一种实时数据安全防护装置及其方法
【专利摘要】本发明提供一种基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护装置,包括MCU单元,其用于从外部接收命令及密钥,并根据所述命令配置可编程逻辑阵列IP核单元执行相应的序列密码算法,并将所述密钥发送给所述可编程逻辑阵列IP核单元;可编程逻辑阵列IP核单元,其用于根据所述序列密码算法和密钥对明文数据进行加密。本发明中的整个系统只用单片PROM就可以解决可编程逻辑阵列IP核的配置和MCU的boot程序,可以通过MCU对可编程逻辑阵列IP核进行配置,可以通过MCU的控制改变加密算法及密钥,系统装置简单实用可靠,解决了数字信号处理系统与终端系统之间通讯过程中数据安全隐患问题。
【专利说明】一种实时数据安全防护装置及其方法
【技术领域】
[0001]本发明涉及实时数字信号处理系统中数据安全防护领域,更具体地,尤其涉及一种基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护装置及方法。
【背景技术】
[0002]实时数字信号处理系统可用于雷达领域,软件无线电领域和通信领域等,这些领域遍布在军用范围,民用范围,国家机要安全范围。对于当前实时数字信号处理系统的研究业界主要精力放眼于数据的高速性,实时处理性,而在数据安全防护性方面研究重点偏于加密算法的研究和实现,而对于实现序列密码算法的实时数据安全防护装置的研究并未受到过多的关注。例如在涉及军事领域的合成孔径雷达(SyntheticAperture Radar简称SAR),通过对雷达回波信号的数字信号处理,形成高分辨率的雷达图像,SAR雷达完成接收图像信息处理并与地面站之间通讯过程中,如果不采取任何安全防护手段,会存在数据被劫取的危险,导致的结果可能是重要军事信息被敌方掌握,重要相关数据的泄露,这将给人民安全带来隐患。
[0003]目前现有的数据安全防护装置结构为单片ASIC作为数据加密装置,决定了只能固定使用某一种序列加密算法,时间长久被破译的概率会大大增加,这在关键的军事数据中是绝不允许发生的。目前还没有相关装置采用通过实时数字信号处理系统中上位机的控制实时从几种序列密码算法中选出某一种序列加密算法对装置进行配置的方法。
[0004]综上所述,用于军事范围和国家机要安全范围中的通信领域、雷达领域和软件无线电领域中实时信号处理系统最需要关注的是数据的安全性,因此,实时数字信号处理并与终端之间通讯过程中,存在数据安全防护的需求。
【发明内容】
[0005]为克服现有数字信号实时处理系统中所采取的数据安全防护的缺陷,本发明提出了一种基于可编程逻辑门阵列IP核序列密码算法的实时数据安全防护装置,通过数字信号处理系统中上位机的控制对可编程逻辑门阵列IP核进行序列加密算法配置,实现用多种序列密码算法对数字信号处理系统输出的数据进行数据加密、数据打包与接口协议转换等功能。
[0006]一种基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护装置,其包括:
[0007]MCU单元,其用于从外部接收命令及密钥,并根据所述命令配置可编程逻辑阵列IP核单元执行相应的序列密码算法,并将所述密钥发送给所述可编程逻辑阵列IP核单元;
[0008]可编程逻辑阵列IP核单元,其用于根据所述序列密码算法和密钥对明文数据进行加密。
[0009]本发明还公开了一种基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护方法,其包括:
[0010]步骤1、接收序列密码算法配置命令;[0011]步骤2、MCU单元根据所接收到的配置命令配置可编程逻辑阵列IP核单元执行相应的序列密码算法;
[0012]步骤3、接收加密密钥和明文数据;
[0013]步骤4、所述可编程逻辑阵列IP核单元根据所接收到的加密密钥通过执行所配置的序列密码算法加密所述明文数据。
[0014]通过本发明所提出的方法和装置,整个系统只用单片PROM就可以解决可编程逻辑阵列IP核的配置和MCU的boot程序,可以通过MCU对可编程逻辑阵列IP核进行配置,可以通过MCU的控制改变加密算法及密钥,系统装置简单实用可靠,解决了数字信号实时处理系统与终端之间通讯过程中数据安全隐患问题。
【专利附图】
【附图说明】
[0015]图1是本发明中实时数据安全防护装置的结构框图;
[0016]图2是本发明中实时数据安全防护装置的工作流程图;
[0017]图3是本发明中实时数据安全防护装置的内部配置框图;
[0018]图4是本发明中PROM单元的存储空间结构示意图。
【具体实施方式】
[0019]为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
[0020]如图1所示,本发明提供了一种基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护装置,其包括基于可编程逻辑阵列IP(知识产权)核单元、MCU(微处理器)单元、LVDS(低压差分信号接口)单元、PROM(可擦写只读存储器)单元和电平转换器单元。其中,所述MCU单元通过电平转换器单元与外部的数字信号处理系统通信,所述基于可编程逻辑阵列IP核单元通过LVDS单元从外部的数字信号处理系统接收信号和向外部的终端系统发送信号。
[0021]所述可编程逻辑阵列IP核单元是所述实时数据安全防护装置的核心单元,其用于从所述MCU单元接收密钥,并从外部的数字信号处理系统接收明文数据,并根据MCU单元配置的序列密码算法和所接收的密钥对所述明文数据进行加密处理,并将加密得到的数据以密文形式输出给终端系统。
[0022]其中,所述基于可编程逻辑阵列IP核单元包括用于实现序列密码算法的加密模块,该加密模块包括:数据解析模块、明文接口协议转换模块、加密处理模块、打包模块和密文接口协议转换模块。所述数据解析模块用于按照数字信号实时处理系统的数据格式在加密处理前对明文数据的包头和内容部分进行解析;所述明文接口协议模块用于将解析后的明文数据的数据格式转换成序列密码算法所需的并行数据;所述加密处理模块用于根据所述序列密码算法对所述明文接口协议模块处理过的明文数据进行加密形成密文数据;所述打包模块用于在加密处理后将密文数据打包成终端系统所需的数据格式;所述密文接口协议转换模块用于将打包后的所述密文数据的并行数据转换成终端系统所需的数据格式并输出给LVDS单元。
[0023]MCU单元,其还包括UART接口控制器、I2C接口控制器等。所述MCU单元通过UART接口控制器接收来自数字信号处理系统中上位机的命令,并解析该上位机命令,根据所解析的命令对所述可编程逻辑阵列IP核单元进行序列密码算法的配置;所述MCU单元还接收来自数字信号处理系统中上位机发送的串行密钥,其将该串行密钥按照与所述可编程逻辑阵列IP核单元约定的形式进行打包转换后,传送至可编程逻辑阵列IP核单元。
[0024]LVDS单元分为两部分,一部分用于将数字信号处理系统输出的差分数据信号转换成可编程逻辑阵列IP核单元能够处理的单端信号,另一部分用于将可编程逻辑阵列IP核单元输出的单端信号转换为终端系统能够处理的差分数据信号。其中,当外部的数字信号处理系统向所述可编程逻辑阵列IP核单元发送明文数据时,需要通过LVDS将该明文数据的差分数据信号转换成单端信号后发送至所述可编程逻辑阵列IP核单元;当所述可编程逻辑阵列IP核单元将明文数据加密后需经过所述LVDS单元将其转换成差分数据信号后发送至外部的终端系统。
[0025]电平转换器单元,用于在数字信号处理系统中的上位机和该实时数据安全防护装置之间传送命令和密钥时起电平转换的作用;具体的,当外部的数字信号处理系统使用UART接口发送命令和密钥给所述实时数据安全防护装置时,该电平转换器单元用于电平转换,以完成从上位机±12V的电平环境到该实时数据安全防护装置5V的电平环境。
[0026]PROM单元是整个装置的存储单元,用于存储MCU单元的启动(boot)程序和可编程逻辑阵列IP核单元的序列密码算法的配置码流文件。
[0027]本发明中,该实时数据安全防护装置只有一个PROM单元,其存储MCU单元的boot程序和可编程逻辑阵列IP核单元的多种密钥算法的配置码流。
[0028]图4示出了本发明中PROM单元的存储空间结构图。如图4所示,斜线部分空间存放MCU单元的boot程序,方格部分空间存放可编程逻辑阵列IP核单元的第一种序列密码算法的码流文件,交叉斜线部分空间存放可编程逻辑阵列IP的第二种序列密码算法的码流文件。在PROM空间允许的情况下可放置更多序列密码算法以供装置进行更换配置,例如竖线部分空间存放的第η种序列密码算法的码流文件等。
[0029]图2示出了本发明中基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护装置的工作流程图。如图2所示,该实时数据安全防护装置启动后,MCU单元从PROM单元的起始地址开始加载boot程序,加载完成后,数字信号处理系统中上位机通过UART接口向MCU单元发出使用哪种序列密码算法的命令,MCU单元根据上位机发送的命令从PROM单元中相应的地址空间将相应地序列密码算法的配置码加载到可编程逻辑阵列IP核单元,IP核配置完成后,数字信号处理系统中上位机通过UART接口向MCU单元发送串行密钥,MCU接收所述串行密钥后进行打包转换后向可编程逻辑阵列IP核单元发送该串行密钥,并在该串行密钥发送完成后,数字信号处理系统开始以差分数据形式向所述基于可编程逻辑阵列IP核单元发送明文数据,该明文数据经过LVDS转换单元后,将差分数据转换为单端数据输出到可编程逻辑阵列IP核单元,并由所述可编程逻辑阵列IP核单元利用所述序列密码算法和所述密钥加密后,将加密得到的密文数据以终端需要的数据形式输出给LVDS单元,经过LVDS转换单元将单端数据转换为差分数据,至此将密文以差分数据形式输出给终端系统,实现了不破坏原系统接口连接方式的可配置序列密码算法的数据安全防护装置。
[0030]本发明中,当出现意外情况或突发情况时,进行序列密码算法的更换。数字信号处理系统中的上位机通过UART接口向MCU单元发出更换哪种序列密码算法的命令,MCU单元根据数字信号处理系统中的上位机命令从PROM单元相应的地址空间将该序列密码算法的配置码加载到可编程逻辑阵列IP核单元,IP核配置完成后,数字信号处理系统中上位机通过UART接口向MCU发送此序列密码算法的密钥,MCU接收串行密钥后进行打包转换后向可编程逻辑阵列IP核发送密钥,密钥发送完成后,数字信号处理系统开始以差分数据形式发送明文数据,经过LVDS转换单元,将差分数据转换为单端数据输出到SOC单元中的可编程逻辑阵列IP核,经过可编程逻辑阵列IP核中的序列密码算法加密将密文数据以串行方式输出给LVDS单元,经过LVDS转换单元将单端数据转换为差分数据,至此将密文以差分串行形式输出给终端系统,通过MCU配置可编程逻辑阵列IP核可以在不掉电情况下重新配置序列密码算法。
[0031]本发明所公开的上述装置中,所述MCU单元通过数字信号处理系统中的上位机来控制和决定用哪一种序列密码算法,并将该算法的配置码流文件从PROM单元加载到可编程逻辑阵列IP核,配置完成后将该算法的密钥输出给可编程逻辑阵列IP核。所述可编程逻辑阵列IP核单元在MCU单元将密钥送达后,通知数字信号实时处理系统可以开始工作,加密处理工作进行。所述加密处理单元包括所有公开的序列密码算法。加密处理算法中所述接口协议转换模块是将加密处理前的明文数据的数据格式转换成序列密码算法所需的128bit并行数据进行加密处理,在加密处理后将密文数据的128bit并行数据转换成终端所需的数据格式输出给LVDS单元;加密处理算法中所述数据打包模块是按照数字信号实时处理系统的数据格式在加密处理前对包头和数据明文进行解析,在加密处理后将密文打包成终端所需的数据格式。
[0032]本发明公开的上述基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护装置优势在于:
[0033](I)若装置为单片ASIC作为数据加密单元的情况,如果密文被破解,该ASIC芯片只能报废。
[0034](2)若装置为单片FPGA作为数据安全防护装置的情况,需要掉电,重新烧写PR0M,不能满足数字信号处理系统的实时性和通讯信息的完整性。
[0035]图3是本发明中实时数据安全防护装置的内部信号配置框图。如图3所示,在被动串行模式下由MCU单元提供控制信号,由PROM单元提供码流进行可编程逻辑阵列IP的配置。该实时数据安全防护装置可以在不掉电情况下更换可编程逻辑阵列IP中的序列密码算法,MSELO接到高电平为1,MSEL1接到地为O表明可编程逻辑阵列IP的配置模式为被动串行模式,配置过程如下:
[0036](I)MCU单元加载boot程序后,输出DCLK和ASDI信号给PROM单元,DCLK代表时钟,ASDI代表PROM读取的初始地址,表明配置可编程逻辑阵列IP时从ASDI输出的地址开始读取配置流文件。
[0037](2) MCU单元输出nCONFIG信号给可编程逻辑阵列IP核单元,持续IOms的低电平后拉高电平,表明将要开始配置可编程逻辑阵列IP核单元。同时,可编程逻辑阵列IP核单元接收到nCONFIG信号后拉低C0NF_D0NE信号电平并输出给MCU单元,该信号直到配置完成后拉高。
[0038](3) nCONFIG信号电平被拉高至少103us后,DCLK和DATA信号开始从PROM单元输出给可编程逻辑阵列IP核单元,DCLK代表时钟信号,DATA代表串行码流,表明可编程逻辑阵列IP核单元开始从(1)中所解析的初始地址读取配置码流文件。
[0039](4)码流文件读取完成后,可编程逻辑阵列IP核单元拉高C0NF_D0NE信号电平并输出给MCU单元,表明可编程逻辑阵列IP核单元配置完成。随后整个装置可以进入工作模式。
[0040]以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护装置,其包括: MCU单元,其用于从外部接收命令及密钥,并根据所述命令配置可编程逻辑阵列IP核单元执行相应的序列密码算法,并将所述密钥发送给所述可编程逻辑阵列IP核单元; 可编程逻辑阵列IP核单元,其用于根据所述序列密码算法和密钥对明文数据进行加LU O
2.如权利要求1所述的装置,其特征在于,所述装置还包括PROM单元,其用于存储可编程逻辑阵列IP核单元能够执行的至少一种序列密码算法的配置码;所述MCU根据所述命令从所述PROM单元中将相应地加密算法的配置码加载到所述可编程逻辑阵列IP核单元,完成对所述可编程逻辑阵列IP核单元的配置。
3.如权利要求2所述的装置,其特征在于,所述PROM单元还用于存储所述MCU单元的启动程序。
4.如权利要求1所述的装置,其特征在于,所述MCU单元从外部的数字信号处理系统接收所述命令和密钥,所述可编程逻辑阵列IP核单元从所述数字信号处理系统接收明文数据。
5.如权利要求4所述的装置,其特征在于,所述数字信号处理系统根据需要向所述MCU发送不同的命令以使得可编程逻辑阵列IP核单元使用不同的序列密码算法对明文数据进行加密。
6.如权利要求1所述的装置,其特征在于,所述装置还包括LVDS单元,其将接收到的明文数据转换成单端信号后发送至可编程逻辑阵列IP核单元,其还将可编程逻辑阵列IP核单元输出的密文数据转换成差分数据信号后发送给外部的终端系统。
7.如权利要求1所述的装置,其特征在于,所述命令用于指示该装置使用哪种序列密码算法对明文数据进行加密。
8.如权利要求1所述的装置,其特征在于,所述MCU单元将所接收到的密钥进行打包转换后发送给所述可编程逻辑阵列IP核单元。
9.如权利要求1所述的装置,其特征在于,所述可编程逻辑阵列IP核单元包括用于完成序列密码算法的加密电路,该加密电路包括:数据解析模块、明文接口协议转换模块、力口密处理模块、打包模块和密文接口协议转换模块;其中,所述数据解析模块用于对明文数据的包头和内容部分进行解析;所述明文接口协议模块用于将解析后的明文数据的数据格式转换成序列密码算法所需的并行数据;所述加密处理模块用于根据所述序列密码算法对接口协议模块处理过的明文数据进行加密形成密文数据;所述打包模块用于将所述密文数据打包成终端系统所需的数据格式;所述密文接口协议转换模块用于将打包后的所述密文数据转换成终端系统所需的数据格式并输出。
10.一种基于可编程逻辑阵列IP核序列密码算法的实时数据安全防护方法,其包括: 步骤1、接收序列密码算法配置命令; 步骤2、MCU单元根据所接收到的配置命令配置可编程逻辑阵列IP核单元执行相应的序列密码算法; 步骤3、接收加密密钥和明文数据; 步骤4、所述可编程逻辑阵列IP核单元根据所接收到的加密密钥通过执行所配置的序列密码算法加密所述明文数据。
【文档编号】G06F21/60GK103632103SQ201310225991
【公开日】2014年3月12日 申请日期:2013年6月7日 优先权日:2013年6月7日
【发明者】王佳薇, 杨海钢, 孙嘉斌, 魏金宝 申请人:中国科学院电子学研究所