專利名稱:一種嵌入式信息安全平臺的制作方法
技術領域:
本發明涉及一種主要用于網絡中的信息安全傳輸的安全領域硬件設備,屬于通信技術領域。
背景技術:
目前國內的網絡安全硬件設備從功能、性能到工藝都遠遠落后于市場需求,國外設備的性能指標雖然較高,但由于對安全限制等原因,即使從國外進口的安全產品本身也存在技術上不少不足之處,因此開發我國自主知識產權的安全產品已迫在眉睫。目前國內的網絡安全硬件產品品種單一,通用性不高,并且價格昂貴。現在的硬件加密設備基本上是工控機+網卡+PCI加密卡的結構方式,再經過不同的包裝形式后加以應用,例如各種加密機、加密服務器、VPN加密網關等。這種設備由于CPU性能高,可以達到較高的加解密效率,但同時這種設備的硬件成本也較高,不利于中低端用戶的推廣,而實際上信息安全產品的廣泛推廣在很大程度上取決于中低端用戶的普及使用。另外,這種以PCI加密卡為安全模塊的形式,由于其對主機環境有非常大的限制要求,比如必須具有開放的PCI插槽、對于各種不同的操作系統需要制作不同的驅動函數、可擴展性不高等,因此在很大程度上限制了PCI卡加密模塊的應用。本發明是專用于信息安全處理的嵌入式平臺,采用專用的數據通訊、數據加解密處理芯片,可以達到很高的信息安全處理效率,適用于中低端用戶的需求,同時也能滿足高端用戶的性能要求。現有硬件加密設備和我們的嵌入式信息安全平臺對比圖如說明書附圖中的圖1所示。
發明內容
本發明目的是提供一種具有非常高的安全性、可靠性、可操作性以及通用性,并且成本也較低廉的一種嵌入式信息安全平臺。
本發明的技術方案是一種嵌入式信息安全平臺,它由CPU微控制器、加解密硬件芯片、輸入輸出接口、電源轉換電路以及安全保護電路連接而成,其特點是,所述的CPU微控制器為一個網絡處理芯片,片內為ARM940T核,所述的加解密硬件芯片由作為密碼算法協處理器的IPSec算法芯片、對稱算法芯片組成;所述的輸入輸出接口包括以太網接口、USB接口,串口接口。
由于根據上述方案的硬件安全平臺是一個完全開放式的硬件安全平臺,所有組件封裝在一個機殼內,使得其對應用環境的要求降低,從而使其整體成本降低;由于本硬件安全平臺的加解密硬件芯片由IPSec算法芯片、對稱算法芯片組成,置有安全保護電路,具備了安全完備的密鑰管理功能、由USB KEY進行初始化配置及身份認證功能以及主密鑰掉電保護和外殼物理防護等措施使其具有很強的安全性;由于本硬件安全平臺采用安全的嵌入式操作系統及協議,運行于ARM硬件平臺,抗攻擊能力強,可靠性高;由于本硬件安全平臺提供多種加密算法、支持各種應用服務,通用性極高,既可封裝成為獨立的硬件安全設備,也可以廣泛應用于加解密服務器、VPN加密網關、SSL安全網關、安全路由器、硬件防火墻等安全設備中,所以其適用性非常廣泛。
圖1為現有硬件加密設備和的嵌入式信息安全平臺對比2為本發明硬件結構框圖;圖3為本發明原理框圖;圖4為CPU與FLASH的接口電路圖;圖5為CPU與SDRAM的接口電路圖;圖6為CPU與以太網控制器芯片接口電路圖;圖7為CPU與串口控制器芯片接口電路;圖8為CPU與專用對稱算法芯片接口電路圖;圖9為CPU與IPSec專用算法芯片接口電路圖;圖10為電池保護及安全保護電路圖;圖11為應用環境結構圖。
具體實施例方式
本發明實施例結合附圖作詳細說明。
由圖2所示,一種嵌入式信息安全平臺,它由CPU微控制器、加解密硬件芯片、輸入輸出接口、電源轉換電路以及安全保護電路連接而成,其特點是,CPU微控制器為一個網絡處理芯片,本實施例中選用S3C2510A,片內處理器為ARM940T核,一個嵌入式實時操作系統置于該核內;加解密硬件芯片由作為密碼算法協處理器的IPSec算法芯片、對稱算法芯片組成,IPSec算法芯片即為如圖2上表示的為高集成加解密協處理器SafeXcel1741,對稱算法芯片選用國密辦算法芯片SSP02A;輸入輸出接口包括PCI接口、USB接口,串口接口、SDRAM/SRAM/FLASH存儲器接口及以太網MAC層接口,CPU微控制器通過以太網MAC層接口和包括以太網控制器芯片Am79C874、RJ45接口的以太網模塊相連接。
由圖3所示,本發明的原理是從以太網接口接收的MAC幀,通過DMA方式傳到CPU接收緩沖區,CPU對MAC幀解析成IP數據包,然后根據IP地址查找對應工作表,調用Safe1741進行IPSec處理,處理結果返回一個新的IP包,再對新IP包解析成MAC幀,通過另一個以太網接口發送出去。RS232接口用于控制臺管理及配置數據傳送。USB接口用于訪問USB Key,讀取用戶私鑰及證書。
由圖4所示,CPU和FLASH的接口電路可配置1~2片2M~8M字節的FLASH電路,CPU為了實現對FLASH的讀寫,需向FLASH提供寫信號nMWE、輸出使能信號nMOE、數據總線D[15:0]、地址總線A[21:0]、片選信號nCS0和復位信號,FLASH向CPU回送的RY/BY信號告訴CPU此刻的FLASH處于忙/閑狀態。
CPU與SDRAM的接口電路,由圖5所示,S3C2510A向SDRAM提供32位的數據總線D[31:0]、11位的地址總線A[10:0]、段地址信號A13,A14、數據輸入/輸出屏蔽信號SDQM[3:0]、讀寫時鐘信號SDCLK、時鐘使能信號SDCKE、行地址和列地址選通信號WRITE、nMOE以及寫選通信號nMWE,用片選信號nSDCS0和nSDCS1可擴展2片SDRAM。
CPU與AM79C874以太網控制器接口電路,如圖6所示,AM79C874執行以太網數據處理物理層功能,MAC子層功能在S3C2510A內執行,因此AM79C874和S3C2510A的接口是MII接口,包括MII發送TX_EN,TX_ER,TX_D[3:0],TX_CLK信號和MII接收RX_ER,RX_DV,RXD[3:0],RX_CLK,CRS,COL信號。
CPU與MAX3222串口控制器接口電路,如圖7所示,S3C2510A帶有配置串口,可直接將串口收發引腳CURXD、CUTXD與串口控制器相連。
CPU與SSP02A國密辦算法芯片接口電路,如圖8所示,SSP02A是32位總線寬度,還有片選信號CS#,讀信號RD#,寫信號WR#,芯片準備好信號READY和芯片異步復位信號RESET#。CPU與IPSec專用算法芯片SafeXcell-1741接口電路,如圖9所示,S3C2510A和SafeXcell-1741都有PCI接口,它們之間按標準PCI接口連接,S3C2510A是主接口,1741是從接口。
電池保護及安全防護電路,如圖10所示,安全保護電路是由保護電池、3.3V供電電源經兩極管組成的或門電路、觸動開關與存放主密鑰的低功耗RAM連接,再由CPU分別和存放主密鑰的低功耗RAM、存放加密的敏感數據的FLASH存儲器相連接而成。根據上述的保護電路,信息安全平臺有兩個安全防護措施1是主密鑰掉電保護,2是主密鑰防撬自毀,即機框非法打開時主密鑰自動銷毀。信息安全平臺正常工作中使用的敏感信息,如配置信息、控制臺口令、IKE交換密鑰等,經主密鑰加密后存放在FLASH中,而主密鑰是存放在一個低功耗RAM中,信息安全平臺的安全防護設計就是針對主密鑰的安全防護設計的,在外部電源關閉情況下,由內部保護電池供電,可以保證低功耗RAM連續工作5年以上。當非法打開機框,觸動開關斷開,DS2423的電源停止供電,主密鑰信息丟失,無法通過解密獲得FLASH中的敏感數據,即保護了FLASH中的敏感信息。
本信息安全平臺通用性極高,應用環境如圖11所示,它既可作為獨立的硬件安全設備,也可以廣泛應用于加密服務器、VPN加密網關、SSL安全網關、安全路由器、硬件防火墻等設備中,通過信息安全平臺,實現計算機、WAN、LAN之間的安全通信,為網絡通訊、電子商務、電子政務、安全支付、金融證券等信息領域的良好發展打造了一個堅實的安全核心。
權利要求
1.一種嵌入式信息安全平臺,它由CPU微控制器、加解密硬件芯片、輸入輸出接口、電源轉換電路以及安全保護電路連接而成,其特征在于,所述的CPU微控制器為一個網絡處理芯片,片內為ARM940T核,所述的加解密硬件芯片由IPSec算法芯片、專用對稱算法芯片組成;所述的輸入輸出接口包括以太網接口、USB主控制器接口,串口接口。
2.根據權利要求1所述的一種嵌入式信息安全平臺,其特征在于,所述的CPU微控制器和FLASH的接口電路配置1~2片2M~8M字節的FLASH電路,CPU實現對FLASH的讀寫,需向FLASH提供寫信號nMWE、輸出使能信號nMOE、數據總線D[15:0]、地址總線A[21:0]、片選信號nCS0和復位信號,FLASH向CPU回送的RY/BY信號告訴CPU此刻的FLASH處于忙/閑狀態。
3.根據權利要求1所述的一種嵌入式信息安全平臺,其特征在于,所述的CPU與SDRAM的接口電路,CPU向SDRAM提供32位的數據總線D[31:0]、11位的地址總線A[10:0]、段地址信號A13,A14、數據輸入/輸出屏蔽信號SDQM[3:0]、讀寫時鐘信號SDCLK、時鐘使能信號SDCKE、行地址和列地址選通信號WRITE、nMOE以及寫選通信號nMWE,用片選信號nSDCS0和nSDCS1可擴展2片SDRAM。
4.根據權利要求1所述的一種嵌入式信息安全平臺,其特征在于,所述的以太網層接口,由以太網控制器芯片執行以太網數據處理物理層功能,MAC子層功能在CPU內執行,以太網控制器芯片和CPU的接口是MII接口,包括MII發送TX_EN,TX_ER,TX_D[3:0],TX_CLK信號和MII接收RX_ER,RX_DV,RXD[3:0],RX_CLK,CRS,COL信號。
5.根據權利要求1所述的一種嵌入式信息安全平臺,其特征在于,所述的CPU帶有配置串口,直接將串口收發引腳CURXD、CUTXD與串口控制器相連接。
6.根據權利要求1所述的一種嵌入式信息安全平臺,其特征在于,所述的對稱算法芯片選用專用對稱算法芯片,它有32位總線寬度,通過片選信號CS#,讀信號RD#,寫信號WR#,芯片準備好信號READY和芯片異步復位信號RESET#與CPU連接。
7.根據權利要求1所述的一種嵌入式信息安全平臺,其特征在于,所述的IPSec算法芯片選用專用IPSec算法芯片,CPU微控制器和專用IPSec算法芯片都置有PCI接口,它們之間按標準的PCI接口連接,CPU控制器是PCI主設備,專用IPSec算法芯片是PCI從設備。
8.根據權利要求1所述的一種嵌入式信息安全平臺,其特征在于,所述的安全保護電路是由保護電池、3.3V供電電源經二極管組成的電路、觸動開關與存放主密鑰的低功耗RAM連接,再由CPU分別和存放主密鑰的低功耗RAM、存放加密的敏感數據的FLASH存儲器相連接而成。
全文摘要
本發明涉及一種嵌入式信息安全平臺,特點是,CPU微控制器為一個網絡處理芯片,片內處理器為ARM940T核,嵌入式實時操作系統置于該核內;加解密硬件芯片由IPSec算法芯片、對稱算法芯片組成;輸入輸出接口包括2個10/100M自適應以太網接口、USB主控接口,串口接口。本發明是一個開放式的硬件安全平臺,組件封裝在一個機殼內,對應用環境的要求低,抗攻擊能力強,可靠性高;由于本發明提供多種加密算法、支持各種應用服務,通用性極高,也可以廣泛應用于加密服務器、VPN加密網關、SSL安全網關、安全路由器、硬件防火墻等安全設備中。
文檔編號H04L12/24GK1622517SQ20031010890
公開日2005年6月1日 申請日期2003年11月27日 優先權日2003年11月27日
發明者周玉潔, 陸海濤, 鄧忠紅 申請人:上海安創信息科技有限公司