CN112668026B - 一种抗辐照星载tcm装置 - Google Patents
一种抗辐照星载tcm装置 Download PDFInfo
- Publication number
- CN112668026B CN112668026B CN202011644653.5A CN202011644653A CN112668026B CN 112668026 B CN112668026 B CN 112668026B CN 202011644653 A CN202011644653 A CN 202011644653A CN 112668026 B CN112668026 B CN 112668026B
- Authority
- CN
- China
- Prior art keywords
- module
- tcm
- trusted
- chip
- logic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 239000003814 drug Substances 0.000 claims abstract description 6
- 238000003860 storage Methods 0.000 claims description 27
- 230000005855 radiation Effects 0.000 claims description 8
- 238000000034 method Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 3
- 238000013461 design Methods 0.000 abstract description 10
- 238000011161 development Methods 0.000 abstract description 5
- 230000010365 information processing Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 11
- 238000006243 chemical reaction Methods 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 6
- 230000006978 adaptation Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 239000013078 crystal Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000003471 anti-radiation Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 230000000191 radiation effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000007711 solidification Methods 0.000 description 1
- 230000008023 solidification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- JBWKIWSBJXDJDT-UHFFFAOYSA-N triphenylmethyl chloride Chemical compound C=1C=CC=CC=1C(C=1C=CC=CC=1)(Cl)C1=CC=CC=C1 JBWKIWSBJXDJDT-UHFFFAOYSA-N 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种抗辐照星载TCM装置包括控制逻辑模块、密码运算模块和刷新模块;控制逻辑模块根据从星载系统中获取的TCM可信算法需求产生对应的控制指令;以及获取的可信算法版本需求产生配置指令;密码运算模块包括多种可信算法引擎,在所述控制指令的控制下为星载系统提供对应的可信算法,进行信息加、解密;刷新模块包括多套的配置逻辑版本,在所述配置指令的控制下,选择星载系统需求的配置逻辑版本对所述密码运算模块进行配置逻辑刷新。本发明通过星载TCM装置构建星上可信根,建立星上可信计算环境,为航天器综合电子发展提供设计约束,提高星载计算和信息处理的安全防护水平。
Description
技术领域
本发明属于星载设备领域和安全防护技术领域,具体涉及一种抗辐照星载TCM装置。
背景技术
随着卫星制造技术的发展,其功能模式、计算环境、通信链路等在不断变化发展,星载信息系统所需防护能力需求也在不断提升,亟需提升星上计算环境对已知/未知攻击的抵御能力。目前,卫星(航天器)星载信息处理和传输过程中,其安全防护采用分类、分散、分块的工作模式,不仅效率低下,且对于星载受限条件下的计算和存储资源未实现综合利用,亟需寻找一种星上新型安全防护模式,对星上计算和传输环境进行安全防护。
可信计算系统是能够提供系统的可靠性、可用性、信息和行为安全性的计算机系统。独立功能节点的可信保障主要从可信根(如TCM或TPCM)出发,依托密码学技术和可信扩展技术实现贯穿系统的可信链。可信计算机制是在一个应用可信根基础上,在宿主系统旁边独立运行一个可信子系统,并通过可信子系统的核心软件控制宿主系统核心软件中的控制点,监控宿主系统中的应用行为。
TCM(Trusted Cryptography Module)是可信计算平台的可信计算密码服务基础,用于建立和保障信任原点,提供可信度量、安全存储、可信报告以及密码服务的可信计算功能。现有TCM主要用于地面计算系统,采用专用芯片或者通用芯片组合模式实现,追求高性能、低功耗等,无法适应星载条件下,对可信算法、资源、抗辐照以及高可靠性的要求。
发明内容
鉴于上述的分析,本发明旨在公开了一种抗辐照星载TCM装置,将可信计算理念引入星载安全防护范围,满足星载抗辐照、可靠性、体积功耗等设计需求,为星载信息系统提供安全加固、资源管控和可信计算服务。
本发明公开了一种抗辐照星载TCM装置,包括控制逻辑模块、密码运算模块和刷新模块;
所述控制逻辑模块,用于根据从星载系统中获取的TCM可信算法需求产生对应的控制指令;以及用于根据获取的可信算法版本需求产生配置指令;
所述密码运算模块,包括多种可信算法引擎,用于在所述控制指令的控制下为星载系统提供对应的可信算法,进行信息加、解密;
所述刷新模块包括多套配置逻辑版本,用于在所述配置指令的控制下,选择星载系统需求的配置逻辑版本对所述密码运算模块进行配置逻辑刷新;所述刷新模块根据设定时间间隔定时刷新;通过所述刷新模块使所述密码运算模块包括的多种可信算法引擎均为当前配置逻辑版本的最新状态。
进一步地,所述密码运算模块包括第一FPGA模块,以及分别与第一FPGA模块连接的第一PROM芯片、第一FLASH芯片和第一SDRAM;
所述第一FPGA模块,用于在控制逻辑模块的控制下,为系统的TCM可信计算提供包括非对称算法引擎、对称算法引擎、杂凑算法引擎、随机数生成器、HMAC引擎和执行引擎在内的可信算法引擎;
所述第一PROM芯片为参数存储器,用于存储可信算法引擎进行密码运算时所需的参数和根密钥;
所述第一FLASH芯片为外部扩展存储器,用于存储可信算法引擎进行密码运算时产生的中间运行数据和状态数据;
所述第一SDRAM芯片为中间量存储器,用于存储可信算法引擎进行密码运算时所需的中间变量及临时性参数。
进一步地,所述密码运算模块还包括物理噪声源,所述物理噪声源用于产生物理噪声输出到随机数生成器,用于产生TCM可信计算所需的随机数。
进一步地,所述第一FPGA模块中还包括伪随机数生成模块,所述伪随机数生成模块生成伪随机数,在物理噪声源出现故障时,伪随机数生成模块代替物理噪声源产生TCM可信计算所需的随机数。
进一步地,所述刷新模块包括第二FPGA模块以及与第二FPGA模块连接的配置逻辑存储芯片;
所述配置逻辑存储芯片用于存储密码运算模块中第一FPGA芯片的配置逻辑;
所述第二FPGA模块与第一FPGA芯片连接,以设定的时间间隔将所述配置逻辑存储芯片存储的配置逻辑输出到第一FPGA芯片,对第一FPGA芯片中的配置逻辑进行刷新。
进一步地,所述配置逻辑存储芯片包括m个存储芯片;每个存储芯片中存储相同版本的配置逻辑。
进一步地,所述配置逻辑存储芯片包括m个存储芯片;其中一个存储芯片用于存储经过充分测试的基础配置逻辑版本;其余存储芯片用于存储基础配置逻辑的m-1个不同升级版本的配置逻辑。
进一步地,所述控制逻辑模块控制所述第二FPGA模块选择对应版本的配置逻辑输出到第一FPGA芯片进行TCM可信计算的密码算法配置;当选定的逻辑软件升级版本出现异常的情况下,控制逻辑模块控制配置刷新模块将所述基础配置逻辑版本输出到密码运算模块进行逻辑配置。
进一步地,所述控制逻辑模块包括主处理器模块,以及分别与主处理器模块连接的第三PROM芯片、第三FLASH芯片和第三SDRAM芯片;
所述主处理器模块,用于对TCM可信计算的综合控制;
所述第三PROM芯片,用于存储主处理器模块的引导程序;
所述第三FLASH芯片,用于存储主处理器模块的运行程序,采用三备份存储模式;
所述第三SDRAM芯片,用于存储主处理器模块运行过程中的临时程序和数据。
进一步地,所述控制逻辑模块的主处理器模块采用抗辐照CPU;所述密码运算模块的第一FPGA模块采用抗辐照SRAM FPGA;所述刷新模块的第二FPGA模块反熔丝FPGA。
本发明至少可实现以下有益效果之一:
本发明通过提供星载TCM装置构建星上可信根,进一步可建立星上可信计算环境,满足航天器节点星间/星地链路条件下节点认证,指令、数据信息安全交互功能需求,对星上分散处理模式向集中式转化,缩小卫星信息攻击面,提高星上计算、存储和通信资源的利用效率,为航天器综合电子发展提供反向约束,提高星载计算和信息处理的安全防护水平。
本发明所提供的方案依托当前航天信息系统中主流抗辐照器件进行资源评估和设计,能够适应多种卫星(航天器)的设计和应用要求。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本实施例中的抗辐照星载TCM装置组成连接示意图;
图2为本实施例中的密码运算模块组成连接示意图;
图3为本实施例中的刷新模块组成连接示意图;
图4为本实施例中的控制逻辑模块组成连接示意图;
图5为本实施例中的接口模块组成连接示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理。
本发明的一个实施例公开了一种抗辐照星载TCM装置,通过在卫星上设置TCM装置在卫星上构建可信根,进而实现:
1)内部数据的安全防护,即星载TCM装置内的密码运算流程与星载系统的控制流程分离,使密码运算流程不受外界干扰而运行;
2)支持星载可信计算安全环境构建,能够完成对星载运行环境的安全性度量;
3)提供多种可信算法引擎,支持星地交互信息的安全防护,具有卫星上行管控信息解密功能和下行状态信息加密功能;
4)具有密钥、参数、算法和程序软件的可重构和更新功能,具备预存和更新密钥切换机制,具备星地密码状态一致性管理能力;具有密码状态自检能力;
5)支持星载透明转发、星上处理等各种工作模式;
6)具备星载安全态势感知功能,支持安全态势度量信息安全上报;
7)支持星地、星间节点间互联认证;
8)质量要求与所搭载卫星载荷保持一致。
如图1所示,所述抗辐照星载TCM装置包括控制逻辑模块、密码运算模块、刷新模块、接口模块和电源模块;
所述控制逻辑模块,用于根据从星载系统中获取的TCM可信算法需求产生对应的控制指令;以及用于根据获取的可信算法版本需求产生配置指令;
所述密码运算模块,包括多种可信算法引擎,用于在所述控制指令的控制下为星载系统提供对应的可信算法,进行信息加、解密;
所述刷新模块包括多套配置逻辑版本,用于在所述配置指令的控制下,选择星载系统需求的配置逻辑版本对所述密码运算模块进行配置逻辑刷新;所述刷新根据设定时间间隔定时刷新;通过所述刷新使所述密码运算模块包括的多种可信算法引擎均为当前配置逻辑版本的最新状态;
所述接口模块,用于实现与星载系统的接口连接,包括电源接入、总线或I/O连接、协议互通和逻辑适配;
所述电源模块,用于实现抗辐照星载TCM装置的供电能力保证,完成供电接入,以及电源电压转换,功耗控制和监测在内的供电管理工作。
其中,所述密码运算模块,用于为星载系统提供密码算法支撑,所述密码算法包括可选择的非对称密码算法、对称密码算法和杂凑(哈希)算法。
具体的,如图2所示,所述密码运算模块包括第一FPGA模块,以及分别与第一FPGA模块连接的第一PROM芯片、第一FLASH芯片和第一SDRAM;
所述第一FPGA模块,用于在控制逻辑模块的控制下,为系统的TCM可信计算提供包括非对称算法引擎、对称算法引擎、杂凑算法引擎、随机数生成器、HMAC引擎和执行引擎在内的可信算法引擎;
所述第一PROM芯片为参数存储器,用于存储可信算法引擎进行密码运算时所需的重要参数和根密钥;
所述第一FLASH芯片为外部扩展存储器,用于存储可信算法引擎进行密码运算时产生的中间运行数据和状态数据;
所述第一SDRAM芯片为中间量存储器,用于存储可信算法引擎进行密码运算时所需的中间变量、参数。
更具体的,本实施例还对密码运算模块的各组成部分进行评估,以使密码运算模块能够满足星载条件下的资源要求,以及对抗辐照、可靠性、体积功耗在内的要求
1)由于密码运算模块为星载系统提供TCM可信计算的密码算法支撑,在对芯片的抗辐照能力的考虑下,出于TCM模块工作模式、效率和安全性要求,本实施例中的第一FPGA模块采用单片的抗辐照SRAM FPGA,而不采用多片FPGA拼接的模式,提高可靠性。
星载设备不但要适应星载环境的高辐照和强干扰的电磁环境,还要根据体积、重量、容量以及功耗等多种因素来选定能够符合需要的芯片。
由于第一FPGA模块不但要为系统的TCM可信计算提供包括非对称算法引擎、对称算法引擎、杂凑算法引擎、随机数生成器、HMAC引擎和执行引擎在内的可信算法引擎,还提供了I/O单元以及管理执行单元等,需根据各引擎和单元对资源的占用情况来进行资源评估,以选定能够符合需要的芯片。
更优的,在本实施例中的选型中考虑占资源最大的非对称算法引擎所占FPGA资源在50%左右,所有的功能模块总共所占资源不超过FPGA资源的80%选择抗辐照SRAM FPGA。
本实施例,以采用商密标准SM2/3/4算法作为非对称算法、对称算法和杂凑算法为例,进行各单元资源占用情况分析,对各算法引擎及单元进行资源占用情况划分如表1,
表1
功能模块 | FPGA资源 | 备注 |
I/O单元 | <1% | 不进行接口形态转换 |
SM4算法 | 9% | 单算法核,满足250Mbps以下处理要求 |
SM3算法 | 9% | |
SM2算法 | ≈50% | |
随机数生成器 | <5% | |
HMAC引擎 | 3% | |
管理执行单元 | 3% | |
合计 | ≈80% |
根据表1的评估标准,本实施例推荐选用抗辐照SRAM FPGA的型号为XQ5VFX115T(V5 FPGA),即可满足资源的占用情况;如果对密码运算性能有更高要求,推荐选用支持多SM4算法核并行开展对称加解密操作的JFM7K325T(K7 FPGA)。
根据选用的第一FPGA模块的型号来确定其外围配置的包括第一PROM芯片、第一FLASH芯片和第一SDRAM芯片的存储容量如表2所示,由于V5与K7的可配置存储区不同,V5FPGA需要的配置存储器为1片64Mb的FLASH,1片可更换程序64Mb的FLASH;K7 FPGA需要的配置存储器为2片64Mb的FLASH,2片可更换程序64MB的FLASH。
具体的,所述密码运算模块还包括物理噪声源,所述物理噪声源用于产生物理噪声输出到随机数生成器,用于产生TCM可信计算所需的随机数。所述第一FPGA模块中包括的内置随机数生成器为伪随机数生成模块,所述伪随机数生成模块生成伪随机数,在物理噪声源出现故障时,伪随机数生成模块代替物理噪声源产生TCM可信计算所需的随机数。
随机数生成器为TCM提供的密码服务安全性提供依托,随机数生成器生成随机数的质量决定了密码算法的安全性,本实施例,采用两种随机数生成方法,
一种是采用FPGA内部逻辑实现的伪随机数生成模块,实现机理和复杂程度(占用逻辑资源量)可以有多重机理和方案进行选择,能够满足一般任务的使用要求;
二是采用独立硬件的物理噪声源产生随机数,对于卫星类高价值资产,为了保证其信息安全,推荐采用物理噪声生成模式,或者以物理噪声生成为主,在物理噪声出现故障或特殊需求的情况下使用逻辑噪声进行补充。
更具体的,本实施例的物理噪声源可采用以下两种实现方式:
一是采用分立器件组合设计噪声电路,这种方式的优点是器件选择面广,成本较低,电路成熟,缺点是噪声生成速率低,占用电路板面积较大;
二是选用具有抗辐照能力的噪声源芯片,优点是占用电路板面积小,噪声生成速率高;在采用噪声源芯片作为物理噪声源时,还需要对芯片的可靠性进行验证。
两种噪声源可由所述控制逻辑模块进行选择;在工作中,所述密码运算模块将物理噪声源的工作状态发送到控制逻辑模块中,由控制逻辑模块监控物理噪声源的工作状态,当监控到物理噪声源的工作状态异常后,控制逻辑模块发送控制指令使所述密码运算模块中的伪随机数生成模块产生伪随机数代替物理噪声源产生的物理噪声作为随机数。
为了提高密码运算模块的抗辐照能力和时钟稳定性,本实施例的密码运算模块还对第一FPGA模块的时钟进行重新设计。为确保密码运算模块运行的平稳性和可靠性,星载TCM装置密码运算模块时钟采用抗辐照差分晶振设计,具体的,采用差分晶振ZA120-100MHz(频率可根据需求选择)的差分晶振。
为了进一步提升基于SRAM FPGA实现的密码运算模块可靠性和配置逻辑版本要求,本实施例的刷新模块对SRAM FPGA进行定时刷新操作。刷新模块能够根据航天器可靠性需求,按照SRAM FPGA配置文件大小进行接口及速率配置,以实现对SRAM FPGA程序的秒级刷新。
具体的,刷新模块根据控制逻辑模块配置指令,从对应的存储SRAM FPGA配置文件的非易失性存储器(FLASH或PROM)中读取配置文件数据,并模拟SRAM FPGA配置接口时序,对其程序数据进行定配置版本的刷新或定时刷新操作。
如图3所示,所述刷新模块包括第二FPGA模块以及与第二FPGA模块连接的配置逻辑存储芯片;
所述配置逻辑存储芯片用于存储密码运算模块中第一FPGA芯片的配置逻辑;
所述第二FPGA模块与第一FPGA芯片连接,以设定的时间间隔将所述配置逻辑存储芯片存储的配置逻辑输出到第一FPGA芯片,对第一FPGA芯片中的配置逻辑进行刷新;通过刷新使所述密码运算模块包括的多种可信算法引擎,为当前配置逻辑版本的最新状态。
优选的,为了进一步提高可靠性,所述第二FPGA模块采用比第一FPGA芯片采用的SRAM FPGA在抗单粒子事件方面具有很大的优势,可靠性的高反熔丝FPGA。
更具体的,所述配置逻辑存储芯片包括m个存储芯片;每个存储芯片中存储相同版本的配置逻辑,分成多个存储芯片存储提高了可靠性,避免了由于存储芯片的问题而导致的配置逻辑错误或不能实现对所述密码运算模块的配置。
更优选的,所述配置逻辑存储芯片包括的m个存储芯片;其中一个存储芯片用于存储经过充分测试的基础配置逻辑版本;其余存储芯片用于存储基础配置逻辑的m-1个不同升级版本的配置逻辑。这样可以实现对所述密码运算模块的进行不同版本的配置。
在一个更具体的实施例中,配置逻辑存储芯片包括第一存储芯片、第二存储芯片和第三存储芯片,每个存储芯片存储一套版本的密码运算模块的(SRAM FPGA)配置逻辑,其中第一存储芯片是必选项,其余为可选项;每套配置逻辑版本独立工作,可以根据可靠性等级和芯片备料要求选用适当容量的FLASH或PROM。实际工作过程中,刷新模块根据控制逻辑模块配置指令选定对应的配置逻辑存储芯片读取密码运算模块配置逻辑版本,并完成密码运算模块逻辑配置和定时刷新工作;
在选择多套配置逻辑版本的情况下,可以有两种基本使用方式:
一是为提升配置逻辑存储的可靠性,在三套配置逻辑版本进行容错选择,如读取三套配置逻辑存储的数据,进行三选二判断,提高因空间辐射效应,造成配置逻辑存储数据出现错误的容错能力;
二是在三个存储芯片中存储多套密码运算模块配置逻辑版本,根据控制逻辑模块的配置指令进行版本选择,如可以在第一存储芯片中存储密码运算模块逻辑软件基础版本,在其他存储芯片中存储密码运算模块逻辑升级版本,这样在所述控制逻辑模块监控到逻辑升级版本出现异常的情况下,控制逻辑模块可以控制配置刷新模块将密码运算模块逻辑软件回退至经过充分测试的基础版本,确保密码运算模块基础功能的正确性和可靠性。
如图4所示,所述控制逻辑模块包括主处理器模块,以及分别与主处理器模块连接的第三PROM芯片、第三FLASH芯片和第三SDRAM芯片;
所述主处理器模块,用于对TCM可信计算的综合控制,所述主处理器模块对密码运算模块的控制流程与星载系统的控制流程分离,使密码运算流程不受外界干扰而运行。
所述第三PROM芯片,用于存储主处理器模块的引导程序;
所述第三FLASH芯片,用于存储主处理器模块的运行程序,采用三备份存储模式;
所述第三SDRAM芯片,用于存储主处理器模块运行过程中的临时程序和数据。
所述主处理器模块可采用抗辐照CPU实现,作为TCM装置的控制核心,主处理器模块通过接口模块与星载系统的其他电子系统进行通信,提供TCM可信计算的综合控制,控制密码运算模块产生TCM可信计算的密码算法,控制所述刷新模块对密码运算模块进行逻辑配置和配置刷新。
更具体,本实施例所述主处理器模块的从控制信息种类、复杂度、处理时延要求和未来能力扩展,需要采用主频100MHz以上的32位处理器实现,从当前器件可获得性和自主可控角度评估,推荐选用32位SPARC V8处理器BM3803FMGRH或BM3823FMGRH。
分别与主处理器模块连接的第三PROM芯片、第三FLASH芯片和第三SDRAM芯片的设计如下:
所述第三PROM芯片,采用具有抗辐照、高可靠能力的PROM存储逻辑控制单元引导程序,确保逻辑控制单元基本运行,采用BM3803FMGRH芯片时,推荐存储空间不小于32KByte;
所述第三FLASH芯片,采用具备纠错能力的FLASH芯片存储控制逻辑模块运行程序,在成本可接受的情况下,推荐采用三备份存储模式,确保程序存储可靠性,采用BM3803FMGRH芯片时,推荐存储空间不小于128Mbit;
第三SDRAM芯片采用具备纠/检错保护功能的SDRAM存储控制逻辑模块临时程序和数据,采用BM3803FMGRH芯片时,推荐存储空间不小于2.56Gbit。
此外,本实施例的控制逻辑模块的主处理器模块采用与密码运算模块独立的晶振ZA517-16MHz-3.3。
如图5所示,所述接口适配模块,用于星载TCM装置与星载电子系统的接口连接,实现与星载电子系统的电源接入、总线或I/O连接、协议互通和逻辑适配;
具体的,所述接口适配模块,可采用高可靠连接器配合专用接口转换芯片实现,在允许的条件下,外部IO可直接连接至星载内部芯片。由于不同卫星平台对于接口形式、协议标准和逻辑适配模式的要求不同,因此该模块固化程度较低,需要根据平台实际情况进行灵活调整,并适配星上环境要求,该模块不涉及可信环境构建核心功能。根据当前星载总线和接口实现设计情况,推荐接口形态包括单路或多路LVDS,RapidIO等。
具体的,电源模块完成外接电源至本地工作所需电平的安全转换功能,通常卫星提供的单板电源有5V、12V、28V等选项,而本实施例中器件所需直流工作电压为3.3V、1.5V和1.8V等,电源模块需要完成一次或多次电平转换,确保星载TCM模块的安全供电,由于不同卫星平台提供电源的形式差别较大,此部分需要根据星载TCM装置嵌入的星载载荷情况具体进行设计,相关可靠性、降额等设计准则需符合星载电源转换相关标准。
结合现有的可选芯片类型,本实施例还推荐了抗辐照星载TCM装置的接口和结构设计,根据选用器件封装、功耗等进行预布局分析,推荐星载TCM模块采用单板模式实现,占用面积按照6U标准VPX板卡预留。
星载TCM器件选型:
对星载TCM主要模块进行资源评估后,对星载TCM主要器件选择推荐如下表所示:
综上所述,本实施例的抗辐照星载TCM装置构建星上可信根,进一步可建立星上可信计算环境,满足航天器节点多星间/星地链路条件下节点认证,指令、数据信息安全交互功能需求,对航天器星上分散处理模式向集中式转化,缩小卫星信息攻击面,提高星上计算、存储和通信资源的利用效率,为航天器综合电子发展提供反向约束,提高星载计算和信息处理的安全防护水平。
本实施例所提供的方案依托当前航天信息系统中主流抗辐照器件进行资源评估和设计,能够适应多种卫星(航天器)的设计和应用要求。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (6)
1.一种抗辐照星载TCM装置,其特征在于,包括控制逻辑模块、密码运算模块和刷新模块; 所述控制逻辑模块,用于根据从星载系统中获取的TCM可信算法需求产生对应的控制指令;以及用于根据获取的可信算法版本需求产生配置指令;
所述密码运算模块,包括多种可信算法引擎,用于在所述控制指令的控制下为星载系统提供对应的可信算法,进行信息加密、解密;
所述刷新模块包括多套配置逻辑版本,用于在所述配置指令的控制下,选择星载系统需求的配置逻辑版本对所述密码运算模块进行配置逻辑刷新;所述刷新模块根据设定时间间隔定时刷新;通过所述刷新模块使所述密码运算模块包括的多种可信算法引擎均为当前配置逻辑版本的最新状态;
所述密码运算模块包括第一FPGA模块,以及分别与第一FPGA模块连接的第一PROM芯片、第一FLASH芯片和第一SDRAM芯片;
所述第一FPGA模块,用于在控制逻辑模块的控制下,为系统的TCM可信计算提供包括非对称算法引擎、对称算法引擎、杂凑算法引擎、随机数生成器、HMAC引擎和执行引擎在内的可信算法引擎;
所述第一PROM芯片为参数存储器,用于存储可信算法引擎进行密码运算时所需的参数和根密钥;
所述第一FLASH芯片为外部扩展存储器,用于存储可信算法引擎进行密码运算时产生的中间运行数据和状态数据;
所述第一SDRAM芯片为中间量存储器,用于存储可信算法引擎进行密码运算时所需的中间变量及临时性参数;
所述密码运算模块还包括物理噪声源,所述物理噪声源用于产生物理噪声输出到随机数生成器,用于产生TCM可信计算所需的随机数;
所述第一FPGA模块中还包括伪随机数生成模块,所述伪随机数生成模块,用于在物理噪声源出现故障时,代替物理噪声源产生TCM可信计算所需的随机数;
在工作中,所述密码运算模块将物理噪声源的工作状态发送到控制逻辑模块中,由控制逻辑模块监控物理噪声源的工作状态,当监控到物理噪声源的工作状态异常后,控制逻辑模块发送控制指令使所述密码运算模块中的伪随机数生成模块产生伪随机数代替物理噪声源产生的物理噪声作为随机数;
所述刷新模块包括第二FPGA模块以及与第二FPGA模块连接的配置逻辑存储芯片;
所述配置逻辑存储芯片用于存储密码运算模块中第一FPGA模块的配置逻辑;
所述第二FPGA模块与第一FPGA模块连接,以设定的时间间隔将所述配置逻辑存储芯片存储的配置逻辑输出到第一FPGA模块,对第一FPGA模块中的配置逻辑进行刷新;
所述密码运算模块的第一FPGA模块采用单片的抗辐照SRAM FPGA;所述刷新模块的第二FPGA模块采用反熔丝FPGA。
2.根据权利要求1所述的抗辐照星载TCM装置,其特征在于,所述配置逻辑存储芯片包括m个存储芯片;每个存储芯片中存储相同版本的配置逻辑。
3.根据权利要求1所述的抗辐照星载TCM装置,其特征在于,所述配置逻辑存储芯片包括m个存储芯片;其中一个存储芯片用于存储经过充分测试的基础配置逻辑版本;其余存储芯片用于存储基础配置逻辑的m-1个不同升级版本的配置逻辑。
4.根据权利要求3所述的抗辐照星载TCM装置,其特征在于,所述控制逻辑模块控制所述第二FPGA模块选择对应版本的配置逻辑输出到第一FPGA模块进行TCM可信计算的密码算法配置;当选定的配置逻辑软件升级版本出现异常的情况下,控制逻辑模块控制刷新模块将所述基础配置逻辑版本输出到密码运算模块进行逻辑配置。
5.根据权利要求1所述的抗辐照星载TCM装置,其特征在于,所述控制逻辑模块包括主处理器模块,以及分别与主处理器模块连接的第三PROM芯片、第三FLASH芯片和第三SDRAM芯片;
所述主处理器模块,用于对TCM可信计算的综合控制;
所述第三PROM芯片,用于存储主处理器模块的引导程序;
所述第三FLASH芯片,用于存储主处理器模块的运行程序,采用三备份存储模式;
所述第三SDRAM芯片,用于存储主处理器模块运行过程中的临时程序和数据。
6.根据权利要求5所述的抗辐照星载TCM装置,其特征在于,所述控制逻辑模块的主处理器模块采用抗辐照CPU。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011644653.5A CN112668026B (zh) | 2020-12-31 | 2020-12-31 | 一种抗辐照星载tcm装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011644653.5A CN112668026B (zh) | 2020-12-31 | 2020-12-31 | 一种抗辐照星载tcm装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112668026A CN112668026A (zh) | 2021-04-16 |
CN112668026B true CN112668026B (zh) | 2023-12-22 |
Family
ID=75412491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011644653.5A Active CN112668026B (zh) | 2020-12-31 | 2020-12-31 | 一种抗辐照星载tcm装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112668026B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102495980A (zh) * | 2011-11-25 | 2012-06-13 | 中国航天科工集团第二研究院七〇六所 | 一种可动态重构的可信密码模块 |
CN103413164A (zh) * | 2013-07-10 | 2013-11-27 | 上海新储集成电路有限公司 | 一种在智能卡芯片内用嵌入式可编程逻辑门阵列实现数据加解密功能的方法 |
CN105468978A (zh) * | 2015-11-16 | 2016-04-06 | 国网智能电网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
CN106709358A (zh) * | 2016-12-14 | 2017-05-24 | 南京南瑞集团公司 | 一种基于可信计算的移动装置 |
CN106933764A (zh) * | 2017-03-31 | 2017-07-07 | 山东超越数控电子有限公司 | 一种基于国产tcm芯片的可信密码模块及其工作方法 |
CN106991329A (zh) * | 2017-03-31 | 2017-07-28 | 山东超越数控电子有限公司 | 一种基于国产tcm的可信计算单元及其运行方法 |
CN210092965U (zh) * | 2019-08-29 | 2020-02-18 | 南方电网科学研究院有限责任公司 | 一种配电终端以及配电网系统 |
CN111783097A (zh) * | 2020-05-28 | 2020-10-16 | 东方红卫星移动通信有限公司 | 一种星载计算系统的信息完整性度量验证方法及系统 |
-
2020
- 2020-12-31 CN CN202011644653.5A patent/CN112668026B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102495980A (zh) * | 2011-11-25 | 2012-06-13 | 中国航天科工集团第二研究院七〇六所 | 一种可动态重构的可信密码模块 |
CN103413164A (zh) * | 2013-07-10 | 2013-11-27 | 上海新储集成电路有限公司 | 一种在智能卡芯片内用嵌入式可编程逻辑门阵列实现数据加解密功能的方法 |
CN105468978A (zh) * | 2015-11-16 | 2016-04-06 | 国网智能电网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
CN106709358A (zh) * | 2016-12-14 | 2017-05-24 | 南京南瑞集团公司 | 一种基于可信计算的移动装置 |
CN106933764A (zh) * | 2017-03-31 | 2017-07-07 | 山东超越数控电子有限公司 | 一种基于国产tcm芯片的可信密码模块及其工作方法 |
CN106991329A (zh) * | 2017-03-31 | 2017-07-28 | 山东超越数控电子有限公司 | 一种基于国产tcm的可信计算单元及其运行方法 |
CN210092965U (zh) * | 2019-08-29 | 2020-02-18 | 南方电网科学研究院有限责任公司 | 一种配电终端以及配电网系统 |
CN111783097A (zh) * | 2020-05-28 | 2020-10-16 | 东方红卫星移动通信有限公司 | 一种星载计算系统的信息完整性度量验证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112668026A (zh) | 2021-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102473125B (zh) | 在系统中提供容错的扩频时钟信号 | |
JP7204341B2 (ja) | 高データインテグリティ処理システム | |
KR20010005956A (ko) | 고장 허용 컴퓨터 시스템 | |
Kopetz et al. | Automotive software development for a multi-core system-on-a-chip | |
Agiakatsikas et al. | Reconfiguration control networks for TMR systems with module-based recovery | |
CN104850530B (zh) | 一种立方星星载计算机 | |
CN112668026B (zh) | 一种抗辐照星载tcm装置 | |
CN114661268A (zh) | 知识产权安全锁定装置和方法 | |
US11105854B2 (en) | System, apparatus and method for inter-die functional testing of an integrated circuit | |
Yousuf et al. | Partially reconfigurable system-on-chips for adaptive fault tolerance | |
Mo et al. | Efficient analysis of resource availability for Cloud computing systems to reduce SLA violations | |
Li et al. | Model-based adaptation of mixed-criticality multiservice systems for extreme physical environments | |
CN104462987A (zh) | 一种大型飞机综合处理平台中的任务安全共享方法 | |
Adetomi | Dynamic reconfiguration frameworks for high-performance reliable real-time reconfigurable computing | |
Juliato et al. | SEU-resistant SHA-256 design for security in satellites | |
Maragos et al. | A framework exploiting process variability to improve energy efficiency in FPGA applications | |
Sharma et al. | Run-time adaptation method for mitigation of hardware faults and power budget variations in space-borne FPGA-based systems | |
Veronese et al. | Highly-resilient services for critical infrastructures | |
Gnad | Remote Attacks on FPGA Hardware | |
Salvini et al. | A hardware and software computational platform for the HiPerDNO (high performance distribution network operation) project | |
Nunes et al. | Using partial dynamic FPGA reconfiguration to support real-time dependability | |
US20240005962A1 (en) | Detecting laser-injected faults | |
Govindan et al. | Modeling and analysis of availability of datacenter power infrastructure | |
CN116501508B (zh) | 一种天基边缘计算模块及设备 | |
Amin et al. | Low‐Cost Fault Tolerant Methodology for Real Time MPSoC Based Embedded System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |