ipsec[持续演进]协议硬件实现工作与文献整理

【作者】 李焦贤 ;

【导师】 权义宁 ;

【作者基本信息】 西安电子科技大学 , 盘算机系统布局, 2014, 硕士

【摘要】 随着网络技能的飞速发展,网络传输速率不停进步,系统对重要网络装备的处置速率要求不停进步。IPSec VPN作为数据转发的安全平台,很轻易成为网络系统的瓶颈。传统的IPSec VPN存在加解密模块性能低,没有充实使用多核系统优势等问题。本文重要对IPSec VPN的加速技能进行了深入过细的研究。针对现在广泛应用的IPSec VPN技能性能低的缺点,通过度析IPSec VPN加解密模块以及多核下网络协议并行,提出了两种IPSec VPN加速技能:多加密卡异步并行加密技能和多核系统下IPSec协议并行。基于提出的多加密卡异步并行加速技能,本文实现了一种用于IPSec VPN系统的多加密卡异步并行加密模型。该模型使用加密卡取代CPU做盘算密集的加解密运算,以此来开释CPU,从而进步IPSec VPN系统的加解密的性能。在实现的多加密卡异步并行加密模型中,本文使用Linux提供的工作队列机制,革新了传统IPSec VPN系统的同步加密方法,使得加密卡以异步的方法并行工作。同时,在该模型中计划并实现了用于多加密卡加密使命调理的最小等候时间算法,使得数据包加解密处置所等候的时间最小化。多加密卡异步并行加密技能通过革新IPSec VPN系统的加解密模块的方法,进步了IPSec VPN系统的整体性能。基于多核IPSec协议并行技能,本文计划并实现了一种多核IPSec协议的并行模型。该模型使用了多队列网卡,CPU亲和性以及Linux软停止等机制,实现了基于数据包多核并行处置的IPSec VPN系统。针对Linux内核为每个数据包都分派与回收sk_buffer布局,造成的内存管理模块服从不高的问题,本文提出的多核IPSec协议!的并行模型中计划并实现了一种数据包队列重用算法,并具体介绍了在多核处置器环境下该重用队列算法的实现方法。本文对所提出的两种加速技能进行了实现和测试。测试结果表明,两种加速技能对IPSec VPN系统有明显的加速效果。最后,根据试验结果对两种加速技能进行了深入的分析。 更多 还原

【Abstract】 With the rapid development of network technology, faster and faster speed of the transmission of the network is achieved, and more and more high performance of the key network device system is required by system. As a security platform of forwarding data, it’s easy for IPSec VPN to become the bottleneck of network system. The problem in traditional IPSec VPN systems is that, they have a poor performance module of encryption and decryption and do not use the advantage of system’s multi-core CPU.This thesis mainly studies the acceleration technology of IPSec VPN system. By analyzing the cryptographic module of IPSec VPN system and the parallel network protocol on multi-core processor, two acceleration technologies are proposed. One is the technology of asynchronous parallel encryption on the multi-card, and the other is the technology of parallel IPSec protocol on multi-core processor systems.According to the technology of asynchronous parallel encryption on the multi-card proposed above, this thesis implements a multi- card asynchronous parallel encryption model for IPSec VPN system. This model uses cryptographic card to replace the CPU for executing compute-intensive operations of encryption and decryption, and releases the CPU from the work of encryption and decryption, which improve the performance of IPSec VPN system’s encryption and decryption. Taking the advantage of work queue mechanism of the Linux OS, this thesis improves traditional IPSec VPN system’s synchronous encryption method and make the cryptographic card work in the asynchronous method. In the meanwhile, a minimum waiting time algorithm designed and implemented in this model to schedule the cryptographic task of the cryptographic card, makes the time of handling packets minimum. By improving the running method of IPSec VPN system’s cryptographic module, the technology of asynchronous parallel encryption on the multi-card, give the IPSec VPN system a higher performance.Based on the technology of parallel IPSec protocol on multi-core processor systems, this thesis designs and implements a model of IPSec protocol on multi-core processor. This model makes use of the mechanism of multi-queue network card, Processor affinity and soft interruption of Linux OS, and implements IPSec VPN system based on packet’s multi-core parallel processing. To solve the problem that Linux kernel alwaysallocates and releases a structure of sk_buffer for every packet, which gives the kernel’s memory managing modules a poor performance, algorithm of re!using packet queue is designed and implemented, a detail introduction of implementing this algorithm under the circumstance of multi-core processor is made.This thesis implements and tests the two accelerate technologies. The testing result proves that both of the accelerating technologies can improve the performance of IPSec VPN system. Finally, a deep analysis of these technologies is achieved. 更多 还原

加速器ipsec

写在前面

笔者的毕业论文是在FPGA上实现一个IPsec协议处置系统。

在此期间整理了IPsec协议在各种平台上的实现文献,以FPGA、ASIC等硬件实现为主。

现在重要为国内文献,临时大略地以实现平台来进行分类,后续大概会进行更小粒度的分别。

别的,笔者会在毕业灰尘落定之后,尽量开源自己的工作,包括论文以及代码。(现在代码质量很低,不知道啥时间能整理一些出来)

这里谈一下,我以为这个课题还挺故意思的,也锻练了自己的代码本领,但和所谓的“创新点”没啥关系。假如是相关专业的专硕,学校和导师对于“创新点”要求比较低的话,可以做这方面的实现工作,应该能很好地锻练编码本领。

假如要"创新"嘛,离全部的协议、尺度实现这种工具都远一点,赶快麻溜的-_-||。

分割一下课题,将此中一部分作为本科毕设我以为也不错。

PS:本文首发于极术社区: [连续演进] IPsec 协议硬件实现工作与文献整理 PS:本文首发于极术社区:

[连续演进] IPsec 协议硬件实现工作与文献整理​aijishu.com

CPU

  • 张磊. Linux安全网关与IKE的研究与计划[D].苏州大学,2001.
  • 基本上是国内最早的IPsec实现,作者在CPU(奔驰?)基于Linux做了一个实现,其时Linux还是个奇怪玩意。

    • 穆瑞超. 基于DPDK的高性能VPN网关的研究与实现[D].哈尔滨产业大学,2017.
    • 邹新一. 面向云服务的高性能安全接入网关的研究与实现[D].哈尔滨产业大学,2018.

    基于DPDK做了一些实现工作。

  • 李焦贤. IPSec VPN加速技能的研究与实现[D].西安电子科技大学,2014
  • 将网卡的多个通道分别绑定至多个处置器核,专门用于IPsec协议处置,并屏蔽这些处置器核上的停止,防备打断协议处置,以进步服从。多个网卡通道+处置器核组成一个并行处置布局,并行单位为IPsec报文。

    基于CPU的实现非常非常多,这里临时不完全睁开,未来将列出有特点的文献

    嵌入式CPU

  • 蒋华,李康康,胡荣磊.一种基于strongSwan的IPSec VPN网关的实现[J].盘算机应用与软件,2017,34(07):79-84.
  • GPU

  • 王金保. 基于GPU的IPSec VPN加速技能研究[D].华中科技大学,2012.
  • ASIP

  • 桂祚勤,崔广财,林存花,陈浩涓.万兆IPSec协议芯片重要技能研究[J].信息安全研究,2020,6(02):145-150.
  • FPGA

    FPGA实现可以分别为两类,硬件加速器和协议处置器,前者一样平常作为处置器的帮助,为密码运算进行加速,其他工作还是在CPU上完成。后者则抗大梁了,报文吸收转发,协议处置以及密码运算都一并完成,笔者的工作属于后者。

    加速器

  • 李博杰. 基于可编程网卡的高性能数据中心系统[D].中国科学技能大学,2019.
  • 中科大李博杰博士的毕业论文,包括了多项工作,此中一项工作ClickNP,通过其组件可编程实现多种网络应用,文中就以IPsec网关功能举了例子。

    (写到这里想起好像ClickNP的报文转发也是由硬件完成的,应该归纳至协议处置器类?后续确认下)

  • 李肖瑶. 基于FPGA的高性能网络功能加速平台[D].华中科技大学,2018.
  • 提出了一个用于网络功能加速的框架DHL,庞杂运算卸载至FPGA,报文转发由CPU的DPDK框架进行。同样以IPsec网关举了例子。

    协议处置器

    • 陈赞锋. IPSec协议安全芯片的计划与实现[D].西北产业大学,2005.
    • 高磊. IPSec安全协处置器的研究与计划[D].西北产业大学,2006.
    • 孙黎. IPSec安全芯片的计划与实现[D].西北产业大学,2007.

    西北大有一连三届同窗实现了IPsec安全芯片或协处置器,实际上都是完全在FPGA上实现的工作。应该为国内最早的硬件IPsec协议处置器实现

  • Lu J, Lockwood J W. IPSec implementation on Xilinx Virtex-II Pro FPGA and its application[C]. International Parallel and Distributed Processing Symposium, 2005.
  • 美国华盛顿大学Lockwood J W.完成的较早的IPsec协议处置实现

  • Wang H, Bai G, Chen H, et al. A Gbps IPSec SSL Security Processor Design and Implementation in an FPGA Prototyping Platform[C]. signal processing systems, 2010, 58(3): 311-324.
  • 清华大学计划的一款支持IPsec和SSL的安全网络芯片FPGA原型

  • A. Salman, M. Rogawski and J. Kaps, "Efficient Hardware Accelerator for IPSec Based on Partial Reconfiguration on Xilinx FPGAs," 2011 Interna!tional Conference on Reconfigurable Computing and FPGAs, Cancun, 2011, pp. 242-248, doi: 10.1109/ReConFig.2011.33.
  • 美国乔治梅森大学团队计划的可动态重构IPsec实现,运行過逞中根据需求,在AES,SHA以及蒙哥马利模乘三种算法之间重复横跳,相比独立实现淘汰了34%的硬件资源开销

  • Driessen B, Guneysu T, Kavun E B, et al. IPSecco: A lightweight and reconfigurable IPSec core[C]. Reconfigurable Computing and FPGAs, 2012: 1-7.
  • 德国波鸿大学团队计划的一款轻量级IPsec应用,使用轻量级加密与认证算法。并接纳轻量级架构实现ECC算法

    ASIC

    这里重要讨论基于ASIC实现的IPsec协议处置器,网络安全处置器。

  • 牛赟. 单通道10Gbps在线网络安全处置器计划研究与实现[D].清华大学,2014.
  • 清华大学牛赟博士的毕业论文,计划了一款集成10Gbps以太网PHY的IPsec安全处置器

    连续整理归纳中

    加速器加速器中瞪鯬Sec/IKEv2协议有着连接!速率快、使用稳定性高的特点,不外在使用上略显庞杂。IPSec/IKEv2协议是一种开放尺度的框架布局,通过使用加密的安全服务以确保在 Internet 协议 (IP!) 网络上进行保密而安全的通讯。
    IPSec/IKEv2协议支持平台:Windows 7以上、Mac OS、iPhone、Android 4.0以上。

    加速器加速器软件建议:点击下载 QQ加速器 ,qq加速器加速稳定,性能较普通国际加速器远远超出用户所期,独创的定向加速技能,可以或许专门指定程序加速,从而实现最高效的加速服务,qq加速器对于国外用户玩国内游戏的加速效果明显,深得广博国外华人同胞信任。(27net140813)

    本文网址: https://www.baigejz.com/d/2021020174810_1921_2848766311/home

    推荐阅读

    tags

    最新发布