一種基于高速交換緩存的網絡隔離SoC芯片結構研究

◆谷會濤 孫懿峰

（1.91977部隊 北京 100841；2.91991部隊 浙江 316000）

近年來，隨著移動網絡、移動支付、智能手機等新型技術的快速發展，各種社會信息迅速電子化、網絡化，政府、金融、教育、公安、電力等過去孤立的內部網絡都迅速接入到了互聯網中，通過各種手持網絡終端設備，可以實現各種數據在網絡上快速共享和交換，極大便利了人們的日常生活。然而，接入互聯的各行業內部網絡也受到了日益嚴重的黑客攻擊、病毒、木馬等網絡安全威脅，尤其是一些工業控制網遭到了入侵，產生了嚴重的后果。因此，網絡安全防護技術也越來越受到重視，被動防護技術包括病毒防護、防火墻和入侵檢測等技術，主動防護技術主要是網絡隔離技術[1]。

本文首先介紹了網絡隔離技術的基本原理和技術發展路線，分析了目前典型網絡隔離技術的幾種實現方式，提出了一種高度集成的網絡隔離芯片硬件結構，最后定量分析評估了該芯片硬件結構的設計約束和性能。

1 網絡隔離技術

1.1 網絡隔離技術的基本原理

網絡隔離技術[2]是指將不同等級的內部網絡和外部網絡在物理斷開的基礎上，實現信息的安全可控交換。網絡的物理斷開，簡單有效地阻斷了來自外部網絡的各種有害的網絡安全威脅。信息的安全可控交換又實現了信息的共享和交換。

1.2 網絡隔離技術的發展

隨著網絡技術的高速發展，網絡隔離技術也在不斷改進完善，從信息交換技術特點來考慮，隔離技術發展可以分為三個階段[3]。

第一代是數據轉播隔離技術。數據轉播技術通過分時轉播系統實現文件的共享和交換。這項技術切換速度慢，且不支持常見的網絡應用，失去了數據共享和交換的意義。

第二代是空氣開關隔離技術。空氣開關技術通過設置臨時數據緩沖，內部網絡和外部網絡通過分時訪問臨時數據緩沖，來共享和交換信息。這項技術存在一定安全性問題。

第三代是安全通道隔離技術。安全通道技術通過專用硬件和安全協議，實現內部網絡和外部網絡件間的隔離和數據安全交換。該技術高效實現了網絡件數據的安全可控交換，可以透明支持多種網絡應用，是當前隔離設備采用的主要技術。安全通道隔離技術一般包含以下技術特點[4]：一是斷開網絡物理層和鏈路層的連接；二是將剝離通用的TCP/IP協議數據。三是采用專用硬件和傳輸協議實現信息交換。

1.3 網絡隔離設備的組成

當前典型的網絡隔離設備一般至少由內網單元、外網單元和隔離交換單元三部分組成。其中，內網單元和外網單元采用獨立的網絡接口來連接內部網絡和外部網絡，完成網絡報文的收發。隔離交換單元通過專用硬件和協議使，過濾數據交換過程中的病毒、惡意代碼等信息，實現信息在外網單元和內網單元間的安全可控交換。

目前各種網絡隔離技術設計中，內網單元和外網單元一般采用通用計算機系統實現。隔離交換單元實現技術有多種。文獻[1]、文獻[3]和文獻[7]設計了兩塊隔離交換板，內外網絡單元各配屬一塊，隔離交換板間通過專用協議和電纜通信。文獻[4]中隔離交換單元采用通用計算機系統實現，但采用接入認證和訪問控制技術進行安全加固。隔離交換單元與內外網單元間還采用信道加密技術進行安全增強。文獻[5]中采用專用硬件實現隔離交換單元，并增加了管理控制單元對隔離交換進行安全審計。文獻[6]將防火墻、入侵檢測等技術和網絡隔離技術結合，提出將網絡隔離設備放置在防火墻和入侵檢測設備之后，增強系統安全性。

2 網絡隔離芯片硬件結構設計

隔離設備采用多主機架構隔斷網絡物理連接，實現網絡數據安全交換，設備體積較大、安裝和維護工作較煩瑣。隨著集成電路技術高速發展，基于單芯片實現隔離交換功能已經成為可能。

2.1 芯片總體架構

基于典型網絡隔離系統架構模式，本文提出了一種基于高速交換緩存的網絡隔離SoC芯片結構，如圖1所示。以三個處理器為中心構成了SoC芯片的三個功能模塊：兩個通信處理模塊和一個隔離交換模塊。通信處理模塊由處理器、DMA控制器、網絡接口和串口等部件組成，負責網絡通信和報文解析。隔離交換模塊由主處理器、隔離控制邏輯、專用通道、緩存控制器和緩存單元組成，實現數據審核和交換功能。

圖1 網絡隔離芯片結構圖

2.2 通信處理模塊功能

通信處理模塊主要完成兩個功能。一是從網絡接口接收數據包，向隔離認證模塊發送數據包審核請求，并通過專用通道接口將數據寫到隔離認證模塊的緩存單元中。二是接收隔離認證模塊的發送數據包命令，并通過專用通道接口從隔離認證模塊的緩存單元讀取數據包，通過網絡接口發送。

通信處理模塊支持在多層次上實現網絡的隔離與通信。通過設置PHY寄存器實現物理鏈路的斷開和鏈接可實現物理層隔離；通過設置GMAC寄存器可實現鏈路層的斷開與連接；通過設置RxFilter寄存器來實現IP地址、TCP/UDP的端口的斷開與連接。

2.3 隔離交換單元功能

隔離交換單元主要由CPU、四條專用通道、兩個隔離控制邏輯、兩組專用緩存、DMA控制器、異步通信接口等模塊組成。兩條專用通道、一個隔離控制邏輯和一組專用緩存組成一套獨立的隔離交換處理邏輯。兩組隔離交換處理邏輯可實現內網到外網、外網到內網數據交換的單向性和獨立性，實現雙向數據信息的并行隔離交換處理。

數據隔離交換速率是影響網絡隔離SoC芯片性能的關鍵因素。本文設計了專用的高速隔離交換緩存，針對網絡隔離系統中報文數據計算和傳輸模式，定制設計了地址映射和高速硬件邏輯開關等技術，構建了報文數據在多個處理器間高速安全隔離交換架構。支持多處理器同時訪問的隔離交換緩存結構，有效減少了數據傳遞次數，提高了數據處理速度；高速隔離交換緩存同時設計了緩存分塊和緩存區訪問權限控制技術，實現隔離交換緩存的安全訪問功能。

3 網絡隔離SoC芯片分析

3.1 通信處理模塊CPU性能分析

通信處理模塊主要完成網絡數據包的收發處理。針對典型網絡通信速率，本文分析了通信處理模塊CPU的任務復雜度。千兆網絡單向理論最大傳輸速率125MB/s（1000Mbps），以太網線速帶寬約為86600幀/s（125MB/1514B，每幀總長1514By te，有效數據長度1460Byte）。

本文基于開源TCP/IP協議源碼，統計了Socket接口層以下協議處理需要的CPU指令數，CPU約需要1500 MPIS CPU性能才能滿足千兆網絡實時處理。數據進入應用層后，進行應用層協議解析及安全掃描等的工作量，考慮到實際應用差別較大，本文僅將應用層工作及其他工作性能需求分別按網絡協議處理性能需求的50%、100%、200%進行分析。圖2給出了單向通信速率為100Mbps和1000Mbps時，對CPU性能的需求。

圖2 CPU性能需求分析圖

當應用層協議處理等運算復雜度與網絡協議處理運算復雜度相當時，100Mpbs通信性能要求通信處理模塊CPU性能至少應達到0.3GIPS。1000Mpbs通信性能要求通信處理模塊CPU性能至少應達到3GIPS。

3.2 隔離交換模塊CPU性能分析

由于隔離交換功能主要由隔離控制邏輯實現，隔離控制邏輯與CPU并行工作，因此隔離交換模塊CPU任務復雜度較低。本文采用Verilog語言實現了隔離控制邏輯、專用通道和緩存控制器，設計了隔離交換模塊CPU模型。通過Modelsim工具進行模擬，得到了不同傳輸報文大小、不同傳輸速率對隔離交換模塊CPU的性能需求。

當報文大小分別為1KB、2KB、4KB、8KB、16KB時，傳輸速率為10Mbps、100Mbps、1Gbps、10Gpbs時，隔離交換CPU性能要求曲線如圖3所示。

圖3 隔離交換CPU性能曲線

當數據大小為1KB，網絡傳輸速率要求1Gbps時，CPU性能至少應達到1.1GIPS。隔離交換模塊中，由于報文數據的由搬運主要由隔離控制邏輯和DMA完成，因此極大降低了對CPU的性能需求。

4 結論

隨著網絡技術的快速發展和網絡安全威脅的日益嚴重，在內部網絡，尤其是工業控制網的防護上網絡隔離技術應用廣泛。本文介紹了網絡隔離技術基本原理，給出了當前典型網絡隔離技術的實現方式，提出了一種基于高速交換緩存的網絡隔離SoC芯片硬件結構，分析評估表明該硬件結構具有較高的網絡安全性和數據交換性能。