LVDS總線在安全隔離網(wǎng)閘中的應(yīng)用

摘要：介紹LVDS技術(shù)的特點(diǎn)及其在安全隔離網(wǎng)閘中的應(yīng)用。LVDS技術(shù)是一種差分?jǐn)?shù)據(jù)傳輸技術(shù)，具有速度快、功耗小、抗干擾性強(qiáng)等多種優(yōu)勢，廣泛應(yīng)用于多種高速數(shù)據(jù)傳輸系統(tǒng)。 關(guān)鍵詞：差分信號(hào) LVDS 安全隔離網(wǎng)閘 1 差分信號(hào) 差分信號(hào)用一個(gè)數(shù)值來表示兩個(gè)物理量之間的差異。從嚴(yán)格意義上講，所有電壓信號(hào)都是差分的，因?yàn)橐粋€(gè)電壓只能相對(duì)于另一個(gè)電壓而言。在某些系統(tǒng)里，系統(tǒng)‘地’被用作電壓基準(zhǔn)點(diǎn)。當(dāng)‘地’作為電壓測量基準(zhǔn)時(shí)，這種信號(hào)規(guī)劃被稱為單端的。使用該術(shù)語是因信號(hào)采用單個(gè)導(dǎo)體上的電壓來表示的；另一方面，一個(gè)差分信號(hào)作用在兩個(gè)導(dǎo)體上。信號(hào)值是兩個(gè)導(dǎo)體間的電壓差。盡管不是非常必要，這兩個(gè)電壓的平均值還是會(huì)經(jīng)常保持一致。 差分信號(hào)具有如下優(yōu)點(diǎn)： （1）因?yàn)榭梢钥刂啤盎鶞?zhǔn)”電壓，所以很容易識(shí)別小信號(hào)。從差分信號(hào)恢復(fù)的信號(hào)值在很大程度上與‘地’的精確值無關(guān)，而在某一范圍內(nèi)。 （2）它對(duì)外部電磁干擾（EMI）是高度免疫的。一個(gè)干擾源幾乎相同程度地影響差分信號(hào)對(duì)的每一端。既然電壓差異決定信號(hào)值，這樣將忽視在兩個(gè)導(dǎo)體上出現(xiàn)的任何同樣干擾。 （3）在一個(gè)單電源系統(tǒng)，能夠從容精確地處理‘雙極’信號(hào)。為了處理單端、單電源系統(tǒng)的雙極信號(hào)，必須在地與電源干線之間任意電壓處（通常是中點(diǎn)）建立一個(gè)虛地。 用高于虛地的電壓表示正極信號(hào)，低于虛地的電壓表示負(fù)極信號(hào)。必須把虛地正確分布到整個(gè)系統(tǒng)里。而對(duì)于差分信號(hào)，不需要這樣一個(gè)虛地，這就使處理和傳播雙極信號(hào)有一個(gè)高逼真度，而無須依賴虛地的穩(wěn)定性。 LVDS、PECL、RS-422等標(biāo)準(zhǔn)都采取差分傳輸方式。 2 LVDS總線 LVDS(Low Voltage Differential Signaling)是一種小振幅差分信號(hào)技術(shù)。LVDS在兩個(gè)標(biāo)準(zhǔn)中定義：1996年3月通過的IEEE P1596.3主要面向SCI(Scalable Coherent Interface)，定義了LVDS的電特性，還定義了SCI協(xié)議中包交換時(shí)的編碼；1995年11月通過的ANSI/EIA/EIA-644主要定義了LVDS的電特性，并建議655Mbps的最大速率和1.923Gbps的小失真理論極限速率。在兩個(gè)標(biāo)準(zhǔn)中都指定了與傳輸介質(zhì)無關(guān)的特性。只要傳輸介質(zhì)在指定的噪聲容限和可允許時(shí)鐘偏斜的范圍內(nèi)發(fā)送信號(hào)到接收器，接口都能正常工作?？捎糜诜?wù)器、可堆壘集線器、無線基站、ATM交換機(jī)及高分辨率顯示等，也可用于通信系統(tǒng)的設(shè)計(jì)。 2.1 LVDS工作原理 圖1為LVDS的原理簡圖，其驅(qū)動(dòng)器由一個(gè)恒流源（通常為3.5mA）驅(qū)動(dòng)一對(duì)差分信號(hào)線組成。在接收端有一個(gè)高的直流輸入阻抗（幾乎不會(huì)消耗電流），幾乎全部的驅(qū)動(dòng)電流將流經(jīng)100Ω的接收端電阻在接收器輸入端產(chǎn)生約350mV的電壓。當(dāng)驅(qū)動(dòng)狀態(tài)反轉(zhuǎn)時(shí)，流經(jīng)電阻的電流方向改變，于是在接收端產(chǎn)生有效的“0”或“1”邏輯狀態(tài)。 2.2 LVDS技術(shù)優(yōu)勢 （1）高速度：LVDS技術(shù)的恒流源模式低擺幅輸出意味著LVDS能高速切換數(shù)據(jù)。例如，對(duì)于點(diǎn)到點(diǎn)的連接，傳輸速率可達(dá)數(shù)百M(fèi)bps。 （2）高抗噪性能：噪聲以共模方式在一對(duì)差分線上耦合出現(xiàn)，并在接收器中相減從而可消除噪聲。這也是差分傳輸技術(shù)的共同特點(diǎn)。 （3）低電壓擺幅：使用非常低的幅度信號(hào)（約350mV）通過一對(duì)差分PCB走線或平衡電纜傳輸數(shù)據(jù)。LVDS的電壓擺幅是PECL的一半，是RS-422的1/10；由于是低擺幅差分信號(hào)技術(shù)，其驅(qū)動(dòng)和接收不依賴于供電電壓，因此，LVDS可應(yīng)用于低電壓系統(tǒng)中，如5V、3.3V甚至2.5V。 （4）低功耗：接收器端的100Ω阻抗功率僅僅為1.2mV。RS-422接收器端的100Ω阻抗功率為90mV，是LVDS的75倍！LVDS器件采用CMOS工藝制造，CMOS工藝的靜態(tài)功耗極小。LVDS驅(qū)動(dòng)器和接收器所需的靜態(tài)電流大約是PECL/ECL器件的1/10。LVDS驅(qū)動(dòng)器采用恒流源驅(qū)動(dòng)模式，這種設(shè)計(jì)可以減少1cc中的頻率成分。從1cc與頻率關(guān)系曲線圖上可以看到在10MHz～100MHz之間，曲線比較平坦；而TTL/CMOS以及GTL接收器件的動(dòng)態(tài)電流則隨著頻率地增加呈指數(shù)增長，因?yàn)楣β适请娏鞯亩魏瘮?shù)，所以動(dòng)態(tài)功耗將隨著頻率的提高而大幅度提高（見圖2）。 （5）低成本：LVDS芯片是標(biāo)準(zhǔn)CMOS工藝實(shí)現(xiàn)技術(shù)，集成度高；接收端阻抗小，連線簡單，節(jié)省了電阻電容等外圍元件；低能耗；LVDS總線串行傳輸數(shù)據(jù)，LVDS芯片內(nèi)部集成了串化器或解串器，與并行數(shù)據(jù)互聯(lián)相比，節(jié)省了約50%的電纜、接口及PCB制作成本。此外，由于連接關(guān)系大大簡化，也節(jié)省了空間。 （6）低噪聲：由于兩條信號(hào)線周圍的電磁場相互抵消，故比單線信號(hào)傳輸電磁輻射小得多。恒流源驅(qū)動(dòng)模式不易產(chǎn)生振鈴和切換尖鋒信號(hào)，進(jìn)一步降低了噪聲。 3 安全隔離網(wǎng)閘技術(shù) 安全隔離網(wǎng)閘（以下簡稱網(wǎng)閘）是指位于兩個(gè)不同的安全域之間（見圖3）通過協(xié)議轉(zhuǎn)換手段，以透明方式實(shí)現(xiàn)邏輯隔離的計(jì)算機(jī)安全部件。網(wǎng)閘技術(shù)包含了數(shù)據(jù)分片重組、協(xié)議轉(zhuǎn)化、密碼學(xué)、人侵檢測、病毒及關(guān)鍵字過濾、身份驗(yàn)證等多個(gè)范疇。一旦安裝了網(wǎng)閘，黑客就不能直接與內(nèi)部服務(wù)器會(huì)話，所有的TCP/IP通信被終止，并在網(wǎng)閘內(nèi)分析，在通信包中只有有合法的數(shù)據(jù)部分才被轉(zhuǎn)發(fā)到內(nèi)部服務(wù)器上。所以任何基于TCP/IP協(xié)議的已知未知的攻擊都不能到達(dá)內(nèi)部服務(wù)器。 它是一種具有多種控制功能的網(wǎng)絡(luò)完全設(shè)備，在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換。網(wǎng)閘是一個(gè)系統(tǒng)，由硬件和軟件兩部分組成。圖4虛級(jí)內(nèi)的部分表示網(wǎng)閘。 網(wǎng)閘在公安、工商等電子政務(wù)系統(tǒng)、各種需要內(nèi)外網(wǎng)交換數(shù)據(jù)的業(yè)務(wù)系統(tǒng)中已經(jīng)得到了廣泛的應(yīng)用。安全隔離網(wǎng)閘使這些用戶在能滿足業(yè)務(wù)數(shù)據(jù)交換需求的前提下，為用戶提供了高強(qiáng)度的安全保證。 4 LVDS總線在安全隔離網(wǎng)閘中的應(yīng)用 網(wǎng)閘工作在不同的安全域之間，以數(shù)據(jù)從不可信網(wǎng)絡(luò)向可信網(wǎng)絡(luò)傳輸為例，首先在網(wǎng)閘系統(tǒng)不可信端服務(wù)器的軟件平臺(tái)上對(duì)數(shù)據(jù)進(jìn)行必要的安全性處理，如協(xié)議分析、數(shù)字簽名等，然后數(shù)據(jù)通過硬件平臺(tái)（以下稱為安全板）傳送到網(wǎng)閘系統(tǒng)可信端服務(wù)器的軟件平臺(tái)上進(jìn)行處理。硬件平臺(tái)主要完成對(duì)數(shù)據(jù)的數(shù)字簽名驗(yàn)證及編碼工作，如見圖5所示。 可信網(wǎng)絡(luò)端服務(wù)器與不可信網(wǎng)絡(luò)端服務(wù)器之間的數(shù)據(jù)吞吐量與PCI總線相同，即在33MHz PCI時(shí)鐘頻率下，32位PCI并行數(shù)據(jù)總線的理論峰值數(shù)據(jù)吞吐量為32bit%26;#215;33MHz=1056Mbps，超過了1Gbps。因此應(yīng)用LVDS技術(shù)可以克服物理層的傳輸頸，從而實(shí)現(xiàn)兩個(gè)安全域之間高速通信。 下面以數(shù)據(jù)從不可信網(wǎng)絡(luò)流向可信網(wǎng)絡(luò)為例進(jìn)一步說明。 數(shù)據(jù)在網(wǎng)閘不可信端服務(wù)器的軟件平臺(tái)上進(jìn)行會(huì)話中止、協(xié)議分析、數(shù)字簽名等操作，然后通過PCI總線進(jìn)入安全板；數(shù)據(jù)同時(shí)流入不可信端安全板上的FIFO與FPGA中，在FPGA內(nèi)部進(jìn)行數(shù)字簽名驗(yàn)證。如果簽名正確，則FIFO中的數(shù)據(jù)通過LVDS串化芯片，TTL信號(hào)數(shù)據(jù)被串化為LVDS差分信號(hào)，然后發(fā)送到LVDS總線上去，通過平衡電纜到達(dá)網(wǎng)閘可信端的安全板上。先進(jìn)入LVDS解串芯片，數(shù)據(jù)由LVDS差分信號(hào)恢復(fù)為TTL信號(hào)，再送入FPGA內(nèi)部進(jìn)行編碼（基于異或操作的編碼可以防止惡意代碼在可信端服務(wù)器上執(zhí)行），編碼后通過PCI總線進(jìn)入網(wǎng)閘可信端服務(wù)器的軟件平臺(tái)進(jìn)行安全決策、解碼、會(huì)話生成等操作。 設(shè)計(jì)中選用了美國NS公司的LVDS專用芯片，串化芯片DS90CR211MTD、DS90CR281MTD和解串芯片DS90CR212MTD、DS90CR282MTD。 在串化器的一個(gè)時(shí)鐘周期內(nèi)，DS90CR211MTD可以將21位并行數(shù)據(jù)串化為3個(gè)通道的LVDS數(shù)據(jù)流輸出，同時(shí)，也將串化器的時(shí)鐘進(jìn)行串化處理，通過單獨(dú)1個(gè)LVDS通道輸出，這樣可以達(dá)到消除時(shí)鐘偏斜的目的。本設(shè)計(jì)系統(tǒng)時(shí)鐘頻率為33.3MHz,同時(shí)作為串化器的時(shí)鐘頻率。這樣，單個(gè)通道的LVDS數(shù)據(jù)的理論傳輸速度可以達(dá)到：7bit%26;#215;33.3MHz=233.1Mbps；3個(gè)LVDS通道的速度可以達(dá)到699.3Mbps。同理，DS90CR281MTD可以將28位并行數(shù)據(jù)串化處理為4個(gè)通道的LVDS差分?jǐn)?shù)據(jù)，理論傳輸速度可以達(dá)到932.4Mbps。由于本設(shè)計(jì)需要傳送36bits TTL數(shù)據(jù)信號(hào)（32bits數(shù)據(jù)塊來自PCI總線，4bits來自FPGA的數(shù)據(jù)塊信息），占用了DS90CR211MTD的全部通道（21bits），以及DS90CR281MTD的3路通道（15bits，其中14bits數(shù)據(jù)被串化為兩個(gè)LVDS信號(hào)通道，1bit數(shù)據(jù)占用了1個(gè)LVDS信號(hào)通道的其中一位，其它6位被FPGA產(chǎn)生的控制信號(hào)所占用，還有一位控制信號(hào)單獨(dú)占用了一個(gè)LVDS通道），這樣就獲得了699.3Mbps+466.2Mbps+33.3Mbps=1.17Gbps的理論數(shù)據(jù)傳輸速率，PCI總線的理論峰值數(shù)據(jù)吞吐速度為1.03Gbps。顯然，1.17Gbps>1.03Gbps。 由此可見，利用LVDS技術(shù)可以保證在可信端服務(wù)器與不可信端服務(wù)器之間通信時(shí)，不會(huì)在安全板上產(chǎn)生速度瓶頸。實(shí)踐證明，該網(wǎng)閘運(yùn)行情況良好，由于利用了LVDS總線，安全板上并未產(chǎn)生速度瓶頸。 LVDS總線由于其特殊的技術(shù)優(yōu)勢已經(jīng)引起人們越來越多的關(guān)注，它將會(huì)在高速數(shù)據(jù)傳輸領(lǐng)域獲得越來越廣泛的應(yīng)用。 注： NTN：不可信網(wǎng)絡(luò) TN：可信網(wǎng)絡(luò) NTS：不可信端服務(wù)器 TS:可信端服務(wù)器 NTSB：不可信端安全板 TSB:可信端安全板