引言

隨著網絡技術，特別是互聯網技術在我國的迅速推廣和普及，各種網絡應用，如電子商務、電子政務、網上銀行、網上證券交易等項目，也在我國迅猛發展。但是網絡非法入侵、詐騙等事件嚴重影響了網絡信息安全。只有不斷發展和提高網絡信息安全技術，才能保證網絡健康發展。在信息安全技術領域，公開密鑰基礎沒施（PKI）很好地為互聯網提供了安全服務。如今網絡應用中的認證、數據的加解密、完整性驗證、不可否認性等功能已經離不開PKI技術的支持。隨著PKI密碼技術的發展，SM2算法（國際上稱之為ECC算法）應用越來越廣，效率較之前的算法更高，破解難度更大、更安全。本系統在嵌入式主板上實現SM2算法PKI技術，提供基于SM2算法的簽名驗證、數字信封和解封、數據加解密來實現身份認證，保證網絡信息安全交互。

1 系統總體設計

本設計中嵌入式系統的CPU采用三星公司的S3C2440芯片，操作系統采用嵌入式Linux作為平臺，內存采用6 4 MB SDRAM，文件存儲采用128 MB NANDFlash，HS32U2-U芯片提供SM2算法。系統的總體設計結構框圖如圖1所示。

系統各部分結構功能如下：

◆CPU：系統為提供運行、計算以及和各個模塊進行通信；

◆RAM：為操作系統提供運行空間；

◆Flash：提供boot啟動程序、內核映像、文件系統；

◆Fthernet：提供網絡通信接口；

◆SM2：提供SM2算法接口；

◆UART：提供串口調試功能。

2 系統硬件接口

系統CPU通過SPI接口訪問HS32U2-U芯片，為系統應用提供SM2算法。SM2芯片接口設計如圖2所示。

HS32U2-U芯片支持主模式和從模式，支持4種通信模式，數據通行速率可達16 Mbps@80 MHz，支持低功耗模式。

主要的SPI接口介紹如下：

◆SS：SPI從模式選擇；

◆SCLK：SPI串行時鐘；

◆MOSI：SPI主模式輸出，從模式輸入；

◆MISO：SPI主模式輸出，從模式輸入。

三星CPU提供串行時鐘頻率，按照規定的格式進行數據交互，根據傳入的不同格式所代表的不同的命令碼，獲取不同的數據。

3 系統軟件設計

軟件系統設汁的結構框圖如圖3所示。系統軟件設計主要包括SM2算法的應用層API和SM2內核層的驅動。應用層API實現系統應用調用SM2算法，例如SM2公私密鑰對的產生、SM2簽名功能、SM2驗證功能、SM2加密功能、SM2解密功能、SM2密鑰交換功能以及SM2雜湊功能等。SM2內核層的驅動是SM2驅動通過SPI總線實現三星CPU與HS32U2-U芯片低層數據交互。

3．1 Bootloader設計

嵌入式系統中，Bootloader是必需的。它是在操作系統內核運行之前的一小段程序，就像BIOS一樣。這段程序可以初始化硬件設備，建立內存空間映射圖，從而將軟件的軟硬件環境設置到一個合適的狀態，為最終調用操作系統內核準備好環境。

3．2 內核編譯選項

根據需要配置內核選項，主要包含：

◆啟動傳遞參數

◆dcvfs文件系統支持

◆芯片及系統類型配置

◆芯片及系統類型配置

◆（DMA Engine support）DMA傳輸引擎支持

除此之外，在編譯內核時還要將SPI總線和模塊加載的功能選項選中。因為系統最終通過加載模塊方式調用SM2算法芯片，同時通過SPI總線來交互數據。

3．3 SM2設備系統驅動設計

Linux的內核由設備管理、進程管理、內存管理和文件系統組成。Linux設備驅動可以分為字符類設備、塊類沒備、網絡接口類設備和其他非標準驅動。SPI設備被看做是字符型沒備。

每個SPI外設都由1個總線號、1個設備號和1個功能號來標識，共有3個訪問空間，即內存空間、I／O端口和配置奇存器。每個設備功能郜有一個配置空間，用于決定SPI的工作方式和映射到系統中的地址。設備驅動通過模塊方式加載到內核中。相關函數代碼如下：

3．4 SM2 API設計

由于SM2算法主要有簽名驗簽、加解密、獲取hash值等，API函數有SM_HsEccSign、SM_HsEccSignVerify、SM_HsEccEncrypt、SM_HsEccDecrypt、SM_SM3Init、SM_SM3Update、SM_SM3Finalize。通過這些API函數可以實現PKI中的身份認證、數據加解密，保證信息安全傳遞。

數據通信協議的結構如下所示：

通過上述SPI通信協議，保證在內核層和應用層數據傳遞的穩定、可靠。

結語

本系統通過嵌入式系統實現了SM2算法接口，為后續應用系統做好了保障，且已經成功應用在VPN系統以及CA中心。SM2算法效率高、破解難度大。隨著信息安全的發展，國家密碼管理局已經指定SM2算法取代RSA算法，在今后的應用中會有更大的發展空間。