本实用新型涉及电力电子技术领域,特别涉及一种网络隔离密码板卡。
背景技术:
内外网交换平台采用逻辑强隔离与多层次防护技术实现内外网网络隔离,有效阻断各类互联网病毒、木马、蠕虫和APT攻击(APT,Advanced Persistent Threat,高级持续性威胁)。随着互联网与企业信息内网应用的快速发展,敏感信息防泄漏、内外网交换数据防篡改以及对内外网数据交换应用授权等应用安全、内容安全越来越受到重视。
国家能源局2014年印发《电力监控系统安全防护规定》等信息安全保障技术方案,以“安全分区、网络专用、横向隔离、纵向加密”为总体安全防护核心策略,规定在发电、输电、供电、用电四个环节的每个业务系统都必须有相应的信息安全防护。其中,隔离技术实现了网络攻击防护,加密技术实现了应用授权与数据安全,两者的有机结合,能够建立一套具备网络、应用、数据三位一体安全防护能力的内外网安全隔离技术体系。
现有技术中,参见图1所示,网络隔离板卡与密码算法加密卡(国密算法加密卡)作为两个分开的板卡单独设置,两版卡之间进行数据的加密通信需要通过上位机的操作系统作为数据传输媒介进行传输,而操作系统的安全程度远低于网络隔离板卡和密码算法加密卡,导致一旦操作系统被攻击或破解,将会造成数据的泄露,从而造成安全事故。
为此,本实用新型在于开发一种安全性和可靠性更高的网络隔离密码板卡。
技术实现要素:
有鉴于此,本实用新型的目的在于提供一种网络隔离密码板卡,提高安全性和可靠性。其具体方案如下:
一种网络隔离密码板卡,其特征在于,包括通讯接口、FPGA隔离交换控制芯片、安全芯片、密码算法芯片、第一扩展存储器和第二扩展存储器;
所述通讯接口、所述FPGA隔离交换控制芯片和所述密码算法芯片依次连接,所述安全芯片与所述FPGA隔离交换控制芯片连接,所述第一扩展存储器分别与所述安全芯片和所述FPGA隔离交换控制芯片连接,所述第二扩展存储器与所述安全芯片连接;
所述安全芯片,用于调度所述FPGA隔离交换控制芯片、所述第一扩展存储器和所述第二扩展存储器中的数据;
所述FPGA隔离交换控制芯片,用于在所述通讯接口、所述安全芯片、所述密码算法芯片和所述第一扩展存储器之间进行数据中转;
所述密码算法芯片,用于对数据进行加密;
所述通讯接口,用于建立所述FPGA隔离交换控制芯片与上位机的通讯连接;
所述第一扩展存储器,用于存储所述FPGA隔离交换控制芯片发送的数据;
所述第二扩展存储器,用于存储所述安全芯片发送的数据。
可选的,所述通讯接口为PCIE X1接口。
可选的,所述FPGA隔离交换控制芯片包括SSX30-E芯片、HSM2-H2芯片和HSM4-G2芯片。
可选的,还包括与所述安全芯片连接的用于供电的供电电源。
可选的,所述供电电源采用电源分级设计。
可选的,所述安全芯片与所述供电电源之间,包括分别与所述第二扩展存储器和所述供电电源连接,用于实现弱电保护的安全防护装置;
所述安全防护装置,用于检测所述供电电源的电压,发送第一保护信号至所述第二扩展存储器;
所述第二扩展存储器,还用于根据所述第一保护信号清空本地存储的数据。
可选的,所述安全防护装置包括用于检测所述网络隔离密码板卡的外壳完整度的物理保护传感器,所述物理保护传感器与所述第二扩展存储器连接;
所述物理保护传感器,用于获取所述外壳状态信息,依据所述外壳状态信息发送第二保护信号至所述第二扩展存储器;
所述第二扩展存储器,还用于根据所述第二保护信号清空本地存储的数据。
可选的,还包括与所述安全芯片连接,用于指示所述网络隔离密码板卡工作状态的指示灯。
可选的,所述安全芯片包括UART接口。
可选的,所述安全芯片包括智能卡接口;
所述智能卡接口,用于与智能卡通信,在所述安全芯片与所述智能卡之间传输验证数据。
本实用新型中,网络隔离密码板卡,包括通讯接口、FPGA隔离交换控制芯片、安全芯片、密码算法芯片、第一扩展存储器和第二扩展存储器;通讯接口、FPGA隔离交换控制芯片和密码算法芯片依次连接,安全芯片与FPGA隔离交换控制芯片连接,第一扩展存储器分别与安全芯片和FPGA隔离交换控制芯片连接,第二扩展存储器与安全芯片连接;安全芯片,用于调度FPGA隔离交换控制芯片、第一扩展存储器和第二扩展存储器中的数据;FPGA隔离交换控制芯片,用于在通讯接口、安全芯片、密码算法芯片和第一扩展存储器之间进行数据中转;密码算法芯片,用于对数据进行加密;通讯接口,用于建立FPGA隔离交换控制芯片与上位机的通讯连接;第一扩展存储器,用于存储FPGA隔离交换控制芯片发送的数据;第二扩展存储器,用于存储安全芯片发送的数据。
本实用新型网络隔离密码板卡中集成了安全芯片、FPGA隔离交换控制芯片和密码算法芯片,三者之间依次连接直接通讯,无需上位机的操作系统作为密码算法芯片与安全芯片和FPGA隔离交换控制芯片之间数据传输的媒介,从根本上避免了因操作系统被破解导致的数据泄露等安全事故,提高了安全性和可靠性。
附图说明
为了更清楚地说明本实用新型实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本实用新型的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为现有技术中一种集成独立PCI加密卡示意图;
图2为本实用新型实施例公开的一种网络隔离密码板卡结构示意图;
图3为本实用新型实施例公开的另一种网络隔离密码板卡结构示意图。
具体实施方式
下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。
本实用新型实施例公开了一种网络隔离密码板卡,参见图2所示,该板卡包括通讯接口1、FPGA隔离交换控制芯片2(FPGA,Field-Programmable Gate Array,现场可编程门阵列)、安全芯片3、密码算法芯片4、第一扩展存储器5和第二扩展存储器6;
通讯接口1、FPGA隔离交换控制芯片2和密码算法芯片4依次连接,安全芯片3与FPGA隔离交换控制芯片2连接,第一扩展存储器5分别与安全芯片3和FPGA隔离交换控制芯片2连接,第二扩展存储器6与安全芯片3连接;
安全芯片3,用于调度FPGA隔离交换控制芯片2、第一扩展存储器5和第二扩展存储器6中的数据。
具体的,安全芯片3可以控制FPGA隔离交换控制芯片2的数据传递过程,可以指挥FPGA隔离交换控制芯片2将数据发送至密码算法芯片4或发送至第一扩展存储器5中,安全芯片3从第一扩展存储器5中获取FPGA隔离交换控制芯片2发送的加密数据,并将加密数据转发至第二扩展存储器6中,第一扩展存储器5和第二拓展存储器所对应的上位机不同,不同权限的上位机所访问的扩展存储器不同,因此,从而实现将加密数据从一个上位机中隔离到另一个上位机,由于存储在两个不同的存储扩展器,实现了物理隔离,确保了数据的安全性;当然,安全芯片3可以通过FPGA隔离交换控制芯片2接收上位机的数据获取请求,将第一存储扩展器或第二存储扩展器中相应的数据发送至上位机,完成数据传输任务。
进一步的,安全芯片3还可以获取各设备工作状态,可以理解的是,安全芯片3在与网络隔离密码板卡中各芯片或设备交互时,均会发送相应的交互指令,以实现交互功能,在此不再赘述。
FPGA隔离交换控制芯片2,用于在通讯接口1、安全芯片3、密码算法芯片4和第一扩展存储器5之间进行数据中转。
具体的,FPGA隔离交换控制芯片2在接收上位机通过通讯接口1发送的待加密数据后,可以对待加密数据进行拆分操作,将待加密数据拆分为多个小数据,再将多个小数据发送至密码算法芯片4,以使密码算法芯片4对每个小数据进行加密,接收密码算法芯片4返回的多个加密后的小数据,即加密数据,再将加密数据发送至第一扩展存储器5中,以便于安全芯片3从中获取加密数据。
密码算法芯片4,用于对数据进行加密。
具体的,密码算法芯片4中存储有加密算法和密钥等加密信息,例如,密码算法芯片4中可以保存有身份鉴别密钥,SM1加密算法、SM2加密算法、SM3加密算法和SM4加密算法,密码算法芯片4可以首先利用哈希算法对FPGA隔离交换控制芯片2发送的数据进行哈希校验,校验通过后再利用加密算法对数据进行加密,完成加密后,便可以发送至FPGA隔离交换控制芯片2。
具体的,密码算法芯片4可以根据FPGA隔离交换控制芯片2发送的数据的类型选择相应的加密算法进行加密,一种加密算法对应一种类型的数据。
具体的,密码算法芯片4可以通过LocalBus通信接口与FPGA隔离交换控制芯片2连接,实现密码算法芯片4、FPGA隔离交换控制芯片2和安全芯片3之间的直接物理通信连接,无需通过上位机的操作系统作为中间数据的传递媒介,从根本上避免了因操作系统被破解导致的安全事故。
通讯接口1,用于建立FPGA隔离交换控制芯片2与上位机的通讯连接。
具体的,通讯接口1用于建立整个网络隔离密码板卡与上位机的通讯通道,网络隔离密码板卡的大量数据均通过FPGA隔离交换控制芯片2与通讯接口1与上位机进行交互。
第一扩展存储器5,用于存储FPGA隔离交换控制芯片2发送的数据。
具体的,第一扩展存储器5作为安全芯片3与FPGA隔离交换控制芯片2进行数据交换的存储器,FPGA隔离交换控制芯片2将加密后的数据存储至第一扩展存储器5,安全芯片3则可以从第一扩展存储器5读取FPGA隔离交换控制芯片2存储的加密后的数据,同时,安全芯片3若要将第二扩展存储器6中的数据发送出去,也需要先将数据存储至第一扩展存储器5中作为中转,以便FPGA隔离交换控制芯片2可以从第一扩展存储器5中获取数据。
其中,第一扩展存储器5可以为SRAM存储器(SRAM,Static Random-Access Memory,静态随机存取存储器)。
第二扩展存储器6,用于存储安全芯片3发送的数据。
具体的,引入扩展存储器作为数据的中转存放地,能够使得数据之间通过安全芯片3和FPGA隔离交换控制芯片2实现物理隔离,同时,能够避免数据占用各芯片自身的存储空间,提高芯片的工作效率。
其中,第二扩展存储器6可以为FLASH存储器。
可见,本实用新型实施例网络隔离密码板卡中集成了安全芯片3、FPGA隔离交换控制芯片2和密码算法芯片4,三者之间依次连接直接通讯,无需上位机的操作系统作为密码算法芯片4与安全芯片3和FPGA隔离交换控制芯片2之间数据传输的媒介,从根本上避免了因操作系统被破解导致的数据泄露等安全事故,提高了安全性和可靠性。
可以理解的是,密码服务接口软件设计可以按照GM/T 0018-2012《密码设备应用接口规范》中的有关规定进行设置,适用接口可以包括上述通讯接口1、各芯片和各设备的接口。
其中,为确保板卡的散热性,由于板卡安装在外壳内,外壳上可以安装有散热风扇,为确保散热,可以将安全芯片3、FPGA隔离交换控制芯片2和密码算法芯片4相应的设置在外壳的散热风扇所对应的位置,以确保这些高发热设备的热量能够被尽快带走。
进一步的,本实用新型实施例中各设备和芯片的软件或固件设计要求均满足GM/T 0028-2014《密码模块安全技术要求》,其中,在安全等级为一时,安全芯片3可以执行完整性校验,采用单个鉴别码进行完整性测试,在安全等级为二时,安全芯片3软件和箍筋均是可执行代码,用户无法通过SFMI、HSMI和HFMI接口实现对安全芯片3的调试,在安全等级为三级或四级时,软件和固件使用核准的数字签名进行保护。
本实用新型实施例公开了一种具体的网络隔离密码板卡,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。参见图3所示,具体的:
具体的,上述通讯接口1可以为PCIE X1接口。
其中,上述FPGA隔离交换控制芯片2包括SSX30-E芯片、HSM2-H2芯片和HSM4-G2芯片。
可以理解的是,本实用新型实施例中网络隔离密码板卡,还可以包括与安全芯片3连接的用于供电的供电电源7;为防止电磁泄露供电电源7可以采用电源分级设计。
进一步的,为实现弱电保护安全芯片3与供电电源7之间,可以包括分别与第二扩展存储器6和供电电源7连接,用于实现弱电保护的安全防护装置8;
安全防护装置8,用于检测供电电源7的电压,判断电压是否满足预设的安全阈值,若否,则发送第一保护信号至第二扩展存储器6;
第二扩展存储器6,还用于根据第一保护信号清空本地存储的数据。
具体的,当外部人员想对数据进行窃听,需要运行相应的窃听程序,势必会导致各芯片的负载增高,所需功率变大,此时若想满足供电要求,供电电源7电压将会升高,所以,安全防护装置8通过检测供电电源7的电压是否升高超过预设的安全阈值,若超过,则可以表明芯片中运行了多余的程序,可能存在安全风险,此时,为防止数据被窃取,安全防护装置8可以发送第一保护信号至第二扩展存储器6,以使第二扩展存储器6利用自身的低功耗单片机依据第一保护信号清空本地存储数据,确保数据不会被盗,当然,如果有需求,也可以使第一保护信号通过安全芯片3发送至第一扩展存储器5以使第一扩展存储器5同样删除数据。
具体的,为防止网络隔离密码板卡被物理手段破拆造成数据丢失,上述安全防护装置8还可以包括用于检测网络隔离密码板卡的外壳完整度的物理保护传感器81,物理保护传感器81与第二扩展存储器6连接;
物理保护传感器81,用于获取外壳状态信息,依据外壳状态信息发送第二保护信号至第二扩展存储器6;
第二扩展存储器6,还用于根据第二保护信号清空本地存储的数据。
具体的,一旦网络隔离密码板卡的外壳被破坏,物理保护传感器81将会根据变化,生成外壳状态信息,从而通知第二扩展存储器6删除数据,当然,也可以通过安全芯片3发送至第一扩展存储器5。
进一步的,为了保护网络隔离密码板卡,安全防护装置8还可以包括温度检测电路,检测网络隔离密码板卡的工作温度,一旦过热,可以发送相应的信号至安全芯片3,由安全芯片3对各芯片进行调度,例如,可以让各芯片进入低功耗模式,减少发热量,或安全芯片3可以外接指示灯82,提示当前网络隔离密码板卡的工作状态,例如,绿灯可以代表一切正常,黄灯代表繁忙,红灯代表处于极限工作状态或发生故障,如过热,器件发生故障灯。
具体的,上述安全芯片3可以包括用于与外界设备通信UART接口。
进一步的,为了对用户进行验证,安全芯片3还可以包括智能卡接口;
具体的,通过智能卡接口可以使用户所持有的智能卡与安全芯片3进行通信,安全芯片3将对智能卡中存储的验证信息进行校验,识别用户权限等,以使用户仅能使用与其权限所对应的操作。
同时,智能卡中还可以存储部分密钥,例如,保护密钥和身份鉴别密钥,具体的,网络隔离密码板卡中可以包括保护密钥、身份鉴别密钥、会话密钥、用户密钥和密钥加密密钥;其中,
保护密钥是第一级密钥,用来保护、管理二级密钥和三级密钥。保护密钥可以由两个分量组成,一部分存在安全芯片3中,另一部分存在智能卡中,两个分量拼接后进行哈希运算得到保护密钥。
身份鉴别密钥、用户密钥和密钥加密密钥是二级密钥。其中身份鉴别密钥为对称密钥,用来鉴别用户身份,不对应用系统开放。身份鉴别密钥可以存到两个地方,一是加密存储到密码算法芯片4内,二是明文存储到智能卡中,智能卡中身份鉴别密钥使用口令进行保护,并不可以导出。操作员登录时,使用采用对称加密算法的机制中的方法,鉴别操作员身份。
用户密钥是公私钥对,用户加密密钥是对称密钥,对应用系统开放,进行数据加密、签名验签、生成会话密钥。
会话密钥是三级密钥,用来对会话数据进行加解密。
其中,密钥的管理应满足:设备保护密钥和设备密钥的使用不对应用系统开放;密钥产生后,应存储在安全区域,并且是加密存储;除公钥外的所有密钥均具备访问权限控制机制,不对非授权用户开放;除公钥外的密钥均不以明文形式出现在网络隔离密码板卡外;密钥管理操作支持生成、导入、存储、备份、恢复及销毁整个密钥存储期。
可以理解的是,网络隔离密码板卡的设备生命周期状态包括:出厂状态、初装状态和就绪状态。状态的转移和存储由主控来维护。
出厂状态:刚下载过主控固件,设备内无任何敏感安全参数时的状态。设备刚生产出来处于此状态,或在配发、使用过程中R1丢失、主动按销毁按键、管理员销毁设备或维护员登陆后设备也会转换到出厂状态。
初装状态:设备内已生成固件签名值、R1时的状态,同时对应的固件签名私钥和保护密钥已经存储到设备装配卡中。设备第一次配发到用户单位时处于此状态,或在用户使用过程时恢复到出厂状态后会再次经历此状态;
就绪状态:设备内已生成了管理员账户和维护员账户时的状态。
具体的,由于引入了身份鉴别密钥,所以可以针对不同身份的用户进行相应的权限设置;其中,
设备管理员:设备管理员配有设备管理员认证卡,同时登陆两个管理员账户后,可实现设备内敏感安全参数的生成、备份、恢复和销毁操作;
设备维护员:设备维护员配有设备维护员认证卡,登陆后可初步判断某些硬件故障,可清理设备内敏感安全参数,在管理员卡出现两个以上故障或丢失时,可用来恢复所有设备到出厂状态
设备操作员:用户配有用户认证卡,登陆后不可操作设备,只可使用与用户身份相关的安全服务。
可以理解的是,上述管理员认证卡、设备维护员认证卡和用户认证卡均为智能卡的一种形式。
具体的,智能卡还可以包括如下分类:
系统智能卡:用于备份设备保护密钥的智能卡,当设备出现故障,无法开机时,可以使用系统智能卡,恢复设备保护密钥;
设备管理智能卡:用于验证设备管理员身份的智能卡,持设备管理智能卡可以使用设备管理软件,进行相关设备管理操作;
用户智能卡:存储设备开机分量,用于设备开机认证,只有持用户智能卡的人员,才可操作网络隔离密码板卡,使用网络隔离密码板卡提供的密码服务。
可以理解的是,可根据实际应用需求,将三种智能卡的独立功能选择性的合并到一张卡片使用,形成一种新的复合型智能卡。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本实用新型的范围。
以上对本实用新型所提供的技术内容进行了详细介绍,本文中应用了具体个例对本实用新型的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本实用新型的方法及其核心思想;同时,对于本领域的一般技术人员,依据本实用新型的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本实用新型的限制。