個(gè)人電腦 USB 管控器的單芯片解決方案
隨著經(jīng)濟(jì)的發(fā)展,數(shù)字化的辦公方式已經(jīng)逐步取代了傳統(tǒng)的紙質(zhì)方式。PC以其強(qiáng)大的數(shù)字處理能力、豐富的接口,在辦公室里起著不可取代作用。我們?cè)谙硎苤鳳C給我?guī)?lái)的便利和高效的同時(shí),也會(huì)被一些數(shù)據(jù)安全問(wèn)題所困擾,比如外來(lái)的病毒對(duì)辦公用機(jī)攻擊、重要的數(shù)據(jù)和資料外泄等等。面對(duì)這些安全隱患,將PC的接口都封閉起來(lái)固然可以大大提高安全性,然而使同一個(gè)辦公環(huán)境中PC變成一個(gè)個(gè)信息孤島,顯然不是我們所愿意看到的。對(duì)于來(lái)自網(wǎng)絡(luò)的安全問(wèn)題,可以采用內(nèi)外網(wǎng)分離、可信網(wǎng)關(guān)接入的方式來(lái)解決。那么對(duì)于USB接口的安全問(wèn)題我們又有什么方式解決呢?
本文引用地址:http://www.ex-cimer.com/article/202404.htm如何實(shí)現(xiàn)對(duì)USB接口的安全管理?
首先讓我們先了解下PC機(jī)的USB端口是如何工作的。USB接口的HPY(物理層)和Controller(控制器)都集成在主板的南橋芯片上,當(dāng)有一個(gè)USB設(shè)備接入U(xiǎn)SB接口時(shí),操作系統(tǒng)會(huì)調(diào)用相應(yīng)的USB Host驅(qū)動(dòng)對(duì)設(shè)備發(fā)起枚舉。操作系統(tǒng)通過(guò)分析設(shè)備在枚舉過(guò)程中上傳的描述符信息,來(lái)確定是何種設(shè)備類(lèi)規(guī)范的設(shè)備接入到USB接口中。與此同時(shí),在操作系統(tǒng)加載相應(yīng)的驅(qū)動(dòng),如果沒(méi)有相應(yīng)的驅(qū)動(dòng),則會(huì)要求安裝該設(shè)備的驅(qū)動(dòng)。待枚舉過(guò)程結(jié)束后,操作系統(tǒng)使用剛剛加載的驅(qū)動(dòng)與接入U(xiǎn)SB接口的設(shè)備進(jìn)行通訊。通過(guò)對(duì)USB通訊方式的分析就不難發(fā)現(xiàn),操作系統(tǒng)實(shí)現(xiàn)對(duì)不同的設(shè)備進(jìn)行訪問(wèn),是通過(guò)在枚舉過(guò)程中加載不同的設(shè)備類(lèi)驅(qū)動(dòng)而實(shí)現(xiàn)的。
那么能不能通過(guò)軟件對(duì)設(shè)備類(lèi)規(guī)范的驅(qū)動(dòng)進(jìn)行管理,從而實(shí)現(xiàn)對(duì)USB的管理呢?答案是否定的,通過(guò)軟件的方式只能實(shí)現(xiàn)一些低級(jí)別的管理,我們還是可以通過(guò)很多方式避開(kāi)軟件的監(jiān)管。如對(duì)軟件進(jìn)行攻擊使其癱瘓,或者使用WinPE直接繞開(kāi)本地的操作系統(tǒng)等等。顯然,通過(guò)軟件不能很好的實(shí)現(xiàn)對(duì)USB的管理,于是我們開(kāi)始把視線轉(zhuǎn)移到硬件上。由于PC機(jī)的USB接口都與南橋芯片相接,USB信號(hào)引入南橋后就可以被操作系統(tǒng)所獲得。在南橋芯片上添加管理功能顯然是一項(xiàng)艱巨的工作,那么在USB信號(hào)進(jìn)入南橋之前就將其管理起來(lái),是否可行呢?
將USB信號(hào)在進(jìn)入南橋直接就將其管理起來(lái),實(shí)現(xiàn)對(duì)USB的管理,這也許是最可行的辦法了。應(yīng)該如何管理,又需要解決那些問(wèn)題呢?首先是速度,如何在信號(hào)速度不受影響的情況下加以過(guò)濾和篩選。其次,可以完成對(duì)USB設(shè)備類(lèi)的篩選,只將允許的設(shè)備類(lèi)枚舉給PC機(jī)。最后,穩(wěn)定性要高,對(duì)主板盡可能減少修改??偨Y(jié)以上的需求不難發(fā)現(xiàn),我們需要的是一顆能夠高速實(shí)現(xiàn)USB流通訊的橋接芯片,同時(shí)還需要芯片可以支持不同的USB協(xié)議棧,實(shí)現(xiàn)對(duì)USB設(shè)備類(lèi)篩選。
為解決這個(gè)問(wèn)題,同方推出了一款具有高數(shù)據(jù)流吞吐速度和高強(qiáng)度加密算法的SOC芯片TF32A09。
TF32A09芯片簡(jiǎn)介
TF32A09系列芯片是同方股份有限公司計(jì)算機(jī)系統(tǒng)本部自主研發(fā)的一款高速度、高性能32位信息安全SOC芯片。該芯片集成了高速的安全算法和通訊接口,摒棄了傳統(tǒng)的數(shù)據(jù)加解密處理方式,使數(shù)據(jù)流加解密速度大幅提升,適用于高速數(shù)據(jù)流加密。
TF32A09系列芯片支持國(guó)家密碼管理局指定的對(duì)稱(chēng)密碼算法、非對(duì)稱(chēng)密碼算法和雜湊算法,同時(shí)支持國(guó)際通用密碼算法。該芯片的處理能力強(qiáng)、安全性高、功耗低、接口豐富,具有極高的性能價(jià)格比。
新款高度整合的單芯片數(shù)據(jù)流加密解決方案,在單顆SoC上集成了32位高速CPU、易失和非易失存儲(chǔ)器、國(guó)密局指定的密碼算法(SM1、SM2、SM3、SMS4)、國(guó)際通用密碼算法和多種滿足高速數(shù)據(jù)流加密應(yīng)用的通訊接口,并擁有兩個(gè)USB-OTG接口,可根據(jù)應(yīng)用需求設(shè)置成Host、Device或OTG,滿足基于USB接口的高速數(shù)據(jù)流加解密應(yīng)用。SOC內(nèi)部采用流水線的架構(gòu),使得在同一個(gè)周期內(nèi)并行執(zhí)行3個(gè)模塊(USB_Host、USB_Device、算法),同時(shí)完成3個(gè)任務(wù),從而大大縮短了一包數(shù)據(jù)處理的平均時(shí)間。它改變了CPU傳統(tǒng)的管理方式,僅作為加密模塊和通訊接口的控制端,而不在數(shù)據(jù)搬運(yùn)的通路上,避免因CPU執(zhí)行冗長(zhǎng)的代碼占用過(guò)多的時(shí)間。
TF32A09對(duì)USB的管理的實(shí)現(xiàn)方法
TF32A09芯片上有兩個(gè)USB-OTG接口,可以實(shí)現(xiàn)USB數(shù)據(jù)流的橋接。由于其高速的設(shè)計(jì)機(jī)制使USB數(shù)據(jù)流速度可以達(dá)到25Mbps,對(duì)于絕大多數(shù)USB應(yīng)用來(lái)說(shuō)速度都可以滿足,同時(shí)通過(guò)加密模塊還可以將數(shù)據(jù)加密。芯片內(nèi)部集成了512K Flash和20K RAM可以輕松的實(shí)現(xiàn)USB協(xié)議棧的搭建。我們可以通過(guò)對(duì)協(xié)議棧的管理有選擇性的將某幾種設(shè)備放行給PC,如只放行HID設(shè)備(鼠標(biāo)、鍵盤(pán))而禁止Mass Storage設(shè)備(U盤(pán));或者放行CCID設(shè)備(讀卡器)而禁止其他設(shè)備等等。由于TF32A09是一顆高性能的SOC芯片,其單芯片就可以解決問(wèn)題,而無(wú)需大量的外圍電路,對(duì)系統(tǒng)的穩(wěn)定性也有所提高。
TF32A09系列芯片的問(wèn)世,將有效解決PC領(lǐng)域的USB安全管理問(wèn)題。相信TF32A09系列芯片在其他相關(guān)的安全領(lǐng)域一樣有用武之地。
評(píng)論