本申请实施例提供一种微型密码机及信息处理方法,所述密码机包括:主板,至少一个密码子模块,被配置为通过USB接口与所述主板通信获取所述业务请求,并通过所述USB接口回送根据所述业务请求数据计算得到的密码信息;其中,所述至少一个密码子模块位于所述主板上;所述至少一个密码子模块中的一个子模块包括集成的多枚安全芯片,所述多枚安全芯片中包括一枚主安全芯片和至少一枚从安全芯片。本申请实施例提供的微型形态的密码机既可以满足系统安全性需求,同时在价格、硬件设施环境等方面占有绝对优势。
【技术实现步骤摘要】
一种微型密码机及信息处理方法
本申请涉及密码信息处理领域,具体而言,涉及一种微型密码机及信息处理方法。
技术介绍
随着计算机网络的飞速发展,随之而来的信息安全问题日益突出,因此很多网络安全场景使用服务器密码机作为基础密码设备。加密机通常在电子政务、金融支付、证书服务等场景中有广泛应用,可提供数据加解密、数字签名验签功能,适用于电子签章、电子公文、CA系统等各类应用中。在通常的上述场景中,传统的服务器加密机需要对性能有较高的要求,因此通常服务器密码机采用硬件服务器形态,体积比较大。针对一些对性能要求不高,用户数量很少的场景来说,硬件服务器形态的密码机在价格、机房环境等因素上都有很大的制约。因此,如何为在用户数量较小、项目资金有限,网络环境简单的场景中,例如照相馆、移民机构、酒店等场景中,提供合适的密码机成为了亟待解决的技术问题。
技术实现思路
本申请实施例的目的在于提供一种微型密码机及信息处理方法,本申请实施例提供的微型形态的密码机既可以满足系统安全性需求,同时在价格、硬件设施环境等方面占有绝对优势。第一方面,本申请实施例提供一种微型密码机,所述密码机包括:主板;至少一个密码子模块,被配置为通过USB接口与所述主板通信获取所述业务请求,并通过所述USB接口回送根据所述业务请求数据计算得到的密码信息;其中,所述至少一个密码子模块位于所述主板上,所述至少一个密码子模块中的一个子模块包括集成的多枚安全芯片,所述多枚安全芯片中包括一枚主安全芯片和至少一枚从安全芯片。本申请实施例通过使用多个USB接口的密码子模块可以减少密码机的体积,实现了密码设备的微型化,且本申请实施例采用多芯片集群策略,相比于单芯片来说提高了运算速度。在一些实施例中,所述至少一个密码子模块包括第一密码子模块和第二密码子模块;其中,所述第一密码子模块与所述第二密码子模块互为备份。本申请实施例采用两个密码子模块互相备份的方式,一方面提升了系统的性能,另一方面也可以保证一个密码子模块故障导致的整个产品无法使用的问题。在一些实施例中,所述微型密码机还包括:应用编程接口,被配置为与应用系统连接以接收业务请求数据并反馈基于所述业务请求数据得到的所述密码信息。本申请实施例采用多芯片集群策略,相比于单芯片来说提高了运算速度。在一些实施例中,所述密码子模块包括:命令分发子模块,被配置为封装所述业务请求数据得到命令帧数据,并从所述至少一枚从安全芯片选择处于空闲状态的安全芯片。本申请实施例保证选择处于空闲状态的安全芯片来执行密码计算,提升了密码业务请求处理的速度。在一些实施例中,所述微型密码机包括嵌入式操作系统,其中,所述嵌入式操作系统位于所述主板上。本申请实施例通过采用嵌入式操作系统可以减小密码机的体积。在一些实施例中,所述微型密码机还包括噪声源芯片,其中,所述噪声源芯片被配置为产生并处理真随机数以供所述密码子模块进行密码运算和密钥管理。本申请实施例通过密码子模块与噪声源芯片结合使用,通过内部策略最终产生真随机源,提升了设备的性能。第二方面,本申请实施例还提供一种信息处理方法,应用于微型密码机,所述方法包括:从密码子模块包括的多个密码芯片中确定至少一个主安全芯片和至少一个从安全芯片,其中,所述至少一个主安全芯片用于存储密钥信息,所述至少一个从安全芯片用于执行密码运算操作;对处于不同阶段的所述至少一个主安全芯片和所述至少一个从安全芯片进行与密码处理业务相关的管理。在一些实施例中,所述对处于不同阶段的所述至少一个主安全芯片和所述至少一个从安全芯片进行与密码处理业务相关的管理,包括:在白卡阶段,所述至少一个主安全芯片和所述至少一个从安全芯片生成各自内部的通信公钥和私钥对,所述至少一个主安全芯片存储所述从安全芯片的公钥,所述至少一个从安全芯片存储所述主安全芯片的公钥;在初始化和就绪状态,所述至少一个主安全芯片和所述至少一个从安全芯片协商确定会话密钥。在一些实施例中,所述至少一个主安全芯片和所述至少一个从安全芯片协商确定会话密钥,包括:所述至少一个主安全芯片携带所述至少一个从安全芯片中的第一从安全芯片的公钥向所述第一从安全芯片发送加密信息和所述主安全芯片的签名;所述第一从安全芯片采用私钥解密所述加密信息并对所述签名进行认证,并在认证通过后保存所述加密信息作为所述会话密钥。在一些实施例中,所述方法还包括,确认通过所述至少一个主安全芯片的权限允许的所述至少一个从安全芯片处理所述业务请求。在一些实施例中,所述方法还包括:当密钥更新时,通过所述至少一个主安全芯片向所述至少一个从安全芯片发起更新命令。附图说明为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。图1为本申请实施例提供的一种微型密码机的组成结构示意图;图2为本申请实施例提供的微型密码机的硬件组成框图;图3为本申请实施例提供的应用于微型密码机的信息处理方法的流程图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。结合
技术介绍
部分的描述可知,目前服务器密码机市场上,产品的核心硬件组成通常为服务器主机、密码卡。传统的服务器加密机需要对性能有较高的要求,因此通常服务器密码机采用硬件服务器形态,体积比较大。为了解决上述问题,针对用户数量少的场景,本申请实施例提供了一种基于嵌入式操作系统(例如,ARM处理器)、微型主板、密码子模块组成的微型密码机。微型密码机的主板上嵌入ARM处理器提供系统调度和平台支撑,主板通过内部USB接口与密码子模块进行通信,密码子模块作为取代密码卡的模块存在,通过USBHub搭载多个密码芯片进行密码运算,此外密码子模块通过噪声源芯片产生并处理出真随机数供密码运算和密钥管理使用,在上述硬件平台基础上提供密码机接口服务。请参看图1,图1提供一种微型密码机10,该微型密码机10包括嵌入式操作系统200,位于嵌入式操作系统200内部的管理服务模块和密码主服务模块。微型密码机10还包括密码机内部的硬件100,其中密码机内部的硬件100至少包括用于执行密码运算的密码子模块101。图1的微型密码机10通过应用编程接口30与用户20通信,例如,用户20通过应用编程接口30调用微型密码机10时可以采用基于TCP/IP的通信协议。嵌入式操作系统200可以包括ARM处理器,本申请实施例并不限定嵌入式操作系统200的具体类型。...
【技术保护点】
1.一种微型密码机,其特征在于,所述密码机包括:/n主板,/n至少一个密码子模块,被配置为通过USB接口与所述主板通信获取所述业务请求,并通过所述USB接口回送根据所述业务请求数据计算得到的密码信息;/n其中,所述至少一个密码子模块位于所述主板上;所述至少一个密码子模块中的一个子模块包括集成的多枚安全芯片,所述多枚安全芯片中包括一枚主安全芯片和至少一枚从安全芯片。/n
【技术特征摘要】
1.一种微型密码机,其特征在于,所述密码机包括:
主板,
至少一个密码子模块,被配置为通过USB接口与所述主板通信获取所述业务请求,并通过所述USB接口回送根据所述业务请求数据计算得到的密码信息;
其中,所述至少一个密码子模块位于所述主板上;所述至少一个密码子模块中的一个子模块包括集成的多枚安全芯片,所述多枚安全芯片中包括一枚主安全芯片和至少一枚从安全芯片。
2.如权利要求1所述的微型密码机,其特征在于,所述至少一个密码子模块包括第一密码子模块和第二密码子模块;其中,所述第一密码子模块与所述第二密码子模块互为备份。
3.如权利要求2所述的微型密码机,其特征在于,所述微型密码机还包括:应用编程接口,被配置为与应用系统连接以接收业务请求数据并反馈基于所述业务请求数据得到的所述密码信息。
4.如权利要求3中项所述的微型密码机,其特征在于,所述密码子模块包括:
命令分发子模块,被配置为封装所述业务请求数据得到命令帧数据,并从所述至少一枚从安全芯片选择处于空闲状态的安全芯片。
5.如权利要求1所述的微型密码机,其特征在于,所述微型密码机包括嵌入式操作系统,其中,所述嵌入式操作系统位于所述主板上。
6.如权利要求1所述的微型密码机,其特征在于,所述微型密码机还包括噪声源芯片,其中,所述噪声源芯片被配置为产生并处理真随机数以供所述密码子模块进行密码运算和密钥管理。
7.一种信息处理方法,应用于微型密码机,其特征在于,所述方法包括:
从密码子模块包括的多个密码芯片中...
【专利技术属性】
技术研发人员:赵松,陈澍,王银平,李向锋,
申请(专利权)人:北京数字认证股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。