技術(shù)領(lǐng)域

本發(fā)明涉及信息安全設(shè)備開發(fā)領(lǐng)域，尤其是一種交通誘導信息安全管理的設(shè)備。

背景技術(shù)

在我國現(xiàn)有的交通誘導信息系統(tǒng)中，誘導信息由交管局信息中心生成后通過開放網(wǎng)絡(luò)（無線和有線）以明文形式傳輸?shù)礁鱾€交通信息顯示節(jié)點。各個節(jié)點配備一臺工控機和一塊交通信息屏，工控機負責接收信息中心傳來的數(shù)據(jù)，從中解析出命令對交通信息屏進行管理、配置，并記錄其中較為敏感的數(shù)據(jù)將其作為日志記錄返回信息中心作備份，以供日后查詢。因為部署施工以及成本的考慮，信息中心與工控機之間通常采用開放的網(wǎng)絡(luò)，如Internet接入方式或CDMA接入方式；工控機之間通常采用串口線、CAN總線、網(wǎng)線等多種連接方式。

各節(jié)點沒有對信息來源進行有效的認證識別措施，節(jié)點顯示屏將顯示所有由工控機傳來的顯示數(shù)據(jù)，這導致信息屏顯示信息與信息中心發(fā)布信息不一致，且顯示過的信息無實質(zhì)的追蹤回溯機制，這將對日益嚴重的交通問題和社會穩(wěn)定造成隱患。

發(fā)明內(nèi)容

本發(fā)明實現(xiàn)的信息安全管理設(shè)備是一款在交通誘導信息系統(tǒng)中用于信息源認證與鏈路數(shù)據(jù)保護的套件。該套件能使數(shù)據(jù)接收端的工控機對信息來源進行驗證，以及對工控機和交通信息屏傳輸鏈路上的上屏顯示數(shù)據(jù)進行加解密，以起到保護鏈路的功能。

本發(fā)明交通誘導信息安全管理的設(shè)備包括加密認證設(shè)備ICM-A和解密傳輸設(shè)備ICM-B，實現(xiàn)了采用模塊化開發(fā)和通用密碼服務(wù)API接口設(shè)計。

本發(fā)明ICM-A/ICM-B采用大致相同的硬件結(jié)構(gòu)，包括CPU，SDRAM，Nand?Flash，Nor?Flash，算法芯片，CPLD，CAN控制器和網(wǎng)絡(luò)控制器，串口、以及USB接口。

內(nèi)部模塊的連接方式：

SDRAM、NOR?FLASH、NAND?FLASH通過內(nèi)部總線（數(shù)據(jù)、地址、控制信號）的方式與CPU直接相連；

CPLD通過內(nèi)部總線的方式與CPU直接相連；

算法芯片通過USB總線和CPU直接相連；

接口模塊先與CPLD相連，CPLD通過內(nèi)部的邏輯將將信號轉(zhuǎn)譯，然后與CPU的內(nèi)部總線相連。

各模塊簡要說明：

1）CPU完成解析命令數(shù)據(jù)、各個接口的數(shù)據(jù)傳輸、對密碼算法芯片的操作以及對各個存儲單元的訪問和管理日志等功能；

2）密碼算法芯片由USB接口與CPU進行通訊，完成數(shù)據(jù)加密、公鑰運算、HASH、隨機數(shù)生成、密鑰生成和管理等密碼類操作；

3）SDRAM作為CPU工作的臨時存儲區(qū)，用于存放計算過程中的中間變量；

4）Nand?Flash存放Linux內(nèi)核和主要的應(yīng)用程序，Nor?Flash存放系統(tǒng)Boot文件；

5）Nand?Flash還負責存儲數(shù)字證書和日志文件；

6）CPLD完成對CAN口和網(wǎng)口訪問的地址譯碼功能，以及CAN口的控制邏輯；

7）串口、網(wǎng)絡(luò)、CAN以及USB口完成數(shù)據(jù)的發(fā)送和接收，其中USB、串口由CPU直接引出，網(wǎng)絡(luò)接口功能由網(wǎng)絡(luò)控制器DM9000完成，CAN接口功能由CAN控制器SJA1000完成。

數(shù)據(jù)流說明：

ICM-A設(shè)備通過串口/網(wǎng)口接收工控機的命令/數(shù)據(jù)流，隨后將這些命令/數(shù)據(jù)交由CPU處理，CPU按照協(xié)議解析命令，將需要有算法芯片的完成的功能通過USB總線發(fā)送到算法芯片，算法芯片處理完后將數(shù)據(jù)返回給CPU，CPU完成命令后通過串口/網(wǎng)口將結(jié)果返回給工控機。

ICM-B設(shè)備通過串口/網(wǎng)口/CAN口接收工控機的命令/數(shù)據(jù)流，隨后將這些命令/數(shù)據(jù)交由CPU處理，CPU按照協(xié)議解析命令，將需要有算法芯片的完成的功能通過USB總線發(fā)送到算法芯片，算法芯片處理完后將數(shù)據(jù)返回給CPU，CPU完成命令后通過串口/CAN口將結(jié)果發(fā)送給顯示屏。

ICM-A提供用戶設(shè)備身份認證、數(shù)字證書管理、對稱與非對稱密碼算法支持、實時流數(shù)據(jù)加解密和日志管理等功能。其中信息認證和數(shù)據(jù)加解密采用現(xiàn)代密碼學技術(shù)中的公鑰密碼機制和對稱密碼算法。

ICM-B是ICM-A下端數(shù)據(jù)解析設(shè)備，其與ICM-A配合使用(詳細敘述配合過程，請見具體實施方式和圖5、圖6)。數(shù)據(jù)經(jīng)過ICM-A加密處理后，在ICM-B處脫密和解析，輸出為顯示屏接口所適應(yīng)的數(shù)據(jù)格式，其與ICM-A間每次數(shù)據(jù)傳輸，需經(jīng)過密鑰協(xié)商，建立安全通道。

整套系統(tǒng)的應(yīng)用場景見圖1：

本設(shè)備的軟件實現(xiàn)原理如圖3所示。

本設(shè)備的連接方式如圖4所示。