王兆輝，鄧 豹,沈劍良，陳 艇

(1.國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州 450003;2.航空工業(yè)西安航空計(jì)算技術(shù)研究所，西安 710068)

0 引 言

在航空航天環(huán)境中，設(shè)備以及數(shù)據(jù)傳輸?shù)陌踩灾笜?biāo)尤其重要，航空電子環(huán)境下的光纖通道(Fibre Channel-Avionics Environment，F(xiàn)C-AE)協(xié)議[1]由于其高可靠性和高穩(wěn)定性而廣泛應(yīng)用在航天航空等領(lǐng)域中，而基于FC協(xié)議的交換芯片路由訪問控制策略一般是通過設(shè)置ZONE(物理端口分區(qū))端口區(qū)域隔離[2]或者配置虛擬端口分區(qū)(Virtual SAN,VSAN)虛擬端口號(hào)的形式去提升數(shù)據(jù)安全性。

訪問控制策略的有效性是決定一個(gè)FC交換芯片功能性是否完整和整體設(shè)計(jì)靈活性的核心模塊[3]，同時(shí)也是保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵技術(shù)[4]。而傳統(tǒng)的路由訪問控制包括報(bào)文的單播、多播和廣播，以及出入端口檢查、端口鏡像設(shè)置、ZONE配置和VSAN配置等功能。在傳輸?shù)倪^程中使用ZONE配置和VSAN配置來對端口進(jìn)行區(qū)域隔離是出入端口檢查的通常做法。但是這種傳統(tǒng)做法存在配置更改不靈活、功能擴(kuò)展性較差等缺點(diǎn)。隨著網(wǎng)絡(luò)技術(shù)的迭代更新，為了應(yīng)對不斷出現(xiàn)的新型網(wǎng)絡(luò)協(xié)議需求，靈活可編程的路由訪問控制策略不但能夠提高FC產(chǎn)品的適應(yīng)性，同時(shí)可根據(jù)用戶需求實(shí)現(xiàn)靈活的網(wǎng)絡(luò)訪問控制，提高網(wǎng)絡(luò)的安全性。

可編程協(xié)議處理在以太網(wǎng)網(wǎng)絡(luò)中廣泛使用，軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)[5]所提出的一種數(shù)據(jù)平面和控制平面相互分離的架構(gòu)模式，其設(shè)計(jì)架構(gòu)的高靈活性正符合路由訪問控制的設(shè)計(jì)需求。

可編程協(xié)議解析已經(jīng)大量應(yīng)用在以太網(wǎng)的數(shù)據(jù)包解析和包處理過程中，但尚未有針對FC協(xié)議報(bào)文格式特點(diǎn)設(shè)計(jì)專用的可編程解析器的研究。本文結(jié)合FC協(xié)議中所規(guī)定的的拓展包頭的格式特點(diǎn)[6]，以及王孝龍等[7]提出的slice多級(jí)處理結(jié)構(gòu)，設(shè)計(jì)PDR(Programmable Dynamic Routing)可編程解析器，采用可編程的方式，終端用戶可以通過完全自定義的方式動(dòng)態(tài)配置和調(diào)整數(shù)據(jù)包的路由檢查配置策略。相較于傳統(tǒng)的VSAN配置，使用PDR可編程配置的路由策略可以使用多種域段作為訪問控制的匹配域，使攻擊者的配置模式預(yù)測和攻擊更加困難，同時(shí)可以根據(jù)流量的實(shí)際狀況動(dòng)態(tài)調(diào)整端口監(jiān)測的配置模式使整體系統(tǒng)的靈活性和適用性更高、安全性更強(qiáng)。

1 可編程協(xié)議處理

1.1 PDR硬件結(jié)構(gòu)

整體硬件結(jié)構(gòu)如圖1所示，在數(shù)據(jù)包接收模塊接收到到數(shù)據(jù)包之后首先將數(shù)據(jù)包的包頭字段和負(fù)載字段進(jìn)行分割，然后根據(jù)包頭的字段信息生成一個(gè)MF控制符，該控制符內(nèi)容包括slice查表地址、報(bào)文長度和報(bào)文信息等，而負(fù)載內(nèi)容則存入數(shù)據(jù)存儲(chǔ)模塊中。生成的MF控制符在傳輸?shù)娇删幊蘳lice模塊后，由可編程模塊對MF控制符信息進(jìn)行編輯更新處理，將字段信息修改并生成一個(gè)新的MF控制符。新的MF控制符中送入數(shù)據(jù)包發(fā)送模塊中，發(fā)送模塊讀取新MF控制符中的信息后提取自定義數(shù)據(jù)字段組成新的包頭并將新包頭與負(fù)載組合為新的數(shù)據(jù)包后傳輸?shù)较乱患?jí)處理模塊。

圖1 PDR整體模塊結(jié)構(gòu)框圖

1.2 解析器核心實(shí)現(xiàn)模塊

該解析器的核心設(shè)計(jì)模塊為slice可編程解析模塊。在對數(shù)據(jù)包進(jìn)行初步處理后，包頭中的控制信息被以MF控制符的形式送入該模塊后，其中的多級(jí)slice分別對應(yīng)每段包頭的字段信息。經(jīng)過圖2所示的處理流程，可以將對應(yīng)的字段信息根據(jù)軟件配置進(jìn)行修改，以實(shí)現(xiàn)對數(shù)據(jù)包的包頭內(nèi)容可編程修改。

圖2 slice可編程模塊處理流程

MF控制符中，P_key_ram模塊會(huì)提取MF中的p_key_ram指針，獲取存儲(chǔ)在P_key_ram中的216 b的p_key值，p_key值用于對MF中的用戶自定義數(shù)據(jù)位進(jìn)行提取和比較操作。根據(jù)P_key值的指示信息在P_key_assemble模塊中對自定義數(shù)據(jù)位進(jìn)行比較和提取并生成一組40 b的比較提取值p_key_compare，在三態(tài)內(nèi)容尋址存儲(chǔ)器(Temary Content Addressable Memory,TCAM)模塊中所存儲(chǔ)條目會(huì)和這組值進(jìn)行匹配，根據(jù)匹配結(jié)果的不同生成一組p_action指針進(jìn)入p_action模塊提取不同的p_action鍵值對MF執(zhí)行不同的操作。

2 可編程路由訪問策略實(shí)現(xiàn)

2.1 擴(kuò)展包頭字段提取流程

FC-FS-4協(xié)議中規(guī)定的FC協(xié)議報(bào)文的數(shù)據(jù)包格式，本設(shè)計(jì)中選取拓展包頭作為路由配置策略的功能字段，F(xiàn)C協(xié)議包頭格式如圖3所示，其中ENC_Header、IFR_Header、VFT_Header是拓展包頭字段，VFT_Header可以作為數(shù)據(jù)包劃分VF_ID的字段攜帶位，通過配置邏輯端口的出端口和入端口規(guī)則可以對路由配置策略進(jìn)行有效控制，對匹配路由表但是不匹配VF_ID的數(shù)據(jù)包進(jìn)行其他操作處理。本設(shè)計(jì)則是對這種劃分方案的一種拓展改進(jìn)，不再選取固定VFT_Header字段作為出入端口規(guī)格判斷位，而是由用戶自身選取擴(kuò)展包頭中的任意一種字段做為有效出入端口的判斷位域，其中對每種拓展包頭的字段選擇位如表1所示，通過控制R_CTL域段值可以選擇數(shù)據(jù)包的擴(kuò)展包頭。

圖3 FC-2包頭字段格式

表1 拓展包頭的字段選擇位

2.2 slice可編程配置

當(dāng)數(shù)據(jù)包進(jìn)入路由模塊后，處理流程如圖4所示。首先將包頭以及擴(kuò)展包頭信息提取至MF控制符中的自定義數(shù)據(jù)位，然后進(jìn)入第一級(jí)slice中，將R_CTL域段放在數(shù)據(jù)位首段；對R_CTL值進(jìn)行提取和比較操作后，進(jìn)行第二級(jí)slice，將包頭中的D_ID域段數(shù)值進(jìn)行提取，進(jìn)入TCAM模塊并與TCAM中的條目進(jìn)行對比，匹配后進(jìn)入P_action模塊，對應(yīng)R_CTL的8 b位段在命中后將執(zhí)行置位操作，將設(shè)定好的拓展包頭位進(jìn)行替換。P_action結(jié)構(gòu)如表2所示，其中模塊實(shí)現(xiàn)主要包含P_instr指令集和Skey_instr指令集兩個(gè)指令集。

圖4 路由訪問控制配置流程

表2 P_action模塊指令集

Skey_instr指令集主要負(fù)責(zé)執(zhí)行提取MF值輸出給外部模塊使用，而P_instr指令集主要是在TCAM條目匹配后對MF中的自定義數(shù)據(jù)位執(zhí)行操作處理的指令集，其中主要分為四種有效操作。

(1)SET置位操作：可以置位MF自定義數(shù)據(jù)位內(nèi)32 b連續(xù)data的任意4 b。

(2)MOVE搬移操作：可以將任意32 b以內(nèi)的數(shù)據(jù)進(jìn)行連續(xù)搬移。

(3)GET獲取操作：將[2 047∶1 024]分為128份8 b基地址，支持提取連續(xù)的8 b數(shù)據(jù)搬移到MF[1 023∶0]內(nèi)，8 B對齊。

(4)ALU運(yùn)算操作：對MF自定義數(shù)據(jù)位中的data進(jìn)行加、減、異或、同或、與、或、非邏輯運(yùn)算。

跟據(jù)TCAM對應(yīng)匹配條目的P_action映射行為執(zhí)行完畢后，新的數(shù)據(jù)包頭信息將更新MF控制符，并將新的MF控制符傳送給數(shù)據(jù)發(fā)送模塊，完成對數(shù)據(jù)包字段信息的可編程配置解析。

根據(jù)軟件對端口檢查的定義配置以及擴(kuò)展包頭字段內(nèi)容提取，對查表后進(jìn)行路由的端口進(jìn)行訪問控制檢查，只有符合路由出端口規(guī)則的數(shù)據(jù)包判定通過，其他數(shù)據(jù)包則進(jìn)行丟棄。而提取的數(shù)據(jù)包D_ID字段則作為目地端口號(hào)的鏡像端口，通過配置monitor_id值，將選擇鏡像端口號(hào)并把通過該端口的數(shù)據(jù)包進(jìn)行多播發(fā)送給鏡像端口，該鏡像口將包上傳給CPU，以實(shí)現(xiàn)對端口流量的實(shí)時(shí)監(jiān)控。

3 實(shí)驗(yàn)驗(yàn)證

3.1 仿真驗(yàn)證

采用QuestaSim對整體邏輯進(jìn)行仿真，對配置的9個(gè)邏輯出端口通過可編程配置選擇的自定義拓展包頭字段作為路由出端口檢查訪問，仿真結(jié)果如圖5所示，顯示符合配置要求,可以對所選域段和監(jiān)測端口號(hào)的配置策略進(jìn)行動(dòng)態(tài)的數(shù)據(jù)包流量管控。

本文提出的PDR解析器設(shè)計(jì)，其數(shù)據(jù)總線位寬為256 b,時(shí)鐘頻率為312.5 MHz，通過在Xilinx UltraScal VU440開發(fā)板上進(jìn)行功能實(shí)現(xiàn)，并通過Vivado仿真平臺(tái)進(jìn)行仿真，結(jié)果表明可以達(dá)到80 Gb/s的解析速率。

圖5 采用自定義拓展包頭作為出端口檢查策略判定域段

3.2 性能評(píng)估

如圖6所示，對三種方案的性能對比進(jìn)行分析，可以看出PDR方案在配置時(shí)間基本一致的情況下，其最大可配置位寬相比較于其余兩種方案擴(kuò)大了10倍，最小可配置位寬僅為1/6和1/3。而PDR重配置的時(shí)間與傳統(tǒng)ZONE和VSAN配置的時(shí)間相比基本不變，能夠在較短的時(shí)間內(nèi)對路由訪問控制策略進(jìn)行有效的重配置并生效，而可配置域段位寬的可選范圍則有大幅度提升，從而讓用戶可以有更加廣泛的訪問控制策略選擇；同時(shí)由于所選域段范圍更大，在攻擊者進(jìn)行流的預(yù)測性攻擊難度更大，可以有效提升整體系統(tǒng)的靈活性和安全性。

圖6 各方案性能對比

圖7給出了三種配置方案的硬件開銷資源對比，其中主要對比了片LUT 的數(shù)量、片寄存器的數(shù)量和塊RAM的數(shù)量，可以看出整體開銷僅增加了約50%，而PDR可編程訪問控制策略可以同時(shí)達(dá)到ZONE和VSAN的功能效果，并且除了應(yīng)用于路由訪問控制模塊，該可編程解析器還可以通過增加slice串行塊的串聯(lián)級(jí)數(shù)來進(jìn)行數(shù)據(jù)包協(xié)議解析以及哈希查表等多種功能實(shí)現(xiàn)，具有更高的可擴(kuò)展性。

圖7 硬件資源開銷對比

為了進(jìn)行更加全面的功能性評(píng)估，分別對VSAN、ZONE和PDR三種路由訪問控制策略進(jìn)行了多樣化功能測試并從安全性和靈活性兩個(gè)方面對測試結(jié)果進(jìn)行整理，三種訪問控制策略方案的性能表現(xiàn)評(píng)估結(jié)果如表3所示。

表3 ZONE、VSAN、PDR出端口檢查策略性能表現(xiàn)評(píng)估

在安全性上，可以看出PDR可編程策略配置模式除了實(shí)現(xiàn)傳統(tǒng)隔離策略防御的功能外，對于可能發(fā)生的預(yù)測性流量攻擊和攻擊后的快速恢復(fù)機(jī)制具有良好的表現(xiàn)，尤其在航空設(shè)備中這種完全封閉的環(huán)境下，對于預(yù)測攻擊的防御以及系統(tǒng)功能的快速恢復(fù)機(jī)制表現(xiàn)尤其重要。在靈活性上，相比較于ZONE、VSAN在設(shè)計(jì)中字段選擇必須遵從FC協(xié)議規(guī)定，PDR可編程解析器則可以使用在協(xié)議中未定義的字段以及保留位字段進(jìn)行操作處理，這給整體設(shè)計(jì)和配置的靈活性上帶來了提升。

4 結(jié)束語

本文提出的PDR路由配置策略可以實(shí)現(xiàn)由用戶自定義的路由出端口訪問機(jī)制，通過自定義提取、更改數(shù)據(jù)包的拓展包頭字段來作為路由出端口的訪問控制策略。相比較于傳統(tǒng)ZONE區(qū)域劃分隔離和VSAN配置隔離的方式，本設(shè)計(jì)中采用的PDR可編程解析器對劃分規(guī)則高度自定義的特性可以有效提高數(shù)據(jù)路由傳輸?shù)陌踩院挽`活性。本文中僅使用了兩極的slice處理結(jié)構(gòu)，通過增加更多級(jí)的slice塊(最多支持13級(jí))，除了在路由訪問控制上使用可編程的處理方式，未來可以在更多的應(yīng)用方面如路由查表、核心交換等模塊采用可編程配置的控制方式進(jìn)一步擴(kuò)展功能處理范圍并增加整體設(shè)計(jì)的靈活性。