[发明专利]一种基于安全芯片的终端设备安全加密装置

权利要求书

1.一种基于安全芯片的终端设备安全加密装置，其特征在于，安全芯片加密装置包括主控制器、加密芯片、通信单元和信号指示单元；所述主控制器通过通信单元分别连接终端设备和主站，实现与终端设备和主站之间的数据传输；所述加密芯片内嵌在安全芯片加密装置内，加密芯片上集成加密算法和通讯模块，所述加密算法分别对终端设备和主站输入的数据进行加密和解密，所述通讯模块用于数据的传输；所述信号指示单元与主控制器之间信号连接，对终端设备和主站之间双向认证的结果进行提示；

安全芯片加密装置中的时间戳校验方法是通过比较时间差值Δt和延时阈值T_threshold获得；具体过程为：

Δt＝|T₁-T_c|

其中，Δt是安全芯片加密装置收到主站发的命令的时间T₁与报文中时间戳T_c之间的差值，延时阈值T_threshold的值基于安全芯片加密装置与主站之间的时间偏差T_b，安全芯片加密装置与主站再通信中，通信的传输时间为T_t，通信网络数据传输的延时为T_d，主站加密报文的时间为T_e，安全芯片加密装置解密报文的时间为T_j，因此，T_threshold计算如下

T_threshold＝T_b+T_t+T_d+T_e+T_j

如果Δt≤T_threshold，那么安全芯片加密装置收到的报文是正常主站发来的报文，安全芯片加密装置将报文解密后发送给终端，如果Δt＞T_threshold，那么报文超时过期，此次的报文为重放报文的可能性很大，此报文是有风险的，那么安全芯片加密装置丢了此报文，然后将该数据保存，供以后分析风险使用；

通过PC端的配置管理使安全芯片加密装置按照固定的通信协议打包报文并发送至主站，安全芯片加密装置的配置管理主要包括通信IP配置、通信端口输入输出流配置、证书管理配置和隧道配置功能；所述通信IP配置主要配置的是终端设备到服务端的通信IP和端口号，以建立正常的通信；通信端口的输入输出流配置主要是对两个以太网接口、两路RS232和两路RS485接口进行数据的流入和流出配置，约束好数据的输入端口和数据的输出端口；证书管理配置是用来更新装置的证书文档，以用来和主站进行验证时需要；隧道配置管理主要是完成对隧道的约束，包括对隧道数据的加密、解密或者明文通信约束。

2.根据权利要求1所述的一种基于安全芯片的终端设备安全加密装置，其特征在于，所述通信单元包括主控制器的有线连接接口和无线传连接接口，有线连接接口包括RS232通信接口、RS485通信接口和以太网接口；RS232接口和RS485接口共用接线端子，以太网接口包括以太网主设备接口和以太网从设备接口；无线传连接接口采用4G通信模组。

3.根据权利要求2所述的一种基于安全芯片的终端设备安全加密装置，其特征在于，终端设备和主站之间的数据传输方法为：主站通过预装的私钥对报文进行签名得到数字签名，再使用密钥对数字签名进行加密，再将加密后的数字签名加载在报文和时间戳中，通过通信单元发送给安全芯片加密装置；安全芯片加密装置使用密钥对收到的报文进行解密，先使用公钥验证签名，判断报文的合法性，如果不合法，就丢弃报文；然后安全芯片加密装置将解密后的明文发送给终端设备；数据从终端设备发出，经过安全芯片加密装置中的加密芯片对数据进行加密处理，加密后的数据经由数据网送给主站，主站通过其内置的软件对所接收的数据进行解密。