加密芯片的行业应用解决方案介绍.docx

加密芯片的行业应用解决方案介绍基于TF32A09加密芯片，我们重点分析其在移动存储、配电网自动化、安防监控、版权保护等领域的应用案列，供大家参考学习。加密U盘-多样灵活的实现方案基于TF32A09安全芯片丰富的接口资源，我们可以为客户提供多种加密U盘方案。性能参数：高速：读写速度8MB/s-20MB/s(视存储模块等级而定)大容量：容量最高支持256GB高安全性：国密SM1加密算法，还支持国密SM2-SM4，及DES/3DES、RSA等国际算法。三种存储模式：Nand Flash、TF卡、UDP。以下分别介绍三种存储模式的实现方式。Nand Flash 存储方案 TF32A09芯片内部不仅可以实现数据流的加密功能，同时具有NandFlash 控制功能和ECC校验功能，并通过芯片外部NFC接口直接与Nand flash存储模块相连接，实现数据的加密存储。此方案性能稳定，但是要针对不同品牌类型NandFLash需要单独开发驱动程序，NandFlash芯片产品更新速度很快，客户需要不断的更新驱动，适应新型号的Nandflash芯片，所以后期维护工作的成本较大。 TF卡存储方案 加密芯片通过USB接口连接读卡器芯片，由读卡器芯片控制后面的TF卡。只有具有双USB接口的TF32A09芯片才能做到为读卡器芯片提供一个额外的USB接口。 此方案产品稳定性较高，成本与NandFlash 方案相比会有较大的减少（TF卡的价格低于NandFlash，并且不存在Flash芯片驱动升级的后期维护成本），TF卡安装在PCB电路板上的TF卡槽内，而不是直接焊接在PCB电路板上，通过安装不同容量的TF卡，一个PCB电路板可以实现多容量选择，产品的灵活性很强，同时也可以为客户减少产品库存的压力。 UDP存储方案 TF32A09独有的双USB接口的特性，其中一个用于上行连接电脑终端，另一个用于下行连接UDP模块，这类产品性能比较稳定，相对于TF卡方案成本更低，是低成本加密U盘方案的首选。三种方案的比较方案稳定性硬件成本存储驱动升级后期研发灵活性NandFlash很高高有有很低TF卡高一般无无高UDP较高低无无低 加密硬盘-独有的高速国密解决方案利用TF32A09独有的双USB接口的特性，一个USB接口与上行终端相连，安全芯片通过另一个USB接口与SCSI接口控制器连接，最终使用SCSI接口与移动硬盘盘芯进行通信，从而确保硬盘具备高速的读写能力。特性：安全：硬件加密、国密算法。采用国家密码管理局指定密码算法，算法抗破解能力强。高速：SM1加解密速度大于25MB/s，不会影响到硬盘的读写速度。扩展性强：具有多种国密/国际算法及接口，可以为客户提供证书，指纹，键盘等多种扩展认证功能。兼容性好：兼容目前市场所有主流移动硬盘盘芯。 加密刻录机方案TF32A09盘芯USB2.0USB2.0加密移动硬盘加密刻录机 特性：安全：国密SM1-SM4加密算法，密钥随机生成。密盘对应唯一密钥。密盘不存储密钥。高速：SM1加解密速度大于25MB/s，不会影响到光驱的读写速度。扩展性强：具有多种国密/国际算法及外部接口，可以支持多种认证附加功能。唯一性：普通刻录机无法读取密文光盘。非同一密钥刻录机无法读取密盘。 加密器TF32A09USB2.0USB2.0加密器方案特点高速：加解密速度可以达到25MB/s。安全：采用国家密码管理局指定密码算法，算法抗破解能力强。 兼容性： 适用于所有USB存储设备。 扩展性强：具有多种国密/国际算法及接口，可以为客户提供证书，指纹，键盘等多种扩展认证功能。 电力配网终端安全方案随着电网智能化建设的深入进行，配网安全也逐渐的被各大电网及电力公司所重视。相关部门也于2009年陆续出台了一系列的有关安全的指导性方案与规定。万协通依据电监会电力二次系统安全防护总体方案、配电网二次系统安全防护总体方案，国家电网中低压配电网自动化系统安全防护补充规定及国家电网与南方电网的实际需求，成功推出了配电网终端安全方案。1） 终端/子站安全通信模块方案内部 总线电网标准串口以太网通信子模块VPN子模块中央控制子模块安全认证模块GPRS通信子模块扩展存储子模块外部总线以太网接口 电网配电终端安全要求： 认证加密：1） 主站对子站/终端下发的控制指令不论采用何种通信模式（以太网、无线、还是其他方式）都需要使用基于非对称密钥的加密技术进行单向身份认证。2） 配电网自动化系统采用基于调度证书的非对称密钥算法实现控制命令及参数设置指令的单向身份认证与报文完整性保护。3） 用电信息采集及负荷管理系统采用信息证书的方式实现单向身份认证与报文完整性保护。无线通信：1） 采用VPN技术实现无线虚拟专有通道。2） 通过认证服务器对接入终端进行身份认证及地址派发 扩展功能：单向认证+对称加密主站采用私钥签名并使用对称密钥对数据进行加密，子站使用与主站相同的密钥对数据内容进行解密。主要用于对复合报文中明文部分（控制命令、时间戳等）的保护。 技术实现：认证加密：采用SM2/RSA 非对称算法，满足目前单向认证需求，中央控制子模块中的存储空间可以存放多个认证证书。 对称算法支持SM1算法，完全支持单向认证+对称算法的扩展功能通信： 接口：提供丰富的通信接口，支持以太网通信，GPRS通信，及多种符合电网规约的串口通信 传输安全：支持APN+VPN、VDPN，GRE等电力上广泛应用的通信技术。 其他功能： 利用TF32A09中强大的32位CPU，及扩展存储（flash）模块，用户可以在本方案的基础上，自行增加专有相关控制功能。2） 配网安全模块方案通信模块安全模块管理模块串口主站前置机 为了减少对配电终端设备的改造，万协通提出外置安全模块的方案，解决电力配网终端安全的问题。管理模块把需要认证/加解密的数据通过串口发给安全模块，安全模块按照电网的安全标准处理完毕后，再把数据回传管理模块。方案优势：1） 系统改动小：主要改动部分集中在管理模块的数据处理与分发上，其他部分不需要改动。管理模块软件需要对主站下发的数据做出区分，分辨出那类数据是需要转给安全模块处理的，转发给安全模块，同时接受安全模块处理完毕的数据信息。2） 适用性高：同一模块可以适用于各种子站、DTU、FTU。3） 成本低：外接安全模块的成本远远低于硬件升级改动的成本。4） 扩展性好：针对今后配电网更加严格的安全要求，安全模块在算法上 已经能够满足电网未来的安全要求。 视频加密解决方案 视频监控是平安城市建设不可缺少的一部分，但是视频内容的安全一直是平安城市及市政监控项没有涉及的领域，所有摄像终端内的信息都是处于明文状态，存在被窃取与篡改的隐患。随着各地平安城市项目的大规模启动，政府对平安城市建设的要求也在不断的提高，视频内容的安全保护也逐渐的出现在各个视频监控项目中。 万协通视频加密方案为视频监控厂商提供一个标准的、简介的解决途径。TF32A09USB2.0加密模块明文密文 整个方案以加密模块的形式呈现，加密模块通过USB接口与主设备相连接，主设备把明文视频送到加密模块，加密后再由加密模块回传主设备，完成整个加密的过程。特点：1） 简单易用：作为用户产品的一个功能扩展模块，不会对现有产品做出过多的硬件改动。2） 高速：视频流加密的速度达到8MB-12MB，完全支持目前高清摄像对速度的要求。3） 可扩展性：利用TF32A09中32位高速处理器及大容量flash空间，为用户提供扩展功能平台，实现多种附加安全功能，如认证，密钥自毁等。 版权保护解决方案 针对约来越多的盗版现象，万协通推出一系列完善的版权保护方案，保护软件厂商的权益。 一） 加密存储，认证运行方案本方案以加密U盘为基础，在上面添加支持运行认证的功能，适用于大型、需要安装运行的软件程序，具体实现如下：1） 软件安装程序加密存放在U盘全区内，只有输入正确的密码 才能打开安全区，运行安装程序。2） 程序正确安装后，安装U盘转换为运行认证工具，和主程序保持双向通信认证，在U盘处于工作状态时，主程序才能正常运行，从而确保一套软件对应一个U盘，杜绝盗版。二）加密存储，防止拷贝方案 本方案以加密U盘为基础，在上面增加防止文件被复制功能，适用于直接运行的中小型软件。 具体实现如下：1） 软件运行程序加密存放在U盘全区内，只有输入正确的密码才能打开安全区，运行软件程序。2） 通过安全芯片对U盘内的文件作出读取限制，禁止拷贝，