融合MAC-Lite私有协议的国产化嵌入式高速网络安全加密子系统研究.pdf
《融合MAC-Lite私有协议的国产化嵌入式高速网络安全加密子系统研究.pdf》由会员分享,可在线阅读,更多相关《融合MAC-Lite私有协议的国产化嵌入式高速网络安全加密子系统研究.pdf(4页珍藏版)》请在咨信网上搜索。
1、网络安全融合MAC-Lite私有协议的国产化嵌入式高速网络安全加密子系统研究*张锋孙慧洋朱振荣公安部第一研究所摘要:数据加解密性能是密码设备的一个重要工程指标。为提升嵌入式网络安全加密设备的密码运算速率,基于以太网接口设计了一种MAC-Lite数据传输私有协议,并基于国产芯片形成了高速网络安全加密子系统。MAC-Lite在通过软件层面的协议改造、数据报文处理流程优化、数据有效性完整性保护、命令报文并发处理等技术策略,结合硬件层面的专用硬件加速引擎设计与应用,有效提升了板载主控芯片与安全芯片间的密码处理速率。该高速网络安全加密子系统增强了网络安全加密设备的性能,有效支撑了公共安全行业的实战应用。
2、关键词:国产化MAC-Litee通信安全嵌人式系统高速加解密MAC-Lite私有协议的设计使用方面体现了一系列创新性的引言工作:第一,协议结构的设计有效规避了传统网络协议栈的随着网络通信技术不断发展,如何有效保障网络通信复杂处理;第二,数据完整性有序性保护机制保证了中数据的传输安全成为系统应用的关键问题。“十四MAC数据的有序和完整;第三,命令报文的并发处理能五”国家信息化规划也明确提出要加强网络安全建设。在力可使加/解密数据处理更加高效;第四,专用硬件加速引这种背景下,各种嵌入式网络安全设备不断投入公共安全行擎的设计将MAC口数据传输与国产商用密码算法模块的处业应用,为各种关键系统的网络通信
3、提供安全保障。然而,理相贯通,有效提升了对称密码算法的处理速率。上述工作如何在保障网络传输数据安全的前提下,尽量降低安全加密突破了嵌入式网络安全设备板载芯片间的数据传输瓶颈,在处理过程对原有数据传输性能的影响,做到安全且高速的数推进国产化产品替代的同时,有效提高了设备高速加/解密据传输,在高清视频回传、宽带多媒体通信等大数据量网络问题,并在公共安全行业得到了良好的实战应用。通信业务中显得尤为重要。同时,随着近年来国际贸易冲突一、系统国产化设计和技术封锁愈演愈烈,加快推进国产自主可控替代,提升关键技术自主创新,成为我国信息技术行业的迫切需要。在公共安全行业,网络数据信息安全需要国产商用密码的支撑
4、。目前,受成本、设计需求等因素限制,承载国产商用密码算法的安全芯片多采用Cortex-M级别的CPU,处理能力有限。在这种情况下,嵌入式网络安全设备在硬件上多采用嵌入式安全模块(eSE)的方式,即在设备主板上贴装安全芯片,将其作为主处理芯片的安全协处理器使用。在这种情况下,主处理芯片与安全芯片间的接口数据传输成为制约整个嵌入式安全加密系统性能的瓶颈。当在大数据量高速加/解密的数据应用时,板载芯片间的数据传输速率对系统加/解密性能的影响将更加突出。针对上述问题,本文提出了一种国产化的嵌入式高速网络安全加密子系统。该系统采用软/硬件国产化设计,并从板载芯片间的通信接口及数据传输机制入手,采用以太网
5、接口作为芯片间高速接口,并创新性的设计使用了MAC-Lite私有协议,实现了高速数据传输和密码处理。本文在*基金项目:公安部第一研究所科研项目(编号:B22103)(一)硬件架构本文提出的嵌入式安全加密子系统在硬件上采用双芯片架构,包括主处理芯片和安全芯片。主处理芯片采用国产自主可控的通用处理芯片,主要用来承载上层应用,并调用安全芯片来完成安全功能支撑。安全芯片作为安全协处理器使用,同时也是安全功能的核心,采用我国自主可控的32位CK-CoreCPU,芯片内置国产商用密码算法硬核。另外,安全芯片内部配合MAC-Lite协议设计使用了专用的硬件加速引擎。另外,该嵌入式安全加密子系统采用了适用于大
6、数据量传输的以太网接口来连接主处理芯片和安全芯片。具体的硬件架构如图1所示。以太网MAC接口MAC专用硬件 国密算法主处理芯片控制器图1系统硬件架构图(二)软件设计在系统软件设计过程中,基于板载芯片间互联的以太控制器加速引擎硬核安全芯片PoliceTechnology2023年第4期55网络安全网接口,设计了MAC-Lite高速传输协议,将网络数据顿针对密码运算功能进行了针对性改造。本系统软件中,主处理芯片采用了开源的嵌入式Linux操作系统,并根据MAC-Lite的设计对MAC口的驱动进行了定制改造。安全芯片的片上操作系统(COS)采用了前/后台的设计框架,实现了全国产自主研发。其中,应用层
7、程序是一个无限的循环,循环中调用应用功能处理函数完成相应的操作,这是后台操作;中断服务程序处理异步事件,这是前台操作。该系统采用分层设计、模块化部署的思想,既便于开发与实现,又有效降低了各功能模块间的耦合性,便于在不同硬件平台间进行移植。安全芯片的软件在驱动层根据MAC-Lite私有协议创新性的完成了MAC-Lite驱动的实现。安全芯片里的嵌入式软件设计架构如图2 所示。应用层系统层驱动层功耗管理时钟管理中断管理存储管理MAC-Lite驱动加速引擎退动硬件层PowMTimer图2 安全芯片系统软件架构图二、MAC-Lite高速数据传输(一)MAC-Lite数据报文处理流程优化该协议基于以太网接
8、口,通过以太网MAC帧实现主处理芯片与安全芯片之间的数据通信。安全芯片作为密码协处理模块接收主处理芯片发送的命令和数据,然后对数据进行SM1、SM 2、SM 3、SM 4密码运算并将处理后的结果以响应帧的形式返回给主处理芯片。目的地址源地址类型前序头以太网MAC图3通用以太网数据顿结构图以太网MAC数据帧如图3所示,包括目的地址、源地址、类型、数据体、帧校验五部分,其中类型字段标识了数据将交付哪种协议处理。通用的以太网MAC数据帧将通过特定的类型字段值将数据交付TCP/IP协议处理,数据体部分承载的是IP数据报文。但是,在板载芯片间通信场景下,复杂的TCP/IP交互和处理将会给命令数据的处理速
9、率造成瓶颈。为解决上述问题,本文设计了一种MAC-Lite私有协议,通过Raw socket自定义以太网MAC顿结构的类型字段值,使数据绕过复杂的TCP/IP协议栈,直接传输给安全芯片片上操作系统(COS)的上层应用接口进行数据解析和密码运算。改造通用以太网数据顿后形成的MAC-Lite数据结构如图4所示。目的地址源地址前序头以太网MAC恢图4安全芯片系统软件架构图另外,根据嵌入式安全加密子系统的功能特点,MAC-Lite私有协议将报文划分为证书类、密码类、控制类三类报文,在安全芯片COS中分发到不同的系统任务去处理,提高命令处理效率。(二)数据帧完整性有序性保护机制主控芯片与安全芯片通信的过
10、程中需要保证数据包传输的有序和完整,但仅靠数据链路层的以太网MAC数据帧无法保证数据传输过程中的丢包和乱序到达问题。因此,MAC-Lite私有协议在常规的以太网MAC帧结构的基础上针业务应用的安全方案实现对MAC帧的数据体部分进行了私有定义,如图5所示。其前/后台系统框架中,详细定义了顿序列号(FmNO)、数据顿长度(FLe n)、命令报文类型(CmdCLS)、有效载荷VICSRAMeFbshIP数据报文数据MAC-ute数据报文数据体MAC国密模块网络层恢校验数据链路层物理层安全芯片cOS命令分发处理网络层快校验数据链路层物理层(Fr m D a t a)等关键信息字段,并基于上述关键字段,
11、MAC-Lite私有协议设计使用了一种数据包传输机制,以保证芯片间数据包传输的有序和完整。恢序列号(FrmNO)顿长度((Flen)报文类型(CmdCLS)目的地址源地址类型前序头以太网MAC顿图5MAC-Lite数据帧结构图该数据完整性有序性保护机制由主控芯片和安全芯片配合实现,具体流程如图6 所示。主控芯片端按序列号顺序发送命令报文,同时在内存中建立FIFO用以缓存发送的内容,并对进入FIFO中的数据报文启动超时计时。安全芯片依次接收命令报文并解析,待处理完成后将响应报文发送给主控芯片。主控芯片会依次接收响应报文,若主控芯片正确接收到对应的响应报文时,则从FIFO中删除对应的命令数据报文。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 融合 MAC Lite 私有 协议 国产化 嵌入式 高速 网络安全 加密 子系统 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。