Çok Kanallı Yüksek Hızlı Veri Güvenliği İletim Sisteminin Tasarımı ve Uygulanması
0 Önsöz
Son yıllarda, elektronik bilgi teknolojisinin hızla gelişmesiyle birlikte, Nesnelerin İnterneti, bulut bilişim ve büyük veri gibi yeni uygulama türleri ortaya çıkmış ve modern veri iletim sistemlerinin veri aktarım yeteneklerini geliştiren devasa veri kümeleri patlamıştır. Yüksek gereksinimler; aynı zamanda yeni bilgisayar korsanlığı tekniklerinin ortaya çıkması, daha gelişmiş elektronik dinleme ve bilgi dinleme ve kurcalama da bilgi güvenliğini tehdit etti. Bu nedenle, günümüz bilgi küreselleşmesinde, hem veri aktarım yeteneği hem de güvenlik, modern veri aktarım sistemlerinin gelişimi için giderek önemli bir yön haline gelmiştir.
Bu makale, modern veri aktarım sistemleri tarafından karşılaşılan yukarıda bahsedilen sorunları çözmek için bir fikir sağlamak için CPU + FPGA tabanlı bir mimari şeması önermektedir. Bu çözüm, CPU'yu tüm sistemin kontrol beyni olarak kullanır, yazılımı ve kaynak yapılandırmasını tamamlar ve ayrıca farklı iş gereksinimlerine uyum sağlamak için birden fazla kanalın dinamik anahtarlamasından ve seçiminden sorumludur. Aynı zamanda, veri şifreleme ve şifre çözmeyi gerçekleştirmek için FPGA'nın donanımsal paralel işleme ve mantıksal işlem yeteneklerinden tam olarak yararlanır ve FPGA'nın mevcut I / O arabirim kaynaklarına dayalı kararlı ve güvenilir bir yüksek hızlı seri arabirim modülü tasarlamak için TInin yüksek hızlı seri alıcı-vericisi TLK2711'i kullanır. , Ve nihayet çok kanallı yüksek hızlı veri güvenli iletim sistemini gerçekleştirin.
Şekil 1'de gösterildiği gibi, çok kanallı yüksek hızlı veri güvenliği iletim sistemi esas olarak bir ana kontrol modülünden, bir kriptografik işleme modülünden ve bir arayüz dönüştürme ve uyarlama modülünden oluşur.
1.1 Ana kontrol modülü tasarımı
Ana kontrol modülü CPU, bellek yongası ve destekleyici çevresel devreden oluşur. Güvenliği göz önünde bulunduran CPU, esas olarak sistem ve harici iletişim, dinamik yapılandırma ve yönetim FPGA işlevlerini gerçekleştiren yerel düşük güç yongası Loongson 1A'yı kullanır; bellek yongası, esas olarak programlar ve buna karşılık gelen 64 Kbit depolama kapasitesine sahip AT24C64 kullanır. İlk yapılandırma dosyaları, parametreler, vb. Depolama alanı sağlar.
1.2 Şifre işleme modülünün tasarımı
Kriptografik işleme modülü esas olarak FPGA ve gürültü kaynağı yongasından oluşur.FpGA, Xilinx'in yüksek performanslı Virtex4 serisi yongası XC4VSX55'i kullanır, bu esas olarak veri aktarım sürecinin gizliliğini sağlamak için şifreleme ve şifre çözme işlevlerinin gerçekleştirilmesinden sorumludur; gürültü kaynağı yongası WNG-5'i kullanır. Esas olarak gerçek rastgele diziler oluşturmak için kullanılan dijital bir fiziksel gürültü kaynağıdır ve bir kriptografik işleme modülünün vazgeçilmez temel bileşenidir.
1.3 Arayüz dönüştürme ve uyarlama modülü tasarımı
Arayüz dönüştürme ve uyarlama modülü, temel olarak veri işleme arayüzü ve yönetim kontrol arayüzünden oluşur. Paralel veri iletim modu ile karşılaştırıldığında, yüksek hızlı seri iletim modu, yüksek bant genişliği, iyi sinyal bütünlüğü ve düşük elektromanyetik radyasyon avantajlarına sahiptir.Bu nedenle, veri işleme arayüzü, veri iletimini gerçekleştirmek için seri arabirimi (LVDS) ve karşılık gelen çerçeve sınır gösterge sinyalini kullanır. Yüksek hızlı iletim. Aynı zamanda, bazı standart yüksek hızlı seri iletişim protokollerinin birçok farklı hizmet türü sağlaması gerektiği düşünüldüğünde, gecikme performansını ve diğer sorunları bozan çok sayıda iletişim yedek verisi vardır.Bu sistem, yüksek hızlı LVDS'yi tamamlamak için yüksek hızlı seri alıcı-verici TLK271'i kullanmayı seçer. Sinyaller ve paralel veriler arasındaki dönüşüm, böylece sistemin güvenilirliğini artırır ve kaynak kullanım oranını azaltır.
Yönetim kontrol arayüzü, esas olarak harici iletişimden sorumlu olan RS232 seri bağlantı noktasını benimser ve alınan ilgili bilgilere göre sistemi farklı modlarda çalışacak şekilde yapılandırır.
2 Sistem yazılım tasarımı
Sistemin yüksek hızda ve istikrarlı bir şekilde çalışmasını sağlamak için makul bir donanım mimarisi tasarımına ek olarak, her bir fonksiyonel modülün yazılım programlaması da çok önemlidir. Bunların arasında, yüksek hızlı arayüz modülü yazılım tasarımı ve şifreleme ve şifre çözme modülü yazılım tasarımı, performans darboğazını belirlemenin anahtarıdır.
2.1 Yüksek hızlı arayüz yazılım tasarımı
Yüksek hızlı arayüz modülünün yazılım tasarımı, FPGA'da program tasarımı ve TLK2711 etkileşimi yoluyla yüksek hızlı verilerin seri-paralel dönüşümünü tamamlamaktır Spesifik iş akışı Şekil 2'de gösterilmektedir.
TLK2711'in çalışma süreci verici bölümü ve alıcı bölümü olarak bölünebilir Verici bölümü, dahili 8B / 10B kodlama yoluyla 20 bit paralel veriye dönüştürülen, sağlanan referans saatine (GTX_CLK) dayalı olarak giriş 16 bit paralel verileri kilitler. Sonraki veriler diferansiyel seri modda referans saat frekansının 20 katında iletilir. Alıcı kısmı, alınan veriler üzerinde seri-paralel dönüşümü tamamlar, elde edilen 20-bit paralel verileri dahili senkronize kurtarma saatinden (RX_CLK) geçirir ve ardından 20-bit paralel veriyi 8B / 10B kod çözme yoluyla orijinal 16-bit veriye deşifre eder. Yüksek hızlı verilerin gönderilmesini ve alınmasını daha esnek bir şekilde kontrol etmek için, gönderme / alma çerçevesi sınır gösterge sinyalleri TXORDER ve RXORDER (tümü düşük etkili olacak şekilde tasarlanmıştır) sırasıyla 4 kanal için tasarlanmıştır. TLK2711'in veri yolu iletim bit genişliği, yüksek 8 bit ve düşük 8 bit olmak üzere 16 bittir.Kodlama yöntemi, yüksek 8 bitlik kontrol sinyali TKMSB / RKMSB ve düşük 8 bitlik kontrol sinyali TKSSB / RKLSB tarafından kontrol edilir.
Veri alma ucunda, TLK2711'in çalışma mekanizması nedeniyle, veri alımı sırasında RXLSB ve RXMSB'de üç durum olacaktır.RXMSB ve RXLSB aynı anda azalır, RXMSB, RXLSB'den önce bir saat döngüsü aşağıya çekilir veya RXLSB, RXMSB'den önce bir saat döngüsüdür Aşağı gidin. Bu nedenle, veriler alınırken verilerin kalibre edilmesi gerekir Aynı zamanda, sinyal bir saat alanından başka bir saat alanına iletildiğinde metastabilite problemini çözmek için, kalibre edilmiş verileri bir tampon olarak asenkron FIFO'ya yazın ve sonraki işlemleri bekleyin.
Veri gönderme ucunda, ilk olarak çerçeve sınır göstergesi sinyalini TXORDER düşük çekin ve ardından TXLSB ve TXMSB aracılığıyla veri iletimini kontrol edin. Hem TXLSB hem de TXMSB düşük olduğunda, gönderilen veriler geçerli verilerdir; her ikisi de yüksek olduğunda, virgül algılama kodu olarak b10111100 verisi gönderilir. RXORDER, veri almak için bir etkinleştirme sinyali olduğundan, yalnızca sinyal geçersiz olduğunda ve gönderen FIFO boş olduğunda, çerçeve verilerinin tamamen alındığını, işlendiğini ve gönderildiğini gösterebilir.
2.2 Şifreleme ve şifre çözme yazılımının tasarımı
Şifreleme ve şifre çözme modülü temel olarak veri güvenli iletiminin temeli olan yüksek hızlı verilerin şifrelenmesini ve çözülmesini gerçekleştirir.Ana işlevi FPGA'da gerçekleştirilir. DES, 3DES ve AES gibi algoritmaları karşılaştırarak iletim sürecinin gizliliğini sağlamak ve sistemin şifreleme ve şifre çözme hızını iyileştirmek için nihayet yeni nesil veri şifreleme standardı AES algoritması benimsenmiştir. AES algoritmasının paket uzunluğu 128 bit olarak sabitlendiğinden ve anahtar uzunluğu yalnızca 128 bit, 192 bit ve 256 bit olduğundan, verileri yalnızca sabit paket uzunluğunda şifreleyebilir ve şifresini çözebilir, bu nedenle AES algoritmasının OFB modu seçilir. Bu mod çalıştığı zaman, bir başlatma vektörü IV gereklidir İletişimin gizliliğini sağlamak için, doğrulanmış dijital fiziksel gürültü kaynağı çipi WNG-5, her veri çerçevesini şifrelemek için IV olarak gerçek bir rastgele sayı dizisi oluşturmak için kullanılır.
Şifreleme ve şifre çözme modülünün spesifik temel iş akışı Şekil 3'te gösterilmektedir.
İlk olarak, alınan verileri çerçeve protokolüne göre analiz edin Burada alınan veriler, yüksek hızlı arayüz modülündeki asenkron FIFO'da depolanan verilerdir. Bu sistemin iletim veri çerçeve formatı, çerçeve başlığı, veri uzunluğu, başlatma vektörü ve veri olmak üzere 4 bölüme ayrılmış Şekil 4'te gösterilmektedir.
Çerçeve başlığı bilgisine göre, çerçeve verisinin şifrelenecek bir çerçeve mi, şifresi çözülecek bir çerçeve mi yoksa doğrudan iletim çerçevesi mi olduğu yargılanır. Doğrudan bir iletim çerçevesi ise, algoritma modülünü başlatmayın, veri uzunluğu ve başlatma vektör kısmı kararını atlayın ve verileri doğrudan iletin; şifrelenecek veya şifresi çözülecek bir çerçeve ise, algoritma modülünün veri uzunluğu bilgisine göre başlatılması gerekir. Algoritma çekirdeği sayısının 2'den büyük olamayacağı algoritma çekirdeği sayısı. Donanım performansı ve FPGA kaynakları gibi etkenler nedeniyle, 4 kanal aynı anda çalışırken, sistemin kararlı ve normal olmasını sağlamak için her kanal en fazla 2 algoritma çekirdeği başlatabilir.
Başlatma vektörü kısmı için, şifrelenecek bir çerçeve ise, önce IV bilgisi olarak rastgele kod FIFO'dan karşılık gelen bit numarasının (128 bit) rastgele sayısını okuyun ve bunu algoritma modülüne gönderin ve aynı zamanda yerel önceden depolanmış WK verilerinden bir 192 grubu seçin Bit-uzunluk verileri algoritma modülüne WK bilgisi olarak gönderilir IV ve WK verileri hazır olduğunda, algoritma çekirdeği işlemleri gerçekleştirmek için başlatılır ve üretilen şifreleme akışı ve düz metin verileri XORed edilerek şifreli metin oluşturulur. IV ve WK bilgileri kod çözmenin anahtarı olduğundan, IV ve WK bilgilerinin, oluşturulan stratejiye göre çerçeve formatının başlatma vektörü kısmına dönüştürülmesi gerekir; IV ve WK bilgilerinin iletim işlemi sırasında karşılaşılabileceği düşünüldüğünde Zorlu ortamda, kanal iletiminin güvenilirliğini artırmak için RS hata düzeltme kodlaması uygulanır.
Şifresi çözülecek bir çerçeve ise, başlatma vektör verilerinin bir kısmını çıkarın, belirlenen stratejiye göre şifrelemede kullanılan IV ve WK bilgilerini geri yükleyin ve kodlamayla aynı şifre akışını oluşturmak için algoritma modülüne sağlayın ve ardından bunu şifreli metin ile birleştirin Düz metin verileri elde etmek için verileri XOR. RS kod çözme işleminin çok sayıda saat döngüsü tükettiğini göz önünde bulundurarak, IV verilerini algoritma modülüne aktarırken, ilk olarak orijinal çerçevede çözümlenen IV verilerini doğrudan algoritma modülüne iletin ve IV verileri üzerinde RS kod çözme gerçekleştirmek için algoritma modülünün başlangıç zamanını kullanın . Çözülen IV ile orijinal IV'ün aynı olup olmadığını karşılaştırın, eğer bunlar aynıysa, algoritma modülü çalışmaya devam edecektir.Farklı iseler, algoritma modülü, RS kod çözme süresinin belli bir dereceye kadar kaydedilebilmesi için RS kod çözme işleminden sonra IV'ye göre yeniden başlatılacaktır.
Verilerin şifrelenmesi ve şifresinin çözülmesi sırasında, veri miktarına göre farklı sayıda algoritma çekirdeği etkinleştirilir Bu nedenle, bu tasarımda, farklı algoritma çekirdeklerinin şifreleme akışındaki FIFO'daki verileri sabit bir sırayla sürekli olarak okumak için bu tasarımda ping-pong çalışma prensibi kullanılır. Şifreleme ve şifre çözme işlemleri. Her seferinde okunan veriler, AES algoritmasının paket uzunluğu tarafından belirlenen 128 bit olarak sabitlenir.
3 Deneysel doğrulama
Tasarımın fizibilitesini doğrulamak ve ilgili performans parametrelerini test etmek için çok kanallı yüksek hızlı veri güvenli iletim donanım platformu oluşturulmuş, aynı zamanda testi kolaylaştırmak için donanım platformuna veri sağlamak için veri kaynağı olarak basit bir takım test panosu oluşturulmuştur.
Çok kanallı yüksek hızlı veri güvenli aktarım donanım platformu, FPGA'ya 100 MHz'lik global bir çalışma saati sağlar Gömülü dijital saat yönetim birimi DCM, saat frekansını 180 MHz'e çarpar ve bunu algoritma modülünü daha iyi geliştirebilen algoritma modülüne sağlar. Çalışma verimliliği, Şekil 5, Xilinx'in çevrimiçi mantık analizörünün Chipscope aracı tarafından yakalanan tek kanallı verilerin şifreleme ve şifre çözme işleminin kısmi bir zamanlama diyagramıdır.
Şekil 5'ten görülebileceği gibi, şifreleme başlatma sinyali yüksek ayarlandığında, şifrelenecek verilerin, şifreli metin oluşturmak için algoritma çekirdeği tarafından üretilen şifre akışı ile XOR'landığı ve şifre çözme işleminin temelde şifreleme işlemiyle aynı şifre akışını kullanarak şifreleme işlemiyle aynı olduğu görülebilir. Şifreli metin verileriyle XOR işlemi düz metin üretir. Verileri karşılaştırarak, tasarımın veriyi doğru bir şekilde çözebildiği, yani sistem şifreleme ve şifre çözme fonksiyonlarının normal olduğu görülebilir.
Sistemin iletim hızı darboğazını ve performansını test etmek için, test araçları tarafından gönderilen veriler sürekli olarak değiştirilir Spesifik test yöntemi, TXORDER, TXMSB ve TXLSB üç sinyalini kontrol ederek 1024 saat döngüsündeki geçerli veri döngülerinin sayısını değiştirmektir. Şifreleme ve şifre çözme işini normal şekilde gerçekleştirirken, sistemin şifrelenecek ve şifresi çözülecek verileri aldığı zamandan şifrelenmiş ve şifresi çözülmüş verilerin gönderildiği zamana kadar saat döngülerinin sayısını hesaplayın. TLK2711, 100 MHz saat altında çalıştığından ve verileri 8B / 10B kodlu olduğundan, etkin veri aktarım hızı 1,6 Gb / sn'dir. Karşılık gelen orantılı ilişki sayesinde, sistem 1024 saat döngüsünde iletilen etkin veri döngülerinin sayısı ile artırılabilir. Şifre çözme çalışma hızı. Tablo 1, geçerli veri döngülerinin sayısının (data_nclk) ve şifreleme ve şifre çözme için kullanılan döngülerin sayısının (time_nclk), yani test sırasındaki veri süresinin bir karşılaştırma tablosudur.
Veri-zaman ilişkisi karşılaştırma tablosuna göre, bir veri-zaman ilişkisi grafiği yerleştirilmiştir. Şekil 6'da gösterildiği gibi, apsis, etkili veri döngülerinin sayısını temsil eder ve ordinat, şifreleme ve şifre çözme için kullanılan döngü sayısını temsil eder, Eğri A, bir algoritma çekirdeğinin başlatılması için veri süresi ilişki eğrisidir ve B, iki algoritma çekirdeğinin ping-pong işlemi altındaki veri zamanı ilişkisi eğrisidir. .
Tablo 1 ve Şekil 6'nın karşılaştırması ve analizi sonucunda, data_nclk 0 olduğunda, algoritmayı başlatmak için kullanılan döngü sayısı olan time_nclk 40; data_nclk 350 olduğunda, yani şekildeki a noktası, algoritma çekirdeğinin, yani geçerli veri olduğunda anahtarlama zamanıdır. Döngü sayısı 350'den fazla olduğunda, iki algoritma çekirdeğini başlatın, şifreleme ve şifre çözme süresinin önemli ölçüde azaldığı görülebilir; b noktasında data_nclk 820, bu sırada sistem şifreleme ve şifre çözme hızı darboğaza ulaştı, şifreleme ve şifre çözme döngülerinin sayısı 1022'ye ulaştı, yani bu Çerçeve şifreleme ve şifre çözme bittiği zaman, işlenecek bir sonraki veri çerçevesi ulaşmıştır. Oransal dönüşümden sonra, bu sistemin tek kanallı çalışma hızı darboğazının 1,28 Gb / sn olduğu görülebilmektedir. Sistemdeki ısı yayılımını ve kaynak kullanımını dikkate alarak, 1,2 Gb / sn'nin altındaki tek bir kanalın maksimum çalışma oranını kontrol etmek, yani 4 kanallı tam yükte 4,8 Gb / sn'de sistemin hızını kontrol etmek en iyisidir. Aşağıda, sistemin kararlılığını artırmaya yardımcı olur.
4. Sonuç
Çok kanallı yüksek hızlı veri güvenli iletim sisteminin araştırılması ve tasarımı sayesinde, bu makale, yüksek hızlı arayüz modülünün tasarımını tamamlamak için FPGA ve yüksek hızlı seri alıcı verici TLK2711'i kullanır.Aynı zamanda, yüksek hızlı veri eklemek için AES algoritmasının OFB modunu gerçekleştirmek için FPGA ve gürültü kaynağı çipi kullanılır. Şifre çözme, iletim sırasında verilerin gizliliğini sağlar. Çok kanallı yüksek hızlı veri güvenli aktarım donanım platformu, yerleşik test araçlarıyla test edilir Test sonuçları, sistemin kararlı çalışma koşulları altında 4.8 Gb / sn'ye kadar etkili verilerin güvenli aktarımını tamamlayabileceğini göstermektedir. Özetle, bu yöntem, modern veri aktarım sistemlerinde yüksek hız ve güvenlik sorunlarının çözümü için yüksek referans değerine sahiptir.
Referanslar
Huang Wanwei. Xilinx Fpga yüksek hızlı seri veri teknolojisi ve uygulaması Pekin: Elektronik Endüstrisi Yayınevi, 2015.
Gao Jun. PCIe veriyoluna dayalı yüksek hızlı veri aktarım sisteminin tasarımı ve uygulaması Hefei: Çin Bilim ve Teknoloji Üniversitesi, 2015.
Jia Jianchao, Chen Tao, Li Zhao. TLK2711'e dayalı yüksek hızlı veri seri iletimi. Elektronik Teknoloji Uygulaması, 2013, 39 (9): 47-49, 53.
Li Xun.Yüksek hızlı çok kanallı veri iletim sisteminin tasarımı ve uygulaması Taiyuan: Çin Kuzey Üniversitesi, 2015.
Yu Da, Liu Jinguo, Xu Dong, vb. TLK2711'e dayalı çok kanallı yüksek hızlı seri görüntü veri aktarım sistemi Liquid Crystal Display, 2017, 32 (10): 815-821.
Zhang Mei, Du Hui, Guan Hui, et al.Uzaktan algılama uydusu için TLK2711'e dayalı yüksek hızlı seri yük veri arayüzü tasarımı Uzay Aracı Mühendisliği, 2015, 24 (6): 13-19.
Ni Jianjun, Li Tao, Wang Jianyu.TLK2711'e dayalı yüksek hızlı seri tam çift yönlü iletişim protokolü üzerine araştırma Elektronik Tasarım Mühendisliği, 2013, 21 (10): 76-80.
Yu Yan, Song Bingbing, Liu Xiaozhen ve diğerleri.FpGA'ya dayalı veri şifreleme iletim sisteminin tasarımı. Springer International Publishing, 2014.
Zhang Jinhui, Guo Xiaobiao, Fu Xin AES şifreleme algoritması analizi ve bunun bilgi güvenliğindeki uygulaması Bilgi ağı güvenliği, 2011 (5): 31-33.
Wang Jia. FPGA tabanlı AES algoritması donanım uygulama optimizasyonu ve sistem tasarımı Shenzhen: Shenzhen Üniversitesi, 2017.
Tao Xingchen. AES şifrelemesine dayalı kablosuz ses ve video aktarım sisteminin tasarımı ve uygulaması Hefei: Hefei Teknoloji Üniversitesi, 2015.
Huang Chiwu, Chen Hongyou, YEH H C, ve diğerleri. 8-bit AES çalışma modlarının blok RAM tabanlı tasarımı. Procedia Engineering, 2012, 29 (1): 2848-2852.
yazar bilgileri:
Li Junhao, Bi Lixia, Wang Yongli
(Kuzey Çin Bilgisayar Sistem Mühendisliği Enstitüsü, Pekin 100083)
