CN208873145U - 一种配网自动化IPSec安全芯片 - Google Patents
一种配网自动化IPSec安全芯片 Download PDFInfo
- Publication number
- CN208873145U CN208873145U CN201821779787.6U CN201821779787U CN208873145U CN 208873145 U CN208873145 U CN 208873145U CN 201821779787 U CN201821779787 U CN 201821779787U CN 208873145 U CN208873145 U CN 208873145U
- Authority
- CN
- China
- Prior art keywords
- module
- ipsec
- target data
- chip
- main control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 23
- 230000002452 interceptive effect Effects 0.000 claims description 21
- 230000003287 optical effect Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 abstract description 5
- 238000012545 processing Methods 0.000 abstract description 2
- 238000000034 method Methods 0.000 description 7
- 238000005538 encapsulation Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000013478 data encryption standard Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011330 nucleic acid test Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
Abstract
本实用新型公开了一种配网自动化IPSec安全芯片,包括接口交互模块、IPSec模块以及以太网驱动模块;接口交互模块与终端主控芯片连接,可接收终端主控芯片发送的目标数据;IPSec模块与接口交互模块连接,可对目标数据进行网络层加密处理,同时可以将加密处理后的目标数据通过以太网驱动模块发送至通信设备。该芯片可以通过IPSec模块从网络层上对接收到的目标数据进行加密处理,与现有技术中传统的安全芯片相比,IPSec安全芯片对配网业务数据所有内容均进行了加密处理,提高了配网自动化系统的安全性;与外挂IPSec加密装置相比,IPSec安全芯片具有更低的功耗和更小的体积,可适配复杂多变的配网终端应用场景。
Description
技术领域
本实用新型涉及配网自动化安全领域,特别涉及一种配网自动化IPSec安全芯片。
背景技术
随着配网自动化系统的日益发展,配网业务的自动化水平不断提高,涉及配网自动化系统的网络攻击也逐渐呈指数级增长,面对配网自动化安全防护日益严重的形势,如何在配电终端装置设计低成本、高可靠以及易使用的安全防护措施,成为配网自动化系统是否能稳定可靠运行的关键所在。
配电终端装置目前使用的安全防护措施主要有三种方式,一是通过纯软件方式实现加密;二是通过外挂纵向加密认证装置实现纵向安全防护;三是通过内置安全芯片完成加密认证功能。其中,纯软件加密方式存在管理困难、安全性低、处理性能差等问题,而外挂纵向加密认证装置的方式则存在设备成本较高、体积较大、不能防范物理攻击等问题,所以配电终端装置通过内置安全芯片实现纵向安全防护逐渐成为技术发展的主流。
但是,目前配电终端装置使用的安全芯片均为应用层安全芯片,只可以对应用层数据进行加密,不能实现网络层链路安全防护功能。在日益严峻的安全风险情况下,应用层安全芯片没有对业务数据的所有内容进行加密处理,安全防护等级不足以保证配网自动化系统的安全性。
由此可见,如何实现从网络层对相关数据进行加密处理,进而提高配网自动化系统的安全性是本领域技术人员亟待解决的问题。
实用新型内容
本申请实施例提供了一种配网自动化IPSec安全芯片,解决了现有技术中如何提高配网自动化系统的安全性问题。
为解决上述技术问题,本实用新型提供了一种配网自动化IPSec安全芯片,包括:
与终端主控芯片连接,用于接收所述终端主控芯片发送的目标数据的接口交互模块;
与所述接口交互模块连接,用于从网络层上对所述目标数据进行加密,并将加密后的所述目标数据通过以太网驱动模块发送至通信设备的IPSec模块。
优选地,所述接口交互模块与所述终端主控芯片之间具体通过SPI接口协议进行连接。
优选地,所述IPSec模块包括IKE密钥交换模块和ESP加密认证模块。
优选地,还包括:
与所述终端主控芯片连接的存储模块,所述存储模块用于存储所述加密后的所述目标数据。
优选地,所述通信设备具体为光网络单元或无线4G模块。
优选地,所述终端主控芯片具体为ARM控制器。
相比于现有技术,本实用新型所提供的一种配网自动化IPSec安全芯片,包括接口交互模块、IPSec模块以及以太网驱动模块;接口交互模块与终端主控芯片连接,可以接收终端主控芯片发送的目标数据;IPSec模块与接口交互模块连接,可以从网络层上对目标数据进行加密处理,同时可以将加密处理后的目标数据通过以太网驱动模块发送至通信设备。由此可见,应用本安全芯片,可以通过IPSec模块从网络层上对接收到的目标数据进行加密处理,与现有技术中传统的安全芯片相比,IPSec安全芯片对配网业务数据所有内容均进行了加密处理,提高了配网自动化系统的安全性;与外挂IPSec加密装置相比,IPSec安全芯片具有更低的功耗和更小的体积,可适配复杂多变的配网终端应用场景。
附图说明
图1为本实用新型实施例所提供的一种配网自动化IPSec安全芯片结构示意图;
图2为本实用新型实施例所提供的一种配网自动化系统结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本实用新型保护的范围。
本实用新型的核心是提供一种配网自动化IPSec安全芯片,可以解决现有技术中如何提高配网自动化系统的安全性问题。
为了使本技术领域的人员更好地理解本实用新型的方案,下面结合附图和具体实施方式对本实用新型作进一步的详细说明。
图1为本实用新型实施例所提供的一种配网自动化IPSec安全芯片结构示意图,如图1所示,该安全芯片包括:与终端主控芯片连接,用于接收终端主控芯片发送的目标数据的接口交互模块101;与接口交互模块101连接,用于从网络层上对协议封装后的目标数据进行加密,并将加密后的目标数据通过以太网驱动模块102发送至通信设备的IPSec模块103。在实际应用中,以太网驱动模块102也是本申请实施例安全芯片中的一个模块,IPSec模块103在使用时需结合数据加密认证模块才能完成对相关数据的加密,也就是说接口交互模块101和IPSec模块103共同组成一个核,数据加密认证模块再单独组成一个核,等同于手机上的四核、八核等;因为IPSec模块103的内部结构特殊性,所以可从网络层上对接收到的数据进行加密处理。利用IPSec模块103对数据加密之前,必须经协议栈对数据进行协议封装后才能由IPSec模块103处理,利用IPSec模块103实现对相关数据的加密过程,具体可参见现有技术,本实用新型在此不再赘述。
本申请实施例中的安全芯片部署于配电终端装置内部,与配电终端装置中的终端主控芯片相连。终端主控芯片主要用于控制安全芯片工作,并与安全芯片之间进行数据传输。作为优选地实施方式,终端主控芯片具体为ARM控制器。当然,终端主控芯片除了可以选用ARM控制器之外,还可以选用其它符合要求的器件,本实用新型并不作限定。接口交互模块101主要实现安全芯片与终端主控芯片间的接口交互工作,采用SPI口或串口,满足配网自动化业务数据交互的通信能力需求。协议栈通常采用操作系统自带的协议栈或第三方开源协议栈,考虑到配网自动化IPSec安全芯片在资源和功耗方面都有严格的限制,所以选用轻量级的操作系统,未包含TCP/IP协议栈,需移植第三方开源协议栈软件,如LWIP协议栈模块等,可提供完整的TCP/UDP/IP等协议支撑,形成标准IP数据包,在实际应用中,在利用IPSec模块103对目标数据进行加密之前,可以通过TCP/IP协议栈对目标数据进行TCP/IP封装,然后将经TCP/IP协议封装的目标数据传输至IPSec模块103进行加密处理。
为了提高数据传输的安全性,作为优选地实施方式,IPSec模块103包括IKE密钥交换模块和ESP加密认证模块。具体地,IPSec模块103主要分为两个子模块,一是IKE密钥交换子模块;二是ESP加密认证子模块。IKE密钥交换子模块用于动态建立安全联盟,主要规定了密钥交换阶段、模式以及消息格式。密钥交换分为两个阶段,第一阶段使用主模式,建立IKESA;第二阶段使用快速模式,建立IPSec SA。该子模块的主要工作是在安全芯片中开发符合国密标准的IPSec IKE密钥交换协议,完成多种类型ISAKMP载荷的交互,实现SM2椭圆曲线或SM9密码算法、安全联盟的动态增删以及NAT穿越等功能。ESP加密认证子模块既支持加密也支持认证。根据国密标准,ESP加密认证子模块主要实现SM1和SM4分组密码算法、SM3密码杂凑算法,并通过开发ESP隧道模式实现对整个IP数据包的加密和认证。以太网驱动模块102主要实现安全芯片与通信设备间的以太网接口交互功能,该模块需提供高速的以太网数据传输能力,以满足配网自动化业务高速传输的需求。该模块主要包括协议栈接口处理以及以太网底层驱动两部分。
为了使本领域技术人员更好地理解本方案,下面结合附图对本申请实施例中的方案进行进一步说明,图2为本实用新型实施例所提供的一种配网自动化系统结构示意图,如图2所示,配网自动化系统主要包括配电自动化主站200、配电加密认证网关201、通信设备202以及配电终端装置203。配电终端装置203通过以太网与通信设备202连接,继而通过公共网络/专用网络与配电加密认证网关201和配网自动化主站200进行信息交互。配电终端装置203与配电加密认证网关201之间使用IPSec协议实现网络层安全防护,通过安全的管理连接协商建立安全的数据连接,按照协商结果对传输数据进行加解密、签名验证及摘要计算,确保配电终端装置203与配电加密认证网关201在公用网络或专用网络上进行保密而安全的通信。配电自动化主站200与配电终端装置203进行配网业务规约数据交互。在实际应用中,通信设备202在配电加密认证网关201侧和配电终端装置203侧各有一个。一个通信模块202与配电加密认证网关201相连,另一个通信模块202与配电终端装置203相连。
为了使本领域技术人员更好地理解本方案,下面以配电终端装置203向配电自动化主站200发送数据为例,对本安全芯片中各模块对数据的加密处理流程进行详细说明,具体步骤如下:
第一步,终端主控芯片通过SPI或串口发送明文数据给安全芯片的接口交互模块101。
第二步,接口交互模块101接收到明文数据(目标数据)后,对该目标数据进行协议封装,在本申请实施例中需要对该目标数据进行TCP/IP协议封装。
第三步,将经协议封装的目标数据发送至IPSec模块103以对目标数据进行网络层加密处理。
第四步,IPSec模块103根据国密标准《GM0022-2014IPsec VPN技术规范》的约定,首先通过IKE密钥协商,完成通信链路加密密钥的协商,然后通过ESP隧道模式,完成对IPSec VPN的数据封装,即完成加密处理。IPSec VPN是符合国密IPSec标准协议的,除使用国密标准外,还可采用符合国际标准的IPSec协议,国际标准符合RFC 2401-RFC 2412等一系列的IPSec协议簇,然后将数据传递给以太网驱动模块102,以太网驱动模块102形成以太网帧,通过以太网口将数据传递给通信设备200。当配电终端装置203接收到配电自动化主站200发来的数据时,其数据传输及处理过程为上述过程的逆过程,在此不再赘述。
本实用新型所提供的一种配网自动化IPSec安全芯片,包括接口交互模块、IPSec模块以及以太网驱动模块;接口交互模块与终端主控芯片连接,可以接收终端主控芯片发送的目标数据;IPSec模块与接口交互模块连接,可以对协议封装后的目标数据进行网络层加密处理,同时可以将加密处理后的目标数据通过以太网驱动模块发送至通信设备。由此可见,应用本安全芯片,可以通过协议栈与IPSec模块的相结合从网络层上对接收到的目标数据进行加密处理,与现有技术中传统的安全芯片相比,IPSec安全芯片对配网业务数据所有内容均进行了加密处理,提高了配网自动化系统的安全性;与外挂IPSec加密装置相比,IPSec安全芯片具有更低的功耗和更小的体积,可适配复杂多变的配网终端应用场景。
考虑到数据传输速度,在上述实施例的基础上,作为优选地实施方式,接口交互模块101与终端主控芯片之间具体通过SPI接口协议进行连接。当然,接口交互模块101与终端主控芯片之间的连接方式并不限于本申请实施例中的方式,还可以采用其它符合要求的协议接口连接,本实用新型并不作限定。
考虑到通信设备202的硬件成本以及使用便捷性,在上述实施例的基础上,作为优选地实施方式,通信设备202具体为光通信单元或无线4G模块。当然,选用光通信单元或无线4G模块作为通信设备202,只是一种优选地方式,并不代表只有这一种方式。
为了便于后期对加密后的目标数据进行查看,在上述实施例的基础上,作为优选地实施方式,还包括:
与终端主控芯片连接的存储模块,存储模块用于存储加密后的目标数据。具体就是利用存储模块将加密后的目标数据进行存储,以防止出现后期无法查找该加密后的目标数据的情况。
以上对本实用新型所提供的一种配网自动化IPSec安全芯片进行了详细介绍。本文中运用几个实例对本实用新型的原理及实施方式进行了阐述,以上实施例的说明,只是用于帮助理解本实用新型的技术方案及其核心思想;同时,对于本领域的一般技术人员,依据本实用新型的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本实用新型的限制,本领域技术人员,在没有创造性劳动的前提下,对本实用新型所做出的修改、等同替换、改进等,均应包含在本申请中。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个操作与另一个操作区分开来,而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”等类似词,使得包括一系列要素的单元、设备或系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种单元、设备或系统所固有的要素。
Claims (6)
1.一种配网自动化IPSec安全芯片,其特征在于,包括:
与终端主控芯片连接,用于接收所述终端主控芯片发送的目标数据的接口交互模块;
与所述接口交互模块连接,用于从网络层上对所述目标数据进行加密,并将加密后的所述目标数据通过以太网驱动模块发送至通信设备的IPSec模块。
2.根据权利要求1所述的配网自动化IPSec安全芯片,其特征在于,所述接口交互模块与所述终端主控芯片之间具体通过SPI接口协议进行连接。
3.根据权利要求1所述的配网自动化IPSec安全芯片,其特征在于,所述IPSec模块包括IKE密钥交换模块和ESP加密认证模块。
4.根据权利要求1所述的配网自动化IPSec安全芯片,其特征在于,还包括:
与所述终端主控芯片连接的存储模块,所述存储模块用于存储所述加密后的所述目标数据。
5.根据权利要求1所述的配网自动化IPSec安全芯片,其特征在于,所述通信设备具体为光网络单元或无线4G模块。
6.根据权利要求1所述的配网自动化IPSec安全芯片,其特征在于,所述终端主控芯片具体为ARM控制器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201821779787.6U CN208873145U (zh) | 2018-10-30 | 2018-10-30 | 一种配网自动化IPSec安全芯片 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201821779787.6U CN208873145U (zh) | 2018-10-30 | 2018-10-30 | 一种配网自动化IPSec安全芯片 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN208873145U true CN208873145U (zh) | 2019-05-17 |
Family
ID=66471017
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201821779787.6U Active CN208873145U (zh) | 2018-10-30 | 2018-10-30 | 一种配网自动化IPSec安全芯片 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN208873145U (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110334046A (zh) * | 2019-07-11 | 2019-10-15 | 南方电网科学研究院有限责任公司 | 一种spi全双工的通信方法、装置及系统 |
| CN110929300A (zh) * | 2019-12-11 | 2020-03-27 | 中国人民解放军国防科技大学 | 一种基于标识密码的可信计算安全芯片构建方法 |
| CN111404968A (zh) * | 2020-04-14 | 2020-07-10 | 南方电网数字电网研究院有限公司 | 一种电力安全终端及电力终端安全控制系统 |
| CN114745137A (zh) * | 2022-05-10 | 2022-07-12 | 山东鲁软数字科技有限公司 | 一种实现安全通信方法及区块链物联代理装置 |
-
2018
- 2018-10-30 CN CN201821779787.6U patent/CN208873145U/zh active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110334046A (zh) * | 2019-07-11 | 2019-10-15 | 南方电网科学研究院有限责任公司 | 一种spi全双工的通信方法、装置及系统 |
| CN110929300A (zh) * | 2019-12-11 | 2020-03-27 | 中国人民解放军国防科技大学 | 一种基于标识密码的可信计算安全芯片构建方法 |
| CN110929300B (zh) * | 2019-12-11 | 2022-02-08 | 中国人民解放军国防科技大学 | 一种基于标识密码的可信计算安全芯片构建方法 |
| CN111404968A (zh) * | 2020-04-14 | 2020-07-10 | 南方电网数字电网研究院有限公司 | 一种电力安全终端及电力终端安全控制系统 |
| CN114745137A (zh) * | 2022-05-10 | 2022-07-12 | 山东鲁软数字科技有限公司 | 一种实现安全通信方法及区块链物联代理装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN208873145U (zh) | 一种配网自动化IPSec安全芯片 | |
| CN104660603B (zh) | IPSec VPN中扩展使用量子密钥的方法及系统 | |
| Bonetto et al. | Secure communication for smart IoT objects: Protocol stacks, use cases and practical examples | |
| US9231918B2 (en) | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions | |
| CN109344639A (zh) | 一种配网自动化双重防护安全芯片、数据传输方法及设备 | |
| CN103929299B (zh) | 地址即公钥的自安全轻量级网络报文传输方法 | |
| CN101682569B (zh) | 用于在固定网络架构中漫游Wi-Fi接入的PANA | |
| WO2016114842A1 (en) | End-to-end service layer authentication | |
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
| CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
| CN104579879A (zh) | 一种虚拟专用网络通信系统、连接方法及数据包传输方法 | |
| CN108809635A (zh) | 锚密钥生成方法、设备以及系统 | |
| CN108306853A (zh) | 一种支持区块链和iot无线通讯的智能数据采集器及加密通讯方法 | |
| WO2018161862A1 (zh) | 私钥生成方法、设备以及系统 | |
| Fei et al. | The research and implementation of the VPN gateway based on SSL | |
| CN104602208B (zh) | 一种基于移动网络的短信加密通信方法 | |
| KR20090102050A (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
| CN103269301A (zh) | 桌面型IPSecVPN密码机及组网方法 | |
| CN103188228B (zh) | 一种实现端到端安全防护的方法、安全网关及系统 | |
| WO2020151010A1 (zh) | 可移动平台的通信方法、设备、系统及存储介质 | |
| CN103747019B (zh) | 一种数据传输的方法及装置 | |
| CN117879924A (zh) | 一种基于国密算法的专用精简网络安全通信方法 | |
| CN101478389B (zh) | 支持多级安全的移动IPSec传输认证方法 | |
| CN108966217A (zh) | 一种保密通信方法、移动终端及保密网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |