数据安全型连接器的制作方法

1.本发明涉及工业互联网、物联网、工业控制系统等行业的信息安全领域，尤其涉及一种可以在这几大行业信息安全领域广泛使用的数据安全型连接器的设计与实现方法。


背景技术：

2.当前，工业互联网的建设和发展倍受世界各主要经济体关注、物联网连接数与日俱增、工业控制系统正面临转型和升级，所有这些行业建设、发展和升级的过程中都会指向一个共性问题—数据要打破原有边界联网、上云。数据在联网、上云之后就会面临行业信息安全问题，如果不加以解决，工业互联网将缺乏联网的安全基础，物联网将无法继续更高层的应用研发推广，工业控制系统也会面临更多的网络安全威胁。正因为如此，在这几大领域相关的技术规范或者建议中都有安全相关的要求和方案建议。
3.在行业数据联网、上云方面，基于现有产品和技术的可行实现方法是先通过协议转换器把现场数据采集到本地联网设备，再由本地联网设备上传到工业互联网平台、物联网服务器或者云计算平台，数据安全由本地联网设备和上层服务器负责。这样的实现方案有以下三点不足：
4.其一，效率偏低。将多路现场数据汇集到本地联网设备然后再加密，数据量大而且复杂度增加，效率必然下降。
5.其二，安全性低。信息安全的目标就是要保护数据的机密性、真实性和完整性，协议转换后多路现场数据汇集再加密的方案仅能保障本地联网设备到上层服务器之间传输数据的安全性，无法保障每一路数据的机密性、真实性和完整性，安全性相对较低。
6.其三，部署较难。如果本地联网设备和上层服务器采用软件加解密的方式，将面临密钥安全存放的难题(不可靠的密钥存放将会大幅降低安全性)；如果采用硬件加解密方式，需要额外部署加密机等外部装备，且装备的容量需要随数据路数和吞吐量的增长而线性扩大。因此，这样的方案随着工业互联网等规模的扩大部署越发困难。
7.综上所述，信息安全对于工业互联网、物联网、工业控制系统都具有非常重要的作用，但现有的技术和产品还无法满足这几大行业建设和发展通部产生的信息安全需求。因此，提出一种新的数据安全型连接器来从源头上保障行业(工业)数据的信息安全—机密性、真实性和完整性，对于工业互联网建设、物联网发展、工业控制系统升级都具有非常重要的价值。


技术实现要素：

8.本发明的目的旨在提供一种数据安全型连接器及其软硬件实现方法，作为通讯连接组件，连接器可以非常容易地桥接起数据终端设备和数据电路终端设备，使数据正常地上下流动并对之进行加密或者解密、签名或者验证、计算校验摘要值等以保障数据的机密性、真实性和完整性。数据安全型连接器不改变原有数据终端设备和数据电路终端设备之间的连接关系，无缝连接且能高效地完成数据加解密计算。
9.为了满足以上功能和性能需求，本发明提供了一种数据安全型连接器，包括上联接口芯片(1)、下联接口芯片(2)、安全元件(3)、电源模块(4)以及状态指示模块(5)。其中，所述上联接口芯片(1)连接下联接口芯片(2)、安全元件(3)、电源模块(4)以及状态指示模块(5)；所述电源模块(4)为数据安全型连接器提供电源及功耗控制。
10.优选地，所述上联接口芯片(1)用于控制下联接口芯片(2)的开启与关闭、通过操作电源模块(4)来开关安全元件(3)、设置状态指示模块(5)。
11.优选地，所述上联接口芯片(1)接收来自数据终端设备的数据，之后将数据发送给安全元件(3)完成安全加密计算，最后将结果通过下联接口芯片(2)下发给数据电路终端设备；反向地，所述上联接口芯片(1)通过下联接口芯片(2)接收来自数据电路终端设备的数据，之后将数据发送给安全元件(3)完成安全加密计算，最后将结果上传给数据终端设备。
12.优选地，所述安全加密计算包括对称密码学算法的加密和解密计算、非对称密码学算法的加密和解密计算、非对称密码学算法的签名和验证计算、摘要算法的散列值计算以及数据流加解密计算。
13.优选地，所述上联接口芯片(1)通过设置状态指示模块(5)来指示数据安全型连接器的工作状态。
14.优选地，当所述上联接口芯片(1)关闭安全元件(3)即设置安全加密计算旁路时，数据在数据安全型连接器中透明传输；当上联接口芯片(1)开启安全元件(3)即使能安全加密计算时，流经数据安全型连接器的数据按照设定作安全加密计算。
15.优选地，所述上联接口芯片(1)具有指令输入功能，能够通过指令选择安全加密计算的算法功能和设置加解密方向。
16.优选地，所述数据安全型连接器支持在功能上成对使用，直接安装在通讯链路上，在信源端采用加密功能、在信宿端采用解密功能实现点对点数据加密传输；在信源端对消息签名、在信宿端验证签名信息确保消息的真实性。
17.优选地，所述上联接口芯片(1)包括上联接口，所述上联接口是串行通讯接口、并行通讯接口、通用串行总线usb通讯接口、外设部件互连标准pci通讯接口、高速串行计算机扩展总线标准pci
‑
e通讯接口、串行高级技术附件sata通讯接口以及以太网通讯接口中的一者。
18.优选地，所述下联接口芯片(1)包括下联接口，所述下联接口是串行通讯接口、并行通讯接口、通用串行总线usb通讯接口、串行外设接口spi、芯片间i2c通讯接口、控制区域网络can通讯接口、局域互联网lin通讯接口、现场总线通讯接口、低压差分信号lvds通讯接口、蓝牙通讯接口、紫蜂zigbee通讯接口、超宽带uwb通讯接口、行动热点wifi通讯接口、短程无线通讯接口以及近场通讯接口中的一者。
19.所述上联接口芯片(1)和所述安全元件(3)需要加载各自的固件，数据终端设备的操作系统将安全元件(3)枚举成独立的实例，供上层应用软件直接调用。同时，数据终端设备的操作系统也将各个下联接口枚举成独立的实例，上层应用软件可以按照数据终端设备与数据电路终端设备直接相连时的操作方式读写数据。
20.所述数据安全型连接器支持多线程、多进程访问，每个线程或者进程访问一个独立的安全元件(3)或者下联接口实例。
21.优选地，所述数据安全型连接器可以安装多个安全元件(3)，每个安全元件(3)可
以分配不同的密钥也可以安装相同的密钥。
附图说明
22.为了更加清晰地阐述本发明及其实施例，下面将对说明书附图做介绍，对于本领域普通技术人员，在不付出创造性劳动的前提下，亦可根据这些附图获得其他实施。
23.图1为本发明实施例提供的一种通用数据安全型连接器的结构图；
24.图2为本发明实施例提供的一种采用通用串行总线usb作为上联接口的数据安全型连接器的结构图；
25.图3为本发明实施例提供的一种采用以太网接口作为上联接口的数据安全型连接器的结构图；
26.图4为本发明实施例提供的一种采用串行高级技术附件sata作为上联接口的数据安全型连接器的结构图；
27.图5为本发明实施例提供的一种采用串行通讯接口作为下联接口的数据安全型连接器的结构图；
28.图6为本发明实施例提供的一种采用控制区域网络can总线接口作为下联接口的数据安全型连接器的结构图；
29.图7为本发明实施例提供的一种采用蓝牙接口作为下联接口的数据安全型连接器的结构图；
30.图8为本发明实施例提供的数据安全型连接器软件工作流程图；
31.图9为本发明实施例提供的多线程并发访问时的线程与下联接口和安全元件实例映射关系图；
32.图10为本发明实施例提供的软件调用环节单个数据通道的工作流程图。
具体实施方式
33.参看图1至图7，本发明所提供的数据安全型连接器主要由上联接口芯片(1)、下联接口芯片(2)、安全元件(3)、电源模块(4)、状态指示模块(5)及其附属电子元器件和电路组成，整个连接器以印刷电路板作为载体，将上联接口芯片(1)、下联接口芯片(2)、安全元件(3)、电源模块(4)、状态指示模块(5)及其配套元器件和电路等连接成一个整体。
34.其中，上联接口芯片(1)可以包括上联接口，上联接口可以是串行通讯接口、并行通讯接口、通用串行总线usb接口、外设部件互连标准pci通讯接口、高速串行计算机扩展总线标准pci
‑
e通讯接口、串行高级技术附件sata接口、以太网等通讯接口。
35.如图1所示，上联接口芯片(1)通过作为其附属电子元器件的物理接口与数据终端设备连接，实现连接器与数据终端设备之间的高速通讯。更具体地，如图2所示，上联接口芯片(1)可以是上联接口为通用串行总线usb的通用串行总线设备控制器；如图3所示，上联接口芯片(1)可以是上联接口为以太网的以太网收发器芯片；如图4所示，上联接口芯片(1)可以是上联接口为串行高级技术附件sata的串行高级技术附件控制器芯片
36.上联接口芯片(1)通过芯片间通讯接口连接下联接口芯片(2)，下联接口芯片(2)再通过下联接口对外连接数据电路终端设备。更具体地，如图5
‑
图7所示的实施例中，下联接口可以分别是串行通讯接口、控制区域网络can总线接口、蓝牙通讯接口。
37.如图1所示，上联接口芯片(1)可以通过智能卡、通用串行总线、串并行、串行外设spi、芯片间i2c等通讯接口连接安全元件(3)。优选地，在图2
‑
图7所示的实施例中，上联接口芯片(1)与安全元件(3)之间的通讯接口可以根据实际情况选择上述接口中的一种或多种。
38.如图1所示，上联接口芯片(1)通过芯片的输入输出接口连接和控制电源模块(4)和状态指示模块(5)。
39.本发明所提供的一种数据安全型连接器的实现方法，不仅包括上述的硬件实现方法，而且包括软件实现方法，所述的上联接口芯片(1)、和安全元件(3)都需要加载各自的固件，数据终端设备的操作系统将安全元件(3)枚举成独立的实例，供上层应用软件直接调用。同时，数据终端设备的操作系统也将各个下联接口枚举成独立的实例，形成单独的通道，上层应用软件可以按照数据终端设备与数据电路终端设备直接相连时的操作方式读写数据。
40.如图8所示，数据安全型连接器在上电复位后的枚举过程包括usb复合设备枚举(上联接口芯片(1)固件)、usb设备驱动加载(上联接口芯片(1)固件)，之后进入应用软件调用环节(上位机软件、安全元件(3)实例、下联接口通道)。实施例中将上联接口芯片(1)固件实现为usb通讯设备类，在枚举完成加载驱动之后通过数据终端设备操作系统可见到多路串行通讯接口，其数量为下联接口芯片(2)和安全元件(3)数量之和。
41.如图10所示，在上位机应用软件调用环节，每个通道都在等待上、下联接口接收数据，接收到数据之后根据安全加密使能与否决定是否将数据发送给安全元件(3)进行处理，如果使能，将完成安全加密计算的结果通过下联、上联接口发送出去；反之则将接收到的数据直接通过下联、上联接口透明发送出去。
42.如图9所示，数据终端设备上位机软件可以多线程并发访问数据安全型连接器，每个线程对应一路下联接口或者一个安全元件(3)物理实体，安全高效。
43.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。