多接口LRM加密板卡的制作方法

本发明涉及一种加密板卡，特别是一种具有pcie接口、以太网接口、usb接口和rs-422串口的多接口lrm加密板卡。

背景技术：

导弹火控系统的武器控制设备是导弹武器系统的重要组成部分，主要完成目标指示信息的接收和处理，进行航路规划、导弹分配及控制导弹的发射等功能。这些功能主要是由武器控制设备计算机上的核心功能软件来完成的，为了加强对核心功能软件的保护，防止军工产品的核心技术泄漏，需通过一定措施，对核心功能软件进行加密处理。因此有必要研制一种多接口的lrm加密板卡，以满足武器控制设备内核心软件的加密需求。用户可以根据武器控制设备上的接口情况来选用lrm加密板卡上的相应接口来进行加解密。

技术实现要素：

本发明一种多接口lrm加密板卡，用于解决上述现有技术的问题。

本发明一种多接口lrm加密板卡，其中，包括：安全芯片、密钥管理芯片、flash、ddr、串口电平转换电路、网络接口电路、时钟电路以及复位电路；安全芯片实现数据的加解密运算及各接口的通讯处理，密钥管理芯片负责密钥的生成和管理，采用真随机数发生器生成的真随机数作为加解密外界输入初始密钥的密钥；存储器模块用于密文的存储；ddr用于处理大数据量的中间缓存；串口电平转换电路实现ttl电平与上位机rs-422串口电平的匹配；网络接口电路实现mac接口与上位机以太网接口的匹配。

根据本发明的多接口lrm加密板卡的一实施例，其中，对外接口包括usb接口、rs422串行接口、pcie接口以及千兆以太网接口。

根据本发明的多接口lrm加密板卡的一实施例，其中，基于usb通讯接口，经加密板卡加密处理后的密文进行存储，每次系统重启时，加密板卡先执行本地解密操作，然后将明文经usb口送入计算机模块的临时ram中执行，进行数据的断电密文存储，上电后明文运行，系统掉电后明文立即消失。

根据本发明的多接口lrm加密板卡的一实施例，其中，基于pcie总线接口，经加密板卡加密处理后的密文存储，每次系统重启时，加密板卡先执行本地解密操作，然后将明文经pcie接口送入计算机模块的临时ram中执行，进行数据的断电密文存储，上电后明文运行，系统掉电后明文立即消失。

根据本发明的多接口lrm加密板卡的一实施例，其中，基于以太网接口，经加密板卡加密处理后的密文进行存储，每次系统重启时，加密板卡先执行本地解密操作，然后将明文经以太网接口送入计算机模块的临时ram中执行，进行数据的断电密文存储，上电后明文运行，系统掉电后明文立即消失。

根据本发明的多接口lrm加密板卡的一实施例，其中，基于rs-422通讯接口，加密板卡为待保护的计算机模块输送密钥，外界输入初始密钥的密钥由模块板上的安全芯片中的真随机数发生器产生，存储在安全芯片中的固定存储空间，加密后的密钥以密文的方式存储在模块板上的物理区域。

根据本发明的多接口lrm加密板卡的一实施例，其中，usb口、pcie接口和以太网接口加密方式将数据的加密要求默认为写操作、解密要求默认为读操作，当计算机模块执行加解密数据流控制写程序时，经usb口、pcie接口或以太网接口向加密板卡发送写数据命令，加密板卡就启动加密引擎控制程序，将接收到的数据送入安全芯片，执行加密处理并存储于flash中。

根据本发明的多接口lrm加密板卡的一实施例，其中，当计算机模块执行加解密数据流控制读程序，经usb口、pcie接口或以太网接口向加密板卡发送读数据命令时，加密板卡就启动解密引擎控制程序，将从norflash中读取的数据送入解密处理电路，执行解密处理并经usb口、pcie接口或以太网接口送入计算机模块中的临时内存中。

根据本发明的多接口lrm加密板卡的一实施例，其中，，计算机模块通过串口从加密板卡上获取密钥进行软件加解密操作，加密后的密文存储于计算机主机板的固态盘上，解密后的明文存储于计算机模块中的临时内存中。

根据本发明的多接口lrm加密板卡的一实施例，其中，安全芯片为ccp901t。

本发明的优点是：

1.通用性强，对外预留了4种接口进行加解密操作，即pcie接口、千兆以太网接口、usb接口、rs422串行接口，用户可根据系统已有接口和需要选择其中一种。

2.主处理器、存储器和接口芯片全部采用国产化芯片，自主可控性高。

3.在校验出错重发机制的基础上，增加了备用解密方式，当usb接口，以太网接口或者pcie接口通讯故障，解密失败时自动启动串口解密方式，保证系统能正常启动，可靠性高。

4.采用模块板卡进行硬件加密，可移植性高，便于以后系统的模块化设计。

5.该加密方案，不更改原软件开发过程，不影响原软件开发，型号若要加密，只需要把系统镜像、应用程序、库文件加密后存贮在加密板卡的电子盘中既可。

附图说明

图1为多接口lrm加密板卡的组成框图；

图2为板卡的加密流程图；

图3为板卡的解密流程图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图1为多接口lrm加密板卡的组成框图，如图1所示，本发明一种多接口的lrm加密板卡，对外预留了4种接口，即usb接口、rs422串行接口、pcie接口、千兆以太网接口，可以根据需要选取其中的接口进行加解密操作；多接口lrm加密板卡由ccp901t安全处理器、存储器的架构构成，它通过usb接口、rs422串行接口、pcie总线接口或千兆以太网接口中的一种与上位机进行通信，组成框图如图1所示。

多接口lrm加密板卡的硬件由安全处理器ccp901t、密钥管理芯片ccm3301、flash、ddr3、串口电平转换电路、网络接口电路、时钟电路、复位电路和电源等组成，如图2所示。安全处理器选用的是ccp901t，它是功能核心，主要实现数据的加(解)密运算及各接口的通讯处理，ccp901t采用powerpc处理器架构，加(解)密运算部件是内置的算法固件，在80mhz的时钟下的实测处理速度为70mb/s；密钥管理芯片ccm3301负责密钥的生成和管理，采用真随机数发生器(trng)生成的真随机数作为加(解)密外界输入初始密钥的密钥，存储在ccm3301中的固定存储空间；存储器模块主要由norflash和ddr3组成，其中norflash选择深圳国微的sm29gl512芯片，共512mb的存储容量，主要用于密文的存储；而ddr3选择深圳国微的sm41j256m16m，共1gb的内存容量，主要用于处理大数据量的中间缓存。接口处理模块主要包括接口信号的转接和端口电平的匹配，本设计中主要涉及串行接口和以太网接口，针对处理器芯片的串口ttl电平，选用sm490芯片，实现ttl电平与上位机rs-422串口电平的匹配；针对处理器芯片的以太网mac接口，选用88e1111作为以太网phy层芯片，选用hst-24022作为网络变压器，实现mac接口与上位机以太网接口的匹配。

图2为板卡的加密流程图，图3为板卡的解密流程图，如图2以及图3所示，基于4种通讯接口的加解密方式：

方式一：基于usb通讯接口，经加密板卡加密处理后的密文存储于本地的norflash中，每次系统重启时，加密板卡先执行本地解密操作，然后将明文经usb口送入计算机模块的临时ram中执行，这样实现了关键数据的静态(断电时)密文存储，动态(上电后)明文运行，系统掉电后明文立即消失。

方式二：基于pcie总线接口，经加密板卡加密处理后的密文存储于本地的norflash中，每次系统重启时，加密板卡先执行本地解密操作，然后将明文经pcie接口送入计算机模块的临时ram中执行，这样实现了关键数据的静态(断电时)密文存储，动态(上电后)明文运行，系统掉电后明文立即消失。

方式三：基于以太网接口，经加密板卡加密处理后的密文存储于本地的norflash中，每次系统重启时，加密板卡先执行本地解密操作，然后将明文经以太网接口送入计算机模块的临时ram中执行，这样实现了关键数据的静态(断电时)密文存储，动态(上电后)明文运行，系统掉电后明文立即消失。

方式四：基于rs-422通讯接口，加密板卡为待保护的计算机模块输送密钥，外界输入初始密钥的密钥由模块板上的专用安全芯片中的真随机数发生器产生，存储在安全芯片中的固定存储空间，加密后的密钥以密文的方式存储在模块板上的特殊物理区域，防攻击能力强，安全性高。加解密功能由计算机模块中的软件加密方法实现。

方式一、方式二和方式三的加密流程：usb口、pcie接口和以太网接口加密方式将数据的加密要求默认为写操作、解密要求默认为读操作，即当计算机模块执行加解密数据流控制写程序时，经usb口、pcie接口或以太网接口向加密板卡发送写数据命令，加密板卡就启动加密引擎控制程序，将接收到的数据送入加密处理电路，执行加密处理并存储于norflash中；

方式一、方式二和方式三的解密流程：当计算机模块执行加解密数据流控制读程序，经usb口、pcie接口或以太网接口向加密板卡发送读数据命令时，加密板卡就启动解密引擎控制程序，将从norflash中读取的数据送入解密处理电路，执行解密处理并经usb口、pcie接口或以太网接口送入计算机模块中的临时内存中。

需要说明的是，因为待保护的敏感数据仅需要执行一次加密操作，将密文存储到加密板卡中后，后续在应用时均执行解密操作即可。所以将计算机模块外接的移动存储卡中的明文加密后，系统在后续的启动中默认启动解密引擎程序，这样在后续应用时，当系统再启动时，就直接解密运行。

方式四的加解密流程：计算机模块通过串口从加密板卡上获取密钥进行软件加解密操作。加密后的密文存储于计算机主机板的固态盘上，解密后的明文存储于计算机模块中的临时内存中。此方式下加密板卡仅起到为计算机模块提供密钥的作用。

本发明的优点是：

1.通用性强，对外预留了4种接口进行加解密操作，即pcie接口、千兆以太网接口、usb接口、rs422串行接口，用户可根据系统已有接口和需要选择其中一种。

2.主处理器、存储器和接口芯片全部采用国产化芯片，自主可控性高。

3.在校验出错重发机制的基础上，增加了备用解密方式，当usb接口，以太网接口或者pcie接口通讯故障，解密失败时自动启动串口解密方式，保证系统能正常启动，可靠性高。

4.采用模块板卡进行硬件加密，可移植性高，便于以后系统的模块化设计。

5.该加密方案，不更改原软件开发过程，不影响原软件开发，型号若要加密，只需要把系统镜像、应用程序、库文件加密后存贮在加密板卡的电子盘中既可。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。