CN110879880B - 一种用户自主控制数据安全等级保护的密码装置 - Google Patents
一种用户自主控制数据安全等级保护的密码装置 Download PDFInfo
- Publication number
- CN110879880B CN110879880B CN201911015110.4A CN201911015110A CN110879880B CN 110879880 B CN110879880 B CN 110879880B CN 201911015110 A CN201911015110 A CN 201911015110A CN 110879880 B CN110879880 B CN 110879880B
- Authority
- CN
- China
- Prior art keywords
- user
- key
- identity
- data
- cryptographic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4004—Coupling between buses
- G06F13/4022—Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2213/00—Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F2213/0026—PCI express
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2213/00—Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F2213/0042—Universal serial bus [USB]
Abstract
本发明公开了一种用户自主控制数据安全等级保护的密码装置,包括硬件模块、软件模块、应用接口和设备驱动程序,所述软件模块通过所述应用接口和所述设备驱动程序与所述硬件模块通信,用于为用户提供操作界面,所述硬件模块通过硬件编程实现加密/解密和权限控制,所述设备驱动程序是所述硬件模块运行的固件驱动,所述应用接口为所述硬件模块的数据输入输出接口;该密码装置设有多个安全等级,不同安全等级信息输入方式不同,合法用户根据自身数据敏感等级选择安全等级并按照安全等级对应方式输入密钥和身份验证信息,所述密钥和身份验证信息被发送至所述硬件模块执行身份认证和加密/解密。本发明可以实现用户自主控制数据安全等级。
Description
技术领域
本发明涉及数据安全技术,尤其涉及一种用户自主控制数据安全等级保护的密码装置。
背景技术
随着计算机和数据通信的发展,人们越来越多的习惯通过网络和计算机存储和传输信息数据。为了保证数据的安全性,人们通常会选择通过硬件或软件加密工具对数据进行加密保护。然而,这些加密工具只允许用户通过单一端口实现口令等身份验证信息和密钥信息录入。在这种情况下,用户数据的安全等级保护通常是固定的。但是在实际应用中,由于数据敏感程度的不同,所需要的安全等级保护也是不同的。信息录入手段单一的加密工具将无法满足用户的实际需求。
发明内容
发明目的:本发明针对现有技术存在的问题,提供一种用户自主控制数据安全等级保护的密码装置,本密码装置允许合法用户在正常流程下,自主选择身份验证信息和密钥信息录入途径,通过运行于密码模块中符合信息安全技术国家标准的密码算法,实现自主的数据安全等级保护。
技术方案:本发明所述的用户自主控制数据安全等级保护的密码装置,包括硬件模块、软件模块、应用接口和设备驱动程序,所述软件模块通过所述应用接口和所述设备驱动程序与所述硬件模块通信,用于为用户提供操作界面,所述硬件模块通过硬件编程实现加密/解密和权限控制,所述设备驱动程序是所述硬件模块运行的固件驱动,所述应用接口为所述硬件模块的数据输入输出接口;该密码装置设有多个安全等级,不同安全等级信息输入方式不同,合法用户根据自身数据敏感等级选择安全等级并按照安全等级对应方式输入密钥和身份验证信息,所述密钥和身份验证信息被发送至所述硬件模块执行身份认证和加密/解密。
进一步的,所述软件模块还用于将用户上传的文件无损的转换为所述硬件模块可以进行处理的数据格式,并发送至所述硬件模块进行加密,以及将用户数据分类。
进一步的,所述硬件模块包括密钥管理单元、权限控制单元、数据处理单元和密码算法单元,所述密钥管理单元用于对用户的密钥进行管理,所述密钥包括内部生成密钥和用户通过应用接口输入的密钥,所述权限控制单元用于对用户输入的身份验证信息进行身份鉴别,并根据身份进行权限控制,所述数据处理单元用于对数据进行预处理,所述密码算法单元用于对数据进行加密/解密,加密/解密算法包括随机数生成算法、SM2公钥加密算法、SM3密码杂凑算法和SM4分组密码算法。
进一步的,所述密码装置还设有身份输入接口,所述身份输入接口用于用户输入身份认证信息和密钥。
进一步的,不同加密/解密等级的密钥输入方式具体包括以下3中方式:
仅通过所述软件模块输入身份验证信息和密钥;
仅通过所述身份输入接口输入身份验证信息和密钥;
通过所述软件模块和所述身份输入接口共同输入身份验证信息和密钥信息。
进一步的,该装置在检测到主电源被打开后,会先进行系统检测,判断是否为首次开机;若为首次开机,则生成根密钥,并进行系统初始化操作,执行系统的自测试,若不是首次开机,则直接执行系统的自测试;当自测试通过后,再进行用户身份信息的验证,当自测试没有通过时,返回错误提示。
进一步的,所述应用接口为PCI-E接口。所述硬件模块具体为ARM硬件和FPGA,所述数据处理单元在ARM硬件中实现,所述密钥管理单元、权限控制单元和密码算法单元在FPGA中实现。所述身份输入接口具体为USB接口和指纹输入接口。
有益效果:本发明与现有技术相比,其显著优点是:(1)本发明允许合法用户根据数据敏感情况,自主选择数据安全等级保护方案;(2)本发明允许合法用户自主定制密码模块硬件模块额外的其他接口,自主选择身份验证方式;(3)本发明为第一款支持数据安全等级保护的密码模块;(4)根据本发明制作的密码模块拥有额外的PCI-E接口,用户只需将密码模块插入计算机主板,安装设备驱动程序后即可实现密码模块的正常运行。
附图说明
图1为本发明的一个实施例的结构图;
图2为本发明初始化流程图;
图3为本发明工作流程图;
图4为本发明另一实施例的结构图。
具体实施方式
本实施例提供了一种用户自主控制数据安全等级保护的密码装置,如图1所示,包括硬件模块、软件模块、应用接口和设备驱动程序,还设有身份输入接口,具体为USB接口和指纹输入接口等,所述身份输入接口用于用户输入身份认证信息和密钥。所述软件模块通过所述应用接口和所述设备驱动程序与所述硬件模块通信,用于为用户提供操作界面,还用于将用户上传的文件无损的转换为所述硬件模块可以进行处理的数据格式,并发送至所述硬件模块进行加密,以及将用户数据分类。所述硬件模块通过硬件编程实现加密/解密和权限控制,所述设备驱动程序是所述硬件模块运行的固件驱动,所述应用接口为所述硬件模块的数据输入输出接口。该密码装置设有多个安全等级,不同安全等级信息输入方式不同,合法用户根据自身数据敏感等级选择安全等级并按照安全等级对应方式输入密钥和身份验证信息,所述密钥和身份验证信息被发送至所述硬件模块执行身份认证和加密/解密。不同加密/解密等级的密钥输入方式具体包括以下3种方式:
1)仅通过所述软件模块输入身份验证信息和密钥;此类身份信息验证流程最高具有第二级安全保护能力;
2)仅通过所述身份输入接口输入身份验证信息和密钥;根据接口数的多少,此类身份信息验证流程最高具有第四级安全保护能力。密钥信息通过非软件模块输入可增加输入效率甚至安全性;
3)通过所述软件模块和所述身份输入接口共同输入身份验证信息和密钥信息。此类身份信息验证流程最低具有第二级安全保护能力。密钥信息通过非软件模块输入可增加输入效率甚至安全性。
所述硬件模块包括密钥管理单元、权限控制单元、数据处理单元和密码算法单元,所述密钥管理单元用于对用户的密钥进行管理,所述密钥包括内部生成密钥和用户通过应用接口输入的密钥,所述权限控制单元用于对用户输入的身份验证信息进行身份鉴别,并根据身份进行权限控制,所述数据处理单元用于对数据进行预处理,所述密码算法单元用于对数据进行加密/解密,加密/解密算法包括随机数生成算法、SM2公钥加密算法、SM3密码杂凑算法和SM4分组密码算法。所述随机数生成算法通过硬件随机数生成器获得,所述随机数和随机数生成器均满足国家密码主管管理部门的要求,并符合GM/T 0005-2012。所述SM2公钥加密算法、SM3密码杂凑算法和SM4分组密码算法基于国家密码管理局和国家标准委发布的国有商用密码标准,分别符合GMT 0003-2012、0004-2012和0002-2012,并通过可编程电路板硬件实现。当数据经过数据处理单元转换成标准报文后,密码算法单元根据报文内容选择相应的密码算法,执行相应的密码操作并返回操作结果。
如图2所示,该装置在检测到主电源被打开后,会先进行系统检测,判断是否为首次开机;若为首次开机,则生成根密钥,并进行系统初始化操作,执行系统的自测试,若不是首次开机,则直接执行系统的自测试;当自测试通过后,再进行用户身份信息的验证,当自测试没有通过时,返回错误提示。
如图3所示,用户使用前,首先进行身份验证。此身份验证过程分两步。第一步是验证用户拥有使用此装置的权限,称其为权限认证。当权限认证通过后,用户即可通过装置进行数据处理。此时,密码装置会根据数据安全保护等级,提示用户选定并输入身份验证信息乃至密钥信息。当用户身份通过验证后,密码装置即对用户提供的数据进行处理,并根据处理结果执行相应的操作。所述操作包括密钥生成与管理,用户访问权限控制,物理随机数生成,数据加密和解密,消息鉴别码、数字信封、数字签名和摘要等数据的产生与验证等。当操作执行完毕后,密码装置返回相应的操作结果。
图4是具有PCI-E接口的密码装置的结构图,包括ARM硬件、FPGA硬件、计算机软件模块、PCI-E应用接口,额外其他接口(USB,指纹等)和设备驱动程序。其中,计算机软件模块通述PCI-E应用接口和设备驱动程序与ARM硬件通信。用户在计算机软件模块确定数据安全等级保护方式,通过计算机软件模块和其他接口输入身份验证信息和密钥信息。用户通过所述计算机软件模块实现数据录入,通过软件模块和外部接口实现口令等身份信息录入。ARM与FPGA互相通信,两者位于同一可编程硬件模块。
以上所揭露的仅为本发明一种较佳实施例而已,不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (8)
1.一种用户自主控制数据安全等级保护的密码装置,其特征在于:包括硬件模块、软件模块、应用接口和设备驱动程序,所述软件模块通过所述应用接口和所述设备驱动程序与所述硬件模块通信,用于为用户提供操作界面,所述硬件模块通过硬件编程实现加密/解密和权限控制,所述设备驱动程序是所述硬件模块运行的固件驱动,所述应用接口为所述硬件模块的数据输入输出接口;该密码装置设有多个安全等级,不同安全等级信息输入方式不同,合法用户根据自身数据敏感等级选择安全等级并按照安全等级对应方式输入密钥和身份验证信息,所述密钥和身份验证信息被发送至所述硬件模块执行身份认证和加密/解密,其中,该密码装置在检测到主电源被打开后,会先进行系统检测,判断是否为首次开机;若为首次开机,则生成根密钥,并进行系统初始化操作,执行系统的自测试,若不是首次开机,则直接执行系统的自测试;当自测试通过后,再进行用户身份信息的验证,当自测试没有通过时,返回错误提示。
2.根据权利要求1所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述软件模块还用于将用户上传的文件无损的转换为所述硬件模块可以进行处理的数据格式,并发送至所述硬件模块进行加密,以及将用户数据分类。
3.根据权利要求1所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述硬件模块包括密钥管理单元、权限控制单元、数据处理单元和密码算法单元,所述密钥管理单元用于对用户的密钥进行管理,所述密钥包括内部生成密钥和用户通过应用接口输入的密钥,所述权限控制单元用于对用户输入的身份验证信息进行身份鉴别,并根据身份进行权限控制,所述数据处理单元用于对数据进行预处理,所述密码算法单元用于对数据进行加密/解密,加密/解密算法包括随机数生成算法、SM2公钥加密算法、SM3密码杂凑算法和SM4分组密码算法。
4.根据权利要求1所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述密码装置还设有身份输入接口,所述身份输入接口用于用户输入身份认证信息和密钥。
5.根据权利要求4所述的用户自主控制数据安全等级保护的密码装置,其特征在于:不同加密/解密等级的密钥输入方式具体包括以下3种方式:
仅通过所述软件模块输入身份验证信息和密钥;
仅通过所述身份输入接口输入身份验证信息和密钥;
通过所述软件模块和所述身份输入接口共同输入身份验证信息和密钥信息。
6.根据权利要求1所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述应用接口为PCI-E接口。
7.根据权利要求3所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述硬件模块具体为ARM硬件和FPGA,所述数据处理单元在ARM硬件中实现,所述密钥管理单元、权限控制单元和密码算法单元在FPGA中实现。
8.根据权利要求4所述的用户自主控制数据安全等级保护的密码装置,其特征在于:所述身份输入接口具体为USB接口和指纹输入接口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911015110.4A CN110879880B (zh) | 2019-10-24 | 2019-10-24 | 一种用户自主控制数据安全等级保护的密码装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911015110.4A CN110879880B (zh) | 2019-10-24 | 2019-10-24 | 一种用户自主控制数据安全等级保护的密码装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110879880A CN110879880A (zh) | 2020-03-13 |
CN110879880B true CN110879880B (zh) | 2021-09-28 |
Family
ID=69728043
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911015110.4A Active CN110879880B (zh) | 2019-10-24 | 2019-10-24 | 一种用户自主控制数据安全等级保护的密码装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110879880B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835713B (zh) * | 2020-06-01 | 2023-09-15 | 视联动力信息技术股份有限公司 | 一种安全认证方法、装置和存储介质 |
CN111698263B (zh) * | 2020-06-24 | 2023-04-07 | 成都卫士通信息产业股份有限公司 | 一种北斗卫星导航数据的传输方法和系统 |
CN113420309B (zh) * | 2021-07-01 | 2022-05-17 | 广东工业大学 | 基于国密算法的轻量化数据保护系统 |
CN114826696B (zh) * | 2022-04-08 | 2023-05-09 | 中国电子科技集团公司第三十研究所 | 文件内容分级共享方法、装置、设备及介质 |
CN115396885A (zh) * | 2022-08-26 | 2022-11-25 | 中国联合网络通信集团有限公司 | 一种密钥安全管理方法、装置、电子设备及存储介质 |
CN116232593B (zh) * | 2023-05-05 | 2023-08-25 | 杭州海康威视数字技术股份有限公司 | 多密码模组敏感数据分类分级与保护方法、设备及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130262879A1 (en) * | 2012-03-29 | 2013-10-03 | Aptos Technology Inc. | Secure type storage device and information security system |
CN103780393B (zh) * | 2014-01-15 | 2017-02-15 | 重庆邮电大学 | 一种面向多安全等级的虚拟桌面安全认证系统及方法 |
CN105005720B (zh) * | 2015-06-24 | 2018-01-19 | 青岛大学 | 计算机安全控制系统 |
CN108075882A (zh) * | 2016-11-14 | 2018-05-25 | 航天信息股份有限公司 | 密码卡及其加解密方法 |
CN107704730B (zh) * | 2017-09-15 | 2021-08-10 | 成都驰通数码系统有限公司 | 一种电子设备内嵌软件自加密方法 |
-
2019
- 2019-10-24 CN CN201911015110.4A patent/CN110879880B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110879880A (zh) | 2020-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110879880B (zh) | 一种用户自主控制数据安全等级保护的密码装置 | |
CN108667608B (zh) | 数据密钥的保护方法、装置和系统 | |
US6230272B1 (en) | System and method for protecting a multipurpose data string used for both decrypting data and for authenticating a user | |
CN201181472Y (zh) | 硬件密钥装置和移动存储系统 | |
US10693641B2 (en) | Secure container based protection of password accessible master encryption keys | |
KR101239297B1 (ko) | 정보 보호 시스템 및 방법 | |
CN101122942B (zh) | 数据安全读取方法及其安全存储装置 | |
CN103152366B (zh) | 获得终端权限的方法、终端及服务器 | |
CN101291224A (zh) | 在通信系统中处理数据的方法和系统 | |
WO2006124191A1 (en) | Computer security system and method | |
CN109922027B (zh) | 一种可信身份认证方法、终端及存储介质 | |
US11743053B2 (en) | Electronic signature system and tamper-resistant device | |
US20140025946A1 (en) | Audio-security storage apparatus and method for managing certificate using the same | |
CN109086588B (zh) | 一种认证方法及认证设备 | |
CN112272090B (zh) | 一种密钥产生方法和装置 | |
EP2689367A1 (en) | Data protection using distributed security key | |
KR20210133087A (ko) | 데이터의 안전한 폐기 기능을 제공하는 스토리지 장치 및 그 동작방법 | |
KR20210029967A (ko) | 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법 | |
CN114268502B (zh) | 智能设备的激活方法、服务端及智能设备 | |
CN213817804U (zh) | 一种密钥产生装置 | |
CN213814671U (zh) | 一种基于结构光阵列识别的高安全等级数据访问装置 | |
CN1889431A (zh) | 多功能智能密钥设备及其安全控制的方法 | |
CN117113311B (zh) | 用于终端设备身份验证的方法及装置、终端设备 | |
CN114491481B (zh) | 一种基于fpga的安全计算方法及装置 | |
CN213780963U (zh) | 一种基于用户虹膜识别的高安全存储访问装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |