CN110879880B - 一种用户自主控制数据安全等级保护的密码装置 - Google Patents

一种用户自主控制数据安全等级保护的密码装置 Download PDF

Info

Publication number
CN110879880B
CN110879880B CN201911015110.4A CN201911015110A CN110879880B CN 110879880 B CN110879880 B CN 110879880B CN 201911015110 A CN201911015110 A CN 201911015110A CN 110879880 B CN110879880 B CN 110879880B
Authority
CN
China
Prior art keywords
user
key
identity
data
cryptographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911015110.4A
Other languages
English (en)
Other versions
CN110879880A (zh
Inventor
方昊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Institute Of Cyber Technology Co ltd
Original Assignee
Nanjing Institute Of Cyber Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Institute Of Cyber Technology Co ltd filed Critical Nanjing Institute Of Cyber Technology Co ltd
Priority to CN201911015110.4A priority Critical patent/CN110879880B/zh
Publication of CN110879880A publication Critical patent/CN110879880A/zh
Application granted granted Critical
Publication of CN110879880B publication Critical patent/CN110879880B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4004Coupling between buses
    • G06F13/4022Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/0026PCI express
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/0042Universal serial bus [USB]

Abstract

本发明公开了一种用户自主控制数据安全等级保护的密码装置,包括硬件模块、软件模块、应用接口和设备驱动程序,所述软件模块通过所述应用接口和所述设备驱动程序与所述硬件模块通信,用于为用户提供操作界面,所述硬件模块通过硬件编程实现加密/解密和权限控制,所述设备驱动程序是所述硬件模块运行的固件驱动,所述应用接口为所述硬件模块的数据输入输出接口;该密码装置设有多个安全等级,不同安全等级信息输入方式不同,合法用户根据自身数据敏感等级选择安全等级并按照安全等级对应方式输入密钥和身份验证信息,所述密钥和身份验证信息被发送至所述硬件模块执行身份认证和加密/解密。本发明可以实现用户自主控制数据安全等级。

Description

一种用户自主控制数据安全等级保护的密码装置
技术领域
本发明涉及数据安全技术,尤其涉及一种用户自主控制数据安全等级保护的密码装置。
背景技术
随着计算机和数据通信的发展,人们越来越多的习惯通过网络和计算机存储和传输信息数据。为了保证数据的安全性,人们通常会选择通过硬件或软件加密工具对数据进行加密保护。然而,这些加密工具只允许用户通过单一端口实现口令等身份验证信息和密钥信息录入。在这种情况下,用户数据的安全等级保护通常是固定的。但是在实际应用中,由于数据敏感程度的不同,所需要的安全等级保护也是不同的。信息录入手段单一的加密工具将无法满足用户的实际需求。
发明内容
发明目的:本发明针对现有技术存在的问题,提供一种用户自主控制数据安全等级保护的密码装置,本密码装置允许合法用户在正常流程下,自主选择身份验证信息和密钥信息录入途径,通过运行于密码模块中符合信息安全技术国家标准的密码算法,实现自主的数据安全等级保护。
技术方案:本发明所述的用户自主控制数据安全等级保护的密码装置,包括硬件模块、软件模块、应用接口和设备驱动程序,所述软件模块通过所述应用接口和所述设备驱动程序与所述硬件模块通信,用于为用户提供操作界面,所述硬件模块通过硬件编程实现加密/解密和权限控制,所述设备驱动程序是所述硬件模块运行的固件驱动,所述应用接口为所述硬件模块的数据输入输出接口;该密码装置设有多个安全等级,不同安全等级信息输入方式不同,合法用户根据自身数据敏感等级选择安全等级并按照安全等级对应方式输入密钥和身份验证信息,所述密钥和身份验证信息被发送至所述硬件模块执行身份认证和加密/解密。
进一步的,所述软件模块还用于将用户上传的文件无损的转换为所述硬件模块可以进行处理的数据格式,并发送至所述硬件模块进行加密,以及将用户数据分类。
进一步的,所述硬件模块包括密钥管理单元、权限控制单元、数据处理单元和密码算法单元,所述密钥管理单元用于对用户的密钥进行管理,所述密钥包括内部生成密钥和用户通过应用接口输入的密钥,所述权限控制单元用于对用户输入的身份验证信息进行身份鉴别,并根据身份进行权限控制,所述数据处理单元用于对数据进行预处理,所述密码算法单元用于对数据进行加密/解密,加密/解密算法包括随机数生成算法、SM2公钥加密算法、SM3密码杂凑算法和SM4分组密码算法。
进一步的,所述密码装置还设有身份输入接口,所述身份输入接口用于用户输入身份认证信息和密钥。
进一步的,不同加密/解密等级的密钥输入方式具体包括以下3中方式:
仅通过所述软件模块输入身份验证信息和密钥;
仅通过所述身份输入接口输入身份验证信息和密钥;
通过所述软件模块和所述身份输入接口共同输入身份验证信息和密钥信息。
进一步的,该装置在检测到主电源被打开后,会先进行系统检测,判断是否为首次开机;若为首次开机,则生成根密钥,并进行系统初始化操作,执行系统的自测试,若不是首次开机,则直接执行系统的自测试;当自测试通过后,再进行用户身份信息的验证,当自测试没有通过时,返回错误提示。
进一步的,所述应用接口为PCI-E接口。所述硬件模块具体为ARM硬件和FPGA,所述数据处理单元在ARM硬件中实现,所述密钥管理单元、权限控制单元和密码算法单元在FPGA中实现。所述身份输入接口具体为USB接口和指纹输入接口。
有益效果:本发明与现有技术相比,其显著优点是:(1)本发明允许合法用户根据数据敏感情况,自主选择数据安全等级保护方案;(2)本发明允许合法用户自主定制密码模块硬件模块额外的其他接口,自主选择身份验证方式;(3)本发明为第一款支持数据安全等级保护的密码模块;(4)根据本发明制作的密码模块拥有额外的PCI-E接口,用户只需将密码模块插入计算机主板,安装设备驱动程序后即可实现密码模块的正常运行。
附图说明
图1为本发明的一个实施例的结构图;
图2为本发明初始化流程图;
图3为本发明工作流程图;
图4为本发明另一实施例的结构图。
具体实施方式
本实施例提供了一种用户自主控制数据安全等级保护的密码装置,如图1所示,包括硬件模块、软件模块、应用接口和设备驱动程序,还设有身份输入接口,具体为USB接口和指纹输入接口等,所述身份输入接口用于用户输入身份认证信息和密钥。所述软件模块通过所述应用接口和所述设备驱动程序与所述硬件模块通信,用于为用户提供操作界面,还用于将用户上传的文件无损的转换为所述硬件模块可以进行处理的数据格式,并发送至所述硬件模块进行加密,以及将用户数据分类。所述硬件模块通过硬件编程实现加密/解密和权限控制,所述设备驱动程序是所述硬件模块运行的固件驱动,所述应用接口为所述硬件模块的数据输入输出接口。该密码装置设有多个安全等级,不同安全等级信息输入方式不同,合法用户根据自身数据敏感等级选择安全等级并按照安全等级对应方式输入密钥和身份验证信息,所述密钥和身份验证信息被发送至所述硬件模块执行身份认证和加密/解密。不同加密/解密等级的密钥输入方式具体包括以下3种方式:
1)仅通过所述软件模块输入身份验证信息和密钥;此类身份信息验证流程最高具有第二级安全保护能力;
2)仅通过所述身份输入接口输入身份验证信息和密钥;根据接口数的多少,此类身份信息验证流程最高具有第四级安全保护能力。密钥信息通过非软件模块输入可增加输入效率甚至安全性;
3)通过所述软件模块和所述身份输入接口共同输入身份验证信息和密钥信息。此类身份信息验证流程最低具有第二级安全保护能力。密钥信息通过非软件模块输入可增加输入效率甚至安全性。
所述硬件模块包括密钥管理单元、权限控制单元、数据处理单元和密码算法单元,所述密钥管理单元用于对用户的密钥进行管理,所述密钥包括内部生成密钥和用户通过应用接口输入的密钥,所述权限控制单元用于对用户输入的身份验证信息进行身份鉴别,并根据身份进行权限控制,所述数据处理单元用于对数据进行预处理,所述密码算法单元用于对数据进行加密/解密,加密/解密算法包括随机数生成算法、SM2公钥加密算法、SM3密码杂凑算法和SM4分组密码算法。所述随机数生成算法通过硬件随机数生成器获得,所述随机数和随机数生成器均满足国家密码主管管理部门的要求,并符合GM/T 0005-2012。所述SM2公钥加密算法、SM3密码杂凑算法和SM4分组密码算法基于国家密码管理局和国家标准委发布的国有商用密码标准,分别符合GMT 0003-2012、0004-2012和0002-2012,并通过可编程电路板硬件实现。当数据经过数据处理单元转换成标准报文后,密码算法单元根据报文内容选择相应的密码算法,执行相应的密码操作并返回操作结果。
如图2所示,该装置在检测到主电源被打开后,会先进行系统检测,判断是否为首次开机;若为首次开机,则生成根密钥,并进行系统初始化操作,执行系统的自测试,若不是首次开机,则直接执行系统的自测试;当自测试通过后,再进行用户身份信息的验证,当自测试没有通过时,返回错误提示。
如图3所示,用户使用前,首先进行身份验证。此身份验证过程分两步。第一步是验证用户拥有使用此装置的权限,称其为权限认证。当权限认证通过后,用户即可通过装置进行数据处理。此时,密码装置会根据数据安全保护等级,提示用户选定并输入身份验证信息乃至密钥信息。当用户身份通过验证后,密码装置即对用户提供的数据进行处理,并根据处理结果执行相应的操作。所述操作包括密钥生成与管理,用户访问权限控制,物理随机数生成,数据加密和解密,消息鉴别码、数字信封、数字签名和摘要等数据的产生与验证等。当操作执行完毕后,密码装置返回相应的操作结果。
图4是具有PCI-E接口的密码装置的结构图,包括ARM硬件、FPGA硬件、计算机软件模块、PCI-E应用接口,额外其他接口(USB,指纹等)和设备驱动程序。其中,计算机软件模块通述PCI-E应用接口和设备驱动程序与ARM硬件通信。用户在计算机软件模块确定数据安全等级保护方式,通过计算机软件模块和其他接口输入身份验证信息和密钥信息。用户通过所述计算机软件模块实现数据录入,通过软件模块和外部接口实现口令等身份信息录入。ARM与FPGA互相通信,两者位于同一可编程硬件模块。
以上所揭露的仅为本发明一种较佳实施例而已,不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (8)

1.一种用户自主控制数据安全等级保护的密码装置,其特征在于:包括硬件模块、软件模块、应用接口和设备驱动程序,所述软件模块通过所述应用接口和所述设备驱动程序与所述硬件模块通信,用于为用户提供操作界面,所述硬件模块通过硬件编程实现加密/解密和权限控制,所述设备驱动程序是所述硬件模块运行的固件驱动,所述应用接口为所述硬件模块的数据输入输出接口;该密码装置设有多个安全等级,不同安全等级信息输入方式不同,合法用户根据自身数据敏感等级选择安全等级并按照安全等级对应方式输入密钥和身份验证信息,所述密钥和身份验证信息被发送至所述硬件模块执行身份认证和加密/解密,其中,该密码装置在检测到主电源被打开后,会先进行系统检测,判断是否为首次开机;若为首次开机,则生成根密钥,并进行系统初始化操作,执行系统的自测试,若不是首次开机,则直接执行系统的自测试;当自测试通过后,再进行用户身份信息的验证,当自测试没有通过时,返回错误提示。
2.根据权利要求1所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述软件模块还用于将用户上传的文件无损的转换为所述硬件模块可以进行处理的数据格式,并发送至所述硬件模块进行加密,以及将用户数据分类。
3.根据权利要求1所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述硬件模块包括密钥管理单元、权限控制单元、数据处理单元和密码算法单元,所述密钥管理单元用于对用户的密钥进行管理,所述密钥包括内部生成密钥和用户通过应用接口输入的密钥,所述权限控制单元用于对用户输入的身份验证信息进行身份鉴别,并根据身份进行权限控制,所述数据处理单元用于对数据进行预处理,所述密码算法单元用于对数据进行加密/解密,加密/解密算法包括随机数生成算法、SM2公钥加密算法、SM3密码杂凑算法和SM4分组密码算法。
4.根据权利要求1所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述密码装置还设有身份输入接口,所述身份输入接口用于用户输入身份认证信息和密钥。
5.根据权利要求4所述的用户自主控制数据安全等级保护的密码装置,其特征在于:不同加密/解密等级的密钥输入方式具体包括以下3种方式:
仅通过所述软件模块输入身份验证信息和密钥;
仅通过所述身份输入接口输入身份验证信息和密钥;
通过所述软件模块和所述身份输入接口共同输入身份验证信息和密钥信息。
6.根据权利要求1所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述应用接口为PCI-E接口。
7.根据权利要求3所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述硬件模块具体为ARM硬件和FPGA,所述数据处理单元在ARM硬件中实现,所述密钥管理单元、权限控制单元和密码算法单元在FPGA中实现。
8.根据权利要求4所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述身份输入接口具体为USB接口和指纹输入接口。
CN201911015110.4A 2019-10-24 2019-10-24 一种用户自主控制数据安全等级保护的密码装置 Active CN110879880B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911015110.4A CN110879880B (zh) 2019-10-24 2019-10-24 一种用户自主控制数据安全等级保护的密码装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911015110.4A CN110879880B (zh) 2019-10-24 2019-10-24 一种用户自主控制数据安全等级保护的密码装置

Publications (2)

Publication Number Publication Date
CN110879880A CN110879880A (zh) 2020-03-13
CN110879880B true CN110879880B (zh) 2021-09-28

Family

ID=69728043

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911015110.4A Active CN110879880B (zh) 2019-10-24 2019-10-24 一种用户自主控制数据安全等级保护的密码装置

Country Status (1)

Country Link
CN (1) CN110879880B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111835713B (zh) * 2020-06-01 2023-09-15 视联动力信息技术股份有限公司 一种安全认证方法、装置和存储介质
CN111698263B (zh) * 2020-06-24 2023-04-07 成都卫士通信息产业股份有限公司 一种北斗卫星导航数据的传输方法和系统
CN113420309B (zh) * 2021-07-01 2022-05-17 广东工业大学 基于国密算法的轻量化数据保护系统
CN114826696B (zh) * 2022-04-08 2023-05-09 中国电子科技集团公司第三十研究所 文件内容分级共享方法、装置、设备及介质
CN115396885A (zh) * 2022-08-26 2022-11-25 中国联合网络通信集团有限公司 一种密钥安全管理方法、装置、电子设备及存储介质
CN116232593B (zh) * 2023-05-05 2023-08-25 杭州海康威视数字技术股份有限公司 多密码模组敏感数据分类分级与保护方法、设备及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130262879A1 (en) * 2012-03-29 2013-10-03 Aptos Technology Inc. Secure type storage device and information security system
CN103780393B (zh) * 2014-01-15 2017-02-15 重庆邮电大学 一种面向多安全等级的虚拟桌面安全认证系统及方法
CN105005720B (zh) * 2015-06-24 2018-01-19 青岛大学 计算机安全控制系统
CN108075882A (zh) * 2016-11-14 2018-05-25 航天信息股份有限公司 密码卡及其加解密方法
CN107704730B (zh) * 2017-09-15 2021-08-10 成都驰通数码系统有限公司 一种电子设备内嵌软件自加密方法

Also Published As

Publication number Publication date
CN110879880A (zh) 2020-03-13

Similar Documents

Publication Publication Date Title
CN110879880B (zh) 一种用户自主控制数据安全等级保护的密码装置
CN108667608B (zh) 数据密钥的保护方法、装置和系统
US6230272B1 (en) System and method for protecting a multipurpose data string used for both decrypting data and for authenticating a user
CN201181472Y (zh) 硬件密钥装置和移动存储系统
US10693641B2 (en) Secure container based protection of password accessible master encryption keys
KR101239297B1 (ko) 정보 보호 시스템 및 방법
CN101122942B (zh) 数据安全读取方法及其安全存储装置
CN103152366B (zh) 获得终端权限的方法、终端及服务器
CN101291224A (zh) 在通信系统中处理数据的方法和系统
WO2006124191A1 (en) Computer security system and method
CN109922027B (zh) 一种可信身份认证方法、终端及存储介质
US11743053B2 (en) Electronic signature system and tamper-resistant device
US20140025946A1 (en) Audio-security storage apparatus and method for managing certificate using the same
CN109086588B (zh) 一种认证方法及认证设备
CN112272090B (zh) 一种密钥产生方法和装置
EP2689367A1 (en) Data protection using distributed security key
KR20210133087A (ko) 데이터의 안전한 폐기 기능을 제공하는 스토리지 장치 및 그 동작방법
KR20210029967A (ko) 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법
CN114268502B (zh) 智能设备的激活方法、服务端及智能设备
CN213817804U (zh) 一种密钥产生装置
CN213814671U (zh) 一种基于结构光阵列识别的高安全等级数据访问装置
CN1889431A (zh) 多功能智能密钥设备及其安全控制的方法
CN117113311B (zh) 用于终端设备身份验证的方法及装置、终端设备
CN114491481B (zh) 一种基于fpga的安全计算方法及装置
CN213780963U (zh) 一种基于用户虹膜识别的高安全存储访问装置

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant