一種用于網絡安全系統防護的安全芯片，包括：數據安全部分，提供安全的加解密算法以及交互協議，主要包括加解密算法控制引擎、授權計數器、真隨機數生成器、唯一序列號以及安全EEPROM；網絡安全部分，包括網絡白名單過濾模塊和網絡數據處理模塊，加解密算法控制引擎包含：私鑰安全存儲，以支持私鑰ECDH操作和ECDSA簽名認證；主流的國密以及商用密碼加解密算法，對數據流進行高速加密與還原，以適應不同場景安全需要；芯片安全管理供能，對芯片上可讀寫ROM進行管理，允許專用設備寫入，允許遠程擦除但不允許讀取。本發明還提供了一種使用該安全芯片的網絡安全系統。本發明可從硬件層面保護敏感數據通信安全，在增加系統安全性的同時，還能極大地提高效率。

技術領域

本發明屬于網絡安全技術領域，涉及網絡安全芯片的硬件架構實現和在網絡系統中的實現，具體涉及一種用于網絡安全系統防護的安全芯片及使用該芯片的網絡安全系統。

背景技術

網絡信息技術的發展正在孕育新的工業和技術革命，但也帶來巨大的安全風險。黑客對智能汽車、智能家居設備的入侵事件也屢屢發生，Mirai僵尸網絡及變種在全球范圍已控制上千萬的智能攝像頭和智能路由器。網絡安全已經成為國家關注的重點問題。

目前，內外網物理隔離是最常采用的網絡安全防衛模式。但這種模式無法根據安全等級進行保護。由于移動辦公已經成為日常工作模式，政府、醫療、金融等并非最高安全等級的部門與行業，必須要在外部訪問單位的業務內網處理日常業務，需求量巨大。鑒于內網高安全性要求，常用的安全網關、 VPN等網絡安全技術無法保證內外網訪問的安全。

要從根本上快速解決和緩解上述網絡安全問題，必須要從網絡信息技術的芯片底層設計做起，一方面保護數據資源免于非授權訪問、篡改，另一方面，建立芯片級安全通信專用通道，實現數據和通道兩個方面的芯片級策略化安全隔離。其主要優勢在于增加系統安全性的同時，極大地提高數據處理效率，策略化的安全隔離，規避了以易用性為代價的簡單物理隔離，達到一機雙用的目的。具體的，使用純軟件的方法實現網絡安全加解密、身份認證、網絡入侵檢測等算法存在較多缺陷，如執行各類算法的時間較長、資源消耗較大，且難以實現密鑰等機密資源的安全存儲。

傳統的安全網絡芯片防護如圖1所示，加密模塊在系統中。通過總線與系統連接，利用控制模塊對加密模塊進行指令控制，來實現網絡安全的加密。工作時，主控模塊發出指令，加密模塊工作對網絡傳輸數據進行加密，加密后的數據內容再通過PCIe數據線路與終端相接。這樣以實現對網絡傳輸的加密。然而，這樣的工作模式下，可以利用一些網絡安全攻擊技術實現對網絡的攻擊，例如利用旁路電路對安全芯片進行隔離，釣魚攻擊得到加密模塊信息，修改驅動流程等。

當前遠程設備(IoT，遠程辦公終端等)需要通過廣域網連接內網，或服務器，訪問敏感信息。這些遠程設備通常沒有專人維護，因此系統常常無法或者不能及時更新，容易遭受未知漏洞的攻擊，或者由于釣魚攻擊造成信息泄露。因此僅通過軟件設計很難保障系統安全，也無法在安全事故發生的情況下有效控制損失。

發明內容

為了克服上述現有技術的缺點，本發明的目的在于提供一種用于網絡安全系統防護的安全芯片及使用該芯片的網絡安全系統，針對網絡安全問題，設計可用于網絡安全防護的芯片架構以及網絡架構，是一種集成一種或多種密碼算法的集成電路芯片，可從硬件層面來解決上述問題，保護敏感數據通信安全，在增加系統安全性的同時，還能極大地提高效率。

為了實現上述目的，本發明采用的技術方案是：

一種用于網絡安全系統防護的安全芯片，包括：

數據安全部分，提供安全的加解密算法以及交互協議，主要包括加解密算法控制引擎、授權計數器、真隨機數生成器、唯一序列號以及安全 EEPROM；

網絡安全部分，包括網絡白名單過濾模塊和網絡數據處理模塊。

所述加解密算法控制引擎包含：