個(gè)人電腦 USB 管控器的單芯片解決方案

如何實(shí)現對USB接口的安全管理？

首先讓我們先了解下PC機的USB端口是如何工作的。USB接口的HPY(物理層)和Controller(控制器)都集成在主板的南橋芯片上，當有一個(gè)USB設備接入USB接口時(shí)，操作系統會(huì )調用相應的USB Host驅動(dòng)對設備發(fā)起枚舉。操作系統通過(guò)分析設備在枚舉過(guò)程中上傳的描述符信息，來(lái)確定是何種設備類(lèi)規范的設備接入到USB接口中。與此同時(shí)，在操作系統加載相應的驅動(dòng)，如果沒(méi)有相應的驅動(dòng)，則會(huì )要求安裝該設備的驅動(dòng)。待枚舉過(guò)程結束后，操作系統使用剛剛加載的驅動(dòng)與接入USB接口的設備進(jìn)行通訊。通過(guò)對USB通訊方式的分析就不難發(fā)現，操作系統實(shí)現對不同的設備進(jìn)行訪(fǎng)問(wèn)，是通過(guò)在枚舉過(guò)程中加載不同的設備類(lèi)驅動(dòng)而實(shí)現的。

那么能不能通過(guò)軟件對設備類(lèi)規范的驅動(dòng)進(jìn)行管理，從而實(shí)現對USB的管理呢？答案是否定的，通過(guò)軟件的方式只能實(shí)現一些低級別的管理，我們還是可以通過(guò)很多方式避開(kāi)軟件的監管。如對軟件進(jìn)行攻擊使其癱瘓，或者使用WinPE直接繞開(kāi)本地的操作系統等等。顯然，通過(guò)軟件不能很好的實(shí)現對USB的管理，于是我們開(kāi)始把視線(xiàn)轉移到硬件上。由于PC機的USB接口都與南橋芯片相接，USB信號引入南橋后就可以被操作系統所獲得。在南橋芯片上添加管理功能顯然是一項艱巨的工作，那么在USB信號進(jìn)入南橋之前就將其管理起來(lái)，是否可行呢？

將USB信號在進(jìn)入南橋直接就將其管理起來(lái)，實(shí)現對USB的管理，這也許是最可行的辦法了。應該如何管理，又需要解決那些問(wèn)題呢？首先是速度，如何在信號速度不受影響的情況下加以過(guò)濾和篩選。其次，可以完成對USB設備類(lèi)的篩選，只將允許的設備類(lèi)枚舉給PC機。最后，穩定性要高，對主板盡可能減少修改?？偨Y以上的需求不難發(fā)現，我們需要的是一顆能夠高速實(shí)現USB流通訊的橋接芯片，同時(shí)還需要芯片可以支持不同的USB協(xié)議棧，實(shí)現對USB設備類(lèi)篩選。

為解決這個(gè)問(wèn)題，同方推出了一款具有高數據流吞吐速度和高強度加密算法的SOC芯片TF32A09。

TF32A09芯片簡(jiǎn)介

TF32A09系列芯片是同方股份有限公司計算機系統本部自主研發(fā)的一款高速度、高性能32位信息安全SOC芯片。該芯片集成了高速的安全算法和通訊接口，摒棄了傳統的數據加解密處理方式，使數據流加解密速度大幅提升，適用于高速數據流加密。

TF32A09系列芯片支持國家密碼管理局指定的對稱(chēng)密碼算法、非對稱(chēng)密碼算法和雜湊算法，同時(shí)支持國際通用密碼算法。該芯片的處理能力強、安全性高、功耗低、接口豐富，具有極高的性能價(jià)格比。

新款高度整合的單芯片數據流加密解決方案，在單顆SoC上集成了32位高速CPU、易失和非易失存儲器、國密局指定的密碼算法(SM1、SM2、SM3、SMS4)、國際通用密碼算法和多種滿(mǎn)足高速數據流加密應用的通訊接口，并擁有兩個(gè)USB-OTG接口，可根據應用需求設置成Host、Device或OTG，滿(mǎn)足基于USB接口的高速數據流加解密應用。SOC內部采用流水線(xiàn)的架構，使得在同一個(gè)周期內并行執行3個(gè)模塊(USB_Host、USB_Device、算法)，同時(shí)完成3個(gè)任務(wù)，從而大大縮短了一包數據處理的平均時(shí)間。它改變了CPU傳統的管理方式，僅作為加密模塊和通訊接口的控制端，而不在數據搬運的通路上，避免因CPU執行冗長(cháng)的代碼占用過(guò)多的時(shí)間。

TF32A09對USB的管理的實(shí)現方法

TF32A09芯片上有兩個(gè)USB-OTG接口，可以實(shí)現USB數據流的橋接。由于其高速的設計機制使USB數據流速度可以達到25Mbps，對于絕大多數USB應用來(lái)說(shuō)速度都可以滿(mǎn)足，同時(shí)通過(guò)加密模塊還可以將數據加密。芯片內部集成了512K Flash和20K RAM可以輕松的實(shí)現USB協(xié)議棧的搭建。我們可以通過(guò)對協(xié)議棧的管理有選擇性的將某幾種設備放行給PC，如只放行HID設備(鼠標、鍵盤(pán))而禁止Mass Storage設備(U盤(pán))；或者放行CCID設備(讀卡器)而禁止其他設備等等。由于TF32A09是一顆高性能的SOC芯片，其單芯片就可以解決問(wèn)題，而無(wú)需大量的外圍電路，對系統的穩定性也有所提高。

TF32A09系列芯片的問(wèn)世，將有效解決PC領(lǐng)域的USB安全管理問(wèn)題。相信TF32A09系列芯片在其他相關(guān)的安全領(lǐng)域一樣有用武之地。