（计算机应用技术专业论文）基于fpga的网络物理隔离器的设计与实现.pdf

华北电力大学硕士学位论文 摘要 目前，市场上流行的网络物理隔离器件硬件系统，往往基于工控机或者多片嵌 入式芯片构成，实现复杂、成本较高。本文首次提出了基于大规模逻辑门阵列f p g a ( f i e l dp r o g r a m m a b l eg a t ea r r a y ) 的网络物理隔离器设计与实现方法，详细论述 了整个系统平台的设计和实现过程。 首先，在深入研究片上可编程系统s o p c ( s y s t e mo nap r o g r a m m a b l ec h i p ) 可 编程系统技术及n i o s i i 软核处理器基础上，提出了基于a v a l o n 总线及n i o s l l 软核 处理器系统的硬件和软件开发流程，认真分析了网络物理隔离器的功能需求，确定 了总体设计方案和组成模块、系统的运作流程。 其次，根据肛c o s i i 实时操作系统和l w i p 网络协议栈的系统特点及结构，完成 了针对n i o s i l 软核处理器的移植，对要点做了说明。 最后，在硬件和软件系统的设计开发两方面，实现了完整的网络物理隔离器系 统。 关键词：n i o s l l 、f p g a 、物理隔离器、p c o s 。i i 、l w i p a bs t r a c t n o w d a y s ，m o s tn e t w o r kp h y s i c a ls e p a r a t o r sa r em a d eu po fi n d u s t r i a lc o m p u t e r o r m u l t i c h i p ss y s t e m ，w h i c h c o s t s v e r yh i g h a n dh a s c o m p li c a t e d i m p l e m e n t a t i o n a i m m i n ga tt h e s ep r o b l e m s ，t h i sp a p e ri n t r o d u c e st h ed e s i g na n d i m p l e m e n to fn e t w o r kp h y s i c a ls e p a r a t o rb a s e do nf p g a ，a n dg i v e sad e t a i l d e s c r i p t i o na n di m p l e m e n to ft h i ss y s t e m f i r s t l y ，t h i sp a p e rs t u d y st h es o p c ( s y s t e mo nap r o g r a m m a b l ec h i p ) t e c h n o l o g y a n dn i o s i i p r o c e s s o r ，t h e n i n t r o d u c e st h ed e v e l o p in gw o r k f l o wo ft h es y s t e m h a r d w a r ea n ds o f t w a r e b u i i d i n go nn i o s l ia n da v a l o nb u s a f t e rt h i s ，t h ep a p e ra n a l y z e st h ed e t a i l f u n c t i o n a lr e q u i r e m e n td e e p l y ，a n dg i v e sag e n e r a ld e s i g n ，t h e nd i v i d et h i s s y s t e m i n t o s e v e r a l m o d u l e s ：s e c o n d l y ，t h i sp a p e r i n t r o d u c e s“c o s i i r e a l t i m eo p e r a t i o na n dl w i pn e t w o r kp r o t o c o ls t a c ka n dt h et r a n s p l a n to ft h e s e s y s t e mt on i o s i ip r o c e s s o r ，c o n c l u d e st h eo u t li n eo ft r a n s p l a n t ：f i n a ll y ，f r o m h a r d w a r ea n ds o f t w a r et w osid e s w ei m p le m e n tan e t w o r kp h y sic a ls e p a r a t o r l i uz h ig u o ( c o m p u t e rs c i e n c et e c h n o l o g y ) d i r e c t e db yp r o f m ay o n g g u a n g k e y w o r d s ：n i o s l l ，f p g a ，n e t w o r kp h y s i c a ls e p a r a t o r ，p c o s - i i ，l w i p 华北电力大学硕士学位论文 摘要 目前，市场上流行的网络物理隔离器件硬件系统，往往基于工控机或者多片嵌 入式芯片构成，实现复杂、成本较高。本文首次提出了基于大规模逻辑门阵列f p g a ( f i e l dp r o g r a m m a b l eg a t ea r r a y ) 的网络物理隔离器设计与实现方法，详细论述 了整个系统平台的设计和实现过程。 首先，在深入研究片上可编程系统s o p c ( s y s t e mo nap r o g r a m m a b l ec h i p ) 可 编程系统技术及n i o s i i 软核处理器基础上，提出了基于a v a l o n 总线及n i o s l l 软核 处理器系统的硬件和软件开发流程，认真分析了网络物理隔离器的功能需求，确定 了总体设计方案和组成模块、系统的运作流程。 其次，根据肛c o s i i 实时操作系统和l w i p 网络协议栈的系统特点及结构，完成 了针对n i o s i l 软核处理器的移植，对要点做了说明。 最后，在硬件和软件系统的设计开发两方面，实现了完整的网络物理隔离器系 统。 关键词：n i o s l l 、f p g a 、物理隔离器、p c o s 。i i 、l w i p a bs t r a c t n o w d a y s ，m o s tn e t w o r kp h y s i c a ls e p a r a t o r sa r e m a d eu po fi n d u s t r i a lc o m p u t e r o r m u l t i c h i p ss y s t e m ，w h i c h c o s t s v e r yh i g h a n dh a s c o m p li c a t e d i m p l e m e n t a t i o n a i m m i n ga tt h e s ep r o b l e m s ，t h i sp a p e ri n t r o d u c e st h ed e s i g na n d i m p l e m e n to fn e t w o r kp h y s i c a ls e p a r a t o rb a s e do nf p g a ，a n dg i v e sad e t a i l d e s c r i p t i o na n di m p l e m e n to ft h i ss y s t e m f i r s t l y ，t h i sp a p e rs t u d y st h es o p c ( s y s t e mo nap r o g r a m m a b l ec h i p ) t e c h n o l o g ya n dn i o s i ip r o c e s s o r ，t h e n i n t r o d u c e st h ed e v e l o p in gw o r k f l o wo ft h es y s t e m h a r d w a r ea n ds o f t w a r e b u i i d i n go nn i o s l ia n d a v a l o nb u s a f t e rt h i s ，t h ep a p e ra n a l y z e st h ed e t a i l f u n c t i o n a lr e q u i r e m e n td e e p l y ，a n dg i v e sag e n e r a ld e s i g n ，t h e nd i v i d et h i s s y s t e m i n t os e v e r a l m o d u l e s ：s e c o n d l y ，t h i sp a p e r i n t r o d u c e s “c o s i i r e a l t i m eo p e r a t i o na n dl w l pn e t w o r kp r o t o c o ls t a c ka n d t h et r a n s p l a n to ft h e s e s y s t e mt on i o s i ip r o c e s s o r ，c o n c l u d e st h eo u t li n eo ft r a n s p l a n t ：f i n a ll y ，f r o m h a r d w a r ea n ds o f t w a r et w osid e sw ei m p le m e n tan e t w o r kp h y sic a ls e p a r a t o r l i uz h ig u o ( c o m p u t e rs c i e n c et e c h n o l o g y ) d i r e c t e db yp r o f m ay o n g g u a n g k e yw o r d s ：n i o s l l ，f p g a ，n e t w o r k p h y s i c a ls e p a r a t o r ，衅，o s - i i ，l w i p 华北电力大学硕士学位论文 声明尸明 本人郑重声明：此处所提交的硕士学位论文基于f p g a 的网络物理隔离器的设计 与实现，是本人在华北电力大学攻读硕士学位期间，在导师指导下进行的研究工作和 取得的研究成果。据本人所知，除了文中特别加以标注和致谢之处外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得华北电力大学或其他教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：期：量型：! ：乡 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有权保管、 并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩印或其它复制手 段复制并保存学位论文；学校可允许学位论文被查阅或借阅；学校可以学术交流为 目的，复制赠送和交换学位论文；同意学校可以用不同方式在不同媒体上发表、传播学 位论文的全部或部分内容。 ( 涉密的学位论文在解密后遵守此规定) 作者签名：导师签名： 日期：坌璺：! ：! 里 华北电力大学硕士学位论文 1 1 选题背景与意义 第一章引言 i n t e r n e t 的迅猛发展使信息共享的可能成为必然趋势，由此引发了日益突出的 信息安全问题，而解决信息安全问题的唯一方法是主动解决信息安全和网络安全问 题【3 1 。 目前，国内外采用最多的、最普遍的网络安全措施是使用防火墙类软件。但是， 防火墙类软件存在以下5 个方面缺陷： ( 1 ) 操作系统的漏洞【2 2 1 操作系统作为一个平台要支持各种各样的应用软件的运行管理。但是，至今尚 没有一个操作系统不存在设计上的漏洞。凡是攻击防火墙或内部主机，一般先攻击 操作系统。因此，控制了操作系统就等于控制了防火墙或内部主机。 ( 2 ) t c p i p 的漏洞 t c p i p 没有内部的控制机制来支持源地址的鉴别以证实p i 的来源。这是 t c p i p 漏洞的根本原因。利用这个漏洞，可以使用侦听的方式来截获数据、对数据 进行检查、推测t c p 的序列号、修改传输路由、修改鉴别过程、插入黑客的数据流。 ( 3 ) 应用协议的漏洞 t c p 1 p 准许的应用端口多达6 5 5 3 5 个，除了固定的序号为1 0 2 4 及以下端口外， 其他端口是动态的，对应着不同协议，这些应用协议在一定程度上均存在漏洞。 ( 4 ) 链路连接的漏洞 只要有链路连接，就会存在基于链路漏洞的攻击，如：基于通信协议的攻击、 基于物理层的表示方法的攻击、基于数据链路的会话的攻击等。 ( 5 ) 安全策略的漏洞 要保证服务，就必须开放相应的端口，而传统的防火墙无法防止利用d o s 或 d d o s ，对开放的端口进行攻击【2 3 1 。攻击类型包括：利用开放服务而流入的数据进行 的攻击、利用开放服务的数据隐藏隧道进行的攻击、对开放服务的软件缺陷的攻击。 互联网是基于t c p 1 p 来实现的，而所有的攻击都可以归纳为基于对t c p i p 的 数据通信模型的某一层或多层的攻击。 那么，应该如何解决以上问题呢? 最直接的方法就是控制t c p i p 数据模型的 1 华北电力大学硕士学位论文 七层层间关系，以消除t c p i p 网络存在的攻击点。 防火墙与网络隔离在设计思想上的根本区别【2 9 】在于：防火墙的设计思想是在保 障互连互通的前提下尽可能安全；网络隔离的设计思想是在必须保证安全的前提下 尽可能是互连互通，不安全则断开。 为此，网络隔离技术要解决目前网络安全存在的以下问题： ( 1 ) 对操作系统的依赖； ( 2 ) 对t c p i p 协议的依赖； ( 3 ) 通信连接的问题( 当内网和外网直接连接时，存在基于通信的攻击) ； ( 4 ) 应用协议的漏洞( 因为命令和指令可能是非法的) 。 网络物理隔离技术n 1 通过中断内部网络与外部网络的连接，不支持t c p i p 协 议，不依赖于操作系统，解决了目前网络安全存在的根本性问题，即由于操作系统 漏洞和t c p i p 协议漏洞所带来的安全问题，有效地防止了恶意代码、病毒以及网 络入侵的发生，满足了网络安全的机密性、完整性、可用性、可控性和可审查性要 求。 目前，在电厂工业生产所采用的d c s ( d i s t r i b u t ec o n t r o ls y s t e m ) 分散控制 系统中瞳1 ，需要把现场工业控制网( c n e t ) 数据( 主要包括：发电设备如锅炉、汽 轮机等的现场温度、压力等参量) 传递到电厂信息管理系统( m i s ) 中心1 。在此过程 中，保证两个通讯子网之间的信息安全及可靠运行，对保证工业控制网的运行十分 重要。如果m i s 网的一些网络干扰进入c n e t 中，轻则可能导致通讯设备故障，重 则可能引起控制器的误动，给电厂带来不同程度的安全隐患。 因此，工业现场常采用网络物理隔离器实现两个通讯子网之间的单向隔离及相 互通信安全。即在c n e t 和m i s 系统之间配置网络物理隔离器，实现单向数据传输。 允许c n e t 中的数据可靠的传递给m i s ，而m i s 系统的干扰数据( 比如a r p 数据包) 不能发到c n e t 中，以免干扰c n e t 网络的正常运行。 文献3 0 】作者设计的网络物理隔离器采用两块工控机主板分别连接两个子网， 通过一个自制的u s b 设备( 包括一个f i f o 单向传输芯片和一个u s b 2 0 芯片) 实现 两块p i i i 主板之间的单向通讯及物理隔离。该系统的软件环境为w i n 2 k ，网络协议 实现主要在w i n 2 k 的w d m 驱动层完成网络协议到u s b 协议之间转换，并对网络数据 帧进行解析，从而实现子网隔离功能，具体结构如图卜1 所示。 2 华北电力大学硕士学位论文 图卜1 原来的实现网络物理隔离的方案 该方案的主要缺点： ( 1 ) 成本较高，实现复杂，体积大。 ( 2 ) 只能实现c n e t 内单台计算机( 争板机1 ) 与m i s 网内计算机( 单板机2 ) 通讯 不能实现m i s 网内任意计算机与c n e t 网内任意计算机通信。 因此本文提出一新的网络隔离设备方案，以提高性能、节约成本、减小体积。 12 国内外的研究现状 物理隔离器的原理”1 主要为：网络的外部主机系统通过物理隔离器与网络的内 部主机系统“连接”起来，物理隔离器将外部主机的i c l p 出议全部剥离，将原始 数据通过存储介质，咀“摆渡”的方式导入到内部主机系统，实现信息的交换。“摆 渡”意味着物理隔离器在任意时刻只能与一个网络的主机系统建立t c p i p 协议的 数据连接，即当它与外部网络的主机系统相连接时它与内部网络的主机系统必须 是断开的，反之依然。即保证内、外部网络能同时连接在物理隔离器上。物理隔 离器的原始数据“摆渡”机制是原始数据通过存储介质的存储( 写入) 和转发( 读出) 的。 物理隔离器在网络的第七层18 1 将数据还原为原始数据文件，然后以“摆渡文 件”的形式来传递原始数据。任何形式的数掘包、信息传输命令和t c p i p 协议都 不可能穿透物理隔离器。这同透明桥、混杂模式、i po v e ru s b 、代理主机以及通 过开关方式来转发信息包自本质的区别。 目前的物理隔离产品经历了五代隔离技术 1 6 l ”i 。 第一代隔离技术完全的隔离。此方法使得网络处于信息孤岛状态做到了完 全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提 高，这样给维护和使用带来了极大的不便。 第二代隔离技术一硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他 存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其 他存储设备。而在选择不同的硬盘时，同时选择了该 上不同的网络接口，连接到 3 华北电力大学硕士学位论文 不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在 着较大的安全隐患。 第三代隔离技术一数据转播隔离。利用转播系统分时复制文件的途径来实现隔 离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支 持常见的网络应用，失去了网络存在的意义。 第四代隔离技术一空气开关隔离。它是通过使用单刀双掷开关，使得内外部网 络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。 第五代隔离技术一安全通道隔离。此技术通过专用通信硬件和专有安全协议等 安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的 问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换， 透明支持多种网络应用，成为当前隔离技术的发展方向。 目前国际上的网络隔离断开技术【2 9 】有两大类：一类是固定断开技术，如单向传输 技术；另一类是动态断开技术，如如基于内存总线的开关技术。 单向传输的机制【2 8 】为：计算机a 通过一条单向传输线把数据传输给计算机b ， 计算机b 也可以用另外一条单向传输线路把数据传输给a 。 动态断开技术的机制为：数据从外部网络到达网闸系统的外网机，经过软件对 t c p i p 的协议剥离，带有传输协议的数据包被转换成单纯数据，这就防止了基于协 议的网络攻击，然后外网机对数据本身进行检查，在确认不是病毒数据后，打开外 网数据通道的开关，数据传入安全数据交换区的存储器，然后关闭外网数据通道的 开关，打开内网数据通道控制开关，把数据传入内网机，内网机对数据进行c r c ( 循 环冗余) 校验，证明传输无误后，重新t c p i p 打包，还原成原来的传输数据。 1 2 1 国内物理隔离器的研究现状 目前，国内外普遍采用的物理隔离技术有：单硬盘物理隔离卡和双主板物理隔 离技术。 。 ( 1 ) 单硬盘物理隔离卡【l j 4 华北电力大学硕士学位论文 图1 - 2 单硬盘物理隔离卡 单硬盘物理隔离卡把用户的计算机硬盘物理分隔成二个区：一个公共区( 外 网) ，另一个为安全区( 内网) ，分别拥有独立的操作系统，通过各自的专用接口与 网络连接，安装在主板和硬盘之间，用硬件方式完全控制了硬盘读写操作，使用继 电器控制分区之间的转换和网络连接，任何时候二个分区均不存在共享数据，保证 了内外网之间的绝对隔离。同时，用户可以根据需要自如方便地从一个分区切换到 另一个分区。这种技术的缺点是不能传输实时数据。 ( 2 ) 双主板物理隔离技术1 3 j 两块主板之间通过非网络方式的一个双端口r a m 进行数据的传输，双端口r a m 分为两个区，第一个区是内网客户端向外网服务器单向传输数据的通道。第二个区 是外网客户端向内网服务器单向传输数据时的通道。在平时内外网是断开的，双端 口r a m 处于断开状态。当有数据要传输时，内外网才通过双端口r a m 进行数据传输。 蔓板a 一 藕一区 主板b 。 卜蠢? 教| =l 第一区 卜一习舻栅一。 工毅媚口鼬m 善 l 嚣嚣衙腰li 轿议技i l 狲议撬l ： 零 f 同卡 l i 两书 i 苎 井怒内暇 图1 - 3 双主板物理隔离技术 根据上述技术制作的网络隔离器一般用于大型企业，机关内部网和i n t e r n e t 之 间的隔离，这些设备一般价格高，体积大。 5 ， 华北电力大学硕士学位论文 ( 3 ) 基于单向传输技术的物理隔离器 的网络安全物理隔离系统p o l ( 见图卜1 ) 22 国外物理隔离器的研究现状 如我校自动化系马永光等老师实现了d c 3 并且于2 0 0 3 年度获科技成果一等奖。 在国外，对网络物理隔离器的研究始于以色列的两家公司s p e a r h e a d t e c h n o l o g i e s 和w h a l ec o r n m u n i c a t i o ns ，它被命名为“g a p ”技术口i i 。在国外g a p 产品技术逐渐成熟，并且在政府、军队以及企业中获得了大量的应用；同时，也有 人开始研究针对g a p 技术的攻击手段。目前主要采用三种不同的g a p 技术架构”9 】： 实时开关式架构( r e a lt ih i es w i t c h ) 、单向链路式架构( o n ew a yl i n k ) 以及网 络开关式架构( n e t w o r ks w l t c h e r ) 。 ( 1 ) 实时开关式架构 实时开关式架构在两个网络之间架设一个c a p 设备并来回切换数据，g a p 设备 是一个专门的硬件开关，每次只能连接到一个网络中。 这种开关以很高的速率来回切换，因此，它可以实时地在两个网络之间完成以 下任务的：连接到网络a 中读取等待中的数据，切换到b 嘲络，写入数据。 然而，仅仅具有物理层上的隔离并不足够，各种网络上的攻击仍然可以很简单 地被传八受保护的嘲络中去。为了确保网络安全，大部分的g a p 产品还会终止网络 连接，并且在写入数据之前将t c p 等协议头剥去，以一种“裸露”的方式被输数据。 从而降低受l 基于协议缺陷攻击的风险。此外，一个g a p 设备通常还要集成一个第三 方的内容过滤软件对经过的数据进行内容过滤。展后，一个g a p 系统 ”要能成功的 达到安全的目的，还必须配置成受保护网络和不可信网络之间唯一的通路。 图卜4 实时开关桨构模型圉 ( 2 ) 单向链路式架构 单向链路式架构建立一种本质上可以称为“只读”式的网络连接，它仅仅允许一个 方向上的数据传输。和实时开关方式一样，单向链路方式也是一种硬件解决方案，因为 只有物理层上断开才能够彻底防止反方向的数据流。我们使用源网络和目标网络来描述 它所连接的两个网络，数据流向始终是由源网络到目标网络。单向链路式的架构可以从 受保护的网络连接到不可信网络( 比如用于w e b 服务器) ：如果你希望在可以接收外网 函 g 华匕电力人学硕十学位论文 信息的同时确保内部的信息无法外泄，那么单向链路式的架构也从不可信网络连接到受 保护的网络。跟实时开关类似，单向链路式的架构也要求只存在单向的网络连接，即不 存在由目标网络到源网络的网络连接。 s o t l r c e ：卜吖 。、卜1 譬_ 砬 1 ， 图15 单向链路式架构模型圈 ( 3 ) 网络开关式架构 网络开关式的架构和实时开关非常类似，主要区别是在于网络丌关式的架构不是工 作在实时模式下的。网络开关通常是由一个具有双接口的设备实现，两个接口分别连接 到不同的网络，并且每个时刻仅有一个接口被激活。同刚，系统会将所有的资源分配到 两个接口中去，并要保证没有共用的系统资源。被分配到其中某一个网络的缓存小能供 另个网络使用，而从其中一个接lj 中获取的数据也不能随意地放八月一个接口中去。 这种架构主要用于连拉在i n t e r n e t 和要求安全级别比较高的内部网络之叫。 在应用方面，w h a l ec o w n u n i c a t i o n s 和s p e a r h e a dt e c h n o i o g i e s 公司是最早研究 并制造g a p 设备的厂商1 2 。有代表性的产品列举如下： ( i ) w h a lec o f f 】l l u n l c a t l o f l s eg a p 。一g a p 内部包含个硬件开关以及一个基于s c s i 的内存条，理论上可以达到 13 0 m b p s 的吞吐率。在连接两端网络的的端点服务器中各自运行一套客户端软什，完成 对经过。g a p 数据的内容过滤。t c p 连接在到达两边的l 点服务器后即被终止。e - g a p 内部集成两种传输方式：交互式传输和文件方式传输。此外，e g a p 还可以被设置为单 向链路模式。 ( 2 ) s p e a r h e a d sa lr g a p a i r o a p 与eg u p 的刁：同点在 一：og a p 能更有效地用于连接曲台电脑：而a i r g a p 则更适台于连接两个网络。a i r g a p 具有一必传统防火墙的特点，虽然它并小属于某类 的防火墙。g i r g a p 由主面板、从面扳以及一个内容过滤面板构成。从面板首先读瞅待传 输的数据，剥去t c i ，包头，编码( 以保旺数据是静态的) ，然后递交给内容过滤面板， 摄后由主面板对数据进行完整件检查并执行自定义的安全策略，只有符合浚策略的会话 才会被重新建立。此外，丰面板和从面板还集成了入侵检测模块。 ( 3 ) v o l t a if e s2i n1p c 2l n lp c 是一种用以将一个单独的系统分割成两个独市的虚拟系统的p c i 设备。每 华北电力大学硕士学位论文 个虚拟系统都有自己独立的资源并且只连接到一个网络中去。通常可以使用两个网卡， 两个网卡分别连接到2 一i n lp c 的一个接口上，而2 一i n lp c 则轮流地连接到两个网络 中去，而每个时刻仅有一个网卡是被连接着的。 1 3 本文的主要工作 1 3 1 目的和意义 s o p c 5 】是a l t e r a 公司提出来的一种灵活、高效的s o c 解决方案。它将一个软核放 入f p g a ，占用片上资源少，成本很低，却扩展了目前世界上最流行的软核嵌入式处理器 的性能。可将处理器、存储器、i o 口等系统设计需要的功能模块集成到一个f p g a 器 件上，构建成一个可编程的片上系统，具有灵活的设计方式，可裁减、可扩充、可升级， 并具备软硬件在系统可编程的功能。在可编程器件内，还具有小容量高速r a m 资源和 足够的可编程逻辑资源，用于实现其他的附加逻辑。 出于节约成本和实现高度可配置性的需要，我们设计的网络物理隔离器主要基 于a l t e r a 公司的n i o s l i 软处理器核，在实现主要分两部分：网络物理隔离器的硬件 部分( 包括f p g a 组态软n i o s 核、电路设计等) 和软件部分( 基于l w i p 协议栈和 g c o s i i 操作系统的网络包控制软件，及配置软件) 。 通过对s o p c 技术的分析和研究，可以灵活的掌握搭建系统上软件和硬件实现 的分界点，做到系统最优化以及成本最小化，一些软件不能解决的问题通过硬件优 化解决，硬件不容易实现的功能通过软件来实现。 在d c s 系统中利用s o p c 技术实现的网络物理隔离器可以从硬件性能上与现有 的网络物理隔离器媲美，而且从成本上来说却有很大程度的削减，显示了s o p c 技 术的优越性。 1 3 2 研究内容 根据实际研究工作的需要，本文主要研究内容如下： ( 1 ) 研究了c p l d 及f p g a 的结构及原理、a v a l o n 总线规范及n i o s l i 处理器及外 围的配置。 ( 2 ) 分析t c p i p 协议，并研究n i o s l i 下的此o s i i 操作系统，l w l p 协议库及 网卡驱动结构。 ( 3 ) 通过对各种实现方案的分析比较，确定双n i o s 核通讯的基本方案及系统 工作流程。 ( 4 ) 设计了网路物理隔离器硬件部分及数据通信f i f oi p 核。 8 华北电力大学硕士学位论文 ( 5 ) 设计了网路物理隔离器系统软件及配置软件部分。 ( 6 ) 构建网路物理隔离器系统并测试通过。 1 4 本章小结 本章首先说明了网络物理隔离器系统选题的背景和意义；其次介绍了网络物理 隔离器的基本原理与发展阶段，并分析了国内外物理隔离器研究现状及主要产品； 最后根据实际需要得出了本文的主要研究内容。 9 华北电力大学硕士学位论文 第二章基于f p g a 的s o p c 技术及n io sl l 软核处理器 f p g a 是在p a l 、g a l 、p l d 等可编程器件的基础上进一步发展的产物。它是作为 专用集成电路a s i c ( a p p l i c a t i o ns p e c i f i ci n t e g r a t e dc i r c u i t ) 领域中的一种半定制电路而 出现的，既解决了定制电路的不足，又克服了原有可编程器件门电路数有限的缺点。 本章首先简要介绍了p l d 与f p g a 、f p g a 结构原理及特点，以及基于f p g a 的 s o p c 技术开发流程，介绍了a l t e m 公司的s o p c 技术的开发流程、n i o s i i 软核处理器、 a v a l o n 总线结构及基于n i o s l l 的软件开发流程。 2 1p l d 与f p g a 简介 可编程逻辑器件p l d ( p r o g r a m m a b i el o g i cd e v i c e ) 是一类半定制的通用性器 件，用户可以通过对p l d 器件进行编程来实现所需的逻辑功能。与专用集成电路a s i c 相比，p l d 具有灵活性高、设计周期短、成本低、风险小等优势，因而得到了广泛 应用，各项相关技术也迅速发展起来，p l d 目前已经成为数字系统设计的重要硬件 基础。 p l d 从2 0 世纪7 0 年代发展到现在，已经形成了许多类型的产品，其结构、工 艺、集成度、速度等方面都在不断完善和提高。随着数字系统规模和复杂度的增长， 许多简单p l d 产品已经逐渐退出市场，目前使用最广泛的可编程逻辑器件有两类： 现场可编程门阵列( f i e l dp r o g r a m m a b l eg a t ea r r a y ，f p g a ) 和复杂可编程逻辑 器件( c o m p l e xp r o g r a m m a b l el o g i cd e v i c e ，c p l d ) 。 f p g a 和c p l d 的内部结构稍有不同 s l 。通常，f p g a 中的寄存器资源比较丰富， 适合同步时序电路较多的数字系统；c p l d 中组合逻辑资源比较丰富，适合组合电路 较多的控制应用。在这两类可编程逻辑器件中，c p l d 提供的逻辑资源较少，而f p g a 提供了最高的逻辑密度、最丰富的特性和极高的性能，已经在通信、消费电子、医 疗、工业和军事等各应用领域当中占据重要地位。 2 2f p g a 结构原理与特点 典型的f p g a 通常包含三类基本资源【8 】：可编程逻辑功能块、可编程输入输出 块和可编程互连资源。可编程逻辑功能块是实现用户功能的基本单元，多个逻辑功 能块通常规则地排成一个阵列结构，分布于整个芯片；可编程输入输出块完成芯 片内部逻辑与外部管脚之间的接口，围绕在逻辑单元阵列四周；可编程内部互连资 源包括各种长度的连线线段和一些可编程连接开关，它们将各个可编程逻辑块或输 l o 华北电力大学硕士学位论文 入输出块连接起来，构成特定功能的电路。用户可以通过编程决定每个单元的功 能以及它们的互连关系，从而实现所需的逻辑功能。不同厂家或不同型号的f p g a ， 在可编程逻辑块的内部结构、规模、内部互连的结构等方面经常存在较大的差异。 除了上述构成f p g a 基本结构的三种资源以外，随着工艺的进步和应用系统需 求的发展，一般在f p g a 中还可能包含以下可选资源：存储器资源( 块咖、分布式 r a m ) 、数字时钟管理单元( 分频倍频、数字延迟、时钟锁定) 、算数运算单元( 高 速硬件乘法器、乘加器) 、多电平标准兼容的i o 接口、高速串行i o 接口、特殊 功能模块( 以太网m a c 等硬i p 核) 、微处理器( p o w e r p c 4 0 5 等硬处理器i p 核) 。 f p g a 的基本特点j 主要有： ( 1 ) 采用f p g a 设计a s i c 电路，用户不需要投片生产，就能得到合适的芯片。 ( 2 ) f p g a 可以作为其它全定制或半定制a s i c 电路的样片。 ( 3 ) f p g a 内部有丰富的触发器和i o 引脚。 ( 4 ) f p g h 是a s i c 电路中设计周期最短、开发费用最低、风险最小的器件之一。 ( 5 ) f p g a 采用高速c h m o s 工艺，功耗低，可以与c m o s 、t t l 电平兼容。可以说， f p g a 芯片是小批量系统提高系统集成度、可靠性的最佳选择之一。 ( 6 ) 丰富的片上可编程逻辑资源。 目前生产f p g a 的公司主要有x i l i d x 、a 1 t e r a 、a c t e l 、l a t t i c e 、q u i c k l o g i c 等，屯产的f p g a 品种和型号繁多。尽管这些f p g a 的具体结构和性能指标各有特色， 但它们都有一个共同之处，即由逻辑功能块排成阵列，并由可编程的互连资源连接 这些逻辑功能块从而实现不同的设计。 h 加曲d “l d 郴 口口 l i c l o g i c l o g i cl o g i c t a vr w n “ a v 翟冒 图2la l t e r ac y c l o n e i i 系列f p g a 基本结构 本文设计硬件平台时选用的是a l t e r a 公司的c y c l o n ei i 系列的f p g a 作为主 华北电力大学硕士学位论文 芯片。a l t e r a 公司f p g a 器件c y c l o n e i i 系列的基本结【6 】i7 j 构如图2 一l 所示。主 要包括：逻辑阵列，由多个逻辑阵列块( l o g i ca r r a yb l o c k s ，l a b s ) 排列而成， 用于实现大部分逻辑功能；在芯片四周分布着可编程的输入输出单元 ( i n p u t o u t p u te l e m e n t s ，i o e s ) ，提供封装引脚与内部逻辑之间的连接接口；丰 富的多层互连结构的可编程连线( 未画出) ；片上的随机存取块状r a m ；锁相环( p l l ) ， 用于时钟的锁定与同步、能够实现时钟的倍频和分频；高速的硬件乘法器，有助于 实现高性能的d s p 功能【i 叭。 2 3s o p c 技术简介 s o c ( s y s t e mo nc h i p ) 是将大规模的数字逻辑和嵌入式处理器整合在单个芯片上， 形成软硬件结合的完整的控制和处理片上系统。s o c 从整个系统的角度出发，把处理机 制、模型算法、芯片结构、各层次电路，直至器件的实际紧密连接起来，在单个( 少数 几个) 芯片上完成整个系统的功能。 s o p c 是由a l t e r a 公司【5 】【7 】提出的一种更灵活、高效的s o c 解决方案，他将处理器、 存储器、i o 口、l v d s ，c d r 等系统设计需要的功能模块集成到一个p l d 器件上，结合 a l t e r a 公司为用户提供系统设计所需的功能模块，即i p 核，用来构建s o p c 系统。s o p c 芯片在应用的灵活性和价格上有极大的优势，代表了半导体产业未来的发展方向。其基 本特征是设计人员采用自项向下的设计方法，对整个系统进行方案设计和功能划分，最 后系统的核心电路在可编程器件或f p g a 上实现。 s o p c 将处理器、存储器、刀0 口、l v d s 、c d r 等系统设计需要的功能模块集成到一 个p l d 器件上，构建成一个可编程的片上系统。它是可编程系统，具有灵活的设计方式、 可剪裁、可扩充、可升级，并具备软硬件在系统可编程的功能。 s o p c 结合了s o c 和可编程逻辑器件各自的优点，一般具备以下基本特点： ( 1 ) 至少包含一个嵌入式处理器内核。 ( 2 ) 具有小容量片内高速r a m 资源。 ( 3 ) 丰富的p i 核资源可供选择。 ( 4 ) 足够的片上可编程逻辑资源。 ( 5 ) 处理器调试接口和f p g a 编程接口。 ( 6 ) 可能包含部分可编程模拟电路。 ( 7 ) 单芯片、低功耗、微封装。 s o p c 设计技术涵盖了嵌入式系统设计技术的全部内容【5 】，除了以处理器和实时多任 务操作系统( r t o s ) 为中心的软件设计技术、以p c b 和信号完整性分析为基础的高速电路 设计技术以外，s o p c 还涉及目前以引起普追关注的软硬件协同设计技术。与a s i c 比较 起来，可编程逻辑器件设计起来十分灵活、便捷，可以缩短上市时间，再加上可编程逻 1 2 华北电力大学硕士学位论文 辑器件是按标准器件生产出来的，规模效应使得成本十分低廉，故而在半导体领域中可 编程逻辑器件呈现出一枝独秀的增长态势，越来越多地成为系统级芯片设计的首选。 s o p c 也取代a s i c 成为s o c 设计的新趋势。 2 4s o p c 系统开发流程 图2 - 2a 1 t e r as o p c 系统的开发流程 s o p c 系统的开发流程一般分为硬件和软件两部分。硬件( 按照习惯说法，将一 个s o p c 系统中的n i o si ic p u 和外设等统称为硬件，虽然它也是由软件来实现的； 而在这个系统上运行的程序称为软件) 开发主要是创建n i o si i 系统，作为应用程 序运行的平台；软件开发主要是根据系统应用的需求，利用c c + + 语言和系统所带 的a p i ( a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e ，应用程序接口) 函数编写特定功能的 程序。 采用a 1 t e r a 公司的s o p c 开发技术能有效的提高开发效率，便于设计流程的一 体化同步进行，利于模拟、仿真、调试等。与n i o s l i 处理器的有机结合，为s o p c 技术的快速应用打下良好的基础。 a l t e r a 公司的s o p c 系统( 硬件) 的开发流程如下图，这里用到的主要工具是 a l t e r a 公司的s o p cb u i l d e r 和q u a r t u si i 集成开发环境。s o p c 系统( 软件) 实 1 3 华北电力大学硕士学位论文 现可以参见2 7 基于n i o s l i 的软件开发流程。图2 2 中的h d l 语言7 】【9 】主要包括 v h d l 【2 0 】、v e r i l o gh d l 、s y s t e mc 及a h d l 等。 2 5n i o s ii 软核处理器嘲i “i a l t e r a 公司的n i o s 处理器是一种采用流水线技术，单指令流的r i s c 处理器， 针对a l t e r a 的可编程器件及片上可编程系统的设计思想，做了相应的优化，其大 部分指令可以在一个时钟周期完成。n i o s 处理器是一种可配置的软核c p u ，即一种 可特许通用的r 1 s cc p u ，a 1 t e r a 公司以i p 核的方式将n i o s 提供给用户。用户可 以用他与其他外设、指令或用户自定义逻辑结合，构成一个s o p c 系统，下载到a 1 t e r a 的可编程器件中去。 旧圉r 同阍离r 图2 - - 3n i o s l i 处理器结构 n i o s 处理器定义了下列用户可见功能单元： ( 1 ) 寄存器组( r e g is t e rf i l e ) 。 ( 2 ) 逻辑运算单元( a r l t