CN108491724A - 一种基于硬件的计算机接口加密装置及方法 - Google Patents
一种基于硬件的计算机接口加密装置及方法 Download PDFInfo
- Publication number
- CN108491724A CN108491724A CN201810204411.0A CN201810204411A CN108491724A CN 108491724 A CN108491724 A CN 108491724A CN 201810204411 A CN201810204411 A CN 201810204411A CN 108491724 A CN108491724 A CN 108491724A
- Authority
- CN
- China
- Prior art keywords
- interface
- data
- encryption
- chip
- hardware based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Abstract
本发明公开了一种基于硬件的计算机接口加密装置及方法,包括连接处理器的IO接口芯片,该IO接口芯片对外提供IO接口并连接有TCM芯片、FPGA芯片,所述IO接口包括USB接口、网络接口、SATA接口;上述FPGA芯片内配置有加密算法,用于将基于USB接口、网络接口、SATA接口进行传输的数据进行加密。该一种基于硬件的计算机接口加密装置及方法与现有技术相比,可对通过硬盘接口、网络接口、USB接口传输的任意数据进行加密操作,加密过程不需要应用层软件的配合、不占用CPU资源、不影响数据传输速率,实用性强,适用范围广泛,易于推广。
Description
技术领域
本发明涉及计算机技术领域,尤具体地说是一种实用性强、基于硬件的计算机接口加密装置及方法。
背景技术
在涉密办公等应用场合,通常会采取一定的数据安全措施。例如在普通计算机上安装特定的管理软件,对计算机的对外接口进行权限管理。该方式实现的成本很低,但是由于完全在软件层面实现,容易被修改破解,而且会额外占用系统资源,影响计算机的性能。
针对这一问题,本发明专利提出了一种基于硬件的接口加密技术,可以对计算机的硬盘接口、网络接口、USB接口进行加密处理,防止涉密信息外泄。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、基于硬件的计算机接口加密装置及方法。
一种基于硬件的计算机接口加密装置,包括连接处理器的IO接口芯片,该IO接口芯片对外提供IO接口并连接有TCM芯片、FPGA芯片,所述IO接口包括USB接口、网络接口、SATA接口;上述FPGA芯片内配置有加密算法,用于将基于USB接口、网络接口、SATA接口进行传输的数据进行加密。
所述FPGA芯片与IO接口芯片之间采用高速全双工的通信接口,该FPGA芯片内部存放加密算法、秘钥并由TCM芯片进行管理。
所述TCM芯片连接FLASH存储器,FPGA芯片内部存放的加密算法、秘钥存放在TCM芯片连接的FLASH存储器中,每次开机时由TCM芯片加载到FPGA芯片中。
所述TCM芯片还连接有销毁开关,并在该TCM芯片连接的FLASH存储器中存储有销毁代码,当触发销毁开关时,销毁代码擦除存放在FLASH存储器中的密码算法、秘钥数据。
所述加密算法、秘钥使用配套的USB Key进行在线更新,在线更新时处理器通过IO接口芯片的USB接口读取所需的数据,经由TCM芯片写入FLASH存储器中保存。
一种基于硬件的计算机接口加密方法,基于上述装置,其实现过程为:
一、当IO接口调用数据时,进行数据加密:首先获取待加密数据;然后通过TCM芯片,将保存在FLASH存储器中的加密算法加载至FPGA芯片中;最后由FPGA芯片对待加密数据进行加密;
二、当读取已加密数据时,进行数据解密:首先获取待解密数据;然后通过TCM芯片,将保存在FLASH存储器中的密钥加载至FPGA芯片中;最后由FPGA芯片对待解密数据进行解密。
所述加密过程包括硬盘数据加密、网络传输数据加密和移动设备数据加密,其中,硬盘数据加密是指当硬盘连接到SATA接口时,硬盘中存储的所有数据经过步骤一的加密过程;网络传输数据加密是指对通过网络接口连接到同一网络中并相互通信的计算机传输数据进行步骤一的加密过程;移动设备数据是指当使用包括U盘、移动硬盘的设备连接到USB接口上并复制数据时经过步骤一的加密过程;相对应的,步骤二的解密过程包括通过密钥对硬盘数据解密、网络传输数据解密和移动设备数据解密。
所述步骤一中的数据加密具体过程为:
首先待加密数据由处理器发送给IO接口芯片;
IO接口芯片发出数据加密的请求,FPGA芯片启动加密命令,调用加密算法对待加密数据进行加密;
加密后的数据再发送至IO接口芯片中;
IO接口芯片将加密后的数据发送至USB接口、网络接口或SATA接口中。
所述步骤二中的数据解密具体过程为:
首先待加密数据由处理器发送给IO接口芯片;
首先通过USB接口、网络接口或SATA接口将待解密数据发送至IO接口芯片中;
IO接口芯片发出数据解密的请求,FPGA芯片启动解密命令,调用密钥对待解密数据进行加密;
解密后的数据再发送至IO接口芯片中;
IO接口芯片再将解密后的数据发送给处理器进行解读。
还包括步骤三:在线更新的步骤,该步骤具体为:通过USB Key,对加密算法、秘钥进行在线更新,在线更新时处理器通过IO接口芯片的USB接口读取所需的数据,经由TCM芯片写入FLASH存储器中保存。
本发明的一种基于硬件的计算机接口加密装置及方法,具有以下优点:
本发明的一种基于硬件的计算机接口加密装置及方法,可以对计算机的硬盘接口、网络接口、USB接口进行加密处理,防止涉密信息外泄;该设计使用高性能FPGA进行数据的加密、解密,可对通过硬盘接口、网络接口、USB接口传输的任意数据进行加密操作,加密过程不需要应用层软件的配合、不占用CPU资源、不影响数据传输速率,实用性强,适用范围广泛,易于推广。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
附图1为本发明的装置结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明的方案,下面结合具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的在于克服上述技术背景中计算机发热元件的散热方式现状,提供一种占用空间小、结构简单且不增加整机功率的计算机辅助散热方法。
如附图1所示,一种基于硬件的计算机接口加密装置,包括连接处理器的IO接口芯片,该IO接口芯片对外提供IO接口并连接有TCM芯片、FPGA芯片,所述IO接口包括USB接口、网络接口、SATA接口;上述FPGA芯片内配置有加密算法,用于将基于USB接口、网络接口、SATA接口进行传输的数据进行加密。
所述FPGA芯片与IO接口芯片之间采用高速全双工的通信接口,,例如PCIe等,以便满足对外接口对传输速率的要求。
该FPGA芯片内部存放加密算法、秘钥并由TCM芯片进行管理。
所述TCM芯片连接FLASH存储器,FPGA芯片内部存放的加密算法、秘钥存放在TCM芯片连接的FLASH存储器中,每次开机时由TCM芯片加载到FPGA芯片中。
所述TCM芯片还连接有销毁开关,并在该TCM芯片连接的FLASH存储器中存储有销毁代码,当触发销毁开关时,销毁代码擦除存放在FLASH存储器中的密码算法、秘钥数据。
所述加密算法、秘钥使用配套的USB Key进行在线更新,在线更新时处理器通过IO接口芯片的USB接口读取所需的数据,经由TCM芯片写入FLASH存储器中保存。
在本发明中,加密算法使用FPGA实现,算法本身可以在线更新。
密码算法、秘钥的部署可在客户现场进行,未投入使用的机器不带有密码算法相关的数据、可以有效避免生产、运输、储存过程中的密码算法、秘钥泄露风险。
带有销毁开关,可在紧急情况下擦除密码算法、秘钥数据。
本发明可对通过SATA接口(可连接硬盘、光驱)、网络接口、USB接口传输的任意数据进行加密处理。
一种基于硬件的计算机接口加密方法,基于上述装置,实现以下功能:
1、计算机硬盘中存储的所有数据经过加密,拆除硬盘安装到其他不具备正确秘钥的机器上,无法读取存放的数据。擦除秘钥后硬盘中的数据也不可读取,可用于数据的应急销毁。
2、网络传输的数据经过加密,接入同一网络的机器必须具备正确秘钥才能相互通讯,未经授权接入的其他计算机无法与网内的涉密机器互联。
3、使用U盘、移动硬盘等设备复制的数据经过加密,只能在具备正确秘钥的机器上才能读取,可以有效避免使用移动存储介质造成的涉密信息外泄。
其实现过程为:
一、当IO接口调用数据时,进行数据加密:首先获取待加密数据;然后通过TCM芯片,将保存在FLASH存储器中的加密算法加载至FPGA芯片中;最后由FPGA芯片对待加密数据进行加密;
二、当读取已加密数据时,进行数据解密:首先获取待解密数据;然后通过TCM芯片,将保存在FLASH存储器中的密钥加载至FPGA芯片中;最后由FPGA芯片对待解密数据进行解密。
所述加密过程包括硬盘数据加密、网络传输数据加密和移动设备数据加密,其中,硬盘数据加密是指当硬盘连接到SATA接口时,硬盘中存储的所有数据经过步骤一的加密过程;网络传输数据加密是指对通过网络接口连接到同一网络中并相互通信的计算机传输数据进行步骤一的加密过程;移动设备数据是指当使用包括U盘、移动硬盘的设备连接到USB接口上并复制数据时经过步骤一的加密过程;相对应的,步骤二的解密过程包括通过密钥对硬盘数据解密、网络传输数据解密和移动设备数据解密。
FPGA内部存放的加密算法、秘钥等由TCM芯片进行管理,算法、秘钥存放在TCM芯片外挂的FLASH存储器中,每次开机时由TCM芯片加载到FPGA。
所述步骤一中的数据加密具体过程为:
首先待加密数据由处理器发送给IO接口芯片;
IO接口芯片发出数据加密的请求,FPGA芯片启动加密命令,调用加密算法对待加密数据进行加密;
加密后的数据再发送至IO接口芯片中;
IO接口芯片将加密后的数据发送至USB接口、网络接口或SATA接口中。
所述步骤二中的数据解密具体过程为:
首先待加密数据由处理器发送给IO接口芯片;
首先通过USB接口、网络接口或SATA接口将待解密数据发送至IO接口芯片中;
IO接口芯片发出数据解密的请求,FPGA芯片启动解密命令,调用密钥对待解密数据进行加密;
解密后的数据再发送至IO接口芯片中;
IO接口芯片再将解密后的数据发送给处理器进行解读。
还包括步骤三:在线更新的步骤,该步骤具体为:通过USB Key,对加密算法、秘钥进行在线更新,在线更新时处理器通过IO接口芯片的USB接口读取所需的数据,经由TCM芯片写入FLASH存储器中保存。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种基于硬件的计算机接口加密装置及方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (10)
1.一种基于硬件的计算机接口加密装置,其特征在于,包括连接处理器的IO接口芯片,该IO接口芯片对外提供IO接口并连接有TCM芯片、FPGA芯片,所述IO接口包括USB接口、网络接口、SATA接口;上述FPGA芯片内配置有加密算法,用于将基于USB接口、网络接口、SATA接口进行传输的数据进行加密。
2.根据权利要求1所述的一种基于硬件的计算机接口加密装置,其特征在于,所述FPGA芯片与IO接口芯片之间采用高速全双工的通信接口,该FPGA芯片内部存放加密算法、秘钥并由TCM芯片进行管理。
3.根据权利要求1所述的一种基于硬件的计算机接口加密装置,其特征在于,所述TCM芯片连接FLASH存储器,FPGA芯片内部存放的加密算法、秘钥存放在TCM芯片连接的FLASH存储器中,每次开机时由TCM芯片加载到FPGA芯片中。
4.根据权利要求3所述的一种基于硬件的计算机接口加密装置,其特征在于,所述TCM芯片还连接有销毁开关,并在该TCM芯片连接的FLASH存储器中存储有销毁代码,当触发销毁开关时,销毁代码擦除存放在FLASH存储器中的密码算法、秘钥数据。
5.根据权利要求3所述的一种基于硬件的计算机接口加密装置,其特征在于,所述加密算法、秘钥使用配套的USB Key进行在线更新,在线更新时处理器通过IO接口芯片的USB接口读取所需的数据,经由TCM芯片写入FLASH存储器中保存。
6.一种基于硬件的计算机接口加密方法,其特征在于,基于上述装置,其实现过程为:
一、当IO接口调用数据时,进行数据加密:首先获取待加密数据;然后通过TCM芯片,将保存在FLASH存储器中的加密算法加载至FPGA芯片中;最后由FPGA芯片对待加密数据进行加密;
二、当读取已加密数据时,进行数据解密:首先获取待解密数据;然后通过TCM芯片,将保存在FLASH存储器中的密钥加载至FPGA芯片中;最后由FPGA芯片对待解密数据进行解密。
7.根据权利要求6所述的一种基于硬件的计算机接口加密方法,其特征在于,所述加密过程包括硬盘数据加密、网络传输数据加密和移动设备数据加密,其中,硬盘数据加密是指当硬盘连接到SATA接口时,硬盘中存储的所有数据经过步骤一的加密过程;网络传输数据加密是指对通过网络接口连接到同一网络中并相互通信的计算机传输数据进行步骤一的加密过程;移动设备数据是指当使用包括U盘、移动硬盘的设备连接到USB接口上并复制数据时经过步骤一的加密过程;相对应的,步骤二的解密过程包括通过密钥对硬盘数据解密、网络传输数据解密和移动设备数据解密。
8.根据权利要求7所述的一种基于硬件的计算机接口加密方法,其特征在于,所述步骤一中的数据加密具体过程为:
首先待加密数据由处理器发送给IO接口芯片;
IO接口芯片发出数据加密的请求,FPGA芯片启动加密命令,调用加密算法对待加密数据进行加密;
加密后的数据再发送至IO接口芯片中;
IO接口芯片将加密后的数据发送至USB接口、网络接口或SATA接口中。
9.根据权利要求7所述的一种基于硬件的计算机接口加密方法,其特征在于,所述步骤二中的数据解密具体过程为:
首先待加密数据由处理器发送给IO接口芯片;
首先通过USB接口、网络接口或SATA接口将待解密数据发送至IO接口芯片中;
IO接口芯片发出数据解密的请求,FPGA芯片启动解密命令,调用密钥对待解密数据进行加密;
解密后的数据再发送至IO接口芯片中;
IO接口芯片再将解密后的数据发送给处理器进行解读。
10.根据权利要求6-9任一所述的一种基于硬件的计算机接口加密方法,其特征在于,还包括步骤三:在线更新的步骤,该步骤具体为:通过USB Key,对加密算法、秘钥进行在线更新,在线更新时处理器通过IO接口芯片的USB接口读取所需的数据,经由TCM芯片写入FLASH存储器中保存。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810204411.0A CN108491724A (zh) | 2018-03-13 | 2018-03-13 | 一种基于硬件的计算机接口加密装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810204411.0A CN108491724A (zh) | 2018-03-13 | 2018-03-13 | 一种基于硬件的计算机接口加密装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108491724A true CN108491724A (zh) | 2018-09-04 |
Family
ID=63338894
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810204411.0A Pending CN108491724A (zh) | 2018-03-13 | 2018-03-13 | 一种基于硬件的计算机接口加密装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108491724A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109255231A (zh) * | 2018-09-28 | 2019-01-22 | 山东超越数控电子股份有限公司 | 一种基于可信计算的加密硬盘密钥保护系统及方法 |
CN109697173A (zh) * | 2018-12-11 | 2019-04-30 | 中国航空工业集团公司西安航空计算技术研究所 | 一种面向信息安全的嵌入式计算机SiP模块设计方法及电路 |
CN110765477A (zh) * | 2019-10-29 | 2020-02-07 | 四川九洲空管科技有限责任公司 | 一种用于arm+fpga架构中目标程序数据防窃取方法 |
CN111339519A (zh) * | 2020-02-18 | 2020-06-26 | 山东超越数控电子股份有限公司 | 一种具有硬件加解密功能的硬件接口保护方法和设备 |
CN116597874A (zh) * | 2023-05-13 | 2023-08-15 | 汇钜电科(东莞)实业有限公司 | 内置静电释放片的移动硬盘及防止静电积聚的方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101488112A (zh) * | 2009-02-18 | 2009-07-22 | 浪潮电子信息产业股份有限公司 | 一种多主机接口sas/sata硬盘实时加解密的方法 |
US20130346758A1 (en) * | 2012-06-20 | 2013-12-26 | Microsoft Corporation | Managing use of a field programmable gate array with isolated components |
CN203444482U (zh) * | 2013-04-22 | 2014-02-19 | 山东超越数控电子有限公司 | 一种便携式计算机安全存储器 |
CN203930840U (zh) * | 2013-10-31 | 2014-11-05 | 中国大唐集团财务有限公司 | 一种硬件加密卡 |
CN204374963U (zh) * | 2015-01-26 | 2015-06-03 | 山东超越数控电子有限公司 | 一种基于tcm芯片的服务器加密模块 |
CN106971110A (zh) * | 2017-03-31 | 2017-07-21 | 山东超越数控电子有限公司 | 一种基于国产安全处理器的计算机主板架构及运行方法 |
CN107170470A (zh) * | 2017-03-29 | 2017-09-15 | 山东超越数控电子有限公司 | 一种带有硬件加密功能的光驱及刻录、读取方法 |
-
2018
- 2018-03-13 CN CN201810204411.0A patent/CN108491724A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101488112A (zh) * | 2009-02-18 | 2009-07-22 | 浪潮电子信息产业股份有限公司 | 一种多主机接口sas/sata硬盘实时加解密的方法 |
US20130346758A1 (en) * | 2012-06-20 | 2013-12-26 | Microsoft Corporation | Managing use of a field programmable gate array with isolated components |
CN203444482U (zh) * | 2013-04-22 | 2014-02-19 | 山东超越数控电子有限公司 | 一种便携式计算机安全存储器 |
CN203930840U (zh) * | 2013-10-31 | 2014-11-05 | 中国大唐集团财务有限公司 | 一种硬件加密卡 |
CN204374963U (zh) * | 2015-01-26 | 2015-06-03 | 山东超越数控电子有限公司 | 一种基于tcm芯片的服务器加密模块 |
CN107170470A (zh) * | 2017-03-29 | 2017-09-15 | 山东超越数控电子有限公司 | 一种带有硬件加密功能的光驱及刻录、读取方法 |
CN106971110A (zh) * | 2017-03-31 | 2017-07-21 | 山东超越数控电子有限公司 | 一种基于国产安全处理器的计算机主板架构及运行方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109255231A (zh) * | 2018-09-28 | 2019-01-22 | 山东超越数控电子股份有限公司 | 一种基于可信计算的加密硬盘密钥保护系统及方法 |
CN109697173A (zh) * | 2018-12-11 | 2019-04-30 | 中国航空工业集团公司西安航空计算技术研究所 | 一种面向信息安全的嵌入式计算机SiP模块设计方法及电路 |
CN110765477A (zh) * | 2019-10-29 | 2020-02-07 | 四川九洲空管科技有限责任公司 | 一种用于arm+fpga架构中目标程序数据防窃取方法 |
CN111339519A (zh) * | 2020-02-18 | 2020-06-26 | 山东超越数控电子股份有限公司 | 一种具有硬件加解密功能的硬件接口保护方法和设备 |
CN116597874A (zh) * | 2023-05-13 | 2023-08-15 | 汇钜电科(东莞)实业有限公司 | 内置静电释放片的移动硬盘及防止静电积聚的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102945355B (zh) | 基于扇区映射的快速数据加密策略遵从 | |
CN108491724A (zh) | 一种基于硬件的计算机接口加密装置及方法 | |
CN102855452B (zh) | 基于加密组块的快速数据加密策略遵从 | |
CN103020537B (zh) | 数据加密方法和装置、数据解密方法和装置 | |
US20170277898A1 (en) | Key management for secure memory address spaces | |
WO2021164166A1 (zh) | 一种业务数据保护方法、装置、设备及可读存储介质 | |
CN204595860U (zh) | 一种存储设备加密桥接器 | |
CN101441601B (zh) | 一种硬盘ata指令的加密传输的方法及系统 | |
CN100378689C (zh) | 一种计算机数据的加密保护及读写控制方法 | |
KR20110055510A (ko) | 보안 저장 장치에 저장된 디지털 컨텐츠의 백업 | |
CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
CN103020493A (zh) | 一种防拷贝的软件保护与运行装置及方法 | |
CN104813336A (zh) | 平台硬化数字版权管理密钥供应 | |
CN105612715A (zh) | 具有可配置访问控制的安全处理单元 | |
CN103955654A (zh) | 基于虚拟文件系统的u盘安全存储方法 | |
CN104335548A (zh) | 安全数据处理 | |
CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
CN113886862B (zh) | 一种可信计算系统及基于可信计算系统的资源处理方法 | |
CN106682521B (zh) | 基于驱动层的文件透明加解密系统及方法 | |
CN105303074A (zh) | 一种保护Web应用程序安全的方法 | |
CN103294969A (zh) | 文件系统挂载方法和装置 | |
CN103413100A (zh) | 文档安全防范系统 | |
CN107911221B (zh) | 固态盘数据安全存储的密钥管理方法 | |
CN104104650A (zh) | 数据文件访问方法及终端设备 | |
CN100462993C (zh) | 一种无痕化信息处理外置移动存储器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180904 |