[发明专利]一种用于网络安全系统防护的安全芯片及使用该芯片的网络安全系统

说明书

一种用于网络安全系统防护的安全芯片，包括：数据安全部分，提供安全的加解密算法以及交互协议，主要包括加解密算法控制引擎、授权计数器、真随机数生成器、唯一序列号以及安全EEPROM；网络安全部分，包括网络白名单过滤模块和网络数据处理模块，加解密算法控制引擎包含：私钥安全存储，以支持私钥ECDH操作和ECDSA签名认证；主流的国密以及商用密码加解密算法，对数据流进行高速加密与还原，以适应不同场景安全需要；芯片安全管理供能，对芯片上可读写ROM进行管理，允许专用设备写入，允许远程擦除但不允许读取。本发明还提供了一种使用该安全芯片的网络安全系统。本发明可从硬件层面保护敏感数据通信安全，在增加系统安全性的同时，还能极大地提高效率。

技术领域

本发明属于网络安全技术领域，涉及网络安全芯片的硬件架构实现和在网络系统中的实现，具体涉及一种用于网络安全系统防护的安全芯片及使用该芯片的网络安全系统。

背景技术

网络信息技术的发展正在孕育新的工业和技术革命，但也带来巨大的安全风险。黑客对智能汽车、智能家居设备的入侵事件也屡屡发生，Mirai僵尸网络及变种在全球范围已控制上千万的智能摄像头和智能路由器。网络安全已经成为国家关注的重点问题。

目前，内外网物理隔离是最常采用的网络安全防卫模式。但这种模式无法根据安全等级进行保护。由于移动办公已经成为日常工作模式，政府、医疗、金融等并非最高安全等级的部门与行业，必须要在外部访问单位的业务内网处理日常业务，需求量巨大。鉴于内网高安全性要求，常用的安全网关、 VPN等网络安全技术无法保证内外网访问的安全。

要从根本上快速解决和缓解上述网络安全问题，必须要从网络信息技术的芯片底层设计做起，一方面保护数据资源免于非授权访问、篡改，另一方面，建立芯片级安全通信专用通道，实现数据和通道两个方面的芯片级策略化安全隔离。其主要优势在于增加系统安全性的同时，极大地提高数据处理效率，策略化的安全隔离，规避了以易用性为代价的简单物理隔离，达到一机双用的目的。具体的，使用纯软件的方法实现网络安全加解密、身份认证、网络入侵检测等算法存在较多缺陷，如执行各类算法的时间较长、资源消耗较大，且难以实现密钥等机密资源的安全存储。

传统的安全网络芯片防护如图1所示，加密模块在系统中。通过总线与系统连接，利用控制模块对加密模块进行指令控制，来实现网络安全的加密。工作时，主控模块发出指令，加密模块工作对网络传输数据进行加密，加密后的数据内容再通过PCIe数据线路与终端相接。这样以实现对网络传输的加密。然而，这样的工作模式下，可以利用一些网络安全攻击技术实现对网络的攻击，例如利用旁路电路对安全芯片进行隔离，钓鱼攻击得到加密模块信息，修改驱动流程等。

当前远程设备(IoT，远程办公终端等)需要通过广域网连接内网，或服务器，访问敏感信息。这些远程设备通常没有专人维护，因此系统常常无法或者不能及时更新，容易遭受未知漏洞的攻击，或者由于钓鱼攻击造成信息泄露。因此仅通过软件设计很难保障系统安全，也无法在安全事故发生的情况下有效控制损失。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种用于网络安全系统防护的安全芯片及使用该芯片的网络安全系统，针对网络安全问题，设计可用于网络安全防护的芯片架构以及网络架构，是一种集成一种或多种密码算法的集成电路芯片，可从硬件层面来解决上述问题，保护敏感数据通信安全，在增加系统安全性的同时，还能极大地提高效率。

为了实现上述目的，本发明采用的技术方案是：

一种用于网络安全系统防护的安全芯片，包括：

数据安全部分，提供安全的加解密算法以及交互协议，主要包括加解密算法控制引擎、授权计数器、真随机数生成器、唯一序列号以及安全 EEPROM；

网络安全部分，包括网络白名单过滤模块和网络数据处理模块。

所述加解密算法控制引擎包含：