??? 摘? 要: 介紹了VPN加密卡的設計。論述了加密卡中DSP的選取、TMS320C6202的特點以及以該芯片為基礎的高速加密卡的實現,著重介紹了符合TI規范的DB(Daughter Board)的應用設計。?

??? 關鍵詞: 加密卡 DSP? TMS320C6202 VPN?

?

??? 隨著互聯網應用方式的越來越復雜,迫切需要一個專業的互聯網服務供應商來提供智能化帶有保證性的互聯網服務,以便一些公司優化內部資源,從而專注于核心業務,提高競爭力。于是,VPN服務便由此而興盛起來。?

??? 由于經濟的全球化,今天的企業不再局限于本地、本國范圍內經營,而是在跨地區、跨國的更大范圍內進行經營,因此員工、合作伙伴和供應商遍布全球。對于一個企事業單位來說,怎樣利用互聯網的強大功能成為一個重要的課題。由于各種新技術的出現,分散、移動的工作人員需要靈活、安全的方法與總部進行聯系。在這種情況下,企事業單位需要重新考慮自己的廣域網戰略。于是,很多企業正在建立Extranet來擴張自己的廣域網絡,與合作伙伴和供應商共同建立一個高效、安全、低成本的廣域網。?

??? 通過公網傳輸敏感性的數據要防止被監聽和篡改,因此必須采取有效的措施保證敏感數據的安全性。數據傳輸總是不希望無關人員察看、截取和惡意修改,所以要求保證私有數據在公網上傳輸的安全性。這正是互聯網的總體發展趨勢。?

??? 目前,往往通過加密的方法來實現數據在公網上安全地傳輸。于是,各種加密算法層出不窮,如MD5、CAST、Blowfish、3DES等。目前主要采用的是128位以上的加密算法,經過這樣的處理,在現有的發展水平下,基本上解決了數據在公網上傳輸所遇到的安全性問題。?

??? 數據的傳輸不僅要保證安全性,還要能提供相當高的服務質量" title="服務質量">服務質量。例如,銀行系統數據庫的更新基本上是“實時”的,這樣才能保證交易雙方的利益不受損害。?

??? 傳統公網上的數據傳輸,雖然沒有服務質量保證,沒有權限和安全機制,但是它提供了連接上的方便。只要采取一定的措施使數據的傳輸象在局域網上一樣安全和快速,就可以滿足這種日益增長的需要。VPN正是在要求數據傳輸的安全和高速度的背景下而產生的。它是在公網上開辟一個數據傳輸的虛擬專用通道,使局域網在物理上無限延伸,用戶的主觀感覺就象在專用網上傳輸數據一樣。數據的加密,即加密卡的設計,是構建VPN中的一個重要環節,是實現數據安全的保障,也是實現局域網數據在因特網上安全傳輸的關鍵;而數據的處理速度是提供高服務質量的關鍵。因此數據的加密強度和處理速度變得越來越重要了。下面就介紹一種切實可行的數據加密卡的設計方案。?

1 加密卡數據處理" title="數據處理">數據處理核心芯片——DSP的選取?

??? 前一個系列的VPN是基于PC機(或工控機)的,加密卡是作為一個部件安裝到PCI插槽中。加密卡的工作比較明確,即處理需要加解密" title="加解密">加解密的數據。加密過程的控制由PC機的CPU執行,數據的存儲則借用PC機的RAM。雖然PC機本身的速度越來越快,但是PC機本身卻是數據處理的瓶頸。因為PC機上使用的大多是非實時的操作系統,而且需要管理的資源比較多,這需要很大的開銷,大大降低了數據處理的實時性,在速度上也是打了很大的折扣。為了提高數據存取和處理的速度,設計了基于總線方式的加密卡,以取代過去的基于PCI插槽的方式。它是將接收到的IP數據包首先存放到POWER PC的RAM當中,處理后再轉發到TMS320C6202內部固定的存儲空間(先前設定的);TMS320C6202處理后產生中斷,由POWER PC取回。這樣,處理數據包的額外開銷就相當小。?

??? 過去,基于PCI方式加密卡的DSP使用的是TMS320C6201。但是該種型號的芯片只提供PCI接口,這是基于這DSP的加密卡難以克服的弱點,所以在數字處理器上必須重新選取。TMS320C6202繼承了TMS320C6201的優點,同時克服了其不足,提供了一個16位的總線接口,這就使數據的快速存取成為可能。?

??? 總之,TMS320C6202有如下特點:?

??? ①處理速度快:1600MIPS(C6202_200)和2000MIPS(C6202_250),相應的時鐘周期分別為5ns和4ns;?

??? ②帶有16位寬的總線接口;?

??? ③超強的并行處理能力和集成的智能片上外設等。?

??? 經過綜合比較,本卡選用了TMS320C6202。?

2 母板的設計?

??? 本系統采用母板+子板的方式設計(接口方式遵循TI的子板接口規范)。之所以如此,一方面是因為DSP要通過其擴展總線與POWER PC進行數據的同步交互,所以把DSP集成到POWER PC主板中去;另一方面是為了方便地進行加密硬件的升級換代工作(升級時只需要更換子卡,同時升級相應的驅動程序),并為用戶省下其它升級方式所需的大筆費用。?

2.1 母板的構成?

??? 本系統采用的是嵌入式VPN,因為POWER PC和DSP要通過總線進行數據的交互,所以DSP置于主板上。而數據加密硬件部分放在子板上,它們通過TI定義的DB接口相連。加密卡的部分框圖如圖1所示。?

?

?

2.2 母板工作原理?

??? POWER PC接收到IP數據包后,首先分析包頭,判斷該數據包的合法性。如果是合法的數據包,則把數據包傳遞到DSP中去,否則直接丟棄。合法的數據包通過POWER PC的擴展總線直接存入TMS320C6202的片內固定存儲空間(事先約定的)后,即通知DSP有需加解密的數據包。DSP接收上位機的這個信息后,首先處理IP數據包的包頭信息,通過相應的標志位判斷是否要加解密,是純粹的軟件加密還是直接的硬件加密,以及采用何種算法。然后對IP數據進行處理。處理后的數據包經過DSP的封裝處理,存入另外一個固定的內部數據空間。封裝處理完成后,產生一個硬件中斷到POWER PC,由POWER PC將數據包取走,進行打包處理,轉發出去。?

3 子板設計?

??? 考慮到縮短開發周期和提高效率,采用外包的方式加速對本系統進行軟硬件設計,即主板由第三方設計實施。這將帶來安全上的隱患。為了杜絕此潛在隱患,采取硬件加密模塊化處理,自行設計加密卡的核心部分(即子板)和編寫加密算法。該子板與主板的接口設計完全符合TI規范,便于擴展,可以滿足以后的硬件升級。?

??? 所遵照的TI 接口規范包括擴展的存儲器連接接口和擴展的外設連接接口兩個部分。EMI接口的信號包括DSP的地址總線、數據總線、相應的存儲器控制信號,以及接入子板的電源線;EPI接口的信號包括兩個多通道緩沖串口、兩個計時器、子板可分配中斷,DMA通道標志、1/2 DSP時鐘輸出、復位等信號。?

??? 另外,TI規范還規定了插座的選用:主板上為TFM-140-L2-S-LC;子板上為SFM-140-L2-S-LC。?

3.1 子板框圖?

??? 子板中配置了專用的硬件加密芯片、模冪乘密碼算法協處理器" title="協處理器">協處理器、FLASH存儲器、JTEG接口、IC卡認證接口——RS232,以及完成子板邏輯、DSP映射數據寄存器和子板各芯片狀態寄存器的大規?？删幊踢壿嬈骷?CPLD)——MAXPLUS 7000S系列的EPM7256S。子板框圖如圖2所示。?

?

?

3.2 子板原理?

??? 在加載VPN時,首先檢查IC證書的合法性。這個檢查是通過POWER PC訪問DSP,DSP再通過子板RS232接口讀取IC卡信息,然后判斷IC卡的有效性來進行的。如果有效,則VPN成功啟用。?

??? 在加密的過程中,如果使用協處理器,則將數據寫入協處理器的DSP映射地址,經過規定的時間,讀取數據。如果使用硬件加密,則將數據送入專用加密芯片,經過75ns生成密文,送入FIFO進行緩沖。之所以這樣,是因為數據的寫入和讀出是通過同一個數據總線,而且加密芯片采用的是流水操作方式,如果以字節為單位,將會造成時間的浪費,數據的加密速度會大大下降,所以采用以IP包為單位的流水作業方式對數據進行加密處理。例如,一個IP包為1KB,以字節為單位時,處理時間將增加(1K-1)×75ns。這在加密過程中是要盡量避免的。所以,為了減少總線的壓力,提供數據的流水作業速度,必須增加緩沖環節?？紤]到目前的IP包的大小,選用的FIFO的深度為2048字節。目前IDT72231芯片的容量可以達到4096字節,且引腳兼容,方便硬件升級。?

??? 當機箱被非授權人員惡意打開時,EEPROM存放的使用密鑰在50ms內被刪除。?

??? 隨機數" title="隨機數">隨機數發生器產生真正的隨機數,供加密時使用。它產生的隨機數在CPLD中以字節為單位進行緩存。它有防止竊取的功能:一個以字節為單位的隨機數有效期只相當于隨機數發生器的一個時鐘周期(其時鐘頻率為50kHz左右)。?

??? FLASH能保存DSP在BOOT時的一些固定信息。?

??? 總之,子板的設計提高了加密產品的安全性指數,在速度上也達到了更高的檔次,并且充分考慮了用戶加密產品的升級換代,滿足了用戶的需要。?

??? 本系統的設計使VPN中加密部分的數據處理速度提高到了100Mbps,使VPN速度上了一個臺階(原為50Mbps),可以保證一定的服務質量(QoS),而且密鑰采用128位以上,可以保證數據在公網上傳輸的安全性,從而完成了預期的目標。該系統在設計時充分考慮了兼容性和可擴展性,為升級換代作好了準備。經過試運行,這種母板+子板的基于總線方式的加密卡在速度上達到了100Mbps以上,其安全性能也得到了相應的提高,完全滿足目前市場的需要。?

參考文獻?

1 戴宗坤.VPN與網絡安全.北京:電子工業出版社,2002?

2 張雄偉,陳 亮,徐光輝.DSP集成開發與應用實例. 北京:電子工業出版社,2002?

3 TMS320C6000 Technical Brief.Ttxas Instruments(spru197D),?February 1999?

4 TMS320C6000 EVM Daughterboard Interface.Ttxas Instruments(SPRA478),December 1998?

5 MAX 7000 Programmable Logic Device Family (Data Sheet).ver 6.02. August 2000 ?

6 PXP密碼專用芯片使用說明書.總參第五十六研究所,2002?

7 模冪乘密碼算法協處理器-SSX04用戶手冊.中興集成電路,2001