加密U盘芯片应用方案.pdf

加密加密 u u 盘盘-多样灵活的实现方案多样灵活的实现方案 基于 tf32a09 安全芯片丰富的接口资源， 我们可以为客户提供多 种加密 u 盘方案。 性能参数： 高速：读写速度 8mb/s-20mb/s(视存储模块等级而定) 大容量：容量最高支持 256gb 高安全性：国密 sm1 加密算法，还支持国密 sm2-sm4，及 des/3des、rsa 等国际算法。 nand flash 存储方案 tf32a09 芯片内部不仅可以实现数据流的加密功能，同时具有 nandflash 控制功能和 ecc 校验功能， 并通过芯片外部 nfc 接口直接 与 nand flash 存储模块相连接，实现数据的加密存储。此方案性能 稳定，但是要针对不同品牌类型 nandflash 需要单独开发驱动程序， nandflash 芯片产品更新速度很快，客户需要不断的更新驱动，适应 新型号的 nandflash 芯片，所以后期维护工作的成本较大。 tf 卡存储方案 加密芯片通过 usb 接口连接读卡器芯片，由读卡器芯片控制后 面的 tf 卡。只有具有双 usb 接口的 tf32a09 芯片才能做到为读卡器 芯片提供一个额外的 usb 接口。 此方案产品稳定性较高，成本与 nandflash 方案相比会有较大 的减少（tf 卡的价格低于 nandflash，并且不存在 flash 芯片驱动升 级的后期维护成本） ，tf 卡安装在 pcb 电路板上的 tf 卡槽内，而不 是直接焊接在 pcb 电路板上，通过安装不同容量的 tf 卡，一个 pcb 电路板可以实现多容量选择，产品的灵活性很强，同时也可以为客户 减少产品库存的压力。 udp 存储方案 tf32a09 独有的双 usb 接口的特性，其中一个用于上行连接电脑 终端，另一个用于下行连接 udp 模块，这类产品性能比较稳定，相对 于 tf 卡方案成本更低，是低成本加密 u 盘方案的首选。 三种方案的比较 方案 稳定性 硬件成 本 存储驱动升 级 后期研发 灵活性 nandflash 很高 高 有 有 很低 tf 卡 高 一般 无 无 高 udp 较高 低 无 无 低 加密硬盘加密硬盘-独有的高速国密解决方案独有的高速国密解决方案 利用 tf32a09 独有的双 usb 接口的特性， 一个 usb 接口与上行终 端相连，安全芯片通过另一个 usb 接口与 scsi 接口控制器连接，最 终使用 scsi 接口与移动硬盘盘芯进行通信，从而确保硬盘具备高速 的读写能力。 特性： 安全： 硬件加密、国密算法。采用国家密码管理局指定密码 算法，算法抗破解能力强。 高速： sm1 加解密速度大于 25mb/s， 不会影响到硬盘的读写 速度。 扩展性强： 具有多种国密/国际算法及接口，可以为客户提 供证书，指纹，键盘等多种扩展认证功能。 兼容性好：兼容目前市场所有主流移动硬盘盘芯。 加密刻录机加密刻录机 特性： 安全： 国密 sm1-sm4 加密算法，密钥随机生成。 密盘对应唯一密钥。 密盘不存储密钥。 高速： sm1 加解密速度大于 25mb/s， 不会影响到光驱的读写 速度。 扩展性强： 具有多种国密/国际算法及外部接口， 可以支持 多种认证附加功能。 唯一性： 普通刻录机无法读取密文光盘。 非同一密钥刻录机无法读取密盘。 tf32a09 盘芯 usb2.0 usb2.0 加密移动硬盘 加密刻录机 加密器加密器 方案特点 高速： 加解密速度可以达到 25mb/s。 安全： 采用国家密码管理局指定密码算法，算法抗破解能力强。 兼容性： 适用于所有 usb 存储设备。 扩展性强： 具有多种国密/国际算法及接口，可以为客户提供证书， 指纹，键盘等多种扩展认证功能。 tf32a09tf32a09 usb2.0usb2.0 usb2.0usb2.0 加密器加密器 电力配网电力配网终端终端安全方案安全方案 随着电网智能化建设的深入进行， 配网安全也逐渐的被各大电网 及电力公司所重视。相关部门也于 2009 年陆续出台了一系列的有关 安全的指导性方案与规定。万协通依据电监会电力二次系统安全防 护总体方案 、 配电网二次系统安全防护总体方案 ，国家电网中 低压配电网自动化系统安全防护补充规定 及国家电网与南方电网的 实际需求，成功推出了配电网终端安全方案 。 终端/子站安全通信模块方案 内部内部 总线总线 电网标准串口 以太网通信 子模块 vpn 子模块 中央控制子 模块 安全认证模 块 gprs 通信子 模块 扩展存储子 模块 外部总线外部总线 以太网接口 电网配电终端安全要求： 认证加密： 1） 主站对子站/终端下发的控制指令不论采用何种通 信模式（以太网、无线、还是其他方式）都需要使用 基于非对称密钥的加密技术进行单向身份认证。 2） 配电网自动化系统采用基于调度证书的非对称密钥 算法实现控制命令及参数设置指令的单向身份认证与 报文完整性保护。 3） 用电信息采集及负荷管理系统采用信息证书的方式 实现单向身份认证与报文完整性保护。 无线通信： 1） 采用 vpn 技术实现无线虚拟专有通道。 2） 通过认证服务器对接入终端进行身份认证及地址派 发 扩展功能： 单向认证+对称加密 主站采用私钥签名并使用对称密钥对数据进行加密， 子站使用与主站 相同的密钥对数据内容进行解密。 主要用于对复合报 文中明文部分（控制命令、时间戳等）的保护。 技术实现： 认证加密：采用 sm2/rsa 非对称算法，满足目前单向认证 需求，中央控制子模块中的存储空间可以存放 多个认证证书。 对称算法支持 sm1 算法，完全支持单向认证+ 对称算法的扩展功能 通信： 接口：提供丰富的通信接口，支持以太网通信，gprs 通信，及 多种符合电网规约的串口通信 传输安全：支持 apn+vpn、vdpn，gre 等电力上广泛应用的通信 技术。 其他功能： 利用 tf32a09 中强大的 32 位 cpu，及扩展存储（flash） 模块，用户可以在本方案的基础上，自行增加专有相关控 制功能。 安全模块方案安全模块方案 为了减少对配电终端设备的改造， 万协通提出外置安全模块的方 案，解决电力配网终端安全的问题。管理模块把需要认证/加解密的 数据通过串口发给安全模块， 安全模块按照电网的安全标准处理完毕 后，再把数据回传管理模块。 方案优势： 1） 系统改动小： 主要改动部分集中在管理模块的数据处理与 分发上，其他部分不需要改动。管理模块软 件需要对主站下发的数据做出区分，分辨出 那类数据是需要转给安全模块处理的，转发 给安全模块，同时接受安全模块处理完毕的 数据信息。 2） 适用性高： 同一模块可以适用于各种子站、 dtu、 ftu。 3） 成本低：外接安全模块的成本远远低于硬件升级改 通信模块 安全模块 管理模块 串口 主站前置机 动的成本。 4） 扩展性好：针对今后配电网更加严格的安全要求， 安全模块在算法上已经能够满足电网未来的安全要 求。 视频加密视频加密方案方案 视频监控是平安城市建设不可缺少的一部分， 但是视频内容的安 全一直是平安城市及市政监控项没有涉及的领域， 所有摄像终端内的 信息都是处于明文状态，存在被窃取与篡改的隐患。随着各地平安城 市项目的大规模启动，政府对平安城市建设的要求也在不断的提高， 视频内容的安全保护也逐渐的出现在各个视频监控项目中。 万协通视频加密方案为视频监控厂商提供一个标准的、 简介的解 决途径。 整个方案以加密模块的形式呈现， 加密模块通过 usb 接口与主设 备相连接，主设备把明文视频送到加密模块，加密后再由加密模块回 传主设备，完成整个加密的过程。 特点： 1） 简单易用：作为用户产品的一个功能扩展模块，不会对 现有产品做出过多的硬件改动。 2） 高速：视频流加密的速度达到 8mb-12mb，完全支持目 tf32a09 usb2.0 加密模块 明文 密文 前高清摄像对速度的要求。 3） 可扩展性：利用 tf32a09 中 32 位高速处理器及大容量 flash 空间，为用户提供扩展功能平台，实现多种附加安 全功能，如认证，密钥自毁等。 版权保护版权保护 针对约来越多的盗版现象， 万协通推出一系列完善的版权保护方 案，保护软件厂商的权益。 一） 加密存储，认证运行方案 本方案以加密 u 盘为基础， 在上面添加支持运行认证的功 能，适用于大型、需要安装运行的软件程序， 具体实现如下： 1） 软件安装程序加密存放在 u 盘全区内，只有输入正 确的密码才能打开安全区，运行安装程序。 2） 程序正确安装后，安装 u 盘转换为运行认证工具， 和主程序保持双向通信认证， 在 u 盘处于工作状态时， 主程序才能正常运行，从而确保一套软件对应一个 u 盘，杜绝盗版。 二）加密存储，防止拷贝方案 本方案以加密 u 盘为基础，在上面增加防止文件被复制功能，适 用于直接运行的中小型软件。 具体实现如下： 1） 软件运行程序加密存放在 u 盘全区内， 只有输入正确的 密码才能打开安全区，运行软件程序。 2） 通过安全芯片对 u 盘内的文件作出读取限制， 禁止拷贝， 拖拽等一切复制行为， 使程序不会流传到 u 盘以外的空间， 从而确保一套软件对应一个 u 盘，杜绝盗版。 移动安全存储移动安全存储 随着移动互联网的蓬勃发展，各种手机上的应用层出不穷，对移 动安全的要求也越来越高。 安全存储主要是对移动终端内的数据进行 保护，是移动安全的关键部分。作为一个新兴的领域，将会具有广阔 的市场前景。 万协通推出自行研发设计的第二代安全 sd 芯片，为移动应用客 户带来更加安全的移动存储解决方案 第一代安全 sd 芯片主要应用领域集中在认证功能，被称为 sd-key 芯片，它们的主要应用场景是针对金融领域的移动支付。 第一代 sd-key 芯片的内部结构是由三颗芯片构成，sd 控制器， 安全芯片，flash 存储。芯片的主控制是由 sd 控制器完成，安全芯 片作为一个从属芯片，只是实现一部分具体功能。这样的结构在对数 据进行加密存储时具有很大的局限性。具体如下： api 安全芯片 flash 存储 明明 文文 下下 发发 密密 文文 回回 传传 sd 控制器控制器 密密 文文 存存 储储 spi 1）存储过程复杂，无法做到通用软件文档透明加解密： 一代 sd-key 在对文件做加密存储时必须调用芯片的 api 接口指 令，首先调用加密 api 把数据经芯片加密后回传上层应用软件，上层 软件再调用存储 api 把数据保存到存储内。 通用的软件只有改底层驱 动才能做到 api 的调用， 所以大多数的软件是无法做到透明加解密的， 只有专用的软件才能由软件供应商修改存储模式，实现透明加解密。 2）加解密速度低： sd 控制器与安全芯片的通讯接口为 spi 串口， sd-key 芯片中 spi 的速度最大为 1mb/s，加密存储过程中经过多次的 api 调用，实际的 读写速度大约在 200kb 左右，远远满足不了存储速度的要求。 万协通第二代 sd 芯片不仅具有认证 key 的功能同时在芯片架构上对 数据加密存储做了结构性的优化。 安全芯片内部自带 sd 控制器功能， 芯片的主控由安全芯片掌管， 所有内部的控制指令全部由