CN109104275A - 一种hsm设备 - Google Patents

一种hsm设备 Download PDF

Info

Publication number
CN109104275A
CN109104275A CN201810850408.6A CN201810850408A CN109104275A CN 109104275 A CN109104275 A CN 109104275A CN 201810850408 A CN201810850408 A CN 201810850408A CN 109104275 A CN109104275 A CN 109104275A
Authority
CN
China
Prior art keywords
module
encryption
data
decryption
task
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810850408.6A
Other languages
English (en)
Inventor
樊凌雁
赵经天
方景龙
赵朔风
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dianzi University
Hangzhou Electronic Science and Technology University
Original Assignee
Hangzhou Electronic Science and Technology University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Electronic Science and Technology University filed Critical Hangzhou Electronic Science and Technology University
Priority to CN201810850408.6A priority Critical patent/CN109104275A/zh
Publication of CN109104275A publication Critical patent/CN109104275A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种HSM设备,所述HSM设备用于通过以太网与服务器相连接并根据指令对存储在服务器中的数据进行加密或解密处理,其包括网络通信模块、数据处理模块以及挂载在该数据处理模块下的多个加密卡,其中,所述网络通信模块用于通过TCP/IP协议与服务器进行数据通信;所述数据处理模块用于数据加解密请求的任务调度并分配给各个加密卡;所述加密卡用于执行加解密操作并在完成后回传。

Description

一种HSM设备
技术领域
本发明涉及数据安全技术领域,尤其涉及一种HSM设备。
背景技术
硬件安全模块(Hardware Secure Module,HSM)作为一种重要的加密设备,已经越来越广泛的应用在政府、金融、通信、国防等领域中。由于涉及敏感信息的保护和安全,采用硬件安全模块对存储介质加密尤为重要,尤其是在互联网、大数据高速发展的今天,采用HSM可以避免在存储设备(服务器)丢失时重要或私有信息泄密。目前中国和国际上都有HSM的实现方案,能实现RSA、椭圆曲线/SM2、SM4等加密算法,支持PCI/PCI-X、PCI-E/mini PCI-E等多种接口。现有技术中,硬件安全模块通常采用加密卡实现中数据加、解密操作,目前加密卡均是通过专用芯片(一般是FPGA、FPGA转ASIC)实现,需要用自定义非标准专用的API接口,由于现有产品基于PC端的应用都是用自定义、非标准的API,导致对每个应用的操作系统,都要另外提供原件驱动。在不同的计算机操作系统下,需要有专门的驱动来为之服务,这个对软件的开发,会耗费巨大的人力,实际上软件的相容性,是推广这类产品,最大的问题。
同时,现有技术中加密卡通常仅具有单一的加密功能,在加密完成后直接返回加密数据,主机需要实时监控加密状态,从而极大占据了主机资源。
故,针对现有技术的缺陷,实有必要提出一种技术方案以解决现有技术存在的技术问题。
发明内容
有鉴于此,确有必要提供一种HSM设备,其内置的加密卡采用标准的通讯接口和协议解决了现有技术系统兼容性和驱动问题;同时将存储器和加密装置相结合,通过存储控制指令以及通知机制实现加解密操作,从而无需实时等待加解密任务完成,极大提高了加解密处理效率;以及加密卡通过设置多个数据加解密模块和多种加解密算法实现高速数据加解密操作。
为了克服现有技术的缺陷,本发明的技术方案如下:
一种HSM设备,所述HSM设备用于通过以太网与服务器相连接并根据指令对存储在服务器中的数据进行加密或解密处理,其包括网络通信模块、数据处理模块以及挂载在该数据处理模块下的多个加密卡,其中,所述网络通信模块用于通过TCP/IP协议与服务器进行数据通信;所述数据处理模块用于数据加解密请求的任务调度并分配给各个加密卡;所述加密卡用于执行加解密操作并在完成后回传;
所述加密卡进一步包括接口模块、控制模块、数据加解密模块和存储模块,其中,所述接口模块采用标准接口,用于与数据处理模块进行数据通信;所述存储模块中设置多个存储单元;所述数据加解密模块用于根据控制模块的控制指令对所分配的任务进行加密/解密操作并将经加密/解密后的任务存储于对应的存储单元;所述控制模块用于将接收的任务分配给所述数据加解密模块并在任务加密/解密操作完成后向数据处理模块反馈任务完成消息以及接收数据处理模块的获取任务指令后读取对应存储单元的数据信息发送给数据处理模块。
作为优选的技术方案,所述加密卡设置多个数据加解密模块,每个数据加解密模块具有唯一标识号并分配相应的存储单元以存储加密/解密后的任务。
作为优选的技术方案,所述控制模块中设置信息表,所述控制模块监听数据加解密模块更新信息表并根据所述信息表控制所述加密卡的运行;所述信息表至少包括任务编号、模块编号、操作类型、状态信息和存储地址信息,所述任务编号为每个接收到的任务设置的唯一标识号;所述模块编号为对该任务进行加密/解密操作的数据加解密模块的标识号;所述操作类型为数据加解密模块对该任务进行加密操作或解密操作;所述状态信息为数据加解密模块的工作状态;所述存储地址信息为存储该任务进行加密/解密操作后数据信息的地址信息。
作为优选的技术方案,所述数据加解密模块中设置多种加密算法,根据所述控制模块的控制指令选择相应的加密算法。
作为优选的技术方案,所述数据加解密模块进一步包括MCU、随机数发生器、算法存储单元和加解密处理单元,所述算法存储单元用于存储加密算法;所述加解密处理单元用于根据MCU的指令加载相应的加密算法并执行加密/解密操作;所述随机数发生器用于产生用于所述加密算法的密钥;所述MCU与所述随机数发生器、算法存储单元和加解密处理单元,用于控制所述数据加解密模块的工作。
作为优选的技术方案,所述算法存储单元中存储的加密算法包括AES-128/256,SM2,SM3,SM4,RSA,3DES和SHA。
作为优选的技术方案,所述接口模块为PCIe、SATA、USB、SAS、IEEE1394、SD、eMMC或SPI接口中的任一种。
作为优选的技术方案,所述接口模块与数据处理模块之间采用约定的传输协议进行数据通信。
作为优选的技术方案,所述数据加解密模块采用华澜微公司的S686主控芯片。
作为优选的技术方案,所述控制模块接收数据处理模块发送的存储指令,所述控制模块将对特定地址的写操作解析为一种加密模式的加解密指令,将对特定地址的读操作解析为数据处理模块获取任务指令。
与现有技术相比较,本发明采用标准的通讯接口和协议解决了现有技术系统兼容性和驱动问题,能够在不同的操作系统上能做到很好的兼容性,在用户使用、市场推广、数据加解密处理以及系统监控等方面具有很大的优势;同时将存储器和加密装置相结合,通过存储控制指令以及通知机制实现加解密操作,从而无需实时等待加解密任务完成,极大提高了加解密处理效率;以及通过设置多个数据加解密模块和多种加解密算法实现高速数据加解密操作。
附图说明
图1为本发明HSM设备的系统架构图;
图2为本发明HSM设备的应用框图;
图3为本发明HSM设备中加密卡的原理框图。
图4为本发明中数据加解密模块的原理框图。
图5为本发明中加密卡数据处理方法的流程图。
如下具体实施例将结合上述附图进一步说明本发明。
具体实施方式
以下将结合附图对本发明提供的技术方案作进一步说明。
HSM设备即硬件安全模块(Hardware Security Module,HSM),是一种专用加密处理设备,其通过在可靠、可信的物理设备中安全的进行密钥管理,能最大程度的为应用程序提供密钥管理和身份认证等服务的安全保证。通过使用HSM设备,能够降低专用加密处理器的负载以及加快数据加解密操作,集中进行密钥生命周期的管理。
参见图1,所示为本发明HSM设备的应用框图,其为HSM的一个应用解决方案,能够应用于云计算及其相关的安全产品。
参见图2,所示为本发明HSM设备的原理框图,HSM设备用于通过以太网与服务器相连接并根据指令对存储在服务器中的数据进行加密或解密处理,其包括网络通信模块、数据处理模块以及挂载在该数据处理模块下的多个加密卡,其中,
网络通信模块用于通过TCP/IP协议与服务器进行数据通信,主要用于接收并处理网络请求,对外提供统一的API接口,使其能够与外界进行交互,其API接口的设计应符合《接口规范》的标准。与数据处理模块进行交互,最终将处理完毕的数据返回给请求的服务器。该模块应保证网络请求IO的非阻塞性,避免因数据请求的阻塞问题而导致的系统性能问题。
数据处理模块用于数据加解密请求的任务调度并分配给各个加密卡,是网络通信模块与加密卡模块通信的中间模块,任何对HSM系统的数据请求和设置都将通过数据处理模块进行数据分析和处理,实现加密卡模块的负载均衡,调度各数据的传输,保证HSM系统的高并发性能和数据处理效率,能够进行密钥管理,保护密钥的生命周期,从而保证HSM硬件安全模块的安全性。
加密卡用于执行加解密操作并在完成后回传,是一个专用于进行数据加解密的物理设备模块,内置了包括随机数产生器、加解密算法电路在内的多个物理设备,该模块的设计需符合《接口规范》规范标准,与数据处理模块交互,提供快速的数据加解密、密钥产生、获取时间戳等操作。由于现有技术加密卡产品都是用自定义,非标准的API,导致对每个应用的操作系统,都要另外提供原件驱动,这个对软件的开发,会耗费巨大的人力,实际上软件的相容性,从而使这类产品推广难度大。同时,现有技术中,数据处理模块在分配加解密任务时通常采用多线程,每个线程对应一个加解密任务,采用现有的加密卡架构,需要等待加解密任务完成后回传数据,这导致HSM中CPU资源的浪费。
参见图3,所示为本发明HSM设备中加密卡的原理框图,包括接口模块、控制模块、数据加解密模块和存储模块,其中,接口模块采用标准接口,用于与数据处理模块进行数据通信,优选地,接口模块为PCIe、SATA、USB、SAS、IEEE1394、SD、eMMC或SPI接口中的任一种。由于采用通用的标准接口,同时采用约定的控制指令(数据传输协议)实现加解密操作,从而无需安装驱动程序,在不同操作系统下都可以实现即插即用。
本发明将数据加解密模块和存储模块巧妙结合,存储模块中设置多个存储单元;数据加解密模块用于根据控制模块的控制指令对所分配的任务进行加密/解密操作并将经加密/解密后的任务存储于对应的存储单元;同时,控制模块也与存储模块相连接,能够直接读取存储模块中的数据信息。采用上述技术方案,将加密卡的加解密操作完全封装于内部,对数据处理模块来说,加密卡相当于一个普通的外接普通存储设备,比如U盘、硬盘等,甚至可以有盘符,有存储空间大小等正常硬盘的属性,只不过在正常的读写操作下,该硬盘还具备了数据加解密功能。本发明架构下,对数据加密操作相当于将待加密数据写入加密卡,同时数据处理模块发送任务后即可处理其他操作,无需等待;加密操作完成,加密卡发送通知指令告知数据处理模块相应任务的加密操作完成,数据处理模块再通过读指令获取存储在相应地址的数据信息,完成一次加密/解密操作。
控制模块是该HSM设备的核心,用于控制加密卡的运行;其中,控制模块通过接口模块接收数据处理模块发送的任务,将接收的任务分配给数据加解密模块;控制模块监控数据加解密模块的状态,在任务加密/解密操作完成后控制模块向数据处理模块反馈任务完成消息以让数据处理模块及时获取经加解密处理后的任务;进一步的,控制模块接收数据处理模块的获取任务指令后读取对应存储单元的数据信息并发送给数据处理模块。
进一步的,加密卡设置多个数据加解密模块,每个数据加解密模块具有唯一标识号并分配相应的存储单元以存储加密/解密后的任务。从而极大提高了数据并发处理能力越强。
在一种优选实施方式中,控制模块中设置信息表,所述控制模块监听数据加解密模块更新信息表并根据所述信息表控制所述加密卡的运行;信息表至少包括任务编号、模块编号、操作类型、状态信息和存储地址信息,任务编号为每个接收到的任务设置的唯一标识号;模块编号为对该任务进行加密/解密操作的数据加解密模块的标识号;操作类型为数据加解密模块对该任务进行加密操作或解密操作;状态信息为数据加解密过程的工作状态;存储地址信息为存储该任务进行加密/解密操作后数据信息的地址信息。具体的,控制模块接收数据处理模块发送的任务后,建立一个IO任务并确定相应的任务编号,在IO任务完成指定操作后,才会对数据处理模块进行相应的反馈;建立IO任务后,控制模块分配一个空闲的数据加解密模块并获得其模块编号,同时监听数据加解密模块执行加密/解密操作以更新信息表,其中,状态信息至少包括busy、idle、ready和done,其中,状态置为busy表示数据加解密模块正在进行数据处理;状态置为idle表示数据加解密模块处理完成任务,能够承担新的任务;状态置为ready表示加密/解密后任务已经存储至相应的存储单元;状态置为done表示已经从存储单元中读取了相应的数据,则该存储空间可以被释放。因此,通过上述信息表可以清楚的知道任一个任务的进程状态、数据加解密模块的工作状态以及存储模块的地址空间状态,从而方便进行任务的加解密处理。
在一种优先实施方式中,数据传输协议的命令具有堆栈功能,从而解决读写命令的乱序响应问题,IO队列对操作命令进行管理,实现并发的数据加解密处理。针对每次的加解密操作,因为加解密的数据长度及加解密算法不同,处理的时长也不同,每次把加解密分配络一个硬件加密卡进行处理,等处理完成后,经有存储的堆栈协议,通知系统任务完成,最后把经过加解密之后的数据发送出去。因此,在每次进行读写操作时,加密卡都会建立一个IO任务,在IO任务完成读写操作后,才会对数据处理模块进行相应的反馈。
在一种优先实施方式中,通过约定的控制指令将操作类型和具体的存储地址空间绑定,也即,将存储空间地址进行特定划分,一个指定地址和长度数据的写操作,会被当作一种加密模式的加解密命令,在加解密处理完毕后,会自动通知对此地址进行的读操作,读取的数据则是加解密处理完毕后的数据。
在一种优先实施方式中,数据加解密模块中设置多种加密算法,其根据控制模块的控制指令选择相应的加密算法。优选地,在进行数据加解密操作之前,先通过配置指令对数据加解密模块进行配置以选择具体的加密算法。其中,加密算法包括AES-128/256,SM2,SM3,SM4,RSA,3DES、SHA等。
本发明中,每个数据加解密模块均绑定相应的存储单元,优选地,存储单元根据配置指令动态分配,也即根据具体加解密处理模式以及任务数据长度计算出所需的存储空间,确定写入数据或读出数据的起始位置,按此位置写入待加解密的数据,最后从此位置读出已加解密的数据,完成一次加解密的处理,从而实现动态分配存储单元。
在一种优先实施方式中,控制模块接收数据处理模块发送的存储指令,控制模块将对特定地址的写操作解析为一种加密模式的加解密指令,将对特定地址的读操作解析为数据处理模块获取任务指令。其中,控制模块中保存地址映射表,记录每个存储单元的起始地址、空间大小、对应的数据加解密模块及其加解密类型,因此,对某个存储单元的写操作将被解析为一种加密模式(通过配置指令设置)的加解密命令。比如0x100000开始为001号数据加解密模块的加密操作,0x200000开始为001号数据加解密模块的解密操作。并将该长度地址进行等份划分,例如可将每个存储单元保留处理数据的长度设置为0x800(2K),那么就具备128个加解密单元,则从0x100000到0x13ffff每个2K对应一个数据加解密模块,而0x140000到0x1fffff则保留给此加解密更多的处理单元。当然,也可以为一个数据加解密模块分配多个存储单元。对应加解密地址写数据则开始加解密处理,之后从此地址读就会得到已加解密的数据。例如,控制指令为将数据信息写入地址为0x100000的存储单元,则控制模块将数据信息发送给001号数据加解密模块并启动加密操作,加密操作结束后,加密的数据信息存储在地址为0x100000的存储单元;同样,对将数据信息写入地址为0x200000的存储单元,则控制模块将数据信息发送给001号数据加解密模块并启动解密操作,解密的数据信息存储在地址为0x200000的存储单元。
在一种优先实施方式中,存储单元集成在数据加解密模块中,控制单元通过地址映射表管理每个存储单元。
在一种优先实施方式中,存储单元采用EMMC或Flash存储设备。
在一种优先实施方式中,数据加解密模块采用华澜微公司的S686主控芯片。从而能够在进行数据加解密处理的同时为控制模块分担压力,降低其资源的消耗和占用。S686内置硬件加密模块,支持AES-128/256,SM2,SM3,SM4,RSA,3DES,SHA等多种加密算法,能够在保证数据快速加解密处理的同时,不对数据的读写传输性能造成损失。内置了随机数发生器,能够通过片内固件进行驱动产生随机数,保证密钥产生的真随机性。S686兼容SD1.0、SD2.0、SD3.0和EMMC3.3、EMMC4.0、EMMC5.0等协议,利用32位嵌入式CPU进行内存管理,并支持多通道存储管理,帮助进行数据的快速处理和读写操作。
参见图4,所示为本发明数据加解密模块的原理框图,进一步包括MCU、随机数发生器、算法存储单元和加解密处理单元,所述算法存储单元用于存储加密算法;所述加解密处理单元用于根据MCU的指令加载相应的加密算法并执行加密/解密操作;所述随机数发生器用于产生用于所述加密算法的密钥;所述MCU与所述随机数发生器、算法存储单元和加解密处理单元,用于控制所述数据加解密模块的工作。
参见图5,所示为本发明中加密卡数据处理方法的流程图,包括以下步骤:
步骤S1:接收主机发送的加密/解密任务;
步骤S2:将待处理的加密/解密任务分配给空闲状态的数据加解密模块并在加密/解密操作完成后直接将经处理后的任务存储至该数据加解密模块对应的存储单元;所述数据加解密模块具有唯一标识号;
步骤S3:同时在加密/解密操作完成后更新信息表并向主机反馈任务完成消息;
步骤S4:接收主机发送的获取任务指令后读取对应存储单元的数据信息发送给主机。
其中,在步骤S1中,接收主机发送的加密/解密任务为对相应地址空间的写指令。
在所述步骤S3中,在加密/解密操作完成后更新信息表并向主机反馈任务完成消息包括该任务对应存储单元的地址信息。
在步骤S4中,接收主机发送的获取任务指令为对相应地址空间的读指令。
采用上述技术方案,将存储器和加密装置相结合,主机通过存储控制指令以及通知机制实现加解密操作,主机无需实时等待加解密任务完成,极大提高了主机处理效率。对外部主机来说,加密卡相当于一个普通的外接普通存储设备,比如U盘、硬盘等,甚至可以有盘符,有存储空间大小等正常硬盘的属性,与现有技术不同的是,本发明在正常的读写操作下,还具备了数据加解密功能。本发明架构下,对数据加密操作相当于将待加密数据写入加密卡,同时主机发送任务后即可处理其他操作,无需等待;加密操作完成,加密卡发送通知指令告知主机相应任务的加密操作完成,主机再通过读指令获取存储在相应地址的数据信息,完成一次加密/解密操作。
在一种优选实施方式中,步骤S3中,通过监听数据加解密模块更新信息表并根据所述信息表控制加密卡的运行;所述信息表至少包括任务编号、模块编号、操作类型、状态信息和存储地址信息,所述任务编号为每个接收到的任务设置的唯一标识号;所述模块编号为对该任务进行加密/解密操作的数据加解密模块的标识号;所述操作类型为数据加解密模块对该任务进行加密操作或解密操作;所述状态信息为数据加解密模块的工作状态;所述存储地址信息为存储该任务进行加密/解密操作后数据信息的地址信息。
上述技术方案中,每个数据加解密模块设置多个存储单元,每个存储单元用于存储一个加解密任务。每个加解密任务处理完之后,存储至其中一个存储单元中;任务存储之后,数据加解密模块就可以处理下一个加解密任务;同时,控制模块直接对存储单元进行读写,向主机反馈数据与数据加解密过程完全独立,从而极大极高了处理效率。另外,通过设置存储标志位标识数据读写的状态,当状态置为ready表示加密/解密后任务已经存储至相应的存储单元;状态置为done表示已经从存储单元中读取了相应的数据,则该存储空间可以被释放;极大提高了存储空间利用率。
在一种优选实施方式中,还包括接收主机的配置指令的步骤,配置指令用于配置数据加解密模块的加解密参数;所述加解密参数至少包括加密算法类型,为AES-128/256,SM2,SM3,SM4,RSA,3DES或SHA中的任一种。同时,配置指令还包括待处理任务的数据长度,数据加解密模块根据配置指令重新分配存储单元的地址空间。比如,当前加密任务大小为2K,采用SM2加密算法处理之后的长度为4K,则以4K空间作为基础存储单元对存储空间进行重新分配。采用上述技术方案,可以根据用户要求设置加密算法并根据实际需求设置最优的存储单元。
以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种HSM设备,其特征在于,所述HSM设备用于通过以太网与服务器相连接并根据指令对存储在服务器中的数据进行加密或解密处理,其包括网络通信模块、数据处理模块以及挂载在该数据处理模块下的多个加密卡,其中,所述网络通信模块用于通过TCP/IP协议与服务器进行数据通信;所述数据处理模块用于数据加解密请求的任务调度并分配给各个加密卡;所述加密卡用于执行加解密操作并在完成后回传;
所述加密卡进一步包括接口模块、控制模块、数据加解密模块和存储模块,其中,所述接口模块采用标准接口,用于与数据处理模块进行数据通信;所述存储模块中设置多个存储单元;所述数据加解密模块用于根据控制模块的控制指令对所分配的任务进行加密/解密操作并将经加密/解密后的任务存储于对应的存储单元;所述控制模块用于将接收的任务分配给所述数据加解密模块并在任务加密/解密操作完成后向数据处理模块反馈任务完成消息以及接收数据处理模块的获取任务指令后读取对应存储单元的数据信息发送给数据处理模块。
2.根据权利要求1所述的HSM设备,其特征在于,所述加密卡设置多个数据加解密模块,每个数据加解密模块具有唯一标识号并分配相应的存储单元以存储加密/解密后的任务。
3.根据权利要求1或2所述的HSM设备,其特征在于,所述控制模块中设置信息表,所述控制模块监听数据加解密模块更新信息表并根据所述信息表控制所述加密卡的运行;所述信息表至少包括任务编号、模块编号、操作类型、状态信息和存储地址信息,所述任务编号为每个接收到的任务设置的唯一标识号;所述模块编号为对该任务进行加密/解密操作的数据加解密模块的标识号;所述操作类型为数据加解密模块对该任务进行加密操作或解密操作;所述状态信息为数据加解密模块的工作状态;所述存储地址信息为存储该任务进行加密/解密操作后数据信息的地址信息。
4.根据权利要求3所述的HSM设备,其特征在于,所述数据加解密模块中设置多种加密算法,根据所述控制模块的控制指令选择相应的加密算法。
5.根据权利要求4所述的HSM设备,其特征在于,所述数据加解密模块进一步包括MCU、随机数发生器、算法存储单元和加解密处理单元,所述算法存储单元用于存储加密算法;所述加解密处理单元用于根据MCU的指令加载相应的加密算法并执行加密/解密操作;所述随机数发生器用于产生用于所述加密算法的密钥;所述MCU与所述随机数发生器、算法存储单元和加解密处理单元,用于控制所述数据加解密模块的工作。
6.根据权利要求5所述的HSM设备,其特征在于,所述算法存储单元中存储的加密算法包括AES-128/256,SM2,SM3,SM4,RSA,3DES和SHA。
7.根据权利要求3所述的HSM设备,其特征在于,所述接口模块为PCIe、SATA、USB、SAS、IEEE1394、SD、eMMC或SPI接口中的任一种。
8.根据权利要求3所述的HSM设备,其特征在于,所述接口模块与数据处理模块之间采用约定的传输协议进行数据通信。
9.根据权利要求3所述的HSM设备,其特征在于,所述数据加解密模块采用华澜微公司的S686主控芯片。
10.根据权利要求8所述的HSM设备,其特征在于,所述控制模块接收数据处理模块发送的存储指令,所述控制模块将对特定地址的写操作解析为一种加密模式的加解密指令,将对特定地址的读操作解析为数据处理模块获取任务指令。
CN201810850408.6A 2018-07-28 2018-07-28 一种hsm设备 Pending CN109104275A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810850408.6A CN109104275A (zh) 2018-07-28 2018-07-28 一种hsm设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810850408.6A CN109104275A (zh) 2018-07-28 2018-07-28 一种hsm设备

Publications (1)

Publication Number Publication Date
CN109104275A true CN109104275A (zh) 2018-12-28

Family

ID=64847986

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810850408.6A Pending CN109104275A (zh) 2018-07-28 2018-07-28 一种hsm设备

Country Status (1)

Country Link
CN (1) CN109104275A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110012014A (zh) * 2019-04-08 2019-07-12 山东渔翁信息技术股份有限公司 一种加解密方法、系统、装置及介质
CN110737904A (zh) * 2019-09-11 2020-01-31 中国电子信息产业集团有限公司第六研究所 一种高性能加解密装置
CN112328480A (zh) * 2020-11-04 2021-02-05 浙江诺诺网络科技有限公司 一种系统测试方法及装置
CN112434351A (zh) * 2020-11-30 2021-03-02 湖南国科微电子股份有限公司 一种多功能存储设备、系统及存储方法
CN112631177A (zh) * 2020-12-13 2021-04-09 贵州省通信产业服务有限公司 一种基于硬件加密传输的农业数据采集装置
WO2023020234A1 (zh) * 2021-08-19 2023-02-23 支付宝(杭州)信息技术有限公司 外部存储器、提供密码服务的方法及业务处理设备
CN112434351B (zh) * 2020-11-30 2024-06-04 湖南国科微电子股份有限公司 一种多功能存储设备、系统及存储方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101471915A (zh) * 2007-12-29 2009-07-01 科骏康电子(深圳)有限公司 一种加密方法及加密装置
CN103345453A (zh) * 2013-06-27 2013-10-09 清华大学 支持sata接口的硬盘数据加密卡及加解密方法
CN103942107A (zh) * 2014-04-23 2014-07-23 杭州电子科技大学 一种分布式加密系统
CN106060024A (zh) * 2016-05-23 2016-10-26 厦门雅迅网络股份有限公司 一种安全组群位置查询方法及系统
CN106302514A (zh) * 2016-09-06 2017-01-04 苏州协鑫集成科技工业应用研究院有限公司 存储器卡的动态加密方法和解密方法及其装置
CN107256363A (zh) * 2017-06-13 2017-10-17 杭州华澜微电子股份有限公司 一种由加解密模块阵列组成的高速加解密装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101471915A (zh) * 2007-12-29 2009-07-01 科骏康电子(深圳)有限公司 一种加密方法及加密装置
CN103345453A (zh) * 2013-06-27 2013-10-09 清华大学 支持sata接口的硬盘数据加密卡及加解密方法
CN103942107A (zh) * 2014-04-23 2014-07-23 杭州电子科技大学 一种分布式加密系统
CN106060024A (zh) * 2016-05-23 2016-10-26 厦门雅迅网络股份有限公司 一种安全组群位置查询方法及系统
CN106302514A (zh) * 2016-09-06 2017-01-04 苏州协鑫集成科技工业应用研究院有限公司 存储器卡的动态加密方法和解密方法及其装置
CN107256363A (zh) * 2017-06-13 2017-10-17 杭州华澜微电子股份有限公司 一种由加解密模块阵列组成的高速加解密装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110012014A (zh) * 2019-04-08 2019-07-12 山东渔翁信息技术股份有限公司 一种加解密方法、系统、装置及介质
CN110737904A (zh) * 2019-09-11 2020-01-31 中国电子信息产业集团有限公司第六研究所 一种高性能加解密装置
CN112328480A (zh) * 2020-11-04 2021-02-05 浙江诺诺网络科技有限公司 一种系统测试方法及装置
CN112434351A (zh) * 2020-11-30 2021-03-02 湖南国科微电子股份有限公司 一种多功能存储设备、系统及存储方法
CN112434351B (zh) * 2020-11-30 2024-06-04 湖南国科微电子股份有限公司 一种多功能存储设备、系统及存储方法
CN112631177A (zh) * 2020-12-13 2021-04-09 贵州省通信产业服务有限公司 一种基于硬件加密传输的农业数据采集装置
WO2023020234A1 (zh) * 2021-08-19 2023-02-23 支付宝(杭州)信息技术有限公司 外部存储器、提供密码服务的方法及业务处理设备

Similar Documents

Publication Publication Date Title
CN109104275A (zh) 一种hsm设备
CN109067523A (zh) 一种加密卡的数据加密方法
CN108345806B (zh) 一种硬件加密卡和加密方法
US8516232B2 (en) Method and memory device for performing an operation on data
CN107256363B (zh) 一种由加解密模块阵列组成的高速加解密装置
US10013561B2 (en) Dynamic pre-boot storage encryption key
CN104951712B (zh) 一种Xen虚拟化环境下的数据安全防护方法
CN109325356A (zh) 一种加密卡架构
CN104090853A (zh) 一种固态盘加密方法和系统
CN102081713B (zh) 一种用于防止数据泄密的办公系统
CN104951688B (zh) 适用于Xen虚拟化环境下的专用数据加密方法及加密卡
WO2012072001A1 (zh) 一种安全发卡方法、发卡设备和系统
CN112035900B (zh) 一种高性能密码卡以及其通信方法
CN107092835A (zh) 一种虚拟存储盘的计算机数据加密装置及方法
CN112052483B (zh) 一种密码卡的数据通信系统及方法
CN108768669A (zh) 基于asic可信远程内存交换卡及其数据交换方法
CN109344664A (zh) 一种基于fpga对数据进行算法处理的密码卡及其加密方法
CN114297114B (zh) 加密卡及其数据交互方法、装置及计算机可读存储介质
WO2018040652A1 (zh) 一种充值系统及其充值方法
CN107749862A (zh) 一种数据加密集中存储方法、服务器、用户终端及系统
CN116418522A (zh) 一种基于虚拟化技术的云服务器密码机系统
CN104954452A (zh) 一种虚拟化环境下密码卡资源动态控制方法
CN116226940B (zh) 一种基于pcie的数据安全处理方法以及数据安全处理系统
CN103036854B (zh) 业务订购方法及系统、业务权限认证方法、终端设备
CN115237843B (zh) 一种可信计算系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20181228

RJ01 Rejection of invention patent application after publication