摘要：介紹了VPN加密卡的設計。論述了加密卡中DSP的選取、TMS320C6202的特點以及以該芯片為基礎的高速加密卡的實現，著重介紹了符合TI規范的DB(Daughter Board)的應用設計。 關鍵詞：加密卡　DSP TMS320C6202　VPN 隨著互聯網應用方式的越來越復雜，迫切需要一個專業的互聯網服務供應商來提供智能化帶有保證性的互聯網服務，以便一些公司優化內部資源，從而專注于核心業務，提高競爭力。于是，ＶＰＮ服務便由此而興盛起來。 由于經濟的全球化，今天的企業不再局限于本地、本國范圍內經營，而是在跨地區、跨國的更大范圍內進行經營，因此員工、合作伙伴和供應商遍布全球。對于一個企事業單位來說，怎樣利用互聯網的強大功能成為一個重要的課題。由于各種新技術的出現，分散、移動的工作人員需要靈活、安全的方法與總部進行聯系。在這種情況下，企事業單位需要重新考慮自己的廣域網戰略。于是，很多企業正在建立Ｅｘｔｒａｎｅｔ來擴張自己的廣域網絡，與合作伙伴和供應商共同建立一個高效、安全、低成本的廣域網。 通過公網傳輸敏感性的數據要防止被監聽和篡改，因此必須采取有效的措施保證敏感數據的安全性。數據傳輸總是不希望無關人員察看、截取和惡意修改，所以要求保證私有數據在公網上傳輸的安全性。這正是互聯網的總體發展趨勢。 目前，往往通過加密的方法來實現數據在公網上安全地傳輸。于是，各種加密算法層出不窮，如ＭＤ５、ＣＡＳＴ、Ｂｌｏｗｆｉｓｈ、３ＤＥＳ等。目前主要采用的是１２８位以上的加密算法，經過這樣的處理，在現有的發展水平下，基本上解決了數據在公網上傳輸所遇到的安全性問題。 數據的傳輸不僅要保證安全性，還要能提供相當高的服務質量。例如，銀行系統數據庫的更新基本上是“實時”的，這樣才能保證交易雙方的利益不受損害。 傳統公網上的數據傳輸，雖然沒有服務質量保證，沒有權限和安全機制，但是它提供了連接上的方便。只要采取一定的措施使數據的傳輸象在局域網上一樣安全和快速，就可以滿足這種日益增長的需要。ＶＰＮ正是在要求數據傳輸的安全和高速度的背景下而產生的。它是在公網上開辟一個數據傳輸的虛擬專用通道，使局域網在物理上無限延伸，用戶的主觀感覺就象在專用網上傳輸數據一樣。數據的加密，即加密卡的設計，是構建ＶＰＮ中的一個重要環節，是實現數據安全的保障，也是實現局域網數據在因特網上安全傳輸的關鍵；而數據的處理速度是提供高服務質量的關鍵。因此數據的加密強度和處理速度變得越來越重要了。下面就介紹一種切實可行的數據加密卡的設計方案。１ 加密卡數據處理核心芯片——ＤＳＰ的選取 前一個系列的ＶＰＮ是基于ＰＣ機（或工控機）的，加密卡是作為一個部件安裝到ＰＣＩ插槽中。加密卡的工作比較明確，即處理需要加解密的數據。加密過程的控制由ＰＣ機的ＣＰＵ執行，數據的存儲則借用ＰＣ機的ＲＡＭ。雖然ＰＣ機本身的速度越來越快，但是ＰＣ機本身卻是數據處理的瓶頸。因為ＰＣ機上使用的大多是非實時的操作系統，而且需要管理的資源比較多，這需要很大的開銷，大大降低了數據處理的實時性，在速度上也是打了很大的折扣。為了提高數據存取和處理的速度，設計了基于總線方式的加密卡，以取代過去的基于ＰＣＩ插槽的方式。它是將接收到的ＩＰ數據包首先存放到ＰＯＷＥＲ ＰＣ的ＲＡＭ當中，處理后再轉發到ＴＭＳ３２０Ｃ６２０２內部固定的存儲空間（先前設定的）；ＴＭＳ３２０Ｃ６２０２處理后產生中斷，由ＰＯＷＥＲ ＰＣ取回。這樣，處理數據包的額外開銷就相當小。 過去，基于ＰＣＩ方式加密卡的ＤＳＰ使用的是ＴＭＳ３２０Ｃ６２０１。但是該種型號的芯片只提供ＰＣＩ接口，這是基于這ＤＳＰ的加密卡難以克服的弱點，所以在數字處理器上必須重新選取。ＴＭＳ３２０Ｃ６２０２繼承了ＴＭＳ３２０Ｃ６２０１的優點，同時克服了其不足，提供了一個１６位的總線接口，這就使數據的快速存取成為可能。 總之，ＴＭＳ３２０Ｃ６２０２有如下特點： ①處理速度快：１６００ＭＩＰＳ（Ｃ６２０２＿２００）和２０００ＭＩＰＳ (Ｃ６２０２＿２５０)，相應的時鐘周期分別為５ｎｓ和４ｎｓ； ②帶有１６位寬的總線接口； ③超強的并行處理能力和集成的智能片上外設等。 經過綜合比較，本卡選用了ＴＭＳ３２０Ｃ６２０２。 ２ 母板的設計 本系統采用母板＋子板的方式設計（接口方式遵循ＴＩ的子板接口規范）。之所以如此，一方面是因為ＤＳＰ要通過其擴展總線與ＰＯＷＥＲ ＰＣ進行數據的同步交互，所以把ＤＳＰ集成到ＰＯＷＥＲ ＰＣ主板中去；另一方面是為了方便地進行加密硬件的升級換代工作(升級時只需要更換子卡，同時升級相應的驅動程序)，并為用戶省下其它升級方式所需的大筆費用。 ２．１ 母板的構成 本系統采用的是嵌入式ＶＰＮ，因為ＰＯＷＥＲ ＰＣ和ＤＳＰ要通過總線進行數據的交互，所以ＤＳＰ置于主板上。而數據加密硬件部分放在子板上，它們通過ＴＩ定義的ＤＢ接口相連。加密卡的部分框圖如圖１所示。 ２．２ 母板工作原理 ＰＯＷＥＲ ＰＣ接收到ＩＰ數據包后，首先分析包頭，判斷該數據包的合法性。如果是合法的數據包，則把數據包傳遞到ＤＳＰ中去，否則直接丟棄。合法的數據包通過ＰＯＷＥＲ ＰＣ的擴展總線直接存入ＴＭＳ３２０Ｃ６２０２的片內固定存儲空間（事先約定的）后，即通知ＤＳＰ有需加解密的數據包。ＤＳＰ接收上位機的這個信息后，首先處理ＩＰ數據包的包頭信息，通過相應的標志位判斷是否要加解密，是純粹的軟件加密還是直接的硬件加密，以及采用何種算法。然后對ＩＰ數據進行處理。處理后的數據包經過ＤＳＰ的封裝處理，存入另外一個固定的內部數據空間。封裝處理完成后，產生一個硬件中斷到ＰＯＷＥＲ ＰＣ，由ＰＯＷＥＲ ＰＣ將數據包取走，進行打包處理，轉發出去。 ３ 子板設計 考慮到縮短開發周期和提高效率，采用外包的方式加速對本系統進行軟硬件設計，即主板由第三方設計實施。這將帶來安全上的隱患。為了杜絕此潛在隱患，采取硬件加密模塊化處理，自行設計加密卡的核心部分（即子板）和編寫加密算法。該子板與主板的接口設計完全符合ＴＩ規范，便于擴展，可以滿足以后的硬件升級。 所遵照的ＴＩ 接口規范包括擴展的存儲器連接接口和擴展的外設連接接口兩個部分。ＥＭＩ接口的信號包括ＤＳＰ的地址總線、數據總線、相應的存儲器控制信號，以及接入子板的電源線；ＥＰＩ接口的信號包括兩個多通道緩沖串口、兩個計時器、子板可分配中斷，ＤＭＡ通道標志、１／２ ＤＳＰ時鐘輸出、復位等信號。 另外，ＴＩ規范還規定了插座的選用：主板上為ＴＦＭ－１４０－Ｌ２－Ｓ－ＬＣ；子板上為ＳＦＭ－１４０－Ｌ２－Ｓ－ＬＣ。 ３．１ 子板框圖 子板中配置了專用的硬件加密芯片、模冪乘密碼算法協處理器、ＦＬＡＳＨ存儲器、ＪＴＥＧ接口、ＩＣ卡認證接口——ＲＳ２３２,以及完成子板邏輯、ＤＳＰ映射數據寄存器和子板各芯片狀態寄存器的大規模可編程邏輯器件（ＣＰＬＤ）——ＭＡＸＰＬＵＳ ７０００Ｓ系列的ＥＰＭ７２５６Ｓ。子板框圖如圖２所示。３．２ 子板原理 在加載ＶＰＮ時，首先檢查ＩＣ證書的合法性。這個檢查是通過ＰＯＷＥＲ ＰＣ訪問ＤＳＰ，ＤＳＰ再通過子板ＲＳ２３２接口讀取ＩＣ卡信息，然后判斷ＩＣ卡的有效性來進行的。如果有效，則ＶＰＮ成功啟用。 在加密的過程中，如果使用協處理器，則將數據寫入協處理器的ＤＳＰ映射地址，經過規定的時間，讀取數據。如果使用硬件加密，則將數據送入專用加密芯片，經過７５ｎｓ生成密文，送入ＦＩＦＯ進行緩沖。之所以這樣，是因為數據的寫入和讀出是通過同一個數據總線，而且加密芯片采用的是流水操作方式，如果以字節為單位，將會造成時間的浪費，數據的加密速度會大大下降，所以采用以ＩＰ包為單位的流水作業方式對數據進行加密處理。例如，一個ＩＰ包為１ＫＢ,以字節為單位時，處理時間將增加（１Ｋ－１）%26;#215;７５ｎｓ。這在加密過程中是要盡量避免的。所以，為了減少總線的壓力，提供數據的流水作業速度，必須增加緩沖環節。考慮到目前的ＩＰ包的大小，選用的ＦＩＦＯ的深度為２０４８字節。目前ＩＤＴ７２２３１芯片的容量可以達到４０９６字節，且引腳兼容，方便硬件升級。 當機箱被非授權人員惡意打開時，ＥＥＰＲＯＭ存放的使用密鑰在５０ｍｓ內被刪除。 隨機數發生器產生真正的隨機數，供加密時使用。它產生的隨機數在ＣＰＬＤ中以字節為單位進行緩存。它有防止竊取的功能：一個以字節為單位的隨機數有效期只相當于隨機數發生器的一個時鐘周期（其時鐘頻率為５０ｋＨｚ左右）。 ＦＬＡＳＨ能保存ＤＳＰ在ＢＯＯＴ時的一些固定信息。 總之，子板的設計提高了加密產品的安全性指數，在速度上也達到了更高的檔次，并且充分考慮了用戶加密產品的升級換代，滿足了用戶的需要。 本系統的設計使ＶＰＮ中加密部分的數據處理速度提高到了１００Ｍｂｐｓ，使ＶＰＮ速度上了一個臺階(原為５０Ｍｂｐｓ)，可以保證一定的服務質量（ＱｏＳ），而且密鑰采用１２８位以上，可以保證數據在公網上傳輸的安全性，從而完成了預期的目標。該系統在設計時充分考慮了兼容性和可擴展性，為升級換代作好了準備。經過試運行，這種母板＋子板的基于總線方式的加密卡在速度上達到了１００Ｍｂｐｓ以上，其安全性能也得到了相應的提高，完全滿足目前市場的需要。