps高速数据传输和网络安全协议处理中的一系列关键技术。提出了一种基于流水线的交叉开关双总线数据传输通路，解决了传统共享总线数据传输瓶颈，传输速率达到16Gbps，并通过改进交叉开关中的iSLIP调度算法，实现了对可变长度以太网数据包的高效调度，片上资源利用率达到86.6%；提出了一种基于中断的共享式缓存加分布式缓存的高速数据缓冲和队列调度机制，大幅降低了单通道10Gbps在线数据收发中的丢包率，并实现了对可变长度数据包的均衡分配；提出了一种数据库快速在线查找方法，并通过优化数据库存储格式减少了查表步骤，使得查表速度达到11.9Gbps，满足了10Gbps高速查表需求，同时省去了TCAM存储单元，减小了功耗和面积；提出了一种密码算法片外可扩展策略，实现了片外专用密码算法可替代片内通用密码算法的功能。论文完成了单通道10Gbps在线网络安全处理器整个结构的硬件设计和仿真验证，并基于SMIC65nm CMOS工艺，对结构中的核心部分进行了流片验证，该芯片主要集成了单通道10Gbps高速串口，16个IPSec AH协议处理模块，16个HMAC-SHA-1认证算法模块及控制器，芯片面积2.4x3.1mm2，规模370万门。在自主设计的测试平台上完成了芯片测试，测试结果表明，单通道10Gbps高速串口在10Gbps传输速率及PRBS27-1前提下，误码率达到10-13；IPSec协议处理与密码算法组成的异质多核部分在200MHz工作频率下，IPSec AH协议传输模式下的数据吞吐率能够满足10Gbps在线网络安全处理器的要求。另外，对所有关键子模块完成了FPGA功能验证。综合测试验证结果，本论文设计的单通道10Gbps在线网络安全处理器结构设计是正确和可行的，并且能够满足10Gbps以太网在线网络安全的应用要求。
【图文】：

网络安全技术,体系,网络安全,安全设备

实现上述技术的网络安全设备主要有防火墙，路由器，入侵检测/防御系统（IDS:Intrusion Detection Systems/IPS: Intrusion Prevention System）等。图1.1 网络安全技术体系网络安全保障体系通过核心网，接入网和局域网三个层面构建，网络安全设备作为网络安全硬件解决方案部署在上述三个层面，形成层次化防护来保障网络信息的安全。图 1.2 展示了一个由网络安全设备构架的典型网络安全保障体系。体系中根据网络安全设备在网络互连中的位置，，分为核心网安全设备（帧中继，ATM，高速信道等安全设备），接入安全设备（IP 安全设备，防火墙），局域网安全设备（安全服务器，安全终端?

网络安全,层面,高性能网络,操作应用

切性的机遇，开发和制造具有自主知识产权的高性能网络安全处理器，不但是国家战略层面对网络安全的需要，更是网络安全市场的需求。图1.2 典型网络安全保障体系表 1.1 网络安全设备应用需求网络安全的实施通常通过三种方式，第一种是将网络安全技术应用到通用操作应用层面网络安全设备需求应用领域性能灵活性局域网低高安全服务器，安全终端接入网中中防火墙，IP 安全设备核心网高低核心路由器
【学位授予单位】：清华大学
【学位级别】：博士
【学位授予年份】：2014
【分类号】：TP332;TN915.08

【参考文献】