[发明专利]一种带有加解密功能的数据摆渡模块及其数据处理方法

说明书

技术领域

本发明涉及一种带有加解密功能的数据摆渡模块及其数据处理方法，属于网络安全技术领域。

背景技术

在两个不同安全防护等级网络之间交换数据最常用的方法是使用网络隔离装置对数据以非网络传输的方式进行数据传输。传统网络隔离装置的基本结构是两个完全独立的主机系统和一个数据摆渡模块。为了进一步增加数据摆渡的安全性，目前新兴的网络隔离装置的基本结构在传统网络隔离装置的基础上增加了加解密功能，首先对数据进行加解密处理，再对数据进行摆渡。网络隔离装置中数据加解密的性能和数据摆渡的性能直接决定了整个系统的性能。

现有的数据摆渡模块一般有电子开关、单向FIFO、光纤和使用协处理器（FPGA等）摆渡数据四种方式，目前最广泛应用的是使用协处理器的方式。对数据的加密功能则主要有在主机系统上通过软件实现数据加密、分离的加解密模块这两种方式。软件实现的加密方式从安全性方面有隐患，且加解密性能对主机系统的性能有很大的依赖性。分离的加解密模块一般做成一块独立的加密卡，加密卡上的核心器件主要包括协处理器和密码芯片等，一般通过PCI/PCIE接口和主机进行数据交换，通过密码芯片对数据进行加解密处理。分离的加密模块提高了系统的安全性，但与传统的网络隔离装置相比，增加了分离加密模块的隔离装置在数据摆渡之前首先要将数据通过PCI/PCIE接口写入到加解密模块进行加解密处理，加解密完成后的数据返回到主机系统，主机系统再将加解密完成后的数据写入到摆渡模块进行数据摆渡，在性能上打了折扣，同时还要额外占用主机系统的一个PCI/PCIE接口和CPU资源，增加了硬件成本。

发明内容

为了解决上述技术问题，本发明提供了一种带有加解密功能的数据摆渡模块及其数据处理方法。

为了达到上述目的，本发明所采用的技术方案是：

一种带有加解密功能的数据摆渡模块，包括相互通信的两FPGA芯片，两FPGA芯片分别与两主机通信，每个FPGA连接SM1算法芯片和SM2算法芯片。

FPGA芯片通过PCIE接口与主机通信。

FPGA芯片与主机之间采用DMA方式通信。

SM1算法芯片用以对数据进行加解密处理，SM2算法芯片用以完成秘钥协商及身份认证工作。

两FPGA芯片通过高速串行接口进行通信。

一种带有加解密功能的数据摆渡模块的数据处理方法，包括，

一FPGA芯片与主机之间数据传输；

数据包传输到摆渡模块后，被解析并根据数据包格式分别进行处理，包括明文透传、加解密处理、秘钥协商及身份认证；

需明文透传的数据包，直接传输给另一FPGA芯片；

需加解密处理的数据包，通过SM1算法芯片处理后直接传输给另一FPGA芯片；

需秘钥协商及身份认证的数据包，通过SM2算法芯片处理后通过FPGA芯片返回到原来的主机。

数据摆渡模块采用MSI中断方式中断主机，并能根据主机的CPU核心数动态调整MSI中断个数。

本发明所达到的有益效果：本发明将算法芯片设置在数据摆渡模块内，与FPGA芯片连接，利用FPGA的并行性特点，具有速度快、集成度高、安全性高、成本低，易移植的特点。

附图说明

图1为本发明数据摆渡模块的结构框图；

图2为FPGA芯片逻辑框图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。