基于P4080构建网络安全设备平台

摘要

从信息安全体系结构上看，信息安全的解决需要从物理安全、系统安全、网络安全、应用安全和安全管理五个层面进行解决。网络安全设备主要是解决网络安全问题的产品，但其自身系统安全如果不能得到很好解决，那利用其构建的安全网络在体系上就可能存在不安全点。
　　本文正是针对以上问题，基于 P4080多核处理器构建网络安全设备平台，实现系统安全启动、网络包处理和协处理器高速通信等功能。主要内容为：
　　1．分析网络安全设备平台需求。从防火墙、安全网关、VPN产品的功能入手分析平台功能需求；从可信计算机安全要求入手分析平台安全需求。通过分析提出了网络安全设备平台的三大共性需求，第一是实现系统安全启动，第二是提供高速总线接口，第三是实现网络数据处理。
　　2．根据P4080芯片提供的资源和芯片特点，设计了P4080网络安全设备平台硬件框架。
　　3．研究可信计算原理、可信链结构、数字签名原理，以及P4080的安全启动机制、设计原理与实现方式。然后，利用 P4080安全启动和可信结构，采用数字签名及验证技术设计了从内部安全启动代码（ISBC）到Uboot、从Uboot到Linux系统的两级信任链系统安全启动机制。最后，对系统安全启动设计进行了测试。测试结果验证了安全启动机制实现的正确性和有效性。
　　4．研究P4080提供的PCI-E和RapidIO两种高速总线的分层体系结构和每层的协议功能和特点，并考虑到开发的便利性，选择PCI-E作为P4080网络安全设备平台的硬件协处理器高速交互总线。然后，设计了收发双链表和收发合并链表两种硬件协处理器交互协议。最后，对两种数据收发协议进行了数据交互性能对比测试。测试结果验证了收发合并链表方式比收发双链表方式因所需中断少，从而减少了对CPU性能的消耗。
　　5．研究虚拟机机制和实现方式，以及P4080的多核架构；研究P4080内嵌的安全加速引擎、IPsec封装和解封装、“黑”密钥和Blob机制。然后，设计了Linux SMP、Hypervisor、KVM和USDPAA（用户空间数据路径加速结构）四种系统软件架构。同时，基于USDPAA架构设计了IPsec-VPN实现架构，采用独立的CPU分别实现设备管理处理业务、协处理器收发处理业务、IPsec处理业务、收包处理业务和发包处理业务。最后，采用TestCenter和P4080平台搭建IP包三层转发性能测试环境进行了性能对比测试，对基于USDPAA的IPsec-VPN实现架构进行了IP包转发性能测试。测试结果证明，采用 USDPAA系统架构，并基于 USDPAA实现网络安全处理可行，并且在性能上也能达到中高速设备的要求。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 产品平台设计方法

1.2 国内外研究现状

1.3 研究目标

1.4 本论文研究内容

1.5 本论文结构安排

第二章 需求分析

2.1 功能需求分析

2.2 安全需求分析

2.3 本章小结

第三章 P4080平台硬件设计

3.1 硬件原理设计

3.2 启动配置设计

3.3 存储设计

3.5 接口设计

3.6 本章小结

第四章 P4080平台系统安全启动设计与验证

4.1 系统安全启动技术

4.2 P4080的安全启动机制

4.3 系统安全启动设计

4.4 系统安全启动验证

4.5 本章小结

第五章 P4080平台高速总线交互协议设计与测试

5.1 P4080的高速总线

5.2 硬件协处理器交互协议设计

5.3 硬件协处理器交互协议对比测试

5.4 本章小结

第六章 P4080平台网络数据处理设计与测试

6.1 虚拟机机制

6.2 P4080的多核与虚拟化架构

6.3 P4080的IPsec ESP硬件实现机制

6.4 网络数据处理架构设计

6.5 网络数据处理架构测试

6.6 本章小结

第七章 结论

致谢

参考文献

攻硕期间取得的研究成果