《电子技术应用》
您所在的位置:首页 > 模拟设计 > 业界动态 > LVDS总线在安全隔离网闸中的应用

LVDS总线在安全隔离网闸中的应用

2008-09-04
作者:马 肖, 刘诗斌, 李端勇

  摘 要: 介绍LVDS技术的特点及其在安全隔离" title="安全隔离">安全隔离网闸中的应用。LVDS技术是一种差分" title="差分">差分数据传输技术,具有速度快、功耗小、抗干扰性强等多种优势,广泛应用于多种高速数据传输系统。
  关键词: 差分信号" title="差分信号">差分信号 LVDS 安全隔离网闸


1 差分信号
  差分信号用一个数值来表示两个物理量之间的差异。从严格意义上讲,所有电压信号都是差分的,因为一个电压只能相对于另一个电压而言。在某些系统里,系统‘地’被用作电压基准点。当‘地’作为电压测量基准时,这种信号规划被称为单端的。使用该术语是因信号采用单个导体上的电压来表示的;另一方面,一个差分信号作用在两个导体上。信号值是两个导体间的电压差。尽管不是非常必要,这两个电压的平均值还是会经常保持一致。
  差分信号具有如下优点:
  (1)因为可以控制“基准”电压,所以很容易识别小信号。从差分信号恢复的信号值在很大程度上与‘地’的精确值无关,而在某一范围内。
  (2)它对外部电磁干扰(EMI)是高度免疫的。一个干扰源几乎相同程度地影响差分信号对的每一端。既然电压差异决定信号值,这样将忽视在两个导体上出现的任何同样干扰。
  (3)在一个单电源系统,能够从容精确地处理‘双极’信号。为了处理单端、单电源系统的双极信号,必须在地与电源干线之间任意电压处(通常是中点)建立一个虚地。用高于虚地的电压表示正极信号,低于虚地的电压表示负极信号。必须把虚地正确分布到整个系统里。而对于差分信号,不需要这样一个虚地,这就使处理和传播双极信号有一个高逼真度,而无须依赖虚地的稳定性。
  LVDS、PECL、RS-422等标准都采取差分传输方式。
2 LVDS总线
  LVDS(Low Voltage Differential Signaling)是一种小振幅差分信号技术。LVDS在两个标准中定义:1996年3月通过的IEEE P1596.3主要面向SCI(Scalable Coherent Interface),定义了LVDS的电特性,还定义了SCI协议中包交换时的编码;1995年11月通过的ANSI/EIA/EIA-644主要定义了LVDS的电特性,并建议655Mbps的最大速率和1.923Gbps的小失真理论极限速率。在两个标准中都指定了与传输介质无关的特性。只要传输介质在指定的噪声容限和可允许时钟偏斜的范围内发送信号到接收器,接口都能正常工作。可用于服务器、可堆垒集线器、无线基站、ATM交换机及高分辨率显示等,也可用于通信系统的设计。
2.1 LVDS工作原理
  图1为LVDS的原理简图,其驱动器由一个恒流源(通常为3.5MA)驱动一对差分信号线组成。在接收端有一个高的直流输入阻抗(几乎不会消耗电流),几乎全部的驱动电流将流经100Ω的接收端电阻在接收器输入端产生约350mV的电压。当驱动状态反转时,流经电阻的电流方向改变,于是在接收端产生有效的“0”或“1”逻辑状态。


2.2 LVDS技术优势
  (1)高速度:LVDS技术的恒流源模式低摆幅输出意味着LVDS能高速切换数据。例如,对于点到点的连接,传输速率可达数百Mbps。
  (2) 高抗噪性能:噪声以共模方式在一对差分线上耦合出现,并在接收器中相减从而可消除噪声。这也是差分传输技术的共同特点。
  (3) 低电压摆幅:使用非常低的幅度信号(约350mV)通过一对差分PCB走线或平衡电缆传输数据。LVDS的电压摆幅是PECL的一半,是RS-422的1/10;由于是低摆幅差分信号技术,其驱动和接收不依赖于供电电压,因此,LVDS可应用于低电压系统中,如5V、3.3V甚至2.5V。
  (4)低功耗:接收器端的100Ω阻抗功率仅仅为1.2mW。RS-422接收器端的100Ω阻抗功率为90mW,是LVDS的75倍!LVDS器件采用CMOS工艺制造,CMOS工艺的静态功耗极小。LVDS驱动器和接收器所需的静态电流大约是PECL/ECL器件的1/10。LVDS驱动器采用恒流源驱动模式,这种设计可以减少Icc中的频率成分。从Icc与频率关系曲线图上可以看到在10MHz~100MHz之间,曲线比较平坦;而TTL/CMOS以及GTL接收器件的动态电流则随着频率的增加呈指数增长,因为功率是电流的二次函数,所以动态功耗将随着频率的提高而大幅度提高(见图2)。


  (5) 低成本:LVDS芯片是标准CMOS工艺实现技术,集成度高;接收端阻抗小,连线简单,节省了电阻电容等外围元件;低能耗;LVDS总线串行传输数据,LVDS芯片内部集成了串化器" title="串化器">串化器或解串器,与并行数据互联相比,节省了约50%的电缆、接口及PCB制作成本。此外,由于连接关系大大简化,也节省了空间。
  (6) 低噪声:由于两条信号线周围的电磁场相互抵消,故比单线信号传输电磁辐射小得多。恒流源驱动模式不易产生振铃和切换尖锋信号,进一步降低了噪声。
3 安全隔离网闸技术
  安全隔离网闸(以下简称网闸)是指位于两个不同的安全域之间(见图3),通过协议转换手段,以透明方式实现逻辑隔离的计算机安全部件。网闸技术包含了数据分片重组、协议转化、密码学、入侵检测、病毒及关键字过滤、身份验证等多个范畴。一旦安装了网闸,黑客就不能直接与内部服务器会话,所有的TCP/IP通信被终止,并在网闸内分析,在通信包中只有合法的数据部分才被转发到内部服务器上。所以任何基于TCP/IP协议的已知和未知的攻击都不能到达内部服务器。


  它是一种具有多种控制功能的网络安全设备,在电路上切断网络之间的链路层连接,并能在网络间进行安全适度的应用数据交换。网闸是一个系统,由硬件和软件两部分组成。图4虚线内的部分表示网闸。
  网闸在公安、工商等电子政务系统、各种需要内外网交换数据的业务系统中已经得到了广泛的应用。安全隔离网闸使这些用户在能满足业务数据交换需求的前提下,为用户提供了高强度的安全保证。
4 LVDS总线在安全隔离网闸中的应用
  网闸工作在不同的安全域之间,以数据从不可信网络" title="可信网络">可信网络向可信网络传输为例,首先在网闸系统不可信端服务器的软件平台上对数据进行必要的安全性处理,如协议分析、数字签名等,然后数据通过硬件平台(以下称为安全板)传送到网闸系统可信端服务器的软件平台上进行处理。硬件平台主要完成对数据的数字签名验证及编码工作,如见图5所示。


  可信网络端服务器与不可信网络端服务器之间的数据吞吐量与PCI总线相同,即在33MHz PCI时钟频率下,32位PCI并行数据总线的理论峰值数据吞吐量为32bit×33MHz=1056Mbps,超过了1Gbps。因此应用LVDS技术可以克服物理层的传输瓶颈,从而实现两个安全域之间高速通信。
  下面以数据从不可信网络流向可信网络为例进一步说明。
  数据在网闸不可信端服务器的软件平台上进行会话中止、协议分析、数字签名等操作,然后通过PCI总线进入安全板;数据同时流入不可信端安全板上的FIFO与FPGA中,在FPGA内部进行数字签名验证。如果签名正确,则FIFO中的数据通过LVDS串化芯片,TTL信号数据被串化为LVDS差分信号,然后发送到LVDS总线上去,通过平衡电缆到达网闸可信端的安全板上。先进入LVDS解串芯片,数据由LVDS差分信号恢复为TTL信号,再送入FPGA内部进行编码(基于异或操作的编码可以防止恶意代码在可信端服务器上执行),编码后通过PCI总线进入网闸可信端服务器的软件平台进行安全决策、解码、会话生成等操作。
  设计中选用了美国NS公司的LVDS专用芯片,串化芯片DS90CR211MTD、DS90CR281MTD和解串芯片DS90CR212MTD、DS90CR282MTD。
  在串化器的一个时钟周期内,DS90CR211MTD可以将21位并行数据串化为3个通道的LVDS数据流输出,同时,也将串化器的时钟进行串化处理,通过单独1个LVDS通道输出,这样可以达到消除时钟偏斜的目的。本设计系统时钟频率为33.3MHz,同时作为串化器的时钟频率。这样,单个通道的LVDS数据的理论传输速度可以达到:7bit×33.3MHz=233.1Mbps;3个LVDS通道的速度可以达到699.3Mbps。同理,DS90CR281MTD可以将28位并行数据串化处理为4个通道的LVDS差分数据,理论传输速度可以达到932.4Mbps。由于本设计需要传送36bits TTL数据信号(32bits数据块来自PCI总线,4 bits来自FPGA的数据块信息), 占用了DS90CR211MTD的全部通道(21bits),以及DS90CR281MTD的3路通道(15bits,其中14bits数据被串化为两个LVDS信号通道,1bit数据占用了1个LVDS信号通道的其中一位,其它6位被FPGA产生的控制信号所占用,还有一位控制信号单独占用了一个LVDS通道),这样就获得了699.3Mbps+466.2Mbps+33.3Mbps=1.17Gbps的理论数据传输速率, PCI总线的理论峰值数据吞吐速度为1.03Gbps。显然,1.17Gbps>1.03Gbps。
  由此可见,利用LVDS技术可以保证在可信端服务器与不可信端服务器之间通信时,不会在安全板上产生速度瓶颈。实践证明,该网闸运行情况良好,由于利用了LVDS总线,安全板上并未产生速度瓶颈。
  LVDS 总线由于其特殊的技术优势已经引起人们越来越多的关注,它将会在高速数据传输领域获得越来越广泛的应用。
  注:
  NTN:不可信网络        TN:可信网络
  NTS:不可信端服务器      TS:可信端服务器
  NTSB:不可信端安全板     TSB:可信端安全板
参考文献
1 美国国家半导体(NS)公司.LVDS技术文档
2 公安部计算机信息系统安全产品质量监督中心. 网闸产品安全测评规范,2004
3 Tom Shanlet,Don Anderson[美]. PCI系统结构.北京:电子工业出版社, 2001.3
4 Las Keland[美]. 挑战黑客-网络安全最终解决方案.北京:电子工业出版社,2000.11

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。