IPSec安全芯片的設(shè)計與實現(xiàn).pdf

1、IPSec(Intenlet Protoc01 Security)可以有效的解決網(wǎng)絡(luò)通信的安全問題，防止非法入侵和攻擊。隨著網(wǎng)絡(luò)傳輸速率不斷提高，用傳統(tǒng)的軟件方式實現(xiàn)IPSec的各項安全功能會使系統(tǒng)的負(fù)荷和資源占用率增加，不能滿足速度上的要求；雖然目前已有不少IPSec的硬件實現(xiàn)，但是并沒有綜合考慮速度(吞吐量)、最大工作頻率、面積、功率消耗等性能指標(biāo)的要求。 針對這些問題，本文研究了芯片級的IPSec實現(xiàn)方案即IPSec安全

2、芯片。 第一，論文對IPSec的安全體系進(jìn)行深入分析，重點研究了IPSec的兩個安全通信協(xié)議，以及對進(jìn)入、外出數(shù)據(jù)包的處理流程。在此基礎(chǔ)上，分析了工作模式和安全協(xié)議的改進(jìn)，研究了新的IPSec體系模型，它可以適應(yīng)用戶不同的安全需求和安全參數(shù)的變化。設(shè)計了基于網(wǎng)卡應(yīng)用的IPSec安全芯片的整體結(jié)構(gòu)，以及基于FPGA技術(shù)的設(shè)計驗證方案。 第二，論文重點研究了網(wǎng)絡(luò)傳輸中消息和身份完整性認(rèn)證的硬件實現(xiàn)方法。對IPSec支持的單向

3、散列函數(shù)SHA-2從擴(kuò)大消息分組長度、安全散列值計算、變換原始邏輯函數(shù)和變換壓縮函數(shù)邏輯結(jié)構(gòu)進(jìn)行了改進(jìn)，改進(jìn)的SHA-2算法比原算法具有更高的安全性和運(yùn)算效率，顯著提高了IPSec協(xié)議的安全強(qiáng)度。同時在單芯片上采用優(yōu)化操作樹、查找表存儲常數(shù)、縮短關(guān)鍵路徑等方法設(shè)計實現(xiàn)了SHA-384和SHA-512算法，不僅節(jié)省了硬件資源，還滿足了不同的安全需求。在AlteraEP20K200EFC484-2x芯片上進(jìn)行了綜合仿真驗證，給出了綜合、仿真

4、的試驗結(jié)果，證明了設(shè)計的正確性和合理性，可以達(dá)到的最大處理速度為469.69Mbps，滿足了百兆網(wǎng)卡的要求。并且設(shè)計實現(xiàn)了與之對應(yīng)的散列消息認(rèn)證碼HMAC-SHA-35，給出了仿真驗證的結(jié)果，其最小處理速度為252.48Mbps，在取IP包的最大長度時，處理速度可達(dá)到503.98Mbps。 第三，論文在現(xiàn)有散列算法硬件實現(xiàn)優(yōu)化方法的基礎(chǔ)上，綜合考慮各個性能指標(biāo)，分析研究了展開并行化與流水線操作結(jié)合、降低數(shù)據(jù)寬度、輸出模塊優(yōu)化和高