基于高性能FPGA的超高速IPSec安全設備設計與實現
網絡安全與數據治理
姬勝凱,王碩,黃毅龍,楊志明,馬賦寧,徐程
中國電子信息產業集團有限公司第六研究所
摘要: 基于高性能FPGA提出了一種超高速IPSec安全設備的設計方案;此方案在以CPU作為控制中樞的基礎上,利用高性能FPGA配合高速接口實現100G的IPSec安全傳輸,同時利用高性能FPGA和噪聲源芯片實現國密算法對高速數據進行加解密。搭建測試環境對樣機進行測試,測試結果表明,超高速IPSec安全設備可完成高達82 Gb/s吞吐率的IPSec安全傳輸,整個系統延時達90 μs級。
中圖分類號:TN918.4文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.11.003引用格式:姬勝凱,王碩,黃毅龍,等.基于高性能FPGA的超高速IPSec安全設備設計與實現[J].網絡安全與數據治理,2024,43(11):13-18.
Design and implementation of ultra high-speed IPSec security device based on high performance FPGA
Ji Shengkai,Wang Shuo,Huang Yilong,Yang Zhiming,Ma Funing,Xu Cheng
The 6th Research Institute of China Electronics Corporation
Abstract: A design scheme for an ultra high speed IPSec security device based on high-performance FPGA has been proposed. On the basis of using CPU as the control center, this scheme utilizes high-performance FPGA combined with high-speed interface to achieve 100G IPSec secure transmission, while utilizing high-performance FPGA and noise source chip to implement national security algorithm for encryption and decryption of high-speed data. Building a testing environment to test the prototype,the test results indicate that,the ultra high speed IPSec security device can achieve IPSec secure transmission with a throughput of up to 82 Gb/s, and the entire system latency can reach 90 μs level.
Key words : ultra High-speed; IPSec; FPGA
引言
近幾年來,隨著數據中心的建設,用于數據中心間通信的100G以太網建設迅速,隨之而來的各類網絡攻擊行為給網絡建設帶來了挑戰,亟需部署網絡安全設備進行網絡安全防護,目前主要部署網絡密碼機進行數據安全防護,對傳輸數據提供機密性、完整性和不可否認性保護。目前超高速IPSec密碼機協議棧多基于大型CPU使用DPDK技術實現,軟件方式實現的IPSec協議大大增加網關的負載,成為網絡的瓶頸[1],而FPGA具有高速并行的特點,可實現超高速的IPSec處理。基于高性能FPGA的IPSec安全設備的實現,可以滿足100G-IPSec協議棧超高速、超高吞吐量、極低時延和較多隧道數的特性。
本文詳細內容請下載:
http://www.j7575.cn/resource/share/2000006223
作者信息:
姬勝凱,王碩,黃毅龍,楊志明,馬賦寧,徐程
(中國電子信息產業集團有限公司第六研究所,北京 100083)
此內容為AET網站原創,未經授權禁止轉載。