安全通信系統(tǒng)的FPGA實(shí)現(xiàn)[圖]
緒論
信息安全的解決方案目前主要集中于采取單一的措施來(lái)保證信息的安全性,針對(duì)各種攻擊手段,防范措施主要集中于信息加密技術(shù)、安全交換機(jī)技術(shù)、防火墻技術(shù)、認(rèn)證技術(shù),入侵檢測(cè)技術(shù)等,這些技術(shù)從不同的方面對(duì)安全性提供了較好的保障,但各有缺點(diǎn)和不足,這將成為網(wǎng)絡(luò)防護(hù)的軟肋,因此,本文也嘗試性地提出了一種集數(shù)據(jù)加密技術(shù)和訪問(wèn)控制策略于一體的信息安全解決方案。
加密算法的硬件實(shí)現(xiàn)具有高速率、高可靠性、高安全等特點(diǎn),因此,加密算法在FPGA平臺(tái)中實(shí)現(xiàn)是一種很好的硬件實(shí)現(xiàn)方案。本文在xilinx公司的spartan-3e平臺(tái)中構(gòu)建一個(gè)嵌入式系統(tǒng)來(lái)實(shí)現(xiàn)安全網(wǎng)絡(luò)通信。
系統(tǒng)設(shè)計(jì)
該系統(tǒng)主要針對(duì)信息傳輸過(guò)程中存在信息泄露、信息篡改、非法用戶入侵等安全威脅而設(shè)計(jì)的一套基于FPGA平臺(tái)的網(wǎng)絡(luò)信息安全傳輸系統(tǒng)。該系統(tǒng)采用客戶機(jī)/服務(wù)器模式,因此,系統(tǒng)主要包括兩個(gè)部分:客戶端和服務(wù)器端??蛻舳俗鳛檎麄€(gè)系統(tǒng)的控制中心,根據(jù)實(shí)際需要,向服務(wù)器端發(fā)送請(qǐng)求,并顯示接收到的信息。服務(wù)器端響應(yīng)客戶端的請(qǐng)求,發(fā)送相應(yīng)信息。服務(wù)器端和客戶端之間的信息都是經(jīng)過(guò)加密后進(jìn)行傳輸?shù)模WC信息的安全可靠性。
系統(tǒng)服務(wù)器端設(shè)計(jì)
服務(wù)器端采用XILINX公司的Spartan-3e開(kāi)發(fā)平臺(tái),在該平臺(tái)上構(gòu)建基于MicrBlaze處理器和Xilkernel操作系統(tǒng)的嵌入式系統(tǒng),在該系統(tǒng)中通過(guò)定制AES加密IP、鍵盤IP、LCD IP、通用擴(kuò)展接口控制IP并添加EDK中自帶的網(wǎng)絡(luò)控制器IP、串口IP等,服務(wù)器端的系統(tǒng)結(jié)構(gòu)框圖如圖1所示。當(dāng)服務(wù)器端收到經(jīng)過(guò)AES加密的請(qǐng)求IP數(shù)據(jù)包時(shí),在服務(wù)器端,信息需要經(jīng)過(guò)AES解密處理,根據(jù)解密后信息分析并提取請(qǐng)求方的ID信息和IP信息,客戶端的ID信息是唯一的授權(quán)證號(hào),根據(jù)客戶端的ID信息,作出相應(yīng)的處理。
圖1 服務(wù)器端的系統(tǒng)結(jié)構(gòu)框圖
系統(tǒng)服務(wù)器端設(shè)計(jì)
客戶端同樣采用XILINX公司的Spartan-3e開(kāi)發(fā)平臺(tái),但該系統(tǒng)中只需要定制AES加解密IP、鍵盤IP、LCD IP并添加EDK中自帶的網(wǎng)絡(luò)控制器IP,客戶端的系統(tǒng)結(jié)構(gòu)框圖如圖2-2圖所示??蛻舳俗鳛檎麄€(gè)系統(tǒng)的控制中心,當(dāng)需要采集信息時(shí),客戶端經(jīng)md5算法形成自己的唯一授權(quán)ID,指令信息和ID信息經(jīng)過(guò)AES加密后發(fā)送至服務(wù)器端,當(dāng)服務(wù)器端響應(yīng)其請(qǐng)求后,視其身份權(quán)限做出相應(yīng)處理。
圖2 客戶端的系統(tǒng)結(jié)構(gòu)框圖
系統(tǒng)具體實(shí)現(xiàn)
該系統(tǒng)采用模塊化設(shè)計(jì)實(shí)現(xiàn),系統(tǒng)包括客戶端和服務(wù)器端。系統(tǒng)客戶端和服務(wù)器端的實(shí)現(xiàn)都是基于xilinx公司的spartan-3e平臺(tái)來(lái)實(shí)現(xiàn)的。
系統(tǒng)服務(wù)器端實(shí)現(xiàn)
·AES算法的硬件實(shí)現(xiàn)
AES算法是一種迭代分組密碼,采用的是代替/置換網(wǎng)絡(luò)(SP)。AES加密算法的實(shí)現(xiàn)包括密鑰擴(kuò)展過(guò)程和加密過(guò)程。AES解密算法的實(shí)現(xiàn)包括密鑰擴(kuò)展過(guò)程和解密過(guò)程。解密過(guò)程與加密過(guò)程類似,是加密過(guò)程的逆運(yùn)算,AES加解密過(guò)程如圖3所示。
圖3 AES加解密過(guò)程
AES加解密算法通過(guò)硬件描述語(yǔ)言來(lái)實(shí)現(xiàn),在該系統(tǒng)中采用VHDL語(yǔ)言編寫代碼。根據(jù)AES加解密算法的相似性,很多電路模塊可以共用,其占用資源可以盡可能的少。在該系統(tǒng)中采用密鑰長(zhǎng)度和分組數(shù)據(jù)塊長(zhǎng)度都為128bits,輸入信息都為字符型的數(shù)據(jù),采用對(duì)字符加解密,因此,每一個(gè)字符都將對(duì)應(yīng)其ASCII值輸入。AES加解密實(shí)現(xiàn)主要有4個(gè)模塊:控制模塊、AES加解密運(yùn)算實(shí)現(xiàn)模、SBOX模塊、密鑰操作模塊,實(shí)現(xiàn)的框圖如圖3-2圖所示。
AES加解密模塊的實(shí)現(xiàn)經(jīng)過(guò)ISE 綜合后占用資源利用情況如表1所示。
表1 AES加解密資源利用表
圖4 AES加解密實(shí)現(xiàn)框圖
·接口模塊的實(shí)現(xiàn)
服務(wù)器端采用Spartan-3e平臺(tái)擴(kuò)展了PS2接口、16X2的LCD液晶顯示,3個(gè)6針的通用擴(kuò)展接口,這些接口方便了外設(shè)的連接和擴(kuò)展。鍵盤在該系統(tǒng)中實(shí)現(xiàn)了單向通信,擴(kuò)展接口模塊通過(guò)平臺(tái)通用擴(kuò)展接口J1、J2、J3與外接設(shè)備進(jìn)行信息交互。Spartan-3e平臺(tái)通過(guò)串口DTE和GSM模塊進(jìn)行通信,將相應(yīng)的信息通過(guò)短信的方式發(fā)送到指定手機(jī)中。
各個(gè)接口模塊通過(guò)EDK添加自定義IP的方式添加到OPB總線中,其中鍵盤、LCD、串口DTE使用中斷。驅(qū)動(dòng)程序在自動(dòng)生成的驅(qū)動(dòng)程序模板基礎(chǔ)上完成各個(gè)模塊的驅(qū)動(dòng)程序。
·網(wǎng)絡(luò)安全檢測(cè)及報(bào)警實(shí)現(xiàn)
服務(wù)器端通過(guò)添加EDK中網(wǎng)絡(luò)控制器IP核,移植LwIP網(wǎng)絡(luò)協(xié)議棧,實(shí)現(xiàn)基于SOCKET的網(wǎng)絡(luò)通信。服務(wù)器端收到客戶端請(qǐng)求時(shí),對(duì)接收到的IP數(shù)據(jù)包進(jìn)行解密,對(duì)請(qǐng)求的IP數(shù)據(jù)包進(jìn)行分析,提取對(duì)應(yīng)的ID信息和IP信息,由于該ID信息是經(jīng)過(guò)md5算法產(chǎn)生的,因此該ID作為授權(quán)客戶的唯一ID,根據(jù)ID信息與授權(quán)的ID列表進(jìn)行比較,若為授權(quán)ID,則根據(jù)客戶請(qǐng)求把相應(yīng)的信息加密處理后發(fā)送至客戶端;若為非授權(quán)ID,則說(shuō)明該網(wǎng)絡(luò)已存在非授權(quán)ID用戶,此網(wǎng)絡(luò)已經(jīng)存在不安全性,則把提取的IP信息通過(guò)GSM網(wǎng)絡(luò)發(fā)送至指定接收端手機(jī),達(dá)到網(wǎng)絡(luò)的實(shí)時(shí)檢測(cè)和報(bào)警功能。
·服務(wù)器端軟件實(shí)現(xiàn)
服務(wù)器端構(gòu)建基于MicroBlaze處理器和Xilkernel操作系統(tǒng)的嵌入式系統(tǒng),通過(guò)擴(kuò)展PS2鍵盤,LCD液晶顯示屏等設(shè)備,實(shí)現(xiàn)具有良好的人機(jī)交互接口的系統(tǒng)。Xilkernel操作系統(tǒng)支持多線程操作,通過(guò)配置一些參數(shù)就可以靈活應(yīng)用。雖然其沒(méi)有網(wǎng)絡(luò)系統(tǒng),但可以通過(guò)移植LwIP協(xié)議棧就可以實(shí)現(xiàn)基于SOCKET的網(wǎng)絡(luò)通信。
應(yīng)用程序的設(shè)計(jì)主要包括系統(tǒng)的初始化、系統(tǒng)對(duì)客戶端請(qǐng)求的處理、網(wǎng)絡(luò)安全監(jiān)測(cè)及報(bào)警等。系統(tǒng)的初始化主要針對(duì)外設(shè)的初始化,LCD初始化工作:允許中斷函數(shù)microblaze_enable_interrupts(),初始化函數(shù)LCD INIT_LCD(),PS2 鍵盤初始化:初始化鍵盤函數(shù)init_kbd(),允許中斷函數(shù)enable_interrupt(),系統(tǒng)調(diào)用xilkernel_main()進(jìn)入xilkernel,創(chuàng)建socket_thread。初始化lwip,并創(chuàng)建socket_app_thread。該線程主要是針對(duì)網(wǎng)絡(luò)參數(shù)設(shè)定,通過(guò)IP4_ADDR()函數(shù)設(shè)定ip、網(wǎng)關(guān)、子網(wǎng)掩碼。
當(dāng)系統(tǒng)運(yùn)行時(shí),液晶顯示相關(guān)信息,當(dāng)出現(xiàn)等待鍵盤輸入密鑰時(shí),輸入16個(gè)字符密鑰,同時(shí)對(duì)密鑰進(jìn)行密鑰確認(rèn)。系統(tǒng)調(diào)用socket()函數(shù)創(chuàng)建socket,調(diào)用listen()函數(shù)開(kāi)始監(jiān)聽(tīng)。
一旦接收到用戶請(qǐng)求時(shí)就創(chuàng)建socket_process_thread線程。在socket_process_thread線程中,提取IP數(shù)據(jù)包的相關(guān)信息,首先檢查客戶端發(fā)送的ID是否在授權(quán)ID列表之內(nèi),如果ID無(wú)誤,將從無(wú)線模塊接收到的數(shù)據(jù)進(jìn)行AES加密,發(fā)送加密過(guò)后的數(shù)據(jù)給客戶端。如果ID有錯(cuò)誤,提取其收到IP數(shù)據(jù)包中的IP,并啟用GSM模塊,將提得的IP通過(guò)短信發(fā)送給指定接收端。
整個(gè)服務(wù)器端的軟件設(shè)計(jì)流程圖如圖5圖所示。
圖5 服務(wù)器端軟件流程圖
系統(tǒng)客戶端實(shí)現(xiàn)
客戶端的系統(tǒng)構(gòu)建與服務(wù)器端相似,系統(tǒng)的原理可以參考服務(wù)器端的系統(tǒng)設(shè)計(jì)。應(yīng)用程序的設(shè)計(jì)也包括系統(tǒng)的初始化,客戶請(qǐng)求的處理及解密處理,服務(wù)器端返回的信息處理。初始化外設(shè),LCD初始化:允許中斷函數(shù)microblaze_enable_interrupts(),初始化LCD函數(shù)INIT_LCD(),PS2 鍵盤初始化:初始化鍵盤函數(shù)init_kbd(),允許中斷函數(shù)enable_interrupt()。系統(tǒng)調(diào)用xilkernel_main()進(jìn)入xilkernel,創(chuàng)建socket_thread。液晶顯示等待鍵盤輸入密鑰,輸入密鑰后需再次確認(rèn)密鑰,確認(rèn)成功后啟動(dòng)客戶端。初始化LwIP,并創(chuàng)建socket_app_thread。配置網(wǎng)絡(luò)參數(shù),通過(guò)IP4_ADDR()函數(shù)設(shè)定ip、網(wǎng)關(guān)、子網(wǎng)掩碼。等待用戶按鍵,提出所要數(shù)據(jù)申請(qǐng)。調(diào)用socket()函數(shù)創(chuàng)建socket,連接server,發(fā)送經(jīng)過(guò)md5加密后的授權(quán)ID,等待server響應(yīng)。.當(dāng)接收到server返回的數(shù)據(jù)時(shí),調(diào)用AES解密模塊進(jìn)行解密。在LCD上顯示數(shù)據(jù),并等待用戶再次提出所要數(shù)據(jù)申請(qǐng)??蛻舳塑浖鞒虉D如圖3-4圖所示。
結(jié)論
該系統(tǒng)采用FPGA平臺(tái)構(gòu)建基于Microblaze軟核和Xilkernel操作系統(tǒng)的嵌入式系統(tǒng)。本文主要對(duì)下述內(nèi)容進(jìn)行了論述和自主開(kāi)發(fā):
1.AES加解密算法的原理介紹及基于FPGA的硬件自主實(shí)現(xiàn)。
2.構(gòu)建基于Microblaze軟核和Xilkernel操作系統(tǒng)的嵌入式系統(tǒng),自定制外設(shè)接口IP。
3.網(wǎng)絡(luò)安全檢測(cè)的實(shí)現(xiàn)及通過(guò)GSM網(wǎng)絡(luò)報(bào)警機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)。
經(jīng)過(guò)單元測(cè)試和整體評(píng)測(cè),各模塊獨(dú)立運(yùn)行功能良好,均達(dá)到系統(tǒng)設(shè)計(jì)要求。系統(tǒng)整體測(cè)試運(yùn)行平穩(wěn),可靠性強(qiáng)。完全可以達(dá)到實(shí)際應(yīng)用的性能及技術(shù)要求。
作者:孫建國(guó) 武俊鵬 申國(guó)偉 朱振光 哈爾濱工程大學(xué) 來(lái)源:與非網(wǎng)