一种以太网控制器安全增强设计方法技术

本发明专利技术提供了一种以太网控制器安全增强设计方法。在加解密模式下，使得以太网控制器执行下述操作：通过AMBA总线接口模块与外部主机系统进行控制流和数据流通信；通过DMA引擎模块分别实现发送和接收方向用于不同总线访问配置的数据的传输；通过协议过滤封装模块分别对发送和接收方向的以太网帧数据进行解析和过滤，将需要加解密的链路层或者网络层协议数据发往数据加解密模块，并对返回的数据重新封装；通过数据加解密模块采用硬件算法处理数据；通过MAC事务模块发送和接收数据缓冲；通过PHY接口模块与外部PHY芯片进行数据通信。

【技术实现步骤摘要】

本专利技术涉及电子信息领域，涉及一种面向链路层、网络层及传输层协议安全处理的千兆以太网控制器IP核的安全增强设计方法。
技术介绍
目前，网络终端设备通常利用专用防护墙软件、杀毒软件或者数据加解密软件实现安全通信，这种方式需要对网络控制器传输的各种协议进行解析和处理，具有占用系统资源、CPU使用率较高的缺点，并且可能由于软件设计漏洞引发安全风险。
技术实现思路
为了克服现有网络安全防护软件机制的上述缺点，本专利技术提供基于硬件加解密网络协议的千兆以太网控制器IP核的增强设计方法，其中设计了AMBA总线接口模块、DMA引擎模块、协议过滤封装模块、数据加解密模块、MAC事务模块、安全管控模块以及PHY接口模块的相互配合。该以太网控制器的数据加解密过程无须系统干预，无系统开销，并能够在保证网络数据安全传输的同时不损失网络链路传输性能。根据本专利技术，提供了一种以太网控制器安全增强设计方法，包括：通过安全管控模块预先配置以太网控制器的工作模式，其中工作模式包括普通模式及加解密模式；使得以太网控制器在普通模式下不进行网络协议的加解密处理。优选地，在加解密模式下，使得以太网控制器执行下述操作：通过AMBA总线接口模块与外部主机系统进行控制流和数据流通信；通过DMA引擎模块分别实现发送和接收方向用于不同总线访问配置的数据的传输；通过协议过滤封装模块分别对发送和接收方向的以太网帧数据进行解析和过滤，将需要加解密的链路层或者网络层协议数据发往数据加解密模块，并对返回的数据重新封装；通过数据加解密模块采用硬件算法处理数据；通过MAC事务模块发送和接收数据缓冲；通过PHY接口模块与外部PHY芯片进行数据通信。优选地，在加解密模式下的加密过程中，将以太网帧数据从AMBA总线模块经过DMA引擎模块传输至协议过滤封装模块，过滤封装模块对不同类型的以太网帧数据进行协议解析，将需要加密的数据发送至加解密模块，在加解密模块对需要加密的数据加密以形成密文数据后，将密文数据返回协议过滤封装模块以将密文数据重新封装为以太网帧数据形式的密文数据，随后将以太网帧数据形式的密文数据传输至MAC事务模块，并最后通过PHY接口模块将以太网帧数据形式的密文数据发送至PHY芯片。优选地，在加解密模式下的解密过程中，PHY接口模块接收来自PHY芯片的以太网帧数据，并将接收的以太网帧数据转发至MAC事务模块，在使得以太网帧数据经过同步处理后将其传输至协议过滤封装模块，协议过滤封装模块对不同类型的帧进行协议解析，将需要解密的数据发送至加解密模块，在加解密模块对需要解密的数据解密以形成明文数据后，将明文数据返回协议过滤封装模块以重新封装为以太网帧数据形式的明文数据，此后将以太网帧数据形式的明文数据经过发送DMA引擎模块和AMBA总线模块传输至外部主机系统。优选地，工作模式还包括禁用模式，其中太网控制器在禁用模式下仅支持系统IO访问而不响应系统发出的其他配置操作。优选地，该以太网控制器能够实现以下协议的安全处理：链路层的MAC帧协议；基于IPv4/IPv6的网络层协议；基于IPv4/IPv6的传输层协议。优选地，用于不同总线访问配置的数据具有可变数据粒度。本专利技术提供了一种能够实现硬件加解密的千兆以太网控制器IP核。本专利技术通过硬件设计，对以太网链路层、网络层及传输层的不同协议进行旁路、过滤或加解密处理，加解密过程无须系统干预，不占用系统开销。附图说明结合附图，并通过参考下面的详细描述，将会更容易地对本专利技术有更完整的理解并且更容易地理解其伴随的优点和特征，其中：图1示意性地示出了根据本专利技术优选实施例采用的电路结构图。图2示意性地示出了根据本专利技术优选实施例的以太网帧数据的加密过程。图3示意性地示出了根据本专利技术优选实施例的以太网帧数据的解密过程。需要说明的是，附图用于说明本专利技术，而非限制本专利技术。注意，表示结构的附图可能并非按比例绘制。并且，附图中，相同或者类似的元件标有相同或者类似的标号。具体实施方式为了使本专利技术的内容更加清楚和易懂，下面结合具体实施例和附图对本专利技术的内容进行详细描述。通过安全管控模块预先配置以太网控制器的工作模式(例如，工作模式包括普通模式、禁用模式及加解密模式)。其中，以太网控制器在普通模式下不进行网络协议的加解密处理。在存在禁用模式的示例中，可以使得太网控制器在禁用模式下仅支持系统IO访问而不响应系统发出的其他配置操作。而且，在加解密模式下，以太网控制器通过AMBA总线接口模块与外部主机系统进行控制流和数据流通信，通过DMA引擎模块分别实现发送和接收方向用于不同总线访问配置的数据(数据可具有可变数据粒度)的传输，通过协议过滤封装模块分别对发送和接收方向的以太网帧数据进行解析和过滤，将需要加解密的链路层或者网络层协议数据发往数据加解密模块，并对返回的数据重新封装，通过数据加解密模块采用硬件算法处理数据，通过MAC事务模块发送和接收数据缓冲，而且通过PHY接口模块与外部PHY芯片进行数据通信。该以太网控制器能够实现以下协议的安全处理：(1)链路层的各类MAC帧协议；(2)基于IPv4/IPv6的各类网络层协议；(3)基于IPv4/IPv6的各类传输层协议。具体地，如图1所示，AMBA总线接口模块1通过AMBA总线连接外部主机系统，对内连接DMA引擎模块2；协议过滤封装模块3在安全管控模块5的配置下切换不同工作模式，在加解密模式下分别对发送、接收帧数据进行解析过滤及封装；数据加解密模块4通过硬件算法加密发送数据、解密接收数据；MAC事务模块6缓冲发送、接收数据；PHY接口模块7对内连接MAC事务模块，对外连接PHY芯片。在图2中，在加解密模式下的加密过程中，将以太网帧数据从AMBA总线模块1经过DMA引擎模块2传输至协议过滤封装模块3，过滤封装模块3对不同类型的以太网帧数据进行协议解析，将需要加密的数据发送至加解密模块4，在加解密模块4对需要加密的数据加密以形成密文数据后，将密文数据返回协议过滤封装模块3以将密文数据重新封装为以太网帧数据形式的密文数据，随后将以太网帧数据形式的密文数据传输至MAC事务模块6，并最后通过PHY接口模块7将以太网帧数据形式的密文数据发送至PHY芯片。在图3中，在加解密模式下的解密过本文档来自技高网...

【技术保护点】
一种以太网控制器安全增强设计方法，其特征在于包括：通过安全管控模块预先配置以太网控制器的工作模式，其中工作模式包括普通模式及加解密模式；使得以太网控制器在普通模式下不进行网络协议的加解密处理。

【技术特征摘要】
1.一种以太网控制器安全增强设计方法，其特征在于包括：通过安
全管控模块预先配置以太网控制器的工作模式，其中工作模式包括普通模
式及加解密模式；使得以太网控制器在普通模式下不进行网络协议的加解
密处理。
2.根据权利要求1所述的以太网控制器安全增强设计方法，其特征
在于，在加解密模式下，使得以太网控制器执行下述操作：
通过AMBA总线接口模块与外部主机系统进行控制流和数据流通信；
通过DMA引擎模块分别实现发送和接收方向用于不同总线访问配置
的数据的传输；
通过协议过滤封装模块分别对发送和接收方向的以太网帧数据进行
解析和过滤，将需要加解密的链路层或者网络层协议数据发往数据加解密
模块，并对返回的数据重新封装；
通过数据加解密模块采用硬件算法处理数据；
通过MAC事务模块发送和接收数据缓冲；
通过PHY接口模块与外部PHY芯片进行数据通信。
3.根据权利要求1或2所述的以太网控制器安全增强设计方法，其
特征在于，在加解密模式下的加密过程中，将以太网帧数据从AMBA总
线模块经过DMA引擎模块传输至协议过滤封装模块，过滤封装模块对不
同类型的以太网帧数据进行协议解析，将需要加密的数据发送至加解密模
块，在加解密模块对需要加密的数据加密以形成密文数据后，将密文数据
返回协议过滤封装模块以将密文数据重新封装为以太网帧数据形式的密
文数据，随后将以太网帧数据形式的密文...

【专利技术属性】
技术研发人员：徐毅，韩文燕，张琦滨，汪争，叶维，刘亮，毕小建，张亮，
申请(专利权)人：无锡江南计算技术研究所，
类型：发明
国别省市：江苏;32