CN110929298A - 多接口lrm加密板卡 - Google Patents

多接口lrm加密板卡 Download PDF

Info

Publication number
CN110929298A
CN110929298A CN201911143067.XA CN201911143067A CN110929298A CN 110929298 A CN110929298 A CN 110929298A CN 201911143067 A CN201911143067 A CN 201911143067A CN 110929298 A CN110929298 A CN 110929298A
Authority
CN
China
Prior art keywords
interface
encryption
decryption
lrm
encryption board
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911143067.XA
Other languages
English (en)
Inventor
张凌烽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin Jinhang Computing Technology Research Institute
Original Assignee
Tianjin Jinhang Computing Technology Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin Jinhang Computing Technology Research Institute filed Critical Tianjin Jinhang Computing Technology Research Institute
Priority to CN201911143067.XA priority Critical patent/CN110929298A/zh
Publication of CN110929298A publication Critical patent/CN110929298A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4004Coupling between buses
    • G06F13/4022Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4063Device-to-bus coupling
    • G06F13/4068Electrical coupling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/0026PCI express
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/0042Universal serial bus [USB]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种多接口LRM加密板卡,其中,包括:安全芯片实现数据的加解密运算及各接口的通讯处理,密钥管理芯片负责密钥的生成和管理,采用真随机数发生器生成的真随机数作为加解密外界输入初始密钥的密钥;存储器模块用于密文的存储;DDR用于处理大数据量的中间缓存;串口电平转换电路实现TTL电平与上位机RS‑422串口电平的匹配;网络接口电路实现MAC接口与上位机以太网接口的匹配。使用该加密板卡可完成武器控制设备内核心软件的加解密功能,并且该加密板卡具有多接口、通用化的特点。

Description

多接口LRM加密板卡
技术领域
本发明涉及一种加密板卡,特别是一种具有PCIE接口、以太网接口、USB接口和RS-422串口的多接口LRM加密板卡。
背景技术
导弹火控系统的武器控制设备是导弹武器系统的重要组成部分,主要完成目标指示信息的接收和处理,进行航路规划、导弹分配及控制导弹的发射等功能。这些功能主要是由武器控制设备计算机上的核心功能软件来完成的,为了加强对核心功能软件的保护,防止军工产品的核心技术泄漏,需通过一定措施,对核心功能软件进行加密处理。因此有必要研制一种多接口的LRM加密板卡,以满足武器控制设备内核心软件的加密需求。用户可以根据武器控制设备上的接口情况来选用LRM加密板卡上的相应接口来进行加解密。
发明内容
本发明一种多接口LRM加密板卡,用于解决上述现有技术的问题。
本发明一种多接口LRM加密板卡,其中,包括:安全芯片、密钥管理芯片、FLASH、DDR、串口电平转换电路、网络接口电路、时钟电路以及复位电路;安全芯片实现数据的加解密运算及各接口的通讯处理,密钥管理芯片负责密钥的生成和管理,采用真随机数发生器生成的真随机数作为加解密外界输入初始密钥的密钥;存储器模块用于密文的存储;DDR用于处理大数据量的中间缓存;串口电平转换电路实现TTL电平与上位机RS-422串口电平的匹配;网络接口电路实现MAC接口与上位机以太网接口的匹配。
根据本发明的多接口LRM加密板卡的一实施例,其中,对外接口包括USB接口、RS422串行接口、PCIE接口以及千兆以太网接口。
根据本发明的多接口LRM加密板卡的一实施例,其中,基于USB通讯接口,经加密板卡加密处理后的密文进行存储,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经USB口送入计算机模块的临时RAM中执行,进行数据的断电密文存储,上电后明文运行,系统掉电后明文立即消失。
根据本发明的多接口LRM加密板卡的一实施例,其中,基于PCIE总线接口,经加密板卡加密处理后的密文存储,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经PCIE接口送入计算机模块的临时RAM中执行,进行数据的断电密文存储,上电后明文运行,系统掉电后明文立即消失。
根据本发明的多接口LRM加密板卡的一实施例,其中,基于以太网接口,经加密板卡加密处理后的密文进行存储,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经以太网接口送入计算机模块的临时RAM中执行,进行数据的断电密文存储,上电后明文运行,系统掉电后明文立即消失。
根据本发明的多接口LRM加密板卡的一实施例,其中,基于RS-422通讯接口,加密板卡为待保护的计算机模块输送密钥,外界输入初始密钥的密钥由模块板上的安全芯片中的真随机数发生器产生,存储在安全芯片中的固定存储空间,加密后的密钥以密文的方式存储在模块板上的物理区域。
根据本发明的多接口LRM加密板卡的一实施例,其中,USB口、PCIE接口和以太网接口加密方式将数据的加密要求默认为写操作、解密要求默认为读操作,当计算机模块执行加解密数据流控制写程序时,经USB口、PCIE接口或以太网接口向加密板卡发送写数据命令,加密板卡就启动加密引擎控制程序,将接收到的数据送入安全芯片,执行加密处理并存储于Flash中。
根据本发明的多接口LRM加密板卡的一实施例,其中,当计算机模块执行加解密数据流控制读程序,经USB口、PCIE接口或以太网接口向加密板卡发送读数据命令时,加密板卡就启动解密引擎控制程序,将从NORFlash中读取的数据送入解密处理电路,执行解密处理并经USB口、PCIE接口或以太网接口送入计算机模块中的临时内存中。
根据本发明的多接口LRM加密板卡的一实施例,其中,,计算机模块通过串口从加密板卡上获取密钥进行软件加解密操作,加密后的密文存储于计算机主机板的固态盘上,解密后的明文存储于计算机模块中的临时内存中。
根据本发明的多接口LRM加密板卡的一实施例,其中,安全芯片为CCP901T。
本发明的优点是:
1.通用性强,对外预留了4种接口进行加解密操作,即PCIE接口、千兆以太网接口、USB接口、RS422串行接口,用户可根据系统已有接口和需要选择其中一种。
2.主处理器、存储器和接口芯片全部采用国产化芯片,自主可控性高。
3.在校验出错重发机制的基础上,增加了备用解密方式,当USB接口,以太网接口或者PCIE接口通讯故障,解密失败时自动启动串口解密方式,保证系统能正常启动,可靠性高。
4.采用模块板卡进行硬件加密,可移植性高,便于以后系统的模块化设计。
5.该加密方案,不更改原软件开发过程,不影响原软件开发,型号若要加密,只需要把系统镜像、应用程序、库文件加密后存贮在加密板卡的电子盘中既可。
附图说明
图1为多接口LRM加密板卡的组成框图;
图2为板卡的加密流程图;
图3为板卡的解密流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1为多接口LRM加密板卡的组成框图,如图1所示,本发明一种多接口的LRM加密板卡,对外预留了4种接口,即USB接口、RS422串行接口、PCIE接口、千兆以太网接口,可以根据需要选取其中的接口进行加解密操作;多接口LRM加密板卡由CCP901T安全处理器、存储器的架构构成,它通过USB接口、RS422串行接口、PCIE总线接口或千兆以太网接口中的一种与上位机进行通信,组成框图如图1所示。
多接口LRM加密板卡的硬件由安全处理器CCP901T、密钥管理芯片CCM3301、FLASH、DDR3、串口电平转换电路、网络接口电路、时钟电路、复位电路和电源等组成,如图2所示。安全处理器选用的是CCP901T,它是功能核心,主要实现数据的加(解)密运算及各接口的通讯处理,CCP901T采用Power PC处理器架构,加(解)密运算部件是内置的算法固件,在80MHz的时钟下的实测处理速度为70MB/s;密钥管理芯片CCM3301负责密钥的生成和管理,采用真随机数发生器(TRNG)生成的真随机数作为加(解)密外界输入初始密钥的密钥,存储在CCM3301中的固定存储空间;存储器模块主要由NOR FLASH和DDR3组成,其中NOR FLASH选择深圳国微的SM29GL512芯片,共512MB的存储容量,主要用于密文的存储;而DDR3选择深圳国微的SM41J256M16M,共1GB的内存容量,主要用于处理大数据量的中间缓存。接口处理模块主要包括接口信号的转接和端口电平的匹配,本设计中主要涉及串行接口和以太网接口,针对处理器芯片的串口TTL电平,选用SM490芯片,实现TTL电平与上位机RS-422串口电平的匹配;针对处理器芯片的以太网MAC接口,选用88E1111作为以太网PHY层芯片,选用HST-24022作为网络变压器,实现MAC接口与上位机以太网接口的匹配。
图2为板卡的加密流程图,图3为板卡的解密流程图,如图2以及图3所示,基于4种通讯接口的加解密方式:
方式一:基于USB通讯接口,经加密板卡加密处理后的密文存储于本地的NORFLASH中,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经USB口送入计算机模块的临时RAM中执行,这样实现了关键数据的静态(断电时)密文存储,动态(上电后)明文运行,系统掉电后明文立即消失。
方式二:基于PCIE总线接口,经加密板卡加密处理后的密文存储于本地的NORFLASH中,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经PCIE接口送入计算机模块的临时RAM中执行,这样实现了关键数据的静态(断电时)密文存储,动态(上电后)明文运行,系统掉电后明文立即消失。
方式三:基于以太网接口,经加密板卡加密处理后的密文存储于本地的NOR FLASH中,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经以太网接口送入计算机模块的临时RAM中执行,这样实现了关键数据的静态(断电时)密文存储,动态(上电后)明文运行,系统掉电后明文立即消失。
方式四:基于RS-422通讯接口,加密板卡为待保护的计算机模块输送密钥,外界输入初始密钥的密钥由模块板上的专用安全芯片中的真随机数发生器产生,存储在安全芯片中的固定存储空间,加密后的密钥以密文的方式存储在模块板上的特殊物理区域,防攻击能力强,安全性高。加解密功能由计算机模块中的软件加密方法实现。
方式一、方式二和方式三的加密流程:USB口、PCIE接口和以太网接口加密方式将数据的加密要求默认为写操作、解密要求默认为读操作,即当计算机模块执行加解密数据流控制写程序时,经USB口、PCIE接口或以太网接口向加密板卡发送写数据命令,加密板卡就启动加密引擎控制程序,将接收到的数据送入加密处理电路,执行加密处理并存储于NORFlash中;
方式一、方式二和方式三的解密流程:当计算机模块执行加解密数据流控制读程序,经USB口、PCIE接口或以太网接口向加密板卡发送读数据命令时,加密板卡就启动解密引擎控制程序,将从NORFlash中读取的数据送入解密处理电路,执行解密处理并经USB口、PCIE接口或以太网接口送入计算机模块中的临时内存中。
需要说明的是,因为待保护的敏感数据仅需要执行一次加密操作,将密文存储到加密板卡中后,后续在应用时均执行解密操作即可。所以将计算机模块外接的移动存储卡中的明文加密后,系统在后续的启动中默认启动解密引擎程序,这样在后续应用时,当系统再启动时,就直接解密运行。
方式四的加解密流程:计算机模块通过串口从加密板卡上获取密钥进行软件加解密操作。加密后的密文存储于计算机主机板的固态盘上,解密后的明文存储于计算机模块中的临时内存中。此方式下加密板卡仅起到为计算机模块提供密钥的作用。
本发明的优点是:
1.通用性强,对外预留了4种接口进行加解密操作,即PCIE接口、千兆以太网接口、USB接口、RS422串行接口,用户可根据系统已有接口和需要选择其中一种。
2.主处理器、存储器和接口芯片全部采用国产化芯片,自主可控性高。
3.在校验出错重发机制的基础上,增加了备用解密方式,当USB接口,以太网接口或者PCIE接口通讯故障,解密失败时自动启动串口解密方式,保证系统能正常启动,可靠性高。
4.采用模块板卡进行硬件加密,可移植性高,便于以后系统的模块化设计。
5.该加密方案,不更改原软件开发过程,不影响原软件开发,型号若要加密,只需要把系统镜像、应用程序、库文件加密后存贮在加密板卡的电子盘中既可。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种多接口LRM加密板卡,其特征在于,包括:安全芯片、密钥管理芯片、FLASH、DDR、串口电平转换电路、网络接口电路、时钟电路以及复位电路;安全芯片实现数据的加解密运算及各接口的通讯处理,密钥管理芯片负责密钥的生成和管理,采用真随机数发生器生成的真随机数作为加解密外界输入初始密钥的密钥;存储器模块用于密文的存储;DDR用于处理大数据量的中间缓存;串口电平转换电路实现TTL电平与上位机RS-422串口电平的匹配;网络接口电路实现MAC接口与上位机以太网接口的匹配。
2.如权利要求1所述的多接口LRM加密板卡,其特征在于,对外接口包括USB接口、RS422串行接口、PCIE接口以及千兆以太网接口。
3.如权利要求1所述的多接口LRM加密板卡,其特征在于,基于USB通讯接口,经加密板卡加密处理后的密文进行存储,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经USB口送入计算机模块的临时RAM中执行,进行数据的断电密文存储,上电后明文运行,系统掉电后明文立即消失。
4.如权利要求1所述的多接口LRM加密板卡,其特征在于,基于PCIE总线接口,经加密板卡加密处理后的密文存储,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经PCIE接口送入计算机模块的临时RAM中执行,进行数据的断电密文存储,上电后明文运行,系统掉电后明文立即消失。
5.如权利要求1所述的多接口LRM加密板卡,其特征在于,基于以太网接口,经加密板卡加密处理后的密文进行存储,每次系统重启时,加密板卡先执行本地解密操作,然后将明文经以太网接口送入计算机模块的临时RAM中执行,进行数据的断电密文存储,上电后明文运行,系统掉电后明文立即消失。
6.如权利要求1所述的多接口LRM加密板卡,其特征在于,基于RS-422通讯接口,加密板卡为待保护的计算机模块输送密钥,外界输入初始密钥的密钥由模块板上的安全芯片中的真随机数发生器产生,存储在安全芯片中的固定存储空间,加密后的密钥以密文的方式存储在模块板上的物理区域。
7.如权利要求3-5所述的多接口LRM加密板卡,其特征在于,USB口、PCIE接口和以太网接口加密方式将数据的加密要求默认为写操作、解密要求默认为读操作,当计算机模块执行加解密数据流控制写程序时,经USB口、PCIE接口或以太网接口向加密板卡发送写数据命令,加密板卡就启动加密引擎控制程序,将接收到的数据送入安全芯片,执行加密处理并存储于Flash中。
8.如权利要求3-5所述的多接口LRM加密板卡,其特征在于,当计算机模块执行加解密数据流控制读程序,经USB口、PCIE接口或以太网接口向加密板卡发送读数据命令时,加密板卡就启动解密引擎控制程序,将从NORFlash中读取的数据送入解密处理电路,执行解密处理并经USB口、PCIE接口或以太网接口送入计算机模块中的临时内存中。
9.如权利要求6所述的多接口LRM加密板卡,其特征在于,计算机模块通过串口从加密板卡上获取密钥进行软件加解密操作,加密后的密文存储于计算机主机板的固态盘上,解密后的明文存储于计算机模块中的临时内存中。
10.如权利要求1所述的多接口LRM加密板卡,其特征在于,安全芯片为CCP901T。
CN201911143067.XA 2019-11-20 2019-11-20 多接口lrm加密板卡 Pending CN110929298A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911143067.XA CN110929298A (zh) 2019-11-20 2019-11-20 多接口lrm加密板卡

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911143067.XA CN110929298A (zh) 2019-11-20 2019-11-20 多接口lrm加密板卡

Publications (1)

Publication Number Publication Date
CN110929298A true CN110929298A (zh) 2020-03-27

Family

ID=69851429

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911143067.XA Pending CN110929298A (zh) 2019-11-20 2019-11-20 多接口lrm加密板卡

Country Status (1)

Country Link
CN (1) CN110929298A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111651355A (zh) * 2020-06-02 2020-09-11 上海菱沃铂智能技术有限公司 一种通信电压自适应的芯片仿真器电路及控制方法
CN111934859A (zh) * 2020-07-22 2020-11-13 北京三未信安科技发展有限公司 密码卡通信方法、密码卡、计算机设备
CN113312648A (zh) * 2021-06-23 2021-08-27 山西科潮科技有限公司 一种基于数据加密的通讯模块及通讯方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103400087A (zh) * 2013-08-08 2013-11-20 中国航天科工集团第三研究院第八三五七研究所 多接口加密板卡
WO2017092504A1 (zh) * 2015-12-03 2017-06-08 上海斐讯数据通信技术有限公司 一种具备硬件加解密功能的路由器及其加解密方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103400087A (zh) * 2013-08-08 2013-11-20 中国航天科工集团第三研究院第八三五七研究所 多接口加密板卡
WO2017092504A1 (zh) * 2015-12-03 2017-06-08 上海斐讯数据通信技术有限公司 一种具备硬件加解密功能的路由器及其加解密方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111651355A (zh) * 2020-06-02 2020-09-11 上海菱沃铂智能技术有限公司 一种通信电压自适应的芯片仿真器电路及控制方法
CN111934859A (zh) * 2020-07-22 2020-11-13 北京三未信安科技发展有限公司 密码卡通信方法、密码卡、计算机设备
CN113312648A (zh) * 2021-06-23 2021-08-27 山西科潮科技有限公司 一种基于数据加密的通讯模块及通讯方法
CN113312648B (zh) * 2021-06-23 2023-10-31 国网黑龙江省电力有限公司绥化供电公司 一种基于数据加密的通讯模块及通讯方法

Similar Documents

Publication Publication Date Title
KR101975027B1 (ko) 시스템 온 칩, 이의 동작 방법, 이를 포함하는 장치들
KR102453780B1 (ko) 액세스 보호 기법을 안전화하기 위한 장치 및 방법
CN110929298A (zh) 多接口lrm加密板卡
US11016678B2 (en) Channel optimized storage modules
KR102401088B1 (ko) 보안 장치, 이를 포함하는 전자 장치 및 전자 장치의 동작 방법
US11132132B2 (en) Storage apparatus including nonvolatile memory
EP2161673A1 (en) Method and system for protecting data
US11222144B2 (en) Self-encrypting storage device and protection method
CN102255888A (zh) 从远程服务器对数据存储设备进行安全扫描的方法和装置
EP3252991B1 (en) Application specific low-power secure key
CN111295645B (zh) 一种SoC芯片及总线访问控制方法
US20200183861A1 (en) Method and apparatus for sharing security metadata memory space
US11921645B2 (en) Securing data direct I/O for a secure accelerator interface
US20170039397A1 (en) Encryption/decryption apparatus, controller and encryption key protection method
US20190173875A1 (en) Memory device and host device
US11586775B2 (en) Securing data
CN114461553B (zh) 数据处理系统、电子装置、电子设备及数据处理方法
US20090259793A1 (en) System and method for effectively implementing an erase mode for a memory device
US11675524B2 (en) Isolated hardware data sanitize system and method
US12045339B2 (en) System on chip for cryptography applications including a monotonic counter and method of operation
US20230033630A1 (en) Embedded Hardware Security Module (HSM)
KR20180000206A (ko) 액티브 제어 회로, 이를 이용하는 내부 전압 생성 회로, 메모리 장치 및 시스템
CN116343852A (zh) 恶意攻击保护电路、片上系统及其操作方法
CN114115506A (zh) 计算机系统、电子装置及状态还原方法
KR20210016764A (ko) 시스템 온 칩

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200327

RJ01 Rejection of invention patent application after publication