专利名称:一种嵌入式信息安全平台的制作方法
技术领域:
本发明涉及一种主要用于网络中的信息安全传输的安全领域硬件设备,属于通信技术领域。
背景技术:
目前国内的网络安全硬件设备从功能、性能到工艺都远远落后于市场需求,国外设备的性能指标虽然较高,但由于对安全限制等原因,即使从国外进口的安全产品本身也存在技术上不少不足之处,因此开发我国自主知识产权的安全产品已迫在眉睫。目前国内的网络安全硬件产品品种单一,通用性不高,并且价格昂贵。现在的硬件加密设备基本上是工控机+网卡+PCI加密卡的结构方式,再经过不同的包装形式后加以应用,例如各种加密机、加密服务器、VPN加密网关等。这种设备由于CPU性能高,可以达到较高的加解密效率,但同时这种设备的硬件成本也较高,不利于中低端用户的推广,而实际上信息安全产品的广泛推广在很大程度上取决于中低端用户的普及使用。另外,这种以PCI加密卡为安全模块的形式,由于其对主机环境有非常大的限制要求,比如必须具有开放的PCI插槽、对于各种不同的操作系统需要制作不同的驱动函数、可扩展性不高等,因此在很大程度上限制了PCI卡加密模块的应用。本发明是专用于信息安全处理的嵌入式平台,采用专用的数据通讯、数据加解密处理芯片,可以达到很高的信息安全处理效率,适用于中低端用户的需求,同时也能满足高端用户的性能要求。现有硬件加密设备和我们的嵌入式信息安全平台对比图如说明书附图中的图1所示。
发明内容
本发明目的是提供一种具有非常高的安全性、可靠性、可操作性以及通用性,并且成本也较低廉的一种嵌入式信息安全平台。
本发明的技术方案是一种嵌入式信息安全平台,它由CPU微控制器、加解密硬件芯片、输入输出接口、电源转换电路以及安全保护电路连接而成,其特点是,所述的CPU微控制器为一个网络处理芯片,片内为ARM940T核,所述的加解密硬件芯片由作为密码算法协处理器的IPSec算法芯片、对称算法芯片组成;所述的输入输出接口包括以太网接口、USB接口,串口接口。
由于根据上述方案的硬件安全平台是一个完全开放式的硬件安全平台,所有组件封装在一个机壳内,使得其对应用环境的要求降低,从而使其整体成本降低;由于本硬件安全平台的加解密硬件芯片由IPSec算法芯片、对称算法芯片组成,置有安全保护电路,具备了安全完备的密钥管理功能、由USB KEY进行初始化配置及身份认证功能以及主密钥掉电保护和外壳物理防护等措施使其具有很强的安全性;由于本硬件安全平台采用安全的嵌入式操作系统及协议,运行于ARM硬件平台,抗攻击能力强,可靠性高;由于本硬件安全平台提供多种加密算法、支持各种应用服务,通用性极高,既可封装成为独立的硬件安全设备,也可以广泛应用于加解密服务器、VPN加密网关、SSL安全网关、安全路由器、硬件防火墙等安全设备中,所以其适用性非常广泛。
图1为现有硬件加密设备和的嵌入式信息安全平台对比2为本发明硬件结构框图;图3为本发明原理框图;图4为CPU与FLASH的接口电路图;图5为CPU与SDRAM的接口电路图;图6为CPU与以太网控制器芯片接口电路图;图7为CPU与串口控制器芯片接口电路;图8为CPU与专用对称算法芯片接口电路图;图9为CPU与IPSec专用算法芯片接口电路图;图10为电池保护及安全保护电路图;图11为应用环境结构图。
具体实施例方式
本发明实施例结合附图作详细说明。
由图2所示,一种嵌入式信息安全平台,它由CPU微控制器、加解密硬件芯片、输入输出接口、电源转换电路以及安全保护电路连接而成,其特点是,CPU微控制器为一个网络处理芯片,本实施例中选用S3C2510A,片内处理器为ARM940T核,一个嵌入式实时操作系统置于该核内;加解密硬件芯片由作为密码算法协处理器的IPSec算法芯片、对称算法芯片组成,IPSec算法芯片即为如图2上表示的为高集成加解密协处理器SafeXcel1741,对称算法芯片选用国密办算法芯片SSP02A;输入输出接口包括PCI接口、USB接口,串口接口、SDRAM/SRAM/FLASH存储器接口及以太网MAC层接口,CPU微控制器通过以太网MAC层接口和包括以太网控制器芯片Am79C874、RJ45接口的以太网模块相连接。
由图3所示,本发明的原理是从以太网接口接收的MAC帧,通过DMA方式传到CPU接收缓冲区,CPU对MAC帧解析成IP数据包,然后根据IP地址查找对应工作表,调用Safe1741进行IPSec处理,处理结果返回一个新的IP包,再对新IP包解析成MAC帧,通过另一个以太网接口发送出去。RS232接口用于控制台管理及配置数据传送。USB接口用于访问USB Key,读取用户私钥及证书。
由图4所示,CPU和FLASH的接口电路可配置1~2片2M~8M字节的FLASH电路,CPU为了实现对FLASH的读写,需向FLASH提供写信号nMWE、输出使能信号nMOE、数据总线D[15:0]、地址总线A[21:0]、片选信号nCS0和复位信号,FLASH向CPU回送的RY/BY信号告诉CPU此刻的FLASH处于忙/闲状态。
CPU与SDRAM的接口电路,由图5所示,S3C2510A向SDRAM提供32位的数据总线D[31:0]、11位的地址总线A[10:0]、段地址信号A13,A14、数据输入/输出屏蔽信号SDQM[3:0]、读写时钟信号SDCLK、时钟使能信号SDCKE、行地址和列地址选通信号WRITE、nMOE以及写选通信号nMWE,用片选信号nSDCS0和nSDCS1可扩展2片SDRAM。
CPU与AM79C874以太网控制器接口电路,如图6所示,AM79C874执行以太网数据处理物理层功能,MAC子层功能在S3C2510A内执行,因此AM79C874和S3C2510A的接口是MII接口,包括MII发送TX_EN,TX_ER,TX_D[3:0],TX_CLK信号和MII接收RX_ER,RX_DV,RXD[3:0],RX_CLK,CRS,COL信号。
CPU与MAX3222串口控制器接口电路,如图7所示,S3C2510A带有配置串口,可直接将串口收发引脚CURXD、CUTXD与串口控制器相连。
CPU与SSP02A国密办算法芯片接口电路,如图8所示,SSP02A是32位总线宽度,还有片选信号CS#,读信号RD#,写信号WR#,芯片准备好信号READY和芯片异步复位信号RESET#。CPU与IPSec专用算法芯片SafeXcell-1741接口电路,如图9所示,S3C2510A和SafeXcell-1741都有PCI接口,它们之间按标准PCI接口连接,S3C2510A是主接口,1741是从接口。
电池保护及安全防护电路,如图10所示,安全保护电路是由保护电池、3.3V供电电源经两极管组成的或门电路、触动开关与存放主密钥的低功耗RAM连接,再由CPU分别和存放主密钥的低功耗RAM、存放加密的敏感数据的FLASH存储器相连接而成。根据上述的保护电路,信息安全平台有两个安全防护措施1是主密钥掉电保护,2是主密钥防撬自毁,即机框非法打开时主密钥自动销毁。信息安全平台正常工作中使用的敏感信息,如配置信息、控制台口令、IKE交换密钥等,经主密钥加密后存放在FLASH中,而主密钥是存放在一个低功耗RAM中,信息安全平台的安全防护设计就是针对主密钥的安全防护设计的,在外部电源关闭情况下,由内部保护电池供电,可以保证低功耗RAM连续工作5年以上。当非法打开机框,触动开关断开,DS2423的电源停止供电,主密钥信息丢失,无法通过解密获得FLASH中的敏感数据,即保护了FLASH中的敏感信息。
本信息安全平台通用性极高,应用环境如图11所示,它既可作为独立的硬件安全设备,也可以广泛应用于加密服务器、VPN加密网关、SSL安全网关、安全路由器、硬件防火墙等设备中,通过信息安全平台,实现计算机、WAN、LAN之间的安全通信,为网络通讯、电子商务、电子政务、安全支付、金融证券等信息领域的良好发展打造了一个坚实的安全核心。
权利要求
1.一种嵌入式信息安全平台,它由CPU微控制器、加解密硬件芯片、输入输出接口、电源转换电路以及安全保护电路连接而成,其特征在于,所述的CPU微控制器为一个网络处理芯片,片内为ARM940T核,所述的加解密硬件芯片由IPSec算法芯片、专用对称算法芯片组成;所述的输入输出接口包括以太网接口、USB主控制器接口,串口接口。
2.根据权利要求1所述的一种嵌入式信息安全平台,其特征在于,所述的CPU微控制器和FLASH的接口电路配置1~2片2M~8M字节的FLASH电路,CPU实现对FLASH的读写,需向FLASH提供写信号nMWE、输出使能信号nMOE、数据总线D[15:0]、地址总线A[21:0]、片选信号nCS0和复位信号,FLASH向CPU回送的RY/BY信号告诉CPU此刻的FLASH处于忙/闲状态。
3.根据权利要求1所述的一种嵌入式信息安全平台,其特征在于,所述的CPU与SDRAM的接口电路,CPU向SDRAM提供32位的数据总线D[31:0]、11位的地址总线A[10:0]、段地址信号A13,A14、数据输入/输出屏蔽信号SDQM[3:0]、读写时钟信号SDCLK、时钟使能信号SDCKE、行地址和列地址选通信号WRITE、nMOE以及写选通信号nMWE,用片选信号nSDCS0和nSDCS1可扩展2片SDRAM。
4.根据权利要求1所述的一种嵌入式信息安全平台,其特征在于,所述的以太网层接口,由以太网控制器芯片执行以太网数据处理物理层功能,MAC子层功能在CPU内执行,以太网控制器芯片和CPU的接口是MII接口,包括MII发送TX_EN,TX_ER,TX_D[3:0],TX_CLK信号和MII接收RX_ER,RX_DV,RXD[3:0],RX_CLK,CRS,COL信号。
5.根据权利要求1所述的一种嵌入式信息安全平台,其特征在于,所述的CPU带有配置串口,直接将串口收发引脚CURXD、CUTXD与串口控制器相连接。
6.根据权利要求1所述的一种嵌入式信息安全平台,其特征在于,所述的对称算法芯片选用专用对称算法芯片,它有32位总线宽度,通过片选信号CS#,读信号RD#,写信号WR#,芯片准备好信号READY和芯片异步复位信号RESET#与CPU连接。
7.根据权利要求1所述的一种嵌入式信息安全平台,其特征在于,所述的IPSec算法芯片选用专用IPSec算法芯片,CPU微控制器和专用IPSec算法芯片都置有PCI接口,它们之间按标准的PCI接口连接,CPU控制器是PCI主设备,专用IPSec算法芯片是PCI从设备。
8.根据权利要求1所述的一种嵌入式信息安全平台,其特征在于,所述的安全保护电路是由保护电池、3.3V供电电源经二极管组成的电路、触动开关与存放主密钥的低功耗RAM连接,再由CPU分别和存放主密钥的低功耗RAM、存放加密的敏感数据的FLASH存储器相连接而成。
全文摘要
本发明涉及一种嵌入式信息安全平台,特点是,CPU微控制器为一个网络处理芯片,片内处理器为ARM940T核,嵌入式实时操作系统置于该核内;加解密硬件芯片由IPSec算法芯片、对称算法芯片组成;输入输出接口包括2个10/100M自适应以太网接口、USB主控接口,串口接口。本发明是一个开放式的硬件安全平台,组件封装在一个机壳内,对应用环境的要求低,抗攻击能力强,可靠性高;由于本发明提供多种加密算法、支持各种应用服务,通用性极高,也可以广泛应用于加密服务器、VPN加密网关、SSL安全网关、安全路由器、硬件防火墙等安全设备中。
文档编号H04L12/24GK1622517SQ20031010890
公开日2005年6月1日 申请日期2003年11月27日 优先权日2003年11月27日
发明者周玉洁, 陆海涛, 邓忠红 申请人:上海安创信息科技有限公司