（电路与系统专业论文）基于uClinux的网络安全终端的研究与实现[电路与系统专业优秀论文].pdf

中文摘要 摘要 随着国家在集成电路制造和设计领域的不断投入以及集成电路e d a 工具的不断完善， 我国集成电路设计水平得到了显著提高，先后涌现出“龙芯”等多款具有自主知识产权的处 理器芯片。东南大学a s i c 工程中心利用授权的a 删7 t 肼i 内核，经过多次努力推出了基于 a r m 7 的自主知识产权的系统芯片g a r f i e l d ，试验室的测试和仿真结果证明该芯片完全达到 了设计目标，但如何推广和应用，并在应用和实践中进行验证该芯片的性能和可靠性，就变 得异常重要了，也是该芯片走向最后成功的关键。 通过调研，我们了解到随着银行业务规模的扩大，银行卡交易在银行业务中所占比例越 来越大，对银行自助终端的需求也日益扩大，如何在现有网络基础上提供安全可靠、价格较 低的银行自助终端产品也日益迫切。 本论文工作就是在前述问题的基础上，提出了利用自主s o c 芯片g a r f i e l d ，研制基于 u c l i n u x 操作系统和t c p i p 网络的银行自助设备一网络安全终端，该终端的研制和应用，对 于推广和验证自主芯片设计技术与制造技术、改善银行卡的应用环境将有重要意义。 该网络安全终端实现的关键技术在于：如何将u c l i n u x 操作系统移植到自主g a r f i e l d 芯 片上，如何在u c l i n u x 环境下实现各种接口驱动，如何在网络安全终端中集成t c p i p 协议， 如何实现该终端的安全性和可靠性。 论文主要工作包括：网络安全终端的功能定义与系统方案：网络安全终端的硬件实现原 理图与样机制作；u c l i n u x 操作系统在自主g a r f i e l d 芯片上的移植；网络安全终端各接口驱 动以及t c p i p 驱动的编制；终端安全性的实现；终端与相应银行交易系统b s 架构下应用 程序的开发：网络安全终端在银行模拟系统环境下的测试。 经过一年多的努力，网络安全终端已经通过银行环境下的模拟测试，可向用户提供如转 帐、公共事业缴费、手机充值，缴税、银证转帐、购物等全方位服务，该产品对于改善用卡 环境、提高磁卡利用率、提高银行服务水平和竞争力将有积极作用。 在网络安全终端的实现和测试过程中，a s i c 中心的g a r f i e l d 芯片经受了考验，并以其 丰富的接口、优良的性能、较低的功耗、稳定可靠的运行等证明该芯片能够满足实际应用的 需求。 关键词；网络安全终端嵌入式系统g a r f i e l dt c p i p安全存储模块 英文摘要 a b s t r a c t w i t ht h ec o n t i n u o u si n v e s t m e n ti nd e s i g na n dm a n u f a c t u r eo ft h e1 1 2 ( i n t e g r a t e dc i r c u i t ) i n d u s t r ya n d w i 血t h ea d v a n e e di m p r o v e m e n to ft h ee d at o o l s t h es k i l lo fl cd e s i g ni nc h i n ah a sb e e nd i s t i n c t i v e l y i n c r e a s e d ，s c v e r a lc p u si m e r g ew i 山t h e t ro w ni p ( i n t e l l e c t u a lp r o p e r t y ) r i g h t s ，s u c ha sg o d s o n a r e r s o m et r i a l sa n db ”r o r s o u rl a b ，t h ea s i cc e n t e rd e s i g n e dt h es o cc h i pn a m e dg a r f i e l db a s e do n a r m 7 t d m ic o r e t h es i m u l a t i o nr e s u l t ss h o w e dt h a tt h ec h i pi o t a i i ya c h i e v e dt h ed e s i g np u r p o s e t h e n h o wt ow i d e l yi m p l e m e n t , d e p l o yt h ec h i pa n dh o wt 0v e r i f yt h ep e r f o r m a n c e r e l i a b i l i t yo f t h ee h i pi nt h e a p p l i c a t i o na n dp r a c t i c eb e c o m et w ok e yp o i n t st ot h es u c c e s so f t h ec h i p w ek n o wb yi n v e s t i g a t i o nt h a tt h eb a n k - c a r dt r a d ep l a y sam o r ea n dm o r ei m p o r t a n tr o l ew i t ht h e i n c r e a s i n gb a n ks e r v i c e s a tt h es a m et i m e ，t h ed e m a n df o rt h eb a n ks e l f - s e r v i c em a c h i n eg r o w ss t e a d i l y s oi tb e c o m e su r g e n t 幻s u p p l yt h eb a n ks e l f - s e r v i c ew i t hs e c u r e r e l i a b l ea n dl o wp r i c et e r m i n a l sb a s e do n t h ei n t e m e l t h ea n i c l ei st od e s i g nab a n ks e l f - s c r y i c em a c h i n en a m e ds t o i ( s e c u r e dt e r m i n a lo v e ri n t e m e t ) w h i c hm a k e su s eo ft h es o cc h i p ( g a r f i e l d ) w i t hi t so w ni pr i g h t ，u c l i n u xa n dt c p mt od e s i g na n d a p p l yt h et e r m i n a lh a sv e r yi m p o r t a n tm e a n i n g , n o to n l yi ne x t e n d i n ga n dv e i l f y i n gt h ed e s i g na n d m a n u f a c t u r i n gt e c h n o l o g yo f t h ec h i pw i t hi t so w ni pr i g h t b u ta l s oi i li m p r o v i n gt h ee n v i r o n m e n to ft h e m a g c a r d t h ek e yt e c h n o l o g i e so ft h ei m p l e m e n t a t i o no ft h es t o ii n c l u d e ：t h ep o r t i n go ft h eu c l i n u xo n g a r f i e l d ；t h ed e s i g n i n go fd r i v e r sf o rd i f f e r e n td e v i c e so nu c l i n u x ；t h er e a l i z a t i o no ft h es t o i sn e t w o r k f u n c t i o n b a s e do n t c p i p ；t h ea c c o m p l i s h m e n to f t h es e c u r i t ya n dr e l i a h i l i t y o f t h es t o t h em a i nw o r ko f t h ea r t i c l ei s ：t od e f i n et h ef u n c t i o no ft h es t o ia n dt od e s i g nt h es y s t e ms o l u t i o n ； t od e s i g nt h es c h e m a t i cd o c u m e n to ft h es t 0 1w i t hp r o t e l ；t op o r tt h eu c l i n u xo ng a r f i e l d ；t oc o d e d i f f e r e n td e v i c ed r i v e r so ft h es t o ia n dt h et c p i pp r o t o c o l ；t oa c c o m p l i s ht h es e c u r i t yo ft h es t o i ；t o d e v e l o pt h ea p p l i c a t i o np r o g r a mu n d e rt h eb s r b r o w s e r s e r v e r ) c o n s t r u c t i o nw i t ht h es t o ia c t i n ga st h e b r o w s e ra n dt h eb a n kt a d i n gs y s t e ma c t i n ga st h es e r v e r ；t ot e s tt h es t o iu n d e rt h ee n v i r o n m e n to f v i r t u a l t r a d i n gs y s t e ms u p p l i e db yt h eb a n k a f t e re f f o r t so v e ro n ey e a r , t h es t o ih a sp a s s e dt h es i m u l a t i o nt e s tu n d e rt h eb a n ke n v i r o n m e n t i t e n a b l e st h eu s e rt oc o n d u c tf u l ls e r v i c e s s u c ha sa c c o u n tt r a n s f e r , p u b l i cf e ec o l l e c t i o nw i t he l e c t r o n i c c a s h ，m o b i l ep a y m e n t ，d u t y , b a n k i n g & s e c u r i t i e sm o n e yt r a n s f e r , s h o p p i n g , e t e t h ep r o d u c th a s a d v a n t a g ei ni m p r o v i n gt h ee n v i r o n m e n to f u s i n gc a r d s ，i n c r e a s i n gt h eu t i l i z a t i o no f t h em a g n e t i cc a r da n d e n h a n c i n gt h es e r v i c ea n dc o m p e t i t i o no f t h eb a n k t h e g a r f i e l d ”c h i pd e s i g n e db yt h ea s i cc e n t e rw o r k e dp e r f e c t l yi n t h ep r o c e s so ft h es t o i s a c c o m p l i s h m e n ta n dt e s t i tp r o v e st h a tt h ec h i pc a ns a t i s f yt h er e q u i r e m e n ti np r a c t i c a la p p l i c a t i o nw i t h r i c hi n t e r f a c e s ，e x c e l l e n tp e r f o r m a n c e ，l o wc o n s u m p t i o n ，r e l i a b l ep e r f o r m a n c e k e y w o r d s ：t h es t o i ( s e c u r e dt e r m i n a lo v e ri n t e r a c t ) u c l i n u xg a r f i e l dt c p 1 pp s a m 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人己经发表或撰写过 的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我 一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：整i 丝日期：j 幽出名p 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印 件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质 论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括 刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办理。 躲监新躲啦生紫膨 序言 1 课题研究背景 序言 1 1 系统集成芯片设计和验证的需要 随着国家在集成电路制造和设计领域的不断投入以及集成电路e d a 工具的不断完 善，我国集成电路设计水平在近几年得剑了显著提高，先后涌现出“龙芯”等多款具有 自主知识产权的处理器芯片，打破了长期以来中国信息技术产业无处理器设计和制造的 局面，增强了我国信息科技产业化建设的核心竞争力，为中国的集成电路产业发展以及 在相关领域的推广和应用奠定了坚实的基础。 东南大学国家专用集成电路工程中心( a s i c ) 利用a r m 公司授权的a r m 7 t d m i 内核，经过多次努力推出了基于a r m 7 的自主知识产权的系统芯片一“g a r f i e l d ”，试验 室的测试和仿真结果证明该芯片完全达到了设计目标，该芯片的推出标志着东南大学 a s i c 中心在芯片设计上取得了重要突破。在此基础上，如何推广和应用该s o c 芯片， 并在应用和实践中进行验证该芯片的性能、稳定性和可靠性，就变得异常重要了，这也 是该芯片走向最后成功的关键。 1 2 银行卡业务发展对银行自助终端的需求 我国银行的发卡数量已接近7 亿张，但其中占绝对市场份额的借记卡中，约三分之 二是长期闲置的“死卡”“睡眠卡”。究其原因，除了持卡人缺乏良好的用卡意识外， 金融机构所提供的用卡环境与实际需求相距甚远。 为了提高卡的利用率，银行及金融系统加大了在金融机具和卡应用方面的投入，制 定政策，鼓励和引导更多的用户使用银行卡进行支付和结算，并取得了一定效果，利用 银行卡进行消费的观念己经为越来越多的人所接受。但由于所投入使用的金融设备( 目 前主要是a r m 机、p o s 机以及大型的自助终端) 成本较高，抑制了该业务的迅速发展。 另一方面，银行为了实现减员增效、减少出错几率和客户等待时间，向用户提供更 优质和更个性化的服务，急需对银行柜面业务进行分流，而安全可靠的自助终端是实现 该目的的重要手段。 现有的银行自助终端采基于个人计算机( p c ) 机和w i n d o w s 操作系统。p c 机的 较高成本以及w i n d o w s 操作系统自身所带来的安全问题和漏洞，制约了该类产品的大 规模推广和使用。 1 3 论文工作的意义 本论文工作就是在前述问题的基础上，提出了利用自主s o c 芯片一“g a r f i e l d ”，研 制基于u c l i n u x 操作系统和t c p i p 网络的嵌入式银行自助设备一网络安全终端，该终端 的研制和应用，对于推广和验证自主芯片设计技术与制造技术、改善银行卡的应用环境 将有重要意义。 2 课题主要研究方向 论文主要工作包括：网络安全终端的功能定义与系统方案；网络安全终端的硬件实 东南大学硕士学位论文 现原理图与样机制作；u c l i n u x 操作系统在自主“g a r f i e l d ”芯片上的移植；网络安全终 端各接口驱动以及t c p i p 驱动的编制：终端安全性的实现：终端与相应银行交易系统 b s 架构下应用程序的开发；网络安全终端在银行模拟系统环境下的测试。 在实现过程中的具体工作如下： 基于自主s o c 芯片g a r f i e l d 构架网络安全终端； 原理图和印制电路板图的设计和实现； 将u c l i n u x 移植到g a r f i e l d 芯片上； - 针对自助终端的应用需求，编写网卡、串口、液晶【c d ，键盘等驱动； 一 在应用层方面，为实现系统的b s 架构要求，将c t s i 协议移植进来： 网络安全终端的安全性设计： -在应用层方面，移植中国电信c t s i 协议实现系统对b s 架构的设计要求 与模拟银行交易系统以及其他相关系统配合对设备功能、性能进行验证： 在试验板的基础上设计生产实用的电路板。 3 论文结构 本论文的主要实现内容： 一 基于a s i c 中心自主s o c 芯片g a r f i e l d ，构建嵌入式自助终端的硬件平台； -根据银行对自助终端的需求，设计网络安全终端； 完成原理图和印制电路板的绘制以及样机的制作； 硬件平台和样机的硬件调试； 移植u c l i n u x ； 调试t c p i p 协议，编写各接口驱动； 应用稃序的开发和测试。 通过与银行系统的联调，所设计的网络安全终端已经得到银行的认可，并已在应用 测试中。 论文内容由四部分组成，一共分为六个章节。 第一章：网络安全终端的需求及要求，首先分析了网络安全终端的功能需求，然后 介绍交易系统框架及网络安全终端在其中如何结合关键技术来满足用户需求，接着从关 键技术的实现角度来进行网络安全终端的模块设计，最后分析了技术可行性； 第二章：网络安全终端的硬件平台设计，首先给出了网络安全终端的硬件框架，然 后围绕着中心自主研发的g a r f i e l d 处理器的具体构架，完成包含安全处理子系统的各子 模块的硬件设计。 第三章：基于g a r f i e l d 的网络安全终端的软件设计，从嵌入式产品开发的角度。分 析了嵌入式系统的体系结构，然后在各层次分析了u c l i n u x 系统的特点，给出相应移植 的实现，并详细分析了u c l i n u x 中的网络结构，给出网络安全终端需求功能之一的网络 通信的移植和实现。 第四章，网络安全终端的安全性设计，首先分析终端的信息安全原理( 包含安全的 六大需满足特性和相关算法) ，然后介绍网络安全终端交易系统的安全性方案设计，并分 析了其实现了加密性、完整性等，最后给出基于p s a m 卡的网络安全终端加密的实现； 第五章，测试与结果； 第六章，总结与展望。 2 第一章两络安全终端的需求及要求 第一章网络安全终端的需求及要求 本章通过分析网络安全终端的功能需求和技术要求，提出网络安全终端所必需的基本模 块设计要求，以及实现上的技术可行性。 -网络安全终端的功能需求分析； _网络安全终端的交易系统体系框架，在系统框架研究的基础上，分析网络安全终端为满 足系统要求所必需的配置与设计： 一 基于技术和功能需求和设计要求。进行模块需求设计； 技术可行性分析。 1 1 网络安全终端的功能需求分析 随着银行业务的迅速发展，银行需求能有效解决目前银行网点内前台业务量大，耗时长 等问题，为持卡人提供方便迅捷的服务的银行自助终端产品。网络安全终端就是针对这一需 求，在银行现有网络的基础上开发的低成本的嵌入式产品。 网络安全终端要实现用户的交易操作，必须将用户的交易信息传递给银行后台。基于银 行现有的网络，网络安全终端必需具备网络通信功能才能与银行后台交互数据。 网络技术的发展与应用为用户提供了开放的信息环境，但是资源共享和网络服务在带来 效率和便利的同时，也使信息系统面临着极大的安全风险。未授权访问、信息失窃、拒绝服 务攻击等等已经成为普遍存在的安全威胁。大多数w e b 浏览器和服务器的版本存在加密强 度底和安全“后门”等问题。网络用户急需构建高效的网络安全体系来保证信息的安全。 网络安全终端是用于银行交易的。一旦网络安全终端传递给银行后台的数据被窃取或篡 改，都将导致用户和银行的巨大损失。因此，网络安全终端必须确保其传递数据的安全性。 由上面的叙述可知，网络安全终端的最主要两大功能需求为： 网络通信功能； 数据安全传递功能； 下面从网络安全终端交易系统的角度，来介绍网络安全终端在其中如何结合关键技术来 满足网络通信功能和数据的安全传递功能。 1 2 网络安全终端交易系统的体系框架 基于局域网的网络安全终端交易系统， 终端发卡系统、终端管理系统等部分组成。 主要由接入服务器系统、密钥生成与管理系统、 系统结构图如图i 1 所示： 接入服务器系统 接入服务器系统主要负责对整个基于以太网的网络安全终端交易系统的交易流程进行 控制，采用业务服务前置机、接入前置机和网络安全终端三级结构。其中，业务服务前置机 实现与银行交易平台的业务提交和交易处理；接入前置机实现网络安全终端的接入和通信协 议的转换；网络安全终端实现用户服务数据的显示，数据的采集、加密、提交。业务前置机 3 东南大学硕+ 学位论文 和接入服务器通过以太网连接，采用t c p i p 通信协议；接入前置机与网络安全终端通过以太 网相连，采用t c p i p 协议和中国电信c t s i 通信协议。 密钥生成与管理系统 密钥生成系统的功能是为系统生成省级市级密钥管理系统中所需的各类卡片，是整个 基于以太网的网络安全终端交易系统安全的核心密钥的生成、存储、传输、恢复和管理是 保障系统安全性的关键，密钥系统的安全性将直接影响整个交易系统的安全性。 本系统采用3 d e s 加密算法，支持密钥的产生。保存，分散传递，备份恢复，销毁等密 钥管理功能，以及用户卡发卡母卡制作，h s m 密钥传输卡的制作等密钥服务功能。 密钥受到严格的权限控制，不同机构或人员对不同密钥的读，写，更新、使用等操作具 有不同的权限。 为保证系统的安全性，密钥在本系统中的传递采用安全报文的传输方式，即密文加m a c 的方式。 系统中密钥的存储，备份，传递和服务均采用密钥卡的方式。 图1 1 基于局域网的网络安全终端交易系统框架图 终端发卡系统 发卡系统用于控制和管理终端中安全加密模块p s a m 卡密钥的写入和设备的配置。 网络安全终端在实际使用前，必须经过一个发卡过程，这个发卡过稃是由发卡系统软件 实现的。发卡系统主要有两个功能：一是对网络安全终端的p s a m 安全加密模块进行初始化， 并将多种加密密钥写入p s a m 加密卡中，为数据在传输过程中的加解密提供密钥和算法；二 是为网络安全终端分配唯一的终端m 号，写入p s a m 卡中，该号在终端连接过程中进行校 验，保证终端设备的合法性。 终端管理系统 终端管理系统主要负责用户管理及终端认证工作，采用b s 系统架构。该系统的工作原 4 第一章网络安全终端的需求及要求 理为：在省行w e b 服务器端运行服务器软件，在各市行的终端发放点，由操作员通过浏览器 页面录入用户信息，并将用户数据存入数据库，便于用户资料管理。该系统将网络安全终端 的终端号与用户的电话号码绑定，保证了终端用户的唯一性，为终端合法性验证提供依据。 系统采用操作员分级管理机制，保证了系统操作的可靠性和用户数据的安全性。 网络安全终端配置与设计要求： 为得到用户的磁卡卡号等信息，网络安全终端需配置磁条卡读卡器获取持卡用户的2 、 3 磁道信息； 为方便交互，网络安全终端需配置大屏幕液晶显示器和必要的键盘； 网络安全终端通过基于t c p ，口协议的网络技术与接入前置机交互数据，需具备以太网 接口； 为实现用户卡信息及用户密码和交易数据的安全，网络安全终端需具有硬件安全加密功 能，并与系统端的加密机构成安全通道，具体实现是在终端中配置p s a m 卡，并结合密钥 的生成与管理系统、终端发卡系统，实现终端的密钥分发和管理； 为方便系统功能的维护和扩充，要求网络安全终端采用b s 架构进行设计，终端所提供 的服务完全由系统来实现，终端提供与用户的数据交互和加密。 由以上可知网络安全终端所设计的重要及关键技术：p s a m 卡加密技术、t c p i p 协议 在嵌入系统中的实现、磁条刷卡器技术、b s 架构的协议选择和实现等。 1 3 网络安全终端的模块需求设计 根据功能需求及上节提到的关键技术需求。网络安全终端须具备以下模块： -核心处理模块：采用东南大学a s i c 中心自主设计的s o c 芯片g a r f i e l d 作为主处理器附 加s d r a m ，f l a s h r o m 等外围电路并在g a r f i e l d 上移植u c l i n u x 操作系统。该模块负责 协调整个系统工作，进行各个模块的管理，数据处理及存储、任务调度及决策等。 网卡模块：接入以太网，与接入前置机交互数据，实现基于t c p p 协议的数据通信。该 模块是网络安全终端的重要组成部分，是实现信息传递的重要途径。 人机交互模块：人机交互模块是实现用户与终端之间的通讯和对话，通过液晶显示屏和 键盘等设备，提供丰富友好的操作界面及人工介入功能等人性化设计，为用户的决策提 供可靠的支持。该模块是信息电话作为网络安全终端载体为用户提供服务的重要组成部 分。 _ 安全处理模块：采用p s a m 卡硬件加密，实现网络安全终端对重要信息的加密，来满足 交易系统对网络安全终端安全性的需求。 1 4 技术可行性分析 一 主处理器“g a r f i e l d ”基于a r m 7 t d m i 核设计，可以获得更多的第三方工具与软件的 支持，从而使整个系统成本降低，产品更容易进入市场被消费者所接受，更具有竞争力。 同时基于a r m 核的处理器所具有的通用性，使得u c l i n u x 操作系统在“g a r f i e l d ”的 移植非常方便； 5 东南大学硕士学位论文 - a s i c 中心在前期的科研项目中，通过将u c l i n u x 操作系统在龙珠、x s c a l e 等处理器上 的移植，积累了丰富的经验； - a s l c 中心在前期所研制的转帐电话终端产品安全性和应用系统已在银行得到广泛应 用，得到银行认可，本方案中可以借鉴其安全设计思路，并可在其模拟系统上进行开发、 调试和验证； 以上三个方面，为开发网络安全终端，实现其网络安全通讯功能提供了技术支撑。 6 东南大学硕士学位论文 第二章网络安全终端的硬件设计 在实现网络安全终端的硬件平台的过程中，主要的工作包含： 根据功能需求，进行整个硬件框架的设计； -在对主处理器进行特性分析的基础上，进行硬件平台中各子模块的设计，包含电源模块 设计，存储模块设计、网络模块设计和安全处理子系统设计； 绘制原理图； 调试样机的电路板。 2 1 硬件平台的架构 为了满足网络安全终端的功能需求和技术要求，网络安全终端的硬件平台必须包含下面 几个部分：主处理器、电源模块、存储模块、网络模块、人机交互模块、安全模块。由此， 基于g a r f i e l d 处理器的硬件平台如图2 1 所示： 图2 1 网络安全终端的硬件平台 图中的硬件平台主要分成两部分：主系统和安全处理子系统。主系统和安全处理子系统 之间通过串口来实现数据交换。 主系统主要包含主处理器、电源模块、存储模块、人机交互模块、网卡模块等。 安全处理子系统由安全模块构成。 一主处理器： 基于a r m 7 t d m i 核的s o c 芯片( g a r f i e l d ) ； 一 电源模块包含： 5 v 直流电压器 降压d c d c 转换器( 2 片a i c l 5 5 0 ) 电源模块为主处理器和其他模块提供电源，使其正常工作。5 v 直流电压器为输入电源， 经过两片降压d c - d c 转换器分别降压后，提供3 3 v 和2 5 v 输出电压。 7 东南大学硕上学位论文 _ 存储模块包含： 8 m b y t e 的f l a s h ( 2 8 f 1 2 8 j 3 ) 1 6 m b y t e 的s d r a m ( w 9 8 1 2 1 6 b h - 6 ) e e p r o m ( m 9 5 0 4 0 w m n 6 ) 存储模块负责保存运行的稃序和提供运行程序所需的空间，系统的程序保存在f l a s h 中，防止断电丢失；s d r a m 为程序的运行空间；e e p r o m 用于保存重要信息。 - 人机交互模块包含： 液晶显示屏 键盘 ( 5 列 6 行) 人机交互模块负责给用户提供交易的菜单界面和确定用户的选择，液晶显示器显示交易 的菜单项；用户通过键盘操作进行交易。 - 网络模块主要包含： 以太网控制器( r t l 8 0 1 9 1 网络模块负责提供网络的物理层接口； 安全处理子系统： c 5 2 协处理器( a t 8 9 s 5 2 ) 磁卡读卡器 p s a m 卡( g & d ) 安全处理子系统负责实现硬件加密芯片的物理层接口。其中，c 5 2 协处理器作为安全处 理子系统的处理器，通过控制磁旨读卡器来获取用户的磁卡信息；然后将重要信息传递给 p s a m 卡，由p s a m 卡完成加密后，从p s a m 卡接收密文。 下面的内容详细讲解硬件平台的各组成部分的设计，依次为：主处理器介绍、电源模块 设计、存储模块设计，网络模块设计、安全处理子系统设计。 2 2 主处理器简介 本节首先分析了主处理器的内核特点，然后介绍了处理器的结构框架，最后介绍了处理 器的调试工具和接口。 东南大学国家专用集成电路系统工程技术研究中心购买了a r m 7 t d m i 核，面向低成本 手持设备和其它通用嵌入式设备需求自主研发了s o c 芯片s e p 3 2 0 3g a r f i e l d 处理器。g a r f i e l d 处理器使用0 2 s u m 标准c m o s 的设计工艺，处理能力为4 6 m i p s ，具有低功耗、低成本的 优点，可以满足系统用户的各种需求。 1 主处理器的内核特点： 主处理器采用a r m 7 t m d i 内核。a r m 7 t m d i 是目前使用最广泛的3 2 位嵌入式r i s c 处理器。属低端a r m 处理器核。 t d m i 的基本含义为： t ：支持1 6 为压缩指令集t h u m b ； d ：支持片上d e b u g ； m ：内嵌硬件乘法器( m u l t i p l i e r ) i ：嵌入式i c e ，支持片上断点和调试点： a r m 7 t m d i 作为a r m 7 系列的核，为低功耗的3 2 位r i s c 处理器，最适合用于对价 8 第二章网络安全终端的的硬件设计 位和功耗要求较高的消费类应用。具有如下特点： ( 1 ) 具有嵌入式i c e - r t 逻辑，调试开发方便。 ( 2 ) 极低的功耗，适合对功耗要求较高的应用，如便携式产品。 ( 3 ) 能够提供0 9 m 口s z 的三级流水线结构。 ( 4 ) 代码密度高并兼容1 6 位的t h u m b 指令集。 ( 5 ) 对操作系统的支持广泛，包括w i n d o w sc e ，l i n u x ，p a l mo s 等。 ( 6 ) 指令系统与a r m 9 系列、a r m 9 e 系列和a r m l 0 e 系列兼容，便于用户的产品升级 换代。 ( 7 ) 主频最高可达1 3 0 m i p s ，高速的运算处理能力能胜任绝大多数的复杂应用。 在使用主处理器的指令编写程序时，网络安全终端的初始化代码用到跳转指令。由于主 处理器是采用三级流水线结构的，通常在后面添加2 条空指令来确保该跳转指令的绝对运 行。 2 主处理器的芯片结构 如图2 2 所示： 图2 2g a r f i e l d 芯片结构 g a r f i e l d 芯片内部组成如下： ( 1 ) 1 6 位3 2 位r i s c ( a r m 7 t d m i ) c p u 核； ( 2 ) 嵌2 0 k b y t e 可选的内部高速e s r a m ： ( 3 ) l , c d 控制器，支持单色4 级灰度1 6 级灰度4 k 彩色6 4 k 彩色； ( 4 ) 2 通道u a r t ( 内置1 6 b y t ef i f o ) ； ( 5 ) 6 通道d m a ； ( 6 ) 外部存储器接口控制器( e m i ) ，有6 个独立的片选口； ( 7 ) 4 通道3 2 位通用定时器2 通道p w m 发生器； ( 8 ) 7 1 条通用输入输出口； ( 9 ) 实时时钟( r t c ) ，支持日历功能和w a t c h d o g 功能； 9 东南大学硕十学位论文 ( 1 0 ) a c 9 7 控制器( a c 9 7 c ) 。支持2 通道放音和1 通道录音； ( 1 1 ) m m c 卡控制器： ( 1 2 ) 多媒体加速模块( m m a ) ，支持m p 3 解码，m p e g 4q c i f 和w m a ，p e g 等多媒体应用的解码； ( 1 3 ) l 通道串行外设接口( s p i ) 。用于触摸屏数据采样； ( 1 4 ) u s b 客户端控制器( u s b d c ) ，兼容u s b l 1 的u s b 客户端控制器： ( 1 5 ) j t a g 调试口； ( 1 6 ) 功耗管理模块( p m c ) ，支持4 种功耗模式：i d l e 、s l o w 、n o r m a l 、s l e e p ； 网络安全终端的主处理器接口使用情况： 2 个u a r t 接口 1 个s p i 接口 外部存储器接口控制器( e m i ) ，占用4 个片选接口 j 1 a g 调试口 3 主处理器的调试接口及调试工具 g a r f i e l d 处理器的片上i c e 支持基于j t a g 的调试，所以网络安全终端可以通过主处理 器的j t a g 接口调试。 j t a g 接口如下： n t r s t 输入信号t a p 旺e s ta c c e s sp o r t ) 控制器复位信号； t m s输入信号t a p ( 测试访问端口) 状态控制信号： t c k 输入信号j t a g 模块时钟信号； t d i输入信号 j t a g 数据输入信号； t d o 输出信号j t a g 数据输出信号。 网络安全终端的调试工具：包含仿真器f f t i c e 和调试环境a d s 。 一 仿真器f f t - i c e ： ( 1 ) f f t i c e 属于实时在线仿真器，硬件上完全兼容m u l t i i c e ，产品升级完全可以与 m u l t i i c e 同步进行，对新a r m 内核也支持； 一 ( 2 ) 支持所有具有e m b e d d e d i c e 逻辑单元的a r m 处理器； ( 3 ) 用户程序可方便下载到f l a s h r a m 中的任何位置执行； ( 4 ) 支持s d t 2 5 1 ，a d s l 2 等a r m 开发环境； ( 5 ) 采用a r m 集成开发调试环境和i c e 仿真器的配置，支持源代码级调试，a r m t h u m b 指令混合编译，支持汇编语言、c 、c + + 等，提供编译、连接、调试的a r m 集成开 发环境，支持c 、c + + 、汇编语言的交叉调用； ( 6 ) 可通过j t a g 接口随时对a r m 处理器的寄存器及存储器内容进行操作和修改； ( 7 ) 支持a r m 处理器芯片的宽电压范围，1 8 v 、2 5 v 、3 3 v 均可以轻松使用； ( 8 ) 是进行a r m 主板低层驱动程序开发的非常方便的工具f 调试环境a d s ( a r m d e v e l o p e r s u i t e v 1 2 e f a ) ： a d s 是a r m 公司的集成开发环境软件，其功能非常强大。a d s 包括了四个模块分别 是：s i m u l a t o r 、c 编译器、实时调试器和应用函数库。 a d s l 2 提供完整的w i n d o w s 界面开发环境。c 编译器效率极高，支持c 和c + + ，使 用者可以很方便的使用c 语言进行开发。提供软件模拟仿真功能，在没有e m u l a t o r s 的情况 下也能够熟悉a r m 的指令系统。配合f f t i c e 使用，a d s l 2 提供强大的实时调试跟踪功 l o 第二章网络安全终端的的硬件没计 能。a d s i 2 需要硬件支持才能发挥强大功能。目前支持的硬件调试器有m u l t i i c e 以及兼 容m u l t i i c e 的调试工具如f f t i c e 。而简易下载电缆不能支持a d s i 2 。 调试步骤：仿真器f f t i c e 一端连接p c 机的并口，另一端连接终端电路板的j t a g 接 口。p c 机上装有仿真器f f t i c e 配套的软件a r m m u l t i i c e v 2 2 ，可以标示仿真器f f t i c e 能否正确识别该a r m 电路板。在确定识别后，就可以打开a d s ( a r m d e v e l o p e l s u i t e v 1 2 - e f a ) 。进行调试了。 由上述内容可知，g a r f i e l d 芯片已经有完善的开发环境，这就使我们的开发变得可靠简 单，开发出的产品具有较高的性价比。 2 3 电源模块设计 本节内容为网络安全终端的电源模块的设计。 电源需求分析 主处理器g a r f i e l d 芯片的工作电压包含；内核( c o r e ) 电压和输入输出引脚电压。其中， 内核( c o r e ) 电压为2 5 v ，输入输出引脚电压在2 7 v 至i j 3 6 v 范围内。 而平台中采用的网卡( r t l 8 0 1 9 ) 和c 5 2 的工作电压都是5 v 。 故在硬件平台中要提供3 个电压输出：5 v 、3 3 v 、2 5 v 。 电源实现 5 v 直流电压作为输入，通过两片a i c l 5 5 0 芯片进行分压，分别得到3 3 v 和2 5 v 输出 电压。 电源模块的电路原理图，如图2 3 所示： 辅f 入5 d 漉 ui 一篇一 弘，上 t 桑 l j 曩埘 ”l j黾1 ) e “，劓 i 积 矸连 _ 一 蓓f # 2 一 。：擎。丢_一 ， 甲 。隆“。， ； n “i些筒伴 图2 3 电源模块的原理图 东南大学硕士学位论文 a i c l 5 5 0 是同步整流降压式d c - d c 转换器，效率高达9 5 的。a i c l 5 5 0 可提供持续8 0 0 毫安的输出电流，可外接电阻调整操作频率可达i m h z ，输出电压可低到0 7 5 v ，对于低 电压输出，提供了良好的解决方案，而且价格也更便宜，并内建短路保护的功能。同步整流 提高了转换效率并改善了在多个输出电源时的输出互调。a i c l 5 5 0 使用数量更少、体积更小 的周边组件，可节省更多的系统空间。此外，a i c l 5 5 0 为同步整流p w m 的操作模式，静态 电流可低到3 5 微安，功耗小。 这里，选择a i c l 5 5 0 芯片来降压，就是因为它可低电压输出和可改善多个输出电源时 的输出互调性。 2 4 存储模块设计 本节通过分析网络安全终端主处理器的存储器接口特性，进行外接存储器设备f l a s h 和s d r a m 的接口设计。 2 4 1 主处理器的存储器接口 主处理器的存储器接口特性如下： 一 支持s r a m s d r a m n o rf l a s h n a n df l a s h 四种类型存储器； 提供6 个可配置的片选信号：c s a 、c s b 、c s c 、c s d 、c s e 、c s f ，用来实现x ；j r o m 、 s r a m 、n o rf l a s h 的片选。其中c s e 、c s f 可以配置成s d r a m 片选信号； 一 有2 5 根地址线，4 根字节位屏蔽线，每个片选支持的最大寻址范