安全通信系統的FPGA實現的方法

緒論

　　信息安全的解決方案目前主要集中于采取單一的措施來保證信息的安全性，針對各種攻擊手段，防范措施主要集中于信息加密技術、安全交換機技術、防火墻技術、認證技術，入侵檢測技術等，這些技術從不同的方面對安全性提供了較好的保障，但各有缺點和不足，這將成為網絡防護的軟肋，因此，本文也嘗試性地提出了一種集數據加密技術和訪問控制策略于一體的信息安全解決方案。

　　加密算法的硬件實現具有高速率、高可靠性、高安全等特點，因此，加密算法在FPGA平臺中實現是一種很好的硬件實現方案。本文在xilinx公司的spartan-3e平臺中構建一個嵌入式系統來實現安全網絡通信。

系統設計

　　該系統主要針對信息傳輸過程中存在信息泄露、信息篡改、非法用戶入侵等安全威脅而設計的一套基于FPGA平臺的網絡信息安全傳輸系統。該系統采用客戶機/服務器模式，因此，系統主要包括兩個部分：客戶端和服務器端。客戶端作為整個系統的控制中心，根據實際需要，向服務器端發送請求，并顯示接收到的信息。服務器端響應客戶端的請求，發送相應信息。服務器端和客戶端之間的信息都是經過加密后進行傳輸的，保證信息的安全可靠性。

系統服務器端設計

　　服務器端采用XILINX公司的Spartan-3e開發平臺，在該平臺上構建基于MicrBlaze處理器和Xilkernel操作系統的嵌入式系統，在該系統中通過定制AES加密IP、鍵盤IP、LCD IP、通用擴展接口控制IP并添加EDK中自帶的網絡控制器IP、串口IP等，服務器端的系統結構框圖如圖1所示。當服務器端收到經過AES加密的請求IP數據包時，在服務器端，信息需要經過AES解密處理，根據解密后信息分析并提取請求方的ID信息和IP信息，客戶端的ID信息是唯一的授權證號，根據客戶端的ID信息，作出相應的處理。

圖1 服務器端的系統結構框圖

系統服務器端設計

　　客戶端同樣采用XILINX公司的Spartan-3e開發平臺，但該系統中只需要定制AES加解密IP、鍵盤IP、LCD IP并添加EDK中自帶的網絡控制器IP，客戶端的系統結構框圖如圖2-2圖所示。客戶端作為整個系統的控制中心，當需要采集信息時，客戶端經md5算法形成自己的唯一授權ID，指令信息和ID信息經過AES加密后發送至服務器端，當服務器端響應其請求后，視其身份權限做出相應處理。

圖2 客戶端的系統結構框圖

系統具體實現

　　該系統采用模塊化設計實現，系統包括客戶端和服務器端。系統客戶端和服務器端的實現都是基于xilinx公司的spartan-3e平臺來實現的。
系統服務器端實現

　　·AES算法的硬件實現

　　AES算法是一種迭代分組密碼，采用的是代替/置換網絡（SP）。AES加密算法的實現包括密鑰擴展過程和加密過程。AES解密算法的實現包括密鑰擴展過程和解密過程。解密過程與加密過程類似，是加密過程的逆運算，AES加解密過程如圖3所示。

圖3 AES加解密過程