CN112270020A

CN112270020A - 一种基于安全芯片的终端设备安全加密装置

Info

Publication number: CN112270020A
Application number: CN202011164098.6A
Authority: CN
Inventors: 杨庆胜; 蒋超; 徐妍; 葛永高; 李军; 钟巍峰; 包正君
Original assignee: Jiangsu Fangtian Power Technology Co Ltd
Current assignee: Jiangsu Fangtian Power Technology Co Ltd
Priority date: 2020-10-27
Filing date: 2020-10-27
Publication date: 2021-01-26
Anticipated expiration: 2040-10-27
Also published as: CN112270020B

Abstract

本发明公开了一种基于安全芯片的终端设备安全加密装置，安全芯片加密装置包括主控制器、加密芯片、通信单元和信号指示单元；主控制器通过通信单元分别连接终端设备和主站，实现与终端设备和主站之间的数据传输；加密芯片内嵌在安全芯片加密装置内，加密芯片上集成加密算法和通讯模块，加密算法分别对终端设备和主站输入的数据进行加密和解密，通讯模块用于数据的传输；信号指示单元与主控制器之间信号连接，对终端设备和主站之间双向认证的结果进行提示。本发明所设计的安全芯片加密装置具有安全性强、接口丰富、加解密速度快、功耗低，具有极高的性价比的优点。

Description

一种基于安全芯片的终端设备安全加密装置

技术领域

本发明涉及电力设备技术领域，具体涉及一种基于安全芯片的终端设备安全加密装置。

背景技术

配电网是电力***向用户供电的最后一个环节，覆盖范围广，涉及到千家万户的切身利益，其发生故障的概率也远高于高压输电网。配网自动化利用现代电子技术、通信技术和计算机网络技术将电力配电设备有机的结合在一起，有效地对配电网进行监测、保护、控制和管理，改进了电能质量，方便了电网公司的管理，获得了良好的经济效益。然而，目前配网自动化***广泛使用的计算机网络存在许多不安全因素，网络安全防护设计薄弱，容易受到外部攻击。美国国家***情报显示，通过模拟攻击试验，配网自动化***存在通过模拟RTU/FTU接入后发动攻击引起大面积停电的风险。因此，制定有力的措施，确保配电网的安全，保证用电客户的用电质量，降低停电所造成的损失是电网公司急需解决的问题。

在配电网中实施加密认证相比于传统计算机***的加密认证具有如下区别和设计难点：配电终端设备因部署在户外无人值守，设备自动完成与主站的数据采集和遥控操作交互，在配电终端侧无需要人员操作；因而，传统计算机***基于密码口令交互的加密认证无法适用，传统计算机***基于USB KEY的加密技术也因易被盗窃而使主站遭受非法入侵，同样不能适用。基于以上背景情况，本发明提出了一种基于安全芯片的终端设备安全加密装置。

发明内容

为了解决现有技术中存在的不足，本发明提出了一种基于安全芯片的终端设备安全加密装置，可独立进行密钥生成、加解密的装置；拥有独立的处理器和存储单元，可存储密钥和特征数据，为设备提供加密和安全认证服务，具有安全性强、接口丰富、加解密速度快、功耗低，具有极高的性价比的优点。

本发明所采用的技术方案如下：

一种基于安全芯片的终端设备安全加密装置，安全芯片加密装置包括主控制器、加密芯片、通信单元和信号指示单元；所述主控制器通过通信单元分别连接终端设备和主站，实现与终端设备和主站之间的数据传输；所述加密芯片内嵌在安全芯片加密装置内，加密芯片上集成加密算法和通讯模块，所述加密算法分别对终端设备和主站输入的数据进行加密和解密，所述通讯模块用于数据的传输；所述信号指示单元与主控制器之间信号连接，对终端设备和主站之间双向认证的结果进行提示。

进一步，所述通信单元包括主控制器的有线连接接口和无线传连接接口，有线连接接口包括RS232通信接口、RS485通信接口和以太网接口；RS232接口和RS485接口共用接线端子，以太网接口包括以太网主设备接口和以太网从设备接口；无线传连接接口采用4G通信模组。

进一步，终端设备和主站之间的数据传输方法为：

主站通过预装的私钥对报文进行签名得到数字签名，再使用密钥对数字签名进行加密，再将加密后的数字签名加载在报文和时间戳中，通过通信单元发送给安全芯片加密装置；安全芯片加密装置使用密钥对收到的报文进行解密，先使用公钥验证签名，判断报文的合法性，如果不合法，就丢弃报文；然后安全芯片加密装置将解密后的明文发送给终端设备；数据从终端设备发出，经过安全芯片加密装置中的加密芯片对数据进行加密处理，加密后的数据经由数据网送给主站，主站通过其内置的软件对所接收的数据进行解密。

进一步，所述终端设备和主站之间的双向认证的方法为：

步骤1，判断***运行是否正常，如果异常，异常指示灯会亮起；

步骤2，如果运行正常，判断上位机配置命令是否发起，没有发起则执行***默认配置，如果发起配置命令，则配置好主机与从机之间的通信连接；

步骤3，判断是否建立TCP连接，如果没有则异常指示灯点亮，如果是则判断是否发起双向身份认证成功；

步骤4，认证成功则开始业务交流，否则点亮异常指示灯。

进一步，安全芯片加密装置接收到主站发的报文，需要对报文进行完整性检查和身份验证，报文的验证的步骤如下：

步骤1，主站将报文C用私钥进行签名后，得到了数字签名SC，然后用对称密钥进行加密，得到加密后的数字签名ESC；

步骤2，主站将报文C和数字签名SC组合起来，一起通过通信通道发送给安全芯片加密装置；

步骤3，安全芯片加密装置收到报文后，通过主站的公钥将报文C进行数字签名的运算得到了数字签名SC1，然后，数字签名ESC通过对称密钥解密得到了数字签名SC2，其中，SC1是通过公钥得到的，SC2是通过主站私钥得到的，如果主站的身份是合法的，那么SC1应该等于SC2，对报文C和ESC做出的任何篡改都会导致SC1不等于SC2。

进一步，使用时间戳校验来应对重发攻击，为了防止非法窃听截取报文，重复执行将报文发送给安全芯片加密装置，安全芯片加密装置中的时间戳校验方法是通过比较时间差值Δt和延时阈值T_threshold获得；具体过程为：

Δt＝T₁-T_c

其中，Δt是安全芯片加密装置收到主站发的命令的时间T₁与报文中时间戳T_c之间的差值，延时阈值T_threshold的值应该基于安全芯片加密装置与主站之间的时间偏差T_b，安全芯片加密装置与主站再通信中，通信的传输时间为T_t，通信网络数据传输的延时为T_d，主站加密报文的时间为T_e，安全芯片加密装置解密报文的时间为T_j，因此，T_threshold计算如下

T_threshold＝T_b+T_t+T_d+T_e+T_j

如果Δt≤T_threshold，那么安全芯片加密装置收到的报文是正常主站发来的报文，安全芯片加密装置将报文解密后发送给终端。如果Δt＞T_threshold，那么报文超时过期，此次的报文为重放报文的可能性很大，此报文是有风险的，那么安全芯片加密装置应该丢了此报文，然后将该数据保存，可供以后分析风险使用。

进一步，为了满足对多种通信协议的支持，因此需要设计相应的配置管理，通过PC端的配置管理，来使安全芯片加密装置按照固定的通信协议打包报文并发送至主站。在本实施例中，安全芯片加密装置的配置管理主要包括通信IP配置、通信端口输入输出流配置、证书管理配置和隧道配置等功能。其中，通信IP配置主要配置的是终端设备到服务端的通信IP和端口号，以建立正常的通信。通信端口的输入输出流配置主要是对两个以太网接口、两路RS232和两路RS485接口进行数据的流入和流出配置，约束好数据的输入端口和数据的输出端口。证书管理配置是用来更新装置的证书文档，以用来和主站进行验证时需要。隧道配置管理主要是完成对隧道的约束，包括对隧道数据的加密、解密或者明文通信等约束。

本发明的有益效果：

1、本发明的安全芯片加密装置就是可信任平台模块，是一个可独立进行密钥生成、加解密的装置，内部拥有独立的处理器和存储单元，可存储密钥和特征数据，为设备提供加密和安全认证服务。用加密芯片进行加密，密钥被存储在硬件中，被窃的数据无法解密，从而保护数据安全。

2、本发明所设计的安全芯片加密装置安全性强、接口丰富、加解密速度快、功耗低，具有极高的性价比。且设计相应的配置管理，可以按照不同的通信传输协议来保证通信的正确性，为了满足对多种通信协议的支持。

附图说明

图1是安全芯片加密装置的位置图；

图2是安全芯片加密装置的硬件总体框架图；

图3是安全芯片加密装置工作流程图；

图4是安全芯片加密装置的应用方式示意图；

图5是安全芯片加密装置的报文的验证过程；

图6主控器的备选方案示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用于解释本发明，并不用于限定本发明。

如图2所示的一种基于安全芯片的终端设备安全加密装置，安全芯片加密装置包括主控制器、加密芯片、通信单元和信号指示单元；所述主控制器通过通信单元分别连接终端设备和主站，实现与终端设备和主站之间的数据传输；所述加密芯片内嵌在安全芯片加密装置内，加密芯片上集成加密算法和通讯模块，所述加密算法分别对终端设备和主站输入的数据进行加密和解密，所述通讯模块用于数据的传输；所述信号指示单元与主控制器之间信号连接，对终端设备和主站之间双向认证的结果进行提示。所述加密芯片的加密算法包括国密对称密码算法、非对称密码算法和杂凑算法，还支持国际通用其他密码算法；比如对称密码算法：SM1；非对称密码算法：SM2；杂凑算法及哈希算法：SM3；能够满足双向身份认证需求。

通信单元包括有线连接接口和无线传连接接口，其中，有线连接接口包括RS232通信接口、RS485通信接口和以太网接口，更具体地，RS232接口和RS485接口共用接线端子，以太网接口包括以太网主设备接口和以太网从设备接口，支持自适应10M/100M带宽传输。安全芯片加密装置的无线连接采用4G通信模组，支持移动、联通和电信运营商。因此，本发明的安全芯片加密装置的通信方式支持RS232、RS485、以太网通信和4G网络通信。由于，不同的通信方式，需要按照不同的通信传输协议来保证通信的正确性，为了满足对多种通信协议的支持，因此需要设计相应的配置管理，通过PC端的配置管理，来使安全芯片加密装置按照固定的通信协议打包报文并发送至主站。在本实施例中，安全芯片加密装置的配置管理主要包括通信IP配置、通信端口输入输出流配置、证书管理配置和隧道配置等功能。其中，通信IP配置主要配置的是终端设备到服务端的通信IP和端口号，以建立正常的通信。通信端口的输入输出流配置主要是对两个以太网接口、两路RS232和两路RS485接口进行数据的流入和流出配置，约束好数据的输入端口和数据的输出端口。证书管理配置是用来更新装置的证书文档，以用来和主站进行验证时需要。隧道配置管理主要是完成对隧道的约束，包括对隧道数据的加密、解密或者明文通信等约束。

在本实施例中，如图2所示主控制器采用MCU，采用的嵌入式操作***是Linux操作***。本加密装置还考虑了风险因素，因此引入了装置的备选方案，主控制器具备3072K的flash和256K的RAM，***工作主频高达200MHz，4个USART和4个UART接口，3个I2C接口，6个SPI接口，带有一个以太网MAC控制器等片上资源。该芯片作为加密终端设备的主控。主控方案备选如图6所示。本设备终端所采用的控制器有两个，一个是支持10/100Mbps以太网MAC(媒体访问控制器)，采用DMA优化数据帧的发送与接收性能，支持MII(媒体独立接口)与RMII(简化的媒体独立接口)两种与物理层(PHY)通讯的标准接口，实现以太网数据帧的发送与接收。另一个是采用集成MAC和10BASE-T物理层的以太网控制器，采用的以太网控制器IC是ENC28J60。

如图1，终端设备和主站之间的数据传输方法为：数据从终端设备发出，经过安全芯片加密装置中的加密芯片对数据进行加密处理，加密后的数据经由数据网送给主站，主站通过其内置的软件对所接收的数据进行解密；如图4，主站通过预装的私钥对报文进行签名得到数字签名，再使用密钥对数字签名进行加密，然后再将加密后的数字签名加载在报文和时间戳中，通过通信网络、无线网络或者光纤网络，一起发送给安全芯片加密装置。安全芯片加密装置收到报文后，使用密钥对报文进行解密，先使用公钥验证签名，判断报文的合法性，如果不合法，就丢弃报文；然后安全芯片加密装置将解密后的明文发送给终端设备。

终端设备的主要业务是开机自检，然后进行终端设备和主站之间的双向认证，在正常的认证通过后进行业务交流，业务交流包括正常数据的加密和解密操作、数据的传输等业务操作，如图3所示，双向认证流程如下：

步骤4，认证成功则开始业务交流，否则点亮异常指示灯。

安全芯片加密装置接收到主站发的报文，首先需要对报文进行完整性检查和身份验证，报文的验证过程如图5所示。C是指命令报文，ESC是指加密后的数字签名，SC是指数字签名。报文的验证的步骤如下：

使用时间戳校验来应对重发攻击，为了防止非法窃听截取报文，重复执行将报文发送给安全芯片加密装置。安全芯片加密装置中的时间戳校验方法是通过比较时间差值Δt和延时阈值T_threshold获得。具体过程为：

Δt＝|T₁-T_c|

T_threshold＝T_b+T_t+T_d+T_e+T_j

如果Δt≤T_threshold，那么安全芯片加密装置收到的报文是正常主站发来的报文，安全芯片加密装置将报文解密后发送给终端。如果Δt＞T_threshold，那么报文超时过期，此次的报文为重放报文的可能性很大，此报文是有风险的，那么安全芯片加密装置应该丢了此报文，然后将该数据保存，可供以后分析风险使用。在时间戳校验中，T_threshold值是最为关键的，T_threshold的值过小，会导致超时，正常的报文也会被判定成重发报文，而太大，会增加风险，判断不出重发报文。结合配电终端的实际情况，T_threshold的取值为15秒。

安全加密芯片装置的软件模块包括连接管理模块、配置管理模块、***监控模块、配置恢复模块和软件管理模块；其中，连接管理模块。管理员登录后建立连接，管理连接状态，接收各种JASON报文，并通过连接字和会话ID分发投递消息，提供查询接口给其他模块使用。

配置管理模块：处理连接管理模块投递的配置消息，处理各种配置IP地址和路由等命令，并返回结果。

***监控模块：处理连接管理模块投递的监控消息，进行告警处理，日志下载，和操作记录查询操作。

配置恢复模块：处理连接管理模块投递的配置保存和恢复操作，保存为配置文件，处理***重启后的配置恢复操作等。

软件管理模块：负责软件升级和回退、重启操作。

以上实施例仅用于说明本发明的设计思想和特点，其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施，本发明的保护范围不限于上述实施例。所以，凡依据本发明所揭示的原理、设计思路所作的等同变化或修饰，均在本发明的保护范围之内。

Claims

1.一种基于安全芯片的终端设备安全加密装置，其特征在于，安全芯片加密装置包括主控制器、加密芯片、通信单元和信号指示单元；所述主控制器通过通信单元分别连接终端设备和主站，实现与终端设备和主站之间的数据传输；所述加密芯片内嵌在安全芯片加密装置内，加密芯片上集成加密算法和通讯模块，所述加密算法分别对终端设备和主站输入的数据进行加密和解密，所述通讯模块用于数据的传输；所述信号指示单元与主控制器之间信号连接，对终端设备和主站之间双向认证的结果进行提示。

2.根据权利要求1所述的一种基于安全芯片的终端设备安全加密装置，其特征在于，所述通信单元包括主控制器的有线连接接口和无线传连接接口，有线连接接口包括RS232通信接口、RS485通信接口和以太网接口；RS232接口和RS485接口共用接线端子，以太网接口包括以太网主设备接口和以太网从设备接口；无线传连接接口采用4G通信模组。

3.根据权利要求2所述的一种基于安全芯片的终端设备安全加密装置，其特征在于，终端设备和主站之间的数据传输方法为：主站通过预装的私钥对报文进行签名得到数字签名，再使用密钥对数字签名进行加密，再将加密后的数字签名加载在报文和时间戳中，通过通信单元发送给安全芯片加密装置；安全芯片加密装置使用密钥对收到的报文进行解密，先使用公钥验证签名，判断报文的合法性，如果不合法，就丢弃报文；然后安全芯片加密装置将解密后的明文发送给终端设备；数据从终端设备发出，经过安全芯片加密装置中的加密芯片对数据进行加密处理，加密后的数据经由数据网送给主站，主站通过其内置的软件对所接收的数据进行解密。

4.根据权利要求3所述的一种基于安全芯片的终端设备安全加密装置，其特征在于，所述终端设备和主站之间的双向认证的方法为：

步骤4，认证成功则开始业务交流，否则点亮异常指示灯。

5.根据权利要求3所述的一种基于安全芯片的终端设备安全加密装置，其特征在于，安全芯片加密装置接收到主站发的报文，需要对报文进行完整性检查和身份验证，报文的验证的步骤如下：

6.根据权利要求3所述的一种基于安全芯片的终端设备安全加密装置，其特征在于，安全芯片加密装置中的时间戳校验方法是通过比较时间差值Δt和延时阈值T_threshold获得；具体过程为：

Δt＝|T₁-T_c|

T_threshold＝T_b+T_t+T_d+T_e+T_j

如果Δt≤T_threshold，那么安全芯片加密装置收到的报文是正常主站发来的报文，安全芯片加密装置将报文解密后发送给终端，如果Δt＞T_threshold，那么报文超时过期，此次的报文为重放报文的可能性很大，此报文是有风险的，那么安全芯片加密装置应该丢了此报文，然后将该数据保存，可供以后分析风险使用。

7.根据权利要求1-6中任意一项权利要求所述的一种基于安全芯片的终端设备安全加密装置，其特征在于，通过PC端的配置管理使安全芯片加密装置按照固定的通信协议打包报文并发送至主站，安全芯片加密装置的配置管理主要包括通信IP配置、通信端口输入输出流配置、证书管理配置和隧道配置等功能；所述通信IP配置主要配置的是终端设备到服务端的通信IP和端口号，以建立正常的通信；通信端口的输入输出流配置主要是对两个以太网接口、两路RS232和两路RS485接口进行数据的流入和流出配置，约束好数据的输入端口和数据的输出端口；证书管理配置是用来更新装置的证书文档，以用来和主站进行验证时需要；隧道配置管理主要是完成对隧道的约束，包括对隧道数据的加密、解密或者明文通信等约束。