◆谷會濤 孫懿峰

（1.91977部隊 北京 100841；2.91991部隊 浙江 316000）

近年來，隨著移動網(wǎng)絡(luò)、移動支付、智能手機(jī)等新型技術(shù)的快速發(fā)展，各種社會信息迅速電子化、網(wǎng)絡(luò)化，政府、金融、教育、公安、電力等過去孤立的內(nèi)部網(wǎng)絡(luò)都迅速接入到了互聯(lián)網(wǎng)中，通過各種手持網(wǎng)絡(luò)終端設(shè)備，可以實現(xiàn)各種數(shù)據(jù)在網(wǎng)絡(luò)上快速共享和交換，極大便利了人們的日常生活。然而，接入互聯(lián)的各行業(yè)內(nèi)部網(wǎng)絡(luò)也受到了日益嚴(yán)重的黑客攻擊、病毒、木馬等網(wǎng)絡(luò)安全威脅，尤其是一些工業(yè)控制網(wǎng)遭到了入侵，產(chǎn)生了嚴(yán)重的后果。因此，網(wǎng)絡(luò)安全防護(hù)技術(shù)也越來越受到重視，被動防護(hù)技術(shù)包括病毒防護(hù)、防火墻和入侵檢測等技術(shù)，主動防護(hù)技術(shù)主要是網(wǎng)絡(luò)隔離技術(shù)[1]。

本文首先介紹了網(wǎng)絡(luò)隔離技術(shù)的基本原理和技術(shù)發(fā)展路線，分析了目前典型網(wǎng)絡(luò)隔離技術(shù)的幾種實現(xiàn)方式，提出了一種高度集成的網(wǎng)絡(luò)隔離芯片硬件結(jié)構(gòu)，最后定量分析評估了該芯片硬件結(jié)構(gòu)的設(shè)計約束和性能。

1 網(wǎng)絡(luò)隔離技術(shù)

1.1 網(wǎng)絡(luò)隔離技術(shù)的基本原理

網(wǎng)絡(luò)隔離技術(shù)[2]是指將不同等級的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在物理斷開的基礎(chǔ)上，實現(xiàn)信息的安全可控交換。網(wǎng)絡(luò)的物理斷開，簡單有效地阻斷了來自外部網(wǎng)絡(luò)的各種有害的網(wǎng)絡(luò)安全威脅。信息的安全可控交換又實現(xiàn)了信息的共享和交換。

1.2 網(wǎng)絡(luò)隔離技術(shù)的發(fā)展

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)隔離技術(shù)也在不斷改進(jìn)完善，從信息交換技術(shù)特點來考慮，隔離技術(shù)發(fā)展可以分為三個階段[3]。

第一代是數(shù)據(jù)轉(zhuǎn)播隔離技術(shù)。數(shù)據(jù)轉(zhuǎn)播技術(shù)通過分時轉(zhuǎn)播系統(tǒng)實現(xiàn)文件的共享和交換。這項技術(shù)切換速度慢，且不支持常見的網(wǎng)絡(luò)應(yīng)用，失去了數(shù)據(jù)共享和交換的意義。

第二代是空氣開關(guān)隔離技術(shù)?？諝忾_關(guān)技術(shù)通過設(shè)置臨時數(shù)據(jù)緩沖，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)通過分時訪問臨時數(shù)據(jù)緩沖，來共享和交換信息。這項技術(shù)存在一定安全性問題。

第三代是安全通道隔離技術(shù)。安全通道技術(shù)通過專用硬件和安全協(xié)議，實現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)件間的隔離和數(shù)據(jù)安全交換。該技術(shù)高效實現(xiàn)了網(wǎng)絡(luò)件數(shù)據(jù)的安全可控交換，可以透明支持多種網(wǎng)絡(luò)應(yīng)用，是當(dāng)前隔離設(shè)備采用的主要技術(shù)。安全通道隔離技術(shù)一般包含以下技術(shù)特點[4]：一是斷開網(wǎng)絡(luò)物理層和鏈路層的連接；二是將剝離通用的TCP/IP協(xié)議數(shù)據(jù)。三是采用專用硬件和傳輸協(xié)議實現(xiàn)信息交換。

1.3 網(wǎng)絡(luò)隔離設(shè)備的組成

當(dāng)前典型的網(wǎng)絡(luò)隔離設(shè)備一般至少由內(nèi)網(wǎng)單元、外網(wǎng)單元和隔離交換單元三部分組成。其中，內(nèi)網(wǎng)單元和外網(wǎng)單元采用獨立的網(wǎng)絡(luò)接口來連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，完成網(wǎng)絡(luò)報文的收發(fā)。隔離交換單元通過專用硬件和協(xié)議使，過濾數(shù)據(jù)交換過程中的病毒、惡意代碼等信息，實現(xiàn)信息在外網(wǎng)單元和內(nèi)網(wǎng)單元間的安全可控交換。

目前各種網(wǎng)絡(luò)隔離技術(shù)設(shè)計中，內(nèi)網(wǎng)單元和外網(wǎng)單元一般采用通用計算機(jī)系統(tǒng)實現(xiàn)。隔離交換單元實現(xiàn)技術(shù)有多種。文獻(xiàn)[1]、文獻(xiàn)[3]和文獻(xiàn)[7]設(shè)計了兩塊隔離交換板，內(nèi)外網(wǎng)絡(luò)單元各配屬一塊，隔離交換板間通過專用協(xié)議和電纜通信。文獻(xiàn)[4]中隔離交換單元采用通用計算機(jī)系統(tǒng)實現(xiàn)，但采用接入認(rèn)證和訪問控制技術(shù)進(jìn)行安全加固。隔離交換單元與內(nèi)外網(wǎng)單元間還采用信道加密技術(shù)進(jìn)行安全增強(qiáng)。文獻(xiàn)[5]中采用專用硬件實現(xiàn)隔離交換單元，并增加了管理控制單元對隔離交換進(jìn)行安全審計。文獻(xiàn)[6]將防火墻、入侵檢測等技術(shù)和網(wǎng)絡(luò)隔離技術(shù)結(jié)合，提出將網(wǎng)絡(luò)隔離設(shè)備放置在防火墻和入侵檢測設(shè)備之后，增強(qiáng)系統(tǒng)安全性。

2 網(wǎng)絡(luò)隔離芯片硬件結(jié)構(gòu)設(shè)計

隔離設(shè)備采用多主機(jī)架構(gòu)隔斷網(wǎng)絡(luò)物理連接，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)安全交換，設(shè)備體積較大、安裝和維護(hù)工作較煩瑣。隨著集成電路技術(shù)高速發(fā)展，基于單芯片實現(xiàn)隔離交換功能已經(jīng)成為可能。

2.1 芯片總體架構(gòu)

基于典型網(wǎng)絡(luò)隔離系統(tǒng)架構(gòu)模式，本文提出了一種基于高速交換緩存的網(wǎng)絡(luò)隔離SoC芯片結(jié)構(gòu)，如圖1所示。以三個處理器為中心構(gòu)成了SoC芯片的三個功能模塊：兩個通信處理模塊和一個隔離交換模塊。通信處理模塊由處理器、DMA控制器、網(wǎng)絡(luò)接口和串口等部件組成，負(fù)責(zé)網(wǎng)絡(luò)通信和報文解析。隔離交換模塊由主處理器、隔離控制邏輯、專用通道、緩存控制器和緩存單元組成，實現(xiàn)數(shù)據(jù)審核和交換功能。

圖1 網(wǎng)絡(luò)隔離芯片結(jié)構(gòu)圖

2.2 通信處理模塊功能

通信處理模塊主要完成兩個功能。一是從網(wǎng)絡(luò)接口接收數(shù)據(jù)包，向隔離認(rèn)證模塊發(fā)送數(shù)據(jù)包審核請求，并通過專用通道接口將數(shù)據(jù)寫到隔離認(rèn)證模塊的緩存單元中。二是接收隔離認(rèn)證模塊的發(fā)送數(shù)據(jù)包命令，并通過專用通道接口從隔離認(rèn)證模塊的緩存單元讀取數(shù)據(jù)包，通過網(wǎng)絡(luò)接口發(fā)送。

通信處理模塊支持在多層次上實現(xiàn)網(wǎng)絡(luò)的隔離與通信。通過設(shè)置PHY寄存器實現(xiàn)物理鏈路的斷開和鏈接可實現(xiàn)物理層隔離；通過設(shè)置GMAC寄存器可實現(xiàn)鏈路層的斷開與連接；通過設(shè)置RxFilter寄存器來實現(xiàn)IP地址、TCP/UDP的端口的斷開與連接。

2.3 隔離交換單元功能

隔離交換單元主要由CPU、四條專用通道、兩個隔離控制邏輯、兩組專用緩存、DMA控制器、異步通信接口等模塊組成。兩條專用通道、一個隔離控制邏輯和一組專用緩存組成一套獨立的隔離交換處理邏輯。兩組隔離交換處理邏輯可實現(xiàn)內(nèi)網(wǎng)到外網(wǎng)、外網(wǎng)到內(nèi)網(wǎng)數(shù)據(jù)交換的單向性和獨立性，實現(xiàn)雙向數(shù)據(jù)信息的并行隔離交換處理。

數(shù)據(jù)隔離交換速率是影響網(wǎng)絡(luò)隔離SoC芯片性能的關(guān)鍵因素。本文設(shè)計了專用的高速隔離交換緩存，針對網(wǎng)絡(luò)隔離系統(tǒng)中報文數(shù)據(jù)計算和傳輸模式，定制設(shè)計了地址映射和高速硬件邏輯開關(guān)等技術(shù)，構(gòu)建了報文數(shù)據(jù)在多個處理器間高速安全隔離交換架構(gòu)。支持多處理器同時訪問的隔離交換緩存結(jié)構(gòu)，有效減少了數(shù)據(jù)傳遞次數(shù)，提高了數(shù)據(jù)處理速度；高速隔離交換緩存同時設(shè)計了緩存分塊和緩存區(qū)訪問權(quán)限控制技術(shù)，實現(xiàn)隔離交換緩存的安全訪問功能。

3 網(wǎng)絡(luò)隔離SoC芯片分析

3.1 通信處理模塊CPU性能分析

通信處理模塊主要完成網(wǎng)絡(luò)數(shù)據(jù)包的收發(fā)處理。針對典型網(wǎng)絡(luò)通信速率，本文分析了通信處理模塊CPU的任務(wù)復(fù)雜度。千兆網(wǎng)絡(luò)單向理論最大傳輸速率125MB/s（1000Mbps），以太網(wǎng)線速帶寬約為86600幀/s（125MB/1514B，每幀總長1514By te，有效數(shù)據(jù)長度1460Byte）。

本文基于開源TCP/IP協(xié)議源碼，統(tǒng)計了Socket接口層以下協(xié)議處理需要的CPU指令數(shù)，CPU約需要1500 MPIS CPU性能才能滿足千兆網(wǎng)絡(luò)實時處理。數(shù)據(jù)進(jìn)入應(yīng)用層后，進(jìn)行應(yīng)用層協(xié)議解析及安全掃描等的工作量，考慮到實際應(yīng)用差別較大，本文僅將應(yīng)用層工作及其他工作性能需求分別按網(wǎng)絡(luò)協(xié)議處理性能需求的50%、100%、200%進(jìn)行分析。圖2給出了單向通信速率為100Mbps和1000Mbps時，對CPU性能的需求。

圖2 CPU性能需求分析圖

當(dāng)應(yīng)用層協(xié)議處理等運算復(fù)雜度與網(wǎng)絡(luò)協(xié)議處理運算復(fù)雜度相當(dāng)時，100Mpbs通信性能要求通信處理模塊CPU性能至少應(yīng)達(dá)到0.3GIPS。1000Mpbs通信性能要求通信處理模塊CPU性能至少應(yīng)達(dá)到3GIPS。

3.2 隔離交換模塊CPU性能分析

由于隔離交換功能主要由隔離控制邏輯實現(xiàn)，隔離控制邏輯與CPU并行工作，因此隔離交換模塊CPU任務(wù)復(fù)雜度較低。本文采用Verilog語言實現(xiàn)了隔離控制邏輯、專用通道和緩存控制器，設(shè)計了隔離交換模塊CPU模型。通過Modelsim工具進(jìn)行模擬，得到了不同傳輸報文大小、不同傳輸速率對隔離交換模塊CPU的性能需求。

當(dāng)報文大小分別為1KB、2KB、4KB、8KB、16KB時，傳輸速率為10Mbps、100Mbps、1Gbps、10Gpbs時，隔離交換CPU性能要求曲線如圖3所示。

圖3 隔離交換CPU性能曲線

當(dāng)數(shù)據(jù)大小為1KB，網(wǎng)絡(luò)傳輸速率要求1Gbps時，CPU性能至少應(yīng)達(dá)到1.1GIPS。隔離交換模塊中，由于報文數(shù)據(jù)的由搬運主要由隔離控制邏輯和DMA完成，因此極大降低了對CPU的性能需求。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)安全威脅的日益嚴(yán)重，在內(nèi)部網(wǎng)絡(luò)，尤其是工業(yè)控制網(wǎng)的防護(hù)上網(wǎng)絡(luò)隔離技術(shù)應(yīng)用廣泛。本文介紹了網(wǎng)絡(luò)隔離技術(shù)基本原理，給出了當(dāng)前典型網(wǎng)絡(luò)隔離技術(shù)的實現(xiàn)方式，提出了一種基于高速交換緩存的網(wǎng)絡(luò)隔離SoC芯片硬件結(jié)構(gòu)，分析評估表明該硬件結(jié)構(gòu)具有較高的網(wǎng)絡(luò)安全性和數(shù)據(jù)交換性能。