專利名稱:一種基于SoC的終端密碼裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種密碼裝置,尤其是涉及一種基于SoC的終端密碼裝置。
背景技術(shù):
近年來,網(wǎng)絡(luò)安全問題日益突出,黑客入侵以及網(wǎng)絡(luò)攻擊現(xiàn)象日益增多,而隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷普及,公眾使用計(jì)算機(jī)的次數(shù)越來越多,特別是公用信息基礎(chǔ)設(shè)施建設(shè)使得政府、企業(yè)日益依賴信息系統(tǒng),一些涉及國(guó)計(jì)民生的業(yè)務(wù)、系統(tǒng)受到了前所未有的安全挑戰(zhàn)。如維基解密網(wǎng)站泄漏了大量政府的機(jī)密信息;花旗集團(tuán)受到黑客攻擊導(dǎo)致36萬多的客戶賬戶信息被竊??;CSDN網(wǎng)站被攻擊導(dǎo)致600余萬用戶資料被泄漏等。這些事故充分說明了網(wǎng)絡(luò)安全對(duì)國(guó)家、政府和企業(yè)的重要性。國(guó)家、政府、企業(yè)的信息系統(tǒng)涉及到國(guó)家的安全、企業(yè)機(jī)密及公民的切身利益,其 數(shù)據(jù)的安全性、準(zhǔn)確性必須得到充分的保障。為了加強(qiáng)信息系統(tǒng)的安全保護(hù),國(guó)家、政府、企業(yè)等大量使用專網(wǎng)、局域網(wǎng)、密碼技術(shù)等相應(yīng)的防護(hù)措施進(jìn)行防護(hù),起到了良好的效果。由于大多數(shù)信息系統(tǒng)均與公網(wǎng)(指與互聯(lián)網(wǎng)有連接的計(jì)算機(jī)網(wǎng)絡(luò))有數(shù)據(jù)交互,特別是大部分現(xiàn)有信息系統(tǒng)采用總部一分支(即主站一終端)的工作模式,而另一方面各種網(wǎng)絡(luò)攻擊手段層出不窮,如在主站和終端之間的鏈路進(jìn)行數(shù)據(jù)竊聽、冒充終端用戶、重放攻擊等。因此必須對(duì)涉及公用互聯(lián)網(wǎng)的系統(tǒng)進(jìn)行安全保護(hù)。終端密碼裝置為終端信息系統(tǒng)提供數(shù)據(jù)加解密、數(shù)據(jù)過濾、身份認(rèn)證等功能,用于采集、轉(zhuǎn)發(fā)終端信息系統(tǒng)信息和保護(hù)終端信息系統(tǒng)。終端密碼裝置一般部署在分支機(jī)構(gòu)信息系統(tǒng)的出口,需求量巨大?,F(xiàn)有的終端密碼裝置體積以及整體功耗較大,增大了終端密碼裝置的成本,經(jīng)濟(jì)性較差。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題,就是提供一種體積以及整體功耗較小,成本降低經(jīng)濟(jì)性較好的基于SoC的終端密碼裝置。解決上述技術(shù)問題,本發(fā)明采用的技術(shù)方案如下一種基于SoC的終端密碼裝置,包括SoC芯片和外圍接口電路,其特征是所述的SoC芯片具有以下特征8)集成有CK520CPU芯片、密碼芯片、usb2. O芯片、IOM/1OOM以太網(wǎng)接口芯片、UART芯片和SPI芯片;9)支持通用GPIO控制接口、支持芯片外部低速I/O數(shù)據(jù)通信或控制;10)設(shè)有SPI接口支持芯片外接SPI的非易失存儲(chǔ)器或與外設(shè)SPI設(shè)備數(shù)據(jù)通信;11)設(shè)有標(biāo)準(zhǔn)的UART接口支持外圍異步通信接口 ;12)設(shè)有高速的USB2. O主機(jī)接口支持全速傳輸和高速傳輸、支持掛起和遠(yuǎn)程喚醒功能;
13)設(shè)有存儲(chǔ)器擴(kuò)展接口支持片外存儲(chǔ)擴(kuò)展;14)設(shè)有10M/100M以太網(wǎng)接口支持IEEE802. 3的CSMA/CD協(xié)議、支持包括用于流控的暫停操作的IEEE802. 3MAC控制層協(xié)議。所述的密碼芯片內(nèi)集成了國(guó)家密碼局推薦的SM1,SM2,SM3算法。所述的密碼芯片內(nèi)還集成了密碼處理指令、算法參數(shù)密鑰動(dòng)態(tài)加載指令、分組密碼算法指令、物理噪聲源。所述的密碼芯片還內(nèi)嵌有動(dòng)態(tài)加載指令、應(yīng)急銷毀指令、單向?qū)懭胫噶?、抗?jiǎn)單能量攻擊指令、抗時(shí)間分析攻擊指令、測(cè)試電路、訪問控制指令、電壓檢測(cè)模塊和頻率檢測(cè)模塊。所述的外圍電路主要包括RS232串口、GPRS撥號(hào)模塊、外部flash、電源模塊和其它輔助電路,其中RS232串口連接終端信息系統(tǒng)的內(nèi)接口,其接受終端信息系統(tǒng)或者工業(yè) 設(shè)備的數(shù)據(jù),經(jīng)過SOC芯片加密以后通過GPRS撥號(hào)模塊發(fā)送至遠(yuǎn)方服務(wù)器;或所述的外圍電路主要包括2個(gè)10M/100M以太網(wǎng)接口、外部flash、電源模塊和其它輔助電路,分別連接終端信息系統(tǒng)的內(nèi)接口和外接口,通過網(wǎng)口之一接受終端信息系統(tǒng)或者工業(yè)設(shè)備的數(shù)據(jù),經(jīng)過SOC芯片加密以后通過另一個(gè)網(wǎng)口將數(shù)據(jù)發(fā)送至遠(yuǎn)方服務(wù)器。本發(fā)明的終端密碼裝置和主站密碼裝置配合使用,實(shí)現(xiàn)信息系統(tǒng)的安全防護(hù)。終端密碼裝置能對(duì)終端信息系統(tǒng)進(jìn)行監(jiān)控并對(duì)進(jìn)出口的數(shù)據(jù)實(shí)現(xiàn)加解密。在一般情況下,終端密碼裝置通過串口鏈路或以太網(wǎng)鏈路和內(nèi)部信息系統(tǒng)的設(shè)備相連,實(shí)現(xiàn)對(duì)終端信息系統(tǒng)的監(jiān)視和控制;GPRS撥號(hào)模塊或者外網(wǎng)口連接專網(wǎng)或者公網(wǎng);GPRS模塊將數(shù)據(jù)通過無線方式發(fā)送至主站密碼裝置,或者外網(wǎng)口通過以太網(wǎng)鏈路將數(shù)據(jù)發(fā)送至主站密碼裝置。有益效果本發(fā)明的基于SoC的終端密碼裝置,將終端密碼裝置的絕大部分功能集成在一款SoC芯片中,降低了終端密碼裝置的整體功耗,減小了設(shè)備的體積、節(jié)約了終端密碼裝置的成本,提高了終端密碼裝置設(shè)備的安全性,為涉公網(wǎng)信息系統(tǒng)的終端信息系統(tǒng)提供安全保障。
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說明。圖I為無線型終端安全防護(hù)裝置;圖2為有線型終端安全防護(hù)裝置。
具體實(shí)施例方式本發(fā)明提供了一種基于SoC的終端密碼裝置,包括SoC芯片,SoC芯片上集成了CK520CPU芯片、密碼芯片、usb2. O芯片,IOM/1OOM以太網(wǎng)接口芯片、UART芯片和SPI芯片;SoC芯片支持通用GPIO控制接口,支持芯片外部低速I/O數(shù)據(jù)通信或控制;設(shè)有SPI接口,支持芯片外接SPI的非易失存儲(chǔ)器或與外設(shè)SPI設(shè)備數(shù)據(jù)通信;設(shè)有標(biāo)準(zhǔn)的UART接口,支持外圍異步通信接口 ;設(shè)有高速的USB2. O主機(jī)接口,支持全速傳輸和高速傳輸、支持掛起,遠(yuǎn)程喚醒功能;設(shè)有存儲(chǔ)器擴(kuò)展接口,支持片外存儲(chǔ)擴(kuò)展;設(shè)有10M/100M以太網(wǎng)接口,支持IEEE802. 3的CSMA/⑶協(xié)議,支持包括用于流控的暫停操作的IEEE802. 3MAC控制層協(xié)議。SoC芯片內(nèi)部的主要功能模塊為密碼芯片,在密碼芯片內(nèi),除集成了國(guó)家密碼局推薦的SMI, SM2, SM3算法外,還集成了密碼處理指令、算法參數(shù)密鑰動(dòng)態(tài)加載指令、分組密碼算法指令和物理噪聲源。如此,SoC芯片可實(shí)現(xiàn)如下功能 I)支持SMl分組密碼算法;2)支持SM2公鑰密碼算法;3 )支持SM3雜湊密碼算法; 4)具有密碼處理指令,支持密碼算法編程升級(jí);5)支持算法參數(shù)、密鑰動(dòng)態(tài)加載;6)分組密碼算法支持ECB、CBC等工作模式;7)分組密碼算法支持非分組長(zhǎng)度整數(shù)倍的數(shù)據(jù)處理;8)片內(nèi)具有物理噪聲源,為各種密碼運(yùn)算提供隨機(jī)數(shù);9)具有敏感信息(參數(shù)、密鑰等)安全存儲(chǔ)與保護(hù)功能;10)具備自身安全防護(hù)能力。在密碼芯片內(nèi),還內(nèi)嵌有軟件動(dòng)態(tài)加載指令、應(yīng)急銷毀指令、單向?qū)懭胫噶?、抗?jiǎn)單能量攻擊指令、抗時(shí)間分析攻擊指令、測(cè)試電路、訪問控制指令、電壓檢測(cè)模塊和頻率檢測(cè)模塊。這樣,使得SoC芯片可滿足如下要求I)動(dòng)態(tài)加載密碼關(guān)鍵參數(shù)、密鑰采用動(dòng)態(tài)方式加載,以防止攻擊者通過靜態(tài)攻擊手段獲取密碼關(guān)鍵參數(shù)和密鑰。2)應(yīng)急銷毀密碼芯片提供應(yīng)急銷毀機(jī)制,在緊急情況下或必要時(shí),可以清除芯片內(nèi)的密碼算法模式數(shù)據(jù)、密碼關(guān)鍵參數(shù)和密鑰等秘密信息。3)單向?qū)懭氪鎯?chǔ)在芯片內(nèi)部的密碼參數(shù)、密鑰、敏感信息采取單向方式寫入,禁止從輸出端口直接讀出,以防止攻擊者通過非法讀操作獲取芯片內(nèi)部的秘密信息。4)抗簡(jiǎn)單能量攻擊密碼芯片采取抗簡(jiǎn)單能量攻擊措施,以防止攻擊者通過分析密碼芯片工作過程中泄露的功耗變化信息,獲取算法密鑰等秘密信息。5)抗時(shí)間分析攻擊密碼芯片采取抗時(shí)間分析攻擊措施,以防止攻擊者通過分析密碼芯片工作過程中泄露的時(shí)間變化信息,獲取算法密鑰等秘密信息。6)測(cè)試電路安全內(nèi)嵌測(cè)試電路的密碼芯片,在正常工作時(shí)測(cè)試電路不允許工作,以防止攻擊者通過芯片本身的測(cè)試電路獲取密碼芯片內(nèi)部的秘密信息。7)訪問控制密碼芯片提供基于用戶身份的訪問控制機(jī)制,控制用戶對(duì)存儲(chǔ)器中的密碼、密鑰等信息的訪問操作。用戶僅能訪問指定的存儲(chǔ)器區(qū)和秘密信息,僅能執(zhí)行符合其身份要求的有限操作。8)電壓檢測(cè)與保護(hù)密碼芯片內(nèi)嵌電壓檢測(cè)模塊,連續(xù)檢測(cè)內(nèi)核電源電壓,當(dāng)超出芯片設(shè)計(jì)的工作電壓上下限時(shí),發(fā)出電壓異常信號(hào)。當(dāng)電壓檢測(cè)模塊發(fā)出電壓異常信號(hào)時(shí),密碼芯片應(yīng)根據(jù)安全策略采取如下措施之一給出告警信號(hào),密碼芯片立即停止數(shù)據(jù)的輸出,停止正在執(zhí)行的密碼服務(wù),清除所有秘密信息。9)頻率檢測(cè)與保護(hù)密碼芯片內(nèi)嵌頻率檢測(cè)模塊,連續(xù)檢測(cè)時(shí)鐘頻率,當(dāng)超出芯片設(shè)計(jì)的正常工作頻率上下限時(shí),發(fā)出頻率異常信號(hào)。當(dāng)頻率檢測(cè)模塊發(fā)出頻率異常信號(hào)時(shí),密碼芯片應(yīng)根據(jù)安全策略采取如下措施之一給出告警信號(hào),密碼芯片立即停止數(shù)據(jù)的輸出,停止正在執(zhí)行的密碼服務(wù),清除所有秘密信息?!び捎诮K端信息系統(tǒng)的應(yīng)用形式多樣,基于SoC的終端密碼裝置分為無線型終端密碼裝置和有線型終端密碼裝置。參見圖1,無線型終端密碼裝置的SoC芯片外圍設(shè)有外圍電路,主要包括RS232串口、GPRS撥號(hào)模塊、外部flash、電源模塊和其它輔助電路。其中RS232串口連接終端信息系統(tǒng)的內(nèi)接口,其接受終端信息系統(tǒng)或者工業(yè)設(shè)備的數(shù)據(jù),經(jīng)過SOC芯片加密以后通過GPRS撥號(hào)模塊發(fā)送至遠(yuǎn)方服務(wù)器;參見圖2,有線型終端密碼裝置的SoC芯片外圍設(shè)有外圍電路,2個(gè)10M/100M以太網(wǎng)接口、外部flash、電源模塊和其它輔助電路,分別連接終端信息系統(tǒng)的內(nèi)接口和外接口,有線型通過網(wǎng)口之一接受終端信息系統(tǒng)或者工業(yè)設(shè)備的數(shù)據(jù),經(jīng)過SOC芯片加密以后通過另一個(gè)網(wǎng)口將數(shù)據(jù)發(fā)送至遠(yuǎn)方服務(wù)器。
權(quán)利要求
1.一種基于SoC的終端密碼裝置,包括SoC芯片和外圍接口電路,其特征是所述的SoC芯片具有以下特征 1)集成有CK520CPU芯片、密碼芯片、usb2.O芯片、IOM/1OOM以太網(wǎng)接口芯片、UART芯片和SPI芯片; 2)支持通用GPIO控制接口、支持芯片外部低速I/O數(shù)據(jù)通信或控制; 3)設(shè)有SPI接口支持芯片外接SPI的非易失存儲(chǔ)器或與外設(shè)SPI設(shè)備數(shù)據(jù)通信; 4)設(shè)有標(biāo)準(zhǔn)的UART接口支持外圍異步通信接口; 5)設(shè)有高速的USB2.O主機(jī)接口支持全速傳輸和高速傳輸、支持掛起和遠(yuǎn)程喚醒功能; 6)設(shè)有存儲(chǔ)器擴(kuò)展接口支持片外存儲(chǔ)擴(kuò)展; 7)設(shè)有10M/100M以太網(wǎng)接口支持IEEE802.3的CSMA/⑶協(xié)議、支持包括用于流控的暫停操作的IEEE802. 3MAC控制層協(xié)議。
2.根據(jù)權(quán)利要求I所述的基于SoC的終端密碼裝置,其特征是所述的密碼芯片內(nèi)集成有以下算法、指令和軟件 2-1國(guó)家密碼局推薦的SMl,SM2,SM3算法; 2-2密碼處理指令、算法參數(shù)密鑰動(dòng)態(tài)加載指令、分組密碼算法指令和物理噪聲源; 2-3動(dòng)態(tài)加載指令、應(yīng)急銷毀指令、單向?qū)懭胫噶?、抗?jiǎn)單能量攻擊指令、抗時(shí)間分析攻擊指令、測(cè)試電路、訪問控制指令、電壓檢測(cè)模塊和頻率檢測(cè)模塊。
3.根據(jù)權(quán)利要求I或2所述的基于SoC的終端密碼裝置,其特征是所述的外圍電路為 RS232串口、GPRS撥號(hào)模塊、外部flash、電源模塊和其它輔助電路,其中RS232串口連接終端信息系統(tǒng)的內(nèi)接口,其接受終端信息系統(tǒng)或者工業(yè)設(shè)備的數(shù)據(jù),經(jīng)過SOC芯片加密以后通過GPRS撥號(hào)模塊發(fā)送至遠(yuǎn)方服務(wù)器; 或· 2個(gè)10Μ/100Μ以太網(wǎng)接口、外部flash、電源模塊和其它輔助電路,分別連接終端信息系統(tǒng)的內(nèi)接口和外接口,通過網(wǎng)口之一接受終端信息系統(tǒng)或者工業(yè)設(shè)備的數(shù)據(jù),經(jīng)過SOC芯片加密以后通過另一個(gè)網(wǎng)口將數(shù)據(jù)發(fā)送至遠(yuǎn)方服務(wù)器。
全文摘要
一種基于SoC的終端密碼裝置,包括SoC芯片,其集成有CK520CPU芯片、密碼芯片、usb2.0芯片、10M/100M以太網(wǎng)接口芯片、UART芯片、SPI芯片;其支持通用GPIO控制接口和芯片外部低速I/O數(shù)據(jù)通信或控制;設(shè)有SPI接口支持外接SPI的非易失存儲(chǔ)器或與外設(shè)SPI設(shè)備數(shù)據(jù)通信;設(shè)有UART接口支持異步通信接口;設(shè)有USB2.0主機(jī)接口支持全速、高速傳輸、掛起遠(yuǎn)程喚醒功能;設(shè)有存儲(chǔ)器擴(kuò)展接口支持片外存儲(chǔ)擴(kuò)展;設(shè)有10M/100M以太網(wǎng)接口,支持IEEE802.3的CSMA/CD協(xié)議和包括用于流控的暫停操作的IEEE802.3MAC控制層協(xié)議。本發(fā)明體積功耗小,成本低經(jīng)濟(jì)性好。
文檔編號(hào)H04L29/06GK102882856SQ201210332598
公開日2013年1月16日 申請(qǐng)日期2012年9月10日 優(yōu)先權(quán)日2012年9月10日
發(fā)明者梁智強(qiáng), 胡朝輝, 江澤鑫, 梁志宏, 周強(qiáng)峰, 駱書劍, 石煒君, 梁毅成, 黃岳峰 申請(qǐng)人:廣東電網(wǎng)公司電力科學(xué)研究院