一種帶有加解密功能的數據擺渡模塊設計

，，，

(南京南瑞集團公司，南京 211100)

引 言

在兩個不同安全防護等級網絡之間交換數據最常用的方法是使用網絡隔離裝置對數據以非網絡傳輸的方式進行數據傳輸。傳統網絡隔離裝置的基本結構是兩個完全獨立的主機系統加一個數據擺渡模塊。為了進一步增加數據擺渡的安全性，目前新興的網絡隔離裝置的基本結構在傳統網絡隔離裝置的基礎上增強了加解密功能，首先對數據進行加解密處理，再對數據進行擺渡。網絡隔離裝置中數據加解密的性能和數據擺渡的性能直接決定了整個系統的性能。

現有的數據擺渡模塊一般有電子開關、單向FIFO、光纖和使用協處理器(FPGA等)擺渡數據4種方式，目前應用最廣泛的是使用協處理器的方式。對數據的加密功能則主要有在主機系統上通過軟件實現數據加密、分離的加解密模塊這兩種方式。

軟件實現的加密方式在安全性方面有隱患，且加解密性能對主機系統的性能有很大的依賴性。分離的加解密模塊一般做成一塊獨立的加密卡，加密卡上的核心器件主要包括協處理器和密碼芯片等，一般通過PCI/PCIe接口和主機進行數據交換，通過密碼芯片對數據進行加解密處理。

分離的加密模塊提高了系統的安全性，但與傳統的網絡隔離裝置相比，增加了分離加密模塊的隔離裝置,在數據擺渡之前首先要將數據通過PCI/PCIe接口寫入到加解密模塊進行加解密處理，加解密完成后的數據返回到主機系統，主機系統再將加解密完成后的數據寫入到擺渡模塊進行數據擺渡，在性能上打了折扣，同時還要額外占用主機系統的一個PCI/PCIe接口和CPU資源，增加了硬件成本。……