本发明专利技术为一种分离式大数据量加/解密设备及实现方法。包括微处理器、存储器、安全检测与保护模块、协处理器、随机数函数发生器、中断控制器等,还包括一外部通讯接口模块,它连接外围数据总线,用于在加/解密设备与外部终端之间传递数据。加/解密设备接受终端发送的需要进行加/解密处理的数据包;通用串行总线设备将数据包存储到加/解密设备的存储器中;微处理器判断数据包中是否包含加/解密命令控制字,不是则用基本处理方式处理数据,是则调用对称或非对称算法加/解密函数对数据进行加/解密处理,并存入存储器;加/解密设备将加/解密的数据包以批传送方式通过串行总线设备发送给终端。本发明专利技术可处理大数据量,安全性高,使用灵活方便。
【技术实现步骤摘要】
本专利技术涉及通信和信息安全
,尤其涉及。
技术介绍
随着计算机技术和互联网技术的迅猛发展,许多政府部门、企业和其它机构以及个人建立了自己的计算机网络系统,利用互联网在自己与大众之间建立了一条快速、高效的网络通道,电子商务和电子政务成为他们通过网络提供各种服务和获得信息的主要方式之一。基于互联网的信息服务系统具有明显的行业特点,所以网络中数据传输的安全性显得尤为重要,如网上银行交易、网上税务申报、网上企业年检等。系统中有大量需要保密的信息,在网络传递过程中必须采用加密保护的方式,以保护敏感数据的安全传输。同时,除了在网络应用中的数据传递外,用户终端内的数据,如硬盘中的数据也存在加密保护存取的需求,当攻击者从用户的终端中拆卸下硬盘,并在安装在另一个终端上时,由于其硬盘上的大量系统数据采用了加密保存的方式,攻击者就无法轻易了解和破解其信息,从而保护了数据的安全性。虽然人们对于网络信息服务系统和用户本地数据需要采用加密技术已经达成共识,并采用各种加密技术手段进行保护,如用集成电路卡(IC)技术和软件模块等来提高身份认证等加密技术的可靠性,但由于资金,技术成熟度等客观条件的限制,目前绝大部分的系统仍然采用软加密的方式,进行简单的数据加密保护。软加密技术是指加/解密密钥由密钥的生成端如IC卡或软件模块产生,利用终端的中央处理器(CPU)和内存完成加/解密操作。但由于“软加密”技术使用的密钥需要由生成端通过系统的通讯层提供给终端并保存在终端内存中,当攻击者监听用户终端的通讯层或窃取终端内存数据时,就可简单地获取加/解密密钥,从而轻易地破解加密数据。同时,由于需要加/解密的数据都要利用终端的CPU和内存完成计算,系统的大量宝贵资源也将被占用。针对上述软加密技术中存在的易破解和占用系统资源等问题,人们提出了使用硬加密技术的方式来实现对数据的加密操作。在现有技术中,硬加密技术多采用在终端内部安装一块加密芯片或插入一块加密卡的方式,利用此设备上自带的微处理器产生加/解密密钥,同时在芯片内部完成对需要加/解密的数据的加/解密计算。但是,由于此方法需要在终端内部安装一块加密芯片或插入一块加密卡,给用户带来了使用上的较大不便,而且,由于此加密芯片或加密卡多数都是由国外厂商提供,所以其价格昂贵,即便是国产的一般也在几千元至几万元不等,不利于向普通用户推广使用。
技术实现思路
为克服现有技术的不足,本专利技术的目的在于提供,对高速传递的大数据量进行加/解密,安全性高,成本相对低廉。为了完成上述专利技术目的,本专利技术采取的整体技术方案为一种分离式大数据量加/解密设备,包括微处理器、电可擦出只读数据存储器、静态存储器、闪存、乘法协处理器、存储管理保护模块、安全检测与保护模块、非对称算法协处理器、对称算法协处理器、随机数函数发生器、时钟处理模块、电源管理模块、中断控制器、定时器,所述微处理器、可擦出只读数据存储器、静态存储器、闪存、乘法协处理器、存储管理保护模块通过核心数据总线相连,并通过桥连接器与其它与连接有安全检测与保护模块、非对称算法协处理器块、对称算法协处理器、随机数函数发生器、时钟处理模块,电源管理模块、中断控制模块、定时器的外围总线相连接,该设备还包括一外部通讯接口模块,外部通讯接口模块连接外围数据总线,用于在加/解密设备与外部终端之间传递数据。所述微处理器为至少为32位的多级流水线精简指令计算处理器,能支持硬件的安全访问控制和外围组件的访问控制。所述外部通讯接口模块至少包括通用串行总线架构接口模块、ISO7816接口模块。一种分离式大数据量加/解密设备加/解密实现方法,包括以下步骤步骤1、加/解密设备接受终端发送的需要进行加/解密处理的数据包;步骤2、通用串行总线设备将数据包存储到加/解密设备的存储器中;步骤3、微处理器判断数据包中是否包含加/解密命令控制字,不是则用基本处理方式处理数据,是则根据加解密设备存储器中的密钥调用对称或非对称算法加/解密函数对数据进行加/解密处理,并存入存储器中;步骤4、加/解密设备将加/解密的数据包以批传送方式通过串行总线设备发送给终端。所述步骤1中的终端为有线终端、无线终端或手持终端。所述步骤1中的加/解密设备与终端之间采用的数据通讯协议命令包括卡头选择命令字、通讯选择命令字、流控制字、数据长度字、数据域。所述步骤2中的数据包为64字节。所述步骤3中的加/解密命令控制字的长度为2字节。所述步骤3中的加/解密命令控制字的低3位为进行流信息加/解密操作的通道标识。所述步骤3还包括对密钥进行加/解密的步骤。所述步骤4中的批传送采用中断方式,一次传送2-6K字节数据。本专利技术具有明显的优点和积极效果。本专利技术采用硬件为加密载体,利用硬件设备上自带的微处理器产生加/解密密钥,并在芯片的内部完成对需要加/解密的数据的加/解密计算,有效地提高了大数据量在传输过程中的安全性,同时本专利技术提供了灵活、快捷的通信方法,大大方便了用户的使用。1、密钥产生与更换的灵活性、随机性。终端可利用加/解密设备内随机产生的密钥或将密钥值传送给加/解密设备进行加/解密运算,此密钥一经产生或写入,就保存在硬件设备加密保护区内,外部无法再次读取。当需要更换密钥时,终端可发送命令由硬件设备内部自行更新密钥或再次将密钥传送设备。同时,在密钥的传递过程中也可采用加密方法保护密钥值,从而彻底防止了前面提到的内存窃听、通讯层监听等攻击方式。2、高速、强大的数据处理能力。本专利技术的加/解密设备和终端之间直接采用USB相连接,并且本专利技术设备可以支持USB全速每秒12兆字节(Mbps)的通讯速率,或USB高速480Mbps的通讯速率。由于加/解密设备内的微处理器是32位或以上,因此本专利技术的设备具有强大的数据运算和处理能力;同时,设备内制非对称算法协处理器模块,对称算法协处理器模块,在进行数据加/解密运算时,可以提高对数据的处理速度,并且也可以缓解由于对大数据量进行计算而占用的微处理器资源,使微处理器可以进行其他的数据处理,以此提高加速设备的整体运算能力。3、使用方便灵活。采用USB接口与终端相连接,支持即插即用,支持热插拔。用户无须在终端中安装芯片或插入加密卡,即可实现对大数据量的加/解密操作;同时,硬件设备的安装与拆卸非常简单,方便了用户的使用。用户只需要携带加/解密设备在任何一台安装了支持此设备的驱动程序的终端上都可享受其所提供的加/解密服务,如果将本专利技术的加/解密设备与闪存(FLASH)技术相结合使用自动运行(AUTORUN)功能,则此设备可实现自动安装驱动程序的功能,用户可以加更方便地使用。4、高安全性、可靠性。采用硬件为加密载体,并利用硬件设备上自带的微处理器产生加/解密密钥,并在芯片内部完成对需要加/解密的数据的加/解密计算,有效地提高了大数据量在传输过程中的安全性和可靠性。由于本专利技术的加/解密设备可实现非对称算法,如1024位公开密钥加密算法(RSA)、2048位RSA算法和纠错码算法(ECC)等,因此,它可以与公钥加密平台PKI(Pubic Key Infrastructure)技术相结合,保存用户的公私钥,存放用户的证书,并且进行签名、验证、加密及解密的计算全部由设备内部完成。这样更提高了系统的安全性,可靠性,实现真正的端对端的安全本文档来自技高网...
【技术保护点】
一种分离式大数据量加/解密设备,包括微处理器、电可擦除只读数据存储器、静态存储器、闪存、乘法协处理器、存储管理保护模块、安全检测与保护模块、非对称算法协处理器、对称算法协处理器、随机数函数发生器、时钟处理模块、电源管理模块、中断控制器、定时器,所述微处理器、可擦除只读数据存储器、静态存储器、闪存、乘法协处理器、存储管理保护模块通过核心数据总线相连,并通过桥连接器与其它与连接有安全检测与保护模块、非对称算法协处理器块、对称算法协处理器、随机数函数发生器、时钟处理模块,电源管理模块、中断控制模块、定时器的外围总线相连接,其特征在于,该设备还包括:一外部通讯接口模块,外部通讯接口模块连接外围数据总线,用于在加/解密设备与外部终端之间传递数据。
【技术特征摘要】
【专利技术属性】
技术研发人员:胡鹏,李勇,
申请(专利权)人:北京握奇数据系统有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。