避免重加密的密码处理器及用其存取数据的方法,属于计算机存储技术领域,目的是在用户撤消时完全不需要重加密,尽量避免开销大的密码操作,以提高系统性能。本发明专利技术的密码处理器由同步动态随机存储器SDRAM及其控制接口、Flash芯片及其控制接口、存储器直接访问DMA控制器、内置处理器、外围设备互连总线控制器及数据/控制总线构成;本发明专利技术用所述密码处理器存取数据的方法,依序由密钥生成阶段、存数据阶段和取数据阶段构成。本发明专利技术用户私钥和文件密钥只在密码处理器中以明文形式存在,不会暴露给任何用户,撤消用户时不必重新生成文件密钥,避免开销很大的重加密操作,既提高安全性又提高了性能。适用于任何涉及到密码操作的安全存储系统。
【技术实现步骤摘要】
本专利技术属于计算机存储
,具体涉及一种避免重加密的密码 处理器及用其存取数据的方法,在加密存储系统中用户撤消时用于避免 重加密,适用于任何涉及到密码操作又不想暴露密钥信息的安全存储系
技术介绍
伴随网络技术的飞速发展与安全事故的频繁发生,存储系统的安全 得到普遍关注,密码技术是保障存储系统安全的一个重要手段,也诞生 了一系列的加密存储系统。在加密存储系统中用户撤消时存在重新生成文件密钥重新加密文件 并重新发布新密钥的问题,目前的加密存储系统有三种重加密方案(1) 立即重加密,即撤消一个用户时,搜索所有该用户能够访问的文件,重 新生成文件密钥,重新加密所有文件,并重新发布新密钥给未撤消的用 户。如果在某一时刻撤消的用户数相当多,重加密的开销可能导致系统 不能正常工作。(2)延迟重加密,即在下一次文件更新时才重新加密文 件,那么在更新前,所有被撤消用户有访问权限的文件的密钥都可能已 经暴露给攻击者,从而导致数据不安全。(3)定时重加密,此方案与方案(2)类似,而且在重加密的时刻其开销也可能导致系统不能正常工作。上述三种方案最终均需要重加密,只是重加密的时机不同,而且存 在不安全或导致系统不能正常工作的问题。密码操作本身是一个对性能 影响非常大的工作,针对密码操作开销太大,在应用系统中应尽量避免 密码操作。
技术实现思路
本专利技术提出一种避免重加密的密码处理器,同时提供用其存取数据 的方法,目的是在用户撤消时完全不需要重加密,尽量避免开销大的密 码操作,以提高系统性能。本专利技术的一种避免重加密的密码处理器,通过PCI总线与主机相连;由同步动态随机存储器SDRAM及其控制接口 、 Flash芯片及其控制接口 、 存储器直接访问控制器DMA、内置处理器、外围设备互连总线PCI控制器 及数据/控制总线构成,同步动态随机存储器SDRAM通过SDRAM控制接 口与数据/控制总线电信号连接,Flash芯片通过Flash控制接口与数 据/控制总线电信号连接,存储器直接访问控制器DMA、内置处理器、外 围设备互连总线PCI控制器分别与数据/控制总线电信号连接;所述Flash芯片用于存放公私钥对生成算法、加解密算法、签名算 法及哈希算法;所述同步动态随机存储器用于存放内置处理器所处理的中间数据;所述外围设备互连总线PCI控制器用于控制主机对本密码处理器的 操作请求,由内置处理器进行处理;所述内置处理器根据用户发出的处理请求执行用户请求的操作,将 公私钥对生成算法、加解密算法、签名算法或哈希算法从Flash芯片取 到同步动态随机存储器SDRAM中并由内置处理器执行,执行公私钥对生 成算法时,将公钥返回主机,私钥保存在Flash芯片中;其它算法执行 结果存于同步动态随机存储器;所述存储器直接访问DMA控制器直接访问同步动态随机存储器,不 需要内置处理器干涉,将内置处理器的处理结果返回给主机。本专利技术用所述密码处理器存取数据的方法,依序由密钥生成阶段、 存数据阶段和取数据阶段构成,密钥生成阶段,用户通过客户端主机向密码处理器提出请求,密码 处理器生成该用户公私钥对,仅将该用户公钥返回主机,该用户私钥保 存在密码处理器中;存数据阶段,顺序包括(1) 文件加密步骤,用户使用随机生成的文件密钥和所选择的密码 算法加密文件,使用该用户授权用户的公钥加密文件密钥,生成密钥文 件;(2) 哈希运算步骤,用户对密钥文件连同密码算法执行哈希运算, 得到它们的哈希值;将所述哈希值、密钥文件连同密码算法分别递交密 码处理器请求签名;G)密码处理器签名步骤,密码处理器向用户返回哈希值的签名Sl、 密钥文件连同密码算法的签名S2;(4)存放步骤,用户使用授权用户的公钥加密哈希值签名Sl,得到加密的哈希值签名C1;将加密的哈希值签名Cl,密钥文件连同密码算法 的签名S2存放到主机的文件服务器,并将加密文件存放到存储设备; 取数据阶段,顺序包括(1) 解密及哈希运算步骤,用户使用本身公钥解密密钥文件连同密 码算法的签名S2',得到密钥文件连同密码算法,并对其执行哈希运算,得到其哈希值Hl';将加密的哈希值签名Cl'、密钥文件连同密码算法、客户端计算的哈希值Hr输入密码处理器;(2) 密码处理器解密判断步骤,密码处理器使用该用户私钥解密加密的哈希值签名cr,得到哈希值签名sr;使用文件创建者的公钥解密Sl',解密结果与输入的哈希值H1'比较,判断是否相同,是则顺序进行, 否则结束;(3) 密码处理器解密文件步骤,密码处理器请求用户输入加密文 件,使用该用户私钥解密该用户公钥加密的文件密钥;使用该文件密钥解密加密文件,并向主机返回明文文件; (4)主机输出明文文件。系统第一次运行时,主机请求密码处理器运行公私钥对生成算法程 序,内置处理器加载公私钥对生成算法程序至SDRAM,由内置处理器执行, 并将公钥返回主机,私钥仅保存在密码处理器的Flash芯片中;系统运 行时,由主机发出各种处理请求,内置处理器将Flash芯片中的加解密 算法,签名算法或哈希算法程序调用到SDRAM芯片,由内置处理器执行, 最后将处理结果返回给主机。公私钥对生成算法,加解密算法,签名算法及哈希算法程序使用公 开的算法程序。利用本专利技术的密码处理器有效地避免了重加密操作,并可以进一步 提高加密存储系统的性能。输入用户公钥加密的文件密钥及使用文件密 钥加密的文件数据,密码处理器输出明文文件数据,用户私钥和文件密 钥只在密码处理器中以明文形式存在,从而不会暴露给任何用户,撤消 用户时只需修改访问控制链表撤消用户权限,不必重新生成文件密钥重 新加密文件并重新发布新密钥,避免了开销大的密码操作,也避免了潜 在的不安全或导致系统不能正常工作的问题,适用于当前对性能要求越 来越高的安全存储系统。 '附图说明图1为本专利技术密码处理器结构示意图2为本专利技术用密码处理器进行存取数据的方法示意图3为本专利技术的存数据阶段流程示意图4为本专利技术的取数据阶段流程示意图。具体实施例方式图1为本专利技术的密码处理器结构示意图,由同步动态随机存储器(SDRAM)及其控制接口、 Flash芯片及其控制接口、存储器直接访问DMA 控制器、内置处理器、外围设备互连总线PCI控制器及数据/控制总线 构成,同步动态随机存储器SDRAM通过SDRAM控制接口与数据/控制总 线电信号连接,外围Flash通过Flash控制接口与数据/控制总线电信 号连接,存储器直接访问DMA控制器、内置处理器、外围设备互连总线 PCI控制器分别与数据/控制总线电信号连接;密码处理器通过PCI总线 与主机相连。同步动态随机存储器SDRAM控制接口、 Flash芯片控制接口、 存储器直接访问DMA控制器、内置处理器及外围设备互连总线PCI控制 器可以采用片上系统架构,使用现场可编程门阵列FPGA或专用集成电路 ASIC芯片实现。当片上系统使用现场可编程门阵列FPGA实现时,Flash芯片还需要 存放片上系统配置信息;片上系统配置信息是使用硬件描述语言描述片 上系统电路的信息,其中各模块可采用硬件厂商提供的模块;密码处理 器上电后读取片上系统配置信息,生成片上系统电路,过程如下(1) 使用硬件厂商提供的综合工具将片上系统配置信息转化成实 际的电路网表;(2) 由硬本文档来自技高网...
【技术保护点】
一种避免重加密的密码处理器,通过PCI总线与主机相连;由同步动态随机存储器SDRAM及其控制接口、Flash芯片及其控制接口、存储器直接访问DMA控制器、内置处理器、外围设备互连总线PCI控制器及数据/控制总线构成,同步动态随机存储器SDRAM通过SDRAM控制接口与数据/控制总线电信号连接,Flash芯片通过Flash控制接口与数据/控制总线电信号连接,存储器直接访问DMA控制器、内置处理器、外围设备互连总线PCI控制器分别与数据/控制总线电信号连接;所述Flash 芯片用于存放公私钥对生成算法、加解密算法、签名算法及哈希算法;所述同步动态随机存储器用于存放内置处理器所处理的中间数据;所述外围设备互连总线PCI控制器用于控制主机对本密码处理器的操作请求,由内置处理器进行处理;所述 内置处理器根据用户发出的处理请求执行用户请求的操作,将公私钥对生成算法、加解密算法、签名算法或哈希算法从Flash芯片取到同步动态随机存储器SDRAM中并由内置处理器执行,执行公私钥对生成算法时,将公钥返回主机,私钥保存在Flash芯片中;其它算法执行结果存于同步动态随机存储器;所述存储器直接访问DMA控制器直接访问同步动态随机存储器,不需要内置处理器干涉,将内置处理器的处理结果返回给主机。...
【技术特征摘要】
1.一种避免重加密的密码处理器,通过PCI总线与主机相连;由同步动态随机存储器SDRAM及其控制接口、Flash芯片及其控制接口、存储器直接访问DMA控制器、内置处理器、外围设备互连总线PCI控制器及数据/控制总线构成,同步动态随机存储器SDRAM通过SDRAM控制接口与数据/控制总线电信号连接,Flash芯片通过Flash控制接口与数据/控制总线电信号连接,存储器直接访问DMA控制器、内置处理器、外围设备互连总线PCI控制器分别与数据/控制总线电信号连接;所述Flash芯片用于存放公私钥对生成算法、加解密算法、签名算法及哈希算法;所述同步动态随机存储器用于存放内置处理器所处理的中间数据;所述外围设备互连总线PCI控制器用于控制主机对本密码处理器的操作请求,由内置处理器进行处理;所述内置处理器根据用户发出的处理请求执行用户请求的操作,将公私钥对生成算法、加解密算法、签名算法或哈希算法从Flash芯片取到同步动态随机存储器SDRAM中并由内置处理器执行,执行公私钥对生成算法时,将公钥返回主机,私钥保存在Flash芯片中;其它算法执行结果存于同步动态随机存储器;所述存储器直接访问DMA控制器直接访问同步动态随机存储器,不需要内置处理器干涉,将内置处理器的处理结果返回给主机。2. 用权利要求1所述密码处理器存取数据的方法,依序由密钥生成 阶段、存数据阶段和取数据阶段构成,密钥生成阶段,用户通过客户端主机向密码处理器提出请求,密码 处理器生成该用户公私钥对,仅将该用户公钥返回...
【专利技术属性】
技术研发人员:冯丹,陈兰香,张宇,牛中盈,庞丽萍,许蔚,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:83[中国|武汉]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。