引 言
IPSe[1]作為一種實現(xiàn)VPN的安全協(xié)議體系����,目前已在VPN設備中廣泛使用�。但是,隨著千兆位高速網(wǎng)絡的技術發(fā)展��,對VPN設備在時效性等方面提出了更高的要求����。 因此,必須從體系結構等方面��,研究新的技術方法實現(xiàn)IPSec�����。在IPSec安全設備中�����,SoC技術將是一種較好的選擇。soC將系統(tǒng)的CPU����、I/O接口、存儲器�����、算法��、協(xié)議處理等模塊全部集成到單一半導體芯片上����,實現(xiàn)IPSec協(xié)議的全部功能,成為構筑IPSec安全設備的核心部件�,極大地提高了高速V。PN網(wǎng)絡的安全性�����、可靠性�、時效性以及較高的性能價格比。
1 IPSec協(xié)議
IPSec協(xié)議是因特網(wǎng)工程任務組(IETF)針對TCP/IP協(xié)議沒有安全機制的嚴重缺陷而專門制定的IP安全標準���,用以在IP層實現(xiàn)訪問控制、無連接完整性、數(shù)據(jù)源驗證�、抗重播�、數(shù)據(jù)加密和有限的業(yè)務流機密性等多種安全服務。該標準由一系列協(xié)議組成,各協(xié)議之間的關系如圖1所示�����。
*基金項目:“十五”期間國家密碼發(fā)展基金密碼理論研究課題“密碼soc芯片的體系結構和安全性研究”���。
有關協(xié)議的解釋如下:
���、貯H[2] (Authentication Header)是一個安全協(xié)議頭�,在傳輸模式下為IP層數(shù)據(jù)流提供數(shù)據(jù)完整性���、數(shù)據(jù)源身份認證���、一些可選的和有限的抗重播服務���。
���、贓sP[3] (Encapsulating Security Payload)是一個插入到IP數(shù)據(jù)報內(nèi)部的協(xié)議頭,為IP層流量數(shù)據(jù)提供機密性���、數(shù)據(jù)源身份認證�����、抗重播以及數(shù)據(jù)完整性等安全服務�����。
��、壅J證與加密算法是IPSec實現(xiàn)安全數(shù)據(jù)傳輸?shù)暮诵模渲����,加密算法用于ESP,可以采用DES����、IDEA等密碼算法;認證算法用于AH,可以采用3DES��、RC5等算法。
④IKE[4](Internet Key Exchange)是密鑰交換協(xié)議,用于在IPSec通信雙方建立共享安全參數(shù)及驗證過的密鑰,以建立一種安全關聯(lián)關系���。
���、軩oI(Domain of Interpretation)是一個單獨的文檔���,用于存放IKE協(xié)商的參數(shù)。
⑥SA(Security ASSOCiation)是安全關聯(lián)協(xié)議�����,是主機�、路由器兩個應用IPS ec實體之間的一種單向邏輯連接。sA有安全策略庫(sPDB)和安全關聯(lián)庫(sADB)����,存儲了安全策略的具體細節(jié)����,包括保護的內(nèi)容��、保護的方式�����、保護通信數(shù)據(jù)的主體等策略。
2 SoC技術
目前�,SoC平臺主要用于CSoC����、SoPC��、EPGA等芯片開發(fā)�����。其中�,CSoC稱為可配置系統(tǒng)級芯片,一般包括1個處理器內(nèi)核���、可編程邏輯陣列和其它一些通用部件�;SoPC是可編程的單芯片系統(tǒng)�,如Altera的Nios內(nèi)核模塊;EPGA是以FPGA為主體的SoC芯片�����。使用這些SoC開發(fā)平臺�����,可以充分利用系統(tǒng)級芯片集成度高和性能優(yōu)越的特點�,靈活設計開發(fā)各種專用Soc芯片。
(1)開發(fā)平臺的選擇
SoC平臺開發(fā)套件包括:各種工具與資源軟件���、可以重構的硬件電路結構驗證平臺和使用說明書等�。其可用軟件資源包括:供選用的多種嵌入式處理器核���,硬件模塊設計語言及其編譯器��,仿真�、綜合和布局、布線工具等�����;設計語言包括HDL�����、C/C++等����。開發(fā)平臺的選擇取決于器件的來源:當選用商品化器件時��,可以選擇Altera的SOPC開發(fā)環(huán)境QUARTUSII���;當選擇自主研發(fā)Soc時���,應使用相關的專用開發(fā)平臺。
希望與更多計算機等級考試的網(wǎng)友交流���,請進入計算機等級考試論壇
更多信息請訪問:考試吧計算機等級考試欄目
