一种ssl安全协处理器芯片的设计及其在系统中的应用的制作方法
专利名称:一种ssl安全协处理器芯片的设计及其在系统中的应用的制作方法
技术领域:
本发明涉及一种SSL安全协处理器芯片的设计及其在系统中的应用。
背景技术:
随着Internet的发展,网络丰富的信息资源给用户带来了极大的方便,但由于lnternet的开放性、超越组织性和无国界等特点,使它在安全上存在极大隐患。因此,为了最大限度保障信息网络的安全性,各种安全技术便应运而生,SSL协议就是其中一种。
加密套接层协议(简称SSL)是万维网(驛W)上保证网络交易安全的占主导地位的方式。自1994年引入,SSL很快被用于热门的网页浏览器如网景、微软,主要作用于保护消费者在线交易的保密性。除保证电子商务安全,SSL (其最新版本称为TLS或传输层安全协议)现已进化至互联网上传输各敏感数据的择优取向,如在线账单支付、网上金融报表、在线纳税申报单和网上股票购买等。SSL正逐渐被更安全的版本, 一种被称为传输层安全协议(即TLS)所替代,预计在不远的将来TLS会受到更多用户的青睐。
SSL通信量的提升对从事联网技术设备研究的系统设计者们提出前所未有的挑战。SSL过程中服务器一方计算量最大的是编/解码(RSA)与客户端密码交换。其次数据编/解码中的block cipher(DES,3DES,RC4以及国产算法)也需要大量数据运算。通用处理器与专用硬件的有机结合能够大大提高信道(session)建立速度以及数据的编/解码。SSL的最大缺陷在于消耗网络服务器性能,复杂的加密算法加重了计算平台与软件的数据处理量。随着人们对SSL使用日益增多,大型网站和数据中心很快需要同时处理数以万计的安全交易,流量达到每秒数百万比特,这就远超传统SSL解决方案的能力范围了。
因此对于大多数通讯业务来说,在系统设计中嵌入SSL技术,采用协议加速器才是这个问题的解决方法。专用硬件可负荷最大量的专门数据计算,使得主处理器能够有足够的剩余能力来处理其他任务。使用可编程芯片(FPGA)实现硬件加速能够提高处理速度一个数量级以上。FPGA将卸载主处理器的SSL握手函数(例如RSA加解密与密钥产生)以及记录层的大量加解密与认证函数,使CPU能腾出更多的资源来执行封包处理,从而提升系统总体性能。
目前国内外的安全协处理器主要针对block cipher (DES, 3DES, RC4等),本发明具有高集成度,即可以处理block cipher,又可以处理非对称算法,同时可以处理国产算法。
发明内容
本发明的目的在于提供一种SSL安全协处理器芯片的设计及其在系统中的应用。
为达上述目的,本发明一种SSL安全协处理器芯片的设计采用如下技术方
案
SSL安全协处理器芯片的设计系分为控制路径(control path)和数据路径(data path)两部分。控制路径用于编程系统参数,整合系统状况,以及为用户提供实时系统分析。数据路径用于完成网络数据的加密,解密,和相关的运算。运用FPGA加速数据路径以卸载处理器大部分繁复的计算是达成有效软硬件资源分配的最佳方案。
本发明一种SSL安全协处理器芯片在系统中的应用见图3。
SSL安全网关作为高端高性能设备,采用FPGA来实现SSL加解密模块,通过基于FPGA的SSLanquan协处理器的采用,产品可以很好地满足高性能、弹性、成本与产品及时上市(TTM)等多方面的需求,在高端应用中得到成功。产品不仅满足了移动终端电子政务和电子商务方面的接入安全要求,而且也满足了移动应用高并发用户数的要求,保证了通讯数据量,从而为电子政务和电子商务保驾护航。
图1为本发明实施例一种SSL安全协处理器芯片的设计和实现方法逻辑框
图2为芯片物理框4图3为安全芯片在系统中的应用框图。图4为SSL纪录协议的数据封装、加密的格式定义图5为SSL协议
具体实施例方式
SSL协议及算法由FPGA芯片实现,具体功能如下
SSL协议包括SSL握手协议、SSL Change Cipher Spec协议、SSL Alert协议以及SSL纪录协议。SSL纪录协议是应用数据封装、加密的格式定义,见图4。
其中MAC和Encrypt过程就采用了散列算法和对称算法。
SSL握手协议是SSL协议的重要部分,它使用非对称算法实现算法协商和密钥交换,具体协议见图5。 SSL协议中支持非对称算法包括RSA、 ECC等,对称算法包括AES、 DES、 3DES等各种对称算法,同时通过对协议扩展,可以实现支持国产对称算法。
图1展示芯片设计的逻辑框图。
FPGA配置于数据路径中,由入口 parser决定FPGA运算方式。处理器将需要运算的数据块以及相关指令送至FPGA, FPGA按规定的方法梯次执行运算。FPGA将运算结果送回至处理器。
数据包从外部进入的流程
1. 数据包从Physical Interface进来;
2. IP及其更高层的数据包送到解析器(parser)解析;
3. 关键信息从包里提取出,由Offload Dispatch送到FPGA HardwareAcceleration芯片;
如果是已有的会话(session),数据包直接送到相应的对称算法的加密解密模块
如果是新的会话,那么数据包送到RSA算法模块,建立会话商议(negotiation) 程序
4. FPGA芯片处理完的数据包交给Result Handling模块
5. 数据进入上层应用程序进行处理;数据包流向外部的流程1. 应用程序产生的数据进入parser,
2. 关键信息从包里提取出,由Offload Dispatch送到FPGA HardwareAcceleration芯片,数据包直接送到相应的对称算法的加密解密模块;
3. FPGA芯片处理完的数据包交给Result Handling模块
4. 数据由Physical Interface流出
FPGA加速SSL模块按千兆流量设计。加速模块由32-bit 66Mhz PCI与主机相连。由FPGA组成的加速模块执行各种算法,见图2。
权利要求
1、一种SSL安全协处理器芯片的设计和实现方法,其特征在于SSL安全协处理器芯片的设计系分为控制路径(control path)和数据路径(data path)两部分。控制路径用于编程系统参数,整合系统状况,以及为用户提供实时系统分析。数据路径用于完成网络数据的加密,解密,和相关的运算。
2、 根据权利要求1所述的一种SSL安全协处理器芯片的设计和实现方法,其特征在于所述安全芯片采用FPGA实现。
3、 根据权利要求1所述的一种SSL安全协处理器芯片的设计和实现方法,其特征在于所述SSL安全协处理器芯片包括编/解码(RSA)与客户端密码交换以及数据编/解码中的block cipher (DES, 3DES, RC4以及国产算法)。
全文摘要
一种SSL安全协处理器芯片的设计及其在系统中的应用,所述设计包括FPGA将卸载主处理器的SSL握手函数(例如RSA加解密与密钥产生)以及记录层的大量加解密与认证函数,使CPU能腾出更多的资源来执行封包处理,从而提升系统总体性能。所述系统包括安全协处理器在SSL网关中的应用。本发明的优点是采用FPGA实现,芯片同时支持RSA和对称算法,研发和生产成本低,灵活型高,适合小批量生产。
文档编号H04L12/00GK101562518SQ20091000612
公开日2009年10月21日 申请日期2009年1月20日 优先权日2008年4月15日
发明者郑朝晖 申请人:上海海加网络科技有限公司
技术领域:
本发明涉及一种SSL安全协处理器芯片的设计及其在系统中的应用。
背景技术:
随着Internet的发展,网络丰富的信息资源给用户带来了极大的方便,但由于lnternet的开放性、超越组织性和无国界等特点,使它在安全上存在极大隐患。因此,为了最大限度保障信息网络的安全性,各种安全技术便应运而生,SSL协议就是其中一种。
加密套接层协议(简称SSL)是万维网(驛W)上保证网络交易安全的占主导地位的方式。自1994年引入,SSL很快被用于热门的网页浏览器如网景、微软,主要作用于保护消费者在线交易的保密性。除保证电子商务安全,SSL (其最新版本称为TLS或传输层安全协议)现已进化至互联网上传输各敏感数据的择优取向,如在线账单支付、网上金融报表、在线纳税申报单和网上股票购买等。SSL正逐渐被更安全的版本, 一种被称为传输层安全协议(即TLS)所替代,预计在不远的将来TLS会受到更多用户的青睐。
SSL通信量的提升对从事联网技术设备研究的系统设计者们提出前所未有的挑战。SSL过程中服务器一方计算量最大的是编/解码(RSA)与客户端密码交换。其次数据编/解码中的block cipher(DES,3DES,RC4以及国产算法)也需要大量数据运算。通用处理器与专用硬件的有机结合能够大大提高信道(session)建立速度以及数据的编/解码。SSL的最大缺陷在于消耗网络服务器性能,复杂的加密算法加重了计算平台与软件的数据处理量。随着人们对SSL使用日益增多,大型网站和数据中心很快需要同时处理数以万计的安全交易,流量达到每秒数百万比特,这就远超传统SSL解决方案的能力范围了。
因此对于大多数通讯业务来说,在系统设计中嵌入SSL技术,采用协议加速器才是这个问题的解决方法。专用硬件可负荷最大量的专门数据计算,使得主处理器能够有足够的剩余能力来处理其他任务。使用可编程芯片(FPGA)实现硬件加速能够提高处理速度一个数量级以上。FPGA将卸载主处理器的SSL握手函数(例如RSA加解密与密钥产生)以及记录层的大量加解密与认证函数,使CPU能腾出更多的资源来执行封包处理,从而提升系统总体性能。
目前国内外的安全协处理器主要针对block cipher (DES, 3DES, RC4等),本发明具有高集成度,即可以处理block cipher,又可以处理非对称算法,同时可以处理国产算法。
发明内容
本发明的目的在于提供一种SSL安全协处理器芯片的设计及其在系统中的应用。
为达上述目的,本发明一种SSL安全协处理器芯片的设计采用如下技术方
案
SSL安全协处理器芯片的设计系分为控制路径(control path)和数据路径(data path)两部分。控制路径用于编程系统参数,整合系统状况,以及为用户提供实时系统分析。数据路径用于完成网络数据的加密,解密,和相关的运算。运用FPGA加速数据路径以卸载处理器大部分繁复的计算是达成有效软硬件资源分配的最佳方案。
本发明一种SSL安全协处理器芯片在系统中的应用见图3。
SSL安全网关作为高端高性能设备,采用FPGA来实现SSL加解密模块,通过基于FPGA的SSLanquan协处理器的采用,产品可以很好地满足高性能、弹性、成本与产品及时上市(TTM)等多方面的需求,在高端应用中得到成功。产品不仅满足了移动终端电子政务和电子商务方面的接入安全要求,而且也满足了移动应用高并发用户数的要求,保证了通讯数据量,从而为电子政务和电子商务保驾护航。
图1为本发明实施例一种SSL安全协处理器芯片的设计和实现方法逻辑框
图2为芯片物理框4图3为安全芯片在系统中的应用框图。图4为SSL纪录协议的数据封装、加密的格式定义图5为SSL协议
具体实施例方式
SSL协议及算法由FPGA芯片实现,具体功能如下
SSL协议包括SSL握手协议、SSL Change Cipher Spec协议、SSL Alert协议以及SSL纪录协议。SSL纪录协议是应用数据封装、加密的格式定义,见图4。
其中MAC和Encrypt过程就采用了散列算法和对称算法。
SSL握手协议是SSL协议的重要部分,它使用非对称算法实现算法协商和密钥交换,具体协议见图5。 SSL协议中支持非对称算法包括RSA、 ECC等,对称算法包括AES、 DES、 3DES等各种对称算法,同时通过对协议扩展,可以实现支持国产对称算法。
图1展示芯片设计的逻辑框图。
FPGA配置于数据路径中,由入口 parser决定FPGA运算方式。处理器将需要运算的数据块以及相关指令送至FPGA, FPGA按规定的方法梯次执行运算。FPGA将运算结果送回至处理器。
数据包从外部进入的流程
1. 数据包从Physical Interface进来;
2. IP及其更高层的数据包送到解析器(parser)解析;
3. 关键信息从包里提取出,由Offload Dispatch送到FPGA HardwareAcceleration芯片;
如果是已有的会话(session),数据包直接送到相应的对称算法的加密解密模块
如果是新的会话,那么数据包送到RSA算法模块,建立会话商议(negotiation) 程序
4. FPGA芯片处理完的数据包交给Result Handling模块
5. 数据进入上层应用程序进行处理;数据包流向外部的流程1. 应用程序产生的数据进入parser,
2. 关键信息从包里提取出,由Offload Dispatch送到FPGA HardwareAcceleration芯片,数据包直接送到相应的对称算法的加密解密模块;
3. FPGA芯片处理完的数据包交给Result Handling模块
4. 数据由Physical Interface流出
FPGA加速SSL模块按千兆流量设计。加速模块由32-bit 66Mhz PCI与主机相连。由FPGA组成的加速模块执行各种算法,见图2。
权利要求
1、一种SSL安全协处理器芯片的设计和实现方法,其特征在于SSL安全协处理器芯片的设计系分为控制路径(control path)和数据路径(data path)两部分。控制路径用于编程系统参数,整合系统状况,以及为用户提供实时系统分析。数据路径用于完成网络数据的加密,解密,和相关的运算。
2、 根据权利要求1所述的一种SSL安全协处理器芯片的设计和实现方法,其特征在于所述安全芯片采用FPGA实现。
3、 根据权利要求1所述的一种SSL安全协处理器芯片的设计和实现方法,其特征在于所述SSL安全协处理器芯片包括编/解码(RSA)与客户端密码交换以及数据编/解码中的block cipher (DES, 3DES, RC4以及国产算法)。
全文摘要
一种SSL安全协处理器芯片的设计及其在系统中的应用,所述设计包括FPGA将卸载主处理器的SSL握手函数(例如RSA加解密与密钥产生)以及记录层的大量加解密与认证函数,使CPU能腾出更多的资源来执行封包处理,从而提升系统总体性能。所述系统包括安全协处理器在SSL网关中的应用。本发明的优点是采用FPGA实现,芯片同时支持RSA和对称算法,研发和生产成本低,灵活型高,适合小批量生产。
文档编号H04L12/00GK101562518SQ20091000612
公开日2009年10月21日 申请日期2009年1月20日 优先权日2008年4月15日
发明者郑朝晖 申请人:上海海加网络科技有限公司
最新回复(0)