基于TMS320C6202的VPN加密卡的设计

摘要：介绍了VPN加密卡的设计。论述了加密卡中DSP的选取、TMS320C6202的特点以及以该芯片为基础的高速加密卡的实现，着重介绍了符合TI规范的DB(Daughter Board)的应用设计。 关键词：加密卡　DSP TMS320C6202　VPN 随着互联网应用方式的越来越复杂，迫切需要一个专业的互联网服务供应商来提供智能化带有保证性的互联网服务，以便一些公司优化内部资源，从而专注于核心业务，提高竞争力。于是，ＶＰＮ服务便由此而兴盛起来。 由于经济的全球化，今天的企业不再局限于本地、本国范围内经营，而是在跨地区、跨国的更大范围内进行经营，因此员工、合作伙伴和供应商遍布全球。对于一个企事业单位来说，怎样利用互联网的强大功能成为一个重要的课题。由于各种新技术的出现，分散、移动的工作人员需要灵活、安全的方法与总部进行联系。在这种情况下，企事业单位需要重新考虑自己的广域网战略。于是，很多企业正在建立Ｅｘｔｒａｎｅｔ来扩张自己的广域网络，与合作伙伴和供应商共同建立一个高效、安全、低成本的广域网。 通过公网传输敏感性的数据要防止被监听和篡改，因此必须采取有效的措施保证敏感数据的安全性。数据传输总是不希望无关人员察看、截取和恶意修改，所以要求保证私有数据在公网上传输的安全性。这正是互联网的总体发展趋势。 目前，往往通过加密的方法来实现数据在公网上安全地传输。于是，各种加密算法层出不穷，如ＭＤ５、ＣＡＳＴ、Ｂｌｏｗｆｉｓｈ、３ＤＥＳ等。目前主要采用的是１２８位以上的加密算法，经过这样的处理，在现有的发展水平下，基本上解决了数据在公网上传输所遇到的安全性问题。 数据的传输不仅要保证安全性，还要能提供相当高的服务质量。例如，银行系统数据库的更新基本上是“实时”的，这样才能保证交易双方的利益不受损害。 传统公网上的数据传输，虽然没有服务质量保证，没有权限和安全机制，但是它提供了连接上的方便。只要采取一定的措施使数据的传输象在局域网上一样安全和快速，就可以满足这种日益增长的需要。ＶＰＮ正是在要求数据传输的安全和高速度的背景下而产生的。它是在公网上开辟一个数据传输的虚拟专用通道，使局域网在物理上无限延伸，用户的主观感觉就象在专用网上传输数据一样。数据的加密，即加密卡的设计，是构建ＶＰＮ中的一个重要环节，是实现数据安全的保障，也是实现局域网数据在因特网上安全传输的关键；而数据的处理速度是提供高服务质量的关键。因此数据的加密强度和处理速度变得越来越重要了。下面就介绍一种切实可行的数据加密卡的设计方案。１ 加密卡数据处理核心芯片——ＤＳＰ的选取 前一个系列的ＶＰＮ是基于ＰＣ机（或工控机）的，加密卡是作为一个部件安装到ＰＣＩ插槽中。加密卡的工作比较明确，即处理需要加解密的数据。加密过程的控制由ＰＣ机的ＣＰＵ执行，数据的存储则借用ＰＣ机的ＲＡＭ。虽然ＰＣ机本身的速度越来越快，但是ＰＣ机本身却是数据处理的瓶颈。因为ＰＣ机上使用的大多是非实时的操作系统，而且需要管理的资源比较多，这需要很大的开销，大大降低了数据处理的实时性，在速度上也是打了很大的折扣。为了提高数据存取和处理的速度，设计了基于总线方式的加密卡，以取代过去的基于ＰＣＩ插槽的方式。它是将接收到的ＩＰ数据包首先存放到ＰＯＷＥＲ ＰＣ的ＲＡＭ当中，处理后再转发到ＴＭＳ３２０Ｃ６２０２内部固定的存储空间（先前设定的）；ＴＭＳ３２０Ｃ６２０２处理后产生中断，由ＰＯＷＥＲ ＰＣ取回。这样，处理数据包的额外开销就相当小。 过去，基于ＰＣＩ方式加密卡的ＤＳＰ使用的是ＴＭＳ３２０Ｃ６２０１。但是该种型号的芯片只提供ＰＣＩ接口，这是基于这ＤＳＰ的加密卡难以克服的弱点，所以在数字处理器上必须重新选取。ＴＭＳ３２０Ｃ６２０２继承了ＴＭＳ３２０Ｃ６２０１的优点，同时克服了其不足，提供了一个１６位的总线接口，这就使数据的快速存取成为可能。 总之，ＴＭＳ３２０Ｃ６２０２有如下特点： ①处理速度快：１６００ＭＩＰＳ（Ｃ６２０２＿２００）和２０００ＭＩＰＳ (Ｃ６２０２＿２５０)，相应的时钟周期分别为５ｎｓ和４ｎｓ； ②带有１６位宽的总线接口； ③超强的并行处理能力和集成的智能片上外设等。 经过综合比较，本卡选用了ＴＭＳ３２０Ｃ６２０２。 ２ 母板的设计 本系统采用母板＋子板的方式设计（接口方式遵循ＴＩ的子板接口规范）。之所以如此，一方面是因为ＤＳＰ要通过其扩展总线与ＰＯＷＥＲ ＰＣ进行数据的同步交互，所以把ＤＳＰ集成到ＰＯＷＥＲ ＰＣ主板中去；另一方面是为了方便地进行加密硬件的升级换代工作(升级时只需要更换子卡，同时升级相应的驱动程序)，并为用户省下其它升级方式所需的大笔费用。 ２．１ 母板的构成 本系统采用的是嵌入式ＶＰＮ，因为ＰＯＷＥＲ ＰＣ和ＤＳＰ要通过总线进行数据的交互，所以ＤＳＰ置于主板上。而数据加密硬件部分放在子板上，它们通过ＴＩ定义的ＤＢ接口相连。加密卡的部分框图如图１所示。 ２．２ 母板工作原理 ＰＯＷＥＲ ＰＣ接收到ＩＰ数据包后，首先分析包头，判断该数据包的合法性。如果是合法的数据包，则把数据包传递到ＤＳＰ中去，否则直接丢弃。合法的数据包通过ＰＯＷＥＲ ＰＣ的扩展总线直接存入ＴＭＳ３２０Ｃ６２０２的片内固定存储空间（事先约定的）后，即通知ＤＳＰ有需加解密的数据包。ＤＳＰ接收上位机的这个信息后，首先处理ＩＰ数据包的包头信息，通过相应的标志位判断是否要加解密，是纯粹的软件加密还是直接的硬件加密，以及采用何种算法。然后对ＩＰ数据进行处理。处理后的数据包经过ＤＳＰ的封装处理，存入另外一个固定的内部数据空间。封装处理完成后，产生一个硬件中断到ＰＯＷＥＲ ＰＣ，由ＰＯＷＥＲ ＰＣ将数据包取走，进行打包处理，转发出去。 ３ 子板设计 考虑到缩短开发周期和提高效率，采用外包的方式加速对本系统进行软硬件设计，即主板由第三方设计实施。这将带来安全上的隐患。为了杜绝此潜在隐患，采取硬件加密模块化处理，自行设计加密卡的核心部分（即子板）和编写加密算法。该子板与主板的接口设计完全符合ＴＩ规范，便于扩展，可以满足以后的硬件升级。 所遵照的ＴＩ 接口规范包括扩展的存储器连接接口和扩展的外设连接接口两个部分。ＥＭＩ接口的信号包括ＤＳＰ的地址总线、数据总线、相应的存储器控制信号，以及接入子板的电源线；ＥＰＩ接口的信号包括两个多通道缓冲串口、两个计时器、子板可分配中断，ＤＭＡ通道标志、１／２ ＤＳＰ时钟输出、复位等信号。 另外，ＴＩ规范还规定了插座的选用：主板上为ＴＦＭ－１４０－Ｌ２－Ｓ－ＬＣ；子板上为ＳＦＭ－１４０－Ｌ２－Ｓ－ＬＣ。 ３．１ 子板框图 子板中配置了专用的硬件加密芯片、模幂乘密码算法协处理器、ＦＬＡＳＨ存储器、ＪＴＥＧ接口、ＩＣ卡认证接口——ＲＳ２３２,以及完成子板逻辑、ＤＳＰ映射数据寄存器和子板各芯片状态寄存器的大规模可编程逻辑器件（ＣＰＬＤ）——ＭＡＸＰＬＵＳ ７０００Ｓ系列的ＥＰＭ７２５６Ｓ。子板框图如图２所示。３．２ 子板原理 在加载ＶＰＮ时，首先检查ＩＣ证书的合法性。这个检查是通过ＰＯＷＥＲ ＰＣ访问ＤＳＰ，ＤＳＰ再通过子板ＲＳ２３２接口读取ＩＣ卡信息，然后判断ＩＣ卡的有效性来进行的。如果有效，则ＶＰＮ成功启用。 在加密的过程中，如果使用协处理器，则将数据写入协处理器的ＤＳＰ映射地址，经过规定的时间，读取数据。如果使用硬件加密，则将数据送入专用加密芯片，经过７５ｎｓ生成密文，送入ＦＩＦＯ进行缓冲。之所以这样，是因为数据的写入和读出是通过同一个数据总线，而且加密芯片采用的是流水操作方式，如果以字节为单位，将会造成时间的浪费，数据的加密速度会大大下降，所以采用以ＩＰ包为单位的流水作业方式对数据进行加密处理。例如，一个ＩＰ包为１ＫＢ,以字节为单位时，处理时间将增加（１Ｋ－１）%26;#215;７５ｎｓ。这在加密过程中是要尽量避免的。所以，为了减少总线的压力，提供数据的流水作业速度，必须增加缓冲环节。考虑到目前的ＩＰ包的大小，选用的ＦＩＦＯ的深度为２０４８字节。目前ＩＤＴ７２２３１芯片的容量可以达到４０９６字节，且引脚兼容，方便硬件升级。 当机箱被非授权人员恶意打开时，ＥＥＰＲＯＭ存放的使用密钥在５０ｍｓ内被删除。 随机数发生器产生真正的随机数，供加密时使用。它产生的随机数在ＣＰＬＤ中以字节为单位进行缓存。它有防止窃取的功能：一个以字节为单位的随机数有效期只相当于随机数发生器的一个时钟周期（其时钟频率为５０ｋＨｚ左右）。 ＦＬＡＳＨ能保存ＤＳＰ在ＢＯＯＴ时的一些固定信息。 总之，子板的设计提高了加密产品的安全性指数，在速度上也达到了更高的档次，并且充分考虑了用户加密产品的升级换代，满足了用户的需要。 本系统的设计使ＶＰＮ中加密部分的数据处理速度提高到了１００Ｍｂｐｓ，使ＶＰＮ速度上了一个台阶(原为５０Ｍｂｐｓ)，可以保证一定的服务质量（ＱｏＳ），而且密钥采用１２８位以上，可以保证数据在公网上传输的安全性，从而完成了预期的目标。该系统在设计时充分考虑了兼容性和可扩展性，为升级换代作好了准备。经过试运行，这种母板＋子板的基于总线方式的加密卡在速度上达到了１００Ｍｂｐｓ以上，其安全性能也得到了相应的提高，完全满足目前市场的需要。