基于国产平台自主可控安全存储系统设计与实现
自主可控可编程控制系统架构及关键技术分析
自主可控可编程控制系统架构及关键技术分析李彬邯郸市第一医院 河北邯郸 056004摘要:主要对自主可控可编程控制系统架构以及关键技术进行分析。
首先,对可编程控制系统架构特点进行分析,包括:选用实时以太网总线具有高同步性特点,同时应用具有标准化特色的应用层协议;主站从站通用化水平持续提升;功能呈现出丰富化发展趋势。
其次,对自主可控可编程控制系统关键技术及其实现进行分析,包括主站从站硬件标准化、实时以太网总线控制器、HMI组态编程、PLCopen功能库这4个方面的内容。
希望能够通过自主可控可编程控制系统关键技术的综合应用,促进可编程控制系统优化发展,进而在工业控制产品自主化建设发展方面起到积极作用与价值。
关键词:自主可控 可编程控制系统 架构 关键技术中图分类号:TP274文献标识码:A 文章编号:1672-3791(2024)03-0019-04 Analysis of the Architecture and Key Technologies of theAutonomous Controllable Programmable Control SystemLI BinHandan First Hospital, Handan, Hebei Province, 056004 ChinaAbstract:The article analyzes the architecture and key technologies of the autonomous controllable programmable control system. Firstly, it analyzes the architectural characteristics of the programmable control system, including the selection of the real-time Ethernet bus with the characteristics of high synchronization and the application of the application layer protocol with standardized characteristics, the continuou improvement of the generalization level of master and slave stations, and the development trend of function enrichment. Then it analyzes the key technolo‐gies and implementation of the autonomous controllable programmable control system, including four aspects: the standardization of hardware in master and slave stations, the real-time Ethernet bus controller, HMI configuration programming, and the PLCopen functional library, hoping to promote the optimization and development of the programmable control system through the comprehensive application of the key technologies of the autonomous controllable programmable control system, and then play a positive role and value in the autonomous construction and development of industrial control products.Key Words: Autonomous and controllable; Programmable control system; Architecture; Key technology可编程控制系统将现场总线控制系统、可编程逻辑控制器以及嵌入式计算机系统引入系统内部,作为工业装备自动化控制的中枢神经系统,在智能化工厂信息自动化采集、实时控制、安全防护、过程监控等相关功能的实现过程中发挥重要作用。
“2+8”安全可控体系
“2+8”安全可控体系信创是“信息化应用创新”的简称,其产业主要包括新一代信息技术下的云计算、软件(操作系统、中间件、数据库、各类应用软件)、硬件(GPU/CPU、主机、各类终端)、安全(网络安全)等领域的安全可控。
归根结底,是基于国产软硬件进行信息化建设。
当前,信创产业发展已经成为经济数字化转型、提升产业链发展的关键。
目前,我国明确了“数字中国”建设战略,抢占数字经济产业链制高点,提出“2+8”安全可控体系,其中2是指党政两大体系,8是指金融、石油、电力、电信、交通、航空航天、医院、教育等八大主要行业。
2020-2022年是国家安全可控体系推广最重要的3年,中国IT产业从基础硬件-基础软件-行业应用软件有望迎来国产替代潮。
这些都是为了实现信创发展的目标:自主可控!事实上,众多国产软件已经积极响应号召,从操作系统、中间件、数据库到基础软件,都将”信息技术创新”提升为企业战略贯彻至企业发展目标中,其中,办公软件作为信创产业中底层应用的基础,在政企日常工作中发挥着重要作用。
企达积极响应技术创新工作,持续为政府、企事业单位提供安全可靠的办公解决方案,致力于开发自主知识产权的协同办公应用产品,并积极推进数字化中台成为组织的信息化基础设施。
同时,积极与国产CPU(鲲鹏、飞腾)、数据库(达梦、人大金仓)、操作系统(UOS、中标麒麟)等各类软件厂商进行适配工作,构建安全可控的信创生态体系。
●性能稳定:依据用户规模和项目实际情况提供多种部署方式,支持不同规模用户并发访问,确保系统性能稳定;●自主可控:自主研发的底层开发平台,实现底层代码的自主可控,能更大限度地保障信息安全和整体运行性能与效能;●安全保障:通过为系统应用置入满足合规性要求的安全功能,例如三员管理模式,分级管控、等级保护等,使其满足国家安全合规性要求;●国产适配:平台适配国产主流的基础软硬件,覆盖CPU、操作系统、数据库、服务器等,助力政企信息国产化建设,实现全国产化办公;如今,信创产业已经升级为我国数字经济发展的必由之路,国家正在不断加大对信创的支持力度,促进信创产品和解决方案在更多领域的应用落地。
基础IT国产自主可控研究报告
操作系统
图表9:国产操作系统盘点 优势
图表10:目前大部分应用软件完成国产化适配
中标麒麟
适配X86及龙芯、申威、飞腾等国产CPU,率先实现了对X86及国产CPU平台的支持。目前在公开 的 国产操作系统领域市场占有率稳居第一。
银河麒麟
软硬件兼容性最好,人机交互界面友好易用,具有高安全、高可靠、高可用、跨平台、中文化等特 点。
深度Linux
集成和配置较优秀的开源产品,基于HTML5开发了一系列面向日常使用的应用软件,易用美观, Windows替代性较好。
新支点
拥有千人研发团队,研发实力最强。支持国产芯片(龙芯、兆芯、ARM)及软硬件,开源,安全、 可靠可控、好用。中兴内部使用和已被众多企业、政府及教育机构采用,收入规模最大,此前较少 被市场关注。
6.0
50%
1.0
6.7
替换空间 市场份额 单价(元) 持股比例 收入(亿元) 净利率 净利润(亿元)
硬件整机(万台)
300
30%
5000
——
45
8%
3.6
飞腾芯片(万片)
330
30% 800/6000 35.00%
4.4
20%
0.9
合计
4.5
集成(亿)
数据库(人大金仓) (万台)
合计
图表18:太极股份业绩弹性测算
自研、东方通
GaussDB
有 华为云
有
网安产品及解决方案
1
CEC发布PK2.0体系,融入云移物大智
PK体系迈入2.0阶段:10月20日,中国电子 正式发布PK 2.0体系。该体系由飞腾2000系 列CPU+麒麟4.02系列操作系统组成(PK体 系1.0为飞腾1500 +麒麟4.0),兼容移动、 、 云 大数据和物联网、人工智能等最新技术的 产 品组合生态。PK2.0体系融入云物移大智 等 主流技术,实现了PC互联网、移动互联网 、 物联网的全贯通,是面向现代数字城市和 网 络信息体系的未来国内主流生态技术体系 。 作为 PK 体系的核心支撑,中国长城集研 发、 制造、销售、系统集成、服务于一体, 着力 打造高安全基础设施底座。基于飞腾 CPU、 银河麒麟操作系统的台式机、一体机 、笔记 本、服务器、存储等产品和解决方案 ,目前 已在多个部委、省市及政务、金融、 交通互 联网等多个行业实现规模应用。
航天科工自主可控硬件产品手册
微型计算机-天玥TR1231/TR1235产品概述:基于国产飞腾FT1500A四核处理器平台,采用国产昆仑固件和银河麒麟桌面操作系统研制的通用型计算机,可支持主要国产品牌办公软件、数据库运行,可提供多种对外接口,可用于各办公场所和信息中心等固定环境中,支撑实现日常办公、网络管理等功能。
产品特点:微型计算机-天玥TR117*产品概述:基于国产龙芯3A3000四核处理器平台,采用国产昆仑固件和中标麒麟桌面操作系统研制的通用型计算机,可支持主要国产品牌办公软件、数据库运行,可提供多种对外接口,可用于各办公场所和信息中心等固定环境中,支撑实现日常办公、网络管理等功能。
微型计算机(一体式)-天玥TR3231产品概述天玥TR3231微型计算机(一体式)是以国产飞腾FT1500A处理器为核心,采用符合UEFI2.3标准的国产昆仑桌面版固件和麒麟桌面操作系统的通用型计算机。
台式计算机(一体式)主要由主板、内存、硬盘、独立显卡、光驱、风扇模组、电源模块、机箱组成,可支持主要国产品牌数据库(达梦、金仓、南通、神通等)连接工具的运行,支持可信硬件模块扩展,可提供多种对外接口,适用于我军各级固定指挥所、通信站台、网络控制室、值班室试验基地、办公场所和信息中心(节点)等固定环境中,支撑实现指挥作业、通信业务、安全控制、网络管理、值班交换等功能。
Mini 主机-天玥TR5171产品概述:天玥 TR5171 型 Mini 主机是专门针对“两个终端”问题研制的一款小型国产化终端产品,基于龙芯 3A3000 处理器,搭载中标麒麟操作系统,同时内置 KVM 功能,用最小的体积解决“两个终端”切换问题。
产品支持主流国产品牌办公软件,主要用于各办公场所,降低终端占地面积。
产品特点:Mini 主机-天玥TR5231产品概述:天玥 TR5231 型 Mini 主机是专门针对“两个终端”问题研制的一款小型国产化终端产品,基于飞腾处理器,搭载银河麒麟操作系统,同时内置 KVM 功能,用最小的体积解决“两个终端”切换问题。
2020年国产自主可控平台建设项目可行性研究报告
2020年国产自主可控平台建设项目可行性研究报告2020年2月目录一、项目概况 (3)二、项目建设的必要性 (3)1、加速产品国产化及自主可控,落实公司技术战略布局 (3)2、产品技术优化升级,保持和增强公司技术优势 (4)3、扩大产品产能,满足公司业务发展需要 (4)4、增强产品生产管理 (5)三、项目建设的可行性 (5)1、国家产业政策的支持,促进市场规模增大 (5)2、公司具备较强的技术研发实力 (6)3、公司具备优质的合作伙伴和客户基础 (6)四、项目进度安排 (7)五、项目投资概算 (7)六、项目效益分析 (8)一、项目概况“国产自主可控平台建设项目”是在目前全球工业信息安全问题频发、下游客户对信息安全产品需求增加、国内信息安全技术亟需对标国际先进水平以及国家大力支持信息安全产品向国产化方向发展的背景下提出的。
公司为响应国家政策,实现自身产品的国产自主可控,同时满足公司业务发展需求,计划进行“国产自主可控平台建设项目”。
本项目主要针对公司成熟产品进行核心技术国产化迁移,主要产品包括:工业安全通信网关设备、工业安全态势感知设备以及信息安全加密产品。
项目建设完成后可有效增强公司产品的品牌效应,夯实公司可持续发展能力。
二、项目建设的必要性1、加速产品国产化及自主可控,落实公司技术战略布局芯片产业作为全球产业中高精尖的产业代表,无论从国家安全还是产业竞争的角度来说,芯片国产化发展的趋势都是必然的。
一方面,政府、金融、电力等各个领域愈加重视信息安全及技术自主可控问题,对信息安全芯片提出了更高的要求。
另一方面,由于中国高端芯片产业处于国外垄断态势,同时受中美贸易摩擦影响,中国芯片产业受到了较大的冲击,实现芯片的国产化及自主可控已经迫在眉睫。
公司作为信息安全产品供应商,促进芯片产业国产化责无旁贷。
因此,公司将信息安全产品国产化及自主可控纳入了公司技术战略布局之中,以。
一种自主可控可信计算平台解决方案
一种自主可控可信计算平台解决方案龙兴刚;谢小赋;庞飞;叶晓【摘要】本文针对TCG可信计算规范中X86架构的可信计算平台存在被动可信度量、操作系统安全增强机制不完备和认证体制复杂等问题,提出一种基于国产处理器和国产操作系统的自主可控可信计算平台解决方案,设计了国产操作系统可信安全增强策略和框架,给出了基于可信平台控制模块的主动可信度量和基于身份标识平台身份认证等关键技术实现途径.【期刊名称】《信息安全与通信保密》【年(卷),期】2015(000)010【总页数】5页(P123-126,130)【关键词】可信计算;主动度量;主可控【作者】龙兴刚;谢小赋;庞飞;叶晓【作者单位】海军计算技术研究所,北京100841;中国电子科技集团公司第三十研究所,四川成都610041;中国电子科技集团公司第三十研究所,四川成都610041;中国电子科技集团公司第三十研究所,四川成都610041【正文语种】中文【中图分类】TP91随着信息技术不断发展,信息系统面临的安全问题越来越严峻,传统的堵漏洞、筑高墙、防外攻等“老三样”的防御技术难有大的突破,必须从计算平台自身出发才能更好地解决信息系统的安全问题。
“可信计算”提出通过硬件安全芯片及其支撑软件所构成的可信计算平台作为解决计算平台安全问题的根本措施。
通过在硬件平台内部引入可信平台模块(TPM,Trusted platform module)作为信任根,利用密码机制建立起信任链,从而把信任扩展到整个计算机系统,为建立安全可信的计算环境提供途径[1-4]。
当前可信计算平台的具体实现大多是对通用计算机的简单改造,即在主板上插上一个可信平台模块[5]。
上述解决方案在一定程度上增强计算平台的可信能力,是一种适应商用计算平台和非国产操作系统的过渡解决方案。
随着我国国产计算平台和操作系统的发展,需要提出一种适应自主可控计算平台和操作系统的可信计算平台解决方案。
1.1 X86架构可信平台采用被动可信度量机制在TCG(Trusted Computing Group,可信计算组织)规范中,X86架构可信计算平台的信任链建立过程是以BIOS和TPM共同作为信任根。
国产自主平台下可信执行环境的设计与实现
b i ig t e t u t d e e u i n e v r n n o h o si d p n e tp a f r i p e e t d a c r i g t h a i p i c l f u l n h r s e x c t n io me tf rt e d me t i e e d n l to m s r s n e c o dn o t e b sc rn i eo d o cn p t e t u t d c mp t g h r s e o u i .Th u ci n o h r s e x c to n i n n sd s n d a d r aie n t e d me t n e e d n n ef n t ft e tu t d e e u i n e v r me ti e i e n e l d o h o s i i d p n e t o o g z c
1 2 1 可信拦截模块 .. 可信拦截模块 的主要功能是对应用程序的启动进行 自动 拦截 ,提取应用程序的核心组件信息作为可信验证 的数据 。
( )对操 作系统 上运行 的应 用程序 ,提取其 核心组 件 1 信息 内容 ;然后依据提取的应用程序 的核心 组件信息 内容 , 建立维护可信文件 列表 ,并 通过硬 件信 任根模 块对 可信文
自主可控安全可靠新一代变电站二次系统研究
自主可控安全可靠新一代变电站二次系统研究摘要:以“自主可控、安全可靠、先进适用、集约高效”为总体原则,继承和发展现有智能变电站设计、建设及运行等成果经验,全面开展自主可控新一代变电站二次系统建设。
构建二次系统优化四大支撑体系,规划二次系统业务功能定位,优化二次系统整体架构,开展数据采集与传输、模型及业务功能优化、设备可靠性、安全防护、二次系统运行状态评价等方面的核心技术研究。
关键词:自主可控、主辅一体监控、安全防护、二次系统1. 研究背景目前电力二次系统所使用设备的芯片大量依靠进口,国际形势严重影响二次设备核心芯片供应链安全。
存在核心技术“卡脖子”问题。
随着电网发展对二次系统精益化管理要求不断提高,为适应变电站无人值班和设备远方集中监控业务需求,对变电站设备信息采集广度、设备感知能力深度,设备运维管理细度提出了更高要求。
同时电网发展和生产体系变革对变电站二次系统也提出更高要求。
1.变电站二次系统技术现状及存在问题(1)设备监控的广度和深度不足站控层包含多专业独立系统,缺少整体协调,采集信息冗余或不全,监控界面分散杂乱,主辅设备一体化监控能力不足。
(2)对远方监控的支撑能力不足上送的实时数据不能完全满足远方监控需求,上送方式以单向原始数据上传为主,信息含量不高,智能分析和服务化支撑能力不足。
(3)站控系统软件架构封闭站控系统缺乏共享开放的基础平台,服务厂商缺乏充分竞争,不利于智能化水平提升。
(4)辅控系统标准化程度低、设备繁杂、全面感知能力不足辅控系统接入设备众多,运维工作量大;主、辅设备监控未有效整合,不利于运维人员统一监控。
(5)数据采集方式不统一;设备重复配置、共享度低。
(6)合并单元故障影响范围大;过程层网络复杂,运维难度大。
(7)系统防御能力不足,3、自主可控安全可靠新一代变电站二次系统的优势(1)全面自主可控元器件优化筛选。
按照全产业链自主可控的要求,对国产芯片进行全面筛选和论证,确保满足完全自主可控要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子设计工程ElectronicDesignEngineering第27卷Vol.27第1期No.12019年1月Jan.2019
收稿日期:2018-04-02稿件编号:201804011作者简介:郑寄平(1965—),男,浙江杭州人,高级工程师。研究方向:计算机应用。
网络信息时代,数据安全问题日益凸显。在社会的各领域当中,如政府机关的财政信息、军队系统的情报信息和内部核心技术、银行系统中的储蓄卡和信用卡网络信息、发展迅速的电子商务等,每天都有用户不断产生和交互大量的数据信息。数据作为信息系统的核心,数据安全是信息安全的核心内容。在信息系统中对数据进行有效保护,是对数据资源完整性、机密性、可用性的保护[1]。从安全的角度看,敏感数据尤其是核心数据都应当被特殊对待,除了考虑数据在传输过程中的安全性,还应该考虑数据在存储系统中的安全性。而目前存储的趋势是数据存储和网络传输逐渐融合,因此存储系统中的数据资源遭到恶意攻击或者非法授权存取的几率大大提高。采用加密技术对计算机敏感通信数据进行加密,是提高信息安全的重要方法之一。特别是,近年来军用信息系统对重要数据进行加密存储已逐渐成为强制要求,然而国内基于加密存储阵列研发技术积累相对薄弱,目前的常规技术手段都是通过外接存储密码机实现数据加密,数据传输慢导致其性能存在明显缺陷。与此同时,党政信息系统使用的存储产品多以国外商用产品为主,信息安全存在严重隐患。因此,设计一种基于硬件的加解密系统应用在国产存储阵列上,用以实现对重要数据的保护是很有必要的。综上所述,文中提出了一种基于国产平台的安全存储系统设计与实现架构。安全存储系统中的数据加解密由硬件系统完成,实现时可以采用FPGA
基于国产平台自主可控安全存储系统设计与实现郑寄平,龚骁敏,于天琦(中国电子科技集团有限公司第五十二研究所,浙江杭州310012)摘要:随着存储技术和网络技术的飞速发展,数据的安全存储越来越受到国内科研院所、机关单位、军队系统的重视。数据是整个存储的核心部分,因此数据的加密和保护是安全存储的重点。而基于国产平台的存储阵列在国产化的背景下应用日益广泛,在军用市场方面应用尤为突出,因此对数据进行安全存储和加密设计显得更为重要。本文以国产平台存储阵列为加解密对象,设计了一种基于硬件加解密的安全存储系统,实现对存储阵列中核心数据的加密及保护。关键词:加解密;安全存储系统;存储阵列;数据保护中图分类号:TN918文献标识码:A文章编号:1674-6236(2019)01-0053-05Thedesignandrealizationofanindependentcontrollablesecurestoragesystem
basedondomesticplatform
ZHENGJi⁃ping,GONGXiao⁃min,YUTian⁃qi(The52ndResearchInstituteofChinaElectronicTechnologyGroupCorporation,Hangzhou310012,China)Abstract:Withtherapiddevelopmentofstoragetechnologyandnetworktechnology,thesafestorageofdatahasbeenpaidmoreandmoreattentionbydomesticresearchinstitutes,organunitsandmilitarysystems.Thedataisthecoreoftheentirestorage,andtheencryptionandprotectionofdataisthefocusofsecurestorage.Andthestoragearraybasedonthedomesticplatformisgraduallybeingappliedinthecontextoflocalization,especiallyinthefaceofthemilitarymarket,thesecurestorageandencryptiondesignofdataisparticularlyimportant.Inthispaper,thedomesticplatformstoragearrayastheencryptedanddecryptedobject,adataencryptionanddecryptionsecuritystoragesystembasedonhardwareisdesignedtoencryptandprotectthecoredatainthestoragearray.Keywords:encryptionanddecryption;securitystoragesystem;storagearray;dataprotection
--53《电子设计工程》2019年第1期等方式。以FPGA为例,硬件加解密模块工作时通过PCIE总线将国产存储阵列接收的数据传输到安全加解密模块的缓存中,FPGA从缓存中读取数据并启动加解密模块进行处理,处理后的数据存放至缓存中,最后通过PCIE总线将处理后数据传回至存储阵列内存。1数据的安全存储存储系统作为海量数据的保存载体,是数据保护的最后一道防线。同时,随着存储系统由本地直连向着网络化和分布式的方向发展,并被网络上的众多计算机共享,使得存储系统更容易受到外部攻击,相对静态存储系统往往成为攻击者的首要目标,从而达到窃取、篡改或破坏数据的目的。因此,实现数据的安全存储显得尤为重要,数据安全存储主要包括存储安全技术、数据加解密技术等。文中提出的基于国产平台存储阵列的数据加解密系统正是基于上述两点进行开发、设计实现的。随着国产CPU的发展,X86平台的国产化替代已成为大势所趋,存储“国产化”成为实现存储安全技术的有效途径。而存储国产化的首要目标是自主可控、安全可靠。文中所提的国产双控存储阵列如图1所示,主控制器采用国产自主可控CPU平台,通过自身研发设计,实现了存储系统从硬件到软件的完全自主研发、生产、升级、维护的全程可控,使国产存储阵列成为安全可靠的数据平台,为实现数据的安全存储奠定良好基础。图1国产双控存储阵列另一方面,安全存储需要解决如何保证数据的安全性问题。而数据加解密技术是解决该问题的有效途径之一,同时也是数据安全存储的核心技术。在数据的安全存储中,利用加密技术将数据变为乱码存储,在使用数据的时候,应用解密技术将被加密数据还原。数据在存储和使用时在密文和明文状态两种方式切换,保证数据安全的同时又方便用户使用。数据的加解密处理大致可以分为两类:软件加解密和硬件加解密。其中软件加解密的最大劣势是数据在加解密过程中需要占用大量系统资源导致加解密速度缓慢且容易被破解;而硬件加解密一般采用专用加解密芯片代替软件,通过与主机进行数据交互,由硬件加解密模块完成数据加解密工作。硬件加解密数据的方式具备速度快、占用系统资源少、数据加解密安全可靠等优势。综合考虑,文中以基于AES算法和FPGA的硬件加解密模块为例,阐述如何实现对存储阵列中的数据进行安全保护[2]。2基于国产平台的安全存储系统总体
架构文中以国产存储阵列为基础,加入基于FPGA硬件加解密的安全存储模块和存储软件,从而实现对国产存储阵列中数据进行安全保护。基于国产平台的安全存储系统用户读写IO流程图如图2所示(黑双向箭头表示IO流向),FPGA硬件加解密模块与软件加解密模块(图2中虚框部分)位于同一位置层级,通过所设计的硬件加解密模块取代软件加解密模块完成对存储阵列中数据的加解密操作。
图2数据加解密用户读写IO流程简图基于国产平台的安全存储系统,采用集成硬件加解密模块的方式实现。其架构如下图所示。安全存储系统由基于国产平台的存储阵列和数据加解密模块组成。国产存储阵列为基于国产CPU平台设计的统一存储平台,技术趋于成熟,文中不再赘述;数据加解密模块以国产存储阵列为载体,通过PCIE总线与存储阵列的控制器进行通信,用于实现
加解密模块中FPGA芯片与存储阵列控制器之间的数据、密钥传输。--54图3数据加解密系统架构框图3基于国产存储阵列的数据加解密功能
基于国产存储阵列的数据加密过程数据流向如图4所示,数据解密过程反向行之。需要安全加密的数据,首先由通过鉴权的用户发送给安全存储阵列的IO模块,IO模块调用IO模块驱动接口,把明文数据和密钥分量通过驱动层发送给安全加解密模块,安全加解密模块调用相关算法和生成的密钥完成数据加密工作,加密后的数据按照原路径重新返回到IO模块,应用软件层按照正常的数据上传、下发的形式处理数据到磁盘中[3]。
图4数据加解密流程图驱动层接收到IO模块发送来的数据和控制选项(加/解密命令、算法),根据加解密模块规定的数据协议格式填充数据帧,超过协议长度的包进行分包处理,通过DMA引擎搬运到加解密模块的缓存中,经加解密后的数据包根据协议重新组包,发送给相应的IO模块。加解密模块通过加解密算法从缓存中导入连续的数据帧,按照数据包头部的明/密文性质和算法模块,以及数据长度等控制选项,将数据帧中的数据拆分出来,索引到密钥和加解密算法进行硬件加解密。明文经过算法模块前需要进行对齐校验和长度补充,经加解密算法模块处理后的数据保存在数据加解密模块的内存中,再通过协议栈将数据封装成
帧,使用DMA引擎向存储阵列主控制器内存传输,传输途径支持中断模式。驱动程序接收到加解密模块传回的数据帧,进行解析分解,将数据流通过应用接口进行输出[4]。数据加解密模块作为安全存储系统的核心部分,内部框架图如图5所示。
图5基于FPGA的数据加解密模块框图图5中基于FPGA的数据加解密模块主要分为交互模块、加解密模块和存储单元3部分。其通过PCIE总线与存储阵列进行数据传输;交互模块通过
内部DMA控制器控制PCIE总线与加解密模块进行DMA数据传输。数据加密时,存储阵列将要加密的
数据和使用的密钥传输给FPGA芯片,通过交互模块,将待处理的数据和密钥传输给加解密模块,经加解密模块加密处理的数据会实时存储在存储单元里;加密完成后,存储单元里的加密数据通过PCIE总线重新传回给存储阵列,最终完成数据加密的全部过程[5-6]。解密时,存储阵列将要解密的数据和密钥传输给加解密模块中的FPGA芯片,通过交互模块将数据和密钥传输给加解密模块进行数据解密,数据解密完成后重新传回给存储阵列,完成数据解密的全部过程。
4数据加解密模块硬件框架
本次所设计的基于FPGA的数据加解密模块硬件电路主要由FPGA单元、存储单元、随机数产生单元以及其它外围接口模块组成。其中FPGA单元包括PCIE链路传输逻辑、DMA控制逻辑、内存控制逻辑及其算法硬件优化和实现单元[7]。外围接口主要包含PCIE接口、USB接口、以及IIC接口。其整体电路框图如图6所示。