【技术实现步骤摘要】
一种基于自协商机制的隔离卡
本专利技术涉及一种基于自协商机制的隔离卡,属于信息安全
技术介绍
根据《电力监控系统安全防护总体方案》(国能安全[2015]36号)要求,在不同安全区域之间要采取隔离措施,其中在生产控制大区与管理信息大区之间要部署单向数据传输隔离装置。传统网络隔离装置的基本结构是两个完全独立的主机系统和一个数据摆渡板。为了进一步增加数据传输保密性,在传统网络安全隔离装置的基础上增加了数据加解密功能。数据由主机送到隔离卡上,首先对数据进行加解密处理,再对数据进行单向传输。确保数据在不同安全区域之间传输也处于密文状态。现有的数据隔离卡一般有电子开关、单向FIFO、光纤和使用协处理器(FPGA等)传输数据四种方式,目前最广泛应用的是使用协处理器的方式。对数据的加解密功能则主要有主机系统上通过软件实现数据加解密和分离的加解密模块这两种方式。软件加解密方式在安全性上得不到保障,主要有密钥不安全、易破解等安全性问题,且加解密性能对主机系统的性能有很大的依赖性,传输效率受限等问题。分离的加解密模块一般做成一块...
【技术保护点】
1.一种基于自协商机制的隔离卡,其特征在于,包括两个FPGA芯片,每个FPGA芯片各连接一个对称SM1算法芯片和一个主从配置电路;/n所述两个FPGA芯片之间通过高速串行接口进行通信;/n所述两个FPGA芯片通过PCIe接口分别与内、外网主机通信;/n每个FPGA芯片用于与对端FPGA芯片进行会话密钥的协商,并将与之相连的主机内存中的数据基于协商密钥进行加解密处理后发送至对端FPGA芯片,以及将对端FPGA芯片发送的数据写入到本侧主机内存中;/n所述对称SM1算法芯片用以对与其连接的FPGA芯片缓存的数据包进行加解密运算;/n所述主从配置电路用于表示内、外网侧FPGA芯片的主从模式。/n
【技术特征摘要】
1.一种基于自协商机制的隔离卡,其特征在于,包括两个FPGA芯片,每个FPGA芯片各连接一个对称SM1算法芯片和一个主从配置电路;
所述两个FPGA芯片之间通过高速串行接口进行通信;
所述两个FPGA芯片通过PCIe接口分别与内、外网主机通信;
每个FPGA芯片用于与对端FPGA芯片进行会话密钥的协商,并将与之相连的主机内存中的数据基于协商密钥进行加解密处理后发送至对端FPGA芯片,以及将对端FPGA芯片发送的数据写入到本侧主机内存中;
所述对称SM1算法芯片用以对与其连接的FPGA芯片缓存的数据包进行加解密运算;
所述主从配置电路用于表示内、外网侧FPGA芯片的主从模式。
2.根据权利要求1所述的一种基于自协商机制的隔离卡,其特征在于,每个FPGA芯片包括DMA控制器、数据解析模块、SM1算法芯片控制模块、自协商模块、杂凑算法模块、数据接收模块和中断控制模块;
所述DMA控制器用于将与之相连的主机内存中的数据读入到FPGA芯片中的FIFO中缓存,以及将对端FPGA芯片处理完成并传输过来的数据写入到本侧主机内存中;
所述数据解析模块用于将FIFO中缓存的数据进行解析并根据数据包格式分别写入到不同的下级FIFO中缓存;
所述SM1算法芯片控制模块用于将FIFO中缓存的数据包以及杂凑算法模块产生的协商会话密钥和初始相量发送至对称SM1算法芯片,以及将对称SM1算法芯片加解密后的数据包返回至FIFO中缓存;
所述自协商模块用于进行通信两端会话密钥的协商;
所述杂凑算法模块用于对协商因子进行杂凑产生协商会话密钥和初始相量;
所述数据接收模块用于接收对端FPGA芯片传输过来的数据包;
所述中断控制模块用于发送中断到本侧主机,通知本侧主机读取数据。
3.根据权利要求1所述的一种基于自协商机制的隔离卡,其特征在于,每个FPGA芯片带有GTP/GTX接口。
4.根据权利要求1所述的一种基于自协商机制的隔离卡,其特征在于,所述对称SM1算法芯片选用SSX30-D密码芯片。
5.根据权利要求1所述的一种基于自协商机制的隔离卡,其特征在于,每个FPGA芯片选用XC7A75TFPGA芯片。
6.根据...
【专利技术属性】
技术研发人员:朱孟江,刘勇,徐项帅,成刚,朱江,赵华,
申请(专利权)人:国网电力科学研究院有限公司,南京南瑞信息通信科技有限公司,国家电网有限公司,国网山东省电力公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。