一种基于strongSwan的IPSec VPN网关的实现

IPSec VPN是一种使用IPSec协议来实现的虚拟专用网技术。针对国密算法在网络安全产品上的应用相对较少这一问题,设计一种基于开源IPSec项目strong Swan的VPN网关。该网关使用SSX0912加密芯片中的国密算法接口替换了strong Swan的国际密码算法接口,完成了strong Swan对国密标准的支持。将修改后的strong Swan移植到AM335x为核心的开发板中,在嵌入式硬件环境中实现了IPSec VPN的网关。通过搭建开发环境测试,该网关运行稳定,延时小,使用硬件加密模块,安全性更高,相比于简单的Linux系统实现,应用范围也更加广泛。     

基于Linux的XFRM框架下IPSec VPN的研究

针对现有 IPSec VPN 系统在效率和可靠性方面存在的问题,提出并改进了一种基于Linux最新内核平台的 IPSec VPN网关系统。给出Linux 的XFRM 框架结构和函数调用结构的表述,其中包括XFRM框架模块与内核中IPSec进入外出处理的交互结合和VPN 网关安全隧道的构建,利用 XFRM 框架实现 IP 层处理和IPSec 处理。对新系统进行了仿真实现与性能评价,结果表明,它是可行和有效的。     

可重构分组密码处理结构模型研究与设计

随着信息技术的发展和网络规模不断扩大,网络通信等应用对数据加解密处理提出了更高的要求,可重构计算是将可重构硬件处理单元和软件可编程处理器结合的计算系统.因此采用可重构计算技术来设计密码处理系统,使同一硬件能够高效灵活地支持密码应用领域内的多种算法.同时满足了密码处理对性能和灵活性的要求,提高了密码系统的安全性.论文在分析分组密码算法处理结构的基础上,结合了可重构结构的设计思想和方法,提出了一种可重构密码处理结构模型RCPA,并基于该模型实现了一款验证原型.原型在FPGA上成功进行了验证测试并在0.18μm CMOS工艺标准单元库下进行逻辑综合以及布局布线.实验结果表明,在RCPA验证原型上执行的分组密码算法都可达到较高的性能,其密码处理性能与通用高性能微处理器处理性能相比提高了10～20倍;与其他一些专用可重构密码处理结构处理性能相比提高了1.1～5.1倍.结果说明研究的RCPA模型既能保证分组密码算法应用的灵活性又能够达到较高的性能.     

基于VPN的空气监测系统的设计

本文在对本需求分析的基础上给出了一个基于VPN网络的环境自动监测系统的总体设计方案.对于监测系统终端,本文详细介绍了采集电路.网关主要从硬件结构设计和软件结构设计两个方面,本文的工作重点是实现基于IPSec的VPN安全网关设计,因此在系统的软件实现部分重点介绍了IPSec VPN的具体实现模型.并描述了数据在VPN网关中进行IPSec处理时的流程.     

可重构加密处理器控制模块的设计方法

可重构加密处理器是采用可重构体系结构设计而成的,用于对数据进行加/解密处理的集成电路芯片,它能够灵活、快速地实现多种不同的密码算法。可重构加密处理器由控制模块和加密/解密处理模块两大部分组成,其中,控制模块用于控制加密/解密程序的装载、存储和执行,加密/解密处理模块用于在控制模块的驱动下对数据进行加密/解密处理。文章提出了可重构加密处理器的控制模块的设计方法。     

可重构密码处理结构中重构机制及对性能的影响

重构机制对可重构密码处理系统的性能有着重要的影响,该文从全局、局部、静态、动态几方面提出了流水化可重构密码处理结构中重构机制的分类,给出了各种机制的吞吐率和延迟公式,并分析了几种机制的性能和实现代价,最后给出了在采用局部动态重构机制的可重构密码处理结构中密码处理的性能。     

基于IPSec的VPN在Linux中的实现

在研究IPSec协议框架和Linux操作系统的基础上，分析了IPSec安全网关的应用模型和基本构成模块，提出了通过改造Linux内核以及在操作系统原来的TCP／IP协议栈上添加IPSec的实现方案，阐述了在Linux中实现IPSec安全网关的关继技术。     

多核系统下的IPSec VPN网关的研究和实现

由于传统IPSec VPN网关面临新业务计算能力的困难,提出了多核系统系统下的IPSec VPN网关的实现方法.在Linux系统下通过对单处理器系统的IPSec VPN网关的报文处理流程的改进,实现了多核系统下的IPSec VPN网关,再通过多处理器间负载均衡和多核软件可执行级代码兼容性改进,进一步提高了多核系统下IPSec VPN网关的处理能为.最终测试结果表明,不仅在双核系统、四核系统上获得极高性能的提升,而且实现了可执行级代码的兼容性,并根据测试结果,在技术领域首次提出多核系统性能边际效益递减的规律.     

基于IPSec的VPN密钥交换（IKE）协议的分析与实现

在研究IKE协议的基础上，首先分析了IKE的安全性并讨论了防范措施，继而分析了IPSec安全网关基本模型以及包括IKE模块在内的各模块之间的关系，提出了在IP协议栈上集成IPSec协议的方法，并对IKE在IPSec安全网关上实现的问题进行了描述。     

可重构密码协处理器的组成与结构

文章提出了一些关于可重构密码协处理器的组成与结构的设计思想和方法。可重构密码协处理器组成与结构是指可重构密码协处理器的组成模块及其相互之间的连接网络。可重构密码协处理器组成与结构的设计直接影响到可重构密码协处理器的性能,因此是可重构密码协处理器设计中的一个关键问题。     

可重构密码协处理器的概念及其设计原理

提出了可重构密码协处理器的概念并论述了其设计原理。所谓可重构密码协处理器实际上是一个其内部逻辑电路结构和功能可被灵活改变的密码处理单元,它能够在主处理器的控制和驱动下灵活、快速地实现多种不同的密码操作,以便适应不同密码算法的需求。基于可重构密码协处理器的可重构密码系统具有灵活、快速、安全的特点,在保密通讯和网络安全等领域中具有良好的应用前景。     

可重构密码协处理器简介及其特性

可重构密码协处理器是采用可重构体系结构的思想和方法设计而成的，用于对数据进行加／解密处理的集成电路芯片，它能够灵活、快速地实现多种不同的密码算法。文章简要介绍了可重构密码协处理器的设计方法和使用方法，并对其灵活性、安全性、性能和规模进行了分析。     

基于GReP通用可重构处理器的密码算子优化设计

以提升通用可重构处理器在信息安全应用领域的处理能力与执行效率为目的,对序列、分组、公钥及哈希函数等四大类32种密码算法进行深入分析。通过各算法的热点、频度分析,对基本处理单元进行同构、同态、参数化设计,提出了对密码算法性能影响大、复用性好且具有可重构特性的密码算子。以公钥密码算法中计算量大、实现复杂且被广泛使用的模乘算法为代表,提出了将密码算子映射到GReP（General-Purpose Reconfigurable Processor）通用可重构处理器上的方法。实验表明基于GReP通用可重构处理器架构实现的模乘算法其运行效率比Intel CORETM i7平台上实现效率提高60%左右。实验充分说明了GReP通用可重构处理器在提高处理能力与执行效率方面有明显优势。     

可扩展地面无人平台综合处理模块硬件设计

小型轻量的地面无人平台应用越来越广泛,综合处理模块作为地面无人平台的指挥控制中心,承担着信息采集、数据处理及融合等核心功能.设计高性能可扩展的综合处理模块是未来地面无人平台的重要发展方向.以多源信息融合处理理论模型为基础,设计了一种以PowerPC为主处理器,FPGA为协处理器的综合处理模块系统架构.PowerPC主处理器主要完成数据处理、数据融合以及与各接口控制器的信息交互.FPGA协处理器主要实现接口控制器的扩展、信息采集和预处理.实际测试表明,综合处理模块在计算性能和通信性能方面优于原有系统.综合处理模块的硬件设计和多源信息融合处理理论模型的描述对地面无人平台的整体设计具有重要意义.     

System-level performance evaluation of reconfigurable processors

Reconfigurable architectures that tightly integrate a standard CPU core with a field-programmable hardware structure have recently been receiving increased attention. The design of such a hybrid reconfigurable processor involves a multitude of design decisions regarding the field-programmable structure as well as its system integration with the CPU core. Determining the impact of these design decisions on the overall system performance is a challenging task. In this paper, we first present a framework for the cycle-accurate performance evaluation of hybrid reconfigurable processors on the system level. Then, we discuss a reconfigurable processor for data-streaming applications, which attaches a coarse-grained reconfigurable unit to the coprocessor interface of a standard embedded CPU core. By means of a case study we evaluate the system-level impact of certain design features for the reconfigurable unit, such as multiple contexts, register replication, and hardware context scheduling. The results illustrate that a system-level evaluation framework is of paramount importance for studying the architectural trade-offs and optimizing design parameters for reconfigurable processors.     

基于嵌入式CPU的加解密子系统

针对信息安全等级和应用场合变化时IP级复用的片上系统(SoC)集成验证效率低的问题,提出一种基于嵌入式CPU的加解密子系统。子系统包括RSA,DES,AES等多种加解密模块,通过硬件上的参数配置,构造满足不同信息安全应用和等级的子系统;采用低功耗高性能的嵌入式CPU,作为SoC中主CPU的协处理器,控制各加解密模块的工作,可减少对主CPU的访问,以降低功耗。将经过验证的加解密子系统作为整体集成到SoC中,实现子系统复用,可减少SoC设计和集成工作量,降低SoC验证难度;利用门控时钟技术,根据各加解密模块的工作状态管理时钟,从而降低加解密子系统的功耗。采用CKSoC设计集成方法,在SoC集成工具平台上可快速集成不同配置下的基于嵌入式CPU的加解密子系统。实验结果表明,构造子系统后的SoC设计和验证工作量明显减少,提高了工作效率。     

基于多核的IPSec并行处理技术研究与实现

IPSec VPN网关需要进行大量加解密运算,对网络传输带宽产生较大影响。该文提出基于多核处理器的IPSec协议并行处理模型,将IPSec网络报文调度到多个处理器单元上运行,从而提高传输带宽。在Linux操作系统上对该模型进行具体实现,经过测试,在双核处理器上,IPSec VPN网关获得了接近倍速的性能提升。