CN108011716B - 一种密码装置及实现方法 - Google Patents
一种密码装置及实现方法 Download PDFInfo
- Publication number
- CN108011716B CN108011716B CN201610931043.0A CN201610931043A CN108011716B CN 108011716 B CN108011716 B CN 108011716B CN 201610931043 A CN201610931043 A CN 201610931043A CN 108011716 B CN108011716 B CN 108011716B
- Authority
- CN
- China
- Prior art keywords
- algorithm module
- arm processor
- interface
- algorithm
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密码装置及实现方法,现场可编程逻辑门阵列系统级芯片集成了嵌入式ARM处理器,现场可编程逻辑门阵列系统级芯片中还内置有限状态机;ARM处理器通过外部存储器接口与所述现场可编程逻辑门阵列系统级芯片连接通信;非易失闪存存储器与所述ARM处理器连接,用于存储ARM处理器的固件程序、第一密钥及数据;有限状态机分别与多个密码算法模块和多个随机数发生器连接,有限状态机用于对多个密码算法模块和多个随机数发生器进行调度,多个随机数发生器用于产生真随机数;该实现方法为ARM处理器解析密码装置接收到的控制命令信息及待加解密数据,并判断是否需要使用第一密钥,在不同情况下使用不同密钥,并完成加解密运算及运算数据传输。
Description
技术领域
本发明涉及信息安全技术领域,具体地,涉及一种密码装置及实现方法。
背景技术
随着通信与计算机网络技术的飞速发展,人们对网络环境和网络信息资源的依赖程度日益加深,而网络信息安全问题日渐严重,网络信息犯罪已成为当今社会上的重大隐患,所以网络信息的存储与传输得到有效保护是解决上述问题的关键所在。
国家密码局根据我国信息安全需要先后颁布了多种国产密码算法,为支持不同的密码算法,就需要设计各种密码装置来满足不同密码算法的需求,传统的密码装置主要基于PCI总线或PCI-E总线,然而这类总线设计都过于复杂,需要放置在机箱内,形成了成本过高、不具备通用性和实用性受限的问题。
如何提供一种支持多种密码算法、运算速率高、安全性强和通用标准接口的密码装置是当今科研的热点。
发明内容
本发明的目的是提供一种密码装置及实现方法,该装置通过以现场可编程逻辑门阵列系统级芯片(FPGA)为系统控制核心,支持多种国密算法和国际算法,并支持身份验证,为用户的数据信息提供了有效保护。
为了实现上述目的,本发明提供一种密码装置,包括:现场可编程逻辑门阵列系统级芯片、非易失闪存存储器、多个密码算法模块和多个随机数发生器;所述现场可编程逻辑门阵列系统级芯片集成了嵌入式ARM处理器;所述现场可编程逻辑门阵列系统级芯片中内置有限状态机;所述ARM处理器通过外部存储器接口与所述现场可编程逻辑门阵列系统级芯片连接通信;所述非易失闪存存储器与所述ARM处理器连接,用于存储所述ARM处理器固件程序、第一密钥及数据;所述有限状态机分别与所述多个密码算法模块和所述多个随机数发生器连接,所述有限状态机用于对所述多个密码算法模块和所述多个随机数发生器进行调度,其中该多个随机数发生器用于产生真随机数。
优选地,该装置还包括:多种数据接口,该多种数据接口集成在所述ARM处理器上,用于提供所述ARM处理器与外部连接设备或外部连接模块进行数据通信的接口。
优选地,该装置还包括:指纹识别模块,所述指纹识别模块通过第三接口与所述ARM处理器连接,用于读取用户指纹并进行用户身份验证。
优选地,所述多种数据接口包括:所述第一接口、第二接口和所述第三接口;其中,所述第一接口为通用串行总线2.0接口,所述第二接口为通用串行总线3.0接口以及所述第三接口为串行外设接口;所述第一接口为用于通过外接UKEY方式实现第一密钥备份、恢复和管理的接口;所述第二接口为用于该密码装置与外接服务器数据交互的接口。
优选地,所述数据交互包括:所述外接服务器通过所述第二接口将按照约定格式组包的待加解密数据、第二密钥和控制命令信息传输至所述ARM处理器的内部输入缓冲区;以及
所述ARM处理器将自身内部输出缓冲区的数据通过所述第二接口回传到所述外接服务器。
优选地,所述多个密码算法模块包括以下至少两种:SM1算法模块、SM2/SM3算法模块、SM4算法模块、和2个RSA算法模块;
其中,所述SM1算法模块为国密对称算法模块,用于实现SM1加密、解密功能;所述SM2算法模块为椭圆曲线算法模块用于实现SM2加密、解密、签名、验证的功能;所述SM3算法模块为密码杂凑算法模块,用于实现SM3签名、验证以及密码杂凑算法的功能;所述SM4算法模块为专用对称分组密码算法模块,用于实现SM4加密、解密的功能;所述2个RSA算法模块包括第一RSA算法模块和第二RSA算法模块,为国际非对称密码算法模块,用于实现RSA加密、解密、签名和验证的功能。
相应的,本发明还提供一种应用于密码装置的实现方法,包括以下步骤:ARM处理器解析密码装置接收到的控制命令信息及待加解密数据,并判断是否需要使用第一密钥;在不需要使用第一密钥的情况下,则使用第二密钥并通过有限状态机调用多个密码算法模块中相应的密码算法模块将所述密码装置接收到的待加解密数据进行加解密运算;在需要使用第一密钥的情况下,所述ARM处理器从非易失闪存存储器读取所述第一密钥并使用所述第一密钥,及有限状态机调用所述多个密码算法模块,再进行上述加解密运算;
所述ARM处理器将加解密运算后的数据通过所述第二接口回传到外接服务器,完成一次加解密运算。
优选地,该方法还包括:在所述多个算法模块中相应的密码算法模块完成加解密运算之后,现场可编程逻辑门阵列系统级芯片产生中断信号,并将该中断信号发送至所述ARM处理器;以及所述ARM处理器在接收到所述中断信号之后,将加解密运算后的数据从该ARM处理器内部的输出缓冲区输出。
优选地,所述多个密码算法模块包括:SM1算法模块、SM2/SM3算法模块、SM4算法模块、和2个RSA算法模块;其中,所述SM1算法模块为国密对称算法模块,用于实现SM1加密、解密功能;所述SM2算法模块为椭圆曲线算法模块用于实现SM2加密、解密、签名、验证的功能;所述SM3算法模块为密码杂凑算法模块,用于实现SM3签名、验证以及密码杂凑算法的功能;所述SM4算法模块为专用对称分组密码算法模块,用于实现SM4加密、解密的功能;所述2个RSA算法模块包括第一RSA算法模块和第二RSA算法模块,为国际非对称密码算法模块,用于实现RSA加密、解密、签名和验证的功能。
通过上述技术方案,以现场可编程逻辑门阵列系统级芯片为系统控制核心,降低了系统的设计难度,减少了系统硬件的成本;支持多种国密算法和国际算法,增强了密码的多样性;采用两种不同的随机数发生器,连接到现场可编程逻辑门阵列系统级芯片上,提供了多重随机数序列,增强了密码装置的稳定性;并支持指纹识别方式的身份验证,加强了密码装置的权限管理,提供了多一重保障;采用通用串行总线3.0接口进行数据交互,该通用串行总线3.0接口具有较高的通用性,易于在不同的设备上使用,同时具有较高的传输效率;采用两套密钥,即构成两个权限,提高了密码装置的安全性;采用通用串行总线2.0接口以外接UKEY方式进行第一密钥备份、恢复和管理,保证了密码装置密钥的安全性;综上所述,该密码装置为用户的数据信息提供了安全有效的保护。
本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是本发明实施例提供的一种密码装置的结构示意图。
图2是本发明实施例提供的一种应用于密码装置的实现方法的步骤示意图。
附图标记说明
1 现场可编程逻辑门阵列系统级芯片 2 ARM处理器
3 指纹识别模块 4 非易失闪存存储器
5 有限状态机 6 SM1算法模块
7 SM2/SM3算法模块 8 SM4算法模块
9 第一RSA算法模块 10 第二RSA算法模块
11 第一随机数发生器 12 第二随机数发生器
13 通用串行总线2.0接口 14 通用串行总线3.0接口
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
在本发明中,在未作相反说明的情况下,使用的方位词如“上、下、左、右”、“内、外”、“远、近”是指参考附图的方向,因此,使用方向用语是用来说明并非来限制本发明。
下面将结合本发明的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明提供的一种密码装置的结构示意图,如图1所示,本发明提供了一种密码装置,该装置包括:现场可编程逻辑门阵列系统级芯片(FPGA)1、指纹识别模块3、非易失闪存存储器(NOR FLASH)4、多个密码算法模块和多个随机数发生器;所述现场可编程逻辑门阵列系统级芯片1集成了嵌入式ARM处理器2,所述现场可编程逻辑门阵列系统级芯片1中内置有限状态机5;所述ARM处理器2通过外部存储器接口(EMIF)与所述现场可编程逻辑门阵列系统级芯片1连接通信;所述指纹识别模块3通过第三接口与所述ARM处理器2连接,用于读取用户指纹并进行用户身份验证;所述非易失闪存存储器4与所述ARM处理器2连接,用于存储所述ARM处理器2的固件程序、第一密钥及数据;所述有限状态机5分别与所述多个密码算法模块和所述多个随机数发生器连接,有限状态机5用于对所述多个密码算法模块和所述多个随机数发生器进行调度,其中该多个随机数发生器用于产生真随机数。
通过上述技术方案,以现场可编程逻辑门阵列系统级芯片1为系统控制核心,降低了系统的设计难度,减少了系统硬件的成本;多个密码算法模块支持多种国密算法和国际算法,多个密码算法模块的应用增强了密码的多样性;采用两种不同的随机数发生器,连接到现场可编程逻辑门阵列系统级芯片1上,提供了多重随机数序列,增强了密码装置的稳定性;并支持指纹识别方式的身份验证,加强了密码装置的权限管理,提供了多一重保障。
在实施例中,该装置还包括:多种数据接口,该多种数据接口集成在所述ARM处理器2上,用于提供所述ARM处理器2与外部连接设备或外部连接模块进行数据通信的接口,支持不同需求的数据传输或连接不同的外部连接设备或外部连接模块(例如以下一者或多者:外接服务器、UKEY、具有通用串行总线接口的存储设备),增强了密码装置上接口的通用性,易于在不同的设备上使用。
在实施例中,该密码装置还包括:指纹识别模块3,所述指纹识别模块3通过第三接口与所述ARM处理器2连接,用于读取用户指纹并进行用户身份验证;加强了密码装置的权限管理,提供了多一重保障。
在实施例中,所述多种数据接口包括:第一接口、第二接口和第三接口;所述第一接口为通用串行总线(USB)2.0接口13,所述第二接口为通用串行总线(USB)3.0接口14以及所述第三接口为串行外设接口(SPI);所述第一接口为用于通过外接UKEY方式实现第一密钥备份、恢复和管理的接口;所述第二接口为用于该密码装置与外接服务器数据交互的接口;其中,通过外部存储器接口实现现场可编程逻辑门阵列系统级芯片1与ARM处理器2之间的数据通信,增强了通信的速率;采用通用串行总线2.0接口13以外接UKEY方式进行第一密钥备份、恢复和管理,保证了密码装置密钥的安全性;采用通用串行总线3.0接口14进行数据交互,该通用串行总线3.0接口14具有较高的通用性,易于在不同的设备上使用,同时具有较高的传输效率;通过串行外设接口实现ARM处理器2与指纹识别模块3之间的数据通信,增强了密码装置的权限控制。
在实施例中,所述数据交互包括:所述外接服务器通过所述第二接口将按照约定格式组包的待加解密数据、第二密钥和控制命令信息传输至所述ARM处理器2的内部输入缓冲区;以及所述ARM处理器2将自身内部输出缓冲区的数据通过所述第二接口回传到所述外接服务器;将待加解密数据、第二密钥和控制命令信息存储在ARM处理器2的内部输入缓冲区方便在加解密运算时直接或解析使用上述信息。在实施例中,所述现场可编程逻辑门阵列系统级芯片1选用Xilinx公司的XCZU2CG-L2-FFVA625I芯片,所述指纹识别模块3选用汇顶科技的GF518M模组,所述非易失闪存存储器4选用Microchip公司的SST39WF1601芯片,降低了密码装置的成本及功耗,提高了密码装置的性能与灵活性。
在实施例中,所述多个密码算法模块可以包括:SM1算法模块6、SM2/SM3算法模块7、SM4算法模块8、和第一RSA算法模块9、第二RSA算法模块10;其中,所述SM1算法模块6为国密对称算法模块,用于实现SM1加密、解密功能;所述SM2算法模块为椭圆曲线算法模块用于实现SM2加密、解密、签名、验证的功能;所述SM3算法模块为密码杂凑算法模块,用于实现SM3签名、验证以及密码杂凑算法的功能;所述SM4算法模块8为专用对称分组密码算法模块,用于实现SM4加密、解密的功能;所述2个RSA算法模块为国际非对称密码算法模块,包括第一RSA算法模块9和第二RSA算法模块10,用于实现RSA加密、解密、签名和验证的功能;其中,SM1算法模块6选用SSX30-D芯片,使用双总线工作模式,实现了高速处理的功能;SM2算法模块和SM3算法模块7选用SSX1303芯片,满足了多密码应用的安全需求;SM4算法模块8选用SSX1304芯片,使用双总线工作模式,实现了高速处理的功能;第一RSA算法模块9和第二RSA算法模块10选用SSX17芯片,该SSX17芯片具备1024位和2408位的高速模幂运算,并通过2片SSX17芯片并行与现场可编程逻辑门阵列系统级芯片1连接,提高了RSA加密、解密、签名和验签速度。
在实施例中,所述多个随机数发生器中的每一个随机数发生器选用WNG8芯片或WNG9芯片,能够提供多种真随机数序列,提供了更加安全的保障。
图2示出了本发明提供的一种密码装置的实现方法的步骤示意图,如图2所示,本发明提供了一种密码装置的实现方法:密码装置接收待加解密数据、第二密钥、控制命令信息,通过第二接口传输到ARM处理器2内部的输入缓冲区;所述ARM处理器2解析所述控制命令,并判断是否需要使用第一密钥;在不需要使用第一密钥的情况下,所述ARM处理器2根据控制命令,直接使用第二密钥并通过有限状态机5调用多个密码算法模块中相应的密码算法模块进行加解密运算;若需要使用第一密钥,所述ARM处理器2从非易失闪存存储器4中读取第一密钥,写入所述ARM处理器2内部的输入缓冲区并使用第一密钥,再通过多个密码算法模块中相应的密码算法模块进行加解密运算,所述现场可编程逻辑门阵列系统级芯片1判断多个密码算法模块中相应的密码算法模块是否完成加解密运算,及现场可编程逻辑门阵列系统级芯片1是否把加解密运算后的数据传输到所述ARM处理器2内部的输出缓冲区;在未完成加解密运算或数据传输其中之一的情况下,重新通过所述有限状态机5调用多个密码算法模块中相应的密码算法模块进行加解密运算;若完成加解密运算和所述数据传输,所述现场可编程逻辑门阵列系统级芯片1产生算法结束中断信号给所述ARM处理器2,所述ARM处理器2收到中断信号后,将所述ARM处理器2的内部的输出缓冲区的数据,通过所述第二接口回传到外接服务器,完成一次加解密运算。
在实施例中,采用两套密钥,包括外部服务器通过通用串行总线3.0接口14传输至ARM处理器2的内部输入缓冲区的第一密钥和非易失闪存存储器4中存储的第二密钥,两套不同密钥形成两个权限,进而增强了密码装置的安全性,为用户信息提供了多一层的保障。
实施例中,所述数据接口模块为通用串行总线3.0接口14,该通用串行总线3.0接口14具有较高的通用性,易于在不同的设备上使用,同时具有较高的传输效率。
在实施例中,所述多个密码算法模块可以包括:SM1算法模块6、SM2/SM3算法模块7、SM4算法模块8、和第一RSA算法模块9、第二RSA算法模块10;其中,所述SM1算法模块为6国密对称算法模块,用于实现SM1加密、解密功能;所述SM2算法模块为椭圆曲线算法模块用于实现SM2加密、解密、签名、验证的功能;所述SM3算法模块为密码杂凑算法模块,用于实现SM3签名、验证以及密码杂凑算法的功能;所述SM4算法模块8为专用对称分组密码算法模块,用于实现SM4加密、解密的功能;所述2个RSA算法模块包括第一RSA算法模块9和第二RSA算法模块10,为国际非对称密码算法模块,用于实现RSA加密、解密、签名和验证的功能;其中,SM1算法模块6选用SSX30-D芯片,使用双总线工作模式,实现了高速处理的功能;SM2算法模块和SM3算法模块7选用SSX1303芯片,满足了多密码应用的安全需求;SM4算法模块8选用SSX1304芯片,使用双总线工作模式,实现了高速处理的功能;第一RSA算法模块9和第二RSA算法模块10选用SSX17芯片,该SSX17芯片具备1024位和2408位的高速模幂运算,并通过2片SSX17芯片并行与现场可编程逻辑门阵列系统级芯片连接,提高了RSA加密、解密、签名和验签速度。
实施例
如图1所示,密码装置包括:现场可编程逻辑门阵列系统级芯片1、指纹识别模块3、非易失闪存存储器4、5个密码算法模块和2个随机数发生器;所述现场可编程逻辑门阵列系统级芯片1集成嵌入式ARM处理器2;所述现场可编程逻辑门阵列系统级芯片1中内置有限状态机5;所述ARM处理器2通过外部存储器接口与所述现场可编程逻辑门阵列系统级芯片1连接通信;所述指纹识别模块3通过串行外设接口与所述ARM处理器2连接,用于读取用户指纹并进行用户身份验证;所述非易失闪存存储器4与所述ARM处理器2连接,用于存储所述ARM处理器2的固件程序、第一密钥及数据;所述有限状态机5分别与所述5个密码算法模块和所述2个随机数发生器连接,有限状态机5用于对所述5个密码算法模块和所述2个随机数发生器进行调度,其中有限状态机5调用该2个随机数发生器(第一随机数发生器11和第二随机数发生器12),且第一随机数发生器11和第二随机数发生器12用于产生真随机数;所述现场可编程逻辑门阵列系统级芯片1选用Xilinx公司的XCZU2CG-L2-FFVA625I芯片,所述指纹识别模块3选用汇顶科技的GF518M模组,所述非易失闪存存储器选4用Microchip公司的SST39WF1601芯片;所述5个密码算法模块可以包括:SM1算法模块6、SM2/SM3算法模块7、SM4算法模块8、和第一RSA算法模块9、第二RSA算法模块10;所述SM1算法模块6为国密对称算法模块,用于实现SM1加密、解密功能;所述SM2算法模块为椭圆曲线算法模块用于实现SM2加密、解密、签名、验证的功能;所述SM3算法模块为密码杂凑算法模块,用于实现SM3签名、验证以及密码杂凑算法的功能;所述SM4算法模块8为专用对称分组密码算法模块,用于实现SM4加密、解密的功能;所述2个RSA算法模块包括第一RSA算法模块9和第二RSA算法模块10,为国际非对称密码算法模块,用于实现RSA加密、解密、签名和验证的功能;其中,SM1算法模块6选用SSX30-D芯片,使用双总线工作模式,实现了高速处理的功能;SM2算法模块和SM3算法模块7选用SSX1303芯片,满足了多密码应用的安全需求;SM4算法模块8选用SSX1304芯片,使用双总线工作模式,实现了高速处理的功能;第一RSA算法模块9和第二RSA算法模块10选用SSX17芯片,该SSX17芯片具备1024位和2408位的高速模幂运算,并通过2片SSX17芯片并行与现场可编程逻辑门阵列系统级芯片1连接,提高了RSA加密、解密、签名和验签速度;所述2个随机数发生器中的第一随机数发生器11选用WNG8芯片,第二随机数发生器12选用WNG9芯片;具体步骤如下:
密码装置接收按照约定格式组包的待加解密数据、第二密钥、控制命令信息,通过通用串行总线3.0接口14传输到ARM处理器2内部的输入缓冲区;
ARM处理器2解析所述控制命令,并判断是否需要使用第一密钥;在不需要使用密钥的情况下,所述ARM处理器2根据控制命令,直接使用ARM处理器2内部输入缓冲区中的第二密钥并通过所述有限状态机5调用5个密码算法模块中相应的密码算法模块进行加解密运算;若需要使用第一密钥,所述ARM处理器2从所述非易失闪存存储器4中读取第一密钥,并写入ARM处理器2内部输入缓冲区,并使用第一密钥,再通过有限状态机5调用5个密码算法模块中相应的密码算法模块进行加解密运算;
现场可编程逻辑门阵列系统级芯片1判断5个密码算法模块中相应的密码算法模块是否完成运算,及现场可编程逻辑门阵列系统级芯片1是否把运算后的数据传输到ARM处理器2内部输出缓冲区;在未完成加解密运算或所述数据传输到ARM处理器2内部输出缓冲区其中之一的情况下,重新通过所述有限状态机5调用SM1算法模块6、SM2/SM3算法模块7、SM4算法模块8、和第一RSA算法模块9及第二RSA算法模块10中相应的算法模块进行加解密运算;
若完成加解密运算和所述数据传输,现场可编程逻辑门阵列系统级芯片1产生算法结束中断信号给ARM处理器2,ARM处理器2收到中断信号后,将ARM处理器2的内部输出缓冲区的数据,通过通用串行总线3.0接口14回传到外接服务器,至此完成一次加解密运算。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。
Claims (6)
1.一种密码装置,其特征在于,包括:现场可编程逻辑门阵列系统级芯片、非易失闪存存储器、多个密码算法模块和多个随机数发生器;
所述现场可编程逻辑门阵列系统级芯片集成了嵌入式ARM处理器,所述现场可编程逻辑门阵列系统级芯片中内置有限状态机;所述ARM处理器通过外部存储器接口与所述现场可编程逻辑门阵列系统级芯片连接通信;所述非易失闪存存储器与所述ARM处理器连接,用于存储所述ARM处理器的固件程序、第一密钥及数据;
所述有限状态机分别与所述多个密码算法模块和所述多个随机数发生器连接,所述有限状态机用于对所述多个密码算法模块和所述多个随机数发生器进行调度,该多个随机数发生器用于产生真随机数;
所述密码装置还包括:多种数据接口,该多种数据接口集成在所述ARM处理器上,用于提供所述ARM处理器与外部连接设备或外部连接模块进行数据通信的接口;和
指纹识别模块,所述指纹识别模块通过第三接口与所述ARM处理器连接,用于读取用户指纹并进行用户身份验证;
所述多种数据接口包括:第一接口、第二接口和所述第三接口;
其中,所述第一接口为通用串行总线2.0接口,所述第二接口为通用串行总线3.0接口以及所述第三接口为串行外设接口;
所述第一接口为用于通过外接UKEY方式实现第一密钥备份、恢复和管理的接口;所述第二接口为用于该密码装置与外接服务器进行数据交互的接口。
2.根据权利要求1所述的密码装置,其特征在于,所述数据交互包括:所述外接服务器通过所述第二接口将按照约定格式组包的待加解密数据、第二密钥和控制命令信息传输至所述ARM处理器的内部输入缓冲区;以及
所述ARM处理器将自身内部输出缓冲区的数据通过所述第二接口回传到所述外接服务器。
3.根据权利要求1所述的密码装置,其特征在于,所述多个密码算法模块包括以下至少两种:SM1算法模块、SM2/SM3算法模块、SM4算法模块、和2个RSA算法模块;
其中,所述SM1算法模块为国密对称算法模块,用于实现SM1加密、解密功能;
所述SM2算法模块为椭圆曲线算法模块用于实现SM2加密、解密、签名、验证的功能;
所述SM3算法模块为密码杂凑算法模块,用于实现SM3签名、验证以及密码杂凑算法的功能;
所述SM4算法模块为专用对称分组密码算法模块,用于实现SM4加密、解密的功能;
所述2个RSA算法模块包括第一RSA算法模块和第二RSA算法模块,为国际非对称密码算法模块,用于实现RSA加密、解密、签名和验证的功能。
4.一种应用于权利要求1-3中任一项权利要求所述的密码装置的实现方法:
ARM处理器解析密码装置接收到的控制命令信息及待加解密数据,并判断是否需要使用第一密钥;
在不需要使用第一密钥的情况下,则使用第二密钥并通过有限状态机调用多个密码算法模块中相应的密码算法模块对所述待加解密数据进行加解密运算;
在需要使用第一密钥的情况下,所述ARM处理器从非易失闪存存储器读取所述第一密钥并使用所述第一密钥,及所述有限状态机调用所述多个密码算法模块中相应的密码算法模块对所述待加解密数据进行加解密运算;
所述ARM处理器将加解密运算后的数据通过第二接口回传到外接服务器,完成一次加解密运算。
5.根据权利要求4所述的方法,其特征在于,该方法还包括:
在所述多个密码算法模块中相应的密码算法模块完成加解密运算之后,现场可编程逻辑门阵列系统级芯片产生中断信号,并将该中断信号发送至所述ARM处理器;以及
所述ARM处理器在接收到所述中断信号之后,将加解密运算后的数据从该ARM处理器内部的输出缓冲区输出。
6.根据权利要求4所述的方法,其特征在于,所述多个密码算法模块包括以下至少两种:SM1算法模块、SM2/SM3算法模块、SM4算法模块、和2个RSA算法模块;
所述SM1算法模块为国密对称算法模块,用于实现SM1加密、解密功能;
所述SM2算法模块为椭圆曲线算法模块用于实现SM2加密、解密、签名、验证的功能;
所述SM3算法模块为密码杂凑算法模块,用于实现SM3签名、验证以及密码杂凑算法的功能;
所述SM4算法模块为专用对称分组密码算法模块,用于实现SM4加密、解密的功能;
所述2个RSA算法模块包括第一RSA算法模块和第二RSA算法模块,为国际非对称密码算法模块,用于实现RSA加密、解密、签名和验证的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610931043.0A CN108011716B (zh) | 2016-10-31 | 2016-10-31 | 一种密码装置及实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610931043.0A CN108011716B (zh) | 2016-10-31 | 2016-10-31 | 一种密码装置及实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108011716A CN108011716A (zh) | 2018-05-08 |
| CN108011716B true CN108011716B (zh) | 2021-04-16 |
Family
ID=62047197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610931043.0A Active CN108011716B (zh) | 2016-10-31 | 2016-10-31 | 一种密码装置及实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108011716B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110677250B (zh) | 2018-07-02 | 2022-09-02 | 阿里巴巴集团控股有限公司 | 密钥和证书分发方法、身份信息处理方法、设备、介质 |
| CN110795774B (zh) | 2018-08-02 | 2023-04-11 | 阿里巴巴集团控股有限公司 | 基于可信高速加密卡的度量方法、设备和系统 |
| CN110795742B (zh) | 2018-08-02 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 高速密码运算的度量处理方法、装置、存储介质及处理器 |
| CN110874478B (zh) | 2018-08-29 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 密钥处理方法及装置、存储介质和处理器 |
| CN110875819B (zh) * | 2018-08-29 | 2022-09-06 | 阿里巴巴集团控股有限公司 | 密码运算处理方法、装置及系统 |
| CN109697173B (zh) * | 2018-12-11 | 2023-05-23 | 中国航空工业集团公司西安航空计算技术研究所 | 一种面向信息安全的嵌入式计算机SiP模块设计方法及电路 |
| CN111262700A (zh) * | 2020-01-13 | 2020-06-09 | 中孚信息股份有限公司 | 一种高速sata接口密码模块的通信方法及装置 |
| CN113922960B (zh) * | 2020-07-08 | 2023-10-24 | 神州融安数字科技(北京)有限公司 | 一种基于sm2的psi获取方法、装置及系统 |
| CN114448627A (zh) * | 2022-02-21 | 2022-05-06 | 广州鼎甲计算机科技有限公司 | 一种加密卡及其加密方法 |
| CN114996725B (zh) * | 2022-05-06 | 2023-07-28 | 北京中科昊芯科技有限公司 | 一种保护开发程序的方法以及处理器 |
| CN115412239B (zh) * | 2022-08-29 | 2024-04-19 | 中国人民解放军国防科技大学 | 一种基于sm2的具有可重随机性的公钥加解密方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183405A (zh) * | 2007-11-30 | 2008-05-21 | 西安交通大学 | 基于fpga的小世界算法硬件平台实现方法 |
| CN101799852A (zh) * | 2010-02-09 | 2010-08-11 | 北京江南博仁科技有限公司 | 用于银行柜面敏感数据保护的硬件密码模块及方法 |
| CN101854353A (zh) * | 2010-04-28 | 2010-10-06 | 国网电力科学研究院 | 一种基于fpga的多芯片并行加密方法 |
| CN103220150A (zh) * | 2013-04-08 | 2013-07-24 | 浪潮集团有限公司 | 一种基于fpga的税收校验卡 |
| CN103237021A (zh) * | 2013-04-08 | 2013-08-07 | 浪潮集团有限公司 | 一种基于fpga芯片的pci-e的高速密码卡 |
| CN103780608A (zh) * | 2014-01-14 | 2014-05-07 | 浪潮电子信息产业股份有限公司 | 一种基于可编程门阵列芯片的sm4算法控制方法 |
| CN104122820A (zh) * | 2014-07-22 | 2014-10-29 | 深圳市吉芯微半导体有限公司 | 传感器接口芯片及传感器信号检测系统 |
| CN105099711A (zh) * | 2015-08-28 | 2015-11-25 | 北京三未信安科技发展有限公司 | 一种基于zynq的小型密码机及数据加密方法 |
| CN105376061A (zh) * | 2015-10-10 | 2016-03-02 | 广州慧睿思通信息科技有限公司 | 一种基于fpga的解密硬件平台 |
| CN106022080A (zh) * | 2016-06-30 | 2016-10-12 | 北京三未信安科技发展有限公司 | 一种基于PCIe接口的密码卡及该密码卡的数据加密方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9747252B2 (en) * | 2015-02-05 | 2017-08-29 | Weng Tianxiang | Systematic method of coding wave-pipelined circuits in HDL |
-
2016
- 2016-10-31 CN CN201610931043.0A patent/CN108011716B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183405A (zh) * | 2007-11-30 | 2008-05-21 | 西安交通大学 | 基于fpga的小世界算法硬件平台实现方法 |
| CN101799852A (zh) * | 2010-02-09 | 2010-08-11 | 北京江南博仁科技有限公司 | 用于银行柜面敏感数据保护的硬件密码模块及方法 |
| CN101854353A (zh) * | 2010-04-28 | 2010-10-06 | 国网电力科学研究院 | 一种基于fpga的多芯片并行加密方法 |
| CN103220150A (zh) * | 2013-04-08 | 2013-07-24 | 浪潮集团有限公司 | 一种基于fpga的税收校验卡 |
| CN103237021A (zh) * | 2013-04-08 | 2013-08-07 | 浪潮集团有限公司 | 一种基于fpga芯片的pci-e的高速密码卡 |
| CN103780608A (zh) * | 2014-01-14 | 2014-05-07 | 浪潮电子信息产业股份有限公司 | 一种基于可编程门阵列芯片的sm4算法控制方法 |
| CN104122820A (zh) * | 2014-07-22 | 2014-10-29 | 深圳市吉芯微半导体有限公司 | 传感器接口芯片及传感器信号检测系统 |
| CN105099711A (zh) * | 2015-08-28 | 2015-11-25 | 北京三未信安科技发展有限公司 | 一种基于zynq的小型密码机及数据加密方法 |
| CN105376061A (zh) * | 2015-10-10 | 2016-03-02 | 广州慧睿思通信息科技有限公司 | 一种基于fpga的解密硬件平台 |
| CN106022080A (zh) * | 2016-06-30 | 2016-10-12 | 北京三未信安科技发展有限公司 | 一种基于PCIe接口的密码卡及该密码卡的数据加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108011716A (zh) | 2018-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108011716B (zh) | 一种密码装置及实现方法 | |
| CN108345806B (zh) | 一种硬件加密卡和加密方法 | |
| CN101854243B (zh) | 一种电路系统设计加密电路及其加密方法 | |
| CN110149209B (zh) | 物联网设备及其提高数据传输安全性的方法和装置 | |
| CN209803788U (zh) | 一种pcie可信密码卡 | |
| CN105447394B (zh) | 一种带本地数据加密功能的智能密码钥匙 | |
| CN113420309B (zh) | 基于国密算法的轻量化数据保护系统 | |
| CN103546289A (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
| CN114710351A (zh) | 用于在通信过程中改进数据安全性的方法和系统 | |
| CN102163267A (zh) | 固态硬盘安全访问控制方法、装置和固态硬盘 | |
| CN110650011A (zh) | 基于量子密钥的加密存储方法和加密存储卡 | |
| CN103701757A (zh) | 业务接入的身份认证方法与系统 | |
| US20170026385A1 (en) | Method and system for proximity-based access control | |
| CN106027261B (zh) | 基于fpga的luks认证芯片电路及其密码恢复方法 | |
| US20190050601A1 (en) | Cryptographic circuit and data processing | |
| CN104901810A (zh) | 一种基于国产密码算法的数据加密存储的方法 | |
| CN111881490A (zh) | 与外置加密芯片融合应用nvme存储设备的共享数据保护方法 | |
| CN115455497A (zh) | 一种计算机硬盘数据加密系统及方法 | |
| CN106295373A (zh) | 一种基于m‑phy接口实现的数据传输加密装置 | |
| CN111163108A (zh) | 一种电力物联网安全终端芯片复合加密系统和方法 | |
| CN105825135A (zh) | 一种加密芯片、加密系统、加密方法及解密方法 | |
| US20230289424A1 (en) | Security Chip-Based Security Authentication Method and System, Security Chip, and Readable Storage Medium | |
| CN101853220A (zh) | 一种具有密钥分拆存储机制的移动存储设备 | |
| EP2993856B1 (en) | Establishment of communication connection between mobile device and secure element | |
| CN204808325U (zh) | 一种对数据进行加密的设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |