高速数据流安全系统的实现

上传者：梁新杰
|
上传时间：2015-04-26
|
密次下载

高速数据流安全系统的实现

方案应用

高速数据流安全系统的实现

随着信息化的普及，数字化办公闪其高效、便捷、快速而越来越成为办公的首选。而人们在享受数宁化办公带来便捷的同时，也面ｆ临着新的问题。内部人员过失泄密、黑客恶意窃取以及丰富、加解密速度快、功耗低，具有极高的性价比，Ｈ『ｒ‘泛应用于金融、电子政务和电子商务等安全领域。而双ｕｓＢ

０ＴＧ２．０

特色结构。为设计高速数据流安全系统提供了坚实的基础。

公司内鬼有意盗取已经成为数字网络时代最主要的泄密途径。如何确保自身信息的安全，而／ｆｉ被他人窃取，已经成为数字网络时代政府、企业、研究院所ｒｒ部Ｉ．ｊ头等大事。为此．基于同方高速数据流加密芯片ｎ１３２Ａ（）９开发的安全数据平台，引入了可信域的概念。配合内网、外网和公网机制有效地解决ｒ以上问题。

安全之忧

普华永道对来自１３０个国家７２００多名来自各个行ｑｋ的管理人员进行信息安全调查，并发布ｒ《２０１０年全球信息安全状况调查》报告。调查结果显示：高达５２％的受访者认为Ｒ趋严峻的风险环境显著提升了信息安伞的地ｆ＿《）＝和重要性。

２０ｔ）９年，波尼蒙对来自１７个国家的４３家大型公司做了一次数据泄漏大ｉＩ封查，结果发现每个公司有４２０（）条到１１３（）（）（）条不等的信息丢失记录，其造成的损失超过ｌ亿５千万无人民币。

２００９年，央视３．１５晚会上对一系列网银安全事件的报道，引爆ｒ人们对信息安全的关注。据艾瑞咨询调研数据显示：有２７．５％的用户在３．１５晚会后决定减少使用网上银行和网上支付，有３．Ｏ％的用户决定不再使用。在网上银行和网上支付的潜在用户中，有５７．６％的潜红用户决定推迟初次使用时间．有２４．８％的潜在用户决定不再使用，仪有１７．６％的潜在用户表示对其使用不会有太大影响。

２０（）９年据ｌＤｃ调查结果显示，超过６０％的泄密来源于企业内部员丁的不当操作；超过２０％的泄密来源于黑客利用病毒或直接攻击，恶意窃取目标公司的敏感数据；超过１０％的泄密来源于企、眦自身员工出于某种考虑。故意将内部敏感数据外泄。而上述泄密方式占整个数据泄密事件的９０％以上，我们将从系统级安全进行考虑，提供全面的系统级信息安全解决方案。

自主创“芯”

ＴＦ３２Ａ０９系列高速流加密芯片足同方股份有限公司采用国产主控３２位ｃＰｕ自主设计的一款高速度、高性能信息安全ｓｏｃ芯片。该系列芯片集成ｒ高速的安全加密算法和通信接口，采用独有的数据流加解密处理机制，实现了对高速数据流同步加解密功能，在加解密速度上全面超越了国内同类型芯片，适用于高速数据流加密。ｒｒＦ３２Ａ０９系列芯片支持国家密码管理局指定的对称密码算法、非对称密码算法和杂凑算法，同时支持国际通用其他密码算法。该系列芯片集成度高、安全性强、接口

ｗ、Ⅳｗ．ｃｌｓｍａｇ．ｃｏｍ．ｃｎ

系统实现

该数据安全平台主要由３部分组成。存在于内网计算机内通用数据流转接卡桥连在计算机主板和ｕｓＢ接口之间，主要用ｆ处理海量存储设备与主板之间的通信，并屏蔽了非在系统初始化时，芯片内部的ＵｓＢｃｌ和ｕｓＢｃ２分别被配置成Ｄｅｖｉｃｅ和Ｈ删模式，用来分别与Ｐｃ主板和外部终端设备“满”，同时将肌ｖ冲端接收缓存设定为ＦＩＦ０—２地址，进行

Ｊ

２３

４

５６

……

Ｎ—２Ｎ—ＪＮ

ｆＴＦ０

１

接收加密发送

接收加密

ｎＦ【）－２接收

加密发送接收

发送丌ⅣＬ３接收

加密发送加密

发送ｎＦＵ－４

接收

加密

发送

接收

加密

发送

图１流水线状态

由于Ｄｅｖｉｃｅ和Ｈｏｓｔ的接收发送动作都由相应的中断处理，加密流转接卡作为整个安全系统的核心硬件，充分利用

部的数据流转接卡，网络管理员持有的可信域授权Ｋｅｙ，可用于外网的便携式单向数据流转接器。

海鼍存储之外的设备类。转发功能采用分析数据指令格式和智能转发的模式。为ｒ提高转接卡对高速数据流的处理能力，转接卡同件采用了ｉ级流水线机制米实现数据接收、加（解）密及发送的同时进行。

进行通信。ｓＲＡＭ划分出４块空间，用作数据转接ＦＩＦ０。当第一包数据到来时Ｄｅｖｉｃｅ端接收缓存被设定为兀Ｆ０－ｌ的地址．Ｐｃ端发送的第一包数据被保存在ＦＩＦＯ－ｌ的地址中。数据接收完毕后向Ｐｃ端发送ＡｃＫ信号，并设置当前ＦＩＦ（Ｌｌ的状态为

下～次接收操作。当ＣＰｕ检测到ＦＩＦｏ－１的状态为“满”时，会将ＦＩＦＯ－ｌ的地址传送给加（解）密模块，加（解）密对保存在其内的数据进行加（解）密操作。操作完成后将ＦＩＦ０＿１状态设为“完毕”，检测下一个状态为“满”的ＦｌＦ０，进行加（解）密操作。最后，当ｃＰＵ检测到ＦＩＦ０－１状态为“完毕”后，将兀Ｆ０ｊ地址设定为Ｈ０ｓｔ发送缓存地址，置发送标志．Ｈ０ｓｔ发送处理后的数据纠终端设备。整个数据ＦＩＦ０（ＦＩＦｏ－ｌ—ＦＩＦ０＿４）会依次经历接收一加密一发送３个模块的调用并依次循环。完成一个大数据的传送过程（见图１）。

而加（解）密模块则由协处理器实现，ｃＰｕ只需判断各模块状态，设定不同的ＦＩＦ０地址即町。阒此口ｒ以实现接收、加（解）密和发送同时进行．极大限度地优化了传输速度。

内容需要下载文档才能查看

３６

芯片内部资源．实现了高速、稳定和兼容性好等特点。在采用ＳＭｌ加密算法时．实测加（解）密速度达到２３Ｍｂｙｔｅ，ｓ，如图２所示，为容灾备份和可信域内数据的流通提供ｎ每效的平台。

圈２用ＡＴｌ－ｏ测试的速度实测

安伞域授权Ｋｅｙ，用于对可信域内的计算机进行配置，一个可信域内有且仅有一个与之匹配的授权Ｋｅｙ。安全域授权Ｋｅｙ通过ｕｓＢ接口和内网计算机进行通信，通过授权Ｋｅｙ配置的电脑在同一可信域内采用相同的加解密策略。数据可以在同一个可信域内的成员计算机中正常流通。而相对于外界，数据则是完全加密的。在必要时可以通过Ｋｅｙ配置删除可信域内某个成员计算机的权限，甚至关闭该成员计算机上所有ｕｓＢ接口使之无法与外界进行数据交互。安全域授权Ｋｅｖ与内网计算机通信中敏感数据全部采用数字信封技术，保证了系统的安全性。

便携式单向数据流转接器可以直接挂接于普通ｕ盘和外网计算机ＵｓＢ接口中间，用于从外网拷贝技术资料或重要Ｅ—ｍａｉｌ文件。经过授权Ｋｅｙ授权的便携流转接器，采用同可信域内板卡相同的加密策略，保证从外部拷贝的数据可以在域内的计算机上正常读写操作。而对于外网计算机，转接器采用了独特的设计保证外网计算机可以向存储介质里写数据，但是只可以读取存储介质中有限的逻辑块地址内的文件（文件系统所在逻辑块地址范围内）。单向数据流转接器利用ＵｓＢｃｌ和ｕｓＢｃ２分别与Ｐｃ端和其他终端设备通信，当从外网拷贝数据到存储介质时，依次经过Ｐｃ—ｕｓＢｃｌ—ｕｓＢｃ２一终端设备，这条链路始终保持畅通。并且在ＵＳＢＣｌ一ｕｓＢｃ２的过程中相应数据段已经做了加密处理，保证外网数据可以正常进入可信域内流通。而当外网需要从存储介质拷贝数据时，数据传输方向为终端设备

一ＵＳＢＣ２一ＵＳＢＣｌ—ＰＣ端。此时ＣＰＵ会判断读取的数据的

逻辑块地址是否在限定的范围内，如果是则做解密处理上传数据，如果不是则关闭ｕｓＢｃｌ—Ｐｃ端的数据链路。保证数据不会流向外网，从根本上解决了摆渡型病毒盗取内网数据的问题。

图３所示是一个完整的数据安全平台框架，该平台在实际应用中拥有如下优点：

①安全：该平台的安全主要体现在以下几个方面，首先，内网与外网物理隔绝，可以有效防止黑客入侵内网盗取敏感数据；其次，通过存储介质传播是内网与外网进行数据交互的唯一方式，这个交互过程被有效地限定为只能从外网流向内网，

方案应用

可以有效防止敏感数据流出内网；再次．所有经过加密流转接卡处理的数据郜由高强度的加密算法保护，即使存储介质丢失，也无需担心被非法破解。最后，通过不同的授权Ｋｅｙ叮以在内网建立相互独立的可信域，使不同职能部门的资料不会流通到无关人员手中。

②高速：依托ＴＦ３２Ａ０９高速流加密芯片提供的高速加解密模块，配合内部ＦＩＦ０控制器。有效提升数据传输速率，实现安全与高速的双赢。

③灵活：由于引进了域的概念。使得灵活的控制权限成为了该系统的又一亮点。一方面通过授权Ｋｅｙ配置可以方便给当

前可信域内添加和删除成员，控制可信域内成员流动。另一方面可以利用不同的Ｋｅｙ创建多个等级不同的可信域，方便内部资料的等级管理。

④兼容性好：经测试该系统可以兼容市面上绝大多数Ｕ盘、移动硬盘、ｃＤ，ＤｖＤ—Ｒｗ和ｓＤ卡读卡器等移动存储设备。

⑤低成本的解决方案：在原有硬件和网络的基础上，稍作改动即可实现高强度的安全解决方案。

图３基于ＴＦ３２Ａ∞高速漉加密芯片实现的数据安全平台