專利名稱:一種ssl安全協(xié)處理器芯片的設(shè)計(jì)及其在系統(tǒng)中的應(yīng)用的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種SSL安全協(xié)處理器芯片的設(shè)計(jì)及其在系統(tǒng)中的應(yīng)用����。
背景技術(shù):
隨著Internet的發(fā)展��,網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大的方便��,但由于lnternet的開放性����、超越組織性和無國(guó)界等特點(diǎn),使它在安全上存在極大隱患�����。因此�,為了最大限度保障信息網(wǎng)絡(luò)的安全性,各種安全技術(shù)便應(yīng)運(yùn)而生����,SSL協(xié)議就是其中一種�。
加密套接層協(xié)議(簡(jiǎn)稱SSL)是萬維網(wǎng)(驛W)上保證網(wǎng)絡(luò)交易安全的占主導(dǎo)地位的方式�。自1994年引入,SSL很快被用于熱門的網(wǎng)頁瀏覽器如網(wǎng)景�、微軟,主要作用于保護(hù)消費(fèi)者在線交易的保密性����。除保證電子商務(wù)安全��,SSL (其最新版本稱為TLS或傳輸層安全協(xié)議)現(xiàn)已進(jìn)化至互聯(lián)網(wǎng)上傳輸各敏感數(shù)據(jù)的擇優(yōu)取向���,如在線賬單支付����、網(wǎng)上金融報(bào)表�����、在線納稅申報(bào)單和網(wǎng)上股票購買等�。SSL正逐漸被更安全的版本, 一種被稱為傳輸層安全協(xié)議(即TLS)所替代,預(yù)計(jì)在不遠(yuǎn)的將來TLS會(huì)受到更多用戶的青睞����。
SSL通信量的提升對(duì)從事聯(lián)網(wǎng)技術(shù)設(shè)備研究的系統(tǒng)設(shè)計(jì)者們提出前所未有的挑戰(zhàn)。SSL過程中服務(wù)器一方計(jì)算量最大的是編/解碼(RSA)與客戶端密碼交換。其次數(shù)據(jù)編/解碼中的block cipher(DES,3DES���,RC4以及國(guó)產(chǎn)算法)也需要大量數(shù)據(jù)運(yùn)算�����。通用處理器與專用硬件的有機(jī)結(jié)合能夠大大提高信道(session)建立速度以及數(shù)據(jù)的編/解碼�����。SSL的最大缺陷在于消耗網(wǎng)絡(luò)服務(wù)器性能�����,復(fù)雜的加密算法加重了計(jì)算平臺(tái)與軟件的數(shù)據(jù)處理量�����。隨著人們對(duì)SSL使用日益增多��,大型網(wǎng)站和數(shù)據(jù)中心很快需要同時(shí)處理數(shù)以萬計(jì)的安全交易�����,流量達(dá)到每秒數(shù)百萬比特��,這就遠(yuǎn)超傳統(tǒng)SSL解決方案的能力范圍了��。
因此對(duì)于大多數(shù)通訊業(yè)務(wù)來說�,在系統(tǒng)設(shè)計(jì)中嵌入SSL技術(shù),采用協(xié)議加速器才是這個(gè)問題的解決方法���。專用硬件可負(fù)荷最大量的專門數(shù)據(jù)計(jì)算���,使得主處理器能夠有足夠的剩余能力來處理其他任務(wù)���。使用可編程芯片(FPGA)實(shí)現(xiàn)硬件加速能夠提高處理速度一個(gè)數(shù)量級(jí)以上���。FPGA將卸載主處理器的SSL握手函數(shù)(例如RSA加解密與密鑰產(chǎn)生)以及記錄層的大量加解密與認(rèn)證函數(shù),使CPU能騰出更多的資源來執(zhí)行封包處理��,從而提升系統(tǒng)總體性能�。
目前國(guó)內(nèi)外的安全協(xié)處理器主要針對(duì)block cipher (DES, 3DES, RC4等),本發(fā)明具有高集成度�����,即可以處理block cipher,又可以處理非對(duì)稱算法�����,同時(shí)可以處理國(guó)產(chǎn)算法。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種SSL安全協(xié)處理器芯片的設(shè)計(jì)及其在系統(tǒng)中的應(yīng)用�。
為達(dá)上述目的,本發(fā)明一種SSL安全協(xié)處理器芯片的設(shè)計(jì)采用如下技術(shù)方
案
SSL安全協(xié)處理器芯片的設(shè)計(jì)系分為控制路徑(control path)和數(shù)據(jù)路徑(data path)兩部分�����?��?刂坡窂接糜诰幊滔到y(tǒng)參數(shù)����,整合系統(tǒng)狀況���,以及為用戶提供實(shí)時(shí)系統(tǒng)分析�����。數(shù)據(jù)路徑用于完成網(wǎng)絡(luò)數(shù)據(jù)的加密���,解密,和相關(guān)的運(yùn)算�。運(yùn)用FPGA加速數(shù)據(jù)路徑以卸載處理器大部分繁復(fù)的計(jì)算是達(dá)成有效軟硬件資源分配的最佳方案�。
本發(fā)明一種SSL安全協(xié)處理器芯片在系統(tǒng)中的應(yīng)用見圖3��。
SSL安全網(wǎng)關(guān)作為高端高性能設(shè)備����,采用FPGA來實(shí)現(xiàn)SSL加解密模塊,通過基于FPGA的SSLanquan協(xié)處理器的采用�,產(chǎn)品可以很好地滿足高性能、彈性�����、成本與產(chǎn)品及時(shí)上市(TTM)等多方面的需求�����,在高端應(yīng)用中得到成功�。產(chǎn)品不僅滿足了移動(dòng)終端電子政務(wù)和電子商務(wù)方面的接入安全要求�,而且也滿足了移動(dòng)應(yīng)用高并發(fā)用戶數(shù)的要求,保證了通訊數(shù)據(jù)量�����,從而為電子政務(wù)和電子商務(wù)保駕護(hù)航��。
圖1為本發(fā)明實(shí)施例一種SSL安全協(xié)處理器芯片的設(shè)計(jì)和實(shí)現(xiàn)方法邏輯框
圖2為芯片物理框4圖3為安全芯片在系統(tǒng)中的應(yīng)用框圖。圖4為SSL紀(jì)錄協(xié)議的數(shù)據(jù)封裝���、加密的格式定義圖5為SSL協(xié)議
具體實(shí)施例方式
SSL協(xié)議及算法由FPGA芯片實(shí)現(xiàn)����,具體功能如下
SSL協(xié)議包括SSL握手協(xié)議���、SSL Change Cipher Spec協(xié)議��、SSL Alert協(xié)議以及SSL紀(jì)錄協(xié)議�����。SSL紀(jì)錄協(xié)議是應(yīng)用數(shù)據(jù)封裝�����、加密的格式定義��,見圖4�。
其中MAC和Encrypt過程就采用了散列算法和對(duì)稱算法�。
SSL握手協(xié)議是SSL協(xié)議的重要部分,它使用非對(duì)稱算法實(shí)現(xiàn)算法協(xié)商和密鑰交換���,具體協(xié)議見圖5�����。 SSL協(xié)議中支持非對(duì)稱算法包括RSA���、 ECC等��,對(duì)稱算法包括AES�����、 DES����、 3DES等各種對(duì)稱算法���,同時(shí)通過對(duì)協(xié)議擴(kuò)展,可以實(shí)現(xiàn)支持國(guó)產(chǎn)對(duì)稱算法����。
圖1展示芯片設(shè)計(jì)的邏輯框圖。
FPGA配置于數(shù)據(jù)路徑中��,由入口 parser決定FPGA運(yùn)算方式。處理器將需要運(yùn)算的數(shù)據(jù)塊以及相關(guān)指令送至FPGA��, FPGA按規(guī)定的方法梯次執(zhí)行運(yùn)算�。FPGA將運(yùn)算結(jié)果送回至處理器。
數(shù)據(jù)包從外部進(jìn)入的流程
1. 數(shù)據(jù)包從Physical Interface進(jìn)來�;
2. IP及其更高層的數(shù)據(jù)包送到解析器(parser)解析;
3. 關(guān)鍵信息從包里提取出���,由Offload Dispatch送到FPGA HardwareAcceleration芯片���;
如果是已有的會(huì)話(session),數(shù)據(jù)包直接送到相應(yīng)的對(duì)稱算法的加密解密模塊
如果是新的會(huì)話���,那么數(shù)據(jù)包送到RSA算法模塊����,建立會(huì)話商議(negotiation) 程序
4. FPGA芯片處理完的數(shù)據(jù)包交給Result Handling模塊
5. 數(shù)據(jù)進(jìn)入上層應(yīng)用程序進(jìn)行處理�;數(shù)據(jù)包流向外部的流程1. 應(yīng)用程序產(chǎn)生的數(shù)據(jù)進(jìn)入parser,
2. 關(guān)鍵信息從包里提取出,由Offload Dispatch送到FPGA HardwareAcceleration芯片���,數(shù)據(jù)包直接送到相應(yīng)的對(duì)稱算法的加密解密模塊��;
3. FPGA芯片處理完的數(shù)據(jù)包交給Result Handling模塊
4. 數(shù)據(jù)由Physical Interface流出
FPGA加速SSL模塊按千兆流量設(shè)計(jì)���。加速模塊由32-bit 66Mhz PCI與主機(jī)相連��。由FPGA組成的加速模塊執(zhí)行各種算法���,見圖2。
權(quán)利要求
1��、一種SSL安全協(xié)處理器芯片的設(shè)計(jì)和實(shí)現(xiàn)方法�,其特征在于SSL安全協(xié)處理器芯片的設(shè)計(jì)系分為控制路徑(control path)和數(shù)據(jù)路徑(data path)兩部分??刂坡窂接糜诰幊滔到y(tǒng)參數(shù),整合系統(tǒng)狀況�����,以及為用戶提供實(shí)時(shí)系統(tǒng)分析�。數(shù)據(jù)路徑用于完成網(wǎng)絡(luò)數(shù)據(jù)的加密,解密���,和相關(guān)的運(yùn)算��。
2、 根據(jù)權(quán)利要求1所述的一種SSL安全協(xié)處理器芯片的設(shè)計(jì)和實(shí)現(xiàn)方法,其特征在于所述安全芯片采用FPGA實(shí)現(xiàn)�。
3、 根據(jù)權(quán)利要求1所述的一種SSL安全協(xié)處理器芯片的設(shè)計(jì)和實(shí)現(xiàn)方法�����,其特征在于所述SSL安全協(xié)處理器芯片包括編/解碼(RSA)與客戶端密碼交換以及數(shù)據(jù)編/解碼中的block cipher (DES, 3DES�����, RC4以及國(guó)產(chǎn)算法)���。
全文摘要
一種SSL安全協(xié)處理器芯片的設(shè)計(jì)及其在系統(tǒng)中的應(yīng)用�����,所述設(shè)計(jì)包括FPGA將卸載主處理器的SSL握手函數(shù)(例如RSA加解密與密鑰產(chǎn)生)以及記錄層的大量加解密與認(rèn)證函數(shù)�,使CPU能騰出更多的資源來執(zhí)行封包處理����,從而提升系統(tǒng)總體性能。所述系統(tǒng)包括安全協(xié)處理器在SSL網(wǎng)關(guān)中的應(yīng)用��。本發(fā)明的優(yōu)點(diǎn)是采用FPGA實(shí)現(xiàn)��,芯片同時(shí)支持RSA和對(duì)稱算法,研發(fā)和生產(chǎn)成本低����,靈活型高,適合小批量生產(chǎn)��。
文檔編號(hào)H04L12/00GK101562518SQ20091000612
公開日2009年10月21日 申請(qǐng)日期2009年1月20日 優(yōu)先權(quán)日2008年4月15日
發(fā)明者鄭朝暉 申請(qǐng)人:上海海加網(wǎng)絡(luò)科技有限公司