1.导言
跟着互联网的广泛运用,网络信息安全已成为人们越来越重视的问题。可是现在国表里选用最遍及的网络安全措施防火墙类软件存在如下缺点:榜首防火墙阻隔的网络仍是依据TCP/IP协议来进行信息交流的,而TCP/IP协议是存在缝隙,因而它无法避免协议自身的缝隙;第二防火墙的运转离不开操作体系,操作体系和防火墙软件都或许存在不知道的缝隙,然后不能制止运用这些缝隙而进行的网络侵略和进犯的产生,使得整个防护体系十分软弱;第三防火墙类软件在可信网络与不可信网络之间供给了网络的直连通道,可是它并不能确保答应放行的数据的安全性,一起在对侵略检测上也存在局限性。而物理阻隔技能经过中止内部网络与互联网的直接衔接,不支撑TCP/IP协议,不依赖于操作体系,只答应表里网间进行适度的原始数据交流,然后在根本上处理了防火墙的缺点,为内部可信网络能够供给更好的安全性维护。所以我国在《计算机信息体系国际互联网办理规则》第六条中规则触及国家秘密的计算机有必要实施物理阻隔。
2.物理阻隔网闸
物理阻隔网闸(以下简称网闸)是一种选用物理阻隔技能,由带有多种操控功用专用硬件在电路上堵截网络之间的链路层衔接,并能够在网络间进行安全适度的运用数据交流的网络安全设备,它经过使表里部主机在任何时间都彻底断开,对TCP/IP协议及运用协议的剥离和重建,完结表里网在OSI模型七层的网络阻隔。一般具有有安全阻隔、内核防护、协议转化、病毒查杀、拜访操控、安全审计和身份认证,七大安全功用模块。其硬件设备主要由三部分组成:外部处理单元、内部处理单元、阻隔硬件。
现在网闸的技能道路主要有依据SCSI的开关技能和依据总线的开关技能两种。依据总线的实时开关技能的网闸选用双端口静态存储器(Dual Port SRAM,以下简称DPRAM)合作依据独立的CPLD或FPGA的操控电路,双端口各自经过开关与独立的计算机主机衔接(如图1)。CPLD(或FPGA)作为独立的操控电路确保双端口静态存储器的每一端口上存在一个开关,且两个开关不能一起闭合即K1×K2=0。依据SCSI开关技能的网闸和图1类似,仅仅数据通道换为SCSI硬盘接口,而存储介质运用的是SCSI硬盘,操控单元运用专门规划的硬件电路板完结。
可是现在选用上述完结技能的网闸体系遍及存在数据交流速度低、数据交流实时性差的问题。为战胜这些问题,咱们在进行MIPS网闸规划中提出并运用了依据总线的双通道循环缓冲区实时开关技能。
3. 依据总线的双通道循环缓冲区实时开关技能
在图1原有的规划中,进行数据交流时,内部和外部处理单元在任何时间只要一方与阻隔硬件相连。假如数据通道的速度为A bps,那么表里部处理单元间的数据交流速度最高只能抵达A/2 bps,未能充分运用发挥数据通道的才能。为此咱们提出如图2的规划。
将原有规划中的DPRAM存储区域分为A(a1,a2,…an)和B(b1,b2,…bn)两块(ai、bi为n个持平的小块存储区),K1和K2的束缚为K1ai×K2ai=0且K1bi×K2bi=0(K1ai表明K1与ai相连,K2ai、K1bi、K2bi与此相同)。如此一来就将原有图1规划中的一个双向数据通道变为了两个单向的数据通道,当表里部主机中的一方对ai或bi进行拜访时,另一方仍能够对aj或bj(i≠j)进行拜访,一起完结了传输数据的阻隔。
假定开关K1,K2与每一存储区域ai,bi的拜访是随机进行的,那么在满意长的一段时间内,开关K1,K2与每一存储区域ai,bi的衔接概率都是持平的,因而
咱们对ai、bi区域的拜访操控进行规划,使其别离组成两个循环缓冲区,这将进一步的削减表里部处理单元对阻隔硬件拜访读写抵触的产生,一起也进步了交流数据的实时性。经过这样的规划能使体系总线数据通道作业于“全双工”状况,进步了数据交流的速度和实时性,提升了体系的全体功用,满意体系更高的运用需求。
4.硬件规划完结
在咱们规划的网闸体系中其表里部处理单元由依据MIPS处理器的嵌入式计算机体系组成,阻隔硬件模块为双端口RAM卡,其包含通断操控电路,读写维护逻辑和数据存储电路。阻隔硬件与表里部处理单元选用SDRAM总线衔接。
4.1表里部处理单元的规划完结
表里部处理单元MIPS主板的硬件电路结构上与PC机类似,如图3所示。
图3 MIPS主板的硬件电路框图
表里处理单元与表里网的衔接经过板上的千兆网卡完结的,监控主机体系与网闸体系的衔接是经过百兆网络口完结的,该百兆口是对网闸进行设置的仅有端口且不好其它网络相衔接。一起该嵌入式计算机体系还对外供给了如PCI、IDE、串口等常用接口。独立的嵌入式主机为内(外)网供给了该侧的悉数硬件和软件资源,确保了体系内数据能够取得及时的处理。
4.2双端口RAM卡的规划完结
因为在MIPS网闸中完结数据交流的进程是经过对双端口RAM卡上的存储芯片的读写来完结的。存储芯片作为为表里网络的数据交流存储区,其拜访规划方案决议了MIPS网闸交流的全体速度。为了最大极限的进步MIPS网闸的数据交流速度,咱们MIPS网闸项目组选用了依据SDRAM总线的双通道循环缓冲区实时开关技能,使得MIPS网闸数据交流速度有了打破性的进步。 图4为双端口RAM卡的硬件框图。
规划中选用IDT70V3579S作为表里网间的数据缓冲区,Xilinx Virtex-II XC2V40作为操控单元。规划中选用两片70V3579S,使得数据存储区域和SDRAM位宽相同(64bit数据位8bit校验位)。整个数据存储区域为32K×72bit,容量为256KB,在规划中A、B存储区域巨细均为128KB,一起将A、B别离划分红64段ai、bi,每段巨细为2KB(因为MIPS处理器RM7065C的cache页替换每次为2KB,如此设置有助于进步体系功用)。如此一来DPRAM地址将分为两部分:高位地址(段地址)和低位地址(段内地址)。
在MIPS网闸中双端口RAM卡与表里部处理单元间数据交流十分频频,依据第3节的规划原理咱们运用FPGA来处理表里网机对双口RAM读写的操作抵触,进步速据传输速度。在FPGA内设置有如下寄存器:REG_L_W是用于操控左端写入的6位段地址寄存器,能够直接对应DPRAM的左端写入段地址;REG_R_R是用于操控右端读出的6位段地址寄存器,能够直接对应DPRAM的右端读出段地址;REG_L_RES是对应于64段ai资源运用状况的64位段标志寄存器;REG_R_W是用于操控右端写入的6位段地址寄存器,能够直接对应DPRAM的右端写入段地址;REG_L_R是用于操控左端读出的6位段地址寄存器,能够直接对应DPRAM的左端读出段地址;REG_R_RES是对应于64段bi资源运用状况的64位段标志寄存器。经过寄存器REG_L_W、REG_R_R、REG_R_W、REG_L_R将ai、bi组成循环缓冲区,一起完结K1、K2与不同的段的衔接。经过寄存器REG_L_RES、REG_R_RES指示判别段资源的运用状况,并告诉体系北桥。
当北桥向DPRAM写入或读出数据时,由FPGA依据其内部办理寄存器,宣布高7位地址L/R_SEGADD[6:0]操控北桥详细拜访的数据段ai、bi,并且在FPGA中硬件设置使两头不能一起对同一目标段进行拜访,然后操控K1、K2与ai、bi的衔接,完结数据的阻隔。
关于双端口RAM卡与SDRAM接口的衔接完结如下:首要,MIPS网闸是一个数据交流类的同享存储体系,而MIPS主板中北桥GT芯片支撑UMA(同一地址架构,Unified Memory Architecture),这一特性为规划同享存储体系供给了很高的灵活性,为咱们规划完结供给了便当。其次,在规划中选用的XC2V40芯片能与外部存储器(如SDR/DDR SDRAM,SDR/DDR SRAM )之间树立高功用接口,十分适宜咱们MIPS网闸体系的运用要求。最为要害的是,经过比较DPRAM与SDRAM在读写的操作时序,两者具有类似性,其主要时序两者根本共同。DPRAM与SDRAM读写操作的最大不同在于DPRAM进行读写操作时,其地址是一次输出一起数据线上信号也产生变化,而SDRAM的地址是分队伍地址宣布的,在发送别地址等候TRCD周期后,发送列地址,在此刻间数据信号才出现在数据线上。因而依据以上的比较剖析,咱们能够经过FPGA的规划使得DPRAM关于北桥来说运转于SDRAM状况之下,即北桥GT对DPRAM的操作契合SDRAM标准。
详细规划方法如下:在北桥GT对双端口RAM卡进行拜访并宣布行地址时,咱们规划北桥一起选通FPGA,在经过FPGA内部的运算后,经过TRCD的推迟,在北桥向双端口RAM卡宣布列地址及CAS的一起,FPGA宣布运算后的适宜的DPRAM高位地址(段地址)。此刻,高位地址与低位地址将组组成为完好的DPRAM地址并一起抵达DPRAM,然后再进行读写操作。然后完结在逻辑上北桥对DPRAM的拜访操作等同于SDRAM。
在体系运转中,高7位段地址与北桥宣布的列地址中的低8位DADDR[7:0]拼接为双端口静态存储器的完好地15位地址DPRAM_ADDR[14:0],完结对段内单元的拜访。FPGA的操控功用还包含:判别DPRAM是否有数据及告诉北桥数据可读,DPRAM是否写满及告诉北桥抛弃写进程,判别是否DPRAM已写到最终的地址及循环到开始地址等。FPGA还对北桥供给了L/R_SEG_FULL(A、B段写满信号)和L/R_INT_README(A、B段读答应信号),这些信号均衔接到GT64240的MPP(multiple purpose pins) interface上,经过以上规划然后完结了依据总线的双通道循环缓冲区实时开关技能。
因为DPRAM实践能够认为是SDRAM的连续,而体系经过内部地址将其与体系内存SDRAM加以区别。而段地址的切换由FPGA操控完结,所以关于北桥来说,双端口RAM卡的地址空间巨细为2KB。
经过对MIPS网闸双端口RAM卡的规划,在MIPS网闸中完结了依据SDRAM总线的双通道循环缓冲区实时开关技能。
选用SDRAM总线通道使得双端口RAM卡的地址作为内存的一段而存在,北桥GT对其的拜访契合SDRAM标准,因而在MIPS网闸体系进行数据交流时,数据是由内存到内存的转移,其速度比内存到PCI、Local Bus要快,并且便利今后的软件规划。而双端口RAM卡的FPGA操控单元独立作业确保了体系不会被嵌入式计算机或许其他主机长途操控,使得网闸体系取得肯定的安全性。选用新结构-双通道和循环缓冲区结构进步了体系数据传输的速度和实时性。一起双端口RAM卡的FPGA对ai、bi的操控办理完结了表里部处理单元对存储单元的互斥读写,完结了表里网数据的阻隔。
经过选用新技能进步了MIPS网闸的数据交流速度,削减了读写抵触的产生。在本规划中,对通道的理论运用功率能够抵达99%以上,而SDRAM的速度是133MHz,因而北桥对DPRAM拜访的速度也抵达了133MHz,那么MIPS网闸的交流峰值将抵达133MHz×64bit×2(双向双片),这在功用上是很大的打破。
5.传输进程的操控
MIPS网闸体系中数据的处理流程如图5所示:
图5 体系数据处理流程
用户恳求发送给服务器,服务器将收到的数据经承认后,经过专门的通讯软件发给MIPS网闸体系。MIPS网闸收到这些网络数据后,在MIPS嵌入式主机体系A上对它们进行内容过滤、身份验证、安全审计、病毒查杀,一起完结协议剥离,取得纯数据。然后将经过审阅的纯数据写入内存地址中对应于双端口RAM卡地址区间。双端口RAM卡经过L/R_INT_README信号告诉MIPS嵌入式主机体系B来读取数据。MIPS嵌入式主机体系B读取内存地址中对应于双端口RAM卡地址区间取得数据,然后将数据进行从头封装复原,构成一个安全的网络数据包,经过网络端口B发送给服务器。服务器依据该数据包的服务恳求然后完结整个服务进程。
数据在MIPS网闸体系的中心处理进程如图6所示:
图6 MIPS网闸中数据的中心处理进程
6.定论
剖析介绍了物理阻隔网闸技能,提出了依据总线的双通道循环缓冲区实时开关技能,该技能战胜了原有技能中存在的数据交流速度低实时性差的问题。给出了网闸中运用FPGA和双端口RAM在SDRAM总线上完结该技能的详细完结,对该体系中数据传输进程的操控和处理也给予了扼要的阐明。依据此技能规划完结的物理阻隔体系的数据交流速度以及数据的实时性得到了进步,满意了千兆网络级的运用。
责任编辑:gt
