一種加密策略匹配算法模塊驗證平臺及其實現(xiàn)方法
【專利摘要】本發(fā)明涉及IPsec通信加密以及邏輯驗證領(lǐng)域,特別涉及一種加密策略匹配算法模塊驗證平臺及其實現(xiàn)方法。本發(fā)明的技術(shù)方案,自動隨機(jī)配置加密策略,并向被測算法模塊隨機(jī)發(fā)送各種IP包報文頭,自動收集被測對象匹配出的策略,并與加密策略匹配算法模塊的參考模型進(jìn)行比對。本發(fā)明實現(xiàn)了針對以太網(wǎng)通信加密中的加密策略匹配算法模塊的UVM驗證環(huán)境,并對標(biāo)準(zhǔn)UVM驗證平臺的結(jié)構(gòu)進(jìn)行了改進(jìn)以及簡化,在不影響驗證質(zhì)量的前提下,降低了驗證平臺的復(fù)雜度,提高了驗證平臺的開發(fā)效率。
【專利說明】一種加密策略匹配算法模塊驗證平臺及其實現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及IPsec通信加密以及邏輯驗證領(lǐng)域,特別涉及一種加密策略匹配算法 模塊驗證平臺及其實現(xiàn)方法。
【背景技術(shù)】
[0002] 網(wǎng)際協(xié)議(Internet Protocol),是用于報文交換網(wǎng)絡(luò)的一種面向數(shù)據(jù)的協(xié)議。它 是在TCP/IP協(xié)議中網(wǎng)絡(luò)層的主要協(xié)議,任務(wù)是根據(jù)源主機(jī)和目的主機(jī)的地址傳送數(shù)據(jù)。為 此目的,IP定義了尋址方法和數(shù)據(jù)的封裝結(jié)構(gòu)。第一個架構(gòu)的主要版本,現(xiàn)在稱為IPv4, 是最主要的互聯(lián)網(wǎng)協(xié)議。
[0003] IPsec (Internet Protocol Security-Internet 協(xié)議安全性),是通過對 IP 協(xié) 議(互聯(lián)網(wǎng)協(xié)議)的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族(一些相互關(guān)聯(lián)的 協(xié)議的集合)。
[0004] IPsec由兩大部分組成:(1)建立安全分組流的密鑰交換協(xié)議;(2)保護(hù)分組流的 協(xié)議。前者為網(wǎng)際協(xié)議鑰匙交換(IKE)協(xié)議。后者包括加密分組流的封裝安全載荷協(xié)議 (ESP協(xié)議)或認(rèn)證頭協(xié)議(AH協(xié)議)協(xié)議,用于保證數(shù)據(jù)的機(jī)密性、來源可靠性、連接的完整 性并提供抗重播服務(wù)。
[0005] 在開始有IP報文進(jìn)入加密機(jī)前,加密機(jī)會讀取一個加密策略列表,表中列出對哪 些類型和地址的IP報文進(jìn)行何種加密。每個IP報文在進(jìn)入加密機(jī)后,需要根據(jù)報文的類 型以及地址,在表中進(jìn)行查找,決定進(jìn)行哪種方法的加密。這個查找過程就由加密策略匹配 算法模塊來完成。
[0006] 此模塊的輸入為策略列表以及IP報文的頭信息。策略列表由許多條策略組成,每 條策略又由協(xié)議類型,目的地址,源地址,加密方向,加密策略等多個字段組成。IP報文的頭 信息由協(xié)議類型,目的地址,源地址,端口號組成。策略匹配的邏輯復(fù)雜度很高,所以需要一 套有效的驗證方法保證匹配算法的正確性。
[0007] UVM是芯片驗證業(yè)界最新研發(fā)的一種驗證方法學(xué)。工程師用它可創(chuàng)建堅實、可重 用、具互操作性的驗證組件和驗證平臺。UVM提供基于SystemVerilog語言開發(fā)的一套 庫函數(shù),工程師通過調(diào)用庫可以省去自己從零開始開發(fā)驗證環(huán)境的麻煩。但是對于沒有 SystemVerilog語言基礎(chǔ)以及沒有UVM使用經(jīng)驗的開發(fā)以及驗證人員,UVM驗證平臺顯得過 于龐大復(fù)雜。有些邏輯設(shè)計雖然適合使用UVM進(jìn)行驗證,但是工程師由于畏懼過于復(fù)雜的 新事物,往往放棄嘗試。
【發(fā)明內(nèi)容】
[0008] 為了解決現(xiàn)有技術(shù)的問題,本發(fā)明提供了一種加密策略匹配算法模塊驗證平臺及 其實現(xiàn)方法。
[0009] 本發(fā)明所采用的技術(shù)方案如下: 一種加密策略匹配算法模塊驗證平臺,包括隨機(jī)產(chǎn)生器,存儲器模型,邏輯實現(xiàn)單元和 行為模型,所述的隨機(jī)產(chǎn)生器用于隨機(jī)配置加密策略信息和報文頭信息,所述的存儲器模 型用于存放加密策略信息;所述的邏輯實現(xiàn)單元和行為模型用于接收報文頭信息,讀取存 儲器模型內(nèi)的加密策略信息。
[0010] 一種加密策略匹配算法模塊驗證平臺的實現(xiàn)方法,其方法包括以下步驟: A、 隨機(jī)產(chǎn)生器隨機(jī)配置加密策略信息,并向邏輯實現(xiàn)單元和行為模型隨機(jī)發(fā)送報文頭 信息; B、 所述的加密策略信息放入存儲器模型,由邏輯實現(xiàn)單元和行為模型從中讀??; C、 在邏輯實現(xiàn)單元和行為模型的運算完成后,對兩者的輸出進(jìn)行比較,確定兩者的邏 輯行為是否相同。
[0011] 邏輯實現(xiàn)單元和行為模型的每條輸入的報文頭信息保持相同。
[0012] 隨機(jī)發(fā)生器部分使用SystemVerilog語言實現(xiàn)。
[0013] 本發(fā)明提供的技術(shù)方案帶來的有益效果是: 本發(fā)明的一種加密策略匹配算法模塊驗證平臺及其實現(xiàn)方法,其整個驗證環(huán)境僅隨機(jī) 發(fā)生器部分使用SystemVerilog語言實現(xiàn),且沒有使用UVM環(huán)境標(biāo)準(zhǔn)的時段行為,其他部分 都是基本的Verilog代碼實現(xiàn)。本技術(shù)方案的隨機(jī)生成器,完成了標(biāo)準(zhǔn)UVM環(huán)境中序列器 與驅(qū)動器的功能,行為模型與邏輯實現(xiàn)的比較函數(shù),完成了 UVM環(huán)境中記分牌的功能。這樣 使得整個環(huán)境在能夠達(dá)到UVM環(huán)境驗證效率的同時,保證了整個環(huán)境非常簡潔易懂。
【專利附圖】
【附圖說明】
[0014] 為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所需要使 用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于 本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他 的附圖。
[0015] 圖1為加密策略匹配算法模塊框圖; 圖2為標(biāo)準(zhǔn)UVM驗證平臺的結(jié)構(gòu)框圖; 圖3為本技術(shù)方案的加密策略匹配算法模塊的簡化版UVM環(huán)境框圖。
【具體實施方式】
[0016] 為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明實施方 式作進(jìn)一步地詳細(xì)描述。
[0017] 如圖1,策略匹配模塊的輸入主要有兩部分。左邊為IP報文的頭信息,包括報文的 協(xié)議類型,目的地址,源地址,目的端口,源端口。右邊輸入為策略列表,它由許多條策略組 成,每條策略又由協(xié)議類型,目的地址,源地址,加密方向,加密策略等多個字段組成。策略 列表在上電復(fù)位完成后加載入模塊,每個IP報文的頭信息出現(xiàn)后,模塊開始對其中的策略 逐條比對,直到比對到符合IP報文的頭信息的策略,這時輸出加密類型,供其他模塊使用。
[0018] 這里IP報文的頭信息中的各個字段和匹配策略的各個字段,有各種復(fù)雜的組合, 匹配策略又有許多條組成。使用普通的邏輯驗證方法,很難覆蓋所有的組合情況,也就難 以保證設(shè)計的模塊功能符合預(yù)期。本實施例的UVM驗證方法能夠極大改善此類邏輯設(shè)計 的驗證效率,它的約束隨機(jī)產(chǎn)生功能以及面向?qū)ο蟮木幊谭椒?,使邏輯驗證能夠快速收斂。 但是使用UVM驗證方法需要具備SystemVerilog的使用基礎(chǔ)以及面向?qū)ο蟮木幊趟枷耄?這對習(xí)慣使用Verilog或者VHDL的邏輯工程師,是一個較大挑戰(zhàn)。為了方便團(tuán)隊中缺少 SystemVerilog使用基礎(chǔ)的成員逐漸熟悉這種語言的使用方法,并且盡快的完成對復(fù)雜模 塊的驗證任務(wù),這里開發(fā)了一種簡化版的UVM驗證環(huán)境。
[0019] 標(biāo)準(zhǔn)的UVM驗證環(huán)境的組成包括如圖2的這些部分。圖片左面是UVM驗證平臺中 的被測對象(DUT)。中間部分是環(huán)境主體uvmenv,其中包括多個實體uvmagent。每個uvm agent中包括序列器sequencer,驅(qū)動器driver,檢測器monitor。每個uvm agent通過一 個接口跟被測對象連接。序列器負(fù)責(zé)產(chǎn)生測試序列,驅(qū)動器負(fù)責(zé)把測試序列轉(zhuǎn)變?yōu)樾盘柹?面的數(shù)據(jù)流,并加載到被測對象,檢測器負(fù)責(zé)把信號上面的數(shù)據(jù)流轉(zhuǎn)換為序列。虛擬序列器 (virtual sequencer)會安排各個子序列器按一定順序執(zhí)行。記分牌(scoreboard)會對每 個實體收集到的報文進(jìn)行記錄比較。以上各個UVM部件都是標(biāo)準(zhǔn)UVM驗證環(huán)境中不可缺少 的。每個部件中又包含不同的變量,函數(shù),任務(wù)以及復(fù)雜的繼承關(guān)系。
[0020] 本實施例實現(xiàn)的策略匹配模塊的驗證環(huán)境僅策略信息跟報頭信息使用了 UVM庫 中的序列元,這些序列元由隨機(jī)產(chǎn)生器發(fā)出。
[0021] 策略信息被放入存儲器模型,由邏輯實現(xiàn)單元和行為模型從其中讀取。報頭信息 被直接送到邏輯實現(xiàn)單元和行為模型。邏輯實現(xiàn)和行為模型的每條輸入保持相同。在邏輯 實現(xiàn)和行為模型的運算完成后,對兩者的輸出進(jìn)行比較,確定兩者的邏輯行為是否相同。整 個驗證環(huán)境僅隨機(jī)發(fā)生器部分使用SystemVerilog語言實現(xiàn),且沒有使用UVM環(huán)境標(biāo)準(zhǔn)的 時段行為,其他部分都是基本的Verilog代碼實現(xiàn)。這里的隨機(jī)生成器,完成了標(biāo)準(zhǔn)UVM環(huán) 境中序列器與驅(qū)動器的功能。行為模型與邏輯實現(xiàn)的比較函數(shù),完成了 UVM環(huán)境中記分牌 的功能。這樣使得整個環(huán)境在能夠達(dá)到UVM環(huán)境驗證效率的同時,保證了整個環(huán)境非常簡 潔易懂。
[0022] 以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和 原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1. 一種加密策略匹配算法模塊驗證平臺,包括隨機(jī)產(chǎn)生器,存儲器模型,邏輯實現(xiàn)單 元和行為模型,所述的隨機(jī)產(chǎn)生器用于隨機(jī)配置加密策略信息和報文頭信息,所述的存儲 器模型用于存放加密策略信息;所述的邏輯實現(xiàn)單元和行為模型用于接收報文頭信息,讀 取存儲器模型內(nèi)的加密策略信息。
2. -種加密策略匹配算法模塊驗證平臺的實現(xiàn)方法,其方法包括以下步驟: A、 隨機(jī)產(chǎn)生器隨機(jī)配置加密策略信息,并向邏輯實現(xiàn)單元和行為模型隨機(jī)發(fā)送報文頭 信息; B、 所述的加密策略信息放入存儲器模型,由邏輯實現(xiàn)單元和行為模型從中讀?。? C、 在邏輯實現(xiàn)單元和行為模型的運算完成后,對兩者的輸出進(jìn)行比較,確定兩者的邏 輯行為是否相同。
3. 根據(jù)權(quán)利要求2所述的一種加密策略匹配算法模塊驗證平臺的實現(xiàn)方法,其特征在 于,所述的邏輯實現(xiàn)單元和行為模型的每條輸入的報文頭信息保持相同。
4. 根據(jù)權(quán)利要求2所述的一種加密策略匹配算法模塊驗證平臺的實現(xiàn)方法,其特征在 于,所述的隨機(jī)發(fā)生器部分使用SystemVerilog語言實現(xiàn)。
【文檔編號】H04L29/06GK104065486SQ201410316888
【公開日】2014年9月24日 申請日期:2014年7月4日 優(yōu)先權(quán)日:2014年7月4日
【發(fā)明者】耿介, 李巖, 孫大軍, 李傳忠 申請人:山東超越數(shù)控電子有限公司