CN105337731A - 一种密码设备的改进及改进后数据同步方法及系统 - Google Patents
一种密码设备的改进及改进后数据同步方法及系统 Download PDFInfo
- Publication number
- CN105337731A CN105337731A CN201510823418.7A CN201510823418A CN105337731A CN 105337731 A CN105337731 A CN 105337731A CN 201510823418 A CN201510823418 A CN 201510823418A CN 105337731 A CN105337731 A CN 105337731A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- management
- board
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种密码设备的改进及改进后数据同步方法及系统,所述密码设备的改进方法包括,将管理功能和运算功能进行分离。本发明提升性能的同时并兼顾数据的保护,确保敏感数据不会进入主机内存。方案中利用FPGA灵活的资源实现了数据集散中心的功能。
Description
技术领域
本发明涉及一种密码设备的改进及改进后数据同步方法及系统,属于信息安全技术领域。
背景技术
PKI,即公钥基础设施,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的技术设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
在PKI应用领域一般有分为终端和服务器端。
终端产品有大众耳熟能详的USBkey、POS机、ATM取款机等;服务器领域包括签名验签服务器,服务器密码机,以及金融数据密码机等。在服务器端都需要配备基础密码设备:PCI密码卡。目前主流的密码卡有PCI和PCIE总线的。
PCI密码卡是高性能基础密码设备,能够适用于各类密码安全应用系统进行高速的,多任务并行处理的密码运算,可以满足应用系统数据的签名/验证、加密/解密的要求,保证传输信息的机密性,完整性和有效性,同时提供安全、完善的权限及密钥管理机制。因此PCI密码卡是PKI体系中密码算法的提供者,是PKI体系中的关键基础密码设备。
随着信息技术在各个领域的应用,很多应用场合对PKI应用服务器的性能指标提出了更好的要求,在单张密码卡的性能无法满足服务的性能要求时,就需要多张密码卡来分担业务的运算要求,从而达到提高服务器性能的目的。在多张板卡并行的应用场合中,对PCI密码卡的权限及密钥管理功能提出了新的技术需求。
现有技术中的全功能单板功能包括:
1、密码算法功能模块:
算法包括对称,非对称,摘要算法及随机数模块,以及这些模块组合后的各种功能业务功能;密码算法的调用收到权限控制模块密钥管理及保护模块的影响。
2、密钥的的管理及保护模块:
包括密钥的生成,存储,保护,销毁;
密钥采用三级密钥:系统(设备)密钥,用户密钥,会话密钥。其中系统(设备)密钥和用户密钥为敏感信息,需要安全存储及备份;
3、权限控制模块:
密码卡的调用需要相应的权限,会对密码卡的功能调用存在限制,目前PCI密码卡普遍采用两级权限控制。管理员权限和操作员权限,管理员和操作员的存储介质可以是IC卡,也可以是USBKEY。
密码卡的两级权限,保证密码卡调度过程中的安全性;
4、备份恢复模块:
备份恢复属于灾备机制,确保密码卡的重要数据损坏后能够使系统还原未损坏时的状态。
随着信息技术的广泛应用,目前密码卡的安全机制是比较可靠的,但密码算法的性能及冗余限制了信息安全技术的推广,冗余及性能的要求需要亟需解决。
发明内容
本发明对PKI应用中的基础密码设备(PCI密码卡)进行了改进并提供了改进后权限和密钥同步的方法。本发明要解决的技术问题是:1,提高现有基础密码设备的性能;2、解决新方案中针对现有设备权限和密钥同步技术面临的问题。
本发明首先针对性能问题提出:将传统密码设备拆成管理板和运算板。然后针对新方案解决了管理板和运算板数据同步的难题。
本发明解决上述数据同步问题的技术方案如下:一种密码设备的改进方法,包括,将管理功能和运算功能进行分离。
本发明解决上述数据同步问题的技术方案如下:一种密码设备的改进后数据同步方法,具体包括以下步骤:
步骤1:管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;
步骤2:管理板将自身存储空间的数据同步到数据集散中心;
步骤3:管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心中的数据,并存储到自身存储空间中;
步骤4:运算板接收来自运算通道的指令;
步骤5:各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。
本发明的有益效果是:将管理功能和运算功能进行分离,提升性能的同时兼顾重要数据的保护,确保数据不会进入主机内存中;运算模块分离后为上层软件的冗余调用提供了底层保障。
进一步的方案为:数据同步利用数据集散中心来完成,其中数据集散中心利用FPGA进行实现。
所述数据集散中心模块包括至少两块双端口RAM;
所有所述双端口RAM的写端口与管理模块相通信;每个所述双端口RAM的读端口与一个运算模块相通信。
采用上述进一步方案的有益效果是,利用FPGA的资源可灵活配置的特点,实现了一种数据同步方法。通过至少两块双端口RAM,实现了多个运算模块对应一个管理模块的相应的数据更新,并且每个运算模块的运算保持独立。
进一步,所述步骤1中管理模块通过pcie口、pci口、usb口或com口等作为管理通道接收外部指令。
进一步,所述运算模块包括控制器、算法模块和随机数产生模块;
所述控制器与数据集散中心模块相通信,用于接收外部指令,根据外部指令控制算法模块和随机数据产生模块;
所述算法模块用于根据控制器的控制和内存中的权限和密钥进行运算;
所述随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务。
进一步,所述管理模块包括控制模块、随机数模块、权限控制模块和数据存储模块;
所述控制模块根据外部指令控制随机数模块、权限控制模块和数据存储模块;
所述随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务;
所述权限控制模块用以根据控制模块的控制进行权限和密钥管理;
所述数据存储模块用于根据控制模块的控制存储权限控制模块产生的权限和密钥数据。
本发明提出了运算模块及管理模块分离的想法,技术改进后,对全功能单板做了业务功能做了划分:模块运算和管理模块;运算模块主要承担密码算法功能模块,管理模块承担密钥的管理及保护,权限的控制和备份恢复功能。本发明的提出是解决运算模块如何同步管理模块重要数据及权限状态的。
附图说明
图1为本发明所述的基础密码设备的改进后数据同步方法流程图;
图2为本发明所述的基础密码设备的改进后数据同步系统结构示意图;
图3为现有技术中全功能单板结构示意图;
图4为本发明具体实施例1所述的基础密码设备的改进后数据同步结构示意图。
图5为本发明数据集散中心的实施例。
附图1-5中,各标号所代表的部件列表如下:
1、管理板,2、数据集散中心模块,3、运算板,4、PCI或PCI-express接口,5、PCI或PCI-express接口芯片,6、控制模块,7、算法模块,8、随机数生成模块,9、权限控制模块,10、数据存储模块,11、权限存储介质,12、FPGA,13、双口RAM。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,为本发明所述的一种密码设备的改进后数据同步方法,具体包括以下步骤:
步骤1:管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;
步骤2:管理板将自身存储空间的数据同步到数据集散中心;
步骤3:管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心中的数据,并存储到自身存储空间中;
步骤4:运算板接收来自运算通道的指令;
步骤5:各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。
所述数据集散中心模块包括至少两块双端口RAM;所有所述双端口RAM的写端口与管理模块相通信;每个所述双端口RAM的读端口与一个运算模块相通信。
所述步骤1中管理模块通过pci口、usb口或com口等接收外部指令。
如图2所示,为本发明所述的一种密码设备的改进后数据同步系统,包括管理模块1、数据集散中心模块2和至少两个运算模块3;
所述管理模块1接收外部管理指令,根据指令进行权限和密钥管理,权限和密钥管理产生更新数据;所述管理模块1将更新数据同步到所述数据集散中心模块2;所述管理模块1向所有所述运算模块3发送更新指令;
所有所述运算模块3获取数据集散中心模块2中的更新数据,并保存到内存中;
所有所述运算模块3分别接收外部运算指令;所有运算模块3分别根据其内存中的数据和权限做相应操作并反馈结果。
所述数据集散中心模块2包括至少两块双端口RAM;
所有所述双端口RAM的写端口与管理模块1相通信;每个所述双端口RAM的读端口与一个运算模块3相通信。
所述管理模块1通过pcie口、pci口、usb口或com口等接收外部指令。
所述运算模块3包括控制器、算法模块和随机数产生模块;
所述控制器与数据集散中心模块相通信,用于接收外部指令,根据外部指令控制算法模块和随机数据产生模块;
所述算法模块用于根据控制器的控制和内存中的权限和密钥进行运算;
所述随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务;
所述所述权限控制模块用以根据控制模块的控制进行权限和密钥管理;
所述数据存储模块用于根据控制模块的控制存储权限控制模块产生的权限和密钥数据。
管理模块流程简介:
1、主控程序等待来自主机端的命令,与主机端通讯可采用pcie、pci、usb或com口;
2、操作人员通过登录管理程序,对干管理板进行权限及密钥的管理;
3、操作2完成后,管理板的状态会有状态数据的改变,这些改变也会在数据集散中心同时得到更新;
4、管理板向运算板下达状态更新指令;
5、直至所有运算板的状态都同步完成;结束。
运算模块流程简介:
1、上电初始化后,运算板处于无权限状态;
2、等待来自管理板或者主机端的操作命令;
3、若命令为来自管理板的更新指令,运算板从数据集散中心copy重要的数据及权限状态的变化;
4、更新完成后,进入等待来自管理板或者主机端操作命令的状态;
5、若操作命令是来自主机端的业务运算,根据运算板的重要数据及权限状态做出相应的操作并返回;结束。
数据集散中心模块的实现:
1、首先利用FPGA技术在FPGA内部例化多块双端口RAM,例化的数量根据要并行的运算板数量决定。
2、双端口RAM的写端口开放给管理板,由管理板及时把重要数据和权限状态更新到双端口RAM。
3、双端口RAM的读端口开放给运算板,当运算板接收到更新指令后,能快速的将双端口RAM中的数据更新到运算板的内存中。
以下以本发明具体实施例与现有技术进行对比;
如图3所示,为现有技术中全功能单板的结构示意图;其中包括:PCI或PCI-express接口4、PCI或PCI-express接口芯片5、控制模块6(可以是单片机、DSP、ARM等类芯片)、算法模块7、随机数生成模块8、权限控制模块9、数据存储模块10和权限存储介质11(key或IC卡)。
如图4所示,为本发明具体实施例1所述的一种密码设备的改进后数据同步系统结构示意图。包括:管理模块1、数据集散中心模块2、至少两个运算模块3、PCI或PCI-express接口4、PCI或PCI-express接口芯片5、控制模块6(可以是单片机、DSP、ARM等类芯片)、算法模块7、随机数生成模块8、权限控制模块9、数据存储模块10和权限存储介质11(key或IC卡)。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种密码设备的改进方法,其特征在于,将管理功能和运算功能进行分离。
2.一种密码设备的改进后数据同步方法,其特征在于,具体包括以下步骤:
步骤1:管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;
步骤2:管理板将自身存储空间的数据同步到数据集散中心;
步骤3:管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心中的数据,并存储到自身存储空间中;
步骤4:运算板接收来自运算通道的指令;
步骤5:各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。
3.根据权利要求2所述的一种密码设备的改进后数据同步方法,其特征在于,所述数据集散中心模块通过多个双端口RAM将管理板将重要数据同步到各运算板;
所有所述双端口RAM的写端口与管理板相连接;每个所述双端口RAM的读端口与一个运算板相连接。
4.根据权利要求2或3所述的一种密码设备的改进后数据同步方法,其特征在于,所述步骤1中管理板可以通过pcie口、pci口、usb口或com口接收管理通道的外部指令。
5.一种密码设备的改进后数据同步系统,其特征在于,包括管理板、数据集散中心模块和多个运算板;
所述管理板接收来自管理通道的管理指令,依管理指令进行权限和密钥管理,并更新管理板存储空间中的重要数据;
所述管理板将自身存储空间的数据同步到数据集散中心模块;
所述管理板向所有所述运算板发送更新指令;
所述管理板向在线运算板发送更新指令,运算板接收更新指令后获取数据集散中心模块中的数据,并保存到自身存储空间中;
所述运算板接收来自运算通道的指令;
每个所述运算板根据更新后的数据按照运算通道的指令进行相应操作并将结果通过运算通道反馈。
6.根据权利要求5所述的一种密码设备的改进后数据同步系统,其特征在于,所述数据集散中心模块包括至少两块双端口RAM;
所有所述双端口RAM的写端口与管理板相通信;每个所述双端口RAM的读端口与一个运算板相通信。
7.根据权利要求5或6所述的一种密码设备的改进后数据同步系统,其特征在于,所述管理板通过pcie口、pci口、usb口或com口接收管理通道的外部指令。
8.根据权利要求5所述的一种密码设备的改进后数据同步系统,其特征在于,所述管理板包括控制模块、随机数模块、权限控制模块和数据存储模块;
所述控制模块根据来自管理通道的外部指令控制随机数模块、权限控制模块和数据存储模块;
所述随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务;
所述权限控制模块用以根据控制模块的控制进行权限和密钥管理;
所述数据存储模块用于根据控制模块的控制存储权限控制模块产生的权限状态和密钥数据。
9.根据权利要求8所述的一种密码设备的改进后数据同步系统,其特征在于,所述运算板包括控制器模块、算法模块和随机数产生模块;
所述控制器可与运算通道及管理板的控制器通讯,与运算通道通信接收来自主机端的运算指令,并根据运算板的状态反馈结果;与管理板的控制模块通信,接收来自管理板的数据同步指令,并更新自身数据;两种通讯完成后,所述控制器进入新的一轮等待指令状态;
所述算法模块用于根据控制器的控制和存储空间中的权限和密钥进行运算;
所述随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510823418.7A CN105337731B (zh) | 2015-11-24 | 2015-11-24 | 一种密码设备的改进后数据同步方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510823418.7A CN105337731B (zh) | 2015-11-24 | 2015-11-24 | 一种密码设备的改进后数据同步方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105337731A true CN105337731A (zh) | 2016-02-17 |
| CN105337731B CN105337731B (zh) | 2018-02-09 |
Family
ID=55288052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510823418.7A Active CN105337731B (zh) | 2015-11-24 | 2015-11-24 | 一种密码设备的改进后数据同步方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105337731B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534136A (zh) * | 2016-11-22 | 2017-03-22 | 北京中金国信科技有限公司 | 一种pci‑e密码卡 |
| CN109800558A (zh) * | 2018-12-27 | 2019-05-24 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 密码服务板卡以及密码服务装置 |
| CN111309353A (zh) * | 2020-01-20 | 2020-06-19 | 山东超越数控电子股份有限公司 | 一种基于服务器控制板更新运算板fpga固件的方法及设备 |
| CN111580956A (zh) * | 2020-04-13 | 2020-08-25 | 北京三未信安科技发展有限公司 | 一种密码卡及其密钥空间配置方法和密钥使用方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377567A (zh) * | 2010-08-17 | 2012-03-14 | 青岛高校信息产业有限公司 | 智能密码钥匙系统 |
| CN103237021A (zh) * | 2013-04-08 | 2013-08-07 | 浪潮集团有限公司 | 一种基于fpga芯片的pci-e的高速密码卡 |
| CN103825698A (zh) * | 2014-01-20 | 2014-05-28 | 中国建设银行股份有限公司 | 一种密码安全管理系统和方法 |
| CN104393985A (zh) * | 2014-11-25 | 2015-03-04 | 成都卫士通信息产业股份有限公司 | 一种基于多网卡技术的密码机 |
-
2015
- 2015-11-24 CN CN201510823418.7A patent/CN105337731B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377567A (zh) * | 2010-08-17 | 2012-03-14 | 青岛高校信息产业有限公司 | 智能密码钥匙系统 |
| CN103237021A (zh) * | 2013-04-08 | 2013-08-07 | 浪潮集团有限公司 | 一种基于fpga芯片的pci-e的高速密码卡 |
| CN103825698A (zh) * | 2014-01-20 | 2014-05-28 | 中国建设银行股份有限公司 | 一种密码安全管理系统和方法 |
| CN104393985A (zh) * | 2014-11-25 | 2015-03-04 | 成都卫士通信息产业股份有限公司 | 一种基于多网卡技术的密码机 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534136A (zh) * | 2016-11-22 | 2017-03-22 | 北京中金国信科技有限公司 | 一种pci‑e密码卡 |
| CN109800558A (zh) * | 2018-12-27 | 2019-05-24 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 密码服务板卡以及密码服务装置 |
| CN109800558B (zh) * | 2018-12-27 | 2021-01-12 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 密码服务板卡以及密码服务装置 |
| CN111309353A (zh) * | 2020-01-20 | 2020-06-19 | 山东超越数控电子股份有限公司 | 一种基于服务器控制板更新运算板fpga固件的方法及设备 |
| CN111309353B (zh) * | 2020-01-20 | 2023-05-23 | 超越科技股份有限公司 | 一种基于服务器控制板更新运算板fpga固件的方法及设备 |
| CN111580956A (zh) * | 2020-04-13 | 2020-08-25 | 北京三未信安科技发展有限公司 | 一种密码卡及其密钥空间配置方法和密钥使用方法 |
| CN111580956B (zh) * | 2020-04-13 | 2024-05-14 | 三未信安科技股份有限公司 | 一种密码卡及其密钥空间配置方法和密钥使用方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105337731B (zh) | 2018-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361517A (zh) | 一种基于云计算的虚拟化云密码机系统及其实现方法 | |
| CN100437618C (zh) | 一种便携式信息安全设备 | |
| US10530752B2 (en) | Efficient device provision | |
| CN105337731A (zh) | 一种密码设备的改进及改进后数据同步方法及系统 | |
| US11356445B2 (en) | Data access interface for clustered devices | |
| CN104252375A (zh) | 用于位于不同主机的多个虚拟机共享USB Key的方法和系统 | |
| US10621055B2 (en) | Adaptive data recovery for clustered data devices | |
| CN103885830A (zh) | 一种虚拟机跨数据中心动态迁移中的数据处理方法 | |
| CN105099711A (zh) | 一种基于zynq的小型密码机及数据加密方法 | |
| CN105681281A (zh) | 基于嵌入式操作系统的密码设备 | |
| CN106326757A (zh) | 一种存储系统的数据加密装置 | |
| CN107749862A (zh) | 一种数据加密集中存储方法、服务器、用户终端及系统 | |
| CN105279453A (zh) | 一种支持分离存储管理的文件分区隐藏系统及其方法 | |
| CN114239015A (zh) | 数据的安全管理方法、装置、数据云平台以及存储介质 | |
| CN101118639A (zh) | 安全电子人口普查系统 | |
| CN101673434A (zh) | 一种ic卡终端的密钥管理方法 | |
| CN101777979B (zh) | 一种智能密钥设备的工作方法和系统 | |
| CN111428258B (zh) | 一种税控服务器加密机及其开票系统 | |
| CN203327053U (zh) | 基于身份证识别的网络集中解码设备 | |
| CN203786739U (zh) | 一种身份证识别器网络集中解码系统 | |
| CN105516210A (zh) | 终端安全接入认证的系统及方法 | |
| CN103873245B (zh) | 虚拟机系统数据加密方法及设备 | |
| CN111291332A (zh) | 一种在虚拟化环境下共享使用加密卡的方法及系统 | |
| CN105426705A (zh) | 一种会计软件的加密控制系统 | |
| CN102761559A (zh) | 基于私密数据的网络安全共享方法及通信终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 1406, 14 / F, building 2, yard 16, Guangshun North Street, Chaoyang District, Beijing 100029 Patentee after: Sanwei Xin'an Technology Co., Ltd Address before: 100029 22, building 3, building 170, Beiyuan Road, No. 1, Beijing, Chaoyang District, 2602 Patentee before: BEIJING SANSEC TECHNOLOGY DEVELOPMENT Co.,Ltd. |
|
| CP03 | Change of name, title or address |