[发明专利]一种SSL安全协处理器芯片的设计及其在系统中的应用

说明书

技术领域

本发明涉及一种SSL安全协处理器芯片的设计及其在系统中的应用。

背景技术

随着Internet的发展，网络丰富的信息资源给用户带来了极大的方便，但由于Internet的开放性、超越组织性和无国界等特点，使它在安全上存在极大隐患。因此，为了最大限度保障信息网络的安全性，各种安全技术便应运而生，SSL协议就是其中一种。

加密套接层协议(简称SSL)是万维网(WWW)上保证网络交易安全的占主导地位的方式。自1994年引入，SSL很快被用于热门的网页浏览器如网景、微软，主要作用于保护消费者在线交易的保密性。除保证电子商务安全，SSL(其最新版本称为TLS或传输层安全协议)现已进化至互联网上传输各敏感数据的择优取向，如在线账单支付、网上金融报表、在线纳税申报单和网上股票购买等。SSL正逐渐被更安全的版本，一种被称为传输层安全协议(即TLS)所替代，预计在不远的将来TLS会受到更多用户的青睐。

SSL通信量的提升对从事联网技术设备研究的系统设计者们提出前所未有的挑战。SSL过程中服务器一方计算量最大的是编/解码(RSA)与客户端密码交换。其次数据编/解码中的block cipher(DES，3DES，RC4以及国产算法)也需要大量数据运算。通用处理器与专用硬件的有机结合能够大大提高信道(session)建立速度以及数据的编/解码。SSL的最大缺陷在于消耗网络服务器性能，复杂的加密算法加重了计算平台与软件的数据处理量。随着人们对SSL使用日益增多，大型网站和数据中心很快需要同时处理数以万计的安全交易，流量达到每秒数百万比特，这就远超传统SSL解决方案的能力范围了。

因此对于大多数通讯业务来说，在系统设计中嵌入SSL技术，采用协议加速器才是这个问题的解决方法。专用硬件可负荷最大量的专门数据计算，使得主处理器能够有足够的剩余能力来处理其他任务。使用可编程芯片(FPGA)实现硬件加速能够提高处理速度一个数量级以上。FPGA将卸载主处理器的SSL握手函数(例如RSA加解密与密钥产生)以及记录层的大量加解密与认证函数，使CPU能腾出更多的资源来执行封包处理，从而提升系统总体性能。

目前国内外的安全协处理器主要针对block cipher(DES，3DES，RC4等)，本发明具有高集成度，即可以处理block cipher，又可以处理非对称算法，同时可以处理国产算法。

发明内容

本发明的目的在于提供一种SSL安全协处理器芯片的设计及其在系统中的应用。

为达上述目的，本发明一种SSL安全协处理器芯片的设计采用如下技术方案：

SSL安全协处理器芯片的设计系分为控制路径(control path)和数据路径(data path)两部分。控制路径用于编程系统参数，整合系统状况，以及为用户提供实时系统分析。数据路径用于完成网络数据的加密，解密，和相关的运算。运用FPGA加速数据路径以卸载处理器大部分繁复的计算是达成有效软硬件资源分配的最佳方案。

本发明一种SSL安全协处理器芯片在系统中的应用见图3。

SSL安全网关作为高端高性能设备，采用FPGA来实现SSL加解密模块，通过基于FPGA的SSLanquan协处理器的采用，产品可以很好地满足高性能、弹性、成本与产品及时上市(TTM)等多方面的需求，在高端应用中得到成功。产品不仅满足了移动终端电子政务和电子商务方面的接入安全要求，而且也满足了移动应用高并发用户数的要求，保证了通讯数据量，从而为电子政务和电子商务保驾护航。

附图说明

图1为本发明实施例一种SSL安全协处理器芯片的设计和实现方法逻辑框图；

图2为芯片物理框图；

图3为安全芯片在系统中的应用框图。

图4为SSL纪录协议的数据封装、加密的格式定义

图5为SSL协议

具体实施方式

SSL协议及算法由FPGA芯片实现，具体功能如下：

SSL协议包括SSL握手协议、SSL Change Cipher Spec协议、SSL Alert协议以及SSL纪录协议。SSL纪录协议是应用数据封装、加密的格式定义，见图4。其中MAC和Encrypt过程就采用了散列算法和对称算法。

SSL握手协议是SSL协议的重要部分，它使用非对称算法实现算法协商和密钥交换，具体协议见图5。SSL协议中支持非对称算法包括RSA、ECC等，对称算法包括AES、DES、3DES等各种对称算法，同时通过对协议扩展，可以实现支持国产对称算法。