BIQ-27-资源配置

S3100-EI系列交换机使用灵活QinQ功能对不同类型的私网数据进行分类处理的配置一、组网需求：（1）SwitchA的端口Ethernet1/0/3连接了PC用户和IP电话用户。

其中PC用户位于VLAN100～VLAN108范围内，IP电话用户位于VLAN200～VLAN230范围内。

SwitchA的端口Ethernet1/0/5连接到公共网络，对端为SwitchB。

（2）SwitchB的Ethernet1/0/11端口接入公共网络，Ethernet1/0/12和Ethernet1/0/13端口分别接入PC 用户服务器所在VLAN100～VLAN108和IP电话用户语音网关所在VLAN200～VLAN230。

（3）公共网络中允许VLAN1000和VLAN1200的报文通过，并配置了QoS策略，对VLAN1200的报文配置有带宽保留等优先传输策略，而VLAN1000的报文传输优先级较低。

（4）在SwitchA和SwitchB上配置灵活QinQ功能，将PC用户和IP电话用户的流量分别在公网的VLAN1000和VLAN1200内传输，以利用QoS策略保证语音数据的传输优先级。

二、组网图：三、配置步骤：（1）配置SwitchA# 在SwitchA上创建VLAN1000、VLAN1200和Ethernet1/0/3的缺省VLAN5。

<SwitchA> system-view [SwitchA] vlan 1000[SwitchA-vlan1000] quit[SwitchA] vlan 1200[SwitchA-vlan1200] quit[SwitchA] vlan 5[SwitchA-vlan5] quit# 配置端口Ethernet1/0/5为Hybrid端口，并在转发VLAN1000和VLAN1200的报文时保留VLAN Tag。

[SwitchA] interface Ethernet 1/0/5[SwitchA-Ethernet1/0/5] port link-type hybrid[SwitchA-Ethernet1/0/5] port hybrid vlan 1000 1200 tagged[SwitchA-Ethernet1/0/5] quit# 配置端口Ethernet1/0/3为Hybrid端口，缺省VLAN为VLAN5，并在转发V LAN5、VLAN1000和VLAN1200的报文时去除VLAN Tag。

5 QinQ配置关于本章介绍QinQ的基本知识、配置方法和配置实例。

说明S2700SI和S2710SI不支持QinQ。

5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

5.2 设备支持的QinQ特性QinQ因为其自身简单灵活的特点，在各解决方案中扮演着重要的角色。

5.3 配置基本QinQ配置基本QinQ功能后，对于从接口进来的报文，加上一层公网Tag，实现用户报文在公网内转发。

5.4 配置灵活QinQ配置二层灵活QinQ接口后，对于从接口进来的带有私网Tag的用户报文，统一加上公网的Tag，实现用户报文在公网内转发。

5.5 配置外层VLAN Tag的TPID值为了实现不同厂商的设备互通，需要配置外层VLAN Tag的TPID值。

5.6 配置VLANIF接口支持QinQ Stacking功能当用户需要从本端设备远程登录到远端设备上进行远端管理时，可在远端设备上的管理VLAN对应的VLANIF接口上部署QinQ Stacking功能实现。

5.7 配置举例配置举例结合组网需求、配置思路来了解实际网络中QinQ的应用场景，并提供配置文件。

5.1 QinQ概述QinQ技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的标签头来达到扩展VLAN空间的功能，可以使私网VLAN透传公网。

在基于传统的802.1Q协议的局域网互联模式中，当两个用户网络需要通过ISP互相访问时，ISP必须为每个接入用户的不同VLAN分配不同的VLAN ID，如图5-1所示。

假设用户的网络1和网络2位于两个不同地点，并分别通过ISP的PE1、PE2接入骨干网。

如果用户需要将网络1的VLAN100～VLAN200和网络2的VLAN100～VLAN200互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连接口都配置为Trunk属性，并允许VLAN100～VLAN200通过。

拓扑说明：比较简单的三层环境，防火墙进来后接三层交换机s5700，然后接的几台二层交换机s2700，本文只对几个主要的应用配置做个描述1.vlan、gvrp相关配置举例：三层交换机：[5700]vlan 11 创建VLAN11[5700-vlan11]description xxx 加入描述信息xxx[5700-vlan11]quit[5700]gvrp 要用gvrp的话，全局模式下必须开启gvrp [5700]interface g0/0/23 进入与2层交换机连接的端口准备配置中继[5700-GigabitEthernet0/0/23]gvrp 中继端口下开启gvrp[5700-GigabitEthernet0/0/23]port link-type trunk 端口类型设置为trunk[5700-GigabitEthernet0/0/23]port trunk allow-pass vlan all 设置允许通过的vlan为所有，也可设为指定的vlan[5700-GigabitEthernet0/0/23]quit二层交换机：发现华为上不能批量进入端口，只有通过先创建端口组，再把响应端口加入组的方式来实现批量管理，比如我们要在2700上把千兆口都设为trunk口：[2700]port-group trunk 创建名为turnk的端口组，也可取其他名字。

如果已有此名，则会直接进入此端口组[2700-1-port-group-trunk]group-member g0/0/1 to g0/0/4 宣告组成员为G0/0/1到G0/0/4[2700-1-port-group-trunk]port link-type trunk 此组设为中继，即G0/0/1到G0/0/4都为中继[2700-1-port-group-trunk]port trunk allow-pass vlan all 这几步都和三层的配置一样，不同的是我们这里是进行的批量配置[2700-1-port-group-trunk]gvrp[2700-1-port-group-trunk]quit下面把相应端口加入vlan，这里我觉得端口组以vlan命名较为合适[2700]port group vlan11[2700-1-port-group- vlan11]group-member e0/0/1 to e0/0/4 [2700-1-port-group- vlan11]port link-type access 端口设置为access口[2700-1-port-group- vlan11]port default vlan 11 把E0/0/1-4口加入vlan11[2700-1-port-group- vlan11]quit以上VLAN的配置基本完成。

QinQ 目录目录第1章 QinQ配置....................................................................................................................1-11.1 QinQ简介...........................................................................................................................1-11.1.1 原理介绍..................................................................................................................1-11.1.2 QinQ的实现方式......................................................................................................1-21.1.3 QinQ报文的TPID值可调功能...................................................................................1-21.2 配置端口的VLAN VPN特性功能.........................................................................................1-31.2.1 配置准备..................................................................................................................1-31.2.2 配置过程..................................................................................................................1-31.3 配置基于流分类的Nested VLAN........................................................................................1-41.3.1 配置准备..................................................................................................................1-41.3.2 配置过程..................................................................................................................1-41.4 配置端口的QinQ报文TPID值可调功能...............................................................................1-51.4.1 配置准备..................................................................................................................1-51.4.2 配置过程..................................................................................................................1-51.5 配置VLAN-VPN Tunnel......................................................................................................1-61.5.1 VLAN-VPN Tunnel简介...........................................................................................1-61.5.2 VLAN-VPN Tunnel配置...........................................................................................1-71.6 QinQ的显示与维护.............................................................................................................1-71.7 QinQ典型配置举例.............................................................................................................1-81.7.1 基于流分类的Nested VLAN配置过程举例...............................................................1-81.7.2 端口的QinQ报文TPID值可调功能配置过程举例......................................................1-91.7.3 VLAN-VPN Tunnel典型配置举例...........................................................................1-11第1章 QinQ 配置下表列出了本章所包含的内容。

一、选择题：1. 员工轮岗的目的（ABCDE)A.提高员工岗位柔性B。

降低人机工程问题对员工身体的伤害C。

稳定生产线速，稳定产品质量D。

确保正常人员轮休E.提高员工技能水平2。

各层级BPD包含（ABCD ）A。

工厂级BPDB.工段级BPDC.班组级BPDD.公司级BPD3. 下面哪几项要素属于员工参与原则(ABCE).A.合格的员工B。

团队理念C.开放式沟通D。

工作场地安排E。

车间现场管理4. 属于非增值的工作是（A ）.A。

物料排序B.车身焊接C。

零件组装D.钣缝涂胶5。

不断改进是基于(D ),通过实现一系列基础的改进来达到整体改进的过程.A。

精益的方法B.产品质量标准C.具备精益思想的员工D。

标准化6。

（A）将公司目标分配到每个基层部门,让每位员工都知道我们的努力方向，并能参与其中。

A。

BPDB。

BIQC。

目视化D.指标管理7。

由（A ）负责对班组成员进行SOS、JES、MDS的培训.A。

班长B。

工段长C.精益制造工程师D.技术员8。

设置挑战指标的项目，月度状态的评判应用（C ）作为依据.A。

目标值B。

可变指标C。

挑战指标9. 员工参与强调员工素质和理念的输入,着重培养员工的（ABCD）A.团队合作意识B.开放交流意识C.参与管理意识D。

健康安全意识10。

所有的现场作业都可以分成三类(ABC）A。

纯粹的浪费B.没有附加价值的作业C.提高附加价值的作业D.纯手工作业11。

线平衡墙上增值时间用（A）色表示，非增值时间用(B)色表示,步行时间用(D) 色表示，等待时间用（E）色表示A。

红B。

黄C。

蓝D。

绿E.白12。

团队成员必须意识到问题，能解释自己在问题解决过程中的（D），对整个流程有一个整体的了解.A.使命和任务B。

使命C.任务D。

角色与职责13。

TPM点检有（ABCD)A。

日常点检B.定期点检C。

分类点检D.精密点检14。

BIQ升级level-4需要(ABCDEFG )等生产过程及市场环节关键质量指标达标.A.生产过程百台整机不合格项次B.整机入库一次交验合格率C。

第３２卷第１期北京电子科技学院学报２０２４年３月Ｖｏｌ．３２Ｎｏ．１ＪｏｕｒｎａｌｏｆＢｅｉｊｉｎｇＥｌｅｃｔｒｏｎｉｃＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙＩｎｓｔｉｔｕｔｅＭａｒ．２０２４基于国产ＦＰＧＡ的可选算法引擎的密码模块实现陈雪松㊀赵海淇㊀李秀滢北京电子科技学院，北京㊀１０００７０摘㊀要：在国产ＦＰＧＡ芯片上设计并实现密码算法是服务于我国关键基础设施建设的一项举措㊂为探讨新型密码算法模块实现的可行性，基于国产ＦＰＧＡ芯片设计了一款可选算法引擎的硬件密码模块，该模块可集成于嵌入式系统中，基于ＳＰＩ接口实现了两种分组密码算法引擎的自主选择以及多组数据的一次性加解密处理㊂在此基础上，对比分析了在国产ＦＰＧＡ实现的ＳＭ４算法引擎和ｕＢｌｏｃｋ算法引擎的性能，并将ＳＭ４算法部署在国内和国外两款同档次的ＦＰＧＡ芯片上，对两种芯片的性能等方面进行对比分析㊂实验结果可知，利用国产ＦＰＧＡ芯片实现硬件密码模块具有较好的可行性，为ＦＰＧＡ的国产化替代提供一定的借鉴经验㊂关键词：国产ＦＰＧＡ；ＳＭ４；ｕＢｌｏｃｋ；可选算法；紫光同创；Ａｌｔｅｒａ中图分类号：ＴＰ９１８㊀㊀㊀文献标识码：Ａ文章编号：１６７２－４６４Ｘ（２０２４）１－１２－２２∗㊀基金项目：北京市自然科学基金资助项目（４２３２０３４）；中央高校基本科研业务费专项资金项目（３２８２０２３０３８，３２８２０２２６４，３２８２０２２４１）∗∗㊀作者简介：陈雪松（１９９８－），女，硕士研究生㊂研究方向：密码工程㊁物联网物理安全㊂赵海淇（１９９９－），男，硕士研究生㊂研究方向：人工智能安全㊂李秀滢（１９７５－），女（回），通信作者，硕士，副教授㊂研究方向：密码工程㊁嵌入式系统安全㊂Ｅ－ｍａｉｌ：ｌｉｘｉｕｙｉｎｇ＠ｂｅｓ⁃ｔｉ．ｅｄｕ．ｃｎ㊀㊀引言随着我国网络数字化时代的到来，数据安全已成为突出的社会问题㊂为了保障数据的应用安全，诞生了许多以密码技术为核心的安全防护机制，进而也催生了基于软硬件设计实现的专用密码算法模块［１］㊂虽然软件实现的密码算法模块可变能力强，但其数据处理效率相对较低，而ＡＳＩＣ（专用集成电路，ＡｐｐｌｉｃａｔｉｏｎＳｐｅｃｉｆｉｃＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔ）技术形成的密码算法模块缺乏算法更换和配置的灵活性㊂比较而言，ＦＰＧＡ（现场可编程门阵列，ＦｉｅｌｄＰｒｏｇｒａｍｍａｂｌｅＧａｔｅＡｒｒａｙ）丰富的逻辑资源㊁高超的灵活性以及大吞吐量并行的工作效率，使其更加适用于密码算法模块的实现㊂所以很多实际应用中，都采用ＦＰ⁃ＧＡ实现密码模块的方案㊂目前，我国已开展了采用ＦＰＧＡ实现商用密码算法模块技术的研究，如ＳＭ３［２］㊁ＳＭ４［３］㊂也诞生了许多由我国学者自主设计研发的新型密码算法，但这些新型算法如ＴＡＮＧＲＡＭ［４］㊁ｕＢｌｏｃｋ［５］等目前仅处于单一算法引擎的应用研究阶段，少有将多个算法集合起来进行泛化应用的案例，这势必降低用户使用密码引擎的选择性，同时也没有充分发挥ＦＰＧＡ灵活性的优势㊂在同一ＦＰＧＡ芯片上利用可重构技术［６］实现多个算法引擎的复用是当前普遍受关注的解决方案㊂可重构技术在一定程度上提升了芯片逻辑资源的使用率，但同时也存在着资源下载占用时间长㊁算法配置时间消耗大的问题㊂第３２卷基于国产ＦＰＧＡ的可选算法引擎的密码模块实现㊀随着芯片集成度的快速提升，在许多低成本高资源的芯片中实现多算法并行分布也成为一种好的解决方案，它在保证逻辑资源充分利用的同时，可以极大地提升下载时长㊁缩短算法配置时间㊂另外，硬件密码算法模块实现所采用的ＦＰ⁃ＧＡ芯片，目前还主要依赖于国外的芯片，如Ｘｉｌ⁃ｉｎｘ公司的Ｖｉｒｔｅｘ系列㊁Ａｌｔｅｒａ公司的Ｃｙｃｌｏｎｅ系列等，未能在底层芯片技术上实现完全的自主可控，这在数据安全方面存在极大隐患，而从算法到芯片的全国产化才是未来密码应用发展的必然方向㊂本文基于国产ＦＰＧＡ芯片，设计并实现了一款可选算法引擎的硬件密码模块，该密码模块基于ＳＰＩ（串行外围接口，ＳｅｒｉａｌＰｅｒｉｐｈｅｒａｌＩｎｔｅｒ⁃ｆａｃｅ）接口自定义了类ＡＰＤＵ（应用协议数据单元，ＡｐｐｌｉｃａｔｉｏｎＰｒｏｔｏｃｏｌＤａｔａＵｎｉｔ），可为用户提供两种分组算法的自主选择和多组（每组１２８ｂｉｔ）数据一次性加解密处理的功能㊂本文选择的两种分组密码算法为国密算法ＳＭ４和新型分组算法ｕＢｌｏｃｋ，采用的ＦＰＧＡ芯片为紫光同创的ＰＧＬ２２Ｇ芯片㊂论文在设计模块系统方案的基础上，比较分析了两种分组算法在ＰＧＬ２２Ｇ上的性能表现以及分组算法ＳＭ４在不同ＦＰＧＡ芯片上的运行效率㊂为在国产化ＦＰＧＡ芯片上实现硬件密码系统，提供一定的可借鉴经验㊂１㊀技术介绍１ １㊀密码算法结构原理１ １ １㊀ＳＭ４密码算法ＳＭ４［７］是由国家密码管理局颁布的商用分组密码算法，当前已被ＩＳＯ／ＩＥＣ组织列为国际标准㊂ＳＭ４密码算法的加密分组长度为１２８ｂｉｔ，采用３２轮加密操作，每轮运算使用不同的轮密钥，算法结构主要包括密钥扩展单元和轮变换单元［８］㊂（１）轮变换单元ＳＭ４密码算法的一次加密运算是将一组１２８ｂｉｔ明文加密成１２８ｂｉｔ密文㊂整个加密算法由３２轮非线性迭代运算组成，一次迭代运算为一轮变换（也称轮函数），在最后一轮变换结束后输出结果（Ｘ３２，Ｘ３３，Ｘ３４，Ｘ３５），之后对其进行反序变换，最终输出密文［９］㊂每个Ｘｉ以字长（３２ｂｉｔ）为单位㊂ＳＭ４加密算法的轮变换结构如图１所示㊂其中ｉ代表第ｉ轮变换（ｉ＝０，１，２， ，３１），轮密钥是通过密钥扩展函数生成的，在每轮加密变换中使用对应的第ｉ个轮密钥ｒｋｉ㊂设轮函数的输入为（Ｘｉ，Ｘｉ＋１，Ｘｉ＋２，Ｘｉ＋３），则轮函数可表示为：Ｆ（Ｘｉ＋１，Ｘｉ＋２，Ｘｉ＋３，Ｘｉ＋４）＝Ｘｉ Ｔ（Ｘｉ＋１ Ｘｉ＋２ Ｘｉ＋３ ｒｋｉ）（１）其中，Ｔ运算由非线性Ｓ盒变换和线性移位变换组成㊂图１㊀ＳＭ４算法轮变换单元的基本结构解密运算与加密运算的算法结构相同［１０］，唯一不同之处在于解密轮变换中轮密钥反序使用，即（ｒｋ３１，ｒｋ３０， ，ｒｋ０）㊂（２）密钥扩展单元ＳＭ４密码算法轮变换单元中使用的轮密钥是通过密钥扩展算法从初始密钥中获得的［１１］㊂初始密钥的长度与明文分组长度相同，均为１２８ｂｉｔ；经过密钥扩展运算生成的轮密钥长度为３２ｂｉｔ㊂密钥扩展算法共迭代运算３２轮，每轮生成的轮密钥应用于对应轮次的加密变换㊂图２㊃３１㊃北京电子科技学院学报２０２４年所示为密钥扩展单元的算法结构㊂其中ｉ代表第ｉ轮扩展（ｉ＝０，１，２， ，３１），参数ＦＫ和ＣＫ均为指定参数不可变㊂图２㊀ＳＭ４算法密钥扩展单元的基本结构１ １ ２㊀ｕＢｌｏｃｋ密码算法ｕＢｌｏｃｋ密码算法［１２］是全国密码算法设计竞赛中的一等奖分组密码算法㊂其加解密数据分组长度和密钥长度可选１２８ｂｉｔ或２５６ｂｉｔ，分别记为ｕＢｌｏｃｋ－１２８／１２８㊁ｕＢｌｏｃｋ－１２８／２５６和ｕＢｌｏｃｋ－２５６／２５６㊂ｕＢｌｏｃｋ密码算法逻辑结构同样包括轮变换单元和密钥扩展单元，该算法在抗安全性分析㊁实现效率以及适应性上都具有较好的表现㊂为了与国密算法ＳＭ４进行对比，本文实现的ｕＢｌｏｃｋ算法为ｕＢｌｏｃｋ－１２８／１２８，即其分组长度和密钥长度均为１２８ｂｉｔ㊂（１）轮变换单元ｕＢｌｏｃｋ－１２８／１２８密码算法（以下简称ｕＢｌｏｃｋ算法）的一次加密运算是将一组１２８ｂｉｔ的明文加密成１２８ｂｉｔ的密文㊂整个加密算法由１６轮迭代运算组成，一轮迭代运算为一轮变换（轮函数），最后一轮变换后的结果Ｘ与轮密钥ＲＫ１６进行异或运算，得到最终的密文㊂ｕＢｌｏｃｋ加密算法的轮变换单元的算法结构如图３所示㊂其中，ｉ代表第ｉ轮的轮变换（ｉ＝０，１，２， ，１５），轮密钥是通过密钥扩展算法生成的，在每轮加密变换中使用对应的第ｉ个轮密钥ＲＫｉ㊂图３㊀ｕＢｌｏｃｋ算法轮变换单元的基本结构ｕＢｌｏｃｋ解密算法的轮变换结构与加密算法的基本呈逆序关系，密文与轮密钥进行异或运算后，将结果分组先进行向量置换，再进行移位变换和异或运算，最后通过Ｓ盒变换得到轮变换的结果㊂解密变换中的Ｓ盒㊁向量置换均为加密变换中Ｓ盒㊁向量置换的逆运算，移位变换为加密算法中的反向位移㊂解密变换中轮密钥ＲＫｉ倒序使用㊂（２）密钥扩展单元ｕＢｌｏｃｋ算法轮变换单元中使用的轮密钥共有１７个，具体分为初始轮密钥ＲＫ０和１６个生成轮密钥ＲＫ１ ＲＫ１６㊂将１２８ｂｉｔ的密钥Ｋ放置在寄存器中，作为初始轮密钥ＲＫ０，然后进行１６轮（ｉ＝１，２， ，１６）的密钥扩展迭代运算，每轮形成ＲＫｉ，最终形成１６个生成轮密钥㊂寄存器按公式（２）进行更新㊂Ｋ０ Ｋ１ Ｋ２ Ｋ３ѳＲＫｉ－１Ｋ０ᶄ Ｋ１ᶄѳＰＫ（Ｋ０ Ｋ１）Ｋ２ᶄѳＫ２ ＳＫ（Ｋ０ᶄ ＲＣｉ）Ｋ３ᶄѳＫ３ Ｔｋ（Ｋ１ᶄ）㊃４１㊃第３２卷基于国产ＦＰＧＡ的可选算法引擎的密码模块实现㊀ＲＫｉѳＫ２ᶄ Ｋ３ᶄ Ｋ１ᶄ Ｋ０ᶄ（２）其中，ＰＫ为１６个半字节的向量置换；ＲＣ为常数，给定值不可变；Ｓｋ为８个４比特Ｓ盒的并置；Ｔｋ为半字节模２的运算㊂（Ｋ０，Ｋ１，Ｋ２，Ｋ３）由输入的轮密钥ＲＫｉ－１平分成四组构成，（Ｋ２ ，Ｋ３ ，Ｋ１ ，Ｋ０ ）为每组密钥经过运算后重新组合后形成的轮密钥ＲＫｉ㊂ｕＢｌｏｃｋ算法轮密钥扩展单元的基本结构如图４所示㊂图４㊀ｕＢｌｏｃｋ算法密钥扩展单元的基本结构２㊀可选算法模块的设计与实现２ １㊀系统结构设计本密码模块系统基于ＰＧＬ２２Ｇ为核心的ＦＰＧＡ开发平台进行设计，系统的总体结构如图５所示㊂系统由四部分组成：ＳＰＩ接口模块㊁数据包解包封包模块㊁ＳＭ４密码算法引擎以及ｕＢｌｏｃｋ密码算法引擎㊂该ＦＰＧＡ密码模块系统对外提供密码服务的接口为ＳＰＩ或ＳＱＩ（四通道ＳＰＩ接口）㊂该密码模块的应用对象主要针对的是ＭＣＵ等微处理器的主机端，本文在ＳＰＩ接口协议的基础上，又设计了类ＡＰＤＵ协议，用于两系统间的应用通信㊂主机端向ＦＰＧＡ系统下达选定算法的加解密命令ＡＰＤＵ，ＦＰＧＡ系统根据命令ＡＰＤＵ进行相应算法引擎的调度，算法引擎并行地进行加解密运算处理，并将运算结果通过ＳＰＩ接口的响应ＡＰＤＵ返回给主机端㊂图５㊀硬件密码模块的系统结构２ ２㊀ＳＭ４密码算法引擎的实现２ ２ １㊀硬件实现的设计（１）实现结构的设计本文设计的ＳＭ４密码算法引擎的硬件实现结构由输入寄存器㊁输出寄存器㊁密钥数据寄存器㊁密钥生成单元㊁轮密钥寄存器㊁ＳＭ４加解密轮函数单元㊁状态机控制器和Ｉ／Ｏ接口组成［１３，１４］㊂基本单元结构如图６所示，其中所述的寄存器都是根据实际需要定义的多比特数据存储单元㊂图６㊀ＳＭ４算法引擎的硬件实现结构图６中，密钥数据寄存器用于存储初始化数据和初始密钥，输入㊁输出寄存器用于存储待处理的输入数据和已处理的输出数据㊂多个明文分组加解密运算使用的密钥相同，所以ＳＭ４算法引擎的３２个轮密钥生成操作只进行一次，之后存储在轮密钥寄存器中，待轮变换单元加解密操作时使用㊂ＳＭ４轮变换对１２８ｂｉｔ的输入数据寄存器中的内容循环迭代运算３２轮后，完成加㊃５１㊃北京电子科技学院学报２０２４年解密运算，１２８ｂｉｔ的结果数据存储在输出寄存器中㊂状态机控制器统一控制ＳＭ４算法引擎各功能单元的工作调度转换㊂（２）状态机设计状态机是ＦＰＧＡ硬件实现的核心逻辑，本文设计的ＳＭ４算法引擎，其状态机控制器的控制逻辑主要分为Ｉｄｌｅ状态㊁ＧｅｔＲｅａｄｙ状态㊁Ｇｅｔ⁃ＫｏｒＤ０状态㊁ＧｅｔＫｏｒＤ１状态和ＧｅｔＲｅｓｕｌｔ状态，状态机转换过程如图７所示㊂图７㊀ＳＭ４算法引擎的状态机在图７中，Ｉｄｌｅ状态为空状态，用来等待外㊀㊀㊀部就绪信号，以控制状态机进入其它工作状态；ＧｅｔＲｅａｄｙ状态主要是控制向密钥数据寄存器写入初始密钥或者向输入寄存器写入明文，控制下一状态转换；ＧｅｔＫｏｒＤ０状态主要进行轮密钥扩展运算，并且将每轮生成的轮密钥存储到轮密钥寄存器中；ＧｅｔＫｏｒＤ１状态主要进行轮函数加解密运算；ＧｅｔＲｅｓｕｌｔ状态用于将最终加解密结果输出，然后重新将状态机置为Ｉｄｌｅ状态㊂２ ２ ２㊀仿真结果针对ＳＭ４密码算法引擎的硬件实现，本文利用紫光同创公司自主研发的ＰＤＳ软件和Ｍｏｄ⁃ｅｌｓｉｍ软件进行了引擎实现的仿真，仿真结果如图８所示㊂从图８中可以看出，一组１２８ｂｉｔ的数据 ｈ０１２３４５６７８９ａｂｃｄｅｆｆｅｄｃｂａ９８７６５４３２１０ 经过加密后得到密文结果 ｈ６８１ｅｄｆ３４ｄ２０６９６５ｅ８６ｂ３ｅ９４ｆ５３６ｅ４２４６ ㊂再把该密文放入算法引擎中进行解密，得到解密明文结果为 ｈ０１２３４５６７８９ａｂｃｄｅｆｆｅｄｃｂａ９８７６５４３２１０ ㊂仿真结果表明，ＳＭ４算法引擎的实现是正确的㊂图８㊀ＳＭ４算法引擎实现的仿真结果２ ３㊀ｕＢｌｏｃｋ密码算法引擎的实现２ ３ １㊀硬件实现的设计（１）实现结构的设计系统设计的ｕＢｌｏｃｋ密码算法引擎的实现结构由密钥数据寄存器㊁输入寄存器㊁输出寄存器㊁密钥生成单元㊁轮密钥寄存器㊁ｕＢｌｏｃｋ轮函数加解密单元㊁状态机控制器和Ｉ／Ｏ接口组成㊂由于本文选用的ｕＢｌｏｃｋ算法与ＳＭ４算法同为１２８ｂｉｔ的分组密码算法，且通过上述算法原理介绍可知，虽然二者在密钥扩展和轮变换单元中的运算逻辑有所不同，但算法引擎所需的功能结构基本相同，因此将其硬件实现结构与接口信号设计成一致的，具体如图９所示㊂为了实现多种算法引擎的可选操作，将各算法引擎的接口部分设计成了通用的接口信号，即在ｕＢｌｏｃｋ算法引擎中使用相同的接口信号㊂其中各信号的功能包括：ｃｌｋ为时钟信号，由系统时钟统一调度；ＫｅｙＩｎ为密钥数据输入信号（１２８ｂｉｔ），与之相匹配的ＫｅｙＲｄｙ为密钥数据准㊃６１㊃第３２卷基于国产ＦＰＧＡ的可选算法引擎的密码模块实现㊀图９㊀ｕＢｌｏｃｋ算法引擎的硬件实现结构备就绪信号，用于指示算法引擎进行轮密钥的生成工作；ＤａｔａＩｎ为待加解密数据输入信号（１２８ｂｉｔ），用于向引擎内部传输待加解密的数据，与之相匹配的ＩｎＲｄｙ为准备就绪信号，指示算法引擎开始进行加解密运算工作；ｏｐＭｏｄｅ为模式选择信号，用于指示算法引擎进行加密或解密运算；ＤａｔａＯｕｔ为加解密完成后的数据输出信号（１２８ｂｉｔ）；ＫＶｌｄ和ＯＶｌｄ是分别用来向上级模块指示密钥扩展运算完成及加解密运算完成的标志信号㊂图１１㊀ｕＢｌｏｃｋ算法引擎的仿真结果（２）状态机设计ｕＢｌｏｃｋ算法引擎的状态机控制逻辑主要包括：Ｉｄｌｅ状态㊁ＫｅｙＥｘｐ状态㊁Ｓ０状态㊁ＫｅｙＥｘｐＮｏｐ状态㊁Ｅｎｃ状态㊁Ｄｅｃ０状态㊁Ｄｅｃ１状态和ＥｎｃＤｅｃ⁃Ｎｏｐ状态，状态转换过程如图１０所示㊂图１０中，状态机控制器控制密钥扩展和加解密运算两个过程的流转㊂ＫｅｙＥｘｐ状态㊁Ｓ０状态和ＫｅｙＥｘｐＮｏｐ状态为密钥扩展要经历的３个流转状态，而Ｅｎｃ状态㊁Ｄｅｃ０状态㊁Ｄｅｃ１状态和ＥｎｃＤｅｃＮｏｐ状态为加解密运算要经历的４个流图１０㊀ｕＢｌｏｃｋ算法引擎的状态机转状态㊂㊀㊀Ｉｄｌｅ状态为空状态，主要用来等待外部就绪信号，进而控制状态机进入运算状态，并向密钥数据寄存器写入初始密钥或者向输入寄存器写入待处理的明密文数据㊂在密钥扩展过程中，ＫｅｙＥｘｐ和Ｓ０两个状态用于进行轮密钥的生成，并将生成的轮密钥存储到轮密钥寄存器中；ＫｅｙＥｘｐＮｏｐ状态为密钥扩展结束状态，其控制状态机返回Ｉｄｌｅ状态，并输出完成信号㊂在加解密运算过程中，Ｅｎｃ状态为加密运算，Ｄｅｃ０和Ｄｅｃ１状态为解密运算，在加密或解密完成后均会将结果输出到输出寄存器中；ＥｎｃＤｅｃＮｏｐ状态为运算结束状态，其控制状态机返回Ｉｄｌｅ状态，并输出完成信号㊂２ ３ ２㊀仿真结果针对ｕＢｌｏｃｋ密码算法引擎的硬件实现，本文利用ＰＤＳ软件和Ｍｏｄｅｌｓｉｍ软件进行了引擎实现的仿真，仿真结果如图１１所示㊂㊃７１㊃北京电子科技学院学报２０２４年㊀㊀从图１１中可以看到，一组１２８ｂｉｔ的数据 ｈ０１２３４５６７８９ａｂｃｄｅｆｆｅｄｃｂａ９８７６５４３２１０ 经加密后得到密文结果为 ｈ３２１２２ｂｅｄｄ０２３ｃ４２９０２３４７０ｅ１１５８ｃ１４７ｄ ，再把该密文放入算法引擎中进行解密，得到明文结果为 ｈ０１２３４５６７８９ａｂｃｄｅｆｆｅｄｃｂａ９８７６５４３２１０ ㊂仿真结果表明ｕＢｌｏｃｋ算法引擎的实现是正确的㊂２ ４㊀数据分组组包调度模块为了提升密码模块的处理速度（吞吐量），本文设计了ＦＰＧＡ系统通过ＳＰＩ接口一次可处理多组（每组１２８ｂｉｔ）的明密文数据［１５］，这里以最多处理１６组（２５６字节）的数据包为例介绍其设计思路㊂系统在密码算法引擎接口的基础上，设计了分组组包调度模块，用于对多组的数据包进行分组㊁引擎调度以及组包等操作㊂该调度模块先将ＳＰＩ接口接收的类ＡＰＤＵ中的数据段拆解成一个个１２８ｂｉｔ明密文数据分组，然后根据类ＡＰＤＵ中的命令码选择调度相应的密码算法引擎，进行数据加解密运算，最后将每组运算结果打包成结果数据包待统一输出㊂２ ４ １㊀硬件实现的设计ＦＰＧＡ中的程序块是并行执行逻辑，而本文设计的分组组包调度模块与密码算法引擎之间是一个协同顺序执行逻辑，所以将该调度模块设计成与密码算法引擎之间进行乒乓式操作的状态机结构，进而保证多组数据被正确的加解密处理㊂这里设计的分组组包调度模块的状态机工作逻辑分为ＩｄｌｅＤａｔａ状态㊁ＩｎｐｕｔＤａｔａ状态和Ｏｕｔ⁃ｐｕｔＤａｔａ状态㊂其中，ＩｄｌｅＤａｔａ状态为空状态，主要根据ＳＰＩ模块发送来的操作码初始启动密码引擎模块进行相应的操作，操作包括密钥扩展㊁加密和解密，并设置相应的状态转换信号；Ｉｎｐｕｔ⁃Ｄａｔａ状态用来进行数据包分组，每次向密码引擎模块传输一组１２８ｂｉｔ数据，密钥数据仅启动密码引擎操作一次，并标记密钥扩展完成信号量；ＯｕｔｐｕｔＤａｔａ状态用来进行数据组包，根据密码引擎模块传回的结果数据进行组包操作，并判断全部数据是否加解密完成，若完成则控制状态机返回ＩｄｌｅＤａｔａ状态，若未完成则进入ＩｎｐｕｔＤａｔａ状态继续解包并传输新一组的数据㊂状态机的具体控制逻辑如图１２所示㊂图１２㊀数据分组组包调度模块的状态机分组组包调度模块的状态机部分的算法伪码如下算法１所示㊂算法１分组组包调度信号说明：ｃｌｋ，系统时钟信号；ＩｎＲｄｙ＿ｏ，整包数据传输完成信号；ＫｅｙＲｄｙ＿ｏ，密钥数据传输完成信号；ＯＶｌｄ，一组数据运算完成信号；ＫＶｌｄ，密钥扩展完成信号㊂ａ）ａｌｗａｙｓ＠（ｐｏｓｅｄｇｅｃｌｋ）ｂｅｇｉｎｂ）㊀㊀ｃａｓｅ（工作状态）ｃ）㊀㊀㊀ＩｄｌｅＤａｔａ：㊀／／准备空状态ｄ）㊀㊀㊀ｂｅｇｉｎｅ）㊀㊀㊀㊀ｉｆ（ＩｎＲｄｙ＿ｏ）㊀㊀㊀工作状态＝ＩｎｐｕｔＤａｔａｆ）㊀㊀㊀㊀ｅｌｓｅｉｆ（ＫｅｙＲｄｙ＿ｏ）工作状态＝ＯｕｔｐｕｔＤａｔａｇ）㊀㊀㊀ｅｎｄｈ）㊀㊀㊀ＩｎｐｕｔＤａｔａ：㊀／／数据包分组状态ｉ）㊀㊀㊀ｂｅｇｉｎｊ）㊀㊀㊀㊀从输入的整包数据中选择一组数据进行加解密运算ｋ）㊀㊀㊀㊀工作状态＝ＯｕｔｐｕｔＤａｔａｌ）㊀㊀㊀ｅｎｄｍ）㊀㊀㊀ＯｕｔｐｕｔＤａｔａ：㊀／／数据组包状态ｎ）㊀㊀㊀ｂｅｇｉｎｏ）㊀㊀㊀㊀ｉｆ（ＯＶｌｄ）ｂｅｇｉｎ㊀ｐ）㊀㊀㊀㊀㊀保存一组加解密完成的数据ｑ）㊀㊀㊀㊀㊀完成一组，计数＋１ｒ）㊀㊀㊀㊀㊀ｉｆ（计数＝＝分组数量）工作状态＝ＩｄｌｅＤａｔａ㊃８１㊃第３２卷基于国产ＦＰＧＡ的可选算法引擎的密码模块实现㊀ｓ）㊀㊀㊀㊀㊀ｅｌｓｅ㊀㊀㊀㊀工作状态＝ＩｎｐｕｔＤａｔａｔ）㊀㊀㊀㊀ｅｎｄｕ）㊀㊀㊀㊀ｅｌｓｅｉｆ（ＫＶｌｄ）㊀工作状态＝ＩｄｌｅＤａｔａｖ）㊀㊀㊀ｅｎｄｗ）㊀㊀ｅｎｄｃａｓｅｘ）ｅｎｄ２ ４ ２㊀Ｄｅｂｕｇ调试在多组数据调度密码引擎进行数据处理的过程中，不同信号之间很容易产生时序不协调㊁不匹配的问题，通常这种情况用Ｍｏｄｅｌｓｉｍ仿真是解决不了问题的㊂这就需要启动ＰＤＳ开发工具中的Ｄｅｂｕｇ功能，在Ｄｅｂｕｇ中通过增加触发条件和信号观察器，来抓取程序运行中的中间结果，进而分析出时序问题，一点点修改程序，使各信号时序衔接匹配正确㊂图１３展示了数据分组组包调度模块调度ＳＭ４算法引擎进行一包数据（每组１６字节，共１６组）加密时，ＰＤＳ的ｄｅｂｕｇ调试器中的结果，对比图８中一组ＳＭ４加解密结果不难看出，分组组包调度模块能正确工作㊂图１３㊀ＰＤＳ的Ｄｅｂｕｇｇｅｒ工具中使用ＳＭ４算法引擎加密一包数据的调试结果㊀㊀在图１３中，当ｃｍｄ＿ＳＭ４为０ｘ０２时，代表加密操作命令，该信号的出现将启动算法引擎进行一包数据的加密，它也是Ｄｅｂｕｇｇｅｒ调试器数据抓取的触发条件㊂ｓｔａｒｔ＿ｆｌａｇ＿ｒｏｕｎｄ为一组（１６字节）数据加解密的启动信号，高有效；ｒｏｕｎｄ＿ｏｖｅｒ为一组数据加解密完成信号，高有效㊂ｃｎｔ为处理的数据组数计数器，ｐＫｅｙ为轮密钥，ｔｅｍｐｏｕｔ为加密结果暂存寄存器㊂３㊀密码算法引擎的性能分析㊀㊀本文设计的硬件密码模块主要依托的是型号为ＰＧＬ２２Ｇ－６ＦＢＧ２５６的国产ＦＰＧＡ㊂本小节首先介绍ＰＧＬ２２Ｇ与国内外其他型号芯片的资源对比㊂其次分析使用的两款密码算法在ＰＧＬ２２Ｇ上的运行效果㊂最后，为了更好的分析国内和国外ＦＰＧＡ的性能差异，分别在实验室所使用的国内㊁国外两款ＦＰＧＡ芯片上进行了以ＳＭ４算法引擎为例的性能比较㊂３ １㊀ＰＧＬ２２Ｇ资源对比ＰＧＬ２２Ｇ［１６］是紫光同创Ｌｏｇｏｓ系列的ＦＰＧＡ器件，面向工业控制市场的需求，ＰＧＬ２２Ｇ提供了丰富的片上时钟和ＲＡＭ资源以及乘法器，支持ＬＶＤＳ差分标准㊁ＭＩＰＩ接口标准以及丰富的用户Ｉ／Ｏ，并集成了１０６６Ｍｂｐｓ硬核ＤＤＲ３和硬核ＡＤＣ等资源㊂正是源于该芯片丰富的资源和高性能的运算速度，非常适合用于构建性能要求较高的密码算法硬件模块，目前已被许多具有技术创新和国产自主可控需求的中国系统设备厂商采用㊂如表１所示，挑选了几款与ＰＧＬ２２Ｇ性能相近的芯片进行比较㊂分别是国产高云公司的ＧＷ２Ａ－１８系列芯片和美国ＸＩＬＩＮＸ公司的Ｓｐａｒ⁃ｔａｎ－６系列芯片㊂由于后续３ ３节中会对ＰＧＬ２２Ｇ和Ａｌｔｅｒａ公司ＣｙｃｌｏｎｅⅣＥ系列的ＥＰ４ＣＥ７５Ｆ２９Ｃ６芯片进行算法实现上的比较，因此表中还添加了该芯片的资源数据㊂从表１中数据可知，ＰＧＬ２２Ｇ的资源情况在完全满足本文设计的硬件密码模块的各项要求的情况下，其价格最优㊂㊃９１㊃北京电子科技学院学报２０２４年表１㊀芯片资源对比芯片厂商紫光同创高云ＸＩＬＩＮＸＡＬＴＥＲＡ型号ＰＧＬ２２ＧＧＷ２Ａ－１８ＸＣ６ＳＬＸ１６ＥＰ４ＣＥ７５工艺４０ｎｍ５５ｎｍ４５ｎｍ６０ｎｍ内核电压１ １Ｖ１ ０Ｖ１ ０Ｖ１ ０ＶＬＵＴ６ ９，１１２ （等效）ＬＵＴ５１７，５３６ １８，２２４ （等效）ＬＵＴ４２１，０４３２０，７３６２１，８６９７５，４０８分布式ＲＡＭ７１Ｋｂｉｔ４１Ｋｂｉｔ１３６Ｋｂｉｔ２，７４５ＫｂｉｔＰＬＬ６４２４ＩＯＢＡＮＫ６８４８单芯片价格７０元１６０元９８元１５８元㊀㊀注：１个ＬＵＴ６等效于２个ＬＵＴ５，１个ＬＵＴ５等效于１ ２个ＬＵＴ６３ ２㊀ＰＧＬ２２Ｇ芯片上的性能分析表２记录了两种算法引擎在ＰＧＬ２２Ｇ上运行时的逻辑资源使用情况㊂两种算法选取的数据分组和密钥长度均为１２８ｂｉｔ，Ｉ／Ｏ端口的设计基本相同，因此两种算法引擎的Ｉ／Ｏ端口使用量皆为３９０㊂而从ＬＵＴ和寄存器使用情况来看，ｕＢｌｏｃｋ的使用量基本是ＳＭ４的２ ５倍㊂表２㊀ＰＧＬ２２Ｇ芯片的逻辑资源使用情况算法ＴｏｔａｌＬＵＴｓＴｏｔａｌＲｅｇｉｓｔｅｒｓＩ／ＯＰｏｒｔｓＳＭ４１４２０１３２６３９０ｕＢｌｏｃｋ３４９１２７３６３９０表３中记录了两种算法工作时的最大时钟频率及相应吞吐量㊂测试方法为事前生成加解密过程中需要的轮密钥，然后使用该组轮密钥一次性将一包数据（２５６字节）进行加解密处理，再根据定义［１７］：吞吐量（率）＝处理的比特数／所用秒数，计算出密码引擎的吞吐量㊂从结果可知，ＳＭ４工作的最大时钟频率约为ｕＢｌｏｃｋ的２倍，但ｕＢｌｏｃｋ吞吐量却比ＳＭ４高出约３０Ｍｂｉｔ／ｓ，这说明ｕＢｌｏｃｋ的工作效率更高㊂分析这一现象的主要原因在于两种算法在加解密过程中的迭代运算轮数不同，ＳＭ４加密一组数据需迭代３２轮，即需要３２个时钟周期才能完成一次加密操作，而ｕＢｌｏｃｋ的迭代运算轮数为１６，ＦＰＧＡ是典型的并行处理逻辑单元，运算轮数对速度起决定作用㊂表３㊀算法性能分析ＦＰＧＡ芯片算法模块最大时钟频率吞吐量ＰＧＬ２２ＧＳＭ４２２６ ５０１ＭＨｚ９０６Ｍｂｉｔ／ｓＰＧＬ２２ＧｕＢｌｏｃｋ１１７ ３９８ＭＨｚ９３９Ｍｂｉｔ／ｓ３ ３㊀两种芯片上的性能对比选取中国紫光同创公司研发的Ｌｏｇｏｓ系列ＰＧＬ２２Ｇ芯片与美国Ａｌｔｅｒａ公司ＣｙｃｌｏｎｅⅣＥ系列的ＥＰ４ＣＥ７５Ｆ２９Ｃ６芯片进行对比分析㊂两款芯片都属于当前市面上中低端ＦＰＧＡ芯片，芯片资源对比已在前文中给出㊂本文在两款芯片上对ＳＭ４算法引擎的实现进行了仿真㊂表４记录了ＳＭ４算法引擎在两款ＦＰＧＡ芯片上的资源使用情况㊂ＰＧＬ２２Ｇ器件中的逻辑单元为ＬＵＴ５㊂ＥＰ４ＣＥ７５Ｆ２９Ｃ６器件使用的逻辑单元为ＬＵＴ４㊂由文献［１６］可知ＰＧＬ２２Ｇ中使用的每个ＬＵＴ５等效为１ ２个ＬＵＴ４㊂通过计算可知，本文设计的ＳＭ４算法引擎在紫光同创芯片上使用了约１７０４个ＬＵＴ４㊂结合表中ＬＵＴ单元㊁寄存器单元和Ｉ／Ｏ端口的使用数量可知，紫光芯片的逻辑单元使用量少于Ａｌｔｅｒａ芯片，其它资源的使用情况大致相同㊂表４㊀ＳＭ４逻辑资源使用情况ＦＰＧＡ芯片ＴｏｔａｌＬＵＴｓＴｏｔａｌＲｅｇｉｓｔｅｒｓＴｏｔａｌｐｉｎｓ紫光ＰＧＬ２２Ｇ１７０４（ＬＵＴ５折算为ＬＵＴ４）１３２６３９０ＡｌｔｅｒａＥＰ４ＣＥ７５Ｆ２９Ｃ６２０００（ＬＵＴ４）１３４４３９０根据文献［１７］吞吐量计算公式可以得到密码算法的吞吐量计算方法，具体如公式（３）所示㊂吞吐量＝分组数据长度ˑ最大时钟频率迭代运算轮数（３）表５记录了ＳＭ４算法在两款芯片上工作的最大时钟频率和相应吞吐量的对比㊂从表中结果可知，在算法的相同工作模式（ＥＣＢ模式）下，紫光芯片工作的最大时钟频率是Ａｌｔｅｒａ芯片的１ ７６倍㊂由于所使用的ＳＭ４算法分组长度为１２８ｂｉｔ，加解密迭代轮数为３２轮，根据公式（３）计算可知，紫光芯片运行ＳＭ４算法的吞吐量同㊃０２㊃第３２卷基于国产ＦＰＧＡ的可选算法引擎的密码模块实现㊀样是Ａｌｔｅｒａ芯片的１ ７６倍㊂这说明本文设计的ＳＭ４算法引擎在紫光芯片上的工作效率略高于Ａｌｔｅｒａ芯片㊂表５㊀ＳＭ４算法性能分析ＦＰＧＡ芯片最大时钟频率吞吐量紫光ＰＧＬ２２Ｇ２２６ ５ＭＨｚ９０６Ｍｂｉｔ／ｓＡｌｔｅｒａＥＰ４ＣＥ７５Ｆ２９Ｃ６１２８ ５ＭＨｚ５１４Ｍｂｉｔ／ｓ综合上述分析情况可知，在逻辑资源使用相近的情况下，紫光ＰＧＬ２２Ｇ芯片的吞吐量更大㊂说明紫光ＰＧＬ２２Ｇ芯片在硬件密码模块实现上比Ａｌｔｅｒａ的ＥＰ４ＣＥ７５Ｆ２９Ｃ６芯片更有优势㊂４㊀结论㊀㊀本文设计了一个可选算法引擎的硬件密码模块ＦＰＧＡ实现方案㊂该密码模块由基于ＳＰＩ（ＳＱＩ）接口的自定义通信协议㊁ＳＭ４和ｕＢｌｏｃｋ密码算法引擎以及基于数据分组的组包调度模块组成，实现了两种密码算法自主选择㊁一次性加解密处理多组数据的高性能硬件密码模块㊂在后续应用中可根据引擎的接口配置，自主扩展其它分组密码算法，具有一定的普适性和可扩展性㊂本论文在密码模块设计实现的基础上，基于国产ＦＰＧＡ平台进一步讨论了实现的两种算法引擎的性能差异，以及不同ＦＰＧＡ芯片的性能差异㊂通过实验分析可知，对于分组长度和密钥长度均为１２８ｂｉｔ的两种分组算法引擎来说，在ＰＧＬ２２Ｇ芯片上ＳＭ４算法引擎的资源使用要略少于ｕＢｌｏｃｋ算法引擎，而ｕＢｌｏｃｋ算法引擎的工作效率略高于ＳＭ４算法㊂此外，ＳＭ４算法引擎实现在国产ＰＧＬ２２Ｇ芯片与国外产ＥＰ４ＣＥ７５Ｆ２９Ｃ６芯片上的测试结果说明，在国产ＰＧＬ２２Ｇ芯片上实现的硬件密码模块实现，其性能高于在国外产的ＥＰ４ＣＥ４０Ｆ２９Ｃ６芯片上的实现㊂这在一定程度上表明，推广ＦＰＧＡ芯片国产化替代的可行性㊂在多组数据的加解密运算效率上，本文方案还有提升空间㊂可以根据算法的工作模式设计多级流水线结构，进而实现多组数据的同时加解密处理，这不仅会提高多组数据之间的运算效率，还可以极大程度上提高片内资源的使用效率㊂如何提高多组数据的运算效率将成为后续进一步研究的方向㊂参考文献［１］㊀王剑锋，张应辉，马华．浅谈密码学与信息安全［Ｊ］．西安文理学院学报（自然科学版），２０２０，２３（１）：３４－３６．［２］㊀郑佳乐，韩跃平，唐道光．ＦＰＧＡ平台ＳＭ３密码杂凑算法的优化设计［Ｊ］．单片机与嵌入式系统应用，２０２３，２３（０５）：３３－３６＋３９．［３］㊀赵保磊，范玉进，张建军等．基于ＦＰＧＡ的多秘钥ＳＭ４加解密模块设计［Ｃ］／／天津市电子学会．第三十六届中国（天津）２０２２ＩＴ㊁网络㊁信息技术㊁电子㊁仪器仪表创新学术会议论文集．２０２２：２４６－２４８．［４］㊀王建新，许弘可，郑玉崝等．基于ＦＰＧＡ的ＴＡＮＧＲＡＭ分组密码算法实现［Ｊ／ＯＬ］．计算机应用研究，１－７［２０２４－０１－０７］．ｈｔ⁃ｔｐｓ：／／ｄｏｉ．ｏｒｇ／１０ １９７３４／ｊ．ｉｓｓｎ．１００１－３６９５ ２０２３ ０４ ０１９０．［５］㊀吴文玲，张蕾，郑雅菲等．分组密码ｕＢｌｏｃｋ［Ｊ］．密码学报，２０１９，６（０６）：６９０－７０３．［６］㊀陈翔宇．基于ＦＰＧＡ的多算法可重构加解密系统的设计［Ｄ］．哈尔滨：哈尔滨工业大学，２０２０．［７］㊀ＪｉｎｔａｏＲ，ＺｈｅＣ．ＣｈｏｓｅｎＰｌａｉｎｔｅｘｔＣｏｍｂｉｎｅｄＡｔｔａｃｋａｇａｉｎｓｔＳＭ４Ａｌｇｏｒｉｔｈｍ［Ｊ］．ＡｐｐｌｉｅｄＳｃｉｅｎｃｅｓ，２０２２，１２（１８）：９３４９．［８］㊀ＡｌｉｆＡＺ，Ａ．Ｈ．Ａ，ＦａｒｉｄａＲ，ｅｔａｌ．Ｓｙｓｔｅｍ⁃ａｔｉｃｌｉｔｅｒａｔｕｒｅｒｅｖｉｅｗ：Ｔｒｅｎｄａｎａｌｙｓｉｓｏｎｔｈｅｄｅｓｉｇｎｏｆｌｉｇｈｔｗｅｉｇｈｔｂｌｏｃｋｃｉｐｈｅｒ［Ｊ］．ＪｏｕｒｎａｌｏｆＫｉｎｇＳａｕｄＵｎｉｖｅｒｓｉｔｙ－ＣｏｍｐｕｔｅｒａｎｄＩｎｆｏｒ⁃㊃１２㊃。

Brocade VDX 6740Switch Configuration Guide for EqualLogic SANs Dell Storage EngineeringJanuary 2015Revisions© 2015 Dell Inc. All rights reserved. Reproduction of this material in any manner whatsoever without the express written permission of Dell Inc. is strictly forbidden. For more information, contact Dell.Dell, the Dell logo, and the Dell badge and EqualLogic are trademarks of Dell Inc. Brocade® is a registered trademark of Brocade Communication Systems, Inc. and/or its affiliates in the U.S. and other countries.Table of contentsRevisions (2)1Introduction (4)1.1Audience (4)1.2Switch details (4)1.3Cabling diagram (5)2Dell recommended switch configuration (6)2.1Hardware configuration (6)2.2Delete startup configuration (6)2.3Configure Port Channel (7)2.4Configure Ports for LAG (7)2.5Configure Global LLDP settings to disable DCB (7)2.6Disable Ethernet Fabric on edge ports (7)2.7Enable Jumbo MTU (8)2.8Enable Switchport (8)2.9Enable link level flow control (802.3x) (8)2.10Configure Spanning tree on edge ports (8)2.11Disable LLDP iSCSI priority on Switch Ports (8)2.12Save configuration (8)2.13Configure additional switch (8)3Performance Tuning (9)4Configuring VCS ID and Rbridge-ID (10)Additional resources (11)1IntroductionThis document illustrates how to configure the Brocade VDX 6740 switch for use with EqualLogic™ PSSeries storage using Dell™ best practices. The recommended configuration uses Brocade link aggregationgroups (LAGs) for inter-switch connections.1.1AudienceThis switch configuration guide describes a verified configuration following Dell best practices for anEqualLogic iSCSI SAN and is intended for storage or network administrators and deployment personnel. 1.2Switch detailsThe table below provides an overview of the switch configuration.1.3Cabling diagramThe cabling diagram shown below represents the Dell recommend method for deploying your servers and EqualLogic arrays.Figure 1Cabling diagram2Dell recommended switch configurationThese steps show how to configure two Brocade VDX 6740 switches with a Brocade proprietary LAGinterconnect. The switches are interconnected using two 40Gb ports configured as the LAG links. 40GPort Upgrade license is required to use the 40G uplinks.2.1Hardware configuration1.Power on both switches2.Connect a serial cable to the management port.ing any terminal utility, open a serial connection session to the switch.4.Open your terminal emulator and configure it to use the serial port (usually COM1 but this mayvary depending on your system). Configure serial communications for 9600,N,8,1 and no flowcontrol.5.Connect the cables between switch 1 and switch 2 as shown in Figure 1. This will be used as yourBrocade LAG link.2.2Delete startup configurationsw0# copy default-config startup-configThis operation will modify your startup configuration. Do you want to continue?[y/n]:yWARN: "reload system" is required to have configuration changes take effect!sw0# reload systemWarning: This operation will cause the chassis to reboot andrequires all existing telnet, secure telnet and SSH sessions to berestarted.Are you sure you want to reboot the chassis [y/n]? y2.3Configure Port Channelsw0#configureEntering configure mode terminalsw0(config)# interface Port-channel 1sw0(config-Port-channel-1)# mtu 9216sw0(config-Port-channel-1)# switchportsw0(config-Port-channel-1)# switchport mode trunksw0(config-Port-channel-1)# qos flowcontrol tx off rx onsw0(config-Port-channel-1)# speed 40000sw0(config-Port-channel-1)# no shutdownsw0(config-Port-channel-1)# exit2.4Configure Ports for LAGsw0(config)# interface FortyGigabitEthernet 1/0/49-50sw0(conf-if-fo-1/0/49-50)# no fabric isl enablesw0(conf-if-fo-1/0/49-50)# no fabric trunk enablesw0(conf-if-fo-1/0/49-50)# channel-group 1 mode active type brocadesw0(conf-if-fo-1/0/49-50)# no ceesw0(conf-if-fo-1/0/49-50)# no lldp disablesw0(conf-if-fo-1/0/49-50)# no shutdownsw0(conf-if-fo-1/0/49-50)# exit2.5Configure Global LLDP settings to disable DCBThe below commands are issued to disable dcbx-tlv and iscsi-app tlv.sw0(config)#protocol lldpsw0(conf-lldp)#no advertise dcbx-iscsi-app-tlvsw0(conf-lldp)#no advertise dcbx-tlvsw0(conf-lldp)#exit2.6Disable Ethernet Fabric on edge portssw0(config)#interface TenGigabitEthernet 1/0/1-48sw0(conf-if-te-1/0/1-48)# no fabric isl enablesw0(conf-if-te-1/0/1-48)# no fabric trunk enablesw0(conf-if-te-1/0/1-48)# exit2.7Enable Jumbo MTUsw0(config)#interface TenGigabitEthernet 1/0/1-48sw0(conf-if-te-1/0/1-48)# mtu 9216sw0(conf-if-te-1/0/1-48)# exit2.8Enable Switchportsw0(config)#interface TenGigabitEthernet 1/0/1-48sw0(conf-if-te-1/0/1-48)# switchportsw0(conf-if-te-1/0/1-48)# switchport mode accesssw0(conf-if-te-1/0/1-48)# exit2.9Enable link level flow control (802.3x)sw0(config)#interface TenGigabitEthernet 1/0/1-48sw0(conf-if-te-1/0/1-48)# qos flowcontrol tx off rx onsw0(conf-if-te-1/0/1-48)# exit2.10Configure Spanning tree on edge portssw0(config)#protocol spanning-tree rstpsw0(config-rstp)#exitsw0(config)#interface TenGigabitEthernet 1/0/1-48sw0(conf-if-te-1/0/1-48)# spanning-tree edgeportsw0(conf-if-te-1/0/1-48)# exit2.11Disable LLDP iSCSI priority on Switch Portssw0(config)#interface TenGigabitEthernet 1/0/1-48sw0(conf-if-te-1/0/1-48)# no lldp disablesw0(conf-if-te-1/0/1-48)# no ceesw0(conf-if-te-1/0/1-48)# no lldp iscsi-prioritysw0(conf-if-te-1/0/1-48)# exit2.12Save configurationswitch#copy running-config startup-config2.13Configure additional switchRepeat the commands from Sections 2.1 through 2.12 to configure the second switch.3Performance TuningIn our testing of VDX 6740 with EqualLogic and using asymmetric flow control i.e. TX off RX on, thedefault buffer allocation of 280KB per port per queue didn’t yield optimum throughput and significant TCP retransmits were observed. But NOS version 5.0.1 has additional knobs to fine tune the buffers and addadditional buffer per port per queue. The following section shows how to configure the receive andtransmit buffers. Our testing indicated the optimal setting as 2MB for receive queue and 2MB for transmitqueue per port.sw0# configureEntering configuration mode terminalsw0(config)# rbridge-id 1sw0(config-rbridge-id-1)# qos tx-queue limit 2000sw0(config-rbridge-id-1)# qos rcv-queue limit 2000sw0(config-rbridge-id-1)# exitsw0(config)#4Configuring VCS ID and Rbridge-IDRefer to Brocade documentation for details on VCS and ethernet fabric. The following commands showsthe steps to configure the rbridge-id and VCS id to 2 on the second switch so that it doesn’t conflict withthe default value of 1 on Switch 1. VDX 6740 is in Fabric Cluster mode by default and configuration change is not required for the mode.sw0# show vcsConfig Mode : Local-OnlyVCS Mode : Fabric ClusterVCS ID : 1Total Number of Nodes : 1Rbridge-Id WWN Management IP VCS StatusFabric Status HostName--------------------------------------------------------------------------------------------------------------2 >10:00:50:EB:1A:2D:F2:64* 77.77.77.77 OnlineOnline sw0sw0# vcs vcsid 2This operation will change the configuration to default and reboot the switch.Do you want to continue? [y/n]:ysw0# vcs rbridge-id 2This operation will change the configuration to default and reboot the switch.Do you want to continue? [y/n]:y11SCG1020 | Brocade VDX 6740 Switch Configuration Guide for EqualLogic SANsAdditional resources is focused on meeting your needs with proven services and support. is an IT Community where you can connect with Dell Customers and Dell employees for the purpose of sharing knowledge, best practices, and information about Dell products and yourinstallations.Referenced or recommended Dell publications:∙Dell EqualLogic Configuration Guide:/techcenter/storage/w/wiki/equallogic-configuration-guide.aspx∙Dell EqualLogic Compatibility Matrix:/techcenter/storage/w/wiki/2661.equallogic-compatibility-matrix.aspxFor EqualLogic best practices white papers, reference architectures, and sizing guidelines for enterpriseapplications and SANs, refer to Storage Infrastructure and Solutions Team Publications at:∙http://dell.to/sM4hJT。

1．BIQ（Built in Quilty ）的五大要素：产品质量标准、制造过程认证、I过程控制与确认、质量反馈/前馈、质量系统管理五大要素组成。

每一要素都有若干小要素组成一共52条要素。

2．建立产品质量标准是为了传达一个满足顾客，工程和调整要求的状态，尺度或价值。

3．制造过程的每一个步骤和检验过程的质量指标都必须要被所有的班组成员理解4．车间现场的产品标准文件支持标准化和制造质量——用于连接标准化工作（标准操作表-SOS和工作要素单-JIS）5．必须要建立一个正式的流程来实施产品质量标准的更改。

这个程序要确保所有影响到的零件都使用一样的标准6．制造程序验证是建立在BIQ座右铭的基础上，BIQ的座右铭是：“不接受缺陷、不制造缺陷、不传递缺陷”“满足顾客的要求”“通过团队合作解决问题”7．通过运用防错预防缺陷的发生，实现“不制造缺陷”，通过运用防错发现缺陷，实现“不接受和传递缺陷8．防错的目标是产品离开工位时实现零缺陷（预防第一，其次是发现）9．QCOS（Quality Control Operation Sheet）质量控制操作表是用来记录、评估工序风险质量控制和确保工序内质量的一种工具，风险评估等级超过9级需要用QCOS进行控制。

10．1）质量反馈是本工序、质量确认站将上工序、质量确认站逃逸的质量缺陷信息、跟踪质量问题解决状态信息传递给上工序或质量确认站。

2）质量前馈是本工序或质量确认站将可能逃逸的质量缺陷信息、采取的技术措施方案、工艺或产品改变信息、需要下工序跟踪质量问题解决状态信息等传递给下工序、质量确认站。

3）在V.S确认站发现的问题质量反馈到工位的使用质量信息反馈看板卡。

4）售后问题、GCA问题及确认站之间质量信息反馈/前馈跟踪等使用《质量信息跟踪卡11．问题报警流程如何进行问题升级的（五次报警）？答案：第一次报警：发现一次质量问题，员工报告班组长；第二次报警：在同一班次再次发现同一个质量问题，班组长报告工段长；第三次报警：在同一班次第三次发现同一个质量问题，工段长报告值班长；第四次报警：在同一班次第四次发现同一个质量问题，值班长报告车间主任；第五次报警：在同一班次第五次发现同一个质量问题，车间主任报告制造总监。

Built In Quality Supply-based BIQS-供应商BIQ策略2016年BIQS1-5级要求从质量表现和现场审核结果两方面对供应商进行评价！2016年BIQS1-5级要求这29个要素对制造工厂来讲都是最基本的要求！审核打分方法❑用红、黄、绿三种颜色代表每一个要素的结果，最终结果计算绿色项的百分比：➢绿色Green: 供应商有成熟的/好的质量系统或过程，并得到有效执行。

➢黄色Yellow: 供应商有相关系统或过程, 但是没有得到有效执行。

➢Red: 供应商质量系统或过程不完善，或者现有的系统或过程风险比较高。

6foundBIQS-1 Nonconforming Material / Material Identification 合格/不合格物料的区分不合格物料：包含供应商来料不良，过程产生的缺陷件，成品不良，物料超过保质期等。

要求：1. 有不合格零件的处理流程，员工理解如何处 理不合格/可疑零件。

2. 合格物料得到正确的处理，存储和识别。

3. 对不合格/可疑品进行清晰的标识/隔离， 以进行评价和处理。

（例如 红/黄/绿颜色）4.有相应的遏制方法来确认有效的断点已经被建立，遏制行动和结果要保留记录。

5.零部件的追溯要求审核关注点： 1. 现场抽样确认员工理解如何处理不合格/可疑零件。

2. 确认现场及物料存储区域合格物料得到正确的处理 ，存储和识别（譬如温湿度要求，保质期要求,静电防护要求等）。

3. 确认现场不合格/可疑品进行了清晰的标识和隔离，对可疑品/报废品有适当的防护以避免损坏，定期回顾并清理不合格品/可疑品。

4. 检查不良遏制记录，确保遏制措施涵盖到各个环节 Problem ContainRootcauseUpdate standard（从来料到客户端）。

对可疑品/不合格品进行隔离区分的例子例子：用红黄绿标签识别零件状态SCRAPDO NOT USE!SUSPECTHOLDOK FOR USECloseBIQS-2 Layered Audit 分层审核要求：1.有分层审核流程以确认标准化作业的实施，识别持续改善机会，并对员工提供现场指导2.领导层负责分层审核的实施，分层审核计划应该包含每一级管理层。

bifromq 原理解析-概述说明以及解释1.引言1.1 概述在这一节中，我们将会对bifromq这一概念进行介绍和解释。

Bifromq 是一个新兴的技术，它在计算机科学领域引起了广泛的关注和研究。

其核心原理是基于数据流处理和事件驱动的方式，能够有效地处理大规模数据，提高系统的性能和可扩展性。

在以往的传统架构中，数据的处理往往是集中在一个节点上进行的，这给系统的性能和扩展性带来了一定的限制。

而bifromq的出现，将数据的处理分散到多个节点上，每个节点负责处理特定的数据流，从而提高了系统的并发性和处理速度。

bifromq采用了生产者-消费者的模式，其中生产者负责产生数据流，消费者负责处理数据流。

数据流以事件的形式进行传递，每个事件都包含了一条特定的消息或数据，消费者根据事件的类型和内容进行相应的处理。

为了实现数据的并发处理，bifromq引入了消息队列的概念。

消息队列作为一个中间件，负责接收来自生产者的事件，并将其按照一定的规则存储起来，然后再由消费者进行处理。

消息队列能够有效地缓解生产者和消费者之间的压力差异，实现了生产者和消费者之间的解耦。

此外，bifromq还具有一些其他的特性，例如异步通信、容错处理和高可用性等。

通过使用异步通信，生产者和消费者可以并行地进行数据处理，提高了系统的处理能力。

容错处理能够保证在节点出现故障或网络异常的情况下，数据的可靠传输和处理。

高可用性则能够保证系统的稳定性和可用性，即使某个节点发生故障，系统仍然能够继续运行。

综上所述，bifromq是一种基于数据流处理和事件驱动的新型技术，通过分布式处理和消息队列的方式，提高了系统的性能和可扩展性。

它在大数据处理、实时计算和分布式系统等领域具有广阔的应用前景，为我们解决数据处理难题提供了新的思路和方法。

在接下来的文章中，我们将会详细介绍并分析bifromq的原理和实现细节。

1.2文章结构文章结构部分的内容：文章结构是指文章整体的组织框架，它是为了使读者更容易理解和掌握文章的逻辑关系而进行的规划和安排。

杭州创业HRP275用户手册物资系统目录 .................................. 错误!未定义书签。

第一章系统概述. (4)1.1绪论 (4)1.2软件功能概述 (4)1.3新增功能 (5)1.4技术特点 (5)1、操作简单，界面友好 (5)2、爱护方便，功能强大 (5)3、有用性强，适应不同规模医院 (5)4、通用性、可扩充性强 (6)1.5应用环境 (6)第二章系统安装 (7)2.1安装前预备 (7)2.2系统安装 (7)第三章系统登录 (7)第四章数据爱护及初始化业务 (8)4.1 数据爱护 (8)4.1.1设置用户及用户权限 (8)4.1.2物品字典爱护 (9)4.1.3生产厂商爱护 (10)4.1.4供货厂商爱护 (11)4.1.5流转方式爱护 (13)4.1.6物资库房设置 (13)4.1.７物资库房权限设置 (15)4.2系统选项 (15)4.3初始化 (16)4.4打印机 (17)第五章业务 (18)5.1入库 (18)5.1.1物品入库 (18)5.1.2入库实物验收 (21)5.1.3入库财务验收 (22)5.1.4付款处理 (25)5.2出库 (26)5.2.1物品出库 (26)5.2.2出库实物验收 (28)5.2.3出库财物验收 (30)5.3调拨 (32)5.3.1 调拨入库 (32)5.3.2调拨出库 (34)5.3.3三级库房申领出库 (35)5.4库房治理 (36)5.4.1盘点处理 (37)5.4.2采购打算 (39)5.4.3科室报损 (41)5.4.4物品调价 (43)5.4.5科室在用转移 (45)5.4.6月结 (46)第六章查询 (47)6.1物品库存查询 (47)6.2领用查询 (48)6.3物资采购查询 (49)6.4出入库查询 (50)6.5高储查询 (51)6.6低储查询 (52)6.7科室在用查询 (53)6.8效期查询 (54)6.9科室转移查询 (55)第七章统计报表 (57)7.1库存台帐 (57)7.2科室领用汇总表 (59)7.3收支汇总表 (61)7.4收支分类汇总表 (62)第八章系统 (65)8.1院内邮件 (65)8.2密码修改 (68)8.3运算器 (69)8.4工具栏 (70)8.5注销（操作员） (70)8.6退出系统 (70)第九章帮助 (72)9.1关心 (72)9.2关于... (72)第一章系统概述1.1绪论本系统按照不同的计价方式对医院的总务仓库及设备仓库的物资进行治理，使医院及时了解仓库物资的收发存和各科室的在用情形。