一种基于ZYNQ7020和安全芯片的数据加解密设备
阅读:1041发布:2020-05-13
专利汇可以提供一种基于ZYNQ7020和安全芯片的数据加解密设备专利检索,专利查询,专利分析的服务。并且本实用新型涉及一种基于ZYNQ7020和安全芯片的数据加解密设备,包括ZYNQ7020芯片、安全芯片、第一 存储器 、第二存储器、第一网络 接口 、第二网络接口,所述安全芯片、所述第一存储器、所述第二存储器、所述第一网络接口和所述第二网络接口分别与所述ZYNQ7020芯片连接。本实用新型通过安全芯片为ZYNQ7020芯片提供加解密策略,使得数据加解密设备可以实现对网络数据的加密,而且实现了网络数据 帧 一包一密的加解密,在双向千兆数据加密、解密时只有微妙级延时。,下面是一种基于ZYNQ7020和安全芯片的数据加解密设备专利的具体信息内容。
1.一种基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,包括ZYNQ7020芯片、安全芯片、第一存储器、第二存储器、第一网络接口、第二网络接口,所述安全芯片、所述第一存储器、所述第二存储器、所述第一网络接口和所述第二网络接口分别与所述ZYNQ7020芯片连接。
2.根据权利要求1所述的基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,所述安全芯片包括MAC列表文件、密钥文件、参数配置文件和加解密策略文件。
3.根据权利要求1所述的基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,所述安全芯片支持ISO7816接口,通过所述ISO7816接口与所述ZYNQ7020芯片通信。
4.根据权利要求1所述的基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,所述安全芯片型号为SRM1502。
5.根据权利要求1所述的基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,所述ZYNQ7020芯片内部集成有Arm Cortex-A9MP Core处理器,所述Arm Cortex-A9MP Core处理器与所述第一网络接口、所述第二网络接口连接。
6.根据权利要求5所述的基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,所述ZYNQ7020芯片内部还集成有Xilinx可编程逻辑控制器,所述Xilinx可编程逻辑控制器与所述Arm Cortex-A9MP Core处理器连接。
7.根据权利要求6所述的基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,所述Xilinx可编程逻辑控制器内置有TCAM存储器。
8.根据权利要求6所述的基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,所述Xilinx可编程逻辑控制器还内置有加密算法IP核。
9.根据权利要求1所述的基于ZYNQ7020和安全芯片的数据加解密设备,其特征在于,所述基于ZYNQ7020和安全芯片的数据加解密设备支持远程管理和本地管理。
一种基于ZYNQ7020和安全芯片的数据加解密设备
技术领域
[0001] 本实用新型属于通信技术领域,具体涉及一种基于ZYNQ7020和安全芯片的数据加解密设备。
背景技术
[0002] 随着信息技术的发展及互联网时代的普及,信息安全技术逐渐被人们重视以应对各种信息安全威胁。对于一些关键的行业,如:银行,公安系统等,须使用硬件加密设备来提高系统的安全保障,密钥必须保存在硬件加密系统本地上,不能出现在系统内存中,因此硬件数据加解密设备应运而生。
[0003] 目前主流的硬件数据加解密设备主要由主控芯片、加密模块、闪存(FLASH)模块、随机数生成器和通信接口模块组成。其中,主控模块是硬件数据加解密设备的核心模块,其根据服务器发送的命令控制硬件数据加解密设备的整体操作;加密模块,可以提供加/解密算法;FLASH模块,可以为硬件数据加解密设备提供配置数据,对硬件数据加解密设备只要进行简单配置就可以满足不同的用户使用;随机数生成器,采用专用数字物理噪声源实现,负责产生随机数;通信接口模块负责完成硬件数据加解密设备与服务器之间的数据通信。
[0004] 但硬件数据加解密设备通常加密模块提供的加解密策略无法实现对所有网络数据的加解密,同时,传统一包一密的方式由于每次都要协商密钥,严重影响数据传输的性能。实用新型内容
[0005] 为了解决现有技术中的不足,本实用新型提供了一种基于ZYNQ7020和安全芯片的数据加解密设备,该基于ZYNQ7020和安全芯片的数据加解密设备包括:
[0006] ZYNQ7020芯片、安全芯片、第一存储器、第二存储器、第一网络接口、第二网络接口,所述安全芯片、所述第一存储器、所述第二存储器、所述第一网络接口和所述第二网络接口分别与所述ZYNQ7020芯片连接。
[0007] 在本实用新型的一个实施例中,所述安全芯片包括MAC列表文件、密钥文件、参数配置文件和加解密策略文件。
[0008] 在本实用新型的一个实施例中,所述安全芯片支持ISO7816接口,通过所述ISO7816接口与所述ZYNQ7020芯片通信。
[0009] 在本实用新型的一个实施例中,所述安全芯片型号为SRM1502。
[0010] 在本实用新型的一个实施例中,所述ZYNQ7020芯片内部集成有Arm Cortex-A9 MP Core处理器,所述Arm Cortex-A9 MP Core处理器与所述第一网络接口、所述第二网络接口连接。
[0011] 在本实用新型的一个实施例中,所述ZYNQ7020芯片内部还集成有Xilinx可编程逻辑控制器,所述Xilinx可编程逻辑控制器与所述Arm Cortex-A9 MP Core处理器连接。
[0012] 在本实用新型的一个实施例中,所述Xilinx可编程逻辑控制器内置有TCAM存储器。
[0013] 在本实用新型的一个实施例中,所述Xilinx可编程逻辑控制器还内置有高速先进加密算法硬IP核。
[0014] 在本实用新型的一个实施例中,所述基于ZYNQ7020和安全芯片的数据加解密设备支持远程管理和本地管理。
[0015] 与现有技术相比,本实用新型的有益效果:
[0017] 图1为本实用新型实施例提供的一种基于ZYNQ7020和安全芯片的数据加解密设备的结构示意图;
[0018] 图2为本实用新型实施例提供的一种基于ZYNQ7020和安全芯片的数据加解密设备中安全芯片的数据结构示意图;
[0019] 图3为本实用新型实施例提供的一种基于ZYNQ7020和安全芯片的数据加解密设备中ZYNQ7020芯片的结构示意图;
[0020] 图4为本实用新型实施例提供的另一种基于ZYNQ7020和安全芯片的数据加解密设备中ZYNQ7020芯片的结构示意图。
具体实施方式
[0021] 下面结合具体实施例对本实用新型做进一步详细的描述,但本实用新型的实施方式不限于此。
[0022] 为使本实用新型的上述目的、特征和优点能够更加明显易懂,下面结合附图对本实用新型的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本实用新型。但是本实用新型能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本实用新型内涵的情况下做类似改进,因此本实用新型不受下面公开的具体实施的限制。
[0023] 除非另有定义,本文所使用的所有的技术和科学术语与属于本实用新型的技术领域的技术人员通常理解的含义相同。本文中在本实用新型的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本实用新型。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
[0024] 实施例一
[0025] 请参见图1,图1为本实用新型实施例提供的一种基于ZYNQ7020和安全芯片的数据加解密设备的结构示意图。本实施例提供了一种基于ZYNQ7020和安全芯片的数据加解密设备,该基于ZYNQ7020和安全芯片的数据加解密设备包括:
[0026] ZYNQ7020芯片、安全芯片、第一存储器、第二存储器、第一网络接口、第二网络接口,安全芯片、第一存储器、第二存储器、第一网络接口和第二网络接口分别与ZYNQ7020芯片连接。
[0027] 具体而言,本实施例以ZYNQ7020芯片为核心控制器,用于控制和实现整个数据加解密过程,安全芯片与ZYNQ7020之间进行通信实现加解密策略文件、密钥文件等管理,用于为ZYNQ7020芯片提供加解密策略;第一网络接口、第二网络接口用于数据加解密过程中网络数据帧的传输,第一存储器、第二存储器用于加解密过程中加解密钥或是网络数据帧的存储。
[0028] 本实施例通过安全芯片为ZYNQ7020芯片提供加解密策略,由ZYNQ7020芯片实现对所有网络数据的加解密处理,同时实现了一包一密的加解密策略,在双向千兆数据加解密时只有微妙级延时。
[0029] 进一步地,本实施例安全芯片包括MAC列表文件、密钥文件、参数配置文件和加解密策略文件。
[0030] 具体而言,本实施例安全芯片采用的是华大自主研发的安全芯片,可以完成数据加解密设备端的安全认证,敏感数据的存储和访问控制等功能,即可保护数据加解密设备本地的安全,如代码保护防抄板、数据安全存储,又可保护设备联网安全,如唯一数据加解密设备标识,身份认证,数据加解密传输等;本实施例安全芯片支持ISO7816、UART、I2C、SPI等接口,还支持DES、3DES、SM1、SM4等加解密算法。
[0031] 优选地,安全芯片通过ISO7816接口与ZYNQ7020芯片通信。
[0032] 优选地,华大自主研发的安全芯片型号为SRM1502。
[0033] 请参见图2,图2为本实用新型实施例提供的一种基于ZYNQ7020和安全芯片的数据加解密设备中安全芯片的数据结构示意图。本实施例中安全芯片选用ISO7816接口与ZYNQ7020芯片通信,实现对MAC列表文件、密钥文件、参数配置文件和加解密策略文件的加密存储。
[0034] 其中,MAC列表文件中MAC列表包括MAC黑名单列表、MAC白名单列表,MAC黑名单列表、MAC白名单列表的设置可以防止非法网络设备接入到加密网络中,影响加密效果。
[0035] 其中,加解密策略文件中具体的加解密策略为:加解密策略文件中预先配置有五元组列表,五元组列表包括若干条五元组,五元组列表中的每一条五元组包括源IPv4地址、源端口、目的IPv4地址、目的端口和传输层协议。五元组列表中的每一条五元组都有对应的加解密钥信息,五元组支持通配符,五元组有加解密分组和强透传分组,其中强透传分组优先级较高,同时匹配强透传和加解密分组时,以强透传处理,匹配上五元组加解密分组后,根据五元组对应的加解密钥对网络数据帧的有效数据进行加解密处理得到密文数据/明文数据,并根据原网络数据帧的帧头与密文数据/明文数据重新封装网络数据帧,不匹配五元组的网络帧可以配置为透传或丢弃,优选透传,选择透传可以实现与任何网络进行明文通信,不影响访问公共网络数据。本实施例通过五元组加解密策略可以在安全芯片上提供一对一、一对多,以及多对多的网络数据的加解密策略,从而在ZYNQ7020芯片上对网络中的所有网络数据进行加解密,且便于统一管理。其中,网络数据帧的加解密算法可以使用ZUC、SM4等算法。
[0036] 需要说明的是,对于IPv6网络,加解密策略文件中预先配置有五元组列表和流标签列表,五元组列表包括若干条五元组,具体地五元组包括源IPv6地址、源端口、目的IPv6地址、目的端口和传输层协议,五元组列表和流标签列表对应一起配置。
[0037] 其中,密钥文件中的密钥包括固定密钥,固定密钥由管理员设置,管理员可以根据需要随时修改,该固定密钥与网络数据帧的标识或流标签共同形成加解密策略中需要的加解密钥,具体地,通过固定密钥与网络数据帧的标识或流标签进行逻辑运算得到加解密钥,比如与、异或等逻辑运算方法,然后对加解密钥进行哈希运算,得到最终加解密数据的密钥,利用该加解密钥对网络数据进行加解密处理,实现一包一密的数据加解密,加解密钥的复杂度高,从而增加了数据传输的安全性,提高了破解难度,使破解成本总是远大于得到的收益,失去破解的动机和动力。加解密钥包括加密密钥和解密密钥。
[0038] 其中,参数配置文件中的配置参数具体包括加解密功能开关、加解密选择、MAC过滤开关、MAC列表名单选择、MAC学习开关、设备管理标识、设备工作转态上报开关、设备工作转态上报间隔、管理平台地址等,通过该文件的配置参数控制后续加解密流程。
[0039] 进一步地,ZYNQ7020芯片内部集成有Arm Cortex-A9 MP Core处理器、Xilinx可编程逻辑控制器,Xilinx可编程逻辑控制器与Arm Cortex-A9 MP Core处理器连接,Arm Cortex-A9 MP Core处理器与第一网络接口、第二网络接口连接。
[0040] 具体而言,请参见图3,图3为本实用新型实施例提供的一种基于ZYNQ7020和安全芯片的数据加解密设备中ZYNQ7020芯片的结构示意图。ZYNQ7020芯片为一款基于Xilinx AllProgrammable SoC(AP Soc)架构,内部集成Arm Cortex-A9 MP Core处理器(PS)和Xilinx可编程逻辑(PL)的高性能低功耗芯片,PS与PL之间通过片内高速AXI总线相连,采用AXI总线的CDMA机制实现DMA通信。其中,PS集成有两个独立的千兆以太网控制器,支持DDR2、DDR3、DDR3L和LPDDR2的内存控制器,以及QSPI、SDIO、USB、SPI、CAN、UART、I2C、GPIO等接口;PL集成有JTAG、OCM、XADC、PCI-E等接口。
[0041] 请参见图4,图4为本实用新型实施例提供的另一种基于ZYNQ7020和安全芯片的数据加解密设备中ZYNQ7020芯片的结构示意图。本实施例以ZYNQ7020为核心控制器。其中,PS上运行Linux操作系统,对数据加解密设备进行控制和管理。Linux中的网口接收到第一网络接口发送的网络数据帧通过DMA直接发送给PL,PL的加解密控制逻辑对接收到的网络数据帧进行加解密处理,并将加密后的密文数据或解密后的明文数据重新封装网络数据帧,通过AXI总线将重新封装好的网络数据帧发送给PS中的DMA,由DMA从第二网络接口将网络数据帧发送于网络中。其中,PL的加解密控制逻辑对网络数据帧的处理包括MAC过滤、加解密策略匹配等,MAC过滤的MAC列表和MAC过滤开关由Linux管理。加解密策略匹配即加解密分组和强透传分组的五元组匹配,加解密策略通过PS调用安全芯片中的加解密策略文件,对该加解密策略文件进行解密而得到,并由Linux管理,Linux将接收到的加解密策略文件的内容解析后通过寄存器发送给PL,每一条五元组策略对应一条加解密密钥,加解密策略文件和密钥文件必须匹配,否则文件不能生效。所有网络数据帧的加解密处理过程在PL处理,对于ARP、ICMP等网络协议帧直接透传。其中,加解密密钥为上述通过固定密钥和网络数据帧的标识或流标签进行逻辑运算得到加解密钥,亦可以直接为固定密钥。
[0042] 进一步地,Xilinx可编程逻辑控制器内置有TCAM存储器和加密算法IP核。
[0043] 具体而言,请再参见图3,本实施例PL内置有TCAM存储器,可以实现MAC地址黑白名单和加解密策略快速匹配。同时,PL还内置有加密算法IP核,优选地加密算法IP核为ZUC加密算法IP核,通过该高速先进的加密算法可以实现数据加解密微妙级延时。在加解密数据时,由网络数据帧标识或流标签作为密钥因子,该密钥因子与管理员设置的固定密钥共同加解密数据,实现数据加解密的一包一密。其中,密钥因子与固定密钥通过逻辑运算,并进行哈希运算,得到最终加解密数据的密钥,实现共同加解密数据,这样的加解密数据的密钥复杂度高,从而增加了数据传输的安全性,提高了破解难度,使破解成本总是远大于得到的收益,失去破解的动机和动力。
[0044] 进一步地,基于ZYNQ7020和安全芯片的数据加解密设备支持远程管理和本地管理。
[0045] 具体而言,本实施例支持远程管理和本地管理两种管理方式,远程管理通过以太网实现,本地管理通过USB实现。具体地,远程管理的网络数据通过Linux封装成标准的网络数据帧,将网络帧存放到指定内存区域,通过PL提供的寄存器通知DMA将数据通过网口发送给远程管理平台,远程管理平台发送远程管理数据帧,PL通过管理标识识别远程管理数据帧,并将远程管理数据帧发送至PS上运行的Linux处理。因为本实施例提供的基于ZYNQ7020和安全芯片的数据加解密设备本身是无IP和MAC地址(可以为IPv4地址或IPv6地址),远程管理的网络通信通过借用与数据加解密设备连接的下行设备的MAC地址和IP地址进行网络通信,数据加解密设备在网络中完全透明,实现无IP和MAC地址。数据加解密设备接收到的网络数据帧除远程管理发送的远程管理数据帧外,其他网络数据帧全部由第二网络接口发送出去。数据加解密设备通过管理标识来识别远程管理数据帧,管理标识可以设置修改。其中,管理标识通过PS调用安全芯片中的参数配置文件,对该参数配置文件进行解密而得到。
[0046] 进一步地,基于ZYNQ7020和安全芯片的数据加解密设备包括第一存储器、第二存储器。
[0047] 具体而言,请再参见图1,本实施例第一存储器、第二存储器用于加解密过程中加解密钥或是网络数据帧的存储。ZYNQ7020芯片的QSPI接口连接第一存储器,DDR总线连接第二存储器,第一存储器包括两个W25Q128JVSIQ存储器,还用于存储Linux文件系统、内核等文件,第二存储器包括2个MT41J256M16HA-125D内存芯片。
[0048] 进一步地,基于ZYNQ7020和安全芯片的数据加解密设备包括第一网络接口和第二网络接口。
[0049] 具体而言,请再参见图1,本实施例第一网络接口、第二网络接口用于数据加解密过程中网络数据帧的传输,第一网络接口、第二网络接口分别与ZYNQ7020芯片连接。第一网络接口、第二网络接口分别连接一个集成三速(10BASE-T/100BASE-TX/1000BASE-T)的以太网物理收发器(KSZ9031RNX),实现2路10/100/1000兆自适应以太网口。数据加解密设备使用定制以太网驱动程序,第一网络接口、第二网络接口工作在混杂模式下。
[0050] 请再参见图4,本实施例基于ZYNQ7020和安全芯片的数据加解密设备的工作原理如下:
[0051] 本实施例PS运行的Linux为控制域,对数据加解密设备进行控制管理。数据加解密设备为无IP地址(IPv4地址或IPv6地址)和MAC地址的设备,其通过借用与其连接下行设备的IP地址(IPv4地址或IPv6地址)和MAC地址与管理服务器通信,实现数据加解密设备的远程管理。远程管理中也可实现对安全芯片中MAC列表文件、密钥文件、参数配置文件和加解密策略文件的更新,PS将更新后的MAC列表文件、密钥文件、参数配置文件和加解密策略文件通过PL提供的寄存器发送给PL。
[0052] Linux中的网卡驱动的网口接收第一网络接口接收的网络数据帧,并将接收的网络数据帧直接由DMA通过AXI总线发送给PL的网络数据接收描述符(Ethernet0接收描述符),PL的加解密控制逻辑从Ethernet0接收描述符接收数据并进行加解密处理,并将加密后的密文数据或解密后的明文数据重新封装网络数据帧后,发送到另一网口PL的网络数据发送描述符(Ethernet1发送描述符),通过AXI总线将重新封装好的网络数据从Ethernet1发送描述符发送给PS,由DMA从第二网络接口将网络数据帧发送于网络中。整个数据处理当中,PS控制的网口驱动程序从网络物理接口接收网络数据帧,再由DMA转发给PL。其中,PS中的Linux内核不能直接访问任何网络数据帧内容。
[0053] PL中加解密控制逻辑从接收描述符(Ethernet0接收描述符)读取到网络数据帧后,先判断MAC过滤开关,并通过MAC搜索引擎比较MAC列表,若MAC地址符合通过条件,则再通过五元组搜索引擎比较加解密策略,选择是否对网络数据帧进行加解密处理,对于需要加解密处理的网络数据帧,根据五元组加密策略进行加解密处理。之后,将加密后的网络数据帧再转入网络数据发送描述符(Ethernet1接收描述符),通过AXI总线由PS发送到网络中。
[0054] 综上所述,本实施例以高性能低功耗的ZYNQ7020芯片为核心控制器,安全芯片可以提供多种加解密策略,通过安全芯片与ZYNQ7020芯片的通信,实现数据的加解密处理,其中,五元组加密策略,能够实现数据加解密设备一对一、一对多,以及多对多的网络数据的加密,对网络中的指定网络数据进行加密,且便于统一管理,其中,一包一密的加密策略,密钥因子和固定密钥共同作为加密密钥,提高了加密密钥的复杂度,增加了数据传输的安全性,提高了破解难度,使破解成本远大于得到的收益,而且生成的加密密钥,不需要在数据传输中重复设置,保证了网络数据传输性能;本实施例数据加解密设备为无IP和MAC地址的设备,通过借用与其连接的下行网络设备的MAC地址和IP地址实现网络通信,数据加解密设备在网络拓扑中完全透明,即数据加解密设备的接入不能对网络拓扑产生任何影响,免遭网络攻击,同时,可以实现远程网络管理。
[0055] 以上内容是结合具体的优选实施方式对本实用新型所作的进一步详细说明,不能认定本实用新型的具体实施只局限于这些说明。对于本实用新型所属技术领域的普通技术人员来说,在不脱离本实用新型构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本实用新型的保护范围。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 带有降低的页面交换开销的传感器中枢和存储器系统 | 2020-05-08 | 786 |
| 存储器修复启用 | 2020-05-08 | 73 |
| 三维存储器件及其形成方法 | 2020-05-08 | 216 |
| 一种具有指纹识别的安防监控系统 | 2020-05-08 | 356 |
| 测试兼容性的方法 | 2020-05-08 | 465 |
| 用于改进DDR存储器装置中的写入前同步码的系统和方法 | 2020-05-08 | 520 |
| 管理程序直接存储器访问 | 2020-05-08 | 602 |
| 嵌套管理程序存储器虚拟化 | 2020-05-08 | 583 |
| 直流电压分布系统的控制 | 2020-05-08 | 842 |
| NAND存储器的栅极结构形成方法、NAND存储器及光罩掩膜版 | 2020-05-11 | 335 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈