基于高性能FPGA的超高速IPSec安全设备设计与实现
网络安全与数据治理
姬胜凯,王硕,黄毅龙,杨志明,马赋宁,徐程
中国电子信息产业集团有限公司第六研究所
摘要: 基于高性能FPGA提出了一种超高速IPSec安全设备的设计方案;此方案在以CPU作为控制中枢的基础上,利用高性能FPGA配合高速接口实现100G的IPSec安全传输,同时利用高性能FPGA和噪声源芯片实现国密算法对高速数据进行加解密。搭建测试环境对样机进行测试,测试结果表明,超高速IPSec安全设备可完成高达82 Gb/s吞吐率的IPSec安全传输,整个系统延时达90 μs级。
中图分类号:TN918.4文献标识码:ADOI:10.19358/j.issn.2097-1788.2024.11.003引用格式:姬胜凯,王硕,黄毅龙,等.基于高性能FPGA的超高速IPSec安全设备设计与实现[J].网络安全与数据治理,2024,43(11):13-18.
Design and implementation of ultra high-speed IPSec security device based on high performance FPGA
Ji Shengkai,Wang Shuo,Huang Yilong,Yang Zhiming,Ma Funing,Xu Cheng
The 6th Research Institute of China Electronics Corporation
Abstract: A design scheme for an ultra high speed IPSec security device based on high-performance FPGA has been proposed. On the basis of using CPU as the control center, this scheme utilizes high-performance FPGA combined with high-speed interface to achieve 100G IPSec secure transmission, while utilizing high-performance FPGA and noise source chip to implement national security algorithm for encryption and decryption of high-speed data. Building a testing environment to test the prototype,the test results indicate that,the ultra high speed IPSec security device can achieve IPSec secure transmission with a throughput of up to 82 Gb/s, and the entire system latency can reach 90 μs level.
Key words : ultra High-speed; IPSec; FPGA
引言
近几年来,随着数据中心的建设,用于数据中心间通信的100G以太网建设迅速,随之而来的各类网络攻击行为给网络建设带来了挑战,亟需部署网络安全设备进行网络安全防护,目前主要部署网络密码机进行数据安全防护,对传输数据提供机密性、完整性和不可否认性保护。目前超高速IPSec密码机协议栈多基于大型CPU使用DPDK技术实现,软件方式实现的IPSec协议大大增加网关的负载,成为网络的瓶颈[1],而FPGA具有高速并行的特点,可实现超高速的IPSec处理。基于高性能FPGA的IPSec安全设备的实现,可以满足100G-IPSec协议栈超高速、超高吞吐量、极低时延和较多隧道数的特性。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006223
作者信息:
姬胜凯,王硕,黄毅龙,杨志明,马赋宁,徐程
(中国电子信息产业集团有限公司第六研究所,北京 100083)
此内容为AET网站原创,未经授权禁止转载。