高性能网络安全处理器的设计

提出一种支持IPSec、SSL/TLS网络安全协议的高性能网络安全处理器的系统结构设计。该设计采用了系统级的流水线及双路单向总线设计,提高了数据传输通路的数据传输速率并且缓解了总线仲裁及数据拥塞。经过特定面积/性能优化过的密码算法引擎阵列提供了多任务并行计算能力。可编程描述符指令结构的设计,不仅合理利用了并行计算资源,而且增强了系统面向网络安全协议应用的灵活性。采用SMIC 0.13μm标准逻辑单元库综合后,实验表明:系统频率为200 MHz时,此设计对IPSec ESP隧道模式支持1.651 Gb/s的数据吞吐率,且可以实现103次/s的SSL握手协议。     

协议分析仪2Mb/s高速信令处理模块

为了满足2 Mb/s高速信令的测试要求，开发了2 Mb/s高速信令协议分析仪信令处理模块。信令处理模块分为硬件系统和软件系统两部分。介绍了开发2 Mb/s高速信令协议分析仪的意义，使用2 Mb/s高速信令链路的优势，信令处理模块的设计原理和功能。介绍嵌入式处理器和实时操作系统的相关内容。     

基于Hash技术的IP数据包动态分流器的研究

针对当前高速网络安全产品在处理速率上的不足,提出了一种基于IXP2400网络处理器的高速数据包分流模型,并研究了基于Hash技术和LRU算法的动态数据包分流算法.仿真实验结果表明,所设计的动态数据包分流算法达到了千兆线速IP数据包分流的性能要求.     

IPsec在Linux内核2.4和2.6中实现之分析和比较

IPSec协议体系是IETF制定的新一代网络安全协议标准,首先概要介绍了IPSec,然后深入剖析了IPSec在Linux2.4和2.6下的实现方式(PF_KEY、IPsec Security Association,Security Policy,outputprocessing和input processing),并着重比较了二者的不同。     

1.5 V 0.35μm CMOS 3.2 Gb/s 1:4分接器设计

采用CSM 0.35μm CMOS工艺,设计了低电压高速1∶4分接器.分接器采用半时钟树型结构,由1个高速1∶2分接器和2个低速1∶2分接器级联而成.整个电路实现的基本单元为共栅动态负载锁存器.电路最高可工作在3.2 Gb/s,电源电压为1.5 V,整体电路功耗约为120 mW,芯片面积为0.675 mm×0.675 mm.     

IPSec与NAT的冲突问题及其解决方案研究

分析了网络安全协议IPSec和网络地址转换协议NAT之间的冲突问题,并对IETF提出的现有UDP封装草案进行了改进,提出了一种新的封装格式,将主机自身的IP地址一同进行封装,以解决不兼容问题.从NAT网关内部发往NAT网关外部的数据包,在经过UDP解封装后,其源地址被更改为原始IP地址,因此目标主机的IP层以上各层将以原始地址为目的地址进行通信.利用改进后的UDP封装方案,实现了IPSec报文对NAT设备的透明穿越.该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT转换.     

IP层安全的研究和实现

IPSec协议体系是IETF制定的新一代网络安全协议标准.本文深入剖析了IPSec协议体系,结合网络层安全协议的特色,提出了基于IP(v4/v6)的IPSec实现方法和发展趋势.在此基础上,我们还自主设计和开发了基于IPSec的VPN组件,经测试取得了良好的效果.     

支持多正则表达式匹配的硬件结构

针对多正则表达式匹配已经成为制约网络安全系统性能瓶颈的问题,提出一种硬件四级流水线的多正则表达式匹配结构。该结构对多条正则表达式统一处理,将正则表达式切割成字符串和循环控制,采用字符串匹配结构处理字符串,并设计专用硬件电路处理循环限制。实验表明,该硬件结构在Virtex2和Virtex4 FPGA上分别可以达到1.9和2.1Gb/s的匹配性能,与国外相关研究成果相比,消耗更少的存储空间,并支持更多的正则表达式。     

协议一致性测试数据包的构造与解析

数据包的构造与解析是协议一致性测试中的关键技术。在对协议一致性测试原理、特点和流程进行分析的基础上,定义协议一致性测试中的相关概念,建立协议一致性测试中的相关规则,提出一种数据包的构造、发送、捕获和解析的方法,设计数据包构造、发送、捕获和解析算法并对其进行分析。数据包构造算法可依据协议标准规定的消息格式,为每个数据包字段依次赋值;数据包发送算法是通过网络适配器,根据待发送数据包的名称、类型和发送序列,实施数据包的发送;数据包捕获与解析算法是通过网络适配器捕获原始数据包,设置并编译过滤规则,对捕获到的数据包按照协议标准说明进行解析,与预期构造的数据包进行比对。由于设置了过滤规则,有针对性地捕获数据包,因而,提高了数据包的捕获准确率。     

40Gbit/s甚短距离光传输系统发送模块的设计与实现

采用Altera公司的Stratix Ⅱ GX FPGA,实现40Gbit/s甚短距离光传输系统发送模块,重点阐述了16∶12转换器芯片的设计.首先基于高速收发器设计高速接口:在接收端采用2种方法实现SFI-5接口的17路数据相位对齐;在发送端由片外时钟驱动发送锁相环,同时增加同步措施,以满足高速收发器时钟管理单元对跨时钟域数据传输的要求,保证收发器的稳定工作.在此基础上,设计出便于后续测试的转换芯片时钟网络.同时设计出基于SDH的帧同步电路、去斜移电路和16∶12映射模块,实现数据从SFI-5接口向VSR-5接口的转换;其中去斜移电路能够动态地去除512bits的斜移量.在Signaltap Ⅱ下的测试结果验证了时序的正确性,误码率也符合小于10-12的设计指标.     

10Gb/s CMOS工艺光接收机前端放大器的设计

本文采用TSMC 0.18μm CMOS工艺,设计了一种应用于SDH系统STM-64(10Gb/s)光接收机的前端放大器。在跨阻放大器中,在共栅前馈结构的基础上加入有源电感,设计了一种宽带的跨阻输入级;跨阻放大器的增益级和限幅放大器核心单元采用三阶交叉有源反馈结构来扩展带宽。     

36 mW 2抽头40 Gb/s四级脉冲幅度调制发送器的设计

基于SMIC 65-nm CMOS工艺设计了一种40Gb/s低功耗四级脉冲幅度调制(PAM4)发送器。设计中的预加重抽头只在输出信号电平转换后紧跟的单位时间间隔内才向输出节点注入电流。当输出信号不进行电平转换时,电流不流经预加重抽头,解决了现有预加重结构浪费功耗的问题。预加重抽头采用了一种新型的基于可开关电流源的低电压差分信号(LVDS)驱动单元,使得电路可以在高速下消除功耗浪费。电路采用了PAM4调制,降低了带宽的要求。仿真中使用的信道在20GHz的损耗为20.2dB。结果表明,经过预加重,接收端的信号的眼图高度120mV,眼图宽度为30ps。40Gb/s发送器电路的功耗为36mW,能效为0.9pJ/b。     

IPSec的NAT兼容性改进

通过分析Internet网络层安全协议(IPSec)工作机制提出 一种改进的隧道封装方法. 通过数据发送方在数据包中封装本主机的IP地址, 并在接收方对 其进行相应的处理, 在解决IPSec与网络地址翻译技术NAT兼容性问题的基础上, 使得通 信双方可以灵活决定对通信的保护方式. 与Internet工程任务组的解决方案相比, 在不损失 安全性及只增加很小开销的前提下, 保持了灵活设置安全策略的能力.     

基于IPv6的网络的安全和保密性分析

为了解决即将耗尽的IP地址和日益突出的网络安全问题,IETF提出了下一代IP解决方案,即IPv6。IPv6技术具有一系列使得互联网的用户增强他们的网络的安全性和保密性的特征。IPv6与IPv4的不同之处在哪里呢？最大的不同就是大的地址空间,这给网络安全性带来了好处。IPv6的比较大的地址空间（IPv6为128位,即16字节;而IPv4为32位）,主要是为了解决IPv4的地址短缺问题。同时,大的地址空间也带来了很大的安全性的好处。IPv6的另一个安全性在于在IPv6把IPSec（IPSecurity）作为必备协议,IPSec通过所定义的一套完善的安全机制,在身份认证报头（AH）和封装安全载荷报头（ESP）的支持下,可以为IPv6网络环境下的网络层数据提供各种安全服务。     

一种用于多通道10 Gbit以太网接口的CMOS 3.125 Gb/s接收器

介绍了一种单片集成的3．125 Gb／s接收器的设计,它适用于IEEE 802．3ae四通道10Gb／s以太网接口．电路采用了多相时钟结构和并行采样技术以降低电路速度要求．电荷泵采用了常跨导偏置技术以降低环路对工艺、电源电压和温度变化的敏感度．时钟数据恢复电路采用1／5速率时钟降低振荡器的设计难度,时钟恢复的同时完成1：5解串功能,降低了电路功耗．电路采用0．18μm CMOS工艺设计和仿真,总体功耗为95mW,625MHz恢复时钟的输出抖动小于75ps,电路在3．125 Gb／s的数据率和各种工艺角下工作正确．     

40Gb/s传输的几种主流调制码型应用浅析

核心路由器互联成为40Gb/s的关键驱动力,推动了骨干网DWDM传输系统的40Gb/s调制码型技术的飞速发展。本文简要介绍了几种主流调制码型、应用情况、以及发展趋势。     

用于高速网络入侵检测系统的并行TCP/IP协议栈

随着网络应用层内容检测技术的速度提高到10Gb/s的数量级,底层的TCP/IP协议栈已经成为制约网络入侵检测系统的检测速度的新瓶颈。该文的前期工作采用64位指令、并行计算指令和操作系统内核数据映射等软件硬件系统特性来优化TCP校验码计算、TCP连接表Hash值计算和内核态到用户态的数据复制等性能瓶颈。在此基础上,该文进一步研究了连接表Hash值计算、半开连接过滤和并行化问题,采用通用Hash(universal Hash)函数作为TCP连接表查找的Hash函数,以避免算法复杂度攻击,并利用SSE(streaming SIMD extensions)指令集中的并行指令来提高计算速度;采用Bloom过滤器过滤TCP半开连接;使用多次加载动态链接库(DLL)的方法,利用并行化获得更高的吞吐率。实验表明:经过上述改进后,使用3个处理器核心的TCP/IP协议栈,对平均包长110 B的攻击流量能达到4.4 Gb/s的吞吐率,对平均包长501 B的正常流量能达到15.2 Gb/s的吞吐率,达到原始系统的4倍以上,比该文前期工作的结果提高了50%到70%。     

一种基于叠层电感的25Gb/s 30dB限幅放大器

提出一种采用叠层电感(Stacked Inductor)的25Gb/s 30dB的限幅放大器(Limiting Amplifier,LA),相对于传统限幅放大器,该放大器面积更小.改进的Cherry-Hooper放大器能够解决增益和电压余度(Voltage Headroom)之间的折中问题,因此具有3级级联的该放大器组成了本电路的核心增益级.直流失调消除电路由低通滤波器和放大器组成,同时利用密勒效应实现电容倍增从而节约电容面积.为了在印刷电路板上单独测试LA,将连续时间均衡器以及具有前馈均衡的输出驱动器都集成在本芯片上.该设计采用TSMC 65nm工艺进行流片验证,测试结果表明3dB带宽达到17.5GHz,增益为29.0dB;在电源电压为1.1V的情况下,核心增益级功耗为25.3mW,占用0.072mm2面积.     

IPComp协议在IPv6中的研究与实现

实际应用中,当对IP数据包应用AH或ESP协议时,会导致传输的IP数据包长度增加,加重网络负载,数据包被再次分段,增大数据传输的时延等问题。介绍了使用IPComp协议对经过IPsec处理的数据包进行压缩的方法,并实现了在支持IPv6协议的Linux平台下数据包经IPComp协议压缩后的数据传输。     

面向片上互连的低功耗CNRZ5 125 Gb/s高速SerDes发射机

为解决高性能CPU、GPU、AI等高端芯片的片上互联（D2D）带宽低、引脚效率不高的问题,设计了一款面向超短距离传输（USR）的低功耗、高引脚效率的125 Gb/s发射机。为提高引脚效率,该电路采用相关非归零编码（CNRZ）技术;为降低发射机功耗,采用一种预编码的电压模驱动（SST）技术;为解决传统电路两级2∶1 MUX功耗大的问题,采用CMOS的4∶1 MUX。该发射机采用CMOS 28 nm工艺设计,0.9 V电压供电。仿真结果表明,基于CNRZ技术的发射机工作在125 Gb/s时,输出信号最小眼宽可达0.41 UI（1 UI=40 ps）,系统功耗为1.1 pJ/bit,引脚效率由5 bit/10 wire提高到5 bit/6 wire。