[发明专利]一种基于复旦FDK250的SSL VPN加速器

说明书

技术领域

本发明涉及计算机硬件和软件技术领域，涉及FPGA程序设计以及网络安全算法的应用。

背景技术

SSL VPN是一种新兴的安全远程接入的实现方式，目前正广泛地被企事业单位采用。SSLVPN依托互联网，因此数据的传输很容易发生截获或者伪装等，SSL VPN采用SSL协议实现身份认证以及加密通道的建立等，SSL协议是互联网广泛使用的安全协议，身份认证主要是依靠非对称算法，而加密通道采用的是对称算法，一般来说，主要是DES和3DES算法，因此加速器的实现主要是对称算法的加速，本文主要是利用复旦大学微电子学院自主研发的FPGA产品FDK250实现SSLVPN加速器。

发明内容

SSLVPN，作为新一代的安全远程访问技术，它利用SSL技术和代理技术，提供给终端用户安全访问HTTP资源、C/S资源，以及文件共享资源。SSL VPN采用浏览器作为客户端，利用浏览器已有的SSL功能，用户无需安装客户端软件，因而使用更加方便，公司网络的部署和维护成本更低。

现场可编程门阵列FPGA(FieldProgrammableGateArray)集成电路是一种用编程方式实现数字逻辑功能的可编程逻辑器件。采用FPGA实现密码算法硬件在性能上将远远超过软件实现，因为FPGA能够实现更大程度的并行计算。同时，与传统的ASIC实现，FPGA具有如下的优势：

FPGA能够根据需要配置成不同的密码标准，也就是说，没有用到的算法不需要驻留在FPGA上，从而节省了资源，而ASIC必须把所有支持的密码标准驻留在芯片中。

基于FPGA的系统很容易升级，从而很容易支持软件Bug或者新的标准。

相比ASIC技术，FPGA对于出货量比较小的产品能够节约很多成本，同时包括短的研发周期，以及快速切入市场。

基于FPGA的加速器能够通过更换更快的FPGA芯片来提高性能，并且无需做任何工程上的改变。

本发明主要是研发基于复旦FDK250芯片的SSLVPN加速器，主要包括：

利用复旦FDK250芯片，实现高性能的3DES算法硬件加速器。

与海加网络现有SSL VPN产品SRA整合，实现在SRA产品上的3DES算法硬件加速器。

具体实施方式

DES算法更加安全的实现主要是CBC(Cypher-block chaining)。在CBC模式下，每个明文数据将再加密之前和上一个密文数据异或(exclusive-OR)(见图1)，由于输入必须依靠于以前的输出，因此和ECB模式相比，CBC模式的性能将明显低于ECB模式。

图1：CBC(Cipher-block chain)格式

1.DES及3DES算法介绍

DES算法是指Data Encryption Standard[3]，这是一种广泛采用的对称加密算法，同时也是第一个商业加密算法。尽管在1976年就提出了这个算法，实践证明这个算法有良好的抗密码分析能力，其主要的缺点就是其密钥的长度只有56bit，攻击者可以通过野蛮攻击(Brutal Attach)查询其各种可能的密钥，一般几个小时就可以破解DES密钥。

图2说明了DES的CBC模式的实现，通过处理64bit的数据产生64bit的密文，密钥尽管是64bit，但是有效位数只有56bit(因为每个第8位都用作奇偶校验，共8bit)。

图2：DES算法的CBC实现

DES对64(bit)位的明文分组M进行操作，M经过一个初始置换IP置换成m0，将m0明文分成左半部分和右半部分m0＝(L0，R0)，各32位长。然后进行16轮完全相同的运算，这些运算被称为函数f，在运算过程中数据与密匙结合。经过16轮后，左，右半部分合在一起经过一个末置换，这样就完成了。

在每一轮中，密匙位移位，然后再从密匙的56位中选出48位。通过一个扩展置换将数据的右半部分扩展成48位，并通过一个异或操作替代成新的32位数据，在将其置换换一次。这四步运算构成了函数f。然后，通过另一个异或运算，函数f的输出与左半部分结合，其结果成为新的右半部分，原来的右半部分成为新的左半部分。将该操作重复16次，就实现了。