(12)实用新型专利
(10)授权公告号 CN 211630188 U(45)授权公告日 2020.10.02
(21)申请号 202020282201.6(22)申请日 2020.03.09
(73)专利权人 湖南天冠电子信息技术有限公司
地址 410000 湖南省长沙市长沙高新开发
区尖山路39号长沙中电软件园一期4栋天冠电子(72)发明人 李鹏 梁瑞头 朱大可 张有志
薛丙龙 易先鹏 彭高华 (74)专利代理机构 广州嘉权专利商标事务所有
限公司 44205
代理人 肖云(51)Int.Cl.
H04L 12/931(2013.01)H04L 29/06(2006.01)H04L 9/08(2006.01)
权利要求书1页 说明书4页 附图2页
(54)实用新型名称
安全加密交换机(57)摘要
本实用新型公开了一种安全加密交换机,包括:交换机本体、设置在交换机本体内的龙芯CPU、MAC芯片、加密FPGA、网口模块、DDR内存、存储器和用于供电的电源模块,龙芯CPU和MAC芯片相连以用于控制数据传输,MAC芯片通过加密FPGA连接网口模块以用于将报文数据进行加密,龙芯CPU与加密FPGA相连以用于发送随机密钥,DDR内存、存储器分别与龙芯CPU相连。在实际传输线路上,防止对数据报文进行侦听和破解,网线上传输的数据为经加密后的乱序数据,无法通过网络侦听,进行窃密,达到保护数据安全的目的,同时采用国产的龙芯CPU100,可有效防止CPU芯片后门的漏洞。
CN 211630188 UCN 211630188 U
权 利 要 求 书
1/1页
1.一种安全加密交换机,其特征在于,包括:交换机本体、设置在交换机本体内的龙芯CPU(100)、MAC芯片(200)、加密FPGA(300)、网口模块、DDR内存(400)、存储器(500)和用于供电的电源模块,所述龙芯CPU(100)和MAC芯片(200)相连以用于控制数据传输,所述MAC芯片(200)通过加密FPGA(300)连接网口模块以用于将报文数据进行加密后传输,所述龙芯CPU(100)与加密FPGA(300)相连以用于发送随机密钥,所述DDR内存(400)、存储器(500)分别与龙芯CPU相连。
2.根据权利要求1所述的安全加密交换机,其特征在于:所述加密FPGA(300)包括SGMII控制模块(310)、SM4-IP核(320)和SM4控制模块(330),所述SGMII控制模块(310)与MAC芯片(200)相连以用于将明文数据加密,所述SGMII控制模块(310)与网口模块相连以用于发送加密后的数据,所述SM4-IP核(320)通过SM4控制模块(330)与SGMII控制模块(310)相连以用于提供SM4对称算法,所述SM4控制模块(330)用于实现对SM4-IP核的控制。
3.根据权利要求1所述的安全加密交换机,其特征在于:所述网口模块包括PHY芯片(610)和以太网口(620),所述加密FPGA(300)通过PHY芯片(610)连接以太网口(620)。
4.根据权利要求1所述的安全加密交换机,其特征在于:还包括安装在交换机本体内的自毁装置和防盗检测单元,所述防盗检测单元与龙芯CPU相连以用于交换机被物理破坏或盗窃后发送反馈信息,所述龙芯CPU与自毁装置相连以用于交换机被物理破坏或盗窃后进行自毁防止数据泄漏。
5.根据权利要求4所述的安全加密交换机,其特征在于:所述防盗检测单元包括自毁按键(710)、开盖检测传感器(720)、电量检测模块(730)和位置检测传感器(740),所述自毁按键(710)安装在交换机本体的按键处,所述开盖检测传感器(720)安装在交换机本体的盖板处,所述电量检测模块(730)与电源模块相连,所述位置检测传感器(740)安装在交换机本体内,所述自毁按键(710)、开盖检测传感器(720)、电量检测模块(730)和位置检测传感器(740)分别与龙芯CPU(100)相连。
6.根据权利要求1所述的安全加密交换机,其特征在于:还包括参数配置端口(800),所述参数配置端口(800)通过Console-PHY芯片或串口芯片与龙芯CPU(100)相连。
7.根据权利要求1所述的安全加密交换机,其特征在于:所述龙芯CPU(100)的型号为龙芯2H。
8.根据权利要求1所述的安全加密交换机,其特征在于:所述MAC芯片(200)的型号为CTC5160。
9.根据权利要求1所述的安全加密交换机,其特征在于:所述加密FPGA(300)的型号为PGT220H。
2
CN 211630188 U
说 明 书安全加密交换机
1/4页
技术领域
[0001]本实用新型涉及交换机安全加密领域,具体的涉及一种安全加密交换机。背景技术
[0002]目前市场上存在的网络安全、网络隔离的方式有物理隔离、网闸、防火墙、多重安全网关、数据交换网等,但是这些方法都具有一定的局限性。[0003]物理隔离是将目标网络和互联网断开,直接限制了网络应用的范围,只适合小范围办公场景。与外部数据交互时,需要通过中转机设备,需要配置安全管理员,进行手动操作。网闸是将收发数据端分开,通过网闸设备相联。收发数据在物理链路上不能同时连通。适合定期的进行批量性的数据交换,在用户体验、时效性与多应用穿透性方面较差。防火墙是网络层的安全防护,可抵御一定的网络攻击,但只适合同安全级别的网络隔离。多重安全网关是从网络层到数据层的数据防护,适用于相同的网络数据交换,不适合涉密网络与非涉密网络数据之间的交换。
[0004]目前市场上缺少一种成本低,能在物理层进行数据防护、安全性好的加密交换机,并且现有的交换机大多采用进口的CPU芯片,但是进口的CPU芯片存在留有后门的可能性,在一些涉密的部门,例如党政机关、国防部门、科研院所、研究机构、金融行业、集团企业等关系国防安全、社会稳定的涉密办公环境、以及可影响经济体系运行的有敏感经济数据信息的重要办公环境中使用该进口芯片的交换机无法保证通讯数据的安全。
实用新型内容
[0005]本实用新型旨在至少解决现有技术中存在的技术问题之一。为此,本发明实用新型提出一种安全加密交换机,能够在物理层进行数据防护,对网络数据进行加密,安全性好,并且采用国产化CPU芯片,避免后门发生泄密的风险。[0006]根据本实用新型实施例的一种安全加密交换机,包括:交换机本体、设置在交换机本体内的龙芯CPU、MAC芯片、加密FPGA、网口模块、DDR 内存、存储器和用于供电的电源模块,所述龙芯CPU和MAC芯片相连以用于控制数据传输,所述MAC芯片通过加密FPGA连接网口模块以用于将报文数据进行加密,所述龙芯CPU与加密FPGA相连以用于发送随机密钥,所述DDR内存、存储器分别与龙芯CPU相连。
[0007]根据本实用新型实施例的安全加密交换机,至少具有如下技术效果:通过加密FPGA按照特定规则对正常的以太网帧数据进行破坏和重组,再通过MAC芯片进行传输。数据到对端后,遵循相同的规则进行恢复和还原。这样可以在实际传输线路上,防止对数据报文进行侦听和破解,网线上传输的数据为经加密后的乱序数据,无法通过网络侦听,进行窃密,达到保护数据安全的目的。
[0008]同时交换机内采用国产的龙芯CPU,可有效防止CPU芯片后门的漏洞,满足党政机关、国防部门、科研院所、研究机构、金融行业、集团企业等关系国防安全、社会稳定的涉密办公环境、以及可影响经济体系运行的有敏感经济数据信息的重要办公环境的应用需求。
3
CN 211630188 U[0009]
说 明 书
2/4页
根据本实用新型的一些实施例,所述加密FPGA包括SGMII控制模块、 SM4-IP核和
SM4控制模块,所述SGMII控制模块与MAC芯片相连以用于 MAC芯片的控制读写时序控制,所述所述SGMII控制模块与网口模块相连以用于发送加密后的数据,所述SM4-IP核通过SM4控制模块与SGMII控制模块相连以用于提供SM4对称算法,所述SM4控制模块用于实现对 SM4-IP核的控制。
[0010]根据本实用新型的一些实施例,所述网口模块包括PHY芯片和以太网口,所述加密FPGA通过PHY芯片连接以太网口。
[0011]根据本实用新型的一些实施例,还包括安装在交换机本体内的自毁装置和防盗检测单元,所述防盗检测单元与龙芯CPU相连以用于交换机被物理破坏或盗窃后发送反馈信息,所述龙芯CPU与自毁装置相连以用于交换机被物理破坏或盗窃后进行自毁防止数据泄漏。
[0012]根据本实用新型的一些实施例,所述防盗检测单元包括自毁按键、开盖检测传感器、电量检测模块和位置检测传感器,所述自毁按键安装在交换机本体的按键处,所述开盖检测传感器安装在交换机本体的盖板处,所述电量检测模块与电源模块相连,所述位置检测传感器安装在交换机本体内,所述自毁按键、开盖检测传感器、电量检测模块和位置检测传感器分别与龙芯CPU相连。
[0013]根据本实用新型的一些实施例,还包括参数配置端口,所述参数配置端口通过Console-PHY芯片或串口芯片与龙芯CPU相连。[0014]根据本实用新型的一些实施例,所述龙芯CPU的型号为龙芯2H。[0015]根据本实用新型的一些实施例,所述MAC芯片的型号为CTC5160。[0016]根据本实用新型的一些实施例,所述加密FPGA的型号为PGT220H。[0017]本实用新型的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本实用新型的实践了解到。附图说明
[0018]本实用新型的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
[0019]图1为本实用新型实施例中安全加密交换机的原理框图;[0020]图2为本实用新型实施例中加密FPGA的内部模块图;
[0021]图3为本实用新型实施例中加密交换机加密数据流转框图;[0022]图4为本实用新型实施例中随机密钥交互流程图。
具体实施方式
[0023]下面详细描述本实用新型的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本实用新型,而不能理解为对本实用新型的限制。
[0024]本实用新型的描述中,除非另有明确的限定,设置、安装、连接等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本实用新型
4
CN 211630188 U
说 明 书
3/4页
中的具体含义。[0025]参考图1,一种安全加密交换机,包括:交换机本体、设置在交换机本体内的龙芯CPU100、MAC芯片200、加密FPGA300、网口模块、DDR内存400、存储器500和用于供电的电源模块,龙芯CPU100和MAC芯片200 相连以用于控制数据传输,MAC芯片200通过加密FPGA300连接网口模块,加密FPGA300先将传输的保温数据进行加密,再进行乱序等处理,转换为专用的网络通信协议数据后从网口模块输出,龙芯CPU100与加密 FPGA300相连以用于发送随机密钥,FPGA300通过随机密钥来实现对报文的乱序和加密,DDR内存400、存储器500分别与龙芯CPU相连,为了避免进口芯片后门漏洞导致泄密的可能性,本实施例中主CPU采用型号为龙芯2H的龙芯CPU100,为了提高国产芯片的集成度,有效防止芯片后门,本实施例中MAC芯片200采用国产的盛科CTC5160,加密FPGA300的采用紫光的PGT220H,整个交换机的主要核心部件都采用国产化芯片,进一步降低了泄密的风险。[0026]网口模块包括PHY芯片610和以太网口620,加密FPGA300通过PHY 芯片610连接以太网口620,本实施例中配置有两个12X的PHY芯片610 连接24口的1000BASE-T网口。[0027]参考图2,加密FPGA300的加密功能通过内置的SGMII控制模块310、 SM4-IP核320和SM4控制模块330来实现,SGMII控制模块310与MAC 芯片200相连以用于将明文数据加密,SGMII控制模块310与网口模块相连以用于发送加密后的数据,SM4-IP核320通过SM4控制模块330与 SGMII控制模块310相连以用于提供SM4对称算法,即SM4对称等长密码算法,SM4控制模块330用于实现对SM4-IP核的控制。[0028]网络报文数据的加密过程为:MAC芯片200接收发送明文数据,并启动加密操作,SGMII控制模块310调用SM4-IP320核将明文数据加密运算,加密后的密文数据传输到SGMII控制模块310,由SGMII控制模块310 传输到PHY芯片610,数据加密过程与解密过程相反。[0029]参考图3,电脑用户A和B之间的网络数据传输过程,其中电脑用户 A和B都需要配置专门的加解密网卡,专用加解密网卡中也配置有加密 FPGA,与本实施例中的加密FPGA作用相同,对数据进行加解密:
[0030]1)用户A发送的标准以太网数据包,通过专用加解密网卡进行处理,转换为专用协议数据包后传输到网络上;
[0031]2)加密交换机接收到专用协议数据包,经过加密FPGA300处理,转换为标准以太网数据包进入MAC芯片200;
[0032]3)MAC芯片200将用户A网络端口的数据路由到用户B对应的端口上;[0033]4)用户B端口的标准以太网数据包,经加密FPGA300处理,转换为专用协议数据包后再传输到网络上;
[0034]5)用户B的专用加解密网卡收到专用协议数据包后,进行处理,转换为标准以太网数据包,得到用户A发送的真实数据。[0035]加密FPGA内置专用网络通信协议,专用网络通信协议按照特定规则对正常的以太网帧数据进行破坏和重组,再进行传输。数据到对端后,遵循相同的规则进行恢复和还原。这样可以在实际传输线路上,防止对数据报文进行侦听和破解,达到保护数据安全的目的。[0036]普通终端设备,或非授权设备,接入交换平台后,在链路层断开连接,无法进行任何数据交换,无法进行数据解析。[0037]参考图4,随机密钥的分发过程为
5
CN 211630188 U[0038]
说 明 书
4/4页
龙芯CPU100中配置了一个可靠的随机密钥生成模块。生成的密钥发送给加密
FPGA300,用于数据加密。当用户连接专用安全通信网络时,首先进行安全认证,认证通过后,随机密钥生成模块计算出密钥,用于专用通信协议的加解密,并将密钥分送至上一密钥用户。当授权用户升级了本地的专用加解密网卡后,双方可正常通信。[0039]在密钥试用方面,当用户关机或断网后,密钥自动失效。用户在使用、申请密钥过程中,无法直接看到到密钥数据。加密交换机可以根据安全策略定期更新密钥。[0040]为了进一步提高对数据保护的安全性,交换机本体内还设置有自毁装置和防盗检测单元,防盗检测单元与龙芯CPU相连以用于交换机被物理破坏或盗窃后发送反馈信息,龙芯CPU与自毁装置相连以用于交换机被物理破坏或盗窃后进行自毁防止数据泄漏,自毁装置可以采用常规的电击器、物理撞针自毁装置、爆破药柱自毁装置等等。[0041]防盗检测单元包括自毁按键710、开盖检测传感器720、电量检测模块730和位置检测传感器740,自毁按键710、开盖检测传感器720、电量检测模块730和位置检测传感器740分别与龙芯CPU100相连。
[0042]自毁按键710安装在交换机本体的按键处,其作用是当发现危险时可主动触发按键发送反馈信号给龙芯CPU100;开盖检测传感器720安装在交换机本体的盖板处,其作用是交换机本体的外壳遭到暴力破坏时发送反馈信号给龙芯CPU100;电量检测模块730与电源模块相连,其作用是当锂电池电量低时反馈信号给龙芯CPU100;位置检测传感器740安装在交换机本体内,其作用是当交换机本体被窃取移动至其他地方时反馈信号给龙芯CPU100。[0043]还包括参数配置端口800,本实施例中参数配置端口800包括一个 MGMT口和一个Console口,Console口通过Console-PHY芯片与龙芯 CPU100相连,MGMT口通过串口芯片与龙芯CPU相连。
[0044]为了增强散热,交换机本体内还设置有风扇900,风扇900受到龙芯 CPU100的控制。
[0045]综上所述,本实用新型实施例通过加密FPGA300按照特定规则对正常的以太网帧数据进行破坏和重组,再通过MAC芯片200进行传输。数据到对端后,遵循相同的规则进行恢复和还原。这样可以在实际传输线路上,防止对数据报文进行侦听和破解,网线上传输的数据为经加密后的乱序数据,无法通过网络侦听,进行窃密,达到保护数据安全的目的。网络数据交换均通过国产FPGA芯片进行加密,加密算法与加密密钥可动态更新,在保证网络通信实时性的同时,可直接摒弃网络层应用层的网络攻击。[0046]同时交换机内采用国产的龙芯CPU100,可有效防止CPU芯片后门的漏洞,满足党政机关、国防部门、科研院所、研究机构、金融行业、集团企业等关系国防安全、社会稳定的涉密办公环境、以及可影响经济体系运行的有敏感经济数据信息的重要办公环境的应用需求。
[0047]上面结合附图对本发明实施例作了详细说明,但是本发明不限于上述实施例,在所述技术领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。
6
CN 211630188 U
说 明 书 附 图
1/2页
图1
图2
7
CN 211630188 U
说 明 书 附 图
2/2页
图3
图4
8
因篇幅问题不能全部显示,请点此查看更多更全内容