专利名称:一种安全隔离与监控信息终端的制作方法
技术领域:
本实用新型涉及信息安全与保密、信息处理与传输(通信),是一种安全隔离与监控信息终端。
背景技术:
信息可分为公开信息和非公开信息,计算机和通信网络可分为内网与外网。内网可分为涉密网和非涉密网,涉密网又可分为不同密级的网。外网主要指国际互联网(Internet),国际互联网覆盖全世界,面向大众。由于国际互联网的开放性,使得与国际互联网联通的设备容易遭到安全攻击和泄露信息,包括与内网联通过的信息终端又与外网联通时,导致信息终端中残余的内网信息被泄露。可是国际互联网非常丰富的信息资源,使得与国际互联网联通的需求非常强烈。因此网间隔离是信息安全与保密重要的一个方面。
目前的网间隔离技术主要有隔离网闸、双硬盘或单硬盘分区网络隔离卡。一个信息处理设备,例如个人计算机(PC),通过网络隔离设备,分时使用内网与外网,使内网与外网物理上隔离,内网与外网的信息分别存于两个硬盘或者一个硬盘的两个分区。网络切换时,通过重新冷启动来清除PC机内存随机存储器中的残余信息。
一般情况下,PC机内存中的非易失存储器或使用备用电池的易失存储器容量很有限。例如,PC机中使用备用电池供电的CMOS存储器,仅用来保存PC机的系统配置数据。当在PC机中插入一块电可改写非易失存储器卡,或者使用备用电池的易失存储器卡,PC机断电不会使这些存储器中的信息丢失,从而成为信息安全隐患。
在嵌入式设备、模块和部件中,大量使用电可改写非易失存储器或有备用电池的易失存储器。涉及过非公开信息的嵌入式设备、模块和部件在断电后可能继续保存有这些非公开信息。当它们与外网联通时,可能泄露这些非公开信息,成为信息安全隐患。
PC机的软驱软盘、光驱光盘、移动存储器都是非易失存储介质,也是信息安全隐患。并行接口、串行接口、USB接口也存在信息安全隐患。由于没有经过严格检测的中央处理单元(CPU)或微控制器MCU和操作系统的安全可信度不高,可能存在“后门”,在使用过程中可能感染计算机病毒,引入“特洛伊木马”程序。因此,通过PC机的中央处理单元(CPU)或/和操作系统来检查PC机的存储设备和接口能力存在可信度问题。
目前的网络隔离设备不具备独立检查PC机中存储设备和接口的能力。因此,目前的网络隔离设备不具备设备隔离能力。网络隔离设备也不能独立完成口令等用户身份鉴别检测。因此,不具备用户隔离能力。
一种安全保密智能信息终端(专利3202666.8),以公众通信网络和通用信息处理资源为基础,实现本地信息存储安全保密和端对端的通信安全保密。它由信息安全与主控子系统、信息处理子系统、信息存储子系统、信息传输子系统组成。信息安全与主控子系统分别与其它各部分相连接,实现其它各部分物理上与逻辑上的相互隔离。信息安全与主控子系统可接受合法用户的控制,自主决定安全保密方式和等级,并负责协调其它各部分,监测它们的工作状态。
当这种信息终端工作在加密方式时,信息处理子系统工作在明文信息区,涉及明文信息。信息存储子系统、信息传输子系统工作在密文信息区,不涉及明文信息。这种信息终端可与内网联通,也可与外网联通。由于外网不具备加密解密能力。因此,与外网联通主要是利用外网作为信息传输通道,实现端对端或端对内网(包括涉密网)的信息安全通道。
当这种信息终端工作在非加密方式时,各子系统都工作在明文信息区,可分别与内网和外网联通。
当信息处理子系统不具备残余信息滞留能力,例如它使用信息存储子系统中的存储器,没有独立的存储器,或者有独立的不带备用电池的易失存储器,在断电后,信息丢失,可实现网间隔离。
当信息处理子系统具备残余信息滞留能力时,可在加密工作方式接入内网(可以外网作为安全通道),内网完成加密和解密以及信息过虑,内网通过隔离网闸与外网联通,实现网间隔离。
IEEE1149.1标准是联合测试工作组(JTAGJoint Test Action Group)基于边界扫描测试的基本思想,测试印刷电路板中器件的好坏以及器件之间相互连接的正确性,广泛用于电子信息产品研究开发、制造与维修过程中。
支持IEEE1149.1 JTAG标准的器件都具有JTAG基本硬件,包括测试接入端口(TAP)、TAP控制器、指令寄存器(IR)、测试数据寄存器(TDR),还可有扩展的专用寄存器。测试接入端口有测试时钟输入线(TCK)、测试方式选择输入线(TMS)、测试数据输入线(TDI)、测试数据输出线(TDO)、测试复位输入线(TRST)。TAP控制器是一个硬件状态机,用来将指令装入指令寄存器,将测试数据移入移位寄存器,将测试结果从移位寄存器移出,执行测试、捕获、移位、更新测试数据等。测试数据寄存器有旁路寄存器(BR)、边界扫描寄存器(BSR)、器件标识寄存器。边界扫描寄存器由一串边界扫描单元(BSC)组成,它受TAP控制器控制,对应芯片的每个引脚都有一个边界扫描单元,按引脚类型分别实现输入、二态输出、三态输出、输入输出双向引脚,它们一起构成一个边界扫描移位寄存器。器件标识寄存器提供芯片生产厂的名称、器件类型、器件序列号、版本号等信息。
JTAG指令分为公用指令和专用指令。公用指令有旁路指令、采样/预装指令、外部测试指令、内部测试指令、运行内建自测试指令(RUNBIST)、组件指令(CLAMP)、器件标识指令、高阻态指令。旁路指令使该芯片旁路。采样指令在不影响芯片核心逻辑的正常运行情况下,对芯片引脚采样,采样结果通过边界扫描移位寄存器移位输出。预装指令用来更改边界扫描单元输出引脚上锁存的数据。外部测试指令使芯片引脚与芯片的核心逻辑物理上相互隔离,芯片引脚与边界扫描移位寄存器相互连通,以便芯片输出引脚完全受预装指令的数据控制,而不受芯片核心逻辑的影响。从芯片输入引脚捕获芯片外部连接或外部电路在芯片输出引脚信号激励下的响应,实现外部测试。内部测试指令使芯片的核心逻辑与芯片引脚物理上相互隔离,与边界扫描移位寄存器相互连通,以便芯片核心逻辑从边界扫描移位寄存器获得激励,芯片核心逻辑的响应输出到边界扫描移位寄存器移位输出,实现芯片核心逻辑的低速运行,达到测试目的。运行内建自测试指令实现芯片核心逻辑的高速运行,测试结果被捕获到边界扫描移位寄存器,并从TDO移出。组件指令用来向芯片输出引脚输出固定的电平,器件标识指令用来从TDO移位输出器件标识。对于用户可编程器件,用户代码指令把用户可编程的标识代码装入器件标识寄存器。高阻态指令强制芯片的所有输出引脚为高阻态。
由于芯片封装和表面贴装工艺的需要,中央处理单元(CPU)、微控制器(MCU)、数字信号处理器(DSP)、现场可编程阵列(FPGA)、单片无线收发信机等功能复杂的芯片都支持IEEE1149.1 JTAG标准。如Intel的80486微处理器、PXA250 xScal微控制器,TI的TMS320C6000 DSP,Xilinx的FPGA等。
微控制器、数字信号处理器一般都扩展了JTAG专用寄存器和专用指令,嵌入了在线调试模块(ICE),并以JTAG TAP作为在线调试接口。JTAG ICE专用指令用来设置硬件断点和观察点,检查修改芯片核心逻辑的状态寄存器和存储器内容。Intel PXA250 xScal微控制器芯片还嵌入了在线跟踪宏单元(ETMEmbeddedTrace Macrocell),ETM用来监视芯片内核总线,并将压缩后的信息实时传送到嵌入式跟踪缓冲区(ETBEmbedded Trace Buffer),JTAG ICE控制器使用JTAG专用指令,通过JTAG端口访问ETB中的数据。
发明内容
本实用新型是一种安全隔离与监控信息终端,通过加密与解密、开关网络、JTAG与ICE来隔离控制与监测,实现网络隔离(信息传输隔离)控制与监测、存储隔离控制与监测、端口隔离控制与监测、设备隔离控制与监测、用户隔离控制与监测。
本实用新型由安全隔离与监控子系统(1)、信息处理子系统(2)、信息存储子系统(3)、信息传输子系统(4)、用户身份鉴别检测(5)、外设输入输出接口(6)、键盘与触摸屏笔写输入(7)、显示及接口(8)、麦克风与音频输入(9)、音频输出与喇叭(10)、摄像头输入(11)各部分组成。安全隔离与监控子系统(1)的开关网络(25)开关端与各组成部分相连接,或/和安全隔离与监控子系统(1)分别与各组成部分连接成一个或多个JTAG菊花链,将它们物理上相互连通或断开隔离。
安全隔离与监控子系统(1)由微控制器(21)、存储器(22)、JTAG控制与JTAGICE控制器(23)、加密与解密(24)、开关网络(25)、输入输出接口(26)组成,微控制器(21)分别与其它各组成部分相连接,还与开关网络(25)的控制端相连接,JTAG控制与JTAG ICE控制器(23)、加密与解密(24)可以是集成电路芯片或者是微控制器(21)软件的一部分。
安全隔离与监控子系统(1)动态连接与断开隔离各组成部分,重构为各种不同安全等级的信息终端。
安全隔离与监控子系统(1)是安全隔离与监控信息终端的核心部件,它的安全保密等级决定了整个信息终端的安全保密等级,其它各部分的安全保密性不受限制。根据安全保密等级要求选用符合要求的部件,进行相应安全保密检测,采用硬件和封装保护防改写防跟踪解剖分析,敏感数据可自行销毁。JTAG控制与JTAG ICE控制器(23)可内置也可外置。
信息处理子系统(2)由控制器(31)、存储器(32)、输入输出接口(33)组成,控制器(31)是与JTAG兼容的中央处理单元(CPU)或微控制器(MCU)或/和数字信号处理器(DSP),分别与存储器(32)、输入输出接口(33)相连接,控制器(31)的存储器接口、输入输出接口(33)的另一端可与开关网络(25)的开关端相连接,控制器(31)与微控制器(21)可用并行接口或串行接口相连接。
信息存储子系统(3)可以是一个或多个物理上相互隔离的存储器,存储器接口和微控制器(21)或者和开关网络(25)的开关端相连接。
存储器可以是各种通用或专用信息存储设备或器件、模块组件等,包括磁盘存储、光盘存储、光磁盘存储、半导体存储器、固定或活动或移动存储介质、易失存储器或非易失存储器及其各种组合等。
信息传输子系统(4)可以是一个或多个物理上相互隔离的信息传输通道,它们的接口和微控制器(21)或者和开关网络(25)的开关端相连接,它们的JTAG器件和JTAG控制与JTAG ICE控制器(23)连接成JTAG菊花链。
信息传输通道可以是各种通用或专用信息传输设备或器件、模块组件等,包括各种制式公众蜂窝移动通信,各种制式集群移动通信,BLUETOOTH、红外线等短距离无线通信,无线或有线局域网、城域网,接入网或点对点通信、有线通信或无线通信等各种通信及其组合。
安全隔离与监控信息终端的各组成部分可以是自治子系统,可具有设备身份鉴别算法或设备身份鉴别码,电源控制端与微控制器(21)相连接。
根据信息终端安全保密等级要求,用户身份鉴别检测(5)可以是半导体指纹检测部件或/和可插拔的IC身份鉴别卡或/和口令。外设输入输出接口(6)可以是并行接口、串行接口、USB接口等。
安全隔离与监控子系统(1)可以隔离断开自治子系统的控制器,和自治子系统的存储器、外围器件与外围设备相连接,或者隔离断开自治子系统的存储器、外围器件与外围设备,与控制器相连接,或者与自治子系统控制器嵌入式跟踪与内核接入单元相连接,或者与自治子系统控制器各个输入输出引脚边界扫描单元相连接。
JTAG的外部测试指令使芯片引脚与芯片的核心逻辑物理上相互隔离,从芯片输入引脚捕获芯片外部电路在芯片输出引脚信号激励下的响应。因此,微控制器(21)通过JTAG控制与JTAG ICE控制器(23)生成JTAG外部测试指令和预装指令,能够将自治子系统的控制器(包括中央处理单元、微处理器、微控制器、数字信号处理器)隔离,不使用自治子系统的软件,却能够深入该自治子系统内部,行使该自治子系统控制器的职能,例如接入存储器、外围器件与外围设备、加载可编程逻辑阵列等。生成采样指令,实时监视自治子系统输入输出数据流。生成内部测试指令与运行内建自测试指令,检查自治子系统控制器芯片核心逻辑的工作状态,例如是否出现故障,是否更换芯片,芯片内部安全性是否发生了变化等。生成JTAG ICE专用指令检查修改芯片核心逻辑的状态、寄存器、存储器的内容,监视芯片内核总线。因此,实现了对自治子系统物理上连通或断开隔离、监测与控制。
当用户选择工作方式或启动网络切换、输入或修改口令时,微控制器(21)控制开关网络(25),将键盘与触摸屏笔写输入(7)与微控制器(21)连通,与其它部分断开隔离。或者微控制器(21)使JTAG控制与JTAG ICE控制器(23)生成外部测试指令,通过JTAG端口,将键盘与触摸屏笔写输入(7)、显示及接口(8)与其相接的微控制器(微控制器(21)除外)物理上隔离,并驱动它们,返回响应。用户根据显示器的提示,通过键盘与触摸屏笔写输入修改口令或选择工作方式、启动网络切换。
在本地用户身份鉴别或者经信息传输子系统(4)和服务器加密通信,通过网络进行用户身份鉴别。在系统启动过程中的身份鉴别及其它检查正确后,进入正常工作状态,并继续实时鉴别检测用户身份。例如用户指纹身份检测鉴别,在规定的时间间隔内,如果用户手指离开指纹检测部件或者指纹身份检测鉴别不正确,安全隔离与监控子系统(1)向用户提示。如果提示数次后,身份检测鉴别仍然不正确,安全隔离与监控子系统(1)保存安全事务记录,停止正常工作,销毁有关信息,实现用户隔离控制与监测。安全隔离与监控子系统(1)还能接受网络服务器的指令,停止正常工作,销毁有关信息,实现远程用户隔离控制与监测。
在系统启动过程中,安全隔离与监控子系统(1)对其它各部分进行设备身份鉴别与安全测试。采用密码算法进行设备身份鉴别或生成JTAG器件标识指令进行设备身份鉴别。根据信息终端工作方式,微控制器(21)控制开关网络(25)或生成JTAG指令将各部分连接或断开,生成JTAG指令,测试各子系统的控制器、软件、存储器、外围器件、外围设备接口与外围设备等器件设备的类型规格、操作能力、残余信息滞留能力、可读写性、数据流向等安全测试。如果发现子系统与信息终端工作方式不相符,则向用户提示,保存安全事务记录,停止正常工作,实现设备隔离控制与监测。
在信息终端处于加密工作方式时,微控制器(21)控制开关网络(25),使信息处理子系统(2)分别与信息传输子系统(4)、外设输入输出接口(6)物理隔离。使信息存储子系统(3)的电可改写非易失存储器与信息处理子系统(2)物理隔离,或者控制与信息处理子系统(2)相连的电可改写非易失存储器的写控制端(写保护端)、编程电压端,使其不可改写。或者控制电可改写非易失存储器的双向数据总线为只读单向数据总线。
当信息处理子系统(2)需要将信息存储到信息存储子系统(3)中的非易失存储器时,该信息首先交付给微控制器(21)进行加密,加密后的信息由微控制器(21)存于信息存储子系统(3)中。反之,当信息处理子系统(2)需要读取存储在信息存储子系统(3)的加密信息时,信息处理子系统(2)首先通知微控制器(21)读取存储在信息存储子系统(3)的信息并解密,解密后的信息由微控制器(21)交付给信息处理子系统(2)。
当信息处理子系统(2)需要发送信息时,该信息首先交付给微控制器(21)进行加密,加密后的信息由微控制器(21)交付给信息传输子系统(4)发送。反之,信息传输子系统(4)将收到的信息交付给微控制器(21)解密,解密后的信息由微控制器(21)交付给信息处理子系统(2)继续进行信息处理。
信息处理子系统(2)还可通过安全隔离与监控子系统(1)对信息加密与解密与外设输入输出接口(6)交换信息。微控制器(21)还可通过信息传输子系统(4)接收未加密信息,或从多媒体存储卡(MMC)读取未加密信息,或从USB外设读取未加密信息,送到信息处理子系统(2)处理。
安全隔离与监控子系统(1)与信息处理子系统(2)、信息存储子系统(3)、信息传输子系统(4)之间的通信,采用内部协议,IP分组数据处理可在信息传输子系统(4)完成。
如果信息处理子系统(2)有独立的电可改写非易失存储器,写控制端(写保护端)、编程电压端,或者双向数据总线都不可控制,或/和有独立的外设输入输出接口,则生成JTAG采样指令实时监视电可改写非易失存储器的读写控制端、编程电压端及存储器其它接口、外设输入输出接口(如USB接口、移动存储器接口、并行接口、串行接口等),发现越权,就停止正常工作,保存安全事务记录,销毁有关信息。并可实时监视控制器输入输出引脚的数据流,形成“黑盒子”数据,用于安全审计跟踪。对具有嵌入式跟踪缓冲的芯片,生成JTAG跟踪缓冲专用指令,启动芯片内部跟踪缓冲,通过JTAG访问跟踪缓冲结果,实施比JTAG采样指令更高速的内核总线监视。
当信息终端工作完毕或工作方式切换(包括网络切换),根据安全要求,微控制器(21)控制各子系统中易失存储器和可能含有易失存储器的芯片、部件、模块组件断电,或者用JTAG指令将它们清零、对电可改写非易失存储器重新在线编程,清空残余信息。
因此,实现了网络隔离控制与监测、存储隔离控制与监测、设备隔离控制与监测、用户隔离控制与监测。
信息加密是一种非常重要的信息安全技术,对未涉密的非公开信息也可采用加密存储,当接收端具备解密能力时,可采用加密传输。
根据安全要求,信息终端的内网工作方式可以类似加密工作方式处理。或者使用内网专用的传输通道和电可改写非易失存储器。即通过微控制器(21)控制开关网络(25),使信息处理子系统(2)分别与信息传输子系统(4)中内网专用的传输通道、信息存储子系统(3)中内网专用的电可改写非易失存储器连通,与外网专用的传输通道、外网专用的电可改写非易失存储器物理隔离,内外网也可分区使用一个电可改写非易失存储器。或者使用内外网共用的电可改写非易失存储器,开关网络(25)使该存储器只读。
如果信息处理子系统(2)、信息传输子系统(4)有独立的电可改写非易失存储器,或/和有独立的外设输入输出接口以及信息终端工作完毕或工作方式切换时的残余信息清空,可类似加密工作方式中的残余信息清空来处理。
信息终端的外网工作方式或者使用外网专用的传输通道和电可改写非易失存储器。即通过微控制器(21)控制开关网络(25),使信息处理子系统(2)分别与信息传输子系统(4)中外网专用的传输通道、信息存储子系统(3)中外网专用的电可改写非易失存储器连通,与内网专用的传输通道、内网专用的电可改写非易失存储器物理隔离,内外网也可分区使用一个电可改写非易失存储器。或者使用内外网共用的电可改写非易失存储器,开关网络(25)使该存储器只写。
信息终端工作完毕或工作方式切换时残余信息清空,可类似加密工作方式时的残余信息清空来处理。
本实用新型的有益效果本实用新型可以动态连通或隔离各部分资源,动态重构满足各种安全等级的信息终端;可以深入自治子系统内部,隔离它的控制器,独立行使该控制器的职能;可以实时监视自治子系统的运行,并形成“黑盒子”数据,用于安全审计跟踪;能够将大量丰富而便利的信息安全能力差、网络隔离、端口隔离、存储隔离能力差的设备、模块组件、器件、软件用于信息安全业务中,实现网络隔离、端口隔离、存储隔离、设备隔离、用户隔离控制与监测。
以下结合附图和实施例对本实用新型进一步说明。
图1、图2为本实用新型的结构原理图。
图3为本实用新型JTAG菊花链的连接图。
图4为实施方式1安全隔离与监控子系统(1)的结构原理图。
图5为实施方式1信息处理子系统(2)的结构原理图。
在图中,1为安全隔离与监控子系统,2为信息处理子系统,3为信息存储子系统,4为信息传输子系统,5为用户身份鉴别检测,6为外设输入输出接口,7为键盘与触摸屏笔写输入,8为显示及接口,9为麦克风与音频输入,10为音频输出与喇叭,11为摄像头输入部分。
21-26为安全隔离与监控子系统(1)的各组成部分,其中21为微控制器,22为存储器,23为JTAG控制与JTAG ICE控制器,24为加密与解密,25为开关网络,26为输入输出接口。
31-33为信息处理子系统(2)的各组成部分,其中31为控制器,32为存储器,33为输入输出接口。
TCK-1、TMS-1、TDI-1、TDO-1、TRST-1分别为安全隔离与监控子系统(1)JTAG控制与JTAG ICE控制器的测试时钟输出线、测试方式选择输出线、测试数据输入线、测试数据输出线、测试复位输出线。
TCK-2、TMS-2、TDI-2、TDO-2、TRST-2分别为信息处理子系统(2)的JTAG测试时钟输入线、测试方式选择输入线、测试数据输入线、测试数据输出线、测试复位输入线。
TCK-4、TMS-4、TDI-4、TDO-4、TRST-4分别为信息传输子系统(4)的JTAG测试时钟输入线、测试方式选择输入线、测试数据输入线、测试数据输出线、测试复位输入线。
MCU21-1和MCU21-2为微控制器(21)的串行接口,MCU21-3和MCU21-4分别为微控制器(21)的多媒体存储卡(MMC)接口和USB接口,IO26为输入输出接口(26)的端口。
K1、K2、K3、K4分别为微控制器(21)的并行输出端口。SW1、SW2分别为开关网络(25)的单刀双掷模拟开关,SW1-1、SW1-2为开关SW1的两个动点开关端,SW1-3为开关SW1的定点开关端,SW2-1、SW2-2为开关SW2的两个动点开关端,SW2-3为开关SW2的定点开关端。MCU31-1、MCU31-2分别为控制器(31)的串行接口、多媒体存储卡(MMC)接口,IO33-1为输入输出接口(33)的USB接口端。
具体实施方式
在图中1中,安全隔离与监控子系统(1)分别与信息处理子系统(2)、信息存储子系统(3)、信息传输子系统(4)、用户身份鉴别检测(5)、外设输入输出接口(6)、键盘与触摸屏笔写输入(7)、显示及接口(8)、麦克风与音频输入(9)、音频输出与喇叭(10)、摄像头输入(11)相连接,包括JTAG连接。安全隔离与监控子系统(1)对其它各部分进行物理隔离。
每个JTAG兼容的芯片都有JTAG测试时钟输入线TCK、测试方式选择输入线TMS、测试数据输入线TDI、测试数据输出线TDO和测试复位输入线TRST。在图3中,信息处理子系统(2)的第一个JTAG芯片的TDO与第二个JTAG芯片的TDI相连接,以此类推,串联成一个JTAG链。信息处理子系统(2)JTAG的TDI-2与JTAG链第一个JTAG芯片的TDI相连接,TDO-2与JTAG链最后一个JTAG芯片的TDO相连接,JTAG插座上的TCK-2、TMS-2、TRST-2和JTAG链上所有JTAG芯片的TCK、TMS、TRST分别相互并联。信息传输子系统(4)JTAG的TCK-4、TMS-4、TRST-4、TDI-4、TDO-4与此类似。在图3中,仅以信息处理子系统(2)和信息传输子系统(4)为例。安全隔离与监控子系统(1)的JTAG控制与JTAG ICE控制器的TDO-1与信息处理子系统(2)JTAG的TDI-2相连接,信息处理子系统(2)JTAG的TDO-2与信息传输子系统(4)JTAG的TDI-4相连接,信息传输子系统(4)JTAG的TDO-4与安全隔离与监控子系统(1)的JTAG控制与JTAG ICE控制器的TDI-1相连接,组成JTAG菊花链。信息处理子系统(2)JTAG的TCK-2、TMS-2、TRST-2分别与信息传输子系统(4)JTAG的TCK-4、TMS-4、TRST-4相互并联后,再分别与安全隔离与监控子系统(1)的JTAG控制与JTAG ICE控制器的TCK-1、TMS-1、TRST-1相连接。
实施方式1实施方式1是一种手持式安全隔离与监控移动加密信息终端。在实施方式1中,安全隔离与监控子系统(1)由具有相应资质的机构提供,信息处理子系统(2)为掌上电脑。信息存储子系统(3)为一个多媒体存储卡(MMC),是一种大容量半导体信息存储卡,具有串行通信接口,包括片选输入线MMCCS、命令输入线MMCCMD、时钟输入线MMCCLK、数据输入输出线MMCDAT、卡检测线MMCDETECT。信息传输子系统(4)为CDMA2000 1X无线通信模块,是一种公众蜂窝移动通信终端,具有串行接口和JTAG接口TCK-4、TMS-4、TRST-4、TDI-4、TDO-4。用户身份鉴别检测(5)是半导体指纹识别检测模块,外设输入输出接口(6)为USB接口,显示及接口(8)为TFT LCD显示器模块,摄像头(11)为CMOS半导体摄像头模块。具有键盘与触摸屏笔写输入(7)、麦克风与音频输入(9)、音频输出与喇叭(10)。各部分的连接关系如图中2示。
在图中2中,安全隔离与监控子系统(1)分别与信息处理子系统(2)、信息存储子系统(3)、信息传输子系统(4)、用户身份鉴别检测(5)、外设输入输出接口(6)相连接,安全隔离与监控子系统(1)实现了对它们的物理隔离。信息处理子系统(2)还与键盘与触摸屏笔写输入(7)、显示及接口(8)、麦克风与音频输入(9)、音频输出与喇叭(10)、摄像头输入(11)相连接,键盘与触摸屏笔写输入(7)、显示及接口(8)、麦克风与音频输入(9)、音频输出与喇叭(10)、摄像头输入(11)是信息处理子系统(2)的基本配置和基本人机接口,现有大量这样的设备、模块或组件,安全隔离与监控子系统(1)的JTAG对它们进行安全隔离与监控。
在图4中,安全隔离与监控子系统(1)的微控制器(21)分别与存储器(22)、加密与解密(24)、输入输出接口(26)相连接,JTAG控制与JTAG ICE控制器(23)的一端与微控制器(21)相连接,另一端为JTAG控制器的端口TCK-1、TMS-1、TRST-1、TDI-1、TDO-1,其中TDI-1为输入端,TCK-1、TMS-1、TRST-1、TDO-1都为输出端。当不用JTAG和加密与解密硬件加速芯片时,JTAG控制与JTAG ICE控制器(23)、加密与解密(24)是微控制器(21)软件的一部分,JTAG控制器的端口TDI-1为微控制器(21)的并行输入端口,TCK-1、TMS-1、TRST-1、TDO-1分别为微控制器(21)的并行输出端口。SW1、SW2为模拟开关,可分别采用MOTOROLA公司的CC4053或与CC4053相当的国产CMOS模拟开关,一块CC4053有三组独立的单刀双掷双向模拟开关,每个独立的模拟开关都有一个控制端。
在图5中,信息处理子系统(2)的控制器(31)为微控制器,存储器(32)为易失的随机存储器SDRAM和非易失的FLASH存储器,输入输出接口(33)中有USB接口。采用嵌入式操作系统WINDOWS CE,具有大量丰富、实用、便利和优秀的通用应用软件。微控制器和FLASH存储器选用Intel xScal PXA263,Intel xScalPXA263是多芯片组件(MCM)封装,封装了Intel xScal PXA250微控制器和32MBFLASH存储器,该FLASH存储器的数据总线、地址总线和大部分控制总线封装在多芯片组件内部,没有引脚引出,在多芯片组件外不可控制。但是,该FLASH存储器的写保护输入端nWP、擦除与编程和块锁定使能输入端VPEN有引脚引出。
微控制器(21)的串行接口MCU21-1与微控制器(31)的串行接口MCU31-1相连接,串行接口MCU21-2与信息传输子系统(4)的CDMA2000 1X无线通信模块的串行接口相连接,开关网络(25)中开关SW1的SW1-1与微控制器(21)的多媒体存储卡(MMC)接口MCU21-3相连接,SW1-2与微控制器(31)的多媒体存储卡(MMC)接口MCU31-2相连接,SW1-3与信息存储子系统(3)的多媒体存储卡(MMC)相连接。SW2的SW2-1与信息处理子系统(2)的USB接口IO33-1相连接,SW2-2与微控制器(21)的USB接口MCU21-4相连接,SW2-3与外设输入输出接口(6)的USB接口相连接。微控制器(31)和FLASH存储器组成的多芯片组件PXA263的写保护端nWP与K2相连接,PXA263的擦除与编程和块锁定使能输入端VPEN与K4相连接。微控制器(21)分别控制电源管理芯片中系统总电源和各部分电源的控制端。
多媒体存储卡(MMC)接口中片选输入线MMCCS、命令输入线MMCCMD、时钟输入线MMCCLK、数据输入输出线MMCDAT、卡检测线MMCDETECT共有5线,USB接口中数据正端(USBDP)和数据负端(USBDN)、电源检测(USBPW)共有3线。因此,开关网络(25)需要5个SW1模拟开关、3个SW2模拟开关。每个模拟开关SW1的控制端都和K1连接,每个模拟开关SW2的控制端都和K3连接。
系统启动时,微控制器(21)通过串行接口MCU21-1/MCU31-1通知微控制器(31)在显示(8)上提示用户进行身份鉴别。用户身份鉴别检测(5)将用户指纹数据输送到微控制器(21),在本地用户身份鉴别或者经串行接口MCU21-2和信息传输子系统(4)的CDMA2000 1X无线通信模块和服务器加密通信通过网络进行用户身份鉴别。在用户身份鉴别后,微控制器(21)通过MCU21-1、MCU21-2、TCK-1、TMS-1、TDI-1、TDO-1、TRST-1对各部分进行设备身份鉴别,检测设备能力,特别是信息输入输出通道和残余信息滞留能力。
在加密工作方式,微控制器(21)的K1控制开关网络(25)模拟开关SW1,使信息存储子系统(3)的多媒体存储卡(MMC)与微控制器(21)相连接,与微控制器(31)断开。K3控制开关网络(25)模拟开关SW2,使外设输入输出接口(6)的USB接口与微控制器(21)相连接,与信息处理子系统(2)的USB接口IO33-1断开。K2与K4控制多芯片组件PXA263写保护端nWP和擦除与编程和块锁定使能输入端VPEN,使该FLASH存储器成为只读存储器。因此,安全隔离与监控子系统(1)通过信息加密解密,可接入多媒体存储卡(MMC),可与USB外围设备交换信息,可经信息传输子系统(4)接入CDMA2000 1X公众蜂窝移动通信网。信息处理子系统(2)可接入本子系统的易失SDRAM存储器(32)和非易失只读FLASH存储器。信息处理子系统(2)的信息经安全隔离与监控子系统(1)加密,可存于多媒体存储卡(MMC),或发送到USB外设,或通过信息传输子系统(4)和CDMA2000 1X公众蜂窝移动通信网传输。反之,通过信息传输子系统(4)和CDMA2000 1X公众蜂窝移动通信网传输来的或从多媒体存储卡(MMC)读取的加密信息,或从USB外设读取的加密信息,经安全隔离与监控子系统(1)解密,或从多媒体存储卡(MMC)读取未加密信息,或从USB外设读取的未加密信息,送到信息处理子系统(2)处理。
在工作过程中,微控制器(21)生成JTAG采样指令或/和内核总线跟踪监视专用指令,监视各子系统的状态和信息流,形成“黑盒子”,用于安全审计,特别可监视微控制器(31)对其多芯片组件内的FLASH存储器的写操作。
工作完毕,微控制器(21)可生成JTAG内核总线跟踪监视专用指令,接入各子系统中微控制器等芯片内部的寄存器、缓冲器、存储器,将它们清空。生成JTAG外部测试指令,接入各子系统中的易失随机存储器,将它们清空。或者微控制器(21)控制各部分电源断开,使易失存储器中数据丢失。根据信息安全等级的需要,可由微控制器(21)生成JTAG外部测试指令,对微控制器(31)的多芯片组件内的FLASH存储器全部擦除,重新编程。
内网工作方式和加密工作方式类似。由于移动信息终端一般是以外网作为传输通道来接入内网的。因此,通过信息加密形成信息安全通道和加密存储。
在外网工作方式,微控制器(21)的K1控制开关网络(25)模拟开关SW1,使信息存储子系统(3)的多媒体存储卡(MMC)与微控制器(31)相连接,与微控制器(21)断开。K3控制开关网络(25)模拟开关SW2,使外设输入输出接口(6)的USB接口与信息处理子系统(2)的USB接口IO33-1相连接,与微控制器(21)断开。K2与K4控制多芯片组件PXA263 FLASH存储器写保护端nWP和擦除与编程和块锁定使能输入端VPEN,使该FLASH存储器成为电可改写存储器。因此,安全隔离与监控子系统(1)可经信息传输子系统(4)接入CDMA2000 1X公众蜂窝移动通信网,再经CDMA2000 1X公众蜂窝移动通信网接入国际互联网等外网。信息处理子系统(2)可接入本子系统的易失SDRAM存储器(32)和非易失电可改写FLASH存储器、信息存储子系统(3)的多媒体存储卡(MMC)和USB外设。信息处理子系统(2)的信息由安全隔离与监控子系统(1)通过信息传输子系统(4)和CDMA2000 1X公众蜂窝移动通信网传输。反之,通过信息传输子系统(4)和CDMA2000 1X公众蜂窝移动通信网传输来的信息,经安全隔离与监控子系统(1)送到信息处理子系统(2)处理。
实施方式2实施方式2是一种手持式安全隔离与监控移动信息终端。在实施方式2中,安全隔离与监控子系统(1)由具有相应资质的机构提供,信息处理子系统(2)为掌上电脑。信息存储子系统(3)为一个多媒体存储卡(MMC),具有串行通信接口。信息传输子系统(4)有两个独立的传输通道,一个传输通道(外网通道)为CDMA2000 1X无线通信模块,具有串行接口和JTAG接口,另一个传输通道(内网通道)为IEEE 802.11b/g无线局域网通信模块,具有USB接口和JTAG接口。用户身份鉴别检测(5)为键盘输入口令,共用键盘与触摸屏笔写输入(7),外设输入输出接口(6)为USB接口,显示及接口(8)为TFT LCD显示器模块,摄像头(11)为CMOS半导体摄像头模块。具有键盘与触摸屏笔写输入(7)、麦克风与音频输入(9)、音频输出与喇叭(10)。除安全隔离与监控子系统(1)之外,信息处理子系统(2)分别与其它各部分相连接,这是一个现有的移动信息终端,有独立的电可改写非易失存储器和独立的外设输入输出接口USB,没有安全隔离与监控能力。对该现有终端不作改动,通过增加安全隔离与监控子系统(1),使它具备安全隔离与监控能力。
安全隔离与监控子系统(1)和该现有移动信息终端的连接,主要是JTAG接口(连接关系如图3)和电源控制线的连接。安全隔离与监控子系统(1)与实施方式1的类似,如果现有终端的电源控制线不便引出,可用类似图4中的开关控制,该开关为大电流半导体开关。
系统启动时,微控制器(21)生成外部测试指令,通过JTAG端口,将键盘与触摸屏笔写输入(7)、显示及接口(8)与其相接的微控制器(31)物理上隔离,并驱动它们,返回响应。用户根据显示器的提示,通过键盘与触摸屏笔写输入或修改口令、选择工作方式或启动网络切换。生成JTAG指令对各部分进行设备身份鉴别,检测设备能力,特别是信息输入输出通道和残余信息滞留能力。
在内网工作方式,微控制器(21)生成外部测试指令或者内部测试指令或者高阻态指令使信息传输子系统(4)中CDMA2000 1X无线通信模块(外网通道)中JTAG器件与外部隔离断开,IEEE 802.11b/g无线局域网通信模块(内网通道)正常工作。生成CLAMP指令使微控制器(31)的FLASH存储器接口的一部分地址线为一个固定的电平,使微控制器(31)使用FLASH存储器中的一个分区(内网分区)。在工作过程中,微控制器(21)生成JTAG采样指令实时监视电可改写非易失存储器(特别是外网分区)的读写控制端、编程电压端及存储器其它接口、外设USB接口、多媒体存储卡(MMC)接口,发现越权,就停止正常工作,保存安全事务记录,销毁有关信息。并可实时监视控制器输入输出引脚的数据流,形成“黑盒子”数据,用于安全审计跟踪。生成JTAG跟踪缓冲专用指令,启动芯片内部跟踪缓冲,通过JTAG访问跟踪缓冲结果,实施比JTAG采样指令更高速的内核总线监视。
在外网工作方式,微控制器(21)生成外部测试指令或者内部测试指令或者高阻态指令使信息传输子系统(4)中IEEE 802.11b/g无线局域网通信模块(内网通道)中JTAG器件与外部隔离断开,CDMA2000 1X无线通信模块(外网通道)正常工作。生成CLAMP指令使微控制器(31)的FLASH存储器接口的一部分地址线为一个固定的电平,使微控制器(31)使用FLASH存储器中的另一个分区(外网分区)。在工作过程中,微控制器(21)生成JTAG采样指令实时监视电可改写非易失存储器(特别是内网分区)的读写控制端、编程电压端及存储器其它接口,发现越权,就停止正常工作,保存安全事务记录,销毁有关信息。并可实时监视控制器输入输出引脚的数据流,形成“黑盒子”数据,用于安全审计跟踪。
工作完毕,微控制器(21)可生成JTAG内核总线跟踪监视专用指令,接入各子系统中微控制器等芯片内部的寄存器、缓冲器、存储器,将它们清空。生成JTAG外部测试指令,接入各子系统中的易失随机存储器,将它们清空。或者微控制器(21)控制各部分电源断开,使易失存储器中数据丢失。根据信息安全等级的需要,可由微控制器(21)生成JTAG外部测试指令,将FLASH存储器全部擦除,重新编程。
采用信息加密,也可在外网工作方式,通过CDMA2000 1X移动通信网远程接入内网或端到端的通信。在外网工作方式获取所需要的加密的内网信息后,退出外网工作方式。微控制器(21)生成外部测试指令或者内部测试指令或者高阻态指令使信息传输子系统(4)、微控制器(31)都与外部隔离断开,微控制器(21)生成外部测试指令接入FLASH存储器中内网分区和外网分区,将外网分区中的加密信息解密后存于内网分区中。然后,进入内网(脱网)工作方式,处理解密后的内网信息。
反之,将内网分区中的信息加密后存于外网分区中。然后,进入外网工作方式,将加密后的信息通过外网传输给远程的内网或端到端用户。
权利要求1.一种安全隔离与监控信息终端,由安全隔离与监控子系统(1)、信息处理子系统(2)、信息存储子系统(3)、信息传输子系统(4)、用户身份鉴别检测(5)、外设输入输出接口(6)、键盘与触摸屏笔写输入(7)、显示及接口(8)、麦克风与音频输入(9)、音频输出与喇叭(10)、摄像头输入(11)各部分组成,其特征在于安全隔离与监控子系统(1)的开关网络(25)开关端与各组成部分相连接,或/和安全隔离与监控子系统(1)分别与各组成部分连接成一个或多个JTAG菊花链,将它们物理上相互连通或断开隔离。
2.根据权利要求1所述的一种安全隔离与监控信息终端,其特征在于安全隔离与监控子系统(1)由微控制器(21)、存储器(22)、JTAG控制与JTAG ICE控制器(23)、加密与解密(24)、开关网络(25)、输入输出接口(26)组成,微控制器(21)分别与其它各组成部分相连接,还与开关网络(25)的控制端相连接,JTAG控制与JTAG ICE控制器(23)、加密与解密(24)可以是集成电路芯片或者是微控制器(21)软件的一部分。
3.根据权利要求1所述的一种安全隔离与监控信息终端,其特征在于信息处理子系统(2),由控制器(31)、存储器(32)、输入输出接口(33)组成,控制器(31)是与JTAG兼容的中央处理单元(CPU)或微控制器(MCU)或/和数字信号处理器(DSP),分别与存储器(32)、输入输出接口(33)相连接,控制器(31)的存储器接口、输入输出接口(33)的另一端可与开关网络(25)的开关端相连接,控制器(31)与微控制器(21)可用并行接口或串行接口相连接。
4.根据权利要求1所述的一种安全隔离与监控信息终端,其特征在于信息存储子系统(3)可以是一个或多个物理上相互隔离的存储器,存储器接口和微控制器(21)或者和开关网络(25)的开关端相连接。
5.根据权利要求1所述的一种安全隔离与监控信息终端,其特征在于信息传输子系统(4)可以是一个或多个物理上相互隔离的信息传输通道,它们的接口和微控制器(21)或者和开关网络(25)的开关端相连接,它们的JTAG器件和JTAG控制与JTAG ICE控制器(23)连接成JTAG菊花链。
6.根据权利要求1所述的一种安全隔离与监控信息终端,其特征在于它的各组成部分可以是自治子系统,可具有设备身份鉴别算法或设备身份鉴别码,电源控制端与微控制器(21)相连接。
7.根据权利要求1所述的一种安全隔离与监控信息终端,其特征在于安全隔离与监控子系统(1)动态连接与断开隔离各组成部分,重构为各种不同安全等级的信息终端。
8.根据权利要求1所述的一种安全隔离与监控信息终端,其特征在于安全隔离与监控子系统(1)可以隔离断开自治子系统的控制器,和自治子系统的存储器、外围器件与外围设备相连接,或者隔离断开自治子系统的存储器、外围器件与外围设备,与控制器相连接,或者与自治子系统控制器嵌入式跟踪与内核接入单元相连接,或者与自治子系统控制器各个输入输出引脚边界扫描单元相连接。
专利摘要一种安全隔离与监控信息终端由安全隔离与监控子系统、信息处理子系统、信息存储子系统、信息传输子系统、用户身份鉴别检测、外设输入输出接口、键盘与触摸屏笔写输入、显示、麦克风与音频输入、音频输出与喇叭、摄像头输入各部分组成。各组成部分可以是自治子系统,安全隔离与监控子系统的开关网络与各组成部分相连接,或/和安全隔离与监控子系统分别与各组成部分连接成一个或多个JTAG菊花链,将它们物理上相互连通或断开隔离,可以动态重构满足各种安全等级的信息终端,深入自治子系统内部,隔离它的控制器,独立行使该控制器的职能,可以实时监视自治子系统的运行,并形成”黑盒子”数据,用于安全审计跟踪,能够将大量丰富而便利的信息安全能力差、网络隔离、端口隔离、存储隔离能力差的设备、模块组件、器件、软件用于信息安全业务中,实现网络隔离、端口隔离、存储隔离、设备隔离、用户隔离控制与监测。
文档编号H04L29/12GK2753062SQ20042009155
公开日2006年1月18日 申请日期2004年9月5日 优先权日2004年9月5日
发明者刘燕南 申请人:刘燕南