一種嵌入式電力安全防護(hù)終端加密裝置制造方法
【專利摘要】本發(fā)明公開了一種嵌入式電力安全防護(hù)終端加密裝置,包括通過雙芯片通訊驅(qū)動程序進(jìn)行通訊和同步的IKE處理器和ESP處理器�,IKE處理器和ESP處理器采用兩片商密SOC芯片。應(yīng)用程序包括:ESP模塊����、密鑰協(xié)商程序、SAD模塊�����、SPD模塊�����、初始化程序、PPP撥號程序���、網(wǎng)絡(luò)包過濾程序�、TCP協(xié)議棧���、本地/遠(yuǎn)程管理系統(tǒng)���、證書模塊和日志系統(tǒng)。本發(fā)明通過雙CPU的分工協(xié)同工作使得設(shè)備具有更高的吞吐量和穩(wěn)定性�����;同時(shí)采用無操作系統(tǒng)設(shè)計(jì)�����,自主實(shí)現(xiàn)所需的相關(guān)協(xié)議棧�����,從而避免他人利用操作系統(tǒng)相關(guān)漏洞來對設(shè)備進(jìn)行攻擊的危險(xiǎn)����;同時(shí)按需實(shí)現(xiàn)的相關(guān)協(xié)議棧大大精簡了設(shè)備的軟件��,使得設(shè)備運(yùn)行速度相比其他設(shè)備有很大的提升。
【專利說明】一種嵌入式電力安全防護(hù)終端加密裝置
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及一種嵌入式電力安全防護(hù)終端加密裝置�。
【背景技術(shù)】
[0002]虛擬專用網(wǎng)絡(luò)(Virtual Private Network,簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)�����,主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路���,而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺���,如Internet、ATM(異步傳輸模式〉���、Frame Relay (巾貞中繼)等之上的邏輯網(wǎng)絡(luò),用戶數(shù)據(jù)在邏輯鏈路中傳輸���。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展��。VPN主要采用了隧道技術(shù)�、加解密技術(shù)�����、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)��。
[0003]網(wǎng)際網(wǎng)路安全協(xié)定(Internet Protocol Security,簡稱IPSec),是通過對IP協(xié)議的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族����。IPSec由兩大部分組成:
[0004]I) Internet 密鑰交換協(xié)議(Internet Key Exchange Protocol,簡稱 IKE)�。
[0005]2)保護(hù)分組流的協(xié)議,如:加密安全載荷協(xié)議(Encapsulated Security Payload,簡稱 ESP)、認(rèn)證頭協(xié)議(Authenticat1n Header,簡稱 AH)等�����。
[0006]現(xiàn)有國內(nèi)的VPN產(chǎn)品主要是在Iinux操作系統(tǒng)基礎(chǔ)上實(shí)現(xiàn)了 IPSec VPN0由于設(shè)備上面需要運(yùn)行Iinux操作系統(tǒng)�,所以需要較高的硬件配置,從而造成VPN產(chǎn)品的體積較大�����、成本較高��,而性能還不一定高�����。再加上開源的Iinux操作系統(tǒng)自身存在的一些安全漏洞,增加了 VPN被他人攻擊的危險(xiǎn)性���。
【發(fā)明內(nèi)容】
[0007]為了克服現(xiàn)有技術(shù)的上述缺點(diǎn)����,本發(fā)明提供了一種嵌入式電力安全防護(hù)終端加密裝置�����,是采用國產(chǎn)雙商密SOC芯片架構(gòu)為硬件支撐�,在無操作系統(tǒng)的環(huán)境條件下按照國密標(biāo)準(zhǔn)的IPSec VPN規(guī)范實(shí)現(xiàn)的VPN產(chǎn)品��。本產(chǎn)品不僅性能比較高�����、體積很小�,而且成本也很低。最重要的是很好地避免了因?yàn)镮inux等操作系統(tǒng)自身的漏洞等原因造成的產(chǎn)品的不安全因素�,大大增加了加密產(chǎn)品的可靠性和安全性。
[0008]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:一種嵌入式電力安全防護(hù)終端加密裝置��,包括通過雙芯片通訊驅(qū)動程序進(jìn)行通訊和同步的IKE處理器和ESP處理器,IKE處理器和ESP處理器采用兩片商密SOC芯片�����。其中:ESP處理器負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包的ESP封裝���、網(wǎng)絡(luò)數(shù)據(jù)包過濾等高速業(yè)務(wù)的處理�;IKE處理器主要負(fù)責(zé)密鑰協(xié)商�����、設(shè)備管理等需要非對稱運(yùn)算耗時(shí)比較長的數(shù)據(jù)處理���;進(jìn)行數(shù)據(jù)處理的應(yīng)用程序包括:ESP模塊���、密鑰協(xié)商程序、SAD模塊��、SPD模塊�����、初始化程序��、PPP撥號程序、網(wǎng)絡(luò)包過濾程序�、TCP協(xié)議棧、本地/遠(yuǎn)程管理系統(tǒng)�����、證書模塊和日志系統(tǒng),其中:
[0009](I)ESP模塊:運(yùn)行于ESP處理器中�����,為IP報(bào)文提供機(jī)密性�、完整性、數(shù)據(jù)源驗(yàn)證以及抗重播等安全服務(wù)�����;
[0010](2)密鑰協(xié)商程序:運(yùn)行在IKE處器中�,處理密鑰協(xié)商的兩個(gè)階段���,完成密鑰協(xié)商后將生成的密鑰和參數(shù)通過加密方式發(fā)送給ESP處理器�����;
[0011](3) SAD模塊:同時(shí)運(yùn)行在IKE處理器和ESP處理器中��,用于維護(hù)IPSec協(xié)議用來保障數(shù)據(jù)安全的SA記錄���;
[0012](4) SPD模塊:同時(shí)運(yùn)行在IKE處理器和ESP處理器中��,用于提供輕量級的安全策略維護(hù)接口 �����;控制密鑰管理和交換的數(shù)據(jù)包�����;
[0013](5)初始化程序:運(yùn)行在IKE處理器中����,完成設(shè)備的IP地址配置���、生成設(shè)備證書����、PPP撥號配置�����、初始安全策略設(shè)置等功能;
[0014](6)PPP撥號程序:運(yùn)行在IKE處理器中�����,用于GPRS型終端�����;
[0015](7)網(wǎng)絡(luò)包過濾程序:運(yùn)行于ESP處理器中���,對進(jìn)入的網(wǎng)絡(luò)數(shù)據(jù)包按設(shè)定規(guī)則進(jìn)行過濾��;
[0016](8) TCP協(xié)議棧:在GPRS型終端設(shè)備的TCP協(xié)議棧運(yùn)行于IKE處理器中�;網(wǎng)口型終端設(shè)備的TCP協(xié)議棧運(yùn)行于ESP處理器中�����;為輕量級的TCP協(xié)議棧��;
[0017](9)本地/遠(yuǎn)程管理系統(tǒng):運(yùn)行于IKE處理器中���,完成查看設(shè)備狀態(tài),更改設(shè)備配置以及遠(yuǎn)程升級等功能�����;
[0018](10)證書模塊:運(yùn)行于IKE處理器中,用于X.509證書解析和驗(yàn)證���;
[0019](11)日志系統(tǒng):同時(shí)運(yùn)行于IKE處理器和ESP處理器中��,記錄系統(tǒng)運(yùn)行狀態(tài)�,提供流量分析�����,故障分析等功能���。
[0020]與現(xiàn)有技術(shù)相比����,本發(fā)明的積極效果是:采用國產(chǎn)雙商密SOC芯片架構(gòu)設(shè)計(jì)��,通過雙CPU的分工協(xié)同工作使得設(shè)備具有更高的吞吐量和穩(wěn)定性�;同時(shí)采用無操作系統(tǒng)設(shè)計(jì),自主實(shí)現(xiàn)所需的相關(guān)協(xié)議棧�,從而避免他人利用操作系統(tǒng)相關(guān)漏洞來對設(shè)備進(jìn)行攻擊的危險(xiǎn);同時(shí)按需實(shí)現(xiàn)的相關(guān)協(xié)議棧大大精簡了設(shè)備的軟件��,使得設(shè)備運(yùn)行速度同比其他設(shè)備有很大的提升。
【專利附圖】
【附圖說明】
[0021]本發(fā)明將通過例子并參照附圖的方式說明��,其中:
[0022]圖1是網(wǎng)口型的總體組成框圖�����;
[0023]圖2GPRS型的總體組成框圖�����;
[0024]圖3是本發(fā)明的硬件組成邏輯框圖����;
[0025]圖4是本發(fā)明的數(shù)據(jù)處理流程圖。
【具體實(shí)施方式】
[0026]電力安全防護(hù)終端加密裝置由底層硬件設(shè)備����、軟件系統(tǒng)組成,網(wǎng)口型和GPRS型的總體組成框圖分別如圖1和圖2所示��。
[0027]電力安全防護(hù)終端加密裝置的基本設(shè)計(jì)思想是:采用IKE處理+ESP處理器構(gòu)架�,無操作系統(tǒng)���,實(shí)時(shí)處理網(wǎng)絡(luò)數(shù)據(jù)���,并遵循國家《IPSec VPN技術(shù)規(guī)范》�����,實(shí)現(xiàn)安全的����、高性能的接入網(wǎng)關(guān)�。IKE處理器和ESP處理器均選用國產(chǎn)商密SOC芯片。通過擴(kuò)展不同的外圍接口硬件電路�,可以支持但不限于網(wǎng)口、串口���、GPRS撥號等多種接口形式�����,如圖3所示�����。
[0028]電力安全防護(hù)終端加密裝置系統(tǒng)采用模塊化設(shè)計(jì)思想�����,各個(gè)模塊相互獨(dú)立�,達(dá)到系統(tǒng)性能最優(yōu)和系統(tǒng)擴(kuò)展性最優(yōu)。
[0029]電力安全防護(hù)終端加密裝置軟件系統(tǒng)采用無操作系統(tǒng)的設(shè)計(jì)���,所有代碼均為自主開發(fā)�,有效避免了操作系統(tǒng)和開源代碼帶來的安全隱患問題����。軟件層包含了初始化程序、PPP撥號���、密鑰協(xié)商����、ESP程序��、日志系統(tǒng)�、證書系統(tǒng)等。
[0030]根據(jù)國密局要求�,商用密碼設(shè)備需要用雙噪聲源來產(chǎn)生隨機(jī)數(shù)。本裝置采用雙商密SOC芯片的架構(gòu)�����,充分利用兩片商密芯片內(nèi)置的噪聲源做為隨機(jī)數(shù)發(fā)生器�,產(chǎn)生兩路隨機(jī)數(shù),省去了外置噪聲源芯片���。
[0031]根據(jù)《IPSec VPN技術(shù)規(guī)范》要求��,本裝置需要能夠進(jìn)行密鑰協(xié)商和數(shù)據(jù)包加密����。數(shù)據(jù)包加密采用ESP協(xié)議���,密鑰協(xié)商采用IKE協(xié)議��。密鑰協(xié)商時(shí)需要多次調(diào)用耗時(shí)較長的非對稱密碼運(yùn)算���,此運(yùn)算會對數(shù)據(jù)包加密產(chǎn)生影響。本裝置利用雙商密SOC芯片的架構(gòu)��,將密鑰協(xié)商與數(shù)據(jù)包加密分派到不同的芯片上進(jìn)行處理��,這樣密鑰協(xié)商不會對數(shù)據(jù)包加密帶來的影響��。
[0032]硬件組成
[0033]電力安全防護(hù)終端加密裝置基于ESP處理器和IKE處理器,采用雙芯片架構(gòu)�����、電磁屏蔽和回路耦合等方式設(shè)計(jì)�。
[0034]ESP處理器和IKE處理器各為一個(gè)商密SOC系統(tǒng),包括處理器單元����、異步串行通信接口、通用I/O接口�����、內(nèi)部Flash存儲器���、內(nèi)部RAM存儲器���、加密算法弓丨擎、內(nèi)部看門狗等���。電力安全防護(hù)終端加密裝置硬件平臺是以ESP處理器和IKE處理器為核心�����,擴(kuò)展串口電平轉(zhuǎn)換模塊��、網(wǎng)口模塊�����、電源模塊��、GPRS無線模塊等外圍電路及元器件構(gòu)成���。由于軟件方面采用無操作系統(tǒng)的設(shè)計(jì),并輔以商密芯片內(nèi)部的加密算法引擎和噪聲源����,能夠提供更簡化的設(shè)計(jì)、更好的性能��、更低的功耗����、更小的印制板、更小空間和更低的成本�����,適用于各種配電終端環(huán)境,滿足現(xiàn)場低功耗�、高溫、低溫��、高濕�����、高鹽霧�、強(qiáng)電磁干擾輻射等惡劣環(huán)境的應(yīng)用。電力安全防護(hù)終端加密裝置的硬件構(gòu)成如圖3所示���。
[0035]軟件組成
[0036]軟件部分由應(yīng)用程序����、驅(qū)動程序兩部分組成:
[0037]一�����、應(yīng)用程序:
[0038]應(yīng)用程序包括ESP模塊����、密鑰協(xié)商程序、SAD模塊�、STO模塊�、初始化程序���、PPP撥號程序����、網(wǎng)絡(luò)包過濾程序��、TCP協(xié)議棧���、本地/遠(yuǎn)程管理系統(tǒng)、證書模塊和日志系統(tǒng)��。ESP處理器主要負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包的ESP封裝�����、網(wǎng)絡(luò)數(shù)據(jù)包過濾等高速業(yè)務(wù)的處理�����。IKE處理器主要負(fù)責(zé)密鑰協(xié)商��、設(shè)備管理等需要非對稱運(yùn)算耗時(shí)比較長的數(shù)據(jù)處理���。本裝置應(yīng)用程序數(shù)據(jù)處理流程如圖4���,由于采用了 ESP處理器和IKE處理器雙芯片架構(gòu)�����,外口來的ESP數(shù)據(jù)包和IKE數(shù)據(jù)包會發(fā)往不同的處理器�。當(dāng)ESP處理器在進(jìn)行高速的數(shù)據(jù)包加密業(yè)務(wù)時(shí)�,需要非對稱運(yùn)算的低速IKE業(yè)務(wù)不會對其產(chǎn)生影響。
[0039](I)ESP 模塊
[0040]ESP協(xié)議處理模塊作為加密裝置的核心業(yè)務(wù)��,為IP報(bào)文提供機(jī)密性���、完整性�、數(shù)據(jù)源驗(yàn)證以及抗重播等安全服務(wù)�,運(yùn)行于ESP處理器中。本裝置采用雙商密SOC芯片架構(gòu)�,密鑰協(xié)商程序運(yùn)行于IKE處理器中,在進(jìn)行密鑰協(xié)商的同時(shí)不會影響到ESP處理器中的數(shù)據(jù)加密業(yè)務(wù)�����。
[0041](2)密鑰協(xié)商程序
[0042]處理密鑰協(xié)商的兩個(gè)階段���,完成密鑰協(xié)商��。密鑰協(xié)商程序運(yùn)行在IKE處器中����,密鑰協(xié)商成功后將生成的密鑰和參數(shù)通過加密方式發(fā)送給ESP處理器。密鑰協(xié)商程序需要進(jìn)行非對稱運(yùn)算�����,占用較多的芯片計(jì)算資源����。為了讓密鑰協(xié)商不影響ESP處理器中的數(shù)據(jù)包的加密業(yè)務(wù),密鑰協(xié)商程序運(yùn)行在IKE處理器中�����。充分利用了本裝置的雙商密SOC芯片架構(gòu)優(yōu)勢���,將低速密鑰協(xié)商業(yè)務(wù)和高速數(shù)據(jù)包加密業(yè)務(wù)進(jìn)行分離,提高數(shù)據(jù)吞吐率和系統(tǒng)穩(wěn)定性����。
[0043](3) SAD 模塊
[0044]SAD模塊維護(hù)IPSec協(xié)議用來保障數(shù)據(jù)安全的SA記錄���,每個(gè)SA都在SAD中有一條記錄相對應(yīng)。SA是兩個(gè)通信實(shí)體經(jīng)過協(xié)商建立起來的安全聯(lián)盟��,是構(gòu)成IPSec的基礎(chǔ)�。SA決定了用來保護(hù)數(shù)據(jù)安全的IPSec協(xié)議、模式(隧道模式)���、算法及密鑰��、生存期����、抗重播窗口��、計(jì)數(shù)器等���。SAD模塊同時(shí)運(yùn)行在IKE處理器和ESP處理器中�,根據(jù)各自處理業(yè)務(wù)的特點(diǎn)�����,IKE處理器中的SAD模塊負(fù)責(zé)SA建立過程中的狀態(tài)維護(hù),保存密鑰協(xié)商程序生成的工作密鑰����,會話密鑰、加密算法�����、密鑰生存期和密鑰生存期類型等參數(shù)��。ESP處理器中的SAD模塊負(fù)責(zé)保存會話密鑰��,IV�,SP1、重放窗口等參數(shù)���。
[0045](4) SPD 模塊
[0046]sro模塊提供輕量級的安全策略維護(hù)接口�����,可以添加和刪除安全策略。sro中的策略項(xiàng)記錄對SA(SA束)進(jìn)行了規(guī)定�,其字段包含了 IPSec協(xié)議、模式���、算法和嵌套等要求���。sro還控制密鑰管理和交換(如ISAKMP和ike)的數(shù)據(jù)包����。sro數(shù)據(jù)通過本地或遠(yuǎn)程管理程序設(shè)置����,并且存儲在IKE處理器的內(nèi)部非易失存儲器中。sro模塊同時(shí)運(yùn)行在IKE處理器和ESP處理器中�。IKE處理器中的sro模塊負(fù)責(zé)保存初始化系統(tǒng)下發(fā)的安全策略。ESP處理器中的sro模塊負(fù)責(zé)對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行規(guī)則匹配�,選擇合適的安全策略。
[0047](5)初始化系統(tǒng)
[0048]初始化系統(tǒng)完成設(shè)備的IP地址配置�、生成設(shè)備證書、PPP撥號配置���、初始安全策略設(shè)置等功能���。初始化系統(tǒng)只運(yùn)行在IKE處理器中。
[0049](6) PPP撥號程序
[0050]PPP撥號程序��,GPRS型終端使用���。PPP撥號程序只運(yùn)行在IKE處理器中���。
[0051](7)網(wǎng)絡(luò)包過濾程序
[0052]網(wǎng)絡(luò)包過濾程序?qū)M(jìn)入到電力安全防護(hù)終端加密裝置中的網(wǎng)絡(luò)數(shù)據(jù)包按設(shè)定規(guī)則進(jìn)行過濾�����,能夠屏蔽掉不滿足需求的網(wǎng)絡(luò)數(shù)據(jù)包�����。網(wǎng)絡(luò)包過濾程序只運(yùn)行于ESP處理器中�����。
[0053](8) TCP 協(xié)議棧
[0054]一個(gè)輕量級的TCP協(xié)議棧���,運(yùn)行于網(wǎng)口型和GPRS型終端。在GPRS型終端設(shè)備的TCP協(xié)議棧運(yùn)行于IKE處理器中����。網(wǎng)口型終端設(shè)備的TCP協(xié)議棧運(yùn)行于ESP處理器中。
[0055](9)本地/遠(yuǎn)程管理系統(tǒng)
[0056]本地和遠(yuǎn)程管理系統(tǒng)完成查看設(shè)備狀態(tài)��,更改設(shè)備配置以及遠(yuǎn)程升級等功能�����。管理系統(tǒng)運(yùn)行于IKE處理器中�。
[0057](10)證書模塊
[0058]一個(gè)輕量級的證書模塊,用于X.509證書解析和驗(yàn)證����。證書解析運(yùn)行于IKE處理器中。
[0059](11)日志系統(tǒng)
[0060]記錄系統(tǒng)運(yùn)行狀態(tài)����,提供流量分析,故障分析等功能���。日志系統(tǒng)同時(shí)運(yùn)行于IKE處理器和ESP處理器中����。
[0061]二�����、設(shè)備驅(qū)動程序
[0062]設(shè)備驅(qū)動程序包括網(wǎng)卡驅(qū)動����、密碼算法驅(qū)動�����、GPRS模塊驅(qū)動�、串口驅(qū)動��、Flash文件系統(tǒng)驅(qū)動和雙芯片通訊驅(qū)動等�����。GPRS模塊驅(qū)動���、網(wǎng)卡驅(qū)動和串口驅(qū)動提供了外部接口的訪問能力��。通過對不同的外部接口進(jìn)行組合�����,本裝置可以擴(kuò)展成功能不同的加密裝置��,見圖3�。
[0063]雙芯片通訊驅(qū)動負(fù)責(zé)電力安全防護(hù)終端加密裝置中雙商密SOC芯片間的通訊和同步�。兩片商密SOC芯片之間通過SPI方式進(jìn)行通訊,SPI數(shù)據(jù)采用加密方式傳輸�。ESP處理器產(chǎn)生的隨機(jī)數(shù)通過雙芯片通訊驅(qū)動同步到IKE處理器�,IKE處理器經(jīng)過檢測后給加密業(yè)務(wù)使用�。當(dāng)ESP處理器接收到密鑰協(xié)商包時(shí),通過雙芯片通訊驅(qū)動發(fā)往IKE處理器進(jìn)行處理����,IKE處理器再將處理后的結(jié)果由ESP處理器發(fā)到線路之上���。IKE處理器中密鑰協(xié)商的結(jié)果也由雙芯片通訊驅(qū)動同步到ESP處理器中�。
【權(quán)利要求】
1.一種嵌入式電力安全防護(hù)終端加密裝置�,其特征在于:包括通過雙芯片通訊驅(qū)動程序進(jìn)行通訊和同步的IKE處理器和ESP處理器,IKE處理器和ESP處理器采用兩片商密SOC芯片�����,其中:ESP處理器負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包的ESP封裝���、網(wǎng)絡(luò)數(shù)據(jù)包過濾等高速業(yè)務(wù)的處理����;IKE處理器主要負(fù)責(zé)密鑰協(xié)商���、設(shè)備管理等需要非對稱運(yùn)算耗時(shí)比較長的數(shù)據(jù)處理����;進(jìn)行數(shù)據(jù)處理的應(yīng)用程序包括:ESP模塊、密鑰協(xié)商程序����、SAD模塊、SH)模塊��、初始化程序��、PPP撥號程序�、網(wǎng)絡(luò)包過濾程序、TCP協(xié)議棧�����、本地/遠(yuǎn)程管理系統(tǒng)����、證書模塊和日志系統(tǒng),其中: (1)ESP模塊:運(yùn)行于ESP處理器中���,為IP報(bào)文提供機(jī)密性��、完整性���、數(shù)據(jù)源驗(yàn)證以及抗重播等安全服務(wù)����; (2)密鑰協(xié)商程序:運(yùn)行在IKE處器中��,處理密鑰協(xié)商的兩個(gè)階段�,完成密鑰協(xié)商后將生成的密鑰和參數(shù)通過加密方式發(fā)送給ESP處理器���; (3)SAD模塊:同時(shí)運(yùn)行在IKE處理器和ESP處理器中�����,用于維護(hù)IPSec協(xié)議用來保障數(shù)據(jù)安全的SA記錄�; (4)SPD模塊:同時(shí)運(yùn)行在IKE處理器和ESP處理器中�����,用于提供輕量級的安全策略維護(hù)接口 �;控制密鑰管理和交換的數(shù)據(jù)包; (5)初始化程序:運(yùn)行在IKE處理器中���,完成設(shè)備的IP地址配置��、生成設(shè)備證書��、PPP撥號配置����、初始安全策略設(shè)置等功能; (6)PPP撥號程序:運(yùn)行在IKE處理器中�����,用于GPRS型終端��; (7)網(wǎng)絡(luò)包過濾程序:運(yùn)行于ESP處理器中���,對進(jìn)入的網(wǎng)絡(luò)數(shù)據(jù)包按設(shè)定規(guī)則進(jìn)行過濾�����; (8)TCP協(xié)議棧:在GPRS型終端設(shè)備的TCP協(xié)議棧運(yùn)行于IKE處理器中���;網(wǎng)口型終端設(shè)備的TCP協(xié)議棧運(yùn)行于ESP處理器中;為輕量級的TCP協(xié)議棧����; (9)本地/遠(yuǎn)程管理系統(tǒng):運(yùn)行于IKE處理器中���,完成查看設(shè)備狀態(tài),更改設(shè)備配置以及遠(yuǎn)程升級等功能��; (10)證書模塊:運(yùn)行于IKE處理器中����,用于X.509證書解析和驗(yàn)證; (11)日志系統(tǒng):同時(shí)運(yùn)行于IKE處理器和ESP處理器中����,記錄系統(tǒng)運(yùn)行狀態(tài)�����,提供流量分析�,故障分析等功能。
2.根據(jù)權(quán)利要求1所述的一種嵌入式電力安全防護(hù)終端加密裝置����,其特征在于:IKE處理器中的SAD模塊負(fù)責(zé)SA建立過程中的狀態(tài)維護(hù),保存密鑰協(xié)商程序生成的工作密鑰�,會話密鑰、加密算法、密鑰生存期和密鑰生存期類型等參數(shù)�����;ESP處理器中的SAD模塊負(fù)責(zé)保存會話密鑰���、IV���、SP1、重放窗口等參數(shù)�����。
3.根據(jù)權(quán)利要求1所述的一種嵌入式電力安全防護(hù)終端加密裝置�,其特征在于:IKE處理器中的sro模塊負(fù)責(zé)保存初始化系統(tǒng)下發(fā)的安全策略;esp處理器中的sro模塊負(fù)責(zé)對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行規(guī)則匹配����,選擇合適的安全策略。
4.根據(jù)權(quán)利要求1所述的一種嵌入式電力安全防護(hù)終端加密裝置����,其特征在于:所述雙芯片通訊驅(qū)動程序進(jìn)行通訊和同步的方式為:兩片商密SOC芯片之間通過SPI方式進(jìn)行通訊,SPI數(shù)據(jù)采用加密方式傳輸�����;ESP處理器產(chǎn)生的隨機(jī)數(shù)通過雙芯片通訊驅(qū)動同步到IKE處理器,IKE處理器經(jīng)過檢測后給加密業(yè)務(wù)使用����;當(dāng)ESP處理器接收到密鑰協(xié)商包時(shí),通過雙芯片通訊驅(qū)動發(fā)往IKE處理器進(jìn)行處理��,IKE處理器再將處理后的結(jié)果由ESP處理器發(fā)到線路之上��;IKE處理器中密鑰協(xié)商的結(jié)果也由雙芯片通訊驅(qū)動同步到ESP處理器中��。
【文檔編號】H04L9/32GK104468519SQ201410637242
【公開日】2015年3月25日 申請日期:2014年11月12日 優(yōu)先權(quán)日:2014年11月12日
【發(fā)明者】熊毅, 袁健, 伯廣雨, 魏程鵬, 周小川 申請人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司