一种嵌入式电力安全防护终端加密装置制造方法及图纸

本发明专利技术公开了一种嵌入式电力安全防护终端加密装置，包括通过双芯片通讯驱动程序进行通讯和同步的IKE处理器和ESP处理器，IKE处理器和ESP处理器采用两片商密SOC芯片。应用程序包括：ESP模块、密钥协商程序、SAD模块、SPD模块、初始化程序、PPP拨号程序、网络包过滤程序、TCP协议栈、本地/远程管理系统、证书模块和日志系统。本发明专利技术通过双CPU的分工协同工作使得设备具有更高的吞吐量和稳定性；同时采用无操作系统设计，自主实现所需的相关协议栈，从而避免他人利用操作系统相关漏洞来对设备进行攻击的危险；同时按需实现的相关协议栈大大精简了设备的软件，使得设备运行速度相比其他设备有很大的提升。

【技术实现步骤摘要】

本专利技术涉及一种嵌入式电力安全防护终端加密装置。
技术介绍
虚拟专用网络(Virtual Private Network，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay(帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。网际网路安全协定(Internet Protocol Security，简称IPSec)，是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。IPSec由两大部分组成:1)Internet密钥交换协议(Internet Key Exchange Protocol，简称IKE)。2)保护分组流的协议，如：加密安全载荷协议(Encapsulated Security Payload，简称ESP)、认证头协议(Authentication Header，简称AH)等。现有国内的VPN产品主要是在linux操作系统基础上实现了IPSec VPN。由于设备上面需要运行linux操作系统，所以需要较高的硬件配置，从而造成VPN产品的体积较大、成本较高，而性能还不一定高。再加上开源的linux操作系统自身存在的一些安全漏洞，增加了VPN被他人攻击的危险性。
技术实现思路
为了克服现有技术的上述缺点，本专利技术提供了一种嵌入式电力安全防护终端加密装置，是采用国产双商密SOC芯片架构为硬件支撑，在无操作系统的环境条件下按照国密标准的IPSec VPN规范实现的VPN产品。本产品不仅性能比较高、体积很小，而且成本也很低。最重要的是很好地避免了因为linux等操作系统自身的漏洞等原因造成的产品的不安全因素，大大增加了加密产品的可靠性和安全性。本专利技术解决其技术问题所采用的技术方案是：一种嵌入式电力安全防护终端加密装置，包括通过双芯片通讯驱动程序进行通讯和同步的IKE处理器和ESP处理器，IKE处理器和ESP处理器采用两片商密SOC芯片。其中：ESP处理器负责网络数据包的ESP封装、网络数据包过滤等高速业务的处理；IKE处理器主要负责密钥协商、设备管理等需要非对称运算耗时比较长的数据处理；进行数据处理的应用程序包括：ESP模块、密钥协商程序、SAD模块、SPD模块、初始化程序、PPP拨号程序、网络包过滤程序、TCP协议栈、本地/远程管理系统、证书模块和日志系统，其中：(1)ESP模块：运行于ESP处理器中，为IP报文提供机密性、完整性、数据源验证以及抗重播等安全服务；(2)密钥协商程序：运行在IKE处器中，处理密钥协商的两个阶段，完成密钥协商后将生成的密钥和参数通过加密方式发送给ESP处理器；(3)SAD模块：同时运行在IKE处理器和ESP处理器中，用于维护IPSec协议用来保障数据安全的SA记录；(4)SPD模块：同时运行在IKE处理器和ESP处理器中，用于提供轻量级的安全策略维护接口；控制密钥管理和交换的数据包；(5)初始化程序：运行在IKE处理器中，完成设备的IP地址配置、生成设备证书、PPP拨号配置、初始安全策略设置等功能；(6)PPP拨号程序：运行在IKE处理器中，用于GPRS型终端；(7)网络包过滤程序：运行于ESP处理器中，对进入的网络数据包按设定规则进行过滤；(8)TCP协议栈：在GPRS型终端设备的TCP协议栈运行于IKE处理器中；网口型终端设备的TCP协议栈运行于ESP处理器中；为轻量级的TCP协议栈；(9)本地/远程管理系统：运行于IKE处理器中，完成查看设备状态，更改设备配置以及远程升级等功能；(10)证书模块：运行于IKE处理器中，用于X.509证书解析和验证；(11)日志系统：同时运行于IKE处理器和ESP处理器中，记录系统运行状态，提供流量分析，故障分析等功能。与现有技术相比，本专利技术的积极效果是：采用国产双商密SOC芯片架构设计，通过双CPU的分工协同工作使得设备具有更高的吞吐量和稳定性；同时采用无操作系统设计，自主实现所需的相关协议栈，从而避免他人利用操作系统相关漏洞来对设备进行攻击的危险；同时按需实现的相关协议栈大大精简了设备的软件，使得设备运行速度同比其他设备有很大的提升。附图说明本专利技术将通过例子并参照附图的方式说明，其中：图1是网口型的总体组成框图；图2GPRS型的总体组成框图；图3是本专利技术的硬件组成逻辑框图；图4是本专利技术的数据处理流程图。具体实施方式电力安全防护终端加密装置由底层硬件设备、软件系统组成，网口型和GPRS型的总体组成框图分别如图1和图2所示。电力安全防护终端加密装置的基本设计思想是：采用IKE处理+ESP处理器构架，无操作系统，实时处理网络数据，并遵循国家《IPSec VPN技术规范》，实现安全的、高性能的接入网关。IKE处理器和ESP处理器均选用国产商密SOC芯片。通过扩展不同的外围接口硬件电路，可以支持但不限于网口、串口、GPRS拨号等多种接口形式,如图3所示。电力安全防护终端加密装置系统采用模块化设计思想，各个模块相互独立，达到系统性能最优和系统扩展性最优。电力安全防护终端加密装置软件系统采用无操作系统的设计，所有代码均为自主开发，有效避免了操作系统和开源代码带来的安全隐患问题。软件层包含了初始化程序、PPP拨号、密钥协商、ESP程序、日志系统、证书系统等。根据国密局要求，商用密码设备需要用双噪声源来产生随机数。本装置采用双商密SOC芯片的架构，充分利用两片商密芯片内置的噪声源做为随机数发生器，产生两路随机数，省去了外置噪声源芯片。根据《IPSec VPN技术规范》要求，本装置需要能够进行密钥协商和数据包加密。数据包加密采用ESP协议，密钥协商采用IKE协议。密钥协商时需要多次调用耗时较长的非对称密码运算，此运算会对数据包加密产生影响。本装置利用双商密SOC芯片的架构，将密钥协商与数据包加密分派到不同的芯片上进行处理，这样密钥协商不会对数据包加密带来的影响。硬件组成电力安全防护终端加密装置基于ESP处理器和IKE处理器，采用双芯片架构、电磁屏蔽和回路本文档来自技高网...

【技术保护点】
一种嵌入式电力安全防护终端加密装置，其特征在于：包括通过双芯片通讯驱动程序进行通讯和同步的IKE处理器和ESP处理器，IKE处理器和ESP处理器采用两片商密SOC芯片，其中：ESP处理器负责网络数据包的ESP封装、网络数据包过滤等高速业务的处理；IKE处理器主要负责密钥协商、设备管理等需要非对称运算耗时比较长的数据处理；进行数据处理的应用程序包括：ESP模块、密钥协商程序、SAD模块、SPD模块、初始化程序、PPP拨号程序、网络包过滤程序、TCP协议栈、本地/远程管理系统、证书模块和日志系统，其中：(1)ESP模块：运行于ESP处理器中，为IP报文提供机密性、完整性、数据源验证以及抗重播等安全服务；(2)密钥协商程序：运行在IKE处器中，处理密钥协商的两个阶段，完成密钥协商后将生成的密钥和参数通过加密方式发送给ESP处理器；(3)SAD模块：同时运行在IKE处理器和ESP处理器中，用于维护IPSec协议用来保障数据安全的SA记录；(4)SPD模块：同时运行在IKE处理器和ESP处理器中，用于提供轻量级的安全策略维护接口；控制密钥管理和交换的数据包；(5)初始化程序：运行在IKE处理器中，完成设备的IP地址配置、生成设备证书、PPP拨号配置、初始安全策略设置等功能；(6)PPP拨号程序：运行在IKE处理器中，用于GPRS型终端；(7)网络包过滤程序：运行于ESP处理器中，对进入的网络数据包按设定规则进行过滤；(8)TCP协议栈：在GPRS型终端设备的TCP协议栈运行于IKE处理器中；网口型终端设备的TCP协议栈运行于ESP处理器中；为轻量级的TCP协议栈；(9)本地/远程管理系统：运行于IKE处理器中，完成查看设备状态，更改设备配置以及远程升级等功能；(10)证书模块：运行于IKE处理器中，用于X.509证书解析和验证；(11)日志系统：同时运行于IKE处理器和ESP处理器中，记录系统运行状态，提供流量分析，故障分析等功能。...

【技术特征摘要】
1.一种嵌入式电力安全防护终端加密装置，其特征在于：包括通过双芯
片通讯驱动程序进行通讯和同步的IKE处理器和ESP处理器，IKE处理器和ESP
处理器采用两片商密SOC芯片，其中：ESP处理器负责网络数据包的ESP封装、
网络数据包过滤等高速业务的处理；IKE处理器主要负责密钥协商、设备管理
等需要非对称运算耗时比较长的数据处理；进行数据处理的应用程序包括：ESP
模块、密钥协商程序、SAD模块、SPD模块、初始化程序、PPP拨号程序、网络
包过滤程序、TCP协议栈、本地/远程管理系统、证书模块和日志系统，其中：
(1)ESP模块：运行于ESP处理器中，为IP报文提供机密性、完整性、
数据源验证以及抗重播等安全服务；
(2)密钥协商程序：运行在IKE处器中，处理密钥协商的两个阶段，完
成密钥协商后将生成的密钥和参数通过加密方式发送给ESP处理器；
(3)SAD模块：同时运行在IKE处理器和ESP处理器中，用于维护IPSec
协议用来保障数据安全的SA记录；
(4)SPD模块：同时运行在IKE处理器和ESP处理器中，用于提供轻量级
的安全策略维护接口；控制密钥管理和交换的数据包；
(5)初始化程序：运行在IKE处理器中，完成设备的IP地址配置、生成
设备证书、PPP拨号配置、初始安全策略设置等功能；
(6)PPP拨号程序：运行在IKE处理器中，用于GPRS型终端；
(7)网络包过滤程序：运行于ESP处理器中，对进入的网络数据包按设
定规则进行过滤；
(8)TCP协议栈：在GPRS型终端设备的TCP协议栈运行于IKE处理器中；
网口型终端设备的TCP...

【专利技术属性】
技术研发人员：熊毅，袁健，伯广雨，魏程鹏，周小川，
申请(专利权)人：成都卫士通信息产业股份有限公司，
类型：发明
国别省市：四川;51